JP2017049962A - コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 - Google Patents
コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 Download PDFInfo
- Publication number
- JP2017049962A JP2017049962A JP2015187392A JP2015187392A JP2017049962A JP 2017049962 A JP2017049962 A JP 2017049962A JP 2015187392 A JP2015187392 A JP 2015187392A JP 2015187392 A JP2015187392 A JP 2015187392A JP 2017049962 A JP2017049962 A JP 2017049962A
- Authority
- JP
- Japan
- Prior art keywords
- log information
- processing
- pass
- user
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007689 inspection Methods 0.000 title claims abstract 4
- 238000012545 processing Methods 0.000 claims description 125
- 230000006870 function Effects 0.000 claims description 9
- 238000007726 management method Methods 0.000 claims description 8
- 238000013507 mapping Methods 0.000 claims description 8
- 238000013519 translation Methods 0.000 claims description 6
- 238000013474 audit trail Methods 0.000 claims description 2
- 238000009826 distribution Methods 0.000 claims description 2
- 230000003442 weekly effect Effects 0.000 claims description 2
- 230000002776 aggregation Effects 0.000 claims 1
- 238000004220 aggregation Methods 0.000 claims 1
- 238000006243 chemical reaction Methods 0.000 claims 1
- 241000282414 Homo sapiens Species 0.000 abstract description 7
- 230000004075 alteration Effects 0.000 abstract 1
- 230000001629 suppression Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 21
- 238000004458 analytical method Methods 0.000 description 13
- 238000000034 method Methods 0.000 description 11
- 230000009471 action Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000006872 improvement Effects 0.000 description 7
- 241000282412 Homo Species 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 230000014616 translation Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
本技術は、コンピュータログデータを解析し、その内容を人間が理解できる自然言語に翻訳し、今後の技術や運用の改善に利用できるようにすると言った特徴がある。
しかしながら、コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、その他のモノ(家電、家具、建築物)がIoTとして接続されるが、これらの機器類が出力するログ情報のままでは、機械的に時間軸に沿ってあらゆる操作が記録されているため、情報量が膨大となり、更には解析、分析や追跡には意味をなさない情報まで記録されており、有効な情報を見つけ難くしている。
この結果、一連の操作の事実を把握することが非常に困難となり、大きな容量の保管資源も必要となっている。
コンピュータシステムやパソコン類(スマートフォン、タブレット、ウェアラブル)、機械類(産業機器、一般機器、乗り物)、電気製品、その他のモノ(家具、建築物)などが出力するログ情報(イベントログデータ、監査ログデータ、システムログ、アプリケーションログ、サービスログなど)を入力として、ユーザ、サーバ、対象毎にログ情報の必要項目を抽出するマッピング処理装置と、
マッピング処理の出力をユーザ、サーバ、対象毎に整列した項目の並びをルールマスタに予め定めたn個の操作結果の組み合わせパターンに突合せて、実際に起きた操作の形跡を辿り、
パス1処理装置の出力であるサマリ毎の追跡結果から、一定の時間内の同じ操作は一つに圧縮してパス1処理装置の出力を更に見やすい形に整える。
例えば、read及びwriteが短時間で発生した場合にreadは大きな意味を持たない為、単一のwriteとしてまとめる。
マッピング処理装置、プリパス処理装置、パス1処理装置、パス2処理装置、パス3処理装置の一連の処理の結果を検索し、レポートすることによって、インシデント管理やセキュリティ管理が効率的かつ正確に行うことができ、コードやバイナリーデータなどを自然言語に翻訳するパス4処理装置と、ログ情報から改善情報を出力するパス5処理装置、パス6処理装置、パス7処理装置によって更なるログの活用を可能とする。
102ユーザBが105サーバβのファイル108乙と109丙、
103ユーザCが106サーバγのファイル110丁を操作すると、
コンピュータ104サーバα、105サーバβ、106サーバγはそれぞれ操作された時にコンピュータの動作状況を111ログ情報としてそれぞれ出力する。
この出力されたログ情報を113翻訳サーバはネットワーク等を使用し定期的に収集し一つの114収集ログ情報に取りまとめる。
収集した114収集ログ情報を読み込み116マッピング処理装置にて翻訳しやすいように必要なデータを加え、117プリパス1処理装置によりログパターンの分類を行い、118パス1処理装置によってログの動作を取りまとめ、119パス2処理装置と120パス3処理装置によって翻訳の取りまとめを行い、116マッピング処理装置から120パス3処理装置によってデータ量を1000分の1から2000分の1にし、121パス4処理によって人間が理解しやすい自然言語にする翻訳を行い、122パス5処理によってユーザのアクセス権の評価を行い、123パス6処理によって改善提案情報の出力をおこない、124パス7処理装置によってサーバの負荷統計情報の出力を行う装置の全体構成図である。
・ユーザ :ファイルにアクセスした人又はアカウントを持つ機能。
・対象 :操作に関連した事象。
ファイルアクセスの場合は、アクセスされたファイルやディレクトリ。
・詳細 :操作に関連した事象で日時、ユーザ、対象以外の付加情報。
ファイルアクセスの場合は、AccessValue、対象のIPアド レス、ファイルアクセスの場合は、AccessValue、対象のI Pアドレス、セッション情報。
・AccessValue:コードやバイナリーデータで出力された操作、動作を決定す る情報。
・操作 :OS、アプリケーションが判断するファイルに対する情報。(logo n、logoff、write、read等々)
・サマリ表 :ユーザ、サーバ、対象の組み合わせをキーとしたテーブル。実際のメモ リアドレスを格納する。
・サマリNo.:サマリに対し付与されるユニークなメモリ上のアドレス。
・Skip :OSが出力したログ情報各行毎の要・不要の判別情報。
・ログ情報 :コンピュータシステムやパソコン、スマートフォン、タブレット、ウェ アラブル、産業機器、一般機器、乗り物、電気製品、医療機器、家具、 建築物などが出力した動作記録やアプリケーションログ、サービスログ 、システムログ、イベントログ、監査ログ、コマンド情報、デジタルデ ータなどの動作記録を含む。
・ログ情報テーブル:ログ情報から解析に必要な情報を解析用フォーマットに変換しメモ リ上に展開した状態のテーブル。
・システムログ:コンピュータの起動や終了、管理者のlogonやlogoff、再起 動、ハードウェアで発生した障害、カーネルで起きたエラー、サーバソ フトやデーモン、常駐プログラムの起動や終了などの情報を記録する。
・アクセスコントロールリスト:
認証フローシステムにより設定される、個人個人の対象に対するアクセ ス権限が記載されている情報。
・制御情報 :操作、サマリ、Skipなどの情報。
・イベントログ:構成変更や障害発生など、システムで発生するさまざまな事象を記録。
・監査ログ :システムの利用者、開発者、運用者がシステムに対して実行した操作内 容を時系列に記録。
・ルールマスタ:ログ情報の各行の動作を時系列に解析して判断する為のルールが記載さ れており、ルールの中には解析に必要な時間が記載され、この時間を一 定時間と言う。
・一定時間 :ルールマスタに記載されている時間であり、ルール毎に異なった時間が 記載される。この時間は発明者が様々なログ情報を解析し人間が行う動 作をn秒以内に行う場合、同一動作としてまとめられる時間の安全値と して割り出した時間でルールマスタ、間隔マスタ等に定義されたルール 毎に指定された秒数。
・機械語 :コンピュータなどが出力する、その形状のままでは通常の人間では、理 解不能なデータ等。
コンピュータ等が出力する111ログ情報をネットワークなどにて収集し、114収集ログ情報にまとめ上げ、114収集ログ情報を読み込み、分析内容に合わせて日時、ユーザ、サーバ、対象、詳細等の項目を抽出し、211操作、212サマリNo.、213Skipなどの情報設置エリアを確保しながら抽出項目をメモリに展開しつつ、210詳細をキーとして201操作マスタの202詳細を検索し、対応する203操作を211操作にセットする。
解析対象が車や産業機器の省エネルギーであれば、日時、一定時間の消費エネルギー、エネルギー消費機器の状況(回転数など)、外的環境(温度、湿度など)移動距離、稼動回数等を対象とする。
読み出した206日時、207ユーザ、208サーバ、209対象、210詳細の各項目をメモリ上の204ログ情報テーブルの各項目にセットし、210詳細を利用し201操作マスタの202詳細とマッチングさせ該当する203操作を211操作にセットし、212サマリNo.のメモリエリアを確保し、213Skip項目に“FALSE”となるデフォルト値をセットし、214回数を格納できるメモリエリアを確保する。
ここでの“FALSE”は204ログ情報テーブルの各行の情報を重要なので読み飛ばしを行わないと言う意味となる。
又、201操作マスタに存在しない210詳細が有った場合は処理対象外として204ログ情報テーブルに“TRUE”と言う値をセットする。この201操作マスタに登録されている情報は、本発明者の過去の経験と実績による情報により作成された情報群である。
実際、コンピュータがファイルを削除する際、ディスク装置に対し読込み処理が実行され、その後にディスク装置に情報を書き込む事によってファイルが消去される。この事柄から分かるように人間の操作と実際のコンピュータの挙動は一致しないので、実際に人間がどの様な動作をしたかを解析する事が重要となる。
204ログ情報テーブルに存在する207ユーザ、208サーバ、209対象の全組合せ分の301サマリ表を作成し301サマリ表の各行にシーケンスNo.を符番しメモリ上に作成し、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
全ての組合せを301サマリ表に作成した後、
204ログ情報テーブルの207ユーザ、208サーバ、209対象と同じ301サマリ表の303ユーザ、304サーバ、305対象とをマッチングさせ、301サマリ表に振られている302サマリNo.を204ログ情報テーブルの212サマリNo.項目にセットする。
メモリに展開している204ログ情報テーブルの先頭から処理し、
212サマリNo.を利用して複数行に渡る同一ユーザ、サーバ、対象を追跡し、210詳細の出現パターンを401ルールマスタに照らし合わせ、出現パターンがマッチした場合、404基本シーケンス以外にマッチした204ログ情報テーブル各行の213Skipを“TRUE”に更新する。
205Seq#“1”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#097”であり401ルールマスタの404基本シーケンスに同一情報が402ID“1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq#“2”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq#“2”の210詳細のデータが“$%#257445y7nco9yw983”なので、402ID“1”の406シーケンス1と比較すると同一データであり、402ID“1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“0”で在ったので、205Seq#“1”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”のままとし、205Seq#“2”の213Skipを“TRUE”とする。
次に、ポインタを1つ進めるが、205Seq#“2”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#38a2″eh48w”であり401ルールマスタの404基本シーケンスに同一情報が402ID“2”にあるので、これを記憶し、
212サマリNo.の同一データ“▲2▼”を探すと本実施例で使用の図4上の204ログ情報テーブルの212サマリNo.には“▲2▼”と言うデータが他には無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“4”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#257445y7nco9yw983”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
次に、205Seq#“5”の213Skipが“TRUE”なので処理対象外としポインタを1つ進める。
次に、205Seq#“6”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#257445y7nco9yw983”であり401ルールマスタの404基本シーケンスに同一情報が無いので、213Skipを“FALSE”のままとしポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”なので処理対象とし
210詳細が“$%#097”であり401ルールマスタの404基本シーケンスに同一情報が402ID“1”にあるので、これを記憶し、
212サマリNo.の同一データ“▲1▼”を探すと205Seq#“8”に212サマリNo.に同一データ“▲1▼”を探すことができ、205Seq#“8”の210詳細のデータが“$%#257445y7nco9yw983”なので、402ID“1”の406シーケンス1と比較すると同一データであり、402ID“1”の407シーケンス2にはデータが無く且つ、405一定時間が“3”であり、206日時の差がこの場合“1”で在ったので、205Seq#“7”の211操作をreadと判断し211操作を“read”とし、
213Skipを“FALSE”とし、205Seq#“8”の213Skipを“TRUE”としポインタを1つ進める。
次に、ポインタを1つ進めるが、205Seq#“8”の213Skipが“TRUE”なので処理対象外としポインタを1つ進めるが、データが終了するので本処理を終了し次の処理を実行する。
メモリに展開している204ログ情報テーブル中のFALSE”の物だけを対象とし、501間隔マスタに従い前後一定間隔内の同一211操作212サマリNo.、のデータをまとめ上げ、214回数に同一211操作212サマリNo.、をカウントし回数をセットする。
205Seq#“1”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲1▼”と205Seq#“1”のポインタを記憶し、マッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”であり、212サマリNo.が“▲1▼”であり、211操作がreadなので前記にて記憶したポインタつまり205Seq#“1”のデフォルト値1の214回数に1を加え2としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したので、ポインタに1加え2番目の205Seq#“2”を処理するが、
213Skipは“TRUE”なので何もせずにポインタを1つ進める。
205Seq#“3”の213Skipが“FALSE”211操作が“read”なので
501間隔マスタの502動作を調べると“read”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“read”212サマリNo.“▲2▼”と205Seq#“3”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、
211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“read”212サマリNo.“▲2▼”が存在しなかったので205Seq#“3”の214回数に1をセットする。
ポインタに1加え4番目の205Seq#“4”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲1▼”と205Seq#“4”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処 理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲1▼”が存在しなかったので205Seq#“4”の214回数に1をセットする。
ポインタに1加え5番目の205Seq#“5”の213Skipが“TRUE”なので処理対象外とする。
ポインタに1加え6番目の205Seq#“6”の213Skipが“FALSE”211操作が“write”なので
501間隔マスタの502動作を調べると“write”が有り503間隔は“2”と成っているので前後2秒間を調査する為に、211操作“write”212サマリNo.“▲3▼”と205Seq#“6”のポインタを記憶し、マッチ処理ポインタを2秒前の場所にずらす。本実施例では、206日時から2秒前は204ログ情報テーブルの先頭データとなる。
205Seq#“1”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“2”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“3”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“4”の213Skipは“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“5”の213Skipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“6”は現在処理中のデータなので、マッチ処理ポインタを1つ進める。
205Seq#“7”の213Skipが“FALSE”では有るが、211操作と212サマリNo.がマッチしないので処理対象外としマッチ処理ポインタを1つ進める。
205Seq#“8”のSkipは“TRUE”なので処理対象外としマッチ処理ポインタを1つ進めると
204ログ情報テーブルのデータ全てを処理したが、同一211操作“write”212サマリNo.“▲3▼”が存在しなかったので205Seq#“6”の214回数に1をセットする。
ポインタに1加え205Seq#“7”の213Skipは“TRUE”なので処理対象外としポインタを1つ進める。
ポインタに1加え205Seq#“8”の213Skipは“TRUE”なので処理対象外としポインタを1つ進めると全てのデータを処理したので次の処理を行う。
本項番記載の処理を繰り返す事によって214回数は、図5の下段に記載の204ログ情報テーブルのような状態となる。
コンピュータの動作は人間からの1つの命令に対し複数の動作を行う。ファイルのdeleteを行う時、コンピュータはディスク上に有るインデックス情報を読み取り、その後インデックス情報を消すと言った動作を行う。実際の人間が行った動作だけを記載する為には複数の動作をまとめ上げる必要が有り、601動作マスタに従い204ログ情報テーブルの212サマリNo.毎に211操作をチェックし実際に人間が行った操作を確定する。
205Seq#“2”の213Skipは“TRUE”なのでポインタを1つ進め1つ進め、
205Seq#“3”の212サマリNo.は“▲2▼”なのでポインタを1つ進め、
205Seq#“4”の212サマリNo.は“▲1▼”であり211操作が“write”なので記憶した“read”と“write”の組合せが601動作マスタにマッチするパターンが有るか調査すると、602基本動作“write”の行の603従属動作1と604従属動作2が“read”、“write”と並びマッチするので、“write”を記録する。
ポインタを1つ進め、
205Seq#“5”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“6”の212サマリNo.は“▲3▼”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進め、
205Seq#“7”の213Skipは“TRUE”なのでポインタを1つ進めるとデータが終了するので、205Seq#“1”と205Seq#“4”の組合せは、601動作マスタから“write”と判断し、204ログ情報テーブル(1)の205Seq#“1”の213Skipを“TRUE”に変更する。
本項番の先頭から記載の処理を以降繰り返し図6下段の204ログ情報テーブルのような状態となる。
図6下段の204ログ情報テーブルの先頭から処理し、
213Skipが“FALES”のものだけ206日時、207ユーザ、208サーバ、209対象、214回数を124アクセスログのデータとして出力する。
これにより111ログ情報を1000分の1から2000分の1に圧縮する事ができ、この処理はメモリ上で全て行うために処理速度が格段に速い。
パス3でファイルとして出力した124アクセスログから612ユーザを元に、ユーザの行った行動を、701辞書マスタを利用し自然言語に翻訳する。自然言語にする事により、人間が読めるシステム監査証跡、勤怠管理、日報、週報等に利用可能なレポートが自動作成され、701辞書マスタを変更する事によってどの様な機械が出力するデータでも自然言語に変換が可能となる。
124アクセスログの1行目を読込み、612ユーザ“A”の615操作“logon”をキーとし701辞書マスタを検索し、702操作1に“logon”があり、705日付が“○”、706改行が“○”なので611日時の日付部分と改行コードを126自然言語レポートファイルに出力する。
次に611日時の時間を出力し、701辞書マスタとマッチングした704文章の“{}”で囲まれている部分に該当する情報を当てはめる。
本ケースの場合は、701辞書マスタの702操作1が“logon”の704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、126自然言語レポートファイルに出力する。
次の同一612ユーザ、615操作が“logoff”の場合、読点“、”と改行コードを書き込み、辞書マスタに従いlogoffの処理を行う。
しかし、次の同一612ユーザ“A”の615操作が“read”なので、701辞書マスタの702操作1の“read”を検索し、
701辞書マスタ中に2つのケースがあり、“write”が続くパターンが有るので、124アクセスログに同一612ユーザが“A”で613サーバが“α”で、614対象が“甲”の条件の下211操作が“write”の物を探す。
611日時が“2015/06/24 20:39:49”のデータと“2015/06・24 20:59:05”がマッチするので、
701辞書マスタの702操作1が“read”、703操作2が“write”の704文書の“{対象}”に614対象を当てはめ、124アクセスログの時間と704文章とカンマと改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 20:37:46”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:05:49”と611日時“2015/06/24 21:05:58”に有り、701辞書マスタの702操作1、703操作2が“write”のパターンとマッチするので、704文章の“{対象}”に614対象をはめ込み、704文章とカンマ、改行コードを126自然言語レポートに出力する。
次に、ポインタを611日時“2015/06/24 21:05:49”の次の位置にずらして、612ユーザ“A”の動作を追うと新たなパターンが611日時“2015/06/24 21:10:55”にあり、701辞書マスタの702操作1がlogoffのパターンとマッチするので、
704文章の“{ユーザ}”に対応する612ユーザと“{サーバ}”に対応する613サーバを当てはめて、704文章とカンマ、改行コードを126自然言語レポートに出力する。
126自然言語レポートのように人間が読める内容に出力される為、最初のlogonと最後のlogoffを“YY年MM月DD日 HH時MM分に出勤し、HH時MMに退社した。”と言った勤務表などにも応用する事が可能となる。
本実施例では、電子承認ワークフローシステム等を使用し予め設定されたユーザ毎の利用できるサーバ、対象、権限、申請期間、承認日時、削除日時などの情報と、801アクセスログ(ユーザソート)の803ユーザをキーとして、805対象に対するアクセス権限の妥当性を確認し、127警告レポートの821警告に確認内容を書き込む。
801アクセスログ(ユーザソート)の803ユーザ、804サーバ、805対象をキーとし811アクセスコントロールリストの812ユーザ、813サーバ、814対象とをマッチングさせ816申請期間、817承認日時、818削除日時の情報から812ユーザ“A”は、813サーバ“α”814対象“甲”のアクセス権が818削除日時から2015/06/20に取り消されたことが分かる。
しかし、実際には803ユーザ“A”が802日時”2015/06/21 10:35:40“に804サーバ“α”805対象“甲”を操作からreadしている。
この事実から推測できる事は、
・アクセス権の設定を管理者が間違えている。
・アクセス権を誰かが不正に操作した。
・アクセス管理システムの異常発生。
・ハッキング等の不正アクセスが発生した。
この為、127警告レポートに802日時、803ユーザ、804サーバ、805対象、806操作と821警告に“read権限削除済み”と警告情報を出力する。
この様な不一致が発生した時、“read権限”と具体的な権限違反の警告を表示する事ができる。
本実施例では、過去のアクセス履歴を蓄積し、蓄積したアクセス記録を元に実ファイルのアクセス状況を比較し、管理者が予め設定した指示情報を元に、一定期間以上誰もアクセスしていないファイルが存在した場合、アラームレポートを出力したり、自動的に削除したり、自動的にストレージにバックアップしたりする。
916経過日数が、予め管理者が設定した指示情報の日数を超えている場合、アラームレポートを出力し、管理者の指示により905対象のファイルを自動的に削除したり、ストレージにバックアップしたりする。
本実施例にては、811アクセスコントロールリストの816申請期間を過ぎた日数を指示情報の日数となり、128アクセス履歴の916経過日数が“536”のデータが対象となる。
本実施例では、半期、四半期、毎月等、一定期間内のサーバ内に有るファイルのアクセス頻度を計量し1005比率1やアクセスに伴う処理量を算出し、将来の各サーバの負荷分散を考慮するレポートを出力する。
203ログ情報テーブルの行を全て処理した後に、
1004回数の値を使用し、月、四半期単位にてアクセス比等の統計情報を算出する。
本実施例では1004回数を月単位で全てのサーバの1004回数から百分率にして情報を1005比率1には対象単位、1006比率2にはサーバ単位にセットしている。
この事により、人間が実際に行った操作からのアクセス頻度を知ることができる。
アクセス内容毎の負荷分析により処理内容及びプログラミングの改善を図る事が可能と成る。
Claims (6)
- 対象となるコンピュータ装置群が出力する収集ログ情報を読み取り、
読み取った収集ログ情報を時系列に解析する為に、収集ログ情報から日時、ユーザ、サーバ、対象、詳細を抽出し翻訳に必要な制御情報を付加し、メモリ内のログ情報テーブルに配置する機能を有するマッピング処理装置。 - 前記メモリ内のログ情報テーブルに配置されたログ情報からユーザ、サーバ、対象を前記ログ情報テーブルとは別のメモリ領域上にサマリとして展開し、展開したサマリを使用し、ログ情報の複数行に渡る同一ユーザ、同一サーバ、同一対象の行を一意の集合とし、この集合とルールマスタとを突合せ、ルールマスタにマッチングした場合、ルールマスタに定義されているコンピュータ動作の集約、変換ルールに従い人間が見て解りやすい操作に翻訳する機能を有するパス1処理装置。
- 前記パス1装置により翻訳されたログ情報テーブルから操作記録の日時を使用し、一定時間内に発生した操作記録を判断し、一定時間内にある同一動作をカウントし取りまとめ、複数行になる操作記録を1行の操作記録に変換し有用な操作記録だけを選別する機能を有するパス2処理装置、および
パス2処理装置により、選別したログ情報テーブルを時系列に走査して、同一ユーザ、同一サーバ、同一対象の行について、特定の操作の前後一定時間内に発生した操作に対してプライオリティを付け、プライオリティが低い操作を選別し特定の操作に吸収圧縮させる機能を有するパス3処理装置。 - 前記パス3処理装置により翻訳されたログ情報テーブルから自然言語に翻訳する為の情報を抜き出し辞書マスタに照らし合わせ機械が出力した情報を自然言語に翻訳したレポートを提供し、自然言語話者なら誰でもが理解可能にする事ができ、レポートフォーマットを予め設定する事により自動的に定型フォーマットに沿った人間が読めるシステム監査証跡、勤怠管理、日報、週報等に利用可能なレポートが自動作成され、どの様な機械が出力するデータでも自然言語に変換が可能とする機能を有するパス4処理装置。
- ログ情報テーブルに出力されたユーザ、対象、操作が電子承認ワークフローシステムにより出力されるアクセスコントロールリストに定義された権限の内容と合致しているかを検査し、検査内容が合格していた場合は権限の正当性の証明を行い、検査内容が不合格の場合は権限違反として警告を出力するパス5処理装置、および
アクセスコントロールリストに定義された権限ユーザが、対象ファイルを申請期間内に操作を行っていなかった場合、このユーザの権限有効性の警告を行う機能を有するパス6処理装置。 - 前記パス2装置により翻訳されたログ情報テーブルを入力として、サーバ、対象単位に人間が操作した回数から負荷分散の為の情報を提供する機能を有するパス7処理装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015187392A JP6501159B2 (ja) | 2015-09-04 | 2015-09-04 | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 |
SG11201801619RA SG11201801619RA (en) | 2015-09-04 | 2016-06-17 | Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log |
PCT/JP2016/068740 WO2017038221A1 (ja) | 2015-09-04 | 2016-06-17 | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 |
MYPI2018700792A MY189366A (en) | 2015-09-04 | 2016-06-17 | Device for outputting information for inspection and for analyzing system tendency through analysis and translation of computer operation log |
TW105123384A TWI722001B (zh) | 2015-09-04 | 2016-07-25 | 壓縮、翻譯伺服器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015187392A JP6501159B2 (ja) | 2015-09-04 | 2015-09-04 | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017049962A true JP2017049962A (ja) | 2017-03-09 |
JP6501159B2 JP6501159B2 (ja) | 2019-04-17 |
Family
ID=58188868
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015187392A Active JP6501159B2 (ja) | 2015-09-04 | 2015-09-04 | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 |
Country Status (5)
Country | Link |
---|---|
JP (1) | JP6501159B2 (ja) |
MY (1) | MY189366A (ja) |
SG (1) | SG11201801619RA (ja) |
TW (1) | TWI722001B (ja) |
WO (1) | WO2017038221A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113076296B (zh) * | 2021-03-30 | 2024-06-07 | 咪咕文化科技有限公司 | 日志生成方法、装置、电子设备及存储介质 |
CN113535519B (zh) * | 2021-07-27 | 2024-01-30 | 浪潮软件科技有限公司 | 一种监控告警方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008050560A1 (fr) * | 2006-10-25 | 2008-05-02 | Sharp Kabushiki Kaisha | Serveur de distribution de contenu, serveur de fourniture de contenu, système de distribution de contenu, procédé de distribution de contenu, procédé de fourniture de contenu, dispositif de terminal, programme de commande et support d'enregistrement lisible par ordinateur |
JP2010262491A (ja) * | 2009-05-08 | 2010-11-18 | Hitachi Ltd | ログ集約装置 |
JP2011065397A (ja) * | 2009-09-17 | 2011-03-31 | Nec Corp | 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法 |
JP2012022380A (ja) * | 2010-07-12 | 2012-02-02 | Kddi Corp | ログ抽出システムおよびプログラム |
JP2012208565A (ja) * | 2011-03-29 | 2012-10-25 | Sumitomo Electric System Solutions Co Ltd | ログ管理方法、ログ管理装置、及びプログラム |
JP2013084212A (ja) * | 2011-10-12 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | ログ収集システム、方法及びプログラム |
JP2013152657A (ja) * | 2012-01-26 | 2013-08-08 | Kyocera Document Solutions Inc | ログ変換プログラム、情報処理装置 |
JP2013171542A (ja) * | 2012-02-22 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | 性能分析装置、性能分析方法及び性能分析プログラム |
JP2014106679A (ja) * | 2012-11-27 | 2014-06-09 | Fujitsu Ltd | サンプリングプログラム、サンプリング方法及び情報処理装置 |
JP2015141472A (ja) * | 2014-01-27 | 2015-08-03 | 株式会社東芝 | 情報処理装置及び情報処理プログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101339551B (zh) * | 2007-07-05 | 2013-01-30 | 日电(中国)有限公司 | 自然语言查询需求扩展设备及其方法 |
CN101093509B (zh) * | 2007-07-18 | 2010-06-16 | 中国科学院计算技术研究所 | 一种查询交互系统和方法 |
WO2010141799A2 (en) * | 2009-06-05 | 2010-12-09 | West Services Inc. | Feature engineering and user behavior analysis |
US8776241B2 (en) * | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
US20140120513A1 (en) * | 2012-10-25 | 2014-05-01 | International Business Machines Corporation | Question and Answer System Providing Indications of Information Gaps |
-
2015
- 2015-09-04 JP JP2015187392A patent/JP6501159B2/ja active Active
-
2016
- 2016-06-17 WO PCT/JP2016/068740 patent/WO2017038221A1/ja active Application Filing
- 2016-06-17 SG SG11201801619RA patent/SG11201801619RA/en unknown
- 2016-06-17 MY MYPI2018700792A patent/MY189366A/en unknown
- 2016-07-25 TW TW105123384A patent/TWI722001B/zh active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008050560A1 (fr) * | 2006-10-25 | 2008-05-02 | Sharp Kabushiki Kaisha | Serveur de distribution de contenu, serveur de fourniture de contenu, système de distribution de contenu, procédé de distribution de contenu, procédé de fourniture de contenu, dispositif de terminal, programme de commande et support d'enregistrement lisible par ordinateur |
JP2010262491A (ja) * | 2009-05-08 | 2010-11-18 | Hitachi Ltd | ログ集約装置 |
JP2011065397A (ja) * | 2009-09-17 | 2011-03-31 | Nec Corp | 不正アクセス検出装置、不正アクセス検出プログラム、および、不正アクセス検出方法 |
JP2012022380A (ja) * | 2010-07-12 | 2012-02-02 | Kddi Corp | ログ抽出システムおよびプログラム |
JP2012208565A (ja) * | 2011-03-29 | 2012-10-25 | Sumitomo Electric System Solutions Co Ltd | ログ管理方法、ログ管理装置、及びプログラム |
JP2013084212A (ja) * | 2011-10-12 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | ログ収集システム、方法及びプログラム |
JP2013152657A (ja) * | 2012-01-26 | 2013-08-08 | Kyocera Document Solutions Inc | ログ変換プログラム、情報処理装置 |
JP2013171542A (ja) * | 2012-02-22 | 2013-09-02 | Nippon Telegr & Teleph Corp <Ntt> | 性能分析装置、性能分析方法及び性能分析プログラム |
JP2014106679A (ja) * | 2012-11-27 | 2014-06-09 | Fujitsu Ltd | サンプリングプログラム、サンプリング方法及び情報処理装置 |
JP2015141472A (ja) * | 2014-01-27 | 2015-08-03 | 株式会社東芝 | 情報処理装置及び情報処理プログラム |
Also Published As
Publication number | Publication date |
---|---|
MY189366A (en) | 2022-02-07 |
TW201719474A (zh) | 2017-06-01 |
TWI722001B (zh) | 2021-03-21 |
JP6501159B2 (ja) | 2019-04-17 |
SG11201801619RA (en) | 2018-03-28 |
WO2017038221A1 (ja) | 2017-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hargreaves et al. | An automated timeline reconstruction approach for digital forensic investigations | |
Lu et al. | Insider threat detection with long short-term memory | |
WO2017065070A1 (ja) | 不審行動検知システム、情報処理装置、方法およびプログラム | |
US20120330959A1 (en) | Method and Apparatus for Assessing a Person's Security Risk | |
JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
KR20120044002A (ko) | 인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템 | |
Kim et al. | SoK: A Systematic Review of Insider Threat Detection. | |
McDaniel | Data provenance and security | |
Choi et al. | Forensic recovery of SQL server database: Practical approach | |
KR102509748B1 (ko) | 메타데이터 및 딥러닝 보안제어를 이용한 가명처리 서비스 제공 시스템 | |
US8001237B2 (en) | Remote monitoring of user input devices | |
CN112291261A (zh) | 一种知识图谱驱动的网络安全日志审计分析方法 | |
Kumar Raju et al. | Event correlation in cloud: a forensic perspective | |
Solomon et al. | A knowledge based approach for handling supply chain risk management | |
WO2017038221A1 (ja) | コンピュータ装置の動作記録の解析、翻訳を行い、監査に対する情報の出力及びシステムの傾向分析装置。 | |
CN116662987A (zh) | 业务系统监控方法、装置、计算机设备及存储介质 | |
Genga et al. | Towards a systematic process-aware behavioral analysis for security | |
US8307001B2 (en) | Auditing of curation information | |
AfzaliSeresht et al. | An explainable intelligence model for security event analysis | |
KR101415528B1 (ko) | 분산된 시스템을 위한 데이터 오류 처리 장치 및 방법 | |
Li et al. | Graded security forensics readiness of SCADA systems | |
Mihailescu et al. | Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity | |
CN112346938B (zh) | 操作审计方法、装置及服务器和计算机可读存储介质 | |
Portillo-Dominguez et al. | Towards an efficient log data protection in software systems through data minimization and anonymization | |
Okumura et al. | Constructing a log collecting system using splunk and its application for service support |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170425 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170607 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20171031 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180117 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20180219 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20180406 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190307 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6501159 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |