JP2017098870A - ログ収集システム - Google Patents

ログ収集システム Download PDF

Info

Publication number
JP2017098870A
JP2017098870A JP2015231600A JP2015231600A JP2017098870A JP 2017098870 A JP2017098870 A JP 2017098870A JP 2015231600 A JP2015231600 A JP 2015231600A JP 2015231600 A JP2015231600 A JP 2015231600A JP 2017098870 A JP2017098870 A JP 2017098870A
Authority
JP
Japan
Prior art keywords
log
communication
log collection
collection
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015231600A
Other languages
English (en)
Inventor
雄介 藤原
Yusuke Fujiwara
雄介 藤原
宏樹 内山
Hiroki Uchiyama
宏樹 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015231600A priority Critical patent/JP2017098870A/ja
Publication of JP2017098870A publication Critical patent/JP2017098870A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】通信ログを取得するログ収集装置の効率的な配置のための情報を表示するログ収集システムを提供する。【解決手段】ログ収集システム1000は、ネットワークに接続された複数の制御装置10iと、ネットワークに接続され、複数の制御装置に係る通信ログを収集するログ収集装置20jと、ログ収集装置から通信ログを受信する通信ログ取得部301を有するログ集約装置30と、を有し、ログ集約装置は、複数の制御装置のネットワークに対するインタフェースの数に応じた数のネットワークアドレスが登録された制御装置リストが保存される制御装置リスト記憶部307と、制御装置リスト及び通信ログに基づいて、インタフェースにおける送受信の通信ログが取得されているかどうかを算出し表示するログ取得状況算出表示部302と、を備える。【選択図】図1

Description

本発明は、ログ収集システムに関し、例えば、互いに通信を行う制御装置からなる制御システムに適用して好適なものである。
電力、鉄道、水道、ガスといった社会インフラや自動車で利用される、複数の制御装置からなる制御システムにおいては、例えば、センサの情報をもとにバルブやアクチュエータといった装置を動作させ、あらかじめ設定されている圧力や温度に保ったり、変化させたりすることが要求される。この動作を実現するためには、制御装置内の組込み処理装置において、定期的にセンサからの情報を取得し、状態を確認し、他の制御装置やサーバ等に通知し、必要に応じて制御を行うことが必要となる。このため、制御システムでは周期的に大量の通信が発生し、その通信データをもとに処理を行うことが通例である。
一方、制御システムはこれまで専用OS(Operating System)や専用プロトコルを利用しており、インターネット等の外部ネットワークからアクセスできない領域に孤立した状態で設置されているため、いわゆるコンピュータウィルスやDoS(Denial of Service)攻撃といったサイバー攻撃からは無縁であると考えられてきた。しかしながら、コスト削減のために汎用OSや汎用プロトコルを利用するケースが増加しており、効率向上のために情報系システムとの接続も行われている。また、近年では、制御システムをターゲットとしたコンピュータウィルスが発見されており、制御システムにおいてもインターネット等に接続された情報システムと同様にマルウェア等の感染や外部からの不正アクセスを検知することが求められるようになっている。このような不正アクセスの検知には、まず制御システム内のネットワークにおいて通信ログを取得するログ収集装置を配置し、解析できるようにすることが必要となる。
特許文献1は、不正アクセスを検知し検知関連ログを保存する複数の検知装置、及び各検知装置の負荷状態に応じて検知関連ログを収集することについて開示している。
特開2006−173781号公報
上述のような不正アクセスの検知のためのログ収集装置は、網羅的でかつ重複なく通信ログを取得できるように配置される必要があるが、社会インフラシステム等を構成する制御システムは大規模で、かつ構成が複雑であり、また、運用事業者によって、システム構成の変更や新たな業務フローが追加される場合があるため、必要な設置場所を見つけることは困難であった。
本発明は以上の点を考慮してなされたもので、通信ログを取得するログ収集装置の効率的な配置のための情報を表示するログ収集システム及びログ収集方法を提供しようとするものである。
かかる課題を解決するため本発明のログ収集システムは、ネットワークに接続された複数の制御装置と、前記ネットワークに接続され、前記複数の制御装置に係る通信ログを収集するログ収集装置と、前記ログ収集装置から前記通信ログを受信する通信ログ取得部を有するログ集約装置と、を有し、前記ログ集約装置は、前記複数の制御装置の前記ネットワークに対するインタフェースの数に応じた数のネットワークアドレスが登録された制御装置リストが保存される制御装置リスト記憶部と、前記制御装置リスト及び前記通信ログに基づいて、前記インタフェースにおける送受信の前記通信ログが取得されているかどうかを算出し表示するログ取得状況算出表示部と、を備えることを特徴とするログ収集システムである。
本発明によれば、通信ログを取得するログ収集装置の効率的な配置のための情報を表示することができる。
本実施の形態によるログ収集システムについて概略的に示す図である。 制御装置のハードウェア構成の例を示す図である。 ログ収集装置のハードウェア構成の例を示す図である。 ログ集約装置のハードウェア構成を例示する図である。 複数の制御装置間で互いに制御コマンドを送受信する際に、通信ログを生成・集約する処理の例を示すシーケンス図である。 ログ収集ポリシの構成の例について示す図である。 ログ収集装置で生成される通信ログの構成の例を示す図である。 ログ集約装置に保存される通信ログ群の構成の例について示す図である。 ログ収集システムにおける、ログ取得状況を表示し、ログ収集ポリシを生成する処理の例を示すシーケンス図である。 ログ取得状況算出表示処理について示すフローチャートである。 制御装置リストの構成について例を示す図である。 ログ取得状況画面の例について示す図である。 ログ収集ポリシ生成処理について示すフローチャートである。 収集データ量リストの構成の例について示す図である。 変形例に係るログ収集システムについて概略的に示す図である。 ログ取得状況を表示し、ログ収集装置配置設計を表示し、ログ収集装置の配置変更の後、ログ収集ポリシを変更する処理の例について示すシーケンス図である。 不要ログ収集装置算出処理について示すフローチャートである。 ログ収集装置配置リストの構成の例について示す図である。 追加ログ収集装置算出処理について示すフローチャートである。 通信フローリストの構成の例について示す図である。 装置配置設計表示処理について示すフローチャートである。 装置配置設計画面の例について示す図である。 ログ収集ポリシ生成処理について示すフローチャートである。
以下図面について、本発明の一実施の形態を詳述する。以下の説明において、同様の要素には同一の符号を付し、重複する説明を省略する。
(1) 本実施の形態によるログ収集システムの構成
図1は、本実施の形態によるログ収集システム1000について概略的に示す図である。ログ収集システム1000は、図1に例示するように、制御装置101〜10mと、ログ収集装置201〜20nと、ログ集約装置30と、業務ネットワーク40と、収集ネットワーク50と、から構成されている。ここで、m及びnはそれぞれ自然数であり、以降、制御装置101〜10mの各々については制御装置10iで参照する。ここでiは1〜mのいずれであってもよい。また、ログ収集装置201〜20nの各々についてはログ収集装置20jで参照する。ここでjは1〜nのいずれであってもよく、また以降の説明において符号に付された下付文字jはログ収集装置20jの構成要素の一例であることを意味する。また、図1では、業務ネットワーク40及び収集ネットワーク50を別のネットワークとしているが、同じネットワークであってもよい。制御装置10iは、制御処理を行うと共に、業務ネットワーク40やログ収集装置20j等と通信を行う。なお、図1においては、以降の説明を分かりやすくするため、制御装置102〜10m-1及びログ収集装置202〜20n-1の記載を省略している。
ログ収集装置20jは、いずれかの制御装置10iと通信を行う第一通信部204jと、
通信ログの収集時に利用する収集ネットワーク50を利用して通信を行う第二通信部207jと、通常業務時に利用する業務ネットワーク40を利用して通信を行う第三通信部208jと、第一通信部204jで受信される通信パケットを第三通信部208jから送信し、また第三通信部208jで受信される通信パケットを第一通信部204jから送信するパケット転送部201jと、ログ収集装置20jを通過する通信パケットのうち、通信ログを生成するかどうかの規則であるログ収集ポリシが保存されるログ収集ポリシ記憶部205jと、ログ集約装置30からログ収集ポリシを取得するログ収集ポリシ取得部202jと、ログ収集ポリシに従って通信ログを生成する通信ログ生成部203jと、生成した通信ログを保存する通信ログ記憶部206jと、を有している。なお、ログ収集装置20jは、4つ以上の通信部を保有してもよいし、2つの通信部で業務ネットワーク40は収集ネットワーク50の機能を有することとしてもよい。
ログ集約装置30は、ログ収集装置201〜20nが生成した通信ログを取得する通信ログ取得部301と、収集ネットワーク50と通信を行う通信部305と、各ログ収集装置20jから受信した通信ログを保存する通信ログ群記憶部306と、制御装置101〜10mの業務ネットワーク40に対するインタフェースの数に応じた数のネットワークアドレスが登録された制御装置リストが保存される制御装置リスト記憶部307と、制御装置リスト及び通信ログに基づいて、インタフェースで送受信される通信ログが取得されているかどうかを算出して表示するログ取得状況算出表示部302と、重複した通信ログを抽出する重複ログ抽出部303と、ログ収集装置201〜20nの収集したデータ量が保存される収集データ量リスト記憶部308と、ログ収集装置201〜20nのログ収集ポリシが保存される生成ログ収集ポリシ記憶部309と、重複した通信ログを送信したログ収集装置201〜20nのうち、収集データ量リスト記憶部308において収集データ量が多いログ収集装置20jのログ収集ポリシを、重複した通信ログと同一の送受信情報を有する通信ログを生成しないように変更して生成ログ収集ポリシ記憶部309に保存すると共に、収集データ量が多いログ収集装置に変更されたログ収集ポリシを送信するログ収集ポリシ生成部304と、を有している。
図2は制御装置10iのハードウェア構成の例を示す図である。制御装置10iは、ログ収集装置20j又は業務ネットワーク40と通信を行う通信装置11と、マウス、キーボード及び表示装置等の入出力装置12と、ハードディスク等からなる記憶装置13と、CPU(Central Processing Unit)14と、RAM(Random Access Memory)等からなるメモリ15と、がバスなどの内部通信線16で連結され、構成されている。
図3はログ収集装置20jのハードウェア構成の例を示す図である。ログ収集装置20jは、上述した第一通信部204j、第二通信部207j及び第三通信部208jの機能を有するそれぞれのハードウェアと、ハードディスク等からなる記憶装置22と、マウス、キーボード及び表示装置等の入出力装置23と、CPU(Central Processing Unit)24と、RAM(Random Access Memory)等からなるメモリ25とが、バスなどの内部通信線26で連結され、構成されている。なお、上述したように、ログ収集装置20jは、4つ以上の通信部を保有してもよいし、2つの通信部で業務ネットワーク40は収集ネットワーク50の機能を有することとしてもよい。
図4はログ集約装置30のハードウェア構成を例示する図である。ログ集約装置30は、上述の通信部305の機能を有するハードウェアと、マウス、キーボード及び表示装置等の入出力装置32と、ハードディスク等からなる記憶装置33と、CPU(Central Processing Unit)34と、RAM(Random Access Memory)等からなるメモリ35と、CD−ROM等の記憶媒体37を読み込む読取装置36がバスなどの内部通信線38で連結され、構成されている。
(2) 通信ログの集約処理
本実施の形態のログ収集システム1000における通信ログの集約処理について説明する。以下に述べる処理フローは、制御装置10i、ログ収集装置20j及びログ集約装置30のそれぞれにおいて、それぞれの記憶装置に保存されたプログラムがメモリにロードされ、CPUにより実行されることにより、ログ収集システムを構成する装置上に具現化される各処理部により実行されるものである。また、各プログラムは予め記憶装置等に保存されてもよいし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されてもよい。
図5は、本実施の形態におけるログ収集システム1000において、複数の制御装置10i間で互いに制御コマンドを送受信する際に、通信ログを生成・集約する処理の例を示すシーケンス図である。ここでは例示的に、制御装置101及び制御装置10m間で制御コマンドが送受信される際における、これらの間に配置されたログ収集装置201及びログ収集装置20nの処理、並びにログ集約装置30の処理について説明する。
このシーケンス図に示されるように、制御装置101は、まず、制御コマンドを生成し(S501)、生成した制御コマンドA501をログ収集装置201及び20nを経由して制御装置10mに送信する。ここで制御コマンドとは、制御装置10i間で送受信されるデータであり、制御装置10iの動作変更等を指示するものである。次に、制御装置10mは受信した制御コマンドA501に応じて動作変更等を行って制御業務を行う(S502)。
ログ収集装置201においては、パケット転送部2011により上述の制御コマンドA501の転送処理が行われると、通信ログ生成部2031が、ログ収集装置201のログ収集ポリシ記憶部2051からログ収集ポリシを取得し(S503)、取得したログ収集ポリシに基づいて、転送した制御コマンドA501についての通信ログを生成するかどうかを判断する(S504)。通信ログを生成しないと判断した場合には処理を終了する(S505)。一方、通信ログを生成すると判断した場合には、通信ログを生成し(S506)、生成した通信ログA502をログ集約装置30に送信する。ここで、生成した通信ログの送信を一時的に通信ログ記憶部2061に保存し、制御コマンドの送受信が行われていないタイミングや所定の周期で送信することとしてもよい。ログ集約装置30の通信ログ取得部301は、ログ収集装置201から通信ログA502を受信すると、通信ログ群記憶部306に保存する(S511)。
一方、ログ収集装置20nにおいても、パケット転送部201nにより上述の制御コマンドA501の転送処理が行われているため、通信ログ生成部203nは、ログ収集装置20nのログ収集ポリシ記憶部205nからログ収集ポリシを取得し(S507)、取得したログ収集ポリシに基づいて、転送した制御コマンドA501についての通信ログを生成するかどうかを判断する(S508)。通信ログを生成しないと判断した場合には処理を終了する(S509)。一方、通信ログを生成すると判断した場合には、通信ログを生成し(S510)、生成した通信ログA503をログ集約装置30に送信する。ここで、生成した通信ログの送信を一時的に通信ログ記憶部206nに保存し、制御コマンドの送受信が行われていないタイミングや所定の周期で送信することとしてもよい。ログ集約装置30の通信ログ取得部301は、ログ収集装置20nから受信した通信ログA503を通信ログ群記憶部306に保存する(S512)。
図6は、ログ収集ポリシの構成の例を示す図である。この図に示されるように、ログ収集ポリシは、例えばフォーマットA801に示されるように、通信ログを作成するかどうかを示す収集フラグA802と、通信パケットの送信元を例えばIP(Internet Protocol)アドレス等で示す送信元A803と、通信パケットの送信先を例えばIPアドレス等で示される送信先A804と、通信パケットで使用されたプロトコルを示すプロトコルA805と、例えばTCP(Transmission Control Protocol)のポート番号等、通信パケットで使用されたポート番号A806とから構成される。ここで、収集フラグには収集を行うフラグと収集を行わないフラグのいずれも保存できることとしてもよいし、特定される通信パケットについて通信ログを作成しない、及び作成する、のいずれかのみが定められるものであってもよい。なお、ログ収集ポリシの構成要素はフォーマットA801に限定されるものではない。また、ログ収集ポリシの構成要素の順序についても、このフォーマットA801に示された順序に限定されるものではない。
図7は、ログ収集装置20jで生成される通信ログの構成の例を示す図である。この図に示されるように、通信ログのフォーマットA901は、通信パケットを受信した日時A902と、例えばIPアドレス等で示される通信パケットの送信元A903と、例えばIPアドレス等で示される通信パケットの送信先A904と、通信パケットのプロトコルA905と、例えばTCPのポート番号等である通信パケットのポート番号A906と、サイズ、ID(Identification)、シーケンス番号、不正なパケットの可能性がある旨等の通信パケット毎の固有情報A907から構成される。ここで、通信パケット毎の固有情報はプロトコルやポート番号に応じて変化するものである。なお、通信ログの構成要素はフォーマットA901に限定されるものではない。また、通信ログの構成要素の順序も、このフォーマットA901に限定されるものではない。
図8は、ログ集約装置30に保存される通信ログ群の構成の例について示す図である。この図に示されるように、通信ログ群のフォーマットA1001は、システム内に存在するログ収集装置の識別情報を示す収集装置ID(A1002)と、図7で示した通信ログのフォーマットA901が逐次追加される通信ログ領域A1003から構成される。なお、通信ログ群構成要素はフォーマットA1001に限定されるものではない。また、通信ログ群の構成要素の順序もフォーマットA1001に限定されるものではない。
(3) ログ取得状況の表示処理、及びログ収集ポリシの生成処理
図9は、ログ収集システム1000における、ログ取得状況を表示し、ログ収集ポリシを生成する処理の例を示すシーケンス図である。この図に示されるように、ログ取得状況を表示し、ログ収集ポリシを生成する処理では、まず、ログ集約装置30のログ取得状況算出表示部302が、ログ取得状況算出表示処理S610を行う。
図10は、ログ取得状況算出表示処理S610について示すフローチャートである。この図に示されるように、ログ取得状況算出表示処理S610では、まず、ログ取得状況算出表示部302が、制御装置リスト記憶部307から制御装置リストを取得する(S611)。制御装置リストの構成は、例えば図11のフォーマットA1101に示されており、システム内に存在する制御装置101〜10mの識別情報を示す制御装置ID(A1102)と、制御装置10iが保有するネットワークI/F名A1103と、制御装置10iの各ネットワークI/Fに割り当てられているIPアドレスA1104とサブネットマスクA1105から構成される。なお、制御装置リストの構成要素はフォーマットA1101に限定されるものではないが、ネットワークの通信ログから制御装置10iが特定できる情報が含まれていることが好ましい。また、制御装置リストの構成要素の順序はフォーマットA1101に限定されるものではない。
図10に戻り、ログ取得状況算出表示部302は、制御装置リストを取得すると、ログ取得状況テーブルを作成する。ログ取得状況テーブルは、例えば、後述する図12のログ取得状況画面A701におけるログ取得状況リストA703の構成であり、ログ取得状況算出表示部302は、まず、取得した制御装置リストA1101に基づいて、制御装置ID(A704)、ネットワークI/F(A705)及びIPアドレスの欄が入力されたログ取得状況テーブルを作成する(S612)。引き続き、ログ取得状況テーブルの「ログ取得状況」の欄に、初期値として、ログを取得できていないことを意味する×(「No」)を書き込んで保存する(S613)。
次にログ取得状況算出表示部302は、収集装置IDを指定して通信ログ群記憶部306から指定された収集装置IDに係るログ収集装置20jの通信ログ群を取得する(S615)。取得した通信ログ群から通信ログが取得されているIPアドレスについてログ取得状況テーブルのログ取得状況の欄に、ログを取得できていることを意味する○(「Yes」)を書き込んで保存する(S616)。S615及びS616の処理をすべての収集装置IDについて繰り返し行う(S614)。すべての収集装置IDについて終了すると、ログ取得状況算出表示部302は、表示装置にログ取得状況画面A701の表示を行う(S617)。
図12は、ログ取得状況画面A701の例について示す図である。この画面では、ログ取得状況マップA702とログ取得状況リストA703との2種類の形式でログ取得状況が示されているが、いずれか1種類であっても他の形式での表示であってもよい。ログ取得状況マップA702は、制御装置リスト記憶部307に保存されている制御装置リストから、各ネットワークと、それぞれのネットワークに接続される制御装置10iが有するネットワークI/Fを含めて図示したものである。また、ログを取得しているI/Fには収集できていることを示す記号(例えば○)を、ログを取得していないインタフェースには収集できていないことを示す記号(例えば×)を示している。ログ取得状況リストA703は、制御装置ID(A704)、ネットワークI/F(A705)、IPアドレスA706、ログ取得状況A707から構成されており、ログ取得状況マップA702と同様の情報をリスト化して表示している。これによりシステム管理者は、容易にログ収集装置20jの撤去すべき位置及び追加すべき位置を把握することができる。したがって、本実施の形態のログ収集システム1000によれば、ログ収集装置20jの効率的な配置のための情報を表示することができる。
図9に戻り、ログ取得状況算出表示処理S610が終了すると、ログ収集ポリシ生成処理S630に移行する。本実施の形態においては、ログ収集ポリシ生成処理S630に移行することとしているが、ログ収集ポリシ生成の必要のない場合には、ログ取得状況画面A701の表示の段階において終了することとしてもよい。
図13は、ログ収集ポリシ生成処理S630について示すフローチャートである。この図に示されるように、ログ収集ポリシ生成処理S630では、まず、重複ログ抽出部303が、取得した通信ログの重複を抽出する(S631)。ここで、通信ログの重複とは通信ログ群記憶部306に保存されている通信ログの中で、受信日時以外の項目が同一である通信ログを意味する。しかしながら、通信ログの重複には、少なくとも送信元及び送信先の両方が同一、送信元及び送信先のいずれかが同一である等その他の基準を用いることができる。
次に、ログ収集ポリシ生成部304が、収集データ量リスト記憶部308から、重複した通信ログを取得しているログ収集装置20jにおいて収集している通信ログの量を示す収集データ量リストを取得する(S632)。収集データ量リストの構成は、例えば図14のフォーマットA1201で示されており、ログ収集装置20jの識別情報を示す収集装置ID(A1202)と、ログ収集装置20jで収集している通信ログのデータ量A1203から構成されている。収集装置ID(A1202)には、ログ収集システム1000で用いられている識別子の他IPアドレス等収集装置を識別できるものを用いることができる。データ量A1203には、データサイズ(byte等)の他パケット数等を用いることができる。ここで、収集データ量リストの構成要素は、フォーマットA1201に限定されるものではなく、少なくとも収集データ量が含まれるものであればよく、また、構成要素の順序は上記に限定されるものでもない。また、本実施の形態においては、収集データ量リストを用いることとしたが、収集データ量リストを用いずに、通信ログ群のデータサイズを取得する等他の手段によりログ収集装置20jの取得データ量を取得することとしてもよい。
図13に戻り、ログ収集ポリシ生成部304は、重複通信ログが作成されないようにログ収集ポリシを作成し(S633)、ログ収集ポリシ生成処理S630を終了する。この際に、重複通信ログを取得している複数のログ収集装置20jに係る複数の収集データ量リストのうち、収集データ量が多いログ収集装置20jに対して、重複通信ログと同じ送受信アドレスの通信ログを取得しないログ収集ポリシを作成するとすることができる。しかしながら、の収集している通信ログの量に関わらず、重複通信ログが作成されないようにログ収集ポリシを作成するものであればよい。また他の基準を用いて、重複通信ログを作成しないログ収集装置20jを定めることとしてもよい。
図9に戻り、ログ収集ポリシ生成処理S630が終了すると、ログ収集ポリシ生成部304は、作成されたログ収集ポリシに係るログ収集装置20jに、ログ収集ポリシを送信する。図9では、ログ収集装置201及び20nに対してログ収集ポリシを送信する例について示している。ログ収集装置201及び20nに対して、それぞれに対応するログ収集ポリシA6011及びA601nが送信されると、それぞれのログ収集装置201及び20nのログ収集ポリシ取得部2021及び202nが、それぞれのログ収集ポリシA6011及びA601nを取得し、それぞれログ収集ポリシ記憶部2051及び205nに保存する(S651,S653)。その後、ログ収集ポリシ取得部2021及び202nは、保存結果を示すレスポンスA6021及びA602nをログ集約装置30に送信し、レスポンスA6021及びA602nを受信したログ収集装置201及び20nは、それぞれ収集データリストの収集データ量を更新する(S652,S654)。図9では、ログ収集装置201及び20nの例について示したが、これら以外のログ収集装置20jに、それぞれ対応するログ収集ポリシが送信される場合であっても同様の処理が行われる。
以上説明したように、本実施の形態によれば、ログ収集装置20jの効率的な配置のための情報を表示することができる。また、ログ収集ポリシ生成処理S630においては、複数のログ収集装置20jから受信した通信ログに重複が存在する場合、いずれか1つのログ収集装置20jにおいてログを収集することとしているため、ネットワーク負荷や取得後の処理の負荷の低減を図ることができる。また、更に、収集データ量が多いログ収集装置20jに対して、重複する通信ログを取得しないログ収集ポリシを作成することとしてもよく、この場合には更にログ収集装置20jの負荷を均等化させることができる。
なお、ログ収集ポリシ生成処理S630は通信ログを集約する毎に実行してもよいし、ある一定量の通信ログが集約されたタイミングで実行してもよいし、ある一定間隔毎に実行してもよいし、特に試運転等の特殊なタイミングで実行する等その他のタイミングで実行することができる。
(4) 変形例に係るログ収集システムの構成
図15は、上述の実施形態の変形例に係るログ収集システム2000について概略的に示す図である。この図に例示されるように、ログ収集システム2000の構成は、図1のログ収集システム1000と同様に、制御装置101〜10mと、ログ収集装置201〜20nと、ログ集約装置30と、業務ネットワーク40と、収集ネットワーク50と、から構成されている。ここで、m及びnはそれぞれ自然数であり、以降、制御装置101〜10mの各々については制御装置10iで参照する。ここでiは1〜mのいずれであってもよい。また、ログ収集装置201〜20nの各々についてはログ収集装置20jで参照する。ここでjは1〜nのいずれであってもよく、また以降の説明において符号に付された下付文字jはログ収集装置20jの構成要素の一例であることを意味する。また、図15では、業務ネットワーク40及び収集ネットワーク50を別のネットワークとしているが、同じネットワークであってもよい。制御装置10iは、制御処理を行うと共に、業務ネットワーク40やログ収集装置20j等と通信を行う。
制御装置101〜10mおよびログ収集装置201〜20nの構成要素は図1と同様であるため重複する説明は省略する。ログ集約装置30は、図1で示した構成の他、ログ収集装置の配置の変更について設計し表示する装置配置設計表示部310と、業務ネットワーク40を用いて制御装置10i間で実行される通信フローの一覧を保存する通信フローリスト記憶部311と、システム内に設置しているログ収集装置20jの配置情報を保存するログ収集装置配置リスト記憶部312と、を有している。
(5) ログ収集装置配置設計表示処理等
図16は、本変形例に係るログ収集システム2000において、ログ取得状況を表示し、ログ収集装置配置設計を表示し、ログ収集装置20jの配置変更の後、ログ収集ポリシを変更する処理の例について示すシーケンス図である。この図に示されるように、ログ取得状況を表示し、ログ収集装置配置設計を表示し、ログ収集装置20jの配置変更の後、ログ収集ポリシを変更する処理では、まず、ログ集約装置30のログ取得状況算出表示部302が、前述の実施の形態と同様のログ取得状況算出表示処理S610(図10参照)において、図12のログ取得状況画面A701と同様の表示及び表示された情報の保存を行う。引き続き、不要ログ収集装置算出処理S730に移行する。
図17は、不要ログ収集装置算出処理S730について示すフローチャートである。この図に示されるように、不要ログ収集装置算出処理S730では、まず、重複ログ抽出部303が、取得した通信ログの重複を抽出する(S731)。ここで、ログの重複とは通信ログ群記憶部306に保存されている通信ログの中で、受信日時以外の項目が同一である通信ログを意味することとするが、これ以外の基準を用いてもよい。
次に、装置配置設計表示部310が、重複通信ログを収集するログ収集装置20jの一覧を作成し(S732)、一覧に記載されたログ収集装置20jについて、通信ログ群記憶部306から通信ログ群を取得し、収集している通信ログがすべて重複するかどうかを判定する(S734)。すべて重複しない場合には、ループ終了判定S733に移行し、すべて重複する場合には、そのログ収集装置が撤去された場合に収集できない通信ログが発生するかどうかについて判定する(S735)。ここで収集できない通信ログが発生する場合には、ループ終了判定S733に移行し、収集できないログが発生しない場合には、ログ収集装置配置リストの対応するログ収集装置20jの不要フラグの欄に不要フラグを立てる(S736)。ログ収集装置配置リストについては後述する。ループ終了判定S732では、一覧に記載されたすべてのログ収集装置について終了したかどうかが判定され、終了していない場合には一覧の次のログ収集装置20jについてステップS734〜S736を行い、終了している場合には、不要ログ収集装置算出処理S730を終了する。
図18は、ログ集約装置30に保存されるログ収集装置配置リストの構成の例について示す図である。この図に示されるように、ログ収集装置配置リストのフォーマットA1701は、ログ収集装置20jを識別する情報を示す収集装置ID(A1702)と、システム内の制御装置10iを識別する情報を示す制御装置ID(A1703)と、ログ収集装置20jが接続されている制御装置10iのネットワークI/F(A1704)と、当該ログ収集装置20jの設置が不要である事を意味する不要フラグA1705と、新たに追加が必要である事を意味する追加フラグA1706とから構成される。ここで、ログ収集装置配置リストの構成要素は、このフォーマットA1701に限定されるものではない。また、ログ収集装置配置リストの構成要素の順序は上記に限定されるものではない。
図16に戻り、不要ログ収集装置算出処理S730が終了すると、追加ログ収集装置算出処理S750に移行する。図19は、追加ログ収集装置算出処理S750について示すフローチャートである。この図に示されるように、追加ログ収集装置算出処理S750では、まず、通信フローリスト記憶部311に保存されている通信フローリストを取得する(S751)。通信フローリストの構成については図20に記載する。次に、ログ取得状況算出表示部302により算出されたログ取得状況リストA703から、ログ取得状況が×(「No」)である制御装置のネットワークI/Fの一覧を作成する(S752)。この一覧に記載されたネットワークI/FのIPアドレスが、通信フローリストの送信元及び送信先のいずれかに含まれる場合には、ログ取得状況の欄に×(「No」)を書き込む(S755)。一覧に記載されたすべてのネットワークI/Fについて処理を繰り返し(S753)、すべてのネットワークI/Fについて処理を終了すると、ステップS756に移行し、ログ取得状況A1607が×(「No」)である業務のログを収集するためのログ収集装置の追加位置を1つ算出する(S756)。ここで1つのログ収集装置で出来る限り多くの業務のログが収集できる事が望ましいため、ログ取得状況A1607が×(「No」)である業務の送信元A1603または送信先A1604に最も多く含まれるIPアドレスを追加するべき位置としてもよい。最後に、ログ収集装置配置リストに、追加する収集装置IDについて、追加フラグを立てて追加し(S757)、追加ログ収集装置算出処理S750を終了する。
図20は、ログ集約装置30に保存される通信フローリストの構成の例について示す図である。この図に示されるように、通信フローリストのフォーマットA1601は、業務を識別する情報を示す業務ID(A1602)と、通信パケットの送信元A1603と、通信パケットの送信先A1604と、通信パケットのプロトコルA1605と、通信パケットのポート番号A1606とログ取得状況A1607とから構成される。ここで、通信フローリストの構成要素はこのフォーマットA1601に限定されるものではない。また、通信フローリストの構成要素の順序はフォーマットA1601に限定されるものではない。
図16に戻り、追加ログ収集装置算出処理S750が終了すると、装置配置設計表示処理S770に移行する。図21は、装置配置設計表示処理S770について示すフローチャートである。この図に示されるように、装置配置設計表示処理S770では、まず、装置配置設計表示部310が、ログ収集装置配置リスト記憶部312に保存されたログ収集装置配置リストを取得し(S771)、装置配置設計画面A1501を表示する(S772)。
図22は、ログ集約装置30の装置配置設計表示部310が入出力装置32に表示する装置配置設計画面A1501の例を示した図である。この図に示されるように、装置配置設計画面A1501は、装置配置設計マップA1502を有している。装置配置設計マップA1502は、制御装置リスト記憶部307に保存されている制御装置リストから、同一ネットワークに含まれる制御装置10iを保有するネットワークI/F(例えば「eth0」)を含めて図示し、ログ収集装置配置リスト記憶部312に保存されているログ収集装置20jの配置情報に基づいて、システム内のログ収集装置20jの配置情報を示したものである。また、現在配置しているログ収集装置20jのうち、不要であるものには不要であることを示す情報A1503を付与し、新たに追加すべきものには追加が必要であることを示す情報A1504を付与しているため、追加すべきログ収集装置20j、及び撤去すべきログ収集装置20jについて容易に把握することができる。
図16に戻り、装置配置設計表示処理S770が終了すると、システム管理者は、入出力装置の表示画面に表示された装置配置設計マップA1502に従って、ログ収集装置20jの配置を変更し(S791)、ログ収集装置配置リスト記憶部312に保存されているログ収集装置配置リストの不要フラグのセットされた収集装置IDのレコードを削除し、追加フラグのセットされたレコードについては追加フラグの欄をリセットして、ログ収集装置配置リストを更新する(S792)。その後、ログ収集ポリシ生成処理S780に移行する。
図23は、ログ収集ポリシ生成処理S780について示すフローチャートである。この図に示されるように、ログ収集ポリシ生成処理S780では、まず、ログ収集ポリシ生成部304が、ログ収集装置配置リスト記憶部312からログ収集装置配置リストを取得し(S781)、ログ収集装置配置リストに基づいて、重複通信ログが取得されるログ収集装置20jを抽出する(S782)。次に重複通信ログが取得されるログ収集装置20jの収集データ量リストを取得し(S783)、重複する通信ログが作成されてないようにログ収集ポリシを作成する(S784)。この際に、収集データ量リストで収集データ量が多いログ収集装置に対して、重複通信ログと同じ送受信アドレスの通信ログを取得しないログ収集ポリシを作成することとしてもよい。
ログ収集ポリシ生成処理S780が終了すると、ログ収集ポリシ生成部304は、作成されたログ収集ポリシに係るログ収集装置20jに、ログ収集ポリシを送信する。図16では、ログ収集装置201及び20nの例について示されている。ログ収集装置201及び20nに対して、それぞれに対応するログ収集ポリシA14011及びA1401nが送信されると、それぞれのログ収集装置201及び20nのログ収集ポリシ取得部2021及び202nが、それぞれのログ収集ポリシA14011及びA1401nを取得し、それぞれログ収集ポリシ記憶部2051及び205nに保存する(S795,S797)。その後、ログ収集ポリシ取得部2021及び202nは、保存結果を示すレスポンスA14021及びA1402nをログ集約装置30に送信し、レスポンスA14021及びA1402nを受信したログ収集装置201及び20nは、それぞれ収集データリストの収集データ量を更新する(S796、S798)。以上、ログ収集装置201及び20nの例について示したが、これら以外のログ収集装置20jに、それぞれ対応するログ収集ポリシが送信される場合であっても同様の処理が行われる。
ここで、新規で追加したログ収集装置20jについては、ログ収集ポリシを生成しないこととしてもよい。この場合には、全通信ログを収集して、通信ログの収集後、ログ収集ポリシの生成処理を行うこととすることができる。
これらの構成、手順およびデータ構造を実現することにより、制御システム内の通信ログを効率的に収集することが可能となる。なお、本発明は、上記の実施形態に限定されるものではなく、その要旨の範囲内で様々な変形が可能である。たとえば、制御装置内にログ収集装置が含まれている場合や、業務ネットワークと収集ネットワークが同一のネットワークである場合や、制御装置やログ集約装置にネットワークとの通信機能が含まれておらず、別の装置を経由してネットワークと通信を行う場合などである。該実施形態の場合においてもシステム全体において行う処理に本質的な変化はない。
(6) 本実施の形態の効果
本実施の形態におけるログ収集システムは、ネットワーク40で接続された複数の制御装置10iと、ネットワーク40に接続され、複数の制御装置10iに係る通信ログを収集するログ収集装置20jと、ログ収集装置20jから通信ログを受信する通信ログ取得部301を有するログ集約装置30と、を有し、ログ集約装置30は、複数の制御装置のネットワーク40に対するインタフェースの数に応じた数のネットワークアドレスが登録された制御装置リストが保存される制御装置リスト記憶部307と、制御装置リスト及び通信ログに基づいて、インタフェースにおける送受信の通信ログが取得されているかどうかを算出し表示するログ取得状況算出表示部302と、を備える。したがって、通信ログを取得するログ収集装置の効率的な配置のための情報を表示することができる。
また、複数の制御装置10iのうちのいずれかの制御装置10iは、複数のネットワークと接続され、ログ取得状況算出表示部302は、複数のネットワーク及び複数のネットワークのそれぞれに接続されるインタフェースと共に表示することとしてもよく、この場合には、管理者はいずれのインタフェースでログが取得できていないか把握することができる。しかしながら、複数のネットワークについて表示しない構成であってもよい。
また、ログ収集装置20jは、ログ収集装置20jを通過する通信のうち、通信ログを生成するかどうかの規則であるログ収集ポリシが保存されるログ収集ポリシ記憶部205jと、ログ収集ポリシに基づいて通信ログを生成することを決定した通信について、通信ログを生成する通信ログ生成部203jとを更に有していてもよい。これにより通信ログを必要としない通信や重複する通信について通信ログを作成しないこととできるため、ネットワークのトラフィックを抑制することができる。しかしながら、本発明において、すべての通信ログを生成することとし、ログ収集ポリシを有さないものであってもよい。
また、ログ集約装置30は、重複した通信ログを抽出する重複ログ抽出部303と、重複ログ抽出部303が抽出した重複した通信ログを送信した複数のログ収集装置20jのうちのいずれか対して、重複した通信ログの少なくとも送信先及び受信先を有する通信について通信ログを収集しないというログ収集ポリシを生成して送信するログ収集ポリシ生成部304とを更に有することができる。この場合には、重複した通信ログを生成及び収集しないため、ネットワークのトラフィックを抑制することができる。
また、ログ集約装置30は、ログ収集装置20jの収集したデータ量が保存される収集データ量リスト記憶部308を更に有し、ログ収集ポリシ生成部304は、重複した通信ログを送信した複数のログ収集装置20jのうち、収集データ量リスト記憶部308において収集データ量が多いログ収集装置20jに対して、通信ログを収集しないというログ収集ポリシを生成して送信することとしてもよい。この場合には、通信ログの生成負荷の高いログ収集装置20jに対して、通信ログの生成負荷を軽減させることができるため、ログ収集装置20jの能力を変化させないまま、ログ収集システムとしてより多くの通信ログを取得することができる。
また、ログ集約装置30は、ログ収集装置20jのそれぞれ通信ログである通信ログ群を保存する通信ログ群記憶部306と、通信ログ群の内容に基づいて、ログ収集装置20jを撤去すべき位置を表示する装置配置設計表示部310とを更に有していてもよい。この場合には、管理者は、撤去すべきログ収集装置を容易に把握することができる。しかしながら、ログ収集装置20jを撤去すべき位置を表示することなく、ログ取得状況算出表示部302が、インタフェースにおける送受信の通信ログが取得されているかどうかを算出し表示するのみであってもよい。また、ログ集約装置30は、少なくとも通信の送信元、送信先及びログ取得状況を有する通信フローリストが保存される通信フローリスト記憶部311を更に有し、装置配置設計表示部310は、通信フローリスト及びログ取得状況算出表示部302の算出結果に基づいて、ログ収集装置20jを追加すべき位置を表示してもよい。この場合には、管理者は、追加すべきログ収集装置の位置を容易に把握することができる。また、追加すべき位置は、ログ取得状況において、通信ログが取得されていない送信元又は送信先を最も多く含むインタフェースの位置であることとすることができ、この場合には、より少ないログ収集装置20jの追加で多くの種類の通信ログを取得することができる。しかしながら、ログ収集装置20jを撤去すべき位置又は追加すべき位置を表示することなく、ログ取得状況算出表示部302が、インタフェースにおける送受信の通信ログが取得されているかどうかを算出し表示するのみであってもよい。
本発明は、互いに通信を行う制御装置からなる制御システムに適用することができる。
1000 ログ収集システム
2000 ログ収集システム
10i 制御装置
20j ログ収集装置
30 ログ集約装置
40 業務ネットワーク
50 収集ネットワーク
201j パケット転送部
202j ログ収集ポリシ取得部
203j 通信ログ生成部
204j 第一通信部
205j ログ収集ポリシ記憶部
206j 通信ログ記憶部
207j 第二通信部
208j 第三通信部
301 通信ログ取得部
302 ログ取得状況算出表示部
303 重複ログ抽出部
304 ログ収集ポリシ生成部
305 通信部
306 通信ログ群記憶部
307 制御装置リスト記憶部
308 収集データ量リスト記憶部
309 生成ログ収集ポリシ記憶部
310 装置配置設計表示部
311 通信フローリスト記憶部
312 ログ収集装置配置リスト記憶部

Claims (8)

  1. ネットワークに接続された複数の制御装置と、
    前記ネットワークに接続され、前記複数の制御装置に係る通信ログを収集するログ収集装置と、
    前記ログ収集装置から前記通信ログを受信する通信ログ取得部を有するログ集約装置と、を有し、
    前記ログ集約装置は、
    前記複数の制御装置の前記ネットワークに対するインタフェースの数に応じた数のネットワークアドレスが登録された制御装置リストが保存される制御装置リスト記憶部と、
    前記制御装置リスト及び前記通信ログに基づいて、前記インタフェースにおける送受信の前記通信ログが取得されているかどうかを算出し表示するログ取得状況算出表示部と、を備える
    ことを特徴とするログ収集システム。
  2. 請求項1に記載のログ収集システムにおいて、
    前記複数の制御装置のうちのいずれかの制御装置は、複数の前記ネットワークと接続され、
    前記ログ取得状況算出表示部は、前記複数のネットワーク及び前記複数のネットワークのそれぞれに接続されるインタフェースと共に表示する
    ことを特徴とするログ収集システム。
  3. 請求項1又は2に記載のログ収集システムにおいて、
    前記ログ収集装置は、
    前記ログ収集装置を通過する通信のうち、前記通信ログを生成するかどうかの規則であるログ収集ポリシが保存されるログ収集ポリシ記憶部と、
    前記ログ収集ポリシに基づいて前記通信ログを生成することを決定した前記通信について、前記通信ログを生成する通信ログ生成部と、を備える
    ことを特徴とするログ収集システム。
  4. 請求項3に記載のログ収集システムにおいて、
    前記ログ集約装置は、
    重複した前記通信ログを抽出する重複ログ抽出部と、
    前記重複ログ抽出部が抽出した前記重複した通信ログを送信した複数のログ収集装置のうちのいずれか対して、前記重複した通信ログの少なくとも送信先及び受信先を有する前記通信について前記通信ログを収集しないという前記ログ収集ポリシを生成して送信するログ収集ポリシ生成部と、を更に備える
    ことを特徴とするログ収集システム。
  5. 請求項4に記載のログ収集システムにおいて、
    前記ログ集約装置は、前記ログ収集装置の収集したデータ量が保存される収集データ量リスト記憶部を更に備え、
    前記ログ収集ポリシ生成部は、前記重複した通信ログを送信した複数のログ収集装置のうち、前記収集データ量リスト記憶部において収集データ量が多い前記ログ収集装置に対して、前記通信ログを収集しないという前記ログ収集ポリシを生成して送信する
    ことを特徴とするログ収集システム。
  6. 請求項1乃至5のいずれか一項に記載のログ収集システムにおいて、
    前記ログ集約装置は、
    少なくとも送信元、送信先及びログ取得状況を有する通信フローリストが保存される通信フローリスト記憶部と、
    前記通信フローリスト及び前記ログ取得状況算出表示部の算出結果に基づいて、前記ログ収集装置を追加すべき位置を表示する装置配置設計表示部と、を更に備える
    ことを特徴とするログ収集システム。
  7. 請求項6に記載のログ収集システムにおいて、
    前記ログ集約装置は、前記ログ収集装置のそれぞれ前記通信ログである通信ログ群を保存する通信ログ群記憶部を更に備え、
    前記装置配置設計表示部は、前記通信ログ群の内容に基づいて、前記ログ収集装置を撤去すべき位置を表示する
    ことを特徴とするログ収集システム。
  8. 請求項7に記載のログ収集システムにおいて、
    前記追加すべき位置は、前記ログ取得状況において、前記通信ログが取得されていない送信元又は送信先を最も多く含む前記インタフェースの位置である
    ことを特徴とするログ収集システム。
JP2015231600A 2015-11-27 2015-11-27 ログ収集システム Pending JP2017098870A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015231600A JP2017098870A (ja) 2015-11-27 2015-11-27 ログ収集システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015231600A JP2017098870A (ja) 2015-11-27 2015-11-27 ログ収集システム

Publications (1)

Publication Number Publication Date
JP2017098870A true JP2017098870A (ja) 2017-06-01

Family

ID=58804102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015231600A Pending JP2017098870A (ja) 2015-11-27 2015-11-27 ログ収集システム

Country Status (1)

Country Link
JP (1) JP2017098870A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107463490A (zh) * 2017-08-15 2017-12-12 四川长虹电器股份有限公司 一种应用于平台开发中的集群日志集中收集方法
KR20200015652A (ko) * 2018-03-16 2020-02-12 넷마블 주식회사 로그 데이터 처리 장치 및 방법
WO2020070811A1 (ja) * 2018-10-02 2020-04-09 日本電気株式会社 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びコンピュータ読み取り可能な記録媒体
WO2021157299A1 (ja) * 2020-02-04 2021-08-12 株式会社日立産機システム 通信装置、監視サーバ及びログ収集方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107463490A (zh) * 2017-08-15 2017-12-12 四川长虹电器股份有限公司 一种应用于平台开发中的集群日志集中收集方法
CN107463490B (zh) * 2017-08-15 2020-06-30 四川长虹电器股份有限公司 一种应用于平台开发中的集群日志集中收集方法
KR20200015652A (ko) * 2018-03-16 2020-02-12 넷마블 주식회사 로그 데이터 처리 장치 및 방법
KR102364036B1 (ko) 2018-03-16 2022-02-17 넷마블 주식회사 로그 데이터 처리 장치 및 방법
WO2020070811A1 (ja) * 2018-10-02 2020-04-09 日本電気株式会社 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びコンピュータ読み取り可能な記録媒体
JPWO2020070811A1 (ja) * 2018-10-02 2021-09-02 日本電気株式会社 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム
JP7088302B2 (ja) 2018-10-02 2022-06-21 日本電気株式会社 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム
WO2021157299A1 (ja) * 2020-02-04 2021-08-12 株式会社日立産機システム 通信装置、監視サーバ及びログ収集方法

Similar Documents

Publication Publication Date Title
EP3603032B1 (en) Detecting domain name system (dns) tunneling based on dns logs and network data
US9083741B2 (en) Network defense system and framework for detecting and geolocating botnet cyber attacks
US10666672B2 (en) Collecting domain name system traffic
US8290994B2 (en) Obtaining file system view in block-level data storage systems
JP2017098870A (ja) ログ収集システム
JP2008104027A (ja) パケット情報収集装置およびパケット情報収集プログラム
CN107615730A (zh) 跨文件系统对象和客户端共享的数据的安全的基于云的存储
WO2015140842A1 (ja) システムを監視する情報処理装置及び監視方法
CN107770132A (zh) 一种对算法生成域名进行检测的方法及装置
CN109587122B (zh) 基于WAF系统功能实现自我保障Web子系统安全的系统及方法
CN105407096B (zh) 基于流管理的报文数据检测方法
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN110941823B (zh) 威胁情报获取方法及装置
JP2015173406A (ja) 分析システム、分析装置、及び分析プログラム
US10129277B1 (en) Methods for detecting malicious network traffic and devices thereof
CN103916379A (zh) 一种基于高频统计的cc攻击识别方法及系统
Wang et al. An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol
CN104067558A (zh) 具有控制模块和网络访问模块的网络访问装置
CN110619022B (zh) 基于区块链网络的节点检测方法、装置、设备及存储介质
CN114510711A (zh) 防护cc攻击的方法、装置、介质以及计算机设备
JP6310874B2 (ja) インシデント検知システム
CN109413022A (zh) 一种基于用户行为检测http flood攻击的方法和装置
CN111030978B (zh) 一种基于区块链的恶意数据获取方法、装置及存储设备
US20190312901A1 (en) Effective detection of a communication apparatus performing an abnormal communication
US10783244B2 (en) Information processing system, information processing method, and program