JP2019028681A - 監視装置、監視方法、及び、監視プログラム - Google Patents

監視装置、監視方法、及び、監視プログラム Download PDF

Info

Publication number
JP2019028681A
JP2019028681A JP2017146889A JP2017146889A JP2019028681A JP 2019028681 A JP2019028681 A JP 2019028681A JP 2017146889 A JP2017146889 A JP 2017146889A JP 2017146889 A JP2017146889 A JP 2017146889A JP 2019028681 A JP2019028681 A JP 2019028681A
Authority
JP
Japan
Prior art keywords
event information
transmission
criterion
monitoring
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017146889A
Other languages
English (en)
Other versions
JP7043753B2 (ja
Inventor
純明 榮
Yosiaki Sakae
純明 榮
秀一 狩野
Shuichi Kano
秀一 狩野
多賀戸 裕樹
Hiroki Tagato
裕樹 多賀戸
和彦 磯山
Kazuhiko Isoyama
和彦 磯山
佑嗣 小林
Yuji Kobayashi
佑嗣 小林
敬喜 朝倉
Keiki Asakura
敬喜 朝倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2017146889A priority Critical patent/JP7043753B2/ja
Publication of JP2019028681A publication Critical patent/JP2019028681A/ja
Application granted granted Critical
Publication of JP7043753B2 publication Critical patent/JP7043753B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することが可能な監視装置等が提供される。【解決手段】監視装置101は、情報処理装置152にて生じたイベントに関するイベント情報を作成する作成部102と、該イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、該イベント情報を管理装置に送信する送信部104と、該送信基準を設定する制御部105と、該イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定する特定部103とを有し、制御部105は、該対象イベント情報に関する該送信基準に、該第1送信基準よりも緩い基準である第2送信基準を設定する。【選択図】 図1

Description

本発明は、情報処理システムを監視する監視装置等に関する。
特許文献1には、コンピュータがコンピュータウィルスに感染しているか否かを判定する監視装置が開示されている。該監視装置は、該コンピュータが外部装置に通信する頻度を計測し、該頻度が所定の閾値よりも大きい場合に、該コンピュータがコンピュータウィルスに感染していると判定する。
特許文献2には、コンピュータウィルス等のマルウェアが増殖する活動を行っているか否かを判定する検知システムが開示されている。該検知システムは、複数の情報処理装置と、検知装置とを有する。複数の情報処理装置は、自装置において実行された処理と、自装置及び外部装置の間において実行された通信処理とを監視し、監視した結果を表す監視情報を作成し、該監視情報を検知装置に送信する。検知装置は、該監視情報を受信し、受信した該監視情報が2つの所定のポリシー情報に符合しているか否かを判定する。該監視情報が該2つの所定のポリシー情報に符合している場合に、該検知装置は、該監視情報が作成された情報処理装置が不審情報処理装置であると判定する。該不審情報処理装置が複数である場合に、該検知装置は、該複数の不審情報処理装置の間の関連性に基づき、マルウェアが増殖する活動を行っているか否かを判定する。
特開2004−302656号公報 特開2016−066282号公報
しかし、特許文献1、及び、特許文献2に開示された装置を用いたとしても、マルウェアが活動している範囲を正確に特定することは難しい。この理由は、マルウェアの処理負荷が高い場合には、該マルウェアが実行する処理によって、該マルウェアを通知する(または、監視情報を通知する)処理自体が遅延することがあるからである。
そこで、本発明の目的の1つは、監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することが可能な監視装置等を提供することである。
本発明の1つの態様として、監視装置は、
情報処理装置にて生じたイベントに関するイベント情報を作成する作成手段と、
前記イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、前記イベント情報を管理装置に送信する送信手段と、
前記送信基準を設定する制御手段と、
前記イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定する特定手段と
を備え、
前記制御手段は、前記対象イベント情報に関する前記送信基準に、前記第1送信基準よりも緩い基準である第2送信基準を設定する。
また、本発明の他の態様として、監視方法は、情報処理装置にて生じたイベントに関するイベント情報を作成し、前記イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、前記イベント情報を管理装置に送信する監視装置にて、前記イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定し、前記対象イベント情報に関する前記送信基準に、前記第1送信基準よりも緩い基準である第2送信基準を設定する。
また、本発明の他の態様として、監視プログラムは、
情報処理装置にて生じたイベントに関するイベント情報を作成する作成機能と、
前記イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、前記イベント情報を管理装置に送信する送信機能と、
前記送信基準を設定する制御機能と、
前記イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定する特定機能と
をコンピュータに実現させ、
前記制御機能においては、前記対象イベント情報に関する前記送信基準に、前記第1送信基準よりも緩い基準である第2送信基準を設定する。
さらに、同目的は、係るプログラムを記録するコンピュータが読み取り可能な記録媒体によっても実現される。
本発明に係る監視装置等によれば、監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することができる。
本発明の第1の実施形態に係る監視装置が有する構成を示すブロック図である。 第1の実施形態に係る監視装置における処理の流れを示すフローチャートである。 本発明の第2の実施形態に係る監視装置が有する構成を示すブロック図である。 第2の実施形態に係る監視装置における処理の流れを示すフローチャートである。 本発明の第3の実施形態に係る監視装置が有する構成を示すブロック図である。 第3の実施形態に係る監視装置における処理の流れを示すフローチャートである。 本発明の第4の実施形態に係る監視装置が有する構成を示すブロック図である。 第4の実施形態に係る監視装置における処理のうち、イベント情報記憶部、または、対象イベント情報記憶部にイベント情報を格納するまでの処理の流れを示すフローチャートである。 第4の実施形態に係る監視装置における処理のうち、対象イベント情報を管理装置に送信する処理の流れを示すフローチャートである。 本発明の各実施形態に係る監視装置を実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。
次に、本発明を実施する実施形態について図面を参照しながら詳細に説明する。
<第1の実施形態>
図1を参照しながら、本発明の第1の実施形態に係る監視装置101が有する構成について詳細に説明する。図1は、本発明の第1の実施形態に係る監視装置101が有する構成を示すブロック図である。
監視システム151は、1つ以上の情報処理装置152と、管理装置155とを有する。情報処理装置152と、管理装置155とは、通信ネットワーク154を介して通信可能に接続されている。監視システム151において、情報処理装置152は、複数であってもよい。
第1の実施形態に係る監視装置101は、作成部102と、特定部103と、送信部104と、制御部105とを有する。
作成部102は、情報処理装置152において生じるイベントを監視し、該イベントに関するイベント情報を作成する。イベント情報は、たとえば、以下に例示された第1イベント情報乃至第5イベント情報である。
(第1イベント情報)情報処理装置152に対して実施されたログインを表す情報、
(第2イベント情報)情報処理装置152におけるファイルシステムが使用されている使用量を表す情報、
(第3イベント情報)情報処理装置152において動作しているタスク(プロセス、または、スレッド)の個数を表す情報、及び、該タスクを識別する情報(たとえば、タスク名等)、
(第4イベント情報)情報処理装置152に接続されているデバイスの状態を表す情報、
(第5イベント情報)情報処理装置152が通信ネットワーク154を介して実行した通信に関する通信量を表す情報、及び、該通信における通信先を表す情報。
作成部102が監視しているイベントは、たとえば、情報処理装置152におけるタスクが実行する処理、または、情報処理装置152において実行された処理を表すログが作成される処理等の情報処理装置152における処理である。
監視装置101は、情報処理装置152において負荷が高いイベントが生じる等の注目するイベントが生じた場合に、図2を参照しながら後述するような処理を実行する。
管理装置155は、情報処理装置152における送信部104が送信したイベント情報を受信する。管理装置155は、たとえば、情報処理装置152における障害の有無、通信ネットワーク154における障害の有無、または、情報処理装置152における異常動作の有無等を、該イベント情報に基づき判定し、判定した結果を、たとえば、表示装置(不図示)に表示(報知)する。
監視装置101のうち、送信部104における処理について説明する。
送信部104は、イベント情報を管理装置155に送信するか否かを判定する基準である送信基準が成立している場合に、イベント情報を管理装置155に送信する。該送信基準は、たとえば、情報処理装置152における全体の処理の負荷(以降、処理の負荷を「処理負荷」と表す)が負荷基準を満たしているという条件である。該負荷基準は、たとえば、情報処理装置152における処理負荷が負荷閾値よりも低いという条件である。該負荷閾値には、たとえば、情報処理装置152における処理負荷が低い状態であるか否かを判別する値が設定されることが多い。該処理負荷が低い状態は、たとえば、中央演算処理装置(CPU)の使用率が5%以下であるという状態である。以降においては、説明の便宜上、処理負荷が低い状態であるか否かを判定する送信基準を、「第1送信基準」と表す。
言い換えると、送信部104は、作成部102が作成したイベント情報を送信する処理において、該第1送信基準が成立している場合に、イベント情報を送信する。送信部104は、該第1送信基準が成立していない場合に第1送信基準が成立するタイミングまで該イベント情報を送信する処理を停止し、該第1送信基準が成立するのに応じて該イベント情報を送信する。すなわち、監視装置101において、送信部104は、第1送信基準に従いイベント情報を管理装置155に送信する処理を実行している。
次に、図2を参照しながら、本発明の第1の実施形態に係る監視装置101における処理について詳細に説明する。図2は、第1の実施形態に係る監視装置101における処理の流れを示すフローチャートである。
特定部103は、情報処理装置152において生じたイベントのうち、該イベントに関する処理負荷が所定の負荷判定基準を満たしているイベント(以降、「対象イベント」と表す)を特定する(ステップS101)。
該所定の負荷判定基準は、たとえば、イベントに関する処理負荷が所定の負荷閾値以上であるという条件である。所定の負荷判定基準は、たとえば、情報処理装置152において実行されている処理負荷の合計に対する、該イベントに関する該処理負荷の割合が、所定の閾値以上であるという条件であってもよい。該所定の負荷判定基準は、たとえば、該イベントに関する入出力速度が所定の閾値以上であるという条件であってもよい。または、所定の負荷判定基準は、入出力速度に関する基準と、処理負荷に関する基準とが組み合わされている基準であってもよい。この場合に、特定部103は、処理負荷に関する所定の負荷判定基準を満たしているイベントであって、入出力速度に関する所定の負荷判定基準を満たしているイベントを特定する。
該所定の負荷閾値、及び、該所定の閾値は、たとえば、マルウェアにより生じたイベントに関する処理負荷と、マルウェアでないソフトウェアにより生じたイベントに関する処理負荷とに基づき決定される。該ソフトウェアは、情報処理装置152に格納されているソフトウェアであってもよい。該所定の負荷閾値、及び、該所定の閾値は、該マルウェアである可能性が高い処理負荷と、マルウェアでない可能性が高い処理負荷とを分類する境界値を決定することにより求められる。
制御部105は、特定部103が特定した対象イベントに関するイベント情報(以降、「対象イベント情報」と表す)を送信する場合における送信基準を、第1送信基準よりも緩い基準を表す第2送信基準に設定する(ステップS102)。送信基準が第2送信基準に設定された場合には、該送信基準が第1送信基準に設定されている場合に比べて、送信部104が管理装置155にイベント情報を送信する可能性は高い。
該第2送信基準は、たとえば、CPUの使用率が第2閾値以下であるという条件である。該第2閾値は、たとえば、CPUの使用率が50%よりも大きな値である。使用率が50%である状態は、たとえば、情報処理装置152におけるCPUが有している処理能力に対する、情報処理装置152にて生じるイベントに関する処理負荷の割合が50%であるという状態を表す。該第2送信基準は、情報処理装置152におけるCPUの使用率によらずに、イベント情報を送信するという基準であってもよい。
第2送信基準が成立した場合に、送信部104は、対象イベントに関するイベント情報を管理装置155に送信する(ステップS103)。
その後、図9を参照しながら後述するように、制御部105は、送信基準を第1送信基準に設定してもよい。この場合に、送信部104は、第1送信基準が成立している期間に、第1イベント情報乃至第5イベント情報に例示されているようなイベント情報を、管理装置155に送信する。
尚、監視装置101は、処理負荷が所定の負荷判定基準を満たしているイベントが生じたか否かを監視し、該イベントが生じるのに応じて、図2を参照しながら上述したような処理と同様な処理を実行してもよい。
次に、本発明の第1の実施形態に係る監視装置101に関する効果について説明する。
第1の実施形態に係る監視装置101によれば、監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することができる。この理由は、情報処理装置152にて処理負荷が大きなイベント(すなわち、対象イベント)がある場合であっても、監視装置101が、該対象イベント情報に関する送信基準を、第1送信基準よりも緩い第2送信基準に設定するからである。この結果、監視装置101は、情報処理装置152における処理負荷が高い場合であっても、該対象イベント情報を管理装置155に送信する。
<第2の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第2の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図3を参照しながら、本発明の第2の実施形態に係る監視装置201が有する構成について詳細に説明する。図3は、本発明の第2の実施形態に係る監視装置201が有する構成を示すブロック図である。
監視システム251は、1つ以上の情報処理装置252と、管理装置155とを有する。情報処理装置252と、管理装置155とは、通信ネットワーク154を介して通信可能に接続されている。情報処理装置252は、監視装置201を有する。
第2の実施形態に係る監視装置201は、作成部102と、特定部203と、送信部104と、制御部105とを有する。
次に、図4を参照しながら、本発明の第2の実施形態に係る監視装置201における処理について詳細に説明する。図4は、第2の実施形態に係る監視装置201における処理の流れを示すフローチャートである。
特定部203は、情報処理装置252において生じたイベントのうち、該処理負荷が所定の負荷判定基準を満たしているイベントを選択する(ステップS201)。特定部203は、さらに、選択した該イベントの該処理負荷が所定の負荷判定基準を満たしている時間(または、期間、以降、「継続時間」と表す)を測定する(ステップS202)。または、作成部102が作成するイベント情報がイベントの処理負荷、及び、該処理負荷を測定したタイミングを表す情報を含んでいる場合に、特定部203は、該処理負荷が所定の負荷判定基準を満たし始めたタイミングと、該処理負荷が所定の負荷判定基準を満たさなくなったタイミングとの差異を算出することにより、該継続時間を求めてもよい。特定部203は、該継続時間が所定の継続判定基準を満たしているイベントを対象イベントとして特定する(ステップS203)。
該所定の継続判定基準は、たとえば、該継続時間が所定の継続閾値以上であるという条件である。所定の継続閾値は、たとえば、マルウェアが実行したイベントに関して測定された該継続時間と、マルウェアでないソフトウェアが実行したイベントに関して測定された継続時間とに基づき決定される。該ソフトウェアに関する継続時間は、たとえば、情報処理装置252に格納されているソフトウェアが実行したイベントに関する継続時間の平均値である。該所定の継続閾値は、該マルウェアである可能性が高い継続時間と、マルウェアでない可能性が高い継続時間とを分類する境界値を決定することにより求められる。
以降、図2におけるステップS102乃至ステップS103に示された処理と同様な処理が実行される。
尚、監視装置201は、処理負荷が所定の負荷判定基準を満たしているイベントが生じたか否かを監視し、該イベントが生じるのに応じて、図4を参照しながら上述したような処理と同様な処理を実行してもよい。
次に、本発明の第2の実施形態に係る監視装置201に関する効果について説明する。
第2の実施形態に係る監視装置201によれば、監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することができる。この理由は、第1の実施形態にて説明した理由と同様である。
さらに、第2の実施形態に係る監視装置201によれば、イベントがマルウェアにより生じたか否かを、より正確に判定することができる。この理由は、イベントの処理負荷が所定の負荷判定基準を満たしている継続時間が、所定の継続判定基準を満たしている場合には、該継続時間が該所定の継続判定基準を満たしていない場合に比べて、該イベントがマルウェアにより生じた可能性が高いからである。上述したように、所定の継続判定基準が、たとえば、マルウェアに関する継続時間と、マルウェアではないソフトウェアに関する継続時間との差異に基づき決定されるので、監視装置201によれば、イベントがマルウェアにより生じたか否かを、より正確に判定することができる。
<第3の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第3の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図5を参照しながら、本発明の第3の実施形態に係る監視装置301が有する構成について詳細に説明する。図5は、本発明の第3の実施形態に係る監視装置301が有する構成を示すブロック図である。
監視システム351は、1つ以上の情報処理装置352と、管理装置155とを有する。情報処理装置352と、管理装置155とは、通信ネットワーク154を介して通信可能に接続されている。情報処理装置352は、監視装置301を有する。
第3の実施形態に係る監視装置301は、作成部102と、特定部303と、送信部104と、制御部105とを有する。
次に、図6を参照しながら、本発明の第3の実施形態に係る監視装置301における処理について詳細に説明する。図6は、第3の実施形態に係る監視装置301における処理の流れを示すフローチャートである。
特定部303は、情報処理装置352における処理負荷(以降、「装置処理負荷」と表す)を求め、求めた装置処理負荷が、所定の処理負荷基準を満たしているか否かを判定する(ステップS301)。
該所定の処理負荷基準は、たとえば、該装置処理負荷が所定の装置負荷閾値以上であるという条件である。所定の処理負荷基準は、たとえば、情報処理装置352が有する処理能力に対する該装置処理負荷の割合が、所定の閾値以上であるという条件であってもよい。該所定の装置負荷閾値(または、該所定の閾値)は、たとえば、マルウェアでないソフトウェアを格納している情報処理装置に関して測定された装置処理負荷の平均値であってもよい。または、所定の装置負荷閾値は、たとえば、該装置処理負荷が出現する頻度に基づき、大きい装置処理負荷から順に所定の順位である装置処理負荷に基づき決定されてもよい。たとえば、所定の順位は、装置処理負荷の全体個数に対する割合(5%である位置、32%である位置等)に基づき決定されてもよい。
該装置処理負荷が所定の処理負荷基準を満たしている場合には(ステップS301にてYES)、ステップS101乃至ステップS103に示された処理が実行される。
ステップS301にてNOの場合に監視装置301において、送信部104は、第1送信基準に従いイベント情報を管理装置155に送信する処理を実行している。
次に、本発明の第3の実施形態に係る監視装置301に関する効果について説明する。
第3の実施形態に係る監視装置301によれば、監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することができる。この理由は、第1の実施形態にて説明した理由と同様である。
さらに、第3の実施形態に係る監視装置301によれば、情報処理装置352における処理を低減することができる。この理由は、情報処理装置352に関する装置処理負荷が所定の処理負荷基準を満たしている場合のみ、ステップS101乃至ステップS103に示された処理を実行するからである。たとえば、情報処理装置352に関する装置処理負荷が所定の処理負荷基準を満たしている場合には、該装置処理負荷が所定の処理負荷基準を満たしていない場合に比べて、情報処理装置352においてマルウェアが活動している可能性は高い。監視装置301は、該装置処理負荷が所定の処理負荷基準を満たしていない場合には、図6におけるステップS101乃至ステップS103に示された処理を実行しない。したがって、監視装置301によれば、情報処理装置352における処理を低減することができる。
<第4の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第4の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図7を参照しながら、本発明の第4の実施形態に係る監視装置401が有する構成について詳細に説明する。図7は、本発明の第4の実施形態に係る監視装置401が有する構成を示すブロック図である。
監視システム451は、1つ以上の情報処理装置と、管理装置155とを有する。図7に例示された監視システム451において、監視システム451は、3台の情報処理装置(情報処理装置452、情報処理装置156、及び、情報処理装置157)を有する。情報処理装置156、及び、情報処理装置157は、情報処理装置452が有している構成と同様な構成を有する。情報処理装置452と、情報処理装置156と、情報処理装置157と、管理装置155とは、通信ネットワーク154を介して通信可能に接続されている。情報処理装置452は、監視装置401を有する。監視システム451は、さらに、多くの情報処理装置を有していてもよい。
第4の実施形態に係る監視装置401は、作成部102と、特定部403と、送信部404と、制御部405と、対象イベント情報記憶部406と、イベント情報記憶部407とを有する。
対象イベント情報記憶部406には、特定部403が特定した対象イベントに関するイベント情報(すなわち、対象イベント情報)が格納される。イベント情報記憶部407には、情報処理装置452において生じたイベントのうち、対象イベントと異なるイベントに関するイベント情報が格納される。対象イベント情報記憶部406、及び、イベント情報記憶部407は、先に格納されたイベント情報を、先に読み取ることができるキュー構造を有していてもよい。
送信部404は、対象イベント情報記憶部406にイベント情報が格納されている場合に、対象イベント情報記憶部406からイベント情報を読み取り、読み取ったイベント情報を対象イベント情報記憶部406から削除する。送信基準が成立した場合に、送信部404は、読み取ったイベント情報を管理装置155に送信する。
対象イベント情報記憶部406にイベント情報が格納されていない場合に、送信部404は、イベント情報記憶部407にイベント情報が格納されているか否かを判定する。イベント情報記憶部407にイベント情報が格納されている場合に、イベント情報記憶部407からイベント情報を読み取り、読み取ったイベント情報をイベント情報記憶部407から削除する。送信基準が成立した場合に、送信部404は、読み取ったイベント情報を管理装置155に送信する。
したがって、送信部404は、イベント情報記憶部407に格納されているイベント情報よりも、対象イベント情報記憶部406に格納されているイベント情報(すなわち、対象イベント情報)を先に管理装置155に送信する。
次に、図8を参照しながら、本発明の第4の実施形態に係る監視装置401における処理のうち、イベント情報記憶部407、または、対象イベント情報記憶部406にイベント情報を格納するまでの処理について説明する。図8は、第4の実施形態に係る監視装置401における処理のうち、イベント情報記憶部407、または、対象イベント情報記憶部406にイベント情報を格納するまでの処理の流れを示すフローチャートである。
作成部102は、情報処理装置452にてイベントが生じるのに応じて、該イベントに関するイベント情報を作成する(ステップS407)。作成部102は、作成したイベント情報を特定部403に対して入力する。
特定部403は、情報処理装置452に関する装置処理負荷を求め、求めた装置処理負荷が、所定の処理負荷基準を満たしているか否かを判定する(ステップS301)。
装置処理負荷が所定の処理負荷基準を満たしていない場合に(ステップS301にてNO)、特定部403は、受け取った該イベント情報をイベント情報記憶部407に格納する(ステップS408)。
装置処理負荷が所定の処理負荷基準を満たしている場合に(ステップS301にてYES)、特定部403は、情報処理装置452にて動作している各タスクに関する処理負荷を取得する(ステップS402)。特定部403は、該処理負荷を測定してもよい。特定部403は、該装置処理負荷に対する各タスクに関する処理負荷の程度(または、割合)を算出し、算出した程度が所定の程度を超えているタスクを特定する(ステップS403)。所定の程度は、たとえば、50%以上のいずれかの値であり、60%、70%、または、90%等の値である。特定部403は、該程度を、該装置処理負荷と、該タスクに関する処理負荷の程度との差異に基づき算出してもよい。この場合に、所定の程度は、たとえば、情報処理装置452におけるCPUの使用率と、該タスクに関するCPUの使用率との差異が、50%未満のいずれかの値であり、たとえば、10%、20%、または、30%等の値である。
処理負荷がタスクに関する入出力速度を用いて測定される場合に、特定部403は、各タスクが実行している入出力処理に関する速度を測定する。特定部403は、測定した該速度が所定の程度を超えているタスクを特定する。該所定の程度は、たとえば、毎秒30メガバイトである。この場合に、特定部403は、測定した該速度が毎秒30メガバイトを超えているタスクを特定する。特定部403は、処理負荷が所定の程度を超えているタスクであって、入出力速度が所定の程度を超えているタスクを特定してもよい。
特定部403は、特定した該タスクの個数が1つであるか否かを判定する(ステップS404)。したがって、ステップS402乃至ステップS404に示された処理によって、特定部403は、装置処理負荷が所定の処理負荷基準を満たしている要因が、1つのタスクであるか否かを判定する。
タスクの個数が複数である場合に(ステップS404にてNO)、特定部403は、受け取った該イベント情報をイベント情報記憶部407に格納する(ステップS408)。
タスクの個数が1つである場合に(ステップS404にてYES)、特定部403は、選択した該タスクの処理負荷が所定の負荷判定基準を満たしている継続時間を測定する(ステップS405)。ステップS405における処理は、図4におけるステップS202と同様な処理である。特定部403は、該継続時間が所定の継続判定基準を満たしているか否かを判定する(ステップS406)。
特定部403は、該継続時間が所定の継続判定基準を満たしている場合に、(ステップS406にてYES)、特定部403は、さらに、ステップS403、または、ステップS405にて測定した処理負荷を表す情報、継続時間を表す情報を、イベント情報として作成してもよい。または、特定部403は、該タスクがアクセスしたファイルに関するハッシュ値を記憶装置(不図示)から読み取り、読み取ったハッシュ値を表すイベント情報を作成してもよい。または、特定部403は、該タスクが使用しているメモリの大きさを取得し、取得した大きさを表すイベント情報を作成してもよい。
特定部403は、作成部102が作成したイベント情報、または、自部が作成したイベント情報を対象イベント情報記憶部406に格納する(ステップS409)。すなわち、対象イベント情報記憶部406に格納される情報は、対象イベント情報である。
イベント情報は、上述した例に限定されない。
次に、図9を参照しながら、本発明の第4の実施形態に係る監視装置401における処理のうち、対象イベント情報を管理装置155に送信する処理について説明する。図9は、第4の実施形態に係る監視装置401における処理のうち、対象イベント情報を管理装置155に送信する処理の流れを示すフローチャートである。
送信部404は、対象イベント情報記憶部406に格納されている対象イベント情報を読み取る。制御部405は、該対象イベント情報を送信する場合における送信基準を、第1送信基準よりも緩い基準を表す第2送信基準に設定する(ステップS102)。制御部405は、特定部403が特定した対象イベントに関するイベント情報のみを送信するよう送信部404を制御してもよい。
図7を参照しながら上述したような処理に従い、送信部404は、該対象イベント情報を管理装置155に送信する(ステップS410)。
その後、制御部405は、対象イベント情報記憶部406に対象イベント情報が格納されていない場合に、イベント情報を送信する場合における送信基準を第1送信基準に設定する(ステップS411)。すなわち、制御部405は、送信部404が対象イベント情報記憶部406に格納されている対象イベント情報を管理装置155に送信する処理が完了した後に、送信基準を第1送信基準に設定する。
対象イベント情報記憶部406に対象イベント情報が格納されていない場合に、送信部404は、イベント情報記憶部407に格納されているイベント情報を読み取り、読み取った該イベント情報を管理装置155に送信する。
次に、本発明の第4の実施形態に係る監視装置401に関する効果について説明する。
第4の実施形態に係る監視装置401によれば、監視対象が実行している処理負荷が高い場合であっても、イベントに関するイベント情報を通知することができる。この理由は、第1の実施形態にて説明した理由と同様である。
また、第4の実施形態に係る監視装置401によれば、情報処理装置452に異常が生じていることを、管理装置155にて容易に識別することができる。この理由は、監視装置401が対象イベントに関する対象イベント情報のみを送信するよう、送信部404を制御するからである。送信部404が、該対象イベント情報のみを管理装置155に送信するので、管理装置155は、複数の情報処理装置452のうち、情報処理装置452に異常が生じていることを検知することができる。
また、第4の実施形態に係る監視装置401によれば、対象イベントがマルウェアにより生じたか否かを、より正確に判定することができる。この理由は、情報処理装置452が高負荷である状態を意図的に生じるよう制御するマルウェアが、複数のタスクによって構成されている場合であっても、1つのタスクのみが高負荷な状態を生み出していることが多いからである。監視装置401は、情報処理装置452が高負荷である場合に、該高負荷な状態の要因が1つのタスクのみであるか否かに基づき、イベント情報が対象イベント情報であるか否かを判定する。この結果、監視装置401によれば、対象イベントがマルウェアにより生じたか否かを、より正確に判定することができる。
また、第4の実施形態に係る監視装置401によれば、情報処理装置452の有用性を保つことができる。この理由は、送信部404が管理装置155に対象イベント情報を送信した後に、送信部404に関する送信基準を第1送信基準に設定するからである。この結果、送信部404に関する送信基準が、情報処理装置452において動作している他のイベントの送信基準と同様な送信基準に設定されるので、第4の実施形態に係る監視装置401によれば、情報処理装置452の有用性を保つことができる。
(ハードウェア構成例)
上述した本発明の各実施形態に係る監視装置を、1つの計算処理装置(コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。但し、係る監視装置は、物理的または機能的に少なくとも2つの計算処理装置を用いて実現されてもよい。また、係る監視装置は、専用の装置として実現されてもよい。
図10は、本発明の各実施形態に係る監視装置を実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。計算処理装置20は、中央処理演算装置(Central_Processing_Unit、以降「CPU」と表す)21、メモリ22、ディスク23、不揮発性記録媒体24、及び、通信インターフェース(以降、「通信IF」と表す)27を有する。計算処理装置20は、入力装置25、出力装置26に接続可能であってもよい。計算処理装置20は、通信IF27を介して、他の計算処理装置、及び、通信装置と、情報を送受信することができる。
不揮発性記録媒体24は、コンピュータが読み取り可能な、たとえば、コンパクトディスク(Compact_Disc)、デジタルバーサタイルディスク(Digital_Versatile_Disc)である。また、不揮発性記録媒体24は、ユニバーサルシリアルバスメモリ(USBメモリ)、ソリッドステートドライブ(Solid_State_Drive)等であってもよい。不揮発性記録媒体24は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体24は、上述した媒体に限定されない。また、不揮発性記録媒体24の代わりに、通信IF27、及び、通信ネットワークを介して、係るプログラムを持ち運びしてもよい。
すなわち、CPU21は、ディスク23に格納されているソフトウェア・プログラム(コンピュータ・プログラム:以下、単に「プログラム」と称する)を、実行する際にメモリ22にコピーし、演算処理を実行する。CPU21は、プログラム実行に必要なデータをメモリ22から読み取る。表示が必要な場合に、CPU21は、出力装置26に出力結果を表示する。外部からプログラムを入力する場合に、CPU21は、入力装置25からプログラムを読み取る。CPU21は、上述した図1、図3、図5、または、図7に示す各部が表す機能(処理)に対応するところのメモリ22にある監視プログラム(図2、図4、図6、図8、または、図9)を解釈し実行する。CPU21は、上述した本発明の各実施形態において説明した処理を順次実行する。
すなわち、このような場合に、本発明の各実施形態は、係る監視プログラムによっても成し得ると捉えることができる。さらに、係る監視プログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、本発明の各実施形態は成し得ると捉えることができる。
以上、上述した実施形態を模範的な例として本発明を説明した。しかし、本発明は、上述した実施形態には限定されない。すなわち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
101 監視装置
102 作成部
103 特定部
104 送信部
105 制御部
151 監視システム
152 情報処理装置
154 通信ネットワーク
155 管理装置
201 監視装置
203 特定部
251 監視システム
252 情報処理装置
301 監視装置
303 特定部
351 監視システム
352 情報処理装置
156 情報処理装置
157 情報処理装置
156 情報処理装置
157 情報処理装置
401 監視装置
403 特定部
404 送信部
405 制御部
406 対象イベント情報記憶部
407 イベント情報記憶部
451 監視システム
452 情報処理装置
20 計算処理装置
21 CPU
22 メモリ
23 ディスク
24 不揮発性記録媒体
25 入力装置
26 出力装置
27 通信IF

Claims (10)

  1. 情報処理装置にて生じたイベントに関するイベント情報を作成する作成手段と、
    前記イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、前記イベント情報を管理装置に送信する送信手段と、
    前記送信基準を設定する制御手段と、
    前記イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定する特定手段と
    を備え、
    前記制御手段は、前記対象イベント情報に関する前記送信基準に、前記第1送信基準よりも緩い基準である第2送信基準を設定する
    監視装置。
  2. 前記特定手段は、前記イベント情報のうち、前記イベントに関する処理負荷が前記所定の負荷判定基準を満たしている時間が所定の継続判定基準を満たしているイベント情報を前記対象イベント情報であると特定する
    請求項1に記載の監視装置。
  3. 前記特定手段は、前記情報処理装置における処理負荷を表す装置処理負荷が所定の処理負荷基準を満たしている場合には、前記対象イベント情報を特定する
    請求項1または請求項2に記載の監視装置。
  4. 前記送信手段は、前記対象イベント情報を、前記イベント情報よりも先に送信する
    請求項1乃至請求項3のいずれかに記載の監視装置。
  5. 前記特定手段は、前記装置処理負荷が前記所定の処理負荷基準を満たしている場合に、前記情報処理装置において動作しているタスクのうち、前記タスクの負荷が所定の程度を超えているタスクを特定し、特定したタスクの個数が1つであるか否かを判定し、
    前記制御手段は、前記個数が1つである場合に、前記送信基準を前記第2送信基準に設定する
    請求項3に記載の監視装置。
  6. 前記制御手段は、前記送信手段が前記対象イベント情報を前記管理装置に送信した後に、前記送信基準を前記第1送信基準に設定する
    請求項1乃至請求項5のいずれかに記載の監視装置。
  7. 前記対象イベント情報のみが格納される対象イベント情報記憶手段と、
    前記イベント情報のうち、前記対象イベント情報と異なるイベント情報が格納されるイベント情報記憶手段と
    をさらに備え、
    前記送信手段は、前記対象イベント情報記憶手段に格納されている前記イベント情報を前記管理装置に送信した後に、前記イベント情報記憶手段に格納されている前記イベント情報を前記管理装置に送信する
    請求項1乃至請求項6のいずれかに記載の監視装置。
  8. 請求項1乃至請求項7のいずれかに記載の監視装置と、
    前記監視装置が送信した前記イベント情報を管理している管理装置と
    を備える監視システム。
  9. 情報処理装置にて生じたイベントに関するイベント情報を作成し、前記イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、前記イベント情報を管理装置に送信する監視装置にて、前記イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定し、前記対象イベント情報に関する前記送信基準に、前記第1送信基準よりも緩い基準である第2送信基準を設定する監視方法。
  10. 情報処理装置にて生じたイベントに関するイベント情報を作成する作成機能と、
    前記イベント情報を送信する送信基準を表す第1送信基準が成立した場合に、前記イベント情報を管理装置に送信する送信機能と、
    前記送信基準を設定する制御機能と、
    前記イベント情報のうち、所定の負荷判定基準を満たしている対象イベント情報を特定する特定機能と
    をコンピュータに実現させ、
    前記制御機能においては、前記対象イベント情報に関する前記送信基準に、前記第1送信基準よりも緩い基準である第2送信基準を設定する
    監視プログラム。
JP2017146889A 2017-07-28 2017-07-28 監視装置、監視方法、及び、監視プログラム Active JP7043753B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017146889A JP7043753B2 (ja) 2017-07-28 2017-07-28 監視装置、監視方法、及び、監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017146889A JP7043753B2 (ja) 2017-07-28 2017-07-28 監視装置、監視方法、及び、監視プログラム

Publications (2)

Publication Number Publication Date
JP2019028681A true JP2019028681A (ja) 2019-02-21
JP7043753B2 JP7043753B2 (ja) 2022-03-30

Family

ID=65478537

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017146889A Active JP7043753B2 (ja) 2017-07-28 2017-07-28 監視装置、監視方法、及び、監視プログラム

Country Status (1)

Country Link
JP (1) JP7043753B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1028151A (ja) * 1996-07-10 1998-01-27 Matsushita Electric Ind Co Ltd ネットワーク負荷適応型イベント報告装置
US20050220020A1 (en) * 2004-03-31 2005-10-06 Alcatel Throttling network management and element management system messaging
JP2008102778A (ja) * 2006-10-19 2008-05-01 Fujitsu Ltd 情報処理装置、情報処理装置の制御方法及びプログラム
JP2015215770A (ja) * 2014-05-12 2015-12-03 西日本電信電話株式会社 ログ収集システム
JP2015225574A (ja) * 2014-05-29 2015-12-14 株式会社リコー 制御装置、制御方法及びプログラム
JP2017016173A (ja) * 2015-06-26 2017-01-19 日本電気株式会社 ログ出力制御装置、ログ出力制御方法、およびプログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1028151A (ja) * 1996-07-10 1998-01-27 Matsushita Electric Ind Co Ltd ネットワーク負荷適応型イベント報告装置
US20050220020A1 (en) * 2004-03-31 2005-10-06 Alcatel Throttling network management and element management system messaging
JP2008102778A (ja) * 2006-10-19 2008-05-01 Fujitsu Ltd 情報処理装置、情報処理装置の制御方法及びプログラム
JP2015215770A (ja) * 2014-05-12 2015-12-03 西日本電信電話株式会社 ログ収集システム
JP2015225574A (ja) * 2014-05-29 2015-12-14 株式会社リコー 制御装置、制御方法及びプログラム
JP2017016173A (ja) * 2015-06-26 2017-01-19 日本電気株式会社 ログ出力制御装置、ログ出力制御方法、およびプログラム

Also Published As

Publication number Publication date
JP7043753B2 (ja) 2022-03-30

Similar Documents

Publication Publication Date Title
US8868984B2 (en) Relevant alert delivery in a distributed processing system with event listeners and alert listeners
US8825852B2 (en) Relevant alert delivery in a distributed processing system
US8954811B2 (en) Administering incident pools for incident analysis
US9178936B2 (en) Selected alert delivery in a distributed processing system
US9229840B2 (en) Managing traces to capture data for memory regions in a memory
US9442786B2 (en) Determining and correcting software server error conditions
US10303474B2 (en) Data read/write method and apparatus, storage device, and computer system
JP2015524122A (ja) ピーシーアイエクスプレスのエンドポイントデバイスにアクセスするための方法、コンピューターシステム、および、装置
TW201738795A (zh) 侵入檢測裝置、侵入檢測方法以及侵入檢測程式產品
JP2015069384A (ja) 情報処理システム、情報処理システムの制御方法及び情報処理装置の制御プログラム
JP7043753B2 (ja) 監視装置、監視方法、及び、監視プログラム
US9674060B2 (en) Dynamic and selective management of integration points using performance metrics
JP6065843B2 (ja) サービスレベル管理装置、プログラム、及び、方法
US10430582B2 (en) Management apparatus and management method
JP2011227639A (ja) 情報処理装置、タイムアウト処理方法、及びタイムアウト処理プログラム
JP2017068691A (ja) 診断プログラム、診断方法および診断装置
WO2014087654A1 (ja) データ送信装置、データ送信方法、及び記録媒体
US9069888B2 (en) Tracking errors in a computing system
CN108768768B (zh) 用于业务系统的阻塞检测方法、装置及存储介质
JP7282287B1 (ja) 制御装置、制御方法及びプログラム
US11113122B1 (en) Event loop diagnostics
JP2015069391A (ja) 情報処理装置、方法、プログラム、及びシステム
JP2018156561A (ja) ソフトウェア評価プログラム、ソフトウェア評価方法、及び情報処理装置
JPWO2017099062A1 (ja) 診断装置、診断方法、及び、診断プログラム
JPWO2017099066A1 (ja) 診断装置、診断方法、及び、診断プログラムが記録された記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200615

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211013

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211022

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220228

R151 Written notification of patent or utility model registration

Ref document number: 7043753

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151