JP2020038439A - ログ出力装置、ログ出力方法およびログ出力システム - Google Patents

ログ出力装置、ログ出力方法およびログ出力システム Download PDF

Info

Publication number
JP2020038439A
JP2020038439A JP2018164537A JP2018164537A JP2020038439A JP 2020038439 A JP2020038439 A JP 2020038439A JP 2018164537 A JP2018164537 A JP 2018164537A JP 2018164537 A JP2018164537 A JP 2018164537A JP 2020038439 A JP2020038439 A JP 2020038439A
Authority
JP
Japan
Prior art keywords
log
output
information
generated
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018164537A
Other languages
English (en)
Other versions
JP7156869B2 (ja
Inventor
麻生 忠臣
Tatatomi Aso
忠臣 麻生
武藤 浩二
Koji Muto
浩二 武藤
裕 伊與木
Yutaka Iyogi
裕 伊與木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Original Assignee
Panasonic Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp filed Critical Panasonic Corp
Priority to JP2018164537A priority Critical patent/JP7156869B2/ja
Priority to CN201980070494.1A priority patent/CN112912877B/zh
Priority to EP19857961.7A priority patent/EP3848831B1/en
Priority to US17/272,855 priority patent/US11394736B2/en
Priority to PCT/JP2019/034394 priority patent/WO2020050206A1/ja
Publication of JP2020038439A publication Critical patent/JP2020038439A/ja
Application granted granted Critical
Publication of JP7156869B2 publication Critical patent/JP7156869B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、トラフィックの増大およびSIEMにおける処理負荷の増大の抑制に資する。【解決手段】ログ出力装置は、処理の実行履歴を示すログを生成する生成部と、処理が異常であることを示す第1の静的情報を含む第1のリストと、処理が正常であることを示す第2の静的情報を含む第2のリストと、ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、生成されたログが第1の静的情報を有する場合にそのログの出力を決定するとともに、生成されたログが第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備える。選別部は、生成されたログと第3のリストとに基づいて、そのログの出力の要否を決定する。【選択図】図5B

Description

本開示は、ログ出力装置、ログ出力方法およびログ出力システムに関する。
IoT(Internet of Things)機器は、「モノのインターネット」とも呼ばれ、プロセッサおよび作動デバイスを有し、プロセッサの指示に従って作動デバイスにより取得されたデータもしくは情報を、通信ネットワーク(例えばインターネット)を介して接続された通信相手に対して送信可能な機器である。作動デバイスとは、例えば、所定の事象もしくはパラメータを検出するためのセンシングデバイス、または画角内の被写体を撮像するための撮像デバイスである。IoT機器は、PC(Personal Computer)等の情報処理装置と同様、作動デバイスにより何かしらのイベントを実行すると、そのイベントの実行あるいは他の機器との間の通信に関する履歴を示すログを生成する。
特許文献1には、悪性または良性であることが既知の通信ログの特徴を表す第1の文字列、および第1の文字列と対象通信ログの特徴である文字列とが結合された第2の文字列を圧縮し、圧縮された第1の文字列のデータサイズおよび圧縮された第2の文字列のデータサイズを基に、対象通信ログが悪性であるか良性であるかを判定するためのスコアを算出する悪性通信ログ検出装置が開示されている。この悪性通信ログ検出装置は、算出されたスコアおよび所定のパラメータを基に、対象通信ログが悪性であるか良性であるかを判定する。
国際公開第2017/221667号
昨今、PC等の情報処理装置のログ(例えば通信履歴)を分析して、その情報処理装置が危険にさらされていないか(例えば、第三者からサイバー攻撃を受けていないか)を判断するセキュリティ技術として、SIEM(Security Information and Event Management)が知られている。SIEM対応機器は、情報処理装置から送られた複数のログを収集し、収集されたそれぞれのログを分析することで、その情報処理装置に対する攻撃もしくはその攻撃の前兆をいち早く検知して管理者に知らせることが可能である。
ここで、上述したIoT機器の普及に伴い、SIEMのサービスの対象範囲をPC等の情報処理装置だけでなくIoT機器にまで展開する可能性が考えられる。この場合、非常に多くの数のIoT機器からSIEMにログが送られることになるので、SIEMにおけるログの分析対象数が莫大に増加し、SIEMの処理負担が増加する。つまり、PC等の情報処理装置に比べて配置数が多いIoT機器が全てログをSIEMに報告(送信)してしまうと、通信ネットワークのトラフィックが増大するだけでなく、SIEMにおける分析処理が煩雑になる。
また、IoT機器は上述したPC等の情報処理装置に比べて搭載されているプロセッサの性能が低いので、出力されるログの量が多くなると、IoT機器自体の通常処理に関する基本機能に悪影響が出て、処理遅延等の懸念が生じる。上述した特許文献1においても、一つ一つのIoT機器からSIEMに対して数多くのログが都度送信される場合に生じ得る、トラフィックの増大を軽減したりIoT機器からのログの出力を抑制したりする技術的な対策は考慮されていない。
本開示は、上述した従来の事情に鑑みて案出され、処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、通常処理に関する基本機能への悪影響ならびに通信ネットワークのトラフィックの増大を抑制するログ出力装置、ログ出力方法およびログ出力システムを提供することを目的とする。
本開示は、処理の実行履歴を示すログを生成する生成部と、前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定する、ログ出力装置を提供する。
また、本開示は、ログ出力装置におけるログ出力方法であって、処理の実行履歴を示すログを生成するステップと、前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、をメモリに保持するステップと、前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定するステップと、を有する、ログ出力方法を提供する。
また、本開示は、ログ出力装置と前記ログ出力装置からのログを解析するサーバ装置とが通信可能に接続されたログ出力システムであって、前記ログ出力装置は、処理の実行履歴を示すログを生成し、前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、をメモリに保持し、前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定し、前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定する、ログ出力システムを提供する。
本開示によれば、処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、通常処理に関する基本機能への悪影響ならびに通信ネットワークのトラフィックの増大を抑制できる。
実施の形態1に係るログ出力システムのシステム構成例を示す図 実施の形態1に係るIoT機器の内部構成例を示すブロック図 ログの構成例を示す図 ログの構成例を示す図 ログIDの構成例を示す図 ログの種別例を示す図 ブラックリスト、ホワイトリスト、動的リストを構成する項目例を示す図 実施の形態1に係るIoT機器の動作概要例を示す説明図 実施の形態1に係るIoT機器の動作手順を時系列に示すフローチャート 動的リストの構成例を示す図 限定条件リストの構成例を示す図 ログのメッセージ中に記載されるキー文字列の一例を示す図 Webサーバへの正常なアクセス時のログの一例を示す図 Webサーバへのアクセスのエラー時のログの一例を示す図 限定条件(1)の条件を用いた判断手順例を示す簡易的なフローチャート 正常系ログのDetailIDごとのログの一例を示す図 限定条件(2),(3)の条件を用いた判断手順例を示す簡易的なフローチャート 比較情報を削除するためまたは比較情報を削除しないための優先条件リストの構成例を示す図 図6のステップSt3の動作手順の詳細例を示すフローチャート 図12のステップSt12の動作手順の詳細例を示すフローチャート 図6のステップSt4の動作手順の詳細例を示すフローチャート 図14のステップSt18の動作手順の詳細例を示すフローチャート
以下、適宜図面を参照しながら、本開示に係るログ出力装置、ログ出力方法およびログ出力システムを具体的に開示した実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。なお、添付図面および以下の説明は、当業者が本開示を十分に理解するために提供されるのであって、これらにより特許請求の範囲に記載の主題を限定することは意図されていない。
以下、本開示に係るログ出力装置の一例として、IoT機器(上述参照)を例示して説明する。実施の形態1に係るログ出力装置の一例としてのIoT機器は、IoT機器における何かしらの処理の実行履歴を示すログを生成する。IoT機器は、その処理が異常であることを示す第1の静的情報を含む第1のリスト(例えばブラックリスト)と、その処理が正常であることを示す第2の静的情報を含む第2のリスト(例えばホワイトリスト)と、ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリスト(例えば動的リスト)と、をメモリ(例えばフラッシュメモリ24)に保持する。IoT機器は、生成されたログが第1の静的情報を有する場合にそのログの出力を決定するとともに、生成されたログが第2の静的情報を有する場合にそのログの非出力を決定する。また、IoT機器は、生成されたログと第3のリスト(上述参照)とに基づいて、そのログの出力の要否を決定する。なお、本開示に係るログ出力装置は、上述したIoT機器に限定されず、PC等のコンピュータであってもよい。
図1は、実施の形態1に係るログ出力システム10のシステム構成例を示す図である。ログ出力システム10は、PC1と、複数(n:2以上の整数)個のIoT機器2−1〜2−nと、IPS3と、SIEM4と、SOC5とを含む構成である。PC1、n個のIoT機器2−1〜2−n、IPS3およびSIEM4はそれぞれネットワークNW1を介して通信可能に接続される。IPS3およびSOC5はそれぞれネットワークNW2を介して通信可能に接続される。ネットワークNW1,NW2は、無線ネットワークであり、例えば、Wifi(登録商標)等の無線LAN(Local Area Network)、第4世代移動通信システム(いわゆる、4G)もしくは第5世代移動通信システム(いわゆる、5G)である。なお、ネットワークNW1,NW2は、有線ネットワークでもよい。
PC1は、高い情報処理能力を有するプロセッサを備えた通常のパーソナルコンピュータであり、ハイエンド仕様の情報処理機器である。PC1の具体的な内部構成例の図示は省略するが、PC1は、プロセッサ、RAM(Random Access Memory)およびROM(Read Only Memory)等のメモリ、HDD(Hard Disk Drive)、通信用のネットワークI/F(Interface)を含む構成である。PC1に搭載されるプロセッサの処理能力は、後述するIoT機器2−1〜2−nに搭載されるプロセッサ23(図2参照)の処理能力より優れていればハイエンド仕様でなくてもよい。PC1は、何らかの処理(例えば、アプリケーションの処理、通信)を実行すると、その処理の実行履歴を示すログをプロセッサにおいて生成する。PC1は、ネットワークNW1およびIPS3を介して、またはネットワークNW1を介して直接に、生成されたログをSIEM4に送る。
IoT機器2−1〜2−nは、上述したように、プロセッサ23および作動ユニット26を少なくとも有し、プロセッサ23の指示に従って作動ユニット26により取得されたデータもしくは情報を、ネットワーク(例えばネットワークNW1)を介して接続された通信相手に対して送信可能な、ローエンド仕様の電子機器である。また、IoT機器2−1〜2−nは、作動ユニット26により取得されたデータもしくは情報を、ネットワークNW1を介して、クラウドサーバ(図示略)との間で通信でき、クラウドサーバから送信された制御データに従って、自身に内蔵されたアクチュエータを駆動することができる。IoT機器2−1〜2−nは、例えば、監視カメラ、決済端末、ボディウォーンカメラ(Body Worn Camera)、ドアホン、複合機、スマートメータ、PLC(programmable logic controller)、ゲートウェイボックス等が挙げられる。
IoT機器2−1〜2−nは、PC1と同様、何らかの処理(例えば、通信、作動ユニット26における処理)を実行するまたはマルウェア等の悪意のあるウイルスソフトウェアによる攻撃等の処理を受けると、その処理の実行履歴あるいは上述したウイルスソフトウェアによる攻撃等の処理を受けた履歴を示すログをプロセッサ23または作動ユニット26において生成する。IoT機器2−1〜2−nは、主に3種類のリスト(具体的には、ブラックリストL1、ホワイトリストL2、動的リストL3)を用いて、生成されたログの出力(例えば、SIEM4への送信)の要否を決定し、そのログを出力すると決定した場合に限って出力(例えば、SIEM4に送信)する。言い換えると、実施の形態1では、IoT機器2−1〜2−nは、処理の実行の度に生成されたログを都度出力するのではなく、上述したそれぞれのリストを用いて自らログの出力の要否を決定することで、出力対象となるログをふるい分けする。これにより、IoT機器2−1〜2−nは、全てのログを出力することなく、必要なログだけを出力できるので、ネットワークNW1のトラフィックの増大を抑制できるとともに、大量のログを出力することによる基本機能への悪影響(例えば処理の遅延)を抑制できる。
IPS(Intrusion Prevention System)3は、ネットワークNW1に接続される機器(例えば、PC1、IoT機器2−1〜2−n)から送られるデータを監視して解析するネットワーク機器である。IPS3は、データの解析によって、第三者からの不正なアクセスおよび攻撃またはその予兆を検出可能であり、検出した際にはシステム管理者に通知する。また、IPS3は、第三者からの不正なアクセスおよび攻撃を防御することも可能である。なお、IPS3はSIEM4と直接にデータもしくは情報の通信が可能に接続されている。なお、IPSの代わりにIDS(Intrusion Detection System)、ファイアウォール、プロキシなどが接続される場合も考えられる。
SIEM(Security Information and Event Management)4は、IPS3またはネットワークNW1を介して受信された複数のデータまたは情報(例えば、PC1あるいはIoT機器2−1〜2−nからのログ)を収集して分析する。SIEM4は、ログを分析することで、PC1あるいはIoT機器2−1〜2−nが危険またはその脅威にさらされていないか(例えば、第三者からサイバー攻撃を受けていないかまたは受けそうになっていないか)を検知可能な、高度な情報処理性能を有する機器である。SIEM4は、例えばPCもしくはPCより高度な情報処理性能を有するサーバ装置を用いて構成される。SIEM4は、ログの分析結果として、PC1あるいはIoT機器2−1〜2−nが危険またはその脅威にさらされていることを検知した際、システム管理者に通知可能である。
SOC(Security Operation Center)5は、IPS3における解析結果またはSIEM4における分析結果に基づいてサイバー攻撃の検知および分析を行う組織である。SOC5は、分析結果を監視するための複数台のコンピュータからなるネットワーク機器で構成され、例えばシステム管理およびセキュリティの専門知識を有する人により管理される。
図2は、実施の形態1に係るIoT機器2−1〜2−nの内部構成例を示すブロック図である。IoT機器2−1〜2−nの内部構成例はそれぞれ共通でもよく、特段の理由が無い限り、以下の説明ではIoT機器2と総称する。IoT機器2は、ROM21と、RAM22と、プロセッサ23と、フラッシュメモリ24と、内部I/F25と、作動ユニット26と、ネットワークI/F27とを含む構成である。
ROM21は、プロセッサ23を制御するためのプログラムおよびデータを予め記憶する。
RAM22は、プロセッサ23の動作時に使用されるワークメモリである。RAM22は、プロセッサ23の動作の実行に必要なプログラムやデータ、更には、動作中に生成された情報またはデータ等を一時的に保存する。
プロセッサ23は、例えばPC1のプロセッサ(図示略)に比べて処理能力が劣っているCPU(Central Processing unit)またはMPU(Micro Processing Unit)を用いて構成され、IoT機器2の各部の動作を制御する。プロセッサ23は、IoT機器2の制御部として機能し、IoT機器2の各部の動作を全体的に統括するための制御処理、IoT機器2の各部との間のデータの入出力処理、データの演算(計算)処理およびデータの記憶処理を行う。プロセッサ23は、ROM21に記憶されたプログラムおよびデータに従って動作する。生成部の一例としてのプロセッサ23は、処理(例えばROM21に記憶されたプログラムおよびデータに従って動作した処理)の実行履歴を示すログを生成する。また、登録部の一例としてのプロセッサ23は、過去に出力されたことのあるログの内容に基づいて、そのログの有する項目ごとの内容からなる比較情報を生成し、その生成された比較情報を動的リストL3としてフラッシュメモリ24に登録する。
また、選別部の一例としてのプロセッサ23は、生成されたログがブラックリストL1に含まれる情報(静的、つまり変わらない情報)を有する場合に、その生成されたログを出力することを決定する。プロセッサ23は、生成されたログがホワイトリストL2に含まれる情報(静的、つまり変わらない情報)を有する場合に、その生成されたログを出力しないことを決定する。さらに、プロセッサ23は、生成されたログの内容と動的リストL3の内容とに基づいて、そのログの出力の要否を決定する。プロセッサ23の動作例の詳細については後述する(図5Bおよび図6参照)。
メモリの一例としてのフラッシュメモリ24は、プロセッサ23または作動ユニット26により生成されるログを外部に出力するか否か(例えば、ネットワークNW1を介して接続されたSIEM4に送信するか否か)を決定するためのリストを記憶して保持する。リストは、ブラックリストL1、ホワイトリストL2および動的リストL3である。なお、ブラックリストL1、ホワイトリストL2および動的リストL3のうち少なくとも1つは、RAM22に一時的に格納されてもよい。
第1のリストの一例としてのブラックリストL1は、プロセッサ23または作動ユニット26において実行された処理の実行履歴(つまり、ログ)に異常があったことを示す情報(第1の静的情報の一例)を含む。
第2のリストの一例としてのホワイトリストL2は、プロセッサ23または作動ユニット26において実行された処理の実行履歴(つまり、ログ)が正常であったことを示す情報(第2の静的情報の一例)を含む。
第3のリストの一例としての動的リストL3は、プロセッサ23または作動ユニット26において実行された処理の実行履歴(つまり、ログ)の内容に応じてそのログの出力の要否を決定するための動的情報を含む。動的リストL3の具体例の詳細については後述する。
内部I/F25は、作動ユニット26と他の各部との間のデータもしくは情報の入出力を行うインターフェースである。
作動ユニット26は、例えば、所定のイベントもしくは気温、気圧、湿度等のパラメータを検出するためのセンシングデバイスでもよいし、既定または可変の画角内の被写体を撮像するための撮像デバイスである。作動ユニット26は上述したセンシングデバイスや撮像デバイスに限定されない。作動ユニット26は、センシングまたは撮像の処理を実行すると、その処理の実行履歴を示すログを生成してプロセッサ23に渡してもよい。
ネットワークI/F27は、IoT機器2における通信部としての役割を有し、プロセッサ23においてログの出力を行うと決定された場合に、プロセッサ23または作動ユニット26により生成されたログを外部(例えばネットワークNW1を介してIoT機器2と接続されたSIEM4)に送信する。
図3Aおよび図3Bは、ログの構成例を示す図である。図3Aに示されるように、ログLG1は、ヘッダ情報LGHとログ本体LGBとを含む。実施の形態1に係るIoT機器2がログLG1の出力(例えばSIEM4への送信)を必要と決定するための判断に用いられる各種の情報は、ヘッダ情報LGH内に記載されている場合(図3A参照)と、ログ本体LGB内に記載されている場合(図3B参照)とがある。ここで、各種の情報とは、例えばログID31、相手先IP(Internet Protocol)アドレス32、相手先ポート番号33、facility34、priority35、その他の情報である。
ログID31はログを識別するための情報であり、その詳細については図4Aおよび図4Bを参照して後述する。相手先IPアドレス32は、IoT機器2の通信相手である通信機器のIPアドレスを示す。相手先ポート番号33は、IoT機器2とその通信相手である通信機器との間で用いられるポート番号を示す。facility34は、ログの種類を分類するための情報である。priority35は、ログの緊急性(例えば警告レベル、重大な危険レベル)を示す情報である。
図4Aは、ログID31の構成例を示す図である。図4Bは、ログLG1の種別例を示す図である。図4Aに示されるように、ログID31は、InfoID(インフォID)と、DetailID(ディーテイルID)とが連接された構成である。インフォIDは、ログIG1の種類を示す。ディーテイルIDは、ログLG1の詳細な内容に対して付与されるIDを示す。
図4Bに示されるように、ログの種類として、正常系ログ、異常系ログ、iptablesログ、Apache(登録商標)アクセスログ、Secureログが例示されている。例えば、正常系ログでは、インフォIDは16進数で「1」と示され、ディーテイルIDは16進数で「8001〜81ff」と示される。また例えば、異常系ログでは、インフォIDは16進数で「2」と示され、ディーテイルIDは16進数で「8001〜81ff」と示される。また例えば、iptablesログでは、インフォIDは16進数で「5」と示され、ディーテイルIDは16進数で「1」と示される。また例えば、Apache(登録商標)アクセスログでは、インフォIDは16進数で「7」と示され、ディーテイルIDは16進数で「1」と示される。また例えば、Secureログでは、インフォIDは16進数で「8」と示され、ディーテイルIDは16進数で「1」と示される。このように、ログの種類に応じて、インフォIDおよびディーテイルIDからなるログID31がそれぞれ異なって識別可能に構成される。
次に、実施の形態1に係るIoT機器2におけるログの出力の要否を決定するための動作概要例について、図5A、図5Bおよび図6を参照して説明する。図5Aは、ブラックリスト、ホワイトリスト、動的リストを構成する項目例を示す図である。図5Bは、実施の形態1に係るIoT機器の動作概要例を示す説明図である。図6は、実施の形態1に係るIoT機器の動作手順を時系列に示すフローチャートである。
図5Aに示すように、実施の形態1に係るブラックリストL1は、比較項目として、ログID、相手先IPアドレスおよびポート番号、facility、priority、ログメッセージ、Apache(登録商標)ステータスのそれぞれに対し、処理の実行結果が異常であること示す内容を含む。
実施の形態1に係るホワイトリストL2は、比較項目として、ログID、相手先IPアドレスおよびポート番号、facility、priority、Apache(登録商標)ステータスのそれぞれに対し、処理の実行結果が正常であることを示す内容を含む。
実施の形態1に係る動的リストL3は、過去に出力されたログに記載されていた内容のうち、比較項目として相手先IPアドレス、ポート番号およびログIDのそれぞれが抽出された情報を有する1つ以上の比較情報(図7参照)を含む。
図5Bおよび図6に示すように、IoT機器2のプロセッサ23は、処理の実行履歴を示すログ(例えばログLG1)が生成される度に、そのログに記載されている内容の中に、ブラックリストL1中の全比較項目のうち一部または全部の比較項目の内容と一致する内容が含まれているか否かを判定する(St1)。選別部の一例としてのプロセッサ23は、その生成されたログ(以下、便宜的に「生成ログ」と称する)に記載されている内容の中に、ブラックリストL1中の一部または全部の比較項目の内容と一致すると判定した場合(St1、YES)、その生成ログの出力を決定する。プロセッサ23は、ネットワークI/F27を介して、その生成ログを出力(例えば、SIEM4に送信)する(St5)。
一方、プロセッサ23は、生成ログに記載されている内容の中に、ブラックリストL1中のいずれの比較項目の内容と一致する内容が含まれていないと判定した場合(St1、NO)、ホワイトリストL2中の全比較項目のうち一部または全部の比較項目の内容と一致する内容が含まれているか否かを判定する(St2)。プロセッサ23は、その生成ログに記載されている内容の中に、ホワイトリストL2中の一部または全部の比較項目の内容と一致すると判定した場合(St2、YES)、その生成ログの非出力(つまり、その生成ログを出力しない)と決定する。
一方、プロセッサ23は、生成ログに記載されている内容の中に、ホワイトリストL2中のいずれの比較項目の内容と一致する内容が含まれていないと判定した場合(St2、NO)、後述する限定条件リストL4(図8A参照)を考慮して、その生成ログを出力することの要否が決定可能か否かを判定する(St3)。プロセッサ23は、限定条件リストL4を用いた判定結果として生成ログを出力すると判定した場合(St3、出力要)、その生成ログの出力を決定する。プロセッサ23は、ネットワークI/F27を介して、その生成ログを出力(例えば、SIEM4に送信)する(St5)。
また、プロセッサ23は、限定条件リストL4を用いた判定結果として生成ログを出力しないと判定した場合(St3、出力不要)、その生成ログの非出力(つまり、その生成ログを出力しない)と決定する。
さらに、プロセッサ23は、限定条件リストL4を用いた判定結果として生成ログを出力することの要否を決定できないと判定した場合(St3、決定不可)、その生成ログの内容と動的リストL3とに基づいて、その生成ログを出力することが必要か否かを判定する(St4)。プロセッサ23は、生成ログの内容と動的リストL3とに基づいて、その生成ログを出力することが必要と判定した場合には(S4、YES)、その生成ログの出力を決定する。プロセッサ23は、ネットワークI/F27を介して、その生成ログを出力(例えば、SIEM4に送信)する(St5)。
一方、プロセッサ23は、生成ログの内容と動的リストL3とに基づいて、その生成ログを出力することが不要と判定した場合には(S4、YES)、その生成ログの非出力(つまり、その生成ログを出力しない)と決定する。なお、プロセッサ23は、生成ログの出力の要否を決定するために、ブラックリストL1およびホワイトリストL2の順に比較しているが、ホワイトリストL2およびブラックリストL1の順に比較してもよい。但し、プロセッサ23は、図6に示すように、ブラックリストL1およびホワイトリストL2の順に比較することで、ブラックリストL1の一部または全部の比較項目の内容が生成ログに含まれていれば生成ログを出力すると決定するので、その生成ログの出力の要否を迅速に決定できる。
次に、実施の形態1に係る動的リストL3の詳細について、図7を参照して説明する。図7は、動的リストL3の構成例を示す図である。動的リストL3は、リスト番号0からリスト番号(n−1)の最大n個の比較情報を登録可能なリストである。図7に示される例では、動的リストL3は、(n−3)個の比較情報(1),比較情報(2),比較情報(3),…,比較情報(n−3)を有する。図7において、リスト番号(n−2),リスト番号(n−1)のアドレスには比較情報が未だ登録されていないことが示されている。それぞれの比較情報(例えば、比較情報(1))は、比較条件311と頻度情報312とからなる。
比較条件311は、IPアドレス3111、ポート番号3112およびログID3113を有する。IPアドレス3111は、図3Aに示す相手先IPアドレス32であり、比較条件311の生成の元になったログ(つまり、過去に出力されたことのあるログ)に含まれていた相手先IPアドレスである。ポート番号3112は、図3Aに示す相手先ポート番号33であり、比較条件311の生成の元になったログ(つまり、過去に出力されたことのあるログ)に含まれていた相手先ポート番号である。ログID3113は、図3Aに示すログID31である。
頻度情報312は、出現回数3121および経過時間3122を有する。出現回数3121は、対応する比較条件311と一致する内容を含むログが生成された(言い換えると、出現した)回数を示す。例えば出現回数3121が「0(ゼロ)」となる時(言い換えると、対応する比較条件311と一致する内容を含むログが初めて生成された時)には、プロセッサ23により、そのログは出力されると決定される。その後、プロセッサ23は、対応する比較条件311と一致する内容を含むログが生成される度に、出現回数3121をインクリメントし、出現回数3121が第1の既定値(例えば10)に達した時には出現回数3121を初期化(つまり、リセット)する。これにより、プロセッサ23は、対応する比較条件311と一致する内容を含むログが10回生成された場合、1回だけ出力すると決定できるので、同様な内容の生成ログを無造作に出力することを抑制できる。
経過時間3122は、対応する比較条件311と一致する内容を含むログが生成された時点からの経過時間を示す。つまり、プロセッサ23は、対応する比較条件311と一致する内容を含むログが生成された時点からの経過時間を経過時間3122として保存する。なお、経過時間3122の代わりに、ログが生成された時刻そのものが頻度情報として保存されても構わない。プロセッサ23は、第2の既定値(例えば10分)以内に出現回数3121が第1の既定値(例えば10)に達しなかった場合には、出現回数3121および経過時間3122を初期化(つまり、リセット)する。これにより、プロセッサ23は、対応する比較条件311と一致する内容を含むログが生成されてから少なくとも第2の既定値が経過していない場合には、同様な内容のログの出力を省くことができ、ログの出力量を適正に絞ることができる。
次に、実施の形態1に係る限定条件リストL4の詳細について、図8A、図8B、図9A、図9B、図9C、図10Aおよび図10Bを参照して説明する。図8Aは、限定条件リストL4の構成例を示す図である。図8Bは、ログLGB1のメッセージ中に記載されるキー文字列の一例を示す図である。図9Aは、Webサーバへの正常なアクセス時のログLGB2の一例を示す図である。図9Bは、Webサーバへのアクセスのエラー時のログLGB3の一例を示す図である。図9Cは、限定条件(1)の条件を用いた判断手順例を示す簡易的なフローチャートである。図10Aは、正常系ログのDetailIDごとのログの一例を示す図である。図10Bは、限定条件(2),(3)の条件を用いた判断手順例を示す簡易的なフローチャートである。
図8Aに示されるように、限定条件リストL4は、動的リストL3を用いた生成ログの出力または非出力の決定の要否を判定するための複数の限定条件を含むリストである。具体的には、限定条件リストL4は、限定条件の数を示す限定条件数と、それぞれの限定条件(例えば、限定条件(1),限定条件(2),限定条件(3),…)とを有する。それぞれの限定条件(例えば、限定条件(1))は、「IPアドレスおよび対応するフラグ」、「ポート番号および対応するフラグ」、「DetailIDおよび対応するフラグ」、「キー文字列および対応するフラグ」の組からなる。それぞれのフラグは、対応する項目(例えば、IPアドレス、ポート番号、DetailID、キー文字列)を限定条件として使用するまたは使用しないことを示す付加情報である。
それぞれの限定条件は、ログID31(図4A参照)の一部であるInfoID(インフォID)ごとに設けられ、例えばApache(登録商標)アクセスログ(インフォIDが16進数で「7」),正常系ログ(インフォIDが16進数で「1」),異常系ログ(インフォIDが16進数で「2」),…ごとに設けられる。
プロセッサ23は、限定条件リストL4を構成する限定条件のうち、生成ログのログID31に対応して設けられた限定条件を抽出して生成ログと比較する。プロセッサ23は、その限定条件に対応するログIDに応じて、その限定条件と一致する内容を含む生成ログについては、動的リストL3を用いた生成ログの出力または非出力の決定の対象外と判定する。これにより、プロセッサ23は、限定条件と一致する内容を含む生成ログの種類によっては、動的リストL3を用いた生成ログの出力または非出力を決定しないで、その生成ログの出力または非出力を迅速に判定できる。
また、プロセッサ23は、限定条件リストL4を構成する限定条件のうち、生成ログのログID31に対応して設けられた限定条件を抽出して生成ログと比較する。プロセッサ23は、その限定条件に対応するログIDに応じて、その限定条件と一致する内容を含む生成ログについては、動的リストL3を用いた生成ログの出力または非出力の決定の対象と判定してもよい。これにより、プロセッサ23は、限定条件と一致する内容を含む生成ログの種類によっては、その生成ログの出力または非出力について、限定条件で出力の要否を簡易チェックせずに動的リストL3を用いて詳細に判定できる。
限定条件を構成するIPアドレスは、図3Aに示す相手先IPアドレス32である。限定条件を構成するポート番号は、図3Aに示す相手先ポート番号33である。限定条件を構成するDetailIDは、図4Aに示すDetailIDである。限定条件を構成するキー文字列は、例えば図8Bに示されるように、ログLGB1のメッセージ内に記載されている特定の文字列(図8Bの下線部参照)である。
図9Aには、例えばIoT機器2がWebサーバに対して正常にアクセスした時のログLGB2の一部が示されており、このログLGB2のログIDのインフォIDは16進数で「7」である(図4B参照)。このようなログLGB2は、IoT機器2が通常状態時に多く生成されるので、例えば限定条件(1)として、ログLGB2の一部の文字列「““GET/HTTP/1.1”200”」がキー文字列として予め登録される。従って、図9Cに示されるように、プロセッサ23は、その限定条件(1)のキー文字列(上述参照)と一致する内容を含むログが生成された場合、そのログは限定条件(1)と一致する内容を含むので(St12、YES)、そのログLGB2の出力または非出力について、動的リストL3を用いて決定すると判定する。
一方、図9Bには、例えばIoT機器2がWebサーバに対してアクセスエラーが生じた時のログLGB3の一部が示されており、このログLGB2のログIDのインフォIDは16進数で「7」である(図4B参照)。従って、図9Cに示されるように、プロセッサ23は、このようなログLGB3が生成された場合、ログLGB3は限定条件(1)と一致する内容を含まないので(St12、NO)、そのログLGB3を出力すると決定する。
図10Aには、ログの種類が正常系ログである場合に(例えばインフォIDが16進数で「1」、図4B参照)、正常系ログの4つのDetailID(ディーテイルID)に対応するログのメッセージ例とその時の発生事象とが対応付けられて示されている。例えば、DetailIDが16進数で「8001」のログはネットワーク接続時のログを示し、DetailIDが16進数で「8002」のログはネットワーク切断時のログを示し、DetailIDが16進数で「8003」のログはデータ受信時のログを示し、DetailIDが16進数で「8004」のログはデータ送信時のログを示す。このように一つの正常系ログの中で階層的に複数の細かいログが規定される場合には、限定条件として、DetailID(ディーテイルID)が使用されて予め登録される。
より具体的には、図10Bに示されるように、DetailIDが16進数で「8001」のログは出現回数が少ないので、すべて出力の対象として限定条件(2)として予め登録される。従って、プロセッサ23は、その限定条件(2)と一致する内容を含むログが生成された場合(St13、YES)、そのログを出力すると決定する。
また、DetailIDが16進数で「8002」のログは重要でないため、すべて非出力の対象として限定条件(3)として予め登録される。従って、プロセッサ23は、限定条件(2)と一致する内容を含まないログが生成された場合(St13、NO)、そのログが限定条件(3)と一致する内容を含むか否かを判定する(St14)。プロセッサ23は、限定条件(3)と一致する内容を含むと判定した場合(St14、YES)、そのログは出力しないと決定する。
また、DetailIDが16進数で「8003」,「8004」のそれぞれのログは出現回数が多いので、出力または非出力の判別が簡易には行えない。つまり、このようなDetailIDは限定条件に適さない。従って、プロセッサ23は、限定条件(3)と一致する内容を含まないと判定するので(St14、NO)、動的リストL3を用いて出力または非出力の決定を行うと判定する。
次に、実施の形態1に係る優先条件リストL5の詳細について、図11を参照して説明する。図11は、比較情報を削除するためまたは比較情報を削除しないための優先条件リストL5の構成例を示す図である。優先条件リストL5は、登録数が限られた比較情報を優先的に削除するためまたは比較情報を削除しないための複数の優先条件を含むリストである。具体的には、優先条件リストL5は、優先条件の数を示す優先条件数と、それぞれの優先条件(例えば、優先条件(1),優先条件(2),優先条件(3),…)とを有する。それぞれの優先条件(例えば、優先条件(1))は、IPアドレス、ポート番号、DetailID、キー文字列からなる。
上述したように、動的リストL3を構成する比較情報(図7参照)の登録数は有限(例えばn個、図7参照)であり、(n+1)個以上の比較情報の登録はできない。これは、例えばPC1に比べてローエンド仕様であるIoT機器2のフラッシュメモリ24の記憶容量が、PC1のHDDの記憶容量に比べてとても少ないからである。従って、選別部の一例としてのプロセッサ23は、次の削除条件1〜削除条件5のうちいずれか一つまたは組み合わせ可能な2つ以上の削除条件を満たす場合に、動的リストL3を構成する比較情報を削除する。但し、削除条件4と削除条件5とは相反する条件であるため、組み合わせて使用することはできない。
削除条件1:プロセッサ23は、比較情報のうち最も古い(言い換えると、最初に登録された)比較情報を削除する。
削除条件2:プロセッサ23は、比較情報ごとに出現頻度(例えば、頻度情報312の出現回数3121)を対応付けて記憶しておき、その出現頻度の最も少ない比較情報を削除する。
削除条件3:プロセッサ23は、比較情報ごとに登録時刻(つまり、動的リストL3としての登録時刻)を記憶しておき、その比較情報の比較条件と一致する内容を含むログが生成された場合に、登録時刻を更新する。プロセッサ23は、登録時刻の古い比較情報から削除する。
削除条件4:プロセッサ23は、図11に示す優先条件リストL5をフラッシュメモリ24に登録しておき、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…のうちいずれかと一致する比較条件を有する比較情報を優先的に削除する。この削除条件4を用いる場合、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…はいずれも、比較情報を削除するための条件と考えることができる。
削除条件5:プロセッサ23は、図11に示す優先条件リストL5をフラッシュメモリ24に登録しておき、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…のうちいずれかと一致しない比較条件を有する比較情報を優先的に削除する。この削除条件5を用いる場合、優先条件リストL5を構成する優先条件(1),優先条件(2),優先条件(3),…はいずれも、比較情報を削除しないための条件と考えることができる。
次に、実施の形態1に係るIoT機器2における生成ログの出力または非出力について、限定条件リストL4および動的リストL3をそれぞれ用いて判断する時の動作手順の詳細について、図12、図13、図14および図15を参照して説明する。図12は、図6のステップSt3の動作手順の詳細例を示すフローチャートである。図13は、図12のステップSt12の動作手順の詳細例を示すフローチャートである。図14は、図6のステップSt4の動作手順の詳細例を示すフローチャートである。図15は、図14のステップSt18の動作手順の詳細例を示すフローチャートである。図12〜図15の各処理は、例えばIoT機器2のプロセッサ23により実行される。
図12において、プロセッサ23は、プロセッサ23または作動ユニット26により生成されたログのインフォIDに基づいて、その生成ログがApache(登録商標)アクセスログ、正常系ログおよび異常系ログのうちいずれであるかを判定する(St11)。
プロセッサ23は、生成ログがApache(登録商標)アクセスログ(つまり、Webサーバへのアクセスに関するログ)であると判定した場合(St11、Apache(登録商標)アクセスログ)、その生成ログと限定条件(1)と一致するか否かを判定する(St12)。
プロセッサ23は、その生成ログが限定条件(1)と一致する内容を含むと判定した場合(St12、YES)、(A−1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する(図6のステップSt3の「決定不可」、図9C参照)。
一方、プロセッサ23は、その生成ログが限定条件(1)と一致する内容を含まないと判定した場合(St12、NO)、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する(図6のステップSt3の「出力要」、図9C参照)。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
プロセッサ23は、生成ログが異常系ログであると判定した場合(St11、異常系ログ)、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する(図6のステップSt3の「出力要」、図10B参照)。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
プロセッサ23は、生成ログが正常系ログであると判定した場合(St11、正常系ログ)、その生成ログと限定条件(2)と一致するか否かを判定する(St13)。プロセッサ23は、その生成ログが限定条件(2)と一致する内容を含むと判定した場合(St13、YES)、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する(図6のステップSt3の「出力要」、図10B参照)。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
一方、プロセッサ23は、その生成ログが限定条件(2)と一致する内容を含まないと判定した場合(St13、NO)、その生成ログと限定条件(3)と一致するか否かを判定する(St14)。
プロセッサ23は、その生成ログが限定条件(3)と一致する内容を含むと判定した場合(St14、YES)、(A−3)の処理(つまり、生成ログの非出力)を実行すると判定する(図6のステップSt3の「出力不要」、図10B参照)。
一方、プロセッサ23は、その生成ログが限定条件(3)と一致する内容を含まないと判定した場合(St14、NO)、(A−1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する(図6のステップSt3の「決定不可」、図9C参照)。
なお、実施の形態1では、Apache(登録商標)アクセスログ、正常系ログおよび異常系ログについて記載したが、iptablesログおよびSecureログについて同じように限定条件を設定する場合も考えられる。
図13において、プロセッサ23は、限定条件(1)においてIPアドレスを使用する旨のフラグが保持されているか否かを判定する(St12−1)。限定条件(1)においてIPアドレスを使用する旨のフラグが保持されていないと判定された場合(St12−1、NO)、プロセッサ23の処理はステップSt12−3に進む。
プロセッサ23は、限定条件(1)においてIPアドレスを使用する旨のフラグが保持されていると判定した場合(St12−1、YES)、ステップSt12の対象となる生成ログが限定条件(1)のIPアドレスと一致する内容を含むか否かを判定する(St12−2)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のIPアドレスと一致する内容を含まないと判定した場合(St12−2、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のIPアドレスと一致する内容を含むと判定した場合(St12−2、YES)、限定条件(1)においてポート番号を使用する旨のフラグが保持されているか否かを判定する(St12−3)。限定条件(1)においてポート番号を使用する旨のフラグが保持されていないと判定された場合(St12−3、NO)、プロセッサ23の処理はステップSt12−5に進む。
プロセッサ23は、限定条件(1)においてポート番号を使用する旨のフラグが保持されていると判定した場合(St12−3、YES)、ステップSt12の対象となる生成ログが限定条件(1)のポート番号と一致する内容を含むか否かを判定する(St12−4)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のポート番号と一致する内容を含まないと判定した場合(St12−4、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する。つまり、プロセッサ23は、その生成ログの出力(例えばSIEM4への送信)を行う(St24)。
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のポート番号と一致する内容を含むと判定した場合(St12−4、YES)、限定条件(1)においてログIDを使用する旨のフラグが保持されているか否かを判定する(St12−5)。限定条件(1)においてログIDを使用する旨のフラグが保持されていないと判定された場合(St12−5、NO)、プロセッサ23の処理はステップSt12−7に進む。
プロセッサ23は、限定条件(1)においてログIDを使用する旨のフラグが保持されていると判定した場合(St12−5、YES)、ステップSt12の対象となる生成ログが限定条件(1)のログIDと一致する内容を含むか否かを判定する(St12−6)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のログIDと一致する内容を含まないと判定した場合(St12−6、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する。
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のログIDと一致する内容を含むと判定した場合(St12−6、YES)、限定条件(1)においてキー文字列を使用する旨のフラグが保持されているか否かを判定する(St12−7)。限定条件(1)においてキー文字列を使用する旨のフラグが保持されていないと判定された場合(St12−7、NO)、プロセッサ23は、(A−1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する。
プロセッサ23は、限定条件(1)においてキー文字列を使用する旨のフラグが保持されていると判定した場合(St12−7、YES)、ステップSt12の対象となる生成ログが限定条件(1)のキー文字列と一致する内容を含むか否かを判定する(St12−8)。プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のキー文字列と一致する内容を含まないと判定した場合(St12−8、NO)、動的リストL3を用いた出力の要否のチェックを行わず、(A−2)の処理(つまり、生成ログの出力)を実行すると判定する。
プロセッサ23は、ステップSt12の対象となる生成ログが限定条件(1)のキー文字列と一致する内容を含むと判定した場合(St12−8、YES)、(A−1)の処理(つまり、動的リストL3を用いた出力または非出力の要否のチェック)を実行すると判定する。
図14において、プロセッサ23は、(A−1)の処理として、動的リストL3のリスト番号0を設定し(St15)、現在のリスト番号に対応する比較情報が動的リストL3に存在しているか否か(例えば、削除されていないかどうか)を判定する(St16)。現在のリスト番号に対応する比較情報が動的リストL3に存在していないと判定された場合には(St16、NO)、プロセッサ23の処理はステップSt22に進む。
プロセッサ23は、現在のリスト番号に対応する比較情報が動的リストL3に存在していると判定した場合(St16、YES)、該当する比較情報をフラッシュメモリ24から読み出して取得する(St17)。プロセッサ23は、対象とするログ(つまり、生成ログ)と読み出された比較情報とが一致するか否か(つまり、生成ログが比較情報の比較条件と一致する内容を含むか否か)を判定する(St18)。
プロセッサ23は、動的リストL3を用いた出力の要否を決定する対象とするログ(つまり、生成ログ)と読み出された比較情報とが一致しないと判定した場合(St18、NO)、動的リストL3のリスト番号をインクリメントする(St19)。プロセッサ23は、インクリメント後のリスト番号が最終のリスト番号(例えば(n−1))であるか否かを判定する(St20)。インクリメント後のリスト番号が最終のリスト番号でない場合には(St20、NO)、プロセッサ23の処理はステップSt16に戻る。
プロセッサ23は、インクリメント後のリスト番号が最終のリスト番号であると判定した場合には(St20、YES)、削除条件(上述参照)に従って、動的リストL3から少なくとも一つの比較情報を削除する(St21)。プロセッサ23は、動的リストL3を用いた出力の要否を決定する対象とするログ(つまり、生成ログ)に基づいて比較情報(図7参照)を生成して動的リストL3に登録する(St22)。例えば、プロセッサ23は、生成ログからIPアドレス3111、ポート番号3112およびログID3113をそれぞれ抽出して比較情報を生成する。プロセッサ23は、その生成された比較情報の出現回数および経過時間を「0(ゼロ)」に初期化する(St23)。この場合、プロセッサ23は、生成ログが全ての比較情報のそれぞれと一致する内容を含まないと判定したので、その生成ログを出力すると判定し、その判定に従ってその生成ログを出力する(St24)。なお、ステップSt23において、プロセッサ23は、生成された比較情報の出現回数および経過時間を初期化する代わりに、生成ログの生成時刻を保存してもよい。
一方、プロセッサ23は、動的リストL3を用いた出力の要否を決定する対象とするログ(つまり、生成ログ)と読み出された比較情報とが一致すると判定した場合(St18、YES)、その読み出された比較情報の出現回数(図7参照)をインクリメントする(St25)。プロセッサ23は、インクリメント後の出現回数が設定値(例えば、「10」等の第1の既定値)に達したか否かを判定する(St26)。プロセッサ23は、インクリメント後の出現回数が設定値(例えば、「10」等の第1の既定値)に達したと判定した場合には(St26、YES)、その比較情報の出現回数および経過時間を「0(ゼロ)」に初期化する(St23)。
一方、プロセッサ23は、インクリメント後の出現回数が設定値(例えば、「10」等の第1の既定値)に達していないと判定した場合(St26、NO)、その比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達したか否かを判定する(St27)。プロセッサ23は、その比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達したと判定した場合には(St27、YES)、その比較情報の出現回数および経過時間を「0(ゼロ)」に初期化する(St23)。
プロセッサ23は、その比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達していないと判定した場合には(St27、NO)、その比較情報の生成された時点から現在時刻までの時間を経過時間として保存(登録)する(St28)。なお、ステップSt28は省略されてもよく、比較情報の経過時間が設定値(例えば、「10分」等の第2の既定値)に達していないと判定した場合には(St27、NO)、プロセッサ23の処理はステップSt24に進んでよい。
図15において、プロセッサ23は、対象とするログ(つまり、生成ログ)と読み出された比較情報の比較条件のIPアドレスとが一致するか否かを判定する(St18−1)。プロセッサ23は、その比較条件のIPアドレスと生成ログに記載されているIPアドレスとが一致しない場合には(St18−1、NO)、ステップSt18の処理として「不一致」と判定する。
一方、プロセッサ23は、その比較条件のIPアドレスと生成ログに記載されているIPアドレスとが一致すると判定した場合(St18−1、YES)、対象とするログ(つまり、生成ログ)と読み出された比較情報の比較条件のポート番号とが一致するか否かを判定する(St18−2)。プロセッサ23は、その比較条件のポート番号と生成ログに記載されているポート番号とが一致しない場合には(St18−2、NO)、ステップSt18の処理として「不一致」と判定する。
一方、プロセッサ23は、その比較条件のポート番号と生成ログに記載されているポート番号とが一致すると判定した場合(St18−2、YES)、対象とするログ(つまり、生成ログ)と読み出された比較情報の比較条件のログIDとが一致するか否かを判定する(St18−3)。プロセッサ23は、その比較条件のログIDと生成ログに記載されているログIDとが一致しない場合には(St18−3、NO)、ステップSt18の処理として「不一致」と判定する。
一方、プロセッサ23は、その比較条件のポート番号と生成ログに記載されているポート番号とが一致すると判定した場合(St18−2、YES)、ステップSt18の処理として「一致」と判定する。
以上により、実施の形態1に係るログ出力システム10では、IoT機器2は、IoT機器における処理の実行履歴を示すログを生成する。IoT機器2は、その処理が異常であることを示す第1の静的情報を含む第1のリスト(例えばブラックリストL1)と、その処理が正常であることを示す第2の静的情報を含む第2のリスト(例えばホワイトリストL2)と、ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリスト(例えば動的リストL3)と、をメモリ(例えばフラッシュメモリ24)に保持する。IoT機器2は、生成されたログが第1の静的情報を有する場合にそのログの出力を決定するとともに、生成されたログが第2の静的情報を有する場合にそのログの非出力を決定する。また、IoT機器2は、生成されたログと第3のリスト(例えば動的リストL3)とに基づいて、そのログの出力の要否を決定する。
これにより、IoT機器2は、処理履歴として生成されたログの内容に応じて、SIEM4への報告対象となるログを適正に選別できるので、IoT機器2における通常処理に関する基本機能への悪影響を軽減できるとともに、ネットワークNW1の通信トラフィックの増大を抑制できる。
また、IoT機器2は、過去に出力されたログに基づく比較情報(動的情報の一例)を生成して動的リストL3として登録する。IoT機器2は、生成されたログが比較情報と一致した場合にそのログの非出力を決定する。これにより、IoT機器2は、動的リストL3として登録された比較情報と一致するような同様な内容のログの頻繁な出力を抑制できる。
また、IoT機器2は、複数の比較情報(動的情報の一例)を生成して動的リストL3として登録する。これにより、IoT機器2は、複数の比較情報を含む動的リストL3を登録できるので、複数の比較情報のうちいずれかと一致する内容を含むログの出力を抑制でき、比較情報が一つである場合に比べてログの頻繁な出力をより一層抑制できる。
また、比較情報は、過去に出力されたログの内容の一部を含む比較条件と、その比較条件と一致する内容を含むログが生成される頻度情報とを有する。これにより、IoT機器2は、過去に出力されたログの一部を含む比較条件とその比較条件と一致する内容を含むログが生成される頻度情報とを用いて、その生成ログの出力の要否を詳細かつきめ細かく
判別できるので、同様な内容であって頻繁に生成されるログの出力を効果的に抑制できる。
また、頻度情報は、生成されたログが比較条件と一致した回数を示す出現回数を少なくとも有する。IoT機器2は、出現回数が第1の既定値未満であると判定した場合に、生成されたログの非出力を決定する。これにより、IoT機器2は、対応する比較条件と一致する内容を含むログが第1の既定値(例えば10)回生成された場合に、1回だけ出力すると決定できるので、同様な内容の生成ログを無造作に出力することを抑制できる。
また、頻度情報は、比較条件と一致したログが生成された時点からの経過時間を少なくとも有する。IoT機器2は、経過時間が第2の既定値未満であると判定した場合に、生成されたログの非出力を決定する。これにより、IoT機器2は、対応する比較条件と一致する内容を含むログが生成されてから少なくとも第2の既定値(例えば10分)が経過していない場合には、同様な内容のログの出力を省くことができ、ログの出力量を適正に絞ることができる。
また、頻度情報は、比較条件と一致したログの生成時刻を少なくとも有する。IoT機器2は、現在時刻がその生成時刻からの経過時間が第2の既定値未満であると判定した場合に、生成されたログの非出力を決定する。これにより、IoT機器2は、対応する比較条件と一致する内容を含むログが生成されてから少なくとも第2の既定値(例えば10分)が経過していない場合には、同様な内容のログの出力を省くことができ、ログの出力量を適正に絞ることができる。
また、フラッシュメモリ24は、動的リストL3を用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む限定条件リストL4(第4のリストの一例)をさらに保持する。IoT機器2は、生成されたログが限定条件と一致する場合に、そのログに対する、動的リストL3を用いたログの出力または非出力の決定を行うと判定する。これにより、IoT機器2は、限定条件と一致する内容を含む生成ログの種類によっては、その生成ログの出力または非出力について、限定条件で出力の要否を簡易チェックせずに動的リストL3を用いて詳細に判定できる。
また、フラッシュメモリ24は、動的リストL3を用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む限定条件リストL4(第4のリストの一例)をさらに保持する。IoT機器2は、生成されたログが限定条件と一致する場合に、そのログに対する、動的リストL3を用いた生成ログの出力または非出力の決定を行わないと判定して出力または非出力を決定する。これにより、IoT機器2は、限定条件と一致する内容を含む生成ログの種類によっては、動的リストL3を用いた生成ログの出力または非出力を決定しないで、その生成ログの出力または非出力を迅速に判定できる。
また、フラッシュメモリ24は、比較情報を削除するための複数の優先条件を含む優先条件リストL5(第5のリストの一例)をさらに保持する。IoT機器2は、動的リストL3として登録可能な個数の比較情報が登録され、かつ生成されたログが優先条件のうちいずれかに一致する場合に、その優先条件と一致する比較情報を削除する。例えば、実行頻度の低い処理によって生成されるログは、その出力優先度が高いと考えられる。これにより、IoT機器2は、高頻度に実行される処理に基づくログの内容を含む比較情報が優先条件と一致する場合にその比較情報を削除でき、限られた個数の中で高頻度に生成されるログの出力を抑制可能とするべく有意義な比較情報の保持に資することができる。
また、フラッシュメモリ24は、比較情報を削除しないための複数の優先条件を含む優先条件リストL5(第5のリストの一例)をさらに保持する。IoT機器2は、動的リストL3として登録可能な個数の比較情報が登録され、かつ生成されたログが優先条件のうちいずれかに一致する場合に、その優先条件と一致する比較情報を削除しない。例えば、実行頻度の高い処理によって生成されるログは、その出力優先度が低いと考えられる。これにより、IoT機器2は、高頻度に実行される処理に基づくログの内容を含む比較情報が優先条件と一致する場合にその比較情報を削除せずに残すことで、高頻度に生成されるログの出力を抑制可能とするべく有意義な比較情報の保持に資することができる。
また、IoT機器2は、動的情報を構成する複数の比較情報の中から、最も古い比較情報を削除する。これにより、IoT機器2は、最も古い比較情報を満たすような処理が実行される頻度は低いので、そのような低頻度な処理に基づく不要な比較情報を削除することで、高頻度に実行される処理のログの出力を抑制可能とするべく有意義な比較情報を保持できる。
また、フラッシュメモリ24に保持される動的情報を構成する複数の比較情報のそれぞれは、その比較情報を満たすログの生成回数を示す出現頻度を保持する。IoT機器2は、動的情報を構成する複数の比較情報の中から、出現頻度の最も少ない比較情報を削除する。これにより、IoT機器2は、低頻度な処理に基づく不要な比較情報を削除することで、高頻度に実行される処理のログの出力を抑制可能とするべく有意義な比較情報を保持できる。
また、フラッシュメモリ24に保持される動的情報を構成する複数の比較情報のそれぞれは、その比較情報が動的情報として登録された登録時刻を保持する。IoT機器2は、動的情報を構成する複数の比較情報の中から、登録時刻の最も古い比較情報を削除する。なお、登録時刻は、対応する比較情報の比較条件と一致する内容を含むログが生成された場合に更新される。これにより、IoT機器2は、低頻度な処理に基づく不要な比較情報を削除することで、高頻度に実行される処理のログの出力を抑制可能とするべく有意義な比較情報を保持できる。
以上、図面を参照しながら各種の実施の形態について説明したが、本開示はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例、修正例、置換例、付加例、削除例、均等例に想到し得ることは明らかであり、それらについても当然に本開示の技術的範囲に属するものと了解される。また、発明の趣旨を逸脱しない範囲において、上述した各種の実施の形態における各構成要素を任意に組み合わせてもよい。
本開示は、処理履歴として生成されたログに応じて、SIEMへの報告対象となるログを適正に選別し、通常処理に関する基本機能への悪影響ならびに通信ネットワークのトラフィックの増大を抑制するログ出力装置、ログ出力方法およびログ出力システムとして有用である。
1 PC
2、2−1、2−n IoT機器
3 IPS
4 SIEM
5 SOC
21 ROM
22 RAM
23 プロセッサ
24 フラッシュメモリ
25 内部I/F
26 作動ユニット
27 ネットワークI/F
L1 ブラックリスト
L2 ホワイトリスト
L3 動的リスト
L4 限定条件リスト
L5 優先条件リスト
NW1、NW2 ネットワーク

Claims (16)

  1. 処理の実行履歴を示すログを生成する生成部と、
    前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、を保持するメモリと、
    前記生成部により生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成部により生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定する選別部と、を備え、
    前記選別部は、前記生成部により生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定する、
    ログ出力装置。
  2. 過去に出力されたログに基づく比較情報を生成して前記動的情報として登録する登録部、をさらに備え、
    前記選別部は、前記生成部により生成されたログが前記比較情報と一致した場合にそのログの非出力を決定する、
    請求項1に記載のログ出力装置。
  3. 前記登録部は、複数の前記比較情報を生成して前記動的情報として登録する、
    請求項2に記載のログ出力装置。
  4. 前記比較情報は、前記過去に出力されたログの内容の一部を含む比較条件と、その比較条件と一致するログが生成される頻度情報とを有する、
    請求項2または3に記載のログ出力装置。
  5. 前記頻度情報は、前記生成部により生成されたログが前記比較条件と一致した回数を示す出現回数を少なくとも有し、
    前記選別部は、前記出現回数が第1の既定値未満であると判定した場合に、前記生成部により生成されたログの非出力を決定する、
    請求項4に記載のログ出力装置。
  6. 前記頻度情報は、前記比較条件と一致したログが前記生成部により生成された時点からの経過時間を少なくとも有し、
    前記選別部は、前記経過時間が第2の既定値未満であると判定した場合に、前記生成部により生成されたログの非出力を決定する、
    請求項4に記載のログ出力装置。
  7. 前記頻度情報は、前記比較条件と一致したログの生成時刻を少なくとも有し、
    前記選別部は、現在時刻が前記生成時刻からの経過時間が第2の既定値未満であると判定した場合に、前記生成部により生成されたログの非出力を決定する、
    請求項4に記載のログ出力装置。
  8. 前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、
    前記選別部は、前記生成部により生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行うと判定する、
    請求項1に記載のログ出力装置。
  9. 前記メモリは、前記第3のリストを用いたログの出力または非出力の決定の要否を判定するための複数の限定条件を含む第4のリストをさらに保持し、
    前記選別部は、前記生成部により生成されたログが前記限定条件と一致する場合に、そのログに対する、前記第3のリストを用いたログの出力または非出力の決定を行わないと判定して出力または非出力を決定する、
    請求項1に記載のログ出力装置。
  10. 前記メモリは、前記比較情報を削除するための複数の優先条件を含む第5のリストをさらに保持し、
    前記選別部は、前記動的情報として登録可能な個数の前記比較情報が登録され、かつ前記生成部により生成されたログが前記優先条件のうちいずれかに一致する場合に、その優先条件と一致する前記比較情報を削除する、
    請求項2に記載のログ出力装置。
  11. 前記メモリは、前記比較情報を削除しないための複数の優先条件を含む第5のリストをさらに保持し、
    前記選別部は、前記動的情報として登録可能な個数の前記比較情報が登録され、かつ前記生成部により生成されたログが前記優先条件のうちいずれかに一致する場合に、その優先条件と一致する前記比較情報を削除しない、
    請求項2に記載のログ出力装置。
  12. 前記選別部は、前記動的情報を構成する複数の前記比較情報の中から、最も古い比較情報を削除する、
    請求項3に記載のログ出力装置。
  13. 前記比較情報は、その比較情報を満たすログの生成回数を示す出現頻度を保持し、
    前記選別部は、前記動的情報を構成する複数の前記比較情報の中から、前記出現頻度の最も少ない比較情報を削除する、
    請求項3に記載のログ出力装置。
  14. 前記比較情報は、その比較情報が前記動的情報として登録された登録時刻を保持し、
    前記選別部は、前記動的情報を構成する複数の前記比較情報の中から、前記登録時刻の最も古い比較情報を削除する、
    請求項3に記載のログ出力装置。
  15. ログ出力装置におけるログ出力方法であって、
    処理の実行履歴を示すログを生成するステップと、
    前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、をメモリに保持するステップと、
    前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定するステップと、
    前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定するステップと、を有する、
    ログ出力方法。
  16. ログ出力装置と前記ログ出力装置からのログを解析するサーバ装置とが通信可能に接続されたログ出力システムであって、
    前記ログ出力装置は、
    処理の実行履歴を示すログを生成し、
    前記処理が異常であることを示す第1の静的情報を含む第1のリストと、前記処理が正常であることを示す第2の静的情報を含む第2のリストと、前記ログに応じてそのログの出力の要否を決定するための動的情報を含む第3のリストと、をメモリに保持し、
    前記生成されたログが前記第1の静的情報を有する場合にそのログの出力を決定するとともに、前記生成されたログが前記第2の静的情報を有する場合にそのログの非出力を決定し、
    前記生成されたログと前記第3のリストとに基づいて、そのログの出力の要否を決定する、
    ログ出力システム。
JP2018164537A 2018-09-03 2018-09-03 ログ出力装置、ログ出力方法およびログ出力システム Active JP7156869B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2018164537A JP7156869B2 (ja) 2018-09-03 2018-09-03 ログ出力装置、ログ出力方法およびログ出力システム
CN201980070494.1A CN112912877B (zh) 2018-09-03 2019-09-02 日志输出装置、日志输出方法以及日志输出系统
EP19857961.7A EP3848831B1 (en) 2018-09-03 2019-09-02 Log output device, log output method and log output system
US17/272,855 US11394736B2 (en) 2018-09-03 2019-09-02 Log output device, log output method and log output system
PCT/JP2019/034394 WO2020050206A1 (ja) 2018-09-03 2019-09-02 ログ出力装置、ログ出力方法およびログ出力システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018164537A JP7156869B2 (ja) 2018-09-03 2018-09-03 ログ出力装置、ログ出力方法およびログ出力システム

Publications (2)

Publication Number Publication Date
JP2020038439A true JP2020038439A (ja) 2020-03-12
JP7156869B2 JP7156869B2 (ja) 2022-10-19

Family

ID=69721666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018164537A Active JP7156869B2 (ja) 2018-09-03 2018-09-03 ログ出力装置、ログ出力方法およびログ出力システム

Country Status (4)

Country Link
US (1) US11394736B2 (ja)
EP (1) EP3848831B1 (ja)
JP (1) JP7156869B2 (ja)
WO (1) WO2020050206A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112021003762T5 (de) 2020-07-14 2023-04-27 Denso Corporation Protokollverwaltungsvorrichtung, Protokollverwaltungsverfahren, Protokollverwaltungsprogramm, und Sicherheitsangriff-Erfassungs- und Analysesystem

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7409501B2 (ja) 2020-06-18 2024-01-09 日本電気株式会社 通信管理装置、通信システム、通信管理方法および通信管理プログラム
US11570076B2 (en) * 2021-05-05 2023-01-31 Bank Of America Corporation System and method for generating duplicate layered electronic data logs regarding monitored events on a network
CN114860673B (zh) * 2022-07-06 2022-09-30 南京聚铭网络科技有限公司 基于动静结合的日志特征识别方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003006004A (ja) * 2001-06-25 2003-01-10 Mitsubishi Electric Corp 障害発生通知抑止装置および障害発生通知抑止方法
JP2003091434A (ja) * 2001-09-18 2003-03-28 Hitachi Information Systems Ltd ログ診断装置とその方法、およびその処理プログラム
JP2014170327A (ja) * 2013-03-01 2014-09-18 Canon Electronics Inc 情報処理装置およびその制御方法、並びに、情報処理システム
JP5966076B1 (ja) * 2015-12-25 2016-08-10 株式会社ラック 情報処理装置、情報処理方法及びプログラム
US20170163670A1 (en) * 2014-04-30 2017-06-08 Hewlett Packard Enterprise Development Lp Packet logging

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10382486B2 (en) * 2012-09-28 2019-08-13 Tripwire, Inc. Event integration frameworks
US9767280B2 (en) 2012-10-09 2017-09-19 Canon Denshi Kabushiki Kaisha Information processing apparatus, method of controlling the same, information processing system, and information processing method
CN107409126B (zh) * 2015-02-24 2021-03-09 思科技术公司 用于保护企业计算环境安全的系统和方法
JP6693505B2 (ja) * 2015-03-03 2020-05-13 日本電気株式会社 ログ解析システム、解析装置、解析方法、および解析用プログラム
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10367829B2 (en) * 2015-11-19 2019-07-30 Anomali Incorporated Protecting threat indicators from third party abuse
JP6560451B2 (ja) 2016-06-20 2019-08-14 日本電信電話株式会社 悪性通信ログ検出装置、悪性通信ログ検出方法、悪性通信ログ検出プログラム
US10938926B2 (en) * 2016-12-30 2021-03-02 Fortinet, Inc. User and IoT (internet of things) apparatus tracking in a log management system
US11057344B2 (en) * 2016-12-30 2021-07-06 Fortinet, Inc. Management of internet of things (IoT) by security fabric
JP2018164537A (ja) 2017-03-28 2018-10-25 株式会社三洋物産 遊技機

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003006004A (ja) * 2001-06-25 2003-01-10 Mitsubishi Electric Corp 障害発生通知抑止装置および障害発生通知抑止方法
JP2003091434A (ja) * 2001-09-18 2003-03-28 Hitachi Information Systems Ltd ログ診断装置とその方法、およびその処理プログラム
JP2014170327A (ja) * 2013-03-01 2014-09-18 Canon Electronics Inc 情報処理装置およびその制御方法、並びに、情報処理システム
US20170163670A1 (en) * 2014-04-30 2017-06-08 Hewlett Packard Enterprise Development Lp Packet logging
JP5966076B1 (ja) * 2015-12-25 2016-08-10 株式会社ラック 情報処理装置、情報処理方法及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112021003762T5 (de) 2020-07-14 2023-04-27 Denso Corporation Protokollverwaltungsvorrichtung, Protokollverwaltungsverfahren, Protokollverwaltungsprogramm, und Sicherheitsangriff-Erfassungs- und Analysesystem

Also Published As

Publication number Publication date
EP3848831B1 (en) 2023-11-29
JP7156869B2 (ja) 2022-10-19
US20210320937A1 (en) 2021-10-14
EP3848831A4 (en) 2021-10-13
WO2020050206A1 (ja) 2020-03-12
CN112912877A (zh) 2021-06-04
EP3848831A1 (en) 2021-07-14
US11394736B2 (en) 2022-07-19

Similar Documents

Publication Publication Date Title
WO2020050206A1 (ja) ログ出力装置、ログ出力方法およびログ出力システム
US10872151B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
US11936666B1 (en) Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk
US9838426B2 (en) Honeyport active network security
US10367830B2 (en) Security action of network packet based on signature and reputation
Othman et al. Survey on intrusion detection system types
US11258812B2 (en) Automatic characterization of malicious data flows
US11546295B2 (en) Industrial control system firewall module
US10129286B2 (en) Zero day threat detection using host application/program to user agent mapping
US20140259140A1 (en) Using learned flow reputation as a heuristic to control deep packet inspection under load
US11558401B1 (en) Multi-vector malware detection data sharing system for improved detection
CN113518042B (zh) 一种数据处理方法、装置、设备及存储介质
US20230015145A1 (en) Multiple sourced classification
US20220092087A1 (en) Classification including correlation
US11874845B2 (en) Centralized state database storing state information
JP6267089B2 (ja) ウイルス検知システム及び方法
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN112912877B (zh) 日志输出装置、日志输出方法以及日志输出系统
JP2018191121A (ja) アクセス制御システム
JP2022151895A (ja) セグメント間通信監視システム
CN117614713A (zh) 勒索病毒的检测和防御方法、装置、设备及介质
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221006

R151 Written notification of patent or utility model registration

Ref document number: 7156869

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151