JP2022167451A - 情報処理装置、情報処理方法、プログラムおよび記憶媒体 - Google Patents
情報処理装置、情報処理方法、プログラムおよび記憶媒体 Download PDFInfo
- Publication number
- JP2022167451A JP2022167451A JP2021073241A JP2021073241A JP2022167451A JP 2022167451 A JP2022167451 A JP 2022167451A JP 2021073241 A JP2021073241 A JP 2021073241A JP 2021073241 A JP2021073241 A JP 2021073241A JP 2022167451 A JP2022167451 A JP 2022167451A
- Authority
- JP
- Japan
- Prior art keywords
- log
- data
- computer
- log data
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 23
- 238000003672 processing method Methods 0.000 title claims description 6
- 238000012545 processing Methods 0.000 claims abstract description 67
- 238000001514 detection method Methods 0.000 claims abstract description 56
- 230000005856 abnormality Effects 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 17
- 239000000284 extract Substances 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 2
- 238000007405 data analysis Methods 0.000 description 91
- 238000013480 data collection Methods 0.000 description 48
- 238000012546 transfer Methods 0.000 description 20
- 230000006870 function Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
【課題】アラートに関する情報を複数のシステム間で効率的に共有できる情報処理装置を提供する。【解決手段】情報処理装置は、収集された機器のログデータにログIDを付与する、ID付与コンピュータと、前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、を備え、前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。【選択図】図10
Description
本発明は、情報処理装置、情報処理方法、プログラムおよび記憶媒体に関わり、たとえば、サーバシステムにおけるデータの分析、および、共有に関わる。
あらゆるモノがインターネットに繋がるIoT化が進む中、IoT機器のセキュリティを担保することが重要な社会課題の一つとなっている。特にIoT機器がコネクテッドカーや自動運転車などの自動車である場合、自動車がセキュリティ上の攻撃を受けることで、人の安全性を脅かす場合があり、そのような安全性上の被害を最小限に抑える技術が求められている。
自動車へのサイバー攻撃の被害を最小限に抑える対策として、サーバで自動車から送信されるログを監視し、自動車へのサイバー攻撃を検知し、攻撃に対処する自動車向けのセキュリティオペレーションセンタがある。
従来、セキュリティオペレーションセンタは企業などのITシステムに対するサイバー攻撃への対策として、導入されてきた。この従来型のセキュリティオペレーションセンタとは異なり、コネクテッドカーや自動運転車、また、これらの自動車がつながるサーバシステムやモバイル端末などから構成されるシステムを監視対象としたセキュリティオペレーションセンタが、自動車向けセキュリティオペレーションセンタである。Vehicle Security Operation Center(VSOC)と呼ばれる場合もある。
特許文献1では、セキュリティオペレーションセンタの監視システムで発生するアラートに、アラートの評価結果に基づき分類情報を付加することにより、アラートを正確に評価して、監視対象システムを安定、かつ、安全に運営できるようにする、システムが開示されている。
セキュリティオペレーションセンタでは、様々なセキュリティイベントやログを統合して分析するシステムの例として、セキュリティ情報・イベント管理(SIEM)システムが利用される。従来のITシステム向けセキュリティオペレーションセンタに対しては、すでに実績のあるSIEM製品が多く存在しているが、自動車向けセキュリティオペレーションセンタに対しては、実績のあるSIEM製品が少ない。このため、自動車向けセキュリティオペレーションセンタでは、実績はないが自動車向けに作られた検知ルールなどを保有するSIEMと、ITシステム向けの実績があるSIEMとを組み合わせて利用する場合がある。
しかしながら、従来の技術では、アラートに関する情報を複数のSIEMシステム間で効率的に共有することが困難であるという課題があった。
複数のSIEMシステムを組み合わせてセキュリティオペレーションセンタを構築する場合、一つのSIEMシステムが発出したアラートを、他のSIEMシステムに共有する方法が必要となる。しかしながら、SIEMシステム毎に、監視対象のログとその分析方法、分析結果の保有の仕方は異なるため、複数のSIEMシステム間でアラート情報だけを共有しても、アラートを受け取ったシステムでその情報を十分に活用することは難しい。
例えば、特許文献1によると、アラートにそれに紐づく識別子や評価結果に基づく分類情報を付加することで、アラートを正確に評価するシステムを構築しているが、特許文献1は、アラートとそれに紐づく識別子や分類情報を、複数のシステム間で活用できる形で共有する仕組みを与えるものではない。
本発明はこのような課題を解決するためになされたものであり、アラートに関する情報を複数のシステム間で効率的に共有できる技術を提供することを目的とする。
本発明に係る情報処理装置の一例は、
収集された機器のログデータにログIDを付与する、ID付与コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
を備え、
前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。
収集された機器のログデータにログIDを付与する、ID付与コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
を備え、
前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。
本発明に係る情報処理方法の一例は、
ID付与コンピュータが、収集された機器のログデータにログIDを付与するステップと、
第一処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
第二処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
を備える。
ID付与コンピュータが、収集された機器のログデータにログIDを付与するステップと、
第一処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
第二処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
を備える。
本発明に係る技術によれば、アラートに関する情報を複数のシステム間で効率的に共有できる。
たとえば、SIEMを例とする複数のデータ分析システム間で、少ない通信データ量で、一つのデータ分析システムが発出するアラートとその関連ログの情報を、他のデータ分析システムが活用できる形で、共有することを可能にする。
以下の説明では、「インターフェース部」は、1以上のインターフェースでよい。当該1以上のインターフェースは、1以上の同種の通信インターフェースデバイス(例えば1以上のNIC(Network Interface Card))であってもよいし2以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
また、以下の説明では、「記憶部」は、1以上のメモリ装置であり、典型的には主記憶デバイスでよい。記憶部における少なくとも1つのメモリは、揮発性メモリであってもよいし不揮発性メモリであってもよい。不揮発性メモリは、例えばHDD(Hard Disk Drive)又はSSD(Solid State Drive)である。また、記憶部は、非一時的な(non-transitory)記憶媒体を含んでもよい。
また、以下の説明では、「演算部」は、1以上の演算モジュールである。少なくとも1つの演算モジュールは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサであるが、GPU(Graphics Processing Unit)のような他種の演算モジュールでもよい。少なくとも1つの演算モジュールとしてのプロセッサは、シングルコアでもよいしマルチコアでもよい。少なくとも1つの演算モジュールは、処理の一部又は全部を行うハードウェア回路(例えばFPGA(Field-Programmable Gate Array)又はASIC(Application Specific Integrated Circuit))といった広義の演算モジュールでもよい。
また、記憶部および演算モジュール、またはこれらを含むコンピュータは、仮想的なものであってもよい。たとえば、1つのコンピュータにおいてプログラムが実行されることにより、1以上の仮想的な記憶部および1以上の仮想的な演算モジュールを備える1以上の仮想的なコンピュータを構成することができる。
また、以下の説明では、「DB」(データベース)は、どのような構造のデータでもよい。従って、「xxxDB」を「xxx情報」と言うことができる。また、以下の説明において、各DBの構成は一例であり、以下の説明において1つのDBに含まれる情報は、2以上のDBに分割されてもよいし、以下の説明において2以上のDBに分散する情報が1つのDBに集約されてもよい。
また、以下の説明では、「yyy部」(インターフェース部、記憶部及び演算部を除く)の表現にて機能を説明することがあるが、機能は、1以上のコンピュータプログラムが演算部によって実行されることで実現されてもよいし、1以上のハードウェア回路(例えばFPGA又はASIC)によって実現されてもよい。プログラムが演算部によって実行されることで機能が実現される場合、定められた処理が、適宜に記憶部及び/又はインターフェース部等を用いながら行われるため、機能は演算部の少なくとも一部とされてもよい。機能を主語として説明された処理は、演算部あるいはその演算部を有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、プログラム配布計算機又は計算機が読み取り可能な記録媒体(例えば非一時的な記録媒体)であってもよい。各機能の説明は一例であり、複数の機能が1つの機能にまとめられたり、1つの機能が複数の機能に分割されたりしてもよい。
また、以下の説明では、「時刻」の単位は、年月日時分秒でもよいし、それよりも粗くても細かくてもよいし、それらとは異なる単位でもよい。
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別する場合は、個別の参照符号を使用することがある。例えば、各IoT機器を互いに区別しない場合には、総称して「IoT機器105」と言い、各IoT機器を互いに区別する場合には、「IoT機器105A」、「IoT機器105B」のように言う。
以下、図面を参照して、本発明の幾つかの実施形態を説明する。
[第1の実施形態]
図1は、本発明の第1の実施形態に係る情報処理装置の構成を示す。本実施形態では、情報処理装置はクライアントサーバシステムとして実現される。クライアントサーバシステムは、本明細書に記載される情報処理方法を実行する。
図1は、本発明の第1の実施形態に係る情報処理装置の構成を示す。本実施形態では、情報処理装置はクライアントサーバシステムとして実現される。クライアントサーバシステムは、本明細書に記載される情報処理方法を実行する。
複数のデータ分析サーバ103(例えば103A、103B)のそれぞれがデータを分析するサーバの一例として存在し、データ収集サーバ101が、機器からデータを収集するサーバの一例として存在し、IoT機器105(例えばIoT機器105A~105C)の各々がクライアントの一例として存在する。複数のデータ分析サーバ103とデータ収集サーバ101との間で、通信ネットワーク102を介して、通信が行われる。データ収集サーバ101と複数のIoT機器105の各々との間で、無線通信ネットワークのような通信ネットワーク104を介して、通信が行われる。
IoT機器105として、種々の機器を採用し得る。例えば、図16に示されるように、各IoT機器は、道路を走る複数の車両1605でよく、また、車両に対してオンラインサービスを提供するコネクテッドカーセンタ1606であってもよい。
なお、図1において、“ノードA”、“ノードB”、“ノードC”の表記は、IoT機器105に割り振られているノードID(クライアントIDの一例)である。
図2は、データ収集サーバ101の構成を示す。
データ収集サーバ101は、典型的には計算機システム(1以上の計算機)であり、インターフェース部201、記憶部202及びそれらに接続された演算部203を有する。
インターフェース部201経由で、データ分析サーバ103およびIoT機器105との通信が行われる。
記憶部202は、演算部203により実行される1以上のコンピュータプログラムや演算部203により参照又は更新される情報を格納する。この1以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、データ収集サーバ101として機能させる。1以上のコンピュータプログラムは、非一時的な記憶媒体に格納されてもよい。また、このプログラムおよび後述する他のプログラムを含むプログラムが、本明細書に記載される方法をコンピュータシステムに実行させることにより、当該コンピュータシステムを情報処理装置として機能させる。
演算部203が1以上のコンピュータプログラムを実行することにより、接続制御部221、ログID生成部222及び転送先判定部223といった機能が実現される。
また、記憶部202に格納される他の情報の一例として、ログ格納DB211がある。ログ格納DB211の詳細は後述する。
接続制御部221は、データ分析サーバ103およびIoT機器105との接続を制御する。
ログID生成部222は、IoT機器105から送信されるログデータを収集し、収集されたログデータに、各ログデータを識別するログIDを付与することにより、ログを生成する。すなわち、ログは、ログデータおよびログIDを含む。ログIDは、各々のログデータを識別するための一意の識別子である。このように、データ収集サーバ101は、ID付与コンピュータとして機能する。ログIDは、データ収集サーバ101へのログの到着順を示す番号であってもよいが、これに限られるものではない。
転送先判定部223は、IoT機器105から送信されたログデータをどのデータ分析サーバ103に転送するかを判定する。転送先は、ログデータの送信元やログデータの内容などに応じて決定される。これには、ログデータの送信元やログデータの内容をルールにあてはめ、転送先を決定するルールベースの手法がとられてもよいが、これに限られるものではない。各々のログデータの転送先のデータ分析サーバ103の数は、0個以上の任意の数であってよい。
図5は、ログ格納DB211の一例を示す。1つのレコードはたとえばログと呼ばれ、ログは、たとえば収集時刻コラム501と、ログIDコラム502と、ログデータコラム503とを含む。IoT機器105から送信される1つのログデータは、1つのレコードの1つのフィールドに格納される。
収集時刻コラム501は、データ収集サーバ101がログデータを受け取った時刻を格納する。ログIDコラム502は、ログID生成部222がログデータに付与するログIDを格納する。ログデータコラム503は、IoT機器105から送信されるログデータ(生データと呼ばれるものであってもよい)が格納される。なお、ログ格納DB211に格納する情報は、これらに限らない。
図3は、データ分析サーバ103の構成を示す。データ分析サーバ103は、処理コンピュータとして機能する。たとえば、データ分析サーバ103Aは第一処理コンピュータであり、データ分析サーバ103Bは第二処理コンピュータである。
データ分析サーバ103は、典型的には計算機システム(1以上の計算機)であり、インターフェース部301、記憶部302及びそれらに接続された演算部303を有する。
インターフェース部301経由で、他のデータ分析サーバ103およびデータ収集サーバ101と通信が行われる。
記憶部302は、演算部303により実行される1以上のコンピュータプログラムや演算部303により参照又は更新される情報を格納する。この1以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、データ分析サーバ103として機能させる。
記憶部302に格納される他の情報の一例として、分析済みログ格納DB311、アラートDB312がある。分析済みログ格納DB311およびアラートDB312の詳細は後述する。
演算部303が1以上のコンピュータプログラムを実行することにより、接続制御部321、アラート検出部322、アラート転送部323および分析済みログ紐づけ部324といった機能が実現される。
接続制御部321は、データ収集サーバ101および他のデータ分析サーバ103との接続を制御する。
アラート検出部322は、分析済みログ格納DB311内のデータから異常を検出しアラートを発出する。異常を検出する方法は、データがある特定のパターンに合致する場合に異常と判断するルールベースの方法であってもよいし、データが正常のパターンから外れる場合に異常と判断するアノマリー検知の方法であってもよいが、これらに限られるものではない。
アラート転送部323は、アラート検出部が発出したアラートと、アラート検出部322が異常と判断したログデータに係るログIDとを、他のデータ分析サーバ103に転送する。1つのアラートについて1つのログIDが転送されてもよいし、1つのアラートについて複数のログIDを含むリストが転送されてもよい。
分析済みログ紐づけ部324は、他のデータ分析サーバ103が転送してきたアラートを、分析済みログ格納DB311内のログに紐づけた上で、アラートDB312に格納する。分析済みログ紐づけ部324の詳細は後述する。
図6は、分析済みログ格納DB311の一例を示す。収集時刻コラム601は、データ収集サーバ101がIoT機器105からログデータを受け取った時刻を格納する。ログIDコラム602は、データ収集サーバがログデータに付与したログIDを格納する。
分析済みログ格納DB311における他のコラムは、分析の結果として取得された情報を格納する。たとえば、本実施形態では、VINコラム603は、ログデータの送信元の車両の識別子VINを格納する。ECUコラム604は、ログデータを生成したECUの種別を格納する。エンジンRPMコラム605は、ログデータに記載されているエンジン回転数を格納する。なお、分析済みログ格納DB311に格納する情報は、これらに限らない。また、分析済みログ格納DB311に格納されるレコード数の上限(最大レコード数)は、たとえば図示のように5とすることができるが、この上限は適宜変更可能である。
図7は、アラートDB312の一例を示す。検知時刻コラム701は、アラート検出部322が異常を検知した時刻を格納する。アラートIDコラム702は、検知したアラートに付与される一意の識別子を格納する。アラート内容コラム703は、検知したアラートの内容すなわち異常の検知結果を格納する。関係ログコラム704は、アラート発出を引き起こしたログのログIDまたはそのリストを格納する。なお、アラートDB312に格納する情報は、これらに限らない。
図4は、IoT機器105の構成を示す。
IoT機器105は、インターフェース部401、記憶部402及びそれらに接続された演算部403を有する。
インターフェース部401経由で、データ収集サーバ101と通信が行われる。
記憶部402は、演算部403により実行される1以上のコンピュータプログラムや演算部403により参照又は更新される情報を格納する。この1以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、IoT機器105として機能させる。また、記憶部402は、ログ格納部411を備える。
演算部403が1以上のコンピュータプログラムを実行することにより、接続制御部421、ログ送信部422といった機能が実現される。接続制御部421は、データ収集サーバ101との接続を制御する。ログ送信部422は、ログ格納部411内のログをデータ収集サーバ101に送信する。
図8は、本実施形態に係るIoT機器105がログを送信してからデータ分析サーバ103でログを分析するまでの一連の流れの概要を示す。本実施形態に係る情報処理方法は、図8に示す各ステップを含む。
IoT機器105は、送信対象となるデータが生成された場合、そのデータをログデータとしてログ格納部411に格納し、ログ送信部422によりログデータをデータ収集サーバ101に送信する(S801)。
データ収集サーバ101は、受信したログをデータ分析サーバ103に転送する(S802)。S802の詳細は、後述する。
データ分析サーバ103は、受信したログを分析する(S803)。S803の詳細は後述する。
図9は、S802の詳細を説明するものであり、データ収集サーバ101によるデータ転送の流れの概要を示す。
データ収集サーバ101の接続制御部221は、IoT機器105のログ送信部422から送信されるデータを受信する(S901)。データ収集サーバ101のログID生成部222は、受信したデータに付与するログIDを生成する(S902)。
データ収集サーバ101の転送先判定部223は、ログがデータ分析サーバ103Aへの転送ルールに合致するかどうかを判定する(S903)。合致しない場合は、S905に進む。合致する場合は、ログ(ログデータおよびログIDを含む)をデータ分析サーバ103Aに転送し(S904)、S905に進む。
データ収集サーバ101の転送先判定部223は、ログがデータ分析サーバ103Bへの転送ルールに合致するかどうかを判定する(S905)。合致しない場合は、S907に進む。合致する場合は、ログ(ログデータおよびログIDを含む)をデータ分析サーバ103Bに転送し(S906)、S907に進む。データ収集サーバ101は、ログIDとログをログ格納DB211に格納する(S907)。
図10は、S803の詳細を説明するものであり、データ分析サーバ103でのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。
データ分析サーバ103Aおよび103Bは、データ収集サーバ101から受信したログ(ログデータおよびログIDを含む)を記憶部302の分析済みログ格納DB311に記憶する(S1000)。記憶されるデータの具体的な形式は適宜設計可能であるが、たとえば図6のように、ログデータに含まれる項目ごとにフィールドを抽出することによりレコードが構成される。
なお、上述のように、データ収集サーバ101がデータ分析サーバ103Aに送信するログと、データ収集サーバ101がデータ分析サーバ103Bに送信するログとは、同一でない場合がある。
データ分析サーバ103Bのアラート検出部322が、分析済みログ格納DB311から異常を示すログデータに係るログの集合(ログ集合)を検出し、アラートを発出する(S1001)。たとえば、アラート検出部322は、ログデータに基づいて異常を検知する。
データ分析サーバ103Bのアラート転送部323は、異常が検知されたログデータのログID(たとえばログ集合に含まれるログIDのリスト)およびアラート(異常の検知結果)を、関連付けてデータ分析サーバ103Aに送信する(S1002)。異常の検知結果は、たとえば異常の内容または種類等を含む。また、異常の検知結果は、検知時刻を含んでもよい。
データ分析サーバ103Aの分析済みログ紐づけ部324は、データ分析サーバ103Bから受信したログID(たとえばログIDのリスト)に基づき、データ分析サーバ103Aに記憶されるログデータと、受信した検知結果とを関連付けて、アラートDB312記憶する(S1003)。
S1003で、分析済みログ紐づけ部324が異常の検知結果とログを関連付けて格納する方法の例として、図7のようにアラートDB312の関係ログコラムにログIDリストを格納し、ログIDリスト内の各々のログIDを分析済みログ格納DB311のログIDコラムのログIDとリンクさせる方法がある。ただし、関連付ける方法はこれに限られない。
本実施形態では、データ分析サーバ103Aおよび103Bはいずれも、データ収集サーバ101が付与した共通のログIDを用いているので、データ分析サーバ103Aに記憶されるログデータと、データ分析サーバ103Bから受信した検知結果との関連付けはログIDを介して行うことができる。その場合には、単にログIDを記憶することによって関連付けを実現することができる。
より具体的には、図6に示す分析済みログ格納DB311のレコードのいずれかと、図7に示すアラートDB312のレコードのいずれかとが同一のログIDを含む場合には、前者のログデータは後者の検知結果に関連付けられているということができる。
なお、S1002でアラート転送部323が異常の検知結果を転送するタイミングは、S1001のアラート検知後すぐであってもよいし、アラート検知後にしばらく時間を空けてからであってもよい。後者の場合、一例として定時のバッチ処理時に転送するなどがある。
異常の検知結果を分析済みログ格納DB311のデータと関連付けてアラートDB312に格納することにより、データ分析サーバ103Aは、データ分析サーバ103Bが検知した異常について、アラートを発生させたログと関連付けた分析が可能となる。これにより、より効果的で効率的なデータ分析が行える。
このようにして、アラートに関する情報を複数のシステム間で効率的に共有することができる。とくに、設計者が異なる複数のSIEMシステムを効率的に連携させることができる。
上述の第1の実施形態において、データ分析サーバ103Aおよびデータ分析サーバ103Bの機能を互いに入れ替えてもよい。また、複数のデータ分析サーバ103のうち1以上が、データ分析サーバ103Aおよび103B双方の機能を備えてもよい。
データ分析サーバ103は、S1003の後に、アラートDB312の内容の一部または全部を出力してもよい。たとえば、接続制御部321を介して、外部のコンピュータ(他のデータ分析サーバ103またはその他のコンピュータ)に送信してもよいし、図示しない出力装置(ディスプレイ装置またはプリンタ等)を介して出力してもよい。
[第2の実施形態]
第2の実施形態を説明する。その際、第1の実施形態との相違点を主に説明し、第1の実施形態との共通点については説明を省略又は簡略する。
第2の実施形態を説明する。その際、第1の実施形態との相違点を主に説明し、第1の実施形態との共通点については説明を省略又は簡略する。
図11は、データ収集サーバの一例を示す。データ収集サーバ1101は、図2のデータ収集サーバ101に加えて、演算部にログ要求受付部1124を備える。
ログ要求受付部1124は、データ分析サーバからログIDリストを受け取り、ログIDリスト内のログIDを持つログをログ格納DB211から抽出し、抽出したログの集合をデータ分析サーバ1203に送信する。
図12は、データ分析サーバの一例を示す。データ分析サーバ1203は、図3のデータ分析サーバ103に加えて、ログ要求部1225を備える。
ログ要求部1225は、他のデータ分析サーバ1203から異常の検知結果に関連して受信したログID(たとえばログIDリストの形式)に対し、いずれかのログIDに対応するログデータを記憶していない場合に、当該ログデータを要求する処理(ログ要求処理)を実行する。たとえば、分析済みログ紐づけ部324が分析済みログ格納DB311内のログに紐づけることができなかったログIDを含むログIDリストをデータ収集サーバ1101に送信することによってログを要求する。
図13は、当該実施例におけるS803の詳細を説明するものであり、データ分析サーバでのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。
S1300、S1301、S1302は、それぞれ、S1000、S1001、S1002と同様の処理を行う。データ分析サーバ1203Aは、S1302で受け取ったログIDリストのログIDと同じログIDを持つログが、全て分析済みログ格納DB311に格納されているかを確認する(S1303)。
S1303で、全てのログが格納されている場合、S1308に進む。
S1303で、全てのログが格納されていない場合、データ分析サーバ1203Aのログ要求部は、格納されていないログのログIDのリストを作成し(S1304)、このログIDリストをデータ収集サーバ1101に送信する(S1305)。これがログ要求処理に対応する。
データ収集サーバ1101のログ要求受付部1124は、受け取ったログIDリストのログIDと同じログIDを持つログを、ログ格納DB211から抽出し、抽出したログの集合をデータ分析サーバ1203Aに送信する(S1306)。データ分析サーバ1203Aは、受け取ったログの集合を処理し、分析済みログ格納DB311に格納する(S1307)。
最後に、S1308では、図10のS1003と同様の処理を行う。
なお、S1304でログ要求部がログIDリストを作成するタイミングは、S1303の直後であってもよいし、しばらく時間を空けてからであってもよい。後者の場合、一例として定時のバッチ処理時に実施するなどがある。
第2の実施形態によれば、データ分析サーバ1203Aが他のデータ分析サーバ1203Bからアラートを転送された際に、当該アラートを発生させたログを分析済みログ格納DB311が保持していない場合でも、データ収集サーバ1101から足りないログを集め、アラートを分析することが可能となる。
[第3の実施形態]
第3の実施形態を説明する。その際、第2の実施形態との相違点を主に説明し、第2の実施形態との共通点については説明を省略又は簡略する。
第3の実施形態を説明する。その際、第2の実施形態との相違点を主に説明し、第2の実施形態との共通点については説明を省略又は簡略する。
第3の実施形態におけるデータ分析サーバ1203のログ要求部1225は、ログ要求処理において、他のデータ分析サーバ1203から受信したログIDリストに加えて、各ログに基づいて検知された異常の検知結果を、データ収集サーバに送信する。
図14は、データ収集サーバの一例を示す。データ収集サーバ1401は、図11のデータ収集サーバ1101に加えて、演算部に関連ログ抽出部1425を備える。
関連ログ抽出部1425は、ログ要求受付部1124から異常の検知結果を受け取り、その検知結果に関連する可能性のあるログをログ格納DB211から抽出し、抽出したログのログIDのリスト(関連ログIDリスト)を、ログ要求受付部1124に返す。検知結果に関連する可能性のあるログを抽出する方法としては、検知結果に応じて(たとえば、ログIDに基づき、アラートの内容毎に事前定義された規則に従って)1以上のログを抽出する方法があるが、これに限るものではない。
具体例を説明する。たとえば、検知結果が車両のCAN(Controller Area Network)の異常を示すものである場合には、その車両のログのうち、検知時刻の前後所定範囲のCANに関するログが、検知結果に関連する可能性のあるログとして抽出される。また、たとえば、検知結果がコネクテッドカーセンタからのログにおける異常を示すものである場合には、異常が検知されたログに関連する車両をすべて特定し、特定された車両いずれかに関連するログのうち、検知時刻の前後所定範囲のログを探索範囲として、この探索範囲から、検知結果に関連する可能性のあるログが抽出される。
ログ要求受付部1124は、データ分析サーバ1203から検知結果およびログIDリストを受け取り、これらを関連ログ抽出部1425に渡す。そして、関連ログ抽出部1425から返される関連ログIDリストと、この関連ログIDリストに含まれるログIDを持つログをログ格納DB211から抽出したログの集合とを併せて、データ分析サーバ1203に送信する。
このように、関連ログ抽出部1425は、データ分析サーバ1203からのログ要求処理に応じて、受信したログIDおよび検知結果に基づいて、収集された機器のログデータのうちから、送信すべきログデータを抽出し、抽出されたログデータをデータ分析サーバ1203に送信する。
図15は、当該実施例におけるS803の詳細を説明するものであり、データ分析サーバ1203でのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。
S1500、S1501、S1502、S1503、S1504は、それぞれ、図13のS1300、S1301、S1302、S1303、S1304と同様の処理を行う。
S1505で、データ分析サーバ1203Aのログ要求部1225は、異常の検知結果とログIDリストをデータ収集サーバ1101に送信する(S1505)。
データ収集サーバ1401のログ要求受付部1124は、データ分析サーバ1203から検知結果およびログIDリストを受け取り、これらを関連ログ抽出部1425に渡す。そして、関連ログ抽出部1425から返される関連ログIDリストと、この関連ログIDリストに含まれるログIDを持つログをログ格納DB211から抽出したログの集合とを併せて、データ分析サーバ1203Aに送信する(S1506)。
S1507、S1508は、それぞれ、図13のS1307、S1308と同様の処理を行う。
第3の実施形態によれば、データ分析サーバ1203Aが他のデータ分析サーバ1203Bから異常の検知結果を転送された際に、当該検知の原因となったログ(アラートを発生させたログ)を分析済みログ格納DB311が保持していない場合でも、データ収集サーバ1401から足りないログおよびアラートに関連する可能性のあるログを集め、アラートを分析することが可能となる。
[第4の実施形態]
第4の実施形態を説明する。その際、第2および第3の実施形態との相違点を主に説明し、第2および第3の実施形態との共通点については説明を省略又は簡略する。
第4の実施形態を説明する。その際、第2および第3の実施形態との相違点を主に説明し、第2および第3の実施形態との共通点については説明を省略又は簡略する。
図17は、データ分析サーバの一例を示す。データ分析サーバ1703は、図12のデータ分析サーバ1203に加えて、報知部1725を備える。
データ分析サーバ1703は、ログ要求処理に先立って、異常の検知結果を外部に報知する。すなわち、検知結果を外部に報知した後に、ログ要求処理を実行する。
報知のタイミングは、たとえば図13のS1301の後、かつS1303の前とすることができる。
報知の具体的な処理は適宜設計可能であるが、たとえば、接続制御部321を介してアラートを外部のコンピュータに送信してもよいし、図示しない出力装置(ディスプレイ装置またはプリンタ等)を介してアラートを出力してもよい。ディスプレイ装置を用いる場合には、GUIを介して出力を実行することができる。
送信または出力されるアラートの内容も適宜設計可能であるが、たとえば、アラートが検知されたことを示す情報(メッセージ等)と、異常の検知時刻と、アラートIDと、アラート内容と、アラート発出を引き起こしたログのログIDまたはそのリストとを含むことができる。
第4の実施形態によれば、データ分析サーバ間のデータ送受信が行われる前に、早期にアラート内容の出力を行うことができるので、外部のアラート処理システムまたはアラート処理担当者(人間)がアラートを早期に認識することができる。この効果は、とくに、データ分析サーバ間のデータ送受信をバッチ処理で行う場合に顕著であり、定時のバッチ処理実行を待たずにアラートを認識できる。
101…データ収集サーバ
102…通信ネットワーク
103…データ分析サーバ
104…通信ネットワーク
105…IoT機器
201…インターフェース部
202…記憶部
203…演算部
211…ログ格納部DB
221…接続制御部
222…ログID生成部
223…転送先判定部
301…インターフェース部
302…記憶部
303…演算部
311…分析済みログ格納DB
312…アラートDB
321…接続制御部
322…アラート検出部
323…アラート転送部
324…分析済みログ紐づけ部
401…インターフェース部
402…記憶部
403…演算部
411…ログ格納部
421…接続制御部
422…ログ送信部
501…収集時刻コラム
502…ログIDコラム
503…ログデータコラム
601…収集時刻コラム
602…ログIDコラム
603…VINコラム
604…ECUコラム
605…エンジンRPMコラム
701…検知時刻コラム
702…アラートIDコラム
703…アラート内容コラム
704…関係ログコラム
1101…データ収集サーバ
1124…ログ要求受付部
1203…データ分析サーバ
1225…ログ要求部
1401…データ収集サーバ
1425…関連ログ抽出部
1605…車両
1606…コネクテッドカーセンタ
1703…データ分析サーバ
1725…報知部
102…通信ネットワーク
103…データ分析サーバ
104…通信ネットワーク
105…IoT機器
201…インターフェース部
202…記憶部
203…演算部
211…ログ格納部DB
221…接続制御部
222…ログID生成部
223…転送先判定部
301…インターフェース部
302…記憶部
303…演算部
311…分析済みログ格納DB
312…アラートDB
321…接続制御部
322…アラート検出部
323…アラート転送部
324…分析済みログ紐づけ部
401…インターフェース部
402…記憶部
403…演算部
411…ログ格納部
421…接続制御部
422…ログ送信部
501…収集時刻コラム
502…ログIDコラム
503…ログデータコラム
601…収集時刻コラム
602…ログIDコラム
603…VINコラム
604…ECUコラム
605…エンジンRPMコラム
701…検知時刻コラム
702…アラートIDコラム
703…アラート内容コラム
704…関係ログコラム
1101…データ収集サーバ
1124…ログ要求受付部
1203…データ分析サーバ
1225…ログ要求部
1401…データ収集サーバ
1425…関連ログ抽出部
1605…車両
1606…コネクテッドカーセンタ
1703…データ分析サーバ
1725…報知部
Claims (8)
- 収集された機器のログデータにログIDを付与する、ID付与コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
を備え、
前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する、情報処理装置。 - 請求項1に記載の情報処理装置であって、
前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに対応するログデータを記憶していない場合に、当該ログデータを要求するログ要求処理を実行する、情報処理装置。 - 請求項2に記載の情報処理装置であって、
前記第一処理コンピュータは、前記ログ要求処理において、前記第二処理コンピュータから受信した前記ログIDおよび前記検知結果を送信する、情報処理装置。 - 請求項3に記載の情報処理装置であって、
前記ログ要求処理は、前記ID付与コンピュータに対して行われ、
前記ID付与コンピュータは、前記ログ要求処理に応じて、前記ログIDおよび前記検知結果に基づいて、収集された機器のログデータのうちから送信すべきログデータを抽出し、抽出されたログデータを前記第一処理コンピュータに送信する、
情報処理装置。 - 請求項2に記載の情報処理装置であって、
前記第一処理コンピュータは、前記検知結果を外部に報知した後に、前記ログ要求処理を実行する、情報処理装置。 - 情報処理方法であって、
ID付与コンピュータが、収集された機器のログデータにログIDを付与するステップと、
第一処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
第二処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
を備える、情報処理方法。 - 請求項6に記載の方法をコンピュータシステムに実行させるプログラム。
- 請求項7に記載のプログラムを格納する非一時的な記憶媒体。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021073241A JP2022167451A (ja) | 2021-04-23 | 2021-04-23 | 情報処理装置、情報処理方法、プログラムおよび記憶媒体 |
US18/549,942 US20240152441A1 (en) | 2021-04-23 | 2022-02-22 | Information processing device, information processing method, program, and storage medium |
EP22791364.7A EP4328753A1 (en) | 2021-04-23 | 2022-02-22 | Information processing device, information processing method, program, and storage medium |
CN202280025037.2A CN117083598A (zh) | 2021-04-23 | 2022-02-22 | 信息处理装置、信息处理方法、程序以及存储介质 |
PCT/JP2022/007396 WO2022224582A1 (ja) | 2021-04-23 | 2022-02-22 | 情報処理装置、情報処理方法、プログラムおよび記憶媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021073241A JP2022167451A (ja) | 2021-04-23 | 2021-04-23 | 情報処理装置、情報処理方法、プログラムおよび記憶媒体 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022167451A true JP2022167451A (ja) | 2022-11-04 |
Family
ID=83722801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021073241A Pending JP2022167451A (ja) | 2021-04-23 | 2021-04-23 | 情報処理装置、情報処理方法、プログラムおよび記憶媒体 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20240152441A1 (ja) |
EP (1) | EP4328753A1 (ja) |
JP (1) | JP2022167451A (ja) |
CN (1) | CN117083598A (ja) |
WO (1) | WO2022224582A1 (ja) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4462163B2 (ja) * | 2005-10-12 | 2010-05-12 | 日本電気株式会社 | ログ管理システム、ログ管理マネージャ、ログ管理方法およびプログラム |
JP6665784B2 (ja) * | 2014-11-10 | 2020-03-13 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびログ分析プログラム |
PL3220916T3 (pl) | 2014-11-17 | 2023-08-14 | Epizyme, Inc. | Sposób leczenia raka n-((4,6-dimetylo-2-okso-1,2-dihydropirydyn-3-ylo)metylo)-5-(etylo(tetrahydro-2h-piran-4-ylo)amino)-4-metylo-4'-(morfolinometylo)-[1,1'-bifenylo]-3-karboksyamidem |
US10678669B2 (en) * | 2017-04-21 | 2020-06-09 | Nec Corporation | Field content based pattern generation for heterogeneous logs |
-
2021
- 2021-04-23 JP JP2021073241A patent/JP2022167451A/ja active Pending
-
2022
- 2022-02-22 US US18/549,942 patent/US20240152441A1/en active Pending
- 2022-02-22 WO PCT/JP2022/007396 patent/WO2022224582A1/ja active Application Filing
- 2022-02-22 EP EP22791364.7A patent/EP4328753A1/en active Pending
- 2022-02-22 CN CN202280025037.2A patent/CN117083598A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4328753A1 (en) | 2024-02-28 |
US20240152441A1 (en) | 2024-05-09 |
CN117083598A (zh) | 2023-11-17 |
WO2022224582A1 (ja) | 2022-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6490633B2 (ja) | プライベート・クラウド・コンピューティングためのシステムおよび方法 | |
US11393266B2 (en) | Blockchain configuration history for aircraft maintenance, modification, and activity tracking | |
EP3149591B1 (en) | Tracking application deployment errors via cloud logs | |
EP3668045B1 (en) | Interlocking blockchains for aircraft part history and current aircraft configuration | |
US9021077B2 (en) | Management computer and method for root cause analysis | |
US9787704B2 (en) | Anomaly detection based on cluster transitions | |
CN104158910B (zh) | 一种云端Web应用自动化部署系统 | |
JP7530367B2 (ja) | 異常車両検出サーバおよび異常車両検出方法 | |
CN105262835B (zh) | 一种多机房中的数据存储方法和装置 | |
US7680826B2 (en) | Computer-readable recording medium storing security management program, security management system, and method of security management | |
US20210073676A1 (en) | Model improvement support system | |
CN112308515A (zh) | 一种面向ndc聚合器的ndc处理系统及其业务请求处理方法 | |
WO2022224582A1 (ja) | 情報処理装置、情報処理方法、プログラムおよび記憶媒体 | |
US20090031308A1 (en) | Method And Apparatus For Executing Multiple Simulations on a Supercomputer | |
KR102203322B1 (ko) | 로그 기반 모니터링 방법, 장치 및 그 시스템 | |
CN115834260A (zh) | 网络安全防御系统、方法及装置 | |
CN108512806A (zh) | 一种基于虚拟环境的操作行为分析方法及服务器 | |
US9697064B2 (en) | System, system control method, and storage medium | |
JP2010061548A (ja) | 計算機システム、処理方法及びプログラム | |
US20240118962A1 (en) | Sharing system, sharing method, maintenance node, generation node and program | |
CN117131505A (zh) | 用于分析交通工具系统日志的系统、方法和程序 | |
CN118295839A (zh) | 数据库故障的数据处理方法、装置、设备及介质 | |
JP2000082005A (ja) | システム間データベース共用システムのデータ処理方式 | |
CN113924566A (zh) | 利用区块链的系统 | |
Ein-Dor et al. | Analytics for resiliency in the mainframe |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20220606 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240229 |