JP2022167451A - 情報処理装置、情報処理方法、プログラムおよび記憶媒体 - Google Patents

情報処理装置、情報処理方法、プログラムおよび記憶媒体 Download PDF

Info

Publication number
JP2022167451A
JP2022167451A JP2021073241A JP2021073241A JP2022167451A JP 2022167451 A JP2022167451 A JP 2022167451A JP 2021073241 A JP2021073241 A JP 2021073241A JP 2021073241 A JP2021073241 A JP 2021073241A JP 2022167451 A JP2022167451 A JP 2022167451A
Authority
JP
Japan
Prior art keywords
log
data
computer
log data
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021073241A
Other languages
English (en)
Other versions
JP7628876B2 (ja
Inventor
恒太 井手口
Kota Ideguchi
隆 山口
Takashi Yamaguchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2021073241A priority Critical patent/JP7628876B2/ja
Priority to US18/549,942 priority patent/US12360863B2/en
Priority to PCT/JP2022/007396 priority patent/WO2022224582A1/ja
Priority to CN202280025037.2A priority patent/CN117083598A/zh
Priority to EP22791364.7A priority patent/EP4328753A4/en
Publication of JP2022167451A publication Critical patent/JP2022167451A/ja
Application granted granted Critical
Publication of JP7628876B2 publication Critical patent/JP7628876B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/40Data acquisition and logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】アラートに関する情報を複数のシステム間で効率的に共有できる情報処理装置を提供する。【解決手段】情報処理装置は、収集された機器のログデータにログIDを付与する、ID付与コンピュータと、前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、を備え、前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。【選択図】図10

Description

本発明は、情報処理装置、情報処理方法、プログラムおよび記憶媒体に関わり、たとえば、サーバシステムにおけるデータの分析、および、共有に関わる。
あらゆるモノがインターネットに繋がるIoT化が進む中、IoT機器のセキュリティを担保することが重要な社会課題の一つとなっている。特にIoT機器がコネクテッドカーや自動運転車などの自動車である場合、自動車がセキュリティ上の攻撃を受けることで、人の安全性を脅かす場合があり、そのような安全性上の被害を最小限に抑える技術が求められている。
自動車へのサイバー攻撃の被害を最小限に抑える対策として、サーバで自動車から送信されるログを監視し、自動車へのサイバー攻撃を検知し、攻撃に対処する自動車向けのセキュリティオペレーションセンタがある。
従来、セキュリティオペレーションセンタは企業などのITシステムに対するサイバー攻撃への対策として、導入されてきた。この従来型のセキュリティオペレーションセンタとは異なり、コネクテッドカーや自動運転車、また、これらの自動車がつながるサーバシステムやモバイル端末などから構成されるシステムを監視対象としたセキュリティオペレーションセンタが、自動車向けセキュリティオペレーションセンタである。Vehicle Security Operation Center(VSOC)と呼ばれる場合もある。
特許文献1では、セキュリティオペレーションセンタの監視システムで発生するアラートに、アラートの評価結果に基づき分類情報を付加することにより、アラートを正確に評価して、監視対象システムを安定、かつ、安全に運営できるようにする、システムが開示されている。
セキュリティオペレーションセンタでは、様々なセキュリティイベントやログを統合して分析するシステムの例として、セキュリティ情報・イベント管理(SIEM)システムが利用される。従来のITシステム向けセキュリティオペレーションセンタに対しては、すでに実績のあるSIEM製品が多く存在しているが、自動車向けセキュリティオペレーションセンタに対しては、実績のあるSIEM製品が少ない。このため、自動車向けセキュリティオペレーションセンタでは、実績はないが自動車向けに作られた検知ルールなどを保有するSIEMと、ITシステム向けの実績があるSIEMとを組み合わせて利用する場合がある。
国際公開第2020/255512号パンフレット
しかしながら、従来の技術では、アラートに関する情報を複数のSIEMシステム間で効率的に共有することが困難であるという課題があった。
複数のSIEMシステムを組み合わせてセキュリティオペレーションセンタを構築する場合、一つのSIEMシステムが発出したアラートを、他のSIEMシステムに共有する方法が必要となる。しかしながら、SIEMシステム毎に、監視対象のログとその分析方法、分析結果の保有の仕方は異なるため、複数のSIEMシステム間でアラート情報だけを共有しても、アラートを受け取ったシステムでその情報を十分に活用することは難しい。
例えば、特許文献1によると、アラートにそれに紐づく識別子や評価結果に基づく分類情報を付加することで、アラートを正確に評価するシステムを構築しているが、特許文献1は、アラートとそれに紐づく識別子や分類情報を、複数のシステム間で活用できる形で共有する仕組みを与えるものではない。
本発明はこのような課題を解決するためになされたものであり、アラートに関する情報を複数のシステム間で効率的に共有できる技術を提供することを目的とする。
本発明に係る情報処理装置の一例は、
収集された機器のログデータにログIDを付与する、ID付与コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
を備え、
前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する。
本発明に係る情報処理方法の一例は、
ID付与コンピュータが、収集された機器のログデータにログIDを付与するステップと、
第一処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
第二処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
を備える。
本発明に係る技術によれば、アラートに関する情報を複数のシステム間で効率的に共有できる。
たとえば、SIEMを例とする複数のデータ分析システム間で、少ない通信データ量で、一つのデータ分析システムが発出するアラートとその関連ログの情報を、他のデータ分析システムが活用できる形で、共有することを可能にする。
本発明の第1の実施形態に係るクライアントサーバシステムの構成を示す。 図1のデータ収集サーバの構成を示す。 図1のデータ分析サーバの構成を示す。 図1のIoT機器の構成を示す。 ログ格納DBの構成を示す。 分析済みログ格納DBの構成を示す。 アラートDBの構成を示す。 本発明の第1の実施形態に係るログ処理の流れの概要を示す。 本発明の第1の実施形態に係るログ収集サーバのログ転送時の処理の流れの概要を示す。 本発明の第1の実施形態に係るアラート発出時の処理の流れの概要を示す。 本発明の第2の実施形態に係るデータ収集サーバの構成を示す。 本発明の第2の実施形態に係るデータ分析サーバの構成を示す。 本発明の第2の実施形態に係るアラート発出時の処理の流れの概要を示す。 本発明の第3の実施形態に係るデータ収集サーバの構成を示す。 本発明の第3の実施形態に係るアラート発出時の処理の流れの概要を示す。 本発明の第1の実施形態に係るクライアントサーバシステムの具体例としての自動車システムの構成を示す。 本発明の第1の実施形態の一変形例に係るデータ分析サーバの構成を示す。
以下の説明では、「インターフェース部」は、1以上のインターフェースでよい。当該1以上のインターフェースは、1以上の同種の通信インターフェースデバイス(例えば1以上のNIC(Network Interface Card))であってもよいし2以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
また、以下の説明では、「記憶部」は、1以上のメモリ装置であり、典型的には主記憶デバイスでよい。記憶部における少なくとも1つのメモリは、揮発性メモリであってもよいし不揮発性メモリであってもよい。不揮発性メモリは、例えばHDD(Hard Disk Drive)又はSSD(Solid State Drive)である。また、記憶部は、非一時的な(non-transitory)記憶媒体を含んでもよい。
また、以下の説明では、「演算部」は、1以上の演算モジュールである。少なくとも1つの演算モジュールは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサであるが、GPU(Graphics Processing Unit)のような他種の演算モジュールでもよい。少なくとも1つの演算モジュールとしてのプロセッサは、シングルコアでもよいしマルチコアでもよい。少なくとも1つの演算モジュールは、処理の一部又は全部を行うハードウェア回路(例えばFPGA(Field-Programmable Gate Array)又はASIC(Application Specific Integrated Circuit))といった広義の演算モジュールでもよい。
また、記憶部および演算モジュール、またはこれらを含むコンピュータは、仮想的なものであってもよい。たとえば、1つのコンピュータにおいてプログラムが実行されることにより、1以上の仮想的な記憶部および1以上の仮想的な演算モジュールを備える1以上の仮想的なコンピュータを構成することができる。
また、以下の説明では、「DB」(データベース)は、どのような構造のデータでもよい。従って、「xxxDB」を「xxx情報」と言うことができる。また、以下の説明において、各DBの構成は一例であり、以下の説明において1つのDBに含まれる情報は、2以上のDBに分割されてもよいし、以下の説明において2以上のDBに分散する情報が1つのDBに集約されてもよい。
また、以下の説明では、「yyy部」(インターフェース部、記憶部及び演算部を除く)の表現にて機能を説明することがあるが、機能は、1以上のコンピュータプログラムが演算部によって実行されることで実現されてもよいし、1以上のハードウェア回路(例えばFPGA又はASIC)によって実現されてもよい。プログラムが演算部によって実行されることで機能が実現される場合、定められた処理が、適宜に記憶部及び/又はインターフェース部等を用いながら行われるため、機能は演算部の少なくとも一部とされてもよい。機能を主語として説明された処理は、演算部あるいはその演算部を有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、プログラム配布計算機又は計算機が読み取り可能な記録媒体(例えば非一時的な記録媒体)であってもよい。各機能の説明は一例であり、複数の機能が1つの機能にまとめられたり、1つの機能が複数の機能に分割されたりしてもよい。
また、以下の説明では、「時刻」の単位は、年月日時分秒でもよいし、それよりも粗くても細かくてもよいし、それらとは異なる単位でもよい。
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別する場合は、個別の参照符号を使用することがある。例えば、各IoT機器を互いに区別しない場合には、総称して「IoT機器105」と言い、各IoT機器を互いに区別する場合には、「IoT機器105A」、「IoT機器105B」のように言う。
以下、図面を参照して、本発明の幾つかの実施形態を説明する。
[第1の実施形態]
図1は、本発明の第1の実施形態に係る情報処理装置の構成を示す。本実施形態では、情報処理装置はクライアントサーバシステムとして実現される。クライアントサーバシステムは、本明細書に記載される情報処理方法を実行する。
複数のデータ分析サーバ103(例えば103A、103B)のそれぞれがデータを分析するサーバの一例として存在し、データ収集サーバ101が、機器からデータを収集するサーバの一例として存在し、IoT機器105(例えばIoT機器105A~105C)の各々がクライアントの一例として存在する。複数のデータ分析サーバ103とデータ収集サーバ101との間で、通信ネットワーク102を介して、通信が行われる。データ収集サーバ101と複数のIoT機器105の各々との間で、無線通信ネットワークのような通信ネットワーク104を介して、通信が行われる。
IoT機器105として、種々の機器を採用し得る。例えば、図16に示されるように、各IoT機器は、道路を走る複数の車両1605でよく、また、車両に対してオンラインサービスを提供するコネクテッドカーセンタ1606であってもよい。
なお、図1において、“ノードA”、“ノードB”、“ノードC”の表記は、IoT機器105に割り振られているノードID(クライアントIDの一例)である。
図2は、データ収集サーバ101の構成を示す。
データ収集サーバ101は、典型的には計算機システム(1以上の計算機)であり、インターフェース部201、記憶部202及びそれらに接続された演算部203を有する。
インターフェース部201経由で、データ分析サーバ103およびIoT機器105との通信が行われる。
記憶部202は、演算部203により実行される1以上のコンピュータプログラムや演算部203により参照又は更新される情報を格納する。この1以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、データ収集サーバ101として機能させる。1以上のコンピュータプログラムは、非一時的な記憶媒体に格納されてもよい。また、このプログラムおよび後述する他のプログラムを含むプログラムが、本明細書に記載される方法をコンピュータシステムに実行させることにより、当該コンピュータシステムを情報処理装置として機能させる。
演算部203が1以上のコンピュータプログラムを実行することにより、接続制御部221、ログID生成部222及び転送先判定部223といった機能が実現される。
また、記憶部202に格納される他の情報の一例として、ログ格納DB211がある。ログ格納DB211の詳細は後述する。
接続制御部221は、データ分析サーバ103およびIoT機器105との接続を制御する。
ログID生成部222は、IoT機器105から送信されるログデータを収集し、収集されたログデータに、各ログデータを識別するログIDを付与することにより、ログを生成する。すなわち、ログは、ログデータおよびログIDを含む。ログIDは、各々のログデータを識別するための一意の識別子である。このように、データ収集サーバ101は、ID付与コンピュータとして機能する。ログIDは、データ収集サーバ101へのログの到着順を示す番号であってもよいが、これに限られるものではない。
転送先判定部223は、IoT機器105から送信されたログデータをどのデータ分析サーバ103に転送するかを判定する。転送先は、ログデータの送信元やログデータの内容などに応じて決定される。これには、ログデータの送信元やログデータの内容をルールにあてはめ、転送先を決定するルールベースの手法がとられてもよいが、これに限られるものではない。各々のログデータの転送先のデータ分析サーバ103の数は、0個以上の任意の数であってよい。
図5は、ログ格納DB211の一例を示す。1つのレコードはたとえばログと呼ばれ、ログは、たとえば収集時刻コラム501と、ログIDコラム502と、ログデータコラム503とを含む。IoT機器105から送信される1つのログデータは、1つのレコードの1つのフィールドに格納される。
収集時刻コラム501は、データ収集サーバ101がログデータを受け取った時刻を格納する。ログIDコラム502は、ログID生成部222がログデータに付与するログIDを格納する。ログデータコラム503は、IoT機器105から送信されるログデータ(生データと呼ばれるものであってもよい)が格納される。なお、ログ格納DB211に格納する情報は、これらに限らない。
図3は、データ分析サーバ103の構成を示す。データ分析サーバ103は、処理コンピュータとして機能する。たとえば、データ分析サーバ103Aは第一処理コンピュータであり、データ分析サーバ103Bは第二処理コンピュータである。
データ分析サーバ103は、典型的には計算機システム(1以上の計算機)であり、インターフェース部301、記憶部302及びそれらに接続された演算部303を有する。
インターフェース部301経由で、他のデータ分析サーバ103およびデータ収集サーバ101と通信が行われる。
記憶部302は、演算部303により実行される1以上のコンピュータプログラムや演算部303により参照又は更新される情報を格納する。この1以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、データ分析サーバ103として機能させる。
記憶部302に格納される他の情報の一例として、分析済みログ格納DB311、アラートDB312がある。分析済みログ格納DB311およびアラートDB312の詳細は後述する。
演算部303が1以上のコンピュータプログラムを実行することにより、接続制御部321、アラート検出部322、アラート転送部323および分析済みログ紐づけ部324といった機能が実現される。
接続制御部321は、データ収集サーバ101および他のデータ分析サーバ103との接続を制御する。
アラート検出部322は、分析済みログ格納DB311内のデータから異常を検出しアラートを発出する。異常を検出する方法は、データがある特定のパターンに合致する場合に異常と判断するルールベースの方法であってもよいし、データが正常のパターンから外れる場合に異常と判断するアノマリー検知の方法であってもよいが、これらに限られるものではない。
アラート転送部323は、アラート検出部が発出したアラートと、アラート検出部322が異常と判断したログデータに係るログIDとを、他のデータ分析サーバ103に転送する。1つのアラートについて1つのログIDが転送されてもよいし、1つのアラートについて複数のログIDを含むリストが転送されてもよい。
分析済みログ紐づけ部324は、他のデータ分析サーバ103が転送してきたアラートを、分析済みログ格納DB311内のログに紐づけた上で、アラートDB312に格納する。分析済みログ紐づけ部324の詳細は後述する。
図6は、分析済みログ格納DB311の一例を示す。収集時刻コラム601は、データ収集サーバ101がIoT機器105からログデータを受け取った時刻を格納する。ログIDコラム602は、データ収集サーバがログデータに付与したログIDを格納する。
分析済みログ格納DB311における他のコラムは、分析の結果として取得された情報を格納する。たとえば、本実施形態では、VINコラム603は、ログデータの送信元の車両の識別子VINを格納する。ECUコラム604は、ログデータを生成したECUの種別を格納する。エンジンRPMコラム605は、ログデータに記載されているエンジン回転数を格納する。なお、分析済みログ格納DB311に格納する情報は、これらに限らない。また、分析済みログ格納DB311に格納されるレコード数の上限(最大レコード数)は、たとえば図示のように5とすることができるが、この上限は適宜変更可能である。
図7は、アラートDB312の一例を示す。検知時刻コラム701は、アラート検出部322が異常を検知した時刻を格納する。アラートIDコラム702は、検知したアラートに付与される一意の識別子を格納する。アラート内容コラム703は、検知したアラートの内容すなわち異常の検知結果を格納する。関係ログコラム704は、アラート発出を引き起こしたログのログIDまたはそのリストを格納する。なお、アラートDB312に格納する情報は、これらに限らない。
図4は、IoT機器105の構成を示す。
IoT機器105は、インターフェース部401、記憶部402及びそれらに接続された演算部403を有する。
インターフェース部401経由で、データ収集サーバ101と通信が行われる。
記憶部402は、演算部403により実行される1以上のコンピュータプログラムや演算部403により参照又は更新される情報を格納する。この1以上のコンピュータプログラムは、本明細書に記載される方法をコンピュータに実行させることにより、IoT機器105として機能させる。また、記憶部402は、ログ格納部411を備える。
演算部403が1以上のコンピュータプログラムを実行することにより、接続制御部421、ログ送信部422といった機能が実現される。接続制御部421は、データ収集サーバ101との接続を制御する。ログ送信部422は、ログ格納部411内のログをデータ収集サーバ101に送信する。
図8は、本実施形態に係るIoT機器105がログを送信してからデータ分析サーバ103でログを分析するまでの一連の流れの概要を示す。本実施形態に係る情報処理方法は、図8に示す各ステップを含む。
IoT機器105は、送信対象となるデータが生成された場合、そのデータをログデータとしてログ格納部411に格納し、ログ送信部422によりログデータをデータ収集サーバ101に送信する(S801)。
データ収集サーバ101は、受信したログをデータ分析サーバ103に転送する(S802)。S802の詳細は、後述する。
データ分析サーバ103は、受信したログを分析する(S803)。S803の詳細は後述する。
図9は、S802の詳細を説明するものであり、データ収集サーバ101によるデータ転送の流れの概要を示す。
データ収集サーバ101の接続制御部221は、IoT機器105のログ送信部422から送信されるデータを受信する(S901)。データ収集サーバ101のログID生成部222は、受信したデータに付与するログIDを生成する(S902)。
データ収集サーバ101の転送先判定部223は、ログがデータ分析サーバ103Aへの転送ルールに合致するかどうかを判定する(S903)。合致しない場合は、S905に進む。合致する場合は、ログ(ログデータおよびログIDを含む)をデータ分析サーバ103Aに転送し(S904)、S905に進む。
データ収集サーバ101の転送先判定部223は、ログがデータ分析サーバ103Bへの転送ルールに合致するかどうかを判定する(S905)。合致しない場合は、S907に進む。合致する場合は、ログ(ログデータおよびログIDを含む)をデータ分析サーバ103Bに転送し(S906)、S907に進む。データ収集サーバ101は、ログIDとログをログ格納DB211に格納する(S907)。
図10は、S803の詳細を説明するものであり、データ分析サーバ103でのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。
データ分析サーバ103Aおよび103Bは、データ収集サーバ101から受信したログ(ログデータおよびログIDを含む)を記憶部302の分析済みログ格納DB311に記憶する(S1000)。記憶されるデータの具体的な形式は適宜設計可能であるが、たとえば図6のように、ログデータに含まれる項目ごとにフィールドを抽出することによりレコードが構成される。
なお、上述のように、データ収集サーバ101がデータ分析サーバ103Aに送信するログと、データ収集サーバ101がデータ分析サーバ103Bに送信するログとは、同一でない場合がある。
データ分析サーバ103Bのアラート検出部322が、分析済みログ格納DB311から異常を示すログデータに係るログの集合(ログ集合)を検出し、アラートを発出する(S1001)。たとえば、アラート検出部322は、ログデータに基づいて異常を検知する。
データ分析サーバ103Bのアラート転送部323は、異常が検知されたログデータのログID(たとえばログ集合に含まれるログIDのリスト)およびアラート(異常の検知結果)を、関連付けてデータ分析サーバ103Aに送信する(S1002)。異常の検知結果は、たとえば異常の内容または種類等を含む。また、異常の検知結果は、検知時刻を含んでもよい。
データ分析サーバ103Aの分析済みログ紐づけ部324は、データ分析サーバ103Bから受信したログID(たとえばログIDのリスト)に基づき、データ分析サーバ103Aに記憶されるログデータと、受信した検知結果とを関連付けて、アラートDB312記憶する(S1003)。
S1003で、分析済みログ紐づけ部324が異常の検知結果とログを関連付けて格納する方法の例として、図7のようにアラートDB312の関係ログコラムにログIDリストを格納し、ログIDリスト内の各々のログIDを分析済みログ格納DB311のログIDコラムのログIDとリンクさせる方法がある。ただし、関連付ける方法はこれに限られない。
本実施形態では、データ分析サーバ103Aおよび103Bはいずれも、データ収集サーバ101が付与した共通のログIDを用いているので、データ分析サーバ103Aに記憶されるログデータと、データ分析サーバ103Bから受信した検知結果との関連付けはログIDを介して行うことができる。その場合には、単にログIDを記憶することによって関連付けを実現することができる。
より具体的には、図6に示す分析済みログ格納DB311のレコードのいずれかと、図7に示すアラートDB312のレコードのいずれかとが同一のログIDを含む場合には、前者のログデータは後者の検知結果に関連付けられているということができる。
なお、S1002でアラート転送部323が異常の検知結果を転送するタイミングは、S1001のアラート検知後すぐであってもよいし、アラート検知後にしばらく時間を空けてからであってもよい。後者の場合、一例として定時のバッチ処理時に転送するなどがある。
異常の検知結果を分析済みログ格納DB311のデータと関連付けてアラートDB312に格納することにより、データ分析サーバ103Aは、データ分析サーバ103Bが検知した異常について、アラートを発生させたログと関連付けた分析が可能となる。これにより、より効果的で効率的なデータ分析が行える。
このようにして、アラートに関する情報を複数のシステム間で効率的に共有することができる。とくに、設計者が異なる複数のSIEMシステムを効率的に連携させることができる。
上述の第1の実施形態において、データ分析サーバ103Aおよびデータ分析サーバ103Bの機能を互いに入れ替えてもよい。また、複数のデータ分析サーバ103のうち1以上が、データ分析サーバ103Aおよび103B双方の機能を備えてもよい。
データ分析サーバ103は、S1003の後に、アラートDB312の内容の一部または全部を出力してもよい。たとえば、接続制御部321を介して、外部のコンピュータ(他のデータ分析サーバ103またはその他のコンピュータ)に送信してもよいし、図示しない出力装置(ディスプレイ装置またはプリンタ等)を介して出力してもよい。
[第2の実施形態]
第2の実施形態を説明する。その際、第1の実施形態との相違点を主に説明し、第1の実施形態との共通点については説明を省略又は簡略する。
図11は、データ収集サーバの一例を示す。データ収集サーバ1101は、図2のデータ収集サーバ101に加えて、演算部にログ要求受付部1124を備える。
ログ要求受付部1124は、データ分析サーバからログIDリストを受け取り、ログIDリスト内のログIDを持つログをログ格納DB211から抽出し、抽出したログの集合をデータ分析サーバ1203に送信する。
図12は、データ分析サーバの一例を示す。データ分析サーバ1203は、図3のデータ分析サーバ103に加えて、ログ要求部1225を備える。
ログ要求部1225は、他のデータ分析サーバ1203から異常の検知結果に関連して受信したログID(たとえばログIDリストの形式)に対し、いずれかのログIDに対応するログデータを記憶していない場合に、当該ログデータを要求する処理(ログ要求処理)を実行する。たとえば、分析済みログ紐づけ部324が分析済みログ格納DB311内のログに紐づけることができなかったログIDを含むログIDリストをデータ収集サーバ1101に送信することによってログを要求する。
図13は、当該実施例におけるS803の詳細を説明するものであり、データ分析サーバでのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。
S1300、S1301、S1302は、それぞれ、S1000、S1001、S1002と同様の処理を行う。データ分析サーバ1203Aは、S1302で受け取ったログIDリストのログIDと同じログIDを持つログが、全て分析済みログ格納DB311に格納されているかを確認する(S1303)。
S1303で、全てのログが格納されている場合、S1308に進む。
S1303で、全てのログが格納されていない場合、データ分析サーバ1203Aのログ要求部は、格納されていないログのログIDのリストを作成し(S1304)、このログIDリストをデータ収集サーバ1101に送信する(S1305)。これがログ要求処理に対応する。
データ収集サーバ1101のログ要求受付部1124は、受け取ったログIDリストのログIDと同じログIDを持つログを、ログ格納DB211から抽出し、抽出したログの集合をデータ分析サーバ1203Aに送信する(S1306)。データ分析サーバ1203Aは、受け取ったログの集合を処理し、分析済みログ格納DB311に格納する(S1307)。
最後に、S1308では、図10のS1003と同様の処理を行う。
なお、S1304でログ要求部がログIDリストを作成するタイミングは、S1303の直後であってもよいし、しばらく時間を空けてからであってもよい。後者の場合、一例として定時のバッチ処理時に実施するなどがある。
第2の実施形態によれば、データ分析サーバ1203Aが他のデータ分析サーバ1203Bからアラートを転送された際に、当該アラートを発生させたログを分析済みログ格納DB311が保持していない場合でも、データ収集サーバ1101から足りないログを集め、アラートを分析することが可能となる。
[第3の実施形態]
第3の実施形態を説明する。その際、第2の実施形態との相違点を主に説明し、第2の実施形態との共通点については説明を省略又は簡略する。
第3の実施形態におけるデータ分析サーバ1203のログ要求部1225は、ログ要求処理において、他のデータ分析サーバ1203から受信したログIDリストに加えて、各ログに基づいて検知された異常の検知結果を、データ収集サーバに送信する。
図14は、データ収集サーバの一例を示す。データ収集サーバ1401は、図11のデータ収集サーバ1101に加えて、演算部に関連ログ抽出部1425を備える。
関連ログ抽出部1425は、ログ要求受付部1124から異常の検知結果を受け取り、その検知結果に関連する可能性のあるログをログ格納DB211から抽出し、抽出したログのログIDのリスト(関連ログIDリスト)を、ログ要求受付部1124に返す。検知結果に関連する可能性のあるログを抽出する方法としては、検知結果に応じて(たとえば、ログIDに基づき、アラートの内容毎に事前定義された規則に従って)1以上のログを抽出する方法があるが、これに限るものではない。
具体例を説明する。たとえば、検知結果が車両のCAN(Controller Area Network)の異常を示すものである場合には、その車両のログのうち、検知時刻の前後所定範囲のCANに関するログが、検知結果に関連する可能性のあるログとして抽出される。また、たとえば、検知結果がコネクテッドカーセンタからのログにおける異常を示すものである場合には、異常が検知されたログに関連する車両をすべて特定し、特定された車両いずれかに関連するログのうち、検知時刻の前後所定範囲のログを探索範囲として、この探索範囲から、検知結果に関連する可能性のあるログが抽出される。
ログ要求受付部1124は、データ分析サーバ1203から検知結果およびログIDリストを受け取り、これらを関連ログ抽出部1425に渡す。そして、関連ログ抽出部1425から返される関連ログIDリストと、この関連ログIDリストに含まれるログIDを持つログをログ格納DB211から抽出したログの集合とを併せて、データ分析サーバ1203に送信する。
このように、関連ログ抽出部1425は、データ分析サーバ1203からのログ要求処理に応じて、受信したログIDおよび検知結果に基づいて、収集された機器のログデータのうちから、送信すべきログデータを抽出し、抽出されたログデータをデータ分析サーバ1203に送信する。
図15は、当該実施例におけるS803の詳細を説明するものであり、データ分析サーバ1203でのデータの分析、および、データ分析サーバ間でのアラートの共有の流れの概要を示す。
S1500、S1501、S1502、S1503、S1504は、それぞれ、図13のS1300、S1301、S1302、S1303、S1304と同様の処理を行う。
S1505で、データ分析サーバ1203Aのログ要求部1225は、異常の検知結果とログIDリストをデータ収集サーバ1101に送信する(S1505)。
データ収集サーバ1401のログ要求受付部1124は、データ分析サーバ1203から検知結果およびログIDリストを受け取り、これらを関連ログ抽出部1425に渡す。そして、関連ログ抽出部1425から返される関連ログIDリストと、この関連ログIDリストに含まれるログIDを持つログをログ格納DB211から抽出したログの集合とを併せて、データ分析サーバ1203Aに送信する(S1506)。
S1507、S1508は、それぞれ、図13のS1307、S1308と同様の処理を行う。
第3の実施形態によれば、データ分析サーバ1203Aが他のデータ分析サーバ1203Bから異常の検知結果を転送された際に、当該検知の原因となったログ(アラートを発生させたログ)を分析済みログ格納DB311が保持していない場合でも、データ収集サーバ1401から足りないログおよびアラートに関連する可能性のあるログを集め、アラートを分析することが可能となる。
[第4の実施形態]
第4の実施形態を説明する。その際、第2および第3の実施形態との相違点を主に説明し、第2および第3の実施形態との共通点については説明を省略又は簡略する。
図17は、データ分析サーバの一例を示す。データ分析サーバ1703は、図12のデータ分析サーバ1203に加えて、報知部1725を備える。
データ分析サーバ1703は、ログ要求処理に先立って、異常の検知結果を外部に報知する。すなわち、検知結果を外部に報知した後に、ログ要求処理を実行する。
報知のタイミングは、たとえば図13のS1301の後、かつS1303の前とすることができる。
報知の具体的な処理は適宜設計可能であるが、たとえば、接続制御部321を介してアラートを外部のコンピュータに送信してもよいし、図示しない出力装置(ディスプレイ装置またはプリンタ等)を介してアラートを出力してもよい。ディスプレイ装置を用いる場合には、GUIを介して出力を実行することができる。
送信または出力されるアラートの内容も適宜設計可能であるが、たとえば、アラートが検知されたことを示す情報(メッセージ等)と、異常の検知時刻と、アラートIDと、アラート内容と、アラート発出を引き起こしたログのログIDまたはそのリストとを含むことができる。
第4の実施形態によれば、データ分析サーバ間のデータ送受信が行われる前に、早期にアラート内容の出力を行うことができるので、外部のアラート処理システムまたはアラート処理担当者(人間)がアラートを早期に認識することができる。この効果は、とくに、データ分析サーバ間のデータ送受信をバッチ処理で行う場合に顕著であり、定時のバッチ処理実行を待たずにアラートを認識できる。
101…データ収集サーバ
102…通信ネットワーク
103…データ分析サーバ
104…通信ネットワーク
105…IoT機器
201…インターフェース部
202…記憶部
203…演算部
211…ログ格納部DB
221…接続制御部
222…ログID生成部
223…転送先判定部
301…インターフェース部
302…記憶部
303…演算部
311…分析済みログ格納DB
312…アラートDB
321…接続制御部
322…アラート検出部
323…アラート転送部
324…分析済みログ紐づけ部
401…インターフェース部
402…記憶部
403…演算部
411…ログ格納部
421…接続制御部
422…ログ送信部
501…収集時刻コラム
502…ログIDコラム
503…ログデータコラム
601…収集時刻コラム
602…ログIDコラム
603…VINコラム
604…ECUコラム
605…エンジンRPMコラム
701…検知時刻コラム
702…アラートIDコラム
703…アラート内容コラム
704…関係ログコラム
1101…データ収集サーバ
1124…ログ要求受付部
1203…データ分析サーバ
1225…ログ要求部
1401…データ収集サーバ
1425…関連ログ抽出部
1605…車両
1606…コネクテッドカーセンタ
1703…データ分析サーバ
1725…報知部

Claims (8)

  1. 収集された機器のログデータにログIDを付与する、ID付与コンピュータと、
    前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知する、第一処理コンピュータと、
    前記ログデータおよび前記ログIDを記憶し、前記ログデータに基づいて異常を検知し、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信する、第二処理コンピュータと、
    を備え、
    前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶する、情報処理装置。
  2. 請求項1に記載の情報処理装置であって、
    前記第一処理コンピュータは、前記第二処理コンピュータから受信した前記ログIDに対応するログデータを記憶していない場合に、当該ログデータを要求するログ要求処理を実行する、情報処理装置。
  3. 請求項2に記載の情報処理装置であって、
    前記第一処理コンピュータは、前記ログ要求処理において、前記第二処理コンピュータから受信した前記ログIDおよび前記検知結果を送信する、情報処理装置。
  4. 請求項3に記載の情報処理装置であって、
    前記ログ要求処理は、前記ID付与コンピュータに対して行われ、
    前記ID付与コンピュータは、前記ログ要求処理に応じて、前記ログIDおよび前記検知結果に基づいて、収集された機器のログデータのうちから送信すべきログデータを抽出し、抽出されたログデータを前記第一処理コンピュータに送信する、
    情報処理装置。
  5. 請求項2に記載の情報処理装置であって、
    前記第一処理コンピュータは、前記検知結果を外部に報知した後に、前記ログ要求処理を実行する、情報処理装置。
  6. 情報処理方法であって、
    ID付与コンピュータが、収集された機器のログデータにログIDを付与するステップと、
    第一処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
    前記第一処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
    第二処理コンピュータが、前記ログデータおよび前記ログIDを記憶するステップと、
    前記第二処理コンピュータが、前記ログデータに基づいて異常を検知するステップと、
    前記第二処理コンピュータが、異常が検知された前記ログデータの前記ログIDおよび異常の検知結果を前記第一処理コンピュータに送信するステップと、
    前記第一処理コンピュータが、前記第二処理コンピュータから受信した前記ログIDに基づき、前記第一処理コンピュータに記憶される前記ログデータと受信した前記検知結果とを関連付けて記憶するステップと、
    を備える、情報処理方法。
  7. 請求項6に記載の方法をコンピュータシステムに実行させるプログラム。
  8. 請求項7に記載のプログラムを格納する非一時的な記憶媒体。
JP2021073241A 2021-04-23 2021-04-23 情報処理装置、情報処理方法、プログラムおよび記憶媒体 Active JP7628876B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2021073241A JP7628876B2 (ja) 2021-04-23 2021-04-23 情報処理装置、情報処理方法、プログラムおよび記憶媒体
US18/549,942 US12360863B2 (en) 2021-04-23 2022-02-22 Information processing device, information processing method, program, and storage medium
PCT/JP2022/007396 WO2022224582A1 (ja) 2021-04-23 2022-02-22 情報処理装置、情報処理方法、プログラムおよび記憶媒体
CN202280025037.2A CN117083598A (zh) 2021-04-23 2022-02-22 信息处理装置、信息处理方法、程序以及存储介质
EP22791364.7A EP4328753A4 (en) 2021-04-23 2022-02-22 Information processing device, information processing method, program, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021073241A JP7628876B2 (ja) 2021-04-23 2021-04-23 情報処理装置、情報処理方法、プログラムおよび記憶媒体

Publications (2)

Publication Number Publication Date
JP2022167451A true JP2022167451A (ja) 2022-11-04
JP7628876B2 JP7628876B2 (ja) 2025-02-12

Family

ID=83722801

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021073241A Active JP7628876B2 (ja) 2021-04-23 2021-04-23 情報処理装置、情報処理方法、プログラムおよび記憶媒体

Country Status (4)

Country Link
EP (1) EP4328753A4 (ja)
JP (1) JP7628876B2 (ja)
CN (1) CN117083598A (ja)
WO (1) WO2022224582A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007108929A (ja) * 2005-10-12 2007-04-26 Nec Corp ログ管理システム、ログ管理マネージャ、ログ管理方法およびプログラム
WO2016075915A1 (ja) * 2014-11-10 2016-05-19 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
US20180307576A1 (en) * 2017-04-21 2018-10-25 Nec Laboratories America, Inc. Field content based pattern generation for heterogeneous logs

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EA201791095A1 (ru) 2014-11-17 2017-10-31 Эпизайм, Инк. Способ лечения рака
JP7182559B2 (ja) * 2018-04-06 2022-12-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ログ出力方法、ログ出力装置及びプログラム
CN112789600B (zh) * 2018-11-30 2024-12-06 松下电器(美国)知识产权公司 车辆日志发送装置、车辆日志分析服务器、车辆日志分析系统以及车辆日志收发方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007108929A (ja) * 2005-10-12 2007-04-26 Nec Corp ログ管理システム、ログ管理マネージャ、ログ管理方法およびプログラム
WO2016075915A1 (ja) * 2014-11-10 2016-05-19 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
US20180307576A1 (en) * 2017-04-21 2018-10-25 Nec Laboratories America, Inc. Field content based pattern generation for heterogeneous logs

Also Published As

Publication number Publication date
WO2022224582A1 (ja) 2022-10-27
JP7628876B2 (ja) 2025-02-12
US20240152441A1 (en) 2024-05-09
EP4328753A4 (en) 2025-04-09
EP4328753A1 (en) 2024-02-28
CN117083598A (zh) 2023-11-17

Similar Documents

Publication Publication Date Title
US11393266B2 (en) Blockchain configuration history for aircraft maintenance, modification, and activity tracking
JP5982366B2 (ja) プライベート・クラウド・コンピューティングためのシステムおよび方法
EP3149591B1 (en) Tracking application deployment errors via cloud logs
US9021077B2 (en) Management computer and method for root cause analysis
EP3668045B1 (en) Interlocking blockchains for aircraft part history and current aircraft configuration
US9787704B2 (en) Anomaly detection based on cluster transitions
JP7530367B2 (ja) 異常車両検出サーバおよび異常車両検出方法
US12001570B2 (en) Big data distributed processing and secure data transferring with resource allocation and rebate
US7680826B2 (en) Computer-readable recording medium storing security management program, security management system, and method of security management
US20210073676A1 (en) Model improvement support system
CN108924086A (zh) 一种基于安全代理的主机信息采集方法
JP7628876B2 (ja) 情報処理装置、情報処理方法、プログラムおよび記憶媒体
CN120165894A (zh) 用于在计算环境中生成网络安全补救的系统和方法
US9697064B2 (en) System, system control method, and storage medium
US12360863B2 (en) Information processing device, information processing method, program, and storage medium
CN115037531A (zh) 一种未授权访问漏洞检测方法、设备、系统
CN119336549B (zh) 数据备份方法、系统以及装置
WO2019153493A1 (zh) 基于h5页面的社交图谱生成方法、电子装置及存储介质
JP2010061548A (ja) 計算機システム、処理方法及びプログラム
WO2020255483A1 (ja) ブロックチェーンを利用するシステム
JP2023018599A (ja) データ取得システム、データ取得方法
CN119496801A (zh) 一种将车载电子设备虚拟接入车载功能的方法
CN119396627A (zh) 一种基于大数据的网络数据控制方法、装置及电子设备
CN116939131A (zh) 一种操作再现方法及相关系统
CN116866021A (zh) 监控数据鉴权方法、设备及存储介质

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20220606

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240229

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250130

R150 Certificate of patent or registration of utility model

Ref document number: 7628876

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150