JP6070688B2 - イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム - Google Patents

イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム Download PDF

Info

Publication number
JP6070688B2
JP6070688B2 JP2014501843A JP2014501843A JP6070688B2 JP 6070688 B2 JP6070688 B2 JP 6070688B2 JP 2014501843 A JP2014501843 A JP 2014501843A JP 2014501843 A JP2014501843 A JP 2014501843A JP 6070688 B2 JP6070688 B2 JP 6070688B2
Authority
JP
Japan
Prior art keywords
event
correlation rule
correlation
events
occurrence location
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014501843A
Other languages
English (en)
Other versions
JPWO2013128530A1 (ja
Inventor
敏夫 登内
敏夫 登内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2013128530A1 publication Critical patent/JPWO2013128530A1/ja
Application granted granted Critical
Publication of JP6070688B2 publication Critical patent/JP6070688B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、イベントの履歴から、イベントの相関有無の判別に用いられる規則であるイベント相関規則を抽出するイベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラムに関する。
蓄積された履歴から相関関係を抽出するシステムが特許文献1に記載されている。図19は、特許文献1に記載されたシステムの機能を示すブロック図である。図19に示すシステムは、データ・アクセス・プログラム/ユーティリティ18と、データ・ベース20と、マイニング・カーネル・インタフェース26と、マイング・カーネル16と、マイニング・カーネル16の実行結果を記録するマイニング結果レポジトリ24を備えている。
マイニング・カーネル・インタフェース26には、最低サポート値および最低信頼値が事前に与えられる。マイング・カーネル16は、データ・アクセス・プログラム/ユーティリティ18を介してデータ・ベース20にアクセスし、抽出した相関関係をマイニング結果レポジトリ24に記憶する。
具体的には、マイング・カーネル16は、k種類の品目セットを生成する。ここで、kは、品目セットの長さを示す。マイング・カーネル16は、k=2から処理を始めて、徐々にkを増やしていく。特許文献1に記載されたシステムでは、品目セットがトランザクションのデータ・ベース20に存在する回数がサポート率と定義される。このサポート率が事前に与えられた最小サポート値を超える品目セットを、大きな品目セットとして選び出す。
そして、マイング・カーネル16は、選び出したk種類の品目で構成されている品目セットに対し、品目を1個加えて(k+1)個にし、これに対して同様にサポート率を計算する。以降、kを増加させ、処理が繰り返される。そして、すべてのサポート率が最小サポート値未満になったときの品目の種類をk’とすると、マイング・カーネル16は、(k’−1)個の時点で残った品目セットを出力する。
そして、マイング・カーネル16は、残った要素の一集合(例えば、{A,B,C,D})から一つの要素(例えばD)を取り出し、その要素が他の要素(例えば、A,B,C)に起因するか調べる。
具体的には、マイング・カーネル16は、試験対象の大きな品目セットlのサポートを、サブセット(l−hm+1)のサポートで除算して信頼値を求める。そして、この信頼値が事前に与えられた最低信頼値以上であれば、マイング・カーネル16は、(l−hm+1)=>hm+1(上記の例では、A,B,C=>D)を関連規則と判断する。なお、記号「=>」は、左辺に起因して右辺が発生する相関関係を有することを示す。
図20は、イベント履歴からイベント相関規則を抽出する一般的なイベント相関規則検出システムの例を示すブロック図である。図20に例示するイベント相関規則検出システムは、イベント発生源110と、イベント相関用ルールエンジン160と、イベント履歴データベース130(以下、イベント履歴DB130)と、イベント相関規則生成手段930と、GUI(Graphical User Interface)115とを備えている。
イベント履歴DB130は、イベント発生源110が発生したイベントの履歴を記憶する。
イベント相関規則生成手段930は、イベント履歴DB130に記憶されたイベントに基づいてイベント相関規則970を生成する。イベント相関規則生成手段930は、例えば、上述する特許文献1に記載されたシステムが相関関係を生成する方法と同様の方法を利用してイベント相関規則を生成することができる。
イベント相関用ルールエンジン160は、イベント相関規則970を参照しつつ、相関性のあるイベント(相関規則)をGUI115に表示する。例えば、「イベント型Aのイベントが発生した場合にイベント型Cのイベントが発生する」というイベント相関規則「A=>C」が存在すると想定する。なお、イベント型とは、イベントに含まれ、そのイベントの種類を示す情報である。
ここで、連続したイベントの集合W内に、イベント型CのイベントEが存在したとする。また、その集合W内であってイベント型Cの直前に、イベント型AのイベントEが存在したとする。このとき、イベント相関用ルールエンジン160は、EとEに相関があると判断し、その相関規則をGUI115に表示する。
特許第3195233号公報
上述する特許文献1に記載されたシステムにより生成されるイベント相関規則を用いることで、関連するイベントを抽出することはできる。しかし、特許文献1に記載されたシステムにより生成されるイベント相関規則を用いてイベントを抽出した場合、誤検出を行う可能性がある。以下、誤検出が行われる場合について具体例を用いて説明する。
図21は、イベントの例およびイベントから生成されるイベント相関規則の例を示す説明図である。また、図22は、イベントの他の例を示す説明図である。図21(a)は、メールサーバ(192.168.200.192)のイベントログと、メールクライアント(192.168.200.10)のイベントログを示している。
図21(a)に例示するイベントログは、メールクライアントがメールサーバへの接続を失敗(Connection_Failed)したことにより発生する。そのため、メールサーバは、“Error reading from connection”イベントおよびNOQUEUEイベントを発生させる。
この場合、一般的に、図21(b)に例示するイベント相関規則が生成される。例えば、図21(b)の1行目は、Connection_Failedイベントが発生したとき、15分以内 (WITHIN 15min)に、NOQUEUEイベントが発生するという規則を示す。
ここで、図22に例示するイベントログに対して、図21(b)の1行目に例示する規則を適用するとする。図22に例示するイベントログは、メールサーバ(192.168.200.192)を使っている他のメールクライアント(10.168.200.199)がConnection_Failedイベントを発生させたことを示す。すなわち、図21(a)に例示するイベントとたまたま同時間帯に、メールサーバ(192.168.200.192)がメールクライアント(10.168.200.10)からの接続に対してNOQUEUEイベントを発生させたとする。
このような場合、メールクライアントが発生させたイベントの内容(具体的には、メールクライアントを特定する情報「192.168.200.10」)を参照すれば、図22に例示するイベント間に相関が無いのは自明である。しかし、図21(b)の1行目に例示する規則を適用して関連するイベントを検出する場合、この両者のイベントは相関有りと判断され誤検出されてしまう。
すなわち、特許文献1に記載された方法などの一般的な方法で抽出される相関規則を利用すると、同時間帯に複数の装置間で同種のイベントが複数発生した場合、関連するイベントの誤検出率が高くなり、イベントの分析精度が低下してしまうという問題がある。
そこで、本発明では、関連するイベントの誤検出率を抑えることができるイベント相関分析システム、イベント相関規則検出方法およびイベント相関規則検出用プログラムを提供することを目的とする。
本発明によるイベント相関規則検出システムは、イベントの発生箇所を示す情報、そのイベントの種類を示すイベント型およびそのイベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、そのイベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割手段と、イベント型ウィンドウ分割手段によって生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、一のイベントのイベント属性が示す情報と他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出手段と、相互相関関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれるそのイベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する相互相関規則生成手段とを備えたことを特徴とする。
本発明によるイベント相関規則検出方法は、イベント型ウィンドウ分割手段が、イベントの発生箇所を示す情報、そのイベントの種類を示すイベント型およびそのイベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、そのイベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成し、相互相関関係抽出手段が、生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、一のイベントのイベント属性が示す情報と他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出し、相互相関規則生成手段が、抽出されたイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれるそのイベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成することを特徴とする。
本発明による相関規則検出用プログラムは、コンピュータに、イベントの発生箇所を示す情報、そのイベントの種類を示すイベント型およびそのイベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、そのイベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割処理、イベント型ウィンドウ分割処理で生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、一のイベントのイベント属性が示す情報と他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出処理、および、相互相関関係抽出処理で抽出されたイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれるそのイベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する相互相関規則生成処理を実行させることを特徴とする。
本発明によれば、関連するイベントの誤検出率を抑えることができる。
本発明によるイベント相関規則検出システムの一実施形態を示すブロック図である。 イベント履歴DBが記憶するイベント情報の例を示す説明図である。 イベントウィンドウの例を示す説明図である。 イベント相関規則生成手段の例を示すブロック図である。 イベント型ウィンドウ表の例を示す説明図である。 イベント相関規則を検出する動作の例を示すフローチャートである。 イベント相関規則生成手段の動作の例を示すフローチャートである。 相互相関規則の例を示す説明図である。 イベント相関規則を生成する処理を表すシークエントの例を示す説明図である。 相互相関イベント型ウィンドウ表の例を示す説明図である。 支持度および信頼度の例を示す説明図である。 イベント相関規則の例を示す説明図である。 単一相関イベント型ウィンドウ表の例を示す説明図である。 支持度および信頼度の他の例を示す説明図である。 発生箇所別イベント型ウィンドウ表の例を示す説明図である。 支持度および信頼度のさらに他の例を示す説明図である。 イベントウィンドウ表の例を示す説明図である。 本発明によるイベント相関規則検出システムの概要を示すブロック図である。 特許文献1に記載されたシステムの機能を示すブロック図である。 一般的なイベント相関規則検出システムの例を示すブロック図である。 イベントの例およびイベントから生成されるイベント相関規則の例を示す説明図である。 イベントの他の例を示す説明図である。
以下、本発明の実施形態を図面を参照して説明する。
実施形態1.
図1は、本発明によるイベント相関規則検出システムの一実施形態を示すブロック図である。本実施形態のイベント相関規則検出システムは、イベント発生源110と、イベント履歴DB130と、ウィンドウ分割手段140と、イベントウィンドウ表記憶手段150と、イベント相関用ルールエンジン160と、イベント相関規則データベース170(以下、イベント相関規則DB170と記す。)と、イベント相関規則生成手段180と、GUI115とを備えている。
イベント発生源110は、イベントの発生源になる装置である。イベント発生源110は、例えば、処理を要求する端末や、処理要求を受信するサーバなどにより実現される。なお、イベント発生源110は、イベントの発生が検知可能な装置であれば、どのような装置であってもよい。
また、イベント発生源110は、検知されたイベントをイベント履歴DB130に記憶させる。なお、イベントの発生源になる装置と、検知されたイベントの内容をイベント履歴DB130に記憶させる装置とは、同一であってもよく、異なっていてもよい。
イベント履歴DB130は、各装置で発生したイベントの内容を示す情報(以下、イベント情報と記す。)を記憶する。図2は、イベント履歴DB130が記憶するイベント情報の例を示す説明図である。図2に例示するイベント履歴DB130は、イベントを識別する識別子(e#)ごとに、イベントが発生した発生時刻(Time)、イベントの種類を示すイベント型、イベントが発生した装置を識別する情報であるイベント発生箇所(発生箇所)、イベントに関連する情報を示すイベント属性(属性1,属性2)を一覧表の形式で記憶していることを示す。また、イベント属性は、イベントに関係する装置を示す情報も含んでいる。
なお、図2では、イベント属性が2つである場合を例示しているが、イベント情報に含まれるイベント属性は、2つに限られず、3つ以上であってもよい。以下の説明では、イベント属性を単に属性と記すこともある。
ウィンドウ分割手段140は、イベント発生源110から受信したイベント情報を一定時間ごとに区切り、イベントウィンドウと呼ばれるイベントの集合に分割する。
図3は、イベントウィンドウの例を示す説明図である。図3に示す例では、イベントが横方向に時系列に発生していることを示す。また、図3に例示する黒三角印が、発生したイベントを示す。ウィンドウ分割手段140は、発生したイベントを一定時間W[sec]ごとに区切ることで、イベント情報を複数のイベントウィンドウに分割する。そして、ウィンドウ分割手段140は、分割したイベントウィンドウをイベントウィンドウ表記憶手段150に記憶する。
イベントウィンドウ表記憶手段150は、ウィンドウ分割手段140によって分割されたイベントウィンドウを記憶する。イベントウィンドウ表記憶手段150は、例えば、イベントウィンドウに含まれるイベント情報を表形式で記憶する。以下、イベントウィンドウ表記憶手段150が記憶するイベントウィンドウの集合を、イベントウィンドウ表と記す。
イベント相関規則DB170は、イベントの相関有無の判別に用いられる規則(すなわち、イベント相関規則)を記憶する。なお、イベント相関規則の具体的内容は、後述される。
イベント相関用ルールエンジン160は、イベント相関規則DB170に記憶されたイベント相関規則に基づいて、イベントウィンドウ表記憶手段150に記憶された各イベントの相関有無を判別する。具体的には、イベント相関用ルールエンジン160は、イベント相関規則を満たすイベントを相関ありと判断する。そして、イベント相関用ルールエンジン160は、相関があるイベントを検出し、GUI115に表示する。
GUI115は、イベント相関用ルールエンジン160の指示に基づいて、相関のあるイベント情報を表示する。GUI115は、例えば、ディスプレイ装置等により実現される。
図4は、イベント相関規則生成手段180の例を示すブロック図である。本実施形態のイベント相関規則生成手段180は、イベント型ウィンドウ分割手段210と、イベント型ウィンドウ表記憶手段220と、相互相関分類手段230と、相互相関規則生成手段250と、単一相関分類手段330と、単一相関規則生成手段350と、発生箇所別分類手段430と、発生箇所別規則生成手段450とを含む。
イベント型ウィンドウ分割手段210は、イベント履歴DB130に記憶されたイベントを一定時間ごとに区切り、イベントの集合であるイベントウィンドウに分割する。なお、イベント型ウィンドウ分割手段210が一定時間ごとにイベントを区切る方法は、ウィンドウ分割手段140が、イベント発生源110から受信したイベントを一定時間ごとに区切る方法と同様である。なお、分割する時間間隔は、予め定められる。
イベント型ウィンドウ表記憶手段220は、イベント型ウィンドウ分割手段210によって分割されたイベントウィンドウを記憶する。以下、イベント型ウィンドウ分割手段210によって生成されたイベントウィンドウの集合をイベント型ウィンドウ表と記す。図5は、イベント型ウィンドウ表記憶手段220が記憶するイベント型ウィンドウ表の例を示す説明図である。図5に例示するイベント型ウィンドウ表は、イベントウィンドウを識別するイベントウィンドウID(w#)が付与されたイベントを記憶していることを示す。具体的には、図5に例示するイベント型ウィンドウ表の第2列にイベントウィンドウID(w#)が設定され、第3列に、イベントウィンドウに属するイベントのイベント型の集合が設定される。
相互相関分類手段230は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一で、一のイベントの属性が示す情報と他のイベントの発生箇所を示す情報とが同一である組を相互相関イベント型ウィンドウ表240として抽出する。
相互相関規則生成手段250は、相互相関分類手段230が抽出したイベントの組(すなわち、相互相関イベント型ウィンドウ表240)からイベント相関規則の一つである相互相関規則を生成する。相互相関規則生成手段250は、生成した相互相関規則をイベント相関規則としてイベント相関規則DB170に記憶する。
具体的には、相互相関規則生成手段250は、相互相関分類手段230が抽出したイベントの組に含まれる各イベント型の組合せを満たし、そのイベントの組に含まれる発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組を相関ありと判断する。そして、相互相関規則生成手段250は、各イベント型の組合せ、発生箇所およびイベント属性を用いて、相互相関規則を生成する。
単一相関分類手段330は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一である組を単一相関イベント型ウィンドウ表340として抽出する。
単一相関規則生成手段350は、単一相関分類手段330が抽出したイベントの組(すなわち、単一相関イベント型ウィンドウ表340)からイベント相関規則の一つである単一相関規則を生成する。単一相関規則生成手段350は、生成した単一相関規則をイベント相関規則としてイベント相関規則DB170に記憶する。
具体的には、単一相関規則生成手段350は、単一相関分類手段330が抽出したイベントの組に含まれる各イベント型の組合せを満たし、そのイベントの組に含まれる発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組を相関ありと判断する。そして、単一相関規則生成手段350は、各イベント型の組合せ、発生箇所およびイベント属性を用いて、単一相関規則を生成する。
なお、単一相関規則生成手段350は、生成した単一相関規則のうち、相互相関規則生成手段250が生成した相互相関規則とイベント型の組が一致する単一相関規則を除いた規則をイベント相関規則DB170に記憶する。このようにすることで、重複したイベント相関規則がイベント相関規則DB170に記憶されることを抑制できる。
発生箇所別分類手段430は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一である組を発生箇所別イベント型ウィンドウ表440として抽出する。
発生箇所別規則生成手段450は、発生箇所別分類手段430が抽出したイベントの組(すなわち、発生箇所別イベント型ウィンドウ表440)からイベント相関規則の一つである発生箇所別規則を生成する。発生箇所別規則生成手段450は、生成した発生箇所別規則をイベント相関規則としてイベント相関規則DB170に記憶する。
具体的には、発生箇所別規則生成手段450は、発生箇所別分類手段430が抽出したイベントの組に含まれる各イベント型の組合せを満たし、そのイベントの組に含まれる発生箇所を示す情報同士が所定の条件を満たす関係にあるイベントの組を相関ありと判断する。そして、発生箇所別規則生成手段450は、各イベント型の組合せ、発生箇所およびイベント属性を用いて、発生箇所別規則を生成する。
なお、発生箇所別規則生成手段450は、生成した発生箇所別規則のうち、相互相関規則生成手段250が生成した相互相関規則及び単一相関規則生成手段350が生成した単一相関規則とイベント型の組が一致する発生箇所別規則を除いた規則をイベント相関規則DB170に記憶する。このようにすることで、重複したイベント相関規則がイベント相関規則DB170に記憶されることを抑制できる。
イベント相関規則生成手段180は、相互相関分類手段230および相互相関規則生成手段250と、単一相関分類手段330および単一相関規則生成手段350と、発生箇所別分類手段430および発生箇所別規則生成手段450の各手段の組合せのうち、いずれか1つの組合せのみを含んでいてもよく、各組合せを2つ以上含んでいてもよい。
ウィンドウ分割手段140と、イベント相関用ルールエンジン160と、イベント相関規則生成手段180(より具体的には、イベント型ウィンドウ分割手段210と、相互相関分類手段230と、相互相関規則生成手段250と、単一相関分類手段330と、単一相関規則生成手段350と、発生箇所別分類手段430と、発生箇所別規則生成手段450)とは、プログラム(イベント相関規則検出用プログラム)に従って動作するコンピュータのCPU(Central Processing Unit )によって実現される。
例えば、プログラムは、イベント相関規則検出システムを実現する装置の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、ウィンドウ分割手段140、イベント相関用ルールエンジン160およびイベント相関規則生成手段180(より具体的には、イベント型ウィンドウ分割手段210、相互相関分類手段230、相互相関規則生成手段250、単一相関分類手段330、単一相関規則生成手段350、発生箇所別分類手段430および発生箇所別規則生成手段450)として動作してもよい。
また、ウィンドウ分割手段140と、イベント相関用ルールエンジン160と、イベント相関規則生成手段180(より具体的には、イベント型ウィンドウ分割手段210と、相互相関分類手段230と、相互相関規則生成手段250と、単一相関分類手段330と、単一相関規則生成手段350と、発生箇所別分類手段430と、発生箇所別規則生成手段450)とは、それぞれが専用のハードウェアで実現されていてもよい。
次に、本実施形態のイベント相関規則検出システムの動作を説明する。まず、本実施形態のイベント相関規則検出システムの動作のうち、イベント相関規則を検出する動作を説明する。図6は、イベント相関規則を検出する動作の例を示すフローチャートである。
まず、イベント相関規則生成手段180は、イベント履歴DB130に記憶されたイベント情報を参照して、イベント相関規則を生成する。イベント相関規則生成手段180は、生成したイベント相関規則をイベント相関規則DB170に記憶する(ステップA110)。なお、イベント相関規則を生成する動作については後述される。
イベント相関規則DB170にイベント相関規則が記憶された後、システムの運用が開始される(ステップA120)。
続いて、ウィンドウ分割手段140は、イベント発生源110が発生させたイベントに関するイベント情報を受信し、一定時間W[sec]ごとにイベント情報をグループ化する。ウィンドウ分割手段140は、その結果をイベントウィンドウ表記憶手段150に記録する(ステップA130)。
イベント相関用ルールエンジン160は、イベント相関規則DB170に格納されたイベント相関規則を参照し、イベントウィンドウ表記憶手段150に記憶されているイベント間で相関のあるイベント群をGUI115に表示する(ステップA140)。
イベント相関用ルールエンジン160は、ユーザが運用終了の指示を与えているか否か判断する(ステップA150)。運用終了の指示は、例えば、GUI115等を介してユーザにより与えられる。運用終了の指示が与えられていない場合(ステップA150におけるno)、ステップA130以降の処理が繰り返される。一方、運用終了の指示が与えられている場合(ステップA150におけるyes)、イベント相関規則を検出する動作は終了する。
次に、本実施形態のイベント相関規則生成手段180の動作を説明する。図7は、イベント相関規則生成手段180の動作の例を示すフローチャートである。
イベント型ウィンドウ分割手段210は、イベント履歴DB130を参照し、一定時間W[sec]単位でイベントをイベントウィンドウに分割し、イベント型ウィンドウ表記憶手段220に記憶する(ステップB110)。
相互相関分類手段230は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一で、一のイベントの属性が示す情報と他のイベントの発生箇所を示す情報とが同一である組を相互相関イベント型ウィンドウ表240として抽出する(ステップB120)。
相互相関規則生成手段250は、相互相関イベント型ウィンドウ表240を参照し、イベント相関規則を生成して、イベント相関規則DB170に記憶する(ステップB130)。
続いて、単一相関分類手段330は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報が同一である組を単一相関イベント型ウィンドウ表340として抽出する(ステップB140)。
単一相関規則生成手段350は、単一相関イベント型ウィンドウ表340を参照し、イベント相関規則を生成して、イベント相関規則DB170に記憶する(ステップB150)。ただし、単一相関規則生成手段350は、相互相関規則生成手段250がすでに生成済みのイベント相関規則とイベント型が同一の規則を記憶しないようにする。このようにすることで、重複したイベント相関規則がイベント相関規則DB170に記憶されることを抑制できる。
続いて、発生箇所別分類手段430は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一である組を発生箇所別イベント型ウィンドウ表440として抽出する(ステップB160)。
発生箇所別規則生成手段450は、発生箇所別イベント型ウィンドウ表440を参照し、イベント相関規則を生成して、イベント相関規則DB170に記憶する(ステップB170)。ただし、発生箇所別規則生成手段450は、相互相関規則生成手段250および単一相関規則生成手段350がすでに生成済みのイベント相関規則とイベント型が同一の規則を記憶しないようにする。このようにすることで、重複したイベント相関規則がイベント相関規則DB170に記憶されることを抑制できる。
以上のように、本実施形態によれば、イベント型ウィンドウ分割手段210が、イベント履歴DB130に記憶されたイベント情報の集合をイベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントウィンドウを生成する。相互相関分類手段230が、イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、一のイベントのイベント属性が示す情報と他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する。そして、相互相関規則生成手段250が、イベント相関規則を生成する。このイベント相関規則としての相互相関規則は、相互相関分類手段230が抽出したイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれる発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定する。以上の構成により、関連するイベントの誤検出率を抑えることができる。
すなわち、本実施形態のイベント相関規則検出システムでは、既存のイベント履歴からイベントの発生箇所やイベントの属性も考慮したイベント相関規則が生成される。よって、誤検出率を抑えることができるため、相関イベントを高精度に検出することが可能になる。
また、単一相関分類手段330が、イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一であるイベントの組を抽出してもよい。そして、単一相関規則生成手段350が、イベント相関規則を生成してもよい。このイベント相関規則としての単一相関規則は、単一相関分類手段330が抽出したイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれる発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定する。このような構成を含むことで、関連するイベントの誤検出率をより抑えることができる。
また、発生箇所別分類手段430が、イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一であるイベントの組を抽出してもよい。そして、発生箇所別規則生成手段450が、イベント相関規則を生成する。このイベント相関規則としての発生箇所別規則則は、発生箇所別分類手段430が抽出したイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれる発生箇所を示す情報同士が所定の条件を満たす関係にあるイベントの組が相関を有することを規定する。このような構成を含むことで、関連するイベントの誤検出率をより抑えることができる。
以下、図21(a)に例示するイベントの例を用いて、本実施形態の効果を説明する。メールサーバで発生したNOQUEUEイベントは、発生箇所61(sol8:192.168.200.192)とイベントに関係するホスト(装置)を示す属性62(NOQUEUE.fromHost=192.168.200.10)とを含む。
また、メールクライアントで発生したConnection Failedイベントは、発生箇所63(myhost:192.168.200.10)と、イベントに関係するホスト(装置)を示す属性64(Connection_Failure.toHost=192.168.200.192)とを含む。
このイベントの組を参照すると、メールサーバで発生したイベントの発生箇所を示す情報と、メールクライアントで発生したイベントの属性が示す情報とが同一である。且つ、メールサーバで発生したイベントの属性が示す情報と、メールクライアントで発生したイベントの発生箇所を示す情報とが同一である。そのため、相互相関分類手段230が、このイベントの組を相互相関イベント型ウィンドウ表240として抽出する。
そして、相互相関規則生成手段250は、このイベントの組から相互相関規則を生成する。図8は、相互相関規則の例を示す説明図である。図8に例示する規則は、Connection_FailureイベントからNOQUEUEイベントが15分以内に発生し、WHERE節が成立したときのみに、相関有りと判断されることを意味する。また、WHERE節は、Connection_Failureの発生箇所(Connection_Failure.hostname)とNOQUEUEの属性(NOQUEUE.fromHost)が一致しており、かつ、NOQUEUEの発生箇所(NOQUEUE.hostname)とConnection_Failureの属性(Connection_Failure.toHost)が一致しているという条件を示す。
図22に例示するイベントからイベント相関規則を検出する場合、図8に例示するイベント相関規則を用いれば、図22に例示するイベントからはイベントの組が抽出されないことになる。このように、同時間帯に複数の装置間で同種のイベントが複数発生した場合であっても、関連するイベントの誤検出を抑制できる。
なお、相互相関規則生成手段250、単一相関規則生成手段350および発生箇所別規則生成手段450がイベント相関規則を生成する処理は、シークエントを用いて表すことも可能である。図9は、イベント相関規則を生成する処理を表すシークエントの例を示す説明図である。図9(a)は、発生箇所別規則を生成する処理の例を示す。図9(b)は、単一相関規則の例を示す。図9(c)は、相互相関規則の例を示す。
図9に例示するシークエントは、イベント型ウィンドウ表の中に、横線上部に該当するイベント群が存在するとき、横線下部の規則を生成することを示す。
図9(a)に例示するシークエントは、発生箇所が同一(A)のイベント型e及びeのイベントが同一のイベントウィンドウWに属しており、イベント型eとイベント型eの相関規則(e=>e)を生成する場合を想定している。
そして、図9(a)に例示するシークエントは、「イベントの発生箇所が同一ならば、イベント型eのイベントとイベント型eのイベントは、イベント相関が成り立つ」というイベント相関規則を生成することを意味する。
すなわち、図9(a)に例示するシークエントは、発生箇所別規則生成手段450が行う動作を示している。
図9(b)に例示するシークエントは、イベント型e及びeのイベントが同一のイベントウィンドウWに属しており、イベントeの属性attrの値が、イベントeの発生箇所(B)と同一であり、かつ、イベント型eとイベント型eの相関規則(e=>e)を生成する場合を想定している。
そして、図9(b)に例示するシークエントは、「イベント型eのイベントの属性attrが他のイベント発生箇所と同一であるイベント型eのイベントは、イベント相関が成り立つ」というイベント相関規則を生成することを意味する。
すなわち、図9(b)に例示するシークエントは、単一相関規則生成手段350が行う動作を示している。
図9(c)に例示するシークエントは、イベント型e及びeのイベントが同一のイベントウィンドウWに属しており、イベントeの属性attrの値が、イベントeの発生箇所(B)と同一であり、イベントeの属性attrの値が、イベントeの発生箇所(A)と同一であり、イベント型eとイベント型eの相関規則(e=>e)を生成する場合を想定している。
そして、図9(c)に例示するシークエントは、「イベントeの属性attrが、eのイベント発生箇所と同一であり、イベントeの属性attrが、eのイベント発生箇所と同一であるならば、イベント型eのイベントとイベント型eのイベントは、イベント相関が成り立つ」というイベント相関規則を生成することを意味する。
すなわち、図9(c)に例示するシークエントは、相互相関規則生成手段250が行う動作を示している。
例えば、イベント相関規則を生成する一般的な方法では、イベントの発生箇所を考慮せずにイベント相関規則が生成されていた。そのため、イベントの相関を検出する際、関係のないイベントが誤検出される場合があった。しかし、上述するように、相互相関規則生成手段250、単一相関規則生成手段350および発生箇所別規則生成手段450がイベントの発生箇所を示す情報を含むイベント相関規則を生成するため、関連するイベントの誤検出率を抑えることができる。
以下、具体的な実施例により本発明を説明するが、本発明の範囲は以下に説明する内容に限定されない。以下の実施例の説明では、イベント履歴DB130が図2に例示するイベント履歴を記憶しているものとする。また、図2に例示するイベントのイベント型は、QueryError,DBError,NWCongestion,TooManyRequest,NullConnectionFrom,ConnectionFailureの6種類であるとする。
イベント型ウィンドウ分割手段210は、イベント履歴DB130を参照し、一定時間W[sec]=300秒単位でイベントをイベントウィンドウに分割し、イベント型ウィンドウ表記憶手段220に記憶する(図7におけるステップB110)。本実施例では、この処理により、図5の例に示すようにイベントが記憶される。具体的には、イベント履歴DB130にイベントウィンドウのID(w#)を付与した情報がイベント型ウィンドウ表記憶手段220に記憶された情報になる。
相互相関分類手段230は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一で、一のイベントの属性が示す情報と他のイベントの発生箇所を示す情報とが同一である組を相互相関イベント型ウィンドウ表240として抽出する(ステップB120)。
例えば、図5に例示する表のイベントID(e#)5,6で識別される2つのイベントは、同一ウィンドウ(w#=3)に属している。また、e#=5で識別されるイベントの発生箇所(D2)とe#=6で識別されるイベントの属性2が示す値(D2)は同一である。かつ、e#=5で識別されるイベントの属性1の値(LB)と、e#=6で識別されるイベントの発生箇所(LB)は同一である。よって、相互相関分類手段230は、このイベントの組を相互相関イベント型ウィンドウ表240として抽出する。
続いて、相互相関規則生成手段250は、相互相関イベント型ウィンドウ表240を参照し、イベント相関規則を生成して、イベント相関規則DB170に記憶する(ステップB130)。
図10は、相互相関イベント型ウィンドウ表の例を示す説明図である。ここでは、図10に例示する相互相関イベント型ウィンドウ表240が生成されているものとする。
相互相関規則生成手段250は、イベントの組ごとに、イベント型の組における支持度と信頼度を計算する。そして、相互相関規則生成手段250は、支持度および信頼度が閾値よりも大きいイベント型の組を特定し、このイベント型の組から相互相関規則を生成する。以下、イベント型の組を(eType,eType)と記す。
なお、この閾値は、予め定められた値であってもよく、運用者がGUI115を介して入力した値であってもよい。以降に示す閾値についても同様である。
ここで、イベント型の組(eType,eType)に対する支持度s(eType,eType)とは、相互相関イベント型ウィンドウ表240Wm中のイベント型の組が現れるウィンドウ数#{w∈Wm|e,e∈w∧e.type=eType∧e.type=eType}を、イベント型ウィンドウ表Wに含まれるウィンドウ数#{w∈W}で割った値である。なお、#は、集合の要素を表す単項前置演算子である。
すなわち、支持度sとは、対象とするイベント型の組がイベント履歴中に含まれる度合いを示す指標である。具体的には、支持度sは、相互相関分類手段230が抽出したイベント型の組が現れるイベントウィンドウ数を、イベント型ウィンドウ表記憶手段220において抽出対象とされたイベントウィンドウ数で割ることにより算出される。
また、イベント型の組における信頼度は、イベント型(e.type)の発生を元にするイベント型(e.type)の信頼度t(eType|eType)として表わすことができる。信頼度t(eType|eType)は、相互相関イベント型ウィンドウ表240Wm中の2つのイベント型(eType,eType)が同時に発生するウィンドウ数#{w∈Wm|e,e∈w∧e.type=eType∧e.type=eType}を、イベント型ウィンドウ表Wの中でeTypeが発生するウィンドウ数#{w∈W|e∈w∧e.type=eType}で割った値である。
すなわち、信頼度とは、一のイベントが発生した場合に他のイベントが発生し得る度合いを示す指標である。具体的には、第一のイベント型を有する一のイベントの発生に基づいて発生する第二のイベント型を有する他のイベントの信頼度tは、相互相関分類手段230が抽出したイベント型の組が現れるイベントウィンドウ数を、イベント型ウィンドウ表記憶手段220において抽出対象とされたイベントウィンドウのうち一のイベント型のイベントを有するイベントウィンドウの数で割ることにより算出される。
図11は、支持度および信頼度の例を示す説明図である。本実施例では、支持度の閾値を0.15とし、信頼度の閾値を0.6とする。
図11(a)は、支持度の例を示す説明図である。図11(a)に例示する表では、行と列で表されたイベント型の交点に当たる部分が、そのイベント型の組の支持度を表す。
図11(a)に例示する支持度が算出された場合、支持度の閾値0.15よりも支持度が大きい組は、s(ConnectionFailure,NullConnectionFrom)=s(NullConnectionFrom,ConnectionFailure)である。
図11(b)は、信頼度の例を示す説明図である。図11(b)に例示する表では、行と列で表されたイベント型の交点に当たる部分が、そのイベント型の組の信頼度を表す。
図11(b)に例示する信頼度が算出された場合、信頼度が閾値0.6よりも大きい組は、t(ConnectionFailure|NullConnectionFrom),t(NullConnectionFrom|ConnectionFailure)の2つである。
そこで、相互相関規則生成手段250は、これらの結果(図11(c)参照)に基づいて相互相関規則を生成する。具体的には、相互相関規則生成手段250は、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組のうち、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一で、一のイベントの属性が示す情報と他のイベントの発生箇所を示す情報とが同一である組であって、支持度および信頼度に基づいて特定されたイベント型を有する組であることを条件とする相互相関規則を生成する。
図12は、イベント相関規則の例を示す説明図である。本実施例では、相互相関規則生成手段250は、図12(a)および図12(b)に例示する規則を生成する。すなわち、相互相関規則生成手段250は、以下に示す2つの規則を生成する。そして、相互相関規則生成手段250は、これらの規則をイベント相関規則DB170に記憶する。
NullConnectionFrom => ConnectionFailure WITHIN 15min WHERE {
NullConnectionFrom.hostname == ConnectionFailure.attr2
NullConnectionFrom.attr1 == ConnectionFailure.hostname
}
ConnectionFailure => NullConnectionFrom WITHIN 15min WHERE {
ConnectionFailure.hostname == NullConnectionFrom.attr1
ConnectionFailure.attr2 == NullConnectionFrom.hostname
}
このように、相互相関規則生成手段250が、相互相関分類手段230が抽出したイベント型の各組について支持度と信頼度を計算し、支持度および信頼度が閾値よりも大きいイベント型の組から相互相関規則を生成する。
次に、単一相関分類手段330は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組で、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一である組を単一相関イベント型ウィンドウ表340として抽出する(ステップB140)。
例えば、図5に例示する表のイベントID(e#)10,11で識別される2つのイベントは、同一ウィンドウ(w#=4)に属している。また、e#=11で識別されるイベントの発生箇所(D2)と、e#=10で識別されるイベントの属性1の値(D2)は同一である。よって、単一相関分類手段330は、このイベントの組を単一相関イベント型ウィンドウ表340として抽出する。
続いて、単一相関規則生成手段350は、単一相関イベント型ウィンドウ表340を参照し、イベント相関規則を生成して、イベント相関規則DB170に記憶する(ステップB150)。
図13は、単一相関イベント型ウィンドウ表の例を示す説明図である。ここでは、図13に例示する単一相関イベント型ウィンドウ表340が生成されているものとする。
単一相関規則生成手段350は、イベントの組ごとに、イベント型の組における支持度と信頼度を計算する。そして、単一相関規則生成手段350は、支持度および信頼度が閾値よりも大きいイベント型の組を特定し、このイベント型の組から単一相関規則を生成する。
ここで、イベント型の組(eType,eType)に対する支持度s(eType,eType)とは、単一相関イベント型ウィンドウ表340Ws中のイベント型の組が現れるウィンドウ数#{w∈Ws|e,e∈w∧e.type=eType∧e.type=eType}を、イベント型ウィンドウWに含まれるウィンドウ数#{w∈W}で割った値である。
すなわち、ここでの支持度sも、対象とするイベント型の組がイベント履歴中に含まれる度合いを示す指標である。具体的には、支持度sは、単一相関分類手段330が抽出したイベント型の組が現れるイベントウィンドウ数を、イベント型ウィンドウ表記憶手段220において抽出対象とされたイベントウィンドウ数で割ることにより算出される。
また、イベント型の組における信頼度は、イベント型(e.type)の発生を元にするイベント型(e.type)の信頼度t(eType|eType)として表わすことができる。信頼度t(eType|eType)は、単一相関イベント型ウィンドウ表340Ws中の2つのイベント型(eType,eType)が同時に発生するウィンドウ数#{w∈Ws|e,e∈w∧e.type=eType∧e.type=eType}を、イベント型ウィンドウ表Wの中でeTypeが発生するウィンドウ数#{w∈W|e∈w∧e.type=eType}で割った値である。
すなわち、ここでの信頼度も、一のイベントが発生した場合に他のイベントが発生し得る度合いを示す指標である。具体的には、第一のイベント型を有する一のイベントの発生に基づいて発生する第二のイベント型を有する他のイベントの信頼度tは、単一相関分類手段330が抽出したイベント型の組が現れるイベントウィンドウ数を、イベント型ウィンドウ表記憶手段220において抽出対象とされたイベントウィンドウのうち一のイベント型のイベントを有するイベントウィンドウの数で割ることにより算出される。
図14は、支持度および信頼度の他の例を示す説明図である。本実施例では、支持度の閾値を0.2とし、信頼度の閾値を0.6とする。
図14(a)は、支持度の例を示す説明図である。表の内容は、図11(a)に例示する表と同様である。
図14(a)に例示する支持度が算出された場合、支持度の閾値0.2よりも支持度が大きい組は、s(DBError,QueryError)=s(QueryError,DBError)及びs(NullConnectionFrom,ConnectionFailure)=s(ConnectionFailure,NullConnectionFrom)の2つである。
図14(b)は、信頼度の例を示す説明図である。表の内容は、図11(b)に例示する表と同様である。
図14(b)に例示する信頼度が算出された場合、信頼度が閾値0.6よりも大きい組は、t(QueryError|DBError),t(ConnectionFailure|NullConnectionFrom),t(NullConnectionFrom| ConnectionFailure)の3つである。
そこで、単一相関規則生成手段350は、これらの結果(図14(c)参照。)に基づいて単一相関規則を生成する。具体的には、単一相関規則生成手段350は、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組のうち、一のイベントの発生箇所を示す情報と他のイベントの属性が示す情報とが同一である組であって、支持度および信頼度に基づいて特定されたイベント型を有する組であることを条件とする単一相関規則を生成する。
この場合、単一相関規則生成手段350は、以下に示す3つの規則を生成する。
DBError => QueryError WITHIN 15min WHERE {
DBError.hostname== QueryError.attr1
} ・・・規則(1)
NullConnectionFrom => ConnectionFailure WITHIN 15min WHERE {
NullConnectionFrom.hostname == ConnectionFailure.attr2
} ・・・規則(2)
ConnectionFailure => NullConnectionFrom WITHIN 15min WHERE {
ConnectionFailure.hostname == NullConnectionFrom.attr1
} ・・・規則(3)
ただし、上記に示す3つの規則のうち、規則(2)および規則(3)のイベント型は、それぞれ「NullConnectionFrom => ConnectionFailure」、「ConnectionFailure => NullConnectionFrom」である。これは、ステップB130で生成された規則のイベント型と一致する。そのため、単一相関規則生成手段350は、上記に示す2つの規則(2)および規則(3)(図16(c)における網掛け部分)を除き、一番上に示す規則(1)をイベント相関規則DB170に記憶する(図12(c)参照)。
次に、発生箇所別分類手段430は、イベント型ウィンドウ表記憶手段220を参照し、同一時間区分(すなわち、同一イベントウィンドウ)内に含まれるイベントの組で、一のイベントの発生箇所を示す情報と他のイベントの発生箇所を示す情報とが同一である組を発生箇所別イベント型ウィンドウ表440として抽出する(ステップB160)。
例えば、図5に例示する表のイベントID(e#)2,3で識別される2つのイベントは、同一ウィンドウ(w#=1)に属している。また、両者とも、イベントの発生箇所(LB)は同一である。よって、発生箇所別分類手段430は、このイベントの組を発生箇所別イベント型ウィンドウ表440として抽出する。
続いて、発生箇所別規則生成手段450は、発生箇所別イベント型ウィンドウ表440を参照し、イベント相関規則を生成して、イベント相関規則DB170に記憶する(ステップB170)。
図15は、発生箇所別イベント型ウィンドウ表の例を示す説明図である。ここでは、図15に例示する発生箇所別イベント型ウィンドウ表440が生成されているものとする。
発生箇所別規則生成手段450は、イベントの組ごとに、イベント型の組における支持度と信頼度を計算する。そして、発生箇所別規則生成手段450は、支持度および信頼度が閾値よりも大きいイベント型の組を特定し、このイベント型の組から発生箇所別規則を生成する。
ここで、イベント型の組(eType,eType)に対する支持度s(eType,eType)とは、発生箇所別イベント型ウィンドウ表440Wp中のイベント型の組が現れるウィンドウ数#{w∈Wp|e,e∈w∧e.type=eType∧e.type=eType}を、イベント型ウィンドウ表Wに含まれるウィンドウ数#{w∈W}で割った値である。
すなわち、ここでの支持度sも、対象とするイベント型の組がイベント履歴中に含まれる度合いを示す指標である。具体的には、支持度sは、発生箇所別分類手段430が抽出したイベント型の組が現れるイベントウィンドウ数を、イベント型ウィンドウ表記憶手段220において抽出対象とされたイベントウィンドウ数で割ることにより算出される。
また、イベント型の組における信頼度は、イベント型(e.type)の発生を元にするイベント型(e.type)の信頼度t(eType|eType)として表わすことができる。信頼度t(eType|eType)は、発生箇所別イベント型ウィンドウ表440Wp中の2つのイベント型(eType,eType)が同時に発生するウィンドウ数#{w∈Wp|e,e∈w∧e.type=eType∧e.type=eType}を、イベント型ウィンドウ表Wの中でeTypeが発生するウィンドウ数#{w∈W|e∈w∧e.type=eType}で割った値である。
すなわち、ここでの信頼度も、一のイベントが発生した場合に他のイベントが発生し得る度合いを示す指標である。具体的には、第一のイベント型を有する一のイベントの発生に基づいて発生する第二のイベント型を有する他のイベントの信頼度tは、発生箇所別分類手段430が抽出したイベント型の組が現れるイベントウィンドウ数を、イベント型ウィンドウ表記憶手段220において抽出対象とされたイベントウィンドウのうち一のイベント型のイベントを有するイベントウィンドウの数で割ることにより算出される。
図16は、支持度および信頼度のさらに他の例を示す説明図である。本実施例では、支持度の閾値を0.15とし、信頼度の閾値を0.6とする。
図16(a)は、支持度の例を示す説明図である。表の内容は、図11(a)に例示する表と同様である。
図16(a)に例示する支持度が算出された場合、支持度の閾値0.15よりも支持度が大きい組は、s(NWCongestion,ConnectionFailure)=s(ConnectionFailure,NWCongestion)及びs(TooManyRequest,ConnectionFailure)=s(ConnectionFailure,TooManyRequest)の2つである。
図16(b)は、信頼度の例を示す説明図である。表の内容は、図11(b)に例示する表と同様である。
図16(b)に例示する信頼度が算出された場合、信頼度が閾値0.6よりも大きい組は、存在しない。そのため、この例の場合、発生箇所別規則生成手段450は、イベント相関規則(発生箇所別規則)を生成しない(図16(c)参照)。
以上の処理により、相互相関規則生成手段250、単一相関規則生成手段350および発生箇所別規則生成手段450は、図12に例示する3つの規則を生成する。
次に、イベント相関規則を検出する処理の具体的な動作を説明する。なお、以下の処理は、図6に例示するフローチャートで示す動作の一部に対応する。
ウィンドウ分割手段140は、イベント発生源110が発生させたイベントを受信し、一定時間W[sec]ごとにイベントを分割し、イベントウィンドウ表記憶手段150に記憶する(ステップA130)。
図17は、イベントウィンドウ表記憶手段150に記憶されたイベントウィンドウ表の例を示す説明図である。このうち、ウィンドウ4(w#=4)で識別されるイベント(e#=12)のイベント型「NullConnectionFrom」と、イベント(e#=13)のイベント型「ConnectionFailure」が、図12に例示する第一段目の規則に合致する。具体的には、イベント(e#=12)とイベント(e#=13)との関係が、以下の規則に合致する。
NullConnectionFrom => ConnectionFailure WITHIN 15min WHERE {
NullConnectionFrom.hostname == ConnectionFailure.attr2
NullConnectionFrom.attr1 == ConnectionFailure.hostname
}
そのため、イベント相関用ルールエンジン160は、イベント相関規則DB170に記憶された上記イベント相関規則に従い、イベントウィンドウ表記憶手段150に記録されたイベントで相関のあるイベント(e#=12),(e#=13)をGUI115に表示する。
次に、本発明の概要を説明する。図18は、本発明によるイベント相関規則検出システムの概要を示すブロック図である。本発明によるイベント相関規則検出システムは、イベントの発生箇所を示す情報(例えば、メールサーバ、メールクライアントなど)、そのイベントの種類を示すイベント型(例えば、QueryErrorなど)および、そのイベントに関係する情報(例えば、イベントに関する装置を示す情報、イベント発生時刻など)を示す1つ以上のイベント属性を含むイベント情報の集合を、そのイベントの発生時刻に基づいて予め定められた時間間隔(例えば、一定間隔W[sec])で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割手段81(例えば、イベント型ウィンドウ分割手段210)と、イベント型ウィンドウ分割手段81によって生成されたイベントウィンドウの集合であるイベント型ウィンドウ表(例えば、イベント型ウィンドウ表記憶手段220に記憶されたイベント型ウィンドウ表)から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、一のイベントのイベント属性が示す情報と他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出手段82(例えば、相互相関分類手段230)と、相互相関関係抽出手段82が抽出したイベントの組に含まれる各イベント型の組合せを満たし、イベントの組に含まれるそのイベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則(例えば、図12(a)、図12(b)に例示する相互相関規則)をイベント相関規則として生成する相互相関規則生成手段83(例えば、相互相関規則生成手段250)とを備えている。
そのような構成により、関連するイベントの誤検出率を抑えることができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)イベントの発生箇所を示す情報、当該イベントの種類を示すイベント型および当該イベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、当該イベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割手段と、前記イベント型ウィンドウ分割手段によって生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、前記一のイベントのイベント属性が示す情報と前記他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出手段と、前記相互相関関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する相互相関規則生成手段とを備えたことを特徴とするイベント相関規則検出システム。
(付記2)イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一であるイベントの組を抽出する単一相関関係抽出手段と、前記単一相関関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した単一相関規則をイベント相関規則として生成する単一相関規則生成手段とを備えた付記1記載のイベント相関規則検出システム。
(付記3)単一相関規則生成手段は、生成した単一相関規則のうち、相互相関規則生成手段が生成した相互相関規則とイベント型の組が一致する規則を除いた単一相関規則をイベント相関規則として生成する付記2記載のイベント相関規則検出システム。
(付記4)イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一であるイベントの組を抽出する発生箇所関係抽出手段と、前記発生箇所関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報同士が所定の条件を満たす関係にあるイベントの組が相関を有することを規定した発生箇所別規則をイベント相関規則として生成する発生箇所別規則生成手段とを備えた付記2または付記3記載のイベント相関規則検出システム。
(付記5)発生箇所別規則生成手段は、生成した発生箇所別規則のうち、相互相関規則生成手段が生成した相互相関規則とイベント型の組が一致する規則、および、単一相関規則生成手段が生成した単一相関規則とイベント型の組が一致する規則を除いた発生箇所別規則をイベント相関規則として生成する付記4記載のイベント相関規則検出システム。
(付記6)イベント相関規則生成手段は、イベントの組ごとに、対象とするイベント型の組がイベント情報の集合中に含まれる度合いを示す指標である支持度と、一のイベントが発生した場合に他のイベントが発生し得る度合いを示す指標である信頼度とを計算し、当該支持度および当該信頼度が閾値よりも大きいイベント型の組から相互相関規則を生成する付記1記載のイベント相関規則検出システム。
(付記7)イベント情報に含まれるイベント属性は、イベントに関係する装置を示す情報を含む付記1から付記6のうちのいずれか1つに記載のイベント相関規則検出システム。
(付記8)イベントの発生箇所を示す情報、当該イベントの種類を示すイベント型および当該イベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、当該イベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成し、生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、前記一のイベントのイベント属性が示す情報と前記他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出し、前記抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成することを特徴とするイベント相関規則検出方法。
(付記9)イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一であるイベントの組を抽出し、前記抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した単一相関規則をイベント相関規則として生成する付記8記載のイベント相関規則検出方法。
(付記10)イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一であるイベントの組を抽出し、前記抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報同士が所定の条件を満たす関係にあるイベントの組が相関を有することを規定した発生箇所別規則をイベント相関規則として生成する付記8または付記9記載のイベント相関規則検出方法。
(付記11)コンピュータに、イベントの発生箇所を示す情報、当該イベントの種類を示すイベント型および当該イベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、当該イベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割処理、前記イベント型ウィンドウ分割処理で生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、前記一のイベントのイベント属性が示す情報と前記他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出処理、および、前記相互相関関係抽出処理で抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する相互相関規則生成処理を実行させるための相関規則検出用プログラム。
(付記12)コンピュータに、イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一であるイベントの組を抽出する単一相関関係抽出処理、および、前記単一相関関係抽出処理で抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した単一相関規則をイベント相関規則として生成する単一相関規則生成処理を実行させる付記11記載のイベント相関規則検出用プログラム。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2012年2月27日に出願された日本特許出願2012−040062を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、イベントの履歴からイベント相関規則を抽出するイベント相関規則検出システムに好適に適用される。例えば、本発明のイベント相関規則検出システムを、IT(Information Technology)システムが発生する警報を相関分析する用途に適用できる。
110 イベント発生源
115 GUI
130 イベント履歴データベース(イベント履歴DB)
140 ウィンドウ分割手段
150 イベントウィンドウ表記憶手段
160 イベント相関用ルールエンジン
170 イベント相関規則データベース(イベント相関規則DB)
180 イベント相関規則生成手段
210 イベント型ウィンドウ分割手段
220 イベント型ウィンドウ表記憶手段
230 相互相関分類手段
240 相互相関イベント型ウィンドウ表
250 相互相関規則生成手段
330 単一相関分類手段
340 単一相関イベント型ウィンドウ表
350 単一相関規則生成手段
430 発生箇所別分類手段
440 発生箇所別イベント型ウィンドウ表
450 発生箇所別規則生成手段

Claims (10)

  1. イベントの発生箇所を示す情報、当該イベントの種類を示すイベント型および当該イベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、当該イベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割手段と、
    前記イベント型ウィンドウ分割手段によって生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、前記一のイベントのイベント属性が示す情報と前記他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出手段と、
    前記相互相関関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する相互相関規則生成手段とを備えた
    ことを特徴とするイベント相関規則検出システム。
  2. イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一であるイベントの組を抽出する単一相関関係抽出手段と、
    前記単一相関関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した単一相関規則をイベント相関規則として生成する単一相関規則生成手段とを備えた
    請求項1記載のイベント相関規則検出システム。
  3. 単一相関規則生成手段は、生成した単一相関規則のうち、相互相関規則生成手段が生成した相互相関規則とイベント型の組が一致する規則を除いた単一相関規則をイベント相関規則として生成する
    請求項2記載のイベント相関規則検出システム。
  4. イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一であるイベントの組を抽出する発生箇所関係抽出手段と、
    前記発生箇所関係抽出手段が抽出したイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報同士が所定の条件を満たす関係にあるイベントの組が相関を有することを規定した発生箇所別規則をイベント相関規則として生成する発生箇所別規則生成手段とを備えた
    請求項2または請求項3記載のイベント相関規則検出システム。
  5. 発生箇所別規則生成手段は、生成した発生箇所別規則のうち、相互相関規則生成手段が生成した相互相関規則とイベント型の組が一致する規則、および、単一相関規則生成手段が生成した単一相関規則とイベント型の組が一致する規則を除いた発生箇所別規則をイベント相関規則として生成する
    請求項4記載のイベント相関規則検出システム。
  6. 相互相関規則生成手段は、イベントの組ごとに、対象とするイベント型の組がイベント情報の集合中に含まれる度合いを示す指標である支持度と、一のイベントが発生した場合に他のイベントが発生し得る度合いを示す指標である信頼度とを計算し、当該支持度および当該信頼度が閾値よりも大きいイベント型の組から相互相関規則を生成する
    請求項1記載のイベント相関規則検出システム。
  7. イベント型ウィンドウ分割手段が、イベントの発生箇所を示す情報、当該イベントの種類を示すイベント型および当該イベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、当該イベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成し、
    相互相関関係抽出手段が、生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、前記一のイベントのイベント属性が示す情報と前記他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出し、
    相互相関規則生成手段が、前記抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する
    ことを特徴とするイベント相関規則検出方法。
  8. 単一相関関係抽出手段が、イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一であるイベントの組を抽出し、
    単一相関規則生成手段が、前記抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した単一相関規則をイベント相関規則として生成する
    請求項7記載のイベント相関規則検出方法。
  9. 発生箇所関係抽出手段が、イベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、イベントの発生箇所を示す情報が同一であるイベントの組を抽出し、
    発生箇所別規則生成手段が、前記抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報同士が所定の条件を満たす関係にあるイベントの組が相関を有することを規定した発生箇所別規則をイベント相関規則として生成する
    請求項7または請求項8記載のイベント相関規則検出方法。
  10. コンピュータに、
    イベントの発生箇所を示す情報、当該イベントの種類を示すイベント型および当該イベントに関係する情報を示す1つ以上のイベント属性を含むイベント情報の集合を、当該イベントの発生時刻に基づいて予め定められた時間間隔で分割したイベントの集合であるイベントウィンドウを生成するイベント型ウィンドウ分割処理、
    前記イベント型ウィンドウ分割処理で生成されたイベントウィンドウの集合であるイベント型ウィンドウ表から、同一イベントウィンドウ内に含まれるイベントの組であって、一のイベントの発生箇所を示す情報と他のイベントのイベント属性が示す情報とが同一で、前記一のイベントのイベント属性が示す情報と前記他のイベントの発生箇所を示す情報とが同一であるイベントの組を抽出する相互相関関係抽出処理、および、
    前記相互相関関係抽出処理で抽出されたイベントの組に含まれる各イベント型の組合せを満たし、前記イベントの組に含まれる当該イベントの発生箇所を示す情報とイベント属性が示す情報とが所定の条件を満たす関係にあるイベントの組が相関を有することを規定した相互相関規則をイベント相関規則として生成する相互相関規則生成処理
    を実行させるための相関規則検出用プログラム。
JP2014501843A 2012-02-27 2012-12-14 イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム Active JP6070688B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012040062 2012-02-27
JP2012040062 2012-02-27
PCT/JP2012/008009 WO2013128530A1 (ja) 2012-02-27 2012-12-14 イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム

Publications (2)

Publication Number Publication Date
JPWO2013128530A1 JPWO2013128530A1 (ja) 2015-07-30
JP6070688B2 true JP6070688B2 (ja) 2017-02-01

Family

ID=49081792

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014501843A Active JP6070688B2 (ja) 2012-02-27 2012-12-14 イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム

Country Status (2)

Country Link
JP (1) JP6070688B2 (ja)
WO (1) WO2013128530A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6997668B2 (ja) * 2018-04-17 2022-01-17 Kddi株式会社 関連イベント統合プログラム、装置及び方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3721735B2 (ja) * 1996-08-30 2005-11-30 Kddi株式会社 因果関係検出装置
JP3652913B2 (ja) * 1999-03-12 2005-05-25 富士通株式会社 相関分析装置及び記録媒体
JP2001202383A (ja) * 2000-01-21 2001-07-27 Mitsubishi Electric Corp データマイニング装置、データマイニング方法および記録媒体
JP2004110327A (ja) * 2002-09-18 2004-04-08 Fujitsu Ltd 時系列相関抽出装置
JP2006338373A (ja) * 2005-06-02 2006-12-14 Toshiba Corp 多変数時系列データ分析装置、方法およびプログラム

Also Published As

Publication number Publication date
WO2013128530A1 (ja) 2013-09-06
JPWO2013128530A1 (ja) 2015-07-30

Similar Documents

Publication Publication Date Title
EP3136249B1 (en) Log analysis device, attack detection device, attack detection method and program
US9621571B2 (en) Apparatus and method for searching for similar malicious code based on malicious code feature information
US9244755B2 (en) Scalable log analytics
CN107204960B (zh) 网页识别方法及装置、服务器
CN107241296B (zh) 一种Webshell的检测方法及装置
US20160094431A1 (en) Service Analyzer Interface
JP6473234B2 (ja) 分析方法、分析装置、および分析プログラム
US20180357214A1 (en) Log analysis system, log analysis method, and storage medium
US20190387012A1 (en) Log analysis apparatus, log analysis method, and log analysis program
JP2014215883A (ja) システム・ログの分類方法、プログラム及びシステム
JP2021093176A (ja) セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム
US20160098390A1 (en) Command history analysis apparatus and command history analysis method
JPWO2018159337A1 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
US20160255109A1 (en) Detection method and apparatus
WO2020164272A1 (zh) 上网设备的识别方法、装置及存储介质、计算机设备
CN111183620B (zh) 入侵调查
WO2019077656A1 (ja) 生産設備監視装置、生産設備監視方法及び生産設備監視プログラム
CN115509848A (zh) 日志分析方法、装置、电子设备和存储介质
US10346450B2 (en) Automatic datacenter state summarization
US10320636B2 (en) State information completion using context graphs
JP6070688B2 (ja) イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム
CN109919180B (zh) 电子装置、用户操作记录数据的处理方法和存储介质
CN112130944A (zh) 页面异常的检测方法、装置、设备及存储介质
CN114254069A (zh) 域名相似度的检测方法、装置和存储介质
CN115879028A (zh) 基于孤立森林动态训练的实时异常检测方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151109

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161018

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161219

R150 Certificate of patent or registration of utility model

Ref document number: 6070688

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150