JP6280089B2 - Whitelist creation device, whitelist creation method, and whitelist creation program - Google Patents

Whitelist creation device, whitelist creation method, and whitelist creation program Download PDF

Info

Publication number
JP6280089B2
JP6280089B2 JP2015209079A JP2015209079A JP6280089B2 JP 6280089 B2 JP6280089 B2 JP 6280089B2 JP 2015209079 A JP2015209079 A JP 2015209079A JP 2015209079 A JP2015209079 A JP 2015209079A JP 6280089 B2 JP6280089 B2 JP 6280089B2
Authority
JP
Japan
Prior art keywords
log
unit
white list
extraction
conversion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015209079A
Other languages
Japanese (ja)
Other versions
JP2017083947A (en
Inventor
佐々木 淳
淳 佐々木
豊徳 藤浦
豊徳 藤浦
哲彰 鎌田
哲彰 鎌田
森 謙
謙 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015209079A priority Critical patent/JP6280089B2/en
Publication of JP2017083947A publication Critical patent/JP2017083947A/en
Application granted granted Critical
Publication of JP6280089B2 publication Critical patent/JP6280089B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ホワイトリスト作成装置、ホワイトリスト作成方法およびホワイトリスト作成プログラムに関する。   The present invention relates to a white list creation device, a white list creation method, and a white list creation program.

従来、異常なログを監視する方法として、ブラックリスト方式とホワイトリスト方式とが知られている。ブラックリスト方式では、ブラックリストに含まれるキーワードに合致したログを異常なログと判断する。一方、ホワイトリスト方式では、ホワイトリストに含まれるキーワードに合致しなかったログを異常なログと判断する。   Conventionally, a black list method and a white list method are known as methods for monitoring abnormal logs. In the black list method, a log that matches a keyword included in the black list is determined as an abnormal log. On the other hand, in the white list method, a log that does not match a keyword included in the white list is determined as an abnormal log.

例えば、運用監視システムであるZabbixやHinemosでは、一般的にブラックリスト方式が用いられている。一方、rewrite−tag−filterプラグインを利用したFluentd、またはtenshiでは、ホワイトリスト方式を用いて異常なログの監視を行うことができる。   For example, Zabbix and Hinemos, which are operation monitoring systems, generally use the black list method. On the other hand, with Fluent or tenshi using the rewrite-tag-filter plug-in, it is possible to monitor abnormal logs using the whitelist method.

ブラックリスト方式は既知の異常なログに対する検知精度は高いが、未知の異常なログに対する検知精度が低いという特徴がある。一方、ホワイトリストは正常と判断されたログから作成されるため、ホワイトリスト方式は、未知の異常なログに対する検知精度が高い。そのため、ホワイトリスト方式は、例えばブラックリスト方式で検知できなかった未知のログを検知する目的で用いられる場合がある。   The black list method is characterized by high detection accuracy for known abnormal logs, but low detection accuracy for unknown abnormal logs. On the other hand, since the white list is created from a log determined to be normal, the white list method has high detection accuracy for an unknown abnormal log. Therefore, the white list method may be used for the purpose of detecting an unknown log that could not be detected by the black list method, for example.

また、ブラックリスト方式では、キーワードに合致する部分が含まれるログを異常と判断すればよいため、ブラックリストに含まれるフィルタリングルールの数を抑えることができる。これに対して、ホワイトリスト方式では、異常なログを漏れなく検知すると同時に、ユーザへの通知に含まれる正常ログを少なくすることが求められる。このため、ホワイトリストには、ブラックリストに比べて大量のフィルタリングルールを含める必要がある。なお、ホワイトリストに含まれるフィルタリングルールが不十分である場合、ユーザへの検知の通知が大量に発生してしまい、真に必要な通知がユーザに認知されないおそれがある。   Further, in the black list method, it is only necessary to determine that a log including a portion that matches a keyword is abnormal, so that the number of filtering rules included in the black list can be reduced. On the other hand, in the white list method, it is required to detect abnormal logs without omission and to reduce normal logs included in the notification to the user. For this reason, it is necessary to include a larger amount of filtering rules in the white list than in the black list. If the filtering rules included in the white list are insufficient, a large amount of detection notifications are generated to the user, and there is a possibility that a truly necessary notification may not be recognized by the user.

“Zabbix” [online]、[2015年10月2日検索]、インターネット(http://www.zabbix.com/)“Zabbix” [online], [October 2, 2015 search], Internet (http://www.zabbix.com/) “Hinemos” [online]、[2015年10月2日検索]、インターネット(http://www.hinemos.info/)“Hinemos” [online], [October 2, 2015 search], Internet (http://www.hinemos.info/) “Fluentd” [online]、[2015年10月2日検索]、インターネット(http://www.fluentd.org/)“Fluentd” [online], [October 2, 2015 search], Internet (http://www.fluentd.org/) “tenshi” [online]、[2015年10月2日検索]、インターネット(http://inversepath.com/tenshi.html)“Tenshi” [online], [October 2, 2015 search], Internet (http://inversepath.com/tenshi.html)

しかしながら、従来のホワイトリスト方式には、十分なフィルタリングルールを含んだホワイトリストを効率良く作成することができないという問題があった。   However, the conventional white list method has a problem that a white list including sufficient filtering rules cannot be efficiently created.

例えば、正規表現を用いて大量のフィルタリングルールを含んだホワイトリストを作成する場合、現状ではログを基に手動でホワイトリストを作成するほかない。このため、従来の技術では、正規表現を用いて十分なフィルタリングルールを含んだホワイトリストを効率良く作成することができない。   For example, when creating a white list including a large amount of filtering rules using regular expressions, at present, the white list must be created manually based on the log. For this reason, the conventional technique cannot efficiently create a white list including a sufficient filtering rule using a regular expression.

また、ログをそのままホワイトリストに追加することで、ホワイトリスト作成のための作業量を削減することができるが、その場合、ホワイトリストに含まれるフィルタリングルールが不十分になるおそれがある。このため、ログをそのまま追加することでは、十分なフィルタリングルールを含んだホワイトリストを作成できない場合がある。   In addition, by adding the log to the white list as it is, the amount of work for creating the white list can be reduced, but in that case, the filtering rules included in the white list may be insufficient. For this reason, adding a log as it is may not create a whitelist including sufficient filtering rules.

本発明のホワイトリスト作成装置は、正常なログの入力を受け付ける入力部と、前記ログから、あらかじめ設定された抽出条件に合致する部分を抽出する抽出部と、前記抽出部によって抽出された部分を、前記抽出条件に対応する正規表現に変換する変換部と、前記変換部によって前記抽出された部分が変換された前記ログを、正常なログをフィルタリングするためのルールの集合であるホワイトリストを用いてログを監視するログ監視装置に出力する出力部と、を有することを特徴とする。   The whitelist creation device of the present invention includes an input unit that receives normal log input, an extraction unit that extracts a portion that matches a preset extraction condition from the log, and a portion extracted by the extraction unit. , Using a whitelist that is a set of rules for filtering normal logs, the conversion unit for converting into a regular expression corresponding to the extraction condition, and the log in which the extracted part is converted by the conversion unit And an output unit that outputs to a log monitoring device that monitors the log.

また、本発明のホワイトリスト作成方法は、正常なログの入力を受け付ける入力工程と、前記ログから、あらかじめ設定された抽出条件に合致する部分を抽出する抽出工程と、前記抽出工程によって抽出された部分を、前記抽出条件に対応する正規表現に変換する変換工程と、前記変換工程によって前記抽出された部分が変換された前記ログを、正常なログをフィルタリングするためのルールの集合であるホワイトリストを用いてログを監視する装置に出力する出力工程と、を含んだことを特徴とする。   In addition, the whitelist creation method of the present invention is extracted by the input step of accepting normal log input, the extraction step of extracting a portion that matches a preset extraction condition from the log, and the extraction step. A whitelist that is a set of rules for filtering normal logs, a conversion step of converting a portion into a regular expression corresponding to the extraction condition, and the log into which the extracted portion has been converted by the conversion step And an output step of outputting to a device for monitoring the log using.

本発明によれば、十分なフィルタリングルールを含んだホワイトリストを効率良く作成することができる。   According to the present invention, a white list including sufficient filtering rules can be efficiently created.

図1は、第1の実施形態に係るログ監視システムの構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a configuration of a log monitoring system according to the first embodiment. 図2は、第1の実施形態に係るホワイトリスト作成装置の変換部の構成の一例を示す図である。FIG. 2 is a diagram illustrating an example of a configuration of a conversion unit of the white list creation apparatus according to the first embodiment. 図3は、抽出条件と変換方法の一例を示す図である。FIG. 3 is a diagram illustrating an example of an extraction condition and a conversion method. 図4は、変換前と変換後のログの一例を示す図である。FIG. 4 is a diagram illustrating an example of a log before conversion and after conversion. 図5は、第1の実施形態に係るログ監視システムの処理の一例を示すシーケンス図である。FIG. 5 is a sequence diagram illustrating an example of processing of the log monitoring system according to the first embodiment. 図6は、第1の実施形態に係るホワイトリスト作成装置の処理の一例を示すフローチャートである。FIG. 6 is a flowchart illustrating an example of processing of the white list creation apparatus according to the first embodiment. 図7は、プログラムが実行されることにより、ホワイトリスト作成装置が実現されるコンピュータの一例を示す図である。FIG. 7 is a diagram illustrating an example of a computer in which a whitelist creation apparatus is realized by executing a program.

以下に、本願に係るホワイトリスト作成装置、ホワイトリスト作成方法およびホワイトリスト作成プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。   Embodiments of a white list creation device, a white list creation method, and a white list creation program according to the present application will be described below in detail with reference to the drawings. In addition, this invention is not limited by this embodiment.

[第1の実施形態]
まず、第1の実施形態に係るログ監視システムおよびホワイトリスト作成装置の構成、処理の流れおよび効果を説明する。 [First Embodiment]
First, the configuration, processing flow, and effects of the log monitoring system and the white list creation device according to the first embodiment will be described.

[ログ監視システムの構成]
まず、図1を用いてログ監視システムの構成について説明する。図1は、第1の実施形態に係るログ監視システムの構成の一例を示す図である。図1に示すように、ログ監視システム1はホワイトリスト作成装置10およびログ監視装置20を有する。 [Log Monitoring System Configuration]
First, the configuration of the log monitoring system will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a configuration of a log monitoring system according to the first embodiment. As shown in FIG. 1, the log monitoring system 1 includes a white list creation device 10 and a log monitoring device 20.

ホワイトリスト作成装置10は、ユーザから入力されたログ等を基に、正常なログをフィルタリングするためのルールの集合であるホワイトリストの作成を行う。ホワイトリスト作成装置10は、入力部11、抽出部12、変換部13、出力部14および記憶部15を有する。   The white list creation device 10 creates a white list that is a set of rules for filtering normal logs based on a log or the like input from a user. The white list creation device 10 includes an input unit 11, an extraction unit 12, a conversion unit 13, an output unit 14, and a storage unit 15.

入力部11は、ログの入力を受け付ける。入力部11には、例えばユーザが正常であると判断したログが入力される。ここで、入力部11には、例えばユーザが異常であると判断したログは入力されない。また、入力部11は、例えばネットワークで接続されたユーザ端末からログファイルを読み込むことによってログの入力を受け付ける。   The input unit 11 receives log input. For example, a log that the user has determined to be normal is input to the input unit 11. Here, for example, a log that the user has determined to be abnormal is not input to the input unit 11. The input unit 11 receives a log input by reading a log file from a user terminal connected via a network, for example.

抽出部12は、入力部11に入力されたログから、あらかじめ設定された抽出条件に合致する部分を抽出する。抽出条件は、例えば正規表現によって表される。   The extraction unit 12 extracts a part that matches a preset extraction condition from the log input to the input unit 11. The extraction condition is represented by a regular expression, for example.

変換部13は、抽出部12によって抽出された部分を、抽出条件に対応した変換方法によって変換する。例えば、変換部13は、抽出部12によって抽出された部分を、抽出条件に対応する正規表現に変換する。ここで、記憶部15は、前述の抽出条件および抽出条件に対応した変換方法を記憶しているものとする。   The conversion unit 13 converts the part extracted by the extraction unit 12 by a conversion method corresponding to the extraction condition. For example, the conversion unit 13 converts the part extracted by the extraction unit 12 into a regular expression corresponding to the extraction condition. Here, it is assumed that the storage unit 15 stores the extraction condition and the conversion method corresponding to the extraction condition.

例えば、抽出部12は、10進数または16進数であるという抽出条件に合致する部分を抽出する。このとき、変換部13は、部分を、10進数または16進数に対応する正規表現に変換する。また、例えば抽出部12は、空白が連続するという抽出条件に合致する部分を抽出する。このとき、変換部13は、部分を、複数の空白の連続に対応する正規表現に変換する。また、例えば変換部13の削除部131は、ログから、ログの文頭の日時およびホスト名を表す部分を削除する。出力部14は、削除部131によって部分が削除されたログを出力する。   For example, the extraction unit 12 extracts a portion that matches the extraction condition of being a decimal number or a hexadecimal number. At this time, the conversion unit 13 converts the portion into a regular expression corresponding to a decimal number or a hexadecimal number. Further, for example, the extraction unit 12 extracts a portion that matches the extraction condition that the blanks are continuous. At this time, the conversion unit 13 converts the portion into a regular expression corresponding to a sequence of a plurality of blanks. Further, for example, the deletion unit 131 of the conversion unit 13 deletes a part representing the date and time of the beginning of the log and the host name from the log. The output unit 14 outputs a log from which the part has been deleted by the deletion unit 131.

出力部14は、変換部13によって部分が変換されたログを、ログ監視装置20に出力する。   The output unit 14 outputs the log whose part has been converted by the conversion unit 13 to the log monitoring device 20.

記憶部15は、抽出部12で用いられる抽出条件および変換部13で用いられる抽出条件に対応した変換方法を記憶する。記憶部15に記憶されている抽出条件および変換方法の詳細については後述する。   The storage unit 15 stores an extraction condition used by the extraction unit 12 and a conversion method corresponding to the extraction condition used by the conversion unit 13. Details of the extraction conditions and the conversion method stored in the storage unit 15 will be described later.

また、ログ監視装置20は、ホワイトリスト作成装置10によって作成されたホワイトリストを用いてログの監視を行う。ログ監視装置20は、設定部21、記憶部22および監視部23を有する。   Further, the log monitoring device 20 monitors logs using the white list created by the white list creation device 10. The log monitoring device 20 includes a setting unit 21, a storage unit 22, and a monitoring unit 23.

設定部21は、ホワイトリスト作成装置10の出力部14から取得した変換されたログをホワイトリストとして記憶部22に記憶させる。監視部23は、記憶部22に記憶されているホワイトリストを用いて、リアルタイムまたはバッチ処理としてログの監視を行う。   The setting unit 21 causes the storage unit 22 to store the converted log acquired from the output unit 14 of the white list creation apparatus 10 as a white list. The monitoring unit 23 uses the white list stored in the storage unit 22 to monitor logs as real time or batch processing.

このとき、監視部23は、ホワイトリストに記載された正規表現に合致するログを正常なログと判定する。また、監視部23は、ホワイトリストに記載された正規表現に合致しないログを異常なログと判定する。なお、監視部23は、ホワイトリストを用いた監視だけでなく、ブラックリストを用いた監視等をさらに行うようにしてもよい。   At this time, the monitoring unit 23 determines that a log that matches the regular expression described in the white list is a normal log. Further, the monitoring unit 23 determines that a log that does not match the regular expression described in the white list is an abnormal log. The monitoring unit 23 may further perform monitoring using a black list as well as monitoring using a white list.

[ホワイトリスト作成装置の構成]
次に、図2を用いてホワイトリスト作成装置の変換部の構成について説明する。図2は、第1の実施形態に係るホワイトリスト作成装置の変換部の構成の一例を示す図である。ホワイトリスト作成装置10は、抽出したログを正規表現に変換する。ここで、仮に、ログを「.*」という正規表現にしてしまうと、すべてのログがこの正規表現に含まれてしまい、異常ログを検出することができなくなる。そのため、あらかじめログのフォーマットが明確で、正規表現にして複数のログをまとめても問題ないとわかっている部分以外は、正規表現で表すことは避ける。 [Configuration of whitelist creation device]
Next, the configuration of the conversion unit of the white list creation device will be described with reference to FIG. FIG. 2 is a diagram illustrating an example of a configuration of a conversion unit of the white list creation apparatus according to the first embodiment. The white list creation device 10 converts the extracted log into a regular expression. Here, if the log is changed to a regular expression “. *”, All the logs are included in the regular expression, and an abnormal log cannot be detected. For this reason, avoid using a regular expression unless the log format is clear in advance and it is known that there is no problem even if you combine multiple logs using regular expressions.

一方、数値および空白文字の場合には、それ単独で意味を持つことはなく、数値部分が異なることでログの内容が異なる場合には、文字列で表されるメッセージ内容も変わると考えられる。例えば、数値で表されるエラーコードがログによって異なることが考えられるが、この場合、エラーコードが変化すると、ログに表示されるエラーの内容も変化する。このため、数値および空白文字は正規表現に変換しても問題ないと考えられる。   On the other hand, in the case of a numerical value and a space character, it does not have a meaning by itself, and if the content of the log is different due to different numerical value parts, the message content represented by the character string is also considered to change. For example, it is conceivable that the error code represented by a numerical value varies depending on the log. In this case, when the error code changes, the content of the error displayed in the log also changes. For this reason, it is considered that there is no problem even if numerical values and space characters are converted into regular expressions.

図2に示すように、変換部13は、削除部131、エスケープ処理部132、特定部変換部133、数変換部134、アドレス変換部135、空白変換部136および日時変換部137を有する。変換部13の各部は、記憶部15に記憶されている変換方法に従って処理を行う。   As illustrated in FIG. 2, the conversion unit 13 includes a deletion unit 131, an escape processing unit 132, a specifying unit conversion unit 133, a number conversion unit 134, an address conversion unit 135, a space conversion unit 136, and a date / time conversion unit 137. Each unit of the conversion unit 13 performs processing according to the conversion method stored in the storage unit 15.

ここで、図3を用いて、記憶部15に記憶されている抽出条件および変換方法について説明する。図3に示すように、記憶部15は抽出条件および変換方法を記憶する。抽出条件には、例えば「文頭の日時およびホスト名」のように、あらかじめログを出力する装置の設定に合わせて位置を特定できるものがある。また、抽出条件には、「所定のID」のように、あらかじめ正規表現化しても問題がないとわかっているものもある。その他にも、抽出条件は、「日時」、「IPv4ホストのIPアドレス」または「16進数」のように、正規表現等で表された条件に合致する文字列とすることもできる。   Here, the extraction conditions and the conversion method stored in the storage unit 15 will be described with reference to FIG. As illustrated in FIG. 3, the storage unit 15 stores extraction conditions and a conversion method. Some extraction conditions can specify the position in advance according to the setting of the device that outputs the log, such as “date and time of the sentence head and host name”. Some extraction conditions, such as “predetermined ID”, are known to have no problem even if they are converted into regular expressions in advance. In addition, the extraction condition may be a character string that matches a condition represented by a regular expression, such as “date and time”, “IP address of IPv4 host”, or “hexadecimal number”.

例えば、抽出条件「16進数」は、具体的には以下の(1)から(3)のように表すことができる。なお、16進数においては0から9、aからfおよびAからFが数値として用いられる。
(1)"0x"、"tx"、"tap"、"req-"、"id="で始まり、数値および[a-fA-F]で構成される文字列("-"区切りは許容)。
(2)区切り文字("-"等)で挟まれ、1つ以上の数値および[a-fA-F]で構成される文字列。
(3)前後が(1)または(2)に合致する文字列で、"-"区切りの[a-fA-F]から成る文字列。 For example, the extraction condition “hexadecimal number” can be specifically expressed as (1) to (3) below. In hexadecimal numbers, 0 to 9, a to f, and A to F are used as numerical values.
(1) Character string starting with "0x", "tx", "tap", "req-", "id =", and consisting of a numerical value and [a-fA-F] ("-" delimiter is allowed) .
(2) A character string composed of one or more numeric values and [a-fA-F], sandwiched between delimiters (such as "-").
(3) A character string consisting of [a-fA-F] delimited by “-”, which is a character string before and after matching (1) or (2).

また、例えば抽出条件「文頭の日時およびホスト名」に対応する変換方法は、「削除」である。この場合、削除部131は、抽出条件に合致する部分を削除する。また、抽出条件「\,|,(,),{,},[,]のいずれかの文字」に対応する変換方法は、「文字の前に「\」を追加」である。この場合、エスケープ処理部132は抽出条件に合致する文字の前に「\」を追加する。   For example, the conversion method corresponding to the extraction condition “date and time of the sentence and host name” is “deletion”. In this case, the deletion unit 131 deletes a part that matches the extraction condition. The conversion method corresponding to the extraction condition “any character of \, |, (,), {,}, [,]” is “add“ \ ”before the character”. In this case, the escape processing unit 132 adds “\” before the character that matches the extraction condition.

また、例えば抽出条件「所定のID」に対応する変換方法は、「正規表現「\w+」に変換」である。この場合、特定部変換部133は、抽出条件に合致する部分を「\w+」に変換する。なお、所定のIDとはあらかじめ半角英数で表され、特定の文字列の後に現れることが分かっているものとする。   For example, the conversion method corresponding to the extraction condition “predetermined ID” is “convert to regular expression“ \ w + ””. In this case, the identifying unit conversion unit 133 converts the portion that matches the extraction condition into “\ w +”. It is assumed that the predetermined ID is expressed in advance in single-byte alphanumeric characters and appears to appear after a specific character string.

また、例えば抽出条件「16進数」に対応する変換方法は、「正規表現「[\da-fA-F]+」に変換」である。この場合、数変換部134は、抽出条件に合致する部分を「[\da-fA-F]+」に変換する。   For example, the conversion method corresponding to the extraction condition “hexadecimal” is “convert to regular expression“ [\ da-fA-F] + ””. In this case, the number conversion unit 134 converts the part that matches the extraction condition into “[\ da-fA-F] +”.

また、例えば抽出条件「IPv4ホストのIPアドレス」に対応する変換方法は、「正規表現「(\d{1,3}\.){3}\d{1,3}」に変換」である。この場合、アドレス変換部135は、抽出条件に合致する部分を「(\d{1,3}\.){3}\d{1,3}」に変換する。   For example, the conversion method corresponding to the extraction condition “IP address of IPv4 host” is “convert to regular expression“ (\ d {1,3} \.) {3} \ d {1,3} ””. . In this case, the address conversion unit 135 converts the part that matches the extraction condition into “(\ d {1,3} \.) {3} \ d {1,3}”.

また、例えば抽出条件「連続する空白」に対応する変換方法は、「正規表現「\s+」に変換」である。この場合、空白変換部136は、抽出条件に合致する部分を「\s+」に変換する。   For example, the conversion method corresponding to the extraction condition “continuous white space” is “convert to regular expression“ \ s + ””. In this case, the blank conversion unit 136 converts the portion that matches the extraction condition into “\ s +”.

また、例えば抽出条件「日時」に対応する変換方法は、「正規表現「(Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec)\ \d{1,2}\s[\d\ ]\d:\d{2}:\d{2}」に変換」である。この場合、日時変換部137は、抽出条件に合致する部分を「(Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec)\ \d{1,2}\s[\d\ ]\d:\d{2}:\d{2}」に変換する。   For example, the conversion method corresponding to the extraction condition “date and time” is “regular expression” (Jan | Feb | Mar | Apr | May | Jun | Jul | Aug | Sep | Oct | Nov | Dec) \ \ d {1, 2} \ s [\ d \] \ d: \ d {2}: \ d {2} ". In this case, the date and time conversion unit 137 selects the part that matches the extraction condition as “(Jan | Feb | Mar | Apr | May | Jun | Jul | Aug | Sep | Oct | Nov | Dec) \ \ d {1,2} \ s [\ d \] \ d: \ d {2}: \ d {2} ".

なお、抽出部12および変換部13は、抽出および変換を図3のNOの順に実行する。そのため、例えばNO1において削除された日時の部分は、NO4においては変換の対象外となる。また、例えば空白文字を区切り文字として使用するシステムから出力されるログの場合、空白文字のエスケープ処理が必要になる。   In addition, the extraction part 12 and the conversion part 13 perform extraction and conversion in order of NO of FIG. Therefore, for example, the date and time part deleted in NO1 is not subject to conversion in NO4. For example, in the case of a log output from a system that uses a space character as a delimiter, a space character escape process is required.

また、IPアドレスおよびMACアドレスは、10進数または16進数を用いて表される場合が多いため、数変換部134によるNO9〜NO11の変換の前に、アドレス変換部135によるNO6〜NO8を配置することで、アドレスが数字として変換されてしまうことを防止することができる。   Since the IP address and the MAC address are often expressed using decimal numbers or hexadecimal numbers, NO6 to NO8 by the address conversion unit 135 are arranged before the conversion of NO9 to NO11 by the number conversion unit 134. Thus, it is possible to prevent the address from being converted as a number.

次に、具体的な例を挙げてログの変換について説明する。図4は、変換前と変換後のログの一例を示す図である。図4の1aの部分は、文頭の日時およびホスト名を表しており、図3のNO1の抽出条件に合致するため、削除される。また、図4の2aの部分は、「sendmail」の後に現れるメッセージIDであり、図3のNO2の抽出条件に合致する、2bに示すように正規表現に変換される。   Next, log conversion will be described with a specific example. FIG. 4 is a diagram illustrating an example of a log before conversion and after conversion. The part 1a in FIG. 4 represents the date and host name and the host name at the beginning of the sentence, and is deleted because it matches the extraction condition of NO1 in FIG. The part 2a in FIG. 4 is a message ID that appears after “sendmail”, and is converted into a regular expression as shown in 2b that matches the extraction condition of NO2 in FIG.

また、図4の3aおよび5aの部分は、それぞれ図3のNO3およびNO5の抽出条件に合致するため、3bおよび5bに示すようにエスケープ処理が行われる。また、図4の4aおよび6a〜12aの部分は、それぞれ図3のNO4およびNO6〜NO12の抽出条件に合致するため、4bおよび6b〜12bに示すように正規表現に変換される。   Further, since the portions 3a and 5a in FIG. 4 match the extraction conditions of NO3 and NO5 in FIG. 3, respectively, escape processing is performed as shown in 3b and 5b. Further, since the portions 4a and 6a to 12a in FIG. 4 match the extraction conditions of NO4 and NO6 to NO12 in FIG. 3, respectively, they are converted into regular expressions as shown in 4b and 6b to 12b.

[第1の実施形態の処理]
図5を用いて、ログ監視システム1の処理について説明する。図5は、第1の実施形態に係るログ監視システムの処理の一例を示すシーケンス図である。図5に示すように、まず、ユーザはホワイトリスト作成装置10に正常と判断したログを入力する(ステップS101)。 [Process of First Embodiment]
The process of the log monitoring system 1 will be described with reference to FIG. FIG. 5 is a sequence diagram illustrating an example of processing of the log monitoring system according to the first embodiment. As shown in FIG. 5, first, the user inputs a log determined to be normal to the white list creation device 10 (step S101).

ホワイトリスト作成装置10は、ログの入力を受け付ける(ステップS102)。次に、ホワイトリスト作成装置10は、ログから所定の抽出条件に合致する部分を抽出し、所定の変換方法によって変換を行う(ステップS103)。そして、ホワイトリスト作成装置10は、抽出および変換が完了したログをログ監視装置20に出力する(ステップS104)。   The white list creation apparatus 10 accepts log input (step S102). Next, the white list creation apparatus 10 extracts a portion that matches a predetermined extraction condition from the log, and performs conversion by a predetermined conversion method (step S103). Then, the whitelist creation apparatus 10 outputs the log that has been extracted and converted to the log monitoring apparatus 20 (step S104).

ログ監視装置20は、ホワイトリスト作成装置10から取得したログをホワイトリストに設定する(ステップS105)。そして、ログ監視装置20は、ホワイトリストを用いてログを監視する(ステップS106)。   The log monitoring device 20 sets the log acquired from the white list creation device 10 in the white list (step S105). And the log monitoring apparatus 20 monitors a log using a white list (step S106).

さらに、ログ監視装置20は、ホワイトリスト作成装置10にログをフィードバックする(ステップS107)。このように、ログ監視システム1は、ホワイトリストを運用しながら、例えば正常ログを誤って異常ログと判定したログを再度ホワイトリスト作成装置10にフィードバックすることで学習を行い、これを繰り返してホワイトリストを拡充するようにしてもよい。   Further, the log monitoring device 20 feeds back the log to the white list creation device 10 (step S107). In this way, the log monitoring system 1 performs learning by operating the white list and feeding back, for example, a log that is erroneously determined to be an abnormal log to the white list creating apparatus 10 again, and this is repeated. The list may be expanded.

このとき、入力部11は、ログ監視装置20によって正常なログであると判定されたログの入力を受け付ける。これにより、未知の正常ログは、初出時は異常ログに分類されるが、フィードバックして学習した後には正常ログに分類される。   At this time, the input unit 11 receives an input of a log that is determined as a normal log by the log monitoring device 20. Thereby, an unknown normal log is classified as an abnormal log when it first appears, but is classified as a normal log after learning by feedback.

ここで、図6を用いてホワイトリスト作成装置10の処理について説明する。図6は、第1の実施形態に係るホワイトリスト作成装置の処理の一例を示すフローチャートである。まず、図6に示すように、ホワイトリスト作成装置10の入力部11はログの入力を受け付ける(ステップS201)。   Here, the processing of the white list creation apparatus 10 will be described with reference to FIG. FIG. 6 is a flowchart illustrating an example of processing of the white list creation apparatus according to the first embodiment. First, as illustrated in FIG. 6, the input unit 11 of the whitelist creation apparatus 10 receives log input (step S <b> 201).

次に、ホワイトリスト作成装置10の抽出部12は、記憶部15に記憶されている抽出条件に合致する部分をログから抽出する(ステップS202)。そして、ホワイトリスト作成装置10の変換部13は、抽出条件に対応する変換方法に従って抽出されたログを変換する(ステップS203)。   Next, the extraction unit 12 of the whitelist creation apparatus 10 extracts a portion that matches the extraction condition stored in the storage unit 15 from the log (step S202). Then, the conversion unit 13 of the whitelist creation apparatus 10 converts the log extracted according to the conversion method corresponding to the extraction condition (step S203).

このとき、抽出が行われていない抽出条件が存在する場合(ステップS204、Yes)、ステップS202へ戻り、抽出を行っていない抽出条件について抽出を行う。また、抽出が行われていない抽出条件が存在しない場合(ステップS204、No)、変換したログをログ監視装置20に出力し(ステップS205)、処理を終了する。   At this time, if there is an extraction condition that has not been extracted (step S204, Yes), the process returns to step S202, and extraction is performed for the extraction condition that has not been extracted. If there is no extraction condition that has not been extracted (No at Step S204), the converted log is output to the log monitoring device 20 (Step S205), and the process is terminated.

[第1の実施形態の効果]
ログ監視の精度は、下記の再現率および適合率によって表すことができる。
再現率=(異常と判定されたログのうち真に異常なログの数)/(真に異常なログの全数)
適合率=(異常と判定されたログのうち真に異常なログの数)/(異常と判定されたログの全数) [Effect of the first embodiment]
The accuracy of log monitoring can be expressed by the following recall and precision.
Reproducibility = (Number of truly abnormal logs among abnormally determined logs) / (Total number of truly abnormal logs)
Compliance rate = (the number of logs that are determined to be abnormal among the logs that are determined to be abnormal) / (the total number of logs that are determined to be abnormal)

一般に、ブラックリスト方式は、既知の異常ログの特徴を正規表現で記述するため、適合率が100%近くになるものの、再現率がそれほど高くなく、未知のログの検知に弱いという傾向がある。一方、ホワイトリスト方式は、ブラックリスト方式の問題点を改善するべく、ブラックリスト方式で漏らした異常ログ、特に未知の異常ログを検知することが目的になる。   In general, the black list method describes the characteristics of a known abnormality log with a regular expression. Therefore, although the relevance rate is close to 100%, the reproducibility is not so high, and there is a tendency to be weak in detecting an unknown log. On the other hand, the purpose of the white list method is to detect an abnormal log leaked by the black list method, particularly an unknown abnormal log, in order to improve the problems of the black list method.

このため、ホワイトリスト方式では、再現率100%を実現することが第1の目標となり、その上で適合率も上げることが求められる。そのためには、十分なフィルタリングルールを含んだホワイトリストが必要になる。   For this reason, in the white list method, the first goal is to achieve a recall rate of 100%, and it is also necessary to increase the matching rate. This requires a whitelist that contains sufficient filtering rules.

このとき、従来のように、手動でホワイトリストを作成することや、ログをそのままホワイトリストに追加することでは、十分なフィルタリングルールを含んだホワイトリストを作成することは困難である。   At this time, it is difficult to create a white list including sufficient filtering rules by manually creating a white list or adding a log as it is to the white list as in the past.

そこで、ホワイトリスト作成装置10の入力部11は、まず、正常なログの入力を受け付ける。そして、抽出部12は、ログから、あらかじめ設定された抽出条件に合致する部分を抽出する。ここで、変換部13は、抽出部12によって抽出された部分を、抽出条件に対応する正規表現に変換する。その後、出力部14は、変換部13によって部分が変換されたログを、正常なログをフィルタリングするためのルールの集合であるホワイトリストを用いてログを監視する装置に出力する。   Therefore, the input unit 11 of the whitelist creation apparatus 10 first receives a normal log input. Then, the extraction unit 12 extracts a portion that matches a preset extraction condition from the log. Here, the conversion unit 13 converts the portion extracted by the extraction unit 12 into a regular expression corresponding to the extraction condition. Thereafter, the output unit 14 outputs the log whose portion has been converted by the conversion unit 13 to a device that monitors the log using a white list that is a set of rules for filtering normal logs.

このように、ホワイトリスト作成装置10では正規表現で表されたホワイトリストを自動的に作成することが可能であるため、十分なフィルタリングルールを含んだホワイトリストを効率良く作成することができる。さらに、ホワイトリスト作成装置10で作成された十分なフィルタリングルールを含んだホワイトリストを用いることで、ログ監視における適合率を向上させることができる。   As described above, since the white list creation apparatus 10 can automatically create a white list represented by a regular expression, a white list including a sufficient filtering rule can be efficiently created. Furthermore, by using a white list including sufficient filtering rules created by the white list creation device 10, it is possible to improve the conformance rate in log monitoring.

また、例えば抽出部12は、10進数または16進数であるという抽出条件に合致する部分を抽出する。このとき、変換部13は、部分を、10進数または16進数に対応する正規表現に変換する。   Further, for example, the extraction unit 12 extracts a portion that matches the extraction condition of being a decimal number or a hexadecimal number. At this time, the conversion unit 13 converts the portion into a regular expression corresponding to a decimal number or a hexadecimal number.

また、例えば抽出部12は、空白が連続するという抽出条件に合致する部分を抽出する。このとき、変換部13は、部分を、複数の空白の連続に対応する正規表現に変換する。   Further, for example, the extraction unit 12 extracts a portion that matches the extraction condition that the blanks are continuous. At this time, the conversion unit 13 converts the portion into a regular expression corresponding to a sequence of a plurality of blanks.

また、例えば変換部13の削除部131は、ログから、ログの文頭の日時およびホスト名を表す部分を削除する。出力部14は、削除部131によって部分が削除されたログを出力する。   Further, for example, the deletion unit 131 of the conversion unit 13 deletes a part representing the date and time of the beginning of the log and the host name from the log. The output unit 14 outputs a log from which the part has been deleted by the deletion unit 131.

このように、ホワイトリスト作成装置10は、抽出部12および変換部13の設定によって、様々なタイプのログからホワイトリストを作成することができる。   In this way, the white list creation device 10 can create a white list from various types of logs depending on the settings of the extraction unit 12 and the conversion unit 13.

なお、ホワイトリスト作成装置10によって作成されたホワイトリストを用いてログの監視を行ったところ、文字列を含むログに対する再現率を100%にすることができた。その際の適合率は、ログの特性や学習用のログデータに大きく依存する。例えば、新しい正常ログが現れにくく、正常なログに大きな変動がない場合、適合率は高くなり100%近くを実現できるので、本発明は未知の異常ログの検出に役立つ。   In addition, when the log was monitored using the white list created by the white list creation device 10, the reproduction rate for the log including the character string was able to be 100%. The relevance ratio at that time largely depends on log characteristics and log data for learning. For example, when a new normal log is unlikely to appear and there is no large fluctuation in the normal log, the relevance rate is high and can be close to 100%, so the present invention is useful for detecting an unknown abnormal log.

さらに、ブラックリスト判定と組み合わせて、あらかじめ問題があるとわかっているログはブラックリストで切り分けて、残ったログに対してホワイトリストを適用することで、より高い精度を実現することが可能になる。   Furthermore, in combination with blacklist determination, logs that are known to have problems in advance can be separated by blacklists, and whitelists can be applied to the remaining logs to achieve higher accuracy. .

さらに、ホワイトリスト作成装置10の入力部11は、ログ監視装置20によって正常なログであると判定されたログの入力を受け付けるようにしてもよい。この場合、ホワイトリスト作成装置10は、ログ監視装置20の監視結果をフィードバックとして受け取り、学習することによって、ログ監視における適合率をさらに向上可能なホワイトリストを作成することができる。   Furthermore, the input unit 11 of the whitelist creation apparatus 10 may accept an input of a log that is determined as a normal log by the log monitoring apparatus 20. In this case, the white list creation device 10 can create a white list that can further improve the relevance ratio in log monitoring by receiving and learning the monitoring result of the log monitoring device 20 as feedback.

[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 [System configuration, etc.]
Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device is realized by a CPU (Central Processing Unit) and a program analyzed and executed by the CPU, or hardware by wired logic. Can be realized as

また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。   In addition, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.

[プログラム]
一実施形態として、ホワイトリスト作成装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の監視を実行するホワイトリスト作成プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のホワイトリスト作成プログラムを情報処理装置に実行させることにより、情報処理装置をホワイトリスト作成装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。 [program]
As an embodiment, the white list creation device 10 can be implemented by installing a white list creation program for executing the above monitoring as package software or online software on a desired computer. For example, by causing the information processing apparatus to execute the above white list creation program, the information processing apparatus can function as the white list creation apparatus 10. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, the information processing apparatus includes mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDA (Personal Digital Assistants).

また、ホワイトリスト作成装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のホワイトリスト作成に関するサービスを提供するサーバ装置として実装することもできる。例えば、ホワイトリスト作成装置10は、変換前のログを入力とし、変換後のログを出力とするホワイトリスト作成サービスを提供するサーバ装置として実装される。この場合、ホワイトリスト作成装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のホワイトリスト作成に関するサービスを提供するクラウドとして実装することとしてもかまわない。   The white list creation device 10 can also be implemented as a server device that uses a terminal device used by a user as a client and provides the client with the above-described service related to white list creation. For example, the white list creation device 10 is implemented as a server device that provides a white list creation service that takes a log before conversion as input and outputs a log after conversion as output. In this case, the white list creation device 10 may be implemented as a Web server, or may be implemented as a cloud that provides the above-described service related to white list creation by outsourcing.

図7は、プログラムが実行されることにより、ホワイトリスト作成装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。   FIG. 7 is a diagram illustrating an example of a computer in which a whitelist creation apparatus is realized by executing a program. The computer 1000 includes a memory 1010 and a CPU 1020, for example. The computer 1000 also includes a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to a mouse 1110 and a keyboard 1120, for example. The video adapter 1060 is connected to the display 1130, for example.

ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ホワイトリスト作成装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ホワイトリスト作成装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。   The hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, a program that defines each process of the whitelist creation apparatus 10 is implemented as a program module 1093 in which a code executable by a computer is described. The program module 1093 is stored in the hard disk drive 1090, for example. For example, a program module 1093 for executing the same processing as the functional configuration in the whitelist creation apparatus 10 is stored in the hard disk drive 1090. The hard disk drive 1090 may be replaced by an SSD (Solid State Drive).

また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。   The setting data used in the processing of the above-described embodiment is stored as program data 1094 in, for example, the memory 1010 or the hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 to the RAM 1012 and executes them as necessary.

なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   The program module 1093 and the program data 1094 are not limited to being stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read out by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). The program module 1093 and the program data 1094 may be read by the CPU 1020 from another computer via the network interface 1070.

1 ログ監視システム
10 ホワイトリスト作成装置
20 ログ監視装置
11 入力部
12 抽出部
13 変換部
14 出力部
15、22 記憶部
21 設定部
23 監視部
131 削除部
132 エスケープ処理部
133 特定部変換部
134 数変換部
135 アドレス変換部
136 空白変換部
137 日時変換部 DESCRIPTION OF SYMBOLS 1 Log monitoring system 10 White list production apparatus 20 Log monitoring apparatus 11 Input part 12 Extraction part 13 Conversion part 14 Output part 15,22 Storage part 21 Setting part 23 Monitoring part 131 Deletion part 132 Escape processing part 133 Specific part conversion part 134 Number Conversion unit 135 Address conversion unit 136 Blank conversion unit 137 Date and time conversion unit

Claims (7)

正常なログの入力を受け付ける入力部と、
前記ログから、あらかじめ設定された抽出条件に合致する部分を抽出する抽出部と、
前記抽出部によって抽出された部分を、前記抽出条件に対応する正規表現に変換する変換部と、
前記変換部によって前記抽出された部分が変換された前記ログを、正常なログをフィルタリングするためのルールの集合であるホワイトリストを用いてログを監視するログ監視装置に出力する出力部と、
を有することを特徴とするホワイトリスト作成装置。 An input unit that accepts normal log input;
An extraction unit that extracts a part that matches a preset extraction condition from the log;
A conversion unit that converts the part extracted by the extraction unit into a regular expression corresponding to the extraction condition;
An output unit that outputs the log obtained by converting the extracted part by the conversion unit to a log monitoring device that monitors a log using a white list that is a set of rules for filtering normal logs;
A white list creation device characterized by comprising: 前記抽出部は、10進数または16進数であるという抽出条件に合致する部分を抽出し、
前記変換部は、前記抽出部によって抽出された部分を、数値または16進数において数値として用いられる文字列を表す正規表現に変換することを特徴とする請求項1に記載のホワイトリスト作成装置。 The extraction unit extracts a portion that matches an extraction condition of being a decimal number or a hexadecimal number,
The whitelist creation apparatus according to claim 1, wherein the conversion unit converts the part extracted by the extraction unit into a regular expression representing a character string used as a numerical value or a numerical value in hexadecimal. 前記抽出部は、空白が連続するという抽出条件に合致する部分を抽出し、
前記変換部は、前記抽出部によって抽出された部分を、1つ以上の空白を表す正規表現に変換することを特徴とする請求項1または2に記載のホワイトリスト作成装置。 The extraction unit extracts a portion that matches an extraction condition that a space is continuous,
The whitelist creation device according to claim 1 or 2, wherein the conversion unit converts the portion extracted by the extraction unit into a regular expression representing one or more blanks. 前記ログから、ログの文頭の日時およびホスト名を表す部分を削除する削除部をさらに有し、
前記出力部は、前記削除部によって前記ログの文頭の日時およびホスト名を表す部分が削除された前記ログを前記ログ監視装置に出力することを特徴とする請求項1から3のいずれか1項に記載のホワイトリスト作成装置。 The log further comprises a deletion unit that deletes a part representing the date and host name of the beginning of the log,
4. The output unit according to claim 1, wherein the output unit outputs, to the log monitoring device, the log in which a part representing a date and a host name of the log is deleted by the deletion unit. 5. The white list creation device described in 1. 前記入力部は、前記ログ監視装置によって正常なログと判定されたログの入力をさらに受け付け、
前記抽出部は、前記ログ監視装置によって正常なログと判定されたログから所定の条件に合致する部分を抽出することを特徴とする請求項1から4のいずれか1項に記載のホワイトリスト作成装置。 The input unit further accepts an input of a log determined as a normal log by the log monitoring device;
5. The whitelist creation according to claim 1, wherein the extraction unit extracts a portion that matches a predetermined condition from a log determined as a normal log by the log monitoring device. apparatus. 正常なログの入力を受け付ける入力工程と、
前記ログから、あらかじめ設定された抽出条件に合致する部分を抽出する抽出工程と、
前記抽出工程によって抽出された部分を、前記抽出条件に対応する正規表現に変換する変換工程と、
前記変換工程によって前記抽出された部分が変換された前記ログを、正常なログをフィルタリングするためのルールの集合であるホワイトリストを用いてログを監視する装置に出力する出力工程と、
を含んだことを特徴とするホワイトリスト作成方法。 An input process for accepting normal log input;
An extraction step for extracting a part that matches a preset extraction condition from the log;
A conversion step of converting the part extracted by the extraction step into a regular expression corresponding to the extraction condition;
An output step of outputting the log obtained by converting the extracted part by the conversion step to an apparatus for monitoring the log using a white list which is a set of rules for filtering normal logs;
A white list creation method characterized by including コンピュータを、請求項1から5のいずれか1項に記載のホワイトリスト作成装置として機能させるためのホワイトリスト作成プログラム。   A whitelist creation program for causing a computer to function as the whitelist creation device according to any one of claims 1 to 5.
JP2015209079A 2015-10-23 2015-10-23 Whitelist creation device, whitelist creation method, and whitelist creation program Active JP6280089B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015209079A JP6280089B2 (en) 2015-10-23 2015-10-23 Whitelist creation device, whitelist creation method, and whitelist creation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015209079A JP6280089B2 (en) 2015-10-23 2015-10-23 Whitelist creation device, whitelist creation method, and whitelist creation program

Publications (2)

Publication Number Publication Date
JP2017083947A JP2017083947A (en) 2017-05-18
JP6280089B2 true JP6280089B2 (en) 2018-02-14

Family

ID=58711047

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015209079A Active JP6280089B2 (en) 2015-10-23 2015-10-23 Whitelist creation device, whitelist creation method, and whitelist creation program

Country Status (1)

Country Link
JP (1) JP6280089B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112069137B (en) * 2020-09-02 2024-05-17 阿波罗智联(北京)科技有限公司 Method, device, electronic equipment and computer readable storage medium for generating information

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003463A (en) * 2010-06-16 2012-01-05 Kddi Corp Supporting device, method and program for supporting signature generation
US10721244B2 (en) * 2014-03-19 2020-07-21 Nippon Telegraph And Telephone Corporation Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program

Also Published As

Publication number Publication date
JP2017083947A (en) 2017-05-18

Similar Documents

Publication Publication Date Title
EP3796196A1 (en) Abnormality sensing device and abnormality sensing method
CN113688240B (en) Threat element extraction method, threat element extraction device, threat element extraction equipment and storage medium
US20170109515A1 (en) Identifying machine-generated strings
JP2013254451A (en) Monitoring device, monitoring method and monitoring program
CN111246406A (en) Short message sending method, system, storage medium and terminal equipment
US20220123988A1 (en) Anomaly detection device, anomaly detection method, and anomaly detection program
EP3799367B1 (en) Generation device, generation method, and generation program
JP2019103069A (en) Specific system, specific method and specific program
JP2018018373A (en) Extraction device and extraction method
CN108920377B (en) Log playback test method, system and device and readable storage medium
JP6280089B2 (en) Whitelist creation device, whitelist creation method, and whitelist creation program
CN113852637A (en) Weak password detection method and device and electronic equipment
JP6954466B2 (en) Generation method, generation device and generation program
US11977642B2 (en) Information processing device, information processing method and computer readable medium
JP6310532B1 (en) Generating device, generating method, and generating program
US20120016890A1 (en) Assigning visual characteristics to records
JP7140268B2 (en) WARNING DEVICE, CONTROL METHOD AND PROGRAM
US20190303429A1 (en) Document creation support device and program
CN112000354A (en) Version information updating method, version information updating device, version information updating equipment and storage medium
CN112989337A (en) Malicious script code detection method and device
WO2022259559A1 (en) Determination device, determination method, and determination program
WO2024121891A1 (en) Information generation device, information generation method, and information generation program
US20240154976A1 (en) Determination device, determination method, and determination program
US9747260B2 (en) Information processing device and non-transitory computer readable medium
WO2023144945A1 (en) Operation log processing device, operation log processing method, and operation log processing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180118

R150 Certificate of patent or registration of utility model

Ref document number: 6280089

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150