JP6288244B2 - 情報処理装置、影響過程抽出方法およびプログラム - Google Patents

情報処理装置、影響過程抽出方法およびプログラム Download PDF

Info

Publication number
JP6288244B2
JP6288244B2 JP2016508307A JP2016508307A JP6288244B2 JP 6288244 B2 JP6288244 B2 JP 6288244B2 JP 2016508307 A JP2016508307 A JP 2016508307A JP 2016508307 A JP2016508307 A JP 2016508307A JP 6288244 B2 JP6288244 B2 JP 6288244B2
Authority
JP
Japan
Prior art keywords
time
abnormality
information
relationship
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016508307A
Other languages
English (en)
Other versions
JPWO2015140843A1 (ja
Inventor
崇志 野村
崇志 野村
弘司 喜田
弘司 喜田
純平 上村
純平 上村
純明 榮
純明 榮
悦子 勝田
悦子 勝田
和彦 磯山
和彦 磯山
健太郎 山崎
健太郎 山崎
佑嗣 小林
佑嗣 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2015140843A1 publication Critical patent/JPWO2015140843A1/ja
Application granted granted Critical
Publication of JP6288244B2 publication Critical patent/JP6288244B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3447Performance evaluation by modeling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/875Monitoring of systems including the internet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、情報処理装置、影響過程抽出方法および記録媒体に関する。
大規模なネットワークシステムにおいて、ある箇所で異常が検知された場合、当該異常の原因箇所がどこか、および、当該異常の影響範囲はどこかを、特定することは難しい。
したがって、上記異常が検知された場合、上記原因箇所および影響範囲の特定には、人手による上記ネットワークシステムに含まれるホスト等のログの解析が必要であった。したがって、上記原因箇所および影響範囲の特定は、多大な工数がかかるという問題があった。また、上記原因箇所および影響範囲の特定には、上記解析を行う作業者の能力に依存してしまうという問題があった。
特許文献1には、監視対象ネットワーク内の機器で生成されたログに基づいて、複数種の評価パラメータを用いて、監視対象ネットワークに対する攻撃の攻撃元と攻撃経路を推定する攻撃判定装置が記載されている。
また、特許文献2には、ネットワークに潜在するサービス間の依存関係を形式的に表現した依存関係グラフを利用して、障害箇所を検出する方法が記載されている。その方法は、依存関係グラフ上における、依存関係を辿り、障害の原因となる、あるいは、障害が影響を与えるネットワーク機器上のサービスの集合を抽出・限定することにより障害箇所を検出する方法である。
特開2010−152773号公報 特開平11−259331号公報
しかしながら、上述の技術では、異常が検知された箇所(障害の発見箇所)が一か所の場合を想定しており、複数の箇所で異常が発見される場合については、開示されていない。したがって、複数箇所での異常が発見された場合、異常の影響過程を検出できない可能性がある。
本発明は、上記課題に鑑みてなされたものであり、その目的は、複数箇所で異常が発見された場合であっても、より好適に異常の影響過程を抽出する情報処理装置を提供することにある。
本発明の一態様に係る情報処理装置は、システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検知された前記システム上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報を用いて、前記複数の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、到達範囲として抽出する到達範囲抽出手段と、前記到達範囲として抽出された前記関係グラフ上の複数の経路のうち、所定数以上の経路で共通する範囲を抽出することにより、異常の影響過程を抽出する共通範囲抽出手段と、を備える。
本発明の一態様に係る情報処理装置は、システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検出された前記システム上の位置を示す情報であって、当該関係グラフ上の位置を示す位置情報を取得する取得手段と、当該取得手段が取得した前記関係グラフおよび前記位置情報を用いて、前記位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、異常の影響過程として抽出する到達範囲抽出手段と、を備える。
本発明の一態様に係る影響過程抽出方法は、システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検知された前記システム上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報を用いて、前記複数の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、到達範囲として抽出し、前記到達範囲として抽出された前記関係グラフ上の複数の経路のうち、所定数以上の経路で共通する範囲を抽出することにより、異常の影響過程を抽出する。
本発明の一態様に係る影響過程抽出方法は、情報処理装置の影響過程抽出方法であって、システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検出された前記システム上の位置を示す情報であって、当該関係グラフ上の位置を示す位置情報を取得し、前記取得した前記関係グラフおよび前記位置情報を用いて、前記位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、異常の影響過程として抽出する。
なお、上記情報処理装置または上記影響過程抽出方法を、コンピュータによって実現するコンピュータプログラム、およびそのコンピュータプログラムが格納されている、コンピュータ読み取り可能な記憶媒体も、本発明の範疇に含まれる。
本発明によれば、複数箇所で異常が発見された場合であっても、より好適に異常の影響過程を抽出することができる。
本発明の第1の実施の形態に係る情報処理装置の機能構成の一例を示す機能ブロック図である。 本発明の第1の実施の形態に係る情報処理システムの構成の一例を示すブロック図である。 本発明の第1の実施の形態に係る情報処理装置で使用する関係グラフの一例を示す図である。 本発明の第1の実施の形態に係る情報処理装置で使用する関係グラフで表される要素間の関係を示す概念図である。 本発明の第1の実施の形態に係る情報処理装置の動作を説明するための図である。 本発明の第2の実施の形態に係る情報処理装置の機能構成の一例を示す機能ブロック図である。 本発明の第2の実施の形態に係る情報処理装置の動作を説明するための図である。 本発明の第3の実施の形態に係る監視対象システムに含まれる要素の間の時間軸に対する関係を説明するための図である。 本発明の第3の実施の形態に係る情報処理装置で使用する関係グラフの一例を示す図である。 本発明の第3の実施の形態に係る情報処理装置の機能構成の一例を示す機能ブロック図である。 本発明の第3の実施の形態の変形例に係る情報処理装置で使用する関係グラフの一例を示す図である。 本発明の第3の実施の形態の変形例に係る情報処理装置の機能構成の一例を示す機能ブロック図である。 本発明の第4の実施の形態に係る情報処理装置の機能構成の一例を示す機能ブロック図である。 本発明の各実施形態に係る情報処理システムを実現可能な情報処理装置のハードウェア構成の一例を示す図である。
<第1の実施の形態>
本発明の第1の実施の形態について、図面を参照して詳細に説明する。図1は、本発明の第1の実施の形態に係る情報処理装置100の構成の一例を示す図である。図1に示す通り、情報処理装置100は、到達範囲抽出部110と、共通範囲抽出部120とを備えている。
ここで、図2を参照して、情報処理装置100を含む情報処理システム1について説明を行う。図2は、本実施の形態に係る情報処理システム1の構成の一例を示す図である。図2に示す通り、情報処理システム1は、情報処理装置100と監視対象システム(単に「システム」とも呼ばれる)900とを備えている。情報処理装置100と監視対象システム900とは、図示しないネットワークで接続されている。なお、図2の例に係わらず、複数の監視対象システム900が、情報処理装置100に接続されてよい。
監視対象システム900は、複数の要素920を含む。そして、その要素920のそれぞれは、他のその要素920のそれぞれと何らかの関係を有する。
例えば、監視対象システム900は、ネットワークで接続された複数のホスト(不図示)を含み、そのホスト上でプロセス(不図示)が動作する、情報処理システムである。
また、監視対象システム900は、ソーシャルネットワークであってよい。
また、監視対象システム900は、何らかの構造を有するデータアイテム(要素920)の集合であってもよい。何らかの構造を有するデータアイテムの集合は、例えば、ハイパーリンクと被ハイパーリンクとの関係を有するファイルの集合である。
以上の例に関わらず、監視対象システム900は、任意のシステムであってよい。
次に、情報処理装置100の各部について説明する。
(到達範囲抽出部110)
到達範囲抽出部110は、監視対象システム900に含まれる複数のノード(要素とも呼ばれる)間の関係を表す関係グラフと、当該関係グラフ上の複数の位置を示す情報(位置情報)とを、図示しない外部装置から受信する。この位置情報は、異常が検知された監視対象システム900上の位置を示す情報である。なお、到達範囲抽出部110は、上記関係グラフと、上記位置情報とを、情報処理装置100内の図示しない他の手段から取得する構成であってもよい。上記関係グラフおよび上記位置情報を取得する方法は、特に限定されない。
ここで、関係グラフについて、図3および4を参照して説明する。図3は、監視対象システム900に含まれる複数の要素間の関係を表す関係グラフの一例を示す図である。
関係グラフは、要素920のそれぞれを頂点(要素あるいは節点とも呼ばれる)とし、および、それらの要素920間の関係を辺(リンク、エッジ或いは枝とも呼ばれる)とする、グラフである。関係グラフは、監視対象システム900内の要素920間の関係を表す。ここで、その関係は、例えば、「ある期間に、要素間でデータが伝達された」というデータ伝達関係や、「ある瞬間(または期間)に、要素間でデータ伝達が行われうる状態である」というデータ伝達関係などである。図3に示すように、関係グラフは、頂点識別子と辺とを含むレコードからなる。頂点識別子は、頂点となる要素920の識別子である。辺は、頂点識別子のそれぞれで特定される頂点(要素920)と、他の頂点(要素920)との関係を示す情報である。
例えば、頂点識別子の「E1」は、識別子が「E1」である要素920を特定する。そして、頂点識別子「E1」に対応する辺の「E2;L0、 E3;L1;L1」は、以下のことを示す。第1に、要素920「E1」は、要素920「E2」との関係を表す辺を有し、その辺の属性は、「L0」である。第2に、要素920「E1」は、要素920「E3」との関係を表す2つの辺を有し、それら辺の属性は、いずれも「L1」である。
例えば、頂点識別子が「E4」のレコードにおいて、辺が空欄であることは、要素920「E4」は、他のいずれの要素920に対しても、辺を持たない(関係しない)ことを示す。
辺は、例えば、その辺を有する要素920間において、通信を実行するための準備が完了している状態にあることを示す。辺の属性は、例えば、その辺において実行される通信の、プロトコルの種別を示す。尚、辺や辺の種別は、上述の例に限らず、要素920間の関係を示す、任意の定義であってよい。なお、関係グラフは、上述の例に係わらず任意の形式の関係グラフであってよい。
図4は、関係グラフで表される要素920間の、関係を示す概念図である。図4において、頂点は円形で示され、円形の中に頂点識別子が示されている。また、辺は円形を結ぶ線分で示されている。例えば、実線で示す線分は、種別が「L0」の辺を示す。一点鎖線で示す線分は、種別が「L1」の辺を示す。2点鎖線で示す線分は、種別が「L2」の辺を示す。また、矢印は、関係を生成する側から外へ向かう方向を示す。
なお、関係グラフは、上述の例に係わらず任意の形式で示されてよい。例えば、関係グラフは、隣接リストや隣接行列などのデータ構造をとってもよい。
次に、到達範囲抽出部110が取得する、位置情報について説明を行う。到達範囲抽出部110は、位置情報として、要素を示す情報および/または辺を示す情報を取得する。要素を示す情報とは、例えば、頂点識別子である。また、辺を示す情報としては、例えば、辺の両端に接続する頂点識別子で表される情報である。なお、位置情報はこれらに限定されるものではなく、関係グラフ上の位置を示す情報であればよい。
なお、本実施の形態において、異常が検知された監視対象システム900上の位置とは、例えば、マルウェア等に感染したことが検知された監視対象システム900上の位置であるが、本発明はこれに限定されるものではない。
図1に戻り、到達範囲抽出部110について説明する。到達範囲抽出部110は、位置情報で示される、関係グラフ上の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を抽出する。到達範囲抽出部110は、例えば、バックトレースなどを用いて、各起点から到達する関係グラフ上の経路(当該起点と直接的または間接的に関係を有する範囲)を走査し、抽出する。ここで、バックトレースとは、関係グラフが有向グラフである場合に、有向辺を逆方向に辿ることである。なお、本実施の形態では、バックトレースを後方検索とも呼ぶ。
なお、上記経路の抽出方法は、上記に限定されるものではなく、例えば、ダイクストラ法などであってもよい。そして、到達範囲抽出部110は、上記異常が検知された関係グラフ上の位置ごとに抽出した関係グラフ上の経路(到達範囲)を、夫々、共通範囲抽出部120に供給する。
(共通範囲抽出部120)
共通範囲抽出部120は、到達範囲抽出部110から、異常が検知された関係グラフ上の位置ごとに抽出した関係グラフ上の経路を受け取る。そして、共通範囲抽出部120は、抽出された関係グラフ上の複数の経路のうち、所定数以上の経路で共通する範囲を抽出する。なお、抽出される共通範囲は、要素であってもよいし、辺であってもよいし、これらの集合であってもよい。そして、共通範囲抽出部120は、抽出される共通範囲から、異常の影響過程を抽出する。また、所定数以上の経路とは、全ての経路であってもよいし、予め定められた数または割合以上の経路であってもよい。
図5を参照して、情報処理装置100の動作について、より具体的に説明する。図5は、情報処理装置100の動作を説明するための図である。図5に示す図は、関係グラフの一例である。図5に示す関係グラフは、E1〜E22、C1およびC2の頂点識別子で示される要素と要素間を接続する有向の線分(辺)とで構成されている。なお、説明の便宜上、E1〜E22の頂点識別子で示される要素は円で示され、C1およびC2の頂点識別子で示される要素は、四角で示される。
ここで、異常が検知された関係グラフ上の位置を示す情報(位置情報)が、C1およびC2である場合、到達範囲抽出部110は、C1を起点として、C1から到達する関係グラフ上の経路を抽出する。そして、到達範囲抽出部110は、図5の一点鎖線で囲んだ範囲(経路)をC1から到達する到達範囲であると抽出する。
また、到達範囲抽出部110は、C2を起点として、C2から到達する関係グラフ上の経路(到達範囲)を抽出する。そして、到達範囲抽出部110は、図5の破線で囲んだ範囲をC2からの到達範囲であると抽出する。
そして、到達範囲抽出部110は、C1からの到達範囲を示す情報と、C2からの到達範囲を示す情報とを共通範囲抽出部120に供給する。
共通範囲抽出部120は、供給された2つの範囲で共通する範囲を抽出する。図5に示す通り、一点鎖線で囲んだ範囲と、破線で囲んだ範囲とで共通する範囲は、斜線で記載された要素(E11〜E14)を含む部分である。
共通範囲抽出部120は、抽出した共通範囲から、異常の影響過程を抽出する。例えば、図5において、C1からの到達範囲に含まれるE6は、E5とE14との経路が想定される。ここで、共通範囲は、E14であるため、共通範囲抽出部120は、E5とE14との内、E6から異常の影響が及んでいる経路がE14の経路であると抽出する。このように、共通範囲抽出部120は、抽出した共通範囲を用いて、異常の影響過程を抽出することができる。
なお、共通範囲抽出部120が共通範囲として抽出する範囲は、複数の要素であってもよいし、1つの要素であってもよい。また、共通範囲が複数の要素の場合、共通範囲抽出部120は、各要素間を接続する辺も共通範囲として抽出してもよい。
なお、本実施の形態では、異常が検知された関係グラフ上の位置が2つであることを例に説明を行ったが、本発明はこれに限定されるものではない。異常が検知された関係グラフ上の位置は複数であってもよい。また、本実施の形態においては、異常が検知された関係グラフ上の位置が、要素であることを例に説明を行ったが、本発明はこれに限定されるものではない。異常が検知された位置は、辺であってもよい。
(効果)
本実施の形態に係る情報処理装置100によれば、複数箇所で異常が発見された場合であっても、より好適に異常の影響過程を抽出することができる。
なぜならば、到達範囲抽出部110が関係グラフと、異常が検知された監視対象システム900上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報を用いて、複数の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる関係グラフ上の経路を、到達範囲として抽出するからである。そして、共通範囲抽出部120が、抽出された複数の経路であって、関係グラフ上の経路のうち、所定数以上の経路で共通する範囲を、抽出することにより、異常の影響過程を抽出するからである。
到達範囲抽出部110が、異常が検知された監視対象システム900上の位置から関係グラフを用いて、当該位置から到達する範囲を抽出することにより、上記異常がシステムの、どの範囲に影響を与えた可能性があるのかを抽出することができる。
また、共通範囲抽出部120が、異常が検知された関係グラフ上の複数の位置の夫々からの経路のうち、所定数以上の経路で共通する範囲を抽出することにより、異常の影響過程を抽出することにより、容易に異常の影響過程を抽出することができる。
(変形例)
本実施の形態に係る情報処理装置100は、異常が検知された関係グラフ上の複数の位置(図5ではC1、C2)から、バックトレースを行うことにより、異常が検知された位置から到達する到達範囲を抽出することを例に説明を行ったが、本発明はこれに限定されるものではない。情報処理装置100の到達範囲抽出部110は、異常が検知された位置から、フォワードトレースを行うことにより、到達範囲を抽出してもよい。ここで、フォワードトレースとは、関係グラフが有向グラフである場合に、有向辺を正方向に辿ることである。以降、フォワードトレースを前方検索とも呼ぶ。
これにより、異常が検出された関係グラフ上の位置から、当該異常が影響を与える可能性がある範囲も、異常の影響過程として抽出することができる。したがって、本変形例に係る情報処理装置100は、より好適に異常の影響過程を抽出することができる。
<第2の実施の形態>
本発明の第2の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
図6は、本実施の形態に係る情報処理装置101の機能構成の一例を示す機能ブロック図である。図6に示す通り、情報処理装置101は、共通範囲抽出部120と、到達範囲抽出部130とを備えている。このように、本実施の形態に係る情報処理装置101は、図6に示す通り、第1の実施の形態に係る情報処理装置100における到達範囲抽出部110に代えて、到達範囲抽出部130を備えている。
(到達範囲抽出部130)
到達範囲抽出部130は、監視対象システム900に含まれる複数の要素間の関係を表す関係グラフと、異常が検出された監視対象システム900上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報とを、図示しない外部装置から受信する。
ここで、前述した第1の実施の形態における異常が検知された、関係グラフ上の位置を示す位置情報は、異常の発生が検知された監視対象システム900上の複数の位置であって、関係グラフ上の複数の位置を示す位置情報であることを例に説明を行ったが、本発明はこれに限定されるものではない。本実施の形態で使用する位置情報は、第1の実施の形態で情報処理装置100に入力された位置情報と異なる。その位置情報は、異常の発生が検知された、関係グラフ上の1または複数の位置を示す情報(第1の位置情報)と、異常の原因の可能性があるとして検知された、関係グラフ上の1または複数の位置を示す情報(第2の位置情報)とを含む。なお、第1の位置情報および第2の位置情報はこれに限定されるものではなく、異常として検出された情報であり、夫々、異常の内容が異なるものであればよい。
ここで、異常の発生を検知した関係グラフ上の位置とは、例えば、マルウェア等に感染したことを検知した関係グラフ上の位置である。また、異常の原因の可能性がある関係グラフ上の位置とは、例えば、脆弱性を有する可能性があると検知された要素を示す関係グラフ上の位置であってもよいし、攻撃によって通常とは違うふるまいを行っていると検知された要素等を示す関係グラフ上の位置であってもよい。なお、到達範囲抽出部130は、上記関係グラフと、上記位置情報とを、情報処理装置101内の図示しない他の手段から取得する構成であってもよい。上記関係グラフおよび上記位置情報を取得する方法は、特に限定されない。
到達範囲抽出部130は、図6に示す通り、第1の抽出部131と、第2の抽出部132とを含んでいる。第1の抽出部131は、一方の位置情報(例えば、第1の位置情報)から、到達する関係グラフ上の範囲を到達範囲として抽出する。また、第2の抽出部132は、他方の位置情報(例えば、第2の位置情報)から、上記第1の位置情報とは異なる方法を用いて、到達する関係グラフ上の範囲を到達範囲として抽出する。
図7を参照して、情報処理装置101における到達範囲抽出部130の動作について、より具体的に説明する。図7は、情報処理装置101における到達範囲抽出部130の動作を説明するための図である。図7に示す図は、関係グラフの一例である。図7に示す関係グラフは、E1〜E11、E13〜23、C1およびC3の頂点識別子で示される要素と要素間を接続する有向の線分(辺)とで構成されている。なお、説明の便宜上、E1〜E11、E13〜E23の頂点識別子で示される要素は円で示され、C1およびC3の頂点識別子で示される要素は、ファイルを示す図形で示される。
1または複数の第1の位置情報のうちの1つがC1であり、1または複数の第2の位置情報のうちの1つがC3であるとする。到達範囲抽出部130の第1の抽出部131は、C1を起点として、C1から到達する関係グラフ上の範囲を走査する。なお、第1の抽出部131が、C1から到達する関係グラフ上の範囲を走査する方法は、例えば、バックトレースであるとするが、本発明はこれに限定されるものではない。そして、第1の抽出部131は、図7の一点鎖線で囲んだ範囲をC1から到達する範囲(第1の到達範囲)であると抽出する。
また、到達範囲抽出部130の第2の抽出部132は、C3を起点として、C3から到達する関係グラフ上の範囲を走査する。このとき、なお、第2の抽出部132が、C3から到達する関係グラフ上の範囲を走査する方法は、例えば、フォワードトレースであるとするが、本発明はこれに限定されるものではない。第2の抽出部132は、第1の抽出部131と異なる方法を用いて、上記範囲を走査するものであればよい。そして、第2の抽出部132は、図7の破線で囲んだ範囲をC3から到達する範囲(第2の到達範囲)であると抽出する。
そして、共通範囲抽出部120は、到達範囲抽出部130が抽出した第1の到達範囲および第2の到達範囲の間で共通する範囲を、共通範囲として抽出する。図7に示す通り、一点鎖線で囲んだ範囲と、破線で囲んだ範囲とで共通する範囲は、斜線で記載された要素(E6〜8、E13、E14、C3、C1)を含む部分である。したがって、共通範囲抽出部120は、上記斜線で記載された共通範囲を異常の影響過程として抽出する。
なお、本実施の形態において、第1の位置情報によって示される、関係グラフ上の位置と、第2の位置情報によって示される、関係グラフ上の位置との間の経路(異常の影響過程)を、フォワードトレースとバックトレースとを用いて抽出したが、本発明はこれに限定されるものではない。上記経路は、例えば、第1の位置情報によって示される、関係グラフ上の位置と、第2の位置情報によって示される、関係グラフ上の位置とを用いた双方向ダイクストラ法によって、抽出されるものであってもよい。上記経路の抽出方法は、特に限定されない。
(効果)
本実施の形態に係る情報処理装置101によれば、複数箇所で異常が発見された場合であっても、より好適に異常の影響過程を抽出することができる。
なぜならば、到達範囲抽出部130が、以下の(1)および(2)の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する要素の集合からなる関係グラフ上の経路を、到達範囲として抽出するからである。
(1)異常の発生が検知されたシステム上の位置を示す情報であって、関係グラフ上の位置を示す1または複数の第1の位置情報で示される位置。
(2)異常の原因の可能性があるとして検知された関係グラフ上の1または複数の位置を示す第2の位置情報で示される位置。
このように、本実施の形態に係る到達範囲抽出部130は、複数箇所で発見された異常の内容が異なる場合であっても、当該異常が検出された、関係グラフ上の夫々の位置を起点に、当該位置から到達する範囲を抽出することができる。
そして、共通範囲抽出部120が、第1および第2の位置情報で示される、関係グラフ上の位置の間の経路を、異常の影響過程として抽出するからである。
これにより、より少ない工数で異常の影響過程を抽出することができる。
<第3の実施の形態>
本発明の第3の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1および第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本実施の形態では、時間情報を含む関係グラフを用いて、異常の影響過程を求める方法について説明する。
ここで、図8を参照して、監視対象システム900の要素間の関係であって、時間軸に対する要素間の関係について説明する。図8は、監視対象システム900に含まれる要素の間の時間軸に対する関係を説明するための図である。
図8において、横軸は時間軸を示している。また、図8において、A〜Eは頂点識別子であり、円は各頂点識別子で表される要素を示している。また、「OP」は、各要素から他の要素に対し、ある処理がオープンしたことを示し、「CL」は、上記ある処理がクローズしたことを示している。つまり、ある要素と他の要素とは、オープンからクローズまでの間で関係を有している。
図8に示す通り、頂点識別子が「C」の要素(以降、要素(C)と呼ぶ)は、要素(D)に対し、「t1」から「t2」まで、および、「t6」から「t15」まで、の間で関係を有している。同様に、要素(D)は、要素(E)に対し、「t3」から「t4」までの間で関係を有している。また、要素(E)は、要素(A)に対し、「t12」から「t14」までの間で関係を有している。また、要素(A)は、要素(B)に対し、「t8」から「t13」までの間で関係を有している。また、要素(B)は、要素(C)に対し、「t5」から「t7」まで、および、「t10」から「t11」まで、の間で関係を有している。
したがって、本実施の形態に係る情報処理装置102で使用する関係グラフは、図9に示す通り、辺の属性として時間情報(第1の時間情報)を有している。各辺の属性として示される時間情報は、ある要素から他の要素に対し、最初の処理がオープンした時間と、最後の処理がクローズした時間とが含まれる。例えば、要素(C)から要素(D)に対する辺には、最初の処理がオープンした時間「t1」と、最後の処理がクローズした時間「t15」が含まれている。なお、図9においては、最初の処理がオープンした時間「t1」と、最後の処理がクローズした時間「t15」とを、(t1,t15)と記載している。このように、ある要素間の最初の処理がオープンした時間をtfirstとも呼び、最後の処理がクローズした時間を、tlastとも呼ぶ。そして、本実施の形態では、各辺の属性情報を(tfirst,tlast)と表す。
このような関係グラフを用いて、異常の影響過程を抽出する情報処理装置102について説明する。図10は、本実施の形態に係る情報処理装置102の機能構成の一例を示す機能ブロック図である。図10に示す通り、本実施の形態に係る情報処理装置102は、到達範囲抽出部140とデータ取得部150と、を備えている。このように、本実施の形態に係る情報処理装置102は、図10に示す通り、第1の実施の形態に係る情報処理装置100における到達範囲抽出部110に代えて、到達範囲抽出部140およびデータ取得部150を備え、共通範囲抽出部120を備えない構成である。
データ取得部150は、監視対象システム900に含まれる複数の要素間の関係を表す関係グラフと、異常が検知された監視対象システム900上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報とを、図示しない外部装置から取得する。なお、データ取得部150は、上記関係グラフと、上記位置情報とを、情報処理装置102内の図示しない他の手段から取得する構成であってもよい。上記関係グラフおよび上記位置情報を取得する方法は、特に限定されない。関係グラフは、上述したとおり、辺の属性として時間情報を有している。また、位置情報には、異常が検知された時間を示す情報(第2の時間情報)が含まれている。
なお、データ取得部150は、上述した到達範囲抽出部110、または、到達範囲抽出部130に含まれる機能である。
データ取得部150は、取得した上記関係グラフと、上記位置情報とを、到達範囲抽出部140に供給する。
到達範囲抽出部140は、データ取得部150から上記関係グラフと、上記位置情報とを受け取る。到達範囲抽出部140は、位置情報に含まれる異常が検知された時間に基づいて、当該時間を示す情報を含む位置情報によって示される関係グラフ上の位置を起点に、当該位置から到達する関係グラフ上の経路(到達範囲)を抽出する。
図8および図9を参照して、情報処理装置102における到達範囲抽出部140の動作について、より具体的に説明する。ここでは、到達範囲抽出部140が、図9に示すような関係グラフと、時間「t9」を含む、要素(E)を示す位置情報とを受け取った場合について説明する。
時間「t9」は、図8に星形七角形(符号9で示す位置)で示す通り、t8より後の時間であり、t10より前の時間である。
まず、到達範囲抽出部140は、位置情報によって示される要素(E)の時間t9の関係グラフ上の位置を起点に、当該位置から後方探索と前方探索とを行う。なお、本実施の形態においては、要素間の辺を、例えば、辺(D,E)のように記載する。ここで、括弧内の最初の要素は、有向矢印の起点の要素の頂点識別子を示し、2つ目の要素は、有向矢印の終点の要素の頂点識別子を示している。
後方探索では、到達範囲抽出部140は、まず、現時点で取得される最も古い時間(時間の最小値と呼ぶ)を求める。現時点で取得される最も古い時間とは、検知された異常に対して、影響を与えることができた最後の時間を示す。以降、現時点の最小値をtminと呼ぶ。初期値は、位置情報で示される時間である。そのため最小値(tmin)の初期値は、t9である。
次に、到達範囲抽出部140は、探索対象の辺の属性情報の1つ目の要素(tfirst)が、位置情報に含まれる時間(つまり、現時点の最小値(=tmin))より前か否かを確認する。以降、不等号を用いて、「tfirst<tmin」を満たすか否かを確認する、と記載する。辺(D,E)の属性情報は、図9に示す通り、(t3,t4)である。したがって、辺(D,E)のtfirstは、t3である。t3<t9を満たすので、到達範囲抽出部140は、要素(D)が、要素(E)と関係を有していると判定し、要素(D)を後方探索の対象とする。
次に、到達範囲抽出部140は、要素(D)が、検知された異常に対して、影響を与えることができた最後の時間を求める。つまり、到達範囲抽出部140は、MIN(tmin,tlast)を用いて新しい最小値(tmin)を求める。ここで、MIN(x,y)は、括弧内の要素のうち、小さい方を返す関数である。MIN(t9,t4)=t4であるため、新しい最小値(tmin)は、tmin=t4となる。
次に、到達範囲抽出部140は、辺(C,D)について、tfirst<tminを満たすか否かを確認する。t1<t4を満たすため、到達範囲抽出部140は、要素(C)が、要素(D)と関係を有していると判定し、要素(C)を後方探索の対象とする。そして、到達範囲抽出部140は、新しい最小値を、MIN(tmin,tlast)を用いて求める。新しい最小値は、MIN(t4,t15)から、tmin=t4となる。
同様に、到達範囲抽出部140は、辺(B,C)について、tfirst<tminを満たすか否かを確認する。t5>t4であり、上記条件を満たさないため、到達範囲抽出部140は、要素(B)を後方探索の対象としない。これにより、到達範囲抽出部140は、後方探索を終了する。
次に、到達範囲抽出部140が行う前方探索について説明する。前方探索では、到達範囲抽出部140は、まず、現時点で取得される最も新しい時間(時間の最大値と呼ぶ)を求める。現時点で取得される最も新しい時間とは、検知された異常に対して、影響を与えることができた最初の時間を示す。以降、現時点の最大値をtmaxと呼ぶ。初期値は、位置情報で示される時間である。そのため最大値(tmax)の初期値は、t9である。
次に、到達範囲抽出部140は、探索対象の辺の属性情報の2つ目の要素(tlast)が、位置情報に含まれる時間(現時点の最大値(=tmax))より後か否かを確認する。以降、不等号を用いて、「tmax<tlast」を満たすか否かを確認する、と記載する。辺(E,A)の属性情報は、図11に示す通り、(t12,t14)である。したがって、辺(E,A)のtlastは、t14である。t9<t14を満たすため、到達範囲抽出部140は、要素(E)が、要素(A)と関係を有していると判定し、要素(A)を前方探索の対象とする。
次に、到達範囲抽出部140は、要素(A)が、検知された異常に対して、影響を与えることができた最初の時間を求める。つまり、到達範囲抽出部140は、MAX(tmax,tfirst)を用いて新しい最大値(tmax)を求める。ここで、MAX(x,y)は、括弧内の要素のうち、大きい方を返す関数である。MAX(t9,t12)=t12であるため、新しい最大値(tmax)は、tmax=t12となる。
次に、到達範囲抽出部140は、辺(A,B)について、tmax<tlastを満たすか否かを確認する。t12<t13を満たすため、到達範囲抽出部140は、要素(A)が、要素(B)と関係を有していると判定し、要素(B)を前方探索の対象とする。そして、新しい最大値を、MAX(tmax,tfirst)を用いて求める。新しい最大値は、MAX(t12,t8)から、tmax=t12となる。
同様に、到達範囲抽出部140は、辺(B,C)について、tmax<tlastを満たすか否かを確認する。t12>t11であり、上記条件を満たさないため、到達範囲抽出部140は、要素(C)を前方探索の対象としない。これにより、到達範囲抽出部140は、前方探索を終了する。
到達範囲抽出部140は、位置情報で示される関係グラフ上の位置ごとに、以上のように前方探索および後方探索して抽出した関係グラフ上の経路を、異常の影響過程として抽出する。
なお、本実施の形態では、到達範囲抽出部140が後方探索を行った後に前方探索を行うことについて説明を行ったが、本発明はこれに限定されるものではない。到達範囲抽出部140は、後方探索と前方探索とを同時に行ってもよいし、前方探索の後に後方探索を行ってもよい。
(効果)
本実施の形態に係る情報処理装置102によれば、より好適に異常の影響過程を抽出することができる。また、時間情報を用いて異常の影響過程の抽出を行うことにより、情報処理装置102は、異常の影響過程の探索時間を削減することができる。
したがって、より少ない工数で異常の影響過程を抽出することができる。
また、本発明の第2の目的として、特許文献1または2に記載の技術では、特定される異常の範囲が不十分、または、広すぎる可能性があるという、更なる課題がある。なぜならば、特許文献1または2に記載の技術では、異常が検知された時点におけるその異常が検知されたサービスや機器に対する依存関係について考慮されていないからである。つまり、特許文献1および2の技術では、システム全体では依存関係を有していても、異常が検知された時点において異常が検知されたサービスや機器に対する依存関係を有していないサービスや機器等も異常の影響過程として抽出される可能性がある。したがって、より好適に異常の影響過程を特定することが求められる。
本実施の形態に係る情報処理装置102によれば、上記課題も解決することができる。
(変形例1)
本実施の形態に係る変形例1について、図11を参照して説明を行う。図11は、本変形例に係る情報処理装置102で使用する関係グラフの一例を示す図である。なお、本変形例に係る情報処理装置102は、図10に示す情報処理装置102と同様の機能構成を有するため、その説明を省略する。
上述した第3の実施の形態に係る情報処理装置102で用いる関係グラフには、時間情報が辺の属性として含まれる構成について説明を行ったが、本発明はこれに限定されるものではない。時間情報は、要素の属性として含まれる構成であってもよい。
図11に示す関係グラフは、図8を用いて説明した情報を含むものである。まず、図11においては、時間t0(初期状態)で複数の頂点(A,B,C,D,E)が生成されていることを示す。そして、各頂点は、他の要素から、ある処理がオープンした際に生成されたものである。言い換えると、ある要素Mが別の要素Nに、新たに影響を与えることができる状態になるたびに、Mのある時点の状態を表す頂点M、Nのある時点の状態を表す頂点Nからの有向辺をもつ、要素Nの新たな状態を表す頂点Nj+1を生成している。なお、iおよびjは、自然数である。例えば、図8において、要素(C)から要素(D)に対する処理が、時間「t1」でオープンしている。そのため、図11に示す通り、関係グラフには、時間「t1」の位置に頂点Dが含まれる。更に、関係グラフには、各頂点間の関係を示す辺(CからDに対する辺と、DからDに対する辺)が含まれる。
また、時間「t10」では、頂点(C)と、頂点(D)を新たに生成している。図8に示す通り、時間「t10」において、要素(B)から要素(C)に対し、処理が新たにオープンしている。そのため、図11に示す関係グラフには、時間「t10」の情報を有した頂点(C)が含まれる。ここで、要素(C)から要素(D)に対する処理は、時間「t10」の時点では、継続して行われている。したがって、要素(C)から要素(D)に対する処理は、要素(B)による要素(C)に対する処理の影響を受ける可能性がある。したがって、図11に示す関係グラフには、頂点(C)が含まれる時間と同じ時間「t10」に、頂点(D)が含まれる。
到達範囲抽出部140は、このような情報を含んだ関係グラフを用いて、位置情報および時間によって示される関係グラフ上の位置を起点に、当該位置から到達する関係グラフ上の経路を、異常の影響過程として抽出する。
図11を参照して、情報処理装置102における到達範囲抽出部140の動作について、より具体的に説明する。ここでは、到達範囲抽出部140が、図11に示すような関係グラフと、時間「t9」を含む、頂点(E)を示す位置情報とを受け取った場合について説明する。
まず、到達範囲抽出部140は、頂点(E)を起点に、当該頂点の位置から後方探索を行う。頂点(E)に関連付けられた経路は、図11の破線の太い矢印で表される経路(CからD、DからD、DからE、EからEの経路)である。したがって、到達範囲抽出部140は、後方探索の結果として、当該経路を抽出する。
次に、到達範囲抽出部140は、頂点(E)を起点に、当該頂点の位置から前方探索を行う。頂点(E)に関連付けられた経路は、図11の破線の太い矢印で表される経路(EからA、AからBの経路)である。したがって、到達範囲抽出部140は、前方探索の結果として、当該経路を抽出する。
到達範囲抽出部140は、位置情報で示される関係グラフ上の位置ごとに、以上のように前方探索および後方探索して抽出した関係グラフ上の経路を、異常の影響過程として抽出する。
なお、本変形例では、到達範囲抽出部140が後方探索を行った後に前方探索を行うことについて説明を行ったが、本発明はこれに限定されるものではない。到達範囲抽出部140は、後方探索と前方探索とを同時に行ってもよいし、前方探索の後に後方探索を行ってもよい。
このように、図11に示すような関係グラフであっても、本変形例1における情報処理装置102によれば、上述した第3の実施の形態と同様に、より好適に異常の影響過程を抽出することができる。したがって、上述した第2の実施の形態と同様に、より少ない工数で異常の影響過程を抽出することができる。
なお、上述した関係グラフの時間情報の持ち方、および、それを利用した探索方法は、一例であり、本発明はこれに限定されるものではない。
(変形例2)
本実施の形態に係る変形例2について、図12を参照して説明を行う。図12は、本変形例に係る情報処理装置103の機能構成を示す機能ブロック図である。なお、上述した第1から第3の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本変形例に係る情報処理装置103は、図12に示す通り、共通範囲抽出部120、到達範囲抽出部140、および、データ取得部150を備えている。図12に示す通り、本変形例に係る情報処理装置103は、第3の実施の形態において説明した情報処理装置102に、共通範囲抽出部120を更に備える構成である。
情報処理装置103における到達範囲抽出部140は、位置情報で示される関係グラフ上の位置ごとに、第3の実施の形態で説明した前方探索および後方探索して抽出した関係グラフ上の経路を、到達範囲として抽出する。そして、異常が検出された、関係グラフ上の複数の位置の夫々に対し、抽出した到達範囲を、共通範囲抽出部120に供給する。
共通範囲抽出部120は、上述した第1および第2の実施の形態と同様に、到達範囲抽出部140が、関係グラフ上の複数の位置の夫々に対して抽出した上記到達範囲を用いて、所定数以上の到達範囲で共通する範囲を抽出する。共通範囲抽出部120は、この抽出した範囲を異常の影響過程として抽出することができる。
このように、本変形例に係る情報処理装置103の構成であっても、上述した第1から第3の実施の形態と同様の効果を得ることができる。
<第4の実施の形態>
本発明の第4の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1から第3の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
図13は、本実施の形態に係る情報処理装置104の機能構成の一例を示す機能ブロック図である。図13に示す通り、情報処理装置104は、到達範囲抽出部110と、共通範囲抽出部120と、経路異常度評価部160とを備えている。なお、図13に示す情報処理装置104は、第1の実施の形態の情報処理装置100に、更に経路異常度評価部160を備える構成であるが、その他の実施の形態の情報処理装置に経路異常度評価部160を備える構成であってもよい。
(経路異常度評価部160)
経路異常度評価部160は、監視対象システム900に含まれる複数の要素間の関係を表す関係グラフを、図示しない外部装置から受信する。なお、経路異常度評価部160は、上記関係グラフを、情報処理装置104内の図示しない他の手段から取得する構成であってもよい。上記関係グラフを取得する方法は、特に限定されない。
経路異常度評価部160が取得する関係グラフには、辺の属性として、辺の異常度(例えば、重み)が含まれる。例えば、通常の動作では関係を有しない要素同士が、取得した関係グラフ上では辺で接続されている場合、当該辺には、当該辺の属性として高い異常度が含まれる。また、通常の動作で関係を有する要素同士を接続する辺には、当該辺の属性として低い異常度が含まれる。経路異常度評価部160は、このような辺の属性を含む関係グラフを取得する。また、異常度は、辺に限定されず、ノードに対して付されたものであってもよい。
また、経路異常度評価部160には、異常が検出された監視対象システム900上の位置を示す情報であって、関係グラフ上の位置を示す位置情報を取得する。
経路異常度評価部160は、取得した関係グラフと、位置情報とから、当該位置情報によって示される関係グラフ上の位置を起点にした経路に対し、当該経路の異常度を評価する。経路異常度評価部160は、評価した結果(評価結果)である、経路の異常度を示す情報を生成し、当該情報を到達範囲抽出部110に供給する。
なお、辺の異常度は、辺の属性として、関係グラフに含まれることを例に説明を行ったが、本発明はこれに限定されるものではない。経路異常度評価部160は、辺の異常度を、関係グラフとは別に取得する構成であってもよい。
また、経路異常度評価部160は、各辺に対し、当該辺の異常度を算出する構成であってもよい。経路異常度評価部160は、例えば、各辺の距離の合計を求め、当該各辺の距離の合計を辺の総数で割った数を閾値とし、当該閾値より距離が長い辺を異常度が高いと評価し、距離が短い辺を異常度が低いと評価する。なお、上記閾値は予め定められた値であってもよい。
なお、経路異常度評価部160が経路の異常度を評価する方法はこれに限定されるものではない。経路異常度評価部160は、例えば、各辺で表される要素間の関係の発生回数が所定の閾値より小さいか否かを判定することにより、各辺の異常度を評価してもよい。また、上記閾値は、上記回数の合計を辺の総数で割った数としてもよい。
このように、経路異常度評価部160は、到達範囲抽出部110による探索をより効率化するための情報(評価結果)を到達範囲抽出部110に供給する。
到達範囲抽出部110は、経路異常度評価部160から供給された評価結果と、取得した関係グラフと、取得した位置情報とを用いて、到達経路を抽出する。このとき、到達範囲抽出部110は、評価結果に基づいて、異常度が高い経路を到達範囲として抽出する。到達範囲抽出部110の到達範囲の抽出方法は、例えば、位置情報によって示される関係グラフ上の位置から、上記関係グラフ上の経路中の各辺の異常度を累積し、累積値が所定の値より高い経路を抽出する方法であってもよいし、そのほかの方法であってもよい。例えば、到達範囲抽出部110は、異常度の平均値を求め、当該平均値より異常度が高い辺を有する経路を抽出してもよい。
そして、到達範囲抽出部110は、抽出した到達範囲を、共通範囲抽出部120に供給する。なお、このとき、到達範囲抽出部110は、経路異常度評価部160から取得した評価結果を共通範囲抽出部120に供給してもよい。
また、共通範囲抽出部120は、到達範囲抽出部110から供給された評価結果と、到達範囲とを用いて共通範囲を抽出してもよい。これにより、共通範囲抽出部120は、異常度を反映した影響過程を抽出することができる。また、共通範囲抽出部120は、供給された評価結果を抽出した影響過程と共に出力してもよい。
(効果)
本実施の形態に係る情報処理装置104によれば、より好適に異常の影響過程を抽出することができる。なぜならば、経路異常度評価部160が、関係グラフの経路の異常度を評価し、評価結果を生成するからである。
これにより、到達範囲抽出部110は、上記評価結果を用いて到達範囲を抽出するため、より好適な範囲の到達範囲を抽出することができる。
また、共通範囲抽出部120は、上記評価結果を用いて、異常の影響過程を抽出するため、より、異常の度合いを反映させた影響過程を抽出することができる。
(ハードウェア構成について)
なお、図1、6、10、12および13に示した情報処理装置の各部は、図14に例示するハードウェア資源で実現してもよい。即ち、図14に示す構成は、RAM(Random Access Memory)111、ROM(Read Only Memory)112、通信インタフェース113、記憶媒体114およびCPU(Central Processing Unit)115を備える。CPU115は、ROM112または記憶媒体114に記憶された各種ソフトウェアプログラム(コンピュータプログラム)を、RAM111に読み出して実行することにより、情報処理装置の全体的な動作を司る。すなわち、上記各実施形態において、CPU115は、ROM112または記憶媒体114を適宜参照しながら、情報処理装置が備える各機能(各部)を実行するソフトウェアプログラムを実行する。
また、各実施形態を例に説明した本発明は、情報処理装置に対して、上記説明した機能を実現可能なコンピュータプログラムを供給した後、そのコンピュータプログラムを、CPU115がRAM111に読み出して実行することによって達成される。
また、係る供給されたコンピュータプログラムは、読み書き可能なメモリ(一時記憶媒体)またはハードディスク装置等のコンピュータ読み取り可能な記憶デバイスに格納すればよい。そして、このような場合において、本発明は、係るコンピュータプログラムを表すコード或いは係るコンピュータプログラムを格納した記憶媒体によって構成されると捉えることができる。
上述した各実施形態では、図1、6、10、12および13に示した情報処理装置における各ブロックに示す機能を、図14に示すCPU115が実行する一例として、ソフトウェアプログラムによって実現する場合について説明した。しかしながら、図1、6、10、12および13に示した各ブロックに示す機能は、一部または全部を、ハードウェアの回路として実現してもよい。
なお、上述した各実施の形態は、本発明の好適な実施の形態であり、上記各実施の形態にのみ本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において当業者が上記各実施の形態の修正や代用を行い、種々の変更を施した形態を構築することが可能である。
この出願は、2014年3月20日に出願された日本出願特願2014−058558を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1 情報処理システム
100 情報処理装置
101 情報処理装置
102 情報処理装置
103 情報処理装置
104 情報処理装置
110 到達範囲抽出部
120 共通範囲抽出部
130 到達範囲抽出部
131 第1の抽出部
132 第2の抽出部
140 到達範囲抽出部
150 データ取得部
160 経路異常度評価部
900 監視対象システム
920 要素

Claims (19)

  1. システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検知された前記システム上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報を用いて、前記複数の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、到達範囲として抽出する到達範囲抽出手段と、
    前記到達範囲として抽出された前記関係グラフ上の複数の経路のうち、所定数以上の経路で共通する範囲を抽出することにより、異常の影響過程を抽出する共通範囲抽出手段と、を備え
    前記関係グラフには、前記要素および辺の少なくとも一方の属性として、第1の時間情報が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記到達範囲抽出手段は、前記第2の時間情報によって示される、前記異常が検知された時間に基づいて、当該第2の時間情報を含む前記位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記到達範囲として抽出する、ことを特徴とする情報処理装置。
  2. 前記位置情報には、異常の発生が検知された前記システム上の位置を示す情報であって、前記関係グラフ上の位置を示す複数の第1の位置情報が含まれ、
    前記到達範囲抽出手段は、前記複数の第1の位置情報の夫々で示される関係グラフ上の位置から、到達範囲を抽出する、ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記位置情報には、異常の発生が検知された前記システム上の位置を示す情報であって、前記関係グラフ上の位置を示す1または複数の第1の位置情報と、異常の原因の可能性があるとして検知された関係グラフ上の1または複数の位置を示す第2の位置情報とが含まれ、
    前記到達範囲抽出手段は、前記第1の位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、第1の到達範囲として抽出する第1の抽出手段と、前記第2の位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、第2の到達範囲として抽出する第2の抽出手段とを含み、
    前記共通範囲抽出手段は、前記第1の位置情報によって示される、前記関係グラフ上の位置と、前記第2の位置情報によって示される、前記関係グラフ上の位置との間の経路を、前記異常の影響過程として抽出することを特徴とする請求項1に記載の情報処理装置。
  4. 前記第1の時間情報が前記要素の属性であるとき、前記到達範囲抽出手段は、前記異常が検知された時間より前の時間を検索する第1の検索、および、前記異常が検知された時間より後の時間を検索する第2の検索の少なくとも一方を行うことにより、前記位置情報によって示される前記関係グラフ上の位置から到達する前記関係グラフ上の経路を抽出する、ことを特徴とする請求項1から3の何れか1項に記載の情報処理装置。
  5. 前記第1の時間情報には、各辺に対し、前記辺の一方の端部に接続された要素から他方の端部に接続された要素に対し、最初に影響を及ぼした開始時間と、最後に影響を及ぼした終了時間とが含まれ、
    前記第1の検索は、現時点で取得可能な最も古い時間と前記終了時間とを比較し、古い方の時間を前記最も古い時間とし、前記開始時間が当該最も古い時間より前の時間の場合、当該開始時間を含む辺の前記一方の端部に接続された前記要素を前記到達範囲に含ませ、前記開始時間が前記最も古い時間より後の時間の場合、前記開始時間を含む辺の前記一方の端部に接続された前記要素を前記到達範囲に含ませない、ことを特徴とする請求項に記載の情報処理装置。
  6. 前記第1の時間情報には、各辺に対し、前記辺の一方の端部に接続された要素から他方の端部に接続された要素に対し、最初に影響を及ぼした開始時間と、最後に影響を及ぼした終了時間とが含まれ、
    前記第2の検索は、現時点で取得可能な最も新しい時間と前記開始時間とを比較し、新しい方の時間を前記最も新しい時間とし、前記終了時間が当該最も新しい時間より後の時間の場合、当該終了時間を含む辺の前記他方の端部に接続された前記要素を前記到達範囲に含ませ、前記終了時間が当該最も新しい時間より前の時間の場合、前記終了時間を含む辺の前記他方の端部に接続された前記要素を前記到達範囲に含ませない、ことを特徴とする請求項またはに記載の情報処理装置。
  7. 前記関係グラフには、ある要素が他の要素に影響を与えることができる状態になるたびに生成される、第1の時間情報を含む頂点が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記到達範囲抽出手段は、前記第2の時間情報によって示される、前記異常が検知された時間に基づいて、前記第2の時間情報を含む前記位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記到達範囲として抽出する、ことを特徴とする請求項1から3の何れか1項に記載の情報処理装置。
  8. 前記関係グラフの経路の異常度を評価し、評価結果を生成する、経路異常度評価手段を更に備え、
    前記到達範囲抽出手段は、前記評価結果を用いて、前記到達範囲を抽出する、ことを特徴とする請求項1からの何れか1項に記載の情報処理装置。
  9. 前記共通範囲抽出手段は、前記評価結果を用いて、前記異常の影響過程を抽出する、ことを特徴とする請求項8に記載の情報処理装置。
  10. システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検出された前記システム上の位置を示す情報であって、当該関係グラフ上の位置を示す位置情報を取得する取得手段と、
    当該取得手段が取得した前記関係グラフおよび前記位置情報を用いて、前記位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、異常の影響過程として抽出する到達範囲抽出手段と、を備え
    前記関係グラフには、前記要素および辺の少なくとも一方の属性として、第1の時間情報が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記到達範囲抽出手段は、前記第2の時間情報によって示される、異常が検知された時間に基づいて、当該第2の時間情報を含む前記位置情報によって示される前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記異常の影響過程として特定する、ことを特徴とする情報処理装置。
  11. 前記第1の時間情報が前記要素の属性であるとき、前記到達範囲抽出手段は、前記異常が検知された時間より前の時間を検索する第1の検索、および、前記異常が検知された時間より後の時間を検索する第2の検索の少なくとも一方を行うことにより、前記位置情報によって示される前記関係グラフ上の位置から到達する前記関係グラフ上の経路を抽出する、ことを特徴とする請求項10に記載の情報処理装置。
  12. 前記第1の時間情報には、各辺に対し、前記辺の一方の端部に接続された要素から他方の端部に接続された要素に対し、最初に影響を及ぼした開始時間と、最後に影響を及ぼした終了時間とが含まれ、
    前記第1の検索は、現時点で取得可能な最も古い時間と前記終了時間とを比較し、古い方の時間を前記最も古い時間とし、前記開始時間が当該最も古い時間より前の時間の場合、当該開始時間を含む辺の前記一方の端部に接続された前記要素を前記異常の影響過程に含ませ、前記開始時間が前記最も古い時間より後の時間の場合、前記開始時間を含む辺の前記一方の端部に接続された前記要素を前記異常の影響過程に含ませない、ことを特徴とする請求項11に記載の情報処理装置。
  13. 前記第1の時間情報には、各辺に対し、前記辺の一方の端部に接続された要素から他方の端部に接続された要素に対し、最初に影響を及ぼした開始時間と、最後に影響を及ぼした終了時間とが含まれ、
    前記第2の検索は、現時点で取得可能な最も新しい時間と前記開始時間とを比較し、新しい方の時間を前記最も新しい時間とし、前記終了時間が当該最も新しい時間より後の時間の場合、当該終了時間を含む辺の前記他方の端部に接続された前記要素を前記異常の影響過程に含ませ、前記終了時間が当該最も新しい時間より前の時間の場合、前記終了時間を含む辺の前記他方の端部に接続された前記要素を前記異常の影響過程に含ませない、ことを特徴とする請求項11または12に記載の情報処理装置。
  14. 前記関係グラフには、ある要素が他の要素に影響を与えることができる状態になるたびに生成される、第1の時間情報を含む頂点が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記到達範囲抽出手段は、前記第2の時間情報によって示される、前記異常が検知された時間に基づいて、前記第2の時間情報を含む前記位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記異常の影響過程として抽出する、ことを特徴とする請求項10に記載の情報処理装置。
  15. 前記関係グラフの経路の異常度を評価し、評価結果を生成する、経路異常度評価手段を更に備え、
    前記到達範囲抽出手段は、前記評価結果を用いて、前記異常の影響過程を抽出する、ことを特徴とする請求項10から14の何れか1項に記載の情報処理装置。
  16. 情報処理装置の影響過程抽出方法であって、
    システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検知された前記システム上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報を用いて、前記複数の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、到達範囲として抽出し、
    前記到達範囲として抽出された前記関係グラフ上の複数の経路のうち、所定数以上の経路で共通する範囲を抽出することにより、異常の影響過程を抽出し、
    前記関係グラフには、前記要素および辺の少なくとも一方の属性として、第1の時間情報が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記到達範囲の抽出に際して、前記第2の時間情報によって示される、前記異常が検知された時間に基づいて、当該第2の時間情報を含む前記位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記到達範囲として抽出する、ことを特徴とする影響過程抽出方法。
  17. 情報処理装置の影響過程抽出方法であって、
    システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検出された前記システム上の位置を示す情報であって、当該関係グラフ上の位置を示す位置情報を取得し、
    前記取得した前記関係グラフおよび前記位置情報を用いて、前記位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、異常の影響過程として抽出し、
    前記関係グラフには、前記要素および辺の少なくとも一方の属性として、第1の時間情報が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記異常の影響過程の抽出に際して、前記第2の時間情報によって示される、異常が検知された時間に基づいて、当該第2の時間情報を含む前記位置情報によって示される前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記異常の影響過程として特定する、ことを特徴とする影響過程抽出方法。
  18. 情報処理装置を含むコンピュータに、
    システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検知された前記システム上の位置を示す情報であって、当該関係グラフ上の複数の位置を示す位置情報を用いて、前記複数の位置の夫々を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、到達範囲として抽出する処理と、
    前記到達範囲として抽出された前記関係グラフ上の複数の経路のうち、所定数以上の経路で共通する範囲を抽出することにより、異常の影響過程を抽出する処理と、を実行させ
    前記関係グラフには、前記要素および辺の少なくとも一方の属性として、第1の時間情報が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記到達範囲を抽出する処理において、前記第2の時間情報によって示される、前記異常が検知された時間に基づいて、当該第2の時間情報を含む前記位置情報によって示される、前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記到達範囲として抽出する、プログラム。
  19. 情報処理装置を含むコンピュータに、
    システムに含まれる複数の要素間の関係を表す関係グラフ、および、異常が検出された前記システム上の位置を示す情報であって、当該関係グラフ上の位置を示す位置情報を取得する処理と、
    前記取得した前記関係グラフおよび前記位置情報を用いて、前記位置を起点に、当該位置から直接的または間接的に関係を有する前記要素の集合からなる前記関係グラフ上の経路を、異常の影響過程として抽出する処理と、を実行させ
    前記関係グラフには、前記要素および辺の少なくとも一方の属性として、第1の時間情報が含まれ、
    前記位置情報には、前記異常が検知された時間を示す第2の時間情報が含まれ、
    前記異常の影響過程の抽出の処理において、前記第2の時間情報によって示される、異常が検知された時間に基づいて、当該第2の時間情報を含む前記位置情報によって示される前記関係グラフ上の位置を起点に、当該位置から到達する前記関係グラフ上の経路を、前記異常の影響過程として特定する、プログラム。
JP2016508307A 2014-03-20 2014-06-17 情報処理装置、影響過程抽出方法およびプログラム Active JP6288244B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014058558 2014-03-20
JP2014058558 2014-03-20
PCT/JP2014/003227 WO2015140843A1 (ja) 2014-03-20 2014-06-17 情報処理装置、影響過程抽出方法および記録媒体

Publications (2)

Publication Number Publication Date
JPWO2015140843A1 JPWO2015140843A1 (ja) 2017-04-06
JP6288244B2 true JP6288244B2 (ja) 2018-03-07

Family

ID=54143869

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016508307A Active JP6288244B2 (ja) 2014-03-20 2014-06-17 情報処理装置、影響過程抽出方法およびプログラム

Country Status (4)

Country Link
US (1) US10887331B2 (ja)
EP (1) EP3121723A4 (ja)
JP (1) JP6288244B2 (ja)
WO (1) WO2015140843A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10397261B2 (en) * 2014-10-14 2019-08-27 Nippon Telegraph And Telephone Corporation Identifying device, identifying method and identifying program
JP6828692B2 (ja) * 2015-12-02 2021-02-10 日本電気株式会社 支援装置、支援方法およびプログラム
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
US12093383B2 (en) 2016-04-15 2024-09-17 Sophos Limited Tracking malware root causes with an event graph
US10129274B2 (en) * 2016-09-22 2018-11-13 Adobe Systems Incorporated Identifying significant anomalous segments of a metrics dataset
JP7036106B2 (ja) 2017-02-22 2022-03-15 日本電気株式会社 情報処理装置、情報処理システム、監視方法、及び、プログラム
JP6867589B2 (ja) * 2017-05-30 2021-04-28 富士通株式会社 影響範囲特定プログラム、影響範囲特定方法、および影響範囲特定装置
JP6904420B2 (ja) * 2017-08-09 2021-07-14 日本電気株式会社 情報選択装置、情報選択方法、及び、情報選択プログラム
US10938838B2 (en) 2018-08-31 2021-03-02 Sophos Limited Computer augmented threat evaluation
US11792210B2 (en) 2019-08-02 2023-10-17 Crowdstrike, Inc. Mapping unbounded incident scores to a fixed range
US11588832B2 (en) 2019-08-02 2023-02-21 Crowdstrike, Inc. Malicious incident visualization
US11516237B2 (en) * 2019-08-02 2022-11-29 Crowdstrike, Inc. Visualization and control of remotely monitored hosts
US11582246B2 (en) 2019-08-02 2023-02-14 Crowd Strike, Inc. Advanced incident scoring
WO2021186683A1 (ja) * 2020-03-19 2021-09-23 三菱電機株式会社 汚染範囲特定装置および汚染範囲特定プログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06175884A (ja) 1992-12-04 1994-06-24 Nippon Telegr & Teleph Corp <Ntt> プログラムエラー原因究明装置
JPH11259331A (ja) * 1998-03-13 1999-09-24 Nippon Telegr & Teleph Corp <Ntt> ネットワークにおける障害箇所検出方法及び装置及びネットワークにおける障害箇所検出プログラムを格納した記憶媒体
US20020061001A1 (en) * 2000-08-25 2002-05-23 The Regents Of The University Of California Dynamic source tracing (DST) routing protocol for wireless networks
WO2004112327A1 (ja) * 2003-06-11 2004-12-23 Nec Corporation ルータ装置およびネットワーク接続方式
EP1566756A1 (en) * 2004-02-20 2005-08-24 Hitachi, Ltd. Traceability system
US10097612B2 (en) * 2006-05-26 2018-10-09 Fuze, Inc. Selecting routes through a network
JP5264470B2 (ja) 2008-12-26 2013-08-14 三菱電機株式会社 攻撃判定装置及びプログラム
US8392760B2 (en) * 2009-10-14 2013-03-05 Microsoft Corporation Diagnosing abnormalities without application-specific knowledge
JP2011113122A (ja) 2009-11-24 2011-06-09 Mitsubishi Electric Corp 障害影響分析装置及び業務システム及び障害影響分析方法
KR101277274B1 (ko) 2009-11-27 2013-06-20 한국전자통신연구원 자원 간의 물리적/논리적 관계를 맵핑하는 방법 및 장치
JP5534481B2 (ja) 2010-08-30 2014-07-02 日本電気株式会社 通信品質監視システム、通信品質監視方法、及び記憶媒体
EP2648104B1 (en) 2010-11-30 2016-04-27 Japan Science and Technology Agency Dependability maintenance system for maintaining dependability of a target system in an open environment, corresponding method, computer control program achieving the same and computer readable recording medium recording the same
US8914499B2 (en) * 2011-02-17 2014-12-16 Zenoss, Inc. Method and apparatus for event correlation related to service impact analysis in a virtualized environment
US8751867B2 (en) * 2011-10-12 2014-06-10 Vmware, Inc. Method and apparatus for root cause and critical pattern prediction using virtual directed graphs
US20130103739A1 (en) * 2011-10-21 2013-04-25 Cisco Technology, Inc. Obtaining Dynamic Connected-Network Topology Via any Node in Network

Also Published As

Publication number Publication date
EP3121723A1 (en) 2017-01-25
US20170093900A1 (en) 2017-03-30
US10887331B2 (en) 2021-01-05
EP3121723A4 (en) 2017-11-22
JPWO2015140843A1 (ja) 2017-04-06
WO2015140843A1 (ja) 2015-09-24

Similar Documents

Publication Publication Date Title
JP6288244B2 (ja) 情報処理装置、影響過程抽出方法およびプログラム
US10789118B2 (en) Information processing device and error detection method
US9355005B2 (en) Detection apparatus and detection method
CN108694320B (zh) 一种多安全环境下敏感应用动态度量的方法及系统
JP6711000B2 (ja) 情報処理装置、ウィルス検出方法及びプログラム
US9658908B2 (en) Failure symptom report device and method for detecting failure symptom
JP6259522B2 (ja) ソフトウェア障害の位置標定方法、装置及び設備
JP6245006B2 (ja) テストケース生成装置、方法、及びプログラム
JP2019057139A (ja) 運用管理システム、監視サーバ、方法およびプログラム
CN115982053A (zh) 一种检测软件源代码缺陷的方法、装置及应用
WO2015087509A1 (ja) 状態保存復元装置、状態保存復元方法、および、記憶媒体
US9686310B2 (en) Method and apparatus for repairing a file
CN116629330B (zh) 一种算子检测方法、装置以及计算机设备
US9465687B2 (en) Information processing apparatus and information processing method
US20150149829A1 (en) Failure detecting apparatus and failure detecting method
JP5836316B2 (ja) 障害監視システム、障害監視方法、及び障害監視プログラム
US11657160B2 (en) Vulnerability analyzer
US20190050568A1 (en) Process search apparatus and computer-readable recording medium
JP5516192B2 (ja) モデル作成装置、モデル作成プログラムおよびモデル作成方法
US11513884B2 (en) Information processing apparatus, control method, and program for flexibly managing event history
US11797707B2 (en) Non-transitory computer-readable recording medium having stored therein information processing program, information processing method, and information processing apparatus
JP6257236B2 (ja) データ処理装置及びデータ処理方法及びプログラム
JP7231029B2 (ja) 矛盾検知装置、矛盾検知方法およびプログラム
CN106874182B (zh) 代码异常处理、代码执行方法及装置
JP2010252154A (ja) 劣化箇所推定装置及び劣化箇所推定方法並びにそのプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170926

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180122

R150 Certificate of patent or registration of utility model

Ref document number: 6288244

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150