JP6517468B2 - 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム - Google Patents

情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム Download PDF

Info

Publication number
JP6517468B2
JP6517468B2 JP2014003226A JP2014003226A JP6517468B2 JP 6517468 B2 JP6517468 B2 JP 6517468B2 JP 2014003226 A JP2014003226 A JP 2014003226A JP 2014003226 A JP2014003226 A JP 2014003226A JP 6517468 B2 JP6517468 B2 JP 6517468B2
Authority
JP
Japan
Prior art keywords
operation data
data
pattern
operations
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014003226A
Other languages
English (en)
Other versions
JP2015132927A (ja
Inventor
啓介 松原
啓介 松原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2014003226A priority Critical patent/JP6517468B2/ja
Priority to US14/593,194 priority patent/US9471779B2/en
Publication of JP2015132927A publication Critical patent/JP2015132927A/ja
Priority to US15/267,716 priority patent/US10282239B2/en
Application granted granted Critical
Publication of JP6517468B2 publication Critical patent/JP6517468B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、対象装置の監視を行う情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラムに関する。
情報システムは、社会インフラや企業活動を支える重要なインフラとなっており、そのリスク管理の重要度が高まっている。このような背景のもと、情報システムに対するシステム監査の重要性が高まっている。システム監査では、情報システムにおけるデータ管理が適切に行われていることの確証として、例えば、情報システムにおける操作情報等の採取、解析が求められることがある。
このような操作情報の採取や解析に係る技術が、例えば、特許文献1や非特許文献1に記載されている。
特許文献1に記載の技術では、監視システムが、複数の監視対象のコンピュータの操作ログをコンピュータ単位に収集し、操作情報の内容をコンピュータ間で比較することによって、他と異なる操作情報を特異な操作情報と判定する。
非特許文献1に記載の技術では、監視対象のサーバ上のカーネルレベルで動作するエージェントが、サーバ上で発生する全ての通信パケットをキャプチャし、スニファに送信する。スニファは、受信したパケットを解析し、情報の解析や集積、アクションを行う。
特開2010−108469号公報
"IBM InfoSphere Guardium Data Security"、International Business Machines Corporation、[online]、[平成25年11月8日検索]、インターネット〈URL:http://www-01.ibm.com/software/data/guardium/〉
上述の特許文献1や非特許文献1に記載された技術では、監視装置が、監視対象のシステムから収集した情報をもとに操作内容を解析し、不正な操作や異常な操作を検出する。この場合、監視装置は、操作内容を解析するために、例えば、監視対象のシステムで動作するアプリケーションの構造やロジック、アプリケーションが処理するデータの種類や構造等、監視対象のシステムに係る詳細情報を知る必要がある。
ところで、監視対象のシステムで動作するアプリケーションと、当該システムの監視サービスとは、異なる組織により提供される可能性がある。例えば、監視対象のシステムがPaaS(Platform as a Service)型のクラウドサービス上で構築される場合、システムで動作するアプリケーションはクラウドサービスの利用者により提供され、当該システムの監視サービスはクラウドサービスの提供者により提供される。
ここで、上述の特許文献1や非特許文献1に記載された技術を用いた場合、クラウドサービスの利用者は、秘密情報を含んだ上述のシステムに係る詳細情報を、クラウドサービス提供者に提示する必要がある。さらに、クラウドサービスの提供者は、クラウドサービスの利用者の秘密情報が第三者に漏洩するリスクを抱える。
本発明の目的は、上述の課題を解決し、監視装置が監視対象のシステムに係る詳細情報を用いることなく、システムにおける不正な操作や異常な操作を検出可能な情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラムを提供することである。
本発明の情報処理システムは、実行手段で実行された所定のプログラムに係る操作の集合を符号化したデータである操作データを生成し、第2の装置に送信する、操作データ生成手段を含む第1の装置と、検出対象の操作の集合に係る操作データである操作パターンを記憶する操作パターン記憶手段と、前記第1の装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、操作データ判定手段と、を含む第2の装置と、を備える。
本発明の情報処理装置は、実行手段で実行された前記所定のプログラムに係る操作の集合を符号化したデータである操作データを生成し、前記操作データが検出対象の操作の集合に係る操作データである操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定して当該検出対象の操作の実行を通知する監視装置に送信する、操作データ生成手段を含む。
本発明の監視装置は、実行手段で実行された所定のプログラムに係る操作の集合を符号化したデータである操作データであって、検出対象の操作の集合に係る操作データである操作パターンを記憶する、操作パターン記憶手段と、前記操作データを生成する情報処理装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、操作データ判定手段と、を含む。
本発明の監視方法は、第1の装置において、実行手段で実行された所定のプログラムに係る操作の集合を符号化したデータである操作データを生成し、第2の装置に送信し、前記第2の装置において、検出対象の操作の集合に係る操作データである操作パターンを記憶し、前記第2の装置において、前記第1の装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する。
本発明の第1のプログラムは、コンピュータに、実行手段で実行された前記所定のプログラムに係る操作の集合を符号化したデータである操作データを生成し、前記操作データが検出対象の操作の集合に係る操作データである操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定して当該検出対象の操作の実行を通知する監視装置に送信する、処理を実行させる。
本発明の第2のプログラムは、コンピュータに、実行手段で実行された所定のプログラムに係る操作の集合を符号化したデータである操作データであって、検出対象の操作の集合に係る操作データである操作パターンを記憶し、前記操作データを生成する情報処理装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、処理を実行させる。
本発明の効果は、監視装置が監視対象のシステムに係る詳細情報を用いることなく、システムにおける不正な操作や異常な操作を検出できることである。
本発明の第1の実施の形態の特徴的な構成を示すブロック図である。 本発明の第1の実施の形態における、監視システム1の構成を示すブロック図である。 本発明の第1の実施の形態における、操作パターン生成処理を示すフローチャートである。 本発明の第1の実施の形態における、監視処理を示すフローチャートである。 本発明の第1の実施の形態における、ユーザ属性定義133の例を示す図である。 本発明の第1の実施の形態における、操作群142のビット列の生成例を示す図である。 本発明の第1の実施の形態における、操作データ140の例を示す図である。 本発明の第1の実施の形態における、操作パターン240の例を示す図である。 本発明の第1の実施の形態における、操作群142のビット列の他の生成例を示す図である。 本発明の第1の実施の形態における、操作データ140の他の例を示す図である。 本発明の第2の実施の形態における、操作群142のビット列の生成例を示す図である。 本発明の第2の実施の形態における、操作データ140の例を示す図である。 本発明の第2の実施の形態における、操作パターン240の例を示す図である。 本発明の第3の実施の形態における、操作パターン240の例を示す図である。
(第1の実施の形態)
本発明の第1の実施の形態について説明する。
はじめに、本発明の第1の実施の形態の構成について説明する。
図2は、本発明の第1の実施の形態における、監視システム1の構成を示すブロック図である。
図2を参照すると、監視システム1は、監視対象である1以上の対象装置100、及び、対象装置100を監視する監視装置200を含む。対象装置100と監視装置200とは、ネットワーク等により接続される。監視システム1は、本発明の情報処理システムの一実施形態である。また、対象装置100は、本発明の情報処理装置の一実施形態である。
対象装置100には、ユーザにサービスを提供するためのIT(Information Technology)システムが構築される。
対象装置100、及び、監視装置200は、CPU(Central Processing Unit)とプログラムを記憶した記憶媒体を含み、プログラムに基づく制御によって動作するコンピュータであってもよい。また、対象装置100、及び、監視装置200は、コンピュータ上に配備される仮想マシンであってもよい。
また、対象装置100、監視装置200は、それぞれ、クラウドサービスの利用者、提供者のように、異なる管理者等により、管理、運用される。本発明の実施の形態では、対象装置100の管理者等をシステム管理者と呼ぶ。
対象装置100は、実行環境120、操作データ生成部130、操作データ送信部150を含む。
実行環境120は、コンピュータ上に配置されたプログラムであり、システムを構成する、1以上のアプリケーションプログラム(アプリケーション110)を実行可能な状態で読み込み、実行する。実行環境120は、アプリケーション110に提供するライブラリを含んでいてもよい。
実行環境120は、クライアント(図示せず)からの要求に応じてアプリケーション110を実行し、クライアントに対して実行結果を応答する。クライアントと実行環境120との間で、1回以上の要求と応答を繰り返されることにより、ユーザに対して所定のサービスが提供される。
例えば、システムが、Java(登録商標)ベースのWebアプリケーションサーバ(Web APサーバ)とブラウザにより構成されるWebシステムの場合、Web APサーバ、ブラウザが、それぞれ、実行環境120、クライアントに相当する。ユーザがWebシステムのサービスを利用する場合、ブラウザはWeb APサーバに接続し、ユーザ認証を行う。そして、ユーザからの指示等に応じて、クライアントとWeb APサーバとの間で、HTTPリクエスト、レスポンスが繰り返される。
実行環境120は、コンテキストハンドラ121、及び、関数呼び出しハンドラ122を含む。
コンテキストハンドラ121は、例えば、ジャーナリング機能の提供部であり、クライアントとの間のセッション(クライアントによるユーザのログインからログアウトまで)の抽出を行う。また、コンテキストハンドラ121は、クライアントを利用するユーザの権限レベルを抽出する。
関数呼び出しハンドラ122は、例えば、プロファイラ機能の提供部であり、実行環境120上のアプリケーション110における関数呼び出しごとに、関数名を検出する。関数名には、例えば、Java言語の場合、クラス名(FQCN(Fully Qualified Class Name))とメソッド名(Method)との組が用いられる。
操作データ生成部130は、コンテキストハンドラ121により抽出された、セッション、ユーザの権限、及び、関数呼び出しハンドラ122により抽出された関数名をもとに、操作データ140を生成する。
図7は、本発明の第1の実施の形態における、操作データ140の例を示す図である。
操作データ140は、コンテキスト識別子(コンテキストID141)、操作群142、ユーザ属性143、及び、動作モード144を含む。
コンテキストID141は、操作データ140を識別するための識別子である。
操作群142は、セッションの間に、監視対象のシステムにおいて、クライアントから実行された操作の集合を示す。本発明の第1の実施の形態では、操作群142に設定する操作として、関数呼び出しハンドラ122により抽出された、アプリケーション110において呼び出された関数名を用いる。操作群142には、関数名の集合をBloom Filterにより表したビット列が設定される。
なお、クライアントから実行された操作を示すことができれば、操作群142に設定する操作として、例えば、クライアントとの間で送受信された電文や、システム上のプログラム間で送受信された電文等、他の情報を用いてもよい。
ユーザ属性143は、ユーザの権限レベルを示す。本発明の第1の実施の形態では、後述するユーザ属性定義133で定義される、権限レベルに対応するビット列が、ユーザ属性143に設定される。
以下、図7に示すように、操作群142のビット列にユーザ属性143のビット列を加えたビット列を、操作データビット列145と呼ぶ。
動作モード144は、操作データ生成部130により生成される操作データ140が、監視用の操作データ140か(動作モード144:「監視」)、操作パターン240を生成するための操作データ140か(動作モード144:「生成」)を示す。
操作データ生成部130は、動作モード記憶部131、ユーザ属性定義記憶部132、及び、生成処理部134を含む。
動作モード記憶部131は、動作モード144を記憶する。動作モード144は、システム管理者により設定される。
ユーザ属性定義記憶部132は、ユーザ属性定義133を記憶する。ユーザ属性定義133は、ユーザの権限レベルと権限レベルを表すビット列との対応を示す。
図5は、本発明の第1の実施の形態における、ユーザ属性定義133の例を示す図である。図5の例では、ユーザ属性定義133において、各権限レベルに、4ビットのうちのいずれかのビットが割り当てられている。なお、権限レベルの代わりに、管理ユーザ、一般ユーザ等、システムにおけるユーザのロールが用いられてもよい。
生成処理部134は、コンテキストハンドラ121により抽出されたセッションごとに、コンテキストID141を採番する。
また、生成処理部134は、セッションの間に関数呼び出しハンドラ122により抽出された関数名ごとに、当該関数名に対応するBloom Filterのビット列(操作ビット列)を生成する。そして、生成処理部134は、セッションの終了時に、関数名ごとの操作ビット列の論理和を算出することにより、操作群142のビット列を生成する。
図6は、本発明の第1の実施の形態における、操作群142のビット列の生成例を示す図である。
生成処理部134は、所定のハッシュ関数を用いて、関数名に対応するビット位置を算出し、算出されたビット位置に1、他のビット位置に0が設定された操作ビット列を生成する。ここで、ハッシュ関数は、操作ビット列の長さをmとした場合に、1〜mの間で十分に分散した値を返すハッシュ関数である。
図6の例では、関数名「顧客データ.一覧検索()」、「画面印刷()」に対して、それぞれ、ビット位置「2」、「4」が算出され、操作ビット列「01000000」、「00010000」が生成されている。
なお、生成処理部134は、同じ関数名に対して複数のハッシュ関数を用いて複数のビット位置を算出し、算出された複数のビット位置に1を設定してもよい。また、この場合、生成処理部134は、複数のビット位置の算出を並列に行ってもよい。
そして、生成処理部134は、生成された関数名ごとの操作ビット列の論理和を算出することにより、操作群142のビット列を生成する。
図6の例では、操作ビット列「01000000」、「00010000」の論理和として、操作群142「01010000」が算出されている。
また、生成処理部134は、ユーザ属性定義133から、ユーザの権限レベルに対応するビット列を抽出することにより、ユーザ属性143を生成する。
操作データ送信部150は、操作データ生成部130が生成した操作データ140を、監視装置200に送信する。
監視装置200は、操作データ受信部210、操作データ判定部220、操作パターン記憶部230、操作データ記憶部250、通知部260、操作パターン管理部270、及び、操作データ管理部280を含む。
操作データ受信部210は、対象装置100から操作データ140を受信する。
操作パターン記憶部230は、検出対象の操作の集合を表す操作パターン240を記憶する。
図8は、本発明の第1の実施の形態における、操作パターン240の例を示す図である。
操作パターン240は、操作群242、及び、ユーザ属性243を含む。
操作群242、及び、ユーザ属性243には、対象装置100から受信した、動作モード144が「生成」である操作データ140に含まれる操作群142、及び、ユーザ属性143が設定される。
なお、操作パターン240は、システム管理者により操作パターン管理部270を通して設定されてもよい。この場合、システム管理者は、システムの関数名の情報をもとに、システムの通常の操作では生成されない操作群242を設定してもよい。例えば、システム管理者は、商品マスタデータや顧客データ、取引データといったシステムの重要情報に対する検索、参照、更新操作や、入金、出金、受注、発注といった金銭の授受に関わる操作を定義してもよい。
以下、図8に示すように、操作群242のビット列にユーザ属性243のビット列を加えたビット列を、操作データビット列245と呼ぶ。
操作データ判定部220は、動作モード144が「監視」である操作データ140を監視する。ここで、操作データ判定部220は、操作パターン記憶部230に記憶されている操作パターン240の中から、操作データ140の操作データビット列145と一致する操作データビット列245を有する操作パターン240を抽出する。操作データ140と一致する操作パターン240がある場合、操作データ判定部220は、対象装置100における「検出対象の操作の実行」と判定し、当該判定結果を、通知部260を介して通知する。
操作データ記憶部250は、対象装置100から受信した操作データ140を判定結果とともに記憶する。操作データ記憶部250は、受信した全ての操作データ140を記憶してもよいし、通知対象の操作データ140のみを記憶してもよい。
通知部260は、操作データ判定部220による判定結果を、対象装置100のシステム管理者の端末等、他の装置へ通知(出力)する。なお、通知部260は、操作データ140や、操作データ140に含まれる他の情報とともに、判定結果を通知してもよい。
操作パターン管理部270は、システム管理者の端末等に、操作パターン記憶部230における操作パターン240の検索、追加、参照、更新、削除等を行うためのインタフェースを提供する。
操作データ管理部280は、システム管理者の端末等に、操作データ記憶部250における操作パターン240の検索、追加、参照、更新、削除等を行うためのインタフェースを提供する。
なお、対象装置100、及び、監視装置200は、CPU(Central Processing Unit)とプログラムを記憶した記憶媒体を含み、プログラムに基づく制御によって動作するコンピュータであってもよい。また、操作データ生成部130は、システム管理者により管理、運用される、対象装置100とは異なる装置に配置されていてもよい。
また、監視装置200における操作パターン記憶部230、及び、操作データ記憶部250は、それぞれ個別の記憶媒体でも、1つの記憶媒体によって構成されてもよい。また、操作パターン記憶部230、及び、操作データ記憶部250は、それぞれ、監視装置200とネットワーク等により接続された他の装置に配置されていてもよい。また、操作パターン記憶部230、及び、操作データ記憶部250は、それぞれ、複数のコンピュータ上にクラスタ構成により配置されてもよい。
次に、本発明の第1の実施の形態の動作について説明する。
ここでは、同一のセッションにおける、権限レベル「1」のユーザによる2つの操作「顧客データの一覧検索」、「印刷」の実行を検出する場合を例に、動作を説明する。権限レベル「1」のユーザは、顧客データの検索、及び、表示が許可されているものの、個人情報の管理の観点から、あるセッション内で両方の操作を実行した場合、それを検出し、通知(警告)する必要があると仮定する。
また、ここでは、図5のユーザ属性定義133がユーザ属性定義記憶部132に記憶されていると仮定する。
はじめに、本発明の第1の実施の形態における、操作パターン生成処理について説明する。
操作パターン生成処理は、システム管理者が、動作モード144に「生成」を設定した場合に実行される。この場合、システム管理者は、クライアントから、検出対象のユーザの権限レベルで実行環境120にアクセスし、検出対象の操作を行う。
図3は、本発明の第1の実施の形態における、操作パターン生成処理を示すフローチャートである。
対象装置100における実行環境120のコンテキストハンドラ121は、ユーザのログインを検出すると(ステップS101)、ユーザの権限レベルを抽出する(ステップS102)。
例えば、コンテキストハンドラ121は、ユーザの権限レベル「1」を抽出する。
操作データ生成部130の生成処理部134は、コンテキストID141を採番する(ステップS103)
例えば、生成処理部134は、コンテキストID141「10」を採番する。
関数呼び出しハンドラ122は、アプリケーション110における、ユーザの操作に対応した関数呼び出しごとに、関数名を抽出する(ステップS104)。
生成処理部134は、関数名に対応するBloom Filterのビット列(操作ビット列)を生成する(ステップS105)。
そして、コンテキストハンドラ121が、ユーザのログアウトを検出するまで、ステップS104〜S105が繰り返される(ステップS106)。
例えば、生成処理部134は、図6に示すように、ユーザによる2つの操作「顧客データの一覧検索」、「印刷」に対して抽出された関数名「顧客データ.一覧検索()」、「画面印刷()」について、操作ビット列「01000000」、「00010000」を生成する。
コンテキストハンドラ121が、ユーザのログアウトを検出すると(ステップS106/Y)、生成処理部134は、操作ビット列の論理和を算出することにより、操作群142のビット列を生成する(ステップS107)。
例えば、生成処理部134は、図6に示すように、操作群142「01010000」を算出する。

生成処理部134は、ユーザ属性定義133から、ユーザの権限レベルに対応するビット列を抽出し、ユーザ属性143のビット列を生成する(ステップS108)。
例えば、生成処理部134は、図5のユーザ属性定義133をもとに、ユーザの権限レベル「1」に対応するユーザ属性143「1000」を生成する。
生成処理部134は、コンテキストID141、操作群142、ユーザ属性143、及び、動作モード144をもとに、操作データ140を生成する(ステップS109)。
例えば、生成処理部134は、図7に示すように、コンテキストID141「10」、操作群142「01010000」、ユーザ属性143「1000」、及び、動作モード144「生成」が設定された操作データ140を生成する。
操作データ送信部150は、操作データ生成部130が生成した操作データ140を、監視装置200へ送信する(ステップS110)。
例えば、操作データ送信部150は、図7の操作データ140を監視装置200へ送信する。
監視装置200の操作データ受信部210は、対象装置100から操作データ140を受信する(ステップS121)。操作データ受信部210は、操作データ140の動作モード144が「生成」であるため、操作データ140をもとに、操作群242、ユーザ属性243が設定された操作パターン240を生成し、操作パターン記憶部230に保存する(ステップS122)。
例えば、操作データ受信部210は、図7の操作データ140をもとに、図8のように、操作群242「01010000」、ユーザ属性243「1000」が設定された操作パターン240を生成する。
次に、本発明の第1の実施の形態における、監視処理について説明する。
ここでは、図8の操作パターン240が操作パターン記憶部230に記憶されていると仮定する。
操作パターン生成処理は、システム管理者が、動作モード144に「監視」を設定した場合に実行される。この場合、ユーザが、クライアントから、実行環境120にアクセスし、サービスを利用するための操作を行う。
図4は、本発明の第1の実施の形態における、監視処理を示すフローチャートである。
ここで、コンテキストハンドラ121がユーザのログインを検出してから、操作データ送信部150が操作データ140を送信するまでの動作(ステップS201〜S210)は、上述の操作パターン生成処理(ステップS101〜S110)と同様となる。
例えば、コンテキストハンドラ121は、ユーザのログインを検出すると、ユーザの権限レベル「1」を抽出する。また、生成処理部134は、コンテキストID141「30」を採番する。
図9は、本発明の第1の実施の形態における、操作群142のビット列の他の生成例を示す図である。
生成処理部134は、図9に示すように、ユーザによる操作に対して抽出された関数名「ログイン」、「顧客データ.新規作成()」、「顧客データ.検索()」、「顧客データ.修正()」、「顧客データ.一覧検索()」、「画面印刷()」、「ログアウト」について、それぞれ、操作ビット列「00100000」、「00000010」、「00000001」、「10000000」、「01000000」、「00010000」、「00001000」を生成する。
コンテキストハンドラ121がユーザのログアウトを検出すると、生成処理部134は、図9に示すように、操作ビット列の論理和である操作群142「11111011」を算出する。また、生成処理部134は、図5のユーザ属性定義133をもとに、ユーザの権限レベル「1」に対応するユーザ属性143「1000」を生成する。
図10は、本発明の第1の実施の形態における、操作データ140の他の例を示す図である。
生成処理部134は、図10に示すように、コンテキストID141「30」、操作群142「11111011」、ユーザ属性143「1000」、及び、動作モード144「監視」が設定された操作データ140を生成する。
そして、操作データ送信部150は、図10の操作データ140を監視装置200へ送信する。
次に、監視装置200の操作データ受信部210は、対象装置100から操作データ140を受信する(ステップS221)。操作データ受信部210は、操作データ140の動作モード144が「監視」であるため、操作データ140を操作データ判定部220へ転送する。操作データ判定部220は、操作パターン記憶部230に記憶されている操作パターン240の中から、受信した操作データ140の操作データビット列145と一致する操作データビット列245を有する操作パターン240を抽出する(ステップS222)。
本発明の第1の実施の形態では、操作データ判定部220は、操作データビット列145と完全一致する操作データビット列245を有する操作パターン240を抽出する。ここで、完全一致とは、操作データビット列245で1が設定されている全てのビット位置について、操作データビット列145で1が設定されていること、すなわち、操作群142が操作群242の操作をすべて含むことを示す。
操作データ判定部220は、操作データビット列145と操作データビット列245との論理積(一致度合い)を算出する。そして、操作データ判定部220は、算出された論理積(一致度合い)と操作データビット列245との排他的論理和を算出することにより、操作データビット列145と操作データビット列245との完全一致を検出する。
例えば、操作データ判定部220は、図10の操作データ140の操作データビット列145「111110111000」と図8の操作パターン240の操作データビット列245「010100001000」との論理積「010100001000」を算出する。そして、操作データ判定部220は、論理積「010100001000」と操作データビット列245「010100001000」の排他的論理和が「000000000000」であることから、操作データビット列145が操作データビット列245に完全一致すると判定する。
ステップS212で、一致する操作パターン240が検出された場合(ステップS223/Y)、操作データ判定部220は、「対象装置100における検出対象の操作が実行された」と判定し、当該判定結果を、通知部260を介して通知する(ステップS224)。通知部260は、操作データ140のコンテキストID141とともに、「検出対象の操作の実行」を、システム管理者の端末へ通知する。
例えば、通知部260は、コンテキストID141「30」とともに、「検出対象の操作の実行」を通知する。
このように、監視装置200は、操作データ140における操作データビット列145が表す内容を解析することなく、「権限レベル「1」のユーザによる、同一セッションにおける、顧客データの検索、及び、表示」の実行を検出できる。
操作データ判定部220は、操作データ記憶部250に、操作データ140、及び、判定結果を保存する(ステップS225)。
例えば、操作データ判定部220は、図10の操作データ140、及び、判定結果「検出対象の操作の実行」を操作データ記憶部250に保存する。
以上により、本発明の第1の実施の形態の動作が完了する。
次に、本発明の第1の実施の形態の特徴的な構成を説明する。
図1は、本発明の第1の実施の形態の特徴的な構成を示す図である。
図1を参照すると、監視システム1(情報処理システム)は、対象装置100(第1の装置)、及び、監視装置200(第2の装置)を含む。
対象装置100は、操作データ生成部130を含む。操作データ生成部130は、実行環境120で実行された所定のプログラムに係る操作の集合を符号化したデータである操作データ140を生成し、監視装置200に送信する。
監視装置200は、操作パターン記憶部230、及び、操作データ判定部220を含む。操作パターン記憶部230は、検出対象の操作の集合に係る操作データである操作パターン240を記憶する。操作データ判定部220は、対象装置100から受信した操作データ140が操作パターン240に一致した場合、実行環境120において検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する。
次に、本発明の第1の実施の形態の効果を説明する。
本発明の第1の実施形態によれば、監視装置が、監視対象のシステムに係る詳細情報を用いることなく、システムにおける不正な操作や異常な操作を検出できる。
その理由は、対象装置100の操作データ生成部130が、実行環境120で実行された操作の集合を符号化したデータである操作データ140を生成し、監視装置200の操作データ判定部220が、対象装置100から受信した操作データ140が検出対象の操作の集合に係る操作データである操作パターン240に一致した場合、実行環境120において検出対象の操作が実行されたと判定するためである。
これにより、監視装置200は、操作データ140の内容を解析することなく、検出対象の操作の実行を検出できる。したがって、監視対象のシステムで動作するアプリケーションの構造やロジック、アプリケーションが処理するデータの種類や構造等、操作内容を解析するための、監視対象のシステムに係る詳細情報を必要としない。
また、これにより、監視対象のシステムで動作するアプリケーションと、当該システムの監視サービスとが、異なる組織により提供される場合であっても、アプリケーションの提供者は、秘密情報を含んだ、当該システムに係る詳細情報を監視サービスの提供者に提示する必要がない。さらに、監視サービスの提供者は、アプリケーションの提供者の秘密情報が漏洩するリスクを抱えることがない。
また、本発明の第1の実施形態によれば、対象装置における不正な操作や異常な操作の検出において、監視装置が対象装置から収集するデータ量を低減できる。
その理由は、操作データ判定部220が監視装置200から取得するデータは、操作の集合を符号化したデータであり、操作を表す関数名等を取得する場合に比べて、データ量を大幅に低減できるためである。
また、本発明の第1の実施の形態によれば、対象装置における不正な操作や異常な操作を高速に検出できる。
その理由は、操作データ140や操作パターン240において、操作の集合が、Bloom Filterにより表現されており、監視装置200は、操作データ140と操作パターン240との間のBloom Filterの論理演算により、操作データ140と操作パターン240との一致を検出するためである。
また、本発明の第1の実施の形態によれば、監視対象のシステムやアプリケーションを変更することなく、不正な操作や異常な操作を検出できる。
その理由は、実行環境120が、操作データ140の生成に必要なセッションの検出、及び、呼び出される関数名の検出を行うためである。
また、本発明の第1の実施の形態によれば、システムの通常の操作では発生しないような、不正な操作や異常な操作を検出できる。その理由は、操作パターン管理部270を通して、システム管理者により定義された操作パターン240を操作パターン記憶部230に設定できるためである。
(第2の実施の形態)
次に、本発明の第2の実施の形態について説明する。
本発明の第2の実施の形態においては、操作データ140との一致が検出された操作パターン240の重み244と一致度合いとをもとに算出されたスコアを用いて、通知部260による通知を行うかどうかを判定する点において、本発明の第1の実施の形態と異なる。
図11、及び、図12は、それぞれ、本発明の第2の実施の形態における、操作群142のビット列の生成例、及び、操作データ140の例を示す図である。図12の操作データ140は、図11の操作群142に対して生成されたものである。
図11の生成例では、図6の生成例における関数名に加えて、関数名「受注データ.一覧検索()」が追加されている。これにより、図12の操作データ140では、操作群142「01010100」が設定されている。
図13は、本発明の第2の実施の形態における、操作パターン240の例を示す図である。図13の操作パターン240は、図12の操作データ140をもとに生成されたものである。
本発明の第2の実施の形態においては、操作パターン240は、操作群242、及び、ユーザ属性243に加えて、重み244を含む。
重み244は、操作パターン240の重要度(危険度)を示す。重み244は、操作パターン管理部270を通して、システム管理者により、設定される。
なお、操作データ判定部220は、操作データビット列145と操作データビット列245との一致度合い、及び、重み244をもとにスコアを算出し、算出したスコアをもとに、「検出対象の操作の実行」を通知するかどうかを判定する。
次に、本発明の第2の実施の形態における、操作パターン生成処理について説明する。
ここでは、図12の操作データ140が生成され、対象装置100から監視装置200へ送信されたと仮定する。
上述のステップS122で、操作データ140をもとに、操作パターン240の操作群242、ユーザ属性243が設定されると、操作パターン管理部270は、システム管理者から、重み244の入力を受け付ける。そして、操作パターン管理部270は、入力された重み244を、操作パターン240に設定する。
例えば、操作パターン管理部270は、図13のように、図11の操作データ140をもとに生成された操作パターン240に、重み244「50」を設定する。
次に、本発明の第2の実施の形態における、監視処理について説明する。
ここでは、図13の操作パターン240が操作パターン記憶部230に記憶されていると仮定する。
上述のステップS222で、操作データ判定部220は、操作パターン記憶部230に記憶されている操作パターン240の中から、受信した操作データ140の操作データビット列145と完全一致する操作データビット列245を有する操作パターン240に加えて、受信した操作データ140の操作データビット列145と部分一致する操作データビット列245を有する操作パターン240を検出する。
ここで、部分一致とは、操作データビット列245で1が設定されているビット位置の一部について、操作データビット列145で1が設定されていること、すなわち、操作群142が、操作群242が表す操作の一部を含むことを示す。
そして、操作データ判定部220は、操作データビット列145と操作データビット列245との論理積(一致度合い)と重み244を用いてスコアを算出し、スコアが通知判定基準スコア以上の場合、「検出対象の操作の実行」を通知すると判定する。
例えば、操作データ判定部220は、図10の操作データ140の操作データビット列145「111110111000」と図13の操作パターン240の操作データビット列245「010101001000」との論理積「010100001000」を算出する。そして、操作データ判定部220は、論理積「010100001000」と操作データビット列245「010101001000」の排他的論理和が「000001000000」であることから、操作データビット列145が操作データビット列245と部分一致であると判定する。
そして、操作データ判定部220は、操作データビット列245「010101001000」における1の数「4」に対する、論理積「010100001000」における1の数「3」の割合「0.75」に、重み244「50」を乗じることにより、スコア「32.5」を算出する。
ここで、通知判定基準スコアが「40」の場合、「検出対象の操作の実行」を通知しないと判定される。
操作データ判定部220は、図10の操作データ140、及び、判定結果「スコア:32.5、通知なし」を操作データ記憶部250に保存する。
なお、操作パターン管理部270は、管理者からの要求に従って、重み244を調整してもよい。例えば、システム管理者は、操作データ記憶部250に記憶された操作データ140を参照し、通知判定基準スコア未満で通知判定基準スコアに近い操作データ140の危険度が大きい場合、当該操作データ140が通知対象となるように、当該操作データ140と一致(完全一致、及び、部分一致)する操作パターン240の重み244を大きくしてもよい。逆に、システム管理者は、通知判定基準スコア以上で通知判定基準スコアに近い操作データ140の危険度が小さい場合、当該操作データ140が通知対象とならないように、当該操作データ140と一致(完全一致、及び、部分一致)する操作パターン240の重み244を小さくしてもよい。
また、システム管理者は、操作データ記憶部250に記憶された操作データ140を参照し、通知判定基準スコア未満で通知判定基準スコアに近い操作データ140をもとに、新たな操作パターン240を生成し、操作パターン記憶部230に設定してもよい。
以上により、本発明の第2の実施の形態の動作が完了する。
次に、本発明の第2の実施の形態の効果を説明する。
本発明の第2の実施の形態によれば、操作データ140が一致する操作パターン240の重要度に応じて、通知の有無を制御できる。
その理由は、操作データ判定部220が、操作データ140との一致が検出された操作パターン240の重み244と一致度合いとをもとに算出されたスコアを用いて、通知を行うかどうかを判定するためである。
また、本発明の第2の実施の形態によれば、危険度が小さい操作に係る通知を低減し、危険度が大きい操作に係る通知だけが行われるように、通知内容を絞り込むことができる。その理由は、システム管理者が、操作パターン管理部270を通して重み244を調整できるためである。
また、本発明の第2の実施の形態によれば、不正な操作や異常な操作を、システムに対する影響が少ない間に検出できる。その理由は、システム管理者が、操作パターン管理部270を通して新たな操作パターン240を追加できるためである。
(第3の実施の形態)
次に、本発明の第3の実施の形態について説明する。
本発明の第3の実施の形態においては、複数の操作パターン240に対して算出されたスコアを用いて、通知の有無を判定する点において、本発明の第2の実施の形態と異なる。
図14は、本発明の第3の実施の形態における、操作パターン240の例を示す図である。図14の操作パターン240は、図7の操作データ140をもとに生成されたものである。
本発明の第3の実施の形態における操作パターン生成処理は、本発明の第2の実施の形態と同様となる。
例えば、操作パターン管理部270は、図14のように、図7の操作データ140をもとに生成された操作パターン240に、重み244「50」を設定する。
次に、本発明の第3の実施の形態における、監視処理について説明する。
ここでは、図13、及び、図14の操作パターン240が操作パターン記憶部230に記憶されていると仮定する。
上述のステップS221で、操作データ判定部220は、受信した操作データ140と完全一致、及び、部分一致する操作パターン240の各々について、スコアを算出し、平均スコアが通知判定基準スコア以上の場合、「検出対象の操作の実行」を通知すると判定する。
例えば、操作データ判定部220は、図10の操作データ140の操作データビット列145「111110111000」と図14の操作パターン240の操作データビット列245「010100001000」との論理積「010100001000」を算出する。そして、操作データ判定部220は、論理積「010100001000」と操作データビット列245「010100001000」の排他的論理和が「000000000000」であることから、操作データビット列145が操作データビット列245と完全一致であると判定する。
そして、操作データ判定部220は、操作データビット列245「010100001000」における1の数「3」に対する、論理積「010100001000」における1の数「3」の割合「1.0」に、重み244「50」を乗じることにより、スコア「50」を算出する。
また、操作データ判定部220は、図10の操作データ140の操作データビット列145「111110111000」と図13の操作パターン240の操作データビット列245「010101001000」との論理積「010100001000」を算出する。そして、操作データ判定部220は、論理積「010100001000」と操作データビット列245「010101001000」の排他的論理和が「000001000000」であることから、操作データビット列145が操作データビット列245と部分一致であると判定する。
そして、操作データ判定部220は、操作データビット列245「010101001000」における1の数「4」に対する、論理積「010100001000」における1の数「3」の割合「0.75」に、重み244「50」を乗じることにより、スコア「32.5」を算出する。
さらに、操作データ判定部220は、これらのスコアの平均「41.25」を算出する。
ここで、通知判定基準スコアが「40」の場合、「検出対象の操作の実行」を通知すると判定される。
通知部260は、コンテキストID141「30」とともに、「検出対象の操作の実行」を通知する。
操作データ判定部220は、図10の操作データ140、及び、判定結果「スコア:41.25、通知あり」を操作データ記憶部250に保存する。
以上により、本発明の第3の実施の形態の動作が完了する。
本発明の第3の実施の形態によれば、第2の実施の形態に比べて、通知の有無を、複数の操作パターン240を用いて、総合的に判定できる。その理由は、操作データ判定部220が、複数の操作パターン240に対して算出されたスコアを用いて、通知を行うかどうかを判定するためである。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
例えば、本発明の実施の形態では、操作データ140、及び、操作パターン240において、セッション内の操作の集合をBloom Filterを用いて符号化したが、セッション内の操作の集合を表すことができれば、他の符号化方法を用いてもよい。
また、操作データ140、及び、操作パターン240の操作データビット列に含まれるBloom Filterは、例えば、若松ほか、「B木構造に基づくBloomフィルタの提案」、情報処理学会研究報告.マルチメディア通信と分散処理研究会報告2008(117)、一般社団法人情報処理学会、2008年11月20日、p.43-48に記載されているような、木構造を有する階層化されたBloom Filterでもよい。この場合、操作データ判定部220は、操作群とユーザ属性とを分けて検索してもよい。
また、操作データ140、及び、操作パターン240の操作データビット列において、ユーザ属性のビット列は省略されてもよい。これにより、システム管理者による操作パターン240の定義が簡易化できる。また、これにより、対象装置100における、操作データ140の生成処理時間が低減できる。さらに、監視装置200が受信する操作データ140のデータ量が低減でき、操作データ判定部220における判定処理に要する時間も短縮できる。
また、1つの監視装置200が、複数の異なる組織(テナント)により運用される複数のシステムを監視する場合、操作データビット列は、テナントを識別するためのビット列を含んでいてもよい。これにより、監視装置200は、複数のテナントのシステムにおける、不正な操作や異常な操作を、一括して検出できる。
また、操作パターン240は、実施形態1〜3で示した、操作データ判定部220による各判定方法を選択するための通知オプションを含んでいてもよい。この場合、操作データ判定部220は、操作データ140と一致した操作パターン240に含まれる通知オプションに従って、例えば、操作データ140と操作パターン240が完全一致した場合に通知する、各操作パターン240に対するスコアをもとに通知判定を行う、複数の操作パターン240に対する平均スコアをもとに通知判定を行う、のうちのいずれかを選択する。
また、操作データ140、及び、操作パターン240の操作群のビット列は、Counting Filterであってもよい。ここで、Counting Filterは、Boom Filterにおける各ビットに、当該ビット位置に対応する操作の発生回数を示すカウンタが設定されたものである。操作データ判定部220は、操作データ140と操作パターン240とを比較するときに、各ビット位置のカウンタの値を比較する、あるいは、各ビット位置のカウンタの値を用いてスコアを算出する。これにより、セッションにおける特定の操作の回数を通知判定の条件に設定できるため、例えば、印刷操作の多数回の実行を、機密データの持ち出しに係る操作として検出できる。
また、操作パターン240に重み244を付与する代わりに、操作群242のビット列におけるビット位置ごとに重みを付与してもよい。この場合、操作群242のビット列において、1が設定されている各ビット位置に、重みが付与される。操作データ判定部220は、操作データビット列145と操作データビット列245との論理積において、1が設定されているビット位置の重みの和を求めることにより、スコアを算出する。
このように、ビット位置ごとに重みが設定された操作パターン240は、操作データビット列245のみにより構成されるため、上述の木構造を有する、階層化されたBloom Filterを用いる場合にも、適している。
また、このように、ビット位置ごとに重みが設定された複数の操作パターン240の操作データビット列245の論理和を算出することにより、複数の操作パターン240を1つの操作パターン240に集約してもよい。これにより、操作パターン記憶部230のデータ量が低減でき、操作データ判定部220による判定処理の負荷も低減できる。
また、本発明の実施の形態では、重み244は、システム管理者等により、操作パターン管理部270を通して設定されたが、対象装置100の操作データ生成部130が、上述の操作パターン生成処理において、ユーザの権限レベル等をもとに重みを決定し、操作データ140に付与してもよい。この場合、監視装置200の操作データ受信部210は、操作データ140に付与された重みを、操作パターン240の重み244に設定する。
また、操作データ140、及び、操作パターン240の操作データビット列には、Bloom Filter以外に、システムに係るパラメータ等、他のデータを含んでいてもよい。この場合、監視装置200の操作データ判定部220は、当該他のデータも用いて、判定処理を行ってもよい。
1 監視システム
100 対象装置
110 アプリケーション
120 実行環境
130 操作データ生成部
131 動作モード記憶部
132 ユーザ属性定義記憶部
133 ユーザ属性定義
134 生成処理部
140 操作データ
141 コンテキストID
142 操作群
143 ユーザ属性
144 動作モード
145 操作データビット列
150 操作データ送信部
200 監視装置
210 操作データ受信部
220 操作データ判定部
230 操作パターン記憶部
240 操作パターン
242 操作群
243 ユーザ属性
244 重み
245 操作データビット列
250 操作データ記憶部
260 通知部
270 操作パターン管理部
280 操作データ管理部

Claims (9)

  1. 実行手段で実行された所定のプログラムに係る操作の集合及びユーザ属性を符号化したデータである操作データを生成し、第2の装置に送信する、操作データ生成手段
    を含む第1の装置と、
    検出対象の操作の集合及びユーザ属性に係る操作データである操作パターンを記憶する操作パターン記憶手段と、
    前記第1の装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、操作データ判定手段と、
    を含む第2の装置と、
    を備え、
    前記操作データにおける操作の集合は、前記所定のプログラムにおいて呼び出された関数名ごとのビット列の論理和であるBloom Filterにより表される
    情報処理システム。
  2. 前記操作データ判定手段は、前記操作パターンが表す操作の集合に含まれる全ての操作が、前記操作データが表す操作の集合に含まれる場合、前記検出対象の操作の実行を通知する、
    請求項1に記載の情報処理システム。
  3. 前記操作データ判定手段は、前記操作パターンが表す操作の集合と前記操作データが表す操作の集合との一致度、及び、前記操作パターンに付与された重要度をもとに、前記操作データのスコアを算出し、当該算出されたスコアをもとに、前記検出対象の操作の実行を通知するかどうかを決定する、
    請求項1または2に記載の情報処理システム。
  4. 前記操作パターン記憶手段は、さらに、前記第1の装置から受信した、指定された期間において生成された前記操作データを、前記操作パターンとして記憶する、
    請求項1乃至3のいずれかに記載の情報処理システム。
  5. 実行手段で実行された所定のプログラムに係る操作の集合及びユーザ属性を符号化したデータである操作データを生成し、前記操作データが検出対象の操作の集合及びユーザ属性に係る操作データである操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定して当該検出対象の操作の実行を通知する監視装置に送信する、操作データ生成手段を含み、
    前記操作データにおける操作の集合は、前記所定のプログラムにおいて呼び出された関数名ごとのビット列の論理和であるBloom Filterにより表される
    情報処理装置。
  6. 実行手段で実行された所定のプログラムに係る操作の集合及びユーザ属性を符号化したデータである操作データであって、検出対象の操作の集合及びユーザ属性に係る操作データである操作パターンを記憶する、操作パターン記憶手段と、
    前記操作データを生成する情報処理装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、操作データ判定手段と、
    を含み、
    前記操作データにおける操作の集合は、前記所定のプログラムにおいて呼び出された関数名ごとのビット列の論理和であるBloom Filterにより表される
    監視装置。
  7. 第1の装置において、実行手段で実行された所定のプログラムに係る操作の集合及びユーザ属性を符号化したデータである操作データを生成し、第2の装置に送信し
    前記第2の装置において、検出対象の操作の集合及びユーザ属性に係る操作データである操作パターンを記憶し、
    前記第2の装置において、前記第1の装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、
    監視方法であって、
    前記操作データにおける操作の集合は、前記所定のプログラムにおいて呼び出された関数名ごとのビット列の論理和であるBloom Filterにより表される
    監視方法。
  8. コンピュータに、
    実行手段で実行された所定のプログラムに係る操作の集合及びユーザ属性を符号化したデータである操作データを生成し、前記操作データが検出対象の操作の集合及びユーザ属性に係る操作データである操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定して当該検出対象の操作の実行を通知する監視装置に送信する、
    処理を実行させる
    プログラムであって、
    前記操作データにおける操作の集合は、前記所定のプログラムにおいて呼び出された関数名ごとのビット列の論理和であるBloom Filterにより表される
    プログラム。
  9. コンピュータに、
    実行手段で実行された所定のプログラムに係る操作の集合及びユーザ属性を符号化したデータである操作データであって、検出対象の操作の集合及びユーザ属性に係る操作データである操作パターンを記憶し、
    前記操作データを生成する情報処理装置から受信した前記操作データが前記操作パターンに一致した場合、前記実行手段において前記検出対象の操作が実行されたと判定し、当該検出対象の操作の実行を通知する、
    処理を実行させる
    プログラムであって、
    前記操作データにおける操作の集合は、前記所定のプログラムにおいて呼び出された関数名ごとのビット列の論理和であるBloom Filterにより表される
    プログラム。
JP2014003226A 2014-01-10 2014-01-10 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム Active JP6517468B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014003226A JP6517468B2 (ja) 2014-01-10 2014-01-10 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム
US14/593,194 US9471779B2 (en) 2014-01-10 2015-01-09 Information processing system, information processing device, monitoring device, monitoring method
US15/267,716 US10282239B2 (en) 2014-01-10 2016-09-16 Monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014003226A JP6517468B2 (ja) 2014-01-10 2014-01-10 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム

Publications (2)

Publication Number Publication Date
JP2015132927A JP2015132927A (ja) 2015-07-23
JP6517468B2 true JP6517468B2 (ja) 2019-05-22

Family

ID=53521633

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014003226A Active JP6517468B2 (ja) 2014-01-10 2014-01-10 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム

Country Status (2)

Country Link
US (2) US9471779B2 (ja)
JP (1) JP6517468B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6517468B2 (ja) * 2014-01-10 2019-05-22 日本電気株式会社 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム
WO2019060707A1 (en) * 2017-09-22 2019-03-28 Immunogen, Inc. METHODS FOR PREVENTING OXIDATION OF METHIONINE IN IMMUNOCONJUGATES
JP7274162B2 (ja) * 2018-05-25 2023-05-16 エンカレッジ・テクノロジ株式会社 異常操作検知装置、異常操作検知方法、およびプログラム
US11144039B2 (en) * 2018-09-20 2021-10-12 Rockwell Automation Technologies, Inc. Systems and methods for controlling devices based on mapping between operation technology data and information technology data

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7224836B2 (en) * 2002-12-20 2007-05-29 Palo Alto Research Center Incorporated Systems and methods for style conscious field classification
US7565425B2 (en) * 2003-07-02 2009-07-21 Amazon Technologies, Inc. Server architecture and methods for persistently storing and serving event data
WO2005048119A1 (ja) * 2003-11-17 2005-05-26 Intelligent Wave Inc, 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム
US7900194B1 (en) * 2004-03-25 2011-03-01 Verizon Corporate Services Group Inc. Kernel-based intrusion detection using bloom filters
US7636703B2 (en) * 2006-05-02 2009-12-22 Exegy Incorporated Method and apparatus for approximate pattern matching
US8326819B2 (en) * 2006-11-13 2012-12-04 Exegy Incorporated Method and system for high performance data metatagging and data indexing using coprocessors
JP5179792B2 (ja) * 2007-07-13 2013-04-10 株式会社日立システムズ 操作検知システム
JP2010108469A (ja) 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP5241423B2 (ja) * 2008-10-16 2013-07-17 株式会社キーエンス 画像処理における画像データ縮小率の決定方法、画像処理におけるパターンモデルの位置決め方法、画像処理におけるパターンモデルの作成方法、画像処理装置、画像処理プログラム及びコンピュータで読み取り可能な記録媒体
US8489388B2 (en) * 2008-11-10 2013-07-16 Apple Inc. Data detection
JP2010266952A (ja) * 2009-05-12 2010-11-25 Nec Corp メンバ管理装置、メンバ管理システム、メンバ管理プログラム、および、メンバ管理方法
US9223714B2 (en) * 2013-03-15 2015-12-29 Intel Corporation Instruction boundary prediction for variable length instruction set
US9158824B2 (en) * 2013-06-10 2015-10-13 International Business Machines Corporation Incremental aggregation-based event pattern matching
JP6517468B2 (ja) * 2014-01-10 2019-05-22 日本電気株式会社 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム

Also Published As

Publication number Publication date
JP2015132927A (ja) 2015-07-23
US20170004026A1 (en) 2017-01-05
US20150199508A1 (en) 2015-07-16
US10282239B2 (en) 2019-05-07
US9471779B2 (en) 2016-10-18

Similar Documents

Publication Publication Date Title
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US10761913B2 (en) System and method for real-time asynchronous multitenant gateway security
US11968227B2 (en) Detecting KERBEROS ticket attacks within a domain
US11818169B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US11916920B2 (en) Account access security using a distributed ledger and/or a distributed file system
JP6307453B2 (ja) リスク評価システムおよびリスク評価方法
CN109842628A (zh) 一种异常行为检测方法及装置
US20150363600A1 (en) Method, Apparatus, and System for Data Protection
JP2016091402A (ja) リスク評価システムおよびリスク評価方法
US10282239B2 (en) Monitoring method
JP7069399B2 (ja) コンピュータセキュリティインシデントを報告するためのシステムおよび方法
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
CN111183620B (zh) 入侵调查
JPWO2015114804A1 (ja) 不正アクセスの検知方法および検知システム
JP2016192185A (ja) なりすまし検出システムおよびなりすまし検出方法
US20150339476A1 (en) Methods, systems, and computer readable mediums for providing supply chain validation
AU2016253706B2 (en) Data structure and algorithm to track machines
US20160036671A1 (en) Failure analysis in cloud based service using synthetic measurements
JP2009053896A (ja) 不正操作検出装置およびプログラム
Wang et al. CDCAS: a novel cloud data center security auditing system
JP6208029B2 (ja) 業務システムの監視装置及び監視装置の制御方法
CN107566187B (zh) 一种sla违例监测方法、装置和系统
Li et al. SuperEye: A distributed port scanning system
WO2019113492A1 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180131

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190123

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190418

R150 Certificate of patent or registration of utility model

Ref document number: 6517468

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150