JP6864610B2 - 特定システム、特定方法及び特定プログラム - Google Patents

特定システム、特定方法及び特定プログラム Download PDF

Info

Publication number
JP6864610B2
JP6864610B2 JP2017234400A JP2017234400A JP6864610B2 JP 6864610 B2 JP6864610 B2 JP 6864610B2 JP 2017234400 A JP2017234400 A JP 2017234400A JP 2017234400 A JP2017234400 A JP 2017234400A JP 6864610 B2 JP6864610 B2 JP 6864610B2
Authority
JP
Japan
Prior art keywords
abnormality
cause
feature amount
specific
communication feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017234400A
Other languages
English (en)
Other versions
JP2019103069A (ja
Inventor
雅巳 泉
雅巳 泉
直人 藤木
直人 藤木
南 拓也
拓也 南
中津留 毅
毅 中津留
友康 佐藤
友康 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017234400A priority Critical patent/JP6864610B2/ja
Publication of JP2019103069A publication Critical patent/JP2019103069A/ja
Application granted granted Critical
Publication of JP6864610B2 publication Critical patent/JP6864610B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、特定システム、特定方法及び特定プログラムに関する。
PC(Personal Computer)等の機器におけるマルウェア感染等による異常を検知する方法として、機器の挙動パターンと既知の異常パターンを比較して異常を検知するブラックリスト方式と、機器の挙動パターンと正常状態の挙動パターンを比較して異常を検知するホワイトリスト方式が従来から実用化されている。
また、システム負荷情報を基に異常判定を行い、異常が発生した機器で実行されている機能を特定しブラックリストに登録する一方、異常が発生していない機器で実行されている機能をホワイトリストに登録する技術が知られている。
特開2017−84296号公報
しかしながら、従来の技術には、未知の異常の検知と異常原因の特定を効率的に行うことができない場合があるという問題がある。例えば、ブラックリスト方式では予め異常パターンが定められているため、定められた異常パターンと合致した場合に異常原因を特定可能であるが、未知マルウェア等による異常の検知は困難である。一方、ホワイトリスト方式では正常状態と合致しない挙動パターンは全て異常として検知可能であるが、異常原因の特定は困難である。
また、異常が発生した機器で実行されている機能を特定しブラックリストに登録し、異常が発生していない機器で実行されている機能をホワイトリストに登録する技術では、異常動作をしている機能を特定できるに過ぎず、異常原因を特定することは困難である。
上述した課題を解決し、目的を達成するために、本発明の特定システムは、機器の正常動作時の通信特徴量又は動作ログを収集又は学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成部と、機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成部と、前記検知モデルと第1の機器から取得した通信特徴量及び動作ログとを基に、前記第1の機器が異常状態であることを検知する検知部と、前記検知部によって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器の異常原因を特定する特定部と、を有することを特徴とする。
本発明によれば、未知の異常の検知と異常原因の特定を効率的に行うことができる。
図1は、第1の実施形態に係る特定システムの構成の一例を示す図である。 図2は、第1の実施形態に係る特定装置の構成の一例を示す図である。 図3は、第1の実施形態に係る異常原因DBのデータ構成の一例を示す図である。 図4は、第1の実施形態に係る特定装置の初期設定フェーズにおける処理の流れを示すフローチャートである。 図5は、第1の実施形態に係る特定装置の運用フェーズにおける処理の流れを示すフローチャートである。 図6は、特定プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る特定システム、特定方法及び特定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る特定システムの構成について説明する。図1は、第1の実施形態に係る特定システムの構成の一例を示す図である。図1に示すように、特定システム1は、特定装置10、ゲートウェイ装置20及び機器30を有する。また、特定装置10及びゲートウェイ装置20は、ネットワーク2を介して通信可能に接続されている。また、機器30は、ゲートウェイ装置20と通信可能に接続されている。
例えば、機器30は、PC、スマートフォン等の端末装置である。ネットワーク2は、例えばインターネットである。また、ゲートウェイ装置20は、機器30と同一のLAN(Local Area Network)に接続され、機器30によって行われた通信の通信特徴量又は機器30の動作ログをキャプチャする。また、特定装置10は、ゲートウェイ装置20によってキャプチャされた通信特徴量又は動作ログを取得し、異常の検知及び異常原因の特定を行う。
通信特徴量は、例えば、送信元IPアドレス、送信元MACアドレス、送信先IPアドレス、送信先MACアドレス、フロー数等である。また、動作ログは、実行されたプロセスのID、プロセスの実行開始時刻等である。
図2を用いて、第1の実施形態に係る特定装置の構成について説明する。図2は、第1の実施形態に係る特定装置の構成の一例を示す図である。図2に示すように、特定装置10は、通信部11、入力部12、出力部13、記憶部14及び制御部15を有する。
通信部11は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部11はNIC(Network Interface Card)である。入力部12は、ユーザからのデータの入力を受け付ける。入力部12は、例えば、マウスやキーボード等の入力装置である。出力部13は、画面の表示等により、データを出力する。出力部13は、例えば、ディスプレイ等の表示装置である。
また、入力部12及び出力部13は、それぞれ、入力インタフェース及び出力インタフェースであってもよい。例えば、入力部12及び出力部13は、特定装置10に接続された他の装置及びメモリカードやUSB(Universal Serial Bus)メモリ等のメディアとの間でデータの入力及び出力を行う。また、入力部12は、通信部11が受信したデータを入力データとして受け付けてもよい。また、出力部13は、通信部11に対してデータを出力してもよい。
記憶部14は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部14は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部14は、特定装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部14は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部14は、検知モデル141、特定モデル142及び異常原因DB143を記憶する。
検知モデル141は、機器30が異常状態であることを検知するためのモデルである。
例えば、検知モデル141は、通信特徴量又は動作ログからアノマリスコアを計算する関数及びパラメータを含む。
特定モデル142は、機器30の異常原因を特定するためのモデルである。例えば、異常原因及び異常原因を特定するための通信特徴量又は動作ログが記載されたシグネチャファイルである。
異常原因DB143は、異常原因ごとの通信特徴量である。図3は、第1の実施形態に係る異常原因DBのデータ構成の一例を示す図である。図3に示すように、例えば、異常原因DB143において、「マルウェアA」という異常原因には、通信特徴量として、送信元IPアドレス「192.0.2.10」、送信元MACアドレス「00−00−5E−00−53−10」、送信先IPアドレス「192.0.2.15」、送信先MACアドレス「00−00−5E−00−53−15」等が対応付けられている。また、異常原因DB143の通信特徴量又は動作ログは、図3に示すものに限られない。例えば、異常原因DB143の通信特徴量又は動作ログは、ネットワークパケットのキャプチャデータやペイロードのフロー情報、CPU等のリソースや他のサーバにログインする際に使用するtelnetコマンド等のログ、フロー情報の組み合わせ、ネットワークインタフェース間を行き来するIP(Internet Protocol)トラフィックに関するフローログ、フローログの組み合わせ等を含んでいてもよい。
また、「DoS攻撃」という異常原因には、通信特徴量として、送信元IPアドレス「192.0.2.20」、送信元MACアドレス「00−00−5E−00−53−20」、送信先IPアドレス「10.10.0.15」、送信先MACアドレス「00−00−5E−00−53−25」等が、動作ログとして、同一送信先IPアドレスへの通信が増えていること等が対応付けられている。また、「DoS攻撃」という異常原因には、通信特徴量として、送信元IPアドレス「192.0.2.21」、送信元MACアドレス「00−00−5E−00−53−21」、送信先IPアドレス「10.20.0.25」、送信先MACアドレス「00−00−5E−00−53−26」等が、動作ログとして、同一送信先IPアドレスへの通信が増えていること等が対応付けられている。このように、異常原因DB143では、1つの異常原因に複数の異なる通信特徴量又は動作ログが対応付けられていてもよい。
制御部15は、特定装置10全体を制御する。制御部15は、例えば、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、TPU(Tensor Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部15は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部15は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部15は、第1の生成部151、検知部152、第2の生成部153、特定部154及び格納部155を有する。
第1の生成部151は、機器30の正常動作時の通信特徴量又は動作ログ(以降、正常データ)を学習し、機器30が異常状態であることを検知するための検知モデル141を生成する。例えば、第1の生成部151は、検知モデル141が、入力された通信特徴量又は動作ログと正常データとが類似していないほど高いアノマリスコアを出力するように学習を行う、又は検知モデル141が、入力された通信特徴量又は動作ログと正常データの同一性判定結果を出力するように収集を行う。
第2の生成部153は、機器30の異常原因ごとの通信特徴量を学習し、機器30の異常原因を特定するための特定モデル142を生成する。例えば、第2の生成部153は、異常原因DB143を基に、特定モデル142が、入力された通信特徴量又は動作ログと類似する通信特徴量又は動作ログに対応付けられた異常原因を出力するように学習を行う、又は特定モデル142が、入力された通信特徴量又は動作ログと同一である通信特徴量又は動作ログに対応付けられた異常原因を出力するように収集を行う。
また、第2の生成部153は、異常原因ごとの通信特徴量の傾向を学習することができる。つまり、第2の生成部153は、特定モデル142に異常原因DB143に存在しない通信特徴量の組み合わせが入力された場合であっても、通信特徴量の傾向が類似する異常原因を出力できるようにすることができる。
検知部152は、検知モデル141と機器30から取得した通信特徴量又は動作ログとを基に、機器30が異常状態であることを検知する。例えば、検知部152は、検知対象の機器30の通信特徴量又は動作ログを検知モデル141に入力し、検知モデル141によって出力されたアノマリスコアが閾値以上である場合、機器30が異常状態であることを検知する。
特定部154は、検知部152によって機器30が異常状態であることが検知された場合、特定モデル142と機器30から取得した通信特徴量又は動作ログとを基に、機器30の異常原因を特定する。例えば、特定部154は、検知部152によって異常状態であることが検知された機器30の通信特徴量又は動作ログを特定モデル142に入力し、特定モデル142によって出力された異常原因を取得する。
また、出力部13は、機器30から取得した通信特徴量又は動作ログと特定部154によって特定された機器30の第1の異常原因とを出力する。ここで、出力部13によって出力された通信特徴量又は動作ログと第1の異常原因とに対しては、インシデントレスポンスが行われる。例えば、インシデントレスポンスは、システムの管理者が通信特徴量又は動作ログに基づいて異常原因を特定することである。そして、入力部12は、出力部13によって出力された通信特徴量又は動作ログと第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける。
ここで、特定部154が特定した第1の異常原因と、インシデントレスポンスによって特定された第2の異常原因とが同一である場合と同一でない場合とが考えられる。格納部155は、第1の異常原因と第2の異常原因とが同一でない場合、第2の異常原因と通信特徴量とを対応付けて記憶部14に格納する。
一方、格納部155は、第1の異常原因と第2の異常原因とが同一である場合、第1の異常原因と通信特徴量とを対応付けて記憶部14に格納する。なお、この場合、格納部155は、第2の異常原因と通信特徴量とを対応付けて記憶部14に格納してもよい。
そして、第2の生成部153は、記憶部14から取得した異常原因と通信特徴量又は動作ログとを学習する、又は記憶部14から取得した異常原因と通信特徴量又は動作ログとを収集する。これにより、特定装置10は、インシデントレスポンスの結果を特定モデル142に反映させることができる。
例えば、検知対象の機器30の通信特徴量として、送信元IPアドレス「192.0.2.22」、送信元MACアドレス「00−00−5E−00−53−22」、送信先IPアドレス「192.0.2.27」、送信先MACアドレス「00−00−5E−00−53−27」、通信プロトコル「UDPプロトコル」が特定装置10に入力されたとする。また、この場合、当該機器30が異常状態であることが検知部152によって検知されたこととする。
このとき、特定部154は、通信特徴量として、送信元IPアドレス「192.0.2.22」、送信元MACアドレス「00−00−5E−00−53−22」、送信先IPアドレス「192.0.2.27」、送信先MACアドレス「00−00−5E−00−53−27」、通信プロトコル「UDPプロトコル」を、特定モデル142に入力する。そして、特定モデル142は、入力された通信特徴量に対応する異常原因として、「DoS攻撃」を出力したこととする。
ここで、出力部13は、異常原因として「DoS攻撃」を出力し、通信特徴量として、送信元IPアドレス「192.0.2.22」、送信元MACアドレス「00−00−5E−00−53−22」、送信先IPアドレス「192.0.2.27」、送信先MACアドレス「00−00−5E−00−53−27」、通信プロトコル「UDPプロトコル」を出力する。
その後、システム管理者は、出力部13によって出力された通信特徴量と異常原因に基づいてインシデントレスポンスを行い、異常原因が「マルウェアC」であることを特定したとする。システム管理者は、インシデントレスポンスによって特定した異常原因「マルウェアC」を、入力部12に入力する。
ここで、「DoS攻撃」は、第1の異常原因である。また、「マルウェアC」は、第1の異常原因である。このように、第1の異常原因と第2の異常原因が同一でないため、格納部155は、第2の異常原因「マルウェアC」と通信特徴量とを対応付けて記憶部14の異常原因DB143に格納する。
前記も含め、異常検知の方法として以下の例がある。「DoS攻撃」の場合は同一の送信先IPアドレスへの通信が増えていることや前記フロー情報に含まれるデータ量が少ないことから検知可能であり、「ブルートフォース攻撃」の場合は他のサーバにログインする際に使用するtelnet通信やSSH通信を複数回行い、動作ログにおいて複数回ログイン失敗していることから検知可能であり、「ポートスキャン」の場合は正常時に通信していないポートにアクセスがあること、複数の送信先IPアドレスの同一ポートにアクセスが繰り返されていること、同一の送信先IPアドレスのあらゆるポートを順次アクセスしていることから検知可能である。また、「マルウェア」の場合は、マルウェアMIRAIを例に挙げると、前記telnet通信によりログイン成功した送信先IPアドレスとログイン情報を外部のC&C(Command and Control)サーバへ送信していること、前記C&Cサーバから前記telnet通信によりログインし悪意のあるプログラムを機器にダウンロードさせていること、前記C&Cサーバから前記機器に命令し「DoS攻撃」を行わせていることから検知可能である。
[第1の実施形態の処理]
図4及び5を用いて、特定装置10の処理の流れを説明する。特定装置10の処理は、大きく初期設定フェーズと運用フェーズに分けられる。初期設定フェーズにおいて、特定装置10は、主に収集又は初期学習を行う。また、運用フェーズにおいて、特定装置10は、主に機器の異常検知及び異常原因の特定を行う。
図4は、第1の実施形態に係る特定装置の初期設定フェーズにおける処理の流れを示すフローチャートである。図4に示すように、まず、第2の生成部153は、異常原因DB143に異常原因の通信特徴量又は動作ログが存在するか否かを確認する(ステップS101)。
ここで、異常原因DB143に異常原因の通信特徴量又は動作ログが存在する場合(ステップS101、Yes)第2の生成部153は、異常原因の収集又は初期学習を行い、特定モデル142を生成する(ステップS102)。一方、異常原因DB143に異常原因の通信特徴量又は動作ログが存在しない場合(ステップS101、No)第2の生成部153は、異常原因の収集又は初期学習を行わない。このように、第2の生成部153は、異常原因DB143に異常原因と通信特徴量又は動作ログとが記憶されている場合にのみ特定モデル142を生成することとしてもよい。
次に、第1の生成部151は、機器の正常動作時の通信特徴量又は動作ログを基に、正常動作の収集又は初期学習を行い、検知モデル141を生成する(ステップS103)。なお、例えば、初期学習は、正常データ又は異常原因DB143に記憶された異常原因と通信特徴量又は動作ログとを基に、検知モデル141又は特定モデル142を新規生成する処理である。これに対して、例えば、再学習は、異常原因DB143に記憶された異常原因と通信特徴量又は動作ログとであって、初期学習の際に記憶されていなかった異常原因と通信特徴量又は動作ログとを基に、特定モデル142を更新する処理である。
図5は、第1の実施形態に係る特定装置の運用フェーズにおける処理の流れを示すフローチャートである。図5に示すように、まず、検知部152は、検知対象の機器30の通信特徴量又は動作ログを取得する(ステップS201)。次に、検知部152は、取得した通信特徴量又は動作ログを検知モデル141に入力する(ステップS202)。ここで、検知部152によって異常が検知されなかった場合(ステップS202、No)、処理がステップS201に戻され、検知部152は、次の検知対象の機器30の通信特徴量又は動作ログを取得する(ステップS201)。
一方、検知部152によって異常が検知された場合(ステップS202、Yes)、特定部154は、検知対象の機器30の通信特徴量又は動作ログを特定モデル142に入力し、異常原因を特定する(ステップS203)。そして、出力部13は、検知対象の機器30の通信特徴量又は動作ログと特定部154によって特定された異常原因を出力する(ステップS204)。そして、入力部12は、インシデントレスポンス結果の入力を受け付ける(ステップS205)。
ここで、特定部154が特定した異常原因とインシデントレスポンス結果の異常原因が同一である場合(ステップS206、Yes)、処理がステップS201に戻され、検知部152は、次の検知対象の機器30の通信特徴量及び動作ログを取得する(ステップS201)。
一方、特定部154が特定した異常原因とインシデントレスポンス結果の異常原因が同一でない場合(ステップS206、No)、格納部155は、インシデントレスポンス結果の異常原因を検知対象の機器30の通信特徴量又は動作ログとともに異常原因DB143に格納する(ステップS207)。
ここで、初期設定フェーズにおける異常原因の収集又は初期学習(図4のステップS102)が実行済みである場合(ステップS208、Yes)、第2の生成部153は、異常原因DB143から異常原因と通信特徴量又は動作ログとを取得し、異常原因の収集又は再学習を行う(ステップS209)。
一方、初期設定フェーズにおける異常原因の初期学習(図4のステップS102)が実行済みでない場合(ステップS208、No)、第2の生成部153は、異常原因DB143から異常原因と通信特徴量又は動作ログとを取得し、異常原因の収集又は初期学習を行う(ステップS210)。
異常原因の収集又は再学習(ステップS209)もしくは収集又は初期学習(ステップS210)が行われると、処理がステップS201に戻され、検知部152は、次の検知対象の機器30の通信特徴量又は動作ログを取得する(ステップS201)。
[第1の実施形態の効果]
第1の生成部151は、機器30の正常動作時の通信特徴量又は動作ログを学習し、機器30が異常状態であることを検知するための検知モデル141を生成する。第2の生成部153は、機器30の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器30の異常原因を特定するための特定モデル142を生成する。検知部152は、検知モデル141と機器30から取得した通信特徴量又は動作ログとを基に、機器30が異常状態であることを検知する。特定部154は、検知部152によって機器30が異常状態であることが検知された場合、特定モデル142と機器30から取得した通信特徴量又は動作ログとを基に、機器30の異常原因を特定する。
このように、特定システム1は、異常の検知及び異常原因の特定を両立可能なアーキテクチャを有する。例えば、特定システム1は、ホワイトリスト方式を利用した異常検知及びブラックリスト方式を利用した異常原因の特定の両方を行うことができる。また、特定装置10は、異常が検知された場合にのみ異常原因の特定を行うことができるため、異常原因の特定に要する処理負荷を低減させることができる。このため、本実施形態によれば、未知の異常の検知と異常原因の特定を効率的に行うことができる。
出力部13は、機器30から取得した通信特徴量又は動作ログと特定部154によって特定された機器30の第1の異常原因とを出力する。入力部12は、出力部13によって出力された通信特徴量又は動作ログと第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける。格納部155は、第1の異常原因と第2の異常原因とが同一でない場合、第2の異常原因と通信特徴量又は動作ログとを対応付けて記憶部14に格納する。第2の生成部153は、記憶部14から取得した異常原因と通信特徴量又は動作ログとを収集又は学習する。
インシデントレスポンスにおいては、システム管理者等の知見及び既存の異常原因特定手法を用いた精度の高い異常原因の特定が行われることが考えられる。このため、本実施形態では、インシデントレスポンスの結果を異常原因の特定のためのモデルに反映させることで、特定システム1による異常原因の特定精度を向上させることができる。
第2の生成部153は、異常原因DB143に異常原因と通信特徴量又は動作ログとが記憶されている場合にのみ特定モデル142を生成することとしてもよい。これにより、特定システム1は、異常原因DB143に異常原因と通信特徴量又は動作ログとが記憶されていない場合であっても処理を開始することができる。
なお、この場合は、インシデントレスポンスによって特定された異常原因が異常原因DB143に格納され、当該異常原因に基づく学習が行われることで、特定システム1による異常原因の特定が可能となる。
[その他の実施形態]
特定システム1の装置構成は、図1のものに限られない。例えば、特定システム1は、第1の生成部151及び検知部152に相当する機能を備えた検知装置と、第2の生成部153及び特定部154に相当する機能を備えた特定装置とを有するものであってもよい。また、特定装置10は、ゲートウェイ装置20を経由せずに、直接機器30の通信特徴量又は動作ログを取得してもよい。
また、これまでの説明における「通信特徴量又は動作ログ」は、「通信特徴量」、「動作ログ」又は「通信特徴量及び動作ログ」に置き換えてもよい。例えば、検知モデル141は、通信特徴量及び動作ログの両方から生成されたものであってもよい。また、例えば、異常原因DB143には、異常原因と動作ログが記憶されていてもよい。
例えば、第1の生成部151は、機器30の正常動作時の動作ログを学習し、機器30が異常状態であることを検知するための検知モデル141を生成する。第2の生成部153は、機器30の異常原因ごとの通信特徴量を収集又は学習し、機器30の異常原因を特定するための特定モデル142を生成する。検知部152は、検知モデル141と機器30から取得した動作ログとを基に、機器30が異常状態であることを検知する。特定部154は、検知部152によって機器30が異常状態であることが検知された場合、特定モデル142と機器30から取得した通信特徴量とを基に、機器30の異常原因を特定する。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、特定装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の異常検知処理及び異常原因の特定処理を実行する特定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の特定プログラムを情報処理装置に実行させることにより、情報処理装置を特定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはサーバ機器、スマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、特定装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の異常検知処理及び異常原因の特定処理に関するサービスを提供する特定サーバ装置として実装することもできる。例えば、特定サーバ装置は、機器の通信特徴量及び動作ログを入力とし、異常状態であるか否か及び異常状態であった場合の異常原因を出力とする特定サービスを提供するサーバ装置として実装される。この場合、特定サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の異常検知処理及び異常原因の特定処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図6は、特定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、特定装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、特定装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 特定システム
2 ネットワーク
10 特定装置
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
20 ゲートウェイ装置
30 機器
141 検知モデル
142 特定モデル
143 異常原因DB
151 第1の生成部
152 検知部
153 第2の生成部
154 特定部
155 格納部

Claims (4)

  1. 機器の正常動作時の通信特徴量又は動作ログを収集又は学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成部と、
    機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成部と、
    前記検知モデルと第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器が異常状態であることを検知する検知部と、
    前記検知部によって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器の異常原因を特定する特定部と、
    前記第1の機器から取得した通信特徴量又は動作ログと前記特定部によって特定された前記第1の機器の第1の異常原因とを出力する出力部と、
    前記出力部によって出力された前記通信特徴量又は前記動作ログと前記第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける入力部と、
    前記第1の異常原因と前記第2の異常原因とが同一であるか否かを判定し、同一でないと判定した場合、前記第2の異常原因と前記通信特徴量又は前記動作ログとを対応付けて記憶部に格納する格納部と、
    を有し、
    前記第2の生成部は、前記記憶部から取得した異常原因と通信特徴量又は動作ログとを学習することを特徴とする特定システム。
  2. 前記第2の生成部は、前記記憶部に異常原因と通信特徴量又は動作ログとが記憶されている場合にのみ前記特定モデルを生成することを特徴とする請求項に記載の特定システム。
  3. 特定システムで実行される特定方法であって、
    機器の正常動作時の通信特徴量又は動作ログを学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成工程と、
    機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成工程と、
    前記検知モデルと第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器が異常状態であることを検知する検知工程と、
    前記検知工程によって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器の異常原因を特定する特定工程と、
    前記第1の機器から取得した通信特徴量又は動作ログと前記特定工程によって特定された前記第1の機器の第1の異常原因とを出力する出力工程と、
    前記出力工程によって出力された前記通信特徴量又は前記動作ログと前記第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける入力工程と、
    前記第1の異常原因と前記第2の異常原因とが同一であるか否かを判定し、同一でないと判定した場合、前記第2の異常原因と前記通信特徴量又は前記動作ログとを対応付けて記憶部に格納する格納工程と、
    を含み、
    前記第2の生成工程は、前記記憶部から取得した異常原因と通信特徴量又は動作ログとを学習することを特徴とする特定方法。
  4. コンピュータに、
    機器の正常動作時の通信特徴量又は動作ログを学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成ステップと、
    機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成ステップと、
    前記検知モデルと第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器が異常状態であることを検知する検知ステップと、
    前記検知ステップによって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量とを基に、前記第1の機器の異常原因を特定する特定ステップと、
    前記第1の機器から取得した通信特徴量又は動作ログと前記特定ステップによって特定された前記第1の機器の第1の異常原因とを出力する出力ステップと、
    前記出力ステップによって出力された前記通信特徴量又は前記動作ログと前記第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける入力ステップと、
    前記第1の異常原因と前記第2の異常原因とが同一であるか否かを判定し、同一でないと判定した場合、前記第2の異常原因と前記通信特徴量又は前記動作ログとを対応付けて記憶部に格納する格納ステップと、
    を実行させ、
    前記第2の生成ステップは、前記記憶部から取得した異常原因と通信特徴量又は動作ログとを学習することを特徴とする特定プログラム。
JP2017234400A 2017-12-06 2017-12-06 特定システム、特定方法及び特定プログラム Active JP6864610B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017234400A JP6864610B2 (ja) 2017-12-06 2017-12-06 特定システム、特定方法及び特定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017234400A JP6864610B2 (ja) 2017-12-06 2017-12-06 特定システム、特定方法及び特定プログラム

Publications (2)

Publication Number Publication Date
JP2019103069A JP2019103069A (ja) 2019-06-24
JP6864610B2 true JP6864610B2 (ja) 2021-04-28

Family

ID=66977239

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017234400A Active JP6864610B2 (ja) 2017-12-06 2017-12-06 特定システム、特定方法及び特定プログラム

Country Status (1)

Country Link
JP (1) JP6864610B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3989492B1 (en) * 2019-07-23 2024-01-03 Nippon Telegraph And Telephone Corporation Abnormality detection device, abnormality detection method, and abnormality detection program
WO2021192191A1 (ja) * 2020-03-27 2021-09-30 日本電気株式会社 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体
JP7413924B2 (ja) 2020-05-25 2024-01-16 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
WO2024003995A1 (ja) * 2022-06-27 2024-01-04 日本電信電話株式会社 異常検出装置、異常検出方法および異常検出プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6453086B2 (ja) * 2015-01-30 2019-01-16 株式会社日立ハイテクノロジーズ 稼働データ分類装置
US11049030B2 (en) * 2016-03-07 2021-06-29 Nippon Telegraph And Telephone Corporation Analysis apparatus, analysis method, and analysis program

Also Published As

Publication number Publication date
JP2019103069A (ja) 2019-06-24

Similar Documents

Publication Publication Date Title
JP6864610B2 (ja) 特定システム、特定方法及び特定プログラム
US11356467B2 (en) Log analysis device, log analysis method, and log analysis program
US20230362182A1 (en) Abnormality sensing device and abnormality sensing method
JP6491356B2 (ja) 分類方法、分類装置および分類プログラム
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
US20190081970A1 (en) Specifying system, specifying device, and specifying method
JP6050162B2 (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
US20210160259A1 (en) System for automated signature generation and refinement
KR102280845B1 (ko) 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
JP6915305B2 (ja) 検知装置、検知方法および検知プログラム
JP7052602B2 (ja) 生成装置、生成方法及び生成プログラム
US20200342109A1 (en) Baseboard management controller to convey data
JP6683655B2 (ja) 検知装置および検知方法
JP2014063349A (ja) マルウェア検出装置および方法
JP6708575B2 (ja) 分類装置、分類方法および分類プログラム
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
JP2018120308A (ja) 分類装置、分類方法及び分類プログラム
US20220237238A1 (en) Training device, determination device, training method, determination method, training method, and determination program
JP6676790B2 (ja) リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム
JP2018169897A (ja) 検知装置、検知方法及び検知プログラム
JP7176630B2 (ja) 検知装置、検知方法および検知プログラム
JP2019022066A (ja) 検出システム、検出方法及び検出プログラム
US20230221983A1 (en) Techniques for providing third party trust to a cloud computing environment
JP6760884B2 (ja) 生成システム、生成方法及び生成プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210330

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210402

R150 Certificate of patent or registration of utility model

Ref document number: 6864610

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150