JP6902211B2 - Event monitoring system, terminal device, monitoring server, event monitoring method and program - Google Patents

Event monitoring system, terminal device, monitoring server, event monitoring method and program Download PDF

Info

Publication number
JP6902211B2
JP6902211B2 JP2019532868A JP2019532868A JP6902211B2 JP 6902211 B2 JP6902211 B2 JP 6902211B2 JP 2019532868 A JP2019532868 A JP 2019532868A JP 2019532868 A JP2019532868 A JP 2019532868A JP 6902211 B2 JP6902211 B2 JP 6902211B2
Authority
JP
Japan
Prior art keywords
event
terminal device
pattern
event information
monitoring server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019532868A
Other languages
Japanese (ja)
Other versions
JPWO2019022207A1 (en
Inventor
秀一 狩野
秀一 狩野
純明 榮
純明 榮
敬喜 朝倉
敬喜 朝倉
多賀戸 裕樹
裕樹 多賀戸
和彦 磯山
和彦 磯山
佑嗣 小林
佑嗣 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019022207A1 publication Critical patent/JPWO2019022207A1/en
Application granted granted Critical
Publication of JP6902211B2 publication Critical patent/JP6902211B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、イベント監視システム、端末装置、監視サーバ、イベント監視方法およびプログラムに関する。 The present invention relates to an event monitoring system, a terminal device, a monitoring server, an event monitoring method and a program .

端末装置で発生するイベントを監視して、端末装置の異常を検知する監視サーバが知られている。監視サーバにはネットワークを介して複数の端末装置が接続され、各端末装置にはイベント情報を収集するための機能が設けられる。各端末装置はイベント情報を監視サーバに送信し、監視サーバは各端末装置からのイベント情報をログ情報として記録する。 A monitoring server that monitors an event that occurs in a terminal device and detects an abnormality in the terminal device is known. A plurality of terminal devices are connected to the monitoring server via a network, and each terminal device is provided with a function for collecting event information. Each terminal device sends event information to the monitoring server, and the monitoring server records the event information from each terminal device as log information.

特許文献1には、新たなログ情報を記録する際に、新たなログ情報の内容が直近に記録したログ情報の内容と同一性を有する場合、所定の省略形式で新たなログ情報を記録する技術が開示されている。これにより、記録されるログ情報のデータ量を抑制することができる。 In Patent Document 1, when recording new log information, if the content of the new log information has the same content as the content of the log information recorded most recently, the new log information is recorded in a predetermined abbreviation format. The technology is disclosed. As a result, the amount of recorded log information data can be suppressed.

特開2013−257744号公報Japanese Unexamined Patent Publication No. 2013-257744

しかしながら、特許文献1においては、直近のログ情報との比較に基づいて新たなログ情報の記録形式を決定しているため、同一または類似のログ情報が連続していない場合には、データ量を抑制することは困難となる。 However, in Patent Document 1, since the recording format of new log information is determined based on the comparison with the latest log information, if the same or similar log information is not continuous, the amount of data is determined. It becomes difficult to suppress.

本発明は、上述の課題に鑑みてなされたものであって、イベント情報のデータ量を効率良く抑制することが可能なイベント監視システム、端末装置、監視サーバ、イベント監視方法およびプログラムを提供することを目的とする。 The present invention has been made in view of the above problems, and provides an event monitoring system, a terminal device, a monitoring server, an event monitoring method and a program capable of efficiently suppressing the amount of event information data. With the goal.

本発明の一観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムであって、前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とするイベント監視システムが提供される。 According to one aspect of the present invention, the event monitoring system includes a terminal device and a monitoring server that monitors an event that occurs in the terminal device, and the terminal device collects event information related to the event. A plurality of units, a grouping unit that compresses a series of event information based on an event pattern, and an event transmission unit that transmits the event information to the monitoring server, and the monitoring server is a plurality of units received from the terminal device. a pattern extraction unit for extracting the event pattern based on the event information, the event monitoring system according to claim Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device is provided.

本発明の他の観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムに用いられる端末装置であって、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする端末装置が提供される。 According to another aspect of the present invention, it is a terminal device used in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device, and is an event that collects event information related to the event. The monitoring server includes a collecting unit, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server, and the monitoring server is received from the terminal device. a pattern extraction unit for extracting the event pattern based on the plurality of the event information, the terminal device according to claim Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device is provided.

本発明の他の観点によれば、端末装置で発生するイベントを監視するための監視サーバであって、前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え、前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする監視サーバが提供される。 According to another aspect of the present invention, it is a monitoring server for monitoring an event generated in a terminal device, and the terminal device is an event collecting unit that collects event information related to the event, and a series based on an event pattern. The monitoring server includes a grouping unit that compresses the event information, and an event transmission unit that transmits the event information to the monitoring server, and the monitoring server is based on the plurality of event information received from the terminal device. a pattern extraction unit for extracting an event pattern, the monitoring server, wherein Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device is provided.

本発明の他の観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおけるイベント監視方法であって、前記端末装置が前記イベントに関するイベント情報を収集するステップと、前記端末装置がイベントパターンに基づく一連の前記イベント情報を圧縮するステップと、前記端末装置が前記イベント情報を前記監視サーバに送信するステップと、前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、を備えることを特徴とするイベント監視方法が提供される。 According to another aspect of the present invention, a terminal device, a event monitoring method in an event monitoring system comprising a monitoring server for monitoring the events occurring on the terminal device, the terminal device, the event information on the event a step of collecting, said terminal device, and a step of compressing a sequence of the event information based on event pattern, the terminal device, and transmitting the event information to the monitoring server, the monitoring server, the Event monitoring is characterized by comprising a step of extracting the event pattern based on a plurality of the event information received from the terminal device, and a step of the monitoring server transmitting the event pattern to the terminal device. A method is provided.

本発明の他の観点によれば、端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおいてイベント監視を行うためのプログラムであって、前記端末装置が、前記イベントに関するイベント情報を収集するステップと、前記端末装置が、イベントパターンに基づく一連の前記イベント情報を圧縮するステップと、前記端末装置が、前記イベント情報を前記監視サーバに送信するステップ、前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、をコンピュータに実行させることを特徴とするプログラムが提供される。 According to another aspect of the present invention, it is a program for performing event monitoring in an event monitoring system including a terminal device and a monitoring server that monitors an event generated in the terminal device, and the terminal device is the said. a step of collecting event information about an event, comprising: said terminal device, and a step of compressing a sequence of the event information based on event pattern, the terminal device, for transmitting the event information to the monitoring server, the monitoring The server causes the computer to execute a step of extracting the event pattern based on the plurality of event information received from the terminal device and a step of the monitoring server transmitting the event pattern to the terminal device. A program characterized by this is provided.

本発明によれば、イベント情報のデータ量を効率良く抑制することが可能なイベント監視システム、端末装置、監視サーバ、イベント監視方法およびプログラムが提供される。 According to the present invention, an event monitoring system, a terminal device, a monitoring server, an event monitoring method and a program capable of efficiently suppressing the amount of event information data are provided.

第1実施形態に係るイベント監視システムのブロック図である。It is a block diagram of the event monitoring system which concerns on 1st Embodiment. 第1実施形態に係る端末装置と監視サーバのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware configuration of the terminal apparatus and the monitoring server which concerns on 1st Embodiment. 第1実施形態に係るプロセスの動作を示す概念図である。It is a conceptual diagram which shows the operation of the process which concerns on 1st Embodiment. 第1実施形態に係るイベント情報を説明するための図である。It is a figure for demonstrating event information which concerns on 1st Embodiment. 第1実施形態に係るイベント情報の圧縮の一例である。This is an example of compression of event information according to the first embodiment. 第1実施形態に係るイベント情報の補完の一例である。This is an example of complementing the event information according to the first embodiment. 第1実施形態に係る端末装置の処理を示すフローチャートである。It is a flowchart which shows the process of the terminal apparatus which concerns on 1st Embodiment. 第1実施形態に係る監視サーバの処理を示すフローチャートである。It is a flowchart which shows the process of the monitoring server which concerns on 1st Embodiment. 第2実施形態に係る監視サーバのブロック図である。It is a block diagram of the monitoring server which concerns on 2nd Embodiment. 第2実施形態に係る監視サーバの処理を示すフローチャートである。It is a flowchart which shows the process of the monitoring server which concerns on 2nd Embodiment. 第3実施形態に係るイベント監視システムの概略構成図である。It is a schematic block diagram of the event monitoring system which concerns on 3rd Embodiment.

以下、図面を参照して、本発明の実施の形態を説明する。
[第1実施形態]
図1は、第1実施形態に係るイベント監視システムのブロック図である。イベント監視システム1は、端末装置10と、監視サーバ20とを含む。端末装置10は、監視サーバ20による監視の対象となる監視対象システム11を構成する。端末装置10は、例えばユーザが使用するパーソナルコンピュータ、監視対象システム11のホストコンピュータなどであって、ネットワーク30を介して監視サーバ20および他の端末装置10と通信を行う。なお、端末装置10は、監視対象システム11内のローカルネットワークを介して他の端末装置10と通信を行ってもよい。また、端末装置10の数は限定されない。Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
FIG. 1 is a block diagram of the event monitoring system according to the first embodiment. The event monitoring system 1 includes a terminal device 10 and a monitoring server 20. The terminal device 10 constitutes a monitored system 11 to be monitored by the monitoring server 20. The terminal device 10 is, for example, a personal computer used by the user, a host computer of the monitoring target system 11, and communicates with the monitoring server 20 and another terminal device 10 via the network 30. The terminal device 10 may communicate with another terminal device 10 via the local network in the monitored system 11. Further, the number of terminal devices 10 is not limited.

端末装置10には、プロセスレベルのイベント情報を収集可能なエージェントプログラムが予めインストールされている。エージェントプログラムは、端末装置10で発生したイベントに関する情報(イベント情報)を収集し、イベント情報40を監視サーバ20に送信する。監視サーバ20は、エージェントプログラムからのイベント情報40に基づいて、端末装置10の異常を検知する。例えば、監視サーバ20は、サイバー攻撃、コンピュータウイルスなどにより端末装置10で悪意のあるプログラムが実行されたことを検知することができる。ネットワーク30は、社内LAN(Local Area Network)などの通信ネットワークであって、端末装置10と監視サーバ20を相互に接続する。 An agent program capable of collecting process-level event information is installed in the terminal device 10 in advance. The agent program collects information (event information) about an event generated in the terminal device 10 and transmits the event information 40 to the monitoring server 20. The monitoring server 20 detects an abnormality in the terminal device 10 based on the event information 40 from the agent program. For example, the monitoring server 20 can detect that a malicious program has been executed on the terminal device 10 due to a cyber attack, a computer virus, or the like. The network 30 is a communication network such as an in-house LAN (Local Area Network), and connects the terminal device 10 and the monitoring server 20 to each other.

端末装置10は、イベント収集部101、イベントバッファ102、グループ化部103、イベント送信部104、パターン受信部105、パターン格納部106を含む。イベント収集部101は、端末装置10のOS(Operating System)により生成されたプロセスの動作を検出し、動作毎の情報をイベント情報としてイベントバッファ102に出力する。イベントバッファ102は、イベント収集部101からのイベント情報を一時的に蓄積する。 The terminal device 10 includes an event collecting unit 101, an event buffer 102, a grouping unit 103, an event transmitting unit 104, a pattern receiving unit 105, and a pattern storage unit 106. The event collecting unit 101 detects the operation of the process generated by the OS (Operating System) of the terminal device 10, and outputs the information for each operation to the event buffer 102 as event information. The event buffer 102 temporarily stores event information from the event collecting unit 101.

グループ化部103は、パターン格納部106に予め格納されたイベントパターンに基づいて、収集されたイベント情報をグループ化する。具体的には、グループ化部103は、イベントバッファ102に蓄積された複数のイベント情報の中から一連のイベント情報を抽出し、抽出されたイベント情報のパターンをイベントパターンと照合する。ここで一連のイベント情報とは、例えば一のプロセスに関連する複数のイベント情報のことである。グループ化部103は、一連のイベント情報のパターンがイベントパターンと合致する場合、当該一連のイベント情報をグループ化する。さらに、グループ化部103は、イベントパターンに対応する圧縮ルールに従って、グループ化されたイベント情報を圧縮する。例えば、グループ化部103は、複数のイベント情報を1つのイベント情報で置き換えることができる。 The grouping unit 103 groups the collected event information based on the event pattern stored in advance in the pattern storage unit 106. Specifically, the grouping unit 103 extracts a series of event information from the plurality of event information stored in the event buffer 102, and collates the extracted event information pattern with the event pattern. Here, the series of event information is, for example, a plurality of event information related to one process. When the pattern of a series of event information matches the event pattern, the grouping unit 103 groups the series of event information. Further, the grouping unit 103 compresses the grouped event information according to the compression rule corresponding to the event pattern. For example, the grouping unit 103 can replace a plurality of event information with one event information.

また、グループ化部103は、イベント収集部101が収集に失敗したイベント情報を、イベントパターンに基づいて補完することができる。例えば、グループ化部103は、一連のイベント情報が示すパターンとイベントパターンとが合致するように、一連のイベント情報の中で欠落したイベント情報を生成することができる。 Further, the grouping unit 103 can supplement the event information that the event collecting unit 101 failed to collect based on the event pattern. For example, the grouping unit 103 can generate event information missing in the series of event information so that the pattern indicated by the series of event information matches the event pattern.

イベント送信部104は、グループ化部103によりグループ化されたイベント情報を監視サーバ20に送信する。また、イベント送信部104は、グループ化部103によりグループ化されなかったイベント情報も監視サーバ20に送信する。パターン受信部105は、イベントパターンと圧縮ルールを監視サーバ20から受信する。イベントパターンと圧縮ルールは、パターン格納部106に格納される。 The event transmission unit 104 transmits the event information grouped by the grouping unit 103 to the monitoring server 20. The event transmission unit 104 also transmits event information that has not been grouped by the grouping unit 103 to the monitoring server 20. The pattern receiving unit 105 receives the event pattern and the compression rule from the monitoring server 20. The event pattern and the compression rule are stored in the pattern storage unit 106.

監視サーバ20は、イベント受信部201、イベント格納部202、異常検知部203、パターン抽出部204、パターン登録部205、パターン送信部206を含む。イベント受信部201は、端末装置10からイベント情報を受信する。イベント情報は、イベント格納部202に格納される。 The monitoring server 20 includes an event receiving unit 201, an event storage unit 202, an abnormality detection unit 203, a pattern extraction unit 204, a pattern registration unit 205, and a pattern transmission unit 206. The event receiving unit 201 receives event information from the terminal device 10. The event information is stored in the event storage unit 202.

異常検知部203は、イベント格納部202に格納された複数のイベント情報に基づいて、端末装置10の異常を検知する。異常検知部203は、通常時における端末装置10の動作をモデル化した動作モデルを有し、イベント情報から把握される端末装置10の現在の動作と動作モデルとを比較することにより、端末装置10の現在の動作に異常があるか否かを判断することができる。 The abnormality detection unit 203 detects an abnormality in the terminal device 10 based on a plurality of event information stored in the event storage unit 202. The abnormality detection unit 203 has an operation model that models the operation of the terminal device 10 in a normal state, and by comparing the current operation of the terminal device 10 grasped from the event information with the operation model, the terminal device 10 It is possible to determine whether or not there is an abnormality in the current operation of.

例えば、電子メール用のアプリケーションプログラムにより起動されるプロセス(以下、メールプロセス)は、通常、メールボックス、メールファイルなどのように、アクセス先となるフォルダ、ファイルの種類が限定されている。異常検知部203は、メールプロセスが、パスワードファイルの読み取りなどの通常とは異なる動作を行ったときに、当該動作を異常として検知する。動作モデルは、機械学習などにより予め構築しておくことができる。なお、異常検知部203による異常検知の手法は特に限定されない。 For example, a process started by an application program for e-mail (hereinafter referred to as a mail process) is usually limited in the folders and file types to be accessed, such as a mailbox and a mail file. When the mail process performs an unusual operation such as reading a password file, the abnormality detection unit 203 detects the operation as an abnormality. The motion model can be built in advance by machine learning or the like. The method of detecting an abnormality by the abnormality detecting unit 203 is not particularly limited.

パターン抽出部204は、イベント格納部202に蓄積されたイベント情報からイベントパターンを抽出する。イベントパターンは、例えばファイルオープン、ファイルリード、・・・、ファイルリード、ファイルクローズなどのように、プロセスの一連の動作として表される。パターン抽出部204は、パターン登録部205に登録されていない新たなイベントパターンを発見した場合、当該新たなイベントパターンをパターン登録部205に登録する。 The pattern extraction unit 204 extracts an event pattern from the event information stored in the event storage unit 202. The event pattern is represented as a series of operations of a process, such as file open, file read, ..., File read, file close, and so on. When the pattern extraction unit 204 discovers a new event pattern that is not registered in the pattern registration unit 205, the pattern extraction unit 204 registers the new event pattern in the pattern registration unit 205.

さらに、パターン抽出部204は、各イベントパターンに対応した圧縮ルールを生成する。圧縮ルールは、グループ化したイベント情報を圧縮するために使用される。イベントパターンの抽出と圧縮ルールの生成は、定期的または任意のタイミングで行われ、新たなイベントパターンと圧縮ルールがパターン登録部205に追加される。 Further, the pattern extraction unit 204 generates a compression rule corresponding to each event pattern. Compression rules are used to compress grouped event information. The extraction of the event pattern and the generation of the compression rule are performed periodically or at an arbitrary timing, and a new event pattern and the compression rule are added to the pattern registration unit 205.

パターン登録部205は、パターン抽出部204により抽出された各種イベントパターンと圧縮ルールを格納する。パターン送信部206は、新たなイベントパターンと圧縮ルールがパターン登録部205に登録された場合、当該新たなイベントパターンと圧縮ルールを端末装置10に送信する。 The pattern registration unit 205 stores various event patterns and compression rules extracted by the pattern extraction unit 204. When a new event pattern and compression rule are registered in the pattern registration unit 205, the pattern transmission unit 206 transmits the new event pattern and compression rule to the terminal device 10.

図2は、本実施形態に係る端末装置と監視サーバのハードウェア構成を示すブロック図である。端末装置10と監視サーバ20は同様のハードウェア構成を有し得るため、ここでは端末装置10を例に挙げて説明する。 FIG. 2 is a block diagram showing a hardware configuration of a terminal device and a monitoring server according to the present embodiment. Since the terminal device 10 and the monitoring server 20 may have the same hardware configuration, the terminal device 10 will be described here as an example.

端末装置10は、CPU(Central Processing Unit)111、ROM(Read Only Memory)112、RAM(Random Access Memory)113、通信I/F(Interface)114、記憶装置115、入力装置116、ディスプレイ117、記憶I/F118を備える。CPU111は、ROM112からエージェントプログラムなどの所定のプログラムを読み出し、実行することにより、端末装置10の各部の機能を実現する。ROM112は、不揮発性メモリから構成され、OSなどの基本プログラム、アプリケーションプログラム(以下、アプリケーション)などを記憶する。RAM113は揮発性メモリから構成され、CPU111の動作に必要なメモリ領域を提供する。 The terminal device 10 includes a CPU (Central Processing Unit) 111, a ROM (Read Only Memory) 112, a RAM (Random Access Memory) 113, a communication I / F (Interface) 114, a storage device 115, an input device 116, a display 117, and a storage device. It is equipped with an I / F 118. The CPU 111 realizes the functions of each part of the terminal device 10 by reading a predetermined program such as an agent program from the ROM 112 and executing the program. The ROM 112 is composed of a non-volatile memory and stores a basic program such as an OS, an application program (hereinafter referred to as an application), and the like. The RAM 113 is composed of a volatile memory and provides a memory area necessary for the operation of the CPU 111.

通信I/F114は、例えばイーサネット(登録商標)規格に基づく通信インターフェースであって、通信ケーブルを介してネットワーク30に接続される。記憶装置115は、ハードディスクなどの大容量記憶装置であって、イベント情報、イベントパターン、圧縮ルールなどを記憶する。入力装置116は、キーボード、マウスなどの入力デバイスであってユーザにより操作される。ディスプレイ117は、例えば液晶ディスプレイであって、OS、アプリケーションにより提供されるGUI(Graphical User Interface)などを表示する。記憶I/F118は、光ディスク、USB(Universal Serial Bus)メモリなどの可搬記憶媒体と着脱可能に接続される。 The communication I / F 114 is, for example, a communication interface based on the Ethernet (registered trademark) standard, and is connected to the network 30 via a communication cable. The storage device 115 is a large-capacity storage device such as a hard disk, and stores event information, event patterns, compression rules, and the like. The input device 116 is an input device such as a keyboard and a mouse and is operated by the user. The display 117 is, for example, a liquid crystal display, and displays an OS, a GUI (Graphical User Interface) provided by an application, and the like. The storage I / F 118 is detachably connected to a portable storage medium such as an optical disk or a USB (Universal Serial Bus) memory.

図3は、本実施形態に係るプロセスの動作を示す概念図である。端末装置10において、ユーザアカウントによりアプリケーションが起動されると、OSは複数のプロセスを生成する。これらのプロセスは、ユーザアカウントとアプリケーションに関連付けられる。各プロセスは、1または複数のプロセスを起動する。また、各プロセスは、1または複数のファイルにアクセスする。また、各プロセスは、1または複数のソケットにアクセスする。ソケットにアクセスしたプロセスは、他の端末装置10との通信を行う。 FIG. 3 is a conceptual diagram showing the operation of the process according to the present embodiment. In the terminal device 10, when the application is started by the user account, the OS creates a plurality of processes. These processes are associated with user accounts and applications. Each process launches one or more processes. Also, each process accesses one or more files. Also, each process accesses one or more sockets. The process that accessed the socket communicates with another terminal device 10.

図4は、本実施形態に係るイベント情報を説明するための図である。図4の上部に示すように、イベント情報40は、少なくとも動作の主体、動作の客体、動作(の内容)、および動作が行われた時刻を用いて記述される。イベント情報40は、(a)プロセスイベント、(b)ファイルイベント、(c)IPチャネルイベント、(d)パスイベントの4種類に分類される。 FIG. 4 is a diagram for explaining event information according to the present embodiment. As shown in the upper part of FIG. 4, the event information 40 is described using at least the subject of the action, the object of the action, (content) of the action, and the time when the action is performed. The event information 40 is classified into four types: (a) process event, (b) file event, (c) IP channel event, and (d) path event.

プロセスイベントは、プロセスが他のプロセスを起動するイベントであって、主体および客体はプロセス、動作の内容はスタートまたはエンドである。ファイルイベントは、プロセスがファイルにアクセスするイベントであって、主体はプロセス、客体はファイル、動作の内容はオープン、クローズ、リードまたはライトである。ファイルイベントに関するイベント情報40には、読み出し量、書き込み量などが含まれ得る。IPチャネルイベントは、プロセスがソケットを介して通信を行うイベントであって、主体はプロセス、客体はソケット、動作の内容はオープン、クローズ、センドまたはレシーブである。IPチャネルイベントに関するイベント情報40には、送信量、受信量、宛先アドレスなどが含まれ得る。パスイベントは、プロセスがファイルにアクセスするイベントであって、主体はプロセス、客体はファイル、動作の内容はムーブまたはデリートである。パスイベントに関するイベント情報40には、イベント発生前のファイルパス、イベント発生後のファイルパスなどが含まれ得る。 A process event is an event in which a process starts another process, the subject and the object are the process, and the content of the operation is the start or end. A file event is an event in which a process accesses a file, the subject is the process, the object is the file, and the content of the action is open, closed, read or write. The event information 40 regarding the file event may include a read amount, a write amount, and the like. An IP channel event is an event in which a process communicates via a socket, the subject is a process, the object is a socket, and the content of the operation is open, closed, send or receive. The event information 40 regarding the IP channel event may include a transmission amount, a reception amount, a destination address, and the like. A path event is an event in which a process accesses a file, the subject is the process, the object is the file, and the content of the action is move or delete. The event information 40 regarding the path event may include a file path before the event occurs, a file path after the event occurs, and the like.

図5は、本実施形態に係るイベント情報の圧縮の一例である。図5の(A)には、ファイルオープン、ファイルリード、ファイルクローズからなるイベントパターンに合致した一連のイベント情報40a〜40dが示されている。イベント情報40a〜40dはファイルイベントであって、動作401、主体402、客体403、時刻404を含む。イベント情報40b、40cは、さらに読み出し量405を含む。なお、図5において時刻404は時分で表されているが、時刻404は時分秒で表されてもよく、また日付を含んでいてもよい。 FIG. 5 is an example of compression of event information according to the present embodiment. FIG. 5A shows a series of event information 40a to 40d that matches the event pattern including file open, file read, and file close. The event information 40a to 40d are file events, and include an operation 401, a subject 402, an object 403, and a time 404. The event information 40b and 40c further include a read amount 405. Although the time 404 is represented by hours and minutes in FIG. 5, the time 404 may be represented by hours, minutes, and seconds, or may include a date.

イベント情報40a〜40dは、主体402および客体403がそれぞれ共通しているため、1つのイベント情報40gで置き換えることができる。例えば、イベント情報40gの動作401は、ファイルオープン、ファイルリード、ファイルクローズの一連の動作をまとめたファイルオープン・リード・クローズで表される。イベント情報40gの時刻404は、一連のイベント情報40a〜40dのうちの最初のイベント情報40aと最後のイベント情報40dの時刻404で表される。イベント情報40gの読み出し量405は、一連のイベント情報40a〜40dのうちのファイルリードに関するイベント情報40b、40cの読み出し量405の合計で表される。 Since the main body 402 and the object 403 are common to the event information 40a to 40d, one event information 40g can be replaced. For example, the operation 401 of the event information 40g is represented by a file open / read / close that summarizes a series of operations of file open, file read, and file close. The time 404 of the event information 40g is represented by the time 404 of the first event information 40a and the last event information 40d in the series of event information 40a to 40d. The read amount 405 of the event information 40 g is represented by the total of the read amounts 405 of the event information 40b and 40c related to the file read in the series of event information 40a to 40d.

イベント情報40gの時刻404は、最初のイベント情報40aの時刻404を基準として表されてもよい。イベント情報40a〜40d、40gの時刻をそれぞれ時刻404a〜404d、404gとすると、時刻404gは、時刻404a、時刻404aと時刻404bの差分、時刻404aと時刻404cの差分、時刻404aと時刻404dの差分で表され得る。 The time 404 of the event information 40g may be represented with reference to the time 404 of the first event information 40a. Assuming that the times of event information 40a to 40d and 40g are times 404a to 404d and 404g, respectively, time 404g is the difference between time 404a, time 404a and time 404b, the difference between time 404a and time 404c, and the difference between time 404a and time 404d. Can be represented by.

図6は、本実施形態に係るイベント情報の補完の一例である。図6の(A)には、ファイルオープン、ファイルリード、ファイルクローズからなるイベントパターンに類似した一連のイベント情報40a〜40cが示されている。一連のイベント情報40a〜40cは、イベントパターンのうちのファイルオープン、ファイルリードの部分と合致するものの、イベントパターンのうちのファイルクローズに対応するイベント情報40dが欠落している。このような場合、欠落したイベント情報40dをイベントパターンと合致するように補完することができる。すなわち、イベントパターンを構成する要素のうち欠落した要素を補完することができる。イベントパターンの要素の数および補完される要素の数は限定されない。 FIG. 6 is an example of complementing the event information according to the present embodiment. FIG. 6A shows a series of event information 40a to 40c similar to an event pattern consisting of file open, file read, and file close. Although the series of event information 40a to 40c matches the file open and file read portions of the event pattern, the event information 40d corresponding to the file close of the event pattern is missing. In such a case, the missing event information 40d can be complemented so as to match the event pattern. That is, it is possible to complement the missing elements among the elements constituting the event pattern. The number of elements in the event pattern and the number of complemented elements are not limited.

イベントパターンは、対になる2つの要素(イベント対)を含み得る。例えば、ファイルイベントに関するイベントパターンでは、ファイルオープンとファイルクローズがイベント対となる。また、プロセスイベントに関するイベントパターンでは、プロセススタートとプロセスエンドがイベント対となる。同様に、IPチャネルイベントに関するイベントパターンでは、ソケットオープンとソケットクローズがイベント対となる。 An event pattern can include two paired elements (event pairs). For example, in an event pattern related to a file event, file open and file close are event pairs. In the event pattern related to process events, the process start and process end are event pairs. Similarly, in the event pattern for IP channel events, socket open and socket close are event pairs.

図6の例では、イベント対の一方(ファイルオープン)に基づいて、イベント対の他方(ファイルクローズ)に関するイベント情報40dが補完されている。補完されたイベント情報40dの主体402および客体403は、イベント情報40a〜40cの主体402および客体403と同一である。イベント情報40dの時刻404を、一連のイベント情報40a〜40cのうちの最後のイベント情報40cの時刻404に基づいて補完してもよい。 In the example of FIG. 6, the event information 40d regarding the other event pair (file close) is complemented based on one of the event pairs (file open). The subject 402 and the object 403 of the supplemented event information 40d are the same as the subject 402 and the object 403 of the event information 40a to 40c. The time 404 of the event information 40d may be complemented based on the time 404 of the last event information 40c in the series of event information 40a to 40c.

図7は、本実施形態に係る端末装置の処理を示すフローチャートである。このフローチャートの処理は、端末装置10において繰り返し実行される。まず、パターン受信部105は、監視サーバ20からイベントパターンを受信したか否かを判断する(ステップS101)。イベントパターンが受信された場合(ステップS101でYES)、パターン受信部105は、受信されたイベントパターンをパターン格納部106に格納する(ステップS102)。パターン受信部105は、イベントパターンとともに受信された圧縮ルールもパターン格納部106に格納する。イベントパターンが受信されない場合(ステップS101でNO)、処理はステップS103に移行する。 FIG. 7 is a flowchart showing the processing of the terminal device according to the present embodiment. The processing of this flowchart is repeatedly executed in the terminal device 10. First, the pattern receiving unit 105 determines whether or not the event pattern has been received from the monitoring server 20 (step S101). When the event pattern is received (YES in step S101), the pattern receiving unit 105 stores the received event pattern in the pattern storage unit 106 (step S102). The pattern receiving unit 105 also stores the compression rule received together with the event pattern in the pattern storage unit 106. If the event pattern is not received (NO in step S101), the process proceeds to step S103.

イベント収集部101は、端末装置10においてイベントが検知されたか否かを判断する(ステップS103)。イベントが検知された場合(ステップS103でYES)、イベント収集部101は、検知されたイベントのイベント情報を生成してイベントバッファ102に記憶する(ステップS104)。イベントが検知されない場合(ステップS103でNO)、処理はステップS105に移行する。 The event collecting unit 101 determines whether or not an event has been detected in the terminal device 10 (step S103). When an event is detected (YES in step S103), the event collecting unit 101 generates event information of the detected event and stores it in the event buffer 102 (step S104). If no event is detected (NO in step S103), the process proceeds to step S105.

グループ化部103は、イベントバッファ102に蓄積されたイベント情報に基づいて、一連のイベント情報の収集が完了したか否かを判断する(ステップS105)。例えば、グループ化部103は、イベントバッファ102から主体402および客体403が共通するイベント情報を時刻404の順で抽出し、抽出された一連のイベント情報をグループ化する。グループ化部103は、グループ内で最遅のイベント情報が収集されてから、新たなイベント情報が収集されることなく所定時間(例えば2、3分)が経過したときに、当該一連のイベント情報の収集が完了したと判断する。図5の(A)に示した例では、イベント情報40dが収集された時刻が計時の基準となる。一方、図6の(A)に示した例では、イベント情報40cが収集された時刻が計時の基準となる。 The grouping unit 103 determines whether or not a series of event information collection is completed based on the event information stored in the event buffer 102 (step S105). For example, the grouping unit 103 extracts the event information common to the subject 402 and the object 403 from the event buffer 102 in the order of time 404, and groups the extracted series of event information. The grouping unit 103 receives the series of event information when a predetermined time (for example, a few minutes) elapses without collecting new event information after the latest event information in the group is collected. Judge that the collection of In the example shown in FIG. 5A, the time when the event information 40d is collected serves as a timekeeping reference. On the other hand, in the example shown in FIG. 6A, the time when the event information 40c is collected serves as a timekeeping reference.

一連のイベント情報の収集が完了していない場合(ステップS105でNO)、イベント収集処理(ステップS103、S104)が繰り返される。なお、イベント収集処理は、ステップS105の判断結果に関わらず、常時実行されていてよい。また、ステップS105において、グループ化部103は複数のグループ化を並行して行う。 If the collection of a series of event information is not completed (NO in step S105), the event collection process (steps S103 and S104) is repeated. The event collection process may be executed at all times regardless of the determination result in step S105. Further, in step S105, the grouping unit 103 performs a plurality of grouping in parallel.

一連のイベント情報の収集が完了した場合(ステップS105でYES)、グループ化されたイベント情報のパターンがイベントパターンに合致しているか否かを判断する(ステップS106)。すなわち、グループ化部103は、パターン格納部106に格納されているすべてのイベントパターンを用いて、グループ化されたイベント情報のパターンを照合する。 When the collection of a series of event information is completed (YES in step S105), it is determined whether or not the grouped event information pattern matches the event pattern (step S106). That is, the grouping unit 103 collates the patterns of the grouped event information by using all the event patterns stored in the pattern storage unit 106.

イベントパターンの例として、ファイルオープン、ファイルリード、ファイルクローズからなるイベントパターン、ファイルオープン、ファイルライト、ファイルクローズからなるイベントパターンが挙げられる。ここで、ファイルリードおよびファイルライトの数は、複数であり得る。すなわち、ファイルオープンとファイルクローズとの間に、複数のファイルリード(またはファイルライト)があってもよい。また、他のイベントパターンの例として、プロセススタート、プロセスエンドからなるイベントパターン、ソケットオープン、センド(またはレシーブ)、ソケットクローズからなるイベントパターンなどが挙げられる。プロセスイベントに関するイベントパターンは、親プロセスと子プロセスに対応する階層的なイベントパターンであってもよい。 Examples of event patterns include an event pattern consisting of file open, file read, and file close, and an event pattern consisting of file open, file write, and file close. Here, the number of file reads and file writes can be plural. That is, there may be multiple file reads (or file writes) between file open and file close. In addition, examples of other event patterns include an event pattern consisting of a process start and a process end, an event pattern consisting of a socket open, a send (or receive), and a socket close. The event pattern related to the process event may be a hierarchical event pattern corresponding to the parent process and the child process.

イベント情報のパターンがイベントパターンに合致した場合(ステップS106でYES)、グループ化部103は、グループ化された一連のイベント情報を圧縮ルールに従って圧縮する(ステップS109)。例えば、図5に示したように、グループ化部103は、4つのイベント情報40a〜40dを1つのイベント情報40gで置き換える。イベント情報40gのデータ量は、イベント情報40a〜40dの合計のデータ量よりも小さい。イベント送信部104は、圧縮されたイベント情報を監視サーバ20に送信する(ステップS110)。 When the event information pattern matches the event pattern (YES in step S106), the grouping unit 103 compresses the grouped series of event information according to the compression rule (step S109). For example, as shown in FIG. 5, the grouping unit 103 replaces the four event information 40a to 40d with one event information 40g. The amount of data of the event information 40g is smaller than the total amount of data of the event information 40a to 40d. The event transmission unit 104 transmits the compressed event information to the monitoring server 20 (step S110).

イベント情報のパターンがイベントパターンに合致しない場合(ステップS106でNO)、グループ化部103は、グループ化されたイベント情報のパターンがイベントパターンに類似しているか否かを判断する(ステップS107)。イベント情報のパターンがイベントパターンに類似している場合(ステップS107でYES)、グループ化部103は、グループ化された一連のイベント情報の中で欠落したイベント情報を補完する(ステップS108)。 When the event information pattern does not match the event pattern (NO in step S106), the grouping unit 103 determines whether or not the grouped event information pattern is similar to the event pattern (step S107). When the event information pattern is similar to the event pattern (YES in step S107), the grouping unit 103 complements the missing event information in the grouped series of event information (step S108).

例えば、図6に示したように、グループ化部103は、イベントパターンに含まれるイベント対に基づき、一連のイベント情報40a〜40cに対して、欠落したイベント情報40dを補完する。すなわち、ファイルオープンに関するイベント情報40aと対になるように、ファイルクローズに関するイベント情報40dがグループ化部103により生成される。なお、補完されたイベント情報に対応するイベント情報が、イベント情報補完処理(ステップS108)後に収集された場合には、当該遅れて収集されたイベント情報を破棄してよい。 For example, as shown in FIG. 6, the grouping unit 103 complements the missing event information 40d with respect to the series of event information 40a to 40c based on the event pair included in the event pattern. That is, the event information 40d regarding the file close is generated by the grouping unit 103 so as to be paired with the event information 40a regarding the file open. If the event information corresponding to the complemented event information is collected after the event information complement processing (step S108), the delayedly collected event information may be discarded.

続いて、グループ化部103は、補完された一連のイベント情報を圧縮する(ステップS109)。イベント送信部104は、圧縮されたイベント情報を監視サーバ20に送信する(ステップS110)。 Subsequently, the grouping unit 103 compresses the complemented series of event information (step S109). The event transmission unit 104 transmits the compressed event information to the monitoring server 20 (step S110).

イベント情報のパターンがイベントパターンに類似していない場合(ステップS107でNO)、イベント送信部104は、グループ化されたイベント情報を監視サーバ20に送信する(ステップS110)。さらに、イベント送信部104は、グループ化されなかったイベント情報も監視サーバ20に送信する。イベント送信部104から送信されたイベント情報は、イベントバッファ102から削除される。 When the event information pattern is not similar to the event pattern (NO in step S107), the event transmission unit 104 transmits the grouped event information to the monitoring server 20 (step S110). Further, the event transmission unit 104 also transmits the event information that has not been grouped to the monitoring server 20. The event information transmitted from the event transmission unit 104 is deleted from the event buffer 102.

図8は、本実施形態に係る監視サーバの処理を示すフローチャートである。このフローチャートの処理は、監視サーバ20において繰り返し実行される。まず、イベント受信部201は、端末装置10からイベント情報を受信したか否かを判断する(ステップS201)。イベント情報が受信されない場合(ステップS201でNO)、イベント受信部201は、イベント情報が受信されるまで待機する。イベント情報が受信された場合(ステップS201でYES)、イベント受信部201は、受信されたイベント情報をイベント格納部202に格納する(ステップS202)。 FIG. 8 is a flowchart showing the processing of the monitoring server according to the present embodiment. The processing of this flowchart is repeatedly executed on the monitoring server 20. First, the event receiving unit 201 determines whether or not the event information has been received from the terminal device 10 (step S201). If the event information is not received (NO in step S201), the event receiving unit 201 waits until the event information is received. When the event information is received (YES in step S201), the event receiving unit 201 stores the received event information in the event storage unit 202 (step S202).

異常検知部203は、イベント格納部202に蓄積されたイベント情報に基づいて端末装置10の異常を検知する(ステップS203)。異常検知部203は、端末装置10の異常を検知した場合には、端末装置10を隔離するなどの処置を行う。パターン抽出部204は、イベント格納部202に蓄積されたイベント情報のパターンを学習し、パターン登録部205に登録されていない新規のイベントパターンの抽出を試みる。新規のイベントパターンが抽出されない場合(ステップS204でNO)、処理はステップS201に戻る。新規のイベントパターンが抽出された場合(ステップS204でYES)、パターン抽出部204は、新規のイベントパターンをパターン登録部205に登録する(ステップS205)。また、パターン抽出部204は、イベントパターンに対応した圧縮ルールを生成し、パターン登録部205に登録する。パターン送信部206は、パターン登録部205に登録された新規のイベントパターンを圧縮ルールとともに端末装置10に送信する(ステップS206)。 The abnormality detection unit 203 detects an abnormality in the terminal device 10 based on the event information stored in the event storage unit 202 (step S203). When the abnormality detection unit 203 detects an abnormality in the terminal device 10, the abnormality detection unit 203 takes measures such as isolating the terminal device 10. The pattern extraction unit 204 learns the pattern of the event information stored in the event storage unit 202, and attempts to extract a new event pattern that is not registered in the pattern registration unit 205. If a new event pattern is not extracted (NO in step S204), the process returns to step S201. When a new event pattern is extracted (YES in step S204), the pattern extraction unit 204 registers the new event pattern in the pattern registration unit 205 (step S205). Further, the pattern extraction unit 204 generates a compression rule corresponding to the event pattern and registers it in the pattern registration unit 205. The pattern transmission unit 206 transmits a new event pattern registered in the pattern registration unit 205 to the terminal device 10 together with the compression rule (step S206).

本実施形態によれば、イベントパターンに基づく一連のイベント情報を単位として情報の圧縮が行われるため、イベント情報のデータ量を効率良く抑制することができる。また、端末装置10においてイベント情報の圧縮を行うことにより、イベント情報を監視サーバ20に送信する際の通信量が削減されるため、通信路の圧迫を回避することができる。さらに、欠落したイベント情報をイベントパターンに基づいて補完することができるため、端末装置10におけるイベント情報の収集能力を向上させることができる。 According to the present embodiment, since the information is compressed in units of a series of event information based on the event pattern, the amount of event information data can be efficiently suppressed. Further, by compressing the event information in the terminal device 10, the amount of communication when transmitting the event information to the monitoring server 20 is reduced, so that the pressure on the communication path can be avoided. Further, since the missing event information can be complemented based on the event pattern, the ability of the terminal device 10 to collect the event information can be improved.

[第2実施形態]
続いて、第2実施形態に係るイベント監視システムを説明する。本実施形態の監視サーバ20は、圧縮された一連のイベント情報を復元することが可能である。以下、第1実施形態と異なる点を中心に説明する。[Second Embodiment]
Subsequently, the event monitoring system according to the second embodiment will be described. The monitoring server 20 of the present embodiment can restore a series of compressed event information. Hereinafter, the points different from those of the first embodiment will be mainly described.

図9は、本実施形態に係る監視サーバのブロック図である。監視サーバ20は、イベント受信部201、イベント格納部202、異常検知部203、パターン抽出部204、パターン登録部205、パターン送信部206、イベント復元部207を含む。イベント復元部207は、パターン登録部205に登録された圧縮ルールに基づいて、イベント格納部202から圧縮されたイベント情報を取得し、一連のイベント情報の復元を行う。イベント復元部207は、復元された一連のイベント情報をイベント格納部202に格納する。 FIG. 9 is a block diagram of the monitoring server according to the present embodiment. The monitoring server 20 includes an event receiving unit 201, an event storage unit 202, an abnormality detection unit 203, a pattern extraction unit 204, a pattern registration unit 205, a pattern transmission unit 206, and an event restoration unit 207. The event restoration unit 207 acquires the compressed event information from the event storage unit 202 based on the compression rule registered in the pattern registration unit 205, and restores a series of event information. The event restoration unit 207 stores the restored series of event information in the event storage unit 202.

図10は、本実施形態に係る監視サーバの処理を示すフローチャートである。イベント情報受信処理とイベント情報格納処理(ステップS301、S302)は、第1実施形態のステップS201、S202と同様であるため、その説明を省略する。ステップS303において、まず、イベント復元部207は、パターン登録部205から圧縮ルールを取得する。すべての圧縮ルールが取得されてもよく、例えば異常検知部203またはユーザなどにより指定された圧縮ルールが取得されてもよい。次に、イベント復元部207は、圧縮ルールに基づいて、イベント格納部202から圧縮されたイベント情報を取得する。例えば、イベント復元部207は、図5の(B)に示したように、動作401としてファイルオープン・リード・クローズを用いて記述されたイベント情報40gを取得する。 FIG. 10 is a flowchart showing the processing of the monitoring server according to the present embodiment. Since the event information reception process and the event information storage process (steps S301 and S302) are the same as those in steps S201 and S202 of the first embodiment, the description thereof will be omitted. In step S303, first, the event restoration unit 207 acquires the compression rule from the pattern registration unit 205. All the compression rules may be acquired, and for example, the compression rules specified by the abnormality detection unit 203 or the user may be acquired. Next, the event restoration unit 207 acquires the compressed event information from the event storage unit 202 based on the compression rule. For example, as shown in FIG. 5B, the event restoration unit 207 acquires 40 g of event information described by using file open / read / close as the operation 401.

イベント復元部207は、圧縮されたイベント情報に対して圧縮ルールと逆の処理を行うことにより圧縮前の一連のイベント情報を復元する。例えば、動作401としてファイルオープン・リード・クローズを用いて記述された1つのイベント情報から、動作401としてファイルオープン、ファイルリード、ファイルクローズをそれぞれ用いて記述された3つのイベント情報を復元することができる。図5に示した例では、イベント情報40gには、イベント情報40b、40cの情報がすべて含まれていないため、イベント情報40b、40cを正確に復元することができないが、可逆的な圧縮ルールを用いることにより、正確な復元を行うことも可能である。 The event restoration unit 207 restores a series of event information before compression by performing the reverse processing of the compression rule on the compressed event information. For example, it is possible to restore three event information described by using file open, file read, and file close as operation 401 from one event information described by using file open, read, and close as operation 401. it can. In the example shown in FIG. 5, since the event information 40g does not include all the information of the event information 40b and 40c, the event information 40b and 40c cannot be accurately restored, but a reversible compression rule is applied. By using it, it is possible to perform accurate restoration.

イベント復元部207は、復元した一連のイベント情報をイベント格納部202に格納する。復元元のイベント情報は、イベント格納部202から削除されてもよい。以降の異常検知からイベントパターン送信までの処理(ステップS304〜S307)は、第1実施形態のステップS203〜S206と同様であるため、その説明を省略する。 The event restoration unit 207 stores the restored series of event information in the event storage unit 202. The event information of the restoration source may be deleted from the event storage unit 202. Subsequent processes from abnormality detection to event pattern transmission (steps S304 to S307) are the same as steps S203 to S206 of the first embodiment, and thus the description thereof will be omitted.

本実施形態によれば、端末装置10において圧縮されたイベント情報を、監視サーバ20において復元することができるため、通信量を低減しつつ異常検知の精度を向上させることができる。 According to the present embodiment, the event information compressed in the terminal device 10 can be restored in the monitoring server 20, so that the accuracy of abnormality detection can be improved while reducing the amount of communication.

[第3実施形態]
図11は、本実施形態に係るイベント監視システムの概略構成図である。イベント監視システム1は、端末装置10と、端末装置10で発生するイベントを監視する監視サーバ20とを含む。端末装置10は、イベントに関するイベント情報を収集するイベント収集部101と、イベントパターンに基づく一連のイベント情報を圧縮するグループ化部103と、イベント情報を監視サーバ20に送信するイベント送信部104とを備える。[Third Embodiment]
FIG. 11 is a schematic configuration diagram of the event monitoring system according to the present embodiment. The event monitoring system 1 includes a terminal device 10 and a monitoring server 20 that monitors an event that occurs in the terminal device 10. The terminal device 10 includes an event collection unit 101 that collects event information related to an event, a grouping unit 103 that compresses a series of event information based on an event pattern, and an event transmission unit 104 that transmits event information to the monitoring server 20. Be prepared.

[他の実施形態]
本発明は、上述の実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲において適宜変更可能である。例えば、上述の実施形態では、イベントパターンの抽出が監視サーバ20側で行われていたが、端末装置10がイベントパターンの抽出を行うように構成されてもよい。また、アプリケーションの動作に関するイベントの監視に本発明を適用することも可能である。[Other Embodiments]
The present invention is not limited to the above-described embodiment, and can be appropriately modified without departing from the spirit of the present invention. For example, in the above-described embodiment, the event pattern is extracted on the monitoring server 20 side, but the terminal device 10 may be configured to extract the event pattern. It is also possible to apply the present invention to monitoring events related to the operation of an application.

上述の実施形態の機能を実現するように該実施形態の構成を動作させるプログラム(より具体的には、図7、図8、図10のフローチャートの処理をコンピュータに実行させるプログラム)を記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のプログラムが記録された記録媒体はもちろん、そのプログラム自体も各実施形態に含まれる。 A program (more specifically, a program that causes a computer to execute the processing of the flowcharts of FIGS. 7, 8 and 10) that operates the configuration of the embodiment so as to realize the functions of the above-described embodiment is used as a recording medium. A processing method of recording, reading a program recorded on the recording medium as a code, and executing the program in a computer is also included in the category of each embodiment. That is, a computer-readable recording medium is also included in the scope of each embodiment. Further, not only the recording medium on which the above-mentioned program is recorded but also the program itself is included in each embodiment.

該記録媒体としては例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS上で動作して処理を実行するものも各実施形態の範疇に含まれる。 As the recording medium, for example, a floppy (registered trademark) disk, a hard disk, an optical disk, a magneto-optical disk, a CD-ROM, a magnetic tape, a non-volatile memory card, or a ROM can be used. Further, not only the program that executes the processing by the program recorded on the recording medium alone, but also the one that operates on the OS and executes the processing in cooperation with the functions of other software and the expansion board is also in each embodiment. It is included in the category of.

上述の実施形態の一部または全部は、以下の付記のようにも記載され得るが、以下には限られない。 Some or all of the above embodiments may also be described, but not limited to:

(付記1)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムであって、
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備えることを特徴とするイベント監視システム。(Appendix 1)
An event monitoring system including a terminal device and a monitoring server that monitors events that occur in the terminal device.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. An event monitoring system characterized by being prepared.

(付記2)
前記イベント情報を一時的に蓄積するイベントバッファを備え、
前記グループ化部は、前記イベントバッファに蓄積された複数のイベント情報の中から前記一連のイベント情報を発見することを特徴とする付記1に記載のイベント監視システム。(Appendix 2)
It has an event buffer that temporarily stores the event information.
The event monitoring system according to Appendix 1, wherein the grouping unit discovers the series of event information from a plurality of event information stored in the event buffer.

(付記3)
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする付記1または2に記載のイベント監視システム。(Appendix 3)
The monitoring server is characterized by including a pattern extraction unit that extracts the event pattern based on a plurality of the event information received from the terminal device, and a pattern transmission unit that transmits the event pattern to the terminal device. The event monitoring system according to Appendix 1 or 2.

(付記4)
前記一連のイベント情報が示すパターンは、前記イベントパターンと合致することを特徴とする付記1乃至3のいずれかに記載のイベント監視システム。(Appendix 4)
The event monitoring system according to any one of Supplementary note 1 to 3, wherein the pattern indicated by the series of event information matches the event pattern.

(付記5)
前記グループ化部は、前記一連のイベント情報が示すパターンが前記イベントパターンと合致するように、前記一連のイベント情報の中で欠落したイベント情報を補完することを特徴とする付記1乃至3のいずれかに記載のイベント監視システム。(Appendix 5)
Any of Appendix 1 to 3, wherein the grouping unit complements the event information missing in the series of event information so that the pattern indicated by the series of event information matches the event pattern. Event monitoring system described in Crab.

(付記6)
前記イベントパターンはイベント対を含み、前記グループ化部は、前記イベント対の一方に基づいて前記イベント対の他方に関するイベント情報を補完することを特徴とする付記5に記載のイベント監視システム。(Appendix 6)
The event monitoring system according to Appendix 5, wherein the event pattern includes an event pair, and the grouping unit complements event information regarding the other of the event pairs based on one of the event pairs.

(付記7)
前記一連のイベント情報は、前記端末装置のOS(Operating System)により生成される一のプロセスに関連することを特徴とする付記1乃至6のいずれかに記載のイベント監視システム。(Appendix 7)
The event monitoring system according to any one of Supplementary note 1 to 6, wherein the series of event information is related to one process generated by the OS (Operating System) of the terminal device.

(付記8)
前記イベント情報は、少なくとも動作の主体、動作の客体、動作の内容、および動作が行われた時刻を用いて記述されることを特徴とする付記1乃至7のいずれかに記載のイベント監視システム。(Appendix 8)
The event monitoring system according to any one of Supplementary note 1 to 7, wherein the event information is described using at least the subject of the operation, the object of the operation, the content of the operation, and the time when the operation is performed.

(付記9)
前記主体はプロセスであり、前記客体はプロセス、ファイルおよびソケットのいずれかであることを特徴とする付記8に記載のイベント監視システム。(Appendix 9)
The event monitoring system according to Appendix 8, wherein the subject is a process and the object is any of a process, a file, and a socket.

(付記10)
前記グループ化部は、前記主体および前記客体がそれぞれ共通する複数の前記イベント情報を1つの前記イベント情報で置き換えることを特徴とする付記8または9に記載のイベント監視システム。(Appendix 10)
The event monitoring system according to Appendix 8 or 9, wherein the grouping unit replaces a plurality of the event information common to the subject and the object with one event information.

(付記11)
前記監視サーバは、前記圧縮された一連のイベント情報を復元することを特徴とする付記1乃至10のいずれかに記載のイベント監視システム。(Appendix 11)
The event monitoring system according to any one of Supplementary note 1 to 10, wherein the monitoring server restores the compressed series of event information.

(付記12)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムに用いられる端末装置であって、
前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備えることを特徴とする端末装置。(Appendix 12)
A terminal device used in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
It is characterized by including an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. Terminal device.

(付記13)
端末装置で発生するイベントを監視するための監視サーバであって、
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備えることを特徴とする監視サーバ。(Appendix 13)
A monitoring server for monitoring events that occur in terminal devices.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. A monitoring server characterized by being equipped.

(付記14)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおけるイベント監視方法であって、
前記端末装置が前記イベントに関するイベント情報を収集するステップと、前記端末装置がイベントパターンに基づく一連の前記イベント情報を圧縮するステップと、前記端末装置が前記イベント情報を前記監視サーバに送信するステップとを備えることを特徴とするイベント監視方法。(Appendix 14)
An event monitoring method in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
A step in which the terminal device collects event information related to the event, a step in which the terminal device compresses a series of the event information based on the event pattern, and a step in which the terminal device transmits the event information to the monitoring server. An event monitoring method characterized by providing.

(付記15)
端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおいてイベント監視を行うためのプログラムが記録された記録媒体であって、
コンピュータを、
前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備える前記端末装置として機能させることを特徴とするプログラムが記録された記録媒体。(Appendix 15)
A recording medium in which a program for monitoring an event in an event monitoring system including a terminal device and a monitoring server for monitoring an event generated in the terminal device is recorded.
Computer,
As the terminal device including an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. A recording medium on which a program characterized by functioning is recorded.

この出願は、2017年7月28日に出願された日本出願特願2017−146748を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority on the basis of Japanese application Japanese Patent Application No. 2017-146748 filed on July 28, 2017 and incorporates all of its disclosures herein.

1 イベント監視システム
10 端末装置
11 監視対象システム
20 監視サーバ
30 ネットワーク
40 イベント情報
101 イベント収集部
102 イベントバッファ
103 グループ化部
104 イベント送信部
105 パターン受信部
106 パターン格納部
111 CPU
112 ROM
113 RAM
114 通信I/F
115 記憶装置
116 入力装置
117 ディスプレイ
118 記憶I/F
201 イベント受信部
202 イベント格納部
203 異常検知部
204 パターン抽出部
205 パターン登録部
206 パターン送信部
207 イベント復元部
401 動作
402 主体
403 客体
404 時刻
405 読み出し量1 Event monitoring system 10 Terminal device 11 Monitoring target system 20 Monitoring server 30 Network 40 Event information 101 Event collection unit 102 Event buffer 103 Grouping unit 104 Event transmission unit 105 Pattern reception unit 106 Pattern storage unit 111 CPU
112 ROM
113 RAM
114 Communication I / F
115 Storage device 116 Input device 117 Display 118 Storage I / F
201 Event reception unit 202 Event storage unit 203 Anomaly detection unit 204 Pattern extraction unit 205 Pattern registration unit 206 Pattern transmission unit 207 Event restoration unit 401 Operation 402 Subject 403 Object 404 Time 405 Read amount

Claims (14)

端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムであって、
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とするイベント監視システム。 An event monitoring system including a terminal device and a monitoring server that monitors events that occur in the terminal device.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. Prepare ,
The monitoring server includes a pattern extraction unit for extracting the event pattern based on the plurality of the event information received from the terminal device, the Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device A featured event monitoring system. 前記イベント情報を一時的に蓄積するイベントバッファを備え、
前記グループ化部は、前記イベントバッファに蓄積された複数のイベント情報の中から前記一連のイベント情報を発見することを特徴とする請求項1に記載のイベント監視システム。 It has an event buffer that temporarily stores the event information.
The event monitoring system according to claim 1, wherein the grouping unit discovers the series of event information from a plurality of event information stored in the event buffer. 前記一連のイベント情報が示すパターンは、前記イベントパターンと合致することを特徴とする請求項1または2に記載のイベント監視システム。 The event monitoring system according to claim 1 or 2 , wherein the pattern indicated by the series of event information matches the event pattern. 前記グループ化部は、前記一連のイベント情報が示すパターンが前記イベントパターンと合致するように、前記一連のイベント情報の中で欠落したイベント情報を補完することを特徴とする請求項1または2に記載のイベント監視システム。 The grouping unit according to claim 1 or 2 , wherein the grouping unit complements the event information missing in the series of event information so that the pattern indicated by the series of event information matches the event pattern. The event monitoring system described. 前記イベントパターンはイベント対を含み、前記グループ化部は、前記イベント対の一方に基づいて前記イベント対の他方に関するイベント情報を補完することを特徴とする請求項に記載のイベント監視システム。 The event monitoring system according to claim 4 , wherein the event pattern includes an event pair, and the grouping unit complements event information regarding the other of the event pairs based on one of the event pairs. 前記一連のイベント情報は、前記端末装置のOS(Operating System)により生成される一のプロセスに関連することを特徴とする請求項1乃至のいずれか1項に記載のイベント監視システム。 The event monitoring system according to any one of claims 1 to 5 , wherein the series of event information is related to one process generated by an OS (Operating System) of the terminal device. 前記イベント情報は、少なくとも動作の主体、動作の客体、動作の内容、および動作が行われた時刻を用いて記述されることを特徴とする請求項1乃至のいずれか1項に記載のイベント監視システム。 The event according to any one of claims 1 to 6 , wherein the event information is described using at least the subject of the action, the object of the action, the content of the action, and the time when the action is performed. Monitoring system. 前記主体はプロセスであり、前記客体はプロセス、ファイルおよびソケットのいずれかであることを特徴とする請求項に記載のイベント監視システム。 The event monitoring system according to claim 7 , wherein the subject is a process, and the object is any of a process, a file, and a socket. 前記グループ化部は、前記主体および前記客体がそれぞれ共通する複数の前記イベント情報を1つの前記イベント情報で置き換えることを特徴とする請求項またはに記載のイベント監視システム。 The event monitoring system according to claim 7 or 8 , wherein the grouping unit replaces a plurality of the event information common to the subject and the object with one event information. 前記監視サーバは、前記圧縮された一連のイベント情報を復元することを特徴とする請求項1乃至のいずれか1項に記載のイベント監視システム。 The event monitoring system according to any one of claims 1 to 9 , wherein the monitoring server restores the compressed series of event information. 端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムに用いられる端末装置であって、
前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする端末装置。 A terminal device used in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
It includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server .
The monitoring server includes a pattern extraction unit for extracting the event pattern based on the plurality of the event information received from the terminal device, the Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device Characteristic terminal device. 端末装置で発生するイベントを監視するための監視サーバであって、
前記端末装置は、前記イベントに関するイベント情報を収集するイベント収集部と、イベントパターンに基づく一連の前記イベント情報を圧縮するグループ化部と、前記イベント情報を前記監視サーバに送信するイベント送信部とを備え
前記監視サーバは、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するパターン抽出部と、前記イベントパターンを前記端末装置に送信するパターン送信部とを備えることを特徴とする監視サーバ。 A monitoring server for monitoring events that occur in terminal devices.
The terminal device includes an event collecting unit that collects event information related to the event, a grouping unit that compresses a series of the event information based on the event pattern, and an event transmitting unit that transmits the event information to the monitoring server. Prepare ,
The monitoring server includes a pattern extraction unit for extracting the event pattern based on the plurality of the event information received from the terminal device, the Rukoto a pattern transmitting unit that transmits the event pattern to the terminal device A featured monitoring server. 端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおけるイベント監視方法であって、
前記端末装置が前記イベントに関するイベント情報を収集するステップと
記端末装置がイベントパターンに基づく一連の前記イベント情報を圧縮するステップと
記端末装置が前記イベント情報を前記監視サーバに送信するステップと
前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、
前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、
を備えることを特徴とするイベント監視方法。 An event monitoring method in an event monitoring system including a terminal device and a monitoring server that monitors an event that occurs in the terminal device.
The terminal device includes the steps of collecting event information on the event,
Before SL terminal device, and a step of compressing a sequence of the event information based on event patterns,
Before SL terminal device, and transmitting the event information to the monitoring server,
A step in which the monitoring server extracts the event pattern based on a plurality of the event information received from the terminal device.
A step in which the monitoring server transmits the event pattern to the terminal device,
An event monitoring method characterized by providing. 端末装置と、前記端末装置で発生するイベントを監視する監視サーバとを含むイベント監視システムにおいてイベント監視を行うためのプログラムであって、
前記端末装置が、前記イベントに関するイベント情報を収集するステップ
前記端末装置が、イベントパターンに基づく一連の前記イベント情報を圧縮するステップ
前記端末装置が、前記イベント情報を前記監視サーバに送信するステップと、
前記監視サーバが、前記端末装置から受信された複数の前記イベント情報に基づいて前記イベントパターンを抽出するステップと、
前記監視サーバが、前記イベントパターンを前記端末装置に送信するステップと、
をコンピュータに実行させることを特徴とするプログラム。 A program for monitoring events in an event monitoring system including a terminal device and a monitoring server that monitors events that occur in the terminal device.
A step in which the terminal device collects event information regarding the event,
A step in which the terminal device compresses a series of the event information based on the event pattern.
A step in which the terminal device transmits the event information to the monitoring server,
A step in which the monitoring server extracts the event pattern based on a plurality of the event information received from the terminal device.
A step in which the monitoring server transmits the event pattern to the terminal device,
A program characterized by having a computer execute.
JP2019532868A 2017-07-28 2018-07-26 Event monitoring system, terminal device, monitoring server, event monitoring method and program Active JP6902211B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017146748 2017-07-28
JP2017146748 2017-07-28
PCT/JP2018/028144 WO2019022207A1 (en) 2017-07-28 2018-07-26 Event monitoring system, terminal device, monitoring server, event monitoring method, and recording medium

Publications (2)

Publication Number Publication Date
JPWO2019022207A1 JPWO2019022207A1 (en) 2020-03-19
JP6902211B2 true JP6902211B2 (en) 2021-07-14

Family

ID=65040787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019532868A Active JP6902211B2 (en) 2017-07-28 2018-07-26 Event monitoring system, terminal device, monitoring server, event monitoring method and program

Country Status (2)

Country Link
JP (1) JP6902211B2 (en)
WO (1) WO2019022207A1 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03188528A (en) * 1989-09-27 1991-08-16 Hitachi Ltd Method and system for job execution management
JPH05347636A (en) * 1992-06-12 1993-12-27 Nec Eng Ltd Data transmission system
JP2002099522A (en) * 2000-09-25 2002-04-05 Hitachi Ltd Message transfer method
JP2007272740A (en) * 2006-03-31 2007-10-18 Ntt Docomo Inc Decompression device, compression communication system and compression communication method
US9109928B2 (en) * 2007-08-16 2015-08-18 International Business Machines Corporation Methods and apparatus for efficient and adaptive transmission of data in data collection networks

Also Published As

Publication number Publication date
JPWO2019022207A1 (en) 2020-03-19
WO2019022207A1 (en) 2019-01-31

Similar Documents

Publication Publication Date Title
WO2016132717A1 (en) Log analysis system, log analysis method, and program recording medium
JP6919569B2 (en) Log analysis systems, methods, and recording media
JP6048038B2 (en) Information processing apparatus, program, and information processing method
US10860447B2 (en) Database cluster architecture based on dual port solid state disk
TW200836080A (en) Storing log data efficiently while supporting querying to assist in computer network security
KR100895102B1 (en) System and method detection of a file
JP2011138422A (en) Device, method and program for detecting behavioral-pattern
US11989161B2 (en) Generating readable, compressed event trace logs from raw event trace logs
JP2009048377A (en) File difference management apparatus, file difference management method and file difference management program
US9817834B1 (en) Techniques for performing an incremental backup
CN106681865B (en) Service recovery method and device
WO2014086508A1 (en) Restoring a previous version of a virtual machine image
JP6902211B2 (en) Event monitoring system, terminal device, monitoring server, event monitoring method and program
CN103399714B (en) The maintenance system of storage device configurations information and using method thereof
CN117271222A (en) Cloud disaster recovery backup method and system for big data
JP4780015B2 (en) Backup apparatus, method, and program
JP6216621B2 (en) Plant monitoring and control system
US9633066B1 (en) Taking a consistent cut during replication for storage across multiple nodes without blocking input/output
Cho An intuitive computer forensic method by timestamp changing patterns
JP4897359B2 (en) MEMORY MANAGEMENT DEVICE, MEMORY MANAGEMENT METHOD, AND PROGRAM
JP6340990B2 (en) Message display method, message display device, and message display program
JP6787873B2 (en) Abnormal type judgment device, abnormal type judgment method and program
JP5679347B2 (en) Failure detection device, failure detection method, and program
CN109344130A (en) A kind of blog management method and device
JP6508202B2 (en) INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND PROGRAM

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191105

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191105

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210121

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210520

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210602

R150 Certificate of patent or registration of utility model

Ref document number: 6902211

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150