JP6904420B2 - 情報選択装置、情報選択方法、及び、情報選択プログラム - Google Patents

情報選択装置、情報選択方法、及び、情報選択プログラム Download PDF

Info

Publication number
JP6904420B2
JP6904420B2 JP2019535663A JP2019535663A JP6904420B2 JP 6904420 B2 JP6904420 B2 JP 6904420B2 JP 2019535663 A JP2019535663 A JP 2019535663A JP 2019535663 A JP2019535663 A JP 2019535663A JP 6904420 B2 JP6904420 B2 JP 6904420B2
Authority
JP
Japan
Prior art keywords
information
target
processing
log information
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019535663A
Other languages
English (en)
Other versions
JPWO2019031473A1 (ja
Inventor
悦子 市原
悦子 市原
純明 榮
純明 榮
秀一 狩野
秀一 狩野
多賀戸 裕樹
裕樹 多賀戸
和彦 磯山
和彦 磯山
佑嗣 小林
佑嗣 小林
敬喜 朝倉
敬喜 朝倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019031473A1 publication Critical patent/JPWO2019031473A1/ja
Application granted granted Critical
Publication of JP6904420B2 publication Critical patent/JP6904420B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、事象に関する情報を提供する情報選択装置等に関する。
ランサムウェア(Ransomware)、及び、マルウェア(malware)は、情報処理システムに対して悪影響を与えるソフトウェアである。情報処理システムがマルウェア等から攻撃を受けた場合には、該マルウェアが該情報処理システムに侵入した手順等を解明することによって、マルウェアから該情報処理システムを防御する体制を整えることができることに加え、さらに、マルウェアに対する対策を行うことができる。たとえば、対策は、通信ネットワークを遮断する対策、または、マルウェアである可能性が高いファイルを特定する対策等である。このような体制を整える装置の一例として、特許文献1及び特許文献2には、マルウェアを検出する装置が開示されている。また、特許文献3及び特許文献4には、情報処理システムにおける処理を可視化する装置が開示されている。
特許文献1には、マルウェアを検出する検出装置が開示されている。該検出装置は、プログラムが関数を呼び出す依存関係を表す依存情報を作成する。該検出装置は、マルウェアでないプログラムに関する該依存関係を表すパターンと、該依存情報とを比較する。
特許文献2には、マルウェアを検知する検知装置が開示されている。該検知装置は、マルウェアである可能性があるファイルを複数のクラスタに分類する。該検知装置は、クラスタに属している代表的なファイルを選択し、選択したファイルを静的に解析することによって、該ファイルがマルウェアを含んでいるか否かを判定する。
特許文献3には、情報処理システムにおいて処理されているデータを、グラフを用いて表すことによって、該情報処理システムにおけるデータの流れを可視化する情報処理装置が開示されている。また、特許文献4には、複数のイベント間における関連性を、グラフを用いて表すことによって、該関連性を可視化する情報処理装置が開示されている。
特表2017−505944号公報 特開2012−083849号公報 国際公開第2015/141220号 国際公開第2017/094820号
しかし、特許文献1乃至特許文献4に開示されたいずれの装置を用いたとしても、情報処理システムにおいて生じた事象を迅速に解明することは難しい。たとえば、特許文献1に開示された装置、または、特許文献2に開示された装置は、マルウェアを検出するものの、該マルウェアが情報処理システムに侵入した手順等を解明することはできない。また、特許文献3、または、特許文献4に開示された装置は、情報処理システムにて生じた事象を可視化する。しかし、該情報処理システムの規模が大きくなるにつれ該事象を表す表示情報が膨大になるので、これらの装置を用いたとしても、該表示情報の中から、注目する事象を迅速に見つけることは難しい。
そこで、本発明の目的の1つは、注目する事象に関する情報を迅速に取得することが可能な情報選択装置等を提供することである。
本発明の1つの態様として、情報選択装置は、
対象システムにおける処理対象に対して処理が実施されたことを表すログ情報のうち、該対象システムにて実施された異常処理に対して影響を与えた可能性がある、前記処理対象を含む対象ログ情報を特定する対象情報特定手段と、
前記処理及び前記処理対象の組み合わせごとに前記対象ログ情報の頻度を算出し、算出した前記頻度に基づき該対象ログ情報が異常である程度を表す異常度を算出する算出手段と、
前記対象ログ情報のうち、前記異常度が、異常なログ情報を判定する基準を満たしている関連ログ情報を選択する選択手段と
を備える。
また、本発明の他の態様として、情報選択方法は、
情報処理装置によって、対象システムにおける処理対象に対して処理が実施されたことを表すログ情報のうち、該対象システムにて実施された異常処理に対して影響を与えた可能性がある、前記処理対象を含む対象ログ情報を特定し、前記処理及び前記処理対象の組み合わせごとに前記対象ログ情報の頻度を算出し、算出した前記頻度に基づき該対象ログ情報が異常である程度を表す異常度を算出し、前記対象ログ情報のうち、前記異常度が、異常なログ情報を判定する基準を満たしている関連ログ情報を選択する。
また、本発明の他の態様として、情報選択プログラムは、
対象システムにおける処理対象に対して処理が実施されたことを表すログ情報のうち、該対象システムにて実施された異常処理に対して影響を与えた可能性がある、前記処理対象を含む対象ログ情報を特定する対象情報特定機能と、
前記処理及び前記処理対象の組み合わせごとに前記対象ログ情報の頻度を算出し、算出した前記頻度に基づき該対象ログ情報が異常である程度を表す異常度を算出する算出機能と、
前記対象ログ情報のうち、前記異常度が、異常なログ情報を判定する基準を満たしている関連ログ情報を選択する選択機能と
をコンピュータに実現させる。
さらに、同目的は、係るプログラムを記録するコンピュータが読み取り可能な記録媒体によっても実現される。
本発明に係る情報選択装置等によれば、注目する事象に関する情報を迅速に取得することができる。
本発明の第1の実施形態に係る情報選択装置が有する構成を示すブロック図である。 第1の実施形態に係る情報選択装置における処理の流れを示すフローチャートである。 処理情報記憶部に格納される処理情報の一例を概念的に表す図である。 通信情報記憶部に格納される通信情報の一例を概念的に表す図である。 ファイル情報記憶部に格納されるファイル情報の一例を概念的に表す図である。 関連情報記憶部に格納される関連情報の一例を概念的に表す図である。 グラフ情報記憶部に格納されるグラフ情報の一例を概念的に表す図である。 ログ情報の一例を概念的に表す図である。 本発明の第2の実施形態に係る情報選択装置が有する構成を示すブロック図である。 第2の実施形態に係る情報選択装置における処理の流れを示すフローチャートである。 本発明の第3の実施形態に係る情報選択装置が有する構成を示すブロック図である。 第3の実施形態に係る情報選択装置における処理の流れを示すフローチャートである。 本発明の第4の実施形態に係る情報選択装置が有する構成を示すブロック図である。 第4の実施形態に係る情報選択装置における処理の流れを示すフローチャートである。 本発明の各実施形態に係る情報選択装置を実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。
次に、本発明を実施する実施形態について図面を参照しながら詳細に説明する。
<第1の実施形態>
図1を参照しながら、本発明の第1の実施形態に係る情報選択装置101が有する構成について詳細に説明する。図1は、本発明の第1の実施形態に係る情報選択装置101が有する構成を示すブロック図である。
第1の実施形態に係る情報選択装置101は、異常判定部102と、対象情報特定部103と、算出部104と、選択部105とを有する。情報選択装置101は、さらに、表示情報作成部106と、情報変換部107とを有していてもよい。情報選択装置101は、処理情報記憶部108と、通信情報記憶部109と、ファイル情報記憶部110と、関連情報記憶部111と、グラフ情報記憶部112とを有していてもよい。処理情報記憶部108と、通信情報記憶部109と、ファイル情報記憶部110と、関連情報記憶部111と、グラフ情報記憶部112とに関しては、それぞれ、図3乃至図7を参照しながら後述する。
情報選択装置101は、管理装置151と通信可能に接続されていてもよいし、管理装置151に含まれていてもよいし、通信ネットワーク152を介して対象装置(対象装置153、及び、対象装置155)と通信接続していてもよい。以降の説明においては、説明の便宜上、情報選択装置101は、通信ネットワーク152を介して、管理装置151と通信可能に接続されているとする。
対象装置153は、たとえば、自装置において実行された処理を監視しているエージェント154を有する情報処理装置である。同様に、対象装置155は、たとえば、自装置において実行された処理を監視しているエージェント156を有する情報処理装置である。エージェント154、及び、エージェント156は、各エージェントを有する対象装置において実行された処理の内容を表すログ情報を作成し、作成したログ情報(図8に例示)を、通信ネットワーク152を介して管理装置151(または、情報選択装置101)に送信する。図8は、ログ情報の一例を概念的に表す図である。
ログ情報においては、たとえば、対象装置153において実行された処理に関して、該処理が実行された日時と、該処理を実行したユーザを表すユーザ識別子(以降、識別子を「ID」と表す)と、該処理を表す処理IDと、該処理における処理内容を表す情報とが関連付けされている。ログ情報においては、さらに、該ログ情報を作成したエージェントを表すエージェントIDが関連付けされていてもよい。処理内容は、たとえば、該処理を表す処理情報(図3を参照しながら後述する)、該処理においてアクセスされたファイルを表すファイル情報(図5を参照しながら後述する)、または、該処理(この場合に、通信処理)においてアクセスされたソケットを表すソケット情報を含む通信情報(図4を参照しながら後述する)である。
図8に例示されたログ情報においては、たとえば、日時「2017/7/19 10:15:28」、ユーザID「A」、処理ID「39」、処理内容「プロセスPを起動する」、及び、エージェントID「B」が関連付けされている。これは、処理ID「39」が表す処理が実行された日時が、「2017/7/19 10:15:28」であり、該処理を実行したユーザを表すユーザIDが「A」であり、「プロセスPを起動する」という処理が実行され、エージェントID「B」が表すエージェントが該ログ情報を作成したことを表す。管理装置151は、たとえば、該エージェントIDが表すエージェントから、図8に例示されたログ情報のうち、該エージェントIDに関連付けされたログ情報を受信する。
以降においては、説明の便宜上、対象装置153、及び、対象装置155は、情報処理装置であると仮定する。しかし、対象装置153、及び、対象装置155は、情報処理装置でなくてもよい。また、対象装置は、2台の情報処理装置でなく、3台以上の情報処理装置であってもよい。以降、複数の対象装置を含むシステムを、「対象システム」と表す。
管理装置151は、各エージェントが送信したログ情報(図8に例示)を受信し、受信したログ情報を監視することによって、通信ネットワーク152を介して通信接続している各対象装置を管理している。管理装置151は、該ログ情報、または、ログ情報を監視した結果を表す情報を、たとえば、情報選択装置101に送信する。以降の説明においては、説明の便宜上、情報選択装置101は、各エージェントから、ログ情報(図8に例示)を受信すると仮定する。
情報選択装置101は、各エージェントからログ情報(図8に例示)を受信し、受信したログ情報に基づき、図2を参照しながら後述する処理を実行する。情報選択装置101は、図2を参照しながら後述する処理において作成した各情報を、処理情報記憶部108、通信情報記憶部109、ファイル情報記憶部110、または、関連情報記憶部111に格納する。
次に、図3乃至図6を参照しながら、処理情報記憶部108と、通信情報記憶部109と、ファイル情報記憶部110と、関連情報記憶部111とについて、それぞれ、説明する。まず、図3を参照しながら、処理情報記憶部108に格納される処理情報について説明する。図3は、処理情報記憶部108に格納される処理情報の一例を概念的に表す図である。
処理情報は、対象装置を含む対象システムにて取得されたログ情報に含まれている処理を表す情報である。図3に例示された処理情報においては、処理が実行された日時と、該処理を実行したユーザを表すユーザIDと、該処理の名称を表す処理名と、該処理を表す処理IDと、該処理の内容を表す処理内容とが関連付けされている。処理情報は、上述した例に限定されない。
図3に例示された処理情報においては、日時「2017/7/20 14:12:33」と、ユーザID「D」と、処理名「削除」と、処理ID「231」と、処理内容「ファイルF2を削除する」とが関連付けされている。これは、ユーザIDが「D」であるユーザが、処理ID「231」が表す処理を実行し、該処理が日時「2017/7/20 14:12:33」にファイル「F2」を削除したことを表す。
図4を参照しながら、通信情報記憶部109に格納される通信情報について説明する。図4は、通信情報記憶部109に格納される通信情報の一例を概念的に表す図である。
通信情報は、対象装置を含む対象システムにて取得されたログ情報に含まれている処理のうちの通信処理に関する情報である。通信情報においては、たとえば、通信処理において送信される情報が経由したソケットを表す情報と、該通信処理において受信される情報が経由したソケットを表すソケット情報とが関連付けされている。該ソケット情報は、対象装置に割り当てられたアドレスと、該対象装置において使用されたポート番号とが関連付けされている情報である。通信情報は、上述した例に限定されない。
図4に例示された通信情報においては、送信側の対象装置にアドレス「1.2.3.4」と、ポート番号「56」とが関連付けされている。さらに、該通信情報においては、受信側の対象装置にアドレス「7.8.9.1」と、ポート番号「12」とが関連付けされている。これは、情報が、アドレス「1.2.3.4」が割り当てられた対象装置におけるポート番号「56」から、アドレス「7.8.9.1」が割り当てられた対象装置におけるポート番号「12」に送信された通信処理を表す。
図5を参照しながら、ファイル情報記憶部110に格納されるファイル情報について説明する。図5は、ファイル情報記憶部110に格納されるファイル情報の一例を概念的に表す図である。
ファイル情報は、対象装置を含む対象システムにて取得されたログ情報に含まれている処理にてアクセスされたファイルを表す情報である。ファイル情報は、たとえば、ファイルが格納されている領域を表す記憶領域と、該ファイルの名称を表すファイル名とが関連付けされる。図5に例示されたファイル情報においては、記憶領域「Dir1/Dir2」と、ファイル名「B」とが関連付けされている。これは、ファイル名「B」が表すファイルが、記憶領域が「Dir1/Dir2」にて示される領域に格納されていることを表す。
図6を参照しながら、関連情報記憶部111に格納される関連情報について説明する。図6は、関連情報記憶部111に格納される関連情報の一例を概念的に表す図である。
関連情報は、対象装置を含む対象システムにて取得されたログ情報に含まれている処理にて、該処理が処理対象に対して施した処理における処理内容を表す情報である。該処理対象は、たとえば、ファイル、ソケット、または、処理において実行された他の処理である。関連情報においては、処理を表す処理IDと、該処理における処理内容を表す情報とが関連付けされる。関連情報においては、さらに、該処理が実行された日時を表す情報、該処理を実行したユーザを表すユーザID、該処理に関するログ情報(図8に例示)を作成したエージェントを表すエージェントID、該関連情報を識別可能な関連情報ID、または、該処理対象の種別を表す対象種別が関連付けされていてもよい。関連情報は、対象種別ごとに分類された情報であってもよい。関連情報は、上述した例に限定されない。
図6に例示された関連情報においては、たとえば、以下に示した項目1乃至項目7が関連付けされている。
(項目1)関連情報ID「30」、
(項目2)日時「2017/7/5 10:11:12」、
(項目3)ユーザID「E」、
(項目4)エージェントID「3」、
(項目5)処理ID「5」、
(項目6)対象種別「ファイル」、
(項目7)処理内容「記憶領域Dir3におけるファイルBB4に書き込む」。
これは、ユーザID「E」が表すユーザが、処理ID「5」が表す処理を、日時「2017/7/5 10:11:12」にて起動したことを表す。さらに、これは、エージェントID「3」が表すエージェントが該処理に関するログ情報を作成し、該処理がファイル(すなわち、処理対象の一例)に対して実行されたであったことを表す。また、これは、該処理が「記憶領域Dir3におけるファイルBB4に書き込む」処理であることを表す。
上述したように、関連情報(図6に例示)における処理は、対象種別に応じて、他の処理に対して実行された処理と、ファイル、または、ソケット等の対象装置が有している処理対象に対して実行された処理とに大別される。以降の説明においては、説明の便宜上、前者に関する関連情報を「コントロールフロー」と表し、後者に関する関連情報を「データフロー」と表す。
情報変換部107は、ログ情報(図8に例示)を解析することによって、処理情報(図3に例示)、通信情報(図4に例示)、ファイル情報(図5に例示)、及び、関連情報(図6に例示)を作成する。たとえば、情報選択装置101において、情報変換部107は、受信したログ情報(図8に例示)のうち、ファイルに関する情報を表すファイル情報(図5に例示)を作成し、作成したファイル情報をファイル情報記憶部110に格納する。情報変換部107は、受信したログ情報(図8に例示)のうち、通信処理に関する情報を表す通信情報(図4に例示)を作成し、作成した通信情報を通信情報記憶部109に格納する。情報変換部107は、受信したログ情報(図8に例示)のうち、処理に関する情報を表す処理情報(図3に例示)を作成し、作成した該処理情報を処理情報記憶部108に格納する。
処理がファイルに対する処理である場合に、情報変換部107は、該処理を表す処理IDと、処理対象の種別(この場合に、「ファイル」)と、該ファイルを表すファイル名とが関連付けされた関連情報(図6に例示)を作成し、作成した該関連情報を関連情報記憶部111に格納する。処理が通信に関する通信処理である場合に、情報変換部107は、該処理を表す処理IDと、該処理対象の種別(この場合に、「ソケット」)と、該通信処理における処理対象を表す情報とが関連付けされた関連情報(図6に例示)を作成し、作成した該関連情報を関連情報記憶部111に格納する。処理が別の処理を実行する処理である場合に、情報変換部107は、該処理を表す処理IDと、処理対象の種別(この場合に、「処理」)と、該別の処理を表す処理IDとが関連付けされた関連情報(図6に例示)を作成し、作成した該関連情報を関連情報記憶部111に格納する。
情報選択装置101において、対象情報特定部103は、処理情報(図3に例示)、通信情報(図4に例示)、ファイル情報(図5に例示)、及び、関連情報(図6に例示)に基づき、グラフ情報(図7に例示)を作成する。図7は、グラフ情報記憶部112に格納されるグラフ情報の一例を概念的に表す図である。
グラフ情報は、対象装置を含む対象システムにて実行された処理が概念的に表されている情報である。グラフ情報は、たとえば、節点(vertex)(たとえば、節点501乃至節点507)と、エッジ(edge)(たとえば、エッジ511乃至エッジ517)とを含むグラフを表す情報である。節点は、処理対象に対応している。エッジは、処理対象の間をデータ(または、情報)が移動する事象(以降、「データ移動」と表す)に対応している。本実施形態において、エッジは、2つの節点を関連付けしている有向枝を用いて表されている。エッジは、データ(または、情報)が移動する方向に従い向きが決められる。節点には、該節点に関する情報がラベル(節点内に図示)付けされていてもよい。節点に関する情報は、たとえば、該節点に対応する処理対象を識別する情報である。同様に、エッジには、該エッジに関する情報がラベル(エッジに重畳する態様にて図示、たとえば、ラベル521)付けされていてもよい。エッジに関する情報は、たとえば、該エッジに関する処理における処理内容を表す情報である。図7においては、アドレス「3.4.5.6」なる対象装置におけるポート番号「452」は、節点502と、節点506とを用いて表されている。これは、1つの処理対象を2つの節点を用いて表しているが、図を見やすくするために、便宜的に記載したものである。
本実施形態において、節点は、処理情報(図3に例示)における各処理を表す情報、通信情報(図4に例示)における各ソケットを表す情報、または、ファイル情報(図5に例示)における各ファイルを表す情報に対応している。たとえば、関連情報(図6に例示)において、処理IDが表す処理が処理対象(ファイル、ソケット、または、処理)に対して施された場合に、該処理に対応している節点と、該処理対象を表す節点とが、エッジを用いて関連付けされる。
図7に例示されたグラフ情報において、節点501には、エージェントID「3」、及び、処理ID「5」なるラベルが付与されている。これは、エージェントID「3」が表すエージェントが作成したログ情報(図8に例示)において処理ID「5」が表す処理が、節点501に対応していることを表す。節点502には、アドレス「3.4.5.6」、及び、ポート番号「452」なるラベルが付与されている。これは、アドレス「3.4.5.6」とポート番号「452」とが表すソケットが、節点502に対応していることを表す。節点504には、記憶領域「Dir3」、及び、ファイル名「BB4」なるラベルが付与されている。これは、ファイル名「BB4」が表すファイルが記憶領域「Dir3」に格納されており、該ファイルが節点504に対応していることを表す。
図7に例示されたグラフ情報においては、節点501と、節点503とがエッジ511を用いて関連付けされている。また、エッジ511は、ラベル521が付与されている。これは、節点501に対応する処理が、節点503に対応する処理を実行した(ラベル521)ことを表し、関連情報(図6に例示)内の関連情報ID「40」に識別される関連情報が表す処理におけるデータ移動に対応している。図7に例示されたグラフ情報において、節点501と、節点504とがエッジ512を用いて関連付けされている。これは、節点501に対応する処理が、節点504に対応するファイルに書き込む(ラベル「write」)ことを表し、関連情報(図6に例示)内の関連情報ID「30」が表す関連情報が表す処理におけるデータ移動に対応している。図7に例示されたグラフ情報において、節点503と、節点506とがエッジ513を用いて関連付けされている。これは、節点503に対応する処理が、節点506に対応するソケットをクローズした(ラベル「close」)ことを表し、関連情報(図6に例示)内の関連情報ID「43」が表す関連情報が表す処理におけるデータ移動に対応している。同様に、グラフ情報(図7に例示)におけるエッジ514、及び、エッジ517は、関連情報(図6に例示)内の関連情報ID「42」が表す関連情報が表す処理におけるデータ移動に対応している。グラフ情報(図7に例示)におけるエッジ514、及び、エッジ515は、関連情報(図6に例示)内の関連情報ID「51」が表す関連情報が表す処理におけるデータ移動に対応している。グラフ情報(図7に例示)におけるエッジ516は、関連情報(図6に例示)内の関連情報ID「45」が表す関連情報が表す処理におけるデータ移動に対応している。
たとえば、エッジには、関連情報(図6に例示)における処理内容に基づき、たとえば、以下に示すラベル1乃至ラベル9を付与することができる。
(ラベル1)「execute」:ある処理が他の処理を実行する(エッジは、「ある処理」から「他の処理」への向き)、
(ラベル2)「read」:ある処理がファイルを読み取る(エッジは、「ファイル」から「ある処理」への向き)、
(ラベル3)「write」:ある処理がファイルに書き込む(エッジは、「ある処理」から「ファイル」への向き)、
(ラベル4)「move」:ある処理がファイルを格納している場所を変更する(エッジは、「ある処理」から「ファイル」への向き)、
(ラベル5)「delete」:ある処理がファイルを削除する(エッジは、「ある処理」から「ファイル」への向き)、
(ラベル6)「open」:ある処理がソケットを開く(エッジは、「ある処理」から「ソケット」への向き)、
(ラベル7)「close」:ある処理がソケットを閉じる(エッジは、「ある処理」から「ソケット」への向き)、
(ラベル8)「send」:ある処理がソケットを介して情報を送信する(エッジは、「ある処理」から「ソケット」への向き)、
(ラベル9)「receive」:ある処理がソケットを介して情報を受信する(エッジは、「ソケット」から「ある処理」への向き)。
したがって、ラベル2乃至ラベル5は、ある処理がファイルに対して施された場合における処理を表す。ラベル6乃至ラベル9は、ある処理がソケットに対して施された場合における処理を表す。
ラベルは、ラベル1乃至ラベル9にて示された例に限定されない。たとえば、ラベル1は、ある処理が他の処理を開始することを表す「start」、及び、ある処理が他の処理を完了することを表す「end」であってもよい。たとえば、ラベルは、ある処理が他の処理を作成する「Create」であってもよい。
エッジに付与されるラベルは、該エッジに関する処理が実行された日時を表す情報を含んでいてもよい。エッジに付与されるラベルは、該エッジに関する処理を実行するユーザを表すユーザIDを表す情報を含んでいてもよい。
図7に例示されたグラフ情報が表すグラフは、たとえば、隣接行列(Adjacency matrix)を用いて表されている。
次に、図2を参照しながら、本発明の第1の実施形態に係る情報選択装置101における処理について詳細に説明する。図2は、第1の実施形態に係る情報選択装置101における処理の流れを示すフローチャートである。グラフ理論における技術用語を用いながら第1の実施形態に係る情報選択装置101における処理の流れについて説明するが、情報選択装置101における処理は、図2を参照しながら説明する処理と同様な処理であればよい。
異常判定部102は、対象システムから受け取ったログ情報が、所定の異常判定条件を満たしている処理(以降、「異常処理」と表す)を含む異常ログ情報であるか否かを判定する(ステップS101)。所定の異常判定条件は、たとえば、対象装置153において通常実行されている処理と異なる処理が実行されるという条件である。所定の異常判定条件は、たとえば、対象装置153において処理が実施された頻度が所定の閾値よりも少ないという条件である。所定の閾値は、たとえば、対象装置において定常的に生じる通信量と、該対象装置にて異常が生じた場合に生じる通信量とを分類する値である。または、所定の閾値は、たとえば、対象装置において定常的に生じるファイルアクセスの頻度と、該対象装置にて異常が生じた場合に生じるファイルアクセスの頻度とを分類する値である。また、所定の異常判定条件は、異常である処理に関する情報があらかじめ格納されているリスト情報に基づき、ログ情報における処理が該リスト情報に含まれている情報と一致するという条件であってもよい。所定の異常判定条件は、たとえば、条件1乃至条件6に示された条件である。
(条件1)管理者権限(administrator authority)を有するユーザが、通常は実施していない処理を実行した(たとえば、管理者権限を有するユーザが、あるポート番号を無制限に開放した、該ユーザが、複数のファイルを暗号化した)、
(条件2)通常の通信量から乖離した通信が生じた(たとえば、通信がめったに行われない時間帯に通信が実行された)、
(条件3)通信が実行される時間間隔が、通常の該時間間隔から乖離した通信が生じた(たとえば、時間当たりの通信頻度が、通常の頻度よりも多い通信が生じた)、
(条件4)通常は、複数の対象装置に対してマルチキャストする通信が実行されていないにもかかわらず、マルチキャストする通信が実行された、
(条件5)通常とは異なる時間帯に処理が実行された(深夜の時間帯にサーバにアクセスした、または、深夜の時間帯にファイルにアクセスした等)、
(条件6)2つのソケットの間にて、初めて、通信が実行された(すなわち、通信が実行されたソケットの組み合わせとして、初めて、取得されたログ情報である)。
所定の異常判定条件は、上述した例に限定されない。また、異常判定部102が異常処理を特定するのに応じて、ステップS102以降に示された処理が実行されてもよい。この場合には、異常処理に関する情報が迅速に取得できるという効果を奏する。
次に、対象情報特定部103は、処理情報記憶部108に格納されている処理情報(図3に例示)、通信情報記憶部109に格納されている通信情報(図4に例示)、ファイル情報記憶部110に格納されているファイル情報(図5に例示)、及び、関連情報記憶部111に格納されている関連情報(図6に例示)を読み取る。対象情報特定部103は、異常判定部102が選択した異常処理に対して影響を与えた可能性がある処理、及び、該異常処理に対して影響を与えた可能性がある処理対象を含むグラフ情報(図7に例示)を作成する(ステップS102)。したがって、該グラフ情報は、対象装置において実行された処理のうち、異常処理に影響を与えた可能性がある処理、または、該異常処理に影響を与えた可能性がある処理対象が概念的に表されている情報である。
対象情報特定部103は、たとえば、関連情報(または、ログ情報)のうち、該異常処理が生じたタイミング以前に実行された処理であって、該異常処理を起動した処理、該異常処理がアクセスしたファイル、または、該異常処理が実行した通信にて使用されたソケットを含む処理を特定することによって、該異常処理に影響を与えた可能性がある処理を特定する。対象情報特定部103は、さらに、特定した該処理、特定した該ソケット、または、特定した該ファイルに対して実施された処理を、該異常処理に影響を与えた可能性がある処理として特定してもよい。さらに、対象情報特定部103は、上記の処理を再帰的に実行することによって、該異常処理に影響を与えた可能性がある処理を特定してもよい。
たとえば、対象情報特定部103は、処理情報(図3に例示)における各処理を表す情報、通信情報(図4に例示)における各ソケットを表すソケット情報、及び、ファイル情報(図5に例示)における各ファイルを表す情報を、それぞれ、節点として設定し、各節点に対応しているラベルを該節点に付与する。次に、対象情報特定部103は、関連情報(図6に例示)における各関連を表す情報を、該節点を関連付けするエッジとして設定する。上述したような処理によって、対象情報特定部103は、対象装置を含む対象システムにて実行された処理が概念的に表現されたグラフ情報(図7に例示)を作成する。たとえば、図7における節点507によって表現された処理が異常処理である場合に、対象情報特定部103は、該異常処理に対して影響を与えた可能性がある処理対象として、節点507に到達可能な節点を特定する。図7に例示されたグラフ情報の場合に節点507に到達可能な節点は、有向枝を逆向きに辿ることにより、節点501乃至節点503、節点505乃至節点506等と特定される。ただし、上述したように、図7においては、見易さのため、1つの処理対象を、節点502と、節点506とを2つの節点を用いて表しているため、節点502と、節点506とは1つの節点である。したがって、節点507について上述した節点が特定される。
また、図7における節点507によって表現された処理が異常処理である場合に、対象情報特定部103は、該異常処理に対して影響を与えた可能性がある処理として、節点507に到達可能な節点を探索する場合に経由したエッジを特定する。図7に例示されたグラフ情報の場合に、該エッジは、節点507に到達可能な節点を特定する場合に経由した有向枝を逆向きに辿ることにより、エッジ515、エッジ514、エッジ517、エッジ513、及び、エッジ511と特定される。有向枝を逆向きに辿る順序は、上述した例に限定されない。
言い換えると、対象情報特定部103は、たとえば、対象装置を含む対象システムにて取得されたログ情報のうち、異常処理に対して影響を与えた可能性がある処理対象を含むログ情報(以降、「対象ログ情報」と表す)を特定する。すなわち、図7に例示されたグラフ情報の場合に、対象情報特定部103は、エッジ514及びエッジ515に対応しているログ情報、エッジ514及びエッジ517に対応しているログ情報、エッジ513に対応しているログ情報、及び、エッジ511に対応しているログ情報を、対象ログ情報として特定する。
次に、算出部104は、グラフ情報(図7に例示)における各エッジに対して、処理及び処理対象の組み合わせごとに、該エッジが表すログ情報(または、関連情報)の頻度を算出する。算出部104は、グラフ情報(図7に例示)における2つの節点の間におけるエッジの本数を算出することによって、該頻度を算出する。算出部104は、処理及び処理対象の組み合わせごとに算出した該頻度に応じて、該関連情報が生じた(すなわち、処理が処理対象に対して実行される)ことに対する異常度(abnormality)を表すスコアを算出する(ステップS103)。算出部104は、エッジに対して算出した該スコアを、該エッジに関連付けする(すなわち、該エッジに対するラベルとして付与する)。ステップS103に示す処理において、算出部104は、たとえば、関連情報が生じた頻度を算出し、算出した該頻度に基づき後述するような異常度を算出する。
算出部104が異常度を算出する処理について説明する。異常度は、関連情報における処理(すなわち、処理対象(ファイル情報(図5に例示)、通信情報(図4に例示)におけるソケット情報、または、処理情報(図3に例示))に対して実行された処理)が異常である程度を表す情報である。
説明の便宜上、異常度が大きな値であるほど、該処理対象に対して実行された処理の頻度が少ないことを表すとする。また、異常度が小さな値であるほど、該処理対象に対して実行された処理の頻度が多いことを表すとする。頻度は、ある期間における頻度であってもよいし、特定の期間における頻度に対する、該ある期間における頻度(すなわち、相対頻度)であってもよい。算出部104は、処理対象に対して実行された処理の頻度が多いほど、小さな値である異常度を算出する。また、算出部104は、処理対象に対して実行された処理の頻度が少ないほど、大きな値である異常度を算出する。該頻度は、処理対象に対して実行された処理ごとに算出される。
スコアを算出する処理について具体的に説明する。対象装置153が管理装置151に情報を送信する通信処理は、繰り返し実行される(すなわち、頻度が多い)ことが多い。この場合に、算出部104は、該対象装置153において実行された該通信処理と、該通信処理にて経由するソケットを表すソケット情報とが関連付けされたエッジに関するスコアとして、異常度が低いことを表すスコアを算出する。算出部104は、たとえば、ある期間において該通信処理がN(Nは、自然数)回実行された場合に、該通信処理に対応するエッジに、「1÷N」というスコアを算出してもよい。
たとえば、管理者権限を有したユーザがソケットを介して通信する処理が異常処理である可能性が高い場合には、算出部104は、該処理を表す節点と、該ソケットを表す節点とを関連付けしているエッジに対して、高いスコアを算出する。あるいは、複数の対象装置が1つの対象装置153に対して送信する処理が異常処理である可能性が低い場合には、算出部104は、該処理を表す節点と、該送信処理にて用いたソケットを表す節点とを関連付けしているエッジに対して、低いスコアを算出する。
したがって、算出部104によって算出されたスコアがラベルとして付与されたグラフ情報は、各対象装置において実行された各処理に関して、各処理が異常である程度を表す異常度がラベルとして関連付けされている情報である。
したがって、ステップS103において、算出部104は、対象装置を含む対象システムにて取得されたログ情報(図8に例示、または、関連情報)に対して、該ログ情報の頻度に基づき、該ログ情報が異常である程度を表す異常度を算出する。
図2に示されたステップS103の後に、選択部105は、異常度がスコアとしてラベル付けされたグラフ情報のうち、該スコアが所定の閾値以下であるエッジを削除することによって、異常処理に関連している部分を選択する。接続しているエッジが存在していない節点がある場合に、選択部105は、グラフ情報から当該節点を削除してもよい。また、選択部105は、ステップS101にて異常であると判定した処理を表す節点に至る経路が存在しない節点(または、エッジ)を削除してもよい。
言い換えると、選択部105は、スコアが所定の閾値以下であるエッジを削除することによって、グラフ情報(図7に例示)から、スコアが所定の閾値よりも大きなエッジ(及び、該エッジに接続している節点)を特定している。すなわち、選択部105は、対象装置153において実行された異常処理に対して影響を与えた可能性があるログ情報のうち、異常度が所定の条件を満たしているログ情報(以降、「関連ログ情報」と表す)を選択する(ステップS104)。該所定の条件は、関連ログ情報のうち、異常なログ情報を判定する基準を表す。
選択部105は、接続しているエッジが存在していない節点を削除することによって、対象装置153に関する処理対象(すなわち、処理、ソケット、または、ファイル)のうち、異常処理に関連している情報を選択する。また、選択部105は、異常であると判定した節点に至る経路が存在しない節点(または、エッジ)を削除することによって、さらに、異常処理に関連している可能性が高い対象を選択する。
したがって、選択部105は、グラフ情報(すなわち、対象装置153における処理が模式的に表されている情報)のうち異常度が所定の閾値よりも大きなエッジを選択することによって、対象ログ情報のうち、異常度が所定の条件を満たしている関連ログ情報(または、関連情報)を選択する。選択部105は、該異常な関連情報に含まれている処理、及び、処理対象のうち、少なくともいずれかの情報を選択してもよい。
次に、表示情報作成部106は、選択部105が選択した情報を表す表示情報を作成してもよい。表示情報作成部106は、たとえば、図7を参照しながら説明したグラフを表すグラフ情報を、選択部105が選択した関連ログ情報に対して作成することによって、表示情報を作成する。表示情報作成部106は、たとえば、図6に例示された関連情報と同様な態様によって、選択部105が選択した関連ログ情報を表す表示情報を作成してもよい。表示情報作成部106は、さらに、処理対象に応じた表示態様にて該関連ログ情報を表す表示情報を作成してもよい。あるいは、表示情報作成部106は、対象情報特定部103が作成したグラフ情報のうち、選択部105が選択した関連ログ情報に含まれている処理及び処理対象に関する部分を選択することによって、表示情報を作成してもよい。表示情報作成部106は、作成した該表示情報に応じた画面を表示装置(不図示)に表示する。
上述した説明において、対象情報特定部103は、処理情報記憶部108に格納されている処理情報(図3に例示)、通信情報記憶部109に格納されている通信情報(図4に例示)、ファイル情報記憶部110に格納されているファイル情報(図5に例示)、及び、関連情報記憶部111に格納されている関連情報(図6に例示)に基づき、グラフ情報(図7に例示)を作成してもよい。または、対象情報特定部103は、対象装置を含む対象システムにて取得されたログ情報(図8に例示)に基づき、該グラフ情報(図7に例示)を作成してもよい。さらに、対象情報特定部103は、対象装置153からログ情報(図8に例示)を受け取るのに応じて、該グラフ情報を作成してもよい。この場合に、ログ情報(図8に例示)を受け取るのに応じてグラフ情報(図7に例示)が作成されるので、情報選択装置101によれば、対象装置153に生じた異常に関する情報を早期に提供することができる。
また、上述した説明において、処理情報(図3に例示)、通信情報(図4に例示)、ファイル情報(図5に例示)、及び、関連情報(図6に例示)に基づき、グラフ情報を作成する処理は、これらの情報に基づき、グラフ情報記憶部112に格納されているグラフ情報を更新する処理であってもよい。この場合に、対象情報特定部103は、たとえば、ログ情報(図8に例示)を受け取るのに応じて、グラフ情報記憶部112に格納されているグラフ情報を読み取り、該ログ情報に基づき、読み取った該グラフ情報(図7に例示)に節点を追加する、節点を削除する、エッジを追加する、または、エッジを削除する等の更新処理を実行する。対象情報特定部103は、更新後のグラフ情報をグラフ情報記憶部112に格納する。このような更新処理によって、情報選択装置101は、対象装置153に生じた異常に関する情報を早期に提供することができる。この理由は、該更新処理が、グラフ情報を作成する処理に比べて処理量が少ないからである。
まとめると、情報選択装置101は、対象装置を含む対象システムにて実行された処理のうち、異常処理に対して影響を与えた可能性がある処理の範囲、または、該異常処理に対して影響を与えた可能性がある処理対象の範囲(上述した、対象ログ情報)を特定する。さらに、情報選択装置101は、該範囲の中から、さらに、異常度に基づき、異常である処理、または、異常である処理対象(上述した、異常なログ情報)を選択する。したがって、異常処理に関連している範囲が広い場合であっても、情報選択装置101によれば、該異常処理に影響を与えた可能性がある範囲を絞り込むことができる。
次に、本発明の第1の実施形態に係る情報選択装置101に関する効果について説明する。
第1の実施形態に係る情報選択装置101によれば、注目する事象に関する情報を迅速に取得することができる。この理由は、情報選択装置101が、対象装置を含む対象システムにて実行された処理を表すログ情報のうち、異常処理に対して影響を与えた可能性がある対象ログ情報を特定し、さらに、異常度を表すスコアが高い処理を特定するからである。
また、情報選択装置101が、ステップS104にて異常であると判定した処理に至る経路のみを有するグラフ情報を作成することによって、さらに、異常な処理が影響を与える範囲をより正確に算出することができる。この理由は、情報選択装置101が、2つの異常判定処理において、ともに、異常であると判定した処理を、異常な処理として選択するからである。
<第2の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第2の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図9を参照しながら、本発明の第2の実施形態に係る情報選択装置201が有する構成について詳細に説明する。図9は、本発明の第2の実施形態に係る情報選択装置201が有する構成を示すブロック図である。
第2の実施形態に係る情報選択装置201は、異常判定部102と、対象情報特定部203と、算出部204と、選択部105と、テンプレート情報記憶部213とを有する。情報選択装置201は、さらに、表示情報作成部106と、情報変換部107とを有していてもよい。情報選択装置201は、処理情報記憶部108と、通信情報記憶部109と、ファイル情報記憶部110と、関連情報記憶部111と、グラフ情報記憶部112とを有していてもよい。
情報選択装置201は、管理装置151と通信可能に接続されていてもよいし、管理装置151に含まれていてもよいし、通信ネットワーク152を介して対象装置153と通信接続していてもよい。
テンプレート情報記憶部213には、図7を参照しながら説明したようなグラフ情報が格納されている。以降、説明の便宜上、テンプレート情報記憶部213に格納されているグラフ情報を「テンプレート情報」と表す。
テンプレート情報におけるエッジには、所定の異常度がスコアとして関連付けされている。すなわち、該テンプレート情報においては、グラフ情報におけるエッジに、該エッジに関する所定の異常度がラベルとして付与されている。テンプレート情報は、対象装置が通常実行している処理を表すグラフ情報に含まれているエッジに対して低い異常度がラベルとして付与されたグラフ情報であってもよい。または、テンプレート情報は、対象装置に関して異常な処理(または、異常であると判定された処理)を表すグラフ情報に含まれているエッジに対して高い異常度がラベルとして付与されたグラフ情報であってもよい。したがって、テンプレート情報は、複数処理の組み合わせにおいて、各処理に関する所定の異常度が与えられている情報である。テンプレート情報は、上述した例に限定されない。
次に、図10を参照しながら、本発明の第2の実施形態に係る情報選択装置201における処理について詳細に説明する。図10は、第2の実施形態に係る情報選択装置201における処理の流れを示すフローチャートである。
異常判定部102は、対象システムから受け取ったログ情報が、所定の異常判定条件を満たしている異常処理を含む異常ログ情報であるか否かを判定する(ステップS101)。
対象情報特定部203は、情報選択装置201が受信したログ情報のうち、異常判定部102が選択した異常処理に対して影響を与えた可能性がある処理、及び、該異常処理に対して影響を与えた可能性がある処理対象を含む対象ログ情報を特定する(ステップS202)。対象情報特定部203は、たとえば、グラフ情報(図7に例示)に基づき、図2における上述したステップS102と同様な処理を実行することによって、対象ログ情報を特定してもよい。あるいは、対象情報特定部203は、関連情報記憶部111において異常処理と関連付けされている関連情報を特定することによって、対象ログ情報を特定してもよい。対象情報特定部203は、異常処理と関連付けされている関連情報に含まれている処理対象、または、処理IDに関連付けされている関連情報を特定することによって、対象ログ情報を特定してもよい。すなわち、対象情報特定部203は、関連情報記憶部111に格納されている関連情報に基づき、再帰的に、対象ログ情報を特定してもよい。ステップS202における処理は、上述した例に限定されない。
説明の便宜上、対象情報特定部203は、グラフ情報(図7に例示)を作成し、作成したグラフ情報に基づき対象ログ情報を特定するとする。
算出部204は、対象情報特定部203が作成したグラフ情報に含まれているエッジに対して、異常度を表すスコアを算出する(ステップS203)。ステップS203において、算出部204は、テンプレート情報記憶部213に格納されているテンプレート情報を読み取り、該グラフ情報のうち該テンプレート情報と同型な(isomorphic)部分を特定する。ただし、算出部204は、同型な部分を特定する処理において、エッジに付与された異常度(スコア)については用いない。同型な部分を特定する処理は、たとえば、節点にラベルとして付与されている処理名と、節点にラベルとして付与されているポート番号、節点にラベルとして付与されているファイル名、及び、エッジにラベルとして付与されている処理内容等に基づき実行される。同型な部分を特定する処理は、上述した例に限定されない。
該グラフ情報が該テンプレート情報と同型な部分を含んでいた場合に、算出部204は、該同型な部分に含まれているエッジに対して、該テンプレート情報において対応しているエッジに付与されているラベルに含まれているスコアを与える。すなわち、算出部204は、該テンプレート情報に含まれているスコアと同じスコアを、該同型な部分におけるエッジに対して算出する。算出部204は、該グラフ情報が該テンプレート情報と同型な部分を含んでいることを表す情報、または、該グラフ情報のうち該テンプレート情報と同型な部分を表す情報を出力してもよい。
算出部204は、該グラフ情報のうち該テンプレート情報に同型な部分以外の部分に関して、図2におけるステップS103と同様な処理を実行することによって、エッジに対してスコアを算出する。したがって、算出部204は、テンプレート情報(すなわち、複数処理の組み合わせに対する所定の異常度)に基づき、対象ログ情報に関する異常度を算出する。
選択部105は、異常度がスコアとしてラベル付けされたグラフ情報のうち、該スコアが所定の閾値以下であるエッジを削除することによって、異常処理に関連している部分を選択する。グラフ情報におけるエッジが、ログ情報において関連付けされている処理、及び、処理情報を表すので、選択部105は、対象ログ情報の中から、異常度を基準として、関連ログ情報を選択する(ステップS104)。
次に、本発明の第2の実施形態に係る情報選択装置201に関する効果について説明する。
第2の実施形態に係る情報選択装置201によれば、注目する事象に関する情報を迅速に取得することができる。この理由は、第1の実施形態にて説明した理由と同様である。
第2の実施形態に係る情報選択装置201によれば、注目する事象に関する情報を、より正確に取得することができる。この理由は、選択部105が、複数処理に対する異常度を表すテンプレート情報に基づき、対象ログ情報から関連ログ情報を選択するからである。
さらに、第2の実施形態に係る情報選択装置201によれば、複数処理によって対象システムが攻撃を受けたことを表す情報を提供することができる。この理由は、グラフ情報がテンプレート情報と同型な部分を含んでいる場合に、算出部204が、該グラフ情報が該テンプレート情報と同型な部分を含んでいることを表す情報、または、該グラフ情報のうち該テンプレート情報と同型な部分を表す情報を出力するからである。たとえば、該テンプレート情報が、マルウェアによって実行される複数処理を表す場合に、ユーザは、算出部204によって出力された情報に基づき、対象システムが該マルウェアによって攻撃されたことを認識することができる。
<第3の実施形態>
次に、上述した第1の実施形態を基本とする本発明の第3の実施形態について説明する。
以降の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第1の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図11を参照しながら、本発明の第3の実施形態に係る情報選択装置301が有する構成について詳細に説明する。図11は、本発明の第3の実施形態に係る情報選択装置301が有する構成を示すブロック図である。
第3の実施形態に係る情報選択装置301は、異常判定部102と、対象情報特定部303と、算出部304と、選択部105と、表示情報作成部306とを有する。情報選択装置301は、さらに、情報変換部107を有していてもよい。情報選択装置301は、処理情報記憶部108と、通信情報記憶部109と、ファイル情報記憶部110と、関連情報記憶部111と、グラフ情報記憶部112とを有していてもよい。
情報選択装置301は、管理装置151と通信可能に接続されていてもよいし、管理装置151に含まれていてもよいし、通信ネットワーク152を介して対象装置153と通信接続していてもよい。
次に、図12を参照しながら、本発明の第3の実施形態に係る情報選択装置301における処理について詳細に説明する。図12は、第3の実施形態に係る情報選択装置301における処理の流れを示すフローチャートである。
異常判定部102は、対象システムから受け取ったログ情報が、所定の異常判定条件を満たしている異常処理を含む異常ログ情報であるか否かを判定する(ステップS101)。
対象情報特定部303は、情報選択装置301が受信したログ情報のうち、異常判定部102が選択した異常処理に対して影響を与えた可能性がある処理、及び、該異常処理に対して影響を与えた可能性がある処理対象を含む対象ログ情報を特定する(ステップS302)。ステップS302における処理は、図2における上述したステップS102、または、図10におけるステップS202と同様な処理である。
算出部304は、処理及び処理対象の組み合わせごとに算出される対象ログ情報の頻度に基づき、該対象ログ情報が異常である程度を表す異常度を算出する(ステップS303)。ステップS303における処理は、図2におけるステップS103、または、図10におけるステップS203と同様な処理である。
選択部105は、該対象ログ情報のうち、算出部304が算出した異常度が所定の条件を満たしている関連ログ情報を選択する(ステップS104)。
次に、表示情報作成部306は、選択部105が選択した関連ログ情報に関して、コントロールフローと、データフローとを識別可能に表示する表示情報を作成する(ステップS305)。すなわち、表示情報作成部306は、選択部105が選択した関連ログ情報に関して、コントロールフローと、データフローとを識別可能な表示態様にて表示する表示情報を作成する。
たとえば、コントロールフローと、データフローとを識別可能な表示態様は、これらの2つのフローを、異なる色にて表示する態様である。関連ログ情報を、文字を用いて表示する場合に、表示情報作成部306は、たとえば、コントロールフローを表す文字と、データフローを表す文字とを、異なる色にて表示する表示情報を作成する。関連ログ情報を、グラフ情報(図7に例示)を用いて表示する場合に、表示情報作成部306は、たとえば、コントロールフローを表す矢印と、データフローを表す矢印とを、異なる色(または、異なる線(実線と、点線等))にて表示する表示情報を作成する。表示情報作成部306は、コントロールフローを表す矢印と、データフローを表す矢印とを、たとえば、互いに異なるアイコンを付すことによって、識別可能な表示情報を作成してもよい。コントロールフローと、データフローとを識別可能な表示態様は、たとえば、該コントロールフローを表す部分、及び、データフローを表す部分を、それぞれ、枠で囲む態様であってもよい。または、コントロールフローと、データフローとを識別可能な表示態様は、たとえば、当該2つの部分における背景色を、異なる色にて表示する態様であってもよい。表示態様は、上述した例に限定されない。
表示情報作成部306は、作成した表示情報に応じた画面を表示装置(不図示)に表示する。
次に、本発明の第3の実施形態に係る情報選択装置301に関する効果について説明する。
第3の実施形態に係る情報選択装置301によれば、注目する事象に関する情報を迅速に取得することができる。この理由は、第1の実施形態にて説明した理由と同様である。
第3の実施形態に係る情報選択装置301によれば、さらに、ユーザが処理のフロー(すなわち、コントロールフロー)を識別しやすい表示情報を提供することができる。この理由は、コントロールフローと、データフローとが異なる表示態様にて表示されるからである。
<第4の実施形態>
次に、本発明の第4の実施形態について説明する。
以降の説明においては、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明を省略する。
図13を参照しながら、本発明の第4の実施形態に係る情報選択装置401が有する構成について詳細に説明する。図13は、本発明の第4の実施形態に係る情報選択装置401が有する構成を示すブロック図である。
第4の実施形態に係る情報選択装置401は、対象情報特定部402と、算出部403と、選択部404とを有する。
情報選択装置401は、管理装置151と通信可能に接続されていてもよいし、管理装置151に含まれていてもよいし、通信ネットワーク152を介して対象装置153と通信接続していてもよい。対象装置153は、たとえば、自装置において実行された処理を監視しているエージェント154を有する情報処理装置である。対象装置153は、複数であってもよい。この場合に、各エージェントは、該エージェントを有する対象装置において実行された処理の内容を表すログ情報を作成し、作成したログ情報(図8に例示)を、通信ネットワーク152を介して管理装置151、または、情報選択装置401に送信する。したがって、情報選択装置401は、対象装置153を含む対象システムにて取得されたログ情報を受信する。
次に、図14を参照しながら、本発明の第4の実施形態に係る情報選択装置401における処理について詳細に説明する。図14は、第4の実施形態に係る情報選択装置401における処理の流れを示すフローチャートである。
情報選択装置401は、対象装置153を含む対象システムにおける処理対象に処理が実施されたことを表すログ情報(図8に例示)を、エージェント154から受信する。
対象情報特定部402は、該ログ情報のうち、異常処理に対して影響を与えた可能性がある処理対象を含む対象ログ情報を特定する(ステップS401)。対象情報特定部402は、たとえば、ログ情報において、異常処理に関連付けされたログ情報を特定することによって、対象ログ情報を特定する。対象情報特定部402は、さらに、特定した該ログ情報に含まれている処理、または、該ログ情報に含まれている処理対象に関連付けされたログ情報を特定することによって、対象ログ情報を特定してもよい。さらに、対象情報特定部402は、上記の処理を再帰的に実行することによって、該異常処理に対して影響を与えた可能性がある処理を特定してもよい。
算出部403は、処理及び処理対象の組み合わせごとに、対象ログ情報の頻度を算出し、算出した該頻度に基づき、該対象ログ情報が異常である程度を表す異常度を算出する(ステップS402)。頻度に基づき異常度を算出する処理は、第1の実施形態乃至第3の実施形態にて上述した処理と同様な処理である。
選択部404は、該対象ログ情報のうち、異常度が所定の条件を満たしている関連ログ情報を選択する(ステップS403)。選択部404は、たとえば、対象ログ情報のうち、異常度が所定の閾値よりも大きなログ情報を選択することによって、関連ログ情報を選択する。
対象情報特定部402は、図1に示された対象情報特定部103、図9に示された対象情報特定部203、または、図11に示された対象情報特定部303が有する機能と同様な機能によって実現することができる。算出部403は、図1に示された算出部104、図9に示された算出部204、または、図11に示された算出部304が有する機能と同様な機能によって実現することができる。選択部404は、図1に示された選択部105、図9に示された選択部105、または、図11に示された選択部105が有する機能と同様な機能によって実現することができる。したがって、情報選択装置401は、図1に示された情報選択装置101、図9に示された情報選択装置201、または、図11に示された情報選択装置301が有する機能と同様な機能によって実現することができる。
次に、本発明の第4の実施形態に係る情報選択装置401に関する効果について説明する。
第4の実施形態に係る情報選択装置401によれば、注目する事象に関する情報を迅速に取得することができる。この理由は、情報選択装置401が、対象装置153において実行された処理を表すログ情報のうち、異常処理に対して影響を与えた可能性がある対象ログ情報を特定し、さらに、異常度を表すスコアが高い処理を特定するからである。
(ハードウェア構成例)
上述した本発明の各実施形態に係る情報選択装置を、1つの計算処理装置(情報処理装置、コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。但し、係る情報選択装置は、物理的または機能的に少なくとも2つの計算処理装置を用いて実現されてもよい。また、係る情報選択装置は、専用の装置として実現されてもよい。
図15は、本発明の各実施形態に係る情報選択装置を実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。計算処理装置20は、中央処理演算装置(Central_Processing_Unit、以降「CPU」と表す)21、メモリ22、ディスク23、不揮発性記録媒体24、及び、通信インターフェース(以降、「通信IF」と表す)27を有する。計算処理装置20は、入力装置25、出力装置26に接続可能であってもよい。計算処理装置20は、通信IF27を介して、他の計算処理装置、及び、通信装置と情報を送受信することができる。
不揮発性記録媒体24は、コンピュータが読み取り可能な、たとえば、コンパクトディスク(Compact_Disc)、デジタルバーサタイルディスク(Digital_Versatile_Disc)である。また、不揮発性記録媒体24は、ユニバーサルシリアルバスメモリ(USBメモリ)、ソリッドステートドライブ(Solid_State_Drive)等であってもよい。不揮発性記録媒体24は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体24は、上述した媒体に限定されない。また、不揮発性記録媒体24の代わりに、通信IF27、及び、通信ネットワークを介して係るプログラムを持ち運びしてもよい。
すなわち、CPU21は、ディスク23に格納されているソフトウェア・プログラム(コンピュータ・プログラム:以下、単に「プログラム」と称する)を、実行する際にメモリ22にコピーし、演算処理を実行する。CPU21は、プログラム実行に必要なデータをメモリ22から読み取る。表示が必要な場合に、CPU21は、出力装置26に出力結果を表示する。外部からプログラムを入力する場合に、CPU21は、入力装置25からプログラムを読み取る。CPU21は、上述した図1、図9、図11、または、図13に示す各部が表す機能(処理)に対応するところのメモリ22にある情報選択プログラム(図2、図10、図12、または、図14)を解釈し実行する。CPU21は、上述した本発明の各実施形態において説明した処理を順次実行する。
すなわち、このような場合に、本発明の各実施形態は、係る情報選択プログラムによっても成し得ると捉えることができる。さらに、係る情報選択プログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、本発明の各実施形態は成し得ると捉えることができる。
以上、上述した実施形態を模範的な例として本発明を説明した。しかし、本発明は、上述した実施形態には限定されない。すなわち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
この出願は、2017年8月9日に出願された日本出願特願2017−154627を基礎とする優先権を主張し、その開示の全てをここに取り込む。
101 情報選択装置
102 異常判定部
103 対象情報特定部
104 算出部
105 選択部
106 表示情報作成部
107 情報変換部
108 処理情報記憶部
109 通信情報記憶部
110 ファイル情報記憶部
111 関連情報記憶部
112 グラフ情報記憶部
151 管理装置
152 通信ネットワーク
153 対象装置
154 エージェント
155 対象装置
156 エージェント
201 情報選択装置
203 対象情報特定部
204 算出部
213 テンプレート情報記憶部
301 情報選択装置
303 対象情報特定部
304 算出部
306 表示情報作成部
401 情報選択装置
402 対象情報特定部
403 算出部
404 選択部
20 計算処理装置
21 CPU
22 メモリ
23 ディスク
24 不揮発性記録媒体
25 入力装置
26 出力装置
27 通信IF

Claims (7)

  1. 対象システムにおける処理対象に対して処理が実施されたことを表すログ情報のうち、該対象システムにて実施された異常処理に対して影響を与えた可能性がある、前記処理対象を含む対象ログ情報を特定する対象情報特定手段と、
    前記処理及び前記処理対象の組み合わせごとに前記対象ログ情報の頻度を算出し、算出した前記頻度に基づき該対象ログ情報が異常である程度を表す異常度を算出する算出手段と、
    前記対象ログ情報のうち、前記異常度が、異常なログ情報を判定する基準を満たしている関連ログ情報を選択する選択手段と、
    前記関連ログ情報を、前記処理対象に応じて異なる態様にて表示する際に用いる表示情報を作成する表示情報作成手段と、
    エッジに所定の異常度が関連付けされているグラフを表すテンプレート情報が格納されているテンプレート情報記憶手段と
    を備え、
    前記対象情報特定手段は、前記対象ログ情報における前記処理対象、及び、前記対象ログ情報における前記処理が節点として設定され、前記対象ログ情報が、該処理を表す前記節点と、前記処理対象を表す前記節点とが関連付けされたエッジとして設定されたグラフを表すグラフ情報を作成し、
    前記表示情報作成手段は、前記対象情報特定手段が作成した前記グラフ情報のうち、前記関連ログ情報を表す部分を、前記表示情報とし、
    前記算出手段は、前記グラフ情報のうち前記テンプレート情報に一致している部分に対して、前記所定の異常度を算出する
    情報選択装置。
  2. 前記処理対象は、前記処理と異なる処理、前記処理が実施されたソケット、及び、前記処理が実施されたファイルのうち、少なくともいずれかである
    請求項1に記載の情報選択装置。
  3. 前記算出手段は、前記頻度が少ないほど前記程度が高く、前記頻度が多いほど前記程度が低い前記異常度を算出する
    請求項1または請求項2に記載の情報選択装置。
  4. 前記表示情報作成手段は、前記関連ログ情報における前記処理対象、及び、前記関連ログ情報における前記処理が前記節点として設定され、前記関連ログ情報が、該処理を表す前記節点と、前記処理対象を表す前記節点とが関連付けされたエッジとして設定されたグラフを表す前記表示情報を作成し、作成した前記表示情報に応じた画面を表示装置に表示する
    請求項1乃至請求項3のいずれかに記載の情報選択装置。
  5. 前記対象システムから受け取った前記ログ情報に関して、所定の異常判定条件を満たしている異常処理を含む異常ログ情報であるか否かを判定する異常判定手段
    をさらに備え、
    前記対象情報特定手段は、前記ログ情報が前記異常ログ情報であると前記異常判定手段が判定するのに応じて、前記対象ログ情報を特定する
    請求項1乃至請求項4のいずれかに記載の情報選択装置。
  6. 情報処理装置によって、対象システムにおける処理対象に対して処理が実施されたことを表すログ情報のうち、該対象システムにて実施された異常処理に対して影響を与えた可能性がある、前記処理対象を含む対象ログ情報を特定し、前記処理及び前記処理対象の組み合わせごとに前記対象ログ情報の頻度を算出し、算出した前記頻度に基づき該対象ログ情報が異常である程度を表す異常度を算出し、前記対象ログ情報のうち、前記異常度が、異常なログ情報を判定する基準を満たしている関連ログ情報を選択し、前記関連ログ情報を、前記処理対象に応じて異なる態様にて表示する際に用いる表示情報を作成し、前記対象ログ情報における前記処理対象、及び、前記対象ログ情報における前記処理が節点として設定され、前記対象ログ情報が、該処理を表す前記節点と、前記処理対象を表す前記節点とが関連付けされたエッジとして設定されたグラフを表すグラフ情報を作成し、作成した前記グラフ情報のうち、前記関連ログ情報を表す部分を、前記表示情報とし、前記グラフ情報のうち、エッジに所定の異常度が関連付けされているグラフを表すテンプレート情報に一致している部分に対して、前記所定の異常度を算出する情報選択方法。
  7. 対象システムにおける処理対象に対して処理が実施されたことを表すログ情報のうち、該対象システムにて実施された異常処理に対して影響を与えた可能性がある、前記処理対象を含む対象ログ情報を特定する対象情報特定機能と、
    前記処理及び前記処理対象の組み合わせごとに前記対象ログ情報の頻度を算出し、算出した前記頻度に基づき該対象ログ情報が異常である程度を表す異常度を算出する算出機能と、
    前記対象ログ情報のうち、前記異常度が、異常なログ情報を判定する基準を満たしている関連ログ情報を選択する選択機能と、
    前記関連ログ情報を、前記処理対象に応じて異なる態様にて表示する際に用いる表示情報を作成する表示情報作成機能と、
    エッジに所定の異常度が関連付けされているグラフを表すテンプレート情報が格納されているテンプレート情報記憶手機能と
    をコンピュータに実現させ
    前記対象情報特定機能は、前記対象ログ情報における前記処理対象、及び、前記対象ログ情報における前記処理が節点として設定され、前記対象ログ情報が、該処理を表す前記節点と、前記処理対象を表す前記節点とが関連付けされたエッジとして設定されたグラフを表すグラフ情報を作成し、
    前記表示情報作成機能は、前記対象情報特定機能が作成した前記グラフ情報のうち、前記関連ログ情報を表す部分を、前記表示情報とし、
    前記算出機能は、前記グラフ情報のうち前記テンプレート情報に一致している部分に対して、前記所定の異常度を算出する
    情報選択プログラム。
JP2019535663A 2017-08-09 2018-08-07 情報選択装置、情報選択方法、及び、情報選択プログラム Active JP6904420B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017154627 2017-08-09
JP2017154627 2017-08-09
PCT/JP2018/029513 WO2019031473A1 (ja) 2017-08-09 2018-08-07 情報選択装置、情報選択方法、及び、情報選択プログラムが記録された記録媒体

Publications (2)

Publication Number Publication Date
JPWO2019031473A1 JPWO2019031473A1 (ja) 2020-07-16
JP6904420B2 true JP6904420B2 (ja) 2021-07-14

Family

ID=65272054

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019535663A Active JP6904420B2 (ja) 2017-08-09 2018-08-07 情報選択装置、情報選択方法、及び、情報選択プログラム

Country Status (3)

Country Link
US (1) US20200244688A1 (ja)
JP (1) JP6904420B2 (ja)
WO (1) WO2019031473A1 (ja)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5613000B2 (ja) * 2010-10-08 2014-10-22 Kddi株式会社 アプリケーション特性解析装置およびプログラム
US9946921B2 (en) * 2013-04-26 2018-04-17 Nec Corporation Monitoring device, monitoring method and monitoring program
JP6085550B2 (ja) * 2013-11-12 2017-02-22 日本電信電話株式会社 ログ分析装置及び方法
JP6288244B2 (ja) * 2014-03-20 2018-03-07 日本電気株式会社 情報処理装置、影響過程抽出方法およびプログラム
US20160125094A1 (en) * 2014-11-05 2016-05-05 Nec Laboratories America, Inc. Method and system for behavior query construction in temporal graphs using discriminative sub-trace mining
JP6280862B2 (ja) * 2014-11-26 2018-02-14 株式会社日立製作所 イベント分析システムおよび方法
US9813526B2 (en) * 2015-05-26 2017-11-07 Sonicwall Inc. Reducing transmission pathway lengths within a distributed network
JP6648511B2 (ja) * 2015-12-08 2020-02-14 日本電気株式会社 支援装置、支援方法およびプログラム
US20170242980A1 (en) * 2016-02-18 2017-08-24 Q Squared Solutions Holdings LLC Electronic writable memory devices for patient sample management
CN107172058B (zh) * 2017-06-01 2020-06-05 国家电网公司 一种基于流数据分析的Web攻击实时在线检测系统
US20190108112A1 (en) * 2017-10-05 2019-04-11 Hcl Technologies Limited System and method for generating a log analysis report from a set of data sources

Also Published As

Publication number Publication date
JPWO2019031473A1 (ja) 2020-07-16
WO2019031473A1 (ja) 2019-02-14
US20200244688A1 (en) 2020-07-30

Similar Documents

Publication Publication Date Title
JP4576923B2 (ja) ストレージシステムの記憶容量管理方法
US10606572B2 (en) Apparatus and method for assisting preparation of flow using visual programming tool
US9645815B2 (en) Dynamically recommending changes to an association between an operating system image and an update group
US8688700B2 (en) Scrubbing and editing of diagnostic data
US10817542B2 (en) User clustering based on metadata analysis
JP2009169657A (ja) 性能監視条件の設定・管理方法及びその方法を用いた計算機システム
US9600795B2 (en) Measuring process model performance and enforcing process performance policy
EP2634733A1 (en) Operations task management system and method
US9961111B2 (en) Assured federated records management
US9471235B1 (en) Storage device data overlay tracking and prevention
EP3722945B1 (en) Program operation system and program operation method
CH716656A2 (it) Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense.
JP7451476B2 (ja) 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法
US10783042B2 (en) System and method of assessing and managing storage device degradation
JP6978662B2 (ja) 出力プログラム、情報処理装置、及び出力方法
JP6904420B2 (ja) 情報選択装置、情報選択方法、及び、情報選択プログラム
US20070226172A1 (en) File-management apparatus, file-management method, and computer product
CN114978963B (zh) 一种网络系统监控分析方法、装置、电子设备及存储介质
US20170262439A1 (en) Information processing apparatus and non-transitory computer readable medium
JP7023807B2 (ja) 管理システム、情報処理装置、設定管理方法、およびプログラム
JP2009265962A (ja) 操作ログ情報管理システム
JP2002312205A (ja) アクセスログ情報の保存処理方法とその保存処理装置およびその処理プログラム
JP7259436B2 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
WO2024214352A1 (ja) 計算機、データ管理方法、データ管理プログラム
EP3547139B1 (en) System and method of assessing and managing storage device degradation

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200114

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210607

R150 Certificate of patent or registration of utility model

Ref document number: 6904420

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150