JP7176569B2 - 情報処理装置、ログ分析方法及びプログラム - Google Patents
情報処理装置、ログ分析方法及びプログラム Download PDFInfo
- Publication number
- JP7176569B2 JP7176569B2 JP2020551224A JP2020551224A JP7176569B2 JP 7176569 B2 JP7176569 B2 JP 7176569B2 JP 2020551224 A JP2020551224 A JP 2020551224A JP 2020551224 A JP2020551224 A JP 2020551224A JP 7176569 B2 JP7176569 B2 JP 7176569B2
- Authority
- JP
- Japan
- Prior art keywords
- graph structure
- log
- abnormality
- objects
- processes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/40—Data acquisition and logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/86—Event-based monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Description
また、情報処理装置は、機器から取得されたログから、プロセスと当該プロセスに関連するオブジェクトとの関連付けを示すグラフ構造を生成し、予め作成されたオブジェクトとプロセスとの間の紐付け情報を用いて、前記グラフ構造の関連付けを補完する生成部と、前記機器のいずれかのオブジェクトが指定された場合、前記生成されたグラフ構造に基づいて、当該指定されたオブジェクトに関連するプロセスを特定し、当該特定されたプロセスに関連するオブジェクトを特定する特定部とを有する。
本発明の実施例1では、監視対象とするデバイスから出力されたログを取得して、指定された事象に関する一連の動作を把握するための手段について説明する。
本発明の実施例2では、外部攻撃の判定を行うための手段について説明する。
本発明の実施例3では、車両20等における安全性を考慮して、外部攻撃等による被害を防ぐための手段について説明する。
以下、図5Bに示す機能構成例において、車両20の情報系サブシステム220及び監視サーバ10が実行する処理手順について説明する。図6は、ログの発生時における処理手順の一例を説明するためのフローチャートである。
20 車両
30a サービス提供サーバ
30b サービス提供サーバ
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
151 ログ受信部
152 グラフ構造生成部
153 トラッキング部
154 アクション禁止部
171 ログ管理DB
172 グラフ管理DB
173 紐付け情報DB
210 通信装置
221 CPU
222 メモリ装置
223 補助記憶装置
224 表示装置
225 入力装置
220 情報系サブシステム
230 制御系サブシステム
231 マイコン
240 関門器
251 モニタ部
252 異常判定部
253 ログ送信部
254 グラフ構造生成部
255 トラッキング部
256 アクション禁止部
271 ログ管理DB
272 グラフ管理DB
273 紐付け情報DB
B バス
Claims (7)
- 機器から取得されたログから、プロセスと当該プロセスに関連するオブジェクトとの関連付けを示すグラフ構造を生成する生成部と、
前記機器のいずれかのオブジェクトにおいて異常が検知された場合、前記生成されたグラフ構造に基づいて、当該異常が検知されたオブジェクトに関連する異常なプロセスを特定し、当該異常なプロセスに関連する異常なオブジェクトを特定し、当該異常なオブジェクトの中に前記機器の外部に接続するためのオブジェクトが存在するか否かを判断し、当該判断の結果に基づいて、前記異常が外部攻撃によって発生したと判断する特定部と、
を有する情報処理装置。 - 機器から取得されたログから、プロセスと当該プロセスに関連するオブジェクトとの関連付けを示すグラフ構造を生成し、予め作成されたオブジェクトとプロセスとの間の紐付け情報を用いて、前記グラフ構造の関連付けを補完する生成部と、
前記機器のいずれかのオブジェクトが指定された場合、前記生成されたグラフ構造に基づいて、当該指定されたオブジェクトに関連するプロセスを特定し、当該特定されたプロセスに関連するオブジェクトを特定する特定部と、
を有する情報処理装置。 - 前記特定部は、外部攻撃がない環境において前記機器から取得されたログから生成されたグラフ構造と、外部攻撃の可能性がある環境において前記機器から取得されたログから生成されたグラフ構造とを比較して、外部攻撃の発生を検知する、請求項1又は2に記載の情報処理装置。
- 前記特定されたプロセスに関連するオブジェクトに対するアクションを禁止する禁止部を更に有する、請求項1乃至3のうちいずれか1項に記載の情報処理装置。
- 情報処理装置が、
機器から取得されたログから、プロセスと当該プロセスに関連するオブジェクトとの関連付けを示すグラフ構造を生成するグラフ構造生成手順と、
前記機器のいずれかのオブジェクトにおいて異常が検知された場合、前記生成されたグラフ構造に基づいて、当該異常が検知されたオブジェクトに関連する異常なプロセスを特定し、当該異常なプロセスに関連する異常なオブジェクトを特定する特定手順と、
当該異常なオブジェクトの中に前記機器の外部に接続するためのオブジェクトが存在するか否かを判断し、当該判断の結果に基づいて、前記異常が外部攻撃によって発生したと判断手順と、
を実行するログ分析方法。 - 情報処理装置が、
機器から取得されたログから、プロセスと当該プロセスに関連するオブジェクトとの関連付けを示すグラフ構造を生成し、予め作成されたオブジェクトとプロセスとの間の紐付け情報を用いて、前記グラフ構造の関連付けを補完するグラフ構造生成手順と、
前記機器のいずれかのオブジェクトが指定された場合、前記生成されたグラフ構造に基づいて、当該指定されたオブジェクトに関連するプロセスを特定し、当該特定されたプロセスに関連するオブジェクトを特定する特定手順と、
を実行するログ分析方法。 - 請求項1乃至4のうちいずれか1項に記載の各部として情報処理装置を機能させるためのプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018192413 | 2018-10-11 | ||
JP2018192413 | 2018-10-11 | ||
PCT/JP2019/040031 WO2020075808A1 (ja) | 2018-10-11 | 2019-10-10 | 情報処理装置、ログ分析方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020075808A1 JPWO2020075808A1 (ja) | 2021-09-02 |
JP7176569B2 true JP7176569B2 (ja) | 2022-11-22 |
Family
ID=70164575
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020551224A Active JP7176569B2 (ja) | 2018-10-11 | 2019-10-10 | 情報処理装置、ログ分析方法及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210377289A1 (ja) |
EP (1) | EP3848806A4 (ja) |
JP (1) | JP7176569B2 (ja) |
CN (1) | CN112823339A (ja) |
WO (1) | WO2020075808A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022131504A (ja) * | 2021-02-26 | 2022-09-07 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
WO2023223515A1 (ja) * | 2022-05-19 | 2023-11-23 | 日本電信電話株式会社 | 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013257773A (ja) | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
WO2016060067A1 (ja) | 2014-10-14 | 2016-04-21 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
JP2016218788A (ja) | 2015-05-21 | 2016-12-22 | 日本電信電話株式会社 | ログ抽出システム、ログ抽出方法およびログ抽出プログラム |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090065183A (ko) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | 셀트 문법 형식의 셀이눅스 보안정책 자동 생성 장치 및방법 |
US9225730B1 (en) * | 2014-03-19 | 2015-12-29 | Amazon Technologies, Inc. | Graph based detection of anomalous activity |
US10367838B2 (en) * | 2015-04-16 | 2019-07-30 | Nec Corporation | Real-time detection of abnormal network connections in streaming data |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US10783241B2 (en) * | 2015-10-28 | 2020-09-22 | Qomplx, Inc. | System and methods for sandboxed malware analysis and automated patch development, deployment and validation |
JP6648511B2 (ja) * | 2015-12-08 | 2020-02-14 | 日本電気株式会社 | 支援装置、支援方法およびプログラム |
WO2017175154A1 (en) * | 2016-04-06 | 2017-10-12 | Karamba Security | Automated security policy generation for controllers |
US9928366B2 (en) * | 2016-04-15 | 2018-03-27 | Sophos Limited | Endpoint malware detection using an event graph |
US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
US10237294B1 (en) * | 2017-01-30 | 2019-03-19 | Splunk Inc. | Fingerprinting entities based on activity in an information technology environment |
US10205735B2 (en) * | 2017-01-30 | 2019-02-12 | Splunk Inc. | Graph-based network security threat detection across time and entities |
US10536482B2 (en) * | 2017-03-26 | 2020-01-14 | Microsoft Technology Licensing, Llc | Computer security attack detection using distribution departure |
US10909179B2 (en) * | 2017-03-30 | 2021-02-02 | AVAST Software s.r.o. | Malware label inference and visualization in a large multigraph |
JP6879048B2 (ja) | 2017-05-16 | 2021-06-02 | 王子ホールディングス株式会社 | 塗工装置、衛生用品の製造装置、塗工方法、および、衛生用品の製造方法 |
CN107330034B (zh) * | 2017-06-26 | 2020-08-07 | 百度在线网络技术(北京)有限公司 | 一种日志分析方法和装置、计算机设备、存储介质 |
US11082438B2 (en) * | 2018-09-05 | 2021-08-03 | Oracle International Corporation | Malicious activity detection by cross-trace analysis and deep learning |
-
2019
- 2019-10-10 US US17/283,214 patent/US20210377289A1/en active Pending
- 2019-10-10 EP EP19870781.2A patent/EP3848806A4/en active Pending
- 2019-10-10 CN CN201980066134.4A patent/CN112823339A/zh active Pending
- 2019-10-10 WO PCT/JP2019/040031 patent/WO2020075808A1/ja unknown
- 2019-10-10 JP JP2020551224A patent/JP7176569B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013257773A (ja) | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
WO2016060067A1 (ja) | 2014-10-14 | 2016-04-21 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
JP2016218788A (ja) | 2015-05-21 | 2016-12-22 | 日本電信電話株式会社 | ログ抽出システム、ログ抽出方法およびログ抽出プログラム |
Non-Patent Citations (1)
Title |
---|
WUECHNER, Tobias, et al.,Malware Detection with Quantitative Data Flow Graphs,Proceedings of the 9th ACM symposium on Information, computer and communication security,2014年06月06日,pp.271-282,<URL:https://dl.acm.org/citation.cfm?id=2590319>, <DOI:10.1145/2590296.2590319> |
Also Published As
Publication number | Publication date |
---|---|
EP3848806A4 (en) | 2021-11-03 |
CN112823339A (zh) | 2021-05-18 |
US20210377289A1 (en) | 2021-12-02 |
JPWO2020075808A1 (ja) | 2021-09-02 |
WO2020075808A1 (ja) | 2020-04-16 |
EP3848806A1 (en) | 2021-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102178003B1 (ko) | 네트워크 접속 제어 시스템 및 그 방법 | |
US10931635B2 (en) | Host behavior and network analytics based automotive secure gateway | |
KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
US9973531B1 (en) | Shellcode detection | |
CN107634959B (zh) | 基于汽车的防护方法、装置及系统 | |
KR102234402B1 (ko) | 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법 | |
WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及系统 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
JP7176569B2 (ja) | 情報処理装置、ログ分析方法及びプログラム | |
WO2021145144A1 (ja) | 侵入経路分析装置および侵入経路分析方法 | |
CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
CN109076011A (zh) | 中继装置 | |
CN105791250B (zh) | 应用程序检测方法及装置 | |
US11971982B2 (en) | Log analysis device | |
US10885191B1 (en) | Detonate targeted malware using environment context information | |
JP7024069B2 (ja) | 車両の制御機器に対する攻撃を検出する方法 | |
US20220337604A1 (en) | System And Method For Secure Network Access Of Terminal | |
CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
JP7230147B1 (ja) | 車両セキュリティ分析装置、方法およびそのプログラム | |
CN113868643B (zh) | 运行资源的安全检测方法、装置、电子设备及存储介质 | |
JP2020096320A (ja) | 不正信号処理装置 | |
KR102517982B1 (ko) | 애플리케이션 검사 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
WO2019229969A1 (ja) | データ通信制御装置、データ通信制御プログラムおよび車両制御システム | |
Hadi Sultani et al. | Indicators of Compromise of Vehicular Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210405 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220524 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220711 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221011 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221024 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7176569 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |