JP7229443B2 - ログ生成装置、ログ生成方法、及び、ログ生成プログラム - Google Patents
ログ生成装置、ログ生成方法、及び、ログ生成プログラム Download PDFInfo
- Publication number
- JP7229443B2 JP7229443B2 JP2022570240A JP2022570240A JP7229443B2 JP 7229443 B2 JP7229443 B2 JP 7229443B2 JP 2022570240 A JP2022570240 A JP 2022570240A JP 2022570240 A JP2022570240 A JP 2022570240A JP 7229443 B2 JP7229443 B2 JP 7229443B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- target
- user
- specific operation
- log generation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本開示は、ログ生成装置、ログ生成方法、及び、ログ生成プログラムに関する。
システムにおいて、内部犯による攻撃を、機械学習を利用して検知する攻撃検知技術がある。当該攻撃検知技術において内部犯による攻撃データを用いて学習する必要があるものの、十分な量の内部犯による攻撃データを取得することができないことが多い。
Glasser,J.、Lindauer,B.、"Bridging the Gap: A Pragmatic Approach to Generating Insider Threat Data"、IEEE Security and Privacy Workshops、2013
非特許文献1は、内部犯による攻撃データを生成する技術を開示している。しかしながら、当該技術によれば、模擬環境における攻撃データを生成するため、実際の環境においては現実的に起こり得ない操作ログを生成することがあるという課題がある。
本開示は、実際の環境において現実的に起こり得る悪意ログを生成することを目的とする。
本開示に係るログ生成装置は、
オブジェクトを有する対象システムにおけるログ生成装置であって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備える。
オブジェクトを有する対象システムにおけるログ生成装置であって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備える。
本開示に係る特定操作ログは、対象システムが有するオブジェクトを実際に操作したログである対象操作ログに基づいて特定操作ログを生成する。ここで、特定操作ログは悪意ログであってもよい。従って、本開示によれば実際の環境において現実的に起こり得る悪意ログを生成することができる。
実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。
実施の形態1.
以下、本実施の形態について、図面を参照しながら詳細に説明する。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
***構成の説明***
図1は、本実施の形態に係るログ生成装置100の構成例を示している。ログ生成装置100は、本図に示すように、ログ分析部110と、ログ生成部120とを備え、オブジェクト条件情報200と、ユーザ属性情報210と、悪意操作情報220とを記憶する。ログ生成装置100は顧客のシステムにおいて用いられてもよい。ログ生成装置100が用いられるシステムを対象システムと呼ぶ。対象システムはオブジェクトを有する。
図1は、本実施の形態に係るログ生成装置100の構成例を示している。ログ生成装置100は、本図に示すように、ログ分析部110と、ログ生成部120とを備え、オブジェクト条件情報200と、ユーザ属性情報210と、悪意操作情報220とを記憶する。ログ生成装置100は顧客のシステムにおいて用いられてもよい。ログ生成装置100が用いられるシステムを対象システムと呼ぶ。対象システムはオブジェクトを有する。
操作ログ300は、対象システムが有するオブジェクトを対象システムのユーザが実際に操作した履歴を示すログの少なくとも一部であり、対象操作ログ又は顧客ログとも呼ばれる。
ログ分析部110は、オブジェクト探索部111と、ユーザ探索部112と、時間帯探索部113とを備える。
オブジェクト探索部111は、対象システムが有するオブジェクトから、内部不正が仮想的に実行されるオブジェクトを対象オブジェクトとして探索する。オブジェクトは、操作ログ300によってオブジェクトに対するユーザの操作を監視することができる資産であればどのようなものであってもよい。オブジェクトは、具体例として、電子ファイル又は電子機器である。なお、電子ファイルを単にファイルと表記することもある。オブジェクト探索部111は、対象システムが有する各オブジェクトの機密度に基づいて対象オブジェクトを探索してもよい。
内部不正は、対象システムが有するオブジェクトに対してユーザが実行する悪意操作であり、悪意ログ310が示す処理である。ユーザは、特に断りがない限り対象システムに登録されているアカウント等を用いて対象システムを利用する利用者を指す。具体例として、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内においてファイルを閲覧し、当該権限の範囲内においてファイルをUSBメモリに出力し、組織の外に当該USBメモリを持ち出すことは内部不正に当たることがある。また、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内において電子機器の設定ファイルを閲覧し、当該権限の範囲内において当該設定ファイルを編集することにより電子機器の故障を誘発させることも内部不正に当たることがある。なお、外部犯が、対象システムにおける正規のユーザのアカウントを盗み、盗んだアカウントを用いて外部から対象システムに侵入し、当該アカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。また、外部犯がマルウェアを含むファイルが添付された標的型メールを対象システムにおける正規ユーザのPC(Personal Computer)に送り、正規ユーザが当該標的型メールに添付されているファイルを開いたことによって正規ユーザのPCがマルウェアに感染した場合を考える。この場合において、外部犯が、正規ユーザのPCをコントロールし、正規ユーザのアカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。悪意ログ310は、対象ユーザが対象オブジェクトに対して実行した悪意操作を示す仮想的なログであり、操作ログ300の一部となり得るログである。悪意操作は、悪意のあるユーザがシステムに対して実行する正常な操作である。正常な操作は、対象ユーザが対象システムに対して実行する通常の操作である。ある操作が正常な操作である場合に、具体例として、対象システムは、対象ユーザが当該ある操作を実行したときに当該ある操作を異常な操作と判断しない。ここで、正常な操作であるか否かは、ユーザの操作と、ユーザの操作対象との組み合わせによって判断されてもよい。具体例として、正常な操作であるか否かは、操作対象がファイルである場合において、ファイルの機密性と、ファイルへのアクセス頻度と、ファイルに対して頻繁に行われる操作内容との少なくともいずれかと、ユーザのファイルに対する操作との組み合わせに基づいて判断されてもよい。
なお、ログ生成装置100は、発電所のプラント等においても用いることができる。このとき、具体例として、オブジェクト探索部111は機密度の高い電子機器を対象オブジェクトとする。
内部不正は、対象システムが有するオブジェクトに対してユーザが実行する悪意操作であり、悪意ログ310が示す処理である。ユーザは、特に断りがない限り対象システムに登録されているアカウント等を用いて対象システムを利用する利用者を指す。具体例として、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内においてファイルを閲覧し、当該権限の範囲内においてファイルをUSBメモリに出力し、組織の外に当該USBメモリを持ち出すことは内部不正に当たることがある。また、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内において電子機器の設定ファイルを閲覧し、当該権限の範囲内において当該設定ファイルを編集することにより電子機器の故障を誘発させることも内部不正に当たることがある。なお、外部犯が、対象システムにおける正規のユーザのアカウントを盗み、盗んだアカウントを用いて外部から対象システムに侵入し、当該アカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。また、外部犯がマルウェアを含むファイルが添付された標的型メールを対象システムにおける正規ユーザのPC(Personal Computer)に送り、正規ユーザが当該標的型メールに添付されているファイルを開いたことによって正規ユーザのPCがマルウェアに感染した場合を考える。この場合において、外部犯が、正規ユーザのPCをコントロールし、正規ユーザのアカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。悪意ログ310は、対象ユーザが対象オブジェクトに対して実行した悪意操作を示す仮想的なログであり、操作ログ300の一部となり得るログである。悪意操作は、悪意のあるユーザがシステムに対して実行する正常な操作である。正常な操作は、対象ユーザが対象システムに対して実行する通常の操作である。ある操作が正常な操作である場合に、具体例として、対象システムは、対象ユーザが当該ある操作を実行したときに当該ある操作を異常な操作と判断しない。ここで、正常な操作であるか否かは、ユーザの操作と、ユーザの操作対象との組み合わせによって判断されてもよい。具体例として、正常な操作であるか否かは、操作対象がファイルである場合において、ファイルの機密性と、ファイルへのアクセス頻度と、ファイルに対して頻繁に行われる操作内容との少なくともいずれかと、ユーザのファイルに対する操作との組み合わせに基づいて判断されてもよい。
なお、ログ生成装置100は、発電所のプラント等においても用いることができる。このとき、具体例として、オブジェクト探索部111は機密度の高い電子機器を対象オブジェクトとする。
ユーザ探索部112は、対象操作ログを用いて対象システムのユーザから対象オブジェクトを操作し得るユーザを対象ユーザとして探索する。ユーザ探索部112は、対象システムの各ユーザの属性を示すユーザ属性情報を用いて対象ユーザを探索してもよい。
時間帯探索部113は、悪意ログ310が示す処理が実行される時間帯を探索する。時間帯探索部113は、対象操作ログを用いて特定操作ログが示す操作が実行された時間帯を対象時間帯として探索してもよい。
ログ生成部120は、悪意ログ生成部121と、周辺ログ生成部122と、ログ埋込部123とを備える。
悪意ログ生成部121は、悪意操作情報220に基づいて悪意ログ310を生成する。悪意ログ生成部121は特定操作ログ生成部とも呼ばれる。悪意ログ生成部121は、対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、特定操作情報と、対象操作ログとを用いて、対象ユーザが対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する。悪意操作を実行するユーザは特定のユーザでもある。悪意操作は特定操作でもある。悪意ログ310は特定操作ログでもある。悪意ログ生成部121は、特定操作ログが示す操作が対象時間帯において実行されたものとしてもよい。
周辺ログ生成部122は、周辺ログ320を生成する。周辺ログ320は、悪意ログ310と同様のログであり、周辺操作を示す仮想的なログである。周辺操作は、悪意ログ310が示す操作が実行される時間帯の周辺の時間帯に対象オブジェクトが格納されている場所の周辺において実行される正常な操作であり、悪意操作ではない操作であり、特定操作ではない操作である。周辺ログ320は、悪意ログ310が現実的に起こり得るログとなるよう補助するログであってもよい。
ログ埋込部123は、操作ログ300に悪意ログ310と周辺ログ320とを埋め込むことにより、仮想不正ログ400を生成する。仮想不正ログ400は、内部犯による攻撃ログを含む仮想的なログである。
ログ埋込部123は、特定操作ログを対象操作ログに埋め込んでもよい。ログ埋込部123は、操作ログ300に周辺ログ320を埋め込まなくてもよい。
ログ埋込部123は、特定操作ログを対象操作ログに埋め込んでもよい。ログ埋込部123は、操作ログ300に周辺ログ320を埋め込まなくてもよい。
オブジェクト条件情報200は、オブジェクト探索部111がオブジェクトを絞り込む際に用いる条件である。オブジェクト条件情報200は、具体例として、オブジェクトが電子機器である場合において電子機器が置かれている場所又は電子機器の用途であり、電子ファイルである場合において電子ファイルが格納されているフォルダ又は電子ファイルの名称に用いられる機密関連ワードである。
ユーザ属性情報210と、各ユーザの属性を示す情報である。属性は、各ユーザを分類する情報であり、具体例として、所属会社と所属部署と役職と勤続年数との組み合わせである。役職は、具体例として、役員、部長、又は課長である。
悪意操作情報220は、悪意操作の一覧を示す。悪意操作情報220は、オブジェクトが電子ファイルである場合において、具体例として、USB(Universal Serial Bus)出力と、インターネット送信と、ローカル保存と、印刷とのそれぞれを示す情報を含む。
図2は、本実施の形態に係るログ生成装置100のハードウェア構成例を示している。ログ生成装置100は、コンピュータから成る。ログ生成装置100は、複数のコンピュータから成ってもよい。
コンピュータは、本図に示すように、プロセッサ11と、メモリ12と、補助記憶装置13と、入出力IF(Interface)14と、通信装置15と等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線19を介して互いに接続されている。
プロセッサ11は、演算処理を行うIC(Integrated Circuit)であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ11は、具体例として、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、又はGPU(Graphics Processing Unit)である。
ログ生成装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
ログ生成装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
メモリ12は、典型的には、揮発性の記憶装置である。メモリ12は、主記憶装置又はメインメモリとも呼ばれる。メモリ12は、具体例として、RAM(Random Access Memory)である。メモリ12に記憶されたデータは、必要に応じて補助記憶装置13に保存される。
補助記憶装置13は、典型的には、不揮発性の記憶装置である。補助記憶装置13は、具体例として、ROM(Read Only Memory)、HDD(Hard Disk Drive)、又はフラッシュメモリである。補助記憶装置13に記憶されたデータは、必要に応じてメモリ12にロードされる。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
入出力IF14は、入力装置及び出力装置が接続されるポートである。入出力IF14は、具体例として、USB端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。
通信装置15は、レシーバ及びトランスミッタである。通信装置15は、具体例として、通信チップ又はNIC(Network Interface Card)である。
ログ生成装置100の各部は、他の装置等と通信する際に、通信装置15を適宜用いてもよい。ログ生成装置100の各部は、入出力IF14を介してデータを受け付けてもよく、また、通信装置15を介してデータを受け付けてもよい。
補助記憶装置13は、ログ生成プログラムを記憶している。ログ生成プログラムは、ログ生成装置100が備える各部の機能をコンピュータに実現させるプログラムである。ログ生成プログラムは、メモリ12にロードされて、プロセッサ11によって実行される。ログ生成装置100が備える各部の機能は、ソフトウェアにより実現される。
ログ生成プログラムを実行する際に用いられるデータと、ログ生成プログラムを実行することによって得られるデータと等は、記憶装置に適宜記憶される。ログ生成装置100の各部は、適宜記憶装置を利用する。記憶装置は、具体例として、メモリ12と、補助記憶装置13と、プロセッサ11内のレジスタと、プロセッサ11内のキャッシュメモリとの少なくとも1つから成る。なお、データと、情報とは、同等の意味を有することもある。記憶装置は、コンピュータと独立したものであってもよい。記憶装置は、オブジェクト条件情報200と、ユーザ属性情報210と、悪意操作情報220と、操作ログ300とを記憶する。オブジェクト条件情報200とユーザ属性情報210と悪意操作情報220と操作ログ300とのそれぞれは、データベース化されていてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
ログ生成プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。ログ生成プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
ログ生成装置100の動作手順は、ログ生成方法に相当する。また、ログ生成装置100の動作を実現するプログラムは、ログ生成プログラムに相当する。以下、オブジェクトが電子ファイルである場合におけるログ生成装置100の動作を説明する。
ログ生成装置100の動作手順は、ログ生成方法に相当する。また、ログ生成装置100の動作を実現するプログラムは、ログ生成プログラムに相当する。以下、オブジェクトが電子ファイルである場合におけるログ生成装置100の動作を説明する。
図3は、内部不正を模式的に説明する図である。本図において、ファイルサーバはファイルを格納しており、ファイルは適宜分類されている。「新製品プロジェクトに関連するファイル群」は新製品プロジェクトに関連する情報を示すファイルの一群であり、「新製品プロジェクトに関連するファイル群」に属するファイルの機密度は高いものとする。「USB出力無」は、「新製品プロジェクトに関連するファイル群」に属するファイルの内、少なくとも操作ログ300が示す時間範囲において、USBメモリに出力されたことがないファイルを示す。ログ生成装置100は、ファイルが「USB出力無」に当たるか否かを、操作ログ300を用いて確認してもよい。「USB出力無」に属するファイルは、具体例として、普段USB出力されない機密ファイルをUSBファイルに出力する内部不正と、普段当該機密ファイルにアクセスしないユーザが当該機密ファイルにアクセスしてUSBメモリに当該機密ファイルを出力する内部不正との少なくともいずれかを再現することに用いられる。正規ユーザは悪意操作を実行しないユーザである。内部犯は悪意操作を実行するユーザである。内部犯は正常な操作を実行してもよい。ログ生成装置100は、あるユーザを仮想的に内部犯とみなすことにより内部不正が起こったものとする。内部犯は対象ユーザに相当する。ログ生成装置100は、アクセス権限の範囲内において行われる内部不正を再現する。
本図は、ファイルDOC2は普段USBメモリに出力されない機密ファイルであるものの、内部犯がファイルDOC2をUSBメモリに出力するという内部不正を実行する様子を示している。
本図は、ファイルDOC2は普段USBメモリに出力されない機密ファイルであるものの、内部犯がファイルDOC2をUSBメモリに出力するという内部不正を実行する様子を示している。
図4は、ログ生成装置100の動作の一例を示すフローチャートである。本図を参照してログ生成装置100の動作を説明する。
(ステップS101:ファイル探索処理)
オブジェクト探索部111は、操作ログ300に基づいて、内部不正が実行される対象であるファイルを対象ファイルとして決定する。
オブジェクト探索部111は、操作ログ300に基づいて、内部不正が実行される対象であるファイルを対象ファイルとして決定する。
(ステップS102:ユーザ探索処理)
ユーザ探索部112は、操作ログ300に基づいて、内部不正を行うユーザを対象ユーザとして決定する。
ユーザ探索部112は、操作ログ300に基づいて、内部不正を行うユーザを対象ユーザとして決定する。
(ステップS103:時間帯探索処理)
時間帯探索部113は、操作ログ300に基づいて、対象ユーザが内部不正を実行する時間帯を対象時間帯として決定する。
時間帯探索部113は、操作ログ300に基づいて、対象ユーザが内部不正を実行する時間帯を対象時間帯として決定する。
(ステップS104:操作決定処理)
悪意ログ生成部121は、悪意操作情報220に基づいて、対象ファイルへの悪意操作を対象悪意操作として決定する。
悪意ログ生成部121は、悪意操作情報220に基づいて、対象ファイルへの悪意操作を対象悪意操作として決定する。
(ステップS105:悪意ログ生成処理)
悪意ログ生成部121は、対象ファイルに対して対象時間帯に対象悪意操作を対象ユーザが実行したことを示す悪意ログ310を作成する。
悪意ログ生成部121は、対象ファイルに対して対象時間帯に対象悪意操作を対象ユーザが実行したことを示す悪意ログ310を作成する。
(ステップS106:周辺ログ生成処理)
周辺ログ生成部122は、対象ファイルの周辺において対象時間帯の周辺の時間帯において対象ユーザが実行したことを示す周辺ログ320を作成する。
周辺ログ生成部122は、対象ファイルの周辺において対象時間帯の周辺の時間帯において対象ユーザが実行したことを示す周辺ログ320を作成する。
(ステップS107:ログ埋込処理)
ログ埋込部123は、操作ログ300に対して悪意ログ310と対象周辺ログ320とを対象時間帯及び対象時間帯の周辺において対象ユーザが実行した操作として埋め込むことにより、仮想不正ログ400を作成する。
ログ埋込部123は、操作ログ300に対して悪意ログ310と対象周辺ログ320とを対象時間帯及び対象時間帯の周辺において対象ユーザが実行した操作として埋め込むことにより、仮想不正ログ400を作成する。
図5は、オブジェクト探索部111の動作の一例を示すフローチャートである。本図を参照してオブジェクト探索部111の動作を説明する。
(ステップS111:ファイル分類処理)
オブジェクト探索部111は、操作ログ300に基づいて対象システムが有するファイルをファイルへのアクセスの傾向によりカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「誰もアクセスしないファイル」と、「誰も編集しないファイル」と、「規定のユーザ又は規定のグループに属するユーザのみリードアクセスするファイル」と、「規定のユーザ又は規定のグループに属するユーザのみ編集するファイル」と、「特定のユーザのみリードアクセスするファイル」と、「特定のユーザのみ編集するファイル」とを含む。
多くの人がアクセス又は編集するファイルは機密度が低いと考えられる。そこで、オブジェクト探索部111は、アクセスするユーザが限定されているカテゴリを対象カテゴリとして選択する。
オブジェクト探索部111は、操作ログ300に基づいて対象システムが有するファイルをファイルへのアクセスの傾向によりカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「誰もアクセスしないファイル」と、「誰も編集しないファイル」と、「規定のユーザ又は規定のグループに属するユーザのみリードアクセスするファイル」と、「規定のユーザ又は規定のグループに属するユーザのみ編集するファイル」と、「特定のユーザのみリードアクセスするファイル」と、「特定のユーザのみ編集するファイル」とを含む。
多くの人がアクセス又は編集するファイルは機密度が低いと考えられる。そこで、オブジェクト探索部111は、アクセスするユーザが限定されているカテゴリを対象カテゴリとして選択する。
(ステップS112:操作絞り込み処理)
オブジェクト探索部111は、対象カテゴリに属するファイルを、規定の悪意操作が実行されていないファイルに絞り込む。オブジェクト探索部111は、悪意操作情報220を参照して規定の悪意操作を決めてもよい。規定の悪意操作はユーザの属性又はファイルの性質等によって異なってもよい。具体例として、役員AがファイルF1をローカル保存することは規定の悪意操作ではないが、課長BがファイルF1をローカルすることは規定の悪意操作であってもよい。また、ファイルF1を印刷することは規定の悪意操作ではないが、ファイルF2を印刷することは規定の悪意操作であってもよい。
オブジェクト探索部111は、対象カテゴリに属するファイルを、規定の悪意操作が実行されていないファイルに絞り込む。オブジェクト探索部111は、悪意操作情報220を参照して規定の悪意操作を決めてもよい。規定の悪意操作はユーザの属性又はファイルの性質等によって異なってもよい。具体例として、役員AがファイルF1をローカル保存することは規定の悪意操作ではないが、課長BがファイルF1をローカルすることは規定の悪意操作であってもよい。また、ファイルF1を印刷することは規定の悪意操作ではないが、ファイルF2を印刷することは規定の悪意操作であってもよい。
(ステップS113:対象ファイル抽出処理)
オブジェクト探索部111は、前のステップの処理によって絞り込まれたファイルから、ファイル名に規定のワードが含まれているファイル、又は、ディレクトリ名に規定のワードが含まれているディレクトリが格納しているファイル等を対象ファイルとして抽出する。当該ファイル名又は当該ディレクトリ名は、具体例として、「社外秘」と「秘」と「極秘」と「発電プラント」と「新製品プロジェクト」と「企画書」と「仕様書」との少なくともいずれかの用語を含む。
オブジェクト探索部111は複数のファイルを抽出してもよい。また、オブジェクト探索部111は、ファイルではなく、一定の期間内にアクセスされる一連のファイルから成るファイル集合を抽出してもよい。オブジェクト探索部111がファイル集合を抽出した場合、以降の処理において、ログ生成装置100は、ファイル単位ではなくファイル集合単位で処理を実行する。
オブジェクト探索部111は、前のステップの処理によって絞り込まれたファイルから、ファイル名に規定のワードが含まれているファイル、又は、ディレクトリ名に規定のワードが含まれているディレクトリが格納しているファイル等を対象ファイルとして抽出する。当該ファイル名又は当該ディレクトリ名は、具体例として、「社外秘」と「秘」と「極秘」と「発電プラント」と「新製品プロジェクト」と「企画書」と「仕様書」との少なくともいずれかの用語を含む。
オブジェクト探索部111は複数のファイルを抽出してもよい。また、オブジェクト探索部111は、ファイルではなく、一定の期間内にアクセスされる一連のファイルから成るファイル集合を抽出してもよい。オブジェクト探索部111がファイル集合を抽出した場合、以降の処理において、ログ生成装置100は、ファイル単位ではなくファイル集合単位で処理を実行する。
図6は、ユーザ探索部112の動作の一例を示すフローチャートである。本図を参照してユーザ探索部112の動作を説明する。
(ステップS121:ユーザ分類処理)
ユーザ探索部112は、操作ログ300における対象ファイルへのアクセス傾向に基づいて各ユーザをカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「対象ファイルに全くリードアクセスしないユーザ」と、「対象ファイルにリードアクセスのみするユーザ」と、「対象ファイルを編集するユーザ」とを含む。
ユーザ探索部112は、操作ログ300における対象ファイルへのアクセス傾向に基づいて各ユーザをカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「対象ファイルに全くリードアクセスしないユーザ」と、「対象ファイルにリードアクセスのみするユーザ」と、「対象ファイルを編集するユーザ」とを含む。
(ステップS122:ユーザ属性絞り込み処理)
ユーザ探索部112は、対象カテゴリに属するユーザを、ユーザ属性情報210を用いて対象ユーザとなり得るユーザに絞り込む。ユーザ探索部112は、具体例として、役職が比較的低いユーザ、又は、勤続年数が比較的短いユーザに絞り込む。ユーザ属性情報210は、ユーザ属性が含む複数の情報の組み合わせが一定の条件を満たすユーザに絞り込んでもよい。
ユーザ探索部112は、対象カテゴリに属するユーザを、ユーザ属性情報210を用いて対象ユーザとなり得るユーザに絞り込む。ユーザ探索部112は、具体例として、役職が比較的低いユーザ、又は、勤続年数が比較的短いユーザに絞り込む。ユーザ属性情報210は、ユーザ属性が含む複数の情報の組み合わせが一定の条件を満たすユーザに絞り込んでもよい。
(ステップS123:対象ユーザ抽出処理)
ユーザ探索部112は、前のステップの処理によって絞り込まれたユーザから、対象ファイルが置いてあるディレクトリにアクセスする権限のあるユーザ、又は、当該ディレクトリにアクセスしたことのあるユーザ等に絞り込み、絞り込んだユーザから対象ユーザを抽出する。ユーザ探索部112は、複数のユーザを対象ユーザとして抽出してもよい。
ユーザ探索部112は、前のステップの処理によって絞り込まれたユーザから、対象ファイルが置いてあるディレクトリにアクセスする権限のあるユーザ、又は、当該ディレクトリにアクセスしたことのあるユーザ等に絞り込み、絞り込んだユーザから対象ユーザを抽出する。ユーザ探索部112は、複数のユーザを対象ユーザとして抽出してもよい。
図7は、時間帯探索部113の動作の一例を示すフローチャートである。本図を参照して時間帯探索部113の動作を説明する。
(ステップS131:時間帯特定処理)
時間帯探索部113は、操作ログ300に基づいて対象ユーザがファイルにアクセスすることが多い時間帯を特定時間帯として特定する。ここで、当該ファイルは対象ファイルに限られなくてもよい。
時間帯探索部113は、操作ログ300に基づいて対象ユーザがファイルにアクセスすることが多い時間帯を特定時間帯として特定する。ここで、当該ファイルは対象ファイルに限られなくてもよい。
(ステップS132:時間帯除外処理)
時間帯探索部113は、操作ログ300に基づいて、対象ファイルを有するディレクトリと当該ディレクトリの周辺のディレクトリとを除くディレクトリを対象ユーザが操作することが比較的多い時間帯を、特定時間帯から除く。時間帯探索部113は、本ステップにおいて除外しなかった時間帯を除外済時間帯とする。
時間帯探索部113は、操作ログ300に基づいて、対象ファイルを有するディレクトリと当該ディレクトリの周辺のディレクトリとを除くディレクトリを対象ユーザが操作することが比較的多い時間帯を、特定時間帯から除く。時間帯探索部113は、本ステップにおいて除外しなかった時間帯を除外済時間帯とする。
(ステップS133:対象時間帯抽出処理)
時間帯探索部113は、操作ログ300に基づいて対象ユーザのファイルアクセスの時間間隔を特定し、特定した時間間隔に基づいて除外済時間帯から対象時間帯を抽出する。時間間隔には上限と下限とがあってもよい。時間帯探索部113は、具体例として、一定期間の間に対象ユーザが、開くファイルの種類若しくはファイルの数、又は、編集するファイルの種類若しくはファイルの数等に基づいて時間間隔を求める。
時間帯探索部113は、具体例として、対象ユーザがあるファイルにアクセスした時間から時間間隔が経過した時間を対象時間帯とする。
時間帯探索部113は、操作ログ300に基づいて対象ユーザのファイルアクセスの時間間隔を特定し、特定した時間間隔に基づいて除外済時間帯から対象時間帯を抽出する。時間間隔には上限と下限とがあってもよい。時間帯探索部113は、具体例として、一定期間の間に対象ユーザが、開くファイルの種類若しくはファイルの数、又は、編集するファイルの種類若しくはファイルの数等に基づいて時間間隔を求める。
時間帯探索部113は、具体例として、対象ユーザがあるファイルにアクセスした時間から時間間隔が経過した時間を対象時間帯とする。
図8は、悪意ログ生成部121の動作の一例を示すフローチャートである。本図を参照して悪意ログ生成部121の動作を説明する。
(ステップS141:悪意操作決定処理)
悪意ログ生成部121は、悪意操作情報220を参照して、対象ユーザが対象ファイルに対して実行する悪意操作を対象悪意操作として決定する。悪意ログ生成部121は、操作ログ300を参照することにより、対象時間帯において現実的に起こり得る悪意操作を絞り込み、絞り込んだ悪意操作から対象悪意操作を決定してもよい。
悪意ログ生成部121は、悪意操作情報220を参照して、対象ユーザが対象ファイルに対して実行する悪意操作を対象悪意操作として決定する。悪意ログ生成部121は、操作ログ300を参照することにより、対象時間帯において現実的に起こり得る悪意操作を絞り込み、絞り込んだ悪意操作から対象悪意操作を決定してもよい。
(ステップS142:ログ生成処理)
悪意ログ生成部121は、当該ユーザが当該時間帯に、対象ファイルに対して対象悪意操作を実行したことを示す悪意ログ310を作成する。悪意ログ310は、具体例として、タイムスタンプと、対象ファイルの名称と、対象ユーザの名称と、対象悪意操作とを示す情報を含む。
悪意ログ生成部121は、当該ユーザが当該時間帯に、対象ファイルに対して対象悪意操作を実行したことを示す悪意ログ310を作成する。悪意ログ310は、具体例として、タイムスタンプと、対象ファイルの名称と、対象ユーザの名称と、対象悪意操作とを示す情報を含む。
図9は、周辺ログ生成部122の動作の一例を示すフローチャートである。本図を参照して周辺ログ生成部122の動作を説明する。
(ステップS151:ファイル選択処理)
周辺ログ生成部122は、対象ファイルが置かれているディレクトリ内の対象ファイル以外のファイルと、当該ディレクトリの周辺のディレクトリが含むファイルとから、任意の数のファイルを選択する。
周辺ログ生成部122は、対象ファイルが置かれているディレクトリ内の対象ファイル以外のファイルと、当該ディレクトリの周辺のディレクトリが含むファイルとから、任意の数のファイルを選択する。
(ステップS152:周辺操作決定処理)
周辺ログ生成部122は、当該周辺ファイルに対する正常操作を対象正常操作として決定する。対象正常操作は、悪意操作ではない操作である。周辺ログ生成部122は、操作ログ300と悪意操作情報220との少なくともいずれかを適宜参照して対象周辺操作を決定してもよい。
周辺ログ生成部122は、当該周辺ファイルに対する正常操作を対象正常操作として決定する。対象正常操作は、悪意操作ではない操作である。周辺ログ生成部122は、操作ログ300と悪意操作情報220との少なくともいずれかを適宜参照して対象周辺操作を決定してもよい。
(ステップS153:ログ生成処理)
周辺ログ生成部122は、悪意ログ310の時間帯前後に、対象ユーザが、対象周辺操作を実行したことを示す周辺ログ320を作成する。
周辺ログ生成部122は、悪意ログ310の時間帯前後に、対象ユーザが、対象周辺操作を実行したことを示す周辺ログ320を作成する。
図10は、ログ埋込部123の動作の一例を示すフローチャートである。本図を参照してログ埋込部123の動作を説明する。
(ステップS161:悪意ログ埋込処理)
ログ埋込部123は、悪意ログ310が示す操作が対象時間帯に実行されたものとなるよう悪意ログ310を操作ログ300に埋め込む。
ログ埋込部123は、悪意ログ310が示す操作が対象時間帯に実行されたものとなるよう悪意ログ310を操作ログ300に埋め込む。
(ステップS162:周辺ログ埋込処理)
ログ埋込部123は、周辺ログ320を操作ログ300に適宜埋め込み、仮想不正ログ400を生成する。
ログ埋込部123は、周辺ログ320を操作ログ300に適宜埋め込み、仮想不正ログ400を生成する。
図11は、操作ログ300と操作ログ300に対応する仮想不正ログ400との具体例を示している。本例において、ログ生成装置100は、周辺ログ320としてユーザAがファイルBを編集する操作を示すログを操作ログ300に埋め込み、悪意ログ310としてユーザAがファイルBをUSBメモリに出力する操作を示すログを操作ログ300に埋め込む。
***実施の形態1の効果の説明***
以上のように、本実施の形態によれば、顧客の環境に対応した仮想的な内部犯行ログを自動的に生成することができる。
以上のように、本実施の形態によれば、顧客の環境に対応した仮想的な内部犯行ログを自動的に生成することができる。
***他の構成***
<変形例1>
悪意ログ生成部121は、操作ログ300の一部を変更することにより悪意ログ310を生成してもよい。
周辺ログ生成部122は、操作ログ300の一部を変更することにより周辺ログ320を生成してもよい。
<変形例1>
悪意ログ生成部121は、操作ログ300の一部を変更することにより悪意ログ310を生成してもよい。
周辺ログ生成部122は、操作ログ300の一部を変更することにより周辺ログ320を生成してもよい。
<変形例2>
図12は、本変形例に係るログ生成装置100のハードウェア構成例を示している。
ログ生成装置100は、本図に示すように、プロセッサ11とメモリ12と補助記憶装置13との少なくとも1つに代えて、処理回路18を備える。
処理回路18は、ログ生成装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
図12は、本変形例に係るログ生成装置100のハードウェア構成例を示している。
ログ生成装置100は、本図に示すように、プロセッサ11とメモリ12と補助記憶装置13との少なくとも1つに代えて、処理回路18を備える。
処理回路18は、ログ生成装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
処理回路18が専用のハードウェアである場合、処理回路18は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(ASICはApplication Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)又はこれらの組み合わせである。
ログ生成装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
ログ生成装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
ログ生成装置100において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。
処理回路18は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、ログ生成装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
***他の実施の形態***
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、ログ生成装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
***他の実施の形態***
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
11 プロセッサ、12 メモリ、13 補助記憶装置、14 入出力IF、15 通信装置、18 処理回路、19 信号線、100 ログ生成装置、110 ログ分析部、111 オブジェクト探索部、112 ユーザ探索部、113 時間帯探索部、120 ログ生成部、121 悪意ログ生成部、122 周辺ログ生成部、123 ログ埋込部、200 オブジェクト条件情報、210 ユーザ属性情報、220 悪意操作情報、300 操作ログ、310 悪意ログ、320 周辺ログ、400 仮想不正ログ。
Claims (10)
- オブジェクトを有する対象システムにおけるログ生成装置であって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備えるログ生成装置。 - 前記ログ生成装置は、さらに、
前記対象操作ログを用いて前記特定操作ログが示す操作が実行された時間帯を対象時間帯として探索する時間帯探索部を備え、
前記特定操作ログ生成部は、前記特定操作ログが示す操作が前記対象時間帯において実行されたものとする請求項1に記載のログ生成装置。 - 前記ログ生成装置は、さらに、
前記特定操作ログを前記対象操作ログに埋め込むログ埋込部を備える請求項2に記載のログ生成装置。 - 前記ログ生成装置は、さらに、
前記対象時間帯の周辺の時間帯において前記対象オブジェクトが格納されている場所の周辺において前記対象ユーザが実行した操作であって、前記特定操作ではない操作である周辺操作を示す仮想的なログである周辺ログを生成する周辺ログ生成部を備え、
前記ログ埋込部は、前記周辺ログを前記対象操作ログに埋め込む請求項3に記載のログ生成装置。 - 前記オブジェクト探索部は、前記対象システムが有する各オブジェクトの機密度に基づいて前記対象オブジェクトを探索する請求項1から4のいずれか1項に記載のログ生成装置。
- 前記ユーザ探索部は、前記対象システムの各ユーザの属性を示すユーザ属性情報を用いて前記対象ユーザを探索する請求項1から5のいずれか1項に記載のログ生成装置。
- 前記オブジェクトは電子ファイルである請求項1から6のいずれか1項に記載のログ生成装置。
- 前記オブジェクトは電子機器である請求項1から6のいずれか1項に記載のログ生成装置。
- オブジェクトを有する対象システムにおけるログ生成方法であって、
オブジェクト探索部が、前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索し、
ユーザ探索部が、前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索し、
特定操作ログ生成部が、前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成するログ生成方法。 - オブジェクトを有する対象システムにおけるログ生成プログラムであって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索処理と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索処理と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成処理と
をコンピュータであるログ生成装置に実行させるログ生成プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/000313 WO2022149233A1 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022149233A1 JPWO2022149233A1 (ja) | 2022-07-14 |
| JP7229443B2 true JP7229443B2 (ja) | 2023-02-27 |
Family
ID=82358093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022570240A Active JP7229443B2 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230273993A1 (ja) |
| JP (1) | JP7229443B2 (ja) |
| CN (1) | CN116670696A (ja) |
| DE (1) | DE112021005802T5 (ja) |
| WO (1) | WO2022149233A1 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019121215A (ja) | 2018-01-09 | 2019-07-22 | 富士通株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
| JP2019159902A (ja) | 2018-03-14 | 2019-09-19 | オムロン株式会社 | 異常検知システム、サポート装置およびモデル生成方法 |
| JP2020061007A (ja) | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
-
2021
- 2021-01-07 DE DE112021005802.9T patent/DE112021005802T5/de active Pending
- 2021-01-07 JP JP2022570240A patent/JP7229443B2/ja active Active
- 2021-01-07 WO PCT/JP2021/000313 patent/WO2022149233A1/ja active Application Filing
- 2021-01-07 CN CN202180086612.5A patent/CN116670696A/zh active Pending
-
2023
- 2023-05-09 US US18/195,133 patent/US20230273993A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019121215A (ja) | 2018-01-09 | 2019-07-22 | 富士通株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
| JP2019159902A (ja) | 2018-03-14 | 2019-09-19 | オムロン株式会社 | 異常検知システム、サポート装置およびモデル生成方法 |
| JP2020061007A (ja) | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116670696A (zh) | 2023-08-29 |
| JPWO2022149233A1 (ja) | 2022-07-14 |
| WO2022149233A1 (ja) | 2022-07-14 |
| DE112021005802T5 (de) | 2023-08-24 |
| US20230273993A1 (en) | 2023-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Roy et al. | Deepran: Attention-based bilstm and crf for ransomware early detection and classification | |
| US8955133B2 (en) | Applying antimalware logic without revealing the antimalware logic to adversaries | |
| Gül et al. | A survey on anti-forensics techniques | |
| Davies et al. | Differential area analysis for ransomware attack detection within mixed file datasets | |
| US12008137B2 (en) | Systems and method of contextual data masking for private and secure data linkage | |
| Vundavalli et al. | Malicious URL detection using supervised machine learning techniques | |
| Hu et al. | Champ: Characterizing undesired app behaviors from user comments based on market policies | |
| US20230315846A1 (en) | System and method for detecting leaked documents on a computer network | |
| Ma et al. | An API Semantics‐Aware Malware Detection Method Based on Deep Learning | |
| Singh et al. | Ransomware detection using process memory | |
| Ali et al. | [Retracted] Security Hardened and Privacy Preserved Android Malware Detection Using Fuzzy Hash of Reverse Engineered Source Code | |
| Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
| Casino et al. | Analysis and correlation of visual evidence in campaigns of malicious office documents | |
| Jang et al. | Function‐Oriented Mobile Malware Analysis as First Aid | |
| Luz et al. | Data preprocessing and feature extraction for phishing URL detection | |
| JP7229443B2 (ja) | ログ生成装置、ログ生成方法、及び、ログ生成プログラム | |
| Wang et al. | Malware detection using cnn via word embedding in cloud computing infrastructure | |
| Lemmou et al. | Inside gandcrab ransomware | |
| Hamidreza et al. | Permission-based analysis of android applications using categorization and deep learning scheme | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
| JP7566230B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
| WO2024171423A1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
| CN112069501B (zh) | Fpga嵌入式终端设备比特流攻击检测方法、装置及电子设备 | |
| Alimardani et al. | A taxonomy on recent mobile malware: Features, analysis methods, and detection techniques | |
| Lemmou et al. | Discriminating unknown software using distance model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221116 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20221116 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230117 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230214 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7229443 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |