JP7259436B2 - 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム - Google Patents
情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム Download PDFInfo
- Publication number
- JP7259436B2 JP7259436B2 JP2019050612A JP2019050612A JP7259436B2 JP 7259436 B2 JP7259436 B2 JP 7259436B2 JP 2019050612 A JP2019050612 A JP 2019050612A JP 2019050612 A JP2019050612 A JP 2019050612A JP 7259436 B2 JP7259436 B2 JP 7259436B2
- Authority
- JP
- Japan
- Prior art keywords
- graph
- analysis
- normal
- event
- analysis graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
に関する。
[構成]
本願発明の第1の実施形態を、図面を参照して説明する。図1は、第1の実施形態における、情報処理システム1の構成を示す図である。
図2に示すイベントグラフの概念図は、「fileread.exe」を示すノードN1と、「testdata.txt」を示すノードN2と、ノードN1及びノードN2を接続する「read」を示すエッジE1とで構成されている。
次に、第1の実施形態における動作を、フローチャートを用いて説明する。
次に、第1の実施形態における詳細な動作について、具体例を用いながら説明する。
ユーザは、入力装置30を用いて、監視対象システム20における正常時の活動を示す情報を情報処理装置10に入力する。具体的に、ユーザは、隣接行列や隣接リスト等を入力しても良いし、描画ツール等を用いて生成したグラフを入力しても良い。
グラフ生成部11は、監視対象システム20で発生したイベントを取得し、当該取得したイベントを用いてイベントグラフを生成する。なお、グラフ生成部11は、イベントを取得することができるのであれば、監視対象システム20から送られてきたイベントを取得する等のように、どのような方法を用いても構わない。
検知部15は、所定の条件を満たす場合に、グラフ生成部11が生成した分析グラフと、正常グラフ記憶部14に記憶された正常グラフとの類似度を算出し、当該類似度と予め定めた閾値とを用いて異常を検知する。
本願発明は、上記のような構成を有することにより、連続的に推移するような活動であっても、異常を検知することが可能となる。
[構成]
本願発明の第2の実施形態を、図面を参照して説明する。図9は、第2の実施形態における、情報処理装置100のブロック図を示す図である。第2の実施形態における情報処理装置100は、生成部200と、正常グラフ記憶部300と、検知部400とを含む。
次に、本願発明の第2の実施形態における主な動作を説明する。
本願発明におけるプログラムは、コンピュータに、本願発明の処理を実行させるプログラムである。このプログラムをコンピュータにインストールし、実行することによって、本願発明を実現することができる。
本発明における一部又は全部は、以下の付記のようにも記載されうる。以下、本発明における情報処理装置、情報処理方法、情報処理プログラム、情報処理システムの構成の概略を説明する。ただし、本発明は、以下の構成に限定されない。
(付記1)
エッジ及びノードを用いてプログラムの活動を表す分析グラフを生成する生成部と、
監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶する正常グラフ記憶部と、
前記生成部が生成した分析グラフと前記正常グラフ記憶部が記憶する正常グラフとに基づいて異常を検知する検知部と、
を有する情報処理装置。
(付記2)
前記検知部は、前記正常グラフ記憶部が記憶する正常グラフと、前記生成部が生成した分析グラフとの類似度を算出し、当該類似度に基づき異常を検知する、
付記1に記載の情報処理装置。
(付記3)
前記検知部は、前記生成部が分析グラフを生成したタイミングで類似度を算出する、
付記2に記載の情報処理装置。
(付記4)
前記生成部が生成した分析グラフを格納する分析グラフ記憶部を更に有し、
前記生成部は、1つのエッジ及びそのエッジによって接続される2つのノードを有するイベントグラフを生成し、当該イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとを用いて、新たな分析グラフを生成する、
付記1乃至3のいずれか1項に記載の情報処理装置。
(付記5)
前記生成部は、イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係を確認し、イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有する場合は、当該分析グラフにイベントグラフを結合することで、新たな分析グラフを生成する、
付記4に記載の情報処理装置。
(付記6)
前記生成部は、イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係を確認し、イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有さない場合は、当該イベントグラフを新たな分析グラフとして、前記分析グラフ記憶部に格納する、
付記4又は5に記載の情報処理装置。
(付記7)
検知部が異常を検知した場合、当該異常に関する情報を出力する出力部を更に有し、
前記出力部は、正常グラフと分析グラフとの一致部分と、正常グラフと分析グラフとの不一致部分とを、異なる態様で出力する、
付記1乃至6のいずれか1項に記載の情報処理装置。
(付記8)
エッジ及びノードを用いてプログラムの活動を表す分析グラフを生成し、
監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶し、
前記分析グラフと前記正常グラフとに基づいて異常を検知する、
情報処理方法。
(付記9)
エッジ及びノードを用いてプログラムの活動を表す分析グラフを生成し、
監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶し、
前記分析グラフと前記正常グラフとに基づいて異常を検知する処理をコンピュータに実行させる、
情報処理プログラム。
(付記10)
情報処理装置と、
1以上のコンピュータを含む監視対象と、
前記情報処理装置に対して情報を入力する入力装置と、
前記情報処理装置が処理を行った情報を出力する出力装置と、
を有し、
前記情報処理装置は、
前記監視対象におけるプログラムの活動をエッジ及びノードを用いて表す分析グラフを生成する生成部と、
前記入力装置から入力された情報に基づき、監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶する正常グラフ記憶部と、
前記生成部が生成した分析グラフと前記正常グラフ記憶部が記憶する正常グラフとに基づいて異常を検知する検知部とを有する、
情報処理システム。
10 情報処理装置
11 グラフ生成部
12 分析グラフ記憶部
13 正常グラフ生成部
14 正常グラフ記憶部
15 検知部
16 出力部
20 監視対象システム
30 入力装置
40 出力装置
100 情報処理装置
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
200 生成部
300 正常グラフ記憶部
400 検知部
Claims (10)
- エッジ及びノードを用いてプログラムの活動を表す分析グラフを生成する生成部と、
監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶する正常グラフ記憶部と、
前記生成部が生成した分析グラフと前記正常グラフ記憶部が記憶する正常グラフとに基づいて異常を検知する検知部と、
前記生成部が生成した分析グラフを格納する分析グラフ記憶部とを有し、
前記生成部は、1つのエッジ及びそのエッジによって接続される2つのノードを有するイベントグラフを生成し、前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係をノード一致条件に基づき判断し、前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有する場合は、前記分析グラフに前記イベントグラフを結合することで、新たな分析グラフを生成する、
情報処理装置。 - 前記検知部は、前記正常グラフ記憶部が記憶する正常グラフと、前記生成部が生成した分析グラフとの類似度を算出し、当該類似度に基づき異常を検知する、
請求項1に記載の情報処理装置。 - 前記検知部は、前記生成部が分析グラフを生成したタイミングで前記類似度を算出する、
請求項2に記載の情報処理装置。 - 前記ノード一致条件として、前記イベントグラフに含まれるノードと、前記分析グラフに含まれるノードとが等しく、かつ、前記イベントグラフに含まれるノードおよび前記分析グラフに含まれるノードが有するイベントの実行日時の差分が閾値以下の場合に、前記イベントグラフと前記分析グラフとが連続関係を有すると判断する
請求項1乃至3のいずれか1項に記載の情報処理装置。 - 前記ノード一致条件として、さらにプログラムの実行ユーザが等しい場合に前記イベントグラフと前記分析グラフとが連続関係を有すると判断する
請求項4に記載の情報処理装置。 - 前記生成部は、前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係を確認し、前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有さない場合は、当該イベントグラフを新たな分析グラフとして、前記分析グラフ記憶部に格納する、
請求項1乃至5のいずれか1項に記載の情報処理装置。 - 検知部が異常を検知した場合、当該異常に関する情報を出力する出力部を更に有し、
前記出力部は、正常グラフと分析グラフとの一致部分と、正常グラフと分析グラフとの不一致部分とを、異なる態様で出力する、
請求項1乃至6のいずれか1項に記載の情報処理装置。 - エッジ及びノードを用いてプログラムの活動を表す分析グラフを生成し、
生成した分析グラフを分析グラフ記憶部に格納し、
1つのエッジ及びそのエッジによって接続される2つのノードを有するイベントグラフを生成し、
前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係をノード一致条件に基づき判断し、
前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有する場合は、前記分析グラフに前記イベントグラフを結合することで、新たな分析グラフを生成し、
監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶し、
前記分析グラフと前記正常グラフとに基づいて異常を検知する、
情報処理方法。 - エッジ及びノードを用いてプログラムの活動を表す分析グラフを生成し、
生成した分析グラフを分析グラフ記憶部に格納し、
1つのエッジ及びそのエッジによって接続される2つのノードを有するイベントグラフを生成し、
前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係をノード一致条件に基づき判断し、
前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有する場合は、前記分析グラフに前記イベントグラフを結合することで、新たな分析グラフを生成し、
監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶し、
前記分析グラフと前記正常グラフとに基づいて異常を検知する処理をコンピュータに実行させる、
情報処理プログラム。 - 情報処理装置と、
1以上のコンピュータを含む監視対象と、
前記情報処理装置に対して情報を入力する入力装置と、
前記情報処理装置が処理を行った情報を出力する出力装置と、
を有し、
前記情報処理装置は、
前記監視対象におけるプログラムの活動をエッジ及びノードを用いて表す分析グラフを生成する生成部と、
前記入力装置から入力された情報に基づき、前記監視対象における正常時の活動をエッジ及びノードを用いて表す正常グラフを記憶する正常グラフ記憶部と、
前記生成部が生成した分析グラフと前記正常グラフ記憶部が記憶する正常グラフとに基づいて異常を検知する検知部と、
前記生成部が生成した分析グラフを格納する分析グラフ記憶部とを有し、
前記生成部は、1つのエッジ及びそのエッジによって接続される2つのノードを有するイベントグラフを生成し、前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとの連続関係をノード一致条件に基づき判断し、前記イベントグラフと前記分析グラフ記憶部が記憶する分析グラフとが連続関係を有する場合は、前記分析グラフに前記イベントグラフを結合することで、新たな分析グラフを生成する、
情報処理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019050612A JP7259436B2 (ja) | 2019-03-19 | 2019-03-19 | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019050612A JP7259436B2 (ja) | 2019-03-19 | 2019-03-19 | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020154489A JP2020154489A (ja) | 2020-09-24 |
JP7259436B2 true JP7259436B2 (ja) | 2023-04-18 |
Family
ID=72559039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019050612A Active JP7259436B2 (ja) | 2019-03-19 | 2019-03-19 | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7259436B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140053025A1 (en) | 2012-08-16 | 2014-02-20 | Vmware, Inc. | Methods and systems for abnormality analysis of streamed log data |
WO2015141220A1 (ja) | 2014-03-20 | 2015-09-24 | 日本電気株式会社 | 情報処理装置及び監視方法 |
-
2019
- 2019-03-19 JP JP2019050612A patent/JP7259436B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140053025A1 (en) | 2012-08-16 | 2014-02-20 | Vmware, Inc. | Methods and systems for abnormality analysis of streamed log data |
WO2015141220A1 (ja) | 2014-03-20 | 2015-09-24 | 日本電気株式会社 | 情報処理装置及び監視方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2020154489A (ja) | 2020-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6789308B2 (ja) | トリップワイヤファイルを生成するためのシステム及び方法 | |
O'Kane et al. | SVM training phase reduction using dataset feature filtering for malware detection | |
Xu et al. | A sharper sense of self: Probabilistic reasoning of program behaviors for anomaly detection with context sensitivity | |
US11321066B2 (en) | Securing software installation through deep graph learning | |
Palahan et al. | Extraction of statistically significant malware behaviors | |
CN111183620B (zh) | 入侵调查 | |
JPWO2018070404A1 (ja) | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体 | |
US20240004993A1 (en) | Malware detection in containerized environments | |
JP7451476B2 (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
US20150220733A1 (en) | Apparatus and method for detecting a malicious code based on collecting event information | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
JP7259436B2 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
CN116150746A (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
KR101435341B1 (ko) | Svm을 이용한 dlp 트레이싱 대상 파일 분류에 관한 방법 | |
JP7168010B2 (ja) | 行動計画推定装置、行動計画推定方法、及びプログラム | |
KR102137109B1 (ko) | 로그 메시지의 패턴을 분류하는 방법 및 장치 | |
WO2020008632A1 (ja) | 仮説推論装置、仮説推論方法、及びコンピュータ読み取り可能な記録媒体 | |
Aswini et al. | Towards the Detection of Android Malware using Ensemble Features. | |
JP7501782B2 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム | |
JP7559974B2 (ja) | 生成装置、生成方法および生成プログラム | |
JP6547341B2 (ja) | 情報処理装置、方法及びプログラム | |
KR20190123369A (ko) | 머신러닝 기반 악성코드 탐지를 위한 특성선정 방법 및 이를 수행하기 위한 기록매체 및 장치 | |
KR102662965B1 (ko) | 구조화 문서에 대한 인공지능 기반의 악성코드 탐지 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211019 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230307 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230320 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7259436 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |