JP7421196B2 - ログ生成システム、ログ生成方法およびログ生成プログラム - Google Patents
ログ生成システム、ログ生成方法およびログ生成プログラム Download PDFInfo
- Publication number
- JP7421196B2 JP7421196B2 JP2022532923A JP2022532923A JP7421196B2 JP 7421196 B2 JP7421196 B2 JP 7421196B2 JP 2022532923 A JP2022532923 A JP 2022532923A JP 2022532923 A JP2022532923 A JP 2022532923A JP 7421196 B2 JP7421196 B2 JP 7421196B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- user operation
- logs
- model
- simulated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 37
- 238000000605 extraction Methods 0.000 claims description 31
- 230000007704 transition Effects 0.000 claims description 27
- 239000000284 extract Substances 0.000 claims description 9
- 230000008569 process Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 8
- 239000011159 matrix material Substances 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Description
本開示は、ログ生成システム、ログ生成方法およびコンピュータ可読媒体に関する。
近年、組織を標的としたサイバー攻撃により、情報漏洩および事業停止などの被害が増加しており、サイバー攻撃に対する対策の強化が求められている。このようなサイバー攻撃に対する対策を強化するためには、システムのセキュリティ担当者の調査スキルの向上が不可欠となる。このため、サイバー攻撃の痕跡となるインシデントのログ(以下「攻撃ログ」と呼ぶ)を、インシデントには関係のない通常業務のログ(以下「正常ログ」と呼ぶ)の中から受講者に見つけ出させるサイバーセキュリティ演習が行われている。したがって、サイバーセキュリティ演習においては、攻撃ログに加えて、正常ログを予め用意しておく必要がある。
ここでサイバーセキュリティ演習においては、正常ログは、人手で作成する、または予め想定された環境下で端末における通常操作のログを長期間記録することによって、取得されている。しかしながら、サイバーセキュリティ演習を行うためには、膨大な数の正常ログが必要となる。これは、調査スキルの向上を図るためには、受講者は、サイバーセキュリティ演習を複数回受講する必要があるが、同じ正常ログを使い回したのでは調査スキルは向上しないため、正常ログを演習の度に新たに用意する必要があるからである。
特許文献1には、本番環境システムの操作履歴情報から抽出された抽出操作履歴に対して、操作履歴間の不整合を解消するように修正し、模擬テストシステムにおいて本番環境システムの動作を模擬する模擬システムが開示されている。
また特許文献2には、実運用環境のオペレーションサポートシステムから取得したシステムログデータから、必要な操作履歴を抽出し、装置番号等のパラメータをテスト環境用に適用させることで操作手順を模擬するオペレータ擬似システムが開示されている。
しかし、上述の特許文献1および2に記載のシステムでは、テスト環境における操作ログのバリエーションを豊富にするためには、実運用環境の操作履歴データを大量に取得する必要があるという問題がある。
本開示の目的は、上述した課題に鑑み、設定環境下で動作する端末からのログ出力および人手によることなく、正常ログをより豊富なバリエーションで生成することができるログ生成システム、ログ生成方法およびコンピュータ可読媒体を提供することにある。
本開示の一態様に係るログ生成システムは、ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出部と、抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成部と、生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成部とを備える。前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む。
本開示の一態様に係るログ生成方法は、ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出ステップと、抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成ステップと、生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成ステップとを備える。前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む。
本開示の一態様に係る非一時的なコンピュータ可読媒体は、ログ生成プログラムが格納される。前記ログ生成プログラムは、ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出ステップと、抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成ステップと、生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成ステップとをコンピュータに実現させる。前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む。
本開示により、設定環境下で動作する端末からのログ出力および人手によることなく、正常ログをより豊富なバリエーションで生成することができるログ生成システム、ログ生成方法およびコンピュータ可読媒体を提供することができる。
以下、実施形態を通じて本開示を説明するが、請求の範囲にかかる開示を以下の実施形態に限定するものではない。また、実施形態で説明する構成の全てが課題を解決するための手段として必須であるとは限らない。各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。
<実施形態1>
図1は、実施形態1にかかるログ生成システム10の構成を示すブロック図である。ログ生成システム10は、ログ抽出部12と、モデル生成部13と、模擬ログ生成部14とを備える。
図1は、実施形態1にかかるログ生成システム10の構成を示すブロック図である。ログ生成システム10は、ログ抽出部12と、モデル生成部13と、模擬ログ生成部14とを備える。
ログ抽出部12は、ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出する。
モデル生成部13は、ログ抽出部12によって抽出されたログの時系列リストに基づいて、ユーザ操作状態の遷移を推定するユーザ操作モデルを生成する。ここでユーザ操作状態は、イベントグループに関連付けられている。そしてイベントグループは、イベントを1または複数含み、イベントは、1または複数のログから構成される。
模擬ログ生成部14は、生成されたユーザ操作モデルを用いて推定されるユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する。
モデル生成部13は、ログ抽出部12によって抽出されたログの時系列リストに基づいて、ユーザ操作状態の遷移を推定するユーザ操作モデルを生成する。ここでユーザ操作状態は、イベントグループに関連付けられている。そしてイベントグループは、イベントを1または複数含み、イベントは、1または複数のログから構成される。
模擬ログ生成部14は、生成されたユーザ操作モデルを用いて推定されるユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する。
このように実施形態1によれば、ログ生成システム10は、潜在的なユーザ操作状態の遷移を模擬し、模擬された遷移に基づいて模擬ユーザ操作ログデータを生成する。したがってログ生成システム10は、設定環境下で動作する端末からのログ出力および人手によることなく、正常ログをより豊富なバリエーションで生成することができる。
<実施形態2>
次に図2~9を用いて、本開示の実施形態2について説明する。図2は、実施形態2にかかるログ生成システム(以下、ログ生成装置と呼ぶ)20の構成の一例を示すブロック図である。ログ生成装置20は、サイバーセキュリティ演習で必要な正常ログを生成するコンピュータである。ここで正常ログは、設定環境下で通常業務として行われる操作にかかるログを指す。ログは、複数行のログテキストから構成される記録を指す。ログ生成装置20は、ログデータ取得部21と、ログ抽出部22と、モデル生成部23と、模擬ログ生成部24と、抽出ルール記憶部25と、モデル生成情報記憶部26と、ログ生成情報記憶部27と、模擬ログ記憶部28とを備える。
次に図2~9を用いて、本開示の実施形態2について説明する。図2は、実施形態2にかかるログ生成システム(以下、ログ生成装置と呼ぶ)20の構成の一例を示すブロック図である。ログ生成装置20は、サイバーセキュリティ演習で必要な正常ログを生成するコンピュータである。ここで正常ログは、設定環境下で通常業務として行われる操作にかかるログを指す。ログは、複数行のログテキストから構成される記録を指す。ログ生成装置20は、ログデータ取得部21と、ログ抽出部22と、モデル生成部23と、模擬ログ生成部24と、抽出ルール記憶部25と、モデル生成情報記憶部26と、ログ生成情報記憶部27と、模擬ログ記憶部28とを備える。
ログデータ取得部21は、ネットワークを介してログ生成装置20に接続されたログ収集コンピュータ(不図示)から、ログ群で構成されたログデータを取得する。なお、ログ収集コンピュータには、ログ収集ツールがインストールされている。ログ収集コンピュータは、ログ収集ツールを用いて、コンピュータで生成されたログデータを収集し、収集したログデータをログ生成装置20に出力する。
一例として、ログ収集ツールは、CDIR-Collectorである。CDIR-Collectorは、Windows(登録商標)固有のバイナリ形式のログを収集する。ログ収集コンピュータがCDIR-Collectorを用いる場合は、各ログは、plasoによってJSONファイルに変換される。この場合は、ログデータ取得部21は、JSONファイルに変換されたログ群のログデータを取得する。
一例として、ログ収集ツールは、CDIR-Collectorである。CDIR-Collectorは、Windows(登録商標)固有のバイナリ形式のログを収集する。ログ収集コンピュータがCDIR-Collectorを用いる場合は、各ログは、plasoによってJSONファイルに変換される。この場合は、ログデータ取得部21は、JSONファイルに変換されたログ群のログデータを取得する。
ログ抽出部22は、抽出ルールに従って、取得したログデータから、指定された抽出対象のアプリケーション(対象アプリケーションと呼ぶ)のユーザ操作にかかるログを抽出する。抽出ルールは、ドメイン知識に基づいて予め作成され、抽出ルール記憶部25に格納されている。
モデル生成部23は、抽出されたログの時系列リストを生成し、ログの時系列リストに基づいて、ユーザ操作モデルを生成する。ユーザ操作モデルは、ユーザ操作状態の遷移、すなわちユーザ操作状態のシーケンスを推定するためのモデルである。ユーザ操作状態は、イベントグループに関連付けられている、ユーザ操作にかかる状態である。したがってユーザ操作モデルは、ユーザ操作状態に加えて、そのユーザ操作状態に遷移した場合に生じるイベントグループを推定するためのモデルであってよい。
ここでログ、イベントグループおよびユーザ操作状態の間の関係について説明する。図3は、実施形態2にかかるイベントグループの概念図である。イベントグループは、ユーザ操作に対応して発生するイベントのグループであり、1または複数のイベントを含む。イベントは、ユーザ操作によって生じるコンピュータの動作を示し、イベントが発生した結果として、1または複数のログが出力される。
図3に示す例においては、イベントグループ1は、イベント1と、イベント2と、イベント3a,3bと、イベント4とを含む。まず、ユーザ操作によってlnkファイルの実行が要求されたことに応じて、コンピュータは、lnkファイルを実行する(イベント1)。そしてlnk実行ログが出力される。イベント1に続いて、コンピュータは、シェルを用いてexeファイルを実行する(イベント2)。そしてexe実行ログ1~3が出力される。イベント2に続いて、コンピュータは、子プロセス1および2を生成し、実行する(イベント3a,3b)。そして子プロセス1実行ログおよび子プロセス2実行ログがそれぞれ出力される。イベント3aに続いて、コンピュータは、親プロセスによるアクセストークンを変更する(イベント4)。そして変更にかかるログが出力される。なお、イベントグループの出発点であるイベントのプロセスを、親プロセスと呼び、親プロセスから呼び出されたプロセスを子プロセスと呼ぶ。
このように、1つのユーザ操作によって、そのユーザ操作に対応して1または複数のイベントが生じ、これらのイベントがイベントグループを構成する。そしてイベントごとに1または複数のログが出力される。なお、ユーザ操作は、本例に示すようなlnkファイル等のプログラムの実行要求にかかる操作であってもよく、Webページの検索要求にかかる操作であってもよい。そしてユーザ操作状態は、ユーザの操作によりこのような要求がなされた状態を指す。ユーザ操作状態としては、一例として、”Program_Operation”および”Browser_Usage”等が挙げられる。
本実施形態2では、モデル生成部23は、イベントグループを観測シンボルとして扱い、ログの時系列リストを観測シンボルのシーケンス(観測シーケンス)に変換する。観測シンボルは、観測されるイベントグループを識別するシンボルである。観測シーケンスへの変換は、後述する観測シンボルテーブルを用いて行われる。そしてモデル生成部23は、学習データとして観測シーケンスを用いて、ユーザ操作状態およびそのユーザ操作状態に遷移した場合に生じるイベントグループを推定するユーザ操作モデルを生成する。
模擬ログ生成部24は、生成されたユーザ操作モデルを用いてユーザ操作状態を推定し、推定されたユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する。本実施形態2では、模擬ログ生成部24は、ユーザ操作モデルを用いて、次のユーザ操作状態と、上記次のユーザ操作状態に遷移した場合に生じるイベントグループとを推定する。そして、模擬ログ生成部24は、後述するイベントグループ-ログ対応テーブル(EGログ対応テーブル)から、推定したイベントグループに含まれるログの構成が記述されたログ構成情報を取得する。そして、模擬ログ生成部24は、ログ構成情報およびシステム構成情報を用いて、模擬ユーザ操作ログデータを生成する。
なお、システム構成情報は、模擬ログ生成部24の処理で用いるシステム依存のパラメータである。一例として、システム構成情報は、コンピュータ名、ユーザ名、IPアドレス、ログの生成開始時刻およびログの生成終了時刻等である。システム構成情報は、例えば、ログ生成装置20の管理者によって作成され、管理者の端末等を介して入力されてよい。
抽出ルール記憶部25は、ログ抽出部22が用いる抽出ルールを記憶する記憶媒体である。
モデル生成情報記憶部26は、モデル生成部23が用いる観測シンボルテーブルを記憶する記憶媒体である。
ログ生成情報記憶部27は、模擬ログ生成部24が用いるEGログ対応テーブルおよびシステム構成情報を記憶する記憶媒体である。
模擬ログ記憶部28は、模擬ログ生成部24によって生成された模擬ユーザ操作ログデータを記憶し、蓄積する記憶媒体である。
モデル生成情報記憶部26は、モデル生成部23が用いる観測シンボルテーブルを記憶する記憶媒体である。
ログ生成情報記憶部27は、模擬ログ生成部24が用いるEGログ対応テーブルおよびシステム構成情報を記憶する記憶媒体である。
模擬ログ記憶部28は、模擬ログ生成部24によって生成された模擬ユーザ操作ログデータを記憶し、蓄積する記憶媒体である。
図4は、実施形態2にかかる抽出ルールのデータ構造の一例を示す図である。抽出ルールは、アプリケーションに対応するログタイプを規定する。ここでログタイプは、取得したログデータに含まれるログに記述されており、ログ抽出部22によってログから取得される。本例では、抽出ルールは、アプリケーションの種別に応じて定められているアプリケーション識別情報(アプリケーションID)と、ログタイプとを関連付ける。たとえばログタイプ識別情報(ログタイプID)がT1~T5のログタイプのログは、同種のアプリケーションに対応するログであり、そのアプリケーションIDは、「AP001」である。一方、ログタイプIDがT6のログは、ログタイプIDがT1~T5のログと異種のアプリケーションに対応するログであり、そのアプリケーションIDは「AP002」である。
図5は、実施形態2にかかる観測シンボルテーブルのデータ構造の一例を示す図である。観測シンボルテーブルは、イベントグループ内の親プロセスに対応するイベント(第1のイベント)に含まれるログの識別情報と、ユーザ操作状態と、そのユーザ操作状態に遷移した場合に観測される可能性がある観測シンボルとを関連付ける。
ここで、1つのユーザ操作状態に遷移した場合に、生じる可能性があるイベントグループは1つに限らず、複数存在する場合がある。たとえば”Program_Operation”の状態に遷移した場合、実行要求にかかるプログラムごとに、異なるイベントグループが生じる。つまり、イベントグループを観測シンボルとして扱った場合、1つのユーザ操作状態は、1つの観測シンボルに関連付けられることもあるが、複数の観測シンボルに関連付けられることもある。
ユーザ操作状態および観測シンボルは、親プロセスのログから特定することができる。本例では、観測シンボルテーブルは、親プロセスに対応する第1のイベントに含まれるログの識別情報として、第1のイベントに含まれるログのログタイプIDと、そのログに含まれるキー情報とを含む。そして、ユーザ操作状態は、観測シンボルテーブルにおける第1のイベントに含まれるログタイプIDから特定される。一方、観測シンボルは、観測シンボルテーブルにおける第1のイベントに含まれるログのログタイプIDと、キー情報との組み合わせで特定される。
したがって、モデル生成部23は、観測シンボルテーブルを用いて、抽出されたログのうち、親プロセスに対応する第1のイベントに含まれるログから観測シンボルを容易に特定することができ、これにより観測シーケンスを容易に生成することができる。またモデル生成部23は、観測シンボルテーブルを用いて、各ユーザ操作状態と、そのユーザ操作状態に関連付けられた観測シンボルとを特定し、ユーザ操作モデルを定義することができる。
図6は、実施形態2にかかるEGログ対応テーブルのデータ構造の一例を示す図である。EGログ対応テーブルは、イベントグループと、イベントグループに含まれるイベント間の時系列関係(前後関係)と、イベントに含まれるログのログ構成情報とを対応付けるテーブルである。図6に示す例では、EGログ対応テーブルは、イベントグループを識別する情報として、観測シンボルの項目を有する。またEGログ対応テーブルは、イベント間の前後関係を示す情報として、イベントIDおよびそのイベントの親イベントのID(親イベントID)の項目を有する。これによりイベントグループにおけるイベントが木構造として表される。そしてEGログ対応テーブルは、ログ構成情報として、ログ構成パラメータおよびログタイプの項目を有する。ログ構成パラメータは、たとえば、”appication_focus_count”、”key_path”および”value_name”等のログに記述され、ログを構成するパラメータである。なお、イベント間の前後関係およびログ構成情報は、イベント間およびイベント内におけるプロセスの出力順番などの整合性を考慮して、予め定められている。
図7は、実施形態2にかかるログ生成装置20の処理の一例を示すフローチャートである。
まず、ログ生成装置20のログデータ取得部21は、ログ収集コンピュータ(不図示)が収集したログデータをログ収集コンピュータから取得する(ステップS10)。ログデータ取得部21は、取得したログデータをログ抽出部22に供給する。
まず、ログ生成装置20のログデータ取得部21は、ログ収集コンピュータ(不図示)が収集したログデータをログ収集コンピュータから取得する(ステップS10)。ログデータ取得部21は、取得したログデータをログ抽出部22に供給する。
次に、ログ抽出部22は、抽出ルールに従って、ログデータから、指定された対象アプリケーションのユーザ操作にかかるログを抽出する(ステップS11)。この場合、ログ抽出部22は、抽出ルールにおいて、対象アプリケーションに対応するアプリケーションIDに関連付けられたログタイプのログを抽出する。なお、対象アプリケーションが複数ある場合は、対象アプリケーションごとにユーザ操作にかかるログを分類し、以降のステップS12~S15に示す処理を対象アプリケーションごとに繰り返す。ログ抽出部22は、抽出されたログをモデル生成部23に供給する。
次に、モデル生成部23は、抽出されたログからタイムスタンプを読み取り、抽出されたログを時系列に並べて、時系列リストを生成する(ステップS12)。
次に、モデル生成部23は、観測シンボルテーブルを用いて、ログの時系列リストに含まれる複数のログをイベントグループ単位で観測シンボルに変換し、観測シーケンスを生成する(ステップS13)。このときモデル生成部23は、ログの時系列リストに含まれるイベントグループの各々について、親プロセスに対応するイベントに含まれるログからログタイプを読み取る。そしてモデル生成部23は、そのログから、観測シンボルテーブルにおいてそのログタイプに関連付けられたキーを検索し、ヒットしたキーに応じて、イベントグループの観測シンボルを決定する。モデル生成部23は、ログの時系列リストに含まれるイベントグループの各々を、決定した観測シンボルに置き換えることで、観測シーケンスを生成する。
次に、モデル生成部23は、観測シーケンスからユーザ操作モデルを生成する(ステップS14)。本実施形態2では、ユーザ操作モデルの生成には、隠れマルコフモデルが用いられる。しかしこれに限らず、ユーザ操作モデルの生成には、リカレントニューラルネットワーク(RNN)等の状態遷移に基づく他の任意のモデルが用いられてもよい。
ここで、隠れマルコフモデルを用いた場合のユーザ操作モデル生成処理について説明する。図8は、実施形態2にかかるログ生成装置20のユーザ操作モデル生成処理の一例を説明するための図である。
隠れマルコフモデルは、観測可能な観測シーケンスO=(O0,O1,O2,…,OT)から、観測されない隠れ状態遷移シーケンスX=(X0,X1,X2,…,XT)を推定し、そして次の隠れ状態XT+1および次の観測シンボルOT+1を予測する。本モデルにおいては、ある時点での隠れ状態XTは、状態遷移確率行列Aに従って、次の時点での隠れ状態XT+1に遷移する。また次の時点での観測シンボルOT+1は、観測シンボル出力確率行列Bに基づいて、モデル内の隠れ状態XT+1に遷移した場合に出力される可能性がある観測シンボルのリストの中から確率的に選択される。
隠れマルコフモデルは、観測可能な観測シーケンスO=(O0,O1,O2,…,OT)から、観測されない隠れ状態遷移シーケンスX=(X0,X1,X2,…,XT)を推定し、そして次の隠れ状態XT+1および次の観測シンボルOT+1を予測する。本モデルにおいては、ある時点での隠れ状態XTは、状態遷移確率行列Aに従って、次の時点での隠れ状態XT+1に遷移する。また次の時点での観測シンボルOT+1は、観測シンボル出力確率行列Bに基づいて、モデル内の隠れ状態XT+1に遷移した場合に出力される可能性がある観測シンボルのリストの中から確率的に選択される。
ここでユーザ操作モデルにおいては、観測シーケンスOは、ステップS13で生成した観測シーケンスに対応し、隠れ状態遷移シーケンスXは、ユーザ操作状態のシーケンスに対応する。そして予測された次の時点での隠れ状態XT+1は、次の時点でのユーザ操作状態に対応し、予測された観測シンボルOT+1は、次の時点でのイベントグループを識別するものである。
生成にあたり、まずモデル生成部23は、観測シンボルテーブルから、ユーザ操作状態と、各ユーザ操作状態に遷移した場合に観測される可能性がある1または複数の観測シンボルを把握し、ユーザ操作モデルを定義する。そしてモデル生成部23は、定義されたユーザ操作モデルに基づいて、学習データとして観測シーケンスを用いて、モデル内のパラメータである状態遷移確率行列Aおよび観測シンボル出力確率行列Bを最適化する。これにより、モデル生成部23は、ユーザ操作モデルを学習により生成する。モデル生成部23は、ユーザ操作モデルを模擬ログ生成部24に供給する。
次に、模擬ログ生成部24は、ユーザ操作モデルを用いて、状態遷移に基づいて、模擬ログ生成処理を行う(ステップS15)。そして模擬ログ生成部24は、処理を終了する。
図9は、実施形態2にかかるログ生成装置20の模擬ログ生成処理(すなわち、図7のステップS15に示す処理)の一例を示すフローチャートである。模擬ログ生成部24は、以下のステップS20~S25に示す処理を繰り返す。
まず模擬ログ生成部24は、ユーザ操作モデルに基づいて、現在(t=T)のユーザ操作状態から次(t=T+1)のユーザ操作状態を推定する(ステップS20)。ここで本フローが繰り返しの一巡目である場合は、模擬ログ生成部24は、初期(t=0)のユーザ操作状態を設定し、初期のユーザ操作状態から次の時点(t=1)でのユーザ操作状態を推定する。
そして、模擬ログ生成部24は、ユーザ操作モデルにより、次のユーザ操作状態から次(t=T+1)のイベントグループを推定し、EGログ対応テーブルのイベント間の前後関係を用いて、イベントグループをイベントの木構造に変換する(ステップS21)。
次に、模擬ログ生成部24は、EGログ対応テーブルのログ構成情報を用いて、木構造で表されたイベントグループの各イベントをログのひな型として記述することで、模擬ユーザ操作ログのひな型を生成する(ステップS22)。
次に模擬ログ生成部24は、模擬ユーザ操作ログのひな型に、設定環境のシステム構成情報を追加する(ステップS23)。これにより、模擬ログ生成部24は、次(t=T+1)の模擬ユーザ操作ログを生成する(ステップS24)。
そして、模擬ログ生成部24は、生成した模擬ユーザ操作ログを模擬ログ記憶部28に格納する(ステップS25)。
模擬ログ生成部24は、模擬ログ生成処理を終了するか否かを判定する(ステップS26)。模擬ログ生成部24は、模擬ログ生成処理を終了すると判定した場合(ステップS26でYes)、処理を終了し、そうでない場合(ステップS26でNo)、“T”をインクリメントして、処理をステップS20に戻す。
このように模擬ログ生成部24は、ユーザ操作モデルを用いて、ユーザ操作状態を遷移させながら、模擬ユーザ操作ログを順次生成する。しかしこれに限定されず、模擬ログ生成部24は、ユーザ操作モデルを用いて、ユーザ操作状態のシーケンス、そしてイベントグループのシーケンスを推定し、EGログ対応テーブルを用いて、模擬ユーザ操作ログをまとめて生成してもよい。
このように実施形態2によれば、ログ生成装置20は、イベントグループ単位でモデル化を行い、そのモデルを用いて潜在的なユーザ操作状態の遷移を模擬し、模擬された遷移に基づいて詳細な模擬ユーザ操作ログデータを生成する。したがってログ生成システム20は、正常ログと類似する傾向をもつものの、ログの順番や種別が厳密には異なる新しい正常ログをより豊富なバリエーションで生成することができる。またログ生成装置20は、設定環境下で動作する端末からのログ出力および人手によることなく、正常ログを大量に生成することができる。
またログ生成装置20は、イベント間およびイベント内の整合性が予め考慮されたEGログ対応テーブルを用いて、模擬ユーザ操作ログデータを生成するため、整合性のとれたリアルに近い正常ログを生成することができる。
<実施形態3>
次に図10を用いて、本開示の実施形態3について説明する。実施形態3は、ログ生成装置がEGログ対応テーブルを生成することに特徴を有する。図10は、実施形態3にかかるログ生成装置30の構成の一例を示すブロック図である。実施形態3にかかるログ生成装置30は、実施形態2にかかるログ生成装置20と基本的に同様の構成および機能を有する。ただしログ生成装置30は、ログ生成装置20の構成に加えて、参照ログデータ取得部31および対応テーブル生成部32を有する点で相違する。
次に図10を用いて、本開示の実施形態3について説明する。実施形態3は、ログ生成装置がEGログ対応テーブルを生成することに特徴を有する。図10は、実施形態3にかかるログ生成装置30の構成の一例を示すブロック図である。実施形態3にかかるログ生成装置30は、実施形態2にかかるログ生成装置20と基本的に同様の構成および機能を有する。ただしログ生成装置30は、ログ生成装置20の構成に加えて、参照ログデータ取得部31および対応テーブル生成部32を有する点で相違する。
参照ログデータ取得部31は、EGログ対応テーブル生成用の複数の参照ログデータを、ログ収集装置から取得する。そして参照ログデータ取得部31は、取得した参照ログデータを対応テーブル生成部32に供給する。
対応テーブル生成部32は、観測された参照ログデータから、イベントグループごとに、イベント間の木構造と、各イベントのログ構成情報とを抽出し、EGログ対応テーブルを生成する。対応テーブル生成部32は、イベント間およびイベント内におけるプロセスの出力順番などの不整合が解消されるようにEGログ対応テーブルを修正してよい。対応テーブル生成部32は、EGログ対応テーブルをログ生成情報記憶部27に格納する。
このように実施形態3によれば、ログ生成装置30は、イベント間およびイベント内の不整合が解消されるように予め設計されたEGログ対応テーブルを使用するため、より整合性のとれたリアルに近い正常ログを生成することができる。
上述の実施形態ではコンピュータは、パーソナルコンピュータやワードプロセッサ等を含むコンピュータシステムで構成される。しかしこれに限らず、コンピュータは、LAN(ローカル・エリア・ネットワーク)のサーバ、コンピュータ(パソコン)通信のホスト、インターネット上に接続されたコンピュータシステム等によって構成されることも可能である。また、ネットワーク上の各機器に機能分散させ、ネットワーク全体でコンピュータを構成することも可能である。
また、上述の実施形態では、本開示をハードウェアの構成として説明したが、本開示は、これに限定されるものではない。本発明は、任意の処理を、プロセッサにコンピュータプログラムを実行させることにより実現することも可能である。
上述の例において、プロセッサは、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(field-programmable gate array)、DSP(digital signal processor)およびASIC(application specific integrated circuit)等が用いられてよい。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、DVD(Digital Versatile Disc)、BD(Blu-ray(登録商標) Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
請求の範囲、明細書、および図面中において示したシステムおよび方法における各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのではない限り、任意の順序で実現しうる。請求の範囲、明細書および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順序で実施することが必須であることを意味するものではない。
以上、実施の形態を参照して本開示を説明したが、本開示は上記によって限定されるものではない。本開示の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
10,20,30 ログ生成システム(ログ生成装置)
12,22 ログ抽出部
13,23 モデル生成部
14,24 模擬ログ生成部
21 ログデータ取得部
25 抽出ルール記憶部
26 モデル生成情報記憶部
27 ログ生成情報記憶部
28 模擬ログ記憶部
31 参照ログデータ取得部
32 対応テーブル生成部
12,22 ログ抽出部
13,23 モデル生成部
14,24 模擬ログ生成部
21 ログデータ取得部
25 抽出ルール記憶部
26 モデル生成情報記憶部
27 ログ生成情報記憶部
28 模擬ログ記憶部
31 参照ログデータ取得部
32 対応テーブル生成部
Claims (8)
- ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出部と、
抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成部と、
生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成部と
を備え、
前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む
ログ生成システム。 - 前記モデル生成部は、抽出された前記ログの前記時系列リストを、観測されるイベントグループの種別を識別する観測シンボルのシーケンスである観測シーケンスに変換し、前記観測シーケンスを用いて、前記ユーザ操作モデルを生成する
請求項1に記載のログ生成システム。 - 前記モデル生成部は、イベントグループ内の第1のイベントに含まれるログの識別情報と、ユーザ操作状態と、前記ユーザ操作状態に遷移した場合に観測される可能性がある1または複数の観測シンボルとを互いに関連付ける観測シンボルテーブルを用いて、前記ユーザ操作モデルを生成する
請求項2に記載のログ生成システム。 - 前記模擬ログ生成部は、前記ユーザ操作モデルを用いて、ユーザ操作状態と、そのユーザ操作状態に遷移した場合に生じるイベントグループとを推定し、前記イベントグループに含まれるログの構成が記述されたログ構成情報を用いて、推定された前記イベントグループから前記模擬ユーザ操作ログデータを生成する
請求項1から3のいずれか一項に記載のログ生成システム。 - イベントグループと、前記イベントグループに含まれるイベント間の時系列関係と、前記イベントに含まれるログのログ構成情報とを対応付けるイベントグループ-ログ対応テーブルを記憶するログ生成情報記憶部をさらに備える
請求項4に記載のログ生成システム。 - 観測された参照ログデータから、前記イベントグループ-ログ対応テーブルを生成する対応テーブル生成部をさらに備える
請求項5に記載のログ生成システム。 - ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出ステップと、
抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成ステップと、
生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成ステップと
を備え、
前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む
ログ生成方法。 - ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出ステップと、
抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成ステップと、
生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成ステップと
をコンピュータに実現させるログ生成プログラムであって、
前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む
ログ生成プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/025856 WO2022003868A1 (ja) | 2020-07-01 | 2020-07-01 | ログ生成システム、ログ生成方法およびコンピュータ可読媒体 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2022003868A1 JPWO2022003868A1 (ja) | 2022-01-06 |
| JPWO2022003868A5 JPWO2022003868A5 (ja) | 2023-03-10 |
| JP7421196B2 true JP7421196B2 (ja) | 2024-01-24 |
Family
ID=79314965
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022532923A Active JP7421196B2 (ja) | 2020-07-01 | 2020-07-01 | ログ生成システム、ログ生成方法およびログ生成プログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7421196B2 (ja) |
| WO (1) | WO2022003868A1 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010050195A1 (ja) | 2008-10-31 | 2010-05-06 | 日本電気株式会社 | データ処理システム、そのデータ処理装置とユーザ端末装置、そのコンピュータプログラムとデータ処理方法 |
| WO2015029464A1 (ja) | 2013-08-29 | 2015-03-05 | 三菱電機株式会社 | 模擬装置、情報生成装置、模擬方法、模擬プログラム、環境提供システム、環境提供方法及びプログラム |
| JP2018116688A (ja) | 2016-11-23 | 2018-07-26 | アクセンチュア グローバル ソリューションズ リミテッド | 認知ロボット工学アナライザ |
| WO2018235252A1 (ja) | 2017-06-23 | 2018-12-27 | 日本電気株式会社 | 分析装置、ログの分析方法及び記録媒体 |
-
2020
- 2020-07-01 JP JP2022532923A patent/JP7421196B2/ja active Active
- 2020-07-01 WO PCT/JP2020/025856 patent/WO2022003868A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010050195A1 (ja) | 2008-10-31 | 2010-05-06 | 日本電気株式会社 | データ処理システム、そのデータ処理装置とユーザ端末装置、そのコンピュータプログラムとデータ処理方法 |
| WO2015029464A1 (ja) | 2013-08-29 | 2015-03-05 | 三菱電機株式会社 | 模擬装置、情報生成装置、模擬方法、模擬プログラム、環境提供システム、環境提供方法及びプログラム |
| JP2018116688A (ja) | 2016-11-23 | 2018-07-26 | アクセンチュア グローバル ソリューションズ リミテッド | 認知ロボット工学アナライザ |
| WO2018235252A1 (ja) | 2017-06-23 | 2018-12-27 | 日本電気株式会社 | 分析装置、ログの分析方法及び記録媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022003868A1 (ja) | 2022-01-06 |
| JPWO2022003868A1 (ja) | 2022-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3651043B1 (en) | Url attack detection method and apparatus, and electronic device | |
| JP2022527511A (ja) | サイバーセキュリティ・イベントについての時間関係を推測すること | |
| US7761398B2 (en) | Apparatus and method for identifying process elements using request-response pairs, a process graph and noise reduction in the graph | |
| Kobayashi et al. | Towards an NLP-based log template generation algorithm for system log analysis | |
| US10235267B2 (en) | Online testing system and method thereof | |
| CN107862327B (zh) | 一种基于多特征的安全缺陷识别系统和方法 | |
| US20190340614A1 (en) | Cognitive methodology for sequence of events patterns in fraud detection using petri-net models | |
| US20210406730A1 (en) | Method, electronic device, and computer program product for processing information | |
| Wang et al. | An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol | |
| US20220229721A1 (en) | Selection of outlier-detection programs specific to dataset meta-features | |
| JP2018147280A (ja) | データ分析装置及びデータ分析方法 | |
| JP7421196B2 (ja) | ログ生成システム、ログ生成方法およびログ生成プログラム | |
| WO2021171383A1 (ja) | ログ生成装置、ログ生成方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN112348041B (zh) | 日志分类、日志分类训练方法及装置、设备、存储介质 | |
| JP5672165B2 (ja) | テストデータ生成プログラム、テストデータ生成方法、テストデータ生成装置 | |
| JP2015118562A (ja) | スクリプト管理プログラム、スクリプト管理装置及びスクリプト管理方法 | |
| KR101544010B1 (ko) | 프로세스의 동적 행위 정규화 및 악성 코드 탐지 방법 | |
| JP2018132787A (ja) | ログ分析支援装置およびログ分析支援方法 | |
| JP6142878B2 (ja) | 情報システムの性能評価装置、方法およびプログラム | |
| WO2023162047A1 (ja) | 生成装置、生成方法および生成プログラム | |
| JP2023008415A (ja) | 評価プログラム、評価方法および情報処理装置 | |
| JP7513125B2 (ja) | 学習データ生成システム、方法、プログラム、モデル生成システム及びログ生成システム | |
| KR101160482B1 (ko) | 테스트 스윗 생성 장치 및 방법 | |
| CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
| JP7024533B2 (ja) | 検出パターン評価モデル生成システム、方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221227 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221227 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230201 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231228 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7421196 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |