JP7421196B2 - ログ生成システム、ログ生成方法およびログ生成プログラム - Google Patents
ログ生成システム、ログ生成方法およびログ生成プログラム Download PDFInfo
- Publication number
- JP7421196B2 JP7421196B2 JP2022532923A JP2022532923A JP7421196B2 JP 7421196 B2 JP7421196 B2 JP 7421196B2 JP 2022532923 A JP2022532923 A JP 2022532923A JP 2022532923 A JP2022532923 A JP 2022532923A JP 7421196 B2 JP7421196 B2 JP 7421196B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- user operation
- logs
- model
- simulated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 37
- 238000000605 extraction Methods 0.000 claims description 31
- 230000007704 transition Effects 0.000 claims description 27
- 239000000284 extract Substances 0.000 claims description 9
- 230000008569 process Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 8
- 239000011159 matrix material Substances 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Description
図1は、実施形態1にかかるログ生成システム10の構成を示すブロック図である。ログ生成システム10は、ログ抽出部12と、モデル生成部13と、模擬ログ生成部14とを備える。
モデル生成部13は、ログ抽出部12によって抽出されたログの時系列リストに基づいて、ユーザ操作状態の遷移を推定するユーザ操作モデルを生成する。ここでユーザ操作状態は、イベントグループに関連付けられている。そしてイベントグループは、イベントを1または複数含み、イベントは、1または複数のログから構成される。
模擬ログ生成部14は、生成されたユーザ操作モデルを用いて推定されるユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する。
次に図2~9を用いて、本開示の実施形態2について説明する。図2は、実施形態2にかかるログ生成システム(以下、ログ生成装置と呼ぶ)20の構成の一例を示すブロック図である。ログ生成装置20は、サイバーセキュリティ演習で必要な正常ログを生成するコンピュータである。ここで正常ログは、設定環境下で通常業務として行われる操作にかかるログを指す。ログは、複数行のログテキストから構成される記録を指す。ログ生成装置20は、ログデータ取得部21と、ログ抽出部22と、モデル生成部23と、模擬ログ生成部24と、抽出ルール記憶部25と、モデル生成情報記憶部26と、ログ生成情報記憶部27と、模擬ログ記憶部28とを備える。
一例として、ログ収集ツールは、CDIR-Collectorである。CDIR-Collectorは、Windows(登録商標)固有のバイナリ形式のログを収集する。ログ収集コンピュータがCDIR-Collectorを用いる場合は、各ログは、plasoによってJSONファイルに変換される。この場合は、ログデータ取得部21は、JSONファイルに変換されたログ群のログデータを取得する。
モデル生成情報記憶部26は、モデル生成部23が用いる観測シンボルテーブルを記憶する記憶媒体である。
ログ生成情報記憶部27は、模擬ログ生成部24が用いるEGログ対応テーブルおよびシステム構成情報を記憶する記憶媒体である。
模擬ログ記憶部28は、模擬ログ生成部24によって生成された模擬ユーザ操作ログデータを記憶し、蓄積する記憶媒体である。
まず、ログ生成装置20のログデータ取得部21は、ログ収集コンピュータ(不図示)が収集したログデータをログ収集コンピュータから取得する(ステップS10)。ログデータ取得部21は、取得したログデータをログ抽出部22に供給する。
隠れマルコフモデルは、観測可能な観測シーケンスO=(O0,O1,O2,…,OT)から、観測されない隠れ状態遷移シーケンスX=(X0,X1,X2,…,XT)を推定し、そして次の隠れ状態XT+1および次の観測シンボルOT+1を予測する。本モデルにおいては、ある時点での隠れ状態XTは、状態遷移確率行列Aに従って、次の時点での隠れ状態XT+1に遷移する。また次の時点での観測シンボルOT+1は、観測シンボル出力確率行列Bに基づいて、モデル内の隠れ状態XT+1に遷移した場合に出力される可能性がある観測シンボルのリストの中から確率的に選択される。
次に図10を用いて、本開示の実施形態3について説明する。実施形態3は、ログ生成装置がEGログ対応テーブルを生成することに特徴を有する。図10は、実施形態3にかかるログ生成装置30の構成の一例を示すブロック図である。実施形態3にかかるログ生成装置30は、実施形態2にかかるログ生成装置20と基本的に同様の構成および機能を有する。ただしログ生成装置30は、ログ生成装置20の構成に加えて、参照ログデータ取得部31および対応テーブル生成部32を有する点で相違する。
12,22 ログ抽出部
13,23 モデル生成部
14,24 模擬ログ生成部
21 ログデータ取得部
25 抽出ルール記憶部
26 モデル生成情報記憶部
27 ログ生成情報記憶部
28 模擬ログ記憶部
31 参照ログデータ取得部
32 対応テーブル生成部
Claims (8)
- ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出部と、
抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成部と、
生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成部と
を備え、
前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む
ログ生成システム。 - 前記モデル生成部は、抽出された前記ログの前記時系列リストを、観測されるイベントグループの種別を識別する観測シンボルのシーケンスである観測シーケンスに変換し、前記観測シーケンスを用いて、前記ユーザ操作モデルを生成する
請求項1に記載のログ生成システム。 - 前記モデル生成部は、イベントグループ内の第1のイベントに含まれるログの識別情報と、ユーザ操作状態と、前記ユーザ操作状態に遷移した場合に観測される可能性がある1または複数の観測シンボルとを互いに関連付ける観測シンボルテーブルを用いて、前記ユーザ操作モデルを生成する
請求項2に記載のログ生成システム。 - 前記模擬ログ生成部は、前記ユーザ操作モデルを用いて、ユーザ操作状態と、そのユーザ操作状態に遷移した場合に生じるイベントグループとを推定し、前記イベントグループに含まれるログの構成が記述されたログ構成情報を用いて、推定された前記イベントグループから前記模擬ユーザ操作ログデータを生成する
請求項1から3のいずれか一項に記載のログ生成システム。 - イベントグループと、前記イベントグループに含まれるイベント間の時系列関係と、前記イベントに含まれるログのログ構成情報とを対応付けるイベントグループ-ログ対応テーブルを記憶するログ生成情報記憶部をさらに備える
請求項4に記載のログ生成システム。 - 観測された参照ログデータから、前記イベントグループ-ログ対応テーブルを生成する対応テーブル生成部をさらに備える
請求項5に記載のログ生成システム。 - ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出ステップと、
抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成ステップと、
生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成ステップと
を備え、
前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む
ログ生成方法。 - ログ群で構成されたログデータから、対象アプリケーションのユーザ操作にかかるログを抽出するログ抽出ステップと、
抽出された前記ログの時系列リストに基づいて、イベントグループに関連付けられたユーザ操作状態の遷移を推定するユーザ操作モデルを生成するモデル生成ステップと、
生成された前記ユーザ操作モデルを用いて推定される前記ユーザ操作状態の遷移に関する情報に基づいて、模擬ユーザ操作ログデータを生成する模擬ログ生成ステップと
をコンピュータに実現させるログ生成プログラムであって、
前記イベントグループは、1または複数のログから構成されるイベントを1または複数含む
ログ生成プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/025856 WO2022003868A1 (ja) | 2020-07-01 | 2020-07-01 | ログ生成システム、ログ生成方法およびコンピュータ可読媒体 |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2022003868A1 JPWO2022003868A1 (ja) | 2022-01-06 |
JPWO2022003868A5 JPWO2022003868A5 (ja) | 2023-03-10 |
JP7421196B2 true JP7421196B2 (ja) | 2024-01-24 |
Family
ID=79314965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022532923A Active JP7421196B2 (ja) | 2020-07-01 | 2020-07-01 | ログ生成システム、ログ生成方法およびログ生成プログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7421196B2 (ja) |
WO (1) | WO2022003868A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010050195A1 (ja) | 2008-10-31 | 2010-05-06 | 日本電気株式会社 | データ処理システム、そのデータ処理装置とユーザ端末装置、そのコンピュータプログラムとデータ処理方法 |
WO2015029464A1 (ja) | 2013-08-29 | 2015-03-05 | 三菱電機株式会社 | 模擬装置、情報生成装置、模擬方法、模擬プログラム、環境提供システム、環境提供方法及びプログラム |
JP2018116688A (ja) | 2016-11-23 | 2018-07-26 | アクセンチュア グローバル ソリューションズ リミテッド | 認知ロボット工学アナライザ |
WO2018235252A1 (ja) | 2017-06-23 | 2018-12-27 | 日本電気株式会社 | 分析装置、ログの分析方法及び記録媒体 |
-
2020
- 2020-07-01 JP JP2022532923A patent/JP7421196B2/ja active Active
- 2020-07-01 WO PCT/JP2020/025856 patent/WO2022003868A1/ja active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010050195A1 (ja) | 2008-10-31 | 2010-05-06 | 日本電気株式会社 | データ処理システム、そのデータ処理装置とユーザ端末装置、そのコンピュータプログラムとデータ処理方法 |
WO2015029464A1 (ja) | 2013-08-29 | 2015-03-05 | 三菱電機株式会社 | 模擬装置、情報生成装置、模擬方法、模擬プログラム、環境提供システム、環境提供方法及びプログラム |
JP2018116688A (ja) | 2016-11-23 | 2018-07-26 | アクセンチュア グローバル ソリューションズ リミテッド | 認知ロボット工学アナライザ |
WO2018235252A1 (ja) | 2017-06-23 | 2018-12-27 | 日本電気株式会社 | 分析装置、ログの分析方法及び記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
WO2022003868A1 (ja) | 2022-01-06 |
JPWO2022003868A1 (ja) | 2022-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3651043B1 (en) | Url attack detection method and apparatus, and electronic device | |
JP2022527511A (ja) | サイバーセキュリティ・イベントについての時間関係を推測すること | |
US7761398B2 (en) | Apparatus and method for identifying process elements using request-response pairs, a process graph and noise reduction in the graph | |
Kobayashi et al. | Towards an NLP-based log template generation algorithm for system log analysis | |
US10235267B2 (en) | Online testing system and method thereof | |
CN107862327B (zh) | 一种基于多特征的安全缺陷识别系统和方法 | |
US20190340614A1 (en) | Cognitive methodology for sequence of events patterns in fraud detection using petri-net models | |
US20210406730A1 (en) | Method, electronic device, and computer program product for processing information | |
Wang et al. | An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol | |
US20220229721A1 (en) | Selection of outlier-detection programs specific to dataset meta-features | |
JP2018147280A (ja) | データ分析装置及びデータ分析方法 | |
JP7421196B2 (ja) | ログ生成システム、ログ生成方法およびログ生成プログラム | |
WO2021171383A1 (ja) | ログ生成装置、ログ生成方法、及びコンピュータ読み取り可能な記録媒体 | |
CN112348041B (zh) | 日志分类、日志分类训练方法及装置、设备、存储介质 | |
JP5672165B2 (ja) | テストデータ生成プログラム、テストデータ生成方法、テストデータ生成装置 | |
JP2015118562A (ja) | スクリプト管理プログラム、スクリプト管理装置及びスクリプト管理方法 | |
KR101544010B1 (ko) | 프로세스의 동적 행위 정규화 및 악성 코드 탐지 방법 | |
JP2018132787A (ja) | ログ分析支援装置およびログ分析支援方法 | |
JP6142878B2 (ja) | 情報システムの性能評価装置、方法およびプログラム | |
WO2023162047A1 (ja) | 生成装置、生成方法および生成プログラム | |
JP2023008415A (ja) | 評価プログラム、評価方法および情報処理装置 | |
JP7513125B2 (ja) | 学習データ生成システム、方法、プログラム、モデル生成システム及びログ生成システム | |
KR101160482B1 (ko) | 테스트 스윗 생성 장치 및 방법 | |
CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
JP7024533B2 (ja) | 検出パターン評価モデル生成システム、方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221227 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221227 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7421196 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |