JPWO2018235252A1 - 分析装置、ログの分析方法及び分析プログラム - Google Patents
分析装置、ログの分析方法及び分析プログラム Download PDFInfo
- Publication number
- JPWO2018235252A1 JPWO2018235252A1 JP2019524817A JP2019524817A JPWO2018235252A1 JP WO2018235252 A1 JPWO2018235252 A1 JP WO2018235252A1 JP 2019524817 A JP2019524817 A JP 2019524817A JP 2019524817 A JP2019524817 A JP 2019524817A JP WO2018235252 A1 JPWO2018235252 A1 JP WO2018235252A1
- Authority
- JP
- Japan
- Prior art keywords
- log
- information
- log entry
- recorded
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Probability & Statistics with Applications (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
以下、本開示に係る技術を実現可能な第1の実施形態(第1実施形態)について説明する。以下において説明する分析装置は、単体の装置(物理的又は仮想的な装置)として実装されてもよく、複数の離間した装置(物理的又は仮想的な装置)を用いたシステムとして実装されてもよい。分析装置が、複数の装置を用いて実装される場合、各装置の間は有線、無線、又はそれらを適切に組み合わせた通信ネットワークにより通信可能に接続されてもよい。以下において説明する分析装置を実現可能なハードウェア構成については、後述する。
以下、上記第1実施形態を基本とした、本開示に係る技術の第2の実施形態(第2実施形態)について説明する。
図7は、本実施形態における分析装置700の機能的な構成を概念的に示すブロック図である。分析装置700は、調査対象のソフトウェア・プログラム(後述する「検体」)の実行により生成されるログを分析する装置である。
以下、検体検査装置800において記録されたログについて説明する。図10は、検体検査装置800において記録されたログ(ログ1000)の一例を示す説明図である。
以下、分析装置700に提供される教師データについて説明する。上記したように、分析装置700が教師データ提供部706を含む場合、教師データは教師データ提供部706に記憶されてよい。
以下、特徴抽出部701が第1ログエントリから抽出する第1特徴量について説明する。以下においては、説明の便宜上、あるレコードのログエントリに記録されたデータを、文字列又は数値により表現可能なデータとして扱う事を想定する。なお、この場合、特徴抽出部701は、第1ログエントリに記録された情報を、適宜文字列及び数値に変換してもよい。
以下、特徴抽出部701が抽出する第2特徴量について説明する。以下においては、説明の便宜上、第2ログエントリに記録されたデータを、文字列又は数値により表現可能なデータとして扱う事を想定する。なお、この場合、特徴抽出部701は、第2ログエントリに記録された情報を、適宜文字列及び数値に変換してもよい。
以下、分析モデル作成部702が作成する分析モデルについて説明する。
以下、表示制御部704によるログの表示について説明する。上記したように、表示制御部704は、重要度算出部703において算出された重要度に応じてある検体801に関するログの表示を制御可能なユーザインタフェースを表示する。より具体的には、表示制御部704は、係るユーザインタフェースの表示に用いられる表示データを生成してもよい。
上記のように構成された分析装置700の動作について説明する。図21は、分析装置700の動作の一例を示すフローチャートである。
以下、第2実施形態の第1の変形例(「変形例1」と記載する)について説明する。以下、上記各実施形態と同様の構成については、同様の参照符号を付し、詳細な説明を省略する。
以下、外部コンテキスト情報及び、外部コンテキストから抽出される第3特徴量について説明する。上記したように、情報収集部2202は、情報源3000から、第1ログエントリの内容に関連する外部コンテキスト情報を取得する。一例として、情報収集部2202は、第1ログエントリのログ種別(”type”フィールドの情報)に応じて、適切な情報源3000を選択し、外部コンテキスト情報を取得する。この場合、情報収集部2202は、例えば、第1ログエントリのログ種別と、そのログ種別に関する外部コンテキスト情報を取得可能な情報源3000と、を関連付けたテーブル等を予め保持(記憶)していてもよい。
以下、分析装置2200の動作について説明する。図24は、分析装置2200の動作の一例を示すフローチャートである。図24に示すフローチャートの各ステップのうち、第2実施形態における分析装置700の動作と同様の処理については、図21に例示するフローチャートと同じ参照符号を付すことで、詳細な説明を省略する。
以下、第2実施形態の第2の変形例(「変形例2」と記載する)について説明する。以下、上記各実施形態及び変形例と同様の構成については、同様の参照符号を付し、詳細な説明を省略する。
以下、第2実施形態の第3の変形例(「変形例3」と記載する)について説明する。以下、上記各実施形態及び変形例と同様の構成については、同様の参照符号を付し、詳細な説明を省略する。
以下、上記説明した各実施形態及び変形例を実現可能なハードウェア構成について説明する。以下の説明においては、上記各実施形態において説明した各分析装置(100、700、2200、2500、2600)を、まとめて「分析装置」と記載する。
例えば、分析装置をハードウェア装置により実現する場合、分析装置の構成要素は、それぞれの機能を提供可能な集積回路(例えば、SoC(System on a Chip)等)として実装されてもよい。この場合、例えば、分析装置の構成要素が有するデータは、SoCに統合されたRAM(Random Access Memory)領域やフラッシュメモリ領域に記憶されてもよい。
ソフトウェア・プログラムの動作を表す情報が記録されたログエントリである第1ログエントリから抽出した第1特徴量と、前記ログエントリである1以上の第2ログエントリから抽出した、前記第1特徴量とは異なる第2特徴量と、を用いて、前記第1ログエントリに関する特徴情報を作成可能に構成された特徴抽出手段と、
前記第1ログエントリに関する前記特徴情報と、当該第1ログエントリに付与された重要度を表す重要度情報と、を1以上含む学習データを用いて、他の前記ログエントリに関する重要度を判定可能な分析モデルを作成する分析モデル作成手段と、を備える
分析装置。
前記特徴抽出手段は、それぞれの前記第2ログエントリに記録された情報を計数することで作成される情報であるコンテキスト情報を、前記第2特徴量として抽出する
付記1に記載の分析装置。
前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記特徴抽出手段は、ある前記ソフトウェア・プログラムについて記録された全ての前記第2ログエントリに記録された情報を用いて、
前記ソフトウェア・プログラムの実行過程で実行されたプロセス毎の、前記第2ログエントリの数に関する情報と、
前記第2ログエントリの数を、それぞれの前記ログ種別について集計したヒストグラムを表す情報と、
それぞれの前記ログ種別について集計した、前記ソフトウェア・プログラムの実行過程でアクセスされたリソースの数に関する情報と、
のいずれか1つ以上を算出することで、前記コンテキスト情報を作成する
付記2に記載の分析装置。
前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記特徴抽出手段は、前記第1ログエントリが記録されたプロセスと同じプロセスについて記録された複数の前記第2ログエントリに記録された情報を用いて、
前記第2ログエントリの数を、それぞれの前記ログ種別について集計したヒストグラムを表す情報と、
それぞれの前記ログ種別について集計した、前記ソフトウェア・プログラムの実行過程でアクセスされたリソースの数に関する情報と、
前記ソフトウェア・プログラムの実行過程で記録された前記ログエントリの総数と、前記第1ログエントリが記録されたプロセスと同じプロセスについて記録された前記第2ログエントリの総数と、の割合に関する情報と、
のいずれか1つ以上を算出することで、前記コンテキスト情報を作成する
付記2に記載の分析装置。
前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記特徴抽出手段は、前記第1ログエントリが記録さえたタイミングから、時系列において特定の範囲内に記録された複数の前記第2ログエントリに記録された情報を用いて、
前記第2ログエントリの数を、それぞれの前記ログ種別について集計したヒストグラムを表す情報と、
前記第1ログエントリが記録されたタイミングから、時系列において特定の範囲内に記録された複数の前記第2ログエントリの総数と、前記第1ログエントリが記録されたタイミングから、時系列において特定の範囲内に記録された複数の前記第2ログエントリのうち、前記第1ログエントリと同じプロセスについて記録された前記第2ログエントリの総数と、の割合に関する情報と、
のいずれか1つ以上を算出することで、前記コンテキスト情報を作成する
付記2に記載の分析装置。
前記特徴抽出手段は、それぞれの前記第2ログエントリに記録された情報から抽出した特徴量を用いて作成される情報であるコンテキスト情報を、前記第2特徴量として抽出する
付記1に記載の分析装置。
前記特徴抽出手段は、前記第1ログエントリに対する前記第1特徴量と同様の特徴量を、各前記第2ログエントリから抽出し、各前記第2ログエントリから抽出した特徴量を用いて、前記第2特徴量を作成する
付記1乃至付記6のいずかれ一項に記載の分析装置。
前記特徴抽出手段は、
前記第1ログエントリに記録された情報を文字列及び数値の少なくとも一方を用いて表すデータから、前記第1特徴量を抽出し、
前記第2ログエントリに記録された情報を文字列及び数値の少なくとも一方を用いて表するデータを、全ての前記第2ログエントリについて統合することで統合データを作成し、その統合データから前記第1ログエントリに対する前記第1特徴量と同様の特徴量を抽出することで、前記第2特徴量を作成する
付記7に記載の分析装置。
前記特徴抽出手段は、
前記ソフトウェア・プログラムの動作を解析可能な解析装置により前記ソフトウェア・プログラムの動作を解析した結果を表すサマリ情報から、前記第2特徴量を抽出する
付記1に記載の分析装置。
前記特徴抽出手段は、
前記サマリ情報に含まれる、前記ソフトウェア・プログラムが1以上の特定の活動を実行したか否かを表す情報を、前記第2特徴量として抽出する
付記9に記載の分析装置。
前記第1ログエントリに記録された情報に関連する情報を、情報源から外部コンテキスト情報として取得する情報収集手段を更に備え、
前記特徴抽出手段は、前記情報収集手段により取得された外部コンテキスト情報に基づいて、第3特徴量を抽出し、
前記第2特徴量及び第3特徴量の少なくとも一方と、前記第1特徴量と、を用いて前記第1ログエントリに関する前記特徴情報を作成する
付記1乃至付記10のいずれか一項に記載の分析装置。
前記情報収集手段は、前記ソフトウェア・プログラムの実行過程でアクセスされたリソースの、セキュリティに関する評判を表す情報を、前記外部コンテキスト情報として前記情報源から収集する
付記11に記載の分析装置。
前記第1ログエントリに、あるファイルへのアクセスが記録されている場合、
前記情報収集手段は、
そのファイルがマルウェアとして検知されるファイルであるか否か、を表す情報と、
そのファイルが取得された数を表す情報と、
そのファイルの信頼度を表す情報と、
のいずれか1つ以上を、前記外部コンテキスト情報として前記情報源から取得する
付記11に記載の分析装置。
前記第1ログエントリに、あるレジストリへのアクセスが記録されている場合、
前記情報収集手段は、そのレジストリがマルウェアによりアクセスされるか否かを表す情報を、前記外部コンテキスト情報として前記情報源から取得する
付記11に記載の分析装置。
前記第1ログエントリに、ある通信先への通信が記録されている場合、
前記情報収集手段は、その通信先のセキュリティに関する評判を表す情報を、前記外部コンテキスト情報として前記情報源から取得する
付記11に記載の分析装置。
前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記分析モデル作成手段は、それぞれの前記ログ種別に該当する前記ログエントリに関して作成された前記特徴情報を用いて、それぞれの前記ログ種別について個別に前記分析モデルを作成する
付記1又は2に記載の分析装置。
前記分析モデルを用いて、前記ログエントリに関する重要度を算出する重要度算出手段と、
前記ログエントリについて算出された重要度に応じて、当該ログエントリの表示方法を制御可能なユーザインタフェースを生成する表示制御手段と、を更に備える
付記1乃至付記16のいずれかに記載の分析装置。
前記表示制御手段は、
表示される前記ログエントリの重要度を表す閾値を設定可能な制御要素を含む前記ユーザインタフェースを生成し、
前記ユーザインタフェースは、前記閾値以上の重要度が算出された前記ログエントリと、前記閾値未満の重要度が算出された前記ログエントリと、をそれぞれ異なる表示方法を用いて表示する
付記17に記載の分析装置。
前記表示制御手段は、
表示される前記ログエントリの重要度を表す閾値を設定可能な制御要素を含む前記ユーザインタフェースを生成し、
前記ユーザインタフェースは、前記閾値以上の重要度が算出された前記ログエントリを表示し、前記閾値未満の重要度が算出された前記ログエントリの表示を抑制する
付記18に記載の分析装置。
前記表示制御手段は、
表示される前記ログエントリの重要度を表す閾値を設定可能な制御要素を含む前記ユーザインタフェースを生成し、
前記ユーザインタフェースは、前記閾値の重要度が算出された前記ログエントリを、前記閾値未満の重要度が算出された前記ログエントリよりも強調して表示する
付記19に記載の分析装置。
前記分析モデルは、複数の層を有するニューラルネットワークであり、
前記特徴抽出手段は、前記重要度情報が付与されていない前記ログエントリについて、前記特徴情報を作成し、
前記分析モデル作成手段は、前記重要度情報が付与されていない前記ログエントリについて作成された前記特徴情報と、前記重要度情報が付与された前記第1ログエントリについて作成された前記特徴情報と、の両方を用いて、前記分析モデルに関する事前学習を実行する、
付記1乃至付記20のいずれかに記載の分析装置。
ソフトウェア・プログラムの動作を表す情報が記録されたログエントリである第1ログエントリから抽出した第1特徴量と、前記ログエントリである1以上の第2ログエントリから抽出した、前記第1特徴量とは異なる第2特徴量と、を用いて、前記第1ログエントリに関する特徴情報を作成し、
前記第1ログエントリに関する前記特徴情報と、当該第1ログエントリに付与された重要度を表す重要度情報と、を1以上含む学習データを用いて、他の前記ログエントリに関する重要度を判定可能な分析モデルを作成する
ログの分析方法。
ソフトウェア・プログラムの動作を表す情報が記録されたログエントリである第1ログエントリから抽出した第1特徴量と、前記ログエントリである1以上の第2ログエントリから抽出した、前記第1特徴量とは異なる第2特徴量と、を用いて、前記第1ログエントリに関する特徴情報を作成する処理と、
前記第1ログエントリに関する前記特徴情報と、当該第1ログエントリに付与された重要度を表す重要度情報と、を1以上含む学習データを用いて、他の前記ログエントリに関する重要度を判定可能な分析モデルを作成する処理とを、コンピュータに、実行させる
分析プログラムが記録された記録媒体。
101 特徴抽出部
102 分析モデル作成部
700 分析装置
701 特徴抽出部
702 分析モデル作成部
703 重要度算出部
704 表示制御部
705 動作ログ提供部
706 教師データ提供部
2200 分析装置
2201 特徴抽出部
2202 情報収集部
2500 分析装置
2501 特徴抽出部
2502 分析モデル作成部
2503 事前学習部
2600 分析装置
2601 特徴抽出部
2602 分析モデル作成部
2603 事前学習部
2701 プロセッサ
2702 メモリ
2703 不揮発性記憶装置
2704 リーダライタ
2705 記録媒体
2706 ネットワークインタフェース
2707 入出力インタフェース
Claims (23)
- ソフトウェア・プログラムの動作を表す情報が記録されたログエントリである第1ログエントリから抽出した第1特徴量と、前記ログエントリである1以上の第2ログエントリから抽出した、前記第1特徴量とは異なる第2特徴量と、を用いて、前記第1ログエントリに関する特徴情報を作成可能に構成された特徴抽出手段と、
前記第1ログエントリに関する前記特徴情報と、当該第1ログエントリに付与された重要度を表す重要度情報と、を1以上含む学習データを用いて、他の前記ログエントリに関する重要度を判定可能な分析モデルを作成する分析モデル作成手段と、を備える
分析装置。 - 前記特徴抽出手段は、それぞれの前記第2ログエントリに記録された情報を計数することで作成される情報であるコンテキスト情報を、前記第2特徴量として抽出する
請求項1に記載の分析装置。 - 前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記特徴抽出手段は、ある前記ソフトウェア・プログラムについて記録された全ての前記第2ログエントリに記録された情報を用いて、
前記ソフトウェア・プログラムの実行過程で実行されたプロセス毎の、前記第2ログエントリの数に関する情報と、
前記第2ログエントリの数を、それぞれの前記ログ種別について集計したヒストグラムを表す情報と、
それぞれの前記ログ種別について集計した、前記ソフトウェア・プログラムの実行過程でアクセスされたリソースの数に関する情報と、
のいずれか1つ以上を算出することで、前記コンテキスト情報を作成する
請求項2に記載の分析装置。 - 前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記特徴抽出手段は、前記第1ログエントリが記録されたプロセスと同じプロセスについて記録された複数の前記第2ログエントリに記録された情報を用いて、
前記第2ログエントリの数を、それぞれの前記ログ種別について集計したヒストグラムを表す情報と、
それぞれの前記ログ種別について集計した、前記ソフトウェア・プログラムの実行過程でアクセスされたリソースの数に関する情報と、
前記ソフトウェア・プログラムの実行過程で記録された前記ログエントリの総数と、前記第1ログエントリが記録されたプロセスと同じプロセスについて記録された前記第2ログエントリの総数と、の割合に関する情報と、
のいずれか1つ以上を算出することで、前記コンテキスト情報を作成する
請求項2に記載の分析装置。 - 前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記特徴抽出手段は、前記第1ログエントリが記録さえたタイミングから、時系列において特定の範囲内に記録された複数の前記第2ログエントリに記録された情報を用いて、
前記第2ログエントリの数を、それぞれの前記ログ種別について集計したヒストグラムを表す情報と、
前記第1ログエントリが記録されたタイミングから、時系列において特定の範囲内に記録された複数の前記第2ログエントリの総数と、前記第1ログエントリが記録されたタイミングから、時系列において特定の範囲内に記録された複数の前記第2ログエントリのうち、前記第1ログエントリと同じプロセスについて記録された前記第2ログエントリの総数と、の割合に関する情報と、
のいずれか1つ以上を算出することで、前記コンテキスト情報を作成する
請求項2に記載の分析装置。 - 前記特徴抽出手段は、それぞれの前記第2ログエントリに記録された情報から抽出した特徴量を用いて作成される情報であるコンテキスト情報を、前記第2特徴量として抽出する
請求項1に記載の分析装置。 - 前記特徴抽出手段は、前記第1ログエントリに対する前記第1特徴量と同様の特徴量を、各前記第2ログエントリから抽出し、各前記第2ログエントリから抽出した特徴量を用いて、前記第2特徴量を作成する
請求項1乃至請求項6のいずかれ一項に記載の分析装置。 - 前記特徴抽出手段は、
前記第1ログエントリに記録された情報を文字列及び数値の少なくとも一方を用いて表すデータから、前記第1特徴量を抽出し、
前記第2ログエントリに記録された情報を文字列及び数値の少なくとも一方を用いて表するデータを、全ての前記第2ログエントリについて統合することで統合データを作成し、その統合データから前記第1ログエントリに対する前記第1特徴量と同様の特徴量を抽出することで、前記第2特徴量を作成する
請求項7に記載の分析装置。 - 前記特徴抽出手段は、
前記ソフトウェア・プログラムの動作を解析可能な解析装置により前記ソフトウェア・プログラムの動作を解析した結果を表すサマリ情報から、前記第2特徴量を抽出する
請求項1に記載の分析装置。 - 前記特徴抽出手段は、
前記サマリ情報に含まれる、前記ソフトウェア・プログラムが1以上の特定の活動を実行したか否かを表す情報を、前記第2特徴量として抽出する
請求項9に記載の分析装置。 - 前記第1ログエントリに記録された情報に関連する情報を、情報源から外部コンテキスト情報として取得する情報収集手段を更に備え、
前記特徴抽出手段は、前記情報収集手段により取得された外部コンテキスト情報に基づいて、第3特徴量を抽出し、
前記第2特徴量及び第3特徴量の少なくとも一方と、前記第1特徴量と、を用いて前記第1ログエントリに関する前記特徴情報を作成する
請求項1乃至請求項10のいずれか一項に記載の分析装置。 - 前記情報収集手段は、前記ソフトウェア・プログラムの実行過程でアクセスされたリソースの、セキュリティに関する評判を表す情報を、前記外部コンテキスト情報として前記情報源から収集する
請求項11に記載の分析装置。 - 前記第1ログエントリに、あるファイルへのアクセスが記録されている場合、
前記情報収集手段は、
そのファイルがマルウェアとして検知されるファイルであるか否か、を表す情報と、
そのファイルが取得された数を表す情報と、
そのファイルの信頼度を表す情報と、
のいずれか1つ以上を、前記外部コンテキスト情報として前記情報源から取得する
請求項11に記載の分析装置。 - 前記第1ログエントリに、あるレジストリへのアクセスが記録されている場合、
前記情報収集手段は、そのレジストリがマルウェアによりアクセスされるか否かを表す情報を、前記外部コンテキスト情報として前記情報源から取得する
請求項11に記載の分析装置。 - 前記第1ログエントリに、ある通信先への通信が記録されている場合、
前記情報収集手段は、その通信先のセキュリティに関する評判を表す情報を、前記外部コンテキスト情報として前記情報源から取得する
請求項11に記載の分析装置。 - 前記ログエントリには、当該ログエントリが記録された処理の種別を特定可能なログ種別が記録され、
前記分析モデル作成手段は、それぞれの前記ログ種別に該当する前記ログエントリに関して作成された前記特徴情報を用いて、それぞれの前記ログ種別について個別に前記分析モデルを作成する
請求項1又は2に記載の分析装置。 - 前記分析モデルを用いて、前記ログエントリに関する重要度を算出する重要度算出手段と、
前記ログエントリについて算出された重要度に応じて、当該ログエントリの表示方法を制御可能なユーザインタフェースを生成する表示制御手段と、を更に備える
請求項1乃至請求項16のいずれかに記載の分析装置。 - 前記表示制御手段は、
表示される前記ログエントリの重要度を表す閾値を設定可能な制御要素を含む前記ユーザインタフェースを生成し、
前記ユーザインタフェースは、前記閾値以上の重要度が算出された前記ログエントリと、前記閾値未満の重要度が算出された前記ログエントリと、をそれぞれ異なる表示方法を用いて表示する
請求項17に記載の分析装置。 - 前記表示制御手段は、
表示される前記ログエントリの重要度を表す閾値を設定可能な制御要素を含む前記ユーザインタフェースを生成し、
前記ユーザインタフェースは、前記閾値以上の重要度が算出された前記ログエントリを表示し、前記閾値未満の重要度が算出された前記ログエントリの表示を抑制する
請求項18に記載の分析装置。 - 前記表示制御手段は、
表示される前記ログエントリの重要度を表す閾値を設定可能な制御要素を含む前記ユーザインタフェースを生成し、
前記ユーザインタフェースは、前記閾値の重要度が算出された前記ログエントリを、前記閾値未満の重要度が算出された前記ログエントリよりも強調して表示する
請求項19に記載の分析装置。 - 前記分析モデルは、複数の層を有するニューラルネットワークであり、
前記特徴抽出手段は、前記重要度情報が付与されていない前記ログエントリについて、前記特徴情報を作成し、
前記分析モデル作成手段は、前記重要度情報が付与されていない前記ログエントリについて作成された前記特徴情報と、前記重要度情報が付与された前記第1ログエントリについて作成された前記特徴情報と、の両方を用いて、前記分析モデルに関する事前学習を実行する、
請求項1乃至請求項20のいずれかに記載の分析装置。 - ソフトウェア・プログラムの動作を表す情報が記録されたログエントリである第1ログエントリから抽出した第1特徴量と、前記ログエントリである1以上の第2ログエントリから抽出した、前記第1特徴量とは異なる第2特徴量と、を用いて、前記第1ログエントリに関する特徴情報を作成し、
前記第1ログエントリに関する前記特徴情報と、当該第1ログエントリに付与された重要度を表す重要度情報と、を1以上含む学習データを用いて、他の前記ログエントリに関する重要度を判定可能な分析モデルを作成する
ログの分析方法。 - ソフトウェア・プログラムの動作を表す情報が記録されたログエントリである第1ログエントリから抽出した第1特徴量と、前記ログエントリである1以上の第2ログエントリから抽出した、前記第1特徴量とは異なる第2特徴量と、を用いて、前記第1ログエントリに関する特徴情報を作成する処理と、
前記第1ログエントリに関する前記特徴情報と、当該第1ログエントリに付与された重要度を表す重要度情報と、を1以上含む学習データを用いて、他の前記ログエントリに関する重要度を判定可能な分析モデルを作成する処理とを、コンピュータに、実行させる
分析プログラムが記録された記録媒体。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/023136 WO2018235252A1 (ja) | 2017-06-23 | 2017-06-23 | 分析装置、ログの分析方法及び記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018235252A1 true JPWO2018235252A1 (ja) | 2020-04-16 |
JP6860070B2 JP6860070B2 (ja) | 2021-04-14 |
Family
ID=64737787
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019524817A Active JP6860070B2 (ja) | 2017-06-23 | 2017-06-23 | 分析装置、ログの分析方法及び分析プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20200184072A1 (ja) |
JP (1) | JP6860070B2 (ja) |
WO (1) | WO2018235252A1 (ja) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108346107B (zh) * | 2017-12-28 | 2020-11-10 | 创新先进技术有限公司 | 一种社交内容风险识别方法、装置以及设备 |
US11120033B2 (en) * | 2018-05-16 | 2021-09-14 | Nec Corporation | Computer log retrieval based on multivariate log time series |
KR102344293B1 (ko) * | 2018-10-30 | 2021-12-27 | 삼성에스디에스 주식회사 | 보안 로그 전처리 장치 및 방법 |
RU2739865C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного файла |
US11200318B2 (en) * | 2018-12-28 | 2021-12-14 | Mcafee, Llc | Methods and apparatus to detect adversarial malware |
JP7243329B2 (ja) * | 2019-03-15 | 2023-03-22 | 日本電気株式会社 | コンピュータプログラム、イベント異常検知方法及びコンピュータ |
US11170789B2 (en) * | 2019-04-16 | 2021-11-09 | Microsoft Technology Licensing, Llc | Attentive adversarial domain-invariant training |
CN112084495A (zh) * | 2019-06-14 | 2020-12-15 | 北京奇虎科技有限公司 | 进程链的分析方法及装置 |
JP2021015421A (ja) * | 2019-07-11 | 2021-02-12 | 富士通株式会社 | 情報処理プログラム、情報処理方法および情報処理装置 |
JP6840204B1 (ja) * | 2019-09-17 | 2021-03-10 | 株式会社日立製作所 | 業務支援システム及び方法 |
CN111090493A (zh) * | 2019-11-25 | 2020-05-01 | 中国银行股份有限公司 | 一种虚拟主机使用饱和度的统计方法及系统 |
US11892938B2 (en) | 2020-03-16 | 2024-02-06 | International Business Machines Corporation | Correlation and root cause analysis of trace data using an unsupervised autoencoder |
JP2021189721A (ja) * | 2020-05-29 | 2021-12-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
US11328001B2 (en) * | 2020-06-29 | 2022-05-10 | Optum Services (Ireland) Limited | Efficient matching of data fields in response to database requests |
JP7421196B2 (ja) * | 2020-07-01 | 2024-01-24 | 日本電気株式会社 | ログ生成システム、ログ生成方法およびログ生成プログラム |
US11449266B2 (en) * | 2020-08-27 | 2022-09-20 | Micron Technology, Inc. | Memory sub-system event log management |
WO2022239162A1 (ja) * | 2021-05-12 | 2022-11-17 | 日本電信電話株式会社 | 決定方法、決定装置及び決定プログラム |
US20240289446A1 (en) * | 2021-05-12 | 2024-08-29 | Nippon Telegraph And Telephone Corporation | Extraction method, extraction device, and extraction program |
US20240281527A1 (en) * | 2021-05-12 | 2024-08-22 | Nippon Telegraph And Telephone Corporation | Extraction method, extraction device, and extraction program |
JP7317931B2 (ja) * | 2021-12-20 | 2023-07-31 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 選定装置、選定方法および選定プログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259168A (ja) * | 2001-03-05 | 2002-09-13 | Toshiba Corp | ログ特徴を抽出する装置、方法、およびプログラム |
JP2014153723A (ja) * | 2013-02-04 | 2014-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ログ生起異常検知装置及び方法 |
WO2016092834A1 (ja) * | 2014-12-10 | 2016-06-16 | 日本電気株式会社 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9609456B2 (en) * | 2012-05-14 | 2017-03-28 | Qualcomm Incorporated | Methods, devices, and systems for communicating behavioral analysis information |
US10708296B2 (en) * | 2015-03-16 | 2020-07-07 | Threattrack Security, Inc. | Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs |
US10511615B2 (en) * | 2017-05-05 | 2019-12-17 | Microsoft Technology Licensing, Llc | Non-protocol specific system and method for classifying suspect IP addresses as sources of non-targeted attacks on cloud based machines |
-
2017
- 2017-06-23 JP JP2019524817A patent/JP6860070B2/ja active Active
- 2017-06-23 WO PCT/JP2017/023136 patent/WO2018235252A1/ja active Application Filing
- 2017-06-23 US US16/624,667 patent/US20200184072A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002259168A (ja) * | 2001-03-05 | 2002-09-13 | Toshiba Corp | ログ特徴を抽出する装置、方法、およびプログラム |
JP2014153723A (ja) * | 2013-02-04 | 2014-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ログ生起異常検知装置及び方法 |
WO2016092834A1 (ja) * | 2014-12-10 | 2016-06-16 | 日本電気株式会社 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 |
Non-Patent Citations (1)
Title |
---|
岡野 靖 ほか: "「データ圧縮アルゴリズムを用いたマルウェア感染通信ログの判定」", コンピュータセキュリティシンポジウム2016論文集(情報処理学会シンポジウムシリーズ), vol. 第2016巻, 第2号, JPN6017035154, October 2016 (2016-10-01), pages 640 - 646, ISSN: 0004450525 * |
Also Published As
Publication number | Publication date |
---|---|
WO2018235252A1 (ja) | 2018-12-27 |
US20200184072A1 (en) | 2020-06-11 |
JP6860070B2 (ja) | 2021-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6860070B2 (ja) | 分析装置、ログの分析方法及び分析プログラム | |
White et al. | Improving random GUI testing with image-based widget detection | |
US8332509B2 (en) | Parameterized computer monitoring system | |
JP2022527511A (ja) | サイバーセキュリティ・イベントについての時間関係を推測すること | |
US11601462B2 (en) | Systems and methods of intelligent and directed dynamic application security testing | |
KR101893090B1 (ko) | 취약점 정보 관리 방법 및 그 장치 | |
CN103577756B (zh) | 基于脚本类型判断的病毒检测方法及装置 | |
CN106663167B (zh) | 识别在线服务的行为变化 | |
Qin et al. | Testmig: Migrating gui test cases from ios to android | |
Ullah et al. | Clone detection in 5G-enabled social IoT system using graph semantics and deep learning model | |
CN111523119A (zh) | 漏洞检测的方法和装置、电子设备及计算机可读存储介质 | |
US11106801B1 (en) | Utilizing orchestration and augmented vulnerability triage for software security testing | |
CN116209997A (zh) | 用于对软件漏洞进分类的系统和方法 | |
US20110307488A1 (en) | Information processing apparatus, information processing method, and program | |
US11550707B2 (en) | Systems and methods for generating and executing a test case plan for a software product | |
CN110502677B (zh) | 一种设备识别方法、装置及设备、存储介质 | |
WO2019142345A1 (ja) | セキュリティ情報処理装置、情報処理方法及び記録媒体 | |
CN107247902A (zh) | 恶意软件分类系统及方法 | |
CN111654495B (zh) | 用于确定流量产生来源的方法、装置、设备及存储介质 | |
US10291483B2 (en) | Entity embedding-based anomaly detection for heterogeneous categorical events | |
CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
Grechanik et al. | Differencing graphical user interfaces | |
KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
Nandagopal et al. | Classification of Malware with MIST and N-Gram Features Using Machine Learning. | |
CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191209 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191209 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210309 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6860070 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |