JPWO2020075800A1 - 分析装置、分析システム、分析方法及びプログラム - Google Patents

分析装置、分析システム、分析方法及びプログラム Download PDF

Info

Publication number
JPWO2020075800A1
JPWO2020075800A1 JP2020551220A JP2020551220A JPWO2020075800A1 JP WO2020075800 A1 JPWO2020075800 A1 JP WO2020075800A1 JP 2020551220 A JP2020551220 A JP 2020551220A JP 2020551220 A JP2020551220 A JP 2020551220A JP WO2020075800 A1 JPWO2020075800 A1 JP WO2020075800A1
Authority
JP
Japan
Prior art keywords
log
log data
devices
vehicle
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020551220A
Other languages
English (en)
Other versions
JP7056752B2 (ja
Inventor
田中 政志
政志 田中
靖 岡野
靖 岡野
卓麻 小山
卓麻 小山
慶太 長谷川
慶太 長谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2020075800A1 publication Critical patent/JPWO2020075800A1/ja
Application granted granted Critical
Publication of JP7056752B2 publication Critical patent/JP7056752B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0739Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

分析装置は、ネットワークに接続された複数の機器のそれぞれから送信されるログデータを前記ネットワークを介して受信する受信部と、前記機器ごとに、当該機器から送信されたログデータに基づいて、当該機器において発生している事象が複数の種別のいずれであるかを判定する判定部と、前記判定部による判定結果が同じ種別である複数の事象に係る複数の機器のそれぞれのログデータの比較に基づいて、当該複数の機器に跨る事象の発生を検知する検知部と、を有することで、複数の機器に跨って発生している事象の発生を検知可能とする。

Description

本発明は、分析装置、分析システム、分析方法及びプログラムに関する。
従来、IoT(Internet of Things)デバイスやロボット等の産業機械を制御するIoTデバイスの制御機器、又はそれらの接続を管理するネットワーク機器(以下、これらを総称して単に「機器」という。)上に搭載され、サイバー攻撃を検知する監視・検知ソフトウェアや監視・検知アプライアンスが有る。また、これらの機器が検知したサイバー攻撃の検知ログはセンタ上に配置された分析サーバにアップロードされる。
監視・検知ソフトウェアや監視・検知アプライアンスは、機器から取得される通信ログやシステムログを監視し、サイバー攻撃を検知する。また、センタは、サイバー攻撃の検知ログについて詳細に分析を行い、攻撃手段等のサイバー攻撃の詳細な内容の把握を行う。
しかしながら、各機器からのログを個別に分析するだけでは、検知することが困難な事象が有る。例えば、個別の分析では、複数の機器に跨って発生している事象(例えば、大規模なサイバー攻撃等)の発生を検知するのは困難である。
本発明は、上記の点に鑑みてなされたものであって、複数の機器に跨って発生している事象の発生を検知可能とすることを目的とする。
そこで上記課題を解決するため、分析装置は、ネットワークに接続された複数の機器のそれぞれから送信されるログデータを前記ネットワークを介して受信する受信部と、前記機器ごとに、当該機器から送信されたログデータに基づいて、当該機器において発生している事象が複数の種別のいずれであるかを判定する判定部と、前記判定部による判定結果が同じ種別である複数の事象に係る複数の機器のそれぞれのログデータの比較に基づいて、当該複数の機器に跨る事象の発生を検知する検知部と、を有する。
複数の機器に跨って発生している事象の発生を検知可能とすることができる。
本発明の実施の形態におけるシステム構成例を示す図である。 本発明の実施の形態における監視サーバ10のハードウェア構成例を示す図である。 本発明の実施の形態における車両20のハードウェア構成例を示す図である。 本発明の実施の形態における車両20及び監視サーバ10の機能構成例を示す図である。 監視サーバ10が実行する処理手順の一例を説明するためのフローチャートである。
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。図1において、複数の車両20は、インターネット等のネットワークN1を介して各種のサーバ(監視サーバ10、自動車会社公式サーバ30a、サービス提供サーバ30b等)に接続される自動車(コネクテッドカー)である。例えば、各車両20は、移動体通信網等の無線ネットワークを介してネットワークN1に接続し、各種のサーバと通信する。
自動車会社公式サーバ30aは、車両20の自動車会社が運営する、車両20(コネクテッドカー)の管理及び自動車会社の公式のサービスの提供をネットワークN1を介して行う1以上のコンピュータである。例えば、自動車会社公式サーバ30aは、テレマティクスサービスを提供してもよい。
サービス提供サーバ30bは、サードパーティが運営する、車両20の利便性を高めるための各種のサービスを車両20の利用者に対して提供する1以上のコンピュータである。
監視サーバ10は、車両20から送信(アップロード)されるデータに基づいて、複数の車両20に跨る事象の発生の検知等を行う1以上のコンピュータである。
図2は、本発明の実施の形態における監視サーバ10のハードウェア構成例を示す図である。図2において、監視サーバ10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
監視サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って監視サーバ10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
図3は、本発明の実施の形態における車両20のハードウェア構成例を示す図である。図3において、車両20は、通信装置210、情報系サブシステム220、制御系サブシステム230及び関門器240等を含む。
通信装置210は、ネットワークN1に接続するための通信モジュールや、他の車両20又は道路上の機器等と通信するための通信モジュールや、スマートフォン等と無線LAN又は近距離無線通信を介して接続するための通信モジュール等を含む。
情報系サブシステム220は、インストールされたプログラムに応じた情報処理を実行する部分であり、CPU221、メモリ装置222、補助記憶装置223、表示装置224及び入力装置225等を含む。補助記憶装置223には、インストールされたプログラムや、当該プログラムによって利用される各種データが記憶される。メモリ装置222は、起動対象とされたプログラムを補助記憶装置223から読み出して格納する。CPU221は、メモリ装置222に格納されたプログラムに従って情報系サブシステム220に係る機能を実行する。表示装置224はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置225は、ボタン等やタッチパネル等の操作部品であり、様々な操作指示を入力させるために用いられる。なお、例えば、カーナビゲーション、カーオーディオのヘッドユニット等の車載機が情報系サブシステム220の一例である。
制御系サブシステム230は、車両20の挙動を制御する部分であり、各種の制御のための複数のマイコン231等を含む。例えば、ECU(Electronic Control Unit)がマイコン231の一例である。
関門器240は、情報系サブシステム220と制御系サブシステム230と接続するためのゲートウェイ(例えば、CGW(Central Gateway))である。すなわち、情報系サブシステム220において扱われる通信プロトコルは、例えば、IPプロトコルであり、制御系サブシステム230においてマイコン231間の通信に利用される通信プロトコルは、制御に特化した非IPプロトコル(例えば、CAN(Controller Area Network))である。したがって、これらの通信プロトコルの違いを吸収するための関門器240が設けられる。
なお、図4に示したハードウェア構成は、一例に過ぎない。後述の機能を実現可能であれば、車両20のハードウェア構成は特定のものに限定されない。
図4は、本発明の実施の形態における車両20及び監視サーバ10の機能構成例を示す図である。図4において、車両20の情報系サブシステム220は、接続情報管理部251、管理機能実施部252、サービス機能実施部253、機能実施管理部254、異常判定部255及びログ送信部256等を有する。これら各部は、情報系サブシステム220にインストールされた1以上のプログラムが、CPU221に実行させる処理により実現される。情報系サブシステム220は、また、ログDB261及び検知DB262等のデータベース(記憶部)を有する。これら各データベース(記憶部)は、例えば、メモリ装置222又は補助記憶装置223等を用いて実現可能である。
管理機能実施部252は、インターネット等を経由して、車両20を管理する自動車会社公式サーバ30aにアクセスすることで、例えば、タブレット・スマートフォン等のリモートアクセス端末を用いた車両20の遠隔操作やソフトウェアの更新等を行うための処理を実行する。
サービス機能実施部253及び管理機能実施部252は、外部ネットワーク(車両20外のネットワーク)介してそれぞれの機能を実現する。サービス機能実施部253は、インターネット等を経由して、自動車会社公式サーバ30aを介さずにサービス提供サーバ30bにアクセスすることで、サービス提供サーバ30bが提供するサービスを利用するアプリケーション群である。例えば、動画配信サービス等が当該サービスの一例として挙げられる。この場合、サービス機能実施部253は、動画のダウンロード及び再生等を行う。
サービス機能実施部253から車両20の制御に関与する管理機能実施部252へのアクセスを実行することが出来ないが、サービス機能実施部253と管理機能実施部252とは同一のOS(Operating System)によって実現されている。このため、サービス機能実施部253のアプリケーションや当該OSの脆弱性を狙った攻撃を行い、管理機能実施部252を経由して不正に機器を制御する脅威が想定される。
接続情報管理部251は、外部通信ログ及び制御系通信ログ(以下、それぞれを区別しない場合「通信ログ」という。)等のログデータを逐次的に(通信のたびに)収集し、収集したログデータをログDB261に記憶することで、通信ログを一括で管理する。
外部通信ログは、IP通信のような、管理機能実施部252又はサービス機能実施部253と外部ネットワークとの通信ログ、Wi−Fi(登録商標)やBlutooth(登録商標)接続などによる無線通信ログ、USB等の物理デバイスの接続による通信ログ等を含む。
制御系通信ログは、制御系サブシステム230のマイコン231間でCAN(Controller Area Network)等のプロトコルによって送受信される非IP系の通信ログをいう。
例えば、通信ログは、車両ID、タイムスタンプ(日時情報)、接続元情報(車両20を構成するサブシステム)、外部接続先情報(自動車会社公式サーバ30a又はサービス提供サーバ30b等の外部サーバ、近接無線で接続する機器、USB等の物理的に接続する機器)、及び実行命令を含む要求や応答の情報から構成される。又は、通信ログは、通信内容(ヘッダ情報を含む通信データ)に対して、日時情報(タイムスタンプ)が付与されたデータでもよい。なお、車両IDとは、車両20の識別情報である。
機能実施管理部254は、システムログ、アプリケーションログ、センサログ、エラーログ等を逐次的に収集し、収集したログをログDB261に記憶することで、これらのログを一括で管理する。システムログ及びアプリケーションログは、情報系サブシステム220を構成するOSやOS上で動作するアプリケーションの動作等に関するログデータをいう。したがって、サービス機能実施部253や管理機能実施部252によって実行される、通信以外の処理に関する情報を含むログデータもシステムログ又はアプリケーションログに含まれる。センサログは、車両20のGPS(Global Positioning System)受信機によって測定される車両20の位置情報(緯度、経度)や、車両20の速度、車両20の加速度等、車両20に搭載されている各種のセンサによって計測される値を含むログデータをいう。エラーログは、制御系サブシステム230を構成するマイコン231が出力するエラー(異常)に関する情報を含むログデータをいう。
なお、システムログ及びアプリケーションログは、例えば、車両ID、タイムスタンプ、車両20内の情報系サブシステム220を構成するOSやアプリケーションのプロセスに関する情報、アクション(生成、削除、変更等のオブジェクトに対する操作)に関する情報、オブジェクト(ファイル、通信、(子)プロセス)に関する情報等を含む。また、センサログは、車両ID、タイムスタンプ、及びセンサによる計測値等を含む。また、エラーログは、例えば、車両ID、タイムスタンプ及びエラーコード等を含む。
ログDB261には、上記した各種のログが時系列に記憶される。
異常判定部255は、ログDB261に記憶されたログデータ(外部通信ログ、制御系通信ログ、システムログ、アプリケーションログ、センサログ、エラーログ)に基づいて、車両20における異常の発生の有無を判定する。但し、車両20のリソースは限られているため、異常判定部255は、何らかの異常の発生を検知した場合、異常の検知結果を示すログ(以下、「検知ログ」という。)を生成し、当該検知ログを検知DB262に記憶する。なお、ログデータに基づく異常の有無の判定(計算)は、公知技術を用いて行うことができる。例えば、ログデータを入力とし、異常スコアを出力とする、所定の学習済みの異常検知学習モデル(例えば、ニューラルネットワーク)に対し、各ログデータを入力することで、異常スコアが判定されてもよい。異常スコアは、異常の有無を示す0又は1であってもよいし、異常の程度を最小値(例えば、「0」)から最大値(例えば、「1」)の範囲で示す値であってもよい。この場合、異常スコアが閾値を超えた場合に、異常が発生したと判定されてもよい。なお、このように、異常判定部255は、何らかの異常の有無を判定するにとどまり、異常の原因がサイバー攻撃である等、異常の詳細についての分析は行わない。
ログ送信部256は、ログDB261又は検知DB262に記憶されたログデータを監視サーバ10に送信する。ログデータの送信タイミングは、各ログデータがログDB261又は検知DB262に記憶されるたびに(すなわち、リアルタイムで)行われてもよいし、一定周期でバッチ的に行われてもよい。又は、検知DB262に検知ログが記憶された際に、当該検知ログと、ログDB261に記憶されたログデータのうち、当該検知ログに係る異常の検知に用いられたログデータのみが送信されてもよい。
一方、監視サーバ10は、ログ受信部11及び分析部12等を有する。これら各部は、監視サーバ10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。監視サーバ10は、また、統合ログDB121、故障判定DB122、攻撃判定DB123及び誤検知判定DB124等のデータベースを利用する。これら各データベースは、例えば、補助記憶装置102、又は監視サーバ10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
ログ受信部11は、各車両20のログ送信部256から送信されるログデータを受信し、受信したログデータを統合ログDB121に記憶する。統合ログDB121には、車両ID別にログデータが記憶されてもよい。
分析部12は、統合ログDB121に記憶されているログデータを相関させた分析を行って、複数の車両20に跨った事象の発生を検知する。具体的には、分析部12は、各車両20から送信されるログデータに基づいて、各車両20において発生している事象を、事象に関する複数の種別(本実施の形態では、故障、サイバー攻撃、異常の誤検知、それ以外)のいずれであるかを判定する(いずれかに分類する)。故障であるとの判定結果は、故障判定DB122に記憶される。サイバー攻撃であるとの判定結果は、攻撃判定DB123に記憶される。誤検知であるとの判定結果は、誤検知判定DB124に記憶される。
分析部12は、更に、同じ種別に分類された複数の事象に係る複数の車両20のそれぞれのログデータの比較に基づいて、当該複数の車両20に跨る事象の発生を検知する。なお、監視サーバ10が有する計算リソースは、各車両20が個々に有する計算リソースに比べて潤沢(大規模)である。したがって、分析部12が監視サーバ10に配備されることにより、分析部12は、潤沢な計算リソースを用いて処理を実行することができる。
以下、監視サーバ10が実行する処理手順について説明する。図5は、監視サーバ10が実行する処理手順の一例を説明するためのフローチャートである。なお、図5の処理手順は、複数の車両20について並列的に実行されうる。
ログ受信部11は、或る車両20(以下、「対象車両20」という。)のログ送信部256から送信(アップロード)されたログデータ群(以下、「対象ログ群」という。)を受信すると(S101でYes)、対象ログ群を統合ログDB121に記憶する(S102)。
続いて、分析部12は、対象ログ群における検知ログの有無に基づいて、対象車両20に関する異常の有無を判定する(S103)。なお、本実施の形態では、異常判定部255によって異常が検知された場合にのみ検知ログが生成される例を説明するが、異常判定部255が、異常を検知しない場合にも、異常を検知しなかったことを示す検知ログを生成する場合には、分析部12は、検知ログを参照して、異常の有無を判定すればよい。
対象ログ群に検知ログが含まれていない場合(又は対象ログ群に含まれている検知ログが異常を検知しないことを示す場合)(S103でNo)、ステップS101に戻る。対象ログ群に検知ログが含まれている場合(又は対象ログ群に含まれている検知ログが異常を検知したことを示す場合)(S103でYes)、分析部12は、対象車両20の故障の可能性の有無を判定する(S104)。故障の可能性の有無は、対象ログ群にエラーログが含まれているか否かによって行われてもよい。又は、検知ログと車両IDが共通し、当該検知ログのタイムスタンプの日時以前の所定の期間内の日時を示すタイムスタンプを含むエラーログが統合ログDB121に記憶されているか否かに基づいて、故障の可能性の有無が判定されてもよい。すなわち、分析部12は、該当するエラーログが有る場合、故障の可能性が有ると判定し、該当するエラーログが無い場合、故障の可能性は無いと判定する。
分析部12は、故障の可能性が有ると判定すると(すなわち、対象車両20で発生した事象を故障に分類すると)(S104でYes)、故障であるという判定結果(以下、「故障判定結果」という。)を故障判定DB122に記憶する(S105)。故障判定結果には、対象車両20の車両ID、現時点のタイムスタンプ、及び対象ログ群等が含まれる。
続いて、分析部12は、対象車両20と型式及び年式が同じで、対象車両20の現在位置の付近(例えば、半径Nkm以内等)を走行中の他の車両20に関する故障判定結果群を故障判定DB122から検索する(S106)。本実施の形態において各車両20の型式及び年式は、車両IDに含まれていることとする。したがって、対象車両20と型式及び年式が同じである他の車両20の故障判定結果群(以下、「故障判定結果群A」という。)は、対象車両20の車両IDの型式及び年式部分と、故障判定DB122に記憶されている各故障判定結果の車両IDの型式及び年式部分とを比較することで特定可能である。
また、対象車両20の現在位置は、対象ログ群に含まれている最新のセンサログの位置情報に基づいて特定可能である。また、各故障判定結果に係る車両20の位置は、当該故障判定結果に含まれる最新のセンサログの位置情報に基づいて特定可能である。したがって、対象車両20と型式及び年式が同じで、対象車両20の現在位置の付近を走行中の他の車両20に関する故障判定結果群は、故障判定結果群Aのうち、対象車両20の故障判定結果のタイムスタンプとの差が閾値以内のタイムスタンプに係る故障判定結果であって、センサログが示す位置情報の位置と、対象車両20の故障判定結果のセンサログが示す位置情報位置との差がNkm以内である故障判定結果の集合(以下、「故障判定結果群B」という。)である。
続いて、分析部12は、故障判定結果群Bに含まれる故障判定結果の数が閾値a以上であるか否かを判定する(S107)。なお、ステップS107では、故障判定結果群Aに含まれる故障判定結果の数が閾値a以上であるか否かが判定されてもよい。すなわち、対象車両20との位置関係は考慮されないようにしてもよい。
該当する故障判定結果の数が閾値a未満である場合(S107でNo)、ステップS101へ戻る。この場合、対象車両20の故障は、個別の事象として扱われる。
該当する故障判定結果の数が閾値a以上である場合(S107Yes)、分析部12は、該当する各故障判定結果と、対象車両20の故障判定結果とを比較し(S108)、該当する各故障判定結果の中で、対象車両20の故障判定結果と傾向が類似している故障判定結果の数が閾値b以上であるか否かを判定する(S109)。すなわち、複数の車両20に関する故障判定結果について、複数の車両20のログを参照し比較する分析が行われる。例えば、該当する各故障判定結果に含まれる各種のログデータと、対象車両20の故障判定結果に含まれる各種のログデータとが比較されてもよい。比較対象のログデータは、エラーログ及び制御系通信ログに限定されてもよい。類似しているか否かは、複数のパラメータの類似度を計算する公知の方法を用いて行われてもよい。又は、対象車両20の故障判定結果に含まれるシステムログ又は制御系通信ログと、比較対象の故障判定結果に含まれるシステムログ又は制御系通信ログとの双方において、通常発生しない異常パターンが観測されるか否かに基づいて、双方の類似性が評価されてもよい。
該当する故障判定結果が閾値b未満である場合(S109でNo)、ステップS101へ戻る。この場合、対象車両20の故障は、個別の事象として扱われる。
該当する故障判定結果の数が閾値b以上である場合(S109Yes)、分析部12は、ロット単位での故障が発生していることを検知する(S110)。ロット単位での故障とは、例えば、型式及び年式が共通する車両20における故障をいう。すなわち、ロット単位での複数の車両20に跨って同じ故障が発生していることが検知される。この場合、分析部12は、対象車両20の型式及び年式等を含む、ロット単位での故障の可能性の検知を示す通知を、例えば、自動車会社公式サーバ30a等に送信してもよい。自動車会社は、当該通知に基づき、当該故障の対象の車両20について、物理的な部品の交換等を実施してもよい。
又は、ステップS104において、故障の可能性が無いと判定した場合(S104でNo)、分析部12は、サイバー攻撃の可能性の有無を判定する(S111)。サイバー攻撃の可能性の有無は、例えば、対象ログ群のうち、外部通信ログを参照することで行われてもよい。一例として、分析部12は、外部通信ログの外部接続先情報が示す接続先の悪性度を分析する。悪性度の分析は、監視サーバ10が保有するブラックリストとの照会によって行われてもよいし、不正なリダイレクトによる悪性サイトへの接続をHTTP通信の遷移に着目し、機械学習を用いて悪性Webサイトへの接続を検知することで行われてもよいし、公知の他の技術を用いて行われてもよい。更に、分析部12は、接続先の悪性度が高い場合に、接続元である情報系サブシステム220のシステムログやアプリケーションログ等が、所定のパターンに合致するか否か等に基づいて、サイバー攻撃の有無を判定してもよい。
分析部12は、サイバー攻撃の可能性が有ると判定すると(すなわち、対象車両20で発生した事象をサイバー攻撃に分類すると)(S111でYes)、サイバー攻撃であるという判定結果(以下、「攻撃判定結果」という。)を攻撃判定DB123に記憶する(S112)。攻撃判定結果には、対象車両20の車両ID、現時点のタイムスタンプ、及び対象ログ群等が含まれる。
続いて、分析部12は、対象車両20と型式及び年式が同じで、対象車両20の現在位置の付近(例えば、半径Nkm以内等)を走行中の他の車両20に関する攻撃判定結果群を攻撃判定DB123から検索する(S113)。該当する攻撃判定結果群の特定方法は、ステップS106と同様でよい。
該当する攻撃判定結果の数が閾値c未満である場合(S114でNo)、ステップS101へ戻る。この場合、対象車両20に対するサイバー攻撃は、個別の事象として扱われる。
該当する攻撃判定結果の数が閾値c以上である場合(S114Yes)、分析部12は、該当する各攻撃判定結果と、対象車両20の攻撃判定結果とを比較し(S115)、該当する各攻撃判定結果の中で、対象車両20の攻撃判定結果と傾向が類似している攻撃判定結果の数が閾値d以上であるか否かを判定する(S116)。すなわち、複数の車両20に関する攻撃判定結果について、複数の車両20のログを参照し比較する分析が行われる。例えば、該当する各攻撃判定結果に含まれる各種のログデータと、対象車両20の攻撃判定結果に含まれる各種のログデータとが比較されてもよい。類似しているか否かは、複数のパラメータの類似度を計算する公知の方法を用いて行われてもよい。又は、対象車両20の攻撃判定結果に含まれるシステムログと比較対象の攻撃判定結果に含まれるシステムログとの双方において、通常発生しない異常パターン(例えば、システム内ファイル構成のサーチや権限昇格等に繋がるシェルコマンドの実行等)が観測されるか否か、対象車両20の攻撃判定結果に含まれる外部通信ログと比較対象の攻撃判定結果に含まれる外部通信ログとの双方において、通常発生しない通信の異常パターン(例えば、incoming等)の多発が観測されるか否か、対象車両20の攻撃判定結果に含まれる制御系通信ログと比較対象の攻撃判定結果に含まれる制御系通信ログとの双方において、通常発生しない制御系通信の異常パターン(例えば、送信タイミング、ペイロード値等)が観測されるか否かに基づいて、攻撃判定結果の類似性が判定されてもよい。すなわち、上記したいずれかの異常パターンが双方において観測される場合に、当該双方は類似していると判定されてもよい。
該当する攻撃判定結果が閾値d未満である場合(S116でNo)、ステップS101へ戻る。この場合、対象車両20の攻撃は、個別の事象として扱われる。
該当する攻撃判定結果の数が閾値d以上である場合(S116Yes)、分析部12は、大規模の(複数台の車両20に跨る)サイバー攻撃の発生を検知する(S117)。この場合、分析部12は、対象車両20の攻撃判定結果、当該攻撃判定結果と類似すると判定された攻撃判定結果、及び悪性度が高いと判定した接続先を示す情報等を含む、大規模なサイバー攻撃の可能性の検知を示す通知を、例えば、自動車会社公式サーバ30a等に送信してもよい。自動車会社公式サーバ30aは、当該通知に応じ、当該通知に含まれる攻撃判定結果に係る車両IDによって特定される各車両20の外部通信を遮断したり、当該接続先への外部通信を遮断したりすることで、サイバー攻撃の拡大を迅速に抑止してもよい。
又は、ステップS111において、サイバー攻撃の可能性が無いと判定した場合(S111でNo)、分析部12は、誤検知の可能性の有無を判定する(S118)。誤検知とは、対象車両20の異常判定部255による異常の判定の誤りをいう。誤検知の可能性の有無は、例えば、対象ログ群のうち、検知ログ及び制御系通信ログを参照することで行われてもよい。一例として、分析部12は、過去に誤検知と判定された制御系通信ログ(すなわち、誤検知であることが既知である制御系通信ログ)から抽出される特徴情報と、対象ログ群における制御系通信ログから抽出される特徴情報を比較して、同様の通信間隔のパターンや値の遷移が見られるかに基づいて、誤検知の可能性の有無を判定してもよい。なお、「過去に誤検知と判定された」とは、例えば、過去において人手等によって調査した結果、誤検知であったことが判明したことをいう。
分析部12は、誤検知の可能性が有ると判定すると(すなわち、対象車両20で発生した事象を誤検知に分類すると)(S118でYes)、誤検知であるという判定結果(以下、「誤検知判定結果」という。)を誤検知判定DB124に記憶する(S119)。誤検知判定結果には、対象車両20の車両ID、現時点のタイムスタンプ、及び対象ログ群等が含まれる。
続いて、分析部12は、対象車両20と型式及び年式が同じで、対象車両20の現在位置の付近(例えば、半径Nkm以内等)を走行中の他の車両20に関する誤検知判定結果群を誤検知判定DB124から検索する(S120)。該当する誤検知判定結果群の特定方法は、ステップS106と同様でよい。
該当する誤検知判定結果の数が閾値e未満である場合(S121でNo)、ステップS101へ戻る。この場合、対象車両20に対する誤検知は、個別の事象として扱われる。
該当する誤検知判定結果の数が閾値e以上である場合(S121Yes)、分析部12は、該当する各誤検知判定結果と、対象車両20の誤検知判定結果とを比較し(S122)、該当する各誤検知判定結果の中で、対象車両20の誤検知判定結果と傾向が類似している誤検知判定結果の数が閾値f以上であるか否かを判定する(S123)。すなわち、複数の車両20に関する誤検知判定結果について、複数の車両20のログを参照し比較する分析が行われる。例えば、該当する各誤検知判定結果に含まれる各種のログデータと、対象車両20の誤検知判定結果に含まれる各種のログデータとが比較されてもよい。類似しているか否かは、複数のパラメータの類似度を計算する公知の方法を用いて行われてもよい。又は、対象車両20の誤検知判定結果に含まれる制御系通信ログが示す制御系通信のパターン(例えば、通信間隔や通信データの遷移等)と、比較対象の誤検知判定結果に含まれる制御系通信ログが示す制御系通信のパターン(例えば、通信間隔や通信データの遷移等)とが比較され、その類似性が評価されてもよい(例えば、公知の方法で類似度が算出されてもよい)。制御系通信のパターンの類似度が閾値以上である比較対象に係る誤検知判定結果が、対象車両20の誤検知判定結果と傾向が類似している誤検知判定結果として判定されてもよい。
該当する誤検知判定結果が閾値f未満である場合(S123でNo)、ステップS101へ戻る。この場合、対象車両20の誤検知は、個別の事象として扱われる。そうすることで、例えば、電磁波等の影響により制御系通信に異常が発生し、あるエリアでのみ誤検知が発生している場合には、該当する誤検知判定結果の数が閾値f未満である可能性が高くなるため、異常検知学習モデルの不備であると判定されることを回避することができる。
該当する誤検知判定結果の数が閾値f以上である場合(S123Yes)、分析部12は、複数の車両20について、異常判定部255が利用する異常検知学習モデルに不備が有ることを検知する(S124)。この場合、分析部12は、対象車両20の誤検知判定結果及び当該誤検知判定結果と類似していると判定された誤検知判定結果等を含む、異常検知学習モデルの不備の可能性の検知を示す通知を、例えば、自動車会社公式サーバ30a等に送信してもよい。自動車会社公式サーバ30aは、当該通知に応じ、各車両20の異常検知学習モデルのアップデートや、管理実施機能部252としてCPU221を機能させるプログラムのアップデート等を行ってもよい。
なお、本実施の形態では、車両20を機器の一例として説明したが、通信機能を有する他の機器について本実施の形態が適用されてもよい。例えば、工場におけるロボット等の産業用制御機器、各地に配置されたセンサ、オーディオ機器、家電製品、通信端末(スマートフォン、タブレット端末等)や、一般的にIoT(Internet of Things)機器と呼ばれる機器について、本実施の形態が適用されてもよい。
上述したように、本実施の形態によれば、複数の機器(車両20)からのログデータに基づいて、似たような傾向を持つ事象が発生している機器を特定し、特定された複数のログデータを比較して分析することで、1台の機器を詳細に分析しても分からない事象である、広範囲に実施されるサイバー攻撃、異常検知学習モデルの不備、及び製造ロット単位で発生している故障等を検知することができる。すなわち、複数の機器に跨って発生している事象の発生を検知可能とすることができる。
なお、本実施の形態において、監視サーバ10は、分析装置の一例である。ログ受信部11は、受信部の一例である。分析部12は、判定部及び検知部の一例である。
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
本出願は、2018年10月11日に出願された日本国特許出願第2018−192412号に基づきその優先権を主張するものであり、同日本国特許出願の全内容を参照することにより本願に援用する。
10 監視サーバ
11 ログ受信部
12 分析部
20 車両
30a 自動車会社公式サーバ
30b サービス提供サーバ
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
121 統合ログDB
122 故障判定DB
123 攻撃判定DB
124 誤検知判定DB
210 通信装置
221 CPU
222 メモリ装置
223 補助記憶装置
224 表示装置
225 入力装置
220 情報系サブシステム
230 制御系サブシステム
231 マイコン
240 関門器
251 接続情報管理部
252 管理機能実施部
253 サービス機能実施部
254 機能実施管理部
255 異常判定部
256 ログ送信部
261 ログDB
262 検知DB
B バス

Claims (8)

  1. ネットワークに接続された複数の機器のそれぞれから送信されるログデータを前記ネットワークを介して受信する受信部と、
    前記機器ごとに、当該機器から送信されたログデータに基づいて、当該機器において発生している事象が複数の種別のいずれであるかを判定する判定部と、
    前記判定部による判定結果が同じ種別である複数の事象に係る複数の機器のそれぞれのログデータの比較に基づいて、当該複数の機器に跨る事象の発生を検知する検知部と、
    を有することを特徴とする分析装置。
  2. 前記判定部は、前記機器において異常が検知された際のログデータに基づいて、当該機器において発生している事象が複数の種別のいずれであるかを判定する、
    ことを特徴とする請求項1記載の分析装置。
  3. 前記判定部は、前記機器において発生している事象が前記異常の誤検知であるかを判定する、
    ことを特徴とする請求項2記載の分析装置。
  4. 前記判定部は、前記機器において発生している前記機器の事象が故障であるかを判定する、
    ことを特徴とする請求項1乃至3いずれか一項記載の分析装置。
  5. 前記判定部は、前記機器において発生している事象がサイバー攻撃であるかを判定する、
    ことを特徴とする請求項1乃至4いずれか一項記載の分析装置。
  6. 複数の機器と、前記複数の機器にネットワークを介して接続される分析装置とを含む分析システムであって、
    前記分析装置は、
    前記複数の機器のそれぞれから送信されるログデータを前記ネットワークを介して受信する受信部と、
    前記機器ごとに、当該機器から送信されたログデータに基づいて、当該機器において発生している事象が複数の種別のいずれであるかを判定する判定部と、
    前記判定部による判定結果が同じ種別である複数の事象に係る複数の機器のそれぞれのログデータの比較に基づいて、当該複数の機器に跨る事象の発生を検知する検知部と、
    を有し、
    前記機器は、
    当該機器において発生する外部通信に関するログデータ及び制御系通信に関するログデータを一括で管理する接続情報管理部と、
    当該機器内のアプリケーション及びOSの動作に関するログデータを一括で管理する機能実施管理部と、
    当該機器において発生している事象の種別の判定を行わずに、前記ログデータに基づいて前記複数の種別を含む異常を検知する異常判定部と、
    前記ログデータを前記分析装置へ送信するログ送信部と、
    を有する、
    ことを特徴とする分析システム。
  7. ネットワークに接続された複数の機器のそれぞれから送信されるログデータを前記ネットワークを介して受信する受信手順と、
    前記機器ごとに、当該機器から送信されたログデータに基づいて、当該機器において発生している事象が複数の種別のいずれであるかを判定する判定手順と、
    前記判定手順における判定結果が同じ種別である複数の事象に係る複数の機器のそれぞれのログデータの比較に基づいて、当該複数の機器に跨る事象の発生を検知する検知手順と、
    をコンピュータが実行することを特徴とする分析方法。
  8. 請求項1乃至5いずれか一項記載の各部としてコンピュータを機能させることを特徴とするプログラム。
JP2020551220A 2018-10-11 2019-10-10 分析装置、分析システム、分析方法及びプログラム Active JP7056752B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018192412 2018-10-11
JP2018192412 2018-10-11
PCT/JP2019/040009 WO2020075800A1 (ja) 2018-10-11 2019-10-10 分析装置、分析システム、分析方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2020075800A1 true JPWO2020075800A1 (ja) 2021-09-02
JP7056752B2 JP7056752B2 (ja) 2022-04-19

Family

ID=70164566

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020551220A Active JP7056752B2 (ja) 2018-10-11 2019-10-10 分析装置、分析システム、分析方法及びプログラム

Country Status (5)

Country Link
US (1) US20210306361A1 (ja)
EP (1) EP3805928A4 (ja)
JP (1) JP7056752B2 (ja)
CN (1) CN112740185A (ja)
WO (1) WO2020075800A1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7241281B2 (ja) * 2019-12-05 2023-03-17 パナソニックIpマネジメント株式会社 情報処理装置、制御方法及びプログラム
US20210406112A1 (en) * 2020-06-29 2021-12-30 International Business Machines Corporation Anomaly classification in information technology environments
US11762442B1 (en) * 2020-07-31 2023-09-19 Splunk Inc. Real-time machine learning at an edge of a distributed network
US11797538B2 (en) 2020-12-03 2023-10-24 International Business Machines Corporation Message correlation extraction for mainframe operation
US11403326B2 (en) 2020-12-03 2022-08-02 International Business Machines Corporation Message-based event grouping for a computing operation
US11474892B2 (en) 2020-12-03 2022-10-18 International Business Machines Corporation Graph-based log sequence anomaly detection and problem diagnosis
US11513930B2 (en) * 2020-12-03 2022-11-29 International Business Machines Corporation Log-based status modeling and problem diagnosis for distributed applications
US11599404B2 (en) 2020-12-03 2023-03-07 International Business Machines Corporation Correlation-based multi-source problem diagnosis
WO2024018684A1 (ja) * 2022-07-19 2024-01-25 日立Astemo株式会社 状態判定装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11240429A (ja) * 1998-02-24 1999-09-07 Toshiba Corp データ分析通信装置、データ分析通信方法及びデータ分析通信プログラムを記録した媒体
JP2018032254A (ja) * 2016-08-25 2018-03-01 クラリオン株式会社 車載装置、ログ収集システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8296850B2 (en) * 2008-05-28 2012-10-23 Empire Technology Development Llc Detecting global anomalies
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
EP2975801B1 (de) * 2014-07-18 2016-06-29 Deutsche Telekom AG Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
US10951637B2 (en) * 2014-08-28 2021-03-16 Suse Llc Distributed detection of malicious cloud actors
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP6925715B2 (ja) 2017-05-16 2021-08-25 株式会社ディスコ 加工装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11240429A (ja) * 1998-02-24 1999-09-07 Toshiba Corp データ分析通信装置、データ分析通信方法及びデータ分析通信プログラムを記録した媒体
JP2018032254A (ja) * 2016-08-25 2018-03-01 クラリオン株式会社 車載装置、ログ収集システム

Also Published As

Publication number Publication date
EP3805928A4 (en) 2022-03-16
EP3805928A1 (en) 2021-04-14
JP7056752B2 (ja) 2022-04-19
US20210306361A1 (en) 2021-09-30
CN112740185A (zh) 2021-04-30
WO2020075800A1 (ja) 2020-04-16

Similar Documents

Publication Publication Date Title
JP7056752B2 (ja) 分析装置、分析システム、分析方法及びプログラム
EP4106298B1 (en) Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method
EP3744583B1 (en) Data analysis device and program
US11528325B2 (en) Prioritizing data using rules for transmission over network
JP2018144800A (ja) 連携クラウド・エッジ車両異常検出
JP7103427B2 (ja) 情報処理装置、データ分析方法及びプログラム
EP3744582B1 (en) Data analysis device and program
US11863574B2 (en) Information processing apparatus, anomaly analysis method and program
US10666671B2 (en) Data security inspection mechanism for serial networks
WO2020075808A1 (ja) 情報処理装置、ログ分析方法及びプログラム
WO2020065776A1 (ja) 情報処理装置、制御方法、及びプログラム
JP7230147B1 (ja) 車両セキュリティ分析装置、方法およびそのプログラム
WO2023223515A1 (ja) 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
JP2022055558A (ja) 情報送信装置、サーバ、及び、情報送信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220321

R150 Certificate of patent or registration of utility model

Ref document number: 7056752

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150