JPWO2020170345A1 - 履歴出力装置、制御方法、及びプログラム - Google Patents
履歴出力装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JPWO2020170345A1 JPWO2020170345A1 JP2021501189A JP2021501189A JPWO2020170345A1 JP WO2020170345 A1 JPWO2020170345 A1 JP WO2020170345A1 JP 2021501189 A JP2021501189 A JP 2021501189A JP 2021501189 A JP2021501189 A JP 2021501189A JP WO2020170345 A1 JPWO2020170345 A1 JP WO2020170345A1
- Authority
- JP
- Japan
- Prior art keywords
- abnormal event
- terminal
- output
- history
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
出力部は、或る端末が出力対象端末として特定されたら、その特定より前にその端末で生じた異常イベントに関する出力情報をさらに出力する。
出力ステップにおいて、或る端末が出力対象端末として特定されたら、その特定より前にその端末で生じた異常イベントに関する出力情報をさらに出力する。
図1は、本実施形態の履歴出力装置2000の動作の概要を例示する図である。図1は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。
システムにおける重大な異常の見逃しを防ぐためには、重大な異常を表す蓋然性が高いイベントだけでなく、重大な異常を表す蓋然性がある程度低いイベントについても、異常イベントとして検出しておく必要がある。一方で、このように重大な異常を表す蓋然性がある程度低い異常イベントに関する情報についても無条件に出力(例えば、管理者等へ出力)してしまうと、異常イベントに関する情報が大量に出力されることになってしまい、情報の扱いが難しくなってしまう。その結果、重大な異常の見逃しが発生しやすい、異常イベントを解析する解析者の作業負担が大きい、解析作業に要する時間が長いといった問題が生じうる。
図2は、実施形態1の履歴出力装置2000の構成を例示する図である。履歴出力装置2000は、取得部2020、種類判定部2040、端末特定部2060、及び出力部2080を有する。取得部2020は異常イベント履歴10を取得する。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が所定の種類(第1種)であるか否かを判定する。端末特定部2060は、特定した異常イベントの種類が所定の種類である場合に、その異常イベントが発生した端末110、及びその異常イベントが発生した時点以前にその端末110と通信していた他の端末110を、出力対象端末として特定する。出力部2080は、取得した異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合に、その異常イベントに関する出力情報を出力する。
履歴出力装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、履歴出力装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図4は、実施形態1の履歴出力装置2000の利用環境を例示する図である。図4において、対象システム100には、複数の端末110が含まれている。端末110では、種々のコマンド等が実行される。端末110では、コマンド等の実行によって発生したプロセスの動作を表すイベントの履歴が記録される。この履歴を、イベント履歴20と呼ぶ。イベント履歴20は、異常検知装置120に収集される。イベント履歴20の収集は、例えば、端末110がイベント履歴20を定期的に又はリアルタイムで異常検知装置120へ送信することで実現される。
図5は、実施形態1の履歴出力装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は異常イベント履歴10を取得する(S102)。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S104)。異常イベントの種類が第1種でない場合(S104:NO)、図5の処理はS110に進む。異常イベントの種類が第1種である場合(S104:YES)、端末特定部2060は、その異常イベントが発生した端末110と、その異常イベントが発生した時刻以前にその端末110と通信していた他の端末110を、出力対象端末として特定する(S106)。
イベント履歴20は、過去の或る時点において対象システム100で(対象システム100に含まれる端末110で)発生したイベントに関する情報である。例えばイベント履歴20は、イベントが発生した端末110の識別情報、イベントの発生時刻、及びイベントの内容を対応づけて示す。
異常イベント履歴10は、異常イベントを表すイベント履歴20である。異常イベント履歴10には、イベント履歴20の内容に加え、異常の内容(どのような異常が発生したのか)を示す情報が含まれてもよい。
取得部2020は異常イベント履歴10を取得する(S102)。取得部2020が異常イベント履歴10を取得する方法は様々である。例えば取得部2020は、異常検知装置120によって送信された異常イベント履歴10を受信することで、異常イベント履歴10を取得する。その他にも例えば、取得部2020は、異常イベント履歴10が記憶されている記憶装置にアクセスすることで、異常イベント履歴10を取得する。なお、取得部2020が異常イベント履歴10を取得するより具体的な方法については、図4を用いて前述した通りである。
例えば第1種の異常イベントは、重要な異常を表す蓋然性が高い異常イベントである。重要な異常を表す蓋然性が高い異常イベントの例としては、例えば、安全性が担保されていないコマンド等の実行によって生じる異常イベントがある。ここで、コマンド等について、安全性が担保されているものとそうでないものを区別する基準には、様々なものを採用できる。まず、プログラムについて説明する。例えば、対象システム100の管理者によって安全であると判断されたプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、OS をインストールした際に一緒にインストールされるプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、所定の認証を受けているプログラムを、安全性が担保されているプログラムとして扱う。所定の認証を受けているプログラムは、例えば、所定の認証機関による認証を受けたことを証明する電子署名が付与されたプログラムである。
種類判定部2040は、異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S104)。例えば種類判定部2040は、異常イベントが第1種に分類される条件を示す情報(以下、種類特定情報)を利用する。種類特定情報は、種類判定部2040からアクセス可能な記憶装置に予め記憶させておく。
端末特定部2060は、出力対象端末を特定する(S106)。具体的には、異常イベント履歴10によって表される異常イベントの種類が第1種であった場合に、その異常イベントが発生した端末110と、その異常イベントが発生した時刻以前にその端末と通信していた端末110が、出力対象端末として特定される。以下、記載を明瞭にするため、前者を第1端末と呼び、後者を第2端末と呼ぶ。
出力部2080は、取得部2020によって取得された異常イベント履歴10によって表される異常イベントが、出力対象端末で発生したものであるか否かを判定する(S110)。具体的には、出力部2080は、異常イベント履歴10に示される端末110の識別情報が、いずれかの出力対象端末の識別情報と合致するか否かを判定する。異常イベント履歴10に示される端末110の識別情報がいずれかの出力対象端末の識別情報と合致する場合、出力部2080は、異常イベントが出力対象端末で発生したものであると判定する(S110:YES)。一方、異常イベント履歴10に示される端末110の識別情報がいずれの出力対象端末の識別情報とも合致しない場合、出力部2080は、異常イベントが出力対象端末で発生したものでないと判定する(S110:NO)。
出力部2080は、取得部2020によって取得された異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合(S110:YES)、その異常イベントに関する出力情報を出力する(S108)。出力情報は、取得した異常イベント履歴10そのものであってもよいし、異常イベント履歴10の内容に基づいて生成される情報であってもよい。例えば出力情報は、異常イベントの発生時刻、異常イベントが発生した端末110の識別情報、異常イベントを発生させたコマンド等の識別情報、及び異常の内容(どのような異常が発生したか)を含む。
履歴出力装置2000は、別途の方法で出力対象端末をさらに増やしてもよい。例えば履歴出力装置2000は、いずれかの出力対象端末と通信した端末110を、さらに出力対象端末として扱ってもよい。こうすることで、特定の異常(例えば、セキュリティ上の危険)が通信を介して伝播していく場合に、その異常の伝播を見逃さないようにすることができる。
図8は、実施形態2の履歴出力装置2000の概要を例示する図である。図8は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。以下で特に説明する点を除き、実施形態2の履歴出力装置2000は、実施形態1の履歴出力装置2000と同様の機能を有する。
前述した様に、重大な異常を表す蓋然性が高いイベントだけでなく、重大な異常を表す蓋然性がある程度低いイベントについても異常イベントとして検出しておく必要がある一方で、異常イベントについて出力される情報をある程度絞り込むことが好適である。この点、本実施形態の履歴出力装置2000によれば、端末110で発生した異常イベントに関する情報のうち、第1種に属さない異常イベントについての情報は、第1種の異常イベントが検出されるまで出力されない。ただし、第1種の異常イベントが端末110で発生したら、その発生前まで遡って、異常イベントに関する情報が出力される。よって、重大な異常を表す蓋然性がある程度低い異常イベントに関する情報は、無条件に出力されるわけでなく、重大な異常を表す蓋然性が高い異常イベントの発生に付随して出力されるようになる。
実施形態2の履歴出力装置2000の機能構成は、実施形態1の履歴出力装置2000の構成と同様に、図2で表される。ただし、実施形態2の端末特定部2060は、種類判定部2040によって特定された異常イベントの種類が第1種である場合に、その異常イベントが発生した端末110を出力対象端末として特定する。また、出力部2080は、その特定以降に出力対象端末で発生する異常イベントに関する出力情報を出力することに加え、その特定よりも前に出力対象端末で生じた異常イベントに関する出力情報も出力する。
実施形態2の履歴出力装置2000のハードウエア構成は、例えば、実施形態1の履歴出力装置2000のハードウエア構成と同様に、図3で表される。ただし、実施形態2の履歴出力装置2000のストレージデバイス1080には、実施形態2の履歴出力装置2000の機能を実現するプログラムモジュールが記憶される。
図9は、実施形態2の履歴出力装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は異常イベント履歴10を取得する(S202)。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S204)。異常イベントの種類が第1種でない場合(S204:NO)、図9の処理はS210に進む。異常イベントの種類が第1種である場合(S204:YES)、端末特定部2060は、その異常イベントが発生した端末110を出力対象端末として特定する(S206)。出力部2080は、出力対象端末として特定された端末110について、その特定よりも前にその端末110で生じた異常イベントに関する出力情報を出力する(S207)。
出力部2080は、出力対象端末として特定された端末110について、その特定よりも前にその端末110で生じた異常イベントに関する出力情報を出力する(S207)。ここで、出力部2080は、上記特定よりも前の全ての期間で発生した異常イベントを出力対象としてもよいし、上記特定よりも前の所定期間内に発生した異常イベントのみを出力対象としてもよい。後者の場合、出力部2080は、出力対象端末として特定された端末110で発生した異常イベントに関する異常イベント履歴10の中から、発生時刻がその特定よりも前の所定期間(その特定時刻を終点とする所定の長さの期間)内に含まれるものを特定する。そして、出力部2080は、特定した異常イベント履歴10について、出力情報を出力する。
上記所定期間の中で異常イベントが発生していたら、その所定期間を過去に向かってさらに長くしてもよい(所定期間を延長してもよい)。図11は、所定期間を延長するケースを例示する図である。図11では、端末Aにおいて、時刻 t3 で第1種の異常イベントCが発生している。そのため、出力部2080は、時刻 t3 よりも過去に遡って、端末Aで発生した異常イベントに関する出力情報の出力を行う。この例では、所定期間 P1(t2 から t3)に発生した異常イベントを出力対象とする。ここで、期間 P1 において、端末Aで異常イベントBが発生している。そのため、異常イベントBに関する出力情報が出力される。
1. 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する、履歴出力装置。
2. 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、1.に記載の履歴出力装置。
3. 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、1.又は2.に記載の履歴出力装置。
4. 前記端末特定部は、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、1.乃至3.いずれか一つに記載の履歴出力装置。
5. 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、1.乃至4.いずれか一つに記載の履歴出力装置。
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有し、
前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、履歴出力装置。
7. 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、6.に記載の履歴出力装置。
8. 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、7.に記載の履歴出力装置。
9. 前記出力部は、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、7.又は8.に記載の履歴出力装置。
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する、制御方法。
11. 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、10.に記載の制御方法。
12. 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、10.又は11.に記載の制御方法。
13. 前記端末特定ステップにおいて、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、10.乃至12.いずれか一つに記載の制御方法。
14. 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、10.乃至13.いずれか一つに記載の制御方法。
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有し、
前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、制御方法。
16. 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、15.に記載の制御方法。
17. 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、16.に記載の制御方法。
18. 前記出力ステップにおいて、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、16.又は17.に記載の制御方法。
例えば第1種の異常イベントは、重大な異常を表す蓋然性が高い異常イベントである。重大な異常を表す蓋然性が高い異常イベントの例としては、例えば、安全性が担保されていないコマンド等の実行によって生じる異常イベントがある。ここで、コマンド等について、安全性が担保されているものとそうでないものを区別する基準には、様々なものを採用できる。まず、プログラムについて説明する。例えば、対象システム100の管理者によって安全であると判断されたプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、OS をインストールした際に一緒にインストールされるプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、所定の認証を受けているプログラムを、安全性が担保されているプログラムとして扱う。所定の認証を受けているプログラムは、例えば、所定の認証機関による認証を受けたことを証明する電子署名が付与されたプログラムである。
図8は、実施形態2の履歴出力装置2000の動作の概要を例示する図である。図8は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。以下で特に説明する点を除き、実施形態2の履歴出力装置2000は、実施形態1の履歴出力装置2000と同様の機能を有する。
Claims (19)
- 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する、履歴出力装置。 - 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、請求項1に記載の履歴出力装置。
- 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、請求項1又は2に記載の履歴出力装置。 - 前記端末特定部は、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、請求項1乃至3いずれか一項に記載の履歴出力装置。
- 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項1乃至4いずれか一項に記載の履歴出力装置。
- 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有し、
前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、履歴出力装置。 - 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、請求項6に記載の履歴出力装置。
- 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、請求項7に記載の履歴出力装置。
- 前記出力部は、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項7又は8に記載の履歴出力装置。
- コンピュータによって実行される制御方法であって、
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する、制御方法。 - 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、請求項10に記載の制御方法。
- 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、請求項10又は11に記載の制御方法。 - 前記端末特定ステップにおいて、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、請求項10乃至12いずれか一項に記載の制御方法。
- 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項10乃至13いずれか一項に記載の制御方法。
- コンピュータによって実行される制御方法であって、
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有し、
前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、制御方法。 - 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、請求項15に記載の制御方法。
- 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、請求項16に記載の制御方法。
- 前記出力ステップにおいて、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項16又は17に記載の制御方法。
- 請求項10乃至18いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/006226 WO2020170345A1 (ja) | 2019-02-20 | 2019-02-20 | 履歴出力装置、制御方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020170345A1 true JPWO2020170345A1 (ja) | 2021-12-02 |
JP7211482B2 JP7211482B2 (ja) | 2023-01-24 |
Family
ID=72144099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021501189A Active JP7211482B2 (ja) | 2019-02-20 | 2019-02-20 | 履歴出力装置、制御方法、及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220012345A1 (ja) |
JP (1) | JP7211482B2 (ja) |
WO (1) | WO2020170345A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008152541A (ja) * | 2006-12-18 | 2008-07-03 | Ricoh Printing Systems Ltd | 印刷装置及びログデータ管理方法 |
JP2011034507A (ja) * | 2009-08-05 | 2011-02-17 | Fujitsu Ltd | 動作履歴収集装置、動作履歴収集方法およびプログラム |
JP2013191070A (ja) * | 2012-03-14 | 2013-09-26 | Nomura Research Institute Ltd | 監視装置 |
JP2018160170A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4705961B2 (ja) * | 2008-01-25 | 2011-06-22 | Sky株式会社 | ウィルス被害範囲予測システム |
US9418222B1 (en) * | 2013-09-27 | 2016-08-16 | Symantec Corporation | Techniques for detecting advanced security threats |
US9571519B2 (en) * | 2014-09-29 | 2017-02-14 | Juniper Networks, Inc. | Targeted attack discovery |
-
2019
- 2019-02-20 WO PCT/JP2019/006226 patent/WO2020170345A1/ja active Application Filing
- 2019-02-20 US US17/431,508 patent/US20220012345A1/en active Pending
- 2019-02-20 JP JP2021501189A patent/JP7211482B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008152541A (ja) * | 2006-12-18 | 2008-07-03 | Ricoh Printing Systems Ltd | 印刷装置及びログデータ管理方法 |
JP2011034507A (ja) * | 2009-08-05 | 2011-02-17 | Fujitsu Ltd | 動作履歴収集装置、動作履歴収集方法およびプログラム |
JP2013191070A (ja) * | 2012-03-14 | 2013-09-26 | Nomura Research Institute Ltd | 監視装置 |
JP2018160170A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 |
Also Published As
Publication number | Publication date |
---|---|
US20220012345A1 (en) | 2022-01-13 |
WO2020170345A1 (ja) | 2020-08-27 |
JP7211482B2 (ja) | 2023-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
EP2860657B1 (en) | Determining a security status of potentially malicious files | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
US10073980B1 (en) | System for assuring security of sensitive data on a host | |
CN108337266B (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
KR102098064B1 (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
CN107666464B (zh) | 一种信息处理方法及服务器 | |
JP2012103870A (ja) | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム | |
CN111506497A (zh) | 业务逻辑调试方法、装置、设备及计算机可读存储介质 | |
JP6322240B2 (ja) | フィッシング・スクリプトを検出するためのシステム及び方法 | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
JP7211482B2 (ja) | 履歴出力装置、制御方法、及びプログラム | |
CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
JP2020004127A (ja) | コンピュータ資産管理システムおよびコンピュータ資産管理方法 | |
JP5386015B1 (ja) | バグ検出装置およびバグ検出方法 | |
KR102535251B1 (ko) | 전자 장치의 사이버 보안 리포트 생성 방법 | |
WO2022137883A1 (ja) | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 | |
CN114697057B (zh) | 获取编排剧本信息的方法、装置及存储介质 | |
CN116432240B (zh) | 内网终端敏感数据的检测方法、装置、服务器及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210730 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220826 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221213 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221226 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7211482 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |