JPWO2020170345A1 - 履歴出力装置、制御方法、及びプログラム - Google Patents
履歴出力装置、制御方法、及びプログラム Download PDFInfo
- Publication number
- JPWO2020170345A1 JPWO2020170345A1 JP2021501189A JP2021501189A JPWO2020170345A1 JP WO2020170345 A1 JPWO2020170345 A1 JP WO2020170345A1 JP 2021501189 A JP2021501189 A JP 2021501189A JP 2021501189 A JP2021501189 A JP 2021501189A JP WO2020170345 A1 JPWO2020170345 A1 JP WO2020170345A1
- Authority
- JP
- Japan
- Prior art keywords
- abnormal event
- terminal
- output
- history
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
履歴出力装置(2000)は、対象システム(100)において発生した異常イベントを表す情報である異常イベント履歴(10)を取得し、その異常イベント履歴(10)によって表される異常イベントの種類を特定する。特定した異常イベントの種類が第1種である場合、履歴出力装置(2000)は、その異常イベントが発生した端末(110)を、出力対象端末として特定する。さらに、履歴出力装置(2000)は、その異常イベントが発生した時点以前に、その異常イベントが発生した端末(110)と通信を行っていた他の端末(110)も、出力対象端末として特定する。履歴出力装置(2000)は、取得した異常イベント履歴(10)によって表される異常イベントが出力対象端末で発生したものである場合に、その異常イベントに関する情報を出力する。
Description
本発明はシステムで発生した異常に関する情報を管理する技術に関する。
システムで発生した異常なイベントに関する情報を出力するための技術が開発されている。例えば特許文献1は、システムで実行されたコマンドのうち、システムの状態に影響を及ぼすものを記録しておき、システムにおいて異常が検知されたら、その異常の発生前所定時間内に実行されたコマンドを出力する技術を開示している。
システムで発生した異常に関して出力される情報の量が多すぎると、その情報の解析作業が煩雑になる。その結果、重要な異常を見逃しやすくなるといった問題が生じる。この点、特許文献1の技術では、異常なイベントが検知されると、その異常が軽微なものなのか重大なものなのかにかかわらず、過去のコマンドのログが出力される。そのため、出力される情報(コマンドのログ)が多くなると考えられる。
本発明は、上述の課題に鑑みてなされたものであり、その目的の一つは、異常なイベントに関する情報の扱いを容易にする技術を提供することである。
本発明の第1の履歴出力装置は、1)端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、2)取得した異常イベント履歴が表す異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、3)異常イベントの種類が所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定部と、4)取得した異常イベント履歴によって表される異常イベントが出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する。
本発明の第2の履歴出力装置は、1)端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、2)取得した異常イベント履歴が表す異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、3)異常イベントの種類が所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定部と、4)取得した異常イベント履歴によって表される異常イベントが出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する。
出力部は、或る端末が出力対象端末として特定されたら、その特定より前にその端末で生じた異常イベントに関する出力情報をさらに出力する。
出力部は、或る端末が出力対象端末として特定されたら、その特定より前にその端末で生じた異常イベントに関する出力情報をさらに出力する。
本発明の第1の制御方法は、コンピュータによって実行される。当該制御方法は、1)端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、2)取得した異常イベント履歴が表す異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、3)異常イベントの種類が所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定ステップと、4)取得した異常イベント履歴によって表される異常イベントが出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する。
本発明の第2の制御方法は、コンピュータによって実行される。当該制御方法は、1)端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、2)取得した異常イベント履歴が表す異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、3)異常イベントの種類が所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定ステップと、4)取得した異常イベント履歴によって表される異常イベントが出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する。
出力ステップにおいて、或る端末が出力対象端末として特定されたら、その特定より前にその端末で生じた異常イベントに関する出力情報をさらに出力する。
出力ステップにおいて、或る端末が出力対象端末として特定されたら、その特定より前にその端末で生じた異常イベントに関する出力情報をさらに出力する。
本発明の第1プログラムは、本発明の第1の制御方法が有する各ステップをコンピュータに実行させる。
本発明の第2プログラムは、本発明の第2の制御方法が有する各ステップをコンピュータに実行させる。
本発明によれば、異常なイベントに関する情報の扱いを容易にする技術が提供される。
上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
本実施形態の履歴出力装置の動作の概要を例示する図である。
実施形態1の履歴出力装置の構成を例示する図である。
履歴出力装置を実現するための計算機を例示する図である。
実施形態1の履歴出力装置の利用環境を例示する図である。
実施形態1の履歴出力装置によって実行される処理の流れを例示するフローチャートである。
イベント履歴をテーブル形式で例示する図である。
出力情報を例示する図である。
実施形態2の履歴出力装置の概要を例示する図である。
実施形態2の履歴出力装置によって実行される処理の流れを例示するフローチャートである。
コマンド等の種類に応じて出力対象の期間が異なるケースを例示する図である。
所定期間を延長するケースを例示する図である。
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。また、特に説明する場合を除き、各ブロック図において、各ブロックは、ハードウエア単位の構成ではなく、機能単位の構成を表している。
<概要>
図1は、本実施形態の履歴出力装置2000の動作の概要を例示する図である。図1は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。
図1は、本実施形態の履歴出力装置2000の動作の概要を例示する図である。図1は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。
履歴出力装置2000は、対象のコンピュータシステム(対象システム100)において発生した異常イベントを表す情報である異常イベント履歴10を取得する。異常イベントとは、1)正常なプログラムならば発生させないイベントや、2)正常にプログラムを使用したならば発生しないイベントである。1)に当てはまる異常イベントとしては、例えば、或るプログラムが正常な状態であればアクセスしないファイルへアクセスしたことを表すイベントや、或るプログラムが正常な状態であれば通信しない通信相手と通信したことを表すイベントなどがある。例えばマルウエアに感染したプログラムは、そのプログラムが正常な状態であればアクセスしないファイルへアクセスしたりする。そのため、そのような動作を表すイベントが異常イベントとして検出される。
2)に当てはまる異常イベントは、例えば、プログラムの正しい使用方法が定められている場合において、プログラムの使用者がその使用方法に反してプログラムを使用した結果として発生するイベントである。例えば、ping コマンドの正しい使用方法として、「特定のマシン(例えばサーバマシン)に対して ping コマンドを送信して、そのマシンが動作していることを確かめる」という使用方法を定めておく。この場合に、マシンの管理者が誤って、特定のマシン以外のマシンを宛先として ping コマンドを使用したとする。これによって発生するイベント(特定のマシン以外のマシンとの通信を表すイベント)は、上述した ping コマンドの正しい使用方法に反しているため、異常なイベントとして扱われる。
対象システム100は、1つ以上の任意の端末110で構成される。端末110は、物理マシンであってもよいし、仮想マシンであってもよい。物理マシンは、PC(Personal Computer)などの据え置き型のマシンであってもよいし、スマートフォンなどの可搬型のマシンであってもよい。イベントは、例えば、対象システムに含まれるマシンで動作するプロセスが行った活動(ファイルや他のプロセスへのアクセスなど)を表す。
履歴出力装置2000は、対象システム100で発生した異常イベントの種類に基づいて、異常イベント履歴10の出力(例えばディスプレイ装置への表示)を制御する。ここで、異常イベントの種類には、少なくとも第1種という種類が存在するとする。また、異常イベントには、第1種に属するものと属さないものが存在するとする。第1種の異常イベントは、例えば、重大な異常を表す蓋然性が高い異常イベントである。より具体的には、例えば第1種の異常イベントは、安全性が担保されていないコマンドやプログラムの実行によって生じたイベントである。以下、「コマンドやプログラム」のことを「コマンド等」とも表記する。
履歴出力装置2000は、異常イベント履歴10を取得したら、その異常イベント履歴10によって表される異常イベントの種類を特定する。特定した異常イベントの種類が第1種である場合、履歴出力装置2000は、その異常イベントが発生した端末110を、出力対象端末として特定する。さらに、履歴出力装置2000は、その異常イベントが発生した時点以前に、その異常イベントが発生した端末110と通信を行っていた他の端末110も、出力対象端末として特定する。履歴出力装置2000は、取得した異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合に、その異常イベントに関する情報(以下、出力情報)を出力する。
<作用効果>
システムにおける重大な異常の見逃しを防ぐためには、重大な異常を表す蓋然性が高いイベントだけでなく、重大な異常を表す蓋然性がある程度低いイベントについても、異常イベントとして検出しておく必要がある。一方で、このように重大な異常を表す蓋然性がある程度低い異常イベントに関する情報についても無条件に出力(例えば、管理者等へ出力)してしまうと、異常イベントに関する情報が大量に出力されることになってしまい、情報の扱いが難しくなってしまう。その結果、重大な異常の見逃しが発生しやすい、異常イベントを解析する解析者の作業負担が大きい、解析作業に要する時間が長いといった問題が生じうる。
システムにおける重大な異常の見逃しを防ぐためには、重大な異常を表す蓋然性が高いイベントだけでなく、重大な異常を表す蓋然性がある程度低いイベントについても、異常イベントとして検出しておく必要がある。一方で、このように重大な異常を表す蓋然性がある程度低い異常イベントに関する情報についても無条件に出力(例えば、管理者等へ出力)してしまうと、異常イベントに関する情報が大量に出力されることになってしまい、情報の扱いが難しくなってしまう。その結果、重大な異常の見逃しが発生しやすい、異常イベントを解析する解析者の作業負担が大きい、解析作業に要する時間が長いといった問題が生じうる。
このような問題の発生を防ぐためには、出力される情報をある程度絞り込むことが好適である。この点、履歴出力装置2000によれば、端末110で発生した異常イベントに関する情報のうち、第1種に属さない異常イベントについての情報は、第1種の異常イベントが検出されるまで出力されない。そのため、例えば、重大な異常を表す蓋然性が高い異常イベントを第1種のイベントとして扱うことにより、重大な異常を表す蓋然性がある程度低い異常イベントに関する情報は、重大な異常を表す蓋然性が高い異常イベントが発生するまで出力されない。一方で、重大な異常を表す蓋然性が高い異常イベントが発生した後は、重大な異常を表す蓋然性がある程度低い異常イベントについての情報も出力されるようになる。このように、重大な異常を表す蓋然性がある程度低い異常イベントに関する情報は、無条件に出力されるわけでなく、重大な異常を表す蓋然性が高い異常イベントの発生に付随して出力されるようになる。
この手法によれば、異常イベントに関する情報が無条件に出力される場合と比較し、出力される情報が適切に絞り込まれるため、異常イベントに関する情報の扱いが容易になる。そのため、重大な異常の見逃しが発生しにくくなる(すなわち、解析精度の向上)、異常イベントを解析する解析者の作業負担が軽減される、及び解析作業に要する時間が削減されるといった効果が生じる。
例えば安全性が担保されていないコマンド等の実行によって生じる異常イベントを第1種の異常イベントとして扱うとする。この場合、安全性が担保されている異常イベントに関する情報は、安全性が担保されていない異常イベントの発生に付随して出力されるようになる。こうすることで、安全性が担保されている異常イベントについての情報が適切に絞り込まれて出力されるため、異常イベントに関する情報の扱いが容易になる。
本発明が特に効果的なケースの例として、OS(Operating System)の標準コマンドを使用したサイバー攻撃の解析が挙げられる。ここでいう、OS の標準コマンドとは、OS をインストールした際に一緒にインストールされる所定のプログラム(例えばシェルプログラム)によって提供されるコマンドである。例えば、端末110にインストールされたマルウエアが、端末110上で動作している OS が提供している標準コマンドを利用して種々の活動(探索活動や感染拡大など)を行うとする。このようなサイバー攻撃を解析するためには、標準コマンドの実行によって生じた異常イベントに関する情報も出力する必要がある。
一方で、標準コマンドの実行によって生じた異常イベントの全てがサイバー攻撃を表すわけでない。例えば、ユーザが誤った使用方法で標準コマンドを実行してしまうケースなどが考えられる。そのため、標準コマンドの実行によって生じた異常イベントに関する情報を全て出力してしまうと、上述のサイバー攻撃に関する情報の解析が難しくなるという問題が生じる。
そこで例えば、履歴出力装置2000において、サイバー攻撃を表す蓋然性が高い異常イベントを、第1種の異常イベントとして扱うようにする。例えば、「文書作成ソフトウエアがパスワードファイルを読み出す」などといったイベントを、第1種の異常イベントとして扱う。一方で、標準コマンドの実行によって生じた異常イベントについては、サイバー攻撃を表す蓋然性がある程度低いと考えられるため、第1種の異常イベントとしては扱わないようにする。こうすることで、標準コマンドの実行によって生じた異常イベントについては、サイバー攻撃を表す蓋然性が高い異常イベントに付随するもののみが出力されるようになる。よって、サイバー攻撃に関する異常イベントの情報が適切に絞り込まれて出力されるため、サイバー攻撃に関する情報の扱いが容易になる。そのため、サイバー攻撃に関する解析の精度が向上する、サイバー攻撃の解析を行う解析者の作業負担が軽減される、及びサイバー攻撃の解析作業に要する時間が削減されるといった効果が生じる。
以下、本実施形態の履歴出力装置2000についてさらに詳細に説明する。
<履歴出力装置2000の機能構成の例>
図2は、実施形態1の履歴出力装置2000の構成を例示する図である。履歴出力装置2000は、取得部2020、種類判定部2040、端末特定部2060、及び出力部2080を有する。取得部2020は異常イベント履歴10を取得する。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が所定の種類(第1種)であるか否かを判定する。端末特定部2060は、特定した異常イベントの種類が所定の種類である場合に、その異常イベントが発生した端末110、及びその異常イベントが発生した時点以前にその端末110と通信していた他の端末110を、出力対象端末として特定する。出力部2080は、取得した異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合に、その異常イベントに関する出力情報を出力する。
図2は、実施形態1の履歴出力装置2000の構成を例示する図である。履歴出力装置2000は、取得部2020、種類判定部2040、端末特定部2060、及び出力部2080を有する。取得部2020は異常イベント履歴10を取得する。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が所定の種類(第1種)であるか否かを判定する。端末特定部2060は、特定した異常イベントの種類が所定の種類である場合に、その異常イベントが発生した端末110、及びその異常イベントが発生した時点以前にその端末110と通信していた他の端末110を、出力対象端末として特定する。出力部2080は、取得した異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合に、その異常イベントに関する出力情報を出力する。
<履歴出力装置2000のハードウエア構成>
履歴出力装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、履歴出力装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
履歴出力装置2000の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、履歴出力装置2000の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図3は、履歴出力装置2000を実現するための計算機1000を例示する図である。計算機1000は任意の計算機である。例えば計算機1000は、Personal Computer(PC)、サーバマシン、タブレット端末、又はスマートフォンなどである。計算機1000は、履歴出力装置2000を実現するために設計された専用の計算機であってもよいし、汎用の計算機であってもよい。
計算機1000は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、入出力インタフェース1100、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、又は FPGA(Field-Programmable Gate Array)などのプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスクドライブ、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。ただし、ストレージデバイス1080は、RAM など、主記憶装置を構成するハードウエアと同様のハードウエアで構成されてもよい。
入出力インタフェース1100は、計算機1000と入出力デバイスとを接続するためのインタフェースである。ネットワークインタフェース1120は、計算機1000を通信網に接続するためのインタフェースである。この通信網は、例えば LAN(Local Area Network)や WAN(Wide Area Network)である。ネットワークインタフェース1120が通信網に接続する方法は、無線接続であってもよいし、有線接続であってもよい。
ストレージデバイス1080は、履歴出力装置2000の機能構成部を実現するプログラムモジュールを記憶している。プロセッサ1040は、これら各プログラムモジュールをメモリ1060に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。
<利用環境の例>
図4は、実施形態1の履歴出力装置2000の利用環境を例示する図である。図4において、対象システム100には、複数の端末110が含まれている。端末110では、種々のコマンド等が実行される。端末110では、コマンド等の実行によって発生したプロセスの動作を表すイベントの履歴が記録される。この履歴を、イベント履歴20と呼ぶ。イベント履歴20は、異常検知装置120に収集される。イベント履歴20の収集は、例えば、端末110がイベント履歴20を定期的に又はリアルタイムで異常検知装置120へ送信することで実現される。
図4は、実施形態1の履歴出力装置2000の利用環境を例示する図である。図4において、対象システム100には、複数の端末110が含まれている。端末110では、種々のコマンド等が実行される。端末110では、コマンド等の実行によって発生したプロセスの動作を表すイベントの履歴が記録される。この履歴を、イベント履歴20と呼ぶ。イベント履歴20は、異常検知装置120に収集される。イベント履歴20の収集は、例えば、端末110がイベント履歴20を定期的に又はリアルタイムで異常検知装置120へ送信することで実現される。
異常検知装置120は、イベント履歴20によって表されるイベントが、異常イベントであるか否かを判定する。そして、イベント履歴20によって表されるイベントが異常イベントである場合、そのイベント履歴20は、異常イベント履歴10として扱われる。
例えば、対象システム100で(対象システム100に含まれる端末110で)発生する正常なイベントを定義したモデルを予め生成しておく。異常検知装置120は、各イベント履歴20に示されるイベントが上記モデルから逸脱しているか否かを判定する。異常検知装置120は、上記モデルから逸脱しているイベントを、異常イベントとして検知する。なお、正常なイベントのモデルを生成する技術や、正常なイベントのモデルから逸脱したイベントを異常イベントとして検出する技術には、既存の技術を利用することができる。
履歴出力装置2000は、異常イベント履歴10を取得して、取得した異常イベント履歴10を処理する。ここで、履歴出力装置2000がイベント履歴20のうち、異常イベント履歴10を取得する方法は様々である。例えば異常検知装置120は、イベント履歴20に対し、異常イベント履歴10であるか否かを示すフラグを付加して記憶装置に記憶させる。取得部2020は、この記憶装置に記憶されているイベント履歴20のうち、異常イベント履歴10であることを示すフラグに対応づけられているものを取得する。その他にも例えば、異常検知装置120が異常イベント履歴10を取得部2020へ出力(例えば送信)してもよい。取得部2020は、異常検知装置120によって出力された異常イベント履歴10を取得する。
異常検知装置120は、履歴出力装置2000と別途設けられてもよいし、履歴出力装置2000の中に設けられてもよい。後者の場合、履歴出力装置2000は、イベント履歴20を収集して、各イベント履歴20が異常イベントを表すか否かを判定する。そして、履歴出力装置2000は、異常イベントを表すイベント履歴20を、異常イベント履歴10として扱う。なお、図4では、異常検知装置120と履歴出力装置2000が別々に設けられている。
<処理の流れ>
図5は、実施形態1の履歴出力装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は異常イベント履歴10を取得する(S102)。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S104)。異常イベントの種類が第1種でない場合(S104:NO)、図5の処理はS110に進む。異常イベントの種類が第1種である場合(S104:YES)、端末特定部2060は、その異常イベントが発生した端末110と、その異常イベントが発生した時刻以前にその端末110と通信していた他の端末110を、出力対象端末として特定する(S106)。
図5は、実施形態1の履歴出力装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は異常イベント履歴10を取得する(S102)。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S104)。異常イベントの種類が第1種でない場合(S104:NO)、図5の処理はS110に進む。異常イベントの種類が第1種である場合(S104:YES)、端末特定部2060は、その異常イベントが発生した端末110と、その異常イベントが発生した時刻以前にその端末110と通信していた他の端末110を、出力対象端末として特定する(S106)。
出力部2080は、取得した異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合、その異常イベントについての出力情報を出力する(S108)。異常イベント履歴10によって示される異常イベントの種類が第1種である場合(S104:YES)、その異常イベントは必ず出力対象端末で発生したものであるため、出力部2080は、その異常イベントに関する出力情報を出力する(S108)。
一方、異常イベント履歴10によって示される異常イベントの種類が第1種でない場合(S104:NO)、出力部2080は、その異常イベントが出力対象端末で発生したものであるか否かを判定する(S110)。異常イベントが出力対象端末で発生したものである場合(S110:YES)、出力部2080は、その異常イベントについての出力情報を出力する(S108)。一方、異常イベントが出力対象端末で発生したものでない場合(S110:NO)、出力部2080は、その異常イベントについての出力情報を出力しない。
ここで、履歴出力装置2000は複数の異常イベント履歴10を取得し、異常イベントの発生時刻が早い異常イベント履歴10から順に、図5に示す一連の処理を行う。そのため、或る端末110が出力対象端末として特定された後は、その端末110で発生した異常イベントを表す各異常イベント履歴10が出力部2080によって出力されるようになる。
ただし、或る端末110が出力対象端末として扱われるようになった後、履歴出力装置2000は、所定の条件に基づいて、その端末110を出力対象端末として扱わないようにしてもよい。例えば、或る端末110が出力対象端末として特定された後、その端末110で第1種の異常イベントが所定時間以上発生しなかったら、その端末110を出力対象端末として扱わないようにする。
その他にも例えば、履歴出力装置2000は、出力対象端末として扱われている端末110の中から、出力対象端末として扱わないようにする端末110を選択する入力操作を、ユーザから受け付けてもよい。例えば対象システム100の管理者が、或る端末110について出力された異常イベント履歴10を閲覧・解析した結果、その端末110については問題がない(異常イベント履歴10を出力しなくてもよい)と判断したとする。この場合、その管理者は問題がないと判断した端末110を出力対象端末から除外する入力操作を行う。
<イベント履歴20について>
イベント履歴20は、過去の或る時点において対象システム100で(対象システム100に含まれる端末110で)発生したイベントに関する情報である。例えばイベント履歴20は、イベントが発生した端末110の識別情報、イベントの発生時刻、及びイベントの内容を対応づけて示す。
イベント履歴20は、過去の或る時点において対象システム100で(対象システム100に含まれる端末110で)発生したイベントに関する情報である。例えばイベント履歴20は、イベントが発生した端末110の識別情報、イベントの発生時刻、及びイベントの内容を対応づけて示す。
例えばイベント履歴20は、対象システム100で動作するプロセスの活動の履歴を表す。例えばプロセスの活動は、システムコール単位で記録される。或るプロセスが他のプロセスを客体として活動する場合、これらのプロセスは互いに同一の OS(Operating System)上で動作するものであってもよいし、互いに異なる OS 上で動作するものであってもよい。後者の例としては、例えば、ソケットインタフェースを利用することで、或るプロセスが他の OS 上で動作する別のプロセスと通信を行うことが考えられる。
イベント履歴20は、1つ以上の項目に関する情報を示す。ここで、例えばイベントは、イベントが発生した端末110の識別情報、イベントの主体、イベントの客体、活動内容、及び発生時刻という5つの要素を表す情報によって識別される。そこで例えば、イベント履歴20は、大別して、端末110の識別情報、主体を表す主体情報、客体を表す客体情報、活動の内容を表す内容情報、及び発生時刻という5つの項目で構成される。
端末110の識別情報は、端末110を識別できる任意の情報である。例えば、端末110のネットワークアドレス(IP アドレスや MAC アドレス)や UUID(Universally Unique Identifier)などを端末110の識別情報として利用できる。
主体情報は、例えば、その主体の種類及び識別情報である。主体の種類は、例えば、プロセス又はソケットなどである。主体がプロセスである場合、主体情報には、そのプロセスを識別する情報が含まれる。以下、プロセスを識別する情報をプロセス識別情報と呼ぶ。具体的には、プロセス識別情報は、プロセスID(Identifier)を含む。ただし、複数のスレッドが動作するプロセスについてのプロセス識別情報は、プロセスIDに加え、スレッドIDをさらに含む。
また、プロセス識別情報は、プロセスの実行ファイルに関する情報をさらに含む。プロセスの実行ファイルに関する情報とは、例えば、実行ファイルの名称やパス、実行ファイルのハッシュ値、実行ファイルのデジタル署名、又は実行ファイルで実現されるアプリケーションの名称などである。
主体がソケットである場合、例えば主体情報には、ソケットに割り当てられた識別子が含まれる。
客体情報は、例えば、その客体の種類及び識別情報である。客体の種類は、例えば、プロセス、ファイル、又はソケットなどである。客体がプロセスである場合、客体情報にはそのプロセスのプロセス識別情報が含まれる。
客体がファイルである場合、客体情報には、そのファイルを識別する情報(以下、ファイル識別情報)が含まれる。ファイル識別情報は、例えばファイルの名称やパスなどである。また、客体がファイルである場合、客体情報には、そのファイルのハッシュ値や、ファイルシステムの識別子とファイルシステム上でのファイルを構成するディスクブロックの識別子(inode 番号やオブジェクトID)の組み合わせなどが含まれていてもよい。
客体がソケットである場合、例えば客体情報には、ソケットに割り当てられた識別子が含まれる。
内容情報は、例えば、種々ある活動内容に割り当てられた識別情報である。例えば、「指定されたコマンドを実行する」、「プロセスを起動する」、「プロセスを停止する」、「ファイルをオープンする」、「ファイルからデータを読み込む」、「ファイルにデータを書き込む」、「ソケットをオープンする」、「ソケットからデータを読み込む」、「ソケットにデータを書き込む」、及び「ソケットから別のソケットへデータを送信する」などといった活動の内容に、互いに異なる識別子を割り当てておく。なお、ソケットに対するアクセスは、そのソケットに対応づけられた他の装置へのアクセスを意味する。
ここで、内容情報がコマンドの実行を表す場合には、実行されるコマンドの識別情報も内容情報に含める。例えば、ls というコマンドが実行されたことを表すイベント履歴20では、内容情報として、「活動内容の識別情報:コマンドの実行、コマンドの識別情報:ls」などと示すようにする。
なお、コマンドの識別は、内容情報ではなく主体情報や客体情報を用いて行われてもよい。例えば、或るコマンドの実行が1つのプログラムの実行によって実現される場合、そのプログラムの識別情報が主体情報又は客体情報に示されているイベントを、そのコマンドの実行を表すコマンドとして扱うことができる。この場合、コマンドの識別情報は内容情報に含まれなくてもよい。
システムコール単位でイベントが記録される場合、内容情報は、システムコールの識別情報を示してもよい。システムコールの識別情報は、例えば、システムコール名やシステムコール番号である。また、内容情報には、システムコールに与えた引数の内容(引数自体の値や、引数として与えたポインタが指し示すメモリ領域に格納されているデータ)など、システムコールがどのような条件下で実行されたかを表す情報がさらに示されてもよい。
図6は、イベント履歴20をテーブル形式で例示する図である。以下、図6のテーブルをイベントテーブル200と呼ぶ。イベントテーブル200の各レコードは、1つのイベント履歴20を表す。イベントテーブル200は、大別して、端末識別情報201、主体情報202、客体情報204、内容情報206、及び発生時刻207という5つの項目を含む。主体情報202は、プロセスID208、スレッドID209、及びパス210という3つの項目を含む。客体情報204は、種類212及び識別情報214という2つの項目を含む。発生時刻207は、イベントが発生した時刻を示す。
ここで、イベント履歴20は、対象システム上におけるプロセスの活動を記録することで生成される。プロセスの活動を記録する技術には、既存の技術を利用することができる。
<異常イベント履歴10について>
異常イベント履歴10は、異常イベントを表すイベント履歴20である。異常イベント履歴10には、イベント履歴20の内容に加え、異常の内容(どのような異常が発生したのか)を示す情報が含まれてもよい。
異常イベント履歴10は、異常イベントを表すイベント履歴20である。異常イベント履歴10には、イベント履歴20の内容に加え、異常の内容(どのような異常が発生したのか)を示す情報が含まれてもよい。
イベント履歴20が異常イベントを示すか否かは、例えば前述した異常検知装置120によって判定される。ここで、イベントの履歴によって表されるイベントが異常なイベントであるか否かを判定する方法は、前述した通りである。
<異常イベント履歴10の取得:S102>
取得部2020は異常イベント履歴10を取得する(S102)。取得部2020が異常イベント履歴10を取得する方法は様々である。例えば取得部2020は、異常検知装置120によって送信された異常イベント履歴10を受信することで、異常イベント履歴10を取得する。その他にも例えば、取得部2020は、異常イベント履歴10が記憶されている記憶装置にアクセスすることで、異常イベント履歴10を取得する。なお、取得部2020が異常イベント履歴10を取得するより具体的な方法については、図4を用いて前述した通りである。
取得部2020は異常イベント履歴10を取得する(S102)。取得部2020が異常イベント履歴10を取得する方法は様々である。例えば取得部2020は、異常検知装置120によって送信された異常イベント履歴10を受信することで、異常イベント履歴10を取得する。その他にも例えば、取得部2020は、異常イベント履歴10が記憶されている記憶装置にアクセスすることで、異常イベント履歴10を取得する。なお、取得部2020が異常イベント履歴10を取得するより具体的な方法については、図4を用いて前述した通りである。
<異常イベントの種類について>
例えば第1種の異常イベントは、重要な異常を表す蓋然性が高い異常イベントである。重要な異常を表す蓋然性が高い異常イベントの例としては、例えば、安全性が担保されていないコマンド等の実行によって生じる異常イベントがある。ここで、コマンド等について、安全性が担保されているものとそうでないものを区別する基準には、様々なものを採用できる。まず、プログラムについて説明する。例えば、対象システム100の管理者によって安全であると判断されたプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、OS をインストールした際に一緒にインストールされるプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、所定の認証を受けているプログラムを、安全性が担保されているプログラムとして扱う。所定の認証を受けているプログラムは、例えば、所定の認証機関による認証を受けたことを証明する電子署名が付与されたプログラムである。
例えば第1種の異常イベントは、重要な異常を表す蓋然性が高い異常イベントである。重要な異常を表す蓋然性が高い異常イベントの例としては、例えば、安全性が担保されていないコマンド等の実行によって生じる異常イベントがある。ここで、コマンド等について、安全性が担保されているものとそうでないものを区別する基準には、様々なものを採用できる。まず、プログラムについて説明する。例えば、対象システム100の管理者によって安全であると判断されたプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、OS をインストールした際に一緒にインストールされるプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、所定の認証を受けているプログラムを、安全性が担保されているプログラムとして扱う。所定の認証を受けているプログラムは、例えば、所定の認証機関による認証を受けたことを証明する電子署名が付与されたプログラムである。
その他にも例えば、プログラムが安全であるか否かは、対象システム100における利用者の多さに基づいて決められてもよい。例えば、対象システム100に含まれる端末110の総数に対し、或るプログラムがインストールされている端末110の数の割合が所定値以上である場合、そのプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、端末110にグループが定められている場合、或るプログラムがインストールされている端末110の数の、その端末110が属するグループに含まれる端末110の総数に対する割合が所定値以上である場合に、そのプログラムを、安全性が担保されているプログラムとして扱う。
コマンドの安全性については、例えば、安全性が担保されているプログラムによって提供されているコマンドを、安全性が担保されているコマンドとして扱うことができる。例えば、前述した標準コマンドを、安全性が担保されているコマンドとして扱うことが考えられる。すなわち、標準コマンドの実行によって発生した異常イベントは第1種の異常イベントとして扱わないようにする。こうすることで、標準コマンドの実行によって発生した異常イベントに関する情報は、第1種の異常イベントが検出されるまで出力されないようになる。
ただし、コマンドの安全性は、前述した基準とは別の基準で判断されてもよい。例えば、対象システム100の管理者によって安全であると判断されたコマンドを、安全性が担保されたコマンドとして扱う。
<異常イベントの種類の判定:S104>
種類判定部2040は、異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S104)。例えば種類判定部2040は、異常イベントが第1種に分類される条件を示す情報(以下、種類特定情報)を利用する。種類特定情報は、種類判定部2040からアクセス可能な記憶装置に予め記憶させておく。
種類判定部2040は、異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S104)。例えば種類判定部2040は、異常イベントが第1種に分類される条件を示す情報(以下、種類特定情報)を利用する。種類特定情報は、種類判定部2040からアクセス可能な記憶装置に予め記憶させておく。
前述した第1種の異常イベントは、例えば前述したように、安全性が担保されていないコマンド等の実行によって生じた異常イベントである。そこで例えば、種類特定情報は、安全性が担保されているコマンド等の識別情報を示す。そして、種類特定情報に示されていないコマンド等の実行によって生じた異常イベントを、第1種のイベントとして扱う。
プログラムの識別情報は、例えば、そのプログラムの実行ファイルの名称やパスなどである。異常イベント履歴10において、実行されたプログラムの識別情報は、前述した主体情報に含まれている。
コマンドの識別情報は、例えば、コマンドの名称である。異常イベント履歴10において、実行されたコマンドの識別情報は、前述した主体情報、客体情報、又は内容情報に含まれている。ただし、同じ名称のコマンドが互いに異なるプログラム(例えば、互いに異なるシェル)によって提供されるケースもある。この場合、コマンドの識別情報は、そのコマンドを提供するプログラムの識別情報とそのコマンドの名称などとの組み合わせを、コマンドの識別情報として利用する。この場合、異常イベント履歴10において、実行されたコマンドは、主体情報に示されるプログラムの識別情報と、内容情報に示されるコマンドの名称などとの組み合わせによって特定される。
種類判定部2040は、異常イベント履歴10を種類特定情報と比較することにより、異常イベント履歴10によって表される異常イベントの種類が第1種の異常イベントであるか否かを判定する。例えば種類判定部2040は、異常イベント履歴10の主体情報によって特定されるプログラムが、種類特定情報に示されているプログラムのいずれとも合致しない場合、その異常イベント履歴10によって表される異常イベントの種類が第1種の異常イベントであると判定する。一方、異常イベント履歴10の主体情報によって特定されるプログラムが、種類特定情報に示されているプログラムのいずれかと合致する場合、種類判定部2040は、その異常イベント履歴10によって表される異常イベントの種類が第1種の異常イベントでないと判定する。
その他にも例えば、種類判定部2040は、異常イベント履歴10によって特定されるコマンドが、種類特定情報に示されているコマンドのいずれとも合致しない場合、その異常イベント履歴10によって表される異常イベントの種類が第1種の異常イベントであると判定する。一方、異常イベント履歴10によって特定されるコマンドが、種類特定情報に示されているコマンドのいずれかと合致する場合、種類判定部2040は、その異常イベント履歴10によって表される異常イベントの種類が第1種の異常イベントでないと判定する。
<出力対象端末の特定:S106>
端末特定部2060は、出力対象端末を特定する(S106)。具体的には、異常イベント履歴10によって表される異常イベントの種類が第1種であった場合に、その異常イベントが発生した端末110と、その異常イベントが発生した時刻以前にその端末と通信していた端末110が、出力対象端末として特定される。以下、記載を明瞭にするため、前者を第1端末と呼び、後者を第2端末と呼ぶ。
端末特定部2060は、出力対象端末を特定する(S106)。具体的には、異常イベント履歴10によって表される異常イベントの種類が第1種であった場合に、その異常イベントが発生した端末110と、その異常イベントが発生した時刻以前にその端末と通信していた端末110が、出力対象端末として特定される。以下、記載を明瞭にするため、前者を第1端末と呼び、後者を第2端末と呼ぶ。
第1端末の識別情報は、取得部2020によって取得された異常イベント履歴10によって示されている。そのため、端末特定部2060は、異常イベント履歴10によって表される異常イベントの種類が第1種であった場合、その異常イベント履歴10によって示されている端末110の識別情報によって、出力対象端末の1つ(第1端末)を特定する。
第2端末は、端末110同士の通信の履歴を用いて特定する。例えば端末110が他の端末110と通信を行ったら、その通信を表すイベントがイベント履歴20として記録されるようにしておく。端末特定部2060は、イベント履歴20が記録されているデータベースを検索することで、第2端末の識別情報を取得する。具体的には、「イベントの発生時刻が、取得部2020によって取得された異常イベント履歴10によって示されている異常イベントの発生時刻以前である」及び「通信元又は通信先の端末110の識別情報が、第1端末の識別情報である」という2つの条件の両方を満たすイベント履歴20を検索する。この検索によって取得されたイベント履歴20は、通信元又は通信先の一方に第1端末を示し、他方に第2端末を示す。そのため、端末特定部2060は、第2端末を特定することができる。
端末特定部2060は、上述した方法で特定した各出力対象端末の識別情報を記憶装置に記憶させる。こうすることで、出力対象端末の識別情報を後の処理で利用できるようにする。
なお、第1種の異常イベントが発生した時刻以前の期間の全てでは無く、第1種の異常イベントが発生した時刻以前の所定期間に第1端末と通信していた端末110のみを、第2端末として扱うようにしてもよい。この所定期間の長さは、端末特定部2060からアクセス可能な記憶装置に予め記憶させておく。
この所定期間の長さは、第1種の異常イベント全てで共通であってもよいし、第1種の異常イベントの種類に応じて異なっていてもよい。後者の場合、例えば、第1種の異常イベントの主体(プログラムやコマンドなど)の種類に応じて、所定期間の長さを定めておく。例えば、潜伏期間が長い(感染してから具体的な被害が生じるまでの期間が長い)マルウエアほど長い所定期間を設定する。潜伏期間が長いマルウエアとしては、例えば、機密情報を探索して搾取するようなマルウエアが挙げられる。一方で、潜伏期間が短い(感染してから具体的な被害が生じるまでの期間が短い)マルウエアとしては、例えば、ランサムウエアなどが挙げられる。
<出力対象端末で発生した異常イベントであるか否かの判定:S110>
出力部2080は、取得部2020によって取得された異常イベント履歴10によって表される異常イベントが、出力対象端末で発生したものであるか否かを判定する(S110)。具体的には、出力部2080は、異常イベント履歴10に示される端末110の識別情報が、いずれかの出力対象端末の識別情報と合致するか否かを判定する。異常イベント履歴10に示される端末110の識別情報がいずれかの出力対象端末の識別情報と合致する場合、出力部2080は、異常イベントが出力対象端末で発生したものであると判定する(S110:YES)。一方、異常イベント履歴10に示される端末110の識別情報がいずれの出力対象端末の識別情報とも合致しない場合、出力部2080は、異常イベントが出力対象端末で発生したものでないと判定する(S110:NO)。
出力部2080は、取得部2020によって取得された異常イベント履歴10によって表される異常イベントが、出力対象端末で発生したものであるか否かを判定する(S110)。具体的には、出力部2080は、異常イベント履歴10に示される端末110の識別情報が、いずれかの出力対象端末の識別情報と合致するか否かを判定する。異常イベント履歴10に示される端末110の識別情報がいずれかの出力対象端末の識別情報と合致する場合、出力部2080は、異常イベントが出力対象端末で発生したものであると判定する(S110:YES)。一方、異常イベント履歴10に示される端末110の識別情報がいずれの出力対象端末の識別情報とも合致しない場合、出力部2080は、異常イベントが出力対象端末で発生したものでないと判定する(S110:NO)。
<異常イベント履歴10の出力:S108>
出力部2080は、取得部2020によって取得された異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合(S110:YES)、その異常イベントに関する出力情報を出力する(S108)。出力情報は、取得した異常イベント履歴10そのものであってもよいし、異常イベント履歴10の内容に基づいて生成される情報であってもよい。例えば出力情報は、異常イベントの発生時刻、異常イベントが発生した端末110の識別情報、異常イベントを発生させたコマンド等の識別情報、及び異常の内容(どのような異常が発生したか)を含む。
出力部2080は、取得部2020によって取得された異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合(S110:YES)、その異常イベントに関する出力情報を出力する(S108)。出力情報は、取得した異常イベント履歴10そのものであってもよいし、異常イベント履歴10の内容に基づいて生成される情報であってもよい。例えば出力情報は、異常イベントの発生時刻、異常イベントが発生した端末110の識別情報、異常イベントを発生させたコマンド等の識別情報、及び異常の内容(どのような異常が発生したか)を含む。
図7は、出力情報を例示する図である。この例では、履歴出力装置2000に接続されているディスプレイ装置に出力情報が出力されるケースを例示している。また、この例では前提として、プログラムXは種類特定情報に示されていないプログラム(安全性が担保されていないプログラム)である一方、コマンドAとコマンドBは種類特定情報に示されているコマンド(安全性が担保されているコマンド)であるとする。さらに、端末AでプログラムXが実行される前から、端末Aと端末Bが通信を行っていたとする。
図7に示す出力情報の1行目には、端末Aにおいて発生したプログラムXの実行という異常イベントが示されている。プログラムXは種類特定情報に示されていないため、端末Aにおいて発生したプログラムXの実行という異常イベントは、第1種の異常イベントであると判定される。そのため、この異常イベントに関する出力情報が出力される。なお、第1種の異常イベントの発生前にコマンドAやコマンドBの異常な実行が行われたとしても、その異常な実行についての出力は行われない。
上記プログラムXの実行により、プログラムXの実行が行われた端末Aが出力対象端末として特定される。また、その発生時刻以前に端末Aと通信していた端末Bも、出力対象端末として特定される。そこで出力部2080は、上記プログラムXの実行という異常イベント以降に発生する各異常イベントについても、出力情報を出力する。その結果、コマンドAやコマンドBの異常実行についての出力情報が、ディスプレイ装置に追加で表示されていく。
なお、出力情報の出力先は、履歴出力装置2000に接続されているディスプレイ装置に限定されない。例えば出力部2080は、所定の記憶されているログファイルに対して出力情報を出力(追記)してもよい。また、履歴出力装置2000に接続されているディスプレイ装置以外のディスプレイ装置に、出力情報が表示されるようにしてもよい。例えば履歴出力装置2000は、他の装置に対して出力情報を送信する。その結果、当該他の装置に接続されているディスプレイ装置において、出力情報が表示される。
<変形例>
履歴出力装置2000は、別途の方法で出力対象端末をさらに増やしてもよい。例えば履歴出力装置2000は、いずれかの出力対象端末と通信した端末110を、さらに出力対象端末として扱ってもよい。こうすることで、特定の異常(例えば、セキュリティ上の危険)が通信を介して伝播していく場合に、その異常の伝播を見逃さないようにすることができる。
履歴出力装置2000は、別途の方法で出力対象端末をさらに増やしてもよい。例えば履歴出力装置2000は、いずれかの出力対象端末と通信した端末110を、さらに出力対象端末として扱ってもよい。こうすることで、特定の異常(例えば、セキュリティ上の危険)が通信を介して伝播していく場合に、その異常の伝播を見逃さないようにすることができる。
[実施形態2]
図8は、実施形態2の履歴出力装置2000の概要を例示する図である。図8は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。以下で特に説明する点を除き、実施形態2の履歴出力装置2000は、実施形態1の履歴出力装置2000と同様の機能を有する。
図8は、実施形態2の履歴出力装置2000の概要を例示する図である。図8は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。以下で特に説明する点を除き、実施形態2の履歴出力装置2000は、実施形態1の履歴出力装置2000と同様の機能を有する。
実施形態2の履歴出力装置2000は、出力対象端末についてのみ異常イベント履歴10が出力されるという点で、実施形態1の履歴出力装置2000と共通する。
一方で、実施形態2の履歴出力装置2000は、以下の点で実施形態1の履歴出力装置2000と異なる。まず、実施形態2の履歴出力装置2000では、少なくとも、第1種の異常イベントが発生した端末110(第1端末)を出力対象端末とすればよく、その端末と通信を行っていた端末110(第2端末)については、出力対象端末としなくてもよい。ただし、実施形態2の履歴出力装置2000では、或る端末110が出力対象端末として特定されたら、その端末110において発生した異常イベントに関する異常イベント履歴10を過去に遡って出力する。すなわち、或る端末110が出力対象端末として特定されたら、その特定以降にその端末110で発生する異常イベントに関する出力情報が出力されるようになるだけでなく、その端末110においてその特定よりも前に発生した異常イベントに関する出力情報も出力される。
<作用効果>
前述した様に、重大な異常を表す蓋然性が高いイベントだけでなく、重大な異常を表す蓋然性がある程度低いイベントについても異常イベントとして検出しておく必要がある一方で、異常イベントについて出力される情報をある程度絞り込むことが好適である。この点、本実施形態の履歴出力装置2000によれば、端末110で発生した異常イベントに関する情報のうち、第1種に属さない異常イベントについての情報は、第1種の異常イベントが検出されるまで出力されない。ただし、第1種の異常イベントが端末110で発生したら、その発生前まで遡って、異常イベントに関する情報が出力される。よって、重大な異常を表す蓋然性がある程度低い異常イベントに関する情報は、無条件に出力されるわけでなく、重大な異常を表す蓋然性が高い異常イベントの発生に付随して出力されるようになる。
前述した様に、重大な異常を表す蓋然性が高いイベントだけでなく、重大な異常を表す蓋然性がある程度低いイベントについても異常イベントとして検出しておく必要がある一方で、異常イベントについて出力される情報をある程度絞り込むことが好適である。この点、本実施形態の履歴出力装置2000によれば、端末110で発生した異常イベントに関する情報のうち、第1種に属さない異常イベントについての情報は、第1種の異常イベントが検出されるまで出力されない。ただし、第1種の異常イベントが端末110で発生したら、その発生前まで遡って、異常イベントに関する情報が出力される。よって、重大な異常を表す蓋然性がある程度低い異常イベントに関する情報は、無条件に出力されるわけでなく、重大な異常を表す蓋然性が高い異常イベントの発生に付随して出力されるようになる。
この手法によれば、異常イベントに関する情報が無条件に出力される場合と比較し、出力される情報が適切に絞り込まれるため、異常イベントに関する情報の扱いが容易になる。そのため、重大な異常の見逃しが発生しにくくなる(すなわち、解析精度の向上)、異常イベントを解析する解析者の作業負担が軽減される、及び解析作業に要する時間が削減されるといった効果が生じる。
なお、本実施形態の履歴出力装置2000についても、特に効果的なケースの例として、OS の標準コマンドを使用したサイバー攻撃の解析が挙げられる。標準コマンドに起因する異常が発生したとしても、それ単体では、サイバー攻撃の一環で生じた異常であるのかどうかを判別することが難しい。しかし、サイバー攻撃を表す蓋然性が高い異常イベントが検出されたら、それ以前に発生した標準コマンドに起因する異常がサイバー攻撃に関連する蓋然性が高いと考えられる。
そこで、本実施形態の履歴出力装置2000において、サイバー攻撃を表す蓋然性が高い異常イベントを第1種の異常イベントとして扱うようにする。こうすることで、サーバ攻撃を表す蓋然性が高い異常イベントが発生したら、それよりも前に発生した標準コマンドに起因する異常イベントに関する情報も出力されるようになる。よって、標準コマンドに起因する異常についての情報が、適切に絞り込まれて出力されるようになる。
以下、本実施形態の履歴出力装置2000についてさらに詳細に説明する。
<履歴出力装置2000の機能構成の例>
実施形態2の履歴出力装置2000の機能構成は、実施形態1の履歴出力装置2000の構成と同様に、図2で表される。ただし、実施形態2の端末特定部2060は、種類判定部2040によって特定された異常イベントの種類が第1種である場合に、その異常イベントが発生した端末110を出力対象端末として特定する。また、出力部2080は、その特定以降に出力対象端末で発生する異常イベントに関する出力情報を出力することに加え、その特定よりも前に出力対象端末で生じた異常イベントに関する出力情報も出力する。
実施形態2の履歴出力装置2000の機能構成は、実施形態1の履歴出力装置2000の構成と同様に、図2で表される。ただし、実施形態2の端末特定部2060は、種類判定部2040によって特定された異常イベントの種類が第1種である場合に、その異常イベントが発生した端末110を出力対象端末として特定する。また、出力部2080は、その特定以降に出力対象端末で発生する異常イベントに関する出力情報を出力することに加え、その特定よりも前に出力対象端末で生じた異常イベントに関する出力情報も出力する。
<ハードウエア構成の例>
実施形態2の履歴出力装置2000のハードウエア構成は、例えば、実施形態1の履歴出力装置2000のハードウエア構成と同様に、図3で表される。ただし、実施形態2の履歴出力装置2000のストレージデバイス1080には、実施形態2の履歴出力装置2000の機能を実現するプログラムモジュールが記憶される。
実施形態2の履歴出力装置2000のハードウエア構成は、例えば、実施形態1の履歴出力装置2000のハードウエア構成と同様に、図3で表される。ただし、実施形態2の履歴出力装置2000のストレージデバイス1080には、実施形態2の履歴出力装置2000の機能を実現するプログラムモジュールが記憶される。
<処理の流れ>
図9は、実施形態2の履歴出力装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は異常イベント履歴10を取得する(S202)。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S204)。異常イベントの種類が第1種でない場合(S204:NO)、図9の処理はS210に進む。異常イベントの種類が第1種である場合(S204:YES)、端末特定部2060は、その異常イベントが発生した端末110を出力対象端末として特定する(S206)。出力部2080は、出力対象端末として特定された端末110について、その特定よりも前にその端末110で生じた異常イベントに関する出力情報を出力する(S207)。
図9は、実施形態2の履歴出力装置2000によって実行される処理の流れを例示するフローチャートである。取得部2020は異常イベント履歴10を取得する(S202)。種類判定部2040は、取得した異常イベント履歴10によって表される異常イベントの種類が第1種であるか否かを判定する(S204)。異常イベントの種類が第1種でない場合(S204:NO)、図9の処理はS210に進む。異常イベントの種類が第1種である場合(S204:YES)、端末特定部2060は、その異常イベントが発生した端末110を出力対象端末として特定する(S206)。出力部2080は、出力対象端末として特定された端末110について、その特定よりも前にその端末110で生じた異常イベントに関する出力情報を出力する(S207)。
出力部2080は、取得した異常イベント履歴10によって表される異常イベントが出力対象端末で発生したものである場合、その異常イベントについての出力情報を出力する(S208)。異常イベント履歴10によって示される異常イベントの種類が第1種である場合(S204:YES)、その異常イベントは必ず出力対象端末で発生したものであるため、出力部2080は、その異常イベントに関する出力情報を出力する(S208)。
一方、異常イベント履歴10によって示される異常イベントの種類が第1種でない場合(S204:NO)、出力部2080は、その異常イベントが出力対象端末で発生したものであるか否かを判定する(S210)。異常イベントが出力対象端末で発生したものである場合(S210:YES)、出力部2080は、その異常イベントについての出力情報を出力する(S208)。一方、異常イベントが出力対象端末で発生したものでない場合(S210:NO)、出力部2080は、その異常イベントについての出力情報を出力しない。
<過去の異常イベントに関する出力情報を出力する条件>
出力部2080は、出力対象端末として特定された端末110について、その特定よりも前にその端末110で生じた異常イベントに関する出力情報を出力する(S207)。ここで、出力部2080は、上記特定よりも前の全ての期間で発生した異常イベントを出力対象としてもよいし、上記特定よりも前の所定期間内に発生した異常イベントのみを出力対象としてもよい。後者の場合、出力部2080は、出力対象端末として特定された端末110で発生した異常イベントに関する異常イベント履歴10の中から、発生時刻がその特定よりも前の所定期間(その特定時刻を終点とする所定の長さの期間)内に含まれるものを特定する。そして、出力部2080は、特定した異常イベント履歴10について、出力情報を出力する。
出力部2080は、出力対象端末として特定された端末110について、その特定よりも前にその端末110で生じた異常イベントに関する出力情報を出力する(S207)。ここで、出力部2080は、上記特定よりも前の全ての期間で発生した異常イベントを出力対象としてもよいし、上記特定よりも前の所定期間内に発生した異常イベントのみを出力対象としてもよい。後者の場合、出力部2080は、出力対象端末として特定された端末110で発生した異常イベントに関する異常イベント履歴10の中から、発生時刻がその特定よりも前の所定期間(その特定時刻を終点とする所定の長さの期間)内に含まれるものを特定する。そして、出力部2080は、特定した異常イベント履歴10について、出力情報を出力する。
この所定期間の長さは、全ての異常イベントで共通であってもよいし、異常イベントに応じて異なっていてもよい。後者の場合、例えば、異常イベントを発生させたコマンド等の種類に応じて、所定期間の長さを定める。そのために、コマンド等の種類に対して所定期間の長さを対応づけた情報を、予め記憶装置に記憶させておく。
コマンド等の種類には、種々の種類を定めることができる。例えば、マルウエアの活動には、初期調査、探索活動、及び感染拡大などといった種類の活動が考えられる。そこで、コマンド等の種類として、初期調査に利用されるコマンド等、探索活動に利用されるコマンド等、及び感染拡大に利用されるコマンド等などといった種類を定めておく。そして、これらの種類の識別情報と、その種類に分類されるコマンド等の識別情報とを対応づけた情報を用意しておく。履歴出力装置2000は、この情報を利用して、各コマンド等の種類を把握する。
図10は、コマンド等の種類に応じて出力対象の期間が異なるケースを例示する図である。図10では、出力する期間が長い順に、初期調査用のコマンド等、探索活動用のコマンド等、感染拡大用のコマンド等となっている。このようにする理由は、マルウエアの活動が、初期調査の活動、探索活動、感染拡大の活動の順に行われることが多いためである。
このようにコマンド等の種類に応じて出力対象の期間を変えることにより、過去に発生した異常イベントについての出力を適切に制限することができる。すなわち、検出された第1種の異常イベントとの関連性が高いと考えられる過去の異常イベントが適切に絞り込まれるため、検出された第1種の異常イベントとの関連性が低い異常イベントまでもが出力対象となってしまうことを防ぎつつ、検出された第1種の異常イベントとの関連性が高い異常イベントが出力対象から外れてしまうことも防ぐことで、解析精度の向上や解析作業の負担削減を実現できる。
<所定期間の延長>
上記所定期間の中で異常イベントが発生していたら、その所定期間を過去に向かってさらに長くしてもよい(所定期間を延長してもよい)。図11は、所定期間を延長するケースを例示する図である。図11では、端末Aにおいて、時刻 t3 で第1種の異常イベントCが発生している。そのため、出力部2080は、時刻 t3 よりも過去に遡って、端末Aで発生した異常イベントに関する出力情報の出力を行う。この例では、所定期間 P1(t2 から t3)に発生した異常イベントを出力対象とする。ここで、期間 P1 において、端末Aで異常イベントBが発生している。そのため、異常イベントBに関する出力情報が出力される。
上記所定期間の中で異常イベントが発生していたら、その所定期間を過去に向かってさらに長くしてもよい(所定期間を延長してもよい)。図11は、所定期間を延長するケースを例示する図である。図11では、端末Aにおいて、時刻 t3 で第1種の異常イベントCが発生している。そのため、出力部2080は、時刻 t3 よりも過去に遡って、端末Aで発生した異常イベントに関する出力情報の出力を行う。この例では、所定期間 P1(t2 から t3)に発生した異常イベントを出力対象とする。ここで、期間 P1 において、端末Aで異常イベントBが発生している。そのため、異常イベントBに関する出力情報が出力される。
また、期間 P1 内で異常イベントが発生していたため、さらに過去に遡って出力情報の出力が行われる。具体的には、期間 P1 の長さをさらに長くした期間 P2(t1 から t3)を対象として、出力情報の出力が行われる。例えば図11の例では、期間 P2 において、端末Aで異常イベントAが発生している。そのため、異常イベントAを表す出力情報が出力される。
なお、期間 P2 でも異常イベントが発生しているため、期間 P2 よりもさらに過去の期間に遡って、出力情報の出力が行われてもよい(図示せず)。例えば出力部2080は、「遡った期間の中で異常イベントが発生していたら、さらに過去の期間まで遡る(期間の長さをさらに長くする)」という処理を繰り返す。すなわち、「遡った期間において異常イベントが発生していない」という状況になるまで、繰り返し過去の期間に遡ることとなる。ただし、遡る回数(期間の長さを延長する回数)などに上限を設けてもよい。
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。例えば、実施形態1における各出力対象端末について、実施形態2で説明したように、過去に遡った出力情報の出力が行われてもよい。すなわち、第1種の異常イベントが発生した端末と、その発生以前にその端末と通信を行った他の端末とのそれぞれについて、過去(その発生よりも前)に発生した異常イベントについての出力情報が出力されてもよい。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
1. 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する、履歴出力装置。
2. 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、1.に記載の履歴出力装置。
3. 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、1.又は2.に記載の履歴出力装置。
4. 前記端末特定部は、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、1.乃至3.いずれか一つに記載の履歴出力装置。
5. 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、1.乃至4.いずれか一つに記載の履歴出力装置。
1. 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する、履歴出力装置。
2. 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、1.に記載の履歴出力装置。
3. 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、1.又は2.に記載の履歴出力装置。
4. 前記端末特定部は、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、1.乃至3.いずれか一つに記載の履歴出力装置。
5. 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、1.乃至4.いずれか一つに記載の履歴出力装置。
6. 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有し、
前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、履歴出力装置。
7. 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、6.に記載の履歴出力装置。
8. 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、7.に記載の履歴出力装置。
9. 前記出力部は、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、7.又は8.に記載の履歴出力装置。
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有し、
前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、履歴出力装置。
7. 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、6.に記載の履歴出力装置。
8. 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、7.に記載の履歴出力装置。
9. 前記出力部は、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、7.又は8.に記載の履歴出力装置。
10. コンピュータによって実行される制御方法であって、
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する、制御方法。
11. 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、10.に記載の制御方法。
12. 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、10.又は11.に記載の制御方法。
13. 前記端末特定ステップにおいて、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、10.乃至12.いずれか一つに記載の制御方法。
14. 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、10.乃至13.いずれか一つに記載の制御方法。
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する、制御方法。
11. 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、10.に記載の制御方法。
12. 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、10.又は11.に記載の制御方法。
13. 前記端末特定ステップにおいて、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、10.乃至12.いずれか一つに記載の制御方法。
14. 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、10.乃至13.いずれか一つに記載の制御方法。
15. コンピュータによって実行される制御方法であって、
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有し、
前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、制御方法。
16. 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、15.に記載の制御方法。
17. 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、16.に記載の制御方法。
18. 前記出力ステップにおいて、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、16.又は17.に記載の制御方法。
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有し、
前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、制御方法。
16. 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、15.に記載の制御方法。
17. 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、16.に記載の制御方法。
18. 前記出力ステップにおいて、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、16.又は17.に記載の制御方法。
19. 10.乃至18.いずれか一つに記載の制御方法の各ステップをコンピュータに実行させるプログラム。
上述した目的、およびその他の目的、特徴および利点は、以下に述べる好適な実施の形態、およびそれに付随する以下の図面によってさらに明らかになる。
本実施形態の履歴出力装置の動作の概要を例示する図である。
実施形態1の履歴出力装置の構成を例示する図である。
履歴出力装置を実現するための計算機を例示する図である。
実施形態1の履歴出力装置の利用環境を例示する図である。
実施形態1の履歴出力装置によって実行される処理の流れを例示するフローチャートである。
イベント履歴をテーブル形式で例示する図である。
出力情報を例示する図である。
実施形態2の履歴出力装置の動作の概要を例示する図である。
実施形態2の履歴出力装置によって実行される処理の流れを例示するフローチャートである。
コマンド等の種類に応じて出力対象の期間が異なるケースを例示する図である。
所定期間を延長するケースを例示する図である。
対象システム100は、1つ以上の任意の端末110で構成される。端末110は、物理マシンであってもよいし、仮想マシンであってもよい。物理マシンは、PC(Personal Computer)などの据え置き型のマシンであってもよいし、スマートフォンなどの可搬型のマシンであってもよい。イベントは、例えば、対象システム100に含まれるマシンで動作するプロセスが行った活動(ファイルや他のプロセスへのアクセスなど)を表す。
ここで、イベント履歴20は、対象システム100上におけるプロセスの活動を記録することで生成される。プロセスの活動を記録する技術には、既存の技術を利用することができる。
<異常イベントの種類について>
例えば第1種の異常イベントは、重大な異常を表す蓋然性が高い異常イベントである。重大な異常を表す蓋然性が高い異常イベントの例としては、例えば、安全性が担保されていないコマンド等の実行によって生じる異常イベントがある。ここで、コマンド等について、安全性が担保されているものとそうでないものを区別する基準には、様々なものを採用できる。まず、プログラムについて説明する。例えば、対象システム100の管理者によって安全であると判断されたプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、OS をインストールした際に一緒にインストールされるプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、所定の認証を受けているプログラムを、安全性が担保されているプログラムとして扱う。所定の認証を受けているプログラムは、例えば、所定の認証機関による認証を受けたことを証明する電子署名が付与されたプログラムである。
例えば第1種の異常イベントは、重大な異常を表す蓋然性が高い異常イベントである。重大な異常を表す蓋然性が高い異常イベントの例としては、例えば、安全性が担保されていないコマンド等の実行によって生じる異常イベントがある。ここで、コマンド等について、安全性が担保されているものとそうでないものを区別する基準には、様々なものを採用できる。まず、プログラムについて説明する。例えば、対象システム100の管理者によって安全であると判断されたプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、OS をインストールした際に一緒にインストールされるプログラムを、安全性が担保されているプログラムとして扱う。その他にも例えば、所定の認証を受けているプログラムを、安全性が担保されているプログラムとして扱う。所定の認証を受けているプログラムは、例えば、所定の認証機関による認証を受けたことを証明する電子署名が付与されたプログラムである。
前述した第1種の異常イベントは、例えば前述したように、安全性が担保されていないコマンド等の実行によって生じた異常イベントである。そこで例えば、種類特定情報は、安全性が担保されているコマンド等の識別情報を示す。そして、種類特定情報に示されていないコマンド等の実行によって生じた異常イベントを、第1種の異常イベントとして扱う。
[実施形態2]
図8は、実施形態2の履歴出力装置2000の動作の概要を例示する図である。図8は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。以下で特に説明する点を除き、実施形態2の履歴出力装置2000は、実施形態1の履歴出力装置2000と同様の機能を有する。
図8は、実施形態2の履歴出力装置2000の動作の概要を例示する図である。図8は、履歴出力装置2000の動作についての理解を容易にするための概念的な説明を表す図であり、履歴出力装置2000の動作を具体的に限定するものではない。以下で特に説明する点を除き、実施形態2の履歴出力装置2000は、実施形態1の履歴出力装置2000と同様の機能を有する。
Claims (19)
- 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有する、履歴出力装置。 - 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、請求項1に記載の履歴出力装置。
- 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、請求項1又は2に記載の履歴出力装置。 - 前記端末特定部は、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、請求項1乃至3いずれか一項に記載の履歴出力装置。
- 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項1乃至4いずれか一項に記載の履歴出力装置。
- 端末において発生した異常イベントを表す異常イベント履歴を取得する取得部と、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定部と、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定部と、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力部と、を有し、
前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、履歴出力装置。 - 前記出力部は、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、請求項6に記載の履歴出力装置。
- 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、請求項7に記載の履歴出力装置。
- 前記出力部は、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項7又は8に記載の履歴出力装置。
- コンピュータによって実行される制御方法であって、
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末と、その異常イベントが発生した時点以前にその端末と通信した他の端末とを、出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有する、制御方法。 - 前記所定の種類の異常イベントは、安全性が担保されていないプログラム又はコマンドの実行によって生じた異常なイベントである、請求項10に記載の制御方法。
- 安全性が担保されていないプログラムは、オペレーティングシステムと一緒にインストールされないプログラム、認証されていないプログラム、及びそのプログラムを利用している端末が所定数若しくは所定割合以下であるプログラムのいずれか1つ以上であり、
安全性が担保されていないコマンドは、安全性が担保されていないプログラムによって提供されるコマンドである、請求項10又は11に記載の制御方法。 - 前記端末特定ステップにおいて、前記出力対象端末として特定されている端末が他の端末と通信したら、当該他の端末をさらに前記出力対象端末として特定する、請求項10乃至12いずれか一項に記載の制御方法。
- 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項10乃至13いずれか一項に記載の制御方法。
- コンピュータによって実行される制御方法であって、
端末において発生した異常イベントを表す異常イベント履歴を取得する取得ステップと、
前記取得した前記異常イベント履歴が表す前記異常イベントの種類が所定の種類であるか否かを判定する種類判定ステップと、
前記異常イベントの種類が前記所定の種類である場合、その異常イベントが発生した端末を出力対象端末として特定する端末特定ステップと、
前記取得した異常イベント履歴によって表される前記異常イベントが前記出力対象端末で発生したものである場合、その異常イベントに関する出力情報を出力する出力ステップと、を有し、
前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前にその端末で生じた異常イベントに関する出力情報をさらに出力する、制御方法。 - 前記出力ステップにおいて、或る端末が前記出力対象端末として特定されたら、その特定よりも前の第1所定期間にその端末で生じた異常イベントを表す前記異常イベント履歴をさらに出力する、請求項15に記載の制御方法。
- 前記第1所定期間の長さは、異常イベントを発生させたプログラム又はコマンドの種類に応じて異なる、請求項16に記載の制御方法。
- 前記出力ステップにおいて、前記第1所定期間に前記端末で異常イベントが発生していたら、前記第1所定期間よりも長い第2所定期間にその端末で生じた異常イベントに関する出力情報をさらに出力する、請求項16又は17に記載の制御方法。
- 請求項10乃至18いずれか一項に記載の制御方法の各ステップをコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/006226 WO2020170345A1 (ja) | 2019-02-20 | 2019-02-20 | 履歴出力装置、制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020170345A1 true JPWO2020170345A1 (ja) | 2021-12-02 |
| JP7211482B2 JP7211482B2 (ja) | 2023-01-24 |
Family
ID=72144099
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021501189A Active JP7211482B2 (ja) | 2019-02-20 | 2019-02-20 | 履歴出力装置、制御方法、及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220012345A1 (ja) |
| JP (1) | JP7211482B2 (ja) |
| WO (1) | WO2020170345A1 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008152541A (ja) * | 2006-12-18 | 2008-07-03 | Ricoh Printing Systems Ltd | 印刷装置及びログデータ管理方法 |
| JP2011034507A (ja) * | 2009-08-05 | 2011-02-17 | Fujitsu Ltd | 動作履歴収集装置、動作履歴収集方法およびプログラム |
| JP2013191070A (ja) * | 2012-03-14 | 2013-09-26 | Nomura Research Institute Ltd | 監視装置 |
| JP2018160170A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4705961B2 (ja) * | 2008-01-25 | 2011-06-22 | Sky株式会社 | ウィルス被害範囲予測システム |
| US9418222B1 (en) * | 2013-09-27 | 2016-08-16 | Symantec Corporation | Techniques for detecting advanced security threats |
| US9571519B2 (en) * | 2014-09-29 | 2017-02-14 | Juniper Networks, Inc. | Targeted attack discovery |
-
2019
- 2019-02-20 WO PCT/JP2019/006226 patent/WO2020170345A1/ja active Application Filing
- 2019-02-20 US US17/431,508 patent/US20220012345A1/en active Pending
- 2019-02-20 JP JP2021501189A patent/JP7211482B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008152541A (ja) * | 2006-12-18 | 2008-07-03 | Ricoh Printing Systems Ltd | 印刷装置及びログデータ管理方法 |
| JP2011034507A (ja) * | 2009-08-05 | 2011-02-17 | Fujitsu Ltd | 動作履歴収集装置、動作履歴収集方法およびプログラム |
| JP2013191070A (ja) * | 2012-03-14 | 2013-09-26 | Nomura Research Institute Ltd | 監視装置 |
| JP2018160170A (ja) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220012345A1 (en) | 2022-01-13 |
| WO2020170345A1 (ja) | 2020-08-27 |
| JP7211482B2 (ja) | 2023-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| EP2860657B1 (en) | Determining a security status of potentially malicious files | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
| KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
| US10073980B1 (en) | System for assuring security of sensitive data on a host | |
| CN108337266B (zh) | 一种高效的协议客户端漏洞发掘方法与系统 | |
| KR102098064B1 (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| JP2012103870A (ja) | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム | |
| CN111506497A (zh) | 业务逻辑调试方法、装置、设备及计算机可读存储介质 | |
| JP6322240B2 (ja) | フィッシング・スクリプトを検出するためのシステム及び方法 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| JP7211482B2 (ja) | 履歴出力装置、制御方法、及びプログラム | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| JP2020004127A (ja) | コンピュータ資産管理システムおよびコンピュータ資産管理方法 | |
| JP5386015B1 (ja) | バグ検出装置およびバグ検出方法 | |
| KR102535251B1 (ko) | 전자 장치의 사이버 보안 리포트 생성 방법 | |
| WO2022137883A1 (ja) | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 | |
| CN114697057B (zh) | 获取编排剧本信息的方法、装置及存储介质 | |
| CN116432240B (zh) | 内网终端敏感数据的检测方法、装置、服务器及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210730 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210730 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220826 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221226 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7211482 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |