WO2021171383A1

WO2021171383A1 - ログ生成装置、ログ生成方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2021171383A1
Application number: PCT/JP2020/007534
Authority: WO
Inventors: 太地羽角; 島　成佳
Original assignee: 日本電気株式会社
Priority date: 2020-02-25
Filing date: 2020-02-25
Publication date: 2021-09-02
Also published as: JP7351399B2; JPWO2021171383A1; US20230032143A1

Abstract

ログ生成装置１０は、ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類部１１と、グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られたイベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成部１２と、統計モデルにおけるイベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は新たなログを生成するためのログ情報を生成する、ログ情報生成部１３と、を備えている。

Description

ログ生成装置、ログ生成方法、及びコンピュータ読み取り可能な記録媒体

　本発明は、サイバーセキュリティ演習で必要となるログを生成するための、ログ生成装置及びログ生成方法に関し、更には、これらを実現するためのコンピュータ読み取り可能な記録媒体に関する。

　近年、組織を標的としたサイバー攻撃により、情報漏洩、事業停止といった被害が増加しており、サイバー攻撃に対する対策の強化が求められている。そして、サイバー攻撃に対する対策を強化するためには、システムのセキュリティ担当者の調査スキルの向上が不可欠となる。このため、インシデントの痕跡となるログ（以下「攻撃ログ」と表記する）を受講者に見つけ出させるサイバーセキュリティ演習（又はサイバー演習）が行われている。サイバーセキュリティ演習では、受講者に提供するために、予め、人手によって攻撃ログが作成される。

　但し、人手による攻撃ログの作成には、多くの時間が必要となる。また、特許文献１は、コンピュータシステムにおけるログを生成する技術を開示しているが、攻撃ログの生成には、一般的なログの生成とは異なり、攻撃ツールの特徴及び実行方法についての情報が必要である。このため、非特許文献１によって、攻撃ログを容易かつ効率的に取得する手法が提案されている。

国際公開第２０１８／１８６３１４号

高橋佑典、他4名、"擬似的な標的型攻撃の実行に向けた攻撃シナリオ生成方式のアプローチ"、電子情報通信学会、信学技報 vol. 119, no. 140, ISEC2019-13, pp. 7-14、2019年7月

　ところで、サイバーセキュリティ演習では、インシデントには関係のない通常業務のログ（以下「正常ログ」と表記する）の中から、インシデントの痕跡を示す攻撃ログを見つけ出すことが行われる。このため、サイバーセキュリティ演習においては、攻撃ログだけでなく、正常ログも予め必要となる。

　但し、非特許文献１に開示された手法では、正常ログは作成できない。このため、サイバーセキュリティ演習においては、正常ログは、予め想定された環境下で端末における通常操作のログを長期間記録することによって、又は人手で作成することによって、取得されている。

　しかしながら、サイバーセキュリティ演習を行うためには、膨大な数の正常ログが必要となる。これは、調査スキルの向上を図るためには、受講者は、サイバーセキュリティ演習を複数回受講する必要があるが、同じ正常ログを使い回したのでは調査スキルは向上しないため、正常ログを演習の度に新たに用意する必要があるからである。このため、上述の手法では、必要なだけの正常ログを取得することは極めて困難である。

　本発明の目的の一例は、上記問題を解消し、設定環境下で動作する端末からのログ出力及び人手によることなく、サイバーセキュリティ演習で必要な正常ログを生成し得る、ログ生成装置、ログ生成方法、及びコンピュータ読み取り可能な記録媒体を提供することにある。

　上記目的を達成するため、本発明の一側面におけるログ生成装置は、
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類部と、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成部と、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成部と、
を備えている、ことを特徴とする。

　また、上記目的を達成するため、本発明の一側面におけるログ生成方法は、
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類ステップと、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成ステップと、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成ステップと、
を有する、ことを特徴とする。

　更に、上記目的を達成するため、本発明の一側面におけるコンピュータ読み取り可能な記録媒体は、
コンピュータに、
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類ステップと、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成ステップと、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成ステップと、
を実行させる命令を含む、プログラムを記録している、ことを特徴とする。

　以上のように、本発明によれば、設定環境下で動作する端末からのログ出力及び人手によることなく、サイバーセキュリティ演習で必要な正常ログを生成することができる。

図１は、実施の形態１におけるログ生成装置の概略構成を示すブロック図である。図２は、実施の形態１におけるログ生成装置の構成を具体的に示すブロック図である。図３は、実施の形態１で用いられるログ分類ルールの一例を示す図である。図４は、実施の形態１で用いられるテンプレートの一例を示す図である。図５は、実施の形態１で生成される統計モデルの一例を概念的に示す図である。図６は、実施の形態１において生成されたログの一例を示す図である。図７は、実施の形態１におけるログ生成装置の動作を示すフロー図である。図８は、実施の形態２におけるログ生成装置の構成を具体的に示すブロック図である。図９は、実施の形態２で用いられる実操作テンプレートの一例を示す図である。図１０は、実施の形態２におけるログ生成装置の動作を示すフロー図である。図１１は、実施の形態１及び２におけるログ生成装置を実現するコンピュータの一例を示すブロック図である。

（実施の形態１）
　以下、実施の形態１における、ログ生成装置、ログ生成方法、及びプログラムについて、図１～図７を参照しながら説明する。

［装置構成］
　最初に、図１を用いて、実施の形態１におけるログ生成装置の概略構成について説明する。図１は、実施の形態１におけるログ生成装置の概略構成を示すブロック図である。

　図１に示す実施の形態１におけるログ生成装置１０は、サイバーセキュリティ演習で必要となるログを生成する装置である。図１に示すように、ログ生成装置１０は、ログ分類部１１と、統計モデル生成部１２と、ログ情報生成部１３とを備えている。

　このような構成において、ログ分類部１１は、ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する。

　統計モデル生成部１２は、グループ毎に、各グループに分類されたログを、２以上のログで構成されるイベントに変換する。また、統計モデル生成部１２は、変換によって得られたイベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する。

　ログ情報生成部１３は、統計モデルにおけるイベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は新たなログを生成するためのログ情報を生成する。

　このように、実施の形態１では、グループに分類されたログ群から統計モデルが生成され、生成された統計モデルを用いることで、新たなログ、又はそれを生成するためのログ情報が生成される。実施の形態１によれば、設定環境下で動作する端末からのログ出力及び人手によることなく、サイバーセキュリティ演習で必要な正常ログを生成することができる。

　続いて、図１に加えて、図２～図６を用いて、実施の形態１におけるログ生成装置１０の構成をより具体的に説明する。図２は、実施の形態１におけるログ生成装置の構成を具体的に示すブロック図である。

　図２に示すように、実施の形態１では、ログ生成装置１０は、上述したログ分類部１１、統計モデル生成部１２、及びログ情報生成部１３に加えて、ログデータ取得部１４と、パラメータ取得部１５と、分類ルール格納部１６と、モデル生成ルール格納部１７と、ログ情報格納部１８とを備えている。

　ログデータ取得部１４は、実施の形態では、ログ生成装置１０にネットワークを介して接続されたコンピュータから、ログデータを取得する。具体的には、ログデータの取得先となるコンピュータには、ログ収集ツールがインストールされており、このログ収集ツールが、コンピュータで生成されたログを収集し、収集したログの集合をログデータとして、ログ生成装置１０に出力する。ログデータ取得部１４は、ログ収集ツールが出力したログデータを取得する。

　ログ収集ツールとしては、例えば、ＣＤＩＲ－Ｃｏｌｌｅｃｔｏｒが挙げられる。また、ＣＤＩＲ－Ｃｏｌｌｅｃｔｏｒは、Ｗｉｎｄｏｗｓ（登録商標）固有のバイナリ形式のログも収集することから、ＣＤＩＲ－Ｃｏｌｌｅｃｔｏｒが用いられる場合は、収集先のコンピュータでは、ｐｌａｓｏによってログはＪＳＯＮファイルに変換される。この場合は、ログデータ取得部は、ＪＳＯＮファイルに変換されたログのログデータを取得する。

　ログ分類部１１は、実施の形態１では、ログ群で構成されたログデータを、ログ分類ルールに沿って、グループに分類する。ログ分類ルールは、ログの種類に応じてログを分類するルールである。図３は、実施の形態１で用いられるログ分類ルールの一例を示す図である。また、ログ分類ルールは、予め、ドメイン知識に基づいて作成され、分類ルール格納部１６に格納されている。

　具体的には、図３に示すように、ログ分類ルールは、ログタイプ毎に、対応する分類ＩＤを規定している。従って、ログ分類部１１は、ログデータ取得部１４によって取得されたログデータを構成するログ毎に、ログ分類ルールを参照して、対応する分類ＩＤを特定する。分類ＩＤは、グループを特定するためのＩＤであり、分類ＩＤの特定により、各ログはグループに分類される。

　統計モデル生成部１２は、実施の形態１では、テンプレートを用いて、グループ毎に、各グループに分類されたログを、２以上のログで構成されるイベントに変換する。そして、統計モデル生成部１２は、各イベントを時間毎の出現確率に変換して、統計モデルを生成する。テンプレートは、イベント毎に、対応するログに含まれるログテキストを登録したデータである。

　図４は、実施の形態１で用いられるテンプレートの一例を示す図である。図４の例では、各テンプレートは、モデル生成ルールとして、対応テーブルと共にモデル生成ルール格納部１７に格納されている。また、対応テーブルは、各テンプレートと、それに対応するイベント（イベントＩＤ）、分類ＩＤ、及び遅延時間リストとを、紐付けている。また、対応テーブルにおいて、同じイベントＩＤに対応する複数のテンプレートは、テンプレートリストとして一括りとされている。また、遅延時間リストは、テンプレートリストに含まれる最初のテンプレートを基準とした、テンプレート間の実行時間の差を示している。

　具体的には、統計モデル生成部１２は、まず、分類されたグループのうち１つを選択し、選択したグループに分類されたログそれぞれを対象ログとする。次いで、統計モデル生成部１２は、モデル生成ルール格納部１７から、選択したグループの分類ＩＤに対応するイベントＩＤを特定する。

　更に、統計モデル生成部１２は、特定したイベントＩＤそれぞれのテンプレートリストから最初のテンプレートＩＤを取得し、取得した各最初のテンプレートＩＤの対応するログテキストを読み込み、読み込んだ各ログテキストを、イベントトリガー候補とする。

　続いて統計モデル生成部１２は、各対象ログにおいて、それに含まれる固有値を削除する。削除される固有値は、図４に示すログテキスト中の「＄」で囲まれた変数に対応する値である。

　次に、統計モデル生成部１２は、イベントトリガー候補毎に、対象ログそれぞれとの距離を算出し、距離が閾値以下となるイベントトリガー候補が存在する場合は、このイベントトリガー候補をイベントトリガーと判定する。このとき算出される距離としては、例えば、レーベンシュタイン距離が挙げられる。また、対象ログから固有値が取り除かれているため、閾値としては、「８」といった小さな値が用いられる。

　次に、統計モデル生成部１２は、イベントトリガーのイベントＩＤに対応するテンプレートリストから、二番目以降のテンプレートＩＤを特定する。続いて、統計モデル生成部１２は、特定した二番目以降のテンプレートＩＤのログテキストが、イベントトリガーとの距離が閾値以下となった対象ログ以降の対象ログ（以下、単に「以降の対象ログ」と表記する）において、順に出現しているかどうかを判定する。即ち、統計モデル生成部１２は、以降の対象ログについて、順に、二番目以降のテンプレートＩＤのログテキストとの距離を算出する。

　そして、判定の結果、イベントトリガーのテンプレートリストに含まれるテンプレートＩＤ全てにおいて、対象ログとログテキストとの距離が閾値以下であると、即ち、イベントトリガーに対応するイベントが全て発生しているとする。この場合、統計モデル生成部１２は、イベントトリガーのイベントＩＤに、最初に距離が閾値以下となった対象ログのタイムスタンプ（「イベント時間」とも表記する）を付与し、タイムスタンプを付与したイベントＩＤを保持する。なお、このときのイベント時間が、イベントの発生時刻に該当する。

　また、統計モデル生成部１２は、選択されていないグループが存在する場合は、このグループに対しても同様の処理を行って、イベントトリガーのイベントＩＤを保持する。以下このようにして保持されたイベントＩＤの集合を「イベント列」と表記する。

　更に、統計モデル生成部１２は、１日２４時間を任意の時間幅で分割して、タイムウィンドウを設定し、イベント時間を元に、タイムウィンドウ毎にイベントＩＤを保持する。続いて、統計モデル生成部１２は、例えば、１日分のログについて、各タイムウィンドウにおいて保持されているイベントＩＤの個数を合算する。

　そして、統計モデル生成部１２は、タイムウィンドウ毎に、そこで保持されているイベントＩＤの個数を合算値で除算する。この除算により得られた除算値が、イベント毎の出現確率となる。また、このように、受信したログの期間が１日に設定されている場合は、統計モデル生成部１２は、タイムウィンドウ毎の一日平均イベント数を特定することも可能である。

　統計モデル生成部１２は、イベント毎の出現確率を用いて、例えば、図５に示す統計モデルを生成する。図５は、実施の形態１で生成される統計モデルの一例を概念的に示す図である。図５の例では、統計モデル５０は、日毎に、各タイムウィンドウ５１におけるイベントの出現確率と平均イベント数とを保持している。また、図５において、各統計モデル５０は、それぞれ異なる分類ＩＤに対応している。

　パラメータ取得部１５は、ログ情報生成部１３による処理で用いるパラメータを取得する。パラメータとしては、コンピュータ名、ユーザ名、ＩＰアドレス、ログの生成開始時刻、ログの生成終了時刻が挙げられる。また、パラメータは、例えば、ログ生成装置１０の管理者によって作成され、その後、管理者の端末等を介して入力される。

　ログ情報生成部１３は、実施の形態１では、統計モデルにおけるイベント毎の出現確率に沿って、特定のイベントを選択すると、選択したイベントをテンプレートに照合する。また、ログ情報生成部１３は、照合結果から、選択したイベントに対応するログテキストを取得し、取得したログテキストを、テキストデータとして用いて、新たなログを生成する。

　具体的には、ログ情報生成部１３は、最初に、パラメータ取得部１５から取得されたパラメータを受け取る。次に、ログ情報生成部１３は、取得したパラメータにおける生成開始時刻を、ログ生成の対象時刻に設定し、統計モデル生成部１２が生成した統計モデルにおいて、対象時刻が該当するタイムウィンドウを特定する。

　続いて、ログ情報生成部１３は、特定したタイムウィンドウに含まれるイベントＩＤ群より、統計モデルにおける出現確率に沿って、いずれか１つのイベントＩＤを選択する。また、ログ情報生成部１３は、特定したタイムウィンドウにおける一日平均イベント数となるまで、イベントＩＤの選択を繰り返す。

　次に、ログ情報生成部１３は、選択したイベントＩＤそれぞれについて、以下の（ａ）～（ｄ）の処理を実行する。
（ａ）選択したイベントＩＤ群の、各テンプレートリストより、各テンプレートに紐づいたログテキスト群を取得する。
（ｂ）ログテキスト群内の置換対象文字列（図４に示すログテキスト中の「＄」で囲まれた部分）を、パラメータ取得部１５から受け取ったパラメータで置換する。
（ｃ）特定したタイムウィンドウ内でランダムに時刻を設定し、設定した時刻をログの出現時刻とする。但し、テンプレートリストの二番目以降にあるテンプレート内のログについては、該当するイベントＩＤの遅延時間リストの、同じ順位にある数値を、最初に設定した出現時刻に加算し、これを当該ログのログ出現時刻に設定する。
（ｄ）ログ情報格納部１８に、パラメータによる置換済みログテキスト（類似ログ）とログ出現時刻とを格納する。

　続いて、ログ情報生成部１３は、イベントＩＤ毎に上述の（ａ）～（ｄ）の処理を実行すると、ログ生成の対象時刻を、「現在のログ生成の対象時刻＋タイムウィンドウの時間幅」に更新する。その後、ログ情報生成部１３は、ログ生成の対象時刻がパラメータ中のログの生成終了時刻に達するまで、上述のイベントＩＤ群の選択、イベントＩＤ毎の上述の（ａ）～（ｄ）の処理を繰り返し実行する。

　その後、図６に示すように、ログ情報生成部１３は、生成した類似ログを、ログ情報生成部１３に格納する。図６は、実施の形態１において生成されたログの一例を示す図である。図６に示すように、ログ情報生成部１３は、新たに生成した類似ログ（置換済みログテキスト）とログ出現時刻とを、互いに紐付けて格納している。その後、ログ情報生成部１３に格納されている類似ログ及びログ出現時刻は、サイバーセキュリティ演習で使用される端末装置等に送られる。

［装置動作］
　次に、実施の形態１におけるログ生成装置１０の動作について図７を用いて説明する。図７は、実施の形態１におけるログ生成装置の動作を示すフロー図である。以下の説明においては、適宜図１～図６を参照する。また、実施の形態１では、ログ生成装置１０を動作させることによって、ログ生成方法が実施される。よって、実施の形態１におけるログ生成方法の説明は、以下のログ生成装置１０の動作説明に代える。

　図７に示すように、最初に、ログデータ取得部１４が、ログ生成装置１０にネットワークを介して接続されたコンピュータから、ログデータを取得する（ステップＡ１）。

　次に、ログ分類部１１は、ログ群で構成されたログデータを、例えば図３に示したログ分類ルールに沿って、グループに分類する（ステップＡ２）。

　次に、統計モデル生成部１２は、ステップＡ２で分類されたグループの１つを選択する（ステップＡ３）。次に、統計モデル生成部１２は、例えば図４に示したテンプレートを用いて、選択したグループのログを、２以上のログで構成されるイベントに変換する（ステップＡ４）。

　具体的には、ステップＡ４では、選択したグループに分類されたログそれぞれを対象ログとし、選択したグループの分類ＩＤに対応するイベントＩＤを特定する。更に、統計モデル生成部１２は、特定したイベントＩＤそれぞれについて、テンプレートリストの最初のテンプレートＩＤのログテキストを読み込み、読み込んだ各ログテキストを、イベントトリガー候補とする。

　続いて、ステップＡ４では、統計モデル生成部１２は、各対象ログの固有値を削除し、イベントトリガー候補毎に、対象ログそれぞれとの距離を算出し、距離が閾値以下となるイベントトリガー候補をイベントトリガーとする。次に、統計モデル生成部１２は、イベントトリガーのイベントＩＤに対応するテンプレートリストから、二番目以降のテンプレートＩＤを特定し、以降の対象ログについても、順に、二番目以降のテンプレートＩＤのログテキストとの距離を算出する。

　そして、イベントトリガーのテンプレートリストに含まれるテンプレートＩＤ全てにおいて、対象ログとログテキストとの距離が閾値以下であるとする。この場合、ステップＡ４では、統計モデル生成部１２は、イベントトリガーのイベントＩＤに、最初に距離が閾値以下となった対象ログのタイムスタンプ（イベント時間）を付与し、タイムスタンプを付与したイベントＩＤを保持する。

　次に、統計モデル生成部１２は、ステップＡ４の実行後、選択されていないグループが存在するかどうかを判定する（ステップＡ５）。ステップＡ５の判定の結果、選択されていないグループが存在する場合は、統計モデル生成部１２は、再度ステップＡ３及びＡ４を実行する。

　一方、ステップＡ５の判定の結果、選択されていないグループが存在しない場合は、統計モデル生成部１２は、ステップＡ４で得られたイベント列から統計モデルを生成する（ステップＡ６）。

　具体的には、ステップＡ６では、統計モデル生成部１２は、１日２４時間を任意の時間幅で分割して、タイムウィンドウを設定し、イベント時間を元に、タイムウィンドウ毎にイベントＩＤを保持する。続いて、統計モデル生成部１２は、例えば、１日分のログについて、各タイムウィンドウにおいて保持されているイベントＩＤの個数を合算し、タイムウィンドウ毎に、そこで保持されているイベントＩＤの個数を合算値で除算する。統計モデル生成部１２は、この除算により得られた除算値をイベント毎の出現確率として、例えば、図５に示す統計モデルを生成する。

　次に、パラメータ取得部１５は、ステップＡ９におけるログ情報生成部１３による処理で用いるパラメータを取得する（ステップＡ７）。

　次に、ログ情報生成部１３は、統計モデルにおけるイベント毎の出現確率に沿って、特定のイベントを選択する（ステップＡ８）。

　具体的には、ステップＡ８では、ログ情報生成部１３は、ステップＡ７で取得したパラメータにおける生成開始時刻を、ログ生成の対象時刻に設定し、統計モデルにおいて、対象時刻が該当するタイムウィンドウを特定する。続いて、ログ情報生成部１３は、特定したタイムウィンドウに含まれるイベントＩＤ群より、統計モデルにおける出現確率に沿って、いずれか１つのイベントＩＤを選択する。なお、イベントＩＤの選択は、一日平均イベント数となるまで繰り返し行われる。

　次に、ログ情報生成部１３は、選択したイベントをテンプレートに照合し、照合結果から、選択したイベントに対応するログテキストを取得し、取得したログテキストを、テキストデータとして用いて、類似ログを生成する（ステップＡ９）。

　具体的には、ステップＡ９では、ログ情報生成部１３は、選択したイベントＩＤそれぞれについて、上述した（ａ）～（ｄ）の処理を実行する。また、ログ情報生成部１３は、イベントＩＤ毎に上述の（ａ）～（ｄ）の処理を実行すると、ログ生成の対象時刻を、「現在のログ生成の対象時刻＋タイムウィンドウの時間幅」に更新する。

　その後、ログ情報生成部１３は、ログ生成の対象時刻がパラメータ中のログの生成終了時刻に到達しているかどうかを判定する（ステップＡ１０）。ステップＡ１０の判定の結果、ログ生成の対象時刻がログの生成終了時刻に到達していない場合は、ログ情報生成部１３は、更新後の対象時刻において、再度ステップＡ８及びＡ９を実行する。

　一方、ステップＡ１０の判定の結果、ログ生成の対象時刻がログの生成終了時刻に到達している場合は、ログ情報生成部１３は、ステップＡ９で生成した類似ログを、ログ情報生成部１３に格納する（ステップＡ１１）。

　このように、本実施の形態１によれば、実施の形態１では、グループに分類されたログ群から対応するイベントが特定され、このイベントの出現確率に基づいて統計モデルが生成される。そして、この統計モデルを用いることで、類似ログを得ることができる。従って、実施の形態１によれば、設定環境下で動作する端末からのログ出力及び人手によることなく、サイバーセキュリティ演習で必要な正常ログを生成することができる。

［プログラム］
　実施の形態１におけるプログラムは、コンピュータに、図７に示すステップＡ１～Ａ１１を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、実施の形態１におけるログ生成装置１０とログ生成方法とを実現することができる。この場合、コンピュータのプロセッサは、ログ分類部１１、統計モデル生成部１２、ログ情報生成部１３、ログデータ取得部１４、及びパラメータ取得部１５として機能し、処理を行なう。

　また、実施の形態１では、分類ルール格納部１６、モデル生成ルール格納部１７、及びログ情報格納部１８は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現できる。また、分類ルール格納部１６、モデル生成ルール格納部１７、及びログ情報格納部１８は、実施の形態１におけるプログラムを実行するコンピュータとは別のコンピュータによっても実現できる。

　また、実施の形態１におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、ログ分類部１１、統計モデル生成部１２、ログ情報生成部１３、ログデータ取得部１４、及びパラメータ取得部１５のいずれかとして機能しても良い。

（実施の形態２）
　次に、実施の形態２における、ログ生成装置、ログ生成方法、及びプログラムについて、図８～図１０を参照しながら説明する。

［装置構成］
　最初に、図８を用いて、実施の形態２におけるログ生成装置の概略構成について説明する。図８は、実施の形態２におけるログ生成装置の構成を具体的に示すブロック図である。

　図８に示す実施の形態２におけるログ生成装置２０も、実施の形態１におけるログ生成装置１０と同様に、サイバーセキュリティ演習で必要となるログを生成する装置である。

　図８に示すように、ログ生成装置２０は、図２に示された構成に加えて、実操作ルール格納部２１及びログ情報通信部２２を備えている点と、ログ情報生成部１３の機能の点とで、実施の形態１におけるログ生成装置１０と異なっている。以下、実施の形態１との相違点を中心に説明する。

　実施の形態２では、ログ情報生成部１３は、実操作テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定したコマンド列を、テキストデータとして用いて、ログ情報を生成する。

　実操作テンプレートは、図９に示すように、イベント（イベントＩＤ）毎に、対応するログを生成するためのコマンド列を登録している。図９は、実施の形態２で用いられる実操作テンプレートの一例を示す図である。なお、特定された各コマンドは、「実操作コマンド」と表記する。

　次に、ログ情報生成部１３は、特定したタイムウィンドウに含まれるイベントＩＤ群より、統計モデルにおける出現確率に沿って、いずれかのイベントＩＤを選択する。また、ログ情報生成部１３は、特定したタイムウィンドウにおける一日平均イベント数となるまで、イベントＩＤの選択を繰り返す。

　次に、ログ情報生成部１３は、実操作テンプレートに基づいて、選択したイベントＩＤそれぞれについて、当該イベントＩＤに紐付けられた実操作コマンドを取得する。この取得された実操作コマンドが、新たなログを生成するためのログ情報となる。

　このように、ログ情報生成部１３は、統計モデル生成部１２で生成された統計モデルを利用し、実操作ルール格納部２１に格納された実操作テンプレートに基づいて、ログ情報となる実操作コマンド列を得る。

　その後、ログ情報生成部１３は、選択したイベントＩＤ毎の実操作コマンドを、ログ情報通信部２２に渡す。これにより、ログ情報通信部２２は、実操作コマンドを、端末装置３０に送信する。

　端末装置３０は、送信されてきた実操作コマンドを受け取ると、受け取った実操作コマンドを実行する。また、端末装置３０は、実操作コマンドの実行後、実行に際して生成されたログを収集し、収集したログを、ログ生成装置１０に送信する。

　ログ生成装置２０において、ログ情報通信部２２は、送信されてきたログを、新たなログ（類似ログ）として、ログ情報格納部１８に格納する。

［装置動作］
　次に、実施の形態２におけるログ生成装置２０の動作について図１０を用いて説明する。図１０は、実施の形態２におけるログ生成装置の動作を示すフロー図である。以下の説明においては、適宜図８及び９を参照する。また、実施の形態２では、ログ生成装置２０を動作させることによって、ログ生成方法が実施される。よって、実施の形態２におけるログ生成方法の説明は、以下のログ生成装置２０の動作説明に代える。

　図１０に示すように、最初に、ログデータ取得部１４が、ログ生成装置２０にネットワークを介して接続されたコンピュータから、ログデータを取得する（ステップＢ１）。

　次に、ログ分類部１１は、ログ群で構成されたログデータを、例えば図３に示したログ分類ルールに沿って、グループに分類する（ステップＢ２）。

　次に、統計モデル生成部１２は、ステップＢ２で分類されたグループの１つを選択する（ステップＢ３）。次に、統計モデル生成部１２は、例えば図４に示したテンプレートを用いて、選択したグループのログを、２以上のログで構成されるイベントに変換する（ステップＢ４）。

　次に、統計モデル生成部１２は、ステップＢ４の実行後、選択されていないグループが存在するかどうかを判定する（ステップＢ５）。ステップＢ５の判定の結果、選択されていないグループが存在する場合は、統計モデル生成部１２は、再度ステップＢ３及びＢ４を実行する。

　一方、ステップＢ５の判定の結果、選択されていないグループが存在しない場合は、統計モデル生成部１２は、ステップＢ４で得られたイベント列から統計モデルを生成する（ステップＢ６）。

　次に、パラメータ取得部１５は、ステップＢ９におけるログ情報生成部１３による処理で用いるパラメータを取得する（ステップＢ７）。

　次に、ログ情報生成部１３は、統計モデルにおけるイベント毎の出現確率に沿って、特定のイベントを選択する（ステップＢ８）。なお、上述したステップＢ１～Ｂ８は、それぞれ、図７に示したステップＡ１～Ａ８と同様のステップである。

　次に、ログ情報生成部１３は、図９に示した実操作テンプレートに基づいて、選択したイベントＩＤそれぞれについて、当該イベントＩＤに紐付けられた実操作コマンドを取得する（ステップＢ９）。この取得された実操作コマンドが、新たなログを生成するためのログ情報となる。

　次に、ログ情報生成部１３は、選択したイベントＩＤ毎の実操作コマンドを、ログ情報通信部２２に渡す。これにより、ログ情報通信部２２は、実操作コマンドを、端末装置３０に送信する（ステップＢ１０）。

　ステップＢ１０が実行されると、端末装置３０は、送信されてきた実操作コマンドを受け取り、受け取った実操作コマンドを実行する。そして、端末装置３０は、実操作コマンドの実行後、実行に際して生成されたログを収集し、収集したログを、ログ生成装置１０に送信する。

　次に、端末装置からログが送信されてくると、ログ情報通信部２２は、送信されてきたログを受信し、受信したログを、新たなログ（類似ログ）として、ログ情報格納部１８に格納する（ステップＢ１１）。

　このように、本実施の形態２でも、実施の形態１と同様に、グループに分類されたログ群から対応するイベントが特定され、このイベントの出現確率に基づいて統計モデルが生成される。そして、この統計モデルを用いることで、類似ログを生成するためのログ情報を得ることができる。実施の形態２においても、実施の形態１と同様に、設定環境下で動作する端末からのログ出力及び人手によることなく、サイバーセキュリティ演習で必要な正常ログを生成することができる。

　また、実施の形態２において、端末装置３０がハニーポットに設定されているとすると、ハニーポットから、頻繁にログが出力されることになる。このため、攻撃者はハニーポットであると気づかずに、この端末装置３０に攻撃をかけることになる。ハニーポットは、セキュリティの向上のために、攻撃者の標的となるように仕向けられた、おとりとなる端末装置である。

［プログラム］
　実施の形態２におけるプログラムは、コンピュータに、図１０に示すステップＢ１～Ｂ１１を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、実施の形態２におけるログ生成装置２０とログ生成方法とを実現することができる。この場合、コンピュータのプロセッサは、ログ分類部１１、統計モデル生成部１２、ログ情報生成部１３、ログデータ取得部１４、パラメータ取得部１５、及びログ情報通信部２２として機能し、処理を行なう。

　また、実施の形態２では、分類ルール格納部１６、モデル生成ルール格納部１７、ログ情報格納部１８、及び実操作ルール格納部２１は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現できる。また、分類ルール格納部１６、モデル生成ルール格納部１７、ログ情報格納部１８、及び実操作ルール格納部２１は、実施の形態２におけるプログラムを実行するコンピュータとは別のコンピュータによっても実現できる。

　また、実施の形態２におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、ログ分類部１１、統計モデル生成部１２、ログ情報生成部１３、ログデータ取得部１４、パラメータ取得部１５、及びログ情報通信部２２のいずれかとして機能しても良い。

（物理構成）
　ここで、実施の形態１及び２におけるプログラムを実行することによって、ログ生成装置を実現するコンピュータについて図１１を用いて説明する。図１１は、実施の形態１及び２におけるログ生成装置を実現するコンピュータの一例を示すブロック図である。

　図１１に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。

　また、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていても良い。

　ＣＰＵ１１１は、記憶装置１１３に格納された、本実施の形態におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。また、実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、実施の形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであっても良い。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体が挙げられる。

　なお、実施の形態１及び２におけるログ生成装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、ログ生成装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　上述した実施の形態の一部又は全部は、以下に記載する（付記１）～（付記１２）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類部と、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成部と、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成部と、
を備えている、ことを特徴とするログ生成装置。

（付記２）
付記１に記載のログ生成装置であって、
　前記統計モデル生成部が、前記イベント毎に、対応するログに含まれるログテキストを登録している、テンプレートを用いて、前記グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換する、
ことを特徴とするログ生成装置。

（付記３）
付記２に記載のログ生成装置であって、
　前記ログ情報生成部が、選択したイベントを前記テンプレートに照合して、選択した前記イベントに対応するログテキストを取得し、取得したログテキストを、前記テキストデータとして用いて、前記新たなログを生成する、
ことを特徴とするログ生成装置。

（付記４）
付記２に記載のログ生成装置であって、
　前記ログ情報生成部が、前記イベント毎に、対応するログを生成するためのコマンド列を登録している、テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定した前記コマンド列を、前記テキストデータとして用いて、前記ログ情報を生成する、
ことを特徴とするログ生成装置。

（付記５）
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類ステップと、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成ステップと、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成ステップと、
を有する、ことを特徴とするログ生成方法。

（付記６）
付記５に記載のログ生成方法であって、
　前記統計モデル生成ステップにおいて、前記イベント毎に、対応するログに含まれるログテキストを登録している、テンプレートを用いて、前記グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換する、
ことを特徴とするログ生成方法。

（付記７）
付記６に記載のログ生成方法であって、
　前記ログ情報生成ステップにおいて、選択したイベントを前記テンプレートに照合して、選択した前記イベントに対応するログテキストを取得し、取得したログテキストを、前記テキストデータとして用いて、前記新たなログを生成する、
ことを特徴とするログ生成方法。

（付記８）
付記６に記載のログ生成方法であって、
　前記ログ情報生成ステップにおいて、前記イベント毎に、対応するログを生成するためのコマンド列を登録している、テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定した前記コマンド列を、前記テキストデータとして用いて、前記ログ情報を生成する、
ことを特徴とするログ生成方法。

（付記９）
コンピュータに、
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類ステップと、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成ステップと、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成ステップと、
を実行させる命令を含む、プログラムを記録している、ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１０）
付記９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記統計モデル生成ステップにおいて、前記イベント毎に、対応するログに含まれるログテキストを登録している、テンプレートを用いて、前記グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１１）
付記１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記ログ情報生成ステップにおいて、選択したイベントを前記テンプレートに照合して、選択した前記イベントに対応するログテキストを取得し、取得したログテキストを、前記テキストデータとして用いて、前記新たなログを生成する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１２）
付記１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記ログ情報生成ステップにおいて、前記イベント毎に、対応するログを生成するためのコマンド列を登録している、テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定した前記コマンド列を、前記テキストデータとして用いて、前記ログ情報を生成する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように、本発明によれば、設定環境下で動作する端末からのログ出力及び人手によることなく、サイバーセキュリティ演習で必要な正常ログを生成することができる。本発明は、サイバーセキュリティ演習を行うシステムに有用である。

　１０　ログ生成装置（実施の形態１）
　１１　ログ分類部
　１２　統計モデル生成部
　１３　ログ情報生成部
　１４　ログデータ取得部
　１５　パラメータ取得部
　１６　分類ルール格納部
　１７　モデル生成ルール格納部
　１８　ログ情報格納部
　２０　ログ生成装置（実施の形態２）
　２１　実操作ルール格納部
　２２　ログ情報通信部
　１１０　コンピュータ
　１１１　ＣＰＵ
　１１２　メインメモリ
　１１３　記憶装置
　１１４　入力インターフェイス
　１１５　表示コントローラ
　１１６　データリーダ／ライタ
　１１７　通信インターフェイス
　１１８　入力機器
　１１９　ディスプレイ装置
　１２０　記録媒体
　１２１　バス

Claims

　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類する、ログ分類手段と、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成する、統計モデル生成手段と、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、ログ情報生成手段と、
を備えている、ことを特徴とするログ生成装置。
請求項１に記載のログ生成装置であって、
　前記統計モデル生成手段が、前記イベント毎に、対応するログに含まれるログテキストを登録している、テンプレートを用いて、前記グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換する、
ことを特徴とするログ生成装置。
請求項２に記載のログ生成装置であって、
　前記ログ情報生成手段が、選択したイベントを前記テンプレートに照合して、選択した前記イベントに対応するログテキストを取得し、取得したログテキストを、前記テキストデータとして用いて、前記新たなログを生成する、
ことを特徴とするログ生成装置。
請求項２に記載のログ生成装置であって、
　前記ログ情報生成手段が、前記イベント毎に、対応するログを生成するためのコマンド列を登録している、テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定した前記コマンド列を、前記テキストデータとして用いて、前記ログ情報を生成する、
ことを特徴とするログ生成装置。
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類し、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成し、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成する、
ことを特徴とするログ生成方法。
請求項５に記載のログ生成方法であって、
　前記統計モデルの生成において、前記イベント毎に、対応するログに含まれるログテキストを登録している、テンプレートを用いて、前記グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換する、
ことを特徴とするログ生成方法。
請求項６に記載のログ生成方法であって、
　前記ログ情報の生成において、選択したイベントを前記テンプレートに照合して、選択した前記イベントに対応するログテキストを取得し、取得したログテキストを、前記テキストデータとして用いて、前記新たなログを生成する、
ことを特徴とするログ生成方法。
請求項６に記載のログ生成方法であって、
　前記ログ情報の生成において、前記イベント毎に、対応するログを生成するためのコマンド列を登録している、テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定した前記コマンド列を、前記テキストデータとして用いて、前記ログ情報を生成する、
ことを特徴とするログ生成方法。
コンピュータに、
　ログ群で構成されたログデータを、ログの種類に基づいて、グループに分類させ、
　グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換し、更に、変換によって得られた前記イベント毎に、その発生時刻及び個数から、その出現確率を算出して、統計モデルを生成させ、
　前記統計モデルにおける前記イベント毎の出現確率に沿って、特定のイベントを選択し、そして、選択したイベントに対応し、且つ、予め作成されている、テキストデータを用いて、新たなログ、又は前記新たなログを生成するためのログ情報を生成させる、
命令を含む、プログラムを記録している、ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記統計モデルの生成において、前記イベント毎に、対応するログに含まれるログテキストを登録している、テンプレートを用いて、前記グループ毎に、当該グループに分類されたログを、２以上のログで構成されるイベントに変換する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記ログ情報の生成において、選択したイベントを前記テンプレートに照合して、選択した前記イベントに対応するログテキストを取得し、取得したログテキストを、前記テキストデータとして用いて、前記新たなログを生成する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記ログ情報の生成において、前記イベント毎に、対応するログを生成するためのコマンド列を登録している、テンプレートを用いて、選択したイベントに対応するコマンド列を特定し、特定した前記コマンド列を、前記テキストデータとして用いて、前記ログ情報を生成する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。