WO2022149233A1 - ログ生成装置、ログ生成方法、及び、ログ生成プログラム - Google Patents
ログ生成装置、ログ生成方法、及び、ログ生成プログラム Download PDFInfo
- Publication number
- WO2022149233A1 WO2022149233A1 PCT/JP2021/000313 JP2021000313W WO2022149233A1 WO 2022149233 A1 WO2022149233 A1 WO 2022149233A1 JP 2021000313 W JP2021000313 W JP 2021000313W WO 2022149233 A1 WO2022149233 A1 WO 2022149233A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- log
- target
- user
- specific operation
- specific
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 42
- 230000002093 peripheral effect Effects 0.000 claims description 37
- 230000035945 sensitivity Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000007639 printing Methods 0.000 description 3
- 102100028572 Disabled homolog 2 Human genes 0.000 description 2
- 101000866272 Homo sapiens Double C2-like domain-containing protein alpha Proteins 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Definitions
- This disclosure relates to a log generation device, a log generation method, and a log generation program.
- Non-Patent Document 1 discloses a technique for generating attack data by an insider.
- attack data is generated in a simulated environment, there is a problem that an operation log that cannot actually occur in an actual environment may be generated.
- the purpose of this disclosure is to generate malicious logs that can occur realistically in an actual environment.
- the log generator according to the present disclosure is A log generator in a target system that has objects
- An object search unit that searches for an object from the object of the target system using the target operation log, which is a log of actually operating the object of the target system.
- a user search unit that searches for a user who can operate the target object from a user of the target system as a target user by using the target operation log, and a user search unit.
- the specific operation log according to the present disclosure generates a specific operation log based on the target operation log, which is the log that actually operates the object possessed by the target system.
- the specific operation log may be a malicious log. Therefore, according to the present disclosure, it is possible to generate a malicious log that can actually occur in an actual environment.
- a hardware configuration example of the log generation device 100 according to the first embodiment. A diagram illustrating internal fraud.
- the flowchart which shows the operation of the log embedding part 123 which concerns on Embodiment 1.
- FIG. 1 shows a configuration example of the log generation device 100 according to the present embodiment.
- the log generation device 100 includes a log analysis unit 110 and a log generation unit 120, and stores object condition information 200, user attribute information 210, and malicious operation information 220.
- the log generator 100 may be used in the customer's system.
- the system in which the log generation device 100 is used is called a target system.
- the target system has an object.
- the operation log 300 is at least a part of a log showing a history in which a user of the target system actually operates an object possessed by the target system, and is also called a target operation log or a customer log.
- the log analysis unit 110 includes an object search unit 111, a user search unit 112, and a time zone search unit 113.
- the object search unit 111 searches for an object for which internal fraud is virtually executed from the object possessed by the target system as the target object.
- the object may be any asset that can be monitored by the operation log 300 for user operations on the object.
- the object is, as a specific example, an electronic file or an electronic device.
- An electronic file may be simply referred to as a file.
- the object search unit 111 may search for the target object based on the sensitivity of each object of the target system.
- the internal fraud is a malicious operation performed by the user on the object of the target system, and is a process indicated by the malicious log 310.
- the user refers to a user who uses the target system by using an account or the like registered in the target system unless otherwise specified.
- a person who has an account in the target system and is inside the organization browses the file within the scope of the authority given to the person, outputs the file to the USB memory within the scope of the authority, and outputs the file to the USB memory.
- Taking the USB memory out of the organization may be an internal fraud.
- a person who has an account in the target system and is inside the organization browses the setting file of the electronic device within the scope of the authority given to the person, and edits the setting file within the range of the authority. As a result, it may be an internal fraud to induce a failure of an electronic device.
- an external criminal steals the account of a legitimate user in the target system, invades the target system from the outside using the stolen account, searches for confidential information from the target system within the scope of the authority of the account, and searches for confidential information.
- the process of sending information to the outside is also subject to internal fraud.
- an external criminal sends a targeted email with a file containing malware attached to a legitimate user's PC (Personal Computer) in the target system, and the legitimate user opens the file attached to the targeted email.
- PC Personal Computer
- the malicious log 310 is a virtual log showing malicious operations performed by the target user on the target object, and is a log that can be a part of the operation log 300.
- a malicious operation is a normal operation performed by a malicious user on the system.
- a normal operation is a normal operation performed by the target user on the target system.
- the target system does not determine the certain operation as an abnormal operation when the target user executes the certain operation.
- whether or not the operation is normal may be determined by the combination of the user's operation and the user's operation target.
- whether or not the operation is normal is at least one of the confidentiality of the file, the frequency of accessing the file, and the content of the operation frequently performed on the file when the operation target is a file. It may be determined based on the combination of the user's operation on the file and the user's operation.
- the log generator 100 can also be used in a plant of a power plant or the like.
- the object search unit 111 targets a highly sensitive electronic device as the target object.
- the user search unit 112 searches for a user who can operate the target object from the user of the target system as the target user by using the target operation log.
- the user search unit 112 may search for the target user by using the user attribute information indicating the attribute of each user of the target system.
- the time zone search unit 113 searches for a time zone in which the process indicated by the malicious log 310 is executed.
- the time zone search unit 113 may search for the time zone in which the operation indicated by the specific operation log is executed using the target operation log as the target time zone.
- the log generation unit 120 includes a malicious log generation unit 121, a peripheral log generation unit 122, and a log embedding unit 123.
- the malicious log generation unit 121 generates the malicious log 310 based on the malicious operation information 220.
- the malicious log generation unit 121 is also called a specific operation log generation unit.
- the malicious log generation unit 121 receives specific operation information indicating a specific operation performed by a specific user in the target system, and uses the specific operation information and the target operation log to specify the target user to execute the target object. Generate a specific operation log, which is a virtual log showing the operation.
- the user who performs the malicious operation is also a specific user. Malicious operation is also a specific operation.
- the malicious log 310 is also a specific operation log.
- the malicious log generation unit 121 may assume that the operation indicated by the specific operation log is executed in the target time zone.
- Peripheral log generation unit 122 generates peripheral log 320.
- the peripheral log 320 is a log similar to the malicious log 310, and is a virtual log indicating peripheral operations.
- the peripheral operation is a normal operation executed around the place where the target object is stored in the time zone around the time zone in which the operation indicated by the malicious log 310 is executed, and is not a malicious operation. It is an operation that is not a specific operation.
- the peripheral log 320 may be a log that assists the malicious log 310 to become a log that can actually occur.
- the log embedding unit 123 generates a virtual malicious log 400 by embedding a malicious log 310 and a peripheral log 320 in the operation log 300.
- the virtual fraud log 400 is a virtual log including an attack log by an insider.
- the log embedding unit 123 may embed the specific operation log in the target operation log.
- the log embedding unit 123 does not have to embed the peripheral log 320 in the operation log 300.
- the object condition information 200 is a condition used by the object search unit 111 to narrow down the objects.
- the object condition information 200 is a place where an electronic device is placed or an application of the electronic device when the object is an electronic device, and when the object is an electronic file, a folder or an electronic device in which the electronic file is stored.
- User attribute information 210 and information indicating the attributes of each user.
- the attribute is information for classifying each user, and as a specific example, it is a combination of a company to which the user belongs, a department to which the user belongs, a job title, and years of service.
- the position is, as a specific example, an officer, a department manager, or a section chief.
- the malicious operation information 220 shows a list of malicious operations.
- the malicious operation information 220 includes, as a specific example, information indicating USB (Universal Serial Bus) output, Internet transmission, local storage, and printing when the object is an electronic file.
- USB Universal Serial Bus
- FIG. 2 shows a hardware configuration example of the log generation device 100 according to the present embodiment.
- the log generation device 100 comprises a computer.
- the log generation device 100 may be composed of a plurality of computers.
- the computer is a computer including hardware such as a processor 11, a memory 12, an auxiliary storage device 13, an input / output IF (Interface) 14, and a communication device 15. These hardware are connected to each other via a signal line 19.
- the processor 11 is an IC (Integrated Circuit) that performs arithmetic processing, and controls the hardware included in the computer.
- the processor 11 is a CPU (Central Processing Unit), a DSP (Digital Signal Processor), or a GPU (Graphics Processing Unit).
- the log generator 100 may include a plurality of processors that replace the processor 11. The plurality of processors share the role of the processor 11.
- the memory 12 is typically a volatile storage device.
- the memory 12 is also referred to as a main storage device or a main memory.
- the memory 12 is a RAM (Random Access Memory).
- the data stored in the memory 12 is stored in the auxiliary storage device 13 as needed.
- the auxiliary storage device 13 is typically a non-volatile storage device.
- the auxiliary storage device 13 is a ROM (Read Only Memory), an HDD (Hard Disk Drive), or a flash memory.
- the data stored in the auxiliary storage device 13 is loaded into the memory 12 as needed.
- the memory 12 and the auxiliary storage device 13 may be integrally configured.
- the input / output IF14 is a port to which an input device and an output device are connected.
- the input / output IF 14 is, as a specific example, a USB terminal.
- the input device is, as a specific example, a keyboard and a mouse.
- the output device is, as a specific example, a display.
- the communication device 15 is a receiver and a transmitter.
- the communication device 15 is a communication chip or a NIC (Network Interface Card).
- Each part of the log generation device 100 may appropriately use the communication device 15 when communicating with other devices and the like. Each part of the log generation device 100 may receive data via the input / output IF 14 or may receive data via the communication device 15.
- the auxiliary storage device 13 stores the log generation program.
- the log generation program is a program that allows a computer to realize the functions of each part of the log generation device 100.
- the log generation program is loaded into the memory 12 and executed by the processor 11.
- the functions of each part included in the log generation device 100 are realized by software.
- the data used when the log generation program is executed, the data obtained by executing the log generation program, and the like are appropriately stored in the storage device.
- Each part of the log generation device 100 uses a storage device as appropriate.
- the storage device includes at least one of a memory 12, an auxiliary storage device 13, a register in the processor 11, and a cache memory in the processor 11.
- data and information may have the same meaning.
- the storage device may be independent of the computer.
- the storage device stores the object condition information 200, the user attribute information 210, the malicious operation information 220, and the operation log 300.
- Each of the object condition information 200, the user attribute information 210, the malicious operation information 220, and the operation log 300 may be stored in a database.
- the functions of the memory 12 and the auxiliary storage device 13 may be realized by other storage devices.
- the log generation program may be recorded on a non-volatile recording medium that can be read by a computer.
- the non-volatile recording medium is, for example, an optical disk or a flash memory.
- the log generator may be provided as a program product.
- the operation procedure of the log generation device 100 corresponds to the log generation method. Further, the program that realizes the operation of the log generation device 100 corresponds to the log generation program. Hereinafter, the operation of the log generation device 100 when the object is an electronic file will be described.
- FIG. 3 is a diagram schematically illustrating internal fraud.
- the file server stores files, and the files are appropriately classified.
- the "files related to the new product project” is a group of files showing information related to the new product project, and the files belonging to the "files related to the new product project” are assumed to have high sensitivity.
- "No USB output” indicates a file that has never been output to the USB memory among the files belonging to the "file group related to the new product project", at least within the time range indicated by the operation log 300.
- the log generation device 100 may use the operation log 300 to confirm whether or not the file corresponds to "no USB output”.
- Specific examples of files belonging to "No USB output” include internal fraud that outputs a confidential file that is not normally output via USB to a USB file, and a user who does not normally access the confidential file accesses the confidential file and puts it in the USB memory. Used to reproduce at least one of the internal frauds that output sensitive files.
- a legitimate user is a user who does not perform malicious operations.
- An insider is a user who performs a malicious operation. The insider may perform normal operations.
- the log generation device 100 assumes that an internal fraud has occurred by virtually regarding a user as an insider. The insider corresponds to the target user.
- the log generation device 100 reproduces an internal fraud performed within the scope of access authority.
- the file DOC2 is a confidential file that is not normally output to the USB memory, this figure shows how an insider executes an internal fraud in which the file DOC2 is output to the USB memory.
- FIG. 4 is a flowchart showing an example of the operation of the log generation device 100. The operation of the log generation device 100 will be described with reference to this figure.
- Step S101 File search process
- Step S102 User search process
- the user search unit 112 determines a user who commits an internal fraud as a target user based on the operation log 300.
- Step S103 Time zone search process
- the time zone search unit 113 determines the time zone in which the target user executes the internal fraud as the target time zone based on the operation log 300.
- Step S104 Operation determination process
- the malicious log generation unit 121 determines the malicious operation on the target file as the target malicious operation based on the malicious operation information 220.
- Step S105 Malicious log generation process
- the malicious log generation unit 121 creates a malicious log 310 indicating that the target user has executed the target malicious operation on the target file in the target time zone.
- Step S106 Peripheral log generation process
- the peripheral log generation unit 122 creates a peripheral log 320 indicating that the target user has executed the peripheral log in the time zone around the target time zone around the target file.
- Step S107 Log embedding process
- the log embedding unit 123 creates a virtual malicious log 400 by embedding the malicious log 310 and the target peripheral log 320 in the operation log 300 as operations executed by the target user in the target time zone and in the vicinity of the target time zone. do.
- FIG. 5 is a flowchart showing an example of the operation of the object search unit 111. The operation of the object search unit 111 will be described with reference to this figure.
- Step S111 File classification process
- the object search unit 111 classifies the files of the target system into categories based on the operation log 300 according to the tendency of access to the files, and determines the target category as the target category.
- Specific examples of the categories are "files that no one accesses", “files that no one edits”, “files that are read-accessed only by specified users or users who belong to specified groups", and “specified users or specified”. Includes “files edited only by users belonging to the group”, “files read-accessed only by specific users", and “files edited only by specific users”. Files that many people access or edit are considered less sensitive. Therefore, the object search unit 111 selects a category in which the accessing user is limited as the target category.
- Step S112 Operation narrowing process
- the object search unit 111 narrows down the files belonging to the target category to the files in which the specified malicious operation has not been executed.
- the object search unit 111 may determine a predetermined malicious operation with reference to the malicious operation information 220.
- the specified malicious operation may differ depending on the user's attributes, the nature of the file, and the like. As a specific example, it is not a stipulated malicious operation that the officer A saves the file F1 locally, but it may be a stipulated malicious operation that the section chief B localizes the file F1. Further, printing the file F1 is not a specified malicious operation, but printing the file F2 may be a specified malicious operation.
- Step S113 Target file extraction process
- the object search unit 111 stores a file containing a specified word in the file name or a directory containing the specified word in the directory name from the files narrowed down by the process of the previous step. Extract files etc. as target files.
- the file name or the directory name is at least one of "confidential", “secret”, “top secret”, “power plant”, “new product project”, “planning document”, and “specification document”. Including the term.
- the object search unit 111 may extract a plurality of files. Further, the object search unit 111 may extract not a file but a file set consisting of a series of files accessed within a certain period of time. When the object search unit 111 extracts the file set, the log generation device 100 executes the process not in the file unit but in the file set unit in the subsequent processing.
- FIG. 6 is a flowchart showing an example of the operation of the user search unit 112. The operation of the user search unit 112 will be described with reference to this figure.
- Step S121 User classification process
- the user search unit 112 classifies each user into categories based on the access tendency to the target file in the operation log 300, and determines the target category as the target category.
- the category includes "a user who does not read access to the target file at all", "a user who only reads access to the target file", and "a user who edits the target file”.
- Step S122 User attribute narrowing process
- the user search unit 112 narrows down the users belonging to the target category to the users who can be the target users by using the user attribute information 210.
- the user search unit 112 narrows down to users with relatively low job titles or users with relatively short years of service.
- the user attribute information 210 may be narrowed down to users whose combination of a plurality of information included in the user attribute satisfies a certain condition.
- Step S123 Target user extraction process
- the user search unit 112 narrows down and narrows down the users narrowed down by the process of the previous step to users who have the authority to access the directory in which the target file is placed, users who have accessed the directory, and the like. Extract the target user from the user.
- the user search unit 112 may extract a plurality of users as target users.
- FIG. 7 is a flowchart showing an example of the operation of the time zone search unit 113. The operation of the time zone search unit 113 will be described with reference to this figure.
- Step S131 Time zone identification process
- the time zone search unit 113 specifies a time zone in which the target user often accesses the file as a specific time zone based on the operation log 300.
- the file does not have to be limited to the target file.
- Step S132 Time zone exclusion process
- the time zone search unit 113 excludes from the specific time zone a time zone in which the target user frequently operates a directory excluding the directory having the target file and the directories around the directory. ..
- the time zone search unit 113 sets the time zone not excluded in this step as the excluded time zone.
- the time zone search unit 113 specifies the time interval of file access of the target user based on the operation log 300, and extracts the target time zone from the excluded time zone based on the specified time interval.
- the time interval may have an upper limit and a lower limit.
- the time zone search unit 113 obtains a time interval based on the type of file or the number of files that the target user opens, the type of file to be edited, the number of files, or the like during a certain period.
- the time zone search unit 113 sets the time when the time interval has elapsed from the time when the target user accesses the file as the target time zone.
- FIG. 8 is a flowchart showing an example of the operation of the malicious log generation unit 121. The operation of the malicious log generation unit 121 will be described with reference to this figure.
- the malicious log generation unit 121 refers to the malicious operation information 220 and determines the malicious operation performed by the target user on the target file as the target malicious operation.
- the malicious log generation unit 121 may narrow down the malicious operations that can actually occur in the target time zone by referring to the operation log 300, and determine the target malicious operation from the narrowed down malicious operations.
- the malicious log generation unit 121 creates a malicious log 310 indicating that the user has executed the target malicious operation on the target file during the relevant time zone.
- the malicious log 310 includes a time stamp, a name of a target file, a name of a target user, and information indicating a target malicious operation.
- FIG. 9 is a flowchart showing an example of the operation of the peripheral log generation unit 122. The operation of the peripheral log generation unit 122 will be described with reference to this figure.
- Step S1511 File selection process
- the peripheral log generation unit 122 selects an arbitrary number of files from files other than the target file in the directory in which the target file is placed and files included in the directories around the directory.
- Step S152 Peripheral operation determination process
- the peripheral log generation unit 122 determines the normal operation for the peripheral file as the target normal operation.
- the target normal operation is an operation that is not a malicious operation.
- Peripheral log generation unit 122 may determine the target peripheral operation by appropriately referring to at least one of the operation log 300 and the malicious operation information 220.
- Step S153 Log generation process
- the peripheral log generation unit 122 creates a peripheral log 320 indicating that the target user has executed the target peripheral operation before and after the time zone of the malicious log 310.
- FIG. 10 is a flowchart showing an example of the operation of the log embedding unit 123. The operation of the log embedding unit 123 will be described with reference to this figure.
- Step S161 Malicious log embedding process
- the log embedding unit 123 embeds the malicious log 310 in the operation log 300 so that the operation indicated by the malicious log 310 is executed in the target time zone.
- Step S162 Peripheral log embedding process
- the log embedding unit 123 appropriately embeds the peripheral log 320 in the operation log 300 to generate a virtual unauthorized log 400.
- FIG. 11 shows a specific example of the operation log 300 and the virtual fraud log 400 corresponding to the operation log 300.
- the log generation device 100 embeds a log indicating an operation in which the user A edits the file B as the peripheral log 320 in the operation log 300, and the user A outputs the file B to the USB memory as the malicious log 310.
- the indicated log is embedded in the operation log 300.
- Embodiment 1 *** As described above, according to the present embodiment, it is possible to automatically generate a virtual internal crime log corresponding to the customer's environment.
- the malicious log generation unit 121 may generate the malicious log 310 by changing a part of the operation log 300.
- the peripheral log generation unit 122 may generate the peripheral log 320 by changing a part of the operation log 300.
- FIG. 12 shows a hardware configuration example of the log generation device 100 according to this modification.
- the log generation device 100 includes a processing circuit 18 in place of at least one of the processor 11, the memory 12, and the auxiliary storage device 13.
- the processing circuit 18 is hardware that realizes at least a part of each part included in the log generation device 100.
- the processing circuit 18 may be dedicated hardware, or may be a processor that executes a program stored in the memory 12.
- the processing circuit 18 may be, for example, a single circuit, a composite circuit, a programmed processor, a parallel programmed processor, an ASIC (ASIC is an Application Specific Integrated Circuit), or an FPGA. (Field Programmable Gate Array) or a combination thereof.
- the log generation device 100 may include a plurality of processing circuits that replace the processing circuit 18. The plurality of processing circuits share the role of the processing circuit 18.
- log generation device 100 some functions may be realized by dedicated hardware, and the remaining functions may be realized by software or firmware.
- the processing circuit 18 is realized by hardware, software, firmware, or a combination thereof.
- the processor 11, the memory 12, the auxiliary storage device 13, and the processing circuit 18 are collectively referred to as a "processing circuit Lee". That is, the function of each functional component of the log generation device 100 is realized by the processing circuit.
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
オブジェクトを有する対象システムにおけるログ生成装置であって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備える。
以下、本実施の形態について、図面を参照しながら詳細に説明する。
図1は、本実施の形態に係るログ生成装置100の構成例を示している。ログ生成装置100は、本図に示すように、ログ分析部110と、ログ生成部120とを備え、オブジェクト条件情報200と、ユーザ属性情報210と、悪意操作情報220とを記憶する。ログ生成装置100は顧客のシステムにおいて用いられてもよい。ログ生成装置100が用いられるシステムを対象システムと呼ぶ。対象システムはオブジェクトを有する。
内部不正は、対象システムが有するオブジェクトに対してユーザが実行する悪意操作であり、悪意ログ310が示す処理である。ユーザは、特に断りがない限り対象システムに登録されているアカウント等を用いて対象システムを利用する利用者を指す。具体例として、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内においてファイルを閲覧し、当該権限の範囲内においてファイルをUSBメモリに出力し、組織の外に当該USBメモリを持ち出すことは内部不正に当たることがある。また、対象システムにおけるアカウントを有する人間であって組織内部の人間が、当該人間に与えられた権限の範囲内において電子機器の設定ファイルを閲覧し、当該権限の範囲内において当該設定ファイルを編集することにより電子機器の故障を誘発させることも内部不正に当たることがある。なお、外部犯が、対象システムにおける正規のユーザのアカウントを盗み、盗んだアカウントを用いて外部から対象システムに侵入し、当該アカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。また、外部犯がマルウェアを含むファイルが添付された標的型メールを対象システムにおける正規ユーザのPC(Personal Computer)に送り、正規ユーザが当該標的型メールに添付されているファイルを開いたことによって正規ユーザのPCがマルウェアに感染した場合を考える。この場合において、外部犯が、正規ユーザのPCをコントロールし、正規ユーザのアカウントの権限の範囲内において対象システムから機密情報を探し、探した機密情報を外部に送信する処理も、内部不正の対象とする。悪意ログ310は、対象ユーザが対象オブジェクトに対して実行した悪意操作を示す仮想的なログであり、操作ログ300の一部となり得るログである。悪意操作は、悪意のあるユーザがシステムに対して実行する正常な操作である。正常な操作は、対象ユーザが対象システムに対して実行する通常の操作である。ある操作が正常な操作である場合に、具体例として、対象システムは、対象ユーザが当該ある操作を実行したときに当該ある操作を異常な操作と判断しない。ここで、正常な操作であるか否かは、ユーザの操作と、ユーザの操作対象との組み合わせによって判断されてもよい。具体例として、正常な操作であるか否かは、操作対象がファイルである場合において、ファイルの機密性と、ファイルへのアクセス頻度と、ファイルに対して頻繁に行われる操作内容との少なくともいずれかと、ユーザのファイルに対する操作との組み合わせに基づいて判断されてもよい。
なお、ログ生成装置100は、発電所のプラント等においても用いることができる。このとき、具体例として、オブジェクト探索部111は機密度の高い電子機器を対象オブジェクトとする。
ログ埋込部123は、特定操作ログを対象操作ログに埋め込んでもよい。ログ埋込部123は、操作ログ300に周辺ログ320を埋め込まなくてもよい。
ログ生成装置100は、プロセッサ11を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ11の役割を分担する。
メモリ12及び補助記憶装置13は一体的に構成されていてもよい。
メモリ12及び補助記憶装置13の機能は、他の記憶装置によって実現されてもよい。
ログ生成装置100の動作手順は、ログ生成方法に相当する。また、ログ生成装置100の動作を実現するプログラムは、ログ生成プログラムに相当する。以下、オブジェクトが電子ファイルである場合におけるログ生成装置100の動作を説明する。
本図は、ファイルDOC2は普段USBメモリに出力されない機密ファイルであるものの、内部犯がファイルDOC2をUSBメモリに出力するという内部不正を実行する様子を示している。
オブジェクト探索部111は、操作ログ300に基づいて、内部不正が実行される対象であるファイルを対象ファイルとして決定する。
ユーザ探索部112は、操作ログ300に基づいて、内部不正を行うユーザを対象ユーザとして決定する。
時間帯探索部113は、操作ログ300に基づいて、対象ユーザが内部不正を実行する時間帯を対象時間帯として決定する。
悪意ログ生成部121は、悪意操作情報220に基づいて、対象ファイルへの悪意操作を対象悪意操作として決定する。
悪意ログ生成部121は、対象ファイルに対して対象時間帯に対象悪意操作を対象ユーザが実行したことを示す悪意ログ310を作成する。
周辺ログ生成部122は、対象ファイルの周辺において対象時間帯の周辺の時間帯において対象ユーザが実行したことを示す周辺ログ320を作成する。
ログ埋込部123は、操作ログ300に対して悪意ログ310と対象周辺ログ320とを対象時間帯及び対象時間帯の周辺において対象ユーザが実行した操作として埋め込むことにより、仮想不正ログ400を作成する。
オブジェクト探索部111は、操作ログ300に基づいて対象システムが有するファイルをファイルへのアクセスの傾向によりカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「誰もアクセスしないファイル」と、「誰も編集しないファイル」と、「規定のユーザ又は規定のグループに属するユーザのみリードアクセスするファイル」と、「規定のユーザ又は規定のグループに属するユーザのみ編集するファイル」と、「特定のユーザのみリードアクセスするファイル」と、「特定のユーザのみ編集するファイル」とを含む。
多くの人がアクセス又は編集するファイルは機密度が低いと考えられる。そこで、オブジェクト探索部111は、アクセスするユーザが限定されているカテゴリを対象カテゴリとして選択する。
オブジェクト探索部111は、対象カテゴリに属するファイルを、規定の悪意操作が実行されていないファイルに絞り込む。オブジェクト探索部111は、悪意操作情報220を参照して規定の悪意操作を決めてもよい。規定の悪意操作はユーザの属性又はファイルの性質等によって異なってもよい。具体例として、役員AがファイルF1をローカル保存することは規定の悪意操作ではないが、課長BがファイルF1をローカルすることは規定の悪意操作であってもよい。また、ファイルF1を印刷することは規定の悪意操作ではないが、ファイルF2を印刷することは規定の悪意操作であってもよい。
オブジェクト探索部111は、前のステップの処理によって絞り込まれたファイルから、ファイル名に規定のワードが含まれているファイル、又は、ディレクトリ名に規定のワードが含まれているディレクトリが格納しているファイル等を対象ファイルとして抽出する。当該ファイル名又は当該ディレクトリ名は、具体例として、「社外秘」と「秘」と「極秘」と「発電プラント」と「新製品プロジェクト」と「企画書」と「仕様書」との少なくともいずれかの用語を含む。
オブジェクト探索部111は複数のファイルを抽出してもよい。また、オブジェクト探索部111は、ファイルではなく、一定の期間内にアクセスされる一連のファイルから成るファイル集合を抽出してもよい。オブジェクト探索部111がファイル集合を抽出した場合、以降の処理において、ログ生成装置100は、ファイル単位ではなくファイル集合単位で処理を実行する。
ユーザ探索部112は、操作ログ300における対象ファイルへのアクセス傾向に基づいて各ユーザをカテゴリに分類し、対象とするカテゴリを対象カテゴリとして決める。カテゴリは、具体例として、「対象ファイルに全くリードアクセスしないユーザ」と、「対象ファイルにリードアクセスのみするユーザ」と、「対象ファイルを編集するユーザ」とを含む。
ユーザ探索部112は、対象カテゴリに属するユーザを、ユーザ属性情報210を用いて対象ユーザとなり得るユーザに絞り込む。ユーザ探索部112は、具体例として、役職が比較的低いユーザ、又は、勤続年数が比較的短いユーザに絞り込む。ユーザ属性情報210は、ユーザ属性が含む複数の情報の組み合わせが一定の条件を満たすユーザに絞り込んでもよい。
ユーザ探索部112は、前のステップの処理によって絞り込まれたユーザから、対象ファイルが置いてあるディレクトリにアクセスする権限のあるユーザ、又は、当該ディレクトリにアクセスしたことのあるユーザ等に絞り込み、絞り込んだユーザから対象ユーザを抽出する。ユーザ探索部112は、複数のユーザを対象ユーザとして抽出してもよい。
時間帯探索部113は、操作ログ300に基づいて対象ユーザがファイルにアクセスすることが多い時間帯を特定時間帯として特定する。ここで、当該ファイルは対象ファイルに限られなくてもよい。
時間帯探索部113は、操作ログ300に基づいて、対象ファイルを有するディレクトリと当該ディレクトリの周辺のディレクトリとを除くディレクトリを対象ユーザが操作することが比較的多い時間帯を、特定時間帯から除く。時間帯探索部113は、本ステップにおいて除外しなかった時間帯を除外済時間帯とする。
時間帯探索部113は、操作ログ300に基づいて対象ユーザのファイルアクセスの時間間隔を特定し、特定した時間間隔に基づいて除外済時間帯から対象時間帯を抽出する。時間間隔には上限と下限とがあってもよい。時間帯探索部113は、具体例として、一定期間の間に対象ユーザが、開くファイルの種類若しくはファイルの数、又は、編集するファイルの種類若しくはファイルの数等に基づいて時間間隔を求める。
時間帯探索部113は、具体例として、対象ユーザがあるファイルにアクセスした時間から時間間隔が経過した時間を対象時間帯とする。
悪意ログ生成部121は、悪意操作情報220を参照して、対象ユーザが対象ファイルに対して実行する悪意操作を対象悪意操作として決定する。悪意ログ生成部121は、操作ログ300を参照することにより、対象時間帯において現実的に起こり得る悪意操作を絞り込み、絞り込んだ悪意操作から対象悪意操作を決定してもよい。
悪意ログ生成部121は、当該ユーザが当該時間帯に、対象ファイルに対して対象悪意操作を実行したことを示す悪意ログ310を作成する。悪意ログ310は、具体例として、タイムスタンプと、対象ファイルの名称と、対象ユーザの名称と、対象悪意操作とを示す情報を含む。
周辺ログ生成部122は、対象ファイルが置かれているディレクトリ内の対象ファイル以外のファイルと、当該ディレクトリの周辺のディレクトリが含むファイルとから、任意の数のファイルを選択する。
周辺ログ生成部122は、当該周辺ファイルに対する正常操作を対象正常操作として決定する。対象正常操作は、悪意操作ではない操作である。周辺ログ生成部122は、操作ログ300と悪意操作情報220との少なくともいずれかを適宜参照して対象周辺操作を決定してもよい。
周辺ログ生成部122は、悪意ログ310の時間帯前後に、対象ユーザが、対象周辺操作を実行したことを示す周辺ログ320を作成する。
ログ埋込部123は、悪意ログ310が示す操作が対象時間帯に実行されたものとなるよう悪意ログ310を操作ログ300に埋め込む。
ログ埋込部123は、周辺ログ320を操作ログ300に適宜埋め込み、仮想不正ログ400を生成する。
以上のように、本実施の形態によれば、顧客の環境に対応した仮想的な内部犯行ログを自動的に生成することができる。
<変形例1>
悪意ログ生成部121は、操作ログ300の一部を変更することにより悪意ログ310を生成してもよい。
周辺ログ生成部122は、操作ログ300の一部を変更することにより周辺ログ320を生成してもよい。
図12は、本変形例に係るログ生成装置100のハードウェア構成例を示している。
ログ生成装置100は、本図に示すように、プロセッサ11とメモリ12と補助記憶装置13との少なくとも1つに代えて、処理回路18を備える。
処理回路18は、ログ生成装置100が備える各部の少なくとも一部を実現するハードウェアである。
処理回路18は、専用のハードウェアであってもよく、また、メモリ12に格納されるプログラムを実行するプロセッサであってもよい。
ログ生成装置100は、処理回路18を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路18の役割を分担する。
プロセッサ11とメモリ12と補助記憶装置13と処理回路18とを、総称して「プロセッシングサーキットリー」という。つまり、ログ生成装置100の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
***他の実施の形態***
実施の形態1について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
なお、上述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。
Claims (10)
- オブジェクトを有する対象システムにおけるログ生成装置であって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索部と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索部と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成部と
を備えるログ生成装置。 - 前記ログ生成装置は、さらに、
前記対象操作ログを用いて前記特定操作ログが示す操作が実行された時間帯を対象時間帯として探索する時間帯探索部を備え、
前記特定操作ログ生成部は、前記特定操作ログが示す操作が前記対象時間帯において実行されたものとする請求項1に記載のログ生成装置。 - 前記ログ生成装置は、さらに、
前記特定操作ログを前記対象操作ログに埋め込むログ埋込部を備える請求項2に記載のログ生成装置。 - 前記ログ生成装置は、さらに、
前記対象時間帯の周辺の時間帯において前記対象オブジェクトが格納されている場所の周辺において前記対象ユーザが実行した操作であって、前記特定操作ではない操作である周辺操作を示す仮想的なログである周辺ログを生成する周辺ログ生成部を備え、
前記ログ埋込部は、前記周辺ログを前記対象操作ログに埋め込む請求項3に記載のログ生成装置。 - 前記オブジェクト探索部は、前記対象システムが有する各オブジェクトの機密度に基づいて前記対象オブジェクトを探索する請求項1から4のいずれか1項に記載のログ生成装置。
- 前記ユーザ探索部は、前記対象システムの各ユーザの属性を示すユーザ属性情報を用いて前記対象ユーザを探索する請求項1から5のいずれか1項に記載のログ生成装置。
- 前記オブジェクトは電子ファイルである請求項1から6のいずれか1項に記載のログ生成装置。
- 前記オブジェクトは電子機器である請求項1から6のいずれか1項に記載のログ生成装置。
- オブジェクトを有する対象システムにおけるログ生成方法であって、
オブジェクト探索部が、前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索し、
ユーザ探索部が、前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索し、
特定操作ログ生成部が、前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成するログ生成方法。 - オブジェクトを有する対象システムにおけるログ生成プログラムであって、
前記対象システムが有するオブジェクトを実際に操作したログである対象操作ログを用いて前記対象システムが有するオブジェクトから対象オブジェクトを探索するオブジェクト探索処理と、
前記対象操作ログを用いて前記対象システムのユーザから前記対象オブジェクトを操作し得るユーザを対象ユーザとして探索するユーザ探索処理と、
前記対象システムにおいて特定のユーザが実行する特定操作を示す特定操作情報を受け取り、前記特定操作情報と、前記対象操作ログとを用いて、前記対象ユーザが前記対象オブジェクトに対して実行した特定操作を示す仮想的なログである特定操作ログを生成する特定操作ログ生成処理と
をコンピュータであるログ生成装置に実行させるログ生成プログラム。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE112021005802.9T DE112021005802T5 (de) | 2021-01-07 | 2021-01-07 | Protokollerzeugungsvorrichtung, protokollerzeugungsverfahren und protokollerzeugungsprogramm |
JP2022570240A JP7229443B2 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
PCT/JP2021/000313 WO2022149233A1 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
CN202180086612.5A CN116670696A (zh) | 2021-01-07 | 2021-01-07 | 日志生成装置、日志生成方法和日志生成程序 |
US18/195,133 US20230273993A1 (en) | 2021-01-07 | 2023-05-09 | Log generation apparatus, log generation method, and non-transitory computer readable medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/000313 WO2022149233A1 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US18/195,133 Continuation US20230273993A1 (en) | 2021-01-07 | 2023-05-09 | Log generation apparatus, log generation method, and non-transitory computer readable medium |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022149233A1 true WO2022149233A1 (ja) | 2022-07-14 |
Family
ID=82358093
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2021/000313 WO2022149233A1 (ja) | 2021-01-07 | 2021-01-07 | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230273993A1 (ja) |
JP (1) | JP7229443B2 (ja) |
CN (1) | CN116670696A (ja) |
DE (1) | DE112021005802T5 (ja) |
WO (1) | WO2022149233A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019121215A (ja) * | 2018-01-09 | 2019-07-22 | 富士通株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
JP2019159902A (ja) * | 2018-03-14 | 2019-09-19 | オムロン株式会社 | 異常検知システム、サポート装置およびモデル生成方法 |
JP2020061007A (ja) * | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
-
2021
- 2021-01-07 CN CN202180086612.5A patent/CN116670696A/zh active Pending
- 2021-01-07 WO PCT/JP2021/000313 patent/WO2022149233A1/ja active Application Filing
- 2021-01-07 JP JP2022570240A patent/JP7229443B2/ja active Active
- 2021-01-07 DE DE112021005802.9T patent/DE112021005802T5/de active Pending
-
2023
- 2023-05-09 US US18/195,133 patent/US20230273993A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019121215A (ja) * | 2018-01-09 | 2019-07-22 | 富士通株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
JP2019159902A (ja) * | 2018-03-14 | 2019-09-19 | オムロン株式会社 | 異常検知システム、サポート装置およびモデル生成方法 |
JP2020061007A (ja) * | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 学習プログラム、学習方法および学習装置 |
Also Published As
Publication number | Publication date |
---|---|
US20230273993A1 (en) | 2023-08-31 |
CN116670696A (zh) | 2023-08-29 |
JPWO2022149233A1 (ja) | 2022-07-14 |
DE112021005802T5 (de) | 2023-08-24 |
JP7229443B2 (ja) | 2023-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8484737B1 (en) | Techniques for processing backup data for identifying and handling content | |
JP5186363B2 (ja) | カスケーディング・セキュリティ・アーキテクチャ | |
US8522346B1 (en) | Protection against unintentional file changing | |
US12008137B2 (en) | Systems and method of contextual data masking for private and secure data linkage | |
CN107810504A (zh) | 基于用户行为确定恶意下载风险的系统和方法 | |
US20140331338A1 (en) | Device and method for preventing confidential data leaks | |
Gül et al. | A survey on anti-forensics techniques | |
Hassan | Digital forensics basics: A practical guide using Windows OS | |
Caloyannides | Privacy protection and computer forensics | |
Schell | Cyber defense triad for where security matters | |
WO2011121927A1 (ja) | デジタルコンテンツ管理システム、装置、プログラムおよび方法 | |
US20230315846A1 (en) | System and method for detecting leaked documents on a computer network | |
Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
WO2022149233A1 (ja) | ログ生成装置、ログ生成方法、及び、ログ生成プログラム | |
JP3762935B1 (ja) | 情報処理装置,ファイル管理システムおよびファイル管理プログラム | |
JP4857199B2 (ja) | 情報資産管理システム、ログ分析装置、及びログ分析用プログラム | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
Kayabaş et al. | Cyber wars and cyber threats against mobile devices: Analysis of mobile devices | |
JP2022060950A (ja) | 欺瞞システム、欺瞞方法および欺瞞プログラム | |
JP7566230B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
CN112069501B (zh) | Fpga嵌入式终端设备比特流攻击检测方法、装置及电子设备 | |
WO2024171423A1 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
JP6091286B2 (ja) | ファイル管理システムおよびファイル管理方法 | |
CN117910010A (zh) | 一种分布式安全存储方法及系统 | |
Pont | Identifying ransomware through statistical and behavioural analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21917460 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2022570240 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 202180086612.5 Country of ref document: CN |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 21917460 Country of ref document: EP Kind code of ref document: A1 |