本发明专利技术提供一种提高系统异常的检测能力的信息处理装置。该信息处理装置包括:用于基于表示系统中所包括的多个要素之间的关系的变化的关系变化信息来生成状态图的部件,所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;用于基于所述关系变化信息来生成正常模型的部件,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;以及用于基于所述状态图和所述正常模型来检测系统异常并且输出表示所检测到的异常的异常信息的部件。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于检测系统异常的技术。
技术介绍
已知有用以检测系统异常的各种现有技术。例如,专利文献1公开了进程监视装置。专利文献1中所公开的该进程监视装置按以下方式进行工作。首先,进程监视装置基于进程的静态属性来提取需要注意进程。静态属性的示例包括进程名称、用于实现进程的程序的制造商名称、程序(软件)名称、版本、启动进程的父进程的名称、以及进程大小。进程监视装置在当前静态属性与过去的静态属性不同的情况下提取相关进程作为需要注意进程。进程监视装置在过去的静态属性不可用的情况下提取相关进程作为需要注意进程。进程监视装置在父进程不可识别的情况下提取相关进程作为需要注意进程。进程监视装置在外部进程用作父进程的情况下提取相关进程作为需要注意进程。其次,进程监视装置基于动态属性来针对需要注意进程发出警报。动态属性的示例包括动态专用存储器字节数、动态共享存储器字节数、重定向器发送、接收流量速率和硬盘访问速率。在可以通过使用任何统计方法来区分过去的动态属性和当前动态属性的情况下,进程监视装置例如针对相关的需要注意进程生成警告或者将相关的需要注意进程登记为要监视的进程。再次,进程监视装置提取与需要注意进程具有预定相关性的关联进程并且将该关联进程确定为要监视的进程。具有预定相关性的进程的示例包括具有明确父子关系的进程、以及尽管不具有明确父子关系但在要监视的进程进行工作的情况下始终启动的进程。专利文献2公开了与安全应用程序中的云计算的使用相关联的技术。专利文献2中所公开的系统按以下方式进行工作。首先,系统监视客户端的流量。其次,系统将所监视到的流量与同客户端的工作模式相对应的预测流量模式进行比较。再次,系统基于比较结果来判断是否发现了安全威胁。现有技术文献专利文献专利文献1:日本特开2008-021274专利文献2:日本特表2012-523159
技术实现思路
专利技术要解决的问题然而,在上述的现有技术文献所公开的技术中,仅检测个别的要素单位的异常或者由于预定义的攻击模式所引起的异常。换句话说,例如难以检测由于针对计算机系统的未知目标类型的攻击而引起的异常。这是因为,专利文献1中所公开的技术仅用于基于个别进程的预定义的静态和动态属性来检测异常。专利文献1中所公开的技术在相关进程提取方面仅考虑到父子关系和启动之间的同步性。专利文献2中所公开的技术仅用于基于预测流量模式来检测客户端的流量的异常。本专利技术的目的是提供用以解决上述问题的信息处理装置、监视方法及其程序或用于记录程序的非瞬态计算机可读记录介质。用于解决问题的方案根据本专利技术的一方面的信息处理装置,包括:绘图部,用于基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;正常模型生成部,用于基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;以及异常检测部,用于基于所述状态图和所述正常模型来检测与所述系统相关联的异常,并且输出表示所检测到的所述异常的第一异常信息。根据本专利技术的一方面的异常检测方法,包括以下步骤:基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;基于所述状态图和所述正常模型来检测与所述系统相关联的异常;以及输出表示所检测到的所述异常的异常信息。根据本专利技术的一方面的非瞬态计算机可读记录介质记录用于使计算机执行以下处理的程序:基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;基于所述状态图和所述正常模型来检测与所述系统相关联的异常;以及输出表示所检测到的所述异常的异常信息。专利技术的效果本专利技术可以提高系统异常的检测能力。附图说明图1是示出根据本专利技术的第一实施例的信息处理装置的结构的框图。图2是示出根据第一实施例的包括信息处理装置和要监视的系统的信息处理系统的结构的框图。图3是示出第一实施例中的示例性关系变化信息的图。图4是示出第一实施例中的示例性状态图的图。图5是示出第一实施例中的状态图所表示的要素之间的关系的概念图。图6是示出第一实施例中的示例性正常模型的图。图7是示出第一实施例中的示例性异常信息的图。图8是示出实现根据第一实施例的信息处理装置的计算机的硬件结构的框图。图9是示出第一实施例中的信息处理装置的操作的流程图。图10是示出第一实施例中的信息处理装置的操作的流程图。图11是示出第一实施例中的示例性关系变化信息的图。图12是示出第一实施例中的另一示例性状态图的图。图13是示出根据本专利技术的第二实施例的信息处理装置的结构的框图。图14是示出第二实施例中的示例性异常信息的图。图15是示出根据本专利技术的第三实施例的信息处理装置的结构的框图。图16是示出第三实施例中的示例性异常信息的图。图17是示出根据本专利技术的第四实施例的信息处理装置的结构的框图。图18是示出第四实施例中的示例性异常信息的图。图19是示出第四实施例中的另一示例性异常信息的图。图20是示出根据本专利技术的第五实施例的信息处理装置的结构的框图。具体实施方式以下将参考附图来详细说明本专利技术的实施例。在本说明书所述的各附图和各实施例中,相同的附图标记表示相同的构成要素,并且将适当地省略对相同的构成要素的说明。第一实施例图1是示出根据本专利技术的第一实施例的信息处理装置100的结构的框图。如图1所示,根据本实施例的信息处理装置100包括绘图部110、正常模型生成部120和异常检测部130。可以针对硬件单位的电路或计算机装置的功能单位来划分图1所示的构成要素。这里假定要针对计算机装置的功能单位来划分图1所示的构成要素。图2是示出包括信息处理装置100、要监视的系统(以下还简称为“系统”)900和关系变化监视部件930的信息处理系统的结构的框图。要监视的系统900要监视的系统900包括多个要素920。各要素920具有与其它各要素920的特定关系。例如,要监视的系统900是包括经由网络彼此连接的多个主机(未示出)并且在这些主机上启动进程(未示出)的信息处理系统。要监视的系统900可以是社交网络。要监视的系统900可以是具有特定构造的数据项(要素920)的集合。具有特定构造的数据项的集合的示例包括具有超文本链接和超文本链接对象之间的关系的文件的集合。要监视的系统900可以是与上述的示例无关的任何系统。关系变化监视部件930关系变化监视部件930监视要监视的系统900中所包括的要素920之间的关系的变化。关系变化监视部件930将所检测到的关系的变化作为关系变化信息810发送至信息处理装置100。关系变化监视部件9本文档来自技高网...
【技术保护点】
一种信息处理装置,包括:绘图部,用于基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;正常模型生成部,用于基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;以及异常检测部,用于基于所述状态图和所述正常模型来检测与所述系统相关联的异常,并且输出表示所检测到的所述异常的第一异常信息。
【技术特征摘要】
【国外来华专利技术】2014.03.20 JP 2014-058497;2014.06.05 JP PCT/JP20141.一种信息处理装置,包括:绘图部,用于基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;正常模型生成部,用于基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;以及异常检测部,用于基于所述状态图和所述正常模型来检测与所述系统相关联的异常,并且输出表示所检测到的所述异常的第一异常信息。2.根据权利要求1所述的信息处理装置,其中,所述系统包括经由网络彼此连接的多个主机,以及所述主机上所运行的进程由所述顶点来定义。3.根据权利要求1或2所述的信息处理装置,其中,所述异常检测部计算与所检测到的所述异常相对应的表示所述状态图相对于所述正常模型的偏差程度的异常度,并且输出至少包括所计算出的所述异常度的所述第一异常信息。4.根据权利要求1~3中任一项所述的信息处理装置,其中,所述异常检测部输出至少包括与所检测到的所述异常相对应的用于识别所述要素的信息和与所述要素之间的关系有关的信息的所述第一异常信息。5.根据权利要求1~4中任一项所述的信息处理装置,其中,所述异常检测部输出基于所述状态图和所述第一异常信息所生成的包括用于表示异常的图表的第二异常信息。6.根据权利要求5所述的信息处理装置,其中,所述异常检测部在所述要素之间的所有关系中提取通过与所述正常模型进行对照而被视为正常的所述要素之间的关系,并且与所提取的所述要素之间的关系重叠地输出用于表示异常的图表。7.根据权利要求5或6所述的信息处理装置,其中,所述异常检测部独立地或彼此相关联地输出表示所述状态图、所述正常模型和所述第二异常信息各自的时间变化的显示信息。8.根据权利要求1~7中任一项所述的信息处理装置,其中,还包括:历...
【专利技术属性】
技术研发人员:野村崇志,喜田弘司,上村纯平,荣纯明,胜田悦子,山崎健太郎,小林佑嗣,矶山和彦,
申请(专利权)人:日本电气株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。