本发明专利技术提供一种分析装置,具有:接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测,从而使对跨多个设备发生的事件的发生进行检测成为可能。
【技术实现步骤摘要】
【国外来华专利技术】分析装置、分析系统、分析方法以及程序
本专利技术涉及分析装置、分析系统、分析方法以及程序。
技术介绍
以往,具有搭载于用于控制IoT(InternetofThings)设备、机器人等的产业机械的IoT设备的控制设备、或者用于管理其连接的网络设备(以下,仅将这些统称为“设备”。)上,并且用于检测网络攻击的监视/检测软件、监视/检测装置。另外,这些设备检测到的网络攻击的检测日志被上传至配置在中心服务器上的分析服务器。监视/检测软件、监视/检测装置对由设备取得的通信日志、系统日志进行监视,从而检测网络攻击。另外,中心服务器对网络攻击的检测日志进行详细的分析,从而进行攻击手段等的网络攻击的详细内容的把握。<现有技术文献><非专利文献>非专利文献1:“ITシステムや制御システム、IoTなど多様な環境におけるセキュリティインシデントの解決を世界規模で支援する統合セキュリティオペレーションセンターを開設”、[online]、因特网<URL:https://www.hitachi-systems.com/news/2017/20171031_01.html>
技术实现思路
<本专利技术要解决的问题>但是,若仅对来自各设备的日志个别地进行分析,则存在检测困难的事件。例如,在个别的分析中,对跨多个设备发生的事件(例如,大規模的网络攻击等)的发生进行检测是困难的。本专利技术是鉴于上述这点而成的,其目的在于,使对跨多个设备发生的事件的发生进行检测成为可能。<用于解决问题的手段>于是为了解决上述课题,分析装置具有:接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测。<专利技术的效果>使对跨多个设备发生的事件的发生进行检测成为可能。附图说明图1是示出本专利技术的实施方式中的系统构成例的图。图2是示出本专利技术的实施方式中的监视服务器10的硬件构成例的图。图3是示出本专利技术的实施方式中的车辆20的硬件构成例的图。图4是示出本专利技术的实施方式中的车辆20以及监视服务器10的功能构成例的图。图5是用于说明监视服务器10所执行的处理步骤的一个例子的流程图。具体实施方式以下,基于附图对本专利技术的实施方式进行说明。图1是示出本专利技术的实施方式中的系统构成例的图。在图1中,多个车辆20是通过因特网等的网络N1与各种服务器(监视服务器10、汽车公司正式服务器30a、服务提供服务器30b等)连接的汽车(互联汽车)。例如,各车辆20通过移动通信网等的无线网络与网络N1连接,从而与各种服务器通信。汽车公司正式服务器30a是车辆20的汽车公司运营的、通过网络N1进行车辆20(互联汽车)的管理以及汽车公司的正式服务提供的一台以上的计算机。例如,汽车公司正式服务器30a可以提供远程信息处理服务。服务提供服务器30b是第三者运营的、针对车辆20的利用者提供为了提高车辆20的便利性的各种服务的一台以上的计算机。监视服务器10是基于自车辆20发送(上传)的数据,进行对跨多个车辆20的事件的发生的检测等的一台以上的计算机。图2是示出本专利技术的实施方式中的监视服务器10的硬件构成例的图。在图2中,监视服务器10具有分别通过总线B彼此连接的驱动装置100、辅助存储装置102、存储器装置103、CPU104、以及接口装置105等。用于实现在监视服务器10的处理的程序由CD-ROM等的存储介质101提供。若将存储有程序的存储介质101安置于驱动装置100,则程序自存储介质101通过驱动装置100安装于辅助存储装置102。但是,程序的安装并非必须通过存储介质101进行,也可以通过网络自其他的计算机下载。辅助存储装置102储存安装的程序,并且储存必要的文件、数据等。在收到程序的启动指示的情况下,存储器装置103自辅助存储装置102读取并储存程序。CPU104依照在存储器装置103中储存的程序来执行监视服务器10的功能。接口装置105用作连接网络的接口。图3是示出本专利技术的实施方式中的车辆20的硬件构成例的图。在图3中,车辆20包括通信装置210、信息类子系统220、控制类子系统230以及网关设备240等。通信装置210包括用于连接网络N1的通信模块、用于与其他的车辆20或道路上的设备等进行通信的通信模块、以及用于通过无线LAN或近距离无线通信与智能手机等连接的通信模块等。信息类子系统220是根据安装的程序来执行信息处理的部分,包括CPU221、存储器装置222、辅助存储装置223、显示装置224以及输入装置225等。在辅助存储装置223中存储安装的程序、被该程序利用的各种数据。存储器装置222自辅助存储装置223读取并储存作为启动对象的程序。CPU221依照储存于存储器装置222的程序来执行信息类子系统220的功能。显示装置224用于显示基于程序的GUI(GraphicalUserInterface)等。输入装置225是按键等、触摸面板等的操作部件,其用于输入各种操作指示。需要说明的是,例如车辆导航、汽车音响的头单元等的车载机器是信息类子系统220的一个例子。控制类子系统230是用于控制车辆20的举动的部分,其包括用于各种控制的多个微型计算机231等。例如,ECU(ElectronicControlUnit)是微型计算机231的一个例子。网关设备240是用于将信息类子系统220和控制类子系统230连接的网关(例如,CGW(CentralGateway))。即,在信息类子系统220中处理的通信协议为例如IP协议,在控制类子系统230中被用作与微型计算机231之间的通信的通信协议为专门用于控制的非IP协议(例如,CAN(ControllerAreaNetwork))。因此,设有用于吸收这些通信协议的不同的网关设备240。需要说明的是,图4所示硬件构成仅为一个例子。只要能够实现后述功能,车辆20的硬件构成不特别限定。图4是示出本专利技术的实施方式中的车辆20以及监视服务器10的功能构成例的图。在图4中,车辆20的信息类子系统220具有连接信息管理部251、管理功能实施部252、服务功能实施部253、功能实施管理部254、异常判定部255以及日志发送部256等。对于这些各部,安装于信息类子系统220中的一个以上的程序通过使CPU221执行的处理来实现。信息类子系统220另外具有日志DB261以及检测DB262等的数据库(存储部)。这些各数据库(存储部)可以使用例如存储器装置222或辅助存储装置223等来实现。管理功能实施部252通过经由因特网等访问用于管理车辆本文档来自技高网...
【技术保护点】
1.一种分析装置,具有:/n接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;/n判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及/n检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测。/n
【技术特征摘要】
【国外来华专利技术】20181011 JP 2018-1924121.一种分析装置,具有:
接收部,其通过网络接收自与上述网络连接的多个设备各自发送的日志数据;
判定部,其针对每一个上述设备,基于自该设备发送的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定;以及
检测部,其基于上述判定部的判定结果为相同类别的多个事件所涉及的多个设备各自的日志数据的比较,对跨该多个设备的事件的发生进行检测。
2.根据权利要求1所述的分析装置,其中,
上述判定部基于在上述设备中检测到异常时的日志数据,对在该设备中发生的事件为多个类别中的哪一类进行判定。
3.根据权利要求2所述的分析装置,其中,
上述判定部对在上述设备中发生的事件是否为上述异常的误检测进行判定。
4.根据权利要求1至3中任一项所述的分析装置,其中,
上述判定部对在上述设备中发生的上述设备的事件是否为故障进行判定。
5.根据权利要求1至4中任一项所述的分析装置,其中,
上述判定部对在上述设备中发生的事件是否为网络攻击进行判定。
6.一种分析系统,其包括多个设备、以及通过网络与上述多个设备连接的分析装置,
上述分析装置具有:
接收部,其通过上述...
【专利技术属性】
技术研发人员:田中政志,冈野靖,小山卓麻,长谷川庆太,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。