感染范围确定装置和感染范围确定程序的制作方法

1.本公开涉及防止网络攻击所造成的感染的再次发生。


背景技术：

2.针对网络攻击进行以下那样的对策。
3.首先，检测针对监视对象的网络攻击。
4.接着，判断网络攻击的影响。
5.然后，根据网络攻击的影响来决定监视对象的缩退动作。例如，在缩退动作中，进行功能的切换或功能的重新配置。
6.此外，针对网络攻击的影响，需要实施感染部分的去除以及防止再次发生的应对。
7.感染部分的去除是指感染部分的删除、恢复或者初始化等。感染部分是通过网络攻击而改变的部分。例如，感染部分是改变后的代码和改变后的数据。为了去除感染部分，需要确定感染部分。
8.如果仅是去除感染部分则有可能再次受到网络攻击，因此，需要实施防止再次发生的应对。防止再次发生的具体应对为，切断网络攻击的侵入路径。为了切断网络攻击的侵入路径，需要确定网络攻击的侵入路径。
9.专利文献1公开了如下技术，该技术用于即便在车载系统中产生了由安全攻击引起的异常的情况下也将汽车的行驶控制保持为安全的状态。
10.现有技术文献
11.专利文献
12.专利文献1：日本特开2018-194909号公报


技术实现要素：

13.发明要解决的问题
14.在专利文献1中公开了基于异常内容和异常位置而唯一地决定缩退动作。但是，未公开用于实施感染部分的去除和防止再次发生的应对的方法。尤其是未公开确定侵入路径的方法和确定感染部分的方法。
15.本公开的目的在于，能够确定侵入路径和感染部分。
16.用于解决问题的手段
17.本公开的感染范围确定装置具备：关系构建部，其基于多个软件动作数据生成对象关系数据，该多个软件动作数据分别包含软件动作的动作类型和表示在所述软件动作中使用的多个软件对象的动作对象信息，该对象关系数据表示所述多个软件对象的关系；以及感染范围确定部，其基于所述对象关系数据和通知网络攻击的发生的警报数据，生成表示受到网络攻击的影响的感染范围的感染范围数据。
18.发明的效果
19.根据本公开，能够确定侵入路径和感染部分这样的感染范围。
附图说明
20.图1是实施方式1中的感染范围确定装置100的结构图。
21.图2是实施方式1中的感染范围确定方法的流程图。
22.图3是示出实施方式1中的对象关系数据191的图。
23.图4是示出实施方式1中的侵入路径数据192的图。
24.图5是示出实施方式1中的感染对象数据193的图。
25.图6是实施方式1中的关系构建(s110)的流程图。
26.图7是实施方式1中的感染范围确定(s120)的流程图。
27.图8是示出实施方式2中的对象关系数据194的图。
28.图9是示出实施方式3中的对象关系数据195a的图。
29.图10是示出实施方式3中的对象关系数据195d的图。
30.图11是示出实施方式3中的对象关系数据195g的图。
31.图12是实施方式中的感染范围确定装置100的硬件结构图。
具体实施方式
32.在实施方式和附图中，针对相同的要素或者对应的要素标注相同的标号。适当省略或简化标注了与所说明的要素相同的标号的要素的说明。图中的箭头主要表示数据流或者处理流。
33.实施方式1.
34.基于图1至图7对感染范围确定装置100进行说明。
35.＊＊＊结构的说明＊＊＊
36.基于图1对感染范围确定装置100的结构进行说明。
37.感染范围确定装置100是具备处理器101、存储器102、辅助存储装置103、通信装置104以及输入输出接口105这样的硬件的计算机。这些硬件经由信号线相互连接。
38.处理器101是进行运算处理的ic，对其他硬件进行控制。例如，处理器101是cpu、dsp或者gpu。
39.ic是integrated circuit(集成电路)的简称。
40.cpu是central processing unit(中央处理单元)的简称。
41.dsp是digital signal processor(数字信号处理器)的简称。
42.gpu是graphics processing unit(图形处理单元)的简称。
43.存储器102是易失性或者非易失性的存储装置。存储器102也被称为主存储装置或者主存储器。例如，存储器102是ram。存储器102所存储的数据根据需要而保存于辅助存储装置103。
44.ram是random access memory(随机存取存储器)的简称。
45.辅助存储装置103是非易失性的存储装置。例如，辅助存储装置103是rom、hdd或者闪存。辅助存储装置103所存储的数据根据需要而被加载到存储器102。
46.rom是read only memory(只读存储器)的简称。
47.hdd是hard disk drive(硬盘驱动器)的简称。
48.通信装置104是接收器和发射器。例如，通信装置104是通信芯片或者nic。
49.nic是network interface card(网络接口卡)的简称。
50.输入输出接口105是连接输入装置和输出装置的端口。例如，输入输出接口105是usb端子，输入装置是键盘和鼠标，输出装置是显示器。
51.usb是universal serial bus(通用串行总线)的简称。
52.感染范围确定装置100具备受理部110、关系构建部120、感染范围确定部130以及输出部140这样的要素。这些要素由软件实现。
53.在辅助存储装置103中，存储有用于使计算机作为受理部110、关系构建部120、感染范围确定部130以及输出部140发挥功能的感染范围确定程序。感染范围确定程序被加载到存储器102中，由处理器101执行。
54.在辅助存储装置103中还存储有os。os的至少一部分被加载到存储器102中，由处理器101执行。
55.处理器101一边执行os，一边执行感染范围确定程序。
56.os是operating system(操作系统)的简称。
57.感染范围确定程序的输入输出数据被存储在存储部190中。
58.存储器102作为存储部190发挥功能。但是，辅助存储装置103、处理器101内的寄存器以及处理器101内的高速缓冲存储器等存储装置也可以代替存储器102或者与存储器102一起作为存储部190发挥功能。
59.感染范围确定装置100也可以具备代替处理器101的多个处理器。多个处理器分担处理器101的功能。
60.感染范围确定程序能够以计算机可读取的方式记录(存储)在光盘或闪存等非易失性的记录介质中。
61.＊＊＊动作的说明＊＊＊
62.感染范围确定装置100的动作的步骤相当于感染范围确定方法。此外，感染范围确定装置100的动作的步骤相当于基于感染范围确定程序的处理的步骤。
63.基于图2对感染范围确定方法进行说明。
64.在步骤s110中，关系构建部120基于多个软件动作数据而生成对象关系数据。
65.软件动作数据是表示软件动作的数据。
66.软件动作是通过软件的执行而产生的动作。以下示出软件动作的例子。
67.(1)进程起动。
68.(2)进程结束。
69.(3)通信。
70.(4)文件写入。
71.(5)文件读入。
72.(6)文件权限变更。
73.(7)系统调用。
74.(8)应用动作。
75.(9)认证(成功)。
76.(10)认证(失败)。
77.(11)策略违反
78.软件动作数据的具体例是通信日志、os日志、文件访问日志、应用日志或者存储器访问日志等日志数据。例如从os或者应用输出日志数据。
79.软件动作数据包含动作类型、动作对象信息以及动作时刻。
80.动作类型是软件动作的种类。
81.动作对象信息表示在软件动作中使用的多个软件对象。
82.软件对象是在软件的执行时使用的要素。以下示出软件对象的例子。
83.(1)数据文件或程序文件等文件。
84.(2)数据文件中的各数据。各数据在进程中使用。
85.(3)进程。进程是执行程序文件后的各实例。
86.具体而言，动作对象信息表示动作对象和目标对象。
87.动作对象是进行软件动作的软件对象。即，动作对象是成为软件动作的主体的软件对象。动作对象的具体例是进程。
88.目标对象是成为软件动作的目标的软件对象。即，目标对象是成为软件动作的客体的软件对象。目标对象的具体例是文件。
89.动作时刻是发生软件动作的时刻。
90.对象关系数据是表示多个软件对象的关系的数据。具体而言，对象关系数据表示对象关系图。
91.对象关系图按照每个软件对象而具有节点，按照每个节点的组而具有边。
92.节点表示软件对象。
93.边表示软件对象之间的关系。
94.图3示出对象关系数据191。对象关系数据191是对象关系数据的一例。
95.对象关系数据191表示对象关系图191g。
96.在对象关系图191g中，记载有进程名、文件名或者日志名的要素是节点。连结节点的线是边。由箭头线表示的边是表示与动作类型相应的有向关系性的有向边。标注在边上的用语表示与动作类型相应的关系性。
97.返回图2继续进行说明。
98.之后叙述关系构建(s110)的步骤。
99.在步骤s120中，感染范围确定部130基于对象关系数据和警报数据而生成感染范围数据。
100.警报数据是通知网络攻击的发生的数据，包含异常对象信息。
101.异常对象信息表示异常对象。
102.异常对象是被检测到网络攻击的软件对象。
103.感染范围数据是表示感染范围的数据，包含侵入路径数据和感染对象数据。感染范围是受到网络攻击的影响的范围。
104.侵入路径数据表示网络攻击的侵入路径。网络攻击的侵入路径包含在感染范围内。
105.感染对象数据表示感染对象。
106.感染对象是受到网络攻击的影响的软件对象。
107.图4示出侵入路径数据192。侵入路径数据192是侵入路径数据的一例。
108.侵入路径数据192表示从外部进程到进程2的侵入路径。进程2是异常对象。
109.图5示出感染对象数据193。感染对象数据193是感染对象数据的一例。
110.感染对象数据193除了表示侵入路径上的各软件对象之外，还表示从进程2受到影响的各软件对象。
111.返回图2继续进行说明。
112.之后叙述感染范围确定(s130)的步骤。
113.在步骤s130中，输出部140输出感染范围数据。
114.即，输出部140输出侵入路径数据和感染对象数据。
115.基于图6，对关系构建(s110)的步骤进行说明。
116.预先准备空的对象关系数据。
117.按照每个软件动作数据而执行步骤s111至步骤s113。
118.在步骤s111中，受理部110受理软件动作数据。
119.具体而言，向感染范围确定装置100输入软件动作数据。然后，受理部110受理所输入的软件动作数据并将其存储于存储部190。
120.软件动作数据可以由利用者输入，也可以通过与监视对象之间的通信而输入，还可以通过其他方法而输入。
121.在步骤s112中，关系构建部120从软件动作数据中提取动作类型和动作对象信息。
122.在步骤s113中，关系构建部120基于动作类型和动作对象信息来更新对象关系数据。
123.对象关系数据如以下那样被更新。对象关系数据表示对象关系图。动作对象信息表示动作对象和目标对象这2个软件对象。
124.关系构建部120从对象关系图中搜索表示动作对象信息所示的各软件对象的节点。
125.关系构建部120新生成未找到的节点，将生成的节点追加到对象关系图。
126.关系构建部120从对象关系图中选择动作对象节点和目标对象节点。动作对象节点是表示动作对象的节点，目标对象节点是表示目标对象的节点。
127.关系构建部120生成将所选择的2个节点连结的边，将生成的边追加到对象关系图中。具体而言，关系构建部120根据动作类型来确定动作对象与目标对象的有向关系性，追加从动作对象节点向目标对象节点的有向边。有向边具有表示确定出的有向关系性的方向。
128.通过针对多个软件动作数据分别执行关系构建(s110)，例如生成对象关系数据191(参照图3)。
129.基于图7，对感染范围确定(s120)的步骤进行说明。
130.在步骤s121中，受理部110受理警报数据。
131.具体而言，向感染范围确定装置100输入警报数据。然后，受理部110受理所输入的警报数据并存储于存储部190。
132.警报数据可以由利用者输入，也可以通过与攻击检测装置之间的通信而输入，还可以通过其他方法输入。攻击检测装置是对监视对象进行监视、检测所发生的网络攻击并输出警报数据的装置。
133.在步骤s122中，感染范围确定部130从警报数据中提取异常对象信息。
134.在步骤s123中，感染范围确定部130使用对象关系图，来确定从异常对象节点到外部进程节点的侵入路径。
135.侵入路径如以下那样确定。对象关系图中的各边是有向边。
136.首先，感染范围确定部130从对象关系图中选择异常对象节点。异常对象节点是表示异常对象的节点。
137.然后，感染范围确定部130从异常对象节点到外部进程节点沿反向追溯各有向边。外部进程节点是表示外部进程的节点。外部进程是在监视对象的外部生成的进程。
138.从异常对象节点到外部进程节点的路径是侵入路径。
139.在步骤s124中，感染范围确定部130使用对象关系图来确定感染对象。
140.感染对象如以下那样被确定。
141.感染范围确定部130从对象关系图中选择位于侵入路径的各节点。由所选择的各节点表示的软件对象是感染对象。
142.此外，感染范围确定部130从位于侵入路径的各节点沿正向追溯各有向边。由追溯的目的地的各节点表示的软件对象是感染对象。
143.在步骤s125中，感染范围确定部130生成感染范围数据。
144.即，感染范围确定部130生成侵入路径数据和感染对象数据。
145.侵入路径数据如以下那样被生成。
146.感染范围确定部130生成表示在步骤s123中确定的侵入路径的数据。所生成的数据是侵入路径数据。
147.感染对象数据如以下那样被生成。
148.感染范围确定部130生成表示在步骤s124中确定的感染对象的数据。所生成的数据是感染对象数据。
149.通过使用对象关系数据191(参照图3)执行感染范围确定(s120)，从而生成侵入路径数据192(参照图4)和感染对象数据193(参照图5)。异常对象是进程2。
150.＊＊＊实施例的说明＊＊＊
151.以下示出关系构建(s110)(参照图6)的实施例。
152.＜实施例1＞
153.在步骤s111中，受理部110受理表示进程结束的日志数据。
154.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是进程结束。动作对象是指示进程，目标对象是结束进程。
155.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
156.＜实施例2＞
157.在步骤s111中，受理部110受理表示通信的日志数据。
158.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是通信。动作对象是通信源进程，目标对象是通信目的地进程。在通信源进程和通信目
的地进程中的各进程是外部进程的情况下，各进程通过外部地址而被识别。外部地址是对作为监视对象的外部的装置进行识别的地址。
159.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。即，在动作对象信息作为动作对象或目标对象的识别符而示出外部地址的情况下，生成表示外部进程的节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
160.＜实施例3＞
161.在步骤s111中，受理部110接受表示文件访问(write)的日志数据。
162.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是文件写入。动作对象是进程，目标对象是文件。
163.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
164.＜实施例4＞
165.在步骤s111中，受理部110接受表示文件访问(read)的日志数据。
166.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是文件读入。动作对象是进程，目标对象是文件。
167.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
168.＜实施例5＞
169.在步骤s111中，受理部110接受表示文件访问(权限变更)的日志数据。
170.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是文件权限变更。动作对象是进程，目标对象是文件。
171.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
172.＜实施例6＞
173.在步骤s111中，受理部110接受表示os系统调用的日志数据。
174.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是系统调用。系统调用的种类例如通过名称来识别。动作对象是进程，目标对象是进程或文件。
175.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对
象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
176.＜实施例7＞
177.在步骤s111中，受理部110接受表示应用动作的日志数据。
178.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是应用动作。应用动作的种类例如通过名称来识别。动作对象是进程，目标对象是进程或文件。
179.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
180.＜实施例8＞
181.在步骤s111中，受理部110接受表示安全的日志数据。安全的具体例是认证。
182.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是认证成功、认证失败或者策略违反。动作对象是进程，目标对象是进程。
183.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点。然后，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边。对边标注与动作类型相应的关系性。
184.＊＊＊实施方式1的效果＊＊＊
185.感染范围确定装置100能够确定侵入路径和感染部分(感染对象)。
186.感染范围确定装置100能够通过对象关系图而一维地管理多个软件对象的关系。由此，迅速地确定侵入路径和感染部分。
187.通过确定侵入路径和感染部分，能够实现感染部分的去除和防止再次发生的应对。
188.实施方式2.
189.针对生成包含3个软件对象之间的关系的对象关系数据的方式，基于图8主要说明与实施方式1的不同点。
190.＊＊＊结构的说明＊＊＊
191.感染范围确定装置100的结构与实施方式1中的结构(参照图1)相同。
192.＊＊＊动作的说明＊＊＊
193.感染范围确定方法与实施方式1中的方法(参照图2)相同。
194.但是，通过关系构建(s110)而生成包含3个软件对象之间的关系的对象关系数据。
195.基于图6对关系构建(s110)的步骤进行说明。
196.在步骤s111中，受理部110受理软件动作数据。
197.软件动作数据包含动作类型和动作对象信息。动作对象信息表示在通过动作类型而识别的软件动作中使用的3个软件对象。
198.在步骤s112中，关系构建部120从软件动作数据中提取动作类型和动作对象信息。
199.在步骤s113中，关系构建部120基于动作类型和对象信息，来更新对象关系数据。
200.对象关系数据如以下那样被更新。对象关系数据表示对象关系图。动作对象信息
表示第1对象、第2对象以及第3对象这3个软件对象。
201.关系构建部120从对象关系图中搜索表示动作对象信息所示的各软件对象的节点。
202.关系构建部120向对象关系图追加未找到的节点。
203.关系构建部120从对象关系图中选择第1对象节点和第3对象节点。第1对象节点是表示第1对象的节点，第3对象节点是表示第3对象的节点。关系构建部120向对象关系图追加将所选择的2个节点连结的边。具体而言，关系构建部120追加从第1对象节点到第3对象节点的有向边。
204.关系构建部120从对象关系图中选择第2对象节点和第3对象节点。第2对象节点是表示第2对象的节点。关系构建部120向对象关系图追加将所选择的2个节点连结的边。具体而言，关系构建部120追加从第3对象节点到第2对象节点的有向边。
205.＊＊＊实施例的说明＊＊＊
206.基于图8，对关系构建(s110)(参照图6)的实施例进行说明。
207.图8示出对象关系数据194。对象关系数据194表示对象关系图194g。
208.在步骤s111中，受理部110接受表示进程起动的日志数据。
209.在步骤s112中，关系构建部120从日志数据中提取动作类型和动作对象信息。动作类型是进程起动。第1对象是父进程，第2对象是子进程，第3对象是程序文件。
210.在步骤s113中，如果在对象关系图中不存在第1对象节点，则关系构建部120向对象关系图追加第1对象节点。此外，如果在对象关系图中不存在第2对象节点，则关系构建部120向对象关系图追加第2对象节点。此外，如果在对象关系图中不存在第3对象节点，则关系构建部120向对象关系图追加第3对象节点。然后，关系构建部120向对象关系图追加从第1对象节点到第3对象节点的边。进而，关系构建部120向对象关系图追加从第3对象节点到第2对象节点的边。对各边标注与动作类型相应的关系性。
211.＊＊＊实施方式2的效果＊＊＊
212.感染范围确定装置100不仅能够管理2个软件对象之间的关系，也能够管理3个软件对象之间的关系。
213.实施方式3.
214.针对向对象关系图中的各节点和各边附加属性(profile)的方式，基于图9至图11，主要说明与实施方式1的不同点。
215.＊＊＊结构的说明＊＊＊
216.感染范围确定装置100的结构与实施方式1中的结构(参照图1)相同。
217.＊＊＊动作的说明＊＊＊
218.感染范围确定方法与实施方式1中的方法(参照图2)相同。
219.但是，通过关系构建(s110)，向对象关系图中的各节点和各边附加属性。
220.基于图6，对关系构建(s110)的步骤进行说明。
221.在步骤s111中，受理部110受理软件动作数据。
222.在步骤s112中，关系构建部120从软件动作数据中提取动作类型、动作对象信息、以及动作时刻。
223.在步骤s113中，关系构建部120基于动作类型、对象信息以及动作时刻，来更新对
象关系数据。
224.对象关系数据如以下那样被更新。对象关系数据表示对象关系图。动作对象信息表示动作对象和目标对象这2个软件对象。
225.关系构建部120从对象关系图中搜索表示动作对象信息所示的各软件对象的节点。
226.关系构建部120对附加于找到的节点的属性进行更新。具体而言，将属性中的更新时刻更新为此次的动作时刻即最新的动作时刻。
227.关系构建部120将未找到的节点追加到对象关系图。此外，关系构建部120生成针对所追加的节点的属性，将生成的属性附加于所追加的节点。节点用的属性包含节点识别符、节点类型以及更新时刻。节点识别符识别节点。节点类型识别由节点表示的软件对象的种类。节点类型的具体例是进程、数据文件、程序文件以及日志文件。更新时刻是此次的动作时刻即最新的动作时刻。
228.关系构建部120从对象关系图中选择动作对象节点和目标对象节点。关系构建部120向对象关系图追加将所选择的2个节点连结的边。具体而言，关系构建部120追加从动作对象节点到目标对象节点的有向边。此外，关系构建部120生成针对所追加的边的属性，将生成的属性附加于所追加的边。边用的属性包含边识别符、边类型以及更新时刻。边类型识别与动作类型相应的关系性。即，边类型识别由边连结的2个软件对象的关系性。更新时刻是此次的动作时刻即最新的动作时刻。
229.＊＊＊实施例的说明＊＊＊
230.以下示出关系构建(s110)(参照图6)的实施例。
231.在步骤s111中，受理部110接受表示通信的日志数据。日志数据也可以包含通信数据信息。通信数据信息表示通信数据和通信数据量等。
232.在步骤s112中，关系构建部120从日志数据中提取动作类型、动作对象信息以及动作时刻。动作类型是通信。动作对象是通信源进程，目标对象是通信目的地进程。在通信目的地进程或者通信目的地进程由外部地址识别的情况下，该进程是外部进程。关系构建部120也可以从日志数据中提取通信数据信息。
233.在步骤s113中，如果在对象关系图中不存在动作对象节点，则关系构建部120向对象关系图追加动作对象节点和动作对象节点用的属性。此外，如果在对象关系图中不存在目标对象节点，则关系构建部120向对象关系图追加目标对象节点和目标对象节点用的属性。所追加的各属性包含节点识别符、节点类型、生成时刻以及更新时刻。节点类型是进程。生成时刻和更新时刻分别与从日志数据提取出的动作时刻相同。此外，如果动作对象节点或目标对象节点存在于对象关系图中，则关系构建部120将该节点用的属性中的更新时刻更新为从日志数据中提取出的动作时刻。
234.进而，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边及其边属性。对边标注与动作类型相应的关系性。边属性是边用的属性，包含边识别符、边类型、生成时刻以及更新时刻。生成时刻和更新时刻分别与从日志数据提取出的动作时刻相同。
235.关系构建部120也可以在各属性中包含通信数据信息。
236.图9、图10以及图11示出包含边属性的对象关系图的例子。“边id”(edge id)是指
边识别符。“类型”(type)是指边类型。“原始”(origin)是指生成时刻。“更新”(update)是指更新时刻。
237.图9示出对象关系数据195a。对象关系数据195a表示对象关系图195b。对象关系图195b包含边属性195c。边属性195c是从通信源进程到通信日志的边用的属性。
238.图10示出对象关系数据195d。对象关系数据195d表示对象关系图195e。对象关系图195e包含边属性195f。边属性195f是从通信目的地进程到通信日志的边用的属性。
239.图11示出对象关系数据195g。对象关系数据195g表示对象关系图195h。对象关系图195h包含边属性195i。边属性195i是从通信源进程到通信目的地进程的边用的属性。
240.＊＊＊实施方式3的效果＊＊＊
241.感染范围确定装置100能够对各节点和各边附加属性。即，能够更加详细地管理各软件对象和软件对象之间的关系。
242.各属性具有时刻信息。由此，能够在消除时间序列的矛盾的状态下高精度地确定侵入路径和感染部分。
243.＊＊＊实施方式3的补充＊＊＊
244.也可以将实施方式2应用于实施方式3。即，实施方式3中的对象关系数据也可以与实施方式2中的对象关系图同样地包含3个软件对象之间的关系。
245.实施方式4.
246.针对向各节点属性追加有效标志的方式，主要说明与实施方式3的不同点。
247.＊＊＊结构的说明＊＊＊
248.感染范围确定装置100的结构与实施方式1中的结构(参照图1)不同。
249.＊＊＊动作的说明＊＊＊
250.感染范围确定方法与实施方式1中的方法(参照图2)相同。
251.但是，通过关系构建(s110)，向对象关系图中的各节点和各边附加属性。而且，各节点用的属性包含有效标志。有效标志表示软件对象是否有效。
252.基于图6，对关系构建(s110)的步骤进行说明。
253.在步骤s111中，受理部110受理软件动作数据。
254.在步骤s112中，关系构建部120从软件动作数据中提取动作类型、动作对象信息以及动作时刻。
255.在步骤s113中，关系构建部120基于动作类型、对象信息以及动作时刻，来更新对象关系数据。
256.对象关系数据如以下那样被更新。
257.对象关系数据表示对象关系图。动作对象信息表示动作对象和目标对象这2个软件对象。
258.关系构建部120从对象关系图中搜索表示动作对象信息所示的各软件对象的节点。
259.关系构建部120对附加于找到的节点的属性进行更新。具体而言，将属性中的更新时刻更新为此次的动作时刻。此外，关系构建部120判定动作类型是否识别对象无效动作。对象无效动作是软件对象成为无效的软件动作。例如，对象无效动作是进程结束或者文件删除等。在动作类型识别对象无效动作的情况下，关系构建部120将属性中的有效标志的值
更新为无效值。无效值是表示无效的值。
260.关系构建部120将未找到的节点追加到对象关系图。此外，关系构建部120生成所追加的节点用的属性，将生成的属性附加于所追加的节点。节点用的属性包含节点识别符、节点类型、更新时刻以及有效标志。有效标志的初始值是有效值。有效值是表示有效的值。
261.关系构建部120从对象关系图中选择动作对象节点和目标对象节点。关系构建部120向对象关系图追加将所选择的2个节点连结的边。具体而言，关系构建部120追加从动作对象节点到目标对象节点的有向边。此外，关系构建部120生成所追加的边用的属性，将生成的属性附加于所追加的边。边用的属性包含边识别符、边类型以及更新时刻。
262.＊＊＊实施例的说明＊＊＊
263.以下示出关系构建(s110)(参照图6)的实施例。
264.在步骤s111中，受理部110接受表示进程结束的日志数据。
265.在步骤s112中，关系构建部120从日志数据中提取动作类型、动作对象信息以及动作时刻。动作类型是进程结束。动作对象是指示进程，目标对象是结束进程。
266.在步骤s113中，动作对象节点不存在于对象关系图中，目标对象节点存在于对象关系图中。关系构建部120向对象关系图追加动作对象节点和动作对象节点用的属性。所追加的属性包含节点识别符、节点类型、生成时刻、更新时刻以及有效标志。节点类型是进程。生成时刻和更新时刻分别与从日志数据提取出的动作时刻相同。有效标志表示有效值。此外，关系构建部120将目标对象节点用的属性中的更新时刻更新为从日志数据提取出的动作时刻。此外，关系构建部120将目标对象节点用的属性中的有效标志的值更新为无效值。
267.此外，关系构建部120向对象关系图追加从动作对象节点到目标对象节点的边及其边属性。对边标注与动作类型相应的关系性。边属性是边用的属性，包含边识别符、边类型、生成时刻以及更新时刻。生成时刻和更新时刻分别与从日志数据提取出的动作时刻相同。
268.＊＊＊实施方式4的效果＊＊＊
269.感染范围确定装置100能够在各节点用的属性中包含有效标志。由此，能够更加高精度地确定侵入路径和感染部分。
270.＊＊＊实施方式的补充＊＊＊
271.基于图12，对感染范围确定装置100的硬件结构进行说明。
272.感染范围确定装置100具备处理电路109。
273.处理电路109是实现受理部110、关系构建部120、感染范围确定部130以及输出部140的硬件。
274.处理电路109可以是专用的硬件，也可以是执行存储于存储器102的程序的处理器101。
275.在处理电路109是专用的硬件的情况下，处理电路109例如是单一电路、复合电路、程序化的处理器、并行程序化的处理器、asic、fpga或者它们的组合。
276.asic是application specific integrated circuit(专用集成电路)的简称。
277.fpga是field programmable gate array(现场可编程门阵列)的简称。
278.感染范围确定装置100也可以具备代替处理电路109的多个处理电路。多个处理电路分担处理电路109的功能。
279.在处理电路109中也可以是，由专用的硬件实现一部分功能，由软件或固件实现剩余的功能。
280.这样，感染范围确定装置100的功能能够通过硬件、软件、固件或者它们的组合来实现。
281.各实施方式是优选方式的例示，并非意在限制本公开的技术范围。各实施方式可以部分地实施，也可以与其他方式组合来实施。使用流程图等说明的步骤也可以适当变更。
282.作为感染范围确定装置100的要素的“部”也可以替换为“处理”或“工序”。
283.附图标记说明
284.100 感染范围确定装置，101 处理器，102 存储器，103 辅助存储装置，104 通信装置，105 输入输出接口，109 处理电路，110 受理部，120 关系构建部，130 感染范围确定部，140 输出部，190 存储部，191 对象关系数据，191g 对象关系图，192 侵入路径数据，193 感染对象数据，194 对象关系数据，194g 对象关系图，195a 对象关系数据，195b 对象关系图，195c 边属性。