JP4188203B2 - ログ分析装置、ログ分析方法およびログ分析プログラム - Google Patents

ログ分析装置、ログ分析方法およびログ分析プログラム Download PDF

Info

Publication number
JP4188203B2
JP4188203B2 JP2003366156A JP2003366156A JP4188203B2 JP 4188203 B2 JP4188203 B2 JP 4188203B2 JP 2003366156 A JP2003366156 A JP 2003366156A JP 2003366156 A JP2003366156 A JP 2003366156A JP 4188203 B2 JP4188203 B2 JP 4188203B2
Authority
JP
Japan
Prior art keywords
entropy
value
entropy value
events
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003366156A
Other languages
English (en)
Other versions
JP2005128947A (ja
Inventor
敬祐 竹森
史昭 菅谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2003366156A priority Critical patent/JP4188203B2/ja
Publication of JP2005128947A publication Critical patent/JP2005128947A/ja
Application granted granted Critical
Publication of JP4188203B2 publication Critical patent/JP4188203B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

この発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、およびFirewallなどのネットワーク機器から出力されるログの分析を行うログ分析装置、ログ分析方法およびログ分析プログラムに関する。
近年、ネットワークシステムに対する攻撃監視のためにIDSを導入するサイトが増えている。一般にIDSは、ネットワーク上を流れるパケットとAttack Signatureと呼ばれる攻撃パターンファイルとを単純に比較して、マッチングするものがあればログを出力する。
従来においては、コンピュータの稼働状況を示すログ情報の解析作業に要する時間を減少させ、種々のデータ形式とファイル・システム上の偏在性とを有するログ情報を統合し、既知の異常ではない異常を示すログ情報を抽出することを目的としたログ情報解析装置が考え出されている。このログ情報解析装置はシステム管理者が文字による膨大な量のログ情報を棒グラフのように表示させて注目すべき情報を迅速に把握しようとするものである。(例えば特許文献1参照)
特開2001−356939号公報
しかし、従来のIDSから出力されるログは、誤検知、多重検知、セキュリティ対策済みのシステムに対する攻撃検知などの冗長なログが多量に出力される。このようなログは、同じ攻撃を繰り返し受けるたびに出力されるため、さらに冗長なものとなる。多量のログは傾向把握には適しているが、出現頻度の低いログを見落としがちになり、新たな攻撃の兆候を的確に抽出することを困難にする。また、ログに含まれるパラメータの1つ1つを分析することにより、ネットワークの詳細を把握することはできるが、分析に必要なデータ量が膨大となり、ネットワーク全体の概要を把握することが困難であるという問題点があった。
本発明は、上述した問題点に鑑みてなされたものであって、攻撃に対するネットワーク全体の概要を把握することができるログ分析装置およびログ分析方法を提供することを目的とする。
本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワーク機器から出力されるログを収集する収集手段と、前記収集手段によって収集された前記ログ中のパラメータに属する各種イベントの量に基づいて、エントロピー値を算出するエントロピー算出手段と、前記エントロピー算出手段によって算出された前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段とを具備することを特徴とするログ分析装置である。
前期パラメータとしては、IDS、Router、およびFirewallなどのネットワーク機器から出力されるログに記録されているAttack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。
請求項2に記載の発明は、請求項1に記載のログ分析装置において、前記収集手段によって収集された前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うグループ化手段をさらに具備し、前記エントロピー算出手段は、前記グループ化手段によってグループ化された各グループ内のイベントの総量に基づいてエントロピー値を算出することを特徴とする。
請求項3に記載の発明は、請求項1または請求項2に記載のログ分析装置において、前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて第1のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて第2のエントロピー値を算出し、前記異常値算出手段は、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出することを特徴とする。
前記エントロピー算出手段は、複数の単位時間の各単位時間に含まれるイベントの量に基づいて、各単位時間のエントロピー値を算出する。前記第2のエントロピー値は、この各単位時間のエントロピー値の単位時間当たりの平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。
請求項4に記載の発明は、請求項1または請求項2に記載のログ分析装置において、前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて第1のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて第2のエントロピー値を算出し、前記異常値算出手段は、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出することを特徴とする。
前記エントロピー算出手段は、前記分析対象のネットワークを除く他の複数のネットワークの各ネットワークに含まれるイベントの量に基づいて、各ネットワークのエントロピー値を算出する。前記第2のエントロピー値は、この各ネットワークのエントロピー値の1ネットワーク当たりの平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。また、前記分析対象のネットワークを除く他の複数のネットワークを適宜選択できるようにしてもよい。
請求項5に記載の発明は、請求項1または請求項2に記載のログ分析装置において、前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて第1のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての第2のエントロピー値を算出し、前記異常値算出手段はさらに、前記第2のエントロピー値の標準偏差および確率分布に基づいて、前記第1のエントロピー値に関する上側稀率または下側稀率を算出することを特徴とする。
前記確率分布に関しては、前記第2のエントロピー値の分布が正規分布、指数分布、ガンマ分布などの確率分布の中の1つに従うと仮定し、適宜確率分布を求める。上側稀率とは、求めた確率分布において、前記第2のエントロピー値が前記第1のエントロピー値以上となる確率であり、下側稀率とは、求めた確率分布において、前記第2のエントロピー値が前記第1のエントロピー値以下となる確率である。
請求項6に記載の発明は、請求項1または請求項2に記載のログ分析装置において前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて第1のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての第2のエントロピー値を算出し、前記異常値算出手段はさらに、前記第2のエントロピー値の標準偏差および確率分布に基づいて、前記第1のエントロピー値に関する上側稀率または下側稀率を算出することを特徴とする。
請求項7に記載の発明は、ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属する各種イベントの量に基づいて、エントロピー値を算出するステップと、算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップとを具備することを特徴とするログ分析方法である。
請求項8に記載の発明は、ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、グループ化した各グループ内のイベントの総量に基づいてエントロピー値を算出するステップと、算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップとを具備することを特徴とするログ分析方法である。
請求項9に記載の発明は、請求項7または請求項8に記載のログ分析方法において、前記エントロピー値を算出するステップにおいては、単位時間に含まれるイベントの量に基づいて第1のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出することを特徴とする。
請求項10に記載の発明は、請求項7または請求項8に記載のログ分析方法において、前記エントロピー値を算出するステップにおいては、分析対象のネットワークに関するイベントの量に基づいて第1のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出することを特徴とする。
請求項11に記載の発明は、請求項7または請求項8に記載のログ分析方法において、前記エントロピー値を算出するステップにおいては、単位時間に含まれるイベントの量に基づいて第1のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の標準偏差および確率分布に基づいて、前記第1のエントロピー値に関する上側稀率または下側稀率を算出することを特徴とする。
請求項12に記載の発明は、請求項7または請求項8に記載のログ分析方法において、前記エントロピー値を算出するステップにおいては、分分析対象のネットワークに関するイベントの量に基づいて第1のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の標準偏差および確率分布に基づいて、前記第1のエントロピー値に関する上側稀率または下側稀率を算出することを特徴とする。
請求項13に記載の発明は、ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属する各種イベントの量に基づいて、エントロピー値を算出するステップと、算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップとをコンピュータに実行させるためのログ分析プログラムである。
請求項14に記載の発明は、ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、グループ化した各グループ内のイベントの総量に基づいてエントロピー値を算出するステップと、算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップとをコンピュータに実行させるためのログ分析プログラムである。
請求項15に記載の発明は、請求項13または請求項14に記載のログ分析プログラムにおいて、前記エントロピー値を算出するステップにおいては、単位時間に含まれるイベントの量に基づいて第1のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出することを特徴とする。
請求項16に記載の発明は、請求項13または請求項14に記載のログ分析プログラムにおいて、前記エントロピー値を算出するステップにおいては、分析対象のネットワークに関するイベントの量に基づいて第1のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出することを特徴とする。
請求項17に記載の発明は、請求項13または請求項14に記載のログ分析プログラムにおいて、前記エントロピー値を算出するステップにおいては、単位時間に含まれるイベントの量に基づいて第1のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の標準偏差および確率分布に基づいて、前記第1のエントロピー値に関する上側稀率または下側稀率を算出することを特徴とする。
請求項18に記載の発明は、請求項13または請求項14に記載のログ分析プログラムにおいて、分析対象のネットワークに関するイベントの量に基づいて第1のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての第2のエントロピー値を算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の標準偏差および確率分布に基づいて、前記第1のエントロピー値に関する上側稀率または下側稀率を算出することを特徴とする。
請求項19に記載の発明は、請求項13〜請求項18のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。
この発明によれば、分析対象となるパラメータに含まれるイベントの量に基づいて、エントロピーを算出し、このエントロピーを用いて分析対象のネットワークに関する異常値を算出するようにしたので、攻撃に対するネットワーク全体の概要を把握することができるという効果が得られる。
以下、図面を参照し、この発明を実施するための最良の形態について説明する。図1は、この発明の一実施形態によるログ分析装置を備えたネットワークの構成を示す構成図である。図において、10はログ分析装置である。ログ分析装置10は分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果をセキュリティオペレーションセンター30へ出力する。ネットワーク20〜22のRouter、Firewall、およびIDSはログを生成し、syslog等の機能により、ログ分析装置10にログを出力する。セキュリティオペレーションセンター30はWebブラウザ301を有しており、運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。
ログ分析装置10において、101はログ収集部であり、ネットワーク20〜22の機器から出力されたログを定期的に収集し、ログ保存部102へログを出力する。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する。運用者がWebブラウザ301を介して、分析を希望するパラメータを要求すると、分析を指示する指示情報がインタフェース部105を介してログ分析部104へ入力される。
ログ分析部104はこの指示情報に従って、記憶部103から分析用のパラメータを読み出し、分析対象とするネットワークに関する異常値を算出し、インタフェース部105へ出力する。インタフェース部105は、ログ分析部104から出力された異常値を、通信回線を介してWebブラウザ301へ出力する。運用者はこの異常値に基づいて、ネットワーク20〜22に対して攻撃が行われているかどうかを判断する。
図2は本実施形態において、ログ中の分析対象となるパラメータを示している。
Source/Destination Portは送信元/送信先の機器のポート番号を示す。Source/Destination IPは送信元/送信先の機器のIPアドレスを示す。なおSource/Destination PortはSource PortおよびDestination Portの2つのパラメータのうちのいずれか1つを示しており、Source/Destination IPに関しても同様である。
Attack SignatureはIDSから出力されるログに含まれるパラメータである。Attack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。なお、全てのネットワーク型IDSおよび一部のホスト型IDSがAttack Signatureを出力可能である。また、Source/Destination PortおよびSource/Destination IPはIDS、Router、およびFirewallから出力されるログに含まれるパラメータである。Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。上記のパラメータは図2に示されるような複数のイベントからなる。ログ中に同じイベントが複数記録されている場合は、その総数をそのイベントのイベント量と定義する。
次に、本実施形態におけるログ分析装置10の動作を説明する。図3はログ分析装置10の動作を示すフローチャートである。ログ収集部101はネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS30)。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する(ステップS31)。運用者から特定のパラメータに関する分析の要求がWebブラウザ301を介してなされると、Webブラウザ301から出力された指示情報がインタフェース部105を介してログ分析部104へ入力される。すると、ログ分析部104は指示情報に基づいて記憶部103からパラメータを読み出す(ステップS32)。
続いて、ログ分析部104は、後述する分析処理を行い、ステップS32において読み出した分析対象のパラメータに関する異常値を算出する(ステップS33)。続いて、ログ分析部104は異常値を分析結果としてインタフェース105を介してWebブラウザ301へ出力する(ステップS34)。分析結果はWebブラウザ301上に表示され、運用者はこの分析結果に基づいて、ネットワーク20〜22に対して攻撃が行われているかどうかを判断する。
次に、ステップS33でログ分析部104が行う分析処理について説明する。本実施形態においては、各種のネットワーク機器から出力されるログの曖昧度(エントロピー)を評価することにより、ネットワークの異常を検出する。DDoS(Destributed Denial of Service)攻撃(攻撃者がインターネット上のセキュリティに弱い複数のWebサイトに侵入して攻撃拠点とし、複数の攻撃拠点に仕込んだプログラムを同時に動作させて、攻撃ターゲットのサーバに大量のパケットを送りつけ、サーバの機能を停止してしまう攻撃)を受けていたり、ウィルス感染が蔓延していたりする状態では、ログに出力されるイベントに偏りが発生するため、ログの曖昧度が小さくなる。したがって、ログの曖昧度を分析すれば、ネットワークの状態を把握することができる。
以下、エントロピーの算出によってネットワークの異常度を検出する手法について述べる。図4は、ログ中のAttack Signatureに注目した場合の、Attack Signatureの各イベントのイベント量を示したものである。横軸はイベントの種別(HTTP port probe、DNS port probe、・・・)を示しており、各種別はID(製品ごとに決められたAttack Signagure番号)順に並んでいる。また、縦軸は各イベントのイベント量を示している。
総イベント量をE、分析対象のイベント種別のイベント量をeとし、各分析対象の相対頻度を[数1]により算出する。ここでEは[数2]のように表される(kはイベント種別の数である)。
Figure 0004188203
Figure 0004188203
そして、分析対象のパラメータのエントロピーを[数3]により算出する。
Figure 0004188203
上述したエントロピーの計算手法においては、分析対象のパラメータに属する1つ1つのイベントに対して[数1]〜[数3]を適用しているが、イベント種別の数が非常に多い場合(例えば分析対象のパラメータがSource/Destination IPの場合など)には、ネットワークの異常度に関する値を算出するのに非常に長い時間を要する場合がある。このような場合、攻撃をリアルタイムに検知することが困難である。
そこで、分析対象のパラメータに属するイベントを以下の手法によりグループ化し、各グループ内のイベントの総量をe、グループの数をkとして[数1]〜[数3]を適用し、エントロピーを算出する。グループ化を行うことにより、計算対象となる変数の数を減らすことができるので、異常値の算出に要する時間を低減することができる。また、グループ化によってネットワーク全体のログの傾向を大きく捉えることができると共に、異常に関する誤検出の低減により、分析の信頼性を向上させることができる。
以下、具体的なグループ化の手法を説明する。例えば、Attack Signatureを、通信レイヤ、攻撃目的、サービスを考慮して意味内容ごとにグループ化する(静的グループ化1と定義する)。各Attack Signatureには脆弱性に関するキーが元々割り当てられており、このキーに基づいて意味内容ごとのグループ化を行う。記憶部103にそのキーとグループとが対応付けられたテーブルを予め格納し、ログ分析部104が、そのテーブルを参照してイベントのグループ化を行う。
また、Source/Destination IPを国単位に、もしくはドメイン単位にグループ化する手法(静的グループ化2と定義する)もある。例えば、IPアドレスからそのIPアドレスが所属する国名(もしくはドメイン)へ変換するための変換テーブルを、IANA(The Internet Assigned Numbers Authority)等で管理されているIPアドレスとドメイン表から作成し、記憶部103に予め格納する。そして、ログ分析部104が、そのテーブルを参照してイベントのグループ化を行う。
また、分析対象のパラメータに関して、各イベントをイベント量順に並べ替え、イベントの総量に基づいて、各グループ内のイベント量がほぼ均等になるようにグループ化する手法もある(動的グループ化1と定義する)。例えば、イベントを10グループに分割し、各グループ内のイベント量が総イベント量の約10分の1となるようにグループ化することにする。まず、イベントの種別ごとに、イベント量の多い順にイベントに優先順位を付け、優先順位の高いイベントからイベント量を加算していき、その量が総イベント量の10分の1以上となったところで1つのグループとする。このとき、例えばイベント量の最下位の桁は四捨五入するなどの処理を行う。
あるいは、優先順位の高いイベントからイベント量を加算していき、その量が総イベント量の10分の1を超えたところで1つのグループとする。以上の方法により、1つ目のグループ化を行い、次のグループに関してはイベント量が残りのイベント量の約9分の1となるように、上述した方法と同様に2つ目のグループ化を行う。さらに次のグループに関しても同様に、イベント量が残りのイベント量の約8分の1となるように、3つ目のグループ化を行う。これを繰り返し行うことにより、イベントを10グループに分割する。この手法は、Attack SignatureおよびSource/Destination Portの分析への適用が好適である。なお、上述した方法は一例であり、各グループ内のイベント量がほぼ均等となるようにグループ化できれば、その方法は問わない。
また、分析対象のパラメータに関して、各イベントをイベントのID順に優先順位を付け、イベントの総量に基づいて、各グループ内の総イベント量がほぼ均等になるようにグループ化する手法もある(動的グループ化2と定義する)。ここで、IDとはAttack Signatureの場合は製品ごとに決められたAttack Signagure番号であり、Source/Destination Portの場合はPort番号であり、Source/Destination IPの場合はIPアドレス順位である。グループ化の具体的な手法は上述した手法と同様である。この手法は、Attack Signature、Source/Destination Port、およびSource/Destination IPの分析への適用が好適である。
また、Source/Destination IPの分析は、国やドメイン単位で行うことが望ましい。国やドメインは2のべき乗単位に区切られており、動的グループ化2で説明したグループ化手法をIPアドレスの分析に適用する場合には、この点を考慮することが望ましい。そこで、動的グループ化2によるグループ化手法をIPアドレスの分析に適用する場合において、各グループ内のIPアドレスの数がほぼ均等になるように、2のべき乗単位でIPアドレスをグループ化する。
例えば、IPアドレス192.168.0.1と202.255.44.1とを2進数で表すと、「11000000 10101000 00000000 00000001」と「11001010 11111111 00101100 00000001」となり、先頭4ビットが同じプリフィックスを持つ。このように、2進数表示したときに、先頭からn(nは正の整数)ビットまでが一つのグループとなるように、なおかつ各グループ内の総イベント量がほぼ等しくなるようにグループ化を行う。
次に、[数3]によって算出されたエントロピー値を用いてネットワークを分析する手法を説明する。ここでは、比率分析および稀率分析を一例として挙げる。比率分析においては、注目する短期間を単位時間(例えば1日)としたときに、短期間のエントロピー値(短期プロファイルと定義する)と、過去の複数の単位時間のエントロピー値の平均(長期プロファイルと定義する)との比率を異常値として評価する。図5は、単位時間を1日としたときの比率分析モデルの一例を示している。
図において、Hは長期プロファイルにおけるエントロピーの単位時間あたりの平均を示す。短期プロファイルにおけるエントロピー値をHとすると、短期プロファイルに対する長期プロファイルの比率Dは[数4]のように表される。短期プロファイルは記憶部103に格納され、ログ分析部104は記憶部103から過去の複数の短期プロファイルを読み出して、長期プロファイルを作成する。あるいは、記憶部103に過去のログを複数格納するようにしておき、それらのログから長期プロファイルを作成するようにしてもよい。
Figure 0004188203
図6は比率分析を行う場合の、図3のステップS33における分析処理の動作を示すフローチャートである。ログ分析部104は分析対象のパラメータに対してエントロピーを算出する(ステップS331)。そして、ログ分析部104は長期プロファイルにおけるエントロピーの単位時間あたりの平均値と短期プロファイルにおけるエントロピー値との比率を算出する(ステップS332)。
上述した分析処理においては、分析対象のネットワークを固定し、短期プロファイルが長期プロファイルに対してどの程度異常であるかを評価する手法を示したが、以下のような分析処理を行うこともできる。それは、分析対象の期間を固定したときに、分析対象のネットワークで検知された、特定のパラメータに関するエントロピー(自網プロファイルと定義する)が、他のネットワークで検知された、そのエントロピー(他網プロファイルと定義する)に対してどの程度異常であるかを評価する手法である。
例えば、比率分析において、分析対象のネットワークにおけるエントロピーをHとし、このネットワークを含まない他の各ネットワークにおけるエントロピーの1ネットワーク当たりの平均をEとすると、比率Dは以下の[数5]のように表される。
Figure 0004188203
一方、稀率分析においては、統計値の平均と標準偏差とを用いて、出力数が様々に変動するイベントの異常性を評価する。統計分析において、95%信頼区間という指標がよく利用されているが、ここでの稀率分析とは、この信頼区間の補集合を算出するものである。図7は単位時間を1日としたときの稀率分析モデルの一例を示している。Hは長期プロファイルのエントロピーの単位時間あたりの平均値であり、SDは標準偏差である。横軸は平均値Hからの距離を、標準偏差SDを単位として表し、縦軸は、エントロピー値が横軸で示される値となった単位時間の数(日数)を表している。標準偏差SDは[数6]より求められる。短期プロファイルのエントロピーが長期プロファイルのエントロピーの平均値Hよりも大きな場合の上側稀率Rを[数7]、小さな場合の下側稀率Rを[数8]のように定義する。H、H、・・・Hは長期プロファイルにおける各単位時間のエントロピーである。
Figure 0004188203
Figure 0004188203
Figure 0004188203
[数7]および[数8]において、f(H)は正規分布の密度関数であり、以下の[数9]で表される。なお、上記の例においては、稀率計算のための攻撃の分布を正規分布と仮定しているが、f(H)として指数分布やガンマ分布などの関数を適宜選択してもよい。
Figure 0004188203
なお、ここでは短期プロファイルおよび長期プロファイルを例として稀率分析の手法について説明したが、比率分析と同様に、自網プロファイルおよび他網プロファイルを用い、稀率分析を行うこともできる。例えば、自網プロファイルのエントロピーが平均より大きな場合の上側稀率または小さな場合の下側稀率を計算することができる。
図8は稀率分析を行う場合の、図3のステップS33における分析処理の動作を示すフローチャートである。ログ分析部104は分析対象のパラメータに対してエントロピーを算出する(ステップS333)。そして、短期プロファイルのエントロピーが長期プロファイルのエントロピーの平均値Hよりも大きな場合の上側稀率または小さな場合の下側稀率(あるいは、自網プロファイルのエントロピーが他網プロファイルのエントロピーの平均値よりも大きな場合の上側稀率または小さな場合の下側稀率)を算出する(ステップS334)。
上述した比率分析および稀率分析によって算出された異常値であるD、R、およびRに関しての判断は以下のように行うことができる。まず、D≒0.0もしくはR≒0.0%の場合は、インターネット上に新たな攻撃が出回り始めたとき、内部ホストがワームに感染したとき、DDoS攻撃を受けたときなど、短期のイベント量が急増したことを示している。攻撃が活発な段階であり、警戒する必要がある。比率分析により、内部ホストがワームに感染したことやDDoS攻撃を受けたことなどを迅速かつ正確に検出することができる。
また、D>1.0もしくはR≒0.0%の場合は、普段から出力され続けていたアラームが急に減少した、もしくは無くなってしまったことを示している。これは、攻撃が収束に向かっている段階、もしくはシステムが停止した状態である。比率分析により、ネットワークやホストの停止に関する異常を迅速かつ正確に検出することができる。
また、D≒1.0もしくはR、R≒50.0%の場合は、普段から検知され続けているログを見分けることができる。これは、既に対策が施されている攻撃、もしくは誤検知されやすいイベントであり、特に注意する必要はない。ネットワークの運用者は、ログ分析装置10から出力されるD、R、およびR等の値に基づいて、上述した評価を行えばよい。
以上のように、エントロピーを算出して比率分析あるいは稀率分析を行うことは以下の利点を有する。分析対象のパラメータにおける特定のイベント種別に注目して比率分析や稀率分析を行う場合、分析対象の一部に関する詳細なデータを得ることができるが、全てのイベント種別に対して比率分析や稀率分析を行うには作業工数が掛かり、分析対象全体の概要を把握するには適していない。
一方、分析対象のパラメータに対してエントロピーを算出し、比率分析や稀率分析を行う場合、分析対象の全域にわたる曖昧度を示すエントロピーを使用するので、分析対象全体の概要を把握するのに適している。さらに、前述したイベントのグループ化を行った場合、エントロピーの算出に用いられる変数の数を大幅に減らすことができるので、異常値の算出に要する時間を大幅に低減することができ、攻撃をリアルタイムに検知することができる。
また、イベントのグループ化において、前述した動的グループ化1または動的グループ化2を行うことは以下の利点を有する。動的グループ化1または動的グループ化2において、ログ分析部104は長期プロファイル(あるいは他網プロファイル)の統計量を算出するたびに動的グループ化を行う。これにより、長期プロファイルの各グループはグループ内の総イベント量がほぼ等しくなり、曖昧度の高い状態となる。この状態でエントロピーを算出すると、エントロピーは高くなる。
続いて、ログ分析部104は長期プロファイルのグループと同じグループを用いて、短期プロファイル(あるいは自網プロファイル)のイベントをグループ化し、エントロピーを算出する。短期的に(あるいは自網に対して)攻撃が行われた場合、短期プロファイル(あるいは自網プロファイル)における特定のグループ内の総イベント量が多くなるので、曖昧度の低い状態となる。この状態でエントロピーを算出すると、エントロピーは長期プロファイル(あるいは他網プロファイル)のエントロピーよりも小さくなるので、このエントロピー変化を、比率分析あるいは稀率分析を用いて検出することにより、ネットワークの異常度を客観的に評価することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態におけるログ分析装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したログ分析プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したログ分析プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
この発明の一実施形態によるログ分析装置10を備えたネットワークの構成を示す構成図である。 同実施形態における分析対象のパラメータを示す参考図である。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。 同実施形態におけるAttack Signatureのイベントの分布例を示す図である。 同実施形態における比率分析モデルを示す図である。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。 同実施形態における稀率分析モデルを示す図である。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。
符号の説明
10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・Webブラウザ。

Claims (16)

  1. ネットワーク機器から出力されるログを収集する収集手段と、
    前記収集手段によって収集された第1のログ中のパラメータに属するイベントを、各グループ内のイベントの総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化を行うと共に、前記収集手段によって収集された第2のログ中のパラメータに属するイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を行うグループ化手段と、
    前記グループ化手段による前記第1のグループ化で分割された各グループ内のイベントの総量に基づいて第1のエントロピー値を算出すると共に、前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの総量に基づいて第2のエントロピー値を算出するエントロピー算出手段と、
    前記エントロピー算出手段によって算出された前記第1のエントロピー値および前記第2のエントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段と、
    前記異常値算出手段によって算出された値を表示する表示手段と、
    を具備することを特徴とするログ分析装置。
  2. 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間を構成する各単位時間についての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第1のエントロピー値の平均値と前記第2のエントロピー値との比率を算出する
    ことを特徴とする請求項1に記載のログ分析装置。
  3. 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出する
    ことを特徴とする請求項1に記載のログ分析装置。
  4. 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第のエントロピー値の標準偏差および確率分布に基づいて、前記第のエントロピー値に関する上側稀率または下側稀率を算出する
    ことを特徴とする請求項1に記載のログ分析装置。
  5. 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第のエントロピー値の標準偏差および確率分布に基づいて、前記第のエントロピー値に関する上側稀率または下側稀率を算出する
    ことを特徴とする請求項1に記載のログ分析装置。
  6. ネットワーク機器から出力されるログを収集手段が収集するステップと、
    前記収集手段によって収集された第1のログ中のパラメータに属するイベントを、各グループ内のイベントの総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化をグループ化手段が行うと共に、前記収集手段によって収集された第2のログ中のパラメータに属するイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を前記グループ化手段が行うステップと、
    前記グループ化手段による前記第1のグループ化で分割された各グループ内のイベントの総量に基づいてエントロピー算出手段が第1のエントロピー値を算出すると共に、前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの総量に基づいて前記エントロピー算出手段が第2のエントロピー値を算出するステップと、
    前記エントロピー算出手段によって算出された前記第1のエントロピー値および前記第2のエントロピー値に基づいて、ネットワークの異常度に関する値を異常値算出手段が算出するステップと、
    前記異常値算出手段によって算出された値を表示手段が表示するステップと、
    を具備することを特徴とするログ分析方法。
  7. 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間を構成する各単位時間についての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第1のエントロピー値の平均値と前記第2のエントロピー値との比率を算出する
    ことを特徴とする請求項6に記載のログ分析方法。
  8. 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出する
    ことを特徴とする請求項6に記載のログ分析方法。
  9. 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第のエントロピー値の標準偏差および確率分布に基づいて、前記第のエントロピー値に関する上側稀率または下側稀率を算出する
    ことを特徴とする請求項6に記載のログ分析方法。
  10. 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第のエントロピー値の標準偏差および確率分布に基づいて、前記第のエントロピー値に関する上側稀率または下側稀率を算出する
    ことを特徴とする請求項6に記載のログ分析方法。
  11. ネットワーク機器から出力されるログを収集手段が収集するステップと、
    前記収集手段によって収集された第1のログ中のパラメータに属するイベントを、各グループ内のイベントの総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化をグループ化手段が行うと共に、前記収集手段によって収集された第2のログ中のパラメータに属するイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を前記グループ化手段が行うステップと、
    前記グループ化手段による前記第1のグループ化で分割された各グループ内のイベントの総量に基づいてエントロピー算出手段が第1のエントロピー値を算出すると共に、前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの総量に基づいて前記エントロピー算出手段が第2のエントロピー値を算出するステップと、
    前記エントロピー算出手段によって算出された前記第1のエントロピー値および前記第2のエントロピー値に基づいて、ネットワークの異常度に関する値を異常値算出手段が算出するステップと、
    前記異常値算出手段によって算出された値を表示手段が表示するステップと、
    をコンピュータに実行させるためのログ分析プログラム。
  12. 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間を構成する各単位時間についての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第1のエントロピー値の平均値と前記第2のエントロピー値との比率を算出する
    ことを特徴とする請求項11に記載のログ分析プログラム。
  13. 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出する
    ことを特徴とする請求項11に記載のログ分析プログラム。
  14. 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第のエントロピー値の標準偏差および確率分布に基づいて、前記第のエントロピー値に関する上側稀率または下側稀率を算出する
    ことを特徴とする請求項11に記載のログ分析プログラム。
  15. 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての前記第のエントロピー値を算出し、
    前記異常値算出手段はさらに、前記第のエントロピー値の標準偏差および確率分布に基づいて、前記第のエントロピー値に関する上側稀率または下側稀率を算出する
    ことを特徴とする請求項11に記載のログ分析プログラム。
  16. 請求項11〜請求項15のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2003366156A 2003-10-27 2003-10-27 ログ分析装置、ログ分析方法およびログ分析プログラム Expired - Fee Related JP4188203B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003366156A JP4188203B2 (ja) 2003-10-27 2003-10-27 ログ分析装置、ログ分析方法およびログ分析プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003366156A JP4188203B2 (ja) 2003-10-27 2003-10-27 ログ分析装置、ログ分析方法およびログ分析プログラム

Publications (2)

Publication Number Publication Date
JP2005128947A JP2005128947A (ja) 2005-05-19
JP4188203B2 true JP4188203B2 (ja) 2008-11-26

Family

ID=34644585

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003366156A Expired - Fee Related JP4188203B2 (ja) 2003-10-27 2003-10-27 ログ分析装置、ログ分析方法およびログ分析プログラム

Country Status (1)

Country Link
JP (1) JP4188203B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4762063B2 (ja) * 2006-06-29 2011-08-31 株式会社日立製作所 計算機システム、プログラム及び検索エンジン検索方法
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
KR100894331B1 (ko) * 2006-11-15 2009-04-24 한국전자통신연구원 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법
JP4825767B2 (ja) * 2007-10-02 2011-11-30 Kddi株式会社 異常検知装置、プログラム、および記録媒体

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information

Also Published As

Publication number Publication date
JP2005128947A (ja) 2005-05-19

Similar Documents

Publication Publication Date Title
US11212306B2 (en) Graph database analysis for network anomaly detection systems
US11463457B2 (en) Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
US20180357422A1 (en) Simulated attack generator for testing a cybersecurity system
Jiang et al. Identifying suspicious activities through dns failure graph analysis
US8260914B1 (en) Detecting DNS fast-flux anomalies
EP2532121B1 (en) Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
Mansmann et al. Visual support for analyzing network traffic and intrusion detection events using TreeMap and graph representations
Vaarandi et al. Using security logs for collecting and reporting technical security metrics
Amaral et al. Deep IP flow inspection to detect beyond network anomalies
JP4156540B2 (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
Garcia-Teodoro et al. Automatic generation of HTTP intrusion signatures by selective identification of anomalies
JP4500921B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
Ring et al. A toolset for intrusion and insider threat detection
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
CN106790073B (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙
JP4160002B2 (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
JP4060263B2 (ja) ログ分析装置およびログ分析プログラム
JP4825767B2 (ja) 異常検知装置、プログラム、および記録媒体
JP4188203B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
Amza et al. Hybrid network intrusion detection
Sani et al. DNS Tunneling detection using elasticsearch
Pouget et al. Internet attack knowledge discovery via clusters and cliques of attack traces
US20230156019A1 (en) Method and system for scoring severity of cyber attacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050909

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050912

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071010

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071010

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080305

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080507

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080812

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080815

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080902

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080910

R150 Certificate of patent or registration of utility model

Ref document number: 4188203

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110919

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140919

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees