JP4188203B2 - ログ分析装置、ログ分析方法およびログ分析プログラム - Google Patents
ログ分析装置、ログ分析方法およびログ分析プログラム Download PDFInfo
- Publication number
- JP4188203B2 JP4188203B2 JP2003366156A JP2003366156A JP4188203B2 JP 4188203 B2 JP4188203 B2 JP 4188203B2 JP 2003366156 A JP2003366156 A JP 2003366156A JP 2003366156 A JP2003366156 A JP 2003366156A JP 4188203 B2 JP4188203 B2 JP 4188203B2
- Authority
- JP
- Japan
- Prior art keywords
- entropy
- value
- entropy value
- events
- calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
前期パラメータとしては、IDS、Router、およびFirewallなどのネットワーク機器から出力されるログに記録されているAttack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。
前記エントロピー算出手段は、複数の単位時間の各単位時間に含まれるイベントの量に基づいて、各単位時間のエントロピー値を算出する。前記第2のエントロピー値は、この各単位時間のエントロピー値の単位時間当たりの平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。
前記エントロピー算出手段は、前記分析対象のネットワークを除く他の複数のネットワークの各ネットワークに含まれるイベントの量に基づいて、各ネットワークのエントロピー値を算出する。前記第2のエントロピー値は、この各ネットワークのエントロピー値の1ネットワーク当たりの平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。また、前記分析対象のネットワークを除く他の複数のネットワークを適宜選択できるようにしてもよい。
前記確率分布に関しては、前記第2のエントロピー値の分布が正規分布、指数分布、ガンマ分布などの確率分布の中の1つに従うと仮定し、適宜確率分布を求める。上側稀率とは、求めた確率分布において、前記第2のエントロピー値が前記第1のエントロピー値以上となる確率であり、下側稀率とは、求めた確率分布において、前記第2のエントロピー値が前記第1のエントロピー値以下となる確率である。
Source/Destination Portは送信元/送信先の機器のポート番号を示す。Source/Destination IPは送信元/送信先の機器のIPアドレスを示す。なおSource/Destination PortはSource PortおよびDestination Portの2つのパラメータのうちのいずれか1つを示しており、Source/Destination IPに関しても同様である。
Claims (16)
- ネットワーク機器から出力されるログを収集する収集手段と、
前記収集手段によって収集された第1のログ中のパラメータに属するイベントを、各グループ内のイベントの総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化を行うと共に、前記収集手段によって収集された第2のログ中のパラメータに属するイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を行うグループ化手段と、
前記グループ化手段による前記第1のグループ化で分割された各グループ内のイベントの総量に基づいて第1のエントロピー値を算出すると共に、前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの総量に基づいて第2のエントロピー値を算出するエントロピー算出手段と、
前記エントロピー算出手段によって算出された前記第1のエントロピー値および前記第2のエントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段と、
前記異常値算出手段によって算出された値を表示する表示手段と、
を具備することを特徴とするログ分析装置。 - 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第2のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間を構成する各単位時間についての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の平均値と前記第2のエントロピー値との比率を算出する
ことを特徴とする請求項1に記載のログ分析装置。 - 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第2のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出する
ことを特徴とする請求項1に記載のログ分析装置。 - 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第2のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の標準偏差および確率分布に基づいて、前記第2のエントロピー値に関する上側稀率または下側稀率を算出する
ことを特徴とする請求項1に記載のログ分析装置。 - 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第2のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の標準偏差および確率分布に基づいて、前記第2のエントロピー値に関する上側稀率または下側稀率を算出する
ことを特徴とする請求項1に記載のログ分析装置。 - ネットワーク機器から出力されるログを収集手段が収集するステップと、
前記収集手段によって収集された第1のログ中のパラメータに属するイベントを、各グループ内のイベントの総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化をグループ化手段が行うと共に、前記収集手段によって収集された第2のログ中のパラメータに属するイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を前記グループ化手段が行うステップと、
前記グループ化手段による前記第1のグループ化で分割された各グループ内のイベントの総量に基づいてエントロピー算出手段が第1のエントロピー値を算出すると共に、前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの総量に基づいて前記エントロピー算出手段が第2のエントロピー値を算出するステップと、
前記エントロピー算出手段によって算出された前記第1のエントロピー値および前記第2のエントロピー値に基づいて、ネットワークの異常度に関する値を異常値算出手段が算出するステップと、
前記異常値算出手段によって算出された値を表示手段が表示するステップと、
を具備することを特徴とするログ分析方法。 - 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第2のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間を構成する各単位時間についての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の平均値と前記第2のエントロピー値との比率を算出する
ことを特徴とする請求項6に記載のログ分析方法。 - 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第2のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出する
ことを特徴とする請求項6に記載のログ分析方法。 - 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第2のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の標準偏差および確率分布に基づいて、前記第2のエントロピー値に関する上側稀率または下側稀率を算出する
ことを特徴とする請求項6に記載のログ分析方法。 - 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第2のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の標準偏差および確率分布に基づいて、前記第2のエントロピー値に関する上側稀率または下側稀率を算出する
ことを特徴とする請求項6に記載のログ分析方法。 - ネットワーク機器から出力されるログを収集手段が収集するステップと、
前記収集手段によって収集された第1のログ中のパラメータに属するイベントを、各グループ内のイベントの総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化をグループ化手段が行うと共に、前記収集手段によって収集された第2のログ中のパラメータに属するイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を前記グループ化手段が行うステップと、
前記グループ化手段による前記第1のグループ化で分割された各グループ内のイベントの総量に基づいてエントロピー算出手段が第1のエントロピー値を算出すると共に、前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの総量に基づいて前記エントロピー算出手段が第2のエントロピー値を算出するステップと、
前記エントロピー算出手段によって算出された前記第1のエントロピー値および前記第2のエントロピー値に基づいて、ネットワークの異常度に関する値を異常値算出手段が算出するステップと、
前記異常値算出手段によって算出された値を表示手段が表示するステップと、
をコンピュータに実行させるためのログ分析プログラム。 - 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第2のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間を構成する各単位時間についての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の平均値と前記第2のエントロピー値との比率を算出する
ことを特徴とする請求項11に記載のログ分析プログラム。 - 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第2のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値と前記第2のエントロピー値との比率を算出する
ことを特徴とする請求項11に記載のログ分析プログラム。 - 前記エントロピー算出手段はさらに、単位時間に含まれるイベントの量に基づいて前記第2のエントロピー値を算出すると共に、複数の単位時間に含まれるイベントの量に基づいて、前記複数の単位時間中の各単位時間についての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の標準偏差および確率分布に基づいて、前記第2のエントロピー値に関する上側稀率または下側稀率を算出する
ことを特徴とする請求項11に記載のログ分析プログラム。 - 前記エントロピー算出手段はさらに、分析対象のネットワークに関するイベントの量に基づいて前記第2のエントロピー値を算出すると共に、前記分析対象のネットワークを除く他の複数のネットワークに関するイベントの量に基づいて、前記複数のネットワーク中の各ネットワークについての前記第1のエントロピー値を算出し、
前記異常値算出手段はさらに、前記第1のエントロピー値の標準偏差および確率分布に基づいて、前記第2のエントロピー値に関する上側稀率または下側稀率を算出する
ことを特徴とする請求項11に記載のログ分析プログラム。 - 請求項11〜請求項15のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003366156A JP4188203B2 (ja) | 2003-10-27 | 2003-10-27 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003366156A JP4188203B2 (ja) | 2003-10-27 | 2003-10-27 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005128947A JP2005128947A (ja) | 2005-05-19 |
JP4188203B2 true JP4188203B2 (ja) | 2008-11-26 |
Family
ID=34644585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003366156A Expired - Fee Related JP4188203B2 (ja) | 2003-10-27 | 2003-10-27 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4188203B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4762063B2 (ja) * | 2006-06-29 | 2011-08-31 | 株式会社日立製作所 | 計算機システム、プログラム及び検索エンジン検索方法 |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
KR100894331B1 (ko) * | 2006-11-15 | 2009-04-24 | 한국전자통신연구원 | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 |
JP4825767B2 (ja) * | 2007-10-02 | 2011-11-30 | Kddi株式会社 | 異常検知装置、プログラム、および記録媒体 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089428B2 (en) * | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
-
2003
- 2003-10-27 JP JP2003366156A patent/JP4188203B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2005128947A (ja) | 2005-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
US20180357422A1 (en) | Simulated attack generator for testing a cybersecurity system | |
Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
EP2532121B1 (en) | Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
Mansmann et al. | Visual support for analyzing network traffic and intrusion detection events using TreeMap and graph representations | |
Vaarandi et al. | Using security logs for collecting and reporting technical security metrics | |
Amaral et al. | Deep IP flow inspection to detect beyond network anomalies | |
JP4156540B2 (ja) | ログ分析装置、ログ分析プログラムおよび記録媒体 | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
Garcia-Teodoro et al. | Automatic generation of HTTP intrusion signatures by selective identification of anomalies | |
JP4500921B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
Ring et al. | A toolset for intrusion and insider threat detection | |
KR100950079B1 (ko) | 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법 | |
CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
JP4160002B2 (ja) | ログ分析装置、ログ分析プログラムおよび記録媒体 | |
JP4060263B2 (ja) | ログ分析装置およびログ分析プログラム | |
JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
JP4188203B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
Amza et al. | Hybrid network intrusion detection | |
Sani et al. | DNS Tunneling detection using elasticsearch | |
Pouget et al. | Internet attack knowledge discovery via clusters and cliques of attack traces | |
US20230156019A1 (en) | Method and system for scoring severity of cyber attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050909 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050912 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071010 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071010 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080108 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080305 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080507 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080812 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080815 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080902 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080910 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4188203 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110919 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140919 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |