JP2002135248A - ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体 - Google Patents
ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体Info
- Publication number
- JP2002135248A JP2002135248A JP2000320008A JP2000320008A JP2002135248A JP 2002135248 A JP2002135248 A JP 2002135248A JP 2000320008 A JP2000320008 A JP 2000320008A JP 2000320008 A JP2000320008 A JP 2000320008A JP 2002135248 A JP2002135248 A JP 2002135248A
- Authority
- JP
- Japan
- Prior art keywords
- log data
- network
- user
- profile
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 本発明は、ネットワーク使用状況を監視して
ネットワーク不正侵入またはそのおそれを検知し、リア
ルタイムにシステム管理者に異常を知らせることのでき
るネットワーク監視方法、ネットワーク監視システム及
びそのプログラムを記録した記録媒体を提供することを
目的とする。 【解決手段】 ネットワークに対するユーザのイベント
をログデータとして収集し、収集されたログデータから
ユーザ毎に通常のネットワーク使用状況を表すプロファ
イルを生成し、新たに収集したログデータをプロファイ
ルとユーザ毎に照合し、新たに収集したログデータの照
合結果を表示することにより、表示される新たに収集し
たログデータの照合結果からネットワーク使用状況を監
視でき、ネットワーク不正侵入またはそのおそれを検知
することができ、リアルタイムに異常を知らせることが
できる。
ネットワーク不正侵入またはそのおそれを検知し、リア
ルタイムにシステム管理者に異常を知らせることのでき
るネットワーク監視方法、ネットワーク監視システム及
びそのプログラムを記録した記録媒体を提供することを
目的とする。 【解決手段】 ネットワークに対するユーザのイベント
をログデータとして収集し、収集されたログデータから
ユーザ毎に通常のネットワーク使用状況を表すプロファ
イルを生成し、新たに収集したログデータをプロファイ
ルとユーザ毎に照合し、新たに収集したログデータの照
合結果を表示することにより、表示される新たに収集し
たログデータの照合結果からネットワーク使用状況を監
視でき、ネットワーク不正侵入またはそのおそれを検知
することができ、リアルタイムに異常を知らせることが
できる。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワーク監視
方法、ネットワーク監視システム及びそのプログラムを
記録した記録媒体に関し、特に、ネットワークのアクセ
ス状況を監視してネットワーク不正侵入等を検知するネ
ットワーク監視方法、ネットワーク監視システム及びそ
のプログラムを記録した記録媒体に関する。
方法、ネットワーク監視システム及びそのプログラムを
記録した記録媒体に関し、特に、ネットワークのアクセ
ス状況を監視してネットワーク不正侵入等を検知するネ
ットワーク監視方法、ネットワーク監視システム及びそ
のプログラムを記録した記録媒体に関する。
【0002】
【従来の技術】従来より、ネットワークまたはネットワ
ークの構成機器に対し、ネットワークの外部または内部
から不正にアクセスするネットワーク不正侵入は社会的
問題となっており、ネットワーク不正侵入を検知できる
検知システムの登場が望まれている。上記のネットワー
ク不正侵入は年々増加しており、近年の調査によると、
外部犯行と共に、内部犯行によるネットワーク不正侵入
の被害件数も無視できないくらい多い。このため、侵入
検知への期待が高まっている。
ークの構成機器に対し、ネットワークの外部または内部
から不正にアクセスするネットワーク不正侵入は社会的
問題となっており、ネットワーク不正侵入を検知できる
検知システムの登場が望まれている。上記のネットワー
ク不正侵入は年々増加しており、近年の調査によると、
外部犯行と共に、内部犯行によるネットワーク不正侵入
の被害件数も無視できないくらい多い。このため、侵入
検知への期待が高まっている。
【0003】従来より、統計や機械学習を利用してシス
テムの正常な運用状態を把握し、例外を検出することに
より異常検知(anomaly detection)
を行うという研究がある。この研究は、電話の詐欺を検
知するために普段の通話記録を機械学習によりルール化
し、モニタリングするというものである。
テムの正常な運用状態を把握し、例外を検出することに
より異常検知(anomaly detection)
を行うという研究がある。この研究は、電話の詐欺を検
知するために普段の通話記録を機械学習によりルール化
し、モニタリングするというものである。
【0004】また、ユーザのコマンドログに対してベイ
ジアンネットを利用して行動を分析する研究や、機械学
習によりコマンドログのシーケンスを解析する研究など
がある。
ジアンネットを利用して行動を分析する研究や、機械学
習によりコマンドログのシーケンスを解析する研究など
がある。
【0005】
【発明が解決しようとする課題】しかし、既存の研究は
未だ検討段階であり、ネットワークシステムへの不正ア
クセスが行われた段階で、ネットワーク不正侵入を検知
してネットワーク管理者に異常を知らせるする具体的な
技術はなかった。
未だ検討段階であり、ネットワークシステムへの不正ア
クセスが行われた段階で、ネットワーク不正侵入を検知
してネットワーク管理者に異常を知らせるする具体的な
技術はなかった。
【0006】本発明は、上記の点に鑑みなされたもの
で、ネットワーク使用状況を監視してネットワーク不正
侵入またはそのおそれを検知し、リアルタイムにシステ
ム管理者に異常を知らせることのできるネットワーク監
視方法、ネットワーク監視システム及びそのプログラム
を記録した記録媒体を提供することを目的とする。
で、ネットワーク使用状況を監視してネットワーク不正
侵入またはそのおそれを検知し、リアルタイムにシステ
ム管理者に異常を知らせることのできるネットワーク監
視方法、ネットワーク監視システム及びそのプログラム
を記録した記録媒体を提供することを目的とする。
【0007】
【課題を解決するための手段】請求項1に記載の発明
は、ネットワークに対するユーザのイベントをログデー
タとして収集し、収集されたログデータからユーザ毎に
通常のネットワーク使用状況を表すプロファイルを生成
し、新たに収集したログデータを前記プロファイルとユ
ーザ毎に照合し、前記新たに収集したログデータの照合
結果を表示することにより、表示される新たに収集した
ログデータの照合結果からネットワーク使用状況を監視
でき、ネットワーク不正侵入またはそのおそれを検知す
ることができ、リアルタイムに異常を知らせることがで
きる。
は、ネットワークに対するユーザのイベントをログデー
タとして収集し、収集されたログデータからユーザ毎に
通常のネットワーク使用状況を表すプロファイルを生成
し、新たに収集したログデータを前記プロファイルとユ
ーザ毎に照合し、前記新たに収集したログデータの照合
結果を表示することにより、表示される新たに収集した
ログデータの照合結果からネットワーク使用状況を監視
でき、ネットワーク不正侵入またはそのおそれを検知す
ることができ、リアルタイムに異常を知らせることがで
きる。
【0008】請求項2に記載の発明は、請求項1記載の
ネットワーク監視方法において、前記新たに収集したロ
グデータの照合結果に応じて前記ログデータの表示形態
を異ならせて表示することにより、ログデータの表示形
態から視覚的にネットワーク使用状況をリアルタイムに
監視できネットワーク不正侵入を検知することができ
る。
ネットワーク監視方法において、前記新たに収集したロ
グデータの照合結果に応じて前記ログデータの表示形態
を異ならせて表示することにより、ログデータの表示形
態から視覚的にネットワーク使用状況をリアルタイムに
監視できネットワーク不正侵入を検知することができ
る。
【0009】請求項3に記載の発明は、ネットワークに
対するユーザのイベントをログデータとして収集してデ
ータベースに格納する収集手段と、前記データベースに
格納されているログデータからユーザ毎に通常のネット
ワーク使用状況を表すプロファイルを生成するプロファ
イル生成手段と、前記収集手段で新たに収集したログデ
ータを前記プロファイルとユーザ毎に照合する照合手段
と、前記新たに収集したログデータの照合結果を表示す
る表示手段とを有することにより、表示される新たに収
集したログデータの照合結果からネットワーク使用状況
を監視でき、ネットワーク不正侵入またはそのおそれを
検知することができ、リアルタイムに異常を知らせるこ
とができる。
対するユーザのイベントをログデータとして収集してデ
ータベースに格納する収集手段と、前記データベースに
格納されているログデータからユーザ毎に通常のネット
ワーク使用状況を表すプロファイルを生成するプロファ
イル生成手段と、前記収集手段で新たに収集したログデ
ータを前記プロファイルとユーザ毎に照合する照合手段
と、前記新たに収集したログデータの照合結果を表示す
る表示手段とを有することにより、表示される新たに収
集したログデータの照合結果からネットワーク使用状況
を監視でき、ネットワーク不正侵入またはそのおそれを
検知することができ、リアルタイムに異常を知らせるこ
とができる。
【0010】請求項4に記載の発明は、請求項3記載の
ネットワーク監視システムにおいて、前記表示手段は、
前記新たに収集したログデータの照合結果に応じて前記
ログデータの表示形態を異ならせることにより、ログデ
ータの表示形態から視覚的にネットワーク使用状況をリ
アルタイムに監視でき、ネットワーク不正侵入として検
知されたログデータのチェックを容易に行うことができ
る。
ネットワーク監視システムにおいて、前記表示手段は、
前記新たに収集したログデータの照合結果に応じて前記
ログデータの表示形態を異ならせることにより、ログデ
ータの表示形態から視覚的にネットワーク使用状況をリ
アルタイムに監視でき、ネットワーク不正侵入として検
知されたログデータのチェックを容易に行うことができ
る。
【0011】請求項5に記載の発明は、請求項3または
4記載のネットワーク監視システムにおいて、前記表示
手段は、収集したログデータを、ユーザ毎に、かつ、時
間の推移に応じて2次元的に表示することにより、大量
のログデータの全貌を表示することが可能となる。
4記載のネットワーク監視システムにおいて、前記表示
手段は、収集したログデータを、ユーザ毎に、かつ、時
間の推移に応じて2次元的に表示することにより、大量
のログデータの全貌を表示することが可能となる。
【0012】請求項6に記載の発明は、請求項3乃至5
のいずれか記載のネットワーク監視システムにおいて、
前記プロファイル生成手段は、パラメータ自動調整機能
を持つILPシステムで構成されることにより、最良の
性能パラメータ値を示すエラー率を用いて学習した結果
の集合をプロファイルとして得ることができる。
のいずれか記載のネットワーク監視システムにおいて、
前記プロファイル生成手段は、パラメータ自動調整機能
を持つILPシステムで構成されることにより、最良の
性能パラメータ値を示すエラー率を用いて学習した結果
の集合をプロファイルとして得ることができる。
【0013】請求項7に記載の発明は、コンピュータ
を、ネットワークに対するユーザのイベントをログデー
タとして収集してデータベースに格納する収集手段と、
前記データベースに格納されているログデータからユー
ザ毎に通常のネットワーク使用状況を表すプロファイル
を生成するプロファイル生成手段と、前記収集手段で新
たに収集したログデータを前記プロファイルとユーザ毎
に照合する照合手段と、前記新たに収集したログデータ
の照合結果を表示する表示手段として機能させるための
プログラムを記録したコンピュータ読み取り可能な記録
媒体を用いることにより、表示される新たに収集したロ
グデータの照合結果からネットワーク使用状況を監視で
き、ネットワーク不正侵入またはそのおそれを検知する
ことができ、リアルタイムに異常を知らせることができ
る。
を、ネットワークに対するユーザのイベントをログデー
タとして収集してデータベースに格納する収集手段と、
前記データベースに格納されているログデータからユー
ザ毎に通常のネットワーク使用状況を表すプロファイル
を生成するプロファイル生成手段と、前記収集手段で新
たに収集したログデータを前記プロファイルとユーザ毎
に照合する照合手段と、前記新たに収集したログデータ
の照合結果を表示する表示手段として機能させるための
プログラムを記録したコンピュータ読み取り可能な記録
媒体を用いることにより、表示される新たに収集したロ
グデータの照合結果からネットワーク使用状況を監視で
き、ネットワーク不正侵入またはそのおそれを検知する
ことができ、リアルタイムに異常を知らせることができ
る。
【0014】
【発明の実施の形態】図1は、本発明のネットワーク監
視システムが構築されるコンピュータシステムの一実施
例のブロック構成図を示す。同図中、CPU10はシス
テム全体の制御を司る。CD(コンパクトディスク)装
置12にセットされて再生されるCDには、CPU10
で実行されるログチェッカー,プロファイリングエンジ
ン,ビジュアルブラウザ等のプログラムが格納されてい
る。ハードディスク装置14にはブーツストラッププロ
グラムやシステムプログラムが格納される他に、ログデ
ータベースが格納される。また、ROM16には立ち上
げ時にハードディスク装置14からブートストラッププ
ログラムやシステムプログラムを読み込むためのプログ
ラムが格納されている。
視システムが構築されるコンピュータシステムの一実施
例のブロック構成図を示す。同図中、CPU10はシス
テム全体の制御を司る。CD(コンパクトディスク)装
置12にセットされて再生されるCDには、CPU10
で実行されるログチェッカー,プロファイリングエンジ
ン,ビジュアルブラウザ等のプログラムが格納されてい
る。ハードディスク装置14にはブーツストラッププロ
グラムやシステムプログラムが格納される他に、ログデ
ータベースが格納される。また、ROM16には立ち上
げ時にハードディスク装置14からブートストラッププ
ログラムやシステムプログラムを読み込むためのプログ
ラムが格納されている。
【0015】RAM18は、CPU10が実行するプロ
グラムを一時記憶したり、演算結果を記憶するするため
の作業領域として使用される。通信装置20はLANや
インターネット等のネットワークに接続する。ディスプ
レイ装置22はディスプレイ表示を行い、プリンタ24
は処理結果等をプリントアウトする。また、入力装置2
6としてコマンド等を入力するキーボードと、表示画面
におけるカーソル移動やクリックを行うためのマウス等
が設けられ、出力装置27として発音のためのスピーカ
が設けられている。上記の各装置間はシステムバス28
により接続されている。
グラムを一時記憶したり、演算結果を記憶するするため
の作業領域として使用される。通信装置20はLANや
インターネット等のネットワークに接続する。ディスプ
レイ装置22はディスプレイ表示を行い、プリンタ24
は処理結果等をプリントアウトする。また、入力装置2
6としてコマンド等を入力するキーボードと、表示画面
におけるカーソル移動やクリックを行うためのマウス等
が設けられ、出力装置27として発音のためのスピーカ
が設けられている。上記の各装置間はシステムバス28
により接続されている。
【0016】図2は、本発明のネットワーク監視システ
ムのシステムアーキテクチャの一実施例のブロック図を
示す。本発明システムは、ログチェッカー30、ログデ
ータベース32、プロファイリングエンジン34、及び
ビジュアルブラウザ36から成る。ログチェッカー30
は、通信装置20が接続されたネットワーク上を流れる
ユーザイベントを常時モニタリングして、そのユーザイ
ベントをログデータとして収集しログデータベース32
に格納する。ログデータベース32に収集されたログデ
ータはプロファイリングエンジン34、及びビジュアル
ブラウザ36によって参照される。
ムのシステムアーキテクチャの一実施例のブロック図を
示す。本発明システムは、ログチェッカー30、ログデ
ータベース32、プロファイリングエンジン34、及び
ビジュアルブラウザ36から成る。ログチェッカー30
は、通信装置20が接続されたネットワーク上を流れる
ユーザイベントを常時モニタリングして、そのユーザイ
ベントをログデータとして収集しログデータベース32
に格納する。ログデータベース32に収集されたログデ
ータはプロファイリングエンジン34、及びビジュアル
ブラウザ36によって参照される。
【0017】プロファイリングエンジン34は、各ユー
ザの通常の振る舞いを表すプロファイルを生成する。こ
のプロファイルの生成には、帰納論理プログラミング
(ILP:Inductive Logic Prog
ramming)を利用する。生成されたプロファイル
は、ログチェッカー30およびビジュアルブラウザ36
に送られる。
ザの通常の振る舞いを表すプロファイルを生成する。こ
のプロファイルの生成には、帰納論理プログラミング
(ILP:Inductive Logic Prog
ramming)を利用する。生成されたプロファイル
は、ログチェッカー30およびビジュアルブラウザ36
に送られる。
【0018】ログチェッカー30はこのプロファイルを
利用し、ユーザのイベントをプロファイルと照合する。
プロファイルに当てはまらないイベントは、そのユーザ
の通常の利用とは異なるため、不正なイベント即ちネッ
トワーク不正侵入として検知され、検知情報がビジュア
ルブラウザ36に通知される。
利用し、ユーザのイベントをプロファイルと照合する。
プロファイルに当てはまらないイベントは、そのユーザ
の通常の利用とは異なるため、不正なイベント即ちネッ
トワーク不正侵入として検知され、検知情報がビジュア
ルブラウザ36に通知される。
【0019】ビジュアルブラウザ36は、ログデータベ
ース32からログデータを取得し、ログデータそのもの
を表示すると共に、通常のイベントのログか、もしく
は、不正なイベントのログかの分類を表示形態を変える
ことにより視覚的に表現する。また、システム管理者は
ビジュアルブラウザ36を利用してイベントやプロファ
イルを編集することが可能である。これは、不正なイベ
ントだけを検知するための完全なプロファイルの生成が
困難であるため、システム管理者がイベントまたはプロ
ファイルを編集するために必要となる。
ース32からログデータを取得し、ログデータそのもの
を表示すると共に、通常のイベントのログか、もしく
は、不正なイベントのログかの分類を表示形態を変える
ことにより視覚的に表現する。また、システム管理者は
ビジュアルブラウザ36を利用してイベントやプロファ
イルを編集することが可能である。これは、不正なイベ
ントだけを検知するための完全なプロファイルの生成が
困難であるため、システム管理者がイベントまたはプロ
ファイルを編集するために必要となる。
【0020】現実的には、不正なイベントは必ず検知す
るが、まれに正常なイベントを不正なイベントとして検
知する程度のプロファイルをプロファイリングエンジン
34で生成する。この場合、システム管理者はネットワ
ーク侵入等の不正なイベントとして検知されたイベント
が本当に不正なものかどうかをチェックする必要がある
が、ビジュアルブラウザ36ではログデータを視覚的に
表現するため、上記チェック作業が容易になる。ここ
で、対象とするユーザのイベントのログデータとして
は、ユーザ名(who)、マシン名(where)、イ
ベント名(what)、イベント引数(how)、イベ
ント実行時刻(when)が上げられる。これは、どの
ユーザが、いつ、どこで、何を、どのように実行したか
を表すものである。なお、ログデータとして、この5つ
の情報は必要不可欠ではなく、いずれかの情報を含んで
いれば利用可能である。
るが、まれに正常なイベントを不正なイベントとして検
知する程度のプロファイルをプロファイリングエンジン
34で生成する。この場合、システム管理者はネットワ
ーク侵入等の不正なイベントとして検知されたイベント
が本当に不正なものかどうかをチェックする必要がある
が、ビジュアルブラウザ36ではログデータを視覚的に
表現するため、上記チェック作業が容易になる。ここ
で、対象とするユーザのイベントのログデータとして
は、ユーザ名(who)、マシン名(where)、イ
ベント名(what)、イベント引数(how)、イベ
ント実行時刻(when)が上げられる。これは、どの
ユーザが、いつ、どこで、何を、どのように実行したか
を表すものである。なお、ログデータとして、この5つ
の情報は必要不可欠ではなく、いずれかの情報を含んで
いれば利用可能である。
【0021】ビジュアルブラウザ36は、ログデータの
効率的な閲覧を可能とし、システム管理者に対して、視
覚的にログのデータ構造を示すもので、通常のユーザの
利用状況の把握や、ログチェッカー30がネットワーク
不正侵入を検知した場合に、どのようなイベントを実行
したかの痕跡を発見し易くする。ビジュアルブラウザ3
6は、ディスプレイ装置22に、図3に示すログブラウ
ザパネル、図4に示すプロパティパネル、図5に示すビ
ジュアライズパネル、図6に示すプロファイルパネル、
それぞれを表示する。
効率的な閲覧を可能とし、システム管理者に対して、視
覚的にログのデータ構造を示すもので、通常のユーザの
利用状況の把握や、ログチェッカー30がネットワーク
不正侵入を検知した場合に、どのようなイベントを実行
したかの痕跡を発見し易くする。ビジュアルブラウザ3
6は、ディスプレイ装置22に、図3に示すログブラウ
ザパネル、図4に示すプロパティパネル、図5に示すビ
ジュアライズパネル、図6に示すプロファイルパネル、
それぞれを表示する。
【0022】図3は、ログブラウザパネルの一実施例を
示す。同図中、ログ表示部40に複数のログを行単位で
表示する。また、テキストフィールド42に、ログデー
タベース32からログを取得する際の検索条件を記入す
る。この実施例では、ユーザ名「hiraishi」か
つ、ホスト名「imct451」の検索条件を満足する
ログデータの取得することを指示している。テキストフ
ィールド42に記入された「&」は論理積を表すが、
「&」の代わりに「|」を用いて論理和を指示すること
も可能である。
示す。同図中、ログ表示部40に複数のログを行単位で
表示する。また、テキストフィールド42に、ログデー
タベース32からログを取得する際の検索条件を記入す
る。この実施例では、ユーザ名「hiraishi」か
つ、ホスト名「imct451」の検索条件を満足する
ログデータの取得することを指示している。テキストフ
ィールド42に記入された「&」は論理積を表すが、
「&」の代わりに「|」を用いて論理和を指示すること
も可能である。
【0023】Getボタン43は、テキストフィールド
42に記入した条件によるログデータの取得を指示す
る。また、Clearボタン44は、テキストフィール
ド42のクリアを指示する。Backボタン45はGe
tボタン43をクリックする一つ前に表示したログデー
タをログ表示部40表示させることを指示する。ところ
で、テキストフィールド42に未記入の状態でGetボ
タン43をクリックすると、後述するプロパティパネル
で設定された条件に相当するログデータが取得されてロ
グ表示部40に表示される。なお、テキストフィールド
42、Getボタン43、Clearボタン44、Ba
ckボタン45は、ログブラウザパネルだけでなくプロ
パティパネル、ビジュアライズパネル、プロファイルパ
ネルにも共通に表示される。
42に記入した条件によるログデータの取得を指示す
る。また、Clearボタン44は、テキストフィール
ド42のクリアを指示する。Backボタン45はGe
tボタン43をクリックする一つ前に表示したログデー
タをログ表示部40表示させることを指示する。ところ
で、テキストフィールド42に未記入の状態でGetボ
タン43をクリックすると、後述するプロパティパネル
で設定された条件に相当するログデータが取得されてロ
グ表示部40に表示される。なお、テキストフィールド
42、Getボタン43、Clearボタン44、Ba
ckボタン45は、ログブラウザパネルだけでなくプロ
パティパネル、ビジュアライズパネル、プロファイルパ
ネルにも共通に表示される。
【0024】ログ表示部40には、ログデータベース3
2から取得した複数のログを行単位で表示される。各行
左端の第1カラムにはユーザ名、第2カラムにはホスト
名、第3カラムには実行したコマンド及びその引数、右
端の第4カラムには実行した日付と時刻が表示される。
また、ログ表示部40に表示されているユーザ名やホス
ト名をマウスで選択してクリックすると、選択されたユ
ーザ名やホスト名がテキストフィールド42にコピーさ
れ、自動的に項目(ユーザ名やホスト名)に関連するロ
グデータがデータベース32から取得される。このよう
にして、マウス操作によるログのブラウジングを可能と
している。
2から取得した複数のログを行単位で表示される。各行
左端の第1カラムにはユーザ名、第2カラムにはホスト
名、第3カラムには実行したコマンド及びその引数、右
端の第4カラムには実行した日付と時刻が表示される。
また、ログ表示部40に表示されているユーザ名やホス
ト名をマウスで選択してクリックすると、選択されたユ
ーザ名やホスト名がテキストフィールド42にコピーさ
れ、自動的に項目(ユーザ名やホスト名)に関連するロ
グデータがデータベース32から取得される。このよう
にして、マウス操作によるログのブラウジングを可能と
している。
【0025】ところで、ログチェッカー30によって、
不正なイベントの通知があった場合には、ビジュアルブ
ラウザ36はカッコーアイコン46が動かし、カッコー
の鳴き声をスピーカより発音することによって、不正な
イベントが発生したことをシステム管理者に通知する。
また、不正なイベントに対応するログデータを例えば赤
い文字で表示する。このように、視覚と聴覚によって、
システム管理者に対し不正なイベント発生の通知が行わ
れる。
不正なイベントの通知があった場合には、ビジュアルブ
ラウザ36はカッコーアイコン46が動かし、カッコー
の鳴き声をスピーカより発音することによって、不正な
イベントが発生したことをシステム管理者に通知する。
また、不正なイベントに対応するログデータを例えば赤
い文字で表示する。このように、視覚と聴覚によって、
システム管理者に対し不正なイベント発生の通知が行わ
れる。
【0026】図4は、プロパティパネルの一実施例を示
す。同図中、指定欄50ではログデータを取得する期間
(デフォルト値)を指定する。指定欄52では、ログ表
示部40に表示されているユーザ名やホスト名等の項目
をクリックしてテキストフィールド42にコピーする際
に、複数の項目の論理積と論理和のいずれを用いるかを
設定する。指定欄54ではログデータを取得するタイミ
ングを指定する。また、指定欄56ではログチェッカー
30との通信を行うためにログチェッカー30のIPア
ドレス及びポート番号を指定する。
す。同図中、指定欄50ではログデータを取得する期間
(デフォルト値)を指定する。指定欄52では、ログ表
示部40に表示されているユーザ名やホスト名等の項目
をクリックしてテキストフィールド42にコピーする際
に、複数の項目の論理積と論理和のいずれを用いるかを
設定する。指定欄54ではログデータを取得するタイミ
ングを指定する。また、指定欄56ではログチェッカー
30との通信を行うためにログチェッカー30のIPア
ドレス及びポート番号を指定する。
【0027】同様に、プロファイリングエンジン34の
IPアドレス及びポート番号を指定するための図示され
てない欄も設けられている。上記のログチェッカー30
やプロファイリングエンジン34のIPアドレス及びポ
ート番号の指定は、ログチェッカー30やプロファイリ
ングエンジン34がビジュアルブラウザ36とは異なる
コンピュータで動作する場合に必要となるものであっ
て、図1に示すように、ログチェッカー30やプロファ
イリングエンジン34がビジュアルブラウザ36と同一
のCPUで動作する場合には必要ない。
IPアドレス及びポート番号を指定するための図示され
てない欄も設けられている。上記のログチェッカー30
やプロファイリングエンジン34のIPアドレス及びポ
ート番号の指定は、ログチェッカー30やプロファイリ
ングエンジン34がビジュアルブラウザ36とは異なる
コンピュータで動作する場合に必要となるものであっ
て、図1に示すように、ログチェッカー30やプロファ
イリングエンジン34がビジュアルブラウザ36と同一
のCPUで動作する場合には必要ない。
【0028】図5は、ビジュアライズパネルの一実施例
を示す。ビジュアライズパネルの最も重要な役割はマシ
ンやネットワークの状態を容易に理解させることにあ
る。図5において、ワイヤフレームによる楕円球60
は、縦軸にユーザ名及びマシン名からなる属性が表現さ
れ、横軸の左から右に時間の推移が表現された2次元構
成である。縦横の線で区画された各セルには、ユーザが
実行したコマンド(ログデータのコマンド)が表示され
る。
を示す。ビジュアライズパネルの最も重要な役割はマシ
ンやネットワークの状態を容易に理解させることにあ
る。図5において、ワイヤフレームによる楕円球60
は、縦軸にユーザ名及びマシン名からなる属性が表現さ
れ、横軸の左から右に時間の推移が表現された2次元構
成である。縦横の線で区画された各セルには、ユーザが
実行したコマンド(ログデータのコマンド)が表示され
る。
【0029】楕円球60の中央に向かうほどセルの表示
領域は大きく、外枠に近くなるにつれてセルの表示領域
は小さくなる。このため、外枠に近づくにつれて表示は
小さくなるが、一度に大量のログデータの全貌を表示す
ることが可能である。また、任意のセルをマウスでドラ
ッグすることによって、楕円球60を上下左右に回転す
るようにスクロールさせることによって、目的の属性
(ユーザ及びマシン)及び時間の推移に沿ってログデー
タの内容を見ることが可能である。この時、楕円球60
の中央に位置するログデータの属性が左端部に選択ログ
属性62として表示され、また、楕円球60の中央に位
置するログデータのコマンドの実行時刻が下端部にコマ
ンド実行時刻64として表示される。
領域は大きく、外枠に近くなるにつれてセルの表示領域
は小さくなる。このため、外枠に近づくにつれて表示は
小さくなるが、一度に大量のログデータの全貌を表示す
ることが可能である。また、任意のセルをマウスでドラ
ッグすることによって、楕円球60を上下左右に回転す
るようにスクロールさせることによって、目的の属性
(ユーザ及びマシン)及び時間の推移に沿ってログデー
タの内容を見ることが可能である。この時、楕円球60
の中央に位置するログデータの属性が左端部に選択ログ
属性62として表示され、また、楕円球60の中央に位
置するログデータのコマンドの実行時刻が下端部にコマ
ンド実行時刻64として表示される。
【0030】また、新たなログデータが得られた場合に
は、最新のログデータを楕円球60の中央のセル60a
に表示するように、自動的にスクロールが行われる。図
5に示す例は、楕円球60は中央のセル60aに表示さ
れているログデータ「ls」が得られスクロールされた
状態を表している。
は、最新のログデータを楕円球60の中央のセル60a
に表示するように、自動的にスクロールが行われる。図
5に示す例は、楕円球60は中央のセル60aに表示さ
れているログデータ「ls」が得られスクロールされた
状態を表している。
【0031】更に、大量のログデータの中で、不正なイ
ベントのログデータの発見を容易にするため、ログデー
タのコマンドに対して以下の4 つのカテゴリに分類を行
い、カテゴリによって表示するセルの色分けを行う。
ベントのログデータの発見を容易にするため、ログデー
タのコマンドに対して以下の4 つのカテゴリに分類を行
い、カテゴリによって表示するセルの色分けを行う。
【0032】第1のカテゴリは、Un−ruledコマ
ンドであり赤で表示する。このカテゴリは最も危険なカ
テゴリであり、当該属性のプロファイルに適合しないコ
マンド群である。つまり、このカテゴリに含まれるコマ
ンドは、ユーザが本来実行しないコマンドであるため、
そのユーザになりすましたネットワーク不正侵入者によ
って、実行されたコマンドである可能性が高い。
ンドであり赤で表示する。このカテゴリは最も危険なカ
テゴリであり、当該属性のプロファイルに適合しないコ
マンド群である。つまり、このカテゴリに含まれるコマ
ンドは、ユーザが本来実行しないコマンドであるため、
そのユーザになりすましたネットワーク不正侵入者によ
って、実行されたコマンドである可能性が高い。
【0033】第2のカテゴリは、Dangerコマンド
であり黄で表示する。このカテゴリには、ネットワーク
に関連するコマンドや、システム管理者用のコマンドが
属し、例えばsu,finger,ftp,telne
t,rlogin,alias,configure,
nmap等のコマンドである。これらのコマンドは、ネ
ットワークヘの不正侵入や、パスワードデータを盗み見
るために利用されるものである。
であり黄で表示する。このカテゴリには、ネットワーク
に関連するコマンドや、システム管理者用のコマンドが
属し、例えばsu,finger,ftp,telne
t,rlogin,alias,configure,
nmap等のコマンドである。これらのコマンドは、ネ
ットワークヘの不正侵入や、パスワードデータを盗み見
るために利用されるものである。
【0034】第3のカテゴリは、Safetyコマンド
であり青で表示する。このカテゴリは、当該属性のプロ
ファイルに適合するコマンドや間違いなく安全なコマン
ドがこのカテゴリに含まれ、例えばls,cd,jla
tex,java等のコマンドである。
であり青で表示する。このカテゴリは、当該属性のプロ
ファイルに適合するコマンドや間違いなく安全なコマン
ドがこのカテゴリに含まれ、例えばls,cd,jla
tex,java等のコマンドである。
【0035】第4のカテゴリは、Unknownコマン
ドであり緑で表示する。このカテゴリは上記第1〜第3
のカテゴリに属さないコマンド群である。これは、多く
の場合タイプミスされたコマンドや、ユーザが独自に作
成したマクロのコマンドが含まれる。この第4のカテゴ
リも、ネットワーク不正侵入者によって作成されたコマ
ンドの可能性は高い。
ドであり緑で表示する。このカテゴリは上記第1〜第3
のカテゴリに属さないコマンド群である。これは、多く
の場合タイプミスされたコマンドや、ユーザが独自に作
成したマクロのコマンドが含まれる。この第4のカテゴ
リも、ネットワーク不正侵入者によって作成されたコマ
ンドの可能性は高い。
【0036】大量のログデータを図5の楕円球60に表
示した場合、外枠に近いものの内容の表示は不可能であ
るが、色の表示は可能である。したがって、上記のよう
にカテゴリ毎にセルの色分けを行えば、色の表示をみる
だけで不正なイベントを発見することが可能である。さ
らに、発見したセルをドラッグして楕円球60の中央位
置に移動させることでログデータの内容を読み取ること
ができ、何が実行されたのかを把握することが可能であ
る。
示した場合、外枠に近いものの内容の表示は不可能であ
るが、色の表示は可能である。したがって、上記のよう
にカテゴリ毎にセルの色分けを行えば、色の表示をみる
だけで不正なイベントを発見することが可能である。さ
らに、発見したセルをドラッグして楕円球60の中央位
置に移動させることでログデータの内容を読み取ること
ができ、何が実行されたのかを把握することが可能であ
る。
【0037】例えば、システム管理者は、重要度の高い
順に、例えば、赤色、黄色、緑色のセルに注目し、その
色のセルが存在する場合には、その内容のチェックを行
う。これによって、システム管理者は大量なログデータ
を視覚的に理解し、その内容を確認することが可能とな
る。
順に、例えば、赤色、黄色、緑色のセルに注目し、その
色のセルが存在する場合には、その内容のチェックを行
う。これによって、システム管理者は大量なログデータ
を視覚的に理解し、その内容を確認することが可能とな
る。
【0038】なお、カテゴリに応じて色を異ならせる以
外に、文字のフォントを異ならせたり、点滅間隔を異な
らせる等の、他の表示形態を異ならせる方法を採用して
も良い。
外に、文字のフォントを異ならせたり、点滅間隔を異な
らせる等の、他の表示形態を異ならせる方法を採用して
も良い。
【0039】図6は、プロファイルパネルの一実施例を
示す。同図中、プロファイル表示部70には、プロファ
イリングエンジン34によって生成されたプロファイル
がユーザ毎にリストとして表示される。このリストはプ
ロファイルを構成するルールを行毎に表示している。
示す。同図中、プロファイル表示部70には、プロファ
イリングエンジン34によって生成されたプロファイル
がユーザ毎にリストとして表示される。このリストはプ
ロファイルを構成するルールを行毎に表示している。
【0040】図6に示す例では、第1行の記述「−−−
hiraishi−−−」がユーザ名を表している。リ
ストの第2行の記述「*,java,」における「*」
は全てに当てはまることを示すワイルドカードであり、
このユーザは「java」というコマンドをマシンに関
係なく利用するというルールである。以降の行にそのユ
ーザの通常のコマンドのルールが続いて表示されてい
る。第5行の記述は、このユーザはマシン名「imct
−r03」で、コマンド「kterm」を実行し、その
とき、引数の一番目に「&」“を指定するというルール
である。第2行以降の各ルールは論理和の関係となる。
hiraishi−−−」がユーザ名を表している。リ
ストの第2行の記述「*,java,」における「*」
は全てに当てはまることを示すワイルドカードであり、
このユーザは「java」というコマンドをマシンに関
係なく利用するというルールである。以降の行にそのユ
ーザの通常のコマンドのルールが続いて表示されてい
る。第5行の記述は、このユーザはマシン名「imct
−r03」で、コマンド「kterm」を実行し、その
とき、引数の一番目に「&」“を指定するというルール
である。第2行以降の各ルールは論理和の関係となる。
【0041】プロファイリングエンジン34によって生
成されるプロファイルは完全ではないため、プロファイ
ル表示部70では、各行のルールを編集したり、新たな
ルールの追加やルールの削除が可能である。また、ボタ
ン72をクリックすることで全てのユーザについての新
たなプロファイルをプロファイリングエンジン34から
取得する。また、欄74によって、新たなプロファイル
をプロファイリングエンジン34から取得するタイミン
グ(図示の例では60秒毎に取得)を設定することがで
きる。
成されるプロファイルは完全ではないため、プロファイ
ル表示部70では、各行のルールを編集したり、新たな
ルールの追加やルールの削除が可能である。また、ボタ
ン72をクリックすることで全てのユーザについての新
たなプロファイルをプロファイリングエンジン34から
取得する。また、欄74によって、新たなプロファイル
をプロファイリングエンジン34から取得するタイミン
グ(図示の例では60秒毎に取得)を設定することがで
きる。
【0042】プロファイリングエンジン34では帰納論
理プログラミング(ILP)システムを利用する。IL
Pシステムは、機械学習の一つの手法であり、一階述語
論理に基づいた例からの関係学習、更に、逐次的な処理
が可能なシステムである。そして、ILPは次のような
フレームワークに基づいている。正事例E+、負事例E
−、それらを説明する背景知識Bを与えたとき、(1)
式により正事例を含み、(2)式により負事例を排除す
る仮説Hを仮説探索により見つける。
理プログラミング(ILP)システムを利用する。IL
Pシステムは、機械学習の一つの手法であり、一階述語
論理に基づいた例からの関係学習、更に、逐次的な処理
が可能なシステムである。そして、ILPは次のような
フレームワークに基づいている。正事例E+、負事例E
−、それらを説明する背景知識Bを与えたとき、(1)
式により正事例を含み、(2)式により負事例を排除す
る仮説Hを仮説探索により見つける。
【0043】
【数1】 ILPでは、ユーザが与えた宣言情報を利用して述語を
結合する。これは、規則にのっとって関係データベース
内の複数テーブルを結合するのと等しい。これは、従っ
て、このテーブルに複数のログデータを格納し、そこか
ら規則を導出する。本実施例では汎用性を考え、そのI
LPシステムをJava言語によって実装する。
結合する。これは、規則にのっとって関係データベース
内の複数テーブルを結合するのと等しい。これは、従っ
て、このテーブルに複数のログデータを格納し、そこか
ら規則を導出する。本実施例では汎用性を考え、そのI
LPシステムをJava言語によって実装する。
【0044】ここでは、仮説生成を行なうとき、入出力
モードと変数結合の深さを利用して、最も特殊な節をま
ず求める。そして、最も一般的な仮説から最も特殊な仮
説(ボトム節) に向けて仮説を徐々に特殊化する。この
時、仮説における正事例の包含率と仮説の長さを目的関
数とし、含んでもよい負事例の割合(エラー率) を制約
条件として与え、この目的関数が最大となる仮説を最良
仮説、即ちルールとする。このように、ILPシステム
は、学習時に負事例をどの程度含んでもよいかというエ
ラー率を設定しなければならない。その設定次第でルー
ルの性能が左右される。
モードと変数結合の深さを利用して、最も特殊な節をま
ず求める。そして、最も一般的な仮説から最も特殊な仮
説(ボトム節) に向けて仮説を徐々に特殊化する。この
時、仮説における正事例の包含率と仮説の長さを目的関
数とし、含んでもよい負事例の割合(エラー率) を制約
条件として与え、この目的関数が最大となる仮説を最良
仮説、即ちルールとする。このように、ILPシステム
は、学習時に負事例をどの程度含んでもよいかというエ
ラー率を設定しなければならない。その設定次第でルー
ルの性能が左右される。
【0045】ここで、得られたルールが正事例と負事例
をどの程度正しく説明できるかを示す精度(Accur
acy)、正と判別する規則が正事例をどの程度判別で
きるかを示す感度(Sensitivity)、負と判
別する規則が負事例をどの程度判別できるかを示す特殊
性(Specificity)の3種類の性能パラメー
タを次のように定義する。
をどの程度正しく説明できるかを示す精度(Accur
acy)、正と判別する規則が正事例をどの程度判別で
きるかを示す感度(Sensitivity)、負と判
別する規則が負事例をどの程度判別できるかを示す特殊
性(Specificity)の3種類の性能パラメー
タを次のように定義する。
【0046】正事例E+が仮説Hで正として判断するT
P(True Positive)と仮説Hで負として
判断するFN(False Negative)とから
なり、負事例E−が仮説Hで正として判断するFP(F
alse Positive)と仮説Hで負として判断
するTN(True Negative)とからなると
き、性能パラメータは次の式で表される。
P(True Positive)と仮説Hで負として
判断するFN(False Negative)とから
なり、負事例E−が仮説Hで正として判断するFP(F
alse Positive)と仮説Hで負として判断
するTN(True Negative)とからなると
き、性能パラメータは次の式で表される。
【0047】感度=TP/E+ 特殊性=TN/E− 精度=(TP+TN)/(E++E−) これらの性能パラメータは、リサンプリング手法により
求まる。そして、指定した性能パラメータを最大化し、
指定されなかった残りの性能パラメータを制約条件とし
て定義する。この時、性能パラメータの特徴として、エ
ラー率を大きくすると感度はよくなり精度は悪くなる傾
向がある。そこで、エラー率と各性能パラメータの関係
を考慮に入れた探索により、最良の性能パラメータ値を
示すエラー率を求める。その時のエラー率を用いて学習
した結果の集合をプロファイルとする。
求まる。そして、指定した性能パラメータを最大化し、
指定されなかった残りの性能パラメータを制約条件とし
て定義する。この時、性能パラメータの特徴として、エ
ラー率を大きくすると感度はよくなり精度は悪くなる傾
向がある。そこで、エラー率と各性能パラメータの関係
を考慮に入れた探索により、最良の性能パラメータ値を
示すエラー率を求める。その時のエラー率を用いて学習
した結果の集合をプロファイルとする。
【0048】図7は、プロファイリングエンジン34内
のILPシステムが実行するエラー率自動調整処理の一
実施例のフローチャートを示す。
のILPシステムが実行するエラー率自動調整処理の一
実施例のフローチャートを示す。
【0049】同図中、ステップS10でシステム管理者
は最大化したい性能パラメータを決め、制約条件として
残り2つの性能パラメータ値を与える。ステップS12
で停止条件を満足したか否かを判別して、停止条件を満
足しない場合は、ステップS14に進む。ここではクロ
スバリデーションやブートストラップのようなリサンプ
リング処理により訓練集合とテスト集合を作成する。
は最大化したい性能パラメータを決め、制約条件として
残り2つの性能パラメータ値を与える。ステップS12
で停止条件を満足したか否かを判別して、停止条件を満
足しない場合は、ステップS14に進む。ここではクロ
スバリデーションやブートストラップのようなリサンプ
リング処理により訓練集合とテスト集合を作成する。
【0050】次に、ステップS16でILPシステムは
訓練集合を学習し、それをテストして3つの性能パラメ
ータを求める。そして、ステップS18でシステム管理
者が指定した制約条件を2つの性能パラメータが満足し
ているかどうかを確認する。ここで、満足している場合
は、ステップS20の調整プロセスに進んで、最大化し
たい性能パラメータが最大になるようにエラー率を更新
してステップS12に進みステップS12〜S18を繰
り返す。
訓練集合を学習し、それをテストして3つの性能パラメ
ータを求める。そして、ステップS18でシステム管理
者が指定した制約条件を2つの性能パラメータが満足し
ているかどうかを確認する。ここで、満足している場合
は、ステップS20の調整プロセスに進んで、最大化し
たい性能パラメータが最大になるようにエラー率を更新
してステップS12に進みステップS12〜S18を繰
り返す。
【0051】一方、ステップS18で制約条件を満足し
ている場合には、ステップS22の最大化プロセスに進
んで最大化したい性能パラメータが最大になるようにエ
ラー率を更新してステップS12に進みステップS12
〜S18を繰り返す。そして、最大化したい性能パラメ
ータの値に変動がなくなると、ステップS12で停止条
件を満足してこの処理を終了する。
ている場合には、ステップS22の最大化プロセスに進
んで最大化したい性能パラメータが最大になるようにエ
ラー率を更新してステップS12に進みステップS12
〜S18を繰り返す。そして、最大化したい性能パラメ
ータの値に変動がなくなると、ステップS12で停止条
件を満足してこの処理を終了する。
【0052】上記の処理によって、ログデータベース3
2のログイン状況とコマンドログを取得することによ
り、例えば次に示すようなルールが作成される。
2のログイン状況とコマンドログを取得することによ
り、例えば次に示すようなルールが作成される。
【0053】user_A(X):−login
(X,’’imctX’’,Y),type(Y,’’
lpr、pimc3,3’’). このルールは、ホスト名imctXではユーザAはプリ
ンタ利用のコマンドlprをタイプし、そのとき第3引
数にネットワークプリンタを指定するpimc3を用い
ることを表している。このようなルールの集合をあるカ
テゴリのプロファイル集合とする。
(X,’’imctX’’,Y),type(Y,’’
lpr、pimc3,3’’). このルールは、ホスト名imctXではユーザAはプリ
ンタ利用のコマンドlprをタイプし、そのとき第3引
数にネットワークプリンタを指定するpimc3を用い
ることを表している。このようなルールの集合をあるカ
テゴリのプロファイル集合とする。
【0054】ログデータベース32では、ファイルと関
係データベースとを利用してログデータの管理を行う。
関係データベースは例えば、「ID(識別番号)、ユー
ザ名、ホスト名、タイプされたコマンド(引数を含
む)、タイプされたコマンド(引数を含まない)、タイ
プされた時刻」のテーブルと、「ID、タイプされたコ
マンド(引数を含む)、コマンド引数」のテーブルとの
2つのテーブルから構成する。また、ファイルは例え
ば、上記関係データベースの各テーブルを1つのファイ
ルとして、その中にCSV(Comma Separa
ted Value)形式で上記関係データベースと同
一データを格納する。
係データベースとを利用してログデータの管理を行う。
関係データベースは例えば、「ID(識別番号)、ユー
ザ名、ホスト名、タイプされたコマンド(引数を含
む)、タイプされたコマンド(引数を含まない)、タイ
プされた時刻」のテーブルと、「ID、タイプされたコ
マンド(引数を含む)、コマンド引数」のテーブルとの
2つのテーブルから構成する。また、ファイルは例え
ば、上記関係データベースの各テーブルを1つのファイ
ルとして、その中にCSV(Comma Separa
ted Value)形式で上記関係データベースと同
一データを格納する。
【0055】このように、ファイルと関係データベース
を用いるのは、関係データベースが利用できない環境で
あっても、ファイルを利用できるようにしておくためで
あり、ファイルと関係データベースのいずれか一方だけ
を利用するものであっても良い。
を用いるのは、関係データベースが利用できない環境で
あっても、ファイルを利用できるようにしておくためで
あり、ファイルと関係データベースのいずれか一方だけ
を利用するものであっても良い。
【0056】関係データベース、ファイル共に、関係デ
ータベースを演算するための言語であるSQL(Stu
ractured Query Language)を
用いて演算を行い、ログデータの加工と検索を行なう。
図8に示すように、ビジュアルブラウザ36のログブラ
ウザパネル、プロパティパネル、ビジュアライズパネ
ル、プロファイルパネルそれぞれは、必要な情報をログ
データベース32から取得するときに、演算要求「クエ
リ」をログデータベース32に供給して、ログデータの
加工及び検索を行い、その演算結果を得て、上記の各パ
ネルに表示する。また、プロファイリングエンジン34
は、プロファイルを作成する際の関係抽出や仮説の包含
数を導出するときに、そのための演算要求をログデータ
ベース32に供給してログデータベース32を利用す
る。ログチェッカー30は、分散型のログ収集を行な
う。この場合、ログチェッカー30は、図9に示すよう
に、ログ収集サーバ80と複数のモニタエージェント8
2a〜82xとからなる。対象としたいログ(ユーザ名
やホスト名)が決まれば、対象のログを監視するモニタ
エージェントを作成し、それにログを監視させる。ここ
でいう監視とは、ログの収集及びプロファイルとの照合
による検知である。
ータベースを演算するための言語であるSQL(Stu
ractured Query Language)を
用いて演算を行い、ログデータの加工と検索を行なう。
図8に示すように、ビジュアルブラウザ36のログブラ
ウザパネル、プロパティパネル、ビジュアライズパネ
ル、プロファイルパネルそれぞれは、必要な情報をログ
データベース32から取得するときに、演算要求「クエ
リ」をログデータベース32に供給して、ログデータの
加工及び検索を行い、その演算結果を得て、上記の各パ
ネルに表示する。また、プロファイリングエンジン34
は、プロファイルを作成する際の関係抽出や仮説の包含
数を導出するときに、そのための演算要求をログデータ
ベース32に供給してログデータベース32を利用す
る。ログチェッカー30は、分散型のログ収集を行な
う。この場合、ログチェッカー30は、図9に示すよう
に、ログ収集サーバ80と複数のモニタエージェント8
2a〜82xとからなる。対象としたいログ(ユーザ名
やホスト名)が決まれば、対象のログを監視するモニタ
エージェントを作成し、それにログを監視させる。ここ
でいう監視とは、ログの収集及びプロファイルとの照合
による検知である。
【0057】ログの収集では、各モニタエージェント8
2a〜82xが収集したログをログ収集サーバ80から
例えばTCP/IP接続を利用してログデータベース3
2の対象ファイル、または、対象関係データベースに付
け加える。プロファイルとの照合による検知では、各モ
ニタエージェント82a〜82xは、プロファイリング
エンジン34で作成されたプロファイルと得られたログ
を照合し、そのログが異常の有無を示すフラグ等の検知
情報をビジュアルブラウザ36に供給する。
2a〜82xが収集したログをログ収集サーバ80から
例えばTCP/IP接続を利用してログデータベース3
2の対象ファイル、または、対象関係データベースに付
け加える。プロファイルとの照合による検知では、各モ
ニタエージェント82a〜82xは、プロファイリング
エンジン34で作成されたプロファイルと得られたログ
を照合し、そのログが異常の有無を示すフラグ等の検知
情報をビジュアルブラウザ36に供給する。
【0058】図10は、ログチェッカー30が実行する
処理の一実施例のフローチャートを示す。同図中、ステ
ップS30でネットワーク上を流れるログデータを取得
する。次に、ステップS32で取得したログデータをロ
グデータベース32に送信する。ステップS34では取
得したログデータをプロファイリングエンジン34から
供給されている対応するプロファイルと照合して、異常
なログか否かを判別する。ここで、異常と判別されると
ステップS36で異常なログデータをビジュアルブラウ
ザ36に送信してステップS30に進み、異常がないと
判別されるとそのままステップS30に進んで、上記の
処理を繰り返す。
処理の一実施例のフローチャートを示す。同図中、ステ
ップS30でネットワーク上を流れるログデータを取得
する。次に、ステップS32で取得したログデータをロ
グデータベース32に送信する。ステップS34では取
得したログデータをプロファイリングエンジン34から
供給されている対応するプロファイルと照合して、異常
なログか否かを判別する。ここで、異常と判別されると
ステップS36で異常なログデータをビジュアルブラウ
ザ36に送信してステップS30に進み、異常がないと
判別されるとそのままステップS30に進んで、上記の
処理を繰り返す。
【0059】図11は、ログデータベース32が実行す
る処理の一実施例のフローチャートを示す。同図中、ス
テップS40でログチェッカー30から送信されたログ
データを受信し、ステップS42でこのログデータを保
存する。次に、ステップS44でプロファイリングエン
ジン34からログ取得要求があるか否かを判別する。ロ
グ取得要求があった場合はステップS46でログ取得要
求があったログデータをプロファイリングエンジン34
に送信してステップS48に進む。ログ取得要求がなか
った場合はそのままステップS48に進む。
る処理の一実施例のフローチャートを示す。同図中、ス
テップS40でログチェッカー30から送信されたログ
データを受信し、ステップS42でこのログデータを保
存する。次に、ステップS44でプロファイリングエン
ジン34からログ取得要求があるか否かを判別する。ロ
グ取得要求があった場合はステップS46でログ取得要
求があったログデータをプロファイリングエンジン34
に送信してステップS48に進む。ログ取得要求がなか
った場合はそのままステップS48に進む。
【0060】ステップS48ではビジュアルブラウザ3
6からログ取得要求があるか否かを判別する。ログ取得
要求があった場合はステップS49でログ取得要求があ
ったログデータをビジュアルブラウザ36に送信してス
テップS40に進む。ログ取得要求がなかった場合はそ
のままステップS40に進んで、上記の処理を繰り返
す。
6からログ取得要求があるか否かを判別する。ログ取得
要求があった場合はステップS49でログ取得要求があ
ったログデータをビジュアルブラウザ36に送信してス
テップS40に進む。ログ取得要求がなかった場合はそ
のままステップS40に進んで、上記の処理を繰り返
す。
【0061】図12は、ビジュアルブラウザ36が実行
する処理の一実施例のフローチャートを示す。同図中、
ステップS50でログチェッカー30またはログデータ
ベース32から送信されたログデータ、またはプロファ
イリングエンジン34から送信されたプロファイルを受
信する。次に、ステップS52で受信したログデータは
異常なログであるか否かを判別する。異常なログであれ
ばステップS54で警報を鳴らし、ステップS56に進
む。異常なログでなければそのままステップS56に進
む。ステップS56ではログデータの分類及び表示を行
い、ステップS50に進んで、上記の処理を繰り返す。
する処理の一実施例のフローチャートを示す。同図中、
ステップS50でログチェッカー30またはログデータ
ベース32から送信されたログデータ、またはプロファ
イリングエンジン34から送信されたプロファイルを受
信する。次に、ステップS52で受信したログデータは
異常なログであるか否かを判別する。異常なログであれ
ばステップS54で警報を鳴らし、ステップS56に進
む。異常なログでなければそのままステップS56に進
む。ステップS56ではログデータの分類及び表示を行
い、ステップS50に進んで、上記の処理を繰り返す。
【0062】図13は、ステップS56で実行されるロ
グデータの分類及び表示処理の一実施例のフローチャー
トを示す。同図中、ステップS60でログチェッカー3
0から送信されたログデータのコマンドを、そのログデ
ータのユーザ名に対応するプロファイルと照合して照合
できたか否かを判別する。照合できなかったログデータ
のコマンドについてはUn−ruledコマンドである
ので、ステップS62に進んで赤で表示を行う。
グデータの分類及び表示処理の一実施例のフローチャー
トを示す。同図中、ステップS60でログチェッカー3
0から送信されたログデータのコマンドを、そのログデ
ータのユーザ名に対応するプロファイルと照合して照合
できたか否かを判別する。照合できなかったログデータ
のコマンドについてはUn−ruledコマンドである
ので、ステップS62に進んで赤で表示を行う。
【0063】照合できたログデータのコマンドについて
はステップS64で、su,finger,ftp,t
elnet,rlogin,alias,config
ure,nmap等のDangerコマンドと一致する
か否かによりDangerコマンドに分類されるか否か
を判別し、Dangerコマンドに分類されると、ステ
ップS66に進んで黄で表示を行う。
はステップS64で、su,finger,ftp,t
elnet,rlogin,alias,config
ure,nmap等のDangerコマンドと一致する
か否かによりDangerコマンドに分類されるか否か
を判別し、Dangerコマンドに分類されると、ステ
ップS66に進んで黄で表示を行う。
【0064】Dangerコマンドに分類されないログ
データのコマンドについてはステップS68で、ls,
cd,jlatex,java等のSaftyコマンド
と一致するか否かによりSaftyコマンドに分類され
るか否かを判別し、Saftyコマンドに分類される
と、ステップS70に進んで青で表示を行う。Saft
yコマンドに分類されないログデータのコマンドについ
てはステップS72でUnknownコマンドに分類し
て緑で表示を行う。
データのコマンドについてはステップS68で、ls,
cd,jlatex,java等のSaftyコマンド
と一致するか否かによりSaftyコマンドに分類され
るか否かを判別し、Saftyコマンドに分類される
と、ステップS70に進んで青で表示を行う。Saft
yコマンドに分類されないログデータのコマンドについ
てはステップS72でUnknownコマンドに分類し
て緑で表示を行う。
【0065】図14は、プロファイリングエンジン34
が実行する処理の一実施例のフローチャートを示す。同
図中、ステップS80でログデータベース32に対し任
意のユーザ名に対応する過去の全てのログデータの送信
要求を行い、これによりログデータベース32から送信
されたログデータを受信する。次に、ステップS82で
受信した任意のユーザ名に対応する過去の全てのログデ
ータからプロファイルを作成する。
が実行する処理の一実施例のフローチャートを示す。同
図中、ステップS80でログデータベース32に対し任
意のユーザ名に対応する過去の全てのログデータの送信
要求を行い、これによりログデータベース32から送信
されたログデータを受信する。次に、ステップS82で
受信した任意のユーザ名に対応する過去の全てのログデ
ータからプロファイルを作成する。
【0066】この後、ステップS84で作成したプロフ
ァイルをログチェッカー30に送信し、ステップS86
で作成したプロファイルをビジュアルブラウザ36に送
信したのち、ステップS80に進んで、上記の処理を繰
り返す。
ァイルをログチェッカー30に送信し、ステップS86
で作成したプロファイルをビジュアルブラウザ36に送
信したのち、ステップS80に進んで、上記の処理を繰
り返す。
【0067】ここで、ユーザ名「yoshii」に対応
して、図15に示すログデータがログデータベース32
に格納されているものとする。図15では、各2行で1
つのコマンドを表す。第1行の「+096461565
8」はコマンドの実行時間であり、「imctut0
1」は実行マシン名であり、第2行の「jlatex
a.tex」は実行コマンドである。この場合、プロフ
ァイリングエンジン34は、図15に示すログデータか
ら図16に示すプロファイルを生成する。
して、図15に示すログデータがログデータベース32
に格納されているものとする。図15では、各2行で1
つのコマンドを表す。第1行の「+096461565
8」はコマンドの実行時間であり、「imctut0
1」は実行マシン名であり、第2行の「jlatex
a.tex」は実行コマンドである。この場合、プロフ
ァイリングエンジン34は、図15に示すログデータか
ら図16に示すプロファイルを生成する。
【0068】図16に示すユーザ名「yoshii」の
プロファイルにおいて、第2行のプロファイル「*,j
latex,*」は、図15の第1,2行のログデータ
と第7,8行のログデータから生成され、両ログデータ
のマシン名,引数が異なるため、単にjlatexとい
うコマンドを利用する、といった意味のプロファイルで
ある。図16の第3行のプロファイルは、図15の第
3,4行のログデータと第9,10行のログデータから
生成されている。
プロファイルにおいて、第2行のプロファイル「*,j
latex,*」は、図15の第1,2行のログデータ
と第7,8行のログデータから生成され、両ログデータ
のマシン名,引数が異なるため、単にjlatexとい
うコマンドを利用する、といった意味のプロファイルで
ある。図16の第3行のプロファイルは、図15の第
3,4行のログデータと第9,10行のログデータから
生成されている。
【0069】図16の第4行のプロファイルは、図15
の第5,6行のログデータと第11,12行のログデー
タから生成され、両ログデータともマシン名はimct
ut02で、1番目の引数に−Pimc3が指定されて
いるので、lprというコマンドをimctut02と
いうマシンで引数の1番目に−Pimc3を利用する、
といった意味のプロファイルである。
の第5,6行のログデータと第11,12行のログデー
タから生成され、両ログデータともマシン名はimct
ut02で、1番目の引数に−Pimc3が指定されて
いるので、lprというコマンドをimctut02と
いうマシンで引数の1番目に−Pimc3を利用する、
といった意味のプロファイルである。
【0070】上記のプロファイルが得られた後、図17
に示すログデータが新たに得られた場合について説明す
る。図17の第1,2行のログデータ及び第3,4行の
ログデータはプロファイル「*,jlatex,*」に
一致するためログチェッカー30では正常と判別され
る。
に示すログデータが新たに得られた場合について説明す
る。図17の第1,2行のログデータ及び第3,4行の
ログデータはプロファイル「*,jlatex,*」に
一致するためログチェッカー30では正常と判別され
る。
【0071】図17の第5,6行のログデータはプロフ
ァイル「*,dvi2ps,*」に一致するためログチ
ェッカー30では正常と判別される。図17の第7,8
行のログデータはプロファイル「imctut02,l
pr,−Pimc3,1」に対し、1番目の引数−Pi
mc3が異なるためログチェッカー30では異常と判別
され、この第7,8行のログデータはビジュアルブラウ
ザ36に送信される。
ァイル「*,dvi2ps,*」に一致するためログチ
ェッカー30では正常と判別される。図17の第7,8
行のログデータはプロファイル「imctut02,l
pr,−Pimc3,1」に対し、1番目の引数−Pi
mc3が異なるためログチェッカー30では異常と判別
され、この第7,8行のログデータはビジュアルブラウ
ザ36に送信される。
【0072】
【発明の効果】上述の如く、請求項1に記載の発明は、
ネットワークに対するユーザのイベントをログデータと
して収集し、収集されたログデータからユーザ毎に通常
のネットワーク使用状況を表すプロファイルを生成し、
新たに収集したログデータを前記プロファイルとユーザ
毎に照合し、前記新たに収集したログデータの照合結果
を表示することにより、表示される新たに収集したログ
データの照合結果からネットワーク使用状況を監視で
き、ネットワーク不正侵入またはそのおそれを検知する
ことができ、リアルタイムに異常を知らせることができ
る。
ネットワークに対するユーザのイベントをログデータと
して収集し、収集されたログデータからユーザ毎に通常
のネットワーク使用状況を表すプロファイルを生成し、
新たに収集したログデータを前記プロファイルとユーザ
毎に照合し、前記新たに収集したログデータの照合結果
を表示することにより、表示される新たに収集したログ
データの照合結果からネットワーク使用状況を監視で
き、ネットワーク不正侵入またはそのおそれを検知する
ことができ、リアルタイムに異常を知らせることができ
る。
【0073】請求項2に記載の発明は、新たに収集した
ログデータの照合結果に応じて前記ログデータの表示形
態を異ならせて表示することにより、ログデータの表示
形態から視覚的にネットワーク使用状況をリアルタイム
に監視できネットワーク不正侵入を検知することができ
る。
ログデータの照合結果に応じて前記ログデータの表示形
態を異ならせて表示することにより、ログデータの表示
形態から視覚的にネットワーク使用状況をリアルタイム
に監視できネットワーク不正侵入を検知することができ
る。
【0074】請求項3に記載の発明は、ネットワークに
対するユーザのイベントをログデータとして収集してデ
ータベースに格納する収集手段と、前記データベースに
格納されているログデータからユーザ毎に通常のネット
ワーク使用状況を表すプロファイルを生成するプロファ
イル生成手段と、前記収集手段で新たに収集したログデ
ータを前記プロファイルとユーザ毎に照合する照合手段
と、前記新たに収集したログデータの照合結果を表示す
る表示手段とを有することにより、表示される新たに収
集したログデータの照合結果からネットワーク使用状況
を監視でき、ネットワーク不正侵入またはそのおそれを
検知することができ、リアルタイムに異常を知らせるこ
とができる。
対するユーザのイベントをログデータとして収集してデ
ータベースに格納する収集手段と、前記データベースに
格納されているログデータからユーザ毎に通常のネット
ワーク使用状況を表すプロファイルを生成するプロファ
イル生成手段と、前記収集手段で新たに収集したログデ
ータを前記プロファイルとユーザ毎に照合する照合手段
と、前記新たに収集したログデータの照合結果を表示す
る表示手段とを有することにより、表示される新たに収
集したログデータの照合結果からネットワーク使用状況
を監視でき、ネットワーク不正侵入またはそのおそれを
検知することができ、リアルタイムに異常を知らせるこ
とができる。
【0075】請求項4に記載の発明では、表示手段は、
前記新たに収集したログデータの照合結果に応じて前記
ログデータの表示形態を異ならせることにより、ログデ
ータの表示形態から視覚的にネットワーク使用状況をリ
アルタイムに監視でき、ネットワーク不正侵入として検
知されたログデータのチャックを容易に行うことができ
る。
前記新たに収集したログデータの照合結果に応じて前記
ログデータの表示形態を異ならせることにより、ログデ
ータの表示形態から視覚的にネットワーク使用状況をリ
アルタイムに監視でき、ネットワーク不正侵入として検
知されたログデータのチャックを容易に行うことができ
る。
【0076】請求項5に記載の発明では、表示手段は、
収集したログデータを、ユーザ毎に、かつ、時間の推移
に応じて2次元的に表示することにより、大量のログデ
ータの全貌を表示することが可能となる。
収集したログデータを、ユーザ毎に、かつ、時間の推移
に応じて2次元的に表示することにより、大量のログデ
ータの全貌を表示することが可能となる。
【0077】請求項6に記載の発明では、プロファイル
生成手段は、パラメータ自動調整機能を持つILPシス
テムで構成されることにより、最良の性能パラメータ値
を示すエラー率を用いて学習した結果の集合をプロファ
イルとして得ることができる。
生成手段は、パラメータ自動調整機能を持つILPシス
テムで構成されることにより、最良の性能パラメータ値
を示すエラー率を用いて学習した結果の集合をプロファ
イルとして得ることができる。
【0078】請求項7に記載の発明は、コンピュータ
を、ネットワークに対するユーザのイベントをログデー
タとして収集してデータベースに格納する収集手段と、
前記データベースに格納されているログデータからユー
ザ毎に通常のネットワーク使用状況を表すプロファイル
を生成するプロファイル生成手段と、前記収集手段で新
たに収集したログデータを前記プロファイルとユーザ毎
に照合する照合手段と、前記新たに収集したログデータ
の照合結果を表示する表示手段として機能させるための
プログラムを記録したコンピュータ読み取り可能な記録
媒体を用いることにより、表示される新たに収集したロ
グデータの照合結果からネットワーク使用状況を監視で
き、ネットワーク不正侵入またはそのおそれを検知する
ことができ、リアルタイムに異常を知らせることができ
る。
を、ネットワークに対するユーザのイベントをログデー
タとして収集してデータベースに格納する収集手段と、
前記データベースに格納されているログデータからユー
ザ毎に通常のネットワーク使用状況を表すプロファイル
を生成するプロファイル生成手段と、前記収集手段で新
たに収集したログデータを前記プロファイルとユーザ毎
に照合する照合手段と、前記新たに収集したログデータ
の照合結果を表示する表示手段として機能させるための
プログラムを記録したコンピュータ読み取り可能な記録
媒体を用いることにより、表示される新たに収集したロ
グデータの照合結果からネットワーク使用状況を監視で
き、ネットワーク不正侵入またはそのおそれを検知する
ことができ、リアルタイムに異常を知らせることができ
る。
【図1】本発明のネットワーク監視システムが構築され
るコンピュータシステムの一実施例のブロック構成図で
ある。
るコンピュータシステムの一実施例のブロック構成図で
ある。
【図2】本発明のネットワーク監視システムのシステム
アーキテクチャの一実施例のブロック図である。
アーキテクチャの一実施例のブロック図である。
【図3】ログブラウザパネルの一実施例を示す図であ
る。
る。
【図4】プロパティパネルの一実施例を示す図である。
【図5】ビジュアライズパネルの一実施例を示す図であ
る。
る。
【図6】プロファイルパネルの一実施例を示す図であ
る。
る。
【図7】プロファイリングエンジン34内のILPシス
テムが実行するエラー率自動調整処理の一実施例のフロ
ーチャートである。
テムが実行するエラー率自動調整処理の一実施例のフロ
ーチャートである。
【図8】ビジュアルブラウザ36及びプロファイリング
エンジン34によるログデータベース32の利用を説明
するための図である。
エンジン34によるログデータベース32の利用を説明
するための図である。
【図9】分散型のログ収集を行なうログチェッカー30
の構成を説明するための図である。
の構成を説明するための図である。
【図10】ログチェッカー30が実行する処理の一実施
例のフローチャートである。
例のフローチャートである。
【図11】ログデータベース32が実行する処理の一実
施例のフローチャートである。
施例のフローチャートである。
【図12】ビジュアルブラウザ36が実行する処理の一
実施例のフローチャートである。
実施例のフローチャートである。
【図13】ステップS56で実行されるログデータの分
類及び表示処理の一実施例のフローチャートである。
類及び表示処理の一実施例のフローチャートである。
【図14】プロファイリングエンジン34が実行する処
理の一実施例のフローチャートである。
理の一実施例のフローチャートである。
【図15】ログデータベース32に格納されているログ
データの一実施例を示す図である。
データの一実施例を示す図である。
【図16】生成されるプロファイルの一実施例を示す図
である。
である。
【図17】ログデータの一実施例を示す図である。
10 CPU 12 CD装置 14 ハードディスク装置 20 通信装置 22 ディスプレイ装置 24 プリンタ 26 入力装置 27 出力装置 30 ログチェッカー 32 ログデータベース 34 プロファイリングエンジン 36 ビジュアルブラウザ 40 ログ表示部 43 Getボタン 44 Clearボタン 45 Backボタン 46 カッコーアイコン 50,52,54,56 指定欄 60 楕円球 70 プロファイル表示部
Claims (7)
- 【請求項1】 ネットワークに対するユーザのイベント
をログデータとして収集し、 収集されたログデータからユーザ毎に通常のネットワー
ク使用状況を表すプロファイルを生成し、 新たに収集したログデータを前記プロファイルとユーザ
毎に照合し、 前記新たに収集したログデータの照合結果を表示するこ
とを特徴とするネットワーク監視方法。 - 【請求項2】 請求項1記載のネットワーク監視方法に
おいて、 前記新たに収集したログデータの照合結果に応じて前記
ログデータの表示形態を異ならせて表示することを特徴
とするネットワーク監視方法。 - 【請求項3】 ネットワークに対するユーザのイベント
をログデータとして収集してデータベースに格納する収
集手段と、 前記データベースに格納されているログデータからユー
ザ毎に通常のネットワーク使用状況を表すプロファイル
を生成するプロファイル生成手段と、 前記収集手段で新たに収集したログデータを前記プロフ
ァイルとユーザ毎に照合する照合手段と、 前記新たに収集したログデータの照合結果を表示する表
示手段とを有することを特徴とするネットワーク監視シ
ステム。 - 【請求項4】 請求項3記載のネットワーク監視システ
ムにおいて、 前記表示手段は、前記新たに収集したログデータの照合
結果に応じて前記ログデータの表示形態を異ならせるこ
とを特徴とするネットワーク監視システム。 - 【請求項5】 請求項3または4記載のネットワーク監
視システムにおいて、 前記表示手段は、収集したログデータを、ユーザ毎に、
かつ、時間の推移に応じて2次元的に表示することを特
徴とするネットワーク監視システム。 - 【請求項6】 請求項3乃至5のいずれか記載のネット
ワーク監視システムにおいて、 前記プロファイル生成手段は、パラメータ自動調整機能
を持つILPシステムで構成されることを特徴とするネ
ットワーク監視システム。 - 【請求項7】 コンピュータを、 ネットワークに対するユーザのイベントをログデータと
して収集してデータベースに格納する収集手段と、 前記データベースに格納されているログデータからユー
ザ毎に通常のネットワーク使用状況を表すプロファイル
を生成するプロファイル生成手段と、 前記収集手段で新たに収集したログデータを前記プロフ
ァイルとユーザ毎に照合する照合手段と、 前記新たに収集したログデータの照合結果を表示する表
示手段として機能させるためのプログラムを記録したコ
ンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000320008A JP2002135248A (ja) | 2000-10-19 | 2000-10-19 | ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000320008A JP2002135248A (ja) | 2000-10-19 | 2000-10-19 | ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002135248A true JP2002135248A (ja) | 2002-05-10 |
Family
ID=18798360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000320008A Pending JP2002135248A (ja) | 2000-10-19 | 2000-10-19 | ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002135248A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005048119A1 (ja) * | 2003-11-17 | 2005-05-26 | Intelligent Wave Inc, | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム |
| US8521132B2 (en) | 2009-07-15 | 2013-08-27 | Fujitsu Limited | Abnormality detecting apparatus for communication terminal and abnormality detecting method for communication terminal |
| JP2019004284A (ja) * | 2017-06-14 | 2019-01-10 | 日本電信電話株式会社 | 異常検出装置、および、異常検出方法 |
-
2000
- 2000-10-19 JP JP2000320008A patent/JP2002135248A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005048119A1 (ja) * | 2003-11-17 | 2005-05-26 | Intelligent Wave Inc, | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム |
| US8521132B2 (en) | 2009-07-15 | 2013-08-27 | Fujitsu Limited | Abnormality detecting apparatus for communication terminal and abnormality detecting method for communication terminal |
| JP2019004284A (ja) * | 2017-06-14 | 2019-01-10 | 日本電信電話株式会社 | 異常検出装置、および、異常検出方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11741160B1 (en) | Determining states of key performance indicators derived from machine data | |
| US11811805B1 (en) | Detecting fraud by correlating user behavior biometrics with other data sources | |
| US11870795B1 (en) | Identifying attack behavior based on scripting language activity | |
| US10439922B2 (en) | Service analyzer interface | |
| US10685279B2 (en) | Automatically generating field extraction recommendations | |
| US8214364B2 (en) | Modeling user access to computer resources | |
| US11100113B2 (en) | Object score adjustment based on analyzing machine data | |
| US20210056739A1 (en) | Systems and methods for updating a third party visualization in response to a query | |
| US9582585B2 (en) | Discovering fields to filter data returned in response to a search | |
| US11915156B1 (en) | Identifying leading indicators for target event prediction | |
| JP5444673B2 (ja) | ログ管理方法、ログ管理装置、ログ管理装置を備えた情報処理装置、及びプログラム | |
| US11372956B2 (en) | Multiple input neural networks for detecting fraud | |
| US20090293121A1 (en) | Deviation detection of usage patterns of computer resources | |
| US11477263B2 (en) | Identifying un-deployed features of an application | |
| JP2023536832A (ja) | ビジュアライゼーションのためのメトリックの提供及び表面化 | |
| CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
| JP2019067270A (ja) | 分類プログラム、分類方法、および分類装置 | |
| JP2002135248A (ja) | ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体 | |
| US11783266B2 (en) | Surfacing visualization mirages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20041202 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20041202 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050127 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050127 |