JP2005038116A - 不正侵入分析装置 - Google Patents

不正侵入分析装置 Download PDF

Info

Publication number
JP2005038116A
JP2005038116A JP2003199012A JP2003199012A JP2005038116A JP 2005038116 A JP2005038116 A JP 2005038116A JP 2003199012 A JP2003199012 A JP 2003199012A JP 2003199012 A JP2003199012 A JP 2003199012A JP 2005038116 A JP2005038116 A JP 2005038116A
Authority
JP
Japan
Prior art keywords
event
log
intrusion
items
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003199012A
Other languages
English (en)
Other versions
JP4129207B2 (ja
Inventor
Yoshikazu Ishii
良和 石井
Taro Takagi
高木  太郎
Koji Nakai
耕治 中井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2003199012A priority Critical patent/JP4129207B2/ja
Publication of JP2005038116A publication Critical patent/JP2005038116A/ja
Application granted granted Critical
Publication of JP4129207B2 publication Critical patent/JP4129207B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】侵入検知装置からの大量のログ出力を集約し監視や分析を容易にするシステムを提供する。
【解決手段】侵入検知装置106の出力を、イベントグループ化手段111により、イベントログを構成する各項目の値に基づいて分離し、イベント頻度計算手段112により、それらの頻度の時系列データを求める。イベント相関計算手段113では複数の時系列の線形和の2次以上のモーメントが最大になるような係数と線形和の時系列を求め、これを脅威分析支援手段115や、アクション分析手段116により集約イベント表示手段117に表示する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は情報ネットワークシステムへの不正な侵入を検知する不正侵入検知装置に関する。
【0002】
【従来の技術】
情報システムへの不正アクセスを監視する技術には、たとえば特許文献1に記載の不正アクセス監視システムがある。ここでは、不正侵入の確認や対応の決定業務に、大きな作業負担や高度なスキルが必要になることを緩和するため、侵入検知装置による検知情報やファイアウォールのアクセス履歴を分析する。
【0003】
侵入検知装置やファイアウォールは、そのイベントの検知に用いた通信パケットのIPアドレスや、ポート番号といった項目からなるデータを出力する。特許文献1では、これらの項目に着目し、複数のイベントの項目の値(例えば、IPアドレス192.160.1.1といった値)の一致に基づく類似度により、それらが同一の攻撃者によるものかを判定し、イベントの集約を行う。また、このように集約された同一攻撃者(と思われる)からのイベントの時系列的な特徴をパターンに照合し、攻撃であるか否かを判定する。これにより、侵入検知装置やファイアウォールの出力を攻撃者の観点からグルーピングして集約し、その集約結果が攻撃であるか否かを判定する。
【0004】
【特許文献1】
特開2002−334061公報(段落0019−0027、図2)
【0005】
【発明が解決しようとする課題】
侵入検知装置やファイアウォールの出力の精度が高ければ、その出力を更に総合的に判断して集約する必要は無いが、実際には誤報が多く(誤報の多い理由は後述する)、真の攻撃と誤報を注意深く弁別する必要がある。また侵入検知装置によっては出力が膨大になる場合があり、出力をある程度集約して表示する機能が無ければ弁別さえも不可能になり、不具合が起きて後の事後分析にならざるを得ない。
【0006】
特許文献1はこのような問題を緩和することを目的としているが、予め集約条件を定めたり、集約結果が攻撃か否かを判定するロジックを設定する方式としているため、監視者の負担が大きい。特に、出力ログの項目の類似度に関する判定ルール、攻撃を判定するルールなどを、ユーザが設定しなくてはならないので、依然として高度なスキルを要求される課題がある。
【0007】
本発明の目的は、上記従来技術の問題点を克服し、多数のイベントログの監視や分析を容易に行うのに適した不正侵入分析装置を提供することにある。
【0008】
【課題を解決するための手段】
上記目的を達成する本発明は、ネットワーク上の異常なアクセスをロギングした侵入検知装置の出力するイベントログを分析する不正侵入分析装置において、前記イベントログを構成する複数の項目に対し、その項目の値の組合せにより前記イベントログをグループ化して区別するイベントグループ化手段を設けることを特徴とする。項目の値は組毎にユニークである。
【0009】
前記イベントグループ化手段は、前記イベントログを構成する項目の内、予め定められた特定の項目の組合せでイベントをグループ化する。
【0010】
また、他の態様では、ネットワーク型侵入検知装置の出力ログを入力し、その項目の値の組合せでイベントログをグループ化するネットワーク侵入検知イベントグループ化手段と、ホスト型侵入検知装置の出力ログを入力し、その項目の値の組合せでイベントログをグループ化するホスト型侵入検知イベントグループ化手段と、ファイアウォールログを構成する項目の値の組合せでイベントログをグループ化するファイアウォールイベントグループ化手段を含むイベントグループ化手段を設けることを特徴とする。
【0011】
この場合、前記イベントグループ化手段は、前記イベントログを構成する項目の内、予め定められた特定の項目の組合せでイベントをグループ化すると共に、他のグループに有って自己のグループに無い項目をデフォルト値で設定する。
【0012】
さらに、本発明の不正侵入分析装置は、前記イベントグループ化手段が出力する前記項目の値の組毎にグループ化されたイベントリストから、イベントの発生頻度の時間変化を計算し、前記発生頻度の時間毎の組を基に複数の項目の値の組の相関関係を求めるイベント集約手段を設けることを特徴とする。
【0013】
前記イベント集約手段は項目の値の組の相関に基づいて、前記イベントを集約した集約イベントを出力することを特徴とする。
【0014】
また、前記集約イベントと、その寄与の割合を示す集約イベントファクターを表示することを特徴とする。あるいは前記集約イベントの時間変化を表示することを特徴とする。
【0015】
本発明の構成の詳細と作用を説明する。本発明の不正侵入分析装置は侵入検知装置の出力を入力とする。侵入検知装置の出力(以下、イベントログと呼ぶ)は複数のイベントに関する情報からなっており、イベントには、時刻、場所(FromとTo)、イベントの種別などの項目が含まれている。イベントログはこれらの項目を軸とする多次元空間上の点として表すことができる。本発明では、時間を除く残りの項目で張られる空間(図4参照)をイベント空間と呼ぶことにする。
【0016】
本発明の構成要素の一つであり、イベントログを入力してグループ化するイベントグループ化手段は、時間を除く空間上の点にイベントを割り付けるように、イベントログを構成する全イベントをグループ化して分割し、分割後のイベントログを出力する。なお、時間を除くとイベントの各項目は離散的で有限個の値を採る。
【0017】
本発明の構成要素であるイベント集約手段は、たとえばイベント頻度計算手段とイベント相関計算手段からなる。イベント頻度計算手段は、イベントグループ化手段の出力を入力とし、グループ化されたイベントの発生頻度の時間変化を計算して出力する。
【0018】
イベント相関計算手段は、イベント頻度計算手段の出力を入力として、入力の線形和と個々の入力の相関が最大となるように線形和の係数を求め、これを出力する。例えば入力の線形和の分散が最大になるように2次モーメントを最大化する場合は、線形和は主成分となり、全てのイベントによるばらつきを最も良く表現するという意味で相関を最大にする。本発明では、相関は広義に解釈し、3次以上のモーメントの最大化や、時間方向にデータを更に分割し、区間毎に求めた2次以上のモーメントの全区間に関する和を最大化するような方法も含めるものとする。
【0019】
このように得られた係数は2次モーメントを用いた場合、因子負荷となり、線形和は主成分得点となる。2次以上のモーメントなどを用いた場合を一般化して、集約イベントファクターと集約イベント頻度と呼ぶことにする。
【0020】
イベントログは一般にテキスト形式である。各イベントは1つの行に対応し、各項目は行中にカンマやスペースなどの特定の文字で区切って羅列される。場合によっては「項目名=項目の内容」と言った形式のこともある。このようなイベントログを構成する個々のイベント間に、発生タイミングの面で関連があるか否かを目視で判断するのは非常に難しい。
【0021】
前記イベント相関計算手段によれば、このようなイベントの間の相関を解析しグループ化を行った結果を出力するので、後述する脅威分析支援手段やアクション分析手段では、攻撃のパターンや範囲、あるいはそれが持つ危険性といった内容に限定でき、監視者の負担を大幅に軽減できる。また、このような内容を常時判断することにより、監視者の監視スキルが向上する。
【0022】
脅威分析支援手段は、抽出された個々の集約イベントに対して、集約イベントファクターを監視者(分析者)へ判り易く提示する。脅威分析手段から提示されるのは、各集約イベントに対するイベント空間の点(各項目の値の組で決まる)の効果となる。イベント空間の点は、イベントログを構成する場所やイベント種別などの情報を持っているので、注目する集約イベントがどのような場所やイベント種別と強く関係するかを示している。たとえば、重要業務のサーバアドレスと関連の強い集約イベントであれば、それが危険な攻撃であると把握できる。また、スキャン系のイベント種別が強く関連するか、バッファオーバーフロー系のイベントが強く関係するかによっても、危険性の認識は違ってくる。
【0023】
前記脅威分析支援手段は、このような分析者の判断を入力できるように構成することもできる。この場合、入力者の判断は計算機で扱えるよう定量的なものである必要がある。
【0024】
アクション分析手段は、イベント相関計算手段の出力である集約イベント頻度データを監視者に判り易く提示するものである。監視者へは各集約イベントの発生頻度の時間変化が提示されるため、注目する集約イベントの発生タイミングに関する特徴を把握することができる。発生のパターンとその集約イベントが強く関係するイベント空間上の点(場所やイベント種別)から、その集約イベントの危険性の把握が可能になる。脅威分析支援手段と同様、監視者の判断を入力できるような構成とすることもできる。
【0025】
本発明によるリアルタイムな表示は集約イベント表示手段によって行われる。集約イベント表示手段は、ある程度長期間のイベントログに対して、予め求めておいた集約イベントファクターと、オンラインで求めたイベント頻度計算手段の出力を元に、予め求めておいた集約イベントに関する現時点での頻度を計算し、ユーザに提示する。前記脅威分析手段や前記アクション分析手段に危険性の判断結果を入力する機能がある構成では、各集約イベントの危険度に基づき、それが高い値を示す集約イベントに関してのみ頻度を表示したり、高い値を示す集約イベントから優先的に表示する。
【0026】
これにより、監視者は集約イベントの頻度変化のレベルでイベントログを監視することができる。すなわち、システムに対する不正侵入の動向(程度と変化)を文字ベースではなく、トレンドグラフで見ることであり、通常時の監視者の負担を大幅に軽減しながら、傾向の予測など人間が得意とする機能を有効に引き出すことが可能となる。
【0027】
【発明の実施の形態】
以下、本発明の実施の形態を図面を用いて説明する。図1は一実施例による不正侵入分析装置を含む情報ネットワークシステムの構成を示し、監視対象のネットワーク、侵入検知装置106、及び本発明による不正侵入分析装置110を含む。
【0028】
情報ネットワークシステムは、基幹ネットワークを構成するルータ108、サブネットワーク101,107、および監視対象の計算機などからなる。サブネットワーク101,107はそのバックボーンとなるルータ120,109、ならびに監視対象の端末、サーバなどからなる。基幹ネットワークから外部ネットークへ接続する場合、ファイアウォールを経由するのが通常の構成である。図1でも、ファイアウォール102を経由して外部ネットワーク123と繋がる構成としている。また、サブネットワークから外部ネットワークに接続する形態もある。図1の構成では、サブネットワーク101において、モデム121経由で外部ネットワーク(公衆網)122へ接続している。
【0029】
侵入検知装置106は、基幹ネットワークへの不正なアクセス、サブネットワークへの不正なアクセスを監視できるように、各ネットワークにセンサを設置する。すなわち、基幹ネットワーク108、サブネトワーク120,109に、それぞれ、センサ103,105,104を設置している。不正侵入分析装置110は、侵入検知装置106の出力を入力としてデータ処理を行うため、基幹ネットワーク108に接続されている。
【0030】
外部ネットワーク122,123とのアクセスは、それぞれセンサ105,103で分析され、異常と判断されるものは侵入検知装置106にその結果が送られる。
【0031】
侵入検知装置106は、センサ103等の検知結果をロギングしたり、監視者へ提示したりする。場合によっては、複数のセンサで検知した異常で、明らかに同じパケットに基づくものを、同じ異常事象としてまとめたりする場合もある。例えば、外部ネットワーク123からサブネット101のサーバあるいは端末へのパケットは、センサ103およびセンサ105で検知される。このようなパケットに関する異常は纏めておくことが望ましい。
【0032】
しかしながら、ファイアウォール102からルータ108、ルータ108からルータ120、ルータ120からサブネット101の端末あるいはサーバへのパケットは、各リンク上を伝送されるコピーである。すなわち、それぞれのネットワークを通過するタイミング、データリンク層レベルで見た時のヘッダなどに差があり、一つの実態を持つ物ではない。各センサはそのようなコピーをチェックしているに過ぎないため、同一性の確認は必ずしも簡単ではない。特に、不正侵入に使われるパケットは、データリンク層以上のネットワーク層に当たるIPヘッダや、更に上位のトランスミッション層であるTCPヘッダやUDPヘッダのレベル、更にはその上位のレベルで人為的に細工が施されている。このため、IPヘッダやTCPヘッダなど、同一性を判定する手がかりとなる情報を用いても、パケットの同一性を判断することが難しくなる。
【0033】
また、センサ自体も大量に送受信されるパケットをワイヤスピードで処理するため、あまり複雑なロジックでの判定は困難である。このため、一般にはセンサ出力にはフェールスポジティブ(異常で無いものを異常とするという意味での間違い、フェールスネガティブは、異常を異常と検知しないこと)、いわゆる誤報が多い。
【0034】
このように誤報が多いところで、それらを纏める機能には限界があるため、従来の異常検知装置は出力が膨大(元となるパケットの数から比べれば、圧倒的に少なくなっている)で、オペレータによる監視は必ずしも容易ではない。
【0035】
本実施例による不正侵入分析装置110は、侵入検知装置106からの出力を入力としてデータの分析を行い、検知した異常(と思われる)事象をグループ化する。以下、その詳細を説明する。
【0036】
侵入検知装置106の出力であるイベントログは大量のイベントに関する情報からなっている。図4にイベントログの時系列データとその写像関係のイメージの例を示す。各イベントには、ログ1201に示すようにそのイベントの検知時刻、そのイベントに関わるパケットの送受信アドレス(MACアドレスおよび、IPアドレス)、ポート番号、プロトコルタイプ、データ長などが含まれる。このように、データリンク層以上の各レイヤのプロトコルヘッダから取得できる様々な情報の他、該当した検知ロジックに対応するイベントの種別、イベントの重要度などの項目が含まれる。
【0037】
このようなイベントログを構成する各イベントをポートに関する軸で見ると、25(SMTP)、21(FTP)、9(Echo)などと言った離散的な点にマップ(写像)できる。プロトコルに関しても、TCP、UDP、ICMPなどがあり、イベントの項目を軸とする多次元空間1202上の点にマップ(写像)することができる。イベントを構成する情報はイベントの発生時刻を除くと離散的な空間となっている。
【0038】
なお、写像関係は図4に限らず、送信端末のIPアドレスや、受信端末のIPアドレス、送信側のMACアドレスや受信側のMACアドレスなどを用いても、同様にイベントをマップすることができる。
【0039】
イベントグループ化手段111は、このようなイベントの項目情報に基づいて、各イベントを機械的に多次元空間上にマップし、イベントをグループ化する。イベントのグループ化に当たっては、予め侵入検知装置106の出力フォーマットから、空間の軸とする項目を選択し、その定義ファイルを予め作成しておく。イベントグループ化手段111は、この定義ファイルとイベントログを入力し、次のようなアルゴリズムによってイベントをグループ化する。
【0040】
図2は、グループ化のアルゴリズムを示すフローチャートである。以下、このフローに従って説明する。ステップ201では、イベント空間において軸とする項目の定義ファイルを読み込む。
【0041】
図5は定義ファイルの構成の一例を示している。項目名の区切り文字(この例ではスペース)が定まっていれば、定義ファイルは項目名のリスト901のようなもので良い。
【0042】
ステップ202では、イベントログ801を読み込む。図6はイベントログの構成の一般的な形を示す。この例では、項目名を「E項目」や「F項目」などとしているが、実際には例えばTCPフラッグやセンサIDなどの内容である。イベントログは項目名802と各イベントの値で構成される表形式となっている場合が多いが、必ずしも表である必要は無い。
【0043】
ステップ203では、ステップ202で読み込んだイベントログに含まれる全てのイベントに関して、ステップ201で読み込んだ定義ファイルで定義された項目をチェックし、それらの項目がどのような値を採っているかを記録する。図6の例では、一点鎖線四角のIPaddr803,Port804,種別805の内容をチェックする。ステップ203に関しては後述する図3のように実施できる。
【0044】
なお、図6のイベントログ801の中身の一部は「ee0001」のような記載になっているが、例えばその項目名がポート番号であれば、実際には21や80、20、8などの値となる。また、項目名がIPアドレスであれば、192.168.1.1と言った値になる。
【0045】
ステップ204では、ステップ203で得られた各項目の採り得る値から、ユニークな組を作る。例えば、項目がXとYの2つであり、XがX1,X2,X3の値を、YがY1、Y2の値を採ることが判ったとする。この場合、(X1,Y1)、(X1,Y2)、(X2,Y1)、(X2,Y2)、(X3,Y1)、(X3,Y2)の6つの組を作る。これらに関して、リストを一つずつ作成し、それぞれ(X1,Y1)の値の組で検索できるハッシュテーブルに登録する。
【0046】
図6の例では、項目IPaddr、Portおよび種別の値について以下の組が作られる。(1.2.3.4,21,○○攻撃),(1.2.3.4,21,××攻撃),(1.2.3.4,21,△スキャン),(1.2.3.4,23,○○攻撃),(1.2.3.4,23,××攻撃),(1.2.3.4,23,△スキャン),(5.6.7.8,21,○○攻撃),(5.6.7.8,21,××攻撃),(5.6.7.8,21,△スキャン),(5.6.7.8,23,○○攻撃),(5.6.7.8,23,××攻撃),(5.6.7.8,23,△スキャン)の12組である。
【0047】
ステップ205では、ステップ202で読み込んだイベントログを構成する全イベントに関して、ステップ201で読み込んだ定義項目を再度チェックし、そのイベントがどのような値の組合せを持つかを求める。先述の例で、例えば(X3,Y2)であったとすると、この値を使ってステップ204で作成したハッシュテーブルを検索し、該当するリストに当該イベントの全情報を追加する。登録するのは、そのアドレス情報など、イベントに関する情報が全て参照できる方式であればどのような方式でもよい。
【0048】
最後にステップ206では、ステップ204で作成したハッシュテーブルを先頭からチェックし、イベントが格納されたリンクに関して「項目の値の組」とそれに該当するイベントのリストを出力する。
【0049】
図7にイベントリストの出力イメージを示す。元のイベントログ1301を、イベント空間の軸とする項目の定義ファイル1302に従って、イベントグループ化手段111でグループ化した様子を示している。「項目の値の組」1303に対して、定義ファイル1302で指定された項目が一致するログだけが選択され、1つのログ1304として纏められる。
【0050】
この例では、定義ファイル1302の項目A、D、Hに対し、それらの項目の値が、aa0001、dd0001、hh0001となる組と、aa0002,dd0002,hh0002となる組と、aa0001,dd0001,hh0002となる組と、aa0001,dd0002,hh0001となる組の4組がある。ここでは、aa0001,dd0002,hh0001となる組と、aa0001、dd0001、hh0001となる組の2組についてイベントログ情報1304を示している。
【0051】
本実施例ではイベントのリストとして、イベントログに含められていた全ての情報を出力している。しかし、最低限必要な情報は「項目の値の組」1303と時刻だけある。時刻以外の情報を除いたログ(つまり時刻リスト)としても良い。時刻リストの場合は、ステップ204のハッシュテーブルへの格納の段階で、時刻のみを登録する方式とすることも出来る。
【0052】
図3は、ステップ203の処理方法の一例を示している。ステップ301では、ステップ201で読み込んだ定義項目に関してハッシュテーブルを作成する。次に、イベントログからイベントを一つ取り出す(ステップ302)。そのイベントの各項目の値に関して、それぞれの項目に対応するハッシュテーブルから、その値が既に登録されているかをチェックする(ステップ303)。既に登録されていれば、その項目に関しては何もしない。値が未登録の項目があった場合は、その項目に新しい値を登録する(ステップ304)。次に、まだチェックが済んでいないイベントがあるかをチェックする(ステップ305)。イベントが有ればステップ302以降の処理を繰り返す。無ければ処理を終了する。
【0053】
ここでは、イベントログが空であることを想定していないので、do−while型の論理にしているが、ステップ305をステップ301の次に持ってくるwhile−do型の論理でも良い。
【0054】
図2および図3の説明ではハッシュテーブルを使用しているが、機能面だけを考えれば、必ずしもハッシュテーブルである必要は無く、より簡単なリンクリストや予め十分な領域を確保した通常のテーブルでも良い。また動的にテーブルの数を変更できるのであれば、データベースマネージメントシステムを利用してもよい。
【0055】
イベント空間を張る軸の数、すなわちステップ201で読み込む項目数が多くなったり、各軸の取り得る値が多くなったりすると、その組合せに対して作成するステップ204のリストの数が膨大になる。また各リストに登録されるイベントの数は少なくなってしまう。このため、例えばIPアドレスはネットワークアドレスレベルでチェックするといった方法をとっても良い。特定のサーバなど重要なマシンは端末アドレスレベルまで使用するといった組合せも考えられる。
【0056】
イベント頻度計算手段112では、イベントグループ化手段111の出力を読み込み、「項目の値の組」毎にグループ化されたイベントのリストから、その発生頻度の時間変化を計算して出力する。
【0057】
発生頻度は、イベントのリストに含まれるイベントの発生時刻をチェックし、一定期間(以下、サンプリング期間)に含まれるイベントの数を集計するだけでよい。サンプリングの周期は監視者が指定する。
【0058】
図8に集計した頻度データを示す。「項目の値の組」1401毎に、時刻1402と頻度1403のデータで構成される。データの出力形式としては、「項目の値の組」毎に頻度データベクトルと時刻データベクトルを出力する。「項目の値の組」毎に頻度の時系列データだけとし、時刻は初期時刻とサンプリング間隔だけでも良い。なお、図8の例ではサンプリング間隔を15単位時間とした。
【0059】
ここまでの処理では、イベント空間の軸とする項目の定義ファイル1302によって、イベントログを構成する項目のどれに着目するかを指定するだけで、イベントのグループ化には、IF−THEN型のルールを必要としない。
【0060】
イベント相関計算手段113は、イベント頻度計算手段112の出力である頻度データを入力として、それらの相関関係を求める。相関の分析は、「項目の値の組」毎の頻度データ1501を基に、実施する。例えば、「項目の値の組」が先ほどの例同様、(X1,Y1)〜(X3,Y2)までの6通り有り、各頻度データが、1000サンプルのデータからなっているとする。
【0061】
図9に頻度データから「項目の値の組」の頻度で張られる空間への写像関係を示す。同時刻のデータ1502を、「項目の値の組」を一つの次元とする6次元空間上の点に写像すると、このような点が1000個作成できる。これらの6次元ベクトルは各サンプル時刻における「頻度の組」を表している。ここでは、このようにして得られた「頻度の組」データを基に、「項目の値の組」の相関関係を求める。
【0062】
2次のモーメントを用いて相関関係を求める場合は、「頻度の組」データを用いて主成分分析を行う。全体の変動を最もよく表す成分が第一主成分、その成分に直交(無相関)し、二番目に良く全体の変動を表す成分が第二主成分となる。主成分分析については、多変量解析の教科書に詳しく記載されているが、例えば、有馬哲、石村貞夫共著の「他変量解析のはなし」東京図書などに簡単に解説されている。
【0063】
2次のモーメントで分析した集約イベントは、全体を一纏めで見るような効果がある。このため、2次のモーメントの特に第一主成分に基づく集約イベント頻度が大きな値を示している場合は、ネットワーク全体の負荷が大きい場合や、システム全体の再起動や構成変更などが予想される。このような成分と、他の次数のモーメントを用いた集約イベント頻度を比較することにより、全体的な動きに対する各集約イベントの動きを監視することができ、特異な動きをするものを見つけ易くできる効果もある。正常業務の時間帯とそれに使用するサーバなどの対応がわかっていれば、その時間帯以外に比較的大きな頻度のある集約イベントが、当該サーバと関わっているかという観点で分析する。これにより、異常が不正であるか誤報であるかを判断する材料とできる。
【0064】
相関分析の結果得られる主成分の方向ベクトルと、「頻度の組」データが張る空間(異なる「項目の値の組」の頻度が軸となる)の関係を説明する。
【0065】
図10は集約イベント及び集約イベントファクターと項目の値の組の関係を示す説明図である。簡単のため、「項目の値の組」が2種類しかない場合を例示している。軸の余弦は、「項目の値の組」が各主成分にどれくらい影響を持っているか(図10では寄与度と説明)を表している。この全ての「項目の値の組」と主成分の方向ベクトルとの余弦を集約イベントファクターとして出力し、集約イベントファクターデータベース114へ格納する。従って、集約イベントデータベース114には、「項目の値の組」が集約イベント(すなわち2次のモーメントを用いた場合には主成分)に対して、どれくらい影響を持つかを表す数値が格納される。
【0066】
このような相関分析により、集約イベントの情報を抽出することができる。図11は集約イベントのデータ構成を示している。集約イベントファクターは図の“ファクタ”で示した列、例えば0.87などの数値である。集約イベントの詳細は、脅威分析手段115の説明で詳しく述べる。
【0067】
なお、図10に示すように、集約イベントファクターと相関の取得方法とは直接関係しない。すなわち、2次のモーメント以外の場合でも、集約イベントと「項目の値の組」との関係を表す事は変わらない。
【0068】
ある時刻の「頻度の組」データから各主成分の軸に下ろした垂線の足の値が、そのデータの主成分得点である。全ての時刻についてこの主成分得点を求め、これを時系列順に並べた結果を集約イベント頻度データ118としてアクション分析手段116に出力する。
【0069】
なお、抽出する成分の数は予め監視者が設定するものとする。例えば、「項目の値の組」のイベント頻度が多い方から順にイベントの頻度が全体の9割となるまで「項目の値の組」を抽出し、これらの数と同じ数だけ、主成分を求めるといった方法がある。
【0070】
4次のモーメントを用いる場合は独立成分解析を行う。独立成分解析は、例えば計測自動制御学会の学会誌である「計測と制御」vol38No7「独立成分解析の信号処理への応用」に解説されているように、音源分離などに用いられる手法である。音源分離では、複数のセンサでサンプリングした複数の音源からの音を、同時に強くなったり弱くなったりする成分が少なくなるように、すなわち互いが無関係になるように信号を処理する。
【0071】
本実施例では、音源分離のセンサに相当するものを「項目の値の組」と考える。そして、異なる2つ以上の「項目の値の組」が同時に発生する確率が高い場合、それらは一つの攻撃を構成するパケットが別々の異常として検知されている可能性が高いと判断する。このような同時に発生する確率の高い複数の「項目の値の組」を纏めるために、独立成分解析を用いる。
【0072】
なお、一般にn次のモーメントで相関を求める場合、初めに2次のモーメントである主成分分析を行い、所定の数の主成分を求める。次に必要に応じて、各主成分の分散を用いて、各主成分を正規化する(分散が1となるように調整する)。この主成分の方向ベクトルを多次元空間上に微小に回転させ、「頻度の組」データから回転後の軸に下ろした垂線の足の値を求め、このデータのn次のモーメントを求め、これが最大となるように主成分の方向ベクトルを回転させる。このように初期位置から微小回転して最大値を求める方法は、大域的な最適値を求められる保証はなく、局大値となる場合もある。
【0073】
4次のモーメントを用いる場合は、データの尖がり具合を評価関数とする。なお、時系列データは多峰的な形であるのが普通である。このようなn次のモーメントはデータが正規分布(単峰的)から、どれだけ左右アンバランスに歪むか(3次モーメント)、どれだけ尖がるか(4次モーメント)を評価する尺度である。そのため、データを複数の区間に分割し、個々にモーメントを求め、その合計を最大化するように主成分の方向ベクトルを回転する必要がある。また、頻度をその分散で正規化してから4次のモーメントを評価しても良い。このようにすると、個々のイベントの頻度の絶対値に影響され難くなり、尖り具合という波形の特徴に基づく評価が正確になる。
【0074】
4次のモーメントに基づく相関を用いる独立成分解析によって、音源分離の場合と同様に、同時に発生する確率の高い複数の「項目の値の組み」を抽出することができる。従って、2次のモーメントに基づく相関と4次のモーメントに基づく相関を併用することで、全体の動き(頻度)と、同時性の強いイベント(攻撃種別やアドレスなどの組合せレベルでの)の動き(頻度)の関係から、特異な挙動とそれに関わる攻撃種別などを容易に知ることができる。
【0075】
別の実施形態として、4次のモーメントではなく、「項目の値の組」の頻度データの相関係数を求め、相関係数が有意に高いものを組にして、その組に含まれる「項目の値の組」の集約イベントファクターの値を出力する方法もある。すなわち、1(正の相関)、−1(負の高い相関)、それ以外を0として出力し、集約イベント頻度は、「項目の値の組」のイベント頻度とその集約イベントファクターの積の平均値を用いる。この場合も、頻度データを予めその分散で正規化しても良い。このような方法で、「項目の値の組」の相関関係を求めると、同時に発生する確率が高い「項目の値の組」を纏めることができる。
【0076】
本実施例のイベント相関計算手段113によれば、イベントの間の相関を解析してグループ化を行い、グループとしての頻度が、集約イベント頻度118として出力される。また、2次のモーメントを用いた場合で説明したように、その様な集約イベントを構成する各項目の値がどのような物で、それらがどの位の割合で寄与しているかは、集約イベントファクター114として出力される。
【0077】
ある値を持つイベントと別の値を持つイベントが、ほぼ同じように発生しているかといった判断は、テキストで書かれたデータの羅列を大量に読み、その値の組を大量に記憶し、時刻が同じかを判断するなど、人間にとっては退屈かつ不向きで、困難な作業である。本実施例のイベントグループ化手段111、イベント頻度計算手段112及びイベント相関計算手段113は、これらの作業をコンピュータ処理してくれるため、イベントログの監視作業における非人間的な作業要素を排除でき、監視者の負担を軽減できる効果がある。
【0078】
続いて、本発明の脅威分析支援手段115、アクション分析手段116、集約イベント表示手段117について述べる。脅威分析手段115とアクション分析手段116は、オフラインでのログの分析に用いる機能であり、集約イベント表示手段117は、オンラインでのシステム監視に使用する機能である。
【0079】
脅威分析支援手段115とアクション分析手段116は、イベント集約手段(イベント頻度計算手段112とイベント相関計算手段113)の出力をユーザに表示し、ユーザの分析作業を支援する。集約イベント表示手段は、予め計算された集約イベントファクターとイベント頻度計算手段112の出力を元に、集約イベントの頻度変化をリアルタイムで表示し、ユーザの監視作業を支援する。
【0080】
脅威分析手段115は、イベント相関計算手段113が求めた集約イベントファクターを判り易く、あるいは扱い易く監視者に提示するI/F機能を担う。アクション分析手段116も、イベント相関計算手段113が求めた集約イベント頻度を判り易く提示するI/F機能を担っている。たとえば、脅威分析手段115やアクション分析手段116は監視すべき集約イベントに優先順位を与える方式とし、分析の過程で必要な項目の値の確認を容易に実施できるように監視者を支援する。集約イベント表示手段はこの優先順位に基づいて、優先順位の高い集約イベントに限定して表示することで、ユーザの負担を軽減することも可能となる。
【0081】
図11は脅威分析支援手段の出力(集約イベント)のデータ構成図である。たとえば、集約イベント(1)の情報401は、それを構成する「項目の組」402の値とファクタの値で表される(第二組目の項目の値の組は破線四角403)。何番目の「項目の値の組」であるかを横軸に、ファクタを縦軸にした棒グラフなどで表示する。棒グラフの詳細として、各バーの項目の値を表示するような構成でも良い。
【0082】
図11の例では、「項目の値の組」をスクロールできるようにしている。この場合、全ての組について表示しても良いし、ファクタに閾値を設け、所定の値以上となる項目についてのみ表示しても良い。
【0083】
集約イベントファクターで大きな値(ファクタ)を持つ「項目の値の組」は、その集約イベントに対して強い影響を持っている。このような強い影響を持つ「項目の値」を見ることで、その集約イベントがどのような物であるか判断できる。図11の例では、集約イベント1の攻撃種別はSYNFloodタイプであるが、複数のポート(80,21,..)を狙っていることが判る。また、集約イベント(2)はポート21番を選択的に攻撃していることがわかる。
【0084】
図示はしていないが、どのアドレスとどのアドレスで集中的に異常が起きているかという情報からは、攻撃者の興味のあるネットワークあるいは機器が判る可能性が高い。検知できたイベントの攻撃種別からは、スキャンか、その先の制御権を獲得しようとしているのか、サービスを停止させようとしているか等、攻撃の狙いや段階が判る。MACアドレスからは、どこのネットワークを経由して侵入しているか、内部からの攻撃かと言ったことが判る。また、複数の外部接続経路がある場合は、MACアドレスからどのファイアウォールに近いリンクでイベントが検知されているかが判る。このため、それらの情報から、攻撃(異常)が分散型の攻撃か否かなどを判断できる。イベント種別の組合せや手順からも攻撃の狙いやスキルが判断できる。
【0085】
アクション分析手段116は、イベント相関計算手段113の出力である集約イベント頻度118を監視者に表示する。図12に、アクション分析手段の出力である表示形態を示す。横軸501が時刻軸、縦軸502が頻度軸である。ボタン503はイベントファクターを確認するためのもので、アクション分析から集約イベントファクターを確認するために、イベント相関計算手段113との間に結線118が設けられている。また、表示している内容がどの集約イベントであるかを表す表示部504もある。
【0086】
アクション分析手段116はこのような表示をするので、監視者(分析者)は、全体の傾向、たとえば急激な集約イベント頻度の増大、集約イベント頻度の変化のパターンなどを、一目で把握することができる。
【0087】
また、周期的あるいは毎正時や一日の決まった時間帯に発生するイベントであるか、否かが判る。特に周期的なイベントは何らかのシステムの設定異常によるものである可能性が高く、イベントファクターの確認により内容を確認し、監視の要否を判断できる。このように集約イベント頻度は集約イベントの分析の優先付けの判断に使用することができる。
【0088】
脅威分析支援手段115やアクション分析手段116を用いた監視者(分析者)の判断結果を取り込む機能を設ける実施例では、ユーザに対して監視の重要性を選択させることができる。例えば数値で0〜5段階の値を選択させ、この値と集約イベントの番号を対応付けたデータを、集約イベント表示手段117へ出力する処理を行うことができる。
【0089】
集約イベント表示手段117は、予め(オフラインにより)計算しておいた集約イベントファクターと、リアルタイムで求めたイベント頻度計算手段112からの出力から、その時点での集約イベントの頻度を計算し、図12と同様な画面に表示する。脅威分析支援手段115やアクション分析手段116で、集約イベントに重要度を設定した場合は、重要度の高いものだけ表示する方法を採っても良い。
【0090】
これにより、監視者は集約イベントの頻度変化のレベルでイベントログを監視することができる。すなわち、システムに対する不正侵入の動向(程度と変化)を文字ベースではなく、トレンドグラフベースで見ることにより、通常時の監視者の負担を大幅に軽減しながら、傾向の予測など人間が得意とする機能を有効に引き出すことが可能となる。
【0091】
オンラインでのシステム監視ではなく、定期的なシステム監査など、事後的な用途に使用する場合は、集約イベント表示手段117を有さない構成としても良い。
【0092】
また、集約イベントは通常のアナログ信号と同じ時刻とアナログ値という形態であることから、複数の集約イベントから異常の有無を判定する方法として、ニューラルネットワークやウェーブレット変換などを用いて、異常検知を自動化したり、より判り易くするといったことも可能である。
【0093】
以上の実施例によれば、不正侵入分析装置は侵入検知装置の出力するイベントログに記載されたイベントに付随するアドレスやイベント種別などの値の組が、他のどの値の組と発生タイミングが一致するかと言う点で相関を求めることができる。それと共に、相関の高いイベントを一纏めにした集約イベントの発生頻度の時間変化を表示することができる。
【0094】
また、イベントが集約され、その頻度変化が表示されるので、監視の負担が少ないばかりでなく、傾向の予測ができるようになる。また監視時の緊張度の制御が可能となる。
【0095】
本発明の第2の実施例を説明する。図13は第2の実施例による不正侵入分析装置を含む情報システムを示している。本実施例では、通信パケットから異常を検知するネットワーク型の侵入検知装置106に加えて、ホスト型の侵入検知装置604,605を含むシステムとしている。
【0096】
不正侵入分析装置600は、ネットワーク型侵入検知装置の出力をグルーピングするネットワーク型侵入検知イベントグループ化手段601と、ホスト型侵入検知装置の出力をグループ化するホスト型侵入検知イベントグループ化手段602を設けている。さらに、ファイアウォールの出力をグループ化するファイアウォールイベントグループ化手段603を設け、各々のイベントログに含まれる項目の値毎にイベントログを分割し、イベント頻度計算手段112へ出力する構成としている。それ以外の構成は図1の実施例と同じである。
【0097】
この他にも、サーバなどの計算機のシステムログについて、それをグループ化する侵入検知イベントグループ化手段601等と同様なシステムロググループ化手段を設ければ、システムログも処理することが可能である。
【0098】
なお、システムログは監視対象の計算機のハードディスクに記録されるのが一般的である。従って、システムログをシステムロググループ化手段へ送信する処理が監視対象計算機内で実行されることも必要となる。これについては、別の形態として、システムロググループ化手段がFtpサービスなどを利用して、監視対象計算機からシステムログを取得するという方式でもよい。
【0099】
図1の説明で述べたように、イベント相関計算手段113は「項目の値の組」毎の分割されたイベントログのイベント頻度の相関を元に、「項目の値の組」をグループ化する。このため、特許文献1のように、グループ化できるための必要条件として、「項目の値」が類似しているという制約がない。従って、ネットワーク型侵入検知装置、ホスト型侵入検知装置、ファイアウォール、システムログ等、異なる情報やロジックを元に異常を検知する装置から出力されるイベントログもグループ化することができ、攻撃や異常がシステムに及ぼす影響を多面的に捉えることが容易になる。
【0100】
このような異なる形式のイベントログの相関をとるために必要なことは、ネットワーク型侵入検知装置、ホスト型侵入検知装置、ファイアウォール、システムログと言ったイベントソースの出力形式を同一フォーマットにする機能である。
【0101】
即ち、他のイベントソースからのイベントログに有って、特定のイベントソースからのイベントログに無い項目が有る場合に、特定のイベントソースからの出力に不足する項目を追加し、各イベントの当該項目の値を、例えば「該当なし」の値に設定することである。
【0102】
このため、それぞれのイベントソースから空間の軸とする項目の値をチェックし、その値に基づいてイベントをグループ化するイベントグループ化手段601−603に対して、それぞれのイベントソース出力のどの項目を、空間の軸となる項目に対応させるかを定義しておく。また、空間の軸となる項目に対応する項目が無い場合には、その項目の値のデフォルト値を決めておく。以下、このような不足項目の有無のチェックとデフォルト値設定の例を説明する。
【0103】
図14は本実施例によるグループ化のアルゴリズムを示すフローチャートである。また、図15はイベントソースのイベントログの出力の一例を、図16は図14のステップ701で使用する「イベント空間の軸とイベントソース出力の対応の定義ファイル」の構成を示している。
【0104】
図14は基本的に図2と同様な処理である。図5に示したイベント空間の定義ファイルを読み込んだ後(ステップ201)、図16に示すイベント空間の軸1102とイベントソース出力の対応表(定義ファイル)1101を読み込む(ステップ701)。イベント空間の軸1102に対応する項目が、イベントソースの出力に無い場合は、デフォルト値の設定を行う。たとえば、図16の一点鎖線四角1104で示す“項目なし”のように項目名の替わりにダブルコーテーションで括るなど、それがイベントソース出力の項目名では無く、デフォルト値であることを示す特定の記号とセットで記載する。
【0105】
次に、図15に示す所定期間分のイベントログを読み込み(ステップ202)、イベントログの項目名をステップ701で読み込んだ定義に基づいて変更する(ステップ702)。すなわち、イベントの項目名とイベント出力の対応から、イベントソース出力1001の項目名1002を図16の対応表1101に基づいて修正する。不足する項目がある場合には、対応表1101に従い、不足する項目を追加し、その値を全てデフォルト値とする。
【0106】
以下は、図2と同じ処理で、ステップ201で読み込んだ各軸に関して、ステップ702で加工したイベントログの各イベントの値を重複無く記録し(ステップ703)、各軸の値の組合せリストごとにハッシュテーブルに登録する(ステップ704)。リストの先頭は、その軸の値の組合せで参照できるように登録する。さらに、ステップ702で加工したイベントログの各イベントについて、項目の値から登録すべきリストをハッシュテーブルから検索し、そのリストにイベントの内容あるいはそのアドレス情報を登録する。最後に、ステップ206で、イベントが登録されているリストの全情報を出力する。
【0107】
本実施例によれば、複数の異なる情報、ロジックを元に検知されたイベントを関連付ける。脅威分析支援手段に表示される内容も、単なるネットワーク型侵入検知装置のログの値だけでなく、ほぼ同時に発生するホスト型侵入検知装置のログの値や、ファイアウォールのログの値、システムログの値などが含まれる。
【0108】
このため、単に異常のあるパケットがあったという情報だけでなく、それがシステムにどのような影響を与えているかを把握できる。また、ファイアウォールでブロックされ、システムに侵入できなかったどのようなパケットと関連しているかを把握できる。前者のように、システムへの影響が分かれば、対処の緊急性の把握や、異常パケットの効果を把握しやすくなる。後者のように、システムに影響を及ぼさなかった関連攻撃が多いまたは少ないで、相手のスキルや、自システムの情報がどれくらい把握されているかを把握しやすくなる。このように複数のシステムのログを用いることにより、発生している現象の理解を深めやすくなる効果がある。
【0109】
【発明の効果】
本発明の不正侵入分析装置によれば、イベントの属性であるイベント種別やアドレスなどの違いを考慮したイベント間の同時相関に基づいて複数のイベントが機械的にグループ化されるため、監視の負担が低減できる効果がある。たとえば、監視者は相関があるイベントのアドレスやイベント種別、並びに、その発生頻度の時間変化などから、それが本当に不正であるのか、単なる設定ミスなのかといった判断を容易にできる。
【0110】
本発明の不正侵入分析装置によれば、侵入検知装置の出力するイベントログに記載されたイベントに付随するアドレスやイベント種別などの値の組が、他のどのような値の組と発生タイミングが一致するかと言う相関を求めることができる。それと共に、相関の高いイベントを一纏めにした集約イベントの発生頻度の時間変化を表示することができるので、監視者の負担を軽減しながら傾向の予測などを可能にする。
【図面の簡単な説明】
【図1】本発明の一実施例による不正侵入分析装置を含む情報システムの構成を示すブロック図。
【図2】イベントグループ化手段のグループ化アルゴリズムを示すフローチャート。
【図3】イベントを構成する項目の値の組を重複無く抽出する手順のフローチャート。
【図4】イベントログデータと、イベントの項目で張られる空間への写像の説明図。
【図5】イベント空間の軸の定義ファイルの一例を示す説明図。
【図6】イベントログ(ソース)の一例を示す説明図。
【図7】イベントログを「項目の値の組」毎に分離する様子を示す説明図。
【図8】頻度データのイメージ図。
【図9】頻度データから「項目の値の組」の頻度で張られる空間への写像の説明図。
【図10】集約イベント及び集約イベントファクタと項目の値の組の関係の説明図。
【図11】脅威分析支援手段の表示の一例を示す説明図。
【図12】アクション分析手段の表示の一例を示す説明図。
【図13】本発明の第2の実施例による不正侵入分析装置を含む情報システムの構成を示すブロック図。
【図14】イベントソースのグループ化アルゴリズムを示すフローチャート。
【図15】イベントソースの別の出力の一例を示す説明図。
【図16】イベント空間の軸とイベントソースの対応表(定義表)の一例を示す説明図。
【符号の説明】
101,107…監視対象サブネット、102…ファイアウォール、103−105…センサ、106…侵入検知装置、108,109,120…ルータ、110,600…不正侵入分析装置、111…イベントグループ化手段、112…イベント頻度計算手段、113…イベント相関計算手段、114…集約イベントファクターデータベース、115…脅威分析支援手段、116…アクション分析手段、117…集約イベント表示手段、122,123…外部ネットワーク、601…ネットワーク侵入検知イベントグループ化手段、602…ホスト型侵入検知イベントグループ化手段、603…ファイアウォールイベントグループ化手段、604,605…ホスト型侵入検知装置。

Claims (10)

  1. ネットワーク上の異常なアクセスをロギングした侵入検知装置の出力するイベントログを分析する不正侵入分析装置において、
    前記イベントログを構成する複数の項目に対し、前記項目の値の組合せにより前記イベントログをグループ化して区別するイベントグループ化手段を設けることを特徴とする不正侵入分析装置。
  2. 請求項1において、
    前記イベントグループ化手段は、前記イベントログを構成する項目の内、予め定められた特定の項目の組合せでイベントをグループ化することを特徴とする不正侵入分析装置。
  3. ネットワーク上の異常なアクセスをロギングした侵入検知装置の出力するイベントログを分析する不正侵入分析装置において、
    ネットワーク型侵入検知装置の出力であるイベントログを入力し、その項目の値の組合せでイベントログをグループ化するネットワーク侵入検知イベントグループ化手段と、ホスト型侵入検知装置の出力ログであるイベントログを入力し、その項目の値の組合せでイベントログをグループ化するホスト型侵入検知イベントグループ化手段と、ファイアウォールのイベントログを構成する項目の値の組合せでイベントログをグループ化するファイアウォールイベントグループ化手段を含むイベントグループ化手段を設けることを特徴とする不正侵入分析装置。
  4. 請求項3において、
    サーバなどの計算機のシステムログを構成する項目の値の組合せでシステムログをグループ化するシステムロググループ化手段を設けることを特徴とする不正侵入分析装置。
  5. 請求項3または4において、
    前記イベントグループ化手段は、前記イベントログを構成する項目の内、予め定められた特定の項目の組合せでイベントをグループ化すると共に、他のグループに有って自己のグループに無い項目をデフォルト値で設定することを特徴とする不正侵入分析装置。
  6. 請求項1−5のいずれかにおいて、
    前記イベントグループ化手段から出力される前記項目の値の組毎にグループ化されたイベントリストから、イベントの発生頻度の時間変化を計算し、前記発生頻度の時間毎の組を基に複数の項目の値の組の相関関係を求めるイベント集約手段を設けることを特徴とする不正侵入分析装置。
  7. 請求項6において、
    前記イベント集約手段は項目の値の組の相関に基づいて、前記イベントを集約した集約イベントを出力することを特徴とする不正侵入分析装置。
  8. 請求項7において、
    前記集約イベントと、その寄与の割合を示す集約イベントファクターを表示することを特徴とする不正侵入分析装置。
  9. 請求項7または8において、
    前記集約イベントの時間変化を表示することを特徴とする不正侵入分析装置。
  10. ネットワーク上の異常なアクセスをロギングする侵入検知装置を備える情報ネットワークシステムにおいて、
    前記侵入検知装置の出力ログを分析する請求項1から請求項9の何れかに記載の不正侵入分析装置を設けることを特徴とする情報ネットワークシステム。
JP2003199012A 2003-07-18 2003-07-18 不正侵入分析装置 Expired - Fee Related JP4129207B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003199012A JP4129207B2 (ja) 2003-07-18 2003-07-18 不正侵入分析装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003199012A JP4129207B2 (ja) 2003-07-18 2003-07-18 不正侵入分析装置

Publications (2)

Publication Number Publication Date
JP2005038116A true JP2005038116A (ja) 2005-02-10
JP4129207B2 JP4129207B2 (ja) 2008-08-06

Family

ID=34208593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003199012A Expired - Fee Related JP4129207B2 (ja) 2003-07-18 2003-07-18 不正侵入分析装置

Country Status (1)

Country Link
JP (1) JP4129207B2 (ja)

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005151289A (ja) * 2003-11-18 2005-06-09 Kddi Corp ログ分析装置およびログ分析プログラム
JP2006237842A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> ネットワーク制御システムおよびネットワーク制御方法
JP2006314077A (ja) * 2005-04-06 2006-11-16 Alaxala Networks Corp ネットワーク制御装置と制御システム並びに制御方法
JP2007094997A (ja) * 2005-09-30 2007-04-12 Fujitsu Ltd Idsのイベント解析及び警告システム
US7246509B2 (en) 2004-07-16 2007-07-24 Ansell Healthcare Products Llc Knitted glove with controlled stitch stretch capability
JP2007295056A (ja) * 2006-04-21 2007-11-08 Mitsubishi Electric Corp ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
KR100790933B1 (ko) 2006-12-15 2008-01-03 한국전기연구원 전력시스템의 실시간 시계열 데이터의 전송 방법과 그시스템
JP2008252427A (ja) * 2007-03-30 2008-10-16 Kyushu Univ 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
US7555921B2 (en) 2004-07-16 2009-07-07 Ansell Healthcare Products Llc Knitted glove with controlled stitch stretch capability and enhanced cuff
JP2010050939A (ja) * 2008-08-25 2010-03-04 Hitachi Information Systems Ltd 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
KR100989320B1 (ko) 2008-09-03 2010-10-25 충남대학교산학협력단 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 고속검색방법 및 비-트리기반인덱싱로그 프로세서
KR101005866B1 (ko) * 2008-09-03 2011-01-05 충남대학교산학협력단 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템
US7908891B2 (en) 2004-07-16 2011-03-22 Ansell Healthcare Products Llc Knitted glove
WO2014119669A1 (ja) 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
JP2014530419A (ja) * 2011-09-15 2014-11-17 マカフィー,インコーポレイテッド 脅威に対してリアルタイムでカスタマイズされた保護を行うシステム及び方法
JP2015076863A (ja) * 2013-10-11 2015-04-20 富士通株式会社 ログ分析装置、方法およびプログラム
JP2016181263A (ja) * 2016-04-25 2016-10-13 株式会社ラック 情報処理システム、情報処理方法およびプログラム
WO2017018377A1 (ja) * 2015-07-30 2017-02-02 日本電信電話株式会社 分析方法、分析装置、および分析プログラム
US9900331B2 (en) 2015-02-13 2018-02-20 Mitsubishi Electric Corporation Log tracing apparatus and non-transitory computer-readable medium storing a log tracing program
AT520746B1 (de) * 2018-02-20 2019-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erkennung von anormalen Betriebszuständen
CN113098852A (zh) * 2021-03-25 2021-07-09 绿盟科技集团股份有限公司 一种日志处理方法及装置
CN113904838A (zh) * 2021-09-30 2022-01-07 北京天融信网络安全技术有限公司 一种传感器数据检测方法、装置、电子设备及存储介质
CN114138872A (zh) * 2021-12-13 2022-03-04 青岛华仁互联网络有限公司 一种应用于数字金融的大数据入侵分析方法及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10257054A (ja) * 1997-03-11 1998-09-25 Sumitomo Electric Ind Ltd ネットワーク管理装置およびネットワーク管理方法
JPH1125169A (ja) * 1997-06-30 1999-01-29 Toshiba Corp 相関関係抽出方法
JP2001188694A (ja) * 2000-01-05 2001-07-10 Hitachi Information Systems Ltd イベントログの発生頻度分布表の表示方法および発生パターンの識別方法、ならびにそれらのプログラムを記録した記録媒体
WO2001084285A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for managing computer security information
JP2003186886A (ja) * 2001-12-17 2003-07-04 Ibm Japan Ltd データ解析システム、データ解析装置、表示端末、データ解析方法、プログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10257054A (ja) * 1997-03-11 1998-09-25 Sumitomo Electric Ind Ltd ネットワーク管理装置およびネットワーク管理方法
JPH1125169A (ja) * 1997-06-30 1999-01-29 Toshiba Corp 相関関係抽出方法
JP2001188694A (ja) * 2000-01-05 2001-07-10 Hitachi Information Systems Ltd イベントログの発生頻度分布表の表示方法および発生パターンの識別方法、ならびにそれらのプログラムを記録した記録媒体
WO2001084285A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for managing computer security information
JP2003186886A (ja) * 2001-12-17 2003-07-04 Ibm Japan Ltd データ解析システム、データ解析装置、表示端末、データ解析方法、プログラム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
及川 達也,和泉 勇治,太田 耕平,加藤 寧,根元 義章: "統計的クラスタリング手法によるネットワーク異常状態の検出", 電子情報通信学会技術研究報告, vol. 102, no. 349, JPN6008013552, 24 September 2002 (2002-09-24), JP, pages 83 - 88, ISSN: 0001041740 *
石井 良和,高木 太郎,中井 耕治: "不正侵入分析への独立成分解析の適用", 電気学会論文誌C, vol. 124, no. 9, JPN6007010531, 1 September 2004 (2004-09-01), JP, ISSN: 0001041738 *
竹森 敬祐,三宅 優,中尾 康二: "IDSログ分析支援システムの提案", 情報処理学会研究報告, vol. 2003, no. 45, JPN6007010533, 16 May 2003 (2003-05-16), JP, pages 65 - 70, ISSN: 0001041739 *

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005151289A (ja) * 2003-11-18 2005-06-09 Kddi Corp ログ分析装置およびログ分析プログラム
US7908891B2 (en) 2004-07-16 2011-03-22 Ansell Healthcare Products Llc Knitted glove
US7246509B2 (en) 2004-07-16 2007-07-24 Ansell Healthcare Products Llc Knitted glove with controlled stitch stretch capability
US7555921B2 (en) 2004-07-16 2009-07-07 Ansell Healthcare Products Llc Knitted glove with controlled stitch stretch capability and enhanced cuff
US7434422B2 (en) 2004-07-16 2008-10-14 Ansell Healthcare Products Llc Selective multiple yarn reinforcement of a knitted glove with controlled stitch stretch capability
JP2006237842A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> ネットワーク制御システムおよびネットワーク制御方法
JP2006314077A (ja) * 2005-04-06 2006-11-16 Alaxala Networks Corp ネットワーク制御装置と制御システム並びに制御方法
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
JP2007094997A (ja) * 2005-09-30 2007-04-12 Fujitsu Ltd Idsのイベント解析及び警告システム
JP4619254B2 (ja) * 2005-09-30 2011-01-26 富士通株式会社 Idsのイベント解析及び警告システム
JP4745881B2 (ja) * 2006-04-21 2011-08-10 三菱電機株式会社 ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
JP2007295056A (ja) * 2006-04-21 2007-11-08 Mitsubishi Electric Corp ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
KR100790933B1 (ko) 2006-12-15 2008-01-03 한국전기연구원 전력시스템의 실시간 시계열 데이터의 전송 방법과 그시스템
JP2008252427A (ja) * 2007-03-30 2008-10-16 Kyushu Univ 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
JP2010050939A (ja) * 2008-08-25 2010-03-04 Hitachi Information Systems Ltd 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
KR101005866B1 (ko) * 2008-09-03 2011-01-05 충남대학교산학협력단 룰기반 웹아이디에스 시스템용 웹로그 전처리방법 및 시스템
KR100989320B1 (ko) 2008-09-03 2010-10-25 충남대학교산학협력단 대용량 웹로그마이닝 및 공격탐지를 위한 비트리인덱스벡터기반 웹로그 고속검색방법 및 비-트리기반인덱싱로그 프로세서
KR20160128434A (ko) * 2011-09-15 2016-11-07 맥아피 인코퍼레이티드 실시간 맞춤화된 위협 보호를 위한 시스템 및 방법
JP2016027491A (ja) * 2011-09-15 2016-02-18 マカフィー, インコーポレイテッド 脅威に対してリアルタイムでカスタマイズされた保護を行う方法、ロジック及び装置
JP2014530419A (ja) * 2011-09-15 2014-11-17 マカフィー,インコーポレイテッド 脅威に対してリアルタイムでカスタマイズされた保護を行うシステム及び方法
KR101898793B1 (ko) * 2011-09-15 2018-09-13 맥아피, 엘엘씨 실시간 맞춤화된 위협 보호를 위한 시스템 및 방법
WO2014119669A1 (ja) 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
US9860278B2 (en) 2013-01-30 2018-01-02 Nippon Telegraph And Telephone Corporation Log analyzing device, information processing method, and program
JP2015076863A (ja) * 2013-10-11 2015-04-20 富士通株式会社 ログ分析装置、方法およびプログラム
US9900331B2 (en) 2015-02-13 2018-02-20 Mitsubishi Electric Corporation Log tracing apparatus and non-transitory computer-readable medium storing a log tracing program
US10516685B2 (en) 2015-07-30 2019-12-24 Nippon Telegraph And Telephone Corporation Analysis method, analysis device and analysis program
WO2017018377A1 (ja) * 2015-07-30 2017-02-02 日本電信電話株式会社 分析方法、分析装置、および分析プログラム
JP2016181263A (ja) * 2016-04-25 2016-10-13 株式会社ラック 情報処理システム、情報処理方法およびプログラム
AT520746A4 (de) * 2018-02-20 2019-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erkennung von anormalen Betriebszuständen
AT520746B1 (de) * 2018-02-20 2019-07-15 Ait Austrian Inst Tech Gmbh Verfahren zur Erkennung von anormalen Betriebszuständen
CN113098852A (zh) * 2021-03-25 2021-07-09 绿盟科技集团股份有限公司 一种日志处理方法及装置
CN113904838A (zh) * 2021-09-30 2022-01-07 北京天融信网络安全技术有限公司 一种传感器数据检测方法、装置、电子设备及存储介质
CN114138872A (zh) * 2021-12-13 2022-03-04 青岛华仁互联网络有限公司 一种应用于数字金融的大数据入侵分析方法及存储介质

Also Published As

Publication number Publication date
JP4129207B2 (ja) 2008-08-06

Similar Documents

Publication Publication Date Title
JP4129207B2 (ja) 不正侵入分析装置
CN112651006B (zh) 一种电网安全态势感知系统
US8019865B2 (en) Method and apparatus for visualizing network security state
McHugh Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory
CN106453299B (zh) 网络安全监控方法、装置及云端web应用防火墙
US8549650B2 (en) System and method for three-dimensional visualization of vulnerability and asset data
EP2532121B1 (en) Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
Teoh et al. Combining visual and automated data mining for near-real-time anomaly detection and analysis in BGP
Lee et al. Visual firewall: real-time network security monitor
US20100262873A1 (en) Apparatus and method for dividing and displaying ip address
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
KR20110011935A (ko) 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
JP2008176753A (ja) データ類似性検査方法及び装置
CN111028085A (zh) 一种基于主被动结合的网络靶场资产信息采集方法及装置
CN113489720B (zh) 一种超大规模网络中攻击暴露面分析方法及系统
CN113315785B (zh) 一种告警消减方法、装置、设备和计算机可读存储介质
Baldoni et al. Collaborative detection of coordinated port scans
JP4160002B2 (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
EP3826242B1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
Kasemsri A survey, taxonomy, and analysis of network security visualization techniques
Erbacher et al. Visual network forensic techniques and processes
Ulmer et al. Towards Visual Cyber Security Analytics for the Masses.
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
JP4188203B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050712

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080325

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080513

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080516

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110523

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees