JP2005128946A - Log analysis device, method, and program - Google Patents
Log analysis device, method, and program Download PDFInfo
- Publication number
- JP2005128946A JP2005128946A JP2003366155A JP2003366155A JP2005128946A JP 2005128946 A JP2005128946 A JP 2005128946A JP 2003366155 A JP2003366155 A JP 2003366155A JP 2003366155 A JP2003366155 A JP 2003366155A JP 2005128946 A JP2005128946 A JP 2005128946A
- Authority
- JP
- Japan
- Prior art keywords
- events
- log
- grouping
- collected
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
この発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、およびFirewallなどのネットワーク機器から出力されるログの分析を行うログ分析装置、ログ分析方法およびログ分析プログラムに関する。 The present invention relates to a log analysis apparatus, a log analysis method, and a log analysis program for analyzing logs output from network devices such as IDS (Intrusion Detection System), Router, and Firewall.
近年、ネットワークシステムに対する攻撃監視のためにIDSを導入するサイトが増えている。一般にIDSは、ネットワーク上を流れるパケットとAttack Signatureと呼ばれる攻撃パターンファイルとを単純に比較して、マッチングするものがあればログを出力する。 In recent years, more and more sites have introduced IDS for monitoring attacks on network systems. In general, the IDS simply compares a packet flowing on the network with an attack pattern file called Attack Signature, and outputs a log if there is a match.
従来においては、コンピュータの稼働状況を示すログ情報の解析作業に要する時間を減少させ、種々のデータ形式とファイル・システム上の偏在性とを有するログ情報を統合し、既知の異常ではない異常を示すログ情報を抽出することを目的としたログ情報解析装置が考え出されている。このログ情報解析装置はシステム管理者が文字による膨大な量のログ情報を棒グラフのように表示させて注目すべき情報を迅速に把握しようとするものである。(例えば特許文献1参照)
しかし、従来のIDSから出力されるログは、誤検知、多重検知、セキュリティ対策済みのシステムに対する攻撃検知などの冗長なログが多量に出力される。このようなログは、同じ攻撃を繰り返し受けるたびに出力されるため、さらに冗長なものとなる。多量のログは傾向把握には適しているが、出現頻度の低いログを見落としがちになり、新たな攻撃の兆候を的確に抽出することを困難にする。また、ログに含まれるパラメータの1つ1つを分析することにより、ネットワークの詳細を把握することはできるが、分析に必要なデータ量が膨大となり、ネットワーク全体の概要を把握するには作業工数が掛かってしまうという問題点があった。 However, the log output from the conventional IDS outputs a large amount of redundant logs such as false detection, multiple detection, and attack detection for a system with security countermeasures. Since such a log is output every time the same attack is repeated, it becomes more redundant. A large amount of logs is suitable for grasping the trend, but it tends to overlook logs with low frequency of appearance, making it difficult to accurately extract new attack signs. In addition, it is possible to grasp the details of the network by analyzing each parameter included in the log, but the amount of data necessary for the analysis becomes enormous, and it takes man-hours to grasp the overview of the entire network. There was a problem that it took.
本発明は、上述した問題点に鑑みてなされたものであって、ログ分析に掛かる作業工数を低減し、攻撃に対するネットワーク全体の概要を把握することができるログ分析装置およびログ分析方法を提供することを目的とする。 The present invention has been made in view of the above-described problems, and provides a log analysis device and a log analysis method capable of reducing the work man-hour required for log analysis and grasping the outline of the entire network against an attack. For the purpose.
本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワーク機器から出力されるログを収集する収集手段と、前記収集手段によって収集された前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記イベントの量に基づいて、ネットワークの異常度に関する値を算出する算出手段とを具備することを特徴とするログ分析装置である。
前期パラメータとしては、IDS、Router、およびFirewallなどのネットワーク機器から出力されるログに記録されているAttack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。前期算出手段は、グループ化後の各グループ内のイベントの量に基づいて、比率分析や稀率分析などを行い、分析対象のネットワークの異常度に関する値を算出する。分析対象のネットワークの異常度に関する値としては、短期プロファイルのイベント量と長期プロファイルのイベント量の単位時間当たりの平均値との比率や、自網プロファイルのイベント量と他網プロファイルのイベント量の1ネットワーク当たりの平均との比率、上側稀率、下側稀率などが挙げられる。
The present invention has been made to solve the above problems, and the invention according to
Examples of the parameters in the previous period include Attack Signature, Source / Destination Port, and Source / Destination IP recorded in logs output from network devices such as IDS, Router, and Firewall. The first-term calculation means performs a ratio analysis or a rare rate analysis based on the amount of events in each group after grouping, and calculates a value related to the degree of abnormality of the network to be analyzed. As the value related to the degree of abnormality of the network to be analyzed, the ratio between the event amount of the short-term profile and the average value of the event amount of the long-term profile per unit time, the event amount of the own network profile and the event amount of the other network profile Examples include the ratio to the average per network, the upper rare rate, the lower rare rate, and the like.
請求項2に記載の発明は、請求項1に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のシグネチャが示す意味内容ごとに、該シグネチャに属するイベントをグループ化することを特徴とする。
シグネチャとしては、IDSから出力されるログに記録されているAttack Signatureが挙げられる。Attack SignatureはPing Sweep、Http port probeなどのイベントからなり、前期グループ化手段はそれらのイベントの意味内容ごとに各イベントをグループ化する。
According to a second aspect of the present invention, in the log analysis apparatus according to the first aspect, the grouping unit includes an event belonging to the signature for each semantic content indicated by the signature in the log collected by the collecting unit. It is characterized by grouping.
Examples of the signature include Attack Signature recorded in a log output from IDS. The Attack Signature is composed of events such as Ping Sweep and HTTP port probe, and the first grouping means groups each event according to the meaning content of these events.
請求項3に記載の発明は、請求項1に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のIPアドレスが示す国ごとに該IPアドレスをグループ化することを特徴とする。
前期IPアドレスとしては、IDS、Router、およびFirewallなどから出力されるSource/Destination IPが挙げられる。
According to a third aspect of the present invention, in the log analysis apparatus according to the first aspect, the grouping unit groups the IP addresses for each country indicated by the IP address in the log collected by the collecting unit. It is characterized by doing.
Examples of the first term IP address include Source / Destination IP output from IDS, Router, Firewall, and the like.
請求項4に記載の発明は、請求項1に記載のログ分析装置において、前記グループ化手段は、前記イベントと前記イベントが属するグループとが対応付けられたテーブルを予め記憶し、前記収集手段によって収集された前記ログ中のパラメータに属するイベントを、前記テーブルに基づいて所定のグループにグループ化することを特徴とする。
前期テーブルには、Attack Signatureの各イベントとそれらのイベントが示す意味内容ごとにまとめられたグループとが対応付けられたテーブルや、Source/Destination IPと国名あるいはドメインとが対応付けられたテーブルなどがある。
According to a fourth aspect of the present invention, in the log analysis device according to the first aspect, the grouping unit stores in advance a table in which the event and a group to which the event belongs are associated with each other, and the collecting unit The events belonging to the collected parameters in the log are grouped into a predetermined group based on the table.
In the previous term table, there are a table in which each event of Attack Signature and a group grouped for each semantic content indicated by those events are associated, a table in which Source / Destination IP is associated with a country name or domain, and the like. is there.
請求項5に記載の発明は、請求項1に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のパラメータに属するイベントに対して、該イベントの量に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、前記優先度に基づいた順序で前記イベントをグループ化することを特徴とする。 According to a fifth aspect of the present invention, in the log analysis device according to the first aspect, the grouping unit sets the amount of the event to an event belonging to the parameter in the log collected by the collecting unit. Priorities are assigned based on the events, and the events are grouped in an order based on the priorities so that the total amount of the events in each group approaches equally.
請求項6に記載の発明は、請求項1に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のパラメータに属するイベントに対して、該イベントに含まれる識別情報に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、前記優先度に基づいた順序で前記イベントをグループ化することを特徴とする。
識別情報とは、例えばAttack Signatureの場合は製品ごとに決められたAttack Signagure番号であり、Source/Destination Portの場合はPort番号であり、Source/Destination IPの場合はIPアドレス順位である。
According to a sixth aspect of the present invention, in the log analysis device according to the first aspect, the grouping unit is included in the event that belongs to the parameter in the log collected by the collecting unit. Priorities are assigned based on identification information, and the events are grouped in an order based on the priorities so that the total amount of the events in each group approaches evenly.
The identification information is, for example, an Attack Signature number determined for each product in the case of Attack Signature, a Port number in the case of Source / Destination Port, and an IP address order in the case of Source / Destination IP.
請求項7に記載の発明は、請求項1に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のIPアドレスに対して、該IPアドレスの値に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、かつ先頭からnビット(nは正の整数)が同じ前記IPアドレスは同じグループとなるように、前記優先度に基づいた順序で、前記IPアドレスをグループ化することを特徴とする。 According to a seventh aspect of the present invention, in the log analysis device according to the first aspect, the grouping means is based on the value of the IP address with respect to the IP address in the log collected by the collecting means. The priority is set so that the IP addresses having the same n bits (n is a positive integer) from the beginning are in the same group so that the total amount of the events in each group approaches evenly. The IP addresses are grouped in a sequence based on the order.
請求項8に記載の発明は、ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、グループ化された前記イベントの量に基づいて、ネットワークの異常度に関する値を算出するステップとを具備することを特徴とするログ分析方法である。
The invention according to
請求項9に記載の発明は、請求項8に記載のログ分析方法において、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のシグネチャが示す意味内容ごとに、該シグネチャに属するイベントをグループ化することを特徴とする。 According to a ninth aspect of the present invention, in the log analysis method according to the eighth aspect, in the step of grouping the events belonging to the parameters in the collected logs, each meaning content indicated by the signature in the collected logs is included. In addition, events belonging to the signature are grouped.
請求項10に記載の発明は、請求項8に記載のログ分析方法において、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のIPアドレスが示す国ごとに該IPアドレスをグループ化することを特徴とする。 According to a tenth aspect of the present invention, in the log analysis method according to the eighth aspect, in the step of grouping the events belonging to the parameters in the collected log, for each country indicated by the IP address in the collected log The IP addresses are grouped together.
請求項11に記載の発明は、請求項8に記載のログ分析方法において、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のパラメータに属するイベントを、前記イベントと前記イベントが属するグループとが対応付けられたテーブルに基づいて所定のグループにグループ化することを特徴とする。
The invention according to
請求項12に記載の発明は、請求項8に記載のログ分析方法において、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のパラメータに属するイベントに対して、該イベントの量に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、前記優先度に基づいた順序で前記イベントをグループ化することを特徴とする。 According to a twelfth aspect of the present invention, in the log analysis method according to the eighth aspect, in the step of grouping the events belonging to the parameters in the collected logs, the events belonging to the parameters in the collected logs Then, a priority is assigned based on the amount of the event, and the events are grouped in an order based on the priority so that the total amount of the events in each group approaches equally.
請求項13に記載の発明は、請求項8に記載のログ分析方法において、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のパラメータに属するイベントに対して、該イベントに含まれる識別情報に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、前記優先度に基づいた順序で前記イベントをグループ化することを特徴とする。 According to a thirteenth aspect of the present invention, in the log analysis method according to the eighth aspect, in the step of grouping the events belonging to the parameters in the collected logs, the events belonging to the parameters in the collected logs And assigning priorities based on the identification information included in the events, and grouping the events in an order based on the priorities so that the total amount of the events in each group approaches equally To do.
請求項14に記載の発明は、請求項8に記載のログ分析方法において、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のIPアドレスに対して、該IPアドレスの値に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、かつ先頭からnビット(nは正の整数)が同じ前記IPアドレスは同じグループとなるように、前記優先度に基づいた順序で、前記IPアドレスをグループ化することを特徴とする。 According to a fourteenth aspect of the present invention, in the log analysis method according to the eighth aspect, in the step of grouping the events belonging to the parameters in the collected log, for the IP addresses in the collected log, Priorities are assigned based on the value of the IP address, and the IP addresses having the same n bits (n is a positive integer) from the beginning are in the same group so that the total amount of the events in each group approaches equally. As described above, the IP addresses are grouped in an order based on the priority.
請求項15に記載の発明は、ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、グループ化された前記イベントの量に基づいて、ネットワークの異常度に関する値を算出するステップとをコンピュータに実行させるためのログ分析プログラムである。
The invention according to
請求項16に記載の発明は、請求項15に記載のログ分析プログラムにおいて、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のシグネチャが示す意味内容ごとに、該シグネチャに属するイベントをグループ化することを特徴とする。 According to a sixteenth aspect of the present invention, in the log analysis program according to the fifteenth aspect, in the step of grouping the events belonging to the parameters in the collected log, each meaning content indicated by the signature in the collected log is included. In addition, events belonging to the signature are grouped.
請求項17に記載の発明は、請求項15に記載のログ分析プログラムにおいて、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のIPアドレスが示す国ごとに該IPアドレスをグループ化することを特徴とする。 According to a seventeenth aspect of the present invention, in the log analysis program according to the fifteenth aspect, in the step of grouping the events belonging to the parameters in the collected log, for each country indicated by the IP address in the collected log The IP addresses are grouped together.
請求項18に記載の発明は、請求項15に記載のログ分析プログラムにおいて、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のパラメータに属するイベントを、前記イベントと前記イベントが属するグループとが対応付けられたテーブルに基づいて所定のグループにグループ化することを特徴とする。
The invention according to claim 18 is the log analysis program according to
請求項19に記載の発明は、請求項15に記載のログ分析プログラムにおいて、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のパラメータに属するイベントに対して、該イベントの量に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、前記優先度に基づいた順序で前記イベントをグループ化することを特徴とする。 According to a nineteenth aspect of the present invention, in the log analysis program according to the fifteenth aspect, in the step of grouping the events belonging to the parameters in the collected logs, the events belonging to the parameters in the collected logs Then, a priority is assigned based on the amount of the event, and the events are grouped in an order based on the priority so that the total amount of the events in each group approaches equally.
請求項20に記載の発明は、請求項15に記載のログ分析プログラムにおいて、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のパラメータに属するイベントに対して、該イベントに含まれる識別情報に基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、前記優先度に基づいた順序で前記イベントをグループ化することを特徴とする。 According to a twentieth aspect of the present invention, in the log analysis program according to the fifteenth aspect, in the step of grouping the events belonging to the parameters in the collected logs, the events belonging to the parameters in the collected logs And assigning priorities based on the identification information included in the events, and grouping the events in an order based on the priorities so that the total amount of the events in each group approaches equally To do.
請求項21に記載の発明は、請求項15に記載のログ分析プログラムにおいて、収集した前記ログ中のパラメータに属するイベントをグループ化するステップにおいては、収集した前記ログ中のIPアドレスに属するイベントに対して、該イベントに含まれるIPアドレスに基づいて優先度を付け、各グループ内の前記イベントの総量が均等に近づくように、かつ先頭からnビット(nは正の整数)が同じ前記イベントは同じグループとなるように、前記優先度に基づいた順序で、前記イベントをグループ化することを特徴とする。 According to a twenty-first aspect of the present invention, in the log analysis program according to the fifteenth aspect, in the step of grouping the events belonging to the parameters in the collected logs, the events belonging to the IP addresses in the collected logs are included. On the other hand, priorities are assigned based on the IP address included in the event, and the event has the same n bits (n is a positive integer) from the beginning so that the total amount of the events in each group approaches equally. The events are grouped in an order based on the priority so as to be in the same group.
請求項22に記載の発明は、請求項15〜請求項21のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。
The invention described in
この発明によれば、分析対象となるパラメータに含まれるイベントをグループ化し、各グループに対して分析対象のネットワークに関する異常値を算出するようにしたので、ログ分析に掛かる作業工数を低減し、攻撃に対するネットワーク全体の概要を把握することができるという効果が得られる。特に、グループ化を行うことによって、異常値の算出に用いられる変数の数を大幅に減らすことができるので、異常値の算出に要する時間を大幅に低減することができ、攻撃をリアルタイムに検知することができる。また、グループ化を行うことによってログの傾向を大きく捉えることができ、異常に関する誤検出を低減させ、分析の信頼性が向上するという効果も得られる。 According to the present invention, the events included in the parameters to be analyzed are grouped, and an abnormal value related to the network to be analyzed is calculated for each group. It is possible to obtain an overview of the entire network for. In particular, grouping can significantly reduce the number of variables used to calculate outliers, greatly reducing the time required to calculate outliers and detecting attacks in real time. be able to. In addition, by performing grouping, it is possible to capture a large tendency of logs, and it is possible to obtain an effect of reducing false detection of abnormality and improving analysis reliability.
以下、図面を参照し、この発明を実施するための最良の形態について説明する。図1は、この発明の一実施形態によるログ分析装置を備えたネットワークの構成を示す構成図である。図において、10はログ分析装置である。ログ分析装置10は分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果をセキュリティオペレーションセンター30へ出力する。ネットワーク20〜22のRouter、Firewall、およびIDSはログを生成し、syslog等の機能により、ログ分析装置10にログを出力する。セキュリティオペレーションセンター30はWebブラウザ301を有しており、運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。
The best mode for carrying out the present invention will be described below with reference to the drawings. FIG. 1 is a configuration diagram showing the configuration of a network including a log analysis device according to an embodiment of the present invention. In the figure, 10 is a log analyzer. The
ログ分析装置10において、101はログ収集部であり、ネットワーク20〜22の機器から出力されたログを定期的に収集し、ログ保存部102へログを出力する。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する。運用者がWebブラウザ301を介して、分析を希望するパラメータを要求すると、分析を指示する指示情報がインタフェース部105を介してログ分析部104へ入力される。
In the
ログ分析部104はこの指示情報に従って、記憶部103から分析用のパラメータを読み出し、分析対象とするネットワークに関する異常値を算出し、インタフェース部105へ出力する。インタフェース部105は、ログ分析部104から出力された異常値を、通信回線を介してWebブラウザ301へ出力する。運用者はこの異常値に基づいて、ネットワーク20〜22に対して攻撃が行われているかどうかを判断する。
The
図2は本実施形態において、ログ中の分析対象となるパラメータを示している。本実施形態においては、Attack Signature、Source/Destination Port、およびSource/Destination IPの各パラメータに属するイベントをグループ化し、各パラメータグループの統計的異常値を算出する。Source/Destination Portは送信元/送信先の機器のポート番号を示す。Source/Destination IPは送信元/送信先の機器のIPアドレスを示す。なおSource/Destination PortはSource PortおよびDestination Portの2つのパラメータのうちのいずれか1つを示しており、Source/Destination IPに関しても同様である。 FIG. 2 shows parameters to be analyzed in the log in this embodiment. In the present embodiment, events belonging to parameters of Attack Signature, Source / Destination Port, and Source / Destination IP are grouped, and a statistical anomaly value of each parameter group is calculated. Source / Destination Port indicates a port number of a transmission source / destination device. Source / Destination IP indicates the IP address of the source / destination device. Note that the Source / Destination Port indicates one of the two parameters of the Source Port and the Destination Port, and the same applies to the Source / Destination IP.
Attack SignatureはIDSから出力されるログに含まれるパラメータである。Attack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。なお、全てのネットワーク型IDSおよび一部のホスト型IDSがAttack Signatureを出力可能である。また、Source/Destination PortおよびSource/Destination IPはIDS、Router、およびFirewallから出力されるログに含まれるパラメータである。Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。上記のパラメータは図2に示されるような複数のイベントからなる。ログ中に同じイベントが複数記録されている場合は、その総数をそのイベントのイベント量と定義する。 The Attack Signature is a parameter included in the log output from the IDS. By analyzing the Attack Signature, it is possible to specify the type of attack being performed on the analysis target network. All network type IDSs and some host type IDSs can output an attack signature. Source / Destination Port and Source / Destination IP are parameters included in logs output from IDS, Router, and Firewall. By analyzing the Source / Destination Port, the port number of the attack source / attack target can be specified. Further, by analyzing the Source / Destination IP, the IP address of the attack source / attack target can be specified. The above parameters consist of a plurality of events as shown in FIG. When a plurality of the same events are recorded in the log, the total number is defined as the event amount of the event.
次に、本実施形態におけるログ分析装置10の動作を説明する。図3はログ分析装置10の動作を示すフローチャートである。ログ収集部101はネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS30)。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する(ステップS31)。運用者から特定のパラメータに関する分析の要求がWebブラウザ301を介してなされると、Webブラウザ301から出力された指示情報がインタフェース部105を介してログ分析部104へ入力される。すると、ログ分析部104は指示情報に基づいて記憶部103からパラメータを読み出す(ステップS32)。
Next, the operation of the
続いて、ログ分析部104は読み出したパラメータに含まれるイベントを、後述するように所定の方法に従ってグループ化する(ステップS33)。そしてログ分析部104は分析対象のパラメータに関する異常値を算出する(ステップS34)。続いて、ログ分析部104は異常値を分析結果としてインタフェース105を介してWebブラウザ301へ出力する(ステップS35)。分析結果はWebブラウザ301上に表示され、運用者はこの分析結果に基づいて、ネットワーク20〜22に対して攻撃が行われているかどうかを判断する。
Subsequently, the
次に、ステップS34でログ分析部104が行う分析処理について説明する。ここでは、比率分析および稀率分析を一例として挙げる。比率分析においては、注目する短期間を単位時間(例えば1日)としたときに、短期間に含まれるイベント量(短期プロファイルと定義する)と、過去の複数の単位時間に含まれるイベント量の平均(長期プロファイルと定義する)との比率を異常値として評価する。図4は、単位時間を1日としたときの比率分析モデルの一例を示している。
Next, the analysis process performed by the
図において、Elは長期プロファイルにおけるイベント量の単位時間あたりの平均を示す。短期プロファイルにおけるイベント量をEsとすると、短期プロファイルに対する長期プロファイルの比率Dは[数1]のように表される。短期プロファイルは記憶部103に格納され、ログ分析部104は記憶部103から過去の複数の短期プロファイルを読み出して、長期プロファイルを作成する。あるいは、記憶部103に過去のログを複数格納するようにしておき、それらのログから長期プロファイルを作成するようにしてもよい。
In the figure, El represents the average per unit time of the event amount in the long-term profile. When the event the amount of short-term profile and E s, the ratio D of long-term profile for short-term profile is expressed as [Equation 1]. The short-term profile is stored in the
一方、稀率分析においては、統計値の平均と標準偏差とを用いて、出力数が様々に変動するイベントの異常性を評価する。統計分析において、95%信頼区間という指標がよく利用されているが、ここでの稀率分析とは、この信頼区間の補集合を算出するものである。図5は単位時間を1日としたときの稀率分析モデルの一例を示している。Elは長期プロファイルのイベント量の単位時間あたりの平均であり、SDは標準偏差である。横軸は平均値Elからの距離を、標準偏差SDを単位として表し、縦軸は、イベント量が横軸で示される値となった単位時間の数(日数)を表している。標準偏差SDは[数2]より求められる。短期プロファイルのイベント量が長期プロファイルの平均Elよりも大きな場合の上側稀率Ruを[数3]、小さな場合の下側稀率Rlを[数4]のように定義する。E1、E2、・・・Ekは長期プロファイルにおける各単位時間のイベント量である。 On the other hand, in the rare rate analysis, anomalies of events in which the number of outputs fluctuates variously are evaluated using the average and standard deviation of statistical values. In the statistical analysis, an index of 95% confidence interval is often used. The rare rate analysis here is to calculate a complement of this confidence interval. FIG. 5 shows an example of a rare rate analysis model when the unit time is one day. El is the average of the event amount of the long-term profile per unit time, and SD is the standard deviation. The horizontal axis represents the distance from the average value El , with the standard deviation SD as a unit, and the vertical axis represents the number of unit times (number of days) in which the event amount becomes the value indicated on the horizontal axis. The standard deviation SD is obtained from [Equation 2]. The upper rare rate R u when the event amount of the short-term profile is larger than the average E l of the long-term profile is defined as [Equation 3], and the lower rare rate R l when the event amount is smaller is defined as [Equation 4]. E 1 , E 2 ,... E k are event amounts for each unit time in the long-term profile.
[数3]および[数4]において、f(E)は正規分布の密度関数であり、以下の[数5]で表される。なお、上記の例においては、稀率計算のための攻撃の分布を正規分布と仮定しているが、f(E)として指数分布やガンマ分布などの関数を適宜選択してもよい。 In [Equation 3] and [Equation 4], f (E) is a density function of a normal distribution and is expressed by the following [Equation 5]. In the above example, it is assumed that the attack distribution for calculating the rare rate is a normal distribution, but a function such as an exponential distribution or a gamma distribution may be appropriately selected as f (E).
上述した比率分析および稀率分析によって算出された異常値であるD、Ru、およびRlに関しての判断は以下のように行うことができる。まず、D>1.0もしくはRu≒0.0%の場合は、インターネット上に新たな攻撃が出回り始めたとき、内部ホストがワームに感染したとき、DDoS(Destributed Denial of Service)攻撃(攻撃者がインターネット上のセキュリティに弱い複数のWebサイトに侵入して攻撃拠点とし、複数の攻撃拠点に仕込んだプログラムを同時に動作させて、攻撃ターゲットのサーバに大量のパケットを送りつけ、サーバの機能を停止してしまう攻撃)を受けたときなど、短期のイベント量が急増したことを示している。攻撃が活発な段階であり、警戒する必要がある。比率分析により、内部ホストがワームに感染したことやDDoS攻撃を受けたことなどを迅速かつ正確に検出することができる。 The determination regarding the abnormal values D, R u , and R l calculated by the ratio analysis and the rare rate analysis described above can be made as follows. First, when D> 1.0 or R u ≈0.0%, when a new attack starts to appear on the Internet, when an internal host is infected with a worm, a DDoS (Destroyed Denial of Service) attack (attack) An attacker enters multiple websites that are vulnerable to security on the Internet and uses them as attack bases. The programs prepared at the multiple attack bases operate simultaneously to send a large number of packets to the attack target server. This shows that the amount of short-term events has increased rapidly, such as when an attack that stops. The attack is at an active stage and you need to be vigilant. Through the ratio analysis, it is possible to quickly and accurately detect that the internal host has been infected with a worm or received a DDoS attack.
また、D≒0.0もしくはRl≒0.0%の場合は、普段から出力され続けていたアラームが急に減少した、もしくは無くなってしまったことを示している。これは、攻撃が収束に向かっている段階、もしくはシステムが停止した状態である。比率分析により、ネットワークやホストの停止に関する異常を迅速かつ正確に検出することができる。 In addition, when D≈0.0 or R 1 ≈0.0%, it indicates that the alarms that have been continuously output have suddenly decreased or disappeared. This is the stage where the attack is converging, or the system is stopped. By analyzing the ratio, it is possible to quickly and accurately detect anomalies related to network and host outages.
また、D≒1.0もしくはRu、Rl≒50.0%の場合は、普段から検知され続けているログを見分けることができる。これは、既に対策が施されている攻撃、もしくは誤検知されやすいイベントであり、特に注意する必要はない。ネットワークの運用者は、ログ分析装置10から出力されるD、Ru、およびRl等の値に基づいて、上述した評価を行えばよい。
Further, when D≈1.0 or R u , R l ≈50.0%, it is possible to distinguish a log that has been continuously detected. This is an attack for which countermeasures have already been taken, or an event that is easily misdetected, and does not require special attention. The network operator may perform the above-described evaluation based on values such as D, R u , and R l output from the
上述した分析処理においては、分析対象のネットワークを固定し、短期プロファイルが長期プロファイルに対してどの程度異常であるかを評価する手法を示したが、以下のような分析処理を行うこともできる。それは、分析対象の期間を固定したときに、分析対象のネットワークで検知された、特定のパラメータに関するイベント量(自網プロファイルと定義する)が、他のネットワークで検知された、そのイベント量(他網プロファイルと定義する)に対してどの程度異常であるかを評価する手法である。 In the analysis process described above, a technique for fixing the network to be analyzed and evaluating how abnormal the short-term profile is with respect to the long-term profile has been shown, but the following analysis process can also be performed. When the period of analysis target is fixed, the event amount (defined as own network profile) for a specific parameter detected in the analysis target network is detected in other networks. This is a method for evaluating how much abnormality is defined with respect to a network profile.
例えば、比率分析において、分析対象のネットワークにおける検知イベント量をEmとし、このネットワークを含まない他の各ネットワークにおける検知イベント量の1ネットワーク当たりの平均をEoとすると、比率Dは以下の[数6]のように表される。同様にして、稀率分析において、自網プロファイルのイベント量が平均より大きな場合の上側稀率および小さな場合の下側稀率を計算することができる。 For example, the ratio analysis, the detection event amount in analyte network and E m, when the average per network detection event amount in each of the other networks that do not have this network as E o, the ratio D the following [ It is expressed as [Equation 6]. Similarly, in the rare rate analysis, the upper rare rate when the event amount of the own network profile is larger than the average and the lower rare rate when the event amount is smaller than the average can be calculated.
次に、本実施形態におけるイベントのグループ化を説明する。本実施形態においては、分析対象のパラメータに含まれる個々のイベントに基づいてネットワークの詳細を把握するのではなく、分析対象のパラメータ中のイベントを適切な単位にグループ化し、それらのグループに基づいて比率分析や稀率分析を行い、ネットワーク全体の概要を把握する。グループ化対象のパラメータは図2で示したパラメータである。 Next, event grouping in the present embodiment will be described. In this embodiment, rather than grasping the details of the network based on individual events included in the parameters to be analyzed, events in the parameters to be analyzed are grouped into appropriate units, and based on those groups. Perform ratio analysis and rare rate analysis to get an overview of the entire network. The parameters to be grouped are the parameters shown in FIG.
静的グループ化1
Attack Signatureを通信レイヤ、攻撃目的、サービスを考慮して意味内容ごとにグループ化する。図6および図7はSnort IDSから出力されたログ中のAttack Signatureを10個の意味単位(クラス)にグループ化した例である。個数は各グループに含まれるAttack Signatureの数である。Snortルールファイルは、Attack Signatureをある程度の意味単位に集めたファイルである。各Attack Signatureには脆弱性に関するキーが元々割り当てられており、このキーに基づいて意味内容ごとのグループ化を行う。記憶部103には、そのキーとグループとが対応付けられたテーブルが予め格納されており、ログ分析部104は、そのテーブルを参照してイベントのグループ化を行う。
Attack Signatures are grouped according to semantic content in consideration of the communication layer, attack purpose, and service. FIG. 6 and FIG. 7 are examples in which Attack Signatures in the log output from Snort IDS are grouped into 10 semantic units (classes). The number is the number of Attack Signatures included in each group. The Snort rule file is a file in which Attack Signatures are collected in a certain semantic unit. Each Attack Signature is originally assigned a key relating to vulnerability, and grouping is performed for each semantic content based on this key. The
図8はこの場合の、図3のステップS33におけるイベントのグループ化の動作を示すフローチャートである。記憶部103には、上述したテーブルが格納されているとする。ログ分析部104は記憶部103からテーブルを読み出して参照し(ステップS330)、グループ化の対象となるイベントの脆弱性に関するキーに基づいて、そのイベントを所定のグループに対応させる(ステップS331)。グループ化の結果は図6および図7で一例として示したテーブルなどの形式で記憶部103に格納される。この場合、長期プロファイル(あるいは他網プロファイル)および短期プロファイル(あるいは自網プロファイル)を記憶部103中のテーブルに基づいてそれぞれグループ化し、グループ化後の各グループ内のイベント量に基づいて、比率分析や稀率分析などを行う。
FIG. 8 is a flowchart showing the event grouping operation in step S33 of FIG. 3 in this case. Assume that the
静的グループ化2
Source/Destination IPを国単位に、もしくはドメイン単位にグループ化する。図9はIPアドレスからそのIPアドレスが所属する国名へ変換するための変換テーブルを示している。図において、例えばIPアドレスが0.0.0.0〜0.255.255.255はUS(アメリカ合衆国)、24.42.0.0〜24.43.255.255はCA(カナダ)に所属することがわかる。
Source / Destination IP is grouped by country or domain. FIG. 9 shows a conversion table for converting an IP address to a country name to which the IP address belongs. In the figure, for example, IP addresses of 0.0.0.0 to 0.255.255.255 belong to the US (United States), and 24.42.0.0 to 24.43.255.255 belong to the CA (Canada). I understand that
この変換テーブルは、IANA(The Internet Assigned Numbers Authority)等で管理されているIPアドレスとドメイン表から作成することができる。IPアドレスからドメインへの変換を示す変換テーブルも同様に作成することができる。この場合も、長期プロファイル(あるいは他網プロファイル)および短期プロファイル(あるいは自網プロファイル)を記憶部103中のテーブルに基づいてそれぞれグループ化し、グループ化後の各グループを1つのイベントとみなして前述した比率分析や稀率分析などを行う。
This conversion table can be created from an IP address and a domain table managed by the IANA (The Internet Assigned Numbers Authority) or the like. A conversion table indicating conversion from an IP address to a domain can be created in the same manner. Also in this case, the long-term profile (or other network profile) and the short-term profile (or own network profile) are grouped based on the table in the
動的グループ化1
分析対象のパラメータに関して、各イベントをイベント量順に並べ替え、イベントの総量に基づいて、各グループ内の統イベント量がほぼ均等になるようにグループ化を行う。図10はこの場合のグループ化の様子を示している。図において、棒グラフの1つ1つがイベント(HTTP Port Probe、Smurf Attack・・・)を表している。図においては、一例として各イベントをイベント量の多い順に左から並べ、各グループ内の総イベント量がほぼ均等になるように左からG1、G2・・・とグループ名を付けた様子が示されている。
With respect to the parameters to be analyzed, the events are rearranged in order of the event amount, and grouping is performed so that the total event amount in each group is substantially equal based on the total amount of events. FIG. 10 shows the grouping in this case. In the figure, each bar graph represents an event (HTTP Port Probe, Smurf Attack...). In the figure, as an example, events are arranged from the left in descending order of event volume, and G1, G2,... Are grouped from the left so that the total event volume in each group is almost equal. ing.
イベントの総量に基づいて、各グループ内の統イベント量がほぼ均等になるようなグループ化の具体的な手法は以下のとおりである。例えば、イベントを10グループに分割し、各グループ内のイベント量が総イベント量の約10分の1となるようにグループ化することにする。図10において、左のイベントからイベント量を加算していき、その量が総イベント量の10分の1以上となったところで1つのグループとする。このとき、例えばイベント量の最下位の桁は四捨五入するなどの処理を行う。 Based on the total amount of events, the specific method of grouping so that the total amount of events within each group is almost equal is as follows. For example, the event is divided into 10 groups, and the event amount in each group is grouped so that it is about 1/10 of the total event amount. In FIG. 10, the event amount is added from the event on the left, and when the amount becomes 1/10 or more of the total event amount, a group is formed. At this time, for example, the lowest digit of the event amount is rounded off.
あるいは、左のイベントからイベント量を加算していき、その量が総イベント量の10分の1を超えたところで1つのグループとする。以上の方法により、1つ目のグループ化を行い、次のグループに関してはイベント量が残りのイベント量の約9分の1となるように、上述した方法と同様に2つ目のグループ化を行う。さらに次のグループに関しても同様に、イベント量が残りのイベント量の約8分の1となるように、3つ目のグループ化を行う。これを繰り返し行うことにより、イベントを10グループに分割する。なお、上述した方法は一例であり、各グループ内のイベント量がほぼ均等となるようにグループ化できれば、その方法は問わない。 Alternatively, the event amount is added from the left event, and a group is formed when the amount exceeds one-tenth of the total event amount. By the above method, the first grouping is performed, and for the next group, the second grouping is performed in the same manner as described above so that the event amount is about 1/9 of the remaining event amount. Do. Further, for the next group, similarly, the third grouping is performed so that the event amount is about one-eighth of the remaining event amount. By repeating this, the event is divided into 10 groups. Note that the above-described method is an example, and any method can be used as long as it can be grouped so that the amount of events in each group is substantially equal.
図11はこの場合の、図3のステップS33におけるイベントのグループ化の動作を示すフローチャートである。ログ分析部104は記憶部103から読み出したパラメータ中のイベントに対して、イベント量に基づいた順序付けを行う(イベント量順に各イベントに順序付けを行う)(ステップS332)。そしてログ分析部104は順序付けを行った各イベントに対して、グループ内のイベント量がほぼ等しくなるようにグループ化を行い、所定数のグループを生成する(ステップS333)。
FIG. 11 is a flowchart showing the event grouping operation in step S33 of FIG. 3 in this case. The
ログ分析部104は長期プロファイル(あるいは他網プロファイル)の統計量を算出するたびに上記のグループ化を行う。これにより、長期プロファイルの各グループはグループ内の総イベント量がほぼ等しくなる。続いて、長期プロファイルのグループと同じグループを用いて、短期プロファイル(あるいは自網プロファイル)のイベントをグループ化する。
The
定常状態であれば、短期プロファイル内の各グループ内のイベント量はほぼ等しいが、攻撃が行われている場合には、各グループ間の総イベント量のバランスが崩れ、特定のグループのイベント量が他のグループに比べて顕著に多くなる。以上のようにしてグループ化した長期プロファイル(あるいは他網プロファイル)および短期プロファイル(あるいは自網プロファイル)に対して比率分析等を適用することにより、異常をより検知しやすくなる。この手法は、Attack SignatureおよびSource/Destination Portの分析への適用が好適である。 In steady state, the amount of events in each group in the short-term profile is almost the same, but when an attack is being performed, the total amount of events between each group is lost, and the event amount of a specific group Significantly more than other groups. By applying ratio analysis to the long-term profile (or other network profile) and the short-term profile (or own network profile) grouped as described above, it becomes easier to detect anomalies. This method is preferably applied to the analysis of Attack Signature and Source / Destination Port.
動的グループ化2
分析対象のパラメータに関して、イベントのID順に並べ替え、イベントの総量に基づいて、各グループ内の統イベント量がほぼ均等になるようにグループ化を行う。ここで、IDとはAttack Signatureの場合は製品ごとに決められたAttack Signagure番号であり、Source/Destination Portの場合はPort番号であり、Source/Destination IPの場合はIPアドレス順位である。図12はこの場合のグループ化の様子を示している。各グループ内の総イベント量がほぼ均等になるようなグループ化の方法は動的グループ化1と同様である。
The parameters to be analyzed are rearranged in the order of event IDs, and grouping is performed so that the total amount of events in each group is substantially equal based on the total amount of events. Here, the ID is an Attack Signature number determined for each product in the case of Attack Signature, a Port number in the case of Source / Destination Port, and an IP address order in the case of Source / Destination IP. FIG. 12 shows the state of grouping in this case. The grouping method so that the total event amount in each group is almost equal is the same as that of the
図において、棒グラフの1つ1つがパラメータ(HTTP Port Probe、Smurf Attack・・・)を表している。図においては、一例として各イベントをイベント量の多い順に左から並べ、各グループ内の総イベント量がほぼ均等になるように左からG1、G2・・・とグループ名を付けた様子が示されている。この場合のログ分析装置10の動作等は動的グループ化1と同様である。この手法は、Attack Signature、Source/Destination Port、およびSource/Destination IPの分析への適用が好適である。
In the figure, each bar graph represents a parameter (HTTP Port Probe, Smurf Attack...). In the figure, as an example, events are arranged from the left in descending order of event volume, and G1, G2,... Are grouped from the left so that the total event volume in each group is almost equal. ing. The operation of the
動的グループ化3
Source/Destination IPの分析は、国やドメイン単位で行うことが望ましい。国やドメインは2のべき乗単位に区切られており、動的グループ化2で説明したグループ化手法をIPアドレスの分析に適用する場合には、この点を考慮することが望ましい。そこで、動的グループ化2によるグループ化手法をIPアドレスの分析に適用する場合において、各グループ内のIPアドレスの数がほぼ均等になるように、2のべき乗単位でIPアドレスをグループ化する。
It is desirable to analyze Source / Destination IP in units of countries and domains. The country and domain are divided into power-of-two units, and it is desirable to consider this point when applying the grouping method described in
例えば、IPアドレス192.168.0.1と202.255.44.1とを2進数で表すと、「11000000 10101000 00000000 00000001」と「11001010 11111111 00101100 00000001」となり、先頭4ビットが同じプリフィックスを持つ。このように、2進数表示したときに、先頭からn(nは正の整数)ビットまでが一つのグループとなるように、なおかつ各グループ内の総イベント量がほぼ等しくなるようにグループ化を行う。 For example, when IP addresses 192.168.0.1 and 202.2555.44.1 are expressed in binary numbers, they are “11000000 10101000 00000000 00000001” and “11001010 11111111 00101100 00000001”, and the first 4 bits have the same prefix. . In this way, when binary numbers are displayed, grouping is performed so that the first n bits (n is a positive integer) bits form one group, and the total event amount in each group is substantially equal. .
以上のようにしてグループ化されたイベントに対して、前述した比率分析や稀率分析などを適用する。この場合、各グループごとに比率分析および稀率分析を行うことになる。したがって、個々のイベント種別ごとに比率分析および稀率分析を行う場合と比較して、比率分析および稀率分析を行う回数が低減する。また、グループ化によって分析単位が大きくなるので、より広範囲の異常度の概要を把握することができる。 The ratio analysis and the rare rate analysis described above are applied to the events grouped as described above. In this case, a ratio analysis and a rare rate analysis are performed for each group. Therefore, the number of times the ratio analysis and the rare rate analysis are performed is reduced as compared with the case where the ratio analysis and the rare rate analysis are performed for each event type. In addition, since the unit of analysis is increased by grouping, it is possible to grasp an outline of a wider range of abnormalities.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態におけるログ分析装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings, but the specific configuration is not limited to these embodiments, and includes design changes and the like within a scope not departing from the gist of the present invention. It is. For example, the log analysis device in the above-described embodiment records a program for realizing the operation and function on a computer-readable recording medium, and causes the computer to read and execute the program recorded on the recording medium. May be realized.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したログ分析プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したログ分析プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The log analysis program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the log analysis program described above may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・Webブラウザ。
DESCRIPTION OF
Claims (22)
前記収集手段によって収集された前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うグループ化手段と、
前記グループ化手段によってグループ化された前記イベントの量に基づいて、ネットワークの異常度に関する値を算出する算出手段と、
を具備することを特徴とするログ分析装置。 A collection means for collecting logs output from network devices;
Grouping means for performing grouping to divide events belonging to the parameters in the log collected by the collecting means into a plurality of groups;
Calculation means for calculating a value relating to the degree of abnormality of the network based on the amount of the events grouped by the grouping means;
A log analyzer characterized by comprising:
収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、
グループ化された前記イベントの量に基づいて、ネットワークの異常度に関する値を算出するステップと、
を具備することを特徴とするログ分析方法。 Collecting logs output from network devices;
Performing a grouping to divide events belonging to the parameters in the collected logs into a plurality of groups;
Calculating a value related to the degree of abnormality of the network based on the amount of the grouped events;
A log analysis method comprising:
収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、
グループ化された前記イベントの量に基づいて、ネットワークの異常度に関する値を算出するステップと、
をコンピュータに実行させるためのログ分析プログラム。 Collecting logs output from network devices;
Performing a grouping to divide events belonging to the parameters in the collected logs into a plurality of groups;
Calculating a value related to the degree of abnormality of the network based on the amount of the grouped events;
Log analysis program to make a computer execute.
A computer-readable recording medium in which the log analysis program according to any one of claims 15 to 21 is recorded.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003366155A JP2005128946A (en) | 2003-10-27 | 2003-10-27 | Log analysis device, method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003366155A JP2005128946A (en) | 2003-10-27 | 2003-10-27 | Log analysis device, method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005128946A true JP2005128946A (en) | 2005-05-19 |
Family
ID=34644584
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003366155A Withdrawn JP2005128946A (en) | 2003-10-27 | 2003-10-27 | Log analysis device, method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005128946A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008009711A (en) * | 2006-06-29 | 2008-01-17 | Hitachi Ltd | Computer system, program, and search engine search method |
CN111897869A (en) * | 2020-10-09 | 2020-11-06 | 北京志翔科技股份有限公司 | Data display method and device and readable storage medium |
US11455389B2 (en) | 2017-05-19 | 2022-09-27 | Fujitsu Limited | Evaluation method, information processing apparatus, and storage medium |
-
2003
- 2003-10-27 JP JP2003366155A patent/JP2005128946A/en not_active Withdrawn
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008009711A (en) * | 2006-06-29 | 2008-01-17 | Hitachi Ltd | Computer system, program, and search engine search method |
US11455389B2 (en) | 2017-05-19 | 2022-09-27 | Fujitsu Limited | Evaluation method, information processing apparatus, and storage medium |
CN111897869A (en) * | 2020-10-09 | 2020-11-06 | 北京志翔科技股份有限公司 | Data display method and device and readable storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
Hellemons et al. | SSHCure: a flow-based SSH intrusion detection system | |
Thomas et al. | Usefulness of DARPA dataset for intrusion detection system evaluation | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
Jajodia et al. | Topological vulnerability analysis: A powerful new approach for network attack prevention, detection, and response | |
Amaral et al. | Deep IP flow inspection to detect beyond network anomalies | |
Mansmann et al. | Visual support for analyzing network traffic and intrusion detection events using TreeMap and graph representations | |
JP2015076863A (en) | Log analyzing device, method and program | |
CN111818103B (en) | Traffic-based tracing attack path method in network target range | |
Vaarandi et al. | Using security logs for collecting and reporting technical security metrics | |
JP4156540B2 (en) | Log analysis device, log analysis program, and recording medium | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
JP4500921B2 (en) | Log analysis apparatus, log analysis method, and log analysis program | |
Singh et al. | A reference dataset for network traffic activity based intrusion detection system | |
JP4160002B2 (en) | Log analysis device, log analysis program, and recording medium | |
KR100950079B1 (en) | Network abnormal state detection device using HMMHidden Markov Model and Method thereof | |
JP4060263B2 (en) | Log analysis apparatus and log analysis program | |
Pouget et al. | Internet attack knowledge discovery via clusters and cliques of attack traces | |
US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
JP4188203B2 (en) | Log analysis apparatus, log analysis method, and log analysis program | |
EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
JP2005128946A (en) | Log analysis device, method, and program | |
Anbar et al. | Statistical cross-relation approach for detecting TCP and UDP random and sequential network scanning (SCANS) | |
Alsharabi et al. | Detecting Unusual Activities in Local Network Using Snort and Wireshark Tools | |
Brignoli et al. | Combining exposure indicators and predictive analytics for threats detection in real industrial IoT sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070109 |