JP2005151289A - ログ分析装置およびログ分析プログラム - Google Patents

ログ分析装置およびログ分析プログラム Download PDF

Info

Publication number
JP2005151289A
JP2005151289A JP2003387709A JP2003387709A JP2005151289A JP 2005151289 A JP2005151289 A JP 2005151289A JP 2003387709 A JP2003387709 A JP 2003387709A JP 2003387709 A JP2003387709 A JP 2003387709A JP 2005151289 A JP2005151289 A JP 2005151289A
Authority
JP
Japan
Prior art keywords
distribution
log
events
frequency axis
grouped
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003387709A
Other languages
English (en)
Other versions
JP4060263B2 (ja
Inventor
Keisuke Takemori
敬祐 竹森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2003387709A priority Critical patent/JP4060263B2/ja
Publication of JP2005151289A publication Critical patent/JP2005151289A/ja
Application granted granted Critical
Publication of JP4060263B2 publication Critical patent/JP4060263B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract


【課題】 様々なネットワーク機器から出力されるログに基づいて、攻撃の周期性を考慮したログ分析を行うことができるログ分析装置およびログ分析プログラムを提供する。
【解決手段】 ログ収集部101はネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する。ログ分析部104は記憶部103から分析対象のパラメータを読み出し、そのパラメータに関するイベントの時間軸上の分布を求め、その分布を周波数軸上の分布へ変換する。ログ分析部104は周波数軸上の分布に対して比率分析や稀率分析を行い、分析結果を記憶部103に保存すると共に、インタフェース105を介してWebブラウザ301へ出力する。
【選択図】 図1

Description

この発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、およびFirewallなどのネットワーク機器から出力されるログの分析を行うログ分析装置、ログ分析方法およびログ分析プログラムに関する。
近年、ネットワークシステムに対する攻撃監視のためにIDSを導入するサイトが増えている。一般にIDSは、ネットワーク上を流れるパケットとAttack Signatureと呼ばれる攻撃パターンファイルとを単純に比較して、マッチングするものがあればログを出力する。
従来においては、コンピュータの稼働状況を示すログ情報の解析作業に要する時間を減少させ、種々のデータ形式とファイル・システム上の偏在性とを有するログ情報を統合し、既知の異常ではない異常を示すログ情報を抽出することを目的としたログ情報解析装置が考え出されている。このログ情報解析装置はシステム管理者が文字による膨大な量のログ情報を棒グラフのように表示させて注目すべき情報を迅速に把握しようとするものである。(例えば特許文献1参照)
特開2001−356939号公報
しかし、従来のIDSから出力されるログは、誤検知、多重検知、セキュリティ対策済みのシステムに対する攻撃検知などの冗長なログが多量に出力される。このようなログは、同じ攻撃を繰り返し受けるたびに出力されるため、さらに冗長なものとなる。多量のログは傾向把握には適しているが、出現頻度の低いログを見落としがちになり、新たな攻撃の兆候を的確に抽出することを困難にする。RouterやFirewallから出力されるログを監視することで、より多角的な分析が可能になるが、これらのログを統合管理するシステムがないという問題があった。
また、ネットワーク上のトラヒックの増減は、ユーザによるPC利用の時間帯や曜日帯に依存しており、攻撃の傾向もおおよそPCの利用頻度と類似している。しかし、近年の攻撃の多くが、潜伏期間や発症・伝播期間を有するウィルスやワームによるものであり、PCの利用頻度以外の周期性で発現するものもある。従来、これらの攻撃の周期性を考慮して、分析対象への攻撃傾向や新たな攻撃の兆候を検出する手法がないという問題点があった。
本発明は、上述した問題点に鑑みてなされたものであって、様々なネットワーク機器から出力されるログに基づいて、攻撃の周期性を考慮したログ分析を行うことができるログ分析装置およびログ分析プログラムを提供することを目的とする。
本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、前記ネットワーク機器から出力されるログを収集する収集手段と、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換する第1の変換手段とを具備することを特徴とするログ分析装置である。
前期パラメータとしては、IDS、Router、またはFirewallなどのネットワーク機器から出力されるログに記録されているパケット量、トラヒック量、プロトコル量、Port量、Attack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。
請求項2に記載の発明は、請求項1に記載のログ分析装置において、前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記周波数軸上の分布を、各イベントが該イベントの量順に並んだ分布に変換する第2の変換手段とをさらに具備することを特徴とする。
請求項3に記載の発明は、請求項1に記載のログ分析装置において、前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段とをさらに具備することを特徴とする。
請求項4に記載の発明は、請求項1に記載のログ分析装置において、前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するエントロピー算出手段と、前記エントロピー算出手段によって算出された前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段とをさらに具備することを特徴とする。
請求項5に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記異常値算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1の値と、前記グループ化手段によってグループ化された過去の所定期間における複数の前記分布に関する第2の値との比率を算出することを特徴とする。
前記第1の値としては、前記ログ中のパラメータに属し、特定の所定期間内のイベントに関する前記分布の特定のグループ内のイベントの量が挙げられる。前記第2の値は、過去の複数の所定期間内のイベントに関する前記分布の特定のグループ内のイベントの量の平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。
請求項6に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する複数の第2の分布とであり、前記異常値算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1の値と、前記グループ化手段によってグループ化された前記複数の第2の分布に関する第2の値との比率を算出することを特徴とする。
前記第1の値としては、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する前記分布の特定のグループ内のイベントの量が挙げられる。前記第2の値は、前記特定のネットワークを除く他の複数のネットワークのイベントに関する前記分布の特定のグループ内のイベントの量の平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。
請求項7に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記異常値算出手段は、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布のイベントの量に基づいて確率分布を求め、前記グループ化手段によってグループ化された特定の所定期間における前記分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
前記確率分布に関しては、過去の所定期間に関する複数の前記分布に関する複数の値(例えば、特定のグループ内のイベントの量)の分布が正規分布、指数分布、ガンマ分布などの確率分布の中の1つに従うと仮定し、適宜確率分布を求めればよい。上側稀率とは、求めた確率分布における値が特定の所定期間における前記分布に関する値(例えば、特定のグループ内のイベントの量)以上となる確率であり、下側稀率とは、求めた確率分布における値が特定の前記分布に関する値以下となる確率である。
請求項8に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記異常値算出手段は、前記グループ化手段によってグループ化された前記第2の分布のイベントの量に基づいて確率分布を求め、前記グループ化手段によってグループ化された前記第1の分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
前記確率分布に関しては、前記特定のネットワークを除く他の複数のネットワークごとの前記第2の分布に関する複数の値(例えば、特定のグループ内のイベントの量)の分布が正規分布、指数分布、ガンマ分布などの確率分布の中の1つに従うと仮定し、適宜確率分布を求めればよい。上側稀率とは、求めた確率分布における値が前記第1の分布に関する値(例えば、前記特定のグループ内のイベントの量)以上となる確率であり、下側稀率とは、求めた確率分布における値が前記第1の分布に関する値以下となる確率である。
請求項9に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記異常値算出手段は、前記エントロピー算出手段によって算出された特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出することを特徴とする。
請求項10に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記異常値算出手段は、前記エントロピー算出手段によって算出された前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出することを特徴とする。
請求項11に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記エントロピー算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
請求項12に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他のネットワークのイベントに関する第2の分布とであり、前記エントロピー算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された前記第2の分布に関する第2のエントロピー値とを算出し、前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
請求項13に記載の発明は、請求項1〜請求項12のいずれかの項に記載のログ分析装置において、前記グループ化手段は、前記第1の変換手段によって生成された前記周波数軸上の分布を、所定の周波数ごとに複数のグループに分割することを特徴とする。
請求項14に記載の発明は、請求項3〜請求項12のいずれかの項に記載のログ分析装置において、前記グループ化手段は、前記第1の変換手段によって生成された前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化することを特徴とする。
請求項15に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、前記ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換するステップとをコンピュータに実行させるためのログ分析プログラムである。
請求項16に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、グループ化した前記周波数軸上の分布を、各イベントが該イベントの量順にならんだ分布に変換するステップとをさらに具備することを特徴とする。
請求項17に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、グループ化した前記周波数軸上の分布を、各イベントが該イベントの量順にならんだ分布に変換するステップとをさらに具備することを特徴とする。
請求項18に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップと、算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップとをさらに具備することを特徴とする。
請求項19に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1の値と、グループ化した過去の所定期間における複数の前記分布に関する第2の値との比率を算出することを特徴とする。
請求項20に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した前記第1の分布に関する第1の値と、グループ化した前記第2の分布に関する第2の値との比率を算出することを特徴とする。
請求項21に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した過去の所定期間に関する複数の前記分布のイベントの量に基づいて確率分布を求め、グループ化した特定の所定期間における前記分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
請求項22に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した前記第2の分布のイベントの量に基づいて確率分布を求め、グループ化した前記第1の分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
請求項23に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出することを特徴とする。
請求項24に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出することを特徴とする。
請求項25に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1のエントロピー値と、グループ化した過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
請求項26に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した前記第1の分布に関する第1のエントロピー値と、グループ化した前記第2の分布に関する第2のエントロピー値とを算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
請求項27に記載の発明は、請求項15〜請求項26のいずれかの項に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップにおいては、前記周波数軸上の分布を、所定の周波数ごとに複数のグループに分割することを特徴とする。
請求項28に記載の発明は、請求項17〜請求項26のいずれかの項に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップにおいては、前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化することを特徴とする。
請求項29に記載の発明は、請求項15〜請求項28のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。
この発明によれば、様々なネットワーク機器から出力されるログ中のパラメータに属するイベントの時間軸上の分布を求め、時間軸上の分布を周波数軸上の分布へ変換するようにしたので、攻撃の周期性を考慮したログ分析を行うことができるという効果が得られる。
以下、図面を参照し、この発明を実施するための最良の形態について説明する。図1は、この発明の一実施形態によるログ分析装置を備えたネットワークの構成を示す構成図である。図において、10はログ分析装置である。ログ分析装置10は分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果をWebブラウザ301へ出力する。ログ分析装置10は、表示部を有する他の機器へ分析結果を出力してもよいし、ログ分析装置10に表示部が備えられている場合には、ログ分析装置10が分析結果を表示してもよい。
また、ログ分析装置10はWebブラウザ301を備えるセキュリティオペレーションセンター30からは独立した装置であってもよいし、セキュリティオペレーションセンター30内のWebブラウザ301を具備する機器がログ分析装置10の機能を有していてもよい。ネットワーク20〜22のRouter、Firewall、およびIDSはログを生成し、syslogd等の通信方式により、ログ分析装置10にログを出力する。セキュリティオペレーションセンター30はWebブラウザ301を有しており、運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。
ログ分析装置10において、101はログ収集部であり、ネットワーク20〜22の機器から出力されたログを定期的に収集し、ログ保存部102へログを出力する。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する。運用者がWebブラウザ301を介して、分析を希望するパラメータを要求すると、分析を指示する指示情報がインタフェース部105を介してログ分析部104へ入力される。
ログ分析部104はこの指示情報に従って、記憶部103から分析用のパラメータを読み出し、このパラメータに関して分析を行い(詳細は後述する)、分析結果を記憶部103に保存すると共に、インタフェース部105へ出力する。インタフェース部105は、ログ分析部104から出力された分析結果を、通信回線を介してWebブラウザ301へ出力する。運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22に対する攻撃の状況を判断する。
次に、本実施形態において分析対象となるパラメータについて説明する。本実施形態においては、
(a)パケット数
(b)トラヒック量
(c)プロトコル量
(d)Port量
(e)Attack Signature
(f)Source/Destination Port
(g)Source/Destination IP
の各パラメータを分析対象とする。
(a)〜(d)はRouterおよびFirewallから出力されるログに記録されている。(e)はIDSから出力されるログに記録されている。(f)〜(g)はIDS、Router、およびFirewallから出力されるログに記録されている。パケット数またはトラヒック量を分析することにより、ネットワークに対する攻撃が発生しているのかどうかを検出することができる。プロトコル量はTCP(Transmission Control Protocol)/UDP(User Datagram Protocol)/ICMP(Internet Control Message Protocol)などのプロトコルに係るパケット数(あるいはトラヒック量)を示している。
プロトコル量を分析することにより、色々な攻撃を検出することができる。例えば、ICMPに係るPingやTracerouteなどは攻撃前の下調べなので、これらを検出することにより本格的な攻撃に対して事前に注意を払うことができる。Port量はTCP/UDPなどのプロトコルに係るパケットの送信元/送信先の機器のポート番号別のパケット数(あるいはトラヒック量)を示している。Port量を分析することにより、特定のPortへのアクセスや侵入などを検出することができる。
Attack SignatureはIDSから出力されるログに含まれるパラメータである。Attack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。なお、全てのネットワーク型IDSおよび一部のホスト型IDSがAttack Signatureを出力可能である。Source/Destination Portは送信元/送信先の機器のポート番号を示す。Source/Destination IPは送信元/送信先の機器のIPアドレスを示す。なおSource/Destination PortはSource PortおよびDestination Portの2つのパラメータのうちのいずれか1つを示しており、Source/Destination IPに関しても同様である。
Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。上記のパラメータは複数のイベントからなる。ログ中に上記の同じイベントが複数記録されている場合は、その総数をそのイベントのイベント量と定義する。
次に、本実施形態におけるログ分析装置10の動作を説明する。図2はログ分析装置10の動作を示すフローチャートである。ログ収集部101はネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS200)。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する(ステップS210)。運用者から特定のパラメータに関する分析の要求がWebブラウザ301を介してなされると、Webブラウザ301から出力された指示情報がインタフェース部105を介してログ分析部104へ入力される。すると、ログ分析部104は指示情報に基づいて記憶部103からパラメータを読み出す(ステップS220)。
ログ分析部104は分析対象のパラメータに関して、後述する分析処理を行い、分析結果を記憶部103に保存する(ステップS230)。続いて、ログ分析部104はインタフェース105を介して、分析結果をWebブラウザ301へ出力する(ステップS240)。分析結果はWebブラウザ301上に表示され、運用者はこの分析結果に基づいて、ネットワーク20〜22に対して攻撃が行われているかどうかを判断する。
次に、ステップS23でログ分析部104が行う分析処理について説明する。ログ分析部104はまず、記憶部103から読み出したパラメータに関するイベントのイベント量に基づいて、イベントの時間軸上の分布を求める。図3はIDSから出力されたログに記録されたAttack Signatureを例として、Attack Signatureに関するイベントの時間軸上の分布を示している。図において、横軸は時刻を示し、縦軸は各時刻におけるイベントのイベント量を示している。ログには、イベントが検出された時刻も記録されているので、各時刻におけるイベントの総量を求めることができる。
Attack Signatureには、HTTP port probe、DNS port probe、・・・などのイベント種別があり、ログ分析部104は特定のイベント種別(例えばHTTP port probe)のイベントに注目し、ある時刻(あるいは所定の時間範囲)において検出されたイベントの総数を求め、図3のような時間軸上の分布を得る。この分布は時刻とその時刻におけるイベント量とが対応付けられたテーブルデータなどの形式のデータとして記憶部103に保存される。なお、ログ分析部104が特定の複数のイベント種別に着目し、それらをひとまとまりのイベント種別とみなして、時間軸上の分布を求めてもよい。
図3において、折れ線aは平日の各時刻におけるイベント量の、所定期間(例えば1ヶ月)にわたる平均を表したものである。また、折れ線bは休日および祝日の各時刻におけるイベント量の、所定期間にわたる平均を表したものである。なお、図3では1時間単位でイベント量が表示されているが、分あるいは秒単位で表示してもよい。ログ分析部104は時間軸上の分布から、離散フーリエ変換により、周波数軸上の分布を得る。時間軸上でn番目の観測点におけるイベント量をe(n)、周波数軸上でのk番目の周波数成分量をE(k)とすると(ただし、n,kは自然数)、N個(Nは自然数)の離散時間信号{e(n)},n=0,1,・・・,N−1が与えられたとき、その離散フーリエ変換は[数1]のように表される。なお、離散フーリエ変換を高速で行うFFT(Fast Fourier Transform)を行ってもよい。
Figure 2005151289
図4は時間軸上の分布を周波数軸上の分布へ変換した例である。横軸は各周波数に対応した時間間隔(時間、日、週、月、年)を示しており、縦軸はイベント量を示している。続いてログ分析部104は、隣接する複数の周波数が同じグループとなるように、周波数軸上の分布を所定のグループに分割する(グループ化)。グループ化としては静的グループ化と動的グループ化とが挙げられる。静的グループ化は、時間/日/週/月/年という固定的な時間単位でグループ化を行うものである。この場合、ログ分析部104は所定の周波数ごとにイベントをグループ化し、各グループを識別する情報と、そのグループ内のイベント総量を示す情報とを記憶部103に格納する。
動的グループ化は、各グループ内のイベントの総量がほぼ等しくなるように、近隣の周波数成分をまとめて同じグループにするものである。図5は図4の分布を6つのグループにグループ化した様子を示している。この場合も、ログ分析部104は所定の周波数ごとにイベントをグループ化し、各グループを識別する情報と、そのグループ内のイベント総量を示す情報とを記憶部103に格納する。動的グループ化においては、ログ分析部104は以下のようにグループ化を行う。例えば、イベントを6グループに分割し、各グループ内のイベント量が総イベント量の約6分の1となるようにグループ化することにする。図5において、左のイベント(低周波数領域のイベント)からイベント量を順に加算していき、その量が総イベント量の6分の1以上となったところで1つのグループとする。このとき、例えばイベント量の最下位の桁は四捨五入するなどの処理を行う。
あるいは、左のイベントからイベント量を加算していき、その量が総イベント量の6分の1を超えたところで1つのグループとする。以上の方法により、1つ目のグループ化を行い、次のグループに関してはイベント量が残りのイベント量の約5分の1となるように、上述した方法と同様に2つ目のグループ化を行う。さらに次のグループに関しても同様に、イベント量が残りのイベント量の約4分の1となるように、3つ目のグループ化を行う。これを繰り返し行うことにより、イベントを6グループに分割する。なお、上述した方法は一例であり、各グループ内のイベント量がほぼ均等となるようにグループ化できれば、その方法は問わない。
続いて、ログ分析部104は各グループ内のイベントの総量に基づいて以下の分析を行う。ログ分析部104が行う分析としては、
(a)頻度分析
(b)比率分析
(c)稀率分析
が挙げられる。
頻度分析を行う場合、ログ分析部104は時間軸上の分布を周波数軸上に変換した分布(例えば図3)を分析結果として、あるいは時間軸上の分布を周波数軸上に変換した分布に対して静的グループ化を行い、各グループ内の頻度量(イベント総量)を頻度量順に並べたものを分析結果としてインタフェース部105へ出力する。分析結果はインタフェース部105からWebブラウザ301へ出力され、Webブラウザ301において図3のような周波数分布が表示されたり、時間/日/週/月/年ごとの頻度量がグラフあるいは数値によって頻度量順に表示されたりする。
比率分析においては、グループ化によって生成された複数のグループのうち、一つのグループに注目し、そのグループ内のイベント総量に基づいた分析を行う。注目したグループは元々、図2で示したように、所定期間のイベント量の平均に基づいて得られたものであり、この所定期間のデータに基づいて得られたイベント総量を短期プロファイルと定義する。また、過去の複数の所定期間について、上記と同様の操作によって得られた複数の短期プロファイルの平均を長期プロファイルと定義する。比率分析においては、短期プロファイルと長期プロファイルとの比率を異常値として評価する。図6は比率分析モデルの一例を示している。
図において、Eは過去の複数の所定期間において特定のグループについて得られたイベント総量(E〜El0)の平均を示す。短期プロファイルをEとすると、短期プロファイルに対する長期プロファイルの比率Dは[数2]のように表される。短期プロファイルは記憶部103に格納され、ログ分析部104は記憶部103から過去の複数の短期プロファイルを読み出して、長期プロファイルを作成する。あるいは、記憶部103に過去のログを複数格納するようにしておき、それらのログから長期プロファイルを作成するようにしてもよい。
Figure 2005151289
グループ化が静的グループ化によって行われる場合は、分割の際に、時間/日/週/月/年のような周波数単位で分割が行われ、分割の境界となる周波数は固定される。一方、グループ化が動的グループ化によって行われる場合は、上述した方法でそのままグループ化を行うと、分割の境界となる周波数が過去の複数の短期プロファイル間で異なる場合がある。そこで、グループ化を動的グループ化によって行う場合は、以下のとおりとする。
まず、長期プロファイルを求めるにあたっては、ログ分析部104は過去のある所定期間におけるデータから、上述した動的グループ化により、特定のグループのイベント総量を求める。続いて、ログ分析部104はその動的グループ化における分割形態(分割数やグループごとの分割の境界の周波数)を情報として記憶部103に格納する。ログ分析部104はこの分割形態に関する情報を記憶部103から読み出して参照しながら、過去の他の所定期間における周波数分布のグループ化を同じ分割形態で行う。そして、ログ分析部104はそれらの周波数分布のそれぞれについて、特定のグループのイベント総量を求め、それら複数のイベント総量の平均を算出し、長期プロファイルを求める。また、ログ分析部104は分析対象となる所定期間における周波数分布のグループ化を上記の分割形態に従って行い、短期プロファイルを求める。
次に、稀率分析においては、イベント総量の平均と標準偏差とを用いて、出力数が様々に変動するイベントの異常性を評価する。統計分析において、95%信頼区間という指標がよく利用されているが、ここでの稀率分析とは、この信頼区間の補集合を算出するものである。図7は所定期間における稀率分析モデルの一例を示している。Eは過去の複数のイベント総量の平均(長期プロファイル)であり、SDは標準偏差である。横軸は平均値Eからの距離を、標準偏差SDを単位として表し、縦軸は、イベント総量が横軸で示される値となったグループ数を表している。標準偏差SDは[数3]より求められる。短期プロファイルが長期プロファイルEよりも大きな場合の上側稀率Rを[数4]、小さな場合の下側稀率Rを[数5]のように定義する。E、E、・・・Eは過去の複数の所定期間において特定のグループについて得られたイベント総量である。
Figure 2005151289
Figure 2005151289
Figure 2005151289
[数4]および[数5]において、f(E)は正規分布の密度関数であり、以下の[数6]で表される。なお、上記の例においては、稀率計算のための攻撃の分布を正規分布と仮定しているが、f(E)として指数分布やガンマ分布などの関数を適宜選択してもよい。
Figure 2005151289
ログ分析部104は、上述した比率分析および稀率分析によって算出された異常値であるD、R、およびRを分析結果としてインタフェース部105へ出力する。分析結果はインタフェース部105からセキュリティオペレーションセンター30のWebブラウザ301へ出力され、Webブラウザ301において分析結果が表示される。ネットワークの運用者はD、R、およびRに関しての判断を以下のように行えばよい。
まず、D>1.0もしくはR≒0.0%の場合は、特定の周期性を持つ新たな攻撃がインターネット上に出回っていること、内部ホストが周期的にワームに感染していること、DDoS(Destributed Denial of Service)攻撃(攻撃者がインターネット上のセキュリティに弱い複数のWebサイトに侵入して攻撃拠点とし、複数の攻撃拠点に仕込んだプログラムを同時に動作させて、攻撃ターゲットのサーバに大量のパケットを送りつけ、サーバの機能を停止してしまう攻撃)などによる短期のイベント量が特定の周期で急増したことを示している。
また、D≒0.0もしくはR≒0.0%の場合は、周期的に出力され続けていたアラームが急に減少もしくは無くなるか、攻撃により機器が停止した状態である。また、D≒1.0もしくはR、R≒50.0%の場合は、普段から検知され続けているログを見分けることができる。これは、既に対策が施されている攻撃、もしくは誤検知されやすいイベントであり、特に注意する必要はない。ネットワークの運用者は、ログ分析装置10から出力されるD、R、およびR等の値に基づいて、上述した評価を行えばよい。
なお、上述した分析処理による結果の判断に関して、ネットワークの運用者は以下のようにしてネットワークの状態を判断してもよい。ウィルスやワームの中には特定の時期に活動するものがあり、そのようなものは周波数依存性を持っている。また、周波数依存性を持たないウィルスやワームであっても、ネットワーク上のコンピュータの周期的な動作(例えばON・OFFなど)によって活動に周期性が現れることがある。ウィルスやワームの活動(感染)日カレンダーがインターネットセキュリティを扱う会社などによって公開されており、その活動日を参照することにより、分析対象のネットワークに対する攻撃の種類を判断することができる。
上述した分析処理においては、分析対象のネットワークを固定し、短期プロファイルが長期プロファイルに対してどの程度異常であるかを評価する手法を示したが、以下のような分析処理を行うこともできる。すなわち、分析対象の期間を固定したときに、分析対象のネットワークで検知された特定のパラメータに関するイベントの周波数分布における特定のグループのイベント総量(自網プロファイルと定義する)が、他の複数のネットワークで検知された同じ特定のパラメータに関するイベントの周波数分布における特定のグループのイベント総量の平均(他網プロファイルと定義する)に対してどの程度異常であるかを評価する手法である。
例えば、比率分析において、分析対象のネットワークにおける自網プロファイルをEとし、このネットワークを含まない他の各ネットワークにおける他網プロファイルをEとすると、比率Dは以下の[数7]のように表される。同様にして、稀率分析における上側稀率および下側稀率を計算することができる。
Figure 2005151289
以上のように時間軸上の分布を周波数軸上の分布に変換し、頻度分析・比率分析・稀率分析を行うことにより、攻撃の周期性に着目したログ分析を行うことができる。また、周波数分布として得られたイベントのグループ化を行うことにより、計算対象となる変数の数を減らすことができるので、異常値の算出に要する時間を低減することができる。また、グループ化によってネットワーク全体のログの傾向を大きく捉えることができると共に、異常に関する誤検出の低減により、分析の信頼性を向上させることができる。
次に、ログ分析部104が分析処理において行う他の処理について説明する。各種のネットワーク機器から出力されるログの曖昧度(エントロピー)を評価することにより、ネットワークの異常を検出することができる。例えば、攻撃を受けていない通常の状態ではログの曖昧度は大きいが、DDoS攻撃を受けていたり、ウィルス感染が蔓延していたりする状態では、ログに出力されるイベントに偏りが発生するため、ログの曖昧度が小さくなる。したがって、ログの曖昧度を分析すれば、ネットワークの状態を把握することができる。
以下、エントロピーの算出によってネットワークの異常度を検出する手法について述べる。ログ分析部104は図5のようにグループ化された周波数軸上の分布における各周波数帯のイベント量からエントロピーを算出する。まず、総イベント量Eを[数8]により算出する(kは周波数帯の数)。そして、ある周波数帯におけるイベント量をeとし、各周波数帯の相対頻度を[数9]により算出する。そして、分析対象のパラメータのエントロピーを[数10]により算出する。
Figure 2005151289
Figure 2005151289
Figure 2005151289
ログ分析部104は同様に、複数の過去のイベントの周波数軸上の分布に基づいて、各分布ごとにエントロピーを算出し、前述した比率分析や稀率分析を行う。例えば、比率分析の場合、ログ分析部104は分析対象の所定期間における分布に基づいて求めたエントロピー(短期プロファイル)と、過去の複数の所定期間における分布に基づいて求めた複数のエントロピーの平均(長期プロファイル)との比を算出する。
また、稀率分析の場合、ログ分析部104は分析対象の所定期間における分布に基づいてエントロピー(短期プロファイル)を算出すると共に、複数の過去のイベントの周波数軸上の分布に基づいて各分布のエントロピーとそれらの標準偏差を算出する。そして、複数の過去のイベントの周波数軸上の分布に基づいて算出した各分布のエントロピーの確率分布を求め、その確率分布におけるエントロピー値が短期プロファイル以上となる上側稀率または短期プロファイル以下となる下側稀率を算出する。
エントロピーを算出してから比率分析あるいは稀率分析を行うことは以下の利点を有する。分析対象のパラメータにおける特定のイベント種別に注目して比率分析や稀率分析を行う場合、分析対象の一部の周波数(グループ)に関する詳細なデータを得ることができるが、全ての周波数に対して比率分析や稀率分析を行うには作業工数が掛かり、分析対象全体の概要を把握するには適していない。
一方、分析対象のイベントの周波数軸上の分布の全イベント量に基づいてエントロピーを算出し、比率分析や稀率分析を行う場合、分析対象全体にわたる曖昧度を示すエントロピーを使用するので、分析対象全体の概要を把握するのに適している。さらに、前述したイベントのグループ化を行うことにより、エントロピーの算出に用いられる変数の数を大幅に減らすことができるので、異常値の算出に要する時間を大幅に低減することができ、攻撃をリアルタイムに検知することができる。
また、イベントのグループ化において、前述した動的グループ化を行うことは以下の利点を有する。ログ分析部104は長期プロファイル(あるいは他網プロファイル)の算出において動的グループ化を行う。このとき、長期にわたる分析結果が平均化されることにより、長期プロファイルは曖昧度の高い状態となる。この状態でエントロピーを算出すると、エントロピーは高くなる。
続いて、ログ分析部104は長期プロファイルの算出に用いられた分割形態を用いてイベントをグループ化し、各グループ内のイベント総量に基づいてエントロピーを算出する。周期性を持った攻撃が短期的に(あるいは自網に対して)行われた場合、特定のグループ内のイベント総量が多くなるので、曖昧度の低い状態となる。この状態でエントロピーを算出すると、エントロピーは長期プロファイル(あるいは他網プロファイル)よりも小さくなるので、このエントロピー変化を、比率分析あるいは稀率分析を用いて検出することにより、ネットワークの異常度を客観的に評価することができる。
図8〜図12は上述した分析処理におけるログ分析部104の動作を示すフローチャートである。以下、フローチャートを用いて各場合のログ分析部104の動作を説明する。図8は前述した頻度分析を行う場合のログ分析部104の動作を示すフローチャートである。ログ分析部104は図2のステップS22で記憶部103から読み出したパラメータに関するイベントのイベント量に基づいて、イベントの時間軸上の分布を求め、その分布に対して離散フーリエ変換を行い、周波数軸上の分布を求め、この分布を分析結果として記憶部103に保存する(ステップS2301)。
図9はグループ化を行ってから頻度分析を行う場合のログ分析部104の動作を示すフローチャートである。ステップS2302の動作は図8のステップS2301の動作と同様である。続いて、ログ分析部104は所定の周波数ごとに、近隣の周波数帯に属するイベントをグループ化(静的グループ化)する(ステップS2303)。ログ分析部104は各グループ内の頻度量(イベント総量)を頻度量順に並べたものを分析結果として記憶部103に記憶する(ステップS2304)。
図10はグループ化を行い、比率分析または稀率分析を行う場合のログ分析部104の動作を示すフローチャートである。ステップS2305の動作は図8のステップS2301の動作と同様である。続いて、ログ分析部104は所定の周波数ごとにイベントをグループ化する(ステップS2306)。ログ分析部104は各グループ内のイベントの総量に基づいて比率分析または稀率分析を行い、分析結果を記憶部103に保存する(ステップS2307)。なお、ログ分析部104は比率分析と稀率分析の両方を行ってもよい。
図12はグループ化を行ってからエントロピーを算出し、求めたエントロピーに対して比率分析または稀率分析を行う場合のログ分析部104の動作を示すフローチャートである。ステップS2308〜ステップS2309の動作は図9のステップS2302〜ステップS2303の動作と同様である。ステップS2310においては、ログ分析部104は図5のような周波数軸上の分布における各周波数帯のイベント量に基づいてエントロピーを算出する。続いて、ログ分析部104は比率分析または稀率分析を行い、分析結果を記憶部103に保存する(ステップS2311)。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態におけるログ分析装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したログ分析プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したログ分析プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
この発明の一実施形態によるログ分析装置10を備えたネットワークの構成を示す構成図である。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。 同実施形態においてイベント量を時間軸上で表したグラフである。 同実施形態においてイベント量を周波数軸上で表したグラフである。 同実施形態において周波数軸上の分布をグループ化した例を示すグラフである。 同実施形態における比率分析モデルを示す図である。 同実施形態における稀率分析モデルを示す図である。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。 同実施形態におけるログ分析装置10の動作を示すフローチャートである。
符号の説明
10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・Webブラウザ。

Claims (29)

  1. ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、
    前記ネットワーク機器から出力されるログを収集する収集手段と、
    前記収集手段によって収集された前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換する第1の変換手段と、
    を具備することを特徴とするログ分析装置。
  2. 前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、
    前記グループ化手段によってグループ化された前記周波数軸上の分布を、各イベントが該イベントの量順に並んだ分布に変換する第2の変換手段と、
    をさらに具備することを特徴とする請求項1に記載のログ分析装置。
  3. 前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、
    前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段と、
    をさらに具備することを特徴とする請求項1に記載のログ分析装置。
  4. 前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、
    前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するエントロピー算出手段と、
    前記エントロピー算出手段によって算出された前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段と、
    をさらに具備することを特徴とする請求項1に記載のログ分析装置。
  5. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記異常値算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1の値と、前記グループ化手段によってグループ化された過去の所定期間における複数の前記分布に関する第2の値との比率を算出する
    ことを特徴とする請求項3に記載のログ分析装置。
  6. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する複数の第2の分布とであり、
    前記異常値算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1の値と、前記グループ化手段によってグループ化された前記複数の第2の分布に関する第2の値との比率を算出する
    ことを特徴とする請求項3に記載のログ分析装置。
  7. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記異常値算出手段は、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布のイベントの量に基づいて確率分布を求め、前記グループ化手段によってグループ化された特定の所定期間における前記分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項3に記載のログ分析装置。
  8. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
    前記異常値算出手段は、前記グループ化手段によってグループ化された前記第2の分布のイベントの量に基づいて確率分布を求め、前記グループ化手段によってグループ化された前記第1の分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項3に記載のログ分析装置。
  9. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記異常値算出手段は、前記エントロピー算出手段によって算出された特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出する
    ことを特徴とする請求項4に記載のログ分析装置。
  10. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
    前記異常値算出手段は、前記エントロピー算出手段によって算出された前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出する
    ことを特徴とする請求項4に記載のログ分析装置。
  11. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記エントロピー算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、
    前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項4に記載のログ分析装置。
  12. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他のネットワークのイベントに関する第2の分布とであり、
    前記エントロピー算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された前記第2の分布に関する第2のエントロピー値とを算出し、
    前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項4に記載のログ分析装置。
  13. 前記グループ化手段は、前記第1の変換手段によって生成された前記周波数軸上の分布を、所定の周波数ごとに複数のグループに分割することを特徴とする請求項1〜請求項12のいずれかの項に記載のログ分析装置。
  14. 前記グループ化手段は、前記第1の変換手段によって生成された前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化することを特徴とする請求項3〜請求項12のいずれかの項に記載のログ分析装置。
  15. ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、
    前記ネットワーク機器から出力されるログを収集するステップと、
    収集した前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換するステップと、
    をコンピュータに実行させるためのログ分析プログラム。
  16. 前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、
    グループ化した前記周波数軸上の分布を、各イベントが該イベントの量順にならんだ分布に変換するステップと、
    をさらに具備することを特徴とする請求項15に記載のログ分析プログラム。
  17. 前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、
    グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップと、
    をさらに具備することを特徴とする請求項15に記載のログ分析プログラム。
  18. 前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、
    グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップと、
    算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップと、
    をさらに具備することを特徴とする請求項15に記載のログ分析プログラム。
  19. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1の値と、グループ化した過去の所定期間における複数の前記分布に関する第2の値との比率を算出する
    ことを特徴とする請求項17に記載のログ分析プログラム。
  20. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
    前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した前記第1の分布に関する第1の値と、グループ化した前記第2の分布に関する第2の値との比率を算出する
    ことを特徴とする請求項17に記載のログ分析プログラム。
  21. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した過去の所定期間に関する複数の前記分布のイベントの量に基づいて確率分布を求め、グループ化した特定の所定期間における前記分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項17に記載のログ分析プログラム。
  22. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
    前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した前記第2の分布のイベントの量に基づいて確率分布を求め、グループ化した前記第1の分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項17に記載のログ分析プログラム。
  23. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出する
    ことを特徴とする請求項18に記載のログ分析プログラム。
  24. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
    前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出する
    ことを特徴とする請求項18に記載のログ分析プログラム。
  25. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
    前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1のエントロピー値と、グループ化した過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、
    前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項18に記載のログ分析プログラム。
  26. 前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
    前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した前記第1の分布に関する第1のエントロピー値と、グループ化した前記第2の分布に関する第2のエントロピー値とを算出し、
    前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
    ことを特徴とする請求項18に記載のログ分析プログラム。
  27. 前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップにおいては、前記周波数軸上の分布を、所定の周波数ごとに複数のグループに分割することを特徴とする請求項15〜請求項26のいずれかの項に記載のログ分析プログラム。
  28. 前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップにおいては、前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化することを特徴とする請求項17〜請求項26のいずれかの項に記載のログ分析プログラム。
  29. 請求項15〜請求項28のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。

JP2003387709A 2003-11-18 2003-11-18 ログ分析装置およびログ分析プログラム Expired - Fee Related JP4060263B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003387709A JP4060263B2 (ja) 2003-11-18 2003-11-18 ログ分析装置およびログ分析プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003387709A JP4060263B2 (ja) 2003-11-18 2003-11-18 ログ分析装置およびログ分析プログラム

Publications (2)

Publication Number Publication Date
JP2005151289A true JP2005151289A (ja) 2005-06-09
JP4060263B2 JP4060263B2 (ja) 2008-03-12

Family

ID=34694989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003387709A Expired - Fee Related JP4060263B2 (ja) 2003-11-18 2003-11-18 ログ分析装置およびログ分析プログラム

Country Status (1)

Country Link
JP (1) JP4060263B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006319633A (ja) * 2005-05-12 2006-11-24 Hitachi Ltd ログ分析システム、分析方法及びログ分析装置
JP2007243338A (ja) * 2006-03-06 2007-09-20 Kddi R & D Laboratories Inc ログ分析装置、ログ分析プログラム、および記録媒体
JP2008176752A (ja) * 2007-01-22 2008-07-31 National Institute Of Information & Communication Technology 系列データ間の類似性検査方法及び装置
JP2009171431A (ja) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
KR101665369B1 (ko) * 2015-06-10 2016-10-12 고려대학교 산학협력단 Dns 트래픽을 통하여 봇넷을 검출하는 방법, 장치 및 컴퓨터 판독가능 기록매체
WO2017115458A1 (ja) * 2015-12-28 2017-07-06 日本電気株式会社 ログ分析システム、方法およびプログラム
WO2017145526A1 (ja) * 2016-02-22 2017-08-31 株式会社日立製作所 通信制御装置および通信制御方法
US9916445B2 (en) 2014-02-26 2018-03-13 Mitsubishi Electric Corporation Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
JP2019070995A (ja) * 2017-10-11 2019-05-09 村上 真梨 検出方法、検出プログラムおよび検出装置
JP2022050617A (ja) * 2017-10-11 2022-03-30 村上 真梨 検出方法、検出プログラムおよび検出装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005038116A (ja) * 2003-07-18 2005-02-10 Hitachi Ltd 不正侵入分析装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005038116A (ja) * 2003-07-18 2005-02-10 Hitachi Ltd 不正侵入分析装置

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
宮本 貴朗 他: "ネットワーク・サーバ運用監視支援システム", システム制御情報学会論文誌(システム/制御/情報 第46巻 第6号), vol. 第15巻,第6号, CSNG200301482001, 15 June 2002 (2002-06-15), pages 1 - 9, ISSN: 0000858382 *
宮本 貴朗 他: "ネットワーク・サーバ運用監視支援システム", システム制御情報学会論文誌(システム/制御/情報 第46巻 第6号), vol. 第15巻,第6号, JPN6007011897, 15 June 2002 (2002-06-15), pages 1 - 9, ISSN: 0000940828 *
小泉芳 他: "情報エントロピーを用いたネットワーク侵入検知システムログ解析手法の提案", コンピュータセキュリティシンポジウム2003 情報処理学会シンポジウムシリーズ, vol. 第2003巻,第15号, CSNG200500084086, 29 October 2003 (2003-10-29), pages 653 - 658, ISSN: 0000858385 *
小泉芳 他: "情報エントロピーを用いたネットワーク侵入検知システムログ解析手法の提案", コンピュータセキュリティシンポジウム2003 情報処理学会シンポジウムシリーズ, vol. 第2003巻,第15号, JPN6007011900, 29 October 2003 (2003-10-29), pages 653 - 658, ISSN: 0000940831 *
竹森敬祐 他: "2003-CSEC-21(11) IDSログ分析支援システムの提案", 情報処理学会研究報告, vol. 第2003巻,第45号, CSNG200401459010, 16 May 2003 (2003-05-16), pages 65 - 70, ISSN: 0000858383 *
竹森敬祐 他: "2003-CSEC-21(11) IDSログ分析支援システムの提案", 情報処理学会研究報告, vol. 第2003巻,第45号, JPN6007011898, 16 May 2003 (2003-05-16), pages 65 - 70, ISSN: 0000940829 *
竹森敬祐 他: "セキュリティデバイスログ分析支援システムの広域監視への適用", コンピュータセキュリティシンポジウム2003 情報処理学会シンポジウムシリーズ, vol. 第2003巻,第15号, CSNG200500084049, 29 October 2003 (2003-10-29), pages 397 - 402, ISSN: 0000858384 *
竹森敬祐 他: "セキュリティデバイスログ分析支援システムの広域監視への適用", コンピュータセキュリティシンポジウム2003 情報処理学会シンポジウムシリーズ, vol. 第2003巻,第15号, JPN6007011899, 29 October 2003 (2003-10-29), pages 397 - 402, ISSN: 0000940830 *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006319633A (ja) * 2005-05-12 2006-11-24 Hitachi Ltd ログ分析システム、分析方法及びログ分析装置
JP4523480B2 (ja) * 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP2007243338A (ja) * 2006-03-06 2007-09-20 Kddi R & D Laboratories Inc ログ分析装置、ログ分析プログラム、および記録媒体
JP4558668B2 (ja) * 2006-03-06 2010-10-06 株式会社Kddi研究所 ログ分析装置、ログ分析プログラム、および記録媒体
JP2008176752A (ja) * 2007-01-22 2008-07-31 National Institute Of Information & Communication Technology 系列データ間の類似性検査方法及び装置
JP2009171431A (ja) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US9916445B2 (en) 2014-02-26 2018-03-13 Mitsubishi Electric Corporation Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
KR101665369B1 (ko) * 2015-06-10 2016-10-12 고려대학교 산학협력단 Dns 트래픽을 통하여 봇넷을 검출하는 방법, 장치 및 컴퓨터 판독가능 기록매체
WO2017115458A1 (ja) * 2015-12-28 2017-07-06 日本電気株式会社 ログ分析システム、方法およびプログラム
JPWO2017115458A1 (ja) * 2015-12-28 2018-10-18 日本電気株式会社 ログ分析システム、方法およびプログラム
US11221904B2 (en) 2015-12-28 2022-01-11 Nec Corporation Log analysis system, log analysis method, and log analysis program
WO2017145526A1 (ja) * 2016-02-22 2017-08-31 株式会社日立製作所 通信制御装置および通信制御方法
JP2019070995A (ja) * 2017-10-11 2019-05-09 村上 真梨 検出方法、検出プログラムおよび検出装置
JP2022050617A (ja) * 2017-10-11 2022-03-30 村上 真梨 検出方法、検出プログラムおよび検出装置
JP7301181B2 (ja) 2017-10-11 2023-06-30 村上 真梨 検出方法、検出プログラムおよび検出装置

Also Published As

Publication number Publication date
JP4060263B2 (ja) 2008-03-12

Similar Documents

Publication Publication Date Title
EP2227889B1 (en) Method of detecting anomalies in a communication system using symbolic packet features
US8191149B2 (en) System and method for predicting cyber threat
US11895145B2 (en) Systems and methods for automatically selecting an access control entity to mitigate attack traffic
US20040250169A1 (en) IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program
JP2018533897A5 (ja)
JP4156540B2 (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
CA2649047A1 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
CN107404465A (zh) 网络数据分析方法及服务器
CN102340485A (zh) 基于信息关联的网络安全态势感知系统及其方法
JP4558668B2 (ja) ログ分析装置、ログ分析プログラム、および記録媒体
Vaarandi et al. Using security logs for collecting and reporting technical security metrics
JP4060263B2 (ja) ログ分析装置およびログ分析プログラム
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
JP4500921B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
CN112118261A (zh) 会话违规访问检测方法及装置
JP4160002B2 (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
KR100625096B1 (ko) 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
EP3826242B1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
CN115296904B (zh) 域名反射攻击检测方法及装置、电子设备、存储介质
JP4188203B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
JP2005128946A (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
Ahmed et al. Characterising anomalous events using change-Point correlation on unsolicited network traffic
CN115514556A (zh) 基于内网流量的入侵检测与防御方法、装置、设备及介质
Mowbray Network Worm Detection using Markov's and Cantelli's Inequalities

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070725

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071010

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071010

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071211

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071219

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4060263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131228

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees