JP2005235134A - アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム - Google Patents
アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム Download PDFInfo
- Publication number
- JP2005235134A JP2005235134A JP2004047058A JP2004047058A JP2005235134A JP 2005235134 A JP2005235134 A JP 2005235134A JP 2004047058 A JP2004047058 A JP 2004047058A JP 2004047058 A JP2004047058 A JP 2004047058A JP 2005235134 A JP2005235134 A JP 2005235134A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access log
- data processing
- processing
- format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】
ネットワークに設置されたセキュリティ対策装置から出力されるアクセスログに対して、異なる複数の情報処理が必要な場合に、入力されたアクセスログに対応した適切な情報処理が実行でき、実行された情報処理結果を任意のタイミングで参照できるアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供する。
【解決手段】
データ形式が異なるアクセスログデータのデータ処理を実行するアクセスログ処理装置において、前記アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部と、前記複数のデータ処理部の各々は、異なる処理規則に対応してデータ処理を実行し、データ処理実行規則を格納する記憶部と、前記アクセスログデータの処理手順を決定するデータ処理管理部とを具備える。そして、前記データ処理管理部は、前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定する。
【選択図】 図2
ネットワークに設置されたセキュリティ対策装置から出力されるアクセスログに対して、異なる複数の情報処理が必要な場合に、入力されたアクセスログに対応した適切な情報処理が実行でき、実行された情報処理結果を任意のタイミングで参照できるアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供する。
【解決手段】
データ形式が異なるアクセスログデータのデータ処理を実行するアクセスログ処理装置において、前記アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部と、前記複数のデータ処理部の各々は、異なる処理規則に対応してデータ処理を実行し、データ処理実行規則を格納する記憶部と、前記アクセスログデータの処理手順を決定するデータ処理管理部とを具備える。そして、前記データ処理管理部は、前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定する。
【選択図】 図2
Description
本発明は、アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラムに関し、特にネットワークに接続されたセキュリティ対策装置から出力されるアクセスログを解析する技術に関する。
情報通信技術の進歩によって、ネットワーク上の不正アクセス方法や、ネットワークに接続された端末に対する攻撃方法もいろいろなものが登場し、それに伴って、ファイアウォールやIDSも、その新たな不正アクセス等を検出する様々な装置やソフトウェアが市場に流通されている。
従来のファイアウォールやIDS(Intrusion Detection System:侵入検知システム)には、攻撃やアクセスの情報であるアクセスログ(通信記録)が蓄積される。そのようなファイアウォールやIDSのアクセスログを解析処理する部分は、本体部分とは分離されており、アクセスログの解析は、別途外部にログを出力して解析ツールによりその傾向分析を行われるという技術が知られている(例えば、特許文献1参照)。そのよう外部システムによるアクセスログの解析は、日時単位で実行される。アクセスログの解析が固定期間を単位として行われるため、統計処理に用いるデータの提供に適している。
ファイアウォールやIDSを複数備えたシステムにおいて、そのような複数のセキュリティ対策装置から出力されるアクセスログを適切に解析できるアクセスログ解析装置が望まれる。
本発明が解決しようとする課題は、ネットワークに設置されたセキュリティ対策装置から出力されるアクセスログに対して、その複数のアクセスログに対応した異なる複数の情報処理が必要な場合に、入力されたアクセスログの各々に対して適切な情報処理が実行でき、実行された情報処理結果を任意のタイミングで参照できるアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供することにある。
さらに、本発明が解決しようとする他の課題は、ファイアウォールやIDSなどのセキュリティ対策装置から出力されたアクセスログについて、ログの出力の時点で解析と統計情報の計算を行い、不正なアクセスを検出した場合に、検出直前までの統計情報や解析情報を参照出来るアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供することにある。
さらに、本発明が解決しようとする他の課題は、複数の異なるセキュリティ装置から受信した、連続するログのシーケンスを、逐次検査する処理モジュールを備え、単純なログのパターン一致による外部処理の起動以外に、複雑な一連の処理の実行結果を元に、外部の処理を行うべきかどうかを判断できるアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供することにある。
さらに、本発明が解決しようとする他の課題は、一旦セキュリティ対策装置から出力されてしまったログの表示形式を、中間形式に変更して処理を実行し、その中間形式からさらに最終的に出力する形式に変更してアクセスログを出力することで、セキュリティ対策装置から出力されてしまったログの表示形式に縛られること無く、アクセスログに対応した任意の出力形式を選択できるアクセスログ解析装置、アクセスログ解析プログラム及びアクセスログ解析方法を提供することにある。
以下に、[発明を実施するための最良の形態]で使用される番号を用いて、課題を解決するための手段を説明する。これらの番号は、[特許請求の範囲]の記載と[発明を実施するための最良の形態]との対応関係を明らかにするために付加されたものである。ただし、それらの番号を、[特許請求の範囲]に記載されている発明の技術的範囲の解釈に用いてはならない。
データ形式が異なるアクセスログデータのデータ処理を実行するアクセスログ処理装置(2)において、
前記アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部(25、27〜29、32、33、37)と、前記複数のデータ処理部(25、27〜29、32、33、37)の各々は、独立したモジュールで構成され、異なる処理規則に対応してデータ処理を実行するものであり、さらにデータ処理実行規則(50)を格納する記憶部(3)と、前記アクセスログデータの処理手順を決定することによって、前記処理手順を確定するデータ処理管理部(11)とを具備し、
前記データ処理管理部(11)は、前記データ処理実行規則(50)に基づいて前記複数のデータ処理部(25、27〜29、32、33、37)の各々の配列を決定するアクセスログ処理装置(2)を使用してセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、モジュール化されたデータ処理部を自由に配列したアクセスログ解析装置を構成することが可能になり、データ処理を行う場合の手順を任意に変更することができる。
前記アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部(25、27〜29、32、33、37)と、前記複数のデータ処理部(25、27〜29、32、33、37)の各々は、独立したモジュールで構成され、異なる処理規則に対応してデータ処理を実行するものであり、さらにデータ処理実行規則(50)を格納する記憶部(3)と、前記アクセスログデータの処理手順を決定することによって、前記処理手順を確定するデータ処理管理部(11)とを具備し、
前記データ処理管理部(11)は、前記データ処理実行規則(50)に基づいて前記複数のデータ処理部(25、27〜29、32、33、37)の各々の配列を決定するアクセスログ処理装置(2)を使用してセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、モジュール化されたデータ処理部を自由に配列したアクセスログ解析装置を構成することが可能になり、データ処理を行う場合の手順を任意に変更することができる。
そのアクセスログ処理装置(2)において、前記データ処理実行規則(50)は、データ振分け情報と、データ処理実行順序情報とを含み、前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、前記データ処理順序情報は、前記複数のデータ処理部(25、27〜29、32、33、37)の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報であるアクセスログ処理装置(2)を使用してセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、入力されたデータに対応したデータ処理部を指定することが可能になる。、また、あるデータ処理部から出力された処理済データをさらに別のデータ処理部で処理を実行させることができる。
そのアクセスログ処理装置(2)において、前記複数のデータ処理部(25、27〜29、32、33、37)の少なくとも一つは、データ形式変換処理を実行するデータ形式変換部(25)であり、前記データ形式変換部(25)は、前記アクセスログデータを逐次入力され、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成し、前記形式変換済データを前記記憶部(3)に格納するアクセスログ処理装置(2)を使用してセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、複数の異なるセキュリティ対策装置から出力されたデータであっても、データ形式に制限されること無く適切なデータ処理を行うことが可能になる。
そのアクセスログ処理装置(2)において、前記複数のデータ処理部(25、27〜29、32、33、37)の少なくとも一つは、統計処理を実行する統計処理部(29)であり、前記統計処理部(29)は、前記複数のデータ処理部(25、27〜29、32、33、37)の少なくとも一つから出力された異常なアクセスに関する情報に基づいて、前記アクセスログデータの統計処理結果を出力するアクセスログ処理装置(2)を使用して、セキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、予め決められた期間の統計データではなく、異常なアクセス(不正侵入や、攻撃など)が発生した時点での統計データを知ることが可能になる。
そのアクセスログ処理装置(2)において、前記複数のデータ処理部(25、27〜29、32、33、37)の少なくとも一つは、外部プログラムの起動を実行する外部プログラム起動部(32)であり、前記外部プログラム起動部(32)は、前記複数のデータ処理部(25、27〜29、32、33、37)の少なくとも一つから出力された、データ処理済のアクセスログデータが入力され、前記データ処理済のアクセスログデータの入力に応答して、前記外部プログラムを起動するアクセスログ処理装置(2)を使用して、セキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。これによって、外部プログラムとの連係が可能になり、より信頼性の高いアクセスログ解析の実行が可能になる。
そのアクセスログ装置(2)において、前記複数のデータ処理部(25、27〜29、32、33、37)の少なくとも一つは、入力されたアクセスログデータの関連性を判別するための関連性情報を備えた連続ログデータ処理部であり、前記連続ログデータ処理部には、前記アクセスログデータが逐次入力され、前記連続ログデータ処理部は、入力された前記アクセスログデータの順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するアクセスログ処理装置(2)を使用して、セキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログ処理装置(2)において、前記データ処理管理部(11)は、前記データ処理実行規則(50)に基づいて、前記アクセスログデータを処理する複数のデータ処理機能ブロックを生成し、前記データ処理機能ブロックは直列に構成され、前記データ処理機能ブロックの各々は、少なくとも一つの前記データ処理部を含み、前記複数のデータ処理機能ブロックの第1ブロックは、前記データ形式変換部(25)を含むアクセスログ処理装置(2)を使用して、セキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
データ処理実行規則(50)を読み出すステップと、前記データ処理実行規則(50)に基づいて前記複数のデータ処理部(25、27〜29、32、33、37)の各々の配列を決定するステップと、アクセスログデータが入力され、前記アクセスログデータのデータ処理を異なる処理規則に対応して実行するステップと、前記配列に基づいて前記アクセスログデータの処理手順を決定するステップを具備する方法をコンピュータで実行可能なプログラムによって、セキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのプログラムにおいて、前記データ処理実行規則(50)は、データ振分け情報と、データ処理実行順序情報とを含み、前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、前記データ処理順序情報は、前記複数のデータ処理部(25、27〜29、32、33、37)の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報であるコンピュータで実行可能なプログラムによってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのプログラムにおいて、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップと、生成された前記形式変換済データを前記記憶部(3)に格納するステップを具備する方法をコンピュータで実行可能なプログラムによってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのプログラムにおいて、異常なアクセスに関する情報を出力するステップと、前記情報にに基づいて、前記アクセスログデータの統計処理結果を出力するステップを具備する方法をコンピュータで実行可能なプログラムによってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのプログラムにおいて、データ処理済のアクセスログデータを外部プログラムで処理するべきかどうか判断するステップと、前記データ処理済のアクセスログデータが、前記外部プログラムで処理するべきものであった場合、前記外部プログラムを起動するステップを具備する方法をコンピュータで実行可能なプログラムによってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのプログラムにおいて、アクセスログデータが逐次入力され、入力された前記アクセスログデータの順列または組合せを判別するステップと、前記順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するステップを具備する方法をコンピュータで実行可能なプログラムによってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのプログラムにおいて、前記データ処理実行規則(50)に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成するステップと、前記複数のデータ処理機能ブロックの第1ブロックによって、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップを具備する方法をコンピュータで実行可能なプログラムによってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
データ処理実行規則(50)を読み出すステップと、前記データ処理実行規則(50)に基づいて前記複数のデータ処理部(25、27〜29、32、33、37)の各々の配列を決定するステップと、アクセスログデータが入力され、前記アクセスログデータのデータ処理を異なる処理規則に対応して実行するステップと、前記配列に基づいて前記アクセスログデータの処理手順を決定するステップを具備するアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログデータ処理方法において、前記データ処理実行規則(50)は、データ振分け情報と、データ処理実行順序情報とを含み、前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、前記データ処理順序情報は、前記複数のデータ処理部(25、27〜29、32、33、37)の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報であるアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログデータ処理方法において、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップと、生成された前記形式変換済データを前記記憶部(3)に格納するステップを具備するアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログデータ処理方法において、異常なアクセスに関する情報を出力するステップと、前記情報にに基づいて、前記アクセスログデータの統計処理結果を出力するステップを具備するアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログデータ処理方法において、データ処理済のアクセスログデータを外部プログラムで処理するべきかどうか判断するステップと、前記データ処理済のアクセスログデータが、前記外部プログラムで処理するべきものであった場合、前記外部プログラムを起動するステップを具備するアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログデータ処理方法において、アクセスログデータが逐次入力され、入力された前記アクセスログデータの順列または組合せを判別するステップと、前記順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するステップを具備するアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
そのアクセスログデータ処理方法において、前記データ処理実行規則(50)に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成するステップと、前記複数のデータ処理機能ブロックの第1ブロックによって、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップを具備するアクセスログデータ処理方法によってセキュリティ対策装置(5〜7)から出力されるアクセスログの解析を行う。
本発明によれば、ファイアウォールやIDSなどのセキュリティ対策装置から出力されたアクセスログについて、ログの出力の時点で解析と統計情報の計算を行うため、不正なアクセスを検出した場合に、検出直前までの統計情報や解析情報を参照出来る効果がある。
さらに、本発明によれば、複数の異なるセキュリティ装置から受信した、連続するログのシーケンスを、逐次検査する処理モジュールを組み込む事が可能であるため、単純なログのパターン一致による外部処理の起動以外に、複雑な一連の処理の実行結果を元に、外部の処理を行うべきかどうかを判断できる効果がある。
さらに、本発明によれば、一旦セキュリティ対策装置から出力されてしまったログの表示形式を、中間形式に変更して処理を実行し、その中間形式からさらに最終的に出力する形式に変更してアクセスログを出力するため、セキュリティ対策装置から出力されてしまったログの表示形式に縛られること無く、アクセスログに対応した任意の出力形式を選択できる効果がある。
以下に図面を使用して本発明を実施の形態について述べる。本発明のアクセスログ解析装置は、バッチ処理やトランザクションプログラムの動作ログを監視し、エラーが発生するまでのシーケンスをチェックして、別途対処が必要なものか、そうでないかを自動判定する様々な装置に適用可能である。また障害発生シーケンス毎に、個別の自動復旧処理を組み込むといった用途にも適用出来る。以下では、本発明をファイアウォール等のセキュリティ対策装置に適用した場合の実施の形態を例に説明を行う。
[実施の構成]
図1は、本発明の実施の形態におけるアクセスログ処理装置を備えるコンピュータ1を含むネットワークシステムの構成を示すブロック図である。図1を参照すると、そのネットワークシステムは、コンピュータ1と、そのコンピュータ1に接続または内蔵されるファイアウォール5、IDS6及びログ出力プログラム7と、そのファイアウォール5、IDS6及びログ出力プログラム7の各々に接続されるネットワーク8と、コンピュータ1に接続される表示部9とで構成される。図1に示されるファイアウォール5、IDS6及びログ出力プログラム7は、並列の接続され各々が直接コンピュータ1と接続しているが、この構成は本実施の形態におけるセキュリティ対策装置の接続関係を限定しない。本実施の形態のアクセスログ処理は、異なる種類のセキュリティ対策装置を直列に接続した場合でも実行可能である。また、本実施の形態におけるセキュリティ対策装置は、ファイアウォール5、IDS6及びログ出力プログラム7のみに限定されない。
図1は、本発明の実施の形態におけるアクセスログ処理装置を備えるコンピュータ1を含むネットワークシステムの構成を示すブロック図である。図1を参照すると、そのネットワークシステムは、コンピュータ1と、そのコンピュータ1に接続または内蔵されるファイアウォール5、IDS6及びログ出力プログラム7と、そのファイアウォール5、IDS6及びログ出力プログラム7の各々に接続されるネットワーク8と、コンピュータ1に接続される表示部9とで構成される。図1に示されるファイアウォール5、IDS6及びログ出力プログラム7は、並列の接続され各々が直接コンピュータ1と接続しているが、この構成は本実施の形態におけるセキュリティ対策装置の接続関係を限定しない。本実施の形態のアクセスログ処理は、異なる種類のセキュリティ対策装置を直列に接続した場合でも実行可能である。また、本実施の形態におけるセキュリティ対策装置は、ファイアウォール5、IDS6及びログ出力プログラム7のみに限定されない。
コンピュータ1は、プログラムによって入力された情報を処理する情報処理端末である。コンピュータ1は、ファイアウォール5、IDS6及びログ出力プログラム7の少なくとも一つを介してネットワーク8に接続され、ネットワーク8を介して送信された情報を受信する。コンピュータ1は更に、アクセスログデータ処理部2と、記憶部3と、CPU4と、ファイアウォール5と、通信用インターフェース12とを備え、アクセスログデータ処理部2はデータ処理実行部10と、フロー管理部11とを含む。
ファイアウォール5は、コンピュータ1とネットワーク8との間に設置された、ネットワーク上の不正アクセスや不正侵入を防止するセキュリティ対策装置である。ファイアウォール5はファイアウォールログファイル生成部5aを備え、ネットワーク8に接続された外部端末(図示されず)から送信された、コンピュータ1に対するアクセス要求を受信する。ファイアウォールログファイル生成部5aは、アクセス要求を受信する毎に、そのアクセス要求を送信した送信元や、どのような種類のアクセス要求が発生したのかなどの記録(以下、ファイアウォールログと呼ぶ。)を含むファイアウォールログファイルを生成し、そのファイアウォールログファイルをコンピュータ1に出力する。
IDS6は、コンピュータ1とネットワーク8との間に設置されたセキュリティ対策装置である。IDS6はIDSログファイル生成部6aを備え、コンピュータやネットワークへの不正侵入や攻撃の検出を行う。IDSログファイル生成部6aは、コンピュータ1に対する接続要求が発生する毎に、その接続要求が適正かどうかを監視し、不正な接続要求を検出した場合、その検出した不正侵入や攻撃の関する記録(以下、IDSログと呼ぶ)を含むIDSログファイルを生成し、そのIDSログファイルをコンピュータ1に出力する。
ログ出力プログラム7は、コンピュータ1とネットワーク8との間に設置されたネットワークの監視を行うセキュリティ対策プログラムである。ログ出力プログラム7はログデータ生成部7aを備え、ネットワークを監視することによって発生したコンピュータ1への接続に関する記録(以下、ログデータと呼ぶ)を生成する。ログデータ生成部7aはそのログデータをコンピュータ1に送信する。
ネットワーク8は、インターネットに代表される情報通信ネットワークである。通信回路や通信ケーブルを使用して複数のコンピュータ(図示されず)同士が接続され、データの送受信やリソースの共有を行うことが可能である。
表示部9は、コンピュータ1から出力された情報を表示する情報表示機能ブロックである。例えば、コンピュータ1から出力された情報が画面表示用データの場合、表示部9は液晶ディスプレイなどの情報表示装置に対応する。また、コンピュータ1から出力された情報が印刷用データの場合、表示部9は印刷装置に対応する。
上述のコンピュータ1が備える、アクセスログデータ処理部2、記憶部3、CPU4および通信用インターフェース12に関して以下に説明を行う。図1に示されるように、アクセスログデータ処理部2、記憶部3、CPU4および通信用インターフェース12の各々はバスを介して互いに接続する。また、アクセスログデータ処理部2はデータ処理実行部10と、フロー管理部11とを含み、それらは互いに接続されている。
アクセスログデータ処理部2はファイアウォール5、IDS6およびログ出力プログラム7の少なくとも一つから送信されたアクセスログ(ファイアウォールログ、IDSログまたはログデータ)の解析処理を行う情報処理機能ブロックである。アクセスログデータ処理部2に備えられたデータ処理実行部10はアクセスログの解析を実行する解析実行機能ブロッである。フロー管理部11は、データ処理実行部10が実行するアクセスログの解析動作を制御する制御機能ブロックである。データ処理実行部10およびフロー管理部11に関する詳しい説明は後で説明する。
記憶部3は、コンピュータ1に備えられた情報記憶機能ブロックである。記憶部3は、磁気記憶装置や半導体記憶装置に情報を格納することで情報の記憶を行う。記憶部3に格納される情報は、例えば、コンピュータ1を動作させるためのプログラムや、フロー管理部11がデータ処理実行部10の制御を行う為に使用する設定ファイル、アクセスログデータ処理部2から出力された処理結果のデータである。CPU4は、コンピュータ1内部に備えられた各種装置(図示されず)の制御やデータの処理を実行する演算処理機能ブロックである。CPU4は入力装置などから受け取ったデータを解釈して演算を実行し、その演算結果を出力する。通信用インターフェース12は、コンピュータ1とネットワーク8とを接続する接続機能ブロックである。NIC(Network Interface Card)などと同様の機能を有し、ファイアウォール5、IDS6及びログ出力プログラム7の少なくとも一つと接続する。
図2は、記憶部3とデータ処理実行部10との構成を詳細に示すブロック図である。図2を参照すると、記憶部3は設定ファイル50と中間形式蓄積ログファイル40と統計情報蓄積ファイル60とを格納する。設定ファイル50は、外部に設置されたセキュリティ対策装置(5〜7)から入力されたアクセスログの処理手順を決定するために使用される設定ファイルである。設定ファイル50の詳細に関しては後で説明する。また、図2に示されるデータ処理実行部10は、設定ファイル50の設定によりデータ処理機能ブロックが3段階に構成される場合の例であるが、これは本実施の形態におけるデータ処理機能ブロックの構成を限定するものではない。
中間形式蓄積ログファイル40は、データ処理実行部10の中間形式変換/ログ蓄積処理部25から出力された処理結果が記録されたログファイルである。中間形式蓄積ログファイル40には、中間形式変換/ログ蓄積処理部25から時系列(中間形式変換/ログ蓄積処理部25が第1内部キュー24からデータを受け取った順番)で出力された中間形式データ(データフォーマットを中間形式に変換されたアクセスログ)が記録されて記憶部3に格納される。統計情報蓄積ファイル60は、データ処理実行部10の統計処理部29から出力された処理結果が記録されたログファイルである。統計情報蓄積ファイル60には、統計処理部29から出力された統計情報が格納される。
データ処理実行部10は、複数のセキュリティ対策装置の各々から送信されたアクセスログを受信する読込部(21〜23)を備える。図2には、ファイアウォールログ読込部21と、IDSログ読込部22と、ライブラリ出力読込部23とを備えるデータ処理実行部10に構成を示すが、これは本実施の形態におけるアクセスログ読込部の数を限定するものではない。データ処理実行部10は更に、データを格納する機能を有する第1〜第3内部キュー(24、30、35)と、入力されたデータを所定の規則にしたがって振分けて出力する第1〜第3ディスパッチャ(26、31、36)と、モジュール化された複数のデータ処理モジュール(25、27、28、29、32、33、37)とを備える。
データ処理実行部10は、内部キューと処理モジュールとディスパッチャとの組み合わせによって、データ処理機能ブロックを構成する。データ処理機能ブロックは、フロー管理部11からの指示の基づいて構成され、設定ファイル50の設定によって任意に変更が可能である。設定ファイル50に変更が加わった場合、フロー管理部11は、アクセスログデータ処理部2の起動(または再起動)時に設定ファイル50を読み込み、設定ファイル50の設定に基づいて、データ処理機能ブロックの構成を変更する。
ファイアウォールログ読込部21はファイアウォール5から送信されたファイアウォールログファイルを読み込むファイル読み取り機能ブロックである。IDSログ読込部22はIDS6から送信されたIDSログファイルを読み込むファイル読み取り機能ブロックである。ライブラリ出力読込部23はログ出力プログラム7から送信されたログデータの読み込みを実行するデータ読み取り機能ブロックである。
第1〜第3内部キューは、受信したデータを時系列に(受信した順番に)格納し、FIFO方式で出力するデータ記憶機能ブロックである。第1内部キュー24は、ファイアウォールログ読込部21、IDSログ読込部22及びライブラリ出力読込部23の少なくとも一つから出力されたアクセスログを、中間形式変換/ログ蓄積処理部25に出力する。第2内部キュー30はパススル―処理部27、シーケンス検査処理部28及び統計処理部29の少なくとも一つから出力された処理済データを第2ディスパッチャ31に出力する。第3内部キュー35は形式変換処理部33から出力された処理済データを第3ディスパッチャ36に出力する。
第1〜第3ディスパッチャは、入力されたデータに基づいて、そのデータを所定のデータ処理モジュールに出力するデータ振分け機能ブロックである。第1〜第3ディスパッチャの各々は入力されたデータの内容や種類に応じて、そのデータを処理するデータ処理モジュールを決定し、その決定されたデータ処理モジュールに該当するデータを出力する。
複数のデータ処理モジュール(25、27、28、29、32、33、37)の各々は、入力されたデータに対する情報処理を実行する情報処理機能ブロックである。中間形式変換/ログ蓄積処理部25は、入力されたデータが、所定のデータフォーマットと異なるデータフォーマットである場合に、その入力されたデータを所定のデータフォーマットに変換するデータフォーマット変換処理機能ブロックである。中間形式変換/ログ蓄積処理部25は入力されたデータのデータフォーマットを変換した後、その変換後のデータを時系列で中間形式蓄積ログファイル40に出力する。また、中間形式変換/ログ蓄積処理部25は入力されたデータのデータフォーマットを変換した後、その変換後のデータを時系列で第1ディスパッチャ26に出力する。
パススル―処理部27は、入力されたデータに対する情報処理を実行せずに第2内部キュー30に出力するスルー処理機能ブロックである。第1ディスパッチャ26からパススル―処理部27に受け渡されたデータは、次の第2内部キュー30にそのまま引き継がれる。
シーケンス検査処理部28は、入力されたアクセスログのシーケンス(順序または組合せ)を検査するシーケンス検査機能ブロックである。シーケンス検査処理部28は、シーケンス検査を実行した結果、不正なシーケンスに該当するシーケンスが検出された場合、その不正シーケンスを通知するシーケンス検査処理済データを生成し、第2内部キュー30に出力する。
統計処理部29は、入力されたアクセスログに含まれる情報(送信元IPアドレス、ポート情報、アクセス方式に関する情報など)に基づいて、統計処理を実行する統計処理機能ブロックである。統計処理部29は、統計処理を実行し、それによって生成された統計処理済データを統計情報蓄積ファイル60に出力する。また、統計処理部29は、統計値が一定の閾値を超えた場合、統計処理済データを第2内部キュー30に出力する。
外部コマンド起動部32は、入力されたデータに応答して外部コマンドを起動する、外部処理機能ブロックである。外部コマンド34は、データ処理実行部10の外部コマンド起動部32から出力された起動命令に対応して起動され、アクセスログを処理するための外部プログラムである。外部コマンド34は、外部コマンド起動部32からの命令によって起動された後、外部コマンド起動部32から出力されたアクセスログを受信する。外部コマンド34はその受信したアクセスログに対して、データ処理実行部10に備えられた複数のデータ処理モジュールで行われるデータ処理以外のデータ処理を実行する。
形式変換処理部33は、入力されたデータを外部出力可能なデータ形式に変換する形式変換機能ブロックである。外部出力処理部37は、入力されたデータを表示部9に出力するデータ出力機能ブロックである。
図3は、フロー管理部11がデータ処理実行部10を構成するために読込む設定ファイル50の構成の1例を示す図である。図3を参照すると、設定ファイル50は複数のデータ処理モジュールの各々をフィルタに見立てて記述される。処理名51は実行される処理を識別するための処理名を示す。処理名51以下に記述される第1段フィルタ52から第3段フィルタ54の各々は、データ処理実行部10に構成されるデータ処理機能ブロックの段を示し、第1段フィルタ52の次の行に、配置するフィルタ(データ処理モジュール)名を記述することで第1段目のフィルタが設定される。同様に、第2、第3段目のフィルタを構成するために第2段フィルタ53、第3段フィルタ54の次の行に任意のフィルタ名を記述する。これによって、任意のデータ処理機能ブロックを設定し、そのデータ処理機能ブロックを複数段に構成することが可能になる。
図3に示される設定ファイル50には、
<ファイル定義>
<処理名キー> 実際の処理手順名
<フィルタ段数指定キー>:
フィルタ名
指定オプション
が記述され、フロー管理部11はその設定ファイル50の記述を順次読込むことで、データ処理実行部10の構成を決定する。上述の設定ファイル50の記述形式は、本実施の形態における設定ファイルの記述形式を限定するものではなく、更に詳細な設定ファイルを構成することも可能である。
<ファイル定義>
<処理名キー> 実際の処理手順名
<フィルタ段数指定キー>:
フィルタ名
指定オプション
が記述され、フロー管理部11はその設定ファイル50の記述を順次読込むことで、データ処理実行部10の構成を決定する。上述の設定ファイル50の記述形式は、本実施の形態における設定ファイルの記述形式を限定するものではなく、更に詳細な設定ファイルを構成することも可能である。
各フィルタ名の次の行には、そのフィルタで処理されるデータを特定するためのオプション(“――”で始まる部分)が指定される。各フィルタには、オプションによって特定されたデータが入力され、各フィルタは入力されたデータの処理が完了した後、その処理済みデータを所定のデータ処理機能ブロックに出力する。
図3に記載された設定ファイル50の設定を例にすると、第1段フィルタ52には、Syslog入力フィルタと、ファイアウォール入力フィルタと、ログファイル入力フィルタで構成される設定である。さらに、第2段フィルタ53は日本語変換フィルタで構成され、第3段フィルタ54は、ファイル出力フィルタとコマンド出力フィルタとで構成される設定である。また、第1段フィルタ52のSyslog入力フィルタには、GETというキーワードを含む全てのデータ形式のデータが入力されることが設定されている。
[実施の動作]
図4Aおよび図4Bは、本実施の形態の動作を示すフロー―チャートである。図4Aは本実施の形態の動作の前半部分を示し、図4Bは本実施の形態の動作の後半部分を示す。図4Aを参照すると、本実施の形態の動作は、アクセスログデータ処理部2を起動(または再起動)すると開始する(ステップS101)。ステップS102において、アクセスログデータ処理部2のフロー管理部11は起動開始に対応して記憶部3に格納された設定ファイル50を読込む。フロー管理部11はその読込んだ設定ファイル50に基づいてデータ処理実行部10の構成を決定する。以下では、ステップS102で決定されたデータ処理実行部10の構成が、図2に示される構成である場合を例に、本実施の形態における動作について述べる。
図4Aおよび図4Bは、本実施の形態の動作を示すフロー―チャートである。図4Aは本実施の形態の動作の前半部分を示し、図4Bは本実施の形態の動作の後半部分を示す。図4Aを参照すると、本実施の形態の動作は、アクセスログデータ処理部2を起動(または再起動)すると開始する(ステップS101)。ステップS102において、アクセスログデータ処理部2のフロー管理部11は起動開始に対応して記憶部3に格納された設定ファイル50を読込む。フロー管理部11はその読込んだ設定ファイル50に基づいてデータ処理実行部10の構成を決定する。以下では、ステップS102で決定されたデータ処理実行部10の構成が、図2に示される構成である場合を例に、本実施の形態における動作について述べる。
ステップS103において、ファイアウォールログ読込部21、IDSログ読込部22およびライブラリ出力読込部23はネットワーク上に設置されたセキュリティ対策装置(5〜7)の各々から出力されたアクセスログに関する情報(アクセスログ)を受け取る。コンピュータ1に接続されたファイアウォール5、IDS6及びログ出力プログラム7の各々は、コンピュータ1に対する接続要求を常時監視し、接続要求が発生するたびにアクセスログを出力する。ファイアウォールログ読込部21、IDSログ読込部22およびライブラリ出力読込部23は、そのアクセスログを時系列で受信し、第1内部キュー24に出力する。
ステップS104において、第1内部キュー24は、入力されたアクセスログを中間形式変換/ログ蓄積処理部25に出力する。中間形式変換/ログ蓄積処理部25は、複数のセキュリティ対策装置から受信した各々が異なるフォーマットのアクセスログを、所定のデータフォーマット(以下、中間形式と呼ぶ。)に変換する。入力されたアクセスログが中間形式と同一のデータフォーマットであった場合には、データフォーマットの変換は行わない。中間形式変換/ログ蓄積処理部25は処理済みのアクセスログを入力された順に、中間形式蓄積ログファイル40に出力する。
ステップS105において、中間形式蓄積ログファイル40は、中間形式変換/ログ蓄積処理部25から出力されたアクセスログを格納する。中間形式蓄積ログファイル40は中間形式変換/ログ蓄積処理部25から出力されるアクセスログに含まれるログの発生時刻(セキュリティ対策装置がそのアクセスに関する記録を取った日時)の順にデータの格納を行う。
ステップS106において、中間形式変換/ログ蓄積処理部25でデータフォーマットを中間形式に変換されたアクセスログは、第1ディスパッチャ26に出力される。第1ディスパッチャ26は、逐次で入力されたアクセスログの内容や作成日時などに基づいて、そのデータに対応した処理を実行するために、そのデータを所定のデータ処理モジュールに振分ける。
ステップS107において、第1ディスパッチャ26は、そのアクセスログが統計処理をおこなうべきデータかどうかの判断を行う。その結果、統計処理が必要なデータが主力されていた場合、処理はステップS108に進み、統計処理が不必要なデータだった場合、処理はステップS109に進む。
ステップS108において、統計処理が必要なデータに対して、シーケンス検査処理を行うべきかどうかの判断を行う。その結果、シーケンス検査処理が必要であるならば、そのアクセスログはシーケンス検査処理部28と統計処理部29との各々に出力される(ステップ110)。シーケンス検査処理が不必要であるならば、そのアクセスログは、統計処理部29に出力され、処理はステップS111に進む。
ステップS109において、統計処理が不必要なデータに対してシーケンス検査処理を実行するべきかどうかの判断を行う。その結果、シーケンス検査処理が必要なデータであった場合、ステップS112に進み、シーケンス検査処理が不必要なデータであった場合、処理はステップS113に進む。
ステップS111において、第1ディスパッチャ26から出力されたアクセスログを受信した統計処理部29は、そのアクセスログに含まれる情報(IPアドレス、ポート情報など)に対する統計処理を実行する。統計処理部29は、その処理によって得られた統計値を統計情報蓄積ファイル60に出力し、さらに、その統計値が一定の閾値を超えたかどうかの判断を実行する(ステップS114)。ステップS112において、第1ディスパッチャ26から出力されたアクセスログを受信したシーケンス検査処理部28は、一定量のデータをシーケンス検査処理部28内に一時的に記憶し、不正なシーケンスに該当するシーケンスが検出されたかどうかの判断を実行する(ステップ115)。ステップS113において、パススル―処理部27は第1ディスパッチャ26から出力されたアクセスログをデータ処理を実行することなく第2内部キュー30に出力する。
図4Bを参照すると、ステップS114において、統計処理部29は実行した統計処理の結果が、一定の閾値を超えたかどうかの判断を行い、その結果、あらかじめ設定された閾値を超えていない場合、その処理結果を記憶部3に保存した後に処理を終了する(ステップS116)。上記判断の結果、統計処理の結果が、その閾値を超えていた場合、統計処理部29は、その処理結果を第2内部キュー30に出力する。
ステップS115において、シーケンス検査処理部28が実行したシーケンス検査の結果、不正なシーケンスに該当するシーケンスが検出され無かった場合、ステップS116と同様にその処理結果を記憶部3に保存した後に処理を終了する(ステップS117)。シーケンス検査処理部28によって、不正なシーケンスに該当するシーケンスが検出された場合、シーケンス検査処理部28は、その処理結果を第2内部キュー30に出力する。
ステップS118において、パススル―処理部27、シーケンス検査処理部28および統計処理部29の少なくとも一つから出力されたアクセスログを受信した第2内部キュー30は、そのアクセスログを各モジュールから出力された順に格納する。さらに、第2内部キュー30は、格納したアクセスログを格納した順に第2ディスパッチャ31に出力する(ステップS119)。
ステップS120において、第2ディスパッチャ31は入力されたアクセスログが外部コマンドによる情報処理が必要なものかどうかの判断を実行する。その結果、外部コマンドによる処理が必要なデータが入力された場合、処理はステップS122に進み、そのデータは外部コマンド起動部32に出力される。外部コマンドによる処理が必要ないアクセスログが入力された場合、ステップS121に進み、外部出力処理が必要かどうかの判断が実行される。
ステップS121において、第2ディスパッチャ31に入力されたアクセスログが外部出力する必要がないデータだった場合、処理はステップS124に進む。ステップS124において、外部コマンド起動部32は入力されたアクセスログを記憶部3に保存した後に処理を終了するステップS121での判断の結果、入力されたアクセスログが外部出力が必要なデータであった場合、そのデータは外部コマンド起動部32から形式変換処理部33に出力される。
ステップS123において、外部コマンド起動部32から出力されたアクセスログを受信した形式変換処理部33は、設定ファイル50に設定された外部出力形式の指定にしたがってデータ形式の変換(元のログに対応した新規のメッセージの生成)を実行する。形式変換処理部33は、例えば、元のログデータが英語のログであった場合に、対応する日本語に変換して出力したり、元のログに含まれるデータを分割して、中に含まれる数値のみをCSV形式に変換して出力するといったデータ形式の変換を行う。形式変換処理部33は、データ変換が終了したアクセスログを第3内部キュー35に出力する。形式変換処理部33から出力されたアクセスログは、第3内部キュー35に入力され、第3内部キュー35はその入力されたデータを一時的に記憶する(ステップS125)。
ステップS126において、第3内部キュー35に記憶されたアクセスログは、FIFO方式で第3ディスパッチャ36に読込まれる。第3ディスパッチャ36は読込んだアクセスログから、設定ファイル50に設定された情報に基づいて外部出力が必要なデータを選別する。第3ディスパッチャ36は設定ファイル50に設定された情報に基づいてそのデータを出力すべき外部出力処理部37を決定し、決定した外部出力処理部37にそのアクセスログを出力する。ステップS127において、第3ディスパッチャ36から出力されたデータを受信した外部出力処理部37は、所定のデータ出力を実行し、フローチャートは動作を終了する。
これによって、ファイアウォールやIDSなどのセキュリティ対策装置から出力されたアクセスログについて、ログの出力の時点で解析や統計情報の計算を実行し、不正なアクセスを検出した場合に、検出直前までの統計情報や解析情報を参照することが可能になる。
さらに、本発明には図示されていないが、セキュリティ装置から受信した、連続するログのシーケンスを、逐次検査する処理モジュールを組み込む事が可能である。このような、ログのシーケンスを順序性を判定する処理モジュール(以下、連続ログデータ処理部と呼ぶ)は、異なるアクセス要求に関連性が存在する場合、その関連性情報を格納する。連続ログデータ処理部は、受信したアクセスログデータの各々は通常のアクセス要求である場合でも、組合せによって異常アクセスになる可能性を見出した場合(例えば、不正侵入の予備動作としてのアクセス要求の組)、その組合せを検出し、異常アクセス発生(または可能性)を通知するメッセージを生成する。これによって、個々のログデータだけではなく、複数のログデータの順列または組み合わせからも異常アクセスを検出することが可能になり、より効果的なアクセスログ解析の実行が可能になる。
1…コンピュータ
2…アクセスログデータ処理部
3…記憶部
4…CPU
5…ファイアウォール、5a…ファイアウォールログファイル生成部
6…IDS、6a…IDSログファイル生成部
7…ログ出力プログラム、7a…ログデータ生成部
8…ネットワーク
9…表示部
10…データ処理実行部
11…フロー管理部
12…通信用インターフェース
21…ファイアウォールログ読込部、22…IDSログ読込部
23…ライブラリ出力ログ読込部
24…第1内部キュー
25…中間形式変換/ログ蓄積処理部
26…第1ディスパッチャ
27…パススル―処理部、28…シーケンス検査部、29…統計処理部
30…第2内部キュー
31…第2ディスパッチャ
32…外部コマンド起動部、33…形式変換処理部、34…外部コマンド
35…第3内部キュー
36…第3ディスパッチャ
37…外部出力処理部
40…中間形式蓄積ログファイル、50…設定ファイル
60…統計情報蓄積ログファイル
51…処理名、
52〜54…フィルタ段数指定キー
2…アクセスログデータ処理部
3…記憶部
4…CPU
5…ファイアウォール、5a…ファイアウォールログファイル生成部
6…IDS、6a…IDSログファイル生成部
7…ログ出力プログラム、7a…ログデータ生成部
8…ネットワーク
9…表示部
10…データ処理実行部
11…フロー管理部
12…通信用インターフェース
21…ファイアウォールログ読込部、22…IDSログ読込部
23…ライブラリ出力ログ読込部
24…第1内部キュー
25…中間形式変換/ログ蓄積処理部
26…第1ディスパッチャ
27…パススル―処理部、28…シーケンス検査部、29…統計処理部
30…第2内部キュー
31…第2ディスパッチャ
32…外部コマンド起動部、33…形式変換処理部、34…外部コマンド
35…第3内部キュー
36…第3ディスパッチャ
37…外部出力処理部
40…中間形式蓄積ログファイル、50…設定ファイル
60…統計情報蓄積ログファイル
51…処理名、
52〜54…フィルタ段数指定キー
Claims (21)
- アクセスログデータが入力され、入力された前記アクセスログデータのデータ処理を実行する複数のデータ処理部と、前記複数のデータ処理部の各々は、異なる処理規則に対応してデータ処理を実行し、
データ処理実行規則を格納する記憶部と、
前記アクセスログデータの処理手順を決定するデータ処理管理部と
を具備し、
前記データ処理管理部は、前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定する
アクセスログ処理装置。 - 請求項1に記載のアクセスログ処理装置において、
前記データ処理実行規則は、データ振分け情報と、データ処理実行順序情報とを含み、
前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、
前記データ処理順序情報は、前記複数のデータ処理部の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報である
アクセスログ処理装置。 - 請求項2に記載のアクセスログ処理装置において、
前記複数のデータ処理部の少なくとも一つは、データ形式変換処理を実行するデータ形式変換部であり、
前記データ形式変換部には、前記アクセスログデータが逐次入力され、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成し、
前記形式変換済データを前記記憶部に格納する
アクセスログ処理装置。 - 請求項2または3に記載のアクセスログ処理装置において、
前記複数のデータ処理部の少なくとも一つは、統計処理を実行する統計処理部であり、
前記統計処理部は、前記複数のデータ処理部の少なくとも一つから、異常なアクセスに関する情報を受信し、前記情報に応答して、前記アクセスログデータの統計処理結果を出力する
アクセスログ処理装置。 - 請求項2から4の何れか1項に記載のアクセスログ処理装置において、
前記複数のデータ処理部の少なくとも一つは、外部プログラムの起動を実行する外部プログラム起動部であり、
前記外部プログラム起動部は、前記複数のデータ処理部の少なくとも一つから出力された、データ処理済のアクセスログデータが入力され、前記データ処理済のアクセスログデータの入力に応答して、前記外部プログラムを起動する
アクセスログ処理装置。 - 請求項2から5の何れか1項に記載のアクセスログ装置において、
前記複数のデータ処理部の少なくとも一つは、入力されたアクセスログデータの関連性を判別するための関連性情報を備えた連続ログデータ処理部であり、
前記連続ログデータ処理部には、前記アクセスログデータが逐次入力され、
前記連続ログデータ処理部は、入力された前記アクセスログデータの順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出する
アクセスログ処理装置。 - 請求項6に記載のアクセスログ処理装置において、
前記データ処理管理部は、前記データ処理実行規則に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成し、
前記データ処理機能ブロックの各々は、少なくとも一つの前記データ処理部を含み、
前記複数のデータ処理機能ブロックの第1ブロックは、前記データ形式変換部を含む
アクセスログ処理装置。 - データ処理実行規則を読み出すステップと、
前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定するステップと、
アクセスログデータが入力され、前記アクセスログデータのデータ処理を異なる処理規則に対応して実行するステップと、
前記配列に基づいて前記アクセスログデータの処理手順を決定するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項8に記載のプログラムにおいて、
前記データ処理実行規則は、データ振分け情報と、データ処理実行順序情報とを含み、
前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、
前記データ処理順序情報は、前記複数のデータ処理部の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報である
コンピュータで実行可能なプログラム。 - 請求項9に記載のプログラムにおいて、
所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップと、
生成された前記形式変換済データを前記記憶部に格納するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項9または10に記載のプログラムにおいて、
異常なアクセスに関する情報を受信するステップと、
前記情報に応答して、前記アクセスログデータの統計処理結果を出力するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項9から11の何れか1項に記載のプログラムにおいて、
データ処理済のアクセスログデータを外部プログラムで処理するべきかどうか判断するステップと、
前記データ処理済のアクセスログデータが、前記外部プログラムで処理するべきものであった場合、前記外部プログラムを起動するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項9から12の何れか1項に記載のプログラムにおいて、
アクセスログデータが逐次入力され、入力された前記アクセスログデータの順列または組合せを判別するステップと、
前記順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - 請求項13に記載のプログラムにおいて、
前記データ処理実行規則に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成するステップと、
前記複数のデータ処理機能ブロックの第1ブロックによって、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップ
を具備する方法をコンピュータで実行可能なプログラム。 - データ処理実行規則を読み出すステップと、
前記データ処理実行規則に基づいて前記複数のデータ処理部の各々の配列を決定するステップと、
アクセスログデータが入力され、前記アクセスログデータのデータ処理を異なる処理規則に対応して実行するステップと、
前記配列に基づいて前記アクセスログデータの処理手順を決定するステップ
を具備するアクセスログデータ処理方法。 - 請求項15に記載のアクセスログデータ処理方法において、
前記データ処理実行規則は、データ振分け情報と、データ処理実行順序情報とを含み、
前記データ振分け情報は、前記アクセスログデータのデータ処理を実行するデータ処理部を指定する情報であり、
前記データ処理順序情報は、前記複数のデータ処理部の各々が前記アクセスログデータのデータ処理を実行する順序を定めた情報である
アクセスログデータ処理方法。 - 請求項16に記載のアクセスログデータ処理方法において、
所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップと、
生成された前記形式変換済データを前記記憶部に格納するステップ
を具備するアクセスログデータ処理方法。 - 請求項16または17に記載のアクセスログデータ処理方法において、
異常なアクセスに関する情報を受信するステップと、
前記情報に応答して、前記アクセスログデータの統計処理結果を出力するステップ
を具備するアクセスログデータ処理方法。 - 請求項16から18の何れか1項に記載のアクセスログデータ処理方法において、
データ処理済のアクセスログデータを外部プログラムで処理するべきかどうか判断するステップと、
前記データ処理済のアクセスログデータが、前記外部プログラムで処理するべきものであった場合、前記外部プログラムを起動するステップ
を具備するアクセスログデータ処理方法。 - 請求項16から19の何れか1項に記載のアクセスログデータ処理方法において、
アクセスログデータが逐次入力され、入力された前記アクセスログデータの順列または組合せを判別するステップと、
前記順列または組合せと、前記関連性情報とから、異常アクセスの発生を検出するステップ
を具備するアクセスログデータ処理方法。 - 請求項20に記載のアクセスログデータ処理方法において、
前記データ処理実行規則に基づいて、前記アクセスログデータを処理する直列に構成された複数のデータ処理機能ブロックを生成するステップと、
前記複数のデータ処理機能ブロックの第1ブロックによって、所定のデータ形式と異なるデータ形式で構成されたアクセスログデータのデータ形式を、所定のデータ形式に変換して形式変換済データを生成するステップ
を具備するアクセスログデータ処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004047058A JP4155208B2 (ja) | 2004-02-23 | 2004-02-23 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004047058A JP4155208B2 (ja) | 2004-02-23 | 2004-02-23 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005235134A true JP2005235134A (ja) | 2005-09-02 |
| JP4155208B2 JP4155208B2 (ja) | 2008-09-24 |
Family
ID=35018006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004047058A Expired - Fee Related JP4155208B2 (ja) | 2004-02-23 | 2004-02-23 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4155208B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009032253A (ja) * | 2007-07-06 | 2009-02-12 | Ntt Docomo Inc | クライアント・サーバ・アーキテクチャに使用するためのミドルウェア |
| JP2016181263A (ja) * | 2016-04-25 | 2016-10-13 | 株式会社ラック | 情報処理システム、情報処理方法およびプログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7862763B2 (en) | 2005-06-23 | 2011-01-04 | Anchor Wall Systems, Inc. | Methods of quality control in concrete block production |
-
2004
- 2004-02-23 JP JP2004047058A patent/JP4155208B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009032253A (ja) * | 2007-07-06 | 2009-02-12 | Ntt Docomo Inc | クライアント・サーバ・アーキテクチャに使用するためのミドルウェア |
| JP2016181263A (ja) * | 2016-04-25 | 2016-10-13 | 株式会社ラック | 情報処理システム、情報処理方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4155208B2 (ja) | 2008-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600029B (zh) | 一种配置文件更新方法、装置、终端设备及存储介质 | |
| CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
| TWI314705B (en) | System security approaches using multiple processing units | |
| JP5571847B2 (ja) | 複数の制御システムの異常を検知する異常検知システム | |
| CN112468488A (zh) | 工业异常监测方法、装置、计算机设备及可读存储介质 | |
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| JP5198154B2 (ja) | 障害監視システム及びデバイスと監視装置並びに障害監視方法 | |
| CN111866016A (zh) | 日志的分析方法及系统 | |
| CN112437920A (zh) | 异常检测装置和异常检测方法 | |
| JP2006338305A (ja) | 監視装置及び監視プログラム | |
| CN113572760A (zh) | 一种设备协议漏洞检测方法及装置 | |
| US10986112B2 (en) | Method for collecting cyber threat intelligence data and system thereof | |
| CN111679968A (zh) | 接口调用异常的检测方法、装置、计算机设备及存储介质 | |
| CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
| CN104901833B (zh) | 一种发现异常设备的方法及装置 | |
| CN108804914B (zh) | 一种异常数据检测的方法及装置 | |
| CN114553543A (zh) | 一种网络攻击检测方法、硬件芯片及电子设备 | |
| JP4155208B2 (ja) | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム | |
| KR20110037969A (ko) | 모니터링 시스템에서의 메시지의 타겟화된 사용자 통지 | |
| CN114595219A (zh) | 一种数据存储方法、装置和系统 | |
| WO2023181241A1 (ja) | 監視サーバ装置、システム、方法、及びプログラム | |
| CN116125853A (zh) | 集成电路的安全控制方法、装置、存储介质及电子设备 | |
| CN115033889A (zh) | 非法提权检测方法和装置、存储介质、计算机设备 | |
| KR20080047248A (ko) | 알피씨 기반 소프트웨어의 원격지 보안 테스팅 장치 및방법 | |
| US11894981B1 (en) | Systems and methods for generating soar playbooks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Effective date: 20071107 Free format text: JAPANESE INTERMEDIATE CODE: A971007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071114 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080115 |
|
| A02 | Decision of refusal |
Effective date: 20080205 Free format text: JAPANESE INTERMEDIATE CODE: A02 |
|
| RD01 | Notification of change of attorney |
Effective date: 20080306 Free format text: JAPANESE INTERMEDIATE CODE: A7421 |
|
| A521 | Written amendment |
Effective date: 20080306 Free format text: JAPANESE INTERMEDIATE CODE: A821 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080407 |
|
| A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080411 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080604 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080617 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Effective date: 20080630 Free format text: JAPANESE INTERMEDIATE CODE: A61 |
|
| FPAY | Renewal fee payment (prs date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110718 Year of fee payment: 3 |
|
| R150 | Certificate of patent (=grant) or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |