JP2006350543A - ログ分析装置 - Google Patents
ログ分析装置 Download PDFInfo
- Publication number
- JP2006350543A JP2006350543A JP2005173950A JP2005173950A JP2006350543A JP 2006350543 A JP2006350543 A JP 2006350543A JP 2005173950 A JP2005173950 A JP 2005173950A JP 2005173950 A JP2005173950 A JP 2005173950A JP 2006350543 A JP2006350543 A JP 2006350543A
- Authority
- JP
- Japan
- Prior art keywords
- log
- event
- database
- format
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 また、管理者の能力に依存せずに分析を行うことのできるログ分析装置を得る。
【解決手段】 演算方法データベース5は、頂上事象を分析対象の分類とし、基本事象をその分類が発生する要因とするツリー構造のフォーマットを保持する。ログ変換部1は入力されたログを統合ログデータベース3に格納する。抽出処理部7は、統合ログデータベース3に格納されたログをフォーマットの最下位の基本事象の値とし、この値に基づいて、このフォーマットの頂上事象が発生したか否かを判定する。
【選択図】 図1
【解決手段】 演算方法データベース5は、頂上事象を分析対象の分類とし、基本事象をその分類が発生する要因とするツリー構造のフォーマットを保持する。ログ変換部1は入力されたログを統合ログデータベース3に格納する。抽出処理部7は、統合ログデータベース3に格納されたログをフォーマットの最下位の基本事象の値とし、この値に基づいて、このフォーマットの頂上事象が発生したか否かを判定する。
【選択図】 図1
Description
この発明は、例えば、コンピュータネットワークにおける各種のセンサから出力されるログ状況に基づいて、コンピュータネットワークへの不正アクセス等の事象を分析するログ分析装置に関するものである。
不正アクセス者(攻撃者)は、以前はネットワークに対する攻撃を行ってきたが、近年アプリケーションを攻撃したり、攻撃をデータそのものの中に埋め込んだりするようなことが増えてきているため、単一センサからの情報に頼った検知が難しくなってきている。
これに対し、ログ管理装置は統合化されてきてはいるものの、各センサ(装置)単体からのログ情報を管理するものがほとんどであり、どこのセンサから検知があがったか、或いはログ(イベントあるいはセキュリティイベント)が何時発生したかを中心にまとめられているもの(例えば、特許文献1参照)が多く、これらはネットワーク全体としてどのようにインシデントが発生しているのかを把握しづらいという問題があった。
これに対し、ログ管理装置は統合化されてきてはいるものの、各センサ(装置)単体からのログ情報を管理するものがほとんどであり、どこのセンサから検知があがったか、或いはログ(イベントあるいはセキュリティイベント)が何時発生したかを中心にまとめられているもの(例えば、特許文献1参照)が多く、これらはネットワーク全体としてどのようにインシデントが発生しているのかを把握しづらいという問題があった。
また、0−day攻撃(ゼロ・ディ・アタック)と呼ばれる、未知或いは公開されて間もない、一般的には多くが未対策の脆弱性を用いた攻撃も行われやすい状況になってきており、管理者が意識していない攻撃の検知はますます重要になってきている。
例えば、特許文献1に示されたような従来システムでは、イベントログの発生頻度の数を日付別や秒別の単位別に表示し、障害の原因となるイベントログを特定することを目的としているが、これはイベントログ全体から問題点を掘り起こすことに着眼したものであり、ネットワークなどの全体の状況を知ることにかけては優れているが、何故そのイベントログが発生したかを追求することには適していない。
このような従来のシステムのように、ログを分析することでネットワーク、或いはコンピュータが置かれている状況を示す、或いは示す内容をネットワーク管理者などに対し表示させる装置は多いが、これらは管理者に対し非常に多くの情報を与えることができると同時に多すぎる情報により判断は管理者の能力に依存したり、あるいは管理者が扱いきれないほどのロードワークを増加させる原因となっている。
この発明は上記のような課題を解決するためになされたもので、管理者にとって分析処理の負担が軽減され、また、管理者の能力に依存せずに分析を行うことのできるログ分析装置を得ることを目的とする。
この発明に係るログ分析装置は、頂上事象を分析対象の分類とし、基本事象をその分類が発生する要因とするツリー構造のフォーマットを保持し、抽出処理部は、入力されたログをツリー構造のフォーマットの最下位の基本事象の値として、その値に基づいて、このフォーマットの頂上事象が発生したか否かを判定するようにしたものである。
この発明のログ分析装置は、頂上事象を分析対象の分類とし、基本事象をその分類が発生する要因とするツリー構造の最下位の基本事象の値をログとし、この値に基づいて頂上事象が発生しているか否かを判定するようにしたので、管理者にとって分析処理の負担が軽減され、また、管理者の能力に依存せずに分析を行うことができる。
実施の形態1.
図1は、この発明の実施の形態1によるログ分析装置を示す構成図であるが、この説明に先立ち、ログ分析装置の概要を説明する。
図1は、この発明の実施の形態1によるログ分析装置を示す構成図であるが、この説明に先立ち、ログ分析装置の概要を説明する。
本発明の実施形態では、ログ分析装置は、ネットワーク上のコンピュータを含む装置などからの情報をログとして取得し、これらのログを管理、分析する。
ある事象(インシデントと呼ぶ)がネットワーク或いはコンピュータ上に生じた場合、それに付随してログが発生するが、それ単独では不正アクセスとは判別できないことが多い。例えば、一般的にコンピュータウイルス、ワームといったものについても様々な攻撃手法が考えられるため、それら攻撃に呼応して発生するログは様々である。
ある事象(インシデントと呼ぶ)がネットワーク或いはコンピュータ上に生じた場合、それに付随してログが発生するが、それ単独では不正アクセスとは判別できないことが多い。例えば、一般的にコンピュータウイルス、ワームといったものについても様々な攻撃手法が考えられるため、それら攻撃に呼応して発生するログは様々である。
そこで、本発明では、センサログ情報はインシデントに基づき出力されるという非常に本質的なところからログをまとめる。その方法を達成するために、各センサからの情報をFTA(Fault Tree Analysis;故障の木解析)に近いツリー構造として構築する。FTAとは一般的には装置などの品質管理、故障原因の探求に用いられる技法であり、信頼性または安全上、その発生が好ましくない事象を頂上事象として取り上げ、論理記号を用いてその発生の要因を次々に展開し、樹系図(FT図)を作成して、発生経路および発生原因、発生確率を解析する技法を言う。
本実施の形態では、FTAの頂点(分析対象、あるいは分析の起点)を不正アクセスのカテゴリ(分類)とし、FTA頂点として選択した事象がネットワーク或いはコンピュータを含むネットワークを構成する装置に生じている場合のツリー構造をフォーマットとして予め用意しておき、発生したログがこのツリー構造の最下位の基本事象に該当した場合は、その頂上事象が発生していると判定するものである。
ログ分析装置へのログの転送方式には、一般的なsyslog形式などが考えられるが、特にその形式は問わず、ログ分析装置と各センサとの間でログの受け渡しが行えれば良いものとする。ログ分析装置は、各センサから受け取ったログを各センサ及びセンサのモード(センサが検知可能な設定項目)に基づき、整理する。この整理の際には各センサの出すログを汎用的フォーマットに変換しておく。汎用的なフォーマットとして、特殊性は無く各センサからの出力ログの共通項目は最小限用い、各ログが同じデータフォーマット構成を採る形でよい。
図2に、ログ分析装置が持つログFTAの例を示す。
図示例では、分析起点インシデントとしてネットワーク上にコンピュータワームが混入し、動作している場合という設定にしている。コンピュータワームとしてカテゴリ分けされる事象には、感染する相手を探す、自己動作をする等が挙げられ、その時のログ出力のされ方には特徴が生じる。その特徴をFTAツリー構成の枝とするように、頂上事象である要因階層1(101)から、要因階層2(102)→要因階層3(103)→要因階層4(104)および基本事象である要因階層5(105)という形で最終的に要因階層5(105)のログ106に行き着くように展開させる。
図示例では、分析起点インシデントとしてネットワーク上にコンピュータワームが混入し、動作している場合という設定にしている。コンピュータワームとしてカテゴリ分けされる事象には、感染する相手を探す、自己動作をする等が挙げられ、その時のログ出力のされ方には特徴が生じる。その特徴をFTAツリー構成の枝とするように、頂上事象である要因階層1(101)から、要因階層2(102)→要因階層3(103)→要因階層4(104)および基本事象である要因階層5(105)という形で最終的に要因階層5(105)のログ106に行き着くように展開させる。
ここで、要因階層1(101)は、上述したようにインシデントを示し、以下の階層は次の通りである。即ち、要因階層2(102)は、ログ/アラート要因であり、例えばセンサ種別といった事象を表している。図2中では、N−IDSログといった名称が示されており、これは、ネットワークタイプのIDS(侵入検知装置)を意味している。また、要因階層3(103)は、発信元要因を示しており、例えばセンサの名称といったデータが相当する。このような各階層について、故障の木解析の物理事象で示すと以下の通りとなる。
要因階層1:故障事象
要因階層2:故障を示すセンサの種別(測定方法)
要因階層3:故障を示すセンサの名称(例えば、A社のaというセンサと、B社のbというセンサでは同じデータを与えても同じ答えが出てこないようなこともあるため、そのセンサの名称とする)
要因階層4:そのセンサが何を検出するモードを持っているかを示す(例えば、わかり易い説明のため、分野が異なる装置による説明とすると、要因階層3がオシロスコープであれば、電圧、電流、周波数、時間、…といったモード)
要因階層5:例えば、要因階層がオシロスコープであったとすると、データ取得をする際に何をデータとして取得できるか、といった事象に相当する。電圧を測る場合では、測定日、時間、電圧、周期、min値、max値といった値である。
要因階層2:故障を示すセンサの種別(測定方法)
要因階層3:故障を示すセンサの名称(例えば、A社のaというセンサと、B社のbというセンサでは同じデータを与えても同じ答えが出てこないようなこともあるため、そのセンサの名称とする)
要因階層4:そのセンサが何を検出するモードを持っているかを示す(例えば、わかり易い説明のため、分野が異なる装置による説明とすると、要因階層3がオシロスコープであれば、電圧、電流、周波数、時間、…といったモード)
要因階層5:例えば、要因階層がオシロスコープであったとすると、データ取得をする際に何をデータとして取得できるか、といった事象に相当する。電圧を測る場合では、測定日、時間、電圧、周期、min値、max値といった値である。
また、ログ106における調査項目1は、各ログ項目が何を示しているかを示し、調査項目2は、各ログの分布を表している。
このようなログFTAの表示(GUI)はプルダウン形式で選択することができる。例えば、要因階層1(101)をクリックするとインシデントとして選択できるカテゴリが表示され、そのうちから1つを選択する。その選択したインシデントに対し、ログがどのように分布しているのかを表示することで、インシデントの構成要素を把握することができるよう構成されている。
以下、図1を参照して本実施の形態1のログ分析装置について説明する。
図1に示すログ分析装置は、ログ変換部1、ログ変換制御部2、統合ログデータベース3、ログ変換データベース4、演算方法データベース5、カテゴリデータベース6、抽出処理部7、結果データベース8、GUI画面制御部9を備えている。
図1に示すログ分析装置は、ログ変換部1、ログ変換制御部2、統合ログデータベース3、ログ変換データベース4、演算方法データベース5、カテゴリデータベース6、抽出処理部7、結果データベース8、GUI画面制御部9を備えている。
ログ変換部1は、ログ変換制御部2によって制御され、図示しない各センサからのログを統合化処理する(フォーマット的に同じくする)機能部である。ログ変換制御部2は、ログ変換データベース4に格納されているログ変換用のフォーマットに基づき、システム初期設定時に、ログ変換部1に各センサログの変換処理方法を指示する機能を有している。尚、ログ変換部1は、センサの数や種類が増えると、負荷が増大し、変換処理が遅延する可能性があるため、複数個が設けられており、これら複数のログ変換部1をログ変換制御部2から一括して管理できるよう構成されている。統合ログデータベース3は、ログ変換部1によって、各種センサログがフォーマット的に統一された後、これらログを格納するためのデータベースである。ログ変換データベース4は、ログ変換用フォーマットを格納するためのデータベースである。
演算方法データベース5は、ログの処理の仕方を定義しているデータベースである。即ち、図2に示したツリー構造の定義データと、各カテゴリに対応したログの判定値(頂上事象が発生したか否かの判定値)とを有している。カテゴリデータベース6は、要因階層1(101)のカテゴリが格納されるデータベースであり、例えば、ワームのネットワークへの混入や、DDoS攻撃、エクスプロイト攻撃等、特徴的な起こりうるセキュリティ事象(インシデント)に対応した複数のカテゴリが格納可能である。また、演算方法データベース5には、カテゴリデータベース6のカテゴリに対応して各ツリー構造の定義データ等が格納されている。
抽出処理部7は、統合ログデータベース3のログと、演算方法データベース5に格納されている定義データやログの判定値に基づいて、不正アクセスの分析を行い、その結果を結果データベース8とGUI画面制御部9とに出力する機能部である。結果データベース8は、抽出処理部7で判定された分析結果を格納するデータベースである。GUI画面制御部9は、抽出処理部7の分析結果を図示しないディスプレイに表示したり、画面からの入力データをログ変換制御部2や抽出処理部7および演算方法データベース5やカテゴリデータベース6に出力する機能部である。
次に、動作について説明する。
本実施の形態では、上述したように、コンピュータワームが生じているかも知れない、という管理者のGUI画面制御部9からの指示により、本当に発生しているか否かを判定する。
本実施の形態では、上述したように、コンピュータワームが生じているかも知れない、という管理者のGUI画面制御部9からの指示により、本当に発生しているか否かを判定する。
ログ分析装置に各種センサのログが入力されると、ログ変換部1では、得られた各種センサのログを、ログ変換制御部2から指示されたフォーマットに基づいて変換し、統合ログデータベース3に格納する。ログはセンサ種別単位で時系列で統合ログデータベース3に格納される。
図3は、各センサ種別毎のフォーマットを示す説明図である。
図示のように、ログのフォーマットは、センサ名称(種別)、サーバ/ノード名称、ログモード、時刻、送信元MACアドレス、送信先MACアドレス、送信元IP、送信先IP、TTLといった時系列のフォーマットとなっており、これらのログに対応した値が入力され、統合ログデータベース3に格納されるようになっている。また、このようなデータベースの項目は、各センサからの出力の“OR”形式となっており、各センサから出力されるログ全ての項目となっている。
図示のように、ログのフォーマットは、センサ名称(種別)、サーバ/ノード名称、ログモード、時刻、送信元MACアドレス、送信先MACアドレス、送信元IP、送信先IP、TTLといった時系列のフォーマットとなっており、これらのログに対応した値が入力され、統合ログデータベース3に格納されるようになっている。また、このようなデータベースの項目は、各センサからの出力の“OR”形式となっており、各センサから出力されるログ全ての項目となっている。
次に、抽出処理部7は、GUI画面制御部9からの管理者の指示と、演算方法データベース5の定義データに基づいてログ分析を行う。例えば、図2に示すログFTAにおいて、ログ106の調査項目2には、時刻、アラート種別、プロトコル、送信元IP、送信先IP、…といった項目に○が付いている。これは、○印が付いている項目を変数とする関数を意味し、この関数定義が演算方法データベース5に格納されている。また、この部分がGUI画面制御部9によって表示された状態で、GUI上の項目をクリックすることにより、処理方法登録の画面が開かれるようになっている。開かれた画面において、○印をつけた項目をどのように加工するかの定義を行うことができる。
抽出処理部7は、対象とするログの値が、所定の値を上回っていた場合は、頂上事象が発生していると判定し、その分析結果を結果データベース8に格納する。また、これが、GUI画面制御部9によって画面表示される。即ち、図2のログFTAの例では、ログ出力の分布がコンピュータワームのものと同一或いは類似している場合にアラートを出力する。
以上のように、実施の形態1のログ分析装置によれば、頂上事象を分析対象の分類とし、基本事象をその分類が発生する要因とするツリー構造のフォーマットを保持する演算方法データベースと、入力されたログをフォーマットの最下位の基本事象の値とし、基本事象の値に基づいて、このフォーマットの頂上事象が発生したか否かを判定する抽出処理部とを備えたので、ログ分析の場合の管理者の負担が軽減され、また、管理者の能力に依存せずに分析を行うことができる。
また、実施の形態1のログ分析装置によれば、分析対象の分類を格納するカテゴリデータベースを備え、演算方法データベースは、カテゴリデータベースの分類に対応したツリー構造のフォーマットを有するので、種々の分類に対応したログ分析装置を実現することができる。
実施の形態2.
実施の形態2は、頂上事象が発生する段階に応じて最下位の基本事象を拡張したものである。
通常、不正アクセスは目的を達するまでに段階を必要とする。例えば、コンピュータワームであれば、IPアドレスのスキャン、ポートスキャン、自己プログラム(コンピュータワームの転送)などの段階があって感染する。これらの各段階におけるログの分布を示すように拡張したものが実施の形態2である。
実施の形態2は、頂上事象が発生する段階に応じて最下位の基本事象を拡張したものである。
通常、不正アクセスは目的を達するまでに段階を必要とする。例えば、コンピュータワームであれば、IPアドレスのスキャン、ポートスキャン、自己プログラム(コンピュータワームの転送)などの段階があって感染する。これらの各段階におけるログの分布を示すように拡張したものが実施の形態2である。
図4は、実施の形態2におけるログFTAを示す説明図である。尚、図4において、要因階層1(101)〜要因階層4(104)は、図2に示す構成と同様であるため、要因階層5(105)以降の構成のみ示している。
ここで、ログ106aの調査項目2において、phase1(IPスキャン)、phase2(ポートスキャン)、phase3(自己転送)、phase4(起動;発病)は、事象発生の段階を示している。また、処理番号0,1,2,3,…,10は、それぞれの列をどのように処理するかを定義するためのものである。即ち、調査項目2として、各ログのうち、どれとどれを分析として用いるものか、という組み合わせ設定をしておく。この組み合わせの名前が0〜10の番号である。また、その組み合わせを選択した時、その番号の組み合わせのデータを用いて、予め登録しておいたデータの整理方法で、設定したデータの処理を行う(=自動分析する)仕組みを有している。従って、例えば、図4の項目において同じログの項目(=列)に○印が付いていても、処理方法が異なれば、組み合わせ番号を1にして、同じデータを角度を変えた見方とする処理を行うような設定が可能となる。
例えば、この書式の例として、時間当たりのログの数の集計を行うのであれば、
count (p1_0,d,60,ignore(f,g))
のような関数を定義する。上記関数の意味としては、d(時刻)項で60秒の間に、f(送信元IP)とg(送信先IP)にかかわらず、p1_0(phase1の処理番号0)の組み合わせの数を数える、ということを表している。尚、このような定義する関数は管理者によって作成され、予め演算方法データベース5に格納しておくものとする。
count (p1_0,d,60,ignore(f,g))
のような関数を定義する。上記関数の意味としては、d(時刻)項で60秒の間に、f(送信元IP)とg(送信先IP)にかかわらず、p1_0(phase1の処理番号0)の組み合わせの数を数える、ということを表している。尚、このような定義する関数は管理者によって作成され、予め演算方法データベース5に格納しておくものとする。
また、図4では、phase1〜4までを示しているが、各phaseの組み合わせを更に関数化(例:p1_0+p2_1+p3_1)して処理の連結を行うことにより、インシデント動作の連接を定義することができる。このようなことにより、単一のインシデントのみならずネットワーク、サーバへの侵入行為としてのフィンガープリント的な動作も検知させることが可能となる。
尚、実施の形態2におけるログ分析装置の図面上の構成は、図1と同様であるため、ここでの説明は省略する。また、上記のログFTAの定義ファイルは演算方法データベース5に格納され、抽出処理部7がこれを用いて管理、分析を行うよう構成されている。
以上のような構成により、調査項目2の各処理番号のログの分布は、単に発生している/いないだけではなく、例えば、ある固有ログを起点とした特定の時間を中心としたログ分布の統計分析を行ったり、特定IPアドレス、あるいは特定ネットワークアドレスを指定した状態でのログ分布等というものを区分けすることを指定、あるいは自動分析する仕組みを持つ。
以上のように、実施の形態2のログ分析装置によれば、最下位の基本事象として、頂上事象の段階を示す複数の基本事象を備えたので、実施の形態1の効果に加えて、例えば、侵入行為の可能性の段階といった不正アクセスの段階も含めて分析できる効果がある。
実施の形態3.
実施の形態3のログ分析装置は、得られたログを、各ログの項目間で相関がとれるよう、データベースに格納するようにしたものである。
実施の形態3のログ分析装置は、得られたログを、各ログの項目間で相関がとれるよう、データベースに格納するようにしたものである。
図5は、実施の形態3のログ分析装置の構成図である。
図において、相関データベース10は、抽出処理部7aが演算方法データベース5の定義データに基づいて抽出した項目のデータのみを格納するためのデータベースである。即ち、実施の形態1、2において、調査項目2で○印が付いている項目(時刻、アラート種別、プロトコル、送信元IP、送信先IP、…)といった項目のデータを格納するためのデータベースである。また、抽出処理部7aは、実施の形態1、2の抽出処理部7と同様の機能を有すると共に、演算方法データベース5の定義データに基づいて抽出した項目のデータを相関データベース10に格納する機能を有している。これ以外の構成は、図1と同様であるため、対応する部分に同一符号を付してその説明を省略する。
図において、相関データベース10は、抽出処理部7aが演算方法データベース5の定義データに基づいて抽出した項目のデータのみを格納するためのデータベースである。即ち、実施の形態1、2において、調査項目2で○印が付いている項目(時刻、アラート種別、プロトコル、送信元IP、送信先IP、…)といった項目のデータを格納するためのデータベースである。また、抽出処理部7aは、実施の形態1、2の抽出処理部7と同様の機能を有すると共に、演算方法データベース5の定義データに基づいて抽出した項目のデータを相関データベース10に格納する機能を有している。これ以外の構成は、図1と同様であるため、対応する部分に同一符号を付してその説明を省略する。
このように構成されたログ分析装置では、実施の形態1、2で説明したように、抽出処理部7によってログ分析が行われると共に、得られたログ間の相関関係が分かるよう各データを相関データベース10に格納する。例えば、図2や図4中の調査項目2における○印が付いている項目(例えば、時刻、アラート種別、プロトコル、…等)の相関関係が分かるよう、データベースフォーマットを生成し、相関データベース10に格納する。
ここで、相関をとる、とは、例えば図2、図4の例では、あるログについて、時刻とアラート種別とプロトコルと送信元IPと送信先IPを情報として持つデータベースを構築する、ということになる。即ち、ログi=Fi(時刻、アラート種別、プロトコル、送信元IP、送信先IP)であり、ログiの集計をとる方法として、時刻a〜bの範囲で、アラートとしては何が一番出ているか、あるいは送信元IPの出現ランキングはどうなっているか、といったことを相関として得られることになる。
以上のように、実施の形態3のログ分析装置によれば、入力されたログと、ログの基本事象とを格納する相関データベースを備えたので、ログとして得られた各項目のデータ間の相関関係を容易に知ることができる効果がある。
実施の形態4.
実施の形態4のログ分析装置は、脆弱性診断装置を備え、この脆弱性診断装置によって各センサから出力されたログに基づいて、分析処理を学習するようにしたものである。即ち、ログはある事象に対して、情報要素を含んだ形で出力されるが、データベースとして登録するにはログの情報の中身(時刻、ログ種別、IP等)であって、この中身はログを発生させなければどのようなものが出てくるかは分からない。そこで、ログを発生させるように、わざと(安全に)ネットワーク等に対して攻撃を行い、センサがどのようなログを出し、そのログの中身はどのような要素で構成され、ということを学習する。
実施の形態4のログ分析装置は、脆弱性診断装置を備え、この脆弱性診断装置によって各センサから出力されたログに基づいて、分析処理を学習するようにしたものである。即ち、ログはある事象に対して、情報要素を含んだ形で出力されるが、データベースとして登録するにはログの情報の中身(時刻、ログ種別、IP等)であって、この中身はログを発生させなければどのようなものが出てくるかは分からない。そこで、ログを発生させるように、わざと(安全に)ネットワーク等に対して攻撃を行い、センサがどのようなログを出し、そのログの中身はどのような要素で構成され、ということを学習する。
図6は、実施の形態4のログ分析装置の構成図である。
図6において、脆弱性診断装置11は、既知の脆弱性診断装置であり、ネットワークやサーバコンピュータの脆弱性を診断するために、同等の不正アクセスを診断対象に対して害無く試験的に実行する装置である。抽出処理部7bは、実施の形態1、2の機能を有すると共に、脆弱性診断装置11の診断処理の実行によって各種センサから得られたログを、そのカテゴリのログとして出力する機能を有している。これ以外の構成は、実施の形態1または実施の形態2と同様であるため、ここでの説明は省略する。
図6において、脆弱性診断装置11は、既知の脆弱性診断装置であり、ネットワークやサーバコンピュータの脆弱性を診断するために、同等の不正アクセスを診断対象に対して害無く試験的に実行する装置である。抽出処理部7bは、実施の形態1、2の機能を有すると共に、脆弱性診断装置11の診断処理の実行によって各種センサから得られたログを、そのカテゴリのログとして出力する機能を有している。これ以外の構成は、実施の形態1または実施の形態2と同様であるため、ここでの説明は省略する。
このように構成されたログ分析装置は、学習モードと分析モードとを有している。ここで、分析モードは、実施の形態1や実施の形態2で説明した分析処理のモードであるため、その説明は省略する。学習モードは、脆弱性診断装置11によって分析処理を学習するモードであり、以下、これについて説明を行う。
脆弱性診断装置11によって擬似的な不正アクセスが図示しないネットワークに対して実施された場合、各種センサからログが出力される。これらの出力はログ変換部1によって変換され統合ログデータベース3に格納される。以上の動作は分析処理の場合と同様である。次に、抽出処理部7bは、学習モードで動作している場合、統合ログデータベース3に格納されたログを、そのカテゴリに対応したログとしてGUI画面制御部9に出力する。これにより、GUI画面制御部9ではディスプレイに、不正アクセスに対応したログとして表示を行う。即ち、図2や図4に示したログFTAのデータが得られる。このようなログFTAの結果に基づき、管理者は、演算方法データベース5の定義ファイルを構築する。
以上のように、実施の形態4のログ分析装置によれば、ログの取得対象となるネットワークで、擬似的な頂上事象を発生させる脆弱性診断装置を備え、抽出処理部は、脆弱性診断装置によって発生し、入力されたログを、頂上事象に対応した最下位の基本事象のログとして出力するよう構成したので、演算方法を定義するための定義データ作成を作成する場合の管理者の負担を軽減することができる。
尚、上記各実施の形態では、頂上事象を不正アクセスとしたが、これに限定されるものではなく、発生が好ましくない事象であれば、どのような事象であっても対応することができる。
1 ログ変換部、3 統合ログデータベース、5 演算方法データベース、6 カテゴリデータベース、7,7a,7b 抽出処理部、9 GUI画面制御部、101 要因階層1(頂上事象)、102 要因階層2、103 要因階層3、104 要因階層4、105 要因階層5(最下位の基本事象)、106,106a ログ。
Claims (5)
- 頂上事象を分析対象の分類とし、基本事象をその分類が発生する要因とするツリー構造のフォーマットを保持する演算方法データベースと、
入力されたログを前記フォーマットの最下位の基本事象の値とし、当該基本事象の値に基づいて、このフォーマットの頂上事象が発生したか否かを判定する抽出処理部とを備えたログ分析装置。 - 分析対象の分類を格納するカテゴリデータベースを備え、演算方法データベースは、当該カテゴリデータベースの分類に対応したツリー構造のフォーマットを有することを特徴とする請求項1記載のログ分析装置。
- 最下位の基本事象として、頂上事象の段階を示す複数の基本事象を備えたことを特徴とする請求項1または請求項2記載のログ分析装置。
- 入力されたログと、当該ログの基本事象とを格納する相関データベースを備えたことを特徴とする請求項1から請求項3のうちいずれか1項記載のログ分析装置。
- ログの取得対象となるネットワークで、擬似的な頂上事象を発生させる脆弱性診断装置を備え、
抽出処理部は、前記脆弱性診断装置によって発生し、入力されたログを、前記頂上事象に対応した最下位の基本事象のログとして出力するよう構成されていることを特徴とする請求項1から請求項4のうちいずれか1項記載のログ分析装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005173950A JP2006350543A (ja) | 2005-06-14 | 2005-06-14 | ログ分析装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005173950A JP2006350543A (ja) | 2005-06-14 | 2005-06-14 | ログ分析装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006350543A true JP2006350543A (ja) | 2006-12-28 |
Family
ID=37646341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005173950A Pending JP2006350543A (ja) | 2005-06-14 | 2005-06-14 | ログ分析装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006350543A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008210308A (ja) * | 2007-02-28 | 2008-09-11 | Mitsubishi Electric Corp | ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム |
| WO2015059791A1 (ja) | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| CN104778404A (zh) * | 2014-01-14 | 2015-07-15 | 株式会社Pfu | 信息处理装置及非法活动判定方法 |
| JP2020535515A (ja) * | 2017-09-29 | 2020-12-03 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | サーバ・グループを管理するためのシステム、方法、コンピュータ・プログラム、および記録媒体 |
| CN115544975A (zh) * | 2022-12-05 | 2022-12-30 | 济南丽阳神州智能科技有限公司 | 一种日志格式转换方法及设备 |
-
2005
- 2005-06-14 JP JP2005173950A patent/JP2006350543A/ja active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008210308A (ja) * | 2007-02-28 | 2008-09-11 | Mitsubishi Electric Corp | ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム |
| WO2015059791A1 (ja) | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| US10282542B2 (en) | 2013-10-24 | 2019-05-07 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| JPWO2015107861A1 (ja) * | 2014-01-14 | 2017-03-23 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
| WO2015107861A1 (ja) * | 2014-01-14 | 2015-07-23 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
| US9288221B2 (en) | 2014-01-14 | 2016-03-15 | Pfu Limited | Information processing apparatus, method for determining unauthorized activity and computer-readable medium |
| JP6014280B2 (ja) * | 2014-01-14 | 2016-10-25 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| JP6097849B2 (ja) * | 2014-01-14 | 2017-03-15 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
| WO2015107862A1 (ja) * | 2014-01-14 | 2015-07-23 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| US10277614B2 (en) | 2014-01-14 | 2019-04-30 | Pfu Limited | Information processing apparatus, method for determining activity and computer-readable medium |
| CN104778404A (zh) * | 2014-01-14 | 2015-07-15 | 株式会社Pfu | 信息处理装置及非法活动判定方法 |
| JP2020535515A (ja) * | 2017-09-29 | 2020-12-03 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | サーバ・グループを管理するためのシステム、方法、コンピュータ・プログラム、および記録媒体 |
| JP7129474B2 (ja) | 2017-09-29 | 2022-09-01 | キンドリル・インク | サーバ・グループを管理するためのシステム、方法、コンピュータ・プログラム、および記録媒体 |
| US11620381B2 (en) | 2017-09-29 | 2023-04-04 | Kyndryl, Inc. | Dynamic re-composition of patch groups using stream clustering |
| CN115544975A (zh) * | 2022-12-05 | 2022-12-30 | 济南丽阳神州智能科技有限公司 | 一种日志格式转换方法及设备 |
| CN115544975B (zh) * | 2022-12-05 | 2023-03-10 | 济南丽阳神州智能科技有限公司 | 一种日志格式转换方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Goodall et al. | Situ: Identifying and explaining suspicious behavior in networks | |
| US11336670B2 (en) | Secure communication platform for a cybersecurity system | |
| CN105264861B (zh) | 用于检测多阶段事件的方法和设备 | |
| US8056115B2 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
| US9191398B2 (en) | Method and system for alert classification in a computer network | |
| US20210297427A1 (en) | Facilitating security orchestration, automation and response (soar) threat investigation using a machine-learning driven mind map approach | |
| JP2006040247A (ja) | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム | |
| US11663500B2 (en) | Visualizing cybersecurity incidents using knowledge graph data | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
| JP2006350543A (ja) | ログ分析装置 | |
| Ghabban et al. | Comparative analysis of network forensic tools and network forensics processes | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| KR101847277B1 (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
| Salerno et al. | A situation awareness model applied to multiple domains | |
| Erbacher | Intrusion behavior detection through visualization | |
| US20070094724A1 (en) | It network security system | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| KR100656352B1 (ko) | 네트워크의 보안 관련 이벤트 정보를 표시하는 방법 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| EP3361405B1 (en) | Enhancement of intrusion detection systems | |
| Bolzoni et al. | Situational Awareness Network for the electric power system: The architecture and testing metrics | |
| JP7331948B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
| JP2006093832A (ja) | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071005 |