JP2008192091A - ログ分析プログラム、ログ分析装置及びログ分析方法 - Google Patents

ログ分析プログラム、ログ分析装置及びログ分析方法 Download PDF

Info

Publication number
JP2008192091A
JP2008192091A JP2007028619A JP2007028619A JP2008192091A JP 2008192091 A JP2008192091 A JP 2008192091A JP 2007028619 A JP2007028619 A JP 2007028619A JP 2007028619 A JP2007028619 A JP 2007028619A JP 2008192091 A JP2008192091 A JP 2008192091A
Authority
JP
Japan
Prior art keywords
user
model
log
calculated
divergence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007028619A
Other languages
English (en)
Inventor
Osamu Aoki
修 青木
Hiroaki Kono
裕晃 河野
Haruko Ikeda
春子 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Wave Inc
Original Assignee
Intelligent Wave Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Wave Inc filed Critical Intelligent Wave Inc
Priority to JP2007028619A priority Critical patent/JP2008192091A/ja
Publication of JP2008192091A publication Critical patent/JP2008192091A/ja
Pending legal-status Critical Current

Links

Abstract

【課題】 ルールベース等の従来の方法によっては検知が困難な不正操作のパターンにも対応することが可能な、コンピュータ等を不正に操作しているユーザを検知するために用いることができるログ分析プログラムを提供する。
【解決手段】 同一のグループに属するユーザのコンピュータ操作等のログを収集し、グループに属する一のユーザが行った操作のログから時間の推移に沿って行われた操作のモデル作成し、同じ時点で同一のグループに属するユーザが行った操作のログから作成されたモデルの一般的な傾向と比較して分析することによって、グループ内において他のユーザに比して特異な操作を行ったユーザを検出する。また、複数の操作内容に対応して複数のモデルを作成し、各々のモデルを用いた分析結果から特異な操作を行ったユーザを特定することとすれば、より精緻な分析による検出が可能になる。
【選択図】 図1

Description

本発明は、コンピュータ等を不正に操作しているユーザを検知するために、グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられる、ログ分析プログラム、ログ分析装置及びログ分析方法に関するものである。
近年、企業内部等からの情報漏洩等を防止するための内部統制に対する要求が強まっており、コンピュータ等の不正操作を検知するためのコンピュータシステムが提供されるようになっている。このようなシステムでは、不正操作である可能性が高い操作パターンをルールとして登録し、コンピュータが受け付けた操作をルールと照合して不正操作である可能性を判定する方法や、コンピュータの操作履歴から操作のパターンを分析し、コンピュータが受け付けた操作を通常の操作パターンと対比して不正操作である可能性を判定する方法などが用いられている。
上記の操作履歴を用いた判定方法としては、ユーザ単位、コンピュータ単位の操作履歴から作成したプロファイルを用いて不正操作を判定する発明(例えば、特許文献1参照。)や、ソフトウエアの実行履歴から解析された正常動作との乖離から、異常アクセスや不正アクセスを検出する発明(例えば、特許文献2参照。)などが開示されている。
国際公開第2005/048119号パンフレット 特開2006−53788号公報特開号公報
特許文献1や特許文献2に開示された発明によれば、特定のユーザの通常の操作パターンや特定のコンピュータの操作パターンに対して異常な操作が行われた場合には、これを検出して対処を行うことが可能になる。しかしながら、比較の対象となるのはあくまで過去の操作パターンであるため、異常として検知することが可能な操作には一定の限界が生じてしまう。
まず、操作パターンによる分析を行うためには、パターンとして把握するのに十分な履歴を蓄積する必要があるため、新規のユーザや新規のコンピュータに対して、直ちにこの方法を適用することができない。また、あるユーザが不正操作を繰り返したり、あるコンピュータで繰り返し不正操作が行われたりした場合には、不正操作が通常の操作パターンであると判定されてしまうため、このような不正操作を検知することができないという問題も生じる。
このような問題に対して、一般的な不正操作のルールによる判定との組合せで対応することが可能であるが、不正操作の手法は常に一定ではなく変化していくものであるため、新たな不正操作の手法に対応するためにはルールを随時更新していかなければならない。かかる更新を行うとしても、全く新規な不正操作の手法には対応することができないという限界も有している。
本発明は、このような課題に対応するためになされたものであり、従来の方法によっては検知することが困難な不正操作のパターンにも対応することが可能な、コンピュータ等を不正に操作しているユーザを検知するために用いることができる、ログ分析プログラム、ログ分析装置及びログ分析方法を提供することを目的とするものである。
このような課題を解決するために、本発明では、同一のグループに属するユーザのコンピュータ操作等のログを収集し、グループに属する一のユーザが行った操作のログから時間の推移に沿って行われた操作のモデル作成し、同じ時点で同一のグループに属するユーザが行った操作のログから作成されたモデルの一般的な傾向と比較して分析することによって、グループ内において他のユーザに比して特異な操作を行ったユーザを検出することを可能にした。
また、例えば、電子メールの送信とプリンタへの出力などのように、複数の操作内容に対応して複数のモデルを作成し、各々のモデルを用いた分析結果から特異な操作を行ったユーザを特定することとすれば、より精緻な分析による検出が可能になる。
本発明にかかるログ分析プログラムは、グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられるログ分析プログラムであって、前記ログ分析プログラムを実行するコンピュータは、同一のグループに属する二以上のユーザが実行した所定の操作にかかる操作内容、操作時刻、操作を行ったユーザの識別情報を少なくとも含む前記操作のログを格納するログデータベースからログを取得できるように構成されていて、前記コンピュータに、二以上のユーザを対象にして、操作時刻が所定の時間帯に該当する所定の操作内容にかかるログを、前記ログデータベースから選択して取得するログ取得ステップと、前記ログ取得ステップで取得したログについて、各々のユーザのログから前記時間帯における前記操作内容についての操作状況の推移をユーザ毎に演算し、ユーザ毎の操作状況の推移を示す数値から構成されるモデルを作成するモデル作成ステップと、前記ログ取得ステップで取得したログに含まれる全てのユーザについて、前記モデル作成ステップで作成したモデルをユーザ毎にモデル記憶部に記憶させるモデル記憶ステップと、前記モデル記憶部に記憶された全てのモデルの前記モデルを構成する数値から前記時間帯における前記操作内容についての操作状況を示す平均値を演算し、前記モデル記憶部に記憶された各々のユーザのモデルを構成する数値と前記平均値との乖離計算から、各々のユーザの乖離スコアを演算する乖離スコア演算ステップと、を実行させることを特徴とするログ分析プログラムである。
また、本発明にかかるログ分析プログラムは、前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、前記コンピュータに、前記乖離スコア演算ステップで演算した乖離スコアについて、各々のモデル別に全てのユーザの乖離スコアのランキングを作成し、全てのモデルについての前記ランキングから、二以上のモデルから算出される総合乖離スコアを演算する総合乖離スコア演算ステップを実行させることを特徴とすることもできる。
また、本発明にかかるログ分析プログラムは、前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、前記コンピュータに、前記乖離スコア演算ステップで演算した乖離スコアについて、各々のユーザについて全てのモデルの乖離スコアを用いた総合スコアを演算し、全てのユーザの総合スコアを対比して総合乖離スコアを演算する総合乖離スコア演算ステップを実行させることを特徴とすることもできる。
本発明にかかるログ分析装置は、グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられるログ分析装置であって、同一のグループに属する二以上のユーザが実行した所定の操作にかかる操作内容、操作時刻、操作を行ったユーザの識別情報を少なくとも含む前記操作のログを格納するログ格納手段と、二以上のユーザを対象にして、操作時刻が所定の時間帯に該当する所定の操作内容にかかるログを、前記ログ格納手段から選択して取得するログ取得手段と、前記ログ取得手段が取得したログについて、各々のユーザのログから前記時間帯における前記操作内容についての操作状況の推移をユーザ毎に演算し、ユーザ毎の操作状況の推移を示す数値から構成されるモデルを作成するモデル作成手段と、前記ログ取得手段が取得したログに含まれる全てのユーザについて、前記モデル作成手段が作成したモデルをユーザ毎に記憶するモデル記憶手段と、前記モデル記憶手段に記憶された全てのモデルの前記モデルを構成する数値から前記時間帯における前記操作内容についての操作状況を示す平均値を演算し、前記モデル記憶手段に記憶された各々のユーザのモデルを構成する数値と前記平均値との乖離計算から、各々のユーザの乖離スコアを演算する乖離スコア演算手段と、を備えることを特徴とするログ分析装置である。
また、本発明にかかるログ分析装置は、前記ログ取得手段は、二以上の操作内容にかかるログを選択して取得し、前記モデル作成手段は、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、前記モデル記憶手段は、一のユーザについて前記モデル演算手段が演算した二以上のモデルを記憶し、前記乖離スコア演算手段は、一のユーザについて前記モデル記憶手段に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、前記乖離スコア演算手段が演算した乖離スコアについて、各々のモデル別に全てのユーザの乖離スコアのランキングを作成し、全てのモデルについての前記ランキングから、二以上のモデルから算出される総合乖離スコアを演算する総合乖離スコア演算手段を備えることを特徴とすることもできる。
また、本発明にかかるログ分析装置は、前記ログ取得手段は、二以上の操作内容にかかるログを選択して取得し、前記モデル作成手段は、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、前記モデル記憶手段は、一のユーザについて前記モデル演算手段が演算した二以上のモデルを記憶し、前記乖離スコア演算手段は、一のユーザについて前記モデル記憶手段に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、前記乖離スコア演算手段が演算した乖離スコアについて、各々のユーザについて全てのモデルの乖離スコアを用いた総合スコアを演算し、全てのユーザの総合スコアを対比して総合乖離スコアを演算する総合乖離スコア演算手段を備えることを特徴とすることもできる。
本発明にかかるログ分析方法は、グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられるログ分析方法であって、同一のグループに属する二以上のユーザが実行した所定の操作にかかる操作内容、操作時刻、操作を行ったユーザの識別情報を少なくとも含む前記操作のログを格納するログデータベースからログを取得できるように構成されたコンピュータシステムが、二以上のユーザを対象にして、操作時刻が所定の時間帯に該当する所定の操作内容にかかるログを、前記ログデータベースから選択して取得するログ取得ステップと、前記コンピュータシステムが、前記ログ取得ステップで取得したログについて、各々のユーザのログから前記時間帯における前記操作内容についての操作状況の推移をユーザ毎に演算し、ユーザ毎の操作状況の推移を示す数値から構成されるモデルを作成するモデル作成ステップと、前記コンピュータシステムが、前記ログ取得ステップで取得したログに含まれる全てのユーザについて、前記モデル作成ステップで作成したモデルをユーザ毎にモデル記憶部に記憶させるモデル記憶ステップと、前記コンピュータシステムが、前記モデル記憶部に記憶された全てのモデルの前記モデルを構成する数値から前記時間帯における前記操作内容についての操作状況を示す平均値を演算し、前記モデル記憶部に記憶された各々のユーザのモデルを構成する数値と前記平均値との乖離計算から、各々のユーザの乖離スコアを演算する乖離スコア演算ステップと、を有することを特徴とするログ分析方法である。
また、本発明にかかるログ分析方法は、前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、前記コンピュータシステムが、前記乖離スコア演算ステップで演算した乖離スコアについて、各々のモデル別に全てのユーザの乖離スコアのランキングを作成し、全てのモデルについての前記ランキングから、二以上のモデルから算出される総合乖離スコアを演算する総合乖離スコア演算ステップを有することを特徴とすることもできる。
また、本発明にかかるログ分析方法は、前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、前記コンピュータシステムが、前記乖離スコア演算ステップで演算した乖離スコアについて、各々のユーザについて全てのモデルの乖離スコアを用いた総合スコアを演算し、全てのユーザの総合スコアを対比して総合乖離スコアを演算する総合乖離スコア演算ステップを有することを特徴とすることもできる。
本発明によって、一般的な不正操作のルールとの照合や、過去の操作履歴から作成された操作パターンとの対比によっては検知することができない、グループ内における特異な操作を検出ことができるので、これによって不審なユーザを特定することが可能になる。つまり、従来の手法によっては困難であった、企業や部署などのグループ内において相対的に怪しい操作を行っているユーザを検出することが可能になる。
また、本発明においては、一般的な不正操作のルールの作成や過去の操作履歴の蓄積を必要としないので、新規のユーザや新規のコンピュータ、全く新しい不正操作の手法に対しても有効となる。
このように、従来の不正操作の検知方法にはない効果を有する本発明を従来の方法と併用することによって、不正なユーザを検出する精度を高め、企業等の内部統制に効果を発揮することが期待できる。
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下の説明は本発明の実施形態の一例であって、ログデータベースの構成や乖離計算の具体的な方法などは、以下の実施形態に限定されるものではない。
図1は、本発明にかかるログ分析装置の実施形態の一例を示す図である。図2は、本発明にかかるログ分析装置の構成の一例を示すブロック図である。図3、図4は、本発明にかかるログ分析装置のログデータベースの、それぞれ第1、第2の例を示す図である。図5は、本発明にかかるログ分析装置において、ユーザ毎のログを統合したテーブルの一例を示す図である。図6は、本発明にかかるログ分析装置において、ユーザの操作内容毎のモデルを作成するために収集したログの一例を示す図である。図7は、本発明にかかるログ分析装置において、ユーザの操作内容毎に作成したモデルの一例を示す図である。図8は、本発明にかかるログ分析装置において、乖離スコアの計算の際に行われる時間の調整方法の一例を示す図である。図9は、本発明にかかるログ分析装置における乖離スコアの計算方法の一例を示す図である。図10、図11は、本発明にかかるログ分析装置において、乖離スコアの計算の際に行われる乖離幅の調整方法の、それぞれ第1、第2の例を示す図である。図12は、本発明にかかるログ分析装置において、ユーザ毎に作成したメタモデルの一例を示す図である。図13、図14は、本発明にかかるログ分析装置において、メタモデルから総合乖離スコアを演算する、それぞれ第1、第2の例を示す図である。
図1において、本発明にかかるログ分析装置は、ログ分析サーバとログ管理サーバによって構成されている。また、本発明にかかるログ分析プログラムは、図1のログ分析サーバにおいて実行されるものである。
図1の例では、ユーザA〜Fによって構成されるグループにおいて、グループ内において他のユーザとは異なる不審な操作を行っているユーザを検出するために、本発明にかかるログ分析装置が用いられている。ユーザA〜Fは、各々が社内LANに接続されたPCなどの端末を操作して、メールサーバを用いて電子メールの送受信を行ったり、ファイルサーバに格納されたファイルの閲覧や編集を行ったり、ネットワークプリンタへの出力を行ったりしている。
ユーザA〜Fが各々の端末を用いて行ったこれらの操作履歴のログは、ログ管理サーバに収集され、操作を行ったユーザを特定することが可能なログとして管理されている。これらのログを収集するための方法は特に限定されるものではなく、操作を行った端末から収集してもよいし、メールサーバ、ファイルサーバ、ネットワークプリンタからそれぞれが受け付けたジョブの履歴を収集することとしてもよい。また、ログを収集する対象となる機器は、図1の例に限定されるものではなく、例えばオフィスへの入退室管理システムで記録された入退室の履歴データや、ファイリングキャビネットの管理システムで記録されたキャビネット開閉の履歴データ等を収集することとしてもよい。さらに、ログを収集するルートは社内LAN等の通信ネットワークに限られず、例えば各々の機器からUSBメモリ等の外部メディアに履歴データをコピーして、ログ管理サーバに収集することとしてもよい。
ログ分析サーバでは、ログ管理サーバで収集したログから、対象となる時間帯における所定の操作内容、例えば電子メールの送信、プリンタへの出力などにかかるログを収集して、これらのログからユーザ別の該時間帯における操作内容の推移を示したモデルを作成する。さらに、全てのユーザのモデルから平均的な操作傾向を示す平均値を求め、これを各々のユーザのモデルと対比することによって、グループ内で特異な操作傾向を示している不審なユーザを特定する。このようなモデルの作成については、複数の操作内容を対象に複数のモデルを作成し、多面的に特異な操作傾向を示すユーザを分析することが好ましい。
ログ分析サーバにおける分析結果については、管理者Xの端末から閲覧できるように構成されている。また、ログ分析サーバでリアルタイムに分析を行い、不審なユーザが検出されると、ログ分析サーバから管理者Xの端末に速やかに通知を行うこととしてもよい。分析結果の態様や通知の方法は特に限定されるものではなく、例えば不審な操作傾向が現れたユーザをランキングやスコアで示し、ログ分析サーバに管理者Xの端末から閲覧可能な状態で記憶させておくこととしてもよいし、不審度を示すスコアが一定の基準値を超えた場合に、ログ分析サーバから管理者Xの端末に電子メール等を発信するよう構成してもよい。
図2を用いて、本発明にかかるログ分析装置の構成について説明する。本発明にかかるログ分析装置は、監視対象となるユーザのコンピュータ等の操作にかかるログを収集して管理するログ管理サーバ20と、収集されたログを分析して特異な操作傾向を示しているユーザを特定するログ分析サーバ10の全部又は一部から構成されている。尚、本発明にかかるログ分析装置を構成する機能の物理的な構成は、必ずしも図2の例のようにログ管理サーバ20とログ分析サーバのように限定されるものではなく、全ての機能が同一のサーバに備えられていてもよいし、一部の機能が他のサーバに備えられるものであってもよい。
ログ管理サーバ20は、ログデータベース21を備えたデータベースサーバであって、社内LANに接続されたメールサーバ30、ファイルサーバ40、ネットワークプリンタ50、ユーザ端末70〜72等から、ネットワークを介して監視対象となるユーザが行った操作に関するログが収集される。尚、ログ管理サーバ20に収集されるログはネットワーク経由に限られず、監視対象となるユーザが操作するオフラインの機器のログを、USBメモリやCD−Rなどの外部メディアを用いて読み込むこととしてもよい。
図3は、ログ管理サーバ20に収集され、ログデータベース21に格納された、ネットワークプリンタから取り込んだプリンタへの出力ジョブのログの例である。ジョブ毎に設けられたレコードには、出力ジョブが受け付けられた(又は実行された)日付と時刻、ジョブの内容、出力ジョブを送信したユーザを識別する情報(ユーザ名)が含まれている。
図4は、ログ管理サーバ20に収集され、ログデータベース21に格納された、ファイルサーバから取り込んだファイルサーバへのアクセスログの例である。ファイルに対して行われた操作毎に設けられたレコードには、操作が受け付けられた(又は実行された)日付と時刻、操作の内容、操作を行ったユーザを識別する情報(ユーザID)が含まれている。
ログ管理サーバ20に収集されるログは、図3や図4の例に限られず、例えば、ユーザ端末70〜72の端末から、各々の端末が発信したジョブの履歴を受け付けることとしてもよい。いずれにしても、ログ管理サーバ20に収集されるログには、対象となる操作の内容、操作が行われた時刻、操作を行ったユーザを特定する情報が含まれている。
このようにして、様々な機器から収集されたログがログデータベース21に格納されるが、ログデータベース21に格納されるログでは、一のユーザが行った操作を容易に特定することができるように、ユーザを識別するための情報を統一することが好ましい。例えば、ログ管理サーバ20に、一のユーザについてのユーザ名、ユーザID、電子メールアドレスなど各々の機器でユーザの識別に用いられることがある情報を関連付けたテーブルを記憶させておくこととすれば、該テーブルを参照してログに含まれるユーザを識別する情報を統一することができる。
図5は、一のユーザの行った操作にかかるログを統合した、該ユーザの行動履歴を示すテーブルの一例であるが、ログデータベース21において、このように分析に必要なデータを加工した形式でユーザ毎のログを格納することとしてもよいし、ログデータベース21には様々な機器から収集されたログを混在させておいて、ログ分析サーバ10においてログの分析を行う際に、ユーザを識別する情報を関連付けたテーブル等を参照して、ユーザ別のログを収集して図5のようなテーブルを作成することとしてもよい。
ログ分析サーバ10は、ログデータベース21に格納されたログからユーザの行った操作を分析し、グループの中で特異な操作を行っているユーザを検出する機能を備えたサーバである。先に説明したように、ログ分析サーバ10はデータベースサーバの機能も備えたログ管理サーバ20と物理的に一体のコンピュータにより構成されるものであってもよいが、ここではログ分析サーバ10は、ログ管理サーバ20に収集したログを分析するために用いられるサーバとして構成されるものとして説明する。
ログ分析サーバ10は、CPU、メインメモリ、HDDを少なくとも備えたコンピュータシステムであって、HDDに格納されたアプリケーションプログラムによって所定の処理を実行するために、メインメモリにアプリケーションプログラムを読み出して、CPUが演算処理を行う。
ログ取得部11、モデル作成部12、乖離スコア演算部14、分析情報通知部16はいずれも機能的に特定されるものであって、これらの機能を実行するためには、各々に対応するアプリケーションプログラムがメインメモリに読み出されて、CPUで演算処理が行われる。モデル記憶部13、乖離スコア記憶部15には、HDDやメインメモリの所定の記憶領域が割り当てられる。
ログ分析サーバ10では、ログ取得部11が起動されて、ログ管理サーバ20のログデータベース21から、所定のタイミングでグループに属する全てのユーザが行った操作のログが取得される。尚、ここでのグループの範囲は特に限定されるものではないが、例えば、企業内のある部署内のメンバー、ある部署内で同一のプロジェクトを担当するチームのメンバー、ある部署内で同じ役割を担当する全てのスタッフなど、コンピュータ等の操作パターンが通常であれば似たものになるはずであるユーザのグループが設定される。グループに属するメンバーの特定方法も特に限定されるものではなく、例えば、ログ分析サーバ10にグループに属するユーザのユーザIDを記憶させておいて、ログに記憶されたユーザID(あるいはユーザIDに対応するユーザ名等)をキーに、グループに属するユーザのログを特定することができる。
ここで取得するログは、分析の対象となる所定の時間帯に行われた操作に関するものであり、ログに記録された各々の操作が行われた時刻(受付時刻や実行時刻)をキーにして選択される。特異な操作を行っているユーザを速やかに検出して不正操作への対策を講じるためには、ここでログを取得する対象となる時間帯は、できるだけ現在時刻に近い時刻のものであって、リアルタイムに分析が行われることが好ましい。
対象となるログが取得されると、モデル作成部12が起動されて、取得したログからユーザ毎に操作内容毎の時系列に沿った推移を示すモデルが作成される。かかるモデルを作成するために、取得したログはユーザ別、操作内容別に分類されるが、例えば、図6に示したように、ユーザの操作内容(この例では電子メールの送信)毎に設けられたテーブルに対象となるログを収集し、操作が行われた時刻をキーにソートすることによって、モデルを作成する基礎となるデータを整理することができる。
ユーザ毎の操作内容の推移を示すモデルは、例えば、図7のように作成される。図7では、分析の対象となる時間帯を10分単位の時間帯に分け、各々の時間帯において行われた操作の程度を示す数値(Value)を記録している。Valueの算出方法は行われた操作の程度を示すことができるものであれば特に限定されるものではないが、例えば、電子メールであれば送信回数、送信したメールのデータ量(バイト数)の合計などを用いることとすればよい。
図7の例に示したモデルは、ユーザ別、操作内容別に作成されるので、かかるモデルによって、ユーザが行った操作内容毎の時系列に沿った推移を定量的に把握することが可能になる。このようにして把握される推移をグループに属するユーザの一般的な操作傾向と対比し、特異な操作が行われていないかを分析することとなるが、図7のように作成したモデルをそのまま分析に用いてもよいものの、実質的には問題のない程度の時間の相違(例えば、10分程度スタート時間が遅れたものの、その後は正常な操作が継続して行われている場合)を調整するためには、直接ログから作成したモデルに、時間調整を加えたモデルを用いて一般的な操作傾向との対比に用いることが好ましい。
例えば、図8に示したように、Valueを1時間単位の合計値に置き換えることとして、1時間単位のValueを算出する際には、前後30分の時間帯のValueも用いることとする。9:00〜10:00のValueについては、8:30〜10:30の10分単位の時間帯で算出したValueを採用する。このように演算すると、10分単位の時間帯で算出したValueが2つの1時間単位の時間帯のValueに採用されることとなって、小幅な操作時刻の相違を調整することが可能になる。このような調整を行った、図8の左下に示した調整後のモデルを用いることによって、より誤判定の起こりにくい分析が可能になる。尚、図8に示した調整方法は具体例の一つであり、例えば、1つのValueをより多くの時間帯に採用することとしてもよい。
このようにして作成されたモデルは、モデル記憶部13に記憶される。モデル記憶部13に記憶されるモデルは、分析のための演算を行う間についてメインメモリに一時記憶されるものであってもよいが、分析の結果を管理者端末60で受け取った管理者が詳細な内容を確認できるようにするためには、モデルを構成するデータを分析後にも読み出すことができるように、HDDに記憶させておくことが好ましい。
モデル記憶部13にモデルが記憶されると、乖離スコア演算部14が起動されて、モデル記憶部13に記憶されたモデルを用いて、一のユーザについて把握された操作内容毎の時系列に沿った推移が、同一のグループに属するユーザの一般的な操作傾向とは異なるものでないかを分析するための演算処理が行われる。具体的には、一のユーザについての各々の時間帯における操作の程度を示すValueと、同一の時間帯におけるグループ内の平均的なValueとの乖離計算によって、グループ内で特異な操作を行っているユーザを検出する。
かかる乖離計算を行うためには、操作内容毎に、全てのユーザの平均的な操作傾向を示した数値を求めることが必要になるが、例えば、図8の左下の例のように1時間単位でValueを算出したモデルを用いる場合であれば、1時間単位の各々のValueについて全てのユーザの平均値を演算し、該平均値と各々のユーザのValueの差を演算することによって、一のユーザの行った操作が同一のグループに属するユーザの平均的な操作とどの程度乖離しているかを示すスコアを算出することができる。
図9は、ある操作(例えば電子メールの送信回数)について、8:00以降の1時間毎のValueの平均値の推移に対して、ユーザAの乖離スコアを計算する例を示したものである。各々の時間帯毎に棒グラフで示した高さがグループに属する全てのユーザのValueの平均値であるとすると、ユーザAのValue(×印)の高さとの乖離を、各々の時間帯におけるから乖離のスコアとして把握することが可能であり、対象となる時間帯におけるこれらのスコアの合計値や平均値を演算して、ユーザAの該操作にかかる乖離スコアとして採用する。
尚、全てのユーザのValueの平均値とユーザAのValueの高さの乖離は、高さの差の絶対値として把握するよりも、高さの相違をパーセンテージから求めることが好ましい。Valueが「1」相違する場合であっても、双方の値が「9」と「10」である場合に比べて、「1」と「2」である場合のほうが乖離の程度が大きく、特異な操作である可能性が高いと考えられるためである。パーセンテージの求め方は特に限定されるものではなく、例えば、ユーザAのValueをValueの平均値で除した値を用いてもよいし、双方の差をValueの平均値で除した値を用いてもよい。
また、パーセンテージではなく、一方から他方を減じた値を採用することを排除するものではないが、かかる演算を行う場合は、乖離の程度を把握するためには全てのユーザのValueの平均値とユーザAのValueの高さの差は絶対値を用いるべきであり、絶対値の合計値や平均値が乖離スコアとして採用される。
このような方法で乖離スコアの演算を行うと、各々の時間帯におけるValueが平均値と完全に一致することは少なくなるものと考えられ、実際は何ら問題のない平均的な操作を行っているユーザについても、時間帯毎に小さな値であっても乖離を示すパーセンテージが算出されることになるのが通常である。その結果、乖離スコアの演算工程が増加してしまい、コンピュータにかかる演算処理の負担が過度に重くなってしまう可能性が生じる。そこで、実際は無視できる程度の乖離は乖離スコアの演算対象から除外することによって、Valueの高さの調整を行うことが好適と考えられる。
例えば、平均値に対して20%の相違までは乖離とみなさないことにして、乖離スコアの除外対象から除くこととすれば、図10に示したユーザAの例(ユーザAのValueは×印)であれば、8:00〜9:00と11:00〜12:00の2つの時間帯については、演算対象から除外することができる。また、より乖離の程度が小さい図11に示したユーザBの例(ユーザBのValueは○印)であれば、平均値との相違は誤差の範囲とみなせる程度のものであり、全ての時間帯が乖離スコアの演算対象から除外され、ユーザBについては乖離が生じていないものとみなされる。
このようなValueの高さの調整方法についても、具体的な演算方法は特に限定されるものではなく、上記のように乖離とみなさない幅をパーセンテージで指定するのではなく、Valueの絶対値で指定することとしてもよい。また、指定するパーセンテージや絶対値は、操作内容に応じて異なる値を採用することとしてもよい(例えば、ファイルサーバへのアクセスは多少広い乖離でも許容するものの、プリンタへの出力は許容する乖離の幅を狭く設定する等)。
尚、あるユーザについては乖離が生じやすいことが予めわかっている場合(例えば、プリンタへ出力して書類をセットすることを担当しているユーザ等)には、該ユーザについては予め許容する乖離の幅を別に設定しておくことが好ましい。そのためには、対象となるユーザのユーザIDと、該ユーザについて許容する乖離の幅を、乖離スコア演算部14に関連付けて設定しておくことが必要である。
以上のように、対象となる時間帯におけるユーザ別の乖離スコアが演算されると、乖離スコア等の演算結果は乖離スコア記憶部15に記憶される。乖離スコア記憶部15に記憶される乖離スコアは、演算結果を管理者端末60等に通知するまでの間についてメインメモリに一時記憶されるものであってもよいが、管理者端末60が過去のスコアを確認したり、乖離状況の推移等を把握できたりするためには、乖離スコア等の演算結果をHDDに記憶させておくことが好ましい。
ログ分析サーバ20において演算さる乖離スコアは、一の操作内容(例えば電子メールの送信)についての特異な操作を監視するために用いるのであれば、ユーザ毎に一の操作内容に対応する一のモデルを作成し、一の乖離スコアを演算してランキング等によって不審なユーザを検出することとすればよいが、ユーザが行う操作全体を通じて不審なユーザを特定したい場合には、複数の操作内容を対象にして乖離スコアを演算することが必要になる。
この場合は、先に説明したモデルの作成について、複数の操作内容(例えば、電子メールの送信、ネットワークプリンタへの出力、ファイルサーバのファイルの更新等)を対象にして、複数のモデルを作成することとする。また、同一の操作内容について、操作の程度の基準の異なる(例えば電子メールの送信について、送信回数と送信したメールのデータ量の合計値等)複数のモデルを作成することとしてもよい。
その結果、一のユーザについて複数のモデルが作成されることとなり、これらのモデルは、図12の例に示したように、ユーザ毎のメタモデルとして把握されることになる。メタモデルを構成するデータは、モデル記憶部13に記憶される。
メタモデルを構成する個々のモデルについては、先に説明したように、全てのユーザの平均値との乖離を示す乖離スコアがユーザ毎に演算される。これらの乖離スコアを操作内容別に把握し、これを統合することによって、操作全体としての不審度を示す総合乖離スコアを演算することができる。演算された総合乖離スコアも、乖離スコア記憶部15に記憶される。
総合乖離スコアの具体的な演算方法は特に限定されるものではないが、例えば図13に示したように、各々の操作内容について乖離スコアから不審度の高いユーザについてのランキングを作成し、ランキングにおける順位から総合乖離スコアを演算することができる。例えば、1位に5ポイント、2位に4ポイントといった順で、ランキングの高いものから順に高いポイントを付与することとすれば、全てのモデルについてのユーザ別のポイントの合計値から総合乖離スコアを演算することができる。
又は、各々の操作内容について演算された乖離スコアの合計値や平均値などを用いて、総合乖離スコアを演算することとしてもよい。例えば図14に示したように、ユーザ毎に乖離スコアの平均値を演算して、総合乖離スコアとして採用することとしてもよい。
このようにして乖離スコアや総合乖離スコアが演算されると、分析情報通知部16を起動して、ネットワークを介して演算結果を管理者端末60に通知することとしてもよい。演算結果の通知は、総合乖離スコア等を演算する都度行うこととしてもよいし、演算の結果、総合乖離スコア等が所定の閾値を超えるユーザが発生した場合に限って通知を行うこととしてもよい。通知の方法は特に限定されるものではなく、管理者端末60のGUIに出力させてもよいし、電子メールを用いて送信することとしてもよい。
また、通知を行うだけでなく、管理者端末60にモデル記憶部13や乖離スコア記憶部15へのアクセス権限をIDやパスワードを用いて設定し、スコアの詳細を確認したり、モデルを参照することによって特異な操作が行われた時間帯を確認したりして、算出されたスコアの根拠を確認できるよう構成することとしてもよい。また、ログデータベース21へのアクセス権限を設定して、問題のある可能性がある操作のログを個別に確認できるよう構成してもよい。
本発明にかかるログ分析装置の実施形態の一例を示す図である。 本発明にかかるログ分析装置の構成の一例を示すブロック図である。 本発明にかかるログ分析装置のログデータベースの第1の例を示す図である。 本発明にかかるログ分析装置のログデータベースの第2の例を示す図である。 本発明にかかるログ分析装置において、ユーザ毎のログを統合したテーブルの一例を示す図である。 本発明にかかるログ分析装置において、ユーザの操作内容毎のモデルを作成するために収集したログの一例を示す図である。 本発明にかかるログ分析装置において、ユーザの操作内容毎に作成したモデルの一例を示す図である。 本発明にかかるログ分析装置において、乖離スコアの計算の際に行われる時間の調整方法の一例を示す図である。 本発明にかかるログ分析装置における乖離スコアの計算方法の一例を示す図である。 本発明にかかるログ分析装置において、乖離スコアの計算の際に行われる乖離幅の調整方法の第1の例を示す図である。 本発明にかかるログ分析装置において、乖離スコアの計算の際に行われる乖離幅の調整方法の第2の例を示す図である。 本発明にかかるログ分析装置において、ユーザ毎に作成したメタモデルの一例を示す図である。 本発明にかかるログ分析装置において、メタモデルから総合乖離スコアを演算する第1の例を示す図である。 本発明にかかるログ分析装置において、メタモデルから総合乖離スコアを演算する第2の例を示す図である。
符号の説明
10 ログ分析サーバ
11 ログ取得部
12 モデル作成部
13 モデル記憶部
14 乖離スコア演算部
15 乖離スコア記憶部
16 分析情報通知部
20 ログ管理サーバ
21 ログデータベース
30 メールサーバ
40 ファイルサーバ
50 ネットワークプリンタ
60 管理者端末
70 ユーザ端末
71 ユーザ端末
72 ユーザ端末

Claims (9)

  1. グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられるログ分析プログラムであって、
    前記ログ分析プログラムを実行するコンピュータは、同一のグループに属する二以上のユーザが実行した所定の操作にかかる操作内容、操作時刻、操作を行ったユーザの識別情報を少なくとも含む前記操作のログを格納するログデータベースからログを取得できるように構成されていて、
    前記コンピュータに、
    二以上のユーザを対象にして、操作時刻が所定の時間帯に該当する所定の操作内容にかかるログを、前記ログデータベースから選択して取得するログ取得ステップと、
    前記ログ取得ステップで取得したログについて、各々のユーザのログから前記時間帯における前記操作内容についての操作状況の推移をユーザ毎に演算し、ユーザ毎の操作状況の推移を示す数値から構成されるモデルを作成するモデル作成ステップと、
    前記ログ取得ステップで取得したログに含まれる全てのユーザについて、前記モデル作成ステップで作成したモデルをユーザ毎にモデル記憶部に記憶させるモデル記憶ステップと、
    前記モデル記憶部に記憶された全てのモデルの前記モデルを構成する数値から前記時間帯における前記操作内容についての操作状況を示す平均値を演算し、前記モデル記憶部に記憶された各々のユーザのモデルを構成する数値と前記平均値との乖離計算から、各々のユーザの乖離スコアを演算する乖離スコア演算ステップと、
    を実行させることを特徴とするログ分析プログラム。
  2. 前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、
    前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、
    前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、
    前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、
    前記コンピュータに、
    前記乖離スコア演算ステップで演算した乖離スコアについて、各々のモデル別に全てのユーザの乖離スコアのランキングを作成し、全てのモデルについての前記ランキングから、二以上のモデルから算出される総合乖離スコアを演算する総合乖離スコア演算ステップを実行させること
    を特徴とする請求項1記載のログ分析プログラム。
  3. 前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、
    前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、
    前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、
    前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、
    前記コンピュータに、
    前記乖離スコア演算ステップで演算した乖離スコアについて、各々のユーザについて全てのモデルの乖離スコアを用いた総合スコアを演算し、全てのユーザの総合スコアを対比して総合乖離スコアを演算する総合乖離スコア演算ステップを実行させること
    を特徴とする請求項1記載のログ分析プログラム。
  4. グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられるログ分析装置であって、
    同一のグループに属する二以上のユーザが実行した所定の操作にかかる操作内容、操作時刻、操作を行ったユーザの識別情報を少なくとも含む前記操作のログを格納するログ格納手段と、
    二以上のユーザを対象にして、操作時刻が所定の時間帯に該当する所定の操作内容にかかるログを、前記ログ格納手段から選択して取得するログ取得手段と、
    前記ログ取得手段が取得したログについて、各々のユーザのログから前記時間帯における前記操作内容についての操作状況の推移をユーザ毎に演算し、ユーザ毎の操作状況の推移を示す数値から構成されるモデルを作成するモデル作成手段と、
    前記ログ取得手段が取得したログに含まれる全てのユーザについて、前記モデル作成手段が作成したモデルをユーザ毎に記憶するモデル記憶手段と、
    前記モデル記憶手段に記憶された全てのモデルの前記モデルを構成する数値から前記時間帯における前記操作内容についての操作状況を示す平均値を演算し、前記モデル記憶手段に記憶された各々のユーザのモデルを構成する数値と前記平均値との乖離計算から、各々のユーザの乖離スコアを演算する乖離スコア演算手段と、
    を備えることを特徴とするログ分析装置。
  5. 前記ログ取得手段は、二以上の操作内容にかかるログを選択して取得し、
    前記モデル作成手段は、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、
    前記モデル記憶手段は、一のユーザについて前記モデル演算手段が演算した二以上のモデルを記憶し、
    前記乖離スコア演算手段は、一のユーザについて前記モデル記憶手段に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、
    前記乖離スコア演算手段が演算した乖離スコアについて、各々のモデル別に全てのユーザの乖離スコアのランキングを作成し、全てのモデルについての前記ランキングから、二以上のモデルから算出される総合乖離スコアを演算する総合乖離スコア演算手段を備えること
    を特徴とする請求項4記載のログ分析装置。
  6. 前記ログ取得手段は、二以上の操作内容にかかるログを選択して取得し、
    前記モデル作成手段は、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、
    前記モデル記憶手段は、一のユーザについて前記モデル演算手段が演算した二以上のモデルを記憶し、
    前記乖離スコア演算手段は、一のユーザについて前記モデル記憶手段に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、
    前記乖離スコア演算手段が演算した乖離スコアについて、各々のユーザについて全てのモデルの乖離スコアを用いた総合スコアを演算し、全てのユーザの総合スコアを対比して総合乖離スコアを演算する総合乖離スコア演算手段を備えること
    を特徴とする請求項4記載のログ分析装置。
  7. グループに属する一のユーザが行った操作が、同一のグループに属するユーザの一般的な操作の傾向に比較して特異な操作に当たらないかを判定するための乖離スコアの演算に用いられるログ分析方法であって、
    同一のグループに属する二以上のユーザが実行した所定の操作にかかる操作内容、操作時刻、操作を行ったユーザの識別情報を少なくとも含む前記操作のログを格納するログデータベースからログを取得できるように構成されたコンピュータシステムが、二以上のユーザを対象にして、操作時刻が所定の時間帯に該当する所定の操作内容にかかるログを、前記ログデータベースから選択して取得するログ取得ステップと、
    前記コンピュータシステムが、前記ログ取得ステップで取得したログについて、各々のユーザのログから前記時間帯における前記操作内容についての操作状況の推移をユーザ毎に演算し、ユーザ毎の操作状況の推移を示す数値から構成されるモデルを作成するモデル作成ステップと、
    前記コンピュータシステムが、前記ログ取得ステップで取得したログに含まれる全てのユーザについて、前記モデル作成ステップで作成したモデルをユーザ毎にモデル記憶部に記憶させるモデル記憶ステップと、
    前記コンピュータシステムが、前記モデル記憶部に記憶された全てのモデルの前記モデルを構成する数値から前記時間帯における前記操作内容についての操作状況を示す平均値を演算し、前記モデル記憶部に記憶された各々のユーザのモデルを構成する数値と前記平均値との乖離計算から、各々のユーザの乖離スコアを演算する乖離スコア演算ステップと、
    を有することを特徴とするログ分析方法。
  8. 前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、
    前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、
    前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、
    前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、
    前記コンピュータシステムが、前記乖離スコア演算ステップで演算した乖離スコアについて、各々のモデル別に全てのユーザの乖離スコアのランキングを作成し、全てのモデルについての前記ランキングから、二以上のモデルから算出される総合乖離スコアを演算する総合乖離スコア演算ステップを有すること
    を特徴とする請求項7記載のログ分析方法。
  9. 前記ログ取得ステップでは、二以上の操作内容にかかるログを選択して取得し、
    前記モデル作成ステップでは、一のユーザについて二以上の操作内容にかかる二以上のモデルを演算し、
    前記モデル記憶ステップでは、一のユーザについて前記モデル演算ステップで演算した二以上のモデルを前記モデル記憶部に記憶させ、
    前記乖離スコア演算ステップでは、一のユーザについて前記モデル記憶部に記憶された二以上のモデルから、各々のモデルについての乖離スコアを演算して、
    前記コンピュータシステムが、前記乖離スコア演算ステップで演算した乖離スコアについて、各々のユーザについて全てのモデルの乖離スコアを用いた総合スコアを演算し、全てのユーザの総合スコアを対比して総合乖離スコアを演算する総合乖離スコア演算ステップを有すること
    を特徴とする請求項7記載のログ分析方法。
JP2007028619A 2007-02-07 2007-02-07 ログ分析プログラム、ログ分析装置及びログ分析方法 Pending JP2008192091A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007028619A JP2008192091A (ja) 2007-02-07 2007-02-07 ログ分析プログラム、ログ分析装置及びログ分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007028619A JP2008192091A (ja) 2007-02-07 2007-02-07 ログ分析プログラム、ログ分析装置及びログ分析方法

Publications (1)

Publication Number Publication Date
JP2008192091A true JP2008192091A (ja) 2008-08-21

Family

ID=39752109

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007028619A Pending JP2008192091A (ja) 2007-02-07 2007-02-07 ログ分析プログラム、ログ分析装置及びログ分析方法

Country Status (1)

Country Link
JP (1) JP2008192091A (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010092203A (ja) * 2008-10-07 2010-04-22 Nec Corp 異常検出装置および異常検出方法
JP2010097342A (ja) * 2008-10-15 2010-04-30 Toshiba Corp 異常動作検出装置及びプログラム
JP2010108469A (ja) * 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2010205081A (ja) * 2009-03-04 2010-09-16 Sogo Keibi Hosho Co Ltd 統合ログ管理装置、統合ログ管理方法、及び統合ログ管理プログラム
JP2010211257A (ja) * 2009-03-06 2010-09-24 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2010250502A (ja) * 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
WO2012001795A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
JP2012068880A (ja) * 2010-09-22 2012-04-05 Fujitsu Ltd 管理プログラム、管理装置および管理方法
WO2012153746A1 (ja) 2011-05-12 2012-11-15 日本電気株式会社 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体
WO2017145591A1 (ja) * 2016-02-26 2017-08-31 日本電信電話株式会社 分析装置、分析方法および分析プログラム
WO2017168460A1 (ja) * 2016-03-29 2017-10-05 日本電気株式会社 情報処理システム、情報処理方法および情報処理プログラム
JP2018523215A (ja) * 2015-06-15 2018-08-16 シマンテック コーポレーションSymantec Corporation ユーザ行為に基づく悪意のあるダウンロードリスクを判定するためのシステム及び方法
WO2018216100A1 (ja) * 2017-05-23 2018-11-29 日本電気株式会社 行動分析システム、行動分析方法及び記録媒体
JP2019168913A (ja) * 2018-03-23 2019-10-03 沖電気工業株式会社 不正操作検出装置、不正操作検出方法および不正操作検出プログラム
US11574211B2 (en) 2017-09-27 2023-02-07 Nec Corporation Log analysis system, log analysis method, log analysis program, and storage medium
CN116980239A (zh) * 2023-09-25 2023-10-31 江苏天创科技有限公司 一种基于sase的网络安全监控预警方法及系统

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013131257A (ja) * 2008-10-01 2013-07-04 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2010108469A (ja) * 2008-10-01 2010-05-13 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2010092203A (ja) * 2008-10-07 2010-04-22 Nec Corp 異常検出装置および異常検出方法
JP2010097342A (ja) * 2008-10-15 2010-04-30 Toshiba Corp 異常動作検出装置及びプログラム
JP2010205081A (ja) * 2009-03-04 2010-09-16 Sogo Keibi Hosho Co Ltd 統合ログ管理装置、統合ログ管理方法、及び統合ログ管理プログラム
JP2010211257A (ja) * 2009-03-06 2010-09-24 Sky Co Ltd 操作監視システム及び操作監視プログラム
JP2010250502A (ja) * 2009-04-14 2010-11-04 Nec Corp 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
US9262473B2 (en) 2010-06-30 2016-02-16 Fujitsu Limited Trail log analysis system, medium storing trail log analysis program, and trail log analysis method
JP5447668B2 (ja) * 2010-06-30 2014-03-19 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
WO2012001795A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
JP2012068880A (ja) * 2010-09-22 2012-04-05 Fujitsu Ltd 管理プログラム、管理装置および管理方法
WO2012153746A1 (ja) 2011-05-12 2012-11-15 日本電気株式会社 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体
US9183388B2 (en) 2011-05-12 2015-11-10 Nec Corporation Injustice detecting system, injustice detecting device and injustice detecting method
JP2018523215A (ja) * 2015-06-15 2018-08-16 シマンテック コーポレーションSymantec Corporation ユーザ行為に基づく悪意のあるダウンロードリスクを判定するためのシステム及び方法
JPWO2017145591A1 (ja) * 2016-02-26 2018-08-09 日本電信電話株式会社 分析装置、分析方法および分析プログラム
WO2017145591A1 (ja) * 2016-02-26 2017-08-31 日本電信電話株式会社 分析装置、分析方法および分析プログラム
US11868853B2 (en) 2016-02-26 2024-01-09 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program
WO2017168460A1 (ja) * 2016-03-29 2017-10-05 日本電気株式会社 情報処理システム、情報処理方法および情報処理プログラム
JPWO2017168460A1 (ja) * 2016-03-29 2018-11-08 日本電気株式会社 情報処理システム、情報処理方法および情報処理プログラム
JPWO2018216100A1 (ja) * 2017-05-23 2019-12-26 日本電気株式会社 行動分析システム、行動分析方法及び記録媒体
US11574210B2 (en) 2017-05-23 2023-02-07 Nec Corporation Behavior analysis system, behavior analysis method, and storage medium
WO2018216100A1 (ja) * 2017-05-23 2018-11-29 日本電気株式会社 行動分析システム、行動分析方法及び記録媒体
US11574211B2 (en) 2017-09-27 2023-02-07 Nec Corporation Log analysis system, log analysis method, log analysis program, and storage medium
JP2019168913A (ja) * 2018-03-23 2019-10-03 沖電気工業株式会社 不正操作検出装置、不正操作検出方法および不正操作検出プログラム
JP7059741B2 (ja) 2018-03-23 2022-04-26 沖電気工業株式会社 不正操作検出装置、不正操作検出方法および不正操作検出プログラム
CN116980239A (zh) * 2023-09-25 2023-10-31 江苏天创科技有限公司 一种基于sase的网络安全监控预警方法及系统
CN116980239B (zh) * 2023-09-25 2023-11-24 江苏天创科技有限公司 一种基于sase的网络安全监控预警方法及系统

Similar Documents

Publication Publication Date Title
JP2008192091A (ja) ログ分析プログラム、ログ分析装置及びログ分析方法
US8214364B2 (en) Modeling user access to computer resources
WO2017065070A1 (ja) 不審行動検知システム、情報処理装置、方法およびプログラム
US20090293121A1 (en) Deviation detection of usage patterns of computer resources
US8844029B2 (en) Risk model correcting system, risk model correcting method, and risk model correcting program
CN108268354A (zh) 数据安全监控方法、后台服务器、终端及系统
JP2011018361A (ja) 情報技術危機管理システム及びその方法
JP2010250502A (ja) 異常操作検出装置、異常操作検出方法、および異常操作検出プログラム
JP2010182194A (ja) 統合ログ生成装置及び統合ログ生成プログラム及び記録媒体
US20130263222A1 (en) Computer system and security management method
CN112163198B (zh) 一种主机登录安全检测方法、系统、装置及存储介质
JP2008027322A (ja) セキュリティ管理システムおよびその方法
JP5979132B2 (ja) 情報監視装置及び情報監視方法
JP7274162B2 (ja) 異常操作検知装置、異常操作検知方法、およびプログラム
US20150149623A1 (en) Management system and method for controlling the same
JP2007148946A (ja) 不正アクセス検知方法
US9183388B2 (en) Injustice detecting system, injustice detecting device and injustice detecting method
WO2012053041A1 (ja) セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
KR101415528B1 (ko) 분산된 시스템을 위한 데이터 오류 처리 장치 및 방법
CN116226865A (zh) 云原生应用的安全检测方法、装置、服务器、介质及产品
CN116185785A (zh) 文件异常变更的预警方法及装置
JP6780326B2 (ja) 情報処理装置及びプログラム
JP2009053896A (ja) 不正操作検出装置およびプログラム
JP4857199B2 (ja) 情報資産管理システム、ログ分析装置、及びログ分析用プログラム
JP5630193B2 (ja) 操作制限管理プログラム、操作制限管理装置及び操作制限管理方法