JP2011166476A - Log analyzing apparatus and method - Google Patents
Log analyzing apparatus and method Download PDFInfo
- Publication number
- JP2011166476A JP2011166476A JP2010027356A JP2010027356A JP2011166476A JP 2011166476 A JP2011166476 A JP 2011166476A JP 2010027356 A JP2010027356 A JP 2010027356A JP 2010027356 A JP2010027356 A JP 2010027356A JP 2011166476 A JP2011166476 A JP 2011166476A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log
- general
- feature
- feature amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、通信ログを解析するためのログ解析装置、ログ解析方法およびログ解析プログラムに関する。 The present invention relates to a log analysis device, a log analysis method, and a log analysis program for analyzing a communication log.
従来、通信装置の管理、運用には、通信装置が出力する通信履歴(以下、「通信ログ」と称する)が用いられる。この通信ログには、通信装置と他の機器との間で取り交わされる通信の履歴が記載されており、各通信における、通信元、通信先、通信サービス名、通信開始時間、通信量を含む、各通信の内容を特徴づける情報が記載されている。
通信装置管理者は、このような通信ログを定期的に解析することにより、通信装置の状態を把握する。また、通信装置管理者はこのような通信ログを基に、通信装置の設定変更を計画、実施し、通信装置での効果的な通信を実現する。さらに、通信装置に障害が発生した場合には、通信装置管理者は通信ログを解析し、障害の原因の特定を行う。
Conventionally, communication history (hereinafter referred to as “communication log”) output by a communication device is used for management and operation of the communication device. This communication log describes the history of communication exchanged between the communication device and other devices, and includes the communication source, communication destination, communication service name, communication start time, and communication volume in each communication. Information that characterizes the contents of each communication is described.
The communication device manager grasps the state of the communication device by periodically analyzing such a communication log. In addition, the communication device manager plans and implements the setting change of the communication device based on such a communication log, and realizes effective communication with the communication device. Further, when a failure occurs in the communication device, the communication device administrator analyzes the communication log and identifies the cause of the failure.
しかし、通信装置の種類が増大すると、出力される通信ログの種類が増大する(ログ種増大の問題)。
また、通信装置の数の増大、あるいは通信装置が持つ機能の増大により、通信装置から出力される通信ログの量が増大する(ログサイズ増大の問題)。
図11は、通信ログの一例を示す図である。図11に示す通信ログは、コンピュータ・ネットワーク間でのデータ通信の制御を行い、不要なデータ通信の抑制を目的とするファイヤウォール(firewall)の通信ログである。このファイヤウォールの通信ログは、テキスト形式で出力される。例えば、図11に示す通信ログ900では、一つの行が一つの通信の内容を表しており、各通信の内容を特徴づける情報が記載されている。より具体的には、通信ログ900の一つの行には、通信元、通信先、通信サービス名、通信開始時間、および通信量が含まれている。通信装置管理者は、図11に示すような通信ログをエディタで開き、通信の状態が正常かどうかを解析する。
However, when the types of communication devices increase, the types of output communication logs increase (the problem of increased log types).
Further, the increase in the number of communication devices or the increase in the functions of the communication devices increases the amount of communication logs output from the communication devices (problem of increasing log size).
FIG. 11 is a diagram illustrating an example of a communication log. The communication log shown in FIG. 11 is a firewall communication log that controls data communication between computer networks and suppresses unnecessary data communication. The firewall communication log is output in text format. For example, in the
しかし、1日に取り交わされる通信件数は数十万件から数百万件以上になり得る。そして、それに伴い、通信ログに出力される行数も数十万行から数百万行になり得る。そのため、人手で通信ログを解析するのは、はなはだ困難であるという問題がある。さらに、通信ログは、通常、テキスト形式で出力されるため、通信装置管理者が解析を行う場合、通信ログの視認性が低く、解析がはなはだ困難であるという問題があった(解析困難の問題)。 However, the number of communications exchanged per day can range from hundreds of thousands to over millions. Accordingly, the number of lines output to the communication log can be several hundred thousand to several million lines. Therefore, there is a problem that it is very difficult to manually analyze the communication log. Furthermore, since the communication log is normally output in text format, when the communication device administrator performs analysis, there is a problem that the visibility of the communication log is low and the analysis is very difficult (the problem of analysis difficulty). ).
上述したログ種増大の問題に対しては、出力される通信ログを、あらかじめ用意した所定のフォーマットに変換する方法が提案されている。例えば、特許文献1に記載のログ情報解析方法は、入力されたログ情報から時刻と他の所望のデータを抽出し、あらかじめ用意してある汎用ログフォーマットに従って入力されたログ情報を成形することで汎用ログを作成し、統一されたログ情報の解析処理の実行を可能としている。
To solve the above-mentioned problem of increasing log types, a method for converting an output communication log into a predetermined format prepared in advance has been proposed. For example, the log information analysis method described in
また、上述した解析困難の問題に対しても、特許文献1では、テキスト形式のログ情報を図形式で表し、2次元表示にて、時系列に俯瞰表示する方法が提案されている。
また、特許文献1では、ログ情報から作成された汎用ログから時刻情報を抽出し、時刻情報を基にログ情報の件数のヒストグラムを時系列に俯瞰表示している。件数のヒストグラムの表示を確認することにより曜日毎、時間毎のログ情報の周期的な動きの把握が容易に行えることを可能としている。
Also, with respect to the above-mentioned problem of difficulty in analysis,
In
また、特許文献1では、ログ情報の文字列の長さに対応した図を用いたアウトライン表示方法を提案している。具体的には、特許文献1では、選択したログ情報の一部について、ログ情報の文字列の長さに対応する抽象化された図形を用いてログ情報のアウトライン表示を行うとともに、ユーザが指定した単語およびタグ情報を出現頻度に応じた色分けでハイライト表示することで、可読性の向上を実現している。
また、特許文献1では、出現頻度の低いログメッセージは不正侵入等を示す可能性が高いとし、テキストマイニング技術を用いてログ情報から、単語の出現頻度を計測し、不正侵入等を判定する方法が提案されている。
Also, in
特許文献1では、テキスト形式の通信ログを図形式で表し、時系列に俯瞰表示する方法が提案され、上述した解析困難の問題の解決が試みられている。しかし、通信ログの文字列の長さは通信ログの内容を直接表示するものではない。通信ログの文字列の長さの図示から通信全体の動向は把握できるが、通信の内容を反映した挙動を理解することは出来ない。
また、特許文献1では、通信ログを2次元で表示しているため、多面的な観点から解析を行うのが困難である。
また、特許文献1では、通信ログ件数のヒストグラム表示方法が提案されているが、ヒストグラム表示方法により件数の推移を理解することは可能だが、通信ログの解析に重要な通信の内容を十分に反映するものではない。効果的な通信ログの解析には、通信ログに記載されている通信の内容を反映する属性を時系列に表示することが有効だが、特許文献1ではこの点については言及がなされていない。
Moreover, in
また、通信装置管理者にとっては、通信ログに記載の通信が、本来許可されるべき通信なのか、それとも許可されるべき通信ではないのかという、通信内容に応じた通信の許可/不許可の解析およびその結果の表示が重要であるが、特許文献1ではそのような言及はなされていない。
また、特許文献1では、ユーザが指定した単語およびタグ情報を出現頻度に応じた色分け表示を行ってはいるが、出現頻度が少ないということは、その通信が他の通信に比べ特徴的であるという示唆にはなるが、不正侵入を示す可能性が高いというわけではない。不正侵入の頻度が高ければ正常動作の頻度が相対的に低くなり、期待した動作とは逆の動作をする場合もある。また、特徴的な通信を抽出するのならば、出現頻度が高くなっている通信も特定する必要がある。
For communication device managers, analysis of communication permission / non-permission according to the communication contents, whether the communication described in the communication log is communication that should be permitted or not. And the display of the result is important, but such a reference is not made in
Further, in
そこで本発明は、上記従来の未解決の問題に着目してなされたものであり、専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行う通信の挙動を容易に理解することを可能とする、ログ解析装置、ログ解析方法およびログ解析プログラムを提供することを目的とする。 Therefore, the present invention has been made by paying attention to the above-mentioned conventional unsolved problems, and even if the operator does not have specialized knowledge, the communication device performs communication from a large amount of communication logs generated by the communication device. It is an object of the present invention to provide a log analysis device, a log analysis method, and a log analysis program that make it possible to easily understand the behavior.
上記問題を解決するために、本発明は、複数の通信を含む通信ログの入力を受け付ける通信ログ入力手段と、前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出手段と、前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示手段と、を有し、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示手段は、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析装置を提案する。 In order to solve the above problem, the present invention is characterized by communication log input means for receiving input of a communication log including a plurality of communications, and M types (M is an integer of 4 or more) for each communication of the communication log. Feature quantity extraction means for extracting a feature quantity group consisting of quantities, and communication status display means for performing N-dimensional display (N is an integer satisfying 3 ≦ N <M) for the plurality of feature quantity groups, Proposed a log analysis device characterized in that at least one of the feature quantities included in the feature quantity group relates to time, and the communication status display means relates to time in at least one of the N dimensions. To do.
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
また、ログ解析装置は、前記複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する汎用ログ生成手段と、前記特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて前記複数の汎用ログを分類する汎用ログ分類手段と、をさらに有し、前記通信状況表示手段は、前記分類された汎用ログに基づいて、前記特定の特徴量ごとに前記N次元表示を行うようになっていてもよい。
According to this configuration, since the communication status is displayed based on the feature amount that specifically represents the content of communication, it is possible to easily understand the behavior reflecting the content of communication at a glance. Further, by displaying N-dimensionally the contents of communication, it is possible to grasp the state of communication from a multifaceted viewpoint.
In addition, the log analysis device includes a general-purpose log generation unit that generates a general-purpose log based on a predetermined format for the plurality of feature amount groups, and a specific feature amount among M types of feature amounts included in the feature amount group. A general-purpose log classifying unit that classifies the plurality of general-purpose logs based on the N-dimensional display for each of the specific feature values based on the classified general-purpose log. You may come to do.
また、ログ解析装置は、通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、をさらに有し、前記通信状況表示手段は、前記判定手段における判定結果に基づいて前記N次元表示を行うようになっていてもよい。
この構成によれば、通信ログの中に記載されている通信について、通信が本来許可されるべき通信か、許可されるべき通信ではないのかを一見して、容易に理解することが可能になり、効果的な通信ログの解析を行うことができる。
In addition, the log analysis device permits determination model holding means for holding a determination model for determining whether communication should be permitted, and communication included in the communication log is permitted based on the determination model. Determination means for determining whether or not it should be, and the communication status display means may perform the N-dimensional display based on a determination result in the determination means.
According to this configuration, it is possible to easily understand at a glance whether the communication described in the communication log is communication that should be permitted or not. Effective communication log analysis can be performed.
また、ログ解析装置は、通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、前記汎用ログ分類手段にて分類された前記汎用ログを、前記M種類の特徴量のうちの前記特定の特徴量とは異なる特徴量に基づいて分類した後、さらに所定の時間単位で分類する汎用ログ時系列分類手段と、をさらに有し、前記判定手段は、前記汎用ログ時系列分類手段において所定の時間単位で分類された汎用ログ毎に前記判定を行い、前記通信状況表示手段は、その判定結果に基づいて前記N次元表示を行うようになっていてもよい。
この構成によれば、所定の時間単位で、通信が本来許可されるべき通信か、許可されるべき通信ではないのかがN次元表示される。これにより、通信が本来許可されるべき通信か、許可されるべき通信ではないのかについての全体的な傾向を一見して把握することができる。
In addition, the log analysis device permits determination model holding means for holding a determination model for determining whether communication should be permitted, and communication included in the communication log is permitted based on the determination model. The general-purpose log classified by the determination means for determining whether it should be and the general-purpose log classification means is classified based on a feature quantity different from the specific feature quantity among the M kinds of feature quantities And a general-purpose log time-series classification unit for further classifying in a predetermined time unit, and the determination unit performs the determination for each general-purpose log classified in a predetermined time unit by the general-purpose log time-series classification unit. The communication status display means may perform the N-dimensional display based on the determination result.
According to this configuration, in a predetermined time unit, it is N-dimensionally displayed whether the communication is originally permitted communication or not. Thereby, it is possible to grasp at a glance an overall tendency as to whether the communication should be permitted originally or not.
また、前記通信状況表示手段は、さらに、前記通信ログに含まれる各通信の所定の時間単位における通信量にも基づいて前記N次元表示を行うようになっていてもよい。
であってもよい。
この構成によれば、さらに通信件数の推移をも容易に理解することが可能になり、通信全体の中で通信件数の大小が目立つ特徴的な通信が行われている箇所を時間とともに把握することが容易となる。
また、前記特徴量群に含まれる特徴量は、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間であり、前記通信状況表示手段は、通信元IPアドレス毎に、通信先IPアドレス、通信先ポート番号、および通信開始時間について3次元表示を行うようになっていてもよい。
Further, the communication status display means may further perform the N-dimensional display based on a communication amount in a predetermined time unit of each communication included in the communication log.
It may be.
According to this configuration, it is also possible to easily understand the transition of the number of communications, and to grasp over time the locations of characteristic communications where the number of communications is conspicuous in the overall communications. Becomes easy.
The feature quantities included in the feature quantity group are a communication source IP address, a communication destination IP address, a communication destination port number, and a communication start time, and the communication status display means performs communication for each communication source IP address. Three-dimensional display may be performed for the destination IP address, the destination port number, and the communication start time.
また、本発明は、複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップ(例えば、図2のステップS102)と、前記通信ログの前記通信毎に、M種類の特徴量からなる特徴量群を抽出する特徴量抽出ステップ(例えば、図2のステップS104)と、前記複数の特徴量群について、N次元表示を行う通信状況表示ステップ(例えば、図2のステップS110)と、を有し、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析方法を提案する。
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
In addition, the present invention provides a communication log input step (for example, step S102 in FIG. 2) for receiving input of a communication log including a plurality of communications, and a feature amount including M types of feature amounts for each communication of the communication log. A feature amount extracting step for extracting groups (for example, step S104 in FIG. 2), and a communication status display step for performing N-dimensional display for the plurality of feature amount groups (for example, step S110 in FIG. 2). A log analysis method characterized in that at least one of the feature values included in the feature value group relates to time, and the communication status display step includes at least one of the N dimensions related to time. suggest.
According to this configuration, since the communication status is displayed based on the feature amount that specifically represents the content of communication, it is possible to easily understand the behavior reflecting the content of communication at a glance. Further, by displaying N-dimensionally the contents of communication, it is possible to grasp the state of communication from a multifaceted viewpoint.
また、本発明は、コンピュータに、複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップ(例えば、図2のステップS102)と、前記通信ログの前記通信毎に、M種類の特徴量からなる特徴量群を抽出する特徴量抽出ステップ(例えば、図2のステップS104)と、前記複数の特徴量群について、N次元表示を行う通信状況表示ステップ(例えば、図2のステップS110)と、を実行させるためのログ解析プログラムであって、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析プログラムを提案する。
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
In addition, the present invention provides a communication log input step (for example, step S102 in FIG. 2) for accepting input of a communication log including a plurality of communications to a computer, and M types of feature amounts for each communication of the communication log. A feature amount extraction step (for example, step S104 in FIG. 2) for extracting a feature amount group, a communication status display step for performing N-dimensional display for the plurality of feature amount groups (for example, step S110 in FIG. 2), Log analysis program for executing at least one of the feature quantities included in the feature quantity group relates to time, and the communication status display step relates to time in at least one of the N dimensions. We propose a log analysis program characterized by
According to this configuration, since the communication status is displayed based on the feature amount that specifically represents the content of communication, it is possible to easily understand the behavior reflecting the content of communication at a glance. Further, by displaying N-dimensionally the contents of communication, it is possible to grasp the state of communication from a multifaceted viewpoint.
本発明によれば、一見して通信の挙動が把握可能であり、専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行っている通信の挙動を容易に理解することが可能となる。 According to the present invention, the behavior of communication can be grasped at a glance, and the behavior of communication performed by the communication device can be determined from a large amount of communication logs generated by the communication device, even for an operator who does not have specialized knowledge. It can be easily understood.
以下、本発明の実施の形態について、図面を参照しながら説明する。なお、以下の説明において参照する各図では、他の図と同等部分は同一符号によって示す。
(実施形態1)
(ログ解析装置の構成)
図1は、本実施形態にかかるログ解析装置の構成例を示す図である。同図に示すように、ログ解析装置1は、通信ログ入力部102、特徴量抽出部104、汎用ログ生成部106、汎用ログ分類部108、および通信状況表示部110、を備えている。
また、以下に説明する各構成の機能は、ログ解析装置1が備える図示せぬCPU(Central Processing Unit)が、ハードディスクやROM(Read Only Memory)等の記憶装置に記憶されたプログラムを実行することにより実現される機能である。(以下、明細書を通じて同様である。)
Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the drawings referred to in the following description, the same parts as those in the other drawings are denoted by the same reference numerals.
(Embodiment 1)
(Configuration of log analyzer)
FIG. 1 is a diagram illustrating a configuration example of a log analysis apparatus according to the present embodiment. As illustrated in FIG. 1, the
The functions of the components described below are such that a CPU (Central Processing Unit) (not shown) included in the
通信ログ入力部102は、複数の通信を含む通信ログの入力を受け付ける。通信ログが入力される方法としては、外部の装置からネットワークを介して通信ログが受信されるようになっていてもよいし、記録媒体を介して入力される等となっていてもよい。なお、本実施形態においては、通信ログ入力部102において入力を受け付ける通信ログは、ログメッセージ転送のプロトコルであるSyslogの通信ログである。通信ログ入力部102は、具体的には、例えば、図示しないネットワークインタフェース等を介して受信した通信ログをデータベース等の形式でハードディスク等の記憶装置に記憶する。
The communication
特徴量抽出部104は、通信ログ入力部102で入力を受け付けた通信ログに含まれる通信毎に、M種類の特徴量からなる特徴量群を抽出する。また、特徴量の少なくとも一つは時間に関するものである。特徴量の具体例としては、例えば各通信の通信元IPアドレス、通信先IPアドレス、通信先ポート番号、通信開始時間、等が挙げられる。特徴量抽出部104は、具体的には、例えば、記憶装置にデータベース等の形式にて記憶されている通信ログから、通信毎にM種類の特徴量を抽出するための処理を実行し、この抽出結果をハードディスク等の記憶装置に記憶する。
The feature
汎用ログ生成部106は、特徴量抽出部104において抽出された複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する。「汎用ログ」とは、具体的には、例えば抽出した複数の特徴量を羅列して記載したものである。汎用ログ生成部106は、具体的には、例えば、記憶装置に記憶されている特徴量抽出部104での抽出結果から汎用ログを生成し、生成した汎用ログをハードディスク等の記憶装置に記憶する。
The general-purpose
汎用ログ分類部108は、特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて、汎用ログ生成部106で生成された複数の汎用ログを分類する。汎用ログ分類部108は、具体的には、例えば、記憶装置に記憶されている汎用ログを読み出し、特定の特徴量ごとに汎用ログを分類するための処理を実行し、この分類結果をハードディスク等の記憶装置に記憶する。
The general-purpose
通信状況表示部110は、特徴量抽出部104において抽出した複数の特徴量群について、N次元表示を行う。また、通信状況表示部110は、N次元の少なくとも1次元を時間に関するものとする。また、通信状況表示部110は、汎用ログ分類部108において分類された汎用ログに基づいて、汎用ログ分類部108で汎用ログを分類した特徴量ごとのN次元表示を行う。通信状況表示部110は、具体的には、例えば、汎用ログ分類部108での分類結果を記憶装置から読み出し、この分類結果の内容に応じて、N次元表示出力するための表示用画像データの生成等の処理を実行した後、ディスプレイ等の表示装置に表示出力する。
The communication
なお、実施形態1〜3においては、M=4、N=3の場合について説明する。
(ログ解析装置の動作)
本実施形態にかかるログ解析装置1の動作について、図2を用いて説明する。図2は、本実施形態にかかるログ解析装置の処理の流れを示すフロー図である。
ファイヤウォール等の通信装置から出力される通信ログであるSyslog100は、通信ログ入力部102を介してログ解析装置1に入力される(ステップS102)。通信ログ入力部102にて受け付けられたSyslog100は、特徴量抽出部104において、各通信における特徴量群として、一通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間の組み合わせが抽出される(ステップS104)。
In the first to third embodiments, a case where M = 4 and N = 3 will be described.
(Operation of log analyzer)
The operation of the
汎用ログ生成部106では、特徴量抽出部104で抽出された複数の特徴量群を用いて所定のフォーマットに従って、一通信毎に一つの汎用ログが生成される(ステップS106)。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数の汎用ログが生成される。生成された複数の汎用ログは、汎用ログ分類部108において通信元IPアドレス毎に分類され、通信元IPアドレス別の汎用ログの集合が生成される(ステップS108)。
The general-purpose
最後に、通信状況表示部110において、汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログの内容に基づき、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレス別に3次元で表示出力される(ステップS110)。
図3は、通信状況表示部110における表示の具体例を示す図である。図3に示す3次元グラフ200は、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。そして、通信元IPアドレス別の汎用ログに含まれる通信開始時間、通信先IPアドレス、通信先ポート番号の組み合わせ毎に、該当する通信開始時間、通信先IPアドレス、および通信先ポート番号のグラフ200上における交点が一つの点で表示されている。また、図3のグラフ200は、特定の通信元IPアドレスから、IPアドレスAおよびIPアドレスBの二つの通信先IPアドレスへの通信を表している。
Finally, the communication
FIG. 3 is a diagram illustrating a specific example of display in the communication
図3に示すグラフは一つのみであるが、実際には、通信元IPアドレス毎に図3に示すようなグラフが表示される。この場合、通信元IPアドレス毎の複数のグラフは、一括して一つの画面に表示されてもよいし、例えば切替ボタンによってボタンを押下する毎に、画面に順次、表示されるようになっていてもよい。
図3に示すグラフ200によれば、通信開始時間の推移とともに、同一の通信先IPアドレスに対し、通信ポート番号が逐次変化している通信の挙動が容易に理解可能となる。つまり、通信開始時間、通信先ポート番号、および通信先IPアドレスを3次元に表示することで、例えばファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータでも、通信の挙動に何らかの規則性が含まれていることを容易に理解することが可能となる。
Although there is only one graph shown in FIG. 3, actually, a graph as shown in FIG. 3 is displayed for each communication source IP address. In this case, a plurality of graphs for each communication source IP address may be displayed together on one screen, for example, each time the button is pressed by a switching button, the graphs are sequentially displayed on the screen. May be.
According to the
図3に示されるような様々な通信先ポート番号にアクセスし走査する行為はポートスキャンと呼ばれ、例えばコンピュータウィルスの被害にあったコンピュータに感染したコンピュータウィルスが、自身を他のコンピュータに転送させることで自己拡散させる目的で、他のコンピュータの脆弱性を探索するために用いる手法の一つである。つまり、通信ログに含まれる特徴量である通信元IPアドレスで汎用ログを分類して表示することにより、ログ解析装置1のオペレータは、このようなコンピュータウィルスに感染したコンピュータの独特の動作を素早く把握することができる。
The act of accessing and scanning various communication port numbers as shown in FIG. 3 is called port scanning. For example, a computer virus that has infected a computer that has been damaged by a computer virus causes it to transfer itself to another computer. This is one of the methods used to search for vulnerabilities in other computers for the purpose of self-diffusion. In other words, by classifying and displaying the general-purpose log by the communication source IP address that is the feature amount included in the communication log, the operator of the
(実施形態2)
実施形態2にかかるログ解析装置は、所定の時間単位における通信量を反映した表示を行う点が特徴である。
(ログ解析装置の構成)
図4は、本実施形態にかかるログ解析装置1の構成例を示す図である。本実施形態にかかるログ解析装置1は、実施形態1のログ解析装置と比較して、重みつき通信状況表示部110’を有する点が異なり、それ以外の構成については実施形態1のログ解析装置と同様である。
(Embodiment 2)
The log analysis apparatus according to the second embodiment is characterized in that the display reflects the traffic in a predetermined time unit.
(Configuration of log analyzer)
FIG. 4 is a diagram illustrating a configuration example of the
重みつき通信状況表示部110’は、実施形態1の通信状況表示部100の機能に加えて、さらに通信ログに記載されている各通信の所定の時間単位における通信量にも基づいてN次元表示を行う。重みつき通信状況表示部110’は、具体的には、例えば通信開始時間、通信先IPアドレス、および通信先ポート番号で特定されるグラフ上の箇所を、所定の時間単位における通信件数又は通信サイズ等に比例した大きさの点で表示する。これにより、通信の挙動の理解を容易にするだけではなく、通信件数や通信サイズ等の推移の理解が容易になる。
In addition to the function of the communication
図5は、重みつき通信状況表示部110’における表示の具体例を示す図である。図5に示す3次元グラフ300は、図3と同様に、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。図5に示すグラフ300が図3に示すグラフ200と異なる点は、グラフ300上に表示する各点の大きさを、通信開始時間における所定の時間単位内における通信量に比例する大きさとしている点である。
FIG. 5 is a diagram illustrating a specific example of display on the weighted communication
図5に示すグラフ300によれば、通信開始時間の推移とともに、通信の挙動だけではなく、例えば、グラフ300上の範囲Aで指し示される部分においては、多量の通信が行われていることを容易に把握することができる。その後、例えばログ解析装置1のオペレータは大量の通信が行われている箇所に対応する通信ログを優先的に解析することで、速やかで効果的な解析が可能になる。
According to the
(実施形態3)
実施形態3にかかるログ解析装置は、通信ログに含まれる各通信が、許可されるべきものであるか否かを判定し、その判定結果を反映した表示を行う点が特徴である。
(ログ解析装置の構成)
図6は、本実施形態にかかるログ解析装置1の構成例を示す図である。本実施形態にかかるログ解析装置1は、実施形態1のログ解析装置と比較して、汎用ログ時系列分類部120、通信許可不許可判定部122、および通信許可不許可判定モデル保持部124、を有する点が異なり、それ以外の構成については実施形態1のログ解析装置と同様である。
(Embodiment 3)
The log analysis device according to the third embodiment is characterized in that each communication included in the communication log is determined whether or not the communication should be permitted, and a display reflecting the determination result is performed.
(Configuration of log analyzer)
FIG. 6 is a diagram illustrating a configuration example of the
通信許可不許可判定モデル保持部124は、通信が許可されるべきものであるか判定するための通信許可不許可判定モデル130を、ハードディスク等の記憶装置に保持する。
汎用ログ時系列分類部120は、汎用ログ分類部108にて分類された汎用ログを、M種類の特徴量のうちの、汎用ログ分類部108で汎用ログを分類した特徴量とは異なる別の特徴量に基づいて分類した後、さらに所定の時間単位で分類する。汎用ログ時系列分類部120は、具体的には、例えば、汎用ログ分類部108での分類結果を記憶装置から読み出し、この分類結果を、汎用ログ分類部108で汎用ログを分類した特徴量とは異なる別の特徴量ごとに分類するための処理を実行し、さらにこの処理結果に対して所定の時間単位で分類する処理を実行する。そして、この処理結果をハードディスク等の記憶装置に記憶する。
The communication permission / non-permission determination
The general-purpose log time-
通信許可不許可判定部122は、通信許可不許可判定モデル保持部124に保持されている通信許可不許可判定モデル130に基づいて、通信ログ入力部102にて受け付けられた通信ログに含まれる通信が許可されるべきものであるか判定する。また、通信許可不許可判定部122は、汎用ログ時系列分類部120において所定の時間単位で分類された汎用ログ毎にこの判定を行う。通信許可不許可判定部122は、具体的には、例えば、ハードディスク等の記憶装置から、通信許可不許可判定モデル130と、汎用ログ時系列分類部120での処理結果とを読み出し、各汎用ログの通信が許可されるべきものか否かを判定する処理を実行し、この判定結果をハードディスク等の記憶装置に記憶する。
また、通信状況表示部110は、通信許可不許可判定部122における判定結果に基づいてN次元表示を行う。
The communication permission /
Further, the communication
(ログ解析装置の動作)
本実施形態にかかるログ解析装置1の動作について、図7を用いて説明する。図7は、本実施形態にかかるログ解析装置の処理の流れを示すフロー図である。
ファイヤウォール等の通信装置から出力される通信ログであるSyslog100は、通信ログ入力部102を介してログ解析装置1に入力される(ステップS202)。通信ログ入力部102にて受け付けられたSyslog100は、特徴量抽出部104において、各通信における特徴量群として、一通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間の組み合わせが抽出される(ステップS204)。
(Operation of log analyzer)
The operation of the
汎用ログ生成部106では、特徴量抽出部104で抽出された特徴量群を用いて所定のフォーマットに従って、一通信毎に一つの汎用ログが生成される(ステップS206)。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数の汎用ログが生成される。生成された複数の汎用ログは、汎用ログ分類部108において通信元IPアドレス毎に分類され、通信元IPアドレス別の汎用ログの集合が生成される(ステップS208)。
The general-purpose
汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログは、汎用ログ時系列分類部120に入力される。汎用ログ時系列分類部120において、入力された通信元IPアドレス別の汎用ログは通信先IPアドレス別に分類されることで、通信元IPアドレスおよび通信先IPアドレス別の汎用ログの集合が生成される(ステップS210)。さらに、集合ごとに、各集合に含まれる複数の汎用ログは通信開始時間順でソートされ、先頭から15分間隔で分類されて、最終的には、通信元IPアドレスおよび通信先IPアドレス毎に、15分単位でまとめられた時系列別の汎用ログの集合が生成される(ステップS212)。
The general log for each communication source IP address output by the general
このようにして生成された汎用ログの時系列別の集合は、通信許可不許可判定部122に入力され、時系列別の汎用ログの集合ごとに、その集合に含まれる複数の通信全体が、本来許可されるべきものか、許可されるべきではないものかの判定がなされる(ステップS214)。具体的には、あらかじめ用意した通信許可不許可判定モデル130を用いて、機械学習手法の一つであるSVM(サポートベクターマシン)により、各通信の許可、不許可のいずれかを表す通信許可不許可フラッグが出力される。ここでは、各集合に含まれる複数の通信について、ポート番号がどのように変化しているか等のポート番号の動き等を判定要素として、時系列別の汎用ログの集合に対して一つの判定がなされる。
The set of general logs generated in this way by time series is input to the communication permission /
ここで、本実施形態では、通信許可不許可判定部122において機械学習手法の一つであるSVMを用いて許可・不許可の判定処理を行っているが、SVMに限ることはなく、判別が可能な手法であればどのような手法であっても構わない。
例えば、SVMを用いなくとも、あらかじめ用意してある通信許可不許可ルールを用いて許可・不許可の判定処理を行っても構わない。具体的には、通信許可不許可ルールには許可もしくは不許可とすべきポート番号の推移の仕方についての記述がなされており、この条件と、時系列別の汎用ログの集合に含まれている通信のポート番号の推移の仕方とを比較することで、許可・不許可の判定処理を行ってもよい。この場合、通信許可不許可モデル130は、すなわち通信許可不許可ルールである。
Here, in this embodiment, the communication permission /
For example, even if SVM is not used, the permission / denial determination process may be performed using a communication permission / deny rule prepared in advance. Specifically, the communication permission / denial rules describe how port numbers should be permitted or not permitted, and are included in this condition and the general log collection by time series. Permitted / not-permitted determination processing may be performed by comparing the transition of the communication port number. In this case, the communication permission /
図7に戻り、通信状況表示部110において、汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログの内容に基づき、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレス別に3次元で表示出力される(ステップS216)。また、通信状況表示部110にて表示を行う際に、ステップS214において通信許可不許可判定部122で出力された通信許可不許可フラッグを基に、時系列別の汎用ログの集合に含まれる各通信に該当するグラフ上の点に対し、許可、不許可を異なる色、濃淡などで表現することで、許可、不許可を明確に判別できるように表示する。
Returning to FIG. 7, the communication
なお、通信状況表示部110においては、汎用ログ分類部108で生成される通信元IPアドレス別の汎用ログの内容ではなく、汎用ログ時系列分類部120で生成される通信元IPアドレスおよび通信先IPアドレス別の汎用ログの内容に基づいて、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレスおよび通信先IPアドレス毎に3次元で表示出力されてもよい。
In the communication
図8は、通信状況表示部110における表示の具体例を示す図である。図8に示す3次元グラフ400は、汎用ログ時系列分類部120で生成される通信元IPアドレスおよび通信先IPアドレス別の汎用ログの内容に基づいて3次元表示を行った3次元グラフである。3次元グラフ400は、図3と同様に、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。そして、通信元IPアドレスおよび通信先IPアドレス別の汎用ログに含まれる通信開始時間と通信先ポート番号の組み合わせ毎に、該当する通信先IPアドレス、通信開始時間、および通信先ポート番号のグラフ400上における交点が一つの点で表示されている。なお、図8に示すグラフは一つのみであるが、実際には、通信元IPアドレスおよび通信先IPアドレス毎に、図8に示すようなグラフが表示される。
FIG. 8 is a diagram illustrating a specific example of display in the communication
また、図8のグラフ400上の範囲Yで指し示される部分は、許可されるべき通信を表している箇所であり、それ以外の部分は、許可されるべきではない通信を表した箇所である。このように、通信の許可、不許可を色などで識別可能とすることで、ファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータであっても、通信装置が行っている通信の挙動を容易に理解することが可能となり、ファイヤウォール等の設定の調整を効果的に実施することが可能になる。
In addition, the part indicated by the range Y on the
(通信許可不許可判定モデル130の生成方法)
なお、通信許可不許可判定モデル130は、以下、説明する方法で作成することができる。図9は、通信許可不許可判定モデル130を生成する装置の構成例を示す図である。
図9に示すように、通信許可不許可判定モデル生成装置は、ログ入力部502、Actionつき特徴量抽出部504、Actionつき汎用ログ生成部506、Actionつき汎用ログ分類部508、Actionつき汎用ログ時系列分類部510、および通信許可不許可判定モデル生成部512、を備えている。
まず、ログ入力部502を介して、通信ログ500が通信許可不許可判定モデル生成装置に入力される。この通信ログ500は、例えばSyslogの通信ログである。通信ログ500は、Actionつき特徴量抽出部504において、Actionつき特徴量として、一つの通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、通信開始時間、およびActionが抽出される。
(Method for generating communication permission / denial determination model 130)
The communication permission /
As illustrated in FIG. 9, the communication permission / denial determination model generation apparatus includes a
First, the
ここで、「Action」とは、通信ログ500を出力したファイヤウォール等の通信装置が、自装置を通過しようとする通信に対し、通過を許可したか否かを示すフラッグであり、通信の通過を許可した場合には“Permit”が、また通信の通過を許可しなかった場合には“Deny”が設定されている。
抽出されたActionつき特徴量は、Actionつき汎用ログ生成部506に入力される。Actionつき汎用ログ生成部506において、Actionつき特徴量を用いて、所定のフォーマットに従って、一通信毎に一つのActionつき汎用ログが生成される。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数のActionつき汎用ログが生成される。
Here, “Action” is a flag indicating whether or not a communication device such as a firewall that has output the
The extracted feature quantity with the action is input to the general-purpose
生成された複数のActionつき汎用ログは、Actionつき汎用ログ分類部508において通信元IPアドレス毎に分類され、通信元IPアドレス別のActionつき汎用ログの集合が生成される。
Actionつき汎用ログ分類部508で出力された通信元IPアドレス別のActionつき汎用ログは、Actionつき汎用ログ時系列分類部510において、さらに通信先IPアドレス毎に分類され、通信元IPアドレスおよび通信先IPアドレス別のActionつき汎用ログの集合が生成される。さらに、集合ごとに、各集合に含まれる複数のActionつき汎用ログは通信開始時間順にソートされた後、先頭から15分間隔で分類され、最終的には、通信元IPアドレスおよび通信先IPアドレス別に、15分単位でまとめられた時系列別のActionつき汎用ログの集合が生成される。
The generated general-purpose logs with an action are classified for each communication source IP address in the general-purpose
The general-purpose log with Action for each communication source IP address output from the general-purpose log classification with
このようにして生成されたActionつき汎用ログの時系列別の集合は、通信許可不許可判定モデル生成部512に入力され、Actionつき汎用ログの時系列別の集合に含まれる複数の通信に記載のAction情報を正解データとして、機械学習手法の一つであるSVMで機械学習され、通信許可不許可判定モデル130が生成される。
図10は、通信許可不許可判定部122で出力される通信許可不許可フラッグの性能を表す図である。図10に示す表600は、あらかじめ本来許可されるべき通信か否かが判明している二つの異なる通信ログ(Syslog10、Syslog20)に対し、二つの異なるモデルを用いて、通信許可不許可判定部122での判定処理を行った場合の正答率を比較する表である。
The time-series sets of general logs with actions generated in this way are input to the communication permission / denial determination
FIG. 10 is a diagram illustrating the performance of the communication permission / denial flag output from the communication permission /
この二つの異なるモデルは、通信許可不許可判定モデル生成部512においてSVMでの学習に用いられる特徴量の通信先ポート番号における値が異なる。一方は、通信先ポート番号の値として通信ポート番号自体(絶対値)を用いて通信許可不許可判定モデル130を生成したものであり、他方は、通信先ポート番号の値として通信ポート番号の変動値(相対値)を用いて通信許可不許可判定モデル130を生成したものである。
The two different models differ in the communication destination port number of the feature amount used for learning in the SVM in the communication permission / denial determination
通信ポート番号の変動値は、Actionつき汎用ログ時系列分類部510において生成されるActionつき汎用ログの時系列別の集合の先頭に記載されている通信の通信ポート番号を0として、細分化Actionつき汎用ログの中に記載されている後続の通信の通信ポート番号を、先頭に記載されている通信の通信ポート番号との差分を示す値で置き換えたものである。
通信ポート番号の変動値(相対値)を用いて生成される通信許可不許可判定モデル130は、通信ポート番号自体(絶対値)を用いて作成される通信許可不許可判定モデル130よりも汎用性が高いモデルである。
The fluctuation value of the communication port number is determined by subdividing the communication port number of communication described at the beginning of the time-series set of the general-purpose log with action generated by the general-purpose log time-
The communication permission /
また、通信ポート番号の変動値(相対値)は、通信ポート番号自体(絶対値)に比べて通信ポート番号自体の情報が欠落している。よって、通信ポート番号の変動値(相対値)を用いて生成された通信許可不許可判定モデル130に基づいて通信許可不許可判定部122での判定処理を行った場合、通信ポート番号自体(絶対値)を用いて生成された通信許可不許可判定モデル130に基づいて通信許可不許可判定部122での判定処理を行う場合に比べて正答率が低くなっている。しかしながら、いずれの通信許可不許可判定モデル130を用いて判定処理を行った場合でも、Syslog1およびSyslog2の双方に対し、97%以上の高い正答率を示していることがわかる。
本実施形態にかかるログ解析装置によれば、通信の許可・不許可が色分けされて表示されるため、ファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータでも、ファイヤウォール等の設定の調整を効果的に実施することが可能になる。
Further, the communication port number fluctuation value (relative value) lacks information on the communication port number itself as compared to the communication port number itself (absolute value). Therefore, when the determination process in the communication permission /
According to the log analysis apparatus according to the present embodiment, communication permission / denial is displayed in different colors, so even an operator who does not have expertise in firewalls or network communication can adjust the settings of the firewalls. It becomes possible to carry out effectively.
1 ログ解析装置
100 通信状況表示部
102 通信ログ入力部
104 特徴量抽出部
106 汎用ログ生成部
108 汎用ログ分類部
110 通信状況表示部
110’ 重みつき通信状況表示部
120 汎用ログ時系列分類部
122 通信許可不許可判定部
124 通信許可不許可判定モデル保持部
130 通信許可不許可モデル
200、300、400 3次元グラフ
500 通信ログ
502 ログ入力部
504 Actionつき特徴量抽出部
506 Actionつき汎用ログ生成部
508 Actionつき汎用ログ分類部
510 Actionつき汎用ログ時系列分類部
512 通信許可不許可判定モデル生成部
DESCRIPTION OF
Claims (8)
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出手段と、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示手段と、
を有し、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示手段は、前記N次元の少なくとも1次元を時間に関するものとした
ことを特徴とするログ解析装置。 A communication log input means for receiving input of a communication log including a plurality of communications;
Feature quantity extraction means for extracting a feature quantity group consisting of M kinds (M is an integer of 4 or more) of feature quantities for each communication of the communication log;
Communication status display means for performing N-dimensional display (N is an integer satisfying 3 ≦ N <M) for the plurality of feature quantity groups;
Have
At least one of the feature quantities included in the feature quantity group relates to time;
The log analysis device according to claim 1, wherein the communication status display means relates to time in at least one of the N dimensions.
前記特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて前記複数の汎用ログを分類する汎用ログ分類手段と、
をさらに有し、
前記通信状況表示手段は、前記分類された汎用ログに基づいて、前記特定の特徴量ごとに前記N次元表示を行うことを特徴とする請求項1に記載のログ解析装置。 General log generation means for generating a general log based on a predetermined format for the plurality of feature amount groups;
General-purpose log classification means for classifying the plurality of general-purpose logs based on a specific feature amount among M types of feature amounts included in the feature amount group;
Further comprising
The log analysis apparatus according to claim 1, wherein the communication status display unit performs the N-dimensional display for each specific feature amount based on the classified general-purpose log.
前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、
をさらに有し、
前記通信状況表示手段は、前記判定手段における判定結果に基づいて前記N次元表示を行うことを特徴とする請求項1又は2に記載のログ解析装置。 Determination model holding means for holding a determination model for determining whether communication should be permitted;
Based on the determination model, a determination unit that determines whether communication included in the communication log is to be permitted;
Further comprising
The log analysis apparatus according to claim 1, wherein the communication status display unit performs the N-dimensional display based on a determination result in the determination unit.
前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、
前記汎用ログ分類手段にて分類された前記汎用ログを、前記M種類の特徴量のうちの前記特定の特徴量とは異なる特徴量に基づいて分類した後、さらに所定の時間単位で分類する汎用ログ時系列分類手段と、
をさらに有し、
前記判定手段は、前記汎用ログ時系列分類手段において所定の時間単位で分類された汎用ログ毎に前記判定を行い、
前記通信状況表示手段は、その判定結果に基づいて前記N次元表示を行う
ことを特徴とする請求項2に記載のログ解析装置。 Determination model holding means for holding a determination model for determining whether communication should be permitted;
Based on the determination model, a determination unit that determines whether communication included in the communication log is to be permitted;
The general purpose log classified by the general purpose log classification means is classified based on a feature quantity different from the specific feature quantity among the M types of feature quantities, and further classified by a predetermined time unit. Log time series classification means,
Further comprising
The determination means performs the determination for each general-purpose log classified by a predetermined time unit in the general-purpose log time series classification means,
The log analysis apparatus according to claim 2, wherein the communication status display means performs the N-dimensional display based on the determination result.
前記通信状況表示手段は、通信元IPアドレス毎に、通信先IPアドレス、通信先ポート番号、および通信開始時間について3次元表示を行うことを特徴とする請求項1から5のいずれか一項に記載のログ解析装置。 The feature amounts included in the feature amount group are a communication source IP address, a communication destination IP address, a communication destination port number, and a communication start time.
The said communication status display means performs a three-dimensional display about a communication destination IP address, a communication destination port number, and a communication start time for every communication origin IP address, It is any one of Claim 1 to 5 characterized by the above-mentioned. The log analysis device described.
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出ステップと、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示ステップと、
を有し、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析方法。 A communication log input step for receiving input of a communication log including a plurality of communications;
A feature amount extraction step of extracting a feature amount group composed of M types (M is an integer of 4 or more) feature amounts for each communication of the communication log;
A communication status display step for performing N-dimensional display (N is an integer satisfying 3 ≦ N <M) for the plurality of feature quantity groups;
Have
At least one of the feature quantities included in the feature quantity group relates to time;
The log analysis method according to claim 1, wherein in the communication status display step, at least one of the N dimensions is related to time.
複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップと、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出ステップと、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示ステップと、
を実行させるためのログ解析プログラムであって、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析プログラム。 On the computer,
A communication log input step for receiving input of a communication log including a plurality of communications;
A feature amount extraction step of extracting a feature amount group composed of M types (M is an integer of 4 or more) feature amounts for each communication of the communication log;
A communication status display step for performing N-dimensional display (N is an integer satisfying 3 ≦ N <M) for the plurality of feature quantity groups;
Log analysis program for executing
At least one of the feature quantities included in the feature quantity group relates to time;
In the communication status display step, at least one of the N dimensions is related to time.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010027356A JP2011166476A (en) | 2010-02-10 | 2010-02-10 | Log analyzing apparatus and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010027356A JP2011166476A (en) | 2010-02-10 | 2010-02-10 | Log analyzing apparatus and method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011166476A true JP2011166476A (en) | 2011-08-25 |
Family
ID=44596633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010027356A Withdrawn JP2011166476A (en) | 2010-02-10 | 2010-02-10 | Log analyzing apparatus and method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011166476A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015046794A (en) * | 2013-08-28 | 2015-03-12 | 日本電信電話株式会社 | Device for supplying address information, address monitoring system, method for displaying address information, and program for supplying address information |
JP2019004284A (en) * | 2017-06-14 | 2019-01-10 | 日本電信電話株式会社 | Abnormality detection device and abnormality detection method |
-
2010
- 2010-02-10 JP JP2010027356A patent/JP2011166476A/en not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015046794A (en) * | 2013-08-28 | 2015-03-12 | 日本電信電話株式会社 | Device for supplying address information, address monitoring system, method for displaying address information, and program for supplying address information |
JP2019004284A (en) * | 2017-06-14 | 2019-01-10 | 日本電信電話株式会社 | Abnormality detection device and abnormality detection method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11601450B1 (en) | Suspicious message report processing and threat response | |
US11868404B1 (en) | Monitoring service-level performance using defined searches of machine data | |
US11134094B2 (en) | Detection of potential security threats in machine data based on pattern detection | |
CN116506217B (en) | Analysis method, system, storage medium and terminal for security risk of service data stream | |
US10735272B1 (en) | Graphical user interface for security intelligence automation platform using flows | |
WO2016164844A1 (en) | Message report processing and threat prioritization | |
US10666666B1 (en) | Security intelligence automation platform using flows | |
Cappers et al. | Understanding the context of network traffic alerts | |
US20070113185A1 (en) | Intelligent network diagram layout | |
Cappers et al. | SNAPS: Semantic network traffic analysis through projection and selection | |
CN110941822A (en) | Lesovirus detection method and apparatus | |
EP3699796B1 (en) | Message report processing and threat prioritization | |
JP2011166476A (en) | Log analyzing apparatus and method | |
Allen et al. | NAV network analysis visualization | |
US12028226B1 (en) | Content pack management in service monitoring system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20130507 |