JP2016143320A - Log monitoring method, log monitor, log monitoring system, and log monitoring program - Google Patents
Log monitoring method, log monitor, log monitoring system, and log monitoring program Download PDFInfo
- Publication number
- JP2016143320A JP2016143320A JP2015020182A JP2015020182A JP2016143320A JP 2016143320 A JP2016143320 A JP 2016143320A JP 2015020182 A JP2015020182 A JP 2015020182A JP 2015020182 A JP2015020182 A JP 2015020182A JP 2016143320 A JP2016143320 A JP 2016143320A
- Authority
- JP
- Japan
- Prior art keywords
- log
- monitoring
- logs
- abnormal
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラムに関する。 The present invention relates to a log monitoring method, a log monitoring device, a log monitoring system, and a log monitoring program.
ネットワーク機器(以下、NW機器)やファイルサーバなどの各種機器が出力するログを分析し、システムへの攻撃や不正アクセスを検出して障害発生や情報漏洩などを防止する技術が研究されている。 Research is being conducted on techniques for analyzing logs output from various devices such as network devices (hereinafter referred to as NW devices) and file servers and detecting attacks and unauthorized access to the system to prevent failures and information leakage.
例えば、複数の通信ログを分析して不正アクセスを検出するシステムが提案されている。このシステムは、ブートフォースアタックやポートスキャンなどを監視対象のパターンに設定し、接続IP(Internet Protocol)や接続時間を分析する。また、ログ毎に日付及び時刻の情報を管理し、日時をもとにログを並べ替えた上でログを統合し、統合したログを表示するログの管理方法が提案されている。 For example, a system that detects unauthorized access by analyzing a plurality of communication logs has been proposed. This system sets boot force attack, port scan, and the like as patterns to be monitored, and analyzes connection IP (Internet Protocol) and connection time. In addition, a log management method has been proposed in which date and time information is managed for each log, logs are rearranged based on the date and time, the logs are integrated, and the integrated log is displayed.
監視対象の各機器が出力したログの分析結果から不正が検出されると、例えば、各機器やセキュリティシステムが管理者に不正を知らせるメールを送信する。メールの代わりに、パトライト(登録商標)やブザーなどを利用して不正を管理者に知らせるシステムもある。管理者は、通知された不正の内容を分析して不正の原因を特定する。 When fraud is detected from the analysis result of the log output by each device to be monitored, for example, each device or the security system transmits an email notifying the administrator of the fraud. There is also a system for notifying an administrator of fraud by using Patlite (registered trademark) or buzzer instead of email. The administrator analyzes the notified fraud contents and identifies the cause of the fraud.
多くの場合、原因を特定するために参照されるログは膨大にあるため、特定作業には長い時間がかかる上、原因の特定に至るかは管理者のスキルレベルに依存する。また、管理者はいずれかの機器が不正を検出したことを契機に原因の特定を始めるため、各機器が不正を検出するまでシステムが危険にさらされた状態になる。つまり、原因の特定作業は、機器が不正と判断するログ(以下、異常ログ)が検出されてから開始される。 In many cases, there are an enormous amount of logs that are referenced to identify the cause, so it takes a long time to perform the specific work, and whether the cause is identified depends on the skill level of the administrator. In addition, since the administrator starts to identify the cause when any device detects fraud, the system is in danger until each device detects fraud. In other words, the cause identifying operation is started after a log (hereinafter referred to as an abnormal log) that the device determines to be illegal is detected.
原因の特定が遅延すると被害が深刻化する。不正が疑われる状況を早期に発見することができれば、このような被害の深刻化を避けることができる。ただ、機器が出力する膨大なログの大部分を占める、機器が不正なしと判断するログ(以下、正常ログ)から、不正が疑われる状況を管理者が発見するのは現実的に難しい。各機器が不正なしと判断した正常ログから、どのように不正が疑われる状況を発見するのかも問題となる。 If the cause is delayed, damage will become serious. If a situation suspected of fraud can be detected at an early stage, such serious damage can be avoided. However, it is practically difficult for an administrator to find a suspected fraud situation from a log that occupies most of the enormous log output by the device and from which the device judges that there is no fraud (hereinafter, normal log). It is also a problem how to find a situation where fraud is suspected from the normal log that each device has determined to be fraudulent.
本発明の目的は、不正の疑いのある監視対象の早期発見が可能なログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラムを提供することにある。 An object of the present invention is to provide a log monitoring method, a log monitoring device, a log monitoring system, and a log monitoring program capable of early detection of a monitoring target suspected of fraud.
1つの態様では、コンピュータが、記憶部から、監視対象が同じ複数のログ間で、該ログのログ内容を照合した場合に、該ログ内容が示す状況の組み合わせから異常と判断される該ログ内容の組み合わせを異常パターンとして取得し、複数の監視対象それぞれに関する複数のログについてログ内容の組み合わせと異常パターンとが合致するかを判定し、合致する場合には該ログ内容の少なくとも一部を含む監視情報を監視対象毎に記憶部に記憶させるログ監視方法が提供される。 In one aspect, when the computer collates the log contents of the logs from a plurality of logs with the same monitoring target from the storage unit, the log contents determined to be abnormal from the combination of the situations indicated by the log contents Is obtained as an abnormal pattern, and it is determined whether the combination of log contents matches the abnormal pattern for a plurality of logs related to a plurality of monitoring targets, and if they match, monitoring including at least a part of the log contents A log monitoring method for storing information in a storage unit for each monitoring target is provided.
1つの側面として、不正の疑いのある監視対象の早期発見が可能になる。 As one aspect, early detection of a monitoring target suspected of fraud becomes possible.
以下に添付図面を参照しながら、本発明の実施形態について説明する。なお、本明細書及び図面において実質的に同一の機能を有する要素については、同一の符号を付することにより重複説明を省略する場合がある。 Embodiments of the present invention will be described below with reference to the accompanying drawings. In addition, about the element which has the substantially same function in this specification and drawing, duplication description may be abbreviate | omitted by attaching | subjecting the same code | symbol.
<1.第1実施形態>
図1を参照しながら、第1実施形態について説明する。図1は、第1実施形態に係るログ監視システムの一例を示した図である。図1に例示したログ監視システム5は、第1実施形態に係るログ監視システムの一例である。
<1. First Embodiment>
The first embodiment will be described with reference to FIG. FIG. 1 is a diagram illustrating an example of a log monitoring system according to the first embodiment. A
図1に示すように、ログ監視システム5は、ログを出力する機器21、22、23と、機器21、22、23からログを取得するログ監視装置10とを含む。
なお、ログ監視システム5に含まれる機器の数は任意である。機器21、22、23は、ネットワークを介してログ監視装置10に接続されている。ネットワークは、有線であっても無線であってもよい。例えば、ネットワークは、LAN(Local Area Network)やWAN(Wide Area Network)などである。機器21、22、23の一部又は全部は、ケーブルなどを用いて直接的にログ監視装置10に接続されていてもよい。
As illustrated in FIG. 1, the
Note that the number of devices included in the
(機器21、22、23について)
機器21、22、23は、例えば、端末装置、サーバ装置、又はNW機器などである。
端末装置は、例えば、パーソナルコンピュータ、シンクライアント端末、携帯電話、スマートフォン、又はタブレット端末などのユーザが利用するコンピュータである。端末装置は、例えば、ユーザのログイン状況、アプリケーションプログラムの実行状況、CPU負荷状況、ネットワークへの接続状況などのログを出力する。
(About
The
The terminal device is a computer used by a user such as a personal computer, a thin client terminal, a mobile phone, a smartphone, or a tablet terminal. The terminal device outputs, for example, logs such as user login status, application program execution status, CPU load status, and network connection status.
サーバ装置は、勤怠管理サーバ、ログイン管理サーバ、VPN(Virtual Private Network)サーバ、ファイルサーバ、基幹システム、フォレンジックサーバ、SNMP(Simple Network Management Protocol)サーバ、認証サーバ、ファイアウォール、Proxyサーバなどのコンピュータである。NW機器は、例えば、ルータ、スイッチ、ロードバランサ、無線基地局などの機器である。 The server device is a computer such as an attendance management server, a login management server, a VPN (Virtual Private Network) server, a file server, a backbone system, a forensic server, an SNMP (Simple Network Management Protocol) server, an authentication server, a firewall, or a proxy server. . The NW device is, for example, a device such as a router, a switch, a load balancer, or a radio base station.
勤怠管理サーバは、例えば、出勤状況(出勤/未出勤)、出勤時刻、退勤時刻などのログを出力する。ログイン管理サーバは、例えば、ユーザのログイン時刻、ログオフ時刻、ログイン状況(ログイン/未ログイン)などのログを出力する。VPNサーバは、例えば、VPN接続の開始時刻、切断時刻、接続状況(接続/未接続)などのログを出力する。ファイルサーバは、例えば、ファイルへのアクセス開始時刻、アクセス先のファイル名などのログを出力する。 The attendance management server outputs, for example, logs such as attendance status (attendance / not attendance), attendance time, and attendance time. The login management server outputs, for example, logs such as the user login time, logoff time, and login status (logged in / not logged in). The VPN server outputs, for example, logs such as VPN connection start time, disconnection time, and connection status (connected / not connected). For example, the file server outputs a log such as the access start time of the file and the file name of the access destination.
基幹システムは、例えば、利用状況(利用中/未利用)、利用開始時刻、利用中ユーザ名、利用時に用いた端末装置のIPアドレスなどのログを出力する。フォレンジックサーバは、例えば、データの転送内容(ファイル名など)、転送元及び転送先のIPアドレス、転送日時などのログを出力する。 The backbone system outputs, for example, logs such as usage status (in use / unused), use start time, user name in use, and IP address of the terminal device used at the time of use. The forensic server outputs, for example, logs of data transfer contents (file names and the like), transfer source and transfer destination IP addresses, transfer date and time, and the like.
SNMPサーバは、例えば、送信先毎のトラフィック量などのログを出力する。認証サーバは、例えば、認証状況(認証済み/未認証)、認証日時などのログを出力する。ファイアウォール及びProxyサーバは、例えば、送信元及び送信先のIPアドレス、送信日時などのログを出力する。 For example, the SNMP server outputs a log such as a traffic amount for each transmission destination. The authentication server outputs, for example, logs such as authentication status (authenticated / unauthenticated) and authentication date / time. For example, the firewall and the proxy server output logs such as the IP address of the transmission source and the transmission destination, the transmission date and time, and the like.
機器21、22、23の種類は上記の例に限定されない。機器21、22、23が出力するログの種類も上記の例に限定されない。例えば、ゲートウェイログ、フィルタリングログ、Syslog、DHCP(Dynamic Host Configuration Protocol)/DNS(Domain Name System)ログ、メールログ、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)ログ、入退室ログ、電源・空調・照明ログ(オン/オフ)、温度・湿度ログなども利用されうる。
The types of the
ここでは、説明の都合上、機器21が勤怠管理サーバ、機器22がログイン管理サーバ、機器23がVPNサーバである場合を想定して説明を進める。この場合、機器21は、図1(A)に示すようなログ(ログ#1)を出力する。機器22は、図1(B)に示すようなログ(ログ#2)を出力する。機器23は、図1(C)に示すようなログ(ログ#3)を出力する。もちろん、第1実施形態に係る技術の適用範囲はこれに限定されない。
Here, for convenience of explanation, the description will be made assuming that the
(ログ監視装置10について)
ログ監視装置10は、記憶部11、及び制御部12を有する。
なお、記憶部11は、RAM(Random Access Memory)などの揮発性記憶装置、或いは、HDD(Hard Disk Drive)やフラッシュメモリなどの不揮発性記憶装置である。制御部12は、CPU(Central Processing Unit)やDSP(Digital Signal Processor)などのプロセッサである。但し、制御部12は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの電子回路であってもよい。制御部12は、例えば、記憶部11又は他のメモリに記憶されたプログラムを実行する。
(About log monitoring device 10)
The
The
記憶部11は、監視対象が同じ複数のログ間で、該ログのログ内容を照合した場合に、該ログ内容が示す状況の組み合わせから異常と判断される該ログ内容の組み合わせを異常パターン11aとして記憶する。なお、ログ内容は、機器21、22、23から出力されたログに含まれる情報から特定されるログの内容である。
The
図1に例示したログ#1を参照すると、社員Aの出勤状況は「未出勤」であり、社員Bの出勤状況は「出勤」である。ログ#2を参照すると、社員A、Bのログイン状況はいずれも「ログイン」である。ログ#3を参照すると、社員A、BのVPN接続による接続状況はいずれも「未接続」である。 Referring to log # 1 illustrated in FIG. 1, the attendance status of employee A is “not attended” and the attendance status of employee B is “attendance”. Referring to log # 2, the login status of employees A and B is “login”. Referring to log # 3, the connection status of employees A and B by VPN connection is “not connected”.
つまり、ログ#1を参照すると、社員名を示す情報「A」と、出勤状況を示す情報「未出勤」とを組み合わせたログ内容から、社員Aが未出勤である状況が分かる。同様に、ログ#2のログ内容から、社員A、Bがログイン中である状況が分かる。また、ログ#3のログ内容から、社員A、BがVPN接続を行っていない状況が分かる。
That is, referring to the
社員A(監視対象)に注目すると、社員Aは、出勤していないのに、ログイン管理サーバが管理する社内のシステムにログインしている。社外から社内のシステムにログインする場合は、セキュリティの見地からVPN接続が利用されるが、社員Aは、VPN接続もしていない。とすると、何者かが社員AのログインIDなどを用いて社内のシステムに不正アクセスしている疑いがある。他方、監視対象として社員Bに注目した場合には、不正アクセスなどが疑われる状況は生じていない。 When paying attention to the employee A (monitoring target), the employee A is logged in to an in-house system managed by the login management server even though he / she is not at work. When logging in to an in-house system from outside the company, a VPN connection is used from the viewpoint of security, but employee A does not have a VPN connection. Then, there is a suspicion that somebody has illegally accessed the in-house system using the login ID of employee A or the like. On the other hand, when attention is paid to employee B as a monitoring target, a situation in which unauthorized access or the like is suspected does not occur.
社員Aに関するログ#1、#2、#3は機器21、22、23が正常ログとして出力したものである。しかし、上述したように社員Aについて明らかに異常な状態が生じている。このような異常は、機器21、22、23がそれぞれ出力したログだけを分析しても検出することは容易でない。熟練した管理者が長い時間をかけて分析すれば、異常を発見できる可能性もある。しかし、異常の発見までに長い時間がかかると被害が拡大するリスクが大きい。
そこで、ログ監視装置10は、複数のログ内容を照合した場合に論理的に異常の可能性が導き出せるログ内容の組み合わせを異常パターン11aとして記憶部11に記憶させておき、この異常パターン11aを異常の検出に利用する。図1の例では、出勤状況が「未出勤」、ログイン状況が「ログイン」、VPN接続の接続状況が「未接続」となるログの組み合わせ(異常パターン11a)が検出された場合に異常と判定される。
Therefore, the
判定処理は制御部12が実行する。制御部12は、機器21、22、23から複数の監視対象それぞれに関する複数のログを取得する。例えば、制御部12は、社員名「A」に関するログ#1、#2、#3(ログ内容が出勤状況、ログイン状況、接続状況のログ)を取得する。同様に、制御部12は、社員名「B」に関するログを取得する。
The determination process is executed by the
そして、制御部12は、取得したログについてログ内容の組み合わせと異常パターン11aとが合致するかを判定し、合致する場合には該ログ内容の少なくとも一部を含む監視情報11bを監視対象毎に記憶部11に記憶させる。
Then, the
図1の例では、社員名「A」のログが異常パターン11aに合致するため、制御部12は、社員名「A」に関する監視情報11bを記憶部11に記憶させる。例えば、制御部12は、監視情報11bとして、(1)社員名だけ、又は(2)社員名、出勤状況、ログイン状況、接続状況の組を記憶部11に記憶させる。(1)の場合、管理者は、記憶部11にある監視情報11bから異常の疑いのある監視対象(社員)を特定できる。(2)の場合、管理者は、監視対象と共に、異常の疑いありと判断した理由を特定できる。
In the example of FIG. 1, since the log of the employee name “A” matches the
上記のように、第1実施形態に係る技術を適用することで、1つの機器が出力するログを分析しても検出が難しい異常を容易に発見することができる。その結果、なりすまし、標的型攻撃、不正アクセスなどの高度化する攻撃に対し、漏れが少なく、より迅速に対応することができるようになる。また、管理者のスキルへの依存が低減され、高い異常検出レベルを安定的に維持することが可能になる。 As described above, by applying the technology according to the first embodiment, it is possible to easily find an abnormality that is difficult to detect even if a log output from one device is analyzed. As a result, it is possible to respond more quickly to less sophisticated attacks such as spoofing, targeted attacks, and unauthorized access. Further, the dependence on the skill of the manager is reduced, and a high abnormality detection level can be stably maintained.
なお、上記の例では、社員名をキーに個人を監視対象としたが、キーとする情報は、その社員が利用するコンピュータのログインID、MAC(Media Access Control)アドレス、IPアドレスなどに設定してもよい。また、監視対象を人ではなくコンピュータとし、MACアドレスなどをキーに監視することも可能である。その他にも、ログに関連する情報が含まれるならば、例えば、部署、会社、ネットワーク上のグループなどを監視対象とすることも可能である。このような変形例も第1実施形態の技術的範囲に属する。 In the above example, the employee name is used as a key to monitor individuals, but the key information is set to the login ID, MAC (Media Access Control) address, IP address, etc. of the computer used by the employee. May be. It is also possible to monitor a computer, not a person, using a MAC address or the like as a key. In addition, if information related to a log is included, for example, a department, a company, a group on a network, and the like can be monitored. Such a modification also belongs to the technical scope of the first embodiment.
以上、第1実施形態について説明した。
<2.第2実施形態>
次に、第2実施形態について説明する。
The first embodiment has been described above.
<2. Second Embodiment>
Next, a second embodiment will be described.
[2−1.システム]
図2を参照しながら、第2実施形態に係るシステムについて説明する。図2は、第2実施形態に係るシステムの一例を示した図である。
[2-1. system]
A system according to the second embodiment will be described with reference to FIG. FIG. 2 is a diagram illustrating an example of a system according to the second embodiment.
図2に示すように、第2実施形態に係るシステムは、監視装置100、及び被監視装置群200を含む。
監視装置100は、被監視装置群200に含まれる各機器が出力したログを分析し、なりすまし、標的型攻撃、又は不正アクセスなどの不正が疑われる対象を特定する。例えば、監視装置100は、被監視装置群200が正常と判断したログ(正常ログ)の組み合わせから、不正アクセスを試みた疑いのあるユーザやコンピュータなどを特定する。
As shown in FIG. 2, the system according to the second embodiment includes a
The
被監視装置群200は、例えば、パーソナルコンピュータ、シンクライアント端末、携帯電話、スマートフォン、又はタブレット端末などのユーザが利用する端末装置を含む。端末装置は、例えば、ユーザのログイン状況、アプリケーションプログラムの実行状況、CPU負荷状況、ネットワークへの接続状況などのログを出力する。
The monitored
また、被監視装置群200は、勤怠管理サーバ、ログイン管理サーバ、VPNサーバ、ファイルサーバ、基幹システム、フォレンジックサーバ、SNMPサーバ、認証サーバ、ファイアウォール、Proxyサーバなどのサーバ装置を含む。
The monitored
勤怠管理サーバは、例えば、出勤状況(出勤/未出勤)、出勤時刻、退勤時刻などのログを出力する。ログイン管理サーバは、例えば、ユーザのログイン時刻、ログオフ時刻、ログイン状況(ログイン/未ログイン)などのログを出力する。VPNサーバは、例えば、VPN接続の開始時刻、切断時刻、接続状況(接続/未接続)などのログを出力する。ファイルサーバは、例えば、ファイルへのアクセス開始時刻、アクセス先のファイル名などのログを出力する。 The attendance management server outputs, for example, logs such as attendance status (attendance / not attendance), attendance time, and attendance time. The login management server outputs, for example, logs such as the user login time, logoff time, and login status (logged in / not logged in). The VPN server outputs, for example, logs such as VPN connection start time, disconnection time, and connection status (connected / not connected). For example, the file server outputs a log such as the access start time of the file and the file name of the access destination.
基幹システムは、例えば、利用状況(利用中/未利用)、利用開始時刻、利用中ユーザ名、利用時に用いた端末装置のIPアドレスなどのログを出力する。フォレンジックサーバは、例えば、データの転送内容(ファイル名など)、転送元及び転送先のIPアドレス、転送日時などのログを出力する。 The backbone system outputs, for example, logs such as usage status (in use / unused), use start time, user name in use, and IP address of the terminal device used at the time of use. The forensic server outputs, for example, logs of data transfer contents (file names and the like), transfer source and transfer destination IP addresses, transfer date and time, and the like.
SNMPサーバは、例えば、送信先毎のトラフィック量などのログを出力する。認証サーバは、例えば、認証状況(認証済み/未認証)、認証日時などのログを出力する。ファイアウォール及びProxyサーバは、例えば、送信元及び送信先のIPアドレス、送信日時などのログを出力する。 For example, the SNMP server outputs a log such as a traffic amount for each transmission destination. The authentication server outputs, for example, logs such as authentication status (authenticated / unauthenticated) and authentication date / time. For example, the firewall and the proxy server output logs such as the IP address of the transmission source and the transmission destination, the transmission date and time, and the like.
また、被監視装置群200は、例えば、ルータ、スイッチ、ロードバランサ、無線基地局などのNW機器を含む。さらに、被監視装置群200は、入退室管理機器、電源管理機器、空調管理機器、照明管理機器、温度・湿度管理機器などを含んでいてもよい。被監視装置群200から出力されうるログには、例えば、ゲートウェイログ、フィルタリングログ、Syslog、DHCP/DNSログ、メールログ、IDS/IPSログ、入退室ログ、電源・空調・照明ログ(オン/オフ)、温度・湿度ログなどがある。
The monitored
以上、第2実施形態に係るシステムについて説明した。以下では、説明の都合上、図2に例示したシステムを前提に説明を進める。
[2−2.ハードウェア]
図3を参照しながら、監視装置100の機能を実現可能なハードウェアについて説明する。図3は、第2実施形態に係る監視装置の機能を実現可能なハードウェアの一例を示した図である。
The system according to the second embodiment has been described above. In the following, for the sake of explanation, the description will be made on the assumption of the system illustrated in FIG.
[2-2. hardware]
With reference to FIG. 3, hardware capable of realizing the function of the
監視装置100が有する機能は、例えば、図3に示す情報処理装置のハードウェア資源を用いて実現することが可能である。つまり、監視装置100が有する機能は、コンピュータプログラムを用いて図3に示すハードウェアを制御することにより実現される。
The functions of the
図3に示すように、このハードウェアは、主に、CPU902と、ROM(Read Only Memory)904と、RAM906と、ホストバス908と、ブリッジ910とを有する。さらに、このハードウェアは、外部バス912と、インターフェース914と、入力部916と、出力部918と、記憶部920と、ドライブ922と、接続ポート924と、通信部926とを有する。
As shown in FIG. 3, this hardware mainly includes a
CPU902は、例えば、演算処理装置又は制御装置として機能し、ROM904、RAM906、記憶部920、又はリムーバブル記録媒体928に記録された各種プログラムに基づいて各構成要素の動作全般又はその一部を制御する。ROM904は、CPU902に読み込まれるプログラムや演算に用いるデータなどを格納する記憶装置の一例である。RAM906には、例えば、CPU902に読み込まれるプログラムや、そのプログラムを実行する際に変化する各種パラメータなどが一時的又は永続的に格納される。
The
これらの要素は、例えば、高速なデータ伝送が可能なホストバス908を介して相互に接続される。一方、ホストバス908は、例えば、ブリッジ910を介して比較的データ伝送速度が低速な外部バス912に接続される。また、入力部916としては、例えば、マウス、キーボード、タッチパネル、タッチパッド、ボタン、スイッチ、及びレバーなどが用いられる。さらに、入力部916としては、赤外線やその他の電波を利用して制御信号を送信することが可能なリモートコントローラが用いられることもある。
These elements are connected to each other via, for example, a
出力部918としては、例えば、CRT(Cathode Ray Tube)、LCD(Liquid Crystal Display)、PDP(Plasma Display Panel)、又はELD(Electro-Luminescence Display)などのディスプレイ装置が用いられる。また、出力部918として、スピーカやヘッドホンなどのオーディオ出力装置、又はプリンタなどが用いられることもある。つまり、出力部918は、情報を視覚的又は聴覚的に出力することが可能な装置である。
As the
記憶部920は、各種のデータを格納するための装置である。記憶部920としては、例えば、HDDなどの磁気記憶デバイスが用いられる。また、記憶部920として、SSD(Solid State Drive)やRAMディスクなどの半導体記憶デバイス、光記憶デバイス、又は光磁気記憶デバイスなどが用いられてもよい。
The
ドライブ922は、着脱可能な記録媒体であるリムーバブル記録媒体928に記録された情報を読み出し、又はリムーバブル記録媒体928に情報を書き込む装置である。リムーバブル記録媒体928としては、例えば、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどが用いられる。
The
接続ポート924は、例えば、USB(Universal Serial Bus)ポート、IEEE1394ポート、SCSI(Small Computer System Interface)、RS−232Cポート、又は光オーディオ端子など、外部接続機器930を接続するためのポートである。外部接続機器930としては、例えば、プリンタなどが用いられる。
The
通信部926は、ネットワーク932に接続するための通信デバイスである。通信部926としては、例えば、有線又は無線LAN用の通信回路、WUSB(Wireless USB)用の通信回路、光通信用の通信回路やルータ、ADSL(Asymmetric Digital Subscriber Line)用の通信回路やルータ、携帯電話ネットワーク用の通信回路などが用いられる。通信部926に接続されるネットワーク932は、有線又は無線により接続されたネットワークであり、例えば、インターネット、LAN、放送網、衛星通信回線などを含む。
The
以上、監視装置100の機能を実現可能なハードウェアについて説明した。なお、被監視装置群200の機能も、図3に例示したハードウェアの一部又は全部を利用して実現可能である。例えば、被監視装置群200は、CPU902、RAM906、通信部926などを有する。したがって、被監視装置群200のハードウェアについては詳細な説明を省略する。
The hardware capable of realizing the function of the
[2−3.監視装置の機能]
図4を参照しながら、監視装置100の機能について説明する。図4は、第2実施形態に係る監視装置の機能の一例を示したブロック図である。
[2-3. Monitoring device functions]
The function of the
図4に示すように、監視装置100は、記憶部101、ログ収集部102、キー生成部103、候補検出部104、及び不正判定部105を有する。
なお、記憶部101の機能は、上述したRAM906や記憶部920などを用いて実現できる。ログ収集部102の機能は、上述したCPU902、接続ポート924、通信部926などを用いて実現できる。キー生成部103、候補検出部104、及び不正判定部105の機能は、上述したCPU902などを用いて実現できる。
As illustrated in FIG. 4, the
Note that the function of the
(記憶部101)
記憶部101は、ログデータベース101a、共通キーデータベース101b、イベントデータベース101c、振る舞いデータベース101d、監視対象データベース101e、及び閾値データベース101fを有する。
(Storage unit 101)
The
(ログデータベース101a)
まず、ログデータベース101aについて説明する。ログデータベース101aは、被監視装置群200から収集されたログが登録されるデータベースである。ログデータベース101aに登録されるログの例を図5〜図10に示した。なお、図5〜図10には、説明の都合上、組み合わせ例#1〜#6としてログを組み合わせて表記しているが、ログデータベース101a内で組み合わせ毎にログ同士が対応付けられていなくてもよい。
(
First, the
図5は、第2実施形態に係るログデータベースに登録されるログの一例を示した第1の図である。図6は、第2実施形態に係るログデータベースに登録されるログの一例を示した第2の図である。図7は、第2実施形態に係るログデータベースに登録されるログの一例を示した第3の図である。 FIG. 5 is a first diagram illustrating an example of a log registered in the log database according to the second embodiment. FIG. 6 is a second diagram illustrating an example of a log registered in the log database according to the second embodiment. FIG. 7 is a third diagram illustrating an example of a log registered in the log database according to the second embodiment.
図8は、第2実施形態に係るログデータベースに登録されるログの一例を示した第4の図である。図9は、第2実施形態に係るログデータベースに登録されるログの一例を示した第5の図である。図10は、第2実施形態に係るログデータベースに登録されるログの一例を示した第6の図である。 FIG. 8 is a fourth diagram illustrating an example of a log registered in the log database according to the second embodiment. FIG. 9 is a fifth diagram illustrating an example of a log registered in the log database according to the second embodiment. FIG. 10 is a sixth diagram illustrating an example of a log registered in the log database according to the second embodiment.
図5の例(組み合わせ例#1)は、勤怠管理、ログイン管理、VPN接続に関するログを示す。勤怠管理に関するログ(ログ#1)は、社員名毎の出勤状況を記録したログである。ログイン管理に関するログ(ログ#2)は、社員名毎のログイン状況を記録したログである。VPN接続に関するログ(ログ#3)は、VPN接続の接続状況を社員名毎に記録したログである。ログ#1は、勤怠管理サーバから収集される。ログ#2は、ログイン管理サーバから収集される。ログ#3は、VPNサーバから収集される。
The example of FIG. 5 (combination example # 1) shows logs related to attendance management, login management, and VPN connection. The log (log # 1) relating to attendance management is a log recording the attendance status for each employee name. The log relating to login management (log # 2) is a log recording the login status for each employee name. The log relating to the VPN connection (log # 3) is a log in which the connection status of the VPN connection is recorded for each employee name.
図6の例(組み合わせ例#2)は、ファイルサーバ、ログイン管理、アクセス時刻に関するログを示す。ファイルサーバに関するログ(ログ#1)は、ファイル名毎にアクセス時刻を記録したログである。ログイン管理に関するログ(ログ#2)は、社員名毎のログイン状況を記録したログである。アクセス時刻に関するログ(ログ#3)は、ファイルサーバへのアクセス時刻を社員名毎に記録したログである。ログ#1は、ファイルサーバから収集される。ログ#2は、ログイン管理サーバから収集される。ログ#3は、端末装置やファイルサーバから収集される。
The example of FIG. 6 (combination example # 2) shows a log related to the file server, login management, and access time. The log related to the file server (log # 1) is a log in which the access time is recorded for each file name. The log relating to login management (log # 2) is a log recording the login status for each employee name. The log relating to the access time (log # 3) is a log in which the access time to the file server is recorded for each employee name.
図7の例(組み合わせ例#3)は、基幹システム利用、ファイアウォールに関するログを示す。基幹システム利用に関するログ(ログ#1)は、基幹システムの利用開始時刻、利用者のユーザ名、利用者が基幹システムの利用時に用いている端末装置のIPアドレスを記録したログである。ファイアウォールに関するログ(ログ#2)は、ファイアウォールを通過したデータの送信元IPアドレス、送信先IPアドレス、通過時刻を記録したログである。ログ#1は、基幹システムから収集される。ログ#2は、ファイアウォールから収集される。
The example of FIG. 7 (combination example # 3) shows logs related to the use of the backbone system and the firewall. The log (log # 1) related to the use of the backbone system is a log in which the start time of use of the backbone system, the user name of the user, and the IP address of the terminal device used by the user when using the backbone system are recorded. The log relating to the firewall (log # 2) is a log that records the transmission source IP address, transmission destination IP address, and passage time of data that has passed through the firewall.
図8の例(組み合わせ例#4)は、Proxy、ファイアウォール、フォレンジックに関するログを示す。Proxyに関するログ(ログ#1)は、Proxyサーバで転送されたデータの送信元IPアドレス、送信先IPアドレス、送信日時を記録したログである。ファイアウォールに関するログ(ログ#2)は、ファイアウォールを通過するデータの送信元IPアドレス、送信先IPアドレス、通過時刻を記録したログである。 The example of FIG. 8 (combination example # 4) shows logs related to proxy, firewall, and forensic. The proxy log (log # 1) is a log that records the transmission source IP address, transmission destination IP address, and transmission date and time of the data transferred by the proxy server. The log related to the firewall (log # 2) is a log in which the transmission source IP address, transmission destination IP address, and passage time of data passing through the firewall are recorded.
フォレンジックに関するログ(ログ#3)は、フォレンジックサーバが不正アクセスなどの疑いがあると判断した処理の内容、その処理に伴うデータの送信先IPアドレス、送信元IPアドレス、及びその処理が実行された日時を記録したログである。なお、図8(C)はネットワークフォレンジックに関するログの例であるが、コンピュータフォレンジックに関するログがログデータベース101aに登録されていてもよい。ログ#1は、Proxyサーバから収集される。ログ#2は、ファイアウォールから収集される。ログ#3は、フォレンジックサーバから収集される。
The log related to forensic (log # 3) is the content of the process that the forensic server determines to be suspected of unauthorized access, the destination IP address of the data accompanying the process, the source IP address, and the process executed This is a log that records the date and time. Although FIG. 8C is an example of a log related to network forensics, a log related to computer forensics may be registered in the
図9の例(組み合わせ例#5)は、トラフィック、ファイアウォール、ファイルサーバに関するログを示す。トラフィックに関するログ(ログ#1)は、SNMPサーバが監視するNW機器における送信先IPアドレス毎のトラフィック量を記録したログである。 The example in FIG. 9 (combination example # 5) shows logs related to traffic, firewalls, and file servers. The log relating to traffic (log # 1) is a log in which the traffic amount for each transmission destination IP address in the NW device monitored by the SNMP server is recorded.
ファイアウォールに関するログ(ログ#2)は、ファイアウォールを通過したデータの送信元IPアドレス、送信先IPアドレス、通過時刻を記録したログである。ファイルサーバに関するログ(ログ#3)は、ファイル名毎にアクセス時刻を記録したログである。ログ#1は、SNMPサーバから収集される。ログ#2は、ファイアウォールから収集される。ログ#3は、ファイルサーバから収集される。
The log relating to the firewall (log # 2) is a log that records the transmission source IP address, transmission destination IP address, and passage time of data that has passed through the firewall. The log relating to the file server (log # 3) is a log in which the access time is recorded for each file name.
図10の例(組み合わせ例#6)は、出退勤、認証に関するログを示す。出退勤に関するログ(ログ#1)は、社員名毎の出勤状況を日付毎に記録したログである。認証に関するログ(ログ#2)は、社員名毎の認証状況を日付毎に記録したログである。ログ#1は、勤怠管理サーバや入退室管理機器から収集される。ログ#2は、認証サーバや端末装置から収集される。
The example of FIG. 10 (combination example # 6) shows a log relating to attendance and leaving and authentication. The log (log # 1) relating to attendance and departure is a log in which the attendance status for each employee name is recorded for each date. The log relating to authentication (log # 2) is a log in which the authentication status for each employee name is recorded for each date.
(共通キーデータベース101b)
次に、共通キーデータベース101bについて説明する。共通キーデータベース101bは、ログデータベース101aに登録されている複数のログから、監視対象に関するログの情報(以下、ログ情報)を横断的に検索するために用いるキー情報(以下、共通キー)が登録される。共通キーデータベース101bの例を図11に示した。図11は、第2実施形態に係る共通キーデータベースの一例を示した図である。
(Common
Next, the common
図11に例示した共通キーデータベース101bは、IPアドレス、社員名、ユーザ名、ホスト名、MACアドレスなどを対応付ける。ログに含まれる情報は、多くの場合、そのログを出力する機器やアプリケーションプログラムによって異なる。他方、ある社員を特定するために、社員名の他、ユーザ名や社員番号などの複数の情報を利用することができる。同様に、ある端末装置を特定するために、IPアドレスの他、ホスト名やMACアドレスなどの複数の情報を利用することができる。
The common
そこで、共通キーデータベース101bは、社員や端末装置などの監視対象の特定に利用可能な複数の情報(共通キー)を監視対象毎に対応付ける。例えば、ログにIPアドレスが含まれていれば、そのログに社員名が含まれていなくても、共通キーデータベース101bを参照することで、社員名を特定することが可能になる。つまり、共通キーデータベース101bを利用することで、監視対象をキーに複数のログを対応付けることが可能になり、ログデータベース101aに登録された複数のログを共通キーにより横断的に探索することが可能になる。
Therefore, the common
(イベントデータベース101c)
次に、イベントデータベース101cについて説明する。イベントデータベース101cは、なりすましや不正アクセスなどの疑いのある異常な振る舞いを特定するために用いるログ及びログ情報の組み合わせを登録するデータベースである。図12にイベントデータベース101cの例を示した。図12は、第2実施形態に係るイベントデータベースの一例を示した図である。
(
Next, the
図12に例示したイベントデータベース101cの例は、図5〜図10に例示した組み合わせ例#1〜#6に対応する。ここで、図5〜図10を併せて参照しながら、組み合わせ例#1〜#6にそれぞれ対応する異常な振る舞い(以下、イベント)について説明する。以下、社員名X(X=A、B、…)の社員を社員Xと表記する。
The example of the
(振る舞いID=001のケース:組み合わせ例#1)
まず、図12に例示したイベントデータベース101cのうち、振る舞いIDが001のレコードに対応するイベントについて、図5を併せて参照しながら説明する。
(Behavior ID = 001: Combination example # 1)
First, an event corresponding to a record whose behavior ID is 001 in the
振る舞いIDが001のレコードには、イベント欄に「勤怠管理」、「ログイン管理」、「VPN接続」の3項目(以下、イベント項目)が登録され、その3項目の下にそれぞれ「未出勤」、「ログイン」、「未接続」という情報(ログ情報)が登録されている。つまり、このレコードは、「勤怠管理」に関するログのログ情報が「未出勤」、「ログイン管理」に関するログのログ情報が「ログイン」、「VPN接続」に関するログのログ情報が「未接続」の場合にイベント発生が疑われることを示している。 In the record whose behavior ID is 001, three items (hereinafter referred to as event items) of “Attendance management”, “Login management”, and “VPN connection” are registered in the event column, and “Not attended” is recorded under each of the three items. , “Login” and “Not connected” information (log information) is registered. In other words, this record has log information related to “time attendance” as “not attended”, log information related to “login management” as “login”, and log information related to “VPN connection” as “not connected”. Indicates that the event is suspected.
ここで、図5(組み合わせ例#1)のログ#1(「勤怠管理」に関するログ)を参照すると、社員Aの出勤状況は「未出勤」であり、社員Bの出勤状況は「出勤」である。ログ#2(「ログイン管理」に関するログ)を参照すると、社員A、Bのログイン状況はいずれも「ログイン」である。ログ#3(「VPN接続」に関するログ)を参照すると、社員A、BのVPN接続による接続状況はいずれも「未接続」である。 Here, referring to log # 1 (log relating to “time management”) in FIG. 5 (combination example # 1), the attendance status of employee A is “not attended” and the attendance status of employee B is “attendance”. is there. Referring to log # 2 (log related to “login management”), the login status of employees A and B is “login”. Referring to log # 3 (log relating to “VPN connection”), the connection status of employees A and B by VPN connection is “not connected”.
組み合わせ例#1のログから、社員Aは、出勤していないのに、ログイン管理サーバがログイン管理する社内の端末装置にログインしていることが分かる。社外から社内のシステムにログインする場合は、セキュリティの見地からVPN接続が利用されるが、社員Aは、VPN接続もしていない。とすると、何者かが社員AのログインIDなどを用いて社内のシステムに不正アクセス(なりすまし)している疑いがある。つまり、振る舞いIDが001のレコードに対応する状況(イベント発生の疑いのある状況)が生じている。
From the log of the
一方、社員Bについては振る舞いIDが001のレコードに対応する状況が生じていないから、社員Bはイベント発生の疑いのある状況にないことが分かる。このように、イベントデータベース101cのレコードに合致する状況が生じているかを監視対象(この例では社員)毎に調査することで、イベント発生の疑いのある監視対象を特定することができる。以下のように、振る舞いIDが001以外のレコードについても同様である。
On the other hand, since the situation corresponding to the record whose behavior ID is 001 does not occur for employee B, it can be seen that employee B is not in a situation that is suspected of causing an event. Thus, by investigating for each monitoring target (employee in this example) whether a situation that matches the record of the
(振る舞いID=002のケース:組み合わせ例#2)
図6(組み合わせ例#2)のログ#1(「ファイルサーバ」に関するログ)を参照すると、土曜日(Sat)に何度もファイルサーバのファイル(File01.zip、File02.zip)へアクセスがあったことが分かる。ログ#2(「ログイン管理」に関するログ)を参照すると、社員Aがログイン管理サーバがログイン管理する社内の端末装置にログインしていることが分かる。
(Case where behavior ID = 002: Combination example # 2)
Referring to log # 1 (log related to “file server”) in FIG. 6 (combination example # 2), the file (File01.zip, File02.zip) on the file server was accessed many times on Saturday (Sat). I understand that. Referring to log # 2 (log related to “login management”), it can be seen that employee A is logged in to an in-house terminal device managed by the login management server.
ログ#3(「アクセス時刻」に関するログ)をログ#1と共に参照すると、ファイルサーバへのアクセスが社員Aによるものであることが分かる。ログ#1〜#3を組み合わせると、休日である土曜日に端末装置へログインしてファイルサーバのファイルへ頻繁にアクセスしている振る舞いが見て取れ、端末装置が何者かに乗っ取られた可能性がある。つまり、振る舞いIDが002のレコードに対応する状況が生じており、社員Aの端末装置についてイベント発生の疑いがある。
Referring to log # 3 (log related to “access time”) together with
(振る舞いID=003のケース:組み合わせ例#3)
図7(組み合わせ例#3)のログ#1(「基幹システム利用」に関するログ)を参照すると、UserAが基幹システムを利用中であり、基幹システムの利用にIPアドレスがA.A.A.Aの端末装置を利用していることが分かる。ログ#2(「ファイアウォール」に関するログ)を参照すると、IPアドレスがA.A.A.Aの端末装置がProxyを経由せずにファイアウォールを通過し、複数の送信先へデータを送信していることが分かる。
(Case where behavior ID = 003: Combination example # 3)
Referring to log # 1 in FIG. 7 (combination example # 3) (log related to “use of backbone system”), User A is using the backbone system, and the IP address is A.A. A. A. It can be seen that the terminal device A is used. Referring to log # 2 (log regarding “firewall”), the IP address is A.A. A. A. It can be seen that the terminal device A transmits data to a plurality of destinations through the firewall without going through the proxy.
上記の状況から、情報漏洩の可能性がある。つまり、振る舞いIDが003のレコードに対応する状況が生じており、UserA、IPアドレスがA.A.A.Aの端末装置についてイベント発生の疑いがある。 There is a possibility of information leakage from the above situation. That is, a situation corresponding to a record with a behavior ID of 003 has occurred, and User A and IP address are A.D. A. A. There is a suspicion that an event has occurred in the terminal device A.
(振る舞いID=004のケース:組み合わせ例#4)
図8(組み合わせ例#4)のログ#1(「Proxy」に関するログ)を参照すると、IPアドレスがA.A.A.Aの送信元と、IPアドレスがD.D.D.Dの送信先との間の通信頻度は低いことが分かる。ログ#2(「ファイアウォール」に関するログ)からも同様の傾向が見て取れる。ログ#3(「フォレンジック」に関するログ)を参照すると、IPアドレスがA.A.A.Aの送信元と、IPアドレスがD.D.D.Dの送信先との間の通信がいずれもデータ転送であることが分かる。
(Case where behavior ID = 004: Combination example # 4)
Referring to log # 1 (log related to “Proxy”) in FIG. A. A. A source and IP address are D.D. D. D. It can be seen that the frequency of communication with the transmission destination of D is low. A similar trend can be seen from log # 2 (log concerning “firewall”). Referring to log # 3 (log related to “forensic”), the IP address is A.A. A. A. A source and IP address are D.D. D. D. It can be seen that all communication with the transmission destination of D is data transfer.
上記の状況から、業務利用ではない相手と社内の端末装置との間でデータの転送が行われていることが推察され、端末装置の乗っ取りなどを利用した外部への情報漏洩の可能性がある。つまり、振る舞いIDが004のレコードに対応する状況が生じており、IPアドレスがA.A.A.Aの端末装置についてイベント発生の疑いがある。 From the above situation, it is inferred that data is being transferred between a non-business-use partner and an in-house terminal device, and there is a possibility of information leakage to the outside using takeover of the terminal device . That is, a situation corresponding to a record with a behavior ID of 004 has occurred, and the IP address is A.E. A. A. There is a suspicion that an event has occurred in the terminal device A.
(振る舞いID=005のケース:組み合わせ例#5)
図9(組み合わせ例#5)のログ#1(「トラフィック」に関するログ)を参照すると、IPアドレスがD.D.D.Dの送信先を相手とするトラフィック量が大きいことが分かる。ログ#2(「ファイアウォール」に関するログ)及びログ#3(「ファイルサーバ」に関するログ)を参照すると、ファイルサーバにあるファイルを特定の送信先に転送していることが分かる。特定の送信先へ一定量超のデータ転送が行われていることから、情報漏洩の可能性がある。つまり、振る舞いIDが005のレコードに対応する状況が生じており、IPアドレスがA.A.A.Aの端末装置についてイベント発生の疑いがある。
(Case where behavior ID = 005: Combination example # 5)
Referring to log # 1 (log relating to “traffic”) in FIG. D. D. It can be seen that the traffic volume for the destination of D is large. Referring to log # 2 (log related to “firewall”) and log # 3 (log related to “file server”), it can be seen that a file in the file server is transferred to a specific destination. Since a certain amount of data is transferred to a specific destination, there is a possibility of information leakage. That is, a situation corresponding to the record having the
(振る舞いID=006のケース:組み合わせ例#6)
図10(組み合わせ例#6)のログ#1(「出退勤」に関するログ)を参照すると、4月1日に社員Bが未出勤であることが分かる。ログ#2(「認証」に関するログ)を参照すると、4月1日に社員Bが認証サーバの認証に成功していることが分かる。これらの状況から、社員Bについて、なりすましの疑いがある。つまり、振る舞いIDが005のレコードに対応する状況が生じており、社員Bについてイベント発生の疑いがある。
(Case where behavior ID = 006: Combination example # 6)
Referring to log # 1 (log related to “attendance / leaving”) in FIG. 10 (combination example # 6), it can be seen that employee B has not attended on April 1. Referring to log # 2 (log related to “authentication”), it can be seen that on April 1, employee B succeeded in authentication of the authentication server. From these situations, employee B is suspected of being impersonated. That is, a situation corresponding to the record with the
(異常ログについて)
上記のように、イベントデータベース101cに登録されたレコードに記載の条件と、ログデータベース101aに登録されたログ情報とを照合することで、各ログが正常ログであっても、イベント発生の疑いのある監視対象を特定することが可能になる。なお、以下の説明において、正常ログの組み合わせからイベント発生の疑いのある監視対象を特定可能な条件を「正常系」と表記する場合がある。他方、異常ログからイベント発生の疑いのある監視対象を特定可能な条件を「異常系」と表記する場合がある。
(About the error log)
As described above, by checking the conditions described in the record registered in the
異常系の条件としては、図12に示すように、認証エラー、アカウントエラー、フィルタリングエラー、デバイス使用制限違反、未許可ソフトウェアインストールなどがある。
認証エラーは、例えば、AD(Active Directory)、RADIUS(Remote Authentication Dial In User Service)、Proxyなどで生じうる。アカウントエラーは、例えば、メールやアプリケーションソフトウェアなどで生じうる。フィルタリングエラーは、例えば、ファイアウォールなどで生じうる。デバイス使用制限違反は、例えば、情報漏洩などを防止するために社内で使用が禁止されているUSBメモリなどを端末装置に接続した場合に生じる。未許可ソフトウェアインストールは、許可無く端末装置へソフトウェアがインストールされた場合などに生じる。
As abnormal system conditions, as shown in FIG. 12, there are an authentication error, an account error, a filtering error, a device usage restriction violation, an unauthorized software installation, and the like.
An authentication error may occur in, for example, AD (Active Directory), RADIUS (Remote Authentication Dial In User Service), Proxy, or the like. An account error can occur in e-mail or application software, for example. A filtering error can occur, for example, in a firewall. The device usage restriction violation occurs, for example, when a USB memory or the like that is prohibited in-house to prevent information leakage or the like is connected to the terminal device. Unauthorized software installation occurs when software is installed on a terminal device without permission.
異常系の条件を満たした場合にもログが出力され、ログデータベース101aに登録される。そして、イベントデータベース101cに登録された異常系の条件を満たすログ情報を含むログが検出された場合、検出されたログに関する監視対象がイベント発生の疑いありとして特定される。なお、正常系の条件を複数満たす場合や、正常系の条件と異常系の条件とをいずれも満たす場合なども生じうる。
Logs are also output and registered in the
(振る舞いデータベース101d)
次に、振る舞いデータベース101dについて説明する。振る舞いデータベース101dは、イベントデータベース101cに登録された条件に合致するログ情報が登録されるデータベースである。振る舞いデータベース101dの例を図13に示した。図13は、第2実施形態に係る振る舞いデータベースの一例を示した図である。
(
Next, the
図5〜図10のログが得られている場合、振る舞いIDが001のパターンについては、社員Aに関するログ情報がイベント発生の疑いありとして特定される。この場合、図13に示すように、振る舞いIDが001のレコードに、社員Aに関するログ情報(社員名「A」など)が登録される。監視対象が社員である場合、振る舞いデータベース101dには、少なくとも社員を特定可能なログ情報(例えば、社員名、ユーザ名、IPアドレスなど)が登録される。
When the logs of FIGS. 5 to 10 are obtained, the log information related to the employee A is specified as a suspicious event occurrence for the pattern with the
図13の例では、振る舞いIDが001のレコードに、社員名、出勤状況、ログイン状況、VPN接続の接続状況が登録されている。社員名だけでも監視対象となる社員を特定できるが、出勤状況、ログイン状況、VPN接続の接続状況が併せて登録されていることで、イベント発生の原因を特定する作業が容易になる。同様に、振る舞いIDが002のレコードは、社員名の他、アクセス時刻、ファイル名、ログイン状況を含む。 In the example of FIG. 13, the employee name, the attendance status, the login status, and the connection status of the VPN connection are registered in the record whose behavior ID is 001. The employee to be monitored can be identified by the employee name alone, but the attendance status, login status, and VPN connection status are registered together to facilitate the task of identifying the cause of the event occurrence. Similarly, the record whose behavior ID is 002 includes the access time, file name, and login status in addition to the employee name.
振る舞いデータベース101dには、正常系の条件を満たしたログ情報だけでなく、異常系の条件を満たしたログ情報も登録される。図13の例では、振る舞いIDがE004のレコードに、社員名、使用デバイスが登録されている。例えば、USBメモリの使用が禁止されている場合、社員CがUSBメモリを端末装置に接続すると、端末装置から異常ログが出力され、振る舞いデータベース101dに登録される。
In the
図13に示すように、振る舞いデータベース101dの各レコードには監視対象(この例では社員)に関するログ情報が含まれているため、共通キーデータベース101bに登録された共通キーを用いることで、特定の監視対象に関するログ情報の検索ができる。なお、図13の例では、振る舞いデータベース101dが1つのデータベースであるかのように記載されているが、振る舞いID毎に別々のデータベースが設けられていてもよい。
As shown in FIG. 13, each record of the
(監視対象データベース101e)
次に、監視対象データベース101eについて説明する。監視対象データベース101eは、各共通キーを利用して振る舞いデータベース101dに登録されたログ情報を検索し、検索結果が予め設定された条件を満たした場合に、条件を満たした共通キーが登録されるデータベースである。監視対象データベース101eの例を図14に示した。図14は、第2実施形態に係る監視対象データベースの一例を示した図である。
(
Next, the
監視対象データベース101eに共通キーが登録されるための条件は、例えば、検索により振る舞いデータベース101dから抽出されたレコードの数が予め設定した閾値より大きい場合などである。例えば、社員Aに関する共通キーを用いて図13に例示した振る舞いデータベース101dを検索した場合、振る舞いIDが001、002、003、004、005のレコードが抽出される。閾値が3に設定されていた場合、社員Aに関する共通キーが監視対象データベース101eに登録される。
The condition for registering the common key in the
(閾値データベース101f)
次に、閾値データベース101fについて説明する。閾値データベース101fは、監視対象データベース101eに登録される共通キーの判定に用いる閾値が登録されたデータベースである。閾値データベース101fの例を図15に示した。図15は、第2実施形態に係る閾値データベースの一例を示した図である。
(
Next, the
図15の例は、正常系、異常系、合計を区別して閾値を設定した場合の登録例を示している。正常系の閾値Th1は、共通キーを利用して振る舞いデータベース101dから抽出されたレコードのうち正常系の条件に関するレコードの数を評価するための閾値である。異常系の閾値Th2は、共通キーを利用して振る舞いデータベース101dから抽出されたレコードのうち異常系の条件に関するレコードの数を評価するための閾値である。
The example of FIG. 15 shows an example of registration when threshold values are set by distinguishing between normal systems, abnormal systems, and totals. The normal threshold value Th1 is a threshold value for evaluating the number of records related to the normal system condition among the records extracted from the
合計の閾値Th3は、共通キーを利用して振る舞いデータベース101dから抽出されたレコードのうち正常系又は異常系の条件に関するレコードの数(つまり、抽出された全レコードの数)を評価するための閾値である。このように、正常系と異常系とを区別することで、条件の満たしやすさ(条件を満たす頻度や可能性)を考慮した異常性の評価が可能になる。また、合計に対する閾値Th3を設けることで、最終的に監視対象データベース101eに登録するか否かの判断の厳しさを調整することができる。
The total threshold Th3 is a threshold for evaluating the number of records related to normal or abnormal conditions (that is, the number of all extracted records) among the records extracted from the
なお、図15の例では正常系、異常系を区別する例を示したが、振る舞いID毎の条件を区別し、振る舞いID毎に閾値を設定して閾値データベース101fに登録してもよい。例えば、振る舞いID毎のイベント発生頻度をシミュレーションや実験により推定し、その発生頻度の比率に応じた閾値を振る舞いID毎に設定してもよい。但し、Th3≧Th1+Th2である。
In the example of FIG. 15, the normal system and the abnormal system are distinguished from each other. However, the conditions for each behavior ID may be distinguished, and a threshold value may be set for each behavior ID and registered in the
(ログ収集部102、キー生成部103)
再び図4を参照する。ログ収集部102は、被監視装置群200からログを取得し、ログデータベース101a(図5〜図10を参照)に登録する。キー生成部103は、監視対象について、ログデータベース101aに登録された複数のログに共通するログ情報を抽出し、抽出したログ情報を共通キーとして共通キーデータベース101b(図11を参照)に登録する。なお、共通キーデータベース101bは予め記憶部101に格納されていてもよい。この場合、キー生成部103は省略可能である。
(
Refer to FIG. 4 again. The
(候補検出部104、不正判定部105)
候補検出部104は、ログデータベース101aを参照し、イベントデータベース101c(図12を参照)に登録された条件を満たすログ情報を振る舞いID毎に検出する。そして、候補検出部104は、検出したログ情報を振る舞いデータベース101d(図13を参照)に登録する。
(
The
不正判定部105は、共通キーデータベース101bに登録されている各共通キーを用いて振る舞いデータベース101dのレコードを検索し、検出されたレコードの数をカウントする。そして、不正判定部105は、閾値データベース101f(図15を参照)に登録された閾値よりもカウントした数が大きくなる共通キーを監視対象データベース101e(図14を参照)に登録する。不正判定部105は、監視対象データベース101eに共通キーを登録した場合、例えば、管理者に不正を知らせるメールを送信するか、パトライトやブザーなどの通知機器を利用して管理者に不正を知らせる。
The
以上、監視装置100の機能について説明した。
[2−4.処理フロー]
図16を参照しながら、監視装置100が実行する処理の流れについて説明する。図16は、第2実施形態に係る監視装置が実行する処理の流れを示したフロー図である。
The function of the
[2-4. Processing flow]
The flow of processing executed by the
(S101)ログ収集部102は、被監視装置群200からログを取得する。また、ログ収集部102は、被監視装置群200の時刻と、監視装置100の時刻とのずれを検出し、取得したログの時刻を補正する。例えば、ログ収集部102は、検出した時刻のずれをもとに、監視装置100の時刻が基準となるようにログの時刻を補正する。そして、ログ収集部102は、時刻補正後のログをログデータベース101a(図5〜図10を参照)に登録する。
(S101) The
(S102)キー生成部103は、ログデータベース101aに登録されたログのログ情報間にある相関を分析し、監視対象を特定するための共通キーとして利用できるログ情報を特定する。そして、キー生成部103は、特定したログ情報を共通キーとして共通キーデータベース101b(図11を参照)に登録することで、共通キーデータベース101bを構築する。
(S102) The
(S103)候補検出部104は、イベントデータベース101c(図12を参照)に登録されている振る舞いIDを1つ選択する。
(S104)候補検出部104は、選択した振る舞いIDに対応する条件を満たすログ情報の組をログデータベース101aから抽出する。例えば、候補検出部104は、図12に例示したイベントデータベース101cのうち振る舞いIDが001の条件を満たすログ情報の組として、図5に例示したログ#1〜#3の社員Aに関するログ情報(社員名「A」、出勤状況「未出勤」、ログイン状況「ログイン」、VPN接続の接続状況「未接続」)を抽出する。
(S103) The
(S104) The
(S105)候補検出部104は、S104で抽出したログ情報のうち、共通キー(図11を参照)を含むログ情報の組を対応付けて振る舞いデータベース101d(図13を参照)に登録する。例えば、振る舞いIDが001の場合、候補検出部104は、共通キーとなるログ情報として社員名「A」を認識し、社員名「A」を含むログ情報の組(この例では、出勤状況「未出勤」、ログイン状況「ログイン」、VPN接続の接続状況「未接続」)を振る舞いデータベース101dに登録する。
(S105) The
(S106)候補検出部104は、振る舞いデータベース101dに登録されている全ての振る舞いIDを選択し終えたか否かを判定する。未選択の振る舞いIDがある場合、処理はS103へと進む。一方、全ての振る舞いIDを選択し終えた場合、処理はS107へと進む。
(S106) The
(S107)不正判定部105は、共通キーを用いて振る舞いデータベース101dのレコードを検索し、検索結果に基づいて監視対象に関する共通キーを特定する。このとき、不正判定部105は、利用した共通キー毎に、検出されたレコードの数をカウントし、閾値データベース101f(図15を参照)に登録された閾値よりもレコード数(条件に該当する振る舞いIDの数)が大きくなる共通キーを特定する。そして、不正判定部105は、特定した共通キーを監視対象データベース101e(図14を参照)に登録して、監視対象データベース101eを構築する。
(S107) The
S107の処理が完了すると、図16に示した一連の処理は終了する。
(共通キーDBの構築処理)
ここで、図17を参照しながら、共通キーデータベース101bの構築処理(S102)の流れについて、さらに説明する。図17は、第2実施形態に係る共通キーデータベースの構築処理の流れを示したフロー図である。
When the process of S107 is completed, the series of processes shown in FIG.
(Common key DB construction process)
Here, the flow of the construction process (S102) of the common
(S131)キー生成部103は、イベントデータベース101c(図12を参照)に登録されている振る舞いIDを1つ選択する。
(S132)キー生成部103は、ログデータベース101a(図5〜図10を参照)を参照し、複数のログに重複して同じ情報が含まれるログ情報の種類を特定し、特定したログ情報の種類を検索キーに設定する。例えば、図5に示したログ#1〜#3には、社員名「A」、「B」という情報が重複して含まれている。この場合、キー生成部103は、重複する情報の種類である社員名を検索キーに設定する。
(S131) The
(S132) The
(S133)キー生成部103は、イベントデータベース101cに含まれる全ての振る舞いIDを選択し終えたか否かを判定する。未選択の振る舞いIDがある場合、処理はS131へと進む。一方、全ての振る舞いIDを選択し終えた場合、処理はS134へと進む。
(S133) The
(S134)キー生成部103は、予め設定された監視対象(例えば、社員や端末装置など)を表す検索キーを基準に、対応する検索キーを特定し、特定した検索キーを共通キーに設定する。社員を監視対象とする場合、キー生成部103は、例えば、図7のログ#1から、社員に対応する基幹システムのユーザ名(検索キー)に対応するIPアドレス(検索キー)を特定し、IPアドレスを共通キーに設定する。なお、設定される共通キーの種類は、被監視装置群200が出力するログの内容や監視対象の設定による。
(S134) The
(S135)キー生成部103は、S134で設定した共通キーを対応付けて共通キーデータベース101b(図11を参照)に登録する。例えば、キー生成部103は、共通キーとして、IPアドレス、社員名、ユーザ名、ホスト名、MACアドレスなどを登録する。そして、キー生成部103は、各共通キーに対応するログ情報をログデータベース101aから抽出し、抽出したログ情報の組を共通キーデータベース101bに登録することで、共通キーデータベース101bを構築する。
(S135) The
S135の処理が完了すると、図17に示した一連の処理は終了する。
(監視対象DBの構築処理)
ここで、図18を参照しながら、監視対象データベース101eの構築処理(S107)の流れについて、さらに説明する。図18は、第2実施形態に係る監視対象データベースの構築処理の流れを示したフロー図である。
When the process of S135 is completed, the series of processes shown in FIG.
(Monitoring DB construction process)
Here, the flow of the
(S151)不正判定部105は、共通キーデータベース101b(図11を参照)に登録された共通キーのレコード(監視対象に関する共通キーの組)を1つ選択する。
(S152)不正判定部105は、振る舞いデータベース101d(図13を参照)を参照し、S151で選択したレコードの共通キーを含む振る舞いデータベース101dのレコードを振る舞いID単位で特定する。そして、不正判定部105は、特定したレコードの数をカウントする。このとき、不正判定部105は、正常系の条件に関するレコードの数(以下、正常系レコード数N1)、異常系の条件に関するレコードの数(以下、異常系レコード数N2)をそれぞれカウントする。
(S151) The
(S152) The
例えば、社員Aに関する共通キーの組が選択された場合、図13に示した振る舞いデータベース101dにおいて、振る舞いIDが001、002、003、004、005の5つのレコードが特定される。この例において、社員Aについては異常系の条件を満たすレコードが検出されないため、正常系レコード数N1が5、異常系レコード数N2が0となる。そして、正常系レコード数N1と異常系レコード数N2との合計である合計レコード数N3は5となる。
For example, when a common key set for employee A is selected, five records with behavior IDs of 001, 002, 003, 004, and 005 are specified in the
(S153)不正判定部105は、閾値データベース101f(図15を参照)に登録された正常系に関する閾値Th1と正常系レコード数N1とを比較する。そして、不正判定部105は、正常系レコード数N1が閾値Th1以上か否かを判定する。正常系レコード数N1が閾値Th1以上の場合、処理はS154へと進む。一方、正常系レコード数N1が閾値Th1未満の場合、処理はS157へと進む。
(S153) The
(S154)不正判定部105は、閾値データベース101fに登録された異常系に関する閾値Th2と異常系レコード数N2とを比較する。そして、不正判定部105は、異常系レコード数N2が閾値Th2以上か否かを判定する。異常系レコード数N2が閾値Th2以上の場合、処理はS155へと進む。一方、異常系レコード数N2が閾値Th2未満の場合、処理はS157へと進む。
(S154) The
(S155)不正判定部105は、閾値データベース101fに登録された正常系及び異常系の両方(合計)に関する閾値Th3と合計レコード数N3とを比較する。そして、不正判定部105は、合計レコード数N3が閾値Th3以上か否かを判定する。合計レコード数N3が閾値Th3以上の場合、処理はS156へと進む。一方、合計レコード数N3が閾値Th3未満の場合、処理はS157へと進む。
(S155) The
(S156)不正判定部105は、S151で選択した共通キーを監視対象データベース101eに登録する。
(S157)不正判定部105は、共通キーデータベース101bに登録されている共通キーのレコードを全て選択し終えたか否かを判定する。未選択のレコードがある場合、処理はS151へと進む。一方、全ての共通キーのレコードを選択し終えた場合、図18に示した一連の処理は終了する。
(S156) The
(S157) The
以上、監視装置100が実行する処理の流れについて説明した。
以上説明したように、ログの組み合わせから異常な振る舞いが疑われる状況をパターンとして保持し、パターンに合致したログから監視対象を特定することで、被監視装置群200が正常と判断したログからも不正の疑いのある対象を検出することができる。また、共通キーを利用して振る舞いデータベース101dを検索した検索結果をもとに最終的な監視対象の特定を行うことで、不正の疑いが強い対象をより適切に絞り込むことが可能になる。そのため、不正なき対象に対して不正原因の特定作業が生じるリスクを低減することが可能になり、作業負担を軽減することができる。
The flow of processing executed by the
As described above, a situation in which abnormal behavior is suspected from a combination of logs is retained as a pattern, and a monitoring target is identified from a log that matches the pattern, so that the monitored
以上、第2実施形態について説明した。 The second embodiment has been described above.
5 ログ監視システム
10 ログ監視装置
11 記憶部
11a 異常パターン
11b 監視情報
12 制御部
21、22、23 機器
DESCRIPTION OF
Claims (7)
記憶部から、監視対象が同じ複数のログ間で、該ログのログ内容を照合した場合に、該ログ内容が示す状況の組み合わせから異常と判断される該ログ内容の組み合わせを異常パターンとして取得し、
複数の監視対象それぞれに関する複数のログについてログ内容の組み合わせと前記異常パターンとが合致するかを判定し、合致する場合には該ログ内容の少なくとも一部を含む監視情報を前記監視対象毎に前記記憶部に記憶させる
ログ監視方法。 Computer
When a log content of the log is collated between a plurality of logs having the same monitoring target, a combination of the log content that is determined to be abnormal is acquired from the storage unit as an abnormal pattern. ,
It is determined whether a combination of log contents and the abnormal pattern match for a plurality of logs related to a plurality of monitoring targets, and if they match, monitoring information including at least a part of the log contents is Log monitoring method to be stored in the storage unit.
前記コンピュータは、
前記監視対象に関する複数のログについてログ内容の組み合わせと前記複数の異常パターンのそれぞれとが合致するかを判定し、前記異常パターン毎の判定結果に応じて前記異常パターン毎に前記監視情報を前記記憶部に記憶させ、
前記監視情報の数に基づいて前記監視対象毎に異常の有無を判断する
請求項1に記載のログ監視方法。 The storage unit stores a plurality of the abnormal patterns with different combinations of the log contents,
The computer
It is determined whether a combination of log contents matches each of the plurality of abnormal patterns for a plurality of logs related to the monitoring target, and the monitoring information is stored for each abnormal pattern according to a determination result for each abnormal pattern To remember
The log monitoring method according to claim 1, wherein presence / absence of abnormality is determined for each monitoring target based on the number of the monitoring information.
前記監視対象に関する複数のログのうち、1つのログのログ内容から異常と判断される異常ログの数をカウントし、該異常ログの数と前記監視情報の数とに基づいて該監視対象について異常の有無を判断する
請求項2に記載のログ監視方法。 The computer
Of the plurality of logs related to the monitoring target, the number of abnormal logs determined to be abnormal from the log contents of one log is counted, and the abnormality is detected for the monitoring target based on the number of the abnormal logs and the number of the monitoring information The log monitoring method according to claim 2, wherein the presence or absence of the log is determined.
前記記憶部から、第1の閾値と、前記第1の閾値とは異なる第2の閾値とを取得し、
前記監視情報の数が前記第1の閾値より大きく、前記異常ログの数が前記第2の閾値より大きい場合に異常有りと判断する
請求項3に記載のログ監視方法。 The computer
Obtaining a first threshold value and a second threshold value different from the first threshold value from the storage unit;
The log monitoring method according to claim 3, wherein when the number of the monitoring information is larger than the first threshold and the number of the abnormal logs is larger than the second threshold, it is determined that there is an abnormality.
複数の監視対象それぞれに関する複数のログについてログ内容の組み合わせと前記異常パターンとが合致するかを判定し、合致する場合には該ログ内容の少なくとも一部を含む監視情報を前記監視対象毎に前記記憶部に記憶させる制御部と
を有する、ログ監視装置。 A storage unit that stores, as an abnormal pattern, a combination of log contents that is determined to be abnormal from a combination of situations indicated by the log contents when the log contents of the logs are collated between a plurality of logs that are the same as a monitoring target;
It is determined whether a combination of log contents and the abnormal pattern match for a plurality of logs related to a plurality of monitoring targets, and if they match, monitoring information including at least a part of the log contents is A log monitoring device comprising: a control unit that stores the data in a storage unit.
前記ログ監視装置は、
監視対象が同じ複数のログ間で、該ログのログ内容を照合した場合に、該ログ内容が示す状況の組み合わせから異常と判断される該ログ内容の組み合わせを異常パターンとして記憶する記憶部と、
前記複数の機器から複数の監視対象それぞれに関する複数のログを取得し、該複数のログについてログ内容の組み合わせと前記異常パターンとが合致するかを判定し、合致する場合には該ログ内容の少なくとも一部を含む監視情報を前記監視対象毎に前記記憶部に記憶させる制御部と
を有する、ログ監視システム。 A log monitoring system including a plurality of devices that output logs, and a log monitoring device that acquires the logs from the plurality of devices,
The log monitoring device
A storage unit that stores, as an abnormal pattern, a combination of log contents that is determined to be abnormal from a combination of situations indicated by the log contents when the log contents of the logs are collated between a plurality of logs that are the same as a monitoring target;
A plurality of logs related to each of a plurality of monitoring targets are acquired from the plurality of devices, a determination is made as to whether a combination of log contents matches the abnormal pattern for the plurality of logs, and if there is a match, at least the log contents A log monitoring system comprising: a control unit that stores monitoring information including a part in the storage unit for each monitoring target.
記憶部から、監視対象が同じ複数のログ間で、該ログのログ内容を照合した場合に、該ログ内容が示す状況の組み合わせから異常と判断される該ログ内容の組み合わせを異常パターンとして取得し、
複数の監視対象それぞれに関する複数のログについてログ内容の組み合わせと前記異常パターンとが合致するかを判定し、合致する場合には該ログ内容の少なくとも一部を含む監視情報を前記監視対象毎に前記記憶部に記憶させる
処理を実行させる、ログ監視プログラム。 On the computer,
When a log content of the log is collated between a plurality of logs having the same monitoring target, a combination of the log content that is determined to be abnormal is acquired from the storage unit as an abnormal pattern. ,
It is determined whether a combination of log contents and the abnormal pattern match for a plurality of logs related to a plurality of monitoring targets, and if they match, monitoring information including at least a part of the log contents is A log monitoring program that executes processing to be stored in the storage unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015020182A JP2016143320A (en) | 2015-02-04 | 2015-02-04 | Log monitoring method, log monitor, log monitoring system, and log monitoring program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015020182A JP2016143320A (en) | 2015-02-04 | 2015-02-04 | Log monitoring method, log monitor, log monitoring system, and log monitoring program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016143320A true JP2016143320A (en) | 2016-08-08 |
Family
ID=56568791
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015020182A Pending JP2016143320A (en) | 2015-02-04 | 2015-02-04 | Log monitoring method, log monitor, log monitoring system, and log monitoring program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016143320A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106407095A (en) * | 2016-09-07 | 2017-02-15 | 北京小米移动软件有限公司 | Fault processing method and device |
JP2018073140A (en) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | Network monitoring device, program and method |
WO2018190033A1 (en) * | 2017-04-13 | 2018-10-18 | 富士通株式会社 | Message output program, message output method, and message output device |
JP2019079500A (en) * | 2017-10-19 | 2019-05-23 | エーオー カスペルスキー ラボAO Kaspersky Lab | System and method of detecting malicious file |
JP2019095859A (en) * | 2017-11-17 | 2019-06-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Information processing apparatus, information processing method, and program |
JP2020197929A (en) * | 2019-06-03 | 2020-12-10 | 株式会社野村総合研究所 | Log analysis system and log analysis method |
-
2015
- 2015-02-04 JP JP2015020182A patent/JP2016143320A/en active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106407095A (en) * | 2016-09-07 | 2017-02-15 | 北京小米移动软件有限公司 | Fault processing method and device |
CN106407095B (en) * | 2016-09-07 | 2019-02-22 | 北京小米移动软件有限公司 | Fault handling method and device |
JP2018073140A (en) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | Network monitoring device, program and method |
WO2018190033A1 (en) * | 2017-04-13 | 2018-10-18 | 富士通株式会社 | Message output program, message output method, and message output device |
JP2018180927A (en) * | 2017-04-13 | 2018-11-15 | 富士通株式会社 | Message output program, message output method and message output device |
US10867039B2 (en) | 2017-10-19 | 2020-12-15 | AO Kaspersky Lab | System and method of detecting a malicious file |
JP2019079500A (en) * | 2017-10-19 | 2019-05-23 | エーオー カスペルスキー ラボAO Kaspersky Lab | System and method of detecting malicious file |
US11829473B2 (en) | 2017-10-19 | 2023-11-28 | AO Kaspersky Lab | System and method for detecting malicious files by a user computer |
JP2019095859A (en) * | 2017-11-17 | 2019-06-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Information processing apparatus, information processing method, and program |
US10768610B2 (en) | 2017-11-17 | 2020-09-08 | Panasonic Intellectual Property Corporation Of America | Information processing apparatus, information processing method, and recording medium having program recorded therein |
JP2021131881A (en) * | 2017-11-17 | 2021-09-09 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Information processing apparatus, information processing method, and program |
JP7096398B2 (en) | 2017-11-17 | 2022-07-05 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Information processing equipment, information processing methods, and programs |
JP2020197929A (en) * | 2019-06-03 | 2020-12-10 | 株式会社野村総合研究所 | Log analysis system and log analysis method |
JP7300317B2 (en) | 2019-06-03 | 2023-06-29 | 株式会社野村総合研究所 | Log analysis system and log analysis method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
JP6334069B2 (en) | System and method for accuracy assurance of detection of malicious code | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US11218499B2 (en) | Network anomaly detection and profiling | |
US9369479B2 (en) | Detection of malware beaconing activities | |
US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
JP2016143320A (en) | Log monitoring method, log monitor, log monitoring system, and log monitoring program | |
CN111800395A (en) | Threat information defense method and system | |
US20160065594A1 (en) | Intrusion detection platform | |
US20150363600A1 (en) | Method, Apparatus, and System for Data Protection | |
EP2779572A1 (en) | System and method for monitoring authentication attempts | |
US9830458B2 (en) | Discovery and classification of enterprise assets via host characteristics | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
JP5987627B2 (en) | Unauthorized access detection method, network monitoring device and program | |
JP7204247B2 (en) | Threat Response Automation Methods | |
CN112714093A (en) | Account abnormity detection method, device and system and storage medium | |
JP2015225500A (en) | Authentication information theft detection method, authentication information theft detection device, and program | |
JP5739034B1 (en) | Attack detection system, attack detection device, attack detection method, and attack detection program | |
US9185122B2 (en) | Methods and systems for managing security in a network | |
CN114598525A (en) | IP automatic blocking method and device for network attack | |
US20190065762A1 (en) | Extracting features for authentication events | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
US20180191650A1 (en) | Publish-subscribe based exchange for network services |