JP2016184358A - データ分析システム - Google Patents

データ分析システム Download PDF

Info

Publication number
JP2016184358A
JP2016184358A JP2015065210A JP2015065210A JP2016184358A JP 2016184358 A JP2016184358 A JP 2016184358A JP 2015065210 A JP2015065210 A JP 2015065210A JP 2015065210 A JP2015065210 A JP 2015065210A JP 2016184358 A JP2016184358 A JP 2016184358A
Authority
JP
Japan
Prior art keywords
data
analysis
computer
target
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015065210A
Other languages
English (en)
Other versions
JP6574332B2 (ja
Inventor
朋 角田
Tomo Tsunoda
朋 角田
信彦 谷口
Nobuhiko Taniguchi
信彦 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2015065210A priority Critical patent/JP6574332B2/ja
Publication of JP2016184358A publication Critical patent/JP2016184358A/ja
Application granted granted Critical
Publication of JP6574332B2 publication Critical patent/JP6574332B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】セキュリティ侵害対策のためのデータ分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができる技術を提供する。【解決手段】データ分析システムは、管理対象システムの計算機からリソース状態計測値の数値データを含むログデータを収集するデータ収集部と、数値データを、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、分析対象として絞り込まれたログデータを、セキュリティ侵害行為を検出するために分析処理するデータ分析部と、を備える。分析対象判定部は、判定対象の計算機及び時間帯の特徴量と、比較対象の計算機及び時間帯の基準値とを比較し、ルールを満たす場合、異常状態として判定し、異常状態に該当する計算機、時間帯、及びログデータを、分析対象として決定する。【選択図】図2

Description

本発明は、情報処理技術に関する。また、本発明は、計算機システムのセキュリティ侵害対策のためのデータ分析技術に関する。
ネットワーク上の犯罪行為とされるサイバー攻撃が増加している。サイバー攻撃によるセキュリティ侵害行為には、マルウェア等を用いた不正アクセスによる侵入行為や、サービス妨害攻撃等が存在する。セキュリティ侵害行為は、手法が洗練され、手口が巧妙になり、攻撃用ツールが配布されていること等から、完全な防止は非常に困難である。
セキュリティ侵害行為に対する一般的な対策技術としては、アンチウィルス・ソフトウェア、ファイアウォールサーバ、プロキシサーバ、侵入検知システム等、各種のセキュリティサービスやセキュリティ機器が挙げられる。このような技術は、計算機システムの入口対策であるが、入口対策だけでは限界がある。
現実的な対策としては、計算機システムへの攻撃等の侵入をある程度までは不可避として許容しつつも、実被害を最小限に抑えるように、計算機のログデータの分析等に基づいて攻撃等を検出して対策することが必要及び有効である。
計算機システムのセキュリティ侵害対策のためのデータ分析に関する先行技術例として、特許文献1(特開2006−285983号公報)や非特許文献1が挙げられる。
特許文献1には、計算機をマルウェアから保護する方法として、イベント検出システムを用いて計算機から疑わしいイベントを観測し、そのイベントが閾値を満たす場合、制限的セキュリティポリシーを適用する旨が記載されている。
非特許文献1には、計算機のCPU使用率等のリソース状態をハードウェア及びソフトウェアのパフォーマンスカウンタにより測定し、測定した数値データを用いてマルウェアを検知する旨や、多数の数値データの中から検知のために有効性の高いパラメータを絞り込む旨が記載されている。
特開2006−285983号公報
The 17th International Symposium on Research in Attacks, Intrusions, and Defenses, 2014/11/18, "Unsupervised Anomaly-Based Malware Detection Using Hardware Features", Adrian Tang, Simha Sethumadhavan, and Salvatore J. Stolfo/Columbia University, New York, USA
計算機システムのセキュリティ侵害対策において、実被害を最小限に抑えるためには、迅速に攻撃やマルウェア等を検出する必要がある。しかし、データ分析に基づいて攻撃等を検出する従来技術は、検出速度等の点で課題がある。
特許文献1のような従来技術は、計算機及びセキュリティサービス等から得られる大量の多種多様なログデータを分析する。この分析には、分析者及び計算機を含め、多くの手間、時間、資源を必要とし、対象ログデータ量が多いほど、迅速な分析及び検出が難しい。
また、特許文献1のような従来技術は、予め、疑わしいイベントまたはそれに対応する閾値等を定義しておき、その定義に基づいて攻撃等を検出するので、未知の攻撃等に対策することが難しく、検出精度の点で課題がある。
また、非特許文献1のような従来技術は、リソース状態の計測値である数値データからマルウェア等に特有の特徴を求めることが難しいため、検出精度の点で課題がある。
本発明の目的は、計算機システムのセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する技術に関して、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる技術を提供することである。
本発明のうち代表的な実施の形態は、データ分析システムであって、以下に示す構成を有することを特徴とする。
一実施の形態のデータ分析システムは、管理対象システムの計算機に対するセキュリティ侵害行為を検出するために、前記計算機から収集されるログデータを分析するデータ分析システムであって、前記管理対象システムの計算機から当該計算機のリソース状態計測値の数値データを含むログデータを収集してログDBに格納するデータ収集部と、前記ログデータのうちの前記数値データを、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、分析者の操作に基づいて、前記ログデータのうち前記分析対象として絞り込まれたログデータを、前記セキュリティ侵害行為を検出するために分析処理し、分析結果である分析データを出力するデータ分析部と、を備え、前記分析対象判定部は、前記ログデータのうちの前記数値データを用いて、判定対象の計算機及び時間帯における特徴量を計算または設定する処理と、前記ログデータのうちの前記数値データを用いて、比較対象の計算機及び時間帯における特徴量を基準値として計算または設定する処理と、前記特徴量と前記基準値とを比較し、前記ルール情報のルールを満たす場合、前記セキュリティ侵害行為が疑われる異常状態として判定する処理と、前記異常状態に該当する前記計算機、時間帯、及びログデータを、前記分析対象として決定する処理と、を行う。
本発明のうち代表的な実施の形態によれば、計算機システムのセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する技術に関して、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる。
本発明の実施の形態1のデータ分析システムを含む、セキュリティ侵害行為検出システムの構成を示す図である。 実施の形態1のデータ分析システムを含む、各システムの構成を示す図である。 実施の形態1のデータ分析システムにおける、処理フローを示す図である。 実施の形態1における、ルール情報の構成例を示す図である。 実施の形態1における、ログデータの数値データの例を示す図である。 数値データのグラフ表示の第1の例を示す図である。 数値データのグラフ表示の第2の例を示す図である。 数値データのグラフ表示の第3の例を示す図である。 数値データのグラフ表示の第4の例を示す図である。 実施の形態1のデータ分析システムにおける、画面例を示す図である。 実施の形態1における、複数の数値データの比較の例を示す図である。 本発明の実施の形態2のデータ分析システムを含む、セキュリティ侵害行為検出システムの構成を示す図である。 本発明の他の実施の形態のデータ分析システムにおける、ルール情報の構成例を示す図である。 他の実施の形態における、ログデータのテキストデータの例を示す図である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において同一部には原則として同一符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
図1〜図11を用いて、本発明の実施の形態1のデータ分析システムについて説明する。
[セキュリティ侵害行為検出システム]
図1は、実施の形態1のデータ分析システムを含むセキュリティ侵害行為検出システムの構成を示す。図1では、システム全体をセキュリティ侵害行為検出システムとした。セキュリティ侵害行為検出システムは、ネットワーク9に接続される、データ分析システム1、管理対象システム2、及びイベント検出システム3を有する。
ネットワーク9は、インターネットやLANを含む通信網である。データ分析システム1、管理対象システム2、及びイベント検出システム3は、ネットワーク9上の通信を介して相互接続される。
管理対象システム2は、管理対象計算機群として、複数の計算機20を含む。管理対象システム2は、例えば企業LANやWebサービス等のシステムが挙げられる。計算機20は、一般的なPCやサーバが挙げられる。計算機20は、管理対象システム2に応じた様々なシステムや機能を構成する。各計算機20は、ネットワーク9に接続される。計算機20は、データ分析システム1及びイベント検出システム3によりセキュリティ侵害行為の発生を監視してセキュリティ侵害行為を検出する対象である。
計算機20は、グループを構成していてもよい。グループは、1つ以上の計算機20を、同一用途等の特定の要件により1つにまとめた単位である。複数の計算機20は、図1の例では、グループ41を構成する複数(m)の計算機20である計算機211〜21mと、グループ42を構成する複数(n)の計算機20である計算機221〜22nと、個別の計算機20である計算機231等と、を有する。
グループ41は、Webサーバグループであり、Webサーバの役割を持つ複数の計算機20である計算機211〜21mにより構成されている。グループ42は、DBサーバグループであり、DBサーバの役割を持つ複数の計算機20である計算機221〜22nにより構成されている。
なお、計算機20毎の管理上のIDとして、計算機211をC11とし、計算機212をC12等とする。グループの管理上のIDとして、グループ41をG1とし、グループ42をG2とする。
各計算機20は、CPU、メモリ、ディスク、通信インタフェース装置、入出力インタフェース装置、バス等のハードウェア、及び、OSやサーバプログラム等のソフトウェアを備える。
イベント検出システム3は、管理対象システム2の計算機20を対象として入口対策を行う、各種のセキュリティサービス及びセキュリティ機器等を含む。イベント検出システム3は、管理対象システム2の通信ログ等を監視してイベントを検出する機能を有する。図1の例では、イベント検出システム3は、アンチウイルスシステム31、プロキシシステム32、ファイアウォールシステム33、及び侵入検知システム34を含む。
アンチウイルスシステム31は、サーバ装置やプログラム及び知識DB等の一般的なソフトウェア及びハードウェアにより構成されるシステムである。アンチウイルスシステム31は、コンピュータウイルスやマルウェア等の悪意あるプログラムが計算機20に侵入することを検知する処理や、計算機20に侵入した悪意あるプログラムを駆除する処理等を行う。アンチウイルスシステム31の構成要素は、計算機20の内部に配置されてもよいし、外部に配置されてもよい。
プロキシシステム32は、同様にサーバ装置やプログラム等により構成される。プロキシシステム32は、企業等の内部ネットワークと、インターネット等の外部ネットワークとの境界に配置される。プロキシシステム32は、内部ネットワークから外部ネットワークに接続する際、高速なアクセスや安全な通信を提供するための中継を行う。
ファイアウォールシステム33は、同様にサーバ装置やプログラム等により構成される。ファイアウォールシステム33は、内部ネットワークと外部ネットワークとの境界、または、企業内のネットワーク間の境界に配置される。ファイアウォールシステム33は、内部から外部への通信、及び外部から内部への通信を制御し、不正な通信のブロックや、内部ネットワークの安全維持等を行う。
侵入検知システム34は、同様にサーバ装置やプログラム等により構成される。侵入検知システム34は、侵入検知システム(Intrusion Detection System)または侵入防止システム(Intrusion Prevention System)である。侵入検知システム34は、ネットワーク上の通信等を監視し、悪意ある攻撃者によるネットワークへの不正侵入等を検知または防止する。
データ分析システム1は、イベント検出システム3と連係して、管理対象システム2に対するセキュリティ侵害行為をデータ分析に基づいて検出するシステムである。データ分析システム1は、サーバシステム10等のハードウェア及びソフトウェアにより構成される。データ分析システム1であるサーバシステム10は、データ収集部11、分析対象判定部12、データ分析部13等を有し、ログDB50、分析DB60、ルール情報70等を有する。
データ収集部11は、分析候補となるログデータを収集し、ログDB50に格納する。収集されるログデータは、分析対象判定部12での処理対象となる数値データを含む。データ収集部11は、管理対象システム2の管理対象計算機群から、ログデータ101を収集し、ログDB50に格納する。ログデータ101は、計算機20のリソース状態の計測値である数値データや、テキストデータを含む。また、データ収集部11は、イベント検出システム3から、ログデータ102を収集し、ログDB50に格納する。ログデータ102は、イベント検出システム3で検出したイベントのイベントデータを含む。
分析対象判定部12は、分析候補から分析対象を判定して絞り込む処理を行う。分析対象判定部12は、ログDB50のログデータのうちのリソース状態測定値に対応する数値データについて、ルール情報70に基づいて、正常または異常を判定する処理を行う。分析対象判定部12は、異常と判定した数値データに関係付けられた計算機20及び時間帯を、分析対象として絞り込む。分析対象判定部12は、数値データから特徴量や基準値を計算または設定し、ルール情報70の閾値等と比較して、異常か否かを判定する。異常とは、攻撃やマルウェア等の侵入が疑われる状態を指す。分析対象判定部12は、分析対象として絞り込む計算機20、時間帯の情報、及びそれに関係付けられたログデータの識別情報を含む、分析対象情報を、分析DB60に格納する。また、分析対象判定部12は、分析対象情報を含む情報を画面に表示する。
データ分析部13は、ユーザである分析者の操作に基づいて、ログDB50のログデータのうち、分析対象として絞り込まれたログデータを分析し、分析結果である分析データを分析DB60に保存する。また、データ分析部13は、分析データを含む情報を画面に表示する。
[データ分析システム]
図2は、データ分析システム1等の各システムの構成を示す。管理対象システム2の各計算機20、例えばグループ41の計算機211は、リソース状態計測部200を有する。リソース状態計測部200は、計算機20のCPU使用率やメモリ使用量等のリソース状態を計測し、そのリソース状態計測値201を含むログデータ101を出力する。
リソース状態計測部200、及びそのリソース状態計測値201を含むログデータ101の送受信手段としては、一般的な計算機やOSに備えている既存のパフォーマンスカウンタ、リソースモニタ、あるいは所定のコマンドシステム等を用いることができる。
イベント検出システム3の各セキュリティサービス、例えばアンチウィルスシステム31は、イベント検出部300を含む。イベント検出部300は、管理対象システム2の計算機20を監視してイベントを検出する。イベント検出部300は、例えば、計算機211がネットワーク9へアクセスしたことや、ネットワーク9からプログラムをダウンロードしたこと等をイベントとして検出し、そのイベントのイベントデータ202を記録する。イベント検出部300は、イベントデータ202を含むログデータ102を出力する。
データ分析システム1は、データ収集部11、分析対象判定部12、データ分析部13、入出力部14、設定部15を有する。サーバシステム10は、所定のハードウェアに基づいたソフトウェアプログラム処理により、データ収集部11等の各処理部を実現する。ログDB50は、ログデータ51及びログデータ52を格納する。分析DB60は、対象情報61及び分析データ62を格納する。
データ収集部11は、管理対象システム2の各計算機20から、ログデータ101を、ネットワーク9を通じて収集及び取得し、ログDB50にログデータ51として格納する。また、データ収集部11は、イベント検出システム3の各セキュリティサービスから、ログデータ102を、ネットワーク9を通じて収集及び取得し、ログDB50に、ログデータ51と関連付けてログデータ52として格納する。
分析対象判定部12は、ログDB50のログデータ51及びログデータ52のうち、リソース状態計測値の数値データを対象に、ルール情報70に記載のルールを用いて、異常に該当する計算機20及び時間帯を判定する。分析対象判定部12は、異常と判定した計算機20及び時間帯を、分析対象とし、その分析対象の情報を、対象情報61として、分析DB60に格納する。対象情報61は、分析対象の計算機20の識別情報、時間帯の情報、及びそれらに関係付けられるログデータの識別情報、等を含む。
データ分析部13は、分析者の操作に基づいて、ログDB50のログデータを分析する処理を行う。データ分析部13は、ログDB50のログデータ51及びログデータ52の全体のうち、対象情報61に従い、分析対象として絞り込まれたログデータを分析し、その分析結果である分析データ62を、分析DB60に格納する。分析対象のログデータは、ログデータ51及びログデータ52のうち、異常と判定された計算機20及び時間帯に該当するログデータである。このうちログデータ52には、疑わしいイベントのイベントデータを含む。
分析対象判定部12により、ログDB50の全体のログデータのうち、対象情報61で示す分析対象のログデータに絞り込まれている。分析対象のログデータは、全体のログデータ量に対してデータ量が少なくなっている。分析者は、分析対象である疑わしい計算機20及び時間帯のログデータを分析することにより、攻撃やマルウェア等を効率的に検出することができる。
なお、分析者は、対象情報61で示す分析対象のログデータだけでなく、必要に応じて、ログDB50内の他のログデータを参照して分析することもできる。この場合、参照するデータ量が増える分、分析に必要な時間等も増えるが、その代わり、より詳しい分析が可能である。
入出力部14は、ユーザである分析者の操作に基づいて、データや情報の入力や出力の処理を行う。入出力部14は、ユーザインタフェースとなる画面を提供する。分析者は、端末からサーバシステム10にアクセスし、入出力部14により提供される画面を端末で表示する。分析者は、その画面で、データ分析システム1に係わる各種の情報の確認や設定、データ分析作業、等が可能である。
設定部15は、入出力部14を通じたユーザの操作に基づいて、ルール情報70を含む設定情報を設定する処理を行う。ユーザは、画面で、ルール情報70の内容を確認し、個別のルールの設定が可能である。ルール情報70は、分析対象判定部12での分析対象判定処理の際に参照するルールであるデータ分析ルールを含む設定情報である。
[処理フロー]
図3は、実施の形態1のデータ分析システムにおける処理フローを示す。以下、図3のステップS1〜S9を順に説明する。
(S1) S1では、予め、ルール情報70等の設定が行われる。ユーザは、設定部15を用いて、ルール情報70の内容である各ルールの設定や確認を行う。S1の後、S2及びS3の処理が並列で所定のタイミング毎に実行される。
なお、ルール情報70としては、予め事業者によりデフォルトのルール情報が設定され提供されてもよい。また、事業者のサービスとして、ネットワーク9を通じて、最新のルール情報が提供され、ルール情報70が自動更新されるようにしてもよい。
(S2) S2では、データ収集部11により、ネットワーク9を通じて、管理対象システム2の管理対象計算機群の複数の各々の計算機20から、ログデータ101を収集し、ログデータ51としてログDB50に格納する。ログデータ101は、図2のリソース状態計測値201の数値データや、テキストデータを含む。
(S3) また、データ収集部11は、イベント検出システム3の各セキュリティサービスから、ログデータ102を収集し、ログデータ52としてログDB50に格納する。ログデータ102は、図2のイベントデータ202を含む。
S2及びS3で、データ収集部11は、収集タイミングに応じた日時、時間帯、及び計算機20毎のログデータを、ログDB50に格納する。
(S4) 分析対象判定部12は、S3まででログDB50に収集されたログデータのうち、判定対象として着目する計算機20のログデータにおける現在の時間帯のリソース状態計測値に対応した数値データから、判定用の特徴量を計算または設定する。分析対象判定部12は、判定対象の計算機20の時系列の数値データのうち、現在データ、即ち最新の収集タイミングで取得した時間帯の数値データを、判定用の特徴量とする。
S4の特徴量の計算または設定の方式やその詳細は、各種可能である。実施の形態1では、第1の方式として、分析対象判定部12は、判定対象として着目する計算機20の時系列の数値データそのものを、その計算機20の特徴量として設定する。分析対象判定部12は、例えば、CPU使用率、メモリ使用量、ディスク使用量、httpdプロセス数、といった数値データを、特徴量とする。
他の実施の形態で、第2の方式として、分析対象判定部12は、数値データに所定の演算を適用して特徴量を算出してもよい。第2の方式の例は以下である。分析対象判定部12は、判定対象として着目する計算機20の時系列の数値データにおいて、時点毎に変化量を計算し、変化量が所定の閾値を超える箇所を抽出する。即ち、分析対象判定部12は、数値データのグラフにおいて、数値が急に変化している箇所や、他の部分と比べて数値の変化が目立つ部分等を抽出する。分析対象判定部12は、抽出した数値データを特徴量とする。
(S5) また、分析対象判定部12は、S3まででログDB50に収集されたログデータのうち、比較対象として着目する1つ以上の計算機20のリソース状態計測値に対応した数値データから、判定用の基準値とする特徴量を計算または設定する。
S5の基準値の計算または設定の方式や詳細は、各種が可能である。実施の形態1では、第1の方式として、複数の計算機20間で、現在の時間帯の数値データを比較し、第2の方式として、同一の計算機20内で現在の時間帯と過去の時間帯とで数値データを比較する。
第1の方式の例は以下である。分析対象判定部12は、判定対象として着目する計算機20、例えば計算機211に対して、比較対象とする複数の計算機20、例えばグループG1の計算機211〜21mの各々における、現在の時間帯の数値データから、平均等の統計値を計算し、その統計値を、比較対象の計算機20における基準値の特徴量とする。
分析対象判定部12は、例えばWebサーバグループに対応したグループ41の計算機211〜21mについて、CPU使用率の平均値、メモリ使用量の平均値、ディスク使用量の平均値、httpdプロセス数の平均値、といった数値データの平均値を計算し、それぞれを基準値とする。
なお、第1の方式で、比較対象とする複数の計算機20は、管理対象の全ての計算機20としてもよいし、特定のグループの計算機20や、任意に指定した計算機20としてもよい。この定義は、ルール情報70で設定可能である。また、比較対象とする1つ以上の計算機20については、判定対象の計算機20を含める場合と含めない場合との両方が可能である。この定義は、ルール情報70で設定可能である。実施の形態1では、ルールに応じて、前者のように、比較対象の計算機20に判定対象の計算機20を含める定義とする。例えば、判定対象が計算機211であり、比較対象がグループG1であり、比較対象のグループG1の計算機211〜21mにおける平均値等が計算される。後者の定義とする場合、判定対象の計算機211を除く、比較対象のグループG1の計算機212〜21mにおける平均値等が計算される。
第2の方式の例は以下である。分析対象判定部12は、判定対象として着目する計算機20のログデータにおける、判定対象とする現在の時間帯の数値データに対して、過去の時間帯の数値データを比較対象として参照する。分析対象判定部12は、比較対象とする過去の1つ以上の時間帯の数値データから、平均等の統計値を計算し、その統計値を、基準値の特徴量とする。
分析対象判定部12は、例えば判定対象の計算機211について、現在の時間帯の数値データとして、月曜8時0分から10分までの時間帯のCPU使用率を、判定対象の特徴量とする。分析対象判定部12は、これに対し、比較対象である過去の時間帯の数値データとして、過去1ヶ月における月曜8時0分から10分までの時間帯のCPU使用率を参照し、それらの平均値を、基準値の特徴量とする。
なお、第2の方式で、判定対象とする時間帯のログデータを、比較対象とする時間帯のログデータの中に含める場合と含めない場合との両方が可能である。この定義は、ルール情報70で設定可能である。実施の形態1では、ルールに応じて、後者のように、比較対象の時間帯に判定対象の時間帯を含めない定義とする。
基準値として平均値を用いる場合、平均値をμとし、ある時間帯の複数(k)の各計算機20の数値データをX1,X2,……,Xkとすると、μ=(X1+X2+……+Xk)/kである。
特徴量の計算及び判定等の方式としては、上記例に限らず、各種の方式が適用可能である。例えば非特許文献1に記載のフィッシャースコアによる有効性の高いパラメータの絞り込み、線形補正による数値データの補正、等の方式も適用可能である。
(S6) 分析対象判定部12は、分析対象判定処理のために、ルール情報70から、1つ以上のルールを参照する。実施の形態1では、ルール情報70に記載の全てのルールを適用する。ルール情報70の内容例は後述の図4で示す。ルール情報70のルールは、判定対象の特徴量や比較対象の基準値に合わせて、閾値等の条件が設定されている。ルールの例は、比較対象の基準値に対する、判定対象の特徴量の偏差をみて、その偏差が所定の閾値を超えるかどうか、が挙げられる。超える場合には異常と判定される。偏差は、母集団に属する数値と母集団の平均値との差である。閾値の例としては、比較対象の数値群における標準偏差が挙げられる。判定用の閾値等の条件は、ルール情報70で設定可能であり、各種が適用可能である。
なお、特徴量である数値データをX、平均をμ、偏差を(X−μ)、分散をσ、標準偏差をσとする。分散(σ)は、偏差の2乗値の合計を数値データ個数(k)で割った値であり、σ=Σ(X−μ)/kである。
第1の方式の例として、判定対象の計算機211の現在の時間帯の特徴量であるCPU使用率をX1とする。比較対象のグループG1の計算機211〜21mの同じ時間帯の基準値である、CPU使用率の平均値をμ1とする。比較対象のグループG1におけるCPU使用率の標準偏差をσ1とする。条件は、偏差(X1−μ1)が、閾値である標準偏差(σ1)を超えるかどうか、即ち、(X1−μ1)>σ1である。
第2の方式の例として、判定対象の計算機211の現在の時間帯(図11のT1)の特徴量であるCPU使用率をX1とする。同じ計算機211の比較対象の基準値である、複数の過去の時間帯(図11のT2〜Tp)のCPU使用率の平均値をμ2とする。比較対象における標準偏差をσ2とする。条件は、偏差(X1−μ2)が、閾値である標準偏差(σ2)を超えるかどうか、即ち、(X1−μ2)>σ2である。
(S7) 分析対象判定部12は、S4で得た判定対象の特徴量と、S5で得た比較対象の基準値である特徴量と、S6で得たルールにおける閾値等の条件と、を参照し、それらを比較して異常か否かを判定する。分析対象判定部12は、判定対象の計算機20及び時間帯の特徴量が、比較対象の計算機20及び時間帯の基準値である特徴量に対して、条件を満たすかどうかにより、判定対象が異常か否かを判定する。分析対象判定部12は、例えば、S4の特徴量とS5の基準値である平均値との偏差が、S6の閾値である標準偏差を超える場合、ルールの条件を満たすと判定する。その結果、分析対象判定部12は、S4の判定対象の計算機20及び時間帯のログデータを異常状態と判定する。
S7の判定の結果、ルール情報70のうちのいずれかのルールを満たし、異常に該当するものがある場合(S7−Y)、S8へ進み、いずれのルールも満たさず、異常に該当するものが無い場合(S7−N)、図3の処理を終了する。
(S8) 分析対象判定部12は、S7で異常と判定した計算機20及び時間帯、及びそれに関係付けられるログデータを、分析対象として決定し、その分析対象の情報を含む対象情報61を分析DB60に格納する。また、分析対象判定部12は、その対象情報61を含む情報を、入出力部14の処理を通じて、ユーザが見る画面に表示させる。
(S9) 次に、データ分析部13は、S8で決定した対象情報61に従い、分析対象のログデータを決定する。データ分析部13は、対象情報61で指し示される分析対象のログデータを、ログDB50から読み出す。データ分析部13は、画面での分析者の操作に基づいて、その分析対象のログデータの分析処理を行い、その分析結果である分析データ62を分析DB60に格納する。データ分析部13は、分析結果を含む情報を、入出力部14を通じて画面に表示する。
分析者は、分析対象として絞り込まれた特定の計算機及び時間帯のログデータと、それに対応したイベントデータを含むログデータとを併せて分析を行い、攻撃やマルウェア等、何らかのセキュリティ侵害行為の形跡が無いかどうか等を分析する。その結果、セキュリティ侵害行為を検出することができる。
なお、S9の分析の方式としては、公知の各種の分析の方式が適用可能である。例えば分析者が関連するログを直接参照する方式、一般的なルールベースの分析の方式、複数のセキュリティサービス等のログを用いた相関分析の方式、等が適用可能である。
S7及びS8の結果、例として、計算機211で、日時「2015/01/10 10:05:00」に対応した時間帯について、異常と判定され、即ち何らかの攻撃等が発生した疑いがあると判定される。よって、S9で、分析者は、管理対象計算機群やイベント検出システム3から取得した膨大な全てのログデータを分析するのではなく、S8で絞り込まれた特定の計算機211及び時間帯に対応した分析対象のログデータを分析する。このログデータは、特定の計算機211に関わるログやイベントを含む。これにより、分析者は、効率的にセキュリティ侵害行為を検出できる。S9の後、図3の処理を終了する。
[ルール情報]
図4は、実施の形態1のデータ分析システムにおける、ルール情報70の構成例を示す。図4のルール情報の表は、列として、「ID」、「ルール名称」、「条件」、「判定対象及び期間」、「比較対象及び期間」を有する。「ID」は、ルールを識別する一意の番号を示す。「ルール名称」は、ルールの名称を示す。「条件」は、当該ルールでの判定用の条件を示し、条件として閾値等を含む。
「判定対象及び期間」は、判定対象の計算機20及び時間帯を定義する情報を示す。「比較対象及び期間」は、比較対象の計算機20及び時間帯を定義する情報を示す。それぞれの「期間」は、当該ルールで適用する、判定対象の特徴量、及び比較対象の基準値とする特徴量を計算または設定するための、数値データをサンプリングする期間等を定義する情報を示す。
ID=1〜3で示す行は、想定されるマルウェアや攻撃毎に定義されるルールの例である。ID=1の「マルウェアA」のルールは、判定対象の計算機20として、管理対象システム2の全ての計算機20における各々の計算機20毎とする。また、判定対象の時間帯は、計算機20毎に現在の時間帯である。現在の時間帯とは、最新の収集タイミングに対応した最新の時間帯である。
判定対象の特徴量は、判定対象の計算機20及び時間帯における時系列の数値データである。比較対象の計算機20は、判定対象と同一の計算機20である。比較対象の時間帯は、同一の計算機20における過去の時間帯である。過去の時間帯は、特に、直近1ヶ月の期間における、現在時間帯と同一曜日の同一時間帯である。比較対象の基準値とする特徴量は、比較対象の過去の時間帯の数値データの平均値である。
ID=1の条件は、「*¥CU+10% AND *¥MU+10% AND *¥DU+10%」である。“*¥”は、任意の1台の計算機20を示す。“CU”は、CPU使用率を示す。“*¥CU”は、任意の1台の計算機20のCPU使用率を示す。「+10%」は閾値を示す。「*¥CU+10%」は、判定対象の計算機20の現在時間帯のCPU使用率が、比較対象の基準値である過去時間帯のCPU使用率の平均値に対して、プラス10%の閾値を超える、という条件を示す。「*¥MU+10%」は、同様に、メモリ使用量に関する条件を示す。「*¥DU+10%」は、同様に、ディスク使用量に関する条件を示す。ID=1の条件は、リソース状態計測値の種類毎の3つの条件のAND(論理積)で定義されている。ID=1の条件を満たす場合、判定対象の計算機20及び時間帯は、異常と判定される。
ID=2の「マルウェアB」のルールは、「マルウェアA」のルールと同様の判定対象や比較対象とし、条件の閾値が異なる例を示している。条件は、「*¥CU+5% AND *¥MU+5% AND *¥DU+20%」である。
ID=3の「DDoS攻撃」のルールは、判定対象の計算機20として、グループG1であるWebサーバグループにおける、複数の計算機20である計算機211〜21mである。判定対象の時間帯は、現在の時間帯である。“WG”はWebサーバグループであるグループG1を示す。このルールは、グループ単位を判定対象とするものであり、比較対象の定義は無い。
ID=3の条件は、「WG¥CU>90% AND WG¥MU>90% AND WG¥PCH>200」である。“WG¥CU”は、グループG1のCPU使用率を示し、例えばいずれかの計算機20のCPU使用率を示す。「WG¥CU>90%」は、グループG1のCPU使用率が、閾値である90%を超える、という条件を示す。同様に、「WG¥MU>90%」は、グループG1のメモリ使用量が、90%を超える、という条件を示す。「WG¥PCH>200」は、グループG1のhttpdプロセス数が、200を超えるという条件を示す。“PCH”は、“process-count-httpd”、即ちhttpdプロセス数を示す。ID=3の条件は、3つの条件のANDにより定義されている。
ID=11の「同一グループ異常動作(WG)」のルールは、同一グループに含まれる複数の計算機20間で現在時間帯の数値データを比較して異常を判定する例である。このルールは、判定対象の計算機20として、WebサーバグループであるグループG1に含まれる計算機211〜21mにおける各々の計算機20である。判定対象の時間帯は、現在の時間帯である。判定対象の特徴量は、現在時間帯の時系列の数値データそのものである。
比較対象の計算機20は、グループG1を構成する複数の計算機20である計算機211〜21mである。このルールの場合、比較対象のグループG1の複数の計算機20は、判定対象の計算機20、例えば計算機211を含む。比較対象の時間帯は、同じく現在の時間帯である。比較対象の基準値となる特徴量は、現在の時間帯のグループG1の数値データの平均値である。
ID=11の条件は、「WG¥CU+20% OR WG¥MU+20% OR WG¥DU+20%」である。この条件は、3つの条件のOR(論理和)で定義されている。「WG¥CU+20%」は、判定対象の計算機20の現在の時間帯のCPU使用率が、基準値である比較対象のグループG1のCPU使用率の平均値に対し、閾値であるプラス20%を超えるか、という条件を示す。
ID=11のルールは、CPU使用率が基準値プラス20%を超える、または、メモリ使用量が基準値プラス20%を超える、または、ディスク使用量が基準値プラス20%を超える、というルールである。このルールを満たす場合、判定対象の計算機20及び時間帯は、異常と判定される。
ID=11は、複数の計算機20間で比較する例としてグループG1に関するルールの例である。これに限らず、グループG2等の他のグループや、任意に指定された複数の計算機についても、同様にルールを定義可能である。
ID=12の「同一マシン異常動作(CPU)」のルールは、同一の計算機20毎に、現在の時間帯の数値データと過去の時間帯の数値データとを比較して異常を判定する例である。判定対象の計算機20は、管理対象計算機群の全ての計算機20における各々の計算機20である。判定対象の時間帯は、現在の時間帯である。判定対象の特徴量は、判定対象の計算機及び時間帯の時系列の数値データそのものである。
比較対象の計算機20は、判定対象と同一の計算機20である。比較対象の時間帯は、過去の時間帯である。過去の時間帯として、ID=1のルールと同様に、直近1ヶ月の同一曜日の同一時間帯である。比較対象の基準値となる特徴量は、過去の時間帯の数値データにおける平均値である。
ID=12の条件は、「CU+30%」である。この条件は、判定対象の計算機20の現在の時間帯のCPU使用率が、基準値である過去の時間帯のCPU使用率の平均値に対して、プラス30%を超える、という条件である。この条件を満たす場合、判定対象の計算機20及び時間帯は、異常と判定される。
ID=12は、リソース状態計測値の項目としてCPU使用率に関して、現在と過去とで比較するルールの例である。これに限らず、メモリ使用量、httpdプロセス数のようなサーバプロセス数、等の他の項目についても、同様に、ルールを定義可能である。また、比較対象とする過去の時間帯についても、所望の時間帯を設定可能である。
ルール情報70の他の例として、ID=11のように複数の計算機20間で比較するルールと、ID=12のように現在と過去で比較するルールと、を組み合わせて構成されるルールも可能である。例えばそれら2つのルールのAND条件によるルールや、OR条件によるルールが可能である。もしくは、分析対象判定部12は、ルール情報70に記述されている複数のルールについて、所定のAND条件やOR条件を判定することにより、異常状態を判定してもよい。
なお、ルール情報70に複数のルールが設定されている場合に、都度、いずれのルールを使用するかを、設定部15を通じてユーザにより設定可能としてもよい。この場合、図4のルール情報70の表は、使用するかどうかをON/OFF等で設定するフラグの項目が設けられる。
[ログデータ]
図5は、管理対象システム2の計算機20から得られたログデータにおける数値データの例を示す。図5のログデータの表は、列として、「日時」、「計算機C11」、「グループG1(WG)」を有する。図示しないが、他の計算機やグループについても同様に情報が管理される。図5の上側の表は、図1の計算機211である計算機C11に関する情報部分を示し、図5の下側の表は、続いて、図1のグループ41であるグループG1に関する情報部分を示す。分析対象判定部12で処理対象となる数値データは、収集されたログデータのうち、図5のように、CPU使用率等の、数値で表される数値データである。
「日時」列は、収集タイミング及び時間帯を示す。例えば「2015/01/10 10:00:00」の行は、収集タイミングが2015年1月10日の10時0分0秒を示し、対応する時間帯としては、「2015/01/10 10:00:00」までの1分間を示す。
「計算機C11」列及び「グループG1」列は、リソース状態計測値に関する詳しい項目として、「CPU使用率」、「メモリ使用量」、「ディスク使用量」、「httpdプロセス数」を有する。「計算機C11」列の各項目は、収集された各リソース状態計測値の数値を格納している。「グループG1」列の各項目は、収集された各計算機20の数値に基づいて計算された平均値を格納している。
図5の例では、リソース状態計測値の数値データの計測間隔及び収集タイミングがいずれも1分毎であり、ログデータの表にも1分毎に1つの数値データを格納している。この単位時間は、1分に限らず、例えば10秒や5分等、より短い時間やより長い時間が設定可能である。ユーザは、設定部15を通じてこの単位時間を設定可能である。この単位時間は、リソース状態を計測及び収集可能な時間の制約範囲内で設定可能である。データ収集部11は、設定された単位時間に応じた収集タイミングで数値データを含むログデータを収集し、単位時間毎の数値データとしてログデータの表に格納する。
なお、データ収集部11は、設定された単位時間に対応した収集タイミングで、計算機20から複数回の計測分の複数の数値データを取得してもよいし、それら複数の数値データのうちの1つの数値データを取得してもよい。また、計算機20のリソース状態計測部200は、複数の数値データの平均値等を計算して、その平均値等の数値データをデータ収集部11へ提供してもよい。
また、分析対象判定部12での判定対象や比較対象の時間帯について、ルール情報70で設定可能である。この時間帯は、計測及び収集の時間単位に合わせて例えば1分等にしてもよいし、計測及び収集の時間単位よりも大きくして例えば10分、1時間等としてもよい。ユーザは、設定部15を通じてこの時間帯の大きさをルール情報70に設定可能である。分析対象判定部12は、設定された時間帯毎に、または設定で指定された日時に、分析対象判定処理を行う。
[数値データグラフ]
図6〜図9は、図5のようなログデータに対応した、時系列の数値データに関するグラフ表示の例を示す。図6はCPU使用率、図7はメモリ使用量、図8はディスク使用量、図9はhttpdプロセス数に関するそれぞれのグラフを示す。データ分析システム1は、ログデータの各リソース状態計測値の数値データのグラフを作成し、入出力部14を通じて画面に当該グラフを表示する機能を有する。
図6で、(a)は、図1の計算機C11に関するCPU使用率、(b)は、図1の計算機C12に関するCPU使用率、(c)は、図示しない計算機C13に関するCPU使用率を示す。(a)で、実線は、判定対象の計算機20である計算機C11の数値データを表し、破線は、比較対象の計算機20であるグループG1における平均値を表す。例えば時点601に対応した時間帯のCPU使用率をみると、計算機C11のCPU使用率は、グループG1の平均値に対し、2%程度大きい。他の時点では、計算機C11のCPU使用率は、平均値に近い値である。
例えば図4のID=11のルールのように、複数の計算機20間での比較を行う場合、時点601に対応した時間帯の計算機C11のCPU使用率について、基準値である平均値との偏差が、条件の閾値を越える場合、当該計算機C11及び時間帯は、異常と判定される。
図7で、(a)〜(c)は、図6と同様に計算機C11,C12,C13に関するメモリ使用量を示す。(a)で、例えば時点701に対応した時間帯をみると、計算機C11のメモリ使用量は、グループG1の平均値に対し、0.5MB程度大きい。
図8で、(a)〜(c)は、図6と同様に計算機C11,C12,C13に関するディスク使用量を示す。(a)で、例えば時点801に対応した時間帯をみると、計算機C11のディスク使用量は、グループG1の平均値に対し、700Kbps程度大きい。
図9で、(a)〜(c)は、図6と同様に計算機C11,C12,C13に関するhttpdプロセス数を示す。(a)で、例えば時点901に対応した時間帯をみると、計算機C11のhttpdプロセス数は、グループG1の平均値に対し、80個程度大きい。
図7のメモリ使用量、図8のディスク使用量、図9のhttpdプロセス数についても、図6のCPU使用率と同様に、複数の計算機20間での比較等が可能である。
[分析対象判定処理の例]
図3のS7の分析対象判定処理の例は以下である。分析対象判定部12は、図4のルール情報70、図5のログデータの数値データに基づいて、分析対象を判定する。図5の表の「2015/01/10 10:05:00」時点の数値データにおいて、CPU使用率等の項目毎に、計算機C11の数値データを、判定対象の特徴量とし、グループG1の平均値を、比較対象の基準値である特徴量とする。分析対象判定部12は、ルールとして、同一時間帯のグループG1の複数の計算機20間で、計算機20毎及び項目毎に、比較判定を行う。
まず、CPU使用率は、グループG1の平均値が4.0777であり、それに対し、計算機C11の数値は5.9である。図4のID=11のルールである「同一グループ異常動作(WG)」を用いる場合、条件は「WG¥CU+20% OR WG¥MU+20% OR WG¥DU+20%」である。「WG¥CU+20%」については、平均値である4.0777のプラス20%の値は4.893であり、計算機C11の数値である5.9は、この値を超える。よって、「WG¥CU+20%」という条件を満たし、ID=11のルールの条件を満たすので、当該計算機C11及び時間帯は、異常と判定される。メモリ使用量等についても同様に判定が行われる。他の計算機についても同様に判定が行われる。
[画面例]
図10は、データ分析システム1の入出力部14により提供される画面例を示す。図10の画面例は、「管理対象システム」の欄501、「ルール設定」の欄502、「分析対象情報」の欄503を有する。
欄501は、管理対象システム2の情報を表示する。欄501では、例として、管理対象のグループや計算機20の識別情報を含む情報を表示する。ユーザは、欄501で、設定変更ボタン等により、管理対象のグループや計算機20を設定可能である。また、ユーザは、欄501で、ログデータ収集対象や絞り込み対象等を設定可能である。
欄502は、ルール情報70に対応したルールの内容を表示する。欄502は、例として、図4のようなルール情報70の内容を表形式で表示する。ユーザは、欄502で、設定変更ボタン等により、ルールの内容を設定可能である。また、ユーザは、欄502で、適用するルール等を選択して設定可能である。
欄503は、対象情報61に対応した分析対象情報を表示する。欄503は、例として、分析対象判定の結果、異常と判定され、分析対象として絞り込まれた計算機20の情報、時間帯の情報、及びそれに関係付けられたログデータの識別情報、等を表示する。ユーザは、欄503で、「分析する」ボタン等により、分析対象のログデータの分析用の画面に遷移して分析を行うことができる。また、ユーザは、欄503に表示された分析対象情報の中から、更に個別に分析対象を選択して、「分析する」ボタン等により、個別の分析対象のログデータの分析用の画面に遷移することもできる。
本例では、欄503の表の第1行は、分析対象として、グループG1の計算機C12、時間帯T1、ログデータL21、となっている。同様に、第2行以下に順に、複数の各々の分析対象のログデータに関する情報が表示される。
[複数の数値データの比較の例]
図11は、補足として、分析対象判定処理やルールにおける、複数の数値データの比較の例について示す。縦方向は、例えばグループG1の複数の計算機20を示す。横方向は、時間軸として左を現在、右を過去として、時間帯を示す。時間帯T1は最新の時間帯を示す。各枠は、該当する計算機及び時間帯におけるログデータを示す。L11等はログデータの識別情報を示す。
前述の図3のS5の第1の方式は、同一時間帯で複数の計算機20間で数値データを比較する。例えば計算機C11が判定対象であり、グループG1が比較対象である。
前述の図3のS5の第2の方式は、同一計算機20で現在時間帯と過去時間との間で数値データを比較する。例えば計算機C11で時間帯T1が判定対象であり、時間帯T2,T3,……,Tpが比較対象である。
[効果等]
以上説明したように、実施の形態1のデータ分析システム1によれば、管理対象システム2の計算機20のセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する際、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる。
一般に、マルウェアに感染した場合やサービス妨害攻撃を受けた場合等、セキュリティ侵害行為を受けた場合には、CPU使用率等のリソース状態の数値またはその特徴量が変動することが分かっている。そこで、実施の形態1では、セキュリティ侵害行為の示唆や可能性を考慮して、リソース状態の数値データに関する条件をルールとして設定し、分析対象判定等を行う。これにより、セキュリティ侵害行為が疑われる計算機20や時間帯に対応したログデータを分析対象として絞り込むことができる。これにより、分析者は、大量の様々なログデータを分析しなければならない従来技術に比べて、少ない手間、時間、資源で、迅速に効率的にログデータを分析し、攻撃等を検出することができる。
また、特に、実施の形態1のデータ分析システム1は、複数の計算機20間での比較判定や、現在と過去の時間帯の比較判定を、ルール設定に基づいて行うことができるので、未知のセキュリティ侵害行為に関しても対応しやすい。
また、実施の形態1では、分析対象判定処理における処理対象を数値データに限定しているので、迅速な分析及び検出が可能である。
(実施の形態2)
図12を用いて、本発明の実施の形態2のデータ分析システムについて説明する。実施の形態2の基本的な構成は、実施の形態1の構成と同様である。以下、実施の形態2における実施の形態1とは異なる構成の部分について説明する。
図12は、実施の形態2のデータ分析システムを含む、セキュリティ侵害行為検出システムの構成を示す。実施の形態1のネットワーク9は、実施の形態2では、インターネット91及びLAN92として示す。管理対象システム2の管理対象計算機群である複数の計算機20は、LAN92に接続されている。管理対象システム2は、負荷分散装置80を有する。負荷分散装置80は、LAN92に接続されている。負荷分散装置80には、LAN92を通じて各計算機20が接続されている。データ分析システム1は、管理対象システム2のLAN92に接続されている。
イベント検出システム3は、各セキュリティサービスのサーバ装置等で構成される。当該サーバ装置は、インターネット91に接続されており、また、管理対象システム2のLAN92に対して負荷分散装置80を通じて接続されている。イベント検出システム3は、管理対象システム2のセキュリティ確保のための入口対策としての処理を行う。
負荷分散装置80は、管理対象システム2の複数の計算機20に対する負荷を分散する処理を行う。負荷分散装置80は、例えば、Webサーバグループであるグループ41の計算機211〜21mに対する外部からのアクセスを平準化することにより、それらの計算機20の負荷を平準化する。これにより、それらの計算機20は、リソース状態としてCPU使用率等が平準化される。計算機211〜21mは、同様のハードウェア及びソフトウェアの性能を持つ。
データ分析システム1は、負荷分散装置80による負荷分散状態に応じて、ルール情報70の内容を設定する。データ分析システム1は、負荷分散装置80から、負荷分散状態を示す負荷分散情報801を参照する。データ分析システム1は、負荷分散情報801が示す負荷分散状態に応じて、ルール情報70の内容として、補正係数802を設定する。あるいは、分析者は、負荷分散装置80の負荷分散情報801を参照し、設定部15を用いて、ルール情報70の内容として、補正係数802を設定する。
補正係数802は、分析対象判定処理用に、複数の計算機20のリソース状態を平準化するために、計算機20毎のリソース状態計測値を補正するための係数である。補正係数802は、ルール情報70の条件に記述されているリソース状態計測値に対して乗算等で反映される。
まず、負荷分散装置80により複数の計算機20の負荷及びリソース状態を平準化する場合は以下である。負荷分散装置80は、管理対象の計算機20群に対する負荷分散の設定状態に応じて、計算機20群への通信を分散させ、負荷状況を平準化する。この負荷分散により、特定の計算機20に負荷が集中してリソース状態計測値及びその特徴量において複数の計算機20間で大きな差異が出ないようにする。
この場合には、補正係数802を設定する必要は無く、言い換えると補正係数802として全ての計算機20で“1”と設定すればよい。ルール情報70は、実施の形態1と同様の設定でよい。分析対象判定部12は、複数の計算機20間での比較判定を含め、分析対象判定処理を好適に実現できる。
また、負荷分散装置80による負荷分散状態として、複数の計算機20間で負荷及びリソース状態に偏りがある場合には以下である。負荷分散装置80による負荷分散状態として、例えばグループ41のうちの計算機211と計算機212との2台の計算機20で、負荷が1:2の割合であるとする。この場合、2台の計算機20のリソース状態計測値、例えばCPU使用率は、1:2の割合になる可能性が高い。
この場合、データ分析システム1及び分析者は、分析対象判定処理で複数の計算機20間での比較判定等が好適に実現できるように、以下のように、補正係数802を設定し、ルール情報70の内容を補正する。データ分析システム1は、ルール情報70における各ルールの条件の記述において、計算機20間のリソース状態計測値の割合が1:1になるように、補正係数802を設定する。上記例の場合、計算機211の補正係数が“1”、計算機212の補正係数が“0.5”に設定される。
分析対象判定部12は、分析対象判定処理の際、ルール情報70の補正後のルールを適用する。分析対象判定部12は、当該ルールに従い、複数の計算機20間で平準化されたリソース状態計測値の数値データを参照する。例えば図4のID=11のルールでは、「WG¥CU」として、グループG1の各計算機20のCPU使用率の数値データを参照する。この場合に、計算機212のCPU使用率に“0.5”を乗算することで、計算機211のCPU使用率と同程度になるように平準化される。
よって、負荷分散状態に応じて複数の各計算機20の負荷が異なる場合にも、複数の計算機20の負荷が平準化されている場合と同様に、複数の計算機20間での比較判定等を好適に実現できる。分析者は、ルール情報70の設定の手間が少ない。
実施の形態2の変形例として、データ分析システム1は、インターネット91に接続されていてもよい。また、イベント検出システム3とデータ分析システム1とが1つに統合されていてもよい。
(他の実施の形態)
他の実施の形態のデータ分析システムとして、以下が挙げられる。
管理対象システム2内に、イベント検出システム3の構成要素であるセキュリティサービスやセキュリティ機器が設けられていてもよい。また、イベント検出システム3は、管理対象システム2から、リソース状態計測値を収集し、データ分析システム1は、イベント検出システム3から、リソース状態計測値を含むログデータを収集してもよい。また、イベント検出システム3は、リソース状態計測部を備え、リソース状態計測部により、管理対象システム2の各計算機のリソース状態を計測してもよい。
他の実施の形態として、データ分析部13は、分析対象判定部12と連携し、対象情報61により絞り込まれた分析対象のログデータを自動的に分析者に提示し、分析者はそれに従い分析を行う。データ分析システム1は、分析対象判定部12で得た対象情報61に基づいて、分析対象の順序や優先度を決め、それに応じてログデータの内容を並び替え、分析者に提示してもよい。例えば、分析対象判定部12は、異常と判定した複数の分析対象の情報を画面に出力する場合に、ルール情報70やイベントデータ等の内容に基づいて、疑わしさ等に応じて、複数の分析対象を順位付けて出力する。例えば図10の画面の欄503では、疑わしさ等に応じた順序で複数の分析対象の情報を表示する。これにより、分析者は、複数の分析対象のログデータに関して、疑わしさ等の順序で分析作業を行うことができ、攻撃等を検出しやすい。
他の実施の形態として、データ分析システム1は、ログデータに含まれるテキストデータを用いて、分析対象判定処理を行ってもよい。データ分析システム1は、ログデータに含まれる数値データとテキストデータの組合せを用いて、分析対象判定処理を行ってもよい。
以下、他の実施の形態のデータ分析システム1として、ログデータに含まれるテキストデータを用いて、分析対象判定処理を行う場合の構成例を説明する。以下、他の実施の形態における実施の形態1とは異なる構成の部分を説明する。
図13は、他の実施の形態におけるルール情報70の構成例を示す。ID=21,22で示す行は、テキストデータを用いて分析対象判定処理を行うルールの例を示す。ID=21の行は、ルール名称が「単位時間あたりの認証エラー」であり、条件は、「*¥HTTP_STATUS=401 AND INTERVAL=10min AND COUNT>3 AND GOURPBY user」であり、判定対象及び時間帯は、全計算機、計算機毎、現在時間帯である。
ID=21の条件において、"HTTP_STATUS=401"は、WebサーバのHTTPステータスコードを示す。「*¥HTTP_STATUS=401」は、HTTPステータスコードが401、即ち認証が必要なWebページにアクセスした時に認証に失敗した、という条件を示す。「INTERVAL=10min」は、直近10分間の期間内、という条件を示す。「COUNT>3」は、3回以上当該条件に合致する、という条件を示す。「AND GOURPBY user」は、ユーザ毎に条件に合致するか判断する、という条件を示す。ID=21は、これらの条件のANDによる条件である。よって、ID=21の条件は、同一のユーザが直近10分間に3回以上認証に失敗した場合、という条件を示す。このルールは、例えば外部の攻撃者が、暗号解読方法の一つとして、ユーザ名とパスワードの可能な組み合わせを全て試して不正ログインを試みる、総当たり攻撃と呼ばれる攻撃を検知することに対応したルールである。
ID=22の行は、ルール名称が「データ送信」であり、条件は、「*¥METHOD=POST」であり、判定対象及び時間帯は、全計算機、計算機毎、現在時間帯である。この条件において、"METHOD"は、Webサーバへのリクエストの種別を示す。「*¥METHOD=POST」は、WebサーバへのPOSTメソッドのリクエスト、即ち、クライアントからサーバへデータを送信する場合、という条件を示す。よって、ID=22の条件は、POSTメソッドを用いてデータを送信した場合、という条件を示す。このルールは、マルウェア等に感染した端末が攻撃者のサーバへ何らかのデータを送信していることを検知することに対応するルールである。
上記例のように、他の実施の形態におけるルールは、文字列ないしテキストを含む論理により記述されている。
図14は、他の実施の形態における、管理対象システム2の計算機20から得られたログデータにおけるテキストデータの例を示す。図14のログデータの表は、列として「テキストログ」を有する。本例では「テキストログ」は、apacheログを用いる。apacheはWebサーバである。「テキストログ」列の値であるテキストは、空白文字で分割される複数の項目で構成されている。複数の項目は、順に、「リモートホスト名」、「クライアントの識別子」、「認証ユーザ名」、「時刻」、「リクエストの最初の行」、「レスポンスステータス」、「送信されたバイト数」から成る。本例は、計算機C11のテキストログの例であり、10時0分0秒から5秒のログでは、GETメソッドによるアクセスでレスポンスステータスが401となっている。
分析対象判定部12は、図14のログの場合、図13のルール情報70に基づいた分析対象判定処理を行う。これにより、例えばID=21の条件を満たすので、当該計算機C11及び時間帯は、攻撃が疑われると判定され、対応するログデータが分析対象として決定される。他の実施の形態におけるテキストデータを用いた判定でも、実施の形態1の数値データを用いた判定と同様に、複数の計算機間での比較や、過去時間帯との比較が同様に適用可能である。
なお、他の実施の形態では、図3のフローは、以下のようになる。S2やS3では、テキストデータを含むログデータが収集される。S4では、分析対象判定部12は、ログデータのうちのテキストデータを用いて、判定対象の計算機及び時間帯におけるテキストデータを特徴量として設定する。S5では、分析対象判定部12は、ログデータのうちのテキストデータを用いて、比較対象の計算機及び時間帯におけるテキストデータを基準値として設定する。S6では、分析対象判定部12は、ルール情報70から、テキストを含むルールを参照する。S7では、分析対象判定部12は、S4の特徴量に相当するテキストとS5の基準値に相当するテキストとを比較し、S6のルールを満たす場合、セキュリティ侵害行為が疑われる異常状態として判定する。S8で、分析対象判定部12は、異常状態に該当する計算機、時間帯、及びログデータを、分析対象として決定する。
以上、本発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されず、その要旨を逸脱しない範囲で種々変更可能である。
本発明は、計算機の監視や計測、ログデータの記録、収集、分析等を行うシステムに利用可能である。
1…データ分析システム、2…管理対象システム、3…イベント検出システム、9…ネットワーク、10…サーバシステム、11…データ収集部、12…分析対象判定部、13…データ分析部、14…入出力部、15…設定部、20,211〜21m,221〜22n,231…計算機、31…アンチウイルスシステム、32…プロキシシステム、33…ファイアウォールシステム、34…侵入検知システム、41…グループ、42…グループ、50…ログDB、51…ログデータ、52…ログデータ、60…分析DB、61…対象情報、62…分析データ、70…ルール情報、200…リソース状態計測部、300…イベント検出部。

Claims (12)

  1. 管理対象システムの計算機に対するセキュリティ侵害行為を検出するために、前記計算機のログデータを分析するデータ分析システムであって、
    前記管理対象システムの前記計算機からリソース状態計測値の数値データを含むログデータを収集してログDBに格納するデータ収集部と、
    前記ログデータのうちの前記数値データを、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、
    分析者の操作に基づいて、前記ログデータのうち前記分析対象として絞り込まれたログデータを、前記セキュリティ侵害行為を検出するために分析処理し、分析結果である分析データを出力するデータ分析部と、
    を備え、
    前記分析対象判定部は、
    前記ログデータのうちの前記数値データを用いて、判定対象の計算機及び時間帯における特徴量を計算または設定する処理と、
    前記ログデータのうちの前記数値データを用いて、比較対象の計算機及び時間帯における特徴量を基準値として計算または設定する処理と、
    前記特徴量と前記基準値とを比較し、前記ルール情報のルールを満たす場合、前記セキュリティ侵害行為が疑われる異常状態として判定する処理と、
    前記異常状態に該当する前記計算機、時間帯、及びログデータを、前記分析対象として決定する処理と、
    を行う、データ分析システム。
  2. 請求項1記載のデータ分析システムにおいて、
    前記ルール情報は、前記特徴量と前記基準値との偏差が閾値を超える場合に前記異常状態と判定する条件を含むルールを有する、
    データ分析システム。
  3. 請求項2記載のデータ分析システムにおいて、
    前記分析対象判定部は、
    前記判定対象の第1の計算機及び現在時間帯に対応する第1の時間帯における特徴量を計算または設定し、
    前記比較対象の1台以上の第2の計算機及び前記第1の時間帯における特徴量の統計値を前記基準値として計算または設定する、
    データ分析システム。
  4. 請求項2記載のデータ分析システムにおいて、
    前記分析対象判定部は、
    前記判定対象の第1の計算機及び現在時間帯に対応する第1の時間帯における特徴量を計算または設定し、
    前記比較対象の前記第1の計算機及び1つ以上の過去時間帯に対応する第2の時間帯における特徴量の統計値を前記基準値として計算または設定する、
    データ分析システム。
  5. 請求項1記載のデータ分析システムにおいて、
    前記リソース状態計測値の前記数値データは、CPU使用率、メモリ使用量、ディスク使用量、またはサーバプロセス数、のうち少なくとも1つを含む、
    データ分析システム。
  6. 請求項1記載のデータ分析システムにおいて、
    前記分析対象判定部は、前記判定対象の計算機及び時間帯における前記数値データをそのまま前記特徴量として設定し、前記比較対象の前記管理対象システムの1台以上の計算機及び時間帯における前記数値データの平均値を計算して前記基準値として設定する、
    データ分析システム。
  7. 請求項1記載のデータ分析システムにおいて、
    前記分析対象判定部は、前記判定対象の計算機及び時間帯における前記数値データにおける時系列の複数の数値における変化量を計算し、当該変化量と閾値との比較に基づいて、当該変化量が大きい箇所を抽出し、当該箇所の数値を前記特徴量として設定する、
    データ分析システム。
  8. 請求項1記載のデータ分析システムにおいて、
    前記分析対象判定部は、前記分析対象として絞り込んだ前記計算機、時間帯、及びログデータの識別情報を含む、分析対象情報を、分析DBに格納し、前記分析対象情報を含む画面を前記分析者に対して表示し、
    前記データ分析部は、前記分析DBの前記分析対象情報を参照して、前記分析対象として絞り込まれた前記ログデータを前記分析処理のために読み出す、
    データ分析システム。
  9. 請求項1記載のデータ分析システムにおいて、
    前記分析者の操作に基づいて、前記ルール情報の前記ルールを設定する設定部を有する、
    データ分析システム。
  10. 請求項1記載のデータ分析システムにおいて、
    前記管理対象システムの前記計算機を監視してイベントを検出してイベントデータとして出力するイベント検出システムに接続され、
    前記データ収集部は、前記イベント検出システムから、前記イベントデータを収集して前記ログデータと関連付けて前記ログDBに格納し、
    前記データ分析部は、前記分析対象の前記ログデータに関連付けられた前記イベントデータを加えて前記分析処理を行う、
    データ分析システム。
  11. 請求項1記載のデータ分析システムにおいて、
    前記管理対象システムの複数の計算機に、負荷分散装置が接続されており、
    前記負荷分散装置は、前記複数の計算機における負荷を分散することにより当該複数の計算機のリソース状態計測値を平準化し、
    前記データ収集部は、前記複数の計算機から前記平準化されたリソース状態計測値の前記数値データを含む前記ログデータを収集する、
    データ分析システム。
  12. 管理対象システムの計算機に対するセキュリティ侵害行為を検出するために、前記計算機のログデータを分析するデータ分析システムであって、
    前記管理対象システムの前記計算機からテキストデータを含むログデータを収集してログDBに格納するデータ収集部と、
    前記ログデータのうちの前記テキストデータを、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、
    分析者の操作に基づいて、前記ログデータのうち前記分析対象として絞り込まれたログデータを、前記セキュリティ侵害行為を検出するために分析処理し、分析結果である分析データを出力するデータ分析部と、
    を備え、
    前記分析対象判定部は、
    前記ログデータのうちの前記テキストデータを用いて、判定対象の計算機及び時間帯における前記テキストデータを特徴量として設定する処理と、
    前記ログデータのうちの前記テキストデータを用いて、比較対象の計算機及び時間帯における前記テキストデータを基準値として設定する処理と、
    前記特徴量と前記基準値とを比較し、前記ルール情報のルールを満たす場合、前記セキュリティ侵害行為が疑われる異常状態として判定する処理と、
    前記異常状態に該当する前記計算機、時間帯、及びログデータを、前記分析対象として決定する処理と、
    を行う、データ分析システム。
JP2015065210A 2015-03-26 2015-03-26 データ分析システム Expired - Fee Related JP6574332B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015065210A JP6574332B2 (ja) 2015-03-26 2015-03-26 データ分析システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015065210A JP6574332B2 (ja) 2015-03-26 2015-03-26 データ分析システム

Publications (2)

Publication Number Publication Date
JP2016184358A true JP2016184358A (ja) 2016-10-20
JP6574332B2 JP6574332B2 (ja) 2019-09-11

Family

ID=57243049

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015065210A Expired - Fee Related JP6574332B2 (ja) 2015-03-26 2015-03-26 データ分析システム

Country Status (1)

Country Link
JP (1) JP6574332B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101842925B1 (ko) * 2017-09-29 2018-03-28 (주)닥터소프트 소프트웨어의 라이선스 사용량 분석 방법 및 이를 수행하는 라이선스 관리 서버
WO2019026310A1 (ja) 2017-08-02 2019-02-07 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
JP2019101685A (ja) * 2017-11-30 2019-06-24 富士通株式会社 情報処理システム、情報処理装置、負荷分散装置、情報処理プログラムおよび情報処理方法
JPWO2018122889A1 (ja) * 2016-12-27 2019-07-25 日本電気株式会社 異常検出方法、システムおよびプログラム
JP2020024650A (ja) * 2018-08-06 2020-02-13 沖電気工業株式会社 セキュリティ情報処理装置、プログラム及び方法
JP2020137098A (ja) * 2019-02-26 2020-08-31 富士通株式会社 異常検知プログラム、異常検知方法及び異常検知装置
JP2020149390A (ja) * 2019-03-14 2020-09-17 三菱電機株式会社 サイバー攻撃検知装置
JP2020191137A (ja) * 2020-08-25 2020-11-26 日本電気株式会社 異常検出方法、システムおよびプログラム
JP2021040215A (ja) * 2019-09-02 2021-03-11 富士通株式会社 スイッチ装置及び情報処理システム
KR20210067899A (ko) * 2019-11-29 2021-06-08 (주) 앤앤에스피 자동화 제어 시스템의 리소스 플로우 기반 보안 감시 시스템
WO2022113355A1 (ja) * 2020-11-30 2022-06-02 日本電気株式会社 システム監視装置、システム監視方法、及びコンピュータ読み取り可能な記録媒体

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102244128B1 (ko) * 2020-10-19 2021-04-23 (주)시큐레이어 컴퓨팅 리소스 수용량에 기반한 네트워크 공격 강도 측정 기법을 사용하는 네트워크 호스트 공격 탐지 방법 및 장치

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005025679A (ja) * 2003-07-03 2005-01-27 Fujitsu Ltd ウィルス隔離システム
JP2005285040A (ja) * 2004-03-31 2005-10-13 Nec Corp ネットワーク監視システム及びその方法、プログラム
JP2005327261A (ja) * 2004-04-16 2005-11-24 Ns Solutions Corp 性能監視装置、性能監視方法及びプログラム
JP2007323193A (ja) * 2006-05-30 2007-12-13 Nec Corp 性能負荷異常検出システム、性能負荷異常検出方法、及びプログラム
JP2008059102A (ja) * 2006-08-30 2008-03-13 Fujitsu Ltd コンピュータ資源監視プログラム
JP2011083687A (ja) * 2009-10-14 2011-04-28 Sumitomo Osaka Cement Co Ltd 廃棄物の処理方法及び資源化方法
JP2012086824A (ja) * 2010-09-24 2012-05-10 Yokohama Rubber Co Ltd:The 空気入りタイヤ
JP2014153736A (ja) * 2013-02-05 2014-08-25 Fujitsu Ltd 障害予兆検出方法、プログラムおよび装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005025679A (ja) * 2003-07-03 2005-01-27 Fujitsu Ltd ウィルス隔離システム
JP2005285040A (ja) * 2004-03-31 2005-10-13 Nec Corp ネットワーク監視システム及びその方法、プログラム
JP2005327261A (ja) * 2004-04-16 2005-11-24 Ns Solutions Corp 性能監視装置、性能監視方法及びプログラム
JP2007323193A (ja) * 2006-05-30 2007-12-13 Nec Corp 性能負荷異常検出システム、性能負荷異常検出方法、及びプログラム
JP2008059102A (ja) * 2006-08-30 2008-03-13 Fujitsu Ltd コンピュータ資源監視プログラム
JP2011083687A (ja) * 2009-10-14 2011-04-28 Sumitomo Osaka Cement Co Ltd 廃棄物の処理方法及び資源化方法
JP2012086824A (ja) * 2010-09-24 2012-05-10 Yokohama Rubber Co Ltd:The 空気入りタイヤ
JP2014153736A (ja) * 2013-02-05 2014-08-25 Fujitsu Ltd 障害予兆検出方法、プログラムおよび装置

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11288161B2 (en) 2016-12-27 2022-03-29 Nec Corporation Anomaly detection method, system, and program
JPWO2018122889A1 (ja) * 2016-12-27 2019-07-25 日本電気株式会社 異常検出方法、システムおよびプログラム
US11797413B2 (en) 2016-12-27 2023-10-24 Nec Corporation Anomaly detection method, system, and program
WO2019026310A1 (ja) 2017-08-02 2019-02-07 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
KR101842925B1 (ko) * 2017-09-29 2018-03-28 (주)닥터소프트 소프트웨어의 라이선스 사용량 분석 방법 및 이를 수행하는 라이선스 관리 서버
JP2019101685A (ja) * 2017-11-30 2019-06-24 富士通株式会社 情報処理システム、情報処理装置、負荷分散装置、情報処理プログラムおよび情報処理方法
JP7056103B2 (ja) 2017-11-30 2022-04-19 富士通株式会社 情報処理システム、情報処理装置、負荷分散装置、情報処理プログラムおよび情報処理方法
JP2020024650A (ja) * 2018-08-06 2020-02-13 沖電気工業株式会社 セキュリティ情報処理装置、プログラム及び方法
JP7151548B2 (ja) 2019-02-26 2022-10-12 富士通株式会社 異常検知プログラム、異常検知方法及び異常検知装置
JP2020137098A (ja) * 2019-02-26 2020-08-31 富士通株式会社 異常検知プログラム、異常検知方法及び異常検知装置
JP2020149390A (ja) * 2019-03-14 2020-09-17 三菱電機株式会社 サイバー攻撃検知装置
JP7202932B2 (ja) 2019-03-14 2023-01-12 三菱電機株式会社 サイバー攻撃検知装置
JP2021040215A (ja) * 2019-09-02 2021-03-11 富士通株式会社 スイッチ装置及び情報処理システム
JP7283314B2 (ja) 2019-09-02 2023-05-30 富士通株式会社 スイッチ装置及び情報処理システム
KR20210067899A (ko) * 2019-11-29 2021-06-08 (주) 앤앤에스피 자동화 제어 시스템의 리소스 플로우 기반 보안 감시 시스템
KR102265137B1 (ko) * 2019-11-29 2021-06-15 (주) 앤앤에스피 자동화 제어 시스템의 리소스 플로우 기반 보안 감시 시스템
JP2020191137A (ja) * 2020-08-25 2020-11-26 日本電気株式会社 異常検出方法、システムおよびプログラム
JP7103392B2 (ja) 2020-08-25 2022-07-20 日本電気株式会社 異常検出方法、システムおよびプログラム
WO2022113355A1 (ja) * 2020-11-30 2022-06-02 日本電気株式会社 システム監視装置、システム監視方法、及びコンピュータ読み取り可能な記録媒体

Also Published As

Publication number Publication date
JP6574332B2 (ja) 2019-09-11

Similar Documents

Publication Publication Date Title
JP6574332B2 (ja) データ分析システム
US11089045B2 (en) User and entity behavioral analysis with network topology enhancements
US20200412754A1 (en) System and method for comprehensive data loss prevention and compliance management
US12003534B2 (en) Detecting and mitigating forged authentication attacks within a domain
US20220377093A1 (en) System and method for data compliance and prevention with threat detection and response
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
EP3356985B1 (en) Detection of security incidents with low confidence security events
US11968227B2 (en) Detecting KERBEROS ticket attacks within a domain
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
EP3192232B1 (en) Dynamic quantification of cyber-security risks in a control system
US20150215329A1 (en) Pattern Consolidation To Identify Malicious Activity
EP3085023B1 (en) Communications security
US11997140B2 (en) Ordering security incidents using alert diversity
KR102462128B1 (ko) 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
JP2009048317A (ja) セキュリティ評価方法、セキュリティ評価装置
CN116938600B (zh) 威胁事件的分析方法、电子设备及存储介质
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
KR101940512B1 (ko) 공격특성 dna 분석 장치 및 그 방법
Khordadpour et al. FIDS: Fuzzy Intrusion Detection System for simultaneous detection of DoS/DDoS attacks in Cloud computing
RU2781822C1 (ru) Система и способ автоматической оценки качества сигнатур сетевого трафика
Jaber et al. Methods for preventing DDoS attacks in cloud computing
Uemura et al. Optimal Security Patch Management Policies Maximizing System Availability.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180131

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180919

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190528

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190712

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190816

R150 Certificate of patent or registration of utility model

Ref document number: 6574332

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees