JP2019020776A - Access log analysis device, access log analysis method and access log analysis program - Google Patents
Access log analysis device, access log analysis method and access log analysis program Download PDFInfo
- Publication number
- JP2019020776A JP2019020776A JP2017135649A JP2017135649A JP2019020776A JP 2019020776 A JP2019020776 A JP 2019020776A JP 2017135649 A JP2017135649 A JP 2017135649A JP 2017135649 A JP2017135649 A JP 2017135649A JP 2019020776 A JP2019020776 A JP 2019020776A
- Authority
- JP
- Japan
- Prior art keywords
- access
- time
- unit
- access log
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、アクセスログ分析装置、アクセスログ分析方法及びアクセスログ分析プログラムに関する。 The present invention relates to an access log analysis device, an access log analysis method, and an access log analysis program.
社内共有ファイルサーバに対するアクセスについて、従業員のポリシー違反やなりすましによるファイルアクセスなどの不正アクセスを検知したいという要望がある。 There is a desire to detect unauthorized access such as file access due to policy violations or spoofing of employees regarding access to in-house shared file servers.
不正アクセスの検知作業として、一定期間に記録されたアクセスログの内容に基づいて、当該アクセスログに係るアクセスの正当性の判断が行われる。例えば、業務時間外に発生したアクセスの有無や、アクセス頻度が低い国又は地域からのアクセスの有無等をチェックするためにアクセスログの分析が行われる。 As an unauthorized access detection operation, based on the contents of the access log recorded for a certain period, the legitimacy of access related to the access log is determined. For example, an access log is analyzed to check whether access has occurred outside business hours and whether access has been made from a country or region with low access frequency.
しかしながら、定常的に発生するファイルバックアップやファイル検索などの機械的(自動的)なアクセスについてもアクセスログが同様に記録される。このようなアクセスログは、短時間において大量に発生するため、アクセスログの分析対象が増加し、例えば、アクセスログの分析を行う分析者が利用する端末へのアクセスログのダウンロードや、分析者によるアクセスログの解読に時間を要してしまうという問題がある。 However, an access log is similarly recorded for mechanical (automatic) access such as file backup and file search that occur regularly. Since such access logs are generated in large quantities in a short time, the number of access log analysis targets increases. For example, download of access logs to terminals used by analysts who analyze access logs, and analysis by analysts There is a problem that it takes time to decipher the access log.
そこで、一側面では、本発明は、アクセスログの分析の作業負担を軽減すること目的とする。 Accordingly, in one aspect, an object of the present invention is to reduce the work burden of access log analysis.
一つの態様では、アクセスログ分析装置は、記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する抽出部と、複数の前記単位時間において出現する前記時系列集合を特定する特定部と、を有する。 In one aspect, the access log analysis apparatus can access the access log for each access source from the access log in which information indicating the access time, the access source, and the access destination file is recorded for each access to each file stored in the storage device. An extraction unit that extracts a time series set of access destinations for each unit time; and a specifying unit that specifies the time series set that appears in a plurality of the unit times.
一側面として、アクセスログの分析の作業負担を軽減することができる。 As one aspect, the work burden of access log analysis can be reduced.
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。図1において、ユーザ端末30a、30b及び30c等の1以上のユーザ端末(以下、それぞれを区別しない場合「ユーザ端末30」という。)は、或る企業内のLAN(Local Area Network)又はイントラネット等のネットワークを介してファイルサーバ20に接続される。また、ファイルサーバ20には、分析装置10もネットワークを介して接続される。なお、本実施の形態において、当該企業を「企業A」という。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an example of a system configuration in the embodiment of the present invention. In FIG. 1, one or more user terminals such as
ファイルサーバ20は、企業Aにおいて、例えば、複数の従業員によって共有されるファイルや、企業A内の組織において管理されるファイル等が記憶される1以上のコンピュータ(記憶装置)である。ファイルとは、電子データを格納したファイルをいう。
In the company A, the
各ユーザ端末30は、ファイルサーバ20に記憶されているファイルに対するアクセス元となる端末である。例えば、PC(Personal Computer)、スマートフォン又はタブレット端末等がユーザ端末30として利用されてもよい。ユーザ端末30からのアクセスは、ユーザ端末30のユーザの操作によって任意のタイミングで発生するアクセス(以下、「ユーザアクセス」という。)や、ユーザ端末30に実装されたプログラムによって周期的又は反復的に発生する機械的なアクセス(以下、「機械アクセス」という。)等が有る。機械アクセスの一例として、ファイルの定期的なバックアップのためのアクセスやファイルの検索機能によるアクセス等が有る。例えば、次のような特性を有するアクセスが機械アクセスの一例として想定される。発生タイミングが定期的(1日に数回、半日に1回など)、かつ、短時間(1分、10分など)である。1ファイルに対するアクセス数は1回である。短時間に発生するアクセスに関してはアクセス元のIPアドレスは同じである。但し、毎日異なるIPアドレスがユーザ端末30に割り振られる場合など、発生タイミングごとにアクセス元のIPアドレスが異なる可能性がある。
Each user terminal 30 is a terminal that is an access source for a file stored in the
一方、ユーザアクセスの一例として、ファイルの閲覧や編集のためのアクセス等が有る。なお、不正なユーザアクセスの一例として、なりすましによるファイルの閲覧や、ファイルの改ざんのためのアクセス等が有る。 On the other hand, as an example of user access, there is access for browsing and editing files. Note that examples of unauthorized user access include file browsing by impersonation and access for falsification of a file.
分析装置10は、ファイルサーバ20においてファイルに対するアクセスごとに記録されるログ(以下、「アクセスログ」という。)に基づく、ファイルへの不正なアクセスの検知を支援する1以上のコンピュータである。本実施の形態において、分析装置10は、アクセスログ群を、機械アクセスに関する可能性の高いアクセスログ(以下、「機械アクセス候補ログ」という。)と、ユーザアクセスに関する可能性の高いアクセスログ(以下、「ユーザアクセス候補ログ」という。)とに分類(分別)する。そうすることで、分析者は、例えば、ユーザアクセスに関して不正アクセスが発生している可能性が高い場合に、分析対象とするアクセスログを、ユーザアクセス候補ログに絞り込むことができ、作業負担を軽減することができる。
The
図2は、本発明の実施の形態における分析装置10のハードウェア構成例を示す図である。図2の分析装置10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
FIG. 2 is a diagram illustrating a hardware configuration example of the
分析装置10での処理を実現するプログラムは、記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
A program for realizing processing in the
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って分析装置10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
The
なお、記録媒体101の一例としては、CD−ROM、DVDディスク、又はUSBメモリ等の可搬型の記録媒体が挙げられる。また、補助記憶装置102の一例としては、HDD(Hard Disk Drive)又はフラッシュメモリ等が挙げられる。記録媒体101及び補助記憶装置102のいずれについても、コンピュータ読み取り可能な記録媒体に相当する。
An example of the
図3は、本発明の実施の形態における分析装置10の機能構成例を示す図である。図3において、分析装置10は、クロス集計表生成部11、継続事象特定部12及びアクセスログ分類部13等を有する。これら各部は、分析装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。分析装置10は、また、継続事象記憶部14を利用する。継続事象記憶部14は、例えば、補助記憶装置102、又は分析装置10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
FIG. 3 is a diagram illustrating a functional configuration example of the
クロス集計表生成部11は、例えば、過去の一週間等の一定期間において記録されたアクセスログについて、一定周期の期間(例えば、1日)ごとに、クロス集計表を生成する。クロス集計表とは、単位時間(例えば、30分)ごとのアクセス先のファイルパス文字列(パス名)の順序集合(時系列集合)を、アクセス元別に分類した表をいう。
For example, the cross tabulation
図4は、クロス集計表の生成を説明するための図である。図4では、一週間分のアクセスログ群が1日ごとに分割され、各日のアクセスログ群ごとに、クロス集計表が生成される例が示されている。図4における下段の表が、クロス集計表を示す。クロス集計表の行はアクセス元ごとに区別され、列は単位時間ごとに区別されている。クロス集計表のいずれかのセル内の楕円が、当該セルに係るアクセス元及び単位時間に関して抽出された順序集合を示す。したがって、図4では、1日目〜7日目まで各日のアクセスログ群から順序集合s1及びs2が抽出され、3日目以降のアクセスログ群から、更に、順序集合s3が抽出された例が示されている。なお、内容が同じである順序集合には同一符号が付されている。 FIG. 4 is a diagram for explaining generation of a cross tabulation table. FIG. 4 shows an example in which an access log group for one week is divided every day, and a cross tabulation table is generated for each day's access log group. The lower table in FIG. 4 shows a cross tabulation table. The rows of the cross tabulation table are distinguished for each access source, and the columns are distinguished for each unit time. An ellipse in any cell of the cross tabulation table indicates an ordered set extracted with respect to the access source and unit time related to the cell. Accordingly, in FIG. 4, an example in which ordered sets s1 and s2 are extracted from the access log groups for each day from the first day to the seventh day, and an ordered set s3 is further extracted from the access log groups on and after the third day. It is shown. In addition, the same code | symbol is attached | subjected to the ordered set with the same content.
継続事象特定部12は、各クロス集計表(各日)の順序集合を比較することにより、各日において継続して(反復して)出現している順序集合(すなわち、1日周期で出現している順序集合)を特定する。各日において継続している順序集合の組を、以下「継続事象」という。継続事象の特定結果は、継続事象記憶部14に記憶される。
The continuation
図5は、継続事象の特定を説明するための図である。図5では、同一の内容を有する順序集合が線によって接続されている。ここで、順序集合s1及びs2が、1週間の各日において出現している。したがって、順序集合s1及びs2が継続事象として特定される。 FIG. 5 is a diagram for explaining identification of a continuation event. In FIG. 5, ordered sets having the same contents are connected by lines. Here, the ordered sets s1 and s2 appear on each day of one week. Therefore, the ordered sets s1 and s2 are specified as continuation events.
アクセスログ分類部13は、継続事象記憶部14に記憶された継続事象に基づいて、各アクセスログを機械アクセス候補ログ又はユーザアクセス候補ログに分類する。
The access
以下、分析装置10が実行する処理手順について説明する。図6は、クロス集計表の生成処理の処理手順の一例を説明するためのフローチャートである。
Hereinafter, a processing procedure executed by the
ステップS101において、クロス集計表生成部11は、分析対象期間の設定を取得する。分析対象期間とは、分析対象とするアクセスログを特定するための期間をいい、例えば、当該期間の開始日及び終了日によって指定される。図4における1週間が分析対象期間に相当する。分析対象期間は、予め設定されていてもよいし、ステップS101のタイミングでユーザによって入力されてもよい。
In step S101, the cross tabulation
続いて、クロス集計表生成部11は、クロス集計表の生成単位とする期間(以下、「生成期間」という。)の設定を取得する(S102)。図4における1日が、生成期間に相当する。生成期間は、予め設定されていてもよいし、ステップS102のタイミングでユーザによって入力されてもよい。なお、機械アクセスが発生する周期に基づいて生成期間が設定されてもよい。例えば、機械アクセスが2日ごとに発生することが予定されていれば、生成期間は2日に設定されてもよい。
Subsequently, the cross tabulation
続いて、クロス集計表生成部11は、変数iに1を代入する(S103)。図6において、変数iは、処理対象とされている生成期間の順番を記憶するための変数である。
Subsequently, the cross tabulation
続いて、クロス集計表生成部11は、i番目の生成期間のアクセスログ群をファイルサーバ20から読み込む(S104)。
Subsequently, the cross tabulation
図7は、アクセスログの一例を示す図である。図7に示されるように、アクセスログは、いずれかのファイルへのアクセスごとに、アクセス元IP、アクセス時刻、アクセス先パス、及び操作等の項目の値を含む。アクセス元IPは、アクセス元のユーザ端末30等のIPアドレスである。アクセス時刻は、例えば、アクセスが発生した日時等、アクセス時期を示す情報である。アクセス先パスは、アクセス対象とされたファイルのパス文字列である。操作は、アクセス対象のファイルに対して行われた操作種別を示す情報である。例えば、Read(参照)、Write(書き込み)、Delete(削除)、Read−failure(参照失敗)、Write−failure(書き込み失敗)、Delete−failure(削除失敗)等が操作として記録されてもよい。 FIG. 7 is a diagram illustrating an example of an access log. As shown in FIG. 7, the access log includes values of items such as an access source IP, an access time, an access destination path, and an operation for each access to any file. The access source IP is an IP address of the access source user terminal 30 or the like. The access time is information indicating the access time such as the date and time when the access occurred. The access destination path is a path character string of a file to be accessed. The operation is information indicating the type of operation performed on the file to be accessed. For example, Read (reference), Write (write), Delete (deletion), Read-failure (reference failure), Write-failure (write failure), Delete-failure (deletion failure), and the like may be recorded as operations.
ステップS104では、アクセス時刻がi番目の生成期間に含まれるアクセスログ群(以下、「対象アクセスログ群」という。)が読み込まれる。 In step S104, an access log group whose access time is included in the i-th generation period (hereinafter referred to as “target access log group”) is read.
続いて、クロス集計表生成部11は、対象アクセスログ群に含まれている各アクセスログのアクセス元IPの種類と、単位時間の種類とを特定し、空のクロス集計表を生成する(S105)。以下、生成されたクロス集計表を「対象クロス集計表」という。単位時間の種類の特定とは、i番目の生成期間を区切る複数の単位時間のうち、1以上のアクセスログのアクセス時刻を含む単位時間を特定することをいう。生成されるクロス集計表は、特定されたアクセス元IPアドレスの種類を行とし、特定された単位時間の種類を列とする。
Subsequently, the cross tabulation
続いて、クロス集計表生成部11は、対象アクセスログ群について、アクセス元IP別に、単位時間ごとのアクセス先パスの順序集合を生成する(S106)。1つの順序集合に複数のアクセス先パスが含まれる場合、当該複数のアクセス先パスは、アクセス時刻の昇順に(すなわち、時系列に)整列される。
Subsequently, the cross tabulation
続いて、クロス集計表生成部11は、生成した各順序集合を、対象クロス集計表において、それぞれの順序集合のアクセス元IP及び単位時間に対応するセルに登録する(S107)。続いて、クロス集計表生成部11は、対象クロス集計表を、メモリ装置103又は補助記憶装置102等に記憶する(S108)。
Subsequently, the cross tabulation
図8は、クロス集計表の構成例を示す図である。図8に示されるように、クロス集計表には、アクセス元IP別に、単位時間ごとのアクセス先の順序集合が登録される。なお、図8に示されるクロス集計表は、4月1日の1日分の生成期間のアクセスログ群に基づくクロス集計表である。 FIG. 8 is a diagram illustrating a configuration example of the cross tabulation table. As shown in FIG. 8, in the cross tabulation table, an ordered set of access destinations for each unit time is registered for each access source IP. The cross tabulation table shown in FIG. 8 is a cross tabulation table based on the access log group for the generation period for one day on April 1.
続いて、クロス集計表生成部11は、対象分析期間の全てのアクセスログを読み込んだか否かを判定する(S109)。まだ読み込んでいないアクセスログが有る場合(S109でNo)、クロス集計表生成部11は、iに1を加算して(S110)、ステップS104以降を繰り返す。全てのアクセスログを読み込んだ場合(S109でYes)、クロス集計表生成部11は、図6の処理手順を終了する。
Subsequently, the cross tabulation
図6の処理手順が実行されることにより、対象分析期間に含まれる生成期間ごとに、クロス集計表が生成される。 By executing the processing procedure of FIG. 6, a cross tabulation table is generated for each generation period included in the target analysis period.
図9は、継続事象の特定処理の処理手順の一例を説明するためのフローチャートである。 FIG. 9 is a flowchart for explaining an example of the processing procedure of the continuation event specifying process.
ステップS201において、継続事象特定部12は、変数iに1を代入する。図9において、変数iは、処理対象とする(注目する)クロス集計表の順番を記憶するための変数である。なお、クロス集計表の順番は、クロス集計表の生成期間の前後関係に従う。すなわち、生成期間が相対的に前であるクロス集計表が当該順番において前である。
In step S201, the continuation
続いて、継続事象特定部12は、iの値が対象分析期間に関して生成されたクロス集計表の数N以下であるか否かを判定する(S202)。iの値がN以下である場合(S202でYes)、継続事象特定部12は、i番目のクロス集計表から未処理の順序集合を1つ取り出す(S203)。ここで、未処理とは、ステップS204〜S207について未処理であることをいう。以下、ステップS203において取り出された順序集合を「対象順序集合」という。
Subsequently, the continuation
続いて、継続事象特定部12は、対象順序集合を、各グループの順序集合と比較する(S204)。ここでいうグループとは、後述されるステップS206又はS207において、順序集合(アクセス先パスの並び順)の同一性に基づいて各順序集合が分類されることで形成されるグループをいい、図6の処理の開始時には存在しない。したがって、少なくとも、i=1であり、かつ、対象順序集合が最初に取り出された順序集合である場合、対象順序集合と一致する順序集合が属するグループは無い。
Subsequently, the continuation
対象順序集合と一致する順序集合が属するグループが無い場合(S205でNo)、継続事象特定部12は、新たなグループを生成し、当該グループに対象順序集合を含める(S206)。一方、対象順序集合と一致する順序集合が属するグループが有る場合(S205でYes)、継続事象特定部12は、対象順序集合を当該グループに含める(S207)。
When there is no group to which the ordered set that matches the target ordered set belongs (No in S205), the continuation
ステップS203〜S208が、i番目のクロス集計表に含まれる全ての順序集合について実行されると(S208でYes)、継続事象特定部12は、変数iに1を加算して(S209)、ステップS202以降を繰り返す。変数iの値がクロス集計表の数Nを超えると(S202でNo)、ステップS210に進む。この時点において、各クロス集計表の各順序集合は、複数のグループに分類されている。
When steps S203 to S208 are executed for all the ordered sets included in the i-th cross tabulation table (Yes in S208), the continuation
ステップS210において、継続事象特定部12は、全てのクロス集計表から取り出された順序集合が属するグループの有無を判定する。すなわち、各日(各生成周期)において出現する順序集合が属するグループの有無が判定される。
In step S210, the continuation
該当するグループが1以上有る場合(S210でYes)、継続事象特定部12は、当該各グループに属する順序集合を継続事象記憶部14に記憶する(S211)。すなわち、当該各グループの順序集合が、継続事象として特定される。当該各グループの順序集合は、周期的に継続して出現しているからである。
When there are one or more corresponding groups (Yes in S210), the continuation
図10は、継続事象記憶部14の構成例を示す図である。図10に示されるように、継続事象記憶部14には、継続事象ごとに、継続事象ID、順序集合、クロス集計表での該当箇所等が記憶される。
FIG. 10 is a diagram illustrating a configuration example of the continuation
継続事象IDは、継続事象ごとに割り当てられる識別情報である。順序集合は、継続事象として特定された順序集合である。クロス集計表での該当箇所は、当該順序集合が、クロス集計表において出現した箇所を示す情報である。図10において、クロス集計表での該当箇所は、生成期間、アクセス元IP、単位時間等の項目を含む。生成期間は、当該順序集合が出現したクロス集計表の生成期間である。アクセス元IPは、当該クロス集計表において当該順序集合が含まれる行を特定するための項目である。単位時間は、当該クロス集計表において当該順序集合が含まれる列を特定するための項目である。 The continuation event ID is identification information assigned for each continuation event. The ordered set is an ordered set identified as a continuation event. The corresponding part in the cross tabulation table is information indicating a part where the ordered set appears in the cross tabulation table. In FIG. 10, the corresponding part in the cross tabulation table includes items such as a generation period, an access source IP, and a unit time. The generation period is a generation period of the cross tabulation table in which the ordered set appears. The access source IP is an item for specifying a row including the ordered set in the cross tabulation table. The unit time is an item for specifying a column including the ordered set in the cross tabulation table.
なお、ステップS204における順序集合の比較において、完全一致のみでなく、類似している場合にも、「一致」としての比較結果が出力されるようにしてもよい。すなわち、完全一致の順序集合群のみでなく、類似する順序集合も同一のグループに分類されるようにしてもよい。例えば、順序集合に含まれるアクセス先パスのうちの所定の割合以上のアクセス先パスの並びが一致している場合に、比較された順序集合は類似すると判定されてもよい。この場合、グループ内の全ての順序集合に類似することが要求されてもよいし、いずれかM個以上の順序集合に類似することが要求されてもよい。 Note that, in the comparison of the ordered sets in step S204, the comparison result as “match” may be output not only when the match is complete but also when they are similar. That is, not only completely matched ordered sets but also similar ordered sets may be classified into the same group. For example, the compared ordered sets may be determined to be similar when the access destination paths of a predetermined ratio or more of the access destination paths included in the ordered set match. In this case, it may be required to be similar to all ordered sets in the group, or may be required to be similar to any M or more ordered sets.
また、ステップS210では、例えば、全部のクロス集計表に対する所定の割合以上のクロス集計表から取り出された順序集合が属するグループの有無が判定されてもよい。又は、略一定間隔のクロス集計表に出現する順序集合が属するグループの有無が判定されてもよい。例えば、1番目、3番目、5番目といったように、出現間隔が2である順序集合は、略一定間隔のクロス集計表に出現する順序集合に該当する。 In step S210, for example, it may be determined whether or not there is a group to which an ordered set extracted from a cross tabulation table having a predetermined ratio or more with respect to all the cross tabulation tables belongs. Alternatively, the presence / absence of a group to which an ordered set appearing in the cross tabulation table at substantially constant intervals may be determined. For example, an ordered set whose appearance interval is 2, such as first, third, and fifth, corresponds to an ordered set that appears in the cross tabulation table at a substantially constant interval.
図11は、アクセスログの分類処理の処理手順の一例を説明するためのフローチャートである。 FIG. 11 is a flowchart for explaining an example of the processing procedure of the access log classification processing.
ステップS301において、アクセスログ分類部13は、継続事象記憶部14に記憶されている全ての継続事象を読み込む。続いて、アクセスログ分類部13は、アクセス時刻が分析対象期間に含まれるアクセスログを、ファイルサーバ20から1つ読み込む(S302)。以下、読み込まれたアクセスログを「対象ログ」という。
In step S301, the access
続いて、アクセスログ分類部13は、対象期間及び単位時間が、対象ログのアクセス時刻を含み、アクセス元IPが、対象ログのアクセス元IPに一致する継続事象の有無を判定する(S303)。すなわち、対象ログが、いずれかの継続事象を構成するアクセスログであるか否かが判定される。
Subsequently, the access
該当する継続事象が有れば(S303でYes)、アクセスログ分類部13は、対象ログを機械アクセス候補ログに分類する(S304)。該当する継続事象が無ければ(S303でNo)、アクセスログ分類部13は、対象ログをユーザアクセス候補ログに分類する(S305)。なお、機械アクセス候補ログに分類されたアクセスログと、ユーザアクセス候補ログに分類されたアクセスログとは、例えば、分析装置10の補助記憶装置102において異なるフォルダに保存されてもよい。
If there is a corresponding continuation event (Yes in S303), the access
ステップS301〜S305は、分析対象期間内の全てのアクセスログについて実行される(S306)。 Steps S301 to S305 are executed for all access logs within the analysis target period (S306).
上述したように、本実施の形態によれば、アクセスログ群を、ユーザアクセス候補ログと機械アクセス候補ログとに分類することができる。したがって、例えば、ユーザアクセスによる不正の可能性が高い場合、ユーザアクセス候補ログを分析対象とすることができる。同様に、機械アクセスによる不正の可能性が高い場合、機械アクセス候補ログを分析対象とすることができる。その結果、分析対象とするアクセスログを削減することができ、アクセスログの分析の作業負担を軽減することができる。 As described above, according to the present embodiment, the access log group can be classified into a user access candidate log and a machine access candidate log. Therefore, for example, when the possibility of fraud due to user access is high, the user access candidate log can be the analysis target. Similarly, when the possibility of fraud due to machine access is high, machine access candidate logs can be analyzed. As a result, the access logs to be analyzed can be reduced, and the work burden of access log analysis can be reduced.
また、本実施の形態では、機械アクセスであるか否かについて、継続して類似する順序集合が出現するか否かに着目するため,定期的に発生しないアクセス(すなわち、周期性又は反復性を有さないアクセス)に係るアクセスログを、機械アクセス候補ログから除外することができる。 Further, in this embodiment, in order to pay attention to whether or not a similar ordered set continues to appear as to whether or not it is machine access, access that does not occur regularly (that is, periodicity or repeatability is determined). The access log related to (access not having) can be excluded from the machine access candidate log.
また、本実施の形態では、アクセスが発生した順序に着目するため、アクセス時刻が厳密に一定間隔でない機械アクセスについても、機械アクセスであると判定することができる。 Further, in the present embodiment, since attention is paid to the order in which accesses occur, machine accesses whose access times are not strictly constant can be determined to be machine accesses.
なお、本実施の形態において、分析装置10は、アクセスログ分析装置の一例である。クロス集計表生成部11は、抽出部の一例である。継続事象特定部12は、特定部の一例である。ファイルサーバ20は、記憶装置の一例である。アクセスログ分類部13は、分類部の一例である。機械アクセス候補ログは、第1のアクセスログの一例である。ユーザアクセス候補ログは、第2のアクセスログの一例である。
In the present embodiment, the
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the embodiments of the present invention have been described in detail above, the present invention is not limited to such specific embodiments, and various modifications can be made within the scope of the gist of the present invention described in the claims. Deformation / change is possible.
以上の説明に関し、更に以下の項を開示する。
(付記1)
記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する抽出部と、
複数の前記単位時間において出現する前記時系列集合を特定する特定部と、
を有することを特徴とするアクセスログ分析装置。
(付記2)
前記特定部は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記1記載のアクセスログ分析装置。
(付記3)
前記特定部は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記2記載のアクセスログ分析装置。
(付記4)
前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する分類部、
を有することを特徴とする付記1乃至3いずれか一項記載のアクセスログ分析装置。
(付記5)
記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する処理と、
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータが実行することを特徴とするアクセスログ分析方法。
(付記6)
前記特定する処理は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記5記載のアクセスログ分析方法。
(付記7)
前記特定する処理は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記6記載のアクセスログ分析方法。
(付記8)
前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する処理、
を前記コンピュータが実行することを特徴とする付記5乃至7いずれか一項記載のアクセスログ分析方法。
(付記9)
記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する処理と、
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータに実行させることを特徴とするアクセスログ分析プログラム。
(付記10)
前記特定する処理は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記9記載のアクセスログ分析プログラム。
(付記11)
前記特定する処理は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記10記載のアクセスログ分析プログラム。
(付記12)
前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する処理、
を前記コンピュータに実行させることを特徴とする付記9乃至11いずれか一項記載のアクセスログ分析プログラム。
Regarding the above description, the following items are further disclosed.
(Appendix 1)
A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. An extractor for extracting;
A specifying unit that specifies the time series set that appears in a plurality of the unit times;
An access log analyzer characterized by comprising:
(Appendix 2)
The specifying unit specifies the time series set that periodically appears in the plurality of unit times.
The access log analyzer according to
(Appendix 3)
The specifying unit is configured such that, for each fixed period, each time series set extracted in any of the plurality of unit times included in the fixed period and any of the plurality of unit times included in another fixed period. Comparing each time series set extracted in step (b) to identify the time series set that appears periodically;
The access log analyzer according to
(Appendix 4)
A classification unit that classifies each of the access logs into a first access log related to any one of the time-series sets specified by the specification unit and a second access log that does not correspond to the first access log. ,
The access log analyzer according to any one of
(Appendix 5)
A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis method characterized in that the computer executes.
(Appendix 6)
The specifying process specifies the time series set that periodically appears in the plurality of unit times.
The access log analysis method according to appendix 5, characterized in that:
(Appendix 7)
The specifying process includes, for each fixed period, any one of the time series sets extracted in any of the plurality of unit times included in the fixed period and the plurality of unit times included in another fixed period. Comparing each time series set extracted in or above to identify the time series set that appears periodically;
The access log analysis method according to appendix 6, wherein:
(Appendix 8)
A process of classifying each of the access logs into a first access log related to any one of the time-series sets specified by the specifying unit and a second access log not corresponding to the first access log;
The access log analysis method according to any one of appendices 5 to 7, wherein the computer executes
(Appendix 9)
A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis program characterized by causing a computer to execute.
(Appendix 10)
The specifying process specifies the time series set that periodically appears in the plurality of unit times.
The access log analysis program according to
(Appendix 11)
The specifying process includes, for each fixed period, any one of the time series sets extracted in any of the plurality of unit times included in the fixed period and the plurality of unit times included in another fixed period. Comparing each time series set extracted in or above to identify the time series set that appears periodically;
The access log analysis program according to
(Appendix 12)
A process of classifying each of the access logs into a first access log related to any one of the time-series sets specified by the specifying unit and a second access log not corresponding to the first access log;
The access log analysis program according to any one of
10 分析装置
11 クロス集計表生成部
12 継続事象特定部
13 アクセスログ分類部
14 継続事象記憶部
20 ファイルサーバ
30 ユーザ端末
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス
DESCRIPTION OF
105 Interface device B bus
Claims (6)
複数の前記単位時間において出現する前記時系列集合を特定する特定部と、
を有することを特徴とするアクセスログ分析装置。 A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. An extractor for extracting;
A specifying unit that specifies the time series set that appears in a plurality of the unit times;
An access log analyzer characterized by comprising:
ことを特徴とする請求項1記載のアクセスログ分析装置。 The specifying unit specifies the time series set that periodically appears in the plurality of unit times.
The access log analyzer according to claim 1, wherein:
ことを特徴とする請求項2記載のアクセスログ分析装置。 The specifying unit is configured such that, for each fixed period, each time series set extracted in any of the plurality of unit times included in the fixed period and any of the plurality of unit times included in another fixed period. Comparing each time series set extracted in step (b) to identify the time series set that appears periodically;
The access log analyzer according to claim 2, wherein
を有することを特徴とする請求項1乃至3いずれか一項記載のアクセスログ分析装置。 A classification unit that classifies each of the access logs into a first access log related to any one of the time-series sets specified by the specification unit and a second access log that does not correspond to the first access log. ,
The access log analyzer according to any one of claims 1 to 3, wherein the access log analyzer is provided.
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータが実行することを特徴とするアクセスログ分析方法。 A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis method characterized in that the computer executes.
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータに実行させることを特徴とするアクセスログ分析プログラム。 A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis program characterized by causing a computer to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017135649A JP2019020776A (en) | 2017-07-11 | 2017-07-11 | Access log analysis device, access log analysis method and access log analysis program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017135649A JP2019020776A (en) | 2017-07-11 | 2017-07-11 | Access log analysis device, access log analysis method and access log analysis program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019020776A true JP2019020776A (en) | 2019-02-07 |
Family
ID=65352907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017135649A Pending JP2019020776A (en) | 2017-07-11 | 2017-07-11 | Access log analysis device, access log analysis method and access log analysis program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019020776A (en) |
-
2017
- 2017-07-11 JP JP2017135649A patent/JP2019020776A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hargreaves et al. | An automated timeline reconstruction approach for digital forensic investigations | |
US10216848B2 (en) | Method and system for recommending cloud websites based on terminal access statistics | |
US9355250B2 (en) | Method and system for rapidly scanning files | |
CN107688488B (en) | Metadata-based task scheduling optimization method and device | |
US20150341771A1 (en) | Hotspot aggregation method and device | |
AU2020402039B2 (en) | Detection of sensitive database information | |
CN106354817B (en) | Log processing method and device | |
WO2015023304A1 (en) | Refining search query results | |
US20230205755A1 (en) | Methods and systems for improved search for data loss prevention | |
JP2010224705A (en) | Log retrieval system | |
CN110245059B (en) | Data processing method, device and storage medium | |
Huang et al. | Twain: Two-end association miner with precise frequent exhibition periods | |
WO2015124086A1 (en) | Virus signature matching method and apparatus | |
US20130018920A1 (en) | Configuration management database security | |
CN104933096A (en) | Abnormal key recognition method of database, abnormal key recognition device of database and data system | |
JP2019020776A (en) | Access log analysis device, access log analysis method and access log analysis program | |
Genga et al. | Towards a systematic process-aware behavioral analysis for security | |
JP2019028788A (en) | Secret word specifying apparatus, secret word specifying method, and secret word specifying program | |
JP6501159B2 (en) | Analysis and translation of operation records of computer devices, output of information for audit and trend analysis device of the system. | |
JP2018132787A (en) | Log analysis support apparatus and log analysis support method | |
JP6343986B2 (en) | Information processing apparatus, program, information processing method | |
Wang et al. | Network behavior abnormal detection for electricity management system based on long short-term memory | |
Trivedi | Topic-Based Engagement Analysis: A Case Study | |
WO2020065778A1 (en) | Information processing device, control method, and program | |
JP6870454B2 (en) | Analytical equipment, analytical programs and analytical methods |