JP2019020776A - Access log analysis device, access log analysis method and access log analysis program - Google Patents

Access log analysis device, access log analysis method and access log analysis program Download PDF

Info

Publication number
JP2019020776A
JP2019020776A JP2017135649A JP2017135649A JP2019020776A JP 2019020776 A JP2019020776 A JP 2019020776A JP 2017135649 A JP2017135649 A JP 2017135649A JP 2017135649 A JP2017135649 A JP 2017135649A JP 2019020776 A JP2019020776 A JP 2019020776A
Authority
JP
Japan
Prior art keywords
access
time
unit
access log
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017135649A
Other languages
Japanese (ja)
Inventor
聡美 齊藤
Satomi Saito
聡美 齊藤
悟 鳥居
Satoru Torii
悟 鳥居
津田 宏
Hiroshi Tsuda
宏 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017135649A priority Critical patent/JP2019020776A/en
Publication of JP2019020776A publication Critical patent/JP2019020776A/en
Pending legal-status Critical Current

Links

Images

Abstract

To reduce a work load of analysis of an access log.SOLUTION: An access log analysis device comprises: an extraction unit which extracts a time series set of an access destination by an access source for every unit time, from an access log storing information indicating each of an access time, files of the access source and the access destination, for every access to each file stored in a storage device; and a specifying unit which specifies the time series set appearing in the plural unit times.SELECTED DRAWING: Figure 3

Description

本発明は、アクセスログ分析装置、アクセスログ分析方法及びアクセスログ分析プログラムに関する。   The present invention relates to an access log analysis device, an access log analysis method, and an access log analysis program.

社内共有ファイルサーバに対するアクセスについて、従業員のポリシー違反やなりすましによるファイルアクセスなどの不正アクセスを検知したいという要望がある。   There is a desire to detect unauthorized access such as file access due to policy violations or spoofing of employees regarding access to in-house shared file servers.

不正アクセスの検知作業として、一定期間に記録されたアクセスログの内容に基づいて、当該アクセスログに係るアクセスの正当性の判断が行われる。例えば、業務時間外に発生したアクセスの有無や、アクセス頻度が低い国又は地域からのアクセスの有無等をチェックするためにアクセスログの分析が行われる。   As an unauthorized access detection operation, based on the contents of the access log recorded for a certain period, the legitimacy of access related to the access log is determined. For example, an access log is analyzed to check whether access has occurred outside business hours and whether access has been made from a country or region with low access frequency.

特開2009−116680号公報JP 2009-116680 A 特開2002−334061号公報JP 2002-334061 A 特開2013−137740号公報JP 2013-137740 A 特開2007−148946号公報JP 2007-148946 A 特開2013−191188号公報JP 2013-191188 A 特開2010−250502号公報JP 2010-250502 A 特開2012−068833号公報JP 2012-068833 A 特開2013−191188号公報JP 2013-191188 A

しかしながら、定常的に発生するファイルバックアップやファイル検索などの機械的(自動的)なアクセスについてもアクセスログが同様に記録される。このようなアクセスログは、短時間において大量に発生するため、アクセスログの分析対象が増加し、例えば、アクセスログの分析を行う分析者が利用する端末へのアクセスログのダウンロードや、分析者によるアクセスログの解読に時間を要してしまうという問題がある。   However, an access log is similarly recorded for mechanical (automatic) access such as file backup and file search that occur regularly. Since such access logs are generated in large quantities in a short time, the number of access log analysis targets increases. For example, download of access logs to terminals used by analysts who analyze access logs, and analysis by analysts There is a problem that it takes time to decipher the access log.

そこで、一側面では、本発明は、アクセスログの分析の作業負担を軽減すること目的とする。   Accordingly, in one aspect, an object of the present invention is to reduce the work burden of access log analysis.

一つの態様では、アクセスログ分析装置は、記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する抽出部と、複数の前記単位時間において出現する前記時系列集合を特定する特定部と、を有する。   In one aspect, the access log analysis apparatus can access the access log for each access source from the access log in which information indicating the access time, the access source, and the access destination file is recorded for each access to each file stored in the storage device. An extraction unit that extracts a time series set of access destinations for each unit time; and a specifying unit that specifies the time series set that appears in a plurality of the unit times.

一側面として、アクセスログの分析の作業負担を軽減することができる。   As one aspect, the work burden of access log analysis can be reduced.

本発明の実施の形態におけるシステム構成例を示す図である。It is a figure which shows the system configuration example in embodiment of this invention. 本発明の実施の形態における分析装置10のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of the analyzer 10 in embodiment of this invention. 本発明の実施の形態における分析装置10の機能構成例を示す図である。It is a figure which shows the function structural example of the analyzer 10 in embodiment of this invention. クロス集計表の生成を説明するための図である。It is a figure for demonstrating the production | generation of a cross tabulation table. 継続事象の特定を説明するための図である。It is a figure for demonstrating specification of a continuation event. クロス集計表の生成処理の処理手順の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process sequence of the production | generation process of a cross tabulation table. アクセスログの一例を示す図である。It is a figure which shows an example of an access log. クロス集計表の構成例を示す図である。It is a figure which shows the structural example of a cross tabulation table. 継続事象の特定処理の処理手順の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process sequence of the specific process of a continuation event. 継続事象記憶部14の構成例を示す図である。3 is a diagram illustrating a configuration example of a continuation event storage unit 14. FIG. アクセスログの分類処理の処理手順の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the process sequence of the classification process of an access log.

以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。図1において、ユーザ端末30a、30b及び30c等の1以上のユーザ端末(以下、それぞれを区別しない場合「ユーザ端末30」という。)は、或る企業内のLAN(Local Area Network)又はイントラネット等のネットワークを介してファイルサーバ20に接続される。また、ファイルサーバ20には、分析装置10もネットワークを介して接続される。なお、本実施の形態において、当該企業を「企業A」という。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an example of a system configuration in the embodiment of the present invention. In FIG. 1, one or more user terminals such as user terminals 30a, 30b, and 30c (hereinafter referred to as “user terminal 30” when not distinguished from each other) are a LAN (Local Area Network) or an intranet in a certain company. Connected to the file server 20 via the network. Further, the analysis apparatus 10 is also connected to the file server 20 via a network. In the present embodiment, the company is referred to as “company A”.

ファイルサーバ20は、企業Aにおいて、例えば、複数の従業員によって共有されるファイルや、企業A内の組織において管理されるファイル等が記憶される1以上のコンピュータ(記憶装置)である。ファイルとは、電子データを格納したファイルをいう。   In the company A, the file server 20 is one or more computers (storage devices) in which, for example, files shared by a plurality of employees, files managed in an organization in the company A, and the like are stored. A file refers to a file storing electronic data.

各ユーザ端末30は、ファイルサーバ20に記憶されているファイルに対するアクセス元となる端末である。例えば、PC(Personal Computer)、スマートフォン又はタブレット端末等がユーザ端末30として利用されてもよい。ユーザ端末30からのアクセスは、ユーザ端末30のユーザの操作によって任意のタイミングで発生するアクセス(以下、「ユーザアクセス」という。)や、ユーザ端末30に実装されたプログラムによって周期的又は反復的に発生する機械的なアクセス(以下、「機械アクセス」という。)等が有る。機械アクセスの一例として、ファイルの定期的なバックアップのためのアクセスやファイルの検索機能によるアクセス等が有る。例えば、次のような特性を有するアクセスが機械アクセスの一例として想定される。発生タイミングが定期的(1日に数回、半日に1回など)、かつ、短時間(1分、10分など)である。1ファイルに対するアクセス数は1回である。短時間に発生するアクセスに関してはアクセス元のIPアドレスは同じである。但し、毎日異なるIPアドレスがユーザ端末30に割り振られる場合など、発生タイミングごとにアクセス元のIPアドレスが異なる可能性がある。   Each user terminal 30 is a terminal that is an access source for a file stored in the file server 20. For example, a PC (Personal Computer), a smartphone, a tablet terminal, or the like may be used as the user terminal 30. The access from the user terminal 30 is periodically or repetitively performed by an access generated at an arbitrary timing by the user operation of the user terminal 30 (hereinafter referred to as “user access”) or a program installed in the user terminal 30. There are mechanical accesses that occur (hereinafter referred to as “machine access”). Examples of machine access include access for periodic backup of files and access by a file search function. For example, an access having the following characteristics is assumed as an example of a machine access. The generation timing is regular (several times a day, once a half day, etc.) and short time (1 minute, 10 minutes, etc.). The number of accesses to one file is one time. For access that occurs in a short time, the access source IP address is the same. However, there is a possibility that the access source IP address is different at each occurrence timing, such as when a different IP address is assigned to the user terminal 30 every day.

一方、ユーザアクセスの一例として、ファイルの閲覧や編集のためのアクセス等が有る。なお、不正なユーザアクセスの一例として、なりすましによるファイルの閲覧や、ファイルの改ざんのためのアクセス等が有る。   On the other hand, as an example of user access, there is access for browsing and editing files. Note that examples of unauthorized user access include file browsing by impersonation and access for falsification of a file.

分析装置10は、ファイルサーバ20においてファイルに対するアクセスごとに記録されるログ(以下、「アクセスログ」という。)に基づく、ファイルへの不正なアクセスの検知を支援する1以上のコンピュータである。本実施の形態において、分析装置10は、アクセスログ群を、機械アクセスに関する可能性の高いアクセスログ(以下、「機械アクセス候補ログ」という。)と、ユーザアクセスに関する可能性の高いアクセスログ(以下、「ユーザアクセス候補ログ」という。)とに分類(分別)する。そうすることで、分析者は、例えば、ユーザアクセスに関して不正アクセスが発生している可能性が高い場合に、分析対象とするアクセスログを、ユーザアクセス候補ログに絞り込むことができ、作業負担を軽減することができる。   The analysis device 10 is one or more computers that support detection of unauthorized access to a file based on a log (hereinafter referred to as “access log”) recorded for each access to the file in the file server 20. In the present embodiment, the analysis apparatus 10 divides the access log group into an access log with high possibility of machine access (hereinafter referred to as “machine access candidate log”) and an access log with high possibility of user access (hereinafter referred to as “machine access candidate log”). And “user access candidate log”). By doing so, the analyst can narrow down the access logs to be analyzed to the user access candidate logs, for example, when there is a high possibility that unauthorized access has occurred with respect to user access, reducing the work load can do.

図2は、本発明の実施の形態における分析装置10のハードウェア構成例を示す図である。図2の分析装置10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。   FIG. 2 is a diagram illustrating a hardware configuration example of the analysis apparatus 10 according to the embodiment of the present invention. The analysis apparatus 10 in FIG. 2 includes a drive device 100, an auxiliary storage device 102, a memory device 103, a CPU 104, an interface device 105, and the like that are mutually connected by a bus B.

分析装置10での処理を実現するプログラムは、記録媒体101によって提供される。プログラムを記録した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。   A program for realizing processing in the analysis apparatus 10 is provided by the recording medium 101. When the recording medium 101 on which the program is recorded is set in the drive device 100, the program is installed from the recording medium 101 to the auxiliary storage device 102 via the drive device 100. However, the program need not be installed from the recording medium 101 and may be downloaded from another computer via a network. The auxiliary storage device 102 stores the installed program and also stores necessary files and data.

メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って分析装置10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。   The memory device 103 reads the program from the auxiliary storage device 102 and stores it when there is an instruction to start the program. The CPU 104 executes a function related to the analysis device 10 according to a program stored in the memory device 103. The interface device 105 is used as an interface for connecting to a network.

なお、記録媒体101の一例としては、CD−ROM、DVDディスク、又はUSBメモリ等の可搬型の記録媒体が挙げられる。また、補助記憶装置102の一例としては、HDD(Hard Disk Drive)又はフラッシュメモリ等が挙げられる。記録媒体101及び補助記憶装置102のいずれについても、コンピュータ読み取り可能な記録媒体に相当する。   An example of the recording medium 101 is a portable recording medium such as a CD-ROM, a DVD disk, or a USB memory. An example of the auxiliary storage device 102 is an HDD (Hard Disk Drive) or a flash memory. Both the recording medium 101 and the auxiliary storage device 102 correspond to computer-readable recording media.

図3は、本発明の実施の形態における分析装置10の機能構成例を示す図である。図3において、分析装置10は、クロス集計表生成部11、継続事象特定部12及びアクセスログ分類部13等を有する。これら各部は、分析装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。分析装置10は、また、継続事象記憶部14を利用する。継続事象記憶部14は、例えば、補助記憶装置102、又は分析装置10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。   FIG. 3 is a diagram illustrating a functional configuration example of the analysis apparatus 10 according to the embodiment of the present invention. 3, the analysis apparatus 10 includes a cross tabulation table generation unit 11, a continuation event identification unit 12, an access log classification unit 13, and the like. Each of these units is realized by processing executed by the CPU 104 by one or more programs installed in the analysis apparatus 10. The analysis apparatus 10 also uses the continuation event storage unit 14. The continuation event storage unit 14 can be realized by using, for example, a storage device that can be connected to the auxiliary storage device 102 or the analysis device 10 via a network.

クロス集計表生成部11は、例えば、過去の一週間等の一定期間において記録されたアクセスログについて、一定周期の期間(例えば、1日)ごとに、クロス集計表を生成する。クロス集計表とは、単位時間(例えば、30分)ごとのアクセス先のファイルパス文字列(パス名)の順序集合(時系列集合)を、アクセス元別に分類した表をいう。   For example, the cross tabulation table generation unit 11 generates a cross tabulation table for each period of a predetermined cycle (for example, one day) for an access log recorded in a predetermined period such as the past week. The cross tabulation table is a table in which an ordered set (time series set) of file path character strings (path names) of access destinations per unit time (for example, 30 minutes) is classified by access source.

図4は、クロス集計表の生成を説明するための図である。図4では、一週間分のアクセスログ群が1日ごとに分割され、各日のアクセスログ群ごとに、クロス集計表が生成される例が示されている。図4における下段の表が、クロス集計表を示す。クロス集計表の行はアクセス元ごとに区別され、列は単位時間ごとに区別されている。クロス集計表のいずれかのセル内の楕円が、当該セルに係るアクセス元及び単位時間に関して抽出された順序集合を示す。したがって、図4では、1日目〜7日目まで各日のアクセスログ群から順序集合s1及びs2が抽出され、3日目以降のアクセスログ群から、更に、順序集合s3が抽出された例が示されている。なお、内容が同じである順序集合には同一符号が付されている。   FIG. 4 is a diagram for explaining generation of a cross tabulation table. FIG. 4 shows an example in which an access log group for one week is divided every day, and a cross tabulation table is generated for each day's access log group. The lower table in FIG. 4 shows a cross tabulation table. The rows of the cross tabulation table are distinguished for each access source, and the columns are distinguished for each unit time. An ellipse in any cell of the cross tabulation table indicates an ordered set extracted with respect to the access source and unit time related to the cell. Accordingly, in FIG. 4, an example in which ordered sets s1 and s2 are extracted from the access log groups for each day from the first day to the seventh day, and an ordered set s3 is further extracted from the access log groups on and after the third day. It is shown. In addition, the same code | symbol is attached | subjected to the ordered set with the same content.

継続事象特定部12は、各クロス集計表(各日)の順序集合を比較することにより、各日において継続して(反復して)出現している順序集合(すなわち、1日周期で出現している順序集合)を特定する。各日において継続している順序集合の組を、以下「継続事象」という。継続事象の特定結果は、継続事象記憶部14に記憶される。   The continuation event specifying unit 12 compares the ordered sets of the respective cross tabulation tables (each day), so that the ordered set that appears continuously (repeatedly) on each day (that is, appears in a daily cycle). Specified ordered set). A set of ordered sets continuing on each day is hereinafter referred to as a “continuation event”. The continuation event specifying result is stored in the continuation event storage unit 14.

図5は、継続事象の特定を説明するための図である。図5では、同一の内容を有する順序集合が線によって接続されている。ここで、順序集合s1及びs2が、1週間の各日において出現している。したがって、順序集合s1及びs2が継続事象として特定される。   FIG. 5 is a diagram for explaining identification of a continuation event. In FIG. 5, ordered sets having the same contents are connected by lines. Here, the ordered sets s1 and s2 appear on each day of one week. Therefore, the ordered sets s1 and s2 are specified as continuation events.

アクセスログ分類部13は、継続事象記憶部14に記憶された継続事象に基づいて、各アクセスログを機械アクセス候補ログ又はユーザアクセス候補ログに分類する。   The access log classification unit 13 classifies each access log into a machine access candidate log or a user access candidate log based on the continuation event stored in the continuation event storage unit 14.

以下、分析装置10が実行する処理手順について説明する。図6は、クロス集計表の生成処理の処理手順の一例を説明するためのフローチャートである。   Hereinafter, a processing procedure executed by the analysis apparatus 10 will be described. FIG. 6 is a flowchart for explaining an example of the processing procedure of the cross tabulation table generation processing.

ステップS101において、クロス集計表生成部11は、分析対象期間の設定を取得する。分析対象期間とは、分析対象とするアクセスログを特定するための期間をいい、例えば、当該期間の開始日及び終了日によって指定される。図4における1週間が分析対象期間に相当する。分析対象期間は、予め設定されていてもよいし、ステップS101のタイミングでユーザによって入力されてもよい。   In step S101, the cross tabulation table generation unit 11 acquires the setting of the analysis target period. The analysis target period is a period for specifying an access log to be analyzed, and is specified by, for example, a start date and an end date of the period. One week in FIG. 4 corresponds to the analysis target period. The analysis target period may be set in advance or may be input by the user at the timing of step S101.

続いて、クロス集計表生成部11は、クロス集計表の生成単位とする期間(以下、「生成期間」という。)の設定を取得する(S102)。図4における1日が、生成期間に相当する。生成期間は、予め設定されていてもよいし、ステップS102のタイミングでユーザによって入力されてもよい。なお、機械アクセスが発生する周期に基づいて生成期間が設定されてもよい。例えば、機械アクセスが2日ごとに発生することが予定されていれば、生成期間は2日に設定されてもよい。   Subsequently, the cross tabulation table generation unit 11 acquires a setting of a period (hereinafter referred to as “generation period”) as a generation unit of the cross tabulation table (S102). One day in FIG. 4 corresponds to the generation period. The generation period may be set in advance or may be input by the user at the timing of step S102. Note that the generation period may be set based on a cycle in which machine access occurs. For example, if the machine access is scheduled to occur every two days, the generation period may be set to two days.

続いて、クロス集計表生成部11は、変数iに1を代入する(S103)。図6において、変数iは、処理対象とされている生成期間の順番を記憶するための変数である。   Subsequently, the cross tabulation table generation unit 11 assigns 1 to the variable i (S103). In FIG. 6, a variable i is a variable for storing the order of generation periods that are to be processed.

続いて、クロス集計表生成部11は、i番目の生成期間のアクセスログ群をファイルサーバ20から読み込む(S104)。   Subsequently, the cross tabulation table generation unit 11 reads the access log group of the i-th generation period from the file server 20 (S104).

図7は、アクセスログの一例を示す図である。図7に示されるように、アクセスログは、いずれかのファイルへのアクセスごとに、アクセス元IP、アクセス時刻、アクセス先パス、及び操作等の項目の値を含む。アクセス元IPは、アクセス元のユーザ端末30等のIPアドレスである。アクセス時刻は、例えば、アクセスが発生した日時等、アクセス時期を示す情報である。アクセス先パスは、アクセス対象とされたファイルのパス文字列である。操作は、アクセス対象のファイルに対して行われた操作種別を示す情報である。例えば、Read(参照)、Write(書き込み)、Delete(削除)、Read−failure(参照失敗)、Write−failure(書き込み失敗)、Delete−failure(削除失敗)等が操作として記録されてもよい。   FIG. 7 is a diagram illustrating an example of an access log. As shown in FIG. 7, the access log includes values of items such as an access source IP, an access time, an access destination path, and an operation for each access to any file. The access source IP is an IP address of the access source user terminal 30 or the like. The access time is information indicating the access time such as the date and time when the access occurred. The access destination path is a path character string of a file to be accessed. The operation is information indicating the type of operation performed on the file to be accessed. For example, Read (reference), Write (write), Delete (deletion), Read-failure (reference failure), Write-failure (write failure), Delete-failure (deletion failure), and the like may be recorded as operations.

ステップS104では、アクセス時刻がi番目の生成期間に含まれるアクセスログ群(以下、「対象アクセスログ群」という。)が読み込まれる。   In step S104, an access log group whose access time is included in the i-th generation period (hereinafter referred to as “target access log group”) is read.

続いて、クロス集計表生成部11は、対象アクセスログ群に含まれている各アクセスログのアクセス元IPの種類と、単位時間の種類とを特定し、空のクロス集計表を生成する(S105)。以下、生成されたクロス集計表を「対象クロス集計表」という。単位時間の種類の特定とは、i番目の生成期間を区切る複数の単位時間のうち、1以上のアクセスログのアクセス時刻を含む単位時間を特定することをいう。生成されるクロス集計表は、特定されたアクセス元IPアドレスの種類を行とし、特定された単位時間の種類を列とする。   Subsequently, the cross tabulation table generation unit 11 specifies the type of access source IP and the type of unit time of each access log included in the target access log group, and generates an empty cross tabulation table (S105). ). Hereinafter, the generated cross tabulation table is referred to as “target cross tabulation table”. Specifying the type of unit time means specifying a unit time including an access time of one or more access logs among a plurality of unit times dividing the i-th generation period. The generated cross tabulation table uses the specified type of access source IP address as a row and the specified type of unit time as a column.

続いて、クロス集計表生成部11は、対象アクセスログ群について、アクセス元IP別に、単位時間ごとのアクセス先パスの順序集合を生成する(S106)。1つの順序集合に複数のアクセス先パスが含まれる場合、当該複数のアクセス先パスは、アクセス時刻の昇順に(すなわち、時系列に)整列される。   Subsequently, the cross tabulation table generation unit 11 generates an ordered set of access destination paths for each unit time for each access source IP for the target access log group (S106). When a plurality of access destination paths are included in one ordered set, the plurality of access destination paths are arranged in ascending order of access times (that is, in time series).

続いて、クロス集計表生成部11は、生成した各順序集合を、対象クロス集計表において、それぞれの順序集合のアクセス元IP及び単位時間に対応するセルに登録する(S107)。続いて、クロス集計表生成部11は、対象クロス集計表を、メモリ装置103又は補助記憶装置102等に記憶する(S108)。   Subsequently, the cross tabulation table generation unit 11 registers each generated ordered set in a cell corresponding to the access source IP and unit time of each ordered set in the target cross tabulation table (S107). Subsequently, the cross tabulation table generation unit 11 stores the target cross tabulation table in the memory device 103 or the auxiliary storage device 102 (S108).

図8は、クロス集計表の構成例を示す図である。図8に示されるように、クロス集計表には、アクセス元IP別に、単位時間ごとのアクセス先の順序集合が登録される。なお、図8に示されるクロス集計表は、4月1日の1日分の生成期間のアクセスログ群に基づくクロス集計表である。   FIG. 8 is a diagram illustrating a configuration example of the cross tabulation table. As shown in FIG. 8, in the cross tabulation table, an ordered set of access destinations for each unit time is registered for each access source IP. The cross tabulation table shown in FIG. 8 is a cross tabulation table based on the access log group for the generation period for one day on April 1.

続いて、クロス集計表生成部11は、対象分析期間の全てのアクセスログを読み込んだか否かを判定する(S109)。まだ読み込んでいないアクセスログが有る場合(S109でNo)、クロス集計表生成部11は、iに1を加算して(S110)、ステップS104以降を繰り返す。全てのアクセスログを読み込んだ場合(S109でYes)、クロス集計表生成部11は、図6の処理手順を終了する。   Subsequently, the cross tabulation table generation unit 11 determines whether all access logs in the target analysis period have been read (S109). When there is an access log that has not been read yet (No in S109), the cross tabulation table generation unit 11 adds 1 to i (S110), and repeats Step S104 and subsequent steps. When all access logs have been read (Yes in S109), the cross tabulation table generation unit 11 ends the processing procedure of FIG.

図6の処理手順が実行されることにより、対象分析期間に含まれる生成期間ごとに、クロス集計表が生成される。   By executing the processing procedure of FIG. 6, a cross tabulation table is generated for each generation period included in the target analysis period.

図9は、継続事象の特定処理の処理手順の一例を説明するためのフローチャートである。   FIG. 9 is a flowchart for explaining an example of the processing procedure of the continuation event specifying process.

ステップS201において、継続事象特定部12は、変数iに1を代入する。図9において、変数iは、処理対象とする(注目する)クロス集計表の順番を記憶するための変数である。なお、クロス集計表の順番は、クロス集計表の生成期間の前後関係に従う。すなわち、生成期間が相対的に前であるクロス集計表が当該順番において前である。   In step S201, the continuation event specifying unit 12 substitutes 1 for a variable i. In FIG. 9, a variable i is a variable for storing the order of the cross tabulation table to be processed (attention). The order of the cross tabulation table follows the context of the generation period of the cross tabulation table. That is, the cross tabulation table whose generation period is relatively earlier is the previous in the order.

続いて、継続事象特定部12は、iの値が対象分析期間に関して生成されたクロス集計表の数N以下であるか否かを判定する(S202)。iの値がN以下である場合(S202でYes)、継続事象特定部12は、i番目のクロス集計表から未処理の順序集合を1つ取り出す(S203)。ここで、未処理とは、ステップS204〜S207について未処理であることをいう。以下、ステップS203において取り出された順序集合を「対象順序集合」という。   Subsequently, the continuation event specifying unit 12 determines whether or not the value of i is equal to or less than the number N of cross tabulation tables generated for the target analysis period (S202). When the value of i is N or less (Yes in S202), the continuation event specifying unit 12 extracts one unprocessed ordered set from the i-th cross tabulation table (S203). Here, “unprocessed” means that steps S204 to S207 are unprocessed. Hereinafter, the ordered set extracted in step S203 is referred to as “target ordered set”.

続いて、継続事象特定部12は、対象順序集合を、各グループの順序集合と比較する(S204)。ここでいうグループとは、後述されるステップS206又はS207において、順序集合(アクセス先パスの並び順)の同一性に基づいて各順序集合が分類されることで形成されるグループをいい、図6の処理の開始時には存在しない。したがって、少なくとも、i=1であり、かつ、対象順序集合が最初に取り出された順序集合である場合、対象順序集合と一致する順序集合が属するグループは無い。   Subsequently, the continuation event specifying unit 12 compares the target ordered set with the ordered set of each group (S204). The group here means a group formed by classifying each ordered set based on the identity of the ordered set (arrangement order of access destination paths) in step S206 or S207 described later. Does not exist at the start of processing. Therefore, if at least i = 1 and the target ordered set is the first extracted ordered set, there is no group to which the ordered set that matches the target ordered set belongs.

対象順序集合と一致する順序集合が属するグループが無い場合(S205でNo)、継続事象特定部12は、新たなグループを生成し、当該グループに対象順序集合を含める(S206)。一方、対象順序集合と一致する順序集合が属するグループが有る場合(S205でYes)、継続事象特定部12は、対象順序集合を当該グループに含める(S207)。   When there is no group to which the ordered set that matches the target ordered set belongs (No in S205), the continuation event specifying unit 12 generates a new group and includes the target ordered set in the group (S206). On the other hand, when there is a group to which the ordered set that matches the target ordered set belongs (Yes in S205), the continuation event specifying unit 12 includes the target ordered set in the group (S207).

ステップS203〜S208が、i番目のクロス集計表に含まれる全ての順序集合について実行されると(S208でYes)、継続事象特定部12は、変数iに1を加算して(S209)、ステップS202以降を繰り返す。変数iの値がクロス集計表の数Nを超えると(S202でNo)、ステップS210に進む。この時点において、各クロス集計表の各順序集合は、複数のグループに分類されている。   When steps S203 to S208 are executed for all the ordered sets included in the i-th cross tabulation table (Yes in S208), the continuation event specifying unit 12 adds 1 to the variable i (S209), and the step S202 and subsequent steps are repeated. When the value of the variable i exceeds the number N of the cross tabulation table (No in S202), the process proceeds to step S210. At this time, each ordered set of each cross tabulation table is classified into a plurality of groups.

ステップS210において、継続事象特定部12は、全てのクロス集計表から取り出された順序集合が属するグループの有無を判定する。すなわち、各日(各生成周期)において出現する順序集合が属するグループの有無が判定される。   In step S210, the continuation event specifying unit 12 determines whether or not there is a group to which the ordered set extracted from all the cross tabulation tables belongs. That is, it is determined whether or not there is a group to which the ordered set that appears on each day (each generation cycle) belongs.

該当するグループが1以上有る場合(S210でYes)、継続事象特定部12は、当該各グループに属する順序集合を継続事象記憶部14に記憶する(S211)。すなわち、当該各グループの順序集合が、継続事象として特定される。当該各グループの順序集合は、周期的に継続して出現しているからである。   When there are one or more corresponding groups (Yes in S210), the continuation event specifying unit 12 stores the ordered set belonging to each group in the continuation event storage unit 14 (S211). That is, the ordered set of each group is specified as a continuation event. This is because the ordered set of each group appears periodically continuously.

図10は、継続事象記憶部14の構成例を示す図である。図10に示されるように、継続事象記憶部14には、継続事象ごとに、継続事象ID、順序集合、クロス集計表での該当箇所等が記憶される。   FIG. 10 is a diagram illustrating a configuration example of the continuation event storage unit 14. As shown in FIG. 10, the continuation event storage unit 14 stores a continuation event ID, an ordered set, a corresponding portion in the cross tabulation table, and the like for each continuation event.

継続事象IDは、継続事象ごとに割り当てられる識別情報である。順序集合は、継続事象として特定された順序集合である。クロス集計表での該当箇所は、当該順序集合が、クロス集計表において出現した箇所を示す情報である。図10において、クロス集計表での該当箇所は、生成期間、アクセス元IP、単位時間等の項目を含む。生成期間は、当該順序集合が出現したクロス集計表の生成期間である。アクセス元IPは、当該クロス集計表において当該順序集合が含まれる行を特定するための項目である。単位時間は、当該クロス集計表において当該順序集合が含まれる列を特定するための項目である。   The continuation event ID is identification information assigned for each continuation event. The ordered set is an ordered set identified as a continuation event. The corresponding part in the cross tabulation table is information indicating a part where the ordered set appears in the cross tabulation table. In FIG. 10, the corresponding part in the cross tabulation table includes items such as a generation period, an access source IP, and a unit time. The generation period is a generation period of the cross tabulation table in which the ordered set appears. The access source IP is an item for specifying a row including the ordered set in the cross tabulation table. The unit time is an item for specifying a column including the ordered set in the cross tabulation table.

なお、ステップS204における順序集合の比較において、完全一致のみでなく、類似している場合にも、「一致」としての比較結果が出力されるようにしてもよい。すなわち、完全一致の順序集合群のみでなく、類似する順序集合も同一のグループに分類されるようにしてもよい。例えば、順序集合に含まれるアクセス先パスのうちの所定の割合以上のアクセス先パスの並びが一致している場合に、比較された順序集合は類似すると判定されてもよい。この場合、グループ内の全ての順序集合に類似することが要求されてもよいし、いずれかM個以上の順序集合に類似することが要求されてもよい。   Note that, in the comparison of the ordered sets in step S204, the comparison result as “match” may be output not only when the match is complete but also when they are similar. That is, not only completely matched ordered sets but also similar ordered sets may be classified into the same group. For example, the compared ordered sets may be determined to be similar when the access destination paths of a predetermined ratio or more of the access destination paths included in the ordered set match. In this case, it may be required to be similar to all ordered sets in the group, or may be required to be similar to any M or more ordered sets.

また、ステップS210では、例えば、全部のクロス集計表に対する所定の割合以上のクロス集計表から取り出された順序集合が属するグループの有無が判定されてもよい。又は、略一定間隔のクロス集計表に出現する順序集合が属するグループの有無が判定されてもよい。例えば、1番目、3番目、5番目といったように、出現間隔が2である順序集合は、略一定間隔のクロス集計表に出現する順序集合に該当する。   In step S210, for example, it may be determined whether or not there is a group to which an ordered set extracted from a cross tabulation table having a predetermined ratio or more with respect to all the cross tabulation tables belongs. Alternatively, the presence / absence of a group to which an ordered set appearing in the cross tabulation table at substantially constant intervals may be determined. For example, an ordered set whose appearance interval is 2, such as first, third, and fifth, corresponds to an ordered set that appears in the cross tabulation table at a substantially constant interval.

図11は、アクセスログの分類処理の処理手順の一例を説明するためのフローチャートである。   FIG. 11 is a flowchart for explaining an example of the processing procedure of the access log classification processing.

ステップS301において、アクセスログ分類部13は、継続事象記憶部14に記憶されている全ての継続事象を読み込む。続いて、アクセスログ分類部13は、アクセス時刻が分析対象期間に含まれるアクセスログを、ファイルサーバ20から1つ読み込む(S302)。以下、読み込まれたアクセスログを「対象ログ」という。   In step S301, the access log classification unit 13 reads all continuation events stored in the continuation event storage unit 14. Subsequently, the access log classification unit 13 reads one access log whose access time is included in the analysis target period from the file server 20 (S302). Hereinafter, the read access log is referred to as “target log”.

続いて、アクセスログ分類部13は、対象期間及び単位時間が、対象ログのアクセス時刻を含み、アクセス元IPが、対象ログのアクセス元IPに一致する継続事象の有無を判定する(S303)。すなわち、対象ログが、いずれかの継続事象を構成するアクセスログであるか否かが判定される。   Subsequently, the access log classification unit 13 determines whether there is a continuation event in which the target period and unit time include the access time of the target log and the access source IP matches the access source IP of the target log (S303). That is, it is determined whether or not the target log is an access log that constitutes one of the continuation events.

該当する継続事象が有れば(S303でYes)、アクセスログ分類部13は、対象ログを機械アクセス候補ログに分類する(S304)。該当する継続事象が無ければ(S303でNo)、アクセスログ分類部13は、対象ログをユーザアクセス候補ログに分類する(S305)。なお、機械アクセス候補ログに分類されたアクセスログと、ユーザアクセス候補ログに分類されたアクセスログとは、例えば、分析装置10の補助記憶装置102において異なるフォルダに保存されてもよい。   If there is a corresponding continuation event (Yes in S303), the access log classification unit 13 classifies the target log as a machine access candidate log (S304). If there is no corresponding continuation event (No in S303), the access log classification unit 13 classifies the target log as a user access candidate log (S305). Note that the access log classified as the machine access candidate log and the access log classified as the user access candidate log may be stored in different folders in the auxiliary storage device 102 of the analyzer 10, for example.

ステップS301〜S305は、分析対象期間内の全てのアクセスログについて実行される(S306)。   Steps S301 to S305 are executed for all access logs within the analysis target period (S306).

上述したように、本実施の形態によれば、アクセスログ群を、ユーザアクセス候補ログと機械アクセス候補ログとに分類することができる。したがって、例えば、ユーザアクセスによる不正の可能性が高い場合、ユーザアクセス候補ログを分析対象とすることができる。同様に、機械アクセスによる不正の可能性が高い場合、機械アクセス候補ログを分析対象とすることができる。その結果、分析対象とするアクセスログを削減することができ、アクセスログの分析の作業負担を軽減することができる。   As described above, according to the present embodiment, the access log group can be classified into a user access candidate log and a machine access candidate log. Therefore, for example, when the possibility of fraud due to user access is high, the user access candidate log can be the analysis target. Similarly, when the possibility of fraud due to machine access is high, machine access candidate logs can be analyzed. As a result, the access logs to be analyzed can be reduced, and the work burden of access log analysis can be reduced.

また、本実施の形態では、機械アクセスであるか否かについて、継続して類似する順序集合が出現するか否かに着目するため,定期的に発生しないアクセス(すなわち、周期性又は反復性を有さないアクセス)に係るアクセスログを、機械アクセス候補ログから除外することができる。   Further, in this embodiment, in order to pay attention to whether or not a similar ordered set continues to appear as to whether or not it is machine access, access that does not occur regularly (that is, periodicity or repeatability is determined). The access log related to (access not having) can be excluded from the machine access candidate log.

また、本実施の形態では、アクセスが発生した順序に着目するため、アクセス時刻が厳密に一定間隔でない機械アクセスについても、機械アクセスであると判定することができる。   Further, in the present embodiment, since attention is paid to the order in which accesses occur, machine accesses whose access times are not strictly constant can be determined to be machine accesses.

なお、本実施の形態において、分析装置10は、アクセスログ分析装置の一例である。クロス集計表生成部11は、抽出部の一例である。継続事象特定部12は、特定部の一例である。ファイルサーバ20は、記憶装置の一例である。アクセスログ分類部13は、分類部の一例である。機械アクセス候補ログは、第1のアクセスログの一例である。ユーザアクセス候補ログは、第2のアクセスログの一例である。   In the present embodiment, the analysis device 10 is an example of an access log analysis device. The cross tabulation table generation unit 11 is an example of an extraction unit. The continuation event specifying unit 12 is an example of a specifying unit. The file server 20 is an example of a storage device. The access log classification unit 13 is an example of a classification unit. The machine access candidate log is an example of a first access log. The user access candidate log is an example of a second access log.

以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   Although the embodiments of the present invention have been described in detail above, the present invention is not limited to such specific embodiments, and various modifications can be made within the scope of the gist of the present invention described in the claims. Deformation / change is possible.

以上の説明に関し、更に以下の項を開示する。
(付記1)
記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する抽出部と、
複数の前記単位時間において出現する前記時系列集合を特定する特定部と、
を有することを特徴とするアクセスログ分析装置。
(付記2)
前記特定部は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記1記載のアクセスログ分析装置。
(付記3)
前記特定部は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記2記載のアクセスログ分析装置。
(付記4)
前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する分類部、
を有することを特徴とする付記1乃至3いずれか一項記載のアクセスログ分析装置。
(付記5)
記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する処理と、
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータが実行することを特徴とするアクセスログ分析方法。
(付記6)
前記特定する処理は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記5記載のアクセスログ分析方法。
(付記7)
前記特定する処理は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記6記載のアクセスログ分析方法。
(付記8)
前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する処理、
を前記コンピュータが実行することを特徴とする付記5乃至7いずれか一項記載のアクセスログ分析方法。
(付記9)
記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する処理と、
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータに実行させることを特徴とするアクセスログ分析プログラム。
(付記10)
前記特定する処理は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記9記載のアクセスログ分析プログラム。
(付記11)
前記特定する処理は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする付記10記載のアクセスログ分析プログラム。
(付記12)
前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する処理、
を前記コンピュータに実行させることを特徴とする付記9乃至11いずれか一項記載のアクセスログ分析プログラム。 Regarding the above description, the following items are further disclosed.
(Appendix 1)
A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. An extractor for extracting;
A specifying unit that specifies the time series set that appears in a plurality of the unit times;
An access log analyzer characterized by comprising:
(Appendix 2)
The specifying unit specifies the time series set that periodically appears in the plurality of unit times.
The access log analyzer according to appendix 1, characterized by the above.
(Appendix 3)
The specifying unit is configured such that, for each fixed period, each time series set extracted in any of the plurality of unit times included in the fixed period and any of the plurality of unit times included in another fixed period. Comparing each time series set extracted in step (b) to identify the time series set that appears periodically;
The access log analyzer according to appendix 2, characterized by the above.
(Appendix 4)
A classification unit that classifies each of the access logs into a first access log related to any one of the time-series sets specified by the specification unit and a second access log that does not correspond to the first access log. ,
The access log analyzer according to any one of appendices 1 to 3, characterized by comprising:
(Appendix 5)
A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis method characterized in that the computer executes.
(Appendix 6)
The specifying process specifies the time series set that periodically appears in the plurality of unit times.
The access log analysis method according to appendix 5, characterized in that:
(Appendix 7)
The specifying process includes, for each fixed period, any one of the time series sets extracted in any of the plurality of unit times included in the fixed period and the plurality of unit times included in another fixed period. Comparing each time series set extracted in or above to identify the time series set that appears periodically;
The access log analysis method according to appendix 6, wherein:
(Appendix 8)
A process of classifying each of the access logs into a first access log related to any one of the time-series sets specified by the specifying unit and a second access log not corresponding to the first access log;
The access log analysis method according to any one of appendices 5 to 7, wherein the computer executes
(Appendix 9)
A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis program characterized by causing a computer to execute.
(Appendix 10)
The specifying process specifies the time series set that periodically appears in the plurality of unit times.
The access log analysis program according to appendix 9, wherein
(Appendix 11)
The specifying process includes, for each fixed period, any one of the time series sets extracted in any of the plurality of unit times included in the fixed period and the plurality of unit times included in another fixed period. Comparing each time series set extracted in or above to identify the time series set that appears periodically;
The access log analysis program according to supplementary note 10, characterized by that.
(Appendix 12)
A process of classifying each of the access logs into a first access log related to any one of the time-series sets specified by the specifying unit and a second access log not corresponding to the first access log;
The access log analysis program according to any one of appendices 9 to 11, characterized in that the computer is executed.

10 分析装置
11 クロス集計表生成部
12 継続事象特定部
13 アクセスログ分類部
14 継続事象記憶部
20 ファイルサーバ
30 ユーザ端末
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス DESCRIPTION OF SYMBOLS 10 Analysis apparatus 11 Cross tabulation table production | generation part 12 Continuation event specific | specification part 13 Access log classification | category part 14 Continuation event memory | storage part 20 File server 30 User terminal 100 Drive apparatus 101 Recording medium 102 Auxiliary storage apparatus 103 Memory apparatus 104 CPU
105 Interface device B bus

Claims (6)

記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する抽出部と、
複数の前記単位時間において出現する前記時系列集合を特定する特定部と、
を有することを特徴とするアクセスログ分析装置。 A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. An extractor for extracting;
A specifying unit that specifies the time series set that appears in a plurality of the unit times;
An access log analyzer characterized by comprising: 前記特定部は、複数の前記単位時間において周期的に出現する前記時系列集合を特定する、
ことを特徴とする請求項1記載のアクセスログ分析装置。 The specifying unit specifies the time series set that periodically appears in the plurality of unit times.
The access log analyzer according to claim 1, wherein: 前記特定部は、一定期間ごとに、当該一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合と、他の一定期間に含まれる複数の前記単位時間のいずれかにおいて抽出された前記各時系列集合とを比較して、周期的に出現する前記時系列集合を特定する、
ことを特徴とする請求項2記載のアクセスログ分析装置。 The specifying unit is configured such that, for each fixed period, each time series set extracted in any of the plurality of unit times included in the fixed period and any of the plurality of unit times included in another fixed period. Comparing each time series set extracted in step (b) to identify the time series set that appears periodically;
The access log analyzer according to claim 2, wherein 前記アクセスログのそれぞれを、前記特定部によって特定されたいずれかの前記時系列集合に係る第1のアクセスログと、前記第1のアクセスログに該当しない第2のアクセスログとに分類する分類部、
を有することを特徴とする請求項1乃至3いずれか一項記載のアクセスログ分析装置。 A classification unit that classifies each of the access logs into a first access log related to any one of the time-series sets specified by the specification unit and a second access log that does not correspond to the first access log. ,
The access log analyzer according to any one of claims 1 to 3, wherein the access log analyzer is provided. 記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する処理と、
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータが実行することを特徴とするアクセスログ分析方法。 A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis method characterized in that the computer executes. 記憶装置が記憶する各ファイルへのアクセスごとにアクセス時期、アクセス元及びアクセス先のファイルのそれぞれを示す情報が記録されたアクセスログから、アクセス元別のアクセス先の時系列集合を単位時間ごとに抽出する処理と、
複数の前記単位時間において出現する前記時系列集合を特定する処理と、
をコンピュータに実行させることを特徴とするアクセスログ分析プログラム。 A time-series set of access destinations by access source is recorded for each unit time from an access log in which information indicating access time, access source and access destination files is recorded for each access to each file stored in the storage device. Processing to extract,
A process of identifying the time-series set that appears in a plurality of the unit times;
An access log analysis program characterized by causing a computer to execute.
JP2017135649A 2017-07-11 2017-07-11 Access log analysis device, access log analysis method and access log analysis program Pending JP2019020776A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017135649A JP2019020776A (en) 2017-07-11 2017-07-11 Access log analysis device, access log analysis method and access log analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017135649A JP2019020776A (en) 2017-07-11 2017-07-11 Access log analysis device, access log analysis method and access log analysis program

Publications (1)

Publication Number Publication Date
JP2019020776A true JP2019020776A (en) 2019-02-07

Family

ID=65352907

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017135649A Pending JP2019020776A (en) 2017-07-11 2017-07-11 Access log analysis device, access log analysis method and access log analysis program

Country Status (1)

Country Link
JP (1) JP2019020776A (en)

Similar Documents

Publication Publication Date Title
Hargreaves et al. An automated timeline reconstruction approach for digital forensic investigations
US10216848B2 (en) Method and system for recommending cloud websites based on terminal access statistics
US9355250B2 (en) Method and system for rapidly scanning files
CN107688488B (en) Metadata-based task scheduling optimization method and device
US20150341771A1 (en) Hotspot aggregation method and device
AU2020402039B2 (en) Detection of sensitive database information
CN106354817B (en) Log processing method and device
WO2015023304A1 (en) Refining search query results
US20230205755A1 (en) Methods and systems for improved search for data loss prevention
JP2010224705A (en) Log retrieval system
CN110245059B (en) Data processing method, device and storage medium
Huang et al. Twain: Two-end association miner with precise frequent exhibition periods
WO2015124086A1 (en) Virus signature matching method and apparatus
US20130018920A1 (en) Configuration management database security
CN104933096A (en) Abnormal key recognition method of database, abnormal key recognition device of database and data system
JP2019020776A (en) Access log analysis device, access log analysis method and access log analysis program
Genga et al. Towards a systematic process-aware behavioral analysis for security
JP2019028788A (en) Secret word specifying apparatus, secret word specifying method, and secret word specifying program
JP6501159B2 (en) Analysis and translation of operation records of computer devices, output of information for audit and trend analysis device of the system.
JP2018132787A (en) Log analysis support apparatus and log analysis support method
JP6343986B2 (en) Information processing apparatus, program, information processing method
Wang et al. Network behavior abnormal detection for electricity management system based on long short-term memory
Trivedi Topic-Based Engagement Analysis: A Case Study
WO2020065778A1 (en) Information processing device, control method, and program
JP6870454B2 (en) Analytical equipment, analytical programs and analytical methods