JP4060263B2 - Log analysis apparatus and log analysis program - Google Patents

Log analysis apparatus and log analysis program Download PDF

Info

Publication number
JP4060263B2
JP4060263B2 JP2003387709A JP2003387709A JP4060263B2 JP 4060263 B2 JP4060263 B2 JP 4060263B2 JP 2003387709 A JP2003387709 A JP 2003387709A JP 2003387709 A JP2003387709 A JP 2003387709A JP 4060263 B2 JP4060263 B2 JP 4060263B2
Authority
JP
Japan
Prior art keywords
distribution
log
entropy
entropy value
events
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003387709A
Other languages
Japanese (ja)
Other versions
JP2005151289A (en
Inventor
敬祐 竹森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2003387709A priority Critical patent/JP4060263B2/en
Publication of JP2005151289A publication Critical patent/JP2005151289A/en
Application granted granted Critical
Publication of JP4060263B2 publication Critical patent/JP4060263B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、およびFirewallなどのネットワーク機器から出力されるログの分析を行うログ分析装置、ログ分析方法およびログ分析プログラムに関する。   The present invention relates to a log analysis apparatus, a log analysis method, and a log analysis program for analyzing logs output from network devices such as IDS (Intrusion Detection System), Router, and Firewall.

近年、ネットワークシステムに対する攻撃監視のためにIDSを導入するサイトが増えている。一般にIDSは、ネットワーク上を流れるパケットとAttack Signatureと呼ばれる攻撃パターンファイルとを単純に比較して、マッチングするものがあればログを出力する。   In recent years, more and more sites have introduced IDS for monitoring attacks on network systems. In general, the IDS simply compares a packet flowing on the network with an attack pattern file called Attack Signature, and outputs a log if there is a match.

従来においては、コンピュータの稼働状況を示すログ情報の解析作業に要する時間を減少させ、種々のデータ形式とファイル・システム上の偏在性とを有するログ情報を統合し、既知の異常ではない異常を示すログ情報を抽出することを目的としたログ情報解析装置が考え出されている。このログ情報解析装置はシステム管理者が文字による膨大な量のログ情報を棒グラフのように表示させて注目すべき情報を迅速に把握しようとするものである。(例えば特許文献1参照)
特開2001−356939号公報
Conventionally, it reduces the time required for analyzing log information indicating the operating status of the computer, integrates log information having various data formats and uneven distribution on the file system, and detects abnormalities that are not known abnormalities. A log information analysis device has been devised for the purpose of extracting the log information shown. In this log information analysis apparatus, a system administrator displays an enormous amount of log information in characters like a bar graph so as to quickly grasp information to be noted. (For example, see Patent Document 1)
JP 2001-356939 A

しかし、従来のIDSから出力されるログは、誤検知、多重検知、セキュリティ対策済みのシステムに対する攻撃検知などの冗長なログが多量に出力される。このようなログは、同じ攻撃を繰り返し受けるたびに出力されるため、さらに冗長なものとなる。多量のログは傾向把握には適しているが、出現頻度の低いログを見落としがちになり、新たな攻撃の兆候を的確に抽出することを困難にする。RouterやFirewallから出力されるログを監視することで、より多角的な分析が可能になるが、これらのログを統合管理するシステムがないという問題があった。   However, the log output from the conventional IDS outputs a large amount of redundant logs such as false detection, multiple detection, and attack detection for a system with security countermeasures. Since such a log is output every time the same attack is repeated, it becomes more redundant. A large amount of logs is suitable for grasping the trend, but it tends to overlook logs with low frequency of appearance, making it difficult to accurately extract new attack signs. By monitoring the logs output from Router and Firewall, more diverse analysis becomes possible, but there is a problem in that there is no system for integrated management of these logs.

また、ネットワーク上のトラヒックの増減は、ユーザによるPC利用の時間帯や曜日帯に依存しており、攻撃の傾向もおおよそPCの利用頻度と類似している。しかし、近年の攻撃の多くが、潜伏期間や発症・伝播期間を有するウィルスやワームによるものであり、PCの利用頻度以外の周期性で発現するものもある。従来、これらの攻撃の周期性を考慮して、分析対象への攻撃傾向や新たな攻撃の兆候を検出する手法がないという問題点があった。   The increase or decrease in traffic on the network depends on the time zone and day of the week of PC use by the user, and the tendency of attacks is roughly similar to the PC use frequency. However, many of the recent attacks are due to viruses and worms having a latent period, onset / propagation period, and some appear with periodicity other than the frequency of PC use. Conventionally, in consideration of the periodicity of these attacks, there has been a problem that there is no method for detecting an attack tendency to an analysis target or a sign of a new attack.

本発明は、上述した問題点に鑑みてなされたものであって、様々なネットワーク機器から出力されるログに基づいて、攻撃の周期性を考慮したログ分析を行うことができるログ分析装置およびログ分析プログラムを提供することを目的とする。   The present invention has been made in view of the above-described problems, and is a log analysis apparatus and log that can perform log analysis in consideration of the periodicity of an attack based on logs output from various network devices The purpose is to provide an analysis program.

本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、前記ネットワーク機器から出力されるログを収集する収集手段と、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換する第1の変換手段とを具備することを特徴とするログ分析装置である。
前期パラメータとしては、IDS、Router、またはFirewallなどのネットワーク機器から出力されるログに記録されているパケット量、トラヒック量、プロトコル量、Port量、Attack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。
The present invention has been made to solve the above problems, and the invention according to claim 1 is output from the network device in a log analysis device that performs analysis processing based on a log collected from the network device. A collecting means for collecting logs, and a first distribution for obtaining a distribution on the time axis of events belonging to the parameters in the log collected by the collecting means, and converting the distribution on the time axis to a distribution on the frequency axis. A log analysis apparatus comprising a conversion unit.
The parameters for the previous period include packet volume, traffic volume, protocol volume, port volume, Attack Signature, Source / Destination Port, and Source / Destination IP recorded in logs output from network devices such as IDS, Router, and Firewall. Etc.

請求項2に記載の発明は、請求項1に記載のログ分析装置において、前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記周波数軸上の分布を、各イベントが該イベントの量順に並んだ分布に変換する第2の変換手段とをさらに具備することを特徴とする。   According to a second aspect of the present invention, in the log analyzing apparatus according to the first aspect, grouping means for performing grouping to divide the distribution on the frequency axis generated by the first conversion means into a plurality of groups. And a second conversion means for converting the distribution on the frequency axis grouped by the grouping means into a distribution in which each event is arranged in order of the amount of the event.

請求項3に記載の発明は、請求項1に記載のログ分析装置において、前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段とをさらに具備することを特徴とする。   According to a third aspect of the present invention, in the log analyzing apparatus according to the first aspect, grouping means for performing grouping to divide the distribution on the frequency axis generated by the first conversion means into a plurality of groups. And an abnormal value calculating means for calculating a value related to the degree of network abnormality based on the amount of events in each group in the distribution on the frequency axis grouped by the grouping means. And

請求項4に記載の発明は、請求項1に記載のログ分析装置において、前記第1の変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するエントロピー算出手段と、前記エントロピー算出手段によって算出された前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段とをさらに具備することを特徴とする。   According to a fourth aspect of the present invention, in the log analyzing apparatus according to the first aspect, grouping means for performing grouping to divide the distribution on the frequency axis generated by the first conversion means into a plurality of groups. Entropy calculating means for calculating an entropy value based on the amount of events in each group in the distribution on the frequency axis grouped by the grouping means, and the entropy value calculated by the entropy calculating means And an abnormal value calculating means for calculating a value relating to the degree of network abnormality.

請求項5に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記異常値算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1の値と、前記グループ化手段によってグループ化された過去の所定期間における複数の前記分布に関する第2の値との比率を算出することを特徴とする。
前記第1の値としては、前記ログ中のパラメータに属し、特定の所定期間内のイベントに関する前記分布の特定のグループ内のイベントの量が挙げられる。前記第2の値は、過去の複数の所定期間内のイベントに関する前記分布の特定のグループ内のイベントの量の平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。
According to a fifth aspect of the present invention, in the log analysis device according to the third aspect, the distribution on the frequency axis belongs to a parameter in the log and is a distribution related to events within a predetermined period, and the abnormal value calculation The means includes a first value relating to the distribution in a specific predetermined period grouped by the grouping means, and a second value relating to a plurality of the distributions in the past predetermined period grouped by the grouping means. The ratio is calculated.
The first value includes the amount of events in a specific group of the distribution belonging to the parameters in the log and relating to events within a specific predetermined period. The second value is preferably an average value of the amount of events in a specific group of the distribution related to events in a plurality of past predetermined periods. Accordingly, the degree of abnormality can be determined based on 1 as the ratio value.

請求項6に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する複数の第2の分布とであり、前記異常値算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1の値と、前記グループ化手段によってグループ化された前記複数の第2の分布に関する第2の値との比率を算出することを特徴とする。
前記第1の値としては、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する前記分布の特定のグループ内のイベントの量が挙げられる。前記第2の値は、前記特定のネットワークを除く他の複数のネットワークのイベントに関する前記分布の特定のグループ内のイベントの量の平均値であることが望ましい。これにより、前記比率の値として1を基準とし、異常度の判断を行うことができる。
According to a sixth aspect of the present invention, in the log analysis device according to the third aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And a plurality of second distributions related to events of a plurality of other networks excluding the specific network, wherein the abnormal value calculation means is the first grouped by the grouping means. A ratio between a first value related to the distribution and a second value related to the plurality of second distributions grouped by the grouping unit is calculated.
The first value includes the amount of events in a specific group of the distribution belonging to the parameters in the log and relating to events in a specific network. The second value may be an average value of the amount of events in a specific group of the distribution related to events of a plurality of other networks excluding the specific network. Accordingly, the degree of abnormality can be determined based on 1 as the ratio value.

請求項7に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記異常値算出手段は、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布のイベントの量に基づいて確率分布を求め、前記グループ化手段によってグループ化された特定の所定期間における前記分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
前記確率分布に関しては、過去の所定期間に関する複数の前記分布に関する複数の値(例えば、特定のグループ内のイベントの量)の分布が正規分布、指数分布、ガンマ分布などの確率分布の中の1つに従うと仮定し、適宜確率分布を求めればよい。上側稀率とは、求めた確率分布における値が特定の所定期間における前記分布に関する値(例えば、特定のグループ内のイベントの量)以上となる確率であり、下側稀率とは、求めた確率分布における値が特定の前記分布に関する値以下となる確率である。
According to a seventh aspect of the present invention, in the log analysis device according to the third aspect, the distribution on the frequency axis belongs to a parameter in the log and is a distribution related to an event within a predetermined period, and the abnormal value calculation The means obtains a probability distribution based on the amount of events of the plurality of distributions related to the past predetermined period grouped by the grouping means, and the distribution of the distribution in the specific predetermined period grouped by the grouping means The upper rare rate or the lower rare rate relating to the amount of events is calculated based on the probability distribution.
Regarding the probability distribution, the distribution of a plurality of values related to the plurality of distributions related to a predetermined period in the past (for example, the amount of events in a specific group) is one of probability distributions such as a normal distribution, an exponential distribution, and a gamma distribution. The probability distribution may be obtained as appropriate. The upper rare rate is a probability that a value in the obtained probability distribution is equal to or greater than a value related to the distribution in a specific predetermined period (for example, the amount of events in a specific group), and the lower rare rate is obtained. The probability that the value in the probability distribution is less than or equal to the value for the particular distribution.

請求項8に記載の発明は、請求項3に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記異常値算出手段は、前記グループ化手段によってグループ化された前記第2の分布のイベントの量に基づいて確率分布を求め、前記グループ化手段によってグループ化された前記第1の分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。
前記確率分布に関しては、前記特定のネットワークを除く他の複数のネットワークごとの前記第2の分布に関する複数の値(例えば、特定のグループ内のイベントの量)の分布が正規分布、指数分布、ガンマ分布などの確率分布の中の1つに従うと仮定し、適宜確率分布を求めればよい。上側稀率とは、求めた確率分布における値が前記第1の分布に関する値(例えば、前記特定のグループ内のイベントの量)以上となる確率であり、下側稀率とは、求めた確率分布における値が前記第1の分布に関する値以下となる確率である。
According to an eighth aspect of the present invention, in the log analyzer according to the third aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And the second distribution relating to events of a plurality of other networks excluding the specific network, and the abnormal value calculation means is configured to output the second distribution grouped by the grouping means. A probability distribution is obtained based on the amount of events, and an upper rare rate or a lower rare rate related to the event amount of the first distribution grouped by the grouping unit is calculated based on the probability distribution. And
Regarding the probability distribution, the distribution of a plurality of values (for example, the amount of events in a specific group) related to the second distribution for each of a plurality of other networks excluding the specific network is a normal distribution, an exponential distribution, a gamma Assuming that one of the probability distributions such as the distribution is followed, the probability distribution may be obtained as appropriate. The upper rare rate is a probability that a value in the obtained probability distribution is not less than a value related to the first distribution (for example, the amount of events in the specific group), and the lower rare rate is the obtained probability. It is the probability that the value in the distribution will be less than or equal to the value for the first distribution.

請求項9に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記異常値算出手段は、前記エントロピー算出手段によって算出された特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出することを特徴とする。   According to a ninth aspect of the present invention, in the log analysis device according to the fourth aspect, the distribution on the frequency axis belongs to a parameter in the log and is a distribution related to events within a predetermined period, and the abnormal value calculation The means calculates a ratio between a first entropy value related to the distribution in a specific predetermined period calculated by the entropy calculating means and a second entropy value related to the plurality of distributions related to a past predetermined period. And

請求項10に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記異常値算出手段は、前記エントロピー算出手段によって算出された前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出することを特徴とする。   According to a tenth aspect of the present invention, in the log analysis device according to the fourth aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution regarding events of a specific network, and the log And the second distribution relating to events of a plurality of other networks excluding the specific network, wherein the abnormal value calculating means is a second distribution relating to the first distribution calculated by the entropy calculating means. A ratio between an entropy value of 1 and a second entropy value relating to the second distribution is calculated.

請求項11に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記エントロピー算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。   According to an eleventh aspect of the present invention, in the log analyzer according to the fourth aspect, the distribution on the frequency axis belongs to a parameter in the log and is a distribution relating to an event within a predetermined period, and the entropy calculating unit Is a first entropy value related to the distribution in a specific predetermined period grouped by the grouping means, and a second entropy value related to a plurality of the distributions related to past predetermined periods grouped by the grouping means. The abnormal value calculation means obtains a probability distribution of the second entropy value, and calculates an upper rare rate or a lower rare rate related to the first entropy value based on the probability distribution. Features.

請求項12に記載の発明は、請求項4に記載のログ分析装置において、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他のネットワークのイベントに関する第2の分布とであり、前記エントロピー算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された前記第2の分布に関する第2のエントロピー値とを算出し、前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。   According to a twelfth aspect of the present invention, in the log analysis device according to the fourth aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And a second distribution relating to events of other networks excluding the specific network, wherein the entropy calculating means is a first distribution relating to the first distribution grouped by the grouping means. An entropy value and a second entropy value related to the second distribution grouped by the grouping means are calculated, the abnormal value calculation means obtains a probability distribution of the second entropy value, and An upper rare rate or a lower rare rate for one entropy value is calculated based on the probability distribution.

請求項13に記載の発明は、請求項1〜請求項12のいずれかの項に記載のログ分析装置において、前記グループ化手段は、前記第1の変換手段によって生成された前記周波数軸上の分布を、所定の周波数ごとに複数のグループに分割することを特徴とする。   The invention according to claim 13 is the log analysis apparatus according to any one of claims 1 to 12, wherein the grouping unit is on the frequency axis generated by the first conversion unit. The distribution is divided into a plurality of groups for each predetermined frequency.

請求項14に記載の発明は、請求項3〜請求項12のいずれかの項に記載のログ分析装置において、前記グループ化手段は、前記第1の変換手段によって生成された前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化することを特徴とする。   In a fourteenth aspect of the present invention, in the log analysis apparatus according to any one of the third to twelfth aspects, the grouping unit is on the frequency axis generated by the first conversion unit. The events are grouped so that the total amount of events in each group approaches the event of each frequency in the distribution equally.

請求項15に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、前記ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換するステップとをコンピュータに実行させるためのログ分析プログラムである。   The invention according to claim 15 is a log analysis method for performing analysis processing based on a log collected from a network device, wherein the log output from the network device is collected, and belongs to the parameters in the collected log A log analysis program for causing a computer to obtain a distribution on the time axis of events and converting the distribution on the time axis to a distribution on the frequency axis.

請求項16に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、グループ化した前記周波数軸上の分布を、各イベントが該イベントの量順にならんだ分布に変換するステップとをさらに具備することを特徴とする。   According to a sixteenth aspect of the present invention, in the log analysis program according to the fifteenth aspect, a step of grouping the distribution on the frequency axis into a plurality of groups, and the grouped distribution on the frequency axis And a step of converting each event into a distribution arranged in the order of the amount of the event.

請求項17に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、グループ化した前記周波数軸上の分布を、各イベントが該イベントの量順にならんだ分布に変換するステップとをさらに具備することを特徴とする。   According to a seventeenth aspect of the present invention, in the log analysis program according to the fifteenth aspect, a step of grouping the distribution on the frequency axis into a plurality of groups, and the grouped distribution on the frequency axis And a step of converting each event into a distribution arranged in the order of the amount of the event.

請求項18に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップと、グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップと、算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップとをさらに具備することを特徴とする。   According to an eighteenth aspect of the present invention, in the log analysis program according to the fifteenth aspect, a step of grouping the distribution on the frequency axis into a plurality of groups, and a grouped distribution on the frequency axis The method further includes the step of calculating an entropy value based on the amount of events in each group, and the step of calculating a value related to the degree of network abnormality based on the calculated entropy value.

請求項19に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1の値と、グループ化した過去の所定期間における複数の前記分布に関する第2の値との比率を算出することを特徴とする。   According to a nineteenth aspect of the present invention, in the log analysis program according to the seventeenth aspect, the distribution on the frequency axis belongs to a parameter in the log and is a distribution related to events within a predetermined period, and the grouping is performed. In the step of calculating the value related to the degree of network abnormality based on the amount of events in each group in the distribution on the frequency axis, the first value related to the distribution in the specific grouped period and the grouping The ratio with the 2nd value regarding the said some distribution in the past predetermined period was calculated.

請求項20に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した前記第1の分布に関する第1の値と、グループ化した前記第2の分布に関する第2の値との比率を算出することを特徴とする。   According to a twentieth aspect of the present invention, in the log analysis program according to the seventeenth aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And a second distribution relating to events of a plurality of other networks excluding the specific network, based on the amount of events in each group in the grouped distribution on the frequency axis, In the step of calculating a value related to the degree of network abnormality, a ratio between a first value related to the grouped first distribution and a second value related to the grouped second distribution is calculated. And

請求項21に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した過去の所定期間に関する複数の前記分布のイベントの量に基づいて確率分布を求め、グループ化した特定の所定期間における前記分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。   According to a twenty-first aspect of the present invention, in the log analysis program according to the seventeenth aspect, the distribution on the frequency axis belongs to the parameter in the log and is a distribution related to events within a predetermined period, and the grouped Based on the amount of events in each group in the distribution on the frequency axis, in the step of calculating a value related to the degree of network anomaly, based on the amount of events in the plurality of distributions related to a predetermined past period grouped A probability distribution is obtained, and an upper rare rate or a lower rare rate related to the amount of events of the distribution in a specific grouped period is calculated based on the probability distribution.

請求項22に記載の発明は、請求項17に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、グループ化した前記第2の分布のイベントの量に基づいて確率分布を求め、グループ化した前記第1の分布のイベントの量に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。   According to a twenty-second aspect of the present invention, in the log analysis program according to the seventeenth aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And a second distribution relating to events of a plurality of other networks excluding the specific network, based on the amount of events in each group in the grouped distribution on the frequency axis, In the step of calculating the value related to the degree of network abnormality, the probability distribution is obtained based on the amount of events of the second distribution grouped, and the upper rare rate regarding the amount of events of the grouped first distribution or The lower rare rate is calculated based on the probability distribution.

請求項23に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出することを特徴とする。   According to a twenty-third aspect of the present invention, in the log analysis program according to the eighteenth aspect, the distribution on the frequency axis belongs to a parameter in the log and is a distribution related to an event within a predetermined period, and the calculated In the step of calculating the value related to the degree of abnormality of the network based on the entropy value, the calculated first entropy value related to the distribution in the specific predetermined period and second entropy related to the plurality of distributions related to the past predetermined period. A ratio with the value is calculated.

請求項24に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出することを特徴とする。   According to a twenty-fourth aspect of the present invention, in the log analysis program according to the eighteenth aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And a second distribution relating to events of a plurality of other networks excluding the specific network, and calculating a value related to the degree of network abnormality based on the calculated entropy value. A ratio between the calculated first entropy value related to the first distribution and the second entropy value related to the second distribution is calculated.

請求項25に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1のエントロピー値と、グループ化した過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。   According to a 25th aspect of the present invention, in the log analysis program according to the 18th aspect, the distribution on the frequency axis belongs to the parameter in the log, and is a distribution related to events within a predetermined period, and the grouping is performed. In the step of calculating an entropy value based on the amount of events in each group in the distribution on the frequency axis, a first entropy value related to the distribution in a specific grouped period and a grouped past In the step of calculating a second entropy value related to a plurality of the distributions related to a predetermined period and calculating a value related to the degree of network abnormality based on the calculated entropy value, a probability distribution of the second entropy value And determine the upper or lower rare rate for the first entropy value as the certainty. And calculating on the basis of the distribution.

請求項26に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した前記第1の分布に関する第1のエントロピー値と、グループ化した前記第2の分布に関する第2のエントロピー値とを算出し、前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出することを特徴とする。   According to a twenty-sixth aspect of the present invention, in the log analysis program according to the eighteenth aspect, the distribution on the frequency axis belongs to a parameter in the log, the first distribution relating to an event of a specific network, and the log And a second distribution relating to events of a plurality of other networks excluding the specific network, based on the amount of events in each group in the grouped distribution on the frequency axis, In the step of calculating an entropy value, a first entropy value related to the grouped first distribution and a second entropy value related to the grouped second distribution are calculated, and the calculated entropy value is calculated. In the step of calculating the value relating to the degree of network abnormality based on the second entry, A probability distribution of a ropey value is obtained, and an upper rare rate or a lower rare rate related to the first entropy value is calculated based on the probability distribution.

請求項27に記載の発明は、請求項15〜請求項26のいずれかの項に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップにおいては、前記周波数軸上の分布を、所定の周波数ごとに複数のグループに分割することを特徴とする。   According to a twenty-seventh aspect of the present invention, in the log analysis program according to any one of the fifteenth to twenty-sixth aspects, in the step of performing grouping to divide the distribution on the frequency axis into a plurality of groups, The distribution on the frequency axis is divided into a plurality of groups for each predetermined frequency.

請求項28に記載の発明は、請求項17〜請求項26のいずれかの項に記載のログ分析プログラムにおいて、前記周波数軸上の分布を複数のグループに分割するグループ化を行うステップにおいては、前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化することを特徴とする。   According to a twenty-eighth aspect of the present invention, in the log analysis program according to any one of the seventeenth to twenty-sixth aspects, in the step of performing grouping to divide the distribution on the frequency axis into a plurality of groups, The events are grouped so that the total amount of events in each group approaches the event of each frequency in the distribution on the frequency axis evenly.

請求項29に記載の発明は、請求項15〜請求項28のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。   A twenty-ninth aspect of the invention is a computer-readable recording medium on which the log analysis program according to any one of the fifteenth to twenty-eighth aspects is recorded.

この発明によれば、様々なネットワーク機器から出力されるログ中のパラメータに属するイベントの時間軸上の分布を求め、時間軸上の分布を周波数軸上の分布へ変換するようにしたので、攻撃の周期性を考慮したログ分析を行うことができるという効果が得られる。   According to the present invention, the distribution on the time axis of the events belonging to the parameters in the log output from various network devices is obtained, and the distribution on the time axis is converted to the distribution on the frequency axis. It is possible to perform log analysis in consideration of the periodicity.

以下、図面を参照し、この発明を実施するための最良の形態について説明する。図1は、この発明の一実施形態によるログ分析装置を備えたネットワークの構成を示す構成図である。図において、10はログ分析装置である。ログ分析装置10は分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果をWebブラウザ301へ出力する。ログ分析装置10は、表示部を有する他の機器へ分析結果を出力してもよいし、ログ分析装置10に表示部が備えられている場合には、ログ分析装置10が分析結果を表示してもよい。   The best mode for carrying out the present invention will be described below with reference to the drawings. FIG. 1 is a configuration diagram showing the configuration of a network including a log analysis device according to an embodiment of the present invention. In the figure, 10 is a log analyzer. The log analysis device 10 collects and analyzes logs output from the networks 20 to 22 to be analyzed, and outputs the analysis results to the web browser 301. The log analysis device 10 may output the analysis result to another device having a display unit. When the log analysis device 10 includes a display unit, the log analysis device 10 displays the analysis result. May be.

また、ログ分析装置10はWebブラウザ301を備えるセキュリティオペレーションセンター30からは独立した装置であってもよいし、セキュリティオペレーションセンター30内のWebブラウザ301を具備する機器がログ分析装置10の機能を有していてもよい。ネットワーク20〜22のRouter、Firewall、およびIDSはログを生成し、syslogd等の通信方式により、ログ分析装置10にログを出力する。セキュリティオペレーションセンター30はWebブラウザ301を有しており、運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。   Further, the log analysis device 10 may be a device independent of the security operation center 30 including the web browser 301, and the device including the web browser 301 in the security operation center 30 has the function of the log analysis device 10. You may do it. The Router, Firewall, and IDS of the networks 20 to 22 generate logs, and output the logs to the log analysis device 10 by a communication method such as syslogd. The security operation center 30 has a web browser 301, and the operator can determine the degree of abnormality of the networks 20 to 22 based on the analysis result displayed on the web browser 301.

ログ分析装置10において、101はログ収集部であり、ネットワーク20〜22の機器から出力されたログを定期的に収集し、ログ保存部102へログを出力する。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する。運用者がWebブラウザ301を介して、分析を希望するパラメータを要求すると、分析を指示する指示情報がインタフェース部105を介してログ分析部104へ入力される。   In the log analysis device 10, reference numeral 101 denotes a log collection unit that periodically collects logs output from devices in the networks 20 to 22 and outputs the logs to the log storage unit 102. The log storage unit 102 extracts parameters used for analysis from the log output by the log collection unit 101 and stores them in the storage unit 103. When the operator requests a parameter desired for analysis via the Web browser 301, instruction information for instructing analysis is input to the log analysis unit 104 via the interface unit 105.

ログ分析部104はこの指示情報に従って、記憶部103から分析用のパラメータを読み出し、このパラメータに関して分析を行い(詳細は後述する)、分析結果を記憶部103に保存すると共に、インタフェース部105へ出力する。インタフェース部105は、ログ分析部104から出力された分析結果を、通信回線を介してWebブラウザ301へ出力する。運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22に対する攻撃の状況を判断する。   The log analysis unit 104 reads out an analysis parameter from the storage unit 103 in accordance with the instruction information, analyzes the parameter (details will be described later), saves the analysis result in the storage unit 103, and outputs the analysis result to the interface unit 105. To do. The interface unit 105 outputs the analysis result output from the log analysis unit 104 to the Web browser 301 via a communication line. Based on the analysis result displayed on the Web browser 301, the operator determines the status of the attack on the networks 20-22.

次に、本実施形態において分析対象となるパラメータについて説明する。本実施形態においては、
(a)パケット数
(b)トラヒック量
(c)プロトコル量
(d)Port量
(e)Attack Signature
(f)Source/Destination Port
(g)Source/Destination IP
の各パラメータを分析対象とする。
Next, parameters to be analyzed in this embodiment will be described. In this embodiment,
(A) Number of packets (b) Traffic volume (c) Protocol volume (d) Port volume (e) Attack Signature
(F) Source / Destination Port
(G) Source / Destination IP
These parameters are subject to analysis.

(a)〜(d)はRouterおよびFirewallから出力されるログに記録されている。(e)はIDSから出力されるログに記録されている。(f)〜(g)はIDS、Router、およびFirewallから出力されるログに記録されている。パケット数またはトラヒック量を分析することにより、ネットワークに対する攻撃が発生しているのかどうかを検出することができる。プロトコル量はTCP(Transmission Control Protocol)/UDP(User Datagram Protocol)/ICMP(Internet Control Message Protocol)などのプロトコルに係るパケット数(あるいはトラヒック量)を示している。   (A)-(d) are recorded in the log output from Router and Firewall. (E) is recorded in the log output from the IDS. (F) to (g) are recorded in logs output from IDS, Router, and Firewall. By analyzing the number of packets or the amount of traffic, it is possible to detect whether an attack on the network is occurring. The protocol amount indicates the number of packets (or the amount of traffic) related to a protocol such as TCP (Transmission Control Protocol) / UDP (User Datagram Protocol) / ICMP (Internet Control Message Protocol).

プロトコル量を分析することにより、色々な攻撃を検出することができる。例えば、ICMPに係るPingやTracerouteなどは攻撃前の下調べなので、これらを検出することにより本格的な攻撃に対して事前に注意を払うことができる。Port量はTCP/UDPなどのプロトコルに係るパケットの送信元/送信先の機器のポート番号別のパケット数(あるいはトラヒック量)を示している。Port量を分析することにより、特定のPortへのアクセスや侵入などを検出することができる。   By analyzing the protocol amount, various attacks can be detected. For example, Ping, Traceroute, and the like related to ICMP are a preliminary check before an attack, so that it is possible to pay attention in advance to a full-scale attack by detecting these. The Port amount indicates the number of packets (or traffic amount) for each port number of the transmission source / destination device of a packet related to a protocol such as TCP / UDP. By analyzing the amount of Port, it is possible to detect access or intrusion to a specific Port.

Attack SignatureはIDSから出力されるログに含まれるパラメータである。Attack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。なお、全てのネットワーク型IDSおよび一部のホスト型IDSがAttack Signatureを出力可能である。Source/Destination Portは送信元/送信先の機器のポート番号を示す。Source/Destination IPは送信元/送信先の機器のIPアドレスを示す。なおSource/Destination PortはSource PortおよびDestination Portの2つのパラメータのうちのいずれか1つを示しており、Source/Destination IPに関しても同様である。   The Attack Signature is a parameter included in the log output from the IDS. By analyzing the Attack Signature, it is possible to specify the type of attack being performed on the analysis target network. All network type IDSs and some host type IDSs can output an attack signature. Source / Destination Port indicates a port number of a transmission source / destination device. Source / Destination IP indicates the IP address of the source / destination device. Note that the Source / Destination Port indicates one of the two parameters of the Source Port and the Destination Port, and the same applies to the Source / Destination IP.

Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。上記のパラメータは複数のイベントからなる。ログ中に上記の同じイベントが複数記録されている場合は、その総数をそのイベントのイベント量と定義する。   By analyzing the Source / Destination Port, the port number of the attack source / attack target can be specified. Further, by analyzing the Source / Destination IP, the IP address of the attack source / attack target can be specified. The above parameters consist of multiple events. When a plurality of the same events are recorded in the log, the total number is defined as the event amount of the event.

次に、本実施形態におけるログ分析装置10の動作を説明する。図2はログ分析装置10の動作を示すフローチャートである。ログ収集部101はネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS200)。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する(ステップS210)。運用者から特定のパラメータに関する分析の要求がWebブラウザ301を介してなされると、Webブラウザ301から出力された指示情報がインタフェース部105を介してログ分析部104へ入力される。すると、ログ分析部104は指示情報に基づいて記憶部103からパラメータを読み出す(ステップS220)。   Next, the operation of the log analysis apparatus 10 in this embodiment will be described. FIG. 2 is a flowchart showing the operation of the log analysis apparatus 10. The log collection unit 101 collects logs output from the devices of the networks 20 to 22 and outputs them to the log storage unit 102 (step S200). The log storage unit 102 extracts parameters used for analysis from the log output by the log collection unit 101 and stores them in the storage unit 103 (step S210). When an analysis request regarding a specific parameter is made from the operator via the Web browser 301, the instruction information output from the Web browser 301 is input to the log analysis unit 104 via the interface unit 105. Then, the log analysis unit 104 reads parameters from the storage unit 103 based on the instruction information (step S220).

ログ分析部104は分析対象のパラメータに関して、後述する分析処理を行い、分析結果を記憶部103に保存する(ステップS230)。続いて、ログ分析部104はインタフェース105を介して、分析結果をWebブラウザ301へ出力する(ステップS240)。分析結果はWebブラウザ301上に表示され、運用者はこの分析結果に基づいて、ネットワーク20〜22に対して攻撃が行われているかどうかを判断する。   The log analysis unit 104 performs an analysis process to be described later on the analysis target parameter, and stores the analysis result in the storage unit 103 (step S230). Subsequently, the log analysis unit 104 outputs the analysis result to the web browser 301 via the interface 105 (step S240). The analysis result is displayed on the Web browser 301, and the operator determines whether an attack is being performed on the networks 20 to 22 based on the analysis result.

次に、ステップS23でログ分析部104が行う分析処理について説明する。ログ分析部104はまず、記憶部103から読み出したパラメータに関するイベントのイベント量に基づいて、イベントの時間軸上の分布を求める。図3はIDSから出力されたログに記録されたAttack Signatureを例として、Attack Signatureに関するイベントの時間軸上の分布を示している。図において、横軸は時刻を示し、縦軸は各時刻におけるイベントのイベント量を示している。ログには、イベントが検出された時刻も記録されているので、各時刻におけるイベントの総量を求めることができる。   Next, the analysis process performed by the log analysis unit 104 in step S23 will be described. First, the log analysis unit 104 obtains a distribution of events on the time axis based on the event amount of the event related to the parameter read from the storage unit 103. FIG. 3 shows the distribution on the time axis of events related to the Attack Signature, taking the Attack Signature recorded in the log output from the IDS as an example. In the figure, the horizontal axis indicates the time, and the vertical axis indicates the event amount of the event at each time. Since the time at which the event was detected is also recorded in the log, the total amount of events at each time can be obtained.

Attack Signatureには、HTTP port probe、DNS port probe、・・・などのイベント種別があり、ログ分析部104は特定のイベント種別(例えばHTTP port probe)のイベントに注目し、ある時刻(あるいは所定の時間範囲)において検出されたイベントの総数を求め、図3のような時間軸上の分布を得る。この分布は時刻とその時刻におけるイベント量とが対応付けられたテーブルデータなどの形式のデータとして記憶部103に保存される。なお、ログ分析部104が特定の複数のイベント種別に着目し、それらをひとまとまりのイベント種別とみなして、時間軸上の分布を求めてもよい。   The Attack Signature has event types such as HTTP port probe, DNS port probe,..., And the log analysis unit 104 pays attention to an event of a specific event type (for example, HTTP port probe), and at a certain time (or a predetermined time) The total number of events detected in (time range) is obtained, and a distribution on the time axis as shown in FIG. 3 is obtained. This distribution is stored in the storage unit 103 as data in a format such as table data in which a time is associated with an event amount at that time. Note that the log analysis unit 104 may pay attention to a plurality of specific event types, regard them as a group of event types, and obtain the distribution on the time axis.

図3において、折れ線aは平日の各時刻におけるイベント量の、所定期間(例えば1ヶ月)にわたる平均を表したものである。また、折れ線bは休日および祝日の各時刻におけるイベント量の、所定期間にわたる平均を表したものである。なお、図3では1時間単位でイベント量が表示されているが、分あるいは秒単位で表示してもよい。ログ分析部104は時間軸上の分布から、離散フーリエ変換により、周波数軸上の分布を得る。時間軸上でn番目の観測点におけるイベント量をe(n)、周波数軸上でのk番目の周波数成分量をE(k)とすると(ただし、n,kは自然数)、N個(Nは自然数)の離散時間信号{e(n)},n=0,1,・・・,N−1が与えられたとき、その離散フーリエ変換は[数1]のように表される。なお、離散フーリエ変換を高速で行うFFT(Fast Fourier Transform)を行ってもよい。   In FIG. 3, the broken line a represents the average of the event amount at each time on weekdays over a predetermined period (for example, one month). A broken line b represents the average of the event amount at each time of holidays and holidays over a predetermined period. In FIG. 3, the event amount is displayed in units of one hour, but may be displayed in units of minutes or seconds. The log analysis unit 104 obtains a distribution on the frequency axis from the distribution on the time axis by discrete Fourier transform. If the event amount at the nth observation point on the time axis is e (n) and the kth frequency component amount on the frequency axis is E (k) (where n and k are natural numbers), N (N Is a natural number) discrete time signal {e (n)}, n = 0, 1,..., N−1, the discrete Fourier transform is expressed as [Equation 1]. In addition, you may perform FFT (Fast Fourier Transform) which performs a discrete Fourier transform at high speed.

Figure 0004060263
Figure 0004060263

図4は時間軸上の分布を周波数軸上の分布へ変換した例である。横軸は各周波数に対応した時間間隔(時間、日、週、月、年)を示しており、縦軸はイベント量を示している。続いてログ分析部104は、隣接する複数の周波数が同じグループとなるように、周波数軸上の分布を所定のグループに分割する(グループ化)。グループ化としては静的グループ化と動的グループ化とが挙げられる。静的グループ化は、時間/日/週/月/年という固定的な時間単位でグループ化を行うものである。この場合、ログ分析部104は所定の周波数ごとにイベントをグループ化し、各グループを識別する情報と、そのグループ内のイベント総量を示す情報とを記憶部103に格納する。   FIG. 4 shows an example in which the distribution on the time axis is converted to the distribution on the frequency axis. The horizontal axis indicates the time interval (hour, day, week, month, year) corresponding to each frequency, and the vertical axis indicates the event amount. Subsequently, the log analysis unit 104 divides the distribution on the frequency axis into predetermined groups (grouping) so that a plurality of adjacent frequencies are in the same group. Examples of grouping include static grouping and dynamic grouping. In the static grouping, grouping is performed in fixed time units of time / day / week / month / year. In this case, the log analysis unit 104 groups events for each predetermined frequency, and stores information for identifying each group and information indicating the total amount of events in the group in the storage unit 103.

動的グループ化は、各グループ内のイベントの総量がほぼ等しくなるように、近隣の周波数成分をまとめて同じグループにするものである。図5は図4の分布を6つのグループにグループ化した様子を示している。この場合も、ログ分析部104は所定の周波数ごとにイベントをグループ化し、各グループを識別する情報と、そのグループ内のイベント総量を示す情報とを記憶部103に格納する。動的グループ化においては、ログ分析部104は以下のようにグループ化を行う。例えば、イベントを6グループに分割し、各グループ内のイベント量が総イベント量の約6分の1となるようにグループ化することにする。図5において、左のイベント(低周波数領域のイベント)からイベント量を順に加算していき、その量が総イベント量の6分の1以上となったところで1つのグループとする。このとき、例えばイベント量の最下位の桁は四捨五入するなどの処理を行う。   In the dynamic grouping, neighboring frequency components are grouped together into the same group so that the total amount of events in each group is substantially equal. FIG. 5 shows how the distribution of FIG. 4 is grouped into six groups. Also in this case, the log analysis unit 104 groups events for each predetermined frequency, and stores in the storage unit 103 information for identifying each group and information indicating the total amount of events in the group. In the dynamic grouping, the log analysis unit 104 performs grouping as follows. For example, the event is divided into 6 groups, and the event amount in each group is grouped so that it is about 1/6 of the total event amount. In FIG. 5, the event amount is added in order from the left event (low frequency region event), and when the amount becomes 1/6 or more of the total event amount, one group is formed. At this time, for example, the lowest digit of the event amount is rounded off.

あるいは、左のイベントからイベント量を加算していき、その量が総イベント量の6分の1を超えたところで1つのグループとする。以上の方法により、1つ目のグループ化を行い、次のグループに関してはイベント量が残りのイベント量の約5分の1となるように、上述した方法と同様に2つ目のグループ化を行う。さらに次のグループに関しても同様に、イベント量が残りのイベント量の約4分の1となるように、3つ目のグループ化を行う。これを繰り返し行うことにより、イベントを6グループに分割する。なお、上述した方法は一例であり、各グループ内のイベント量がほぼ均等となるようにグループ化できれば、その方法は問わない。   Alternatively, the event amount is added from the left event, and one group is formed when the amount exceeds 1/6 of the total event amount. By the above method, the first grouping is performed, and for the next group, the second grouping is performed in the same manner as described above so that the event amount is about one fifth of the remaining event amount. Do. Further, for the next group, similarly, the third grouping is performed so that the event amount is about one fourth of the remaining event amount. By repeating this, the event is divided into 6 groups. Note that the above-described method is an example, and any method can be used as long as it can be grouped so that the amount of events in each group is substantially equal.

続いて、ログ分析部104は各グループ内のイベントの総量に基づいて以下の分析を行う。ログ分析部104が行う分析としては、
(a)頻度分析
(b)比率分析
(c)稀率分析
が挙げられる。
Subsequently, the log analysis unit 104 performs the following analysis based on the total amount of events in each group. The analysis performed by the log analysis unit 104 includes:
(A) Frequency analysis (b) Ratio analysis (c) Rare rate analysis.

頻度分析を行う場合、ログ分析部104は時間軸上の分布を周波数軸上に変換した分布(例えば図3)を分析結果として、あるいは時間軸上の分布を周波数軸上に変換した分布に対して静的グループ化を行い、各グループ内の頻度量(イベント総量)を頻度量順に並べたものを分析結果としてインタフェース部105へ出力する。分析結果はインタフェース部105からWebブラウザ301へ出力され、Webブラウザ301において図3のような周波数分布が表示されたり、時間/日/週/月/年ごとの頻度量がグラフあるいは数値によって頻度量順に表示されたりする。   When performing frequency analysis, the log analysis unit 104 uses a distribution obtained by converting a distribution on the time axis on the frequency axis (for example, FIG. 3) as an analysis result, or a distribution obtained by converting the distribution on the time axis on the frequency axis. Then, static grouping is performed, and frequency amounts (event total amounts) in each group are arranged in order of frequency amounts, and output to the interface unit 105 as analysis results. The analysis result is output from the interface unit 105 to the web browser 301. The frequency distribution as shown in FIG. 3 is displayed on the web browser 301, or the frequency amount for each time / day / week / month / year is represented by a graph or numerical value. They are displayed in order.

比率分析においては、グループ化によって生成された複数のグループのうち、一つのグループに注目し、そのグループ内のイベント総量に基づいた分析を行う。注目したグループは元々、図2で示したように、所定期間のイベント量の平均に基づいて得られたものであり、この所定期間のデータに基づいて得られたイベント総量を短期プロファイルと定義する。また、過去の複数の所定期間について、上記と同様の操作によって得られた複数の短期プロファイルの平均を長期プロファイルと定義する。比率分析においては、短期プロファイルと長期プロファイルとの比率を異常値として評価する。図6は比率分析モデルの一例を示している。   In the ratio analysis, attention is paid to one group among a plurality of groups generated by grouping, and analysis based on the total amount of events in the group is performed. The group of interest was originally obtained based on the average amount of events over a predetermined period, as shown in FIG. 2, and the total amount of events obtained based on the data over the predetermined period is defined as a short-term profile. . In addition, for a plurality of past predetermined periods, an average of a plurality of short-term profiles obtained by the same operation as described above is defined as a long-term profile. In the ratio analysis, the ratio between the short-term profile and the long-term profile is evaluated as an abnormal value. FIG. 6 shows an example of the ratio analysis model.

図において、Eは過去の複数の所定期間において特定のグループについて得られたイベント総量(E〜El0)の平均を示す。短期プロファイルをEとすると、短期プロファイルに対する長期プロファイルの比率Dは[数2]のように表される。短期プロファイルは記憶部103に格納され、ログ分析部104は記憶部103から過去の複数の短期プロファイルを読み出して、長期プロファイルを作成する。あるいは、記憶部103に過去のログを複数格納するようにしておき、それらのログから長期プロファイルを作成するようにしてもよい。 In the figure, E l indicates the average of the total event amount (E 1 to E 10 ) obtained for a specific group in a plurality of past predetermined periods. With short-term profile and E s, the ratio D of long-term profile for short-term profile is expressed as [Equation 2]. The short-term profile is stored in the storage unit 103, and the log analysis unit 104 reads a plurality of past short-term profiles from the storage unit 103 and creates a long-term profile. Alternatively, a plurality of past logs may be stored in the storage unit 103, and a long-term profile may be created from these logs.

Figure 0004060263
Figure 0004060263

グループ化が静的グループ化によって行われる場合は、分割の際に、時間/日/週/月/年のような周波数単位で分割が行われ、分割の境界となる周波数は固定される。一方、グループ化が動的グループ化によって行われる場合は、上述した方法でそのままグループ化を行うと、分割の境界となる周波数が過去の複数の短期プロファイル間で異なる場合がある。そこで、グループ化を動的グループ化によって行う場合は、以下のとおりとする。   When grouping is performed by static grouping, division is performed in units of frequency such as time / day / week / month / year, and the frequency that is the boundary of division is fixed. On the other hand, when the grouping is performed by dynamic grouping, if the grouping is performed as it is by the above-described method, the frequency serving as the boundary of division may be different among a plurality of past short-term profiles. Therefore, when grouping is performed by dynamic grouping, it is as follows.

まず、長期プロファイルを求めるにあたっては、ログ分析部104は過去のある所定期間におけるデータから、上述した動的グループ化により、特定のグループのイベント総量を求める。続いて、ログ分析部104はその動的グループ化における分割形態(分割数やグループごとの分割の境界の周波数)を情報として記憶部103に格納する。ログ分析部104はこの分割形態に関する情報を記憶部103から読み出して参照しながら、過去の他の所定期間における周波数分布のグループ化を同じ分割形態で行う。そして、ログ分析部104はそれらの周波数分布のそれぞれについて、特定のグループのイベント総量を求め、それら複数のイベント総量の平均を算出し、長期プロファイルを求める。また、ログ分析部104は分析対象となる所定期間における周波数分布のグループ化を上記の分割形態に従って行い、短期プロファイルを求める。   First, when obtaining the long-term profile, the log analysis unit 104 obtains the total event amount of a specific group from the data in a predetermined period in the past by the dynamic grouping described above. Subsequently, the log analysis unit 104 stores the division form (number of divisions and division boundary frequency for each group) in the dynamic grouping in the storage unit 103 as information. The log analysis unit 104 reads out information related to the division form from the storage unit 103 and refers to the information while grouping frequency distributions in other past predetermined periods in the same division form. Then, the log analysis unit 104 obtains the total event amount of a specific group for each of these frequency distributions, calculates the average of the plurality of event total amounts, and obtains a long-term profile. Further, the log analysis unit 104 performs grouping of frequency distributions in a predetermined period to be analyzed according to the above-described division form to obtain a short-term profile.

次に、稀率分析においては、イベント総量の平均と標準偏差とを用いて、出力数が様々に変動するイベントの異常性を評価する。統計分析において、95%信頼区間という指標がよく利用されているが、ここでの稀率分析とは、この信頼区間の補集合を算出するものである。図7は所定期間における稀率分析モデルの一例を示している。Eは過去の複数のイベント総量の平均(長期プロファイル)であり、SDは標準偏差である。横軸は平均値Eからの距離を、標準偏差SDを単位として表し、縦軸は、イベント総量が横軸で示される値となったグループ数を表している。標準偏差SDは[数3]より求められる。短期プロファイルが長期プロファイルEよりも大きな場合の上側稀率Rを[数4]、小さな場合の下側稀率Rを[数5]のように定義する。E、E、・・・Eは過去の複数の所定期間において特定のグループについて得られたイベント総量である。 Next, in the rare rate analysis, the anomaly of an event in which the number of outputs varies variously is evaluated using the average and standard deviation of the total amount of events. In the statistical analysis, an index of 95% confidence interval is often used. The rare rate analysis here is to calculate a complement of this confidence interval. FIG. 7 shows an example of a rare rate analysis model in a predetermined period. El is the average (long-term profile) of the past total amount of events, and SD is the standard deviation. The abscissa represents the distance from the average value El , with the standard deviation SD as a unit, and the ordinate represents the number of groups whose total event amount is the value indicated on the abscissa. The standard deviation SD is obtained from [Equation 3]. The upper rare rate R u when the short-term profile is larger than the long-term profile E l is defined as [Equation 4], and the lower rare rate R l when the short-term profile is smaller is defined as [Equation 5]. E 1 , E 2 ,... E k are the total amount of events obtained for a specific group in a plurality of past predetermined periods.

Figure 0004060263
Figure 0004060263

Figure 0004060263
Figure 0004060263

Figure 0004060263
Figure 0004060263

[数4]および[数5]において、f(E)は正規分布の密度関数であり、以下の[数6]で表される。なお、上記の例においては、稀率計算のための攻撃の分布を正規分布と仮定しているが、f(E)として指数分布やガンマ分布などの関数を適宜選択してもよい。   In [Equation 4] and [Equation 5], f (E) is a density function of a normal distribution, and is expressed by the following [Equation 6]. In the above example, it is assumed that the attack distribution for calculating the rare rate is a normal distribution, but a function such as an exponential distribution or a gamma distribution may be appropriately selected as f (E).

Figure 0004060263
Figure 0004060263

ログ分析部104は、上述した比率分析および稀率分析によって算出された異常値であるD、R、およびRを分析結果としてインタフェース部105へ出力する。分析結果はインタフェース部105からセキュリティオペレーションセンター30のWebブラウザ301へ出力され、Webブラウザ301において分析結果が表示される。ネットワークの運用者はD、R、およびRに関しての判断を以下のように行えばよい。 The log analysis unit 104 outputs the abnormal values D, R u , and R 1 calculated by the above-described ratio analysis and rare rate analysis to the interface unit 105 as analysis results. The analysis result is output from the interface unit 105 to the Web browser 301 of the security operation center 30, and the analysis result is displayed on the Web browser 301. The network operator may make a determination regarding D, R u , and R l as follows.

まず、D>1.0もしくはR≒0.0%の場合は、特定の周期性を持つ新たな攻撃がインターネット上に出回っていること、内部ホストが周期的にワームに感染していること、DDoS(Destributed Denial of Service)攻撃(攻撃者がインターネット上のセキュリティに弱い複数のWebサイトに侵入して攻撃拠点とし、複数の攻撃拠点に仕込んだプログラムを同時に動作させて、攻撃ターゲットのサーバに大量のパケットを送りつけ、サーバの機能を停止してしまう攻撃)などによる短期のイベント量が特定の周期で急増したことを示している。 First, if D> 1.0 or R u ≈0.0%, new attacks with a specific periodicity are circulating on the Internet, and internal hosts are periodically infected with worms. , DDoS (Destroyed Denial of Service) attack (intruder enters multiple websites vulnerable to security on the Internet to make it an attack base, and simultaneously operates the programs prepared in multiple attack bases to serve as the attack target server This shows that the amount of short-term events, such as attacks that send a large number of packets and stop the server's function, has increased rapidly in a specific cycle.

また、D≒0.0もしくはR≒0.0%の場合は、周期的に出力され続けていたアラームが急に減少もしくは無くなるか、攻撃により機器が停止した状態である。また、D≒1.0もしくはR、R≒50.0%の場合は、普段から検知され続けているログを見分けることができる。これは、既に対策が施されている攻撃、もしくは誤検知されやすいイベントであり、特に注意する必要はない。ネットワークの運用者は、ログ分析装置10から出力されるD、R、およびR等の値に基づいて、上述した評価を行えばよい。 When D≈0.0 or R l ≈0.0%, the alarms that have been output periodically are suddenly reduced or eliminated, or the device is stopped due to an attack. Further, when D≈1.0 or R u , R l ≈50.0%, it is possible to distinguish a log that has been continuously detected. This is an attack for which countermeasures have already been taken, or an event that is easily misdetected, and does not require special attention. The network operator may perform the above-described evaluation based on values such as D, R u , and R l output from the log analysis device 10.

なお、上述した分析処理による結果の判断に関して、ネットワークの運用者は以下のようにしてネットワークの状態を判断してもよい。ウィルスやワームの中には特定の時期に活動するものがあり、そのようなものは周波数依存性を持っている。また、周波数依存性を持たないウィルスやワームであっても、ネットワーク上のコンピュータの周期的な動作(例えばON・OFFなど)によって活動に周期性が現れることがある。ウィルスやワームの活動(感染)日カレンダーがインターネットセキュリティを扱う会社などによって公開されており、その活動日を参照することにより、分析対象のネットワークに対する攻撃の種類を判断することができる。   Regarding the determination of the result by the analysis processing described above, the network operator may determine the state of the network as follows. Some viruses and worms are active at specific times, and such are frequency dependent. Even with viruses and worms that do not have frequency dependency, periodicity may appear in the activity due to the periodic operation of the computer on the network (for example, ON / OFF). Virus and worm activity (infection) date calendars are published by companies that handle Internet security, and by referring to the activity date, the type of attack on the network to be analyzed can be determined.

上述した分析処理においては、分析対象のネットワークを固定し、短期プロファイルが長期プロファイルに対してどの程度異常であるかを評価する手法を示したが、以下のような分析処理を行うこともできる。すなわち、分析対象の期間を固定したときに、分析対象のネットワークで検知された特定のパラメータに関するイベントの周波数分布における特定のグループのイベント総量(自網プロファイルと定義する)が、他の複数のネットワークで検知された同じ特定のパラメータに関するイベントの周波数分布における特定のグループのイベント総量の平均(他網プロファイルと定義する)に対してどの程度異常であるかを評価する手法である。   In the analysis process described above, a technique for fixing the network to be analyzed and evaluating how abnormal the short-term profile is with respect to the long-term profile has been shown, but the following analysis process can also be performed. That is, when the period to be analyzed is fixed, the total amount of events of a specific group (defined as the own network profile) in the frequency distribution of events related to specific parameters detected in the network to be analyzed is a plurality of other networks. This is a method for evaluating how abnormal the average total event amount (defined as other network profile) of a specific group in the frequency distribution of events related to the same specific parameter detected in (1) is.

例えば、比率分析において、分析対象のネットワークにおける自網プロファイルをEとし、このネットワークを含まない他の各ネットワークにおける他網プロファイルをEとすると、比率Dは以下の[数7]のように表される。同様にして、稀率分析における上側稀率および下側稀率を計算することができる。 For example, in the ratio analysis, if the local network profile in the network to be analyzed is E m and the other network profile in each of the other networks not including this network is E o , the ratio D is expressed by the following [Equation 7]. expressed. Similarly, the upper and lower rare rates in the rare rate analysis can be calculated.

Figure 0004060263
Figure 0004060263

以上のように時間軸上の分布を周波数軸上の分布に変換し、頻度分析・比率分析・稀率分析を行うことにより、攻撃の周期性に着目したログ分析を行うことができる。また、周波数分布として得られたイベントのグループ化を行うことにより、計算対象となる変数の数を減らすことができるので、異常値の算出に要する時間を低減することができる。また、グループ化によってネットワーク全体のログの傾向を大きく捉えることができると共に、異常に関する誤検出の低減により、分析の信頼性を向上させることができる。   As described above, log analysis focusing on the periodicity of attacks can be performed by converting the distribution on the time axis to the distribution on the frequency axis and performing frequency analysis, ratio analysis, and rare rate analysis. In addition, by grouping events obtained as a frequency distribution, the number of variables to be calculated can be reduced, so that the time required to calculate an abnormal value can be reduced. In addition, it is possible to greatly grasp the log tendency of the entire network by grouping, and it is possible to improve the reliability of analysis by reducing false detection regarding abnormality.

次に、ログ分析部104が分析処理において行う他の処理について説明する。各種のネットワーク機器から出力されるログの曖昧度(エントロピー)を評価することにより、ネットワークの異常を検出することができる。例えば、攻撃を受けていない通常の状態ではログの曖昧度は大きいが、DDoS攻撃を受けていたり、ウィルス感染が蔓延していたりする状態では、ログに出力されるイベントに偏りが発生するため、ログの曖昧度が小さくなる。したがって、ログの曖昧度を分析すれば、ネットワークの状態を把握することができる。   Next, another process performed by the log analysis unit 104 in the analysis process will be described. A network abnormality can be detected by evaluating the ambiguity (entropy) of logs output from various network devices. For example, in the normal state where there is no attack, the log ambiguity is large, but in the state where a DDoS attack or virus infection is prevalent, the events output to the log are biased, Log ambiguity is reduced. Therefore, if the ambiguity of the log is analyzed, the state of the network can be grasped.

以下、エントロピーの算出によってネットワークの異常度を検出する手法について述べる。ログ分析部104は図5のようにグループ化された周波数軸上の分布における各周波数帯のイベント量からエントロピーを算出する。まず、総イベント量Eを[数8]により算出する(kは周波数帯の数)。そして、ある周波数帯におけるイベント量をeとし、各周波数帯の相対頻度を[数9]により算出する。そして、分析対象のパラメータのエントロピーを[数10]により算出する。 In the following, a method for detecting the degree of network abnormality by calculating entropy will be described. The log analysis unit 104 calculates entropy from the event amount in each frequency band in the grouped distribution on the frequency axis as shown in FIG. First, the total event amount E is calculated by [Equation 8] (k is the number of frequency bands). Then, the event the amount in a certain frequency band and e i, is calculated by the relative frequency of each frequency band [Equation 9]. Then, the entropy of the parameter to be analyzed is calculated by [Equation 10].

Figure 0004060263
Figure 0004060263

Figure 0004060263
Figure 0004060263

Figure 0004060263
Figure 0004060263

ログ分析部104は同様に、複数の過去のイベントの周波数軸上の分布に基づいて、各分布ごとにエントロピーを算出し、前述した比率分析や稀率分析を行う。例えば、比率分析の場合、ログ分析部104は分析対象の所定期間における分布に基づいて求めたエントロピー(短期プロファイル)と、過去の複数の所定期間における分布に基づいて求めた複数のエントロピーの平均(長期プロファイル)との比を算出する。   Similarly, the log analysis unit 104 calculates entropy for each distribution based on the distribution on the frequency axis of a plurality of past events, and performs the above-described ratio analysis and rare rate analysis. For example, in the case of ratio analysis, the log analysis unit 104 calculates an entropy (short-term profile) obtained based on a distribution in a predetermined period to be analyzed and an average of a plurality of entropies obtained based on distributions in a plurality of past predetermined periods ( The ratio to the long-term profile is calculated.

また、稀率分析の場合、ログ分析部104は分析対象の所定期間における分布に基づいてエントロピー(短期プロファイル)を算出すると共に、複数の過去のイベントの周波数軸上の分布に基づいて各分布のエントロピーとそれらの標準偏差を算出する。そして、複数の過去のイベントの周波数軸上の分布に基づいて算出した各分布のエントロピーの確率分布を求め、その確率分布におけるエントロピー値が短期プロファイル以上となる上側稀率または短期プロファイル以下となる下側稀率を算出する。   Further, in the case of rare rate analysis, the log analysis unit 104 calculates entropy (short-term profile) based on the distribution of the analysis target for a predetermined period, and based on the distribution on the frequency axis of a plurality of past events, Calculate entropies and their standard deviations. Then, the probability distribution of the entropy of each distribution calculated based on the distribution on the frequency axis of a plurality of past events is obtained, and the entropy value in the probability distribution is lower than the upper rare rate or the short-term profile below the short-term profile. Calculate the side rare rate.

エントロピーを算出してから比率分析あるいは稀率分析を行うことは以下の利点を有する。分析対象のパラメータにおける特定のイベント種別に注目して比率分析や稀率分析を行う場合、分析対象の一部の周波数(グループ)に関する詳細なデータを得ることができるが、全ての周波数に対して比率分析や稀率分析を行うには作業工数が掛かり、分析対象全体の概要を把握するには適していない。   Performing ratio analysis or rare rate analysis after calculating entropy has the following advantages. When performing ratio analysis or rare rate analysis focusing on a specific event type in the analysis target parameter, detailed data on some frequencies (groups) of the analysis target can be obtained, but for all frequencies It takes a lot of work to perform ratio analysis and rare rate analysis, and it is not suitable for grasping the outline of the entire analysis target.

一方、分析対象のイベントの周波数軸上の分布の全イベント量に基づいてエントロピーを算出し、比率分析や稀率分析を行う場合、分析対象全体にわたる曖昧度を示すエントロピーを使用するので、分析対象全体の概要を把握するのに適している。さらに、前述したイベントのグループ化を行うことにより、エントロピーの算出に用いられる変数の数を大幅に減らすことができるので、異常値の算出に要する時間を大幅に低減することができ、攻撃をリアルタイムに検知することができる。   On the other hand, when entropy is calculated based on the total event amount of the distribution of events to be analyzed on the frequency axis, and ratio analysis and rare rate analysis are performed, entropy indicating the ambiguity over the entire analysis target is used, so the analysis target Suitable for getting an overview of the whole. Furthermore, by grouping the events described above, the number of variables used for entropy calculation can be greatly reduced, so the time required to calculate outliers can be greatly reduced, and attacks can be performed in real time. Can be detected.

また、イベントのグループ化において、前述した動的グループ化を行うことは以下の利点を有する。ログ分析部104は長期プロファイル(あるいは他網プロファイル)の算出において動的グループ化を行う。このとき、長期にわたる分析結果が平均化されることにより、長期プロファイルは曖昧度の高い状態となる。この状態でエントロピーを算出すると、エントロピーは高くなる。   Further, in the event grouping, the above-described dynamic grouping has the following advantages. The log analysis unit 104 performs dynamic grouping in calculating a long-term profile (or other network profile). At this time, long-term profiles are in a state of high ambiguity by averaging the long-term analysis results. When entropy is calculated in this state, the entropy increases.

続いて、ログ分析部104は長期プロファイルの算出に用いられた分割形態を用いてイベントをグループ化し、各グループ内のイベント総量に基づいてエントロピーを算出する。周期性を持った攻撃が短期的に(あるいは自網に対して)行われた場合、特定のグループ内のイベント総量が多くなるので、曖昧度の低い状態となる。この状態でエントロピーを算出すると、エントロピーは長期プロファイル(あるいは他網プロファイル)よりも小さくなるので、このエントロピー変化を、比率分析あるいは稀率分析を用いて検出することにより、ネットワークの異常度を客観的に評価することができる。   Subsequently, the log analysis unit 104 groups events using the division form used for calculating the long-term profile, and calculates entropy based on the total amount of events in each group. When an attack with periodicity is performed in the short term (or against the own network), the total amount of events in a specific group increases, resulting in a state of low ambiguity. When entropy is calculated in this state, the entropy is smaller than the long-term profile (or other network profile). Therefore, by detecting this entropy change using ratio analysis or rare rate analysis, the degree of network abnormality can be objectively detected. Can be evaluated.

図8〜図12は上述した分析処理におけるログ分析部104の動作を示すフローチャートである。以下、フローチャートを用いて各場合のログ分析部104の動作を説明する。図8は前述した頻度分析を行う場合のログ分析部104の動作を示すフローチャートである。ログ分析部104は図2のステップS22で記憶部103から読み出したパラメータに関するイベントのイベント量に基づいて、イベントの時間軸上の分布を求め、その分布に対して離散フーリエ変換を行い、周波数軸上の分布を求め、この分布を分析結果として記憶部103に保存する(ステップS2301)。   8 to 12 are flowcharts showing the operation of the log analysis unit 104 in the analysis processing described above. Hereinafter, the operation of the log analysis unit 104 in each case will be described using a flowchart. FIG. 8 is a flowchart showing the operation of the log analysis unit 104 when performing the frequency analysis described above. The log analysis unit 104 obtains a distribution on the time axis of the event based on the event amount related to the parameter read from the storage unit 103 in step S22 in FIG. 2, performs a discrete Fourier transform on the distribution, An upper distribution is obtained, and this distribution is stored in the storage unit 103 as an analysis result (step S2301).

図9はグループ化を行ってから頻度分析を行う場合のログ分析部104の動作を示すフローチャートである。ステップS2302の動作は図8のステップS2301の動作と同様である。続いて、ログ分析部104は所定の周波数ごとに、近隣の周波数帯に属するイベントをグループ化(静的グループ化)する(ステップS2303)。ログ分析部104は各グループ内の頻度量(イベント総量)を頻度量順に並べたものを分析結果として記憶部103に記憶する(ステップS2304)。   FIG. 9 is a flowchart showing the operation of the log analysis unit 104 when frequency analysis is performed after grouping. The operation in step S2302 is the same as the operation in step S2301 in FIG. Subsequently, the log analysis unit 104 groups (static group) events belonging to neighboring frequency bands for each predetermined frequency (step S2303). The log analysis unit 104 stores the frequency amount (event total amount) in each group in order of frequency amount in the storage unit 103 as an analysis result (step S2304).

図10はグループ化を行い、比率分析または稀率分析を行う場合のログ分析部104の動作を示すフローチャートである。ステップS2305の動作は図8のステップS2301の動作と同様である。続いて、ログ分析部104は所定の周波数ごとにイベントをグループ化する(ステップS2306)。ログ分析部104は各グループ内のイベントの総量に基づいて比率分析または稀率分析を行い、分析結果を記憶部103に保存する(ステップS2307)。なお、ログ分析部104は比率分析と稀率分析の両方を行ってもよい。   FIG. 10 is a flowchart showing the operation of the log analysis unit 104 when grouping is performed and ratio analysis or rare rate analysis is performed. The operation in step S2305 is the same as the operation in step S2301 in FIG. Subsequently, the log analysis unit 104 groups events for each predetermined frequency (step S2306). The log analysis unit 104 performs ratio analysis or rare rate analysis based on the total amount of events in each group, and stores the analysis result in the storage unit 103 (step S2307). The log analysis unit 104 may perform both ratio analysis and rare rate analysis.

図12はグループ化を行ってからエントロピーを算出し、求めたエントロピーに対して比率分析または稀率分析を行う場合のログ分析部104の動作を示すフローチャートである。ステップS2308〜ステップS2309の動作は図9のステップS2302〜ステップS2303の動作と同様である。ステップS2310においては、ログ分析部104は図5のような周波数軸上の分布における各周波数帯のイベント量に基づいてエントロピーを算出する。続いて、ログ分析部104は比率分析または稀率分析を行い、分析結果を記憶部103に保存する(ステップS2311)。   FIG. 12 is a flowchart showing the operation of the log analysis unit 104 when entropy is calculated after grouping and ratio analysis or rare rate analysis is performed on the obtained entropy. The operations in steps S2308 to S2309 are the same as the operations in steps S2302 to S2303 in FIG. In step S2310, the log analysis unit 104 calculates entropy based on the event amount of each frequency band in the distribution on the frequency axis as shown in FIG. Subsequently, the log analysis unit 104 performs ratio analysis or rare rate analysis, and stores the analysis result in the storage unit 103 (step S2311).

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態におけるログ分析装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。   As described above, the embodiments of the present invention have been described in detail with reference to the drawings, but the specific configuration is not limited to these embodiments, and includes design changes and the like within a scope not departing from the gist of the present invention. It is. For example, the log analysis device in the above-described embodiment records a program for realizing the operation and function on a computer-readable recording medium, and causes the computer to read and execute the program recorded on the recording medium. May be realized.

ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上述したログ分析プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したログ分析プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The log analysis program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the log analysis program described above may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.

この発明の一実施形態によるログ分析装置10を備えたネットワークの構成を示す構成図である。It is a block diagram which shows the structure of the network provided with the log analyzer 10 by one Embodiment of this invention. 同実施形態におけるログ分析装置10の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the log analyzer 10 in the same embodiment. 同実施形態においてイベント量を時間軸上で表したグラフである。It is the graph which represented the event amount on the time axis in the same embodiment. 同実施形態においてイベント量を周波数軸上で表したグラフである。It is the graph which represented the event amount on the frequency axis in the same embodiment. 同実施形態において周波数軸上の分布をグループ化した例を示すグラフである。It is a graph which shows the example which grouped distribution on a frequency axis in the embodiment. 同実施形態における比率分析モデルを示す図である。It is a figure which shows the ratio analysis model in the same embodiment. 同実施形態における稀率分析モデルを示す図である。It is a figure which shows the rare rate analysis model in the embodiment. 同実施形態におけるログ分析装置10の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the log analyzer 10 in the same embodiment. 同実施形態におけるログ分析装置10の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the log analyzer 10 in the same embodiment. 同実施形態におけるログ分析装置10の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the log analyzer 10 in the same embodiment. 同実施形態におけるログ分析装置10の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the log analyzer 10 in the same embodiment.

符号の説明Explanation of symbols

10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・Webブラウザ。

DESCRIPTION OF SYMBOLS 10 ... Log analyzer, 20, 21, 22 ... Network, 30 ... Security operation center, 101 ... Log collection part, 102 ... Log storage part, 103 ... Storage part, 104 ... Log analysis part, 105 ... Interface part, 301 ... Web browser.

Claims (11)

ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、
前記ネットワーク機器から出力されるログを収集する収集手段と、
前記収集手段によって収集された前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換する変換手段と、
前記変換手段によって生成された前記周波数軸上の分布を複数のグループに分割するグループ化を行い、前記変換手段によって生成された前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化するグループ化手段と、
前記グループ化手段によってグループ化された前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するエントロピー算出手段と、
前記エントロピー算出手段によって算出された前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段と、
を具備することを特徴とするログ分析装置。
In a log analyzer that performs analysis processing based on logs collected from network devices,
Collecting means for collecting logs output from the network device;
Conversion means for obtaining a distribution on the time axis of events belonging to the parameters in the log collected by the collecting means, and converting the distribution on the time axis to a distribution on the frequency axis;
The have line grouping to divide the distribution on the frequency axis generated in the plurality of groups by the conversion unit, for each frequency of the event in the distribution on the frequency axis generated by the conversion means, each group Grouping means for grouping the events so that the total amount of events in the
Entropy calculating means for calculating an entropy value based on the amount of events in each group in the distribution on the frequency axis grouped by the grouping means;
Based on the entropy value calculated by the entropy calculating means, an abnormal value calculating means for calculating a value related to the degree of network abnormality,
A log analyzer characterized by comprising:
前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
前記異常値算出手段は、前記エントロピー算出手段によって算出された特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出する
ことを特徴とする請求項に記載のログ分析装置。
The distribution on the frequency axis belongs to the parameter in the log, and is a distribution related to events within a predetermined period,
The abnormal value calculating unit calculates a ratio between a first entropy value related to the distribution in a specific predetermined period calculated by the entropy calculating unit and second entropy values related to the plurality of distributions related to a predetermined period in the past. The log analyzer according to claim 1 , wherein:
前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
前記異常値算出手段は、前記エントロピー算出手段によって算出された前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出する
ことを特徴とする請求項に記載のログ分析装置。
The distribution on the frequency axis belongs to a parameter in the log and relates to a first distribution relating to an event of a specific network, and relates to an event of a plurality of other networks belonging to the parameter in the log and excluding the specific network A second distribution,
The abnormal value calculating means calculates a ratio between a first entropy value related to the first distribution calculated by the entropy calculating means and a second entropy value related to the second distribution. The log analysis device according to claim 1 .
前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
前記エントロピー算出手段は、前記グループ化手段によってグループ化された特定の所定期間における前記分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、
前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
ことを特徴とする請求項に記載のログ分析装置。
The distribution on the frequency axis belongs to the parameter in the log, and is a distribution related to events within a predetermined period,
The entropy calculating means includes a first entropy value relating to the distribution in a specific predetermined period grouped by the grouping means, and a plurality of distributions relating to the plurality of distributions relating to past predetermined periods grouped by the grouping means. The entropy value of 2 and
The abnormal value calculation means calculates a probability distribution of the second entropy value, and calculates an upper rare rate or a lower rare rate with respect to the first entropy value based on the probability distribution. The log analyzer according to 1 .
前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他のネットワークのイベントに関する第2の分布とであり、
前記エントロピー算出手段は、前記グループ化手段によってグループ化された前記第1の分布に関する第1のエントロピー値と、前記グループ化手段によってグループ化された前記第2の分布に関する第2のエントロピー値とを算出し、
前記異常値算出手段は、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
ことを特徴とする請求項に記載のログ分析装置。
The distribution on the frequency axis belongs to a parameter in the log, and is a first distribution related to an event of a specific network, and a second distribution related to an event of a network other than the specific network belongs to the parameter in the log. And the distribution of
The entropy calculating means includes a first entropy value related to the first distribution grouped by the grouping means and a second entropy value related to the second distribution grouped by the grouping means. Calculate
The abnormal value calculation means calculates a probability distribution of the second entropy value, and calculates an upper rare rate or a lower rare rate with respect to the first entropy value based on the probability distribution. The log analyzer according to 1 .
ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、
前記ネットワーク機器から出力されるログを収集するステップと、
収集した前記ログ中のパラメータに属するイベントの時間軸上の分布を求め、該時間軸上の分布を周波数軸上の分布へ変換するステップと、
前記周波数軸上の分布を複数のグループに分割するグループ化を行、前記周波数軸上の分布における各周波数のイベントに対して、各グループ内のイベントの総量が均等に近づくように前記イベントをグループ化するステップと、
グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップと、
算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップと、
をコンピュータに実行させるためのログ分析プログラム。
In a log analysis method that performs analysis processing based on logs collected from network devices,
Collecting logs output from the network device;
Obtaining a distribution on the time axis of events belonging to the parameters in the collected logs, and converting the distribution on the time axis to a distribution on the frequency axis;
There line grouping to divide the distribution on the frequency axis into a plurality of groups, for each frequency of the event in the distribution on the frequency axis, the event as the total amount of the events in each group approaches equally Grouping steps;
Calculating an entropy value based on the amount of events in each group in the grouped distribution on the frequency axis;
Based on the calculated entropy value, calculating a value related to the degree of network abnormality,
Log analysis program to make a computer execute.
前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した特定の所定期間における前記分布に関する第1のエントロピー値と、過去の所定期間に関する複数の前記分布に関する第2のエントロピー値との比率を算出する
ことを特徴とする請求項に記載のログ分析プログラム。
The distribution on the frequency axis belongs to the parameter in the log, and is a distribution related to events within a predetermined period,
In the step of calculating the value related to the degree of network abnormality based on the calculated entropy value, the calculated first entropy value related to the distribution in the specific predetermined period and the plurality of distributions related to the past predetermined period. The log analysis program according to claim 6 , wherein a ratio with the second entropy value is calculated.
前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、算出した前記第1の分布に関する第1のエントロピー値と、前記第2の分布に関する第2のエントロピー値との比率を算出する
ことを特徴とする請求項に記載のログ分析プログラム。
The distribution on the frequency axis belongs to a parameter in the log and relates to a first distribution relating to an event of a specific network, and relates to an event of a plurality of other networks belonging to the parameter in the log and excluding the specific network A second distribution,
In the step of calculating the value related to the degree of network abnormality based on the calculated entropy value, the calculated first entropy value related to the first distribution and the second entropy value related to the second distribution; The log analysis program according to claim 6 , wherein the ratio is calculated.
前記周波数軸上の分布は、前記ログ中のパラメータに属し、所定期間内のイベントに関する分布であり、
前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した特定の所定期間における前記分布に関する第1のエントロピー値と、グループ化した過去の所定期間に関する複数の前記分布に関する第2のエントロピー値とを算出し、
前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
ことを特徴とする請求項に記載のログ分析プログラム。
The distribution on the frequency axis belongs to the parameter in the log, and is a distribution related to events within a predetermined period,
In the step of calculating an entropy value based on the amount of events in each group in the grouped distribution on the frequency axis, a first entropy value related to the distribution in a specific grouped period, and a group And calculating a second entropy value related to a plurality of the distributions related to the predetermined past period,
In the step of calculating a value related to the degree of network abnormality based on the calculated entropy value, a probability distribution of the second entropy value is obtained, and an upper rare rate or a lower rare rate related to the first entropy value is obtained. The log analysis program according to claim 6 , wherein: is calculated based on the probability distribution.
前記周波数軸上の分布は、前記ログ中のパラメータに属し、特定のネットワークのイベントに関する第1の分布と、前記ログ中のパラメータに属し、前記特定のネットワークを除く他の複数のネットワークのイベントに関する第2の分布とであり、
前記グループ化した前記周波数軸上の分布における各グループ内のイベントの量に基づいて、エントロピー値を算出するステップにおいては、グループ化した前記第1の分布に関する第1のエントロピー値と、グループ化した前記第2の分布に関する第2のエントロピー値とを算出し、
前記算出した前記エントロピー値に基づいて、ネットワークの異常度に関する値を算出するステップにおいては、前記第2のエントロピー値の確率分布を求め、前記第1のエントロピー値に関する上側稀率または下側稀率を前記確率分布に基づいて算出する
ことを特徴とする請求項に記載のログ分析プログラム。
The distribution on the frequency axis belongs to a parameter in the log and relates to a first distribution relating to an event of a specific network, and relates to an event of a plurality of other networks belonging to the parameter in the log and excluding the specific network A second distribution,
In the step of calculating the entropy value based on the amount of events in each group in the grouped distribution on the frequency axis, the first entropy value related to the grouped first distribution is grouped. Calculating a second entropy value for the second distribution;
In the step of calculating a value related to the degree of network abnormality based on the calculated entropy value, a probability distribution of the second entropy value is obtained, and an upper rare rate or a lower rare rate related to the first entropy value is obtained. The log analysis program according to claim 6 , wherein: is calculated based on the probability distribution.
請求項〜請求項10のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。 Any computer-readable recording medium which records a log analysis program according to the preceding claims 6 to claim 10.
JP2003387709A 2003-11-18 2003-11-18 Log analysis apparatus and log analysis program Expired - Fee Related JP4060263B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003387709A JP4060263B2 (en) 2003-11-18 2003-11-18 Log analysis apparatus and log analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003387709A JP4060263B2 (en) 2003-11-18 2003-11-18 Log analysis apparatus and log analysis program

Publications (2)

Publication Number Publication Date
JP2005151289A JP2005151289A (en) 2005-06-09
JP4060263B2 true JP4060263B2 (en) 2008-03-12

Family

ID=34694989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003387709A Expired - Fee Related JP4060263B2 (en) 2003-11-18 2003-11-18 Log analysis apparatus and log analysis program

Country Status (1)

Country Link
JP (1) JP4060263B2 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4523480B2 (en) * 2005-05-12 2010-08-11 株式会社日立製作所 Log analysis system, analysis method, and log analysis device
JP4558668B2 (en) * 2006-03-06 2010-10-06 株式会社Kddi研究所 Log analysis device, log analysis program, and recording medium
JP4883408B2 (en) * 2007-01-22 2012-02-22 独立行政法人情報通信研究機構 Method and apparatus for testing similarity between series data
JP2009171431A (en) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd Traffic analyzer, traffic analyzing method, and traffic analyzing system
EP3113061B1 (en) 2014-02-26 2018-11-28 Mitsubishi Electric Corporation Attack detection device, attack detection method, and attack detection program
KR101665369B1 (en) * 2015-06-10 2016-10-12 고려대학교 산학협력단 Method, device and computer readable recording medium for detecting botnet through dns traffics
WO2017115458A1 (en) * 2015-12-28 2017-07-06 日本電気株式会社 Log analysis system, method, and program
JP2019083355A (en) * 2016-02-22 2019-05-30 株式会社日立製作所 Communication control device and communication control method
JP7301181B2 (en) * 2017-10-11 2023-06-30 村上 真梨 Detection method, detection program and detection device
JP2019070995A (en) * 2017-10-11 2019-05-09 村上 真梨 Detection method, detection program, and detection device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4129207B2 (en) * 2003-07-18 2008-08-06 株式会社日立製作所 Intrusion analyzer

Also Published As

Publication number Publication date
JP2005151289A (en) 2005-06-09

Similar Documents

Publication Publication Date Title
JP6703613B2 (en) Anomaly detection in data stream
US11895145B2 (en) Systems and methods for automatically selecting an access control entity to mitigate attack traffic
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
EP2227889B1 (en) Method of detecting anomalies in a communication system using symbolic packet features
Barbosa et al. Towards periodicity based anomaly detection in SCADA networks
US20040250169A1 (en) IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program
JP4156540B2 (en) Log analysis device, log analysis program, and recording medium
CN107404465A (en) Network data analysis method and server
JP4558668B2 (en) Log analysis device, log analysis program, and recording medium
CN102340485A (en) Network security situation awareness system and method based on information correlation
Vaarandi et al. Using security logs for collecting and reporting technical security metrics
JP4060263B2 (en) Log analysis apparatus and log analysis program
JP4500921B2 (en) Log analysis apparatus, log analysis method, and log analysis program
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
Dainotti et al. Worm traffic analysis and characterization
JP4160002B2 (en) Log analysis device, log analysis program, and recording medium
KR100625096B1 (en) Method and system of predicting and alarming based on correlation analysis between traffic change amount and hacking threat rate
US8713141B1 (en) System and method for monitoring network activity
CN112217777A (en) Attack backtracking method and equipment
EP3826242B1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
JP4188203B2 (en) Log analysis apparatus, log analysis method, and log analysis program
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
US11463331B1 (en) Identification of beaconing from network communication events of network traffic log
JP2005128946A (en) Log analysis device, method, and program
RU2713759C1 (en) Method of detecting network attacks based on analyzing fractal traffic characteristics in an information computer network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050912

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070725

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071010

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071010

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071211

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071219

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4060263

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131228

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees