JP4317420B2 - サーバ計算機および通信ログの処理方法 - Google Patents

サーバ計算機および通信ログの処理方法 Download PDF

Info

Publication number
JP4317420B2
JP4317420B2 JP2003360475A JP2003360475A JP4317420B2 JP 4317420 B2 JP4317420 B2 JP 4317420B2 JP 2003360475 A JP2003360475 A JP 2003360475A JP 2003360475 A JP2003360475 A JP 2003360475A JP 4317420 B2 JP4317420 B2 JP 4317420B2
Authority
JP
Japan
Prior art keywords
log
server computer
communication
unified format
inspection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003360475A
Other languages
English (en)
Other versions
JP2005128609A (ja
Inventor
政和 神尾
幸一朗 宮崎
貴久 箱田
勝義 永友
常竹 石田
Original Assignee
安川情報システム株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 安川情報システム株式会社 filed Critical 安川情報システム株式会社
Priority to JP2003360475A priority Critical patent/JP4317420B2/ja
Publication of JP2005128609A publication Critical patent/JP2005128609A/ja
Application granted granted Critical
Publication of JP4317420B2 publication Critical patent/JP4317420B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、ネットワーク上に流れる通信/接続に関する履歴(通信ログ)の処理に関するものであり、特に、1以上の計算機が接続された通信網(ネットワーク)において、それぞれの計算機から送信される通信ログを用いて各計算機および通信網を管理するためのサーバ計算機、その通信ログを送信する計算機、あるいは、その通信ログの処理方法に関するものである。
従来の計算機ネットワークでは、例えば、UNIX(登録商標)/Linux(登録商標)のOS(オペレーティング・システム)で用いられる「syslog」や、Windows(登録商標)のOSで用いられる「Eventlog」、「SNMP」などのプロトコルを用いて、それぞれの計算機が通信を行った際の通信ログが送信され、これらの通信ログをサーバ計算機等に記録させることで、それぞれの計算機や、通信網を管理する手法が一般的に採用されている。
上記プロトコルの他にも、例えば、「Apache」などのアプリケーションが上述のOSなどに適用されており、これらのアプリケーションでは、通信ログが独自に生成され、通信網上にはさまざまなプロトコル、アプリケーションによる通信ログの送受信が行われている。
一方、通信網を経由して悪意ある情報(コンピュータウィルスやワーム)等を受信したり、不正なネットワーク接続(不正侵入行為そのものや、不正侵入を試みる行為)等が探知され、あるいは、通信障害等が発生した場合には、これらの記録された通信ログを調査することで、その悪意ある情報の発信元や接続元、あるいは障害の原因となっている装置・機器等を特定し、あるいは計算機および通信網を管理するなど、通信ログが積極的に利用されている。
さて、記録された通信ログを用いて、通信網接続された経路を探索する方法としては、例えば、特許文献1に記載された方法が知られている。この特許文献1に示された方法は、つぎに示すような処理を行うものとしている。
すなわち、不審な行為を発見するなどして、接続経路を探索すべき探索対象利用者を検出した計算機は、探索対象利用者に対応する論理的通信路を確立した計算機に対して、該探索対象利用者の利用時刻情報を含む探索要求を転送するステップを実行し、他の計算機から探索要求が転送された計算機は、該探索要求に含まれている探索対象利用者の利用時刻情報が示す利用時刻に自計算機を利用した利用者を選択する第1のステップと、第1のステップで選択した利用者に対応する論理的通信路を確立した計算機があるならば、該計算機に対して、探索対象利用者の利用時刻情報を含む探索要求を転送する第2のステップと、第1のステップで選択した利用者に対応する論理的通信路を確立した計算機がないならば、自計算機の計算機識別子、および、該利用者の自計算機での利用者識別子を探索結果とする第3のステップと、第2のステップで探索要求を転送しなかった場合には、第3のステップで得た探索結果を、自計算機に探索要求を転送した探索要求元の計算機に転送し、第2のステップで探索要求を転送した場合には、探索要求先の計算機から転送された探索結果、および、第3のステップで得た探索結果を、一括して、自計算機に探索要求を転送した探索要求元の計算機に転送する第4のステップとを実行して、一般的に広く採取可能な情報である通信ログのみを用いて、探索対象利用者の接続経路を探索するようにしている。
また、これら探索要求に合わせて探索用プログラムである探索エージェントを転送し、転送先の計算機でこの探索エージェントを起動させることで、複数確立された接続経路をたどって行きながら探索対象利用者を探索するようにしている。
特開平10−301877号公報(第10−14頁、第4および5図)。
しかしながら、特許文献1などに示される上述の方法(技術)では、以下に示すような問題があった。これらの問題点につて順を追って説明する。
まず、通信網上の計算機に障害が発生した場合には、障害調査として単一の計算機を調査するだけではなく、関連する計算機やアプリケーションなどが出力する複数の通信ログにまで範囲を広げて調査することが一般的である。その一方で、通信ログにはさまざまな形式(プロトコル)が存在していて、これらの形式が相違する通信ログ間では、互換性がないのが一般的である。必然的に、不正侵入を行う攻撃者もそのような瑕疵(互換性の不備)に着目し、追跡調査を困難にすることを狙って複数の通信網を経由させながら不正侵入を試みるような手法が一般的となる。したがって、前述の特許文献1などの手法では、検索対象者が発見されたとしても、その通信ログ探索の途中で、互換性のない通信ログを認識することができなくなることがあり、効果的な探索ができないという問題があった。
また、探索用プログラムを転送先の計算機で起動させるためには、OSなどの基本環境がそろっているという条件が必要となる。しかし、通信網上にある計算機のOSをすべて同じものにすることは事実上不可能である。結果として、通信ログ探索の途中でOSなどの基本環境が変わってしまうような場合には、探索用プログラムを起動できなくなることがあり、効果的な探索ができないという問題があった。さらに、探索用プログラムという比較的大きいサイズの情報を転送させる必要もあり、その通信ログの探索に要する全体的な通信量が増大し、トラフィックの遅延もしくは通信障害等を引き起こすという問題があった。
また、異常性判断を行うための表示手段においては、テキストファイル等の形式で記録された通信ログを調査して通信ログの内容をグラフ化するなどして、異常性判断を視覚的に行うことを重視したアプリケーションが多数存在している。しかし、通信ログの異常性判断の本質的な点は、経験則等から知得した人為的な判断および作業によって行う他、過去の侵入形態に関する特徴をあらかじめ具体的に定義し、その定義された特徴と合致するものを自動的に抽出するという手法に頼らざるを得ない状況にある。そのため、定義されていない新たな形態で不正侵入されたときには、人為的判断や侵入形態の特徴を定義するまでの間に、これらの侵入を許してしまうという問題があった。
さらに、通信技術の飛躍的進展により通信網の規模も増大し、接続される機器の数も増加する趨勢にある。このような状況下において、一箇所にすべての通信ログを集める場合には、接続される機器の増加に応じて通信ログを集積するサーバ計算機の能力の向上も要求され、その一方で、通信網の通信量の増大によるトラフィックの遅延、あるいは通信障害等を誘発するといった問題があった。
この発明は、上述した従来の欠点に鑑みてなされたものであり、通信網上にある各計算機のOSやプロトコルの違いを意識することなしに、形式(プロトコル)の互換性のない通信ログを統一的に扱うことができるサーバ計算機および計算機を提供するとともに通信ログの処理方法を提案することを第1の課題とする。
また、この発明は、通信網上にある各計算機から出力された通信ログに基づいて、速やかに悪意ある情報等を受信したり、不正なネットワーク接続等を探知したり、あるいは、通信障害等を探知したりすることができるサーバ計算機および計算機を提供するとともに通信ログの処理方法を提案することを第2の課題とする。
さらに、この発明は、各通信網において分散配置された通信ログの記録を連携させ、相互の通信網間で横断的に通信ログの探索を行うことができるサーバ計算機を提供するとともに通信ログの処理方法を提案することを第3の課題とする。
そこで、本発明の第1の課題を解決するため、本発明は、各プロトコルに対応したログ変換モジュールを用意しておき、通信網と接続された各計算機から通信ログを受信したときには、そのプロトコルに対応したログ変換モジュールによって特定の統一された形式に変換した上で記録させるものである。また、本発明による計算機は、一つの通信網内において接続された機器からの複数種類の通信ログを、一箇所に集中して管理させ、規模の増大に伴ってサーバ計算機の数を増やし、通信ログ集積用のサーバ計算機を連携させることで、規模の増大に伴う能力増強を図れるようにしたものである。
すなわち、本発明第1の構成によるサーバ計算機は、1以上の計算機が接続された通信網を管理するサーバ計算機であって、1以上のログ変換モジュールと、統一ログ受信モジュールと、当該通信網を介して、あるいは介さずして接続されたログ記憶装置とを備え、前記ログ変換モジュールは、前記通信網に接続された1以上の計算機のそれぞれから受信したプロトコルの異なる通信ログを所定の統一形式ログに変換し、前記統一ログ受信モジュールは、前記統一形式ログを前記ログ記憶装置に記憶させることを特徴とする。
また、本発明第2の構成によるサーバ計算機は、前記統一ログ受信モジュールは、前記統一形式ログとともに、前記通信ログを当該統一形式ログに関連付けて前記ログ記憶装置に記憶させることを特徴とする。
また、本発明第3の構成によるサーバ計算機は、前記ログ変換モジュールは、前記通信ログのプロトコルごとに独立したものとして構成され、前記通信ログのプロトコルごとに前記ログ変換モジュールを追加でき、変更でき、あるいは削除できることを特徴とする。
また、本発明第12の構成による計算機は、上記のサーバ計算機に備えられた前記ログ変換モジュールに対して、通信ログを出力することを特徴とする。
また、本発明第13の処理ステップによる通信ログの処理方法は、1以上の計算機が接続された通信網を管理するサーバ計算機における通信ログの処理方法であって、前記通信網に接続された1以上の計算機のそれぞれから受信したプロトコルの異なる通信ログを所定の統一形式ログに変換するログ変換ステップと、前記ログ変換ステップにて変換された統一形式ログを記憶させる統一形式ログ記憶ステップとを含むことを特徴とする。
また、本発明第14の処理ステップによる通信ログの処理方法は、前記統一形式ログ記憶ステップは、前記統一形式ログとともに、前記通信ログを当該統一形式ログに関連付けて記憶させることを特徴とする。
また、本発明第2の課題を解決するため、本発明は、いわゆる人工知能として用いられる推論手法を用いた判断基準で、通信ログの内容を常時チェックするとともに、受信した通信ログと関連する過去の通信ログをデータベースから検索する機能を備え、これら推論手法を用いた判断基準で、速やかに悪意ある情報等を受信したり、不正なネットワーク接続等を探知したり、あるいは、通信障害等を探知したりするようにしたものである。
すなわち、本発明第4の構成によるサーバ計算機は、所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づく判断機能を有する1以上の単一ログ検査モジュールをさらに備え、前記統一ログ受信モジュールは、前記統一形式ログを前記単一ログ検査モジュールのいずれか1以上に送信し、前記単一ログ検査モジュールは、当該送信された統一形式ログに含まれるログ情報を検査した検査結果に基づいて前記ログ情報の異常状態を判定することを特徴とする。
また、本発明第5の構成によるサーバ計算機は、所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づく判断機能を有する1以上のログ関連性検査モジュールをさらに備え、前記統一ログ受信モジュールは、前記統一形式ログを前記ログ関連性検査モジュールのいずれか1以上に送信し、前記ログ関連性検査モジュールは、当該送信された統一形式ログに含まれるログ情報に基づいて前記ログ記憶装置に記憶された過去の統一形式ログを検索し、当該検索された過去ログと当該送信された統一形式ログとの関連性を検査した検査結果に基づいて前記ログ情報の異常状態を判定することを特徴とする。
また、本発明第6の構成によるサーバ計算機は、前記単一ログ検査モジュールおよび前記ログ関連性検査モジュールの1以上の検査モジュールは、前記統一ログ受信モジュールに対して前記検査結果を通知するとともに、前記統一ログ受信モジュールは、前記統一形式ログとともに、前記検査結果を当該統一形式ログに関連付けて前記ログ記憶装置に記憶させることを特徴とする。
また、本発明第7の構成によるサーバ計算機は、前記単一ログ検査モジュールおよび前記ログ関連性検査モジュールの1以上の検査モジュールは、前記判断機能ごとに独立したものとして構成され、前記判断機能ごとに前記検査モジュールを追加でき、変更でき、あるいは削除できることを特徴とする。
また、本発明第15の処理ステップによる通信ログの処理方法は、所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づいた判断処理を行う単一ログ検査ステップをさらに備え、前記統一形式ログ記憶ステップは、前記統一形式ログを前記単一ログ検査ステップに伝達し、前記単一ログ検査ステップは、当該伝達された統一形式ログに含まれるログ情報を検査した検査結果に基づいて前記ログ情報の異常状態を判定することを特徴とする。
また、本発明第16の処理ステップによる通信ログの処理方法は、所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づいた判断処理を行うログ関連性検査ステップをさらに備え、前記統一形式ログ記憶ステップは、前記統一形式ログを前記ログ関連性検査ステップに伝達し、前記ログ関連性検査ステップは、当該伝達された統一形式ログに含まれるログ情報に基づいて前記統一形式ログ記憶ステップにて記憶されている過去の統一形式ログを検索し、当該検索された過去ログと当該伝達された統一形式ログとの関連性を検査した検査結果に基づいて前記ログ情報の異常状態を判定することを特徴とする。
また、本発明第17の処理ステップによる通信ログの処理方法は、前記単一ログ検査ステップまたは前記ログ関連性検査ステップは、前記統一形式ログ記憶ステップに前記検査結果を通知するとともに、前記統一形式ログ記憶ステップは、前記統一形式ログとともに、前記検査結果を当該統一形式ログに関連付けて記憶させることを特徴とする。
また、本発明第3の課題を解決するため、本発明によるサーバ計算機は、通信ログの内容をチェック等した結果、悪意ある情報、不正なネットワーク接続、あるいは、通信障害等を発見した場合には、複数の通信網の相互間で連携して通信を行うようにし、その原因となった通信ログの情報を接続可能な他のサーバ計算機に送信するとともに、他のサーバ計算機からそのような情報を受け取った場合には、自身が保存している通信ログの中から受信した通信ログに関連する通信ログを検索し、その結果を返信することで、直接通信することができないサーバ計算機を含めて通信網を横断的に通信ログの検査を行うようにしたものである。
すなわち、本発明第8の構成によるサーバ計算機は、前記単一ログ検査モジュールおよび前記ログ関連性検査モジュールの1以上の検査モジュールは、前記ログ情報を異常と判定したときには、前記通信網あるいは前記通信網の近傍にある他の通信網に接続された他のサーバ計算機に対して、当該異常と判定したログ情報および当該ログ情報に関連する過去の通信ログを異常ログ情報として送信することを特徴とする。
また、本発明第9の構成によるサーバ計算機は、前記ログ関連性検査モジュールの1以上の検査モジュールに対して他のサーバ計算機から前記異常ログ情報が送信された場合に、当該異常ログ情報に含まれる計算機情報に基づいて、前記ログ記憶装置に記憶された過去の統一形式ログを検索し、当該検索された過去ログを前記異常ログ情報を送信したサーバ計算機に対して返信することを特徴とする。
また、本発明第10の構成によるサーバ計算機は、前記ログ関連性検査モジュールの1以上の検査モジュールに対して他のサーバ計算機から前記異常ログ情報が送信された場合に、前記通信網あるいは前記通信網の近傍にある他の通信網に接続された前記他のサーバ計算機と異なるサーバ計算機に対して前記異常ログ情報を転送するとともに、前記転送の結果、当該転送先のサーバ計算機から過去ログの返信を受けたときには、前記検索された過去ログと当該返信された過去ログとを併せた情報を、前記異常ログ情報を送信したサーバ計算機に対して返信することを特徴とする。
また、本発明第11の構成によるサーバ計算機は、前記単一ログ検査モジュールおよび前記ログ関連性検査モジュールは、前記異常ログ情報を送信し、転送し、あるいは前記過去ログを返信するときには、当該異常ログ情報の送信先、転送先、あるいは返信先にとって不要な情報をあらかじめ削除することを特徴とする。
この発明によれば、通信網に接続された1以上の計算機のそれぞれから受信したプロトコルの異なる通信ログを所定の統一形式ログに変換し、この統一形式ログをログ記憶装置に記憶させようにしているので、通信網上にある各計算機のOSやプロトコルの違いを意識することなく互換性のない通信ログを統一的に扱うことができ、通信網の規模を容易に拡張することができるという効果を奏する。
また、この発明によれば、所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づく判断機能を活用し、統一形式ログに含まれるログ情報を検査した検査結果に基づいてログ情報の異常状態を判定するようにしているので、不正なネットワーク接続等の探知、あるいは通信障害等の探知を迅速かつ確実に行うことができるという効果を奏する。
また、この発明によれば、ログ情報を異常と判定したときには、通信網あるいは通信網の近傍にある他の通信網に接続された他のサーバ計算機に対して、当該異常と判定したログ情報および当該ログ情報に関連する過去の通信ログを異常ログ情報として送信することで、各通信網において分散配置された通信ログの記録を連携させ、相互の通信網間で横断的に通信ログの探索を行うようにしているので、通信網の規模が増大しても不正なネットワーク接続等の探知、あるいは通信障害等の探知を迅速かつ確実に行うことができるという効果を奏する。
以下、図面を参照して、この発明にかかるサーバ計算機、計算機および通信ログの処理方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
図1は、本発明の実施例1にかかるサーバ計算機および計算機等の構成図である。同図において、サーバ計算機100は、通信網150と、通信網150に接続された計算機の管理を行うものであり、プロトコルの種類に対応して備えられる1以上のログ変換モジュール101A、101B、101Cと、統一ログ受信モジュール102と、ログ記憶装置103とを備えている。また、計算機201A、202A、203B、204Cおよび管理者用計算機205は、サーバ計算機100と通信網150を介して接続されている。なお、ログ記憶装置103は、サーバ計算機100に直接内蔵される構成として示しているが、サーバ計算機100の外部に接続される周辺機器として構成されていてもよい。また、通信網150を介して接続された他の計算機(図示省略)の中に備えられた記憶装置として構成されていても機能上差し支えない。
つぎに、実施例1に示すサーバ計算機および計算機等の動作について図1および図2を用いて説明する。ここで、図2は、実施例1に示すサーバ計算機および計算機等が行う処理フローを示すフローチャートである。なお、図1において、計算機201A、202A、203B、204Cは、サーバ計算機100に対して、それぞれの計算機が通信ログ211A、212A、213B、214Cを出力しているが、これらの通信ログ211A、212A、213B、214Cをまとめて「通信ログ21」と称することにする。
計算機201A、202Aは、同一のプロトコル22Aに基づいた通信ログ211A、212Aをサーバ計算機100に対してそれぞれ送信する(ステップS101A)。計算機203Bは、プロトコル22Aとは異なる形式のプロトコル22Bに基づく通信ログ213Bをサーバ計算機100に対して送信する(ステップS101B)。計算機204Cは、これらの通信プロトコルとは異なる形式のプロトコル22Cに基づく通信ログ214Cをサーバ計算機100に対して送信する(ステップS101C)。
また、サーバ計算機100に備えられたログ変換モジュール101A、101B、101Cは、それぞれの計算機から送信された異なるプロトコル(プロトコル22A、プロトコル22Bあるいはプロトコル22C)の通信ログ21を受信し(ステップS102)、通信ログ21から所定のログ情報を抽出し(ステップS103)、抽出されたログ情報を所定の統一形式として規定された統一形式ログ104に変換する(ステップS104)。
なお、ログ変換モジュール101A、101B、101Cは、それぞれが通信ログ21の形式(プロトコル)ごとに独立したものであり、通信ログ21の形式ごとにログ変換モジュールを追加でき、変更でき、あるいは削除できる。すなわち、ログ変換モジュールは、通信ログ21の形式(プロトコル)ごとに独立したソフトウエアとして構成されている。したがって、サーバ計算機100は、必要に応じた、ソフトウエアの追加、変更あるいは削除により、通信網150に接続された各計算機で用いられるプロトコルごとに、これらのログ変換モジュール管理することができる。
サーバ計算機100におけるこれらのソフトウエア管理は、サーバ計算機100のディスプレイ装置やキーボード(ともに図示省略)などの入出力装置で直接操作してもよいし、通信網150上にある管理者用計算機205からの遠隔操作によって行ってもよい。また、通信網150と接続された別の通信網上にある計算機(ともに図示省略)からの遠隔操作で行ってもよい。つまり、当該通信網の管理者が、サーバ計算機100へのアクセスや管理を可能とした入出力手段が提供されれば、如何なる形態であっても支障ない。
さらに、変換された統一形式ログ104を受け取った統一ログ受信モジュール102は、統一形式ログ104の記憶命令(データベースに応じた形式で)を出力し、ログ記憶装置103に統一形式ログ104を記憶させる(ステップS105)。なお、統一ログ受信モジュール102は、統一形式ログ104とともに、受信した通信ログ21そのものを関連付けてログ記憶装置103に記憶させるように命令することが好適である。
このように、通信網150の上にある計算機201A、202A、203B、204Cから通信ログ21が出力されたときには、いずれかのログ変換モジュール101A、101B、101Cにて、統一形式ログ104が作成され、統一ログ受信モジュール102は、ログ記憶装置103に統一形式ログ104を記録させることとなる。
以上説明したように、この実施例にかかるサーバ計算機、あるいは通信ログの処理方法によれば、異なるプロトコルのそれぞれに対応したログ変換モジュールを用意しておき、通信網と接続されたそれぞれの計算機から通信ログを受信したときには、そのプロトコルに対応したログ変換モジュールにて特定の統一された形式に変換した上でログ情報を記憶させるようにしているので、一つの通信網内において接続された機器からの複数種類の通信ログを、一箇所に集中して管理させることを可能とし、また、規模の増大に伴って通信ログ集積用のサーバ計算機の数を増加させるとともに、これらのサーバ計算機を連携させることで、規模の増大に伴う能力増強を図れることができ、通信網上にある各計算機のOSやプロトコルの違いを意識することなしに、形式(プロトコル)の異なる互換性のない通信ログを統一的に扱うことができ、かつ通信網の規模の拡張を容易に実現することができる。
図3は、本発明の実施例2にかかるサーバ計算機および計算機等の構成図である。同図において、図1の実施例1に示す構成と同一あるいは同等の部分については、同一の符号を付して示しており、これらの同一部分にかかる説明は省略する。
図3において、サーバ計算機100は、実施例1で説明した構成に加え、人工知能的な推論手法や、統計解析的手法、あるいは、これらを組み合わせた手法を利用した判断機能を有する1以上の単一ログ検査モジュール105A、105Bとログ関連性検査モジュール106A、106Bとを備えている。なお、人工知能的な推論手法とは、例えば、遺伝的アルゴリズム、ニューラルネットワークあるいはファジィ理論などを用いた手法であり、統計解析的手法とは、定常状態の分布に対する異常度(危険度)などを用いて統計的に処理する手法である。その他にも、通信ログ内の所定の情報の特徴が一致するか否かを判定するような単純な処理手法も適用できる。
つぎに、実施例2に示すサーバ計算機および計算機等の動作について図3および図4を用いて説明する。なお、図4は、実施例2に示すサーバ計算機および計算機等が行う処理フローを示すフローチャートであり、統一形式ログがログ記憶装置103にあらかじめ記憶されており、この状態において、計算機204Cから送信された通信ログ214Cを検査対象として検査する場合の処理フローを示している。
図4において、計算機204Cから検査対象の通信ログ214C(プロトコル22C)が送信される(ステップS201)。サーバ計算機100に備えられたログ変換モジュール101Cは、通信ログ214Cを受信し(ステップS202)、この通信ログ214Cから所定のログ情報を抽出し(ステップS203)、抽出されたログ情報を統一形式ログ104に変換し(ステップS204)、記憶命令を発出してこの統一形式ログ104を記憶させる(ステップS205)。なお、これらのステップS201〜205までの一連の処理は、図2に示す実施例1のステップS101〜105の各処理と同一である。
また、単一ログ検査モジュール105A、105B、およびログ関連性検査モジュール106A、106Bのいずれか1以上のモジュールには、統一ログ受信モジュール102によって統一形式ログ104が伝達される。統一形式ログ104が伝達された単一ログ検査モジュール105A、105Bは、統一形式ログ104に含まれるログ情報に基づいてログ異常度を算出し(ステップS206)、算出されたログ異常度に基づいて検査対象のログが異常か否かを判定する(ステップS207)。
また、これらの処理は、ログ関連性検査モジュール106A、106Bにおいても同様である。すなわち、統一形式ログ104が伝達されたログ関連性検査モジュール106A、106Bは、ログ記憶装置103に記憶された過去の統一形式ログを検索し、その検索された過去ログ107と、統一ログ受信モジュール102から送信された統一形式ログ104との関連性に基づいてログ異常度を算出し(ステップS206)、算出されたログ異常度に基づいて検査対象のログが異常か否かを判定する(ステップS207)。なお、この判定処理で行われた判定結果は、統一ログ受信モジュール102に対して通知される。
統一ログ受信モジュール102は、検査対象のログが異常ではないと判定された場合(ステップS207、No)には、検査結果を記憶せずに処理を終了する。一方、検査対象のログが異常と判定された場合(ステップS207、Yes)には、検査結果108を記憶させるための記憶命令を発出し、ログ記憶装置103に検査結果108を記憶させる(ステップS208)。なお、検査対象のログが異常ではないと判定された場合であっても、検査結果108を記憶(例えば、検査対象ログが「正常」として記憶)させてもよいことは勿論である。また、検査結果108をログ記憶装置103に記憶させる場合に、例えば、統一形式ログ104に関連付けて検査結果108を記憶させるようにすれば、後述する過去ログの検索処理などにおいて、より効果的な検索処理を行うことができる。
なお、上記の例では、計算機204Cから通信ログ214Cが送信される場合を一例として説明したが、計算機204Bから通信ログ213Bが送信される場合も同様な処理が行われる。
つぎに、単一ログ検査モジュール105A、105Bの処理機能の詳細について、これらの検査モジュールが、ファジイ理論による判断機能を有する場合を例にとり説明する。
いま、ファジイ理論による判断機能を用いて通信ログのログ異常状態を判定する場合において、事象ベクトルX、段階ベクトルY、および事象ベクトルXと段階ベクトルYとの相関マトリックスAを、次式にて定義する。
T=AXT ・・・・・(1)
式(1)において、事象ベクトルXは、「ERROR」というメッセージを含んだログ情報を受信する事象XERROR、「login failed」というメッセージを含んだログ情報を受信する事象XFAILED、安全性の確認されていない計算機からの接続を意味するログ情報を受信する事象XUNKNOWNなどのように、受信したメッセージと、事象ベクトルXとの関連付けがなされた状態ベクトルとして、つぎのように表すことができる。
X=[XERROR,XFAILED,XUNKNOWN] ・・・・・(2)
一方、段階ベクトルYは、ログの状態のリスクを「致命的」である場合のパラメータY1、「重大」である場合のパラメータY2、「警告」である場合のパラメータY3、「正常」である場合のパラメータY4などのように、その危険度を4段階で定義した段階ベクトルとして、つぎのように表すことができる。
Y=[Y1,Y2,Y3,Y4] ・・・・・(3)
また、式(1)における相関マトリックスAは、事象ベクトルXと段階ベクトルYとを関連付けるために、あらかじめ定められた行列を意味するものである。上記の例では、事象ベクトルXが3次元のベクトルであり、段階ベクトルYが4次元のベクトルであるため、相関マトリックスAは4行3列の大きさを持ち、例えば、つぎのように表すことができる。
Figure 0004317420
いま、通信ログとして、「ERROR LOGIN−FAILED FROM 計算機A」というメッセージを受信し、サーバ計算機が計算機Aが安全であることを知っている場合を想定すると、単一ログ検査モジュール105Aまたは105Bの中で、次式に示す状態ベクトル(事象ベクトル)Xが生成される。
X=[1,1,0] ・・・・・(5)
また、式(1)および式(2)によって、次式に示す段階ベクトルYが一意的に定まる。
Y=[0.5,0.6,0.3,0.2]T ・・・・・(6)
この段階ベクトルYの各成分の中で、一番高い値を持つものをログの状態として判断するようにすると、式(6)からパラメータY2が最大であるから、ログ異常度は「0.6」として算出され、このログ異常度に基づいて、このログに対する危険度が「重大」であると判定され、ログ記憶装置103にこの検査結果が記憶される。
なお、この例では、段階ベクトルYの各成分の中で、一番高い値を持つものをログの状態として判定したが、所定のしきい値を超えた成分についてのみ判断を行うようにしてもよい。
また、単一ログ検査モジュール105Aまたは105Bの代わりに、ログ関連性検査モジュール106Aまたは106Bを用いた判定を行ってもよい。すなわち、それまでに取得した段階ベクトルYの各成分の統計値(例えば、平均値、標準偏差など)をあらかじめ算出しておき、平均値からの逸脱度などを数値化して所定のしきい値との比較処理を行うような統計解析的手法を用いても好適な結果が得られる。
この他、ファジイ理論以外の判断機能を用いても、好適な結果が得られる。例えば、パターンマッチングを有する判断機能により、ログ異常状態を判定するような手法を用いることもできる。この処理の一例を具体的に示すと、受信した通信ログのメッセージに含まれるパターンと、式(3)にて示される段階ベクトルYとの相関をとる。このとき、受信したメッセージに「パターンa1」と「パターンa2」とを、ともに含む場合はY1=1とし、それ以外の場合はY1=0とする。以下同様に、「パターンb1」または「パターンb2」を含み、かつ「パターンb3」をも含む場合はY2=1(左記以外の場合はY2=0)とし、「パターンc1」を含む場合はY3=1(左記以外の場合はY3=0)とし、「パターンd1」あるいは「パターンd2」を含む場合はY4=1(左記以外の場合はY4=0)と定義するなどして、段階ベクトルYの成分が1となったものの中で一番危険度の高いものをログ異常度として算出し、通信ログの異常性に対する判断基準とすればよい。
なお、単一ログ検査モジュール105A、105Bおよびログ関連性検査モジュール106A、106Bは、それぞれが判断機能ごとに独立したものであり、判断機能ごとにログ判断モジュールを追加でき、変更でき、あるいは削除できるように構成する。すなわち、これらの検査モジュールは、判断機能ごとに独立したソフトウエアとして構成される。このように構成すれば、必要に応じて、所要のソフトウエアの追加、変更、あるいは削除により、通信ログ21の新たな異常形態(不正アクセス等の形態)に迅速に対応することができる。
また、サーバ計算機100に対する、これらのソフトウエア管理、および検査結果のモニタリングに対する管理は、通信網150上にある管理者用計算機205からの遠隔操作によって行ってもよい。また、通信網150と接続された別の通信網上にある計算機(ともに図示省略)からの遠隔操作で行ってもよい。つまり、当該通信網の管理者が、サーバ計算機100へのアクセスや管理を可能とした入出力手段が提供されれば、如何なる形態であっても支障ない。
以上説明したように、この実施例にかかるサーバ計算機、あるいはログ処理方法によれば、いわゆる人工知能として用いられる種々の推論手法を用いた判断基準にて通信ログの内容を常時チェックするとともに、受信した通信ログと関連する過去の通信ログをデータベースから検索する機能を備えているので、速やかに悪意ある情報等を受信し、不正なネットワーク接続等を探知し、あるいは通信障害等を探知することができる。
図5は、本発明の実施例3にかかるサーバ計算機および計算機等の構成図である。同図に示す実施例3の構成は、図3の実施例2に示す構成と同一あるいは同等であり、これらの同一部分については同一の符号を付して示している。
図5において、単一ログ検査モジュール105A、105Bおよびログ関連性検査モジュール106A、106Bの1以上のモジュールが検査対象の通信ログを異常と判定したときには、統一ログ受信モジュール102を介すなどして、通信網150あるいは通信網150の近傍にある他の通信網と接続された別のサーバ計算機(図示省略)に対して、ログの異常状態や異常と判断したログ情報などが異常ログ情報109Aとして送信される。
一方、別のサーバ計算機から異常ログ情報109Bが送られてきたときには、ログ関連性検査モジュール106A、106Bの1以上のモジュールは、異常ログ情報109Bに含まれる計算機情報に基づいてログ記憶装置103に記憶された過去の統一形式ログ104を検索する。また、ログ関連性検査モジュール106A、106Bの1以上のモジュールは、統一ログ受信モジュール102などを介して、検索された過去ログ107を異常ログ情報109Bを送信したサーバ計算機に対して返信するとともに、通信網150あるいは通信網150の近傍にある他の通信網に接続された別のサーバ計算機に対しても、この異常ログ情報109Bを転送する。転送の結果、転送先のサーバ計算機から過去ログの返信を受けたときには、検索された過去ログ107と、返信された過去ログとを併せた情報を、異常ログ情報109Bを送信したサーバ計算機に対して返信する。
このとき、単一ログ検査モジュール105A、105Bおよび、ログ関連性検査モジュール106A、106Bは、異常ログ情報109Aまたは109Bを送信し、転送し、あるいは過去ログ107を返信するときには、その送信先、転送先、あるいは返信先にとって不要な情報をあらかじめ削除することにより、受け手側のサーバ計算機の処理負荷の増加を抑制するとともに、通信網に対するトラフィック量を抑制することもできるので、より好適である。
上述のような機能を有するサーバ計算機を各通信網に設けることで、規模が数台レベルという小規模なローカル通信網から、インターネットなどの大規模通信網に至るまで、各サーバ計算機を経由してのログの探索が可能となる。
また、上述のような機能を有するサーバ計算機は、自らが接続された通信網の近傍にある他の通信網に接続された別のサーバ計算機を参照できるようにしておくとよい。簡単な例として、DNSサーバのような形態がある。このDNSサーバの仕組みを利用することによって、新たにサーバ計算機を追加した場合であっても、追加されたサーバ計算機が直接通信可能な既存のサーバ計算機が連携している通信網にアクセスすることで、この追加したサーバ計算機との通信が可能となる。
すなわち、各サーバ計算機には、一例として、設定ファイル(図示省略)を備え、そのファイルの中に自身が通信可能な別のサーバ計算機のリストを設けて、そのリストに記録された各サーバ計算機(異常ログ情報109を転送する場合には、その転送する異常ログ情報109を送信あるいは転送したサーバ計算機は除く)に対し、異常ログ情報109Aを送信あるいは転送すればよい。
また、異常ログ情報109を送信あるいは転送するときには、自らのサーバ計算機の識別情報(IPアドレスなどその計算機を識別できるID)をその情報に付加し、一方、受信した異常ログ情報109Bの中に、自らのサーバ計算機と同一の識別情報が含まれていた場合には、異常ログ情報を破棄するなどして、同じ処理を繰り返さないようにするとよい。
このように、自らのサーバ計算機と同一の識別情報が含まれていた場合には、通常、その転送された通信網の接続経路の中に、環状となったルートが含まれているので、BGP(Border Gateway Protocol)と同様のパスベクタ型の経路探索によって、その通信経路を最適化することがより好適である。
また、通信網やサーバ計算機の新たな設置あるいはその設置状況の変更を行った場合は、その新設または設置変更した通信網に接続可能なサーバ計算機について、通信可能な別のサーバ計算機のリストを変更しておけばよい。
図6は、大規模通信網の一例を示す構成図である。同図において、通信網150、250、350、450、550は、それぞれサーバ計算機100、200、300、400、500を備え、実施例1および実施例2に基づいて、当該通信網における通信ログの記録や、通信ログの異常検出等を行っている。
上記の構成に加え、通信網150は計算機160、170、180を備え、通信網250は計算機170、260、270を備え、通信網350は計算機360、370、380を備え、通信網450は計算機460、470、480を備え、通信網550は、計算機470、560、570を備えている。
また、通信網150、350、450は、それぞれ計算機160、360、460と接続されたインターネット(通信網)900を介して接続されている。一方、通信網150と250との間は計算機170を介して接続され、通信網450と550との間は計算機470を介して接続されているので、各計算機間は通信網を経由させることで、接続が可能な状態となっている。
サーバ計算機100は、通信網150および計算機170を介して接続された通信網250を管理するサーバ計算機200の情報を備え、その逆として、サーバ計算機200は、サーバ計算機100の情報を備える。サーバ計算機400は、通信網450および計算機470を介して接続された通信網550を管理するサーバ計算機500の情報を備え、その逆として、サーバ計算機500は、サーバ計算機400の情報を備える。また、サーバ計算機100は、インターネット900を介して接続された通信網350および450を管理するサーバ計算機300および400の情報を備え、同様に、サーバ計算機300は、サーバ計算機100および400の情報を、サーバ計算機400は、サーバ計算機100および300の情報を備える。
以上のような大規模通信網において、サーバ計算機が異常ログを検出したときの処理を図5〜図7を用いて説明する。なお、図7は、大規模通信網において、異常ログを検出したときの処理フローを示すフローチャートである。
図7において、サーバ計算機100は、ログ情報を受信し(ステップS301)、実施例2などに示す処理手段あるいは処理手順に基づいて当該ログが異常か否かを判定する(ステップS302)。当該ログが異常ではないと判定された場合(ステップS302、No)は、以下に示す処理は行われず、新たなログ情報の受信待ちの状態となる。一方、当該ログが異常と判定された場合(ステップS302、Yes)には、サーバ計算機100は、通信網150の近傍にある別のサーバ計算機200、300および400に対して、異常ログ情報109Aを送信する(ステップS303)。
サーバ計算機200、300は、サーバ計算機100から送信された異常ログ情報109Bを受信する(ステップS401)ので、その異常ログ情報109Bに含まれる計算機情報に基づき、関連が認められる過去の通信ログを検索し(ステップS402)、検索された過去ログ107の検査結果108として通知元であるサーバ計算機100に対して返信する(ステップS403)。
サーバ計算機400は、サーバ計算機100から送信された異常ログ情報109Bを受信する(ステップS501)ので、通信網450の近傍にある別のサーバ計算機500に対して異常ログ情報を転送する(ステップS502)とともに、異常ログ情報109Bに含まれる計算機情報に基づき、関連が認められる過去の通信ログを検索する(ステップS503)。
一方、サーバ計算機500は、サーバ計算機400から転送された異常ログ情報109Bを受信する(ステップS601)ので、その異常ログ情報109Bに含まれる計算機情報に基づいて、関連が認められる過去の通信ログを検索し(ステップS602)、その過去ログ107の検査結果108を、通知元であるサーバ計算機400に対して返信する(ステップS603)。
その結果、サーバ計算機400は、ステップS603によるサーバ計算機500からの返信結果と、ステップS503による過去ログ107の検査結果108とを併せて通知元であるサーバ計算機100に対して返信する(ステップS504)。
最後に、サーバ計算機100は、通信網150の近傍にある別のサーバ計算機200、300および400からの返信(ステップS304)に基づいて、その返信結果を管理者用計算機205に通知したり、表示装置(図示省略)などに出力したり、記録装置に記録させたりする(ステップS305)。
以上説明したように、この実施例にかかるサーバ計算機、あるいはログ処理方法によれば、通信ログの内容をチェック等した結果、悪意ある情報、不正なネットワーク接続、あるいは、通信障害等を発見した場合には、複数の通信網の相互間で連携して通信を行うようにし、その原因となった通信ログの情報を接続可能な他のサーバ計算機に送信するとともに、他のサーバ計算機からそのような情報を受け取った場合には、自身が保存している通信ログの中から受信した通信ログに関連する通信ログを検索し、その結果を返信することで、直接通信することができないサーバ計算機を含めて通信網を横断的に通信ログの検査を行うようにしたので、各通信網において分散配置された通信ログの記録を連携させ、相互の通信網間で横断的に通信ログの探索を行うことができる。
なお、上述した実施例1〜3では、サーバ計算機やその他の計算機を別々に記載しあるいは表現しているが、これは、各機能を説明する上で便宜的に分割させたものであって、これらの構成が必ずしも別々のハードウエアとして構成されていることを意味するものではなく、これらの実施例に限定して解釈する必要はない。すなわち、一つの計算機が複数の通信網を管理するものであったり、通信網と接続された計算機がこのサーバ計算機のみであっても、本発明の趣旨を変えることにはならない。
以上のように、この発明にかかるサーバ計算機および通信ログの処理方法は、不正アクセスの検出装置や、通信障害の検出装置等として有用であり、特に、使用しているOSやプロトコルが混在している大規模通信網における不正なネットワーク接続等の探知や、通信障害等の探知に適している。
本発明の実施例1にかかるサーバ計算機および計算機等の構成図である。 実施例1に示すサーバ計算機および計算機等が行う処理フローを示すフローチャートである。 本発明の実施例2にかかるサーバ計算機および計算機等の構成図である。 実施例2に示すサーバ計算機および計算機等が行う処理フローを示すフローチャートである。 本発明の実施例3にかかるサーバ計算機および計算機等の構成図である。 大規模通信網の一例を示す構成図である。 大規模通信網において、異常ログを検出したときの処理フローを示すフローチャートである。
符号の説明
100,200,300,400,500 サーバ計算機
101A,101B,101C ログ変換モジュール
102 統一ログ受信モジュール
103 ログ記憶装置
104 統一形式ログ
105A,105B 単一ログ検査モジュール
106A,106B ログ関連性検査モジュール
107 過去ログ
108 検査結果
109A,109B 異常ログ情報
21,211A,212A,213B,214C 通信ログ
22A,22B,22C プロトコル
205 管理者用計算機
150,250,350,450,550 通信網
900 インターネット
160,170,180,201A,202B,203B,204C,260,270,360,370,380,460,470,480,560,570 計算機

Claims (8)

  1. 1以上の計算機が接続された通信網を管理するサーバ計算機であって、
    前記通信網に接続された1以上の計算機のそれぞれから受信したプロトコルの異なる通信ログを所定の統一形式ログに変換する1以上のログ変換モジュールと、
    前記統一形式ログを前記ログ記憶装置に記憶させる統一ログ受信モジュールと、
    当該通信網を介して、あるいは介さずして接続されたログ記憶装置と、
    所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づく判断機能を有する1以上のログ関連性検査モジュールと、
    を備え、
    前記統一ログ受信モジュールは、前記統一形式ログを前記ログ関連性検査モジュールのいずれか1以上に送信し、
    前記ログ関連性検査モジュールは、当該送信された統一形式ログに含まれるログ情報に基づいて前記ログ記憶装置に記憶された過去の統一形式ログを検索し、当該検索された過去ログと当該送信された統一形式ログとの関連性を検査するとともに、その検査結果に基づいて前記ログ情報の異常状態を判定し、
    前記ログ記憶装置には、前記ログ関連性検査モジュールによる検査結果が、当該統一形式ログに関連付けて記憶されることを特徴とするサーバ計算機。
  2. 所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づく判断機能を有する1以上の単一ログ検査モジュールをさらに備え、
    前記統一ログ受信モジュールは、前記統一形式ログを前記単一ログ検査モジュールのいずれか1以上に送信し、
    前記単一ログ検査モジュールは、当該送信された統一形式ログに含まれるログ情報を検査するとともに、その検査結果に基づいて前記ログ情報の異常状態を判定し、
    前記ログ記憶装置には、さらに、前記単一ログ検査モジュールによる検査結果が、当該統一形式ログに関連付けて記憶される
    ことを特徴とする請求項1に記載のサーバ計算機。
  3. 前記単一ログ検査モジュールまたは前記ログ関連性検査モジュールの1以上の検査モジュールは、前記ログ情報を異常と判定したときには、前記通信網あるいは前記通信網の近傍にある他の通信網に接続された他のサーバ計算機に対して、当該異常と判定したログ情報および当該ログ情報に関連する過去の通信ログを異常ログ情報として送信することを特徴とする請求項1または請求項2に記載のサーバ計算機。
  4. 前記ログ関連性検査モジュールの1以上の検査モジュールに対して他のサーバ計算機から前記異常ログ情報が送信された場合に、当該異常ログ情報に含まれる計算機情報に基づいて、前記ログ記憶装置に記憶された過去の統一形式ログを検索し、当該検索された過去ログを前記異常ログ情報を送信したサーバ計算機に対して返信することを特徴とする請求項3に記載のサーバ計算機。
  5. 前記ログ関連性検査モジュールの1以上の検査モジュールに対して他のサーバ計算機から前記異常ログ情報が送信された場合に、前記通信網あるいは前記通信網の近傍にある他の通信網に接続された前記他のサーバ計算機と異なるサーバ計算機に対して前記異常ログ情報を転送するとともに、前記転送の結果、当該転送先のサーバ計算機から過去ログの返信を受けたときには、前記検索された過去ログと当該返信された過去ログとを併せた情報を、前記異常ログ情報を送信したサーバ計算機に対して返信することを特徴とする請求項4に記載のサーバ計算機。
  6. 前記単一ログ検査モジュールおよび前記ログ関連性検査モジュールは、前記異常ログ情報を送信し、転送し、あるいは前記過去ログを返信するときには、当該異常ログ情報の送信先、転送先、あるいは返信先にとって不要な情報をあらかじめ削除することを特徴とする請求項3〜5のいずれか一つに記載のサーバ計算機。
  7. 1以上の計算機が接続された通信網を管理するサーバ計算機における通信ログの処理方法であって、
    前記通信網に接続された1以上の計算機のそれぞれから受信したプロトコルの異なる通信ログを所定の統一形式ログに変換するログ変換ステップと、
    前記ログ変換ステップにて変換された統一形式ログを記憶させる統一形式ログ記憶ステップと、
    所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づいた判断処理を行うログ関連性検査ステップと、を含み、
    前記統一形式ログ記憶ステップは、前記統一形式ログを前記ログ関連性検査ステップに伝達し、
    前記ログ関連性検査ステップは、当該伝達された統一形式ログに含まれるログ情報に基づいて前記統一形式ログ記憶ステップにて記憶されている過去の統一形式ログを検索し、当該検索された過去ログと当該伝達された統一形式ログとの関連性を検査し、その検査結果に基づいて前記ログ情報の異常状態を判定するとともに、前記統一形式ログ記憶ステップに前記検査結果を通知し、
    さらに、前記統一形式ログ記憶ステップは、前記統一形式ログとともに、前記検査結果を当該統一形式ログに関連付けて記憶させる
    ことを特徴とする通信ログの処理方法。
  8. 所定の推論手法、所定の統計解析的手法あるいはこれらの手法を組み合わせた手法に基づいた判断処理を行う単一ログ検査ステップをさらに備え、
    前記統一形式ログ記憶ステップは、前記統一形式ログを前記単一ログ検査ステップに伝達し、
    前記単一ログ検査ステップは、当該伝達された統一形式ログに含まれるログ情報を検査し、その検査結果に基づいて前記ログ情報の異常状態を判定するとともに、前記統一形式ログ記憶ステップに前記検査結果を通知する
    ことを特徴とする請求項7に記載の通信ログの処理方法。
JP2003360475A 2003-10-21 2003-10-21 サーバ計算機および通信ログの処理方法 Expired - Fee Related JP4317420B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003360475A JP4317420B2 (ja) 2003-10-21 2003-10-21 サーバ計算機および通信ログの処理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003360475A JP4317420B2 (ja) 2003-10-21 2003-10-21 サーバ計算機および通信ログの処理方法

Publications (2)

Publication Number Publication Date
JP2005128609A JP2005128609A (ja) 2005-05-19
JP4317420B2 true JP4317420B2 (ja) 2009-08-19

Family

ID=34640778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003360475A Expired - Fee Related JP4317420B2 (ja) 2003-10-21 2003-10-21 サーバ計算機および通信ログの処理方法

Country Status (1)

Country Link
JP (1) JP4317420B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350654A (ja) * 2005-06-15 2006-12-28 Yaskawa Information Systems Co Ltd サーバ計算機
JP5183132B2 (ja) * 2007-09-13 2013-04-17 三菱電機株式会社 ルールベースシステム及びルール適用プログラム
JP4851561B2 (ja) * 2009-05-12 2012-01-11 日本電信電話株式会社 接続サービス利用履歴情報提供システム、方法、およびプログラム
JP5871499B2 (ja) * 2011-07-06 2016-03-01 キヤノン株式会社 通信制御装置、通信制御システム、通信制御方法およびプログラム
US9860278B2 (en) 2013-01-30 2018-01-02 Nippon Telegraph And Telephone Corporation Log analyzing device, information processing method, and program
JP6008406B2 (ja) * 2014-05-02 2016-10-19 日本電信電話株式会社 ログ管理方法、ログ管理システム、ログ管理装置及びログ管理プログラム

Also Published As

Publication number Publication date
JP2005128609A (ja) 2005-05-19

Similar Documents

Publication Publication Date Title
US6907430B2 (en) Method and system for assessing attacks on computer networks using Bayesian networks
CN102771088B (zh) 利用聚集的源自多个计算机的dns信息来检测异常的dns名称解析的方法和装置
JP5077104B2 (ja) ネットワーク障害検知プログラム、システム、及び方法
Junior et al. A Survey on Trustworthiness for the Internet of Things
US20080016115A1 (en) Managing Networks Using Dependency Analysis
US20110016528A1 (en) Method and Device for Intrusion Detection
US20070234425A1 (en) Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine
WO2009023294A2 (en) Combining assessment models and client targeting to identify network security vulnerabilities
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
KR102376433B1 (ko) 멀티네트워크 디바이스의 보안 진단 방법
US11582255B2 (en) Dysfunctional device detection tool
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
KR101416523B1 (ko) 보안 시스템 및 그것의 동작 방법
JP4317420B2 (ja) サーバ計算機および通信ログの処理方法
US20090313506A1 (en) Test Result Aggregation and Analysis Using Text Expressions
EP3278501A1 (en) Network operation
JP2009302625A (ja) ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法
JP2006330783A (ja) オーバレイネットワーク生成アプリケーション起動ノード特定装置およびその方法
JP2019022099A (ja) セキュリティポリシー情報管理システム、セキュリティポリシー情報管理方法、及びプログラム
CN111988172B (zh) 一种网络信息管理平台、装置及安全管理方法
KR20220093034A (ko) Dns 트래픽의 이상들을 검출하기 위한 방법 및 장치
CN111162929B (zh) 一种分级管理方法和系统
JP2006350654A (ja) サーバ計算機
CN114006719A (zh) 基于态势感知的ai验证方法、装置及系统
US8578215B2 (en) Method and system for gathering data using automatic appliance failover

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090203

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090512

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090522

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120529

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130529

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees