JP4500921B2 - ログ分析装置、ログ分析方法およびログ分析プログラム - Google Patents
ログ分析装置、ログ分析方法およびログ分析プログラム Download PDFInfo
- Publication number
- JP4500921B2 JP4500921B2 JP2004004567A JP2004004567A JP4500921B2 JP 4500921 B2 JP4500921 B2 JP 4500921B2 JP 2004004567 A JP2004004567 A JP 2004004567A JP 2004004567 A JP2004004567 A JP 2004004567A JP 4500921 B2 JP4500921 B2 JP 4500921B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- events
- event
- grouping
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、およびFirewallなどのネットワーク機器から出力されるログの分析を行うログ分析装置、ログ分析方法およびログ分析プログラムに関する。。
近年、ネットワークシステムに対する攻撃監視のためにIDSを導入するサイトが増えている。一般に、IDSは、ネットワーク上を流れるパケットとAttack Signatureと呼ばれる攻撃パターンファイルとを単純に比較して、マッチングするものがあればログを出力する。
IDSから出力される冗長なログを効率的に分析するために、ログを視覚化して異常を知らせるシステムがある(非特許文献1参照)。しかし、非特許文献1に記載されているシステムにおいては、異常の判断に関しては運用者の主観に委ねられており、結果に対する信頼性が一様でない。
一方、非特許文献2においては、比率分析および稀率分析により、客観的な数値を用いて異常を評価する手法が提案されている。比率分析においては、ログに記録されている、過去の長期間に検知されたイベント数の単位時間当たりの平均値に対する、注目する単位時間のイベント数の比率を求める。また、稀率分析においては、ログに記録されている、過去の長期間に検知されたイベント数の平均と標準偏差とを用いて、出力数が様々に変動するイベントの異常性を評価する。統計分析において、95%信頼区間という指標がよく利用されているが、ここでの稀率分析とは、この信頼区間の補集合を算出するものである。
従来より、インターネットには、日々新たなセキュリティホールが発見され、ウィルスやワームが生まれている。図15は、世界の各地に仕掛けられたIDSによって検知された、Port1434に対する攻撃頻度の推移を示す参考図である。図15より、2003年1月24日頃、Port1434に対する攻撃が急に盛んになっている様子がわかる。これはSlammerワームによる攻撃で、世界的な問題を引き起こしたサイバーテロである。図15において、2003年1月24日以前に注目すると、実際にはIDSにより、予兆らしき事象が検知されていたことがわかる。この予兆の時点において、警戒態勢を整えておくことができたとしたら、その後の被害の広がりを抑えることができたものと予想される。また、3月7日以降の推移についても、3月7日の時点で推定を行うことが望ましい。
高田哲司、外1名,「見えログ:情報視覚化とテキストマイニングを用いたログ情報ブラウザ」,(社)情報処理学会論文誌,2000年12月,Vol41,No.12,p.3265−3275 竹森敬祐、外4名,「セキュリティデバイスログ分析支援システムの広域監視への適用」,Computer Security Symposium(CSS2003),2003年10月,p.397−402
高田哲司、外1名,「見えログ:情報視覚化とテキストマイニングを用いたログ情報ブラウザ」,(社)情報処理学会論文誌,2000年12月,Vol41,No.12,p.3265−3275 竹森敬祐、外4名,「セキュリティデバイスログ分析支援システムの広域監視への適用」,Computer Security Symposium(CSS2003),2003年10月,p.397−402
しかし、従来のログ分析の手法においては、現在の異常なログを分析することはできるものの、今後の推移を予測することができなかった。近年のSlammerワームやBlasterワームによる攻撃においては、攻撃が盛んになり始めて(攻撃が臨界に達し、急激に広がり始めて)から10分後にはインターネットが不能に陥っており、サイバーテロの脅威が浮き彫りになった。したがって、ログに記録される、過去および現在の長期間のイベント数の推移を統計的に学習して、未来のイベント数の推移を予測することが緊急の課題である。
本発明は、上述した問題点に鑑みてなされたものであって、未来のイベント数の推移を客観的に予測することができるログ分析システム、ログ分析方法およびログ分析プログラムを提供することを目的とする。
本発明は上記の課題を解決するためになされたもので、請求項1に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、前記ネットワーク機器から出力されるログを収集する収集手段と、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出する異常値算出手段と、該異常値に関する所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出する確率算出手段とを具備することを特徴とするログ分析装置である。
前期パラメータとしては、IDS、Router、およびFirewallなどのネットワーク機器から出力されるログに記録されているAttack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。前記異常値算出手段は、前記イベントの記録数に基づいて、比率分析や稀率分析などを行い、分析対象のネットワークの異常度に関する異常値を算出する。前記異常値としては、比率分析における比率や、稀率分析における上側稀率、下側稀率などが挙げられる。
前期パラメータとしては、IDS、Router、およびFirewallなどのネットワーク機器から出力されるログに記録されているAttack Signature、Source/Destination Port、およびSource/Destination IPなどが挙げられる。前記異常値算出手段は、前記イベントの記録数に基づいて、比率分析や稀率分析などを行い、分析対象のネットワークの異常度に関する異常値を算出する。前記異常値としては、比率分析における比率や、稀率分析における上側稀率、下側稀率などが挙げられる。
請求項2に記載の発明は、請求項1に記載のログ分析装置において、前記異常値算出手段は、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの中から、所定の時間単位のイベントを選択し、該イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出することを特徴とする。
請求項3に記載の発明は、請求項1または請求項2に記載のログ分析装置において、前記異常値算出手段は、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの中から、脆弱性に関する公開情報に基づいて、特定のイベントを選択し、該イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出することを特徴とする。
請求項4に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、前記ネットワーク機器から出力されるログを収集する収集手段と、前記収集手段によって収集された前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うグループ化手段と、前記グループ化手段によってグループ化された前記イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出する異常値算出手段と、該異常値に関して所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出する確率算出手段とを具備することを特徴とするログ分析装置である。
請求項5に記載の発明は、請求項4に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの中から、所定の時間単位のイベントを選択し、該イベントを複数のグループに分割するグループ化を行うことを特徴とする。
請求項6に記載の発明は、請求項4または請求項5に記載のログ分析装置において、前記グループ化手段は、前記収集手段によって収集された前記ログ中のパラメータに属するイベントの中から、脆弱性に関する公開情報に基づいて、特定のイベントを選択し、該イベントを複数のグループに分割するグループ化を行うことを特徴とする。
請求項7に記載の発明は、請求項1〜請求項6のいずれかの項に記載のログ分析装置において、前記所定の事象は、前記ログ中のパラメータに属するイベントの記録数が増加する事象または前記ログ中のパラメータに属するイベントの記録数が減少する事象であることを特徴とする。
請求項8に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、前記ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップと、該異常値に関する所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出するステップとを具備することを特徴とするログ分析方法である。
請求項9に記載の発明は、請求項8に記載のログ分析方法において、前記収集した前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、所定の時間単位のイベントを選択し、該イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出することを特徴とする。
請求項10に記載の発明は、請求項8または請求項9に記載のログ分析方法において、前記収集した前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、脆弱性に関する公開情報に基づいて、特定のイベントを選択し、該イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出することを特徴とする。
請求項11に記載の発明は、ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、前記ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、グループ化した前記イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップと、該異常値に関して所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出するステップとを具備することを特徴とするログ分析方法である。
請求項12に記載の発明は、請求項11に記載のログ分析方法において、前記収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、所定の時間単位のイベントを選択し、該イベントを複数のグループに分割するグループ化を行うことを特徴とする。
請求項13に記載の発明は、請求項11または請求項12に記載のログ分析方法において、前記収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、脆弱性に関する公開情報に基づいて、特定のイベントを選択し、該イベントを複数のグループに分割するグループ化を行うことを特徴とする。
請求項14に記載の発明は、請求項8〜請求項13のいずれかの項に記載のログ分析方法において、前記所定の事象は、前記ログ中のパラメータに属するイベントの記録数が増加する事象または前記ログ中のパラメータに属するイベントの記録数が減少する事象であることを特徴とする。
請求項15に記載の発明は、ネットワーク機器から収集したログに基づいた分析処理をコンピュータに実行させるためのログ分析プログラムにおいて、前記ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップと、該異常値に関する所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出するステップとをコンピュータに実行させるためのログ分析プログラムである。
請求項16に記載の発明は、請求項15に記載のログ分析プログラムにおいて、前記収集した前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、所定の時間単位のイベントを選択し、該イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出することを特徴とする。
請求項17に記載の発明は、請求項15または請求項16に記載のログ分析プログラムにおいて、前記収集した前記ログ中のパラメータに属するイベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、脆弱性に関する公開情報に基づいて、特定のイベントを選択し、該イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出することを特徴とする。
請求項18に記載の発明は、ネットワーク機器から収集したログに基づいた分析処理をコンピュータに実行させるためのログ分析プログラムにおいて、前記ネットワーク機器から出力されるログを収集するステップと、収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップと、グループ化した前記イベントの記録数に基づいて、ネットワークの異常度に関する異常値を算出するステップと、該異常値に関して所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出するステップとをコンピュータに実行させるためのログ分析プログラムである。
請求項19に記載の発明は、請求項18に記載のログ分析プログラムにおいて、前記収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、所定の時間単位のイベントを選択し、該イベントを複数のグループに分割するグループ化を行うことを特徴とする。
請求項20に記載の発明は、請求項18または請求項19に記載のログ分析プログラムにおいて、前記収集した前記ログ中のパラメータに属するイベントを複数のグループに分割するグループ化を行うステップにおいては、収集した前記ログ中のパラメータに属するイベントの中から、脆弱性に関する公開情報に基づいて、特定のイベントを選択し、該イベントを複数のグループに分割するグループ化を行うことを特徴とする。
請求項21に記載の発明は、請求項15〜請求項20のいずれかの項に記載のログ分析プログラムにおいて、前記所定の事象は、前記ログ中のパラメータに属するイベントの記録数が増加する事象または前記ログ中のパラメータに属するイベントの記録数が減少する事象であることを特徴とする。
請求項22に記載の発明は、請求項15〜請求項21のいずれかの項に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。
本発明によれば、様々なネットワーク機器から出力されるログ中のパラメータに属するイベントのイベント数に基づいて、ネットワークの異常度に関する異常値を算出し、その異常値に関する所定の条件が満たされた場合に、所定の事象が発生する条件付確率を算出するようにしたので、未来のイベント数の推移を客観的に予測することができるという効果が得られる。
以下、図面を参照し、この発明を実施するための最良の形態について説明する。図1は、この発明の一実施形態によるログ分析装置を備えたネットワークの構成を示す構成図である。図において、10はログ分析装置である。ログ分析装置10は分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果をWebブラウザ301へ出力する。ログ分析装置10は、表示部を有する他の機器へ分析結果を出力してもよいし、ログ分析装置10に表示部が備えられている場合には、ログ分析装置10が分析結果を表示してもよい。
また、ログ分析装置10はWebブラウザ301を備えるセキュリティオペレーションセンター30からは独立した装置であってもよいし、セキュリティオペレーションセンター30内のWebブラウザ301を具備する機器がログ分析装置10の機能を有していてもよい。ネットワーク20〜22のRouter、Firewall、およびIDSはログを生成し、syslogd等の通信方式により、ログ分析装置10にログを出力する。セキュリティオペレーションセンター30はWebブラウザ301を有しており、運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。
ログ分析装置10において、101はログ収集部であり、ネットワーク20〜22の機器から出力されたログを定期的に収集し、ログ保存部102へログを出力する。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する。運用者がWebブラウザ301を介して、分析を希望するパラメータを要求すると、分析を指示する指示情報がインタフェース部105を介してログ分析部104へ入力される。
ログ分析部104はこの指示情報に従って、記憶部103から分析用のパラメータを読み出し、このパラメータに関して分析を行い(詳細は後述する)、分析結果を記憶部103に保存すると共に、インタフェース部105へ出力する。インタフェース部105は、ログ分析部104から出力された分析結果を、通信回線を介してWebブラウザ301へ出力する。運用者はWebブラウザ301に表示される分析結果に基づいて、ネットワーク20〜22に対する攻撃の状況を判断する。
次に、本実施形態において分析対象となるパラメータについて説明する。図2は本実施形態において、ログ中の分析対象となるパラメータを示している。本実施形態においては、Attack Signature、Source/Destination Port、およびSource/Destination IPの各パラメータに属するイベントをグループ化し、各パラメータグループの統計的異常値を算出する。Source/Destination Portは送信元/送信先の機器のポート番号を示す。Source/Destination IPは送信元/送信先の機器のIPアドレスを示す。なおSource/Destination PortはSource PortおよびDestination Portの2つのパラメータのうちのいずれか1つを示しており、Source/Destination IPに関しても同様である。
Attack SignatureはIDSから出力されるログに含まれるパラメータである。Attack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。なお、全てのネットワーク型IDSおよび一部のホスト型IDSがAttack Signatureを出力可能である。また、Source/Destination PortおよびSource/Destination IPはIDS、Router、およびFirewallから出力されるログに含まれるパラメータである。Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。上記のパラメータは図2に示されるような複数のイベントからなる。例えば、Attack SignatureにはPing sweep、HTTP Port Probe等のイベントがある。ログ中に同じイベントが複数記録されている場合に、その総数をそのイベントのイベント数と定義する。
次に、本実施形態によるログ分析装置10の動作を説明する。本実施形態においては、一例として、比率分析による比率Dを用いてイベント数の推移を予測する場合の動作を説明する。図3は本実施形態によるログ分析装置10の動作を示すフローチャートである。ログ収集部101はネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS300)。ログ保存部102はログ収集部101によって出力されたログから、分析に用いるパラメータを抽出し、記憶部103に保存する(ステップS310)。運用者から特定のパラメータに関する分析の要求がWebブラウザ301を介してなされると、Webブラウザ301から出力された指示情報がインタフェース部105を介してログ分析部104へ入力される。すると、ログ分析部104は指示情報に基づいて記憶部103から分析対象のパラメータを読み出す(ステップS320)。
ログ分析部104は分析対象のパラメータに関して、後述する分析処理を行い、分析結果を記憶部103に保存する(ステップS330)。続いて、ログ分析部104はインタフェース部105を介して、分析結果をWebブラウザ301へ出力する(ステップS340)。Webブラウザ301上には、例えば「今後の○○イベント数は、増加する確率 30% 減少する確率 70% です。」のように分析結果が表示され、運用者はこの分析結果に基づいて、ネットワーク20〜22に対しての今後の攻撃の推移を判断する。
次に、図3のステップS330における分析処理の詳細について説明する。図4は、ログ分析部104による分析処理を示すフローチャートである。ログ分析部104は図3のステップS320において記憶部103から読み出したパラメータ中のイベントのイベント数に基づいて、比率分析または稀率分析を行う(ステップS3301)。続いて、ログ分析部104は比率分析または稀率分析の結果に基づいて、予測値を算出し、その予測値を記憶部103に格納する(ステップS3302)。
次に、比率分析および稀率分析の詳細について説明する。図5は比率分析モデルの一例を示している。図において、E1〜El1は、ログに記録されているある特定のイベントの単位時間当たりのイベント数を棒グラフで示したものである。この例では、単位時間を一日としている。Elは過去の複数の単位時間(E1〜El0)における各イベント数の平均を示す。また、Esは注目する単位時間E11のイベント数を示す。比率分析における指標となる比率Dは以下の式で表される。
また、図6は稀率分析モデルの一例を示している。Elは過去の複数の単位時間(E1、E2、・・・Ek)におけるイベント数の平均であり、SDは標準偏差である。横軸は平均値Elからの距離を、標準偏差SDを単位として表している。縦軸は、過去の複数の単位時間において、注目するイベントのイベント数が横軸で示される値となった単位時間の数(例えば日数)を表している。標準偏差SDは[数2]より求められる。注目する単位時間当たりのイベント数が長期プロファイルElよりも大きな場合の上側稀率Ruを[数3]、小さな場合の下側稀率Rlを[数4]のように定義する。[数3]および[数4]において、f(E)は正規分布の密度関数であり、以下の[数5]で表される。なお、f(E)として指数分布やガンマ分布などの密度関数を適宜選択して使用してもよい。
比率分析および稀率分析によって算出される比率D、上側稀率Ru、および下側稀率Rlに関しての判断は以下のようになる。まず、D>1.0もしくはRu≒0.0%の場合は、新たな攻撃がインターネット上に出回っていること、内部ホストがワームに感染していること、DDoS(Destributed Denial of Service)攻撃(攻撃者がインターネット上のセキュリティに弱い複数のWebサイトに侵入して攻撃拠点とし、複数の攻撃拠点に仕込んだプログラムを同時に動作させて、攻撃ターゲットのサーバに大量のパケットを送りつけ、サーバの機能を停止させてしまう攻撃)などによる短期のイベント数が急増したことなどを示している。
また、D≒0.0もしくはRl≒0.0%の場合は、普段から出力され続けていたアラームが急に減少もしくは無くなるか、攻撃により機器が停止した状態である。これは、攻撃が収束に向かっている段階、もしくはシステムが停止した状態である。また、D≒1.0もしくはRu、Rl≒50.0%の場合は、普段から検知され続けているログを見分けることができる。これは、既に対策が施されている攻撃、もしくは誤検知されやすいイベントであり、特に注意する必要はない状態である。
次に、本実施形態における予測値の算出手法について説明する。本実施形態においてはベイズ推論により予測値を算出する。以下では、一例として比率分析による比率Dを用いて説明を行うが、稀率分析による上側稀率Ruや下側稀率Rlを用いた場合も同様である。以下の[数6]はベイズ推論の一般式である。
[数6]において、Xは状態を表し、P(X)はその出現確率である。aは観測結果を表し、P(a)はその出現確率である。また、P(a|X)は、Xを条件としたときにaが発生する条件付確率を表す。ベイズ推論を用いて予測値を求めるために、例えば図7に示すようなパラメータを適用する。図7には、X(増加)またはY(減少)を条件としたときにa(D>1.0)またはb(D≦1.0)が発生する条件付確率がそれぞれ示されている。
以下、X,Y,a,bの具体例を示す。
(事象例1)
X:次の日のイベント数(検出数)が当日よりも増加したという事象
Y:次の日のイベント数(検出数)が当日よりも減少したという事象
a:当日のイベント数に係る比率Dに関してD>1.0であるという事象
b:当日のイベント数に係る比率Dに関してD≦1.0であるという事象
また、次の日の検出数が増加したという前提でD>1.0であるという条件付確率P(a|X)を[数7]により求める。P(b|X)、P(a|Y)、P(b|Y)も同様にして求めることができる。
(事象例1)
X:次の日のイベント数(検出数)が当日よりも増加したという事象
Y:次の日のイベント数(検出数)が当日よりも減少したという事象
a:当日のイベント数に係る比率Dに関してD>1.0であるという事象
b:当日のイベント数に係る比率Dに関してD≦1.0であるという事象
また、次の日の検出数が増加したという前提でD>1.0であるという条件付確率P(a|X)を[数7]により求める。P(b|X)、P(a|Y)、P(b|Y)も同様にして求めることができる。
また、P(X)およびP(Y)はそれぞれ[数8]および[数9]により求める。
比率Dに関して、D>1.0である(事象a)場合に、今後検出数が増加する(事象Xが起こる)確率は[数6]によって求められる。ここで、[数6]における右辺の分母は以下の式で表される。
P(a)=P(a|X)P(X)+P(a|Y)P(Y) ・・・(1)
[数7]〜[数9]および(1)式により求められた値を[数6]に代入することにより、次の日の検出数が増加する確率を算出することができる。また、P(X|b)も以下の(2)式または[数10]により求めることができる。ログ分析部104はログ保存部103から読み出したパラメータに属するイベントのイベント数に基づいて、上述した確率の算出を行う。
P(Y|a)=1−P(X|a) ・・・(2)
P(a)=P(a|X)P(X)+P(a|Y)P(Y) ・・・(1)
[数7]〜[数9]および(1)式により求められた値を[数6]に代入することにより、次の日の検出数が増加する確率を算出することができる。また、P(X|b)も以下の(2)式または[数10]により求めることができる。ログ分析部104はログ保存部103から読み出したパラメータに属するイベントのイベント数に基づいて、上述した確率の算出を行う。
P(Y|a)=1−P(X|a) ・・・(2)
また、X,Y,a,b等の他の具体例として以下のものを挙げる。
(事象例2)
X:次の日のイベント数に係る比率Dに関してD>1.0であるという事象
Y:次の日のイベント数に係る比率Dに関してD≦1.0であるという事象
a:当日のイベント数が前日のイベント数よりも増加したという事象
b:当日のイベント数が前日のイベント数よりも減少したという事象
(事象例3)
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数が前日のイベント数よりも増加したという事象
b:当日のイベント数が前日のイベント数よりも減少したという事象
(事象例2)
X:次の日のイベント数に係る比率Dに関してD>1.0であるという事象
Y:次の日のイベント数に係る比率Dに関してD≦1.0であるという事象
a:当日のイベント数が前日のイベント数よりも増加したという事象
b:当日のイベント数が前日のイベント数よりも減少したという事象
(事象例3)
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数が前日のイベント数よりも増加したという事象
b:当日のイベント数が前日のイベント数よりも減少したという事象
(事象例4)
X:次の日のイベント数に係る比率Dに関してD>1.0であるという事象
Y:次の日のイベント数に係る比率Dに関してD≦1.0であるという事象
a:当日のイベント数に係る比率Dに関してD>1.0であるという事象
b:当日のイベント数に係る比率Dに関してD≦1.0であるという事象
(事象例5)
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数に係る比率Dに関してD>10.0であるという事象
b:当日のイベント数に係る比率Dに関してD>1.0かつD≦10.0であるという事象
c:当日のイベント数に係る比率Dに関してD≦1.0かつD>0.1であるという事象
d:当日のイベント数に係る比率Dに関してD≦0.1であるという事象
なお、上記Dの値(例:10.0)を変数として、最適値を常に確認しながら実施するようにしてもよい。すなわち、予測値に関する検証を常日頃から行い、最も予想が的中するDを求めておき、その値を用いて予測を行ってもよい。
X:次の日のイベント数に係る比率Dに関してD>1.0であるという事象
Y:次の日のイベント数に係る比率Dに関してD≦1.0であるという事象
a:当日のイベント数に係る比率Dに関してD>1.0であるという事象
b:当日のイベント数に係る比率Dに関してD≦1.0であるという事象
(事象例5)
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数に係る比率Dに関してD>10.0であるという事象
b:当日のイベント数に係る比率Dに関してD>1.0かつD≦10.0であるという事象
c:当日のイベント数に係る比率Dに関してD≦1.0かつD>0.1であるという事象
d:当日のイベント数に係る比率Dに関してD≦0.1であるという事象
なお、上記Dの値(例:10.0)を変数として、最適値を常に確認しながら実施するようにしてもよい。すなわち、予測値に関する検証を常日頃から行い、最も予想が的中するDを求めておき、その値を用いて予測を行ってもよい。
(事象例6)
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数に係る比率Dに関してD>1.0であり、かつ、当日のイベント数が前日よりも増加したという事象
b:当日のイベント数に係る比率Dに関してD>1.0であり、かつ、当日のイベント数が前日よりも減少したという事象
c:当日のイベント数に係る比率Dに関してD≦1.0であり、かつ、当日のイベント数が前日よりも増加したという事象
d:当日のイベント数に係る比率Dに関してD≦1.0であり、かつ、当日のイベント数が前日よりも減少したという事象
(事象例7)
X:次の時間区間(単位時間)のイベント数が現在の時間区間よりも増加したという事象
Y:次の時間区間のイベント数が現在の時間区間よりも減少したという事象
a:前時間区間のイベント数に係る比率D1および現時間区間のイベント数に係る比率D2に関してD1<D2であるという事象
b:前時間区間のイベント数に係る比率D1および現時間区間のイベント数に係る比率D2に関してD1≧D2であるという事象
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数に係る比率Dに関してD>1.0であり、かつ、当日のイベント数が前日よりも増加したという事象
b:当日のイベント数に係る比率Dに関してD>1.0であり、かつ、当日のイベント数が前日よりも減少したという事象
c:当日のイベント数に係る比率Dに関してD≦1.0であり、かつ、当日のイベント数が前日よりも増加したという事象
d:当日のイベント数に係る比率Dに関してD≦1.0であり、かつ、当日のイベント数が前日よりも減少したという事象
(事象例7)
X:次の時間区間(単位時間)のイベント数が現在の時間区間よりも増加したという事象
Y:次の時間区間のイベント数が現在の時間区間よりも減少したという事象
a:前時間区間のイベント数に係る比率D1および現時間区間のイベント数に係る比率D2に関してD1<D2であるという事象
b:前時間区間のイベント数に係る比率D1および現時間区間のイベント数に係る比率D2に関してD1≧D2であるという事象
(事象例8)
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数が前日のイベント数に対して2倍以上に増加したという事象
b:当日のイベント数が前日のイベント数に対して1倍以上2倍未満に増加したという事象
c:当日のイベント数が前日のイベント数に対して2分の1倍以上1倍未満に減少したという事象
d:当日のイベント数が前日のイベント数に対して2分の1倍未満に減少したという事象
なお、上記の2倍および2分の1倍は、それぞれより一般的に、m倍(1<m)およびn倍(0≦n<1)としてもよい。
X:次の日のイベント数が当日よりも増加したという事象
Y:次の日のイベント数が当日よりも減少したという事象
a:当日のイベント数が前日のイベント数に対して2倍以上に増加したという事象
b:当日のイベント数が前日のイベント数に対して1倍以上2倍未満に増加したという事象
c:当日のイベント数が前日のイベント数に対して2分の1倍以上1倍未満に減少したという事象
d:当日のイベント数が前日のイベント数に対して2分の1倍未満に減少したという事象
なお、上記の2倍および2分の1倍は、それぞれより一般的に、m倍(1<m)およびn倍(0≦n<1)としてもよい。
次に、上述した予想値の算出方法の適用について、図8を参照しながら説明する。図8は、Internet Storm CenterのPort27374において日単位で検出されたパケットの検出数の変化を示すグラフである。Internet Storm CenterはWeb上のトラヒックを監視する世界最大規模のIDSであり、攻撃の多いPortの攻撃検知数の推移や攻撃の傾向などの情報がWeb上で公開されている。
図8のグラフにおいて、10月13日から10月14日にかけて検出数が急激に増加している。普段から日単位ではなく、時間単位で検出数を記録しておけば、検出数が急増したときに、その後も引き続いて検出数が急激に増加することを予測することができる。急激的な増加が起こることを予測した場合には、分単位などのさらに細かい単位で検出数を記録していく。
さらに、攻撃の減少を予測する必要性がある。図8のグラフにおいて、10月14日から10月15日にかけて検出数が急激に減少していることがわかる。検出数の増加率が徐々に小さくなっていく傾向を検知した場合には、検出数の減少の開始を予測することができる。
より具体的には、上述した事象例7におけるパラメータの組み合わせにより、以上の現象の予測を行うことができる。例えば、10月13日から10月14日にかけて検出数が急激に増加し始めた時点において、P(X|a)を算出することにより、今後も引き続いて検出数が増加するのかどうか予測することができる。続いて、検出数が急激に増加し始めた時点以降において、P(X|b)を算出することにより、検出数の増加が緩やかになるのかどうか(検出数がピークに近づいたのかどうか)を予測することができる。
また、検出数のピークが記録された時点において、P(Y|b)を算出することにより、検出数が今後減少するのかどうか予測することができる。続いて、検出数が急激に減少し始めた時点以降において、P(Y|a)を算出することにより、攻撃の終了が近いのかどうか予測することができる。
次に、過去にほとんど検知されていないイベントに対する予測手法について説明する。例えば、Attack Signatureの中には、1ヶ月に数個程度しか検知されないようなイベントもあり、そのような出現頻度の低いイベントに対しては、そのイベント単体では統計的推測が困難である。そこで、類似した推移をたどっている他のイベントの状況も考慮に入れ、予測を行う。例えば、長期間中のイベント検知数が、予測対象イベントの長期間中の検知数に近いもの(より具体的には、長期間中のイベント検知数が、予測対象イベントの長期間中の検知数の±5%以内のものなど)であるイベントを抽出し、それらのイベントの総数に対して、予測を行う。これにより、頻度の低いイベントであっても、類似のイベントを集めたイベントグループに対する予測を行うことができる。
次に、イベントのグループ化について説明する。上述した予測値の算出手法においては、分析対象のパラメータに属する1つ1つのイベントに対して個別に予測値を算出しているが、イベント単体では検知頻度が小さく、上述したように予測が難しい場合がある。また、例えばAttack Signatureには約2000種類のイベントがあり、それらのイベントの個々に対して予測値を算出していたのでは、作業工数および時間が掛かり、予測をリアルタイムに行うことが困難である。
そこで、複数のイベントをグループ化することにより、検知頻度を高め、推定精度を向上させると共に、作業工数および算出時間の低減を図ることができる。以下、グループ化の具体的手法について説明する。
(静的グループ化1)
Attack Signatureを、通信レイヤ、攻撃目的、サービスを考慮して意味内容ごとにグループ化する。図9および図10はSnort IDSから出力されたログ中のAttack Signatureを10個の意味単位(クラス)にグループ化した例である。個数は各グループに含まれるAttack Signatureの数である。Snortルールファイルは、Attack Signatureをある程度の意味単位に集めたファイルである。各Attack Signatureには脆弱性に関するキーが元々割り当てられており、このキーに基づいて意味内容ごとのグループ化を行う。記憶部103には、そのキーとグループとが対応付けられたテーブルが予め格納されており、ログ分析部104は、そのテーブルを参照してイベントのグループ化を行う。
Attack Signatureを、通信レイヤ、攻撃目的、サービスを考慮して意味内容ごとにグループ化する。図9および図10はSnort IDSから出力されたログ中のAttack Signatureを10個の意味単位(クラス)にグループ化した例である。個数は各グループに含まれるAttack Signatureの数である。Snortルールファイルは、Attack Signatureをある程度の意味単位に集めたファイルである。各Attack Signatureには脆弱性に関するキーが元々割り当てられており、このキーに基づいて意味内容ごとのグループ化を行う。記憶部103には、そのキーとグループとが対応付けられたテーブルが予め格納されており、ログ分析部104は、そのテーブルを参照してイベントのグループ化を行う。
(静的グループ化2)
Source/Destination IPを国単位、もしくはドメイン単位でグループ化する。図11は、IPアドレスをそのIPアドレスが所属する国名へ変換するための変換テーブルを示している。図において、例えばIPアドレスが0.0.0.0〜0.255.255.255はUS(アメリカ合衆国)、24.42.0.0〜24.43.255.255はCA(カナダ)に所属することがわかる。
Source/Destination IPを国単位、もしくはドメイン単位でグループ化する。図11は、IPアドレスをそのIPアドレスが所属する国名へ変換するための変換テーブルを示している。図において、例えばIPアドレスが0.0.0.0〜0.255.255.255はUS(アメリカ合衆国)、24.42.0.0〜24.43.255.255はCA(カナダ)に所属することがわかる。
この変換テーブルは、IANA(The Internet Assigned Numbers Authority)等で管理されているIPアドレスとドメイン表から作成することができる。IPアドレスからドメインへの変換を示す変換テーブルも同様に作成することができる。この場合も、ログ分析部104は、記憶部103中の変換テーブルに基づいて各イベントをグループ化する。
以上のような静的グループ化を行う場合、ログ分析部104は所定の単位ごとにイベントをグループ化し、各グループを識別する情報と、そのグループ内の総イベント数を示す情報とを記憶部103に格納する。ログ分析部104は、過去の単位時間におけるイベントおよび注目する単位時間におけるイベントを上記の所定の単位ごとにグループ化する。続いて、ログ分析部104は、グループ化後の各グループを1つのイベントとみなし、前述した比率分析を行い、それらの結果に基づいて、予測値の算出を行う。
(動的グループ化1)
分析対象のパラメータに関して、各イベントをイベント数順に並べ替え、イベントの総数に基づいて、各グループ内の総イベント数がほぼ均等になるようにグループ化を行う。図12は、この場合のグループ化の様子を示している。図において、棒グラフの1つ1つがイベント(HTTP Port Probe、Smurf Attack・・・)を表しており、縦軸方向の棒の長さがイベント数を表している。図においては、一例として各イベントをイベント数の多い順に左から並べ、各グループ内の総イベント数がほぼ均等になるように左からG1、G2・・・とグループ名を付けた様子が示されている。
分析対象のパラメータに関して、各イベントをイベント数順に並べ替え、イベントの総数に基づいて、各グループ内の総イベント数がほぼ均等になるようにグループ化を行う。図12は、この場合のグループ化の様子を示している。図において、棒グラフの1つ1つがイベント(HTTP Port Probe、Smurf Attack・・・)を表しており、縦軸方向の棒の長さがイベント数を表している。図においては、一例として各イベントをイベント数の多い順に左から並べ、各グループ内の総イベント数がほぼ均等になるように左からG1、G2・・・とグループ名を付けた様子が示されている。
この場合、ログ分析部104はイベントをグループ化し、各グループを識別する情報と、そのグループ内のイベント総量を示す情報とを記憶部103に格納する。動的グループ化1においては、ログ分析部104は以下のようにグループ化を行う。例えば、イベントを6グループに分割し、各グループ内のイベント数が総イベント数の約6分の1となるようにグループ化することにする。図12において、左のイベントからイベント数を順に加算していき、その量が総イベント数の6分の1以上となったところで1つのグループとする。このとき、例えばイベント数の最下位の桁は四捨五入するなどの処理を行う。
あるいは、左のイベントからイベント数を加算していき、その量が総イベント数の6分の1を超えたところで1つのグループとする。以上の方法により、1つ目のグループ化を行い、次のグループに関してはイベント数が残りのイベント数の約5分の1となるように、上述した方法と同様に2つ目のグループ化を行う。さらに次のグループに関しても同様に、イベント数が残りのイベント数の約4分の1となるように、3つ目のグループ化を行う。これを繰り返し行うことにより、イベントを6グループに分割する。なお、上述した方法は一例であり、各グループ内のイベント数がほぼ均等となるようにグループ化できれば、その方法は問わない。
(動的グループ化2)
分析対象のパラメータに関して、各イベントをイベントのID順に並べ替え、イベントの総数に基づいて、各グループ内の統イベント数がほぼ均等になるようにグループ化を行う。ここでIDとは、Attack Signatureの場合は製品ごとに決められたAttack Signature番号であり、Source/Destination Portの場合はPort番号であり、Source/Destination IPの場合はIPアドレス順位である。図13はこの場合のグループ化の様子を示している。各グループ内の総イベント数がほぼ均等になるようなグループ化の方法は動的グループ化1と同様である。
分析対象のパラメータに関して、各イベントをイベントのID順に並べ替え、イベントの総数に基づいて、各グループ内の統イベント数がほぼ均等になるようにグループ化を行う。ここでIDとは、Attack Signatureの場合は製品ごとに決められたAttack Signature番号であり、Source/Destination Portの場合はPort番号であり、Source/Destination IPの場合はIPアドレス順位である。図13はこの場合のグループ化の様子を示している。各グループ内の総イベント数がほぼ均等になるようなグループ化の方法は動的グループ化1と同様である。
図において、棒グラフの1つ1つがパラメータ(HTTP Port Probe、Smurf Attack・・・)を表している。図においては、各グループ内の総イベント数がほぼ均等になるように左からG1、G2・・・とグループ名を付けた様子が示されている。この場合のログ分析装置10の動作等は動的グループ化1と同様である。この手法は、Attack Signature、Source/Destination Port、およびSource/Destination IPの分析への適用が好適である。
動的グループ化を行う場合、ログ分析部104は、過去のある単位時間のデータに基づいてイベントの動的グループ化を行い、グループ化後の各グループを識別する情報と、そのグループ内の総イベント数を示す情報と、分割形態(分割数、イベント種別とグループの識別情報との対応関係など)を示す情報とを記憶部103に格納する。そして、ログ分析部104は分割形態を示す情報に基づいて、残りの過去の各単位時間におけるイベントおよび注目する現在の単位時間におけるイベントをグループ化する。続いて、ログ分析部104は、グループ化後の各グループを1つのイベントとみなし、前述した比率分析を行い、それらの結果に基づいて、予測値の算出を行う。
以上のように、イベントのグループ化を行うことにより、計算対象となる変数の数を減らすことができるので、異常値の算出に要する時間を低減することができる。また、グループ化によってネットワーク全体のログの傾向を大きく捉えることができると共に、異常に関する誤検出の低減により、分析の信頼性を向上させることができる。
図14は、図3のステップS330における分析処理において、ログ分析部104がイベントのグループ化を行う場合の分析処理例を示すフローチャートである。ログ分析部104は図3のステップS320において記憶部103から読み出したパラメータ中のイベントをグループ化する(ステップS3303)。続いて、ログ分析部104は、各グループ内のイベント総数に基づいて、比率分析または稀率分析を行う(ステップS3304)。続いて、ログ分析部104は比率分析または稀率分析の結果に基づいて、予測値を算出し、その予測値を記憶部103に格納する(ステップS3305)。
なお、上述したグループ化において、グループの数はユーザが選択できるようにしてもよい。また、全てのイベントを一つのグループとしてもよく、その場合は、特定のパラメータに属する全イベントの総数に関して予測を行うことになり、攻撃を特定せず、単に攻撃の増減を予測するような概況把握に適している。
なお、上述した分析処理においては、分析対象のネットワークを固定し、特定の単位時間当たりのイベント数が過去の複数の単位時間当たりのイベント数に対してどの程度異常であるかを評価する手法を示したが、以下のような分析処理を行うこともできる。すなわち、分析対象の期間を固定したときに、特定のネットワークで検知された特定のパラメータに関するイベントのイベント数(自網プロファイルと定義する)が、他の複数のネットワークで検知された同じ特定のパラメータに関するイベントの1ネットワーク当たりのイベント数の平均(他網プロファイルと定義する)に対してどの程度異常であるかを評価する手法である。
例えば、比率分析において、分析対象のネットワークにおける自網プロファイルをEmとし、このネットワークを含まない他の各ネットワークにおける他網プロファイルをEoとすると、比率Dは以下の[数11]のように表される。同様にして、稀率分析における上側稀率および下側稀率を計算することができる。これらの値を用いて、前述した予測値の算出を行うことにより、他のネットワークから注目するネットワークへのパケットの数が今後どのくらいの確率で増加または減少するのか等を知ることができる。
なお、上記の実施形態において、予測範囲を絞る手法も有効である。多くのサイバーテロは、OS(Operating System)やプロトコルの脆弱性がインターネット上で公開されてから2〜4週間後に発生している。例えば、MS−Blasterワームは、2003年7月中旬にOSの脆弱性に関する情報が公開された後、2003年8月中旬にインターネット上を蔓延した。したがって、この脆弱性の公開情報を考慮することにより、予測の範囲を絞り、予測精度を向上させることができる。
この脆弱性の公開情報としては、例えば特定のPort番号が挙げられる。ユーザはインターネット上でそのPort番号を確認し、ログ分析装置10の図示せぬ操作部からPort番号を入力する。このPort番号は記憶部103に記憶され、ログ分析部104はこのPort番号に関係するイベントのみを選択し、前述した分析処理を行う。上述した脆弱性の公開情報としては、OSの種類とバージョン、アプリケーションの種類とバージョン、通信プロトコルの種類とバージョン、ハードウェアの種類とバージョン等もあり、これらに関係するイベントのみについて前述した分析処理を行ってもよい。
なお、本実施形態における各事象例においては、単位時間が日であるとしているが、秒・分・時間・週・月・年などを単位時間としてもよい。さらに、単位時間の設定に関しては、以下のようなものであってもよい。例えば、注目する日が月曜日であり、次の日(火曜日)のイベント数に関する予測値を求めたいという場合に、比率分析や稀率分析における過去の複数の単位時間のデータとして、過去の月曜日に検知されたイベントのデータとする。また、注目する時刻が12時であり、1時のイベント数に関する予測値を求めたいという場合に、比率分析や稀率分析における過去の複数の単位時間のデータとして、過去の11時から12時に検知されたイベントのデータとする。
この場合、ログ分析部104は、記憶部103に格納されているイベントの時刻情報に基づいて、所定の時間単位のイベントを読み出し(例えば、月曜日に記録されたイベントのみ、あるいは11時〜12時に記録されたイベントのみ等)、そのイベントのイベント数に基づいて前述した分析処理を行う。イベントの時刻情報とは、イベントがIDS等によって検知されてログに記録された時刻に関する情報である。近年の攻撃の多くが、潜伏期間や発症・伝播期間を有するウィルスやワームによるものであり、攻撃の周期性を考慮に入れた上記の手法により、予測値の精度が向上する。
以上説明したように、本実施形態によれば、様々なネットワーク機器から出力されるログ中のパラメータに属するイベントのイベント数に基づいて、ネットワークの異常度に関する異常値(比率分析における比率D、稀率分析における上側稀率Ru・下側稀率Rlなど)を算出し、その異常値に関する所定の条件(当日のイベント数に係る比率Dに関してD>1.0等)が満たされた場合に、所定の事象(次の日のイベント数が当日よりも増加したという事象)が発生する条件付確率をベイズ推論により算出するようにしたので、未来のイベント数の推移を客観的に予測することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態におけるログ分析装置は、その動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させることにより実現してもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したログ分析プログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上述したログ分析プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・Webブラウザ。
Claims (4)
- ネットワーク機器から収集したログに基づいて分析処理を行うログ分析装置において、
前記ネットワーク機器から出力されるログを収集する収集手段と、
前記収集手段によって収集されたログのうち、所定の単位時間のデータで構成される第1のログ中のイベントを、各グループ内のイベントの記録数の総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化を行うと共に、前記収集手段によって収集されたログのうち、前記所定の単位時間を除く他の単位時間および注目する単位時間のデータで構成される第2のログ中のイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を行うグループ化手段と、
前記グループ化手段による前記第2のグループ化で分割された各グループ内のイベントの記録数の総量に基づいて、ネットワークの異常度に関する値を算出する異常値算出手段と、
該異常値が所定の数値範囲に含まれる場合に、前記ログ中のイベントの記録数が増加する事象または前記ログ中のイベントの記録数が減少する事象が発生する条件付確率を、前記第2のログを用いて算出する確率算出手段と、
を具備することを特徴とするログ分析装置。 - ネットワーク機器から収集したログに基づいて分析処理を行うログ分析方法において、
コンピュータが、
前記ネットワーク機器から出力されるログを収集するステップと、
収集したログのうち、所定の単位時間のデータで構成される第1のログ中のイベントを、各グループ内のイベントの記録数の総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化を行うと共に、収集したログのうち、前記所定の単位時間を除く他の単位時間および注目する単位時間のデータで構成される第2のログ中のイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を行う第1のステップと、
前記第2のグループ化で分割された各グループ内のイベントの記録数の総量に基づいて、ネットワークの異常度に関する異常値を算出する第2のステップと、
該異常値が所定の数値範囲に含まれる場合に、前記ログ中のイベントの記録数が増加する事象または前記ログ中のイベントの記録数が減少する事象が発生する条件付確率を、前記第2のログを用いて算出する第3のステップと、
を具備することを特徴とするログ分析方法。 - ネットワーク機器から収集したログに基づいた分析処理をコンピュータに実行させるためのログ分析プログラムにおいて、
前記ネットワーク機器から出力されるログを収集するステップと、
収集したログのうち、所定の単位時間のデータで構成される第1のログ中のイベントを、各グループ内のイベントの記録数の総量が均等に近づくようにイベント毎に複数のグループに分割する第1のグループ化を行うと共に、収集したログのうち、前記所定の単位時間を除く他の単位時間および注目する単位時間のデータで構成される第2のログ中のイベントを、前記第1のグループ化のときと同じグループを用いてイベント毎に複数のグループに分割する第2のグループ化を行う第1のステップと、
前記第2のグループ化で分割された各グループ内のイベントの記録数の総量に基づいて、ネットワークの異常度に関する異常値を算出する第2のステップと、
該異常値が所定の数値範囲に含まれる場合に、前記ログ中のイベントの記録数が増加する事象または前記ログ中のイベントの記録数が減少する事象が発生する条件付確率を、前記第2のログを用いて算出する第3のステップと、
をコンピュータに実行させるためのログ分析プログラム。 - 請求項3に記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004004567A JP4500921B2 (ja) | 2004-01-09 | 2004-01-09 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004004567A JP4500921B2 (ja) | 2004-01-09 | 2004-01-09 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005196675A JP2005196675A (ja) | 2005-07-21 |
| JP4500921B2 true JP4500921B2 (ja) | 2010-07-14 |
Family
ID=34819148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004004567A Expired - Fee Related JP4500921B2 (ja) | 2004-01-09 | 2004-01-09 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4500921B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102260272B1 (ko) * | 2019-12-12 | 2021-06-03 | 한국과학기술정보연구원 | 보안 정보 가시화 장치, 보안 정보 가시화 방법 및 보안 정보를 가시화 하는 프로그램을 저장하는 저장매체 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007304855A (ja) * | 2006-05-11 | 2007-11-22 | Hitachi Electronics Service Co Ltd | ログ収集システム及び監視装置 |
| JP4905086B2 (ja) | 2006-11-29 | 2012-03-28 | 富士通株式会社 | イベント種類推定システム、イベント種類推定方法およびイベント種類推定プログラム |
| KR100937329B1 (ko) | 2007-11-15 | 2010-01-18 | 주식회사 케이티 | 로그 샘플링 방법 및 시스템 |
| US8620933B2 (en) | 2011-04-11 | 2013-12-31 | Google Inc. | Illustrating cross channel conversion paths |
| US8510326B2 (en) | 2011-04-11 | 2013-08-13 | Google Inc. | Priority dimensional data conversion path reporting |
| US8655907B2 (en) | 2011-07-18 | 2014-02-18 | Google Inc. | Multi-channel conversion path position reporting |
| US8959450B2 (en) | 2011-08-22 | 2015-02-17 | Google Inc. | Path explorer visualization |
| JP6004948B2 (ja) * | 2013-01-09 | 2016-10-12 | 三菱電機株式会社 | 負荷量予測装置、負荷量予測方法および負荷量予測プログラム |
| JP6201614B2 (ja) | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
| US9916445B2 (en) | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
| CN106326025A (zh) * | 2016-08-23 | 2017-01-11 | 乐视控股(北京)有限公司 | 浏览器异常处理方法及装置 |
| US11288161B2 (en) | 2016-12-27 | 2022-03-29 | Nec Corporation | Anomaly detection method, system, and program |
| JP7167439B2 (ja) * | 2017-12-28 | 2022-11-09 | 株式会社リコー | 情報処理装置、脆弱性検知方法およびプログラム |
| CN111428440B (zh) * | 2018-12-24 | 2023-08-15 | 中移动信息技术有限公司 | 一种基于条件概率的时序日志样本自动标注方法及装置 |
-
2004
- 2004-01-09 JP JP2004004567A patent/JP4500921B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102260272B1 (ko) * | 2019-12-12 | 2021-06-03 | 한국과학기술정보연구원 | 보안 정보 가시화 장치, 보안 정보 가시화 방법 및 보안 정보를 가시화 하는 프로그램을 저장하는 저장매체 |
| US11876820B2 (en) | 2019-12-12 | 2024-01-16 | Korea Institute Of Science & Technology Information | Security information visualization device, security information visualization method, and storage medium for storing program for visualizing security information |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005196675A (ja) | 2005-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11693964B2 (en) | Cyber security using one or more models trained on a normal behavior | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| JP4500921B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
| Carl et al. | Denial-of-service attack-detection techniques | |
| US9191400B1 (en) | Cyphertext (CT) analytic engine and method for network anomaly detection | |
| Fachkha et al. | Towards a forecasting model for distributed denial of service activities | |
| US20170208084A1 (en) | System and Method for Attribution of Actors to Indicators of Threats to a Computer System and Prediction of Future Threat Actions | |
| US20170208085A1 (en) | System and Method for Prediction of Future Threat Actions | |
| US20100268818A1 (en) | Systems and methods for forensic analysis of network behavior | |
| JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| JP4156540B2 (ja) | ログ分析装置、ログ分析プログラムおよび記録媒体 | |
| Stiawan et al. | Characterizing network intrusion prevention system | |
| Zhan et al. | A characterization of cybersecurity posture from network telescope data | |
| KR100625096B1 (ko) | 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템 | |
| US10951645B2 (en) | System and method for prevention of threat | |
| Fachkha et al. | On the inference and prediction of DDoS campaigns | |
| KR100950079B1 (ko) | 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법 | |
| KR101113615B1 (ko) | 네트워크 위험도 종합 분석 시스템 및 그 방법 | |
| KR20130014300A (ko) | 사이버 위협 사전 예측 장치 및 방법 | |
| JP4160002B2 (ja) | ログ分析装置、ログ分析プログラムおよび記録媒体 | |
| US20170346834A1 (en) | Relating to the monitoring of network security | |
| JP4060263B2 (ja) | ログ分析装置およびログ分析プログラム | |
| Qassim et al. | Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems. | |
| US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
| EP1983714A1 (en) | Method for detection of malign instrusions in a communication system and related detector |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061106 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20061107 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20061106 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070904 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090915 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091215 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100309 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100317 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |