JP4523480B2 - ログ分析システム、分析方法及びログ分析装置 - Google Patents
ログ分析システム、分析方法及びログ分析装置 Download PDFInfo
- Publication number
- JP4523480B2 JP4523480B2 JP2005139865A JP2005139865A JP4523480B2 JP 4523480 B2 JP4523480 B2 JP 4523480B2 JP 2005139865 A JP2005139865 A JP 2005139865A JP 2005139865 A JP2005139865 A JP 2005139865A JP 4523480 B2 JP4523480 B2 JP 4523480B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- analysis
- statistical information
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Description
本発明は、ログ分析システム、分析方法及びログ分析装置に係り、特に、不正パケットの送信等によりネットワーク上に発生したインシデントの状況を分析するログ分析システム、分析方法及びログ分析装置に関する。
ネットワークを介する不正アクセスを検出する手段として、FW(ファイアウォール)やIDS(侵入検知装置)と呼ばれるセキュリティ装置を設置する方法が知られている。また、これらセキュリティ装置を一元的に管理して、セキュリティ装置が収集したログのパターン分析を行ったり、過去の事例と比較したりすることにより、より正確にネットワーク上で発生したインシデントの発生を検出することを可能とする方法も知られている。ここでいう、インシデントとは、コンピュータセキュリティに関連した意図的あるいは偶発的に発生した事件や出来事をいう。
前者の不正アクセスを検出する方法に関する従来技術として、例えば、特許文献1等に、IDSに関する技術が記載されて知られている。また、後者のセキュリティイベントを分析することによりインシデントの検出精度を向上させる方法に関する従来技術として、例えば、特許文献2等に、過去のモデルとの対比に基づいて分析を行う技術が記載されて知られている。
特開2002−342276号公報
特開2004−336130号公報
前述した従来技術によってインシデントを検出し、分析しようとする場合、複数の原因からなるインシデントの検出が困難になる傾向にある。すなわち、前述した従来技術は、単一あるいは少数の攻撃をインシデントとして効率的に検出、分析することが可能であるが、多数の攻撃が重なって発生した場合に、攻撃モデルを生成したり、比較したりすることが非常に困難となり、効率的なインシデントの検出、分析が困難であるという問題点を有している。
本発明の目的は、前述した従来技術の問題点を解決し、ネットワークに設置されているIDSやFW等のセキュリティ装置が検出したイベントに基づいて、効率的にインシデントを検知することを可能にしたログ分析システム、分析方法及びログ分析装置を提供することにある。
本発明は、ネットワーク上で発生した1つあるいは複数の攻撃を記録したセキュリティ装置のイベントログに対し、効率的に特徴付けを行い、その中の特異な変化を検出することにより、これまで検出が困難だった複雑なインシデントを検出することを可能としたログ分析システム、分析方法及びログ分析装置を提供する。
本発明によれば前記目的は、ネットワーク上で発生したインシデントの状況を分析するログ分析システムにおいて、セキュリティ装置と、収集装置と、分析装置とを備え、前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知する手段と、不正なパケットを検知したときにイベント情報を前記収集装置に送信する手段とを備えて構成され、前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納する手段と、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索する手段と、検索したイベントを前記分析装置に送信する手段とを備えて構成され、前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、 前記分析結果の情報の中から全てのイベント統計情報の類似性を検証する手段と、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示する手段と、前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索する手段と、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示する手段と、前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索する手段と、イベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることにより達成される。
また、前記目的は、ネットワーク上で発生したインシデントの状況を分析するログ分析システムでのログ分析方法において、セキュリティ装置と、収集装置と、分析装置とを備え、前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知し、不正なパケットを検知したときにイベント情報を前記収集装置に送信し、前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納し、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索し、検索したイベントを前記分析装置に送信し、前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信し、要求により前記収集装置から取得したイベント情報を分析し、分析結果の情報を分析データベース格納し、さらに、取得したイベント情報に基づいてイベント統計情報を作成し、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成し、 前記分析結果の情報の中から全てのイベント統計情報の類似性を検証し、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示し、前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索し、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示し、前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索し、イベント統計情報の一覧を表示装置に順位付けて表示することにより達成される。
また、前記目的は、ネットワーク上で発生したインシデントの状況を分析するログ分析装置において、前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を、セキュリティ装置がネットワーク上を流れる不正なパケットを検知して得たイベント情報をセキュリティ装置から取得してイベントデータベースに格納している収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、前記周波数成分に基づいた分析を行いインシデントの発生傾向を判断する手段とを備え、前記分析結果の情報の中から全てのイベント統計情報の類似性を検証する手段と、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示する手段と、前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索する手段と、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示する手段と、前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索する手段と、イベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることにより達成される。
前述により、複数の攻撃が重なり合ったインシデントや、時差や生活習慣などといった影響により個々の攻撃タイミングに差異が生じて発生したインシデントを正確に特徴付けることが可能となり、定常的に発生している攻撃と突発的に発生した攻撃とを判別することが可能となる。
本発明によれば、これまで検出が困難であったインシデントを検出することが可能となり、また、インシデント対策の判断支援を容易に行うことができる。
以下、本発明によるログ分析システム及び分析方法の実施形態を図面により詳細に説明する。
図1は本発明の一実施形態によるログ分析システムの構成を示すブロック図である。図1において、10はログ分析システム、11は端末装置、12はIDS(侵入検知装置)、13はFW(ファイアウォール)、14は収集装置、15は分析装置、16はアラート通知装置、18はローカルエリアネットワーク、19は管理用ネットワーク、50はインターネットである。
本発明の実施形態によるログ分析システム10は、ローカルエリアネットワーク18を介して複数の端末装置11と、IDS12と、FW13とが互いに接続され、また、管理用ネットワーク19を介してIDS12と、FW13と、収集装置14と、分析装置15と、アラート通知装置16とが互いに接続され、FW13が外部のネットワークであるインターネット50に接続されて構成される。そして、前述の装置11〜16を構成するハードウェアは、実質的に同様のユニットを有して構成されている。
図2は端末装置11、IDS12、FW13のハードウェア構成を示すブロック図、図3は収集装置14、分析装置15、アラート通知装置16のハードウェア構成を示すブロック図であり、次に、装置11〜16のハードウェア構成について説明する。
端末装置11は、パーソナルコンピュータ(PC)のようなクライアントであり、それぞれ、バス1101に接続された、演算装置1102と、表示装置1103と、入力装置1104と、メモリ1105と、記憶装置1106と、通信装置1107とを備えて構成される。IDS12は、ローカルエリアネットワーク18を流れる不正なパケットを検出する装置であり、バス1201に接続された、演算装置1202と、表示装置1203と、入力装置1204と、メモリ1205と、記憶装置1206と、通信装置1207、1208とを備えて構成される。FW13は、インターネット50とローカルエリアネットワーク18との接続部で特定のパケットを遮断する装置であり、バス1301に接続された、演算装置1302と、表示装置1303と、入力装置1304と、メモリ1305と、記憶装置1306と、通信装置1307〜1309とを有して構成される。
また、収集装置14は、IDS12やFW13が出力するイベントを収集する装置であり、バス1401に接続された、演算装置1402と、表示装置1403と、入力装置1404と、メモリ1405と、記憶装置1406と、通信装置1407とを備えて構成される。分析装置15は、イベントを分析する装置であり、バス1501に接続された、演算装置1502と、表示装置1503と、入力装置1504と、メモリ1505と、記憶装置1506と、通信装置1507とを備えて構成される。アラート通知装置16は、分析結果を通知する装置であり、バス1601に接続された、演算装置1602と、表示装置1603と、入力装置1604と、メモリ1605と、記憶装置1606と、通信装置1607とを備えて構成される。
図4は端末装置11、IDS12、FW13の機能構成を示すブロック図、図5は収集装置14、分析装置15、アラート通知装置16の機能構成を示すブロック図であり、次に、図4、図5を参照して、装置11〜16の機能構成及びそれらに関連するソフトウェア情報について説明する。
端末装置11は、通常時、記憶装置1106に記憶されたプログラムを演算装置1102で実行して所期の機能を実現している。そして、本発明の実施形態における端末装置11の1つは、不正行為を行う端末装置であり、その端末装置11は、ローカルエリアネットワーク18との間で情報の送受信を行うデータ送受信部111と、それらを制御する不正通信プログラム112とを有して構成されている。
不正通信プログラム112は、ウイルスやワームや不正アクセス行為によって不正なパケットをネットワーク上に送信するプログラムである。この端末装置11により行われる不正行為は、FW11やIDS12で検出される。また、このような不正行為を働く端末装置11は、ローカルエリアネットワーク以外にも、インターネット50に接続された世界各国のネットワークにも散在する可能性がある。
IDS12は、ローカルエリアネットワーク18を流れる不正なパケットを検知し、異常を知らせるイベントを発行する。このIDS12は、図4に示すように、ローカルエリアネットワーク18を流れるパケットを受信するデータ送受信部121と、そのパケットが不正であるか否かを判断し、不正なパケットを検知した場合には、収集装置14に対し異常を知らせるためのイベントを送信するデータ送受信部123と、それらを制御する検知プログラム122とを有して構成されている。
FW13は、ローカルエリアネットワーク18とインターネット50との間で、互いのネットワークを行き来するパケットの中から、特定の条件に合ったパケットを破棄(遮断)あるいは許可(通過)する機能を有する。このFW13は、図4に示すように、インターネット50からローカルエリアネットワーク18に向けた通信データを受信し、あるいは、ローカルエリアネットワーク18からインターネット50に向けた通信データを送信するデータ送受信部134と、インターネット50からローカルエリアネットワーク18に向けた通信データを送信、あるいは、ローカルエリアネットワーク18からインターネット50に向けた通信データを受信するデータ送受信部131と、これらの通信状況をイベントとして収集装置14に対して送信するデータ送受信部133と、それらを制御するアクセス制御プログラム132とを備えて構成されている。
収集装置14は、IDS12あるいはFW13から取得したイベント情報、分析装置15のイベント取得要求に対してイベント取得結果などを送受信するデータ送受信部141と、イベントを正規化して格納するイベントデータベース(DB)143と、それらを制御するイベント収集正規化プログラム142とを備えて構成される。そして、収集装置14は、分析装置15のイベント取得要求に応じてイベントDBから、該当するイベントを検索し、分析装置15にイベント取得結果を返す。なお、DB143は、記憶装置1406内に形成されており、このイベントDB143に格納されるイベント情報144は、IDS12あるいはFW13から取得した1つあるいは複数のイベントを、共通のフォーマットに正規化した情報である。このイベント情報の構成例及びイベント取得要求の構成例については後述する。
分析装置15は、収集装置14から取得したイベント情報を分析した結果等を格納するための分析DB153と、イベント取得要求、イベント取得結果、アラート通知命令などを送受信するデータ送受信部151と、それらを制御するログ分析プログラム152とを備えて構成される。そして、分析DB153には、収集装置14から取得したイベント取得結果をもとにイベントを時系列に度数分布化したイベント統計情報154と、統計情報を周波数成分に変換した周波数成分情報155と、周波数成分情報に基づき分析した結果を蓄積した分析情報156等が格納される。なお、分析DB153は、記憶装置1506内に形成され、格納される前述した各情報の詳細については後述する。
アラート通知装置16は、分析装置15から受信したアラート通知命令や、通知先情報等のアラート情報164を格納するためのアラートDB163と、アラート通知命令、アラート通知等を送受信するデータ送受信部161と、それらを制御するアラート通知プログラム162とを備えて構成されている。アラートDB163は、記憶装置1606に形成される。アラートとは、分析の結果、危険度が高いと判断されて管理者あるいはユーザなどに対して通知する必要がある情報であり、メールやWEB等の通信手段を用いて管理者やユーザ等に対して送信する情報であり、その詳細については後述する。
図6は収集装置14のイベントDB143に格納されたイベント情報144の構成、分析装置15から収集装置14へのイベント取得要求の構成、イベント取得要求に対して収集装置14が分析装置15に送信するイベント取得結果の構成を示す図である。
収集装置14のイベントDB143に格納されたイベント情報情報144は、例えば、図6に示すように、1つ1つのイベントに対し、イベントの検出日時、イベントの関連するパケットの発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、通信プロトコル、不正の種類を示した検出タイプ、検出した装置を識別するための検出装置識別子等を含んで構成される。本発明の実施形態では、端末装置11の不正通信プログラム112によって送信されたパケットをIDS12が検出して、収集装置14に向けてイベントを送信するので、収集装置14は、これを受けて、不正通信プログラム112によって送信されたパケットをIDS12が検出した日時、端末装置11のIPアドレス、端末装置11のポート番号、端末装置11が不正なパケットを送信した宛先IPアドレス、宛先ポート番号等をイベントDB143に格納する。
分析装置15から収集装置14へのイベント取得要求は、図6に示すように、イベント取得要求を識別するための取得要求識別子、検索対象とするイベントの発生期間(開始日時、終了日時)、イベントに記録された発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル、検出タイプ、検出装置識別子等を含んで構成される。また、イベント取得要求に対して収集装置14が分析装置15に送信するイベント取得結果は、結果の元となったイベント取得要求のイベント要求識別子と、イベント取得要求に含まれる検索条件に合致したイベントの検索件数等を含んで構成される。
図7は分析装置15の分析DB153に格納されるイベント統計情報154と、統計情報を周波数成分に変換した周波数成分情報155との構成を示す図である。
収集装置14から取得したイベント取得結果をもとに、分析装置15がイベントを時系列に度数分布化してイベント統計情報154を作成するが、度数分布化とは、図6に示して説明したイベント情報のような、1つのイベントを1つのレコードとして記録しているデータから、図7に示すイベント統計情報のような、一定期間内に発生したイベントの回数(度数)に変換することであり、例えば、1日(24時間)分のイベント情報を1時間区切り(すなわち、サンプリング間隔が1時間)に度数分布化することにより24個のデータ(各時間のイベント発生回数)に変換することである。図7に示す例では、これらのデータをデータ1〜データnとして、それぞれにイベント発生の度数を示している。また、周波数成分とは、図7に示すようなイベント統計情報を、例えば、フーリエ変換等の手法を用いて周波数分解し、イベント統計情報に含まれる度数の変移状態に含まれる周波とその周波の強度の組に変換することであり、例えば、約1秒周期で発生するインシデントに関連するイベント統計情報は、周波数1Hzの強い周波と、それ以外の周波数を持つ弱い周波とに分解することである。図7に示す例では、周波数成分1〜周波数成分nのそれぞれについてその周波数と強度とを示している。
本発明の実施形態では、分析装置15の分析ログプログラム152の実行により、収集装置14に収集されたイベント情報を取得して、統計情報に変換する。その統計情報に対し、フーリエ変換を用いて周波数分解を行い、統計情報毎に周波数成分情報を生成する。この周波数成分に基づき、分析を行い分析結果の表示や、アラート通知装置に対してアラートの通知命令を送信する。すなわち、IDS12やFW13が検出したイベント情報を周波数成分に基づき分析し、周波数の偏りや変化を分析結果として管理者やユーザなどに対して報告する。
図8はアラート通知装置16が管理者やユーザ等に対して送信するアラート通知情報の構成を示す図である。アラート通知情報は、例えば、図8に示すように、アラートの通知先、通知日時、分析の対象となった情報、その情報の現象などを記述した内容、同じ現象が発生していると分析されたその他の関連アラート等を含んで構成されている。
図9は本発明の実施形態によるログ分析システムの動作の概要を説明する図であり、次に、これについて説明する。
(1)最初に、不正行為を行う端末装置11が不正通信プログラム112の実行によって、ローカルエリアネットワーク18あるいはインターネット50を介して、他の端末装置11などに不正なパケットを送信して攻撃を行う(ST0)。
(2)IDS12及びFW13は、並行してまたは逐次的に、それぞれ、検知プログラム122、アクセス制御プログラム132を実行することにより、ローカルエリアネットワーク18あるいはインターネット50を流れるパケットを監視している(ST01)。
(3)ローカルエリアネットワーク18あるいはインターネット50を流れる不正なパケットは、前述のIDS12またはFW13による監視により検知される(ST1)。
(4)前述の不正なパケットを検知したIDS12またはFW13は、逐次あるいは定期的に収集装置14にイベント情報を送信する(ST2)。
(5)収集装置14は、IDS12またはFW13からイベント情報を収集し、イベント収集正規化プログラム142の実行により、イベント情報を図6に示して説明したような共通の形式に正規化してイベントDB143に格納する(ST3)。
(6)分析装置15は、ログ分析プログラム152の実行により、逐次的あるいは定期的に収集装置14に対して図6に示して説明したようなイベント取得要求を送信する(ST4)。
(7)収集装置14は、ST4で送信されてきたイベント取得要求を受信すると、イベントDB143からイベント取得要求を満たしたイベントに関する情報を図6に示して説明したようなイベント取得結果として、分析装置15に送信する(ST5)。
(8)分析装置15は、収集装置14からイベント取得結果を受信し、図7に示して説明したような、イベント統計情報に変換して分析DB153に格納し、また、逐次あるいは定期的に分析DB153からイベント統計情報154に対しフーリエ変換を用いて周波数分解して、図7に示して説明したような周波数成分情報として分析DB153に格納する(ST6、ST7)。
(9)分析装置15は、さらに、分析DB153に格納された周波数成分情報155の中から特定の周波数の強度が高いものや、類似した周波数成分を持つような周波数成分情報を抽出し、例えば、図14に示して後述するような分析情報として、分析DB153に格納する(ST8)。
(10)その後、分析装置15は、分析情報156に基づき、予め設定しておいたアラート通知条件に従い、アラート通知装置16に対して図8に示して説明したアラート通知情報のようなアラート通知命令を送信する(ST9)。
(11)アラート通知装置19は、分析装置15から受信したアラート通知命令をアラートDB163に格納し、定期的あるいは逐次に、管理者やユーザに対しWEBやメール等の通信手段を用いて通知する(ST10)。
(12)分析装置15は、アラート通知命令の送信に並行して又は逐次、分析DB153の内容を管理者やユーザに対して送信して公開する(ST11)。
次に、本発明の実施形態によるログ分析システムにおける各装置の処理動作について説明するが、その前に、処理動作の前提となるネットワーク構成と、ワームWの性質について説明する。
図10はログ分析システムにおける各装置の動作を説明するための前提となるネットワーク構成を示すブロック図、図11はログ分析システムにおける各装置の動作を説明するための前提となるワームWの性質を説明する図である。図10において、60、70、80は国A、B、C、61、71、81は端末装置であり、他の符号は図1の場合と同一である。
図10に示すように、インターネット50を介して複数の国A60、B70、C80に存在する前述で説明した端末装置11と同様の不正行為を行う端末装置61、71、81が接続されているものとする。これらの端末装置61、71、81は、端末装置11の不正通信プログラム112と同様に不正プログラム(ワームW)が動作していて、それぞれの端末装置のワームWは、図11(a)に示すように、それぞれの国のローカル時間の午前10時から他の端末装置11に対して攻撃を行うものとする。なお、複数の国A60、B70、C80における本発明の実施形態によるログ分析システム10が設置された国(この国の時間を標準時とする)との時差は、それぞれ、+6時間、+12時間、+10時間あるものとする。
これら端末装置61,71,81から送信される攻撃は前記時差の関係から、ログ分析システム10には、それぞれ異なる時間に届くことになり、端末装置61、71、81からのワームは、図11(b)〜図11(d)に示すような時間位置でIDS12あるいはFW13により検出される。そして、端末装置61、71、81が単独で稼働していた場合には、図11(b)、図11(c)、図11(d)に示すような時間位置でワームが検出される。また、端末装置61と端末装置81とが稼動していた場合には、図11(e)に示すように、IDS12あるいはFW13は、グラフで表すと2つの大きな山としてこれらのワームが観測される。また、同様に、端末装置71及び端末装置81が稼動していた場合には、図11(f)に示すように、IDS12あるいはFW13は、グラフで表すと1つの大きな山となってこれらのワームが観測される。このように、複数の攻撃が重なり合ったグラフは、同じワームWの攻撃を観測している場合でも異なったグラフとして表れることが多い。
図12、図13は本発明の実施形態によるログ分析システムにおける各装置の処理動作について説明するフローチャートであり、次に、これについて説明する。なお、ここで説明するフローは、図10において、端末装置61と端末装置81とが稼動したものとした場合の処理例である。
(1)まず最初に、国A60に設置されている端末装置61が、ワームの感染等の理由により不正プログラム(ワームW)を起動したものとする。端末装置61上で実行されたワームWは、図11で説明したワームWの性質により、10時から13時の間(標準時で16時〜19時の間)に不正なパケットとして端末装置11に対して送信される(ステップS001、S002)。
(2)一方、IDS12、FW13は、起動されると、それぞれ検知プログラム122及びアクセス制御プログラム132を起動し、ステップS002で送信されてきた不正なパケットを、検知プログラム122あるいはアクセス制御プログラム132により検知し、検知された攻撃をイベントとして収集して収集装置14に送信する(ステップS003〜S005)。
(3)収集装置14は、起動されると、イベント収集正規化プログラム142を起動する。起動されたイベント収集正規化プログラム142は、ステップS005で送信されてきたイベントを受信し、図6に示して説明したようなイベント情報として正規化した後、イベントDB143に登録する(ステップS006〜S009)。
(4)並行して、国C80に設置されている端末装置81が、ワームの感染等の理由によりワームWを起動したものとする。端末装置81上で実行されたワームWは、図11で説明したワームWの性質により、10時から13時の間(標準時で20時〜23時の間)に不正なパケットとして端末装置11に対して送信される(ステップS010、S011)。
(5)送信された不正なパケットは、前述と同様に、IDS12、FW13の検知プログラム122あるいはアクセス制御プログラム132により検知され、検知された攻撃がイベントとして収集されて収集装置14に送信される(ステップS012、S013)。
(6)収集装置14は、イベント収集正規化プログラム142により、ステップS013で送信されてきたイベントを受信し、図6に示して説明したようなイベント情報として正規化した後、イベントDB143に登録する(ステップS014〜S016)。
前述したステップS002、S004〜S005、S007〜S016での処理が繰り返し実行され、送信されてきた不正なパケットによるイベントが、収集装置14のイベントDB143に多数記録される。
(7)次に、分析装置15が起動されて、ログ分析プログラム152を起動し、分析装置15は、アラート発生条件の設定として、例えば、図14に示して後述するような分析情報に含まれる数値(偏り指数等)が一定閾値以上であればアラート通知命令を送信するという条件を規定する(ステップS017、S018)。
(8)また、分析装置15は、ログの分析条件の設定として、例えば、図7に示して説明したイベント統計情報の統計条件にあるようなサンプリング期間や分析対象とするホスト情報などを規定する。そして、ログ分析プログラム152は、逐次的あるいは定期的に収集装置14に対して、図6に示して説明したような、イベント取得要求を送信する(ステップS019、S020)。
(9)収集装置14のイベント収集正規化プログラム142は、ステップS020で送信されてくるイベント取得要求を受信し、イベントDB143から取得条件を満たすイベントを検索し、分析装置15に対して、該当した件数を図6に示して説明したようなイベント取得結果として送信する(ステップS021〜S023)。
前述において、例えば、このイベント取得要求の開始日時と終了日時とを1時間間隔で設定し、検索条件に例えば宛先ポート135番を設定する。より具体的には、開始日時2005/01/01 00:00:00 から終了日時2005/01/01 00:59:59 と設定することにより、この時間帯に宛先ポート番号135番に関連するイベントの検知数をイベント取得結果として取得することができる。この処理を、開始日時2005/01/01 01:00:00 、2005/01/01 02:00:00 といったように1時間ずつずらしてイベント取得要求を送信することにより、後述するようなサンプリング間隔を1時間とした統計情報を生成することができる。
(10)次に、分析装置15のログ分析プログラム152は、ステップS023で送信されてきたイベント取得結果を受信し、前述した具体例及び図7に示して説明したようなイベント統計情報を生成する。このイベント統計情報は、逐次、分析DB153にイベント統計情報154として格納される(ステップS024〜S026)。
ここれ得られたイベント統計情報154は、時系列の24時間分のみ統計グラフにすると、図11(e)に示すように、ワームWが国A60と国C80とで発生した場合の観測データのような形になる。
(11)分析装置15ログ分析プログラム152は、イベント統計情報154に対しフーリエ変換処理を実施することにより、イベント統計情報を図7に示して説明したような複数の周波数成分に分解する(ステップS027)。
ここで扱うワームWの性質は、1日を周期として活動するとしているため、1日周期を表す周波数成分の強度が高くなる。この周波数成分の強度は、フーリエ変換の特性上、ワームWが異なるタイミングで同時期に発生した場合でも変わらない。例えば、国B70の端末装置71と国C80の端末装置81とのワームWの活動を観測した場合にも、図11に示す統計グラフ上は全く異なる形状であっても、周波数成分情報は同じ値になる。
(12)ステップS027の処理で得られた周波数成分情報155は、分析DB153に格納される。そして、ログ分析プログラム152は、前述した周波数成分情報155に対し、周波数の偏りの度合いを分析、評価して、結果を図14に示して後述するような分析情報に埋め込む(ステップS028、S029)。
周波数の偏りとは、例えば、各周波数成分における強度の分散値のように、図7に示して説明した周波数成分情報の周波数成分1〜nのうち、一部の周波数成分の強度が、それ以外の周波数成分の強度より高くなる度合いを示したものである。周波数成分の偏りが高いということは、すなわち、そのイベント統計情報が、ある周期性を持つことを表しており、逆に周波数成分の偏りが低いということは、そのイベント統計情報が周期性を持たないことを表している。
(13)ここで得られた周波数成分の偏りなどの分析結果は、分析情報156として分析DB153に格納される。そして、ログ分析プログラム152は、逐次あるいは定期的に分析DB153に格納された分析情報156と予め設定したアラート発生条件に基づきアラートを通知するか否かの判断を行う(ステップS030、S031)。
(14)ステップS031で、アラート通知が必要と判断された場合、ログ分析プログラム152は、アラート通知装置15に対し、図8に示して説明したようなアラート通知情報を含む通知命令を送信する(ステップS032)。
(15)一方、アラート通知装置16は、起動されると、その直後にアラート通知プログラム162を起動する。起動されたアラート通知プログラム162には、予めアラートを通知するためのメールアドレスや公開用WEBサーバ等の情報を設定する(ステップS034)。
(16)アラート通知装置16のアラート通知プログラム162は、ステップS034で送信されてきた分析装置15からアラート通知命令を受信すると、図8に示して説明したようなアラート通知情報をアラートDB163に格納する(ステップS035、S036)。
(17)次に、アラート通知プログラム162は、前述のアラート通知先情報と、アラートDB163のアラート情報164に基づきアラート通知を作成し、管理者あるいはユーザに対してメールやWEBなどの通信手段を用いてアラートを送信する(ステップS037、S038)。
(18)管理者あるいはユーザは、ステップS038で送信されてきた前述のアラート通知を受信し、インシデントの発生状況を確認する(ステップS039)。
前述で説明した処理において、分析装置のログ分析プログラムは、分析DBに格納されている分析情報の中から、類似した周波数成分を持つイベント統計情報を検索する機能を有し、1つのイベント統計情報を指定することにより、類似する周波数成分を有するイベント統計情報の一覧を表示装置に順位付けて表示することができ、また、分析情報の中から、全てのイベント統計情報の類似性を検証し、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示することができる。
また、分析装置のログ分析プログラムは、分析情報の中から、特定の周波数の強度に基づいてイベント統計情報を検索する機能を有し、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示することができ、また、分析情報の中から、特定周波数の強度が高くなっているイベント統計情報を検索し、イベント統計情報の一覧を表示装置に順位付けて表示することができる。
図14は分析装置による分析の結果得られた分析情報の構成例を示す図である。
この分析情報は、ログ分析プログラム152が、前述したフローにおけるステップS029の処理により生成したものであり、周波数成分情報155に対し、周波数の偏りの度合いを分析、評価したものである。周波数の偏りの分析情報は、分析対象周波数成分情報識別子に対して、周波数成分情報の周波数成分1〜nの各周波数と、その強度と、偏り指数、周波数、強度とにより構成される。
前述した本発明の実施形態によれば、分析装置は、ワーム等の不正な行為を行う複数の端末装置により同時期に攻撃が発生した場合においても、その不正な行為の発生状況を確認することができる。また、分析情報は、分析装置の分析DBに蓄積されているので、特定のインシデントと同様の性質を持つイベント統計情報を直ちに検索することが可能となる。すなわち、例えば、ポート445番に関連するインシデントが、前記インシデントと同様の性質をもっていた場合や、1ヶ月前に同様の条件で発生したインシデントが、前記インシデントと同様の性質を持っていた場合などを直ちに検出することが可能となり、これまでの統計グラフをみたり、過去のパターンとの対比することでは正確に検知できないインシデントを効率的に検知することが可能になる。
前述した本発明の実施形態における各処理はプログラムにより構成し計算機が備えるCPUに実行させることができ、また、それらのプログラムは、FD、CDROM、DVD等の記録媒体に格納して提供することができ、また、ネットワークを介してディジタル情報により提供することができる。
10 ログ分析システム
11、61、71、81 端末装置
12 IDS(侵入検知装置)
13 FW(ファイアウォール)
14 収集装置
15 分析装置
16 アラート通知装置
18 ローカルエリアネットワーク
19 管理用ネットワーク
50 インターネット
60 A国
70 B国
80 C国
111、121、123、131、133、134、141、151、161 データ送受信部
112 不正通信プログラム
122 検知プログラム
132 アクセス制御プログラム
142 イベント収集正規化プログラム
143 イベントDB
144 イベント情報
152 ログ分析プログラム
153 分析DB
154 イベント統計情報
155 周波数成分情報
156 分析情報
162 アラート通知プログラム
163 アラートDB
164 アラート情報
1101、1201、1301、1401、1501、1601 バス
1102、1202、1302、1402、1502、1602 演算装置
1103、1203、1303、1403、1503、1603 表示装置
1104、1204、1304、1404、1504、1604 入力装置
1105、1205、1305、1405、1505、1605 メモリ
1106、1206、1306、1406、1506、1606 記憶装置
1107、1207、1208、1307、1308、1309、1407、1507、1607 通信装置
11、61、71、81 端末装置
12 IDS(侵入検知装置)
13 FW(ファイアウォール)
14 収集装置
15 分析装置
16 アラート通知装置
18 ローカルエリアネットワーク
19 管理用ネットワーク
50 インターネット
60 A国
70 B国
80 C国
111、121、123、131、133、134、141、151、161 データ送受信部
112 不正通信プログラム
122 検知プログラム
132 アクセス制御プログラム
142 イベント収集正規化プログラム
143 イベントDB
144 イベント情報
152 ログ分析プログラム
153 分析DB
154 イベント統計情報
155 周波数成分情報
156 分析情報
162 アラート通知プログラム
163 アラートDB
164 アラート情報
1101、1201、1301、1401、1501、1601 バス
1102、1202、1302、1402、1502、1602 演算装置
1103、1203、1303、1403、1503、1603 表示装置
1104、1204、1304、1404、1504、1604 入力装置
1105、1205、1305、1405、1505、1605 メモリ
1106、1206、1306、1406、1506、1606 記憶装置
1107、1207、1208、1307、1308、1309、1407、1507、1607 通信装置
Claims (8)
- ネットワーク上で発生したインシデントの状況を分析するログ分析システムにおいて、
セキュリティ装置と、収集装置と、分析装置とを備え、
前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知する手段と、不正なパケットを検知したときにイベント情報を前記収集装置に送信する手段とを備えて構成され、
前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納する手段と、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索する手段と、検索したイベントを前記分析装置に送信する手段とを備えて構成され、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、
前記分析結果の情報の中から全てのイベント統計情報の類似性を検証する手段と、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示する手段と、
前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索する手段と、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示する手段と、
前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索する手段と、イベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることを特徴とするログ分析システム。 - アラート通知装置をさらに備え、該アラート通知装置は、前記分析装置が分析した結果を、関係するネットワーク管理者や利用者に対して通知することを特徴とする請求項1記載のログ分析システム。
- 前記分析装置は、前記分析情報の中から類似した周波数成分を持つイベント統計情報を検索する手段と、1つのイベント統計情報を指定することにより、類似する周波数成分を有するイベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることを特徴とする請求項1記載のログ分析システム。
- ネットワーク上で発生したインシデントの状況を分析するログ分析システムでのログ分析方法において、
セキュリティ装置と、収集装置と、分析装置とを備え、
前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知し、不正なパケットを検知したときにイベント情報を前記収集装置に送信し、
前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納し、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索し、検索したイベントを前記分析装置に送信し、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信し、要求により前記収集装置から取得したイベント情報を分析し、分析結果の情報を分析データベース格納し、さらに、取得したイベント情報に基づいてイベント統計情報を作成し、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成し、
前記分析結果の情報の中から全てのイベント統計情報の類似性を検証し、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示し、
前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索し、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示し、
前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索し、イベント統計情報の一覧を表示装置に順位付けて表示することを特徴とするログ分析方法。 - アラート通知装置をさらに備え、前記分析装置は、前記周波数成分情報に基づいてインシデントの発生傾向を判断した後、該インシデントの発生傾向を表やグラフとしてアラート情報を生成し、アラート通知装置にアラート情報を送信し、前記アラート通知装置は、受信したアラート情報をネットワーク管理者や利用者に対して通知することを特徴とする請求項4記載のログ分析方法。
- 前記分析装置は、前記1つのイベント統計情報から生成した周波数成分情報と、それ以外のイベント統計情報から生成した周波数成分情報との類似性を相関値として数値化して、得られた相関値に基づいてイベント統計情報を順位付けして表示することを特徴とする請求項4記載のログ分析方法。
- 前記分析装置は、前記周波数成分情報から特定の周波数の強度が高くなっている周波数成分情報を検索し、周波数成分の関連するイベント統計情報をその強度に基づいて順位付けて表示することを特徴とする請求項4記載のログ分析方法。
- ネットワーク上で発生したインシデントの状況を分析するログ分析装置において、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を、セキュリティ装置がネットワーク上を流れる不正なパケットを検知して得たイベント情報をセキュリティ装置から取得してイベントデータベースに格納している収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、前記周波数成分に基づいた分析を行いインシデントの発生傾向を判断する手段とを備え、
前記分析結果の情報の中から全てのイベント統計情報の類似性を検証する手段と、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示する手段と、
前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索する手段と、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示する手段と、
前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索する手段と、イベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることを特徴とするログ分析装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005139865A JP4523480B2 (ja) | 2005-05-12 | 2005-05-12 | ログ分析システム、分析方法及びログ分析装置 |
| US11/271,798 US7752663B2 (en) | 2005-05-12 | 2005-11-14 | Log analysis system, method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005139865A JP4523480B2 (ja) | 2005-05-12 | 2005-05-12 | ログ分析システム、分析方法及びログ分析装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006319633A JP2006319633A (ja) | 2006-11-24 |
| JP4523480B2 true JP4523480B2 (ja) | 2010-08-11 |
Family
ID=37420708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005139865A Expired - Fee Related JP4523480B2 (ja) | 2005-05-12 | 2005-05-12 | ログ分析システム、分析方法及びログ分析装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US7752663B2 (ja) |
| JP (1) | JP4523480B2 (ja) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8301753B1 (en) * | 2006-06-27 | 2012-10-30 | Nosadia Pass Nv, Limited Liability Company | Endpoint activity logging |
| US9111088B2 (en) * | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
| JP4883408B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | 系列データ間の類似性検査方法及び装置 |
| JP4883409B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
| US8413247B2 (en) * | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
| US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
| US8955105B2 (en) * | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
| US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
| US20080244742A1 (en) * | 2007-04-02 | 2008-10-02 | Microsoft Corporation | Detecting adversaries by correlating detected malware with web access logs |
| JP4661853B2 (ja) * | 2007-11-07 | 2011-03-30 | 日本電気株式会社 | 障害分析システム、方法、及びプログラム |
| US8566929B2 (en) * | 2008-01-14 | 2013-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrity check failure detection and recovery in radio communications system |
| US20090198707A1 (en) * | 2008-02-06 | 2009-08-06 | Electronic Data Systems Corporation | System and method for managing firewall log records |
| US8353041B2 (en) * | 2008-05-16 | 2013-01-08 | Symantec Corporation | Secure application streaming |
| US9154386B2 (en) * | 2008-06-06 | 2015-10-06 | Tdi Technologies, Inc. | Using metadata analysis for monitoring, alerting, and remediation |
| US8898289B1 (en) * | 2011-03-22 | 2014-11-25 | Netapp, Inc. | Distributed event processing method and architecture |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
| US9122546B1 (en) | 2011-09-27 | 2015-09-01 | Emc Corporation | Rapid processing of event notifications |
| KR101566363B1 (ko) | 2011-12-16 | 2015-11-06 | 한국전자통신연구원 | 규칙 기반 보안 이벤트 연관성 분석장치 및 방법 |
| JP5522160B2 (ja) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
| JP6201614B2 (ja) | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
| EP3099024B1 (en) * | 2014-03-19 | 2019-01-02 | Nippon Telegraph and Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
| JP5640166B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
| JP6174520B2 (ja) * | 2014-05-22 | 2017-08-02 | 日本電信電話株式会社 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
| US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
| US9967283B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Normalized indications of compromise |
| JP5797827B1 (ja) * | 2014-10-27 | 2015-10-21 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
| US10514974B2 (en) * | 2015-02-17 | 2019-12-24 | Nec Corporation | Log analysis system, log analysis method and program recording medium |
| US10075462B2 (en) | 2015-12-22 | 2018-09-11 | Sap Se | System and user context in enterprise threat detection |
| US20170178026A1 (en) * | 2015-12-22 | 2017-06-22 | Sap Se | Log normalization in enterprise threat detection |
| US9747222B1 (en) * | 2016-03-31 | 2017-08-29 | EMC IP Holding Company LLC | Dynamic ingestion throttling of data log |
| JP6105792B1 (ja) * | 2016-07-04 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP7028559B2 (ja) * | 2017-01-25 | 2022-03-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
| WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
| JP2019070995A (ja) * | 2017-10-11 | 2019-05-09 | 村上 真梨 | 検出方法、検出プログラムおよび検出装置 |
| JP7301181B2 (ja) * | 2017-10-11 | 2023-06-30 | 村上 真梨 | 検出方法、検出プログラムおよび検出装置 |
| CN110022302B (zh) * | 2019-03-07 | 2021-09-07 | 北京华安普特网络科技有限公司 | 一种基于硬件防火墙的网络信息安全管理系统 |
| US11163449B2 (en) | 2019-10-17 | 2021-11-02 | EMC IP Holding Company LLC | Adaptive ingest throttling in layered storage systems |
| US11695787B2 (en) | 2020-07-01 | 2023-07-04 | Hawk Network Defense, Inc. | Apparatus and methods for determining event information and intrusion detection at a host device |
| AT523933B1 (de) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks |
| WO2023007614A1 (ja) * | 2021-07-28 | 2023-02-02 | 株式会社Nttドコモ | ネットワークノード及び通信方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11163862A (ja) * | 1997-09-12 | 1999-06-18 | Hewlett Packard Co <Hp> | ネットワーク・トラフィック監視方法 |
| WO2004056063A1 (en) * | 2002-12-13 | 2004-07-01 | Cetacea Networks Corporation | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function |
| JP2004248205A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットネットワークの輻輳監視方法および輻輳監視システム |
| JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342276A (ja) | 2001-05-17 | 2002-11-29 | Ntt Data Corp | ネットワーク侵入検知システムおよびその方法 |
| JP3697249B2 (ja) | 2003-04-30 | 2005-09-21 | 株式会社エヌ・ティ・ティ・データ | ネットワーク状態監視システム及びプログラム |
| US20060037075A1 (en) * | 2004-03-10 | 2006-02-16 | Frattura David E | Dynamic network detection system and method |
-
2005
- 2005-05-12 JP JP2005139865A patent/JP4523480B2/ja not_active Expired - Fee Related
- 2005-11-14 US US11/271,798 patent/US7752663B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11163862A (ja) * | 1997-09-12 | 1999-06-18 | Hewlett Packard Co <Hp> | ネットワーク・トラフィック監視方法 |
| WO2004056063A1 (en) * | 2002-12-13 | 2004-07-01 | Cetacea Networks Corporation | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function |
| JP2004248205A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットネットワークの輻輳監視方法および輻輳監視システム |
| JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US7752663B2 (en) | 2010-07-06 |
| US20060259968A1 (en) | 2006-11-16 |
| JP2006319633A (ja) | 2006-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4523480B2 (ja) | ログ分析システム、分析方法及びログ分析装置 | |
| CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| EP2040435B1 (en) | Intrusion detection method and system | |
| Shen et al. | {ATTACK2VEC}: Leveraging temporal word embeddings to understand the evolution of cyberattacks | |
| US11003773B1 (en) | System and method for automatically generating malware detection rule recommendations | |
| US9680861B2 (en) | Historical analysis to identify malicious activity | |
| Lee et al. | Statistical causality analysis of infosec alert data | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| US9894088B2 (en) | Data mining to identify malicious activity | |
| US10084806B2 (en) | Traffic simulation to identify malicious activity | |
| US8745188B2 (en) | System and method for managing changes in a network datacenter | |
| JP7364666B2 (ja) | IoTデバイスの多次元周期性検出 | |
| US20110016528A1 (en) | Method and Device for Intrusion Detection | |
| US20230109926A1 (en) | Security integration for cloud services | |
| US11575688B2 (en) | Method of malware characterization and prediction | |
| US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
| Rongrong et al. | Framework for risk assessment in cyber situational awareness | |
| CN115699680A (zh) | 网络通信量模式中的违规和攻击执行的快速识别 | |
| Garcia-Teodoro et al. | Automatic generation of HTTP intrusion signatures by selective identification of anomalies | |
| CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
| WO2023064007A1 (en) | Augmented threat investigation | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| Herrerías et al. | Log analysis towards an automated forensic diagnosis system | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100223 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100423 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100518 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100527 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4523480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130604 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |