JP4523480B2 - ログ分析システム、分析方法及びログ分析装置 - Google Patents
ログ分析システム、分析方法及びログ分析装置 Download PDFInfo
- Publication number
- JP4523480B2 JP4523480B2 JP2005139865A JP2005139865A JP4523480B2 JP 4523480 B2 JP4523480 B2 JP 4523480B2 JP 2005139865 A JP2005139865 A JP 2005139865A JP 2005139865 A JP2005139865 A JP 2005139865A JP 4523480 B2 JP4523480 B2 JP 4523480B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- analysis
- statistical information
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Description
11、61、71、81 端末装置
12 IDS(侵入検知装置)
13 FW(ファイアウォール)
14 収集装置
15 分析装置
16 アラート通知装置
18 ローカルエリアネットワーク
19 管理用ネットワーク
50 インターネット
60 A国
70 B国
80 C国
111、121、123、131、133、134、141、151、161 データ送受信部
112 不正通信プログラム
122 検知プログラム
132 アクセス制御プログラム
142 イベント収集正規化プログラム
143 イベントDB
144 イベント情報
152 ログ分析プログラム
153 分析DB
154 イベント統計情報
155 周波数成分情報
156 分析情報
162 アラート通知プログラム
163 アラートDB
164 アラート情報
1101、1201、1301、1401、1501、1601 バス
1102、1202、1302、1402、1502、1602 演算装置
1103、1203、1303、1403、1503、1603 表示装置
1104、1204、1304、1404、1504、1604 入力装置
1105、1205、1305、1405、1505、1605 メモリ
1106、1206、1306、1406、1506、1606 記憶装置
1107、1207、1208、1307、1308、1309、1407、1507、1607 通信装置
Claims (8)
- ネットワーク上で発生したインシデントの状況を分析するログ分析システムにおいて、
セキュリティ装置と、収集装置と、分析装置とを備え、
前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知する手段と、不正なパケットを検知したときにイベント情報を前記収集装置に送信する手段とを備えて構成され、
前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納する手段と、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索する手段と、検索したイベントを前記分析装置に送信する手段とを備えて構成され、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、
前記分析結果の情報の中から全てのイベント統計情報の類似性を検証する手段と、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示する手段と、
前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索する手段と、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示する手段と、
前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索する手段と、イベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることを特徴とするログ分析システム。 - アラート通知装置をさらに備え、該アラート通知装置は、前記分析装置が分析した結果を、関係するネットワーク管理者や利用者に対して通知することを特徴とする請求項1記載のログ分析システム。
- 前記分析装置は、前記分析情報の中から類似した周波数成分を持つイベント統計情報を検索する手段と、1つのイベント統計情報を指定することにより、類似する周波数成分を有するイベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることを特徴とする請求項1記載のログ分析システム。
- ネットワーク上で発生したインシデントの状況を分析するログ分析システムでのログ分析方法において、
セキュリティ装置と、収集装置と、分析装置とを備え、
前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知し、不正なパケットを検知したときにイベント情報を前記収集装置に送信し、
前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納し、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索し、検索したイベントを前記分析装置に送信し、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信し、要求により前記収集装置から取得したイベント情報を分析し、分析結果の情報を分析データベース格納し、さらに、取得したイベント情報に基づいてイベント統計情報を作成し、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成し、
前記分析結果の情報の中から全てのイベント統計情報の類似性を検証し、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示し、
前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索し、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示し、
前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索し、イベント統計情報の一覧を表示装置に順位付けて表示することを特徴とするログ分析方法。 - アラート通知装置をさらに備え、前記分析装置は、前記周波数成分情報に基づいてインシデントの発生傾向を判断した後、該インシデントの発生傾向を表やグラフとしてアラート情報を生成し、アラート通知装置にアラート情報を送信し、前記アラート通知装置は、受信したアラート情報をネットワーク管理者や利用者に対して通知することを特徴とする請求項4記載のログ分析方法。
- 前記分析装置は、前記1つのイベント統計情報から生成した周波数成分情報と、それ以外のイベント統計情報から生成した周波数成分情報との類似性を相関値として数値化して、得られた相関値に基づいてイベント統計情報を順位付けして表示することを特徴とする請求項4記載のログ分析方法。
- 前記分析装置は、前記周波数成分情報から特定の周波数の強度が高くなっている周波数成分情報を検索し、周波数成分の関連するイベント統計情報をその強度に基づいて順位付けて表示することを特徴とする請求項4記載のログ分析方法。
- ネットワーク上で発生したインシデントの状況を分析するログ分析装置において、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を、セキュリティ装置がネットワーク上を流れる不正なパケットを検知して得たイベント情報をセキュリティ装置から取得してイベントデータベースに格納している収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、前記周波数成分に基づいた分析を行いインシデントの発生傾向を判断する手段とを備え、
前記分析結果の情報の中から全てのイベント統計情報の類似性を検証する手段と、類似性の高いイベント統計情報ペアの一覧を表示装置に順位付けて表示する手段と、
前記分析結果の情報の中から特定の周波数の強度に基づいたイベント統計情報を検索する手段と、1つあるいは複数の周波数を指定することにより、その周波数を持つイベント統計情報の一覧を表示装置に順位付けて表示する手段と、
前記分析結果情報の中から特定周波数の強度が高くなっているイベント統計情報を検索する手段と、イベント統計情報の一覧を表示装置に順位付けて表示する手段とを備えることを特徴とするログ分析装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005139865A JP4523480B2 (ja) | 2005-05-12 | 2005-05-12 | ログ分析システム、分析方法及びログ分析装置 |
US11/271,798 US7752663B2 (en) | 2005-05-12 | 2005-11-14 | Log analysis system, method and apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005139865A JP4523480B2 (ja) | 2005-05-12 | 2005-05-12 | ログ分析システム、分析方法及びログ分析装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006319633A JP2006319633A (ja) | 2006-11-24 |
JP4523480B2 true JP4523480B2 (ja) | 2010-08-11 |
Family
ID=37420708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005139865A Expired - Fee Related JP4523480B2 (ja) | 2005-05-12 | 2005-05-12 | ログ分析システム、分析方法及びログ分析装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7752663B2 (ja) |
JP (1) | JP4523480B2 (ja) |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8301753B1 (en) * | 2006-06-27 | 2012-10-30 | Nosadia Pass Nv, Limited Liability Company | Endpoint activity logging |
US9111088B2 (en) * | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
JP4883408B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | 系列データ間の類似性検査方法及び装置 |
JP4883409B2 (ja) * | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
US8413247B2 (en) * | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
US8955105B2 (en) * | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
US20080244742A1 (en) * | 2007-04-02 | 2008-10-02 | Microsoft Corporation | Detecting adversaries by correlating detected malware with web access logs |
JP4661853B2 (ja) * | 2007-11-07 | 2011-03-30 | 日本電気株式会社 | 障害分析システム、方法、及びプログラム |
US8566929B2 (en) * | 2008-01-14 | 2013-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrity check failure detection and recovery in radio communications system |
US20090198707A1 (en) * | 2008-02-06 | 2009-08-06 | Electronic Data Systems Corporation | System and method for managing firewall log records |
US8353041B2 (en) * | 2008-05-16 | 2013-01-08 | Symantec Corporation | Secure application streaming |
US9154386B2 (en) * | 2008-06-06 | 2015-10-06 | Tdi Technologies, Inc. | Using metadata analysis for monitoring, alerting, and remediation |
US8898289B1 (en) * | 2011-03-22 | 2014-11-25 | Netapp, Inc. | Distributed event processing method and architecture |
US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
US9122546B1 (en) | 2011-09-27 | 2015-09-01 | Emc Corporation | Rapid processing of event notifications |
KR101566363B1 (ko) | 2011-12-16 | 2015-11-06 | 한국전자통신연구원 | 규칙 기반 보안 이벤트 연관성 분석장치 및 방법 |
JP5522160B2 (ja) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
JP6201614B2 (ja) | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
EP3099024B1 (en) * | 2014-03-19 | 2019-01-02 | Nippon Telegraph and Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
JP5640166B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
JP6174520B2 (ja) * | 2014-05-22 | 2017-08-02 | 日本電信電話株式会社 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
US9967283B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Normalized indications of compromise |
JP5797827B1 (ja) * | 2014-10-27 | 2015-10-21 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
US10514974B2 (en) * | 2015-02-17 | 2019-12-24 | Nec Corporation | Log analysis system, log analysis method and program recording medium |
US10075462B2 (en) | 2015-12-22 | 2018-09-11 | Sap Se | System and user context in enterprise threat detection |
US20170178026A1 (en) * | 2015-12-22 | 2017-06-22 | Sap Se | Log normalization in enterprise threat detection |
US9747222B1 (en) * | 2016-03-31 | 2017-08-29 | EMC IP Holding Company LLC | Dynamic ingestion throttling of data log |
JP6105792B1 (ja) * | 2016-07-04 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP7028559B2 (ja) * | 2017-01-25 | 2022-03-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
JP2019070995A (ja) * | 2017-10-11 | 2019-05-09 | 村上 真梨 | 検出方法、検出プログラムおよび検出装置 |
JP7301181B2 (ja) * | 2017-10-11 | 2023-06-30 | 村上 真梨 | 検出方法、検出プログラムおよび検出装置 |
CN110022302B (zh) * | 2019-03-07 | 2021-09-07 | 北京华安普特网络科技有限公司 | 一种基于硬件防火墙的网络信息安全管理系统 |
US11163449B2 (en) | 2019-10-17 | 2021-11-02 | EMC IP Holding Company LLC | Adaptive ingest throttling in layered storage systems |
US11695787B2 (en) | 2020-07-01 | 2023-07-04 | Hawk Network Defense, Inc. | Apparatus and methods for determining event information and intrusion detection at a host device |
AT523933B1 (de) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks |
WO2023007614A1 (ja) * | 2021-07-28 | 2023-02-02 | 株式会社Nttドコモ | ネットワークノード及び通信方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11163862A (ja) * | 1997-09-12 | 1999-06-18 | Hewlett Packard Co <Hp> | ネットワーク・トラフィック監視方法 |
WO2004056063A1 (en) * | 2002-12-13 | 2004-07-01 | Cetacea Networks Corporation | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function |
JP2004248205A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットネットワークの輻輳監視方法および輻輳監視システム |
JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002342276A (ja) | 2001-05-17 | 2002-11-29 | Ntt Data Corp | ネットワーク侵入検知システムおよびその方法 |
JP3697249B2 (ja) | 2003-04-30 | 2005-09-21 | 株式会社エヌ・ティ・ティ・データ | ネットワーク状態監視システム及びプログラム |
US20060037075A1 (en) * | 2004-03-10 | 2006-02-16 | Frattura David E | Dynamic network detection system and method |
-
2005
- 2005-05-12 JP JP2005139865A patent/JP4523480B2/ja not_active Expired - Fee Related
- 2005-11-14 US US11/271,798 patent/US7752663B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11163862A (ja) * | 1997-09-12 | 1999-06-18 | Hewlett Packard Co <Hp> | ネットワーク・トラフィック監視方法 |
WO2004056063A1 (en) * | 2002-12-13 | 2004-07-01 | Cetacea Networks Corporation | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function |
JP2004248205A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | パケットネットワークの輻輳監視方法および輻輳監視システム |
JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
Also Published As
Publication number | Publication date |
---|---|
US7752663B2 (en) | 2010-07-06 |
US20060259968A1 (en) | 2006-11-16 |
JP2006319633A (ja) | 2006-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4523480B2 (ja) | ログ分析システム、分析方法及びログ分析装置 | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
CN112651006B (zh) | 一种电网安全态势感知系统 | |
EP2040435B1 (en) | Intrusion detection method and system | |
Shen et al. | {ATTACK2VEC}: Leveraging temporal word embeddings to understand the evolution of cyberattacks | |
US11003773B1 (en) | System and method for automatically generating malware detection rule recommendations | |
US9680861B2 (en) | Historical analysis to identify malicious activity | |
Lee et al. | Statistical causality analysis of infosec alert data | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
US9894088B2 (en) | Data mining to identify malicious activity | |
US10084806B2 (en) | Traffic simulation to identify malicious activity | |
US8745188B2 (en) | System and method for managing changes in a network datacenter | |
JP7364666B2 (ja) | IoTデバイスの多次元周期性検出 | |
US20110016528A1 (en) | Method and Device for Intrusion Detection | |
US20230109926A1 (en) | Security integration for cloud services | |
US11575688B2 (en) | Method of malware characterization and prediction | |
US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
Rongrong et al. | Framework for risk assessment in cyber situational awareness | |
CN115699680A (zh) | 网络通信量模式中的违规和攻击执行的快速识别 | |
Garcia-Teodoro et al. | Automatic generation of HTTP intrusion signatures by selective identification of anomalies | |
CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
WO2023064007A1 (en) | Augmented threat investigation | |
KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
Herrerías et al. | Log analysis towards an automated forensic diagnosis system | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071217 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100201 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100223 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100423 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100518 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100527 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4523480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130604 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |