JP6001689B2 - ログ分析装置、情報処理方法及びプログラム - Google Patents
ログ分析装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP6001689B2 JP6001689B2 JP2014559743A JP2014559743A JP6001689B2 JP 6001689 B2 JP6001689 B2 JP 6001689B2 JP 2014559743 A JP2014559743 A JP 2014559743A JP 2014559743 A JP2014559743 A JP 2014559743A JP 6001689 B2 JP6001689 B2 JP 6001689B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- log
- log information
- event
- traffic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Description
本発明は、ログ分析装置、情報処理方法及びプログラム、特に、ネットワークセキュリティに関する攻撃を検出する技術に関する。
IP(Internet Protocol)ネットワークにおいて、不正侵入を検出するため、ログ情報を用いた解析が行われている。特許文献1には、ネットワーク上の異常なアクセスをロギングする侵入検知装置が出力する大量のログに対して、イベントの属性であるイベント種別やアドレスなどの違いを考慮したイベント間の同時相関に基づいて複数のイベントをグループ化することで、監視や分析を容易にする方法が開示されている。
しかしながら、侵入方法に基づいた複数のログ情報の関連付けや分析を行わないと、パケットに対する複数のログ情報のグループ化だけでは、不正侵入の検出は困難と考えられる。
本発明の目的は、複数の通信機器からのログ情報及びトラフィック情報に基づいて不正アクセスの有無を総合的に判定可能にしたログ分析装置、情報処理方法、及びコンピュータに実行させるためのプログラムを提供することである。
本発明の上記及びその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
上記目的を達成するための本発明のログ分析装置は、ネットワークのセキュリティ管理を行うログ分析装置であって、
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集するログ情報収集部と、
前記ログ情報収集部が収集したログ情報及びトラフィック情報を正規化する正規化処理部と、
正規化されたログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出して予め決められたルールにしたがって分析し、不正アクセスがあるか否かを判定するログ情報分析処理部と、
前記ログ情報分析処理部が判定した結果に基づく、重要度を示す情報を含むイベント情報を出力するイベント情報通知部と、
を有する構成である。
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集するログ情報収集部と、
前記ログ情報収集部が収集したログ情報及びトラフィック情報を正規化する正規化処理部と、
正規化されたログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出して予め決められたルールにしたがって分析し、不正アクセスがあるか否かを判定するログ情報分析処理部と、
前記ログ情報分析処理部が判定した結果に基づく、重要度を示す情報を含むイベント情報を出力するイベント情報通知部と、
を有する構成である。
また、本発明の情報処理方法は、ネットワークのセキュリティ管理を行うログ分析装置による情報処理方法であって、
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集し、
収集されたログ情報及びトラフィック情報を正規化し、
正規化されたログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出して予め決められたルールにしたがって分析し、不正アクセスがあるか否かを判定し、
前記判定の結果に基づく、重要度を示す情報を含むイベント情報を出力するものである。
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集し、
収集されたログ情報及びトラフィック情報を正規化し、
正規化されたログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出して予め決められたルールにしたがって分析し、不正アクセスがあるか否かを判定し、
前記判定の結果に基づく、重要度を示す情報を含むイベント情報を出力するものである。
さらに、本発明のプログラムは、ネットワークのセキュリティ管理を行うコンピュータに、
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集する手順と、
収集されたログ情報及びトラフィック情報を正規化する手順と、
正規化されたログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出して予め決められたルールにしたがって分析し、不正アクセスがあるか否かを判定する手順と、
前記判定の結果に基づく、重要度を示す情報を含むイベント情報を出力する手順を前記コンピュータに実行させるものである。
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集する手順と、
収集されたログ情報及びトラフィック情報を正規化する手順と、
正規化されたログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出して予め決められたルールにしたがって分析し、不正アクセスがあるか否かを判定する手順と、
前記判定の結果に基づく、重要度を示す情報を含むイベント情報を出力する手順を前記コンピュータに実行させるものである。
本発明により、ネットワーク内の複数の通信機器から出力されるログ情報及びトラフィック情報に基づいて、不正アクセスの攻撃による通信コネクションが引き起こす問題の重要度を総合的に判定することができる。
本発明の実施形態について、図面を用いて説明する。なお、以下に説明する実施形態は、本発明の特許請求の範囲の解釈を限定するものではない。
図1は本実施形態のログ分析装置がセキュリティ管理を行うネットワークの一構成例を示すブロック図である。
図1に示すように、ユーザIPネットワーク30は、ユーザ端末11、Proxyサーバ12、DNS(Domain Name System)サーバ13、メールサーバ14、ファイルサーバ15、Webサーバ16、IPS(Intrusion Prevention System)17、ファイアーウォール18、スイッチ19及びルータ20を有する。本実施形態では、説明を簡単にするためにユーザ端末11が1台の場合で説明するが、複数のユーザ端末がユーザIPネットワーク30内に設けられていてもよい。
Proxyサーバ12、DNS(Domain Name System)サーバ13、メールサーバ14、ファイルサーバ15、Webサーバ16及びユーザ端末11がスイッチ19と接続されている。スイッチ19は、IPS 17、ファイアーウォール18及びルータ20を介してインターネットと接続されている。IPS 17及びファイアーウォール18は、インターネット側からの不正アクセスやウイルスによる攻撃を防ぐ。ルータ20に、ユーザIPネットワーク30のセキュリティ管理を行うログ分析装置10が接続されている。
不正アクセスとして、例えば、ユーザ端末11の場合、使用権限のない者がユーザ端末11のセキュリティ上の弱点を攻撃してユーザ端末11を不正に使用したり、ユーザ端末11内のデータを改ざんしたり、ユーザ端末11を使用不能にしたりすること等が考えられる。
なお、ルータ20に接続されるインターネットは外部ネットワークの一例であり、外部ネットワークはインターネットに限らない。また、ユーザIPネットワーク30は、セキュリティの管理対象となるネットワークの一例であり、IPにしたがってデータを伝送可能なネットワークであればよく、例えば、LAN(Local Area Network)である。ユーザIPネットワーク30に含まれる情報通信機器は図1に示す構成に限らない。
次に、本実施形態のログ分析装置の構成を説明する。図2は本実施形態のログ分析装置の一構成例を示すブロック図である。
ログ分析装置10は制御部51及び記憶部52を有する構成である。制御部51は、ログ情報収集部100と、正規化処理部101と、ログ情報分析処理部103と、イベント情報通知部104と、外部情報収集部102とを有する。
制御部51には、プログラムにしたがって処理を実行するCPU(Central Processing Unit)(不図示)と、プログラムを記憶するメモリ(不図示)とが設けられている。CPUがプログラムにしたがって処理を実行することで、図2に示すログ情報収集部100、正規化処理部101、ログ情報分析処理部103、イベント情報通知部104及び外部情報収集部102がログ分析装置10に仮想的に構成される。
ログ情報収集部100は、ルータ20、スイッチ19、ファイアーウォール18、IPS 17、Webサーバ16、ファイルサーバ15、メールサーバ14、DNSサーバ13及びProxyサーバ12からログ情報を受信すると、ログ情報から取得した機器識別情報毎にログ情報を記憶部52に保存する。ログ情報収集部100は、ユーザ端末11からログ情報を受信すると、ログ情報から取得したユーザID(Identifier:識別子)及び機器識別情報に対応してログ情報を記憶部52に保存する。ユーザIDはユーザ端末のユーザ毎に異なる識別子である。
また、ログ情報収集部100は、ルータ20及びスイッチ19等からトラフィック情報を受信すると、トラフィック情報から取得した機器識別情報毎にトラフィック情報を記憶部52に保存する。機器識別情報は、ログ情報又はトラフィック情報の送信元となる通信機器を識別するための情報であり、通信機器毎に異なる情報である。
正規化処理部101は、記憶部52に収集されたログ情報及びトラフィック情報に対して、これらの情報をログ情報分析処理部103が検索及び分析しやすいデータ形式に統一的に整理する正規化を行う。例えば、ルータ20が出力するトラフィック情報のフォーマットと、スイッチ19が出力するトラフィック情報のフォーマットが異なることがある。
具体的には、正規化処理部101は、予め決められた共通カテゴリールールにしたがって、ログ情報及びトラフィック情報に含まれる項目(例えば、送信元IPアドレス、宛先IPアドレス、送信元ポート情報、宛先ポート情報、プロトコル情報、機器識別情報及びユーザID等)が全機器共通のフォーマットに合うようにログ情報及びトラフィック情報を更新する。
また、正規化処理部101は、同一のIPコネクションのログ情報又はトラフィック情報に、コネクション毎に異なる識別子であるコネクション識別子を付与して記憶部52に保存する。IPコネクションが同一か否かの判定方法として、例えば、ログ情報又はトラフィック情報が、一定時間内のタイムスタンプで、ユーザID、送信元IPアドレス、宛先IPアドレス、送信元ポート情報、宛先ポート情報及びプロトコル情報が同一であれば、機器識別情報が異なっていても同一コネクションと判定する。コネクション識別情報の一例として、ハッシュ値を算出して用いることが可能である。ログフォーマットの一例を図3に示す。
外部情報収集部102は、ログ情報分析処理部103が通信の向き(パケットの送信方向)の判定や攻撃の分析に利用するために、悪質なサイトを示すネットワークアドレスとしてURL(Uniform Resource Locator)及びIPアドレスが列挙されたブラックリストと、ユーザIPアドレスとを含む外部情報を外部から取得して記憶部52に保存する。ブラックリストは、インターネットに接続されたサーバ(不図示)に格納されていてもよく、ユーザIPネットワーク30内のサーバに格納されていてもよい。ユーザIPアドレスは、ユーザ端末11から取得することが可能である。
ログ情報分析処理部103は、予め決められた分析ルールに基づいて、正規化されたログ情報及びトラフィック情報を分析して、ユーザにとって脅威となるか否か重要度の指標となるスコアを複数求め、複数のスコアの合計と予め決められた基準値とを比較し、比較結果に基づいて不正アクセスがあるか否かを判定する。スコアの合計が基準値よりも大きい場合、ログ情報分析処理部103は、脅威となる不正アクセスがあると判定する。本実施形態では、2種類の分析ルールによるスコアの算出方法を説明する。
1つ目の分析ルールは、一定時間の時系列のログ情報及びトラフィック情報から総合的に判定してスコアを付与するものである。
ログ情報分析処理部103は、タイムスタンプの情報から一定時間の時系列のログ情報及びトラフィック情報を抽出して参照し、ユーザIPアドレスが送信元IPアドレス及び宛先IPアドレスの項目のうち、いずれの項目に記述されているかにより、通信の向きを判別する。なお、ログ情報及びトラフィック情報に通信の向きの情報が含まれていてもよく、この場合、ログ情報分析処理部103は、その情報を利用してもよい。
続いて、ログ情報分析処理部103は、抽出したログ情報及びトラフィック情報に対して分析ルールに基づいて、指定された特徴を持つイベントである指定イベントがあるか分析する。分析の結果、ログ情報分析処理部103は、指定イベントを検出すると、指定イベントが指定時間内に発生した回数(発生頻度)に対応してスコアを付け、指定イベントの発生間隔に基づいてスコアを付け、複数の指定イベントが発生した順序及び指定イベント毎の発生間隔に基づいてスコアを付け、指定イベントが指定時間内に発生しない時間に基づいてスコアを付け、複数の指定された項目毎に指定時間で足し合わせた量を比較した結果に基づいてスコアを付ける。そして、ログ情報分析処理部103は、これらのスコアの合計を求める。
上記のスコア付けは、種々の不正アクセスによって生じる現象を漏れなく検出するために規定されたものであるが、スコア付けは上記の5つの現象に限らない。
上記のスコア付けでは、指定イベントの発生頻度が大きいほどスコアが大きくなり、指定イベントの発生間隔が小さいほどスコアが大きくなる。また、複数の指定イベントの発生順序及び指定イベント毎の発生間隔が予め決められた発生順序と発生間隔に近いほど、スコアが大きくなる。指定時間内で指定イベントの発生しない時間が短いほど、スコアが大きくなる。
複数の指定された項目毎に指定時間で足し合わせた量を比較した結果に基づくスコアの一例を、図3を参照して説明する。ここでは、図3に示すログ情報がユーザ端末11から出力されたものとする。複数の指定された項目を送信バイト数及び受信バイト数とすると、指定時間内の送信バイト数を足し合わせた量である送信バイト量と指定時間内の受信バイト数を足し合わせた量である受信バイト量とを比較する。送信バイト量が受信バイト量よりも極端に大きい場合、ユーザ端末11から個人情報が大量に送出される現象が起きていると考えられ、スコアを大きくすることで、このような不正アクセスを検出可能となる。
2つ目の分析ルールは、同一コネクションの複数の通信処理を特定し、特定した複数の通信処理に基づいて総合的に判定してスコアを付与するものである。
ログ情報分析処理部103は、タイムスタンプの情報を参照して一定時間のログ情報及びトラフィック情報を抽出し、抽出したログ情報及びトラフィック情報に付与されたコネクション識別情報を参照する。そして、ログ情報分析処理部103は、参照したコネクション識別情報が一致するログ情報及びトラフィック情報を同一コネクションに基づくイベントによるものと認識し、認識したログ情報及びトラフィック情報を分析ルールに基づいて分析することで、通信機器毎に指定イベントの検出の有無に応じたスコアを付与し、複数の通信機器のスコアの合計を求める。
具体的には、ログ情報分析処理部103は、同一コネクションと認識したログ情報及びトラフィック情報に含まれる機器識別情報を参照して、機器識別情報毎にログ情報又はトラフィック情報を分析し、分析の結果、指定イベントを検出すると、その機器識別情報に対応する通信機器にスコアを付与し、指定イベントを検出しないと、スコアを付与しない。
分析対象となるログ情報及びトラフィック情報の関連づけは、1つ目の分析ルールでは一定時間の時系列によって行われ、2つ目の分析ルールでは同一のコネクション識別情報によって行われる。
また、上記2種類の分析ルールによるスコア付けの他に、ログ情報分析処理部103は、ログ情報及びトラフィック情報にブラックリストのURL又はIPアドレスが含まれているか否かを判定し、ブラックリストのURL又はIPアドレスがログ情報又はトラフィック情報に含まれている場合、スコアに所定の値を加算する。
イベント情報通知部104は、ログ情報分析処理部103の判定結果に基づいて、不正アクセスに関する重要度を示す情報としてスコアの合計の情報を含むイベント情報を出力する。また、ログ情報分析処理部103が不正アクセスを検出したと判定すると、イベント情報通知部104は、不正アクセスに関して予め設定された脅威度以上の危険性があることをセキュリティ管理者に通知するために、同一コネクションに基づくイベントと判定された、複数の通信機器のログ情報及びトラフィック情報を関連情報としてイベント情報に紐付けして出力する。
セキュリティ管理者がログ分析装置10を操作している場合、イベント情報通知部104は、セキュリティ管理者に警告するために、ログ分析装置10に接続された表示装置(不図示)にイベント情報を表示させる。
セキュリティ管理者は、表示装置に出力されるイベント情報を参照することで、イベント情報に含まれるスコア合計に基づいて不正アクセスの可能性がある否か、その重要性を判定することが可能となる。また、関連情報がイベント情報に添付されている場合、セキュリティ管理者は、脅威となる不正アクセスが検出されたことを認識するとともに、関連情報を詳細に分析することが可能となる。
セキュリティ管理者が直接にログ分析装置10を操作していなくても、例えば、セキュリティ管理者が操作可能な情報端末(不図示)がインターネットに接続され、その情報端末がログ分析装置10と通信可能になっていればよい。この場合、イベント情報通知部104は、イベント情報をルータ20及びインターネットを介してその情報端末に送信すればよい。
なお、本実施形態では、CPUがプログラムを実行することで、ログ情報収集部100、正規化処理部101、ログ情報分析処理部103、イベント情報通知部104及び外部情報収集部102が仮想的に構成される場合で説明したが、これらの構成の一部又は全部が各機能に対応した専用回路で構成されてもよい。
次に、本実施形態のログ分析装置の動作を、図1、図2及び図4を参照して説明する。図4は本実施形態のログ分析装置の動作手順を示すフローチャートである。
ここでは、ログ分析装置10に表示装置(不図示)が接続され、セキュリティ管理者がログ分析装置10を操作可能な状態にあるとする。
図1に示したブロック図において、ファイアーウォール18及びIPS 17は、通過するIPパケットを監視し、IPパケットから取得したログ情報をログ分析装置10にルータ20を介して送信する。ルータ20及びスイッチ19は、転送するIPパケットの情報を、Netflow、sFlow(登録商標)又はIPパケットのトラフィック情報としてログ分析装置10に送信する。Proxyサーバ12、DNSサーバ13、メールサーバ14、ファイルサーバ15、Webサーバ16及びユーザ端末11は、アクセスに関するログ情報をログ分析装置10に送信する。ログ分析装置10のログ情報収集部100は、ユーザIPネットワーク30内の通信機器からログ情報及びトラフィック情報を収集すると、これらの情報を記憶部52に格納する(ステップ201)。
今、ユーザ端末11は、インターネットを介して、攻撃者の情報端末から攻撃を受けてウイルスに感染し、攻撃者に操られる「Bot」の状態になっているとする。攻撃者からの指示を含むIPコネクションは、インターネット側からルータ20、ファイアーウォール18、IPS 17、スイッチ19及びProxyサーバ12を経由して、ユーザ端末11の順に転送されるものとする。このとき、このIPコネクションに関して、ルータ20及びスイッチ19からトラフィック情報がログ分析装置10に送信され、ファイアーウォール18、IPS 17、Proxyサーバ12及びユーザ端末11からログ情報がログ分析装置10に送信される。
本実施形態では、攻撃者からの指示を含むIPコネクションに関するトラフィック情報及びログ情報に、ユーザ端末11のユーザIDと、このIPコネクションのコネクション識別情報とが正規化処理部101よって付加される(ステップ202)。続いて、ログ情報分析処理部103は、IPS 17で特定の攻撃の可能性がある特徴に適合するIPコネクションに対して、ファイアーウォール18及びProxyサーバ12のログ情報を抽出し、分析ルールに基づいて、指定イベントの特徴を持つIPコネクションに該当するか否かを分析する。そのIPコネクションに該当すると判定すると、ログ情報分析処理部103は、スコアを付け、そのIPコネクションに該当しないと判定すると、スコアを付けない。
また、ログ情報分析処理部103は、特定の攻撃の可能性がある特徴に適合するIPコネクションに関して、ルータ20及びスイッチ19から出力されたトラフィック情報に対して、分析ルールに基づいて、User−Agent等HTTP(HyperText Transfer Protocol)ヘッダ異常などの異常を分析し、異常と判定すると、スコア付けを行う。
そして、ログ情報分析処理部103は、IPS 17のログ情報に基づくスコア、ファイアーウォール18のログ情報に基づくスコア、Proxyサーバ12のログ情報に基づくスコア、並びにルータ20及びスイッチ19から出力されたトラフィック情報に対するスコアの合計を求める。スコアの合計は、IPコネクションが特定の攻撃の可能性が高いと判定される通信機器の数が多いほど、大きくなる。
このようにして、攻撃の可能性があるコネクションに関する脅威度について、複数の通信機器から出力されるログ情報及びトラフィック情報から判定されたスコアを組み合わせることにより、不正アクセスの可能性が総合的に判断される。
ここで、ステップ203において、別の分析ルールの場合を説明する。
ログ情報分析処理部103は、24時間や一週間等の一定時間における時系列のログ情報及びトラフィック情報を分析することで、指定イベントが指定時間内に発生した回数に対応するスコア付け、指定イベントの発生間隔に基づくスコア付け、複数の指定イベントが発生した順序及び指定イベント毎の発生間隔に基づくスコア付け、指定イベントが指定時間内に発生しない時間に基づくスコア付け、複数の指定された項目毎の指定時間で足し合わせた量を比較した結果に基づくスコア付けを行う。続いて、ログ情報分析処理部103は、これらのスコアの合計を求める。
単独のログ情報から不正アクセスを検出することは困難だが、このようにして、複数の攻撃コネクションの情報を一定時間内の時系列のログ情報及びトラフィック情報から抽出することで、不正アクセスを検出することが可能となる。
なお、上記2種類の分析ルールによる方法を別々に説明したが、ログ情報分析処理部103がこれら2種類の分析ルールのそれぞれに基づいてスコアを求め、大きい方をステップ203の処理結果としてもよい。
ステップ203の処理の後、ログ情報分析処理部103は、ログ情報及びトラフィック情報にブラックリストのURL又はIPアドレスが含まれているか否かを判定する(ステップ204)。ブラックリストのURL又はIPアドレスがログ情報又はトラフィック情報に含まれている場合、ログ情報分析処理部103は、スコアに所定の値を加算し(ステップ205)、ブラックリストのURL及びIPアドレスがログ情報及びトラフィック情報に含まれていない場合、ステップ206に進む。
ログ情報分析処理部103は、スコアに基づいて重要度を判定するために、スコアの合計と予め決められた基準値とを比較し、スコアの合計が基準値もより大きいか否かを判定する(ステップ206)。スコアの合計が基準値以下の場合、ログ情報分析処理部103は何もせずに処理を終了する。ステップ206の判定の結果、スコアの合計値が基準値以下の場合、イベント情報通知部104は、表示装置(不図示)にイベント情報を出力する(ステップ207)。ステップ206の判定の結果、スコアの合計値が基準値よりも大きい場合、イベント情報通知部104は、表示装置(不図示)にイベント情報と共に関連情報を出力する(ステップ208)。ログ分析装置10は図4に示す手順を繰り返す。
例えば、ステップ203の処理で一定時間における時系列のログ情報及びトラフィック情報を分析する場合、ログ情報分析処理部103は、一週間のログ情報及びトラフィック情報に含まれる、送信元IPアドレスと宛先IPアドレス間の送受信量の差分に対応するスコア付けを行い、情報漏えいの攻撃コネクション候補を抽出する。送信元IPアドレスがユーザIPアドレスのときに送信量が受信量に比べて極端に大きいと、ユーザ端末11から外部に情報漏えいが起きていると考えられるからである。この場合、スコアの値が大きくなる。抽出された攻撃コネクション候補に対して、同じ一定時間の複数の通信機器のログ情報及びトラフィック情報を同様に分析することにより、脅威度を示す判定結果を出力することが可能となる。
本実施形態によれば、ネットワーク内の複数の通信機器から出力されるログ情報及びトラフィック情報から関連するログ情報及びトラフィック情報を抽出し、予め決められた分析ルールにしたがって複数のログ情報及びトラフィック情報を分析することで、不正アクセスの攻撃による通信コネクションが引き起こす問題の重要度を、セキュリティ管理者の判断に頼らず、総合的に自動で判定することが可能になる。
なお、本発明の情報処理方法を実行するための手順を記述したプログラムをコンピュータにインストールし、コンピュータに本発明の情報処理方法を実行させてもよい。
10 ログ分析装置
11 ユーザ端末
12 Proxyサーバ
13 DNSサーバ
14 メールサーバ
15 ファイルサーバ
16 Webサーバ
17 IPS
18 ファイアーウォール
19 スイッチ
20 ルータ
100 ログ情報収集部
101 正規化処理部
102 外部情報収集部
103 ログ情報分析処理部
104 イベント情報通知部
11 ユーザ端末
12 Proxyサーバ
13 DNSサーバ
14 メールサーバ
15 ファイルサーバ
16 Webサーバ
17 IPS
18 ファイアーウォール
19 スイッチ
20 ルータ
100 ログ情報収集部
101 正規化処理部
102 外部情報収集部
103 ログ情報分析処理部
104 イベント情報通知部
Claims (6)
- ネットワークのセキュリティ管理を行うログ分析装置であって、
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集するログ情報収集部と、
前記ログ情報収集部が収集したログ情報及びトラフィック情報を予め決められた共通カテゴリールールに従って正規化し、正規化したログ情報及びトラフィック情報に含まれる複数の項目のうち、所定の項目が共通するログ情報及びトラフィック情報を同一のコネクションと特定し、コネクション毎に異なる識別子であるコネクション識別情報を該ログ情報及びトラフィック情報に付与する正規化処理部と、
正規化されたログ情報及びトラフィック情報から一定時間内に収集されたログ情報及びトラフィック情報を抽出し、抽出したログ情報及びトラフィック情報に付与された前記コネクション識別情報を参照し、該コネクション識別情報が一致するログ情報及びトラフィック情報を同一コネクションに基づくイベントによるものと認識し、認識したログ情報及びトラフィック情報を前記ルールに基づいて分析することで、指定された特徴を持つイベントである指定イベントの検出の有無に応じたスコアを前記通信機器毎に付与し、付与したスコアの合計を求めることで、不正アクセスがあるか否かを判定するログ情報分析処理部と、
前記ログ情報分析処理部が判定した結果に基づく、重要度を示す情報を含むイベント情報を出力するイベント情報通知部と、
を有するログ分析装置。 - 請求項1に記載のログ分析装置において、
前記ログ情報分析処理部は、
前記正規化されたログ情報及びトラフィック情報から一定時間の時系列のログ情報及びトラフィック情報を抽出し、抽出したログ情報及びトラフィック情報を前記ルールに基づいて分析し、指定された特徴を持つイベントである指定イベントを検出すると、少なくとも、該指定イベントが指定時間内に発生した回数に対応するスコア、該指定イベントの発生間隔に基づくスコア、複数の該指定イベントが発生した順序及び指定イベント毎の発生間隔に基づくスコア、該指定イベントが指定時間内に発生しない時間に基づくスコア、及び複数の指定された項目毎に指定時間で足し合わせた量を比較した結果に基づくスコアの合計を求める、ログ分析装置。 - 請求項1又は2に記載のログ分析装置において、
悪質なサイトを示すネットワークアドレスが列挙されたブラックリストを外部から取得する外部情報収集部をさらに有し、
前記ログ情報分析処理部は、
前記ログ情報又はトラフィック情報に含まれるネットワークアドレスが前記ブラックリストに含まれていると、前記スコアの合計に所定の値を加算して前記スコアの合計を更新する、ログ分析装置。 - 請求項2に記載のログ分析装置において、
前記ログ情報分析処理部は、
前記スコアの合計と予め決められた基準値とを比較し、該スコアの合計が該基準値よりも大きいと不正アクセスがあると判定し、
前記イベント情報通知部は、
前記重要度を示す情報として前記スコアの合計の情報を含む前記イベント情報を出力し、前記ログ情報分析処理部により不正アクセスがあると判定された場合、同一のイベントに基づくログ情報及びトラフィック情報を関連情報として前記イベント情報と共に出力する、ログ分析装置。 - ネットワークのセキュリティ管理を行うログ分析装置による情報処理方法であって、
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集し、
収集されたログ情報及びトラフィック情報を予め決められた共通カテゴリールールに従って正規化し、正規化したログ情報及びトラフィック情報に含まれる複数の項目のうち、所定の項目が共通するログ情報及びトラフィック情報を同一のコネクションと特定し、コネクション毎に異なる識別子であるコネクション識別情報を該ログ情報及びトラフィック情報に付与し、
正規化されたログ情報及びトラフィック情報から一定時間内に収集されたログ情報及びトラフィック情報を抽出し、抽出したログ情報及びトラフィック情報に付与された前記コネクション識別情報を参照し、該コネクション識別情報が一致するログ情報及びトラフィック情報を同一コネクションに基づくイベントによるものと認識し、認識したログ情報及びトラフィック情報を前記ルールに基づいて分析することで、指定された特徴を持つイベントである指定イベントの検出の有無に応じたスコアを前記通信機器毎に付与し、付与したスコアの合計を求めることで、不正アクセスがあるか否かを判定し、
前記判定の結果に基づく、重要度を示す情報を含むイベント情報を出力する、情報処理方法。 - ネットワークのセキュリティ管理を行うコンピュータに、
前記ネットワークに含まれる複数の通信機器から出力されるログ情報及びトラフィック情報を収集する手順と、
収集されたログ情報及びトラフィック情報を予め決められた共通カテゴリールールに従って正規化し、正規化したログ情報及びトラフィック情報に含まれる複数の項目のうち、所定の項目が共通するログ情報及びトラフィック情報を同一のコネクションと特定し、コネクション毎に異なる識別子であるコネクション識別情報を該ログ情報及びトラフィック情報に付与する手順と、
正規化されたログ情報及びトラフィック情報から一定時間内に収集されたログ情報及びトラフィック情報を抽出し、抽出したログ情報及びトラフィック情報に付与された前記コネクション識別情報を参照し、該コネクション識別情報が一致するログ情報及びトラフィック情報を同一コネクションに基づくイベントによるものと認識し、認識したログ情報及びトラフィック情報を前記ルールに基づいて分析することで、指定された特徴を持つイベントである指定イベントの検出の有無に応じたスコアを前記通信機器毎に付与し、付与したスコアの合計を求めることで、不正アクセスがあるか否かを判定する手順と、
前記判定の結果に基づく、重要度を示す情報を含むイベント情報を出力する手順を前記コンピュータに実行させるためのプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013015288 | 2013-01-30 | ||
| JP2013015288 | 2013-01-30 | ||
| PCT/JP2014/052134 WO2014119669A1 (ja) | 2013-01-30 | 2014-01-30 | ログ分析装置、情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6001689B2 true JP6001689B2 (ja) | 2016-10-05 |
| JPWO2014119669A1 JPWO2014119669A1 (ja) | 2017-01-26 |
Family
ID=51262378
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014559743A Active JP6001689B2 (ja) | 2013-01-30 | 2014-01-30 | ログ分析装置、情報処理方法及びプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9860278B2 (ja) |
| EP (1) | EP2953298B1 (ja) |
| JP (1) | JP6001689B2 (ja) |
| CN (1) | CN104937886B (ja) |
| WO (1) | WO2014119669A1 (ja) |
Families Citing this family (81)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| WO2014111863A1 (en) | 2013-01-16 | 2014-07-24 | Light Cyber Ltd. | Automated forensics of computer systems using behavioral intelligence |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| JP5640166B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
| CN105791236B (zh) * | 2014-12-23 | 2019-03-12 | 北京网御星云信息技术有限公司 | 一种木马通信通道检测方法及系统 |
| US10050990B2 (en) | 2014-12-29 | 2018-08-14 | Guidewire Software, Inc. | Disaster scenario based inferential analysis using feedback for extracting and combining cyber risk information |
| US9699209B2 (en) | 2014-12-29 | 2017-07-04 | Cyence Inc. | Cyber vulnerability scan analyses with actionable feedback |
| US10341376B2 (en) | 2014-12-29 | 2019-07-02 | Guidewire Software, Inc. | Diversity analysis with actionable feedback methodologies |
| US11855768B2 (en) | 2014-12-29 | 2023-12-26 | Guidewire Software, Inc. | Disaster scenario based inferential analysis using feedback for extracting and combining cyber risk information |
| WO2017078986A1 (en) | 2014-12-29 | 2017-05-11 | Cyence Inc. | Diversity analysis with actionable feedback methodologies |
| US11863590B2 (en) | 2014-12-29 | 2024-01-02 | Guidewire Software, Inc. | Inferential analysis using feedback for extracting and combining cyber risk information |
| US10050989B2 (en) * | 2014-12-29 | 2018-08-14 | Guidewire Software, Inc. | Inferential analysis using feedback for extracting and combining cyber risk information including proxy connection analyses |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US10404748B2 (en) | 2015-03-31 | 2019-09-03 | Guidewire Software, Inc. | Cyber risk analysis and remediation using network monitored sensors and methods of use |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| JP6524789B2 (ja) * | 2015-05-13 | 2019-06-05 | 富士通株式会社 | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 |
| JP6717578B2 (ja) * | 2015-08-07 | 2020-07-01 | 株式会社三共 | 管理サーバ |
| US10018977B2 (en) * | 2015-10-05 | 2018-07-10 | Savant Systems, Llc | History-based key phrase suggestions for voice control of a home automation system |
| JP5933797B1 (ja) * | 2015-10-07 | 2016-06-15 | 株式会社ソリトンシステムズ | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム |
| US10291648B2 (en) * | 2015-12-22 | 2019-05-14 | At&T Intellectual Property I, L.P. | System for distributing virtual entity behavior profiling in cloud deployments |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| WO2017130912A1 (ja) * | 2016-01-29 | 2017-08-03 | セイコーエプソン株式会社 | ウェアラブル機器、制御対象機器、近距離無線通信網、通信システム、制御システム、及び遠隔制御方法 |
| CN107491457A (zh) * | 2016-06-13 | 2017-12-19 | 阿里巴巴集团控股有限公司 | 一种用于业务数据标准化的方法与设备 |
| CN106095575B (zh) * | 2016-06-14 | 2019-02-15 | 上海浪潮云计算服务有限公司 | 一种日志审计的装置、系统和方法 |
| US10536476B2 (en) | 2016-07-21 | 2020-01-14 | Sap Se | Realtime triggering framework |
| US10482241B2 (en) | 2016-08-24 | 2019-11-19 | Sap Se | Visualization of data distributed in multiple dimensions |
| US10616279B2 (en) | 2016-08-30 | 2020-04-07 | Nicira, Inc. | Adaptable network event monitoring configuration in datacenters |
| US10542016B2 (en) * | 2016-08-31 | 2020-01-21 | Sap Se | Location enrichment in enterprise threat detection |
| US10630705B2 (en) | 2016-09-23 | 2020-04-21 | Sap Se | Real-time push API for log events in enterprise threat detection |
| US10673879B2 (en) | 2016-09-23 | 2020-06-02 | Sap Se | Snapshot of a forensic investigation for enterprise threat detection |
| US10534908B2 (en) | 2016-12-06 | 2020-01-14 | Sap Se | Alerts based on entities in security information and event management products |
| CN113595888A (zh) * | 2016-12-06 | 2021-11-02 | 松下电器(美国)知识产权公司 | 信息处理装置以及信息处理方法 |
| US10291750B1 (en) * | 2016-12-13 | 2019-05-14 | Juniper Networks, Inc. | Aggregating data sessions between autonomous systems |
| US10530792B2 (en) | 2016-12-15 | 2020-01-07 | Sap Se | Using frequency analysis in enterprise threat detection to detect intrusions in a computer system |
| US10534907B2 (en) | 2016-12-15 | 2020-01-14 | Sap Se | Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data |
| US10552605B2 (en) | 2016-12-16 | 2020-02-04 | Sap Se | Anomaly detection in enterprise threat detection |
| US11470094B2 (en) | 2016-12-16 | 2022-10-11 | Sap Se | Bi-directional content replication logic for enterprise threat detection |
| US10764306B2 (en) | 2016-12-19 | 2020-09-01 | Sap Se | Distributing cloud-computing platform content to enterprise threat detection systems |
| CN106844495A (zh) * | 2016-12-26 | 2017-06-13 | 北京五八信息技术有限公司 | 一种网站操作日志的获取方法及装置 |
| EP3564842B1 (en) * | 2017-01-20 | 2021-02-24 | Mitsubishi Electric Corporation | Data determination device, data determination method, and data determination program |
| JP6972565B2 (ja) * | 2017-01-31 | 2021-11-24 | オムロン株式会社 | 情報処理装置、情報処理装置の制御方法、および、制御プログラム |
| US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| RU2666644C1 (ru) | 2017-08-10 | 2018-09-11 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами |
| JP2019533841A (ja) * | 2017-09-28 | 2019-11-21 | キュービット セキュリティ インコーポレーテッドQubit Security Inc. | ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法 |
| CN107729225B (zh) * | 2017-10-27 | 2020-12-22 | 何雄英 | 一种终端设备心率采集方法及系统 |
| US11184369B2 (en) * | 2017-11-13 | 2021-11-23 | Vectra Networks, Inc. | Malicious relay and jump-system detection using behavioral indicators of actors |
| US20190166502A1 (en) * | 2017-11-29 | 2019-05-30 | Mojo Networks, LLC. | Security monitoring for wireless sensor nodes |
| US10681064B2 (en) | 2017-12-19 | 2020-06-09 | Sap Se | Analysis of complex relationships among information technology security-relevant entities using a network graph |
| US10986111B2 (en) | 2017-12-19 | 2021-04-20 | Sap Se | Displaying a series of events along a time axis in enterprise threat detection |
| US10999304B2 (en) * | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
| US11108795B2 (en) | 2018-05-25 | 2021-08-31 | At&T Intellectual Property I, L.P. | Intrusion detection using robust singular value decomposition |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US10826926B2 (en) * | 2018-07-17 | 2020-11-03 | Sap Se | Pattern creation based on an attack path |
| JP7156869B2 (ja) * | 2018-09-03 | 2022-10-19 | パナソニックホールディングス株式会社 | ログ出力装置、ログ出力方法およびログ出力システム |
| CN109299921A (zh) * | 2018-09-30 | 2019-02-01 | 深圳市英威腾电动汽车驱动技术有限公司 | 一种技术评审数据处理方法及相关装置 |
| WO2020075809A1 (ja) * | 2018-10-11 | 2020-04-16 | 日本電信電話株式会社 | 情報処理装置、データ分析方法及びプログラム |
| CN111290928B (zh) * | 2018-12-06 | 2023-08-01 | 中国移动通信集团陕西有限公司 | 一种原子业务重要性确定方法、装置、介质和设备 |
| US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
| US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
| US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
| US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
| US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
| WO2020161808A1 (ja) | 2019-02-05 | 2020-08-13 | 日本電気株式会社 | 優先度判定装置、優先度判定方法、及びコンピュータ可読媒体 |
| CN110297746A (zh) * | 2019-07-05 | 2019-10-01 | 北京慧眼智行科技有限公司 | 一种数据处理方法及系统 |
| WO2021021728A1 (en) * | 2019-07-26 | 2021-02-04 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| CN113098852B (zh) * | 2021-03-25 | 2022-11-22 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| US11829338B2 (en) | 2021-12-07 | 2023-11-28 | International Business Machines Corporation | Unlabeled log anomaly continuous learning |
| US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
| CN114553731A (zh) * | 2022-02-25 | 2022-05-27 | 深圳市普渡科技有限公司 | 数据日志采集系统、方法、设备及介质 |
| US20230385405A1 (en) * | 2022-05-27 | 2023-11-30 | The Boeing Company | System, method, and program for analyzing vehicle system logs |
| CN117118824B (zh) * | 2023-10-20 | 2024-02-27 | 成都卓拙科技有限公司 | 一种日志数据收集方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2005128609A (ja) * | 2003-10-21 | 2005-05-19 | Yaskawa Information Systems Co Ltd | サーバ計算機、計算機および通信ログの処理方法 |
| JP2006246010A (ja) * | 2005-03-03 | 2006-09-14 | Ntt Docomo Inc | トラヒック制御システム、及び、トラヒック制御処理実行方法 |
| US20090077663A1 (en) * | 2007-09-17 | 2009-03-19 | Alcatel Lucent | Score-based intrusion prevention system |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7752665B1 (en) * | 2002-07-12 | 2010-07-06 | TCS Commercial, Inc. | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory |
| JP4129207B2 (ja) | 2003-07-18 | 2008-08-06 | 株式会社日立製作所 | 不正侵入分析装置 |
| US20080162202A1 (en) * | 2006-12-29 | 2008-07-03 | Richendra Khanna | Detecting inappropriate activity by analysis of user interactions |
| US9866426B2 (en) * | 2009-11-17 | 2018-01-09 | Hawk Network Defense, Inc. | Methods and apparatus for analyzing system events |
| US20110191394A1 (en) * | 2010-01-29 | 2011-08-04 | Winteregg Joel | Method of processing log files in an information system, and log file processing system |
| CN102385549A (zh) | 2010-09-02 | 2012-03-21 | 北京无限立通通讯技术有限责任公司 | 日志处理系统、日志处理方法和日志存储子系统 |
| US8516595B2 (en) * | 2010-12-28 | 2013-08-20 | Caixa d'Estalvis I Pensions de Barcelona “La Caixa” | Method and system for estimating the reliability of blacklists of botnet-infected computers |
| US20120246303A1 (en) * | 2011-03-23 | 2012-09-27 | LogRhythm Inc. | Log collection, structuring and processing |
| CN102722553B (zh) * | 2012-05-24 | 2014-04-02 | 浙江大学 | 基于用户日志分析的分布式倒排索引组织方法 |
-
2014
- 2014-01-30 WO PCT/JP2014/052134 patent/WO2014119669A1/ja active Application Filing
- 2014-01-30 JP JP2014559743A patent/JP6001689B2/ja active Active
- 2014-01-30 CN CN201480005638.2A patent/CN104937886B/zh active Active
- 2014-01-30 US US14/758,627 patent/US9860278B2/en active Active
- 2014-01-30 EP EP14746780.7A patent/EP2953298B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2005128609A (ja) * | 2003-10-21 | 2005-05-19 | Yaskawa Information Systems Co Ltd | サーバ計算機、計算機および通信ログの処理方法 |
| JP2006246010A (ja) * | 2005-03-03 | 2006-09-14 | Ntt Docomo Inc | トラヒック制御システム、及び、トラヒック制御処理実行方法 |
| US20090077663A1 (en) * | 2007-09-17 | 2009-03-19 | Alcatel Lucent | Score-based intrusion prevention system |
Non-Patent Citations (1)
| Title |
|---|
| JPN6014017402; 関原 優: '既存システムの総点検と一歩進んだ使い方 ファイアウォール最適活用のポイント 第3部 ファイアウォール' N+I NETWORK 第3巻,第8号, 20030901, p.063〜067 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2953298A1 (en) | 2015-12-09 |
| CN104937886B (zh) | 2017-10-24 |
| CN104937886A (zh) | 2015-09-23 |
| EP2953298A4 (en) | 2016-11-16 |
| US9860278B2 (en) | 2018-01-02 |
| US20150341389A1 (en) | 2015-11-26 |
| WO2014119669A1 (ja) | 2014-08-07 |
| JPWO2014119669A1 (ja) | 2017-01-26 |
| EP2953298B1 (en) | 2018-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| US9661008B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| US11316878B2 (en) | System and method for malware detection | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| JP6097849B2 (ja) | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| Rahal et al. | A distributed architecture for DDoS prediction and bot detection | |
| JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| JP2018026747A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160830 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160901 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6001689 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |