JP6574332B2 - Data analysis system - Google Patents
Data analysis system Download PDFInfo
- Publication number
- JP6574332B2 JP6574332B2 JP2015065210A JP2015065210A JP6574332B2 JP 6574332 B2 JP6574332 B2 JP 6574332B2 JP 2015065210 A JP2015065210 A JP 2015065210A JP 2015065210 A JP2015065210 A JP 2015065210A JP 6574332 B2 JP6574332 B2 JP 6574332B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- analysis
- computer
- time zone
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、情報処理技術に関する。また、本発明は、計算機システムのセキュリティ侵害対策のためのデータ分析技術に関する。 The present invention relates to information processing technology. The present invention also relates to a data analysis technique for countermeasures against security breaches in computer systems.
ネットワーク上の犯罪行為とされるサイバー攻撃が増加している。サイバー攻撃によるセキュリティ侵害行為には、マルウェア等を用いた不正アクセスによる侵入行為や、サービス妨害攻撃等が存在する。セキュリティ侵害行為は、手法が洗練され、手口が巧妙になり、攻撃用ツールが配布されていること等から、完全な防止は非常に困難である。 Cyber attacks that are regarded as criminal acts on the network are increasing. Security breach by cyber attack includes intrusion by unauthorized access using malware or denial of service attacks. Security breaches are very difficult to prevent completely because of sophisticated techniques, clever tricks, and distribution of attack tools.
セキュリティ侵害行為に対する一般的な対策技術としては、アンチウィルス・ソフトウェア、ファイアウォールサーバ、プロキシサーバ、侵入検知システム等、各種のセキュリティサービスやセキュリティ機器が挙げられる。このような技術は、計算機システムの入口対策であるが、入口対策だけでは限界がある。 General countermeasure techniques against security breach include various security services and security devices such as anti-virus software, firewall servers, proxy servers, and intrusion detection systems. Such a technique is a countermeasure against the entrance of a computer system, but there is a limit only by the countermeasure against the entrance.
現実的な対策としては、計算機システムへの攻撃等の侵入をある程度までは不可避として許容しつつも、実被害を最小限に抑えるように、計算機のログデータの分析等に基づいて攻撃等を検出して対策することが必要及び有効である。 As a realistic measure, attacks are detected based on analysis of computer log data so that actual damage is minimized while allowing intrusion of attacks to the computer system to a certain extent inevitable. It is necessary and effective to take measures.
計算機システムのセキュリティ侵害対策のためのデータ分析に関する先行技術例として、特許文献1(特開2006−285983号公報)や非特許文献1が挙げられる。
Patent Document 1 (Japanese Patent Laid-Open No. 2006-285993) and Non-Patent
特許文献1には、計算機をマルウェアから保護する方法として、イベント検出システムを用いて計算機から疑わしいイベントを観測し、そのイベントが閾値を満たす場合、制限的セキュリティポリシーを適用する旨が記載されている。
非特許文献1には、計算機のCPU使用率等のリソース状態をハードウェア及びソフトウェアのパフォーマンスカウンタにより測定し、測定した数値データを用いてマルウェアを検知する旨や、多数の数値データの中から検知のために有効性の高いパラメータを絞り込む旨が記載されている。
In Non-Patent
計算機システムのセキュリティ侵害対策において、実被害を最小限に抑えるためには、迅速に攻撃やマルウェア等を検出する必要がある。しかし、データ分析に基づいて攻撃等を検出する従来技術は、検出速度等の点で課題がある。 In order to minimize actual damage in security breaches countermeasures for computer systems, it is necessary to quickly detect attacks and malware. However, the conventional technique for detecting an attack or the like based on data analysis has a problem in terms of detection speed and the like.
特許文献1のような従来技術は、計算機及びセキュリティサービス等から得られる大量の多種多様なログデータを分析する。この分析には、分析者及び計算機を含め、多くの手間、時間、資源を必要とし、対象ログデータ量が多いほど、迅速な分析及び検出が難しい。
A conventional technique such as
また、特許文献1のような従来技術は、予め、疑わしいイベントまたはそれに対応する閾値等を定義しておき、その定義に基づいて攻撃等を検出するので、未知の攻撃等に対策することが難しく、検出精度の点で課題がある。
Further, in the conventional technique such as
また、非特許文献1のような従来技術は、リソース状態の計測値である数値データからマルウェア等に特有の特徴を求めることが難しいため、検出精度の点で課題がある。
Further, the conventional technique such as Non-Patent
本発明の目的は、計算機システムのセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する技術に関して、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる技術を提供することである。 The object of the present invention is to reduce the labor, time, and resources required for analysis, and to perform quick and efficient analysis and detection with respect to technology for detecting attacks and the like based on data analysis for countermeasures against security breaches in computer systems. It is possible to provide a technique that can improve detection accuracy, including unknown attacks.
本発明のうち代表的な実施の形態は、データ分析システムであって、以下に示す構成を有することを特徴とする。 A typical embodiment of the present invention is a data analysis system having the following configuration.
一実施の形態のデータ分析システムは、管理対象システムの計算機に対するセキュリティ侵害行為を検出するために、前記計算機から収集されるログデータを分析するデータ分析システムであって、前記管理対象システムの計算機から当該計算機のリソース状態計測値の数値データを含むログデータを収集してログDBに格納するデータ収集部と、前記ログデータのうちの前記数値データを、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、分析者の操作に基づいて、前記ログデータのうち前記分析対象として絞り込まれたログデータを、前記セキュリティ侵害行為を検出するために分析処理し、分析結果である分析データを出力するデータ分析部と、を備え、前記分析対象判定部は、前記ログデータのうちの前記数値データを用いて、判定対象の計算機及び時間帯における特徴量を計算または設定する処理と、前記ログデータのうちの前記数値データを用いて、比較対象の計算機及び時間帯における特徴量を基準値として計算または設定する処理と、前記特徴量と前記基準値とを比較し、前記ルール情報のルールを満たす場合、前記セキュリティ侵害行為が疑われる異常状態として判定する処理と、前記異常状態に該当する前記計算機、時間帯、及びログデータを、前記分析対象として決定する処理と、を行う。 A data analysis system according to an embodiment is a data analysis system that analyzes log data collected from a computer in order to detect a security breach of the computer of the management target system, and from the computer of the management target system By collecting log data including numerical data of resource state measurement values of the computer and storing it in the log DB, and analyzing the numerical data of the log data based on rule information, An analysis target determination unit for determining log data to be narrowed down as an analysis target, and an analysis process for detecting the security breach in the log data narrowed down as the analysis target among the log data based on an operation of an analyst And a data analysis unit for outputting analysis data as analysis results, The unit uses the numerical data of the log data to calculate or set a feature amount in a determination target computer and a time zone, and uses the numerical data of the log data to compare A process of calculating or setting a feature value in a computer and a time zone as a reference value and the feature value and the reference value are compared, and if the rule of the rule information is satisfied, it is determined as an abnormal state in which the security breach is suspected And a process of determining the computer, time zone, and log data corresponding to the abnormal state as the analysis target.
本発明のうち代表的な実施の形態によれば、計算機システムのセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する技術に関して、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる。 According to a typical embodiment of the present invention, it is possible to reduce the labor, time, and resources required for analysis quickly, with respect to a technique for detecting attacks and the like based on data analysis for countermeasures against security breaches in computer systems. Thus, efficient analysis and detection can be performed, and detection accuracy can be improved including unknown attacks.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において同一部には原則として同一符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.
(実施の形態1)
図1〜図11を用いて、本発明の実施の形態1のデータ分析システムについて説明する。
(Embodiment 1)
The data analysis system according to the first embodiment of the present invention will be described with reference to FIGS.
[セキュリティ侵害行為検出システム]
図1は、実施の形態1のデータ分析システムを含むセキュリティ侵害行為検出システムの構成を示す。図1では、システム全体をセキュリティ侵害行為検出システムとした。セキュリティ侵害行為検出システムは、ネットワーク9に接続される、データ分析システム1、管理対象システム2、及びイベント検出システム3を有する。
[Security breach detection system]
FIG. 1 shows the configuration of a security breach detection system including the data analysis system of the first embodiment. In FIG. 1, the entire system is a security breach detection system. The security breach detection system includes a
ネットワーク9は、インターネットやLANを含む通信網である。データ分析システム1、管理対象システム2、及びイベント検出システム3は、ネットワーク9上の通信を介して相互接続される。
The
管理対象システム2は、管理対象計算機群として、複数の計算機20を含む。管理対象システム2は、例えば企業LANやWebサービス等のシステムが挙げられる。計算機20は、一般的なPCやサーバが挙げられる。計算機20は、管理対象システム2に応じた様々なシステムや機能を構成する。各計算機20は、ネットワーク9に接続される。計算機20は、データ分析システム1及びイベント検出システム3によりセキュリティ侵害行為の発生を監視してセキュリティ侵害行為を検出する対象である。
The
計算機20は、グループを構成していてもよい。グループは、1つ以上の計算機20を、同一用途等の特定の要件により1つにまとめた単位である。複数の計算機20は、図1の例では、グループ41を構成する複数(m)の計算機20である計算機211〜21mと、グループ42を構成する複数(n)の計算機20である計算機221〜22nと、個別の計算機20である計算機231等と、を有する。
The
グループ41は、Webサーバグループであり、Webサーバの役割を持つ複数の計算機20である計算機211〜21mにより構成されている。グループ42は、DBサーバグループであり、DBサーバの役割を持つ複数の計算機20である計算機221〜22nにより構成されている。
The
なお、計算機20毎の管理上のIDとして、計算機211をC11とし、計算機212をC12等とする。グループの管理上のIDとして、グループ41をG1とし、グループ42をG2とする。
As management IDs for each
各計算機20は、CPU、メモリ、ディスク、通信インタフェース装置、入出力インタフェース装置、バス等のハードウェア、及び、OSやサーバプログラム等のソフトウェアを備える。
Each
イベント検出システム3は、管理対象システム2の計算機20を対象として入口対策を行う、各種のセキュリティサービス及びセキュリティ機器等を含む。イベント検出システム3は、管理対象システム2の通信ログ等を監視してイベントを検出する機能を有する。図1の例では、イベント検出システム3は、アンチウイルスシステム31、プロキシシステム32、ファイアウォールシステム33、及び侵入検知システム34を含む。
The
アンチウイルスシステム31は、サーバ装置やプログラム及び知識DB等の一般的なソフトウェア及びハードウェアにより構成されるシステムである。アンチウイルスシステム31は、コンピュータウイルスやマルウェア等の悪意あるプログラムが計算機20に侵入することを検知する処理や、計算機20に侵入した悪意あるプログラムを駆除する処理等を行う。アンチウイルスシステム31の構成要素は、計算機20の内部に配置されてもよいし、外部に配置されてもよい。
The
プロキシシステム32は、同様にサーバ装置やプログラム等により構成される。プロキシシステム32は、企業等の内部ネットワークと、インターネット等の外部ネットワークとの境界に配置される。プロキシシステム32は、内部ネットワークから外部ネットワークに接続する際、高速なアクセスや安全な通信を提供するための中継を行う。
The
ファイアウォールシステム33は、同様にサーバ装置やプログラム等により構成される。ファイアウォールシステム33は、内部ネットワークと外部ネットワークとの境界、または、企業内のネットワーク間の境界に配置される。ファイアウォールシステム33は、内部から外部への通信、及び外部から内部への通信を制御し、不正な通信のブロックや、内部ネットワークの安全維持等を行う。
The
侵入検知システム34は、同様にサーバ装置やプログラム等により構成される。侵入検知システム34は、侵入検知システム(Intrusion Detection System)または侵入防止システム(Intrusion Prevention System)である。侵入検知システム34は、ネットワーク上の通信等を監視し、悪意ある攻撃者によるネットワークへの不正侵入等を検知または防止する。
The
データ分析システム1は、イベント検出システム3と連係して、管理対象システム2に対するセキュリティ侵害行為をデータ分析に基づいて検出するシステムである。データ分析システム1は、サーバシステム10等のハードウェア及びソフトウェアにより構成される。データ分析システム1であるサーバシステム10は、データ収集部11、分析対象判定部12、データ分析部13等を有し、ログDB50、分析DB60、ルール情報70等を有する。
The
データ収集部11は、分析候補となるログデータを収集し、ログDB50に格納する。収集されるログデータは、分析対象判定部12での処理対象となる数値データを含む。データ収集部11は、管理対象システム2の管理対象計算機群から、ログデータ101を収集し、ログDB50に格納する。ログデータ101は、計算機20のリソース状態の計測値である数値データや、テキストデータを含む。また、データ収集部11は、イベント検出システム3から、ログデータ102を収集し、ログDB50に格納する。ログデータ102は、イベント検出システム3で検出したイベントのイベントデータを含む。
The
分析対象判定部12は、分析候補から分析対象を判定して絞り込む処理を行う。分析対象判定部12は、ログDB50のログデータのうちのリソース状態測定値に対応する数値データについて、ルール情報70に基づいて、正常または異常を判定する処理を行う。分析対象判定部12は、異常と判定した数値データに関係付けられた計算機20及び時間帯を、分析対象として絞り込む。分析対象判定部12は、数値データから特徴量や基準値を計算または設定し、ルール情報70の閾値等と比較して、異常か否かを判定する。異常とは、攻撃やマルウェア等の侵入が疑われる状態を指す。分析対象判定部12は、分析対象として絞り込む計算機20、時間帯の情報、及びそれに関係付けられたログデータの識別情報を含む、分析対象情報を、分析DB60に格納する。また、分析対象判定部12は、分析対象情報を含む情報を画面に表示する。
The analysis
データ分析部13は、ユーザである分析者の操作に基づいて、ログDB50のログデータのうち、分析対象として絞り込まれたログデータを分析し、分析結果である分析データを分析DB60に保存する。また、データ分析部13は、分析データを含む情報を画面に表示する。
The data analysis unit 13 analyzes log data narrowed down as an analysis target among the log data of the
[データ分析システム]
図2は、データ分析システム1等の各システムの構成を示す。管理対象システム2の各計算機20、例えばグループ41の計算機211は、リソース状態計測部200を有する。リソース状態計測部200は、計算機20のCPU使用率やメモリ使用量等のリソース状態を計測し、そのリソース状態計測値201を含むログデータ101を出力する。
[Data analysis system]
FIG. 2 shows the configuration of each system such as the
リソース状態計測部200、及びそのリソース状態計測値201を含むログデータ101の送受信手段としては、一般的な計算機やOSに備えている既存のパフォーマンスカウンタ、リソースモニタ、あるいは所定のコマンドシステム等を用いることができる。
As a means for transmitting / receiving the
イベント検出システム3の各セキュリティサービス、例えばアンチウィルスシステム31は、イベント検出部300を含む。イベント検出部300は、管理対象システム2の計算機20を監視してイベントを検出する。イベント検出部300は、例えば、計算機211がネットワーク9へアクセスしたことや、ネットワーク9からプログラムをダウンロードしたこと等をイベントとして検出し、そのイベントのイベントデータ202を記録する。イベント検出部300は、イベントデータ202を含むログデータ102を出力する。
Each security service of the
データ分析システム1は、データ収集部11、分析対象判定部12、データ分析部13、入出力部14、設定部15を有する。サーバシステム10は、所定のハードウェアに基づいたソフトウェアプログラム処理により、データ収集部11等の各処理部を実現する。ログDB50は、ログデータ51及びログデータ52を格納する。分析DB60は、対象情報61及び分析データ62を格納する。
The
データ収集部11は、管理対象システム2の各計算機20から、ログデータ101を、ネットワーク9を通じて収集及び取得し、ログDB50にログデータ51として格納する。また、データ収集部11は、イベント検出システム3の各セキュリティサービスから、ログデータ102を、ネットワーク9を通じて収集及び取得し、ログDB50に、ログデータ51と関連付けてログデータ52として格納する。
The
分析対象判定部12は、ログDB50のログデータ51及びログデータ52のうち、リソース状態計測値の数値データを対象に、ルール情報70に記載のルールを用いて、異常に該当する計算機20及び時間帯を判定する。分析対象判定部12は、異常と判定した計算機20及び時間帯を、分析対象とし、その分析対象の情報を、対象情報61として、分析DB60に格納する。対象情報61は、分析対象の計算機20の識別情報、時間帯の情報、及びそれらに関係付けられるログデータの識別情報、等を含む。
The analysis
データ分析部13は、分析者の操作に基づいて、ログDB50のログデータを分析する処理を行う。データ分析部13は、ログDB50のログデータ51及びログデータ52の全体のうち、対象情報61に従い、分析対象として絞り込まれたログデータを分析し、その分析結果である分析データ62を、分析DB60に格納する。分析対象のログデータは、ログデータ51及びログデータ52のうち、異常と判定された計算機20及び時間帯に該当するログデータである。このうちログデータ52には、疑わしいイベントのイベントデータを含む。
The data analysis unit 13 performs processing for analyzing the log data in the
分析対象判定部12により、ログDB50の全体のログデータのうち、対象情報61で示す分析対象のログデータに絞り込まれている。分析対象のログデータは、全体のログデータ量に対してデータ量が少なくなっている。分析者は、分析対象である疑わしい計算機20及び時間帯のログデータを分析することにより、攻撃やマルウェア等を効率的に検出することができる。
The analysis
なお、分析者は、対象情報61で示す分析対象のログデータだけでなく、必要に応じて、ログDB50内の他のログデータを参照して分析することもできる。この場合、参照するデータ量が増える分、分析に必要な時間等も増えるが、その代わり、より詳しい分析が可能である。
Note that the analyst can perform analysis by referring to other log data in the
入出力部14は、ユーザである分析者の操作に基づいて、データや情報の入力や出力の処理を行う。入出力部14は、ユーザインタフェースとなる画面を提供する。分析者は、端末からサーバシステム10にアクセスし、入出力部14により提供される画面を端末で表示する。分析者は、その画面で、データ分析システム1に係わる各種の情報の確認や設定、データ分析作業、等が可能である。
The input /
設定部15は、入出力部14を通じたユーザの操作に基づいて、ルール情報70を含む設定情報を設定する処理を行う。ユーザは、画面で、ルール情報70の内容を確認し、個別のルールの設定が可能である。ルール情報70は、分析対象判定部12での分析対象判定処理の際に参照するルールであるデータ分析ルールを含む設定情報である。
The setting
[処理フロー]
図3は、実施の形態1のデータ分析システムにおける処理フローを示す。以下、図3のステップS1〜S9を順に説明する。
[Processing flow]
FIG. 3 shows a processing flow in the data analysis system of the first embodiment. Hereinafter, steps S1 to S9 in FIG. 3 will be described in order.
(S1) S1では、予め、ルール情報70等の設定が行われる。ユーザは、設定部15を用いて、ルール情報70の内容である各ルールの設定や確認を行う。S1の後、S2及びS3の処理が並列で所定のタイミング毎に実行される。
(S1) In S1, the
なお、ルール情報70としては、予め事業者によりデフォルトのルール情報が設定され提供されてもよい。また、事業者のサービスとして、ネットワーク9を通じて、最新のルール情報が提供され、ルール情報70が自動更新されるようにしてもよい。
As the
(S2) S2では、データ収集部11により、ネットワーク9を通じて、管理対象システム2の管理対象計算機群の複数の各々の計算機20から、ログデータ101を収集し、ログデータ51としてログDB50に格納する。ログデータ101は、図2のリソース状態計測値201の数値データや、テキストデータを含む。
(S <b> 2) In S <b> 2, the
(S3) また、データ収集部11は、イベント検出システム3の各セキュリティサービスから、ログデータ102を収集し、ログデータ52としてログDB50に格納する。ログデータ102は、図2のイベントデータ202を含む。
(S3) Further, the
S2及びS3で、データ収集部11は、収集タイミングに応じた日時、時間帯、及び計算機20毎のログデータを、ログDB50に格納する。
In S <b> 2 and S <b> 3, the
(S4) 分析対象判定部12は、S3まででログDB50に収集されたログデータのうち、判定対象として着目する計算機20のログデータにおける現在の時間帯のリソース状態計測値に対応した数値データから、判定用の特徴量を計算または設定する。分析対象判定部12は、判定対象の計算機20の時系列の数値データのうち、現在データ、即ち最新の収集タイミングで取得した時間帯の数値データを、判定用の特徴量とする。
(S4) From the log data collected in the
S4の特徴量の計算または設定の方式やその詳細は、各種可能である。実施の形態1では、第1の方式として、分析対象判定部12は、判定対象として着目する計算機20の時系列の数値データそのものを、その計算機20の特徴量として設定する。分析対象判定部12は、例えば、CPU使用率、メモリ使用量、ディスク使用量、httpdプロセス数、といった数値データを、特徴量とする。
Various methods and details of the calculation or setting of the feature amount in S4 are possible. In the first embodiment, as a first method, the analysis
他の実施の形態で、第2の方式として、分析対象判定部12は、数値データに所定の演算を適用して特徴量を算出してもよい。第2の方式の例は以下である。分析対象判定部12は、判定対象として着目する計算機20の時系列の数値データにおいて、時点毎に変化量を計算し、変化量が所定の閾値を超える箇所を抽出する。即ち、分析対象判定部12は、数値データのグラフにおいて、数値が急に変化している箇所や、他の部分と比べて数値の変化が目立つ部分等を抽出する。分析対象判定部12は、抽出した数値データを特徴量とする。
In another embodiment, as a second method, the analysis
(S5) また、分析対象判定部12は、S3まででログDB50に収集されたログデータのうち、比較対象として着目する1つ以上の計算機20のリソース状態計測値に対応した数値データから、判定用の基準値とする特徴量を計算または設定する。
(S5) Moreover, the analysis
S5の基準値の計算または設定の方式や詳細は、各種が可能である。実施の形態1では、第1の方式として、複数の計算機20間で、現在の時間帯の数値データを比較し、第2の方式として、同一の計算機20内で現在の時間帯と過去の時間帯とで数値データを比較する。
Various methods and details of the calculation or setting of the reference value in S5 are possible. In the first embodiment, numerical data of the current time zone is compared between a plurality of
第1の方式の例は以下である。分析対象判定部12は、判定対象として着目する計算機20、例えば計算機211に対して、比較対象とする複数の計算機20、例えばグループG1の計算機211〜21mの各々における、現在の時間帯の数値データから、平均等の統計値を計算し、その統計値を、比較対象の計算機20における基準値の特徴量とする。
An example of the first method is as follows. The analysis
分析対象判定部12は、例えばWebサーバグループに対応したグループ41の計算機211〜21mについて、CPU使用率の平均値、メモリ使用量の平均値、ディスク使用量の平均値、httpdプロセス数の平均値、といった数値データの平均値を計算し、それぞれを基準値とする。
For example, for the
なお、第1の方式で、比較対象とする複数の計算機20は、管理対象の全ての計算機20としてもよいし、特定のグループの計算機20や、任意に指定した計算機20としてもよい。この定義は、ルール情報70で設定可能である。また、比較対象とする1つ以上の計算機20については、判定対象の計算機20を含める場合と含めない場合との両方が可能である。この定義は、ルール情報70で設定可能である。実施の形態1では、ルールに応じて、前者のように、比較対象の計算機20に判定対象の計算機20を含める定義とする。例えば、判定対象が計算機211であり、比較対象がグループG1であり、比較対象のグループG1の計算機211〜21mにおける平均値等が計算される。後者の定義とする場合、判定対象の計算機211を除く、比較対象のグループG1の計算機212〜21mにおける平均値等が計算される。
In the first method, the plurality of
第2の方式の例は以下である。分析対象判定部12は、判定対象として着目する計算機20のログデータにおける、判定対象とする現在の時間帯の数値データに対して、過去の時間帯の数値データを比較対象として参照する。分析対象判定部12は、比較対象とする過去の1つ以上の時間帯の数値データから、平均等の統計値を計算し、その統計値を、基準値の特徴量とする。
An example of the second method is as follows. The analysis
分析対象判定部12は、例えば判定対象の計算機211について、現在の時間帯の数値データとして、月曜8時0分から10分までの時間帯のCPU使用率を、判定対象の特徴量とする。分析対象判定部12は、これに対し、比較対象である過去の時間帯の数値データとして、過去1ヶ月における月曜8時0分から10分までの時間帯のCPU使用率を参照し、それらの平均値を、基準値の特徴量とする。
For example, for the
なお、第2の方式で、判定対象とする時間帯のログデータを、比較対象とする時間帯のログデータの中に含める場合と含めない場合との両方が可能である。この定義は、ルール情報70で設定可能である。実施の形態1では、ルールに応じて、後者のように、比較対象の時間帯に判定対象の時間帯を含めない定義とする。
Note that, in the second method, it is possible to both include and not include the log data in the time zone to be determined in the log data in the time zone to be compared. This definition can be set in the
基準値として平均値を用いる場合、平均値をμとし、ある時間帯の複数(k)の各計算機20の数値データをX1,X2,……,Xkとすると、μ=(X1+X2+……+Xk)/kである。
When the average value is used as the reference value, if the average value is μ, and the numerical data of each of the plurality (k) of
特徴量の計算及び判定等の方式としては、上記例に限らず、各種の方式が適用可能である。例えば非特許文献1に記載のフィッシャースコアによる有効性の高いパラメータの絞り込み、線形補正による数値データの補正、等の方式も適用可能である。
The method for calculating and determining the feature amount is not limited to the above example, and various methods can be applied. For example, a method of narrowing down highly effective parameters by Fisher score described in
(S6) 分析対象判定部12は、分析対象判定処理のために、ルール情報70から、1つ以上のルールを参照する。実施の形態1では、ルール情報70に記載の全てのルールを適用する。ルール情報70の内容例は後述の図4で示す。ルール情報70のルールは、判定対象の特徴量や比較対象の基準値に合わせて、閾値等の条件が設定されている。ルールの例は、比較対象の基準値に対する、判定対象の特徴量の偏差をみて、その偏差が所定の閾値を超えるかどうか、が挙げられる。超える場合には異常と判定される。偏差は、母集団に属する数値と母集団の平均値との差である。閾値の例としては、比較対象の数値群における標準偏差が挙げられる。判定用の閾値等の条件は、ルール情報70で設定可能であり、各種が適用可能である。
(S6) The analysis
なお、特徴量である数値データをX、平均をμ、偏差を(X−μ)、分散をσ2、標準偏差をσとする。分散(σ2)は、偏差の2乗値の合計を数値データ個数(k)で割った値であり、σ2=Σ(X−μ)2/kである。 It is assumed that the numerical data as feature quantities is X, the average is μ, the deviation is (X−μ), the variance is σ 2 , and the standard deviation is σ. The variance (σ 2 ) is a value obtained by dividing the sum of squared deviation values by the number of numerical data (k), and σ 2 = Σ (X−μ) 2 / k.
第1の方式の例として、判定対象の計算機211の現在の時間帯の特徴量であるCPU使用率をX1とする。比較対象のグループG1の計算機211〜21mの同じ時間帯の基準値である、CPU使用率の平均値をμ1とする。比較対象のグループG1におけるCPU使用率の標準偏差をσ1とする。条件は、偏差(X1−μ1)が、閾値である標準偏差(σ1)を超えるかどうか、即ち、(X1−μ1)>σ1である。
As an example of the first method, the CPU usage rate, which is the feature amount in the current time zone of the
第2の方式の例として、判定対象の計算機211の現在の時間帯(図11のT1)の特徴量であるCPU使用率をX1とする。同じ計算機211の比較対象の基準値である、複数の過去の時間帯(図11のT2〜Tp)のCPU使用率の平均値をμ2とする。比較対象における標準偏差をσ2とする。条件は、偏差(X1−μ2)が、閾値である標準偏差(σ2)を超えるかどうか、即ち、(X1−μ2)>σ2である。
As an example of the second method, it is assumed that the CPU usage rate, which is the feature amount in the current time zone (T1 in FIG. 11) of the
(S7) 分析対象判定部12は、S4で得た判定対象の特徴量と、S5で得た比較対象の基準値である特徴量と、S6で得たルールにおける閾値等の条件と、を参照し、それらを比較して異常か否かを判定する。分析対象判定部12は、判定対象の計算機20及び時間帯の特徴量が、比較対象の計算機20及び時間帯の基準値である特徴量に対して、条件を満たすかどうかにより、判定対象が異常か否かを判定する。分析対象判定部12は、例えば、S4の特徴量とS5の基準値である平均値との偏差が、S6の閾値である標準偏差を超える場合、ルールの条件を満たすと判定する。その結果、分析対象判定部12は、S4の判定対象の計算機20及び時間帯のログデータを異常状態と判定する。
(S7) The analysis
S7の判定の結果、ルール情報70のうちのいずれかのルールを満たし、異常に該当するものがある場合(S7−Y)、S8へ進み、いずれのルールも満たさず、異常に該当するものが無い場合(S7−N)、図3の処理を終了する。
As a result of the determination in S7, if any rule of the
(S8) 分析対象判定部12は、S7で異常と判定した計算機20及び時間帯、及びそれに関係付けられるログデータを、分析対象として決定し、その分析対象の情報を含む対象情報61を分析DB60に格納する。また、分析対象判定部12は、その対象情報61を含む情報を、入出力部14の処理を通じて、ユーザが見る画面に表示させる。
(S8) The analysis
(S9) 次に、データ分析部13は、S8で決定した対象情報61に従い、分析対象のログデータを決定する。データ分析部13は、対象情報61で指し示される分析対象のログデータを、ログDB50から読み出す。データ分析部13は、画面での分析者の操作に基づいて、その分析対象のログデータの分析処理を行い、その分析結果である分析データ62を分析DB60に格納する。データ分析部13は、分析結果を含む情報を、入出力部14を通じて画面に表示する。
(S9) Next, the data analysis unit 13 determines log data to be analyzed in accordance with the
分析者は、分析対象として絞り込まれた特定の計算機及び時間帯のログデータと、それに対応したイベントデータを含むログデータとを併せて分析を行い、攻撃やマルウェア等、何らかのセキュリティ侵害行為の形跡が無いかどうか等を分析する。その結果、セキュリティ侵害行為を検出することができる。 The analyst analyzes the log data of a specific computer and time zone that has been narrowed down as an analysis target and log data including event data corresponding to it, and there is evidence of any kind of security breach, such as an attack or malware. Analyze whether there is any. As a result, a security breach can be detected.
なお、S9の分析の方式としては、公知の各種の分析の方式が適用可能である。例えば分析者が関連するログを直接参照する方式、一般的なルールベースの分析の方式、複数のセキュリティサービス等のログを用いた相関分析の方式、等が適用可能である。 It should be noted that various known analysis methods can be applied as the analysis method of S9. For example, a method in which an analyst directly refers to a related log, a general rule-based analysis method, a correlation analysis method using logs of a plurality of security services, and the like are applicable.
S7及びS8の結果、例として、計算機211で、日時「2015/01/10 10:05:00」に対応した時間帯について、異常と判定され、即ち何らかの攻撃等が発生した疑いがあると判定される。よって、S9で、分析者は、管理対象計算機群やイベント検出システム3から取得した膨大な全てのログデータを分析するのではなく、S8で絞り込まれた特定の計算機211及び時間帯に対応した分析対象のログデータを分析する。このログデータは、特定の計算機211に関わるログやイベントを含む。これにより、分析者は、効率的にセキュリティ侵害行為を検出できる。S9の後、図3の処理を終了する。
As a result of S7 and S8, for example, the
[ルール情報]
図4は、実施の形態1のデータ分析システムにおける、ルール情報70の構成例を示す。図4のルール情報の表は、列として、「ID」、「ルール名称」、「条件」、「判定対象及び期間」、「比較対象及び期間」を有する。「ID」は、ルールを識別する一意の番号を示す。「ルール名称」は、ルールの名称を示す。「条件」は、当該ルールでの判定用の条件を示し、条件として閾値等を含む。
[Rule information]
FIG. 4 shows a configuration example of the
「判定対象及び期間」は、判定対象の計算機20及び時間帯を定義する情報を示す。「比較対象及び期間」は、比較対象の計算機20及び時間帯を定義する情報を示す。それぞれの「期間」は、当該ルールで適用する、判定対象の特徴量、及び比較対象の基準値とする特徴量を計算または設定するための、数値データをサンプリングする期間等を定義する情報を示す。
The “determination target and period” indicates information defining the
ID=1〜3で示す行は、想定されるマルウェアや攻撃毎に定義されるルールの例である。ID=1の「マルウェアA」のルールは、判定対象の計算機20として、管理対象システム2の全ての計算機20における各々の計算機20毎とする。また、判定対象の時間帯は、計算機20毎に現在の時間帯である。現在の時間帯とは、最新の収集タイミングに対応した最新の時間帯である。
The rows indicated by ID = 1 to 3 are examples of rules defined for each assumed malware and attack. The rule of “malware A” with ID = 1 is for each
判定対象の特徴量は、判定対象の計算機20及び時間帯における時系列の数値データである。比較対象の計算機20は、判定対象と同一の計算機20である。比較対象の時間帯は、同一の計算機20における過去の時間帯である。過去の時間帯は、特に、直近1ヶ月の期間における、現在時間帯と同一曜日の同一時間帯である。比較対象の基準値とする特徴量は、比較対象の過去の時間帯の数値データの平均値である。
The determination target feature amount is time-series numerical data in the
ID=1の条件は、「*¥CU+10% AND *¥MU+10% AND *¥DU+10%」である。“*¥”は、任意の1台の計算機20を示す。“CU”は、CPU使用率を示す。“*¥CU”は、任意の1台の計算機20のCPU使用率を示す。「+10%」は閾値を示す。「*¥CU+10%」は、判定対象の計算機20の現在時間帯のCPU使用率が、比較対象の基準値である過去時間帯のCPU使用率の平均値に対して、プラス10%の閾値を超える、という条件を示す。「*¥MU+10%」は、同様に、メモリ使用量に関する条件を示す。「*¥DU+10%」は、同様に、ディスク使用量に関する条件を示す。ID=1の条件は、リソース状態計測値の種類毎の3つの条件のAND(論理積)で定義されている。ID=1の条件を満たす場合、判定対象の計算機20及び時間帯は、異常と判定される。
The condition of ID = 1 is “* ¥ CU + 10% AND * ¥ MU + 10% AND * ¥ DU + 10%”. “* ¥” indicates an
ID=2の「マルウェアB」のルールは、「マルウェアA」のルールと同様の判定対象や比較対象とし、条件の閾値が異なる例を示している。条件は、「*¥CU+5% AND *¥MU+5% AND *¥DU+20%」である。 The rule of “malware B” with ID = 2 is an example in which the determination threshold and the comparison target are the same as those of the rule of “malware A”, and the condition thresholds are different. The condition is “* ¥ CU + 5% AND * ¥ MU + 5% AND * ¥ DU + 20%”.
ID=3の「DDoS攻撃」のルールは、判定対象の計算機20として、グループG1であるWebサーバグループにおける、複数の計算機20である計算機211〜21mである。判定対象の時間帯は、現在の時間帯である。“WG”はWebサーバグループであるグループG1を示す。このルールは、グループ単位を判定対象とするものであり、比較対象の定義は無い。
The rule of “DDoS attack” with ID = 3 is the
ID=3の条件は、「WG¥CU>90% AND WG¥MU>90% AND WG¥PCH>200」である。“WG¥CU”は、グループG1のCPU使用率を示し、例えばいずれかの計算機20のCPU使用率を示す。「WG¥CU>90%」は、グループG1のCPU使用率が、閾値である90%を超える、という条件を示す。同様に、「WG¥MU>90%」は、グループG1のメモリ使用量が、90%を超える、という条件を示す。「WG¥PCH>200」は、グループG1のhttpdプロセス数が、200を超えるという条件を示す。“PCH”は、“process-count-httpd”、即ちhttpdプロセス数を示す。ID=3の条件は、3つの条件のANDにより定義されている。
The condition of ID = 3 is “WG ¥ CU> 90% AND WG ¥ MU> 90% AND WG ¥ PCH> 200”. “WG ¥ CU” indicates the CPU usage rate of the group G1, for example, indicates the CPU usage rate of one of the
ID=11の「同一グループ異常動作(WG)」のルールは、同一グループに含まれる複数の計算機20間で現在時間帯の数値データを比較して異常を判定する例である。このルールは、判定対象の計算機20として、WebサーバグループであるグループG1に含まれる計算機211〜21mにおける各々の計算機20である。判定対象の時間帯は、現在の時間帯である。判定対象の特徴量は、現在時間帯の時系列の数値データそのものである。
The rule of “same group abnormal operation (WG)” with ID = 11 is an example in which an abnormality is determined by comparing numerical data in the current time zone between a plurality of
比較対象の計算機20は、グループG1を構成する複数の計算機20である計算機211〜21mである。このルールの場合、比較対象のグループG1の複数の計算機20は、判定対象の計算機20、例えば計算機211を含む。比較対象の時間帯は、同じく現在の時間帯である。比較対象の基準値となる特徴量は、現在の時間帯のグループG1の数値データの平均値である。
The
ID=11の条件は、「WG¥CU+20% OR WG¥MU+20% OR WG¥DU+20%」である。この条件は、3つの条件のOR(論理和)で定義されている。「WG¥CU+20%」は、判定対象の計算機20の現在の時間帯のCPU使用率が、基準値である比較対象のグループG1のCPU使用率の平均値に対し、閾値であるプラス20%を超えるか、という条件を示す。
The condition of ID = 11 is “WG ¥ CU + 20% OR WG ¥ MU + 20% OR WG ¥ DU + 20%”. This condition is defined by OR (logical sum) of three conditions. “WG ¥ CU + 20%” indicates that the CPU usage rate in the current time zone of the
ID=11のルールは、CPU使用率が基準値プラス20%を超える、または、メモリ使用量が基準値プラス20%を超える、または、ディスク使用量が基準値プラス20%を超える、というルールである。このルールを満たす場合、判定対象の計算機20及び時間帯は、異常と判定される。
The rule of ID = 11 is a rule that the CPU usage rate exceeds the reference value plus 20%, the memory usage exceeds the reference value plus 20%, or the disk usage exceeds the reference value plus 20%. is there. When this rule is satisfied, it is determined that the
ID=11は、複数の計算機20間で比較する例としてグループG1に関するルールの例である。これに限らず、グループG2等の他のグループや、任意に指定された複数の計算機についても、同様にルールを定義可能である。
ID = 11 is an example of a rule related to the group G1 as an example of comparison between a plurality of
ID=12の「同一マシン異常動作(CPU)」のルールは、同一の計算機20毎に、現在の時間帯の数値データと過去の時間帯の数値データとを比較して異常を判定する例である。判定対象の計算機20は、管理対象計算機群の全ての計算機20における各々の計算機20である。判定対象の時間帯は、現在の時間帯である。判定対象の特徴量は、判定対象の計算機及び時間帯の時系列の数値データそのものである。
The rule of “same machine abnormal operation (CPU)” with ID = 12 is an example in which, for each
比較対象の計算機20は、判定対象と同一の計算機20である。比較対象の時間帯は、過去の時間帯である。過去の時間帯として、ID=1のルールと同様に、直近1ヶ月の同一曜日の同一時間帯である。比較対象の基準値となる特徴量は、過去の時間帯の数値データにおける平均値である。
The
ID=12の条件は、「CU+30%」である。この条件は、判定対象の計算機20の現在の時間帯のCPU使用率が、基準値である過去の時間帯のCPU使用率の平均値に対して、プラス30%を超える、という条件である。この条件を満たす場合、判定対象の計算機20及び時間帯は、異常と判定される。
The condition of ID = 12 is “CU + 30%”. This condition is that the CPU usage rate in the current time zone of the
ID=12は、リソース状態計測値の項目としてCPU使用率に関して、現在と過去とで比較するルールの例である。これに限らず、メモリ使用量、httpdプロセス数のようなサーバプロセス数、等の他の項目についても、同様に、ルールを定義可能である。また、比較対象とする過去の時間帯についても、所望の時間帯を設定可能である。 ID = 12 is an example of a rule for comparing the CPU usage rate as an item of the resource state measurement value between the present and the past. In addition to this, rules can be similarly defined for other items such as memory usage and the number of server processes such as the number of httpd processes. A desired time zone can also be set for the past time zone to be compared.
ルール情報70の他の例として、ID=11のように複数の計算機20間で比較するルールと、ID=12のように現在と過去で比較するルールと、を組み合わせて構成されるルールも可能である。例えばそれら2つのルールのAND条件によるルールや、OR条件によるルールが可能である。もしくは、分析対象判定部12は、ルール情報70に記述されている複数のルールについて、所定のAND条件やOR条件を判定することにより、異常状態を判定してもよい。
As another example of the
なお、ルール情報70に複数のルールが設定されている場合に、都度、いずれのルールを使用するかを、設定部15を通じてユーザにより設定可能としてもよい。この場合、図4のルール情報70の表は、使用するかどうかをON/OFF等で設定するフラグの項目が設けられる。
In addition, when a plurality of rules are set in the
[ログデータ]
図5は、管理対象システム2の計算機20から得られたログデータにおける数値データの例を示す。図5のログデータの表は、列として、「日時」、「計算機C11」、「グループG1(WG)」を有する。図示しないが、他の計算機やグループについても同様に情報が管理される。図5の上側の表は、図1の計算機211である計算機C11に関する情報部分を示し、図5の下側の表は、続いて、図1のグループ41であるグループG1に関する情報部分を示す。分析対象判定部12で処理対象となる数値データは、収集されたログデータのうち、図5のように、CPU使用率等の、数値で表される数値データである。
[Log data]
FIG. 5 shows an example of numerical data in the log data obtained from the
「日時」列は、収集タイミング及び時間帯を示す。例えば「2015/01/10 10:00:00」の行は、収集タイミングが2015年1月10日の10時0分0秒を示し、対応する時間帯としては、「2015/01/10 10:00:00」までの1分間を示す。 The “date and time” column indicates a collection timing and a time zone. For example, the line “2015/01/10 10:00:00” indicates that the collection timing is 10:00:00 on January 10, 2015, and the corresponding time zone is “2015/01/10 10 1 minute until "00:00".
「計算機C11」列及び「グループG1」列は、リソース状態計測値に関する詳しい項目として、「CPU使用率」、「メモリ使用量」、「ディスク使用量」、「httpdプロセス数」を有する。「計算機C11」列の各項目は、収集された各リソース状態計測値の数値を格納している。「グループG1」列の各項目は、収集された各計算機20の数値に基づいて計算された平均値を格納している。
The “computer C11” column and the “group G1” column have “CPU usage rate”, “memory usage”, “disk usage”, and “httpd process count” as detailed items related to the resource state measurement value. Each item in the “Computer C11” column stores a numerical value of each collected resource state measurement value. Each item in the “Group G1” column stores an average value calculated based on the collected numerical values of the
図5の例では、リソース状態計測値の数値データの計測間隔及び収集タイミングがいずれも1分毎であり、ログデータの表にも1分毎に1つの数値データを格納している。この単位時間は、1分に限らず、例えば10秒や5分等、より短い時間やより長い時間が設定可能である。ユーザは、設定部15を通じてこの単位時間を設定可能である。この単位時間は、リソース状態を計測及び収集可能な時間の制約範囲内で設定可能である。データ収集部11は、設定された単位時間に応じた収集タイミングで数値データを含むログデータを収集し、単位時間毎の数値データとしてログデータの表に格納する。
In the example of FIG. 5, the measurement interval and collection timing of the numerical data of the resource state measurement values are both every minute, and one numerical data is stored every minute in the log data table. This unit time is not limited to 1 minute, and a shorter time or a longer time such as 10 seconds or 5 minutes can be set. The user can set this unit time through the setting
なお、データ収集部11は、設定された単位時間に対応した収集タイミングで、計算機20から複数回の計測分の複数の数値データを取得してもよいし、それら複数の数値データのうちの1つの数値データを取得してもよい。また、計算機20のリソース状態計測部200は、複数の数値データの平均値等を計算して、その平均値等の数値データをデータ収集部11へ提供してもよい。
The
また、分析対象判定部12での判定対象や比較対象の時間帯について、ルール情報70で設定可能である。この時間帯は、計測及び収集の時間単位に合わせて例えば1分等にしてもよいし、計測及び収集の時間単位よりも大きくして例えば10分、1時間等としてもよい。ユーザは、設定部15を通じてこの時間帯の大きさをルール情報70に設定可能である。分析対象判定部12は、設定された時間帯毎に、または設定で指定された日時に、分析対象判定処理を行う。
Further, the determination target in the analysis
[数値データグラフ]
図6〜図9は、図5のようなログデータに対応した、時系列の数値データに関するグラフ表示の例を示す。図6はCPU使用率、図7はメモリ使用量、図8はディスク使用量、図9はhttpdプロセス数に関するそれぞれのグラフを示す。データ分析システム1は、ログデータの各リソース状態計測値の数値データのグラフを作成し、入出力部14を通じて画面に当該グラフを表示する機能を有する。
[Numeric data graph]
6 to 9 show examples of graph display related to time-series numerical data corresponding to log data as shown in FIG. 6 shows the CPU usage rate, FIG. 7 shows the memory usage, FIG. 8 shows the disk usage, and FIG. 9 shows the respective graphs regarding the number of httpd processes. The
図6で、(a)は、図1の計算機C11に関するCPU使用率、(b)は、図1の計算機C12に関するCPU使用率、(c)は、図示しない計算機C13に関するCPU使用率を示す。(a)で、実線は、判定対象の計算機20である計算機C11の数値データを表し、破線は、比較対象の計算機20であるグループG1における平均値を表す。例えば時点601に対応した時間帯のCPU使用率をみると、計算機C11のCPU使用率は、グループG1の平均値に対し、2%程度大きい。他の時点では、計算機C11のCPU使用率は、平均値に近い値である。
6A shows the CPU usage rate related to the computer C11 in FIG. 1, FIG. 6B shows the CPU usage rate related to the computer C12 in FIG. 1, and FIG. 6C shows the CPU usage rate related to the computer C13 not shown. In (a), the solid line represents the numerical data of the computer C11 that is the
例えば図4のID=11のルールのように、複数の計算機20間での比較を行う場合、時点601に対応した時間帯の計算機C11のCPU使用率について、基準値である平均値との偏差が、条件の閾値を越える場合、当該計算機C11及び時間帯は、異常と判定される。
For example, when a comparison is made between a plurality of
図7で、(a)〜(c)は、図6と同様に計算機C11,C12,C13に関するメモリ使用量を示す。(a)で、例えば時点701に対応した時間帯をみると、計算機C11のメモリ使用量は、グループG1の平均値に対し、0.5MB程度大きい。
In FIG. 7, (a) to (c) show the memory usage related to the computers C11, C12, and C13 as in FIG. In (a), for example, looking at the time zone corresponding to the
図8で、(a)〜(c)は、図6と同様に計算機C11,C12,C13に関するディスク使用量を示す。(a)で、例えば時点801に対応した時間帯をみると、計算機C11のディスク使用量は、グループG1の平均値に対し、700Kbps程度大きい。
In FIG. 8, (a) to (c) show the disk usage related to the computers C11, C12, and C13 as in FIG. In (a), for example, in the time zone corresponding to the
図9で、(a)〜(c)は、図6と同様に計算機C11,C12,C13に関するhttpdプロセス数を示す。(a)で、例えば時点901に対応した時間帯をみると、計算機C11のhttpdプロセス数は、グループG1の平均値に対し、80個程度大きい。
9, (a) to (c) show the number of httpd processes related to the computers C11, C12, and C13 as in FIG. In (a), for example, in the time zone corresponding to the
図7のメモリ使用量、図8のディスク使用量、図9のhttpdプロセス数についても、図6のCPU使用率と同様に、複数の計算機20間での比較等が可能である。
The memory usage in FIG. 7, the disk usage in FIG. 8, and the number of httpd processes in FIG. 9 can be compared among a plurality of
[分析対象判定処理の例]
図3のS7の分析対象判定処理の例は以下である。分析対象判定部12は、図4のルール情報70、図5のログデータの数値データに基づいて、分析対象を判定する。図5の表の「2015/01/10 10:05:00」時点の数値データにおいて、CPU使用率等の項目毎に、計算機C11の数値データを、判定対象の特徴量とし、グループG1の平均値を、比較対象の基準値である特徴量とする。分析対象判定部12は、ルールとして、同一時間帯のグループG1の複数の計算機20間で、計算機20毎及び項目毎に、比較判定を行う。
[Example of analysis target judgment processing]
An example of the analysis target determination process in S7 of FIG. 3 is as follows. The analysis
まず、CPU使用率は、グループG1の平均値が4.0777であり、それに対し、計算機C11の数値は5.9である。図4のID=11のルールである「同一グループ異常動作(WG)」を用いる場合、条件は「WG¥CU+20% OR WG¥MU+20% OR WG¥DU+20%」である。「WG¥CU+20%」については、平均値である4.0777のプラス20%の値は4.893であり、計算機C11の数値である5.9は、この値を超える。よって、「WG¥CU+20%」という条件を満たし、ID=11のルールの条件を満たすので、当該計算機C11及び時間帯は、異常と判定される。メモリ使用量等についても同様に判定が行われる。他の計算機についても同様に判定が行われる。 First, as for the CPU usage rate, the average value of the group G1 is 4.0777, while the numerical value of the computer C11 is 5.9. When the “same group abnormal operation (WG)” rule of ID = 11 in FIG. 4 is used, the condition is “WG ¥ CU + 20% OR WG ¥ MU + 20% OR WG ¥ DU + 20%”. As for “WG ¥ CU + 20%”, the average value of 4.0777 plus 20% is 4.893, and the numerical value of computer C11 5.9 exceeds this value. Therefore, since the condition “WG ¥ CU + 20%” is satisfied and the condition of the rule of ID = 11 is satisfied, the computer C11 and the time zone are determined to be abnormal. The same determination is made for the memory usage and the like. Similar determinations are made for other computers.
[画面例]
図10は、データ分析システム1の入出力部14により提供される画面例を示す。図10の画面例は、「管理対象システム」の欄501、「ルール設定」の欄502、「分析対象情報」の欄503を有する。
[Screen example]
FIG. 10 shows an example of a screen provided by the input /
欄501は、管理対象システム2の情報を表示する。欄501では、例として、管理対象のグループや計算機20の識別情報を含む情報を表示する。ユーザは、欄501で、設定変更ボタン等により、管理対象のグループや計算機20を設定可能である。また、ユーザは、欄501で、ログデータ収集対象や絞り込み対象等を設定可能である。
A
欄502は、ルール情報70に対応したルールの内容を表示する。欄502は、例として、図4のようなルール情報70の内容を表形式で表示する。ユーザは、欄502で、設定変更ボタン等により、ルールの内容を設定可能である。また、ユーザは、欄502で、適用するルール等を選択して設定可能である。
A
欄503は、対象情報61に対応した分析対象情報を表示する。欄503は、例として、分析対象判定の結果、異常と判定され、分析対象として絞り込まれた計算機20の情報、時間帯の情報、及びそれに関係付けられたログデータの識別情報、等を表示する。ユーザは、欄503で、「分析する」ボタン等により、分析対象のログデータの分析用の画面に遷移して分析を行うことができる。また、ユーザは、欄503に表示された分析対象情報の中から、更に個別に分析対象を選択して、「分析する」ボタン等により、個別の分析対象のログデータの分析用の画面に遷移することもできる。
A
本例では、欄503の表の第1行は、分析対象として、グループG1の計算機C12、時間帯T1、ログデータL21、となっている。同様に、第2行以下に順に、複数の各々の分析対象のログデータに関する情報が表示される。
In this example, the first row of the table in the
[複数の数値データの比較の例]
図11は、補足として、分析対象判定処理やルールにおける、複数の数値データの比較の例について示す。縦方向は、例えばグループG1の複数の計算機20を示す。横方向は、時間軸として左を現在、右を過去として、時間帯を示す。時間帯T1は最新の時間帯を示す。各枠は、該当する計算機及び時間帯におけるログデータを示す。L11等はログデータの識別情報を示す。
[Example of comparing multiple numeric data]
As a supplement, FIG. 11 shows an example of comparison of a plurality of numerical data in the analysis object determination process or rule. The vertical direction indicates, for example, a plurality of
前述の図3のS5の第1の方式は、同一時間帯で複数の計算機20間で数値データを比較する。例えば計算機C11が判定対象であり、グループG1が比較対象である。
The first method of S5 in FIG. 3 compares numerical data among a plurality of
前述の図3のS5の第2の方式は、同一計算機20で現在時間帯と過去時間との間で数値データを比較する。例えば計算機C11で時間帯T1が判定対象であり、時間帯T2,T3,……,Tpが比較対象である。
In the second method of S5 in FIG. 3 described above, the
[効果等]
以上説明したように、実施の形態1のデータ分析システム1によれば、管理対象システム2の計算機20のセキュリティ侵害対策のためにデータ分析に基づいて攻撃等を検出する際、分析に必要な手間、時間、資源を少なくでき、迅速で効率的な分析及び検出ができ、未知の攻撃等を含め、検出精度を高めることができる。
[Effects]
As described above, according to the
一般に、マルウェアに感染した場合やサービス妨害攻撃を受けた場合等、セキュリティ侵害行為を受けた場合には、CPU使用率等のリソース状態の数値またはその特徴量が変動することが分かっている。そこで、実施の形態1では、セキュリティ侵害行為の示唆や可能性を考慮して、リソース状態の数値データに関する条件をルールとして設定し、分析対象判定等を行う。これにより、セキュリティ侵害行為が疑われる計算機20や時間帯に対応したログデータを分析対象として絞り込むことができる。これにより、分析者は、大量の様々なログデータを分析しなければならない従来技術に比べて、少ない手間、時間、資源で、迅速に効率的にログデータを分析し、攻撃等を検出することができる。
In general, it is known that the value of a resource state such as a CPU usage rate or its characteristic amount fluctuates when it is subjected to a security breach, such as when it is infected with malware or under a denial of service attack. Therefore, in the first embodiment, in consideration of the suggestion and possibility of a security breach, a condition regarding the numerical data of the resource state is set as a rule, and analysis target determination is performed. As a result, the log data corresponding to the
また、特に、実施の形態1のデータ分析システム1は、複数の計算機20間での比較判定や、現在と過去の時間帯の比較判定を、ルール設定に基づいて行うことができるので、未知のセキュリティ侵害行為に関しても対応しやすい。
In particular, since the
また、実施の形態1では、分析対象判定処理における処理対象を数値データに限定しているので、迅速な分析及び検出が可能である。 In the first embodiment, since the processing target in the analysis target determination process is limited to numerical data, rapid analysis and detection are possible.
(実施の形態2)
図12を用いて、本発明の実施の形態2のデータ分析システムについて説明する。実施の形態2の基本的な構成は、実施の形態1の構成と同様である。以下、実施の形態2における実施の形態1とは異なる構成の部分について説明する。
(Embodiment 2)
A data analysis system according to the second embodiment of the present invention will be described with reference to FIG. The basic configuration of the second embodiment is the same as the configuration of the first embodiment. In the following, the configuration of the second embodiment different from that of the first embodiment will be described.
図12は、実施の形態2のデータ分析システムを含む、セキュリティ侵害行為検出システムの構成を示す。実施の形態1のネットワーク9は、実施の形態2では、インターネット91及びLAN92として示す。管理対象システム2の管理対象計算機群である複数の計算機20は、LAN92に接続されている。管理対象システム2は、負荷分散装置80を有する。負荷分散装置80は、LAN92に接続されている。負荷分散装置80には、LAN92を通じて各計算機20が接続されている。データ分析システム1は、管理対象システム2のLAN92に接続されている。
FIG. 12 shows the configuration of a security breach detection system including the data analysis system of the second embodiment. The
イベント検出システム3は、各セキュリティサービスのサーバ装置等で構成される。当該サーバ装置は、インターネット91に接続されており、また、管理対象システム2のLAN92に対して負荷分散装置80を通じて接続されている。イベント検出システム3は、管理対象システム2のセキュリティ確保のための入口対策としての処理を行う。
The
負荷分散装置80は、管理対象システム2の複数の計算機20に対する負荷を分散する処理を行う。負荷分散装置80は、例えば、Webサーバグループであるグループ41の計算機211〜21mに対する外部からのアクセスを平準化することにより、それらの計算機20の負荷を平準化する。これにより、それらの計算機20は、リソース状態としてCPU使用率等が平準化される。計算機211〜21mは、同様のハードウェア及びソフトウェアの性能を持つ。
The
データ分析システム1は、負荷分散装置80による負荷分散状態に応じて、ルール情報70の内容を設定する。データ分析システム1は、負荷分散装置80から、負荷分散状態を示す負荷分散情報801を参照する。データ分析システム1は、負荷分散情報801が示す負荷分散状態に応じて、ルール情報70の内容として、補正係数802を設定する。あるいは、分析者は、負荷分散装置80の負荷分散情報801を参照し、設定部15を用いて、ルール情報70の内容として、補正係数802を設定する。
The
補正係数802は、分析対象判定処理用に、複数の計算機20のリソース状態を平準化するために、計算機20毎のリソース状態計測値を補正するための係数である。補正係数802は、ルール情報70の条件に記述されているリソース状態計測値に対して乗算等で反映される。
The
まず、負荷分散装置80により複数の計算機20の負荷及びリソース状態を平準化する場合は以下である。負荷分散装置80は、管理対象の計算機20群に対する負荷分散の設定状態に応じて、計算機20群への通信を分散させ、負荷状況を平準化する。この負荷分散により、特定の計算機20に負荷が集中してリソース状態計測値及びその特徴量において複数の計算機20間で大きな差異が出ないようにする。
First, the case where the load and resource states of the plurality of
この場合には、補正係数802を設定する必要は無く、言い換えると補正係数802として全ての計算機20で“1”と設定すればよい。ルール情報70は、実施の形態1と同様の設定でよい。分析対象判定部12は、複数の計算機20間での比較判定を含め、分析対象判定処理を好適に実現できる。
In this case, there is no need to set the
また、負荷分散装置80による負荷分散状態として、複数の計算機20間で負荷及びリソース状態に偏りがある場合には以下である。負荷分散装置80による負荷分散状態として、例えばグループ41のうちの計算機211と計算機212との2台の計算機20で、負荷が1:2の割合であるとする。この場合、2台の計算機20のリソース状態計測値、例えばCPU使用率は、1:2の割合になる可能性が高い。
In addition, when the load distribution state by the
この場合、データ分析システム1及び分析者は、分析対象判定処理で複数の計算機20間での比較判定等が好適に実現できるように、以下のように、補正係数802を設定し、ルール情報70の内容を補正する。データ分析システム1は、ルール情報70における各ルールの条件の記述において、計算機20間のリソース状態計測値の割合が1:1になるように、補正係数802を設定する。上記例の場合、計算機211の補正係数が“1”、計算機212の補正係数が“0.5”に設定される。
In this case, the
分析対象判定部12は、分析対象判定処理の際、ルール情報70の補正後のルールを適用する。分析対象判定部12は、当該ルールに従い、複数の計算機20間で平準化されたリソース状態計測値の数値データを参照する。例えば図4のID=11のルールでは、「WG¥CU」として、グループG1の各計算機20のCPU使用率の数値データを参照する。この場合に、計算機212のCPU使用率に“0.5”を乗算することで、計算機211のCPU使用率と同程度になるように平準化される。
The analysis
よって、負荷分散状態に応じて複数の各計算機20の負荷が異なる場合にも、複数の計算機20の負荷が平準化されている場合と同様に、複数の計算機20間での比較判定等を好適に実現できる。分析者は、ルール情報70の設定の手間が少ない。
Therefore, even when the load of each of the plurality of
実施の形態2の変形例として、データ分析システム1は、インターネット91に接続されていてもよい。また、イベント検出システム3とデータ分析システム1とが1つに統合されていてもよい。
As a modification of the second embodiment, the
(他の実施の形態)
他の実施の形態のデータ分析システムとして、以下が挙げられる。
(Other embodiments)
The following is mentioned as a data analysis system of other embodiment.
管理対象システム2内に、イベント検出システム3の構成要素であるセキュリティサービスやセキュリティ機器が設けられていてもよい。また、イベント検出システム3は、管理対象システム2から、リソース状態計測値を収集し、データ分析システム1は、イベント検出システム3から、リソース状態計測値を含むログデータを収集してもよい。また、イベント検出システム3は、リソース状態計測部を備え、リソース状態計測部により、管理対象システム2の各計算機のリソース状態を計測してもよい。
In the
他の実施の形態として、データ分析部13は、分析対象判定部12と連携し、対象情報61により絞り込まれた分析対象のログデータを自動的に分析者に提示し、分析者はそれに従い分析を行う。データ分析システム1は、分析対象判定部12で得た対象情報61に基づいて、分析対象の順序や優先度を決め、それに応じてログデータの内容を並び替え、分析者に提示してもよい。例えば、分析対象判定部12は、異常と判定した複数の分析対象の情報を画面に出力する場合に、ルール情報70やイベントデータ等の内容に基づいて、疑わしさ等に応じて、複数の分析対象を順位付けて出力する。例えば図10の画面の欄503では、疑わしさ等に応じた順序で複数の分析対象の情報を表示する。これにより、分析者は、複数の分析対象のログデータに関して、疑わしさ等の順序で分析作業を行うことができ、攻撃等を検出しやすい。
As another embodiment, the data analysis unit 13 cooperates with the analysis
他の実施の形態として、データ分析システム1は、ログデータに含まれるテキストデータを用いて、分析対象判定処理を行ってもよい。データ分析システム1は、ログデータに含まれる数値データとテキストデータの組合せを用いて、分析対象判定処理を行ってもよい。
As another embodiment, the
以下、他の実施の形態のデータ分析システム1として、ログデータに含まれるテキストデータを用いて、分析対象判定処理を行う場合の構成例を説明する。以下、他の実施の形態における実施の形態1とは異なる構成の部分を説明する。
Hereinafter, as a
図13は、他の実施の形態におけるルール情報70の構成例を示す。ID=21,22で示す行は、テキストデータを用いて分析対象判定処理を行うルールの例を示す。ID=21の行は、ルール名称が「単位時間あたりの認証エラー」であり、条件は、「*¥HTTP_STATUS=401 AND INTERVAL=10min AND COUNT>3 AND GOURPBY user」であり、判定対象及び時間帯は、全計算機、計算機毎、現在時間帯である。
FIG. 13 shows a configuration example of the
ID=21の条件において、"HTTP_STATUS=401"は、WebサーバのHTTPステータスコードを示す。「*¥HTTP_STATUS=401」は、HTTPステータスコードが401、即ち認証が必要なWebページにアクセスした時に認証に失敗した、という条件を示す。「INTERVAL=10min」は、直近10分間の期間内、という条件を示す。「COUNT>3」は、3回以上当該条件に合致する、という条件を示す。「AND GOURPBY user」は、ユーザ毎に条件に合致するか判断する、という条件を示す。ID=21は、これらの条件のANDによる条件である。よって、ID=21の条件は、同一のユーザが直近10分間に3回以上認証に失敗した場合、という条件を示す。このルールは、例えば外部の攻撃者が、暗号解読方法の一つとして、ユーザ名とパスワードの可能な組み合わせを全て試して不正ログインを試みる、総当たり攻撃と呼ばれる攻撃を検知することに対応したルールである。 Under the condition of ID = 21, “HTTP_STATUS = 401” indicates the HTTP status code of the Web server. “* ¥ HTTP_STATUS = 401” indicates a condition that the HTTP status code is 401, that is, the authentication has failed when accessing a Web page that requires authentication. “INTERVAL = 10 min” indicates a condition that the time is within the latest 10 minutes. “COUNT> 3” indicates a condition that the condition is met at least three times. “AND GOURPBY user” indicates a condition for determining whether or not the condition is met for each user. ID = 21 is a condition obtained by ANDing these conditions. Therefore, the condition of ID = 21 indicates a condition that the same user has failed authentication three or more times in the last 10 minutes. This rule corresponds to, for example, an external attacker detecting an attack called a brute force attack in which all possible combinations of user name and password are attempted and illegal login is attempted as one of cryptanalysis methods. It is.
ID=22の行は、ルール名称が「データ送信」であり、条件は、「*¥METHOD=POST」であり、判定対象及び時間帯は、全計算機、計算機毎、現在時間帯である。この条件において、"METHOD"は、Webサーバへのリクエストの種別を示す。「*¥METHOD=POST」は、WebサーバへのPOSTメソッドのリクエスト、即ち、クライアントからサーバへデータを送信する場合、という条件を示す。よって、ID=22の条件は、POSTメソッドを用いてデータを送信した場合、という条件を示す。このルールは、マルウェア等に感染した端末が攻撃者のサーバへ何らかのデータを送信していることを検知することに対応するルールである。 In the line of ID = 22, the rule name is “data transmission”, the condition is “* ¥ METHOD = POST”, and the determination target and the time zone are all computers, every computer, and the current time zone. In this condition, “METHOD” indicates the type of request to the Web server. “* ¥ METHOD = POST” indicates a condition that a POST method request to the Web server, that is, data is transmitted from the client to the server. Therefore, the condition of ID = 22 indicates a condition that data is transmitted using the POST method. This rule is a rule corresponding to detecting that a terminal infected with malware or the like is transmitting some data to the attacker's server.
上記例のように、他の実施の形態におけるルールは、文字列ないしテキストを含む論理により記述されている。 As in the above example, rules in other embodiments are described by logic including character strings or text.
図14は、他の実施の形態における、管理対象システム2の計算機20から得られたログデータにおけるテキストデータの例を示す。図14のログデータの表は、列として「テキストログ」を有する。本例では「テキストログ」は、apacheログを用いる。apacheはWebサーバである。「テキストログ」列の値であるテキストは、空白文字で分割される複数の項目で構成されている。複数の項目は、順に、「リモートホスト名」、「クライアントの識別子」、「認証ユーザ名」、「時刻」、「リクエストの最初の行」、「レスポンスステータス」、「送信されたバイト数」から成る。本例は、計算機C11のテキストログの例であり、10時0分0秒から5秒のログでは、GETメソッドによるアクセスでレスポンスステータスが401となっている。
FIG. 14 shows an example of text data in log data obtained from the
分析対象判定部12は、図14のログの場合、図13のルール情報70に基づいた分析対象判定処理を行う。これにより、例えばID=21の条件を満たすので、当該計算機C11及び時間帯は、攻撃が疑われると判定され、対応するログデータが分析対象として決定される。他の実施の形態におけるテキストデータを用いた判定でも、実施の形態1の数値データを用いた判定と同様に、複数の計算機間での比較や、過去時間帯との比較が同様に適用可能である。
In the case of the log in FIG. 14, the analysis
なお、他の実施の形態では、図3のフローは、以下のようになる。S2やS3では、テキストデータを含むログデータが収集される。S4では、分析対象判定部12は、ログデータのうちのテキストデータを用いて、判定対象の計算機及び時間帯におけるテキストデータを特徴量として設定する。S5では、分析対象判定部12は、ログデータのうちのテキストデータを用いて、比較対象の計算機及び時間帯におけるテキストデータを基準値として設定する。S6では、分析対象判定部12は、ルール情報70から、テキストを含むルールを参照する。S7では、分析対象判定部12は、S4の特徴量に相当するテキストとS5の基準値に相当するテキストとを比較し、S6のルールを満たす場合、セキュリティ侵害行為が疑われる異常状態として判定する。S8で、分析対象判定部12は、異常状態に該当する計算機、時間帯、及びログデータを、分析対象として決定する。
In another embodiment, the flow in FIG. 3 is as follows. In S2 and S3, log data including text data is collected. In S4, the analysis
以上、本発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されず、その要旨を逸脱しない範囲で種々変更可能である。 Although the present invention has been specifically described above based on the embodiments, the present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the scope of the invention.
本発明は、計算機の監視や計測、ログデータの記録、収集、分析等を行うシステムに利用可能である。 The present invention can be used in a system that performs computer monitoring and measurement, log data recording, collection, analysis, and the like.
1…データ分析システム、2…管理対象システム、3…イベント検出システム、9…ネットワーク、10…サーバシステム、11…データ収集部、12…分析対象判定部、13…データ分析部、14…入出力部、15…設定部、20,211〜21m,221〜22n,231…計算機、31…アンチウイルスシステム、32…プロキシシステム、33…ファイアウォールシステム、34…侵入検知システム、41…グループ、42…グループ、50…ログDB、51…ログデータ、52…ログデータ、60…分析DB、61…対象情報、62…分析データ、70…ルール情報、200…リソース状態計測部、300…イベント検出部。
DESCRIPTION OF
Claims (7)
前記サーバは、
複数の計算機を含む前記管理対象システムと、前記管理対象システムの前記計算機を監視してイベントを検出してイベントデータとして出力する、アンチウィルスシステム、プロキシシステム、ファイアウォールシステムまたは侵入検知システムの少なくとも1つを含むイベント検出システムとに接続され、
前記管理対象システムの前記計算機からリソース状態計測値の数値データおよびテキストデータを含むログデータを収集してログDBに格納し、前記イベント検出システムから前記イベントデータを収集して前記ログデータと関連付けて前記ログDBに格納するデータ収集部と、
前記ログデータのうちの前記数値データおよびテキストデータを、それぞれ、ルール情報に基づいて、分析することにより、分析対象として絞り込むログデータを判定する分析対象判定部と、
分析者の操作に基づいて、前記ログデータのうち前記分析対象として絞り込まれたログデータを、前記ログデータに関連付けられた前記イベントデータを加えて、前記セキュリティ侵害行為を検出するために分析処理し、分析結果である分析データを出力するデータ分析部と、
前記分析者の操作に基づいて、前記ルール情報のルールを設定する設定部と、を備え、
前記分析対象判定部は、
前記ログデータのうちの前記数値データおよびテキストデータを用いて、判定対象の計算機及び時間帯における特徴量を計算または設定する処理と、
前記ログデータのうちの前記数値データおよびテキストデータを用いて、比較対象の計算機及び時間帯における特徴量を基準値として計算または設定する処理と、
前記特徴量と前記基準値とを比較し、前記ルール情報の前記ルールを満たす場合、前記セキュリティ侵害行為が疑われる異常状態として判定する処理と、
前記異常状態に該当する前記計算機、時間帯、及びログデータを、前記分析対象として決定する処理と、
前記分析対象として絞り込んだ前記計算機、時間帯、及びログデータの識別情報を含む、分析対象情報を、分析DBに格納し、前記分析対象情報を含む画面を前記分析者に対して表示する処理と、を行い、
前記リソース状態計測値の前記数値データは、CPU使用率、メモリ使用量、ディスク使用量、またはサーバプロセス数、のうち少なくとも1つを含み、
前記ルール情報は、前記特徴量と前記基準値との偏差が閾値を超える場合に前記異常状態と判定する条件を含む前記ルールを有し、
前記データ分析部は、前記分析DBの前記分析対象情報を参照して、前記分析対象として絞り込まれた前記ログデータを読み出して前記分析処理を行い、
前記サーバは、前記複数の計算機の各計算機間で、負荷またはリソース状態に偏りがある場合に、前記ルール情報の前記ルールに対し、前記各計算機の負荷またはリソース状態を平準化して比較可能にするための補正係数を設定する、
データ分析システム。 A data analysis system including a server for analyzing log data of the computer in order to detect a security breach to the computer of the managed system,
The server
At least one of the managed system including a plurality of computers, and an anti-virus system, a proxy system, a firewall system, or an intrusion detection system that monitors the computers of the managed system, detects an event, and outputs the event data Connected to the event detection system, including
Collect log data including numerical data and text data of resource state measurement values from the computer of the managed system and store them in a log DB; collect the event data from the event detection system and associate it with the log data A data collection unit stored in the log DB;
An analysis target determination unit that determines log data to be narrowed down as an analysis target by analyzing the numerical data and text data of the log data based on rule information, respectively,
Based on the operation of the analyst, the log data narrowed down as the analysis target among the log data is analyzed to add the event data associated with the log data to detect the security breach. , A data analysis unit that outputs analysis data as analysis results,
Based on the operation of the analyst, and a setting unit for setting a rule of the rule information,
The analysis target determination unit
Using the numerical data and text data of the log data, processing to calculate or set a feature amount in a determination target computer and time zone;
Using the numerical data and text data of the log data, a process for calculating or setting a feature value in a computer to be compared and a time zone as a reference value;
If comparing the reference value and the feature amount, satisfies the rules of the rule information, a process of determining, as the abnormal state security violations is suspected,
Processing for determining the computer, time zone, and log data corresponding to the abnormal state as the analysis target;
A process of storing analysis target information in an analysis DB including identification information of the computer, time zone, and log data narrowed down as the analysis target, and displaying a screen including the analysis target information to the analyst; , And
The numerical data of the resource state measurement value includes at least one of CPU usage rate, memory usage amount, disk usage amount, or number of server processes,
The rule information includes the rules, including the abnormal state determining conditions when the deviation between the reference value and the feature amount exceeds a threshold value,
The data analysis unit refers to the analysis target information of the analysis DB, reads the log data narrowed down as the analysis target, performs the analysis process,
The server, among the computers of said plurality of computers, if there is a bias in the load or resource state, with respect to the rules of the rule information to allow comparison of load or resource state of each computer and leveling Set the correction factor for
Data analysis system.
前記分析対象判定部は、
前記判定対象の第1の計算機及び現在時間帯に対応する第1の時間帯における特徴量を計算または設定し、
前記比較対象の1台以上の第2の計算機及び前記第1の時間帯における特徴量の統計値を前記基準値として計算または設定する、
データ分析システム。 The data analysis system according to claim 1,
The analysis target determination unit
Calculating or setting a feature amount in a first time zone corresponding to the first computer to be determined and the current time zone;
Calculating or setting one or more second computers to be compared and a statistical value of a feature value in the first time zone as the reference value;
Data analysis system.
前記分析対象判定部は、
前記判定対象の第1の計算機及び現在時間帯に対応する第1の時間帯における特徴量を計算または設定し、
前記比較対象の前記第1の計算機及び1つ以上の過去時間帯に対応する第2の時間帯における特徴量の統計値を前記基準値として計算または設定する、
データ分析システム。 The data analysis system according to claim 1,
The analysis target determination unit
Calculating or setting a feature amount in a first time zone corresponding to the first computer to be determined and the current time zone;
Calculating or setting a statistical value of a feature value in a second time zone corresponding to the first computer to be compared and one or more past time zones as the reference value;
Data analysis system.
前記分析対象判定部は、前記判定対象の計算機及び時間帯における前記数値データをそのまま前記特徴量として設定し、前記比較対象の前記管理対象システムの1台以上の計算機及び時間帯における前記数値データの平均値を計算して前記基準値として設定する、
データ分析システム。 The data analysis system according to claim 1,
The analysis target determination unit directly sets the numerical data in the determination target computer and the time zone as the feature amount, and sets the numerical data in one or more computers and time zones of the management target system to be compared. An average value is calculated and set as the reference value.
Data analysis system.
前記分析対象判定部は、前記判定対象の計算機及び時間帯における前記数値データにおける時系列の複数の数値における変化量を計算し、当該変化量と閾値との比較に基づいて、当該変化量が大きい箇所を抽出し、当該箇所の数値を前記特徴量として設定する、
データ分析システム。 The data analysis system according to claim 1,
The analysis target determination unit calculates a change amount in a plurality of time-series numerical values in the numerical data in the determination target computer and time zone, and the change amount is large based on a comparison between the change amount and a threshold value. Extract a location and set the numerical value of the location as the feature amount.
Data analysis system.
前記管理対象システムの前記複数の計算機に、前記複数の計算機の負荷を分散して各計算機のリソース状態を平準化するための負荷分散装置が接続されており、
前記サーバは、前記負荷分散装置から、負荷分散状態を示す負荷分散情報を取得し、前記負荷分散情報を用いて前記補正係数を設定する、
データ分析システム。 The data analysis system according to claim 1,
A load balancer for balancing the load of the plurality of computers and leveling the resource state of each computer is connected to the plurality of computers of the managed system,
The server acquires load distribution information indicating a load distribution state from the load distribution apparatus, and sets the correction coefficient using the load distribution information.
Data analysis system.
前記サーバは、前記分析対象として絞り込まれたログデータについて、前記異常状態の疑いに応じて、分析対象の順序または優先度を決定し、前記順序または優先度に応じて並び替えたログデータを前記画面に表示する、
データ分析システム。 The data analysis system according to claim 1,
For the log data narrowed down as the analysis target, the server determines the order or priority of the analysis target according to the suspected abnormal state, and the log data rearranged according to the order or priority is the log data Display on screen,
Data analysis system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015065210A JP6574332B2 (en) | 2015-03-26 | 2015-03-26 | Data analysis system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015065210A JP6574332B2 (en) | 2015-03-26 | 2015-03-26 | Data analysis system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016184358A JP2016184358A (en) | 2016-10-20 |
JP6574332B2 true JP6574332B2 (en) | 2019-09-11 |
Family
ID=57243049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015065210A Active JP6574332B2 (en) | 2015-03-26 | 2015-03-26 | Data analysis system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6574332B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102244128B1 (en) * | 2020-10-19 | 2021-04-23 | (주)시큐레이어 | Method and device for detecting attack on network hosts using network attack intensity calculation method based on computing resource capacity |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018122889A1 (en) | 2016-12-27 | 2018-07-05 | 日本電気株式会社 | Abnormality detection method, system, and program |
JP6656211B2 (en) | 2017-08-02 | 2020-03-04 | 三菱電機株式会社 | Information processing apparatus, information processing method, and information processing program |
KR101842925B1 (en) * | 2017-09-29 | 2018-03-28 | (주)닥터소프트 | Method for analyzing license usage of software and licence management server implementing the same |
JP7056103B2 (en) * | 2017-11-30 | 2022-04-19 | 富士通株式会社 | Information processing system, information processing device, load distribution device, information processing program and information processing method |
JP2020024650A (en) * | 2018-08-06 | 2020-02-13 | 沖電気工業株式会社 | Security information processing device, program, and method |
JP7151548B2 (en) * | 2019-02-26 | 2022-10-12 | 富士通株式会社 | anomaly detection program, Anomaly detection method and anomaly detection device |
JP7202932B2 (en) * | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | Cyber attack detection device |
JP7283314B2 (en) * | 2019-09-02 | 2023-05-30 | 富士通株式会社 | Switch device and information processing system |
KR102265137B1 (en) * | 2019-11-29 | 2021-06-15 | (주) 앤앤에스피 | A Security Monitoring System using Resource Flow for automation control system |
JP7103392B2 (en) * | 2020-08-25 | 2022-07-20 | 日本電気株式会社 | Anomaly detection methods, systems and programs |
US20230418720A1 (en) * | 2020-11-30 | 2023-12-28 | Nec Corporation | System monitoring apparatus, system monitoring method, and computer readable recording medium |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3971353B2 (en) * | 2003-07-03 | 2007-09-05 | 富士通株式会社 | Virus isolation system |
JP4412031B2 (en) * | 2004-03-31 | 2010-02-10 | 日本電気株式会社 | Network monitoring system and method, and program |
JP4980581B2 (en) * | 2004-04-16 | 2012-07-18 | 新日鉄ソリューションズ株式会社 | Performance monitoring device, performance monitoring method and program |
JP4573179B2 (en) * | 2006-05-30 | 2010-11-04 | 日本電気株式会社 | Performance load abnormality detection system, performance load abnormality detection method, and program |
JP2008059102A (en) * | 2006-08-30 | 2008-03-13 | Fujitsu Ltd | Program for monitoring computer resource |
JP4999904B2 (en) * | 2009-10-14 | 2012-08-15 | 住友大阪セメント株式会社 | Waste recycling method |
JP5750873B2 (en) * | 2010-09-24 | 2015-07-22 | 横浜ゴム株式会社 | Pneumatic tire |
JP2014153736A (en) * | 2013-02-05 | 2014-08-25 | Fujitsu Ltd | Fault symptom detection method, program and device |
-
2015
- 2015-03-26 JP JP2015065210A patent/JP6574332B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102244128B1 (en) * | 2020-10-19 | 2021-04-23 | (주)시큐레이어 | Method and device for detecting attack on network hosts using network attack intensity calculation method based on computing resource capacity |
Also Published As
Publication number | Publication date |
---|---|
JP2016184358A (en) | 2016-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6574332B2 (en) | Data analysis system | |
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
JP6201614B2 (en) | Log analysis apparatus, method and program | |
US11818169B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
US20220377093A1 (en) | System and method for data compliance and prevention with threat detection and response | |
EP3192232B1 (en) | Dynamic quantification of cyber-security risks in a control system | |
US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
US20150215329A1 (en) | Pattern Consolidation To Identify Malicious Activity | |
Wan et al. | Feature-selection-based ransomware detection with machine learning of data analysis | |
US20100199345A1 (en) | Method and System for Providing Remote Protection of Web Servers | |
US20100192201A1 (en) | Method and Apparatus for Excessive Access Rate Detection | |
EP3085023B1 (en) | Communications security | |
US9830453B1 (en) | Detection of code modification | |
KR102462128B1 (en) | Systems and methods for reporting computer security incidents | |
CN106534042A (en) | Server invasion identifying method and apparatus based on data analysis and cloud safety system | |
WO2016121348A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
Yue et al. | A cost-based analysis of intrusion detection system configuration under active or passive response | |
JP2009048317A (en) | Security evaluation method, security evaluation apparatus | |
CN116938600B (en) | Threat event analysis method, electronic device and storage medium | |
JP3790750B2 (en) | Unauthorized access detection device, unauthorized access detection method and program | |
US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
KR101940512B1 (en) | Apparatus for analyzing the attack feature DNA and method thereof | |
Refsdal et al. | Risk Evaluation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180131 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180919 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190528 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190712 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190816 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6574332 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |