JPWO2017221711A1 - ログ分析装置、ログ分析方法およびログ分析プログラム - Google Patents

ログ分析装置、ログ分析方法およびログ分析プログラム Download PDF

Info

Publication number
JPWO2017221711A1
JPWO2017221711A1 JP2018523694A JP2018523694A JPWO2017221711A1 JP WO2017221711 A1 JPWO2017221711 A1 JP WO2017221711A1 JP 2018523694 A JP2018523694 A JP 2018523694A JP 2018523694 A JP2018523694 A JP 2018523694A JP WO2017221711 A1 JPWO2017221711 A1 JP WO2017221711A1
Authority
JP
Japan
Prior art keywords
log
detection result
unit
analysis
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018523694A
Other languages
English (en)
Other versions
JP6401424B2 (ja
Inventor
健介 中田
健介 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2017221711A1 publication Critical patent/JPWO2017221711A1/ja
Application granted granted Critical
Publication of JP6401424B2 publication Critical patent/JP6401424B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ログ取得部(201)は、所定のネットワークにおける通信から得られる分析対象の通信ログを取得する。ログ分析部(204)は、マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する。一次スコアリング部(206)および二次スコアリング部(208)は、ログ分析部(204)によって検知された端末に関する情報と端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、分析ルールに関する情報および検知結果に関する情報を用いて計算する。検知結果表示部(209)は、検知結果と、一次スコアリング部(206)および二次スコアリング部(208)によって計算されたスコアと、を出力する。

Description

本発明は、ログ分析装置、ログ分析方法およびログ分析プログラムに関する。
ネットワークを介しての各種サービスやインフラへのサイバー攻撃は多種多様な手法を用いた執拗なものへと日々進化し、ますます脅威が増大しているが、感染を完全に防ぐことは困難である。そのため、SIEM(Security Information and Event Management)製品を活用し各種セキュリティアプライアンスやネットワーク機器からログを集約して分析を行うことで、感染端末を早期に発見し駆除するための感染端末検知技術が注目されている。
例えば、感染端末検知技術として、FireWallやIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)といったセキュリティアプライアンスを用いて防御対象ネットワークの出入り口で通信ログを監視し、監視している通信の通信ログが、シグネチャや、あらかじめ定められたプロファイルから外れた場合、当該通信を攻撃や異常として検知する技術が知られている(例えば非特許文献1を参照)。
中田 健介「ネットワークログ分析による不正通信検出手法」、電子情報通信学会、2013年総合大会
しかしながら、従来の技術には、検知結果が複数ある場合に、オペレータがどの検知結果を優先的に対処すべきかを判断することが困難であるという問題があった。
本発明のログ分析装置は、所定のネットワークにおける通信から得られる分析対象の通信ログを取得するログ取得部と、マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する検知部と、前記検知部によって検知された端末に関する情報と前記端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、前記分析ルールに関する情報および前記検知結果に関する情報を用いて計算する計算部と、前記検知結果と、前記計算部によって計算された前記スコアと、を出力する出力部と、を有することを特徴とする。
また、本発明のログ分析方法は、ログ分析装置で実行されるログ分析方法であって、所定のネットワークにおける通信から得られる分析対象の通信ログを取得するログ取得工程と、マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する検知工程と、前記検知工程によって検知された端末に関する情報と前記端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、前記分析ルールに関する情報および前記検知結果に関する情報を用いて計算する計算工程と、前記検知結果と、前記計算工程によって計算された前記スコアと、を出力する出力工程と、を含んだことを特徴とする。
本発明によれば、検知結果が複数ある場合であっても、オペレータがどの検知結果を優先的に対処すべきかを判断することが容易になる。
図1は、第1の実施形態に係るログ分析システムの構成の一例を示す図である。 図2は、通信ログのフィールドの一例を示す図である。 図3は、分析ルールの一例を示す図である。 図4は、検知結果の一例を示す図である。 図5は、一次検知結果の一例を示す図である。 図6は、二次検知結果の一例を示す図である。 図7は、検知結果表示画面の一例を示す図である。 図8は、第1の実施形態に係るログ分析装置の処理の流れを示すフローチャートである。 図9は、プログラムが実行されることによりログ分析装置が実現されるコンピュータの一例を示す図である。
以下に、本願に係るログ分析装置、ログ分析方法およびログ分析プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係るログ分析システムの構成について説明する。図1は、第1の実施形態に係るログ分析システムの構成の一例を示す図である。図1に示すように、ログ分析システム1は、ログ収集蓄積装置10およびログ分析装置20を有する。
ログ収集蓄積装置10およびログ分析装置20は、例えば、有線または無線のLAN(Local Area Network)やVPN(Virtual Private Network)等の任意の種類の通信網によって接続されている。なお、ログ分析システム1に含まれるログ分析装置20の数は、図示の数に限定されず、任意の数とすることができる。また、ログ収集蓄積装置10およびログ分析装置20は、それぞれ図示しない通信部、制御部、および記憶部を有する。
通信部は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部はNIC(Network Interface Card)である。また、制御部は、装置全体を制御する。制御部は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部で各種のプログラムを動作させることにより各処理部が実現される。
また、記憶部は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部は、各装置で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部は、プログラムの実行で用いられる各種情報を記憶する。
例えば、制御部でプログラムを動作させることにより、後述のログ取得部201、統計情報抽出部202、除外条件学習部203、ログ分析部204、検知結果フィルタリング部205、一次スコアリング部206、継続性判定部207、二次スコアリング部208および検知結果表示部209が実現される。また、例えば、記憶部は、後述の分析用通信ログ251、ネットワーク統計情報252、分析ルール設定情報253、シグネチャ情報254、検知除外条件255、一次検知結果256、継続情報257および二次検知結果258を記憶する。
ここで、ログ分析システム1の各装置について説明する。ログ収集蓄積装置10は、分析対象の通信ログを収集し蓄積する。図1に示すように、ログ収集蓄積装置10は、収集部101、正規化部102を有し、正規化済通信ログ103を記憶する。
収集部101は、IDS/IPS、WebProxy、FireWall等から、分析対象の通信ログを取得する。分析対象の通信ログは、例えば、当該通信ログを発生させた端末がマルウェアに感染しているか否かが未知の通信ログである。また、正規化部102は、通信ログの正規化を行う。通信ログは、当該通信ログを記録した機器ごとにフォーマットが異なっている場合がある。このため、正規化部102は、分析対象の通信ログから所定のフィールドおよび値を抽出することで正規化を行う。そして、ログ収集蓄積装置10は、正規化した通信ログを正規化済通信ログ103として記憶する。
図2を用いて通信ログのフィールドおよび値について説明する。図2は、通信ログのフィールドの一例を示す図である。正規化部102は、例えば図2に示すようなフィールドおよび値を、正規化済通信ログ103として通信ログから抽出する。
図2に示すように、通信ログのフィールドには、例えば、タイムスタンプ、LogSource、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、通信プロトコル名、判定結果、送信バイト数、受信バイト数、URL、メソッド名、UserAgent、ステータスコード、継続時間および通信方向が含まれる。
フィールド「タイムスタンプ」の値は、通信ログが取得された時刻である。また、フィールド「LogSource」の値は、通信ログを記録した機器ごとのユニークなIDである。また、フィールド「送信元IPアドレス」の値は、当該通信の送信元IPアドレス情報である。また、フィールド「送信元ポート番号」の値は、当該通信の送信元ポート番号である。また、フィールド「宛先IPアドレス」の値は、当該通信の宛先IPアドレスである。また、フィールド「宛先ポート番号」の値は、当該通信の宛先ポート番号である。また、フィールド「通信プロトコル名」の値は、当該通信の通信プロトコル名である。また、フィールド「判定結果」の値は、当該通信の機器における判定結果である。また、フィールド「送信バイト数」の値は、当該通信の送信バイト数である。また、フィールド「受信バイト数」の値は、当該通信の受信バイト数である。また、フィールド「URL」の値は、当該通信がHTTP通信である際の宛先URLである。また、フィールド「メソッド名」の値は、当該通信がHTTP通信である際のHTTPメソッド名である。また、フィールド「UserAgent」の値は、当該通信がHTTP通信である際のHTTPユーザエージェント名である。また、フィールド「ステータスコード」の値は、当該通信がHTTP通信である際のHTTPステータスコードである。また、フィールド「継続時間」の値は、当該通信におけるセッション継続時間である。また、フィールド「通信方向」の値は、当該通信における通信方向である。
ログ分析装置20は、通信ログを分析し、分析結果および分析に用いたシグネチャの生成元のマルウェアに関する情報を表示する。図1に示すように、ログ分析装置20は、ログ取得部201、統計情報抽出部202、除外条件学習部203、ログ分析部204、検知結果フィルタリング部205、一次スコアリング部206、継続性判定部207、二次スコアリング部208および検知結果表示部209を有する。また、ログ分析装置20は、分析用通信ログ251、ネットワーク統計情報252、分析ルール設定情報253、シグネチャ情報254、検知除外条件255、一次検知結果256、継続情報257および二次検知結果258を記憶する。
ログ取得部201は、所定のネットワークにおける通信から得られる分析対象の通信ログを取得する。ログ取得部201は、分析対象の通信ログとして、ログ収集蓄積装置10の正規化済通信ログ103を取得する。例えば、ログ取得部201は、所定の検索条件で正規化済通信ログ103を検索し、ログの取得を問い合わせる。そして、ログ収集蓄積装置10は、検索結果を応答としてログ取得部201に返す。また、以降の説明において、正規化された通信ログを単に通信ログと呼ぶ。
次に、ログ取得部201は、取得した分析対象の通信ログを分析用通信ログ251としてログ分析装置20に記憶させる。また、統計情報抽出部202は、ログ取得部201によって取得された分析対象の通信ログから統計情報を抽出する。統計情報抽出部202は、例えば、各フィールドの値の一定期間内の出現回数、出現割合、または当該通信ログを発生させているユニークな端末数や端末の割合を抽出する。そして、統計情報抽出部202は、抽出した統計情報を、分析対象のネットワークの特性を表すネットワーク統計情報252としてログ分析装置20に記憶させる。
ログ分析部204は、マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する。ログ分析部204は、一定期間分の分析用通信ログ251を取得し、分析ルール設定情報253およびシグネチャ情報254を基に分析ルールを生成し、生成した分析ルールを用いて分析する。分析ルール設定情報253は、例えば分析ルールの閾値である。また、シグネチャ情報254は、例えば分析ルールのシグネチャのフィールド、値および脅威度である。なお、ログ分析部204は、検知部の一例である。なお、脅威度は、例えば、分析ルールに対応するマルウェアによる既知の被害の大きさ等に基づいて設定された値であってもよいし、当該マルウェアへの感染件数であってもよいし、当該マルウェアによる攻撃の継続時間の長さを正規化した値であってもよい。
図3を用いて分析ルールについて説明する。図3は、分析ルールの一例を示す図である。ログ分析部204は、所定の端末が発生させた分析対象の通信ログが、各分析ルールの検知条件を満たす場合、当該端末を検知する。例えば、ログ分析部204は、分析対象の通信ログに含まれる所定のフィールドおよび値の組が、シグネチャに合致した回数があらかじめ設定された閾値以上である端末を検知する。また、各分析ルールには脅威度が設定されている。脅威度は、後述する一次スコアリング部206によってスコアが計算される際に用いられる。
例えば、図3の分析ルール「Rule-1」に示すように、ログ分析部204は、URLが「http://www.malsite.com/」である通信ログを1回以上発生させている端末を検知する。また、分析ルール「Rule-1」の脅威度は「8」である。
また、例えば、図3の分析ルール「Rule-2」に示すように、ログ分析部204は、プロトコル+宛先ポートが「TCP/4092」である通信ログを10回以上発生させている端末を検知する。また、分析ルール「Rule-2」の脅威度は「2」である。
また、例えば、図3の分析ルール「Rule-3」に示すように、ログ分析部204は、宛先組織が「Malware.com」である通信ログを1回以上発生させている端末を検知する。また、分析ルール「Rule-3」の脅威度は「7」である。なお、宛先組織は、通信ログ中のURL情報から抽出することができる。
また、例えば、図3の分析ルール「Rule-4」に示すように、ログ分析部204は、UserAgentが「badAgent」である通信ログを5回以上発生させている端末を検知する。また、分析ルール「Rule-4」の脅威度は「3」である。
また、例えば、図3の分析ルール「Rule-5」に示すように、ログ分析部204は、宛先IPアドレスが「10.10.10.10」である通信ログを5回以上発生させている端末を検知する。また、分析ルール「Rule-5」の脅威度は「8」である。
なお、分析ルールは、図3に示すようなフィールドと値の出現回数をカウントするものに限られず、例えば、時系列等を考慮した所定のパターンにどの程度マッチするかによって検知を行うものであってもよい。例えば、分析ルールは、5つのURLの組み合わせがパターンとして設定され、当該5つのURLのうち4つ以上のURLへアクセスがあった端末、すなわちマッチ率が80%以上である端末を検知するものであってもよい。
ここで、図4を用いてログ分析部204による検知結果について説明する。図4は、検知結果の一例を示す図である。図4に示すように、検知結果には、検知した端末、分析ルール、閾値、カウント数に加え、基本スコアおよび関連ログの情報が含まれる。カウント数は、フィールドと値の組がカウントされた回数である。また、基本スコアは、各分析ルールに設定された脅威度である。また、関連ログの情報は、検知に用いられた分析対象の通信ログに関する情報である。
例えば、図4のNo.1の行は、端末「192.168.10.10」が分析ルール「Rule-1」によって検知され、閾値が「1」、カウント数が「1」、基本スコアが「8」、関連ログの情報が「Log1」であったことを示している。
また、例えば、図4のNo.2の行は、端末「192.168.20.20」が分析ルール「Rule-2」によって検知され、閾値が「10」、カウント数が「20」、基本スコアが「2」、関連ログの情報が「Log101-120」であったことを示している。
また、例えば、図4のNo.3の行は、端末「192.168.30.30」が分析ルール「Rule-3」によって検知され、閾値が「1」、カウント数が「1」、基本スコアが「7」、関連ログの情報が「Log300」であったことを示している。
また、例えば、図4のNo.4の行は、端末「192.168.40.40」が分析ルール「Rule-1」によって検知され、閾値が「1」、カウント数が「5」、基本スコアが「8」、関連ログの情報が「Log401-405」であったことを示している。
また、例えば、図4のNo.5の行は、端末「192.168.50.50」が分析ルール「Rule-2」によって検知され、閾値が「10」、カウント数が「50」、基本スコアが「2」、関連ログの情報が「Log501-550」であったことを示している。
検知結果フィルタリング部205は、ログ分析部204による検知結果のうち、所定の条件に合致する検知結果を除外する。このとき、一次スコアリング部206および二次スコアリング部208は、ログ分析部204による検知結果のうち、検知結果フィルタリング部205によって除外された検知結果以外の検知結果についてスコアを計算する。なお、一次スコアリング部206および二次スコアリング部208は、計算部の一例である。また、検知結果フィルタリング部205は、除外部の一例である。
検知除外条件255は、除外条件学習部203によって学習される。除外条件学習部203は、まず、登録済みの検知除外条件255に類似する検知条件、IPアドレスが検知除外条件に含まれるIPアドレスと同じIPアドレス帯に存在する検知条件、ネットワーク統計情報252に頻出する値、分析対象のネットワーク上の特定の宛先IPアドレスに対して頻出している値等を、検知除外条件の候補として抽出する。そして、除外条件学習部203は、ネットワーク統計情報252等を用いて検知除外条件の候補を評価し、検知率や誤検知率が所定の条件を満たす検知除外条件の候補を検知除外条件255に追加する。
一次スコアリング部206および二次スコアリング部208は、ログ分析部204によって検知された端末に関する情報と端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、分析ルールに関する情報および検知結果に関する情報を用いて計算する。
一次スコアリング部206は、ログ分析部204による検知結果に一次スコアを付与する。一次スコアリング部206は、あらかじめ設定されたシグネチャの脅威の度合い、および閾値と回数との乖離の度合いを基に、一次スコアを計算する。
図5を用いて、一次スコアリング部206によって一次スコアが付与された検知結果である一次検知結果256について説明する。図5は、一次検知結果の一例を示す図である。図5に示すように、一次検知結果には、検知した端末、分析ルール、閾値、カウント数に加え、一次スコアおよび除外フラグが含まれる。除外フラグは、検知結果フィルタリング部205によって除外された検知結果を示すフラグである。
例えば、図5のNo.1の行は、端末「192.168.10.10」が分析ルール「Rule-1」によって検知され、閾値が「1」、カウント数が「1」、一次スコアが「8」であったことを示している。一次スコアリング部206は、式(1)を用いて一次スコアを計算する。式(1)の「カウント数÷閾値」は、カウント数の閾値に対する乖離の度合いの一例である。 なお、基本スコアおよび閾値は、分析ルールに関する情報の一例である。また、カウント数は、検知結果に関する情報の一例である。
一次スコア=基本スコア×(カウント数÷閾値)・・・(1)
また、例えば、図5のNo.2の行は、端末「192.168.20.20」が分析ルール「Rule-2」によって検知され、閾値が「10」、カウント数が「20」、一次スコアが「4」であったことを示している。また、図5のNo.3の行は除外フラグが立っているため、一次スコアリング部206は、No.3の行の検知結果に対して一次スコアの計算を行わない。
また、例えば、図5のNo.4の行は、端末「192.168.40.40」が分析ルール「Rule-1」によって検知され、閾値が「1」、カウント数が「5」、一次スコアが「40」であったことを示している。また、例えば、図5のNo.5の行は、端末「192.168.50.50」が分析ルール「Rule-2」によって検知され、閾値が「10」、カウント数が「50」、一次スコアが「10」であったことを示している。
継続性判定部207は、一次検知結果256に含まれる検知結果についての継続性の判定を行う。具体的に、継続性判定部207は、一次検知結果256に含まれる検知結果と同一の検知、すなわち同一の端末から同一の分析ルールによる検知が初めて行われた日時や所定期間内における当該検知が行われた回数等を継続情報257から取得する。そして、継続性判定部207は、継続性を表すスコアである継続性スコアを計算する。継続性判定部207は、検知が初めて行われた日時が過去であるほど、また、所定期間内における検知が行われた回数が多いほど継続性スコアを大きい値とする。例えば、継続性判定部207は、所定の期間ごとに検知結果に対して集計処理を行い、各期間における同一端末における同一ルールの検知件数を記録したものを継続スコアとすることができる。
二次スコアリング部208は、一次検知結果256に二次スコアを付与する。二次スコアリング部208は、検知結果に含まれる端末に関する情報および分析ルールと同一の端末に関する情報および分析ルールを含む検知結果の出現期間および出現頻度と、一次スコアと、を基に二次スコアを計算する。なお、検知結果の出現期間および出現頻度は、継続性判定部207によって算出される。
図6を用いて、二次スコアリング部208によって二次スコアが付与された検知結果である二次検知結果258について説明する。図6は、二次検知結果の一例を示す図である。図6に示すように、二次検知結果には、検知した端末、分析ルール、閾値、カウント数に加え、二次スコアおよび除外フラグが含まれる。
例えば、図6のNo.1の行は、端末「192.168.10.10」が分析ルール「Rule-1」によって検知され、閾値が「1」、カウント数が「1」、二次スコアが「58」であったことを示している。二次スコアリング部208は、端末分析ルール「Rule-1」によって検知された検知結果に対して、式(2)を用いて二次スコアを計算する。図6の例では、端末が「192.168.10.10」、分析ルールが「Rule-1」である検知の継続性スコアは「50」である。なお、継続性スコアは、検知結果に関する情報の一例である。
二次スコア=一次スコア+継続性スコア・・・(2)
また、例えば、図6のNo.2の行は、端末「192.168.20.20」が分析ルール「Rule-2」によって検知され、閾値が「10」、カウント数が「20」、二次スコアが「4」であったことを示している。図6の例では、端末が「192.168.20.20」、分析ルールが「Rule-2」である検知の継続性スコアは「0」である。また、図6のNo.3の行は除外フラグが立っているため、二次スコアリング部208は、No.3の行の検知結果に対して二次スコアの計算を行わない。
また、例えば、図6のNo.4の行は、端末「192.168.40.40」が分析ルール「Rule-1」によって検知され、閾値が「1」、カウント数が「5」、二次スコアが「42」であったことを示している。図6の例では、端末が「192.168.40.40」、分析ルールが「Rule-1」である検知の継続性スコアは「2」である。
また、例えば、図6のNo.5の行は、端末「192.168.50.50」が分析ルール「Rule-2」によって検知され、閾値が「10」、カウント数が「50」、二次スコアが「15」であったことを示している。図6の例では、端末が「192.168.50.50」、分析ルールが「Rule-2」である検知の継続性スコアは「5」である。
検知結果表示部209は、検知結果と、一次スコアリング部206および二次スコアリング部208によって計算されたスコアと、を出力する。検知結果表示部209は、少なくとも、検知結果に含まれる端末に関する情報と、二次スコアと、を出力するようにしてもよい。なお、検知結果表示部209は、出力部の一例である。
また、検知結果表示部209は、二次検知結果258を表示する。例えば、検知結果表示部209は、図7に示すように、オペレータ30が閲覧可能な形式で、検知結果表示画面209aに二次検知結果258を表示する。図7は、検知結果表示画面の一例を示す図である。
図7に示すように、検知結果表示部209は、検知結果表示画面209aに、二次検知結果258に含まれる端末の端末名、端末IPアドレスを表示する。ここで、検知結果表示部209は、端末を管理する図示しない所定のDBを参照し、端末IPアドレスを基に端末名を取得するようにしてもよい。また、検知結果表示部209は、二次検知結果258に含まれる二次スコアをスコアとして表示し、さらに除外チェックボックス209bおよび決定ボタン209cを表示する。さらに、このとき、検知結果表示部209は、解析用付加情報として分析用通信ログ251から通信ログに関する情報を取得して表示してもよい。
オペレータ30は、検知結果表示画面209aに表示された検知結果の一覧から、今後の検知から除外してよいと判断した検知結果の除外チェックボックス209bをチェックし、決定ボタン209cを押下する。このとき、フィードバック部210は、除外チェックボックス209bがチェックされた検知結果を検知除外条件255に登録する。そして、除外条件学習部203は、当該検知結果を、除外条件、または除外条件の候補とする。
このように、検知結果表示部209は、検知結果が対処不要であるか否かの選択を受け付ける。このとき、検知結果フィルタリング部205は、検知結果に含まれる分析ルールによって用いられるシグネチャと同じ特徴を有する通信ログのネットワーク内における出現頻度が所定値以上である場合、および、検知結果が対処不要であることが検知結果表示部209によってあらかじめ受け付けられている場合、のうちの少なくともいずれかの場合に、検知結果を除外する。なお、このとき、検知結果表示部209は、受付部として機能している。また、検知結果フィルタリング部205は、除外条件、または除外条件の候補となった検知結果については、ログ分析部204で同様の検知が行われにくくなるような処理を行ってもよい。例えば、検知結果フィルタリング部205は、除外条件、または除外条件の候補となった検知結果をログ分析部204に通知してもよい。この場合、ログ分析部204は、通知された検知結果に対応する分析ルールを分析対象から除外してもよいし、当該分析ルールの閾値を大きくするようにしてもよい。
図7の例では、検知結果表示部209は、端末名が「PC_001」、端末IPアドレスが「192.168.10.10」である端末が検知され、検知のスコアが「58」であることを表示している。また、検知結果表示部209は、端末名が「PC_111」、端末IPアドレスが「192.168.20.20」である端末が検知され、検知のスコアが「4」であり、除外チェックボックス209bがチェックされたことを表示している。また、検知結果表示部209は、端末名が「PC_123」、端末IPアドレスが「192.168.40.40」である端末が検知され、検知のスコアが「42」であることを表示している。また、検知結果表示部209は、端末名が「PC_456」、端末IPアドレスが「192.168.50.50」である端末が検知され、検知のスコアが「15」であることを表示している。
[第1の実施形態の処理]
図8を用いて、ログ分析装置20の処理について説明する。図8は、第1の実施形態に係るログ分析装置の処理の流れを示すフローチャートである。図8に示すように、まず、ログ取得部201は、分析対象の通信ログを取得する(ステップS11)。次に、ログ分析部204は、分析対象の通信ログを基に、分析ルールに合致する端末を検知する(ステップS12)。
そして、検知結果フィルタリング部205は、ログ分析部204による検知結果のうち、検知除外条件に合致する検知結果を除外する(ステップS13)。なお、検知除外条件は、統計情報抽出部202が通信ログから抽出したネットワーク統計情報252を、除外条件学習部203が学習することによって生成される。
ここで、一次スコアリング部206は、分析ルールおよび検知結果を基に一次スコアを計算し、計算した一次スコアを検知結果に付与し、一次検知結果256とする(ステップS14)。
そして、二次スコアリング部208は、一次スコアおよび検知の継続性を基に二次スコアを計算し、計算した二次スコアを一次検知結果256に付与し、二次検知結果258とする(ステップS15)。そして、検知結果表示部209は、二次検知結果258に含まれる検知結果およびスコアを画面に表示することで出力する(ステップS16)。
また、フィードバック部210は、検知結果表示部209によって表示された検知結果のうち、オペレータ30によって検知から除外してよいと判断された検知結果を、検知除外条件255にフィードバックする。
[第1の実施形態の効果]
ログ取得部201は、所定のネットワークにおける通信から得られる分析対象の通信ログを取得する。ログ分析部204は、マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する。一次スコアリング部206および二次スコアリング部208は、ログ分析部204によって検知された端末に関する情報と端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、分析ルールに関する情報および検知結果に関する情報を用いて計算する。検知結果表示部209は、検知結果と、一次スコアリング部206および二次スコアリング部208によって計算されたスコアと、を出力する。
これにより、検知結果が複数ある場合であっても、オペレータは、それぞれの検知結果に付与されたスコアを確認することができる。このため、オペレータは、優先的に対処すべき検知結果を容易に判断することができる。例えば、オペレータは、未対処の検知結果のうち、スコアが最も大きい検知結果を優先的に対処する検知結果として判断する。
ログ分析部204は、分析対象の通信ログに含まれる所定のフィールドおよび値の組が、シグネチャに合致した回数があらかじめ設定された閾値以上である端末を検知してもよい。このとき、一次スコアリング部206は、あらかじめ設定されたシグネチャの脅威の度合い、および閾値と回数との乖離の度合いを基に、一次スコアを計算する。
これにより、通信ログがシグネチャに合致した回数をスコアに反映させることができる。例えば、通信ログがシグネチャに合致した回数が多い端末は、実際にマルウェアによる悪性通信が多く発生していることが考えられる。このため、通信ログがシグネチャに合致した回数をスコアに反映させることで、オペレータは、悪性通信が多く発生している端末を優先的に対処する判断を行うことができるようになる。
さらに、二次スコアリング部208は、検知結果に含まれる端末に関する情報および分析ルールと同一の端末に関する情報および分析ルールを含む検知結果の出現期間および出現頻度と、一次スコアと、を基に二次スコアを計算してもよい。このとき、検知結果表示部209は、少なくとも、検知結果に含まれる端末に関する情報と、二次スコアと、を出力する。
これにより、検知結果の継続性をスコアに反映させることができる。例えば、脅威度が小さいシグネチャによって検知された検知結果であっても、同一の端末で同一の検知が長期間、または高頻度で発生している場合に、オペレータは、当該検知結果を優先的に対処する判断を行うことができるようになる。
また、検知結果フィルタリング部205は、ログ分析部204による検知結果のうち、所定の条件に合致する検知結果を除外してもよい。このとき、一次スコアリング部206および二次スコアリング部208は、ログ分析部204による検知結果のうち、検知結果フィルタリング部205によって除外された検知結果以外の検知結果についてスコアを計算する。
このように、あらかじめ設定された所定の除外条件に基づいて検知結果を除外しておくことで、一次スコアリングおよび二次スコアリングにおける処理負荷、およびオペレータの検知結果の優先度の判断に要する負担を低減することができる。
検知結果表示部209は、検知結果が対処不要であるか否かの選択を受け付けるようにしてもよい。このとき、検知結果フィルタリング部205は、検知結果に含まれる分析ルールによって用いられるシグネチャと同じ特徴を有する通信ログのネットワーク内における出現頻度が所定値以上である場合、および、検知結果が対処不要であることが検知結果表示部209によってあらかじめ受け付けられている場合、のうちの少なくともいずれかの場合に、検知結果を除外する。
これにより、オペレータが除外してよいと判断した検知結果を除外することができ、オペレータの検知結果の優先度の判断に要する負担を低減することができる。また、ネットワーク内でよくみられる特徴を有する通信ログによる検知結果を除外することで、誤検知を低減することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、ログ分析装置20は、パッケージソフトウェアやオンラインソフトウェアとして上記のログ分析を実行するログ分析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のログ分析プログラムを情報処理装置に実行させることにより、情報処理装置をログ分析装置20として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、ログ分析装置20は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のログ分析に関するサービスを提供するログ分析サーバ装置として実装することもできる。例えば、ログ分析サーバ装置は、分析対象の通信ログを入力とし、検知された端末に関する情報および二次スコアを出力とするログ分析サービスを提供するサーバ装置として実装される。この場合、ログ分析サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のログ分析に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図9は、プログラムが実行されることによりログ分析装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ログ分析装置20の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ログ分析装置20における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 ログ分析システム
10 ログ収集蓄積装置
20 ログ分析装置
30 オペレータ
101 収集部
102 正規化部
103 正規化済通信ログ
201 ログ取得部
202 統計情報抽出部
203 除外条件学習部
204 ログ分析部
205 検知結果フィルタリング部
206 一次スコアリング部
207 継続性判定部
208 二次スコアリング部
209 検知結果表示部
251 分析用通信ログ
252 ネットワーク統計情報
253 分析ルール設定情報
254 シグネチャ情報
255 検知除外条件
256 一次検知結果
257 継続情報
258 二次検知結果

Claims (8)

  1. 所定のネットワークにおける通信から得られる分析対象の通信ログを取得するログ取得部と、
    マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する検知部と、
    前記検知部によって検知された端末に関する情報と前記端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、前記分析ルールに関する情報および前記検知結果に関する情報を用いて計算する計算部と、
    前記検知結果と、前記計算部によって計算された前記スコアと、を出力する出力部と、
    を有することを特徴とするログ分析装置。
  2. 前記検知部は、前記分析対象の通信ログに含まれる所定のフィールドおよび値の組が、前記シグネチャに合致した回数があらかじめ設定された閾値以上である端末を検知し、
    前記計算部は、あらかじめ設定された前記シグネチャの脅威の度合い、および前記閾値と前記回数との乖離の度合いを基に、前記スコアを計算することを特徴とする請求項1に記載のログ分析装置。
  3. 前記計算部は、前記検知結果に含まれる端末に関する情報および分析ルールと同一の端末に関する情報および分析ルールを含む検知結果の出現期間および出現頻度と、を基に前記スコアを計算することを特徴とする請求項1に記載のログ分析装置。
  4. 前記検知部は、前記分析対象の通信ログに含まれる所定のフィールドおよび値の組が、前記シグネチャに合致した回数があらかじめ設定された閾値以上である端末を検知し、
    前記計算部は、あらかじめ設定された前記シグネチャの脅威の度合い、および前記閾値と前記回数との乖離の度合いを基に、第1のスコアを計算し、前記検知結果に含まれる端末に関する情報および分析ルールと同一の端末に関する情報および分析ルールを含む検知結果の出現期間および出現頻度と、前記第1のスコアと、を基に第2のスコアを計算し、
    前記出力部は、少なくとも、前記検知結果に含まれる端末に関する情報と、前記第2のスコアと、を出力することを特徴とする請求項1に記載のログ分析装置。
  5. 前記検知部による検知結果のうち、所定の条件に合致する検知結果を除外する除外部をさらに有し、
    前記計算部は、前記検知部による検知結果のうち、前記除外部によって除外された検知結果以外の検知結果について前記スコアを計算することを特徴とする請求項1に記載のログ分析装置。
  6. 前記検知結果が対処不要であるか否かの選択を受け付ける受付部をさらに有し、
    前記除外部は、前記検知結果に含まれる分析ルールによって用いられるシグネチャと同じ特徴を有する通信ログの前記ネットワーク内における出現頻度が所定値以上である場合、および、前記検知結果が対処不要であることが前記受付部によってあらかじめ受け付けられている場合、のうちの少なくともいずれかの場合に、前記検知結果を除外することを特徴とする請求項5に記載のログ分析装置。
  7. ログ分析装置で実行されるログ分析方法であって、
    所定のネットワークにおける通信から得られる分析対象の通信ログを取得するログ取得工程と、
    マルウェアに感染した端末が発生させる通信ログの特徴に基づいて生成されたシグネチャを用いた分析ルールに合致する端末を検知する検知工程と、
    前記検知工程によって検知された端末に関する情報と前記端末が合致した分析ルールとを含んだ検知結果に対して、脅威の度合いを表すスコアを、前記分析ルールに関する情報および前記検知結果に関する情報を用いて計算する計算工程と、
    前記検知結果と、前記計算工程によって計算された前記スコアと、を出力する出力工程と、
    を含んだことを特徴とするログ分析方法。
  8. コンピュータを、請求項1から6のいずれか1項に記載のログ分析装置として機能させるためのログ分析プログラム。
JP2018523694A 2016-06-23 2017-06-07 ログ分析装置、ログ分析方法およびログ分析プログラム Active JP6401424B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016124554 2016-06-23
JP2016124554 2016-06-23
PCT/JP2017/021167 WO2017221711A1 (ja) 2016-06-23 2017-06-07 ログ分析装置、ログ分析方法およびログ分析プログラム

Publications (2)

Publication Number Publication Date
JPWO2017221711A1 true JPWO2017221711A1 (ja) 2018-09-27
JP6401424B2 JP6401424B2 (ja) 2018-10-10

Family

ID=60783840

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018523694A Active JP6401424B2 (ja) 2016-06-23 2017-06-07 ログ分析装置、ログ分析方法およびログ分析プログラム

Country Status (3)

Country Link
US (1) US11057411B2 (ja)
JP (1) JP6401424B2 (ja)
WO (1) WO2017221711A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10440037B2 (en) * 2017-03-31 2019-10-08 Mcafee, Llc Identifying malware-suspect end points through entropy changes in consolidated logs
JPWO2019181005A1 (ja) * 2018-03-19 2021-03-11 日本電気株式会社 脅威分析システム、脅威分析方法および脅威分析プログラム
JP7014054B2 (ja) * 2018-06-13 2022-02-01 日本電信電話株式会社 検知装置及び検知方法
EP4135261B1 (en) * 2018-10-17 2024-04-17 Panasonic Intellectual Property Corporation of America Information processing device, information processing method, and program
JP7149888B2 (ja) * 2018-10-17 2022-10-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
US11516228B2 (en) * 2019-05-29 2022-11-29 Kyndryl, Inc. System and method for SIEM rule sorting and conditional execution
JP7481965B2 (ja) 2020-09-04 2024-05-13 株式会社日立情報通信エンジニアリング 複数ログ分析支援装置、複数ログ分析支援方法及び記憶媒体
JP7408530B2 (ja) 2020-11-13 2024-01-05 株式会社日立製作所 セキュリティ管理システム、及びセキュリティ管理方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015141630A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK170490B1 (da) * 1992-04-28 1995-09-18 Multi Inform As Databehandlingsanlæg
JP2004258777A (ja) * 2003-02-24 2004-09-16 Fujitsu Ltd セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム
US7496961B2 (en) * 2003-10-15 2009-02-24 Intel Corporation Methods and apparatus to provide network traffic support and physical security support
US8191139B2 (en) * 2003-12-18 2012-05-29 Honeywell International Inc. Intrusion detection report correlator and analyzer
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
US8220048B2 (en) * 2006-08-21 2012-07-10 Wisconsin Alumni Research Foundation Network intrusion detector with combined protocol analyses, normalization and matching
US8763126B2 (en) * 2010-12-08 2014-06-24 At&T Intellectual Property I, L.P. Devices, systems, and methods for detecting proximity-based mobile propagation
US9392007B2 (en) * 2013-11-04 2016-07-12 Crypteia Networks S.A. System and method for identifying infected networks and systems from unknown attacks
US9602527B2 (en) * 2015-03-19 2017-03-21 Fortinet, Inc. Security threat detection
RU2614929C1 (ru) * 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015141630A1 (ja) * 2014-03-19 2015-09-24 日本電信電話株式会社 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
三品 拓也 TAKUYA MISHINA: "IoT向けSIEMシステム設計のための脅威シナリオ検討", 電子情報通信学会技術研究報告 VOL.116 NO.65 IEICE TECHNICAL REPORT, vol. 第116巻, JPN6017033957, 19 May 2016 (2016-05-19), JP, pages 33 - 38, ISSN: 0003872693 *
中田 健介 KENSUKE NAKATA: "動的解析結果に基づく共通的なマルウェア通信パターン抽出技術の検討 A Method of Extracting Common Malw", CSS2015 コンピュータセキュリティシンポジウム2015 論文集 合同開催 マルウェア対策研究人, vol. 第2015巻, JPN6017033955, 14 October 2015 (2015-10-14), JP, pages 318 - 325, ISSN: 0003872692 *

Also Published As

Publication number Publication date
US11057411B2 (en) 2021-07-06
JP6401424B2 (ja) 2018-10-10
US20190182283A1 (en) 2019-06-13
WO2017221711A1 (ja) 2017-12-28

Similar Documents

Publication Publication Date Title
JP6401424B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
US11783035B2 (en) Multi-representational learning models for static analysis of source code
JP6499380B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
US11816214B2 (en) Building multi-representational learning models for static analysis of source code
Bhatt et al. Towards a framework to detect multi-stage advanced persistent threats attacks
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
US9038178B1 (en) Detection of malware beaconing activities
EP2953298A1 (en) Log analysis device, information processing method and program
US10972490B2 (en) Specifying system, specifying device, and specifying method
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
KR102280845B1 (ko) 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
WO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JPWO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
KR102366637B1 (ko) 전자 장치의 사이버 위협 탐지 방법
US10075454B1 (en) Using telemetry data to detect false positives
US10367835B1 (en) Methods and apparatus for detecting suspicious network activity by new devices
Virmani et al. Entropy deviation method for analyzing network intrusion
EP3799367B1 (en) Generation device, generation method, and generation program
Lee et al. APT attack behavior pattern mining using the FP-growth algorithm
Samuel et al. Intelligent Malware Detection System Based on Behavior Analysis in Cloud Computing Environment
CN115664726A (zh) 一种恶意beacon通信的检测方法和装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180612

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180904

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180906

R150 Certificate of patent or registration of utility model

Ref document number: 6401424

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150