WO2017217305A1 - ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体 - Google Patents

ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体 Download PDF

Info

Publication number
WO2017217305A1
WO2017217305A1 PCT/JP2017/021249 JP2017021249W WO2017217305A1 WO 2017217305 A1 WO2017217305 A1 WO 2017217305A1 JP 2017021249 W JP2017021249 W JP 2017021249W WO 2017217305 A1 WO2017217305 A1 WO 2017217305A1
Authority
WO
WIPO (PCT)
Prior art keywords
log
information
output
analysis
alert
Prior art date
Application number
PCT/JP2017/021249
Other languages
English (en)
French (fr)
Inventor
勇人 逸身
靖伸 千葉
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Publication of WO2017217305A1 publication Critical patent/WO2017217305A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment

Definitions

  • the log output control device 100, the log analysis device 200, and the alert management device 300 are communicably connected to each other.
  • the transmission unit 230 When the transmission unit 230 receives an alert from the analysis unit 220, the transmission unit 230 transmits the alert to the alert management apparatus 300. Further, when receiving a transmission request for the first information from the reception unit 210, the transmission unit 230 acquires the load information of the log analysis device 200, which is the first information, and transmits it to the log output control device 100.
  • FIG. 6 is a diagram illustrating an example of alerts stored in the detailed information storage unit 320.
  • Each line in FIG. 6 corresponds to an alert.
  • the alert is a message indicating a warning.
  • the alert stores “time” indicating the time when the alert management apparatus 300 received the alert and the message content (also called alert information) in association with each other.
  • the content of this message may include an analysis result by the log analysis apparatus 200, the log itself, or other information.
  • “initiate” indicating whether or not the analyst has taken some measures against the alert and “determination result” indicating the response result are stored in association with each other. For example, some measure represents a detailed analysis by an analyst.
  • FIG. 7 is a sequence diagram showing an example of an operation flow of the log analysis system 1 in the present embodiment.
  • FIG. 7 illustrates a case where the analyst performs log analysis using his own device (analyzer side device). However, the analyst performs log analysis using the alert management device 300. May be.
  • a solid horizontal arrow indicates a log flow
  • a broken arrow indicates an alert flow.
  • the flow of analysis results is indicated by a dashed-dotted arrow.
  • the first information is load information and the second information is the number of unsupported alerts.
  • the log analysis device 200 analyzes the log received from the log output control device 100, and transmits an alert to the alert management device 300 when the analysis rule is met.
  • the alert output interval that the log analysis device 200 outputs to the alert management device 300 is also longer than before the control. Therefore, it is possible to reduce the amount of staying alert that the analyst should deal with. In this way, the load on the log analyzer 200 and the analyst side is smoothed.
  • FIG. 8 is a flowchart illustrating an example of the operation flow of the log output control apparatus 100.
  • the first information is load information and the second information is the number of unsupported alerts.
  • step S84 the control unit 120 determines an amount obtained by increasing the log output amount per unit time as the output amount (step S84).
  • step S85 the control unit 120 determines, as the output amount, an amount obtained by reducing the log output amount per unit time (step S85).
  • the log output control apparatus 100 may perform control so as to decrease the log output amount when both the first condition and the second condition are satisfied. That is, the control unit 120 may control the output amount of the log based on the first information and the second information, or may control the output amount based on the first information or the second information as in the flowchart of FIG. Good.
  • the log output control device 100 includes the first information related to the log analysis device for which the acquisition unit 110 analyzes the log, and the second information that represents the response status for the alert based on the analysis result. And get. Then, the control unit 120 controls the output amount of the log based on at least one of the first information and the second information. Based on this control, the output unit 130 outputs a log to the log analysis device.
  • the second information represents information for dealing with the alert.
  • the SOC it is common for an analyst to deal with alerts such as detailed analysis. Therefore, for example, when the number of unsupported alerts, which is the second information, is larger than the threshold value N, it can be understood that a load is applied to the analyst side. Since the log output control device 100 outputs a log to the log analysis device 200 according to the state of the load on the analyst side, for example, when the load is applied to the analyst side, the output amount of the log is reduced. Can do.
  • the output amount per unit time of the alert output from the log analysis device 200 to the alert management device 300 can be reduced, and as a result, the load applied to the analyst can be smoothed.
  • the log analysis system 1 according to the present embodiment includes a log output control device 101 instead of the log output control device 100 of the log analysis system 1 according to the second embodiment described above.
  • the overall configuration of the log analysis system 1 is the same as that shown in FIG.
  • members similar to those explained in the second embodiment are given the same reference numerals, and explanation thereof is omitted.
  • FIG. 9 is a functional block diagram showing an example of a functional configuration of the log output control apparatus 101 in the log analysis system 1 according to the present embodiment.
  • the log output control apparatus 101 includes an acquisition unit 110, a control unit 121, an output unit 130, a reception unit 140, a comparison unit 160, a storage unit 170, and a determination unit. 180 and a condition determining unit 190.
  • the log output control apparatus 101 according to the present embodiment does not include the temporary storage unit 150 included in the log output control apparatus 100, includes a control unit 121 instead of the control unit 120, and further includes a determination unit 180 and a condition determination unit. 190.
  • the log output control apparatus 101 does not temporarily store the received log, but filters and outputs it based on at least one of the first information and the second information.
  • the condition determining unit 190 determines the third condition related to the importance based on at least one of the first information and the second information. Specifically, the condition determination unit 190 receives the comparison result of the first information and the comparison result of the second information from the comparison unit 160. Then, based on the received comparison result, the condition determining unit 190 determines a filter level that is a value for determining whether or not the value represented by the importance level is satisfied, and “the value representing the importance level is determined. The third condition “exceeded filter level” is determined.
  • the condition determination unit 190 determines the filter level to be a value higher than the current filter level. Then, the condition determining unit 190 determines the third condition that “the value representing the degree of importance exceeds the determined filter level”. The condition determining unit 190 supplies the determined third condition to the control unit 121.
  • the output unit 130 outputs a log to the log analysis device 200 based on the control signal supplied from the control unit 121. Specifically, the output unit 130 filters the log based on the control signal supplied from the determination unit 180, and outputs the filtered log to the log analysis device 200.
  • the log output control apparatus 101 receives a log from the sensor 400.
  • the log output control device 101 transmits the received log to the log analysis device 200.
  • the log analysis device 200 analyzes the log received from the log output control device 101, and transmits an alert to the alert management device 300 when the analysis rule is met.
  • the log output control device 101 transmits alerts (B2 and C2) based on the analysis result to the alert management device 300.
  • the condition determination unit of the log output control apparatus 101 190 determines the filter level and determines the third condition. Thereby, when the control unit 121 generates a control signal for controlling the output unit 130, a log having an importance level that satisfies the third condition is output. That is, the control unit 121 determines that the output amount of the log is a log having a degree of importance satisfying the third condition among the plurality of logs.
  • the output unit 130 Based on the control signal supplied from the control unit 121, the output unit 130 outputs the log G1, the log G3, and the log G5, which are logs having the degree of importance satisfying the third condition, to the log analysis device 200, and the log G2 And log G4 is not output. That is, in this case, it can be said that the control unit 121 controls the output unit 130 so that the total amount of logs decreases. Accordingly, as illustrated in FIG. 10, the log output control apparatus 101 outputs a log having a smaller amount than the received log amount to the log analysis apparatus 200. Therefore, the alert output interval that the log analysis device 200 outputs to the alert management device 300 is also longer than before the control. Therefore, it is possible to reduce the amount of staying alert that the analyst should deal with. In this way, the load on the log analyzer 200 and the analyst side is smoothed.
  • FIG. 11 is a flowchart illustrating an example of the operation flow of the log output control apparatus 101.
  • the first information is load information and the second information is the number of unsupported alerts.
  • the acquisition unit 110 of the log output control apparatus 101 acquires load information and the number of unsupported alerts (step S111). Then, using the result of the comparison by the comparison unit 160, the condition determination unit 190 determines whether or not the number of unsupported alerts is greater than the threshold value N (step S112). If the number of unsupported alerts is greater than threshold value N (YES in step S112), the process proceeds to step S115. When the number of unsupported alerts is equal to or less than the threshold value N (NO in step S112), the condition determination unit 190 uses the result of comparison by the comparison unit 160 to determine that the load (for example, CPU usage rate) indicated by the load information is the threshold value L. It is determined whether or not it is higher (step S113). If the load is higher than threshold value L (YES in step S113), the process proceeds to step S115. If the load is equal to or less than threshold value L (NO in step S113), the process proceeds to step S114.
  • the load for example, CPU usage rate
  • step S112 and step S113 may be performed in reverse order.
  • step S114 the condition determining unit 190 lowers the filter level and determines the lowered filter level as a new filter level (step S114). As a result, the output unit 130 also outputs a log having a lower importance level than that before the control to the log analysis apparatus 200.
  • step S115 the condition determination unit 190 increases the filter level and determines the increased filter level as a new filter level (step S115). As a result, the output unit 130 outputs only a log having a higher importance than before the control.
  • the condition determining unit 190 determines the third condition using the determined filter level, and performs control so as to output a log having the degree of importance satisfying the third condition determined by the control unit 121.
  • a control signal is generated.
  • the output unit 130 Based on the control signal, the output unit 130 outputs a log having an importance level higher than the filter level determined in step S114 or step S115 to the log analysis device 200 (step S116).
  • the log output control apparatus 101 periodically repeats steps S111 to S116.
  • control unit 121 of the log output control apparatus 101 may control the output amount of the log based on the first information and the second information, or the first information or the second information as shown in the flowchart of FIG. You may control based on.
  • the log output control apparatus 101 controls the total amount of logs to be output based on at least one of the first information and the second information, similarly to the log output control apparatus 100 described above. Therefore, the log output control device 101 can control the total amount of logs to be output according to the load status of the log analysis device 200 and / or the load status of the analyst. Therefore, according to the log analysis system 1 according to the present embodiment, it is possible to smooth the load applied to the log analysis device 200 and the analyst side.
  • each component of each device represents a functional unit block. A part or all of each component of each device is realized by an arbitrary combination of an information processing device 900 and a program as shown in FIG. 12, for example.
  • FIG. 12 is a block diagram illustrating an example of a hardware configuration of the information processing apparatus 900 that realizes each component of each apparatus.
  • the information processing apparatus 900 includes the following configuration as an example.
  • CPU 901 ROM (Read Only Memory) 902 -RAM (Random Access Memory) 903 A program 904 loaded into the RAM 903 A storage device 905 that stores the program 904
  • a drive device 907 that reads / writes data from / to the recording medium 906
  • a communication interface 908 connected to the communication network 909
  • Each component of each device in each embodiment is realized by the CPU 901 acquiring and executing a program 904 that realizes these functions.
  • a program 904 that realizes the function of each component of each device is stored in advance in the storage device 905 or the ROM 902, for example, and is read out by the CPU 901 as necessary.
  • the program 904 may be supplied to the CPU 901 via the communication network 909, or may be stored in the recording medium 906 in advance, and the drive device 907 may read the program and supply it to the CPU 901.
  • each device is realized by other general-purpose or dedicated circuits, processors, etc., or combinations thereof. These may be configured by a single chip or may be configured by a plurality of chips connected via a bus.
  • each device may be realized by a combination of the above-described circuit and the like and a program.
  • each device When some or all of the constituent elements of each device are realized by a plurality of information processing devices and circuits, the plurality of information processing devices and circuits may be centrally arranged or distributedly arranged. Also good.
  • the information processing apparatus, the circuit, and the like may be realized as a form in which each is connected via a communication network, such as a client and server system and a cloud computing system.
  • a log output control device comprising:
  • Appendix 2 The log output control apparatus according to appendix 1, wherein the control unit controls an output amount per unit time of the log based on at least one of the first information and the second information.
  • the first information is load information indicating a load state applied to the log analysis device,
  • the log output control according to appendix 2, wherein the control means controls an output amount per unit time of the log based on whether or not the load information satisfies a first condition regarding the load. apparatus.
  • Appendix 4 The appendix 2 or 3, wherein the control means controls the output amount per unit time of the log based on whether or not the second information satisfies a second condition relating to the coping situation.
  • Log output control device The appendix 4 or 3, wherein the control means controls the output amount per unit time of the log based on whether or not the second information satisfies a second condition relating to the coping situation.
  • the additional information 4 is characterized in that the second information is the number of unsupported alerts indicating the number of alerts that have not been addressed, or the detailed analysis speed indicating the speed at which detailed analysis of the log related to the alert is performed.
  • Appendix 6 Determining means for determining the importance of the log; Condition determining means for determining a third condition relating to the degree of importance based on at least one of the first information and the second information; The log output control apparatus according to appendix 1, wherein the control means controls to output a log having the importance that satisfies the third condition.
  • a log output control device that receives a log transmitted from the network device and outputs the log to a log analysis device;
  • a log analysis device that analyzes a log output from the log output control device and outputs an alert based on a result of the analysis;
  • An alert management device that manages alerts output from the log analysis device, and
  • the log output control device includes: Acquisition means for acquiring first information relating to the log analysis device and second information representing a response status to the alert; Control means for controlling the output amount of the log based on at least one of the first information and the second information; An output means for outputting the log to the log analyzer based on the control;
  • a log analysis system comprising:
  • Appendix 8 The log analysis system according to appendix 7, wherein the control means controls an output amount per unit time of the log based on at least one of the first information and the second information.
  • Appendix 10 The log output control method according to appendix 9, wherein the control is to control an output amount per unit time of the log based on at least one of the first information and the second information.
  • a log analysis method in a log analysis system comprising one or more network devices, a log output control device, a log analysis device, and an alert management device,
  • the network device sends a log
  • the log output control device includes: Receiving a log transmitted from the network device; Obtaining first information relating to the log analysis device and second information representing a response status to an alert based on an analysis result by the log analysis device; Controlling the output amount of the log based on at least one of the first information and the second information; Based on the control, the log is output to the log analyzer,
  • the log analysis device analyzes the log output from the log output control device, and outputs an alert based on the result of the analysis,
  • the log analysis method wherein the alert management device manages alerts output from the log analysis device.
  • Appendix 12 The log analysis method according to appendix 11, wherein the log output control device controls an output amount per unit time of the log based on at least one of the first information and the second information.
  • Appendix 14 14. The program according to appendix 13, wherein the control process controls an output amount per unit time of the log based on at least one of the first information and the second information.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Abstract

SOCにおいて、分析官側およびログ分析装置に係る負荷の平滑化を実現する技術を提供する。ログ出力制御装置は、ログの分析を行うログ分析装置に関する第1情報と、分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する取得部と、ログの出力量を、第1情報および第2情報の少なくとも一方に基づいて、制御する制御部と、制御に基づいて、ログをログ分析装置に出力する出力部と、を備える。

Description

ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体
 本開示は、ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体に関する。
 セキュリティ攻撃に対する対策として、SOC(Security Operation Center)を設置又は契約することが一般的になっている。SOCでは監視対象のネットワークに設置されたファイアウォール、侵入検知・防止システム、ウェブプロキシなどのネットワーク装置やサーバ、クライアント端末などから出力されるログデータをリアルタイムに収集・分析し、セキュリティ脅威を迅速に検出することが可能になる。
 SOCでは、ファイアウォールやサーバ、クライアント端末等のログの相関関係を自動的に分析し、異常を検知するために、例えば、SIEM(Security Information and Event Management)システムと呼ばれるシステムを利用している。このシステムに関連する技術が特許文献1に開示されている。このようなシステムでは、ログの入力量が多くなると分析に必要な計算リソースの枯渇により、分析が実行できなくなる可能性がある。
 ログの発生量を抑える方法の一例として、ログ解析装置からのフィードバックにより、端末から発生するログの頻度を変更するシステムが特許文献2に開示されている。
 また、ログを出力する非評価装置の負荷量、または、ログ若しくはアラートを含むイベントの種別に基づいて、不正なトラヒックを制御することが、例えば、特許文献3に記載されている。
特表2004-537075号公報 特開2012-208672号公報 特開2006-237842号公報
 SOCでは、一般に、分析官と呼ばれるセキュリティ専門家が、分析ルールと呼ばれるログがセキュリティインシデントであるか否かを判別する。上述した特許文献2および3に関連する技術では、ログの出力量を制御する際に、ログの解析を行うログ解析装置やログを発生する端末の負荷量等に基づいた制御に留まり、SOCにおける分析官の処理能力については考慮されていない。したがって、発生するアラート数が膨大になると分析官の処理能力が追いつかなくなる可能性がある。
 本開示は、上記課題に鑑みてなされたものであり、その目的は、SOCにおいて、分析官側およびログ分析装置に掛かる負荷の平滑化を実現する技術を提供することにある。
 本開示の一態様に係るログ出力制御装置は、ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する取得手段と、前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御手段と、前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力手段と、を備える。
 本開示の一態様に係るログ分析システムは、1つ以上のネットワーク機器と、該ネットワーク機器から送信されたログを受信してログ分析装置に出力するログ出力制御装置と、前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力するログ分析装置と、前記ログ分析装置から出力されたアラートを管理するアラート管理装置と、を含み、前記ログ出力制御装置は、前記ログ分析装置に関する第1情報と、前記アラートに対する対処状況を表す第2情報とを取得する取得手段と、前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御手段と、前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力手段と、を備える。
 本開示の一態様に係るログ出力制御方法は、ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、前記制御に基づいて、前記ログを前記ログ分析装置に出力する。
 本開示の一態様に係るログ分析方法は、1つ以上のネットワーク機器と、ログ出力制御装置と、ログ分析装置と、アラート管理装置とを備えるログ分析システムにおけるログ分析方法であって、前記ネットワーク機器はログを送信し、前記ログ出力制御装置は、前記ネットワーク機器から送信されたログを受信し、前記ログ分析装置に関する第1情報と、前記ログ分析装置による分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、前記制御に基づいて、前記ログを前記ログ分析装置に出力し、前記ログ分析装置は、前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力し、前記アラート管理装置は、前記ログ分析装置から出力されたアラートを管理する。
 なお、上記装置、システムまたは方法を、コンピュータによって実現するコンピュータプログラム、およびそのコンピュータプログラムが格納されている、コンピュータ読み取り可能な非一時的記録媒体も、本発明の範疇に含まれる。
 本開示によれば、SOCにおいて、分析官側およびログ分析装置に掛かる負荷の平滑化が可能となる。
第1の実施の形態に係るログ出力制御装置の機能構成の一例を示す機能ブロック図である。 第1の実施の形態に係るログ出力制御装置の動作の流れの一例を示すフローチャートである。 第2の実施の形態に係るログ分析システムの構成の一例を示すブロック図である。 第2の実施の形態に係るログ分析システムのログ出力制御装置、ログ分析装置およびアラート管理装置の機能構成の一例を示す機能ブロック図である。 第2の実施の形態における一時保存部に保存されるログの一例を示す図である。 第2の実施の形態における詳細情報記憶部に格納されるアラートの一例を示す図である。 第2の実施の形態に係るログ分析システムの動作の流れの一例を示すシーケンス図である。 第2の実施の形態におけるログ出力制御装置の動作の流れの一例を示すフローチャートである。 第3の実施の形態に係るログ分析システムにおけるログ出力制御装置の機能構成の一例を示す機能ブロック図である。 第3の実施の形態に係るログ分析システムの動作の流れの一例を示すシーケンス図である。 第3の実施の形態におけるログ出力制御装置の動作の流れの一例を示すフローチャートである。 各実施の形態を実現可能なコンピュータ(情報処理装置)のハードウェア構成を例示的に説明する図である。
 <第1の実施の形態>
 本開示の第1の実施の形態について、図面を参照して説明する。図1は、本実施の形態に係るログ出力制御装置10の構成の一例を示す図である。図1に示す通り、本実施の形態に係るログ出力制御装置10は、取得部11と、制御部12と、出力部13と、を備える。
 取得部11は、ログの分析を行うログ分析装置に関する第1情報と、分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する。取得部11は、取得した第1情報および第2情報を制御部12に供給する。
 制御部12は、後述する出力部13が出力するログの出力量を、第1情報および第2情報の少なくとも一方に基づいて、制御する。具体的には、制御部12は、ログの出力を制御する制御信号を生成し、出力部13に供給する。制御部12が制御するログの出力量とは、単位時間当たりに出力するログの数であってもよいし、ログの総量であってもよい。制御部12がログの総量を制御するとは、例えば、重要度に基づいて、重要度が基準より高いものを出力するよう制御する。
 出力部13は、制御部12の制御に基づいて、ログをログ分析装置に出力する。具体的には、出力部13は、制御部12から制御信号を受け取り、該制御信号に従って、ログをログ分析装置に出力する。
 次に、図2を参照して、本実施の形態に係るログ出力制御装置10の動作の流れについて説明する。図2は、本実施の形態に係るログ出力制御装置10の動作の一例を示すフローチャートである。
 図2に示す通り、まず、取得部11がログの分析を行うログ分析装置に関する第1情報と、分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する(ステップS1)。そして、制御部12がログの出力量を、第1情報および第2情報の少なくとも一方に基づいて、制御する(ステップS2)。その後、出力部13が制御部12による制御に基づいて、ログをログ分析装置に出力する(ステップS3)。
 以上のように、第1情報と第2情報とに基づいて制御された量のログが、ログ分析装置に出力される。第1情報は、ログ分析装置に関する情報であり、例えば、負荷情報である。したがって、ログ出力制御装置10は、ログ分析装置の負荷の状況に応じて、ログを出力するため、ログ分析装置に掛かる負荷の平滑化を行うことができる。
 また、第2情報は、アラートに対する対処情報を表す。SOCでは、分析の結果に基づいたアラートに対し、分析官が更に詳細な分析などの対処を行うのが一般的である。したがって、第2情報である、例えば、分析官による対処が行われていないアラートの数に応じて、分析官側に負荷が掛かっているか否かを判定することができる。ログ出力制御装置10は、分析官側の負荷の状況に応じて、ログをログ分析装置に出力するため、例えば、分析官側に負荷が掛かっている場合、ログの出力量を低減させることができる。
 これにより、ログ分析装置が出力したログの分析結果に基づいたアラートの出力量も、ログの出力量に応じて変化するため、該アラートに対して分析を行う分析官側に掛かる負荷の平滑化を行うことができる。
 <第2の実施の形態>
 次に、上述した第1の実施の形態を基本とする、本開示の第2の実施の形態について、図面を参照して説明する。まず、図3に本実施の形態に係るログ分析システム1の構成の一例を示す。図3に示す通り、本実施の形態に係るログ分析システム1は、ログ出力制御装置100と、ログ分析装置200と、アラート管理装置300と、1または複数のセンサ400とを備える。
 センサ400は、ログ出力制御装置100と例えばインターネットなどの外部ネットワークを介して接続している。したがって、センサ400をネットワーク機器とも呼ぶ。センサ400は、例えば、ファイアウォール、侵入検知装置、クライアント端末等で実現される。センサ400は自身の記憶部に記録するログをログ出力制御装置100に送信する。
 ログ出力制御装置100、ログ分析装置200およびアラート管理装置300は、互いに通信可能に接続している。
 ログ出力制御装置100は、センサ400から送信されたログを受信してログ分析装置200に出力する。ログ分析装置200は、ログ出力制御装置100から出力されたログを分析し、該分析の結果に基づいたアラートをアラート管理装置300に出力する。アラート管理装置300は、ログ分析装置200から出力されたアラートを管理する。
 次に、本実施の形態に係るログ分析システム1に含まれるログ出力制御装置100、ログ分析装置200およびアラート管理装置300の機能構成について説明する。図4は、本実施の形態に係るログ分析システム1に含まれるログ出力制御装置100、ログ分析装置200およびアラート管理装置300の機能構成の一例を示す機能ブロック図である。
 図4に示す通り、本実施の形態に係るログ分析システム1のログ出力制御装置100は、取得部110、制御部120、出力部130、受信部140、一時保存部150、比較部160および記憶部170を備える。受信部140は、センサ400から送信されたログを受信する。受信部140は、受信したログを受信した時刻等に関連付けて一時保存部150に一時的に保存させる。
 図5は、一時保存部150に保存されるログの一例を示す図である。図5に示す通り、一時保存部150は、ログを、センサ400から送信されたログを受信した時刻に関連付けて保存している。
 取得部110は、第1の実施の形態における取得部11に相当する。取得部110は、ログ分析装置200に関する第1情報を、ログ分析装置200から取得する。第1情報とは、ログ分析装置200の負荷状態を表す負荷情報であり、例えば、CPU(Central Processing Unit)の使用率、メモリの使用率などが挙げられる。
 また、取得部110は、アラート管理装置300が管理するアラートに対する対処状況を表す第2情報をアラート管理装置300から取得する。このアラートは、ログ分析装置200が分析の結果に基づいて、アラート管理装置300に出力したものである。アラートは、分析したログが後述する分析ルールに該当するログであることを示す警告メッセージであり、更なる分析を促すためのメッセージである。第2情報とは、アラートに対する対処状況に関連する情報であり、例えば、分析官が何らかの対処を行っていないアラートの数を表す未対応アラート数、1つのアラートに関連するログの詳細な分析を行う速度を表す詳細分析速度等が挙げられる。取得部110は、ログ分析装置200に対し、第1情報の送信要求を送信することにより、該送信要求の応答として第1情報を取得する。また、取得部110は、アラート管理装置300に対し、第2情報の送信要求を送信することにより、該送信要求の応答として、第2情報を取得する。取得部110は、第1情報および第2情報を定期的に取得する。取得部110は、取得した第1情報および第2情報を比較部160に供給する。
 記憶部170は、ログ分析装置200の負荷に関連する第1パラメータと、アラート管理装置300の対処状況に関連する第2パラメータとを格納する。第1パラメータは、例えば、CPUの使用率、メモリの使用率等の閾値である。以下では、第1パラメータを閾値Lとも呼ぶ。また、第2パラメータは、未対応アラート数、詳細分析速度等の閾値である。以下では、第2パラメータを閾値Nとも呼ぶ。
 比較部160と制御部120とは、上述した制御部12の機能を有する。具体的に比較部160は、第1情報と負荷に関する閾値Lとを比較する。そして、比較部160は、第1情報の比較の結果を制御部120に供給する。また、比較部160は、第2情報とアラートに関する閾値Nとを比較する。そして、比較部160は、第2情報の比較の結果を制御部120に供給する。
 制御部120は、比較部160から第1情報の比較の結果と、第2情報の比較の結果とを受け取る。制御部120は、負荷情報である第1情報が負荷に関する第1条件を満たすか否かに基づいて、前記ログの単位時間あたりにおける出力量を制御する。例えば、第1情報がCPUの使用率である場合、第1条件が、「CPUの使用率が閾値Lよりも高い」という条件であるとする。この場合、制御部120は、比較部160から供給された第1情報の比較の結果に基づいて、第1条件を満たすか否かを確認し、満たす場合、単位時間当たりにおけるログの出力量を減少させるように出力部130を制御する制御信号を生成する。一方、満たさない場合、制御部120は、単位時間当たりにおけるログの出力量を増加させるように出力部130を制御する制御信号を生成する。
 また、例えば、第1情報がメモリの使用率である場合、第1条件が、「メモリの使用率が閾値Lよりも高い」という条件であるとする。この場合も、第1情報がCPUの使用率の場合と同様に、制御部120は、比較部160から供給された第1情報の比較の結果に基づいて、第1条件を満たすか否かを確認し、満たす場合、単位時間当たりにおけるログの出力量を減少させるように出力部130を制御する制御信号を生成する。一方、満たさない場合、制御部120は、単位時間当たりにおけるログの出力量を増加させるように出力部130を制御する制御信号を生成する。
 また、制御部120は、第2情報が対処状況に関する第2条件を満たすか否かに基づいて、前記ログの単位時間あたりにおける出力量を制御する。例えば、第2情報が未対応アラート数である場合、第2条件が、「未対応アラート数が閾値Nよりも多い」という条件であるとする。この場合、制御部120は、比較部160から供給された第2情報の比較の結果に基づいて、第2条件を満たすか否かを確認し、満たす場合、単位時間当たりにおけるログの出力量を減少させるように出力部130を制御する制御信号を生成する。一方、満たさない場合、制御部120は、単位時間当たりにおけるログの出力量を増加させるように出力部130を制御する制御信号を生成する。
 また、例えば、第2情報が詳細分析速度である場合、第2条件が、「詳細分析速度が閾値Nよりも遅い」という条件であるとする。この場合、制御部120は、比較部160から供給された第2情報の比較の結果に基づいて、第2条件を満たすか否かを確認し、満たす場合、単位時間当たりにおけるログの出力量を減少させるように出力部130を制御する制御信号を生成する。一方、満たさない場合、制御部120は、単位時間当たりにおけるログの出力量を増加させるように出力部130を制御する制御信号を生成する。
 制御部120は、生成した制御信号を出力部130に供給する。
 出力部130は、制御部120から制御信号を受け取る。出力部130は、受け取った制御信号に基づいて、一時保存部150に格納されたログをログ分析装置200に出力する。
 ログ分析装置200は、受信部210と、分析部220と、送信部230と、を備える。受信部210は、ログ出力制御装置100から送信されたログを受信する。受信部210は、受信したログを分析部220に供給する。また、受信部210は、ログ出力制御装置100から第1情報の送信要求を受信すると、送信部230に該送信要求を供給する。
 分析部220は、受信部210から供給されたログを受け取る。分析部220は、受け取ったログの分析を行う。分析部220は、自身に予め保持された、または、図示しない記憶部に保持された分析ルールに基づいて、ログの分析を行う。分析ルールとは、例えば「同一ホストからアクセス拒絶(Access Deny)という情報を含んだログを1分間に2つ以上受ける」といったものが挙げられる。この分析ルールは、一般的にはSOCにおいて、分析官と呼ばれるセキュリティ専門家が、事前に設定するものである。分析部220がログの分析を行い、該分析ルールに該当するログの存在を確認すると、分析部220は、アラートを出力する。出力されたアラートは、詳しくは後述するが、アラート管理装置300に送信され、管理される。分析官はアラート管理装置300で管理されるアラートをより詳細に分析することにより、該アラートの内容が、真のセキュリティインシデントを示すものか誤検知のものかを判断する。上記の例では、攻撃者が侵入を試みている場合と単に利用者がパスワードの入力ミスをした場合などがある。そのため、分析官はこのアラートをもとに、該アラートに関連するログに対し、より詳細な分析を行い、このアラートの内容がインシデントであるか否かの判別を行う。
 このように、分析部220は、ログ出力制御装置100から出力されたログを分析し、該分析の結果に基づいたアラートを送信部230に供給する。このアラートには、該アラートに関連するログが含まれる。
 送信部230は、分析部220からアラートを受け取ると、アラート管理装置300に送信する。また、送信部230は、受信部210から第1情報の送信要求を受け取ると、第1情報であるログ分析装置200の負荷情報を取得し、ログ出力制御装置100に送信する。
 アラート管理装置300は、図4に示す通り、受信部310と、詳細情報記憶部320と、送信部330とを備える。受信部310は、ログ分析装置200から送信されたアラートを受信する。受信部310は、受信したアラートを、詳細情報記憶部320に格納させる。
 詳細情報記憶部320に格納されたアラートの一例を、図6に示す。図6は、詳細情報記憶部320に格納されるアラートの一例を示す図である。図6の各行が夫々アラートに対応する。上述した通り、アラートは、警告を表すメッセージである。アラートは、例えば、図6に示す通り、該アラートをアラート管理装置300が受信した時刻を表す「時刻」と、メッセージの内容(アラート情報とも呼ぶ)とが互いに関連付けられて格納されている。このメッセージの内容は、ログ分析装置200による分析結果が含まれてもよいし、ログそのものであってもよいし、その他の情報が含まれてもよい。また、アラート情報には、アラートに対して分析官が何らかの対処を行ったか否かを示す「着手」と、対処結果を表す「判定結果」とが互いに関連付けられて格納されている。何らかの対処とは、例えば、分析官による詳細な分析を表す。
 受信部310が、詳細情報記憶部320に受信したアラートを格納する時点では、図6の2行目に示す通り、「時刻」と「アラート情報」との欄に値が入力され、「着手」の欄にまだ何も該アラートに対する対処がされていないことを表す「未済」が入力される。なお、「着手」の欄には、アラートに対して何らかの対処が行われたか否か(分析官が詳細な分析に着手したか否か)を表す情報が含まれればよく、その形式は特に限定されない。
 アラートに対して何らかの処理が行われると、その結果が「判定結果」の欄に入力される。SOCでは、分析官が、例えば、自身が保有する装置(分析官側装置)を用いて、アラートに対して詳細な分析を行う。このような場合において、分析の結果がインシデントを表す場合、判定結果の欄に、インシデントを表す情報が入力される。なお、判定結果は、その内容がわかればよく、どのような形式であってもよい。また、判定結果には、この分析処理にかかった時間が関連付けられていてもよいし、分析処理の開始時間と終了時間とが関連付けられていてもよい。
 また、受信部310は、ログ出力制御装置100から送信された第2情報の送信要求を受信すると、該送信要求を送信部330に供給する。
 送信部330は、受信部310から第2情報の送信要求を受け取ると、詳細情報記憶部320を参照して、第2情報を算出する。上述した通り、第2情報は、未対応アラート数、1つのアラートに関連するログの詳細な分析を行う速度を表す詳細分析速度等であるため、送信部330は、詳細情報記憶部320を参照し、未対応アラート数、詳細分析速度等を算出する。そして、送信部330は、算出した第2情報を、ログ出力制御装置100に送信する。
 図7は、本実施の形態におけるログ分析システム1の動作の流れの一例を示すシーケンス図である。なお、図7では、分析官が、自身が保有する装置(分析官側装置)を用いてログの分析を行う場合について説明するが、分析官はアラート管理装置300を用いてログの分析を行ってもよい。図7では実線の横向きの矢印でログの流れを表し、破線の矢印でアラートの流れを表している。また、一点鎖線の矢印で分析結果の流れを表している。なお、図7では、第1情報が負荷情報であり、第2情報が未対応アラート数であるとして説明を行う。
 図7に示すように、ログ出力制御装置100はセンサ400からログを受信する。ログ出力制御装置100は受信したログを一時保存部150に保存し、該保存されたログをログ分析装置200に送信する。
 ログ分析装置200は、ログ出力制御装置100から受け取ったログの分析を行い、分析ルールに該当した場合、アラートをアラート管理装置300に送信する。
 アラート管理装置300は、ログ分析装置200からアラートを受信すると、詳細情報記憶部320に格納する。分析官側装置は、アラート管理装置300の詳細情報記憶部320に格納されたアラートを取得する。例えば、ログ分析装置200がアラート管理装置300にアラートA1を送信し、アラート管理装置300が詳細情報記憶部320に該アラートA1を格納すると、分析官側装置が該アラートA1を取得し、該アラートA1の分析を始める。具体的には、分析官側装置を使用する分析官は、アラートA1に関連するログの分析を行う。
 アラートA1の分析が終わると、分析官側装置は、アラートA1の分析結果をアラート管理装置300に送信する。これにより、アラート管理装置300は、分析が行われたアラートの「着手」および「判定結果」の欄を更新する。そして、分析官側装置は次のアラートB1を取得する。
 このアラートA1の分析結果が送信される前までの段階では、ログ出力制御装置100による制御が行われていないとする。したがって、ログ出力制御装置100は、センサ400からログを受信すると、順次、ログ分析装置200に受信したログを送信している。したがって、ログ分析装置200は、分析の結果に基づいたアラート(B1およびC1)をアラート管理装置300に送信する。
 ログ出力制御装置100が、ログ分析装置200から第1情報である負荷情報を取得し、アラート管理装置300から第2情報である未対応アラート数を取得すると、ログ出力制御装置100の制御部120は、出力量を決定する。具体的には、制御部120は、単位時間当たりにおけるログの出力量を増加させた量、または、減少させた量を、出力量として決定する。なお、単位時間あたりにおけるログの出力量を増加させることを、ログ出力レートを上げるとも言い、単位時間あたりにおけるログの出力量を減少させることを、ログ出力レートを下げるとも言う。そして、制御部120は、決定した出力量でログを出力するように出力部130を制御する制御信号を生成する。その後、出力部130は、制御信号に従って、ログを出力する。
 図7の例において、第2条件が、「未対応アラート数が閾値1よりも多い」であるとする。ログ出力制御装置100が未対応アラート数を受信した時点では、アラートB1およびアラートC1の2つが未対応アラートとして、アラート管理装置300で管理されている。したがって、未対応アラート数は2となる。制御部120は、第2情報である未対応アラート数が、第2条件を満たすため、単位時間当たりにおけるログの出力量を減少させるように出力部130を制御する制御信号を生成する。これにより、図7に示す通り、ログ出力制御装置100がセンサ400からログを受信する間隔T1よりも長い時間であるT2で、ログ出力制御装置100はログをログ分析装置200に出力する。したがって、ログ分析装置200がアラート管理装置300に出力するアラートの出力間隔も、制御前に比べ、長くなる。よって、分析官が対処すべきアラートの滞留量を低減させることができる。このように、ログ分析装置200および分析官側に掛かる負荷が平滑化される。
 次に、図8を参照して、ログ出力制御装置100の動作の流れについて説明する。図8は、ログ出力制御装置100の動作の流れの一例を示すフローチャートである。なお、図8では、第1情報が負荷情報であり、第2情報が未対応アラート数であるとして説明を行う。
 図8に示す通り、ログ出力制御装置100の取得部110が負荷情報と未対応アラート数とを取得する(ステップS81)。そして、制御部120が、比較部160による比較の結果を用いて、未対応アラート数が閾値Nより多いという第2条件を満たすか否かを判定する(ステップS82)。第2条件を満たす場合、つまり、未対応アラート数が閾値Nより多い場合(ステップS82にてYES)、処理はステップS85に進む。第2条件を満たさない場合、つまり、未対応アラート数が閾値N以下の場合(ステップS82にてNO)、制御部120は、比較部160による比較の結果を用いて、負荷情報によって示される負荷(例えばCPU使用率)が閾値Lより高いという第1条件を満たすか否かを判定する(ステップS83)。第1条件を満たす場合、つまり、負荷が閾値Lより高い場合(ステップS83にてYES)、処理はステップS85に進む。第1条件を満たさない場合、つまり、負荷が閾値L以下の場合(ステップS83にてNO)、処理はステップS84に進む。
 なお、ステップS82とステップS83とは逆順で行われてもよい。
 ステップS84において、制御部120は、単位時間当たりにおけるログの出力量を増加させた量を出力量として決定する(ステップS84)。一方、ステップS85において、制御部120は、単位時間当たりにおけるログの出力量を減少させた量を出力量として決定する(ステップS85)。
 ステップS84またはステップS85終了後、制御部120は、決定した出力量でログを出力するように制御する制御信号を生成する。出力部130は、制御信号に基づいて、ステップS84またはステップS85で決定された出力量でログをログ分析装置200に出力する(ステップS86)。
 その後、ログ出力制御装置100は、定期的に、ステップS81~ステップS86を繰り返す。
 なお、ログ出力制御装置100は、第1条件および第2条件の両方を満たす場合に、ログの出力量を減少させるように制御してもよい。つまり、制御部120がログの出力量を、第1情報および第2情報に基づいて制御してもよいし、図8のフローチャートのように第1情報または第2情報に基づいて制御してもよい。
 以上のように、本実施の形態におけるログ出力制御装置100は、取得部110がログの分析を行うログ分析装置に関する第1情報と、分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する。そして、制御部120がログの出力量を、第1情報および第2情報の少なくとも一方に基づいて、制御する。出力部130は、この制御に基づいて、ログをログ分析装置に出力する。
 このような構成により、ログ出力制御装置100は、第1情報と第2情報とに基づいて制御された量のログが、ログ分析装置200に出力される。第1情報は、ログ分析装置200に関する情報であり、例えば、負荷情報である。したがって、ログ出力制御装置100は、ログ分析装置200の負荷の状況に応じて、ログを出力するため、ログ分析装置200に掛かる負荷の平滑化を行うことができる。
 また、第2情報は、アラートに対する対処情報を表す。SOCでは、アラートに対し、分析官が詳細な分析などの対処を行うのが一般的である。したがって、第2情報である、例えば、未対応アラート数が閾値Nより多い場合、分析官側に負荷が掛かっていることがわかる。ログ出力制御装置100は、分析官側の負荷の状況に応じて、ログをログ分析装置200に出力するため、例えば、分析官側に負荷が掛かっている場合、ログの出力量を低減させることができる。
 これにより、ログ分析装置200がアラート管理装置300に出力するアラートの単位時間あたりにおける出力量を減らすことができ、結果として、分析官側に掛かる負荷の平滑化を行うことができる。
 <第3の実施の形態>
 第3の実施の形態について図面を参照して詳細に説明する。本実施の形態に係るログ分析システム1は、上述した第2の実施の形態に係るログ分析システム1のログ出力制御装置100に代えて、ログ出力制御装置101を備える。なお、ログ分析システム1の全体構成は、図3と同様であるため、その詳細な説明を省略する。なお、説明の便宜上、上述した第2の実施の形態において説明した部材と同様の部材は、同じ符号を付し、その説明を省略する。
 図9は、本実施の形態に係るログ分析システム1におけるログ出力制御装置101の機能構成の一例を示す機能ブロック図である。図9に示す通り、本実施の形態のログ出力制御装置101は、取得部110と、制御部121と、出力部130と、受信部140と、比較部160と、記憶部170と、判定部180と、条件決定部190とを備える。本実施の形態におけるログ出力制御装置101は、ログ出力制御装置100に含まれる一時保存部150を備えず、制御部120の代わりに制御部121を備え、更に、判定部180と、条件決定部190とを備える構成である。本実施の形態では、ログ出力制御装置101は、受信したログを一時的に保存するのではなく、第1情報および第2情報の少なくとも何れか一方に基づいて、フィルタリングして出力する。
 判定部180は、受信部140が受信したログを、受信部140から受け取る。受信部140は受け取ったログの重要度を判定し、判定した重要度をログに関連付ける。そして、判定部180は、重要度が関連付けられたログを出力部130に供給する。
 条件決定部190は、第1情報および第2情報の少なくとも一方に基づいて、重要度に関する第3条件を決定する。具体的には、条件決定部190は、比較部160から第1情報の比較の結果と、第2情報の比較の結果とを受け取る。そして、受け取った比較の結果に基づいて、条件決定部190は、重要度が表す値が満たすか否かを判定するための値であるフィルタレベルを決定し、「重要度を表す値が、決定したフィルタレベルを超える」という第3条件を決定する。
 例えば、ログ分析装置200のCPUの使用率が閾値Lよりも高い場合、条件決定部190は、フィルタレベルを現時点のフィルタレベルより上げた値に決定する。そして、条件決定部190は、「重要度を表す値が、決定したフィルタレベルを超える」という第3条件を決定する。条件決定部190は決定した第3条件を、制御部121に供給する。
 制御部121は、条件決定部190から第3条件を受信する。そして、制御部121は、出力部130に対し、第3条件を満たす重要度を有するログを出力するよう制御する制御信号を生成する。制御部121は、生成した制御信号を出力部130に出力する。
 そして、出力部130は、制御部121から供給された制御信号に基づいて、ログをログ分析装置200に出力する。具体的には、出力部130は、判定部180から供給された制御信号に基づいてログをフィルタリングして、フィルタリングしたログをログ分析装置200に出力する。
 図10は、本実施の形態におけるログ分析システムの動作の流れの一例を示すシーケンス図である。なお、図10では、図7と同様に、分析官が、自身が保有する装置(分析官側装置)を用いてログの分析を行う場合について説明する。図10では、図7と同様に、実線の横向きの矢印でログの流れを表し、破線の矢印でアラートの流れを表している。また、一点鎖線の矢印で分析結果の流れを表している。なお、図10では、第1情報が負荷情報であり、第2情報が未対応アラート数であるとして説明を行う。
 図10に示すように、ログ出力制御装置101はセンサ400からログを受信する。ログ出力制御装置101は受信したログをログ分析装置200に送信する。
 ログ分析装置200は、ログ出力制御装置101から受け取ったログの分析を行い、分析ルールに該当した場合、アラートをアラート管理装置300に送信する。
 アラート管理装置300は、ログ分析装置200からアラートを受信すると、詳細情報記憶部320に格納する。分析官側装置は、アラート管理装置300の詳細情報記憶部320に格納されたアラートを取得する。例えば、ログ分析装置200がアラート管理装置300にアラートA2を送信し、アラート管理装置300が詳細情報記憶部320に該アラートA2を格納すると、分析官側装置が該アラートA2を取得し、該アラートA2の分析を始める。具体的には、分析官側装置を使用する分析官は、アラートA2に関連するログの分析を行う。
 アラートA2の分析が終わると、分析官側装置は、アラートA2の分析結果をアラート管理装置300に送信する。これにより、アラート管理装置300は、分析が行われたアラートの「着手」および「判定結果」の欄を更新する。そして、分析官側装置は次のアラートB2を取得する。
 このアラートA2の分析結果が送信される前までの段階では、ログ出力制御装置101による制御が行われていないとする。したがって、ログ出力制御装置101は、センサ400からログを受信すると、順次、ログ分析装置200に受信したログを送信している。したがって、ログ分析装置200は、分析の結果に基づいたアラート(B2およびC2)をアラート管理装置300に送信する。
 ログ出力制御装置101が、ログ分析装置200から第1情報である負荷情報を取得し、アラート管理装置300から第2情報である未対応アラート数を取得すると、ログ出力制御装置101の条件決定部190は、フィルタレベルを決定し、第3条件を決定する。これにより、制御部121が出力部130を制御する制御信号を生成することにより、第3条件を満たす重要度を有するログが出力されることになる。つまり、制御部121は、ログの出力量を、複数のログのうち、第3条件を満たす重要度を有するログ、であると決定する。
 ここで、出力量決定後にセンサ400からログ出力制御装置100に送信されるログを、ログG1~ログG5とし、ログG1、ログG3およびログG5が第3条件を満たす重要度を有するログであるとする。
 出力部130は、制御部121から供給された制御信号に基づいて、第3条件を満たす重要度を有するログである、ログG1、ログG3およびログG5をログ分析装置200に出力し、ログG2およびログG4を出力しない。つまり、この場合、制御部121は、ログの総量が少なくなるように、出力部130を制御すると言える。これにより、図10に示す通り、ログ出力制御装置101は、受信したログの量より少ない量のログをログ分析装置200に出力する。したがって、ログ分析装置200がアラート管理装置300に出力するアラートの出力間隔も、制御前に比べ、長くなる。よって、分析官が対処すべきアラートの滞留量を低減させることができる。このように、ログ分析装置200および分析官側に掛かる負荷が平滑化される。
 次に、図11を参照して、ログ出力制御装置101の動作の流れについて説明する。図11は、ログ出力制御装置101の動作の流れの一例を示すフローチャートである。なお、図11では、第1情報が負荷情報であり、第2情報が未対応アラート数であるとして説明を行う。
 図11に示す通り、ログ出力制御装置101の取得部110が負荷情報と未対応アラート数とを取得する(ステップS111)。そして、比較部160による比較の結果を用いて、条件決定部190が、未対応アラート数が閾値Nより多いか否かを判定する(ステップS112)。未対応アラート数が閾値Nより多い場合(ステップS112にてYES)、処理はステップS115に進む。未対応アラート数が閾値N以下の場合(ステップS112にてNO)、条件決定部190は、比較部160による比較の結果を用いて、負荷情報によって示される負荷(例えばCPU使用率)が閾値Lより高いか否かを判定する(ステップS113)。負荷が閾値Lより高い場合(ステップS113にてYES)、処理はステップS115に進む。負荷が閾値L以下の場合(ステップS113にてNO)、処理はステップS114に進む。
 なお、ステップS112とステップS113とは逆順で行われてもよい。
 ステップS114において、条件決定部190は、フィルタレベルを下げ、下げたフィルタレベルを新たなフィルタレベルとして決定する(ステップS114)。これにより、出力部130は重要度が制御前より低いログもログ分析装置200に出力するようになる。一方、ステップS115において、条件決定部190は、フィルタレベルを上げ、上げたフィルタレベルを新たなフィルタレベルとして決定する(ステップS115)。これにより、出力部130は、重要度が制御前より高いログのみを出力するようになる。
 ステップS114またはステップS115終了後、条件決定部190は、決定したフィルタレベルを用いた第3条件を決定し、制御部121が決定した第3条件を満たす重要度を有するログを出力するように制御する制御信号を生成する。出力部130は、制御信号に基づいて、ステップS114またはステップS115で決定されたフィルタレベルより高い重要度を有するログをログ分析装置200に出力する(ステップS116)。
 その後、ログ出力制御装置101は、定期的に、ステップS111~ステップS116を繰り返す。
 なお、ログ出力制御装置101の制御部121がログの出力量を、第1情報および第2情報に基づいて制御してもよいし、図11のフローチャートのように第1情報または第2情報に基づいて制御してもよい。
 以上のように、本実施の形態におけるログ出力制御装置101は、上述したログ出力制御装置100と同様に第1情報および第2情報の少なくとも一方に基づいて、出力するログの総量を制御する。したがって、ログ出力制御装置101は、ログ分析装置200の負荷の状況および/または分析官側の負荷状況に応じて、出力するログの総量を制御することができる。したがって、本実施の形態に係るログ分析システム1によれば、ログ分析装置200および分析官側に掛かる負荷の平滑化を行うことができる。
 (ハードウェア構成について)
 本開示の各実施形態において、各装置の各構成要素は、機能単位のブロックを示している。各装置の各構成要素の一部又は全部は、例えば図12に示すような情報処理装置900とプログラムとの任意の組み合わせにより実現される。図12は、各装置の各構成要素を実現する情報処理装置900のハードウェア構成の一例を示すブロック図である。情報処理装置900は、一例として、以下のような構成を含む。
  ・CPU901
  ・ROM(Read Only Memory)902
  ・RAM(Random Access Memory)903
  ・RAM903にロードされるプログラム904
  ・プログラム904を格納する記憶装置905
  ・記録媒体906の読み書きを行うドライブ装置907
  ・通信ネットワーク909と接続する通信インタフェース908
  ・データの入出力を行う入出力インタフェース910
  ・各構成要素を接続するバス911
 各実施形態における各装置の各構成要素は、これらの機能を実現するプログラム904をCPU901が取得して実行することで実現される。各装置の各構成要素の機能を実現するプログラム904は、例えば、予め記憶装置905やROM902に格納されており、必要に応じてCPU901が読み出す。なお、プログラム904は、通信ネットワーク909を介してCPU901に供給されてもよいし、予め記録媒体906に格納されており、ドライブ装置907が当該プログラムを読み出してCPU901に供給してもよい。
 各装置の実現方法には、様々な変形例がある。例えば、各装置は、構成要素毎にそれぞれ別個の情報処理装置900とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置が備える複数の構成要素が、一つの情報処理装置900とプログラムとの任意の組み合わせにより実現されてもよい。
 また、各装置の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。
 各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
 各装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
 なお、上述した各実施の形態は、本開示の好適な実施の形態であり、上記各実施の形態にのみ本開示の範囲を限定するものではなく、本開示の要旨を逸脱しない範囲において当業者が上記各実施の形態の修正や代用を行い、種々の変更を施した形態を構築することが可能である。
 上記の実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
 (付記1)
 ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する取得手段と、
 前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御手段と、
 前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力手段と、
 を備えることを特徴とするログ出力制御装置。
 (付記2)
 前記制御手段は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする付記1に記載のログ出力制御装置。
 (付記3)
 前記第1情報は、前記ログ分析装置にかかる負荷の状態を表す負荷情報であり、
 前記制御手段は、前記負荷情報が該負荷に関する第1条件を満たすか否かに基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする付記2に記載のログ出力制御装置。
 (付記4)
 前記制御手段は、前記第2情報が前記対処状況に関する第2条件を満たすか否かに基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする付記2または3に記載のログ出力制御装置。
 (付記5)
 前記第2情報は、対処を行っていないアラートの数を表す未対応アラート数、または、アラートに関連するログの詳細な分析を行う速度を表す詳細分析速度である、ことを特徴とする付記4に記載のログ出力制御装置。
 (付記6)
 前記ログの重要度を判定する判定手段と、
 前記第1情報および前記第2情報の少なくとも一方に基づいて、前記重要度に関する第3条件を決定する条件決定手段と、を更に備え、
 前記制御手段は、前記第3条件を満たす前記重要度を有するログを出力するよう制御する、付記1に記載のログ出力制御装置。
 (付記7)
 1つ以上のネットワーク機器と、
 該ネットワーク機器から送信されたログを受信してログ分析装置に出力するログ出力制御装置と、
 前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力するログ分析装置と、
 前記ログ分析装置から出力されたアラートを管理するアラート管理装置と、を含み、
 前記ログ出力制御装置は、
 前記ログ分析装置に関する第1情報と、前記アラートに対する対処状況を表す第2情報とを取得する取得手段と、
 前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御手段と、
 前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力手段と、
 を備えることを特徴とするログ分析システム。
 (付記8)
 前記制御手段は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする付記7に記載のログ分析システム。
 (付記9)
 ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、
 前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、
 前記制御に基づいて、前記ログを前記ログ分析装置に出力する、
 ことを特徴とするログ出力制御方法。
 (付記10)
 前記制御は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御することである、付記9に記載のログ出力制御方法。
 (付記11)
 1つ以上のネットワーク機器と、ログ出力制御装置と、ログ分析装置と、アラート管理装置とを備えるログ分析システムにおけるログ分析方法であって、
 前記ネットワーク機器はログを送信し、
 前記ログ出力制御装置は、
  前記ネットワーク機器から送信されたログを受信し、
  前記ログ分析装置に関する第1情報と、前記ログ分析装置による分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、
  前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、
  前記制御に基づいて、前記ログを前記ログ分析装置に出力し、
 前記ログ分析装置は、前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力し、
 前記アラート管理装置は、前記ログ分析装置から出力されたアラートを管理する、ことを特徴とするログ分析方法。
 (付記12)
 前記ログ出力制御装置は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする付記11に記載のログ分析方法。
 (付記13)
 ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する取得処理と、
 前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御処理と、
 前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力処理と、をコンピュータに実行させることを特徴とするプログラム。
 (付記14)
 前記制御処理は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする付記13に記載のプログラム。
 この出願は、2016年6月13日に出願された日本出願特願2016-117146を基礎とする優先権を主張し、その開示の全てをここに取り込む。
 1  ログ分析システム
 10  ログ出力制御装置
 11  取得部
 12  制御部
 13  出力部
 100  ログ出力制御装置
 101  ログ出力制御装置
 110  取得部
 120  制御部
 121  制御部
 130  出力部
 140  受信部
 150  一時保存部
 160  比較部
 170  記憶部
 180  判定部
 190  条件決定部
 200  ログ分析装置
 210  受信部
 220  分析部
 230  送信部
 300  アラート管理装置
 310  受信部
 320  詳細情報記憶部
 330  送信部
 400  センサ

Claims (14)

  1.  ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する取得手段と、
     前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御手段と、
     前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力手段と、
     を備えることを特徴とするログ出力制御装置。
  2.  前記制御手段は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする請求項1に記載のログ出力制御装置。
  3.  前記第1情報は、前記ログ分析装置にかかる負荷の状態を表す負荷情報であり、
     前記制御手段は、前記負荷情報が該負荷に関する第1条件を満たすか否かに基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする請求項2に記載のログ出力制御装置。
  4.  前記制御手段は、前記第2情報が前記対処状況に関する第2条件を満たすか否かに基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする請求項2または3に記載のログ出力制御装置。
  5.  前記第2情報は、対処を行っていないアラートの数を表す未対応アラート数、または、アラートに関連するログの詳細な分析を行う速度を表す詳細分析速度である、ことを特徴とする請求項4に記載のログ出力制御装置。
  6.  前記ログの重要度を判定する判定手段と、
     前記第1情報および前記第2情報の少なくとも一方に基づいて、前記重要度に関する第3条件を決定する条件決定手段と、を更に備え、
     前記制御手段は、前記第3条件を満たす前記重要度を有するログを出力するよう制御する、請求項1に記載のログ出力制御装置。
  7.  1つ以上のネットワーク機器と、
     該ネットワーク機器から送信されたログを受信してログ分析装置に出力するログ出力制御装置と、
     前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力するログ分析装置と、
     前記ログ分析装置から出力されたアラートを管理するアラート管理装置と、を含み、
     前記ログ出力制御装置は、
     前記ログ分析装置に関する第1情報と、前記アラートに対する対処状況を表す第2情報とを取得する取得手段と、
     前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する制御手段と、
     前記制御に基づいて、前記ログを前記ログ分析装置に出力する出力手段と、
     を備えることを特徴とするログ分析システム。
  8.  前記制御手段は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする請求項7に記載のログ分析システム。
  9.  ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、
     前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、
     前記制御に基づいて、前記ログを前記ログ分析装置に出力する、
     ことを特徴とするログ出力制御方法。
  10.  1つ以上のネットワーク機器と、ログ出力制御装置と、ログ分析装置と、アラート管理装置とを備えるログ分析システムにおけるログ分析方法であって、
     前記ネットワーク機器はログを送信し、
     前記ログ出力制御装置は、
      前記ネットワーク機器から送信されたログを受信し、
      前記ログ分析装置に関する第1情報と、前記ログ分析装置による分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、
      前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、
      前記制御に基づいて、前記ログを前記ログ分析装置に出力し、
     前記ログ分析装置は、前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力し、
     前記アラート管理装置は、前記ログ分析装置から出力されたアラートを管理する、ことを特徴とするログ分析方法。
  11.  1つ以上のネットワーク機器と、ログ出力制御装置と、ログ分析装置と、アラート管理装置とを備えるログ分析システムにおけるログ分析方法であって、
     前記ネットワーク機器はログを送信し、
     前記ログ出力制御装置は、
      前記ネットワーク機器から送信されたログを受信し、
      前記ログ分析装置に関する第1情報と、前記ログ分析装置による分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得し、
      前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御し、
      前記制御に基づいて、前記ログを前記ログ分析装置に出力し、
     前記ログ分析装置は、前記ログ出力制御装置から出力されたログを分析し、該分析の結果に基づいたアラートを出力し、
     前記アラート管理装置は、前記ログ分析装置から出力されたアラートを管理する、ことを特徴とするログ分析方法。
  12.  前記ログ出力制御装置は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする請求項11に記載のログ分析方法。
  13.  ログの分析を行うログ分析装置に関する第1情報と、前記分析の結果に基づいたアラートに対する対処状況を表す第2情報とを取得する処理と、
     前記ログの出力量を、前記第1情報および前記第2情報の少なくとも一方に基づいて、制御する処理と、
     前記制御に基づいて、前記ログを前記ログ分析装置に出力する処理と、をコンピュータに実行させるプログラムを記録する、コンピュータ読み取り可能な非一時的な記録媒体。
  14.  前記制御処理は、前記第1情報および前記第2情報の少なくとも一方に基づいて、前記ログの単位時間あたりにおける出力量を制御する、ことを特徴とする請求項13に記載の記録媒体。
PCT/JP2017/021249 2016-06-13 2017-06-08 ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体 WO2017217305A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016-117146 2016-06-13
JP2016117146 2016-06-13

Publications (1)

Publication Number Publication Date
WO2017217305A1 true WO2017217305A1 (ja) 2017-12-21

Family

ID=60664341

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/021249 WO2017217305A1 (ja) 2016-06-13 2017-06-08 ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体

Country Status (1)

Country Link
WO (1) WO2017217305A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108897663A (zh) * 2018-06-19 2018-11-27 新华三技术有限公司 日志输出控制方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1063539A (ja) * 1996-08-26 1998-03-06 Hitachi Inf Syst Ltd 運行監視通報システム
JP2004288110A (ja) * 2003-03-25 2004-10-14 Hitachi Information Systems Ltd ネットワークアクセスログ情報の収集解析システム
JP2015215770A (ja) * 2014-05-12 2015-12-03 西日本電信電話株式会社 ログ収集システム
JP2016057683A (ja) * 2014-09-05 2016-04-21 株式会社日立システムズ イベント監視コンピュータシステム及びイベント監視方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1063539A (ja) * 1996-08-26 1998-03-06 Hitachi Inf Syst Ltd 運行監視通報システム
JP2004288110A (ja) * 2003-03-25 2004-10-14 Hitachi Information Systems Ltd ネットワークアクセスログ情報の収集解析システム
JP2015215770A (ja) * 2014-05-12 2015-12-03 西日本電信電話株式会社 ログ収集システム
JP2016057683A (ja) * 2014-09-05 2016-04-21 株式会社日立システムズ イベント監視コンピュータシステム及びイベント監視方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108897663A (zh) * 2018-06-19 2018-11-27 新华三技术有限公司 日志输出控制方法和装置
CN108897663B (zh) * 2018-06-19 2022-08-26 新华三技术有限公司 日志输出控制方法和装置

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
JP7495460B2 (ja) セッションセキュリティ分割およびアプリケーションプロファイラ
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
US20160127406A1 (en) Identifying a potential ddos attack using statistical analysis
JP2021510478A (ja) 車両内ネットワークにセキュリティを提供するシステム及び方法
US20190306186A1 (en) Upload interface identification method, identification server and system, and storage medium
EP2845349B1 (en) Network access apparatus having a control module and a network access module
CN110959158A (zh) 信息处理装置、信息处理方法和信息处理程序
CN112165445B (zh) 用于检测网络攻击的方法、装置、存储介质及计算机设备
US20220255926A1 (en) Event-triggered reauthentication of at-risk and compromised systems and accounts
WO2017217305A1 (ja) ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体
KR102040371B1 (ko) 네트워크 공격 패턴 분석 및 방법
US20180316697A1 (en) Method of aiding the detection of infection of a terminal by malware
KR20180073933A (ko) 악성 스크립트 탐지 방법 및 장치
EP3819799B1 (en) Method of threat detection
CN113168460A (zh) 用于数据分析的方法、设备和系统
EP3432544B1 (en) System and method of determining ddos attacks
CN107342967B (zh) 僵尸网络检测系统及其方法
KR102001814B1 (ko) 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치
JP4155208B2 (ja) アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム
CN118092374A (zh) 工业控制器异常行为协同检测系统、方法、装置及介质
CN117714169A (zh) 一种网络攻击检测方法、系统及存储介质
CN117040916A (zh) 一种窃密检测方法装置、电子设备及存储介质

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17813203

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17813203

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP