ログ分析装置、ログ分析プログラム、および記録媒体
【課題】ログに記録されたイベントを所定の単位時間毎にまとめた統計データを効率的に生成する。
【解決手段】ログ保存部102は、ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成し、記憶部103に保存する。ログ分析部104は記憶部103から第1の統計データを読み出し、第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の第1の統計データをまとめて、特定のパラメータに係るイベントの第2の単位時間当たりの頻度を示す第2の統計データを生成する。ログ分析部104は、複数の第1の統計データおよび複数の第2の統計データの各々で構成される各時間軸上の分布を周波数軸上の分布へ変換し、各周波数軸上の分布を用いて、ネットワークの異常度に関する値を算出する。
【解決手段】ログ保存部102は、ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成し、記憶部103に保存する。ログ分析部104は記憶部103から第1の統計データを読み出し、第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の第1の統計データをまとめて、特定のパラメータに係るイベントの第2の単位時間当たりの頻度を示す第2の統計データを生成する。ログ分析部104は、複数の第1の統計データおよび複数の第2の統計データの各々で構成される各時間軸上の分布を周波数軸上の分布へ変換し、各周波数軸上の分布を用いて、ネットワークの異常度に関する値を算出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、Firewall、およびトラヒックモニタ等のネットワーク機器から出力されるログの分析を行うログ分析装置に関する。また、本発明は、ログの分析に係る処理をコンピュータに実行させるためのログ分析プログラムや、そのログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体にも関する。
【背景技術】
【0002】
近年、サイバーテロ攻撃に対する脅威が高まっており、各種のネットワーク機器から出力されるログを解析することによって、ネットワークで発生する異常を検知する各種の手法が提案されている。ネットワーク上のトラヒックの増減は、ユーザがPC(Personal Computer)を利用する時間帯や曜日帯に依存しており、攻撃の傾向もおおよそPCの利用頻度と類似している。しかし、近年の攻撃の多くが、潜伏期間や発症・伝播期間を有するウィルスやワームによるものであり、PCの利用頻度以外の周期性で発現するものもある。これらの攻撃の周期性を考慮して、分析対象への攻撃傾向や新たな攻撃の兆候を検出する手法が提案されている(例えば、特許文献1および非特許文献1参照)。
【0003】
特許文献1には、ログに記録されたイベントの頻度に関する統計量の周期性に注目して異常を検知する周波数解析の手法が記載されている。周期性の分析の際には、フーリエ変換を用いて時間軸上での統計量を周波数軸上での成分量(パワー)に変換することによって生成した周波数分布(周波数スペクトル)が使用される。異常の検知には、例えば以下のような手法が用いられている。
・特定の期間のデータ(あるいは、注目ネットワークに関するデータ)から得られた周波数分布内の成分量と、過去の所定期間のデータ(あるいは、他のネットワークに関するデータ)から得られた周波数分布内の成分量との比率を用いて異常度を評価する手法。
・ログの曖昧度を示す情報エントロピーを用いて異常度を評価する手法。
【0004】
非特許文献1にも、特許文献1に記載された手法と同様の手法が記載されている。
【特許文献1】特開2005−151289号公報
【非特許文献1】仲小路博史、寺田真敏,“周波数分析に基づくインシデント傾向検知手法に関する検討”,情報処理学会,研究報告, 2005-CSEC-30,2005年7月,pp.83-88
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来のログの周波数解析では、ログに記録されたイベントを所定の単位時間(例えば、1分や30分、0.5日等)毎にまとめた統計データ(単位時間内のイベントの頻度を示すデータ)を用いてフーリエ変換が行われていた。統計データを複数生成する場合には、ログに記録されたイベントを、指定された単位時間でまとめるという処理を複数回行う必要があった。生成する統計データの数や種類が多くなればなるほど、統計データの生成に係る処理負荷は大きくなる。例えば、単位時間が1分、30分、0.5日の統計データをそれぞれ生成する場合には、ログに記録されたイベントを1分単位でまとめ、同一のイベントを30分単位でまとめ、さらに同一のイベントを0.5日単位でまとめるという処理を順次行う必要があり、非効率的な処理を繰り返す必要があった。本発明は、この点に鑑み、ログに記録されたイベントを所定の単位時間毎にまとめた統計データを効率的に生成することを目的とする。
【0006】
また、周波数分布内の成分量に注目した従来のログの周波数解析では、ネットワークの伸縮工事に伴う全体的な攻撃頻度の変化によって、攻撃の誤検知を生じ易い傾向があるという問題があった。さらに、情報エントロピーに注目した従来の周波数解析の手法では、異常の発生を検知することはできるものの、異常の発生した周波数帯を特定することができないという問題があった。本発明は、この点に鑑み、従来の周波数解析で用いられていた手法以外の手法を提供することも目的とする。
【0007】
また、イベントには雑音成分が多く、未知の攻撃による痕跡がログ中のどのパラメータに記録されるのかが不明であるため、従来のログの周波数解析では全てのパラメータのイベントを対象として処理を行わなければならなかった。例えば、パケットの送信先の機器のIPアドレスを示すDestination Portを解析対象のパラメータとして周波数解析を行う場合、TCP(Transmission Control Protocol)とUDP(User Datagram Protocol)のDestination Portを合わせた12万種類以上のイベントの解析を実行しなければならなかった。したがって、処理の負荷を低減するため、処理対象とするイベントを絞って周波数解析を行うことが望ましい。本発明は、この点に鑑み、注目すべきイベントを選定する手法を提供することも目的とする。
【課題を解決するための手段】
【0008】
本発明は、上記の課題を解決するためになされたもので、ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1の統計データ生成手段と、前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2の統計データ生成手段と、複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第1の周波数分布生成手段と、複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第2の周波数分布生成手段と、前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する算出手段とを備えたことを特徴とするログ分析装置である。
【0009】
また、本発明のログ分析装置において、前記第2の統計データ生成手段は、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする。
【0010】
また、本発明のログ分析装置において、前記算出手段は、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0011】
また、本発明のログ分析装置において、前記算出手段は、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0012】
また、本発明のログ分析装置は、前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出するイベント抽出手段をさらに備え、前記第1の統計データ生成手段は、前記イベント抽出手段によって抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成することを特徴とする。
【0013】
また、本発明のログ分析装置において、前記算出手段によって算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、前記第1の統計データ生成手段はさらに、イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成し、前記第2の統計データ生成手段はさらに、新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成し、前記第1の周波数分布生成手段はさらに、新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成し、前記第2の周波数分布生成手段はさらに、新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成し、前記算出手段は、新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0014】
また、本発明は、ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1のステップと、前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2のステップと、複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第3のステップと、複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第4のステップと、前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する第5のステップとをコンピュータに実行させることを特徴とするログ分析プログラムである。
【0015】
また、本発明のログ分析プログラムにおいて、前記第2のステップでは、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする。
【0016】
また、本発明のログ分析プログラムにおいて、前記第5のステップでは、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0017】
また、本発明のログ分析プログラムにおいて、前記第5のステップでは、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0018】
また、本発明のログ分析プログラムは、前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出する第6のステップをさらに備え、前記第1のステップでは、前記第6のステップで抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成することを特徴とする。
【0019】
また、本発明のログ分析プログラムにおいて、前記第5のステップで算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成する第7のステップと、新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成する第8のステップと、新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成する第9のステップと、新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成する第10のステップと、新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出する第11のステップとをさらに有することを特徴とする。
【0020】
また、本発明は、上記のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。
【発明の効果】
【0021】
本発明によれば、第1の統計データをまとめて第2の統計データを生成するので、統計データの生成に係る処理負荷を低減し、統計データを効率的に生成することができるという効果が得られる。
【0022】
また、本発明は、特定の周波数帯内のスペクトル値の相対的な割合に基づいてログの分析を行う手法を提供している。これによって、ネットワークの全体的な攻撃頻度の変化による攻撃の誤検知を低減することができる。さらに、周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合に基づいてログの分析を行うことによって、異常の発生した周波数帯を特定することができる。さらに、特定のネットワークに係る周波数分布における特定の周波数帯内のスペクトル値が、特定のネットワークを含む複数のネットワークに係る周波数分布における特定の周波数帯内のスペクトル値の総和に占める割合に基づいてログの分析を行うことによって、異常の発生したネットワークを特定することができる。
【0023】
また、本発明は、注目すべきイベントを選定する手法を提供している。これによって、周波数解析に係る処理の負荷を低減することができる。
【発明を実施するための最良の形態】
【0024】
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるログ分析装置を備えたシステムの構成を示している。図において、ログ分析装置10は、分析対象のネットワーク20〜22から出力されるログを収集し、その分析を行う。ネットワーク20〜22はRouter、Firewall、およびIDS等のネットワーク機器を備えており、各ネットワーク機器が生成したログを、syslogd等の通信方式により、ログ分析装置10へ出力する。セキュリティオペレーションセンター30には、ログ分析装置10と通信回線で接続された操作端末301が設けられている。
【0025】
本実施形態によるログ分析装置10は、分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果を操作端末301へ出力する。運用者は、操作端末301の表示部に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。
【0026】
本発明の実施形態は、図1に示される形態に限定されるものではなく、これ以外の形態に本発明を適用しても構わない。例えば、ログ分析装置10が、表示部を有する他の機器へ分析結果を出力してもよいし、ログ分析装置10に表示部が備えられている場合には、ログ分析装置10が分析結果を表示してもよい。また、ログ分析装置10は、セキュリティオペレーションセンター30と異なる場所に設置された装置であってもよいし、操作端末301を具備するセキュリティオペレーションセンター30内の機器がログ分析装置10の機能を有していてもよい。
【0027】
ログ分析装置10において、ログ収集部101は、ネットワーク20〜22のネットワーク機器から出力されたログを定期的に収集し、ログ保存部102へ出力する。ログ保存部102は、ログに記録された各パラメータに係るイベントの単位時間当たりの頻度を示す統計データ(詳細は後述する)を生成し、記憶部103に保存する。ログ保存部102がログをそのまま記憶部103に保存してもよい。記憶部103はSRAM(Static Random Access Memory)、SDRAM(Synchronous Dynamic Random Access Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等の記録媒体を備えており、ログや、統計データ、ログの分析結果等を記憶する。ログ分析部104は、記憶部103から統計データを読み出し、その分析を行う。インタフェース部105は、ログ分析装置10と操作端末301の間で行われる通信を制御する。
【0028】
次に、本実施形態で分析対象となる主なパラメータについて説明する。以下のパラメータが、分析対象となるパラメータである。
(a)パケット数
(b)トラヒック量
(c)プロトコル量
(d)Port量
(e)Attack Signature
(f)Source/Destination Port
(g)Source/Destination IP
(h)パケットサイズ
(i)フラグ
(j)Source/Destination Country
【0029】
パケット数またはトラヒック量を分析することにより、ネットワークに対する攻撃が発生しているのかどうかを検出することができる。プロトコル量は、TCP/UDP/ICMP(Internet Control Message Protocol)等のプロトコルに係るパケット数(あるいはトラヒック量)を示している。プロトコル量を分析することにより、色々な攻撃を検出することができる。例えば、ICMPに係るPingやTraceroute等のパケットは攻撃前の下調べなので、これらを検出することにより、本格的な攻撃に対して事前に注意を払うことができる。Port量は、TCP/UDP等のプロトコルに係るパケットの送信元/送信先の機器のポート番号別のパケット数(あるいはトラヒック量)を示している。Port量を分析することにより、特定のPortへのアクセスや侵入等を検出することができる。
【0030】
Attack Signatureは攻撃パターンを示している。シグネチャマッチング型のIDSは、ネットワーク上を流れるパケットと、予め用意されたAttack Signatureとを単純に比較して、両者がマッチングした場合にログにイベントを記録する。Attack Signatureには、HTTP port probe、DNS port probe等のイベントがある。このAttack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。
【0031】
Source/Destination Portは送信元/送信先の機器のポート番号を示しており、Source/Destination IPは送信元/送信先の機器のIPアドレスを示している。Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。
【0032】
パケットサイズは、例えば64,128,256,512,768,1024(Byte)で区切られたサイズ毎にログに記録されている。パケットサイズを分析することにより、パケットサイズに特徴のある攻撃を検出することができる。また、パケットに記録されるフラグには、TCP-SYNやICMP-Unreachable等があり、このようなフラグを分析することにより、ウィルス等による攻撃を検出することができる。Source/Destination Countryは送信元/送信先の機器の属する国を示している。Source/Destination Countryを分析することにより、攻撃元/攻撃先の国を特定することができる。
【0033】
次に、本実施形態によるログ分析装置10の動作を説明する。図2はログ分析装置10の動作の手順を示している。ログ収集部101は、ネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS100)。ログ保存部102は、ログ収集部101から出力されたログの内容に基づいて統計データを生成し、ログの情報として統計データを記憶部103に保存する(ステップS110)。運用者が操作端末301を操作し、ログの分析指示を入力すると、操作端末301から指示情報が出力される。この指示情報は、インタフェース部105を介してログ分析部104へ入力される。ログ分析部104は、この指示情報に基づいて、ログの情報がまとめられた統計データを記憶部103から読み出す(ステップS120)。
【0034】
ログ分析部104は、読み出した統計データを用いて、後述する分析処理を行い、分析結果を記憶部103に保存する(ステップS130)。続いて、ログ分析部104は、インタフェース部105を介して、分析結果を操作端末301へ出力する(ステップS140)。分析結果は操作端末301の表示部に表示される。運用者は、この分析結果に基づいて、ネットワーク20〜22に対して攻撃が行われているか否か(異常が発生しているか否か)を判断することができる。
【0035】
次に、上記のステップS130でログ分析部104が行う分析処理の詳細な内容を説明する。図3に示されるように、送信元/送信先の機器のIP やPort等が関連付けられたヘッダログの形式のログが各種のネットワーク機器から出力される。ログを構成するデータ(図3の行単位のデータ)がイベントである。バックボーン回線を監視するIDSの場合、一日に数百万〜数千万件のログが出力されることもある。このような大規模なログの量的問題を解決するため、各ログに含まれるイベントの情報は、統計データとして圧縮されて保存される。
【0036】
図4は、ヘッダ部分を除いた統計データの内容を示している。図4に示されるように、パラメータの種類と、パラメータに係るイベントの頻度(検出数)とが関連付けられている。この統計データは、単位時間(図4では1秒間)内に検出された全イベントの情報をまとめたものである。例えば、図4中の「Packet,37260」は、単位時間内に37260個のパケットが検出されたことを示している。ログ保存部102は、各ネットワーク機器から出力されたログから統計データを生成し、記憶部103に格納する。ネットワーク機器の中には、統計データを出力するものがあり、ログ保存部102は、ログ収集部101から統計データが出力された場合には、その統計データをそのまま記憶部103に格納する。
【0037】
ログ分析部104は、保存された統計データを用いて分析処理を行う。ログ分析部104はまず、記憶部103から統計データを読み出し、特定のパラメータに関するデータをその統計データから抽出し、新たな統計データ(本発明の第1の統計データに対応)とする。全パラメータを対象として分析処理を行う場合には、各パラメータについて新たな統計データが生成される。また、ユーザが解析対象のパラメータを指定した場合には、指定されたパラメータについて新たな統計データが生成される。また、後述するように、全パラメータの中から、解析に適したパラメータをログ分析部104が選択し、そのパラメータについて新たな統計データを生成する場合もある。
【0038】
図5は、ログ分析部104による以降の処理の流れを示している。ログ分析部104は、連続した複数の単位時間の各々に対応した統計データの情報をまとめて時間軸上の分布(時間分布)を生成する(図5のステップS200)。図6は時間軸上の分布の一例である。図において、横軸は時間(時刻)を示し、縦軸は、各時間(時刻)における、分析対象のパラメータに係るイベントの頻度(イベント量)を示している。この時間軸上の分布の横軸方向の幅は、統計データの単位時間×統計データの個数であり、この幅を観測窓幅と定義する。
【0039】
続いて、ログ分析部104は、離散フーリエ変換により、時間軸上の分布を周波数軸上の分布(周波数分布、周波数スペクトル)に変換する(図5のステップS210)。時間軸上でn番目の観測点におけるイベント量をe(n)、周波数軸上でk番目の周波数成分量をE(k)とすると(ただし、n,kは自然数)、N個(Nは自然数)の離散時間信号{e(n)},n=0,1,・・・,N−1が与えられたとき、その離散フーリエ変換は以下の[数1]のように表される。なお、離散フーリエ変換を高速で行うFFT(Fast Fourier Transform)を行ってもよい。図7は、図6に示される時間軸上の分布を周波数軸上の分布へ変換した例である。横軸は、各周波数に対応した時間を示しており、縦軸はパワー(スペクトル量)を示している。
【0040】
【数1】
【0041】
抽出したい周波数の分解能をfとすると、統計データを生成する際のサンプリング周波数fsとfの関係はfs=2fで表される。サンプリング周波数fsの逆数であるサンプリング周期は統計データの単位時間に相当する。長周期(低周波)の異常が発生する場合、図7では、グラフの左側の領域でスペクトルが現れるが、この領域の周波数の分解能が低いため、異常の詳細な情報を得ることができない。そこで、長周期の異常も検出できるように、図8に示されるように、統計データの単位時間を複数用意する。このように複数の単位時間を設け、各単位時間の統計データを用いて周波数解析を行うことによって、運用者が主観的に気づきにくい、攻撃間隔の長い攻撃、いわゆる低周波数の攻撃をより精度良く検出することができる。
【0042】
図8において、「統計の単位時間」は統計データの時間分解能を示しており、上述した統計データの単位時間と一致する。例えば、単位時間が1分である場合、1分間に検出されたイベントで1つの統計データが構成される。離散フーリエ変換の数学的な特性上、2の乗数個の統計データを用いると、最も効率的なフーリエ変換処理を実施することができる。そのため、図8では、32個の統計データを用いて離散フーリエ変換を行うこととしている。
【0043】
また、図8において、「周波数」は、周波数軸上の分布における最大周波数と最小周波数を示している。例えば単位時間が1分である場合、周波数軸上の分布におけるスペクトルの最大周波数は0.00833Hzであり、最小周波数は0Hzである。これらの周波数の間に32個のスペクトルが存在することになる。図8に示されるように複数の単位時間を設けることによって、各単位時間に対応した周期の攻撃を検出するのに適した周波数軸上の分布を得ることができる。例えば、単位時間が1分である場合、生成された周波数軸上の分布は、数分周期の攻撃を検出するのに適している。ログ分析部104は、各単位時間に対応した統計データから、各単位時間に対応した周波数軸上の分布を生成する。
【0044】
上記のような複数の単位時間を設け、各単位時間に対応した周波数軸上の分布を生成する場合、周波数軸上の分布の元となる時間軸上の分布を構成するための、各単位時間の統計データを生成する必要がある。従来の手法では、ログに記録されたイベントを1分単位でまとめ、同様にして同一のログに記録されたイベントを0.5時間単位でまとめ、同様にして同一のログに記録されたイベントを0.5日単位でまとめ、同様にして同一のログに記録されたイベントを0.5ヶ月単位でまとめるという処理を行うことになる(図17参照)。しかし、この手法には、段階的に設定する単位時間の数が多くなればなるほど、処理負荷が高く、効率が悪いという問題がある。
【0045】
そこで、本実施形態では、以下のようにして、各単位時間に対応した統計データを生成する(図9参照)。ログ保存部102は、ログ収集部101から出力されたログ(ログ901)の内容に基づいて、パラメータ毎に1分を単位時間としてイベントをまとめ、統計データ(1)(統計データ902)を複数生成し、記憶部103に格納する(ステップS300)。ログ分析部104は、分析対象とするパラメータについての統計データ(1)を記憶部103から読み出す。1分間に検出されたイベントをまとめた統計データ(1)を1個の統計データとして数えることにすると、ログ分析部104は、連続する単位時間に対応した30個の統計データ(1)(30分のデータに相当)をまとめて、0.5時間を単位時間とする統計データ(2)(統計データ903)を複数生成する(ステップS310)。
【0046】
ログ分析部104は同様にして、連続する単位時間に対応した24個の統計データ(2)(12時間、言い換えると0.5日のデータに相当)をまとめて、0.5日を単位時間とする統計データ(3)(統計データ904)を複数生成する(ステップS320)。さらに、ログ分析部104は同様にして、連続する単位時間に対応した30個の統計データ(3)(15日、言い換えると0.5ヶ月のデータに相当)をまとめて、0.5ヶ月を単位時間とする統計データ(4)(統計データ905)を複数生成する(ステップS330)。
【0047】
上記の統計データ(1)〜(4)と、本発明における第1〜第2の統計データの関係を説明すると、本実施形態の統計データ(1)と統計データ(2)の関係、統計データ(2)と統計データ(3)の関係、および統計データ(3)と統計データ(4)の関係のそれぞれが本発明の第1の統計データと第2の統計データの関係に対応している。また、例えば統計データ(1)から統計データ(3)を生成してもよく、その場合には、統計データ(1)と統計データ(3)の関係が本発明の第1の統計データと第2の統計データの関係に対応している。
【0048】
上述した統計データの生成手法では、第1の統計データをまとめて第2の統計データを生成するので、ログのデータから第2の統計データを生成する手法と比較して、統計データの生成に係る処理負荷を低減し、統計データを効率的に生成することができる。特に、段階的に設定する単位時間の数が多くなればなるほど、統計データの生成に係る処理負荷を低減する効果がより大きくなる。上記の手法の変形例として、記憶部103にログが格納されている場合に、ログ分析部104が統計データ(1)を生成するようにしてもよい。
【0049】
統計データ(1)とは単位時間の異なる統計データ(例えば単位時間が1時間の統計データ)が記憶部103に格納されている場合(ログではなく、その統計データを出力するネットワーク機器があった場合等)、ログ分析部104は以下のようにして統計データをまとめる(図10参照)。ログ分析部104は、統計データ(1)とは単位時間の異なる統計データ(第1の統計データとする)が、所定の条件を満たす統計データであった場合に、統計データ(1)と第1の統計データをまとめ、統計データ(2)(第2の統計データとする)を生成する。
【0050】
まず、ログ分析部104は、第2の統計データの単位時間を第1の統計データの単位時間で割り、その商を求める(ステップS400)。この際、2つの単位時間の単位(分、時間、日等)を揃えた上で割り算が行われる。続いて、ログ分析部104は、ステップS400で求めた商が整数(1を超える整数)であるか否かを判定する(ステップS410)。商が整数であった場合には、ログ分析部104は、第2の統計データを生成する際に第1の統計データを用いると決定する(ステップS420)。一方、商が整数でなかった場合には、ログ分析部104は、他の単位時間の統計データを生成する際に第1の統計データを用いると決定する(ステップS430)。ステップS430の決定が行われた場合、第2の統計データの単位時間を変更して、上記と同じ処理が行われる。
【0051】
図11は、上述した処理によって生成される統計データの様子を示している。図11では、ネットワーク機器Aから、単位時間が1分である統計データ(統計データ1101)が出力され、ネットワーク機器Bから、単位時間が1時間である統計データ(統計データ1102)が出力され、ネットワーク機器Cから、単位時間が0.5日である統計データ(統計データ1103)が出力されたものとしている。
【0052】
統計データ1101(単位時間:1分)と統計データ1104(単位時間0.5時間)の単位時間について、30分(=0.5時間)÷1分=30が成り立つため、上記に従うと、統計データ1101をまとめて統計データ1104を生成することができる。一方、統計データ1102(単位時間:1時間)と統計データ1104(単位時間:0.5時間)の単位時間について、0.5時間÷1時間=0.5が成り立つため、上記に従うと、統計データ1104を生成する際に、統計データ1102を用いることはできない。
【0053】
しかし、統計データ1105(単位時間:0.5日)と統計データ1102(単位時間:1時間)の単位時間について、12時間(=0.5日)÷1時間=12が成り立つため、上記に従うと、統計データ1102をまとめて統計データ1105を生成することができる。また、統計データ1105(単位時間:0.5日)と統計データ1104(単位時間:0.5時間)の単位時間について、12時間(=0.5日)÷0.5時間=24が成り立つため、上記に従うと、統計データ1104をまとめて統計データ1105を生成することができる。
【0054】
したがって、互いに単位時間の長さの異なる統計データ1102と1104をまとめて統計データ1105を生成することができる。同様に、統計データ1103(単位時間:1.0日)を、統計データ1104や1105を生成する際に用いることはできないが、統計データ1105(単位時間:0.5日)と共に、統計データ1106(単位時間:0.5月)を生成する際に用いることはできる。上記のようにして生成された統計データ1101,1104,1105,1106の各々から時間軸上の分布が生成され、各時間軸上の分布が周波数軸上の分布に変換される。
【0055】
上述した統計データの生成手法によれば、互いに単位時間の長さの異なる統計データをまとめて、それらの単位時間よりも単位時間の長い統計データを生成することができる。特に、ネットワーク機器からログではなく統計データが出力された場合でも、その統計データを、ログから生成された統計データとまとめて新たな統計データを生成することができる。
【0056】
再び図5を参照し、周波数軸上の分布が生成された後に、ログ分析部104が行う処理の詳細な内容を説明する。単位時間の長さの等しい統計データから生成された周波数軸上の分布を同一種類の分布と定義すると、図8のように統計データの単位時間を4種類用意した場合には、4種類の分布が生成されることになる。以下の処理は、同一種類の分布を用いた処理であり、ある種類の分布についての処理と同様の処理が、別の種類の分布についても行われる。
【0057】
周波数軸上の分布を生成した後、ログ分析部104は、周波数軸上の分布における特定の周波数帯内のパワーが全周波数帯内のパワーの総和に占める割合(全周波数帯のパワーに対する特定の周波数帯のパワーの含有率)を算出する(図5のステップS220)。異なる時間内に検出されたイベントに基づいた複数の周波数軸上の分布の各々について、同一の周波数帯に関するパワーの含有率が算出される。図12は、各周波数帯のパワーの含有率の時間変化の例を示している。図12に示されるように、全周波数帯に占める周波数帯Aのパワーの割合が時刻t1で急上昇している。このように、ある周波数帯のパワーの含有率が急激に変化したことをネットワークの異常として検出することができるように、ログ分析部104は以下の処理を行う。
【0058】
ログ分析部104は、複数の周波数軸上の分布の各々から算出した特定の周波数帯のパワーの含有率から確率分布を生成し(図5のステップS230)、続いてネットワークの異常度に関する値を算出する。図13は確率分布の例を示している。μは、ステップS230で算出された特定の周波数帯のパワーの含有率の平均であり、σは標準偏差である。横軸は、平均値μからの距離を、標準偏差σを単位として表しており、縦軸は特定の周波数帯のパワーの含有率の出現確率(確率密度)を示している。E1、E2、・・・Ekを、k個の周波数軸上の分布から得られた特定の周波数帯のパワーの含有率とすると、標準偏差σは以下の[数2]で算出される。
【0059】
【数2】
【0060】
ログ分析部104は、以下の[数3]に従って、ネットワークの異常の有無を判定するための判定値Rを算出する。Ek+1は、ネットワークの異常の有無の判定対象となる期間の特定の周波数帯のパワーの含有率である。[数3]において、f(E)は正規分布の密度関数であり、以下の[数4]で表される。上記の例においては、特定の周波数帯のパワーの含有率の分布を正規分布と仮定しているが、f(E)として指数分布やガンマ分布等の関数を適宜選択してもよい。
【0061】
【数3】
【0062】
【数4】
【0063】
判定値Rは、図13における領域1301の面積に相当する。ログ分析部104は、判定値Rが所定値未満(例えば5%)であった場合に、特定の周期性を有する攻撃がネットワーク上に出回り、ネットワークに異常が発生していると判定する。
【0064】
上述したように、パワーの含有率に注目して分析処理を行うことによって、ネットワークの全体的な攻撃頻度の変化による攻撃の誤検知を低減することができる。また、特定の周波数帯のパワーの含有率に基づいて分析処理を行うことによって、異常の発生した周波数帯を特定することができる。
【0065】
特定のネットワークのみのネットワーク機器から出力されたログまたは統計データを用いて上記の分析処理を行った場合には、周期性を有する攻撃がそのネットワークで発生しているか否かを検出することができる。しかし、複数のネットワーク機器から出力されたログまたは統計データを混合して用いて上記の分析処理を行った場合には、特定の周期性を有する攻撃が発生していることを検出することはできるものの、どのネットワークでそのような攻撃が発生しているのかを検出することはできない。そこで、以下のようにして、周期性を有する攻撃の発生しているネットワークを特定できるようにしてもよい。
【0066】
単位時間の長さの等しい統計データから生成された周波数軸上の分布を同一種類の分布と定義すると、図8のように統計データの単位時間を4種類用意した場合には、4種類の分布が生成されることになる。以下の処理は、同一種類の分布を用いた処理であり、ある種類の分布についての処理と同様の処理が、別の種類の分布についても行われる。
【0067】
ログ分析部104は、前述した方法と同様にして、周波数軸上の分布を生成する。ただし、各分布はネットワーク毎に生成される。図14では、ネットワークAに属するネットワーク機器のみから出力されたログまたは統計データから、ネットワークAに係る周波数軸上の分布が生成される。ネットワークB,Cについても同様に、各ネットワークに属するネットワーク機器のみから出力されたログまたは統計データから、各ネットワークに係る周波数軸上の分布が生成される。
【0068】
ログ分析部104は、特定のネットワークに係る周波数軸上の分布における特定の周波数帯(周波数帯Fとする)内のパワーが、そのネットワークを含む複数のネットワークに係る周波数軸上の分布における特定の周波数帯(上記と同じ周波数帯F)内のパワーの総和に占める割合(特定の周波数帯に関する、全ネットワークのパワーに対する特定のネットワークのパワーの含有率)を算出する(図14のステップS500)。例えば、ネットワークAに関する周波数軸上の分布における特定の周波数帯内のパワーをPA、ネットワークBに関する周波数軸上の分布における特定の周波数帯内のパワーをPB、ネットワークCに関する周波数軸上の分布における特定の周波数帯内のパワーをPCとすると、ネットワークAのパワーの含有率Eは以下のように算出される。
E=PA/(PA+PB+PC)
【0069】
また、ネットワークA,B,Cの全体に関する周波数軸上の分布における特定の周波数帯内のパワーをPABCとすると、ネットワークAのパワーの含有率Eを以下のように算出してもよい。
E=PA/PABC
【0070】
上記と同様にして、異なる時間内に検出されたイベントに基づいた複数の周波数軸上の分布の各々について、同一の周波数帯に関する特定のネットワークのパワーの含有率が算出される。図15は、各ネットワークのパワーの含有率の時間変化の例を示している。図15に示されるように、全ネットワークに占めるネットワークAのパワーの割合が時刻t2で急上昇している。このように、あるネットワークのパワーの含有率が急激に変化したことをネットワークの異常として検出することができるように、ログ分析部104は以下の処理を行う。
【0071】
ログ分析部104は、算出した特定のネットワークのパワーの含有率から確率分布(図13と同様)を生成し(図14のステップS510)、続いてネットワークの異常度に関する値を算出する。この際にログ分析部104は、前述した[数3]に従って、ネットワークの異常の有無を判定するための判定値Rを算出する。ログ分析部104は、判定値Rが所定値未満(例えば5%)であった場合に、特定の周期性を有する攻撃が特定のネットワーク上に出回り、そのネットワークに異常が発生していると判定する。上述したように、特定のネットワークのパワーの含有率に基づいて分析処理を行うことによって、異常の発生しているネットワークを特定することができる。
【0072】
次に、注目すべきイベントを選定する手法を説明する。時刻帯の異なる世界各国から取得したログまたは統計データを用いて周波数解析を行うと、雑音成分が大きくなるため、周期性のあるイベントを検出することができない。そこで、処理対象のパラメータに係るイベントの中から、特定の地域に関するイベントを抽出し、そのイベントに係る統計データを用いて分析処理を行えばよい。
【0073】
以下、具体的な処理の例を説明する。記憶部103には、各ネットワーク機器から出力されたログが格納されているものとする。ログ分析部104は記憶部103からログを読み出し、特定のパラメータに関するデータを抽出する。この際にログ分析部104は、Source CountryまたはSource IPに基づいて、ログに記録されたイベントの中から、特定の地域(1ヶ国単位あるいは数ヶ国単位等)に係るイベントを抽出し、そのイベントを対象とした新たな統計データ(本発明の第1の統計データに対応)を生成する。ログ分析部104は、生成した統計データを用いて、前述した処理と同様の処理を行う。
【0074】
また、全てのパラメータを対象として、処理負荷の大きい離散フーリエ変換を含む周波数解析を行うと効率が悪いため、処理対象とするパラメータを絞ることによって、注目すべきイベントの数を減らしてもよい。以下、図16を参照し、具体的な処理の例を説明する。まず、ログ分析部104は、特定のパラメータ(パケット数等)に関する統計データを用いて、前述した処理と同様にして周波数解析を行う(ステップS600)。このとき、そのパラメータに係るイベントのうち、特定の地域に係るイベントを対象として周波数解析を行ってもよい。
【0075】
続いて、ログ分析部104は、ステップS600での周波数解析によって、特定の周波数帯でネットワークの異常が検出されたか否かを判定する(ステップS610)。いずれの周波数帯においてもネットワークの異常が検出されなかった場合には、処理が終了する。また、特定の周波数帯でネットワークの異常が検出された場合には、ログ分析部104は、ステップS600で用いた統計データに記録されているパラメータのうち、頻度の大きなN種類のパラメータを選択する(ステップS620)。続いて、ログ分析部104は、選択した各々のパラメータについて順番に、前述した方法と同じ方法で周波数解析を行う(ステップS630)。
【0076】
上述したように、注目すべきイベントを選定することによって、周波数解析に係る処理の負荷を低減することができる。
【0077】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるログ分析装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0078】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0079】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【図面の簡単な説明】
【0080】
【図1】本発明の一実施形態によるログ分析装置を備えたシステムの構成を示すブロック図である。
【図2】本発明の一実施形態におけるログの分析処理の手順を示すフローチャートである。
【図3】本発明の一実施形態におけるログの内容を示す参考図である。
【図4】本発明の一実施形態における統計データの内容を示す参考図である。
【図5】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図6】本発明の一実施形態における時間軸上の分布を示す参考図である。
【図7】本発明の一実施形態における周波数軸上の分布を示す参考図である。
【図8】本発明の一実施形態における統計データの生成方法を説明するための参考図である。
【図9】本発明の一実施形態における統計データの生成方法を説明するための参考図である。
【図10】本発明の一実施形態における統計データの生成手順を示すフローチャートである。
【図11】本発明の一実施形態における統計データの生成方法を説明するための参考図である。
【図12】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図13】本発明の一実施形態における確率分布を示す参考図である。
【図14】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図15】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図16】本発明の一実施形態におけるログの分析処理の手順を示すフローチャートである。
【図17】従来の統計データの生成方法を説明するための参考図である。
【符号の説明】
【0081】
10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・操作端末
【技術分野】
【0001】
本発明は、IDS(Intrusion Detection System:侵入検知システム)、Router、Firewall、およびトラヒックモニタ等のネットワーク機器から出力されるログの分析を行うログ分析装置に関する。また、本発明は、ログの分析に係る処理をコンピュータに実行させるためのログ分析プログラムや、そのログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体にも関する。
【背景技術】
【0002】
近年、サイバーテロ攻撃に対する脅威が高まっており、各種のネットワーク機器から出力されるログを解析することによって、ネットワークで発生する異常を検知する各種の手法が提案されている。ネットワーク上のトラヒックの増減は、ユーザがPC(Personal Computer)を利用する時間帯や曜日帯に依存しており、攻撃の傾向もおおよそPCの利用頻度と類似している。しかし、近年の攻撃の多くが、潜伏期間や発症・伝播期間を有するウィルスやワームによるものであり、PCの利用頻度以外の周期性で発現するものもある。これらの攻撃の周期性を考慮して、分析対象への攻撃傾向や新たな攻撃の兆候を検出する手法が提案されている(例えば、特許文献1および非特許文献1参照)。
【0003】
特許文献1には、ログに記録されたイベントの頻度に関する統計量の周期性に注目して異常を検知する周波数解析の手法が記載されている。周期性の分析の際には、フーリエ変換を用いて時間軸上での統計量を周波数軸上での成分量(パワー)に変換することによって生成した周波数分布(周波数スペクトル)が使用される。異常の検知には、例えば以下のような手法が用いられている。
・特定の期間のデータ(あるいは、注目ネットワークに関するデータ)から得られた周波数分布内の成分量と、過去の所定期間のデータ(あるいは、他のネットワークに関するデータ)から得られた周波数分布内の成分量との比率を用いて異常度を評価する手法。
・ログの曖昧度を示す情報エントロピーを用いて異常度を評価する手法。
【0004】
非特許文献1にも、特許文献1に記載された手法と同様の手法が記載されている。
【特許文献1】特開2005−151289号公報
【非特許文献1】仲小路博史、寺田真敏,“周波数分析に基づくインシデント傾向検知手法に関する検討”,情報処理学会,研究報告, 2005-CSEC-30,2005年7月,pp.83-88
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来のログの周波数解析では、ログに記録されたイベントを所定の単位時間(例えば、1分や30分、0.5日等)毎にまとめた統計データ(単位時間内のイベントの頻度を示すデータ)を用いてフーリエ変換が行われていた。統計データを複数生成する場合には、ログに記録されたイベントを、指定された単位時間でまとめるという処理を複数回行う必要があった。生成する統計データの数や種類が多くなればなるほど、統計データの生成に係る処理負荷は大きくなる。例えば、単位時間が1分、30分、0.5日の統計データをそれぞれ生成する場合には、ログに記録されたイベントを1分単位でまとめ、同一のイベントを30分単位でまとめ、さらに同一のイベントを0.5日単位でまとめるという処理を順次行う必要があり、非効率的な処理を繰り返す必要があった。本発明は、この点に鑑み、ログに記録されたイベントを所定の単位時間毎にまとめた統計データを効率的に生成することを目的とする。
【0006】
また、周波数分布内の成分量に注目した従来のログの周波数解析では、ネットワークの伸縮工事に伴う全体的な攻撃頻度の変化によって、攻撃の誤検知を生じ易い傾向があるという問題があった。さらに、情報エントロピーに注目した従来の周波数解析の手法では、異常の発生を検知することはできるものの、異常の発生した周波数帯を特定することができないという問題があった。本発明は、この点に鑑み、従来の周波数解析で用いられていた手法以外の手法を提供することも目的とする。
【0007】
また、イベントには雑音成分が多く、未知の攻撃による痕跡がログ中のどのパラメータに記録されるのかが不明であるため、従来のログの周波数解析では全てのパラメータのイベントを対象として処理を行わなければならなかった。例えば、パケットの送信先の機器のIPアドレスを示すDestination Portを解析対象のパラメータとして周波数解析を行う場合、TCP(Transmission Control Protocol)とUDP(User Datagram Protocol)のDestination Portを合わせた12万種類以上のイベントの解析を実行しなければならなかった。したがって、処理の負荷を低減するため、処理対象とするイベントを絞って周波数解析を行うことが望ましい。本発明は、この点に鑑み、注目すべきイベントを選定する手法を提供することも目的とする。
【課題を解決するための手段】
【0008】
本発明は、上記の課題を解決するためになされたもので、ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1の統計データ生成手段と、前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2の統計データ生成手段と、複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第1の周波数分布生成手段と、複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第2の周波数分布生成手段と、前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する算出手段とを備えたことを特徴とするログ分析装置である。
【0009】
また、本発明のログ分析装置において、前記第2の統計データ生成手段は、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする。
【0010】
また、本発明のログ分析装置において、前記算出手段は、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0011】
また、本発明のログ分析装置において、前記算出手段は、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0012】
また、本発明のログ分析装置は、前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出するイベント抽出手段をさらに備え、前記第1の統計データ生成手段は、前記イベント抽出手段によって抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成することを特徴とする。
【0013】
また、本発明のログ分析装置において、前記算出手段によって算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、前記第1の統計データ生成手段はさらに、イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成し、前記第2の統計データ生成手段はさらに、新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成し、前記第1の周波数分布生成手段はさらに、新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成し、前記第2の周波数分布生成手段はさらに、新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成し、前記算出手段は、新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0014】
また、本発明は、ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1のステップと、前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2のステップと、複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第3のステップと、複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第4のステップと、前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する第5のステップとをコンピュータに実行させることを特徴とするログ分析プログラムである。
【0015】
また、本発明のログ分析プログラムにおいて、前記第2のステップでは、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする。
【0016】
また、本発明のログ分析プログラムにおいて、前記第5のステップでは、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0017】
また、本発明のログ分析プログラムにおいて、前記第5のステップでは、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする。
【0018】
また、本発明のログ分析プログラムは、前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出する第6のステップをさらに備え、前記第1のステップでは、前記第6のステップで抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成することを特徴とする。
【0019】
また、本発明のログ分析プログラムにおいて、前記第5のステップで算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成する第7のステップと、新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成する第8のステップと、新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成する第9のステップと、新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成する第10のステップと、新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出する第11のステップとをさらに有することを特徴とする。
【0020】
また、本発明は、上記のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体である。
【発明の効果】
【0021】
本発明によれば、第1の統計データをまとめて第2の統計データを生成するので、統計データの生成に係る処理負荷を低減し、統計データを効率的に生成することができるという効果が得られる。
【0022】
また、本発明は、特定の周波数帯内のスペクトル値の相対的な割合に基づいてログの分析を行う手法を提供している。これによって、ネットワークの全体的な攻撃頻度の変化による攻撃の誤検知を低減することができる。さらに、周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合に基づいてログの分析を行うことによって、異常の発生した周波数帯を特定することができる。さらに、特定のネットワークに係る周波数分布における特定の周波数帯内のスペクトル値が、特定のネットワークを含む複数のネットワークに係る周波数分布における特定の周波数帯内のスペクトル値の総和に占める割合に基づいてログの分析を行うことによって、異常の発生したネットワークを特定することができる。
【0023】
また、本発明は、注目すべきイベントを選定する手法を提供している。これによって、周波数解析に係る処理の負荷を低減することができる。
【発明を実施するための最良の形態】
【0024】
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるログ分析装置を備えたシステムの構成を示している。図において、ログ分析装置10は、分析対象のネットワーク20〜22から出力されるログを収集し、その分析を行う。ネットワーク20〜22はRouter、Firewall、およびIDS等のネットワーク機器を備えており、各ネットワーク機器が生成したログを、syslogd等の通信方式により、ログ分析装置10へ出力する。セキュリティオペレーションセンター30には、ログ分析装置10と通信回線で接続された操作端末301が設けられている。
【0025】
本実施形態によるログ分析装置10は、分析対象のネットワーク20〜22から出力されるログを収集・分析し、分析結果を操作端末301へ出力する。運用者は、操作端末301の表示部に表示される分析結果に基づいて、ネットワーク20〜22の異常度を判断することができる。
【0026】
本発明の実施形態は、図1に示される形態に限定されるものではなく、これ以外の形態に本発明を適用しても構わない。例えば、ログ分析装置10が、表示部を有する他の機器へ分析結果を出力してもよいし、ログ分析装置10に表示部が備えられている場合には、ログ分析装置10が分析結果を表示してもよい。また、ログ分析装置10は、セキュリティオペレーションセンター30と異なる場所に設置された装置であってもよいし、操作端末301を具備するセキュリティオペレーションセンター30内の機器がログ分析装置10の機能を有していてもよい。
【0027】
ログ分析装置10において、ログ収集部101は、ネットワーク20〜22のネットワーク機器から出力されたログを定期的に収集し、ログ保存部102へ出力する。ログ保存部102は、ログに記録された各パラメータに係るイベントの単位時間当たりの頻度を示す統計データ(詳細は後述する)を生成し、記憶部103に保存する。ログ保存部102がログをそのまま記憶部103に保存してもよい。記憶部103はSRAM(Static Random Access Memory)、SDRAM(Synchronous Dynamic Random Access Memory)、フラッシュメモリ、HDD(Hard Disk Drive)等の記録媒体を備えており、ログや、統計データ、ログの分析結果等を記憶する。ログ分析部104は、記憶部103から統計データを読み出し、その分析を行う。インタフェース部105は、ログ分析装置10と操作端末301の間で行われる通信を制御する。
【0028】
次に、本実施形態で分析対象となる主なパラメータについて説明する。以下のパラメータが、分析対象となるパラメータである。
(a)パケット数
(b)トラヒック量
(c)プロトコル量
(d)Port量
(e)Attack Signature
(f)Source/Destination Port
(g)Source/Destination IP
(h)パケットサイズ
(i)フラグ
(j)Source/Destination Country
【0029】
パケット数またはトラヒック量を分析することにより、ネットワークに対する攻撃が発生しているのかどうかを検出することができる。プロトコル量は、TCP/UDP/ICMP(Internet Control Message Protocol)等のプロトコルに係るパケット数(あるいはトラヒック量)を示している。プロトコル量を分析することにより、色々な攻撃を検出することができる。例えば、ICMPに係るPingやTraceroute等のパケットは攻撃前の下調べなので、これらを検出することにより、本格的な攻撃に対して事前に注意を払うことができる。Port量は、TCP/UDP等のプロトコルに係るパケットの送信元/送信先の機器のポート番号別のパケット数(あるいはトラヒック量)を示している。Port量を分析することにより、特定のPortへのアクセスや侵入等を検出することができる。
【0030】
Attack Signatureは攻撃パターンを示している。シグネチャマッチング型のIDSは、ネットワーク上を流れるパケットと、予め用意されたAttack Signatureとを単純に比較して、両者がマッチングした場合にログにイベントを記録する。Attack Signatureには、HTTP port probe、DNS port probe等のイベントがある。このAttack Signatureを分析することにより、分析対象のネットワークに対して行われている攻撃の種類を特定することができる。
【0031】
Source/Destination Portは送信元/送信先の機器のポート番号を示しており、Source/Destination IPは送信元/送信先の機器のIPアドレスを示している。Source/Destination Portを分析することにより、攻撃元/攻撃対象のポート番号を特定することができる。また、Source/Destination IPを分析することにより、攻撃元/攻撃対象のIPアドレスを特定することができる。
【0032】
パケットサイズは、例えば64,128,256,512,768,1024(Byte)で区切られたサイズ毎にログに記録されている。パケットサイズを分析することにより、パケットサイズに特徴のある攻撃を検出することができる。また、パケットに記録されるフラグには、TCP-SYNやICMP-Unreachable等があり、このようなフラグを分析することにより、ウィルス等による攻撃を検出することができる。Source/Destination Countryは送信元/送信先の機器の属する国を示している。Source/Destination Countryを分析することにより、攻撃元/攻撃先の国を特定することができる。
【0033】
次に、本実施形態によるログ分析装置10の動作を説明する。図2はログ分析装置10の動作の手順を示している。ログ収集部101は、ネットワーク20〜22の各機器から出力されるログを収集し、ログ保存部102へ出力する(ステップS100)。ログ保存部102は、ログ収集部101から出力されたログの内容に基づいて統計データを生成し、ログの情報として統計データを記憶部103に保存する(ステップS110)。運用者が操作端末301を操作し、ログの分析指示を入力すると、操作端末301から指示情報が出力される。この指示情報は、インタフェース部105を介してログ分析部104へ入力される。ログ分析部104は、この指示情報に基づいて、ログの情報がまとめられた統計データを記憶部103から読み出す(ステップS120)。
【0034】
ログ分析部104は、読み出した統計データを用いて、後述する分析処理を行い、分析結果を記憶部103に保存する(ステップS130)。続いて、ログ分析部104は、インタフェース部105を介して、分析結果を操作端末301へ出力する(ステップS140)。分析結果は操作端末301の表示部に表示される。運用者は、この分析結果に基づいて、ネットワーク20〜22に対して攻撃が行われているか否か(異常が発生しているか否か)を判断することができる。
【0035】
次に、上記のステップS130でログ分析部104が行う分析処理の詳細な内容を説明する。図3に示されるように、送信元/送信先の機器のIP やPort等が関連付けられたヘッダログの形式のログが各種のネットワーク機器から出力される。ログを構成するデータ(図3の行単位のデータ)がイベントである。バックボーン回線を監視するIDSの場合、一日に数百万〜数千万件のログが出力されることもある。このような大規模なログの量的問題を解決するため、各ログに含まれるイベントの情報は、統計データとして圧縮されて保存される。
【0036】
図4は、ヘッダ部分を除いた統計データの内容を示している。図4に示されるように、パラメータの種類と、パラメータに係るイベントの頻度(検出数)とが関連付けられている。この統計データは、単位時間(図4では1秒間)内に検出された全イベントの情報をまとめたものである。例えば、図4中の「Packet,37260」は、単位時間内に37260個のパケットが検出されたことを示している。ログ保存部102は、各ネットワーク機器から出力されたログから統計データを生成し、記憶部103に格納する。ネットワーク機器の中には、統計データを出力するものがあり、ログ保存部102は、ログ収集部101から統計データが出力された場合には、その統計データをそのまま記憶部103に格納する。
【0037】
ログ分析部104は、保存された統計データを用いて分析処理を行う。ログ分析部104はまず、記憶部103から統計データを読み出し、特定のパラメータに関するデータをその統計データから抽出し、新たな統計データ(本発明の第1の統計データに対応)とする。全パラメータを対象として分析処理を行う場合には、各パラメータについて新たな統計データが生成される。また、ユーザが解析対象のパラメータを指定した場合には、指定されたパラメータについて新たな統計データが生成される。また、後述するように、全パラメータの中から、解析に適したパラメータをログ分析部104が選択し、そのパラメータについて新たな統計データを生成する場合もある。
【0038】
図5は、ログ分析部104による以降の処理の流れを示している。ログ分析部104は、連続した複数の単位時間の各々に対応した統計データの情報をまとめて時間軸上の分布(時間分布)を生成する(図5のステップS200)。図6は時間軸上の分布の一例である。図において、横軸は時間(時刻)を示し、縦軸は、各時間(時刻)における、分析対象のパラメータに係るイベントの頻度(イベント量)を示している。この時間軸上の分布の横軸方向の幅は、統計データの単位時間×統計データの個数であり、この幅を観測窓幅と定義する。
【0039】
続いて、ログ分析部104は、離散フーリエ変換により、時間軸上の分布を周波数軸上の分布(周波数分布、周波数スペクトル)に変換する(図5のステップS210)。時間軸上でn番目の観測点におけるイベント量をe(n)、周波数軸上でk番目の周波数成分量をE(k)とすると(ただし、n,kは自然数)、N個(Nは自然数)の離散時間信号{e(n)},n=0,1,・・・,N−1が与えられたとき、その離散フーリエ変換は以下の[数1]のように表される。なお、離散フーリエ変換を高速で行うFFT(Fast Fourier Transform)を行ってもよい。図7は、図6に示される時間軸上の分布を周波数軸上の分布へ変換した例である。横軸は、各周波数に対応した時間を示しており、縦軸はパワー(スペクトル量)を示している。
【0040】
【数1】
【0041】
抽出したい周波数の分解能をfとすると、統計データを生成する際のサンプリング周波数fsとfの関係はfs=2fで表される。サンプリング周波数fsの逆数であるサンプリング周期は統計データの単位時間に相当する。長周期(低周波)の異常が発生する場合、図7では、グラフの左側の領域でスペクトルが現れるが、この領域の周波数の分解能が低いため、異常の詳細な情報を得ることができない。そこで、長周期の異常も検出できるように、図8に示されるように、統計データの単位時間を複数用意する。このように複数の単位時間を設け、各単位時間の統計データを用いて周波数解析を行うことによって、運用者が主観的に気づきにくい、攻撃間隔の長い攻撃、いわゆる低周波数の攻撃をより精度良く検出することができる。
【0042】
図8において、「統計の単位時間」は統計データの時間分解能を示しており、上述した統計データの単位時間と一致する。例えば、単位時間が1分である場合、1分間に検出されたイベントで1つの統計データが構成される。離散フーリエ変換の数学的な特性上、2の乗数個の統計データを用いると、最も効率的なフーリエ変換処理を実施することができる。そのため、図8では、32個の統計データを用いて離散フーリエ変換を行うこととしている。
【0043】
また、図8において、「周波数」は、周波数軸上の分布における最大周波数と最小周波数を示している。例えば単位時間が1分である場合、周波数軸上の分布におけるスペクトルの最大周波数は0.00833Hzであり、最小周波数は0Hzである。これらの周波数の間に32個のスペクトルが存在することになる。図8に示されるように複数の単位時間を設けることによって、各単位時間に対応した周期の攻撃を検出するのに適した周波数軸上の分布を得ることができる。例えば、単位時間が1分である場合、生成された周波数軸上の分布は、数分周期の攻撃を検出するのに適している。ログ分析部104は、各単位時間に対応した統計データから、各単位時間に対応した周波数軸上の分布を生成する。
【0044】
上記のような複数の単位時間を設け、各単位時間に対応した周波数軸上の分布を生成する場合、周波数軸上の分布の元となる時間軸上の分布を構成するための、各単位時間の統計データを生成する必要がある。従来の手法では、ログに記録されたイベントを1分単位でまとめ、同様にして同一のログに記録されたイベントを0.5時間単位でまとめ、同様にして同一のログに記録されたイベントを0.5日単位でまとめ、同様にして同一のログに記録されたイベントを0.5ヶ月単位でまとめるという処理を行うことになる(図17参照)。しかし、この手法には、段階的に設定する単位時間の数が多くなればなるほど、処理負荷が高く、効率が悪いという問題がある。
【0045】
そこで、本実施形態では、以下のようにして、各単位時間に対応した統計データを生成する(図9参照)。ログ保存部102は、ログ収集部101から出力されたログ(ログ901)の内容に基づいて、パラメータ毎に1分を単位時間としてイベントをまとめ、統計データ(1)(統計データ902)を複数生成し、記憶部103に格納する(ステップS300)。ログ分析部104は、分析対象とするパラメータについての統計データ(1)を記憶部103から読み出す。1分間に検出されたイベントをまとめた統計データ(1)を1個の統計データとして数えることにすると、ログ分析部104は、連続する単位時間に対応した30個の統計データ(1)(30分のデータに相当)をまとめて、0.5時間を単位時間とする統計データ(2)(統計データ903)を複数生成する(ステップS310)。
【0046】
ログ分析部104は同様にして、連続する単位時間に対応した24個の統計データ(2)(12時間、言い換えると0.5日のデータに相当)をまとめて、0.5日を単位時間とする統計データ(3)(統計データ904)を複数生成する(ステップS320)。さらに、ログ分析部104は同様にして、連続する単位時間に対応した30個の統計データ(3)(15日、言い換えると0.5ヶ月のデータに相当)をまとめて、0.5ヶ月を単位時間とする統計データ(4)(統計データ905)を複数生成する(ステップS330)。
【0047】
上記の統計データ(1)〜(4)と、本発明における第1〜第2の統計データの関係を説明すると、本実施形態の統計データ(1)と統計データ(2)の関係、統計データ(2)と統計データ(3)の関係、および統計データ(3)と統計データ(4)の関係のそれぞれが本発明の第1の統計データと第2の統計データの関係に対応している。また、例えば統計データ(1)から統計データ(3)を生成してもよく、その場合には、統計データ(1)と統計データ(3)の関係が本発明の第1の統計データと第2の統計データの関係に対応している。
【0048】
上述した統計データの生成手法では、第1の統計データをまとめて第2の統計データを生成するので、ログのデータから第2の統計データを生成する手法と比較して、統計データの生成に係る処理負荷を低減し、統計データを効率的に生成することができる。特に、段階的に設定する単位時間の数が多くなればなるほど、統計データの生成に係る処理負荷を低減する効果がより大きくなる。上記の手法の変形例として、記憶部103にログが格納されている場合に、ログ分析部104が統計データ(1)を生成するようにしてもよい。
【0049】
統計データ(1)とは単位時間の異なる統計データ(例えば単位時間が1時間の統計データ)が記憶部103に格納されている場合(ログではなく、その統計データを出力するネットワーク機器があった場合等)、ログ分析部104は以下のようにして統計データをまとめる(図10参照)。ログ分析部104は、統計データ(1)とは単位時間の異なる統計データ(第1の統計データとする)が、所定の条件を満たす統計データであった場合に、統計データ(1)と第1の統計データをまとめ、統計データ(2)(第2の統計データとする)を生成する。
【0050】
まず、ログ分析部104は、第2の統計データの単位時間を第1の統計データの単位時間で割り、その商を求める(ステップS400)。この際、2つの単位時間の単位(分、時間、日等)を揃えた上で割り算が行われる。続いて、ログ分析部104は、ステップS400で求めた商が整数(1を超える整数)であるか否かを判定する(ステップS410)。商が整数であった場合には、ログ分析部104は、第2の統計データを生成する際に第1の統計データを用いると決定する(ステップS420)。一方、商が整数でなかった場合には、ログ分析部104は、他の単位時間の統計データを生成する際に第1の統計データを用いると決定する(ステップS430)。ステップS430の決定が行われた場合、第2の統計データの単位時間を変更して、上記と同じ処理が行われる。
【0051】
図11は、上述した処理によって生成される統計データの様子を示している。図11では、ネットワーク機器Aから、単位時間が1分である統計データ(統計データ1101)が出力され、ネットワーク機器Bから、単位時間が1時間である統計データ(統計データ1102)が出力され、ネットワーク機器Cから、単位時間が0.5日である統計データ(統計データ1103)が出力されたものとしている。
【0052】
統計データ1101(単位時間:1分)と統計データ1104(単位時間0.5時間)の単位時間について、30分(=0.5時間)÷1分=30が成り立つため、上記に従うと、統計データ1101をまとめて統計データ1104を生成することができる。一方、統計データ1102(単位時間:1時間)と統計データ1104(単位時間:0.5時間)の単位時間について、0.5時間÷1時間=0.5が成り立つため、上記に従うと、統計データ1104を生成する際に、統計データ1102を用いることはできない。
【0053】
しかし、統計データ1105(単位時間:0.5日)と統計データ1102(単位時間:1時間)の単位時間について、12時間(=0.5日)÷1時間=12が成り立つため、上記に従うと、統計データ1102をまとめて統計データ1105を生成することができる。また、統計データ1105(単位時間:0.5日)と統計データ1104(単位時間:0.5時間)の単位時間について、12時間(=0.5日)÷0.5時間=24が成り立つため、上記に従うと、統計データ1104をまとめて統計データ1105を生成することができる。
【0054】
したがって、互いに単位時間の長さの異なる統計データ1102と1104をまとめて統計データ1105を生成することができる。同様に、統計データ1103(単位時間:1.0日)を、統計データ1104や1105を生成する際に用いることはできないが、統計データ1105(単位時間:0.5日)と共に、統計データ1106(単位時間:0.5月)を生成する際に用いることはできる。上記のようにして生成された統計データ1101,1104,1105,1106の各々から時間軸上の分布が生成され、各時間軸上の分布が周波数軸上の分布に変換される。
【0055】
上述した統計データの生成手法によれば、互いに単位時間の長さの異なる統計データをまとめて、それらの単位時間よりも単位時間の長い統計データを生成することができる。特に、ネットワーク機器からログではなく統計データが出力された場合でも、その統計データを、ログから生成された統計データとまとめて新たな統計データを生成することができる。
【0056】
再び図5を参照し、周波数軸上の分布が生成された後に、ログ分析部104が行う処理の詳細な内容を説明する。単位時間の長さの等しい統計データから生成された周波数軸上の分布を同一種類の分布と定義すると、図8のように統計データの単位時間を4種類用意した場合には、4種類の分布が生成されることになる。以下の処理は、同一種類の分布を用いた処理であり、ある種類の分布についての処理と同様の処理が、別の種類の分布についても行われる。
【0057】
周波数軸上の分布を生成した後、ログ分析部104は、周波数軸上の分布における特定の周波数帯内のパワーが全周波数帯内のパワーの総和に占める割合(全周波数帯のパワーに対する特定の周波数帯のパワーの含有率)を算出する(図5のステップS220)。異なる時間内に検出されたイベントに基づいた複数の周波数軸上の分布の各々について、同一の周波数帯に関するパワーの含有率が算出される。図12は、各周波数帯のパワーの含有率の時間変化の例を示している。図12に示されるように、全周波数帯に占める周波数帯Aのパワーの割合が時刻t1で急上昇している。このように、ある周波数帯のパワーの含有率が急激に変化したことをネットワークの異常として検出することができるように、ログ分析部104は以下の処理を行う。
【0058】
ログ分析部104は、複数の周波数軸上の分布の各々から算出した特定の周波数帯のパワーの含有率から確率分布を生成し(図5のステップS230)、続いてネットワークの異常度に関する値を算出する。図13は確率分布の例を示している。μは、ステップS230で算出された特定の周波数帯のパワーの含有率の平均であり、σは標準偏差である。横軸は、平均値μからの距離を、標準偏差σを単位として表しており、縦軸は特定の周波数帯のパワーの含有率の出現確率(確率密度)を示している。E1、E2、・・・Ekを、k個の周波数軸上の分布から得られた特定の周波数帯のパワーの含有率とすると、標準偏差σは以下の[数2]で算出される。
【0059】
【数2】
【0060】
ログ分析部104は、以下の[数3]に従って、ネットワークの異常の有無を判定するための判定値Rを算出する。Ek+1は、ネットワークの異常の有無の判定対象となる期間の特定の周波数帯のパワーの含有率である。[数3]において、f(E)は正規分布の密度関数であり、以下の[数4]で表される。上記の例においては、特定の周波数帯のパワーの含有率の分布を正規分布と仮定しているが、f(E)として指数分布やガンマ分布等の関数を適宜選択してもよい。
【0061】
【数3】
【0062】
【数4】
【0063】
判定値Rは、図13における領域1301の面積に相当する。ログ分析部104は、判定値Rが所定値未満(例えば5%)であった場合に、特定の周期性を有する攻撃がネットワーク上に出回り、ネットワークに異常が発生していると判定する。
【0064】
上述したように、パワーの含有率に注目して分析処理を行うことによって、ネットワークの全体的な攻撃頻度の変化による攻撃の誤検知を低減することができる。また、特定の周波数帯のパワーの含有率に基づいて分析処理を行うことによって、異常の発生した周波数帯を特定することができる。
【0065】
特定のネットワークのみのネットワーク機器から出力されたログまたは統計データを用いて上記の分析処理を行った場合には、周期性を有する攻撃がそのネットワークで発生しているか否かを検出することができる。しかし、複数のネットワーク機器から出力されたログまたは統計データを混合して用いて上記の分析処理を行った場合には、特定の周期性を有する攻撃が発生していることを検出することはできるものの、どのネットワークでそのような攻撃が発生しているのかを検出することはできない。そこで、以下のようにして、周期性を有する攻撃の発生しているネットワークを特定できるようにしてもよい。
【0066】
単位時間の長さの等しい統計データから生成された周波数軸上の分布を同一種類の分布と定義すると、図8のように統計データの単位時間を4種類用意した場合には、4種類の分布が生成されることになる。以下の処理は、同一種類の分布を用いた処理であり、ある種類の分布についての処理と同様の処理が、別の種類の分布についても行われる。
【0067】
ログ分析部104は、前述した方法と同様にして、周波数軸上の分布を生成する。ただし、各分布はネットワーク毎に生成される。図14では、ネットワークAに属するネットワーク機器のみから出力されたログまたは統計データから、ネットワークAに係る周波数軸上の分布が生成される。ネットワークB,Cについても同様に、各ネットワークに属するネットワーク機器のみから出力されたログまたは統計データから、各ネットワークに係る周波数軸上の分布が生成される。
【0068】
ログ分析部104は、特定のネットワークに係る周波数軸上の分布における特定の周波数帯(周波数帯Fとする)内のパワーが、そのネットワークを含む複数のネットワークに係る周波数軸上の分布における特定の周波数帯(上記と同じ周波数帯F)内のパワーの総和に占める割合(特定の周波数帯に関する、全ネットワークのパワーに対する特定のネットワークのパワーの含有率)を算出する(図14のステップS500)。例えば、ネットワークAに関する周波数軸上の分布における特定の周波数帯内のパワーをPA、ネットワークBに関する周波数軸上の分布における特定の周波数帯内のパワーをPB、ネットワークCに関する周波数軸上の分布における特定の周波数帯内のパワーをPCとすると、ネットワークAのパワーの含有率Eは以下のように算出される。
E=PA/(PA+PB+PC)
【0069】
また、ネットワークA,B,Cの全体に関する周波数軸上の分布における特定の周波数帯内のパワーをPABCとすると、ネットワークAのパワーの含有率Eを以下のように算出してもよい。
E=PA/PABC
【0070】
上記と同様にして、異なる時間内に検出されたイベントに基づいた複数の周波数軸上の分布の各々について、同一の周波数帯に関する特定のネットワークのパワーの含有率が算出される。図15は、各ネットワークのパワーの含有率の時間変化の例を示している。図15に示されるように、全ネットワークに占めるネットワークAのパワーの割合が時刻t2で急上昇している。このように、あるネットワークのパワーの含有率が急激に変化したことをネットワークの異常として検出することができるように、ログ分析部104は以下の処理を行う。
【0071】
ログ分析部104は、算出した特定のネットワークのパワーの含有率から確率分布(図13と同様)を生成し(図14のステップS510)、続いてネットワークの異常度に関する値を算出する。この際にログ分析部104は、前述した[数3]に従って、ネットワークの異常の有無を判定するための判定値Rを算出する。ログ分析部104は、判定値Rが所定値未満(例えば5%)であった場合に、特定の周期性を有する攻撃が特定のネットワーク上に出回り、そのネットワークに異常が発生していると判定する。上述したように、特定のネットワークのパワーの含有率に基づいて分析処理を行うことによって、異常の発生しているネットワークを特定することができる。
【0072】
次に、注目すべきイベントを選定する手法を説明する。時刻帯の異なる世界各国から取得したログまたは統計データを用いて周波数解析を行うと、雑音成分が大きくなるため、周期性のあるイベントを検出することができない。そこで、処理対象のパラメータに係るイベントの中から、特定の地域に関するイベントを抽出し、そのイベントに係る統計データを用いて分析処理を行えばよい。
【0073】
以下、具体的な処理の例を説明する。記憶部103には、各ネットワーク機器から出力されたログが格納されているものとする。ログ分析部104は記憶部103からログを読み出し、特定のパラメータに関するデータを抽出する。この際にログ分析部104は、Source CountryまたはSource IPに基づいて、ログに記録されたイベントの中から、特定の地域(1ヶ国単位あるいは数ヶ国単位等)に係るイベントを抽出し、そのイベントを対象とした新たな統計データ(本発明の第1の統計データに対応)を生成する。ログ分析部104は、生成した統計データを用いて、前述した処理と同様の処理を行う。
【0074】
また、全てのパラメータを対象として、処理負荷の大きい離散フーリエ変換を含む周波数解析を行うと効率が悪いため、処理対象とするパラメータを絞ることによって、注目すべきイベントの数を減らしてもよい。以下、図16を参照し、具体的な処理の例を説明する。まず、ログ分析部104は、特定のパラメータ(パケット数等)に関する統計データを用いて、前述した処理と同様にして周波数解析を行う(ステップS600)。このとき、そのパラメータに係るイベントのうち、特定の地域に係るイベントを対象として周波数解析を行ってもよい。
【0075】
続いて、ログ分析部104は、ステップS600での周波数解析によって、特定の周波数帯でネットワークの異常が検出されたか否かを判定する(ステップS610)。いずれの周波数帯においてもネットワークの異常が検出されなかった場合には、処理が終了する。また、特定の周波数帯でネットワークの異常が検出された場合には、ログ分析部104は、ステップS600で用いた統計データに記録されているパラメータのうち、頻度の大きなN種類のパラメータを選択する(ステップS620)。続いて、ログ分析部104は、選択した各々のパラメータについて順番に、前述した方法と同じ方法で周波数解析を行う(ステップS630)。
【0076】
上述したように、注目すべきイベントを選定することによって、周波数解析に係る処理の負荷を低減することができる。
【0077】
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるログ分析装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
【0078】
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0079】
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【図面の簡単な説明】
【0080】
【図1】本発明の一実施形態によるログ分析装置を備えたシステムの構成を示すブロック図である。
【図2】本発明の一実施形態におけるログの分析処理の手順を示すフローチャートである。
【図3】本発明の一実施形態におけるログの内容を示す参考図である。
【図4】本発明の一実施形態における統計データの内容を示す参考図である。
【図5】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図6】本発明の一実施形態における時間軸上の分布を示す参考図である。
【図7】本発明の一実施形態における周波数軸上の分布を示す参考図である。
【図8】本発明の一実施形態における統計データの生成方法を説明するための参考図である。
【図9】本発明の一実施形態における統計データの生成方法を説明するための参考図である。
【図10】本発明の一実施形態における統計データの生成手順を示すフローチャートである。
【図11】本発明の一実施形態における統計データの生成方法を説明するための参考図である。
【図12】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図13】本発明の一実施形態における確率分布を示す参考図である。
【図14】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図15】本発明の一実施形態におけるログの分析処理を説明するための参考図である。
【図16】本発明の一実施形態におけるログの分析処理の手順を示すフローチャートである。
【図17】従来の統計データの生成方法を説明するための参考図である。
【符号の説明】
【0081】
10・・・ログ分析装置、20,21,22・・・ネットワーク、30・・・セキュリティオペレーションセンター、101・・・ログ収集部、102・・・ログ保存部、103・・・記憶部、104・・・ログ分析部、105・・・インタフェース部、301・・・操作端末
【特許請求の範囲】
【請求項1】
ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1の統計データ生成手段と、
前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2の統計データ生成手段と、
複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第1の周波数分布生成手段と、
複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第2の周波数分布生成手段と、
前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する算出手段と、
を備えたことを特徴とするログ分析装置。
【請求項2】
前記第2の統計データ生成手段は、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする請求項1に記載のログ分析装置。
【請求項3】
前記算出手段は、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項1または請求項2に記載のログ分析装置。
【請求項4】
前記算出手段は、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項1または請求項2に記載のログ分析装置。
【請求項5】
前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出するイベント抽出手段をさらに備え、
前記第1の統計データ生成手段は、前記イベント抽出手段によって抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成する
ことを特徴とする請求項1〜請求項4のいずれかに記載のログ分析装置。
【請求項6】
前記算出手段によって算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、
前記第1の統計データ生成手段はさらに、イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成し、
前記第2の統計データ生成手段はさらに、新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成し、
前記第1の周波数分布生成手段はさらに、新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成し、
前記第2の周波数分布生成手段はさらに、新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成し、
前記算出手段は、新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出する
ことを特徴とする請求項1〜請求項5のいずれかに記載のログ分析装置。
【請求項7】
ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1のステップと、
前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2のステップと、
複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第3のステップと、
複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第4のステップと、
前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する第5のステップと、
をコンピュータに実行させることを特徴とするログ分析プログラム。
【請求項8】
前記第2のステップでは、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする請求項7に記載のログ分析プログラム。
【請求項9】
前記第5のステップでは、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項7または請求項8に記載のログ分析プログラム。
【請求項10】
前記第5のステップでは、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項7または請求項8に記載のログ分析プログラム。
【請求項11】
前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出する第6のステップをさらに備え、
前記第1のステップでは、前記第6のステップで抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成する
ことを特徴とする請求項7〜請求項10のいずれかに記載のログ分析プログラム。
【請求項12】
前記第5のステップで算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、
イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成する第7のステップと、
新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成する第8のステップと、
新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成する第9のステップと、
新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成する第10のステップと、
新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出する第11のステップと、
をさらに有することを特徴とする請求項7〜請求項11のいずれかに記載のログ分析プログラム。
【請求項13】
請求項7〜請求項12のいずれかに記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。
【請求項1】
ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1の統計データ生成手段と、
前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2の統計データ生成手段と、
複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第1の周波数分布生成手段と、
複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第2の周波数分布生成手段と、
前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する算出手段と、
を備えたことを特徴とするログ分析装置。
【請求項2】
前記第2の統計データ生成手段は、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする請求項1に記載のログ分析装置。
【請求項3】
前記算出手段は、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項1または請求項2に記載のログ分析装置。
【請求項4】
前記算出手段は、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項1または請求項2に記載のログ分析装置。
【請求項5】
前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出するイベント抽出手段をさらに備え、
前記第1の統計データ生成手段は、前記イベント抽出手段によって抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成する
ことを特徴とする請求項1〜請求項4のいずれかに記載のログ分析装置。
【請求項6】
前記算出手段によって算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、
前記第1の統計データ生成手段はさらに、イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成し、
前記第2の統計データ生成手段はさらに、新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成し、
前記第1の周波数分布生成手段はさらに、新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成し、
前記第2の周波数分布生成手段はさらに、新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成し、
前記算出手段は、新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出する
ことを特徴とする請求項1〜請求項5のいずれかに記載のログ分析装置。
【請求項7】
ネットワーク機器から出力されたログに記録された特定のパラメータに係るイベントの第1の単位時間当たりの頻度を示す第1の統計データを生成する第1のステップと、
前記第1の単位時間よりも長い第2の単位時間内に検出されたイベントに係る複数の前記第1の統計データをまとめて、前記特定のパラメータに係るイベントの前記第2の単位時間当たりの頻度を示す第2の統計データを生成する第2のステップと、
複数の前記第1の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第1の周波数分布を生成する第3のステップと、
複数の前記第2の統計データで構成される時間軸上の分布を周波数軸上の分布へ変換し、第2の周波数分布を生成する第4のステップと、
前記第1の周波数分布および前記第2の周波数分布に基づいて、ネットワークの異常度に関する値を算出する第5のステップと、
をコンピュータに実行させることを特徴とするログ分析プログラム。
【請求項8】
前記第2のステップでは、前記第2の単位時間を前記第1の単位時間で除した値が整数である場合に、複数の前記第1の統計データをまとめて前記第2の統計データを生成することを特徴とする請求項7に記載のログ分析プログラム。
【請求項9】
前記第5のステップでは、前記第1の周波数分布における特定の周波数帯内のスペクトル値が全周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項7または請求項8に記載のログ分析プログラム。
【請求項10】
前記第5のステップでは、特定のネットワークに係る前記第1の周波数分布における特定の周波数帯内のスペクトル値が、前記特定のネットワークを含む複数のネットワークに係る前記第1の周波数分布における前記特定の周波数帯内のスペクトル値の総和に占める割合を複数の前記第1の周波数分布の各々について算出し、算出した複数の割合の値から得た確率分布を用いて、前記ネットワークの異常度に関する値を算出すると共に、前記第2の周波数分布についても同様にして、前記ネットワークの異常度に関する値を算出することを特徴とする請求項7または請求項8に記載のログ分析プログラム。
【請求項11】
前記ログに記録された特定のパラメータに係るイベントの中から、特定の地域に係るイベントを抽出する第6のステップをさらに備え、
前記第1のステップでは、前記第6のステップで抽出された、前記特定の地域に係る前記イベントを対象とした前記第1の統計データを複数生成する
ことを特徴とする請求項7〜請求項10のいずれかに記載のログ分析プログラム。
【請求項12】
前記第5のステップで算出された前記ネットワークの異常度に関する値がネットワークの異常を示している場合に、
イベントの頻度を基準にして選択したパラメータに係るイベントを対象とした前記第1の統計データを複数生成する第7のステップと、
新たに生成された複数の前記第1の統計データをまとめて前記第2の統計データを複数生成する第8のステップと、
新たに生成された複数の前記第1の統計データから前記第1の周波数分布を生成する第9のステップと、
新たに生成された複数の前記第2の統計データから前記第2の周波数分布を生成する第10のステップと、
新たに生成された前記第1の周波数分布および前記第2の周波数分布に基づいて、前記ネットワークの異常度に関する値を算出する第11のステップと、
をさらに有することを特徴とする請求項7〜請求項11のいずれかに記載のログ分析プログラム。
【請求項13】
請求項7〜請求項12のいずれかに記載のログ分析プログラムを記録したコンピュータ読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2007−243338(P2007−243338A)
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願番号】特願2006−59989(P2006−59989)
【出願日】平成18年3月6日(2006.3.6)
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
【公開日】平成19年9月20日(2007.9.20)
【国際特許分類】
【出願日】平成18年3月6日(2006.3.6)
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
[ Back to top ]