ログ解析装置およびログ解析方法
【課題】専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行う通信の挙動を容易に理解することを可能とする。
【解決手段】入力された通信ログから、通信ログに含まれる通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出し、この複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する。そして、抽出された特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて複数の汎用ログを分類し、この分類された汎用ログに基づいて、汎用ログを分類した特定の特徴量ごとに、通信ログから抽出した複数の特徴量群についてN次元表示(Nは3≦N<Mである整数)を行う。
【解決手段】入力された通信ログから、通信ログに含まれる通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出し、この複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する。そして、抽出された特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて複数の汎用ログを分類し、この分類された汎用ログに基づいて、汎用ログを分類した特定の特徴量ごとに、通信ログから抽出した複数の特徴量群についてN次元表示(Nは3≦N<Mである整数)を行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ログを解析するためのログ解析装置、ログ解析方法およびログ解析プログラムに関する。
【背景技術】
【0002】
従来、通信装置の管理、運用には、通信装置が出力する通信履歴(以下、「通信ログ」と称する)が用いられる。この通信ログには、通信装置と他の機器との間で取り交わされる通信の履歴が記載されており、各通信における、通信元、通信先、通信サービス名、通信開始時間、通信量を含む、各通信の内容を特徴づける情報が記載されている。
通信装置管理者は、このような通信ログを定期的に解析することにより、通信装置の状態を把握する。また、通信装置管理者はこのような通信ログを基に、通信装置の設定変更を計画、実施し、通信装置での効果的な通信を実現する。さらに、通信装置に障害が発生した場合には、通信装置管理者は通信ログを解析し、障害の原因の特定を行う。
【0003】
しかし、通信装置の種類が増大すると、出力される通信ログの種類が増大する(ログ種増大の問題)。
また、通信装置の数の増大、あるいは通信装置が持つ機能の増大により、通信装置から出力される通信ログの量が増大する(ログサイズ増大の問題)。
図11は、通信ログの一例を示す図である。図11に示す通信ログは、コンピュータ・ネットワーク間でのデータ通信の制御を行い、不要なデータ通信の抑制を目的とするファイヤウォール(firewall)の通信ログである。このファイヤウォールの通信ログは、テキスト形式で出力される。例えば、図11に示す通信ログ900では、一つの行が一つの通信の内容を表しており、各通信の内容を特徴づける情報が記載されている。より具体的には、通信ログ900の一つの行には、通信元、通信先、通信サービス名、通信開始時間、および通信量が含まれている。通信装置管理者は、図11に示すような通信ログをエディタで開き、通信の状態が正常かどうかを解析する。
【0004】
しかし、1日に取り交わされる通信件数は数十万件から数百万件以上になり得る。そして、それに伴い、通信ログに出力される行数も数十万行から数百万行になり得る。そのため、人手で通信ログを解析するのは、はなはだ困難であるという問題がある。さらに、通信ログは、通常、テキスト形式で出力されるため、通信装置管理者が解析を行う場合、通信ログの視認性が低く、解析がはなはだ困難であるという問題があった(解析困難の問題)。
【0005】
上述したログ種増大の問題に対しては、出力される通信ログを、あらかじめ用意した所定のフォーマットに変換する方法が提案されている。例えば、特許文献1に記載のログ情報解析方法は、入力されたログ情報から時刻と他の所望のデータを抽出し、あらかじめ用意してある汎用ログフォーマットに従って入力されたログ情報を成形することで汎用ログを作成し、統一されたログ情報の解析処理の実行を可能としている。
【0006】
また、上述した解析困難の問題に対しても、特許文献1では、テキスト形式のログ情報を図形式で表し、2次元表示にて、時系列に俯瞰表示する方法が提案されている。
また、特許文献1では、ログ情報から作成された汎用ログから時刻情報を抽出し、時刻情報を基にログ情報の件数のヒストグラムを時系列に俯瞰表示している。件数のヒストグラムの表示を確認することにより曜日毎、時間毎のログ情報の周期的な動きの把握が容易に行えることを可能としている。
【0007】
また、特許文献1では、ログ情報の文字列の長さに対応した図を用いたアウトライン表示方法を提案している。具体的には、特許文献1では、選択したログ情報の一部について、ログ情報の文字列の長さに対応する抽象化された図形を用いてログ情報のアウトライン表示を行うとともに、ユーザが指定した単語およびタグ情報を出現頻度に応じた色分けでハイライト表示することで、可読性の向上を実現している。
また、特許文献1では、出現頻度の低いログメッセージは不正侵入等を示す可能性が高いとし、テキストマイニング技術を用いてログ情報から、単語の出現頻度を計測し、不正侵入等を判定する方法が提案されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2001−356939号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
特許文献1では、テキスト形式の通信ログを図形式で表し、時系列に俯瞰表示する方法が提案され、上述した解析困難の問題の解決が試みられている。しかし、通信ログの文字列の長さは通信ログの内容を直接表示するものではない。通信ログの文字列の長さの図示から通信全体の動向は把握できるが、通信の内容を反映した挙動を理解することは出来ない。
【0010】
また、特許文献1では、通信ログを2次元で表示しているため、多面的な観点から解析を行うのが困難である。
また、特許文献1では、通信ログ件数のヒストグラム表示方法が提案されているが、ヒストグラム表示方法により件数の推移を理解することは可能だが、通信ログの解析に重要な通信の内容を十分に反映するものではない。効果的な通信ログの解析には、通信ログに記載されている通信の内容を反映する属性を時系列に表示することが有効だが、特許文献1ではこの点については言及がなされていない。
【0011】
また、通信装置管理者にとっては、通信ログに記載の通信が、本来許可されるべき通信なのか、それとも許可されるべき通信ではないのかという、通信内容に応じた通信の許可/不許可の解析およびその結果の表示が重要であるが、特許文献1ではそのような言及はなされていない。
また、特許文献1では、ユーザが指定した単語およびタグ情報を出現頻度に応じた色分け表示を行ってはいるが、出現頻度が少ないということは、その通信が他の通信に比べ特徴的であるという示唆にはなるが、不正侵入を示す可能性が高いというわけではない。不正侵入の頻度が高ければ正常動作の頻度が相対的に低くなり、期待した動作とは逆の動作をする場合もある。また、特徴的な通信を抽出するのならば、出現頻度が高くなっている通信も特定する必要がある。
【0012】
そこで本発明は、上記従来の未解決の問題に着目してなされたものであり、専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行う通信の挙動を容易に理解することを可能とする、ログ解析装置、ログ解析方法およびログ解析プログラムを提供することを目的とする。
【課題を解決するための手段】
【0013】
上記問題を解決するために、本発明は、複数の通信を含む通信ログの入力を受け付ける通信ログ入力手段と、前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出手段と、前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示手段と、を有し、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示手段は、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析装置を提案する。
【0014】
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
また、ログ解析装置は、前記複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する汎用ログ生成手段と、前記特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて前記複数の汎用ログを分類する汎用ログ分類手段と、をさらに有し、前記通信状況表示手段は、前記分類された汎用ログに基づいて、前記特定の特徴量ごとに前記N次元表示を行うようになっていてもよい。
【0015】
また、ログ解析装置は、通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、をさらに有し、前記通信状況表示手段は、前記判定手段における判定結果に基づいて前記N次元表示を行うようになっていてもよい。
この構成によれば、通信ログの中に記載されている通信について、通信が本来許可されるべき通信か、許可されるべき通信ではないのかを一見して、容易に理解することが可能になり、効果的な通信ログの解析を行うことができる。
【0016】
また、ログ解析装置は、通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、前記汎用ログ分類手段にて分類された前記汎用ログを、前記M種類の特徴量のうちの前記特定の特徴量とは異なる特徴量に基づいて分類した後、さらに所定の時間単位で分類する汎用ログ時系列分類手段と、をさらに有し、前記判定手段は、前記汎用ログ時系列分類手段において所定の時間単位で分類された汎用ログ毎に前記判定を行い、前記通信状況表示手段は、その判定結果に基づいて前記N次元表示を行うようになっていてもよい。
この構成によれば、所定の時間単位で、通信が本来許可されるべき通信か、許可されるべき通信ではないのかがN次元表示される。これにより、通信が本来許可されるべき通信か、許可されるべき通信ではないのかについての全体的な傾向を一見して把握することができる。
【0017】
また、前記通信状況表示手段は、さらに、前記通信ログに含まれる各通信の所定の時間単位における通信量にも基づいて前記N次元表示を行うようになっていてもよい。
であってもよい。
この構成によれば、さらに通信件数の推移をも容易に理解することが可能になり、通信全体の中で通信件数の大小が目立つ特徴的な通信が行われている箇所を時間とともに把握することが容易となる。
また、前記特徴量群に含まれる特徴量は、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間であり、前記通信状況表示手段は、通信元IPアドレス毎に、通信先IPアドレス、通信先ポート番号、および通信開始時間について3次元表示を行うようになっていてもよい。
【0018】
また、本発明は、複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップ(例えば、図2のステップS102)と、前記通信ログの前記通信毎に、M種類の特徴量からなる特徴量群を抽出する特徴量抽出ステップ(例えば、図2のステップS104)と、前記複数の特徴量群について、N次元表示を行う通信状況表示ステップ(例えば、図2のステップS110)と、を有し、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析方法を提案する。
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
【0019】
また、本発明は、コンピュータに、複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップ(例えば、図2のステップS102)と、前記通信ログの前記通信毎に、M種類の特徴量からなる特徴量群を抽出する特徴量抽出ステップ(例えば、図2のステップS104)と、前記複数の特徴量群について、N次元表示を行う通信状況表示ステップ(例えば、図2のステップS110)と、を実行させるためのログ解析プログラムであって、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析プログラムを提案する。
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
【発明の効果】
【0020】
本発明によれば、一見して通信の挙動が把握可能であり、専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行っている通信の挙動を容易に理解することが可能となる。
【図面の簡単な説明】
【0021】
【図1】実施形態1にかかるログ解析装置の構成例を示す図である。
【図2】実施形態1にかかるログ解析装置の処理の流れを示すフロー図である。
【図3】実施形態1の通信状況表示部110における表示の具体例を示す図である。
【図4】実施形態2にかかるログ解析装置の構成例を示す図である。
【図5】実施形態2の通信状況表示部110における表示の具体例を示す図である。
【図6】実施形態3にかかるログ解析装置の構成例を示す図である。
【図7】実施形態3にかかるログ解析装置の処理の流れを示すフロー図である。
【図8】実施形態3の通信状況表示部110における表示の具体例を示す図である。
【図9】通信許可不許可判定モデル130を生成する装置の構成例を示す図である。
【図10】通信許可不許可判定部122で出力される通信許可不許可フラッグの性能を表す図である。
【図11】通信ログの一例を示す図である。
【発明を実施するための形態】
【0022】
以下、本発明の実施の形態について、図面を参照しながら説明する。なお、以下の説明において参照する各図では、他の図と同等部分は同一符号によって示す。
(実施形態1)
(ログ解析装置の構成)
図1は、本実施形態にかかるログ解析装置の構成例を示す図である。同図に示すように、ログ解析装置1は、通信ログ入力部102、特徴量抽出部104、汎用ログ生成部106、汎用ログ分類部108、および通信状況表示部110、を備えている。
また、以下に説明する各構成の機能は、ログ解析装置1が備える図示せぬCPU(Central Processing Unit)が、ハードディスクやROM(Read Only Memory)等の記憶装置に記憶されたプログラムを実行することにより実現される機能である。(以下、明細書を通じて同様である。)
【0023】
通信ログ入力部102は、複数の通信を含む通信ログの入力を受け付ける。通信ログが入力される方法としては、外部の装置からネットワークを介して通信ログが受信されるようになっていてもよいし、記録媒体を介して入力される等となっていてもよい。なお、本実施形態においては、通信ログ入力部102において入力を受け付ける通信ログは、ログメッセージ転送のプロトコルであるSyslogの通信ログである。通信ログ入力部102は、具体的には、例えば、図示しないネットワークインタフェース等を介して受信した通信ログをデータベース等の形式でハードディスク等の記憶装置に記憶する。
【0024】
特徴量抽出部104は、通信ログ入力部102で入力を受け付けた通信ログに含まれる通信毎に、M種類の特徴量からなる特徴量群を抽出する。また、特徴量の少なくとも一つは時間に関するものである。特徴量の具体例としては、例えば各通信の通信元IPアドレス、通信先IPアドレス、通信先ポート番号、通信開始時間、等が挙げられる。特徴量抽出部104は、具体的には、例えば、記憶装置にデータベース等の形式にて記憶されている通信ログから、通信毎にM種類の特徴量を抽出するための処理を実行し、この抽出結果をハードディスク等の記憶装置に記憶する。
【0025】
汎用ログ生成部106は、特徴量抽出部104において抽出された複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する。「汎用ログ」とは、具体的には、例えば抽出した複数の特徴量を羅列して記載したものである。汎用ログ生成部106は、具体的には、例えば、記憶装置に記憶されている特徴量抽出部104での抽出結果から汎用ログを生成し、生成した汎用ログをハードディスク等の記憶装置に記憶する。
【0026】
汎用ログ分類部108は、特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて、汎用ログ生成部106で生成された複数の汎用ログを分類する。汎用ログ分類部108は、具体的には、例えば、記憶装置に記憶されている汎用ログを読み出し、特定の特徴量ごとに汎用ログを分類するための処理を実行し、この分類結果をハードディスク等の記憶装置に記憶する。
【0027】
通信状況表示部110は、特徴量抽出部104において抽出した複数の特徴量群について、N次元表示を行う。また、通信状況表示部110は、N次元の少なくとも1次元を時間に関するものとする。また、通信状況表示部110は、汎用ログ分類部108において分類された汎用ログに基づいて、汎用ログ分類部108で汎用ログを分類した特徴量ごとのN次元表示を行う。通信状況表示部110は、具体的には、例えば、汎用ログ分類部108での分類結果を記憶装置から読み出し、この分類結果の内容に応じて、N次元表示出力するための表示用画像データの生成等の処理を実行した後、ディスプレイ等の表示装置に表示出力する。
【0028】
なお、実施形態1〜3においては、M=4、N=3の場合について説明する。
(ログ解析装置の動作)
本実施形態にかかるログ解析装置1の動作について、図2を用いて説明する。図2は、本実施形態にかかるログ解析装置の処理の流れを示すフロー図である。
ファイヤウォール等の通信装置から出力される通信ログであるSyslog100は、通信ログ入力部102を介してログ解析装置1に入力される(ステップS102)。通信ログ入力部102にて受け付けられたSyslog100は、特徴量抽出部104において、各通信における特徴量群として、一通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間の組み合わせが抽出される(ステップS104)。
【0029】
汎用ログ生成部106では、特徴量抽出部104で抽出された複数の特徴量群を用いて所定のフォーマットに従って、一通信毎に一つの汎用ログが生成される(ステップS106)。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数の汎用ログが生成される。生成された複数の汎用ログは、汎用ログ分類部108において通信元IPアドレス毎に分類され、通信元IPアドレス別の汎用ログの集合が生成される(ステップS108)。
【0030】
最後に、通信状況表示部110において、汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログの内容に基づき、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレス別に3次元で表示出力される(ステップS110)。
図3は、通信状況表示部110における表示の具体例を示す図である。図3に示す3次元グラフ200は、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。そして、通信元IPアドレス別の汎用ログに含まれる通信開始時間、通信先IPアドレス、通信先ポート番号の組み合わせ毎に、該当する通信開始時間、通信先IPアドレス、および通信先ポート番号のグラフ200上における交点が一つの点で表示されている。また、図3のグラフ200は、特定の通信元IPアドレスから、IPアドレスAおよびIPアドレスBの二つの通信先IPアドレスへの通信を表している。
【0031】
図3に示すグラフは一つのみであるが、実際には、通信元IPアドレス毎に図3に示すようなグラフが表示される。この場合、通信元IPアドレス毎の複数のグラフは、一括して一つの画面に表示されてもよいし、例えば切替ボタンによってボタンを押下する毎に、画面に順次、表示されるようになっていてもよい。
図3に示すグラフ200によれば、通信開始時間の推移とともに、同一の通信先IPアドレスに対し、通信ポート番号が逐次変化している通信の挙動が容易に理解可能となる。つまり、通信開始時間、通信先ポート番号、および通信先IPアドレスを3次元に表示することで、例えばファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータでも、通信の挙動に何らかの規則性が含まれていることを容易に理解することが可能となる。
【0032】
図3に示されるような様々な通信先ポート番号にアクセスし走査する行為はポートスキャンと呼ばれ、例えばコンピュータウィルスの被害にあったコンピュータに感染したコンピュータウィルスが、自身を他のコンピュータに転送させることで自己拡散させる目的で、他のコンピュータの脆弱性を探索するために用いる手法の一つである。つまり、通信ログに含まれる特徴量である通信元IPアドレスで汎用ログを分類して表示することにより、ログ解析装置1のオペレータは、このようなコンピュータウィルスに感染したコンピュータの独特の動作を素早く把握することができる。
【0033】
(実施形態2)
実施形態2にかかるログ解析装置は、所定の時間単位における通信量を反映した表示を行う点が特徴である。
(ログ解析装置の構成)
図4は、本実施形態にかかるログ解析装置1の構成例を示す図である。本実施形態にかかるログ解析装置1は、実施形態1のログ解析装置と比較して、重みつき通信状況表示部110’を有する点が異なり、それ以外の構成については実施形態1のログ解析装置と同様である。
【0034】
重みつき通信状況表示部110’は、実施形態1の通信状況表示部100の機能に加えて、さらに通信ログに記載されている各通信の所定の時間単位における通信量にも基づいてN次元表示を行う。重みつき通信状況表示部110’は、具体的には、例えば通信開始時間、通信先IPアドレス、および通信先ポート番号で特定されるグラフ上の箇所を、所定の時間単位における通信件数又は通信サイズ等に比例した大きさの点で表示する。これにより、通信の挙動の理解を容易にするだけではなく、通信件数や通信サイズ等の推移の理解が容易になる。
【0035】
図5は、重みつき通信状況表示部110’における表示の具体例を示す図である。図5に示す3次元グラフ300は、図3と同様に、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。図5に示すグラフ300が図3に示すグラフ200と異なる点は、グラフ300上に表示する各点の大きさを、通信開始時間における所定の時間単位内における通信量に比例する大きさとしている点である。
【0036】
図5に示すグラフ300によれば、通信開始時間の推移とともに、通信の挙動だけではなく、例えば、グラフ300上の範囲Aで指し示される部分においては、多量の通信が行われていることを容易に把握することができる。その後、例えばログ解析装置1のオペレータは大量の通信が行われている箇所に対応する通信ログを優先的に解析することで、速やかで効果的な解析が可能になる。
【0037】
(実施形態3)
実施形態3にかかるログ解析装置は、通信ログに含まれる各通信が、許可されるべきものであるか否かを判定し、その判定結果を反映した表示を行う点が特徴である。
(ログ解析装置の構成)
図6は、本実施形態にかかるログ解析装置1の構成例を示す図である。本実施形態にかかるログ解析装置1は、実施形態1のログ解析装置と比較して、汎用ログ時系列分類部120、通信許可不許可判定部122、および通信許可不許可判定モデル保持部124、を有する点が異なり、それ以外の構成については実施形態1のログ解析装置と同様である。
【0038】
通信許可不許可判定モデル保持部124は、通信が許可されるべきものであるか判定するための通信許可不許可判定モデル130を、ハードディスク等の記憶装置に保持する。
汎用ログ時系列分類部120は、汎用ログ分類部108にて分類された汎用ログを、M種類の特徴量のうちの、汎用ログ分類部108で汎用ログを分類した特徴量とは異なる別の特徴量に基づいて分類した後、さらに所定の時間単位で分類する。汎用ログ時系列分類部120は、具体的には、例えば、汎用ログ分類部108での分類結果を記憶装置から読み出し、この分類結果を、汎用ログ分類部108で汎用ログを分類した特徴量とは異なる別の特徴量ごとに分類するための処理を実行し、さらにこの処理結果に対して所定の時間単位で分類する処理を実行する。そして、この処理結果をハードディスク等の記憶装置に記憶する。
【0039】
通信許可不許可判定部122は、通信許可不許可判定モデル保持部124に保持されている通信許可不許可判定モデル130に基づいて、通信ログ入力部102にて受け付けられた通信ログに含まれる通信が許可されるべきものであるか判定する。また、通信許可不許可判定部122は、汎用ログ時系列分類部120において所定の時間単位で分類された汎用ログ毎にこの判定を行う。通信許可不許可判定部122は、具体的には、例えば、ハードディスク等の記憶装置から、通信許可不許可判定モデル130と、汎用ログ時系列分類部120での処理結果とを読み出し、各汎用ログの通信が許可されるべきものか否かを判定する処理を実行し、この判定結果をハードディスク等の記憶装置に記憶する。
また、通信状況表示部110は、通信許可不許可判定部122における判定結果に基づいてN次元表示を行う。
【0040】
(ログ解析装置の動作)
本実施形態にかかるログ解析装置1の動作について、図7を用いて説明する。図7は、本実施形態にかかるログ解析装置の処理の流れを示すフロー図である。
ファイヤウォール等の通信装置から出力される通信ログであるSyslog100は、通信ログ入力部102を介してログ解析装置1に入力される(ステップS202)。通信ログ入力部102にて受け付けられたSyslog100は、特徴量抽出部104において、各通信における特徴量群として、一通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間の組み合わせが抽出される(ステップS204)。
【0041】
汎用ログ生成部106では、特徴量抽出部104で抽出された特徴量群を用いて所定のフォーマットに従って、一通信毎に一つの汎用ログが生成される(ステップS206)。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数の汎用ログが生成される。生成された複数の汎用ログは、汎用ログ分類部108において通信元IPアドレス毎に分類され、通信元IPアドレス別の汎用ログの集合が生成される(ステップS208)。
【0042】
汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログは、汎用ログ時系列分類部120に入力される。汎用ログ時系列分類部120において、入力された通信元IPアドレス別の汎用ログは通信先IPアドレス別に分類されることで、通信元IPアドレスおよび通信先IPアドレス別の汎用ログの集合が生成される(ステップS210)。さらに、集合ごとに、各集合に含まれる複数の汎用ログは通信開始時間順でソートされ、先頭から15分間隔で分類されて、最終的には、通信元IPアドレスおよび通信先IPアドレス毎に、15分単位でまとめられた時系列別の汎用ログの集合が生成される(ステップS212)。
【0043】
このようにして生成された汎用ログの時系列別の集合は、通信許可不許可判定部122に入力され、時系列別の汎用ログの集合ごとに、その集合に含まれる複数の通信全体が、本来許可されるべきものか、許可されるべきではないものかの判定がなされる(ステップS214)。具体的には、あらかじめ用意した通信許可不許可判定モデル130を用いて、機械学習手法の一つであるSVM(サポートベクターマシン)により、各通信の許可、不許可のいずれかを表す通信許可不許可フラッグが出力される。ここでは、各集合に含まれる複数の通信について、ポート番号がどのように変化しているか等のポート番号の動き等を判定要素として、時系列別の汎用ログの集合に対して一つの判定がなされる。
【0044】
ここで、本実施形態では、通信許可不許可判定部122において機械学習手法の一つであるSVMを用いて許可・不許可の判定処理を行っているが、SVMに限ることはなく、判別が可能な手法であればどのような手法であっても構わない。
例えば、SVMを用いなくとも、あらかじめ用意してある通信許可不許可ルールを用いて許可・不許可の判定処理を行っても構わない。具体的には、通信許可不許可ルールには許可もしくは不許可とすべきポート番号の推移の仕方についての記述がなされており、この条件と、時系列別の汎用ログの集合に含まれている通信のポート番号の推移の仕方とを比較することで、許可・不許可の判定処理を行ってもよい。この場合、通信許可不許可モデル130は、すなわち通信許可不許可ルールである。
【0045】
図7に戻り、通信状況表示部110において、汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログの内容に基づき、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレス別に3次元で表示出力される(ステップS216)。また、通信状況表示部110にて表示を行う際に、ステップS214において通信許可不許可判定部122で出力された通信許可不許可フラッグを基に、時系列別の汎用ログの集合に含まれる各通信に該当するグラフ上の点に対し、許可、不許可を異なる色、濃淡などで表現することで、許可、不許可を明確に判別できるように表示する。
【0046】
なお、通信状況表示部110においては、汎用ログ分類部108で生成される通信元IPアドレス別の汎用ログの内容ではなく、汎用ログ時系列分類部120で生成される通信元IPアドレスおよび通信先IPアドレス別の汎用ログの内容に基づいて、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレスおよび通信先IPアドレス毎に3次元で表示出力されてもよい。
【0047】
図8は、通信状況表示部110における表示の具体例を示す図である。図8に示す3次元グラフ400は、汎用ログ時系列分類部120で生成される通信元IPアドレスおよび通信先IPアドレス別の汎用ログの内容に基づいて3次元表示を行った3次元グラフである。3次元グラフ400は、図3と同様に、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。そして、通信元IPアドレスおよび通信先IPアドレス別の汎用ログに含まれる通信開始時間と通信先ポート番号の組み合わせ毎に、該当する通信先IPアドレス、通信開始時間、および通信先ポート番号のグラフ400上における交点が一つの点で表示されている。なお、図8に示すグラフは一つのみであるが、実際には、通信元IPアドレスおよび通信先IPアドレス毎に、図8に示すようなグラフが表示される。
【0048】
また、図8のグラフ400上の範囲Yで指し示される部分は、許可されるべき通信を表している箇所であり、それ以外の部分は、許可されるべきではない通信を表した箇所である。このように、通信の許可、不許可を色などで識別可能とすることで、ファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータであっても、通信装置が行っている通信の挙動を容易に理解することが可能となり、ファイヤウォール等の設定の調整を効果的に実施することが可能になる。
【0049】
(通信許可不許可判定モデル130の生成方法)
なお、通信許可不許可判定モデル130は、以下、説明する方法で作成することができる。図9は、通信許可不許可判定モデル130を生成する装置の構成例を示す図である。
図9に示すように、通信許可不許可判定モデル生成装置は、ログ入力部502、Actionつき特徴量抽出部504、Actionつき汎用ログ生成部506、Actionつき汎用ログ分類部508、Actionつき汎用ログ時系列分類部510、および通信許可不許可判定モデル生成部512、を備えている。
まず、ログ入力部502を介して、通信ログ500が通信許可不許可判定モデル生成装置に入力される。この通信ログ500は、例えばSyslogの通信ログである。通信ログ500は、Actionつき特徴量抽出部504において、Actionつき特徴量として、一つの通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、通信開始時間、およびActionが抽出される。
【0050】
ここで、「Action」とは、通信ログ500を出力したファイヤウォール等の通信装置が、自装置を通過しようとする通信に対し、通過を許可したか否かを示すフラッグであり、通信の通過を許可した場合には“Permit”が、また通信の通過を許可しなかった場合には“Deny”が設定されている。
抽出されたActionつき特徴量は、Actionつき汎用ログ生成部506に入力される。Actionつき汎用ログ生成部506において、Actionつき特徴量を用いて、所定のフォーマットに従って、一通信毎に一つのActionつき汎用ログが生成される。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数のActionつき汎用ログが生成される。
【0051】
生成された複数のActionつき汎用ログは、Actionつき汎用ログ分類部508において通信元IPアドレス毎に分類され、通信元IPアドレス別のActionつき汎用ログの集合が生成される。
Actionつき汎用ログ分類部508で出力された通信元IPアドレス別のActionつき汎用ログは、Actionつき汎用ログ時系列分類部510において、さらに通信先IPアドレス毎に分類され、通信元IPアドレスおよび通信先IPアドレス別のActionつき汎用ログの集合が生成される。さらに、集合ごとに、各集合に含まれる複数のActionつき汎用ログは通信開始時間順にソートされた後、先頭から15分間隔で分類され、最終的には、通信元IPアドレスおよび通信先IPアドレス別に、15分単位でまとめられた時系列別のActionつき汎用ログの集合が生成される。
【0052】
このようにして生成されたActionつき汎用ログの時系列別の集合は、通信許可不許可判定モデル生成部512に入力され、Actionつき汎用ログの時系列別の集合に含まれる複数の通信に記載のAction情報を正解データとして、機械学習手法の一つであるSVMで機械学習され、通信許可不許可判定モデル130が生成される。
図10は、通信許可不許可判定部122で出力される通信許可不許可フラッグの性能を表す図である。図10に示す表600は、あらかじめ本来許可されるべき通信か否かが判明している二つの異なる通信ログ(Syslog10、Syslog20)に対し、二つの異なるモデルを用いて、通信許可不許可判定部122での判定処理を行った場合の正答率を比較する表である。
【0053】
この二つの異なるモデルは、通信許可不許可判定モデル生成部512においてSVMでの学習に用いられる特徴量の通信先ポート番号における値が異なる。一方は、通信先ポート番号の値として通信ポート番号自体(絶対値)を用いて通信許可不許可判定モデル130を生成したものであり、他方は、通信先ポート番号の値として通信ポート番号の変動値(相対値)を用いて通信許可不許可判定モデル130を生成したものである。
【0054】
通信ポート番号の変動値は、Actionつき汎用ログ時系列分類部510において生成されるActionつき汎用ログの時系列別の集合の先頭に記載されている通信の通信ポート番号を0として、細分化Actionつき汎用ログの中に記載されている後続の通信の通信ポート番号を、先頭に記載されている通信の通信ポート番号との差分を示す値で置き換えたものである。
通信ポート番号の変動値(相対値)を用いて生成される通信許可不許可判定モデル130は、通信ポート番号自体(絶対値)を用いて作成される通信許可不許可判定モデル130よりも汎用性が高いモデルである。
【0055】
また、通信ポート番号の変動値(相対値)は、通信ポート番号自体(絶対値)に比べて通信ポート番号自体の情報が欠落している。よって、通信ポート番号の変動値(相対値)を用いて生成された通信許可不許可判定モデル130に基づいて通信許可不許可判定部122での判定処理を行った場合、通信ポート番号自体(絶対値)を用いて生成された通信許可不許可判定モデル130に基づいて通信許可不許可判定部122での判定処理を行う場合に比べて正答率が低くなっている。しかしながら、いずれの通信許可不許可判定モデル130を用いて判定処理を行った場合でも、Syslog1およびSyslog2の双方に対し、97%以上の高い正答率を示していることがわかる。
本実施形態にかかるログ解析装置によれば、通信の許可・不許可が色分けされて表示されるため、ファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータでも、ファイヤウォール等の設定の調整を効果的に実施することが可能になる。
【符号の説明】
【0056】
1 ログ解析装置
100 通信状況表示部
102 通信ログ入力部
104 特徴量抽出部
106 汎用ログ生成部
108 汎用ログ分類部
110 通信状況表示部
110’ 重みつき通信状況表示部
120 汎用ログ時系列分類部
122 通信許可不許可判定部
124 通信許可不許可判定モデル保持部
130 通信許可不許可モデル
200、300、400 3次元グラフ
500 通信ログ
502 ログ入力部
504 Actionつき特徴量抽出部
506 Actionつき汎用ログ生成部
508 Actionつき汎用ログ分類部
510 Actionつき汎用ログ時系列分類部
512 通信許可不許可判定モデル生成部
【技術分野】
【0001】
本発明は、通信ログを解析するためのログ解析装置、ログ解析方法およびログ解析プログラムに関する。
【背景技術】
【0002】
従来、通信装置の管理、運用には、通信装置が出力する通信履歴(以下、「通信ログ」と称する)が用いられる。この通信ログには、通信装置と他の機器との間で取り交わされる通信の履歴が記載されており、各通信における、通信元、通信先、通信サービス名、通信開始時間、通信量を含む、各通信の内容を特徴づける情報が記載されている。
通信装置管理者は、このような通信ログを定期的に解析することにより、通信装置の状態を把握する。また、通信装置管理者はこのような通信ログを基に、通信装置の設定変更を計画、実施し、通信装置での効果的な通信を実現する。さらに、通信装置に障害が発生した場合には、通信装置管理者は通信ログを解析し、障害の原因の特定を行う。
【0003】
しかし、通信装置の種類が増大すると、出力される通信ログの種類が増大する(ログ種増大の問題)。
また、通信装置の数の増大、あるいは通信装置が持つ機能の増大により、通信装置から出力される通信ログの量が増大する(ログサイズ増大の問題)。
図11は、通信ログの一例を示す図である。図11に示す通信ログは、コンピュータ・ネットワーク間でのデータ通信の制御を行い、不要なデータ通信の抑制を目的とするファイヤウォール(firewall)の通信ログである。このファイヤウォールの通信ログは、テキスト形式で出力される。例えば、図11に示す通信ログ900では、一つの行が一つの通信の内容を表しており、各通信の内容を特徴づける情報が記載されている。より具体的には、通信ログ900の一つの行には、通信元、通信先、通信サービス名、通信開始時間、および通信量が含まれている。通信装置管理者は、図11に示すような通信ログをエディタで開き、通信の状態が正常かどうかを解析する。
【0004】
しかし、1日に取り交わされる通信件数は数十万件から数百万件以上になり得る。そして、それに伴い、通信ログに出力される行数も数十万行から数百万行になり得る。そのため、人手で通信ログを解析するのは、はなはだ困難であるという問題がある。さらに、通信ログは、通常、テキスト形式で出力されるため、通信装置管理者が解析を行う場合、通信ログの視認性が低く、解析がはなはだ困難であるという問題があった(解析困難の問題)。
【0005】
上述したログ種増大の問題に対しては、出力される通信ログを、あらかじめ用意した所定のフォーマットに変換する方法が提案されている。例えば、特許文献1に記載のログ情報解析方法は、入力されたログ情報から時刻と他の所望のデータを抽出し、あらかじめ用意してある汎用ログフォーマットに従って入力されたログ情報を成形することで汎用ログを作成し、統一されたログ情報の解析処理の実行を可能としている。
【0006】
また、上述した解析困難の問題に対しても、特許文献1では、テキスト形式のログ情報を図形式で表し、2次元表示にて、時系列に俯瞰表示する方法が提案されている。
また、特許文献1では、ログ情報から作成された汎用ログから時刻情報を抽出し、時刻情報を基にログ情報の件数のヒストグラムを時系列に俯瞰表示している。件数のヒストグラムの表示を確認することにより曜日毎、時間毎のログ情報の周期的な動きの把握が容易に行えることを可能としている。
【0007】
また、特許文献1では、ログ情報の文字列の長さに対応した図を用いたアウトライン表示方法を提案している。具体的には、特許文献1では、選択したログ情報の一部について、ログ情報の文字列の長さに対応する抽象化された図形を用いてログ情報のアウトライン表示を行うとともに、ユーザが指定した単語およびタグ情報を出現頻度に応じた色分けでハイライト表示することで、可読性の向上を実現している。
また、特許文献1では、出現頻度の低いログメッセージは不正侵入等を示す可能性が高いとし、テキストマイニング技術を用いてログ情報から、単語の出現頻度を計測し、不正侵入等を判定する方法が提案されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2001−356939号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
特許文献1では、テキスト形式の通信ログを図形式で表し、時系列に俯瞰表示する方法が提案され、上述した解析困難の問題の解決が試みられている。しかし、通信ログの文字列の長さは通信ログの内容を直接表示するものではない。通信ログの文字列の長さの図示から通信全体の動向は把握できるが、通信の内容を反映した挙動を理解することは出来ない。
【0010】
また、特許文献1では、通信ログを2次元で表示しているため、多面的な観点から解析を行うのが困難である。
また、特許文献1では、通信ログ件数のヒストグラム表示方法が提案されているが、ヒストグラム表示方法により件数の推移を理解することは可能だが、通信ログの解析に重要な通信の内容を十分に反映するものではない。効果的な通信ログの解析には、通信ログに記載されている通信の内容を反映する属性を時系列に表示することが有効だが、特許文献1ではこの点については言及がなされていない。
【0011】
また、通信装置管理者にとっては、通信ログに記載の通信が、本来許可されるべき通信なのか、それとも許可されるべき通信ではないのかという、通信内容に応じた通信の許可/不許可の解析およびその結果の表示が重要であるが、特許文献1ではそのような言及はなされていない。
また、特許文献1では、ユーザが指定した単語およびタグ情報を出現頻度に応じた色分け表示を行ってはいるが、出現頻度が少ないということは、その通信が他の通信に比べ特徴的であるという示唆にはなるが、不正侵入を示す可能性が高いというわけではない。不正侵入の頻度が高ければ正常動作の頻度が相対的に低くなり、期待した動作とは逆の動作をする場合もある。また、特徴的な通信を抽出するのならば、出現頻度が高くなっている通信も特定する必要がある。
【0012】
そこで本発明は、上記従来の未解決の問題に着目してなされたものであり、専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行う通信の挙動を容易に理解することを可能とする、ログ解析装置、ログ解析方法およびログ解析プログラムを提供することを目的とする。
【課題を解決するための手段】
【0013】
上記問題を解決するために、本発明は、複数の通信を含む通信ログの入力を受け付ける通信ログ入力手段と、前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出手段と、前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示手段と、を有し、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示手段は、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析装置を提案する。
【0014】
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
また、ログ解析装置は、前記複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する汎用ログ生成手段と、前記特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて前記複数の汎用ログを分類する汎用ログ分類手段と、をさらに有し、前記通信状況表示手段は、前記分類された汎用ログに基づいて、前記特定の特徴量ごとに前記N次元表示を行うようになっていてもよい。
【0015】
また、ログ解析装置は、通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、をさらに有し、前記通信状況表示手段は、前記判定手段における判定結果に基づいて前記N次元表示を行うようになっていてもよい。
この構成によれば、通信ログの中に記載されている通信について、通信が本来許可されるべき通信か、許可されるべき通信ではないのかを一見して、容易に理解することが可能になり、効果的な通信ログの解析を行うことができる。
【0016】
また、ログ解析装置は、通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、前記汎用ログ分類手段にて分類された前記汎用ログを、前記M種類の特徴量のうちの前記特定の特徴量とは異なる特徴量に基づいて分類した後、さらに所定の時間単位で分類する汎用ログ時系列分類手段と、をさらに有し、前記判定手段は、前記汎用ログ時系列分類手段において所定の時間単位で分類された汎用ログ毎に前記判定を行い、前記通信状況表示手段は、その判定結果に基づいて前記N次元表示を行うようになっていてもよい。
この構成によれば、所定の時間単位で、通信が本来許可されるべき通信か、許可されるべき通信ではないのかがN次元表示される。これにより、通信が本来許可されるべき通信か、許可されるべき通信ではないのかについての全体的な傾向を一見して把握することができる。
【0017】
また、前記通信状況表示手段は、さらに、前記通信ログに含まれる各通信の所定の時間単位における通信量にも基づいて前記N次元表示を行うようになっていてもよい。
であってもよい。
この構成によれば、さらに通信件数の推移をも容易に理解することが可能になり、通信全体の中で通信件数の大小が目立つ特徴的な通信が行われている箇所を時間とともに把握することが容易となる。
また、前記特徴量群に含まれる特徴量は、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間であり、前記通信状況表示手段は、通信元IPアドレス毎に、通信先IPアドレス、通信先ポート番号、および通信開始時間について3次元表示を行うようになっていてもよい。
【0018】
また、本発明は、複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップ(例えば、図2のステップS102)と、前記通信ログの前記通信毎に、M種類の特徴量からなる特徴量群を抽出する特徴量抽出ステップ(例えば、図2のステップS104)と、前記複数の特徴量群について、N次元表示を行う通信状況表示ステップ(例えば、図2のステップS110)と、を有し、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析方法を提案する。
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
【0019】
また、本発明は、コンピュータに、複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップ(例えば、図2のステップS102)と、前記通信ログの前記通信毎に、M種類の特徴量からなる特徴量群を抽出する特徴量抽出ステップ(例えば、図2のステップS104)と、前記複数の特徴量群について、N次元表示を行う通信状況表示ステップ(例えば、図2のステップS110)と、を実行させるためのログ解析プログラムであって、前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析プログラムを提案する。
この構成によれば、通信の内容を具体的に表す特徴量を基に通信状況を表示するので、通信の内容を反映した挙動を一見して、容易に理解することが可能となる。また、通信の内容をN次元表示することで、多面的な観点から通信の状況を把握することが可能となる。
【発明の効果】
【0020】
本発明によれば、一見して通信の挙動が把握可能であり、専門知識を持たないオペレータ等であっても、通信装置が生成する大量の通信ログから通信装置が行っている通信の挙動を容易に理解することが可能となる。
【図面の簡単な説明】
【0021】
【図1】実施形態1にかかるログ解析装置の構成例を示す図である。
【図2】実施形態1にかかるログ解析装置の処理の流れを示すフロー図である。
【図3】実施形態1の通信状況表示部110における表示の具体例を示す図である。
【図4】実施形態2にかかるログ解析装置の構成例を示す図である。
【図5】実施形態2の通信状況表示部110における表示の具体例を示す図である。
【図6】実施形態3にかかるログ解析装置の構成例を示す図である。
【図7】実施形態3にかかるログ解析装置の処理の流れを示すフロー図である。
【図8】実施形態3の通信状況表示部110における表示の具体例を示す図である。
【図9】通信許可不許可判定モデル130を生成する装置の構成例を示す図である。
【図10】通信許可不許可判定部122で出力される通信許可不許可フラッグの性能を表す図である。
【図11】通信ログの一例を示す図である。
【発明を実施するための形態】
【0022】
以下、本発明の実施の形態について、図面を参照しながら説明する。なお、以下の説明において参照する各図では、他の図と同等部分は同一符号によって示す。
(実施形態1)
(ログ解析装置の構成)
図1は、本実施形態にかかるログ解析装置の構成例を示す図である。同図に示すように、ログ解析装置1は、通信ログ入力部102、特徴量抽出部104、汎用ログ生成部106、汎用ログ分類部108、および通信状況表示部110、を備えている。
また、以下に説明する各構成の機能は、ログ解析装置1が備える図示せぬCPU(Central Processing Unit)が、ハードディスクやROM(Read Only Memory)等の記憶装置に記憶されたプログラムを実行することにより実現される機能である。(以下、明細書を通じて同様である。)
【0023】
通信ログ入力部102は、複数の通信を含む通信ログの入力を受け付ける。通信ログが入力される方法としては、外部の装置からネットワークを介して通信ログが受信されるようになっていてもよいし、記録媒体を介して入力される等となっていてもよい。なお、本実施形態においては、通信ログ入力部102において入力を受け付ける通信ログは、ログメッセージ転送のプロトコルであるSyslogの通信ログである。通信ログ入力部102は、具体的には、例えば、図示しないネットワークインタフェース等を介して受信した通信ログをデータベース等の形式でハードディスク等の記憶装置に記憶する。
【0024】
特徴量抽出部104は、通信ログ入力部102で入力を受け付けた通信ログに含まれる通信毎に、M種類の特徴量からなる特徴量群を抽出する。また、特徴量の少なくとも一つは時間に関するものである。特徴量の具体例としては、例えば各通信の通信元IPアドレス、通信先IPアドレス、通信先ポート番号、通信開始時間、等が挙げられる。特徴量抽出部104は、具体的には、例えば、記憶装置にデータベース等の形式にて記憶されている通信ログから、通信毎にM種類の特徴量を抽出するための処理を実行し、この抽出結果をハードディスク等の記憶装置に記憶する。
【0025】
汎用ログ生成部106は、特徴量抽出部104において抽出された複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する。「汎用ログ」とは、具体的には、例えば抽出した複数の特徴量を羅列して記載したものである。汎用ログ生成部106は、具体的には、例えば、記憶装置に記憶されている特徴量抽出部104での抽出結果から汎用ログを生成し、生成した汎用ログをハードディスク等の記憶装置に記憶する。
【0026】
汎用ログ分類部108は、特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて、汎用ログ生成部106で生成された複数の汎用ログを分類する。汎用ログ分類部108は、具体的には、例えば、記憶装置に記憶されている汎用ログを読み出し、特定の特徴量ごとに汎用ログを分類するための処理を実行し、この分類結果をハードディスク等の記憶装置に記憶する。
【0027】
通信状況表示部110は、特徴量抽出部104において抽出した複数の特徴量群について、N次元表示を行う。また、通信状況表示部110は、N次元の少なくとも1次元を時間に関するものとする。また、通信状況表示部110は、汎用ログ分類部108において分類された汎用ログに基づいて、汎用ログ分類部108で汎用ログを分類した特徴量ごとのN次元表示を行う。通信状況表示部110は、具体的には、例えば、汎用ログ分類部108での分類結果を記憶装置から読み出し、この分類結果の内容に応じて、N次元表示出力するための表示用画像データの生成等の処理を実行した後、ディスプレイ等の表示装置に表示出力する。
【0028】
なお、実施形態1〜3においては、M=4、N=3の場合について説明する。
(ログ解析装置の動作)
本実施形態にかかるログ解析装置1の動作について、図2を用いて説明する。図2は、本実施形態にかかるログ解析装置の処理の流れを示すフロー図である。
ファイヤウォール等の通信装置から出力される通信ログであるSyslog100は、通信ログ入力部102を介してログ解析装置1に入力される(ステップS102)。通信ログ入力部102にて受け付けられたSyslog100は、特徴量抽出部104において、各通信における特徴量群として、一通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間の組み合わせが抽出される(ステップS104)。
【0029】
汎用ログ生成部106では、特徴量抽出部104で抽出された複数の特徴量群を用いて所定のフォーマットに従って、一通信毎に一つの汎用ログが生成される(ステップS106)。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数の汎用ログが生成される。生成された複数の汎用ログは、汎用ログ分類部108において通信元IPアドレス毎に分類され、通信元IPアドレス別の汎用ログの集合が生成される(ステップS108)。
【0030】
最後に、通信状況表示部110において、汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログの内容に基づき、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレス別に3次元で表示出力される(ステップS110)。
図3は、通信状況表示部110における表示の具体例を示す図である。図3に示す3次元グラフ200は、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。そして、通信元IPアドレス別の汎用ログに含まれる通信開始時間、通信先IPアドレス、通信先ポート番号の組み合わせ毎に、該当する通信開始時間、通信先IPアドレス、および通信先ポート番号のグラフ200上における交点が一つの点で表示されている。また、図3のグラフ200は、特定の通信元IPアドレスから、IPアドレスAおよびIPアドレスBの二つの通信先IPアドレスへの通信を表している。
【0031】
図3に示すグラフは一つのみであるが、実際には、通信元IPアドレス毎に図3に示すようなグラフが表示される。この場合、通信元IPアドレス毎の複数のグラフは、一括して一つの画面に表示されてもよいし、例えば切替ボタンによってボタンを押下する毎に、画面に順次、表示されるようになっていてもよい。
図3に示すグラフ200によれば、通信開始時間の推移とともに、同一の通信先IPアドレスに対し、通信ポート番号が逐次変化している通信の挙動が容易に理解可能となる。つまり、通信開始時間、通信先ポート番号、および通信先IPアドレスを3次元に表示することで、例えばファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータでも、通信の挙動に何らかの規則性が含まれていることを容易に理解することが可能となる。
【0032】
図3に示されるような様々な通信先ポート番号にアクセスし走査する行為はポートスキャンと呼ばれ、例えばコンピュータウィルスの被害にあったコンピュータに感染したコンピュータウィルスが、自身を他のコンピュータに転送させることで自己拡散させる目的で、他のコンピュータの脆弱性を探索するために用いる手法の一つである。つまり、通信ログに含まれる特徴量である通信元IPアドレスで汎用ログを分類して表示することにより、ログ解析装置1のオペレータは、このようなコンピュータウィルスに感染したコンピュータの独特の動作を素早く把握することができる。
【0033】
(実施形態2)
実施形態2にかかるログ解析装置は、所定の時間単位における通信量を反映した表示を行う点が特徴である。
(ログ解析装置の構成)
図4は、本実施形態にかかるログ解析装置1の構成例を示す図である。本実施形態にかかるログ解析装置1は、実施形態1のログ解析装置と比較して、重みつき通信状況表示部110’を有する点が異なり、それ以外の構成については実施形態1のログ解析装置と同様である。
【0034】
重みつき通信状況表示部110’は、実施形態1の通信状況表示部100の機能に加えて、さらに通信ログに記載されている各通信の所定の時間単位における通信量にも基づいてN次元表示を行う。重みつき通信状況表示部110’は、具体的には、例えば通信開始時間、通信先IPアドレス、および通信先ポート番号で特定されるグラフ上の箇所を、所定の時間単位における通信件数又は通信サイズ等に比例した大きさの点で表示する。これにより、通信の挙動の理解を容易にするだけではなく、通信件数や通信サイズ等の推移の理解が容易になる。
【0035】
図5は、重みつき通信状況表示部110’における表示の具体例を示す図である。図5に示す3次元グラフ300は、図3と同様に、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。図5に示すグラフ300が図3に示すグラフ200と異なる点は、グラフ300上に表示する各点の大きさを、通信開始時間における所定の時間単位内における通信量に比例する大きさとしている点である。
【0036】
図5に示すグラフ300によれば、通信開始時間の推移とともに、通信の挙動だけではなく、例えば、グラフ300上の範囲Aで指し示される部分においては、多量の通信が行われていることを容易に把握することができる。その後、例えばログ解析装置1のオペレータは大量の通信が行われている箇所に対応する通信ログを優先的に解析することで、速やかで効果的な解析が可能になる。
【0037】
(実施形態3)
実施形態3にかかるログ解析装置は、通信ログに含まれる各通信が、許可されるべきものであるか否かを判定し、その判定結果を反映した表示を行う点が特徴である。
(ログ解析装置の構成)
図6は、本実施形態にかかるログ解析装置1の構成例を示す図である。本実施形態にかかるログ解析装置1は、実施形態1のログ解析装置と比較して、汎用ログ時系列分類部120、通信許可不許可判定部122、および通信許可不許可判定モデル保持部124、を有する点が異なり、それ以外の構成については実施形態1のログ解析装置と同様である。
【0038】
通信許可不許可判定モデル保持部124は、通信が許可されるべきものであるか判定するための通信許可不許可判定モデル130を、ハードディスク等の記憶装置に保持する。
汎用ログ時系列分類部120は、汎用ログ分類部108にて分類された汎用ログを、M種類の特徴量のうちの、汎用ログ分類部108で汎用ログを分類した特徴量とは異なる別の特徴量に基づいて分類した後、さらに所定の時間単位で分類する。汎用ログ時系列分類部120は、具体的には、例えば、汎用ログ分類部108での分類結果を記憶装置から読み出し、この分類結果を、汎用ログ分類部108で汎用ログを分類した特徴量とは異なる別の特徴量ごとに分類するための処理を実行し、さらにこの処理結果に対して所定の時間単位で分類する処理を実行する。そして、この処理結果をハードディスク等の記憶装置に記憶する。
【0039】
通信許可不許可判定部122は、通信許可不許可判定モデル保持部124に保持されている通信許可不許可判定モデル130に基づいて、通信ログ入力部102にて受け付けられた通信ログに含まれる通信が許可されるべきものであるか判定する。また、通信許可不許可判定部122は、汎用ログ時系列分類部120において所定の時間単位で分類された汎用ログ毎にこの判定を行う。通信許可不許可判定部122は、具体的には、例えば、ハードディスク等の記憶装置から、通信許可不許可判定モデル130と、汎用ログ時系列分類部120での処理結果とを読み出し、各汎用ログの通信が許可されるべきものか否かを判定する処理を実行し、この判定結果をハードディスク等の記憶装置に記憶する。
また、通信状況表示部110は、通信許可不許可判定部122における判定結果に基づいてN次元表示を行う。
【0040】
(ログ解析装置の動作)
本実施形態にかかるログ解析装置1の動作について、図7を用いて説明する。図7は、本実施形態にかかるログ解析装置の処理の流れを示すフロー図である。
ファイヤウォール等の通信装置から出力される通信ログであるSyslog100は、通信ログ入力部102を介してログ解析装置1に入力される(ステップS202)。通信ログ入力部102にて受け付けられたSyslog100は、特徴量抽出部104において、各通信における特徴量群として、一通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間の組み合わせが抽出される(ステップS204)。
【0041】
汎用ログ生成部106では、特徴量抽出部104で抽出された特徴量群を用いて所定のフォーマットに従って、一通信毎に一つの汎用ログが生成される(ステップS206)。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数の汎用ログが生成される。生成された複数の汎用ログは、汎用ログ分類部108において通信元IPアドレス毎に分類され、通信元IPアドレス別の汎用ログの集合が生成される(ステップS208)。
【0042】
汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログは、汎用ログ時系列分類部120に入力される。汎用ログ時系列分類部120において、入力された通信元IPアドレス別の汎用ログは通信先IPアドレス別に分類されることで、通信元IPアドレスおよび通信先IPアドレス別の汎用ログの集合が生成される(ステップS210)。さらに、集合ごとに、各集合に含まれる複数の汎用ログは通信開始時間順でソートされ、先頭から15分間隔で分類されて、最終的には、通信元IPアドレスおよび通信先IPアドレス毎に、15分単位でまとめられた時系列別の汎用ログの集合が生成される(ステップS212)。
【0043】
このようにして生成された汎用ログの時系列別の集合は、通信許可不許可判定部122に入力され、時系列別の汎用ログの集合ごとに、その集合に含まれる複数の通信全体が、本来許可されるべきものか、許可されるべきではないものかの判定がなされる(ステップS214)。具体的には、あらかじめ用意した通信許可不許可判定モデル130を用いて、機械学習手法の一つであるSVM(サポートベクターマシン)により、各通信の許可、不許可のいずれかを表す通信許可不許可フラッグが出力される。ここでは、各集合に含まれる複数の通信について、ポート番号がどのように変化しているか等のポート番号の動き等を判定要素として、時系列別の汎用ログの集合に対して一つの判定がなされる。
【0044】
ここで、本実施形態では、通信許可不許可判定部122において機械学習手法の一つであるSVMを用いて許可・不許可の判定処理を行っているが、SVMに限ることはなく、判別が可能な手法であればどのような手法であっても構わない。
例えば、SVMを用いなくとも、あらかじめ用意してある通信許可不許可ルールを用いて許可・不許可の判定処理を行っても構わない。具体的には、通信許可不許可ルールには許可もしくは不許可とすべきポート番号の推移の仕方についての記述がなされており、この条件と、時系列別の汎用ログの集合に含まれている通信のポート番号の推移の仕方とを比較することで、許可・不許可の判定処理を行ってもよい。この場合、通信許可不許可モデル130は、すなわち通信許可不許可ルールである。
【0045】
図7に戻り、通信状況表示部110において、汎用ログ分類部108で出力された通信元IPアドレス別の汎用ログの内容に基づき、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレス別に3次元で表示出力される(ステップS216)。また、通信状況表示部110にて表示を行う際に、ステップS214において通信許可不許可判定部122で出力された通信許可不許可フラッグを基に、時系列別の汎用ログの集合に含まれる各通信に該当するグラフ上の点に対し、許可、不許可を異なる色、濃淡などで表現することで、許可、不許可を明確に判別できるように表示する。
【0046】
なお、通信状況表示部110においては、汎用ログ分類部108で生成される通信元IPアドレス別の汎用ログの内容ではなく、汎用ログ時系列分類部120で生成される通信元IPアドレスおよび通信先IPアドレス別の汎用ログの内容に基づいて、通信開始時間、通信先IPアドレス、および通信先ポート番号を用いて、通信元IPアドレスおよび通信先IPアドレス毎に3次元で表示出力されてもよい。
【0047】
図8は、通信状況表示部110における表示の具体例を示す図である。図8に示す3次元グラフ400は、汎用ログ時系列分類部120で生成される通信元IPアドレスおよび通信先IPアドレス別の汎用ログの内容に基づいて3次元表示を行った3次元グラフである。3次元グラフ400は、図3と同様に、X軸方向が通信開始時間を、Y軸方向が通信先IPアドレスを、Z軸方向が通信先ポート番号を示す。そして、通信元IPアドレスおよび通信先IPアドレス別の汎用ログに含まれる通信開始時間と通信先ポート番号の組み合わせ毎に、該当する通信先IPアドレス、通信開始時間、および通信先ポート番号のグラフ400上における交点が一つの点で表示されている。なお、図8に示すグラフは一つのみであるが、実際には、通信元IPアドレスおよび通信先IPアドレス毎に、図8に示すようなグラフが表示される。
【0048】
また、図8のグラフ400上の範囲Yで指し示される部分は、許可されるべき通信を表している箇所であり、それ以外の部分は、許可されるべきではない通信を表した箇所である。このように、通信の許可、不許可を色などで識別可能とすることで、ファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータであっても、通信装置が行っている通信の挙動を容易に理解することが可能となり、ファイヤウォール等の設定の調整を効果的に実施することが可能になる。
【0049】
(通信許可不許可判定モデル130の生成方法)
なお、通信許可不許可判定モデル130は、以下、説明する方法で作成することができる。図9は、通信許可不許可判定モデル130を生成する装置の構成例を示す図である。
図9に示すように、通信許可不許可判定モデル生成装置は、ログ入力部502、Actionつき特徴量抽出部504、Actionつき汎用ログ生成部506、Actionつき汎用ログ分類部508、Actionつき汎用ログ時系列分類部510、および通信許可不許可判定モデル生成部512、を備えている。
まず、ログ入力部502を介して、通信ログ500が通信許可不許可判定モデル生成装置に入力される。この通信ログ500は、例えばSyslogの通信ログである。通信ログ500は、Actionつき特徴量抽出部504において、Actionつき特徴量として、一つの通信毎に、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、通信開始時間、およびActionが抽出される。
【0050】
ここで、「Action」とは、通信ログ500を出力したファイヤウォール等の通信装置が、自装置を通過しようとする通信に対し、通過を許可したか否かを示すフラッグであり、通信の通過を許可した場合には“Permit”が、また通信の通過を許可しなかった場合には“Deny”が設定されている。
抽出されたActionつき特徴量は、Actionつき汎用ログ生成部506に入力される。Actionつき汎用ログ生成部506において、Actionつき特徴量を用いて、所定のフォーマットに従って、一通信毎に一つのActionつき汎用ログが生成される。すなわち、ここでは通信ログに含まれている複数の通信に対応した複数のActionつき汎用ログが生成される。
【0051】
生成された複数のActionつき汎用ログは、Actionつき汎用ログ分類部508において通信元IPアドレス毎に分類され、通信元IPアドレス別のActionつき汎用ログの集合が生成される。
Actionつき汎用ログ分類部508で出力された通信元IPアドレス別のActionつき汎用ログは、Actionつき汎用ログ時系列分類部510において、さらに通信先IPアドレス毎に分類され、通信元IPアドレスおよび通信先IPアドレス別のActionつき汎用ログの集合が生成される。さらに、集合ごとに、各集合に含まれる複数のActionつき汎用ログは通信開始時間順にソートされた後、先頭から15分間隔で分類され、最終的には、通信元IPアドレスおよび通信先IPアドレス別に、15分単位でまとめられた時系列別のActionつき汎用ログの集合が生成される。
【0052】
このようにして生成されたActionつき汎用ログの時系列別の集合は、通信許可不許可判定モデル生成部512に入力され、Actionつき汎用ログの時系列別の集合に含まれる複数の通信に記載のAction情報を正解データとして、機械学習手法の一つであるSVMで機械学習され、通信許可不許可判定モデル130が生成される。
図10は、通信許可不許可判定部122で出力される通信許可不許可フラッグの性能を表す図である。図10に示す表600は、あらかじめ本来許可されるべき通信か否かが判明している二つの異なる通信ログ(Syslog10、Syslog20)に対し、二つの異なるモデルを用いて、通信許可不許可判定部122での判定処理を行った場合の正答率を比較する表である。
【0053】
この二つの異なるモデルは、通信許可不許可判定モデル生成部512においてSVMでの学習に用いられる特徴量の通信先ポート番号における値が異なる。一方は、通信先ポート番号の値として通信ポート番号自体(絶対値)を用いて通信許可不許可判定モデル130を生成したものであり、他方は、通信先ポート番号の値として通信ポート番号の変動値(相対値)を用いて通信許可不許可判定モデル130を生成したものである。
【0054】
通信ポート番号の変動値は、Actionつき汎用ログ時系列分類部510において生成されるActionつき汎用ログの時系列別の集合の先頭に記載されている通信の通信ポート番号を0として、細分化Actionつき汎用ログの中に記載されている後続の通信の通信ポート番号を、先頭に記載されている通信の通信ポート番号との差分を示す値で置き換えたものである。
通信ポート番号の変動値(相対値)を用いて生成される通信許可不許可判定モデル130は、通信ポート番号自体(絶対値)を用いて作成される通信許可不許可判定モデル130よりも汎用性が高いモデルである。
【0055】
また、通信ポート番号の変動値(相対値)は、通信ポート番号自体(絶対値)に比べて通信ポート番号自体の情報が欠落している。よって、通信ポート番号の変動値(相対値)を用いて生成された通信許可不許可判定モデル130に基づいて通信許可不許可判定部122での判定処理を行った場合、通信ポート番号自体(絶対値)を用いて生成された通信許可不許可判定モデル130に基づいて通信許可不許可判定部122での判定処理を行う場合に比べて正答率が低くなっている。しかしながら、いずれの通信許可不許可判定モデル130を用いて判定処理を行った場合でも、Syslog1およびSyslog2の双方に対し、97%以上の高い正答率を示していることがわかる。
本実施形態にかかるログ解析装置によれば、通信の許可・不許可が色分けされて表示されるため、ファイヤウォール等やネットワーク通信に関する専門知識を持たないオペレータでも、ファイヤウォール等の設定の調整を効果的に実施することが可能になる。
【符号の説明】
【0056】
1 ログ解析装置
100 通信状況表示部
102 通信ログ入力部
104 特徴量抽出部
106 汎用ログ生成部
108 汎用ログ分類部
110 通信状況表示部
110’ 重みつき通信状況表示部
120 汎用ログ時系列分類部
122 通信許可不許可判定部
124 通信許可不許可判定モデル保持部
130 通信許可不許可モデル
200、300、400 3次元グラフ
500 通信ログ
502 ログ入力部
504 Actionつき特徴量抽出部
506 Actionつき汎用ログ生成部
508 Actionつき汎用ログ分類部
510 Actionつき汎用ログ時系列分類部
512 通信許可不許可判定モデル生成部
【特許請求の範囲】
【請求項1】
複数の通信を含む通信ログの入力を受け付ける通信ログ入力手段と、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出手段と、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示手段と、
を有し、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示手段は、前記N次元の少なくとも1次元を時間に関するものとした
ことを特徴とするログ解析装置。
【請求項2】
前記複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する汎用ログ生成手段と、
前記特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて前記複数の汎用ログを分類する汎用ログ分類手段と、
をさらに有し、
前記通信状況表示手段は、前記分類された汎用ログに基づいて、前記特定の特徴量ごとに前記N次元表示を行うことを特徴とする請求項1に記載のログ解析装置。
【請求項3】
通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、
前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、
をさらに有し、
前記通信状況表示手段は、前記判定手段における判定結果に基づいて前記N次元表示を行うことを特徴とする請求項1又は2に記載のログ解析装置。
【請求項4】
通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、
前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、
前記汎用ログ分類手段にて分類された前記汎用ログを、前記M種類の特徴量のうちの前記特定の特徴量とは異なる特徴量に基づいて分類した後、さらに所定の時間単位で分類する汎用ログ時系列分類手段と、
をさらに有し、
前記判定手段は、前記汎用ログ時系列分類手段において所定の時間単位で分類された汎用ログ毎に前記判定を行い、
前記通信状況表示手段は、その判定結果に基づいて前記N次元表示を行う
ことを特徴とする請求項2に記載のログ解析装置。
【請求項5】
前記通信状況表示手段は、さらに、前記通信ログに含まれる各通信の所定の時間単位における通信量にも基づいて前記N次元表示を行うことを特徴とする請求項1から4のいずれか一項に記載のログ解析装置。
【請求項6】
前記特徴量群に含まれる特徴量は、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間であり、
前記通信状況表示手段は、通信元IPアドレス毎に、通信先IPアドレス、通信先ポート番号、および通信開始時間について3次元表示を行うことを特徴とする請求項1から5のいずれか一項に記載のログ解析装置。
【請求項7】
複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップと、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出ステップと、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示ステップと、
を有し、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析方法。
【請求項8】
コンピュータに、
複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップと、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出ステップと、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示ステップと、
を実行させるためのログ解析プログラムであって、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析プログラム。
【請求項1】
複数の通信を含む通信ログの入力を受け付ける通信ログ入力手段と、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出手段と、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示手段と、
を有し、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示手段は、前記N次元の少なくとも1次元を時間に関するものとした
ことを特徴とするログ解析装置。
【請求項2】
前記複数の特徴量群について、所定のフォーマットに基づく汎用ログを生成する汎用ログ生成手段と、
前記特徴量群に含まれるM種類の特徴量のうちの特定の特徴量に基づいて前記複数の汎用ログを分類する汎用ログ分類手段と、
をさらに有し、
前記通信状況表示手段は、前記分類された汎用ログに基づいて、前記特定の特徴量ごとに前記N次元表示を行うことを特徴とする請求項1に記載のログ解析装置。
【請求項3】
通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、
前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、
をさらに有し、
前記通信状況表示手段は、前記判定手段における判定結果に基づいて前記N次元表示を行うことを特徴とする請求項1又は2に記載のログ解析装置。
【請求項4】
通信が許可されるべきものであるか判定するための判定モデルを保持する判定モデル保持手段と、
前記判定モデルに基づいて、前記通信ログに含まれる通信が許可されるべきものであるか判定する判定手段と、
前記汎用ログ分類手段にて分類された前記汎用ログを、前記M種類の特徴量のうちの前記特定の特徴量とは異なる特徴量に基づいて分類した後、さらに所定の時間単位で分類する汎用ログ時系列分類手段と、
をさらに有し、
前記判定手段は、前記汎用ログ時系列分類手段において所定の時間単位で分類された汎用ログ毎に前記判定を行い、
前記通信状況表示手段は、その判定結果に基づいて前記N次元表示を行う
ことを特徴とする請求項2に記載のログ解析装置。
【請求項5】
前記通信状況表示手段は、さらに、前記通信ログに含まれる各通信の所定の時間単位における通信量にも基づいて前記N次元表示を行うことを特徴とする請求項1から4のいずれか一項に記載のログ解析装置。
【請求項6】
前記特徴量群に含まれる特徴量は、通信元IPアドレス、通信先IPアドレス、通信先ポート番号、および通信開始時間であり、
前記通信状況表示手段は、通信元IPアドレス毎に、通信先IPアドレス、通信先ポート番号、および通信開始時間について3次元表示を行うことを特徴とする請求項1から5のいずれか一項に記載のログ解析装置。
【請求項7】
複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップと、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出ステップと、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示ステップと、
を有し、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析方法。
【請求項8】
コンピュータに、
複数の通信を含む通信ログの入力を受け付ける通信ログ入力ステップと、
前記通信ログの前記通信毎に、M種類(Mは4以上の整数)の特徴量からなる特徴量群を抽出する特徴量抽出ステップと、
前記複数の特徴量群について、N次元表示(Nは3≦N<Mである整数)を行う通信状況表示ステップと、
を実行させるためのログ解析プログラムであって、
前記特徴量群に含まれる特徴量の少なくとも一つは時間に関するものであり、
前記通信状況表示ステップは、前記N次元の少なくとも1次元を時間に関するものとしたことを特徴とするログ解析プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2011−166476(P2011−166476A)
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2010−27356(P2010−27356)
【出願日】平成22年2月10日(2010.2.10)
【出願人】(000000033)旭化成株式会社 (901)
【Fターム(参考)】
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成22年2月10日(2010.2.10)
【出願人】(000000033)旭化成株式会社 (901)
【Fターム(参考)】
[ Back to top ]