JP2002318734A - 通信ログ処理方法及びシステム - Google Patents

通信ログ処理方法及びシステム

Info

Publication number
JP2002318734A
JP2002318734A JP2001120308A JP2001120308A JP2002318734A JP 2002318734 A JP2002318734 A JP 2002318734A JP 2001120308 A JP2001120308 A JP 2001120308A JP 2001120308 A JP2001120308 A JP 2001120308A JP 2002318734 A JP2002318734 A JP 2002318734A
Authority
JP
Japan
Prior art keywords
log
communication
analysis target
communication log
logs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001120308A
Other languages
English (en)
Inventor
Hiroki Abe
ひろき 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
TEAMGIA KK
Original Assignee
TEAMGIA KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TEAMGIA KK filed Critical TEAMGIA KK
Priority to JP2001120308A priority Critical patent/JP2002318734A/ja
Priority to PCT/JP2002/003879 priority patent/WO2002088976A1/ja
Priority to TW091107953A priority patent/TWI226984B/zh
Publication of JP2002318734A publication Critical patent/JP2002318734A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 セキュリティ管理者に高度な知識や経験を要
求することなく不正アクセス等を発見することができる
ログ処理方法及びシステムを提供する。 【解決手段】 (a)複数の通信ログを記録可能なアプ
リケーションが出力した各分析対象ログファイルを、必
要な場合所定のフォーマットに変換処理する工程と、
(b)前記所定のフォーマットに変換された複数の分析
対象ログを統合する工程と、(c)統合された後のログ
を分析することで不正アクセスの有無を判断する工程と
を有する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、通信サーバで記
録された通信ログを分析するための通信ログ処理方法及
びそのシステム等に関するものであり、特に、複数のロ
グ出力が可能なアプリケーションから出力された通信ロ
グを統一的に分析できる方法等に関するものである。
【0002】
【従来の技術】最近、クラッカー等により企業や官公庁
のネットワークやサーバが攻撃されるという事件が多発
している。このことにより、ネットワークセキュリティ
の強化に注目が集まっている。ネットワークセキュリテ
ィを強化するには、まず、ネットワークのセキュリティ
を監視・分析する必要がある。ネットワークセキュリテ
ィの監視には、ネットワークを構成するサーバ等の装置
の通信ログを記録し分析することが有効である。
【0003】この通信ログは、サーバ等の通信履歴が記
録されたものであり、これを分析することで、このサー
バに起こった全ての事象が検出できる。例えば、外部か
ら前記サーバに対して不自然なアクセスがあったことに
基づいて不正アクセスがあったことを検知できる。従っ
て、これに応じて何らかの対策を立てることで、ネット
ワークのセキュリティを強化することができる。
【0004】
【発明が解決しようとする課題】しかしながら、通常サ
ーバから出力されるログは、コンピュータのOSや使用
されているアプリケーションによってそれぞれ異なった
フォーマットで記録されており、多種多様である。ま
た、その量があまりにも膨大であるため、内容をチェッ
クすることができないかチェックするための時間が確保
できないという、システム管理上問題のある状態でネッ
トワークが運用されているのが一般的である。
【0005】また、ネットワークに対して攻撃を仕掛け
るクラッカーは、自己のネットワーク進入の形跡を消去
するために前記ログを改竄若しくは削除することもあ
り、この場合には、このような不正アクセスを発見する
ことは極めて困難である。
【0006】この発明は、このような事情に鑑みてなさ
れたものであり、セキュリティ管理者に高度な知識や経
験を要求することなく不正アクセス等を発見することが
できるログ処理方法及びシステムを提供することを目的
とする。
【0007】
【課題を解決するための手段】上記課題を解決するた
め、この発明の第1の主要な観点によれば、(a)複数
の通信ログを記録可能なアプリケーションが出力した各
分析対象ログファイルを、必要な場合所定のフォーマッ
トに変換処理する工程と、(b)前記所定のフォーマッ
トに変換された複数の分析対象ログを統合する工程と、
(c)統合された後のログを分析することで不正アクセ
スの有無を判断する工程とを有することを特徴とする通
信ログ処理方法が提供される。
【0008】このような構成によれば、複数のログファ
イルのフォーマットを、ログファイル毎に定められた方
法で統一し、それらを統合することで、単独のログファ
イルでは判別することができない不正アクセスを検出す
ることが可能になる。
【0009】ここで、この発明の1の実施態様によれ
ば、前記複数の分析対象ログファイルは、同一システム
について記録されたものであることが好ましい。また、
この場合、この方法はさらに、(d)前記(a)工程若
しくは(b)工程の前に前記複数の分析対象ログ間の整
合性を判別し、その判別結果を出力する工程を有するこ
とが好ましい。
【0010】このような構成によれば、同一システム
(ミラーリングサーバ含む)についてのログを複数のロ
グファイルに記録してなるものを対象とした場合に、こ
れらを統合することで、当該システムにおけるイベント
が不正アクセスを含むものであるかを判別することがで
きる。また、複数のファイル間の整合性を判別すること
で、一部のファイルが改竄等されたことを検出すること
ができる。
【0011】また、この発明の別の1実施態様によれ
ば、前記(a)工程は、前記分析対象ログファイルを出
力したアプリケーション毎に予め用意された変換手順を
利用して、前記分析対象ログファイルを所定のフォーマ
ットに変換する工程を有するものである。また、この方
法は、前記アプリケーション毎に予め用意された変換手
順を、所定のタイミングで更新する工程をさらに有する
ことが好ましい。
【0012】分析対象ログファイル毎に予め用意された
手順を利用することで、ログの分析を効率的に行うこと
が可能になる。また、この手順を適宜更新することで、
ログ分析の精度を向上させることが可能になる。
【0013】更なる別の1の実施態様によれば、(e)
前記(a)工程若しくは(b)工程の前に、前記分析対
象ログから、同一セッションに属する行を分類する工程
をさらに有する。この場合、前記(e)工程は、分析対
象ログ中、その属するセッションが判別できる行に基づ
いて、その属するセッションが判別できない行がどのセ
ッションに属するかを判別するものであることが好まし
い。
【0014】このような構成によれば、一見、どのセッ
ションに属するか不明の行であっても、適切なセッショ
ンに分類することが可能になる。したがって、後のログ
分析を効率的かつ効果的に行える効果がある。
【0015】更なる別の1実施態様によれば、前記
(b)工程は、前記複数の分析対象ログを同一セッショ
ン毎に統合するものである。この場合、前記(c)工程
は、前記同一セッション毎に統合された分析対象ログ毎
に、不正アクセスの有無を判別するものである。この場
合、前記(c)工程は、前記セッション毎に、不正アク
セスの可能性を色分けして表示するものであることが望
ましい。
【0016】このような構成によれば、ログ統合時に各
ログをセッション毎に纏めることで、不正アクセスの判
別を効果的に行え、その結果の表示が容易になる。
【0017】また、この発明の第2の主要な観点によれ
ば、(a)複数の通信ログを記録可能なアプリケーショ
ンが出力した各分析対象ログファイルを、必要な場合所
定のフォーマットに変換処理する手段と、(b)前記所
定のフォーマットに変換された複数の分析対象ログを統
合する手段と、(c)統合された後のログを分析するこ
とで不正アクセスの有無を判断する手段とを有すること
を特徴とする通信ログ処理システムが提供される。
【0018】このような構成によれば、前記第1の観点
に係る方法を実行することができるシステムを得ること
ができる。
【0019】さらに、この発明の第3の主要な観点によ
れば、コンピュータシステムにインストールされたオペ
レーションシステムと協働して通信ログの分析処理を行
うコンピュータソフトウェアプログラム製品であって、
記憶媒体と、(a)この記憶媒体に格納され、複数の通
信ログを記録可能なアプリケーションが出力した各分析
対象ログファイルを、必要な場合所定のフォーマットに
変換処理する手段と、(b)前記記憶媒体に格納され、
前記所定のフォーマットに変換された複数の分析対象ロ
グを統合する手段と、(c)前記記憶媒体に格納され、
統合された後のログを分析することで不正アクセスの有
無を判断する手段とを有することを特徴とするコンピュ
ータソフトウェアプログラム製品が提供される。
【0020】このような構成によれば、上記第1の主要
な観点にかかる方法と同様の効果を得ることができる。
【0021】なお、この発明の他の特徴と顕著な効果は
次の発明の実施形態の項及び添付した図面を参照するこ
とによって、より明確に理解される。
【0022】
【発明の実施の形態】以下、本発明の実施の形態を図面
に基づき説明する。
【0023】まず、図1中、1で示すのがこの実施形態
のログ分析システム、2で示すのは監視対象のサーバで
ある。この実施形態のログ分析システム1は、例えばク
ラッカーからの不正アクセスを発見するために、前記サ
ーバ2が出力した通信ログをオンラインで受け取って分
析する機能を奏するものである。
【0024】すなわち、前記サーバ2では、各種サーバ
アプリケーション3の通信処理を、ログ記録プログラム
4を利用して記録・出力するようになっている。そし
て、同じくこのサーバ2にインストールされたログ転送
プログラム5が、前記通信ログをLAN、公衆回線その
他の通信網を通じて前記ログ分析システム1にリアルタ
イムで転送する。このログ分析システム1は、受け取っ
た通信ログを、このログ分析システム1に設けられた分
析対象ログ格納部7に格納するようになっている。
【0025】前記ログ分析システム1では、所定のタイ
ミングで前記分析対象ログ格納部7に格納された通信ロ
グを取り出して分析することで、不正アクセスの有無を
探索する(図1に8で示す工程)。そして、その分析結
果を例えば一覧形式で出力する(図1に9で示す工程)
ようになっている。
【0026】また、この発明のログ分析システム1は、
多種多様な通信ログを統合処理することを特徴とするも
のである。これに対応するため、この実施形態のサーバ
2では、同一のイベントを複数のログファイルに記録し
て、このログ分析システム1に転送するようになってい
る。図2(a)、(b)は、このような通信ログの記録
方法の例を示したものである。
【0027】すなわち、この場合、前記サーバ2は、図
2(a)に示すように、同一イベントについての複数の
サーバアプリケーションA、Bの通信ログを、複数のロ
グ記録プログラム4A、4Bを利用して異なる通信ログ
ファイルA、Bに記録しても良いし、図2(b)に示す
ように、複数のアプリケーションA、Bの通信ログを、
単一のログ記録プログラム4Aを利用して異なる通信ロ
グファイルA、Bに記録しても良い。
【0028】この場合、前記複数のログファイルは、異
なるファシリティ毎に用意されるものであることが好ま
しい。例えば、この実施形態では、同一のイベントにつ
いて各ファシリティ毎の通信ログを「/var/log/ファシ
リティ名.log」に記録する。また、この実施形態では、
上記各ファシリティ毎の通信ログファイルとの参照整合
用に、同一イベントについての全てのファシリティの通
信ログを1つのファイル「/var/log/all.log」にも記録
する。
【0029】次に、図3を参照して、この実施形態のロ
グ分析システム1について説明する。
【0030】このシステムは、この図3に示すように、
CPU11、RAM12、通信デバイス13、その他の
入出力デバイス14等が接続されてなるバス15に、プ
ログラム格納部16及びデータ格納部17が接続されて
なる。
【0031】データ格納部17には、前記分析対象ログ
格納部7の他、この分析システムで実行する分析の諸条
件を格納する分析条件格納部19と、フォーマットが統
一された後のログを格納する統一ログ格納部21と、統
合された分析対象ログを格納する統合済み分析対象ログ
格納部22と、ログの分析結果を格納する分析結果格納
部23とが設けられている。
【0032】なお、前記分析条件格納部19には、本出
願の出願人等のセキュリティ業者が提供する更新済みデ
フォルト分析条件ファイル24aと、このデフォルト分
析条件ファイルに基づいてこのシステムの利用者が設定
した利用者設定分析条件ファイル24bとが格納されて
いる。
【0033】また、プログラム格納部16には、この発
明にのみ関係するものを挙げると、前記分析の諸条件を
設定するための分析条件設定部25と、前記分析対象ロ
グファイルを相互に比較若しくは結合可能なように所定
の統一フォーマットに変換処理して前記統一ログ格納部
21に格納するログフォーマット変換処理部26と、複
数の分析対象ログ間の整合性を判別する整合性判別部2
7と、前記所定のフォーマットに変換された複数の分析
対象ログを統合するログ統合処理部28と、前記統合さ
れた分析対象ログから同一ファシリティに属する行を区
分するログ区分処理部29と、前記区分された分析対象
ログを分析することで不正アクセスの有無を判断するロ
グ分析処理部30と、このログ分析処理部30による分
析結果を前記分析設定に反映させるための分析結果反映
処理部36とを有する。
【0034】なお、ログ統合処理部28は、分析対象ロ
グ中、セッションが判別できない行について、分類可能
な行に基づいて、どのセッションに分類されるかを判別
するセッション判別部31を有する。
【0035】また、ログ分析処理部30は、接続IPア
ドレスに基づいて不正アクセスを判断する接続IP分析
部33と、接続時間に基づいて不正アクセスを判断する
接続時間分析部34と、前記ログを予め用意した接続パ
ターンと比較することで不正アクセスの有無を判断する
パターン分析部35とを有する。
【0036】これらの構成要素は、実際にはコンピュー
タシステムの記憶媒体に確保された一定の領域及びこの
領域にインストールされたプログラムであり、前記CP
U11によってRAM12上に呼び出されて実行される
ことで、OS(オペレーションシステム)と協働してこ
の発明の機能を奏するようになっている。
【0037】以下、上記構成要素の機能及び動作をこの
システムの処理手順と共に説明する。
【0038】図3は、この分析システム1による概略の
処理手順を示したものである。
【0039】この図に示すように、この分析システム1
を利用した通信ログの分析は、例えば、ウィザード形式
によって行われる。ウィザードを開始すると(ステップ
S1)、まず、前記分析条件設定部25がステップS2
〜S6で分析条件の設定を行わせる。この分析条件の設
定は、分析ポリシーの設定(ステップS2)、許可IP
及び拒否IPの設定(ステップS3)、パターン設定
(ステップS4)、分析対象ファイル選択(ステップS
5)、分析項目の選択及びレポート出力種類の選択(ス
テップS6)の順に実行されていくことが好ましい。
【0040】ここで、前記分析ポリシーの設定(ステッ
プS2)は、ネットワークセキュリティに詳しくないオ
ペレータがステップS3〜S6の設定をする際の負担を
軽くするためのものであり、この実施形態では、図5に
示すように、現在有効になっている設定である「規定」
38、全般的に不正アクセス分析を行うための「基本設
定」39、CGIの他WEBに関係する不正アクセスを
分析する「Web関係一般」40、Ftpに関係する項
目をチェックする「ftp動作分析」41、管理者権限
をもって動作した記録を分析する「rootアクセス分
析」42、不正アクセスを受ける前の準備動作を分析す
る「scan動作分析」43、メール環境の異常動作を
分析する「メール環境分析」44等を選択できるように
なっている。各設定を選択することで、後述するように
各設定についてデフォルト設定された分析項目等が自動
的に設定できるようになっている。したがって、オペレ
ータはこれらを修正していくのみで良い。
【0041】また、この実施形態では、この出願の出願
人等のようなセキュリティ業者が用意した最新の更新済
みデフォルト分析条件ファイル24aを利用して前記
「規定」以外の前記セキュリティポリシーの設定が行え
るようになっている。従って、前記「規定」以外の選択
肢を選ぶ場合、オペレータは意識することなく、最新の
セキュリティポリシーを利用することができるようにな
っている。
【0042】次に、許可IP及び拒否IPの設定(ステ
ップS3)では、ファシリティ毎にアクセスを許可する
IP(許可IP)やアクセスを拒否するIP(拒否I
P)を設定できるようになっている。この実施形態で
は、前記セキュリティ業者が前記更新済みデフォルト分
析条件ファイル24aに追加した拒否IPや、前記分析
結果反映処理部36がこのシステムのセキュリティ診断
の結果適当であると判断した拒否IPが前記で選択した
ポリシーに基づいて自動的にデフォルトとして表示され
るようになっている。
【0043】パターン設定(ステップS4)では、ファ
シリティ毎に監視すべきパターンを設定できるようにな
っている。例えば、APPでは、ブートフォースアタッ
クやポートスキャン等について監視するべきパターンを
設定できるようになっている。このようなパターンも、
前記セキュリティ業者から提供された前記デフォルト分
析条件ファイル24aによって常に最新のものが各ポリ
シーに応じてデフォルトとして提供されるようになって
いる。このため、オペレータは、基本的にデフォルトの
パターンを適用すれば、最適の設定を行える。
【0044】次に、分析対象ファイルを選択する(ステ
ップS5)が、この例では、前記分析対象ログ格納部7
として設定されたディレクトリ及びそのディレクトリ内
のファイルを個別に指定することができるようになって
いる。
【0045】また、分析項目の選択及びレポート出力種
類の選択(ステップS6)では、分析項目として、前記
各接続IP分析部33、接続時間分析部34及びパター
ン分析部35に対応して、接続IP分析、接続時間分析
及びパターン分析が選択できるようになっている。ま
た、レポート出力項目では、レポートで出力するべき項
目、例えば、前記通信ログを表示する際に、時刻、ファ
シリティ名等の項目を表示するか等を指定できるように
なっている。
【0046】以上で設定された項目は、前記分析条件格
納部19の利用者設定分析条件24bに格納され、引き
続いて図4にステップS7で示す分析が実行される。
【0047】以下、この手順を図6のフローチャートに
基づいて説明する。
【0048】まず、前記フォーマット変換処理部26
が、前記分析条件で設定した分析対象通信ログを取り出
し、所定のフォーマットに変換処理し、変換処理後の通
信ログを前記統一ログ格納部21に格納する(ステップ
S7−1)。このフォーマット変換は、例えば、表示位
置、表示順序、タイムスタンプの位置等、対象ファシリ
ティやログ記録プログラムによって異なるフォーマット
を統一フォーマットに揃えるものである。
【0049】例えば、ftpの動作を記録した第1のロ
グ(syslog)が図7(a)に示すものであり、ftpに
おけるファイルの移動を記録した第2のログ(xferlo
g)が図7(b)に示すものであるとする。ここで、第
1のログは、{月、日、時間、サーバ、デーモン、[P
ID]動作(接続IP、アカウントを含む)}という書
式であるのに対して、第2のログは、{曜日、月、日、
時間、年、接続IP、ファイルサイズ、ファイル名、転
送モード、入出力、アカウント、プロトコル}という書
式になっている。このままでは、後で説明する統合処理
を行ったとしても、図8のようになりその分析が困難で
あるため、この実施形態では、前記フォーマット変換処
理部26が、これらを、図9に示すような書式に揃え
る。この書式では、図7(a)と図7(b)の書式のタ
イムスタンプの書式を合わせ、接続IPの表示位置とア
カウントの表示位置が揃えられている。
【0050】ついで、前記整合性判別部27が、前記統
一ログ格納部21に格納された同一イベントについての
ログ間の整合性を判別する(ステップS7−2)。
【0051】例えば、同一イベントとして、ftpの動
作に関して記録された全ログ(/var/log/all.log)が図
10(a)に示すものであり、認証に関するログ(/var
/log/auth.log)が図10(b)に示すものであるとす
る。ここで、図10(a)の書式は、{月、日、時間、
サーバ、デーモン(若しくはサービス)、[PID]動
作(接続IP、アカウントを含む)}となっており、説
明の便宜上前記フォーマット統一を行う前のものであ
る。この場合、図10(b)のログをそれぞれ図10
(a)のログの記述に当てはめると、9,16,17行
目になる。
【0052】前記整合性判別部27は、前記全ログを、
前記ログ記録プログラム4の種類に応じて最も適切な方
法で切り出してファシリティ毎のログと比較する。この
例では、「デーモン名」をキーとして前記図10(a)
の全ログを切り出して、前記図10(b)と比較する。
この結果、両者が一致しない場合には、どちらかのログ
が改竄されたものと判断することができる。なお、ここ
で、デーモン名で全ログを切り出すのは、前記デーモン
名(若しくはサービス名)は、ファシリティ毎に固定さ
れているからである。一方PID(プロセスID)は、
ファシリティ別の記録では同一PIDの記述が複数のロ
グに分散されることになり好ましくない。
【0053】このような最適な切り出し方法は、ログの
書式によって異なるものであるから、この実施形態で
は、実際にはこの工程(ステップS7−2)を、前記書
式統一工程(ステップS7−1)後に行うようにする。
このことで、一定の方法で前記比較整合を行うことが可
能になる。
【0054】次に、前記ログ統合処理部28が、前記所
定のフォーマットに変換された複数の分析対象ログを統
合する(ステップS7−3)。ここで、統合するのは、
個々のログファイルからでは不正アタックの有無が分か
らない場合があるからである。
【0055】例えば、同一イベントについてのシステム
ログ(syslog)のうち、第1のログ(/var/log/info.lo
g)が図11(a)に示すものであり、第2のログ(/va
r/log/auth.log)が図11(b)に示すものである場合
について考える。この場合、セッションPID[242
5]のftpセッションは不正アクセスの疑いがある。
しかし、第1のログを見る限りでは、その痕跡はPID
[2421]の3回入力にわずかに残る程度で、それさ
えもPID[2425]とのはっきりとした関連は分か
らない。逆に第2のログには、PID[2421]の失
敗の記録が残っていて、p51-dn09.***.ne.jpがブルート
フォース(BruteForse)を仕掛けているのがはっきりと
分かる。しかし、このログからではこのアタックが成功
したかの判別はできない。また、このログにはPID
[2421]の表示はない。
【0056】しかしながら、これらの動きは図12に示
す全ログ(/var/log/all.log)を見るとはっきりと現れ
ている。すなわち、この一連のアタックは、2/16 15:0
9:04から始まっていて、手口はTelnetを利用した
ftpへのブルートフォースアタックであることが判
る。
【0057】このような分析は、図11(a)、図11
(b)の個々のログからは得ることができない。従っ
て、この2つのログを結合して分析する必要があるので
ある。
【0058】以下、この実施形態のログ結合方法につい
て説明する。
【0059】このログ統合処理部28は、前述したフォ
ーマット統一工程で各ログのフォーマットを統一した
後、これらを結合し、図9のような結合済みのログを得
る。すなわち、前述したように、例えば、ftpについ
ては、それ自体の動作とファイルの移動とが別々のログ
ファイル(図8(a)と図8(b))に記録される。こ
れら2つのログはフォーマットが異なるものであるか
ら、単純に結合したのではその分析を行うことが困難で
ある。このため、2つのログの書式を前述した方法で統
一してからこれらを結合するのである。
【0060】しかし、このような例において、問題にな
るのは、図8(b)のログにftpの動作を特定する記
述がないことである。図8及び図9の例では、ftpが
一つしかないためその特定は容易であるが、例えば、同
一時刻範囲に複数のftpセッションがある場合にはそ
の特定ができないために、有効な分析が行えないことに
なる。
【0061】このため、この実施形態では、上記ログ統
合処理部28で、ログファイルの各行がどのセッション
に属するかを判別し、属するセッションが不明な行を適
切なセッションに振分ける処理を行う。
【0062】図13(a)は同時刻範囲に複数のセッシ
ョンがある場合の第1のログ(syslog)の例、図13
(b)は第2のログ(xferlog)の例である。この2つ
のログを前記ログフォーマット変換処理部26で上記と
同様にフォーマットを統一した後、このログ統合処理部
28で統合しタイムスタンプ順に並べたのものが図14
である。
【0063】この図14の統合済みログでは、同一時刻
に重複しているセッションがあったり、同一IPからの
セッションがあったりするため解析するのはかなり困難
である。
【0064】このため、このログ統合処理部28では、
まず、セッションの属性を判別する(ステップS7−
4)。この場合、前記図13(a)のログをPID毎に
分け、同一セッションであると判断できる行を分類する
と、図15(a)〜(c)に示すように、3つのセッシ
ョンが存在することがわかる。従って、この結果から、
各セッションの、PID,IP及び接続時間は図16に
示すようであると判別する(ステップS7−5)。
【0065】このデータを利用することで、前記図13
(b)のログは、図17(a)〜(c)に示すようにい
ずれかのセッションに分類できる。
【0066】前記ログ統合処理部28は、前記図15及
び図17をセッション毎タイムスタンプ順に並べて、図
18(a)〜(c)の結果を得る(ステップS7−
6)。このような統合済みログは前記統合済み分析対象
ログ格納部22内に格納される。
【0067】ついで、前記区分振分け部29が、前記統
合されたログを、ファシリティ毎に区分する(ステップ
S7−7)。この実施形態では、前記統合済み分析対象
ログ格納部に格納されたログを取り出し、ログ中の各行
を、デーモン名(サービス名)に注目して振分けを行
う。
【0068】ついで、前記ログ分析処理部30は、前記
のように処理されたログファイルを利用して不正アクセ
スの有無の分析処理を実行する(ステップS7−8〜S
7−10)。各ログは、前述したように、分析しやすい
ように纏められ区分されているため、以下の分析を効率
的に行って行くことが可能になる。
【0069】まず、ステップS7−8の接続IP分析処
理で、前記で設定された「許可IP」若しくは「拒否I
P」の検出処理を行う。許可IPに設定されたIP及び
ドメインは、以下の他の分析対象から外されることにな
る。ついで、許可IP以外のIP若しくは前記拒否IP
として検出されたIPのうち、接続が確立したIPを検
出し、このIPに関するログを抽出する。
【0070】次に、ステップS7−9の不正接続時間検
出処理では、接続時間帯として設定された時間帯以外の
接続を不正接続時間として検出し、当該不正接続時間に
係るログを抽出する。
【0071】次に、ステップS7−10のパターン分析
では、前記ログと前記分析条件格納部に格納されたパタ
ーンとの一致を判断し、一致した場合に不正アクセスと
して検出する。このパターンは、日々更新されたもので
あることが好ましく、そのため、この実施形態では、更
新されたパターンが前記更新済みデフォルト分析条件フ
ァイル24aとしてセキュリティ業者から供給されるよ
うになっている。この実施形態で用いるパターンは約4
00種類である。
【0072】最後に、図4のステップS8で分析結果を
出力する。この分析結果の出力は、不正アクセスの可能
性に応じて例えば、赤色や黄色等で色分けされて表示さ
れることが好ましい。また、この分析結果は、各セッシ
ョンに対して、不正アクセスの可能性に応じたフラグを
立てて前記分析結果格納部23に格納する。
【0073】また、このように実施された分析の結果
は、前記分析結果反映処理部36によって前記更新済み
デフォルト分析条件ファイル24aに反映される。例え
ば、前記分析の結果、不正アクセスを行ったと判断され
たIPがある場合には、当該IPは拒否IPとして前記
デフォルト分析条件ファイル24aに格納される。
【0074】このような構成によれば、複数のログファ
イルのフォーマットを統一し、それらを統合すること
で、単独のログファイルでは判別することができない不
正アクセスを検出することが可能になる。また、これら
の工程は、例えばセキュリティ業者が所定のタイミング
で更新した最新のフォーマット統一方法や統合方法に基
づいて実施されるから、セキュリティ管理者に高度な知
識や経験を要求することなく不正アクセス等を発見する
ことができる。
【0075】なお、この発明は、上記一実施形態に限定
されるものではなく、発明の要旨を変更しない範囲で種
々変形可能である。
【0076】例えば、前記一実施形態ではサーバ2を監
視対象としたがこれに限定されるものではなく、ルータ
等を監視するようにしても良い。
【0077】また、上記一実施形態では、この発明はシ
ステム及び方法として提供されていたが、CD−ROM
等に格納されたパッケージソフトウェアとして提供され
コンピュータシステムにインストールされることでこの
発明の機能を奏するものであっても良い。
【0078】
【発明の効果】以上説明した構成によれば、セキュリテ
ィ管理者に高度な知識や経験を要求することなく不正ア
クセス等を発見することができるログ処理方法及びシス
テムを得ることができる。
【図面の簡単な説明】
【図1】この発明の一実施形態を示す概略構成図。
【図2】この実施形態のログの記録方法を示す説明図。
【図3】この実施形態のログ分析システムを示す概略構
成図。
【図4】この実施形態の概略処理工程を示すフローチャ
ート。
【図5】分析ポリシーの選択肢を説明する図。
【図6】分析処理の処理工程を示すフローチャート。
【図7】通信ログの処理例を示す図。
【図8】通信ログの処理例を示す図。
【図9】通信ログの処理例を示す図。
【図10】通信ログの処理例を示す図。
【図11】通信ログの処理例を示す図。
【図12】通信ログの処理例を示す図。
【図13】通信ログの処理例を示す図。
【図14】通信ログの処理例を示す図。
【図15】通信ログの処理例を示す図。
【図16】通信ログの処理例を示す図。
【図17】通信ログの処理例を示す図。
【図18】通信ログの処理例を示す図。
【符号の説明】
1…ログ分析システム 2…サーバ 3…サーバアプリケーション 4…ログ記録プログラム 5…ログ転送プログラム 7…分析対象ログ格納部 11…CPU 12…RAM 13…通信デバイス 14…入出力デバイス 15…バス 16…プログラム格納部 17…データ格納部 19…分析条件格納部 21…統一ログ格納部 22…統合済み分析対象ログ格納部 23…分析結果格納部 24a…更新済みデフォルト分析条件ファイル 24b…利用者設定分析条件ファイル 25…分析条件設定部 26…ログフォーマット変換処理部 27…整合性判別部 28…ログ統合処理部 29…ログ区分処理部 30…ログ分析処理部 31…セッション判別部 33…IP分析部 34…接続時間分析部 35…パターン分析部 36…分析結果反映処理部

Claims (30)

    【特許請求の範囲】
  1. 【請求項1】(a) 複数の通信ログを記録可能なアプ
    リケーションが出力した各分析対象ログファイルを、必
    要な場合所定のフォーマットに変換処理する工程と、
    (b)前記所定のフォーマットに変換された複数の分析
    対象ログを統合する工程と、(c)統合された後のログ
    を分析することで不正アクセスの有無を判断する工程と
    を有することを特徴とする通信ログ処理方法
  2. 【請求項2】 請求項1記載の通信ログ処理方法におい
    て、 前記複数の分析対象ログファイルは、同一システムにつ
    いて記録されたものであることを特徴とするログ通信処
    理方法。
  3. 【請求項3】 請求項2記載の通信ログ処理方法におい
    て、(d)前記(a)工程若しくは(b)工程の前に前
    記複数の分析対象ログ間の整合性を判別し、その判別結
    果を出力する工程をさらに有することを特徴とする通信
    ログ処理方法。
  4. 【請求項4】 請求項1記載の通信ログ処理方法におい
    て、 前記(a)工程は、前記分析対象ログファイルを出力し
    たアプリケーション毎に予め用意された変換手順を利用
    して、前記分析対象ログファイルを所定のフォーマット
    に変換する工程を有するものであることを特徴とする通
    信ログ処理方法。
  5. 【請求項5】 請求項1記載の通信ログ処理方法におい
    て、 前記アプリケーション毎に予め用意された変換手順を、
    所定のタイミングで更新する工程をさらに有することを
    特徴とする通信ログ処理方法。
  6. 【請求項6】 請求項1記載の通信ログ処理方法におい
    て、 (e)前記(a)工程若しくは(b)工程の前に、前記
    分析対象ログから、同一セッションに属する行を分類す
    る工程をさらに有することを特徴とする通信ログ処理方
    法。
  7. 【請求項7】 請求項6記載の通信ログ処理方法におい
    て、 前記(e)工程は、分析対象ログ中、その属するセッシ
    ョンが判別できる行に基づいて、その属するセッション
    が判別できない行がどのセッションに属するかを判別す
    る工程をさらに有することを特徴とする通信ログ処理方
    法。
  8. 【請求項8】 請求項1記載の通信ログ処理方法におい
    て、 前記(b)工程は、前記複数の分析対象ログを同一セッ
    ション毎に統合するものであることを特徴とする通信ロ
    グ処理方法。
  9. 【請求項9】 請求項8記載の通信ログ処理方法におい
    て、 前記(c)工程は、前記同一セッション毎に統合された
    分析対象ログ毎に、不正アクセスの有無を判別するもの
    であることを特徴とする通信ログ処理方法。
  10. 【請求項10】 請求項9記載の通信ログ処理方法にお
    いて、 前記(c)工程は、前記セッション毎に、不正アクセス
    の可能性を色分けして表示するものであることを特徴と
    する通信ログ処理方法。
  11. 【請求項11】(a) 複数の通信ログを記録可能なア
    プリケーションが出力した各分析対象ログファイルを、
    必要な場合所定のフォーマットに変換処理する手段と、
    (b)前記所定のフォーマットに変換された複数の分析
    対象ログを統合する手段と、(c)統合された後のログ
    を分析することで不正アクセスの有無を判断する手段と
    を有することを特徴とする通信ログ処理システム。
  12. 【請求項12】 請求項11記載の通信ログ処理システ
    ムにおいて、 前記複数の分析対象ログファイルは、同一システムにつ
    いて記録されたものであることを特徴とするログ通信処
    理システム。
  13. 【請求項13】 請求項12記載の通信ログ処理システ
    ムにおいて、 (d)前記複数の分析対象ログ間の整合性を判別し、そ
    の判別結果を出力する手段をさらに有することを特徴と
    する通信ログ処理システム。
  14. 【請求項14】 請求項11記載の通信ログ処理システ
    ムにおいて、 前記(a)手段は、前記分析対象ログファイルを出力し
    たアプリケーション毎に予め用意された変換手順を利用
    して、前記分析対象ログファイルを所定のフォーマット
    に変換する手段を有するものであることを特徴とする通
    信ログ処理システム。
  15. 【請求項15】 請求項11記載の通信ログ処理システ
    ムにおいて、 前記アプリケーション毎に予め用意された変換手順を、
    所定のタイミングで更新する手段をさらに有することを
    特徴とする通信ログ処理システム。
  16. 【請求項16】 請求項11記載の通信ログ処理システ
    ムにおいて、 (e)前記分析対象ログから、同一セッションに属する
    行を分類する手段をさらに有することを特徴とする通信
    ログ処理システム。
  17. 【請求項17】 請求項16記載の通信ログ処理システ
    ムにおいて、 前記(e)手段は、分析対象ログ中、その属するセッシ
    ョンが判別できる行に基づいて、その属するセッション
    が判別できない行がどのセッションに属するかを判別す
    る手段をさらに有することを特徴とする通信ログ処理シ
    ステム。
  18. 【請求項18】 請求項11記載の通信ログ処理システ
    ムにおいて、 前記(b)手段は、前記複数の分析対象ログを同一セッ
    ション毎に統合するものであることを特徴とする通信ロ
    グ処理システム。
  19. 【請求項19】 請求項18記載の通信ログ処理システ
    ムにおいて、 前記(c)手段は、前記同一セッション毎に統合された
    分析対象ログ毎に、不正アクセスの有無を判別するもの
    であることを特徴とする通信ログ処理システム。
  20. 【請求項20】 請求項19記載の通信ログ処理システ
    ムにおいて、 前記(c)手段は、前記セッション毎に、不正アクセス
    の可能性を色分けして表示するものであることを特徴と
    する通信ログ処理システム。
  21. 【請求項21】 コンピュータシステムにインストール
    されたオペレーションシステムと協働して通信ログの分
    析処理を行うコンピュータソフトウェアプログラム製品
    であって、 記憶媒体と、(a)この記憶媒体に格納され、複数の通
    信ログを記録可能なアプリケーションが出力した各分析
    対象ログファイルを、必要な場合所定のフォーマットに
    変換処理する手段と、(b)前記記憶媒体に格納され、
    前記所定のフォーマットに変換された複数の分析対象ロ
    グを統合する手段と、(c)前記記憶媒体に格納され、
    統合された後のログを分析することで不正アクセスの有
    無を判断する手段とを有することを特徴とするコンピュ
    ータソフトウェアプログラム製品。
  22. 【請求項22】 請求項21記載のコンピュータソフト
    ウェアプログラム製品において、前記複数の分析対象ロ
    グファイルは、同一システムについて記録されたもので
    あることを特徴とするログ通信処理システム。
  23. 【請求項23】 請求項22記載のコンピュータソフト
    ウェアプログラム製品において、 (d)前記記憶媒体に格納され、前記複数の分析対象ロ
    グ間の整合性を判別し、その判別結果を出力する手段を
    さらに有することを特徴とするコンピュータソフトウェ
    アプログラム製品。
  24. 【請求項24】 請求項21記載のコンピュータソフト
    ウェアプログラム製品において、 前記(a)手段は、前記分析対象ログファイルを出力し
    たアプリケーション毎に予め用意された変換手順を利用
    して、前記分析対象ログファイルを所定のフォーマット
    に変換する手段を有するものであることを特徴とするコ
    ンピュータソフトウェアプログラム製品。
  25. 【請求項25】 請求項21記載のコンピュータソフト
    ウェアプログラム製品において、 前記アプリケーション毎に予め用意された変換手順を、
    所定のタイミングで更新する手段をさらに有することを
    特徴とするコンピュータソフトウェアプログラム製品。
  26. 【請求項26】 請求項21記載のコンピュータソフト
    ウェアプログラム製品において、(e)前記記憶媒体に
    格納され、前記分析対象ログから、同一セッションに属
    する行を分類する手段をさらに有することを特徴とする
    コンピュータソフトウェアプログラム製品。
  27. 【請求項27】 請求項26記載のコンピュータソフト
    ウェアプログラム製品において、 前記(e)手段は、分析対象ログ中、その属するセッシ
    ョンが判別できる行に基づいて、その属するセッション
    が判別できない行がどのセッションに属するかを判別す
    る手段をさらに有することを特徴とするコンピュータソ
    フトウェアプログラム製品。
  28. 【請求項28】 請求項21記載のコンピュータソフト
    ウェアプログラム製品において、 前記(b)手段は、前記複数の分析対象ログを同一セッ
    ション毎に統合するものであることを特徴とするコンピ
    ュータソフトウェアプログラム製品。
  29. 【請求項29】 請求項28記載のコンピュータソフト
    ウェアプログラム製品において、 前記(c)手段は、前記同一セッション毎に統合された
    分析対象ログ毎に、不正アクセスの有無を判別するもの
    であることを特徴とするコンピュータソフトウェアプロ
    グラム製品。
  30. 【請求項30】 請求項29記載のコンピュータソフト
    ウェアプログラム製品において、 前記(c)手段は、前記セッション毎に、不正アクセス
    の可能性を色分けして表示するものであることを特徴と
    するコンピュータソフトウェアプログラム製品。
JP2001120308A 2001-04-18 2001-04-18 通信ログ処理方法及びシステム Pending JP2002318734A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001120308A JP2002318734A (ja) 2001-04-18 2001-04-18 通信ログ処理方法及びシステム
PCT/JP2002/003879 WO2002088976A1 (fr) 2001-04-18 2002-04-18 Procede et systeme de traitement des sessions de communication
TW091107953A TWI226984B (en) 2001-04-18 2002-04-18 Communication log processing method and communication log processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001120308A JP2002318734A (ja) 2001-04-18 2001-04-18 通信ログ処理方法及びシステム

Publications (1)

Publication Number Publication Date
JP2002318734A true JP2002318734A (ja) 2002-10-31

Family

ID=18970371

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001120308A Pending JP2002318734A (ja) 2001-04-18 2001-04-18 通信ログ処理方法及びシステム

Country Status (3)

Country Link
JP (1) JP2002318734A (ja)
TW (1) TWI226984B (ja)
WO (1) WO2002088976A1 (ja)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006155124A (ja) * 2004-11-29 2006-06-15 Savant:Kk 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置
JP2006235895A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP2007094707A (ja) * 2005-09-28 2007-04-12 Hitachi Software Eng Co Ltd アプリケーション動作追跡支援装置
JP2007114834A (ja) * 2005-10-18 2007-05-10 Hitachi Ltd ログを管理するストレージ装置及び計算機システム
JP2007213521A (ja) * 2006-02-13 2007-08-23 Meiri Tabuchi 監視結果記録システム、共通ログ生成装置、及びプログラム
KR100758476B1 (ko) 2005-12-26 2007-09-12 주식회사 포스코 공정제어시스템용 보안 로그 분석장치 및 방법
JP2007304855A (ja) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd ログ収集システム及び監視装置
KR100800232B1 (ko) 2005-03-17 2008-02-01 가부시키가이샤 히타치세이사쿠쇼 네트워크 장치 및 이벤트 처리 방법
JP2008210308A (ja) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム
JP2008293273A (ja) * 2007-05-24 2008-12-04 Hitachi Ltd 情報処理装置および情報処理方法
JP2009053992A (ja) * 2007-08-28 2009-03-12 Jiec Co Ltd ログ収集システム
JP2009217381A (ja) * 2008-03-07 2009-09-24 Nec Corp 障害分析システム、障害分析方法、障害分析サーバおよび障害分析プログラム
JP2010218139A (ja) * 2009-03-16 2010-09-30 Fujitsu Semiconductor Ltd 実行履歴トレース方法
JP2012084054A (ja) * 2010-10-14 2012-04-26 Kddi Corp 携帯端末およびプログラム
WO2014119669A1 (ja) * 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
KR101610893B1 (ko) * 2014-12-31 2016-04-08 주식회사 시큐아이 세션 로그 처리 방법 및 장치
KR20160131619A (ko) * 2015-05-08 2016-11-16 (주)케이사인 개인정보 부정사용 탐지 장치
WO2020161780A1 (ja) * 2019-02-04 2020-08-13 日本電気株式会社 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体
JP2021117773A (ja) * 2020-01-27 2021-08-10 富士通株式会社 情報処理装置、分析用データ生成プログラム及び方法
WO2021245944A1 (ja) 2020-06-05 2021-12-09 富士通株式会社 情報処理プログラム、情報処理方法および情報処理装置
WO2022219819A1 (ja) * 2021-04-16 2022-10-20 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム
JP7505642B2 (ja) 2021-04-16 2024-06-25 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10333943A (ja) * 1997-05-27 1998-12-18 Mitsubishi Electric Corp 計算機システムのトレース・ログ処理方法とその処理装置
JPH10340254A (ja) * 1997-04-11 1998-12-22 Hitachi Ltd 不正利用検出可能ネットワークシステム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6312037A (ja) * 1986-07-02 1988-01-19 Nec Corp 診断装置付電子計算機システム
ES2112855T3 (es) * 1990-12-26 1998-04-16 Canon Kk Aparato para la comunicacion en color.
JP2856688B2 (ja) * 1994-12-26 1999-02-10 日立電子サービス株式会社 ロギングデータ解析システム
JPH10240687A (ja) * 1997-02-28 1998-09-11 Tec Corp ネットワークシステム
US6202158B1 (en) * 1997-04-11 2001-03-13 Hitachi, Ltd. Detection method of illegal access to computer system
JP3351318B2 (ja) * 1997-11-07 2002-11-25 株式会社日立製作所 計算機システムの監視方法
JP2000047912A (ja) * 1998-07-30 2000-02-18 Nippon Telegr & Teleph Corp <Ntt> ネットワークサービス監視方法および装置とネットワークサービス監視プログラムを記録した記録媒体
JP4357614B2 (ja) * 1998-11-26 2009-11-04 大日本印刷株式会社 ログ管理システム
JP2000207316A (ja) * 1999-01-19 2000-07-28 Oki Electric Ind Co Ltd 情報収集装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340254A (ja) * 1997-04-11 1998-12-22 Hitachi Ltd 不正利用検出可能ネットワークシステム
JPH10333943A (ja) * 1997-05-27 1998-12-18 Mitsubishi Electric Corp 計算機システムのトレース・ログ処理方法とその処理装置

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006155124A (ja) * 2004-11-29 2006-06-15 Savant:Kk 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置
JP2006235895A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP4575190B2 (ja) * 2005-02-24 2010-11-04 三菱電機株式会社 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
KR100800232B1 (ko) 2005-03-17 2008-02-01 가부시키가이샤 히타치세이사쿠쇼 네트워크 장치 및 이벤트 처리 방법
JP2007094707A (ja) * 2005-09-28 2007-04-12 Hitachi Software Eng Co Ltd アプリケーション動作追跡支援装置
JP4641238B2 (ja) * 2005-09-28 2011-03-02 株式会社日立ソリューションズ アプリケーション動作追跡支援装置
JP2007114834A (ja) * 2005-10-18 2007-05-10 Hitachi Ltd ログを管理するストレージ装置及び計算機システム
KR100758476B1 (ko) 2005-12-26 2007-09-12 주식회사 포스코 공정제어시스템용 보안 로그 분석장치 및 방법
JP2007213521A (ja) * 2006-02-13 2007-08-23 Meiri Tabuchi 監視結果記録システム、共通ログ生成装置、及びプログラム
JP2007304855A (ja) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd ログ収集システム及び監視装置
JP2008210308A (ja) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp ログ統合管理装置、及び、ログ統合管理方法、ログ統合管理プログラム
JP2008293273A (ja) * 2007-05-24 2008-12-04 Hitachi Ltd 情報処理装置および情報処理方法
JP2009053992A (ja) * 2007-08-28 2009-03-12 Jiec Co Ltd ログ収集システム
JP2009217381A (ja) * 2008-03-07 2009-09-24 Nec Corp 障害分析システム、障害分析方法、障害分析サーバおよび障害分析プログラム
US8578216B2 (en) 2009-03-16 2013-11-05 Spansion Llc Execution history tracing method
US9507688B2 (en) 2009-03-16 2016-11-29 Cypress Semiconductor Corporation Execution history tracing method
JP2010218139A (ja) * 2009-03-16 2010-09-30 Fujitsu Semiconductor Ltd 実行履歴トレース方法
JP2012084054A (ja) * 2010-10-14 2012-04-26 Kddi Corp 携帯端末およびプログラム
US9860278B2 (en) 2013-01-30 2018-01-02 Nippon Telegraph And Telephone Corporation Log analyzing device, information processing method, and program
WO2014119669A1 (ja) * 2013-01-30 2014-08-07 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
JP6001689B2 (ja) * 2013-01-30 2016-10-05 日本電信電話株式会社 ログ分析装置、情報処理方法及びプログラム
KR101610893B1 (ko) * 2014-12-31 2016-04-08 주식회사 시큐아이 세션 로그 처리 방법 및 장치
KR20160131619A (ko) * 2015-05-08 2016-11-16 (주)케이사인 개인정보 부정사용 탐지 장치
KR101678179B1 (ko) 2015-05-08 2016-11-21 (주)케이사인 개인정보 부정사용 탐지 장치
JP7168010B2 (ja) 2019-02-04 2022-11-09 日本電気株式会社 行動計画推定装置、行動計画推定方法、及びプログラム
WO2020161780A1 (ja) * 2019-02-04 2020-08-13 日本電気株式会社 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体
JPWO2020161780A1 (ja) * 2019-02-04 2021-11-25 日本電気株式会社 行動計画推定装置、行動計画推定方法、及びプログラム
US11989290B2 (en) 2019-02-04 2024-05-21 Nec Corporation Action plan estimation apparatus, action plan estimation method, and computer-readable recording medium
JP2021117773A (ja) * 2020-01-27 2021-08-10 富士通株式会社 情報処理装置、分析用データ生成プログラム及び方法
JP7393642B2 (ja) 2020-01-27 2023-12-07 富士通株式会社 情報処理装置、分析用データ生成プログラム及び方法
WO2021245944A1 (ja) 2020-06-05 2021-12-09 富士通株式会社 情報処理プログラム、情報処理方法および情報処理装置
WO2022219819A1 (ja) * 2021-04-16 2022-10-20 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム
JP7505642B2 (ja) 2021-04-16 2024-06-25 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム

Also Published As

Publication number Publication date
TWI226984B (en) 2005-01-21
WO2002088976A1 (fr) 2002-11-07

Similar Documents

Publication Publication Date Title
US20210326451A1 (en) Automated security assessment of business-critical systems and applications
JP2002318734A (ja) 通信ログ処理方法及びシステム
US11546364B2 (en) Phishing data item clustering and analysis
Lins et al. Trust is good, control is better: Creating secure clouds by continuous auditing
AU2015267387B2 (en) Method and apparatus for automating the building of threat models for the public cloud
US9965937B2 (en) External malware data item clustering and analysis
US10140453B1 (en) Vulnerability management using taxonomy-based normalization
EP3742694A1 (en) Computer system for malware analysis based on data clustering
US20030188194A1 (en) Method and apparatus for real-time security verification of on-line services
US8856315B2 (en) Device classification system
WO2005033943A1 (en) Method and apparatus for real-time security verification of on-line services
CN112199276B (zh) 微服务架构的变更检测方法、装置、服务器及存储介质
US11895137B2 (en) Phishing data item clustering and analysis
CN114036505A (zh) 安全运维分析服务器、安全运维分析方法、计算机设备
US20210306370A1 (en) Interface security in business applications
US20240086271A1 (en) Organization segmentation for anomaly detection
AU2011272961B2 (en) Automated security assessment of business-critical systems and applications
CN115695044A (zh) 一种it资产安全管控平台及管理方法
Yüksel Development of a quality assurance prototype for intrusion detection systems
KR20040043354A (ko) 인터넷 취약성 관리 서비스 시스템

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060413

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100907

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110111