JP6623128B2 - Log analysis system, log analysis method, and log analysis device - Google Patents
Log analysis system, log analysis method, and log analysis device Download PDFInfo
- Publication number
- JP6623128B2 JP6623128B2 JP2016151528A JP2016151528A JP6623128B2 JP 6623128 B2 JP6623128 B2 JP 6623128B2 JP 2016151528 A JP2016151528 A JP 2016151528A JP 2016151528 A JP2016151528 A JP 2016151528A JP 6623128 B2 JP6623128 B2 JP 6623128B2
- Authority
- JP
- Japan
- Prior art keywords
- tree
- event
- relationship
- graph structure
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 110
- 206010042635 Suspiciousness Diseases 0.000 claims description 95
- 238000012790 confirmation Methods 0.000 claims description 52
- 230000007704 transition Effects 0.000 claims description 23
- 238000010276 construction Methods 0.000 claims description 22
- 230000001364 causal effect Effects 0.000 claims description 20
- 230000002093 peripheral effect Effects 0.000 claims description 17
- 239000013589 supplement Substances 0.000 claims 2
- 238000000034 method Methods 0.000 description 45
- 230000008569 process Effects 0.000 description 40
- 238000012545 processing Methods 0.000 description 39
- 238000004891 communication Methods 0.000 description 19
- 230000005856 abnormality Effects 0.000 description 9
- 238000011835 investigation Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012916 structural analysis Methods 0.000 description 5
- 230000003211 malignant effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 101100162210 Aspergillus parasiticus (strain ATCC 56775 / NRRL 5862 / SRRC 143 / SU-1) aflM gene Proteins 0.000 description 1
- 101100102500 Caenorhabditis elegans ver-1 gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000010923 batch production Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、ログ分析システム、ログ分析方法及びログ分析装置に関し、例えば類似又は同一のアラート発生の再発を防止するログ分析システムに適用して好適なものである。 The present invention relates to a log analysis system, a log analysis method, and a log analysis apparatus, and is suitably applied to, for example, a log analysis system that prevents recurrence of similar or identical alerts.
組織のシステムを守るためには、外部からの攻撃等によってシステムに異常が発生した際、当該異常を速やかに発見して復旧を図るだけではなく、当該異常の原因を調査して対策を講じることで、同じような異常の再発を防止することが重要である。異常の発見及び異常の原因の調査のため、システムは記録しているログを分析する。 In order to protect the organization's system, when an abnormality occurs in the system due to an external attack, etc., not only is the abnormality detected promptly and recovery is attempted, but the cause of the abnormality is investigated and countermeasures are taken. Therefore, it is important to prevent the recurrence of similar abnormalities. The system analyzes the recorded log in order to find the abnormality and investigate the cause of the abnormality.
近年被害が増加している攻撃としては、例えば攻撃者が、標的が普段利用するようなWebサイトを改ざんし、閲覧した者の計算機に異常を発生させるものがある。この攻撃では多くの場合、改ざんされたWebサイトに標的がアクセスすると、標的が意図しない複数回のリダイレクトが発生し、最終的に攻撃者が悪用しているマルウェアの配布サイトまで誘導される。閲覧した者が、誘導されたマルウェアの配布サイトでマルウェアを取得し、閲覧した者の計算機にマルウェアをインストールすると、閲覧した者の計算機から組織のシステム内にマルウェアによる攻撃が行われてしまう。 As an attack whose damage has been increasing in recent years, for example, there is an attack in which an attacker alters a Web site normally used by a target and causes an abnormality in a computer of a person who browses. In many cases, in this attack, when a target accesses a Web site that has been tampered with, a redirect that is not intended by the target occurs multiple times, and finally leads to a malware distribution site that is exploited by the attacker. When a person who browses acquires malware on the site where the derived malware is distributed, and installs the malware on the computer of the person who viewed the malware, an attack by the malware is performed in the system of the organization from the computer of the viewer.
このような攻撃では、攻撃者が複数のマルウェアの配布サイトを準備し、そのうちのいずれかにランダムに誘導することもある。従って、そのような攻撃による異常を検知した場合、個々のマルウェアの配布サイトへのアクセスをブロックするだけではなく、改ざんされたWebサイトを発見することで、当該Webサイトへのアクセスを一時的に遮断する又は当該Webサイトの管理者に改ざんの旨を通知することで復旧を促す、などの再発防止策を講じることが重要である。 In such an attack, an attacker may set up multiple malware distribution sites and randomly navigate to one of them. Therefore, when an abnormality due to such an attack is detected, not only access to individual malware distribution sites is blocked, but access to the websites is temporarily detected by discovering altered websites. It is important to take measures to prevent recurrence such as blocking or prompting recovery by notifying the administrator of the Web site of falsification.
すなわち、例えば、マルウェアをダウンロードした旨のアラートが発生した場合には、当該アクセスがどのような経緯で発生したのかについて、通信ログなどを基に調査し、入り口となったWebサイトを特定する必要がある。 In other words, for example, when an alert indicating that malware has been downloaded occurs, it is necessary to investigate how the access occurred based on the communication log, etc., and identify the website that became the entrance. There is.
一方で、近年の組織のシステムは多種多様及び多数の機器やアプリケーションで構成されているため、ログに記載された事象間の因果関係を辿り異常の発生原因を特定するには、大量のシステムログやセキュリティログを調査する必要があり、長時間を要するようになっている。 On the other hand, since recent organizational systems are composed of a wide variety of devices and applications, a large number of system logs can be used to identify the cause of abnormalities by tracing the causal relationship between events described in the log. It is necessary to investigate the security log and it takes a long time.
このような情報間の関係性の分析を効率化するログ分析システムの1つとして、特許文献1には、情報をグラフ構造として保持し、検索条件の基点となったノードに指定した初期値を設定して一定比率で減少させながら伝播させ、最終的に閾値以上となったノード集合を検索結果として出力することで、既存の検索においては容易にたどり着かない情報を効率的に取得する発明が開示されている。
As one of log analysis systems that facilitate the analysis of the relationship between such information,
特許文献1によれば、情報間の関係性をグラフ構造として保持してクラスタリングすることできるため、検索対象情報と関係がある情報を推移的に抽出することができる。従って当該技術を用いることで、ログに記載されたイベント間の関係性を基に構成できるグラフ構造を辿ることができ、発生原因を効率的に調べることができる。例えば、通常のHTTP(Hyper Text Transfer Protocol)の遷移であれば、プロキシサーバ等の通信ログに、通信の遷移元情報であるHTTPヘッダのREFERER(以下、リファラと呼ぶ)を記録させることが可能である。
According to
しかしながら、ログに記載される情報には、イベント間の関係性が部分的に欠落することも多い。例えば、当該通信のプロトコルが途中で変化したり又はブラウザの脆弱性を突いた遷移であったりする場合には、通信ヘッダにリファラが含まれないため遷移元に関する情報をログとして残せず、従って、グラフ構造が途中で途切れてしまうことになる。 However, the information described in the log often lacks a partial relationship between events. For example, if the communication protocol changes midway or transitions that exploit the vulnerability of the browser, the referrer is not included in the communication header, so information about the transition source cannot be left as a log. The graph structure will be interrupted.
かかる課題を解決するため本発明においては、ログ分析システムは、ログ情報を分析するログ分析システムであって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。 In order to solve such a problem, in the present invention, the log analysis system is a log analysis system for analyzing log information, and whether there is a causal relationship between occurrences of a plurality of events based on log information including a plurality of events. A relationship tree construction that constructs a graph structure by determining whether or not each event is a node and adding an edge between nodes corresponding to the event when a causal relationship exists And for any specified event, determine whether the tree specified in the graph structure is the tree that generated the specified event, and whether it is the tree that generated the specified event In the judgment, the relationship tree suspicious degree that calculates the degree of probability based on the judgment conditions related to the events constituting each tree and the judgment conditions related to the structural features of the tree A calculation unit, taking into account the likelihood degree of and to and an result output unit for outputting a graph structure supplemented with causality as the result.
また、本発明においては、ログ分析方法は、ログ情報を分析するログ分析システムにおけるログ分析方法であって、ログ分析システムは、関係性ツリー構築部と、関係性ツリー不審度計算部と、結果出力部とを有し、関係性ツリー構築部が、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定する第1のステップと、関係性ツリー構築部が個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する第2のステップと、関係性ツリー不審度計算部が、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定する第3のステップと、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する第4のステップとを備えるようにした。 In the present invention, the log analysis method is a log analysis method in a log analysis system for analyzing log information, and the log analysis system includes a relationship tree construction unit, a relationship tree suspiciousness calculation unit, a result A first step of determining whether there is a causal relationship of occurrence of a plurality of events based on log information including a plurality of events, and a relationship tree; A second step of constructing a graph structure by adding an edge between nodes corresponding to the event when the construction unit sets each individual event as one node and a causal relationship exists; A third step in which the sex tree suspiciousness degree calculation unit determines whether, for any specified event, the tree defined by the graph structure is a tree that has generated the specified event; In determining whether the tree has caused the specified event, a degree of probability is calculated based on a determination condition regarding an event constituting each tree and a determination condition regarding a structural feature of the tree. The steps are provided.
また、本発明においては、ログ分析装置は、ログ情報を分析するログ分析装置であって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。 In the present invention, the log analysis device is a log analysis device that analyzes log information, and determines whether or not there is a causal relationship between occurrences of a plurality of events based on log information including a plurality of events. A relationship tree construction unit that constructs a graph structure by adding an edge between nodes corresponding to the event when a single event is made a node and a causal relationship exists. For any given event, it is determined whether the tree specified in the graph structure is the tree that generated the specified event, and in determining whether the tree that generated the specified event is A relationship tree suspiciousness calculator that calculates the degree of certainty based on the judgment conditions related to the events that make up the tree and the judgment conditions related to the structural features of the tree, and the degree of likelihood Taking into account, and to include the result output unit for outputting a graph structure supplemented with causality as the result.
本発明によれば、イベント間の関係性が部分的に欠落している場合に対応したログ分析システム、ログ分析方法及びログ分析装置を実現できる。 According to the present invention, it is possible to realize a log analysis system, a log analysis method, and a log analysis device corresponding to a case where the relationship between events is partially lost.
以下図面について、本発明の一実施の形態を詳述する。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.
(1)本実施の形態によるログ分析システムの構成
図1において、1は全体として本実施の形態によるログ分析システムを示す。ログ分析システム1は、ログ分析装置100にネットワーク141を介して分析対象であるログ情報200を入力するプロキシサーバ等が接続されており、ログ分析装置100には記憶媒体171を接続することができる。記憶媒体171は、ICカードやUSBメモリ等であり、可搬性を有する。
(1) Configuration of Log Analysis System According to this Embodiment In FIG. 1,
プロキシサーバ及びログ分析装置100は、CPU(Central Processing Unit)及びメモリ等の情報資源を備えたコンピュータ装置であり、例えば、オープン系のサーバや、メインフレームコンピュータなどから構成される。ログ分析装置100は、メモリ110、外部記憶装置120、CPU130、通信装置140、入力装置150、出力装置160及び読取装置170がインタフェース180を介して接続されている。
The proxy server and
外部記憶装置120は、HDD(Hard Disk Drive)などであり、ログ分析機能によってログ分析を行う際に、参照するテーブルである関係性ツリー履歴情報121、構造分析ルールテーブル122及び履歴照合ルールテーブル123を備える。なお、関係性ツリー履歴情報121、構造分析ルールテーブル122及び履歴照合ルールテーブル123はメモリ110に備えられていてもよい。
The
メモリ110は、分析要求入力部111、関係性ツリー構築部112、過去履歴管理部113、関係性ツリー不審度計算部114、周辺情報取得部115、確認用情報取得部116、不審性確認部117及び結果出力部118を備える。これらは、ログ分析機能を実現するために必要なプログラム等であって、メモリ110に直接ロードされてもよいし、外部記憶装置120や記憶媒体171に保存されていてもよく、CPU130によって実行される。プログラムをCPU130に実行させるための媒体は外部記憶装置120や記憶媒体171に限らず、利用可能な媒体であればよく、ネットワーク141を伝搬する搬送波やディジタル信号でもよい。
The
通信装置140は、インターネットやLAN等のネットワーク141を介して、他の装置と通信を行う。入力装置150は、キーボードやマウス等であり、出力装置160は、モニタやプリンタ等である。読取装置170は、記憶媒体171を接続し、その内容を読み取る。
The
分析要求入力部111は本ログ分析装置100を利用する利用者が入力装置150によって入力する分析要求を受け付ける。利用者は、分析対象とするイベント等を入力する。利用者はこの際にログ情報200をログ分析装置100へ送付してもよい。ログ情報200は予め、定期的に送付されていてもよい。ログ情報200は、ネットワーク141を介してログ分析装置100に入力されてもよいし、記憶媒体171を介してログ分析装置100に入力されてもよい。
The analysis request input unit 111 accepts an analysis request input by the user using the
分析要求入力部111が分析要求を受けると、ログ情報200を分析するログ分析処理がログ分析装置100によって開始される。なお不審な動作などによりセキュリティアラート(以下、アラートと呼ぶ)が発生した場合に、当該アラートの原因となったイベントをシステムが機械的に分析対象としてもよい。
When the analysis request input unit 111 receives an analysis request, the
ログ分析処理として、関係性ツリー構築部112は、ログ情報200のイベント間の関係性を分析する。関係性とは、ログ情報200に記載されたあるイベントが、同じくログ情報200に記載された別のイベントを引き起こす契機になっているという関係を指す。また、関係性ツリー情報とは、個々のイベントをノード、関係性をエッジとして構築したグラフ構造(以下、ツリーと呼ぶ)のことである。ログ情報200を基に関係性ツリー情報を構築すると、全てのイベントが相互に関係性を有すとは限らないため、互いに連結していない(関係性を有してない)複数の関係性ツリー情報が構築される。
As the log analysis processing, the relationship
過去履歴管理部113は、関係性ツリー構築部112で構築された関係性ツリー情報を関係性ツリー履歴情報121へ格納し、保管する。このことで、関係性ツリー構築部112で構築された関係性ツリー情報をのちに使うことができる。
The past
関係性ツリー不審度計算部114は、関係性ツリー構築部112が構築した関係性ツリーの、分析対象であるイベントの原因である確からしさ(以下「不審度」と呼ぶ)を計算する。なお、関係性ツリー構築部112が構築した関係性ツリー情報の量が多い場合は、関係性ツリー不審度計算部114が計算対象とする関係性ツリー情報を絞り込んでもよい。
The relationship tree suspiciousness
例えば、分析対象であるイベントの周辺イベントに関してのみ計算対象としてもよい。周辺イベントとは、分析対象とするイベントの周辺のイベントであり、例えばログ分析の対象とするイベントとユーザIDが同一であるイベントを指す。また、ログ分析の対象とするイベントと処理開始時間が近い(1秒以内など)イベントのログとしてもよいし、イベント発生前の1カ月又は1年などの期間のみのイベントのログを分析対象としてもよい。 For example, the calculation target may be only related to events around the event to be analyzed. The peripheral event is an event around the event to be analyzed, for example, an event having the same user ID as the event to be analyzed. In addition, it may be a log of an event whose processing start time is close (such as within 1 second) to the event subject to log analysis, or an event log only for a period of one month or one year before the event occurs Also good.
周辺情報取得部115は、ログ情報200のイベントの内容を分析するための周辺情報(以下、周辺イベントと呼ぶ)を特定するための付加的な情報(ユーザIDや処理開始時間)をログ情報200から取得する。周辺情報取得部115は本実施の形態にとって必須ではないが、周辺情報取得部115を用いることで、関係のあるイベントのみを分析する(分析対象とするイベントの絞り込みを行う)ため、より詳細で迅速な分析が可能となる。特にログ情報200の量が膨大な場合には、分析処理コスト低減のために、周辺情報取得部115での処理を行うことが望ましい。
The peripheral
また周辺情報取得部115は、インターネットなどから脅威情報やDNS(Domain
Name System)登録情報などを取得し、関係性ツリー不審度計算部114が不審度を計算する際にそれらの情報を関係性ツリー不審度計算部114に提供してもよい。このためログ分析装置100はインターネットに接続されていることが好ましい。
The peripheral
Name System) registration information and the like may be acquired, and when the relationship tree suspiciousness
確認用情報取得部116は、不審性確認部117が行う不審性確認処理において用いるWebコンテンツの内容などの情報をインターネットなどから取得する。確認用情報取得部116は本実施の形態にとって必須ではないが、不審性確認処理を行う場合には必要である。このためログ分析装置100はインターネットに接続されていることが好ましい。
The confirmation
不審性確認部117は、不審性確認処理を行う。不審性確認部117は、本実施の形態にとって必須の機能ではないが、不審性確認部117を用いて、ログ情報200の不審な箇所の通りに動作環境をそろえて実動作を確認することで、利用者により正確な情報を提供することが可能となる。
The
結果出力部118は、ログ分析システム1の利用者に対して、分析要求入力部111を介して要求された情報の分析結果を、出力装置160を介して出力する。
The
関係性ツリー履歴情報121は、これまでに既に分析した関係性ツリー情報を履歴として保管しており、この関係性ツリー履歴情報121は不審性確認部117が行う不審性確認処理において使用される。なお、関係性ツリー不審度計算部114は、関係性ツリー履歴情報121を用いて、不審度を計算する。なお不審度は整数値で表し、数値が大きいほど不審であることを示すものとする。
The relationship
構造分析ルールテーブル122は、関係性ツリー情報の不審度をどのように判定するかのルールを定めているテーブルであって、関係性ツリー履歴情報121を照合する。構造分析ルールテーブル122は、不審性確認部117が行う不審性確認処理で使用される。なお、関係性ツリー不審度計算部114は、構造分析ルールテーブル122を用いて、不審度を計算する。
The structure analysis rule table 122 is a table that defines rules for how to determine the suspicious degree of the relationship tree information, and collates the relationship
履歴照合ルールテーブル123は、関係性ツリー情報の不審度をどのように判定するかのルールを定めているテーブルであって、関係性ツリー履歴情報121を照合する。履歴照合ルールテーブル123は、不審性確認部117が行う不審性確認処理において使用される。なお、関係性ツリー不審度計算部114でも、履歴照合ルールテーブル123を用いて、不審度を計算する。
The history matching rule table 123 is a table that defines rules for how to determine the suspicious degree of the relationship tree information, and matches the relationship
(2)ログ分析機能
本実施の形態のログ分析機能は、入力されるログ情報200を、ルールテーブルを参照して各種処理を行うことで分析し、分析結果を出力する。
(2) Log Analysis Function The log analysis function according to the present embodiment analyzes the
(2−1)ログ
本実施の形態で分析されるログ情報200は、図2に示すような、プロキシサーバが出力する典型的な構造となっており、各イベントのログが格納されている。各イベントのログは、ログ番号欄201、アクセス元IPアドレス欄202、アクセス先URL欄203、ユーザID欄204、リファラ欄205、ユーザエージェント欄206及びレスポンスのバイト数欄207を含む。
(2-1) Log The
ログ番号欄201には、各イベントのログを区別するために付けるログ番号が格納されており、「log1」、「log2」、……と、時系列順に数字が割り付けられている。アクセス元IPアドレス欄202にはアクセス元のIPアドレスが格納され、例えば、「1.1.1.1」といったIPv4プロトコルのIPアドレスを格納する。アクセス先URL203欄には、アクセス先URLが格納されており、例えば、「a.com/1.html」といった形式で格納される。
The
ユーザID欄204には、HTTPの認証ヘッダなどに含まれる認証情報のユーザIDが格納されており、例えば、「aaaaa」といった形式で格納される。リファラ欄205には、各イベントの遷移元を示す、HTTPヘッダの1つであるリファラが格納されており、アクセス先URL欄203と同様の形式で格納されている。なお、リファラが「−」となっている場合は、HTTPヘッダにリファラが含まれていないことを示す。
The
ユーザエージェント欄206には、各イベントがどのアプリケーションの、どのバージョンで実行されたかを示すユーザエージェントが格納しており、「app_A;ver_1」といった形式で格納される。レスポンスのバイト数欄207には、各イベントによってサーバから何バイトのレスポンスが返ってきたかが格納されており、「300」といった形式で格納されている。
The
関係性ツリー情報を構築する際に、アクセス先URL及びリファラを関係性として用いる。つまり、アクセス先URLとリファラとの値が一致するイベントにおいては、前者のイベントが後者のイベントの発生原因(遷移元)であるとする。 When constructing the relationship tree information, the access destination URL and the referrer are used as the relationship. In other words, in the event where the values of the access destination URL and the referrer match, the former event is assumed to be the cause (transition source) of the latter event.
例えば、log5のリファラは「a.com/02/2.html」となっており、log3のアクセス先URLである「a.com/02/2.html」と一致する。このことから、log5の遷移元はlog3となる。
For example, the referrer of log 5 is “a.com/02/2.html”, which matches “a.com/02/2.html” which is the access destination URL of
(2−2)分析処理
図3にログ情報200を関係性に基づいて分析する分析処理の処理手順を示す。分析処理は、関係性が明確(アクセス先URLとリファラとの値が一致するイベントなど)な関係性ツリー情報を構築し、関係性を有していないようにみえる複数の関係性ツリー情報間についても、目安となる基準(不審度)を設けて関係性(因果関係)を発見する。
(2-2) Analysis Processing FIG. 3 shows a processing procedure of analysis processing for analyzing the
実際上、分析要求入力部111は、分析対象とするイベントが入力されると、入力されたイベントを分析の対象イベントとし、調査対象イベントを決定する(SP301)。なお、セキュリティアラートの原因となったイベントを分析要求入力部111が機械的に対象イベントとしてもよい。以下の説明では、調査対象イベントを、セキュリティアラートなどのアラートの原因となったlog6に記録されているイベントとする。 In practice, when an event to be analyzed is input, the analysis request input unit 111 sets the input event as an analysis target event and determines an investigation target event (SP301). The analysis request input unit 111 may mechanically set the event that caused the security alert as the target event. In the following description, it is assumed that the investigation target event is an event recorded in log 6 that causes an alert such as a security alert.
分析要求入力部111によって調査対象イベントが決定されると、周辺情報取得部115は、ログ情報200の中で分析対象とするイベントの絞り込みを行い、周辺イベントを特定する(SP302)。以下の説明では、ユーザIDが「aaaaa」のイベントに調査対象を絞り込む。
When an analysis target event is determined by the analysis request input unit 111, the peripheral
周辺情報取得部115によって周辺イベントが特定されると、関係性ツリー構築部112は、絞り込んだイベント間での関係性ツリー構築をする(SP303)。具体的には、図4(B)の関係性ツリーt2においてlog3からlog5に矢印が引いてあるように遷移元から遷移先へエッジを追加する。
When a peripheral event is specified by the peripheral
ユーザIDが「aaaaa」のイベントに調査対象を絞り込んで、作成した関係性ツリー情報を図4(A)〜(D)に示す。関係性ツリー情報には、t1〜t4の識別名が付けられている。図4(A)に示す関係性ツリーt1を例に説明をすると、log1として記録された通信(イベント)が遷移元となって、log2〜log4として記録された通信が発生している。さらに、log3として記録された通信が遷移元となってlog5として記録された通信が発生している。また、図4(B)の関係性ツリーt2に示した通りアラート情報も関係性ツリー情報として表示される。
FIG. 4A to FIG. 4D show the relationship tree information created by narrowing down the investigation target to the event having the user ID “aaaaaa”. The relationship tree information is given identification names t1 to t4. The relationship tree t1 shown in FIG. 4A will be described as an example. The communication (event) recorded as log1 is the transition source, and the communication recorded as log2 to log4 occurs. Furthermore, the communication recorded as log 5 is generated with the communication recorded as
なお関係性ツリー構築部112が作成した関係性ツリーt1〜t4は適宜、過去履歴管理部113によって関係性ツリー履歴情報121に保存される。
The relationship trees t1 to t4 created by the relationship
関係性ツリー構築部112が関係性ツリーt1〜t4を作成すると、関係性ツリー不審度計算部114は関係性ツリーt1〜t4の不審度を計算する不審度計算処理を行う(SP304)。
When the relationship
図5に不審度計算処理の処理手順を示す。不審度計算処理は、ルールテーブルである構造分析ルールテーブル122及び履歴照合ルールテーブル123を参照して、不審な通信(イベント)を特定する。 FIG. 5 shows a processing procedure of the suspicious degree calculation processing. In the suspicious degree calculation process, the suspicious communication (event) is specified by referring to the structural analysis rule table 122 and the history matching rule table 123 which are rule tables.
実際上、関係性ツリー不審度計算部114は調査対象イベントがノードに含まれていない、未処理の関係性ツリー情報が有るか否かを判定する(SP501)。そして関係性ツリー不審度計算部114はこの判定で否定結果を得るとこの不審度計算処理を終了する。未処理か否かは、例えば関係性ツリー情報に処理完了フラグを設けることで判定される。
In practice, the relationship tree suspiciousness
これに対して、関係性ツリー不審度計算部114は、ステップSP501の判定で肯定結果を得ると、関係性ツリー不審度計算部114は、未処理の関係性ツリーのうちの1つを選択する(SP502)。この際、選択された関係性ツリー情報の不審度の値を初期値として0とする。
On the other hand, if the relationship tree suspiciousness
関係性ツリー不審度計算部114に選択された関係性ツリー情報に対して、関係性ツリー不審度計算部114は、関係性ツリー情報の構造を基に、ツリー構造分析処理を行う(SP503)。ツリー構造分析処理には構造分析ルールテーブル122を用いる。なおツリー構造分析処理は、不審な構造を発見して、不審度を判定するため、各ルールによって不審度が加算される。本実施の形態では構造から判定する場合、不審度は加算のみされているが、一般的で安全な構造を発見して減算してもよいものとする。
For the relationship tree information selected by the relationship tree suspiciousness
図6に構造分析ルールテーブル122の内容を示す。構造分析ルールテーブル122には、各構造分析ルールが格納されており、各ルールは、ルール番号欄601、判定条件欄602、処理欄603及び不審度判定欄604を含む。
FIG. 6 shows the contents of the structure analysis rule table 122. Each structural analysis rule is stored in the structural analysis rule table 122, and each rule includes a
ルール番号欄601には、各ルールを区別するために付けるルール番号が格納されており、「s1」、「s2」、……と、不審度判定欄604の不審度が高い順に数字が割り付けられている。判定条件欄602には、不審な構造を判定するための判定条件が格納されている。処理欄603には、判定を行うための処理内容が格納されている。本実施の形態では説明のために判定条件欄602及び処理欄603の内容は自然言語で記載している。不審度判定欄604には、処理を行い、条件を満たした場合、どの関連ツリー情報の不審度をどのように増減させるかを定義している。
The
具体的には、ルールs1は、分析対象の関係性ツリー情報に含まれるイベントのアクセス先が、脅威情報を公開しているサイトで不審と判定されるものがあるか否かを調査するルールである。本ルールに合致した関係性ツリー情報は、悪性な通信ログが含まれている可能性が高いため、本実施の形態では、当該関係性ツリー情報の不審度を大きく上げるよう定義している(不審度に+5)。 Specifically, the rule s1 is a rule for investigating whether or not the access destination of the event included in the relationship tree information to be analyzed is determined to be suspicious at a site that discloses threat information. is there. Since the relationship tree information that matches this rule is likely to contain a malicious communication log, this embodiment defines that the suspicious degree of the relationship tree information is greatly increased (suspicious) +5) degree.
また、ルールs2は、アクセス先のロケーション情報を指すドメインの国が関係性ツリー情報の途中で変わったか否かを判定するルールである。悪性サイトへのリダイレクト遷移では、遷移の途中から遷移先が国外サイトに変化する場合が多く、本実施の形態では、本ルールに合致した場合は当該関係性ツリー情報の不審度を中程度上げるよう定義している(不審度に+2)。 The rule s2 is a rule for determining whether the country of the domain indicating the access destination location information has changed in the middle of the relationship tree information. In redirect transition to a malicious site, the transition destination often changes to a foreign site from the middle of the transition, and in this embodiment, if this rule is met, the suspicious degree of the relationship tree information is increased moderately Defined (+2 for suspicious degree).
また、ルールs3は、アクセス先ドメインのDNSの登録日が1年未満のイベントが1つ以上含まれているか否かを判定するルールである。悪性サイトはDNSに登録されてから日が浅いことが多く、本実施の形態では、本ルールに合致した場合は不審度を中程度上げるよう定義している(不審度に+2)。 The rule s3 is a rule for determining whether or not one or more events whose DNS registration date of the access destination domain is less than one year are included. Malignant sites are often shallower after being registered in the DNS, and in this embodiment, the degree of suspiciousness is defined to be moderately increased if this rule is met (+2 for suspiciousness).
また、ルールs4は、2回以上のリダイレクト遷移が発生した通信が関係性ツリー情報に含まれているか否かを判定するルールである。リダイレクト遷移は、通常のWebページの閲覧におけるページ遷移とは異なり、リソースファイル等を取得しない。すなわち、ツリー構造の次数を調査することで、リダイレクトが発生した可能性が高いことを調べることが出来る。リダイレクトは悪性な通信だけではなく、正常な通信でも発生することがあるため、本実施の形態では、本ルールに合致した場合は不審度を小程度上げるよう定義している(不審度に+1)。 The rule s4 is a rule for determining whether or not communication in which two or more redirect transitions have occurred is included in the relationship tree information. Unlike the page transition in normal web page browsing, the redirect transition does not acquire a resource file or the like. In other words, by examining the order of the tree structure, it is possible to examine the possibility that redirection has occurred. Since redirection may occur not only for malicious communication but also for normal communication, in this embodiment, it is defined that the suspicious degree is raised to a small degree when this rule is met (+1 for suspicious degree). .
例えば、本実施の形態では、ルールs2〜s4を調べることで、全てのルールが合致した場合は、たとえルールs1に合致していなくても、ルールs1に合致したのと同等に不審度が上がる(+5)判定になる。このように複数のルールを用いることで未知の悪性サイトであっても、ツリーの構造や周辺情報を用いて不審度を詳細に分析することが可能である。 For example, in the present embodiment, by checking the rules s2 to s4, if all the rules match, even if they do not match the rule s1, the degree of suspiciousness increases as if it matches the rule s1. (+5) Judgment is made. In this way, even if it is an unknown malignant site by using a plurality of rules, it is possible to analyze the degree of suspiciousness in detail using the tree structure and surrounding information.
関係性ツリー不審度計算部114は、ツリー構造分析処理で不審度を計算すると、さらに履歴照合処理を行う(SP504)。履歴照合処理には履歴照合ルールテーブル123を用いる。なお履歴照合処理においては、過去に問題のなかった履歴を照合して、不審度を判定するため、各ルールによって不審度が減算される。本実施の形態では履歴から判定する場合、不審度は減算のみされているが、過去に問題のあった履歴を照合して、不審度を加算してもよいものとする。
When the relationship tree suspiciousness
図7に履歴照合ルールテーブル123の内容を示す。履歴照合ルールテーブル123には、各履歴照合ルールが格納されており、各ルールは、ルール番号欄701、判定条件欄702、処理欄703及び不審度判定欄704を含む。
FIG. 7 shows the contents of the history matching rule table 123. Each history matching rule is stored in the history matching rule table 123, and each rule includes a
ルール番号欄701には、各ルールを区別するために付けるルール番号が格納されており、「r1」、「r2」、……と、不審度判定欄704の不審度が高い順に数字が割り付けられている。判定条件欄702には、安全な履歴を判定するための判定条件が格納されている。処理欄703には、判定を行うための処理内容が格納されている。本実施の形態では説明のために判定条件欄702及び処理欄703の内容は自然言語で記載している。不審度判定欄704には、処理を行い、条件を満たした場合、どの関連ツリー情報の不審度をどのように増減させるかを定義している。
The
具体的には、ルールr1は、関係性ツリー履歴情報121の中の、分析対象の関連ツリー情報に含まれる通信と同じアクセス先にアクセスしているにも関わらず、アラートが発生していない事例があったか否かを判定するルールである。本ルールに合致した関係性ツリー情報は、悪性な通信とは無関係な可能性が高いため、本実施の形態では、不審度を下げるよう定義している(不審度に−1)。
Specifically, the rule r1 is a case where an alert is not generated even though the same access destination as the communication included in the relation tree information to be analyzed is accessed in the relation
また、ルールr2は、ルールr1に合致し、関係性ツリー履歴情報121の該当イベントの発生日が1日以内であるか否かを判定するルールである。攻撃者による改ざんはいつ行われるかわからないため、例えば、アラートが発生しなかった事例が1日未満に発生していれば、本実施の形態では、不審度をさらに下げるよう定義している(不審度に−1)。
The rule r2 is a rule that matches the rule r1 and determines whether the occurrence date of the event in the relationship
また、ルールr3は、ルールr1に合致し、関係性ツリー履歴情報121の該当イベントのユーザエージェントの値が同じであった場合には、同じ条件(ブラウザ)を用いてアクセスを行っているにも関わらずアラートが発生していない事例があったことを表す。このため、本実施の形態では、不審度をさらに下げるよう定義している(不審度に−1)。これは、近年の悪性サイトは、特定のブラウザなどに狙いを定め、狙いを定めたブラウザ以外には攻撃を行わない(すなわちアラートが発生しない)場合があるためである。
In addition, when the rule r3 matches the rule r1 and the value of the user agent of the corresponding event in the relationship
なお、上述したルールは一例であり、これ以外のルールを組み合わせて用いることも可能である。 Note that the above-described rules are examples, and other rules can be used in combination.
不審度計算処理の計算結果は図8(A)〜(D)に示すように、関係性ツリー情報の不審度と不審度の内訳として合致したルールのルール番号を関係性ツリー情報に表示してもよい。 As shown in FIGS. 8A to 8D, the calculation result of the suspiciousness degree calculation process is displayed by displaying the suspicious degree of the relationship tree information and the rule number of the rule that matches as the breakdown of the suspicious degree in the relationship tree information. Also good.
具体的には、図8(A)に示す関係性ツリーt1は、不審理由として示したように、構造分析ルールテーブル122のルールs2とルールs4に合致するため、不審度として+3となる。また、図8(B)に示す関係性ツリーt2は、分析対象イベントを含むツリーであるため、不審度判定の対象外である。図8(C)に示す関係性ツリーt3及び図8(D)に示すt4は関係性ツリーt1と同様である。 Specifically, the relationship tree t1 shown in FIG. 8A matches the rules s2 and s4 of the structural analysis rule table 122 as shown as the reason for suspiciousness, so the suspicious degree becomes +3. Further, the relationship tree t2 illustrated in FIG. 8B is a tree including the analysis target event, and thus is not subject to the suspicious degree determination. The relationship tree t3 shown in FIG. 8C and t4 shown in FIG. 8D are the same as the relationship tree t1.
以上の通り不審度計算処理から、関係性ツリーt1がもっとも不審な一連の通信(イベント)であると知ることが出来る。 As described above, from the suspicious degree calculation process, it can be known that the relationship tree t1 is the most suspicious series of communication (event).
関係性ツリー不審度計算部114が不審度計算処理をしたのち、不審性確認部117は不審性確認処理を行う(SP305)。
After the relationship tree suspiciousness
図9に不審性確認処理の処理手順を示す。不審性確認処理は、不審度の高い処理を実施することで実際にアラートが発生するか否かを確認する。 FIG. 9 shows a processing procedure of the suspiciousness confirmation processing. The suspiciousness confirmation process confirms whether or not an alert is actually generated by performing a process with a high suspicious degree.
実際上、不審性確認部117は調査対象イベントがノードに含まれていない、未処理の関係性ツリー情報が有るか否かを判定する(SP901)。そして不審性確認部117はこの判定で否定結果を得るとこの不審性確認処理を終了する。未処理か否かは、例えば関係性ツリー情報に処理完了フラグを設けることで判定する。
In practice, the
これに対して、不審性確認部117は、ステップSP901の判定で肯定結果を得ると、不審性確認部117は、不審度が高い未処理の関係性ツリー情報のうちの1つを選択する(SP902)。この際、不審度が高い関係性ツリー情報を優先的に選択すると実際にアラートを発生させるまでの時間を短縮できる。
In contrast, when the
不審性確認部117は、不審度が高い未処理の関係性ツリー情報を選択すると、不審性確認部117は、関係性ツリー情報のルートノード(基点となっているイベント)を取得する(SP903)。不審性確認部117は、取得したルートノードから当該イベントのアクセス先であるアクセス先URL含むリクエストヘッダを取得する。
When the
当該イベントのアクセス先であるアクセス先URLを含むリクエストヘッダを取得すると、不審性確認部117は、確認用情報取得部116を用いて、当該アクセス先URLへリクエストヘッダを当該イベントのログと同じにしてアクセスし(SP904)、不審性確認部117はステップSP901へ戻る。
When acquiring the request header including the access destination URL that is the access destination of the event, the
不審性確認部117は、アラートを発生させたログと同じセキュリティ機構を用いてアクセスによって、再度アラートが発生するか否かを判定する(SP905)。そして不審性確認部117はこの判定で否定結果を得ると、不審性確認部117は当該イベントのログと実動作との関係性ツリー情報の構造やレスポンスのバイト数が異なっていることを確認し、当該関係性ツリー情報の不審度を1加算し(SP906)、不審性確認部117はステップSP901へ戻る。
The
これに対して、不審性確認部117は、ステップSP905の判定で肯定結果を得ると、当該関係性ツリー情報を、アラートを発生させたイベントを含む関係性ツリー情報と紐づけ(SP907)、不審性確認部117はステップSP901へ戻る。このことで、アラートを発生させたログの原因となったイベントの一群のイベントである関係性ツリー情報を発見したこととする。
On the other hand, if the
なお、アラートが発生した時点で、イベントの一群のイベントである関係性ツリー情報を発見し、因果関係を発見したこととなるので、アラートが発生した際に不審性確認部117は不審性確認処理を終了してもよい。なお、実際にアラートを発生させずに、不審度が高いものがアラートの発生原因だと推定するのみにとどまってもよい。
When the alert occurs, the relationship tree information, which is a group of events, is discovered and the causal relationship is discovered. Therefore, when the alert occurs, the
不審性確認部117による不審性確認処理が終了すると、結果出力部118が分析処理の結果を出力する(SP306)。
When the suspiciousness confirmation processing by the
図10に結果出力部118が出力する出力結果表示を示す。出力結果表示は分析対象のイベントのログのログ番号1001、各関係性ツリー情報の不審度及び分析結果の概要を表示する関係性ツリー一覧1002及び不審度計算処理結果にさらに不審性確認処理での確認結果を反映させた分析結果描画領域1003を含む。
FIG. 10 shows an output result display output by the
分析結果描画領域1003は、利用者が関係性ツリー一覧1002から選択し、当該選択した関係性情報ツリーの分析結果の詳細を閲覧するための描画領域である。本実施の形態では、欠落していた因果関係を補うことで、実際には因果関係のあった2つの関係性ツリーt1及びt2を連結させて描画する。このことで、当該分析の経過を知ることが出来る。本出力を閲覧することで、利用者は、分析対象のアラート等の異常イベントが他のどのイベントが原因となって発生したのか容易に知ることが出来る。
The analysis
(2−3)関係性ツリー保存処理
不審度計算処理で使用する関係性ツリー情報については、不審度計算処理の前に適宜関係性ツリー履歴情報121に格納するが、これとは別に日ごとにバッチ処理として別のタイミングで実施してもよい。この場合、対象とするイベントの絞り込みは行わない。
(2-3) Relationship tree storage processing The relationship tree information used in the suspiciousness calculation processing is appropriately stored in the relationship
図11に関係性ツリー保存処理の処理手順を示す。関係性ツリー保存処理は、関係性ツリー情報を関係性ツリー履歴情報121に格納する。
FIG. 11 shows the processing procedure of the relationship tree saving process. In the relationship tree saving process, the relationship tree information is stored in the relationship
実際上、関係性ツリー構築部112は、イベント間での関係性ツリー構築をする(SP1101)。関係性ツリー構築部112が、イベント間での関係性ツリー構築をしたあと、過去履歴管理部113は、関係性ツリー情報を関係性ツリー履歴情報121に格納する(SP1102)。
In practice, the relationship
関係性ツリー保存処理の結果を図12に示す。図12には、関係性ツリー履歴tr1が示されている。log9及びlog10が含まれた関係性ツリー情報が表示されている。 The result of the relationship tree saving process is shown in FIG. FIG. 12 shows the relationship tree history tr1. Relationship tree information including log9 and log10 is displayed.
(3)本実施の形態の効果
以上のように本実施の形態のログ分析システム1では、リファラから追えるひとまとまりのイベントごとの関係性ツリー情報間の関係を、ルールに基づいて不審度を設定することで推定し、実動作によりアラートを発生させることで、欠落していた因果関係を確認し、補うことができる。このことにより、分析に要する時間を短縮することができる。
(3) Effect of this Embodiment As described above, in the
1……ログ分析システム、100……ログ分析装置、111……分析要求入力部、112……関係性ツリー構築部、113……過去履歴管理部、114……関係性ツリー不審度計算部、115……周辺情報取得部、116……確認用情報取得部、117……不審性確認部、118……結果出力部、121……関係性ツリー履歴情報、122……構造分析ルールテーブル、123……履歴照合ルールテーブル、141……ネットワーク、200……ログ情報。
DESCRIPTION OF
Claims (15)
複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定し、
個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、
指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、
指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、
前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する結果出力部と
を備えるログ分析システム。 A log analysis system for analyzing log information,
Based on log information including a plurality of events, determine whether there is a causal relationship between the occurrence of a plurality of the events,
A relationship tree construction unit that constructs a graph structure by making each one event one node and adding an edge between the nodes corresponding to the event when the causal relationship exists; ,
For any specified event, determine whether the tree specified in the graph structure is the tree that generated the specified event,
The relationship for calculating the degree of probability based on the determination conditions related to the events constituting each tree and the determination conditions related to the structural features of the tree in determining whether the tree has caused the specified event Sex tree suspiciousness calculation section,
A log analysis system comprising: a result output unit that outputs the graph structure with the causality as a result in consideration of the degree of certainty.
を備える請求項1に記載のログ分析システム。 The log analysis system according to claim 1, further comprising: a suspiciousness confirmation unit that supplements the causal relationship by actually confirming a suspicious operation.
を備える請求項1に記載のログ分析システム。 The log analysis system according to claim 1, further comprising: a peripheral information acquisition unit that narrows down the event to be analyzed under a predetermined condition.
前記グラフ構造の前記確からしさの度合い及び分析結果の概要を表示する関係性ツリー一覧と、
前記関係性ツリー一覧から選択された前記グラフ構造の詳細が表示される分析結果描画領域と
を備える請求項1に記載のログ分析システム。 The result output from the result output unit is:
A relationship tree list displaying the degree of certainty of the graph structure and an overview of the analysis results;
The log analysis system according to claim 1, further comprising: an analysis result drawing area in which details of the graph structure selected from the relationship tree list are displayed.
前記関係性ツリー不審度計算部は、アクセス先のロケーション情報が前記グラフ構造の途中で変化している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる
請求項1に記載のログ分析システム。 The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit, when the location information of the access destination is changing in the middle of the graph structure, changes the degree of the probability of the graph structure to a direction to determine that it is suspicious. The log analysis system according to 1.
前記関係性ツリー不審度計算部は、グラフ構造中に2回以上のリダイレクト遷移が発生している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる
請求項1に記載のログ分析システム。 The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit changes the degree of the probability of the graph structure to a direction in which it is determined to be suspicious when two or more redirect transitions occur in the graph structure. Log analysis system described in.
前記関係性ツリー不審度計算部は、指定された前記イベントと同じエージェント情報であり指定された前記イベントと同じアクセス先であって不審な動作がない前記イベントがグラフ構造中にある場合に、当該グラフ構造の前記確からしさの度合いを不審ではないと判定する向きに変化させる
請求項1に記載のログ分析システム。 The event comprises agent information used for access,
The relationship tree suspiciousness degree calculation unit is the same agent information as the specified event, the same access destination as the specified event, and when there is no suspicious action in the graph structure, The log analysis system according to claim 1, wherein the degree of likelihood of the graph structure is changed to a direction in which it is determined that the graph structure is not suspicious.
前記ログ分析システムは、関係性ツリー構築部と、関係性ツリー不審度計算部と、結果出力部とを有し、
前記関係性ツリー構築部が、複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定する第1のステップと、
前記関係性ツリー構築部が、個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する第2のステップと、
前記関係性ツリー不審度計算部が、指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定する第3のステップと、
前記関係性ツリー不審度計算部が、指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する第4のステップと、
前記結果出力部が、前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する第5のステップと
を備えるログ分析方法。 A log analysis method in a log analysis system for analyzing log information,
The log analysis system includes a relationship tree construction unit, a relationship tree suspicious degree calculation unit, and a result output unit,
A first step in which the relationship tree construction unit determines whether there is a causal relationship of occurrence of a plurality of events based on log information including a plurality of events;
The relationship tree construction unit makes each one event one node, and when there is a causal relationship, adds an edge between the nodes corresponding to the event, thereby creating a graph structure. A second step to build,
A third step in which the relationship tree suspiciousness degree calculating unit determines, for any specified event, whether the tree specified in the graph structure is a tree that has generated the specified event;
In determining whether the relationship tree suspiciousness degree calculation unit is a tree that has generated the specified event, a determination condition regarding the event constituting each tree, and a determination condition regarding a structural feature of the tree, A fourth step of calculating the degree of certainty based on;
A log analysis method comprising: a fifth step in which the result output unit outputs the graph structure with the causality as a result, taking into account the degree of certainty.
不審性確認部が実際に不審な動作を確認することで前記因果関係を補う第6のステップ
を備える請求項8に記載のログ分析方法。 The log analysis system has a suspiciousness confirmation unit,
The log analysis method according to claim 8, further comprising a sixth step in which the suspiciousness confirmation unit supplements the causal relationship by actually confirming a suspicious operation.
前記周辺情報取得部が分析対象とする前記イベントを所定の条件で絞り込む第6のステップ
を備える請求項8に記載のログ分析方法。 The log analysis system has a peripheral information acquisition unit,
The log analysis method according to claim 8, further comprising: a sixth step of narrowing down the event to be analyzed by the peripheral information acquisition unit according to a predetermined condition.
前記結果出力部が、関係性ツリー一覧に前記グラフ構造の前記確からしさの度合い及び分析結果の概要を表示する第6のステップと、
前記結果出力部が、分析結果描画領域に前記関係性ツリー一覧から選択された前記グラフ構造の詳細を表示する第7のステップと
を備える請求項8に記載のログ分析方法。 The result output by the result output unit has a relationship tree information list and an analysis result drawing area,
A sixth step in which the result output unit displays the degree of certainty of the graph structure and a summary of analysis results in a relationship tree list;
The log analysis method according to claim 8, wherein the result output unit includes a seventh step of displaying details of the graph structure selected from the relationship tree list in an analysis result drawing area.
前記関係性ツリー不審度計算部がアクセス先のロケーション情報が前記グラフ構造の途中で変化している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる第6のステップを備える
請求項8に記載のログ分析方法。 The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit changes the degree of likelihood of the graph structure to a direction for determining that the suspicious degree is suspicious when the location information of the access destination changes in the middle of the graph structure. The log analysis method according to claim 8, further comprising a step.
前記関係性ツリー不審度計算部は、グラフ構造中に2回以上のリダイレクト遷移が発生している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる第6のステップを備える
請求項8に記載のログ分析方法。 The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit changes a degree of the probability of the graph structure to a direction to determine that the graph structure is suspicious when the redirect transition occurs twice or more in the graph structure. The log analysis method according to claim 8, further comprising a step.
前記関係性ツリー不審度計算部は、指定された前記イベントと同じエージェント情報であり指定された前記イベントと同じアクセス先であって不審な動作がない前記イベントがグラフ構造中にある場合に、当該グラフ構造の前記確からしさの度合いを不審ではないと判定する向きに変化させる第6のステップを備える
請求項8に記載のログ分析方法。 The event has agent information used for access,
The relationship tree suspiciousness degree calculation unit is the same agent information as the specified event, the same access destination as the specified event, and the event having no suspicious action is in the graph structure, The log analysis method according to claim 8, further comprising a sixth step of changing the degree of likelihood of the graph structure to a direction in which it is determined that the graph structure is not suspicious.
複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定し、
個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、
指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、
指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、
前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する結果出力部と
を備えるログ分析装置。 A log analyzer for analyzing log information,
Based on log information including a plurality of events, determine whether there is a causal relationship between the occurrence of a plurality of events,
A relationship tree construction unit for constructing a graph structure by making each one event one node and adding an edge between the nodes corresponding to the event when the causal relationship exists; ,
For any given event, determine whether the tree specified in the graph structure is the tree that caused the specified event,
Relationship that calculates the degree of probability based on the judgment conditions related to the events constituting each tree and the judgment conditions related to the structural features of the tree in determining whether the tree has caused the specified event Sex tree suspiciousness calculation section,
A log analysis apparatus comprising: a result output unit that outputs the graph structure with the causality as a result, taking into account the degree of certainty.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016151528A JP6623128B2 (en) | 2016-08-01 | 2016-08-01 | Log analysis system, log analysis method, and log analysis device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016151528A JP6623128B2 (en) | 2016-08-01 | 2016-08-01 | Log analysis system, log analysis method, and log analysis device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018022248A JP2018022248A (en) | 2018-02-08 |
JP6623128B2 true JP6623128B2 (en) | 2019-12-18 |
Family
ID=61164456
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016151528A Active JP6623128B2 (en) | 2016-08-01 | 2016-08-01 | Log analysis system, log analysis method, and log analysis device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6623128B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11194906B2 (en) * | 2018-07-31 | 2021-12-07 | Nec Corporation | Automated threat alert triage via data provenance |
KR102225040B1 (en) * | 2018-08-29 | 2021-03-09 | 한국과학기술원 | Method and system for security information and event management based on artificial intelligence |
US20220179908A1 (en) * | 2020-12-03 | 2022-06-09 | Institute For Information Industry | Information security device and method thereof |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5011234B2 (en) * | 2008-08-25 | 2012-08-29 | 株式会社日立情報システムズ | Attack node group determination device and method, information processing device, attack countermeasure method, and program |
JP5129725B2 (en) * | 2008-11-19 | 2013-01-30 | 株式会社日立製作所 | Device abnormality diagnosis method and system |
JP6196196B2 (en) * | 2014-08-20 | 2017-09-13 | 日本電信電話株式会社 | Inter-log causal estimation device, system abnormality detection device, log analysis system, and log analysis method |
-
2016
- 2016-08-01 JP JP2016151528A patent/JP6623128B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018022248A (en) | 2018-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11601475B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US9509714B2 (en) | Web page and web browser protection against malicious injections | |
US8800030B2 (en) | Individualized time-to-live for reputation scores of computer files | |
US12041091B2 (en) | System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling | |
US9614862B2 (en) | System and method for webpage analysis | |
US8321934B1 (en) | Anti-phishing early warning system based on end user data submission statistics | |
US9712560B2 (en) | Web page and web browser protection against malicious injections | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
Borgolte et al. | Delta: automatic identification of unknown web-based infection campaigns | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
US9830453B1 (en) | Detection of code modification | |
US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
JP5144488B2 (en) | Information processing system and program | |
JP6030272B2 (en) | Website information extraction apparatus, system, website information extraction method, and website information extraction program | |
US10560473B2 (en) | Method of network monitoring and device | |
JP2009230663A (en) | Apparatus for detecting abnormal condition in web page, program, and recording medium | |
JP6450022B2 (en) | Analysis device, analysis method, and analysis program | |
JP6623128B2 (en) | Log analysis system, log analysis method, and log analysis device | |
TWI470468B (en) | System and method for detecting web malicious programs and behaviors | |
JP5656266B2 (en) | Blacklist extraction apparatus, extraction method and extraction program | |
JP6691240B2 (en) | Judgment device, judgment method, and judgment program | |
CN108028843A (en) | Passive type web application firewalls | |
JP5386015B1 (en) | Bug detection apparatus and bug detection method | |
JP5461645B2 (en) | Web page abnormality detection device, program, and recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181121 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191029 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191112 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191125 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6623128 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |