JP6623128B2 - Log analysis system, log analysis method, and log analysis device - Google Patents

Log analysis system, log analysis method, and log analysis device Download PDF

Info

Publication number
JP6623128B2
JP6623128B2 JP2016151528A JP2016151528A JP6623128B2 JP 6623128 B2 JP6623128 B2 JP 6623128B2 JP 2016151528 A JP2016151528 A JP 2016151528A JP 2016151528 A JP2016151528 A JP 2016151528A JP 6623128 B2 JP6623128 B2 JP 6623128B2
Authority
JP
Japan
Prior art keywords
tree
event
relationship
graph structure
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016151528A
Other languages
Japanese (ja)
Other versions
JP2018022248A (en
Inventor
林 直樹
直樹 林
哲郎 鬼頭
哲郎 鬼頭
仲小路 博史
博史 仲小路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016151528A priority Critical patent/JP6623128B2/en
Publication of JP2018022248A publication Critical patent/JP2018022248A/en
Application granted granted Critical
Publication of JP6623128B2 publication Critical patent/JP6623128B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、ログ分析システム、ログ分析方法及びログ分析装置に関し、例えば類似又は同一のアラート発生の再発を防止するログ分析システムに適用して好適なものである。   The present invention relates to a log analysis system, a log analysis method, and a log analysis apparatus, and is suitably applied to, for example, a log analysis system that prevents recurrence of similar or identical alerts.

組織のシステムを守るためには、外部からの攻撃等によってシステムに異常が発生した際、当該異常を速やかに発見して復旧を図るだけではなく、当該異常の原因を調査して対策を講じることで、同じような異常の再発を防止することが重要である。異常の発見及び異常の原因の調査のため、システムは記録しているログを分析する。   In order to protect the organization's system, when an abnormality occurs in the system due to an external attack, etc., not only is the abnormality detected promptly and recovery is attempted, but the cause of the abnormality is investigated and countermeasures are taken. Therefore, it is important to prevent the recurrence of similar abnormalities. The system analyzes the recorded log in order to find the abnormality and investigate the cause of the abnormality.

近年被害が増加している攻撃としては、例えば攻撃者が、標的が普段利用するようなWebサイトを改ざんし、閲覧した者の計算機に異常を発生させるものがある。この攻撃では多くの場合、改ざんされたWebサイトに標的がアクセスすると、標的が意図しない複数回のリダイレクトが発生し、最終的に攻撃者が悪用しているマルウェアの配布サイトまで誘導される。閲覧した者が、誘導されたマルウェアの配布サイトでマルウェアを取得し、閲覧した者の計算機にマルウェアをインストールすると、閲覧した者の計算機から組織のシステム内にマルウェアによる攻撃が行われてしまう。   As an attack whose damage has been increasing in recent years, for example, there is an attack in which an attacker alters a Web site normally used by a target and causes an abnormality in a computer of a person who browses. In many cases, in this attack, when a target accesses a Web site that has been tampered with, a redirect that is not intended by the target occurs multiple times, and finally leads to a malware distribution site that is exploited by the attacker. When a person who browses acquires malware on the site where the derived malware is distributed, and installs the malware on the computer of the person who viewed the malware, an attack by the malware is performed in the system of the organization from the computer of the viewer.

このような攻撃では、攻撃者が複数のマルウェアの配布サイトを準備し、そのうちのいずれかにランダムに誘導することもある。従って、そのような攻撃による異常を検知した場合、個々のマルウェアの配布サイトへのアクセスをブロックするだけではなく、改ざんされたWebサイトを発見することで、当該Webサイトへのアクセスを一時的に遮断する又は当該Webサイトの管理者に改ざんの旨を通知することで復旧を促す、などの再発防止策を講じることが重要である。   In such an attack, an attacker may set up multiple malware distribution sites and randomly navigate to one of them. Therefore, when an abnormality due to such an attack is detected, not only access to individual malware distribution sites is blocked, but access to the websites is temporarily detected by discovering altered websites. It is important to take measures to prevent recurrence such as blocking or prompting recovery by notifying the administrator of the Web site of falsification.

すなわち、例えば、マルウェアをダウンロードした旨のアラートが発生した場合には、当該アクセスがどのような経緯で発生したのかについて、通信ログなどを基に調査し、入り口となったWebサイトを特定する必要がある。   In other words, for example, when an alert indicating that malware has been downloaded occurs, it is necessary to investigate how the access occurred based on the communication log, etc., and identify the website that became the entrance. There is.

一方で、近年の組織のシステムは多種多様及び多数の機器やアプリケーションで構成されているため、ログに記載された事象間の因果関係を辿り異常の発生原因を特定するには、大量のシステムログやセキュリティログを調査する必要があり、長時間を要するようになっている。   On the other hand, since recent organizational systems are composed of a wide variety of devices and applications, a large number of system logs can be used to identify the cause of abnormalities by tracing the causal relationship between events described in the log. It is necessary to investigate the security log and it takes a long time.

このような情報間の関係性の分析を効率化するログ分析システムの1つとして、特許文献1には、情報をグラフ構造として保持し、検索条件の基点となったノードに指定した初期値を設定して一定比率で減少させながら伝播させ、最終的に閾値以上となったノード集合を検索結果として出力することで、既存の検索においては容易にたどり着かない情報を効率的に取得する発明が開示されている。   As one of log analysis systems that facilitate the analysis of the relationship between such information, Patent Document 1 holds information as a graph structure and sets an initial value designated as a node that is a base point of a search condition. An invention is disclosed that efficiently obtains information that cannot be easily reached in an existing search by setting and propagating while decreasing at a constant rate, and finally outputting a node set that exceeds the threshold value as a search result Has been.

特開2010−191902号公報JP 2010-191902 A

特許文献1によれば、情報間の関係性をグラフ構造として保持してクラスタリングすることできるため、検索対象情報と関係がある情報を推移的に抽出することができる。従って当該技術を用いることで、ログに記載されたイベント間の関係性を基に構成できるグラフ構造を辿ることができ、発生原因を効率的に調べることができる。例えば、通常のHTTP(Hyper Text Transfer Protocol)の遷移であれば、プロキシサーバ等の通信ログに、通信の遷移元情報であるHTTPヘッダのREFERER(以下、リファラと呼ぶ)を記録させることが可能である。   According to Patent Document 1, since the relationship between information can be held and clustered as a graph structure, information related to the search target information can be extracted transitively. Therefore, by using this technique, it is possible to trace a graph structure that can be configured based on the relationship between events described in the log, and to efficiently investigate the cause of occurrence. For example, in the case of normal HTTP (Hyper Text Transfer Protocol) transitions, it is possible to record the HTTP header REFERER (hereinafter referred to as a referrer), which is communication transition source information, in a communication log of a proxy server or the like. is there.

しかしながら、ログに記載される情報には、イベント間の関係性が部分的に欠落することも多い。例えば、当該通信のプロトコルが途中で変化したり又はブラウザの脆弱性を突いた遷移であったりする場合には、通信ヘッダにリファラが含まれないため遷移元に関する情報をログとして残せず、従って、グラフ構造が途中で途切れてしまうことになる。   However, the information described in the log often lacks a partial relationship between events. For example, if the communication protocol changes midway or transitions that exploit the vulnerability of the browser, the referrer is not included in the communication header, so information about the transition source cannot be left as a log. The graph structure will be interrupted.

かかる課題を解決するため本発明においては、ログ分析システムは、ログ情報を分析するログ分析システムであって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。   In order to solve such a problem, in the present invention, the log analysis system is a log analysis system for analyzing log information, and whether there is a causal relationship between occurrences of a plurality of events based on log information including a plurality of events. A relationship tree construction that constructs a graph structure by determining whether or not each event is a node and adding an edge between nodes corresponding to the event when a causal relationship exists And for any specified event, determine whether the tree specified in the graph structure is the tree that generated the specified event, and whether it is the tree that generated the specified event In the judgment, the relationship tree suspicious degree that calculates the degree of probability based on the judgment conditions related to the events constituting each tree and the judgment conditions related to the structural features of the tree A calculation unit, taking into account the likelihood degree of and to and an result output unit for outputting a graph structure supplemented with causality as the result.

また、本発明においては、ログ分析方法は、ログ情報を分析するログ分析システムにおけるログ分析方法であって、ログ分析システムは、関係性ツリー構築部と、関係性ツリー不審度計算部と、結果出力部とを有し、関係性ツリー構築部が、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定する第1のステップと、関係性ツリー構築部が個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する第2のステップと、関係性ツリー不審度計算部が、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定する第3のステップと、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する第4のステップとを備えるようにした。   In the present invention, the log analysis method is a log analysis method in a log analysis system for analyzing log information, and the log analysis system includes a relationship tree construction unit, a relationship tree suspiciousness calculation unit, a result A first step of determining whether there is a causal relationship of occurrence of a plurality of events based on log information including a plurality of events, and a relationship tree; A second step of constructing a graph structure by adding an edge between nodes corresponding to the event when the construction unit sets each individual event as one node and a causal relationship exists; A third step in which the sex tree suspiciousness degree calculation unit determines whether, for any specified event, the tree defined by the graph structure is a tree that has generated the specified event; In determining whether the tree has caused the specified event, a degree of probability is calculated based on a determination condition regarding an event constituting each tree and a determination condition regarding a structural feature of the tree. The steps are provided.

また、本発明においては、ログ分析装置は、ログ情報を分析するログ分析装置であって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。   In the present invention, the log analysis device is a log analysis device that analyzes log information, and determines whether or not there is a causal relationship between occurrences of a plurality of events based on log information including a plurality of events. A relationship tree construction unit that constructs a graph structure by adding an edge between nodes corresponding to the event when a single event is made a node and a causal relationship exists. For any given event, it is determined whether the tree specified in the graph structure is the tree that generated the specified event, and in determining whether the tree that generated the specified event is A relationship tree suspiciousness calculator that calculates the degree of certainty based on the judgment conditions related to the events that make up the tree and the judgment conditions related to the structural features of the tree, and the degree of likelihood Taking into account, and to include the result output unit for outputting a graph structure supplemented with causality as the result.

本発明によれば、イベント間の関係性が部分的に欠落している場合に対応したログ分析システム、ログ分析方法及びログ分析装置を実現できる。   According to the present invention, it is possible to realize a log analysis system, a log analysis method, and a log analysis device corresponding to a case where the relationship between events is partially lost.

本発明の実施の形態によるシステム構成を示す図である。It is a figure which shows the system configuration | structure by embodiment of this invention. 本発明の実施の形態による分析対象であるログを示す図である。It is a figure which shows the log which is the analysis object by embodiment of this invention. 本発明の実施の形態による分析処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the analysis process by embodiment of this invention. 本発明の実施の形態による周辺イベントの関係性ツリー構築処理の処理結果である。It is a process result of the relationship tree construction process of the surrounding event by embodiment of this invention. 本発明の実施の形態による不審度計算処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of a suspicious degree calculation process by embodiment of this invention. 本発明の実施の形態による構造分析ルールである。It is a structure analysis rule by embodiment of this invention. 本発明の実施の形態による履歴照合ルールである。It is a history collation rule by an embodiment of the invention. 本発明の実施の形態による不審度計算処理の処理結果である。It is a process result of a suspicious degree calculation process by embodiment of this invention. 本発明の実施の形態による不審性確認処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the suspiciousness confirmation process by embodiment of this invention. 本発明の実施の形態による不審性確認処理の処理結果である。It is a process result of the suspiciousness confirmation process by embodiment of this invention. 本発明の実施の形態による関係性ツリー保存処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the relationship tree preservation | save process by embodiment of this invention. 本発明の実施の形態による関係性ツリー保存処理の処理結果である。It is a processing result of the relationship tree preservation | save process by embodiment of this invention.

以下図面について、本発明の一実施の形態を詳述する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

(1)本実施の形態によるログ分析システムの構成
図1において、1は全体として本実施の形態によるログ分析システムを示す。ログ分析システム1は、ログ分析装置100にネットワーク141を介して分析対象であるログ情報200を入力するプロキシサーバ等が接続されており、ログ分析装置100には記憶媒体171を接続することができる。記憶媒体171は、ICカードやUSBメモリ等であり、可搬性を有する。
(1) Configuration of Log Analysis System According to this Embodiment In FIG. 1, reference numeral 1 denotes a log analysis system according to this embodiment as a whole. In the log analysis system 1, a proxy server or the like that inputs log information 200 to be analyzed is connected to the log analysis device 100 via a network 141, and a storage medium 171 can be connected to the log analysis device 100. . The storage medium 171 is an IC card, a USB memory, or the like and has portability.

プロキシサーバ及びログ分析装置100は、CPU(Central Processing Unit)及びメモリ等の情報資源を備えたコンピュータ装置であり、例えば、オープン系のサーバや、メインフレームコンピュータなどから構成される。ログ分析装置100は、メモリ110、外部記憶装置120、CPU130、通信装置140、入力装置150、出力装置160及び読取装置170がインタフェース180を介して接続されている。   The proxy server and log analysis device 100 is a computer device including information resources such as a CPU (Central Processing Unit) and a memory, and is configured by, for example, an open system server or a mainframe computer. In the log analysis device 100, a memory 110, an external storage device 120, a CPU 130, a communication device 140, an input device 150, an output device 160, and a reading device 170 are connected via an interface 180.

外部記憶装置120は、HDD(Hard Disk Drive)などであり、ログ分析機能によってログ分析を行う際に、参照するテーブルである関係性ツリー履歴情報121、構造分析ルールテーブル122及び履歴照合ルールテーブル123を備える。なお、関係性ツリー履歴情報121、構造分析ルールテーブル122及び履歴照合ルールテーブル123はメモリ110に備えられていてもよい。   The external storage device 120 is an HDD (Hard Disk Drive) or the like, and when performing log analysis by the log analysis function, the relationship tree history information 121, the structure analysis rule table 122, and the history matching rule table 123, which are tables to be referred to. Is provided. The relationship tree history information 121, the structure analysis rule table 122, and the history matching rule table 123 may be provided in the memory 110.

メモリ110は、分析要求入力部111、関係性ツリー構築部112、過去履歴管理部113、関係性ツリー不審度計算部114、周辺情報取得部115、確認用情報取得部116、不審性確認部117及び結果出力部118を備える。これらは、ログ分析機能を実現するために必要なプログラム等であって、メモリ110に直接ロードされてもよいし、外部記憶装置120や記憶媒体171に保存されていてもよく、CPU130によって実行される。プログラムをCPU130に実行させるための媒体は外部記憶装置120や記憶媒体171に限らず、利用可能な媒体であればよく、ネットワーク141を伝搬する搬送波やディジタル信号でもよい。   The memory 110 includes an analysis request input unit 111, a relationship tree construction unit 112, a past history management unit 1113, a relationship tree suspicious degree calculation unit 114, a peripheral information acquisition unit 115, a confirmation information acquisition unit 116, and a suspiciousness confirmation unit 117. And a result output unit 118. These are programs necessary for realizing the log analysis function, and may be loaded directly into the memory 110 or may be stored in the external storage device 120 or the storage medium 171 and executed by the CPU 130. The A medium for causing the CPU 130 to execute the program is not limited to the external storage device 120 and the storage medium 171, and may be any available medium, and may be a carrier wave or a digital signal that propagates through the network 141.

通信装置140は、インターネットやLAN等のネットワーク141を介して、他の装置と通信を行う。入力装置150は、キーボードやマウス等であり、出力装置160は、モニタやプリンタ等である。読取装置170は、記憶媒体171を接続し、その内容を読み取る。   The communication device 140 communicates with other devices via a network 141 such as the Internet or a LAN. The input device 150 is a keyboard, a mouse, or the like, and the output device 160 is a monitor, a printer, or the like. The reading device 170 connects the storage medium 171 and reads the contents.

分析要求入力部111は本ログ分析装置100を利用する利用者が入力装置150によって入力する分析要求を受け付ける。利用者は、分析対象とするイベント等を入力する。利用者はこの際にログ情報200をログ分析装置100へ送付してもよい。ログ情報200は予め、定期的に送付されていてもよい。ログ情報200は、ネットワーク141を介してログ分析装置100に入力されてもよいし、記憶媒体171を介してログ分析装置100に入力されてもよい。   The analysis request input unit 111 accepts an analysis request input by the user using the log analysis apparatus 100 through the input device 150. The user inputs an event to be analyzed. At this time, the user may send the log information 200 to the log analysis apparatus 100. The log information 200 may be sent periodically in advance. The log information 200 may be input to the log analysis device 100 via the network 141 or may be input to the log analysis device 100 via the storage medium 171.

分析要求入力部111が分析要求を受けると、ログ情報200を分析するログ分析処理がログ分析装置100によって開始される。なお不審な動作などによりセキュリティアラート(以下、アラートと呼ぶ)が発生した場合に、当該アラートの原因となったイベントをシステムが機械的に分析対象としてもよい。   When the analysis request input unit 111 receives an analysis request, the log analysis device 100 starts log analysis processing for analyzing the log information 200. When a security alert (hereinafter referred to as an alert) occurs due to a suspicious operation or the like, the system may mechanically analyze the event that caused the alert.

ログ分析処理として、関係性ツリー構築部112は、ログ情報200のイベント間の関係性を分析する。関係性とは、ログ情報200に記載されたあるイベントが、同じくログ情報200に記載された別のイベントを引き起こす契機になっているという関係を指す。また、関係性ツリー情報とは、個々のイベントをノード、関係性をエッジとして構築したグラフ構造(以下、ツリーと呼ぶ)のことである。ログ情報200を基に関係性ツリー情報を構築すると、全てのイベントが相互に関係性を有すとは限らないため、互いに連結していない(関係性を有してない)複数の関係性ツリー情報が構築される。   As the log analysis processing, the relationship tree construction unit 112 analyzes the relationship between events of the log information 200. The relationship refers to a relationship in which an event described in the log information 200 is a trigger for causing another event similarly described in the log information 200. The relationship tree information is a graph structure (hereinafter referred to as a tree) constructed by using individual events as nodes and relationships as edges. When the relationship tree information is constructed on the basis of the log information 200, not all events are related to each other. Therefore, a plurality of relationship trees that are not connected to each other (not related). Information is built.

過去履歴管理部113は、関係性ツリー構築部112で構築された関係性ツリー情報を関係性ツリー履歴情報121へ格納し、保管する。このことで、関係性ツリー構築部112で構築された関係性ツリー情報をのちに使うことができる。   The past history management unit 113 stores the relationship tree information constructed by the relationship tree construction unit 112 in the relationship tree history information 121 and stores it. Thus, the relationship tree information constructed by the relationship tree construction unit 112 can be used later.

関係性ツリー不審度計算部114は、関係性ツリー構築部112が構築した関係性ツリーの、分析対象であるイベントの原因である確からしさ(以下「不審度」と呼ぶ)を計算する。なお、関係性ツリー構築部112が構築した関係性ツリー情報の量が多い場合は、関係性ツリー不審度計算部114が計算対象とする関係性ツリー情報を絞り込んでもよい。   The relationship tree suspiciousness degree calculation unit 114 calculates the probability (hereinafter referred to as “suspicious degree”) of the cause of the event to be analyzed in the relationship tree constructed by the relationship tree construction unit 112. If the amount of the relationship tree information constructed by the relationship tree construction unit 112 is large, the relationship tree information to be calculated by the relationship tree suspiciousness degree computation unit 114 may be narrowed down.

例えば、分析対象であるイベントの周辺イベントに関してのみ計算対象としてもよい。周辺イベントとは、分析対象とするイベントの周辺のイベントであり、例えばログ分析の対象とするイベントとユーザIDが同一であるイベントを指す。また、ログ分析の対象とするイベントと処理開始時間が近い(1秒以内など)イベントのログとしてもよいし、イベント発生前の1カ月又は1年などの期間のみのイベントのログを分析対象としてもよい。   For example, the calculation target may be only related to events around the event to be analyzed. The peripheral event is an event around the event to be analyzed, for example, an event having the same user ID as the event to be analyzed. In addition, it may be a log of an event whose processing start time is close (such as within 1 second) to the event subject to log analysis, or an event log only for a period of one month or one year before the event occurs Also good.

周辺情報取得部115は、ログ情報200のイベントの内容を分析するための周辺情報(以下、周辺イベントと呼ぶ)を特定するための付加的な情報(ユーザIDや処理開始時間)をログ情報200から取得する。周辺情報取得部115は本実施の形態にとって必須ではないが、周辺情報取得部115を用いることで、関係のあるイベントのみを分析する(分析対象とするイベントの絞り込みを行う)ため、より詳細で迅速な分析が可能となる。特にログ情報200の量が膨大な場合には、分析処理コスト低減のために、周辺情報取得部115での処理を行うことが望ましい。   The peripheral information acquisition unit 115 provides additional information (user ID and processing start time) for specifying peripheral information (hereinafter referred to as a peripheral event) for analyzing the event contents of the log information 200 as log information 200. Get from. The peripheral information acquisition unit 115 is not essential for the present embodiment, but by using the peripheral information acquisition unit 115, only related events are analyzed (events to be analyzed are narrowed down). Rapid analysis is possible. In particular, when the amount of log information 200 is enormous, it is desirable to perform processing in the peripheral information acquisition unit 115 to reduce analysis processing costs.

また周辺情報取得部115は、インターネットなどから脅威情報やDNS(Domain
Name System)登録情報などを取得し、関係性ツリー不審度計算部114が不審度を計算する際にそれらの情報を関係性ツリー不審度計算部114に提供してもよい。このためログ分析装置100はインターネットに接続されていることが好ましい。
The peripheral information acquisition unit 115 also obtains threat information and DNS (Domain
Name System) registration information and the like may be acquired, and when the relationship tree suspiciousness degree calculation unit 114 calculates the suspicious degree, the information may be provided to the relationship tree suspiciousness degree calculation unit 114. For this reason, the log analyzer 100 is preferably connected to the Internet.

確認用情報取得部116は、不審性確認部117が行う不審性確認処理において用いるWebコンテンツの内容などの情報をインターネットなどから取得する。確認用情報取得部116は本実施の形態にとって必須ではないが、不審性確認処理を行う場合には必要である。このためログ分析装置100はインターネットに接続されていることが好ましい。   The confirmation information acquisition unit 116 acquires information such as the contents of the Web content used in the suspiciousness confirmation process performed by the suspiciousness confirmation unit 117 from the Internet or the like. The confirmation information acquisition unit 116 is not essential for the present embodiment, but is necessary when performing suspiciousness confirmation processing. For this reason, the log analyzer 100 is preferably connected to the Internet.

不審性確認部117は、不審性確認処理を行う。不審性確認部117は、本実施の形態にとって必須の機能ではないが、不審性確認部117を用いて、ログ情報200の不審な箇所の通りに動作環境をそろえて実動作を確認することで、利用者により正確な情報を提供することが可能となる。   The suspiciousness confirmation unit 117 performs suspiciousness confirmation processing. The suspiciousness confirmation unit 117 is not an indispensable function for the present embodiment, but the suspiciousness confirmation unit 117 is used to confirm the actual operation with the operating environment according to the suspicious part of the log information 200. It is possible to provide more accurate information by the user.

結果出力部118は、ログ分析システム1の利用者に対して、分析要求入力部111を介して要求された情報の分析結果を、出力装置160を介して出力する。   The result output unit 118 outputs the analysis result of the information requested through the analysis request input unit 111 to the user of the log analysis system 1 through the output device 160.

関係性ツリー履歴情報121は、これまでに既に分析した関係性ツリー情報を履歴として保管しており、この関係性ツリー履歴情報121は不審性確認部117が行う不審性確認処理において使用される。なお、関係性ツリー不審度計算部114は、関係性ツリー履歴情報121を用いて、不審度を計算する。なお不審度は整数値で表し、数値が大きいほど不審であることを示すものとする。   The relationship tree history information 121 stores the relationship tree information that has already been analyzed as a history, and this relationship tree history information 121 is used in the suspiciousness confirmation process performed by the suspiciousness confirmation unit 117. Note that the relationship tree suspiciousness degree calculation unit 114 uses the relationship tree history information 121 to calculate the suspicious degree. The suspicious degree is represented by an integer value, and the larger the numerical value, the more suspicious.

構造分析ルールテーブル122は、関係性ツリー情報の不審度をどのように判定するかのルールを定めているテーブルであって、関係性ツリー履歴情報121を照合する。構造分析ルールテーブル122は、不審性確認部117が行う不審性確認処理で使用される。なお、関係性ツリー不審度計算部114は、構造分析ルールテーブル122を用いて、不審度を計算する。   The structure analysis rule table 122 is a table that defines rules for how to determine the suspicious degree of the relationship tree information, and collates the relationship tree history information 121. The structural analysis rule table 122 is used in the suspiciousness confirmation process performed by the suspiciousness confirmation unit 117. The relationship tree suspiciousness degree calculation unit 114 calculates the suspicious degree using the structure analysis rule table 122.

履歴照合ルールテーブル123は、関係性ツリー情報の不審度をどのように判定するかのルールを定めているテーブルであって、関係性ツリー履歴情報121を照合する。履歴照合ルールテーブル123は、不審性確認部117が行う不審性確認処理において使用される。なお、関係性ツリー不審度計算部114でも、履歴照合ルールテーブル123を用いて、不審度を計算する。   The history matching rule table 123 is a table that defines rules for how to determine the suspicious degree of the relationship tree information, and matches the relationship tree history information 121. The history matching rule table 123 is used in the suspiciousness confirmation process performed by the suspiciousness confirmation unit 117. The relationship tree suspiciousness degree calculation unit 114 also uses the history collation rule table 123 to calculate the suspicious degree.

(2)ログ分析機能
本実施の形態のログ分析機能は、入力されるログ情報200を、ルールテーブルを参照して各種処理を行うことで分析し、分析結果を出力する。
(2) Log Analysis Function The log analysis function according to the present embodiment analyzes the input log information 200 by performing various processes with reference to the rule table, and outputs an analysis result.

(2−1)ログ
本実施の形態で分析されるログ情報200は、図2に示すような、プロキシサーバが出力する典型的な構造となっており、各イベントのログが格納されている。各イベントのログは、ログ番号欄201、アクセス元IPアドレス欄202、アクセス先URL欄203、ユーザID欄204、リファラ欄205、ユーザエージェント欄206及びレスポンスのバイト数欄207を含む。
(2-1) Log The log information 200 analyzed in the present embodiment has a typical structure output by the proxy server as shown in FIG. 2, and stores a log of each event. Each event log includes a log number column 201, an access source IP address column 202, an access destination URL column 203, a user ID column 204, a referer column 205, a user agent column 206, and a response byte count column 207.

ログ番号欄201には、各イベントのログを区別するために付けるログ番号が格納されており、「log1」、「log2」、……と、時系列順に数字が割り付けられている。アクセス元IPアドレス欄202にはアクセス元のIPアドレスが格納され、例えば、「1.1.1.1」といったIPv4プロトコルのIPアドレスを格納する。アクセス先URL203欄には、アクセス先URLが格納されており、例えば、「a.com/1.html」といった形式で格納される。   The log number column 201 stores a log number assigned to distinguish the log of each event, and numbers are assigned in order of “log1”, “log2”,... The access source IP address column 202 stores the IP address of the access source, for example, the IP address of the IPv4 protocol such as “1.1.1.1”. The access destination URL 203 column stores the access destination URL, for example, in the format “a.com/1.html”.

ユーザID欄204には、HTTPの認証ヘッダなどに含まれる認証情報のユーザIDが格納されており、例えば、「aaaaa」といった形式で格納される。リファラ欄205には、各イベントの遷移元を示す、HTTPヘッダの1つであるリファラが格納されており、アクセス先URL欄203と同様の形式で格納されている。なお、リファラが「−」となっている場合は、HTTPヘッダにリファラが含まれていないことを示す。   The user ID column 204 stores a user ID of authentication information included in an HTTP authentication header or the like, and is stored in a format such as “aaaaaa”, for example. The referrer column 205 stores a referrer that is one of HTTP headers indicating the transition source of each event, and is stored in the same format as the access destination URL column 203. When the referrer is “−”, it indicates that the referrer is not included in the HTTP header.

ユーザエージェント欄206には、各イベントがどのアプリケーションの、どのバージョンで実行されたかを示すユーザエージェントが格納しており、「app_A;ver_1」といった形式で格納される。レスポンスのバイト数欄207には、各イベントによってサーバから何バイトのレスポンスが返ってきたかが格納されており、「300」といった形式で格納されている。   The user agent column 206 stores a user agent indicating which application and version of each event is executed, and is stored in a format such as “app_A; ver_1”. The response byte count column 207 stores the number of bytes returned from the server by each event, and is stored in a format such as “300”.

関係性ツリー情報を構築する際に、アクセス先URL及びリファラを関係性として用いる。つまり、アクセス先URLとリファラとの値が一致するイベントにおいては、前者のイベントが後者のイベントの発生原因(遷移元)であるとする。   When constructing the relationship tree information, the access destination URL and the referrer are used as the relationship. In other words, in the event where the values of the access destination URL and the referrer match, the former event is assumed to be the cause (transition source) of the latter event.

例えば、log5のリファラは「a.com/02/2.html」となっており、log3のアクセス先URLである「a.com/02/2.html」と一致する。このことから、log5の遷移元はlog3となる。   For example, the referrer of log 5 is “a.com/02/2.html”, which matches “a.com/02/2.html” which is the access destination URL of log 3. From this, the transition source of log5 is log3.

(2−2)分析処理
図3にログ情報200を関係性に基づいて分析する分析処理の処理手順を示す。分析処理は、関係性が明確(アクセス先URLとリファラとの値が一致するイベントなど)な関係性ツリー情報を構築し、関係性を有していないようにみえる複数の関係性ツリー情報間についても、目安となる基準(不審度)を設けて関係性(因果関係)を発見する。
(2-2) Analysis Processing FIG. 3 shows a processing procedure of analysis processing for analyzing the log information 200 based on the relationship. The analysis process builds relationship tree information having a clear relationship (such as an event in which the values of the access destination URL and the referrer match), and a plurality of relationship tree information that does not seem to have a relationship. In addition, we establish a standard (suspicious degree) as a guideline and discover a relationship (causal relationship).

実際上、分析要求入力部111は、分析対象とするイベントが入力されると、入力されたイベントを分析の対象イベントとし、調査対象イベントを決定する(SP301)。なお、セキュリティアラートの原因となったイベントを分析要求入力部111が機械的に対象イベントとしてもよい。以下の説明では、調査対象イベントを、セキュリティアラートなどのアラートの原因となったlog6に記録されているイベントとする。   In practice, when an event to be analyzed is input, the analysis request input unit 111 sets the input event as an analysis target event and determines an investigation target event (SP301). The analysis request input unit 111 may mechanically set the event that caused the security alert as the target event. In the following description, it is assumed that the investigation target event is an event recorded in log 6 that causes an alert such as a security alert.

分析要求入力部111によって調査対象イベントが決定されると、周辺情報取得部115は、ログ情報200の中で分析対象とするイベントの絞り込みを行い、周辺イベントを特定する(SP302)。以下の説明では、ユーザIDが「aaaaa」のイベントに調査対象を絞り込む。   When an analysis target event is determined by the analysis request input unit 111, the peripheral information acquisition unit 115 narrows down events to be analyzed in the log information 200 and identifies the peripheral event (SP302). In the following description, the investigation target is narrowed down to events having the user ID “aaaaaa”.

周辺情報取得部115によって周辺イベントが特定されると、関係性ツリー構築部112は、絞り込んだイベント間での関係性ツリー構築をする(SP303)。具体的には、図4(B)の関係性ツリーt2においてlog3からlog5に矢印が引いてあるように遷移元から遷移先へエッジを追加する。   When a peripheral event is specified by the peripheral information acquisition unit 115, the relationship tree construction unit 112 constructs a relationship tree between the narrowed events (SP303). Specifically, an edge is added from the transition source to the transition destination so that an arrow is drawn from log3 to log5 in the relationship tree t2 in FIG.

ユーザIDが「aaaaa」のイベントに調査対象を絞り込んで、作成した関係性ツリー情報を図4(A)〜(D)に示す。関係性ツリー情報には、t1〜t4の識別名が付けられている。図4(A)に示す関係性ツリーt1を例に説明をすると、log1として記録された通信(イベント)が遷移元となって、log2〜log4として記録された通信が発生している。さらに、log3として記録された通信が遷移元となってlog5として記録された通信が発生している。また、図4(B)の関係性ツリーt2に示した通りアラート情報も関係性ツリー情報として表示される。   FIG. 4A to FIG. 4D show the relationship tree information created by narrowing down the investigation target to the event having the user ID “aaaaaa”. The relationship tree information is given identification names t1 to t4. The relationship tree t1 shown in FIG. 4A will be described as an example. The communication (event) recorded as log1 is the transition source, and the communication recorded as log2 to log4 occurs. Furthermore, the communication recorded as log 5 is generated with the communication recorded as log 3 as the transition source. Further, as shown in the relationship tree t2 in FIG. 4B, the alert information is also displayed as the relationship tree information.

なお関係性ツリー構築部112が作成した関係性ツリーt1〜t4は適宜、過去履歴管理部113によって関係性ツリー履歴情報121に保存される。   The relationship trees t1 to t4 created by the relationship tree construction unit 112 are appropriately stored in the relationship tree history information 121 by the past history management unit 113.

関係性ツリー構築部112が関係性ツリーt1〜t4を作成すると、関係性ツリー不審度計算部114は関係性ツリーt1〜t4の不審度を計算する不審度計算処理を行う(SP304)。   When the relationship tree construction unit 112 creates the relationship trees t1 to t4, the relationship tree suspicious degree calculation unit 114 performs suspicious degree calculation processing for calculating the suspicious degrees of the relationship trees t1 to t4 (SP304).

図5に不審度計算処理の処理手順を示す。不審度計算処理は、ルールテーブルである構造分析ルールテーブル122及び履歴照合ルールテーブル123を参照して、不審な通信(イベント)を特定する。   FIG. 5 shows a processing procedure of the suspicious degree calculation processing. In the suspicious degree calculation process, the suspicious communication (event) is specified by referring to the structural analysis rule table 122 and the history matching rule table 123 which are rule tables.

実際上、関係性ツリー不審度計算部114は調査対象イベントがノードに含まれていない、未処理の関係性ツリー情報が有るか否かを判定する(SP501)。そして関係性ツリー不審度計算部114はこの判定で否定結果を得るとこの不審度計算処理を終了する。未処理か否かは、例えば関係性ツリー情報に処理完了フラグを設けることで判定される。   In practice, the relationship tree suspiciousness degree calculation unit 114 determines whether there is unprocessed relationship tree information in which the investigation target event is not included in the node (SP501). When the relationship tree suspiciousness degree calculation unit 114 obtains a negative result in this determination, the suspiciousness degree calculation process ends. Whether or not it is unprocessed is determined, for example, by providing a processing completion flag in the relationship tree information.

これに対して、関係性ツリー不審度計算部114は、ステップSP501の判定で肯定結果を得ると、関係性ツリー不審度計算部114は、未処理の関係性ツリーのうちの1つを選択する(SP502)。この際、選択された関係性ツリー情報の不審度の値を初期値として0とする。   On the other hand, if the relationship tree suspiciousness degree calculation unit 114 obtains a positive result in the determination at step SP501, the relationship tree suspicious degree calculation unit 114 selects one of the unprocessed relationship trees. (SP502). At this time, the suspiciousness value of the selected relationship tree information is set to 0 as an initial value.

関係性ツリー不審度計算部114に選択された関係性ツリー情報に対して、関係性ツリー不審度計算部114は、関係性ツリー情報の構造を基に、ツリー構造分析処理を行う(SP503)。ツリー構造分析処理には構造分析ルールテーブル122を用いる。なおツリー構造分析処理は、不審な構造を発見して、不審度を判定するため、各ルールによって不審度が加算される。本実施の形態では構造から判定する場合、不審度は加算のみされているが、一般的で安全な構造を発見して減算してもよいものとする。   For the relationship tree information selected by the relationship tree suspiciousness degree calculation unit 114, the relationship tree suspicious degree calculation unit 114 performs a tree structure analysis process based on the structure of the relationship tree information (SP503). The structure analysis rule table 122 is used for the tree structure analysis process. In the tree structure analysis process, a suspicious degree is added by each rule in order to find a suspicious structure and determine the suspicious degree. In this embodiment, when judging from the structure, the suspicious degree is only added, but a general and safe structure may be found and subtracted.

図6に構造分析ルールテーブル122の内容を示す。構造分析ルールテーブル122には、各構造分析ルールが格納されており、各ルールは、ルール番号欄601、判定条件欄602、処理欄603及び不審度判定欄604を含む。   FIG. 6 shows the contents of the structure analysis rule table 122. Each structural analysis rule is stored in the structural analysis rule table 122, and each rule includes a rule number column 601, a determination condition column 602, a processing column 603, and a suspiciousness degree determination column 604.

ルール番号欄601には、各ルールを区別するために付けるルール番号が格納されており、「s1」、「s2」、……と、不審度判定欄604の不審度が高い順に数字が割り付けられている。判定条件欄602には、不審な構造を判定するための判定条件が格納されている。処理欄603には、判定を行うための処理内容が格納されている。本実施の形態では説明のために判定条件欄602及び処理欄603の内容は自然言語で記載している。不審度判定欄604には、処理を行い、条件を満たした場合、どの関連ツリー情報の不審度をどのように増減させるかを定義している。   The rule number column 601 stores a rule number assigned to distinguish each rule, and “s1”, “s2”,... Are assigned numbers in descending order of suspiciousness degree in the suspiciousness degree judgment field 604. ing. The determination condition column 602 stores determination conditions for determining a suspicious structure. The processing column 603 stores the processing content for performing the determination. In the present embodiment, the contents of the determination condition column 602 and the processing column 603 are described in natural language for explanation. The suspiciousness degree determination column 604 defines how to increase or decrease the suspicious degree of which related tree information when processing is performed and the condition is satisfied.

具体的には、ルールs1は、分析対象の関係性ツリー情報に含まれるイベントのアクセス先が、脅威情報を公開しているサイトで不審と判定されるものがあるか否かを調査するルールである。本ルールに合致した関係性ツリー情報は、悪性な通信ログが含まれている可能性が高いため、本実施の形態では、当該関係性ツリー情報の不審度を大きく上げるよう定義している(不審度に+5)。   Specifically, the rule s1 is a rule for investigating whether or not the access destination of the event included in the relationship tree information to be analyzed is determined to be suspicious at a site that discloses threat information. is there. Since the relationship tree information that matches this rule is likely to contain a malicious communication log, this embodiment defines that the suspicious degree of the relationship tree information is greatly increased (suspicious) +5) degree.

また、ルールs2は、アクセス先のロケーション情報を指すドメインの国が関係性ツリー情報の途中で変わったか否かを判定するルールである。悪性サイトへのリダイレクト遷移では、遷移の途中から遷移先が国外サイトに変化する場合が多く、本実施の形態では、本ルールに合致した場合は当該関係性ツリー情報の不審度を中程度上げるよう定義している(不審度に+2)。   The rule s2 is a rule for determining whether the country of the domain indicating the access destination location information has changed in the middle of the relationship tree information. In redirect transition to a malicious site, the transition destination often changes to a foreign site from the middle of the transition, and in this embodiment, if this rule is met, the suspicious degree of the relationship tree information is increased moderately Defined (+2 for suspicious degree).

また、ルールs3は、アクセス先ドメインのDNSの登録日が1年未満のイベントが1つ以上含まれているか否かを判定するルールである。悪性サイトはDNSに登録されてから日が浅いことが多く、本実施の形態では、本ルールに合致した場合は不審度を中程度上げるよう定義している(不審度に+2)。   The rule s3 is a rule for determining whether or not one or more events whose DNS registration date of the access destination domain is less than one year are included. Malignant sites are often shallower after being registered in the DNS, and in this embodiment, the degree of suspiciousness is defined to be moderately increased if this rule is met (+2 for suspiciousness).

また、ルールs4は、2回以上のリダイレクト遷移が発生した通信が関係性ツリー情報に含まれているか否かを判定するルールである。リダイレクト遷移は、通常のWebページの閲覧におけるページ遷移とは異なり、リソースファイル等を取得しない。すなわち、ツリー構造の次数を調査することで、リダイレクトが発生した可能性が高いことを調べることが出来る。リダイレクトは悪性な通信だけではなく、正常な通信でも発生することがあるため、本実施の形態では、本ルールに合致した場合は不審度を小程度上げるよう定義している(不審度に+1)。   The rule s4 is a rule for determining whether or not communication in which two or more redirect transitions have occurred is included in the relationship tree information. Unlike the page transition in normal web page browsing, the redirect transition does not acquire a resource file or the like. In other words, by examining the order of the tree structure, it is possible to examine the possibility that redirection has occurred. Since redirection may occur not only for malicious communication but also for normal communication, in this embodiment, it is defined that the suspicious degree is raised to a small degree when this rule is met (+1 for suspicious degree). .

例えば、本実施の形態では、ルールs2〜s4を調べることで、全てのルールが合致した場合は、たとえルールs1に合致していなくても、ルールs1に合致したのと同等に不審度が上がる(+5)判定になる。このように複数のルールを用いることで未知の悪性サイトであっても、ツリーの構造や周辺情報を用いて不審度を詳細に分析することが可能である。   For example, in the present embodiment, by checking the rules s2 to s4, if all the rules match, even if they do not match the rule s1, the degree of suspiciousness increases as if it matches the rule s1. (+5) Judgment is made. In this way, even if it is an unknown malignant site by using a plurality of rules, it is possible to analyze the degree of suspiciousness in detail using the tree structure and surrounding information.

関係性ツリー不審度計算部114は、ツリー構造分析処理で不審度を計算すると、さらに履歴照合処理を行う(SP504)。履歴照合処理には履歴照合ルールテーブル123を用いる。なお履歴照合処理においては、過去に問題のなかった履歴を照合して、不審度を判定するため、各ルールによって不審度が減算される。本実施の形態では履歴から判定する場合、不審度は減算のみされているが、過去に問題のあった履歴を照合して、不審度を加算してもよいものとする。   When the relationship tree suspiciousness degree calculation unit 114 calculates the suspicious degree in the tree structure analysis process, the relationship tree suspiciousness degree calculation unit 114 further performs history matching processing (SP504). The history matching rule table 123 is used for the history matching process. In the history matching process, the suspicious degree is subtracted by each rule in order to check the suspicious degree by collating histories having no problems in the past. In this embodiment, when the determination is made from the history, the suspicious degree is only subtracted. However, the suspicious degree may be added by checking the history of problems in the past.

図7に履歴照合ルールテーブル123の内容を示す。履歴照合ルールテーブル123には、各履歴照合ルールが格納されており、各ルールは、ルール番号欄701、判定条件欄702、処理欄703及び不審度判定欄704を含む。   FIG. 7 shows the contents of the history matching rule table 123. Each history matching rule is stored in the history matching rule table 123, and each rule includes a rule number column 701, a determination condition column 702, a processing column 703, and a suspiciousness degree determination column 704.

ルール番号欄701には、各ルールを区別するために付けるルール番号が格納されており、「r1」、「r2」、……と、不審度判定欄704の不審度が高い順に数字が割り付けられている。判定条件欄702には、安全な履歴を判定するための判定条件が格納されている。処理欄703には、判定を行うための処理内容が格納されている。本実施の形態では説明のために判定条件欄702及び処理欄703の内容は自然言語で記載している。不審度判定欄704には、処理を行い、条件を満たした場合、どの関連ツリー情報の不審度をどのように増減させるかを定義している。   The rule number column 701 stores a rule number assigned to distinguish each rule, and “r1”, “r2”,... Are assigned numbers in descending order of the suspiciousness degree in the suspiciousness degree judging field 704. ing. The determination condition column 702 stores determination conditions for determining a safe history. The processing column 703 stores the processing content for performing the determination. In the present embodiment, the contents of the determination condition column 702 and the processing column 703 are described in natural language for explanation. The suspiciousness degree determination column 704 defines how to increase or decrease the suspiciousness degree of which related tree information when processing is performed and the condition is satisfied.

具体的には、ルールr1は、関係性ツリー履歴情報121の中の、分析対象の関連ツリー情報に含まれる通信と同じアクセス先にアクセスしているにも関わらず、アラートが発生していない事例があったか否かを判定するルールである。本ルールに合致した関係性ツリー情報は、悪性な通信とは無関係な可能性が高いため、本実施の形態では、不審度を下げるよう定義している(不審度に−1)。   Specifically, the rule r1 is a case where an alert is not generated even though the same access destination as the communication included in the relation tree information to be analyzed is accessed in the relation tree history information 121. This is a rule for determining whether or not there is. Since the relationship tree information that matches this rule has a high possibility of being irrelevant to malignant communication, this embodiment defines that the degree of suspiciousness is lowered (−1 for the degree of suspiciousness).

また、ルールr2は、ルールr1に合致し、関係性ツリー履歴情報121の該当イベントの発生日が1日以内であるか否かを判定するルールである。攻撃者による改ざんはいつ行われるかわからないため、例えば、アラートが発生しなかった事例が1日未満に発生していれば、本実施の形態では、不審度をさらに下げるよう定義している(不審度に−1)。   The rule r2 is a rule that matches the rule r1 and determines whether the occurrence date of the event in the relationship tree history information 121 is within one day. Since it is not known when tampering by an attacker will occur, for example, if an alert has not occurred in less than a day, this embodiment defines that the degree of suspiciousness is further reduced (suspicious) Degree -1).

また、ルールr3は、ルールr1に合致し、関係性ツリー履歴情報121の該当イベントのユーザエージェントの値が同じであった場合には、同じ条件(ブラウザ)を用いてアクセスを行っているにも関わらずアラートが発生していない事例があったことを表す。このため、本実施の形態では、不審度をさらに下げるよう定義している(不審度に−1)。これは、近年の悪性サイトは、特定のブラウザなどに狙いを定め、狙いを定めたブラウザ以外には攻撃を行わない(すなわちアラートが発生しない)場合があるためである。   In addition, when the rule r3 matches the rule r1 and the value of the user agent of the corresponding event in the relationship tree history information 121 is the same, the access is performed using the same condition (browser). Regardless, there are cases where no alert has occurred. For this reason, in this Embodiment, it defines so that a suspicious degree may be lowered | hung further (to suspicious degree -1). This is because a recent malicious site is aimed at a specific browser or the like, and may not attack other than the targeted browser (that is, no alert is generated).

なお、上述したルールは一例であり、これ以外のルールを組み合わせて用いることも可能である。   Note that the above-described rules are examples, and other rules can be used in combination.

不審度計算処理の計算結果は図8(A)〜(D)に示すように、関係性ツリー情報の不審度と不審度の内訳として合致したルールのルール番号を関係性ツリー情報に表示してもよい。   As shown in FIGS. 8A to 8D, the calculation result of the suspiciousness degree calculation process is displayed by displaying the suspicious degree of the relationship tree information and the rule number of the rule that matches as the breakdown of the suspicious degree in the relationship tree information. Also good.

具体的には、図8(A)に示す関係性ツリーt1は、不審理由として示したように、構造分析ルールテーブル122のルールs2とルールs4に合致するため、不審度として+3となる。また、図8(B)に示す関係性ツリーt2は、分析対象イベントを含むツリーであるため、不審度判定の対象外である。図8(C)に示す関係性ツリーt3及び図8(D)に示すt4は関係性ツリーt1と同様である。   Specifically, the relationship tree t1 shown in FIG. 8A matches the rules s2 and s4 of the structural analysis rule table 122 as shown as the reason for suspiciousness, so the suspicious degree becomes +3. Further, the relationship tree t2 illustrated in FIG. 8B is a tree including the analysis target event, and thus is not subject to the suspicious degree determination. The relationship tree t3 shown in FIG. 8C and t4 shown in FIG. 8D are the same as the relationship tree t1.

以上の通り不審度計算処理から、関係性ツリーt1がもっとも不審な一連の通信(イベント)であると知ることが出来る。   As described above, from the suspicious degree calculation process, it can be known that the relationship tree t1 is the most suspicious series of communication (event).

関係性ツリー不審度計算部114が不審度計算処理をしたのち、不審性確認部117は不審性確認処理を行う(SP305)。   After the relationship tree suspiciousness degree calculation unit 114 performs the suspicious degree calculation process, the suspiciousness confirmation part 117 performs the suspiciousness confirmation process (SP305).

図9に不審性確認処理の処理手順を示す。不審性確認処理は、不審度の高い処理を実施することで実際にアラートが発生するか否かを確認する。   FIG. 9 shows a processing procedure of the suspiciousness confirmation processing. The suspiciousness confirmation process confirms whether or not an alert is actually generated by performing a process with a high suspicious degree.

実際上、不審性確認部117は調査対象イベントがノードに含まれていない、未処理の関係性ツリー情報が有るか否かを判定する(SP901)。そして不審性確認部117はこの判定で否定結果を得るとこの不審性確認処理を終了する。未処理か否かは、例えば関係性ツリー情報に処理完了フラグを設けることで判定する。   In practice, the suspiciousness confirmation unit 117 determines whether there is unprocessed relationship tree information in which the investigation target event is not included in the node (SP901). When the suspiciousness confirmation unit 117 obtains a negative result in this determination, the suspiciousness confirmation process ends. Whether or not it is unprocessed is determined, for example, by providing a processing completion flag in the relationship tree information.

これに対して、不審性確認部117は、ステップSP901の判定で肯定結果を得ると、不審性確認部117は、不審度が高い未処理の関係性ツリー情報のうちの1つを選択する(SP902)。この際、不審度が高い関係性ツリー情報を優先的に選択すると実際にアラートを発生させるまでの時間を短縮できる。   In contrast, when the suspiciousness confirmation unit 117 obtains a positive result in the determination at step SP901, the suspiciousness confirmation unit 117 selects one of the unprocessed relationship tree information having a high suspicious degree ( SP902). At this time, if the relationship tree information having a high suspicious degree is preferentially selected, the time until an alert is actually generated can be shortened.

不審性確認部117は、不審度が高い未処理の関係性ツリー情報を選択すると、不審性確認部117は、関係性ツリー情報のルートノード(基点となっているイベント)を取得する(SP903)。不審性確認部117は、取得したルートノードから当該イベントのアクセス先であるアクセス先URL含むリクエストヘッダを取得する。   When the suspiciousness confirmation unit 117 selects unprocessed relationship tree information with a high suspicious degree, the suspiciousness confirmation unit 117 acquires the root node (event serving as a base point) of the relationship tree information (SP903). . The suspiciousness confirmation unit 117 acquires a request header including an access destination URL that is an access destination of the event from the acquired root node.

当該イベントのアクセス先であるアクセス先URLを含むリクエストヘッダを取得すると、不審性確認部117は、確認用情報取得部116を用いて、当該アクセス先URLへリクエストヘッダを当該イベントのログと同じにしてアクセスし(SP904)、不審性確認部117はステップSP901へ戻る。   When acquiring the request header including the access destination URL that is the access destination of the event, the suspiciousness confirmation unit 117 uses the confirmation information acquisition unit 116 to make the request header the same as the log of the event to the access destination URL. (SP904), the suspiciousness confirmation unit 117 returns to step SP901.

不審性確認部117は、アラートを発生させたログと同じセキュリティ機構を用いてアクセスによって、再度アラートが発生するか否かを判定する(SP905)。そして不審性確認部117はこの判定で否定結果を得ると、不審性確認部117は当該イベントのログと実動作との関係性ツリー情報の構造やレスポンスのバイト数が異なっていることを確認し、当該関係性ツリー情報の不審度を1加算し(SP906)、不審性確認部117はステップSP901へ戻る。   The suspiciousness confirmation unit 117 determines whether an alert is generated again by access using the same security mechanism as the log that generated the alert (SP905). If the suspiciousness confirmation unit 117 obtains a negative result in this determination, the suspiciousness confirmation unit 117 confirms that the structure of the relationship tree information between the log of the event and the actual operation and the number of response bytes are different. The suspiciousness degree of the relationship tree information is incremented by 1 (SP906), and the suspiciousness confirmation unit 117 returns to step SP901.

これに対して、不審性確認部117は、ステップSP905の判定で肯定結果を得ると、当該関係性ツリー情報を、アラートを発生させたイベントを含む関係性ツリー情報と紐づけ(SP907)、不審性確認部117はステップSP901へ戻る。このことで、アラートを発生させたログの原因となったイベントの一群のイベントである関係性ツリー情報を発見したこととする。   On the other hand, if the suspiciousness confirmation unit 117 obtains a positive result in the determination at step SP905, the suspiciousness confirmation unit 117 associates the relationship tree information with the relationship tree information including the event that generated the alert (SP907). The sex confirmation unit 117 returns to step SP901. Thus, it is assumed that the relationship tree information, which is a group of events that cause the log that generated the alert, has been discovered.

なお、アラートが発生した時点で、イベントの一群のイベントである関係性ツリー情報を発見し、因果関係を発見したこととなるので、アラートが発生した際に不審性確認部117は不審性確認処理を終了してもよい。なお、実際にアラートを発生させずに、不審度が高いものがアラートの発生原因だと推定するのみにとどまってもよい。   When the alert occurs, the relationship tree information, which is a group of events, is discovered and the causal relationship is discovered. Therefore, when the alert occurs, the suspiciousness confirmation unit 117 performs suspiciousness confirmation processing. May be terminated. It should be noted that without actually generating an alert, it is possible to just estimate that a high suspicious degree is the cause of the alert.

不審性確認部117による不審性確認処理が終了すると、結果出力部118が分析処理の結果を出力する(SP306)。   When the suspiciousness confirmation processing by the suspiciousness confirmation unit 117 ends, the result output unit 118 outputs the result of the analysis processing (SP306).

図10に結果出力部118が出力する出力結果表示を示す。出力結果表示は分析対象のイベントのログのログ番号1001、各関係性ツリー情報の不審度及び分析結果の概要を表示する関係性ツリー一覧1002及び不審度計算処理結果にさらに不審性確認処理での確認結果を反映させた分析結果描画領域1003を含む。   FIG. 10 shows an output result display output by the result output unit 118. The output result display includes a log number 1001 of the log of the event to be analyzed, a suspicious degree of each relation tree information, a relation tree list 1002 displaying an outline of the analysis result, and a suspicious degree calculation processing result to a suspiciousness confirmation process. The analysis result drawing area 1003 reflecting the confirmation result is included.

分析結果描画領域1003は、利用者が関係性ツリー一覧1002から選択し、当該選択した関係性情報ツリーの分析結果の詳細を閲覧するための描画領域である。本実施の形態では、欠落していた因果関係を補うことで、実際には因果関係のあった2つの関係性ツリーt1及びt2を連結させて描画する。このことで、当該分析の経過を知ることが出来る。本出力を閲覧することで、利用者は、分析対象のアラート等の異常イベントが他のどのイベントが原因となって発生したのか容易に知ることが出来る。   The analysis result drawing area 1003 is a drawing area for the user to select from the relationship tree list 1002 and browse the details of the analysis result of the selected relationship information tree. In the present embodiment, by supplementing the missing causal relationship, two relationship trees t1 and t2 that are actually causal are connected and drawn. This makes it possible to know the progress of the analysis. By browsing this output, the user can easily know which other event caused an abnormal event such as an alert to be analyzed.

(2−3)関係性ツリー保存処理
不審度計算処理で使用する関係性ツリー情報については、不審度計算処理の前に適宜関係性ツリー履歴情報121に格納するが、これとは別に日ごとにバッチ処理として別のタイミングで実施してもよい。この場合、対象とするイベントの絞り込みは行わない。
(2-3) Relationship tree storage processing The relationship tree information used in the suspiciousness calculation processing is appropriately stored in the relationship tree history information 121 before the suspiciousness calculation processing. You may implement at another timing as a batch process. In this case, the target event is not narrowed down.

図11に関係性ツリー保存処理の処理手順を示す。関係性ツリー保存処理は、関係性ツリー情報を関係性ツリー履歴情報121に格納する。   FIG. 11 shows the processing procedure of the relationship tree saving process. In the relationship tree saving process, the relationship tree information is stored in the relationship tree history information 121.

実際上、関係性ツリー構築部112は、イベント間での関係性ツリー構築をする(SP1101)。関係性ツリー構築部112が、イベント間での関係性ツリー構築をしたあと、過去履歴管理部113は、関係性ツリー情報を関係性ツリー履歴情報121に格納する(SP1102)。   In practice, the relationship tree construction unit 112 constructs a relationship tree between events (SP1101). After the relationship tree construction unit 112 constructs a relationship tree between events, the past history management unit 113 stores the relationship tree information in the relationship tree history information 121 (SP1102).

関係性ツリー保存処理の結果を図12に示す。図12には、関係性ツリー履歴tr1が示されている。log9及びlog10が含まれた関係性ツリー情報が表示されている。   The result of the relationship tree saving process is shown in FIG. FIG. 12 shows the relationship tree history tr1. Relationship tree information including log9 and log10 is displayed.

(3)本実施の形態の効果
以上のように本実施の形態のログ分析システム1では、リファラから追えるひとまとまりのイベントごとの関係性ツリー情報間の関係を、ルールに基づいて不審度を設定することで推定し、実動作によりアラートを発生させることで、欠落していた因果関係を確認し、補うことができる。このことにより、分析に要する時間を短縮することができる。
(3) Effect of this Embodiment As described above, in the log analysis system 1 of this embodiment, the suspicious degree is set based on the rule between the relation tree information for each grouped event that can be traced from the referrer. By making an estimate and generating an alert by actual operation, the missing causal relationship can be confirmed and compensated. As a result, the time required for analysis can be shortened.

1……ログ分析システム、100……ログ分析装置、111……分析要求入力部、112……関係性ツリー構築部、113……過去履歴管理部、114……関係性ツリー不審度計算部、115……周辺情報取得部、116……確認用情報取得部、117……不審性確認部、118……結果出力部、121……関係性ツリー履歴情報、122……構造分析ルールテーブル、123……履歴照合ルールテーブル、141……ネットワーク、200……ログ情報。   DESCRIPTION OF SYMBOLS 1 ... Log analysis system, 100 ... Log analysis apparatus, 111 ... Analysis request input part, 112 ... Relationship tree construction part, 113 ... Past history management part, 114 ... Relation tree suspicious degree calculation part, 115... Peripheral information acquisition unit 116... Confirmation information acquisition unit 117. Suspiciousness confirmation unit 118. Result output unit 121... Relation tree history information 122. ... History matching rule table, 141 ... Network, 200 ... Log information.

Claims (15)

ログ情報を分析するログ分析システムであって、
複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定し、
個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、
指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、
指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、
前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する結果出力部と
を備えるログ分析システム。
A log analysis system for analyzing log information,
Based on log information including a plurality of events, determine whether there is a causal relationship between the occurrence of a plurality of the events,
A relationship tree construction unit that constructs a graph structure by making each one event one node and adding an edge between the nodes corresponding to the event when the causal relationship exists; ,
For any specified event, determine whether the tree specified in the graph structure is the tree that generated the specified event,
The relationship for calculating the degree of probability based on the determination conditions related to the events constituting each tree and the determination conditions related to the structural features of the tree in determining whether the tree has caused the specified event Sex tree suspiciousness calculation section,
A log analysis system comprising: a result output unit that outputs the graph structure with the causality as a result in consideration of the degree of certainty.
実際に不審な動作を確認することで前記因果関係を補う不審性確認部
を備える請求項1に記載のログ分析システム。
The log analysis system according to claim 1, further comprising: a suspiciousness confirmation unit that supplements the causal relationship by actually confirming a suspicious operation.
分析対象とする前記イベントを所定の条件で絞り込む周辺情報取得部
を備える請求項1に記載のログ分析システム。
The log analysis system according to claim 1, further comprising: a peripheral information acquisition unit that narrows down the event to be analyzed under a predetermined condition.
結果出力部が出力する前記結果は、
前記グラフ構造の前記確からしさの度合い及び分析結果の概要を表示する関係性ツリー一覧と、
前記関係性ツリー一覧から選択された前記グラフ構造の詳細が表示される分析結果描画領域と
を備える請求項1に記載のログ分析システム。
The result output from the result output unit is:
A relationship tree list displaying the degree of certainty of the graph structure and an overview of the analysis results;
The log analysis system according to claim 1, further comprising: an analysis result drawing area in which details of the graph structure selected from the relationship tree list are displayed.
前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを備え、
前記関係性ツリー不審度計算部は、アクセス先のロケーション情報が前記グラフ構造の途中で変化している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる
請求項1に記載のログ分析システム。
The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit, when the location information of the access destination is changing in the middle of the graph structure, changes the degree of the probability of the graph structure to a direction to determine that it is suspicious. The log analysis system according to 1.
前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを備え、
前記関係性ツリー不審度計算部は、グラフ構造中に2回以上のリダイレクト遷移が発生している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる
請求項1に記載のログ分析システム。
The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit changes the degree of the probability of the graph structure to a direction in which it is determined to be suspicious when two or more redirect transitions occur in the graph structure. Log analysis system described in.
前記イベントは、アクセスに使用したエージェント情報を備え、
前記関係性ツリー不審度計算部は、指定された前記イベントと同じエージェント情報であり指定された前記イベントと同じアクセス先であって不審な動作がない前記イベントがグラフ構造中にある場合に、当該グラフ構造の前記確からしさの度合いを不審ではないと判定する向きに変化させる
請求項1に記載のログ分析システム。
The event comprises agent information used for access,
The relationship tree suspiciousness degree calculation unit is the same agent information as the specified event, the same access destination as the specified event, and when there is no suspicious action in the graph structure, The log analysis system according to claim 1, wherein the degree of likelihood of the graph structure is changed to a direction in which it is determined that the graph structure is not suspicious.
ログ情報を分析するログ分析システムにおけるログ分析方法であって、
前記ログ分析システムは、関係性ツリー構築部と、関係性ツリー不審度計算部と、結果出力部とを有し、
前記関係性ツリー構築部が、複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定する第1のステップと、
前記関係性ツリー構築部が、個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する第2のステップと、
前記関係性ツリー不審度計算部が、指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定する第3のステップと、
前記関係性ツリー不審度計算部が、指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する第4のステップと、
前記結果出力部が、前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する第5のステップと
を備えるログ分析方法。
A log analysis method in a log analysis system for analyzing log information,
The log analysis system includes a relationship tree construction unit, a relationship tree suspicious degree calculation unit, and a result output unit,
A first step in which the relationship tree construction unit determines whether there is a causal relationship of occurrence of a plurality of events based on log information including a plurality of events;
The relationship tree construction unit makes each one event one node, and when there is a causal relationship, adds an edge between the nodes corresponding to the event, thereby creating a graph structure. A second step to build,
A third step in which the relationship tree suspiciousness degree calculating unit determines, for any specified event, whether the tree specified in the graph structure is a tree that has generated the specified event;
In determining whether the relationship tree suspiciousness degree calculation unit is a tree that has generated the specified event, a determination condition regarding the event constituting each tree, and a determination condition regarding a structural feature of the tree, A fourth step of calculating the degree of certainty based on;
A log analysis method comprising: a fifth step in which the result output unit outputs the graph structure with the causality as a result, taking into account the degree of certainty.
前記ログ分析システムは不審性確認部を有し、
不審性確認部が実際に不審な動作を確認することで前記因果関係を補う第6のステップ
を備える請求項8に記載のログ分析方法。
The log analysis system has a suspiciousness confirmation unit,
The log analysis method according to claim 8, further comprising a sixth step in which the suspiciousness confirmation unit supplements the causal relationship by actually confirming a suspicious operation.
前記ログ分析システムは周辺情報取得部を有し、
前記周辺情報取得部が分析対象とする前記イベントを所定の条件で絞り込む第6のステップ
を備える請求項8に記載のログ分析方法。
The log analysis system has a peripheral information acquisition unit,
The log analysis method according to claim 8, further comprising: a sixth step of narrowing down the event to be analyzed by the peripheral information acquisition unit according to a predetermined condition.
前記結果出力部が出力する前記結果は関係性ツリー情報一覧と、分析結果描画領域とを有し、
前記結果出力部が、関係性ツリー一覧に前記グラフ構造の前記確からしさの度合い及び分析結果の概要を表示する第6のステップと、
前記結果出力部が、分析結果描画領域に前記関係性ツリー一覧から選択された前記グラフ構造の詳細を表示する第7のステップと
を備える請求項8に記載のログ分析方法。
The result output by the result output unit has a relationship tree information list and an analysis result drawing area,
A sixth step in which the result output unit displays the degree of certainty of the graph structure and a summary of analysis results in a relationship tree list;
The log analysis method according to claim 8, wherein the result output unit includes a seventh step of displaying details of the graph structure selected from the relationship tree list in an analysis result drawing area.
前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを有し、
前記関係性ツリー不審度計算部がアクセス先のロケーション情報が前記グラフ構造の途中で変化している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる第6のステップを備える
請求項8に記載のログ分析方法。
The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit changes the degree of likelihood of the graph structure to a direction for determining that the suspicious degree is suspicious when the location information of the access destination changes in the middle of the graph structure. The log analysis method according to claim 8, further comprising a step.
前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを有し、
前記関係性ツリー不審度計算部は、グラフ構造中に2回以上のリダイレクト遷移が発生している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる第6のステップを備える
請求項8に記載のログ分析方法。
The event includes location information of an access destination and location information of a transition source,
The relationship tree suspiciousness degree calculation unit changes a degree of the probability of the graph structure to a direction to determine that the graph structure is suspicious when the redirect transition occurs twice or more in the graph structure. The log analysis method according to claim 8, further comprising a step.
前記イベントは、アクセスに使用したエージェント情報を有し、
前記関係性ツリー不審度計算部は、指定された前記イベントと同じエージェント情報であり指定された前記イベントと同じアクセス先であって不審な動作がない前記イベントがグラフ構造中にある場合に、当該グラフ構造の前記確からしさの度合いを不審ではないと判定する向きに変化させる第6のステップを備える
請求項8に記載のログ分析方法。
The event has agent information used for access,
The relationship tree suspiciousness degree calculation unit is the same agent information as the specified event, the same access destination as the specified event, and the event having no suspicious action is in the graph structure, The log analysis method according to claim 8, further comprising a sixth step of changing the degree of likelihood of the graph structure to a direction in which it is determined that the graph structure is not suspicious.
ログ情報を分析するログ分析装置であって、
複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定し、
個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、
指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、
指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、
前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する結果出力部と
を備えるログ分析装置。
A log analyzer for analyzing log information,
Based on log information including a plurality of events, determine whether there is a causal relationship between the occurrence of a plurality of events,
A relationship tree construction unit for constructing a graph structure by making each one event one node and adding an edge between the nodes corresponding to the event when the causal relationship exists; ,
For any given event, determine whether the tree specified in the graph structure is the tree that caused the specified event,
Relationship that calculates the degree of probability based on the judgment conditions related to the events constituting each tree and the judgment conditions related to the structural features of the tree in determining whether the tree has caused the specified event Sex tree suspiciousness calculation section,
A log analysis apparatus comprising: a result output unit that outputs the graph structure with the causality as a result, taking into account the degree of certainty.
JP2016151528A 2016-08-01 2016-08-01 Log analysis system, log analysis method, and log analysis device Active JP6623128B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016151528A JP6623128B2 (en) 2016-08-01 2016-08-01 Log analysis system, log analysis method, and log analysis device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016151528A JP6623128B2 (en) 2016-08-01 2016-08-01 Log analysis system, log analysis method, and log analysis device

Publications (2)

Publication Number Publication Date
JP2018022248A JP2018022248A (en) 2018-02-08
JP6623128B2 true JP6623128B2 (en) 2019-12-18

Family

ID=61164456

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016151528A Active JP6623128B2 (en) 2016-08-01 2016-08-01 Log analysis system, log analysis method, and log analysis device

Country Status (1)

Country Link
JP (1) JP6623128B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11194906B2 (en) * 2018-07-31 2021-12-07 Nec Corporation Automated threat alert triage via data provenance
KR102225040B1 (en) * 2018-08-29 2021-03-09 한국과학기술원 Method and system for security information and event management based on artificial intelligence
US20220179908A1 (en) * 2020-12-03 2022-06-09 Institute For Information Industry Information security device and method thereof

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5011234B2 (en) * 2008-08-25 2012-08-29 株式会社日立情報システムズ Attack node group determination device and method, information processing device, attack countermeasure method, and program
JP5129725B2 (en) * 2008-11-19 2013-01-30 株式会社日立製作所 Device abnormality diagnosis method and system
JP6196196B2 (en) * 2014-08-20 2017-09-13 日本電信電話株式会社 Inter-log causal estimation device, system abnormality detection device, log analysis system, and log analysis method

Also Published As

Publication number Publication date
JP2018022248A (en) 2018-02-08

Similar Documents

Publication Publication Date Title
US11601475B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US9509714B2 (en) Web page and web browser protection against malicious injections
US8800030B2 (en) Individualized time-to-live for reputation scores of computer files
US12041091B2 (en) System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling
US9614862B2 (en) System and method for webpage analysis
US8321934B1 (en) Anti-phishing early warning system based on end user data submission statistics
US9712560B2 (en) Web page and web browser protection against malicious injections
US9300682B2 (en) Composite analysis of executable content across enterprise network
Borgolte et al. Delta: automatic identification of unknown web-based infection campaigns
US10505986B1 (en) Sensor based rules for responding to malicious activity
US9830453B1 (en) Detection of code modification
US20210281609A1 (en) Rating organization cybersecurity using probe-based network reconnaissance techniques
JP5144488B2 (en) Information processing system and program
JP6030272B2 (en) Website information extraction apparatus, system, website information extraction method, and website information extraction program
US10560473B2 (en) Method of network monitoring and device
JP2009230663A (en) Apparatus for detecting abnormal condition in web page, program, and recording medium
JP6450022B2 (en) Analysis device, analysis method, and analysis program
JP6623128B2 (en) Log analysis system, log analysis method, and log analysis device
TWI470468B (en) System and method for detecting web malicious programs and behaviors
JP5656266B2 (en) Blacklist extraction apparatus, extraction method and extraction program
JP6691240B2 (en) Judgment device, judgment method, and judgment program
CN108028843A (en) Passive type web application firewalls
JP5386015B1 (en) Bug detection apparatus and bug detection method
JP5461645B2 (en) Web page abnormality detection device, program, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191125

R150 Certificate of patent or registration of utility model

Ref document number: 6623128

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150