[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2002318734A - Method and system for processing communication log - Google Patents

Method and system for processing communication log

Info

Publication number
JP2002318734A
JP2002318734A JP2001120308A JP2001120308A JP2002318734A JP 2002318734 A JP2002318734 A JP 2002318734A JP 2001120308 A JP2001120308 A JP 2001120308A JP 2001120308 A JP2001120308 A JP 2001120308A JP 2002318734 A JP2002318734 A JP 2002318734A
Authority
JP
Japan
Prior art keywords
log
communication
analysis target
communication log
logs
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001120308A
Other languages
Japanese (ja)
Inventor
Hiroki Abe
ひろき 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
TEAMGIA KK
Original Assignee
TEAMGIA KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TEAMGIA KK filed Critical TEAMGIA KK
Priority to JP2001120308A priority Critical patent/JP2002318734A/en
Priority to TW091107953A priority patent/TWI226984B/en
Priority to PCT/JP2002/003879 priority patent/WO2002088976A1/en
Publication of JP2002318734A publication Critical patent/JP2002318734A/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a method and a system for processing communication log, with which unauthorized access or the like can be discovered without requesting application or experience to a security manager. SOLUTION: This method has a process (a) for converting each of analysis object log files outputted by an application capable of recording a plurality of communication logs to a prescribed format as needed, a process (b) for merging a plurality of analysis object logs converted into the prescribed format and a process (c) for judging the presence/absence of the unauthorized access by analyzing the merged log.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】この発明は、通信サーバで記
録された通信ログを分析するための通信ログ処理方法及
びそのシステム等に関するものであり、特に、複数のロ
グ出力が可能なアプリケーションから出力された通信ロ
グを統一的に分析できる方法等に関するものである。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a communication log processing method for analyzing a communication log recorded in a communication server and a system therefor, and more particularly to a communication log processing method for outputting a plurality of log outputs. The present invention relates to a method for analyzing communication logs in a unified manner.

【0002】[0002]

【従来の技術】最近、クラッカー等により企業や官公庁
のネットワークやサーバが攻撃されるという事件が多発
している。このことにより、ネットワークセキュリティ
の強化に注目が集まっている。ネットワークセキュリテ
ィを強化するには、まず、ネットワークのセキュリティ
を監視・分析する必要がある。ネットワークセキュリテ
ィの監視には、ネットワークを構成するサーバ等の装置
の通信ログを記録し分析することが有効である。
2. Description of the Related Art Recently, there have been many cases in which networks and servers of companies and government offices are attacked by crackers and the like. For this reason, attention has been focused on strengthening network security. To strengthen network security, you must first monitor and analyze network security. For monitoring network security, it is effective to record and analyze a communication log of a device such as a server constituting a network.

【0003】この通信ログは、サーバ等の通信履歴が記
録されたものであり、これを分析することで、このサー
バに起こった全ての事象が検出できる。例えば、外部か
ら前記サーバに対して不自然なアクセスがあったことに
基づいて不正アクセスがあったことを検知できる。従っ
て、これに応じて何らかの対策を立てることで、ネット
ワークのセキュリティを強化することができる。
[0003] The communication log is a record of a communication history of a server or the like. By analyzing the communication log, all events that have occurred in the server can be detected. For example, an unauthorized access can be detected based on an unnatural access from outside to the server. Therefore, by taking some measures in response to this, it is possible to enhance the security of the network.

【0004】[0004]

【発明が解決しようとする課題】しかしながら、通常サ
ーバから出力されるログは、コンピュータのOSや使用
されているアプリケーションによってそれぞれ異なった
フォーマットで記録されており、多種多様である。ま
た、その量があまりにも膨大であるため、内容をチェッ
クすることができないかチェックするための時間が確保
できないという、システム管理上問題のある状態でネッ
トワークが運用されているのが一般的である。
However, logs output from a server are usually recorded in different formats depending on the OS of the computer and the application used, and are various. In addition, the network is generally operated in a state where there is a problem in system management that the amount of information is so large that it is not possible to check the contents or to secure time for checking. .

【0005】また、ネットワークに対して攻撃を仕掛け
るクラッカーは、自己のネットワーク進入の形跡を消去
するために前記ログを改竄若しくは削除することもあ
り、この場合には、このような不正アクセスを発見する
ことは極めて困難である。
[0005] In addition, a cracker who attacks the network may alter or delete the log in order to erase the trace of the entry into the network. In this case, such an unauthorized access is found. It is extremely difficult.

【0006】この発明は、このような事情に鑑みてなさ
れたものであり、セキュリティ管理者に高度な知識や経
験を要求することなく不正アクセス等を発見することが
できるログ処理方法及びシステムを提供することを目的
とする。
[0006] The present invention has been made in view of such circumstances, and provides a log processing method and system capable of finding unauthorized access without requiring a sophisticated level of knowledge and experience from a security administrator. The purpose is to do.

【0007】[0007]

【課題を解決するための手段】上記課題を解決するた
め、この発明の第1の主要な観点によれば、(a)複数
の通信ログを記録可能なアプリケーションが出力した各
分析対象ログファイルを、必要な場合所定のフォーマッ
トに変換処理する工程と、(b)前記所定のフォーマッ
トに変換された複数の分析対象ログを統合する工程と、
(c)統合された後のログを分析することで不正アクセ
スの有無を判断する工程とを有することを特徴とする通
信ログ処理方法が提供される。
According to a first main aspect of the present invention, there is provided a method for solving the above-mentioned problems, wherein (a) analyzing each log file to be analyzed output by an application capable of recording a plurality of communication logs; Converting, if necessary, into a predetermined format; and (b) integrating a plurality of analysis target logs converted into the predetermined format,
(C) analyzing the logs after the integration to determine the presence or absence of unauthorized access.

【0008】このような構成によれば、複数のログファ
イルのフォーマットを、ログファイル毎に定められた方
法で統一し、それらを統合することで、単独のログファ
イルでは判別することができない不正アクセスを検出す
ることが可能になる。
According to such a configuration, the format of a plurality of log files is unified by a method determined for each log file, and by integrating them, unauthorized access that cannot be determined by a single log file is performed. Can be detected.

【0009】ここで、この発明の1の実施態様によれ
ば、前記複数の分析対象ログファイルは、同一システム
について記録されたものであることが好ましい。また、
この場合、この方法はさらに、(d)前記(a)工程若
しくは(b)工程の前に前記複数の分析対象ログ間の整
合性を判別し、その判別結果を出力する工程を有するこ
とが好ましい。
Here, according to one embodiment of the present invention, it is preferable that the plurality of analysis target log files are recorded for the same system. Also,
In this case, it is preferable that the method further includes a step of (d) determining consistency between the plurality of analysis target logs before the step (a) or the step (b) and outputting a result of the determination. .

【0010】このような構成によれば、同一システム
(ミラーリングサーバ含む)についてのログを複数のロ
グファイルに記録してなるものを対象とした場合に、こ
れらを統合することで、当該システムにおけるイベント
が不正アクセスを含むものであるかを判別することがで
きる。また、複数のファイル間の整合性を判別すること
で、一部のファイルが改竄等されたことを検出すること
ができる。
[0010] According to such a configuration, when the logs of the same system (including the mirroring server) are recorded in a plurality of log files, these are integrated, and the event in the system is integrated. Can be determined to include unauthorized access. Further, by determining the consistency between a plurality of files, it is possible to detect that some of the files have been tampered with.

【0011】また、この発明の別の1実施態様によれ
ば、前記(a)工程は、前記分析対象ログファイルを出
力したアプリケーション毎に予め用意された変換手順を
利用して、前記分析対象ログファイルを所定のフォーマ
ットに変換する工程を有するものである。また、この方
法は、前記アプリケーション毎に予め用意された変換手
順を、所定のタイミングで更新する工程をさらに有する
ことが好ましい。
According to another embodiment of the present invention, in the step (a), the analysis target log file is converted by using a conversion procedure prepared in advance for each application that outputs the analysis target log file. And a step of converting the file into a predetermined format. Preferably, the method further includes a step of updating, at a predetermined timing, a conversion procedure prepared in advance for each application.

【0012】分析対象ログファイル毎に予め用意された
手順を利用することで、ログの分析を効率的に行うこと
が可能になる。また、この手順を適宜更新することで、
ログ分析の精度を向上させることが可能になる。
By using a procedure prepared in advance for each log file to be analyzed, it is possible to analyze the log efficiently. Also, by updating this procedure as appropriate,
It is possible to improve the accuracy of log analysis.

【0013】更なる別の1の実施態様によれば、(e)
前記(a)工程若しくは(b)工程の前に、前記分析対
象ログから、同一セッションに属する行を分類する工程
をさらに有する。この場合、前記(e)工程は、分析対
象ログ中、その属するセッションが判別できる行に基づ
いて、その属するセッションが判別できない行がどのセ
ッションに属するかを判別するものであることが好まし
い。
According to yet another embodiment, (e)
Before the step (a) or (b), the method further includes a step of classifying rows belonging to the same session from the analysis target log. In this case, it is preferable that the step (e) is to determine to which session a line whose session cannot be determined belongs to based on a line whose session can be determined in the log to be analyzed.

【0014】このような構成によれば、一見、どのセッ
ションに属するか不明の行であっても、適切なセッショ
ンに分類することが可能になる。したがって、後のログ
分析を効率的かつ効果的に行える効果がある。
According to such a configuration, it is possible to classify a line into an appropriate session even if the line does not seem to belong to which session. Therefore, the following log analysis can be performed efficiently and effectively.

【0015】更なる別の1実施態様によれば、前記
(b)工程は、前記複数の分析対象ログを同一セッショ
ン毎に統合するものである。この場合、前記(c)工程
は、前記同一セッション毎に統合された分析対象ログ毎
に、不正アクセスの有無を判別するものである。この場
合、前記(c)工程は、前記セッション毎に、不正アク
セスの可能性を色分けして表示するものであることが望
ましい。
According to yet another embodiment, the step (b) integrates the plurality of logs to be analyzed for each same session. In this case, the step (c) is to determine the presence or absence of unauthorized access for each analysis target log integrated for the same session. In this case, it is preferable that the step (c) displays the possibility of unauthorized access in different colors for each session.

【0016】このような構成によれば、ログ統合時に各
ログをセッション毎に纏めることで、不正アクセスの判
別を効果的に行え、その結果の表示が容易になる。
According to such a configuration, by integrating the logs for each session at the time of log integration, it is possible to effectively determine an unauthorized access and to easily display the result.

【0017】また、この発明の第2の主要な観点によれ
ば、(a)複数の通信ログを記録可能なアプリケーショ
ンが出力した各分析対象ログファイルを、必要な場合所
定のフォーマットに変換処理する手段と、(b)前記所
定のフォーマットに変換された複数の分析対象ログを統
合する手段と、(c)統合された後のログを分析するこ
とで不正アクセスの有無を判断する手段とを有すること
を特徴とする通信ログ処理システムが提供される。
According to a second main aspect of the present invention, (a) each analysis target log file output by an application capable of recording a plurality of communication logs is converted into a predetermined format if necessary. Means, (b) means for integrating a plurality of analysis target logs converted into the predetermined format, and (c) means for judging the presence or absence of unauthorized access by analyzing the integrated logs. A communication log processing system is provided.

【0018】このような構成によれば、前記第1の観点
に係る方法を実行することができるシステムを得ること
ができる。
According to such a configuration, it is possible to obtain a system capable of executing the method according to the first aspect.

【0019】さらに、この発明の第3の主要な観点によ
れば、コンピュータシステムにインストールされたオペ
レーションシステムと協働して通信ログの分析処理を行
うコンピュータソフトウェアプログラム製品であって、
記憶媒体と、(a)この記憶媒体に格納され、複数の通
信ログを記録可能なアプリケーションが出力した各分析
対象ログファイルを、必要な場合所定のフォーマットに
変換処理する手段と、(b)前記記憶媒体に格納され、
前記所定のフォーマットに変換された複数の分析対象ロ
グを統合する手段と、(c)前記記憶媒体に格納され、
統合された後のログを分析することで不正アクセスの有
無を判断する手段とを有することを特徴とするコンピュ
ータソフトウェアプログラム製品が提供される。
Further, according to a third main aspect of the present invention, there is provided a computer software program product for analyzing a communication log in cooperation with an operation system installed in a computer system,
A storage medium, and (a) means for converting each analysis target log file stored in the storage medium and output by an application capable of recording a plurality of communication logs into a predetermined format if necessary; Stored on a storage medium,
Means for integrating the plurality of analysis target logs converted into the predetermined format; and (c) stored in the storage medium,
Means for analyzing the integrated logs to determine the presence or absence of unauthorized access.

【0020】このような構成によれば、上記第1の主要
な観点にかかる方法と同様の効果を得ることができる。
According to such a configuration, the same effect as that of the method according to the first main aspect can be obtained.

【0021】なお、この発明の他の特徴と顕著な効果は
次の発明の実施形態の項及び添付した図面を参照するこ
とによって、より明確に理解される。
The other features and remarkable effects of the present invention will be more clearly understood by referring to the following embodiments of the present invention and the accompanying drawings.

【0022】[0022]

【発明の実施の形態】以下、本発明の実施の形態を図面
に基づき説明する。
Embodiments of the present invention will be described below with reference to the drawings.

【0023】まず、図1中、1で示すのがこの実施形態
のログ分析システム、2で示すのは監視対象のサーバで
ある。この実施形態のログ分析システム1は、例えばク
ラッカーからの不正アクセスを発見するために、前記サ
ーバ2が出力した通信ログをオンラインで受け取って分
析する機能を奏するものである。
First, in FIG. 1, reference numeral 1 denotes a log analysis system of this embodiment, and reference numeral 2 denotes a server to be monitored. The log analysis system 1 of this embodiment has a function of receiving and analyzing a communication log output by the server 2 online in order to detect, for example, an unauthorized access from a cracker.

【0024】すなわち、前記サーバ2では、各種サーバ
アプリケーション3の通信処理を、ログ記録プログラム
4を利用して記録・出力するようになっている。そし
て、同じくこのサーバ2にインストールされたログ転送
プログラム5が、前記通信ログをLAN、公衆回線その
他の通信網を通じて前記ログ分析システム1にリアルタ
イムで転送する。このログ分析システム1は、受け取っ
た通信ログを、このログ分析システム1に設けられた分
析対象ログ格納部7に格納するようになっている。
That is, the server 2 records and outputs the communication processing of the various server applications 3 using the log recording program 4. Then, the log transfer program 5 similarly installed in the server 2 transfers the communication log to the log analysis system 1 in real time through a LAN, a public line, or another communication network. The log analysis system 1 stores the received communication log in an analysis target log storage unit 7 provided in the log analysis system 1.

【0025】前記ログ分析システム1では、所定のタイ
ミングで前記分析対象ログ格納部7に格納された通信ロ
グを取り出して分析することで、不正アクセスの有無を
探索する(図1に8で示す工程)。そして、その分析結
果を例えば一覧形式で出力する(図1に9で示す工程)
ようになっている。
The log analysis system 1 retrieves the communication log stored in the analysis target log storage unit 7 at a predetermined timing and analyzes it to search for unauthorized access (step indicated by 8 in FIG. 1). ). Then, the analysis result is output in, for example, a list format (step indicated by 9 in FIG. 1).
It has become.

【0026】また、この発明のログ分析システム1は、
多種多様な通信ログを統合処理することを特徴とするも
のである。これに対応するため、この実施形態のサーバ
2では、同一のイベントを複数のログファイルに記録し
て、このログ分析システム1に転送するようになってい
る。図2(a)、(b)は、このような通信ログの記録
方法の例を示したものである。
Also, the log analysis system 1 of the present invention
It is characterized in that various communication logs are integratedly processed. To cope with this, in the server 2 of this embodiment, the same event is recorded in a plurality of log files and transferred to the log analysis system 1. FIGS. 2A and 2B show an example of such a communication log recording method.

【0027】すなわち、この場合、前記サーバ2は、図
2(a)に示すように、同一イベントについての複数の
サーバアプリケーションA、Bの通信ログを、複数のロ
グ記録プログラム4A、4Bを利用して異なる通信ログ
ファイルA、Bに記録しても良いし、図2(b)に示す
ように、複数のアプリケーションA、Bの通信ログを、
単一のログ記録プログラム4Aを利用して異なる通信ロ
グファイルA、Bに記録しても良い。
That is, in this case, as shown in FIG. 2A, the server 2 uses a plurality of log recording programs 4A and 4B to record communication logs of a plurality of server applications A and B for the same event. May be recorded in different communication log files A and B, or as shown in FIG.
The data may be recorded in different communication log files A and B using a single log recording program 4A.

【0028】この場合、前記複数のログファイルは、異
なるファシリティ毎に用意されるものであることが好ま
しい。例えば、この実施形態では、同一のイベントにつ
いて各ファシリティ毎の通信ログを「/var/log/ファシ
リティ名.log」に記録する。また、この実施形態では、
上記各ファシリティ毎の通信ログファイルとの参照整合
用に、同一イベントについての全てのファシリティの通
信ログを1つのファイル「/var/log/all.log」にも記録
する。
In this case, it is preferable that the plurality of log files are prepared for different facilities. For example, in this embodiment, a communication log for each facility for the same event is recorded in “/ var / log / facility name.log”. Also, in this embodiment,
For reference matching with the communication log file of each facility, the communication logs of all facilities for the same event are also recorded in one file “/var/log/all.log”.

【0029】次に、図3を参照して、この実施形態のロ
グ分析システム1について説明する。
Next, a log analysis system 1 according to this embodiment will be described with reference to FIG.

【0030】このシステムは、この図3に示すように、
CPU11、RAM12、通信デバイス13、その他の
入出力デバイス14等が接続されてなるバス15に、プ
ログラム格納部16及びデータ格納部17が接続されて
なる。
This system, as shown in FIG.
A program storage unit 16 and a data storage unit 17 are connected to a bus 15 to which a CPU 11, a RAM 12, a communication device 13, and other input / output devices 14 are connected.

【0031】データ格納部17には、前記分析対象ログ
格納部7の他、この分析システムで実行する分析の諸条
件を格納する分析条件格納部19と、フォーマットが統
一された後のログを格納する統一ログ格納部21と、統
合された分析対象ログを格納する統合済み分析対象ログ
格納部22と、ログの分析結果を格納する分析結果格納
部23とが設けられている。
The data storage unit 17 stores the analysis target log storage unit 7, an analysis condition storage unit 19 for storing various conditions of analysis to be executed by this analysis system, and a log after the format is unified. The integrated log storage unit 21 stores an integrated analysis target log, an integrated analysis target log storage unit 22 that stores integrated analysis target logs, and an analysis result storage unit 23 that stores log analysis results.

【0032】なお、前記分析条件格納部19には、本出
願の出願人等のセキュリティ業者が提供する更新済みデ
フォルト分析条件ファイル24aと、このデフォルト分
析条件ファイルに基づいてこのシステムの利用者が設定
した利用者設定分析条件ファイル24bとが格納されて
いる。
In the analysis condition storage section 19, an updated default analysis condition file 24a provided by a security company such as the applicant of the present application and a user of this system are set based on the default analysis condition file. Stored user setting analysis condition file 24b.

【0033】また、プログラム格納部16には、この発
明にのみ関係するものを挙げると、前記分析の諸条件を
設定するための分析条件設定部25と、前記分析対象ロ
グファイルを相互に比較若しくは結合可能なように所定
の統一フォーマットに変換処理して前記統一ログ格納部
21に格納するログフォーマット変換処理部26と、複
数の分析対象ログ間の整合性を判別する整合性判別部2
7と、前記所定のフォーマットに変換された複数の分析
対象ログを統合するログ統合処理部28と、前記統合さ
れた分析対象ログから同一ファシリティに属する行を区
分するログ区分処理部29と、前記区分された分析対象
ログを分析することで不正アクセスの有無を判断するロ
グ分析処理部30と、このログ分析処理部30による分
析結果を前記分析設定に反映させるための分析結果反映
処理部36とを有する。
In the program storage unit 16, if only the present invention is concerned, the analysis condition setting unit 25 for setting the various analysis conditions and the analysis target log file can be compared with each other. A log format conversion processing unit 26 that converts the data into a predetermined unified format so as to be connectable and stores it in the unified log storage unit 21, and a consistency determination unit 2 that determines consistency between a plurality of logs to be analyzed.
7, a log integration processing unit 28 that integrates a plurality of analysis target logs converted into the predetermined format, a log classification processing unit 29 that separates lines belonging to the same facility from the integrated analysis target logs, A log analysis processing unit 30 that determines the presence or absence of unauthorized access by analyzing the divided analysis target logs; an analysis result reflection processing unit 36 for reflecting the analysis result by the log analysis processing unit 30 in the analysis setting; Having.

【0034】なお、ログ統合処理部28は、分析対象ロ
グ中、セッションが判別できない行について、分類可能
な行に基づいて、どのセッションに分類されるかを判別
するセッション判別部31を有する。
The log integration processing unit 28 has a session discriminating unit 31 for discriminating which session in the log to be analyzed cannot be discriminated based on the classifiable row.

【0035】また、ログ分析処理部30は、接続IPア
ドレスに基づいて不正アクセスを判断する接続IP分析
部33と、接続時間に基づいて不正アクセスを判断する
接続時間分析部34と、前記ログを予め用意した接続パ
ターンと比較することで不正アクセスの有無を判断する
パターン分析部35とを有する。
The log analysis processing unit 30 includes a connection IP analysis unit 33 for determining an unauthorized access based on a connection IP address, a connection time analysis unit 34 for determining an unauthorized access based on a connection time, and A pattern analysis unit 35 that determines whether there is an unauthorized access by comparing with a connection pattern prepared in advance.

【0036】これらの構成要素は、実際にはコンピュー
タシステムの記憶媒体に確保された一定の領域及びこの
領域にインストールされたプログラムであり、前記CP
U11によってRAM12上に呼び出されて実行される
ことで、OS(オペレーションシステム)と協働してこ
の発明の機能を奏するようになっている。
These components are actually a fixed area secured in the storage medium of the computer system and a program installed in this area.
By being called and executed by the U11 on the RAM 12, the functions of the present invention are achieved in cooperation with an OS (operation system).

【0037】以下、上記構成要素の機能及び動作をこの
システムの処理手順と共に説明する。
Hereinafter, the functions and operations of the above components will be described together with the processing procedure of this system.

【0038】図3は、この分析システム1による概略の
処理手順を示したものである。
FIG. 3 shows a schematic processing procedure by the analysis system 1.

【0039】この図に示すように、この分析システム1
を利用した通信ログの分析は、例えば、ウィザード形式
によって行われる。ウィザードを開始すると(ステップ
S1)、まず、前記分析条件設定部25がステップS2
〜S6で分析条件の設定を行わせる。この分析条件の設
定は、分析ポリシーの設定(ステップS2)、許可IP
及び拒否IPの設定(ステップS3)、パターン設定
(ステップS4)、分析対象ファイル選択(ステップS
5)、分析項目の選択及びレポート出力種類の選択(ス
テップS6)の順に実行されていくことが好ましい。
As shown in this figure, the analysis system 1
The analysis of the communication log using is performed, for example, in a wizard format. When the wizard is started (step S1), first, the analysis condition setting unit 25 executes step S2.
In steps S6 to S6, analysis conditions are set. The setting of the analysis condition includes the setting of the analysis policy (step S2), the permission IP
And rejection IP setting (step S3), pattern setting (step S4), analysis target file selection (step S3)
5), it is preferable to sequentially execute the analysis item selection and the report output type selection (step S6).

【0040】ここで、前記分析ポリシーの設定(ステッ
プS2)は、ネットワークセキュリティに詳しくないオ
ペレータがステップS3〜S6の設定をする際の負担を
軽くするためのものであり、この実施形態では、図5に
示すように、現在有効になっている設定である「規定」
38、全般的に不正アクセス分析を行うための「基本設
定」39、CGIの他WEBに関係する不正アクセスを
分析する「Web関係一般」40、Ftpに関係する項
目をチェックする「ftp動作分析」41、管理者権限
をもって動作した記録を分析する「rootアクセス分
析」42、不正アクセスを受ける前の準備動作を分析す
る「scan動作分析」43、メール環境の異常動作を
分析する「メール環境分析」44等を選択できるように
なっている。各設定を選択することで、後述するように
各設定についてデフォルト設定された分析項目等が自動
的に設定できるようになっている。したがって、オペレ
ータはこれらを修正していくのみで良い。
Here, the setting of the analysis policy (step S2) is for reducing the burden on an operator who is not familiar with network security when setting the steps S3 to S6. As shown in Fig. 5, the "validation" is the setting that is currently in effect.
38, "Basic setting" 39 for analyzing unauthorized access as a whole, "General Web related" 40 for analyzing unauthorized access related to CGI and other WEB, "ftp operation analysis" for checking items related to Ftp 41, "root access analysis" 42 for analyzing records operated with administrator authority, "scan operation analysis" 43 for analyzing preparatory operations before receiving unauthorized access, "email environment analysis" for analyzing abnormal operations in the mail environment 44 and the like can be selected. By selecting each setting, an analysis item or the like set as a default for each setting can be automatically set as described later. Therefore, the operator only needs to correct these.

【0041】また、この実施形態では、この出願の出願
人等のようなセキュリティ業者が用意した最新の更新済
みデフォルト分析条件ファイル24aを利用して前記
「規定」以外の前記セキュリティポリシーの設定が行え
るようになっている。従って、前記「規定」以外の選択
肢を選ぶ場合、オペレータは意識することなく、最新の
セキュリティポリシーを利用することができるようにな
っている。
Further, in this embodiment, the security policy other than the "regulation" can be set using the latest updated default analysis condition file 24a prepared by a security company such as the applicant of the present application. It has become. Therefore, when selecting an option other than the “regulation”, the operator can use the latest security policy without being conscious of it.

【0042】次に、許可IP及び拒否IPの設定(ステ
ップS3)では、ファシリティ毎にアクセスを許可する
IP(許可IP)やアクセスを拒否するIP(拒否I
P)を設定できるようになっている。この実施形態で
は、前記セキュリティ業者が前記更新済みデフォルト分
析条件ファイル24aに追加した拒否IPや、前記分析
結果反映処理部36がこのシステムのセキュリティ診断
の結果適当であると判断した拒否IPが前記で選択した
ポリシーに基づいて自動的にデフォルトとして表示され
るようになっている。
Next, in the setting of the permitted IP and the rejected IP (step S3), the IP for permitting access (permitted IP) and the IP for rejecting access (reject I
P) can be set. In this embodiment, the rejected IP added by the security agent to the updated default analysis condition file 24a or the rejected IP determined by the analysis result reflection processing unit 36 to be appropriate as a result of the security diagnosis of the system is the above. It automatically appears as the default based on the policy you select.

【0043】パターン設定(ステップS4)では、ファ
シリティ毎に監視すべきパターンを設定できるようにな
っている。例えば、APPでは、ブートフォースアタッ
クやポートスキャン等について監視するべきパターンを
設定できるようになっている。このようなパターンも、
前記セキュリティ業者から提供された前記デフォルト分
析条件ファイル24aによって常に最新のものが各ポリ
シーに応じてデフォルトとして提供されるようになって
いる。このため、オペレータは、基本的にデフォルトの
パターンを適用すれば、最適の設定を行える。
In the pattern setting (step S4), a pattern to be monitored can be set for each facility. For example, in the APP, a pattern to be monitored for a boot force attack, a port scan, and the like can be set. Such a pattern,
The default analysis condition file 24a provided by the security company always provides the latest one as a default according to each policy. For this reason, the operator can perform the optimal setting by basically applying the default pattern.

【0044】次に、分析対象ファイルを選択する(ステ
ップS5)が、この例では、前記分析対象ログ格納部7
として設定されたディレクトリ及びそのディレクトリ内
のファイルを個別に指定することができるようになって
いる。
Next, an analysis target file is selected (step S5). In this example, the analysis target log storage unit 7 is used.
And the files in that directory can be individually specified.

【0045】また、分析項目の選択及びレポート出力種
類の選択(ステップS6)では、分析項目として、前記
各接続IP分析部33、接続時間分析部34及びパター
ン分析部35に対応して、接続IP分析、接続時間分析
及びパターン分析が選択できるようになっている。ま
た、レポート出力項目では、レポートで出力するべき項
目、例えば、前記通信ログを表示する際に、時刻、ファ
シリティ名等の項目を表示するか等を指定できるように
なっている。
In the analysis item selection and report output type selection (step S6), the connection IP analysis unit 33, the connection time analysis unit 34, and the pattern analysis unit 35 correspond to the connection IP Analysis, connection time analysis, and pattern analysis can be selected. In the report output items, it is possible to specify whether items to be output in a report, for example, when displaying the communication log, whether to display items such as a time and a facility name.

【0046】以上で設定された項目は、前記分析条件格
納部19の利用者設定分析条件24bに格納され、引き
続いて図4にステップS7で示す分析が実行される。
The items set as described above are stored in the user setting analysis condition 24b of the analysis condition storage unit 19, and the analysis shown in step S7 in FIG. 4 is subsequently performed.

【0047】以下、この手順を図6のフローチャートに
基づいて説明する。
Hereinafter, this procedure will be described with reference to the flowchart of FIG.

【0048】まず、前記フォーマット変換処理部26
が、前記分析条件で設定した分析対象通信ログを取り出
し、所定のフォーマットに変換処理し、変換処理後の通
信ログを前記統一ログ格納部21に格納する(ステップ
S7−1)。このフォーマット変換は、例えば、表示位
置、表示順序、タイムスタンプの位置等、対象ファシリ
ティやログ記録プログラムによって異なるフォーマット
を統一フォーマットに揃えるものである。
First, the format conversion processing section 26
Extracts the communication log to be analyzed set under the analysis conditions, converts the communication log into a predetermined format, and stores the communication log after the conversion processing in the unified log storage unit 21 (step S7-1). In this format conversion, for example, different formats depending on the target facility and the log recording program, such as a display position, a display order, and a position of a time stamp, are arranged in a unified format.

【0049】例えば、ftpの動作を記録した第1のロ
グ(syslog)が図7(a)に示すものであり、ftpに
おけるファイルの移動を記録した第2のログ(xferlo
g)が図7(b)に示すものであるとする。ここで、第
1のログは、{月、日、時間、サーバ、デーモン、[P
ID]動作(接続IP、アカウントを含む)}という書
式であるのに対して、第2のログは、{曜日、月、日、
時間、年、接続IP、ファイルサイズ、ファイル名、転
送モード、入出力、アカウント、プロトコル}という書
式になっている。このままでは、後で説明する統合処理
を行ったとしても、図8のようになりその分析が困難で
あるため、この実施形態では、前記フォーマット変換処
理部26が、これらを、図9に示すような書式に揃え
る。この書式では、図7(a)と図7(b)の書式のタ
イムスタンプの書式を合わせ、接続IPの表示位置とア
カウントの表示位置が揃えられている。
For example, the first log (syslog) that records the ftp operation is shown in FIG. 7A, and the second log (xferlo) that records the movement of the file in ftp.
g) is as shown in FIG. 7 (b). Here, the first log is {month, day, time, server, daemon, [P
ID] operation (including connection IP and account)}, whereas the second log contains {day, month, day,
The format is time, year, connection IP, file size, file name, transfer mode, input / output, account, protocol #. In this case, even if the integration processing described later is performed, the analysis is difficult as shown in FIG. 8. Therefore, in this embodiment, the format conversion processing unit 26 converts these as shown in FIG. Align with a proper format. In this format, the display position of the connection IP and the display position of the account are aligned by matching the time stamp formats of the formats of FIG. 7A and FIG. 7B.

【0050】ついで、前記整合性判別部27が、前記統
一ログ格納部21に格納された同一イベントについての
ログ間の整合性を判別する(ステップS7−2)。
Next, the consistency discriminating unit 27 discriminates the consistency between logs for the same event stored in the unified log storage unit 21 (step S7-2).

【0051】例えば、同一イベントとして、ftpの動
作に関して記録された全ログ(/var/log/all.log)が図
10(a)に示すものであり、認証に関するログ(/var
/log/auth.log)が図10(b)に示すものであるとす
る。ここで、図10(a)の書式は、{月、日、時間、
サーバ、デーモン(若しくはサービス)、[PID]動
作(接続IP、アカウントを含む)}となっており、説
明の便宜上前記フォーマット統一を行う前のものであ
る。この場合、図10(b)のログをそれぞれ図10
(a)のログの記述に当てはめると、9,16,17行
目になる。
For example, as the same event, all logs (/var/log/all.log) recorded on the ftp operation are as shown in FIG. 10A, and the log (/ var
/log/auth.log) is as shown in FIG. Here, the format of FIG. 10 (a) is {month, day, time,
Server, daemon (or service), [PID] operation (including connection IP and account)}, for the sake of convenience of description, before the above-mentioned format unification. In this case, the log of FIG.
When applied to the description of the log in (a), lines 9, 16, and 17 are obtained.

【0052】前記整合性判別部27は、前記全ログを、
前記ログ記録プログラム4の種類に応じて最も適切な方
法で切り出してファシリティ毎のログと比較する。この
例では、「デーモン名」をキーとして前記図10(a)
の全ログを切り出して、前記図10(b)と比較する。
この結果、両者が一致しない場合には、どちらかのログ
が改竄されたものと判断することができる。なお、ここ
で、デーモン名で全ログを切り出すのは、前記デーモン
名(若しくはサービス名)は、ファシリティ毎に固定さ
れているからである。一方PID(プロセスID)は、
ファシリティ別の記録では同一PIDの記述が複数のロ
グに分散されることになり好ましくない。
The consistency discriminating unit 27 stores all the logs
The log is recorded by the most appropriate method according to the type of the log recording program 4 and compared with the log for each facility. In this example, as shown in FIG.
Are cut out and compared with FIG. 10B.
As a result, if they do not match, it can be determined that one of the logs has been tampered with. Here, all logs are cut out by the daemon name because the daemon name (or service name) is fixed for each facility. On the other hand, the PID (process ID)
In the recording for each facility, the description of the same PID is undesirably distributed to a plurality of logs.

【0053】このような最適な切り出し方法は、ログの
書式によって異なるものであるから、この実施形態で
は、実際にはこの工程(ステップS7−2)を、前記書
式統一工程(ステップS7−1)後に行うようにする。
このことで、一定の方法で前記比較整合を行うことが可
能になる。
Since such an optimum cutting method differs depending on the log format, in this embodiment, this step (step S7-2) is actually replaced with the format unifying step (step S7-1). Will do it later.
This makes it possible to perform the comparison and matching in a certain manner.

【0054】次に、前記ログ統合処理部28が、前記所
定のフォーマットに変換された複数の分析対象ログを統
合する(ステップS7−3)。ここで、統合するのは、
個々のログファイルからでは不正アタックの有無が分か
らない場合があるからである。
Next, the log integration processing unit 28 integrates a plurality of analysis target logs converted into the predetermined format (step S7-3). Here, the integration is
This is because the presence or absence of an unauthorized attack may not be known from individual log files.

【0055】例えば、同一イベントについてのシステム
ログ(syslog)のうち、第1のログ(/var/log/info.lo
g)が図11(a)に示すものであり、第2のログ(/va
r/log/auth.log)が図11(b)に示すものである場合
について考える。この場合、セッションPID[242
5]のftpセッションは不正アクセスの疑いがある。
しかし、第1のログを見る限りでは、その痕跡はPID
[2421]の3回入力にわずかに残る程度で、それさ
えもPID[2425]とのはっきりとした関連は分か
らない。逆に第2のログには、PID[2421]の失
敗の記録が残っていて、p51-dn09.***.ne.jpがブルート
フォース(BruteForse)を仕掛けているのがはっきりと
分かる。しかし、このログからではこのアタックが成功
したかの判別はできない。また、このログにはPID
[2421]の表示はない。
For example, of the system log (syslog) for the same event, the first log (/var/log/info.lo
g) is shown in FIG. 11A, and the second log (/ va
(r / log / auth.log) is shown in FIG. 11B. In this case, the session PID [242
The ftp session of [5] is suspected of unauthorized access.
However, as far as the first log is seen, the trace is PID
It only slightly remains in the three inputs of [2421], and even that does not have a clear association with PID [2425]. Conversely, in the second log, a record of the failure of PID [2421] remains, and it can be clearly seen that p51-dn09. ***. Ne.jp has set a brute force. However, it cannot be determined from this log whether the attack was successful. Also, this log contains the PID
There is no display of [2421].

【0056】しかしながら、これらの動きは図12に示
す全ログ(/var/log/all.log)を見るとはっきりと現れ
ている。すなわち、この一連のアタックは、2/16 15:0
9:04から始まっていて、手口はTelnetを利用した
ftpへのブルートフォースアタックであることが判
る。
However, these movements appear clearly in the entire log (/var/log/all.log) shown in FIG. That is, this series of attacks is 2/16 15: 0
Starting at 9:04, the trick is a brute force attack on ftp using Telnet.

【0057】このような分析は、図11(a)、図11
(b)の個々のログからは得ることができない。従っ
て、この2つのログを結合して分析する必要があるので
ある。
Such an analysis is shown in FIGS.
It cannot be obtained from the individual logs in (b). Therefore, it is necessary to combine and analyze these two logs.

【0058】以下、この実施形態のログ結合方法につい
て説明する。
The log combining method according to this embodiment will be described below.

【0059】このログ統合処理部28は、前述したフォ
ーマット統一工程で各ログのフォーマットを統一した
後、これらを結合し、図9のような結合済みのログを得
る。すなわち、前述したように、例えば、ftpについ
ては、それ自体の動作とファイルの移動とが別々のログ
ファイル(図8(a)と図8(b))に記録される。こ
れら2つのログはフォーマットが異なるものであるか
ら、単純に結合したのではその分析を行うことが困難で
ある。このため、2つのログの書式を前述した方法で統
一してからこれらを結合するのである。
The log integration processing unit 28 unifies the formats of the logs in the format unification step described above, and combines them to obtain a combined log as shown in FIG. That is, as described above, for example, for ftp, its own operation and the movement of the file are recorded in separate log files (FIGS. 8A and 8B). Since these two logs have different formats, it is difficult to analyze them simply by combining them. Therefore, the formats of the two logs are unified by the above-described method, and then they are combined.

【0060】しかし、このような例において、問題にな
るのは、図8(b)のログにftpの動作を特定する記
述がないことである。図8及び図9の例では、ftpが
一つしかないためその特定は容易であるが、例えば、同
一時刻範囲に複数のftpセッションがある場合にはそ
の特定ができないために、有効な分析が行えないことに
なる。
However, in such an example, the problem is that the log of FIG. 8B has no description for specifying the ftp operation. In the examples of FIGS. 8 and 9, the specification is easy because there is only one ftp. However, for example, when there are a plurality of ftp sessions in the same time range, it is not possible to specify the ftp session. You will not be able to do it.

【0061】このため、この実施形態では、上記ログ統
合処理部28で、ログファイルの各行がどのセッション
に属するかを判別し、属するセッションが不明な行を適
切なセッションに振分ける処理を行う。
For this reason, in this embodiment, the log integration processing unit 28 determines to which session each line of the log file belongs, and performs a process of allocating a line whose unknown session belongs to an appropriate session.

【0062】図13(a)は同時刻範囲に複数のセッシ
ョンがある場合の第1のログ(syslog)の例、図13
(b)は第2のログ(xferlog)の例である。この2つ
のログを前記ログフォーマット変換処理部26で上記と
同様にフォーマットを統一した後、このログ統合処理部
28で統合しタイムスタンプ順に並べたのものが図14
である。
FIG. 13A shows an example of a first log (syslog) when there are a plurality of sessions in the same time range.
(B) is an example of a second log (xferlog). The two logs are unified by the log format conversion processing unit 26 in the same manner as described above, and then integrated by the log integration processing unit 28 and arranged in the order of time stamp.
It is.

【0063】この図14の統合済みログでは、同一時刻
に重複しているセッションがあったり、同一IPからの
セッションがあったりするため解析するのはかなり困難
である。
In the integrated log shown in FIG. 14, it is quite difficult to analyze because there are duplicate sessions at the same time or sessions from the same IP.

【0064】このため、このログ統合処理部28では、
まず、セッションの属性を判別する(ステップS7−
4)。この場合、前記図13(a)のログをPID毎に
分け、同一セッションであると判断できる行を分類する
と、図15(a)〜(c)に示すように、3つのセッシ
ョンが存在することがわかる。従って、この結果から、
各セッションの、PID,IP及び接続時間は図16に
示すようであると判別する(ステップS7−5)。
Therefore, the log integration processing unit 28
First, the session attributes are determined (step S7-
4). In this case, if the log in FIG. 13A is divided for each PID and the lines that can be determined to be the same session are classified, as shown in FIGS. 15A to 15C, there are three sessions. I understand. Therefore, from this result,
It is determined that the PID, IP, and connection time of each session are as shown in FIG. 16 (step S7-5).

【0065】このデータを利用することで、前記図13
(b)のログは、図17(a)〜(c)に示すようにい
ずれかのセッションに分類できる。
By utilizing this data, the above-mentioned FIG.
The log shown in FIG. 17B can be classified into any one of the sessions as shown in FIGS.

【0066】前記ログ統合処理部28は、前記図15及
び図17をセッション毎タイムスタンプ順に並べて、図
18(a)〜(c)の結果を得る(ステップS7−
6)。このような統合済みログは前記統合済み分析対象
ログ格納部22内に格納される。
The log integration processing unit 28 obtains the results shown in FIGS. 18A to 18C by arranging FIGS. 15 and 17 in the order of the time stamp for each session (step S7-).
6). Such integrated logs are stored in the integrated analysis target log storage unit 22.

【0067】ついで、前記区分振分け部29が、前記統
合されたログを、ファシリティ毎に区分する(ステップ
S7−7)。この実施形態では、前記統合済み分析対象
ログ格納部に格納されたログを取り出し、ログ中の各行
を、デーモン名(サービス名)に注目して振分けを行
う。
Next, the sorting section 29 sorts the integrated log for each facility (step S7-7). In this embodiment, a log stored in the integrated analysis target log storage unit is extracted, and each line in the log is sorted by paying attention to a daemon name (service name).

【0068】ついで、前記ログ分析処理部30は、前記
のように処理されたログファイルを利用して不正アクセ
スの有無の分析処理を実行する(ステップS7−8〜S
7−10)。各ログは、前述したように、分析しやすい
ように纏められ区分されているため、以下の分析を効率
的に行って行くことが可能になる。
Next, the log analysis processing unit 30 executes an analysis process for the presence or absence of unauthorized access using the log file processed as described above (steps S7-8 to S7).
7-10). As described above, since each log is grouped and divided so as to be easily analyzed, the following analysis can be efficiently performed.

【0069】まず、ステップS7−8の接続IP分析処
理で、前記で設定された「許可IP」若しくは「拒否I
P」の検出処理を行う。許可IPに設定されたIP及び
ドメインは、以下の他の分析対象から外されることにな
る。ついで、許可IP以外のIP若しくは前記拒否IP
として検出されたIPのうち、接続が確立したIPを検
出し、このIPに関するログを抽出する。
First, in the connection IP analysis processing in step S7-8, the "permitted IP" or "deny I"
P ”is detected. The IP and domain set as the permitted IP are excluded from the following other analysis targets. Then, an IP other than the permitted IP or the rejected IP
Among the detected IPs, the IP that has established the connection is detected, and a log related to this IP is extracted.

【0070】次に、ステップS7−9の不正接続時間検
出処理では、接続時間帯として設定された時間帯以外の
接続を不正接続時間として検出し、当該不正接続時間に
係るログを抽出する。
Next, in the unauthorized connection time detection processing in step S7-9, a connection other than the time zone set as the connection time zone is detected as the unauthorized connection time, and a log relating to the unauthorized connection time is extracted.

【0071】次に、ステップS7−10のパターン分析
では、前記ログと前記分析条件格納部に格納されたパタ
ーンとの一致を判断し、一致した場合に不正アクセスと
して検出する。このパターンは、日々更新されたもので
あることが好ましく、そのため、この実施形態では、更
新されたパターンが前記更新済みデフォルト分析条件フ
ァイル24aとしてセキュリティ業者から供給されるよ
うになっている。この実施形態で用いるパターンは約4
00種類である。
Next, in the pattern analysis of step S7-10, it is determined whether the log matches the pattern stored in the analysis condition storage unit, and if the pattern matches, it is detected as an unauthorized access. This pattern is preferably updated on a daily basis. Therefore, in this embodiment, the updated pattern is supplied from a security company as the updated default analysis condition file 24a. The pattern used in this embodiment is about 4
00 types.

【0072】最後に、図4のステップS8で分析結果を
出力する。この分析結果の出力は、不正アクセスの可能
性に応じて例えば、赤色や黄色等で色分けされて表示さ
れることが好ましい。また、この分析結果は、各セッシ
ョンに対して、不正アクセスの可能性に応じたフラグを
立てて前記分析結果格納部23に格納する。
Finally, the analysis result is output in step S8 of FIG. The output of the analysis result is preferably displayed in a different color such as red or yellow depending on the possibility of unauthorized access. The analysis result is stored in the analysis result storage unit 23 with a flag set for each session according to the possibility of unauthorized access.

【0073】また、このように実施された分析の結果
は、前記分析結果反映処理部36によって前記更新済み
デフォルト分析条件ファイル24aに反映される。例え
ば、前記分析の結果、不正アクセスを行ったと判断され
たIPがある場合には、当該IPは拒否IPとして前記
デフォルト分析条件ファイル24aに格納される。
The results of the analysis performed in this manner are reflected in the updated default analysis condition file 24a by the analysis result reflection processing unit 36. For example, as a result of the analysis, when there is an IP determined to have been accessed illegally, the IP is stored in the default analysis condition file 24a as a rejected IP.

【0074】このような構成によれば、複数のログファ
イルのフォーマットを統一し、それらを統合すること
で、単独のログファイルでは判別することができない不
正アクセスを検出することが可能になる。また、これら
の工程は、例えばセキュリティ業者が所定のタイミング
で更新した最新のフォーマット統一方法や統合方法に基
づいて実施されるから、セキュリティ管理者に高度な知
識や経験を要求することなく不正アクセス等を発見する
ことができる。
According to such a configuration, by unifying the formats of a plurality of log files and integrating them, it is possible to detect unauthorized access that cannot be determined by a single log file. In addition, since these processes are performed based on the latest format unification method and integration method updated by the security company at a predetermined timing, for example, unauthorized access without requiring advanced knowledge and experience from the security administrator. Can be found.

【0075】なお、この発明は、上記一実施形態に限定
されるものではなく、発明の要旨を変更しない範囲で種
々変形可能である。
The present invention is not limited to the above-described embodiment, but can be variously modified without changing the gist of the invention.

【0076】例えば、前記一実施形態ではサーバ2を監
視対象としたがこれに限定されるものではなく、ルータ
等を監視するようにしても良い。
For example, in the above-described embodiment, the server 2 is a monitoring target. However, the present invention is not limited to this, and a router or the like may be monitored.

【0077】また、上記一実施形態では、この発明はシ
ステム及び方法として提供されていたが、CD−ROM
等に格納されたパッケージソフトウェアとして提供され
コンピュータシステムにインストールされることでこの
発明の機能を奏するものであっても良い。
In the above embodiment, the present invention is provided as a system and a method.
The functions of the present invention may be provided by being provided as package software stored in a computer system and installed in a computer system.

【0078】[0078]

【発明の効果】以上説明した構成によれば、セキュリテ
ィ管理者に高度な知識や経験を要求することなく不正ア
クセス等を発見することができるログ処理方法及びシス
テムを得ることができる。
According to the configuration described above, it is possible to obtain a log processing method and system capable of detecting unauthorized access without requiring a high level of knowledge and experience from a security manager.

【図面の簡単な説明】[Brief description of the drawings]

【図1】この発明の一実施形態を示す概略構成図。FIG. 1 is a schematic configuration diagram showing an embodiment of the present invention.

【図2】この実施形態のログの記録方法を示す説明図。FIG. 2 is an explanatory diagram illustrating a log recording method according to the embodiment;

【図3】この実施形態のログ分析システムを示す概略構
成図。
FIG. 3 is a schematic configuration diagram illustrating a log analysis system according to the embodiment;

【図4】この実施形態の概略処理工程を示すフローチャ
ート。
FIG. 4 is a flowchart showing schematic processing steps of the embodiment.

【図5】分析ポリシーの選択肢を説明する図。FIG. 5 is a view for explaining options of an analysis policy.

【図6】分析処理の処理工程を示すフローチャート。FIG. 6 is a flowchart showing processing steps of an analysis processing.

【図7】通信ログの処理例を示す図。FIG. 7 is a diagram showing a processing example of a communication log.

【図8】通信ログの処理例を示す図。FIG. 8 is a diagram showing a processing example of a communication log.

【図9】通信ログの処理例を示す図。FIG. 9 is a diagram showing a processing example of a communication log.

【図10】通信ログの処理例を示す図。FIG. 10 is a diagram showing a processing example of a communication log.

【図11】通信ログの処理例を示す図。FIG. 11 is a diagram showing a processing example of a communication log.

【図12】通信ログの処理例を示す図。FIG. 12 is a diagram showing a processing example of a communication log.

【図13】通信ログの処理例を示す図。FIG. 13 is a diagram showing a processing example of a communication log.

【図14】通信ログの処理例を示す図。FIG. 14 is a diagram showing a processing example of a communication log.

【図15】通信ログの処理例を示す図。FIG. 15 is a diagram showing a processing example of a communication log.

【図16】通信ログの処理例を示す図。FIG. 16 is a diagram showing a processing example of a communication log.

【図17】通信ログの処理例を示す図。FIG. 17 is a diagram showing a processing example of a communication log.

【図18】通信ログの処理例を示す図。FIG. 18 is a diagram illustrating a processing example of a communication log.

【符号の説明】[Explanation of symbols]

1…ログ分析システム 2…サーバ 3…サーバアプリケーション 4…ログ記録プログラム 5…ログ転送プログラム 7…分析対象ログ格納部 11…CPU 12…RAM 13…通信デバイス 14…入出力デバイス 15…バス 16…プログラム格納部 17…データ格納部 19…分析条件格納部 21…統一ログ格納部 22…統合済み分析対象ログ格納部 23…分析結果格納部 24a…更新済みデフォルト分析条件ファイル 24b…利用者設定分析条件ファイル 25…分析条件設定部 26…ログフォーマット変換処理部 27…整合性判別部 28…ログ統合処理部 29…ログ区分処理部 30…ログ分析処理部 31…セッション判別部 33…IP分析部 34…接続時間分析部 35…パターン分析部 36…分析結果反映処理部 DESCRIPTION OF SYMBOLS 1 ... Log analysis system 2 ... Server 3 ... Server application 4 ... Log recording program 5 ... Log transfer program 7 ... Analysis log storage unit 11 ... CPU 12 ... RAM 13 ... Communication device 14 ... I / O device 15 ... Bus 16 ... Program Storage unit 17 Data storage unit 19 Analysis condition storage unit 21 Unified log storage unit 22 Integrated analysis target log storage unit 23 Analysis result storage unit 24a Updated default analysis condition file 24b User setting analysis condition file 25 analysis condition setting unit 26 log format conversion processing unit 27 consistency determination unit 28 log integration processing unit 29 log classification processing unit 30 log analysis processing unit 31 session determination unit 33 IP analysis unit 34 connection Time analysis unit 35: Pattern analysis unit 36: Analysis result reflection processing unit

Claims (30)

【特許請求の範囲】[Claims] 【請求項1】(a) 複数の通信ログを記録可能なアプ
リケーションが出力した各分析対象ログファイルを、必
要な場合所定のフォーマットに変換処理する工程と、
(b)前記所定のフォーマットに変換された複数の分析
対象ログを統合する工程と、(c)統合された後のログ
を分析することで不正アクセスの有無を判断する工程と
を有することを特徴とする通信ログ処理方法
(A) converting each analysis target log file output by an application capable of recording a plurality of communication logs into a predetermined format if necessary;
(B) integrating a plurality of logs to be analyzed converted into the predetermined format, and (c) determining the presence or absence of unauthorized access by analyzing the integrated logs. Communication log processing method
【請求項2】 請求項1記載の通信ログ処理方法におい
て、 前記複数の分析対象ログファイルは、同一システムにつ
いて記録されたものであることを特徴とするログ通信処
理方法。
2. The log communication processing method according to claim 1, wherein the plurality of log files to be analyzed are recorded for the same system.
【請求項3】 請求項2記載の通信ログ処理方法におい
て、(d)前記(a)工程若しくは(b)工程の前に前
記複数の分析対象ログ間の整合性を判別し、その判別結
果を出力する工程をさらに有することを特徴とする通信
ログ処理方法。
3. The communication log processing method according to claim 2, wherein (d) determining consistency between the plurality of analysis target logs before the step (a) or the step (b), and determining the determination result. A communication log processing method, further comprising a step of outputting.
【請求項4】 請求項1記載の通信ログ処理方法におい
て、 前記(a)工程は、前記分析対象ログファイルを出力し
たアプリケーション毎に予め用意された変換手順を利用
して、前記分析対象ログファイルを所定のフォーマット
に変換する工程を有するものであることを特徴とする通
信ログ処理方法。
4. The communication log processing method according to claim 1, wherein in the step (a), the analysis target log file is converted using a conversion procedure prepared in advance for each application that outputs the analysis target log file. A communication log processing method, which comprises a step of converting the data into a predetermined format.
【請求項5】 請求項1記載の通信ログ処理方法におい
て、 前記アプリケーション毎に予め用意された変換手順を、
所定のタイミングで更新する工程をさらに有することを
特徴とする通信ログ処理方法。
5. The communication log processing method according to claim 1, wherein a conversion procedure prepared in advance for each application is
A communication log processing method, further comprising a step of updating at a predetermined timing.
【請求項6】 請求項1記載の通信ログ処理方法におい
て、 (e)前記(a)工程若しくは(b)工程の前に、前記
分析対象ログから、同一セッションに属する行を分類す
る工程をさらに有することを特徴とする通信ログ処理方
法。
6. The communication log processing method according to claim 1, further comprising: (e) classifying rows belonging to the same session from the analysis target log before the step (a) or the step (b). A communication log processing method comprising:
【請求項7】 請求項6記載の通信ログ処理方法におい
て、 前記(e)工程は、分析対象ログ中、その属するセッシ
ョンが判別できる行に基づいて、その属するセッション
が判別できない行がどのセッションに属するかを判別す
る工程をさらに有することを特徴とする通信ログ処理方
法。
7. The communication log processing method according to claim 6, wherein, in the step (e), in the analysis target log, a line whose session cannot be determined is assigned to any session based on a line whose session can be determined. A communication log processing method, further comprising a step of determining whether the communication log belongs.
【請求項8】 請求項1記載の通信ログ処理方法におい
て、 前記(b)工程は、前記複数の分析対象ログを同一セッ
ション毎に統合するものであることを特徴とする通信ロ
グ処理方法。
8. The communication log processing method according to claim 1, wherein the step (b) integrates the plurality of analysis target logs for each same session.
【請求項9】 請求項8記載の通信ログ処理方法におい
て、 前記(c)工程は、前記同一セッション毎に統合された
分析対象ログ毎に、不正アクセスの有無を判別するもの
であることを特徴とする通信ログ処理方法。
9. The communication log processing method according to claim 8, wherein the step (c) determines whether there is an unauthorized access for each analysis target log integrated for each of the same sessions. Communication log processing method.
【請求項10】 請求項9記載の通信ログ処理方法にお
いて、 前記(c)工程は、前記セッション毎に、不正アクセス
の可能性を色分けして表示するものであることを特徴と
する通信ログ処理方法。
10. The communication log processing method according to claim 9, wherein in the step (c), the possibility of unauthorized access is displayed in different colors for each session. Method.
【請求項11】(a) 複数の通信ログを記録可能なア
プリケーションが出力した各分析対象ログファイルを、
必要な場合所定のフォーマットに変換処理する手段と、
(b)前記所定のフォーマットに変換された複数の分析
対象ログを統合する手段と、(c)統合された後のログ
を分析することで不正アクセスの有無を判断する手段と
を有することを特徴とする通信ログ処理システム。
(A) Each analysis target log file output by an application capable of recording a plurality of communication logs is
Means for converting to a predetermined format if necessary;
(B) means for integrating a plurality of logs to be analyzed converted into the predetermined format, and (c) means for judging the presence or absence of unauthorized access by analyzing the integrated logs. Communication log processing system.
【請求項12】 請求項11記載の通信ログ処理システ
ムにおいて、 前記複数の分析対象ログファイルは、同一システムにつ
いて記録されたものであることを特徴とするログ通信処
理システム。
12. The log communication processing system according to claim 11, wherein the plurality of analysis target log files are recorded for the same system.
【請求項13】 請求項12記載の通信ログ処理システ
ムにおいて、 (d)前記複数の分析対象ログ間の整合性を判別し、そ
の判別結果を出力する手段をさらに有することを特徴と
する通信ログ処理システム。
13. The communication log processing system according to claim 12, further comprising: (d) means for determining consistency between the plurality of logs to be analyzed and outputting a result of the determination. Processing system.
【請求項14】 請求項11記載の通信ログ処理システ
ムにおいて、 前記(a)手段は、前記分析対象ログファイルを出力し
たアプリケーション毎に予め用意された変換手順を利用
して、前記分析対象ログファイルを所定のフォーマット
に変換する手段を有するものであることを特徴とする通
信ログ処理システム。
14. The communication log processing system according to claim 11, wherein the means (a) uses a conversion procedure prepared in advance for each application that outputs the analysis target log file, and uses the conversion procedure. A communication log processing system having means for converting the data into a predetermined format.
【請求項15】 請求項11記載の通信ログ処理システ
ムにおいて、 前記アプリケーション毎に予め用意された変換手順を、
所定のタイミングで更新する手段をさらに有することを
特徴とする通信ログ処理システム。
15. The communication log processing system according to claim 11, wherein a conversion procedure prepared in advance for each application is
A communication log processing system further comprising means for updating at a predetermined timing.
【請求項16】 請求項11記載の通信ログ処理システ
ムにおいて、 (e)前記分析対象ログから、同一セッションに属する
行を分類する手段をさらに有することを特徴とする通信
ログ処理システム。
16. The communication log processing system according to claim 11, further comprising: (e) means for classifying rows belonging to the same session from the analysis target log.
【請求項17】 請求項16記載の通信ログ処理システ
ムにおいて、 前記(e)手段は、分析対象ログ中、その属するセッシ
ョンが判別できる行に基づいて、その属するセッション
が判別できない行がどのセッションに属するかを判別す
る手段をさらに有することを特徴とする通信ログ処理シ
ステム。
17. The communication log processing system according to claim 16, wherein said means (e) determines which line in the analysis target log has a line whose session cannot be determined based on a line whose session can be determined. A communication log processing system further comprising a unit for determining whether the communication log belongs.
【請求項18】 請求項11記載の通信ログ処理システ
ムにおいて、 前記(b)手段は、前記複数の分析対象ログを同一セッ
ション毎に統合するものであることを特徴とする通信ロ
グ処理システム。
18. The communication log processing system according to claim 11, wherein said means (b) integrates said plurality of analysis target logs for each same session.
【請求項19】 請求項18記載の通信ログ処理システ
ムにおいて、 前記(c)手段は、前記同一セッション毎に統合された
分析対象ログ毎に、不正アクセスの有無を判別するもの
であることを特徴とする通信ログ処理システム。
19. The communication log processing system according to claim 18, wherein said means (c) determines presence / absence of unauthorized access for each analysis target log integrated for each said same session. Communication log processing system.
【請求項20】 請求項19記載の通信ログ処理システ
ムにおいて、 前記(c)手段は、前記セッション毎に、不正アクセス
の可能性を色分けして表示するものであることを特徴と
する通信ログ処理システム。
20. The communication log processing system according to claim 19, wherein said means (c) displays the possibility of unauthorized access in different colors for each session. system.
【請求項21】 コンピュータシステムにインストール
されたオペレーションシステムと協働して通信ログの分
析処理を行うコンピュータソフトウェアプログラム製品
であって、 記憶媒体と、(a)この記憶媒体に格納され、複数の通
信ログを記録可能なアプリケーションが出力した各分析
対象ログファイルを、必要な場合所定のフォーマットに
変換処理する手段と、(b)前記記憶媒体に格納され、
前記所定のフォーマットに変換された複数の分析対象ロ
グを統合する手段と、(c)前記記憶媒体に格納され、
統合された後のログを分析することで不正アクセスの有
無を判断する手段とを有することを特徴とするコンピュ
ータソフトウェアプログラム製品。
21. A computer software program product for analyzing a communication log in cooperation with an operation system installed in a computer system, comprising: a storage medium; and (a) a plurality of communication programs stored in the storage medium. Means for converting each analysis target log file output by the application capable of recording a log into a predetermined format if necessary; (b) stored in the storage medium;
Means for integrating the plurality of analysis target logs converted into the predetermined format; and (c) stored in the storage medium,
Means for judging the presence or absence of unauthorized access by analyzing the integrated logs.
【請求項22】 請求項21記載のコンピュータソフト
ウェアプログラム製品において、前記複数の分析対象ロ
グファイルは、同一システムについて記録されたもので
あることを特徴とするログ通信処理システム。
22. The log communication processing system according to claim 21, wherein the plurality of log files to be analyzed are recorded for the same system.
【請求項23】 請求項22記載のコンピュータソフト
ウェアプログラム製品において、 (d)前記記憶媒体に格納され、前記複数の分析対象ロ
グ間の整合性を判別し、その判別結果を出力する手段を
さらに有することを特徴とするコンピュータソフトウェ
アプログラム製品。
23. The computer software program product according to claim 22, further comprising: (d) means for storing the storage medium, determining consistency between the plurality of analysis target logs, and outputting the determination result. A computer software program product, characterized in that:
【請求項24】 請求項21記載のコンピュータソフト
ウェアプログラム製品において、 前記(a)手段は、前記分析対象ログファイルを出力し
たアプリケーション毎に予め用意された変換手順を利用
して、前記分析対象ログファイルを所定のフォーマット
に変換する手段を有するものであることを特徴とするコ
ンピュータソフトウェアプログラム製品。
24. The computer software program product according to claim 21, wherein the means (a) uses a conversion procedure prepared in advance for each application that has output the log file to be analyzed. A computer software program product having means for converting a file into a predetermined format.
【請求項25】 請求項21記載のコンピュータソフト
ウェアプログラム製品において、 前記アプリケーション毎に予め用意された変換手順を、
所定のタイミングで更新する手段をさらに有することを
特徴とするコンピュータソフトウェアプログラム製品。
25. The computer software program product according to claim 21, wherein the conversion procedure prepared in advance for each application is performed by:
A computer software program product further comprising means for updating at a predetermined timing.
【請求項26】 請求項21記載のコンピュータソフト
ウェアプログラム製品において、(e)前記記憶媒体に
格納され、前記分析対象ログから、同一セッションに属
する行を分類する手段をさらに有することを特徴とする
コンピュータソフトウェアプログラム製品。
26. The computer software program product according to claim 21, further comprising: (e) means for classifying, from the log to be analyzed, lines belonging to the same session, stored in the storage medium. Software program product.
【請求項27】 請求項26記載のコンピュータソフト
ウェアプログラム製品において、 前記(e)手段は、分析対象ログ中、その属するセッシ
ョンが判別できる行に基づいて、その属するセッション
が判別できない行がどのセッションに属するかを判別す
る手段をさらに有することを特徴とするコンピュータソ
フトウェアプログラム製品。
27. The computer software program product according to claim 26, wherein said means (e) determines which session in said analysis target log has a line whose session cannot be determined based on a line whose session can be determined. A computer software program product, further comprising means for determining whether the user belongs.
【請求項28】 請求項21記載のコンピュータソフト
ウェアプログラム製品において、 前記(b)手段は、前記複数の分析対象ログを同一セッ
ション毎に統合するものであることを特徴とするコンピ
ュータソフトウェアプログラム製品。
28. A computer software program product according to claim 21, wherein said means (b) integrates said plurality of analysis target logs for each same session.
【請求項29】 請求項28記載のコンピュータソフト
ウェアプログラム製品において、 前記(c)手段は、前記同一セッション毎に統合された
分析対象ログ毎に、不正アクセスの有無を判別するもの
であることを特徴とするコンピュータソフトウェアプロ
グラム製品。
29. The computer software program product according to claim 28, wherein said means (c) determines presence or absence of unauthorized access for each analysis target log integrated for each said same session. A computer software program product.
【請求項30】 請求項29記載のコンピュータソフト
ウェアプログラム製品において、 前記(c)手段は、前記セッション毎に、不正アクセス
の可能性を色分けして表示するものであることを特徴と
するコンピュータソフトウェアプログラム製品。
30. A computer software program product according to claim 29, wherein said means (c) displays the possibility of unauthorized access in different colors for each session. Product.
JP2001120308A 2001-04-18 2001-04-18 Method and system for processing communication log Pending JP2002318734A (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2001120308A JP2002318734A (en) 2001-04-18 2001-04-18 Method and system for processing communication log
TW091107953A TWI226984B (en) 2001-04-18 2002-04-18 Communication log processing method and communication log processing system
PCT/JP2002/003879 WO2002088976A1 (en) 2001-04-18 2002-04-18 Communication log processing method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001120308A JP2002318734A (en) 2001-04-18 2001-04-18 Method and system for processing communication log

Publications (1)

Publication Number Publication Date
JP2002318734A true JP2002318734A (en) 2002-10-31

Family

ID=18970371

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001120308A Pending JP2002318734A (en) 2001-04-18 2001-04-18 Method and system for processing communication log

Country Status (3)

Country Link
JP (1) JP2002318734A (en)
TW (1) TWI226984B (en)
WO (1) WO2002088976A1 (en)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006155124A (en) * 2004-11-29 2006-06-15 Savant:Kk Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein
JP2006235895A (en) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp Audit log analysis apparatus, audit log analysis method and audit log analysis program
JP2007094707A (en) * 2005-09-28 2007-04-12 Hitachi Software Eng Co Ltd Application operation tracking support device
JP2007114834A (en) * 2005-10-18 2007-05-10 Hitachi Ltd Storage device and computer system managing log
JP2007213521A (en) * 2006-02-13 2007-08-23 Meiri Tabuchi Monitoring result recording system, common log generation device, and program
KR100758476B1 (en) 2005-12-26 2007-09-12 주식회사 포스코 Apparatus and method for analyzing security log for process control system
JP2007304855A (en) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd Log collection system and monitor device
KR100800232B1 (en) 2005-03-17 2008-02-01 가부시키가이샤 히타치세이사쿠쇼 Network device and event processing method
JP2008210308A (en) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp Log integrating managing device, log integrating managing method, and log integrating managing program
JP2008293273A (en) * 2007-05-24 2008-12-04 Hitachi Ltd Information processor and information processing method
JP2009053992A (en) * 2007-08-28 2009-03-12 Jiec Co Ltd Log collection system
JP2009217381A (en) * 2008-03-07 2009-09-24 Nec Corp Failure analysis system, failure analysis method, failure analysis server, and failure analysis program
JP2010218139A (en) * 2009-03-16 2010-09-30 Fujitsu Semiconductor Ltd Execution history tracing method
JP2012084054A (en) * 2010-10-14 2012-04-26 Kddi Corp Portable terminal and program
WO2014119669A1 (en) * 2013-01-30 2014-08-07 日本電信電話株式会社 Log analysis device, information processing method and program
KR101610893B1 (en) * 2014-12-31 2016-04-08 주식회사 시큐아이 Method and apparatus for handling or checking a session log
KR20160131619A (en) * 2015-05-08 2016-11-16 (주)케이사인 Device of detecting wrongful use of personal information
WO2020161780A1 (en) * 2019-02-04 2020-08-13 日本電気株式会社 Action plan estimation device, action plan estimation method, and computer-readable recording medium
JP2021117773A (en) * 2020-01-27 2021-08-10 富士通株式会社 Information processor, and program and method for generating analysis data
WO2021245944A1 (en) 2020-06-05 2021-12-09 富士通株式会社 Information processing program, information processing method, and information processing device
WO2022219819A1 (en) * 2021-04-16 2022-10-20 日本電信電話株式会社 Determination device, determination method, and determination program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10333943A (en) * 1997-05-27 1998-12-18 Mitsubishi Electric Corp Method and device for processing trace log of computer system
JPH10340254A (en) * 1997-04-11 1998-12-22 Hitachi Ltd Network system which can detect illegal use

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6312037A (en) * 1986-07-02 1988-01-19 Nec Corp Electronic computer system with diagnosing device
EP0493083B1 (en) * 1990-12-26 1998-03-04 Canon Kabushiki Kaisha Color communication apparatus
JP2856688B2 (en) * 1994-12-26 1999-02-10 日立電子サービス株式会社 Logging data analysis system
JPH10240687A (en) * 1997-02-28 1998-09-11 Tec Corp Network system
US6202158B1 (en) * 1997-04-11 2001-03-13 Hitachi, Ltd. Detection method of illegal access to computer system
JP3351318B2 (en) * 1997-11-07 2002-11-25 株式会社日立製作所 Computer system monitoring method
JP2000047912A (en) * 1998-07-30 2000-02-18 Nippon Telegr & Teleph Corp <Ntt> Method and device for monitorning network service and storage medium having recorded network service monitor program thereon
JP4357614B2 (en) * 1998-11-26 2009-11-04 大日本印刷株式会社 Log management system
JP2000207316A (en) * 1999-01-19 2000-07-28 Oki Electric Ind Co Ltd Information collecting device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10340254A (en) * 1997-04-11 1998-12-22 Hitachi Ltd Network system which can detect illegal use
JPH10333943A (en) * 1997-05-27 1998-12-18 Mitsubishi Electric Corp Method and device for processing trace log of computer system

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006155124A (en) * 2004-11-29 2006-06-15 Savant:Kk Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein
JP2006235895A (en) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp Audit log analysis apparatus, audit log analysis method and audit log analysis program
JP4575190B2 (en) * 2005-02-24 2010-11-04 三菱電機株式会社 Audit log analysis apparatus, audit log analysis method, and audit log analysis program
KR100800232B1 (en) 2005-03-17 2008-02-01 가부시키가이샤 히타치세이사쿠쇼 Network device and event processing method
JP2007094707A (en) * 2005-09-28 2007-04-12 Hitachi Software Eng Co Ltd Application operation tracking support device
JP4641238B2 (en) * 2005-09-28 2011-03-02 株式会社日立ソリューションズ Application operation tracking support device
JP2007114834A (en) * 2005-10-18 2007-05-10 Hitachi Ltd Storage device and computer system managing log
KR100758476B1 (en) 2005-12-26 2007-09-12 주식회사 포스코 Apparatus and method for analyzing security log for process control system
JP2007213521A (en) * 2006-02-13 2007-08-23 Meiri Tabuchi Monitoring result recording system, common log generation device, and program
JP2007304855A (en) * 2006-05-11 2007-11-22 Hitachi Electronics Service Co Ltd Log collection system and monitor device
JP2008210308A (en) * 2007-02-28 2008-09-11 Mitsubishi Electric Corp Log integrating managing device, log integrating managing method, and log integrating managing program
JP2008293273A (en) * 2007-05-24 2008-12-04 Hitachi Ltd Information processor and information processing method
JP2009053992A (en) * 2007-08-28 2009-03-12 Jiec Co Ltd Log collection system
JP2009217381A (en) * 2008-03-07 2009-09-24 Nec Corp Failure analysis system, failure analysis method, failure analysis server, and failure analysis program
US8578216B2 (en) 2009-03-16 2013-11-05 Spansion Llc Execution history tracing method
US9507688B2 (en) 2009-03-16 2016-11-29 Cypress Semiconductor Corporation Execution history tracing method
JP2010218139A (en) * 2009-03-16 2010-09-30 Fujitsu Semiconductor Ltd Execution history tracing method
JP2012084054A (en) * 2010-10-14 2012-04-26 Kddi Corp Portable terminal and program
US9860278B2 (en) 2013-01-30 2018-01-02 Nippon Telegraph And Telephone Corporation Log analyzing device, information processing method, and program
WO2014119669A1 (en) * 2013-01-30 2014-08-07 日本電信電話株式会社 Log analysis device, information processing method and program
JP6001689B2 (en) * 2013-01-30 2016-10-05 日本電信電話株式会社 Log analysis apparatus, information processing method, and program
KR101610893B1 (en) * 2014-12-31 2016-04-08 주식회사 시큐아이 Method and apparatus for handling or checking a session log
KR20160131619A (en) * 2015-05-08 2016-11-16 (주)케이사인 Device of detecting wrongful use of personal information
KR101678179B1 (en) 2015-05-08 2016-11-21 (주)케이사인 Device of detecting wrongful use of personal information
JP7168010B2 (en) 2019-02-04 2022-11-09 日本電気株式会社 Action plan estimation device, action plan estimation method, and program
WO2020161780A1 (en) * 2019-02-04 2020-08-13 日本電気株式会社 Action plan estimation device, action plan estimation method, and computer-readable recording medium
JPWO2020161780A1 (en) * 2019-02-04 2021-11-25 日本電気株式会社 Action plan estimation device, action plan estimation method, and program
US11989290B2 (en) 2019-02-04 2024-05-21 Nec Corporation Action plan estimation apparatus, action plan estimation method, and computer-readable recording medium
JP2021117773A (en) * 2020-01-27 2021-08-10 富士通株式会社 Information processor, and program and method for generating analysis data
JP7393642B2 (en) 2020-01-27 2023-12-07 富士通株式会社 Information processing device, analysis data generation program and method
WO2021245944A1 (en) 2020-06-05 2021-12-09 富士通株式会社 Information processing program, information processing method, and information processing device
WO2022219819A1 (en) * 2021-04-16 2022-10-20 日本電信電話株式会社 Determination device, determination method, and determination program
JP7505642B2 (en) 2021-04-16 2024-06-25 日本電信電話株式会社 Determination device, determination method, and determination program

Also Published As

Publication number Publication date
WO2002088976A1 (en) 2002-11-07
TWI226984B (en) 2005-01-21

Similar Documents

Publication Publication Date Title
US20210326451A1 (en) Automated security assessment of business-critical systems and applications
JP2002318734A (en) Method and system for processing communication log
US10798116B2 (en) External malware data item clustering and analysis
Lins et al. Trust is good, control is better: Creating secure clouds by continuous auditing
EP3731166B1 (en) Data clustering
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
CA2946224C (en) Method and apparatus for automating the building of threat models for the public cloud
US20060191007A1 (en) Security force automation
US20050160286A1 (en) Method and apparatus for real-time security verification of on-line services
WO2003084182A1 (en) Method and apparatus for real-time security verification of on-line services
CN112199276B (en) Method, device, server and storage medium for detecting change of micro-service architecture
US11895137B2 (en) Phishing data item clustering and analysis
Chuvakin The complete guide to log and event management
CN114036505A (en) Safety operation and maintenance analysis server, safety operation and maintenance analysis method and computer equipment
US20210306370A1 (en) Interface security in business applications
AU2011272961B2 (en) Automated security assessment of business-critical systems and applications
CN115695044A (en) IT asset safety control platform and management method
Yüksel Development of a quality assurance prototype for intrusion detection systems
Alkhurayyif et al. JISCR
Davis Tracking the Inside Intruder Using Net Logon Debug Logging in Microsoft® Windows® Server Operating Systems
KR20040043354A (en) Automatic Vulnerability Management Service System

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060413

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100907

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110111