図面 (/)

技術 ログ分析システム、ログ分析方法及びログ分析装置

出願人 株式会社日立製作所
発明者 林直樹鬼頭哲郎仲小路博史
出願日 2016年8月1日 (4年6ヶ月経過) 出願番号 2016-151528
公開日 2018年2月8日 (3年0ヶ月経過) 公開番号 2018-022248
状態 特許登録済
技術分野 特定用途計算機 検索装置
主要キーワード 判定欄 再発防止策 処理完了フラグ 関係性情報 照合ルール 分析要求 確認用情報 推移的
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2018年2月8日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (13)

課題

イベント間関係性が部分的に欠落している場合に対応したログ分析システムログ分析方法及びログ分析装置を提案する。

解決手段

ログ情報分析するログ分析システムであって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合には当該イベントに対応するノード間にエッジを追加することで、グラフ構造構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が当該指定されたイベントを発生させた木であるかを判定し、当該指定されたイベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。

概要

背景

組織のシステムを守るためには、外部からの攻撃等によってシステムに異常が発生した際、当該異常を速やかに発見して復旧を図るだけではなく、当該異常の原因を調査して対策を講じることで、同じような異常の再発を防止することが重要である。異常の発見及び異常の原因の調査のため、システムは記録しているログ分析する。

近年被害が増加している攻撃としては、例えば攻撃者が、標的が普段利用するようなWebサイト改ざんし、閲覧した者の計算機に異常を発生させるものがある。この攻撃では多くの場合、改ざんされたWebサイトに標的がアクセスすると、標的が意図しない複数回のリダイレクトが発生し、最終的に攻撃者が悪用しているマルウェア配布サイトまで誘導される。閲覧した者が、誘導されたマルウェアの配布サイトでマルウェアを取得し、閲覧した者の計算機にマルウェアをインストールすると、閲覧した者の計算機から組織のシステム内にマルウェアによる攻撃が行われてしまう。

このような攻撃では、攻撃者が複数のマルウェアの配布サイトを準備し、そのうちのいずれかにランダムに誘導することもある。従って、そのような攻撃による異常を検知した場合、個々のマルウェアの配布サイトへのアクセスをブロックするだけではなく、改ざんされたWebサイトを発見することで、当該Webサイトへのアクセスを一時的に遮断する又は当該Webサイトの管理者に改ざんの旨を通知することで復旧を促す、などの再発防止策を講じることが重要である。

すなわち、例えば、マルウェアをダウンロードした旨のアラートが発生した場合には、当該アクセスがどのような経緯で発生したのかについて、通信ログなどを基に調査し、入り口となったWebサイトを特定する必要がある。

一方で、近年の組織のシステムは多種多様及び多数の機器アプリケーションで構成されているため、ログに記載された事象間の因果関係を辿り異常の発生原因を特定するには、大量のシステムログセキュリティログを調査する必要があり、長時間を要するようになっている。

このような情報間関係性の分析を効率化するログ分析システムの1つとして、特許文献1には、情報をグラフ構造として保持し、検索条件基点となったノードに指定した初期値を設定して一定比率で減少させながら伝播させ、最終的に閾値以上となったノード集合検索結果として出力することで、既存の検索においては容易にたどり着かない情報を効率的に取得する発明が開示されている。

概要

イベント間の関係性が部分的に欠落している場合に対応したログ分析システム、ログ分析方法及びログ分析装置を提案する。ログ情報を分析するログ分析システムであって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合には当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が当該指定されたイベントを発生させた木であるかを判定し、当該指定されたイベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。

目的

不審性確認部117は、本実施の形態にとって必須の機能ではないが、不審性確認部117を用いて、ログ情報200の不審な箇所の通りに動作環境をそろえて実動作を確認することで、利用者により正確な情報を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ログ情報分析するログ分析システムであって、複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定し、個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造構築する関係性ツリー構築部と、指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する結果出力部とを備えるログ分析システム。

請求項2

実際に不審な動作を確認することで前記因果関係を補う不審性確認部を備える請求項1に記載のログ分析システム。

請求項3

分析対象とする前記イベントを所定の条件で絞り込む周辺情報取得部を備える請求項1に記載のログ分析システム。

請求項4

結果出力部が出力する前記結果は、前記グラフ構造の前記確からしさの度合い及び分析結果の概要を表示する関係性ツリー一覧と、前記関係性ツリー一覧から選択された前記グラフ構造の詳細が表示される分析結果描画領域とを備える請求項1に記載のログ分析システム。

請求項5

前記イベントは、アクセス先ロケーション情報遷移元のロケーション情報とを備え、前記関係性ツリー不審度計算部は、アクセス先のロケーション情報が前記グラフ構造の途中で変化している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる請求項1に記載のログ分析システム。

請求項6

前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを備え、前記関係性ツリー不審度計算部は、グラフ構造中に2回以上のリダイレクト遷移が発生している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる請求項1に記載のログ分析システム。

請求項7

前記イベントは、アクセスに使用したエージェント情報を備え、前記関係性ツリー不審度計算部は、指定された前記イベントと同じエージェント情報であり指定された前記イベントと同じアクセス先であって不審な動作がない前記イベントがグラフ構造中にある場合に、当該グラフ構造の前記確からしさの度合いを不審ではないと判定する向きに変化させる請求項1に記載のログ分析システム。

請求項8

ログ情報を分析するログ分析システムにおけるログ分析方法であって、前記ログ分析システムは、関係性ツリー構築部と、関係性ツリー不審度計算部と、結果出力部とを有し、前記関係性ツリー構築部が、複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定する第1のステップと、前記関係性ツリー構築部が、個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する第2のステップと、前記関係性ツリー不審度計算部が、指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定する第3のステップと、前記関係性ツリー不審度計算部が、指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する第4のステップと、前記結果出力部が、前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する第5のステップとを備えるログ分析方法。

請求項9

前記ログ分析システムは不審性確認部を有し、不審性確認部が実際に不審な動作を確認することで前記因果関係を補う第6のステップを備える請求項8に記載のログ分析方法。

請求項10

前記ログ分析システムは周辺情報取得部を有し、前記周辺情報取得部が分析対象とする前記イベントを所定の条件で絞り込む第6のステップを備える請求項8に記載のログ分析方法。

請求項11

前記結果出力部が出力する前記結果は関係性ツリー情報一覧と、分析結果描画領域とを有し、前記結果出力部が、関係性ツリー一覧に前記グラフ構造の前記確からしさの度合い及び分析結果の概要を表示する第6のステップと、前記結果出力部が、分析結果描画領域に前記関係性ツリー一覧から選択された前記グラフ構造の詳細を表示する第7のステップとを備える請求項8に記載のログ分析方法。

請求項12

前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを有し、前記関係性ツリー不審度計算部がアクセス先のロケーション情報が前記グラフ構造の途中で変化している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる第6のステップを備える請求項8に記載のログ分析方法。

請求項13

前記イベントは、アクセス先のロケーション情報と遷移元のロケーション情報とを有し、前記関係性ツリー不審度計算部は、グラフ構造中に2回以上のリダイレクト遷移が発生している場合に、当該グラフ構造の前記確からしさの度合いを不審だと判定する向きに変化させる第6のステップを備える請求項8に記載のログ分析方法。

請求項14

前記イベントは、アクセスに使用したエージェント情報を有し、前記関係性ツリー不審度計算部は、指定された前記イベントと同じエージェント情報であり指定された前記イベントと同じアクセス先であって不審な動作がない前記イベントがグラフ構造中にある場合に、当該グラフ構造の前記確からしさの度合いを不審ではないと判定する向きに変化させる第6のステップを備える請求項8に記載のログ分析方法。

請求項15

ログ情報を分析するログ分析装置であって、複数のイベントを含むログ情報を基に、複数の前記イベントの発生の因果関係があるか否かを判定し、個々の1つの前記イベントを1つのノードとすること及び前記因果関係が存在した場合に当該イベントに対応する前記ノードの間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意の前記イベントについて、前記グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成する前記イベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、前記確からしさの度合いを加味し、前記因果関係を補った前記グラフ構造を結果として出力する結果出力部とを備えるログ分析装置。

技術分野

0001

本発明は、ログ分析システムログ分析方法及びログ分析装置に関し、例えば類似又は同一のアラート発生の再発を防止するログ分析システムに適用して好適なものである。

背景技術

0002

組織のシステムを守るためには、外部からの攻撃等によってシステムに異常が発生した際、当該異常を速やかに発見して復旧を図るだけではなく、当該異常の原因を調査して対策を講じることで、同じような異常の再発を防止することが重要である。異常の発見及び異常の原因の調査のため、システムは記録しているログ分析する。

0003

近年被害が増加している攻撃としては、例えば攻撃者が、標的が普段利用するようなWebサイト改ざんし、閲覧した者の計算機に異常を発生させるものがある。この攻撃では多くの場合、改ざんされたWebサイトに標的がアクセスすると、標的が意図しない複数回のリダイレクトが発生し、最終的に攻撃者が悪用しているマルウェア配布サイトまで誘導される。閲覧した者が、誘導されたマルウェアの配布サイトでマルウェアを取得し、閲覧した者の計算機にマルウェアをインストールすると、閲覧した者の計算機から組織のシステム内にマルウェアによる攻撃が行われてしまう。

0004

このような攻撃では、攻撃者が複数のマルウェアの配布サイトを準備し、そのうちのいずれかにランダムに誘導することもある。従って、そのような攻撃による異常を検知した場合、個々のマルウェアの配布サイトへのアクセスをブロックするだけではなく、改ざんされたWebサイトを発見することで、当該Webサイトへのアクセスを一時的に遮断する又は当該Webサイトの管理者に改ざんの旨を通知することで復旧を促す、などの再発防止策を講じることが重要である。

0005

すなわち、例えば、マルウェアをダウンロードした旨のアラートが発生した場合には、当該アクセスがどのような経緯で発生したのかについて、通信ログなどを基に調査し、入り口となったWebサイトを特定する必要がある。

0006

一方で、近年の組織のシステムは多種多様及び多数の機器アプリケーションで構成されているため、ログに記載された事象間の因果関係を辿り異常の発生原因を特定するには、大量のシステムログセキュリティログを調査する必要があり、長時間を要するようになっている。

0007

このような情報間関係性の分析を効率化するログ分析システムの1つとして、特許文献1には、情報をグラフ構造として保持し、検索条件基点となったノードに指定した初期値を設定して一定比率で減少させながら伝播させ、最終的に閾値以上となったノード集合検索結果として出力することで、既存の検索においては容易にたどり着かない情報を効率的に取得する発明が開示されている。

先行技術

0008

特開2010−191902号公報

発明が解決しようとする課題

0009

特許文献1によれば、情報間の関係性をグラフ構造として保持してクラスタリングすることできるため、検索対象情報と関係がある情報を推移的に抽出することができる。従って当該技術を用いることで、ログに記載されたイベント間の関係性を基に構成できるグラフ構造を辿ることができ、発生原因を効率的に調べることができる。例えば、通常のHTTP(Hyper Text Transfer Protocol)の遷移であれば、プロキシサーバ等の通信ログに、通信遷移元情報であるHTTPヘッダのREFERER(以下、リファラと呼ぶ)を記録させることが可能である。

0010

しかしながら、ログに記載される情報には、イベント間の関係性が部分的に欠落することも多い。例えば、当該通信のプロトコルが途中で変化したり又はブラウザ脆弱性を突いた遷移であったりする場合には、通信ヘッダにリファラが含まれないため遷移元に関する情報をログとして残せず、従って、グラフ構造が途中で途切れてしまうことになる。

課題を解決するための手段

0011

かかる課題を解決するため本発明においては、ログ分析システムは、ログ情報を分析するログ分析システムであって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。

0012

また、本発明においては、ログ分析方法は、ログ情報を分析するログ分析システムにおけるログ分析方法であって、ログ分析システムは、関係性ツリー構築部と、関係性ツリー不審度計算部と、結果出力部とを有し、関係性ツリー構築部が、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定する第1のステップと、関係性ツリー構築部が個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する第2のステップと、関係性ツリー不審度計算部が、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定する第3のステップと、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する第4のステップとを備えるようにした。

0013

また、本発明においては、ログ分析装置は、ログ情報を分析するログ分析装置であって、複数のイベントを含むログ情報を基に、複数のイベントの発生の因果関係があるか否かを判定し、個々の1つのイベントを1つのノードとすること及び因果関係が存在した場合に当該イベントに対応するノード間にエッジを追加することで、グラフ構造を構築する関係性ツリー構築部と、指定された任意のイベントについて、グラフ構造で規定される木が指定された当該イベントを発生させた木であるかを判定し、指定された当該イベントを発生させた木であるかの判定において、各木を構成するイベントに関する判定条件と、木の構造的な特徴に関する判定条件とを基に確からしさの度合いを計算する関係性ツリー不審度計算部と、確からしさの度合いを加味し、因果関係を補ったグラフ構造を結果として出力する結果出力部とを備えるようにした。

発明の効果

0014

本発明によれば、イベント間の関係性が部分的に欠落している場合に対応したログ分析システム、ログ分析方法及びログ分析装置を実現できる。

図面の簡単な説明

0015

本発明の実施の形態によるシステム構成を示す図である。
本発明の実施の形態による分析対象であるログを示す図である。
本発明の実施の形態による分析処理処理手順を示すフローチャートである。
本発明の実施の形態による周辺イベントの関係性ツリー構築処理の処理結果である。
本発明の実施の形態による不審度計算処理の処理手順を示すフローチャートである。
本発明の実施の形態による構造分析ルールである。
本発明の実施の形態による履歴照合ルールである。
本発明の実施の形態による不審度計算処理の処理結果である。
本発明の実施の形態による不審性確認処理の処理手順を示すフローチャートである。
本発明の実施の形態による不審性確認処理の処理結果である。
本発明の実施の形態による関係性ツリー保存処理の処理手順を示すフローチャートである。
本発明の実施の形態による関係性ツリー保存処理の処理結果である。

実施例

0016

下図面について、本発明の一実施の形態を詳述する。

0017

(1)本実施の形態によるログ分析システムの構成
図1において、1は全体として本実施の形態によるログ分析システムを示す。ログ分析システム1は、ログ分析装置100にネットワーク141を介して分析対象であるログ情報200を入力するプロキシサーバ等が接続されており、ログ分析装置100には記憶媒体171を接続することができる。記憶媒体171は、ICカードUSBメモリ等であり、可搬性を有する。

0018

プロキシサーバ及びログ分析装置100は、CPU(Central Processing Unit)及びメモリ等の情報資源を備えたコンピュータ装置であり、例えば、オープン系サーバや、メインフレームコンピュータなどから構成される。ログ分析装置100は、メモリ110、外部記憶装置120、CPU130、通信装置140、入力装置150、出力装置160及び読取装置170がインタフェース180を介して接続されている。

0019

外部記憶装置120は、HDD(Hard Disk Drive)などであり、ログ分析機能によってログ分析を行う際に、参照するテーブルである関係性ツリー履歴情報121、構造分析ルールテーブル122及び履歴照合ルールテーブル123を備える。なお、関係性ツリー履歴情報121、構造分析ルールテーブル122及び履歴照合ルールテーブル123はメモリ110に備えられていてもよい。

0020

メモリ110は、分析要求入力部111、関係性ツリー構築部112、過去履歴管理部113、関係性ツリー不審度計算部114、周辺情報取得部115、確認用情報取得部116、不審性確認部117及び結果出力部118を備える。これらは、ログ分析機能を実現するために必要なプログラム等であって、メモリ110に直接ロードされてもよいし、外部記憶装置120や記憶媒体171に保存されていてもよく、CPU130によって実行される。プログラムをCPU130に実行させるための媒体は外部記憶装置120や記憶媒体171に限らず、利用可能な媒体であればよく、ネットワーク141を伝搬する搬送波ディジタル信号でもよい。

0021

通信装置140は、インターネットやLAN等のネットワーク141を介して、他の装置と通信を行う。入力装置150は、キーボードマウス等であり、出力装置160は、モニタプリンタ等である。読取装置170は、記憶媒体171を接続し、その内容を読み取る。

0022

分析要求入力部111は本ログ分析装置100を利用する利用者が入力装置150によって入力する分析要求を受け付ける。利用者は、分析対象とするイベント等を入力する。利用者はこの際にログ情報200をログ分析装置100へ送付してもよい。ログ情報200は予め、定期的に送付されていてもよい。ログ情報200は、ネットワーク141を介してログ分析装置100に入力されてもよいし、記憶媒体171を介してログ分析装置100に入力されてもよい。

0023

分析要求入力部111が分析要求を受けると、ログ情報200を分析するログ分析処理がログ分析装置100によって開始される。なお不審な動作などによりセキュリティアラート(以下、アラートと呼ぶ)が発生した場合に、当該アラートの原因となったイベントをシステムが機械的に分析対象としてもよい。

0024

ログ分析処理として、関係性ツリー構築部112は、ログ情報200のイベント間の関係性を分析する。関係性とは、ログ情報200に記載されたあるイベントが、同じくログ情報200に記載された別のイベントを引き起こす契機になっているという関係を指す。また、関係性ツリー情報とは、個々のイベントをノード、関係性をエッジとして構築したグラフ構造(以下、ツリーと呼ぶ)のことである。ログ情報200を基に関係性ツリー情報を構築すると、全てのイベントが相互に関係性を有すとは限らないため、互いに連結していない(関係性を有してない)複数の関係性ツリー情報が構築される。

0025

過去履歴管理部113は、関係性ツリー構築部112で構築された関係性ツリー情報を関係性ツリー履歴情報121へ格納し、保管する。このことで、関係性ツリー構築部112で構築された関係性ツリー情報をのちに使うことができる。

0026

関係性ツリー不審度計算部114は、関係性ツリー構築部112が構築した関係性ツリーの、分析対象であるイベントの原因である確からしさ(以下「不審度」と呼ぶ)を計算する。なお、関係性ツリー構築部112が構築した関係性ツリー情報の量が多い場合は、関係性ツリー不審度計算部114が計算対象とする関係性ツリー情報を絞り込んでもよい。

0027

例えば、分析対象であるイベントの周辺イベントに関してのみ計算対象としてもよい。周辺イベントとは、分析対象とするイベントの周辺のイベントであり、例えばログ分析の対象とするイベントとユーザIDが同一であるイベントを指す。また、ログ分析の対象とするイベントと処理開始時間が近い(1秒以内など)イベントのログとしてもよいし、イベント発生前の1カ月又は1年などの期間のみのイベントのログを分析対象としてもよい。

0028

周辺情報取得部115は、ログ情報200のイベントの内容を分析するための周辺情報(以下、周辺イベントと呼ぶ)を特定するための付加的な情報(ユーザIDや処理開始時間)をログ情報200から取得する。周辺情報取得部115は本実施の形態にとって必須ではないが、周辺情報取得部115を用いることで、関係のあるイベントのみを分析する(分析対象とするイベントの絞り込みを行う)ため、より詳細で迅速な分析が可能となる。特にログ情報200の量が膨大な場合には、分析処理コスト低減のために、周辺情報取得部115での処理を行うことが望ましい。

0029

また周辺情報取得部115は、インターネットなどから脅威情報やDNS(Domain
Name System)登録情報などを取得し、関係性ツリー不審度計算部114が不審度を計算する際にそれらの情報を関係性ツリー不審度計算部114に提供してもよい。このためログ分析装置100はインターネットに接続されていることが好ましい。

0030

確認用情報取得部116は、不審性確認部117が行う不審性確認処理において用いるWebコンテンツの内容などの情報をインターネットなどから取得する。確認用情報取得部116は本実施の形態にとって必須ではないが、不審性確認処理を行う場合には必要である。このためログ分析装置100はインターネットに接続されていることが好ましい。

0031

不審性確認部117は、不審性確認処理を行う。不審性確認部117は、本実施の形態にとって必須の機能ではないが、不審性確認部117を用いて、ログ情報200の不審な箇所の通りに動作環境をそろえて実動作を確認することで、利用者により正確な情報を提供することが可能となる。

0032

結果出力部118は、ログ分析システム1の利用者に対して、分析要求入力部111を介して要求された情報の分析結果を、出力装置160を介して出力する。

0033

関係性ツリー履歴情報121は、これまでに既に分析した関係性ツリー情報を履歴として保管しており、この関係性ツリー履歴情報121は不審性確認部117が行う不審性確認処理において使用される。なお、関係性ツリー不審度計算部114は、関係性ツリー履歴情報121を用いて、不審度を計算する。なお不審度は整数値で表し、数値が大きいほど不審であることを示すものとする。

0034

構造分析ルールテーブル122は、関係性ツリー情報の不審度をどのように判定するかのルールを定めているテーブルであって、関係性ツリー履歴情報121を照合する。構造分析ルールテーブル122は、不審性確認部117が行う不審性確認処理で使用される。なお、関係性ツリー不審度計算部114は、構造分析ルールテーブル122を用いて、不審度を計算する。

0035

履歴照合ルールテーブル123は、関係性ツリー情報の不審度をどのように判定するかのルールを定めているテーブルであって、関係性ツリー履歴情報121を照合する。履歴照合ルールテーブル123は、不審性確認部117が行う不審性確認処理において使用される。なお、関係性ツリー不審度計算部114でも、履歴照合ルールテーブル123を用いて、不審度を計算する。

0036

(2)ログ分析機能
本実施の形態のログ分析機能は、入力されるログ情報200を、ルールテーブルを参照して各種処理を行うことで分析し、分析結果を出力する。

0037

(2−1)ログ
本実施の形態で分析されるログ情報200は、図2に示すような、プロキシサーバが出力する典型的な構造となっており、各イベントのログが格納されている。各イベントのログは、ログ番号欄201、アクセス元IPアドレス欄202、アクセス先URL欄203、ユーザID欄204、リファラ欄205、ユーザエージェント欄206及びレスポンスバイト数欄207を含む。

0038

ログ番号欄201には、各イベントのログを区別するために付けるログ番号が格納されており、「log1」、「log2」、……と、時系列順数字割り付けられている。アクセス元IPアドレス欄202にはアクセス元のIPアドレスが格納され、例えば、「1.1.1.1」といったIPv4プロトコルのIPアドレスを格納する。アクセス先URL203欄には、アクセス先URLが格納されており、例えば、「a.com/1.html」といった形式で格納される。

0039

ユーザID欄204には、HTTPの認証ヘッダなどに含まれる認証情報のユーザIDが格納されており、例えば、「aaaaa」といった形式で格納される。リファラ欄205には、各イベントの遷移元を示す、HTTPヘッダの1つであるリファラが格納されており、アクセス先URL欄203と同様の形式で格納されている。なお、リファラが「−」となっている場合は、HTTPヘッダにリファラが含まれていないことを示す。

0040

ユーザエージェント欄206には、各イベントがどのアプリケーションの、どのバージョンで実行されたかを示すユーザエージェントが格納しており、「app_A;ver_1」といった形式で格納される。レスポンスのバイト数欄207には、各イベントによってサーバから何バイトのレスポンスが返ってきたかが格納されており、「300」といった形式で格納されている。

0041

関係性ツリー情報を構築する際に、アクセス先URL及びリファラを関係性として用いる。つまり、アクセス先URLとリファラとの値が一致するイベントにおいては、前者のイベントが後者のイベントの発生原因(遷移元)であるとする。

0042

例えば、log5のリファラは「a.com/02/2.html」となっており、log3のアクセス先URLである「a.com/02/2.html」と一致する。このことから、log5の遷移元はlog3となる。

0043

(2−2)分析処理
図3にログ情報200を関係性に基づいて分析する分析処理の処理手順を示す。分析処理は、関係性が明確(アクセス先URLとリファラとの値が一致するイベントなど)な関係性ツリー情報を構築し、関係性を有していないようにみえる複数の関係性ツリー情報間についても、目安となる基準(不審度)を設けて関係性(因果関係)を発見する。

0044

実際上、分析要求入力部111は、分析対象とするイベントが入力されると、入力されたイベントを分析の対象イベントとし、調査対象イベントを決定する(SP301)。なお、セキュリティアラートの原因となったイベントを分析要求入力部111が機械的に対象イベントとしてもよい。以下の説明では、調査対象イベントを、セキュリティアラートなどのアラートの原因となったlog6に記録されているイベントとする。

0045

分析要求入力部111によって調査対象イベントが決定されると、周辺情報取得部115は、ログ情報200の中で分析対象とするイベントの絞り込みを行い、周辺イベントを特定する(SP302)。以下の説明では、ユーザIDが「aaaaa」のイベントに調査対象を絞り込む。

0046

周辺情報取得部115によって周辺イベントが特定されると、関係性ツリー構築部112は、絞り込んだイベント間での関係性ツリー構築をする(SP303)。具体的には、図4(B)の関係性ツリーt2においてlog3からlog5に矢印が引いてあるように遷移元から遷移先へエッジを追加する。

0047

ユーザIDが「aaaaa」のイベントに調査対象を絞り込んで、作成した関係性ツリー情報を図4(A)〜(D)に示す。関係性ツリー情報には、t1〜t4の識別名が付けられている。図4(A)に示す関係性ツリーt1を例に説明をすると、log1として記録された通信(イベント)が遷移元となって、log2〜log4として記録された通信が発生している。さらに、log3として記録された通信が遷移元となってlog5として記録された通信が発生している。また、図4(B)の関係性ツリーt2に示した通りアラート情報も関係性ツリー情報として表示される。

0048

なお関係性ツリー構築部112が作成した関係性ツリーt1〜t4は適宜、過去履歴管理部113によって関係性ツリー履歴情報121に保存される。

0049

関係性ツリー構築部112が関係性ツリーt1〜t4を作成すると、関係性ツリー不審度計算部114は関係性ツリーt1〜t4の不審度を計算する不審度計算処理を行う(SP304)。

0050

図5に不審度計算処理の処理手順を示す。不審度計算処理は、ルールテーブルである構造分析ルールテーブル122及び履歴照合ルールテーブル123を参照して、不審な通信(イベント)を特定する。

0051

実際上、関係性ツリー不審度計算部114は調査対象イベントがノードに含まれていない、未処理の関係性ツリー情報が有るか否かを判定する(SP501)。そして関係性ツリー不審度計算部114はこの判定で否定結果を得るとこの不審度計算処理を終了する。未処理か否かは、例えば関係性ツリー情報に処理完了フラグを設けることで判定される。

0052

これに対して、関係性ツリー不審度計算部114は、ステップSP501の判定で肯定結果を得ると、関係性ツリー不審度計算部114は、未処理の関係性ツリーのうちの1つを選択する(SP502)。この際、選択された関係性ツリー情報の不審度の値を初期値として0とする。

0053

関係性ツリー不審度計算部114に選択された関係性ツリー情報に対して、関係性ツリー不審度計算部114は、関係性ツリー情報の構造を基に、ツリー構造分析処理を行う(SP503)。ツリー構造分析処理には構造分析ルールテーブル122を用いる。なおツリー構造分析処理は、不審な構造を発見して、不審度を判定するため、各ルールによって不審度が加算される。本実施の形態では構造から判定する場合、不審度は加算のみされているが、一般的で安全な構造を発見して減算してもよいものとする。

0054

図6に構造分析ルールテーブル122の内容を示す。構造分析ルールテーブル122には、各構造分析ルールが格納されており、各ルールは、ルール番号欄601、判定条件欄602、処理欄603及び不審度判定欄604を含む。

0055

ルール番号欄601には、各ルールを区別するために付けるルール番号が格納されており、「s1」、「s2」、……と、不審度判定欄604の不審度が高い順に数字が割り付けられている。判定条件欄602には、不審な構造を判定するための判定条件が格納されている。処理欄603には、判定を行うための処理内容が格納されている。本実施の形態では説明のために判定条件欄602及び処理欄603の内容は自然言語で記載している。不審度判定欄604には、処理を行い、条件を満たした場合、どの関連ツリー情報の不審度をどのように増減させるかを定義している。

0056

具体的には、ルールs1は、分析対象の関係性ツリー情報に含まれるイベントのアクセス先が、脅威情報を公開しているサイトで不審と判定されるものがあるか否かを調査するルールである。本ルール合致した関係性ツリー情報は、悪性な通信ログが含まれている可能性が高いため、本実施の形態では、当該関係性ツリー情報の不審度を大きく上げるよう定義している(不審度に+5)。

0057

また、ルールs2は、アクセス先のロケーション情報を指すドメインの国が関係性ツリー情報の途中で変わったか否かを判定するルールである。悪性サイトへのリダイレクト遷移では、遷移の途中から遷移先が国外サイトに変化する場合が多く、本実施の形態では、本ルールに合致した場合は当該関係性ツリー情報の不審度を中程度上げるよう定義している(不審度に+2)。

0058

また、ルールs3は、アクセス先ドメインのDNSの登録日が1年未満のイベントが1つ以上含まれているか否かを判定するルールである。悪性サイトはDNSに登録されてから日が浅いことが多く、本実施の形態では、本ルールに合致した場合は不審度を中程度上げるよう定義している(不審度に+2)。

0059

また、ルールs4は、2回以上のリダイレクト遷移が発生した通信が関係性ツリー情報に含まれているか否かを判定するルールである。リダイレクト遷移は、通常のWebページの閲覧におけるページ遷移とは異なり、リソースファイル等を取得しない。すなわち、ツリー構造の次数を調査することで、リダイレクトが発生した可能性が高いことを調べることが出来る。リダイレクトは悪性な通信だけではなく、正常な通信でも発生することがあるため、本実施の形態では、本ルールに合致した場合は不審度を小程度上げるよう定義している(不審度に+1)。

0060

例えば、本実施の形態では、ルールs2〜s4を調べることで、全てのルールが合致した場合は、たとえルールs1に合致していなくても、ルールs1に合致したのと同等に不審度が上がる(+5)判定になる。このように複数のルールを用いることで未知の悪性サイトであっても、ツリーの構造や周辺情報を用いて不審度を詳細に分析することが可能である。

0061

関係性ツリー不審度計算部114は、ツリー構造分析処理で不審度を計算すると、さらに履歴照合処理を行う(SP504)。履歴照合処理には履歴照合ルールテーブル123を用いる。なお履歴照合処理においては、過去に問題のなかった履歴を照合して、不審度を判定するため、各ルールによって不審度が減算される。本実施の形態では履歴から判定する場合、不審度は減算のみされているが、過去に問題のあった履歴を照合して、不審度を加算してもよいものとする。

0062

図7に履歴照合ルールテーブル123の内容を示す。履歴照合ルールテーブル123には、各履歴照合ルールが格納されており、各ルールは、ルール番号欄701、判定条件欄702、処理欄703及び不審度判定欄704を含む。

0063

ルール番号欄701には、各ルールを区別するために付けるルール番号が格納されており、「r1」、「r2」、……と、不審度判定欄704の不審度が高い順に数字が割り付けられている。判定条件欄702には、安全な履歴を判定するための判定条件が格納されている。処理欄703には、判定を行うための処理内容が格納されている。本実施の形態では説明のために判定条件欄702及び処理欄703の内容は自然言語で記載している。不審度判定欄704には、処理を行い、条件を満たした場合、どの関連ツリー情報の不審度をどのように増減させるかを定義している。

0064

具体的には、ルールr1は、関係性ツリー履歴情報121の中の、分析対象の関連ツリー情報に含まれる通信と同じアクセス先にアクセスしているにも関わらず、アラートが発生していない事例があったか否かを判定するルールである。本ルールに合致した関係性ツリー情報は、悪性な通信とは無関係な可能性が高いため、本実施の形態では、不審度を下げるよう定義している(不審度に−1)。

0065

また、ルールr2は、ルールr1に合致し、関係性ツリー履歴情報121の該当イベントの発生日が1日以内であるか否かを判定するルールである。攻撃者による改ざんはいつ行われるかわからないため、例えば、アラートが発生しなかった事例が1日未満に発生していれば、本実施の形態では、不審度をさらに下げるよう定義している(不審度に−1)。

0066

また、ルールr3は、ルールr1に合致し、関係性ツリー履歴情報121の該当イベントのユーザエージェントの値が同じであった場合には、同じ条件(ブラウザ)を用いてアクセスを行っているにも関わらずアラートが発生していない事例があったことを表す。このため、本実施の形態では、不審度をさらに下げるよう定義している(不審度に−1)。これは、近年の悪性サイトは、特定のブラウザなどに狙いを定め、狙いを定めたブラウザ以外には攻撃を行わない(すなわちアラートが発生しない)場合があるためである。

0067

なお、上述したルールは一例であり、これ以外のルールを組み合わせて用いることも可能である。

0068

不審度計算処理の計算結果図8(A)〜(D)に示すように、関係性ツリー情報の不審度と不審度の内訳として合致したルールのルール番号を関係性ツリー情報に表示してもよい。

0069

具体的には、図8(A)に示す関係性ツリーt1は、不審理由として示したように、構造分析ルールテーブル122のルールs2とルールs4に合致するため、不審度として+3となる。また、図8(B)に示す関係性ツリーt2は、分析対象イベントを含むツリーであるため、不審度判定の対象外である。図8(C)に示す関係性ツリーt3及び図8(D)に示すt4は関係性ツリーt1と同様である。

0070

以上の通り不審度計算処理から、関係性ツリーt1がもっとも不審な一連の通信(イベント)であると知ることが出来る。

0071

関係性ツリー不審度計算部114が不審度計算処理をしたのち、不審性確認部117は不審性確認処理を行う(SP305)。

0072

図9に不審性確認処理の処理手順を示す。不審性確認処理は、不審度の高い処理を実施することで実際にアラートが発生するか否かを確認する。

0073

実際上、不審性確認部117は調査対象イベントがノードに含まれていない、未処理の関係性ツリー情報が有るか否かを判定する(SP901)。そして不審性確認部117はこの判定で否定結果を得るとこの不審性確認処理を終了する。未処理か否かは、例えば関係性ツリー情報に処理完了フラグを設けることで判定する。

0074

これに対して、不審性確認部117は、ステップSP901の判定で肯定結果を得ると、不審性確認部117は、不審度が高い未処理の関係性ツリー情報のうちの1つを選択する(SP902)。この際、不審度が高い関係性ツリー情報を優先的に選択すると実際にアラートを発生させるまでの時間を短縮できる。

0075

不審性確認部117は、不審度が高い未処理の関係性ツリー情報を選択すると、不審性確認部117は、関係性ツリー情報のルートノード(基点となっているイベント)を取得する(SP903)。不審性確認部117は、取得したルートノードから当該イベントのアクセス先であるアクセス先URL含むリクエストヘッダを取得する。

0076

当該イベントのアクセス先であるアクセス先URLを含むリクエストヘッダを取得すると、不審性確認部117は、確認用情報取得部116を用いて、当該アクセス先URLへリクエストヘッダを当該イベントのログと同じにしてアクセスし(SP904)、不審性確認部117はステップSP901へ戻る。

0077

不審性確認部117は、アラートを発生させたログと同じセキュリティ機構を用いてアクセスによって、再度アラートが発生するか否かを判定する(SP905)。そして不審性確認部117はこの判定で否定結果を得ると、不審性確認部117は当該イベントのログと実動作との関係性ツリー情報の構造やレスポンスのバイト数が異なっていることを確認し、当該関係性ツリー情報の不審度を1加算し(SP906)、不審性確認部117はステップSP901へ戻る。

0078

これに対して、不審性確認部117は、ステップSP905の判定で肯定結果を得ると、当該関係性ツリー情報を、アラートを発生させたイベントを含む関係性ツリー情報とづけ(SP907)、不審性確認部117はステップSP901へ戻る。このことで、アラートを発生させたログの原因となったイベントの一群のイベントである関係性ツリー情報を発見したこととする。

0079

なお、アラートが発生した時点で、イベントの一群のイベントである関係性ツリー情報を発見し、因果関係を発見したこととなるので、アラートが発生した際に不審性確認部117は不審性確認処理を終了してもよい。なお、実際にアラートを発生させずに、不審度が高いものがアラートの発生原因だと推定するのみにとどまってもよい。

0080

不審性確認部117による不審性確認処理が終了すると、結果出力部118が分析処理の結果を出力する(SP306)。

0081

図10に結果出力部118が出力する出力結果表示を示す。出力結果表示は分析対象のイベントのログのログ番号1001、各関係性ツリー情報の不審度及び分析結果の概要を表示する関係性ツリー一覧1002及び不審度計算処理結果にさらに不審性確認処理での確認結果を反映させた分析結果描画領域1003を含む。

0082

分析結果描画領域1003は、利用者が関係性ツリー一覧1002から選択し、当該選択した関係性情報ツリーの分析結果の詳細を閲覧するための描画領域である。本実施の形態では、欠落していた因果関係を補うことで、実際には因果関係のあった2つの関係性ツリーt1及びt2を連結させて描画する。このことで、当該分析の経過を知ることが出来る。本出力を閲覧することで、利用者は、分析対象のアラート等の異常イベントが他のどのイベントが原因となって発生したのか容易に知ることが出来る。

0083

(2−3)関係性ツリー保存処理
不審度計算処理で使用する関係性ツリー情報については、不審度計算処理の前に適宜関係性ツリー履歴情報121に格納するが、これとは別に日ごとにバッチ処理として別のタイミングで実施してもよい。この場合、対象とするイベントの絞り込みは行わない。

0084

図11に関係性ツリー保存処理の処理手順を示す。関係性ツリー保存処理は、関係性ツリー情報を関係性ツリー履歴情報121に格納する。

0085

実際上、関係性ツリー構築部112は、イベント間での関係性ツリー構築をする(SP1101)。関係性ツリー構築部112が、イベント間での関係性ツリー構築をしたあと、過去履歴管理部113は、関係性ツリー情報を関係性ツリー履歴情報121に格納する(SP1102)。

0086

関係性ツリー保存処理の結果を図12に示す。図12には、関係性ツリー履歴tr1が示されている。log9及びlog10が含まれた関係性ツリー情報が表示されている。

0087

(3)本実施の形態の効果
以上のように本実施の形態のログ分析システム1では、リファラから追えるひとまとまりのイベントごとの関係性ツリー情報間の関係を、ルールに基づいて不審度を設定することで推定し、実動作によりアラートを発生させることで、欠落していた因果関係を確認し、補うことができる。このことにより、分析に要する時間を短縮することができる。

0088

1……ログ分析システム、100……ログ分析装置、111……分析要求入力部、112……関係性ツリー構築部、113……過去履歴管理部、114……関係性ツリー不審度計算部、115……周辺情報取得部、116……確認用情報取得部、117……不審性確認部、118……結果出力部、121……関係性ツリー履歴情報、122……構造分析ルールテーブル、123……履歴照合ルールテーブル、141……ネットワーク、200……ログ情報。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ