特許
J-GLOBAL ID:200903043553853083
ログ分析システム、分析方法及びログ分析装置
発明者:
,
,
出願人/特許権者:
代理人 (1件):
鈴木 市郎
公報種別:公開公報
出願番号(国際出願番号):特願2005-139865
公開番号(公開出願番号):特開2006-319633
出願日: 2005年05月12日
公開日(公表日): 2006年11月24日
要約:
【課題】ネットワークに設置されているIDSやFW等のセキュリティ装置が検出したイベントに基づいて、効率的にインシデントを検知する。【解決手段】分析装置15は、収集装置14から取得したイベント情報を度数化した統計情報と、その統計情報を周波数分解して得られる周波数成分情報と、周波数成分に基づき分析して得られる結果とを分析DBに格納する。収集装置は、IDS12、FW13が出力するイベントログの情報を収集及び正規化してイベントDBに格納する。アラート通知装置16は、分析装置から送信されるアラート命令や、アラート通知先を格納するアラートDBを有し、命令に基づいて、管理者等にインシデントの発生を報告する。【選択図】 図9
請求項(抜粋):
ネットワーク上で発生したインシデントの状況を分析するログ分析システムにおいて、
セキュリティ装置と、収集装置と、分析装置とを備え、
前記セキュリティ装置は、ネットワーク上を流れる不正なパケットを検知する手段と、不正なパケットを検知したときにイベント情報を前記収集装置に送信する手段とを備えて構成され、
前記収集装置は、前記セキュリティ装置からのイベント情報を取得してイベントデータベースに格納する手段と、前記分析装置からのイベント取得要求を受信して、指定された条件のイベントをイベントデータベースから検索する手段と、検索したイベントを前記分析装置に送信する手段とを備えて構成され、
前記分析装置は、指定期間に発生し、かつ、指定条件に一致するイベントを取得するための要求を前記収集装置に送信する手段と、要求により前記収集装置から取得したイベント情報を分析する手段と、分析結果の情報を格納する分析データベースとを備え、さらに、取得したイベント情報に基づいてイベント統計情報を作成する手段と、作成したイベント統計情報に対して周波数分解処理を適用して周波数情報と強度情報とから構成される周波数成分情報を作成する手段と、前記周波数成分に基づいた分析を行いインシデントの発生傾向を判断する手段とを備えて構成されることを特徴とするログ分析システム。
IPC (3件):
H04L 12/66
, G06F 21/20
, G06F 21/22
FI (3件):
H04L12/66 B
, G06F15/00 330A
, G06F9/06 660N
Fターム (15件):
5B076FD05
, 5B076FD08
, 5B285AA06
, 5B285BA01
, 5B285CA32
, 5B285CA34
, 5B285DA05
, 5K030GA15
, 5K030HA08
, 5K030HD03
, 5K030HD06
, 5K030LC13
, 5K030LD18
, 5K030LE11
, 5K030MC08
引用特許:
引用文献:
前のページに戻る