知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023063865
(43)【公開日】2023-05-10
(54)【発明の名称】異常検知システム、異常検知方法、及びプログラム
(51)【国際特許分類】
G06F 11/07 20060101AFI20230428BHJP
G06F 11/34 20060101ALI20230428BHJP
H04L 43/02 20220101ALI20230428BHJP
【FI】
G06F11/07 160
G06F11/34 176
H04L43/02
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2021173917
(22)【出願日】2021-10-25
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】廣瀬 真人
(72)【発明者】
【氏名】金井 瑛
(72)【発明者】
【氏名】上野 幸杜
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042JJ02
5B042JJ08
5B042JJ17
5B042JJ29
5B042KK13
5B042MA08
5B042MA14
5B042MC23
5B042MC40
(57)【要約】
【課題】ログを用いた異常検知を、少ない計算量で、機密性を保ちながら実行する。
【解決手段】異常検知システムにおいて、ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、を備える。
【選択図】図1
【解決手段】異常検知システムにおいて、ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、
前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、
を備える異常検知システム。
前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、
を備える異常検知システム。
【請求項2】
前記ファイル情報は、ファイル識別子を更に含み、前記解析部は、ファイル識別子の変化に基づきログローテートの発生を検知し、増加レートの補完を実行する
請求項1に記載の異常検知システム。
請求項1に記載の異常検知システム。
【請求項3】
前記情報取得部は、複数のネットワーク機器に対応する複数のログファイルのそれぞれから、ファイルサイズとファイル名とを含むファイル情報を定期的に取得し、
前記解析部は、前記複数のログファイル全体におけるファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う
請求項1又は2に記載の異常検知システム。
前記解析部は、前記複数のログファイル全体におけるファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う
請求項1又は2に記載の異常検知システム。
【請求項4】
前記解析部は、前記複数のログファイルにおける各ログファイルのファイル名に基づいて、前記複数のログファイルをグループ分けし、グループ毎に異常検知を行う
請求項3に記載の異常検知システム。
請求項3に記載の異常検知システム。
【請求項5】
異常検知システムが実行する異常検知方法であって、
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得ステップと、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析ステップと、
を備える異常検知方法。
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得ステップと、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析ステップと、
を備える異常検知方法。
【請求項6】
コンピュータを、請求項1ないし4のうちいずれか1項に記載の異常検知システムにおける各部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク機器のログを用いて異常検知を行う技術に関連するものである。
【背景技術】
【0002】
ルータやサーバ等のネットワーク機器から出力されるメッセージをログとして保存し、ログを解析することにより、ネットワークやネットワーク機器の動作状況を把握することが一般的に行われている。
【0003】
ログの解析手法として、ログの意味解析を行って、異常検知等を行う手法がある。しかし、マルチベンダの多数のネットワーク機器を用いて構築される大規模なイベントネットワーク等においては、下記の要因により、意味解析を用いたログ分析は困難である。
【0004】
マルチベンダ機器による様々なログフォーマットが存在するため、コンピュータにログの意味を解釈させるのが困難である。また、通常のNW運用とは異なり、運用時間が短く、運用者にとって未知のログが大量に発生するため、意味解析のためのラベル付け(初期設定)を実施することが困難である。また、意味解析には大量の計算リソースが必要であるが、大規模イベントでは、セキュリティ強化施策や予算面から余剰の計算リソースがあることが少ない。更に、イベントでは短期間にその傾向が変化するため、機械学習等への適応が困難になる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】阿部他、「イベントネットワークにおけるsyslogを用いた異常検知手法の提案と実データを用いた評価」、2018-03-15、情報処理学会論文誌
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記のようにログの意味解析が困難である大規模イベントネットワークにおいて、ログの行数をカウントして行数の変化の異常を検知することでネットワークの異常を検知する従来技術(非特許文献1)がある。
【0007】
しかし、非特許文献1に開示された従来技術では、ログの行数を得るためにログ自体をメモリ上に展開して改行文字を数える必要があり、大きな計算リソースを必要とする。また、ログの中身を参照する必要があるため、ログに機密情報が含まれている場合には機密性を保つことができなくなる。
【0008】
すなわち、従来技術では、計算量が大きく、機密保持が難しいという課題があった。これは、イベントネットワークに限らず、ネットワーク規模や利用の拡大とともに生じる可能性がある課題である。
【0009】
本発明は上記の点に鑑みてなされたものであり、ネットワーク機器から出力されるメッセージのログを用いた異常検知を、少ない計算量で、機密性を保ちながら実行するための技術を提供することを目的とする。
【課題を解決するための手段】
【0010】
開示の技術によれば、ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、
前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、
を備える異常検知システムが提供される。
前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、
を備える異常検知システムが提供される。
【発明の効果】
【0011】
開示の技術によれば、ネットワーク機器から出力されるメッセージのログを用いた異常検知を、少ない計算量で、機密性を保ちながら実行することができる。
【図面の簡単な説明】
【0012】
【図1】本発明の実施の形態におけるシステム構成図である。
【図2】本発明の実施の形態におけるシステムの動作概要を説明するためのフローチャートである。
【図3】システムの動作を説明するための図である。
【図4】システムの動作を説明するための図である。
【図5】異常検知の例を説明するための図である。
【図6】異常検知の例を説明するための図である。
【図7】異常検知の例を説明するための図である。
【図8】ログ管理装置の構成図である。
【図9】異常検知装置の構成図である。
【図10】装置のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0013】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0014】
(システム構成例、動作例)
図1に、本実施の形態におけるシステムの全体構成例を示す。図1に示すように、本システムにおいて、ログ管理装置100と異常検知装置200が備えられ、これらがネットワークで接続される。なお、ログ管理装置100と異常検知装置200が1つの装置で実現されていてもよい。
図1に、本実施の形態におけるシステムの全体構成例を示す。図1に示すように、本システムにおいて、ログ管理装置100と異常検知装置200が備えられ、これらがネットワークで接続される。なお、ログ管理装置100と異常検知装置200が1つの装置で実現されていてもよい。
【0015】
ログ管理装置100は、複数のネットワーク機器(ネットワーク機器群)とネットワークを介して通信可能である。ネットワーク機器群を構成するネットワーク機器は、例えば、ルータ、サーバ、スイッチ、ファイアウォール等である。
【0016】
本実施の形態における各ネットワーク機器、及びログ管理装置100は、syslogの機能を備えており、ログ管理装置100をsyslogサーバと称してもよい。ただし、syslogを用いることは一例であり、本発明に係る技術は、syslog以外のログ取得技術にも適用可能である。異常検知装置200は、ログファイルのファイルサイズの増加量の時系列データに基づく異常検知を行う。
【0017】
図2のフローチャートの手順に沿って、本システムの動作の概要を説明する。S101において、ログ管理装置100は、複数のネットワーク機器(ネットワーク機器群)のそれぞれから送信されるメッセージ(syslogメッセージ)を受信し、ネットワーク機器毎にメッセージをログとしてファイルに格納する。ログを格納したファイルを「ログファイル」と呼ぶことにする。
【0018】
S102において、ログ管理装置100は、例えば定期的に(予め定めた時間間隔で)、各ログファイルのファイル情報を格納部から取得し、取得したファイル情報を異常検知装置200に転送する。取得するファイル情報は、ログファイルのファイルサイズを含み、ログファイルの中身の情報は含まない。ファイルの中身にアクセスしないため、アクセスの時間は一定の短時間で済むとともに、機密性を確保することができる。
【0019】
異常検知装置200は、ログ管理装置100から受信したファイル情報をファイルサイズに基づいて解析し(S103)、解析結果に基づいて異常検知を行う(S104)。本実施の形態では、ログの行数をカウントする必要がないため、少ない計算量で異常検知を行うことができる。
【0020】
(解析、異常検知の具体例)
図3を参照して、解析処理等をより具体的に説明する。図3に示すログ管理装置100において、各ネットワーク機器のログが、各ネットワーク機器のログファイルに継続的に格納されているものとする。
図3を参照して、解析処理等をより具体的に説明する。図3に示すログ管理装置100において、各ネットワーク機器のログが、各ネットワーク機器のログファイルに継続的に格納されているものとする。
【0021】
ログ管理装置100は、各ログファイルについて、ファイル情報として、ファイル名、ファイルサイズ、及びiノード番号を取得する。ログ管理装置100は、各ログファイルの「ファイル名、ファイルサイズ、及びiノード番号」を異常検知装置200に送信する。なお、iノード番号は、ファイルを一意に識別する識別子の例である。iノード番号などのファイルを一意に識別する識別子のことを、ここでは「ファイル識別子」と呼ぶ。本実施の形態において、iノード番号以外のファイル識別子を用いてもよい。
【0022】
異常検知装置200は、ファイルサイズの単位時間あたりの増加量の時系列の変化に基づいて、ネットワークの異常検知を行う。異常検知の手法は、特定の方法に限られない。例えば、非特許文献1に開示されている方法である、金融分野での値動きの分析に使われるボリンジャーバンドをsyslogの総量の時系列分析に使用する方法を、ファイルサイズの時系列分析に応用することができる。また、時系列異常検知の手法の一つであるSpectral Residual(SR)を用いることもできる。以下、単位時間あたりの増加量を増加レートと呼ぶ。
【0023】
(ファイルサイズの増加レートの時系列データの取得方法について)
異常検知装置200は、複数のネットワーク機器に対するそれぞれのログファイルを解析対象としてもよいし、複数のネットワーク機器に対する全部のログファイルのファイルサイズの合計を解析対象としてもよいし、複数のネットワーク機器をグループ分けし、グループ毎のログファイルのファイルサイズの合計を解析対象としてもよい。
異常検知装置200は、複数のネットワーク機器に対するそれぞれのログファイルを解析対象としてもよいし、複数のネットワーク機器に対する全部のログファイルのファイルサイズの合計を解析対象としてもよいし、複数のネットワーク機器をグループ分けし、グループ毎のログファイルのファイルサイズの合計を解析対象としてもよい。
【0024】
ここでは便宜上、1つのログファイルについてのファイルサイズの増加レートの時系列データの取得方法について説明する。複数のログファイルを対象とする場合、以下で説明する時系列データの値を複数のログファイルの分だけ合計すればよい。
【0025】
本実施の形態では、ログ管理装置100は、ログファイルのサイズが過大にならないようにするために、ログローテートを行っているものとする。
【0026】
具体的には、例えば、ログ管理装置100は、定期的に、あるいは、サイズが閾値に達した場合に、対象のログファイルの名前(例として「ABCD.log」)を別の名前(例「ABCD1.log」)に変更し、同じ名前(「ABCD.log」)のログファイルを新たに作成する。新たに作成した「ABCD.log」には、ログが格納され始める。
【0027】
ログローテート発生時には「ABCD.log」に対応するiノード番号が変化する。つまり、あるファイル名についてのiノード番号が変化したことを検知した場合に、ログローテートが発生したと判断できる。
【0028】
異常検知装置200は、ログ管理装置100から定期的に受信するファイル情報に基づいて、所定時間毎のファイルサイズの増加量、つまり、増加レートを計算する。また、異常検知装置200は、ログローテートを考慮したファイルサイズの補完を行う。
【0029】
【0030】
図4の例は、5分毎のファイズサイズの増加量を示す。例えば、00:00の欄の値である1.0は、00:00から00:05までのファイルサイズの増加量が1.0であることを示す。この値は、例えば、00:05時点でのファイルサイズから00:00時点でのファイルサイズを引くことにより得ることができる。
【0031】
ログローテートの補完を行わない場合、00:15における増加量は0であることが示されている。これは例えば、00:15と00:20との間でログローテートが発生してファイルサイズが0になったため、00:15から00:20までにファイルサイズの増加がなかったと判断されたことを意味する。
【0032】
本実施の形態における異常検知装置200は、ログ管理装置100から定期的に受信するファイル情報(ファイル名、ファイルサイズ、iノード番号)に基づき、ある時点で、当該ファイル名に対応するiノード番号が、直前のiノード番号から変化したことを検知すると、ログローテートがあったと判断して、ファイルサイズ増加量を補完処理によって算出する。
【0033】
例えば、異常検知装置200は、5分毎にファイル情報を受信しているものとして、図4の00:15の時間区間(つまり、00:15~00:20の時間区間)における最後の時刻(00:20)でiノード番号の変化を検知したとする。
【0034】
この場合、00:15~00:20の時間区間のどこかの時刻でログローテートがあったと推定できる。そこで、異常検知装置200は、例えば、00:15~00:20の中央の時刻でログローテートが発生した(ファイルサイズが0になった)と仮定して、00:20時点のファイルサイズを用いて、00:15から00:20までのサイズ増加量を推定する。例えば、00:15から00:20まで一定の速さでファイルサイズが増加すると仮定して、00:20時点のファイルサイズ×2を、00:15から00:20までのサイズ増加量とする。
【0035】
また、ファイル情報を取得(受信)する周期が5分よりも短い場合には、より正確な推定を行うことができる。例えば、異常検知装置200は、1分毎にファイル情報を取得するとして、00:15でのファイルサイズ=10、00:17でのファイルサイズ=12、00:18でiノード番号変更検知、00:20でのファイルサイズ=1であることを検知したとすると、00:15から00:20までのサイズ増加量を、例えば、(12-10)+1=3と推定することができる。
【0036】
上記のようにして、異常検知装置200は、ログファイルのサイズ増加レートの時系列の変化を得ることができる。
【0037】
(異常検知の例)
異常検知装置200は、例えば、非特許文献1に開示されている方法と同様にして、ボリンジャーバンドを用いて異常検知を行うことができる。例えば、異常検知装置200は、ログファイルのサイズ増加レートの時間推移において、ボリンジャーバンドにおける+3σを上限値とし、-3σを下限値として、サイズ増加レートが上限値を超える、あるいは、サイズ増加量が下限値を下回ることを検知した場合に異常発生と判断する。なお、3σを使用することは一例である。
異常検知装置200は、例えば、非特許文献1に開示されている方法と同様にして、ボリンジャーバンドを用いて異常検知を行うことができる。例えば、異常検知装置200は、ログファイルのサイズ増加レートの時間推移において、ボリンジャーバンドにおける+3σを上限値とし、-3σを下限値として、サイズ増加レートが上限値を超える、あるいは、サイズ増加量が下限値を下回ることを検知した場合に異常発生と判断する。なお、3σを使用することは一例である。
【0038】
図5を参照して、ボリンジャーバンドを用いた異常検知例を説明する。図5のグラフにおける、Log rateを示す線は、5つのネットワーク機器(5つのログファイルのサイズの合計)のファイルサイズ増加レートの時系列変化を示す。Log rateを示す線の上側の線が上限値を示し、Log rateを示す線の下側の線が下限値を示す。
【0039】
図5の例では、下向きの矢印で示す時点において、ファイルサイズ増加レートが、上限値を閾値以上超えることが検知されたので、この時点で異常を検知する。
【0040】
その後、例えば、異常検知装置200(あるいはオペレータ)は、各ログファイルを調べる。このケースでは、図6に示すように、5つのログファイルの中でA.A.A.A.logのファイルサイズ増加レートが特に高かったため、A.A.A.A.logに対応するネットワーク機器への攻撃(例:Dos攻撃、IPスキャン)等があったことを推定できる。
【0041】
その後、例えば、ログファイルの中身を見ることを許可されているシステム管理者等がA.A.A.A.logの中身を見て、具体的な攻撃内容の特定等を行うことができる。
【0042】
また、ファイルサイズ増加レートが下限値を下回ったことを検知した場合、あるいは、下限値を閾値以上下回ったことを検知した場合にも、上記と同様にして、特定区間の機器故障や通信障害等の原因を推定し対応を行うことが可能である。
【0043】
また、Spectral Residual(SR法)を使用して異常検知を行うことも可能である。SR法は、時系列データの異常検知手法の一つである。SR法を用いた異常検知では、時系列データからsaliency mapを算出し、saliency mapからスコアを算出し、スコアが閾値を超えた場合にanomalyと判断する。
【0044】
図7に例を示す。図7の例では、ファイルサイズ増加レート(Log rate)を示すグラフ上に、anomaly(異常)と判定された点が示されている。例えば、anomalyと判定された時刻におけるログファイルを調べることで、具体的な異常の内容を把握することができる。
【0045】
(グループ分けの例)
前述したように、本実施の形態では、ログ管理装置100において、ネットワーク機器群におけるネットワーク機器毎にログファイルが作成され、あるネットワーク機器からのメッセージは、当該ネットワーク機器に対応するログファイルに格納される。本実施に形態では、ログファイルの名前として、対応するネットワーク機器を識別できる名前(例えば、IPアドレス、ホスト名、機器番号等)を使用している。ログファイルの名前として、対応するネットワーク機器を識別できる名前を使用することで、ファイル名をファイル情報として受信する異常検知装置200において、下記の例1~例3に示すようなグループ分けに基づく処理を行うことが可能である。
前述したように、本実施の形態では、ログ管理装置100において、ネットワーク機器群におけるネットワーク機器毎にログファイルが作成され、あるネットワーク機器からのメッセージは、当該ネットワーク機器に対応するログファイルに格納される。本実施に形態では、ログファイルの名前として、対応するネットワーク機器を識別できる名前(例えば、IPアドレス、ホスト名、機器番号等)を使用している。ログファイルの名前として、対応するネットワーク機器を識別できる名前を使用することで、ファイル名をファイル情報として受信する異常検知装置200において、下記の例1~例3に示すようなグループ分けに基づく処理を行うことが可能である。
【0046】
(例1)
異常検知装置200は、例えば、ルータ、サーバ、スイッチ等の機種毎にファイル情報をグループ分けし、グループ毎に、上述したファイルサイズに基づく異常検知のための処理を実行する。例えば、グループ1=ルータ、グループ2=サーバ、グループ3=スイッチの各グループでファイルサイズに基づく異常検知処理を行った結果、グループ1のみに異常が検知された場合、ルータに関係する異常があると推定できる。
異常検知装置200は、例えば、ルータ、サーバ、スイッチ等の機種毎にファイル情報をグループ分けし、グループ毎に、上述したファイルサイズに基づく異常検知のための処理を実行する。例えば、グループ1=ルータ、グループ2=サーバ、グループ3=スイッチの各グループでファイルサイズに基づく異常検知処理を行った結果、グループ1のみに異常が検知された場合、ルータに関係する異常があると推定できる。
【0047】
(例2)
ここではファイル名がネットワーク機器のIPアドレスであるとする。異常検知装置200は、例えば、ファイル名であるIPアドレスのレンジ毎にファイル情報をグループ分けし、グループ毎に、上述したファイルサイズに基づく異常検知のための処理を実行する。例えば、グループ1=レンジA、グループ2=レンジB、グループ3=レンジCの各グループでファイルサイズに基づく異常検知処理を行った結果、グループ2のみに異常が検知された場合、レンジBのIPアドレスが付されたネットワーク機器群において異常があると推定できる。
ここではファイル名がネットワーク機器のIPアドレスであるとする。異常検知装置200は、例えば、ファイル名であるIPアドレスのレンジ毎にファイル情報をグループ分けし、グループ毎に、上述したファイルサイズに基づく異常検知のための処理を実行する。例えば、グループ1=レンジA、グループ2=レンジB、グループ3=レンジCの各グループでファイルサイズに基づく異常検知処理を行った結果、グループ2のみに異常が検知された場合、レンジBのIPアドレスが付されたネットワーク機器群において異常があると推定できる。
【0048】
(例3)
ここでは、ファイル名からネットワーク機器のベンダーを識別できるものとする。異常検知装置200は、例えば、ベンダー毎にファイル情報をグループ分けし、グループ毎に、上述したファイルサイズに基づく異常検知のための処理を実行する。例えば、グループ1=ベンダーA、グループ2=ベンダーB、グループ3=ベンダーCの各グループでファイルサイズに基づく異常検知処理を行った結果、グループ3のみに異常が検知された場合、ベンダーCの機器に何か異常があると推定できる。
ここでは、ファイル名からネットワーク機器のベンダーを識別できるものとする。異常検知装置200は、例えば、ベンダー毎にファイル情報をグループ分けし、グループ毎に、上述したファイルサイズに基づく異常検知のための処理を実行する。例えば、グループ1=ベンダーA、グループ2=ベンダーB、グループ3=ベンダーCの各グループでファイルサイズに基づく異常検知処理を行った結果、グループ3のみに異常が検知された場合、ベンダーCの機器に何か異常があると推定できる。
【0049】
(装置構成例)
図8に、ログ管理装置100の機能構成例を示す。図8に示すように、ログ管理装置100は、ログ収集部110、ログ格納部120、情報取得部130を備える。ログ収集部110は、各ネットワーク機器から送信されるメッセージを受信し、ログ格納部120におけるログファイルに格納する。
図8に、ログ管理装置100の機能構成例を示す。図8に示すように、ログ管理装置100は、ログ収集部110、ログ格納部120、情報取得部130を備える。ログ収集部110は、各ネットワーク機器から送信されるメッセージを受信し、ログ格納部120におけるログファイルに格納する。
【0050】
情報取得部130は、ログ格納部120から各ログファイルのファイル情報を取得し、取得したファイル情報を異常検知装置200に送信する処理を定期的に行う。
【0051】
【0052】
情報取得部210は、ログ管理装置100から送信されたファイル情報を受信し、データ格納部220に格納する。解析部230は、データ格納部220に格納されているファイル情報から、ファイルサイズ増加レートの時系列データを計算するとともに、当該時系列データを用いて異常検知を実施する。出力部240は、解析部230による解析結果(異常検知結果)を出力する。
【0053】
ログ管理装置100と異常検知装置200とを備えるシステムを異常検知システムと呼んでもよい。ログ管理装置100と異常検知装置200とが1つの装置で構成される場合における当該装置についても異常検知システムと呼んでもよい。
【0054】
異常検知システムにおいて、ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部とが備えられてもよい。
【0055】
ログ管理装置100と異常検知装置200とが1つの装置で構成される場合、ログ管理装置100から異常検知装置200へのファイル情報の送信は、装置内でのファイル情報の受け渡しの処理になる。
【0056】
(装置のハードウェア構成例)
ログ管理装置100、異常検知装置200、及び異常検知システムはいずれも、例えば、1つ又は複数のコンピュータにプログラムを実行させることにより実現することができる。当該コンピュータは物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。以下、ログ管理装置100、異常検知装置200、及び異常検知システムを総称して「装置」と呼ぶ。
ログ管理装置100、異常検知装置200、及び異常検知システムはいずれも、例えば、1つ又は複数のコンピュータにプログラムを実行させることにより実現することができる。当該コンピュータは物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。以下、ログ管理装置100、異常検知装置200、及び異常検知システムを総称して「装置」と呼ぶ。
【0057】
図10は、本実施の形態における上記コンピュータのハードウェア構成例を示す図である。なお、上記コンピュータが仮想マシンである場合、ハードウェア構成は仮想的なハードウェア構成である。図10のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
【0058】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0059】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
【0060】
(実施の形態の効果)
以上説明した本実施の形態に係る技術により、ネットワーク機器から出力されるメッセージのログを用いた異常検知を、少ない計算量で、機密性を保ちながら実行することができる。
以上説明した本実施の形態に係る技術により、ネットワーク機器から出力されるメッセージのログを用いた異常検知を、少ない計算量で、機密性を保ちながら実行することができる。
【0061】
<付記>
本明細書には、少なくとも下記各項の異常検知システム、異常検知方法、及びプログラムが開示されている。
(第1項)
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、
前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、
を備える異常検知システム。
(第2項)
前記ファイル情報は、ファイル識別子を更に含み、前記解析部は、ファイル識別子の変化に基づきログローテートの発生を検知し、増加レートの補完を実行する
第1項に記載の異常検知システム。
(第3項)
前記情報取得部は、複数のネットワーク機器に対応する複数のログファイルのそれぞれから、ファイルサイズとファイル名とを含むファイル情報を定期的に取得し、
前記解析部は、前記複数のログファイル全体におけるファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う
第1項又は第2項に記載の異常検知システム。
(第4項)
前記解析部は、前記複数のログファイルにおける各ログファイルのファイル名に基づいて、前記複数のログファイルをグループ分けし、グループ毎に異常検知を行う
第3項に記載の異常検知システム。
(第5項)
異常検知システムが実行する異常検知方法であって、
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得ステップと、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析ステップと、
を備える異常検知方法。
(第6項)
コンピュータを、第1項ないし第4項のうちいずれか1項に記載の異常検知システムにおける各部として機能させるためのプログラム。
本明細書には、少なくとも下記各項の異常検知システム、異常検知方法、及びプログラムが開示されている。
(第1項)
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部と、
前記ログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得部と、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析部と、
を備える異常検知システム。
(第2項)
前記ファイル情報は、ファイル識別子を更に含み、前記解析部は、ファイル識別子の変化に基づきログローテートの発生を検知し、増加レートの補完を実行する
第1項に記載の異常検知システム。
(第3項)
前記情報取得部は、複数のネットワーク機器に対応する複数のログファイルのそれぞれから、ファイルサイズとファイル名とを含むファイル情報を定期的に取得し、
前記解析部は、前記複数のログファイル全体におけるファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う
第1項又は第2項に記載の異常検知システム。
(第4項)
前記解析部は、前記複数のログファイルにおける各ログファイルのファイル名に基づいて、前記複数のログファイルをグループ分けし、グループ毎に異常検知を行う
第3項に記載の異常検知システム。
(第5項)
異常検知システムが実行する異常検知方法であって、
ネットワーク機器から出力されたログを記録したログファイルを格納するログ格納部から、前記ログファイルのファイルサイズとファイル名とを含むファイル情報を定期的に取得する情報取得ステップと、
前記ファイル情報から、前記ログファイルのファイルサイズの増加レートの時系列データを計算し、当該時系列データから異常検知を行う解析ステップと、
を備える異常検知方法。
(第6項)
コンピュータを、第1項ないし第4項のうちいずれか1項に記載の異常検知システムにおける各部として機能させるためのプログラム。
【0062】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0063】
100 ログ管理装置
110 ログ収集部
120 ログ格納部
130 情報取得部
200 異常検知装置
210 情報取得部
220 データ格納部
230 解析部
240 出力部
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
110 ログ収集部
120 ログ格納部
130 情報取得部
200 異常検知装置
210 情報取得部
220 データ格納部
230 解析部
240 出力部
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】