Security Operation CenterのためのIDSログ分析支援システム

摘要

近年，サイバーテロ対策の一環としてSecurity Operation Center（SOC）の設置が進められているが，広域や個々のネットワークを分析するための効率的な手段がない．本論文では，異なる環境のネットワークを集中監視するSOCのために，様々なIntrusion Detection System（IDS）から出力されるログを統合管理して，時間軸上での異常なイベントを客観的に検出するIDSログ分析支援システムを提案する．分析は，過去の長期間のイベント出力特性（長期プロファイルと呼ぶ）に対する最近の短期間のイベント出力特性（短期プロファイルと呼ぶ）の変化の程度を，異常率として評価する．各地で運用されているIDSから収集したログを用いて評価を行い，従来からの頻度分析結果の中から検証の不要なイベントを特定できること，頻度分析で発見が困難であったかすかな痕跡を抽出できることを確認する．本システムは，広域かつ詳細に監視を行えるシステムとして，SOCにおけるログ分析作業の信頼性の向上と効率化に寄与する．