分析手法の適用

第 4章 Security Operation CenterのためのIDSログ分析支援システム 95

0 10 20 30 40 50

1 2 3 4 5 6 7 8 9 10

Counts

11Day

Long Term Profile

Short Term Profile

Es

El

Events

図 4.3: 比率分析モデル

Attack Signatureの各イベントに対して一つずつ比率を算出する．出力結果として，

比率の大きなイベントから順に，もしくは，小さなイベントから順に表示する．

4.4.2 ^稀率分析

SOCで収集されるログの規模は膨大な量に上る．この規模が大きなことから，検 知されるイベントは正規分布に近づくものと仮定する．

稀率分析は，出力数の平均と標準偏差を用いて，様々に変動するイベントの異常 性を評価する手法である．例えば，Attack Signatureの中に比率分析の結果が同じ イベントがあった場合でも，変動の大きなイベントの比率と小さなイベントの比率 では，その値の重みが異なってくる．統計分析に，95%信頼区間という指標がよく

第 4章 Security Operation CenterのためのIDSログ分析支援システム 97

Number of Events

Short Term Profile (En+1) 3SD 2SD SD E SD 2SD 3SD

Number of Base Term

Upper Rare-ratio Lower Rare-ratio

図 4.4: 稀率分析モデル

利用されているが，ここでの稀率分析とはこの信頼区間の補集合を算出する手法で ある．稀率分析の様子を，図 4.4に示す．横軸は長期プロファイルのイベント数の 平均Eとその標準偏差SDの距離を，縦軸はイベント数に該当する単位期間数を表 している．短期プロファイルのイベント数が長期プロファイルのイベント数の平均 値よりも大きな場合の上側信頼限界の補集合を上側稀率と呼び，小さな場合の下側 信頼限界の補集合を下側稀率と呼ぶことにする．上側稀率ならびに下側稀率の最大

値は50%であり，この50%付近のときは通常のイベントの状態と変わりがないこと

を表している．

n+ 1個の単位期間があるときに，期間Tn+1で表される短期プロファイルのイベ ント数をEn+1とし，期間T¹, T², T³, ..., Tnで表される長期プロファイルの各期間に 含まれるイベント数をE1, E2, E3, ..., Enとする．このとき，長期プロファイルのイ

ベント数の平均Eは，

E=

_n

i=1Ei

n

であり，長期プロファイルのイベント数の標準偏差SDは，

SD =

_n

i=1(Ei−E)² n

となる．これより長期プロファイルの正規分布の密度関数f(E)は，

f(E) = 1

√2πSDexp

−(E−E)² 2SD²

となる．よって，短期プロファイルのEn+1が長期プロファイルのEよりも大きな ときの上側稀率Ruは，

Ru =

_∞

En+1f(E)dE と求めることができ，小さなときの下側稀率Rlは，

Rl =

_En+1

−∞ f(E)dE

と求めることができる．ここで，短期プロファイルで検知されたイベントのうち，長 期プロファイルで1件も検知されていないイベントについては，稀率を算出できな いため，初検知イベントとして別に列挙する．

稀率分析をAttack Signatureに適用する場合，短期プロファイルで検知された

Attack Signatureの各イベントに対して一つずつ稀率を算出する．出力結果として，

平均値に対してプラス側の稀なイベントから順に，もしくは，平均値に対してマイ ナス側の稀なイベントから順に表示する．

第 4章 Security Operation CenterのためのIDSログ分析支援システム 99

4.4.3 長期プロファイルの指定

新たな攻撃傾向を把握するには，直近の連続した時間を長期プロファイルとする ことが妥当である．しかし，数ヶ月に渡る長い期間出力され続けているイベントに ついては，短期プロファイルで指定した時刻や曜日を考慮して長期プロファイルを 選択することで，より妥当な分析結果を得られると考えられる．そこで本システム では，長期プロファイルの期間の指定方法として，4.2.2節の要件8を考慮して以下 の3つを設ける．

(a)を基本条件として，(b)もしくは(c)をAND条件で指定する．

(a)連続時間 指定した開始日時分秒から終了日時分秒までの連続する期 間を長期プロファイルとする．

(b)時刻指定 (a)で指定された期間のうち，短期プロファイルで指定する 時間帯を24時間周期で抽出したものを長期プロファイルとする．例 えば，短期プロファイルで12時から18時までの6時間を指定した 場合には，長期プロファイルもその時間帯のイベントを用いる．

(c)曜日指定 (a)で指定された期間のうち，短期プロファイルで指定する 曜日帯を7日間周期で抽出したものを長期プロファイルとする．例 えば，短期プロファイルで平日（月〜金）を指定した場合には，長 期プロファイルも平日のイベントを用いる．

4.4.4 ^{分析結果の判断}

D > 1.00倍もしくはRu 0.00% 新たな攻撃が出回り始めたとき，内部

ホストがワームに感染したとき，DDoS攻撃を受けたときなどの異

常に注目できる．攻撃が活発な段階であり，警戒する必要がある．

D0.00倍もしくはRl 0.00% 普段から検知され続けていたログが減 少もしくは無くなってしまう異常に注目できる．攻撃が収束に向かっ ている段階，もしくは，システムが停止した状態である．

D1.00倍もしくはRt, Rl 50.00% 普段から検知され続けているログ を見分けることができる．既に対策が施されている攻撃，もしくは，

誤検知されやすいイベントであり，特に注意する必要はない．

初検知 新たな攻撃で残る微かな痕跡の可能性があり，注意すべきイベン トである．