攻击分析系统、协作装置、攻击分析协作方法和程序的制作方法
【技术领域】
[0001]本发明涉及攻击分析系统、协作装置、攻击分析协作方法和程序。尤其是,涉及与攻击检测系统和日志分析系统协作而高效地进行攻击分析的攻击分析系统。
【背景技术】
[0002]近年来,恶意软件将机密信息泄漏到组织外的事故成为问题。使用恶意软件的网络攻击逐渐高度化,例如存在非专利文献I所示的被称作APT(高度且持续的威胁:Advanced Persistent Threat)的攻击等。
[0003]在APT中,通过邮件附件等入侵到组织中的恶意软件感染计算机,进而,与攻击者所运用的互联网上的C&C(C0mmand&C0ntr0l:命令和控制)服务器进行通信,下载新恶意软件或攻击工具或者更新自身。进而,侦测组织内部,找到文件服务器,将机密文件泄漏到C&C服务器。在将这些各活动视作攻击的情况下,各攻击耗费较长时间而按阶段进行。例如,感染了计算机的恶意软件在感染后I个月不活动而隐藏自身,I个月后才开始与C&C服务器进行通信。
[0004]这样,在APT中,多个攻击间隔地进行。
[0005]APT的对策存在各种方法。作为APT对策的产品,存在防止基于邮件的侵入的产品、防止信息泄漏的产品等。
[0006]此外,作为APT对策的方法之一,存在自动进行日志分析的方法。在自动进行日志分析的方法中,分析计算机、服务器、路由器等网络设备、防火墙、入侵检测系统等安全设备等的日志,调查相互的相关关系,或者从日志中找出异常记录。自动进行日志分析的方法是通过进行这样的分析来检测APT或观察经过过程的方法。
[0007]作为通过调查防火墙或入侵检测系统等安全设备的日志等的相关关系调来自动地检测异常的产品的例子,存在SIEM(安全信息和事件管理:Security Informat1n andEvent Management)系统(参照专利文献I)。SIEM系统也被称作整合日志监视系统等。
[0008]此外,存在如下日志分析系统:通过各种关键词对各种日志进行向下钻取(drilldown),或者按时间顺序显示状况变化等,由此,人们发现异常。
[0009]在专利文献I中,提出了如下方法:在业务系统用服务器之外,导入中继服务器,在中继服务器中进行用户认证,并收集利用日志。
[0010]现有技术文献
[0011]专利文献
[0012]专利文献1:日本特表2004-537075号公报
[0013][非专利文献]
[0014][非专利文献I]「新L.U夕彳攻撃」ω对策C向汀設計/運用力'彳F,改订第2版,IPA (面向“新型攻击”的对策的设计,运用指南,修订版第2版,IPA)。
【发明内容】
[0015][发明要解决的问题]
[0016]在SIEM系统中,在内存中(on-memory)实时地监视事件(event),因此,实质不能进行复杂的相关分析或多发事件的相关分析,从而存在不能对APT采用足够的对策这样的冋题。
[0017]此外,在日志分析系统中,能够对多个日志执行复杂的检索,但为了如相关分析那样实时地检测事件,需要短时间地反复执行检索。因此,存在为了同时执行多个检索条件而需要巨大的计算资源这样的问题。
[0018]即,存在如下问题:在基于对日志进行分析的方法的APT的检测中,无论是SIEM系统还是日志分析系统,无法单独地完全对应。
[0019]本发明是为了解决上述那样问题而完成的,其目的在于,针对通过SIEM系统检测出的攻击,基于攻击情景,与日志分析系统协作而高效地从日志中发现存在将要发生的可能性的攻击迹象。
[0020][用于解决问题的手段]
[0021]本发明的攻击分析系统的特征在于具有:
[0022]日志收集装置,其收集与监视对象网络连接的至少I个设备的日志并将其作为日志信息存储在存储装置中;检测装置,其检测针对所述监视对象网络的攻击;以及分析装置,其分析由所述日志收集装置收集的所述日志信息,
[0023]所述攻击分析系统具有协作装置,该协作装置与所述检测装置连接,并与所述分析装置连接,
[0024]所述检测装置在检测到针对所述监视对象网络的攻击时,向所述协作装置发送警告信息,该警告信息包含标识检测出的攻击的攻击标识符和发生所述检测出的攻击的攻击发生时期,
[0025]所述协作装置具有:
[0026]攻击情景信息存储部,其预先将攻击情景信息存储在存储装置中,其中,所述攻击情景信息包含分别标识针对所述监视对象网络预计要发生的多个攻击的多个攻击标识符,且所述攻击情景信息包含所述多个攻击的发生序号和所述序号连续的两个攻击的发生间隔,
[0027]时刻表分析请求部,在从所述检测装置接收到所述警告信息时,该时刻表分析请求部基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,通过处理装置来计算分析对象攻击预计要发生的预计发生时期,向所述分析装置发送时刻表分析请求,其中,该时刻表分析请求是对计算出的所述预计发生时期的所述日志信息进行分析的请求,该分析对象攻击是所述攻击情景信息中包含的所述多个攻击中的在所述攻击发生时期的前后的时期预计要发生的攻击,且为与所述检测出的攻击不同的攻击;
[0028]所述分析装置基于从所述协作装置的所述时刻表分析请求部发送的所述时刻表分析请求,对所述预计发生时期的所述日志信息进行分析。
[0029][发明效果]
[0030]根据本发明的攻击分析系统,协作装置将攻击情景信息存储在存储装置中,从检测装置接收包含检测出的攻击的信息的警告信息,基于警告信息和攻击情景信息,计算在检测出的攻击之后预计要发生的攻击的预计发生时期,按计算出的预计发生时期来检索曰志信息,向分析装置发送时刻表检索,从而使检测装置与分析装置协作,由此,起到如下效果:能够高效地从日志信息中发现存在将要发生的可能性的攻击的迹象。
【附图说明】
[0031]图1是示出实施方式I的日志分析协作系统1000的整体结构的图。
[0032]图2是示出实施方式I的日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903的硬件结构的一例的图。
[0033]图3是示出实施方式I的日志分析协作装置I的结构和动作的概要的图。
[0034]图4是示出实施方式I的警告信息1201的结构的一例的图。
[0035]图5是示出实施方式I的攻击情景1104的结构的一例的图。
[0036]图6是示出实施方式I的对策信息1107的结构的一例的图。
[0037]图7是示出实施方式I的资产信息1109的结构的一例的图。
[0038]图8是示出实施方式I的攻击可否判定部107的攻击可否判定处理的流程图。
[0039]图9是示出实施方式2的日志分析协作装置I的结构和动作的概要的图。
[0040]图10是示出实施方式4的日志分析协作装置I的结构和动作的概要的图。
[0041]图11是示出实施方式4的认证服务器10的结构和动作的图。
[0042]图12是示出由实施方式4的密码复位装置11生成的电子邮件的一例的图。
[0043]图13是示出实施方式4的密码复位装置11的结构和动作的图。
[0044]图14是示出实施方式4的密码复位装置11的复位用密码8203和密码复位通知字面内容8202的生成方法的图。
【具体实施方式】
[0045]实施方式1.
[0046]图1是示出本实施方式的日志分析协作系统1000的整体结构的图。使用图1,对本实施方式的日志分析协作系统1000 (攻击分析系统的一例)的整体结构和动作的概要进行说明。
[0047]在图1中,日志分析协作系统1000具有日志记录器901 (日志收集装置的一例)、SIEM装置902 (检测装置的一例)、日志分析装置903 (分析装置的一例)、日志分析协作装置1(协作装置的一例)。
[0048]日志记录器901收集监视对象网络所具有的至少I个设备(通信设备904)的日志,并将其作为日志信息存储在存储装置中。
[0049]日志记录器901与监视对象的PC或服务器等计算机904a、路由器等网络设备904b、防火墙或入侵检测装置等安全设备904c、智能手机或平板PC等移动设备905连接。
[0050]日志记录器901收集并蓄积计算机904a、网络设备904b、安全设备904c、移动设备905等日志。
[0051]SIEM装置902对日志记录器901中蓄积的日志进行相关分析(correlat1nanalysis)等来检测异常。SIEM装置902具有检测规则912。SIEM装置902例如将检测规则912存储在存储装置中。
[0052]检测规则912是用于检测攻击等异常的日志分析的规则。检测规则912例如为相关分析的规则。
[0053]日志分析装置903根据操作者进行的操作,通过关键词检索对日志记录器901中蓄积的日志进行向下钻取等分析。此外,日志分析装置903根据操作者进行的操作,使对特定的服务器的访问状况可视化,以能够目视观察状况的方式进行显示。这样,在日志分析装置903中,根据操作者进行的操作,分析日志,使得操作者发现异常。
[0054]日志分析协作装置I位于SIEM装置902和日志分析装置903之间,与SIEM装置902连接,并与日志分析装置903连接。
[0055]日志分析协作装置I与SIEM装置902和日志分析装置903协作。
[0056]日志分析协作装置I具有攻击情景DB1013、资产DB1015、安全对策DB1014。
[0057]对日志分析协作装置I与SIEM装置902和日志分析装置903协作的动作的概要进行说明。
[0058]SIEM装置902从日志记录器901收集日志911,使用检测规则912执行实时的相关分析。这样,SIEM装置902始终执行异常检测。
[0059]以下,使用图1,对SIEM装置902检测到异常的情况下的动作(攻击分析协作方法)的一例进行说明。以下⑴?⑶对应于图1的⑴?(8)。
[0060](I) SIEM装置902根据检测规则912中的检测规则B,检测攻击b (检测攻击)。
[0061](2)SIEM装置902将“检测出攻击b”作为警告信息1201’通知给日志分析协作装置I (警告信息发送处理、警告信息发送步骤)。日志分析协作装置I接收警告信息(警告信息接收处理、警告信息接收步骤)。
[0062](3)日志分析协作装置I从DB中检索在攻击b之后预计要发生的攻击c (下次攻击)。日志分析协作装置I根据攻击情景DB1013、资产DB1015、安全对策DB1014,判断在攻击b之后发生的攻击c的发生可能性。攻击情景DB1013、资产DB1015、安全对策DB1014例如被存储在日志分析协作装置I具有的存储装置I’中。
[0063](4)日志分析协作装置I为了从日志中检索攻击c的迹象,向日志分析装置903请求时刻表检索915。换言之,日志分析协作装置I计算在攻击b (检测攻击、检测出的攻击)之后预计要发生的攻击c (下次攻击、分析对象攻击)预计将要发生的时期(预计发生时期),为了对攻击c(下次攻击)预计要发生的时期(预计发生时期)的日志进行时刻表检索,向日志分析装置903请求时刻表检索915((3)、(4)的处理是时刻表分析请求处理、时刻表分析请求步骤)。
[0064](5)日志分析装置903基于时刻表检索915的请求,使日志记录器901执行时刻表检索916。
[0065](6)日志分析装置903接收时刻表检索916的检索结果917。
[0066](7)日志分析装置903将接收到的检索结果917作为检索结果918,发送给日志分析协作装置I。
[0067](8)日志分析协作装置I接收(7)的结果,与执行与(7)的结果对应的处理(日志信息分析处理、日志信息分析步骤)。
[0068]在(7)的结果为未检测出攻击c的情况下,日志分析协作装置I判断为攻击c的发生时期有可能与攻击情景1104不相符。然后,日志分析协作装置I变更时刻表检索915的时机,进一步向日志分析装置903发出时刻表检索915。
[0069]在(7)的结果是检测出攻击c的情况下,日志分析协作装置I在GUI上向操作者通知“检索出攻击C”。操作者接收该通知,使用日志分析装置903,进一步对攻击c的详细迹象等进行分析。
[0070]由于CPU、存储器、线路等的制约,移动设备905 (特定的设备)有时难以始终收集日志。因此,日志记录器901通常不对来自移动设备905的日志进行收集。或者,日志记录器901也可以以I日I次等定期的或不定期的方式从移动设备905收集日志。
[0071]当在(I)?(3)中判断为攻击c是在移动设备905中发生的情况下,日志分析协作装置I按照(4)的时刻表检索915的时机,在(4)的时刻表检索915之前,向日志分析装置903通知时刻表收集915’ (⑷,)。
[0072]日志分析装置903将从日志分析协作装置I通知的时刻表收集915’作为时刻表收集916’通知给日志记录器901 ((5),)。
[0073]日志记录器901在从日志分析装置903被通知了时刻表收集916’时,向移动设备905通知时刻表收集916” ((5),,),从移动设备905收集日志917” ((6) ”)。日志记录器901将来自移动设备905的日志的收集结果作为收集结果917’发送给日志分析装置903((6),) ο
[0074]日志分析装置903在从日志记录器901接收到收集结果917’时,将其作为收集结果918’发送给日志分析协作装置I ((7)’)。
[0075]然后,日志分析协作装置1、日志分析装置903、日志记录器901执行上述(4)?⑵。
[0076]以上,结束了日志分析协作系统1000的整体结构和动作的概要的说明。
[0077]图2是示出本实施方式的日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903的硬件结构的一例的图。
[0078]在图2中,日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903是计算机,具有LCD1901(Liquid Crystal Display:液晶显示器)、键盘1902(K/B)、鼠标1903,FDD1904 (Flexible Disc Drive:软盘驱动器)、CDD1905 (Compact Disc Drive:CD 驱动器)、打印机1906这样的硬件设备。这些硬件设备通过网线或信号线连接。也可以使用CRT (Cathode Ray Tube:阴极摄像管)或其它显示装置来替代LCD1901。也可以使用触摸面板、触摸板、轨迹球、手写板或其它定点设备来替代鼠标1903。
[0079]日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903具有执行程序的CPU1911 (Central Processing Unit:中央处理器)。CPU1911是处理装置的一例。CPU1911 经由总线 1912,与 R0M1913(Read Only Memory:只读存储器)、RAM1914 (RandomAccess Memory:随机存取存储器)、通信板 1915、LCD1901、键盘 1902、鼠标 1903、FDD1904、CDD1905、打印机1906、HDD1920 (Hard Disk Drive:硬盘驱动器)连接,来控制这些硬件设备。也可以使用闪速存储器、光盘装置、内存卡读写器或其它记录介质来替代HDD1920。
[0080]RAM1914 是易失性存储器的一例。R0M1913、FDD1904、CDD1905、HDD1920 是非易失性存储器的一例。它们是存储装置、存储部的一例。通信板1915、键盘1902、鼠标1903、FDD1904、CDD1905是输入装置的一例。此外,通信板1915、LCD1901、打印机1906是输出装置的一例。
[0081]通信板1915与LAN(Local Area Network:局域网)等连接。通信板1915不限于LAN,也可以连接到 IP-VPN (Internet Protocol Virtual Private Network,IP 虚拟专用网络)、广域 LAN、ATM (Asynchronous Transfer Mode,异步传输模式)网络这样的 WAN (WideArea Network:广域网)或互联网。LAN、WAN、互联网是网络的一例。
[0082]在HDD1920中存储有操作系统1921 (OS),视窗系统1922、程序组1923、文件组1924。程序组1923的程序由CPU1911、操作系统1921、视窗系统1922执行。在程序组1923中,包含执行在本实施方式的说明中作为“?部”说明的功能的程序。程序由CPU1911读出并执行。在本实施方式的说明中作为“?数据”、“?信息”、“?ID(标识符)”、“?标志位”、“?结果”说明的数据、信息、信号值或变量值或参数作为“?文件”或“?数据库”或“?表”的各项目而包含在文件组1924中。“?文件”或“?数据库”或“?表”被存储在RAM1914或HDD1920等记录介质中。RAM1914或HDD1920等记录介质中存储的数据、信息、信号值、变量值或参数经由读写电路,由CPU1911读出至主存储器或高速缓存,在提取、检索、参照、比较、运算、计算、控制、输出、印刷、显示这样的CPU1911的处理(动作)中使用。在提取、检索、参照、比较、运算、计算、控制、输出、印刷、显示这样的CPU1911的处理中,数据、信息、信号值、变量值或参数暂时地中存储在主存储器、高速缓存或缓冲存储器中。
[0083]在本实施方式的说明中使用框图或流程图的箭头的部分主要表示数据或信号的输入/输出。数据或信号被记录在RAM1914等存储器、FDD1904软盘(FD)、⑶D1905光盘(CD)、HDD1920磁盘、光盘、DVD (Digital Versatile Disc:数字通用光盘)或其它记录介质中。此外,数据或信号通过总线1912、信号线,网线或其它传输介质进行传输。
[0084]在本实施方式的说明中,作为“?部”说明的内容也可以是“?电路”、“?装置”、“?设备”,此外,也可以是“?步骤”、“?操作”、“?过程”、“?处理”。g卩,作为“?部”说明的内容可以由R0M1913中存储的固件实现。或者,作为“?部”说明的内容也可以仅由软件实现,或者仅由元件、设备、基板、布线这样的硬件实现。或者,作为“?部”说明的内容也可以由软件和硬件的组合或者软件、硬件和固件的组合来实现。固件和软件作为程序存储在软盘、光盘、磁盘、光盘、DVD等记录介质中。程序由CPU1911读出,由CPU1911执行。S卩,程序使计算机作为在本实施方式的说明中记述的“?部”而发挥功能。或者,程序使计算机执行在本实施方式的说明记述的“?部”的操作或方法。
[0085]图3是示出本实施方式的日志分析协作装置I的结构和动作的概要的图。
[0086]使用图3,对本实施方式的日志分析协作装置I的结构进行说明。在本实施方式中,日志分析协作装置I不使用时刻表收集部108、收集时刻表条件1204、外部协作部(收集)109。
[0087]如图3所示,日志分析协作装置I具有输入部101、警告解释部102、攻击情景DB检索部103、关联攻击提取部104、安全对策检索部105、资产DB检索部106、攻击可否判定部107、时刻表检索部1010、外部协作部(检索)1011、输出部1012。
[0088]此外,日志分析协作装置I将攻击情景DB1013、安全对策DB1014、资产DB1015存储在存储装置中。
[0089]输入部101输入警告信息1201’,输出数据1101。
[0090]警告解释部102输入数据1101,输出警告信息1102和资产检索信息1108。
[0091]攻击情景DB检索部103输入情景提取条件1202,使用攻击标识信息1103来检索攻击情景DB1013。攻击情景DB检索部103输入作为检索结果的攻击情景1104。此外,攻击情景DB检索部103将输入的攻击情景1104输出到关联攻击提取部104。
[0092]攻击情景DB1013将执行APT (高度且持续的威胁)的多个攻击的序列及其时间间隔等信息保存为情景。
[0093]攻击情景DB1013是预先将攻击情景信息存储在存储装置的攻击情景信息存储部的一例,攻击情景信息包含多个攻击标识符且包含多个攻击发生的序号和序号连续的两个攻击的发生间隔,多个攻击标识符用