日志分析装置、信息处理方法以及程序的制作方法
【技术领域】
[0001]本发明涉及日志分析装置、信息处理方法以及程序,特别涉及对与网络安全相关的攻击进行检测的技术。
【背景技术】
[0002]在IP(Internet Protocol:互联网协议)网络中,为了对非法入侵进行检测而使用日志信息进行解析。在专利文献I中公开了这样的方法:针对记录网络上的异常访问的入侵检测装置所输出的大量的日志,根据考虑到了作为事件属性的事件种类或地址等的差异的事件之间的同时相关性,对多个事件进行分组,从而使监视或分析变得容易。
[0003]现有技术文献
[0004]专利文献
[0005]专利文献1:日本特开2005-038116号公报
【发明内容】
[0006]发明要解决的课题
[0007]但是,认为:如果没有根据入侵方法对多个日志信息关联起来进行分析,则仅通过对数据包的多个日志信息的分组化,难以检测出非法入侵。
[0008]本发明的目的在于提供一种日志分析装置、信息处理方法以及用于使计算机执行的程序,它们根据来自多个通信设备的日志信息和业务信息(traffic informat1n),能够综合性地判定是否存在非法访问。
[0009]通过本说明书的描述和附图,阐明了本发明的上述以及其他的目的和新的特征。
[0010]用于解决课题的手段
[0011]为了实现上述目的,本发明的日志分析装置构成为:进行网络的安全管理,其中,该日志分析装置具有:日志信息收集部,其收集从所述网络所包含的多个通信设备输出的日志信息和业务信息;标准化(normalizat1n)处理部,其对所述日志信息收集部收集到的日志信息和业务信息进行标准化;日志信息分析处理部,其从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问;以及事件信息通知部,其输出事件信息,该事件信息包含根据所述日志信息分析处理部所判定的结果而得到的、表示重要度的信息。
[0012]此外,本发明的信息处理方法,其是进行网络的安全管理的日志分析装置的信息处理方法,其中,在该信息处理方法中,收集从所述网络所包含的多个通信设备输出的日志信息和业务信息,对所收集的日志信息和业务信息进行标准化,从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问,输出事件信息,该事件信息包含根据所述判定的结果而得到的、表示重要度的信息。
[0013]而且,本发明的程序,其使进行网络的安全管理的计算机执行下述步骤:收集从所述网络所包含的多个通信设备输出的日志信息和业务信息的步骤;对所收集的日志信息和业务信息进行标准化的步骤;从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问的步骤;以及输出事件信息的步骤,该事件信息包含根据所述判定的结果而得到的、表示重要度的信息。
[0014]发明效果
[0015]通过本发明,根据从网络内的多个通信设备输出的日志信息和业务信息,能够综合性地判定由非法访问的攻击造成的通信连接所引起的问题的重要度。
【附图说明】
[0016]图1是示出本实施方式的日志分析装置进行安全管理的网络的一个结构例的框图。
[0017]图2是示出本实施方式的日志分析装置的一个结构例的框图。
[0018]图3是示出日志格式的一例的图。
[0019]图4是示出本实施方式的日志分析装置的工作步骤的流程图。
【具体实施方式】
[0020]使用附图,对本发明的实施方式进行说明。此外,以下说明的实施方式并不对本发明的权利要求书中的范围的解释进行限定。
[0021]图1是示出本实施方式的日志分析装置进行安全管理的网络的一个结构例的框图。
[0022]如图1所示,用户IP网络30具有用户终端11、代理服务器(Proxy Server) 12、DNS(Domain Name System:域名系统)服务器13、邮件服务器14、文件服务器15、Web服务器16、IPS (Intrus1n Prevent1n System:入侵预防系统)17、防火墙18、交换机19以及路由器20。在本实施方式中,为了简化说明而对用户终端11为I台的情况进行说明,但也可以在用户IP网络30内设置多个用户终端。
[0023]代理服务器12、DNS(Domain Name System:域名系统)服务器13、邮件服务器14、文件服务器15、Web服务器16以及用户终端11与交换机19连接。交换机19经由IPS 17、防火墙18以及路由器20与互联网连接。IPS 17和防火墙18防止来自互联网侧的非法访问和病毒攻击。进行用户IP网络30的安全管理的日志分析装置10与路由器20连接。
[0024]作为非法访问,例如可考虑到如下这样的访问等:在用户终端11的情况下,没有使用权限的人员攻击用户终端11的安全上的弱点,非法使用用户终端11,或者篡改用户终端11内的数据,或者使用户终端11不能使用。
[0025]此外,与路由器20连接的互联网是外部网络的一例,外部网络不限于互联网。此夕卜,用户IP网络30是作为安全管理对象的网络的一例,只要是能够按照IP传送数据的网络即可,例如是LAN (Local Area Network:局域网)。用户IP网络30所包含的信息通信设备不限于图1中所示的结构。
[0026]接下来,对本实施方式的日志分析装置的结构进行说明。图2是示出本实施方式的日志分析装置的一个结构例的框图。
[0027]日志分析装置10是具有控制部51和存储部52的结构。控制部51具有日志信息收集部100、标准化处理部101、日志信息分析处理部103、事件信息通知部104以及外部信息收集部102。
[0028]在控制部51中设置有按照程序执行处理的CPU(Central Processing Unit:中央处理单元)(未图示)以及存储程序的存储器(未图示)。CPU按照程序执行处理,由此,在日志分析装置10中虚拟地构成图2所示的日志信息收集部100、标准化处理部101、日志信息分析处理部103、事件信息通知部104以及外部信息收集部102。
[0029]日志信息收集部100从路由器20、交换机19、防火墙18、IPS 17、Web服务器16、文件服务器15、邮件服务器14、DNS服务器13以及代理服务器12接收到日志信息时,按照从日志信息中所获取的每个设备识别信息将日志信息保存在存储部52中。日志信息收集部100从用户终端11接收到日志信息时,在存储部52中与从日志信息中所获取的用户IDddentifier:标识符)和设备识别信息对应地保存日志信息。用户ID是按用户终端的每个用户而不同的标识符。
[0030]此外,日志信息收集部100从路由器20和交换机19等接收到业务信息时,按照从业务信息中所获取的每个设备识别信息将业务信息保存在存储部52中。设备识别信息是用于识别作为日志信息或业务信息的发送源的通信设备的信息,是按每个通信设备而不同的信息。
[0031]标准化处理部101对存储部52中收集的日志信息和业务信息进行标准化,在该标准化中将这些信息统一地整理成日志信息分析处理部103容易检索和分析的数据形式。例如,有时路由器20所输出的业务信息的格式与交换机19所输出的业务信息的格式不同。
[0032]具体地说,标准化处理部101按照预先规定的公共类别规则,对日志信息和业务信息进行更新,以使日志信息和业务信息所包含的项目(例如发送源IP地址、目的地IP地址、发送源端口信息、目的地端口信息、协议信息、设备识别信息以及用户ID等)符合所有设备通用的格式。
[0033]此外,标准化处理部101对同一个IP连接的日志信息或业务信息赋予连接标识符且保存在存储部52中,该连接标识符是按每个连接而不同的标识符。作为是否为同一个IP连接的判别方法,例如,如果日志信息或业务信息在固定时间内的时间戳上用户ID、发送源IP地址、目的地IP地址、发送源端口信息、目的地端口信息以及协议信息相同,则即使设备识别信息不同也判定为同一个连接。作为连接识别信息的一例,可以计算出哈希值来使用。在图3中不出日志格式的一例。
[0034]为了在日志信息分析处理部103的通信方向(数据包的发送方向)的判定和攻击的分析中使用,外部信息收集部102从外部获取包含黑名单和用户IP地址的外部信息而保存在存储部52中,该黑名单列举了 URL (Uniform Resource Locator:统一资源定位器)和I