P地址作为表示恶意网站的网络地址。黑名单既可以存储于与互联网连接的服务器(未图示)中,也可以存储于用户IP网络30内的服务器中。用户IP地址可以从用户终端11获取。
[0035]日志信息分析处理部103根据预先规定的分析规则,对标准化后的日志信息和业务信息进行分析,求出多个分数(score),且对多个分数的总和与预先规定的基准值进行比较,根据比较结果,判定是否存在非法访问,其中,分数是是否对用户构成威胁的重要度的指标。在分数的总和比基准值大的情况下,日志信息分析处理部103判定为存在构成威胁的非法访问。在本实施方式中,对根据2种分析规则进行的分数计算方法进行说明。
[0036]在第一个分析规则中,根据固定时间的时序的日志信息和业务信息,综合性地进行判定后赋予分数。
[0037]日志信息分析处理部103从时间戳的信息中提取且参照固定时间的时序的日志信息和业务信息,根据用户IP地址被描述在发送源IP地址和目的地IP地址的项目中的哪个项目,来判别通信方向。此外,也可以在日志信息和业务信息中包含通信方向的信息,在这种情况下,日志信息分析处理部103也可以使用该信息。
[0038]接着,日志信息分析处理部103根据分析规则,分析所提取出的日志信息和业务信息是否为指定事件,该指定事件是具有指定的特征的事件。分析的结果是检测出指定事件时,日志信息分析处理部103与指定事件在指定时间内发生的次数(发生频率)对应地赋予分数,根据指定事件的发生间隔赋予分数,根据多个指定事件发生的顺序和每个指定事件的发生间隔赋予分数,根据指定事件在指定时间内未发生的时间赋予分数,根据按多个指定的项目中的每个项目对指定时间内的总量进行比较的结果赋予分数。然后,日志信息分析处理部103求出这些分数的总和。
[0039]上述的赋予分数的方式是为了进行检测时不会遗漏各种非法访问所产生的现象而规定的方式,赋予分数的方式并不限于上述的5种现象。
[0040]在上述的赋予分数的方式中,指定事件的发生频率越高,贝U分数越高,指定事件的发生间隔越小,则分数越高。此外,多个指定事件的发生顺序和每个指定事件的发生间隔与预先规定的发生顺序和发生间隔越接近,则分数越高。在指定时间内未发生指定事件的时间越短,则分数越高。
[0041]参照图3,对根据按多个指定的项目中的每个项目对指定时间内的总量进行比较的结果而得到分数的一例进行说明。这里,设为图3所示的日志信息从用户终端11输出。假设多个指定的项目为发送字节数和接收字节数,则对发送字节量与接收字节量进行比较,其中,发送字节量是指定时间内的发送字节数的总量,接收字节量是指定时间内的接收字节数的总量。在发送字节量远远大于接收字节量的情况下,可认为正在发生从用户终端11大量地发送个人信息的现象,通过将分数设为较高,能够检测出这样的非法访问。
[0042]在第二个分析规则中,确定同一个连接的多个通信处理,且根据确定的多个通信处理,综合性地进行判定后赋予分数。
[0043]日志信息分析处理部103参照时间戳的信息来提取出固定时间的日志信息和业务信息,且参照对提取出的日志信息和业务信息所赋予的连接识别信息。然后,日志信息分析处理部103将所参照的连接识别信息一致的日志信息和业务信息辨认为因基于同一个连接的事件而产生的信息,且根据分析规则,对所辨认的日志信息和业务信息进行分析,由此,对每个通信设备赋予与是否检测到指定事件相应的分数,且求出多个通信设备的分数的总和。
[0044]具体地说,日志信息分析处理部103参照被辨认为同一个连接的日志信息和业务信息所包含的设备识别信息,按每个设备识别信息对日志信息或业务信息进行分析,如果分析的结果是检测出指定事件,则对与该设备识别信息对应的通信设备赋予分数,如果分析的结果是未检测出指定事件,则不赋予分数。
[0045]在第I个分析规则中,根据固定时间的时序,使作为分析对象的日志信息和业务信息相关联起来,在第2个分析规则中,根据同一个连接识别信息,使作为分析对象的日志信息和业务信息相关联起来。
[0046]此外,除了根据上述2种分析规则来赋予分数之外,日志信息分析处理部103判定日志信息和业务信息是否包含黑名单的URL或IP地址,当日志信息或业务信息包含了黑名单的URL或IP地址的情况下,在分数上加上规定的值。
[0047]事件信息通知部104根据日志信息分析处理部103的判定结果,输出事件信息,该事件信息包含分数的总和的信息作为表示与非法访问相关的重要度的信息。此外,如果日志信息分析处理部103判定为检测到非法访问,则事件信息通知部104为了通知安全管理员存在对非法访问预先设定的威胁度以上的危险性的情况,输出事件信息,在事件信息中附带了被判定为基于同一个连接的事件的、多个通信设备的日志信息和业务信息作为关联信息。
[0048]在安全管理员对日志分析装置10进行操作的情况下,事件信息通知部104为了向安全管理员发出警告,在与日志分析装置10连接的显示装置(未图示)上显示事件信息。
[0049]安全管理员通过参照向显示装置输出的事件信息,能够根据事件信息所包含的分数总和来判定是否存在非法访问的可能性的重要性。此外,在关联信息附加于事件信息中的情况下,安全管理员可辨认出检测到构成威胁的非法访问,并且可以对关联信息进行详细分析。
[0050]即使安全管理员不直接操作日志分析装置10,只要安全管理员可操作的信息终端(未图示)例如与互联网连接且该信息终端能够与日志分析装置10通信即可。在这种情况下,事件信息通知部104经由路由器20和互联网将事件信息发送给其信息终端即可。
[0051]此外,在本实施方式中,对通过CPU执行程序来虚拟地构成日志信息收集部100、标准化处理部101、日志信息分析处理部103、事件信息通知部104以及外部信息收集部102的情况进行了说明,但是,也可以利用与各功能对应的专用电路来构成这些结构的一部分或全部。
[0052]接下来,参照图1、图2以及图4,对本实施方式的日志分析装置的动作进行说明。图4是示出本实施方式的日志分析装置的工作步骤的流程图。
[0053]这里,设为显示装置(未图示)与日志分析装置10连接且安全管理员处于能够对日志分析装置10进行操作的状态。
[0054]在图1所示的框图中,防火墙18和IPS 17对通过的IP数据包进行监视,经由路由器20向日志分析装置10发送从IP数据包中所获取的日志信息。路由器20和交换机19向日志分析装置10发送要转发的IP数据包的信息作为NetfloisFlow(注册商标)或IP数据包的业务信息。代理服务器12、DNS服务器13、邮件服务器14、文件服务器15、Web服务器16以及用户终端11向日志分析装置10发送与访问相关的日志信息。日志分析装置10的日志信息收集部100从用户IP网络30内的通信设备收集到日志信息和业务信息时,将这些信息存储在存储部52中(步骤201)。
[0055]假设目前用户终端11经由互联网从攻击者的信息终端受到攻击而被感染病毒,且处于受攻击者操纵的“Bot”状态。假设包含来自攻击者的指示的IP连接从互联网侧依次经由路由器20、防火墙18、IPS 17、交换机19以及代理服务器12而转发到用户终端11。此时,关于该IP连接,从路由器20和交换机19向日志分析装置10发送业务信息,从防火墙18、IPS 17、代理服务器12以及用户终端11向日志分析装置10发送日志信息。
[0056]在本实施方式中,由标准化处理部101对与包含来自攻击者的指示的IP连接相关的业务信息和日志信息附加用户终端11的用户ID以及该IP连接的连接识别信息(步骤202)。接着,日志信息分析处理部103针对在IPS 17中与具有特定攻击的可能性的特征相匹配的IP连接,提取出防火墙18和代理服务器12的日志信息,且根据分析规则,分析是否属于具有指定事件的特征的IP连接。如果判定为属于该IP连接,则日志信息分析处理部103赋予分数,如果判定为不属于该IP连接,则不赋予分数。
[0057]此外,关于与具有特定攻击的可能性的特征相匹配的IP连接,日志信息分析处理部103针对从路由器20和交换机19输出的业务信息,根据分析规则,对User-Agen (用户-代理)等HTTP (Hyper Text Transfer Protocol:超文本传输协议)数据包头异常等异常进行分析,如果判定为异常,则赋予分数。
[0058]然后,日志信息分析处理部103求出下述分数的总和:根据IPS 17的日志信息而得到的分数;根据防火墙18的日志信息而得到的分数;根据代理服务器12的日志信息而得到的分数;以及对从路由器20和交换机19输出的业务信息的分数。IP连接被判定为特定攻击可能性高的通信