设备的数量越多,则分数的总和越高。
[0059]这样,关于与具有攻击的可能性的连接相关的威胁度,对根据从多个通信设备输出的日志信息和业务信息来判定的分数进行组合,由此,能够综合性地判断非法访问的可能性。
[0060]这里,在步骤203中,对其他分析规则的情况进行说明。
[0061]日志信息分析处理部103通过分析24小时或一周期间等固定时间内的时序的日志信息和业务信息,如下这样地赋予分数:与指定事件在指定时间内发生的次数对应地赋予分数;根据指定事件的发生间隔赋予分数;根据多个指定事件发生顺序和每个指定事件的发生间隔赋予分数;根据指定事件在指定时间内未发生的时间赋予分数;根据按多个指定项目中的每个项目对指定时间内的总量进行比较的结果赋予分数。接着,日志信息分析处理部103求出这些分数的总和。
[0062]虽然难以从单独的日志信息中检测出非法访问,但是通过这样从固定时间内的时序的日志信息和业务信息中提取出多个攻击连接的信息,能够检测出非法访问。
[0063]此外,虽然分别对上述2种分析规则的方法进行了说明,但是日志信息分析处理部103也可以分别根据这2种分析规则求出分数,将较大的一方作为步骤203的处理结果。
[0064]步骤203的处理之后,日志信息分析处理部103判定日志信息和业务信息是否包含黑名单的URL或IP地址(步骤204)。当日志信息或业务信息包含了黑名单的URL或IP地址的情况下,日志信息分析处理部103在分数上加上规定的值(步骤205),当日志信息和业务信息没有包含黑名单的URL和IP地址的情况下,进入步骤206。
[0065]日志信息分析处理部103为了根据分数判定重要度,对分数的总和与预先规定的基准值进行比较,来判定分数的总和是否比基准值大(步骤206)。在分数的总和是基准值以下的情况下,日志信息分析处理部103不进行任何工作而结束处理。在步骤206的判定结果为分数的总和值是基准值以下的情况下,事件信息通知部104向显示装置(未图示)输出事件信息(步骤207)。在步骤206的判定结果为分数的总和值比基准值大的情况下,事件信息通知部104将关联信息与事件信息一起输出到显示装置(未图示)(步骤208)。日志分析装置10重复图4所示的步骤。
[0066]例如,在步骤203的处理中对固定时间内的时序的日志信息和业务信息进行分析的情况下,日志信息分析处理部103与一周期间的日志信息和业务信息所包含的发送源IP地址与目的地IP地址之间的发送接收量之差对应地赋予分数,提取出信息泄露的攻击连接候补。这是因为,如果发送源IP地址是用户IP地址时发送量远远大于接收量,则可认为从用户终端11向外部发生信息泄露。在这种情况下,分数的值变高。针对提取出的攻击连接候补,通过对相同的固定时间的多个通信设备的日志信息和业务信息进行同样的分析,能够输出表示威胁度的判定结果。
[0067]根据本实施方式,从网络内的多个通信设备输出的日志信息和业务信息中提取出关联的日志信息和业务信息,按照预先规定的分析规则,对多个日志信息和业务信息进行分析,由此,能够在不依赖于安全管理员的判断的情况下综合性地自动判定由非法访问的攻击造成的通信连接所引起的问题的重要度。
[0068]此外,也可以在计算机中安装描述有用于执行本发明的信息处理方法的步骤的程序,在计算机中执行本发明的信息处理方法。
[0069]标号说明:
[0070]10:日志分析装置;11:用户终端;12:代理服务器;13:DNS服务器;14:邮件服务器;15:文件服务器;16:ffeb服务器;17:IPS ;18:防火墙;19:交换机;20:路由器;100:日志信息收集部;101:标准化处理部;102:外部信息收集部;103:日志信息分析处理部;104:事件信息通知部。
【主权项】
1.一种日志分析装置,其进行网络的安全管理,其中, 该日志分析装置具有: 日志信息收集部,其收集从所述网络所包含的多个通信设备输出的日志信息和业务信息; 标准化处理部,其对所述日志信息收集部收集到的日志信息和业务信息进行标准化; 日志信息分析处理部,其从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问;以及 事件信息通知部,其输出事件信息,该事件信息包含根据所述日志信息分析处理部所判定的结果而得到的、表示重要度的信息。2.根据权利要求1所述的日志分析装置,其中, 所述标准化处理部按照预先规定的公共类别规则,对所收集的所述日志信息和业务信息进行标准化,将标准化后的日志信息和业务信息所包含的多个项目中的规定的项目相同的日志信息和业务信息确定为同一个连接,对该日志信息和业务信息赋予连接识别信息,该连接识别信息是按每个连接而不同的标识符。3.根据权利要求2所述的日志分析装置,其中, 所述日志信息分析处理部从所述标准化后的日志信息和业务信息中提取出在固定时间内收集到的日志信息和业务信息,参照对提取出的日志信息和业务信息所赋予的所述连接识别信息,将该连接识别信息一致的日志信息和业务信息辨认为因基于同一个连接的事件而产生的信息,且根据所述规则,对所辨认的日志信息和业务信息进行分析,由此,对每个所述通信设备赋予与是否检测到指定事件相应的分数,且求出所赋予的分数的总和,其中,该指定事件是具有指定的特征的事件。4.根据权利要求1所述的日志分析装置,其中, 所述日志信息分析处理部从所述标准化后的日志信息和业务信息中提取出固定时间的时序的日志信息和业务信息,且根据所述规则,对提取出的日志信息和业务信息进行分析,如果检测出作为具有指定的特征的事件的指定事件,则求出至少下述分数的总和:与该指定事件在指定时间内发生的次数对应的分数;根据该指定事件的发生间隔而得到的分数;根据多个该指定事件的发生顺序和每个指定事件的发生间隔而得到的分数;根据该指定事件在指定时间内未发生的时间而得到的分数;以及根据按多个指定的项目中的每个项目对指定时间内的总量进行比较的结果而得到的分数。5.根据权利要求3或4所述的日志分析装置,其中, 该日志分析装置还具有外部信息收集部,该外部信息收集部从外部获取黑名单,该黑名单列举了表示恶意网站的网络地址, 如果所述黑名单包含了所述日志信息或业务信息所包含的网络地址,则所述日志信息分析处理部在所述分数的总和上加上规定的值而更新所述分数的总和。6.根据权利要求4所述的日志分析装置,其中, 所述日志信息分析处理部对所述分数的总和与预先规定的基准值进行比较,如果该分数的总和比该基准值大,则判定为存在非法访问, 所述事件信息通知部输出所述事件信息,所述事件信息包含所述分数的总和的信息作为所述表示重要度的信息,在所述日志信息分析处理部判定为存在非法访问的情况下,所述事件信息通知部将基于同一个事件的日志信息和业务信息作为关联信息与所述事件信息一起输出。7.一种信息处理方法,其是进行网络的安全管理的日志分析装置的信息处理方法,其中, 在该信息处理方法中, 收集从所述网络所包含的多个通信设备输出的日志信息和业务信息, 对所收集的日志信息和业务信息进行标准化, 从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问, 输出事件信息,该事件信息包含根据所述判定的结果而得到的、表示重要度的信息。8.一种程序,其使进行网络的安全管理的计算机执行下述步骤: 收集从所述网络所包含的多个通信设备输出的日志信息和业务信息的步骤; 对所收集的日志信息和业务信息进行标准化的步骤; 从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问的步骤;以及 输出事件信息的步骤,该事件信息包含根据所述判定的结果而得到的、表示重要度的信息。
【专利摘要】具有:日志信息收集部,其收集从网络所包含的多个通信设备输出的日志信息和业务信息;标准化处理部,其对日志信息收集部收集到的日志信息和业务信息进行标准化;日志信息分析处理部,其从标准化后的日志信息和业务信息中提取出关联的日志信息和业务信息,且按照预先规定的规则进行分析,判定是否存在非法访问;以及事件信息通知部,其输出事件信息,该事件信息包含根据日志信息分析处理部所判定的结果而得到的、表示重要度的信息。
【IPC分类】H04L12/70
【公开号】CN104937886
【申请号】CN201480005638
【发明人】仓上弘
【申请人】日本电信电话株式会社
【公开日】2015年9月23日
【申请日】2014年1月30日
【公告号】EP2953298A1, US20150341389, WO2014119669A1