CN103117884A - 安全事件监视设备、方法和程序 - Google Patents
安全事件监视设备、方法和程序 Download PDFInfo
- Publication number
- CN103117884A CN103117884A CN2012103347043A CN201210334704A CN103117884A CN 103117884 A CN103117884 A CN 103117884A CN 2012103347043 A CN2012103347043 A CN 2012103347043A CN 201210334704 A CN201210334704 A CN 201210334704A CN 103117884 A CN103117884 A CN 103117884A
- Authority
- CN
- China
- Prior art keywords
- user
- scene candidate
- degree
- candidate
- scene
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 40
- 238000012806 monitoring device Methods 0.000 title abstract 2
- 238000011156 evaluation Methods 0.000 claims abstract description 76
- 238000003860 storage Methods 0.000 claims abstract description 30
- 238000010219 correlation analysis Methods 0.000 claims abstract description 15
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 230000006870 function Effects 0.000 claims description 85
- 238000004458 analytical method Methods 0.000 claims description 50
- 230000008569 process Effects 0.000 claims description 27
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000009471 action Effects 0.000 description 38
- 238000012545 processing Methods 0.000 description 19
- 230000000295 complement effect Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 14
- 238000001514 detection method Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003795 desorption Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
安全事件监视设备包括:存储模块,提前存储相关性规则;日志收集单元,从每个监视目标设备接收每个日志;相关性分析单元,通过关联每个日志来产生场景候选;场景候选评估单元,计算每个场景候选的重要度;以及结果显示单元,显示/输出具有重新计算后的高重要度的场景候选。所述场景候选评估单元包括:用户关联度评估功能,计算用户关联度;操作关联度评估功能,计算操作关联度;以及场景候选重要性重新评估功能,根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度。
Description
相关申请的交叉引用
本申请基于并要求在2011年9月13日提交的日本专利申请No.2011-199776的优先权,其公开内容以全文引用的方式并入本文中。
技术领域
本发明涉及安全事件监视设备、方法及其程序。更具体地,本发明涉及用于使得对进行了引起问题的操作的用户进行高度准确的指定成为可能的安全事件监视设备等。
背景技术
目前,计算机网络已经成为了负责商务的那些人的基本任务的基础,在局域网上处理与这种任务相关的大量个人信息和机密信息。自然地,要求在处理该信息时非常谨慎,以不向组织外部泄漏该信息。
本文中将在计算机网络上进行的与网络安全相关的动作称为安全事件。例如,在没有许可的情况下将包含机密信息、个人信息等在内的特定文件(下文中称为重要文件)取出到组织外部对应于安全事件。
安全监视设备是执行以下操作的设备:监视网络;当存在进行中的特定安全事件时,迅速地检测到该事件;以及指定进行该动作的人员。构成网络的每个设备包括将针对该设备执行的操作等记录到操作日志(下文中简称为日志)中并将该日志发送到安全事件监视设备的功能。安全事件监视设备对从多个监视目标设备接收的日志执行相关性分析,以检测该安全事件。
作为与此相关的技术,存在以下技术。其中,日本未审专利公开2007-183911(专利文献1)公开了一种与非法操作监视系统相关的技术,该非法操作监视系统计算目标操作的可疑值,并在重复进行具有高可疑值的操作时设置更高的可疑值。日本未审专利公开2009-080650(专利文献2)公开了一种操作支持设备,其通过根据用户进行的一系列操作来检测用户的操作意图,从而呈现恰当的操作指南。
日本未审专利公开2009-217657(专利文献3)公开了一种相关性分析设备,用于在不同系统的日志数据中存在公共本质表达式(common intrinsic expression)时,将它们彼此关联。日本未审专利公开2009-259064(专利文献4)公开了一种评估设备,用于将具体操作存储为场景,并计算在提前执行该操作时的操作成本。日本未审专利公开2011-008558(专利文献5)公开了一种web应用系统,与专利文献4的情况一样,用于测量当执行在预存储的场景中注册的每个操作时的所需时间。
U.H.G.R.D Nawarathna and S.R.Kodithuwakku:“A Fuzzy RoleBased Access Control Model for Database Security”,Proceedings of theInternational Conference on Information and Automation,December15-18,2005(非专利文献1)公开了一种访问控制方法,用于对仅可以用模糊理论的语言学变量来模糊表达的环境进行表达,如“用户读取和写入列的必要性”和“用户的恶意程度”,并使用它们作为参数。
关于在监视目标设备上进行的并在日志上记录的操作,不一定指定已进行了该操作的所有用户。更特别地,在例如多个用户正在同时登陆并使用公共ID来工作的状态下,或在用户经由中继设备(如代理服务器(具有由中继设备替换的用户ID))访问服务器的状态下,难以通过使用ID来指定实际进行该操作的个人。
从而,当在日志中包含了不能指定其操作者的操作时,安全事件监视设备极难检测到安全事件。因此,即使当存在反复进行引起针对网络安全的严重问题的动作的个人时,也不能检测到这种动作。
在上述专利文献1至5和非专利文献1中并未描述解决这种问题的技术。在专利文献1所述的技术中,假定针对所有操作指定了进行操作的用户。因此,完全未考虑到关于不能指定操作者的情况。
首先,专利文献2至5所述的技术未被设计为检测进行了非法操作的用户。此外,不存在与可以转用到这种目的的内容相关的描述。在非专利文献1中描述的技术判断检测到的操作是否违反给定策略。然而,其中并未执行反映在与相同用户是否已进行一系列操作相关的判断上的计算。因此,即使将专利文献1至5和非专利文献1中描述的所有技术加以结合,也不可能获得能够克服上述问题的技术。
发明内容
本发明的示例目的是提供能够正确检测安全事件并在收集到的日志包括不能指定操作者的操作时进一步估计执行了这种操作的人员的安全事件监视设备、方法及其程序。
为了实现前述示例目的,根据本发明的示例方面的安全事件监视设备是一种安全事件监视设备,根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,以及所述安全事件监视设备的特征在于包括:存储模块,提前存储在对每个日志执行相关性分析时应用的相关性规则;日志收集单元,从每个监视目标设备接收每个日志;相关性分析单元,通过对每个日志应用所述相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联,并且所述相关性分析单元将所述场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中;场景候选评估单元,重新计算每个场景候选的重要度;以及结果显示单元,显示/输出具有重新计算后的高重要度的场景候选,其中,所述场景候选评估单元包括:用户关联度评估功能,列举可能已进行了每个场景候选中包含的每个操作的可能用户,以及针对每个操作,计算作为每个用户的相关性的用户关联度;操作关联度评估功能,计算作为在每个场景候选的每个操作之间的相关性的操作关联度;以及场景候选重要度重新评估功能,根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度。
为了实现前述示例目的,根据本发明的另一示例方面的安全事件监视方法是一种用于安全事件监视设备的安全事件监视方法,所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作。所述方法的特征在于:日志收集单元从每个监视目标设备接收每个日志;相关性分析单元通过对每个日志应用提前给出的相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联;所述相关性分析单元将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中;场景候选评估单元的用户关联度评估功能列举可能已进行了每个场景候选中包含的每个操作的可能用户;所述用户关联度评估功能针对每个操作,计算作为每个用户的相关性的用户关联度;所述场景候选评估单元的操作关联度评估功能计算作为在每个场景候选的每个操作之间的相关性的操作关联度;所述场景候选评估单元的场景候选重要度重新计算功能根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度;以及结果显示单元显示/输出具有高重要度的场景候选。
为了实现前述示例目的,根据本发明的又一示例方面的安全事件监视程序是一种在安全事件监视设备中使用的安全事件监视程序,所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作。所述程序的特征在于使得设置于所述安全事件监视设备的计算机执行:用于从每个监视目标设备接收每个日志的过程;用于通过对每个日志应用提前给出的相关性规则,产生场景候选的过程,在所述场景候选中,每个日志彼此关联;用于将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储的过程;用于列举可能已进行了每个场景候选中包含的每个操作的可能用户的过程;用于针对每个操作,计算作为每个用户的相关性的用户关联度的过程;用于计算作为在每个场景候选的每个操作之间的相关性的操作关联度的过程;用于根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度的过程;以及用于显示/输出具有高重要度的场景候选的过程。
如上所述,本发明被构造为:计算作为在可能已进行了每个操作的每个用户之间的相关性的用户关联度和作为在每个操作之间的相关性的操作关联度,以及基于其上来计算与通过相关性分析产生的场景候选相关的每个场景候选对于每个用户的重要度。因此,即使当未指定操作者时,也有可能估计谁是可能的用户。
附图说明
图1是示出了图2所示的安全事件监视设备的更详细结构的说明图;
图2是示出了包含根据本发明的第一示例实施例的安全事件监视设备在内的计算机网络的结构的说明图;
图3是示出了图1所示的相关性分析单元、场景候选评估单元和结果显示单元的动作的流程图;
图4是示出了图1所示的相关性规则存储单元的存储内容的示例的说明图;
图5是示出了图1所示的日志收集单元和相关性分析单元的动作的内容(图3的步骤S201至202)的说明图;
图6是示出了图1所示的用户关联度评估功能的动作的内容(图3的步骤S203)的说明图;
图7是示出了图1所示的场景候选评估单元的用户关联度评估功能和操作关联度评估功能的动作的内容(图3的步骤S203至204)的说明图;
图8是示出了由图7所示的操作关联度评估功能进行的与操作关联度的评估相关的动作示例的更多细节的说明图;
图9是示出了由图1所示的场景候选重要度重新评估功能进行的场景重要性分数重新计算动作的内容(图3的步骤S205)的更多细节的说明图;以及
图10是示出了由图1所示的结果显示单元在显示模块的屏幕上显示的具有高重要度的场景候选的列表的示例的说明图(图3的步骤S206)。
具体实施方式
(示例实施例)
下文中,将通过参考附图来描述本发明的示例实施例的结构。
将首先描述示例实施例的基本内容,且稍后将描述其更具体的内容。
根据示例实施例的安全事件监视设备10是一种安全事件监视设备,其根据作为在相同局域网25上相互连接的多个监视目标设备21至23上进行的操作的记录的日志,来检测具体操作。该安全事件监视设备10包括:存储模块12(相关性规则存储单元111),提前存储在对每个日志执行相关性分析时应用的相关性规则;日志收集单元101,从每个监视目标设备接收每个日志;相关性分析单元103,对每个日志应用相关性规则,以通过将每个日志彼此关联,产生场景候选,并将其与由相关性规则给出的场景候选的重要度一起存储到存储模块(场景候选存储单元113)中;场景候选评估单元104,重新计算每个场景候选的重要度;以及结果显示单元105,显示/输出具有高重要度的场景候选。此外,场景候选评估单元104包括:用户关联度评估功能104a,列举可能已进行了每个场景候选中包含的每个操作的可能用户,以及针对每个操作,计算作为每个用户的相关性的用户关联度;操作关联度评估功能104b,计算作为在每个场景候选的每个操作之间的相关性的操作关联度;以及场景候选重要度重新评估功能104c,根据用户关联度和操作关联度,针对每个用户重新计算每个场景候选的重要度。
此处注意到:用户关联评估功能104a列举在进行每个场景候选中包含的操作的时间期间能够进行针对监视目标设备的操作的用户,并通过向外部连接的目录服务设备(目录服务器24)查询,来列举被授权进行在每个场景候选中包含的操作的用户。
此外,操作关联度评估功能104b基于提前给出的评估标准,根据作为每个操作的目标的文件的相似性,计算操作关联度。作为本文提及的文件相似性的评估标准,使用从以下各项中选择的至少一项:作为相应操作的目标的文件的名称、大小、用户名称(pass name)、散列值和电子签名。
此外,场景候选重要度重新评估功能104c通过对与场景候选相对应的每个用户的用户相关度和每个场景候选中包含的每个操作的重要度的乘积的总值和在每个场景候选中包含的每个操作之间的操作关联度、对应操作的重要度以及每个场景候选的重要度的乘积的总值进行乘积运算(integrate),来重新计算每个用户的每个场景候选的重要度。此外,结果显示单元105显示针对场景候选具有高用户关联度的用户以及具有高重要度的场景候选。
在使用上述结构的情况下,该示例实施例的安全事件监视设备10变为:即使在收集到的日志包含不能指定操作者的操作时,也能够正确检测安全事件并估计已进行了操作的用户。
下文中将更详细地描述这点。
图2是示出了包括根据本发明的第一示例实施例的安全事件监视设备10在内的计算机网络1的结构的说明图。计算机网络1是诸如LAN(局域网)或WAN(广域网)之类的计算机网络,其可以连接到互联网30,诸如安全设备21(防火墙等等)、网络设备22(路由器、交换集线器等等)、以及计算机设备23(服务器、个人计算机等等)之类的多个设备经由局域网25相互连接到互联网30。
安全事件监视设备10连接到局域网25,并通过使安全设备21、网络设备22和计算机设备23作为监视目标(下文中,使用“监视目标设备”作为安全设备21、网络设备22和计算机设备23的通用术语)来操作。此外,安全事件监视设备10与作为连接到局域网25的另一个设备的目录服务器24合作操作。稍后将描述其细节。
图1是示出了图2所示的安全事件监视设备10的更详细结构的说明图。安全事件监视设备10包括与计算机设备一样的基本结构。即,安全监视设备10包括:用于作为执行计算机程序的主体的中央处理单元(CPU)11;用于存储数据的存储模块12;用于经由局域网25与其他设备交换数据的通信模块13;以及用于向用户呈现处理结果的显示模块14。
CPU 11通过执行计算机程序,作为日志收集单元101、文件属性收集单元102、相关性分析单元103、场景候选评估单元104、以及结果显示单元105来工作,稍后将描述这些单元。场景候选评估单元104包括:用户关联度评估功能104a、操作关联度评估功能104b、以及场景候选重要度重新评估功能104c。可以将这些单元中的每一个单元构造为分别由单独的计算机设备来执行。
同时,向存储模块12提供诸如相关性规则存储单元111、日志存储单元112、场景候选存储单元113、以及场景候选重要度存储单元114之类的存储区域,且提前向它们存储相应数据。稍后还将描述其细节。
(动作概览)
下文中,将描述通过参考图1和2来描述的安全事件监视设备10的每个单元的动作概览。安全设备21、网络设备22和计算机设备23中的每一个都记录在系统上产生的各种事件作为日志,并将它们发送至安全事件监视设备10。在安全事件监视设备10上,日志收集单元101接收并收集这些日志,对其执行诸如归一化和过滤之类的处理,将它们作为事件数据提供给相关性分析单元103,且还将它们存储到日志存储单元112。
针对从日志收集单元101接收的事件数据,相关性分析单元103基于在相关性规则存储单元111上提前定义的规则,寻找与条件相匹配的模式。要注意:将用于检测一系列复杂操作的规则的类型特定地称为场景,且将通过对事件数据和场景进行匹配所获取的那些称为场景候选。
相关性分析单元103通过考虑各个构成事件的重要度、事件的产生数目或频率、检测到的威胁的重要度、相关信息财产的重要度、攻击目标的脆弱度等等,将各个场景候选的重要度评估为分数,并将它们组合存储到场景候选存储单元113。当对应于以下多个条件中的任意条件时,场景候选评估单元104使用用户关联度评估功能104a,来参考在场景候选存储单元113上记录的场景候选,以列举可能已经进行了构成场景候选的每个操作的可能用户。
(a)可以通过执行相关性分析,通过比较诸如登录日志、通信日志等之类的多个日志,来唯一指定用户的情况
(b)可以通过执行相关性分析,将用户指定到多个候选的情况
(c)即使通过执行相关性分析也不能指定已进行了操作的用户(候选)时,也存在稍后可以用于估计在对应时间期间进行操作的日志的情况
(d)不存在上述情况的记录,但是可以列举出被授权执行对应操作的用户的情况
其中,通过将针对终端的本地登录、VPN连接的认证、进行工作以及进入/离开房间、针对执行与对应操作相关的工作的在先请求等等的记录与日志收集单元101收集的各种类型的日志中的操作时间进行比较,列举出与条件(c)相关的用户。此外,关于条件(d),通过向目录服务器24查询,列举被授权进行操作的用户。
此外,用户关联度评估功能104a通过列举出的用户来扩展场景候选。然后,将“100%÷候选数目”计算为“用户减少概率(用户关联度)”,且将其附加记录在场景候选存储单元113。
针对构成了在场景候选存储单元113上记录的每个场景候选的一系列操作,操作关联度评估功能104b比较/评估作为操作目标的文件的相似性,并将相似性深度附加记录到场景候选存储单元113,作为非法使用概率(=操作关联度)。
此处注意到:由操作关联度评估功能104b通过对文件的用户名称、提供给文件的签名、文件的散列值、文件大小、文件名称等进行比较等等,来执行对作为操作目标的文件的相似性的评估。在日志收集单元101收集日志的阶段或在相关性分析单元103比较相关联日志的阶段,由文件数据收集单元102来收集文件的属性。
场景候选重要度重新评估功能104c根据用户关联度和操作关联度来重新评估每个场景候选的重要度分数,且将通过重新评估计算出的重要度分数存储在场景候选重要度存储单元114中。具体地,稍后提及的表达式1对场景候选的重要度进行校正,在表达式1中,考虑到规则条件部分的数目、关于条件部分的匹配度、用户关联度的程度、操作关联度的程度、由操作重要度分数加权的用户关联度的程度、以及由操作重要度分数加权的操作关联度的程度。
在场景候选存储单元113存储的场景候选中,结果显示单元105在显示模块14的屏幕上显示具有在场景候选重要度存储单元114中存储的场景候选重要度高于特定阈值的场景候选。此时,通过从具有较高重要度到具有较低重要度的顺序来重新排列场景候选,显示场景候选的列表,使得具有高重要度的场景候选在屏幕上特别地以高亮显示(通过例如改变颜色)。
图3是示出了图1所示的相关性分析单元103、场景候选评估单元104、以及结果显示单元105的动作的流程图。首先,相关性分析单元103对日志收集单元101接收到的并在日志存储单元112中存储的日志与在相关性规则存储单元111中存储的用户指定规则111a和复杂操作检测规则111b进行比较,以关联每个日志,并将它们存储到场景候选存储单元113,作为“场景候选”(步骤S201)。
然后,相关性分析单元103计算每个操作和作为场景候选存储的场景候选的暂定重要度,且还将它们存储到场景候选存储单元113(步骤S202)。稍后将描述用于计算重要度的具体动作。
然后,场景候选评估单元104的用户关联度评估功能104a通过参考由相关性分析单元103在场景候选存储单元113中存储的场景候选,列举出可能已进行了每个操作的可能用户,计算每个操作的用户关联度,针对每个可能用户扩展场景候选,并将其结果附加存储到场景候选存储单元113(步骤S203,稍后要描述的图6)。
此时,场景候选评估单元104的操作关联度评估功能104b基于提前给出的评估标准,计算操作关联度,该操作关联度示出了在每个操作之间的关联深度,并还将其结果附加存储到场景候选存储单元113(步骤204)。
然后,场景候选评估单元104的场景候选重要度重新评估功能104c通过利用之前计算的用户关联度和操作关联度,通过以下表达式来重新评估每个场景候选的重要度分数,并将计算出的重要度分数存储到场景候选重要度存储单元114(步骤205)。
最后,结果显示单元105根据在场景候选重要度存储单元114中存储的场景候选重要度,在显示模块14的屏幕上显示在场景候选存储单元113中存储的场景候选(步骤S206)。稍后还将描述步骤S203至205的动作的更具体的内容。
(动作的更具体的示例)
下文中,呈现出通过参考图1至3来描述的安全事件监视设备10的动作的更具体的示例。图4是示出了图1所示的相关性规则存储单元111的存储内容的示例的说明图。在相关性规则存储单元111中存储用户指定规则111a和复杂操作检测规则111b。
在本说明书中,示出了极端简化的日志和规则,单纯作为示出了本发明的概念的示例。在实际安全事件监视中,通过在比较从大量监视目标设备接收的大量日志的同时对其应用复杂化的规则,来检测已进行了具体操作的用户。
其中,在图4的示例中示出了三条规则,规则P1至P3,作为用户指定规则111a。在规则P1的第一行中写的是:规则名称是“P1”,且在第二至第三行中写的是:如果检测到指示“特定用户u参考特定文件(重要文件)x”的日志,则将其定义为“p1(u,x)”。
类似地,在规则P2中写的是:如果检测到指示“特定用户u向USB存储器存储特定文件(重要文件)x”的日志,则将其定义为“p2(u,x)”。在规则P3中写的是:如果检测到指示“特定用户u将特定文件(重要文件)x复制到文件y”的日志,则将其定义为“p3(u,x,y)”。
在图4的示例中示出了两条规则C1和C2,作为复杂操作检测规则111b。本文中也将这些规则C1和C2称为场景。
在规则C1的第一行中写的是规则名称“C1”。第二至第三行示出了以下情况:“用户u1参考特定文件x(用户指定规则111a的P1)且用户u2向USB存储器存储特定文件y(用户指定规则111a的P2)”,第四至第五行示出了以下情况:“用户u1和用户u2相同,且文件x和y相似”。其还写有:将与在第二至第五行中写有的所有情况相对应的情况定义为c1(u1,x)。
类似地,在规则C2的第一行中写的是规则名称“C2”。第二至第四行示出了以下情况:“用户u1参考特定文件x(用户指定规则111a的P1),用户u2向USB存储器存储特定文件y(用户指定规则111a的P2),以及用户u3将特定文件a复制到文件b(用户指定规则111a的P3)”,第五至第八行示出了以下情况:“所有用户u1、用户u2和用户u3相同,且所有文件x、y、a和b相似”。其还写有:将与在第二至第八行中写有的所有情况相对应的情况定义为c2(u1,x)。
关于复杂操作检测规则111b,提前给出对每个复杂操作进行表征的场景名称,例如向规则C1给出文件名称“取出重要文件”,以及向规则C2给出文件名称“复制并取出重要文件”。
对于检测是否“相似”,当通过比较作为相应操作的目标的文件的信息(如,用户名称、文件大小、文件名称、电子签名和散列值),在其间发现匹配时,判断为“相似”,且如果未发现匹配,则判断为“不相似”。
图5是示出了图1所示的日志收集单元101和相关性分析单元103的动作的内容的说明图(图3的步骤S201至S202)。图5示出了将图4所示的用户指定规则111a和复杂操作检测规则111b提前存储到相关性规则存储单元111中的情况的动作的示例。
日志收集单元101从每个监视目标设备接收日志L1至L4,并将其提供给相关性分析单元103,并将其存储在日志存储单元112中。在当前环境下,需要通过对从多个监视目标设备接收的大量日志进行比较来执行相关性分析,以检测单一事件。然而,应当注意到也示出了作为示例的已经经过了直到相关性分析为止的过程的简化日志,以单纯示出本发明的概念。
日志L1指示了“未指定用户已下载了文件X”。此处注意到:“?”指示了“即使在执行了相关性分析等之后,也不能指定已进行了该操作的用户”。类似地,日志L2指示了“未指定用户已向USB存储器存储了文件Y”。日志L3指示了“指定用户B已向USB存储器存储了文件Z”,且日志L4指示了“指定用户B将文件X复制到文件Z”。相关性分析单元103将在相关性规则存储单元111中存储的用户指定规则111a和复杂操作检测规则111b与日志L1至L4相比较,以将每个日志彼此关联,并将其存储到场景候选存储单元113中作为“场景候选”(图3的步骤S201)。
在图4和5所示的示例中,相关性分析单元103基于规则P1来检测日志L1,并将其定义为操作o1。此外,相关性分析单元103基于规则P2来检测日志L2,并将其定义为操作o2。此外,相关性分析单元103基于规则c1,将操作o1和操作o2的组合检测为一系列操作,并将其存储到场景候选存储单元113中作为场景候选T1。此处注意:由于在该情况下根据日志未指定已进行了操作o1的用户,未确定规则P1的变量u,将尚未被指定的用户定义为“?”,然后继续之后的动作。
类似地,相关性分析单元103基于规则P2来检测日志L3,并将其定义为操作o3。此外,相关性分析单元103基于规则P3来检测日志L4,并将其定义为操作o4。此外,相关性分析单元103基于规则C1,将操作o1和操作o3的组合检测为一系列操作,并将其存储到场景候选存储单元113中作为场景候选T2。此外,相关性分析单元103基于规则C2,将操作o1、o3和o4的组合检测为一系列操作,并将其存储到场景候选存储单元113中作为场景候选T3。
相关性分析单元103还评估操作o1的重要度分数mi和场景候选Tj的重要度分数MTj,并将其存储到场景候选存储单元113(图3的步骤S202)。由用户在相关性规则存储单元111上提前定义每个相关性规则和基于与相关性规则相匹配的事件相关联的威胁的重要度、信息财产的重要度、和攻击目标的脆弱度计算出的规则,且基于其上计算操作oi的重要度分数mi。通过执行对相关性分析单元103的处理来计算场景候选Ti的重要度分数MTj,且通过执行稍后描述的处理来重新评估该重要度分数MTj。
在图5所示的示例中,由用户在相关性规则存储单元111上将操作o1至o4的相应重要度分数m1至m4提前定义为0.6、0.6、0.6和0.3。为了说明,本文中将场景候选T1至T3的重要度分数MT1至MT3定义为1.0、1.0和1.0。前文所述的由相关性分析单元103执行的处理是也在上述专利文献1中描述的已知技术,且其是作为本发明的基础的技术。
图6是示出了图1所示的用户关联度评估功能104a的动作(图3的步骤S203)的流程图。用户关联度评估功能104a藉由多种方法通过参考由相关性分析单元103在场景候选存储单元113存储的场景候选来列举出可能已进行了每个操作的可能用户。
在开始动作时,用户关联度评估功能104a将变量i的初始值定义为“1”(步骤S301),且首先判断是否可以由相关性分析单元103将已进行了操作的用户指定为与操作oi相关的一个用户(步骤S302)。如果可以将用户指定为一个用户(步骤S302中的是),则将操作oi的用户关联度定义为100%(步骤S308)。然后,动作前进至步骤S309的处理。
当相关性分析单元103不能指定已进行了操作oi的单一用户(步骤S303中的否),用户关联度评估功能104a判断是否可以通过相关性分析将可能用户减少到多个用户(步骤S303)。如果是(步骤S303中的是),假如可能用户的数目是“n”,则将操作oi的用户关联度定义为(100/n)%(步骤S307)。然后,动作前进至步骤S309的处理。
当相关性分析单元103完全不能指定已进行了操作oi的用户(步骤S303中的否),用户关联度评估功能104a参考由日志收集单元101收集的终端登录记录中的日志,以判断是否可以指定在进行操作oi时登录到能够进行该操作的终端上的用户(步骤S304)。如果判断为指定(步骤S304中的是),假如可能用户的数目是“n”,则将操作oi的用户关联度定义为(100/n)%(步骤S307)。然后,动作前进至步骤S309的处理。
当即使通过参考终端登录记录的日志也不能指定已进行了操作oi的用户时(步骤S304中的否),用户关联度评估功能104a向目录服务器24查询谁是被授权进行该操作oi的用户(步骤S305)。
当可以通过查询来指定授权用户时(步骤S305中的是),假如可能用户的数目是“n”,则将操作oi的用户关联度定义为(100/n)%(步骤S307)。然后,动作前进至步骤S309的处理。当不能指定授权用户时(步骤S305中的否),判断不存在关联用户(步骤S306)。然后,动作前进至步骤S309的处理。
此处注意到步骤S303至305所示的处理可以通过附加考虑提供给每个用户的执行授权、从终端登录记录等获取的证据信息(关于用户在此时并未登录的信息)以及通过向目录服务器24进行查询所获取的类似信息,进行综合判断,来提取出可能已进行了操作的可能用户。
然后,用户关联度评估功能104a判断“i”是否已达到在场景候选存储单元113中存储的操作oi的总数“N”(步骤S309)。当判断为达到时,用户关联度评估功能104a结束处理,且动作前进至操作关联度评估功能104b的处理。当判断为未达到时,将i的值递增1(步骤S310),且从步骤S302开始重复该处理。
图7是示出了图1所示的场景候选评估单元104的用户关联度评估功能104a和操作关联度评估功能104b的动作(图3的步骤S203至204)的内容的说明图。图7示出了针对图4所示的在场景候选存储单元113中存储的场景候选T1至T3来执行图6的流程图所述的动作的结果。在该示例中,相关性分析单元103不能指定已进行了操作oi的单一或多个用户(图6中步骤S302和303中都是否)。然而,发现了在执行操作o1时登录到能够进行操作o1的终端上的三个用户A至C(图6的步骤S304中的是)。因此,有可能获取以下结果:用户A至C的用户关联度r11、r21和r31均为通过将100%除以可能用户的数目“3”来获取的“100%÷3=33%”,作为用户A至C进行操作o1的概率(图6的步骤S307)。
通过对场景候选T1至T3应用上述动作,用户关联度评估功能104a扩展由上述动作列举的多个用户A至C中的每一个(图3的步骤S203)。例如,将操作o1扩展为三种类型,如p1(A,X)、p1(B,X)和p1(C,X),因为将三个用户A至C列举为候选,且将用户关联度r11、r21和r31均计算为33%。
类似地,将操作o2扩展为两种类型,如p2(A,Y)和p2(B,Y),因为将两个用户A和B列举为候选,且将用户关联度r12和r22均计算为50%。关于操作o3和o4,如上所述将其操作者指定为用户B。从而,据此获取的分别是P2(B,Z)和P3(B,X,Z),且用户关联度r23和r24均为100%。
如上所述,场景候选T1由操作o1和o2的组合构成。可以进行操作o1和o2的那些用户是用户A和B(用户C可以进行操作o1,但是不可以进行操作o2)。从而,将其扩展为两种类型,如c1(A,X)和c1(B,X)。
类似地,场景候选T2由操作o1和o3的组合构成。此外,场景候选T3由操作o1、o3和o4的组合构成。关于操作o3和o4,可以如上所述将其操作者指定为用户B。从而,将场景候选T2和T3都仅扩展为用户B,且分别扩展为一种类型,如c1(B,X)和c2(B,X,Z)。用户关联度评估功能104a将上述处理的结果存储到场景候选存储单元113。
然后,操作关联度评估功能104b计算作为在与构成通过上述动作存储的每个场景候选的一系列操作相关的每个操作p和q之间的关联深度的操作关联度lpq(图3的步骤S204)。首先,在日志收集单元101收集日志时或在相关性分析单元103通过上述similar()函数来执行模式匹配之前,第一属性收集单元102计算或收集信息,如作为每个操作的目标的文件的用户名称、文件大小、文件名称、电子签名以及散列值。
操作关联度评估功能104b通过使用文件属性收集单元102收集的信息,基于提前给出的评估标准,计算每个操作关联度。例如,评估标准是提前给出的值,如在操作是针对具有相同签名的文件或在机器上相同用户名称下时,操作关联度=100%,当操作是针对具有相同散列值的文件时,操作关联度=90%,当操作是针对具有相同文件大小的文件时,操作关联度=60%,且当操作是针对具有相同文件名称的文件时,操作关联度=55%。
图8是示出了由图7所示的操作关联度评估功能104b执行的用于评估操作关联度的动作的示例的更多细节的说明图。图8示出了计算在图4和图7所示的构成场景候选T3的操作o1、o3和o4中的每一个之间的操作关联度的情况。
操作o1的文件X和操作o3的文件Z在场景候选T3中相似(similar(X,Z))。然而,考虑到由于其文件大小相同,在操作o1和操作o3之间的操作关联度l13是60%。类似地,关于操作o3的文件Z和操作o4的文件Z,用户名称相同。从而,在操作o3和操作o4之间的操作关联度l34是100%。此外,关于操作o1的文件X和操作o4的文件X的文件名称相同,使得在操作o1和操作o4之间的操作关联度l14是55%。
此外类似地,关于场景候选T1中的用户A的c1(A,X),操作o1的文件X和操作o2的文件Y具有相同的散列值。从而,在操作o1和操作o2之间的操作关联度l12是90%。关于用户B的c1(B,X),在用户B的操作o1和操作o2之间的操作关联度l12也变为90%。
此外,关于在场景候选T2中的操作o1的文件X和操作o3的文件Z,文件大小相同。从而,在操作o1和操作o3之间的操作关联度l13是60%。操作关联度评估功能104b将上述计算结果存储到如图7所示的场景候选存储单元113中。
图9是示出了由图1所示的场景候选重要度重新评估功能104c执行的场景重要度分数重新计算动作(图3的步骤S205)的内容的更多细节的说明图。关于由在场景候选存储单元113中存储的n条操作构成的用户ui的场景候选Tx={ui,ok1,ok2,---,okn},场景候选重要度重新评估功能104c通过以下表达式1所示的公式来重新计算场景重要度分数MTi,且将其定义为RTxi。场景候选重要度重新评估功能104c对场景候选Tx以及所有与其相对应的用户ui执行计算。用户u1、u2和u3对应于用户A、B和C中的每一个。
此处注意到:“n”是在每个场景候选Tx中包含的操作总数,ui∈U(U是整个用户集合),ok1、ok2、...、okn ∈O(O是整个操作集合),“mj”是通过图5所示的相关性分析单元103的处理所计算出的操作oj的重要度分数,且将其定义为1≥mj≥0,“rij”是通过图7所示的用户关联度评估功能104a的处理所计算出的用户ui和操作oj之间的关联度,且将其定义为1≥rij≥0,“lpq”是通过图7所示的操作关联度评估功能104b的处理所计算出的操作op和oq之间的关联度,且将其定义为1≥lpq≥0。
(表达式1)
通过使用该公式,根据用户实际已进行的操作(即,具有高用户关联度的操作)的规则条件部分(√nC2部分)的数目、条件部分的匹配度(∑lpq/nC2部分)、整体用户关联度(1/n∑rikj部分)、重要度分数(rikjmkj部分),重新评估每个场景候选的重要度。此外,根据重要度分数(lpqmpmq部分)来重新评估操作关联度的权重。场景候选重要度重新评估功能104c将通过公式计算出的重新评估的场景重要度分数RTi存储到场景候选重要度存储单元114中。
当对图4、7和8所示的情况应用该公式时,可以在以下表达式2中将用户A的场景候选T1的重新评估的场景重要度分数RT11计算为约8.1%,因为n=2,k1=1且k2=2。对于用户B,如以下表达式3一样,也可以将场景候选T1的重新评估的场景重要度分数RT12计算为约8.1%。未计算用户C的重新评估的场景重要度分数,因为用户C不对应于场景候选T1。
(表达式2)
(表达式3)
如以下表达式4一样,可以将用户B的场景候选T2的重新评估的场景重要度分数RT2计算为约8.6%,因为n=2,k1=1且k2=3。对于用户A和C,不计算重新评估的场景重要度分数,因为用户A和C不对应于场景候选T2。
(表达式4)
此外,如以下表达式5一样,可以将用户B的场景候选T3的重新评估的场景重要度分数RT3计算为约8.6%,因为n=3,k1=1,k2=3且k3=4。对于用户A和C,不计算重新评估的场景重要度分数,因为用户A和C不对应于场景候选T3。
(表达式5)
如上所述,尽管针对图5所示的示例中的场景候选T1至T3中每一个的重要度分数MT1至MT3,分别假定值1.0、1.0、1.0,要在通过场景候选重要度重新评估功能104c的处理来计算的重新评估的场景候选重要度分数RT1至RT3上反映出每个用户的实际动作。具体地,即使对于不可能根据日志来指定已经进行了操作的用户的状态,当相同用户很可能已进行了一系列操作时,计算出的场景重要度分数变高。
图10是示出了要由图1所示的结果显示单元105在显示模块14的屏幕上显示的具有高重要度的场景候选的列表的示例的说明图(图3的步骤S206)。在场景候选存储单元113中存储的场景候选中,结果显示单元105在显示模块14的屏幕上显示具有在场景候选重要度存储单元114中存储的高于特定阈值的场景候选重要度的那些场景候选。此时,结果显示单元105将与每个场景候选(例如,给予每个复杂操作检测规则111b的名称,如“取出重要文件”)相对应的场景名称显示为列表,在列表中,按从具有较高重要度到具有较低度的顺序来重新排列场景候选,使得具有高重要度的场景候选在屏幕上特别地以高亮显示(通过例如改变颜色)。此外,通过附加于场景候选,来显示在场景候选中示出的已实际进行了操作的用户或很有可能已进行了操作的用户。
在图10所示的情况下,提前设置阈值“10%”,且仅用户B的场景候选T3的重新评估的场景重要度分数RT23取超过了阈值的值18.0%。因此,在显示模块14上显示诸如以下事实之类的信息:估计出产生提供给场景C2(作为场景候选T3的基础)的场景名称“复制并取出重要文件”、其产生时间、监视目标设备的名称、目标文件名称、以及估计出的已执行了该操作的用户(用户B)的名称。
(示例实施例的整体动作)
接下来,将描述上述示例实施例的整体动作。
根据示例实施例的安全事件监视方法用于安全事件监视设备,该安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,其中:日志收集单元从每个监视目标设备接收每个日志;相关性分析单元通过对每个日志应用提前给出的相关性规则,产生场景候选,在场景候选中,每个日志彼此关联,以及将每个场景候选与由相关性规则给出的场景候选的重要度一起存储到存储模块中(图3:步骤S201至202);场景候选评估单元的用户关联度评估功能列举可能已进行了每个场景候选中包含的每个操作的可能用户,并针对每个操作,计算作为每个用户的相关性的用户关联度(图3:步骤S203);场景候选评估单元的操作关联度评估功能计算作为在每个场景候选的每个操作之间的相关性的操作关联度(图3:步骤S204);场景候选评估单元的场景候选重要度重新计算功能根据用户关联度和操作关联度,针对每个用户重新计算每个场景候选的重要度(图3:步骤S205);以及结果显示单元显示/输出具有高重要度的场景候选(图3:步骤S206)。
此处注意到,可以将上述每一个动作步骤放入可由计算机执行的程序中,且让其由安全事件监视设备10来执行,该安全事件监视设备10直接执行上述每一步骤。可以将程序记录在非瞬时记录介质上,如DVD、CD、或闪存。在该情况下,由计算机从记录介质中读出并执行程序。
示例实施例通过这些动作可以提供以下效果。
在示例实施例中,通过基于用户关联度(即,用户候选的减少的概率)和操作关联度(即,非法操作的信息资产的非法使用的概率)来评估相同用户进行一系列操作的概率,针对每个用户计算每个场景候选的重要度。因此,即使在特定用户重复能够引起针对重要文件的安全方面问题的操作时,也有可能准确地检测到该操作,且进一步以高概率来估计出该用户。
作为根据本发明的示例优点,这使得有可能提供能够正确检测安全事件并在收集到的日志包括不能指定操作者的操作时进一步估计执行了这种操作的人员的安全事件监视设备、方法及其程序。
尽管已通过参考在附图中示出的具体示例实施例来描述本发明,本发明不仅仅限于附图所示的示例实施例。应当注意到可以采用任何已知的结构,只要可以使用其来实现本发明的效果。
可以如下总结上述示例实施例的新技术内容。尽管可以将示例实施例的一部分或全部如下总结为新技术,本发明不限于此。
(补充注释1)
一种安全事件监视设备,根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,以及所述安全事件监视设备包括:存储模块,提前存储在对每个日志执行相关性分析时应用的相关性规则;日志收集单元,从每个监视目标设备接收每个日志;相关性分析单元,通过对每个日志应用所述相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联,并且所述相关性分析单元将所述场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中;场景候选评估单元,重新计算每个场景候选的重要度;以及结果显示单元,显示/输出具有重新计算后的高重要度的场景候选,其中,所述场景候选评估单元包括:用户关联度评估功能,列举可能已进行了每个场景候选中包含的每个操作的可能用户,以及针对每个操作,计算作为每个用户的相关性的用户关联度;操作关联度评估功能,计算作为在每个场景候选的每个操作之间的相关性的操作关联度;以及场景候选重要度重新评估功能,根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度。
(补充注释2)
如补充注释1所述的安全事件监视设备,其中,所述用户关联度评估功能列举在进行每个场景候选中包含的操作时能够进行针对所述监视目标设备的操作的用户。
(补充注释3)
如补充注释1所述的安全事件监视设备,其中,所述用户关联度评估功能通过对外部连接的目录服务设备进行查询,列举被授权进行每个场景候选中包含的操作的用户。
(补充注释4)
如补充注释1所述的安全事件监视设备,其中,所述操作关联度评估功能基于提前给出的评估标准,根据作为每个操作的目标的文件之间的相似性,计算所述操作关联度。
(补充注释5)
如补充注释4所述的安全事件监视设备,其中,所述操作关联度评估功能使用从以下各项中选出的至少一项作为文件之间的相似性的评估标准:作为每个操作的目标的文件的名称、大小、用户名称、散列值和电子签名。
(补充注释6)
如补充注释1所述的安全事件监视设备,其中,所述场景候选重要度重新评估功能通过对与场景候选相对应的每个用户的用户关联度和每个场景候选中包含的每个操作的重要度的乘积的总值和在每个场景候选中包含的每个操作之间的操作关联度、操作的重要度以及每个场景候选的重要度的乘积的总值进行乘积运算,来重新计算每个用户的每个场景候选的重要度。
(补充注释7)
如补充注释1所述的安全事件监视设备,其中,所述结果显示单元将具有高重要性的场景候选与针对该场景候选具有高关联度的用户一起显示。
(补充注释8)
一种用于安全事件监视设备的安全事件监视方法,所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,其中:日志收集单元从每个监视目标设备接收每个日志;相关性分析单元通过对每个日志应用相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联;所述相关性分析单元将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中;场景候选评估单元的用户关联度评估功能列举可能已进行了每个场景候选中包含的每个操作的可能用户;所述用户关联度评估功能针对每个操作,计算作为每个用户的相关性的用户关联度;所述场景候选评估单元的操作关联度评估功能计算作为在每个场景候选的每个操作之间的相关性的操作关联度;所述场景候选评估单元的场景候选重要度重新计算功能根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度;以及结果显示单元显示/输出具有高重要度的场景候选。
(补充注释9)
一种非瞬时计算机可读记录介质,存储在安全事件监视设备中使用的安全事件监视程序,所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,以及所述程序使得设置于所述安全事件监视设备的计算机执行:用于从每个监视目标设备接收每个日志的过程;用于通过对每个日志应用提前给出的相关性规则,产生场景候选的过程,在所述场景候选中,每个日志彼此关联;用于将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储的过程;用于列举可能已进行了每个场景候选中包含的每个操作的可能用户的过程;用于针对每个操作,计算作为每个用户的相关性的用户关联度的过程;用于计算作为在每个场景候选的每个操作之间的相关性的操作关联度的过程;用于根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度的过程;以及用于显示/输出具有高重要度的场景候选的过程。
可以将本发明应用于计算机网络。具体地,本发明适用于在处理大量机密信息和个人信息的网络中降低泄漏信息的风险。
Claims (10)
1.一种安全事件监视设备,根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,所述安全事件监视设备包括:
存储模块,提前存储在对每个日志执行相关性分析时应用的相关性规则;
日志收集单元,从每个监视目标设备接收每个日志;
相关性分析单元,通过对每个日志应用所述相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联,并且所述相关性分析单元将所述场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中;
场景候选评估单元,重新计算每个场景候选的重要度;以及
结果显示单元,显示/输出具有重新计算后的高重要度的场景候选,其中,
所述场景候选评估单元包括:
用户关联度评估功能,列举可能已进行了每个场景候选中包含的每个操作的可能用户,以及针对每个操作,计算作为每个用户的相关性的用户关联度;
操作关联度评估功能,计算作为在每个场景候选的每个操作之间的相关性的操作关联度;以及
场景候选重要度重新评估功能,根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度。
2.根据权利要求1所述的安全事件监视设备,其中,
所述用户关联度评估功能列举在进行每个场景候选中包含的操作时能够进行针对所述监视目标设备的操作的用户。
3.根据权利要求1所述的安全事件监视设备,其中,
所述用户关联度评估功能通过对外部连接的目录服务设备进行查询,列举被授权进行每个场景候选中包含的操作的用户。
4.根据权利要求1所述的安全事件监视设备,其中,
所述操作关联度评估功能基于提前给出的评估标准,根据作为每个操作的目标的文件之间的相似性,计算所述操作关联度。
5.根据权利要求4所述的安全事件监视设备,其中,
所述操作关联度评估功能使用从以下各项中选出的至少一项作为文件之间的相似性的评估标准:作为每个操作的目标的文件的名称、大小、用户名称、散列值和电子签名。
6.根据权利要求1所述的安全事件监视设备,其中,
所述场景候选重要度重新评估功能通过对与场景候选相对应的每个用户的用户关联度和每个场景候选中包含的每个操作的重要度的乘积的总值和在每个场景候选中包含的每个操作之间的操作关联度、操作的重要度以及每个场景候选的重要度的乘积的总值进行乘积运算,来重新计算每个用户的每个场景候选的重要度。
7.根据权利要求1所述的安全事件监视设备,其中,
所述结果显示单元将具有高重要性的场景候选与针对该场景候选具有高关联度的用户一起显示。
8.一种用于安全事件监视设备的安全事件监视方法,所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,其中:
日志收集单元从每个监视目标设备接收每个日志;
相关性分析单元通过对每个日志应用相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联;
所述相关性分析单元将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中;
场景候选评估单元的用户关联度评估功能列举可能已进行了每个场景候选中包含的每个操作的可能用户;
所述用户关联度评估功能针对每个操作,计算作为每个用户的相关性的用户关联度;
所述场景候选评估单元的操作关联度评估功能计算作为在每个场景候选的每个操作之间的相关性的操作关联度;
所述场景候选评估单元的场景候选重要度重新计算功能根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度;以及
结果显示单元显示/输出具有高重要度的场景候选。
9.一种非瞬时计算机可读记录介质,存储在安全事件监视设备中使用的安全事件监视程序,所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,所述程序使得设置于所述安全事件监视设备的计算机执行:
用于从每个监视目标设备接收每个日志的过程;
用于通过对每个日志应用提前给出的相关性规则,产生场景候选的过程,在所述场景候选中,每个日志彼此关联;
用于将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储的过程;
用于列举可能已进行了每个场景候选中包含的每个操作的可能用户的过程;
用于针对每个操作,计算作为每个用户的相关性的用户关联度的过程;
用于计算作为在每个场景候选的每个操作之间的相关性的操作关联度的过程;
用于根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度的过程;以及
用于显示/输出具有高重要度的场景候选的过程。
10.一种安全事件监视设备,根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志,来检测具体操作,所述安全事件监视设备包括:
存储装置,用于提前存储在对每个日志执行相关性分析时应用的相关性规则;
日志收集装置,用于从每个监视目标设备接收每个日志;
相关性分析装置,用于通过对每个日志应用所述相关性规则,产生场景候选,在所述场景候选中,每个日志彼此关联,并且所述相关性分析装置将所述场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储装置中;
场景候选评估装置,用于重新计算每个场景候选的重要度;以及
结果显示装置,用于显示/输出具有重新计算后的高重要度的场景候选,其中,
所述场景候选评估装置包括:
用户关联度评估功能,列举可能已进行了每个场景候选中包含的每个操作的可能用户,以及针对每个操作,计算作为每个用户的相关性的用户关联度;
操作关联度评估功能,计算作为在每个场景候选的每个操作之间的相关性的操作关联度;以及
场景候选重要度重新评估功能,根据所述用户关联度和所述操作关联度,针对每个用户重新计算每个场景候选的重要度。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011-199776 | 2011-09-13 | ||
JP2011199776A JP5803463B2 (ja) | 2011-09-13 | 2011-09-13 | セキュリティイベント監視装置、方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103117884A true CN103117884A (zh) | 2013-05-22 |
CN103117884B CN103117884B (zh) | 2018-03-23 |
Family
ID=47831099
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210334704.3A Expired - Fee Related CN103117884B (zh) | 2011-09-13 | 2012-09-11 | 安全事件监视设备、方法和程序 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20130067572A1 (zh) |
JP (1) | JP5803463B2 (zh) |
CN (1) | CN103117884B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9786147B2 (en) | 2013-07-10 | 2017-10-10 | Nec Corporation | Event processing device, event processing method, and event processing program |
CN109416775A (zh) * | 2016-06-23 | 2019-03-01 | 3M创新有限公司 | 具有用于安全事件检测的分析流处理的个人防护设备(ppe) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2958023B1 (en) * | 2013-02-18 | 2022-04-27 | Nec Corporation | System analysis device and system analysis method |
WO2014132431A1 (ja) * | 2013-03-01 | 2014-09-04 | 株式会社日立製作所 | 不正利用検出方法及び不正利用検出装置 |
US9854051B2 (en) * | 2014-04-25 | 2017-12-26 | Wilmerding Communications Llc | Using proxy devices as dynamic data relays |
WO2015182831A1 (ko) * | 2014-05-30 | 2015-12-03 | 삼성에스디에스 주식회사 | 시스템 모니터링 장치 및 방법 |
US10242187B1 (en) * | 2016-09-14 | 2019-03-26 | Symantec Corporation | Systems and methods for providing integrated security management |
US10235528B2 (en) * | 2016-11-09 | 2019-03-19 | International Business Machines Corporation | Automated determination of vulnerability importance |
JP6626016B2 (ja) * | 2017-01-11 | 2019-12-25 | 日本電信電話株式会社 | 照合装置、照合方法及び照合プログラム |
US10757140B2 (en) * | 2018-08-30 | 2020-08-25 | Nec Corporation | Monitoring event streams in parallel through data slicing |
US20200218994A1 (en) * | 2019-01-08 | 2020-07-09 | International Business Machines Corporation | Generating a sequence rule |
JP7294059B2 (ja) * | 2019-10-24 | 2023-06-20 | 富士通株式会社 | 表示システム、プログラム、及び、表示方法 |
JP7406386B2 (ja) * | 2020-02-03 | 2023-12-27 | アラクサラネットワークス株式会社 | 通信監視装置、通信監視方法、及び通信監視プログラム |
JP7133000B2 (ja) * | 2020-12-17 | 2022-09-07 | エヌ・ティ・ティ・アドバンステクノロジ株式会社 | シナリオ実行システム、ログ管理装置、ログ記録方法及びプログラム |
CN117478423B (zh) * | 2023-11-30 | 2024-05-03 | 东方物通科技(北京)有限公司 | 数据安全通信系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040044912A1 (en) * | 2002-08-26 | 2004-03-04 | Iven Connary | Determining threat level associated with network activity |
US20040133672A1 (en) * | 2003-01-08 | 2004-07-08 | Partha Bhattacharya | Network security monitoring system |
US20100125911A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Bhaskaran | Risk Scoring Based On Endpoint User Activities |
US20110119219A1 (en) * | 2009-11-17 | 2011-05-19 | Naifeh Gregory P | Method and apparatus for analyzing system events |
CN102148827A (zh) * | 2011-02-11 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全事件管理方法、装置及安全管理平台 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040225689A1 (en) * | 2003-05-08 | 2004-11-11 | International Business Machines Corporation | Autonomic logging support |
US7707189B2 (en) * | 2004-10-05 | 2010-04-27 | Microsoft Corporation | Log management system and method |
US7594270B2 (en) * | 2004-12-29 | 2009-09-22 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
US7631354B2 (en) * | 2004-12-30 | 2009-12-08 | Intel Corporation | System security agent authentication and alert distribution |
US7991764B2 (en) * | 2005-07-22 | 2011-08-02 | Yogesh Chunilal Rathod | Method and system for communication, publishing, searching, sharing and dynamically providing a journal feed |
US20070050232A1 (en) * | 2005-08-26 | 2007-03-01 | Hung-Yang Chang | Method and system for enterprise monitoring based on a component business model |
US8892703B2 (en) * | 2006-03-31 | 2014-11-18 | International Business Machines Corporation | Cross-cutting event correlation |
US7805529B2 (en) * | 2006-07-14 | 2010-09-28 | International Business Machines Corporation | Method and system for dynamically changing user session behavior based on user and/or group classification in response to application server demand |
KR100885293B1 (ko) * | 2006-12-04 | 2009-02-23 | 한국전자통신연구원 | 네트워크 보안 상황 표시 장치 및 그 방법 |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
US20080307525A1 (en) * | 2007-06-05 | 2008-12-11 | Computer Associates Think, Inc. | System and method for evaluating security events in the context of an organizational structure |
US8341105B1 (en) * | 2008-02-19 | 2012-12-25 | Mcafee, Inc. | System, method, and computer program product for applying a rule to associated events |
US9413598B2 (en) * | 2009-09-02 | 2016-08-09 | International Business Machines Corporation | Graph structures for event matching |
US9292594B2 (en) * | 2010-03-10 | 2016-03-22 | Novell, Inc. | Harvesting relevancy data, including dynamic relevancy agent based on underlying grouped and differentiated files |
US8660954B2 (en) * | 2010-05-03 | 2014-02-25 | Fundacao CPQD—Centro de Pesquisa E Desenvolvimento em Telecommuncacoes | Fraud and events integrated management method and system |
KR20120065819A (ko) * | 2010-12-13 | 2012-06-21 | 한국전자통신연구원 | 사용자 행위 분석을 위한 디지털 포렌식 장치 및 그 방법 |
US8825840B2 (en) * | 2011-02-22 | 2014-09-02 | Intuit Inc. | Systems and methods for self-adjusting logging of log messages |
-
2011
- 2011-09-13 JP JP2011199776A patent/JP5803463B2/ja not_active Expired - Fee Related
-
2012
- 2012-09-10 US US13/608,741 patent/US20130067572A1/en not_active Abandoned
- 2012-09-11 CN CN201210334704.3A patent/CN103117884B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040044912A1 (en) * | 2002-08-26 | 2004-03-04 | Iven Connary | Determining threat level associated with network activity |
US20040133672A1 (en) * | 2003-01-08 | 2004-07-08 | Partha Bhattacharya | Network security monitoring system |
US20100125911A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Bhaskaran | Risk Scoring Based On Endpoint User Activities |
US20110119219A1 (en) * | 2009-11-17 | 2011-05-19 | Naifeh Gregory P | Method and apparatus for analyzing system events |
CN102148827A (zh) * | 2011-02-11 | 2011-08-10 | 成都市华为赛门铁克科技有限公司 | 安全事件管理方法、装置及安全管理平台 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9786147B2 (en) | 2013-07-10 | 2017-10-10 | Nec Corporation | Event processing device, event processing method, and event processing program |
CN109416775A (zh) * | 2016-06-23 | 2019-03-01 | 3M创新有限公司 | 具有用于安全事件检测的分析流处理的个人防护设备(ppe) |
CN109416775B (zh) * | 2016-06-23 | 2020-09-29 | 3M创新有限公司 | 具有用于安全事件检测的分析流处理的个人防护设备(ppe) |
Also Published As
Publication number | Publication date |
---|---|
JP2013061794A (ja) | 2013-04-04 |
JP5803463B2 (ja) | 2015-11-04 |
US20130067572A1 (en) | 2013-03-14 |
CN103117884B (zh) | 2018-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103117884A (zh) | 安全事件监视设备、方法和程序 | |
CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及系统 | |
CN103154841A (zh) | 自动远程监视诊断系统 | |
CN100568814C (zh) | 内容篡改检测装置及方法 | |
JP6933112B2 (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
Brings et al. | On different search methods for systematic literature reviews and maps: experiences from a literature search on validation and verification of emergent behavior | |
KR20110072647A (ko) | 인적자원 개발을 위한 역량진단 평가 시스템 및 그 방법 | |
Nadim et al. | Data-driven dynamic causality analysis of industrial systems using interpretable machine learning and process mining | |
JP2012068860A (ja) | 因果関係検出方法、該装置、及び該プログラム | |
CN118511490A (zh) | 监控相关指标的系统和方法 | |
Raja et al. | Case-based reasoning: predicting real-time drilling problems and improving drilling performance | |
Cheng et al. | Simultaneously monitoring frequency and magnitude of events based on bivariate gamma distribution | |
Paradies et al. | Conceptual diagrams in public health research | |
Roth | Visualizing risk: The use of graphical elements in risk analysis and communications | |
CN114154166A (zh) | 异常数据识别方法、装置、设备和存储介质 | |
O’Brien et al. | The power and pitfalls of Dirichlet-multinomial mixture models for ecological count data | |
CN112685272A (zh) | 一种具备可解释性的用户行为异常检测方法 | |
Shaban et al. | A double neural network approach for the identification and parameter estimation of control chart patterns | |
MirMostafaee et al. | Point prediction of future order statistics from an exponential distribution | |
CN104737111B (zh) | 用于显示表格数据的用户界面技术 | |
Woods | Beyond Traditional Risk Management: Integrating Horizon Scanning and Strategic Risk Prioritization | |
Shen | The blockchain based system to guarantee the data integrity of IIoT | |
Sapp et al. | Rationalising business intelligence systems and explicit knowledge objects: Improving evidence-based management in government programs | |
JP6547341B2 (ja) | 情報処理装置、方法及びプログラム | |
Asadi et al. | The HiTS/ISAC social network analysis tool |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180323 |
|
CF01 | Termination of patent right due to non-payment of annual fee |