CN106105112A - 分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序 - Google Patents

Abstract

一种分析规则调整装置，对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整。分析规则调整装置具有日志获取部、日志分析部以及第1解析部。日志获取部获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志。日志分析部根据规定的分析规则和整定条件对日志获取部获取的通信日志进行分析。第1解析部对日志分析部的分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。

Description

分析规则调整装置、分析规则调整系统、分析规则调整方法以 及分析规则调整程序

技术领域

本发明涉及分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序。

背景技术

随着通信网络的普及，针对经由通信网络的各种服务器或基础架构的网络攻击的方法也变得多样化。

以往，公知有为了应对该网络攻击的威胁而设置的、在通信数据的入口处对通信进行控制的IDS(Intrusion Detection System：入侵检测系统)或IPS(IntrusionPrevention System：入侵防御系统)或防火墙(Fire Wall：FW)等安全设备。例如，如图20所示，防火墙或IDS/IPS对从外部网络进入到内部网络的信息进行监视而对非法通信进行防御。

进而，近年来，公知有基于规则的分析技术：同样如图20所示，对网络设备或安全设备的日志进行收集，使用分析规则对非法通信的状态(行为)进行检测。在该技术中，例如，创建用于对非法的网络流量进行确定、分析而检测出非法的通信或举动的分析规则。并且，使用创建后的分析规则对通信行为进行监视，检测非法通信等。

在使用了分析规则的技术中，检测结果会受到该分析规则中使用的参数或阈值的影响。因此，设定出抑制误检的适当的参数或阈值很重要。

现有技术文献

非专利文献

非专利文献1：中田健介“利用网络日志分析来进行的非法通信检测方法”、电子信息通信学会、2013年综合大会(非特許文献1:中田健介「ネットワークログ分析による不正通信検出手法」、電子情報通信学会、2013年総合大会)

发明内容

发明要解决的课题

但是，在使用了以往的分析规则的非法通信的检测技术中，根据实际的网络环境来执行分析规则的有效性的检验和设定为分析规则中使用的参数的阈值的调整(参数整定，Parameter tuning)。即，将分析规则应用于实际的网络环境，并对获取的结果进行分析而执行分析规则的有效性的检验和设定为参数的阈值的微调整。

在该调整方法中，在将该分析规则应用于实际上非法的通信的情况下，无法判断在该情况下可能出现的漏检或误检的程度。因此，有时无法将最佳的阈值设定为分析规则的参数。

并且，在上述方法中，操作者一边对将分析规则应用于实际的网络环境后所取得的结果的数据进行逐个确认一边对设定为分析规则的参数的阈值进行调整。因此，在调整中需要时间和人手。

公开的技术是鉴于上述而完成的，其目的在于提供分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序，能够自动且高效地对分析规则的有效性进行检验并使分析规则适当化。

用于解决课题的手段

公开的分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整，其特征在于，获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志，根据规定的分析规则和整定条件对获取的通信日志进行分析，对该分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。

发明效果

公开的分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序起到如下效果：能够自动且高效地对分析规则的有效性进行检验并使分析规则适当化。

附图说明

图1是示出第1实施方式的分析规则调整系统的概要的图。

图2是用于对包含在由第1实施方式的分析规则调整系统处理的日志中的信息进行说明的图。

图3是示出由第1实施方式的分析规则调整系统处理的良性日志的一例的图。

图4是示出由第1实施方式的分析规则调整系统处理的恶性日志的一例的图。

图5是示出由第1实施方式的日志收集蓄积装置规范化后的日志的一例的图。

图6是用于对第1实施方式的分析规则的一例进行说明的图。

图7是用于对第1实施方式的整定设定信息的一例进行说明的图。

图8是用于对作为第1实施方式的日志分析的结果而得到的分析结果的一例进行说明的图。

图9是示出第1实施方式的日志收集存储处理的流程的一例的流程图。

图10是示出第1实施方式的分析规则调整处理的流程的一例的流程图。

图11是示出第2实施方式的分析规则调整系统的概要的图。

图12是用于对作为第2实施方式的日志分析的结果而得到的分析结果的一例进行说明的图。

图13是用于对第2实施方式的整定报告的一例进行说明的图。

图14是用于对存储在第2实施方式的分析规则存储部中的分析规则集的一例进行说明的图。

图15是示出第2实施方式的分析规则调整处理的流程的一例的流程图。

图16是用于对第2实施方式的推荐规则集创建处理进行说明的图。

图17是示出第3实施方式的分析规则调整系统的概要的图。

图18是示出第3实施方式的分析规则调整处理的流程的一例的流程图。

图19是示出执行分析规则调整程序的计算机的图。

图20是用于对以往技术的非法通信防御方法的一例进行说明的图。

具体实施方式

以下，根据附图对公开的装置和方法的实施方式进行详细地说明。另外，该发明并不仅限定于该实施方式。并且，能够将各实施方式进行适当地组合。

(第1实施方式)

第1实施方式的分析规则调整系统1(参照图1)对恶性日志和良性日志这两种通信日志进行收集并对这两者应用规定的分析规则，由此，对使用了该分析规则的情况下的非法通信的检测精度进行计算。并且，分析规则调整系统1对分析规则的参数阈值进行推移直到所计算的检测精度成为满足预先确定的容许检测精度的值为止。此时，分析规则调整系统1也可以在预先确定的阈值的范围内对参数阈值进行推移。分析规则调整系统1将在检测精度成为满足预先确定的条件例如容许检测精度的值时的分析规则的参数的阈值作为整定推荐值。并且，分析规则调整系统1根据整定推荐值来更新分析规则。另外，也考虑到由于分析规则和整定条件的设定而无法利用由分析规则调整系统1进行的调整来得到满足条件的分析规则。在该情况下，操作者可以进一步通过手动来进行再调整。并且，也可以设定为不使用该分析规则。

【良性日志和恶性日志】

对在分析规则的调整中使用的恶性日志和良性日志进行说明。首先，对一般的日志的概要进行说明。

例如，在日志中包含有图2所示的信息。图2是用于对包含在由第1实施方式的分析规则调整系统1处理的日志中的信息进行说明的图。如图2所示，在日志中包含有“时间戳”、“LogSource”、“发送源IP地址”、“发送源端口号”、“目的地IP地址”、“目的地端口号”等信息。并且，在日志中包含有“通信协议名称”、“判定结果”、“发送字节数”、“接收字节数”、“URL”、“方法名称”、“UserAgent”、“状态代码”、“持续时间”、“通信方向”等信息。

如图2所示，“时间戳”是表示获取该日志的时刻的信息。并且，“LogSource”是指记录了该日志的每个设备的独特的标识符(ID：Identifier)。“发送源IP地址”是表示该通信的发送源IP地址的信息。“发送源端口号”是表示该通信的发送源端口号的信息。“目的地IP地址”是表示该通信的目的地IP地址的信息。“目的地端口号”是表示该通信的目的地端口号的信息。“通信协议名称”是表示该通信的通信协议名称的信息。“判定结果”是表示该通信在设备中的判定结果的信息。“发送字节数”是表示该通信的发送字节数的信息。“接收字节数”是表示该通信的接收字节数的信息。“URL”是表示在该通信为HTTP通信的情况下的目的地URL的信息。“方法名称”是表示在该通信为HTTP通信的情况下的HTTP方法名称的信息。“UserAgent”是指在该通信为HTTP通信的情况下的HTTP用户代理名称。“状态代码”是表示在该通信为HTTP通信的情况下的HTTP状态代码的信息。“持续时间”是表示在该通信中的会话持续时间的信息。“通信方向”是表示在该通信中的通信方向的信息。

恶性日志和良性日志中均包含这些信息的至少一部分。但是，图2所示的信息仅是日志中包含的信息的一例，恶性日志和良性日志中也可以均不包含这些信息中的某些信息，也可以包含图2所示的以外的信息。

良性日志是指实际应用了分析规则的防御对象网络的通信日志。具体来说，是指从防御对象网络的以Web Proxy为代表的网络设备或以FW、IDS、IPS为代表的安全设备中获取的通信日志和检查结果日志。

图3是示出由第1实施方式的分析规则调整系统1处理的良性日志的一例的图。如图3所示，良性日志例如包含“发送源IP地址”、“目的地IP地址”、“发送源端口号”、“目的地端口号”、“URL”等信息。

恶性日志是指预先准备了另外的恶意软件，使该恶意软件运行并产生与外部网络例如因特网上的Web服务器等的通信而得到的通信日志。恶性日志与良性日志同样，也是通过Web Proxy或FW等装置来进行收集。

图4是示出由第1实施方式的分析规则调整系统1处理的恶性日志的一例的图。如图4所示，恶性日志例如包含“恶意软件标识符”、“发送源IP地址”、“目的地IP地址”、“发送源端口号”、“目的地端口号”、“URL”等信息。“恶意软件标识符”是表示使与其日志有关的通信量产生的样本的种类的信息。

在以往技术中，在对分析规则进行调整(整定，tuning)时，将该分析规则应用于实际上作为控制对象的网络的通信日志中而进行微调整。然而，当采用了这样的方法时，不能对检测精度的变化进行准确地把握，很难对调整的精度进行判定。因此，在第1实施方式的分析规则调整系统1中，不仅要将分析规则应用于实际上作为控制对象的网络的通信日志即良性日志并进行分析，还要将分析规则应用于恶性日志并执行分析，从而实现检测精度的准确的判定。

【分析规则和参数】

接着对分析规则和参数进行说明。如上述的那样，分析规则是基于恶意软件进行的通信日志的分析而创建的，以对非法的通信或举动进行检测，并被用于通信行为的监视和非法通信的检测。

例如，作为分析规则，可以根据FW的日志而创建出IP规则，其中，该IP规则以到层4为止的信息为基础进行分析，该层4以5-tuple为中心。并且，能够根据Web Proxy的日志创建出以HTTP通信所包含的URL或UA(UserAgent)的信息为基础进行分析的HTTP系规则。

具体来说，例如，恶意软件为了进行与攻击者的服务器的沟通确认而定期地多次进行同一条件的通信，着眼于该点，存在次数统计型规则，该次数统计型规则对从一个发送源IP地址进行一定次数以上的同一条件的通信的终端进行检测。并且，恶意软件在进行侵入目的地网络内的内部探索或与攻击者的服务器之间的沟通确认时仅使特定的项目在通信条件中变化而进行类似的通信，着眼于该点而存在种类统计型规则，该种类统计型规则对从一个发送源IP地址进行特定项目中的变化数为一定数量以上的通信的终端进行检测。进而，着眼于在一定的时间内在恶意软件所进行的通信中频繁出现的特定项目的组合或顺序，存在模式型规则，该模式型规则对进行与其模式类似的通信的终端进行检测。另外，这样的分析规则的种类并不仅是一例。除此之外，也能够根据从恶意软件所进行的通信中提取出的特征来创建各种分析规则。

这里，在分析规则中，在任意的发送源IP地址中，将使用了规定的发送源端口号的通信次数、或一定时间内的针对同一通信目的地的连接次数等设为参数，设定用于判定具有该发送源IP地址的终端是否感染了恶意软件的阈值。例如，考虑以如下的方式来进行分析规则的设定：在由任意的发送源IP地址进行的通信的目的地IP地址中，将在恶性日志中频繁出现的目的地IP地址的出现次数设为参数，将阈值设为1小时10次，在该目的地IP地址出现了1小时10次以上的情况下检测为非法通信等。

【参数整定和整定条件】

在将这样设定的分析规则应用于防御对象网络时，进行参数整定(parametertuning)。参数整定是指用于对分析规则的参数的阈值进行适当地设定的调整。并且，在本实施的方式中，预先在参数整定中确定整定条件。整定条件例如是指“使误检率的容许值为0.5％以下”、“阈值的调整以0.5间隔进行”“使阈值在1～100的范围内”等。分析规则调整系统1根据整定条件对日志的分析规则进行整定并使分析规则的参数的阈值适当化。

以下，以上述说明的概念为前提，对实施方式进行说明。

【第1实施方式的分析规则调整系统的结构的一例】

图1是示出第1实施方式的分析规则调整系统1的概要的图。第1实施方式的分析规则调整系统1具有日志收集蓄积装置10和分析规则调整装置20。

分析规则调整系统1例如与图20所示的日志收集/分析装置同样，与内部网络连接而对通信的信息进行收集、分析，并对非法通信进行防御。并且，例如，分析规则调整系统1与传送IP数据包或以太网(注册商标)框架的外部网络连接，并具有Web Proxy或FW用于通信的过滤。但是，也可以是，分析规则调整系统1本身不与外部网络连接，从与外部网络连接的其他装置处获取恶性日志和良性日志的数据。并且，也可以实现将分析规则调整系统1作为使用流量统计技术对网络的品质进行管理的管理装置。例如，也可以实现将分析规则调整系统1组入到如下管理装置等，该管理装置对层2桥接网络、和由对数据包进行发送接收的转送装置所构成的层3网络进行监视，并对品质的劣化进行检测。

【日志收集蓄积装置10的结构】

日志收集蓄积装置10从Web Proxy或FW等装置处获取恶性日志和良性日志并进行收集。并且，日志收集蓄积装置10分别使收集到的恶性日志和良性日志规范化而进行存储。

日志收集蓄积装置10具有日志收集部110、日志规范化部120以及日志存储部130。日志收集部110从Web Proxy或FW对恶性日志和良性日志进行收集。此时，日志收集部110也可以被设定为预先接收来自日志获取部210(后述)和日志分析部220(后述)等的命令而对收集的日志的形式或内容进行选择。并且，日志收集部110也可以构成为仅获取满足预先确定的条件的日志。例如，日志收集部110也可以构成为仅获取具有规定的期间内的时间戳的日志。如果构成为能够获取恶性日志和良性日志这两种日志，则日志收集部110的具体的方式并没有特别地限定。

日志规范化部120对日志收集部110所收集的日志进行整形而整理成适合于后续处理的形式。例如，日志规范化部120按照图2所示的每个项目来提取信息并将日志整理成图5所示的形式。图5是示出由第1实施方式的日志收集蓄积装置10规范化后的日志的一例的图。

日志存储部130对由日志规范化部120规范化后的日志进行存储。例如，日志存储部130存储将包含如下内容的信息规范化后的日志的信息，其中，该内容包含通过了FW或Web Proxy的数据包的5-tuple的信息(目的地IP地址、发送源IP地址、目的地端口、发送端口以及协议)、和/或通信的连接时间、连接结果、数据包的发送接收尺寸、访问目的地的URL的信息以及时间戳。

【分析规则调整装置20的结构】

分析规则调整装置20根据由日志收集蓄积装置10收集并存储的日志对分析规则进行调整。具体来说，分析规则调整装置20执行对设定为分析规则的参数的阈值进行调整的参数整定。

分析规则调整装置20具有日志获取部210、日志分析部220、分析结果解析部230以及反馈部240。并且，分析规则调整装置20具有分析规则存储部251、整定设定信息存储部252以及分析结果存储部253。

日志获取部210向日志收集蓄积装置10的日志存储部130发送日志数据请求。并且，日志获取部210从日志存储部130获取日志。日志获取部210发送日志数据请求的时机并没有特别地限定。例如，日志获取部210也可以被设定为当经过了预先确定的时间时便发送日志数据请求。并且，也可以构成为当分析规则调整系统1从外部接收到操作者的指令输入时，日志获取部210发送日志数据请求。

日志分析部220应用规定的分析规则和整定条件对由日志获取部210获取的日志进行分析。分析规则被存储在分析规则存储部251中，整定条件被存储在整定设定信息存储部252中(后述，参照图6、7)。

例如，日志分析部220应用对被推断为感染了恶意软件的终端的发送源IP地址进行检测这样的规则作为分析规则。例如，日志分析部220应用了如下的分析规则：将具有5分钟内针对同一的目的地IP地址的通信次数超过了“X”次的发送源IP地址的终端检测为感染了恶意软件的终端。在该分析规则中，某发送源IP地址中的针对特定的目的地IP地址的通信次数为参数，“X”为阈值。

此时，日志分析部220所应用的整定条件是“使阈值在10～50的范围内”、“阈值的调整以2为间隔进行”、“使误检率的容许值为0.5％”。在该情况下，首先，日志分析部220将阈值即“X”设为“10”并应用分析规则来分析日志。并且，日志分析部220根据分析结果来计算出对于良性日志的误检率和对于恶性日志的检测率。

这里，误检率是由日志分析部220分析良性日志而得到的、设通过分析规则检测出的发送源IP地址的数量为分子而设该良性日志所包含的所有发送源IP地址的数量为分母而得到的值。并且，检测率是由日志分析部220对恶性日志进行分析而得到的、设通过分析规则检测出的发送源IP地址的数量作为分子而设该恶性日志所包含的所有发送源IP地址的数量为分母而得到的值。另外，恶性日志所包含的发送源IP地址全部是具有感染了恶意软件的终端的发送源IP地址。

日志分析部220当计算出“X＝10”的情况下的误检率和检测率时，接着根据上述整定条件对“X＝12”的情况下的误检率和检测率进行计算。并且，日志分析部220以每次将“X”的值加2的方式在预先确定的阈值的范围即“X”为“10～50”内对误检率和检测率进行计算。日志分析部220将这样得到的分析结果输出到分析结果解析部230。并且，分析结果被存储到分析结果存储部253中(后述，参照图8)。

分析结果解析部230对由日志分析部220输出的分析结果进行解析而选择出最满足整定条件的阈值并作为整定推荐值输出。例如，在图6到图8所示的例子的情况下，分析结果解析部230从误检率为0.5％以下的阈值中选择出检测率最高的阈值。分析结果解析部230所进行的整定推荐值的选择方式并没有特别地限定。

反馈部240根据分析结果解析部230所选择的整定推荐值，对存储在分析规则存储部251中的分析规则的设定进行更新。例如，分析结果解析部230选择了“30”来作为“规则编号、001”的分析规则的整定推荐值。在该情况下，反馈部240从分析结果解析部230接收整定推荐值“30”。并且，反馈部240根据所接收的整定推荐值“30”来对分析规则存储部251中的数据进行更新。

另外，虽然未进行图示，但通过分析规则调整系统1调整后的分析规则被与分析规则调整系统1连接的其他的通信监视装置等用于对通信行为进行分析。并且，也可以将利用分析规则对网络进行监视的装置等与分析规则调整系统1构成为一体。

【存储在各种存储部中的信息】

分析规则存储部251、整定设定信息存储部252以及分析结果存储部253分别存储图6到图8所示的信息。

图6是用于说明第1实施方式的分析规则的一例的图。图6所示的分析规则的信息被存储在分析规则存储部251中。在图6的例子中，在“规则编号、001”的分析规则的内容中示出了“对在一定期间内针对一个目的地进行多次通信的发送源IP地址进行检测”。并且，在“规则编号、001”的分析规则中，示出了使用“5分钟内的出现次数”作为参数。并且，示出了在该时间点针对参数所应用的“应用阈值”为“40”。

图7是用于对第1实施方式的整定设定信息的一例进行说明的图。图7所示的整定条件(整定设定信息)的信息被存储在整定设定信息存储部252中。在图7的例子中，作为“条件编号、001”的整定设定信息，存储有“使阈值在10～50的范围内”、“阈值的调整以2为间隔进行”、“使误检率的容许值为0.5％以下”。并且，示出了将该“条件编号、001”的整定条件应用于规则编号“001”的分析规则。

图8是用于对作为第1实施方式的日志分析的结果而得到的分析结果的一例进行说明的图。图8所示的分析结果被存储在分析结果存储部253中。在图8的例子中，示出了在“应用规则编号、001”与“整定设定条件、001”的情况下的分析结果。即，示出了在使用“规则编号、001”的分析规则并应用了整定条件中的“条件编号、001”的整定条件的情况下的分析结果。具体来说，示出了在将作为分析规则的参数的“5分钟内的出现次数”设为“10”、“12”、“14”等情况下计算出的“误检率”和“检测率”。

另外，在图6到图8中以与特定的分析规则、整定条件和分析结果相配的形式示出了信息，但也可以以其他的形式对分析规则、整定条件和分析结果进行存储

并且，图1所示的各种存储部例如是硬盘、光盘等存储装置或者是RAM(RandomAccess Memory)、闪存(Flash Memory)等半导体存储元件，对在分析规则调整系统1中处理的各种数据和程序等进行存储。另外，在图1中，各存储部分别作为单独的构成要素而进行图示，但也可以与其他的存储部结合。

【第1实施方式中的日志收集存储处理的流程的一例】

图9是示出第1实施方式的日志收集存储处理的流程的一例的流程图。参照图9对第1实施方式的日志收集存储处理的流程的一例进行说明。

首先，日志收集蓄积装置10的日志收集部110从Web Proxy和FW获取良性日志和恶性日志(步骤S901)。日志收集部110将收集的日志依次传送到日志规范化部120。日志规范化部120执行将所收集的日志整形成适合于后续处理的形式的规范化(步骤S902)。规范化后的日志被存储到日志存储部130中(步骤S903)。至此日志收集存储处理结束。另外，持续地执行日志收集存储处理并逐个地存储日志。但是，也可以构成为根据产生恶性日志的恶意软件的设定等，通过从日志分析部220和其他的功能部接收指令而开始日志收集存储处理，并通过指令在所特定的时刻结束处理。

【第1实施方式中的分析规则调整处理的流程的一例】

图10是示出第1实施方式的分析规则调整处理的流程的一例的流程图。参照图10对第1实施方式的分析规则调整处理的流程的一例进行说明。

首先，当开始分析规则调整处理时，日志获取部210向日志存储部130发送日志数据请求。日志存储部130根据日志数据请求向日志获取部210发送日志(步骤S1001)。

日志获取部210将接收的日志传送到日志分析部220。日志分析部220根据规定的分析规则和整定条件对日志进行分析(步骤S1002)。具体来说，日志分析部220使参数在通过整定条件设定的阈值的范围内推移，并且通过分析规则检测非法的通信。日志分析部220分别对良性日志和恶性日志执行基于分析规则的非法的通信的检测。接着，日志分析部220判定是否对全部的阈值完成了日志的分析(步骤S1003)。在判定为尚未对全部的阈值完成日志的分析的情况下(步骤S1003，否定)，日志分析部220对未分析的阈值进行选择进而继续进行日志分析。在判定为对全部的阈值完成了日志的分析的情况下(步骤S1003，肯定)，日志分析部220输出获取的分析结果(步骤S1004)。

所输出的分析结果被传送到分析结果解析部230。分析结果解析部230参照整定条件并对分析结果进行解析，并选择出整定推荐值(步骤S1005)。例如，如果在整定条件中被指定为“误检率0.5％以下”，则从误检率为0.5％以下的阈值中选择出检测率最高的阈值等。

分析结果解析部230将选择出的整定推荐值发送到反馈部240。反馈部240根据整定推荐值对存储在分析规则存储部251中的分析规则的应用阈值进行更新(步骤S1006)。由此，分析规则调整处理结束。

【第1实施方式的效果】

如上述的那样，第1实施方式的分析规则调整系统1对用于检测经由网络的非法通信的在通信日志的分析中所使用的分析规则进行调整。并且，分析规则调整系统1具有：日志存储装置，其获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志并将它们规范化而进行存储；以及分析规则调整装置，其对存储在日志存储装置中的通信日志进行分析而对分析规则进行调整。分析规则调整装置具有：日志获取部，其从日志存储装置获取通信日志；日志分析部，其根据规定的分析规则和整定条件对由日志获取部获取的通信日志进行分析；以及第1解析部(分析结果解析部)，其对基于日志分析部的分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。因此，分析规则调整系统1能够自动且高效地对分析规则的有效性进行检验并使分析规则适当化。

并且，由于分析规则调整系统1根据恶性日志和良性日志这两者对分析规则进行调整，所以能够实现基于更准确的误检率和检测率的调整，能够使分析规则适当化。并且，分析规则调整系统1能够一边把握检测率与误检率的相关关系一边执行参数整定。并且，由于分析规则调整系统1利用了恶性日志，所以能够高精度地实施分析规则的有效性的检验。

并且，分析规则调整系统1以在整定条件中确定的阈值范围为分析对象计算误检率和检测率。因此，不需要对无用的阈值范围等进行分析，能够使处理高效化。并且，由于还能够在整定条件中设定要分析的阈值的间隔，所以分析规则调整系统1进一步省去了无用的处理的麻烦，能够使处理高效化。

并且，分析规则调整系统1还具有反馈部，该反馈部根据分析结果解析部计算出的整定推荐值对规定的分析规则进行更新。因此，分析规则调整系统1能够根据基于良性日志及恶性日志这两者的分析结果计算出的整定推荐值，使分析规则成为适合于对象网络的内容。因此，分析规则调整系统1能够创建出适合于各网络的更高精度的分析规则。

【第1实施方式的变形例】

另外，在上述第1实施方式中，也可以对同时设定为多个分析规则的参数的阈值进行调整。并且，例如，也可以并行执行基于多个分析规则的分析，并对各个分析规则计算误检率和检测率，从而计算出最佳的阈值。在该情况下，分析规则调整系统1并行地计算出多个整定推荐值。

如本变形例那样，分析规则调整系统能够通过并行执行多个分析规则的参数整定而进一步提高处理的效率。

(第2实施方式)

第1实施方式的分析规则调整系统1根据规定的分析规则和整定条件对日志进行分析，并对分析结果进行解析而选择出整定推荐值，并根据整定推荐值对分析规则进行更新。与此相对，第2实施方式的分析规则调整系统2根据多个分析规则和整定条件对日志进行分析并获取分析结果，在多个分析规则之间进行调整。即，第2实施方式的分析规则调整系统2获取针对分析规则的组中所包含的各分析规则的整定推荐值和在应用了该整定推荐值的情况下对检测出的样本进行识别的样本识别信息。并且，第2实施方式的分析规则调整系统2根据整定推荐值和样本识别信息来进行削减分析规则集所包含的分析规则的调整，并对分析规则集进行更新。另外，分析规则集是指在分析中使用的多个分析规则的组合。

在第2实施方式的分析规则调整系统2中，也将样本识别信息作为分析结果来进行输出，该样本识别信息是根据包含在规定的分析规则集中的各分析规则和整定条件对日志进行分析而对检测出的检测样本进行识别的信息。检测样本是指作为分析了日志的结果而检测出的感染了恶意软件的终端。样本识别信息是指例如作为分析了日志的结果而检测出的感染了恶意软件的终端的发送源IP地址。并且，分析规则调整系统2根据规定的条件对包含在规定的分析规则集中的各分析规则的样本识别信息进行分析，并削减了分析规则集所包含的分析规则的数量。

例如，对通过各分析规则检测出的检测样本进行相互比较，如果存在只检测出与通过其他分析规则检测出的检测样本相同的检测样本的分析规则，则分析规则调整系统2将该分析规则从分析规则集排除。并且例如，在通过分析规则集整体来检测的检测样本中，分析规则调整系统2将所检测的样本的比例比阈值小的分析规则从分析规则集排除。

【第2实施方式的分析规则调整系统2的结构的一例】

图11是示出第2实施方式的分析规则调整系统2的概要的图。分析规则调整系统2的结构大致与第1实施方式的分析规则调整系统1同样。在以下的说明中，省略了与第1实施方式同样的结果和功能的说明。

分析规则调整系统2具有日志收集蓄积装置10和分析规则调整装置20A。日志收集蓄积装置10的结构和功能与第1实施方式同样。

分析规则调整装置20A具有日志获取部210、日志分析部220A、分析结果解析部230A以及反馈部240A。分析规则调整装置20A还具有报告解析部260A。并且，分析规则调整装置20A具有分析规则存储部251A、整定设定信息存储部252A以及分析结果存储部253A。

日志获取部210的结构和功能与第1实施方式的日志获取部210同样。

日志分析部220A的结构和功能也与第1实施方式的日志分析部220同样。但是，日志分析部220A还从分析规则存储部251A接收分析规则集的输入，并进行基于分析规则集所包含的多个分析规则的通信日志的分析。并且，日志分析部220A从整定设定信息存储部252A中读取针对多个分析规则的整定设定信息即整定条件而在分析中使用。

进而，日志分析部220A对分别应用了多个分析规则的分析结果进行集体输出。并且，日志分析部220A将所检测的样本的信息作为根据各分析规则和整定条件进行分析而得到的结果来输出。即，日志分析部220A能够将如下样本识别信息与该规定的分析规则和整定条件对应起来进行输出，其中，该样本识别信息是通过规定的分析规则和整定条件而检测出的、用于唯一识别感染了恶意软件的终端的信息。

图12是用于对作为第2实施方式的日志分析的结果而得到的分析结果的一例进行说明的图。在图12的例子中，将由“001”识别的分析规则与由“001”识别的整定条件对应起来而存储“应用阈值、10”、“误检率、50％”、“检测率、20％”。进而，存储“检测样本、51234、50032、34567”、“恶意软件标识符、M100”。这表明在使用分析规则“001”和整定条件“001”对日志进行分析的情况下所检测出的样本是通过“51234、50032、34567”的样本识别信息识别的样本即终端。并且，示出了所检测出的样本是通过“M100”识别的种类的样本。如图4所示的恶性日志的例子所示，恶意软件标识符例如是从日志所包含的信息中获取的。

这样，在第2实施方式中，日志分析部220A在日志分析的结果中包含作为感染了恶意软件的终端而检测出的样本的样本识别信息及恶意软件的信息而进行输出。所输出的分析结果被存储在分析结果存储部253A中。

分析结果存储部253A的结构和功能也与分析结果存储部253同样。但是，分析结果存储部253A也如上述的那样，将由日志分析部220A输出的样本识别信息和恶意软件标识符一并存储为分析结果。

分析结果解析部230A具有与第1实施方式的分析结果解析部230同样的结构和功能。即，分析结果解析部230A对存储在分析结果存储部253A中的基于规定的分析规则集的分析结果进行解析，并对各分析规则中的整定推荐值进行计算。并且，分析结果解析部230A将计算出的整定推荐值和在应用了该整定推荐值的情况下所检测出的样本识别信息输出作为整定报告。

由分析结果解析部230A输出的整定报告的一例如图13所示。图13是用于对第2实施方式的整定报告的一例进行说明的图。如图13所示，第2实施方式的整定报告包含整定推荐值、样本识别信息以及恶意软件标识符。例如，将所应用的分析规则的编号“013”与整定设定条件“015”对应起来，输出针对该分析规则计算出的整定推荐值“30”。并且，输出在应用了整定推荐值“30”的情况下的误检率“0.1％”、检测率“70％”。进而，输出在应用了整定推荐值“30”时所检测出的样本的检测样本(样本识别信息)“51234，50032，34567”和恶意软件标识符“M110”。这样，第2实施方式的分析结果解析部230A不仅对各分析规则计算出整定推荐值，还输出了在应用了该整定推荐值的情况下所检测的样本的信息。

报告解析部260A接收由分析结果解析部230A输出的整定报告的输入，并通过对整定报告进行解析而输出削减了分析规则集所包含的分析规则的数量后的推荐规则集。在后述中对报告解析部260A的处理进行详细说明。

反馈部240A的结构和功能也与第1实施方式的反馈部240同样。但是，反馈部240A不仅进行分析规则存储部251A中存储的各个分析规则的更新，还进行分析规则集的更新。即，反馈部240A根据推荐规则集对分析规则存储部251A中存储的分析规则集进行更新。

分析规则存储部251A除了存储第1实施方式的分析规则存储部251所存储的信息(参照图6)之外，还存储分析规则集的信息。例如，分析规则存储部251A将在规定的网络环境中应用的分析规则集与识别该分析规则集的标识符一起存储。并且，存储应用于该分析规则集的阈值。

图14是用于对存储在第2实施方式的分析规则存储部251A中的分析规则集的一例进行说明的图。如图14所示，在分析规则存储部251A中存储有“集编号”、“规则集”、“阈值”以及“应用环境”。“集编号”是用于唯一识别分析规则集的标识符。“规则集”是对分析规则集所包含的分析规则进行确定的信息。“阈值”是应用于分析规则集所包含的各分析规则中的阈值的值。“应用环境”是示出使用该分析规则集的网络环境等环境。

例如，在图14的例子中，将“规则集、001，005，110”、“阈值、10，5，1000”以及“应用环境、NW005”与“集编号、001”对应起来进行存储。这表明对于包含有由“001，005，110”识别的3个分析规则的分析规则集“001”，各分析规则的阈值被设定为“10，5，1000”。并且，示出了分析规则集“001”被应用于由“NW005”识别的网络中。

存储在整定设定信息存储部252A中的信息与存储在第1实施方式的整定设定信息存储部252中的信息一样。

存储在分析结果存储部253A中的分析结果如上述的那样，除了包含有第1实施方式的分析结果之外，还包含有样本识别信息和恶意软件标识符。在其他的点上与第1实施方式同样。

【第2实施方式中的分析规则调整处理的流程的一例】

图15是示出第2实施方式的分析规则调整处理的流程的一例的流程图。参照图15对第2实施方式的分析规则调整处理的流程的一例进行说明。

首先，日志获取部210获取日志(步骤S1501)。并且，日志分析部220A根据规定的分析规则集和整定条件对日志进行分析(步骤S1502)。日志分析部220A没有对各个分析规则进行分析，而对分析规则集所包含的多个分析规则执行集体分析，在该点上与第1实施方式不同。

并且，日志分析部220A根据规定的分析规则集和整定条件判定是否对全部的阈值和全部的分析规则完成了分析(步骤S1503)。如果没有对全部的阈值和分析规则完成分析(步骤S1503，否定)，则返回步骤S1502。如果判定为对全部的阈值和分析规则完成了分析(步骤S1503，肯定)，则日志分析部220A输出分析结果(步骤S1504)。并且，分析结果解析部230A根据分析结果创建针对各分析规则的包含有整定推荐值和样本识别信息的整定报告并将其输出(步骤S1505)。

报告解析部260A对整定报告进行解析，创建削减了分析规则集所包含的分析规则后的推荐规则集并将其输出(步骤S1506)。反馈部240A根据推荐规则集对存储在分析规则存储部251A中的分析规则集进行更新(步骤S1507)。至此，第2实施方式的分析规则调整处理结束。

【推荐规则集的创建处理的流程的例子】

接着，对图15的步骤S1506中的推荐规则集的创建处理进行进一步地说明。图16是用于对第2实施方式的推荐规则集创建处理进行说明的图。由报告解析部260A来执行推荐规则集创建处理。

参照图16来说明对包含有分析规则A，B，C的分析规则集创建推荐规则集的例子。在图16的例子中，作为应用了分析规则A的结果，所检测出的样本为a。并且，作为应用了分析规则B的结果，所检测出的样本为a，b，c，f。另外，作为应用了分析规则C的结果，所检测出的样本为d，e。

如图16的(1)所示，利用分析规则A检测的样本也全部能通过分析规则B检测。在该情况下，即使削除了分析规则A也不会影响能够作为分析规则集整体来检测的样本。即，可以说分析规则A在分析规则集整体的样本检测中的贡献率较低。

在该情况下，可以考虑削减分析规则集所包含的分析规则数。如图16的(2)所示，即使削除了分析规则A，所检测的样本也没有变化。另外，当削除了分析规则B时，所检测的样本数减少一半。

因此，考虑到分析规则集所包含的各分析规则在分析规则集整体的样本检测中的贡献率，第2实施方式的报告解析部260A创建出削除了贡献率比规定的阈值低的分析规则的推荐规则集。例如，针对能够利用分析规则集整体来检测的样本，在只能由分析规则A检测的样本的比例为1成以下的情况下将分析规则A削除。贡献率的计算方法不特别限定。

另外，在第2实施方式中，日志分析部220A进行基于规定的分析规则集的分析并输出分析结果。然而，并不仅限此，例如，预先适当地执行由日志分析部220A进行的分析而将分析结果存储在分析结果存储部253A中。并且，如果存在用户的指令输入等，分析结果解析部230A接收分析规则集的指定而从分析结果存储部253A读取基于该分析规则集所包含的分析规则的分析结果。并且，分析结果解析部230A和报告解析部260A也可以执行处理而创建出推荐规则集。并且，也可以将推荐规则集输出到外部。

【第2实施方式的效果】

这样，第2实施方式的分析规则调整装置是对分析规则进行调整的分析规则调整装置，该分析规则用于检测经由网络的非法通信并用于通信日志的分析中，该分析规则调整装置具有：日志获取部，其获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志；日志分析部，其根据规定的分析规则和整定条件对由日志获取部获取的通信日志进行分析；以及第1解析部(分析结果解析部)，其对日志分析部的分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。因此，能够自动且高效地对分析规则的有效性进行检验并使分析规则适当化。

进而，在第2实施方式的分析规则调整装置中，日志分析部根据包含在规定的分析规则组中的各分析规则来进行分析，第1解析部对基于规定的分析规则组中的包含的各分析规则的分析结果并行地进行解析，并计算出与包含在规定的分析规则组中的各分析规则对应的整定推荐值。因此，能够对多个分析规则进行一体地解析，从而对各个分析规则执行整定。

进而，在第2实施方式的分析规则调整装置中，第1解析部将样本识别信息与整定推荐值一起输出，其中，该样本识别信息用于唯一识别在应用了该整定推荐值的情况下所检测的样本。因此，能够集体分析出是否可以使用哪个分析规则的哪个值来对哪个样本进行检测。因此，能够自动且高效地对分析规则的有效性进行检验并使分析规则合适化。并且，第2实施方式的分析规则调整装置还能够具体地考虑到通过哪个分析规则来检测哪个样本而对分析规则进行调整，并能够实现与应用环境相配的精密的调整。

进而，第2实施方式的分析规则调整装置还具有第2解析部(报告解析部)，该第2解析部针对由第1解析部输出的整定推荐值和样本识别信息进行解析，第1解析部对包含在规定的分析规则组中的各分析规则输出整定推荐值和样本识别信息，第2解析部根据样本识别信息来输出削减了包含在规定的分析规则组中的分析规则的数量后的推荐规则集。因此，能够根据样本识别信息，排除在样本的检测中贡献较低的分析规则而更新分析规则集，并有助于分析时间的缩短和在分析处理中所需的资源的削减。

进而，第2实施方式的分析规则调整装置还具有对日志分析部的分析结果进行存储的存储部，第1解析部根据存储在存储部中的分析结果对不同的分析规则的组进行解析。也就是说，可以预先将日志分析的结果逐个存储到分析结果存储部253A中，对不同的分析规则集执行使用了同一的分析结果的整定。因此，能够缩短与日志的获取或日志分析有关的处理时间，能够高效地执行整定。

并且，在第2实施方式的分析规则调整装置中，日志分析部将规定范围的参数的指定作为整定条件来接收，并在指定的所述规定范围内对日志进行分析。因此，能够缩短分析规则的调整时间而实现高效的调整。

并且，第2实施方式的分析规则调整装置还具有反馈部，该反馈部根据第1解析部所计算出的整定推荐值对规定的分析规则进行更新。因此，能够自动地对存储在分析规则调整装置内的分析规则进行更新，从而实现了高效的调整。

(第3实施方式)

接下来，在第2实施方式中，构成为：针对分析规则集所包含的各分析规则，计算出一个整定推荐值，并输出与该整定推荐值对应的样本识别信息。与此相对，在第3实施方式中，针对分析规则集所包含的各分析规则，计算出多个整定推荐值。

在将多个分析规则作为集合(set)来利用的情况下，在对分析规则进行单独分析的情况下判断为最佳的阈值未必是最佳的。因此，在第3实施方式中，关于各分析规则，将规定的幅度范围内的阈值作为整定推荐值来输出，并在多个分析规则之间进行调整。

第3实施方式的分析规则调整装置的结构与图11所示的第2实施方式的分析规则调整装置一样。但是，分析结果解析部输出的整定报告的结构和由报告解析部进行的处理不同。并且，第3实施方式的分析规则调整装置具有集选择部，这一点与第1和第2实施方式不同。

【第3实施方式的分析规则调整系统3的结构的一例】

图17是示出第3实施方式的分析规则调整系统3的概要的图。分析规则调整系统3的结构大致与第2实施方式的分析规则调整系统2一样。在以下的说明中，省略了与第2实施方式同样的结构和功能的说明。

分析规则调整系统3具有日志收集蓄积装置10和分析规则调整装置20B。日志收集蓄积装置10的结构和功能与第1和第2实施方式同样。

分析规则调整装置20B具有日志获取部210、日志分析部220B、分析结果解析部230B以及反馈部240B。分析规则调整装置20B还具有报告解析部260B以及集选择部270。并且，分析规则调整装置20B具有分析规则存储部251B、整定设定信息存储部252B以及分析结果存储部253B。并且，分析规则调整装置20B还具有规则集选择条件存储部254。

日志获取部210的结构和功能与第1和第2实施方式的日志获取部210一样。日志分析部220B的结构和功能与第2实施方式的日志分析部220A一样。分析结果存储部253B的结构和功能也与第2实施方式的分析结果存储部253A一样。

在第3实施方式中，分析结果解析部230B对基于规定的分析规则集的分析结果进行解析而计算出各分析规则中的多个整定推荐值。即，分析结果解析部230B选择多个值作为与各分析规则的参数对应的应用阈值。

例如，在图7的例子中存在“使误检率的容许值为0.5％以下。”的整定条件。在应用了该整定条件的情况下，在应用阈值为“16”的情况下误检率为“0.1％”，在应用阈值为“20”的情况下误检率为“0.3％”。在该情况下，分析结果解析部230B并不将误检率更低的“0.1％”的应用阈值“16”作为整定推荐值，而是将应用阈值“16”和“20”这两者作为整定推荐值并以整定报告的方式输出。

并且，在应用阈值为“18”的情况下误检率为“0.6％”，在应用阈值为“12”的情况下误检率为“0.4％”。在该情况下分析结果解析部230B也将应用阈值“12”和“18”这两者作为整定推荐值并以整定报告的方式输出。

即，在存在多个满足整定条件的应用阈值的情况下，第3实施方式的分析结果解析部230B选择出预定数量的多个应用阈值并以整定报告的方式输出。并且，在满足整定条件的应用阈值没有达到预定数量的情况下，分析结果解析部230B通过添加不满足整定条件的应用阈值来选择预定数量的应用阈值并以整定报告的方式输出。

例如，分析结果解析部230B依次选择出虽然不满足由整定条件确定的容许值但更接近该容许值的应用阈值。或者分析结果解析部230B从满足由整定条件确定的容许值的应用阈值中依次选择出满足规定的条件的应用阈值。例如，如果整定条件为“使误检率的容许值为0.5％以下。”，则分析结果解析部230B选择“从比0.5％小的一方起按顺序直到规定的数量为止”的应用阈值。并且，如果整定条件为“使检测率的容许值为80％以上。”，则分析结果解析部230B选择“从比80％大的一方起按顺序直到规定的数量为止”的应用阈值。即，如果整定条件是确定了下限值的条件，则分析结果解析部230B将从比下限值大的一侧起直到规定的数量为止的阈值作为整定推荐值。并且，如果整定条件是确定了上限值的条件，则分析结果解析部230B将从比上限值小的一方起直到规定的数量为止的阈值作为整定推荐值。

这样，分析结果解析部230B创建出包含有与各分析规则对应的多个整定推荐值的整定报告并将其输出。由于由分析结果解析部230B创建并输出的整定报告中的与分析规则对应的应用阈值为多个，所以大致与图12所示的分析结果一样。

报告解析部260B接收由分析结果解析部230B输出的整定报告的输入，并通过对整定报告进行解析而输出削减了分析规则集所包含的分析规则的数量后的推荐规则集。报告解析部260B在该点上与第2实施方式的报告解析部260A同样。

然而，在作为报告解析部260B的解析对象的整定报告中包含有针对各分析规则的多个候选阈值。因此，报告解析部260B对多个分析规则的组合创建推荐规则集。

例如，对包含有分析规则A，B，C这3个分析规则的分析规则集执行整定。在该情况下，该整定的条件为对各分析规则选择出3个整定推荐值。于是，将成为分析规则A的候选的阈值A1、A2、A3和成为分析规则B的候选的阈值B1、B2、B3以及成为分析规则C的候选的阈值C1、C2、C3输出作为整定报告。在将阈值A1，A2，A3、阈值B1，B2，B3以及阈值C1，C2，C3分别进行组合的情况下，报告解析部260B选择成为削减对象的分析规则而创建推荐规则集。在创建了推荐规则集时，报告解析部260B与第2实施方式同样，以样本识别信息为基础进行判定。

集选择部270从由报告解析部260B创建的多个推荐规则集中选择满足规定条件的分析规则集。例如，集选择部270根据在应用了该规则集的网络的安全操作的运行策略中设定的条件选择分析规则集。并且，集选择部270例如从推荐规则集中选择检测样本数最多的分析规则集。集选择部270的用于选择分析规则集的条件被存储在规则集选择条件存储部254中。

由集选择部270选择的分析规则集被输入到反馈部240B。反馈部240B根据所选择的规则集对存储在分析规则存储部251B中的分析规则集进行更新。

【第3实施方式中的分析规则调整处理的流程的一例】

图18是示出第3实施方式的分析规则调整处理的流程的一例的流程图。参照图18对第3实施方式的分析规则调整处理的流程的一例进行说明。

从步骤S1801到步骤S1804的处理与图15所示的第2实施方式中的分析规则调整处理的流程一样。即，首先，日志获取部210获取日志(步骤S1801)。并且，日志分析部220B根据规定的分析规则集和整定条件对日志进行分析(步骤S1802)。并且，日志分析部220B根据规定的分析规则集和整定条件对是否对全部的阈值和全部的分析规则完成了分析进行判定(步骤S1803)。如果没有对全部的阈值和分析规则完成分析(步骤S1803，否定)，则返回步骤S1802。如果判定为对全部的阈值和分析规则完成了分析(步骤S1803，肯定)，则日志分析部220B输出分析结果(步骤S1804)。

接着，分析结果解析部230B接收分析结果而创建包含针对各分析规则的多个整定推荐值和样本识别信息在内的整定报告并将其输出(步骤S1805)。报告解析部260B对整定报告进行解析而创建多个推荐规则集并将它们输出(步骤S1806)。集选择部270根据存储在规则集选择条件存储部254中的选择条件选择规则集(步骤S1807)。反馈部240B根据选择出的规则集更新分析规则集(步骤S1808)。至此，第3实施方式中的分析规则调整处理结束。

【第3实施方式的效果】

具有上述的那样的结构的第3实施方式的分析规则调整装置除了起到第2实施方式的分析规则调整装置所起到的效果之外，还起到以下的效果。

在第3实施方式的分析规则调整装置中，分析结果解析部230B不是对各分析规则输出一个整定推荐值，而是选择出多个整定推荐值并作为整定报告来进行输出。因此，在多个分析规则之间进行调整时的选择项变多，能够实现更灵活的分析规则集的调整。

(其他的实施方式)

至此，对本发明的实施方式进行了说明，但是除了上述的实施方式以外，也可以以其他的实施方式来实施本发明。以下，对其他的实施方式进行说明。

【检测率表的创建和再利用】

在第2实施方式中，日志分析部220A的分析结果被存储在分析结果存储部253A中。上面已经叙述了分析结果用于对包含在不同的分析规则集中的分析规则进行调整，也可以对该分析结果进行再利用。并且，也可以构成为在由日志分析部220A创建的分析结果中，预先根据恶性日志的分析结果来创建并存储规定形式的检测率表，并能够对该表进行再利用。

【系统结构等】

图示的各装置的各构成要素为功能概念的装置，未必需要物理上构成为图示那样。即，各装置的分布/结合的具体方式并不仅限于图示那样，能够根据各种的负荷或使用状况等，以任意的单位将其全部或一部分功能性或物理性地分布或结合而构成。例如，也可以采用如下的结构：将日志分析部220与分析结果解析部230结合，从其他的装置处获取分析规则并向该其他的装置提供整定推荐值。

进而，由各装置进行的各处理功能的全部或任意一部分可以通过CPU和该CPU所解析执行的程序来实现，或者实现为基于布线逻辑的硬件。

并且，在本实施方式中说明的各处理中，作为自动进行的处理来说明的处理的全部或一部分也可以通过手动来进行，或者作为手动进行的处理来说明的处理的全部或一部分也可以通过公知的方法自动进行。另外，除了特殊记载的情况外，能够对于包含有在上述说明书中或附图中示出的处理步骤、控制步骤、具体的名称、各种数据和参数的信息进行任意变更。

【程序】

并且，也可以创建以计算机能够执行的语言编写了由上述实施方式中说明的分析规则调整系统1、2、3或分析规则调整装置20、20A、20B执行的处理的程序。例如，也可以创建以计算机能够执行的语言编写了由第1实施方式的分析规则调整系统1或分析规则调整装置20执行的处理的程序。在该情况下，能够利用计算机来执行程序，从而得到与上述实施方式同样的效果。进而，也可以将该程序记录在计算机所能够读取的记录介质中，通过将记录在该记录介质中的程序读入计算机而执行程序，实现了与上述第1实施方式同样的处理。以下，对执行实现了与分析规则调整系统1、2、3或分析规则调整装置20、20A、20B同样的功能的程序的计算机的一例进行说明。

图19是示出执行分析规则调整程序的计算机1000的图。如图19中例示的那样，计算机1000例如具有存储器1010、CPU(Central Processing Unit)1020、硬盘驱动器接口1030、磁盘驱动器接口1040、串行端口接口1050、视频适配器1060以及网络接口1070，通过总线1080来连接以上各部分。

存储器1010如图19中例示的那样，包含有ROM(Read Only Memory)1011和RAM(Random Access Memory)1012。ROM1011例如存储BIOS(Basic Input Output System)等引导程序。硬盘驱动器接口1030如图19中例示的那样，与硬盘驱动器1090连接。磁盘驱动器接口1040如图19中例示的那样，与磁盘驱动器1041连接。例如将磁盘或光盘等能够装拆的存储介质插入到磁盘驱动器1041中。串行端口接口1050如图19中例示的那样，例如与鼠标1110、键盘1120连接。视频适配器1060如图19中例示的那样，例如与显示器1130连接。

这里，如图19中例示的那样，硬盘驱动器1090例如对OS(Operating System)1091、应用程序1092、程序模块1093以及程序数据1094进行存储。即，上述程序作为编写有由计算机1000执行的指令的程序模块而被存储到例如硬盘驱动器1090中。

并且，在上述实施方式中说明的各种数据作为程序数据而被存储到例如存储器1010或硬盘驱动器1090中。并且，CPU1020根据需要在RAM1012中对存储在存储器1010或硬盘驱动器1090中的程序模块1093或程序数据1094进行读取，并执行各种处理步骤。

另外，与程序有关的程序模块1093或程序数据1094不限于存储在硬盘驱动器1090中的情况，例如也可以存储在能够装拆的存储介质中，经由磁盘驱动器等而由CPU1020来读取。或者，也可以将与程序有关的程序模块1093或程序数据1094存储在经由网络(LAN(Local Area Network)、WAN(Wide Area Network)等)连接的其他的计算机中，经由网络接口1070而通过CPU1020来读取。

标号说明

1，2，3：分析规则调整系统；10：日志收集蓄积装置；20，20A，20B：分析规则调整装置；110：日志收集部；120：日志规范化部；130：日志存储部；210：日志获取部；220，220A，220B：日志分析部；230，230A，230B：分析结果解析部；240，240A，240B：反馈部；251，251A，251B：分析规则存储部；252，252A，252B：整定设定信息存储部；253，253A，253B：分析结果存储部；260A、260B：报告解析部；270：集选择部。

Claims (10)

1.一种分析规则调整装置，其对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整，其特征在于，该分析规则调整装置具有：

日志获取部，其获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志；

日志分析部，其根据规定的分析规则和整定条件对所述日志获取部获取的通信日志进行分析；以及

第1解析部，其对所述日志分析部的分析结果进行解析而计算出在所述规定的分析规则的调整中使用的满足所述整定条件的整定推荐值。

2.根据权利要求1所述的分析规则调整装置，其特征在于，

所述日志分析部根据包含在规定的分析规则组中的各分析规则来进行分析，

所述第1解析部对基于所述规定的分析规则组中包含的各分析规则的分析结果并行地进行解析，并计算出与包含在所述规定的分析规则组中的各分析规则对应的整定推荐值。

3.根据权利要求2所述的分析规则调整装置，其特征在于，

所述第1解析部将样本识别信息与所述整定推荐值一起输出，该样本识别信息用于唯一识别在应用了该整定推荐值的情况下所检测的样本。

4.根据权利要求3所述的分析规则调整装置，其特征在于，该分析规则调整装置还具有：

第2解析部，其对由所述第1解析部输出的整定推荐值和样本识别信息进行解析，

所述第1解析部针对包含在所述规定的分析规则组中的各分析规则输出整定推荐值和样本识别信息，

所述第2解析部根据所述样本识别信息输出削减了包含在所述规定的分析规则组中的分析规则的数量后的推荐规则集。

5.根据权利要求3所述的分析规则调整装置，其特征在于，该分析规则调整装置还具有：

存储部，其对所述日志分析部的分析结果进行存储，

所述第1解析部根据存储在所述存储部中的分析结果，对不同的分析规则的组进行解析。

6.根据权利要求1所述的分析规则调整装置，其特征在于，

所述日志分析部接收规定范围的参数的指定作为所述整定条件，针对指定的所述规定范围分析所述通信日志。

7.根据权利要求1～6的任意一项所述的分析规则调整装置，其特征在于，该分析规则调整装置还具有：

反馈部，其根据所述第1解析部计算出的整定推荐值，对所述规定的分析规则和所述规定的分析规则组中的任意一方进行更新。

8.一种分析规则调整系统，其对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整，其特征在于，该分析规则调整系统具有：

日志存储装置，其获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志并使它们规范化而进行存储；以及

分析规则调整装置，其对存储在所述日志存储装置中的通信日志进行分析而对所述分析规则进行调整，

所述分析规则调整装置具有：

日志获取部，其从所述日志存储装置处获取通信日志；

日志分析部，其根据规定的分析规则和整定条件对所述日志获取部获取的通信日志进行分析；以及

第1解析部，其对所述日志分析部的分析结果进行解析而计算出在所述规定的分析规则的调整中使用的满足所述整定条件的整定推荐值。

9.一种分析规则调整方法，对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整，该分析规则调整方法具有如下步骤：

日志存储步骤，获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志并将它们存储到日志存储部中；

日志获取步骤，获取在所述日志存储步骤中存储在所述日志存储部中的通信日志；

日志分析步骤，根据规定的分析规则和整定条件对在所述日志获取步骤中获取的通信日志进行分析；以及

第1解析步骤，对所述日志分析步骤中的分析结果进行解析而计算出在所述规定的分析规则的调整中使用的满足所述整定条件的整定推荐值。

10.一种由分析规则调整装置执行的分析规则调整程序，该分析规则调整装置对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整，该分析规则调整程序具有如下步骤：

日志获取步骤，获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志；

日志分析步骤，根据规定的分析规则和整定条件对在所述日志获取步骤中获取的通信日志进行分析；以及

第1解析步骤，对所述日志分析步骤中的分析结果进行解析而计算出在所述规定的分析规则的调整中使用的满足所述整定条件的整定推荐值。