CN106133740B - 日志分析系统 - Google Patents
日志分析系统 Download PDFInfo
- Publication number
- CN106133740B CN106133740B CN201580013969.5A CN201580013969A CN106133740B CN 106133740 B CN106133740 B CN 106133740B CN 201580013969 A CN201580013969 A CN 201580013969A CN 106133740 B CN106133740 B CN 106133740B
- Authority
- CN
- China
- Prior art keywords
- communication
- communication log
- log
- information
- added
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 162
- 230000006854 communication Effects 0.000 claims description 454
- 238000004891 communication Methods 0.000 claims description 453
- 238000006116 polymerization reaction Methods 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 abstract description 89
- 238000001514 detection method Methods 0.000 abstract description 62
- 238000012545 processing Methods 0.000 description 198
- 238000010276 construction Methods 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 25
- 238000009434 installation Methods 0.000 description 25
- 230000002776 aggregation Effects 0.000 description 24
- 238000004220 aggregation Methods 0.000 description 24
- 238000000034 method Methods 0.000 description 23
- 238000010219 correlation analysis Methods 0.000 description 22
- 230000006870 function Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 14
- 230000009471 action Effects 0.000 description 12
- 230000008859 change Effects 0.000 description 7
- 238000000605 extraction Methods 0.000 description 6
- 230000010365 information processing Effects 0.000 description 6
- 238000007689 inspection Methods 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 231100001261 hazardous Toxicity 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 208000032370 Secondary transmission Diseases 0.000 description 1
- 238000003556 assay Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000000379 polymerizing effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/149—Network analysis or design for prediction of maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Tourism & Hospitality (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Radar Systems Or Details Thereof (AREA)
- Computer And Data Communications (AREA)
Abstract
一种日志分析系统包括第一处理器单元、第二处理器单元、第三处理器单元和第四处理器单元。第一处理器单元标准化由获取器获取的检测日志,将所述检测日志分配到预定的监控目标单元中,并且输出监控目标单元。第二处理器单元基于预定规则将通用信息添加至从第一处理器单元输出的检测日志的每个监控目标单元,基于检测日志和通用信息的内容来布置监控目标单元的信息粒度,并输出监控目标单元作为分析单元信息。第三处理器单元收集从第二处理器单元输出的分析单元信息并基于预定规则来设置检测目标事件候选,基于预定规则确定检测目标事件候选是否是具有特定性质的检测目标处理,并输出检测目标事件候选和确定的结果。第四处理器单元输出以预定的输出格式输出从所述第三处理器单元输出的检测目标事件候选和确定的结果。
Description
技术领域
本发明涉及一种用于获取并分析在目标系统中产生的日志的日志分析系统。
本申请要求基于2014年3月31日提交的第JP 2014-074606号日本专利申请的优先权,该日本专利申请的内容通过引用包含于此。
背景技术
在利用诸如因特网的信息通信网络(下文中简称为“网络”)的各种信息系统中,发生大量的数据通信和处理。然而,可能产生问题,例如在网络上操作的服务器或者诸如各种终端装置之类的设备的非授权访问的问题,或者从服务器泄漏非授权信息等问题。
例如,期望实时地监控数据通信以阻止由于非授权通信造成的损害,而不需要事后调查通信日志。已经公开了用于这样做的传统技术。例如,JP2007-536646公开了从各个监控装置收集安全事件、存储安全事件、将存储的安全事件的子集作为事件流提供给管理员、并且使管理员发现事件流中的一个或更多个未知事件模式。
通常,对应的过程可以通过以下方式执行:监控网络上的服务器上的通信,并且检测非授权的访问或数据发送和接收。当多个服务器被用作待监控的目标时,可以在中心位置处执行检测。
专利文献1:JP 2007-536646。
发明内容
在分析大量的日志并执行信息处理来提取具有特定性质的处理(例如有问题的通信)以对网络执行如上所述的信息通信监控等的时候,获取作为分析目标的日志中的数据的量通常是巨大的。然而,可能仅需要提取少量的具有特定性质的处理,并且可能仅需要对少数的日志执行这样的处理。因此,在各种各样的信息处理领域中需要适当地缩小将被分析的目标并且高效地执行分析,而不管通信是否被监测。
本发明的一个目的在于提供一种日志分析系统,所述日志分析系统能够缩小用于分析的日志并且高效地执行日志分析。
为了实现该目的,涉及本发明的实施例的一种日志分析系统可以分析监控目标系统中检测到的检测日志。所述日志分析系统可以被提供有:获取装置,用于检测在监控目标系统中执行的检测目标处理,并获取检测目标处理的检测日志;以及处理器装置,用于处理由获取器获取的检测日志并将检测日志分类为具有特定性质的检测目标处理以及不具有特定性质的检测目标处理。处理器装置包括:第一处理器单元,被配置为标准化由获取器获取的检测日志,将所述检测日志分配到预定的监控目标单元中,并且输出监控目标单元;第二处理器单元,被配置为基于预定规则将通用信息附加至从第一处理器单元输出的检测日志的每个监控目标单元,基于检测日志和通用信息的内容来使监控目标单元排布(arrange)至信息粒度,并输出监控目标单元作为分析单元信息;第三处理器单元,被配置为收集从第二处理器单元输出的分析单元信息并基于预定规则来设置检测目标事件候选,基于预定规则确定检测目标事件候选是否是具有特定性质的检测目标处理,并输出检测目标事件候选和所述确定的结果;以及第四处理器单元,被配置为以预定的输出格式输出从所述第三单元输出的检测目标事件候选和所述确定的结果。
在上述日志分析系统中,所述处理器装置的第一处理器单元还可以通过组合多个处理单元块来配置,所述处理单元块被分别组件化为单独的处理器,以执行所述检测日志的标准化和分配。
在上述日志分析系统中,基于对应于获取装置的类型而设置的规则,所述处理器装置的第一处理器单元还可以执行处理,以指定构成第一处理器单元的所述处理单元块的类型和处理顺序。
在上述日志分析系统中,所述处理器装置的第二处理器单元还可以通过组合多个处理单元块来配置,所述处理单元块被分别组件化为单独的处理器,以将通用信息附加到检测日志并排布信息粒度。
在上述日志分析系统中,基于对应于监控目标单元的类型而设置的规则,所述处理器装置的第二处理器单元还可以执行处理,以指定构成第二处理器单元的处理单元块的类型和处理顺序。
在上述日志分析系统中,所述处理器装置的第三处理器单元还可以具有:分类单元,用于将从所述第二单元输出的分析单元信息分为对其进行所述相关分析的分析单元信息以及不对其进行所述相关分析的分析单元信息;整合单元,用于整合对其进行所述相关分析的所述分析单元信息,并设置检测目标事件候选;以及分析单元,用于执行确定处理,所述确定处理包括对针对所述检测目标事件候选的分析单元信息的相关的分析,并且确定所述检测目标事件候选是否是具有特定性质的检测目标处理。
在上述日志分析系统中,包括在处理器装置中的第三处理器单元中的分析单元还可以通过组合多个处理单元块来配置,所述处理单元块被分别组件化为单独的处理器,以进行确定处理,所述确定处理包括基于确定条件的相关分析,所述确定条件针对确定检测目标事件候选是否是具有特定性质的检测目标处理而设置。
在上述日志分析系统中,所述处理器装置的第二处理器单元还可以使用以下处理作为用于排布检测日志信息粒度的处理:在所述检测日志经过一次检测目标处理时,在从所述监控目标系统获取所述检测日志的情况下,基于预定的聚合条件将多个检测日志聚合为一条分析单元信息的处理。另一方面,所述第二处理器单元还可以使用以下处理作为用于排布检测日志信息粒度的处理:当所述检测日志经过了多次检测目标处理时,在所述检测日志是从监控目标系统获取的日志的情况下,将一个检测日志设置为一条分析单元信息。
本发明的实施例还可以通过控制计算机以执行作为程序的上述装置功能来实现。所述程序可以通过分配存储在磁盘、光盘、半导体存储器或其它记录介质上来提供,并且也可以通过网络分配来提供。
根据本发明,在日志分析过程中,目标可以被缩小并且可以高效地执行分析。
附图说明
图1是示出本实施例的安全监控系统的构造的示例的图。
图2是示出构成图1中所示的监控子系统的收集器单元的功能性构造的示例的图。
图3是示出由组件化处理单元块构成的图2中所示的收集器单元的构造的示例的图。
图4是示出构成根据图1中所示的监控子系统的检测器单元的功能性构造的示例的图。
图5是是示出由组件化处理单元块构成的图4中所示的检测器单元的构造的示例的图。
图6是示出构成根据图1中所示的监控子系统的分析单元的功能性构造的示例的图。
图7是示出本实施例中的相关分析的概念的图。
图8A是示出本实施例中的增量分析的概念的图,并且是示出成为特定分析的相关分析目标的检测事件候选的配置的示例的图。
图8B是示出本实施例中的增量分析的概念的图,并且是示出下一个分析的同一检测事件候选的配置的示例的图。
图9是示出图6中所示的分析单元的构造的示例的图,其由包括个体分析处理器、事件整合处理器、相关分析处理器和增量分析处理器的组件化处理单元块构成。
图10是示出如图1中所示的监控子系统的人工分析单元的功能性构造的示例的图。
图11是用于解释在本实施例中传送通信日志文件的方法的图。
图12是示出在本实施例中传输通信日志文件的示例的图。
图13是示出在本实施例中传输通信日志文件的不同示例的图。
图14是示出在本实施例中传输通信日志文件的又一示例的图。
图15是示出图1中所示的终端装置的功能性构造的示例的图。
图16是示出在本实施例中分析屏幕的构造的示例的图。
图17是示出用于构成在本实施例的监控子系统中的每个服务器和终端装置的优选硬件构造的示例的图。
具体实施例
在下面参照附图解释本发明的实施例。
下面,以将日志分析系统应用于监控网络上的通信并获取和分析通信日志以作为检测日志的安全监控系统为例,来解释本实施例的用于从调查目标系统获取和分析检测目标处理日志(“检测日志”)的日志分析系统。本实施例的安全监控系统(安全操作中心,“SOC”)监控信息处理装置(即,被监控的装置)的通信,并且提取有问题的通信(例如,非授权外部访问、非授权内部信息泄露等)以作为具有提取必要特定性质的检测目标处理的一个目标。
系统构造的示例
图1是示出本实施例的安全监控系统的构造的示例的图。
如图1所示,根据本实施例的安全监控系统包括检测器装置110、日志获取代理器(agent)121和日志管理子系统120,该检测器装置110作为用于监控在监控目标装置100中的通信并获取通信日志的获取装置。根据本实施例的安全监控系统还提供有监控子系统200,以作为用于处理获得的通信日志并提取有问题的通信的处理器装置。另外,根据本实施例的安全监控系统还提供有终端装置300,以作为用于输出由监控子系统200处理的结果的输出装置。在图1中示出的构造中,安装在监控目标装置100中的检测器装置110和日志获取代理器121与日志管理子系统120、监控子系统200和终端装置300分开。安装在监控目标装置100中的构成元件可以被称作目标侧系统,而日志管理子系统120、监控子系统200和终端装置300可以被称作中心侧系统。应注意的是,虽然在图1的示例中仅示出了一个监控目标装置100,但是在实际系统中,可以将多个监控目标装置100中的通信作为监控的目标。
监控目标装置100是将被根据本实施例的安全监控系统监控的目标,并且是产生由检测器装置110和日志管理子系统120获得的日志的装置。具体地,监控目标装置100是运行安装的软件(例如入侵检测系统(IDS)、入侵防御系统(IPS)或者其它安全系统、或者类似防火墙的软件或者防病毒软件)的服务器等。
应当注意的是,本实施例中解释了这样的示例,其中日志分析系统作为安全监控系统,并且日志分析系统获取通信日志作为网络通信监控目标。然而,本实施例的合适的示例不限于上述示例。还可以将本实施例的日志分析系统应用为用于获取和调查由除了通信之外的不同处理产生的各种日志。
检测器装置110由传感器111和传感器管理器112构成。传感器111是根据本实施例的安全监控系统的监控目标单元。例如,传感器111可以通过使用监控目标装置100中的通信检测功能来实现。传感器111实时获取与通信相关的数据。例如,传感器管理器112可以通过使用监控目标装置100的功能来实现。传感器管理器112管理传感器111。也就是说,传感器111和传感器管理器112可以以多种形式设置,例如软件、软件和硬件结合、使用各种安全系统功能(例如IDS/IPS、防火墙、防病毒软件等)。在实际系统中,根据被设置为待监控目标的监控目标装置100的规格、用途以及使用环境,可以使用各种传感器111和传感器管理器112。
日志获取代理器121将由被传感器管理器112管理的传感器111获取的与通信相关的数据实时地发送至日志管理子系统120以作为通信日志。在本实施例中,由日志获取代理器121发送至日志管理子系统120的通信日志被称作“原始日志”。例如,日志获取代理器可以被设置为计算机程序。将原始日志发送至日志管理子系统120的功能可以通过在监控目标装置100中安装并运行日志获取代理器121来实现。如上所述,各种不同的传感器和传感器管理器可以被用于获取原始日志的传感器和传感器管理器112。因此,包括在原始日志中的信息的内容和格式可以根据获取原始日志的传感器111和传感器管理器112的类型而不同。
应当注意的是,对于图1中示出的实施例,应用了其中日志获取代理器121被安装在作为目标侧系统的监控目标装置100中的构造。然而,本实施例不限于这种类型的构造。日志获取代理器121也可以被配置为中心侧系统,而不被安装在监控目标装置100中。在这种情况下,日志获取代理器121可以被配置为通过网络连接到监控目标装置100的独立服务器等,并且日志获取代理器121也可以被实现为日志管理子系统120的一个功能。
日志管理子系统120从日志获取代理器121获取原始日志。因此,对于日志管理子系统120中的每个日志获取代理器121,获取原始日志。另外,日志管理子系统120将获取到的原始日志分割为每个传感器的通信日志文件,并且将通信文件实时地发送至监控子系统200。例如,日志管理子系统可以通过使用计算机来实现。也就是说,通过使用CPU来执行存储在计算机的存储装置中的程序,可以实现上面描述的功能。从日志获取代理器121获取的原始日志被分割为通信日志文件并发送至监控子系统200。
监控子系统200是被配置为对从日志获取代理器120获取的通信文件执行处理的处理器单元。监控子系统200包括收集器单元210、检测器单元220、分析单元230和人工分析单元240。监控子系统200利用处理器单元210、220、230和240按照该顺序来处理从日志获取代理器120获取的通信日志文件,以提取有问题的通信。换言之,监控子系统200将通信日志文件中显示的由监控目标装置100进行的通信分为有问题的通信和没有问题的通信。
可以通过使用多个服务器(硬件)来生成监控子系统200中的处理器单元210、220、230和240。该多个服务器可以互相并行地且异步地执行处理。在本实施例中,例如,可以通过使用基于Java信息服务(JMS)等的异步通信来完成在监控子系统200中的处理器单元210、220、230和240之间的通信日志文件的传递。例如,通过使用计算机来实现监控子系统200。也就是说,可以使CPU执行存储在计算机的存储装置中的程序,从而实现每个处理器单元210、220、230和240的功能。在下面提供每个处理器单元210、220、230和240的细节以及这些处理器单元之间的通信。
终端装置300是用于输出由监控子系统200发现的处理结果的装置。终端装置300是用户(分析员)在分析监控目标装置100中的通信时使用的装置。监控目标装置100中的通信被分为有问题的通信和没有问题的通信,并且将其作为监控子系统200的处理结果来提供。有问题的通信包括该通信明确是非法的通信,以及该通信可能是非法的通信。终端装置300的分析员用户可以基于输出至终端装置300的监控子系统200的处理结果来分析那些可能非授权的(非法的)通信,并随后能够判断通信是否是非法的。
例如,终端装置300可以通过使用计算机来实现。也就是说,可以使用CPU来执行存储在计算机的存储装置中的程序,从而实现终端装置300的每个功能。在下面描述终端装置300的具体功能以及在终端装置300中输出的信息的内容和格式的细节。
收集器单元的功能
图2是示出构成图1中所示的监控子系统200的收集器单元210的功能性构造的示例的图。
收集器单元210(即第一处理器单元)针对已经获得了通信日志文件的基本通信日志(原始日志)的每种类型的检测器装置110,对从日志管理子系统120获取的通信日志文件执行设置处理。这里使用的关于检测器装置110的术语“类型”表示提供检测器装置110的传感器111和传感器管理器112的功能的产品类型,例如IDS/IPS、防火墙、防病毒软件等。应注意的是,例如,在通信日志文件中可以包括指明检测器装置110的类型的信息(例如ID、产品名称等)。
如图2所示,本实施例的收集器单元210对获得的通信日志文件执行以下处理:处理以提取分析目标日志、处理以标准化通信日志、处理以分配通信日志、以及过滤。
在处理以提取分析目标日志的过程中,收集器单元210从包括在从日志管理子系统120获取的通信日志文件中的通信日志中,提取成为被监控子系统200处理(分析)的目标的通信日志。在从日志管理子系统120获取的通信日志文件(原始日志)中包括检测器装置的传感器111工作或停止的操作日志(不需要分析的日志)。收集器单元210仅提取成为监控子系统200的预定处理目标(分析目标)的信息,并去除其它信息。
在处理以标准化通信日志的过程中,收集器单元210基于预定的规则来标准化提取的分析目标通信日志。具体地说,收集器单元210在通信日志中选取诸如日期和时间、协议代码、发送者互联网协议地址(IP地址)、发送者端口、目的地IP地址、目的地端口等信息,并且以通用的格式准备(prepare)它们。例如,收集器单元210标准化用于描述日期和时间的准则(西方类型、日本类型等)和格式,并且标准化IP地址的表示系统(记数系统)。
基于检测器装置110的类型,可能存在获取的通信日志中不包括经受标准化处理的一部分信息的时候。为了解决这种情况,收集器单元210可以执行例如代入预定的缺省值、代入表示无数据的值(Null)、执行分析而不补充信息等的处理。具体地说,根据缺少的信息的类型来确定采用的方法。应当注意的是,在通信日志格式不符合获取通信日志的检测器装置110的产品规格的情况下,以及在获取的通信日志中的值不正常的情况下,收集器单元210确定获取的通信日志为损坏的通信日志,将该通信日志从分析目标中移除,并将该损坏的通信日志储存在存储数据库中。获取的通信日志中的不正常值可能由于例如日期信息是未来的日期而产生。
用于分配通信日志的处理是这样的一种处理,其在检测器装置110是将多个监控目标装置100中的通信作为目标的数据中心的模式的情况下,将标准化后的通信日志分割为通过契约等确定的每个监控目标的通信日志。例如,当在应用已注册的监控目标装置100的环境下实现由在网络上建立的检测器装置110提供的服务时,一个检测器装置110可检测多个监控目标装置100的通信。在这种情况下,多个监控目标装置100中的通信日志被包括在由检测器装置110获取的通信日志文件中。为了对每个独立的顾客进行通信日志的分析,在本实施例中,收集器单元210按照监控目标装置100来分割通信日志。因此,在未应用数据中心模式而是对每个监控目标提供独立的检测器装置110的情况下,不需要通信日志的分配处理。
例如,可以基于IP地址范围信息来执行通信日志的分配。具体地,下面解释了可能的示例。即,由检测器装置110处理的IP地址范围可能从[x.x.x.1]到[x.x.x.30],其中x是从0到255的数字。分配给顾客A的监控目标装置的IP地址可以从[x.x.x.1]到[x.x.x.10]。分配给顾客B的监控目标装置的IP地址可以从[x.x.x.11]到[x.x.x.12]。分配给顾客C的监控目标装置的IP地址可以从[x.x.x.13]到[x.x.x.30]。利用该示例,通过在收集器单元210中预先对每个监控目标装置100注册IP地址范围,收集器单元210能够确定特定的通信日志与哪一个监控目标装置100相关联,并随后执行分配。
在过滤处理过程中,收集器单元210基于根据独立的顾客设置的独立的条件和规则来确定由如上所述的分配处理分配的通信日志是否是分析目标。在过滤处理中将要确定的项包括目的地IP地址、目的地端口、发送者IP地址、发送者端口等。也就是说,在特定的通信日志中的目的地IP地址是指定的值的情况中,收集器单元210可以执行例如从分析目标中去除该通信日志的处理。另外,当检测日期和时间被设置为确定项时,收集器单元210可以执行处理,使得仅在指定的日期和时间或者指定的日期和时间之后发生的通信被包括在分析目标中。
因此,收集器单元210从获取自日志管理子系统120的原始日志中的通信日志文件中提取处理目标的通信日志,并执行标准化。收集器单元210随后将已经被处理的通信日志发送至下游的检测器单元220。
在本实施例中,用于执行上述处理的执行单元可以由针对每个小的处理器单元的单独的组件构成。通过组合组件化处理器单元的块(在下文中称作“处理单元块”),能够容易地配置对应于各种检测器装置110的处理。由单独的处理单元块执行的处理内容(处理单元)不受限制。通过重新配置处理单元块,该内容可以被设置为使其能够处理不同的检测器装置110。
图3是示出由组件化处理单元块构成的图2中所示的收集器单元的构造的示例的图。
如图3所示,多个处理单元块211包括初始信息获取块211a、接收实例计数获取块211b、接收文件注册块211c、项编辑块211d、格式失配日志信息注册块211e、日志通用项编辑块211f以及顾客划分模块211d。初始信息获取块211a是用于执行获取初始信息的处理的处理单元块。接收实例计数获取块211b是用于执行获取接收到的实例的数量的处理的处理单元块。接收文件注册块211c是用于执行注册接收到的文件的处理的处理单元块。项编辑块211d是用于执行编辑项的处理的处理单元块。格式失配日志信息注册块211e是用于执行注册失配日志信息的处理的处理单元块。日志通用项编辑块211f是用于执行编辑日志通用项的处理的处理单元块。顾客划分块211d是用于执行顾客划分的处理的处理单元块。处理单元块211被组合以构成收集器单元211。应当注意的是,图3中仅示出了构成收集器单元210的处理单元块211的一部分。例如,诸如初始信息获取块211a、接收实例计数获取块211b、接收文件注册块211c之类的处理单元块211处理图2中示出的分析目标日志提取处理。诸如项编辑块211d、格式失配日志信息注册块211e以及日志通用项编辑块211f之类的处理单元块211处理图2中示出的标准化处理。诸如顾客划分块211g之类的处理单元块211处理图2中示出的分配处理。
在本实施例中,可应用的处理单元块211的类型和顺序根据检测器装置110的类型(诸如IDS/IPS、防火墙、防病毒软件等的产品类型)来设置。也就是说,针对设置为待监控目标的监控目标装置100的检测器装置110的每种类型,准备处理单元块211的可应用顺序。然后,通过应用该顺序来利用每个处理单元块211执行处理,从而根据获取处理目标通信日志文件的检测器装置110的类型来执行通信日志文件处理。
例如,由收集器单元210的处理单元块211中的每个执行的处理的结果可以被临时地储存在配置收集器单元210的计算机存储器中。一旦完成了收集器单元210的处理,该结果随后与通信日志一起被发送至下游的检测器单元220。
检测器单元的功能
图4是示出构成监控子系统200的检测器单元220的功能性构造的示例的图。
检测器单元220(即第二处理器单元)对从上游的收集器单元210获取的通信日志执行处理。根据获取通信日志文件的基本通信日志(原始日志)的检测器装置110的类型来设置该处理。如在这里使用的,关于检测器装置110的术语“类型”表示(unit)提供检测器装置110的传感器111和传感器管理器112的功能的安全服务的类型(IDS/IPS、防火墙等)。应注意的是,例如,在通信日志文件中可以包括指明检测器装置110的类型的信息(例如ID、设备名称等)。
如图4中所示,本实施例的检测器单元220对由收集器单元210处理的通信日志执行通用信息添加处理和日志聚合(创建事件)处理。
检测器单元220在通用信息添加处理期间添加在通信日志分析中使用的通用信息。该通用信息是与每个通信日志中的通用项相关的信息。在本实施例中,下面的五项被设置为通用信息:攻击模式信息(原始签名ID)、通信方向分类、规则动作信息、协议号或名称以及国家代码。
攻击模式信息是由监控子系统200添加到通信日志中以指明攻击模式的信息。当检测器装置110在通信日志(原始日志)中检测到某种类型的攻击时,将指明检测到的攻击(制造商或签名信息)的信息添加到通信日志中。然而,该信息的格式根据监控目标装置100的类型以及检测器装置110的类型而不同。因此,在本实施例中,检测器单元220将原始信息(攻击模式信息)添加到通信日志中。
通信方向分类是这样一种信息,其显示由通信日志示出的通信是否是从外部网络向由监控目标装置100分类的内部网络进行的通信,或者是通过监控目标装置100从内部网络向外部网络的相反方向上的通信。在网络安全领域,通信的意义和重要性根据通信源是内部网络还是外部网络而存在很大不同。作为具体示例,将解释由被计算机病毒感染的信息处理装置执行的通信的通信日志的情况。在这种情况下,被计算机病毒感染的信息处理存在于外部网络中,所以假设通信是来自外部网络的,则不存在特别的问题。另一方面,当通信是从内部网络发,当被计算机病毒感染的信息处理装置存在于内部网络(其为监控目标装置100的保护目标)时,则其必须被处理。在本实施例中,检测器单元220将示出通信的方向的通信方向分类信息添加到通信日志中。例如,可以通过参考监控目标装置100的网络地址和私有地址并确定发送者IP地址或目的地IP地址是监控目标装置100的内部网络或者是外部网络来获得通信方向分类信息。
规则动作信息是示出在监控目标装置100中检测到通信时由检测器装置110响应于该通信而执行的动作的信息。在使用诸如IDS或IPS之类的安全装置作为检测器装置110的情况下,该装置基于装置的功能报告已经检测到的危险通信,或者通过不提供许可来阻止该通信。由检测器单元220来添加示出执行的动作类型的信息。在一些情况下,基于被用作检测器装置110的安全装置来将规则动作信息添加到通信日志。然而,即使对于相同的动作,用于该动作的名称也可以根据使用的安装装置的类型而不同。因此,监控子系统200的检测器单元220添加标准化的名称。
协议号或名称是示出在通信日志中显示的通信中使用的通信协议类型的信息。存在多种类型的协议,例如TCP和UDP,因此检测器单元220添加用于区分协议的信息。在本实施例中,例如,可以基于互联网数字分配机构(IANA)的定义来设置示出通信协议类型的信息。
国家代码是示出通信日志中显示的通信的发送者国家和目的地国家的信息。基于通信日志中的发送者IP地址和目的地IP地址来确定国家。国家代码主要被用作统计信息。对于基于发送者国家或目的地国家是否是一个具有大量的非法通信攻击的国家或者非法通信是否来自检测器单元220所处的国家内部来考虑通信危险级别的差异的情况,国家代码也可以使用在通信日志分析中。
因此,检测器单元220将信息添加到通信日志中以作为通用格式信息。该信息具有高利用价值以用于分析通信日志。
在日志聚合处理期间,检测器单元220基于需求来考虑通信日志并产生事件,所述事件是分析单元信息。通信日志的信息粒度根据被用作检测器装置110的安全装置的类型而不同。例如,当检测器装置110是防火墙并且发现了受到检测的通信时,该通信立即被传感器111检测。相反,如果检测器装置110是IDS等,则传感器111基于危险通信的多次发生根据预定的判断规则来判断该通信是危险的。在检测器装置110是防病毒软件的情况下,当信息处理装置目标被计算机病毒感染时,传感器111检测该感染。因此,一个通信日志中信息的重要性根据检测器装置110的类型而不同。在本实施例中,检测器单元220聚合多个通信日志并创建事件,并且根据检测器装置的类型来使信息粒度统一。即,当由检测器装置110获取的单个通信日志具有大量的信息时,检测器单元220创建具有非常少量的通信日志的一个事件。另一方面,当由检测器装置110获取的单个通信日志具有少量的信息时,检测器单元220创建具有相当大量的通信日志的一个事件。
作为一个示例,在本实施例中,在检测器装置110是防火墙的情况以及检测器装置110是不同类型的装置的情况之间,事件创建处理不同。具体地说,如果检测器装置110是防火墙,如上所述,在通信日志(由传感器111检测的一次通信)中具有少量的信息。因此,检测器单元222根据预定的规则聚合获取到的通信日志来产生事件。与防火墙相比,在检测器装置是除了防火墙之外的检测器装置时获取到的通信日志中具有相对大量的每个通信日志的信息(由传感器111检测的通信等包括多个通信)。因此,在这种情况下,检测器单元220对于一个日志创建一个事件。
当检测器装置110是防火墙时,如下地执行事件产生处理。首先,检测器单元220基于包括在通信日志中的信息以及由上述通用信息添加处理添加到通信日志的通用信息,收集符合预定的聚合规则的通信日志并创建事件。具体地说,当下列判断项是通用的时,检测器单元220可以将通信日志作为目标:通信日志中包括的顾客ID、检测日期、发送者IP地址、发送者端口号、目的地IP地址或目的地端口号;以及作为通用信息的通信方向分类、规则动作以及协议号(名称)。当具有通用判断项的通信日志的数量等于或超过预定的阈值时,检测器单元220将可应用的通信日志收集到一起并创建一个事件。
接下来,对于基于上述的聚合规则被确定为不合格的通信日志,执行由主机(host)和扫描聚合进行的确定。具体地说,当下面的判断项是通用的时,检测单元220可以将通信日志作为目标:通信日志中包括的顾客ID、检测日期、发送者IP地址、发送者端口号、目的地端口号;以及包括通信方向分类、规则动作以及协议号(名称)的通用信息。当来自具有通用判断项的通信日志中具有特定的目的地IP地址的通信日志的数量等于或超过预定的阈值时,检测器单元220将可应用的通信日志收集到一起并创建一个事件。
接下来,对于通过上述主机扫描聚合确定为不合格的通信日志,由端口扫描聚合执行确定。具体地说,当下面的判断项是通用的时,检测单元220可以将通信日志作为目标:通信日志中包括的顾客ID、检测日期、发送者IP地址、发送者端口号、目的地IP地址;以及包括通信方向分类、规则动作以及协议号(名称)的通用信息。当来自具有通用判断项的通信日志中具有特定的目的地端口号的通信日志的数量等于或超过预定的阈值时,检测器单元220将可应用的通信日志收集到一起并创建一个事件。
对于由端口扫描聚合确定为不合格的通信日志,检测器单元220将可应用的通信日志收集到一起,并由预定数量的通信日志创建一个事件。因此,检测器单元220将由防火墙的检测器装置110获取的具有小的信息粒度的通信日志聚合。该信息粒度接近由其他检测器装置110获取的通信日志(事件)的信息粒度。然后,检测器单元220将具有统一的(aligned)信息粒度的事件发送至下游的分析单元230。
在本实施例中,用于执行诸如上述那些处理的执行单元通过将其组件化至小处理器单元中来构造。通过组合组件化的处理单元块(在下文中称作处理单元块),可以设计由检测器单元220执行的处理内容(例如单个处理器单元的类型和顺序)。然后,能够容易地配置对应于各种监控目标装置100的处理。对由各个处理单元块执行的处理内容(处理器单元)没有特殊的限制。内容被设置为使其能够通过组合处理单元块来处理不同的监控目标装置100。
图5是示出由组件化处理单元块构造的检测器单元220的构造的示例的图。
利用图5中示出的示例,多个处理单元块221包括唯一标识信息添加块221a、通信方向分类添加块221b、规则动作添加块221c、协议号和名称添加块221d、国家代码添加块221e、聚合规则确定块221f、主机扫描聚合块221g和端口扫描聚合块221h。唯一标识信息添加块221a是用于添加唯一标识信息的处理单元块。通信方向分类添加块221b是用于添加通信方向分类的处理单元块。规则动作添加块221c是用于添加规则动作的处理单元块。协议号和名称添加块221d是用于添加协议号和名称的处理单元块。国家代码添加块221e是用于添加国家代码的处理单元块。聚合规则确定块221f是用于确定聚合规则的处理单元块。主机扫描聚合块221g是用于聚合主机扫描的处理单元块。端口扫描聚合块221h是用于聚合端口扫描的处理单元块。组合处理单元块221构成了检测器单元220。应当注意的是,在图5中仅示出了构成检测器单元220的处理单元块221的一部分。例如,诸如唯一标识信息添加块221a、通信方向分类添加块221b、规则动作添加块221c、协议号和名称添加块221d和国家代码添加块221e之类的处理单元块221处理图4中示出的通用信息添加处理。诸如聚合规则确定块221f、主机扫描聚合块221g和端口扫描聚合块221h之类的处理单元块221处理图4中示出的日志聚合(事件创建)处理。
在本实施例中,基于监控目标装置100(安全装置分类)的类型来设置可应用的处理单元块221的类型和顺序。也就是说,对于被设置为监控目标的监控目标装置100的每个类型,来准备处理单元块221的可应用的顺序。然后,通过应用用于根据获取处理目标通信日志文件的监控目标装置100的类型来执行通信日志文件处理而设置的顺序,由每个处理单元块221来执行处理。
例如,由收集器单元220的每个处理单元块221执行的处理的结果可以被临时地存储在构成收集器单元220的计算机存储器中。然后,一旦由检测器单元220进行的处理完成,则该结果与通信日志一起被发送至下游的分析单元230。
分析单元的功能
图6是示出构成监控子系统200的分析单元230的功能性构造的示例的图。
在图6示出的构造示例中,分析单元230(即第三处理器单元)由个体分析处理器230a、事件聚合处理器230b、相关分析处理器230c和增量分析处理器230d构成。
个体分析处理器230a确定由检测器单元220产生的各个事件中是否存在问题。具体地说,个体分析处理器230a检查与非法通信相关的事件(执行匹配)和列表(黑名单),并且在发现匹配时确定在特定事件中显示的通信是非法通信。例如,与有问题的通信相关的IP地址可以被记录在非法通信列表中。然后,当事件中显示的通信的发送者IP地址或目的地IP地址中的一个与记录在列表中的IP地址匹配时,个体分析处理器230a确定通信是非法通信。
另外,对于已经由于匹配有问题的通信列表而被确定为具有有问题的通信的事件,个体分析处理器230a基于事件之间的相关性来确定是否执行处理。也就是说,个体分析处理器230a被用作用于划分事件的划分单元(划分器),以将事件划分为基于相关性来执行分析的事件以及不基于相关性来执行相关分析的事件。事件是否是基于相关性来分析的目标的确定可以如下地执行,例如:根据具体的通信内容,可以通过由检测器单元220在通用信息添加处理期间添加到通信日志的通用信息(例如攻击模式信息、通信方向信息等)来进行该确定。对于已经被确定为将被基于相关性来执行分析处理的目标的事件,接下来通过事件聚合处理器230b来执行聚合处理。另一方面,对于已经被确定为不基于相关性来执行分析的事件,分析单元230将该事件发送至人工分析单元240而不进行后续分析(即,作为不进行相关分析或增量分析的目标)。
事件聚合处理器230b对由个体分析处理器230a确定为基于相关性的分析目标的事件进行聚合。基于预定的规则来聚合事件。事件聚合处理器230b还从一个或多个事件产生事件列表(事件链)。另外,事件聚合处理器230b基于预定的规则聚合事件链,并从一个或多个事件链产生事件候选。事件候选成为分析的检测目标(称作检测事件候选)。即,事件聚合器230b被用作用于聚合事件并产生检测事件候选的聚合单元(聚合器)。具体地说,事件聚合处理器230b可以对由来自外部网络上的服务器等的非法访问导致的攻击进行如下处理。例如,事件聚合处理器230b可以例如提取假定为来自同一攻击者(访问者)、使用相同的攻击单元(访问方法)、具有相同的攻击目标等的攻击的通信,并收集提取的通信作为检测事件候选。例如,可以基于诸如发送者IP地址、通信方向分类、检测日期等的信息来进行假定为来自同一攻击者、使用相同的攻击单元、具有相同的攻击目标等的攻击的通信的提取。
检测器装置110和日志管理子系统120的通信日志获取以及由监控子系统200的检测器单元220和收集器单元210进行的处理根据需要而发生。因此,事件随着时间的流逝而一个接一个地产生。当由事件聚合处理器230c确定为包括在特定的检测器事件候选中的目标事件时,新产生的事件被合并在该检测器事件候选中。因此,检测器事件候选成为利用相关分析处理器230c和增量分析处理器230d对每个新添加的事件进行处理的目标。
通过执行攻击模式合并确定和实例阈值超出确定,相关分析处理器(分析单元、分析器)230c确定作为多个事件的组合的检测事件候选是否是有问题的通信。
在攻击模式组合确定过程中,相关分析处理器230c确定由检测事件候选指明的通信是否是有问题的通信。利用特定的通信类型基于通信方向、发送者和目的地IP地址(范围)、发送者和目的地、规则动作、发送者和目的地国家代码、会话数据等,以及基于攻击模式信息(原始签名ID)来进行该确定。也就是说,相关分析处理器230c确定由检测器事件候选指明的通信内容是否对应于由攻击模式信息指明的攻击模式。应当注意的是,相关分析处理器230c根据该信息来确定是否存在进行实际攻击(信息的榨取、删除等)的高可能性。
在实例阈值超出确定过程期间,相关分析处理器230c确定由检测事件候选指明的通信是否是有问题的通信。基于检测事件候选中包括的通信日志中的通信方向、发送者和目的地IP地址(范围)、发送者和目的地、规则动作、发送者和目的地国家代码等的实例的数量的信息来进行该确定。相关分析处理器230c确定由检测事件候选指明的通信的数量与正常量相比是否明显增大。
图7是示出相关分析的概念的图。
分析单元230的事件聚合处理器230b从通过检测器单元220获取的事件中,将成为聚合处理目标的事件聚合、产生事件序列并且另外产生检测事件候选。然后,事件聚合处理器230b基于每个检测器事件候选中包括的事件序列以及基于事件之间的相关性来对每个检测事件候选执行攻击模式组合确定以及实例阈值超出确定。
增量分析处理器230d通过执行事件变化确定、攻击单元增加确定、攻击实例增加确定以及攻击目的地增加确定,来确定检测事件候选(其为多个事件的组合)是否是有问题的通信。例如,对于来自存在于外部网络中的服务器等的攻击,该攻击可能不是单个事件,相反,同一攻击可能持续地重复,攻击内容可能改变,或者攻击目的地可能增加。增量分析处理器230d基于包括在检测事件候选中的通信日志来确定有问题的通信是否具有可疑的事件变化。
关于确定的进一步解释如下。例如,增量分析处理器230d可以基于来自相关分析处理器230c的固定周期(例如一天)的分析结果,来确定在分析每个检测事件候选中使用的分析规则(用于攻击模式组合确定或者实例阈值超出确定的规则)的可用的变化。
应用变化确定可以被用于应用了与前一次分析不同的规则(不同的事件)的情况。增量分析处理器230c确定包括在确定目标检测事件候选中的通信是有问题的通信。
攻击单元增加确定可以被用于应用了前一次分析相同的规则,但是确认目标攻击模式信息增加了(确认目标的攻击单元增加了)的情况。增量分析处理器230d确定包括在确定目标检测事件候选中的通信是有问题的通信。
攻击实例增加确定可以用于通信具有相同的确认目标攻击模式信息(相同的攻击单元)的情况、来自同一攻击者的通信持续的情况、以及由于这样的通信增加而使每单位时间的事件数量增大的情况。增量分析处理器230d确定包括在确定目标检测事件候选中的通信是有问题的通信。
攻击目的地增加确定可以用于攻击目的地或连接目的地增加的情况。增量分析处理器230d确定包括在确定目标检测事件候选中的通信是有问题的通信。
图8A和图8B是示出本实施例中的增量分析的概念的图。图8A示出了成为用于特定分析的相关分析目标的一个检测事件候选的配置的示例。图8B示出了用于下一分析的同一个检测事件候选的配置的示例。
这里比较了与同一检测器事件候选相关的前一分析配置(参见图8A)和当前分析配置(参见图8B)。对于当前分析配置,未包括在前一分析中的事件序列(图8B中的带阴影的事件序列)存在于当前分析配置中。因此,检测事件候选在上述的事件变化确定、攻击单元增加确定、攻击实例增加确定或者攻击目的地增加确定中的任意一个中被确定为是有问题的通信。
在执行了每种类型的确定之后,分析单元230通过相关的分析目标检测事件候选,将每个确定事件候选的分析结果发送至人工分析单元240。来自分析单元230的分析结果示出了每个检测事件候选是非法通信、有问题的通信(可能是非法通信的通信)或者不是非法通信。
在本实施例中,用于执行上述那些处理的个体分析处理器230a、事件聚合处理器230b、相关分析处理器230c和增量分析处理器230d被配置为组件化至小处理器单元。通过组合组件化的处理单元块(在下文中称作处理单元块),可以设计由每个处理器230a至230d执行的处理内容(例如单个处理器单元的类型和顺序)。因此,当发现了由当前未知的攻击方法进行的攻击时,能够容易地响应。这可以通过增加如下处理单元块来实现,该处理单元块用于进行可用的处理以确定通信是来自于这样的攻击。
图9是示出由组件化的处理单元块(包括个体分析处理器230a、事件整合处理器230b、相关分析处理器230c和增量分析处理器230d)构成的分析单元230的构造的示例的图。
在图9中示出的示例中,多个处理单元块231包括列表查询块231a、事件聚合块231b、事件序列聚合块231c、攻击模式组合确定块231d、实例阈值超出确定块231e、事件变化确定块231f、攻击单元增加确定块231g、实例增加率确定块231h以及目的地IP地址增加确定块231i。列表查询块231a是用于执行列表查询的处理单元块。事件聚合块231b是用于执行事件聚合的处理单元块。事件序列聚合块231c是用于执行事件序列聚合的处理单元块。攻击模式组合确定块231d是用于执行攻击模式组合确定处理的处理单元块。实例阈值超出确定块231e是用于执行确定实例的数量超出阈值的处理单元块。事件变化确定块231f是用于执行确定事件是否变化的处理单元块。攻击单元增加确定块231g是用于执行确定攻击单元存在增加的处理的处理单元块。实例增加率确定块231h是用于执行确定实例的增加速率的处理单元块。目的地IP地址增加确定块231i是用于执行确定目的地IP地址是否增加的处理单元块。将处理单元块231组合构成了分析单元230的每个处理器230a至230d。应当注意的是,在图9中仅示出了构成分析单元230的处理单元块231的一部分。例如,诸如列表查询块231a的处理单元块231处理由个体分析处理器230a进行的问题通信列表的查询。诸如事件聚合块231b和事件序列聚合块231c的处理单元块231处理由事件聚合处理器230b进行的事件序列的产生以及检测事件候选的产生。诸如攻击模式组合确定块231d和实例阈值超出确定块231e的处理单元块231处理由相关分析处理器230c进行的分析。诸如事件变化确定块231f、攻击单元增加确定块231g、实例增加率确定块231h和目的地IP地址增加确定块231i的处理单元块231处理由增量分析处理器230d进行的分析。处理单元块231的示例构成了个体分析处理器230a、事件聚合处理器230b、相关分析处理器230c、和增量分析处理器230d。可以准备个体分析处理器230a、事件聚合处理器230b、相关分析处理器230c和增量分析处理器230d,并且它们中的每个可以并行地或异步地执行处理。
例如,由分析单元230的每个处理单元块231执行的个体分析处理、事件聚合处理、相关分析处理和增量分析处理的结果可以被临时地存储在构成分析单元230的计算机存储器中。然后,该结果与检测器目标事件(已经完成了每种分析处理)和在个体分析处理中没有作为聚合目标的事件一起被发送至下游的人工分析单元240。
人工分析单元的功能
图10是示出监控子系统200的人工分析单元240的功能性构造的图。
人工分析单元240(即第四处理器单元)管理并将通过由检测器单元220和分析单元230执行的上述处理中的每个获得的事件、事件序列以及检测事件候选信息与来自分析单元230的分析结果一起储存在存储装置241中。另外,人工分析单元240响应于来自终端装置300的请求,使用发送器和接收器(收发器)242将储存在存储装置241中的事件、事件序列、检测事件候选信息和来自分析单元230的分析结果发送至终端装置300。另外,人工分析单元240从收发器242获得终端装置300中的这类信息、将获取到的信息与储存的信息相关联,并管理获取到的信息。
监控子系统处理器单元之间的通信
根据本实施例的安全监控子系统监控监控目标装置100中的通信,并实时地检测有问题的通信。即,安全监控系统不是在事发后分析储存的通信日志文件并发现有问题的通信的安全监控系统。因此,优选地,将日志文件在监控子系统200中的每个处理器单元之间传输,以尽快地从通信日志中检测有问题的通信。例如,执行非连接式通信,而不使用诸如传输控制协议(TCP)的连接式通信。因此,在本实施例中执行基于JMS的非连接式通信。
在通过非连接式通信来传输通信日志的情况下,与利用连接式通信不同,不对监控子系统200中的处理器单元之间的每个独立的通信是否已经被正常地执行进行确定。因此,事实上即使处理目标通信日志文件在处理器单元之间的通信过程中丢失,也不能确认通信是否已经被正常地执行。因此,需要应用在处理目标通信日志文件在监控子系统200的处理过程中丢失的情况下,检测通信是否未被正常地执行的机制。
图11是用于解释在本实施例中用于传送通信日志文件的方法的图。
图11示出了构成监控子系统200的处理器单元的示例(由收集器单元210、检测器单元220、分析单元230和人工分析单元240构成监控子系统200的一个示例)。在本实施例中,在图11中示出的处理器单元示例中应用了用于提供反馈至引导处理器单元的构造。反馈构造确认已经正常地发生了将通信日志从引导处理器单元(收集器单元210)到最终处理器单元(人工分析单元240)的传输。
即,人工分析单元240(即监控子系统200的最后一个处理器单元)从分析单元230接收事件或检测事件候选信息,并通知收集器单元210(即引导处理器单元)已经接收到构成事件或检测事件候选信息的通信日志。因此,引导收集器单元210确认处理目标通信日志文件已经通过每个处理器单元到达了最终处理器单元(人工分析单元240)而没有丢失。例如,在将通信日志文件发送至检测器单元220(即,下游单元)之后,收集器单元210以固定的时间重发同一通信日志文件,直至满足了预定的重发停止条件。
重发停止条件的一个示例可以是从人工分析单元240接收到了通知,表示已经在从先前的发送时间开始的固定时间内获取到了通信日志文件。在这样设置了重发停止条件并且处理目标通信日志文件由于某种原因丢失而没有到达人工分析单元240的情况下,不进行从人工分析单元240到收集器单元210的通知(重发停止条件未满足)。因此,在经过固定量的时间之后,从收集器单元210重送同样的通信日志文件。
同一通信日志文件被发送了预定次数的条件也可以被设置为重发停止条件的另一示例。另外,从第一次传输开始经过预定的时间也可以被设置为又一个重发停止条件。通过这样设置重发停止条件,在当传输重复了预定次数时通信日志文件也未被正常发送的情况下,可以在没有由于非连接传输规范而造成丢失的情况下确定监控子系统200的损坏。在这种情况下,通知系统操作员已经停止了重发通信文件并且发生了监控子系统200的损坏。应当注意的是,例如,可以通过对收集器单元210发送通信日志文件的次数进行计数并储存计数到的次数来实现对同一通信文件已经被发送的次数的计数。
利用如上所述配置的传输方法,对于处理目标通信日志文件未到达人工分析单元240的情况,可以理解下述事实,即,通信日志文件已经在每个处理器之间的通信日志文件传输过程中的某个阶段丢失。另一方面,不能识别通信日志文件在哪里丢失。然而,在本实施例中,如果通信日志文件未到达人工分析单元240,则对通信日志文件的处理(分析)未完成。因此,选用位于监控子系统200的处理器单元序列的末端的人工分析单元240作为搜索位置。
利用上述传输方法,即使通信文件在通信文件传输过程中在处理器单元之间的某处丢失,也再次将通信日志文件从引导收集器单元210传输至最终人工分析单元240。因此,例如,如果通信日志文件在分析单元230和人工分析单元240之间丢失,则即使由检测器单元220和分析单元230对通信日志文件进行的处理已经完成,也再次传输同一通信日志文件。
然而,利用本实施例,如果通信日志文件未到达人工分析单元240,则来自每个处理器单元的处理结果未被储存到人工分析单元240的存储装置241中,并且该结果与通信日志文件一起丢失。因此,每个处理器单元对重发的通信日志文件执行处理,而不管是否在先前发送该通信日志文件时已经执行过处理。
图12是示出本实施例中传送通信日志文件的示例的图。
在图12中,“×”表示通信日志文件已经丢失,而“○”表示通信日志文件已经到达人工分析单元240。箭头Ta1表示第一次发送,箭头Ta2表示第二次发送,箭头Ta3表示第三次发送。
在图12中示出的示例中,当第一次发出时,特定的通信日志文件从收集器单元210发送至检测器单元220。在经检测器单元220处理之后,通信日志文件从检测器单元220发送至分析单元230。通信日志文件未到达分析单元并丢失(参见箭头Ta1)。在这种情况下,人工分析单元240未通知收集器单元210已经获取到通信日志文件。因此,收集器单元210重发该通信日志文件。即,收集器单元210第二次发送该通信日志文件。
来自检测器单元220的在第一次发送时对通信日志执行的处理结果与第一次发送的通信日志文件一起丢失。因此,检测器单元220对重发的通信日志文件执行处理。
在图12中示出的示例中,当第二次发出时,通信日志文件在经过分析单元230的处理之后从分析单元230发送至人工分析单元240。通信日志文件丢失并且未到达人工分析单元240(参见箭头Ta2)。在这种情况下同样,人工分析单元240也未通知收集器单元210已经获取到通信日志文件。因此,收集器单元210重发该通信日志文件。即,收集器单元210第三次发送该通信日志文件。
来自分析单元230的在第二次发送时对通信日志执行的处理结果与第二次发送的通信日志文件一起丢失。因此,检测器单元220和分析单元230对重发的通信日志文件执行处理。
在图12中示出的示例中,当第三次发出时,通信日志文件到达人工分析单元240并且被储存到存储装置241中(参见箭头Ta3)。然后,人工分析单元240通知收集器单元210通信日志文件已经到达。因此停止重发该通信日志文件。
在应用像如上所述的传输方法时,即使通信日志文件未丢失,也可能重发通信日志文件。具体地说,可能存在一些时候,其中中间的处理器单元的处理需要特定量的时间,因此在完成来自人工分析单元240的通知之前,收集器单元210重发该通信日志文件的等待时间可能已经流逝。在这种情况下,可能同一个通信日志文件(检测事件候选)及其处理结果已经多次到达人工分析单元240并被储存在存储装置241中。对于这种情况,最后一次从收集器单元210发送的通信日志文件及其处理结果被用作有效数据。注意的是,术语有效数据表示如下面讨论的被发送至终端300并被显示在显示器330(参见图15)中的数据。
图13是示出在本实施例中传输通信日志文件的不同示例的图。
在图13中,“×”表示通信日志文件已经丢失,而“○”表示通信日志文件已经到达人工分析单元240。箭头Tb1表示第一次发送,箭头Tb2表示第二次发送,箭头Tb3表示第三次发送。在图13中示出的示例中,如下所述,在第三次发送的通信日志文件到达分析单元230之后,第二次发送的通信日志文件到达分析单元230。
在图13中示出的示例中,当第一次发出时,通信日志文件在被检测器单元220处理之后未到达分析单元230并且丢失(参见箭头Tb1)。当第二次发出时,通信日志文件到达人工分析单元240而没有丢失(参见箭头Tb2)。然而,在通信日志文件第二次发出期间的中间处理需要时间。因此,在人工分析单元240完成通知收集器单元210之前,通信日志文件第三次发出(参见箭头Tb3)。另外,需要时间来处理与第二次发出相关的通信日志文件。因此,第三次发出的通信日志文件在第二次发出的通信日志文件之前到达人工分析单元240。在这种情况下,第三次(最后一次)发出的通信日志文件的处理结果被处理为有效数据,而不管该结果到达人工分析单元240的顺序。
应注意的是,对于像如上所述的情况,关于同一通信日志文件的重复数据可能到达人工分析单元240并被储存在存储装置241中。除了有效数据(在图13中示出的示例中,有效数据是关于第二次发出的通信日志文件的数据)之外的数据可以被删除或者被留存在存储装置241中。
图14是在本实施例中传输通信日志文件的又一示例的图。
在图14中,“×”表示通信日志文件已经丢失,而“○”表示通信日志文件已经到达人工分析单元240。箭头Tc1表示第一次发送,箭头Tc2表示第二次发送,箭头Tc3表示第三次发送。
如图13中示出的示例,存在前次发送的通信日志文件到达人工分析单元240之前重发该通信日志文件的时候。在这样的情况下,后续发送的通信日志文件可能在路径中丢失。在图14中示出的示例中,在第二次发送的同一通信日志文件到达人工分析单元240之前,通信日志文件被重发(第三次发送)。然而,第三次发送的通信日志文件丢失并且未到达人工分析单元240。在这种情况下,仅第二次发送的通信日志文件到达人工分析单元240并被储存在存储装置241中。将关于第二次发送的通信日志文件的数据处理为有效数据。
应注意的是,上面描述的由处理器单元执行的操作仅仅是对重发的通信日志文件进行的操作的示例。对于可对通信日志文件执行的操作没有限制。例如,在本实施例中,来自每个处理器单元的处理结果被临时地储存在构成每个处理器单元的计算机存储器中。然而,本实施例不限于这种类型的构造。作为本实施例的单独的示例,也可以应用来自每个处理器单元的处理结果被储存在数据库中并通过数据库来管理的构造。在该情况下,即使通信日志文件在处理器单元之间传输的过程中丢失,已完成处理的处理结果被也保留在数据库中。在这种情况下,如果处理器单元对重发的通信日志文件执行重复处理,则检测有问题的通信的准确性受到影响。允许重复的处理结果被保留是必要的。
作为示例,当重发的通信日志文件是已经在特定的处理器单元中处理过的通信日志文件时,有关当前存在的处理结果的信息可以与有关当前处理结果的信息交换。即,放弃关于该通信日志文件的在先处理结果。另外,作为单独的示例,当重发的通信日志文件是已经在特定的处理器单元中处理过的通信日志文件时,可以跳过对重发的同一通信日志文件的处理,并且将该通信日志文件发送至下游的处理器单元。
表示通信日志文件正在被重发的标记数据等也可以被添加到通信日志文件,以作为用于区分第一次发送的通信以及被重发的通信的信息。也可以添加指示通信日志文件已经被重发的次数的信息。如果包括了添加的指示通信日志文件已经被重发的次数的信息以及从人工分析单元240发送至收集器单元210时的通知,则可以基于来自人工分析单元240的通知来确定同一通信日志文件已经被发送的次数,而无需对已经由收集器单元210发送的同一通信日志文件的次数进行计数。
终端装置的功能
图15是示出终端装置300的功能性构造的示例的图。
在图15中示出的示例中,终端装置300包括收发器310以及数据处理器320。此外,终端装置300包括由液晶显示器等制成的显示器330以及通过使用诸如键盘、鼠标等的输入装置而制成的操作部分340。
收发器310是用于执行与监控子系统200的人工分析单元240之间的通信的接口。收发器310从人工分析单元240接收事件、事件序列以及检测事件候选信息。该信息通过由检测器单元220和分析单元230执行的处理获得。收发器310还接收由分析单元230进行的分析的结果。另外,收发器310将由操作部分340的操作输入的信息发送至监控子系统200的人工分析单元240。另外,当作为监控目标装置100的通信的分析结果而发现了有问题的通信时,收发器310将表明已经发现了有问题的通信的信息发送至由监控目标装置100的操作者所操作的终端装置(未示出)。
数据处理器320基于由收发器310从监控子系统200的人工分析单元240获取的事件、事件序列、检测事件候选信息、以及来自分析单元230的分析结果,来产生分析屏幕。另外,数据处理器320在显示器330中显示产生的分析屏幕。
图16是示出本实施例中的分析屏幕的构造的示例的图。
在图16中示出的示例中,显示在显示器330中的分析屏幕由六个区域构成:搜索条件显示区331、检测事件候选显示区332、事件序列显示区333、事件显示区334、意见显示区335和重要性级别显示区336。
检测事件候选等被显示在检测事件候选显示区332中。其搜索条件被显示在搜索条件显示区331中。例如,搜索条件最初可以被设置为任意条件。另外,搜索条件也可以通过分析员通过操作操作部分340输入期望的搜索条件来设置。应注意的是,具有一个事件序列或仅具有一个事件的检测事件候选也被包括为成为搜索目标的检测事件候选。另外,基于由分析单元230的个体分析处理器230a建立的条件关系被排除而未进行分析的单个事件也可以被设置为搜索目标。即,作为由一个事件形成的检测事件候选。
在搜索条件显示区331中显示的搜索条件下搜索的检测事件候选及其通过监控子系统200的分析单元230的处理结果被显示在检测事件候选显示区332中。
包括在检测事件候选显示区332中显示的检测事件候选(即,在由搜索条件显示区331中指明的搜索条件下搜索的检测事件候选)中的事件序列及其通过监控子系统200的分析单元230的处理结果被显示在事件序列显示区333中。
包括在检测事件候选显示区332中显示的检测事件候选(即,在由搜索条件显示区331中指明的搜索条件下搜索的检测事件候选)中的事件及其通过监控子系统200的分析单元230的处理结果被显示在事件显示区334中。
由操作操作部分340的分析员输入的意见被显示在意见显示区335中。具体地说,例如,可以输入关于监控目标装置100的通信的分析评价或其它意见。
用于执行对事件候选显示区332中显示的检测事件候选(即,在由搜索条件显示区331中指明的搜索条件下搜索的检测事件候选)的评价的评价级别被显示在重要性级别显示区336中。术语评价是根据对检测事件候选指明的通信的必要响应而预先分级的重要性的值。例如,是否必须进行立即响应,是否需要对相似的通信进行继续检测和评价等。重要性级别显示区336成为接收由分析员选择的重要性级别的输入界面。分析员通过选择在重要性级别显示区域336中显示的一个重要性级别来对搜索到的检测事件候选进行评价。
分析员基于检测事件候选、事件序列和事件来评价(人工分析)监控目标装置100的通信。基于最初显示在显示器330的搜索条件显示区331中的搜索条件或者基于通过分析员操作操作部分340输入的搜索条件,来搜索检测事件候选、事件序列和事件。当发现有问题的通信时,操作员操作操作部分340以根据通信的内容(问题内容)来输入意见和重要性级别。通过收发器310来通知监控目标装置100的操作员。
应注意的是,对于通过利用在分析单元230中的列表整理而被确定为非法通信的通信(例如攻击或非法信息泄露),以及对于通过分析单元230中的分析确认为非法通信的通信,这些通信也可以是通知监控目标装置100的操作员的通知的目标。不需要分析员的评价。
硬件构造示例
图17是示出本实施例的用于构造监控子系统200的每个处理器单元和终端装置300的构造示例的可应用硬件(计算机)的图。
图17中示出的计算机包括作为计算单元的CPU(中央处理单元)10a和作为主存储单元的存储器10c。另外,图17中示出的计算机包括作为外部设备的磁盘装置(硬盘驱动器、HDD)10g、网络接口10f、包括显示装置的显示机构10d以及诸如键盘、鼠标等的输入装置10i。
在图17中示出的构造示例中,存储器10c和显示机构10d通过系统控制器10b连接到CPU 10a。另外,网络接口10f、磁盘驱装置10g和输入装置10k通过IO控制器10e连接到系统控制器10b。每个构成元件通过诸如系统总线、输入总线等的总线连接。
图17仅仅是用于应用本实施例的优选的计算机硬件构造的说明性示例。本实施例可以广泛地应用于能够通过实时地获取并处理来自监控目标装置100的通信日志文件来检测非法通信或有问题的通信的信息处理装置。即,用于实现本实施例的构造不限于图17中示出的构造。
操作系统(OS)程序或应用程序储存在图17中的磁盘装置10g上。通过将程序读取到存储器10c中并在CPU 10a中执行程序,实现了本实施例中的监控子系统200的每个处理器单元210至240以及终端装置300的每个功能。
工业应用性
本发明可以应用于日志分析系统。
标号解释
100 监控目标装置
110 检测器装置
111 传感器
112 传感器管理器
120 日志管理子系统
121 日志获取代理器
200 监控子系统
210 收集器单元
220 检测器单元
230 分析单元
240 人工分析单元
300 终端装置
Claims (9)
1.一种通信日志分析系统,用于检测对于目标装置的非授权通信,包括:
处理器,所述处理器被配置为
由检测器在所述目标装置处接收通信的通信日志;
通过使每个通信日志中所含的信息呈现为与其它通信日志通用的格式,使所接收的通信日志标准化;
将通用信息添加至所述目标装置的已经被标准化的通信日志,所述通用信息基于先前设置的规则;
基于添加至所述通信日志的所述通用信息,聚合添加了所述通用信息的通信日志;
根据所述检测器的类型,排布已添加了所述通用信息的聚合的通信日志的信息粒度;
输出已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志;以及
分析所输出的已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志,以输出与所述目标装置匹配非授权通信的通信日志候选。
2.一种通信日志分析方法,用于检测对于目标装置的非授权通信,所述方法包括:
由检测器在所述目标装置处接收通信的通信日志;
通过使每个通信日志中所含的信息呈现为与其它通信日志通用的格式,使所接收的通信日志标准化;
将通用信息添加至所述目标装置的已经被标准化的通信日志,所述通用信息基于先前设置的规则;
基于添加至所述通信日志的所述通用信息,聚合添加了所述通用信息的通信日志;
根据所述检测器的类型,排布已添加了所述通用信息的聚合的通信日志的信息粒度;
输出已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志;以及
分析所输出的已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志,以输出与所述目标装置匹配非授权通信的通信日志候选。
3.一种非临时性计算机可读介质,存储有一个或更多个计算机程序,所述一个或更多个计算机程序包括代码,以用于指令计算机执行一种通信日志分析方法,用于检测对于目标装置的非授权通信,包括:
由检测器在所述目标装置处接收通信的通信日志;
通过使每个通信日志中所含的信息呈现为与其它通信日志通用的格式,使所接收的通信日志标准化;
将通用信息添加至所述目标装置的已经被标准化的通信日志,所述通用信息基于先前设置的规则;
基于添加至所述通信日志的所述通用信息,聚合添加了所述通用信息的通信日志;
根据所述检测器的类型,排布已添加了所述通用信息的聚合的通信日志的信息粒度;
输出已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志;以及
分析所输出的已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志,以输出与所述目标装置匹配非授权通信的通信日志候选。
4.一种通信日志分析系统,用于检测对于目标装置的非授权通信,包括:
第一处理器,被配置为
通过使每个通信日志中所含的信息呈现为与其它通信日志通用的格式,使所接收的通信日志标准化;
将通用信息添加至所述目标装置的已经被标准化的通信日志,所接收的通信日志是由事件产生的,并且基于添加至所述通信日志的所述通用信息,聚合添加了所述通用信息的通信日志;以及
排布已添加了所述通用信息的聚合的通信日志的信息粒度,以输出并分析已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志,从而输出与所述目标装置匹配非授权通信的通信日志候选。
5.如权利要求4所述的通信日志分析系统,还包括:
第二处理器,被配置为分析从所述第一处理器输出的所述通信日志候选。
6.一种由一个或更多个计算机执行的通信日志分析方法,用于检测对于目标装置的非授权通信,所述方法包括:
通过使每个通信日志中所含的信息呈现为与其它通信日志通用的格式,使所接收的通信日志标准化;
将通用信息添加至所述目标装置的已经被标准化的通信日志,所接收的通信日志是由事件产生的,并且基于添加至所述通信日志的所述通用信息,聚合添加了所述通用信息的通信日志;以及
排布已添加了所述通用信息的聚合的通信日志的信息粒度,以输出并分析已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志,从而输出与所述目标装置匹配非授权通信的通信日志候选。
7.如权利要求6所述的通信日志分析方法,还包括:
分析所述通信日志候选。
8.一种非临时性计算机可读介质,存储有一个或更多个计算机程序,所述一个或更多个计算机程序包括代码,以用于指令计算机执行一种通信日志分析方法,用于检测对于目标装置的非授权通信,包括:
通过使每个通信日志中所含的信息呈现为与其它通信日志通用的格式,使所接收的通信日志标准化;
将通用信息添加至所述目标装置的已经被标准化的通信日志,所接收的通信日志是由事件产生的,并且基于添加至所述通信日志的所述通用信息,聚合添加了所述通用信息的通信日志;以及
排布已添加了所述通用信息的聚合的通信日志的信息粒度,以输出并分析已添加了所述通用信息并且信息粒度已经被排布的聚合的通信日志,从而输出与所述目标装置匹配非授权通信的通信日志候选。
9.如权利要求8所述的非临时性计算机可读介质,其中所述一个或更多个计算机程序还包括代码,以用于:
分析所述通信日志候选。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014-074606 | 2014-03-31 | ||
JP2014074606A JP5640166B1 (ja) | 2014-03-31 | 2014-03-31 | ログ分析システム |
PCT/JP2015/055613 WO2015151667A1 (ja) | 2014-03-31 | 2015-02-26 | ログ分析システム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106133740A CN106133740A (zh) | 2016-11-16 |
CN106133740B true CN106133740B (zh) | 2019-04-05 |
Family
ID=52145716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580013969.5A Expired - Fee Related CN106133740B (zh) | 2014-03-31 | 2015-02-26 | 日志分析系统 |
Country Status (9)
Country | Link |
---|---|
US (1) | US10164839B2 (zh) |
EP (1) | EP3128457A4 (zh) |
JP (1) | JP5640166B1 (zh) |
KR (1) | KR101827197B1 (zh) |
CN (1) | CN106133740B (zh) |
CA (1) | CA2942521A1 (zh) |
EA (1) | EA201691642A1 (zh) |
SG (1) | SG11201602112WA (zh) |
WO (1) | WO2015151667A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016018348A1 (en) * | 2014-07-31 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Event clusters |
JP6048555B1 (ja) * | 2015-09-10 | 2016-12-21 | 日本電気株式会社 | 分類情報作成装置、分類情報作成方法、分類情報作成プログラム、検索装置、検索方法、及び、検索プログラム |
JP6070799B1 (ja) * | 2015-09-24 | 2017-02-01 | 日本電気株式会社 | 通信情報算出装置、通信情報算出方法、通信情報算出プログラム、及び、通信管理システム |
JP5966076B1 (ja) * | 2015-12-25 | 2016-08-10 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6475654B2 (ja) * | 2016-03-10 | 2019-02-27 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
FI127335B (en) * | 2016-05-27 | 2018-04-13 | Cysec Ice Wall Oy | Logging of telecommunications on a computer network |
EP3291120B1 (en) * | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
JP6903901B2 (ja) | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
US10929765B2 (en) * | 2016-12-15 | 2021-02-23 | Nec Corporation | Content-level anomaly detection for heterogeneous logs |
JP7028559B2 (ja) * | 2017-01-25 | 2022-03-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
JP6852421B2 (ja) * | 2017-01-31 | 2021-03-31 | オムロン株式会社 | 情報処理装置、情報処理プログラムおよび情報処理方法 |
CN107733716A (zh) * | 2017-10-26 | 2018-02-23 | 郑州云海信息技术有限公司 | 分布式文件系统日志分析方法、系统、设备及存储介质 |
JP7006704B2 (ja) * | 2017-12-13 | 2022-01-24 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
JP6719492B2 (ja) * | 2018-02-26 | 2020-07-08 | 三菱電機株式会社 | ルール生成装置およびルール生成プログラム |
CN109271349A (zh) * | 2018-09-29 | 2019-01-25 | 四川长虹电器股份有限公司 | 一种基于日志通用性规则引擎的规则处理方法 |
AU2020451897A1 (en) * | 2020-06-05 | 2022-12-15 | Fujitsu Limited | Information processing program, information processing method, and information processing device |
CN111736579B (zh) * | 2020-08-26 | 2020-12-08 | 北京安帝科技有限公司 | 基于日志问询留存的工业控制设备安全检测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6173418B1 (en) * | 1997-04-18 | 2001-01-09 | Hitachi, Ltd. | Computer for gathering log data |
US7376969B1 (en) * | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
CN101192227A (zh) * | 2006-11-30 | 2008-06-04 | 阿里巴巴公司 | 一种基于分布式计算网络的日志文件分析方法和系统 |
JP5179792B2 (ja) * | 2007-07-13 | 2013-04-10 | 株式会社日立システムズ | 操作検知システム |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6597818B2 (en) * | 1997-05-09 | 2003-07-22 | Sarnoff Corporation | Method and apparatus for performing geo-spatial registration of imagery |
US7155507B2 (en) * | 2000-03-25 | 2006-12-26 | Nippon Telegraph And Telephone Corporation | Method and system for providing environmental information on network |
US7568019B1 (en) * | 2002-02-15 | 2009-07-28 | Entrust, Inc. | Enterprise management system for normalization, integration and correlation of business measurements with application and infrastructure measurements |
US20030188189A1 (en) * | 2002-03-27 | 2003-10-02 | Desai Anish P. | Multi-level and multi-platform intrusion detection and response system |
WO2004019186A2 (en) * | 2002-08-26 | 2004-03-04 | Guardednet, Inc. | Determining threat level associated with network activity |
US7500266B1 (en) * | 2002-12-03 | 2009-03-03 | Bbn Technologies Corp. | Systems and methods for detecting network intrusions |
US7509677B2 (en) | 2004-05-04 | 2009-03-24 | Arcsight, Inc. | Pattern discovery in a network security system |
US7668809B1 (en) * | 2004-12-15 | 2010-02-23 | Kayak Software Corporation | Method and apparatus for dynamic information connection search engine |
US8135828B2 (en) * | 2005-03-14 | 2012-03-13 | Microsoft Corporation | Cooperative diagnosis of web transaction failures |
JP4523480B2 (ja) * | 2005-05-12 | 2010-08-11 | 株式会社日立製作所 | ログ分析システム、分析方法及びログ分析装置 |
US20070073519A1 (en) * | 2005-05-31 | 2007-03-29 | Long Kurt J | System and Method of Fraud and Misuse Detection Using Event Logs |
US8402002B2 (en) * | 2005-09-23 | 2013-03-19 | Barclays Capital Inc. | System and method for event log review |
US20110314148A1 (en) | 2005-11-12 | 2011-12-22 | LogRhythm Inc. | Log collection, structuring and processing |
KR100748246B1 (ko) * | 2006-03-29 | 2007-08-10 | 한국전자통신연구원 | 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 |
US8489110B2 (en) * | 2006-05-12 | 2013-07-16 | At&T Intellectual Property I, L.P. | Privacy control of location information |
US9111088B2 (en) * | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
JP2008205954A (ja) * | 2007-02-21 | 2008-09-04 | International Network Securitiy Inc | 通信情報監査装置、方法及びプログラム |
US8051204B2 (en) | 2007-04-05 | 2011-11-01 | Hitachi, Ltd. | Information asset management system, log analysis server, log analysis program, and portable medium |
US7844600B2 (en) * | 2007-07-13 | 2010-11-30 | Oracle International Corp. | Materialized views with user-defined aggregates |
US9390384B2 (en) * | 2008-07-01 | 2016-07-12 | The 41 St Parameter, Inc. | Systems and methods of sharing information through a tagless device consortium |
KR101399326B1 (ko) | 2009-05-07 | 2014-06-03 | 에스케이플래닛 주식회사 | 정보보안을 위한 증적추적 장치 및 방법 |
JP5560641B2 (ja) * | 2009-09-30 | 2014-07-30 | 富士通株式会社 | データ管理装置、データ管理プログラムおよびデータ管理方法 |
WO2011081946A2 (en) * | 2009-12-14 | 2011-07-07 | Alwayson Llc | Electronic messaging technology |
US8868728B2 (en) * | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
US9020831B2 (en) * | 2010-04-29 | 2015-04-28 | Hewlett-Packard Development Company, L.P. | Information tracking system and method |
US9225793B2 (en) * | 2011-01-28 | 2015-12-29 | Cisco Technology, Inc. | Aggregating sensor data |
US20120246303A1 (en) * | 2011-03-23 | 2012-09-27 | LogRhythm Inc. | Log collection, structuring and processing |
US8996688B2 (en) * | 2011-05-31 | 2015-03-31 | Nokia Corporation | Method and apparatus for monitoring and controlling data sharing |
US20150356104A9 (en) * | 2011-10-04 | 2015-12-10 | Electro Industries/Gauge Tech | Systems and methods for collecting, analyzing, billing, and reporting data from intelligent electronic devices |
JP6196017B2 (ja) * | 2012-01-13 | 2017-09-13 | サターン ライセンシング エルエルシーSaturn Licensing LLC | 情報処理装置及び情報処理方法、並びにコンピューター・プログラム |
EP2953298B1 (en) * | 2013-01-30 | 2018-03-21 | Nippon Telegraph and Telephone Corporation | Log analysis device, information processing method and program |
WO2014138115A1 (en) * | 2013-03-05 | 2014-09-12 | Pierce Global Threat Intelligence, Inc | Systems and methods for detecting and preventing cyber-threats |
-
2014
- 2014-03-31 JP JP2014074606A patent/JP5640166B1/ja active Active
-
2015
- 2015-02-26 SG SG11201602112WA patent/SG11201602112WA/en unknown
- 2015-02-26 CN CN201580013969.5A patent/CN106133740B/zh not_active Expired - Fee Related
- 2015-02-26 KR KR1020167025232A patent/KR101827197B1/ko active IP Right Grant
- 2015-02-26 WO PCT/JP2015/055613 patent/WO2015151667A1/ja active Application Filing
- 2015-02-26 CA CA2942521A patent/CA2942521A1/en not_active Abandoned
- 2015-02-26 EA EA201691642A patent/EA201691642A1/ru unknown
- 2015-02-26 EP EP15773496.3A patent/EP3128457A4/en not_active Withdrawn
-
2016
- 2016-03-17 US US15/072,720 patent/US10164839B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6173418B1 (en) * | 1997-04-18 | 2001-01-09 | Hitachi, Ltd. | Computer for gathering log data |
US7376969B1 (en) * | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
CN101192227A (zh) * | 2006-11-30 | 2008-06-04 | 阿里巴巴公司 | 一种基于分布式计算网络的日志文件分析方法和系统 |
JP5179792B2 (ja) * | 2007-07-13 | 2013-04-10 | 株式会社日立システムズ | 操作検知システム |
Also Published As
Publication number | Publication date |
---|---|
US20160197790A1 (en) | 2016-07-07 |
EA201691642A1 (ru) | 2017-04-28 |
CN106133740A (zh) | 2016-11-16 |
CA2942521A1 (en) | 2015-10-08 |
JP5640166B1 (ja) | 2014-12-10 |
EP3128457A4 (en) | 2017-11-15 |
JP2015198301A (ja) | 2015-11-09 |
SG11201602112WA (en) | 2016-04-28 |
WO2015151667A1 (ja) | 2015-10-08 |
EP3128457A1 (en) | 2017-02-08 |
KR101827197B1 (ko) | 2018-02-07 |
US10164839B2 (en) | 2018-12-25 |
KR20160120761A (ko) | 2016-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106133740B (zh) | 日志分析系统 | |
CN106104556B (zh) | 日志分析系统 | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
CN109478216A (zh) | 知识推断和统计相关系统的并行化和n层级化 | |
CN111555988B (zh) | 一种基于大数据的网络资产测绘发现方法及装置 | |
US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
US20190121969A1 (en) | Graph Model for Alert Interpretation in Enterprise Security System | |
CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
US20190182337A1 (en) | Peer connection monitoring of network applications | |
JP6035445B2 (ja) | 情報処理システム、情報処理方法およびプログラム | |
CN107277005A (zh) | 一种分布式的业务流程检测方法 | |
JP5797827B1 (ja) | 情報分析システム、情報分析方法およびプログラム | |
JP2015232904A (ja) | 情報分析システム、情報分析方法およびプログラム | |
JP2015198455A (ja) | 処理システム、処理装置、処理方法およびプログラム | |
KR101557856B1 (ko) | 로그 분석 시스템 검증장치 | |
JP2019080211A (ja) | 制御システムのための対策立案システムおよび監視装置 | |
JP2016001493A (ja) | 情報分析システム、情報分析方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190405 Termination date: 20210226 |
|
CF01 | Termination of patent right due to non-payment of annual fee |