CN112912877A - 日志输出装置、日志输出方法以及日志输出系统 - Google Patents

日志输出装置、日志输出方法以及日志输出系统 Download PDF

Info

Publication number
CN112912877A
CN112912877A CN201980070494.1A CN201980070494A CN112912877A CN 112912877 A CN112912877 A CN 112912877A CN 201980070494 A CN201980070494 A CN 201980070494A CN 112912877 A CN112912877 A CN 112912877A
Authority
CN
China
Prior art keywords
log
output
information
generated
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980070494.1A
Other languages
English (en)
Other versions
CN112912877B (zh
Inventor
麻生忠臣
武藤浩二
伊与木裕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Publication of CN112912877A publication Critical patent/CN112912877A/zh
Application granted granted Critical
Publication of CN112912877B publication Critical patent/CN112912877B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

日志输出装置具备:生成部,其生成表示处理的执行历史记录的日志;存储器,其保持第一列表、第二列表以及第三列表,所述第一列表包含表示处理异常的第一静态信息,所述第二列表包含表示处理正常的第二静态信息,所述第三列表包含用于根据日志来决定是否要输出该日志的动态信息;以及筛选部,其在所生成的日志具有第一静态信息的情况下决定输出该日志,并且,在所生成的日志具有第二静态信息的情况下决定不输出该日志。筛选部基于所生成的日志和第三列表来决定是否要输出该日志。

Description

日志输出装置、日志输出方法以及日志输出系统
技术领域
本公开涉及一种日志输出装置、日志输出方法以及日志输出系统。
背景技术
IoT(Internet of Things:物联网)设备也被称为“物联网”,是以下一种设备:该设备具有处理器和工作装置,该设备能够将由工作装置按照处理器的指示获取到的数据或信息发送到经由通信网络(例如因特网)连接的通信对方。工作装置例如是指用于检测规定的现象或参数的感应装置、或用于拍摄视角内的被摄体的摄像装置。IoT设备与PC(Personal Computer:个人计算机)等信息处理装置同样,当工作装置执行了某些事件时,生成表示与该事件的执行或者同其它设备之间的通信有关的历史记录的日志。
在专利文献1中公开了如下一种恶性通信日志检测装置:对表示已知是恶性或良性的通信日志的特征的第一字符串、以及第一字符串与作为对象通信日志的特征的字符串相结合而得到的第二字符串进行压缩,基于压缩后的第一字符串的数据尺寸和压缩后的第二字符串的数据尺寸,来计算用于判定对象通信日志是恶性的还是良性的得分。该恶性通信日志检测装置基于计算出的得分和规定的参数,来判定对象通信日志是恶性的还是良性的。
现有技术文献
专利文献
专利文献1:国际公开第2017/221667号
发明内容
发明要解决的问题
如今,作为对PC等信息处理装置的日志(例如通信历史记录)进行分析来判断该信息处理装置是否未暴露于危险(例如,是否未从第三方受到网络攻击)的安全技术,已知SIEM(Security Information and Event Management:安全信息和事件管理)。SIEM应对设备能够收集从信息处理装置发送的多个日志,并对收集到的各个日志进行分析,由此尽早探测对该信息处理装置的攻击或该攻击的前兆并通知给管理者。
在此,伴随着上述的IoT设备的普及,能够想到以下可能性:将SIEM的服务的对象范围不仅限于PC等信息处理装置,扩展到IoT设备。在该情况下,会从非常大量的IoT设备向SIEM发送日志,因此SIEM中的日志的分析对象数量增加巨大,SIEM的处理负荷增加。也就是说,若比PC等信息处理装置的配置数量多的IoT设备将全部日志报告(发送)到SIEM,则不仅通信网络的通信量增大,SIEM中的分析处理也会变得烦杂。
另外,与上述的PC等信息处理装置相比,IoT设备中搭载的处理器的性能低,因此当输出的日志的量变多时,会对IoT设备自身的与常规处理有关的基本功能产生不良影响,产生处理延迟等担忧。在上述的专利文献1中也未考虑减轻每当从一个一个的IoT设备向SIEM发送大量的日志的情况下可能产生的通信量的增大、或抑制来自IoT设备的日志的输出的技术对策。
本公开是鉴于上述的以往的情况而提出的,目的在于提供一种根据作为处理历史记录而生成的日志来合理地筛选作为向SIEM报告的报告对象的日志、从而抑制对与常规处理有关的基本功能造成的不良影响和通信网络的通信量的增大的日志输出装置、日志输出方法以及日志输出系统。
用于解决问题的方案
本公开提供一种日志输出装置,该日志输出装置具备:生成部,其生成表示处理的执行历史记录的日志;存储器,其用于保持第一列表、第二列表以及第三列表,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;以及筛选部,其在由所述生成部生成的日志具有所述第一静态信息的情况下决定输出该日志,并且,在由所述生成部生成的日志具有所述第二静态信息的情况下决定不输出该日志,其中,所述筛选部基于由所述生成部生成的日志和所述第三列表来决定是否要输出该日志。
另外,本公开提供一种日志输出装置中的日志输出方法,该日志输出方法包括以下步骤:生成表示处理的执行历史记录的日志;将第一列表、第二列表以及第三列表保持于存储器,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;在所生成的所述日志具有所述第一静态信息的情况下决定输出该日志,并且,在所生成的所述日志具有所述第二静态信息的情况下决定不输出该日志;以及基于所生成的所述日志和所述第三列表来决定是否要输出该日志。
另外,本公开提供一种日志输出系统,该日志输出系统是日志输出装置与对来自所述日志输出装置的日志进行分析的服务器装置以能够进行通信的方式连接而成的系统,所述日志输出装置生成表示处理的执行历史记录的日志,将第一列表、第二列表、以及第三列表保持于存储器,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息,在所生成的所述日志具有所述第一静态信息的情况下决定输出该日志,并且,在所生成的所述日志具有所述第二静态信息的情况下决定不输出该日志,基于所生成的所述日志和所述第三列表来决定是否要输出该日志。
发明的效果
根据本公开,能够根据作为处理历史记录而生成的日志来合理地筛选作为向SIEM报告的报告对象的日志,从而能够抑制对与常规处理有关的基本功能造成的不良影响和通信网络的通信量的增大。
附图说明
图1是示出实施方式1所涉及的日志输出系统的系统结构例的图。
图2是示出实施方式1所涉及的IoT设备的内部结构例的框图。
图3A是示出日志的结构例的图。
图3B是示出日志的结构例的图。
图4A是示出日志ID的结构例的图。
图4B是示出日志的类别例的图。
图5A是示出构成黑名单、白名单、动态名单的项目例的图。
图5B是示出实施方式1所涉及的IoT设备的动作概要例的说明图。
图6是按时间序列示出实施方式1所涉及的IoT设备的动作过程的流程图。
图7是示出动态名单的结构例的图。
图8A是示出限定条件名单的结构例的图。
图8B是示出日志的消息中记载的关键字字符串的一例的图。
图9A是示出正常访问Web服务器时的日志的一例的图。
图9B是示出访问Web服务器出错时的日志的一例的图。
图9C是示出使用了限定条件(1)的条件的判断过程例的简易流程图。
图10A是示出正常系日志的每个详情ID的日志的一例的图。
图10B是示出使用了限定条件(2)、(3)的条件的判断过程例的简易流程图。
图11是示出用于删除比较信息或用于不删除比较信息的优先条件名单的结构例的图。
图12是示出图6的步骤St3的动作过程的详细例的流程图。
图13是示出图12的步骤St12的动作过程的详细例的流程图。
图14是示出图6的步骤St4的动作过程的详细例的流程图。
图15是示出图14的步骤St18的动作过程的详细例的流程图。
具体实施方式
下面,适当参照附图来详细地说明具体地公开了本公开所涉及的日志输出装置、日志输出方法以及日志输出系统的实施方式。但是,有时省略超过所需的详细的说明。例如,有时省略已经公知的事项的详细说明、对实质上相同的结构的重复说明。这是为了避免以下的说明不必要地变得冗长,使本领域技术人员易于理解。此外,附图及以下的说明是为了使本领域技术人员充分理解本公开而提供的,并不意图通过它们来限定权利要求书所记载的主题。
下面,作为本公开所涉及的日志输出装置的一例,例示IoT设备(参照上述)来进行说明。作为实施方式1所涉及的日志输出装置的一例的IoT设备生成表示IoT设备中的某些处理的执行历史记录的日志。IoT设备将第一列表(例如黑名单)、第二列表(例如白名单)以及第三列表(例如动态名单)保持于存储器(例如快闪存储器24),所述第一列表包含表示该处理异常的第一静态信息,所述第二列表包含表示该处理正常的第二静态信息,所述第三列表包含用于根据日志来决定是否要输出该日志的动态信息。IoT设备在所生成的日志具有第一静态信息的情况下决定输出该日志,并且,在所生成的日志具有第二静态信息的情况下决定不输出该日志。另外,IoT设备基于所生成的日志和第三列表(参照上述),来决定是否要输出该日志。此外,本公开所涉及的日志输出装置不限定于上述的IoT设备,也可以是PC等计算机。
图1是示出实施方式1所涉及的日志输出系统10的系统结构例的图。日志输出系统10是包含PC 1、多个(n个:n为2以上的整数)IoT设备2-1~2-n、IPS 3、SIEM 4以及SOC 5的结构。PC 1、n个IoT设备2-1~2-n、IPS 3以及SIEM 4以能够经由网络NW1进行通信的方式彼此连接。IPS 3与SOC 5以能够经由网络NW2进行通信的方式彼此连接。网络NW1、NW2是无线网络,例如是Wifi(注册商标)等无线LAN(Local Area Network:局域网)、第四代移动通信系统(所谓的4G)或第五代移动通信系统(所谓的5G)。此外,网络NW1、NW2也可以是有线网络。
PC 1是具备具有高信息处理能力的处理器的通常的个人计算机,是高端规格的信息处理设备。省略了PC 1的具体的内部结构例的图示,但是PC 1是包含处理器、RAM(RandomAccess Memory:随机存取存储器)和ROM(Read Only Memory:只读存储器)等存储器、HDD(Hard Disk Drive:硬盘驱动器)、通信用的网络I/F(Interface:接口)的结构。PC 1中搭载的处理器的处理能力只要比后述的IoT设备2-1~2-n中搭载的处理器23(参照图2)的处理能力优异即可,也可以不是高端规格。PC 1当执行某个处理(例如,应用的处理、通信)时,在处理器中生成表示该处理的执行历史记录的日志。PC 1经由网络NW1及IPS 3将所生成的日志发送到SIEM 4,或者经由网络NW1直接将所生成的日志发送到SIEM 4。
如上所述,IoT设备2-1~2-n至少具有处理器23和工作单元26,是能够将由工作单元26按照处理器23的指示获取到的数据或信息发送到经由网络(例如网络NW1)连接的通信对方的、低端规格的电子设备。另外,IoT设备2-1~2-n能够经由网络NW1来与云服务器(省略图示)之间进行由工作单元26获取到的数据或信息的通信,并能够按照从云服务器发送的控制数据来驱动自身所内置的致动器。关于IoT设备2-1~2-n,例如能够列举出监视摄像机、支付终端、穿戴式摄像机(Body Worn Camera)、门铃电话、多功能外围设备、智能仪表、PLC(programmable logic controller:可编程逻辑控制器)、网关箱等。
IoT设备2-1~2-n与PC 1同样,当执行某个处理(例如,通信、工作单元26中的处理)、或受到恶意软件等有恶意的病毒软件的攻击等处理时,在处理器23或工作单元26中生成表示该处理的执行历史记录或受到了上述的病毒软件的攻击等处理的历史记录的日志。IoT设备2-1~2-n主要使用3种名单(具体地说,黑名单L1、白名单L2、动态名单L3)来决定是否要输出(例如,向SIEM 4发送)所生成的日志,仅限于在决定为输出该日志的情况下进行输出(例如,发送到SIEM 4)。换言之,在实施方式1中,IoT设备2-1~2-n并非每当执行处理时输出所生成的日志,而是使用上述的各个名单来自己决定是否要输出日志,由此分选出作为输出对象的日志。由此,IoT设备2-1~2-n不是输出所有日志,而是能够仅输出必需的日志,因此能够抑制网络NW1的通信量的增大,并且能够抑制因输出大量的日志而导致对基本功能造成不良影响(例如处理的延迟)。
IPS(Intrusion Prevention System:入侵防御系统)3是对从连接于网络NW1的设备(例如,PC 1、IoT设备2-1~2-n)发送的数据进行监视和分析的网络设备。IPS 3能够通过分析数据来检测来自第三方的不正当的访问及攻击或者其预兆,在检测到时向系统管理者进行通知。另外,IPS 3也能够防御来自第三方的不正当的访问及攻击。此外,IPS 3与SIEM4以能够直接地进行数据或信息的通信的方式连接。此外,也能够考虑取代IPS而连接IDS(Intrusion Detection System:入侵检测系统)、防火墙、代理服务器等的情况。
SIEM(Security Information and Event Management:安全信息和事件管理)4对经由IPS 3或网络NW1接收到的多个数据或信息(例如,来自PC 1或者IoT设备2-1~2-n的日志)进行收集和分析。SIEM 4是能够通过对日志进行分析来探测PC 1或者IoT设备2-1~2-n是否未暴露于危险或受其威胁(例如,是否未从第三方受到网络攻击或是否没可能受到网络攻击)的、具有高度的信息处理性能的设备。SIEM 4例如是用PC或具有比PC更高的信息处理性能的服务器装置来构成的。在作为日志的分析结果而探测到PC 1或者IoT设备2-1~2-n暴露于危险或受其威胁时,SIEM 4能够向系统管理者进行通知。
SOC(Security Operation Center:安全运营中心)5是基于IPS 3中的分析结果或SIEM 4中的分析结果来进行对网络攻击的探测和分析的组织。SOC 5由包括用于对分析结果进行监视的多台计算机的网络设备构成,例如由具有系统管理和安全的专业知识的人来管理。
图2是示出实施方式1所涉及的IoT设备2-1~2-n的内部结构例的框图。各IoT设备2-1~2-n的内部结构例可以为共同的,只要没有特别的理由,在以下的说明中统称为IoT设备2。IoT设备2是包含ROM 21、RAM 22、处理器23、快闪存储器24、内部I/F 25、工作单元26以及网络I/F 27的结构。
ROM 21预先存储用于控制处理器23的程序和数据。
RAM 22是处理器23进行动作时使用的工作存储器。RAM 22暂时性地保存处理器23执行动作所需的程序、数据以及在动作中生成的信息或数据等。
处理器23例如是用比PC 1的处理器(图示略)处理能力差的CPU(CentralProcessing unit:中央处理单元)或MPU(Micro Processing Unit:微处理单元)来构成的,对IoT设备2的各部的动作进行控制。处理器23作为IoT设备2的控制部发挥功能,进行用于整体上统一管理IoT设备2的各部的动作的控制处理、IoT设备2的各部之间的数据的输入输出处理、数据的运算(计算)处理以及数据的存储处理。处理器23按照ROM 21中存储的程序和数据来进行动作。作为生成部的一例的处理器23生成表示处理(例如按照ROM 21中存储的程序和数据进行了动作的处理)的执行历史记录的日志。另外,作为登记部的一例的处理器23基于过去曾输出过的日志的内容,来生成包含该日志所具有的每个项目的内容的比较信息,将所生成的该比较信息作为动态名单L3登记到快闪存储器24。
另外,在所生成的日志具有黑名单L1中包含的信息(静态、也就是说不变的信息)的情况下,作为筛选部的一例的处理器23决定输出所生成的该日志。在所生成的日志具有白名单L2中包含的信息(静态、也就是说不变的信息)的情况下,处理器23决定不输出所生成的该日志。并且,处理器23基于所生成的日志的内容和动态名单L3的内容,来决定是否要输出该日志。关于处理器23的动作例的详情后述(参照图5B和图6)。
作为存储器的一例的快闪存储器24存储并保持用于决定是否将由处理器23或工作单元26生成的日志输出到外部(例如,是否发送到经由网络NW1连接的SIEM 4)的名单。名单是黑名单L1、白名单L2以及动态名单L3。此外,黑名单L1、白名单L2以及动态名单L3中的至少1个名单也可以暂时性地保存于RAM 22。
作为第一列表的一例的黑名单L1包含表示在由处理器23或工作单元26执行的处理的执行历史记录(也就是说,日志)中存在异常的信息(第一静态信息的一例)。
作为第二列表的一例的白名单L2包含表示由处理器23或工作单元26执行的处理的执行历史记录(也就是说,日志)正常的信息(第二静态信息的一例)。
作为第三列表的一例的动态名单L3包含用于根据由处理器23或工作单元26执行的处理的执行历史记录(也就是说,日志)的内容来决定是否要输出该日志的动态信息。关于动态名单L3的具体例的详情后述。
内部I/F 25是用于工作单元26与其它各部之间进行数据或信息的输入输出的接口。
工作单元26例如可以是用于检测规定的事件或气温、气压、湿度等参数的感应装置,或是用于拍摄既定或可变的视角内的被摄体的摄像装置。工作单元26不限定于上述的感应装置、摄像装置。也可以是,工作单元26当执行感应或摄像的处理时,生成表示该处理的执行历史记录的日志并交给处理器23。
网络I/F 27具有作为IoT设备2中的通信部的作用,当在处理器23中决定为进行日志的输出的情况下,将由处理器23或工作单元26生成的日志发送到外部(例如经由网络NW1而与IoT设备2连接的SIEM 4)。
图3A和图3B是示出日志的结构例的图。如图3A所示,日志LG1包含头信息LGH和日志主体LGB。关于在用于实施方式1所涉及的IoT设备2决定为需要输出(例如向SIEM 4发送)日志LG1的判断中使用的各种信息,存在该各种信息被记载于头信息LGH内的情况(参照图3A)和被记载于日志主体LGB内的情况(参照图3B)。在此,各种信息例如是指日志ID 31、对方IP(Internet Protocol:因特网协议)地址32、对方端口号33、分类(facility)34、优先级(priority)35、其它信息。
日志ID 31是用于识别日志的信息,在后文中参照图4A和图4B来叙述其详情。对方IP地址32表示作为IoT设备2的通信对方的通信设备的IP地址。对方端口号33表示在IoT设备2与作为其通信对方的通信设备之间使用的端口号。分类34是用于对日志的种类进行分类的信息。优先级35是表示日志的紧急性(例如警告级别、重大危险级别)的信息。
图4A是示出日志ID 31的结构例的图。图4B是示出日志LG1的类别例的图。如图4A所示,日志ID 31是信息ID(InfoID)与详情ID(DetailID)连接而成的结构。信息ID表示日志IG1的种类。详情ID表示针对日志LG1的详细内容赋予的ID。
如图4B所示,作为日志的种类,例示了正常系日志、异常系日志、iptables日志、Apache(注册商标)访问日志、Secure日志。例如,在正常系日志中,信息ID用16进制的“1”表示,详情ID用16进制的“8001~81ff”表示。另外,例如,在异常系日志中,信息ID用16进制的“2”表示,详情ID用16进制的“8001~81ff”表示。另外,例如,在iptables日志中,信息ID用16进制的“5”表示,详情ID用16进制的“1”表示。另外,例如,在Apache(注册商标)访问日志中,信息ID用16进制的“7”表示,详情ID用16进制的“1”表示。另外,例如在Secure日志中,信息ID用16进制的“8”表示,详情ID用16进制的“1”表示。这样,构成为能够根据日志的种类来各不相同地识别包含信息ID和详情ID的日志ID 31。
接着,参照图5A、图5B以及图6来说明实施方式1所涉及的IoT设备2中的用于决定是否要输出日志的动作概要例。图5A是示出构成黑名单、白名单、动态名单的项目例的图。图5B是示出实施方式1所涉及的IoT设备的动作概要例的说明图。图6是按时间序列来示出实施方式1所涉及的IoT设备的动作过程的流程图。
如图5A所示,实施方式1所涉及的黑名单L1包含作为比较项目的日志ID、对方IP地址及端口号、分类、优先级、日志消息、Apache(注册商标)状态,以上各项目为表示处理的执行结果异常的内容。
实施方式1所涉及的白名单L2包含作为比较项目的日志ID、对方IP地址及端口号、分类、优先级、Apache(注册商标)状态,以上各项目为表示处理的执行结果正常的内容。
实施方式1所涉及的动态名单L3包含1个以上的比较信息,所述1个以上的比较信息具有过去输出的日志中记载的内容中的作为比较项目分别被提取出的对方IP地址、端口号以及日志ID的信息(参照图7)。
如图5B和图6所示,每当生成表示处理的执行历史记录的日志(例如日志LG1)时,IoT设备2的处理器23判定在该日志所记载的内容中是否包含与黑名单L1中的所有比较项目中的一部分或全部的比较项目的内容一致的内容(St1)。在判定为所生成的该日志(以下简称为“生成日志”)所记载的内容中与黑名单L1中的一部分或全部的比较项目的内容一致的情况下(St1,“是”),作为筛选部的一例的处理器23决定输出该生成日志。处理器23经由网络I/F 27来输出该生成日志(例如,发送到SIEM 4)(St5)。
另一方面,处理器23在判定为在生成日志所记载的内容中不包含与黑名单L1中的任何比较项目的内容一致的内容的情况下(St1,“否”),判定是否包含与白名单L2中的所有比较项目中的一部分或全部的比较项目的内容一致的内容(St2)。处理器23在判定为在该生成日志所记载的内容中与白名单L2中的一部分或全部的比较项目的内容一致的情况下(St2,“是”),决定为不输出该生成日志(也就是说,不输出该生成日志)。
另一方面,处理器23在判定为在生成日志所记载的内容中不包含与白名单L2中的任何比较项目的内容一致的内容的情况下(St2,“否”),参照后述的限定条件名单L4(参照图8A),来判定是否能够决定是否要输出该生成日志(St3)。在作为使用限定条件名单L4得到的判定结果而判定为输出生成日志的情况下(St3,“要输出”),处理器23决定输出该生成日志。处理器23经由网络I/F 27来输出该生成日志(例如,发送到SIEM 4)(St5)。
另外,在作为使用限定条件名单L4得到的判定结果而判定为不输出生成日志的情况下(St3,“不要输出”),处理器23决定为不输出该生成日志(也就是说,不输出该生成日志)。
并且,在作为使用限定条件名单L4得到的判定结果而判定为无法决定是否要输出生成日志的情况下(St3,“不能决定”),处理器23基于该生成日志的内容和动态名单L3,来判定是否需要输出该生成日志(St4)。在基于生成日志的内容和动态名单L3而判定为需要输出该生成日志的情况下(S4,“是”),处理器23决定输出该生成日志。处理器23经由网络I/F 27来输出该生成日志(例如,发送到SIEM 4)(St5)。
另一方面,在基于生成日志的内容和动态名单L3而判定为不要输出该生成日志的情况下(S4,“是”),处理器23决定为不输出该生成日志(也就是说,不输出该生成日志)。此外,处理器23为了决定是否要输出生成日志,而按照黑名单L1、白名单L2的顺序来进行比较,但是也可以按照白名单L2、黑名单L1的顺序来进行比较。但是,通过由处理器23如图6所示那样按照黑名单L1、白名单L2的顺序进行比较,如果生成日志中包含有黑名单L1的一部分或全部的比较项目的内容,则决定为输出生成日志,因此能够迅速地决定是否要输出该生成日志。
接着,参照图7来说明实施方式1所涉及的动态名单L3的详情。图7是示出动态名单L3的结构例的图。动态名单L3是能够登记从名单编号0到名单编号(n-1)的最多n个比较信息的名单。在图7所示的例子中,动态名单L3具有(n-3)个比较信息(1)、比较信息(2)、比较信息(3)、…、比较信息(n-3)。在图7中,示出了名单编号(n-2)、名单编号(n-1)的地址中尚未登记比较信息的情况。各个比较信息(例如,比较信息(1))包含比较条件311和频度信息312。
比较条件311具有IP地址3111、端口号3112以及日志ID 3113。IP地址3111是图3A所示的对方IP地址32,是作为比较条件311的生成源的日志(也就是说,过去曾输出过的日志)中包含的对方IP地址。端口号3112是图3A所示的对方端口号33,是作为比较条件311的生成源的日志(也就是说,过去曾输出过的日志)中包含的对方端口号。日志ID 3113是图3A所示的日志ID 31。
频度信息312具有出现次数3121和经过时间3122。出现次数3121表示包含与对应的比较条件311一致的内容的日志被生成(换言之,出现)的次数。例如出现次数3121为“0(零)”时(换言之,初次生成了包含与对应的比较条件311一致的内容的日志时),由处理器23决定为输出该日志。之后,每当生成包含与对应的比较条件311一致的内容的日志时,处理器23将出现次数3121加1,在出现次数3121达到了第一既定值(例如10)时,将出现次数3121初始化(也就是说,重置)。由此,处理器23能够在包含与对应的比较条件311一致的内容的日志被生成了10次的情况下决定为仅输出1次,因此能够抑制轻易地输出同样内容的生成日志。
经过时间3122表示从生成了包含与对应的比较条件311一致的内容的日志的时间点起的经过时间。也就是说,处理器23保存从生成了包含与对应的比较条件311一致的内容的日志的时间点起的经过时间来作为经过时间3122。此外,也可以取代经过时间3122而保存生成日志的时刻本身来作为频度信息。在第二既定值(例如10分钟)以内出现次数3121未达到第一既定值(例如10)的情况下,处理器23将出现次数3121和经过时间3122初始化(也就是说,重置)。由此,处理器23能够在从生成了包含与对应的比较条件311一致的内容的日志起至少未经过第二既定值的情况下,省略同样内容的日志的输出,能够合理地缩减日志的输出量。
接着,参照图8A、图8B、图9A、图9B、图9C、图10A以及图10B来说明实施方式1所涉及的限定条件名单L4的详情。图8A是示出限定条件名单L4的结构例的图。图8B是示出日志LGB1的消息中记载的关键字字符串的一例的图。图9A是示出正常访问Web服务器时的日志LGB2的一例的图。图9B是示出访问Web服务器出错时的日志LGB3的一例的图。图9C是示出使用了限定条件(1)的条件的判断过程例的简易流程图。图10A是示出正常系日志的每个详情ID的日志的一例的图。图10B是示出使用了限定条件(2)、(3)的条件的判断过程例的简易流程图。
如图8A所示,限定条件名单L4是包含用于判定是否要使用动态名单L3来决定生成日志的输出或不输出的多个限定条件的名单。具体地说,限定条件名单L4具有表示限定条件的数量的限定条件数、以及各个限定条件(例如,限定条件(1)、限定条件(2)、限定条件(3)、…)。各个限定条件(例如,限定条件(1))包含“IP地址及对应的标志”、“端口号及对应的标志”、“详情ID及对应的标志”、“关键字字符串及对应的标志”的组。各个标志是表示将对应的项目(例如,IP地址、端口号、详情ID、关键字字符串)用作限定条件或不用作限定条件的附加信息。
各个限定条件是针对作为日志ID 31(参照图4A)的一部分的每个信息ID(信息ID)来设置的,例如是针对Apache(注册商标)访问日志(信息ID是16进制的“7”)、正常系日志(信息ID是16进制的“1”)、异常系日志(信息ID是16进制的“2”)、…而分别设置的。
处理器23提取出构成限定条件名单L4的限定条件中的、与生成日志的日志ID 31对应地设置的限定条件并与生成日志进行比较。处理器23根据与该限定条件对应的日志ID,将包含与该限定条件一致的内容的生成日志判定为使用动态名单L3来决定生成日志的输出或不输出的对象外。由此,处理器23能够根据包含与限定条件一致的内容的生成日志的种类迅速地判定该生成日志的输出或不输出,而不使用动态名单L3来决定生成日志的输出或不输出。
另外,处理器23提取出构成限定条件名单L4的限定条件中的、与生成日志的日志ID 31对应地设置的限定条件并与生成日志进行比较。处理器23也可以根据与该限定条件对应的日志ID,将包含与该限定条件一致的内容的生成日志判定为使用动态名单L3来决定生成日志的输出或不输出的对象。由此,处理器23能够根据包含与限定条件一致的内容的生成日志的种类,使用动态名单L3来详细地判定是否要输出该生成日志,而不是用限定条件来简易地检查该生成日志的输出或不输出。
构成限定条件的IP地址是图3A所示的对方IP地址32。构成限定条件的端口号是图3A所示的对方端口号33。构成限定条件的详情ID是图4A所示的详情ID。构成限定条件的关键字字符串例如如图8B所示,是日志LGB1的消息内记载的特定的字符串(参照图8B的下划线部分)。
在图9A中示出了例如IoT设备2正常地访问了Web服务器时的日志LGB2的一部分,该日志LGB2的日志ID的信息ID是16进制的“7”(参照图4B)。在IoT设备2为通常状态时生成很多的这种日志LGB2,因此例如作为限定条件(1),预先登记日志LGB2的一部分的字符串““GET/HTTP/1.1”200”来作为关键字字符串。因而,如图9C所示,在生成了包含与该限定条件(1)的关键字字符串(参照上述)一致的内容的日志的情况下,由于该日志包含与限定条件(1)一致的内容(St12,“是”),因此处理器23判定为使用动态名单L3来决定该日志LGB2的输出或不输出。
另一方面,在图9B中示出了例如IoT设备2对Web服务器发生访问错误时的日志LGB3的一部分,该日志LGB2的日志ID的信息ID是16进制的“7”(参照图4B)。因而,如图9C所示,在生成了这样的日志LGB3的情况下,由于日志LGB3不包含与限定条件(1)一致的内容(St12,“否”),因此处理器23决定为输出该日志LGB3。
在图10A中将日志的种类为正常系日志的情况下(例如信息ID为16进制的“1”,参照图4B)的与正常系日志的4个详情ID(DetailID)对应的日志的消息例和此时的发生现象相对应地示出。例如,详情ID是16进制的“8001”的日志表示网络连接时的日志,详情ID是16进制的“8002”的日志表示网络切断时的日志,详情ID是16进制的“8003”的日志表示数据接收时的日志,详情ID是16进制的“8004”的日志表示数据发送时的日志。在像这样在一个正常系日志中分层地规定多个详细日志的情况下,使用详情ID(DetailID)来预先登记为限定条件。
更具体地说,如图10B所示,详情ID是16进制的“8001”的日志的出现次数少,因此全部作为输出的对象并预先登记为限定条件(2)。因而,在生成了包含与该限定条件(2)一致的内容的日志的情况下(St13,“是”),处理器23决定为输出该日志。
另外,详情ID是16进制的“8002”的日志不重要,因此全部作为不输出的对象并预先登记为限定条件(3)。因而,在生成了不包含与限定条件(2)一致的内容的日志的情况下(St13,“否”),处理器23判定该日志是否包含与限定条件(3)一致的内容(St14)。处理器23在判定为包含与限定条件(3)一致的内容的情况下(St14,“是”),决定为不输出该日志。
另外,详情ID分别是16进制的“8003”、“8004”的日志的出现次数多,因此无法简易地进行输出或不输出的判别。也就是说,这样的详情ID不符合限定条件。因而,处理器23判定为不包含与限定条件(3)一致的内容(St14,“否”),因此判定为使用动态名单L3来进行输出或不输出的决定。
接着,参照图11来说明实施方式1所涉及的优先条件名单L5的详情。图11是示出用于删除比较信息或用于不删除比较信息的优先条件名单L5的结构例的图。优先条件名单L5是包含用于优先删除登记数受限的比较信息或用于不删除比较信息的多个优先条件的名单。具体地说,优先条件名单L5具有表示优先条件的数量的优先条件数、以及各个优先条件(例如,优先条件(1)、优先条件(2)、优先条件(3)、…)。各个优先条件(例如,优先条件(1))包含IP地址、端口号、详情ID、关键字字符串。
如上所述,构成动态名单L3的比较信息(参照图7)的登记数是有限的(例如n个,参照图7),无法登记(n+1)个以上的比较信息。这是由于,例如与PC 1相比为低端规格的IoT设备2的快闪存储器24的存储容量比PC 1的HDD的存储容量少得多。因而,在满足以下的删除条件1~删除条件5中的任一删除条件或能够组合的2个以上的删除条件的情况下,作为筛选部的一例的处理器23删除构成动态名单L3的比较信息。但是,删除条件4与删除条件5是相反的条件,因此无法组合使用。
删除条件1:处理器23删除比较信息中的最久远的(换言之,最初登记的)比较信息。
删除条件2:事先针对每个比较信息相对应地存储出现频度(例如,频度信息312的出现次数3121),处理器23删除该出现频度最少的比较信息。
删除条件3:事先针对每个比较信息存储有登记时刻(也就是说,作为动态名单L3的登记时刻),处理器23在生成了包含与该比较信息的比较条件一致的内容的日志的情况下更新登记时刻。处理器23从登记时刻久远的比较信息开始删除。
删除条件4:事先将图11所示的优先条件名单L5登记到快闪存储器24,处理器23优先删除具有与构成优先条件名单L5的优先条件(1)、优先条件(2)、优先条件(3)、…中的任一条件一致的比较条件的比较信息。在使用该删除条件4的情况下,能够认为,构成优先条件名单L5的优先条件(1)、优先条件(2)、优先条件(3)、…均是用于删除比较信息的条件。
删除条件5:事先将图11所示的优先条件名单L5登记到快闪存储器24,处理器23优先删除具有与构成优先条件名单L5的优先条件(1)、优先条件(2)、优先条件(3)、…中的任一条件不一致的比较条件的比较信息。在使用该删除条件5的情况下,能够认为,构成优先条件名单L5的优先条件(1)、优先条件(2)、优先条件(3)、…均是用于不删除比较信息的条件。
接着,参照图12、图13、图14以及图15来说明实施方式1所涉及的IoT设备2中的分别使用限定条件名单L4和动态名单L3来判断生成日志的输出或不输出时的动作过程的详情。图12是示出图6的步骤St3的动作过程的详细例的流程图。图13是示出图12的步骤St12的动作过程的详细例的流程图。图14是示出图6的步骤St4的动作过程的详细例的流程图。图15是示出图14的步骤St18的动作过程的详细例的流程图。图12~图15的各处理例如由IoT设备2的处理器23来执行。
在图12中,处理器23基于由处理器23或工作单元26生成的日志的信息ID,来判定该生成日志是Apache(注册商标)访问日志、正常系日志以及异常系日志中的哪一种日志(St11)。
处理器23在判定为生成日志是Apache(注册商标)访问日志(也就是说,与对Web服务器的访问有关的日志)的情况下(St11,“Apache(注册商标)访问日志”),判定该生成日志与限定条件(1)是否一致(St12)。
处理器23在判定为该生成日志包含与限定条件(1)一致的内容的情况下(St12,“是”),判定为执行(A-1)的处理(也就是说,使用动态名单L3来检查是否要输出或不输出)(图6的步骤St3的“不能决定”,参照图9C)。
另一方面,处理器23在判定为该生成日志不包含与限定条件(1)一致的内容的情况下(St12,“否”),判定为执行(A-2)的处理(也就是说,输出生成日志)(图6的步骤St3的“要输出”,参照图9C)。也就是说,处理器23进行该生成日志的输出(例如向SIEM 4发送)(St24)。
处理器23在判定为生成日志是异常系日志的情况下(St11,“异常系日志”),判定为执行(A-2)的处理(也就是说,输出生成日志)(图6的步骤St3的“要输出”,参照图10B)。也就是说,处理器23进行该生成日志的输出(例如向SIEM4发送)(St24)。
处理器23在判定为生成日志是正常系日志的情况下(St11,“正常系日志”),判定该生成日志与限定条件(2)是否一致(St13)。处理器23在判定为该生成日志包含与限定条件(2)一致的内容的情况下(St13,“是”),判定为执行(A-2)的处理(也就是说,输出生成日志)(图6的步骤St3的”要输出”,参照图10B)。也就是说,处理器23进行该生成日志的输出(例如向SIEM 4发送)(St24)。
另一方面,处理器23在判定为该生成日志不包含与限定条件(2)一致的内容的情况下(St13,“否”),判定该生成日志与限定条件(3)是否一致(St14)。
处理器23在判定为该生成日志包含与限定条件(3)一致的内容的情况下(St14,“是”),判定为执行(A-3)的处理(也就是说,不输出生成日志)(图6的步骤St3的“不要输出”,参照图10B)。
另一方面,处理器23在判定为该生成日志不包含与限定条件(3)一致的内容的情况下(St14,“否”),判定为执行(A-1)的处理(也就是说,使用动态名单L3来检查是否要输出或不输出)(图6的步骤St3的“不能决定”,参照图9C)。
此外,在实施方式1中,记载了Apache(注册商标)访问日志、正常系日志以及异常系日志,但是也能够考虑针对iptables日志和Secure日志也同样地设定限定条件的情况。
在图13中,处理器23判定在限定条件(1)中是否保持有使用IP地址的意思的标志(St12-1)。在判定为在限定条件(1)中未保持使用IP地址的意思的标志的情况下(St12-1,“否”),处理器23的处理进入步骤St12-3。
处理器23在判定为在限定条件(1)中保持有使用IP地址的意思的标志的情况下(St12-1,“是”),判定作为步骤St12的对象的生成日志是否包含与限定条件(1)的IP地址一致的内容(St12-2)。处理器23在判定为作为步骤St12的对象的生成日志不包含与限定条件(1)的IP地址一致的内容的情况下(St12-2,“否”),不使用动态名单L3来检查是否要输出,而是判定为执行(A-2)的处理(也就是说,输出生成日志)。也就是说,处理器23进行该生成日志的输出(例如向SIEM 4发送)(St24)。
处理器23在判定为作为步骤St12的对象的生成日志包含与限定条件(1)的IP地址一致的内容的情况下(St12-2,“是”),判定在限定条件(1)中是否保持有使用端口号的意思的标志(St12-3)。在判定为在限定条件(1)中未保持使用端口号的意思的标志的情况下(St12-3,“否”),处理器23的处理进入步骤St12-5。
处理器23在判定为在限定条件(1)中保持有使用端口号的意思的标志的情况下(St12-3,“是”),判定作为步骤St12的对象的生成日志是否包含与限定条件(1)的端口号一致的内容(St12-4)。处理器23在判定为作为步骤St12的对象的生成日志不包含与限定条件(1)的端口号一致的内容的情况下(St12-4,“否”),不使用动态名单L3来检查是否要输出,而是判定为执行(A-2)的处理(也就是说,输出生成日志)。也就是说,处理器23进行该生成日志的输出(例如向SIEM 4发送)(St24)。
处理器23在判定为作为步骤St12的对象的生成日志包含与限定条件(1)的端口号一致的内容的情况下(St12-4,“是”),判定在限定条件(1)中是否保持有使用日志ID的意思的标志(St12-5)。在判定为在限定条件(1)中未保持使用日志ID的意思的标志的情况下(St12-5,“否”),处理器23的处理进入步骤St12-7。
处理器23在判定为在限定条件(1)中保持有使用日志ID的意思的标志的情况下(St12-5,“是”),判定作为步骤St12的对象的生成日志是否包含与限定条件(1)的日志ID一致的内容(St12-6)。处理器23在判定为作为步骤St12的对象的生成日志不包含与限定条件(1)的日志ID一致的内容的情况下(St12-6,“否”),不使用动态名单L3来检查是否要输出,而是判定为执行(A-2)的处理(也就是说,输出生成日志)。
处理器23在判定为作为步骤St12的对象的生成日志包含与限定条件(1)的日志ID一致的内容的情况下(St12-6,“是”),判定在限定条件(1)中是否保持有使用关键字字符串的意思的标志(St12-7)。在判定为在限定条件(1)中未保持使用关键字字符串的意思的标志的情况下(St12-7,“否”),处理器23判定为执行(A-1)的处理(也就是说,使用动态名单L3来检查是否要输出或不输出)。
处理器23在判定为在限定条件(1)中保持有使用关键字字符串的意思的标志的情况下(St12-7,“是”),判定作为步骤St12的对象的生成日志是否包含与限定条件(1)的关键字字符串一致的内容(St12-8)。处理器23在判定为作为步骤St12的对象的生成日志不包含与限定条件(1)的关键字字符串一致的内容的情况下(St12-8,“否”),不使用动态名单L3来检查是否要输出,而是判定为执行(A-2)的处理(也就是说,输出生成日志)。
处理器23在判定为作为步骤St12的对象的生成日志包含与限定条件(1)的关键字字符串一致的内容的情况下(St12-8,“是”),判定为执行(A-1)的处理(也就是说,使用动态名单L3来检查是否要输出或不输出)。
在图14中,作为(A-1)的处理,处理器23设定动态名单L3的名单编号0(St15),判定与当前的名单编号对应的比较信息是否存在于动态名单L3(例如,是否未被删除)(St16)。在判定为与当前的名单编号对应的比较信息不存在于动态名单L3的情况下(St16,“否”),处理器23的处理进入步骤St22。
处理器23在判定为与当前的名单编号对应的比较信息存在于动态名单L3的情况下(St16,“是”),从快闪存储器24读出并获取相应的比较信息(St17)。处理器23判定作为对象的日志(也就是说,生成日志)与所读出的比较信息是否一致(也就是说,生成日志是否包含与比较信息的比较条件一致的内容)(St18)。
处理器23在判定为作为使用动态名单L3来决定是否要输出的对象的日志(也就是说,生成日志)与所读出的比较信息不一致的情况下(St18,“否”),将动态名单L3的名单编号加1(St19)。处理器23判定加1后的名单编号是否是最终的名单编号(例如(n-1))(St20)。在加1后的名单编号不是最终的名单编号的情况下(St20,“否”),处理器23的处理返回到步骤St16。
处理器23在判定为加1后的名单编号是最终的名单编号的情况下(St20,“是”),按照删除条件(参照上述)来从动态名单L3中删除至少一个比较信息(St21)。处理器23基于作为使用动态名单L3来决定是否要输出的对象的日志(也就是说,生成日志)来生成比较信息(参照图7)并登记到动态名单L3(St22)。例如,处理器23从生成日志中分别提取出IP地址3111、端口号3112以及日志ID 3113并生成比较信息。处理器23将所生成的该比较信息的出现次数和经过时间初始化为“0(零)”(St23)。在该情况下,处理器23判定为生成日志不包含与所有比较信息均一致的内容,因此判定为输出该生成日志,按照该判定来输出该生成日志(St24)。此外,在步骤St23中,处理器23也可以保存生成日志的生成时刻,来取代将所生成的比较信息的出现次数和经过时间初始化。
另一方面,处理器23在判定为作为使用动态名单L3来决定是否要输出的对象的日志(也就是说,生成日志)与所读出的比较信息一致的情况下(St18,“是”),将所读出的该比较信息的出现次数(参照图7)加1(St25)。处理器23判定加1后的出现次数是否达到了设定值(例如,“10”等第一既定值)(St26)。处理器23在判定为加1后的出现次数达到了设定值(例如,“10”等第一既定值)的情况下(St26,“是”),将该比较信息的出现次数和经过时间初始化为“0(零)”(St23)。
另一方面,处理器23在判定为加1后的出现次数未达到设定值(例如,“10”等第一既定值)的情况下(St26,“否”),判定该比较信息的经过时间是否达到了设定值(例如,“10分钟”等第二既定值)(St27)。处理器23在判定为该比较信息的经过时间达到了设定值(例如,“10分钟”等第二既定值)的情况下(St27,“是”),将该比较信息的出现次数和经过时间初始化为“0(零)”(St23)。
处理器23在判定为该比较信息的经过时间未达到设定值(例如,“10分钟”等第二既定值)的情况下(St27,“否”),保存(登记)从生成该比较信息的时间点起到当前时刻为止的时间来作为经过时间(St28)。此外,也可以省略步骤St28,在判定为比较信息的经过时间未达到设定值(例如,“10分钟”等第二既定值)的情况下(St27,“否”),处理器23的处理进入步骤St24即可。
在图15中,处理器23判定作为对象的日志(也就是说,生成日志)与所读出的比较信息的比较条件的IP地址是否一致(St18-1)。处理器23在该比较条件的IP地址与生成日志所记载的IP地址不一致的情况下(St18-1,“否”),作为步骤St18的处理,判定为“不一致”。
另一方面,处理器23在判定为该比较条件的IP地址与生成日志所记载的IP地址一致的情况下(St18-1,“是”),判定作为对象的日志(也就是说,生成日志)与所读出的比较信息的比较条件的端口号是否一致(St18-2)。处理器23在该比较条件的端口号与生成日志所记载的端口号不一致的情况下(St18-2,“否”),作为步骤St18的处理,判定为“不一致”。
另一方面,处理器23在判定为该比较条件的端口号与生成日志所记载的端口号一致的情况下(St18-2,“是”),判定作为对象的日志(也就是说,生成日志)与所读出的比较信息的比较条件的日志ID是否一致(St18-3)。处理器23在该比较条件的日志ID与生成日志所记载的日志ID不一致的情况下(St18-3,“否”),作为步骤St18的处理,判定为“不一致”。
另一方面,处理器23在判定为该比较条件的端口号与生成日志所记载的端口号一致的情况下(St18-2,“是”),作为步骤St18的处理,判定为“一致”。
通过以上,在实施方式1所涉及的日志输出系统10中,IoT设备2生成表示IoT设备中的处理的执行历史记录的日志。IoT设备2将包含表示该处理异常的第一静态信息的第一列表(例如黑名单L1)、包含表示该处理正常的第二静态信息的第二列表(例如白名单L2)、以及包含用于根据日志来决定是否要输出该日志的动态信息的第三列表(例如动态名单L3)保持于存储器(例如快闪存储器24)。IoT设备2在所生成的日志具有第一静态信息的情况下决定输出该日志,并且,在所生成的日志具有第二静态信息的情况下决定不输出该日志。另外,IoT设备2基于所生成的日志和第三列表(例如动态名单L3)来决定是否要输出该日志。
由此,IoT设备2能够根据作为处理历史记录而生成的日志的内容,来合理地筛选作为向SIEM 4报告的报告对象的日志,因此能够减轻对IoT设备2中的与常规处理有关的基本功能造成的不良影响,并且能够抑制网络NW1的通信量的增大。
另外,IoT设备2生成基于过去输出的日志的比较信息(动态信息的一例)并登记为动态名单L3。在所生成的日志与比较信息一致的情况下,IoT设备2决定不输出该日志。由此,IoT设备2能够抑制频繁地输出与登记为动态名单L3的比较信息一致那样的同样内容的日志。
另外,IoT设备2生成多个比较信息(动态信息的一例)并登记为动态名单L3。由此,IoT设备2能够登记包含多个比较信息的动态名单L3,因此能够抑制包含与多个比较信息中的任一比较信息一致的内容的日志的输出,与比较信息为一个的情况相比,能够进一步抑制日志的频繁输出。
另外,比较信息具有包含过去输出的日志的内容的一部分的比较条件、以及包含与该比较条件一致的内容的日志被生成的频度信息。由此,IoT设备2能够使用包含过去输出的日志的一部分的比较条件、以及包含与该比较条件一致的内容的日志被生成的频度信息,来详细且极细致地判别是否要输出该生成日志,因此能够有效地抑制同样内容且频繁地生成的日志的输出。
另外,频度信息至少具有表示所生成的日志与比较条件一致的次数的出现次数。IoT设备2在判定为出现次数小于第一既定值的情况下,决定不输出所生成的日志。由此,IoT设备2能够在包含与对应的比较条件一致的内容的日志被生成了第一既定值(例如10)次的情况下决定为仅输出1次,因此能够抑制轻易地输出同样内容的生成日志。
另外,频度信息至少具有从生成了与比较条件一致的日志的时间点起的经过时间。IoT设备2在判定为经过时间小于第二既定值的情况下,决定不输出所生成的日志。由此,IoT设备2能够在从生成了包含与对应的比较条件一致的内容的日志起至少未经过第二既定值(例如10分)的情况下省略同样内容的日志的输出,能够合理地缩减日志的输出量。
另外,频度信息至少具有与比较条件一致的日志的生成时刻。IoT设备2在判定为当前时刻相对于该生成时刻的经过时间小于第二既定值的情况下,决定不输出所生成的日志。由此,IoT设备2能够在从生成了包含与对应的比较条件一致的内容的日志起至少未经过第二既定值(例如10分钟)的情况下省略同样内容的日志的输出,能够合理地缩减日志的输出量。
另外,快闪存储器24还保持限定条件名单L4(第四列表的一例),该限定条件名单L4包含用于判定是否要使用动态名单L3来决定日志的输出或不输出的多个限定条件。在所生成的日志与限定条件一致的情况下,IoT设备2判定为针对该日志使用动态名单L3来决定日志的输出或不输出。由此,IoT设备2能够根据包含与限定条件一致的内容的生成日志的种类,使用动态名单L3来详细地判定是否要输出,而不是通过限定条件来简易地检查该生成日志的输出或不输出。
另外,快闪存储器24还保持限定条件名单L4(第四列表的一例),该限定条件名单L4包含用于判定是否要使用动态名单L3来决定日志的输出或不输出的多个限定条件。在所生成的日志与限定条件一致的情况下,IoT设备2判定为针对该日志不使用动态名单L3来决定生成日志的输出或不输出,并针对该日志决定输出或不输出。由此,IoT设备2能够根据包含与限定条件一致的内容的生成日志的种类迅速地判定该生成日志的输出或不输出,而不使用动态名单L3来决定生成日志的输出或不输出。
另外,快闪存储器24还保持优先条件名单L5(第五列表的一例),该优先条件名单L5包含用于删除比较信息的多个优先条件。IoT设备2在已登记了能够登记的个数的比较信息来作为动态名单L3、且所生成的日志与优先条件中的任一优先条件一致的情况下,删除与该优先条件一致的比较信息。例如,能够认为通过执行频度低的处理来生成的日志的输出优先度高。由此,IoT设备2能够在包含基于高频度地执行的处理的日志的内容的比较信息与优先条件一致的情况下删除该比较信息,从而能够有助于在有限的个数中保持对于能够抑制高频度地生成的日志的输出而言有意义的比较信息。
另外,快闪存储器24还保持优先条件名单L5(第五列表的一例),该优先条件名单L5包含用于不删除比较信息的多个优先条件。IoT设备2在已登记了能够登记的个数的比较信息来作为动态名单L3、且所生成的日志与优先条件中的任一优先条件一致的情况下,不删除与该优先条件一致的比较信息。例如,能够认为通过执行频度高的处理来生成的日志的该输出优先度低。由此,IoT设备2能够通过在包含基于高频度地执行的处理的日志的内容的比较信息与优先条件一致的情况下不删除该比较信息而是使其保留,来有助于保持对于能够抑制高频度地生成的日志的输出而言有意义的比较信息。
另外,IoT设备2从构成动态信息的多个比较信息中删除最久远的比较信息。由此,由于满足最久远的比较信息那样的处理被执行的频度低,因此IoT设备2通过删除基于这种低频度的处理的不需要的比较信息,能够保持对于能够抑制高频度地执行的处理的日志的输出而言有意义的比较信息。
另外,构成快闪存储器24中保持的动态信息的多个比较信息的各个比较信息保持有表示满足该比较信息的日志的生成次数的出现频度。IoT设备2从构成动态信息的多个比较信息中删除出现频度最少的比较信息。由此,IoT设备2通过删除基于低频度的处理的不需要的比较信息,能够保持对于能够抑制高频度地执行的处理的日志的输出而言有意义的比较信息。
另外,构成快闪存储器24中保持的动态信息的多个比较信息的各个比较信息保持有该比较信息被登记为动态信息的登记时刻。IoT设备2从构成动态信息的多个比较信息中删除登记时刻最久远的比较信息。此外,登记时刻在生成了包含与对应的比较信息的比较条件一致的内容的日志的情况下被更新。由此,IoT设备2通过删除基于低频度的处理的不需要的比较信息,能够保持对于能够抑制高频度地执行的处理的日志的输出而言有意义的比较信息。
以上,参照附图来说明了各种实施方式,但是本公开不限定于所述例子,这是不言而喻的。如果是本领域技术人员,则应该明确在权利要求书所记载的范围内能够想到各种变更例、修正例、置换例、附加例、删除例、等效例,并应该了解它们当然属于本公开的技术范围。另外,也可以在不脱离发明的主旨的范围内将上述的各种实施方式中的各结构要素任意地组合。
此外,本申请基于2018年9月3日申请的日本专利申请(特愿2018-164537),其内容在本申请中作为参照被引用。
产业上的可利用性
本公开作为根据作为处理历史记录而生成的日志来合理地筛选作为向SIEM报告的报告对象的日志、从而抑制对与常规处理有关的基本功能造成的不良影响和通信网络的通信量的增大的日志输出装置、日志输出方法以及日志输出系统是有用的。
附图标记说明
1:PC;2、2-1、2-n:IoT设备;3:IPS;4:SIEM;5:SOC;21:ROM;22:RAM;23:处理器;24:快闪存储器;25:内部I/F;26:工作单元;27:网络I/F;L1:黑名单;L2:白名单;L3:动态名单;L4:限定条件名单;L5:优先条件名单;NW1、NW2:网络。

Claims (16)

1.一种日志输出装置,具备:
生成部,其生成表示处理的执行历史记录的日志;
存储器,其用于保持第一列表、第二列表以及第三列表,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;
以及筛选部,其在由所述生成部生成的日志具有所述第一静态信息的情况下决定输出该日志,并且,在由所述生成部生成的日志具有所述第二静态信息的情况下决定不输出该日志,
其中,所述筛选部基于由所述生成部生成的日志和所述第三列表来决定是否要输出该日志。
2.根据权利要求1所述的日志输出装置,其中,
还具备登记部,该登记部生成基于过去输出的日志的比较信息并登记为所述动态信息,
在由所述生成部生成的日志与所述比较信息一致的情况下,所述筛选部决定不输出该日志。
3.根据权利要求2所述的日志输出装置,其中,
所述登记部生成多个所述比较信息并登记为所述动态信息。
4.根据权利要求2或3所述的日志输出装置,其中,
所述比较信息具有包含所述过去输出的日志的内容的一部分的比较条件、以及与该比较条件一致的日志被生成的频度信息。
5.根据权利要求4所述的日志输出装置,其中,
所述频度信息至少具有表示由所述生成部生成的日志与所述比较条件一致的次数的出现次数,
所述筛选部在判定为所述出现次数小于第一既定值的情况下,决定不输出由所述生成部生成的日志。
6.根据权利要求4所述的日志输出装置,其中,
所述频度信息至少具有从由所述生成部生成与所述比较条件一致的日志的时间点起的经过时间,
所述筛选部在判定为所述经过时间小于第二既定值的情况下,决定不输出由所述生成部生成的日志。
7.根据权利要求4所述的日志输出装置,其中,
所述频度信息至少具有与所述比较条件一致的日志的生成时刻,
所述筛选部在判定为当前时刻相对于所述生成时刻的经过时间小于第二既定值的情况下,决定不输出由所述生成部生成的日志。
8.根据权利要求1所述的日志输出装置,其中,
所述存储器还保持第四列表,该第四列表包含用于判定是否要使用所述第三列表来决定日志的输出或不输出的多个限定条件,
在由所述生成部生成的日志与所述限定条件一致的情况下,所述筛选部判定为针对该日志使用所述第三列表来决定日志的输出或不输出。
9.根据权利要求1所述的日志输出装置,其中,
所述存储器还保持第四列表,该第四列表包含用于判定是否要使用所述第三列表来决定日志的输出或不输出的多个限定条件,
在由所述生成部生成的日志与所述限定条件一致的情况下,所述筛选部判定为针对该日志不使用所述第三列表来决定日志的输出或不输出,并针对该日志决定输出或不输出。
10.根据权利要求2所述的日志输出装置,其中,
所述存储器还保持第五列表,该第五列表包含用于删除所述比较信息的多个优先条件,
在已登记了能够登记的个数的所述比较信息来作为所述动态信息、且由所述生成部生成的日志与所述优先条件中的任一优先条件一致的情况下,所述筛选部删除与该优先条件一致的所述比较信息。
11.根据权利要求2所述的日志输出装置,其中,
所述存储器还保持第五列表,该第五列表包含用于不删除所述比较信息的多个优先条件,
在已登记了能够登记的个数的所述比较信息来作为所述动态信息、且由所述生成部生成的日志与所述优先条件中的任一优先条件一致的情况下,所述筛选部不删除与该优先条件一致的所述比较信息。
12.根据权利要求3所述的日志输出装置,其中,
所述筛选部从构成所述动态信息的多个所述比较信息中删除最久远的比较信息。
13.根据权利要求3所述的日志输出装置,其中,
所述比较信息保持有表示满足该比较信息的日志的生成次数的出现频度,
所述筛选部从构成所述动态信息的多个所述比较信息中删除所述出现频度最少的比较信息。
14.根据权利要求3所述的日志输出装置,其中,
所述比较信息保持有将该比较信息作为所述动态信息进行登记的登记时刻,
所述筛选部从构成所述动态信息的多个所述比较信息中删除所述登记时刻最久远的比较信息。
15.一种日志输出装置中的日志输出方法,包括以下步骤:
生成表示处理的执行历史记录的日志;
将第一列表、第二列表以及第三列表保持于存储器,其中,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;
在所生成的所述日志具有所述第一静态信息的情况下决定输出该日志,并且,在所生成的所述日志具有所述第二静态信息的情况下决定不输出该日志;以及
基于所生成的所述日志和所述第三列表来决定是否要输出该日志。
16.一种日志输出系统,是日志输出装置与对来自所述日志输出装置的日志进行分析的服务器装置以能够进行通信的方式连接而成的系统,
其中,所述日志输出装置生成表示处理的执行历史记录的日志,
所述日志输出装置将第一列表、第二列表以及第三列表保持于存储器,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息,
所述日志输出装置在所生成的所述日志具有所述第一静态信息的情况下决定输出该日志,并且,在所生成的所述日志具有所述第二静态信息的情况下决定不输出该日志,
所述日志输出装置基于所生成的所述日志和所述第三列表来决定是否要输出该日志。
CN201980070494.1A 2018-09-03 2019-09-02 日志输出装置、日志输出方法以及日志输出系统 Active CN112912877B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018164537A JP7156869B2 (ja) 2018-09-03 2018-09-03 ログ出力装置、ログ出力方法およびログ出力システム
JP2018-164537 2018-09-03
PCT/JP2019/034394 WO2020050206A1 (ja) 2018-09-03 2019-09-02 ログ出力装置、ログ出力方法およびログ出力システム

Publications (2)

Publication Number Publication Date
CN112912877A true CN112912877A (zh) 2021-06-04
CN112912877B CN112912877B (zh) 2024-06-04

Family

ID=

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003091434A (ja) * 2001-09-18 2003-03-28 Hitachi Information Systems Ltd ログ診断装置とその方法、およびその処理プログラム
CN1524220A (zh) * 2001-06-25 2004-08-25 三菱电机株式会社 发生故障通知抑制设备和发生故障通知抑制方法
JP2007171641A (ja) * 2005-12-22 2007-07-05 Nippon Telegr & Teleph Corp <Ntt> 電子地図機能を備えた端末装置、電子地図のヒストリを作成する方法、プログラム及びプログラムを記録した記録媒体
JP2008203942A (ja) * 2007-02-16 2008-09-04 Nomura Research Institute Ltd ログ管理装置、ログ管理方法、プログラム、及び記録媒体
US20140096181A1 (en) * 2012-09-28 2014-04-03 Tripwire, Inc. Event integration frameworks
JP2014170327A (ja) * 2013-03-01 2014-09-18 Canon Electronics Inc 情報処理装置およびその制御方法、並びに、情報処理システム
CN104937886A (zh) * 2013-01-30 2015-09-23 日本电信电话株式会社 日志分析装置、信息处理方法以及程序
JP2015170219A (ja) * 2014-03-07 2015-09-28 株式会社日立システムズ アクセス管理方法およびアクセス管理システム
WO2016075915A1 (ja) * 2014-11-10 2016-05-19 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
JP2017045217A (ja) * 2015-08-26 2017-03-02 株式会社Screenホールディングス ログ管理装置、ログ管理方法、およびログ管理プログラム
US20170163670A1 (en) * 2014-04-30 2017-06-08 Hewlett Packard Enterprise Development Lp Packet logging
WO2017110100A1 (ja) * 2015-12-25 2017-06-29 株式会社ラック 情報処理装置、情報処理方法及びプログラム

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1524220A (zh) * 2001-06-25 2004-08-25 三菱电机株式会社 发生故障通知抑制设备和发生故障通知抑制方法
JP2003091434A (ja) * 2001-09-18 2003-03-28 Hitachi Information Systems Ltd ログ診断装置とその方法、およびその処理プログラム
JP2007171641A (ja) * 2005-12-22 2007-07-05 Nippon Telegr & Teleph Corp <Ntt> 電子地図機能を備えた端末装置、電子地図のヒストリを作成する方法、プログラム及びプログラムを記録した記録媒体
JP2008203942A (ja) * 2007-02-16 2008-09-04 Nomura Research Institute Ltd ログ管理装置、ログ管理方法、プログラム、及び記録媒体
US20140096181A1 (en) * 2012-09-28 2014-04-03 Tripwire, Inc. Event integration frameworks
CN104937886A (zh) * 2013-01-30 2015-09-23 日本电信电话株式会社 日志分析装置、信息处理方法以及程序
JP2014170327A (ja) * 2013-03-01 2014-09-18 Canon Electronics Inc 情報処理装置およびその制御方法、並びに、情報処理システム
JP2015170219A (ja) * 2014-03-07 2015-09-28 株式会社日立システムズ アクセス管理方法およびアクセス管理システム
US20170163670A1 (en) * 2014-04-30 2017-06-08 Hewlett Packard Enterprise Development Lp Packet logging
WO2016075915A1 (ja) * 2014-11-10 2016-05-19 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
JP2017045217A (ja) * 2015-08-26 2017-03-02 株式会社Screenホールディングス ログ管理装置、ログ管理方法、およびログ管理プログラム
WO2017110100A1 (ja) * 2015-12-25 2017-06-29 株式会社ラック 情報処理装置、情報処理方法及びプログラム

Also Published As

Publication number Publication date
EP3848831B1 (en) 2023-11-29
JP7156869B2 (ja) 2022-10-19
US20210320937A1 (en) 2021-10-14
EP3848831A4 (en) 2021-10-13
WO2020050206A1 (ja) 2020-03-12
JP2020038439A (ja) 2020-03-12
EP3848831A1 (en) 2021-07-14
US11394736B2 (en) 2022-07-19

Similar Documents

Publication Publication Date Title
US10176321B2 (en) Leveraging behavior-based rules for malware family classification
US10467411B1 (en) System and method for generating a malware identifier
US10872151B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
EP3882799B1 (en) Computer security event analysis
US9781144B1 (en) Determining duplicate objects for malware analysis using environmental/context information
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN109871348B (zh) 安全连接的框架
US11394736B2 (en) Log output device, log output method and log output system
US10148695B2 (en) Real-time policy distribution
JP2007515867A (ja) 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US20180341769A1 (en) Threat detection method and threat detection device
US20210192043A1 (en) Dynamic rules engine in a cloud-based sandbox
US20200403977A1 (en) One-click reputation adjustment
US11558401B1 (en) Multi-vector malware detection data sharing system for improved detection
CN110941823B (zh) 威胁情报获取方法及装置
CN111901326B (zh) 多设备入侵的检测方法、装置、系统以及存储介质
CN112912877B (zh) 日志输出装置、日志输出方法以及日志输出系统
JP2005157650A (ja) 不正アクセス検知システム
US11176251B1 (en) Determining malware via symbolic function hash analysis
CN114816895A (zh) 处理告警日志的方法、装置及存储介质
JP2006011552A (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
CN112352402A (zh) 生成装置、生成方法和生成程序
JP6760884B2 (ja) 生成システム、生成方法及び生成プログラム
JP2022151895A (ja) セグメント間通信監視システム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Osaka, Japan

Applicant after: Panasonic Holding Co.,Ltd.

Address before: Osaka, Japan

Applicant before: Matsushita Electric Industrial Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant