日志分析裝置��、信息處理方法以及程序的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及日志分析裝置�、信息處理方法以及程序,特別涉及對(duì)與網(wǎng)絡(luò)安全相關(guān)的攻擊進(jìn)行檢測(cè)的技術(shù)���。
【背景技術(shù)】
[0002]在IP(Internet Protocol:互聯(lián)網(wǎng)協(xié)議)網(wǎng)絡(luò)中���,為了對(duì)非法入侵進(jìn)行檢測(cè)而使用日志信息進(jìn)行解析。在專利文獻(xiàn)I中公開了這樣的方法:針對(duì)記錄網(wǎng)絡(luò)上的異常訪問的入侵檢測(cè)裝置所輸出的大量的日志�����,根據(jù)考慮到了作為事件屬性的事件種類或地址等的差異的事件之間的同時(shí)相關(guān)性,對(duì)多個(gè)事件進(jìn)行分組��,從而使監(jiān)視或分析變得容易����。
[0003]現(xiàn)有技術(shù)文獻(xiàn)
[0004]專利文獻(xiàn)
[0005]專利文獻(xiàn)1:日本特開2005-038116號(hào)公報(bào)
【發(fā)明內(nèi)容】
[0006]發(fā)明要解決的課題
[0007]但是,認(rèn)為:如果沒有根據(jù)入侵方法對(duì)多個(gè)日志信息關(guān)聯(lián)起來進(jìn)行分析��,則僅通過對(duì)數(shù)據(jù)包的多個(gè)日志信息的分組化���,難以檢測(cè)出非法入侵�����。
[0008]本發(fā)明的目的在于提供一種日志分析裝置�����、信息處理方法以及用于使計(jì)算機(jī)執(zhí)行的程序���,它們根據(jù)來自多個(gè)通信設(shè)備的日志信息和業(yè)務(wù)信息(traffic informat1n),能夠綜合性地判定是否存在非法訪問��。
[0009]通過本說明書的描述和附圖���,闡明了本發(fā)明的上述以及其他的目的和新的特征�����。
[0010]用于解決課題的手段
[0011]為了實(shí)現(xiàn)上述目的����,本發(fā)明的日志分析裝置構(gòu)成為:進(jìn)行網(wǎng)絡(luò)的安全管理�����,其中�,該日志分析裝置具有:日志信息收集部,其收集從所述網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息����;標(biāo)準(zhǔn)化(normalizat1n)處理部,其對(duì)所述日志信息收集部收集到的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化����;日志信息分析處理部,其從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息�,且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析,判定是否存在非法訪問���;以及事件信息通知部����,其輸出事件信息,該事件信息包含根據(jù)所述日志信息分析處理部所判定的結(jié)果而得到的����、表示重要度的信息。
[0012]此外���,本發(fā)明的信息處理方法�����,其是進(jìn)行網(wǎng)絡(luò)的安全管理的日志分析裝置的信息處理方法����,其中�,在該信息處理方法中,收集從所述網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息���,對(duì)所收集的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化��,從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息����,且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析,判定是否存在非法訪問���,輸出事件信息,該事件信息包含根據(jù)所述判定的結(jié)果而得到的��、表示重要度的信息�����。
[0013]而且���,本發(fā)明的程序��,其使進(jìn)行網(wǎng)絡(luò)的安全管理的計(jì)算機(jī)執(zhí)行下述步驟:收集從所述網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息的步驟�;對(duì)所收集的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化的步驟����;從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息,且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析�,判定是否存在非法訪問的步驟;以及輸出事件信息的步驟,該事件信息包含根據(jù)所述判定的結(jié)果而得到的�、表示重要度的信息。
[0014]發(fā)明效果
[0015]通過本發(fā)明�����,根據(jù)從網(wǎng)絡(luò)內(nèi)的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息�,能夠綜合性地判定由非法訪問的攻擊造成的通信連接所引起的問題的重要度。
【附圖說明】
[0016]圖1是示出本實(shí)施方式的日志分析裝置進(jìn)行安全管理的網(wǎng)絡(luò)的一個(gè)結(jié)構(gòu)例的框圖�����。
[0017]圖2是示出本實(shí)施方式的日志分析裝置的一個(gè)結(jié)構(gòu)例的框圖��。
[0018]圖3是示出日志格式的一例的圖�����。
[0019]圖4是示出本實(shí)施方式的日志分析裝置的工作步驟的流程圖����。
【具體實(shí)施方式】
[0020]使用附圖,對(duì)本發(fā)明的實(shí)施方式進(jìn)行說明���。此外�����,以下說明的實(shí)施方式并不對(duì)本發(fā)明的權(quán)利要求書中的范圍的解釋進(jìn)行限定��。
[0021]圖1是示出本實(shí)施方式的日志分析裝置進(jìn)行安全管理的網(wǎng)絡(luò)的一個(gè)結(jié)構(gòu)例的框圖����。
[0022]如圖1所示,用戶IP網(wǎng)絡(luò)30具有用戶終端11����、代理服務(wù)器(Proxy Server) 12�����、DNS(Domain Name System:域名系統(tǒng))服務(wù)器13�����、郵件服務(wù)器14��、文件服務(wù)器15�����、Web服務(wù)器16、IPS (Intrus1n Prevent1n System:入侵預(yù)防系統(tǒng))17��、防火墻18�����、交換機(jī)19以及路由器20�����。在本實(shí)施方式中��,為了簡(jiǎn)化說明而對(duì)用戶終端11為I臺(tái)的情況進(jìn)行說明���,但也可以在用戶IP網(wǎng)絡(luò)30內(nèi)設(shè)置多個(gè)用戶終端�����。
[0023]代理服務(wù)器12�、DNS(Domain Name System:域名系統(tǒng))服務(wù)器13����、郵件服務(wù)器14、文件服務(wù)器15����、Web服務(wù)器16以及用戶終端11與交換機(jī)19連接��。交換機(jī)19經(jīng)由IPS 17���、防火墻18以及路由器20與互聯(lián)網(wǎng)連接。IPS 17和防火墻18防止來自互聯(lián)網(wǎng)側(cè)的非法訪問和病毒攻擊����。進(jìn)行用戶IP網(wǎng)絡(luò)30的安全管理的日志分析裝置10與路由器20連接。
[0024]作為非法訪問��,例如可考慮到如下這樣的訪問等:在用戶終端11的情況下���,沒有使用權(quán)限的人員攻擊用戶終端11的安全上的弱點(diǎn),非法使用用戶終端11����,或者篡改用戶終端11內(nèi)的數(shù)據(jù),或者使用戶終端11不能使用�。
[0025]此外,與路由器20連接的互聯(lián)網(wǎng)是外部網(wǎng)絡(luò)的一例����,外部網(wǎng)絡(luò)不限于互聯(lián)網(wǎng)�。此夕卜���,用戶IP網(wǎng)絡(luò)30是作為安全管理對(duì)象的網(wǎng)絡(luò)的一例�����,只要是能夠按照IP傳送數(shù)據(jù)的網(wǎng)絡(luò)即可�����,例如是LAN (Local Area Network:局域網(wǎng))�。用戶IP網(wǎng)絡(luò)30所包含的信息通信設(shè)備不限于圖1中所示的結(jié)構(gòu)�。
[0026]接下來,對(duì)本實(shí)施方式的日志分析裝置的結(jié)構(gòu)進(jìn)行說明���。圖2是示出本實(shí)施方式的日志分析裝置的一個(gè)結(jié)構(gòu)例的框圖�����。
[0027]日志分析裝置10是具有控制部51和存儲(chǔ)部52的結(jié)構(gòu)�?�?刂撇?1具有日志信息收集部100�����、標(biāo)準(zhǔn)化處理部101、日志信息分析處理部103���、事件信息通知部104以及外部信息收集部102�。
[0028]在控制部51中設(shè)置有按照程序執(zhí)行處理的CPU(Central Processing Unit:中央處理單元)(未圖示)以及存儲(chǔ)程序的存儲(chǔ)器(未圖示)�����。CPU按照程序執(zhí)行處理�����,由此�,在日志分析裝置10中虛擬地構(gòu)成圖2所示的日志信息收集部100、標(biāo)準(zhǔn)化處理部101����、日志信息分析處理部103�����、事件信息通知部104以及外部信息收集部102��。
[0029]日志信息收集部100從路由器20、交換機(jī)19���、防火墻18����、IPS 17�����、Web服務(wù)器16��、文件服務(wù)器15���、郵件服務(wù)器14����、DNS服務(wù)器13以及代理服務(wù)器12接收到日志信息時(shí)���,按照從日志信息中所獲取的每個(gè)設(shè)備識(shí)別信息將日志信息保存在存儲(chǔ)部52中����。日志信息收集部100從用戶終端11接收到日志信息時(shí)����,在存儲(chǔ)部52中與從日志信息中所獲取的用戶IDddentifier:標(biāo)識(shí)符)和設(shè)備識(shí)別信息對(duì)應(yīng)地保存日志信息���。用戶ID是按用戶終端的每個(gè)用戶而不同的標(biāo)識(shí)符。
[0030]此外��,日志信息收集部100從路由器20和交換機(jī)19等接收到業(yè)務(wù)信息時(shí)�,按照從業(yè)務(wù)信息中所獲取的每個(gè)設(shè)備識(shí)別信息將業(yè)務(wù)信息保存在存儲(chǔ)部52中。設(shè)備識(shí)別信息是用于識(shí)別作為日志信息或業(yè)務(wù)信息的發(fā)送源的通信設(shè)備的信息�,是按每個(gè)通信設(shè)備而不同的信息。
[0031]標(biāo)準(zhǔn)化處理部101對(duì)存儲(chǔ)部52中收集的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化����,在該標(biāo)準(zhǔn)化中將這些信息統(tǒng)一地整理成日志信息分析處理部103容易檢索和分析的數(shù)據(jù)形式。例如�����,有時(shí)路由器20所輸出的業(yè)務(wù)信息的格式與交換機(jī)19所輸出的業(yè)務(wù)信息的格式不同�。
[0032]具體地說,標(biāo)準(zhǔn)化處理部101按照預(yù)先規(guī)定的公共類別規(guī)則���,對(duì)日志信息和業(yè)務(wù)信息進(jìn)行更新�����,以使日志信息和業(yè)務(wù)信息所包含的項(xiàng)目(例如發(fā)送源IP地址�、目的地IP地址����、發(fā)送源端口信息、目的地端口信息��、協(xié)議信息�����、設(shè)備識(shí)別信息以及用戶ID等)符合所有設(shè)備通用的格式�����。
[0033]此外���,標(biāo)準(zhǔn)化處理部101對(duì)同一個(gè)IP連接的日志信息或業(yè)務(wù)信息賦予連接標(biāo)識(shí)符且保存在存儲(chǔ)部52中�����,該連接標(biāo)識(shí)符是按每個(gè)連接而不同的標(biāo)識(shí)符����。作為是否為同一個(gè)IP連接的判別方法,例如����,如果日志信息或業(yè)務(wù)信息在固定時(shí)間內(nèi)的時(shí)間戳上用戶ID、發(fā)送源IP地址�����、目的地IP地址���、發(fā)送源端口信息����、目的地端口信息以及協(xié)議信息相同�����,則即使設(shè)備識(shí)別信息不同也判定為同一個(gè)連接�。作為連接識(shí)別信息的一例,可以計(jì)算出哈希值來使用���。在圖3中不出日志格式的一例��。
[0034]為了在日志信息分析處理部103的通信方向(數(shù)據(jù)包的發(fā)送方向)的判定和攻擊的分析中使用����,外部信息收集部102從外部獲取包含黑名單和用戶IP地址的外部信息而保存在存儲(chǔ)部52中�,該黑名單列舉了 URL (Uniform Resource Locator:統(tǒng)一資源定位器)和I