設(shè)備的數(shù)量越多，則分?jǐn)?shù)的總和越高。
[0059]這樣，關(guān)于與具有攻擊的可能性的連接相關(guān)的威脅度，對(duì)根據(jù)從多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息來判定的分?jǐn)?shù)進(jìn)行組合，由此，能夠綜合性地判斷非法訪問的可能性。
[0060]這里，在步驟203中，對(duì)其他分析規(guī)則的情況進(jìn)行說明。
[0061]日志信息分析處理部103通過分析24小時(shí)或一周期間等固定時(shí)間內(nèi)的時(shí)序的日志信息和業(yè)務(wù)信息，如下這樣地賦予分?jǐn)?shù):與指定事件在指定時(shí)間內(nèi)發(fā)生的次數(shù)對(duì)應(yīng)地賦予分?jǐn)?shù)；根據(jù)指定事件的發(fā)生間隔賦予分?jǐn)?shù)；根據(jù)多個(gè)指定事件發(fā)生順序和每個(gè)指定事件的發(fā)生間隔賦予分?jǐn)?shù)；根據(jù)指定事件在指定時(shí)間內(nèi)未發(fā)生的時(shí)間賦予分?jǐn)?shù)；根據(jù)按多個(gè)指定項(xiàng)目中的每個(gè)項(xiàng)目對(duì)指定時(shí)間內(nèi)的總量進(jìn)行比較的結(jié)果賦予分?jǐn)?shù)。接著，日志信息分析處理部103求出這些分?jǐn)?shù)的總和。
[0062]雖然難以從單獨(dú)的日志信息中檢測(cè)出非法訪問，但是通過這樣從固定時(shí)間內(nèi)的時(shí)序的日志信息和業(yè)務(wù)信息中提取出多個(gè)攻擊連接的信息，能夠檢測(cè)出非法訪問。
[0063]此外，雖然分別對(duì)上述2種分析規(guī)則的方法進(jìn)行了說明，但是日志信息分析處理部103也可以分別根據(jù)這2種分析規(guī)則求出分?jǐn)?shù)，將較大的一方作為步驟203的處理結(jié)果。
[0064]步驟203的處理之后，日志信息分析處理部103判定日志信息和業(yè)務(wù)信息是否包含黑名單的URL或IP地址(步驟204)。當(dāng)日志信息或業(yè)務(wù)信息包含了黑名單的URL或IP地址的情況下，日志信息分析處理部103在分?jǐn)?shù)上加上規(guī)定的值(步驟205)，當(dāng)日志信息和業(yè)務(wù)信息沒有包含黑名單的URL和IP地址的情況下，進(jìn)入步驟206。
[0065]日志信息分析處理部103為了根據(jù)分?jǐn)?shù)判定重要度，對(duì)分?jǐn)?shù)的總和與預(yù)先規(guī)定的基準(zhǔn)值進(jìn)行比較，來判定分?jǐn)?shù)的總和是否比基準(zhǔn)值大(步驟206)。在分?jǐn)?shù)的總和是基準(zhǔn)值以下的情況下，日志信息分析處理部103不進(jìn)行任何工作而結(jié)束處理。在步驟206的判定結(jié)果為分?jǐn)?shù)的總和值是基準(zhǔn)值以下的情況下，事件信息通知部104向顯示裝置(未圖示)輸出事件信息(步驟207)。在步驟206的判定結(jié)果為分?jǐn)?shù)的總和值比基準(zhǔn)值大的情況下，事件信息通知部104將關(guān)聯(lián)信息與事件信息一起輸出到顯示裝置(未圖示)(步驟208)。日志分析裝置10重復(fù)圖4所示的步驟。
[0066]例如，在步驟203的處理中對(duì)固定時(shí)間內(nèi)的時(shí)序的日志信息和業(yè)務(wù)信息進(jìn)行分析的情況下，日志信息分析處理部103與一周期間的日志信息和業(yè)務(wù)信息所包含的發(fā)送源IP地址與目的地IP地址之間的發(fā)送接收量之差對(duì)應(yīng)地賦予分?jǐn)?shù)，提取出信息泄露的攻擊連接候補(bǔ)。這是因?yàn)?，如果發(fā)送源IP地址是用戶IP地址時(shí)發(fā)送量遠(yuǎn)遠(yuǎn)大于接收量，則可認(rèn)為從用戶終端11向外部發(fā)生信息泄露。在這種情況下，分?jǐn)?shù)的值變高。針對(duì)提取出的攻擊連接候補(bǔ)，通過對(duì)相同的固定時(shí)間的多個(gè)通信設(shè)備的日志信息和業(yè)務(wù)信息進(jìn)行同樣的分析，能夠輸出表示威脅度的判定結(jié)果。
[0067]根據(jù)本實(shí)施方式，從網(wǎng)絡(luò)內(nèi)的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息，按照預(yù)先規(guī)定的分析規(guī)則，對(duì)多個(gè)日志信息和業(yè)務(wù)信息進(jìn)行分析，由此，能夠在不依賴于安全管理員的判斷的情況下綜合性地自動(dòng)判定由非法訪問的攻擊造成的通信連接所引起的問題的重要度。
[0068]此外，也可以在計(jì)算機(jī)中安裝描述有用于執(zhí)行本發(fā)明的信息處理方法的步驟的程序，在計(jì)算機(jī)中執(zhí)行本發(fā)明的信息處理方法。
[0069]標(biāo)號(hào)說明:
[0070]10:日志分析裝置;11:用戶終端；12:代理服務(wù)器;13:DNS服務(wù)器;14:郵件服務(wù)器；15:文件服務(wù)器；16:ffeb服務(wù)器；17:IPS ;18:防火墻；19:交換機(jī)；20:路由器；100:日志信息收集部；101:標(biāo)準(zhǔn)化處理部；102:外部信息收集部；103:日志信息分析處理部；104:事件信息通知部。
【主權(quán)項(xiàng)】
1.一種日志分析裝置，其進(jìn)行網(wǎng)絡(luò)的安全管理，其中， 該日志分析裝置具有: 日志信息收集部，其收集從所述網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息; 標(biāo)準(zhǔn)化處理部，其對(duì)所述日志信息收集部收集到的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化； 日志信息分析處理部，其從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息，且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析，判定是否存在非法訪問；以及 事件信息通知部，其輸出事件信息，該事件信息包含根據(jù)所述日志信息分析處理部所判定的結(jié)果而得到的、表示重要度的信息。2.根據(jù)權(quán)利要求1所述的日志分析裝置，其中， 所述標(biāo)準(zhǔn)化處理部按照預(yù)先規(guī)定的公共類別規(guī)則，對(duì)所收集的所述日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化，將標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息所包含的多個(gè)項(xiàng)目中的規(guī)定的項(xiàng)目相同的日志信息和業(yè)務(wù)信息確定為同一個(gè)連接，對(duì)該日志信息和業(yè)務(wù)信息賦予連接識(shí)別信息，該連接識(shí)別信息是按每個(gè)連接而不同的標(biāo)識(shí)符。3.根據(jù)權(quán)利要求2所述的日志分析裝置，其中， 所述日志信息分析處理部從所述標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出在固定時(shí)間內(nèi)收集到的日志信息和業(yè)務(wù)信息，參照對(duì)提取出的日志信息和業(yè)務(wù)信息所賦予的所述連接識(shí)別信息，將該連接識(shí)別信息一致的日志信息和業(yè)務(wù)信息辨認(rèn)為因基于同一個(gè)連接的事件而產(chǎn)生的信息，且根據(jù)所述規(guī)則，對(duì)所辨認(rèn)的日志信息和業(yè)務(wù)信息進(jìn)行分析，由此，對(duì)每個(gè)所述通信設(shè)備賦予與是否檢測(cè)到指定事件相應(yīng)的分?jǐn)?shù)，且求出所賦予的分?jǐn)?shù)的總和，其中，該指定事件是具有指定的特征的事件。4.根據(jù)權(quán)利要求1所述的日志分析裝置，其中， 所述日志信息分析處理部從所述標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出固定時(shí)間的時(shí)序的日志信息和業(yè)務(wù)信息，且根據(jù)所述規(guī)則，對(duì)提取出的日志信息和業(yè)務(wù)信息進(jìn)行分析，如果檢測(cè)出作為具有指定的特征的事件的指定事件，則求出至少下述分?jǐn)?shù)的總和:與該指定事件在指定時(shí)間內(nèi)發(fā)生的次數(shù)對(duì)應(yīng)的分?jǐn)?shù)；根據(jù)該指定事件的發(fā)生間隔而得到的分?jǐn)?shù)；根據(jù)多個(gè)該指定事件的發(fā)生順序和每個(gè)指定事件的發(fā)生間隔而得到的分?jǐn)?shù)；根據(jù)該指定事件在指定時(shí)間內(nèi)未發(fā)生的時(shí)間而得到的分?jǐn)?shù)；以及根據(jù)按多個(gè)指定的項(xiàng)目中的每個(gè)項(xiàng)目對(duì)指定時(shí)間內(nèi)的總量進(jìn)行比較的結(jié)果而得到的分?jǐn)?shù)。5.根據(jù)權(quán)利要求3或4所述的日志分析裝置，其中， 該日志分析裝置還具有外部信息收集部，該外部信息收集部從外部獲取黑名單，該黑名單列舉了表示惡意網(wǎng)站的網(wǎng)絡(luò)地址， 如果所述黑名單包含了所述日志信息或業(yè)務(wù)信息所包含的網(wǎng)絡(luò)地址，則所述日志信息分析處理部在所述分?jǐn)?shù)的總和上加上規(guī)定的值而更新所述分?jǐn)?shù)的總和。6.根據(jù)權(quán)利要求4所述的日志分析裝置，其中， 所述日志信息分析處理部對(duì)所述分?jǐn)?shù)的總和與預(yù)先規(guī)定的基準(zhǔn)值進(jìn)行比較，如果該分?jǐn)?shù)的總和比該基準(zhǔn)值大，則判定為存在非法訪問， 所述事件信息通知部輸出所述事件信息，所述事件信息包含所述分?jǐn)?shù)的總和的信息作為所述表示重要度的信息，在所述日志信息分析處理部判定為存在非法訪問的情況下，所述事件信息通知部將基于同一個(gè)事件的日志信息和業(yè)務(wù)信息作為關(guān)聯(lián)信息與所述事件信息一起輸出。7.一種信息處理方法，其是進(jìn)行網(wǎng)絡(luò)的安全管理的日志分析裝置的信息處理方法，其中， 在該信息處理方法中， 收集從所述網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息， 對(duì)所收集的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化， 從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息，且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析，判定是否存在非法訪問， 輸出事件信息，該事件信息包含根據(jù)所述判定的結(jié)果而得到的、表示重要度的信息。8.一種程序，其使進(jìn)行網(wǎng)絡(luò)的安全管理的計(jì)算機(jī)執(zhí)行下述步驟: 收集從所述網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息的步驟； 對(duì)所收集的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化的步驟； 從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息，且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析，判定是否存在非法訪問的步驟；以及 輸出事件信息的步驟，該事件信息包含根據(jù)所述判定的結(jié)果而得到的、表示重要度的信息。
【專利摘要】具有：日志信息收集部，其收集從網(wǎng)絡(luò)所包含的多個(gè)通信設(shè)備輸出的日志信息和業(yè)務(wù)信息；標(biāo)準(zhǔn)化處理部，其對(duì)日志信息收集部收集到的日志信息和業(yè)務(wù)信息進(jìn)行標(biāo)準(zhǔn)化；日志信息分析處理部，其從標(biāo)準(zhǔn)化后的日志信息和業(yè)務(wù)信息中提取出關(guān)聯(lián)的日志信息和業(yè)務(wù)信息，且按照預(yù)先規(guī)定的規(guī)則進(jìn)行分析，判定是否存在非法訪問；以及事件信息通知部，其輸出事件信息，該事件信息包含根據(jù)日志信息分析處理部所判定的結(jié)果而得到的、表示重要度的信息。
【IPC分類】H04L12/70
【公開號(hào)】CN104937886
【申請(qǐng)?zhí)枴緾N201480005638
【發(fā)明人】倉上弘
【申請(qǐng)人】日本電信電話株式會(huì)社
【公開日】2015年9月23日
【申請(qǐng)日】2014年1月30日
【公告號(hào)】EP2953298A1, US20150341389, WO2014119669A1