日志分析协作系统(1000)具有:日志记录器(901),其收集通信设备(904)的日志,将其存储在存储装置中;(SIEM)装置(902),其检测攻击;以及日志分析装置(903),对由日志记录器(901)收集的日志进行分析,在日志分析协作系统(1000)中,日志分析协作装置(1)将攻击情景(1104)存储在存储装置中,从(SIEM)装置(902)接收包含检测出的攻击的信息的警告信息(1201)’,基于警告信息(1201)’和攻击情景(1104),计算预计在检测出的攻击之后要发生的攻击的预计发生时期,向日志分析装置(903)发送时刻表检索(915),以按计算出的预计发生时期检索日志,日志分析装置(903)向日志记录器(901)发送时刻表检索(916),以按预计发生时期检索日志。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及攻击分析系统、协作装置、攻击分析协作方法和程序。尤其是,涉及与攻击检测系统和日志分析系统协作而高效地进行攻击分析的攻击分析系统。
技术介绍
近年来,恶意软件将机密信息泄漏到组织外的事故成为问题。使用恶意软件的网络攻击逐渐高度化,例如存在非专利文献I所示的被称作APT(高度且持续的威胁:Advanced Persistent Threat)的攻击等。在APT中,通过邮件附件等入侵到组织中的恶意软件感染计算机,进而,与攻击者所运用的互联网上的C&C(C0mmand&C0ntr0l:命令和控制)服务器进行通信,下载新恶意软件或攻击工具或者更新自身。进而,侦测组织内部,找到文件服务器,将机密文件泄漏到C&C服务器。在将这些各活动视作攻击的情况下,各攻击耗费较长时间而按阶段进行。例如,感染了计算机的恶意软件在感染后I个月不活动而隐藏自身,I个月后才开始与C&C服务器进行通信。这样,在APT中,多个攻击间隔地进行。APT的对策存在各种方法。作为APT对策的产品,存在防止基于邮件的侵入的产品、防止信息泄漏的产品等。此外,作为APT对策的方法之一,存在自动进行日志分析的方法。在自动进行日志分析的方法中,分析计算机、服务器、路由器等网络设备、防火墙、入侵检测系统等安全设备等的日志,调查相互的相关关系,或者从日志中找出异常记录。自动进行日志分析的方法是通过进行这样的分析来检测APT或观察经过过程的方法。作为通过调查防火墙或入侵检测系统等安全设备的日志等的相关关系调来自动地检测异常的产品的例子,存在SIEM(安全信息和事件管理:Security Informat1n andEvent Management)系统(参照专利文献I)。SIEM系统也被称作整合日志监视系统等。此外,存在如下日志分析系统:通过各种关键词对各种日志进行向下钻取(drilldown),或者按时间顺序显示状况变化等,由此,人们发现异常。在专利文献I中,提出了如下方法:在业务系统用服务器之外,导入中继服务器,在中继服务器中进行用户认证,并收集利用日志。现有技术文献专利文献专利文献1:日本特表2004-537075号公报「新L.U夕彳攻撃」ω对策C向汀設計/運用力'彳F,改订第2版,IPA (面向“新型攻击”的对策的设计,运用指南,修订版第2版,IPA)。
技术实现思路
在SIEM系统中,在内存中(on-memory)实时地监视事件(event),因此,实质不能进行复杂的相关分析或多发事件的相关分析,从而存在不能对APT采用足够的对策这样的冋题。此外,在日志分析系统中,能够对多个日志执行复杂的检索,但为了如相关分析那样实时地检测事件,需要短时间地反复执行检索。因此,存在为了同时执行多个检索条件而需要巨大的计算资源这样的问题。即,存在如下问题:在基于对日志进行分析的方法的APT的检测中,无论是SIEM系统还是日志分析系统,无法单独地完全对应。本专利技术是为了解决上述那样问题而完成的,其目的在于,针对通过SIEM系统检测出的攻击,基于攻击情景,与日志分析系统协作而高效地从日志中发现存在将要发生的可能性的攻击迹象。本专利技术的攻击分析系统的特征在于具有:日志收集装置,其收集与监视对象网络连接的至少I个设备的日志并将其作为日志信息存储在存储装置中;检测装置,其检测针对所述监视对象网络的攻击;以及分析装置,其分析由所述日志收集装置收集的所述日志信息,所述攻击分析系统具有协作装置,该协作装置与所述检测装置连接,并与所述分析装置连接,所述检测装置在检测到针对所述监视对象网络的攻击时,向所述协作装置发送警告信息,该警告信息包含标识检测出的攻击的攻击标识符和发生所述检测出的攻击的攻击发生时期,所述协作装置具有:攻击情景信息存储部,其预先将攻击情景信息存储在存储装置中,其中,所述攻击情景信息包含分别标识针对所述监视对象网络预计要发生的多个攻击的多个攻击标识符,且所述攻击情景信息包含所述多个攻击的发生序号和所述序号连续的两个攻击的发生间隔,时刻表分析请求部,在从所述检测装置接收到所述警告信息时,该时刻表分析请求部基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,通过处理装置来计算分析对象攻击预计要发生的预计发生时期,向所述分析装置发送时刻表分析请求,其中,该时刻表分析请求是对计算出的所述预计发生时期的所述日志信息进行分析的请求,该分析对象攻击是所述攻击情景信息中包含的所述多个攻击中的在所述攻击发生时期的前后的时期预计要发生的攻击,且为与所述检测出的攻击不同的攻击;所述分析装置基于从所述协作装置的所述时刻表分析请求部发送的所述时刻表分析请求,对所述预计发生时期的所述日志信息进行分析。根据本专利技术的攻击分析系统,协作装置将攻击情景信息存储在存储装置中,从检测装置接收包含检测出的攻击的信息的警告信息,基于警告信息和攻击情景信息,计算在检测出的攻击之后预计要发生的攻击的预计发生时期,按计算出的预计发生时期来检索曰志信息,向分析装置发送时刻表检索,从而使检测装置与分析装置协作,由此,起到如下效果:能够高效地从日志信息中发现存在将要发生的可能性的攻击的迹象。【附图说明】图1是示出实施方式I的日志分析协作系统1000的整体结构的图。图2是示出实施方式I的日志分析协作装置1、日志记录器901、SIEM装置902、日志分析装置903的硬件结构的一例的图。图3是示出实施方式I的日志分析协作装置I的结构和动作的概要的图。图4是示出实施方式I的警告信息1201的结构的一例的图。图5是示出实施方式I的攻击情景1104的结构的一例的图。图6是示出实施方式I的对策信息1107的结构的一例的图。图7是示出实施方式I的资产信息1109的结构的一例的图。图8是示出实施方式I的攻击可否判定部107的攻击可否判定处理的流程图。图9是示出实施方式2的日志分析协作装置I的结构和动作的概要的图。图10是示出实施方式4的日志分析协作装置I的结构和动作的概要的图。图11是示出实施方式4的认证服务器10的结构和动作的图。图12是示出由实施方式4的密码复位装置11生成的电子邮件的一例的图。图13是示出实施方式4的密码复位装置11的结构和动作的图。图14是示出实施方式4的密码复位装置11的复位用密码8203和密码复位通知字面内容8202的生成方法的图。【具体实施方式】实施方式1.图1是示出本实施方式的日志分析协作系统1000的整体结构的图。使用图1,对本实施方式的日志分析协作系统1000 (攻击分析系统的一例)的整体结构和动作的概要进行说明。在图1中,日志分析协作系统1000具有日志记录器901 (日志收集装置的一例)、SIEM装置902 (检测装置的一例)、日志分析装置903 (分析装置的一例)、日志分析协作装置1(协作装置的一例)。日志记录器901收集监视对象网络所具有的至少I个设备(通信设备904)的日志,并将其作为日志信息存储在存储装置中。日志记录器901与监视对象的PC或服务器等计算机904a、路由器等网络设备904b、防火墙或入侵检测装置等安全设备904c、智能手机或平板PC等移动设备905连接。日志记录器901收集并蓄积计算机904a、网络设本文档来自技高网...
【技术保护点】
一种攻击分析系统,其具有:日志收集装置,其收集与监视对象网络连接的至少1个设备的日志并将其作为日志信息存储在存储装置中;检测装置,其检测针对所述监视对象网络的攻击;以及分析装置,其分析由所述日志收集装置收集的所述日志信息,所述攻击分析系统的特征在于,所述攻击分析系统具有与所述检测装置连接且与所述分析装置连接的协作装置,所述检测装置在检测到针对所述监视对象网络的攻击时,向所述协作装置发送警告信息,该警告信息包含标识检测出的攻击的攻击标识符和发生了所述检测出的攻击的攻击发生时期,所述协作装置具有:攻击情景信息存储部,其将包含多个攻击标识符的攻击情景信息预先存储在存储装置中,该多个攻击标识符标识针对所述监视对象网络预计要发生的多个攻击的各个攻击;以及时刻表分析请求部,其在从所述检测装置接收到所述警告信息时,基于接收到的所述警告信息和由所述攻击情景信息存储部存储的所述攻击情景信息,通过处理装置来计算分析对象攻击预计要发生的预计发生时期,向所述分析装置发送时刻表分析请求,其中,该时刻表分析请求是对计算出的所述预计发生时期的所述日志信息进行分析的请求,该分析对象攻击是所述攻击情景信息中包含的所述多个攻击中的在所述攻击发生时期的前后的时期预计要发生的攻击,且为与所述检测出的攻击不同的攻击,所述分析装置基于从所述协作装置的所述时刻表分析请求部发送的所述时刻表分析请求,对所述预计发生时期的所述日志信息进行分析。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:榊原裕之,樱井钟治,河内清人,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。