本发明专利技术涉及进行恶意软件感染的检测以及组织内部的不正当行为的发现的日志分析装置。日志分析装置具有:日志收集部,其收集物理系统日志和信息系统日志,所述物理系统日志是物理的设施管理设备的日志,所述信息系统日志是通过用户的操作来执行信息处理的信息设备的日志;以及日志分析部,其计算物理系统日志和信息系统日志的时间间隔的频率分布,将该频率分布与在信息设备正常的状态下计算出的频率分布进行比较来检测信息设备的异常。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及进行恶意软件感染的检测以及组织内部的不正当行为的发现的日志分析装置。
技术介绍
以往的物理系统/信息系统综合日志分析装置通过综合分析与楼宇的出入室相关的日志(物理系统日志)和PC的操作历史及代理服务器等的Web访问历史的日志(信息系统日志),检测出不正当使用。例如,在输出了某个公司职员A从房间出室的日志后,输出了文件服务器上的机密信息的读入日志的情况下,能够检测他人冒充公司职员A而偷窥了机密信息的可能性(例如专利文献1)。此外,还提出了如下的机制:当使用者的操作偏离事先设定的允许范围时检测出异常。在企业内存在进行各种各样业务的人,因此,当设定包括全体职员的允许范围时,即使产生异常也无法检测出,针对该课题,通过掌握个人的业务倾向而从几个模式中选择允许范围,提高了异常的检测可能性(例如专利文献2)。现有技术文献专利文献专利文献1:日本特开2007-233661号公报专利文献2:日本特开2010-211257号公报
技术实现思路
专利技术要解决的课题以往的物理系统/信息系统综合日志分析装置按照时间序列排列实际的事件而掌握了公司职员的行动,但未具体公开通过怎样的规则检测出怎样的不正当行为(例如专利文献1)。通常,可以说通过综合分析物理系统和信息系统的日志,能够通过监视在从房间出室到再次入室的期间进行的操作的日志来寻找不正当行为,但例如在公司职员离开自身座位而从房间出室的期间进行的不正当行为的检测方法是未知的。此外,在使用者的操作偏离事先设定的允许范围时检测出异常的机制的情况下,人的操作时间和操作间隔等根据时期和紧急程度等多少会产生偏差,因此需要将用于异常检测的阈值(允许范围)设为较大的值。因此,例如在感染了一旦人停止操作就中止活动那样的恶意软件的情况下,非常难以检测出该感染(例如专利文献2)。本专利技术正是为了解决上述问题而完成的,其目的在于,即使在感染了一旦人停止操作就中止活动那样的恶意软件的情况下,也能够提高检测出该感染的可能性。用于解决课题的手段为了解决上述课题,本专利技术的日志分析装置具有:日志收集部,其收集物理系统日志和信息系统日志,所述物理系统日志是物理的设施管理设备的日志,所述信息系统日志是通过用户的操作来执行信息处理的信息设备的日志;以及日志分析部,其计算所述物理系统日志和所述信息系统日志的时间间隔的频率分布,将该频率分布与在所述信息设备正常的状态下计算出的频率分布进行比较来检测所述信息设备的异常。此外,本专利技术的日志分析方法是分析日志来检测信息设备的异常的日志分析装置的日志分析方法,其中,该日志分析方法具有:日志收集步骤,日志收集部收集物理系统日志和信息系统日志,所述物理系统日志是物理的设施管理设备的日志,所述信息系统日志是通过用户的操作来执行信息处理的信息设备的日志;以及日志分析步骤,日志分析部计算所述物理系统日志和所述信息系统日志的时间间隔的频率分布,将该频率分布与在所述信息设备正常的状态下计算出的频率分布进行比较来检测所述信息设备的异常。专利技术效果根据本专利技术,综合分析物理系统日志和信息系统日志,而且对以前的日志间隔和当前的日志间隔进行比较并分析其偏差,由此存在如下效果:不仅能够如以往那样检测在出室时进行的不正当行为,还能够检测出室前的异常。附图说明图1是示出实施方式1的日志分析装置的一个结构例的结构图。图2是示出作为物理系统日志之一的出入室日志的一例的图。图3是示出作为信息系统日志之一的文件服务器的访问日志的一例的图。图4是示出实施方式1的日志分析装置的日志分析处理流程的流程图。图5是示出日志分析结果的曲线图化的一例的图。具体实施方式实施方式1图1是示出实施方式1的日志分析装置的一个结构例的结构图。在图1中,房间100通常是用户使用终端101来执行业务的场所。假设房间100仅能够通过由安全门控制装置102控制的安全门103来出入室。此外,假设能够出入室的用户也受到限制。终端101设置在房间100中,是为了供用户执行信息处理业务而设置的设备,内置有信号输入输出部104、运算部105、存储器106。此外,在终端101作为用于供用户对终端进行输入输出的器件的基本结构连接有键盘107、鼠标108、监视器109。此外,终端101与网络110连接,能够通过网络110而和与网络110连接的其它设备进行通信。与网络110连接的其它设备例如有文件服务器111、认证服务器112、邮件服务器113、代理服务器114、防火墙115等。此外,与互联网116上的服务器之间的通信有经由邮件服务器113的邮件收发、经由代理服务器114的Web通信、FTP(FileTranceferProtocol:文件传输协议)等。假设日志分析装置117与文件服务器111和认证服务器112同样地与组织内部的网络110连接。假设日志分析装置117通过日志收集部118,除了收集与网络连接的终端101的日志以及文件服务器111、认证服务器112、邮件服务器113、代理服务器114、防火墙115这样的与信息处理相关的设备的日志以外,还收集与安全门控制装置102那样的例如管理用户进入房间100和退出房间100的物理设施相关的日志,并将其蓄积到日志数据库119中。日志分析部120针对蓄积在日志数据库119中的日志,进行基于关键词的检索、日志的总结等统计性分析、基于是否与预先确定的规则一致的分析等。在日志分析部120检测到安全漏洞或故障等需要通知管理者进行应对的事态的情况下,通过警报生成部121生成警报(警告)并通知给管理者。接着,说明保管于日志数据库119的日志。图2是示出作为物理系统日志之一的出入室日志的一例的图。图3是示出作为信息系统日志之一的文件服务器的访问日志的一例的图。首先说明图2。其是作为物理系统日志之一的出入室日志。出入室日志例如由日期、时刻、用户ID、事件构成。日期表示出入室的日期,时刻表示出入室的时刻,用户ID表示出入室的公司职员的ID,事件表示入室或出室等事态。在图2的例子中,将“2014年4月1日12时2分20秒用户A出室”这样的出入室的历史作为日志进行保管。接着说明图3。其是作为信息系统日志之一的文件服务器的访问日志。访问日志例如由日期、时刻、用户ID、文件、操作构成。日期表示进行文件操作的日期,时刻表示进行文件操作的时刻,用户ID表示进行文件操作的公司职员的ID,文件表示被访问的文件名,操作表示对文件进行了什么操作。在图3的例子中,将“2014年4月1日12时2分0秒用户A读入了‘提议书.doc’这一文件”这样的文件访问历史作为日志进行保管。接着,说明日志分析装置的动作。图4是示出实施方式1的日志分析装置的日志分析处理流程的流程图。首先,在步骤S101中,日志分析部120从保管在日志数据库119中的物理系统日志和信息系统日志中提取作为分析对象的日志。例如,在想对用户A正要出室时的文件读入进行分析的情况下,从图2中示出的出入室日志中提取与用户A的出室事件相关的日志,从图3中示出的文件访问日志提取由用户A进行了读入操作的日志。接着,在步骤S102中,日志分析部120按照每个期间,从通过步骤S101提取出的日志中,计算分析所需的日志记录彼此的时间间隔,进行按照每个产生频率进行曲线图化等的统计处理。例如,在发现用户A本文档来自技高网...
【技术保护点】
一种日志分析装置,其中,该日志分析装置具有:日志收集部,其收集物理系统日志和信息系统日志,所述物理系统日志是物理的设施管理设备的日志,所述信息系统日志是通过用户的操作来执行信息处理的信息设备的日志;以及日志分析部,其计算所述物理系统日志和所述信息系统日志的时间间隔的频率分布,将该频率分布与在所述信息设备正常的状态下计算出的频率分布进行比较来检测所述信息设备的异常。
【技术特征摘要】
【国外来华专利技术】1.一种日志分析装置,其中,该日志分析装置具有:日志收集部,其收集物理系统日志和信息系统日志,所述物理系统日志是物理的设施管理设备的日志,所述信息系统日志是通过用户的操作来执行信息处理的信息设备的日志;以及日志分析部,其计算所述物理系统日志和所述信息系统日志的时间间隔的频率分布,将该频率分布与在所述信息设备正常的状态下计算出的频率分布进行比较来检测所述信息设备的异常。2.根据权利要求1所述的日志分析装置,其中,所述日志分析装置具有日志数据库,该日志数据库保存所述日志收集部收集到的所述物理系统日志和所述信息系统日志,所述日志分析部从所述日志数据库中提取在第1期间和第2期间发生的所述物理系统日志和所述信息系统日志,计算所述第1期间的所述物理系统日志和所述信息系统日志的时间间隔的第1频率分布、与所述第2期间的所述物理系统日志和所述信息系统日志的时间间隔的第2频率...
【专利技术属性】
技术研发人员:松田规,平野贵人,北泽繁树,米田健,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。