日志输出装置具备:生成部,其生成表示处理的执行历史记录的日志;存储器,其保持第一列表、第二列表以及第三列表,所述第一列表包含表示处理异常的第一静态信息,所述第二列表包含表示处理正常的第二静态信息,所述第三列表包含用于根据日志来决定是否要输出该日志的动态信息;以及筛选部,其在所生成的日志具有第一静态信息的情况下决定输出该日志,并且,在所生成的日志具有第二静态信息的情况下决定不输出该日志。筛选部基于所生成的日志和第三列表来决定是否要输出该日志。第三列表来决定是否要输出该日志。第三列表来决定是否要输出该日志。
【技术实现步骤摘要】
【国外来华专利技术】日志输出装置、日志输出方法以及日志输出系统
[0001]本公开涉及一种日志输出装置、日志输出方法以及日志输出系统。
技术介绍
[0002]IoT(Internet of Things:物联网)设备也被称为“物联网”,是以下一种设备:该设备具有处理器和工作装置,该设备能够将由工作装置按照处理器的指示获取到的数据或信息发送到经由通信网络(例如因特网)连接的通信对方。工作装置例如是指用于检测规定的现象或参数的感应装置、或用于拍摄视角内的被摄体的摄像装置。IoT设备与PC(Personal Computer:个人计算机)等信息处理装置同样,当工作装置执行了某些事件时,生成表示与该事件的执行或者同其它设备之间的通信有关的历史记录的日志。
[0003]在专利文献1中公开了如下一种恶性通信日志检测装置:对表示已知是恶性或良性的通信日志的特征的第一字符串、以及第一字符串与作为对象通信日志的特征的字符串相结合而得到的第二字符串进行压缩,基于压缩后的第一字符串的数据尺寸和压缩后的第二字符串的数据尺寸,来计算用于判定对象通信日志是恶性的还是良性的得分。该恶性通信日志检测装置基于计算出的得分和规定的参数,来判定对象通信日志是恶性的还是良性的。
[0004]现有技术文献
[0005]专利文献
[0006]专利文献1:国际公开第2017/221667号
技术实现思路
[0007]专利技术要解决的问题
[0008]如今,作为对PC等信息处理装置的日志(例如通信历史记录)进行分析来判断该信息处理装置是否未暴露于危险(例如,是否未从第三方受到网络攻击)的安全技术,已知SIEM(Security Information and Event Management:安全信息和事件管理)。SIEM应对设备能够收集从信息处理装置发送的多个日志,并对收集到的各个日志进行分析,由此尽早探测对该信息处理装置的攻击或该攻击的前兆并通知给管理者。
[0009]在此,伴随着上述的IoT设备的普及,能够想到以下可能性:将SIEM的服务的对象范围不仅限于PC等信息处理装置,扩展到IoT设备。在该情况下,会从非常大量的IoT设备向SIEM发送日志,因此SIEM中的日志的分析对象数量增加巨大,SIEM的处理负荷增加。也就是说,若比PC等信息处理装置的配置数量多的IoT设备将全部日志报告(发送)到SIEM,则不仅通信网络的通信量增大,SIEM中的分析处理也会变得烦杂。
[0010]另外,与上述的PC等信息处理装置相比,IoT设备中搭载的处理器的性能低,因此当输出的日志的量变多时,会对IoT设备自身的与常规处理有关的基本功能产生不良影响,产生处理延迟等担忧。在上述的专利文献1中也未考虑减轻每当从一个一个的IoT设备向SIEM发送大量的日志的情况下可能产生的通信量的增大、或抑制来自IoT设备的日志的输
出的技术对策。
[0011]本公开是鉴于上述的以往的情况而提出的,目的在于提供一种根据作为处理历史记录而生成的日志来合理地筛选作为向SIEM报告的报告对象的日志、从而抑制对与常规处理有关的基本功能造成的不良影响和通信网络的通信量的增大的日志输出装置、日志输出方法以及日志输出系统。
[0012]用于解决问题的方案
[0013]本公开提供一种日志输出装置,该日志输出装置具备:生成部,其生成表示处理的执行历史记录的日志;存储器,其用于保持第一列表、第二列表以及第三列表,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;以及筛选部,其在由所述生成部生成的日志具有所述第一静态信息的情况下决定输出该日志,并且,在由所述生成部生成的日志具有所述第二静态信息的情况下决定不输出该日志,其中,所述筛选部基于由所述生成部生成的日志和所述第三列表来决定是否要输出该日志。
[0014]另外,本公开提供一种日志输出装置中的日志输出方法,该日志输出方法包括以下步骤:生成表示处理的执行历史记录的日志;将第一列表、第二列表以及第三列表保持于存储器,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;在所生成的所述日志具有所述第一静态信息的情况下决定输出该日志,并且,在所生成的所述日志具有所述第二静态信息的情况下决定不输出该日志;以及基于所生成的所述日志和所述第三列表来决定是否要输出该日志。
[0015]另外,本公开提供一种日志输出系统,该日志输出系统是日志输出装置与对来自所述日志输出装置的日志进行分析的服务器装置以能够进行通信的方式连接而成的系统,所述日志输出装置生成表示处理的执行历史记录的日志,将第一列表、第二列表、以及第三列表保持于存储器,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息,在所生成的所述日志具有所述第一静态信息的情况下决定输出该日志,并且,在所生成的所述日志具有所述第二静态信息的情况下决定不输出该日志,基于所生成的所述日志和所述第三列表来决定是否要输出该日志。
[0016]专利技术的效果
[0017]根据本公开,能够根据作为处理历史记录而生成的日志来合理地筛选作为向SIEM报告的报告对象的日志,从而能够抑制对与常规处理有关的基本功能造成的不良影响和通信网络的通信量的增大。
附图说明
[0018]图1是示出实施方式1所涉及的日志输出系统的系统结构例的图。
[0019]图2是示出实施方式1所涉及的IoT设备的内部结构例的框图。
[0020]图3A是示出日志的结构例的图。
[0021]图3B是示出日志的结构例的图。
[0022]图4A是示出日志ID的结构例的图。
[0023]图4B是示出日志的类别例的图。
[0024]图5A是示出构成黑名单、白名单、动态名单的项目例的图。
[0025]图5B是示出实施方式1所涉及的IoT设备的动作概要例的说明图。
[0026]图6是按时间序列示出实施方式1所涉及的IoT设备的动作过程的流程图。
[0027]图7是示出动态名单的结构例的图。
[0028]图8A是示出限定条件名单的结构例的图。
[0029]图8B是示出日志的消息中记载的关键字字符串的一例的图。
[0030]图9A是示出正常访问Web服务器时的日志的一例的图。
[0031]图9B是示出访问Web服务器出错时的日志的一例的图。
[0032]图9C是示出使用了限定条件(1)的条件的判断过程例的简易流程图。
[0033]图10A是示出正常系日志的每个详情ID的日志的一例的图。
[0034]图10B是示出使用了限定条件(2)、(3)的条件的判断过程例的简易流本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种日志输出装置,具备:生成部,其生成表示处理的执行历史记录的日志;存储器,其用于保持第一列表、第二列表以及第三列表,所述第一列表包含表示所述处理异常的第一静态信息,所述第二列表包含表示所述处理正常的第二静态信息,所述第三列表包含用于根据所述日志来决定是否要输出该日志的动态信息;以及筛选部,其在由所述生成部生成的日志具有所述第一静态信息的情况下决定输出该日志,并且,在由所述生成部生成的日志具有所述第二静态信息的情况下决定不输出该日志,其中,所述筛选部基于由所述生成部生成的日志和所述第三列表来决定是否要输出该日志。2.根据权利要求1所述的日志输出装置,其中,还具备登记部,该登记部生成基于过去输出的日志的比较信息并登记为所述动态信息,在由所述生成部生成的日志与所述比较信息一致的情况下,所述筛选部决定不输出该日志。3.根据权利要求2所述的日志输出装置,其中,所述登记部生成多个所述比较信息并登记为所述动态信息。4.根据权利要求2或3所述的日志输出装置,其中,所述比较信息具有包含所述过去输出的日志的内容的一部分的比较条件、以及与该比较条件一致的日志被生成的频度信息。5.根据权利要求4所述的日志输出装置,其中,所述频度信息至少具有表示由所述生成部生成的日志与所述比较条件一致的次数的出现次数,所述筛选部在判定为所述出现次数小于第一既定值的情况下,决定不输出由所述生成部生成的日志。6.根据权利要求4所述的日志输出装置,其中,所述频度信息至少具有从由所述生成部生成与所述比较条件一致的日志的时间点起的经过时间,所述筛选部在判定为所述经过时间小于第二既定值的情况下,决定不输出由所述生成部生成的日志。7.根据权利要求4所述的日志输出装置,其中,所述频度信息至少具有与所述比较条件一致的日志的生成时刻,所述筛选部在判定为当前时刻相对于所述生成时刻的经过时间小于第二既定值的情况下,决定不输出由所述生成部生成的日志。8.根据权利要求1所述的日志输出装置,其中,所述存储器还保持第四列表,该第四列表包含用于判定是否要使用所述第三列表来决定日志的输出或不输出的多个限定条件,在由所述生成部生成的日志与所述限定条件一致的情况下,所述筛选部判定为针对该日志使用所述第三列表来决定日志的输出或不输出。
9.根据权利要求1所述的日志输出装置,其中,所述存储器还保持第四列表,该第四列表包含用于判定是否要使用所述第三列表来决定日志的输出或不输出的多个限定条件,在由所述生成部生成的日志与所述限定条件一致的情况下,所述筛选部判定为针对该日志不使用所述第三列表来决定日志的输出或不输出,并针对该日志决定输出或不输出。10.根据权利要...
【专利技术属性】
技术研发人员:麻生忠臣,武藤浩二,伊与木裕,
申请(专利权)人:松下电器产业株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。