專利名稱:安全事件監(jiān)視設備、方法和程序的制作方法
技術領域:
本發(fā)明涉及安全事件監(jiān)視設備���、方法及其程序����。更具體地�,本發(fā)明涉及用于使得對進行了引起問題的操作的用戶進行高度準確的指定成為可能的安全事件監(jiān)視設備等。
背景技術:
目前�,計算機網絡已經成為了負責商務的那些人的基本任務的基礎,在局域網上處理與這種任務相關的大量個人信息和機密信息���。自然地���,要求在處理該信息時非常謹慎,以不向組織外部泄漏該信息����。本文中將在計算機網絡上進行的與網絡安全相關的動作稱為安全事件���。例如,在沒有許可的情況下將包含機密信息���、個人信息等在內的特定文件(下文中稱為重要文件)取出到組織外部對應于安全事件。安全監(jiān)視設備是執(zhí)行以下操作的設備:監(jiān)視網絡����;當存在進行中的特定安全事件時,迅速地檢測到該事件�;以及指定進行該動作的人員。構成網絡的每個設備包括將針對該設備執(zhí)行的操作等記錄到操作日志(下文中簡稱為日志)中并將該日志發(fā)送到安全事件監(jiān)視設備的功能���。安全事件監(jiān)視設備對從多個監(jiān)視目標設備接收的日志執(zhí)行相關性分析�,以檢測該安全事件���。作為與此相關的技術��,存在以下技術���。其中,日本未審專利公開2007-183911(專利文獻I)公開了一種與非法操作監(jiān)視系統(tǒng)相關的技術�,該非法操作監(jiān)視系統(tǒng)計算目標操作的可疑值���,并在重復進行具有高可疑值的操作時設置更高的可疑值。日本未審專利公開2009-080650(專利文獻2)公開了一種操作支持設備��,其通過根據(jù)用戶進行的一系列操作來檢測用戶的操作意圖�,從而呈現(xiàn)恰當?shù)牟僮髦改稀H毡疚磳弻@_2009-217657(專利文獻3)公開了一種相關性分析設備��,用于在不同系統(tǒng)的日志數(shù)據(jù)中存在公共本質表達式(common intrinsic expression)時,將它們彼此關聯(lián)��。日本未審專利公開2009-259064(專利文獻4)公開了一種評估設備��,用于將具體操作存儲為場景����,并計算在提前執(zhí)行該操作時的操作成本。日本未審專利公開2011-008558(專利文獻5)公開了一種web應用系統(tǒng)�����,與專利文獻4的情況一樣�,用于測量當執(zhí)行在預存儲的場景中注冊的每個操作時的所需時間。U.H.G.R.D Nawarathna and S.R.Kodithuwakku:“A Fuzzy Role BasedAccess Control Model for Database Security���,����,,Proceedings of the InternationalConference on Information and Automation, December 15-18���,2005 (非專利文獻 I)公開了一種訪問控制方法����,用于對僅可以用模糊理論的語言學變量來模糊表達的環(huán)境進行表達���,如“用戶讀取和寫入列的必要性”和“用戶的惡意程度”,并使用它們作為參數(shù)��。
關于在監(jiān)視目標設備上進行的并在日志上記錄的操作��,不一定指定已進行了該操作的所有用戶�����。更特別地�����,在例如多個用戶正在同時登陸并使用公共ID來工作的狀態(tài)下�����,或在用戶經由中繼設備(如代理服務器(具有由中繼設備替換的用戶ID))訪問服務器的狀態(tài)下,難以通過使用ID來指定實際進行該操作的個人�。從而,當在日志中包含了不能指定其操作者的操作時����,安全事件監(jiān)視設備極難檢測到安全事件。因此�����,即使當存在反復進行引起針對網絡安全的嚴重問題的動作的個人時���,也不能檢測到這種動作���。在上述專利文獻I至5和非專利文獻I中并未描述解決這種問題的技術。在專利文獻I所述的技術中��,假定針對所有操作指定了進行操作的用戶����。因此,完全未考慮到關于不能指定操作者的情況����。首先�����,專利文獻2至5所述的技術未被設計為檢測進行了非法操作的用戶����。此外�����,不存在與可以轉用到這種目的的內容相關的描述��。在非專利文獻I中描述的技術判斷檢測到的操作是否違反給定策略����。然而���,其中并未執(zhí)行反映在與相同用戶是否已進行一系列操作相關的判斷上的計算���。因此,即使將專利文獻I至5和非專利文獻I中描述的所有技術加以結合���,也不可能獲得能夠克服上述問題的技術���。
發(fā)明內容
本發(fā)明的示例目的是提供能夠正確檢測安全事件并在收集到的日志包括不能指定操作者的操作時進一步估計執(zhí)行了這種操作的人員的安全事件監(jiān)視設備�、方法及其程序��。為了實現(xiàn)前述示例目的�,根據(jù)本發(fā)明的示例方面的安全事件監(jiān)視設備是一種安全事件監(jiān)視設備,根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志��,來檢測具體操作�����,以及所述安全事件監(jiān)視設備的特征在于包括:存儲模塊�����,提前存儲在對每個日志執(zhí)行相關性分析時應用的相關性規(guī)則�;日志收集單元,從每個監(jiān)視目標設備接收每個日志���;相關性分析單元���,通過對每個日志應用所述相關性規(guī)則��,產生場景候選��,在所述場景候選中���,每個日志彼此關聯(lián),并且所述相關性分析單元將所述場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲到所述存儲模塊中���;場景候選評估單元����,重新計算每個場景候選的重要度��;以及結果顯示單元�����,顯示/輸出具有重新計算后的高重要度的場景候選���,其中,所述場景候選評估單元包括:用戶關聯(lián)度評估功能��,列舉可能已進行了每個場景候選中包含的每個操作的可能用戶,以及針對每個操作�,計算作為每個用戶的相關性的用戶關聯(lián)度;操作關聯(lián)度評估功能����,計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度;以及場景候選重要度重新評估功能���,根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度�����,針對每個用戶重新計算每個場景候選的重要度��。為了實現(xiàn)前述示例目的����,根據(jù)本發(fā)明的另一示例方面的安全事件監(jiān)視方法是一種用于安全事件監(jiān)視設備的安全事件監(jiān)視方法����,所述安全事件監(jiān)視設備根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志,來檢測具體操作�。所述方法的特征在于:日志收集單元從每個監(jiān)視目標設備接收每個日志;相關性分析單元通過對每個日志應用提前給出的相關性規(guī)則����,產生場景候選�,在所述場景候選中�����,每個日志彼此關聯(lián)����;所述相關性分析單元將每個場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲到所述存儲模塊中;場景候選評估單元的用戶關聯(lián)度評估功能列舉可能已進行了每個場景候選中包含的每個操作的可能用戶���;所述用戶關聯(lián)度評估功能針對每個操作�,計算作為每個用戶的相關性的用戶關聯(lián)度�����;所述場景候選評估單元的操作關聯(lián)度評估功能計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度�����;所述場景候選評估單元的場景候選重要度重新計算功能根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度���,針對每個用戶重新計算每個場景候選的重要度;以及結果顯示單元顯示/輸出具有高重要度的場景候選。為了實現(xiàn)前述示例目的��,根據(jù)本發(fā)明的又一示例方面的安全事件監(jiān)視程序是一種在安全事件監(jiān)視設備中使用的安全事件監(jiān)視程序�,所述安全事件監(jiān)視設備根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志,來檢測具體操作�����。所述程序的特征在于使得設置于所述安全事件監(jiān)視設備的計算機執(zhí)行:用于從每個監(jiān)視目標設備接收每個日志的過程�����;用于通過對每個日志應用提前給出的相關性規(guī)則�,產生場景候選的過程,在所述場景候選中����,每個日志彼此關聯(lián);用于將每個場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲的過程���;用于列舉可能已進行了每個場景候選中包含的每個操作的可能用戶的過程���;用于針對每個操作,計算作為每個用戶的相關性的用戶關聯(lián)度的過程����;用于計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度的過程��;用于根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度�����,針對每個用戶重新計算每個場景候選的重要度的過程�����;以及用于顯示/輸出具有高重要度的場景候選的過程��。如上所述���,本發(fā)明被構造為:計算作為在可能已進行了每個操作的每個用戶之間的相關性的用戶關聯(lián)度和作為在每個操作之間的相關性的操作關聯(lián)度,以及基于其上來計算與通過相關性分析產生的場景候選相關的每個場景候選對于每個用戶的重要度���。因此�,即使當未指定操作者時��,也有可能估計誰是可能的用戶�����。
圖1是示出了圖2所示的安全事件監(jiān)視設備的更詳細結構的說明圖��;圖2是示出了包含根據(jù)本發(fā)明的第一示例實施例的安全事件監(jiān)視設備在內的計算機網絡的結構的說明圖�;圖3是示出了圖1所示的相關性分析單元、場景候選評估單元和結果顯示單元的動作的流程圖���;圖4是示出了圖1所示的相關性規(guī)則存儲單元的存儲內容的示例的說明圖����;圖5是示出了圖1所示的日志收集單元和相關性分析單元的動作的內容(圖3的步驟S201至202)的說明圖��;圖6是示出了圖1所示的用戶關聯(lián)度評估功能的動作的內容(圖3的步驟S203)的說明圖��;圖7是示出了圖1所示的場景候選評估單元的用戶關聯(lián)度評估功能和操作關聯(lián)度評估功能的動作的內容(圖3的步驟S203至204)的說明圖���;圖8是示出了由圖7所示的操作關聯(lián)度評估功能進行的與操作關聯(lián)度的評估相關的動作示例的更多細節(jié)的說明圖����;圖9是示出了由圖1所示的場景候選重要度重新評估功能進行的場景重要性分數(shù)重新計算動作的內容(圖3的步驟S205)的更多細節(jié)的說明圖�;以及
圖10是示出了由圖1所示的結果顯示單元在顯示模塊的屏幕上顯示的具有高重要度的場景候選的列表的示例的說明圖(圖3的步驟S206)。
具體實施例方式(示例實施例)下文中��,將通過參考附圖來描述本發(fā)明的示例實施例的結構����。將首先描述示例實施例的基本內容��,且稍后將描述其更具體的內容�����。根據(jù)示例實施例的安全事件監(jiān)視設備10是一種安全事件監(jiān)視設備���,其根據(jù)作為在相同局域網25上相互連接的多個監(jiān)視目標設備21至23上進行的操作的記錄的日志,來檢測具體操作��。該安全事件監(jiān)視設備10包括:存儲模塊12 (相關性規(guī)則存儲單元111)�,提前存儲在對每個日志執(zhí)行相關性分析時應用的相關性規(guī)則;日志收集單元101�,從每個監(jiān)視目標設備接收每個日志;相關性分析單元103����,對每個日志應用相關性規(guī)則,以通過將每個日志彼此關聯(lián)�����,產生場景候選,并將其與由相關性規(guī)則給出的場景候選的重要度一起存儲到存儲模塊(場景候選存儲單元113)中��;場景候選評估單元104�����,重新計算每個場景候選的重要度�����;以及結果顯示單元105�,顯示/輸出具有高重要度的場景候選��。此外�����,場景候選評估單元104包括:用戶關聯(lián)度評估功能104a���,列舉可能已進行了每個場景候選中包含的每個操作的可能用戶�,以及針對每個操作�,計算作為每個用戶的相關性的用戶關聯(lián)度;操作關聯(lián)度評估功能104b����,計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度����;以及場景候選重要度重新評估功能104c����,根據(jù)用戶關聯(lián)度和操作關聯(lián)度,針對每個用戶重新計算每個場景候選的重要度���。此處注意到:用戶關聯(lián)評估功能104a列舉在進行每個場景候選中包含的操作的時間期間能夠進行針對監(jiān)視目標設備的操作的用戶�,并通過向外部連接的目錄服務設備(目錄服務器24)查詢����,來列舉被授權進行在每個場景候選中包含的操作的用戶。此外����,操作關聯(lián)度評估功能104b基于提前給出的評估標準,根據(jù)作為每個操作的目標的文件的相似性��,計算操作關聯(lián)度����。作為本文提及的文件相似性的評估標準,使用從以下各項中選擇的至少一項:作為相應操作的目標的文件的名稱、大小���、用戶名稱(passname)����、散列值和電子簽名����。此外��,場景候選重要度重新評估功能104c通過對與場景候選相對應的每個用戶的用戶相關度和每個場景候選中包含的每個操作的重要度的乘積的總值和在每個場景候選中包含的每個操作之間的操作關聯(lián)度����、對應操作的重要度以及每個場景候選的重要度的乘積的總值進行乘積運算(integrate),來重新計算每個用戶的每個場景候選的重要度�。此夕卜,結果顯示單元105顯示針對場景候選具有高用戶關聯(lián)度的用戶以及具有高重要度的場景候選�����。在使用上述結構的情況下�����,該示例實施例的安全事件監(jiān)視設備10變?yōu)?即使在收集到的日志包含不能指定操作者的操作時,也能夠正確檢測安全事件并估計已進行了操作的用戶���。下文中將更詳細地描述這點��。圖2是示出了包括根據(jù)本發(fā)明的第一示例實施例的安全事件監(jiān)視設備10在內的計算機網絡I的結構的說明圖���。計算機網絡I是諸如LAN(局域網)或WAN(廣域網)之類的計算機網絡,其可以連接到互聯(lián)網30���,諸如安全設備21 (防火墻等等)��、網絡設備22 (路由器�、交換集線器等等)���、以及計算機設備23(服務器����、個人計算機等等)之類的多個設備經由局域網25相互連接到互聯(lián)網30�。安全事件監(jiān)視設備10連接到局域網25,并通過使安全設備21�����、網絡設備22和計算機設備23作為監(jiān)視目標(下文中,使用“監(jiān)視目標設備”作為安全設備21����、網絡設備22和計算機設備23的通用術語)來操作。此外�,安全事件監(jiān)視設備10與作為連接到局域網25的另一個設備的目錄服務器24合作操作。稍后將描述其細節(jié)�����。圖1是示出了圖2所示的安全事件監(jiān)視設備10的更詳細結構的說明圖���。安全事件監(jiān)視設備10包括與計算機設備一樣的基本結構����。S卩��,安全監(jiān)視設備10包括:用于作為執(zhí)行計算機程序的主體的中央處理單元(CPU)Il ;用于存儲數(shù)據(jù)的存儲模塊12 ;用于經由局域網25與其他設備交換數(shù)據(jù)的通信模塊13 ;以及用于向用戶呈現(xiàn)處理結果的顯示模塊14�。CPU 11通過執(zhí)行計算機程序�,作為日志收集單元101、文件屬性收集單元102�、相關性分析單元103、場景候選評估單元104��、以及結果顯示單元105來工作,稍后將描述這些單元��。場景候選評估單元104包括:用戶關聯(lián)度評估功能104a��、操作關聯(lián)度評估功能104b���、以及場景候選重要度重新評估功能104c����?�?梢詫⑦@些單元中的每一個單元構造為分別由單獨的計算機設備來執(zhí)行�。同時,向存儲模塊12提供諸如相關性規(guī)則存儲單元111��、日志存儲單元112����、場景候選存儲單元113、以及場景候選重要度存儲單元114之類的存儲區(qū)域��,且提前向它們存儲相應數(shù)據(jù)�。稍后還將描述其細節(jié)。(動作概覽)下文中�,將描述通過參考圖1和2來描述的安全事件監(jiān)視設備10的每個單元的動作概覽���。安全設備21、網絡設備22和計算機設備23中的每一個都記錄在系統(tǒng)上產生的各種事件作為日志�,并將它們發(fā)送至安全事件監(jiān)視設備10。在安全事件監(jiān)視設備10上����,日志收集單元101接收并收集這些日志,對其執(zhí)行諸如歸一化和過濾之類的處理��,將它們作為事件數(shù)據(jù)提供給相關性分析單元103�����,且還將它們存儲到日志存儲單元112�。針對從日志收集單元101接收的事件數(shù)據(jù),相關性分析單元103基于在相關性規(guī)則存儲單元111上提前定義的規(guī)則��,尋找與條件相匹配的模式�����。要注意:將用于檢測一系列復雜操作的規(guī)則的類型特定地稱為場景����,且將通過對事件數(shù)據(jù)和場景進行匹配所獲取的那些稱為場景候選。相關性分析單元103通過考慮各個構成事件的重要度����、事件的產生數(shù)目或頻率、檢測到的威脅的重要度�����、相關信息財產的重要度�����、攻擊目標的脆弱度等等���,將各個場景候選的重要度評估為分數(shù)���,并將它們組合存儲到場景候選存儲單元113。當對應于以下多個條件中的任意條件時����,場景候選評估單元104使用用戶關聯(lián)度評估功能104a,來參考在場景候選存儲單元113上記錄的場景候選�,以列舉可能已經進行了構成場景候選的每個操作的可能用戶。(a)可以通過執(zhí)行相關性分析����,通過比較諸如登錄日志���、通信日志等之類的多個日志,來唯一指定用戶的情況(b)可以通過執(zhí)行相關性分析���,將用戶指定到多個候選的情況(C)即使通過執(zhí)行相關性分析也不能指定已進行了操作的用戶(候選)時���,也存在稍后可以用于估計在對應時間期間進行操作的日志的情況(d)不存在上述情況的記錄,但是可以列舉出被授權執(zhí)行對應操作的用戶的情況其中����,通過將針對終端的本地登錄、VPN連接的認證����、進行工作以及進入/離開房間����、針對執(zhí)行與對應操作相關的工作的在先請求等等的記錄與日志收集單元101收集的各種類型的日志中的操作時間進行比較,列舉出與條件(C)相關的用戶����。此外,關于條件(d)����,通過向目錄服務器24查詢,列舉被授權進行操作的用戶����。此外,用戶關聯(lián)度評估功能104a通過列舉出的用戶來擴展場景候選��。然后�����,將"100% -候選數(shù)目”計算為“用戶減少概率(用戶關聯(lián)度)”��,且將其附加記錄在場景候選存儲單元113��。針對構成了在場景候選存儲單元113上記錄的每個場景候選的一系列操作�����,操作關聯(lián)度評估功能104b比較/評估作為操作目標的文件的相似性���,并將相似性深度附加記錄到場景候選存儲單元113�,作為非法使用概率(=操作關聯(lián)度)。此處注意到:由操作關聯(lián)度評估功能104b通過對文件的用戶名稱���、提供給文件的簽名�����、文件的散列值�、文件大小�、文件名稱等進行比較等等,來執(zhí)行對作為操作目標的文件的相似性的評估���。在日志收集單元101收集日志的階段或在相關性分析單元103比較相關聯(lián)日志的階段��,由文件數(shù)據(jù)收集單元102來收集文件的屬性����。場景候選重要度重新評估功能104c根據(jù)用戶關聯(lián)度和操作關聯(lián)度來重新評估每個場景候選的重要度分數(shù)�,且將通過重新評估計算出的重要度分數(shù)存儲在場景候選重要度存儲單元114中。具體地����,稍后提及的表達式I對場景候選的重要度進行校正,在表達式I中,考慮到規(guī)則條件部分的數(shù)目����、關于條件部分的匹配度���、用戶關聯(lián)度的程度�����、操作關聯(lián)度的程度���、由操作重要度分數(shù)加權的用戶關聯(lián)度的程度、以及由操作重要度分數(shù)加權的操作關聯(lián)度的程度����。在場景候選存儲單元113存儲的場景候選中,結果顯示單元105在顯示模塊14的屏幕上顯示具有在場景候選重要度存儲單元114中存儲的場景候選重要度高于特定閾值的場景候選��。此時��,通過從具有較高重要度到具有較低重要度的順序來重新排列場景候選���,顯示場景候選的列表�����,使得具有高重要度的場景候選在屏幕上特別地以高亮顯示(通過例如改變顏色)�。圖3是示出了圖1所示的相關性分析單元103、場景候選評估單元104�、以及結果顯示單元105的動作的流程圖。首先����,相關性分析單元103對日志收集單元101接收到的并在日志存儲單元112中存儲的日志與在相關性規(guī)則存儲單元111中存儲的用戶指定規(guī)則Illa和復雜操作檢測規(guī)則Illb進行比較,以關聯(lián)每個日志����,并將它們存儲到場景候選存儲單元113,作為“場景候選”(步驟S201)��。然后�,相關性分析單元103計算每個操作和作為場景候選存儲的場景候選的暫定重要度,且還將它們存儲到場景候選存儲單元113 (步驟S202)�。稍后將描述用于計算重要度的具體動作�。然后,場景候選評估單元104的用戶關聯(lián)度評估功能104a通過參考由相關性分析單元103在場景候選存儲單元113中存儲的場景候選����,列舉出可能已進行了每個操作的可能用戶�,計算每個操作的用戶關聯(lián)度�����,針對每個可能用戶擴展場景候選���,并將其結果附加存儲到場景候選存儲單元113 (步驟S203,稍后要描述的圖6)�����。
此時�����,場景候選評估單元104的操作關聯(lián)度評估功能104b基于提前給出的評估標準��,計算操作關聯(lián)度�����,該操作關聯(lián)度示出了在每個操作之間的關聯(lián)深度����,并還將其結果附加存儲到場景候選存儲單元113 (步驟204)���。然后,場景候選評估單元104的場景候選重要度重新評估功能104c通過利用之前計算的用戶關聯(lián)度和操作關聯(lián)度����,通過以下表達式來重新評估每個場景候選的重要度分數(shù),并將計算出的重要度分數(shù)存儲到場景候選重要度存儲單元114 (步驟205)��。最后����,結果顯示單元105根據(jù)在場景候選重要度存儲單元114中存儲的場景候選重要度,在顯示模塊14的屏幕上顯示在場景候選存儲單元113中存儲的場景候選(步驟S206)��。稍后還將描述步驟S203至205的動作的更具體的內容���。(動作的更具體的示例)下文中���,呈現(xiàn)出通過參考圖1至3來描述的安全事件監(jiān)視設備10的動作的更具體的示例。圖4是示出了圖1所示的相關性規(guī)則存儲單元111的存儲內容的示例的說明圖���。在相關性規(guī)則存儲單元111中存儲用戶指定規(guī)則Illa和復雜操作檢測規(guī)則111b�。在本說明書中��,示出了極端簡化的日志和規(guī)則,單純作為示出了本發(fā)明的概念的示例����。在實際安全事件監(jiān)視中,通過在比較從大量監(jiān)視目標設備接收的大量日志的同時對其應用復雜化的規(guī)則�����,來檢測已進行了具體操作的用戶���。其中,在圖4的示例中示出了三條規(guī)則��,規(guī)則Pl至P3�,作為用戶指定規(guī)則111a。在規(guī)則Pi的第一行中寫的是:規(guī)則名稱是“P1”���,且在第二至第三行中寫的是:如果檢測到指示“特定用戶U參考特定文件(重要文件)X”的日志����,則將其定義為“pi (U���,x) ”����。類似地,在規(guī)則P2中寫的是:如果檢測到指示“特定用戶u向USB存儲器存儲特定文件(重要文件)x”的日志����,則將其定義為“P2(U,X)”��。在規(guī)則P3中寫的是:如果檢測到指示“特定用戶u將特定文件(重要文件)X復制到文件y”的日志����,則將其定義為“p3 (u,X�����,y)'在圖4的示例中示出了兩條規(guī)則Cl和C2���,作為復雜操作檢測規(guī)則111b����。本文中也將這些規(guī)則Cl和C2稱為場景��。在規(guī)則Cl的第一行中寫的是規(guī)則名稱“Cl”��。第二至第三行示出了以下情況:“用戶Ul參考特定文件X (用戶指定規(guī)則Illa的Pl)且用戶u2向USB存儲器存儲特定文件y(用戶指定規(guī)則Illa的P2)”�,第四至第五行示出了以下情況:“用戶Ul和用戶u2相同,且文件X和y相似”����。其還寫有:將與在第二至第五行中寫有的所有情況相對應的情況定義為
cl (ul, X) ο類似地,在規(guī)則C2的第一行中寫的是規(guī)則名稱“C2”��。第二至第四行示出了以下情況:“用戶ul參考特定文件X (用戶指定規(guī)則Illa的Pl)�����,用戶u2向USB存儲器存儲特定文件I (用戶指定規(guī)則Illa的P2)����,以及用戶u3將特定文件a復制到文件b (用戶指定規(guī)則Illa的P3) ”�,第五至第八行示出了以下情況:“所有用戶ul、用戶u2和用戶u3相同��,且所有文件X��、y�����、a和b相似”。其還寫有:將與在第二至第八行中寫有的所有情況相對應的情況定義為c2 (ul, X)����。關于復雜操作檢測規(guī)則111b,提前給出對每個復雜操作進行表征的場景名稱��,例如向規(guī)則Cl給出文件名稱“取出重要文件”��,以及向規(guī)則C2給出文件名稱“復制并取出重要文件”���。
對于檢測是否“相似”�����,當通過比較作為相應操作的目標的文件的信息(如�����,用戶名稱���、文件大小、文件名稱�����、電子簽名和散列值),在其間發(fā)現(xiàn)匹配時���,判斷為“相似”�����,且如果未發(fā)現(xiàn)匹配����,則判斷為“不相似”��。圖5是示出了圖1所示的日志收集單元101和相關性分析單元103的動作的內容的說明圖(圖3的步驟S201至S202)�。圖5示出了將圖4所示的用戶指定規(guī)則Illa和復雜操作檢測規(guī)則Illb提前存儲到相關性規(guī)則存儲單元111中的情況的動作的示例。日志收集單元101從每個監(jiān)視目標設備接收日志LI至L4����,并將其提供給相關性分析單元103,并將其存儲在日志存儲單元112中�。在當前環(huán)境下���,需要通過對從多個監(jiān)視目標設備接收的大量日志進行比較來執(zhí)行相關性分析���,以檢測單一事件�����。然而��,應當注意到也示出了作為示例的已經經過了直到相關性分析為止的過程的簡化日志���,以單純示出本發(fā)明的概念。日志LI指示了“未指定用戶已下載了文件X”����。此處注意到”指示了“即使在執(zhí)行了相關性分析等之后,也不能指定已進行了該操作的用戶”����。類似地,日志L2指示了“未指定用戶已向USB存儲器存儲了文件Y”����。日志L3指示了“指定用戶B已向USB存儲器存儲了文件V’,且日志L4指示了 “指定用戶B將文件X復制到文件Z”。相關性分析單元103將在相關性規(guī)則存儲單元111中存儲的用戶指定規(guī)則Illa和復雜操作檢測規(guī)則Illb與日志LI至L4相比較����,以將每個日志彼此關聯(lián),并將其存儲到場景候選存儲單元113中作為“場景候選”(圖3的步驟S201)����。在圖4和5所示的示例中,相關性分析單元103基于規(guī)則Pl來檢測日志LI����,并將其定義為操作ol。此外�����,相關性分析單元103基于規(guī)則P2來檢測日志L2�,并將其定義為操作02。此外����,相關性分析單元103基于規(guī)則Cl�����,將操作ol和操作o2的組合檢測為一系列操作�,并將其存儲到場景候選存儲單元113中作為場景候選Tl。此處注意:由于在該情況下根據(jù)日志未指定已進行了操作ol的用戶��,未確定規(guī)則Pl的變量U���,將尚未被指定的用戶定義為“�����?”��,然后繼續(xù)之后的動作��。類似地�,相關性分析單元103基于規(guī)則P2來檢測日志L3���,并將其定義為操作03。此外��,相關性分析單元103基于規(guī)則P3來檢測日志L4�����,并將其定義為操作04�����。此外,相關性分析單元103基于規(guī)則Cl�����,將操作ol和操作o3的組合檢測為一系列操作����,并將其存儲到場景候選存儲單元113中作為場景候選T2�����。此外����,相關性分析單元103基于規(guī)則C2,將操作ol��、o3和o4的組合檢測為一系列操作�����,并將其存儲到場景候選存儲單元113中作為場景候選T3��。相關性分析單元103還評估操作ol的重要度分數(shù)mi和場景候選Tj的重要度分數(shù)MTj��,并將其存儲到場景候選存儲單元113(圖3的步驟S202)。由用戶在相關性規(guī)則存儲單元111上提前定義每個相關性規(guī)則和基于與相關性規(guī)則相匹配的事件相關聯(lián)的威脅的重要度���、信息財產的重要度、和攻擊目標的脆弱度計算出的規(guī)則����,且基于其上計算操作Oi的重要度分數(shù)mi。通過執(zhí)行對相關性分析單元103的處理來計算場景候選Ti的重要度分數(shù)MTj���,且通過執(zhí)行稍后描述的處理來重新評估該重要度分數(shù)MTj����。在圖5所示的示例中�����,由用戶在相關性規(guī)則存儲單元111上將操作ol至o4的相應重要度分數(shù)ml至m4提前定義為0.6,0.6,0.6和0.3���。為了說明,本文中將場景候選Tl至T3的重要度分數(shù)MTl至MT3定義為1.0���、1.0和1.0���。前文所述的由相關性分析單元103執(zhí)行的處理是也在上述專利文獻I中描述的已知技術�,且其是作為本發(fā)明的基礎的技術�����。圖6是示出了圖1所示的用戶關聯(lián)度評估功能104a的動作(圖3的步驟S203)的流程圖�����。用戶關聯(lián)度評估功能104a藉由多種方法通過參考由相關性分析單元103在場景候選存儲單元113存儲的場景候選來列舉出可能已進行了每個操作的可能用戶�����。在開始動作時���,用戶關聯(lián)度評估功能104a將變量i的初始值定義為“I” (步驟S301)�,且首先判斷是否可以由相關性分析單元103將已進行了操作的用戶指定為與操作oi相關的一個用戶(步驟S302)�����。如果可以將用戶指定為一個用戶(步驟S302中的是)���,則將操作oi的用戶關聯(lián)度定義為100% (步驟S308)�。然后�,動作前進至步驟S309的處理。當相關性分析單元103不能指定已進行了操作oi的單一用戶(步驟S303中的否)�,用戶關聯(lián)度評估功能104a判斷是否可以通過相關性分析將可能用戶減少到多個用戶(步驟S303)。如果是(步驟S303中的是)�����,假如可能用戶的數(shù)目是“n”�,則將操作oi的用戶關聯(lián)度定義為(100/n) % (步驟S307)��。然后���,動作前進至步驟S309的處理�。當相關性分析單元103完全不能指定已進行了操作oi的用戶(步驟S303中的否)�,用戶關聯(lián)度評估功能104a參考由日志收集單元101收集的終端登錄記錄中的日志,以判斷是否可以指定在進行操作oi時登錄到能夠進行該操作的終端上的用戶(步驟S304)�。如果判斷為指定(步驟S304中的是),假如可能用戶的數(shù)目是“n”��,則將操作oi的用戶關聯(lián)度定義為(100/n) % (步驟S307)��。然后�,動作前進至步驟S309的處理�。當即使通過參考終端登錄記錄的日志也不能指定已進行了操作Oi的用戶時(步驟S304中的否)����,用戶關聯(lián)度評估功能104a向目錄服務器24查詢誰是被授權進行該操作oi的用戶(步驟S305)。當可以通過查詢來指定授權用戶時(步驟S305中的是)�,假如可能用戶的數(shù)目是“n”,則將操作oi的用戶關聯(lián)度定義為(100/n) % (步驟S307)����。然后,動作前進至步驟S309的處理����。當不能指定授權用戶時(步驟S305中的否),判斷不存在關聯(lián)用戶(步驟S306)�����。然后�,動作前進至步驟S309的處理。此處注意到步驟S303至305所示的處理可以通過附加考慮提供給每個用戶的執(zhí)行授權�����、從終端登錄記錄等獲取的證據(jù)信息(關于用戶在此時并未登錄的信息)以及通過向目錄服務器24進行查詢所獲取的類似信息,進行綜合判斷���,來提取出可能已進行了操作的可能用戶��。然后�����,用戶關聯(lián)度評估功能104a判斷“i”是否已達到在場景候選存儲單元113中存儲的操作oi的總數(shù)“N” (步驟S309)��。當判斷為達到時�,用戶關聯(lián)度評估功能104a結束處理����,且動作前進至操作關聯(lián)度評估功能104b的處理����。當判斷為未達到時,將i的值遞增
I(步驟S310)���,且從步驟S302開始重復該處理�����。圖7是示出了圖1所示的場景候選評估單元104的用戶關聯(lián)度評估功能104a和操作關聯(lián)度評估功能104b的動作(圖3的步驟S203至204)的內容的說明圖��。圖7示出了針對圖4所示的在場景候選存儲單元113中存儲的場景候選Tl至T3來執(zhí)行圖6的流程圖所述的動作的結果���。在該示例中����,相關性分析單元103不能指定已進行了操作oi的單一或多個用戶(圖6中步驟S302和303中都是否)����。然而,發(fā)現(xiàn)了在執(zhí)行操作ol時登錄到能夠進行操作ol的終端上的三個用戶A至C(圖6的步驟S304中的是)��。因此���,有可能獲取以下結果:用戶A至C的用戶關聯(lián)度rll��、r21和r31均為通過將100%除以可能用戶的數(shù)目“3”來獲取的“100% +3 = 33%”���,作為用戶A至C進行操作ol的概率(圖6的步驟S307)。通過對場景候選Tl至T3應用上述動作�����,用戶關聯(lián)度評估功能104a擴展由上述動作列舉的多個用戶A至C中的每一個(圖3的步驟S203)。例如�,將操作ol擴展為三種類型,如pi (A����,X)、pi (B, X)和pi (C�,X),因為將三個用戶A至C列舉為候選����,且將用戶關聯(lián)度rll、r21和r31均計算為33%����。類似地,將操作o2擴展為兩種類型,如p2(A�,Y)和p2 (B�,Y),因為將兩個用戶A和B列舉為候選����,且將用戶關聯(lián)度rl2和r22均計算為50%。關于操作o3和04�����,如上所述將其操作者指定為用戶B。從而���,據(jù)此獲取的分別是P2 (B�����,Z)和�?3出4��,2)����,且用戶關聯(lián)度1*23和r24均為100%。如上所述����,場景候選Tl由操作ol和o2的組合構成?�?梢赃M行操作ol和o2的那些用戶是用戶A和B(用戶C可以進行操作01����,但是不可以進行操作02)�。從而����,將其擴展為兩種類型,如cl (A���,X)和Cl (B, X)�。類似地�����,場景候選T2由操作ol和o3的組合構成��。此外�����,場景候選T3由操作ol�����、o3和o4的組合構成���。關于操作o3和04���,可以如上所述將其操作者指定為用戶B。從而�����,將場景候選T2和T3都僅擴展為用戶B,且分別擴展為一種類型�����,如Cl (B, X)和c2 (B, X�,Z)。用戶關聯(lián)度評估功能104a將上述處理的結果存儲到場景候選存儲單元113���。然后���,操作關聯(lián)度評估功能104b計算作為在與構成通過上述動作存儲的每個場景候選的一系列操作相關的每個操作P和q之間的關聯(lián)深度的操作關聯(lián)度Ipq (圖3的步驟S204)。首先,在日志收集單元101收集日志時或在相關性分析單元103通過上述similar O函數(shù)來執(zhí)行模式匹配之前����,第一屬性收集單元102計算或收集信息,如作為每個操作的目標的文件的用戶名稱����、文件大小�、文件名稱���、電子簽名以及散列值����。操作關聯(lián)度評估功能104b通過使用文件屬性收集單元102收集的信息���,基于提前給出的評估標準�,計算每個操作關聯(lián)度����。例如,評估標準是提前給出的值����,如在操作是針對具有相同簽名的文件或在機器上相同用戶名稱下時,操作關聯(lián)度=100%�����,當操作是針對具有相同散列值的文件時�����,操作關聯(lián)度=90%��,當操作是針對具有相同文件大小的文件時���,操作關聯(lián)度=60%,且當操作是針對具有相同文件名稱的文件時�,操作關聯(lián)度=55%。圖8是示出了由圖7所示的操作關聯(lián)度評估功能104b執(zhí)行的用于評估操作關聯(lián)度的動作的示例的更多細節(jié)的說明圖���。圖8示出了計算在圖4和圖7所示的構成場景候選T3的操作ol���、o3和o4中的每一個之間的操作關聯(lián)度的情況。操作ol的文件X和操作o3的文件Z在場景候選T3中相似(similar (X�,Z))。然而�,考慮到由于其文件大小相同,在操作ol和操作o3之間的操作關聯(lián)度113是60%����。類似地,關于操作o3的文件Z和操作o4的文件Z�,用戶名稱相同。從而���,在操作o3和操作o4之間的操作關聯(lián)度134是100%���。此外���,關于操作ol的文件X和操作o4的文件X的文件名稱相同,使得在操作ol和操作o4之間的操作關聯(lián)度114是55%��。此外類似地��,關于場景候選Tl中的用戶A的cl (A�,X),操作ol的文件X和操作o2的文件Y具有相同的散列值����。從而,在操作Ol和操作02之間的操作關聯(lián)度112是90%���。關于用戶B的cl (B��,X)��,在用戶B的操作ol和操作o2之間的操作關聯(lián)度112也變?yōu)?0%����。此外,關于在場景候選T2中的操作ol的文件X和操作o3的文件Z�,文件大小相同。從而����,在操作ol和操作o3之間的操作關聯(lián)度113是60%�。操作關聯(lián)度評估功能104b將上述計算結果存儲到如圖7所示的場景候選存儲單元113中。圖9是示出了由圖1所示的場景候選重要度重新評估功能104c執(zhí)行的場景重要度分數(shù)重新計算動作(圖3的步驟S205)的內容的更多細節(jié)的說明圖�。關于由在場景候選
存儲單元113中存儲的η條操作構成的用戶ui的場景候選Tx = {ui,okl,ok2,---,okn},
場景候選重要度重新評估功能104c通過以下表達式I所示的公式來重新計算場景重要度分數(shù)MTi,且將其定義為RTxi�����。場景候選重要度重新評估功能104c對場景候選Tx以及所有與其相對應的用戶ui執(zhí)行計算���。用戶ul��、u2和u3對應于用戶A����、B和C中的每一個��。此處注意到:“n”是在每個場景候選Tx中包含的操作總數(shù),ui e U(U是整個用戶
集合)����,okl、ok2.....0kn e 0(0是整個操作集合是通過圖5所示的相關性分析
單元103的處理所計算出的操作oj的重要度分數(shù)�,且將其定義為I彡mj彡0,“rij”是通過圖7所示的用戶關聯(lián)度評估功能104a的處理所計算出的用戶ui和操作oj之間的關聯(lián)度�����,且將其定義為I彡rij彡0���,“l(fā)pq”是通過圖7所示的操作關聯(lián)度評估功能104b的處理所計算出的操作op和oq之間的關聯(lián)度�,且將其定義為I > Ipq^O0(表達式I)
權利要求
1.一種安全事件監(jiān)視設備�,根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志,來檢測具體操作�,所述安全事件監(jiān)視設備包括: 存儲模塊,提前存儲在對每個日志執(zhí)行相關性分析時應用的相關性規(guī)則���; 日志收集單元���,從每個監(jiān)視目標設備接收每個日志; 相關性分析單元��,通過對每個日志應用所述相關性規(guī)則,產生場景候選�,在所述場景候選中,每個日志彼此關聯(lián)�����,并且所述相關性分析單元將所述場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲到所述存儲模塊中����; 場景候選評估單元�����,重新計算每個場景候選的重要度�����;以及 結果顯示單元���,顯示/輸出具有重新計算后的高重要度的場景候選�,其中��, 所述場景候選評估單元包括: 用戶關聯(lián)度評估功能�����,列舉可能已進行了每個場景候選中包含的每個操作的可能用戶,以及針對每個操作����,計算作為每個用戶的相關性的用戶關聯(lián)度; 操作關聯(lián)度評估功能����,計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度;以及 場景候選重要度重新評估功能���,根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度���,針對每個用戶重新計算每個場景候選的重要度。
2.根據(jù)權利要求1所述的安 全事件監(jiān)視設備��,其中�����, 所述用戶關聯(lián)度評估功能列舉在進行每個場景候選中包含的操作時能夠進行針對所述監(jiān)視目標設備的操作的用戶�����。
3.根據(jù)權利要求1所述的安全事件監(jiān)視設備,其中�, 所述用戶關聯(lián)度評估功能通過對外部連接的目錄服務設備進行查詢,列舉被授權進行每個場景候選中包含的操作的用戶�。
4.根據(jù)權利要求1所述的安全事件監(jiān)視設備,其中��, 所述操作關聯(lián)度評估功能基于提前給出的評估標準�����,根據(jù)作為每個操作的目標的文件之間的相似性���,計算所述操作關聯(lián)度��。
5.根據(jù)權利要求4所述的安全事件監(jiān)視設備,其中��, 所述操作關聯(lián)度評估功能使用從以下各項中選出的至少一項作為文件之間的相似性的評估標準:作為每個操作的目標的文件的名稱�、大小、用戶名稱���、散列值和電子簽名���。
6.根據(jù)權利要求1所述的安全事件監(jiān)視設備�����,其中����, 所述場景候選重要度重新評估功能通過對與場景候選相對應的每個用戶的用戶關聯(lián)度和每個場景候選中包含的每個操作的重要度的乘積的總值和在每個場景候選中包含的每個操作之間的操作關聯(lián)度���、操作的重要度以及每個場景候選的重要度的乘積的總值進行乘積運算����,來重新計算每個用戶的每個場景候選的重要度�����。
7.根據(jù)權利要求1所述的安全事件監(jiān)視設備��,其中�����, 所述結果顯示單元將具有高重要性的場景候選與針對該場景候選具有高關聯(lián)度的用戶一起顯示�����。
8.一種用于安全事件監(jiān)視設備的安全事件監(jiān)視方法,所述安全事件監(jiān)視設備根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志�����,來檢測具體操作�,其中:日志收集單元從每個監(jiān)視目標設備接收每個日志; 相關性分析單元通過對每個日志應用相關性規(guī)則�,產生場景候選,在所述場景候選中�����,每個日志彼此關聯(lián)���; 所述相關性分析單元將每個場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲到所述存儲模塊中�; 場景候選評估單元的用戶關聯(lián)度評估功能列舉可能已進行了每個場景候選中包含的每個操作的可能用戶��; 所述用戶關聯(lián)度評估功能針對每個操作���,計算作為每個用戶的相關性的用戶關聯(lián)度;所述場景候選評估單元的操作關聯(lián)度評估功能計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度��; 所述場景候選評估單元的場景候選重要度重新計算功能根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度���,針對每個用戶重新計算每個場景候選的重要度���;以及結果顯示單元顯示/輸出具有高重要度的場景候選���。
9.一種非瞬時計算機可讀記錄介質,存儲在安全事件監(jiān)視設備中使用的安全事件監(jiān)視程序���,所述安全事件監(jiān)視設備根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志�����,來檢測具體操作���,所述程序使得設置于所述安全事件監(jiān)視設備的計算機執(zhí)行: 用于從每個監(jiān)視目標設備接收每個日志的過程; 用于通過對每個日志應用提前給出的相關性規(guī)則�,產生場景候選的過程,在所述場景候選中��,每個日志彼此關聯(lián)����; 用于將每個場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲的過程; 用于列舉可能已進行了每個場景候選中包含的每個操作的可能用戶的過程; 用于針對每個操作�,計算作為每個用戶的相關性的用戶關聯(lián)度的過程; 用于計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度的過程���; 用于根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度���,針對每個用戶重新計算每個場景候選的重要度的過程;以及 用于顯示/輸出具有高重要度的場景候選的過程����。
10.一種安全事件監(jiān)視設備,根據(jù)作為在相同局域網上相互連接的多個監(jiān)視目標設備上進行的操作的記錄的日志����,來檢測具體操作,所述安全事件監(jiān)視設備包括: 存儲裝置�����,用于提前存儲在對每個日志執(zhí)行相關性分析時應用的相關性規(guī)則��; 日志收集裝置��,用于從每個監(jiān)視目標設備接收每個日志����; 相關性分析裝置,用于通過對每個日志應用所述相關性規(guī)則�����,產生場景候選��,在所述場景候選中��,每個日志彼此關聯(lián)��,并且所述相關性分析裝置將所述場景候選與由所述相關性規(guī)則給出的所述場景候選的重要度一起存儲到所述存儲裝置中�; 場景候選評估裝置,用于重新計算每個場景候選的重要度�;以及 結果顯示裝置,用于顯示/輸出具有重新計算后的高重要度的場景候選�,其中, 所述場景候選評估裝置包括 : 用戶關聯(lián)度評估功能����,列舉可能已進行了每個場景候選中包含的每個操作的可能用戶,以及針對每個操作���,計算作為每個用戶的相關性的用戶關聯(lián)度�; 操作關聯(lián)度評估功能,計算作為在每個場景候選的每個操作之間的相關性的操作關聯(lián)度����;以及 場景候選重要度重新評估功能,根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度�,針對每個用戶重新計算每個場景候選的重要 度。
全文摘要
安全事件監(jiān)視設備包括存儲模塊�����,提前存儲相關性規(guī)則�����;日志收集單元��,從每個監(jiān)視目標設備接收每個日志����;相關性分析單元,通過關聯(lián)每個日志來產生場景候選��;場景候選評估單元�����,計算每個場景候選的重要度;以及結果顯示單元���,顯示/輸出具有重新計算后的高重要度的場景候選。所述場景候選評估單元包括用戶關聯(lián)度評估功能���,計算用戶關聯(lián)度�;操作關聯(lián)度評估功能�����,計算操作關聯(lián)度����;以及場景候選重要性重新評估功能,根據(jù)所述用戶關聯(lián)度和所述操作關聯(lián)度��,針對每個用戶重新計算每個場景候選的重要度�����。
文檔編號H04L12/26GK103117884SQ20121033470
公開日2013年5月22日 申請日期2012年9月11日 優(yōu)先權日2011年9月13日
發(fā)明者村本榮治 申請人:日本電氣株式會社