攻擊分析系統(tǒng)、協(xié)作裝置、攻擊分析協(xié)作方法和程序的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及攻擊分析系統(tǒng)、協(xié)作裝置、攻擊分析協(xié)作方法和程序。尤其是,涉及與攻擊檢測(cè)系統(tǒng)和日志分析系統(tǒng)協(xié)作而高效地進(jìn)行攻擊分析的攻擊分析系統(tǒng)。
【背景技術(shù)】
[0002]近年來(lái),惡意軟件將機(jī)密信息泄漏到組織外的事故成為問題。使用惡意軟件的網(wǎng)絡(luò)攻擊逐漸高度化,例如存在非專利文獻(xiàn)I所示的被稱作APT(高度且持續(xù)的威脅:Advanced Persistent Threat)的攻擊等。
[0003]在APT中,通過(guò)郵件附件等入侵到組織中的惡意軟件感染計(jì)算機(jī),進(jìn)而,與攻擊者所運(yùn)用的互聯(lián)網(wǎng)上的C&C(C0mmand&C0ntr0l:命令和控制)服務(wù)器進(jìn)行通信,下載新惡意軟件或攻擊工具或者更新自身。進(jìn)而,偵測(cè)組織內(nèi)部,找到文件服務(wù)器,將機(jī)密文件泄漏到C&C服務(wù)器。在將這些各活動(dòng)視作攻擊的情況下,各攻擊耗費(fèi)較長(zhǎng)時(shí)間而按階段進(jìn)行。例如,感染了計(jì)算機(jī)的惡意軟件在感染后I個(gè)月不活動(dòng)而隱藏自身,I個(gè)月后才開始與C&C服務(wù)器進(jìn)行通信。
[0004]這樣,在APT中,多個(gè)攻擊間隔地進(jìn)行。
[0005]APT的對(duì)策存在各種方法。作為APT對(duì)策的產(chǎn)品,存在防止基于郵件的侵入的產(chǎn)品、防止信息泄漏的產(chǎn)品等。
[0006]此外,作為APT對(duì)策的方法之一,存在自動(dòng)進(jìn)行日志分析的方法。在自動(dòng)進(jìn)行日志分析的方法中,分析計(jì)算機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備等的日志,調(diào)查相互的相關(guān)關(guān)系,或者從日志中找出異常記錄。自動(dòng)進(jìn)行日志分析的方法是通過(guò)進(jìn)行這樣的分析來(lái)檢測(cè)APT或觀察經(jīng)過(guò)過(guò)程的方法。
[0007]作為通過(guò)調(diào)查防火墻或入侵檢測(cè)系統(tǒng)等安全設(shè)備的日志等的相關(guān)關(guān)系調(diào)來(lái)自動(dòng)地檢測(cè)異常的產(chǎn)品的例子,存在SIEM(安全信息和事件管理:Security Informat1n andEvent Management)系統(tǒng)(參照專利文獻(xiàn)I)。SIEM系統(tǒng)也被稱作整合日志監(jiān)視系統(tǒng)等。
[0008]此外,存在如下日志分析系統(tǒng):通過(guò)各種關(guān)鍵詞對(duì)各種日志進(jìn)行向下鉆取(drilldown),或者按時(shí)間順序顯示狀況變化等,由此,人們發(fā)現(xiàn)異常。
[0009]在專利文獻(xiàn)I中,提出了如下方法:在業(yè)務(wù)系統(tǒng)用服務(wù)器之外,導(dǎo)入中繼服務(wù)器,在中繼服務(wù)器中進(jìn)行用戶認(rèn)證,并收集利用日志。
[0010]現(xiàn)有技術(shù)文獻(xiàn)
[0011]專利文獻(xiàn)
[0012]專利文獻(xiàn)1:日本特表2004-537075號(hào)公報(bào)
[0013][非專利文獻(xiàn)]
[0014][非專利文獻(xiàn)I]「新L.U夕彳攻撃」ω對(duì)策C向汀設(shè)計(jì)/運(yùn)用力'彳F,改訂第2版,IPA (面向“新型攻擊”的對(duì)策的設(shè)計(jì),運(yùn)用指南,修訂版第2版,IPA)。
【發(fā)明內(nèi)容】
[0015][發(fā)明要解決的問題]
[0016]在SIEM系統(tǒng)中,在內(nèi)存中(on-memory)實(shí)時(shí)地監(jiān)視事件(event),因此,實(shí)質(zhì)不能進(jìn)行復(fù)雜的相關(guān)分析或多發(fā)事件的相關(guān)分析,從而存在不能對(duì)APT采用足夠的對(duì)策這樣的冋題。
[0017]此外,在日志分析系統(tǒng)中,能夠?qū)Χ鄠€(gè)日志執(zhí)行復(fù)雜的檢索,但為了如相關(guān)分析那樣實(shí)時(shí)地檢測(cè)事件,需要短時(shí)間地反復(fù)執(zhí)行檢索。因此,存在為了同時(shí)執(zhí)行多個(gè)檢索條件而需要巨大的計(jì)算資源這樣的問題。
[0018]即,存在如下問題:在基于對(duì)日志進(jìn)行分析的方法的APT的檢測(cè)中,無(wú)論是SIEM系統(tǒng)還是日志分析系統(tǒng),無(wú)法單獨(dú)地完全對(duì)應(yīng)。
[0019]本發(fā)明是為了解決上述那樣問題而完成的,其目的在于,針對(duì)通過(guò)SIEM系統(tǒng)檢測(cè)出的攻擊,基于攻擊情景,與日志分析系統(tǒng)協(xié)作而高效地從日志中發(fā)現(xiàn)存在將要發(fā)生的可能性的攻擊跡象。
[0020][用于解決問題的手段]
[0021]本發(fā)明的攻擊分析系統(tǒng)的特征在于具有:
[0022]日志收集裝置,其收集與監(jiān)視對(duì)象網(wǎng)絡(luò)連接的至少I個(gè)設(shè)備的日志并將其作為日志信息存儲(chǔ)在存儲(chǔ)裝置中;檢測(cè)裝置,其檢測(cè)針對(duì)所述監(jiān)視對(duì)象網(wǎng)絡(luò)的攻擊;以及分析裝置,其分析由所述日志收集裝置收集的所述日志信息,
[0023]所述攻擊分析系統(tǒng)具有協(xié)作裝置,該協(xié)作裝置與所述檢測(cè)裝置連接,并與所述分析裝置連接,
[0024]所述檢測(cè)裝置在檢測(cè)到針對(duì)所述監(jiān)視對(duì)象網(wǎng)絡(luò)的攻擊時(shí),向所述協(xié)作裝置發(fā)送警告信息,該警告信息包含標(biāo)識(shí)檢測(cè)出的攻擊的攻擊標(biāo)識(shí)符和發(fā)生所述檢測(cè)出的攻擊的攻擊發(fā)生時(shí)期,
[0025]所述協(xié)作裝置具有:
[0026]攻擊情景信息存儲(chǔ)部,其預(yù)先將攻擊情景信息存儲(chǔ)在存儲(chǔ)裝置中,其中,所述攻擊情景信息包含分別標(biāo)識(shí)針對(duì)所述監(jiān)視對(duì)象網(wǎng)絡(luò)預(yù)計(jì)要發(fā)生的多個(gè)攻擊的多個(gè)攻擊標(biāo)識(shí)符,且所述攻擊情景信息包含所述多個(gè)攻擊的發(fā)生序號(hào)和所述序號(hào)連續(xù)的兩個(gè)攻擊的發(fā)生間隔,
[0027]時(shí)刻表分析請(qǐng)求部,在從所述檢測(cè)裝置接收到所述警告信息時(shí),該時(shí)刻表分析請(qǐng)求部基于接收到的所述警告信息和由所述攻擊情景信息存儲(chǔ)部存儲(chǔ)的所述攻擊情景信息,通過(guò)處理裝置來(lái)計(jì)算分析對(duì)象攻擊預(yù)計(jì)要發(fā)生的預(yù)計(jì)發(fā)生時(shí)期,向所述分析裝置發(fā)送時(shí)刻表分析請(qǐng)求,其中,該時(shí)刻表分析請(qǐng)求是對(duì)計(jì)算出的所述預(yù)計(jì)發(fā)生時(shí)期的所述日志信息進(jìn)行分析的請(qǐng)求,該分析對(duì)象攻擊是所述攻擊情景信息中包含的所述多個(gè)攻擊中的在所述攻擊發(fā)生時(shí)期的前后的時(shí)期預(yù)計(jì)要發(fā)生的攻擊,且為與所述檢測(cè)出的攻擊不同的攻擊;
[0028]所述分析裝置基于從所述協(xié)作裝置的所述時(shí)刻表分析請(qǐng)求部發(fā)送的所述時(shí)刻表分析請(qǐng)求,對(duì)所述預(yù)計(jì)發(fā)生時(shí)期的所述日志信息進(jìn)行分析。
[0029][發(fā)明效果]
[0030]根據(jù)本發(fā)明的攻擊分析系統(tǒng),協(xié)作裝置將攻擊情景信息存儲(chǔ)在存儲(chǔ)裝置中,從檢測(cè)裝置接收包含檢測(cè)出的攻擊的信息的警告信息,基于警告信息和攻擊情景信息,計(jì)算在檢測(cè)出的攻擊之后預(yù)計(jì)要發(fā)生的攻擊的預(yù)計(jì)發(fā)生時(shí)期,按計(jì)算出的預(yù)計(jì)發(fā)生時(shí)期來(lái)檢索曰志信息,向分析裝置發(fā)送時(shí)刻表檢索,從而使檢測(cè)裝置與分析裝置協(xié)作,由此,起到如下效果:能夠高效地從日志信息中發(fā)現(xiàn)存在將要發(fā)生的可能性的攻擊的跡象。
【附圖說(shuō)明】
[0031]圖1是示出實(shí)施方式I的日志分析協(xié)作系統(tǒng)1000的整體結(jié)構(gòu)的圖。
[0032]圖2是示出實(shí)施方式I的日志分析協(xié)作裝置1、日志記錄器901、SIEM裝置902、日志分析裝置903的硬件結(jié)構(gòu)的一例的圖。
[0033]圖3是示出實(shí)施方式I的日志分析協(xié)作裝置I的結(jié)構(gòu)和動(dòng)作的概要的圖。
[0034]圖4是示出實(shí)施方式I的警告信息1201的結(jié)構(gòu)的一例的圖。
[0035]圖5是示出實(shí)施方式I的攻擊情景1104的結(jié)構(gòu)的一例的圖。
[0036]圖6是示出實(shí)施方式I的對(duì)策信息1107的結(jié)構(gòu)的一例的圖。
[0037]圖7是示出實(shí)施方式I的資產(chǎn)信息1109的結(jié)構(gòu)的一例的圖。
[0038]圖8是示出實(shí)施方式I的攻擊可否判定部107的攻擊可否判定處理的流程圖。
[0039]圖9是示出實(shí)施方式2的日志分析協(xié)作裝置I的結(jié)構(gòu)和動(dòng)作的概要的圖。
[0040]圖10是示出實(shí)施方式4的日志分析協(xié)作裝置I的結(jié)構(gòu)和動(dòng)作的概要的圖。
[0041]圖11是示出實(shí)施方式4的認(rèn)證服務(wù)器10的結(jié)構(gòu)和動(dòng)作的圖。
[0042]圖12是示出由實(shí)施方式4的密碼復(fù)位裝置11生成的電子郵件的一例的圖。
[0043]圖13是示出實(shí)施方式4的密碼復(fù)位裝置11的結(jié)構(gòu)和動(dòng)作的圖。
[0044]圖14是示出實(shí)施方式4的密碼復(fù)位裝置11的復(fù)位用密碼8203和密碼復(fù)位通知字面內(nèi)容8202的生成方法的圖。
【具體實(shí)施方式】
[0045]實(shí)施方式1.
[0046]圖1是示出本實(shí)施方式的日志分析協(xié)作系統(tǒng)1000的整體結(jié)構(gòu)的圖。使用圖1,對(duì)本實(shí)施方式的日志分析協(xié)作系統(tǒng)1000 (攻擊分析系統(tǒng)的一例)的整體結(jié)構(gòu)和動(dòng)作的概要進(jìn)行說(shuō)明。
[0047]在圖1中,日志分析協(xié)作系統(tǒng)1000具有日志記錄器901 (日志收集裝置的一例)、SIEM裝置902 (檢測(cè)裝置的一例)、日志分析裝置903 (分析裝置的一例)、日志分析協(xié)作裝置1(協(xié)作裝置的一例)。
[0048]日志記錄器901收集監(jiān)視對(duì)象網(wǎng)絡(luò)所具有的至少I個(gè)設(shè)備(通信設(shè)備904)的日志,并將其作為日志信息存儲(chǔ)在存儲(chǔ)裝置中。
[0049]日志記錄器901與監(jiān)視對(duì)象的PC或服務(wù)器等計(jì)算機(jī)904a、路由器等網(wǎng)絡(luò)設(shè)備904b、防火墻或入侵檢測(cè)裝置等安全設(shè)備904c、智能手機(jī)或平板PC等移動(dòng)設(shè)備905連接。
[0050]日志記錄器901收集并蓄積計(jì)算機(jī)904a、網(wǎng)絡(luò)設(shè)備904b、安全設(shè)備904c、移動(dòng)設(shè)備905等日志。
[0051]SIEM裝置902對(duì)日志記錄器901中蓄積的日志進(jìn)行相關(guān)分析(correlat1nanalysis)等來(lái)檢測(cè)異常。SIEM裝置902具有檢測(cè)規(guī)則912。SIEM裝置902例如將檢測(cè)規(guī)則912存儲(chǔ)在存儲(chǔ)裝置中。
[0052]檢測(cè)規(guī)則912是用于檢測(cè)攻擊等異常的日志分析的規(guī)則。檢測(cè)規(guī)則912例如為相關(guān)分析的規(guī)則。
[0053]日志分析裝置903根據(jù)操作者進(jìn)行的操作,通過(guò)關(guān)鍵詞檢索對(duì)日志記錄器901中蓄積的日志進(jìn)行向下鉆取等分析。此外,日志分析裝置903根據(jù)操作者進(jìn)行的操作,使對(duì)特定的服務(wù)器的訪問狀況可視化,以能夠目視觀察狀況的方式進(jìn)行顯示。這樣,在日志分析裝置903中,根據(jù)操作者進(jìn)行的操作,分析日志,使得操作者發(fā)現(xiàn)異常。
[0054]日志分析協(xié)作裝置I位于SIEM裝置902和日志分析裝置903之間,與SIEM裝置902連接,并與日志分析裝置903連接。
[0055]日志分析協(xié)作裝置I與SIEM裝置902和日志分析裝置903協(xié)作。
[0056]日志分析協(xié)作裝置I具有攻擊情景DB1013、資產(chǎn)DB1015、安全對(duì)策DB1014。
[0057]對(duì)日志分析協(xié)作裝置I與SIEM裝置902和日志分析裝置903協(xié)作的動(dòng)作的概要進(jìn)行說(shuō)明。
[0058]SIEM裝置902從日志記錄器901收集日志911,使用檢測(cè)規(guī)則912執(zhí)行實(shí)時(shí)的相關(guān)分析。這樣,SIEM裝置902始終執(zhí)行異常檢測(cè)。
[0059]以下,使用圖1,對(duì)SIEM裝置902檢測(cè)到異常的情況下的動(dòng)作(攻擊分析協(xié)作方法)的一例進(jìn)行說(shuō)明。以下⑴?⑶對(duì)應(yīng)于圖1的⑴?(8)。
[0060](I) SIEM裝置902根據(jù)檢測(cè)規(guī)則912中的檢測(cè)規(guī)則B,檢測(cè)攻擊b (檢測(cè)攻擊)。
[0061](2)SIEM裝置902將“檢測(cè)出攻擊b”作為警告信息1201’通知給日志分析協(xié)作裝置I (警告信息發(fā)送處理、警告信息發(fā)送步驟)。日志分析協(xié)作裝置I接收警告信息(警告信息接收處理、警告信息接收步驟)。
[0062](3)日志分析協(xié)作裝置I從DB中檢索在攻擊b之后預(yù)計(jì)要發(fā)生的攻擊c (下次攻擊)。日志分析協(xié)作裝置I根據(jù)攻擊情景DB1013、資產(chǎn)DB1015、安全對(duì)策DB1014,判斷在攻擊b之后發(fā)生的攻擊c的發(fā)生可能性。攻擊情景DB1013、資產(chǎn)DB1015、安全對(duì)策DB1014例如被存儲(chǔ)在日志分析協(xié)作裝置I具有的存儲(chǔ)裝置I’中。
[0063](4)日志分析協(xié)作裝置I為了從日志中檢索攻擊c的跡象,向日志分析裝置903請(qǐng)求時(shí)刻表檢索915。換言之,日志分析協(xié)作裝置I計(jì)算在攻擊b (檢測(cè)攻擊、檢測(cè)出的攻擊)之后預(yù)計(jì)要發(fā)生的攻擊c (下次攻擊、分析對(duì)象攻擊)預(yù)計(jì)將要發(fā)生的時(shí)期(預(yù)計(jì)發(fā)生時(shí)期),為了對(duì)攻擊c(下次攻擊)預(yù)計(jì)要發(fā)生的時(shí)期(預(yù)計(jì)發(fā)生時(shí)期)的日志進(jìn)行時(shí)刻表檢索,向日志分析裝置903請(qǐng)求時(shí)刻表檢索915((3)、(4)的處理是時(shí)刻表分析請(qǐng)求處理、時(shí)刻表分析請(qǐng)求步驟)。
[0064](5)日志分析裝置903基于時(shí)刻表檢索915的請(qǐng)求,使日志記錄器901執(zhí)行時(shí)刻表檢索916。
[0065](6)日志分析裝置903接收時(shí)刻表檢索916的檢索結(jié)果917。
[0066](7)日志分析裝置903將接收到的檢索結(jié)果917作為檢索結(jié)果918,發(fā)送給日志分析協(xié)作裝置I。
[0067](8)日志分析協(xié)作裝置I接收(7)的結(jié)果,與執(zhí)行與(7)的結(jié)果對(duì)應(yīng)的處理(日志信息分析處理、日志信息分析步驟)。
[0068]在(7)的結(jié)果為未檢測(cè)出攻擊c的情況下,日志分析協(xié)作裝置I判斷為攻擊c的發(fā)生時(shí)期有可能與攻擊情景1104不相符。然后,日志分析協(xié)作裝置I變更時(shí)刻表檢索915的時(shí)機(jī),進(jìn)一步向日志分析裝置903發(fā)出時(shí)刻表檢索915。
[0069]在(7)的結(jié)果是檢測(cè)出攻擊c的情況下,日志分析協(xié)作裝置I在GUI上向操作者通知“檢索出攻擊C”。操作者接收該通知,使用日志分析裝置903,進(jìn)一步對(duì)攻擊c的詳細(xì)跡象等進(jìn)行分析。
[0070]由于CPU、存儲(chǔ)器、線路等的制約,移動(dòng)設(shè)備905 (特定的設(shè)備)有時(shí)難以始終收集日志。因此,日志記錄器901通常不對(duì)來(lái)自移動(dòng)設(shè)備905的日志進(jìn)行收集。或者,日志記錄器901也可以以I日I次等定期的或不定期的方式從移動(dòng)設(shè)備905收集日志。
[0071]當(dāng)在(I)?(3)中判斷為攻擊c是在移動(dòng)設(shè)備905中發(fā)生的情況下,日志分析協(xié)作裝置I按照(4)的時(shí)刻表檢索915的時(shí)機(jī),在(4)的時(shí)刻表檢索915之前,向日志分析裝置903通知時(shí)刻表收集915’ (⑷,)。
[0072]日志分析裝置903將從日志分析協(xié)作裝置I通知的時(shí)刻表收集915’作為時(shí)刻表收集916’通知給日志記錄器901 ((5),)。
[0073]日志記錄器901在從日志分析裝置903被通知了時(shí)刻表收集916’時(shí),向移動(dòng)設(shè)備905通知時(shí)刻表收集916” ((5),,),從移動(dòng)設(shè)備905收集日志917” ((6) ”)。日志記錄器901將來(lái)自移動(dòng)設(shè)備905的日志的收集結(jié)果作為收集結(jié)果917’發(fā)送給日志分析裝置903((6),) ο
[0074]日志分析裝置903在從日志記錄器901接收到收集結(jié)果917’時(shí),將其作為收集結(jié)果918’發(fā)送給日志分析協(xié)作裝置I ((7)’)。
[0075]然后,日志分析協(xié)作裝置1、日志分析裝置903、日志記錄器901執(zhí)行上述(4)?⑵。
[0076]以上,結(jié)束了日志分析協(xié)作系統(tǒng)1000的整體結(jié)構(gòu)和動(dòng)作的概要的說(shuō)明。
[0077]圖2是示出本實(shí)施方式的日志分析協(xié)作裝置1、日志記錄器901、SIEM裝置902、日志分析裝置903的硬件結(jié)構(gòu)的一例的圖。
[0078]在圖2中,日志分析協(xié)作裝置1、日志記錄器901、SIEM裝置902、日志分析裝置903是計(jì)算機(jī),具有LCD1901(Liquid Crystal Display:液晶顯示器)、鍵盤1902(K/B)、鼠標(biāo)1903,FDD1904 (Flexible Disc Drive:軟盤驅(qū)動(dòng)器)、CDD1905 (Compact Disc Drive:CD 驅(qū)動(dòng)器)、打印機(jī)1906這樣的硬件設(shè)備。這些硬件設(shè)備通過(guò)網(wǎng)線或信號(hào)線連接。也可以使用CRT (Cathode Ray Tube:陰極攝像管)或其它顯示裝置來(lái)替代LCD1901。也可以使用觸摸面板、觸摸板、軌跡球、手寫板或其它定點(diǎn)設(shè)備來(lái)替代鼠標(biāo)1903。
[0079]日志分析協(xié)作裝置1、日志記錄器901、SIEM裝置902、日志分析裝置903具有執(zhí)行程序的CPU1911 (Central Processing Unit:中央處理器)。CPU1911是處理裝置的一例。CPU1911 經(jīng)由總線 1912,與 R0M1913(Read Only Memory:只讀存儲(chǔ)器)、RAM1914 (RandomAccess Memory:隨機(jī)存取存儲(chǔ)器)、通信板 1915、LCD1901、鍵盤 1902、鼠標(biāo) 1903、FDD1904、CDD1905、打印機(jī)1906、HDD1920 (Hard Disk Drive:硬盤驅(qū)動(dòng)器)連接,來(lái)控制這些硬件設(shè)備。也可以使用閃速存儲(chǔ)器、光盤裝置、內(nèi)存卡讀寫器或其它記錄介質(zhì)來(lái)替代HDD1920。
[0080]RAM1914 是易失性存儲(chǔ)器的一例。R0M1913、FDD1904、CDD1905、HDD1920 是非易失性存儲(chǔ)器的一例。它們是存儲(chǔ)裝置、存儲(chǔ)部的一例。通信板1915、鍵盤1902、鼠標(biāo)1903、FDD1904、CDD1905是輸入裝置的一例。此外,通信板1915、LCD1901、打印機(jī)1906是輸出裝置的一例。
[0081]通信板1915與LAN(Local Area Network:局域網(wǎng))等連接。通信板1915不限于LAN,也可以連接到 IP-VPN (Internet Protocol Virtual Private Network,IP 虛擬專用網(wǎng)絡(luò))、廣域 LAN、ATM (Asynchronous Transfer Mode,異步傳輸模式)網(wǎng)絡(luò)這樣的 WAN (WideArea Network:廣域網(wǎng))或互聯(lián)網(wǎng)。LAN、WAN、互聯(lián)網(wǎng)是網(wǎng)絡(luò)的一例。
[0082]在HDD1920中存儲(chǔ)有操作系統(tǒng)1921 (OS),視窗系統(tǒng)1922、程序組1923、文件組1924。程序組1923的程序由CPU1911、操作系統(tǒng)1921、視窗系統(tǒng)1922執(zhí)行。在程序組1923中,包含執(zhí)行在本實(shí)施方式的說(shuō)明中作為“?部”說(shuō)明的功能的程序。程序由CPU1911讀出并執(zhí)行。在本實(shí)施方式的說(shuō)明中作為“?數(shù)據(jù)”、“?信息”、“?ID(標(biāo)識(shí)符)”、“?標(biāo)志位”、“?結(jié)果”說(shuō)明的數(shù)據(jù)、信息、信號(hào)值或變量值或參數(shù)作為“?文件”或“?數(shù)據(jù)庫(kù)”或“?表”的各項(xiàng)目而包含在文件組1924中?!?文件”或“?數(shù)據(jù)庫(kù)”或“?表”被存儲(chǔ)在RAM1914或HDD1920等記錄介質(zhì)中。RAM1914或HDD1920等記錄介質(zhì)中存儲(chǔ)的數(shù)據(jù)、信息、信號(hào)值、變量值或參數(shù)經(jīng)由讀寫電路,由CPU1911讀出至主存儲(chǔ)器或高速緩存,在提取、檢索、參照、比較、運(yùn)算、計(jì)算、控制、輸出、印刷、顯示這樣的CPU1911的處理(動(dòng)作)中使用。在提取、檢索、參照、比較、運(yùn)算、計(jì)算、控制、輸出、印刷、顯示這樣的CPU1911的處理中,數(shù)據(jù)、信息、信號(hào)值、變量值或參數(shù)暫時(shí)地中存儲(chǔ)在主存儲(chǔ)器、高速緩存或緩沖存儲(chǔ)器中。
[0083]在本實(shí)施方式的說(shuō)明中使用框圖或流程圖的箭頭的部分主要表示數(shù)據(jù)或信號(hào)的輸入/輸出。數(shù)據(jù)或信號(hào)被記錄在RAM1914等存儲(chǔ)器、FDD1904軟盤(FD)、⑶D1905光盤(CD)、HDD1920磁盤、光盤、DVD (Digital Versatile Disc:數(shù)字通用光盤)或其它記錄介質(zhì)中。此外,數(shù)據(jù)或信號(hào)通過(guò)總線1912、信號(hào)線,網(wǎng)線或其它傳輸介質(zhì)進(jìn)行傳輸。
[0084]在本實(shí)施方式的說(shuō)明中,作為“?部”說(shuō)明的內(nèi)容也可以是“?電路”、“?裝置”、“?設(shè)備”,此外,也可以是“?步驟”、“?操作”、“?過(guò)程”、“?處理”。g卩,作為“?部”說(shuō)明的內(nèi)容可以由R0M1913中存儲(chǔ)的固件實(shí)現(xiàn)。或者,作為“?部”說(shuō)明的內(nèi)容也可以僅由軟件實(shí)現(xiàn),或者僅由元件、設(shè)備、基板、布線這樣的硬件實(shí)現(xiàn)?;蛘撸鳛椤?部”說(shuō)明的內(nèi)容也可以由軟件和硬件的組合或者軟件、硬件和固件的組合來(lái)實(shí)現(xiàn)。固件和軟件作為程序存儲(chǔ)在軟盤、光盤、磁盤、光盤、DVD等記錄介質(zhì)中。程序由CPU1911讀出,由CPU1911執(zhí)行。S卩,程序使計(jì)算機(jī)作為在本實(shí)施方式的說(shuō)明中記述的“?部”而發(fā)揮功能?;蛘?,程序使計(jì)算機(jī)執(zhí)行在本實(shí)施方式的說(shuō)明記述的“?部”的操作或方法。
[0085]圖3是示出本實(shí)施方式的日志分析協(xié)作裝置I的結(jié)構(gòu)和動(dòng)作的概要的圖。
[0086]使用圖3,對(duì)本實(shí)施方式的日志分析協(xié)作裝置I的結(jié)構(gòu)進(jìn)行說(shuō)明。在本實(shí)施方式中,日志分析協(xié)作裝置I不使用時(shí)刻表收集部108、收集時(shí)刻表?xiàng)l件1204、外部協(xié)作部(收集)109。
[0087]如圖3所示,日志分析協(xié)作裝置I具有輸入部101、警告解釋部102、攻擊情景DB檢索部103、關(guān)聯(lián)攻擊提取部104、安全對(duì)策檢索部105、資產(chǎn)DB檢索部106、攻擊可否判定部107、時(shí)刻表檢索部1010、外部協(xié)作部(檢索)1011、輸出部1012。
[0088]此外,日志分析協(xié)作裝置I將攻擊情景DB1013、安全對(duì)策DB1014、資產(chǎn)DB1015存儲(chǔ)在存儲(chǔ)裝置中。
[0089]輸入部101輸入警告信息1201’,輸出數(shù)據(jù)1101。
[0090]警告解釋部102輸入數(shù)據(jù)1101,輸出警告信息1102和資產(chǎn)檢索信息1108。
[0091]攻擊情景DB檢索部103輸入情景提取條件1202,使用攻擊標(biāo)識(shí)信息1103來(lái)檢索攻擊情景DB1013。攻擊情景DB檢索部103輸入作為檢索結(jié)果的攻擊情景1104。此外,攻擊情景DB檢索部103將輸入的攻擊情景1104輸出到關(guān)聯(lián)攻擊提取部104。
[0092]攻擊情景DB1013將執(zhí)行APT (高度且持續(xù)的威脅)的多個(gè)攻擊的序列及其時(shí)間間隔等信息保存為情景。
[0093]攻擊情景DB1013是預(yù)先將攻擊情景信息存儲(chǔ)在存儲(chǔ)裝置的攻擊情景信息存儲(chǔ)部的一例,攻擊情景信息包含多個(gè)攻擊標(biāo)識(shí)符且包含多個(gè)攻擊發(fā)生的序號(hào)和序號(hào)連續(xù)的兩個(gè)攻擊的發(fā)生間隔,多個(gè)攻擊標(biāo)識(shí)符用