一种分析规则调整装置,对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整。分析规则调整装置具有日志获取部、日志分析部以及第1解析部。日志获取部获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志。日志分析部根据规定的分析规则和整定条件对日志获取部获取的通信日志进行分析。第1解析部对日志分析部的分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序。
技术介绍
随着通信网络的普及,针对经由通信网络的各种服务器或基础架构的网络攻击的方法也变得多样化。以往,公知有为了应对该网络攻击的威胁而设置的、在通信数据的入口处对通信进行控制的IDS(Intrusion Detection System:入侵检测系统)或IPS(Intrusion Prevention System:入侵防御系统)或防火墙(Fire Wall:FW)等安全设备。例如,如图20所示,防火墙或IDS/IPS对从外部网络进入到内部网络的信息进行监视而对非法通信进行防御。进而,近年来,公知有基于规则的分析技术:同样如图20所示,对网络设备或安全设备的日志进行收集,使用分析规则对非法通信的状态(行为)进行检测。在该技术中,例如,创建用于对非法的网络流量进行确定、分析而检测出非法的通信或举动的分析规则。并且,使用创建后的分析规则对通信行为进行监视,检测非法通信等。在使用了分析规则的技术中,检测结果会受到该分析规则中使用的参数或阈值的影响。因此,设定出抑制误检的适当的参数或阈值很重要。现有技术文献非专利文献非专利文献1:中田健介“利用网络日志分析来进行的非法通信检测方法”、电子信息通信学会、2013年综合大会(非特許文献1:中田健介「ネットワークログ分析による不正通信検出手法」、電子情報通信学会、2013年総合大会)
技术实现思路
专利技术要解决的课题但是,在使用了以往的分析规则的非法通信的检测技术中,根据实际的网络环境来执行分析规则的有效性的检验和设定为分析规则中使用的参数的阈值的调整(参数整定,Parameter tuning)。即,将分析规则应用于实际的网络环境,并对获取的结果进行分析而执行分析规则的有效性的检验和设定为参数的阈值的微调整。在该调整方法中,在将该分析规则应用于实际上非法的通信的情况下,无法判断在该情况下可能出现的漏检或误检的程度。因此,有时无法将最佳的阈值设定为分析规则的参数。并且,在上述方法中,操作者一边对将分析规则应用于实际的网络环境后所取得的结果的数据进行逐个确认一边对设定为分析规则的参数的阈值进行调整。因此,在调整中需要时间和人手。公开的技术是鉴于上述而完成的,其目的在于提供分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序,能够自动且高效地对分析规则的有效性进行检验并使分析规则适当化。用于解决课题的手段公开的分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整,其特征在于,获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志,根据规定的分析规则和整定条件对获取的通信日志进行分析,对该分析结果进行解析而计算出在规定的分析规则的调整中使用的满足整定条件的整定推荐值。专利技术效果公开的分析规则调整装置、分析规则调整系统、分析规则调整方法以及分析规则调整程序起到如下效果:能够自动且高效地对分析规则的有效性进行检验并使分析规则适当化。附图说明图1是示出第1实施方式的分析规则调整系统的概要的图。图2是用于对包含在由第1实施方式的分析规则调整系统处理的日志中的信息进行说明的图。图3是示出由第1实施方式的分析规则调整系统处理的良性日志的一例的图。图4是示出由第1实施方式的分析规则调整系统处理的恶性日志的一例的图。图5是示出由第1实施方式的日志收集蓄积装置规范化后的日志的一例的图。图6是用于对第1实施方式的分析规则的一例进行说明的图。图7是用于对第1实施方式的整定设定信息的一例进行说明的图。图8是用于对作为第1实施方式的日志分析的结果而得到的分析结果的一例进行说明的图。图9是示出第1实施方式的日志收集存储处理的流程的一例的流程图。图10是示出第1实施方式的分析规则调整处理的流程的一例的流程图。图11是示出第2实施方式的分析规则调整系统的概要的图。图12是用于对作为第2实施方式的日志分析的结果而得到的分析结果的一例进行说明的图。图13是用于对第2实施方式的整定报告的一例进行说明的图。图14是用于对存储在第2实施方式的分析规则存储部中的分析规则集的一例进行说明的图。图15是示出第2实施方式的分析规则调整处理的流程的一例的流程图。图16是用于对第2实施方式的推荐规则集创建处理进行说明的图。图17是示出第3实施方式的分析规则调整系统的概要的图。图18是示出第3实施方式的分析规则调整处理的流程的一例的流程图。图19是示出执行分析规则调整程序的计算机的图。图20是用于对以往技术的非法通信防御方法的一例进行说明的图。具体实施方式以下,根据附图对公开的装置和方法的实施方式进行详细地说明。另外,该专利技术并不仅限定于该实施方式。并且,能够将各实施方式进行适当地组合。(第1实施方式)第1实施方式的分析规则调整系统1(参照图1)对恶性日志和良性日志这两种通信日志进行收集并对这两者应用规定的分析规则,由此,对使用了该分析规则的情况下的非法通信的检测精度进行计算。并且,分析规则调整系统1对分析规则的参数阈值进行推移直到所计算的检测精度成为满足预先确定的容许检测精度的值为止。此时,分析规则调整系统1也可以在预先确定的阈值的范围内对参数阈值进行推移。分析规则调整系统1将在检测精度成为满足预先确定的条件例如容许检测精度的值时的分析规则的参数的阈值作为整定推荐值。并且,分析规则调整系统1根据整定推荐值来更新分析规则。另外,也考虑到由于分析规则和整定条件的设定而无法利用由分析规则调整系统1进行的调整来得到满足条件的分析规则。在该情况下,操作者可以进一步通过手动来进行再调整。并且,也可以设定为不使用该分析规则。【良性日志和恶性日志】对在分析规则的调整中使用的恶性日志和良性日志进行说明。首先,对一般的日志的概要进行说明。例如,在日志中包含有图2所示的信息。图2是用于对包含在由第1实施方式的分析规则调整系统1处理的日志中的信息进行说明的图。如图2所示,在日志中包含有“时间戳”、“LogSource”、“发送源IP地址”、“发送源端口号”、“目的地IP地址”、“目的地端口号”等信息。并且,在日志中包含有“通信协议名称”、“判定结果”、“发送字节数”、“接收字节数”、“URL”、“方法名称”、“UserAgent”、“状态代码”、“持续时间”、“通信方向”等信息。如图2所示,“时间戳”是表示获取该日志的时刻的信息。并且,“LogSource”是指记录了该日志的每个设备的独特的标识符(ID:Identifier)。“发送源IP地址”是表示该通信的发送源IP地址的信息。“发送源端口号”是表示该通信的发送源端口号的信息。“目的地IP地址”是表示该通信的目的地IP地址的信息。“目的地端口号”是表示该通信的目的地端口号的信息。“通信协议名称”是表示该通信的通信协议名称的信息。“判定结果”是表示该通信在设备中的判定结果的信息。“发送字节数”是表示该通信的发送字节数的信息。“接收字节数”是表示该通信的接收字节数的信息。“URL”是表示在该通信为HTTP通信的情况下的目的地URL的信息。“方法名称”是表示在该通信为HTTP通信的情况下的HTT本文档来自技高网...
【技术保护点】
一种分析规则调整装置,其对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整,其特征在于,该分析规则调整装置具有:日志获取部,其获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志;日志分析部,其根据规定的分析规则和整定条件对所述日志获取部获取的通信日志进行分析;以及第1解析部,其对所述日志分析部的分析结果进行解析而计算出在所述规定的分析规则的调整中使用的满足所述整定条件的整定推荐值。
【技术特征摘要】
【国外来华专利技术】2014.03.19 JP 2014-0566601.一种分析规则调整装置,其对用于检测经由网络的非法通信的在通信日志的分析中使用的分析规则进行调整,其特征在于,该分析规则调整装置具有:日志获取部,其获取经由防御对象网络的通信日志和因恶意软件而产生的通信日志;日志分析部,其根据规定的分析规则和整定条件对所述日志获取部获取的通信日志进行分析;以及第1解析部,其对所述日志分析部的分析结果进行解析而计算出在所述规定的分析规则的调整中使用的满足所述整定条件的整定推荐值。2.根据权利要求1所述的分析规则调整装置,其特征在于,所述日志分析部根据包含在规定的分析规则组中的各分析规则来进行分析,所述第1解析部对基于所述规定的分析规则组中包含的各分析规则的分析结果并行地进行解析,并计算出与包含在所述规定的分析规则组中的各分析规则对应的整定推荐值。3.根据权利要求2所述的分析规则调整装置,其特征在于,所述第1解析部将样本识别信息与所述整定推荐值一起输出,该样本识别信息用于唯一识别在应用了该整定推荐值的情况下所检测的样本。4.根据权利要求3所述的分析规则调整装置,其特征在于,该分析规则调整装置还具有:第2解析部,其对由所述第1解析部输出的整定推荐值和样本识别信息进行解析,所述第1解析部针对包含在所述规定的分析规则组中的各分析规则输出整定推荐值和样本识别信息,所述第2解析部根据所述样本识别信息输出削减了包含在所述规定的分析规则组中的分析规则的数量后的推荐规则集。5.根据权利要求3所述的分析规则调整装置,其特征在于,该分析规则调整装置还具有:存储部,其对所述日志分析部的分析结果进行存储,所述第1解析部根据存储在所述存储部中的分析结果,对不同的分析规则的组进行解析。6.根据权利要求1所述的分析规则调整装置,其特征在于,所述日志分析部接收规定范围的参数的指定作为所述整定条件,针对指定的所述规定范围分析所述通信日志。7.根据权利要求1~6的任意一项所述的分析规则调整装置,其特征在于,...
【专利技术属性】
技术研发人员:中田健介,神谷和宪,八木毅,佐藤徹,千叶大纪,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。