[发明专利]攻击分析系统、协作装置、攻击分析协作方法

说明书

日志分析协作系统(1000)具有：日志记录器(901)，其收集通信设备(904)的日志，将其存储在存储装置中；(SIEM)装置(902)，其检测攻击；以及日志分析装置(903)，对由日志记录器(901)收集的日志进行分析，在日志分析协作系统(1000)中，日志分析协作装置(1)将攻击情景(1104)存储在存储装置中，从(SIEM)装置(902)接收包含检测出的攻击的信息的警告信息(1201)’，基于警告信息(1201)’和攻击情景(1104)，计算预计在检测出的攻击之后要发生的攻击的预计发生时期，向日志分析装置(903)发送时刻表检索(915)，以按计算出的预计发生时期检索日志，日志分析装置(903)向日志记录器(901)发送时刻表检索(916)，以按预计发生时期检索日志。

技术领域

本发明涉及攻击分析系统、协作装置、攻击分析协作方法。尤其是，涉及与攻击检测系统和日志分析系统协作而高效地进行攻击分析的攻击分析系统。

背景技术

近年来，恶意软件将机密信息泄漏到组织外的事故成为问题。使用恶意软件的网络攻击逐渐高度化，例如存在非专利文献1所示的被称作APT(高度且持续的威胁：AdvancedPersistent Threat)的攻击等。

在APT中，通过邮件附件等入侵到组织中的恶意软件感染计算机，进而，与攻击者所运用的互联网上的C&C(Command&Control：命令和控制)服务器进行通信，下载新恶意软件或攻击工具或者更新自身。进而，侦测组织内部，找到文件服务器，将机密文件泄漏到C&C服务器。在将这些各活动视作攻击的情况下，各攻击耗费较长时间而按阶段进行。例如，感染了计算机的恶意软件在感染后1个月不活动而隐藏自身，1个月后才开始与C&C服务器进行通信。

这样，在APT中，多个攻击间隔地进行。

APT的对策存在各种方法。作为APT对策的产品，存在防止基于邮件的侵入的产品、防止信息泄漏的产品等。

此外，作为APT对策的方法之一，存在自动进行日志分析的方法。在自动进行日志分析的方法中，分析计算机、服务器、路由器等网络设备、防火墙、入侵检测系统等安全设备等的日志，调查相互的相关关系，或者从日志中找出异常记录。自动进行日志分析的方法是通过进行这样的分析来检测APT或观察经过过程的方法。

作为通过调查防火墙或入侵检测系统等安全设备的日志等的相关关系调来自动地检测异常的产品的例子，存在SIEM(安全信息和事件管理：Security Information andEvent Management)系统(参照专利文献1)。SIEM系统也被称作整合日志监视系统等。

此外，存在如下日志分析系统：通过各种关键词对各种日志进行向下钻取(drilldown)，或者按时间顺序显示状况变化等，由此，人们发现异常。

在专利文献1中，提出了如下方法：在业务系统用服务器之外，导入中继服务器，在中继服务器中进行用户认证，并收集利用日志。

现有技术文献

专利文献

专利文献1：日本特表2004-537075号公报

[非专利文献]

[非专利文献1]「新しいタイプの攻撃」の对策に向けた設計/運用ガイド，改订第2版，IPA(面向“新型攻击”的对策的设计，运用指南，修订版第2版，IPA)。

发明内容

[发明要解决的问题]

在SIEM系统中，在内存中(on-memory)实时地监视事件(event)，因此，实质不能进行复杂的相关分析或多发事件的相关分析，从而存在不能对APT采用足够的对策这样的问题。