[发明专利]安全事件监视设备、方法和程序

权利要求书

1.一种安全事件监视设备，根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志，来检测具体操作，所述安全事件监视设备包括：

存储模块，提前存储在对每个日志执行相关性分析时应用的相关性规则；

日志收集单元，从每个监视目标设备接收每个日志；

相关性分析单元，通过对每个日志应用所述相关性规则，产生场景候选，在所述场景候选中，每个日志彼此关联，并且所述相关性分析单元将所述场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中；

场景候选评估单元，重新计算每个场景候选的重要度；以及

结果显示单元，显示/输出具有重新计算后的高重要度的场景候选，其中，

所述场景候选评估单元包括：

用户关联度评估功能，列举可能已进行了每个场景候选中包含的每个操作的可能用户，以及针对每个操作，计算作为每个用户的相关性的用户关联度；

操作关联度评估功能，计算作为在每个场景候选的每个操作之间的相关性的操作关联度；以及

场景候选重要度重新评估功能，根据所述用户关联度和所述操作关联度，针对每个用户重新计算每个场景候选的重要度。

2.根据权利要求1所述的安全事件监视设备，其中，

所述用户关联度评估功能列举在进行每个场景候选中包含的操作时能够进行针对所述监视目标设备的操作的用户。

3.根据权利要求1所述的安全事件监视设备，其中，

所述用户关联度评估功能通过对外部连接的目录服务设备进行查询，列举被授权进行每个场景候选中包含的操作的用户。

4.根据权利要求1所述的安全事件监视设备，其中，

所述操作关联度评估功能基于提前给出的评估标准，根据作为每个操作的目标的文件之间的相似性，计算所述操作关联度。

5.根据权利要求4所述的安全事件监视设备，其中，

所述操作关联度评估功能使用从以下各项中选出的至少一项作为文件之间的相似性的评估标准：作为每个操作的目标的文件的名称、大小、用户名称、散列值和电子签名。

6.根据权利要求1所述的安全事件监视设备，其中，

所述场景候选重要度重新评估功能通过对与场景候选相对应的每个用户的用户关联度和每个场景候选中包含的每个操作的重要度的乘积的总值和在每个场景候选中包含的每个操作之间的操作关联度、操作的重要度以及每个场景候选的重要度的乘积的总值进行乘积运算，来重新计算每个用户的每个场景候选的重要度。

7.根据权利要求1所述的安全事件监视设备，其中，

所述结果显示单元将具有高重要性的场景候选与针对该场景候选具有高关联度的用户一起显示。

8.一种用于安全事件监视设备的安全事件监视方法，所述安全事件监视设备根据作为在相同局域网上相互连接的多个监视目标设备上进行的操作的记录的日志，来检测具体操作，其中：

日志收集单元从每个监视目标设备接收每个日志；

相关性分析单元通过对每个日志应用相关性规则，产生场景候选，在所述场景候选中，每个日志彼此关联；

所述相关性分析单元将每个场景候选与由所述相关性规则给出的所述场景候选的重要度一起存储到所述存储模块中；

场景候选评估单元的用户关联度评估功能列举可能已进行了每个场景候选中包含的每个操作的可能用户；

所述用户关联度评估功能针对每个操作，计算作为每个用户的相关性的用户关联度；

所述场景候选评估单元的操作关联度评估功能计算作为在每个场景候选的每个操作之间的相关性的操作关联度；

所述场景候选评估单元的场景候选重要度重新计算功能根据所述用户关联度和所述操作关联度，针对每个用户重新计算每个场景候选的重要度；以及

结果显示单元显示/输出具有高重要度的场景候选。