[发明专利]信息处理装置、信息处理方法以及程序

说明书

技术领域

本发明涉及检测对信息系统的攻击的技术。

背景技术

作为对信息系统的攻击，例如存在有针对性的攻击。

在有针对性的攻击中，攻击者伪装成正规用户进行活动，因此难以区分正规的活动和攻击活动。

为了正确地区分正规的活动和攻击活动，需要调整优化用于攻击检测的检测规则。

但是，在以往的集成日志监视中，难以调整优化检测规则以取得攻击的检测遗漏和误检测的平衡。

针对该情况，提出了如下方法：将由于攻击者进行的活动而观测到的事件的推移定义为场景，在观测到依照场景的事件发生的情况下，视作发生了攻击(例如，非专利文献1)。

具体而言，在非专利文献1的方法中，分别针对被认作在有针对性的攻击中发生的多个事件，定义攻击活动定义信息。

在攻击活动定义信息中，定义事件的内容、用于发生事件的先决条件、表示由于事件的发生而期待攻击者得到的新的知识和状态的达成状态等。

对于有针对性的攻击的检测，有针对性的攻击检测S/W(Software：软件)接收从SIEM(Security Information and Event Management：安全信息和事件管理)等的安全设备发送来的事件，在判断为有针对性的攻击的概率较高的情况下，向管理者进行警报。

在尚未达到进行警报程度的概率的情况下，有针对性的攻击检测S/W灵活运用与接收到的事件对应的攻击活动定义信息，预计接下来要发生的事件。

此外，有针对性的攻击检测S/W根据需要使用预计出的事件，对SIEM或监视对象网络上的设备变更监视设定，使得能够进行更详细的监视。

但是，在非专利文献1的方法中，利用攻击活动定义信息的定义方法时存在如下课题：预计接下来要发生的事件大量出现，事件的监视花费较高的负荷。

即，在非专利文献1的方法中，存在如下课题：在作为事件的监视而例如根据日志等来分析攻击的痕迹时，花费较高的检索负荷。

针对该情况，存在使用白名单来预先定义不是监视对象的事件的现有技术(例如，专利文献1～4)。

此外，存在用于将曾经不是监视对象的事件在之后设为监视对象的技术(专利文献5)。

现有技术文献

专利文献

专利文献1：日本特开2006-53788号公报

专利文献2：日本特开2006-65835号公报[日本特许4624181号]

专利文献3：日本特开2006-163931号公报[日本特许4420804号]

专利文献4：日本特开2007-94997号公报[日本特许4619254号]

专利文献5：日本特开2008-59552号公报[日本特许4041845号]

非专利文献

非专利文献1：河内清人、榊原裕之、桜井鐘治“使用了场景的网络攻击检测方式的提案”、SCIS 2014，2014年1月23日

发明内容

发明要解决的课题

在使用白名单的方法中，需要准备按照每个事件定义用于设为不是监视对象的条件的白名单。

被认作在有针对性的攻击中发生的事件的数量庞大，在与按照每个事件定义的白名单进行对照来决定是否将事件设为监视对象的方法中，需要从众多的白名单中检索作为对照对象的白名单。

因此，在使用白名单的方法中，运算负荷高并且需要较长的运算时间。

本发明正是鉴于这种情况而完成的，其主要目的在于，提供一种结构，能够减少决定是否将事件设为监视对象所需的运算负荷和运算时间。

用于解决课题的手段

本发明的信息处理装置具有：

候选事件导出部，其导出成为监视对象候选的事件作为候选事件，所述事件是预计在包含多个系统结构要素的信息系统中发生的事件；

属性确定部，其导出所述多个系统结构要素中的、参与所述候选事件的发生的系统结构要素作为候选系统结构要素，并确定所述候选系统结构要素的属性；以及

监视对象决定部，其对由所述属性确定部确定的所述候选系统结构要素的属性进行分析，决定是否将所述候选事件设为监视对象。

发明效果

在本发明中，根据与事件相比个数大幅度减少的系统结构要素的属性，决定是否将候选事件设为监视对象。

因此，能够减少决定是否将候选事件设为监视对象所需的运算负荷和运算时间。

附图说明

图1是示出实施方式1的信息系统和信息处理装置的结构例的图。

图2是示出实施方式1的信息处理装置的动作例的流程图。