信息處理裝置����、信息處理方法及程序的制作方法
【專利摘要】接收部(111)接收在數(shù)據(jù)處理系統(tǒng)(106)中產(chǎn)生的數(shù)據(jù)通信的日志信息作為通信日志信息��。攻擊終端日志信息確定部(113)從在數(shù)據(jù)處理系統(tǒng)(106)中進(jìn)行的數(shù)據(jù)處理的日志信息即多個處理日志信息中��,根據(jù)通信日志信息�,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息���。在通過攻擊終端日志信息確定部(113)未檢索出相應(yīng)的處理日志信息的情況下�,終端日志信息篡改檢測部(114)判定為多個處理日志信息中的至少一部分處理日志信息已被篡改�����。
【專利說明】
信息處理裝置、信息處理方法及程序
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及信息安全技術(shù)�。
【背景技術(shù)】
[0002]專利文獻(xiàn)I公開了一種用于確定感染了惡意軟件的感染范圍的感染范圍確定裝置。
[0003]專利文獻(xiàn)I的感染范圍確定裝置使用反病毒軟件確定感染了惡意軟件的文件��,并確定訪問了所確定的文件的終端�,由此進(jìn)行感染范圍的確定(專利文獻(xiàn)I)。
[0004]另外�,在專利文獻(xiàn)2中公開了一種使用分組的簽名來確定惡意軟件,并且根據(jù)分組的發(fā)件人/收件人來確定感染路徑的感染路徑確定裝置����。
[0005]另外,在專利文獻(xiàn)3中公開了一種檢測潛伏型惡意軟件的惡意軟件檢測裝置�����。
[0006]專利文獻(xiàn)3的惡意軟件檢測裝置通過捕捉惡意軟件的通信特征����,確定對感染終端發(fā)出指令的服務(wù)器裝置和感染終端。
[0007]另外����,在專利文獻(xiàn)4中公開了一種文件訪問監(jiān)視裝置����,其監(jiān)視惡意軟件的特征性動作即注冊表(registry)和程序的改寫動作�����,而檢測惡意軟件的感染(專利文獻(xiàn)4)�����。
[0008]現(xiàn)有技術(shù)文獻(xiàn)
[0009]專利文獻(xiàn)
[0010]專利文獻(xiàn)1:日本專利第4705961號
[0011]專利文獻(xiàn)2:日本特開2011 —101172號公報
[0012]專利文獻(xiàn)3:日本特開2009 — 110270號公報
[0013]專利文獻(xiàn)4:日本特開2005 —148814號公報
【發(fā)明內(nèi)容】
[0014]發(fā)明要解決的問題
[0015]但是����,專利文獻(xiàn)I?4存在不能應(yīng)對標(biāo)的型攻擊(targeted attack)的問題。
[0016]在標(biāo)的型攻擊中���,攻擊者入侵到數(shù)據(jù)處理系統(tǒng)內(nèi)的終端中�,攻擊者將惡意軟件下載到所入侵的終端中��。
[0017]并且�����,攻擊者使用被下載了惡意軟件的終端�����,在數(shù)據(jù)處理系統(tǒng)內(nèi)擴大惡意軟件的感染范圍�����。
[0018]為了確定基于這樣的標(biāo)的型攻擊的惡意軟件感染范圍����,需要分析終端的日志信息來跟蹤攻擊者入侵終端后的行動。
[0019]但是����,存在攻擊者為了隱藏攻擊者的行動而篡改終端的日志信息的情況。
[0020]在攻擊者篡改了終端的日志信息的情況下����,即使是對篡改后的日志信息進(jìn)行分析,也不能跟蹤攻擊者的行動��。
[0021 ]但是�,如果能夠確定終端日志被篡改,則能夠確定終端被感染���。
[0022]這樣���,在確定惡意軟件的感染范圍時�����,查明日志信息是否被篡改非常重要����。
[0023]本發(fā)明正是鑒于這種情況而提出的�����,其主要目的在于��,得到一種判定日志信息是否被篡改的結(jié)構(gòu)��。
[0024]用于解決問題的手段
[0025]本發(fā)明的信息處理裝置的特征在于�����,該信息處理裝置具有:接收部����,其接收在數(shù)據(jù)處理系統(tǒng)中產(chǎn)生的數(shù)據(jù)通信的日志信息作為通信日志信息�;日志信息檢索部�����,其從在所述數(shù)據(jù)處理系統(tǒng)中進(jìn)行的數(shù)據(jù)處理的日志信息即多個處理日志信息中��,根據(jù)所述通信日志信息��,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息�;以及篡改判定部��,其在通過所述日志信息檢索部未檢索出相應(yīng)的處理日志信息的情況下���,判定為所述多個處理日志信息中至少一部分處理日志信息已被篡改���。
[0026]發(fā)明效果
[0027]根據(jù)本發(fā)明,能夠判定多個處理日志信息中至少一部分的處理日志信息已被篡改的情況�。
【附圖說明】
[0028]圖1是示出實施方式I的系統(tǒng)結(jié)構(gòu)例的圖。
[0029]圖2是示出實施方式I的感染范圍確定裝置的動作例的流程圖���。
[0030]圖3是示出實施方式I的網(wǎng)絡(luò)結(jié)構(gòu)例的圖����。
[0031 ]圖4是示出實施方式I的攻擊腳本檢測信息的示例的圖�。
[0032]圖5是示出實施方式I的終端日志信息(進(jìn)程日志信息)的示例的圖����。
[0033]圖6是示出實施方式I的攻擊終端日志信息(進(jìn)程日志信息)的示例的圖�����。
[0034]圖7是示出實施方式I的終端日志信息(訪問日志信息)的示例的圖�。
[0035]圖8是示出實施方式I的攻擊終端日志信息(訪問日志信息)的示例的圖。
[0036]圖9是示出實施方式I的通信日志信息的示例的圖����。
[0037]圖10是示出實施方式I的攻擊通信日志信息的示例的圖。
[0038]圖11是示出實施方式I的請求的示例的圖�。
[0039]圖12是示出實施方式I的請求的示例的圖。
[0040]圖13是示出實施方式I的終端感染信息的示例的圖�����。
[0041]圖14是示出實施方式I的感染范圍確定裝置的數(shù)據(jù)流程例的圖����。
[0042]圖15是示出實施方式I的感染范圍確定裝置的數(shù)據(jù)流程例的圖。
[0043]圖16是示出實施方式I的感染活動終端日志信息(進(jìn)程日志信息)的示例的圖����。
[0044]圖17是示出實施方式I的感染活動終端日志信息(訪問日志信息)的示例的圖�����。
[0045]圖18是示出實施方式I的感染活動通信日志信息的示例的圖。
[0046]圖19是示出實施方式I的端口編號一覽的示例的圖���。
[0047]圖20是示出實施方式I的請求的示例的圖��。
[0048]圖21是示出實施方式I的請求的示例的圖����。
[0049]圖22是示出實施方式I的請求的示例的圖���。
[0050]圖23是示出實施方式I?4的感染范圍確定裝置的硬件結(jié)構(gòu)例的圖�。
【具體實施方式】
[0051 ]實施方式I
[0052]圖1示出包括本實施方式的感染范圍確定裝置101的系統(tǒng)結(jié)構(gòu)例����。
[0053]感染范圍確定裝置101調(diào)查在數(shù)據(jù)處理系統(tǒng)106中記錄的日志信息有無被篡改。
[0054]并且�,感染范圍確定裝置101確定惡意軟件的感染范圍。
[0055]感染范圍確定裝置101是信息處理裝置的示例���。
[0056]安全設(shè)備103將通信日志信息記錄在通信日志記錄裝置104中��。
[0057]通信日志記錄裝置104例如以圖9所示的形式記錄通信日志信息���。
[0058]在通信日志信息中記述了表示數(shù)據(jù)通信的屬性的通信屬性值�����,如日期����、時刻��、狀態(tài)����、服務(wù)、訪問源主機�����、訪問目標(biāo)主機����、通信協(xié)議、訪問源端口、訪問目標(biāo)端口��。
[0059]安全設(shè)備103例如可以考慮FW(Fire Wal 1:防火墻)����、IDS/IPS (Intrus 1nDetect1n System/Intrus1n Prevent1n System:入侵檢測系統(tǒng)/入侵防御系統(tǒng))、或代理服務(wù)器����。
[0060]攻擊檢測裝置102對記錄在通信日志記錄裝置104中的通信日志信息進(jìn)行分析來檢測攻擊��。
[0061]并且����,攻擊檢測裝置102將與檢測出的攻擊相關(guān)的數(shù)據(jù)通信(以下稱為攻擊數(shù)據(jù)通信)的通信日志信息,作為攻擊通信日志信息發(fā)送給感染范圍確定裝置101�����。
[0062]例如�,攻擊檢測裝置102將圖10所示的攻擊通信日志信息發(fā)送給感染范圍確定裝置 101。
[0063]并且�����,作為分析通信日志信息的結(jié)果,例如攻擊檢測裝置102在圖4所示的攻擊腳本檢測信息中����,按照每個客戶端終端121和每個服務(wù)器終端122記錄攻擊的進(jìn)展程度。
[0064]在圖4中�����,“1.攻擊裝備”是攻擊者瀏覽作為標(biāo)的組織的網(wǎng)頁����、根據(jù)組織發(fā)行的小冊子等生成標(biāo)的型郵件、和/或生成適合于組織的惡意軟件的階段��。
[0065]“2.初期潛入”是攻擊者通過標(biāo)的型郵件等接觸成為標(biāo)的的組織并植入惡意軟件的階段�����。
[0066]“3.攻擊基礎(chǔ)構(gòu)建”是惡意軟件起動而構(gòu)建信息收集所需要的攻擊基礎(chǔ)的階段��,包括在一個終端中點擊標(biāo)的型攻擊所附帶的惡意軟件和/或URL等��,惡意軟件感染組織的階段���。
[0067]“4.系統(tǒng)調(diào)查階段”是攻擊者從感染了惡意軟件的終端進(jìn)行公司內(nèi)部系統(tǒng)的調(diào)查的階段����,是為了取得更重要的信息而不斷地使其它終端感染的階段。
[0068]“5.最終目的達(dá)成階段”是產(chǎn)生信息的泄露和/或系統(tǒng)破壞的階段�。
[0069]在圖4中,“有攻擊”表示根據(jù)通信日志信息檢測出攻擊的情況����,“沒有攻擊”表示根據(jù)通信日志信息未檢測出攻擊的情況,“有征兆”表示根據(jù)通信日志信息檢測出攻擊征兆的情況��。
[0070]在圖4中示出例如根據(jù)通信日志信息對客戶端終端121a檢測出攻擊階段I?3的攻擊的征兆��,并檢測出攻擊階段4的攻擊�,但是未檢測出攻擊階段5的攻擊的情況�。
[0071]監(jiān)視裝置107顯示利用感染范圍確定裝置101得到的惡意軟件的感染范圍。
[0072]在通過攻擊檢測裝置102檢測出攻擊時�����,網(wǎng)絡(luò)安全管理員能夠從監(jiān)視裝置107確認(rèn)受害范圍的確定結(jié)果���。
[0073]數(shù)據(jù)處理系統(tǒng)106由多個客戶端終端121和多個服務(wù)器終端122構(gòu)成��。
[0074]在不需要區(qū)分客戶端終端121和服務(wù)器終端122時�,將兩者統(tǒng)稱為終端。
[0075]在數(shù)據(jù)處理系統(tǒng)106中�,按照每個客戶端終端121設(shè)有客戶端終端日志記錄裝置131,并且按照每個服務(wù)器終端122設(shè)有服務(wù)器終端日志記錄裝置132��。
[0076]客戶端終端121將在客戶端終端121進(jìn)行的數(shù)據(jù)處理的日志信息即終端日志信息存儲在客戶端終端日志記錄裝置131中��。
[0077]并且�����,服務(wù)器終端122將在服務(wù)器終端122進(jìn)行的數(shù)據(jù)處理的日志信息即終端日志信息存儲在服務(wù)器終端日志記錄裝置132中�。
[0078]客戶端終端日志記錄裝置131和服務(wù)器終端日志記錄裝置132相當(dāng)于處理日志信息數(shù)據(jù)庫的示例。
[0079]終端日志信息包括圖5所示的進(jìn)程日志信息和圖7所示的訪問日志信息�。
[0080]在進(jìn)程日志信息和訪問日志信息中分別記述了表示在客戶端終端121或者服務(wù)器終端122中的數(shù)據(jù)處理的屬性的處理屬性值。
[0081]即�,在進(jìn)程日志信息中,如圖5所示��,記述了日期��、時亥I」�、主機名稱、用戶(賬號)����、進(jìn)程(執(zhí)行文件)這樣的處理屬性值����。
[0082]另外����,在訪問日志信息中,如圖7所示��,記述了日期���、時刻����、訪問源主機��、訪問目標(biāo)主機��、訪問源用戶�、訪問目標(biāo)用戶�����、訪問文件�、事件這樣的處理屬性值��。
[0083]以下�����,將進(jìn)程日志信息也表述為終端日志信息(進(jìn)程日志信息)���,將訪問日志信息也表述為終端日志信息(訪問日志信息)。
[0084]并且��,在不需要區(qū)分終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)時����,將兩者統(tǒng)稱為終端日志信息。
[0085]終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)相當(dāng)于處理日志信息的示例����。
[0086]圖1所示的各要素例如按照圖3所示進(jìn)行連接。
[0087 ] 在圖3中��,交換機108連接數(shù)據(jù)處理系統(tǒng)106內(nèi)的客戶端終端121及服務(wù)器終端122�����、感染范圍確定裝置101�、攻擊檢測裝置102和安全設(shè)備103����。
[0088]安全設(shè)備103與互聯(lián)網(wǎng)109連接����,對數(shù)據(jù)處理系統(tǒng)106內(nèi)的客戶端終端121及服務(wù)器終端122與互聯(lián)網(wǎng)109之間的數(shù)據(jù)通信進(jìn)行中繼。
[0089]并且����,安全設(shè)備103對于客戶端終端121及服務(wù)器終端122與互聯(lián)網(wǎng)109之間的數(shù)據(jù)通信,將通信日志信息存儲在通信日志記錄裝置104中���。
[0090]下面���,說明圖1所示的感染范圍確定裝置101的內(nèi)部結(jié)構(gòu)。
[0091 ]接收部111從攻擊檢測裝置102接收攻擊通信日志信息�。
[0092]發(fā)送部112向監(jiān)視裝置107發(fā)送表示惡意軟件的感染范圍的終端感染信息。
[0093]終端感染信息例如是圖13所示的信息����。
[0094]在終端感染信息中�,按照每個客戶端終端121、每個服務(wù)器終端122示出了被檢測出惡意軟件的感染或者日志的篡改的日期����、時刻�����、有無感染惡意軟件�����、有無日志篡改�����、攻擊用戶�、檢測出的惡意軟件和攻擊階段(圖4的攻擊階段)�����。
[0095]攻擊終端日志信息確定部113根據(jù)接收部111接收到的攻擊通信日志信息�,從客戶端終端日志記錄裝置131及服務(wù)器終端日志記錄裝置132的終端日志信息(進(jìn)程日志信息)及終端日志信息(訪問日志信息)中,檢索與攻擊數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的終端日志信息����。
[0096]作為與攻擊數(shù)據(jù)通信相關(guān)的終端日志信息,將攻擊終端日志信息確定部113檢索出的終端日志信息(進(jìn)程日志信息)稱為攻擊終端日志信息(進(jìn)程日志信息)。
[0097]并且�����,作為與攻擊數(shù)據(jù)通信相關(guān)的終端日志信息����,將攻擊終端日志信息確定部113檢索出的終端日志信息(訪問日志信息)稱為攻擊終端日志信息(訪問日志信息)。
[0098]例如����,攻擊終端日志信息確定部113檢索圖6所示的攻擊終端日志信息(進(jìn)程日志信息),并且檢索圖8所示的攻擊終端日志信息(訪問日志信息)��。
[0099]另外����,在不需要區(qū)分攻擊終端日志信息(進(jìn)程日志信息)和攻擊終端日志信息(訪問日志信息)時,將兩者統(tǒng)稱為攻擊終端日志信息����。
[0100]攻擊終端日志信息確定部113相當(dāng)于日志信息檢索部的示例。
[0101 ]終端日志信息篡改檢測部114在攻擊終端日志信息確定部113未檢索出攻擊終端日志信息的情況下�,判定為終端日志信息被篡改。
[0102]更具體地講�����,終端日志信息篡改檢測部114判定為利用攻擊通信日志信息通知的客戶端終端121或者服務(wù)器終端122的終端日志信息被篡改���。
[0103]在攻擊者通過攻擊數(shù)據(jù)通信入侵了終端的情況下��,在終端進(jìn)行惡意軟件的下載等數(shù)據(jù)處理��。因而通常這樣的數(shù)據(jù)處理的歷史記錄會殘留在終端日志信息中����。
[0104]因此���,如果沒有終端日志信息的篡改�����,記述了根據(jù)攻擊數(shù)據(jù)通信而產(chǎn)生的數(shù)據(jù)處理的終端日志信息應(yīng)該作為攻擊終端日志信息被檢索出來�。
[0105]在未檢索出攻擊終端日志信息的情況下��,可以推測為攻擊者為了隱藏行動而篡改了終端日志信息�。
[0106]因此�����,終端日志信息篡改檢測部114在攻擊終端日志信息確定部113未檢索出攻擊終端日志信息的情況下,判定為終端日志信息被篡改���。
[0107]并且����,終端日志信息篡改檢測部114在攻擊終端日志信息確定部113未檢索出攻擊終端日志信息的情況下��,判定為利用攻擊通信日志信息通知的客戶端終端121或者服務(wù)器終端122感染了惡意軟件�����。
[0108]例如��,設(shè)想在接收部111接收到圖10的攻擊通信日志信息的情況下���,攻擊終端日志信息確定部113即使根據(jù)圖10的攻擊通信日志信息檢索終端日志信息�����,也檢測不出相應(yīng)的攻擊日志信息��。
[0109]在這種情況下���,終端日志信息篡改檢測部114判定為利用攻擊通信日志信息通知的客戶端終端121a的終端日志信息被篡改���,并且判定為客戶端終端121a感染了惡意軟件����。
[0110]另外,終端日志信息篡改檢測部114相當(dāng)于篡改判定部的示例�。
[0111]在通過終端日志信息篡改檢測部114判定為終端日志信息未被篡改的情況下,攻擊用戶確定部115確定參與了所有的攻擊階段的用戶(攻擊用戶)����,將記述有攻擊用戶的攻擊用戶信息發(fā)送給感染活動確定部116。
[0112]例如�����,在圖6的攻擊終端日志信息D221及圖8的攻擊終端日志信息D321中����,客戶端終端121a的用戶即uSerl21al是參與了攻擊階段2、3��、4的所有攻擊階段(攻擊階段I未保留在日志中�����,因而不包含在左側(cè)記述中)、并參與了一系列的標(biāo)的型攻擊的用戶��。
[0113]因此�,攻擊用戶確定部115將userl21al視為攻擊用戶。
[0114]感染活動確定部116從攻擊用戶確定部115接收攻擊用戶信息�,并確定攻擊用戶進(jìn)行了感染活動的范圍。
[0115]具體而言����,感染活動確定部116檢測如圖16的感染活動終端日志信息(進(jìn)程日志信息)D24Kftp.exe是用于文件傳輸?shù)倪M(jìn)程)和/或圖17的感染活動終端日志信息(訪問日志信息)D341那樣,攻擊用戶向其它終端的文件傳輸�。
[0116]另外,在如圖5的終端日志信息(進(jìn)程日志信息)的記錄D216那樣所傳輸?shù)奈募窃趥鬏斈繕?biāo)側(cè)執(zhí)行的情況下���、或如圖17的感染活動終端日志信息(訪問日志信息)的記錄D352那樣所傳輸?shù)奈募趥鬏斈繕?biāo)側(cè)作為終端文件被訪問的情況下��,感染活動確定部116能夠判定為已感染����。
[0117]感染活動確定部116相當(dāng)于設(shè)備確定部的示例���。
[0118]下面����,參照圖2、圖14及圖15說明本實施方式的感染范圍確定裝置1I的動作例�。
[0119]另外,圖2是示出感染范圍確定裝置101的動作例的流程圖����。
[0120]此外����,圖14及圖15示出感染范圍確定裝置101的數(shù)據(jù)流。
[0121]首先����,在確定感染范圍之前,攻擊檢測裝置102根據(jù)通信日志信息進(jìn)行攻擊檢測�����。
[0122]攻擊檢測裝置102從安全設(shè)備103管理的通信日志記錄裝置104提取分析所需要的通信日志信息D401�,并進(jìn)行提取出的通信日志信息D401的分析。
[0123]分析的結(jié)果是����,攻擊檢測裝置102確定攻擊通信日志信息D421��,并向感染范圍確定裝置101發(fā)送攻擊通信日志信息D421 (F101)��。
[0124]另外����,攻擊檢測裝置102的攻擊檢測的方法可以是任何方法��。
[0125]在SlOl中�����,感染范圍確定裝置101的接收部111接收從攻擊檢測裝置102發(fā)送的攻擊通信日志信息D421 (F101)����。
[0126]并且,接收部111向攻擊終端日志信息確定部113發(fā)送攻擊通信日志信息D4 21(F102)�����。
[0127]下面���,假定接收部111接收到圖10的攻擊通信日志記錄D431?433作為攻擊通信日志信息D421進(jìn)行說明����。
[0128]其中,攻擊通信日志記錄D431是如下的記錄�����,在該記錄中���,作為攻擊階段記述了2����,作為訪問目標(biāo)主機記述了客戶端終端121a����,并且由攻擊檢測裝置102根據(jù)攻擊腳本檢測信息DlOl的記錄Dl 11判定為“有征兆” ο
[0129]另外�����,攻擊通信日志記錄D432是如下的記錄���,在該記錄中���,作為攻擊階段記述了3,作為訪問源主機記述了客戶端終端121a�,并同樣由攻擊檢測裝置102根據(jù)攻擊腳本檢測信息DlOl的記錄Dl 11判定為“有征兆” ο
[0130]此外����,攻擊通信日志記錄D433是如下的記錄����,在該記錄中,作為攻擊階段記述了4��,作為訪問源主機記述了客戶端終端121a���,并同樣由攻擊檢測裝置102根據(jù)攻擊腳本檢測信息DlOl的記錄Dl 11判定為“有攻擊”����。
[0131 ]在S102中���,攻擊終端日志信息確定部113檢索與攻擊通信日志信息D421對應(yīng)的攻擊終端日志信息����。
[0132]首先����,攻擊終端日志信息確定部113從接收部111接收攻擊通信日志信息D421(F102)。
[0133]并且,攻擊終端日志信息確定部113為了取得與攻擊通信日志信息D421相關(guān)的攻擊終端日志信息����,向接收部111發(fā)送攻擊終端日志(進(jìn)程日志)確定用請求RlOl(以下,也簡稱為請求R101)和攻擊終端日志(訪問日志)確定用請求Rlll (以下�����,也簡稱為請求Rill)(F103)�。
[0134]攻擊終端日志信息確定部113根據(jù)攻擊通信日志信息D421生成例如圖11所示的請求RlOl和圖12所示的請求Rlll。
[0135]其中��,當(dāng)在圖5的終端日志信息(進(jìn)程日志信息)D201(以下也稱為終端日志D201)�、圖7的終端日志信息(訪問日志信息)D301(以下也稱為終端日志D301)中記載了通信端口信息的情況下,攻擊終端日志信息確定部113生成與端口編號對應(yīng)的請求RlOl及請求Rlll即可����。
[0136]但是���,在不能從終端日志信息(進(jìn)程日志信息)D201和終端日志信息(訪問日志信息)D301取得端口編號的情況下��,攻擊終端日志信息確定部113通過與端口編號對應(yīng)的應(yīng)用����,生成請求Rl OI及請求Rlll。
[0137]端口編號和應(yīng)用例如與圖19的端口編號一覽表LlOl相對應(yīng)����。
[0138]攻擊通信日志記錄D433(圖10)的訪問目標(biāo)端口是20,使用20號端口進(jìn)行訪問的進(jìn)程根據(jù)端口編號一覽LlOl(圖19)是“進(jìn)程= ftp.exe”���,因而與攻擊通信日志記錄D433對應(yīng)的攻擊終端日志(進(jìn)程日志)記錄是D233 (圖6)�����。
[0139]另外�����,使用通信端口是考慮到存在文件的移動����,因而根據(jù)“事件=移動(move)”��,與攻擊通信日志記錄D433對應(yīng)的攻擊終端日志(訪問日志)記錄是D333(圖8)����。
[0140]另外,當(dāng)在終端日志D201����、D301中記載了服務(wù)的情況下�����,攻擊終端日志信息確定部113生成與攻擊通信日志D421(圖10)記載的服務(wù)對應(yīng)的請求即可����。
[0141]請求RlOURl11是記述了檢索條件的檢索命令�����,該檢索條件用于檢索與攻擊通信日志D421相關(guān)的攻擊終端日志信息�����。
[0142]另外��,關(guān)于請求R10UR111的詳細(xì)情況將在后面進(jìn)行說明�。
[0143]接收部111從攻擊終端日志信息確定部113接收請求RlOl、R111(F103)�,接收部111向數(shù)據(jù)處理系統(tǒng)106發(fā)送請求RlOURl 11 (F104)����。
[0144]數(shù)據(jù)處理系統(tǒng)106從接收部111接收請求RlOl、R111(F104),根據(jù)終端日志信息(進(jìn)程日志信息)D201����、終端日志信息(訪問日志信息)D301,檢索適合于請求RlOl���、R111的終端日志信息�。
[0145]數(shù)據(jù)處理系統(tǒng)106在檢索出適合于請求R10UR111的終端日志信息的情況下�����,向接收部111發(fā)送作為檢索結(jié)果的攻擊終端日志信息D221�、D321(圖6、圖8)(F105)����。
[0146]接收部111在從數(shù)據(jù)處理系統(tǒng)106接收到攻擊終端日志信息D221、D321時����,向攻擊終端日志信息確定部113發(fā)送攻擊終端日志信息D221、D321 (F106)�。
[0147]攻擊終端日志信息確定部113在從接收部111接收到攻擊終端日志信息D22UD321時,向終端日志信息篡改檢測部114發(fā)送攻擊通信日志信息D421和攻擊終端日志信息D221��、D321(F107)o
[0148]另外,當(dāng)在數(shù)據(jù)處理系統(tǒng)106中未檢索出適合于請求R10UR111的終端日志信息的情況下���,從數(shù)據(jù)處理系統(tǒng)106向接收部111發(fā)送“未檢索出”的消息�,并從接收部111轉(zhuǎn)發(fā)給攻擊終端日志信息確定部113���。
[0149]在此��,說明請求RlOl��。
[0150]如圖11所示���,在請求RlOl中包含關(guān)于日期、時刻�、主機名稱、進(jìn)程名稱(端口編號)等的檢索條件�。
[0151]攻擊終端日志信息確定部113根據(jù)攻擊通信日志記錄D433的日期和時刻即“2013/07/31 20:30:02”,使在請求RlOl中包含“日期= 2013/07/31”和“時刻在20:29:52與20:30:12之間”的檢索條件����。
[0152]取得通信日志信息的設(shè)備和取得終端日志信息的設(shè)備不同,因而在通信日志信息的取得時刻與終端日志信息的取得時刻之間有可能產(chǎn)生時間偏差�����。
[0153]因此�����,攻擊終端日志信息確定部113以能夠吸收這樣的容許誤差(在圖11的示例中是10秒)的方式來決定日期及時刻的檢索條件����。
[0154]例如,圖6的攻擊終端日志記錄D213的時刻在容許誤差范圍內(nèi)����,因而提取攻擊終端日志記錄D213作為攻擊終端日志信息(進(jìn)程日志信息)D221。
[0155]同樣��,圖7的攻擊終端日志記錄D313的時刻也在容許誤差范圍內(nèi)���,因而提取攻擊終端日志記錄D313作為攻擊終端日志信息(訪問日志信息)D321�����。
[0156]并且�����,攻擊終端日志信息確定部113將用于確定攻擊通信日志記錄D433的訪問源主機的ID (I den t i f i er)即“客戶端終端121 a”的“主機名稱=客戶端終端121 a”和端口編號“20”以及“進(jìn)程=ftp.exe”���,作為檢索條件包含在請求RlOl中���。
[0157]“進(jìn)程= ftp.eXe”是按照端口編號一覽表LlOl(圖19)從與端口編號20對應(yīng)的進(jìn)程即“FTP”得到的。
[0158]下面���,說明請求Rlll��。
[0159]如圖12所示����,在請求Rlll中包含關(guān)于日期�����、時刻�����、訪問源主機名稱���、訪問目標(biāo)主機名稱等的檢索條件�����。
[0160]關(guān)于日期���、時刻,與請求RlOl—樣�。
[0161]關(guān)于訪問源主機,攻擊終端日志信息確定部113將通信日志記錄D433(圖10)的訪問源主機的ID即“客戶端終端121a”��,作為檢索條件包含在請求RlOl中�����,關(guān)于訪問目標(biāo)主機�,將通信日志記錄D433(圖10)的訪問目標(biāo)主機的ID即“服務(wù)器122a”,作為檢索條件包含在請求RlOl中���。
[0162]然后�,在S103中�,終端日志信息篡改檢測部114判定終端日志信息是否已被篡改。
[0163]S卩����,終端日志信息篡改檢測部114從攻擊終端日志信息確定部113接收攻擊通信日志信息D421和攻擊終端日志信息D221、D321或者“未檢索出”的消息(F107)���。
[0164]在接收到攻擊終端日志信息D221�、D321的情況下,終端日志信息篡改檢測部114判定為終端日志信息沒有篡改��。
[0165]另一方面����,在接收到“未檢索出”的消息的情況下,終端日志信息篡改檢測部114判定為終端日志信息被篡改����。
[0166]更具體地講,終端日志信息篡改檢測部114判定在攻擊通信日志信息D421中記述的終端(在圖10的示例中是客戶端終端121a)的終端日志信息被篡改�,并且判定該終端感染了惡意軟件。
[0167]在此�����,客戶端終端121a由于檢測出與攻擊通信日志對應(yīng)的攻擊終端日志�,因而視為未被篡改。
[0168]如果終端日志信息未被篡改�����,則終端日志信息篡改檢測部114通知攻擊用戶確定部115終端日志沒有被篡改(Fl08)。
[0169]另一方面��,如果終端日志信息被篡改�����,則終端日志信息篡改檢測部114通知感染活動確定部116存在篡改的情況(Fl 17)�。
[0170]如果終端日志信息沒有被篡改(S103:否),在S104中����,攻擊用戶確定部115確定攻擊用戶�����。
[0171]首先����,攻擊用戶確定部115從終端日志信息篡改檢測部114接收用于通知終端日志信息未被篡改的消息和攻擊終端日志信息D221、D321 (F108)���,根據(jù)攻擊終端日志信息D221�、D321確定攻擊用戶���。
[0172]并且�,攻擊用戶確定部115提取所有參與了攻擊階段的攻擊用戶,確定進(jìn)行了由攻擊檢測裝置102檢測出的攻擊的攻擊用戶�。
[0173]并且,攻擊用戶確定部115向感染活動確定部116發(fā)送表示所確定的攻擊用戶的攻擊用戶信息(F109) ο
[0174]另一方面����,如果終端日志信息有篡改(S103:是),則由于不能確定攻擊用戶����,因而不進(jìn)行攻擊用戶的確定(S104),而進(jìn)行感染活動的確定(S105)����。
[0175]當(dāng)不存在與攻擊通信日志記錄D433有關(guān)的攻擊終端日志記錄D233、D333的情況下�,由于日志被篡改,因而不能確定攻擊用戶�����。
[0176]因此�,感染活動確定部116在從攻擊階段3起的通信日志信息D401(圖9)中、檢測從終端日志被篡改的終端向其它終端的訪問�,將被訪問的終端作為有可能感染惡意軟件的終端�。
[0177]在該例中����,感染活動確定部116從接收部111向通信日志記錄裝置104發(fā)送圖22的請求R221,并從通信日志記錄裝置104取得所需要的通信日志401����,由此能夠確定對其它終端的感染活動。
[0178]即使是在沒有日志篡改的情況下����,在S105中,感染活動確定部116也確定對其它終端的感染活動�����。
[0179]在沒有日志篡改的情況下�����,首先��,感染活動確定部116從攻擊用戶確定部115接收攻擊用戶信息(F109)��。
[0180]感染活動確定部116向接收部111發(fā)送請求R201�、R211(圖20、圖21)�,以便取得與攻擊用戶的感染活動相關(guān)的感染活動終端日志信息(惡意軟件傳輸)(F110)。
[0181]接收部111從感染活動確定部116接收請求1?201���、1?211$110)�����,向數(shù)據(jù)處理系統(tǒng)106發(fā)送請求1?201���、1?211$111)。
[0182]數(shù)據(jù)處理系統(tǒng)106接收請求R201���、R211(Fl 11)�����,根據(jù)終端日志信息向接收部111發(fā)送對應(yīng)于請求R201����、R211的感染活動終端日志信息(Fl 12)�����。
[0183]接收部111從數(shù)據(jù)處理系統(tǒng)106接收攻擊終端日志信息(Fl12),將接收到的攻擊終端日志信息發(fā)送給感染活動確定部116 (Fl 13)���。
[0184]在此����,說明請求R201和請求R211���。
[0185]請求R201和請求R211是用于從終端日志信息中確定從感染終端向其它終端的感染活動的請求���。
[0186]請求R201是用于從終端日志信息(進(jìn)程日志信息)D201(圖5)中確定攻擊用戶對攻擊階段4的執(zhí)行的請求。
[0187]攻擊階段4是與對其它終端的感染活動相關(guān)的攻擊階段�,感染活動確定部116確定攻擊用戶是否進(jìn)行了攻擊階段4,由此確定感染活動����。
[0188]根據(jù)請求R201���,確定終端日志信息(進(jìn)程日志信息)記錄D214(圖5)�。
[0189]所確定的終端日志信息(進(jìn)程日志信息)記錄D214被登記在感染活動終端日志信息(進(jìn)程日志信息)記錄D241中(圖16)���。
[0190]另外���,請求R211是從終端日志信息(訪問日志信息)記錄D301(圖7)中確定從攻擊階段3起感染終端訪問了其它終端的情況的請求��。
[0191]在攻擊終端日志(訪問日志信息)D321(圖8)中�,攻擊階段3的日志是記錄D332���,因而感染活動確定部116搜索在“2013/05/05 12:00:00”以后從作為感染終端的客戶端終端121a的攻擊用戶即Userl22al進(jìn)行了文件發(fā)送(移動)的數(shù)據(jù)處理系統(tǒng)106中的終端��。
[0192]根據(jù)請求R211���,確定終端日志信息(訪問日志信息)記錄D313、D314(圖7)����。
[0193]由此,感染活動確定部116確定客戶端終端121a的攻擊用戶即userl22al向服務(wù)器終端122a發(fā)送了惡意軟件的情況����。
[0194]服務(wù)器終端122a感染惡意軟件的可能性比較大。
[0195]所確定的終端日志信息(訪問日志信息)記錄D313����、D314被登記在感染活動終端日志信息(訪問日志信息)記錄D341 (圖17)中。
[0196]另一方面�,在日志被篡改的情況下�,由于不能利用終端日志信息�,因而感染活動確定部116利用通信日志信息(圖9)確定感染范圍。
[0197]首先�����,感染活動確定部116從終端日志信息篡改檢測部114接收有篡改的信息(F117)�����。
[0198]感染活動確定部116向接收部111發(fā)送請求R221���,以便取得感染活動通信日志信息(惡意軟件傳輸)(FllO)�。
[0199]接收部111從感染活動確定部116接收請求R221(F110)����,向攻擊檢測裝置102發(fā)送請求 R221(F118)。
[0200]攻擊檢測裝置102接收請求R221(F118)���,根據(jù)通信日志信息從通信日志記錄裝置104中檢索與請求R221對應(yīng)的感染活動通信日志信息D441(圖18)��,將檢索出的感染活動通信日志信息D441 (圖18)發(fā)送給接收部111 (Fl 19)。
[0201 ]接收部111從攻擊檢測裝置102接收感染活動通信日志信息D441 (圖18) (Fl 19)�,將接收到的感染活動通信日志信息D441(圖18)發(fā)送給感染活動確定部116(F113)�����。
[0202]在此���,說明請求R221。
[0203]請求R221是從通信日志信息(圖9)中確定從感染終端向其它終端的感染活動的請求�����。
[0204]請求R221是確定從攻擊階段3起感染終端訪問了其它終端的情況的請求�。
[0205]在攻擊通信日志信息(圖10)中,攻擊階段3的日志是記錄D432,因而感染活動確定部116搜索在“2013/05/05 12:00:00”以后被作為感染終端的客戶端終端121a訪問過的數(shù)據(jù)處理系統(tǒng)106中的終端。
[0206]根據(jù)請求R221確定通信日志信息(圖9)的記錄D414�。
[0207]由此,感染活動確定部116確定有可能從客戶端終端121a向服務(wù)器終端122a發(fā)送了惡意軟件的情況���。
[0208]服務(wù)器終端122a感染惡意軟件的可能性比較大。
[0209]所確定的通信日志信息的記錄D414被登記在感染活動日志信息D441(圖18)中�。
[0210]在感染活動確定部116檢測出對其它終端的感染活動的情況下(S106:是),感染活動確定部116在日志未被篡改時向攻擊終端日志信息確定部113發(fā)送在S105中接收到的感染活動終端日志信息D241����、D341,在日志已被篡改時向攻擊終端日志信息確定部113發(fā)送在S105中接收到的感染活動通信日志信息D441 (Fl 14)�����。
[0211 ]并且,攻擊終端日志信息確定部113在從感染活動確定部116接收到感染活動終端日志信息D241�����、D341或者感染活動通信日志信息D441時(F114)�,對與作為感染活動目標(biāo)的終端(如果是感染活動終端日志信息(訪問日志信息)D351,則指服務(wù)器終端122a)相關(guān)的終端日志信息��,反復(fù)執(zhí)行從S102起的處理���。
[0212]S卩�,反復(fù)執(zhí)行基于攻擊終端日志信息確定部113進(jìn)行的終端日志信息的檢索和基于感染活動確定部116進(jìn)行的有可能感染惡意軟件的終端的確定�。
[0213]在S102中,攻擊終端日志信息確定部113根據(jù)攻擊通信日志信息D421確定攻擊終端日志信息D221���、D321��,但對于作為感染活動目標(biāo)的終端而言����,在S106中確定出的感染活動終端日志信息D241、D341和/或感染活動通信日志信息D441相當(dāng)于初期潛入(發(fā)送了惡意軟件)階段的攻擊�����。
[0214]因此����,攻擊終端日志信息確定部113對攻擊終端日志信息D221�、0321和/或攻擊通信日志信息D421附加攻擊階段2的標(biāo)簽,并追加對攻擊終端日志信息D221�、D321和/或攻擊通信日志信息D421附加了上述標(biāo)簽的感染活動終端日志信息D241、D341和/或攻擊通信日志信息D441的記錄���。
[0215]另一方面��,感染活動確定部116在未檢測出對其它終端的感染活動的情況下(S106:否)���,將與迄今為止發(fā)現(xiàn)的感染終端相關(guān)的記錄登記在終端感染信息D501中(圖13)。
[0216]例如����,感染活動確定部116在終端感染信息D501中登記終端感染記錄D511?D516等。
[0217]并且���,感染活動確定部116向發(fā)送部112發(fā)送終端感染信息D501(Fl 15)�����。
[0218]發(fā)送部112在從感染活動確定部116接收到終端感染信息D501時(F115)���,向監(jiān)視裝置107發(fā)送終端感染信息D501�����。
[0219]監(jiān)視裝置107在從發(fā)送部112接收到終端感染信息D501時��,在顯示器中顯示終端感染信息D501�����。
[0220]由此����,網(wǎng)絡(luò)安全管理員能夠確認(rèn)客戶端終端121a�����、122b����、121d���、服務(wù)器終端122a感染了惡意軟件的情況。
[0221 ]如上所述���,在本實施方式中,終端日志信息篡改檢測部114使用攻擊通信日志信息判定終端日志信息是否被不正當(dāng)篡改�����,因而能夠檢測攻擊者的攻擊隱藏活動����。
[0222]并且,通過檢測終端日志信息的篡改�,能夠利用日志信息的分析以外的方法盡早確定惡意軟件的感染范圍。
[0223]此外��,在本實施方式中��,根據(jù)日志追蹤攻擊者入侵終端后的行動��,例如能夠用于被稱為RAT(Remote Administrat1n Tool:遠(yuǎn)程管理工具)的惡意軟件感染范圍的確定���。
[0224]此外�,在本實施方式中,能夠按照每個終端保存終端日志信息����,因而不需要從終端定期向日志服務(wù)器上傳日志信息,能夠抑制數(shù)據(jù)處理系統(tǒng)內(nèi)的業(yè)務(wù)�����。
[0225]此外��,對于用戶而言不需要始終監(jiān)視終端內(nèi)的操作�,因而不會感覺到精神上的壓力。
[0226]此外�����,通過確定攻擊用戶�,能夠掌握攻擊用戶的一系列的攻擊內(nèi)容。
[0227]此外�����,如果不是攻擊用戶���,則即使確定為是與如執(zhí)行文件傳輸那樣的攻擊相似的日志�,也由于與攻擊無關(guān),而能夠減少錯誤通知����。
[0228]攻擊終端日志信息確定部113也可以在終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)中追加所訪問的文件的信息,使終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)相對應(yīng)�。
[0229]此外,攻擊終端日志信息確定部113也可以在終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)中追加進(jìn)程ID�,使終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)相對應(yīng)。
[0230]此外����,即使是不能在終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)中追加信息的情況下�����,攻擊終端日志信息確定部113也可以根據(jù)終端日志信息(進(jìn)程日志信息)的進(jìn)程和終端日志信息(訪問日志信息)的訪問文件和事件��,估計對應(yīng)的終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)����。
[0231 ]根據(jù)上述的終端日志信息(進(jìn)程日志信息)和終端日志信息(訪問日志信息)的對應(yīng)關(guān)系,僅通過與終端日志信息(進(jìn)程日志信息)有關(guān)的請求或者與終端日志信息(訪問日志信息)有關(guān)的請求����,即可取得攻擊終端日志信息和/或感染終端日志信息�����。
[0232]此外����,在攻擊通信日志信息和終端日志信息中記載的訪問源主機和訪問目標(biāo)主機也可以分別用訪問源IP(Internet Protocol:互聯(lián)網(wǎng)協(xié)議)地址和訪問目標(biāo)IP地址進(jìn)行定義�����。
[0233]即使是通信日志信息記錄了主機名稱��、終端日志信息記錄了IP地址�����,攻擊終端日志信息確定部113也能夠通過利用主機名稱和IP地址的對應(yīng)表����,將攻擊通信日志信息和終端日志信息關(guān)聯(lián)起來。
[0234]此外��,攻擊終端日志信息確定部113通過利用在DNS(Domain Name System:域名系統(tǒng))服務(wù)器和/或認(rèn)證服務(wù)器等中記錄的對應(yīng)表�,能夠?qū)⒐敉ㄐ湃罩拘畔⒑徒K端日志信息關(guān)聯(lián)起來����。
[0235]此外�����,在利用DHCP(DynamicHost Configurat1n Protocol:動態(tài)主機配置協(xié)議)的網(wǎng)絡(luò)中����,攻擊終端日志信息確定部113通過將MAC(Media Access Control:媒體訪問控制)地址追加在通信日志信息和終端日志信息中,能夠?qū)⒐敉ㄐ湃罩拘畔⒑徒K端日志信息關(guān)聯(lián)起來����。
[0236]此外,攻擊用戶確定部115也可以確定參與了主要的攻擊階段的攻擊用戶���,而非所有的攻擊階段。
[0237]例如���,可以考慮對攻擊階段賦予權(quán)重��,在參與了某個閾值以上的攻擊時視為攻擊用戶的方法��。
[0238]例如����,在設(shè)攻擊階段2的權(quán)重=1、攻擊階段3的權(quán)重=3����、攻擊階段4的權(quán)重=5、閾值為6以上的情況下�,當(dāng)某個用戶參與了攻擊階段2和攻擊階段4的情況下,成為權(quán)重6�,判定為該用戶是攻擊用戶。
[0239]此外�,攻擊用戶確定部115也可以確定用戶向其它用戶的賬戶切換(在登錄時,用SU命令等使用其它賬戶進(jìn)行登錄等)�����,而進(jìn)行考慮了用戶之間的使用賬戶關(guān)系的攻擊用戶組的確定�。
[0240]此外,攻擊用戶確定部115也可以在攻擊階段3和攻擊階段4中監(jiān)視基于暴力破解(brute force)的密碼竊取和/或密碼散列的取得等其它用戶賬戶取得行動�,來確定攻擊用戶組。
[0241]此外�����,攻擊用戶確定部115也可以在攻擊階段3和攻擊階段4中確定進(jìn)行如下行動的用戶來確定攻擊用戶:即,進(jìn)行多個文件的下載和/或?qū)ζ渌K端的頻繁訪問這樣的與普通用戶不同的活動的用戶�。
[0242]此外,感染活動確定部116也可以確定通過攻擊用戶確定部115確定出的攻擊用戶在其它終端的文件執(zhí)行�、對其它終端的遠(yuǎn)程訪問、和在其它終端的文件下載等針對其它終端的感染活動�。
[0243]實施方式2
[0244]在以上的實施方式I中,在客戶端終端121和服務(wù)器終端122分別具有客戶端終端日志記錄裝置131和服務(wù)器終端日志記錄裝置132����。
[0245]也可以取代該方式,而在數(shù)據(jù)處理系統(tǒng)106內(nèi)準(zhǔn)備日志服務(wù)器(處理日志信息服務(wù)器裝置)����,各客戶端終端121和各服務(wù)器終端122將各自的終端日志信息上傳到日志服務(wù)器。
[0246]S卩��,也可以將客戶端終端121和服務(wù)器終端122分別具有的客戶端終端日志記錄裝置131和服務(wù)器終端日志記錄裝置132集成在日志服務(wù)器中����。
[0247]通過準(zhǔn)備日志服務(wù)器,能夠一元化管理終端日志信息�,使終端日志信息的維護/運用容易進(jìn)行�。
[0248]此外,也可以是�,感染范圍確定裝置101不需要從各個終端的客戶端終端日志記錄裝置131或者服務(wù)器終端日志記錄裝置132取得終端日志信息,而僅從日志服務(wù)器取得終端日志信息即可��。
[0249]實施方式3
[0250]在以上的實施方式2中示出了如下的結(jié)構(gòu):將客戶端終端121和服務(wù)器終端122分別具有的客戶端終端日志記錄裝置131和服務(wù)器終端日志記錄裝置132集成在日志服務(wù)器中。
[0251]也可以取代該方式��,而是感染范圍確定裝置101具有客戶端終端日志記錄裝置131和服務(wù)器終端日志記錄裝置132�����。
[0252]S卩���,也可以是�,在感染范圍確定裝置101設(shè)置存儲客戶端終端121和服務(wù)器終端122的終端日志信息的存儲區(qū)域(處理日志信息存儲部)�����。
[0253 ]由此���,感染范圍確定裝置1I容易取得終端日志信息�����。
[0254]實施方式4
[0255]此外�,在圖1中�����,將感染范圍確定裝置101、攻擊檢測裝置102和監(jiān)視裝置107分成不同的裝置����。
[0256]也可以取代該方式,而在感染范圍確定裝置101中包含攻擊檢測裝置102和監(jiān)視裝置 107���。
[0257]S卩�,也可以在感染范圍確定裝置101中設(shè)置與攻擊檢測裝置102相同功能的攻擊檢測部�����,包含與監(jiān)視裝置107相同功能的監(jiān)視部�����。
[0258]通過將感染范圍確定裝置101的功能�、攻擊檢測裝置102的功能和監(jiān)視裝置107的功能統(tǒng)一為一體,能夠簡化數(shù)據(jù)的傳遞�。
[0259]最后,參照圖23說明實施方式I?4所示的感染范圍確定裝置101的硬件結(jié)構(gòu)例����。
[0260]感染范圍確定裝置101是計算機,能夠利用程序?qū)崿F(xiàn)感染范圍確定裝置101的各要素���。
[0261]作為感染范圍確定裝置101的硬件結(jié)構(gòu)���,運算裝置901、外部存儲裝置902��、主存儲裝置903����、通信裝置904、輸入輸出裝置905與總線連接�����。
[0262]運算裝置901是執(zhí)行程序的CPU(Central Processing Unit:中央處理單元)�����。
[0263]外部存儲裝置902例如是R0M(Read Only Memory:只讀存儲器)和/或閃存�����、硬盤裝置����。
[0264]主存儲裝置903是RAM(Random Access Memory:隨機存取存儲器)����。
[0265]通信裝置904對應(yīng)于接收部111及發(fā)送部112的物理層�����。
[0266]輸入輸出裝置905例如是鼠標(biāo)���、鍵盤����、顯示器裝置等�。
[0267]程序通常存儲在外部存儲裝置902中,以加載于主存儲裝置903中的狀態(tài)被依次讀入到運算裝置901中并執(zhí)行�。
[0268]程序是實現(xiàn)作為圖1所示的“?部”而說明的功能的程序。
[0269]另外��,在外部存儲裝置902中也存儲有操作系統(tǒng)(OS)���,0S的至少一部分被安裝于主存儲裝置903���,運算裝置901執(zhí)行OS����,并執(zhí)行用于實現(xiàn)圖1所示的“?部”的功能的程序�����。
[0270]另外�����,在實施方式I?4的說明中���,表示作為“?判斷”、“?判定”���、“?提取”��、“?檢測”�、“?檢測”����、“?設(shè)定”、“?登記”�、“?選擇”�����、“?檢索”����、“?生成”�、“?接收”、“?發(fā)送”等而說明的處理的結(jié)果的信息���、數(shù)據(jù)�、信號值和/或變量值����,作為文件被存儲在主存儲裝置903中。
[0271]另外�����,圖23的結(jié)構(gòu)僅示出感染范圍確定裝置101的硬件結(jié)構(gòu)的一例�,感染范圍確定裝置101的硬件結(jié)構(gòu)不限于圖23所述的結(jié)構(gòu),也可以是其它的結(jié)構(gòu)�。
[0272]另外,實施方式I?4所示的攻擊檢測裝置102���、安全設(shè)備103��、客戶端終端121�、服務(wù)器終端122同樣,可以采用圖23的硬件結(jié)構(gòu)�����,也可以是其它的硬件結(jié)構(gòu)�。
[0273]另外���,根據(jù)實施方式I?4所示的步驟能夠?qū)崿F(xiàn)本發(fā)明的信息處理方法���。
[0274]標(biāo)號說明
[0275]101感染范圍確定裝置;102攻擊檢測裝置���;103安全設(shè)備���;104通信日志記錄裝置;106數(shù)據(jù)處理系統(tǒng)���;107監(jiān)視裝置����;108交換機���;109互聯(lián)網(wǎng);111接收部;112發(fā)送部�;113攻擊終端日志信息確定部����;114終端日志信息篡改檢測部;115攻擊用戶確定部���;116感染活動確定部;121客戶端終端;122服務(wù)器終端����;131客戶端終端日志記錄裝置;132服務(wù)器終端日志記錄裝置�。
【主權(quán)項】
1.一種信息處理裝置����,其特征在于,該信息處理裝置具有: 接收部��,其接收在數(shù)據(jù)處理系統(tǒng)中產(chǎn)生的數(shù)據(jù)通信的日志信息作為通信日志信息; 日志信息檢索部,其從在所述數(shù)據(jù)處理系統(tǒng)中進(jìn)行的數(shù)據(jù)處理的日志信息即多個處理日志信息中,根據(jù)所述通信日志信息���,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息;以及 篡改判定部���,其在通過所述日志信息檢索部未檢索出相應(yīng)的處理日志信息的情況下�����,判定為所述多個處理日志信息中至少一部分處理日志信息已被篡改����。2.根據(jù)權(quán)利要求1所述的信息處理裝置���,其特征在于�����, 所述接收部接收與針對所述數(shù)據(jù)處理系統(tǒng)的攻擊相關(guān)的數(shù)據(jù)通信的日志信息作為所述通信日志信息。3.根據(jù)權(quán)利要求1所述的信息處理裝置����,其特征在于, 所述接收部接收記述了表示所述數(shù)據(jù)通信的屬性的通信屬性值的通信日志信息���, 所述日志信息檢索部從記述了表示在所述數(shù)據(jù)處理系統(tǒng)中進(jìn)行的數(shù)據(jù)處理的屬性的處理屬性值的多個處理日志信息中,檢索記述了與所述通信日志信息的通信屬性值相關(guān)的處理屬性值的處理日志信息���。4.根據(jù)權(quán)利要求3所述的信息處理裝置����,其特征在于����, 所述接收部接收如下的通信日志信息����,在該通信日志信息中記述了所述數(shù)據(jù)通信發(fā)生的時刻和所述數(shù)據(jù)處理系統(tǒng)內(nèi)的進(jìn)行了所述數(shù)據(jù)通信的設(shè)備的設(shè)備ID(Identifier)作為所述通信屬性值��, 所述日志信息檢索部從記述了數(shù)據(jù)處理時刻和所述數(shù)據(jù)處理系統(tǒng)內(nèi)的進(jìn)行了數(shù)據(jù)處理的設(shè)備的設(shè)備ID作為所述處理屬性值的多個處理日志信息中檢索如下的處理日志信息���,在該處理日志信息中記述了距所述通信日志信息中記述的時刻在容許誤差范圍內(nèi)的數(shù)據(jù)處理時刻并且記述了在所述通信日志信息中記述的設(shè)備ID����, 在通過所述日志信息檢索部未檢索出相應(yīng)的處理日志信息的情況下�����,所述篡改判定部判定為與所述通信日志信息中記述的設(shè)備ID對應(yīng)的設(shè)備進(jìn)行的數(shù)據(jù)處理的處理日志信息已被篡改�。5.根據(jù)權(quán)利要求4所述的信息處理裝置��,其特征在于���, 在通過所述日志信息檢索部未檢索出相應(yīng)的處理日志信息的情況下,所述篡改判定部判定為與在所述通信日志信息中記述的設(shè)備ID對應(yīng)的設(shè)備進(jìn)行的數(shù)據(jù)處理的處理日志信息已被篡改���,并且判定為與在所述通信日志信息中記述的設(shè)備ID對應(yīng)的設(shè)備感染了惡意軟件����。6.根據(jù)權(quán)利要求5所述的信息處理裝置,其特征在于�����, 所述信息處理裝置還具有設(shè)備確定部����, 該設(shè)備確定部通過所述接收部從記錄了在所述數(shù)據(jù)處理系統(tǒng)中產(chǎn)生的數(shù)據(jù)通信的日志信息的通信日志記錄裝置,接收從被所述篡改判定部判定為感染了惡意軟件的設(shè)備即惡意軟件感染設(shè)備向所述數(shù)據(jù)處理系統(tǒng)內(nèi)的其它設(shè)備進(jìn)行的數(shù)據(jù)通信的日志信息作為感染活動通信日志信息���,并對接收到的所述感染活動通信日志信息進(jìn)行分析�,確定有可能從所述惡意軟件感染設(shè)備感染了惡意軟件的設(shè)備即感染可能性設(shè)備��。7.根據(jù)權(quán)利要求6所述的信息處理裝置�,其特征在于, 所述日志信息檢索部檢索記述了由所述設(shè)備確定部確定的所述感染可能性設(shè)備的設(shè)備ID的處理日志信息�, 所述設(shè)備確定部對通過所述日志信息檢索部檢索出的處理日志信息進(jìn)行分析,確定有可能從所述感染可能性設(shè)備感染了惡意軟件的新的感染可能性設(shè)備�, 以后,反復(fù)進(jìn)行基于所述日志信息檢索部進(jìn)行的處理日志信息的檢索和基于所述設(shè)備確定部進(jìn)行的新的感染可能性設(shè)備的確定���。8.根據(jù)權(quán)利要求1所述的信息處理裝置���,其特征在于��, 所述接收部接收與針對所述數(shù)據(jù)處理系統(tǒng)的攻擊相關(guān)的數(shù)據(jù)通信的日志信息作為所述通信日志信息�, 所述信息處理裝置還具有設(shè)備確定部��,在通過所述日志信息檢索部檢索出相應(yīng)的處理日志信息的情況下�,該設(shè)備確定部對檢索出的處理日志信息進(jìn)行分析,確定與所述攻擊相關(guān)的所述數(shù)據(jù)處理系統(tǒng)內(nèi)的設(shè)備即攻擊相關(guān)設(shè)備�, 所述日志信息檢索部檢索由所述設(shè)備確定部確定的所述攻擊相關(guān)設(shè)備進(jìn)行的數(shù)據(jù)處理的處理日志信息, 所述設(shè)備確定部對通過所述日志信息檢索部檢索出的處理日志信息進(jìn)行分析����,確定通過所述攻擊相關(guān)設(shè)備的數(shù)據(jù)處理而與所述攻擊相關(guān)的新的攻擊相關(guān)設(shè)備, 以后�,反復(fù)進(jìn)行基于所述日志信息檢索部進(jìn)行的處理日志信息的檢索和基于所述設(shè)備確定部進(jìn)行的新的攻擊相關(guān)設(shè)備的確定。9.根據(jù)權(quán)利要求1所述的信息處理裝置�,其特征在于, 所述日志信息檢索部從對所述數(shù)據(jù)處理系統(tǒng)中包含的每臺設(shè)備設(shè)置的多個處理日志信息數(shù)據(jù)庫中存儲的多個處理日志信息中�,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息。10.根據(jù)權(quán)利要求1所述的信息處理裝置��,其特征在于�����, 所述日志信息檢索部從在設(shè)于所述數(shù)據(jù)處理系統(tǒng)的處理日志信息服務(wù)器裝置中存儲的所述多個處理日志信息中�,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息。11.根據(jù)權(quán)利要求1所述的信息處理裝置����,其特征在于, 所述信息處理裝置還具有存儲多個處理日志信息的處理日志信息存儲部�����, 所述日志信息檢索部從在所述處理日志信息存儲部中存儲的所述多個處理日志信息中�,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息。12.根據(jù)權(quán)利要求1所述的信息處理裝置���,其特征在于�, 所述信息處理裝置還具有攻擊檢測部����,該攻擊檢測部檢測針對所述數(shù)據(jù)處理系統(tǒng)的攻擊,并發(fā)送與檢測出的攻擊相關(guān)的數(shù)據(jù)通信的日志信息�, 所述接收部接收從所述攻擊檢測部發(fā)送的日志信息作為所述通信日志信息���。13.一種信息處理方法��,其特征在于�����, 計算機接收在數(shù)據(jù)處理系統(tǒng)中產(chǎn)生的數(shù)據(jù)通信的日志信息作為通信日志信息���, 所述計算機從在所述數(shù)據(jù)處理系統(tǒng)中進(jìn)行的數(shù)據(jù)處理的日志信息即多個處理日志信息中�����,根據(jù)所述通信日志信息,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息��,在未檢索出相應(yīng)的處理日志信息的情況下�,所述計算機判定為所述多個處理日志信息中的至少一部分處理日志信息已被篡改。14.一種程序����,其特征在于,該程序使計算機執(zhí)行以下處理: 接收處理�,接收在數(shù)據(jù)處理系統(tǒng)中產(chǎn)生的數(shù)據(jù)通信的日志信息作為通信日志信息; 日志信息檢索處理�,從在所述數(shù)據(jù)處理系統(tǒng)中進(jìn)行的數(shù)據(jù)處理的日志信息即多個處理日志信息中,根據(jù)所述通信日志信息��,檢索與所述數(shù)據(jù)通信相關(guān)的數(shù)據(jù)處理的處理日志信息�;以及 篡改判定處理,在通過所述日志信息檢索處理未檢索出相應(yīng)的處理日志信息的情況下�����,判定為所述多個處理日志信息中的至少一個處理的處理日志信息已被篡改。
【文檔編號】G06F21/55GK105849741SQ201380081864
【公開日】2016年8月10日
【申請日】2013年12月27日
【發(fā)明人】松本光弘
【申請人】三菱電機株式會社