[发明专利]安全事件监视设备、方法和程序

说明书

相关申请的交叉引用

本申请基于并要求在2011年9月13日提交的日本专利申请No.2011-199776的优先权，其公开内容以全文引用的方式并入本文中。

技术领域

本发明涉及安全事件监视设备、方法及其程序。更具体地，本发明涉及用于使得对进行了引起问题的操作的用户进行高度准确的指定成为可能的安全事件监视设备等。

背景技术

目前，计算机网络已经成为了负责商务的那些人的基本任务的基础，在局域网上处理与这种任务相关的大量个人信息和机密信息。自然地，要求在处理该信息时非常谨慎，以不向组织外部泄漏该信息。

本文中将在计算机网络上进行的与网络安全相关的动作称为安全事件。例如，在没有许可的情况下将包含机密信息、个人信息等在内的特定文件(下文中称为重要文件)取出到组织外部对应于安全事件。

安全监视设备是执行以下操作的设备：监视网络；当存在进行中的特定安全事件时，迅速地检测到该事件；以及指定进行该动作的人员。构成网络的每个设备包括将针对该设备执行的操作等记录到操作日志(下文中简称为日志)中并将该日志发送到安全事件监视设备的功能。安全事件监视设备对从多个监视目标设备接收的日志执行相关性分析，以检测该安全事件。

作为与此相关的技术，存在以下技术。其中，日本未审专利公开2007-183911(专利文献1)公开了一种与非法操作监视系统相关的技术，该非法操作监视系统计算目标操作的可疑值，并在重复进行具有高可疑值的操作时设置更高的可疑值。日本未审专利公开2009-080650(专利文献2)公开了一种操作支持设备，其通过根据用户进行的一系列操作来检测用户的操作意图，从而呈现恰当的操作指南。

日本未审专利公开2009-217657(专利文献3)公开了一种相关性分析设备，用于在不同系统的日志数据中存在公共本质表达式(common intrinsic expression)时，将它们彼此关联。日本未审专利公开2009-259064(专利文献4)公开了一种评估设备，用于将具体操作存储为场景，并计算在提前执行该操作时的操作成本。日本未审专利公开2011-008558(专利文献5)公开了一种web应用系统，与专利文献4的情况一样，用于测量当执行在预存储的场景中注册的每个操作时的所需时间。

U.H.G.R.D Nawarathna and S.R.Kodithuwakku：“A Fuzzy Role Based Access Control Model for Database Security”，Proceedings of the International Conference on Information and Automation，December 15-18，2005(非专利文献1)公开了一种访问控制方法，用于对仅可以用模糊理论的语言学变量来模糊表达的环境进行表达，如“用户读取和写入列的必要性”和“用户的恶意程度”，并使用它们作为参数。

关于在监视目标设备上进行的并在日志上记录的操作，不一定指定已进行了该操作的所有用户。更特别地，在例如多个用户正在同时登陆并使用公共ID来工作的状态下，或在用户经由中继设备(如代理服务器(具有由中继设备替换的用户ID))访问服务器的状态下，难以通过使用ID来指定实际进行该操作的个人。

从而，当在日志中包含了不能指定其操作者的操作时，安全事件监视设备极难检测到安全事件。因此，即使当存在反复进行引起针对网络安全的严重问题的动作的个人时，也不能检测到这种动作。

在上述专利文献1至5和非专利文献1中并未描述解决这种问题的技术。在专利文献1所述的技术中，假定针对所有操作指定了进行操作的用户。因此，完全未考虑到关于不能指定操作者的情况。

首先，专利文献2至5所述的技术未被设计为检测进行了非法操作的用户。此外，不存在与可以转用到这种目的的内容相关的描述。在非专利文献1中描述的技术判断检测到的操作是否违反给定策略。然而，其中并未执行反映在与相同用户是否已进行一系列操作相关的判断上的计算。因此，即使将专利文献1至5和非专利文献1中描述的所有技术加以结合，也不可能获得能够克服上述问题的技术。

发明内容

本发明的示例目的是提供能够正确检测安全事件并在收集到的日志包括不能指定操作者的操作时进一步估计执行了这种操作的人员的安全事件监视设备、方法及其程序。