[发明专利]日志输出装置、日志输出方法以及日志输出系统

说明书

日志输出装置具备：生成部，其生成表示处理的执行历史记录的日志；存储器，其保持第一列表、第二列表以及第三列表，所述第一列表包含表示处理异常的第一静态信息，所述第二列表包含表示处理正常的第二静态信息，所述第三列表包含用于根据日志来决定是否要输出该日志的动态信息；以及筛选部，其在所生成的日志具有第一静态信息的情况下决定输出该日志，并且，在所生成的日志具有第二静态信息的情况下决定不输出该日志。筛选部基于所生成的日志和第三列表来决定是否要输出该日志。

技术领域

本公开涉及一种日志输出装置、日志输出方法以及日志输出系统。

背景技术

IoT(Internet of Things：物联网)设备也被称为“物联网”，是以下一种设备：该设备具有处理器和工作装置，该设备能够将由工作装置按照处理器的指示获取到的数据或信息发送到经由通信网络(例如因特网)连接的通信对方。工作装置例如是指用于检测规定的现象或参数的感应装置、或用于拍摄视角内的被摄体的摄像装置。IoT设备与PC(Personal Computer：个人计算机)等信息处理装置同样，当工作装置执行了某些事件时，生成表示与该事件的执行或者同其它设备之间的通信有关的历史记录的日志。

在专利文献1中公开了如下一种恶性通信日志检测装置：对表示已知是恶性或良性的通信日志的特征的第一字符串、以及第一字符串与作为对象通信日志的特征的字符串相结合而得到的第二字符串进行压缩，基于压缩后的第一字符串的数据尺寸和压缩后的第二字符串的数据尺寸，来计算用于判定对象通信日志是恶性的还是良性的得分。该恶性通信日志检测装置基于计算出的得分和规定的参数，来判定对象通信日志是恶性的还是良性的。

现有技术文献

专利文献

专利文献1：国际公开第2017/221667号

发明内容

发明要解决的问题

如今，作为对PC等信息处理装置的日志(例如通信历史记录)进行分析来判断该信息处理装置是否未暴露于危险(例如，是否未从第三方受到网络攻击)的安全技术，已知SIEM(Security Information and Event Management：安全信息和事件管理)。SIEM应对设备能够收集从信息处理装置发送的多个日志，并对收集到的各个日志进行分析，由此尽早探测对该信息处理装置的攻击或该攻击的前兆并通知给管理者。

在此，伴随着上述的IoT设备的普及，能够想到以下可能性：将SIEM的服务的对象范围不仅限于PC等信息处理装置，扩展到IoT设备。在该情况下，会从非常大量的IoT设备向SIEM发送日志，因此SIEM中的日志的分析对象数量增加巨大，SIEM的处理负荷增加。也就是说，若比PC等信息处理装置的配置数量多的IoT设备将全部日志报告(发送)到SIEM，则不仅通信网络的通信量增大，SIEM中的分析处理也会变得烦杂。

另外，与上述的PC等信息处理装置相比，IoT设备中搭载的处理器的性能低，因此当输出的日志的量变多时，会对IoT设备自身的与常规处理有关的基本功能产生不良影响，产生处理延迟等担忧。在上述的专利文献1中也未考虑减轻每当从一个一个的IoT设备向SIEM发送大量的日志的情况下可能产生的通信量的增大、或抑制来自IoT设备的日志的输出的技术对策。

本公开是鉴于上述的以往的情况而提出的，目的在于提供一种根据作为处理历史记录而生成的日志来合理地筛选作为向SIEM报告的报告对象的日志、从而抑制对与常规处理有关的基本功能造成的不良影响和通信网络的通信量的增大的日志输出装置、日志输出方法以及日志输出系统。

用于解决问题的方案