相關申請的交叉引用

本申請基于并要求在2011年9月13日提交的日本專利申請No.2011-199776的優先權，其公開內容以全文引用的方式并入本文中。

技術領域

本發明涉及安全事件監視設備、方法及其程序。更具體地，本發明涉及用于使得對進行了引起問題的操作的用戶進行高度準確的指定成為可能的安全事件監視設備等。

背景技術

目前，計算機網絡已經成為了負責商務的那些人的基本任務的基礎，在局域網上處理與這種任務相關的大量個人信息和機密信息。自然地，要求在處理該信息時非常謹慎，以不向組織外部泄漏該信息。

本文中將在計算機網絡上進行的與網絡安全相關的動作稱為安全事件。例如，在沒有許可的情況下將包含機密信息、個人信息等在內的特定文件(下文中稱為重要文件)取出到組織外部對應于安全事件。

安全監視設備是執行以下操作的設備：監視網絡；當存在進行中的特定安全事件時，迅速地檢測到該事件；以及指定進行該動作的人員。構成網絡的每個設備包括將針對該設備執行的操作等記錄到操作日志(下文中簡稱為日志)中并將該日志發送到安全事件監視設備的功能。安全事件監視設備對從多個監視目標設備接收的日志執行相關性分析，以檢測該安全事件。

作為與此相關的技術，存在以下技術。其中，日本未審專利公開2007-183911(專利文獻1)公開了一種與非法操作監視系統相關的技術，該非法操作監視系統計算目標操作的可疑值，并在重復進行具有高可疑值的操作時設置更高的可疑值。日本未審專利公開2009-080650(專利文獻2)公開了一種操作支持設備，其通過根據用戶進行的一系列操作來檢測用戶的操作意圖，從而呈現恰當的操作指南。

日本未審專利公開2009-217657(專利文獻3)公開了一種相關性分析設備，用于在不同系統的日志數據中存在公共本質表達式(common?intrinsic?expression)時，將它們彼此關聯。日本未審專利公開2009-259064(專利文獻4)公開了一種評估設備，用于將具體操作存儲為場景，并計算在提前執行該操作時的操作成本。日本未審專利公開2011-008558(專利文獻5)公開了一種web應用系統，與專利文獻4的情況一樣，用于測量當執行在預存儲的場景中注冊的每個操作時的所需時間。

U.H.G.R.D?Nawarathna?and?S.R.Kodithuwakku：“A?Fuzzy?Role?Based?Access?Control?Model?for?Database?Security”，Proceedings?of?the?International?Conference?on?Information?and?Automation，December?15-18，2005(非專利文獻1)公開了一種訪問控制方法，用于對僅可以用模糊理論的語言學變量來模糊表達的環境進行表達，如“用戶讀取和寫入列的必要性”和“用戶的惡意程度”，并使用它們作為參數。

關于在監視目標設備上進行的并在日志上記錄的操作，不一定指定已進行了該操作的所有用戶。更特別地，在例如多個用戶正在同時登陸并使用公共ID來工作的狀態下，或在用戶經由中繼設備(如代理服務器(具有由中繼設備替換的用戶ID))訪問服務器的狀態下，難以通過使用ID來指定實際進行該操作的個人。

從而，當在日志中包含了不能指定其操作者的操作時，安全事件監視設備極難檢測到安全事件。因此，即使當存在反復進行引起針對網絡安全的嚴重問題的動作的個人時，也不能檢測到這種動作。

在上述專利文獻1至5和非專利文獻1中并未描述解決這種問題的技術。在專利文獻1所述的技術中，假定針對所有操作指定了進行操作的用戶。因此，完全未考慮到關于不能指定操作者的情況。

首先，專利文獻2至5所述的技術未被設計為檢測進行了非法操作的用戶。此外，不存在與可以轉用到這種目的的內容相關的描述。在非專利文獻1中描述的技術判斷檢測到的操作是否違反給定策略。然而，其中并未執行反映在與相同用戶是否已進行一系列操作相關的判斷上的計算。因此，即使將專利文獻1至5和非專利文獻1中描述的所有技術加以結合，也不可能獲得能夠克服上述問題的技術。

發明內容

本發明的示例目的是提供能夠正確檢測安全事件并在收集到的日志包括不能指定操作者的操作時進一步估計執行了這種操作的人員的安全事件監視設備、方法及其程序。