[发明专利]警报频度控制装置和警报频度控制程序

权利要求书

1.一种警报频度控制装置，该警报频度控制装置具有：

计算部，其在检测到属于网络攻击的多个阶段中的任意阶段的攻击活动的情况下，使用按照每个阶段包含1个以上的攻击活动各自的产生间隔的活动间隔数据，针对由各阶段的代表性攻击活动构成的攻击场景计算产生间隔；以及

判定部，其根据所述攻击场景的所述产生间隔判定是否需要警报。

2.根据权利要求1所述的警报频度控制装置，其中，

所述计算部从所述活动间隔数据中选择各阶段的代表性产生间隔，计算选择出的代表性产生间隔的合计作为所述攻击场景的所述产生间隔。

3.根据权利要求1所述的警报频度控制装置，其中，

所述计算部从所述活动间隔数据取得与检测到的攻击活动对应的产生间隔，从按照每个阶段包含与各攻击活动对应的场景间隔的活动登记文件中，选择所述检测到的攻击活动所属的阶段之前的阶段的代表性场景间隔，计算与所述检测到的攻击活动对应的所述产生间隔和所述代表性场景间隔的合计作为所述攻击场景的所述产生间隔。

4.根据权利要求3所述的警报频度控制装置，其中，

所述计算部在所述活动登记文件中设定所述攻击场景的所述产生间隔作为与所述检测到的攻击活动对应的场景间隔。

5.根据权利要求4所述的警报频度控制装置，其中，

所述活动登记文件按照每个阶段包含与各攻击活动对应的攻击场景的信息即对应场景，

所述计算部从所述活动登记文件取得所述检测到的攻击活动所属的阶段之前的阶段的代表性对应场景，在所述活动登记文件中设定所述代表性对应场景和所述检测到的攻击活动作为与所述检测到的攻击活动对应的对应场景。

6.根据权利要求1～5中的任意一项所述的警报频度控制装置，其中，

所述判定部在所述攻击场景的所述产生间隔比基准时间长的情况下判定为需要警报。

7.根据权利要求6所述的警报频度控制装置，其中，

所述计算部将所述攻击场景的所述产生间隔与暂定间隔进行比较，在所述攻击场景的所述产生间隔比所述暂定间隔大的情况下，将所述暂定间隔更新成所述攻击场景的所述产生间隔，在所述攻击场景的所述产生间隔比所述暂定间隔大的情况下判定为不需要警报，

所述判定部在判定为不需要警报的情况下，不判定是否需要警报。

8.根据权利要求6或7所述的警报频度控制装置，其中，

所述警报频度控制装置具有决定所述基准时间的决定部，

在决定所述基准时间之前，所述计算部计算1个以上的攻击场景各自的临时产生间隔，

所述判定部在各临时产生间隔比暂定时间长的情况下判定为需要警报，

所述决定部计测在决定所述基准时间之前判定为需要警报的频度作为估计频度，根据所述估计频度决定所述基准时间。

9.根据权利要求8所述的警报频度控制装置，其中，

所述决定部在所述估计频度满足更新停止条件的情况下将所述暂定时间决定为所述基准时间，在所述估计频度不满足所述更新停止条件的情况下更新所述暂定时间，

在更新了所述暂定时间后，所述计算部计算1个以上的新的临时产生间隔，

所述判定部在各新的临时产生间隔比更新后的暂定时间长的情况下判定为需要警报，

所述决定部计测在更新所述暂定时间后判定为需要警报的频度作为新的估计频度，在所述新的估计频度满足所述更新停止条件的情况下将所述更新后的暂定时间决定为所述基准时间。

10.根据权利要求6～9中的任意一项所述的警报频度控制装置，其中，

所述警报频度控制装置具有调整部，该调整部计测根据所述基准时间判定为需要警报的频度作为当前频度，在所述当前频度满足调整条件的情况下调整所述基准时间。

11.一种警报频度控制程序，该警报频度控制程序用于使计算机执行以下处理：

计算处理，在检测到属于网络攻击的多个阶段中的任意阶段的攻击活动的情况下，使用按照每个阶段表示1个以上的攻击活动各自的产生间隔的活动间隔数据，针对由各阶段的1个攻击活动和构成的攻击场景计算产生间隔；以及

判定处理，根据所述攻击场景的所述产生间隔判定是否需要警报。