[发明专利]警报频度控制装置和警报频度控制程序

说明书

在检测到属于网络攻击的多个阶段中的任意阶段的攻击活动的情况下，计算部(120)使用活动间隔数据计算攻击场景的产生间隔。活动间隔数据按照每个阶段表示1个以上的攻击活动各自的产生间隔。攻击场景由检测到的攻击活动所属的阶段的1个攻击活动和检测到的攻击活动所属的阶段之前的各阶段的1个攻击活动构成。判定部(130)根据攻击场景的产生间隔判定是否需要警报。

技术领域

本发明涉及对与产生一连串攻击活动有关的警报的频度进行控制的技术。

背景技术

作为用于检测标的型攻击中的一连串攻击活动的方法，存在基于攻击场景的日志分析方法。该方法主要应用于安全监视。

攻击场景表示一连串攻击活动中的攻击活动的流程。

标的型攻击以多个阶段执行。

因此，仅对各个攻击活动进行分析，将会产生大量的标的型攻击的误检测。

另一方面，通过监视符合攻击场景的一连串攻击活动，能够检测好像是标的型攻击的一连串攻击活动。

专利文献1公开有通过沿着攻击场景对日志进行分析来减少网络攻击的漏检测的技术。

现有技术文献

专利文献

专利文献1：日本特开2015-121968号公报

发明内容

发明要解决的课题

根据专利文献1公开的技术，能够减少好像是标的型攻击的一连串攻击活动的漏检测。另一方面，要检测的一连串攻击活动的数量可能增大。

在检测到好像是标的型攻击的一连串攻击活动的情况下，操作员应对检测到的一连串攻击活动。

当要检测的一连串攻击活动的数量增大时，操作员难以应对。其结果是，标的型攻击可能被放任。

但是，当为了使操作员能够应对而过度减少要检测的一连串攻击活动的数量时，标的型攻击的漏检测增加。

本发明的目的在于，将警报的频度控制成能够应对与产生一连串攻击活动有关的各警报的程度。

用于解决课题的手段

本发明的警报频度控制装置具有：计算部，其在检测到属于网络攻击的多个阶段中的任意阶段的攻击活动的情况下，使用按照每个阶段包含1个以上的攻击活动各自的产生间隔的活动间隔数据，针对由各阶段的代表性攻击活动构成的攻击场景计算产生间隔；以及判定部，其根据所述攻击场景的所述产生间隔判定是否需要警报。

发明效果

根据本发明，能够将警报的频度控制成能够应对与产生一连串攻击活动有关的各警报的程度。

其结果是，网络攻击的漏检测不会增加，并且网络攻击的漏应对减少。

附图说明

图1是实施方式1中的警报频度控制装置100的结构图。

图2是用于说明实施方式1中的攻击场景的图。

图3是实施方式1中的警报频度控制方法的流程图。

图4是实施方式1中的受理处理(S110)的流程图。

图5是示出实施方式1中的活动数据201的图。

图6是实施方式1中的终端文件210的概要图。

图7是示出实施方式1中的活动登记数据202的图。

图8是示出实施方式1中的活动间隔数据220的图。