[发明专利]生成装置、生成方法和记录介质

说明书

生成装置(10)的检测部(152)根据与具有网络中的通信相关的多个项目的信息，检测网络的异常。此外，在由检测部(152)检测出异常的情况下，确定部(154)确定与信息各自对应的异常原因。此外，模式生成部(155)根据信息所具有的项目的值和由确定部(154)所确定的异常原因，生成信息的每个规定的集合的异常原因的模式。

技术领域

本发明涉及生成装置、生成方法和记录介质。

背景技术

作为检测PC(Personal Computer：个人计算机)等设备中的因恶意软件感染等引起的异常的方法，比较设备的行动模式与已知的异常模式来检测异常的黑名单方式、和比较设备的行动模式与正常状态的行动模式来检测异常的白名单方式一直以来被实用化。

此外，已知有如下技术：根据系统负荷信息进行异常判定，确定由发生了异常的设备执行的功能并登记在黑名单中，另一方面，将由未发生异常的设备执行的功能登记在白名单中。

现有技术文献

专利文献

专利文献1：日本特开2017-84296号公报

发明内容

发明要解决的课题

但是，在现有技术中存在有时无法高效地进行异常原因的确定的问题。例如，在黑名单方式中，预先确定了异常模式，因此，在与所确定的异常模式一致的情况下，能够确定异常原因，但是，难以检测因未知恶意软件等引起的异常。另一方面，在白名单方式中，能够将与正常状态不一致的行动模式全部作为异常检测，但是，难以确定异常原因。

此外，在确定由发生了异常的设备执行的功能并登记到黑名单中并将由未发生异常的设备执行的功能登记到白名单中的技术中，只能确定正在进行异常动作的功能，难以确定异常原因。

用于解决课题的手段

为了解决上述课题，达成目的，本发明的生成装置的特征在于，具有：检测部，其根据与具有网络中的通信相关的多个项目的信息，检测所述网络的异常；确定部，在由所述检测部检测出异常的情况下，所述确定部确定与所述信息各自对应的异常原因；以及模式生成部，其根据所述信息所具有的项目的值和由所述确定部确定的异常原因，生成所述信息的每个规定的集合的异常原因的模式。

发明效果

根据本发明，能够高效地进行异常原因的确定。

附图说明

图1是示出第1实施方式的生成系统的结构的一例的图。

图2是示出第1实施方式的生成装置的结构的一例的图。

图3是示出第1实施方式的Row信息的一例的图。

图4是用于说明第1实施方式的事件模式的生成的图。

图5是用于说明第1实施方式的事件模式的判定的图。

图6是示出第1实施方式的事件模式的要素的一例的图。

图7是示出第1实施方式的生成装置的初始设定阶段中的处理流程的流程图。

图8是示出第1实施方式的生成装置的运用阶段中的处理流程的流程图。

图9是示出生成第1实施方式的事件模式的处理流程的流程图。

图10是示出执行生成程序的计算机的一例的图。

具体实施方式

下面，根据附图来详细地说明本申请的生成装置、生成方法和生成程序的实施方式。另外，本发明不限定于以下说明的实施方式。

[第1实施方式的结构]