[发明专利]检测规则组调整装置和检测规则组调整程序

说明书

误检测量取得部(110)取得使用与构成一连串攻击活动的整体阶段组对应的整体检测规则组进行了攻击检测时的各阶段的误检测量。最终判定部(121)判定所述最终阶段组的误检测量是否满足最终制约。整体判定部(123)判定所述整体阶段组的误检测量是否满足整体制约。在所述最终阶段组的误检测量不满足所述最终制约的情况下，最终调整部(122)对最终检测规则组的各检测规则的参数值进行调整。在所述最终阶段组的误检测量满足所述最终制约且所述整体阶段组的误检测量不满足所述整体制约的情况下，整体调整部(124)对所述最终检测规则组以外的各检测规则的参数值进行调整。

技术领域

本发明涉及用于检测网络攻击的检测规则的调整。

背景技术

以往，为了检测网络攻击，根据通信日志和终端日志等生成检测规则。攻击的检测结果受到应用于检测规则的参数或阈值左右。为了防止漏检测并抑制误检测，需要设定适当的参数和适当的阈值。

在专利文献1中公开有决定检测规则的阈值的技术。

在该技术中，根据分析规则和调谐条件对监视对象网络的通信日志和产生恶意软件时的通信日志进行分析。然后，按照误检测率和攻击检测率的制约来决定检测规则的阈值。

现有技术文献

专利文献

专利文献1：国际公开2015/141630号

发明内容

发明要解决的课题

监视对象系统实际受到攻击或者使用模拟环境等再现攻击，由此能够得到基于恶意软件等的攻击的日志。但是，监视对象系统中实际收集的绝大部分日志是正常日志。此外，很难全面地再现现有的攻击。此外，关于未知的攻击，不存在攻击的日志。

在无法准备攻击的日志的情况下，也能够以在安全操作中心(SOC)等进行监视的监视员1天内可容许的误检测数为基准来设定阈值。但是，在一并使用多个检测规则进行监视的情况下，无法决定用于决定如何修正哪个检测规则以使误检测数收敛于可容许范围内时的基准。

关于在SOC等进行监视的监视员，存在被称作操作员的人和被称作分析员的人。在操作员和分析员中，能够应对检测到的警报的能力和范围不同。

在攻击者的一连串攻击活动中，最初阶段是众所周知的攻击手法。而且，最初阶段的大部分应对被工序化。因此，操作员也能够应对最初阶段。另一方面，攻击进展的最终阶段的判断和应对很难。因此，分析员应对最终阶段。即，根据攻击的进展度，应对的人员发生变化。因此，需要分开考虑操作员能够应对的误检测数和分析员能够应对的误检测数。特别地，需要考虑最终阶段中分析员能够应对的误检测数。

本发明的目的在于，能够根据攻击的进展度来调整误检测数。

用于解决课题的手段

本发明的检测规则组调整装置具有：误检测量取得部，其取得使用与构成一连串攻击活动的整体阶段组对应的整体检测规则组进行了攻击检测时的各阶段的误检测量；最终判定部，其根据所述整体阶段组中的最终阶段组的各阶段的误检测量，判定所述最终阶段组的误检测量是否满足最终制约；整体判定部，其根据所述整体阶段组的各阶段的误检测量，判定所述整体阶段组的误检测量是否满足整体制约；最终调整部，其在所述最终阶段组的误检测量不满足所述最终制约的情况下，对所述整体检测规则组中的最终检测规则组的各检测规则的参数值进行调整；以及整体调整部，其在所述最终阶段组的误检测量满足所述最终制约且所述整体阶段组的误检测量不满足所述整体制约的情况下，对所述整体检测规则组中的所述最终检测规则组以外的各检测规则的参数值进行调整。

发明效果

根据本发明，能够根据攻击的进展度来调整各阶段的检测规则。因此，能够根据攻击的进展度来调整误检测量。

附图说明