【技术实现步骤摘要】
【国外来华专利技术】检测规则组调整装置和检测规则组调整程序
[0001]本专利技术涉及用于检测网络攻击的检测规则的调整。
技术介绍
[0002]以往,为了检测网络攻击,根据通信日志和终端日志等生成检测规则。攻击的检测结果受到应用于检测规则的参数或阈值左右。为了防止漏检测并抑制误检测,需要设定适当的参数和适当的阈值。
[0003]在专利文献1中公开有决定检测规则的阈值的技术。
[0004]在该技术中,根据分析规则和调谐条件对监视对象网络的通信日志和产生恶意软件时的通信日志进行分析。然后,按照误检测率和攻击检测率的制约来决定检测规则的阈值。
[0005]现有技术文献
[0006]专利文献
[0007]专利文献1:国际公开2015/141630号
技术实现思路
[0008]专利技术要解决的课题
[0009]监视对象系统实际受到攻击或者使用模拟环境等再现攻击,由此能够得到基于恶意软件等的攻击的日志。但是,监视对象系统中实际收集的绝大部分日志是正常日志。此外,很难全面地再现现有的攻击。此外,...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种检测规则组调整装置,该检测规则组调整装置具有:误检测量取得部,其取得使用与构成一连串攻击活动的整体阶段组对应的整体检测规则组进行了攻击检测时的各阶段的误检测量;最终判定部,其根据所述整体阶段组中的最终阶段组的各阶段的误检测量,判定所述最终阶段组的误检测量是否满足最终制约;整体判定部,其根据所述整体阶段组的各阶段的误检测量,判定所述整体阶段组的误检测量是否满足整体制约;最终调整部,其在所述最终阶段组的误检测量不满足所述最终制约的情况下,对所述整体检测规则组中的最终检测规则组的各检测规则的参数值进行调整;以及整体调整部,其在所述最终阶段组的误检测量满足所述最终制约且所述整体阶段组的误检测量不满足所述整体制约的情况下,对所述整体检测规则组中的所述最终检测规则组以外的各检测规则的参数值进行调整。2.根据权利要求1所述的检测规则组调整装置,其中,所述检测规则组调整装置具有调整方案提示部,在所述整体检测规则组的各检测规则的参数值被调整的情况下,该调整方案提示部提示各检测规则的调整后的参数值。3.根据权利要求1所述的检测规则组调整装置,其中,所述检测规则组调整装置具有检测规则组选择部,所述整体调整部以多个模式对所述最终检测规则组以外的各检测规则的参数值进行调整,由此生成多个整体检测规则组,所述误检测量取得部按照每个整体检测规则组,取得使用整体检测规则组进行了攻击检测时的误检测量,所述检测规则组选择部根据各整体检测规则组的误检测量,从所述多个整体检测规则组中选择整体检测规则组。4.根据权利要求3所述的检测规则组调整装置,其中,所述检测规则组选择部在满足所述整体制约的整体检测规则组...
【专利技术属性】
技术研发人员:岩崎亚衣子,河内清人,大野一广,庄谷卓也,白井洋光,居城秀明,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。