System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind()
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于对表示通信异常的警报进行分析的分析装置、分析方法以及分析程序。
技术介绍
1、在现有技术中,在基于表示正常的通信的特征的模型进行通信的异常检测的情况下,若对作为检测对象的通信追加新的通信,则即使追加的通信是正常的通信,也会被检测为异常(过检测)。其结果,有可能大量产生相同的警报。在此,使用者要针对每个终端设备的每个警报来进行警报是否为过检测的判断。因此,如果产生大量警报,则使用者的作业变得庞大。
2、因此,为了削减使用者的作业负荷,提出了几个技术。例如,存在如下技术:在检测系统提示警报时,将警报所示的威胁的类型、终端设备id、协议、端口编号等类别变量相同的警报整理出来而一起提示(参照非专利文献1)。另外,还存在检测系统将警报所示的ip地址、端口编号、协议编号等类别变量、或通信开始日期时间作为关键字来过滤警报的技术(参照专利文献1、2)。
3、现有技术文献
4、专利文献
5、专利文献1:日本特开2020-005184号公报
6、专利文献2:日本特开2020-135655号公报
7、非专利文献
8、非专利文献1:nozomi guardian,[2021年5月25日检索],互联网url:https://www.exclusive-networks.com/fr/wp-content/uploads/sites/17/2020/12/fr-vr-nozomi-net works-guardian.pdf
技
1、专利技术所要解决的课题
2、但是,上述的技术均无法对警报中的通信目的地等的特征相同且数据量等不同的通信的警报进行分组。另外,根据上述的技术,即使想要基于数据量进行警报的分组,若分组的对象的特征量的项目数变多,则各组的特征也会变得不明确。因此,即使通过现有技术对警报进行分组,判断警报是否是由过检测引起的警报还是需要大量的作业。
3、因此,本专利技术的课题在于,解决上述的问题,减少对警报是否是由过检测引起的警报进行的判断所需的作业。
4、用于解决课题的手段
5、为了解决上述课题,本专利技术的特征在于,具有:蓄积部,其蓄积根据表示正常的通信的特征的模型被判定为不是正常的通信的通信的警报;聚类部,其使用蓄积的所述警报中所包含的通信的特征量,进行所述警报的聚类;判定部,其针对通过所述聚类而生成的集群,分别判定所述集群是否由同种警报构成;以及结果输出部,其输出所述聚类的结果和所述集群各自是否是由同种警报构成的判定结果。
6、专利技术效果
7、根据本专利技术,能够削减判断警报是否是过检测所需的作业。
本文档来自技高网...【技术保护点】
1.一种分析装置,其特征在于,具有:
2.根据权利要求1所述的分析装置,其特征在于,
3.根据权利要求1所述的分析装置,其特征在于,
4.根据权利要求1所述的分析装置,其特征在于,
5.根据权利要求1所述的分析装置,其特征在于,
6.根据权利要求1所述的分析装置,其特征在于,
7.根据权利要求1所述的分析装置,其特征在于,
8.一种分析方法,其由分析装置执行,其特征在于,包括如下工序:
9.一种分析程序,用于使计算机执行如下工序:
【技术特征摘要】
【国外来华专利技术】
1.一种分析装置,其特征在于,具有:
2.根据权利要求1所述的分析装置,其特征在于,
3.根据权利要求1所述的分析装置,其特征在于,
4.根据权利要求1所述的分析装置,其特征在于,
5.根据权利要求1所述的分析装置,其...
【专利技术属性】
技术研发人员:篠原正纪,小山高明,永渕幸雄,青柳真纪子,寺本泰大,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。