TOP特許意匠商標
特許ウォッチ Twitter
公開番号2024119095
公報種別公開特許公報(A)
公開日2024-09-03
出願番号2023025730
出願日2023-02-22
発明の名称分析装置、分析プログラム及び分析方法
出願人沖電気工業株式会社
代理人個人,個人
主分類G06F 21/55 20130101AFI20240827BHJP(計算;計数)
要約【課題】 サイバー攻撃を検知した場合に、当該サイバー攻撃についてより的確な情報を提供する。
【解決手段】 本発明は、分析装置に関する。そして、本発明の分析装置は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する手段と、ノードごとのトラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じノードで同じ時間帯の警告情報と低次異常情報とを紐づけたデータセットを抽出し、データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、分析結果情報を蓄積する分析結果情報蓄積手段と、分析結果情報蓄積手段が蓄積した分析結果情報を出力する出力手段とを有することを特徴とする。
【選択図】 図1
特許請求の範囲【請求項1】
分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、
前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、
同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、
前記分析結果情報を蓄積する分析結果情報蓄積手段と、
前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段と
を有することを特徴とする分析装置。
続きを表示(約 1,200 文字)【請求項2】
前記分析結果情報蓄積手段が蓄積する前記分析結果情報には、前記分析結果情報に対応する事象に対する対応処置方法を示す対応処置情報を付加することが可能であり、
前記分析結果情報蓄積手段が蓄積する前記分析結果情報に対する前記対応処置情報の入力を受け付けることが可能な入力手段をさらに備える
ことを特徴とする請求項1に記載の分析装置。
【請求項3】
前記分析処理手段は、新規に生成した前記分析結果情報と、前記警告情報及び前記低次異常情報との組み合わせが一致又は類似する前記分析結果情報を、前記分析結果情報蓄積手段に蓄積された前記分析結果情報から抽出し、抽出した前記分析結果情報に付加された前記対応処置情報をコピーして、前記新規に生成した前記分析結果情報に付加することを特徴とする請求項2に記載の分析装置。
【請求項4】
コンピュータを、
分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、
前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、
同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、
前記分析結果情報を蓄積する分析結果情報蓄積手段と、
前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段と
して機能させることを特徴とする分析プログラム。
【請求項5】
分析装置が行う分析方法において、
前記分析装置は、警告情報収集手段、低次異常情報収集手段、分析処理手段、分析結果情報蓄積手段及び出力手段を有し、
前記警告情報収集手段は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集し、
前記低次異常情報収集手段は、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集し、
前記分析処理手段は、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行い、
前記分析結果情報蓄積手段は、前記分析結果情報を蓄積し、
前記出力手段は、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する
ことを特徴とする分析方法。

発明の詳細な説明【技術分野】
【0001】
この発明は分析装置、分析プログラム及び分析方法に関し、例えば、IP通信を監視してサイバー攻撃を検知し、検知した結果を提示するシステムに適用し得る。
続きを表示(約 2,400 文字)【背景技術】
【0002】
従来、サイバー攻撃を検知するシステムとしては、例えば、特許文献1に記載されたシステムが存在する。特許文献1に記載されたシステムは、サイバー攻撃が検知された際の警告情報と監視情報、及び警告情報に対するオペレータ毎の分析履歴を蓄積し、警告情報に対する対処方法として分析履歴の中からより近い対応処置を提示する。また、特許文献1に記載されたシステムでは、サイバー攻撃を検知した場合に、検知結果として、具体的な攻撃手法(例えば、DoS攻撃、ポートスキャン、ファイル送信等)、監視情報(例えば、通信量や接続先アドレス等)、及び対応処置内容をオペレータに提示する。
【先行技術文献】
【特許文献】
【0003】
特開2019-028891号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら特許文献1に記載のシステムでは、サイバー攻撃として警告される警告情報の粒度が大きすぎる(つまり、サイバー攻撃としての警告情報のレベル(抽象度)が高すぎる)。そのため、特許文献1に記載のシステムでは、サイバー攻撃検知の提示を受けたオペレータにとっては対応処置が正確に絞れないという課題や、新たな攻撃手法が出てきた際には的確な対応処置を提示することができないという課題がある。また、従来のサイバー攻撃を検知するシステムでは、誤検知する頻度が多く、誤検知の中に埋もれた本当に対応処置が必要な警告情報を見落としてしまう課題がある。
【0005】
以上のような従来技術の問題に鑑みて、サイバー攻撃を検知した場合に、当該サイバー攻撃についてより的確な情報を提供することができる分析装置、分析プログラム及び分析方法が望まれている。
【課題を解決するための手段】
【0006】
第1の本発明の分析装置は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、前記分析結果情報を蓄積する分析結果情報蓄積手段と、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段とを有することを特徴とする。
【0007】
第2の本発明の分析プログラムは、コンピュータを、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集する警告情報収集手段と、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集する低次異常情報収集手段と、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行う分析処理手段と、前記分析結果情報を蓄積する分析結果情報蓄積手段と、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力する出力手段として機能させることを特徴とする。
【0008】
第3の本発明は、分析装置が行う分析方法において、前記分析装置は、警告情報収集手段、低次異常情報収集手段、分析処理手段、分析結果情報蓄積手段及び出力手段を有し、前記警告情報収集手段は、分析対象となるノードごとのトラフィックデータに基づきサイバー攻撃を検知するサイバー攻撃検知手段からサイバー攻撃を検知したことを示す警告情報を収集し、前記低次異常情報収集手段は、前記ノードごとの前記トラフィックデータに基づき、定常時と比較して有意に差がある事象を低次異常として検知する低次異常検知手段から低次異常を検知したことを示す低次異常情報を収集し、前記分析処理手段は、同じ前記ノードで同じ時間帯の前記警告情報と前記低次異常情報とを紐づけたデータセットを抽出し、前記データセットに基づく情報を分析結果情報として生成する分析処理を行い、前記分析結果情報蓄積手段は、前記分析結果情報を蓄積し、前記出力手段は、前記分析結果情報蓄積手段が蓄積した前記分析結果情報を出力することを特徴とする。
【発明の効果】
【0009】
本発明によれば、サイバー攻撃を検知した場合に、当該サイバー攻撃についてより的確な情報を提供することができる。
【図面の簡単な説明】
【0010】
実施形態に係る分析装置の機能的構成について示したブロック図である。
実施形態に係る各装置の接続関係について示した図である。
実施形態に係る低次異常検知装置が検知する低次異常の例について示した図である。
実施形態に係る分析結果蓄積部に蓄積される分析結果情報の一覧について示した図である。
実施形態に係る分析結果表示画面の構成例について示した図である。
実施形態の変形例に係る分析結果蓄積部に蓄積される分析結果情報の一覧について示した図である。
【発明を実施するための形態】
(【0011】以降は省略されています)
この特許をJ-PlatPatで参照する
Flag Counter

関連特許

沖電気工業株式会社
画像形成装置
20日前
沖電気工業株式会社
シャッタ構造および装置
13日前
沖電気工業株式会社
画像形成装置及び画像形成方法
9日前
沖電気工業株式会社
定着ユニット及び画像形成装置
9日前
沖電気工業株式会社
硬貨処理装置及び貨幣取扱装置
20日前
沖電気工業株式会社
処理装置、プログラム及び処理方法
5日前
沖電気工業株式会社
パスワード設定方法及び情報処理装置
20日前
沖電気工業株式会社
画像形成装置及び画像形成プログラム
22日前
沖電気工業株式会社
制御装置、媒体処理装置、制御方法、およびプログラム
13日前
沖電気工業株式会社
構造物監視装置、構造物監視プログラム、及び構造物監視方法
20日前
沖電気工業株式会社
中継装置、制御装置、制御方法、プログラム、充電器および電動移動体
9日前
沖電気工業株式会社
取引装置、取引プログラム及び通帳発行装置
9日前
個人
物品
1か月前
個人
情報提示方法
6日前
個人
認証システム
2か月前
個人
自動精算システム
14日前
個人
RFタグ読取装置
23日前
個人
自動精算システム
1か月前
個人
プログラム
5日前
個人
保証金管理システム
2か月前
個人
売買システム
20日前
個人
鑑定証明システム
2か月前
個人
管理サーバ
1か月前
個人
救急搬送システム
1か月前
個人
市場受発注システム
12日前
個人
発想支援方法及びシステム
9日前
キヤノン株式会社
印刷装置
1か月前
日本精機株式会社
車両用表示装置
22日前
日本精機株式会社
車両用表示装置
22日前
個人
分類処理プログラム及び方法
9日前
井関農機株式会社
ロボット作業車両
14日前
個人
VRによる人体各部位の立体化
1か月前
富士通株式会社
金融システム
6日前
個人
生成AIとの常時接続システム
1か月前
株式会社MRC
集客システム
2か月前
株式会社COLORS
表示装置
1か月前
続きを見る