[发明专利]信息处理装置、信息处理方法和信息处理程序

说明书

在使用检测规则检测到攻击活动的情况下，分析信息计算部(04)对检测到所检测到的攻击活动即当前攻击活动时的状况、分别检测到使用检测规则过去检测到的多个攻击活动即多个过去攻击活动时的状况、以及检测规则作为前提的状况进行分析，根据分析结果，从多个过去攻击活动中选择任意数量的攻击活动。警告重要度估计部(05)提示对由分析信息计算部(04)选择出的攻击活动进行的应对处置。

技术领域

本发明涉及检测针对信息系统的攻击活动的技术。

背景技术

作为与本发明相关联的技术，存在专利文献1～3公开的技术。

在专利文献1中，根据服务器发送的URL(Uniform Resource Locator：统一资源定位符)的目的地或变量值计算特征量，判定是否是与监视装置具有的签名相似的URL。由此，能够检测使用不与监视装置具有的签名完全一致的URL的目的地或变量值的攻击的通信，能够检测针对终端或服务器的未知的攻击。专利文献1的判定签名的相似的功能的目的是追加新的攻击模式。

在专利文献2中，着眼于以CPU(Central Processing Unit：中央处理单元)利用率为代表的计算机的资源信息大多由于安全侵害行为而变动，计算当前的CPU使用率和过去的CPU使用率的特征量。然后，在计算结果符合记载有资源信息的条件的规则的情况下，判定为异常。由此，能够应对针对计算机系统的安全侵害行为而不用对大量的各种日志信息进行分析。

存在如下课题：在远程发出维护指示时，在监视图像中很难没有错误地指示维护部位。与此相对，在专利文献3中，组合监视对象设备的图像信息和监视对象设备的CAD(Computer-Aided Design：计算机辅助设计)信息而生成坐标信息，使用坐标信息指示维护部位。

现有技术文献

专利文献

专利文献1：日本特开2013-011949号公报

专利文献2：日本特开2016-184358号公报

专利文献3：日本特许4661512号

发明内容

发明要解决的课题

在监视攻击活动的安全监视中心，分析员决定针对检测到的攻击活动的应对处置。更具体而言，分析员根据安全监视中心中保管的过去攻击活动的历史，决定针对检测到的攻击活动的应对处置。但是，即使是相同的攻击活动，根据监视目的地网络的结构和进行了应对的分析员的经验等，也会选择不同的应对处置。因此，针对相同的攻击活动，存在应对处置不同的多个历史。

存在如下课题：在经验较少的分析员进行应对的情况下，很难适当地判断应该参考应对处置不同的多个历史中的哪个历史。此外，存在如下课题：当无法从多个历史中选择适合于当前攻击活动的历史时，采取错误的应对处置，无法有效地应对攻击活动。

在专利文献1～3中，无法解决这些课题。

本发明的主要目的在于解决上述课题。具体而言，主要目的在于针对检测到的攻击活动采取适当的应对处置。

用于解决课题的手段

本发明的信息处理装置具有：选择部，其在使用检测规则检测到攻击活动的情况下，对检测到所检测到的攻击活动即当前攻击活动时的状况、分别检测到使用所述检测规则过去检测到的多个攻击活动即多个过去攻击活动时的状况、以及所述检测规则作为前提的状况进行分析，根据分析结果，从所述多个过去攻击活动中选择任意数量的攻击活动；以及应对处置提示部，其提示对由所述选择部选择出的攻击活动进行的应对处置。

发明效果