ATTACK DETECTION DEVICE, ATTACK DETECTION METHOD, AND ATTACK DETECTION PROGRAM

• Main Authors: WATANABE TATSU, KUBOTA AYUMI, URAKAWA JUMPEI, MATSUNAKA TAKASHI
• Format: Patent
• Language: English; Japanese
• Published: 16.02.2023
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

To provide an attack detection device, an attack detection method, and an attack detection program that enable early detection of various attacks carried out on a network.SOLUTION: An attack detection device 1 includes: an attack-associated information granting unit 11 configured to receive analysis target data for analyzing an attack executed on a network to grant attack-associated information, which is information associated with an attribute of an attack, to the analysis target data; an aggregation unit 12 configured to aggregate, with respect to the analysis target data to which the attack-associated information is granted, the number of observations for each predetermined item of the attack-associated information to record the aggregated number of observations as time-series data; and a detection unit 13 configured to determine, when time-series analysis is performed on the time-series data and it is determined that a predetermined change is seen in a time-series trend, that the attack has occurred, to output the time-series data and the attack-associated information that cause the determination.SELECTED DRAWING: Figure 1 【課題】ネットワーク上で行われる種々の攻撃について早期に検知することが可能とすること。【解決手段】攻撃検知装置１は、ネットワーク上で実行される攻撃について分析するための分析対象データを受領し、前記分析対象データに、攻撃の属性に関連する情報である攻撃関連情報を付与するように構成されている攻撃関連情報付与部１１と、前記攻撃関連情報が付与された前記分析対象データについて、前記攻撃関連情報のうちの所定の項目ごとに観測件数を集計し、集計した前記観測件数を時系列データとして記録するように構成されている集計部１２と、前記時系列データに対して時系列分析を行い、その時系列傾向に所定の変化が生じたと判定した場合、前記攻撃が発生したと判定して、判定の原因となった前記時系列データと攻撃関連情報とを出力するように構成されている検知部１３とを備える。【選択図】図１