ANALYSIS DEVICE, ANALYSIS METHOD, AND ANALYSIS PROGRAM

An analysis server (10) uses a model representing features of normal communication as a basis to accumulate alerts of communication determined not to be normal, in a storage unit (12). Then, the analysis server (10) performs clustering by targeting, among the accumulated alerts, alerts from which al...

Full description

Saved in:
Bibliographic Details
Main Authors SHINOHARA, Masanori, AOYAGI, Makiko, NAGAFUCHI, Yukio, KOYAMA, Takaaki, TERAMOTO, Yasuhiro
Format Patent
LanguageEnglish
French
Japanese
Published 15.12.2022
Online AccessGet full text

Cover

More Information
Summary:An analysis server (10) uses a model representing features of normal communication as a basis to accumulate alerts of communication determined not to be normal, in a storage unit (12). Then, the analysis server (10) performs clustering by targeting, among the accumulated alerts, alerts from which alerts having a category variable different from that of communication data used for learning of the model is excluded, and then using feature amounts of the communication included in the alerts. Subsequently, the analysis server (10) determines whether each of clusters generated by the clustering is constituted by the same type of alerts or not. Then, the analysis server (10) outputs the result of the clustering and the determination result whether or not respective clusters are constituted by the same type of alerts. Un serveur d'analyse (10) utilise un modèle représentant les caractéristiques d'une communication normale comme base pour cumuler des alertes de communication déterminées comme n'étant pas normales, dans une unité de stockage (12). Ensuite, le serveur d'analyse (10) effectue un groupement en ciblant, parmi les alertes cumulées, les alertes dont sont exclues les alertes ayant une variable de catégorie différente de celle des données de communication utilisées pour l'apprentissage du modèle, puis en utilisant des quantités de caractéristiques de la communication incluses dans les alertes. Ensuite, le serveur d'analyse (10) détermine si chaque chacune des grappes générée par le groupement est constituée ou non du même type d'alertes. Ensuite, le serveur d'analyse (10) génère le résultat de regroupement et le résultat de détermination indiquant si oui ou non des grappes respectives sont constituées du même type d'alertes. 分析サーバ(10)は、正常な通信の特徴を示すモデルに基づき、正常な通信ではないと判定された通信のアラートを記憶部(12)に蓄積する。そして、分析サーバ(10)は、蓄積されたアラートから、モデルの学習に用いた通信データとカテゴリ変数が異なるアラートを除外したアラートを対象として、アラートに含まれる通信の特徴量を用いてクラスタリングを行う。その後、分析サーバ(10)は、クラスタリングにより生成されたクラスタそれぞれについて、クラスタが同種のアラートにより構成されているか否かを判定する。そして、分析サーバ(10)は、クラスタリングの結果と、クラスタそれぞれが同種のアラートにより構成されているか否かの判定結果とを出力する。
Bibliography:Application Number: WO2021JP22220