生成裝置(10)的檢測部(152)根據與具有網絡中的通信相關的多個項目的信息，檢測網絡的異常。此外，在由檢測部(152)檢測出異常的情況下，確定部(154)確定與信息各自對應的異常原因。此外，模式生成部(155)根據信息所具有的項目的值和由確定部(154)所確定的異常原因，生成信息的每個規定的集合的異常原因的模式。

技術領域

本發明涉及生成裝置、生成方法和記錄介質。

背景技術

作為檢測PC(Personal Computer：個人計算機)等設備中的因惡意軟件感染等引起的異常的方法，比較設備的行動模式與已知的異常模式來檢測異常的黑名單方式、和比較設備的行動模式與正常狀態的行動模式來檢測異常的白名單方式一直以來被實用化。

此外，已知有如下技術：根據系統負荷信息進行異常判定，確定由發生了異常的設備執行的功能并登記在黑名單中，另一方面，將由未發生異常的設備執行的功能登記在白名單中。

現有技術文獻

專利文獻

專利文獻1：日本特開2017-84296號公報

發明內容

發明要解決的課題

但是，在現有技術中存在有時無法高效地進行異常原因的確定的問題。例如，在黑名單方式中，預先確定了異常模式，因此，在與所確定的異常模式一致的情況下，能夠確定異常原因，但是，難以檢測因未知惡意軟件等引起的異常。另一方面，在白名單方式中，能夠將與正常狀態不一致的行動模式全部作為異常檢測，但是，難以確定異常原因。

此外，在確定由發生了異常的設備執行的功能并登記到黑名單中并將由未發生異常的設備執行的功能登記到白名單中的技術中，只能確定正在進行異常動作的功能，難以確定異常原因。

用于解決課題的手段

為了解決上述課題，達成目的，本發明的生成裝置的特征在于，具有：檢測部，其根據與具有網絡中的通信相關的多個項目的信息，檢測所述網絡的異常；確定部，在由所述檢測部檢測出異常的情況下，所述確定部確定與所述信息各自對應的異常原因；以及模式生成部，其根據所述信息所具有的項目的值和由所述確定部確定的異常原因，生成所述信息的每個規定的集合的異常原因的模式。

發明效果

根據本發明，能夠高效地進行異常原因的確定。

附圖說明

圖1是示出第1實施方式的生成系統的結構的一例的圖。

圖2是示出第1實施方式的生成裝置的結構的一例的圖。

圖3是示出第1實施方式的Row信息的一例的圖。

圖4是用于說明第1實施方式的事件模式的生成的圖。

圖5是用于說明第1實施方式的事件模式的判定的圖。

圖6是示出第1實施方式的事件模式的要素的一例的圖。

圖7是示出第1實施方式的生成裝置的初始設定階段中的處理流程的流程圖。

圖8是示出第1實施方式的生成裝置的運用階段中的處理流程的流程圖。

圖9是示出生成第1實施方式的事件模式的處理流程的流程圖。

圖10是示出執行生成程序的計算機的一例的圖。

具體實施方式

下面，根據附圖來詳細地說明本申請的生成裝置、生成方法和生成程序的實施方式。另外，本發明不限定于以下說明的實施方式。

[第1實施方式的結構]