[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2018073258A - Detection device, detection method, and detection program - Google Patents

Detection device, detection method, and detection program Download PDF

Info

Publication number
JP2018073258A
JP2018073258A JP2016214784A JP2016214784A JP2018073258A JP 2018073258 A JP2018073258 A JP 2018073258A JP 2016214784 A JP2016214784 A JP 2016214784A JP 2016214784 A JP2016214784 A JP 2016214784A JP 2018073258 A JP2018073258 A JP 2018073258A
Authority
JP
Japan
Prior art keywords
data
normal state
detection
abnormal state
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016214784A
Other languages
Japanese (ja)
Other versions
JP6606050B2 (en
Inventor
友貴 山中
Tomoki Yamanaka
友貴 山中
真徳 山田
Masanori Yamada
真徳 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016214784A priority Critical patent/JP6606050B2/en
Publication of JP2018073258A publication Critical patent/JP2018073258A/en
Application granted granted Critical
Publication of JP6606050B2 publication Critical patent/JP6606050B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

PROBLEM TO BE SOLVED: To prevent erroneous detection of an abnormal state in which a characteristic is partially shared with a normal state in abnormality detection using teacherless learning.SOLUTION: An acquisition unit 15a acquires data of an object apparatus. A learning unit 15b learns a model representing characteristics of known data in a normal state. An exclusion unit 15c excludes a part representing characteristics of data in a normal state common to characteristics of known data in an abnormal state from the learnt model by adding a regularization term to a loss function of the known data in an abnormal state and minimizing. A determination unit 15d determines an abnormal state if characteristics different from characteristics of the known data in a normal state based on the model from which a part representing characteristics of data in a normal state common to characteristics of known data in an abnormal state is excluded are extracted from the acquired data.SELECTED DRAWING: Figure 5

Description

本発明は、検知装置、検知方法および検知プログラムに関する。   The present invention relates to a detection device, a detection method, and a detection program.

IoT(Internet of Things)時代が到来し、多種のデバイス(IoT機器)がインターネットに接続され多様な使い方をされるようになっている。これに伴い、IoT機器に対する異常検知システムや侵入検知システム(IDS,Intrusion Detection System)等のセキュリティ対策が期待されている。   With the arrival of the IoT (Internet of Things) era, various devices (IoT devices) are connected to the Internet and used in various ways. Accordingly, security measures such as an abnormality detection system and an intrusion detection system (IDS, Intrusion Detection System) for IoT devices are expected.

例えば、変分オートエンコーダ(非特許文献1参照)等を用いた教師なし学習によりIoT機器の異常を検知する技術が開示されている(非特許文献2参照)。教師なし学習を用いた異常検知においては、正常な状態の特徴を学習することにより、正常な状態とは異なる特徴が抽出された場合に異常と判定される。この技術によれば、異常な状態を学習していなくても異常を検知できるため、脅威情報が知り尽くされていないIoT機器の脅威の検知に有効である。   For example, a technique for detecting an abnormality in an IoT device by unsupervised learning using a variational auto encoder (see Non-Patent Document 1) is disclosed (see Non-Patent Document 2). In abnormality detection using unsupervised learning, it is determined that an abnormality is detected when a feature different from the normal state is extracted by learning a feature in a normal state. According to this technique, an abnormality can be detected without learning an abnormal state, which is effective in detecting a threat of an IoT device for which threat information is not fully known.

Diederik P. Kingma、Max Welling、“Auto-Encoding Variational Bayes”、[online]、2014年5月、[2016年10月11日検索]、インターネット<URL:https://arxiv.org/pdf/1312.6114v10.pdf>Diederik P. Kingma, Max Welling, “Auto-Encoding Variational Bayes”, [online], May 2014, [October 11, 2016 search], Internet <URL: https://arxiv.org/pdf/1312.6114 v10.pdf> Jinwon An、Sungzoon Cho、“Variational Autoencoder based Anomaly Detection using Reconstruction Probability”、[online]、2015年12月、SNU Data Mining Center、[2016年10月31日検索]、インターネット<URL:http://dm.snu.ac.kr/static/docs/TR/SNUDM-TR-2015-03.pdf>Jinwon An, Sungzoon Cho, “Variational Autoencoder based Anomaly Detection using Reconstruction Probability”, [online], December 2015, SNU Data Mining Center, [October 31, 2016 search], Internet <URL: http: // dm .snu.ac.kr / static / docs / TR / SNUDM-TR-2015-03.pdf>

しかしながら、教師なし学習を用いた異常検知において、異常な状態が正常な状態と部分的に特徴を共有する場合に、異常な状態を正常な状態と誤検知してしまう場合がある。この場合に、異常な状態が既知になっても、正常な状態と特徴を共有する異常な状態を正しく異常と検知できるように学習し直すことはできない。   However, in abnormal detection using unsupervised learning, when an abnormal state partially shares a feature with a normal state, the abnormal state may be erroneously detected as a normal state. In this case, even if the abnormal state becomes known, it cannot be re-learned so that the abnormal state sharing characteristics with the normal state can be correctly detected as abnormal.

本発明は、上記に鑑みてなされたものであって、教師なし学習を用いた異常検知において、正常な状態と部分的に特徴を共有する異常な状態の誤検知を防止することを目的とする。   The present invention has been made in view of the above, and an object of the present invention is to prevent erroneous detection of an abnormal state that partially shares characteristics with a normal state in abnormal detection using unsupervised learning. .

上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、対象機器のデータを取得する取得部と、既知の正常な状態のデータの特徴を表すモデルを学習する学習部と、学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外部と、取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定部と、を備えることを特徴とする。   In order to solve the above-described problems and achieve the object, the detection device according to the present invention includes an acquisition unit that acquires data of a target device, and a learning unit that learns a model representing the characteristics of data in a known normal state And from the learned model, an excluding unit that excludes a part representing the characteristic of the data in the normal state in common with the characteristic of the data in the known abnormal state, and the part is excluded from the acquired data. And a determination unit that determines an abnormal state when a feature different from the known normal state data based on the model is extracted.

本発明によれば、教師なし学習を用いた異常検知において、正常な状態と部分的に特徴を共有する異常な状態の誤検知を防止することができる。   ADVANTAGE OF THE INVENTION According to this invention, in the abnormality detection using unsupervised learning, the false detection of the abnormal state which shares a characteristic partially with a normal state can be prevented.

図1は、本発明の一実施形態に係る検知装置を含むシステムの概略構成を例示する模式図である。FIG. 1 is a schematic view illustrating a schematic configuration of a system including a detection device according to an embodiment of the invention. 図2は、検知装置の処理概要を説明するための説明図である。FIG. 2 is an explanatory diagram for explaining an outline of processing of the detection device. 図3は、検知装置の処理概要を説明するための説明図である。FIG. 3 is an explanatory diagram for explaining an outline of processing of the detection device. 図4は、検知装置の処理概要を説明するための説明図である。FIG. 4 is an explanatory diagram for explaining an outline of processing of the detection device. 図5は、検知装置の概略構成を例示する模式図である。FIG. 5 is a schematic view illustrating a schematic configuration of the detection device. 図6は、変分オートエンコーダを説明するための説明図である。FIG. 6 is an explanatory diagram for explaining the variational auto encoder. 図7は、検知処理手順を示すフローチャートである。FIG. 7 is a flowchart showing a detection processing procedure. 図8は、変分オートエンコーダを説明するための説明図である。FIG. 8 is an explanatory diagram for explaining the variational auto encoder. 図9は、実施例を説明するための説明図である。FIG. 9 is an explanatory diagram for explaining the embodiment. 図10は、実施例を説明するための説明図である。FIG. 10 is an explanatory diagram for explaining the embodiment. 図11は、検知プログラムを実行するコンピュータを例示する図である。FIG. 11 is a diagram illustrating a computer that executes a detection program.

以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this embodiment. Moreover, in description of drawing, the same code | symbol is attached | subjected and shown to the same part.

[システム構成]
図1は、本実施形態に係る検知装置を含むシステムの概略構成を例示する模式図である。図1に例示するように、検知装置1は、多数のIoT機器2とネットワーク3を介して接続されている。検知装置1は、IoT機器2からトラフィック情報やデバイスログ情報等の時系列のデータを取得して、教師なし学習器として正常な状態のデータの特徴を学習する。また、検知装置1は、異常検知の対象とするIoT機器2から取得したデータから、学習された正常な状態の特徴とは異なる特徴が抽出された場合に異常な状態と判定することにより、IoT機器2の異常を検知する。
[System configuration]
FIG. 1 is a schematic view illustrating a schematic configuration of a system including a detection device according to this embodiment. As illustrated in FIG. 1, the detection apparatus 1 is connected to a number of IoT devices 2 via a network 3. The detection apparatus 1 acquires time-series data such as traffic information and device log information from the IoT device 2, and learns the characteristics of data in a normal state as an unsupervised learner. In addition, the detection device 1 determines that the state is abnormal when a feature different from the learned normal feature is extracted from the data acquired from the IoT device 2 that is the target of abnormality detection. An abnormality of the device 2 is detected.

ここで、図2〜図4を参照し、本実施形態の検知装置1の処理概要を説明する。図2に例示するように、検知装置1は、正常な状態のデータの分布を学習し、この正常な状態の分布とは異なる分布のデータを異常な状態と判定する。したがって、このままでは、図3に例示するように、既知の異常な状態のデータの分布が、学習した正常な状態のデータの分布の一部と共通する場合には、異常な状態と判定することができない。また、このように正常な状態と共有する異常な状態のデータの分布を、正常な状態のデータの分布と区別して学習することができない。   Here, with reference to FIGS. 2-4, the process outline | summary of the detection apparatus 1 of this embodiment is demonstrated. As illustrated in FIG. 2, the detection device 1 learns the distribution of data in a normal state and determines data having a distribution different from the distribution in the normal state as an abnormal state. Therefore, as illustrated in FIG. 3, if the distribution of the known abnormal state data is in common with a part of the learned normal state data distribution, it is determined that the state is abnormal. I can't. In addition, the distribution of abnormal state data shared with the normal state cannot be learned separately from the distribution of normal state data.

そこで、本実施形態の検知装置1では、図4に例示するように、正常な状態の分布から、異常な状態との共通部分を除外した分布を求める。これにより、検知装置1は、正常な状態を表すモデルに既知の異常な状態をフィードバックして、正常な状態と特徴を共有する異常な状態を誤って正常な状態と判定することを防止する。   Therefore, as illustrated in FIG. 4, the detection device 1 according to the present embodiment obtains a distribution in which a common part with an abnormal state is excluded from a normal state distribution. Thereby, the detection apparatus 1 feeds back a known abnormal state to the model representing the normal state, and prevents an abnormal state sharing characteristics with the normal state from being erroneously determined as a normal state.

[検知装置の構成]
図5は、検知装置1の概略構成を例示する模式図である。図5に例示するように、検知装置1は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
[Configuration of detection device]
FIG. 5 is a schematic view illustrating a schematic configuration of the detection apparatus 1. As illustrated in FIG. 5, the detection device 1 is realized by a general-purpose computer such as a personal computer, and includes an input unit 11, an output unit 12, a communication control unit 13, a storage unit 14, and a control unit 15.

入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。   The input unit 11 is realized by using an input device such as a keyboard or a mouse, and inputs various instruction information such as processing start to the control unit 15 in response to an input operation by the operator. The output unit 12 is realized by a display device such as a liquid crystal display or a printing device such as a printer.

通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介したIoT機器2等の外部の装置と制御部15との通信を制御する。   The communication control unit 13 is realized by a NIC (Network Interface Card) or the like, and controls communication between an external device such as the IoT device 2 and the control unit 15 via a telecommunication line such as a LAN (Local Area Network) or the Internet. To do.

記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する検知処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。   The storage unit 14 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk, and is a model of a normal state specified by a detection process described later. Parameters are stored. The storage unit 14 may be configured to communicate with the control unit 15 via the communication control unit 13.

本実施形態において、記憶部14には、ログデータ14aとモデルパラメータ14bとが格納される。ログデータ14aには、過去のIoT機器2の正常な状態のデータや既知の異常な状態のデータが含まれる。既知の異常な状態とは、例えば、既知の脅威情報に感染した場合に発生し得る異常な状態や、過去に検知できなかった異常な状態を意味する。モデルパラメータ14bには、後述する検知処理により学習された、正常な状態の特徴を表すモデルのパラメータが含まれる。   In the present embodiment, the storage unit 14 stores log data 14a and model parameters 14b. The log data 14a includes data on the normal state of the IoT device 2 in the past and data on a known abnormal state. The known abnormal state means, for example, an abnormal state that may occur when infected with known threat information, or an abnormal state that could not be detected in the past. The model parameter 14b includes a model parameter that is learned by a detection process, which will be described later, and represents a characteristic of a normal state.

制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図5に例示するように、取得部15a、学習部15b、除外部15cおよび判定部15dとして機能する。   The controller 15 is implemented using a CPU (Central Processing Unit) or the like, and executes a processing program stored in a memory. Thereby, the control part 15 functions as the acquisition part 15a, the learning part 15b, the exclusion part 15c, and the determination part 15d so that it may illustrate in FIG.

取得部15aは、対象機器のデータを取得する。具体的に、取得部15aは、後述する検知処理の対象とするIoT機器2から、トラフィック情報やデバイスログ情報等の時系列のデータを取得する。ここで取得されたIoT機器の正常な状態のデータおよび既知の異常な状態のデータは、記憶部14のログデータ14aに格納される。   The acquisition unit 15a acquires data of the target device. Specifically, the acquisition unit 15a acquires time-series data such as traffic information and device log information from the IoT device 2 that is a target of detection processing described later. The acquired normal state data and known abnormal state data of the IoT device are stored in the log data 14 a of the storage unit 14.

学習部15bは、既知の正常な状態のデータの特徴を表すモデルを学習する。例えば、学習部15bは、変分オートエンコーダ等の教師なし学習器で実現される。また、ここで学習されたモデルのパラメータは、記憶部14のモデルパラメータ14bに格納される。   The learning unit 15b learns a model representing the characteristics of data in a known normal state. For example, the learning unit 15b is realized by an unsupervised learning device such as a variational auto encoder. The model parameters learned here are stored in the model parameters 14b of the storage unit 14.

具体的に、学習部15bは、次式(1)に示す損失関数Lを最小にするようにモデルのパラメータを最適化することにより、入力されたデータを学習する。   Specifically, the learning unit 15b learns the input data by optimizing the model parameters so as to minimize the loss function L shown in the following equation (1).

Figure 2018073258
Figure 2018073258

ここで、上記式(1)の第一項はReconstruction loss(以下、Reclossとも記す)と呼ばれる。この第一項は、観測されるデータxと、データxを生成する潜在変数zの事後確率分布を推定し、さらに潜在変数zの確率分布から推定し直したデータxの確率分布との距離を表す。言い換えれば、観測されるデータxと、データxの情報を潜在変数zに圧縮した後に復元し直したデータxとの距離を表す。すなわち、潜在変数zによりデータxの特徴が高精度に抽出されている場合に、値が小さくなる。したがって、値が小さいほど学習されていることを表す指標となる。   Here, the first term of the above formula (1) is referred to as “reconstruction loss” (hereinafter also referred to as “recross”). This first term estimates the distance between the observed data x and the probability distribution of the data x estimated from the probability distribution of the latent variable z that generates the data x and reestimated from the probability distribution of the latent variable z. Represent. In other words, it represents the distance between the observed data x and the data x restored after compressing the information of the data x into the latent variable z. That is, the value is small when the feature of the data x is extracted with high accuracy by the latent variable z. Therefore, the smaller the value is, the better the learning index is.

また、上記式(1)の第二項はKLダイバージェンスと呼ばれる。この第二項は、観測されるデータxから潜在変数zを生成する条件付き確率分布q(z|x)と、データxによらない事前確率分布p(z)との距離を表す。   The second term of the above formula (1) is called KL divergence. This second term represents the distance between the conditional probability distribution q (z | x) that generates the latent variable z from the observed data x and the prior probability distribution p (z) that does not depend on the data x.

したがって、上記の2つの距離の和で表される損失関数Lを最小化することは、2つの距離を同時に最小化することであり、できる限りデータxによらない潜在変数zの確率分布を求めることを意味する。   Therefore, minimizing the loss function L expressed by the sum of the above two distances means minimizing the two distances at the same time, and obtains a probability distribution of the latent variable z that does not depend on the data x as much as possible. Means that.

除外部15cは、学習されたモデルから、既知の異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分を除外する。具体的に、除外部15cは、既知の異常な状態のデータの損失関数に正則化項を付加して最小化することにより、該異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分を除外する。   The excluding unit 15c excludes from the learned model a portion that represents a characteristic of data in a normal state that is common to a characteristic of data in a known abnormal state. Specifically, the exclusion unit 15c adds a regularization term to the loss function of the known abnormal state data and minimizes it, so that the data of the normal state common to the abnormal state data features can be obtained. Exclude features that represent features.

ここで、既知の異常な状態のデータの損失関数Labは、次式(2)のように、右辺第二項に示す正則化項が付加されて定義される。ここで、a,Nはパラメータである。また、正則化項とは、学習を阻害するために導入される項を意味する。 Here, the loss function Lab of the data in a known abnormal state is defined by adding a regularization term shown in the second term on the right side as shown in the following equation (2). Here, a and N are parameters. Further, the regularization term means a term introduced to inhibit learning.

Figure 2018073258
Figure 2018073258

また、上記式(2)の右辺第一項および第二項は、次式(3)のように書き換えることができる。   Further, the first term and the second term on the right side of the above formula (2) can be rewritten as the following formula (3).

Figure 2018073258
Figure 2018073258

図6は、上記式(3)の関数形を例示するグラフである。図6に示すように、関数f(x)は、xすなわちReclossがa以下の場合に発散し、Reclossの最小化を阻害する。一方、Reclossがaより大きい場合には、f(x)がほぼxに等しくなり、正則化項つきの損失関数Labは損失関数Lのようにふるまうことがわかる。言い換えれば、損失関数Labは、Reclossがa以下となる学習が阻害された損失関数Lを意味する。 FIG. 6 is a graph illustrating the functional form of the above equation (3). As shown in FIG. 6, the function f (x) diverges when x, that is, Reclose is a or less, and inhibits the minimization of Reclose. On the other hand, when Reclose is larger than a, f (x) is substantially equal to x, and it can be seen that the loss function L ab with the regularization term behaves like the loss function L. In other words, the loss function L ab means a loss function L in which learning with a Reclose of a or less is inhibited.

従って、除外部15cは、異常な状態のデータを、Reclossがa以下とならないようにして損失関数Labを最小化する学習を行うことにより、正常な状態のデータの特徴から、異常な状態の特徴と共通する部分を除外する。このことは、正常な状態のデータの特徴と、異常な状態と共有する特徴を表す部分との距離を所定の値aより大きく離すことを意味する。すなわち、図4に例示したように、正常な状態のデータの分布から異常な状態のデータの分布を除外することを意味する。 Therefore, exclusion unit 15c, the data of the abnormal state, Recloss by the performing learning to minimize loss function L ab as not less a, from the feature data of the normal state, the abnormal state Exclude parts in common with features. This means that the distance between the feature of the data in the normal state and the portion representing the feature shared with the abnormal state is larger than the predetermined value a. That is, as illustrated in FIG. 4, this means that the distribution of data in an abnormal state is excluded from the distribution of data in a normal state.

図5の説明に戻る。判定部15dは、取得されたデータから、異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する。また、判定部15dは、異常な状態と判定した場合に、警報等を出力部12に出力する。例えば、判定部15dは、アラームを発出したりエラーメッセージを表示したりするように出力部12を制御する。これにより、ネットワーク3に接続された多数のIoT機器2の異常の検知が容易になる。   Returning to the description of FIG. The determination unit 15d has a feature different from the feature of the known normal state data based on the model in which the portion representing the feature of the normal state data common to the feature of the abnormal state data is excluded from the acquired data. Is extracted, an abnormal state is determined. Moreover, the determination part 15d outputs an alarm etc. to the output part 12, when it determines with an abnormal state. For example, the determination unit 15d controls the output unit 12 so as to issue an alarm or display an error message. As a result, it becomes easy to detect anomalies in a number of IoT devices 2 connected to the network 3.

[検知処理]
次に、図7を参照して、本実施形態に係る検知装置1による検知処理について説明する。図7は、検知処理手順を示すフローチャートである。図7のフローチャートは、例えば、検知処理の開始を指示する操作入力があったタイミングで開始される。
[Detection processing]
Next, with reference to FIG. 7, the detection process by the detection apparatus 1 which concerns on this embodiment is demonstrated. FIG. 7 is a flowchart showing a detection processing procedure. The flowchart in FIG. 7 is started, for example, at a timing when there is an operation input instructing start of the detection process.

取得部15aが、対象機器のデータを取得して、ログデータ14aとして記憶部14に格納する(ステップS1)。次に、学習部15bが、記憶部14に格納されているログデータ14aのうち、正常な状態のデータを学習し、正常な状態のデータの特徴を表すモデルのモデルパラメータを特定する(ステップS2)。また、除外部15cが、学習されたモデルから、既知の異常な状態のデータの特徴と共通する部分を除外する(ステップS3)。その際、除外部15cは、既知の異常な状態のデータの損失関数に正則化項を付加して最小化することにより、該異常な状態のデータと共有する正常な状態のデータの特徴を表す部分を除外する。   The acquisition unit 15a acquires the data of the target device and stores it in the storage unit 14 as log data 14a (step S1). Next, the learning unit 15b learns normal state data from the log data 14a stored in the storage unit 14, and specifies model parameters of the model representing the characteristics of the normal state data (step S2). ). Moreover, the exclusion part 15c excludes the part which is common with the characteristic of the data of a known abnormal state from the learned model (step S3). At that time, the exclusion unit 15c adds the regularization term to the loss function of the known abnormal state data and minimizes it, thereby expressing the characteristics of the normal state data shared with the abnormal state data. Exclude parts.

また、取得部15aが最新のデータを取得する(ステップS4)とともに、判定部15dが、取得されたデータの特徴を抽出する。この特徴が、異常な状態のデータの特徴と共通する部分が除外されたモデルに基づく正常な状態のデータの特徴と異ならない場合に(ステップS5,No)、判定部15dは、ステップS4に処理を戻す。一方、この特徴が正常な状態のデータの特徴と異なる場合に(ステップS5,Yes)、判定部15dは、データが異常な状態と判定する(ステップS6)。これにより、一連の検知処理が終了する。   In addition, the acquisition unit 15a acquires the latest data (step S4), and the determination unit 15d extracts the characteristics of the acquired data. When this characteristic is not different from the characteristic of the normal state data based on the model from which the part common to the characteristic of the abnormal state data is excluded (step S5, No), the determination unit 15d performs the process in step S4. To return. On the other hand, when the feature is different from the feature of the data in the normal state (step S5, Yes), the determination unit 15d determines that the data is in an abnormal state (step S6). Thereby, a series of detection processing ends.

以上、説明したように、本実施形態の検知装置1において、取得部15aが、対象機器のデータを取得する。また、学習部15bが、既知の正常な状態のデータの特徴を表すモデルを学習する。また、除外部15cが、学習されたモデルから、既知の異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分を除外する。そして、判定部15dが、取得されたデータから既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する。   As described above, in the detection device 1 of the present embodiment, the acquisition unit 15a acquires the data of the target device. Further, the learning unit 15b learns a model representing the characteristics of data in a known normal state. Further, the exclusion unit 15c excludes from the learned model a portion that represents the characteristics of data in a normal state that is common to the characteristics of data in a known abnormal state. Then, the determination unit 15d determines that the state is abnormal when a feature different from the feature of the known normal state data is extracted from the acquired data.

これにより、検知装置1は、正常な状態を表すモデルに既知の異常な状態をフィードバックして、正常な状態と特徴を共有する異常な状態を誤って正常な状態と判定することを防止することができる。例えば、既知の脅威情報に感染したログデータ14aや過去に検知に失敗したログデータ14a等の既知の異常な状態のデータを用いて学習することにより、異常検知の精度を向上させることができる。このように、教師なし学習を用いた異常検知において、正常な状態と部分的に特徴を共有する異常な状態の誤検知を防止することができる。したがって、IoT機器2に対する脅威を高精度に検知できる。   Accordingly, the detection apparatus 1 feeds back a known abnormal state to a model representing a normal state, and prevents an abnormal state sharing characteristics with the normal state from being erroneously determined as a normal state. Can do. For example, it is possible to improve the accuracy of abnormality detection by learning using data of a known abnormal state such as log data 14a infected with known threat information or log data 14a that has failed to be detected in the past. As described above, in the abnormality detection using the unsupervised learning, it is possible to prevent the erroneous detection of the abnormal state partially sharing the characteristics with the normal state. Therefore, the threat to the IoT device 2 can be detected with high accuracy.

[実施例] [Example]

次に、図8〜図10を参照して、検知装置1の学習部15bが、変分オートエンコーダで実現されている実施例について説明する。図8に例示するように、変分オートエンコーダは、教師なし学習器として、標準的な手書き数字の画像データセットであるMNISTが入力されると、各数字の画像のピクセル位置分布を学習し、各数字を再構成したデータを出力する。   Next, an embodiment in which the learning unit 15b of the detection device 1 is realized by a variational auto encoder will be described with reference to FIGS. As illustrated in FIG. 8, the variational auto-encoder learns the pixel position distribution of each numeric image when MNIST, which is a standard handwritten numeric image data set, is input as an unsupervised learner. Output the reconstructed data of each number.

また、本実施例において、検知装置1に、1,7を除いた0から9までの手書き数字を正常な状態のデータとして学習させる。この場合に、検知装置1は、学習していない手書き数字1,7を異常な状態のデータと判定しなければならない。   In the present embodiment, the detection device 1 is caused to learn handwritten numerals from 0 to 9 excluding 1 and 7 as normal data. In this case, the detection apparatus 1 must determine the unlearned handwritten numerals 1 and 7 as abnormal data.

図9は、従来の正常な状態のデータのみを学習した場合における、学習回数すなわちエポック数と、学習の程度を表す指標であるReconstruction lossとの関係を示す図である。ただし、最終のエポック数を50とした。この場合、図9に例示するように、1,7について、それ以外の数字と比較してReconstruction lossが有意に大きいと言うことはできず、学習されていること、すなわち異常の検知に失敗していることを意味する。これは、1,7が単純な形状であって、正常な状態を意味する他の数字と特徴を部分的に共有しているためと考えることができる。   FIG. 9 is a diagram showing the relationship between the number of learnings, that is, the number of epochs, and the restructuring loss, which is an index representing the degree of learning, when only conventional normal state data is learned. However, the final epoch number was 50. In this case, as illustrated in FIG. 9, it cannot be said that the restructuring loss is significantly larger for the numbers 1 and 7 than the other numbers. Means that This can be considered that 1 and 7 have simple shapes and partially share characteristics with other numbers that mean a normal state.

これに対し、図10は、本実施例の検知装置1における、エポック数とReconstruction lossとの関係を示す図である。ただし、最終のエポック数を50、上記式(2)のa=120、N=15とした。この場合、図10に例示するように、1,7について、それ以外の数字と比較してReconstruction lossが有意に大きく、学習されていないことがわかる。これは、異常の検知に成功していることを意味する。特に1,7のReconstruction lossがおよそa=120であり、正則化項が期待どおりに機能していることがわかる。   On the other hand, FIG. 10 is a diagram illustrating the relationship between the number of epochs and the restructuring loss in the detection apparatus 1 of the present embodiment. However, the final epoch number was 50, a = 120 in the above formula (2), and N = 15. In this case, as illustrated in FIG. 10, it can be seen that Reconstruction loss for 1 and 7 is significantly larger than other numbers and is not learned. This means that the abnormality has been successfully detected. In particular, the Reconstruction loss of 1 and 7 is approximately a = 120, and it can be seen that the regularization term functions as expected.

また、1,7以外の数値についても、学習の収束速度がやや遅くなっているものの、従来の正常な状態のデータのみの学習と同程度に学習が進んでいることがわかる。すなわち、既知の異常な状態と共通する特徴が除外された正常な状態の特徴によっても、正常な状態を再構成できることがわかる。これは、既知の異常な状態と共通する特徴が除外された正常な状態の特徴によっても、正常な状態を正しく識別できることを意味する。このように、上記実施形態の検知装置1により、既知の異常の状態のデータが正常な状態のデータと特徴の一部を共有している場合にも、誤検知を防止できることが確認された。   In addition, it can be seen that the numerical values other than 1 and 7 are learning to the same extent as the conventional learning of only normal data, although the learning convergence speed is slightly slow. That is, it can be seen that the normal state can be reconstructed also by the normal state feature from which the features common to the known abnormal state are excluded. This means that the normal state can be correctly identified by the normal state feature from which the features common to the known abnormal state are excluded. As described above, it has been confirmed that the detection apparatus 1 of the above embodiment can prevent erroneous detection even when the data in a known abnormal state shares part of the characteristics with the data in the normal state.

[プログラム]
上記実施形態に係る検知装置1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置1は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置1として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置1は、IoT機器2の時系列データを入力とし、異常検知結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置1は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置1と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
[program]
It is also possible to create a program in which processing executed by the detection apparatus 1 according to the above embodiment is described in a language that can be executed by a computer. As one embodiment, the detection apparatus 1 can be implemented by installing a detection program that executes the above-described detection processing as package software or online software on a desired computer. For example, the information processing apparatus can function as the detection apparatus 1 by causing the information processing apparatus to execute the above detection program. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, the information processing apparatus includes mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDA (Personal Digital Assistants). In addition, the terminal device used by the user can be a client, and the client can be implemented as a server device that provides services related to the detection processing to the client. For example, the detection device 1 is implemented as a server device that provides a detection processing service that receives time-series data of the IoT device 2 and outputs an abnormality detection result. In this case, the detection apparatus 1 may be implemented as a Web server, or may be implemented as a cloud that provides a service related to the detection process described above by outsourcing. Below, an example of the computer which performs the detection program which implement | achieves the function similar to the detection apparatus 1 is demonstrated.

図11に示すように、検知プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。   As shown in FIG. 11, the computer 1000 that executes the detection program includes, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface. 1070. These units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1031. The disk drive interface 1040 is connected to the disk drive 1041. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1041. For example, a mouse 1051 and a keyboard 1052 are connected to the serial port interface 1050. For example, a display 1061 is connected to the video adapter 1060.

ここで、図11に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。   Here, as shown in FIG. 11, the hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. Each table described in the above embodiment is stored in the hard disk drive 1031 or the memory 1010, for example.

また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置1が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。   Further, the detection program is stored in the hard disk drive 1031 as a program module 1093 in which a command executed by the computer 1000 is described, for example. Specifically, a program module 1093 describing each process executed by the detection apparatus 1 described in the above embodiment is stored in the hard disk drive 1031.

また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。   Data used for information processing by the detection program is stored as program data 1094, for example, in the hard disk drive 1031. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the hard disk drive 1031 to the RAM 1012 as necessary, and executes the above-described procedures.

なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   Note that the program module 1093 and the program data 1094 related to the detection program are not limited to being stored in the hard disk drive 1031, but are stored in a removable storage medium and read by the CPU 1020 via the disk drive 1041 or the like. May be. Alternatively, the program module 1093 and the program data 1094 related to the detection program are stored in another computer connected via a network such as a LAN (Local Area Network) or a WAN (Wide Area Network), and are transmitted via the network interface 1070. It may be read by the CPU 1020.

以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。   As mentioned above, although embodiment which applied the invention made | formed by this inventor was described, this invention is not limited with the description and drawing which make a part of indication of this invention by this embodiment. That is, other embodiments, examples, operational techniques, and the like made by those skilled in the art based on this embodiment are all included in the scope of the present invention.

1 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
15 制御部
15a 取得部
15b 学習部
15c 除外部
15d 判定部
DESCRIPTION OF SYMBOLS 1 Detection apparatus 11 Input part 12 Output part 13 Communication control part 14 Storage part 15 Control part 15a Acquisition part 15b Learning part 15c Exclusion part 15d Determination part

Claims (4)

対象機器のデータを取得する取得部と、
既知の正常な状態のデータの特徴を表すモデルを学習する学習部と、
学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外部と、
取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定部と、
を備えることを特徴とする検知装置。
An acquisition unit for acquiring data of the target device;
A learning unit that learns a model representing characteristics of data in a known normal state;
An excluded unit that excludes from the learned model a portion that represents the characteristics of the data in the normal state in common with the characteristics of the data in the known abnormal state;
A determination unit that determines an abnormal state when a feature different from the feature of the known normal state data based on the model from which the portion is excluded is extracted from the acquired data;
A detection device comprising:
前記除外部は、前記既知の異常な状態のデータの損失関数に正則化項を付加して最小化することにより、該異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外することを特徴とする請求項1に記載の検知装置。   The exclusion unit adds the regularization term to the loss function of the known abnormal state data and minimizes the normal state data feature in common with the abnormal state data feature. The detection device according to claim 1, wherein a portion to be expressed is excluded. 検知装置で実行される検知方法であって、
対象機器のデータを取得する取得工程と、
既知の正常な状態のデータの特徴を表すモデルを学習する学習工程と、
学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外工程と、
取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定工程と、
を含んだことを特徴とする検知方法。
A detection method executed by a detection device,
An acquisition process for acquiring data of the target device;
A learning process for learning a model representing characteristics of data in a known normal state;
An exclusion step of excluding from the learned model a portion representing the characteristics of the normal state data in common with the characteristics of the known abnormal state data;
A determination step of determining an abnormal state when a feature different from a feature of known normal state data based on the model from which the portion is excluded is extracted from the acquired data;
The detection method characterized by including.
コンピュータに、
対象機器のデータを取得する取得ステップと、
既知の正常な状態のデータの特徴を表すモデルを学習する学習ステップと、
学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外ステップと、
取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定ステップと、
を実行させることを特徴とする検知プログラム。
On the computer,
An acquisition step of acquiring data of the target device;
A learning step for learning a model representing characteristics of data in a known normal state;
An exclusion step of excluding from the learned model a portion representing the characteristics of the data in the normal state in common with the characteristics of the data in a known abnormal state;
A determination step of determining an abnormal state when a feature different from the feature of the known normal state data based on the model from which the portion is excluded is extracted from the acquired data;
A detection program characterized by causing
JP2016214784A 2016-11-02 2016-11-02 Detection device, detection method, and detection program Active JP6606050B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016214784A JP6606050B2 (en) 2016-11-02 2016-11-02 Detection device, detection method, and detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016214784A JP6606050B2 (en) 2016-11-02 2016-11-02 Detection device, detection method, and detection program

Publications (2)

Publication Number Publication Date
JP2018073258A true JP2018073258A (en) 2018-05-10
JP6606050B2 JP6606050B2 (en) 2019-11-13

Family

ID=62115439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016214784A Active JP6606050B2 (en) 2016-11-02 2016-11-02 Detection device, detection method, and detection program

Country Status (1)

Country Link
JP (1) JP6606050B2 (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019240038A1 (en) * 2018-06-13 2019-12-19 日本電信電話株式会社 Detection device and detection method
WO2019245006A1 (en) * 2018-06-21 2019-12-26 日本電信電話株式会社 Detecting device and detecting method
CN111531830A (en) * 2019-02-07 2020-08-14 发那科株式会社 State determination device and state determination method
JPWO2020250730A1 (en) * 2019-06-11 2020-12-17
JP2021015405A (en) * 2019-07-11 2021-02-12 株式会社東芝 Learning device, diagnostic device, and learning method
JP2021043499A (en) * 2019-09-06 2021-03-18 三菱電機株式会社 Learning model data reconstruction device, learning model data reconstruction method, and learning model data reconstruction program
KR20210057194A (en) 2018-11-16 2021-05-20 미쓰비시덴키 가부시키가이샤 Attack detection device, attack detection method, and attack detection program
EP3913450A1 (en) * 2018-10-11 2021-11-24 Fujitsu General Limited Air conditioner
CN113807527A (en) * 2020-06-11 2021-12-17 华硕电脑股份有限公司 Signal detection method and electronic device using same
US11501172B2 (en) * 2018-12-13 2022-11-15 Sap Se Accurately identifying members of training data in variational autoencoders by reconstruction error
WO2023228316A1 (en) * 2022-05-25 2023-11-30 日本電信電話株式会社 Detection device, detection method, and detection program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010191556A (en) * 2009-02-17 2010-09-02 Hitachi Ltd Abnormality detecting method and abnormality detecting system
JP2015087973A (en) * 2013-10-31 2015-05-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Generation device, generation method, and program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010191556A (en) * 2009-02-17 2010-09-02 Hitachi Ltd Abnormality detecting method and abnormality detecting system
JP2015087973A (en) * 2013-10-31 2015-05-07 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Generation device, generation method, and program

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7014054B2 (en) 2018-06-13 2022-02-01 日本電信電話株式会社 Detection device and detection method
JP2019215757A (en) * 2018-06-13 2019-12-19 日本電信電話株式会社 Detector and detection method
CN112262387B (en) * 2018-06-13 2024-08-09 日本电信电话株式会社 Detection device and detection method
US11563654B2 (en) 2018-06-13 2023-01-24 Nippon Telegraph And Telephone Corporation Detection device and detection method
CN112262387A (en) * 2018-06-13 2021-01-22 日本电信电话株式会社 Detection device and detection method
AU2019287212B2 (en) * 2018-06-13 2022-07-14 Nippon Telegraph And Telephone Corporation Detection device and detection method
WO2019240038A1 (en) * 2018-06-13 2019-12-19 日本電信電話株式会社 Detection device and detection method
WO2019245006A1 (en) * 2018-06-21 2019-12-26 日本電信電話株式会社 Detecting device and detecting method
JP2019220892A (en) * 2018-06-21 2019-12-26 日本電信電話株式会社 Detection device and detection method
US11847210B2 (en) 2018-06-21 2023-12-19 Nippon Telegraph And Telephone Corporation Detecting device and detecting method
JP7091872B2 (en) 2018-06-21 2022-06-28 日本電信電話株式会社 Detection device and detection method
AU2019357534B2 (en) * 2018-10-11 2022-06-16 Fujitsu General Limited Air conditioner, data transmission method, and air conditioning system
EP3913450A1 (en) * 2018-10-11 2021-11-24 Fujitsu General Limited Air conditioner
EP3865782A4 (en) * 2018-10-11 2022-06-29 Fujitsu General Limited Air conditioner, data transmission method, and air conditioning system
US11976835B2 (en) 2018-10-11 2024-05-07 Fujitsu General Limited Air conditioner, data transmission method, and air conditioning system
AU2021205028B2 (en) * 2018-10-11 2022-09-22 Fujitsu General Limited Air conditioner, data transmission method, and air conditioning system
US11976834B2 (en) 2018-10-11 2024-05-07 Fujitsu General Limited Air conditioner, data transmission method, and air conditioning system
US11959654B2 (en) 2018-10-11 2024-04-16 Fujitsu General Limited Air conditioner, data transmission method, and air conditioning system
KR20210057194A (en) 2018-11-16 2021-05-20 미쓰비시덴키 가부시키가이샤 Attack detection device, attack detection method, and attack detection program
US11501172B2 (en) * 2018-12-13 2022-11-15 Sap Se Accurately identifying members of training data in variational autoencoders by reconstruction error
US11731332B2 (en) 2019-02-07 2023-08-22 Fanuc Corporation State determination device and state determination method
CN111531830A (en) * 2019-02-07 2020-08-14 发那科株式会社 State determination device and state determination method
WO2020250730A1 (en) * 2019-06-11 2020-12-17 日本電気株式会社 Fraud detection device, fraud detection method, and fraud detection program
JPWO2020250730A1 (en) * 2019-06-11 2020-12-17
JP7254649B2 (en) 2019-07-11 2023-04-10 株式会社東芝 LEARNING DEVICE, DIAGNOSTIC DEVICE, AND LEARNING METHOD
JP2021015405A (en) * 2019-07-11 2021-02-12 株式会社東芝 Learning device, diagnostic device, and learning method
JP2021043499A (en) * 2019-09-06 2021-03-18 三菱電機株式会社 Learning model data reconstruction device, learning model data reconstruction method, and learning model data reconstruction program
CN113807527A (en) * 2020-06-11 2021-12-17 华硕电脑股份有限公司 Signal detection method and electronic device using same
WO2023228316A1 (en) * 2022-05-25 2023-11-30 日本電信電話株式会社 Detection device, detection method, and detection program

Also Published As

Publication number Publication date
JP6606050B2 (en) 2019-11-13

Similar Documents

Publication Publication Date Title
JP6606050B2 (en) Detection device, detection method, and detection program
CN109478263B (en) System and apparatus for architecture evaluation and policy enforcement
JP6099793B2 (en) Method and system for automatic selection of one or more image processing algorithms
RU2713574C1 (en) Systems and devices for assessing the architecture and implementing strategies for security
US11847210B2 (en) Detecting device and detecting method
JP6691094B2 (en) Learning device, detection system, learning method and learning program
CN113010896A (en) Method, apparatus, device, medium and program product for determining an abnormal object
WO2019244930A1 (en) Detecting device, detecting method, and detecting program
JP7247628B2 (en) Creation device, creation system, creation method and creation program
JP7331940B2 (en) LEARNING DEVICE, ESTIMATION DEVICE, LEARNING METHOD, AND LEARNING PROGRAM
JP6767312B2 (en) Detection system, detection method and detection program
EP4270227B1 (en) Method and system for anomaly detection in a network
JP2019040423A (en) Detection device, detection method, and detection program
JP2018073241A (en) Detection device, detection method, and detection program
WO2020234977A1 (en) Information processing device, creation method, and creation program
JP7331938B2 (en) LEARNING DEVICE, ESTIMATION DEVICE, LEARNING METHOD, AND LEARNING PROGRAM
JP7420244B2 (en) Learning device, learning method, estimation device, estimation method and program
CN115719433A (en) Training method and device of image classification model and electronic equipment
KR102706150B1 (en) Server and method for controlling the server
JP2019003533A (en) Detection apparatus and detection method
US11775403B2 (en) Method and system for developing an anomaly detector for detecting an anomaly parameter on network terminals in a distributed network
US12028352B2 (en) Learning method, learning device, and learning program
JP7533594B2 (en) Learning device, learning method, and learning program
US20240303966A1 (en) Detection device, detection method, and detection program
US11082446B1 (en) Malware infection prediction and prevention

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191015

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191017

R150 Certificate of patent or registration of utility model

Ref document number: 6606050

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150