JP2018073258A - Detection device, detection method, and detection program - Google Patents
Detection device, detection method, and detection program Download PDFInfo
- Publication number
- JP2018073258A JP2018073258A JP2016214784A JP2016214784A JP2018073258A JP 2018073258 A JP2018073258 A JP 2018073258A JP 2016214784 A JP2016214784 A JP 2016214784A JP 2016214784 A JP2016214784 A JP 2016214784A JP 2018073258 A JP2018073258 A JP 2018073258A
- Authority
- JP
- Japan
- Prior art keywords
- data
- normal state
- detection
- abnormal state
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、検知装置、検知方法および検知プログラムに関する。 The present invention relates to a detection device, a detection method, and a detection program.
IoT(Internet of Things)時代が到来し、多種のデバイス(IoT機器)がインターネットに接続され多様な使い方をされるようになっている。これに伴い、IoT機器に対する異常検知システムや侵入検知システム(IDS,Intrusion Detection System)等のセキュリティ対策が期待されている。 With the arrival of the IoT (Internet of Things) era, various devices (IoT devices) are connected to the Internet and used in various ways. Accordingly, security measures such as an abnormality detection system and an intrusion detection system (IDS, Intrusion Detection System) for IoT devices are expected.
例えば、変分オートエンコーダ(非特許文献1参照)等を用いた教師なし学習によりIoT機器の異常を検知する技術が開示されている(非特許文献2参照)。教師なし学習を用いた異常検知においては、正常な状態の特徴を学習することにより、正常な状態とは異なる特徴が抽出された場合に異常と判定される。この技術によれば、異常な状態を学習していなくても異常を検知できるため、脅威情報が知り尽くされていないIoT機器の脅威の検知に有効である。 For example, a technique for detecting an abnormality in an IoT device by unsupervised learning using a variational auto encoder (see Non-Patent Document 1) is disclosed (see Non-Patent Document 2). In abnormality detection using unsupervised learning, it is determined that an abnormality is detected when a feature different from the normal state is extracted by learning a feature in a normal state. According to this technique, an abnormality can be detected without learning an abnormal state, which is effective in detecting a threat of an IoT device for which threat information is not fully known.
しかしながら、教師なし学習を用いた異常検知において、異常な状態が正常な状態と部分的に特徴を共有する場合に、異常な状態を正常な状態と誤検知してしまう場合がある。この場合に、異常な状態が既知になっても、正常な状態と特徴を共有する異常な状態を正しく異常と検知できるように学習し直すことはできない。 However, in abnormal detection using unsupervised learning, when an abnormal state partially shares a feature with a normal state, the abnormal state may be erroneously detected as a normal state. In this case, even if the abnormal state becomes known, it cannot be re-learned so that the abnormal state sharing characteristics with the normal state can be correctly detected as abnormal.
本発明は、上記に鑑みてなされたものであって、教師なし学習を用いた異常検知において、正常な状態と部分的に特徴を共有する異常な状態の誤検知を防止することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to prevent erroneous detection of an abnormal state that partially shares characteristics with a normal state in abnormal detection using unsupervised learning. .
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、対象機器のデータを取得する取得部と、既知の正常な状態のデータの特徴を表すモデルを学習する学習部と、学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外部と、取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定部と、を備えることを特徴とする。 In order to solve the above-described problems and achieve the object, the detection device according to the present invention includes an acquisition unit that acquires data of a target device, and a learning unit that learns a model representing the characteristics of data in a known normal state And from the learned model, an excluding unit that excludes a part representing the characteristic of the data in the normal state in common with the characteristic of the data in the known abnormal state, and the part is excluded from the acquired data. And a determination unit that determines an abnormal state when a feature different from the known normal state data based on the model is extracted.
本発明によれば、教師なし学習を用いた異常検知において、正常な状態と部分的に特徴を共有する異常な状態の誤検知を防止することができる。 ADVANTAGE OF THE INVENTION According to this invention, in the abnormality detection using unsupervised learning, the false detection of the abnormal state which shares a characteristic partially with a normal state can be prevented.
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this embodiment. Moreover, in description of drawing, the same code | symbol is attached | subjected and shown to the same part.
[システム構成]
図1は、本実施形態に係る検知装置を含むシステムの概略構成を例示する模式図である。図1に例示するように、検知装置1は、多数のIoT機器2とネットワーク3を介して接続されている。検知装置1は、IoT機器2からトラフィック情報やデバイスログ情報等の時系列のデータを取得して、教師なし学習器として正常な状態のデータの特徴を学習する。また、検知装置1は、異常検知の対象とするIoT機器2から取得したデータから、学習された正常な状態の特徴とは異なる特徴が抽出された場合に異常な状態と判定することにより、IoT機器2の異常を検知する。
[System configuration]
FIG. 1 is a schematic view illustrating a schematic configuration of a system including a detection device according to this embodiment. As illustrated in FIG. 1, the
ここで、図2〜図4を参照し、本実施形態の検知装置1の処理概要を説明する。図2に例示するように、検知装置1は、正常な状態のデータの分布を学習し、この正常な状態の分布とは異なる分布のデータを異常な状態と判定する。したがって、このままでは、図3に例示するように、既知の異常な状態のデータの分布が、学習した正常な状態のデータの分布の一部と共通する場合には、異常な状態と判定することができない。また、このように正常な状態と共有する異常な状態のデータの分布を、正常な状態のデータの分布と区別して学習することができない。
Here, with reference to FIGS. 2-4, the process outline | summary of the
そこで、本実施形態の検知装置1では、図4に例示するように、正常な状態の分布から、異常な状態との共通部分を除外した分布を求める。これにより、検知装置1は、正常な状態を表すモデルに既知の異常な状態をフィードバックして、正常な状態と特徴を共有する異常な状態を誤って正常な状態と判定することを防止する。
Therefore, as illustrated in FIG. 4, the
[検知装置の構成]
図5は、検知装置1の概略構成を例示する模式図である。図5に例示するように、検知装置1は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
[Configuration of detection device]
FIG. 5 is a schematic view illustrating a schematic configuration of the
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
The input unit 11 is realized by using an input device such as a keyboard or a mouse, and inputs various instruction information such as processing start to the
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介したIoT機器2等の外部の装置と制御部15との通信を制御する。
The
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する検知処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
The storage unit 14 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory, or a storage device such as a hard disk or an optical disk, and is a model of a normal state specified by a detection process described later. Parameters are stored. The storage unit 14 may be configured to communicate with the
本実施形態において、記憶部14には、ログデータ14aとモデルパラメータ14bとが格納される。ログデータ14aには、過去のIoT機器2の正常な状態のデータや既知の異常な状態のデータが含まれる。既知の異常な状態とは、例えば、既知の脅威情報に感染した場合に発生し得る異常な状態や、過去に検知できなかった異常な状態を意味する。モデルパラメータ14bには、後述する検知処理により学習された、正常な状態の特徴を表すモデルのパラメータが含まれる。
In the present embodiment, the storage unit 14 stores log data 14a and model parameters 14b. The log data 14a includes data on the normal state of the
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図5に例示するように、取得部15a、学習部15b、除外部15cおよび判定部15dとして機能する。
The
取得部15aは、対象機器のデータを取得する。具体的に、取得部15aは、後述する検知処理の対象とするIoT機器2から、トラフィック情報やデバイスログ情報等の時系列のデータを取得する。ここで取得されたIoT機器の正常な状態のデータおよび既知の異常な状態のデータは、記憶部14のログデータ14aに格納される。
The acquisition unit 15a acquires data of the target device. Specifically, the acquisition unit 15a acquires time-series data such as traffic information and device log information from the
学習部15bは、既知の正常な状態のデータの特徴を表すモデルを学習する。例えば、学習部15bは、変分オートエンコーダ等の教師なし学習器で実現される。また、ここで学習されたモデルのパラメータは、記憶部14のモデルパラメータ14bに格納される。
The
具体的に、学習部15bは、次式(1)に示す損失関数Lを最小にするようにモデルのパラメータを最適化することにより、入力されたデータを学習する。
Specifically, the
ここで、上記式(1)の第一項はReconstruction loss(以下、Reclossとも記す)と呼ばれる。この第一項は、観測されるデータxと、データxを生成する潜在変数zの事後確率分布を推定し、さらに潜在変数zの確率分布から推定し直したデータxの確率分布との距離を表す。言い換えれば、観測されるデータxと、データxの情報を潜在変数zに圧縮した後に復元し直したデータxとの距離を表す。すなわち、潜在変数zによりデータxの特徴が高精度に抽出されている場合に、値が小さくなる。したがって、値が小さいほど学習されていることを表す指標となる。 Here, the first term of the above formula (1) is referred to as “reconstruction loss” (hereinafter also referred to as “recross”). This first term estimates the distance between the observed data x and the probability distribution of the data x estimated from the probability distribution of the latent variable z that generates the data x and reestimated from the probability distribution of the latent variable z. Represent. In other words, it represents the distance between the observed data x and the data x restored after compressing the information of the data x into the latent variable z. That is, the value is small when the feature of the data x is extracted with high accuracy by the latent variable z. Therefore, the smaller the value is, the better the learning index is.
また、上記式(1)の第二項はKLダイバージェンスと呼ばれる。この第二項は、観測されるデータxから潜在変数zを生成する条件付き確率分布q(z|x)と、データxによらない事前確率分布p(z)との距離を表す。 The second term of the above formula (1) is called KL divergence. This second term represents the distance between the conditional probability distribution q (z | x) that generates the latent variable z from the observed data x and the prior probability distribution p (z) that does not depend on the data x.
したがって、上記の2つの距離の和で表される損失関数Lを最小化することは、2つの距離を同時に最小化することであり、できる限りデータxによらない潜在変数zの確率分布を求めることを意味する。 Therefore, minimizing the loss function L expressed by the sum of the above two distances means minimizing the two distances at the same time, and obtains a probability distribution of the latent variable z that does not depend on the data x as much as possible. Means that.
除外部15cは、学習されたモデルから、既知の異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分を除外する。具体的に、除外部15cは、既知の異常な状態のデータの損失関数に正則化項を付加して最小化することにより、該異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分を除外する。 The excluding unit 15c excludes from the learned model a portion that represents a characteristic of data in a normal state that is common to a characteristic of data in a known abnormal state. Specifically, the exclusion unit 15c adds a regularization term to the loss function of the known abnormal state data and minimizes it, so that the data of the normal state common to the abnormal state data features can be obtained. Exclude features that represent features.
ここで、既知の異常な状態のデータの損失関数Labは、次式(2)のように、右辺第二項に示す正則化項が付加されて定義される。ここで、a,Nはパラメータである。また、正則化項とは、学習を阻害するために導入される項を意味する。 Here, the loss function Lab of the data in a known abnormal state is defined by adding a regularization term shown in the second term on the right side as shown in the following equation (2). Here, a and N are parameters. Further, the regularization term means a term introduced to inhibit learning.
また、上記式(2)の右辺第一項および第二項は、次式(3)のように書き換えることができる。 Further, the first term and the second term on the right side of the above formula (2) can be rewritten as the following formula (3).
図6は、上記式(3)の関数形を例示するグラフである。図6に示すように、関数f(x)は、xすなわちReclossがa以下の場合に発散し、Reclossの最小化を阻害する。一方、Reclossがaより大きい場合には、f(x)がほぼxに等しくなり、正則化項つきの損失関数Labは損失関数Lのようにふるまうことがわかる。言い換えれば、損失関数Labは、Reclossがa以下となる学習が阻害された損失関数Lを意味する。 FIG. 6 is a graph illustrating the functional form of the above equation (3). As shown in FIG. 6, the function f (x) diverges when x, that is, Reclose is a or less, and inhibits the minimization of Reclose. On the other hand, when Reclose is larger than a, f (x) is substantially equal to x, and it can be seen that the loss function L ab with the regularization term behaves like the loss function L. In other words, the loss function L ab means a loss function L in which learning with a Reclose of a or less is inhibited.
従って、除外部15cは、異常な状態のデータを、Reclossがa以下とならないようにして損失関数Labを最小化する学習を行うことにより、正常な状態のデータの特徴から、異常な状態の特徴と共通する部分を除外する。このことは、正常な状態のデータの特徴と、異常な状態と共有する特徴を表す部分との距離を所定の値aより大きく離すことを意味する。すなわち、図4に例示したように、正常な状態のデータの分布から異常な状態のデータの分布を除外することを意味する。 Therefore, exclusion unit 15c, the data of the abnormal state, Recloss by the performing learning to minimize loss function L ab as not less a, from the feature data of the normal state, the abnormal state Exclude parts in common with features. This means that the distance between the feature of the data in the normal state and the portion representing the feature shared with the abnormal state is larger than the predetermined value a. That is, as illustrated in FIG. 4, this means that the distribution of data in an abnormal state is excluded from the distribution of data in a normal state.
図5の説明に戻る。判定部15dは、取得されたデータから、異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する。また、判定部15dは、異常な状態と判定した場合に、警報等を出力部12に出力する。例えば、判定部15dは、アラームを発出したりエラーメッセージを表示したりするように出力部12を制御する。これにより、ネットワーク3に接続された多数のIoT機器2の異常の検知が容易になる。
Returning to the description of FIG. The determination unit 15d has a feature different from the feature of the known normal state data based on the model in which the portion representing the feature of the normal state data common to the feature of the abnormal state data is excluded from the acquired data. Is extracted, an abnormal state is determined. Moreover, the determination part 15d outputs an alarm etc. to the output part 12, when it determines with an abnormal state. For example, the determination unit 15d controls the output unit 12 so as to issue an alarm or display an error message. As a result, it becomes easy to detect anomalies in a number of
[検知処理]
次に、図7を参照して、本実施形態に係る検知装置1による検知処理について説明する。図7は、検知処理手順を示すフローチャートである。図7のフローチャートは、例えば、検知処理の開始を指示する操作入力があったタイミングで開始される。
[Detection processing]
Next, with reference to FIG. 7, the detection process by the
取得部15aが、対象機器のデータを取得して、ログデータ14aとして記憶部14に格納する(ステップS1)。次に、学習部15bが、記憶部14に格納されているログデータ14aのうち、正常な状態のデータを学習し、正常な状態のデータの特徴を表すモデルのモデルパラメータを特定する(ステップS2)。また、除外部15cが、学習されたモデルから、既知の異常な状態のデータの特徴と共通する部分を除外する(ステップS3)。その際、除外部15cは、既知の異常な状態のデータの損失関数に正則化項を付加して最小化することにより、該異常な状態のデータと共有する正常な状態のデータの特徴を表す部分を除外する。
The acquisition unit 15a acquires the data of the target device and stores it in the storage unit 14 as log data 14a (step S1). Next, the
また、取得部15aが最新のデータを取得する(ステップS4)とともに、判定部15dが、取得されたデータの特徴を抽出する。この特徴が、異常な状態のデータの特徴と共通する部分が除外されたモデルに基づく正常な状態のデータの特徴と異ならない場合に(ステップS5,No)、判定部15dは、ステップS4に処理を戻す。一方、この特徴が正常な状態のデータの特徴と異なる場合に(ステップS5,Yes)、判定部15dは、データが異常な状態と判定する(ステップS6)。これにより、一連の検知処理が終了する。 In addition, the acquisition unit 15a acquires the latest data (step S4), and the determination unit 15d extracts the characteristics of the acquired data. When this characteristic is not different from the characteristic of the normal state data based on the model from which the part common to the characteristic of the abnormal state data is excluded (step S5, No), the determination unit 15d performs the process in step S4. To return. On the other hand, when the feature is different from the feature of the data in the normal state (step S5, Yes), the determination unit 15d determines that the data is in an abnormal state (step S6). Thereby, a series of detection processing ends.
以上、説明したように、本実施形態の検知装置1において、取得部15aが、対象機器のデータを取得する。また、学習部15bが、既知の正常な状態のデータの特徴を表すモデルを学習する。また、除外部15cが、学習されたモデルから、既知の異常な状態のデータの特徴と共通する正常な状態のデータの特徴を表す部分を除外する。そして、判定部15dが、取得されたデータから既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する。
As described above, in the
これにより、検知装置1は、正常な状態を表すモデルに既知の異常な状態をフィードバックして、正常な状態と特徴を共有する異常な状態を誤って正常な状態と判定することを防止することができる。例えば、既知の脅威情報に感染したログデータ14aや過去に検知に失敗したログデータ14a等の既知の異常な状態のデータを用いて学習することにより、異常検知の精度を向上させることができる。このように、教師なし学習を用いた異常検知において、正常な状態と部分的に特徴を共有する異常な状態の誤検知を防止することができる。したがって、IoT機器2に対する脅威を高精度に検知できる。
Accordingly, the
[実施例] [Example]
次に、図8〜図10を参照して、検知装置1の学習部15bが、変分オートエンコーダで実現されている実施例について説明する。図8に例示するように、変分オートエンコーダは、教師なし学習器として、標準的な手書き数字の画像データセットであるMNISTが入力されると、各数字の画像のピクセル位置分布を学習し、各数字を再構成したデータを出力する。
Next, an embodiment in which the
また、本実施例において、検知装置1に、1,7を除いた0から9までの手書き数字を正常な状態のデータとして学習させる。この場合に、検知装置1は、学習していない手書き数字1,7を異常な状態のデータと判定しなければならない。
In the present embodiment, the
図9は、従来の正常な状態のデータのみを学習した場合における、学習回数すなわちエポック数と、学習の程度を表す指標であるReconstruction lossとの関係を示す図である。ただし、最終のエポック数を50とした。この場合、図9に例示するように、1,7について、それ以外の数字と比較してReconstruction lossが有意に大きいと言うことはできず、学習されていること、すなわち異常の検知に失敗していることを意味する。これは、1,7が単純な形状であって、正常な状態を意味する他の数字と特徴を部分的に共有しているためと考えることができる。
FIG. 9 is a diagram showing the relationship between the number of learnings, that is, the number of epochs, and the restructuring loss, which is an index representing the degree of learning, when only conventional normal state data is learned. However, the final epoch number was 50. In this case, as illustrated in FIG. 9, it cannot be said that the restructuring loss is significantly larger for the
これに対し、図10は、本実施例の検知装置1における、エポック数とReconstruction lossとの関係を示す図である。ただし、最終のエポック数を50、上記式(2)のa=120、N=15とした。この場合、図10に例示するように、1,7について、それ以外の数字と比較してReconstruction lossが有意に大きく、学習されていないことがわかる。これは、異常の検知に成功していることを意味する。特に1,7のReconstruction lossがおよそa=120であり、正則化項が期待どおりに機能していることがわかる。
On the other hand, FIG. 10 is a diagram illustrating the relationship between the number of epochs and the restructuring loss in the
また、1,7以外の数値についても、学習の収束速度がやや遅くなっているものの、従来の正常な状態のデータのみの学習と同程度に学習が進んでいることがわかる。すなわち、既知の異常な状態と共通する特徴が除外された正常な状態の特徴によっても、正常な状態を再構成できることがわかる。これは、既知の異常な状態と共通する特徴が除外された正常な状態の特徴によっても、正常な状態を正しく識別できることを意味する。このように、上記実施形態の検知装置1により、既知の異常の状態のデータが正常な状態のデータと特徴の一部を共有している場合にも、誤検知を防止できることが確認された。
In addition, it can be seen that the numerical values other than 1 and 7 are learning to the same extent as the conventional learning of only normal data, although the learning convergence speed is slightly slow. That is, it can be seen that the normal state can be reconstructed also by the normal state feature from which the features common to the known abnormal state are excluded. This means that the normal state can be correctly identified by the normal state feature from which the features common to the known abnormal state are excluded. As described above, it has been confirmed that the
[プログラム]
上記実施形態に係る検知装置1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置1は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置1として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。また、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置1は、IoT機器2の時系列データを入力とし、異常検知結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置1は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置1と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
[program]
It is also possible to create a program in which processing executed by the
図11に示すように、検知プログラムを実行するコンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
As shown in FIG. 11, the
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
The
ここで、図11に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
Here, as shown in FIG. 11, the hard disk drive 1031 stores, for example, an
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置1が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
Further, the detection program is stored in the hard disk drive 1031 as a
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Data used for information processing by the detection program is stored as
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
Note that the
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。 As mentioned above, although embodiment which applied the invention made | formed by this inventor was described, this invention is not limited with the description and drawing which make a part of indication of this invention by this embodiment. That is, other embodiments, examples, operational techniques, and the like made by those skilled in the art based on this embodiment are all included in the scope of the present invention.
1 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
15 制御部
15a 取得部
15b 学習部
15c 除外部
15d 判定部
DESCRIPTION OF
Claims (4)
既知の正常な状態のデータの特徴を表すモデルを学習する学習部と、
学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外部と、
取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定部と、
を備えることを特徴とする検知装置。 An acquisition unit for acquiring data of the target device;
A learning unit that learns a model representing characteristics of data in a known normal state;
An excluded unit that excludes from the learned model a portion that represents the characteristics of the data in the normal state in common with the characteristics of the data in the known abnormal state;
A determination unit that determines an abnormal state when a feature different from the feature of the known normal state data based on the model from which the portion is excluded is extracted from the acquired data;
A detection device comprising:
対象機器のデータを取得する取得工程と、
既知の正常な状態のデータの特徴を表すモデルを学習する学習工程と、
学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外工程と、
取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定工程と、
を含んだことを特徴とする検知方法。 A detection method executed by a detection device,
An acquisition process for acquiring data of the target device;
A learning process for learning a model representing characteristics of data in a known normal state;
An exclusion step of excluding from the learned model a portion representing the characteristics of the normal state data in common with the characteristics of the known abnormal state data;
A determination step of determining an abnormal state when a feature different from a feature of known normal state data based on the model from which the portion is excluded is extracted from the acquired data;
The detection method characterized by including.
対象機器のデータを取得する取得ステップと、
既知の正常な状態のデータの特徴を表すモデルを学習する学習ステップと、
学習された前記モデルから、既知の異常な状態のデータの特徴と共通する前記正常な状態のデータの特徴を表す部分を除外する除外ステップと、
取得されたデータから、前記部分が除外されたモデルに基づく既知の正常な状態のデータの特徴と異なる特徴が抽出された場合に、異常な状態と判定する判定ステップと、
を実行させることを特徴とする検知プログラム。 On the computer,
An acquisition step of acquiring data of the target device;
A learning step for learning a model representing characteristics of data in a known normal state;
An exclusion step of excluding from the learned model a portion representing the characteristics of the data in the normal state in common with the characteristics of the data in a known abnormal state;
A determination step of determining an abnormal state when a feature different from the feature of the known normal state data based on the model from which the portion is excluded is extracted from the acquired data;
A detection program characterized by causing
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016214784A JP6606050B2 (en) | 2016-11-02 | 2016-11-02 | Detection device, detection method, and detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016214784A JP6606050B2 (en) | 2016-11-02 | 2016-11-02 | Detection device, detection method, and detection program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018073258A true JP2018073258A (en) | 2018-05-10 |
JP6606050B2 JP6606050B2 (en) | 2019-11-13 |
Family
ID=62115439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016214784A Active JP6606050B2 (en) | 2016-11-02 | 2016-11-02 | Detection device, detection method, and detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6606050B2 (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019240038A1 (en) * | 2018-06-13 | 2019-12-19 | 日本電信電話株式会社 | Detection device and detection method |
WO2019245006A1 (en) * | 2018-06-21 | 2019-12-26 | 日本電信電話株式会社 | Detecting device and detecting method |
CN111531830A (en) * | 2019-02-07 | 2020-08-14 | 发那科株式会社 | State determination device and state determination method |
JPWO2020250730A1 (en) * | 2019-06-11 | 2020-12-17 | ||
JP2021015405A (en) * | 2019-07-11 | 2021-02-12 | 株式会社東芝 | Learning device, diagnostic device, and learning method |
JP2021043499A (en) * | 2019-09-06 | 2021-03-18 | 三菱電機株式会社 | Learning model data reconstruction device, learning model data reconstruction method, and learning model data reconstruction program |
KR20210057194A (en) | 2018-11-16 | 2021-05-20 | 미쓰비시덴키 가부시키가이샤 | Attack detection device, attack detection method, and attack detection program |
EP3913450A1 (en) * | 2018-10-11 | 2021-11-24 | Fujitsu General Limited | Air conditioner |
CN113807527A (en) * | 2020-06-11 | 2021-12-17 | 华硕电脑股份有限公司 | Signal detection method and electronic device using same |
US11501172B2 (en) * | 2018-12-13 | 2022-11-15 | Sap Se | Accurately identifying members of training data in variational autoencoders by reconstruction error |
WO2023228316A1 (en) * | 2022-05-25 | 2023-11-30 | 日本電信電話株式会社 | Detection device, detection method, and detection program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010191556A (en) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | Abnormality detecting method and abnormality detecting system |
JP2015087973A (en) * | 2013-10-31 | 2015-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Generation device, generation method, and program |
-
2016
- 2016-11-02 JP JP2016214784A patent/JP6606050B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010191556A (en) * | 2009-02-17 | 2010-09-02 | Hitachi Ltd | Abnormality detecting method and abnormality detecting system |
JP2015087973A (en) * | 2013-10-31 | 2015-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Generation device, generation method, and program |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7014054B2 (en) | 2018-06-13 | 2022-02-01 | 日本電信電話株式会社 | Detection device and detection method |
JP2019215757A (en) * | 2018-06-13 | 2019-12-19 | 日本電信電話株式会社 | Detector and detection method |
CN112262387B (en) * | 2018-06-13 | 2024-08-09 | 日本电信电话株式会社 | Detection device and detection method |
US11563654B2 (en) | 2018-06-13 | 2023-01-24 | Nippon Telegraph And Telephone Corporation | Detection device and detection method |
CN112262387A (en) * | 2018-06-13 | 2021-01-22 | 日本电信电话株式会社 | Detection device and detection method |
AU2019287212B2 (en) * | 2018-06-13 | 2022-07-14 | Nippon Telegraph And Telephone Corporation | Detection device and detection method |
WO2019240038A1 (en) * | 2018-06-13 | 2019-12-19 | 日本電信電話株式会社 | Detection device and detection method |
WO2019245006A1 (en) * | 2018-06-21 | 2019-12-26 | 日本電信電話株式会社 | Detecting device and detecting method |
JP2019220892A (en) * | 2018-06-21 | 2019-12-26 | 日本電信電話株式会社 | Detection device and detection method |
US11847210B2 (en) | 2018-06-21 | 2023-12-19 | Nippon Telegraph And Telephone Corporation | Detecting device and detecting method |
JP7091872B2 (en) | 2018-06-21 | 2022-06-28 | 日本電信電話株式会社 | Detection device and detection method |
AU2019357534B2 (en) * | 2018-10-11 | 2022-06-16 | Fujitsu General Limited | Air conditioner, data transmission method, and air conditioning system |
EP3913450A1 (en) * | 2018-10-11 | 2021-11-24 | Fujitsu General Limited | Air conditioner |
EP3865782A4 (en) * | 2018-10-11 | 2022-06-29 | Fujitsu General Limited | Air conditioner, data transmission method, and air conditioning system |
US11976835B2 (en) | 2018-10-11 | 2024-05-07 | Fujitsu General Limited | Air conditioner, data transmission method, and air conditioning system |
AU2021205028B2 (en) * | 2018-10-11 | 2022-09-22 | Fujitsu General Limited | Air conditioner, data transmission method, and air conditioning system |
US11976834B2 (en) | 2018-10-11 | 2024-05-07 | Fujitsu General Limited | Air conditioner, data transmission method, and air conditioning system |
US11959654B2 (en) | 2018-10-11 | 2024-04-16 | Fujitsu General Limited | Air conditioner, data transmission method, and air conditioning system |
KR20210057194A (en) | 2018-11-16 | 2021-05-20 | 미쓰비시덴키 가부시키가이샤 | Attack detection device, attack detection method, and attack detection program |
US11501172B2 (en) * | 2018-12-13 | 2022-11-15 | Sap Se | Accurately identifying members of training data in variational autoencoders by reconstruction error |
US11731332B2 (en) | 2019-02-07 | 2023-08-22 | Fanuc Corporation | State determination device and state determination method |
CN111531830A (en) * | 2019-02-07 | 2020-08-14 | 发那科株式会社 | State determination device and state determination method |
WO2020250730A1 (en) * | 2019-06-11 | 2020-12-17 | 日本電気株式会社 | Fraud detection device, fraud detection method, and fraud detection program |
JPWO2020250730A1 (en) * | 2019-06-11 | 2020-12-17 | ||
JP7254649B2 (en) | 2019-07-11 | 2023-04-10 | 株式会社東芝 | LEARNING DEVICE, DIAGNOSTIC DEVICE, AND LEARNING METHOD |
JP2021015405A (en) * | 2019-07-11 | 2021-02-12 | 株式会社東芝 | Learning device, diagnostic device, and learning method |
JP2021043499A (en) * | 2019-09-06 | 2021-03-18 | 三菱電機株式会社 | Learning model data reconstruction device, learning model data reconstruction method, and learning model data reconstruction program |
CN113807527A (en) * | 2020-06-11 | 2021-12-17 | 华硕电脑股份有限公司 | Signal detection method and electronic device using same |
WO2023228316A1 (en) * | 2022-05-25 | 2023-11-30 | 日本電信電話株式会社 | Detection device, detection method, and detection program |
Also Published As
Publication number | Publication date |
---|---|
JP6606050B2 (en) | 2019-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6606050B2 (en) | Detection device, detection method, and detection program | |
CN109478263B (en) | System and apparatus for architecture evaluation and policy enforcement | |
JP6099793B2 (en) | Method and system for automatic selection of one or more image processing algorithms | |
RU2713574C1 (en) | Systems and devices for assessing the architecture and implementing strategies for security | |
US11847210B2 (en) | Detecting device and detecting method | |
JP6691094B2 (en) | Learning device, detection system, learning method and learning program | |
CN113010896A (en) | Method, apparatus, device, medium and program product for determining an abnormal object | |
WO2019244930A1 (en) | Detecting device, detecting method, and detecting program | |
JP7247628B2 (en) | Creation device, creation system, creation method and creation program | |
JP7331940B2 (en) | LEARNING DEVICE, ESTIMATION DEVICE, LEARNING METHOD, AND LEARNING PROGRAM | |
JP6767312B2 (en) | Detection system, detection method and detection program | |
EP4270227B1 (en) | Method and system for anomaly detection in a network | |
JP2019040423A (en) | Detection device, detection method, and detection program | |
JP2018073241A (en) | Detection device, detection method, and detection program | |
WO2020234977A1 (en) | Information processing device, creation method, and creation program | |
JP7331938B2 (en) | LEARNING DEVICE, ESTIMATION DEVICE, LEARNING METHOD, AND LEARNING PROGRAM | |
JP7420244B2 (en) | Learning device, learning method, estimation device, estimation method and program | |
CN115719433A (en) | Training method and device of image classification model and electronic equipment | |
KR102706150B1 (en) | Server and method for controlling the server | |
JP2019003533A (en) | Detection apparatus and detection method | |
US11775403B2 (en) | Method and system for developing an anomaly detector for detecting an anomaly parameter on network terminals in a distributed network | |
US12028352B2 (en) | Learning method, learning device, and learning program | |
JP7533594B2 (en) | Learning device, learning method, and learning program | |
US20240303966A1 (en) | Detection device, detection method, and detection program | |
US11082446B1 (en) | Malware infection prediction and prevention |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181204 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191015 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191017 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6606050 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |