CN112437920A - 异常检测装置和异常检测方法 - Google Patents
异常检测装置和异常检测方法 Download PDFInfo
- Publication number
- CN112437920A CN112437920A CN201980042316.8A CN201980042316A CN112437920A CN 112437920 A CN112437920 A CN 112437920A CN 201980042316 A CN201980042316 A CN 201980042316A CN 112437920 A CN112437920 A CN 112437920A
- Authority
- CN
- China
- Prior art keywords
- communication log
- communication
- information
- abnormality
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 144
- 230000005856 abnormality Effects 0.000 title claims abstract description 104
- 238000004891 communication Methods 0.000 claims abstract description 165
- 238000012217 deletion Methods 0.000 claims abstract description 35
- 230000037430 deletion Effects 0.000 claims abstract description 35
- 238000011156 evaluation Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 description 14
- 238000000034 method Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000010365 information processing Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
异常检测装置(30)具有:学习部(31),其使用通信设备(10)的正常动作时的通信日志作为学习数据来生成检测模型;以及异常检测部(32),其使用所生成的检测模型来检测通信设备(10)的异常。然后,异常检测装置(30)具有:数据取得部(330),其取得在比第1通信日志靠后的规定期间内所产生的通信日志(第2通信日志);以及判定部(334),在目前的检测模型的学习数据(第1通信日志)与第2通信日志之间具有差分信息的情况下,在该差分信息所包含的追加信息(追加流的信息)的数量或删除信息(删除流的信息)的数量满足规定的评价基准时,所述判定部(334)命令使用第2通信日志的重新学习。
Description
技术领域
本发明涉及异常检测装置和异常检测方法。
背景技术
作为检测PC等设备中的由于病毒感染等引起的异常的方法,一直以来提出并使用将设备的举动模式与已知的异常模式匹配而检测异常的特征检测方式和将设备的举动模式与正常状态的举动模式匹配而检测异常的异常检测方式(参照专利文献1)。
在特征检测方式中,预先确定了异常模式,因此,在与该异常模式一致的情况下,能够检测出异常,但是,无法检测出由于未知病毒等引起的未预先确定异常模式的异常。另一方面,在异常检测方式中,通过如专利文献1那样使用机器学习技术来学习正常状态,与所学习的模型不一致的举动模式全部检测为异常。因此,还能够检测出由于未知病毒等引起的异常。但是,在异常检测方式中,在正常状态由于设备的设定变更等而发生了变更的情况下,与过去的模型不一致的举动模式会被检测为异常。
此处,在现有技术(例如,参照专利文献1)中,根据过去的观测值确定了用于异常检测方式的设备的正常状态的举动,因此,需要重新学习正常状态的举动,以追随由于设备的设定变更等引起的正常状态的变化。
现有技术文献
专利文献
专利文献1:日本特开2004-312064号公报
发明内容
发明所要解决的课题
此处,在不花费计算成本的环境中,无法频繁地实施设备的正常状态的举动的重新学习,其结果,有可能导致安全性下降。因此,在不花费计算成本的环境中,需要在适当的定时进行上述的正常状态的举动的重新学习。因此,本发明解决上述课题,其课题在于在适当的定时进行设备的正常状态的举动的重新学习。
用于解决课题的手段
为了解决上述课题,本发明的特征在于,具有:学习部,其使用通信设备的正常动作时的通信日志作为学习数据来生成检测所述通信设备的异常的检测模型;异常检测部,其使用所述生成的检测模型和所述通信设备的通信日志来检测所述通信设备的异常;数据取得部,其取得作为在比第1通信日志靠后的规定期间内产生的通信日志的第2通信日志,该第1通信日志是在所述检测模型的生成中使用的通信日志;追加信息确定部,其将所述第2通信日志中的、由该检测模型检测出异常的通信日志确定为所述第1通信日志的追加信息;删除信息确定部,其根据所述第1通信日志与所述第2通信日志之间的差分信息,确定除所述第1通信日志的追加信息以外的删除信息;以及判定部,在存在所述第1通信日志的追加信息或删除信息的情况下,在所述追加信息的数量或所述删除信息的数量满足规定的评价基准时,所述判定部命令所述学习部使用所述第2通信日志作为学习数据来生成检测模型。
发明效果
根据本发明,能够在适当的定时进行设备的正常状态的举动的重新学习。
附图说明
图1是示出系统的结构例的图。
图2是用于说明本实施方式中的追加信息和删除信息的图。
图3是用于说明更新前学习数据集与最新学习数据集的差分信息、追加信息和删除信息的图。
图4是示出图1的异常检测装置的处理过程的例子的流程图。
图5是执行异常检测程序的计算机的例子的图。
具体实施方式
以下,参照附图,对用于实施本发明的方式(实施方式)进行说明。本发明不限于本实施方式。
[结构和概要]
首先,使用图1来说明包含本实施方式的异常检测装置的系统的结构例。例如,如图1所示,系统具有通信设备10、网关装置20和异常检测装置30。通信设备10和网关装置20通过LAN(Local Area Network:局域网)等连接。此外,网关装置20和异常检测装置30通过互联网等网络连接。
通信设备10是成为本系统中的异常的检测对象的通信设备。该通信设备10例如是PC等。网关装置20是将通信设备10经由互联网等网络与外部装置连接或者与同一LAN内的其他通信设备10连接的装置。该网关装置20取得各通信设备10收发的网络流的信息、该网络流的通信特征量、各通信设备10的动作日志等表示通信设备10的举动的信息。
另外,网络流的信息(网络流信息)例如是网络流的发送源IP(InternetProtocol:互联网协议)地址、发送源MAC(Media Access Control:媒体访问控制)地址、发送目的地IP地址、发送目的地MAC地址、通信端口编号、接收分组数量、发送分组数量、通信有效载荷等。通信特征量例如是网络流的发送源IP地址、发送源MAC地址、发送目的地IP地址、发送目的地MAC地址、接收分组总数的平均值、发送分组总数的方差值等。此外,动作日志是由该通信设备10执行的过程的ID、过程的执行开始时刻等。
异常检测装置30通过学习表示从网关装置20取得的各通信设备10的正常状态下的举动的信息,进行对各通信设备10的非法访问或病毒感染等异常的检测。异常检测装置30例如设各通信设备10的正常状态下的网络流信息、该网络流的通信特征量、各通信设备的动作日志等(以上,统称作“通信日志”)为学习数据,生成异常检测型检测模型。然后,异常检测装置30使用所生成的检测模型、与检测对象的通信设备10的网络流信息、通信特征量、动作日志等来进行异常检测型异常检测。
此处,异常检测装置30追随基于各通信设备10的设定变更等的正常状态的变化,因此,重新学习各通信设备10的正常状态的通信日志,使用重新学习的结果更新检测模型。
例如,异常检测装置30取得在目前的检测模型A的生成中使用的通信日志(学习数据集A)之后所产生的上述各通信设备10的通信日志(学习数据集B)。此处,在所取得的学习数据集B与学习数据集A之间的差分信息满足规定的评价基准的情况下,异常检测装置30进行使用学习数据集B的重新学习。由此,异常检测装置30即使在不花费计算成本的环境下,也能够在适当的定时进行通信设备10的正常状态的举动的重新学习。
[异常检测装置]
接着,使用图1详细地说明异常检测装置30。异常检测装置30具有学习部31、异常检测部32和重新学习实施判定部33。
学习部31将通信设备10的正常状态的通信日志作为学习数据,生成用于检测通信设备10的异常的检测模型。例如,学习部31在从网关装置20取得了各通信设备10的正常状态的通信日志时,将该通信日志作为学习数据生成用于检测各通信设备10的异常的检测模型。
学习部31在学习数据的学习完成并生成了检测模型时,使异常检测部32开始使用该检测模型的异常检测(用于异常检测的分析)。然后,学习部31将在该学习中使用的通信设备10的识别信息、通信日志(学习数据集A)和通过该通信日志的学习生成的检测模型(检测模型A)保存到重新学习实施判定部33中。
异常检测部32使用由学习部31生成的检测模型和通信设备10的通信日志,来对通信设备10进行异常检测型异常检测。例如,异常检测部32在从网关装置20取得了检测对象的通信设备10的通信日志时,使用由学习部31生成的检测模型进行该通信设备10的异常检测。
重新学习实施判定部33判定学习部31是否应该实施通信日志的重新学习。该重新学习实施判定部33具有数据取得部330、追加信息确定部331、差分信息确定部332、删除信息确定部333和判定部334。
数据取得部330按照每个规定期间或在进行了来自异常检测装置30的管理者的指示输入时,针对规定的通信设备10,从网关装置20取得从该时刻起的规定期间内的通信日志(第2通信日志)。
追加信息确定部331将由数据取得部330取得的第2通信日志中的、由目前在异常检测部32中使用的检测模型(检测模型A)检测出异常的通信日志确定为追加信息。
差分信息确定部332对在检测模型A的生成中使用的通信日志(学习数据集A)和由数据取得部330取得的第2通信日志(学习数据集B)进行比较,判定是否存在差分信息。
例如,在作为比较对象的学习数据集A、B是通信设备10的网络流信息或通信特征量的情况下,差分信息确定部332对学习数据集A、B的5元组信息(发送源/发送目的地的IP地址、发送源/发送目的地的MAC地址、通信端口编号)进行比较。此外,例如,在学习数据集A、B是通信设备10的动作日志的情况下,差分信息确定部332对该通信设备10的发送目的地的通信设备的IP地址、MAC地址、通信端口进行比较。
删除信息确定部333根据第1通信日志(学习数据集A)与第2通信日志(学习数据集B)的差分信息确定除上述追加信息以外的删除信息。
参照图2详细地说明该追加信息和删除信息。
例如,如图2所示,考虑如下情况:考虑了在更新前检测模型(检测模型A)的生成中所使用的学习数据集A(网络流信息A-1、A-2、A-3、……)和最新学习数据集(学习数据集B。网络流信息B-1、B-2、B-3、……)。如图2所示,各网络流信息除了5元组信息以外,也可以包含除了5元组以外的信息(例如,接收分组数量、发送分组数量、有效载荷等)。
在这样的情况下,追加信息确定部331通过使用更新前检测模型(检测模型A)确认在学习数据集B中是否存在异常检测,不仅能够知道在学习数据集B中是否存在追加流(追加信息),也能够确定追加流(追加信息)((1))。
也就是说,使用检测模型A在学习数据集B中检测出异常是指在该学习数据集B中包含与学习数据集A中所存在的通信目的地的通信日志(追加流的通信日志)。因此,如果具有由检测模型A检测出异常的学习数据集B的通信日志,则差分信息确定部332将该通信日志确定为追加信息。
接着,差分信息确定部332使用学习数据集A和学习数据集B的5元组信息来确认两个数据集的差分(差分信息),在具有差分信息的情况下,删除信息确定部333从该差分信息去除追加流(追加信息)。由此,删除信息确定部333不仅能够知道是否存在删除流(删除信息),也能够确定删除流(删除信息)((2))。
也就是说,虽然在学习数据集A与学习数据集B之间具有差分(差分信息)但是存在除了上述追加流(追加信息)以外的信息(通信日志)是指具有学习数据集A所包含的通信目的地中的、在学习数据集B中不包含的通信目的地。即,是指具有删除流。因此,如果在学习数据集A与学习数据集B的差分信息中具有除了追加信息以外的信息(通信日志),则删除信息确定部333将该通信日志确定为删除信息。
返回图1,说明判定部334。在第1通信日志(学习数据集A)与第2通信日志(学习数据集B)之间具有差分信息的情况下,判定部334命令学习部31将第2通信日志(学习数据集B)作为学习数据生成异常检测模型(重新学习)。
例如,在第1通信日志(学习数据集A)与第2通信日志(学习数据集B)之间具有差分信息的情况下,该差分信息所包含的追加信息的数量或删除信息的数量满足规定的评价基准时,判定部334命令学习部31实施以第2通信日志(学习数据集B)为学习数据的重新学习。
例如,在(1)追加信息的数量超过规定的阈值的情况、(2)删除信息的数量超过规定的阈值的情况或(3)追加信息与删除信息的合计超过规定的阈值的情况下,判定部334命令学习部31实施重新学习。
另外,在(1)~(3)中使用的阈值可以由异常检测装置30的用户决定,也可以由异常检测装置30根据过去的统计值等来决定。
此外,在第1通信日志(学习数据集A)与第2通信日志(学习数据集B)之间具有差分信息的情况下,满足由(1)~(3)中的任意一个或它们的组合所记述的评价基准时,判定部334也可以命令学习部31实施重新学习。另外,判定部334使用何种评价基准进行判定能够由异常检测装置30的用户适当设定。
然后,当学习部31的重新学习完成并生成了新的检测模型(检测模型B)时,使异常检测部32开始使用检测模型B的异常检测(用于异常检测的分析)。然后,学习部31将在重新学习中使用的通信设备10的识别信息、通信日志(学习数据集B)和通过该通信日志的学习所生成的检测模型(检测模型B)覆盖保存到重新学习实施判定部33中。
另外,关于更新前学习数据集(学习数据集A)与最新学习数据集(学习数据集B)之间的关系,考虑有图3所示的模式1~4。也就是说,考虑有如模式1那样将最新学习数据集全部包含在更新前学习数据集中的情况、如模式2那样将更新前学习数据集的一部分包含在最新学习数据集的一部分中的情况、如模式3那样将更新前学习数据集全部包含在最新学习数据集中的情况和如模式4那样更新前学习数据集与最新学习数据集完全不同的情况。
另外,图3的模式1~4的斜线部分分别表示模式中的更新前学习数据集与最新学习数据集的差分信息。在模式1的情况下,在差分信息中不具有追加信息,但是具有删除信息,在模式2、4的情况下,在差分信息中既具有追加信息又具有删除信息。此外,在模式3的情况下,在差分信息中具有追加信息,但是不具有删除信息。因此,在模式1的情况下,学习部31通过学习最新学习数据集,能够生成异常的漏看较少的检测模型。此外,在模式2、4的情况下,学习部31通过学习最新学习数据集,能够生成异常的看漏较少、错误检测较少的检测模型。此外,在模式3的情况下,学习部31通过学习最新学习数据集,能够生成错误检测较少的检测模型。
此处,判定部334使用评价基准来判定是否进行重新学习,即使是上述任意一个模式,也能够在适当的定时命令学习部31实施重新学习,该评价基准使用追加信息或删除信息(或它们的组合)。
例如,在(1)追加信息的数量超过规定值的情况下,判定部334命令学习部31重新学习,由此,能够实现基于模式2、3、4中的最新学习数据集的重新学习。其结果,学习部31能够生成错误检测较少的检测模型。此外,在(2)删除信息的数量超过规定值的情况下,判定部334命令学习部31重新学习,由此,能够实现基于模式1、2、4中的最新学习数据集的重新学习。其结果,学习部31能够生成异常的漏看较少的检测模型。在(3)追加信息与删除信息的合计数量超过规定值的情况下,判定部334命令学习部31重新学习,由此,能够实现基于模式2、4中的最新学习数据集的重新学习。其结果,学习部31能够生成错误检测和异常的看漏较少的检测模型。
[处理过程]
接着,使用图4来说明异常检测装置30的处理过程。异常检测装置30的处理分为生成最初的检测模型的初始学习阶段和通过重新学习对检测模型进行更新的运用阶段。首先,从初始学习阶段起进行说明。
(初始学习阶段)
首先,学习部31学习通信设备10的正常动作(学习数据集A),生成检测模型A(S1)。然后,学习部31在重新学习实施判定部33中保存学习数据集A和检测模型A(S2)。此外,学习部31使异常检测部32开始使用该检测模型的异常检测的分析动作(S3)。
(运用阶段)
接着,说明运用阶段。在S3之后,数据取得部330取得学习数据集A以后的通信日志(学习数据集B)(S11)。然后,追加信息确定部331通过检测模型A和学习数据集B确认是否存在追加信息(S12)。也就是说,追加信息确定部331确认在学习数据集B中是否具有通过检测模型A检测出的异常的通信日志,如果具有,则将该通信日志确定为追加信息。然后,删除信息确定部333通过学习数据集A、学习数据集B和追加信息确认是否存在删除信息(S13)。也就是说,首先,差分信息确定部332确认是否存在学习数据集A与学习数据集B的差分,如果存在差分,则将该差分的通信日志确定为差分信息。然后,删除信息确定部333确认在该差分信息中是否具有除了在S12中所确定的追加信息以外的通信日志,如果具有,则将该通信日志确定为删除信息。
在S13之后,判定部334在有追加信息或删除信息(也就是说,有差分信息)(S14中为“是”)并且追加信息的数量或删除信息的数量满足规定的评价基准(例如,上述的(1)~(3))的情况下(S15中为“是”),命令学习部31重新学习正常动作,并生成检测模型B(S16)。即,判定部334命令学习部31学习学习数据集B,并生成检测模型B。由此,学习部31生成检测模型B。然后,学习部31用学习数据集B覆盖重新学习实施判定部33的学习数据集A,用检测模型B覆盖检测模型A(S17)。此外,学习部31使异常检测部32开始使用在S17中所覆盖的检测模型(检测模型B)的异常检测的分析动作(S18)。然后,返回S11。
另外,在判定部334判定为既没有追加信息也没有删除信息(也就是说,无差分信息)的情况下(S14中为“否”),返回S11。此外,在判定部334判定为追加信息的数量或删除信息的数量不满足规定的评价基准(例如,所述した(1)~(3))的情况下(S15中为“否”),也返回S11。
这样,异常检测装置30根据使用学习数据集中的追加信息的数量或删除信息的数量的评价基准,判定是否实施重新学习。也就是说,异常检测装置30根据目前的检测模型的生成后的追加流的数量或删除流的数量,判定是否实施重新学习。其结果,异常检测装置30能够在适当的定时实施重新学习。
另外,异常检测装置30根据使用学习数据集中的追加信息的数量或删除信息的数量的评价基准,判定是否实施重新学习,但是不限于此。例如,异常检测装置30也可以无论是否存在学习数据集中的追加信息或删除信息,都在存在差分信息的情况下,判定为实施重新学习。
[程序]
此外,通过将实现在上述的实施方式中所叙述的异常检测装置30的功能的程序安装到期望的信息处理装置(计算机)中来安装。例如,通过使信息处理装置执行被作为打包软件或在线软件提供的上述的程序,能够使信息处理装置作为异常检测装置30发挥功能。在这里所指的信息处理装置中包含桌面型或者笔记本型个人计算机。此外,除此以外,在信息处理装置的范畴中还包含智能手机、移动电话机、PHS(Personal Handyphone System:个人手机系统)等移动通信终端、以及PDA(Personal Digital Assistant:个人数字助理)等。此外,也可以将异常检测装置30安装于云服务器。
使用图5说明执行上述的程序(管理程序)的计算机的一例。如图5所示,计算机1000例如具有存储器1010、CPU 1202、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部件通过总线1080连接。
存储器1010包含ROM(Read Only Memory:只读存储器)1011和RAM(Random AccessMemory:随机存取存储器)1012。ROM 1011存储例如BIOS(Basic Input Output System:基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1100连接。例如,磁盘或光盘等可拆装的存储介质被插入盘驱动器1100中。串行端口接口1050例如连接了鼠标1110、键盘1120。视频适配器1060例如连接了显示器1130。
这里,如图5所示,硬盘驱动器1090例如存储OS 1091、应用程序1092、程序模块1093和程序数据1094。在上述实施方式中所说明的各种数据或信息存储到例如硬盘驱动器1090或存储器1010中。
而且,CPU 1020根据需要在RAM 1012中读出硬盘驱动器1090所存储的程序模块1093和程序数据1094,执行上述各种过程。
另外,上述管理程序涉及的程序模块1093或程序数据1094不限于存储到硬盘驱动器1090中的情况,例如也可以存储到可拆装的存储介质中,经由盘驱动器1100等而由CPU1020读出。或者,上述程序涉及的程序模块1093、程序数据1094也可以存储到经由LAN(Local Area Network:局域网)、WAN(Wide Area Network:广域网)等网络而连接的其它计算机中,经由网络接口1070而由CPU 1020读出。
标号说明
10:通信设备;20:网关装置;30:异常检测装置;31:学习部;32:异常检测部;33:重新学习实施判定部;330:数据取得部;331:追加信息确定部;332:差分信息确定部;333:删除信息确定部;334:判定部。
Claims (4)
1.一种异常检测装置,其特征在于,具有:
学习部,其使用通信设备的正常动作时的通信日志作为学习数据,生成检测所述通信设备的异常的检测模型;
异常检测部,其使用所述生成的检测模型和所述通信设备的通信日志来检测所述通信设备的异常;
数据取得部,其取得作为在比第1通信日志靠后的规定期间内所产生的通信日志的第2通信日志,其中,该第1通信日志是在所述检测模型的生成中使用的通信日志;
追加信息确定部,其将所述第2通信日志中的、由该检测模型检测出异常的通信日志确定为所述第1通信日志的追加信息;
删除信息确定部,其根据所述第1通信日志与所述第2通信日志之间的差分信息,确定除所述第1通信日志的追加信息以外的删除信息;以及
判定部,在存在所述第1通信日志的追加信息或删除信息的情况下,在所述追加信息的数量或所述删除信息的数量满足规定的评价基准时,所述判定部命令所述学习部使用所述第2通信日志作为学习数据来生成检测模型。
2.根据权利要求1所述的异常检测装置,其特征在于,
在存在所述追加信息或所述删除信息的情况下,在所述追加信息的数量超过规定的阈值时、或所述删除信息的数量超过规定的阈值时、或所述追加信息与所述删除信息的合计数量超过规定的阈值时,所述判定部命令所述学习部使用所述第2通信日志作为学习数据来生成检测模型。
3.根据权利要求1所述的异常检测装置,其特征在于,
所述通信设备的通信日志包含该通信设备进行收发的网络流的信息、所述网络流的通信特征量和该通信设备的动作日志中的至少任意一个。
4.一种异常检测方法,由检测通信设备的异常的异常检测装置执行,所述异常检测方法的特征在于,包含以下步骤:
使用通信设备的正常动作时的通信日志作为学习数据,生成检测所述通信设备的异常的检测模型;
使用所述生成的检测模型和所述通信设备的通信日志来检测所述通信设备的异常;
取得作为在比第1通信日志靠后的规定期间内产生的通信日志的第2通信日志,其中,该第1通信日志是在所述检测模型的生成中使用的通信日志;
将所述第2通信日志中的、由该检测模型检测出异常的通信日志确定为所述第1通信日志的追加信息;
根据所述第1通信日志与所述第2通信日志之间的差分信息,确定除所述第1通信日志的追加信息以外的删除信息;以及
在存在所述第1通信日志的追加信息或删除信息的情况下,在所述追加信息的数量或所述删除信息的数量满足规定的评价基准时,命令生成所述检测模型的学习部使用所述第2通信日志作为学习数据来生成检测模型。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018-121953 | 2018-06-27 | ||
| JP2018121953A JP6984551B2 (ja) | 2018-06-27 | 2018-06-27 | 異常検知装置、および、異常検知方法 |
| PCT/JP2019/024928 WO2020004315A1 (ja) | 2018-06-27 | 2019-06-24 | 異常検知装置、および、異常検知方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112437920A true CN112437920A (zh) | 2021-03-02 |
Family
ID=68985696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980042316.8A Pending CN112437920A (zh) | 2018-06-27 | 2019-06-24 | 异常检测装置和异常检测方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US20210273964A1 (zh) |
| EP (1) | EP3796196B1 (zh) |
| JP (1) | JP6984551B2 (zh) |
| CN (1) | CN112437920A (zh) |
| AU (1) | AU2019293409B2 (zh) |
| WO (1) | WO2020004315A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020070916A1 (ja) * | 2018-10-02 | 2020-04-09 | 日本電信電話株式会社 | 算出装置、算出方法及び算出プログラム |
| US11568261B2 (en) * | 2018-10-26 | 2023-01-31 | Royal Bank Of Canada | System and method for max-margin adversarial training |
| JP7452849B2 (ja) | 2020-05-25 | 2024-03-19 | 日本電気通信システム株式会社 | 異常操作検出装置、異常操作検出方法、およびプログラム |
| CN112632030B (zh) * | 2020-12-04 | 2023-04-14 | 贝壳技术有限公司 | 数据异常定位方法及装置 |
| WO2022254519A1 (ja) * | 2021-05-31 | 2022-12-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 監視装置、監視システムおよび監視方法 |
| WO2023188052A1 (ja) * | 2022-03-30 | 2023-10-05 | 三菱電機株式会社 | 学習データ選択装置、学習データ選択方法及び異常検知装置 |
| JP2024006797A (ja) * | 2022-07-04 | 2024-01-17 | 富士通株式会社 | 検知プログラム及び検知装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030101260A1 (en) * | 2001-11-29 | 2003-05-29 | International Business Machines Corporation | Method, computer program element and system for processing alarms triggered by a monitoring system |
| JP2014036408A (ja) * | 2012-08-10 | 2014-02-24 | Ntt Communications Corp | 通信装置、通信システム、通信方法、および、通信プログラム |
| CN106796635A (zh) * | 2014-10-14 | 2017-05-31 | 日本电信电话株式会社 | 确定装置、确定方法及确定程序 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| JP2004312064A (ja) | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| US9202052B1 (en) * | 2013-06-21 | 2015-12-01 | Emc Corporation | Dynamic graph anomaly detection framework and scalable system architecture |
| US9189623B1 (en) * | 2013-07-31 | 2015-11-17 | Emc Corporation | Historical behavior baseline modeling and anomaly detection in machine generated end to end event log |
| JP2015162032A (ja) * | 2014-02-27 | 2015-09-07 | 株式会社日立製作所 | 移動体の診断装置 |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10728280B2 (en) * | 2016-06-29 | 2020-07-28 | Cisco Technology, Inc. | Automatic retraining of machine learning models to detect DDoS attacks |
| US10832150B2 (en) * | 2016-07-28 | 2020-11-10 | International Business Machines Corporation | Optimized re-training for analytic models |
| WO2019210484A1 (en) * | 2018-05-03 | 2019-11-07 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
-
2018
- 2018-06-27 JP JP2018121953A patent/JP6984551B2/ja active Active
-
2019
- 2019-06-24 AU AU2019293409A patent/AU2019293409B2/en active Active
- 2019-06-24 CN CN201980042316.8A patent/CN112437920A/zh active Pending
- 2019-06-24 US US17/255,897 patent/US20210273964A1/en active Pending
- 2019-06-24 WO PCT/JP2019/024928 patent/WO2020004315A1/ja unknown
- 2019-06-24 EP EP19827096.9A patent/EP3796196B1/en active Active
-
2023
- 2023-07-14 US US18/222,340 patent/US20230362182A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030101260A1 (en) * | 2001-11-29 | 2003-05-29 | International Business Machines Corporation | Method, computer program element and system for processing alarms triggered by a monitoring system |
| JP2014036408A (ja) * | 2012-08-10 | 2014-02-24 | Ntt Communications Corp | 通信装置、通信システム、通信方法、および、通信プログラム |
| CN106796635A (zh) * | 2014-10-14 | 2017-05-31 | 日本电信电话株式会社 | 确定装置、确定方法及确定程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2019293409B2 (en) | 2022-05-19 |
| EP3796196B1 (en) | 2023-11-08 |
| EP3796196A4 (en) | 2022-03-02 |
| AU2019293409A1 (en) | 2021-01-21 |
| US20210273964A1 (en) | 2021-09-02 |
| WO2020004315A1 (ja) | 2020-01-02 |
| US20230362182A1 (en) | 2023-11-09 |
| EP3796196A1 (en) | 2021-03-24 |
| JP2020004009A (ja) | 2020-01-09 |
| JP6984551B2 (ja) | 2021-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112437920A (zh) | 异常检测装置和异常检测方法 | |
| US9690936B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
| US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
| CN107302527B (zh) | 一种设备异常检测方法及装置 | |
| EP1701285A1 (en) | System security approaches using multiple processing units | |
| US20080083034A1 (en) | Attack classification method for computer network security | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN110572399B (zh) | 漏洞检测处理方法、装置、设备及存储介质 | |
| US20210160260A1 (en) | Automatic Categorization Of IDPS Signatures From Multiple Different IDPS Systems | |
| JP2019153894A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| US10296746B2 (en) | Information processing device, filtering system, and filtering method | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| JP2018148267A (ja) | 検知装置、検知方法および検知プログラム | |
| US20200342109A1 (en) | Baseboard management controller to convey data | |
| JP6683655B2 (ja) | 検知装置および検知方法 | |
| US20210136034A1 (en) | Communication control method, storage medium for communication control program, and communication apparatus | |
| CN112352402B (zh) | 生成装置、生成方法和记录介质 | |
| US6643717B1 (en) | Flow control | |
| JP4371981B2 (ja) | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム | |
| CN114128215B (zh) | 异常检测装置、异常检测方法以及记录介质 | |
| US20230088671A1 (en) | Inspection apparatus, inspection method and program | |
| WO2023248444A1 (ja) | 学習装置、学習方法、および、学習プログラム | |
| JP6760884B2 (ja) | 生成システム、生成方法及び生成プログラム | |
| US20230351251A1 (en) | Determination device, determination method, and determination program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |