CN114127698A - 学习装置、检测系统、学习方法以及学习程序 - Google Patents
学习装置、检测系统、学习方法以及学习程序 Download PDFInfo
- Publication number
- CN114127698A CN114127698A CN201980098475.XA CN201980098475A CN114127698A CN 114127698 A CN114127698 A CN 114127698A CN 201980098475 A CN201980098475 A CN 201980098475A CN 114127698 A CN114127698 A CN 114127698A
- Authority
- CN
- China
- Prior art keywords
- probability density
- learning
- communication data
- unit
- normal communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims description 140
- 238000000034 method Methods 0.000 title claims description 76
- 238000004891 communication Methods 0.000 claims abstract description 106
- 230000010354 integration Effects 0.000 claims abstract description 31
- 230000005856 abnormality Effects 0.000 claims description 42
- 238000012545 processing Methods 0.000 description 27
- 238000010586 diagram Methods 0.000 description 24
- 238000009826 distribution Methods 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 10
- 230000014509 gene expression Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 3
- 238000002474 experimental method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 241000726124 Amazona Species 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Feedback Control In General (AREA)
- Measurement Of Velocity Or Position Using Acoustic Or Ultrasonic Waves (AREA)
Abstract
学习装置(10)具有:取得部(11),其取得多个作为学习对象的正常通信数据;第1估计部(121),其学习正常通信数据,估计正常通信数据的概率密度,更新模型的参数;聚类部(122),其根据由第1估计部(121)估计出的概率密度对正常通信数据进行聚类;第2估计部(123),其按照由聚类部(122)聚类后的每个聚类进行学习,对参数的初始值使用在第1估计部(121)中已学习的参数,估计每个聚类的正常通信数据的概率密度,更新表示每个聚类的正常通信数据的概率密度的特征的模型的参数;以及整合部(124),其对估计出的每个聚类的概率密度进行整合。
Description
技术领域
本发明涉及学习装置、检测系统、学习方法以及学习程序。
背景技术
随着IoT(Internetof Things:物联网)时代的到来,多种设备(IoT设备)与互联网连接,进行多种使用方式。IoT设备通过多个服务协作而产生价值。因此,所有的设备协作地进行工作,因此产生设想外的组合而产生脆弱性,因此IoT设备的安全性(特别是异常检测)是很重要的。
由于IoT设备多种多样,因此为了应对各种IoT设备,异常检测器大多使用深度学习(Deep Learning)。另外,为了应对零散攻击,作为IoT设备的异常检测器,大多使用无教师的异常型(anomaly type)的异常检测器。
例如,作为IoT设备的异常检测器,有使用VAE(Variational Auto Encoder:变分自编码)等基于无教师学习的概率密度估计器的异常检测器。在该技术中,在学习正常的通信数据的概率密度后,将概率密度低的通信检测为异常。因此,在该技术中,仅知道正常的通信数据即可,即使不学习全部的恶性数据也能够进行异常检测。因此,该技术对于对尚处于过渡期且尚未完全知道所有威胁信息的IoT设备的威胁检测是有效的。
现有技术文献
非专利文献
非专利文献1:Diederik P.Kingma,Max Welling,"Auto-Encoding VariationalBayes",[令和1年7月5日检索],互联网<URL:https://arxiv.org/abs/1312.6114>
非专利文献2:S.Keydana et al.,"Variational autoencoders for anomalydetection,"Sept.2017.,[令和1年7月5日检索],互联网<URL:https://rstudio-pubs-static.s3.amazonaws.com/308801_ca2c3b7a649b4fd1838402ac0cb921e0.html>
发明内容
发明所要解决的课题
但是,VAE等概率密度估计器在学习对象的正常的通信数据间数据数量存在偏差的情况下,有时无法高精度地进行学习。
在通信数据中,经常发生数据数量存在偏差的状况。例如,HTTP(HypertextTransfer Protocol:超文本传输协议)通信等由于经常使用,因此在短时间内聚集大量的数据。与此相对,仅稀少地进行通信的NTP(Network Time Protocol:网络时间协议)通信等的数据数量不怎么集中。在这样的状况下,若进行基于VAE的学习,则数据数量少的NTP通信的学习无法顺利地进行,发生概率被估计得低,有时成为对正常的通信数据的过检测的原因。另外,为了IoT设备的迅速的安全,还要求学习时间的高速化。
本发明是鉴于上述情况而完成的,其目的在于提供一种能够高精度且高速地学习通信数据的概率密度的学习装置、检测系统、学习方法以及学习程序。
用于解决课题的手段
为了解决上述课题并达成目的,本发明的学习装置的特征在于,具有:取得部,其取得多个作为学习对象的正常通信数据;第1估计部,其学习正常通信数据,估计正常通信数据的概率密度,并且更新模型的参数;聚类部,其根据由第1估计部估计出的概率密度,对正常通信数据进行聚类;第2估计部,其针对由聚类部聚类后的每个聚类进行学习,对参数的初始值使用在第1估计部中已学习的参数,估计每个聚类的正常通信数据的概率密度,更新表示每个聚类的正常通信数据的概率密度的特征的模型的参数;以及整合部,其对所估计出的每个聚类的概率密度进行整合。
另外,本发明的检测系统具有:检测装置,其基于表示通信数据的概率密度的特征的模型来检测通信数据的异常;以及学习装置,其更新模型的参数,其特征在于,学习装置具有:取得部,其取得多个作为学习对象的正常通信数据;第1估计部,其学习正常通信数据,估计正常通信数据的概率密度;聚类部,其根据由第1估计部估计出的概率密度,对正常通信数据进行聚类;第2估计部,其针对由聚类部聚类后的每个聚类进行学习,对参数的初始值使用在第1估计部中已学习的参数,估计每个聚类的正常通信数据的概率密度,更新模型的参数;以及整合部,其对所估计出的每个聚类的概率密度进行整合,检测装置具有:第3估计部,其应用由第2估计部更新后的模型的参数,来估计检测对象的通信数据的概率密度;以及检测部,其基于由第3估计部估计出的概率密度来检测检测对象的通信数据有无异常。
另外,本发明的学习方法是由学习装置执行的学习方法,其特征在于,学习方法包括如下过程:取得过程,取得多个作为学习对象的正常通信数据;第1估计过程,学习正常通信数据,估计正常通信数据的概率密度;聚类过程,根据通过第1估计过程估计出的概率密度,对正常通信数据进行聚类;第2估计过程,针对通过聚类过程聚类后的每个聚类进行学习,对参数的初始值使用通过第1估计过程已学习的参数,估计每个聚类的正常通信数据的概率密度,更新表示每个聚类的正常通信数据的概率密度的特征的模型的参数;以及整合过程,对所估计出的每个聚类的概率密度进行整合。
另外,本发明的学习程序用于使计算机执行如下步骤:取得步骤,取得多个作为学习对象的正常通信数据;第1估计步骤,学习正常通信数据,估计正常通信数据的概率密度;聚类步骤,根据通过第1估计步骤估计出的概率密度,对正常通信数据进行聚类;第2估计步骤,针对通过聚类步骤聚类后的每个聚类进行学习,对参数的初始值使用通过第1估计步骤已学习的参数,估计每个聚类的正常通信数据的概率密度,更新表示每个聚类的正常通信数据的概率密度的特征的模型的参数;以及整合步骤,对所估计出的每个聚类的概率密度进行整合。
发明效果
根据本发明,能够高精度且高速地学习通信数据的概率密度。
附图说明
图1是示出实施方式涉及的检测系统的结构的一例的图。
图2是示出图1所示的学习装置的结构的一例的图。
图3是说明VAE的图。
图4是说明VAE的图。
图5是表示图1所示的检测装置的结构的一例的图。
图6是说明本实施方式的学习处理的流程的图。
图7是示出由图2所示的学习装置执行的学习处理的处理过程的流程图。
图8是示出由图5所示的检测装置进行的检测处理的处理顺序的流程图。
图9是说明实施方式涉及的检测系统的应用例的图。
图10-1是示出第1级的VAE中的学习结果的图。
图10-2是示出第2级的VAE中的针对聚类0(cluster0)的学习结果的图。
图10-3是示出第2级的VAE中的针对聚类1(cluster1)的学习结果的图。
图10-4是示出第2级的VAE中的针对聚类2(cluster2)的学习结果的图。
图10-5是示出第2级的VAE中的针对聚类3(cluster3)的学习结果的图。
图11是示出实施方式涉及的检测装置的其他结构的一例的图。
图12是示出通过执行程序来实现学习装置和检测装置的计算机的一例的图。
具体实施方式
以下,参照附图对本发明的一实施方式进行详细说明。另外,本发明并不限定于该实施方式。另外,在附图的记载中,对相同部分标注相同的附图标记来表示。
[实施方式]
对本发明的实施方式进行说明。图1是表示实施方式的检测系统的结构的一例的图。
如图1所示,在实施方式的检测系统1中,收集装置30、具有学习装置10以及检测装置20的收集装置30、学习装置10以及检测装置20例如经由网络等连接。另外,收集装置30、学习装置10以及检测装置20例如经由网络等与外部装置连接。
收集装置30收集从IoT设备产生的多个通信数据。例如,取得部11经由网络进行业务会话的收集。收集装置30收集多个作为学习对象的正常的通信数据(学习对象数据),并输出到学习装置10。另外,收集装置30收集多个作为检测对象的通信数据(检测对象数据),并向检测装置20输出。
学习装置10学习多个正常的通信数据,更新表示正常的通信数据的概率密度的特征的模型的参数。学习装置10针对学习对象的通信数据,分2个阶段进行估计概率密度的学习。
首先,在第1阶段的学习中,学习装置10粗略地估计所输入的通信数据的概率密度。随后,学习装置10基于该估计结果,根据概率密度对正常的通信数据进行聚类(clustering)。然后,在第2阶段的学习中,学习装置10针对每个聚类(cluster)估计各聚类的通信数据的概率密度。在此,学习装置10在第2阶段的学习中,对参数的初始值利用第1阶段的已学习的参数。接着,通过对估计出的每个聚类的概率密度进行整合,得到即使在学习对象的通信数据间数据数量存在偏差的情况下也能够高精度地进行异常检测的模型。
检测装置20应用由学习装置10更新后的模型的参数,来估计检测对象的通信数据的概率密度。接着,检测装置20在估计出的概率密度比规定的阈值低的情况下,检测出检测对象的通信数据异常,向外部的应对装置等通知发生了通信数据的异常。
[学习装置的结构]
接下来,对学习装置10的结构进行说明。图2是表示图1所示的学习装置10的结构的一例的图。如图2所示,学习装置10包括取得部11和学习部12。
此外,学习装置10例如通过在包括ROM(Read Only Memory:只读存储器)、RAM(Random Access Memory:随机存取存储器)、CPU(Central Processing Unit:中央处理单元)等的计算机等中读入规定的程序,并由CPU执行规定的程序来实现。另外,学习装置10具有与经由网络等连接的其他装置之间收发各种信息的通信接口。例如,学习装置10具有NIC(Network Interface Card:网络接口卡)等,进行经由LAN(Local Area Network:局域网)、互联网等电气通信线路的与其他装置之间的通信。
取得部11取得多个作为学习对象的正常的通信数据(学习对象数据)。例如,取得部11经由网络从收集装置30取得作为学习对象的正常的业务会话。
在该情况下,有时在取得部11取得的通信数据间数据数量产生偏差。具体而言,由于在通信中经常使用HTTP通信,因此取得部11能够取得正常的HTTP通信数据。与此相对,对于管理用FTP通信,由于使用频度少,所以存在取得部11只能得到少量的正常的FTP通信数据的情况。这样,有时在取得部11取得的学习对象数据的数据间存在数据数量的偏差。在学习装置10中,即使在存在数据数量的偏差的情况下,通过分为2个阶段进行学习,也得到能够高精度地进行异常检测的模型。
接着,对学习部12进行说明。学习部12包括第1估计部121、聚类部122、第2估计部123和整合部124。
第1估计部121学习由取得部11获取的学习对象数据,估计学习对象数据的概率密度,并且更新模型的参数。此时,第1估计部121使用VAE1211作为概率密度估计器,估计学习对象数据的概率密度。第1估计部121中的学习相当于第1级的学习。
在此,对VAE进行说明。图3及图4是对VAE进行说明的图。如图3所示,当VAE接受了某个数据点xi的输入时,输出与该数据对应的异常得分(score)(异常度)。若将概率密度设为p(xi),则异常得分成为-logp(xi)的近似值。
同样地,如图4所示,在对VAE输入了属于某个聚类Ck的数据点xi的情况下,异常得分(score)成为-logp(xi|Ck)的近似值。这样,VAE输出的异常得分的值越高,表示该通信数据的异常度越高。
第1估计部121具有进行这样的运算的VAE1211,学习所输入的多个学习对象数据,输出各学习对象数据的异常得分。此时,第1估计部121根据学习结果更新VAE1211的模型参数。
聚类部122根据由第1估计部121估计的概率密度对学习对象数据进行聚类。换言之,聚类部122不是对学习对象数据直接应用聚类的算法,而是基于由第1估计部121粗略估计出的异常得分来进行聚类。因此,聚类部122执行关注学习对象数据的特性,即学习对象数据的密度(数据的数量)的聚类。聚类部122使用贝叶斯(Bayesian)GMM(GaussianMixture Models:高思混合模型)算法、VB(Variational Bayesian:变分贝叶斯)GMM算法等,实施聚类。
第2估计部123对由聚类部122聚类后的每个聚类执行学习,估计每个聚类的学习对象数据的概率密度,并且更新模型的参数,所述模型表示每个聚类的学习对象数据的概率密度的特征。第2估计部123使用在第1估计部121中已学习的参数作为参数的初始值。
例如,在通过聚类部122将学习对象数据聚类为3个聚类的情况下,第2估计部123具有与3个聚类分别对应的第1VAE1231、第2VAE1232以及第3VAE1233。第1VAE1231、第2VAE1232以及第3VAE1233对参数的初始值使用在第1估计部121中已学习的参数,针对各自对应的每个聚类进行学习,更新各自具有的模型的参数。然后,第1VAE1231、第2VAE1232以及第3VAE1233估计对应的聚类的各异常得分。第1VAE1231、第2VAE1232和第3VAE1233中的学习相当于第2级的学习。
整合部124对第2估计部123的各概率密度估计器分别估计出的每个聚类的概率密度进行整合。在图2的例子中,整合部124对第1VAE1231、第2VAE1232以及第3VAE1233分别估计出的每个聚类的异常得分进行整合。
然后,学习装置10将由第2估计部123的各VAE更新后的、各自具有的各模型的参数输出到检测装置20。另外,学习装置10将各聚类的先验分布(后述)输出到检测装置20。
[整合部的处理]
接着,对整合部124进行的整合处理进行说明。整合部124执行对由第2估计部123中的每个VAE估计的每个聚类的概率密度进行整合、求出学习对象数据整体的概率密度的运算。整合部124基于第2估计部123中的各个VAE估计出的各聚类的概率密度,运算各聚类Ck遵循的概率分布p(x|Ck)和与聚类Ck对应的聚类的先验分布p(Ck)之积的合计,作为各聚类的概率密度的整合值。如果用数学式表示该运算,则能够用以下的式(1)表示。
[数式1]
在图2的例子中,第1VAE1231、第2VAE1232以及第3VAE1233进行每个聚类C1、C2、C3的数据所遵循的概率分布p(x|Ck)的学习。通过该学习,第1VAE1231输出成为-logp(xi|C1)的近似值的得分(score)1。第2VAE1232输出作为-logp(xi|C2)的近似值的得分2。第3VAE1233输出成为-logp(xi|C3)的近似值的得分3。
这里,期望的最终得分是-logp(xi)的近似值。因此,整合部124基于式(1),如以下的式(2)那样计算最终得分(score)。
[数式2]
在此,各聚类的先验分布p(Ck)的取得方法具有自由度。作为一例,在本实施方式中,导入正则化项的α,将先验分布p(Ck)作为以下的式(3)来计算。
[数式3]
在式(3)中,|Ck|表示属于聚类Ck的数据数量。进而,在本实施方式中,整合部124也可以将α视为无限大的极限,使用以下的式(4)来计算先验分布p(Ck)。
[数式4]
其中,在式(4)中,K是聚类的个数。在该情况下,以下的式(5)成立。
[数式5]
p(x)≈maxk[p(x|Ck)]...(5)
因此,整合部124也可以单纯地取异常得分的最小值作为最终得分。因此,作为上述的最终得分的近似式,以下的式(6)的关系也成立。
[数式6]
整合部124在求出处理速度的情况下,也能够使用式(6)来计算最终得分。此外,整合部124将使用式(3)或者式(4)计算出的各聚类的先验分布p(Ck)输出到检测装置20。
[检测装置的结构]
接着,对检测装置20的结构进行说明。图5是表示图1所示的检测装置20的结构的一例的图。如图5所示,检测装置20具有估计部21以及检测部22。检测装置20被输入有无异常的检测对象的通信数据(检测对象数据)。另外,检测装置20被输入学习装置10输出的各VAE的更新参数以及各聚类的先验分布。
此外,检测装置20例如通过在包括ROM、RAM、CPU等的计算机等中读入规定的程序,并由CPU执行规定的程序来实现。另外,检测装置20具有与经由网络等连接的其他装置之间收发各种信息的通信接口。例如,检测装置20具有NIC等,进行经由LAN、互联网等电气通信线路的与其他装置之间的通信。
估计部21具有检测用估计部211(第3估计部)以及整合部212。检测用估计部211应用由第2估计部123更新后的模型的参数,估计检测对象数据的概率密度。检测用估计部211具有与第2估计部123所具有的概率密度估计器相同数量的概率密度估计器。
在图5的例子中,探测用估计部211具有与第2估计部123具有的VAE相同数量的第1VAE2111、第2VAE2112以及第3VAE2113。第1VAE2111、第2VAE2112以及第3VAE2113估计对应的聚类的各异常得分。另外,第1VAE2111、第2VAE2112以及第3VAE2113分别具有的模型的参数被设定为由第2估计部123更新后的各参数。
整合部212与整合部124同样地,对检测用估计部211的各概率密度估计器针对检测对象数据分别估计出的概率密度进行整合,将整合后的概率密度作为检测对象数据的概率密度输出到检测部22。在图5的例子中,整合部212对第1VAE2111、第2VAE2112以及第3VAE2113分别估计出的每个聚类的异常得分进行整合。
检测部22基于由检测用估计部211估计出的概率密度来检测检测对象数据的异常的有无。检测部22在检测对象数据的概率密度比规定的阈值低的情况下,检测为检测对象数据异常。具体而言,检测部22在由检测用估计部211估计出的异常得分比规定值高的情况下,检测为检测对象数据异常。
[学习处理的流程]
接着,对学习处理的流程进行说明。图6是说明本实施方式的学习处理的流程的图。
在学习装置10中,如图6所示,第1估计部121的VAE1211(第1VAE)对学习对象数据进行学习来估计概率密度,更新VAE1211具有的模型的参数。具体而言,如式(7)所示,第1级的概率密度估计器(第1VAE)根据正常数据的集合{x}进行概率密度估计。另外,x标记为{x}的要素。
[数式7]
{x}→Pθ(x)...(7)
在式(7)中,θ是学习的参数。这里,{x}由{xa}以及{xb}构成,数据数量上而言,假设{xa}相对于{xb}压倒性地多。
在仅1级的学习中,在数据数量的密度低的通信数据{xb}中异常得分高,对于数据数量的密度低的通信数据,无法适当地学习。即,{xb}的数量少,因此学习器无法充分地学习,成为以下的式(8)。
[数式8]
Pθ(xa)>>Pθ(xb)...(8)
因此,为了与数据数量无关地适当地学习学习对象数据,学习装置10分别学习数据数量多的数据、数据数量少的数据。
具体地,在学习装置10中,聚类部122根据数据的数量对学习对象数据执行聚类(clustering),即,执行与概率密度对应的聚类。在图6的示例中,聚类部122使用BayesianGMM的算法。期待通过聚类部122的聚类,分为{xa}(聚类0)以及{xb}(聚类1)这样的集合。
然后,在第2估计部123中,针对各个集合,分别准备概率密度估计器(第2VAE的各t-VAE),如以下的式(9)、式(10)那样进行学习。这里,第2VAE的各t-VAE对学习时的参数的初始值利用第1级的已学习参数。
[数式9]
{xa}→P′θ′(xa)...(9)
[数式10]
{xb}→P″θ″(xb)...(10)
第2VAE中,上部的t-VAE学习聚类0的通信数据,下部的t-VAE学习聚类1的通信数据,更新各自具有的模型的参数。另外,将更新后的各模型的参数输出到检测装置20。
接着,整合部124选择第2VAE的2个t-VAE的异常得分中的值小的得分作为最终得分,结束学习处理。或者,整合部124对2个t-VAE的异常得分进行整合,求出学习对象数据整体的异常得分即最终得分(-logp(xi)的近似值),结束学习处理。
这样,学习装置10中的机器学习进行使目标函数最佳化时的参数搜索。通常,随机地给出参数的初始值。由于第1级的VAE1211的参数P和第2级的xa用的参数P′的xa的数量多,所以认为是大致相同的参数。
因此,在第2级的第2估计部123中,如果对参数的初始值使用在第1估计部121中已学习的参数,则学习变快。xb的最佳参数在使用第1级的参数时反而有可能变差,但由于xb的数据数量少,因此计算成本在使用第1级的参数的情况下和使用随机提供的初始值的情况下没有大的变化。
结果,在学习装置10中,通过在第2级的第2估计部123中,对参数的初始值使用在第1估计部121中已学习的参数,整体上计算的速度变快。
[检测处理的流程]
接着,对检测处理进行说明。检测装置20的检测用估计部211对各VAE应用通过学习装置10中的分别对应的聚类的学习而更新的模型的参数。
因此,当检测装置20接受了检测对象数据x′的输入时,如以下的式(11)那样,将概率密度变换为异常得分。
[数式11]
score=min(-P′θ′(x′),-P″θ″(x′))...(11)
检测装置20对xa和xb分别设定专用的概率密度估计器。而且,检测装置20针对新的数据利用双方的概率密度估计器,而采用异常得分低的一方。例如,若使用xa的数据,则应该取仅P′大的值,所以作为异常得分,采用xa的异常得分。检测部22在由检测用估计部211估计出的最终得分比规定的阈值高的情况下,检测为检测对象数据异常。
[学习处理的处理步骤]
接着,对学习处理的处理步骤进行说明。图7是表示图2所示的学习装置10的学习处理的处理顺序的流程图。
首先,如图7所示,取得部11取得学习对象数据(步骤S11),将取得的学习对象数据输出到第1估计部121。第1估计部121使用VAE1211,进行估计取得部11取得的学习对象数据的概率密度的第1估计处理(步骤S12)。
聚类部122根据由第1估计部121估计的概率密度执行对学习对象数据进行聚类的聚类处理(步骤S13)。然后,第2估计部123执行第2估计处理,在该第2估计处理中,估计每个聚类的学习对象数据的概率密度,并且更新表示每个聚类的学习对象数据的概率密度的特征的模型的参数(步骤S14)。在步骤S14中,第2估计部123使用第1VAE1231、第2VAE1232以及第3VAE1233,对由聚类部122聚类后的每个聚类进行学习。此时,在第1VAE1231、第2VAE1232以及第3VAE1233中,对参数的初始值使用第1阶段的已学习的参数。
随后,整合部124执行对由第2估计部123的每个VAE分别估计的每个聚类的概率密度进行整合的整合处理(步骤S15)。学习装置10进行输出由第2估计部123的各VAE更新后的、各自具有的各模型的参数、以及整合部124采用的各聚类的先验分布的输出处理(步骤S16),结束学习处理。
[检测处理的处理步骤]
接着,对检测处理的处理顺序进行说明。图8是表示图5所示的检测装置20的检测处理的处理顺序的流程图。
首先,如图8所示,检测装置20接受检测对象数据的输入(步骤S21)。然后,在检测用估计部211中,第1VAE2111、第2VAE2112以及第3VAE2113应用由第2估计部123更新后的模型的参数,进行估计检测对象数据的概率密度的检测用估计处理(步骤S22)。
接着,整合部212进行整合处理,在该整合处理中,对检测用估计部211的各VAE对检测对象数据分别估计出的概率密度进行整合,将整合后的概率密度作为检测对象数据的概率密度输出到检测部22(步骤S23)。
然后,检测部22进行基于由检测用估计部211估计出的检测对象数据的概率密度来检测检测对象数据有无异常的检测处理(步骤S24)。具体而言,检测部22在由检测用估计部211估计出的检测对象数据的概率密度比规定的阈值低的情况下,检测为检测对象数据异常。然后,检测部22向外部的应对装置等输出检测结果(步骤S25),结束检测处理。
[实施例]
例如,本实施方式的检测系统1能够应用于IoT设备的异常检测。图9是说明实施方式的探测系统1的应用例的图。
如图9所示,在连接有多个IoT设备2的网络3上设置检测系统1。在该情况下,检测系统1收集IoT设备2收发的业务会话信息,进行正常业务会话的概率密度的学习以及异常业务会话的检测。在正常业务会话的概率密度的学习中,应用上述学习处理,即使在业务会话数据间存在数据数量的偏差的情况下,也高精度且高速地进行学习。此外,在异常业务会话的检测中,应用上述检测处理,进行应用了在学习处理中学习过的模型参数的概率密度估计,进行高精度的异常检测。
[评价实验]
接着,对于实际的IoT设备间的业务会话数据,使用本实施方式的学习方法和以往的学习方法进行了评价。本实施方式的学习方法是在第2级的学习中,对参数的初始值使用在第1级中已学习过的参数的方法。现有的学习方法是在第2级的学习中随机地给出参数的初始值的方法。需要说明的是,该实验中的聚类以异常得分来进行。另外,在该实验中,基于第1级的VAE的异常得分,学习对象的数据被聚类为聚类0~聚类3,所以将与4个聚类分别对应的4个概率密度估计器设置为第2级的VAE。
图10-1是表示第1级的VAE中的学习结果的图。图10-2是示出第2级的VAE中的针对聚类0的学习结果的图。图10-3是示出第2级的VAE中的针对聚类1的学习结果的图。图10-4是示出第2级的VAE中的针对聚类2的学习结果的图。图10-5是示出第2级的VAE中的针对聚类3的学习结果的图。在各学习结果的图表中,纵轴表示异常得分(loss值),横轴表示学习的时期(epoch)。
在图10-2、图10-3、图10-4以及图10-5中,曲线L11、L21、L31、L41表示与以往的方法对应的学习结果,曲线L12、L22、L32、L42表示与本实施方式的学习方法对应的学习结果。
第1级的VAE中的学习结果没有变化。与此相对,如图10-2、图10-3以及图10-5的曲线L12、L22、L42所示,在应用了本实施方式所涉及的学习方法的情况下,与以往的方法相比,直到下降到异常评分Sc1、Sc2、Sc4为止,大约一半的时期(epoch)就足够了。因此,可知本实施方式的学习方法与以往的方法相比,实现了约2倍的高速化。
[实施方式的效果]
这样,本实施方式的学习装置10在估计了学习对象数据的概率密度之后,根据该概率密度对学习对象数据进行聚类,按每个聚类重新进行学习。即,学习装置10估计每个聚类的学习对象数据的概率密度,并且更新表示每个聚类的学习对象数据的概率密度的特征的模型的参数。然后,学习装置10对每个聚类的概率密度进行整合。
因此,学习装置10首先在第1阶段的学习中进行概率密度估计和聚类,由此能够实施与数据的密度对应的聚类。然后,学习装置10在第2阶段的学习中,针对每个聚类准备VAE,针对每个聚类单独地使VAE学习学习对象数据,对每个聚类的概率密度进行整合。
在该第2级的学习中,对参数的初始值使用在第1估计部121中已学习的参数。其结果,学习装置10能够对数据数量少的学习对象数据也高精度地进行学习,并且能够实现学习的高速化。换言之,根据学习装置10,即使在学习对象数据间数据数量存在偏差的情况下,也能够高精度且高速地学习学习对象数据的概率密度,能够得到能够高精度地进行异常检测的模型。
而且,在检测装置20中,设置与学习装置10的VAE相同数量的VAE,应用所得到的模型,将对各VAE针对检测对象数据的概率密度进行整合后的结果作为概率密度估计结果。由此,在检测装置20中,能够高精度地实施概率密度估计,伴随于此,能够实现误检测的减少,能够实现检测率的提高。
[变形例1]
在实施方式中,将学习装置10和检测装置20作为分别独立的装置进行了说明,但不限于此,也可以是学习功能和检测功能一体化的装置。图11是表示实施方式的检测装置的另一结构的一例的图。
如图11所示,检测装置10A包括取得部11、第1估计部121、聚类部122、第2估计部123、整合部124和检测部22。
检测装置10A在学习阶段的情况下,对取得部11取得的学习对象数据,进行第1估计部121的第1估计处理、聚类部122的聚类处理、第2估计部123的第2估计处理,更新第2估计部123的各VAE中的模型参数。整合部124对第2估计部123的各概率密度估计器分别估计出的每个聚类的概率密度进行整合。
在检测阶段的情况下,对于取得部11取得的检测对象数据,第2估计部123对各VAE应用在学习阶段更新后的模型的参数,来估计检测对象数据的概率密度。然后,整合部124对估计出的各概率密度进行整合,将整合后的概率密度作为检测对象数据的概率密度输出到检测部22。检测部22进行基于由第2估计部123估计出的检测对象数据的概率密度来检测检测对象数据有无异常的检测处理。
[系统结构等]
图示的各装置的各构成要素是功能概念性的要素,不一定需要在物理上如图示那样构成。即,各装置的分散、整合的具体方式不限于图示的方式,能够根据各种负荷、使用状况等,以任意的单位功能性或物理性地分散、整合其全部或一部分而构成。并且,由各装置进行的各处理功能的全部或者任意的一部分能够通过CPU以及由该CPU解析执行的程序来实现,或者能够作为基于布线逻辑的硬件来实现。
另外,在本实施方式中说明的各处理中,也可以手动地进行作为自动地进行的处理而说明的处理的全部或一部分,或者,也可以用公知的方法自动地进行作为手动地进行的处理而说明的处理的全部或一部分。此外,关于上述文档中或附图中所示的处理步骤、控制步骤、具体的名称、包含各种数据或参数的信息,除了特别记载的情况以外,能够任意地变更。
[程序]
图12是表示通过执行程序来实现学习装置10以及检测装置20的计算机的一例的图。计算机1000例如具有存储器1010、CPU1020。计算机1000还包括硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部通过总线1080连接。
存储器1010包括ROM1011和RAM1012。ROM1011例如存储BIOS(Basic Input OutputSystem)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040连接到盘驱动器1100。例如,诸如磁盘或光盘等的可拆卸存储介质被插入到盘驱动器1100中。串行端口接口1050例如与鼠标1110、键盘1120连接。视频适配器1060例如与显示器1130连接。
硬盘驱动器1090例如存储操作系统(Operating System,OS)1091、应用程序1092、程序模块1093、程序数据1094。即,规定学习装置10以及检测装置20的各处理的程序被安装为记述有能够由计算机执行的代码的程序模块1093。程序模块1093例如存储在硬盘驱动器1090中。例如,用于执行与学习装置10和检测装置20中的功能配置相同的处理的程序模块1093被存储在硬盘驱动器1090中。此外,硬盘驱动器1090也可以由SSD(Solid StateDrive:固态硬盘)代替。
另外,在上述的实施方式的处理中使用的设定数据作为程序数据1094例如存储于存储器1010、硬盘驱动器1090。而且,CPU1020根据需要将存储在存储器1010、硬盘驱动器1090中的程序模块1093、程序数据1094读出到RAM1012中并执行。
另外,程序模块1093、程序数据1094不限于存储在硬盘驱动器1090中的情况,例如也可以存储在可装卸的存储介质中,经由盘驱动器1100等由CPU1020读出。或者,程序模块1093和程序数据1094也可以存储在经由网络(LAN、WAN(Wide Area Network)等)连接的其他计算机中。而且,程序模块1093和程序数据1094也可以从其他计算机经由网络接口1070由CPU1020读出。
以上,对应用了由本发明人完成的发明的实施方式进行了说明,但本发明并不限定于构成本实施方式的本发明的公开的一部分的记述以及附图。即,本领域技术人员等基于本实施方式而完成的其他实施方式、实施例及运用技术等全部包含在本发明的范畴内。
标号说明
1 检测系统
2 IoT设备
3 网络
10 学习装置
11 取得部
12 学习部
20 检测装置
21 估计部
22 检测部
30 收集装置
121 第1估计部
122 聚类部
123 第2估计部
124,212 整合部
211 检测用估计部
1211 VAE
1231,2111 第1VAE
1232,2112 第2VAE
1233,2113 第3VAE
Claims (6)
1.一种学习装置,其特征在于,该学习装置具有:
取得部,其取得多个作为学习对象的正常通信数据;
第1估计部,其学习所述正常通信数据,估计所述正常通信数据的概率密度,并且更新模型的参数;
聚类部,其根据由所述第1估计部估计出的所述概率密度,对所述正常通信数据进行聚类;
第2估计部,其针对由所述聚类部聚类后的每个聚类进行学习,对参数的初始值使用在所述第1估计部中已学习的参数,估计所述每个聚类的所述正常通信数据的概率密度,更新表示所述每个聚类的所述正常通信数据的概率密度的特征的模型的参数;以及
整合部,其对所估计出的所述每个聚类的概率密度进行整合。
2.根据权利要求1所述的学习装置,其特征在于,
第2估计部针对所述每个聚类具有概率密度估计器,
各概率密度估计器对参数的初始值使用在所述第1估计部中已学习的参数,按照所述每个聚类进行学习,更新各自具有的模型的参数。
3.一种检测系统,所述检测系统具有:检测装置,其基于表示通信数据的概率密度的特征的模型来检测通信数据的异常;以及学习装置,其更新所述模型的参数,其特征在于,
所述学习装置具有:
取得部,其取得多个作为学习对象的正常通信数据;
第1估计部,其学习所述正常通信数据,估计所述正常通信数据的概率密度;
聚类部,其根据由所述第1估计部估计出的所述概率密度,对所述正常通信数据进行聚类;
第2估计部,其针对由所述聚类部聚类后的每个聚类进行学习,对参数的初始值使用在所述第1估计部中已学习的参数,估计所述每个聚类的所述正常通信数据的概率密度,更新所述模型的参数;以及
整合部,其对所估计出的所述每个聚类的概率密度进行整合,
所述检测装置具有:
第3估计部,其应用由所述第2估计部更新后的所述模型的参数,来估计检测对象的通信数据的概率密度;以及
检测部,其基于由所述第3估计部估计出的概率密度来检测所述检测对象的通信数据有无异常。
4.根据权利要求3所述的检测系统,其特征在于,
第2估计部针对所述每个聚类具有概率密度估计器,
各概率密度估计器对参数的初始值使用在所述第1估计部中已学习的参数,按照所述每个聚类进行学习,更新各自具有的模型的参数,
所述整合部对所述第2估计部的各概率密度估计器分别估计出的概率密度进行整合,
所述第3估计部具有与所述第2估计部所具有的概率密度估计器的数量相同数量的概率密度估计器,所述第3估计部的各所述概率密度估计器分别具有的模型的参数被设定为由所述第2估计部更新后的各参数,对所述第3估计部的各概率密度估计器针对所述检测对象的通信数据分别估计出的概率密度进行整合,将整合后的概率密度作为所述检测对象的通信数据的概率密度输出到所述检测部。
5.一种学习方法,所述学习方法由学习装置执行,所述学习方法包括如下过程:
取得过程,取得多个作为学习对象的正常通信数据;
第1估计过程,学习所述正常通信数据,估计所述正常通信数据的概率密度;
聚类过程,根据通过所述第1估计过程估计出的所述概率密度,对所述正常通信数据进行聚类;
第2估计过程,针对通过所述聚类过程聚类后的每个聚类进行学习,对参数的初始值使用通过所述第1估计过程已学习的参数,估计所述每个聚类的所述正常通信数据的概率密度,更新表示所述每个聚类的所述正常通信数据的概率密度的特征的模型的参数;以及
整合过程,对所估计出的所述每个聚类的概率密度进行整合。
6.一种学习程序,所述学习程序用于使计算机执行如下步骤:
取得步骤,取得多个作为学习对象的正常通信数据;
第1估计步骤,学习所述正常通信数据,估计所述正常通信数据的概率密度;
聚类步骤,根据通过所述第1估计步骤估计出的所述概率密度,对所述正常通信数据进行聚类;
第2估计步骤,针对通过所述聚类步骤聚类后的每个聚类进行学习,对参数的初始值使用通过所述第1估计步骤已学习的参数,估计所述每个聚类的所述正常通信数据的概率密度,更新表示所述每个聚类的所述正常通信数据的概率密度的特征的模型的参数;以及
整合步骤,对所估计出的所述每个聚类的概率密度进行整合。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/028339 WO2021009921A1 (ja) | 2019-07-18 | 2019-07-18 | 学習装置、検知システム、学習方法及び学習プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114127698A true CN114127698A (zh) | 2022-03-01 |
Family
ID=74210388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980098475.XA Pending CN114127698A (zh) | 2019-07-18 | 2019-07-18 | 学习装置、检测系统、学习方法以及学习程序 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220269779A1 (zh) |
| EP (1) | EP3979085B1 (zh) |
| JP (1) | JP7302660B2 (zh) |
| CN (1) | CN114127698A (zh) |
| AU (1) | AU2019457225B2 (zh) |
| WO (1) | WO2021009921A1 (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7983490B1 (en) * | 2007-12-20 | 2011-07-19 | Thomas Cecil Minter | Adaptive Bayes pattern recognition |
| CN106572493A (zh) * | 2016-10-28 | 2017-04-19 | 南京华苏科技有限公司 | Lte网络中的异常值检测方法及系统 |
| CN107563410A (zh) * | 2017-08-04 | 2018-01-09 | 中国科学院自动化研究所 | 基于局部类别一致聚类和多任务学习的分类方法及设备 |
| CN107657602A (zh) * | 2017-08-09 | 2018-02-02 | 武汉科技大学 | 基于两次迁移卷积神经网络的乳腺结构紊乱识别方法 |
| CN109145939A (zh) * | 2018-07-02 | 2019-01-04 | 南京师范大学 | 一种小目标敏感的双通道卷积神经网络语义分割方法 |
| CN109213805A (zh) * | 2018-09-07 | 2019-01-15 | 东软集团股份有限公司 | 一种实现模型优化的方法及装置 |
| CN109583594A (zh) * | 2018-11-16 | 2019-04-05 | 东软集团股份有限公司 | 深度学习训练方法、装置、设备及可读存储介质 |
| CN109711556A (zh) * | 2018-12-24 | 2019-05-03 | 中国南方电网有限责任公司 | 机巡数据处理方法、装置、网级服务器和省级服务器 |
| JP2019101982A (ja) * | 2017-12-07 | 2019-06-24 | 日本電信電話株式会社 | 学習装置、検知システム、学習方法及び学習プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8544087B1 (en) * | 2001-12-14 | 2013-09-24 | The Trustess Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
| US10257211B2 (en) * | 2016-05-20 | 2019-04-09 | Informatica Llc | Method, apparatus, and computer-readable medium for detecting anomalous user behavior |
| JP6845125B2 (ja) * | 2017-12-08 | 2021-03-17 | 日本電信電話株式会社 | 学習装置、学習方法及び学習プログラム |
-
2019
- 2019-07-18 CN CN201980098475.XA patent/CN114127698A/zh active Pending
- 2019-07-18 WO PCT/JP2019/028339 patent/WO2021009921A1/ja unknown
- 2019-07-18 JP JP2021532656A patent/JP7302660B2/ja active Active
- 2019-07-18 EP EP19937975.1A patent/EP3979085B1/en active Active
- 2019-07-18 US US17/624,579 patent/US20220269779A1/en active Pending
- 2019-07-18 AU AU2019457225A patent/AU2019457225B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7983490B1 (en) * | 2007-12-20 | 2011-07-19 | Thomas Cecil Minter | Adaptive Bayes pattern recognition |
| CN106572493A (zh) * | 2016-10-28 | 2017-04-19 | 南京华苏科技有限公司 | Lte网络中的异常值检测方法及系统 |
| CN107563410A (zh) * | 2017-08-04 | 2018-01-09 | 中国科学院自动化研究所 | 基于局部类别一致聚类和多任务学习的分类方法及设备 |
| CN107657602A (zh) * | 2017-08-09 | 2018-02-02 | 武汉科技大学 | 基于两次迁移卷积神经网络的乳腺结构紊乱识别方法 |
| JP2019101982A (ja) * | 2017-12-07 | 2019-06-24 | 日本電信電話株式会社 | 学習装置、検知システム、学習方法及び学習プログラム |
| CN109145939A (zh) * | 2018-07-02 | 2019-01-04 | 南京师范大学 | 一种小目标敏感的双通道卷积神经网络语义分割方法 |
| CN109213805A (zh) * | 2018-09-07 | 2019-01-15 | 东软集团股份有限公司 | 一种实现模型优化的方法及装置 |
| CN109583594A (zh) * | 2018-11-16 | 2019-04-05 | 东软集团股份有限公司 | 深度学习训练方法、装置、设备及可读存储介质 |
| CN109711556A (zh) * | 2018-12-24 | 2019-05-03 | 中国南方电网有限责任公司 | 机巡数据处理方法、装置、网级服务器和省级服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7302660B2 (ja) | 2023-07-04 |
| EP3979085B1 (en) | 2024-01-03 |
| AU2019457225B2 (en) | 2023-06-01 |
| EP3979085A4 (en) | 2023-01-18 |
| JPWO2021009921A1 (zh) | 2021-01-21 |
| US20220269779A1 (en) | 2022-08-25 |
| EP3979085A1 (en) | 2022-04-06 |
| AU2019457225A1 (en) | 2022-02-03 |
| WO2021009921A1 (ja) | 2021-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2758041C2 (ru) | Постоянное обучение для обнаружения вторжения | |
| JP6691094B2 (ja) | 学習装置、検知システム、学習方法及び学習プログラム | |
| US20150242760A1 (en) | Personalized Machine Learning System | |
| JP6828807B2 (ja) | データ解析装置、データ解析方法およびデータ解析プログラム | |
| JP6450032B2 (ja) | 作成装置、作成方法、および作成プログラム | |
| CN113822444A (zh) | 模型训练及数据处理的方法、设备和计算机可读存储介质 | |
| JP2018528511A (ja) | 生産システムにおける出力効率の最適化 | |
| US20210264285A1 (en) | Detecting device, detecting method, and detecting program | |
| JP6767312B2 (ja) | 検知システム、検知方法及び検知プログラム | |
| JP2019220892A (ja) | 検知装置及び検知方法 | |
| WO2019244902A1 (ja) | 評価装置及び評価方法 | |
| JP6845125B2 (ja) | 学習装置、学習方法及び学習プログラム | |
| CN114127698A (zh) | 学习装置、检测系统、学习方法以及学习程序 | |
| CN110770753B (zh) | 高维数据实时分析的装置和方法 | |
| JP7331938B2 (ja) | 学習装置、推定装置、学習方法及び学習プログラム | |
| CN111819559A (zh) | 以量化步长使用机器学习模型用于恶意软件检测 | |
| US20220358375A1 (en) | Inference of machine learning models | |
| Farahmand et al. | Random projection filter bank for time series data | |
| CN113793076A (zh) | 一种风险池动态监测方法、系统、设备和可读存储介质 | |
| WO2019227227A1 (en) | A method of digital signal feature extraction comprising multiscale analysis | |
| EP4328813A1 (en) | Detection device, detection method, and detection program | |
| EP4202800A1 (en) | Learning device, learning method, and learning program | |
| CN116089827A (zh) | 工业传感器数据异常检测方法、装置及设备 | |
| WO2023139510A1 (en) | Systems and methods for detecting drift | |
| US20220311785A1 (en) | Detection device, detection method, and detection program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |