CN116113960A - 学习装置、学习方法以及学习程序 - Google Patents
学习装置、学习方法以及学习程序 Download PDFInfo
- Publication number
- CN116113960A CN116113960A CN202080105213.4A CN202080105213A CN116113960A CN 116113960 A CN116113960 A CN 116113960A CN 202080105213 A CN202080105213 A CN 202080105213A CN 116113960 A CN116113960 A CN 116113960A
- Authority
- CN
- China
- Prior art keywords
- data
- learning
- model
- abnormality score
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 22
- 230000005856 abnormality Effects 0.000 claims abstract description 61
- 230000006870 function Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 description 32
- 238000001514 detection method Methods 0.000 description 29
- 238000004891 communication Methods 0.000 description 26
- 238000010586 diagram Methods 0.000 description 14
- 238000003384 imaging method Methods 0.000 description 5
- 230000010365 information processing Effects 0.000 description 4
- 238000002474 experimental method Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 206010028980 Neoplasm Diseases 0.000 description 1
- 201000011510 cancer Diseases 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000036210 malignancy Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
- G06N3/0455—Auto-encoder networks; Encoder-decoder networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0475—Generative networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Probability & Statistics with Applications (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Electrically Operated Instructional Devices (AREA)
Abstract
生成部(131)对学习用数据中的被选择为未学习数据的数据进行学习,生成计算异常得分的模型。选择部(133)选择学习用数据中的、利用由生成部(131)生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为未学习数据。
Description
技术领域
本发明涉及学习装置、学习方法以及学习程序。
背景技术
随着IoT时代的到来,多种设备在多种使用方式下与互联网连接。为了这些IoT设备的安全对策,近来盛行研究面向IoT设备的业务会话异常检测系统、侵入检测系统(IDS)。
在这样的异常检测系统中,存在使用Variational Auto Encoder(VAE)等基于无教师学习的概率密度估计器的异常检测系统。使用概率密度估计器的异常检测系统根据实际的通信而生成被称为业务特征量的学习用的高维数据,使用该特征量学习正常的业务的特征,由此能够估计正常通信模式的发生概率。另外,在以后的说明中,有时将概率密度估计器简称为模型。
之后,异常检测系统使用已学习的模型来计算各通信的发生概率,将发生概率小的通信检测为异常。因此,根据使用概率密度估计器的异常检测系统,具有如下优点:即使不知道全部恶性状态也能够进行异常检测,并且还能够应对未知的网络攻击。另外,在异常检测系统中,有时在异常检测中使用异常得分,前述的发生概率越小则该异常得分越大。
在此,VAE等概率密度估计器的学习大多在学习对象的正常数据间件数存在偏差的状况下无法顺利地进行。特别是,在业务会话数据中,经常发生件数存在偏差的状况。例如,由于经常使用HTTP通信,因此数据在短时间内大量集中。另一方面,难以大量收集仅稀少地进行通信的NTP通信等的数据。若在这样的状况下进行基于VAE等概率密度估计器的学习,则数据的件数少的NTP通信的学习不能顺利地进行,发生概率被估计得低,有时成为误检测的原因。
作为解决由于这样的数据件数的偏差而产生的问题的方法,已知有以2个阶段进行概率密度估计器的学习的方法(例如,参照专利文献1)。
现有技术文献
专利文献
专利文献1:日本特开2019-101982号公报
发明内容
发明所要解决的问题
然而,在现有技术中,存在处理时间有时会增大的问题。例如,在专利文献1所记载的方法中,概率密度估计器的学习以2个阶段进行,因此与1个阶段的情况相比,学习时间变长2倍左右。
用于解决问题的手段
为了解决上述问题,实现目的,学习装置的特征在于,具有:生成部,其对学习用数据中的被选择为未学习数据的数据进行学习,生成计算异常得分的模型;以及选择部,其将所述学习用数据中的、利用由所述生成部生成的模型计算出的异常得分为阈值以上的数据的至少一部分选择为所述未学习数据。
发明效果
根据本发明,即使在正常数据间的件数存在偏差的情况下,也能够利用短时间高精度地进行学习。
附图说明
图1是说明学习处理的流程的图。
图2是示出第一实施方式的学习装置的结构例的图。
图3是说明未学习数据的选择的图。
图4是示出第一实施方式的学习装置的处理流程的流程图。
图5是示出异常得分的分布的图。
图6是示出异常得分的分布的图。
图7是示出异常得分的分布的图。
图8是示出ROC曲线的图。
图9是示出异常检测系统的结构例的图。
图10是示出执行学习程序的计算机的一例的图。
具体实施方式
以下,基于附图详细说明本申请所涉及的学习装置、学习方法以及学习程序的实施方式。另外,本发明并不限定于以下说明的实施方式。
[第一实施方式的结构]
首先,使用图1对本实施方式的学习处理的流程进行说明。图1是说明学习处理的流程的图。如图1所示,本实施方式的学习装置反复进行步骤1和步骤2,直到满足结束条件为止。由此,学习装置生成多个模型。另外,所生成的模型被追加到列表中。
最初,将收集到的学习用数据全部视为未学习数据。在步骤1中,学习装置从未学习数据中随机地采样规定数量的数据。然后,学习装置根据采样的数据生成模型。例如,模型是VAE等概率密度估计器。
接着,在步骤2中,学习装置使用所生成的模型,计算未学习数据全体的异常得分。然后,学习装置选择异常得分为阈值以下的数据作为已学习的数据。另一方面,学习装置选择异常得分为阈值以上的数据作为未学习数据。在此,如果不满足结束条件,则学习装置返回步骤1。
在第二次及以后的STEP1中,将在STEP2中异常得分为阈值以上的数据视为未学习数据。这样,在本实施方式中,反复进行采样和评价(异常得分的计算以及未学习数据的选择),在未学习数据中依次学习支配性类型的数据。
另外,在本实施方式中,通过进行采样以及缩小未学习数据,学习对象的数据减少,因此能够缩短学习所需的时间。
对学习装置的结构进行说明。图2是示出第一实施方式的学习装置的结构例的图。如图2所示,学习装置10具有IF(接口)部11、存储部12以及控制部13。
IF部11是用于数据的输入以及输出的接口。例如,IF部11是NIC(NetworkInterface Card:网络接口卡)。另外,IF部11也可以与鼠标、键盘等输入装置以及显示器等输出装置连接。
存储部12是HDD(Hard Disk Drive:硬盘驱动器)、SSD(Solid State Drive:固态硬盘驱动器)、光盘等存储装置。此外,存储部12也可以是RAM(Random Access Memory:随机存取存储器)、闪存、NVSRAM(Non Volatile Static Random Access Memory:非易失性静态随机存取存储器)等能够改写数据的半导体存储器。存储部12存储由学习装置10执行的OS(Operating System:操作系统)、各种程序。
控制部13控制学习装置10整体。控制部13例如是CPU(Central Processing Unit:中央处理单元)、MPU(Micro Processing Unit:微处理单元)、GPU(Graphics ProcessingUnit:图形处理单元)等电子电路、ASIC(Application Specific Integrated Circuit:专用集成电路)、FPGA(Field Programmable Gate Array:现场可编程门阵列)等集成电路。另外,控制部13具有用于存储规定了各种处理步骤的程序、控制数据的内部存储器,使用内部存储器来执行各处理。另外,控制部13通过各种程序进行工作而作为各种处理部发挥功能。例如,控制部13具有生成部131、计算部132以及选择部133。
生成部131对学习用数据中的被选择为未学习数据的数据进行学习,生成计算异常得分的模型。生成部131将生成的模型追加到列表中。生成部131能够采用现有的VAE的生成方法。另外,生成部131也可以基于对未学习数据的一部分进行采样而得到的数据来生成模型。
计算部132根据由生成部131生成的模型,计算未学习数据的异常得分。计算部132可以计算未学习数据全体的异常得分,也可以计算未学习数据中的一部分的异常得分。
选择部133选择学习用数据中的、利用由生成部131生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为未学习数据。
使用图3,对由选择部133进行的未学习数据的选择进行说明。图3是对未学习数据的选择进行说明的图。在此,模型是VAE,用于为了检测异常通信而计算通信数据的异常得分。
如上所述,如果是在数据数量存在偏差的状况下,则发生误检测的情况较多。例如,在将大量的HTTP通信和少量的管理用FTP通信同时作为学习对象的情况下,产生数据数量的偏差。
如图3中的<第一次>所示,此处假定存在大量的MQTT通信数据、中等数量的DNS通信数据等以及少量的摄像通信数据的状况。图3的图表是横轴描绘了概率密度的负的对数似然度(-log p(x))的近似值即异常得分,纵轴描绘了数据数量的直方图。由于数据点的密度(出现频度)越低,概率密度的负的对数似然度取越高的值,所以能够将其视为异常得分、即异常的程度。
如图3的<第一次>所示,数据数量多的MQTT通信的异常得分变低,数据数量少的摄像流通信的异常得分变高。因此,认为数据数量少的摄像通信的数据成为误检测的原因。
因此,选择部133从异常得分为阈值以上的数据中选择未学习数据。然后,使用该选择出的未学习数据的一部分或全部,生成抑制了误检测的模型。换言之,选择部133具有排除掉不需要进一步学习的数据的功能。
阈值也可以基于在模型的生成时得到的损失(Loss)值来决定。在该情况下,选择部133选择学习用数据中的、利用由生成部131生成的模型计算出的异常得分为下述阈值以上的数据的至少一部分作为未学习数据:该阈值是基于在模型的生成时得到的各数据的损失值而计算出的阈值。例如,阈值也可以如损失值的平均+0.3σ那样,基于平均值、方差来计算。
如图3的<第二次>所示,选择部133基于在<第一次>中计算出的异常得分,以DNS通信的数据以及摄像通信的数据为中心进行选择。相反,选择部133几乎不选择数据数量多的MQTT通信的数据。
此外,学习装置10能够在第三次及以后反复进行由生成部131、计算部132和选择部133执行的处理。即,每当通过选择部133选择了数据作为未学习数据时,生成部131学习该选择的数据,生成计算异常得分的模型。并且,每当由生成部131生成模型时,选择部133选择利用该生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为未学习数据。
另外,学习装置10也可以在异常得分为阈值以上的数据的数量小于规定的值的时刻结束反复。换言之,选择部133在学习用数据中的、利用由生成部131生成的模型计算出的异常得分为阈值以上的数据的数量满足规定条件的情况下,选择该异常得分为阈值以上的数据的至少一部分作为未学习数据。
例如,学习装置10也可以反复进行处理,直到异常得分为阈值以上的数据的数量小于最初收集到的学习用数据的数量的1%为止。另外,每次反复时都生成模型并追加到列表中,因此学习装置10能够输出多个模型。
由学习装置10生成的多个模型在检测装置等中用于异常检测。关于使用了多个模型的异常检测,也可以通过专利文献1所记载的方法来进行。即,检测装置能够根据通过多个模型计算出的异常得分的合并值或者最小值来检测异常。
[第一实施方式的处理]
图4是表示第一实施方式的学习装置的处理流程的流程图。首先,学习装置10对未学习数据的一部分进行采样(步骤S101)。接下来,学习装置10基于采样的数据生成模型(步骤S102)。
在此,在满足结束条件的情况下(步骤S103,是),学习装置10结束处理。另一方面,在不满足结束条件的情况下(步骤S103,否),学习装置10利用所生成的模型来计算未学习数据全体的异常得分(步骤S104)。
学习装置10选择异常得分为阈值以上的数据作为未学习数据(步骤S105),返回到步骤S101,反复进行处理。此外,在即将执行步骤S105之前,将未学习数据的选择暂时初始化。即,在步骤S105中,学习装置10在1个未学习数据都未被选择的状态下,参照异常得分来重新进行未学习数据的选择。
[第一实施方式的效果]
如至此所说明的那样,生成部131对学习用数据中的作为未学习数据而被选择的数据进行学习,生成计算异常得分的模型。选择部133选择学习用数据中的、利用由生成部131生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为未学习数据。这样,学习装置10能够在生成模型之后,选择容易成为误检测的原因的数据,再次生成模型。其结果,根据本实施方式,即使在正常数据间的件数存在偏差的情况下,也能够利用短时间高精度地进行学习。
每当通过选择部133选择了数据作为未学习数据时,生成部131就学习该选择的数据,生成计算异常得分的模型。在每次由生成部131生成模型时,选择部133选择利用该生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为未学习数据。在本实施方式中,通过这样反复进行处理来生成多个模型,能够提高异常检测的精度。
选择部133选择学习用数据中的、利用由生成部131生成的模型计算出的异常得分为基于在模型的生成时得到的各数据的损失值而计算出的阈值以上的数据的至少一部分,作为未学习数据。由此,能够设定与异常得分的偏差程度对应的阈值。
选择部133在学习用数据中的、利用由生成部131生成的模型计算出的异常得分为阈值以上的数据的数量满足规定条件的情况下,选择该异常得分为阈值以上的数据的至少一部分作为未学习数据。这样,通过预先设定反复处理的结束条件,能够调整异常检测的精度与学习所需的处理时间的平衡。
[实验结果]
示出使用本实施方式进行的实验的结果。首先,在实验中,使用混合了下述通信的数据进行学习。
MQTT通信:1883端口20951件(大量数据)
摄像通信:1935端口204件(少量数据)
在实验中,通过学习来生成模型,利用所生成的模型来计算各数据的异常得分。图5、图6以及图7是表示异常得分的分布的图。
首先,在图5中示出基于以往的VAE(1阶段VAE)的学习的结果。在图5的例子中,学习所需的时间为268秒。另外,在图5的例子中,作为少量数据的摄像通信的异常得分被计算得稍高。
在图6中示出专利文献1所记载的基于2阶段VAE的学习的结果。在图6的例子中,学习所需的时间为572秒。另外,在图6的例子中,与图5的例子相比,作为少量数据的摄像通信的异常得分降低。
图7表示本实施方式的学习的结果。在图7的例子中,学习所需的时间为192秒。另外,如图7所示,在本实施方式中,摄像通信的异常得分降低到与图6的2阶段VAE的情况相同的程度,进一步大幅缩短了学习所需的时间。
图8是表示ROC曲线的图。如图8所示,本实施方式示出了与1阶段VAE和2阶段VAE相比理想的ROC曲线。另外,本实施方式的检测精度为0.9949。另外,基于2阶段VAE的检测精度为0.9652。另外,基于1阶段VAE的检测精度为0.9216。由此,根据本实施方式,能够提高检测精度。
[实施例]
如图9所示,也可以使IoT设备所连接的网络上所具备的服务器具有与上述的实施方式中的学习装置10相同的模型生成功能、以及使用了由学习装置10生成的模型的异常检测功能。图9是表示异常检测系统的结构例的图。
在该情况下,服务器收集IoT设备收发的业务会话信息,进行正常业务会话的概率密度的学习和异常业务会话的检测。服务器在学习正常业务会话的概率密度时,应用实施方式的方法,即使会话数据数量间存在偏差,也能够高精度且高速地进行异常检测模型的生成。
[系统结构等]
另外,图示的各装置的各构成要件为功能概念性要件,不一定在物理方面如图示那样构成。即,各装置的分散以及整合的具体的方式不限于图示的方式,能够根据各种负荷、使用状况等,以任意的单位将其全部或者一部分功能性或者物理性地分散或者整合而构成。并且,由各装置进行的各处理功能的全部或者任意的一部分能够通过CPU(CentralProcessing Unit:中央处理单元)以及由该CPU解析执行的程序来实现,或者能够作为基于布线逻辑的硬件来实现。另外,程序不仅可以由CPU执行,也可以由GPU等其他处理器执行。
另外,也能够手动地进行在本实施方式中说明的各处理中作为自动地进行的处理来说明的处理的全部或者一部分,或者,也能够以公知的方法来自动地进行作为手动地进行的处理来说明的处理的全部或者一部分。另外,除非特意说明的情况,在上述说明书或附图中描述的处理过程、控制过程、具体名称、包括各种数据和参数的信息可以任意地改变。
[程序]
作为一个实施方式,学习装置10能够通过将执行上述学习处理的学习程序作为封装软件或在线软件安装到所希望的计算机中来安装。例如,通过使信息处理装置执行上述的学习程序,能够使信息处理装置作为学习装置10发挥功能。在此所说的信息处理装置包括台式机或笔记本型的个人计算机。另外,除此之外,在信息处理装置中,智能手机、移动电话机或PHS(Personal Handyphone System:个人手持电话系统)等移动体通信终端、以及PDA(Personal Digital Assistant:个人数字助理)等平板终端等也包含在其范畴内。
另外,也能够将学习装置10安装为将用户使用的终端装置作为客户端,并向该客户端提供与上述的学习处理相关的服务的学习服务器装置。例如,将学习服务器装置安装为提供学习服务的服务器装置,该学习服务将学习用数据作为输入,将已生成的多个模型的信息作为输出。在该情况下,学习服务器装置可以作为Web服务器来安装,也可以作为通过外包提供与上述的学习处理有关的服务的云来安装。
图10是表示执行学习程序的计算机的一例的图。计算机1000例如具有存储器1010、CPU1020。计算机1000还包括硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060和网络接口1070。这些各部分通过总线1080连接。
存储器1010包括只读存储器(ROM)1011和随机存取存储器(RAM)1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1100连接。例如,磁盘或光盘等可拆卸存储介质被插入到盘驱动器1100中。串行端口接口1050例如与鼠标1110、键盘1120连接。视频适配器1060例如与显示器1130连接。
硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093、程序数据1094。即,将规定学习装置10的各处理的程序安装为记述有能够由计算机执行的代码的程序模块1093。程序模块1093例如存储在硬盘驱动器1090中。例如,将用于执行与学习装置10中的功能结构相同的处理的程序模块1093存储在硬盘驱动器1090中。此外,硬盘驱动器1090也可以由SSD(Solid State Drive:固态硬盘驱动器)代替。
另外,在上述的实施方式的处理中使用的设定数据作为程序数据1094例如存储于存储器1010、硬盘驱动器1090。而且,CPU1020根据需要将存储在存储器1010、硬盘驱动器1090中的程序模块1093、程序数据1094读出到RAM1012中,执行上述实施方式的处理。
另外,程序模块1093、程序数据1094不限于存储在硬盘驱动器1090中的情况,例如也可以存储在可装卸的存储介质中,经由盘驱动器1100等由CPU1020读出。或者,程序模块1093和程序数据1094也可以存储在经由网络(LAN(Local Area Network:局域网)、WAN(Wide Area Network:广域网)等)连接的其他计算机中。而且,也可以由CPU1020从其他计算机经由网络接口1070读出程序模块1093和程序数据1094。
标记说明
10 学习装置
11 IF部
12 存储部
13 控制部
131 生成部
132 计算部
133 选择部
Claims (6)
1.一种学习装置,其特征在于,具有:
生成部,其对学习用数据中的被选择为未学习数据的数据进行学习,生成计算异常得分的模型;以及
选择部,其选择所述学习用数据中的、利用由所述生成部生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为所述未学习数据。
2.根据权利要求1所述的学习装置,其特征在于,每当通过所述选择部选择了数据作为所述未学习数据时,所述生成部就对该选择的数据进行学习,生成计算异常得分的模型,
每当通过所述生成部生成模型时,所述选择部就选择利用该生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为所述未学习数据。
3.根据权利要求1或2所述的学习装置,其特征在于,所述选择部选择所述学习用数据中的、利用由所述生成部生成的模型计算出的异常得分为基于在所述模型的生成时得到的各数据的损失值而计算出的阈值以上的数据的至少一部分作为所述未学习数据。
4.根据权利要求1至3中的任意一项所述的学习装置,其特征在于,所述选择部在所述学习用数据中的、利用由所述生成部生成的模型计算出的异常得分为阈值以上的数据的数量满足规定条件的情况下,选择该异常得分为阈值以上的数据的至少一部分作为所述未学习数据。
5.一种学习方法,该学习方法由学习装置执行,其特征在于,所述学习方法包括:
生成步骤,对学习用数据中的被选择为未学习数据的数据进行学习,生成计算异常得分的模型;以及
选择步骤,选择所述学习用数据中的、利用通过所述生成步骤生成的模型计算出的异常得分为阈值以上的数据的至少一部分作为所述未学习数据。
6.一种学习程序,用于使计算机作为权利要求1至4中的任意一项所述的学习装置发挥功能。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/035623 WO2022059208A1 (ja) | 2020-09-18 | 2020-09-18 | 学習装置、学習方法及び学習プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116113960A true CN116113960A (zh) | 2023-05-12 |
Family
ID=80776763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080105213.4A Pending CN116113960A (zh) | 2020-09-18 | 2020-09-18 | 学习装置、学习方法以及学习程序 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230334361A1 (zh) |
| EP (1) | EP4202800A4 (zh) |
| JP (1) | JP7444271B2 (zh) |
| CN (1) | CN116113960A (zh) |
| AU (1) | AU2020468806B2 (zh) |
| WO (1) | WO2022059208A1 (zh) |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3675246B2 (ja) | 1999-08-13 | 2005-07-27 | Kddi株式会社 | 正誤答判定機能を有するニューラルネットワーク手段 |
| US10459827B1 (en) * | 2016-03-22 | 2019-10-29 | Electronic Arts Inc. | Machine-learning based anomaly detection for heterogenous data sources |
| JP7017861B2 (ja) * | 2017-03-23 | 2022-02-09 | 株式会社日立製作所 | 異常検知システムおよび異常検知方法 |
| JP6585654B2 (ja) * | 2017-05-01 | 2019-10-02 | 日本電信電話株式会社 | 判定装置、分析システム、判定方法および判定プログラム |
| CN110019770A (zh) | 2017-07-24 | 2019-07-16 | 华为技术有限公司 | 训练分类模型的方法与装置 |
| JP7082461B2 (ja) * | 2017-07-26 | 2022-06-08 | 株式会社Ye Digital | 故障予知方法、故障予知装置および故障予知プログラム |
| US10999247B2 (en) * | 2017-10-24 | 2021-05-04 | Nec Corporation | Density estimation network for unsupervised anomaly detection |
| JP6691094B2 (ja) * | 2017-12-07 | 2020-04-28 | 日本電信電話株式会社 | 学習装置、検知システム、学習方法及び学習プログラム |
| JP6845125B2 (ja) | 2017-12-08 | 2021-03-17 | 日本電信電話株式会社 | 学習装置、学習方法及び学習プログラム |
| US10785244B2 (en) * | 2017-12-15 | 2020-09-22 | Panasonic Intellectual Property Corporation Of America | Anomaly detection method, learning method, anomaly detection device, and learning device |
| JP6431231B1 (ja) | 2017-12-24 | 2018-11-28 | オリンパス株式会社 | 撮像システム、学習装置、および撮像装置 |
| JP6749957B2 (ja) | 2018-03-01 | 2020-09-02 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
| WO2020159439A1 (en) | 2019-01-29 | 2020-08-06 | Singapore Telecommunications Limited | System and method for network anomaly detection and analysis |
-
2020
- 2020-09-18 CN CN202080105213.4A patent/CN116113960A/zh active Pending
- 2020-09-18 JP JP2022550324A patent/JP7444271B2/ja active Active
- 2020-09-18 US US18/026,605 patent/US20230334361A1/en active Pending
- 2020-09-18 EP EP20954193.7A patent/EP4202800A4/en active Pending
- 2020-09-18 AU AU2020468806A patent/AU2020468806B2/en active Active
- 2020-09-18 WO PCT/JP2020/035623 patent/WO2022059208A1/ja active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP4202800A4 (en) | 2024-05-01 |
| JP7444271B2 (ja) | 2024-03-06 |
| JPWO2022059208A1 (zh) | 2022-03-24 |
| AU2020468806B2 (en) | 2024-02-29 |
| AU2020468806A1 (en) | 2023-04-27 |
| AU2020468806A9 (en) | 2024-06-13 |
| US20230334361A1 (en) | 2023-10-19 |
| EP4202800A1 (en) | 2023-06-28 |
| WO2022059208A1 (ja) | 2022-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11481684B2 (en) | System and method for machine learning model determination and malware identification | |
| JP7091872B2 (ja) | 検知装置及び検知方法 | |
| JP6870508B2 (ja) | 学習プログラム、学習方法及び学習装置 | |
| WO2019240038A1 (ja) | 検知装置及び検知方法 | |
| JP2019101982A (ja) | 学習装置、検知システム、学習方法及び学習プログラム | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| JP6767312B2 (ja) | 検知システム、検知方法及び検知プログラム | |
| US20230038463A1 (en) | Detection device, detection method, and detection program | |
| EP3796599A1 (en) | Evaluation device and evaluation method | |
| WO2021100184A1 (ja) | 学習装置、推定装置、学習方法および学習プログラム | |
| CN116113960A (zh) | 学习装置、学习方法以及学习程序 | |
| US20210357500A1 (en) | Calculation device, calculation method, and calculation program | |
| EP4216113A1 (en) | Assessment device, assessment method, and assessment program | |
| CN114128215B (zh) | 异常检测装置、异常检测方法以及记录介质 | |
| WO2021075009A1 (ja) | 学習装置、推定装置、学習方法及び学習プログラム | |
| WO2023079757A1 (ja) | 分析装置、分析方法及び分析プログラム | |
| JP7509311B2 (ja) | トラフィックセンサ、分析方法、および、分析プログラム | |
| WO2022239235A1 (ja) | 特徴量算出装置、特徴量算出方法および特徴量算出プログラム | |
| JP7448022B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| JP7176636B2 (ja) | 生成装置、生成方法及び生成プログラム | |
| CN112437093A (zh) | 安全状态的确定方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |