DE112018006911T5 - Anomaliedetektionsvorrichtung - Google Patents

Anomaliedetektionsvorrichtung Download PDF

Info

Publication number
DE112018006911T5
DE112018006911T5 DE112018006911.7T DE112018006911T DE112018006911T5 DE 112018006911 T5 DE112018006911 T5 DE 112018006911T5 DE 112018006911 T DE112018006911 T DE 112018006911T DE 112018006911 T5 DE112018006911 T5 DE 112018006911T5
Authority
DE
Germany
Prior art keywords
rule
anomaly detection
event signal
anomaly
normal model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018006911.7T
Other languages
English (en)
Inventor
Yoshiaki SAKAE
Kazuhiko Isoyama
Takayoshi Asakura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of DE112018006911T5 publication Critical patent/DE112018006911T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • G06N5/025Extracting rules from data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/542Event management; Broadcasting; Multicasting; Notifications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/041Abduction

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computational Linguistics (AREA)
  • Quality & Reliability (AREA)
  • Multimedia (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Auf der Grundlage eines Normalmodells wird detektiert, ob ein Ereignissignal eines Computersystems anomal ist oder nicht. Parallel mit der normalmodellbasierten Anomaliedetektion wird auf der Grundlage einer Regel detektiert, ob das Ereignissignal anomal ist oder nicht. Dann wird ein endgültiges Anomaliedetektionsergebnis erzeugt, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektion und der regelbasierten Anomaliedetektion durchgeführt wird.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf eine Anomaliedetektionsvorrichtung, ein Anomaliedetektionsverfahren und ein Aufzeichnungsmedium.
  • TECHNISCHER HINTERGRUND
  • Wenn verschiedene Arten von Geräten oder Systemen eine Anomalie bewirken, ist es wichtig, die Anomalie schnell zu detektieren. Verschiedene Anomaliedetektionsverfahren zu diesem Zweck wurden vorgeschlagen. Typische Verfahren sind ein Anomaliedetektionsverfahren auf der Grundlage eines Normalmodells und ein Anomaliedetektionsverfahren auf der Grundlage einer Regel.
  • In einem Anomaliedetektionsverfahren auf der Grundlage eines Normalmodells wird der Normalzustand eines Systems gelernt und als ein Normalmodell gespeichert. Der Normalzustand eines Systems kann der gewöhnliche Zustand des Systems sein. Das Normalmodell wir auch als ein gewöhnliches Modell bezeichnet. Wenn ein Zustand, der vom System erreicht wird, nachdem das Normalmodell gespeichert worden ist, vom Normalmodell abweicht, wird der Zustand als anomal bestimmt.
  • Andererseits wird in einem Anomaliedetektionsverfahren auf der Grundlage einer Regel eine Regel, die eine Bedingung zum Detektieren von Anomalien definiert, erstellt und gespeichert. Es wird unter Verwendung der gespeicherten Regel bestimmt, ob ein Zustand, der von einem System erreicht wird, anomal ist oder nicht.
  • Die beiden oben beschriebenen Anomaliedetektionsverfahren besitzen jeweils einen Vorteil und einen Nachteil. Das Anomaliedetektionsverfahren auf der Grundlage eines Normalmodells verwendet die Vorstellung als Grundlage, dass ein korrekter Zustand unverändert ist. Deshalb kann nicht nur eine bekannte Anomalie, sondern auch eine unbekannte Anomalie detektiert werden. Allerdings ist die Grundlage zur Anomaliebestimmung, dass ein Zustand ein statistisch abweichender ist. Deshalb ist es unmöglich, zu erklären, welche Art Phänomen auftritt. Andererseits ermöglicht das Anomaliedetektionsverfahren auf der Grundlage einer Regel das Verstehen der Grundlagen zur Anomaliebestimmung. Allerdings ist es schwierig, vorab eine Regel zu definieren, die eine unbekannte Anomalie detektiert. Selbst für eine bekannte Anomalie ist es schwierig, eine geeignete Regel zu definieren, in der eine zuverlässige Detektion und eine falsche Detektion von Anomalien ausgewogen sind. Deshalb steigt dann, wenn falsche negative Ergebnisse vermieden werden, die Tendenz zur Überdetektion. Währenddessen steigen wahrscheinlich falsche negative Ergebnisse, wenn eine Überdetektion vermieden wird.
  • Dann wurde ein Anomaliedetektionsverfahren, in dem das Anomaliedetektionsverfahren auf der Grundlage eines Normalmodells und das Anomaliedetektionsverfahren auf der Grundlage einer Regel kombiniert werden, als ein Anomaliedetektionsverfahren, das mit der vorliegenden Erfindung in Beziehung steht, vorgeschlagen (z. B. Patentdokument 1).
  • Im Anomaliedetektionsverfahren, das mit der vorliegenden Erfindung in Beziehung steht, wird zunächst eine statistische Anomaliedetektion auf der Grundlage eines Normalmodells durch eine Offline-Verarbeitung durchgeführt. Anschließend wird eine Regel, die zur regelbasierten Anomaliedetektion verwendet wird, unter Verwendung des Ergebnisses, das durch die Anomaliedetektion erhalten wurde, erzeugt. Dann wird eine Anomaliedetektion unter Verwendung der oben genannten Regel durch eine Online-Verarbeitung tatsächlich durchgeführt. Folglich ist es möglich, eine Anomalie mit hoher Empfindlichkeit zu detektieren, und es ist möglich, die Anomalie nicht nur zu detektieren, sondern auch zu erklären.
  • Patentdokument 1: Japanisches Patent Nr. 5331774
  • Wie oben erwähnt wurde, wurde das Anomaliedetektionsverfahren, in dem das Anomaliedetektionsverfahren auf der Grundlage eines Normalmodells und das Anomaliedetektionsverfahren auf der Grundlage einer Regel kombiniert werden, als das Anomaliedetektionsverfahren, das mit der vorliegenden Erfindung in Beziehung steht, vorgeschlagen. Währenddessen setzt das Anomaliedetektionsverfahren, das mit der vorliegenden Erfindung in Beziehung steht, voraus, dass eine Anomalie, die durch das normalmodellbasierte Anomaliedetektionsverfahren detektiert wurde, durch das regelbasierte Anomaliedetektionsverfahren detektiert werden kann. Allerdings besteht keine Garantie, dass immer eine Regel zum Detektieren aller Anomalien, die auf der Grundlage des Normalmodells detektiert werden, ohne Fehler erstellt werden kann. Wenn eine notwendige Regel nicht erstellt werden kann, nimmt die Genauigkeit der Detektion im Anomaliedetektionsverfahren, das mit der vorliegenden Erfindung in Beziehung steht, ab. Der Grund ist, dass im Anomaliedetektionsverfahren, das mit der vorliegenden Erfindung in Beziehung steht, die eigentliche Anomaliedetektion lediglich durch das regelbasierte Anomaliedetektionsverfahren durchgeführt wird.
  • ZUSAMMENFASSUNG
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine Anomaliedetektionsvorrichtung zu schaffen, die das oben erwähnte Problem löst.
  • Eine Anomaliedetektionsvorrichtung gemäß einem Aspekt der vorliegenden Erfindung enthält Folgendes: eine normalmodellbasierte Anomaliedetektionseinheit, die konfiguriert ist, auf der Grundlage eines Normalmodells zu detektieren, ob ein Ereignissignal eines Computersystems anomal ist oder nicht; eine regelbasierte Anomaliedetektionseinheit, die konfiguriert ist, mit der normalmodellbasierten Anomaliedetektionseinheit parallel zu arbeiten und auf der Grundlage einer Regel zu detektieren, ob das Ereignissignal anomal ist oder nicht; und eine Anomaliedetektionsintegrationseinheit, die konfiguriert ist, ein endgültiges Anomaliedetektionsergebnis zu erzeugen, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektionseinheit und der regelbasierten Anomaliedetektionseinheit durchgeführt wird.
  • Ferner enthält ein Anomaliedetektionsverfahren gemäß einem weiteren Aspekt der vorliegenden Erfindung Folgendes: Detektieren auf der Grundlage eines Normalmodells, ob ein Ereignissignal eines Computersystems anomal ist oder nicht; parallel zum Detektieren auf der Grundlage des Normalmodells, ob eine Anomalie vorliegt oder nicht, Detektieren auf der Grundlage einer Regel, ob das Ereignissignal anomal ist oder nicht; und Erzeugen eines endgültigen Anomaliedetektionsergebnisses, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen des Detektierens auf der Grundlage des Normalmodells, ob eine Anomalie vorliegt oder nicht, und des Detektierens auf der Grundlage der Regel, ob eine Anomalie vorliegt oder nicht, durchgeführt wird.
  • Ferner ist in einem computerlesbaren Aufzeichnungsmedium gemäß einem weiteren Aspekt der vorliegenden Erfindung, einem computerlesbaren Aufzeichnungsmedium, ein Programm aufgezeichnet. Das Programm enthält Anweisungen, um zu bewirken, dass ein Computer als Folgendes arbeitet: eine normalmodellbasierte Anomaliedetektionseinheit, die konfiguriert ist, auf der Grundlage eines Normalmodells zu detektieren, ob ein Ereignissignal eines Computersystems anomal ist oder nicht; eine regelbasierte Anomaliedetektionseinheit, die konfiguriert ist, mit der normalmodellbasierten Anomaliedetektionseinheit parallel zu arbeiten und auf der Grundlage einer Regel zu detektieren, ob das Ereignissignal anomal ist oder nicht; und eine Anomaliedetektionsintegrationseinheit, die konfiguriert ist, ein endgültiges Anomaliedetektionsergebnis zu erzeugen, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektionseinheit und der regelbasierten Anomaliedetektionseinheit durchgeführt wird.
  • Mit den oben genannten Konfigurationen kann die vorliegende Erfindung die Genauigkeit der Detektion erhöhen. Der Grund ist, dass ein endgültiges Anomaliedetektionsergebnis erzeugt wird, indem eine normalmodellbasierte Anomaliedetektion und eine regelbasierte Anomaliedetektion parallel durchgeführt werden und auf der Grundlage der Ergebnisse beider Detektionen übergreifend bestimmt wird.
  • Figurenliste
    • 1 ist ein Hardware-Konfigurationsdiagramm, das ein Beispiel eines Computersystems zeigt, auf das eine Anomaliedetektionsvorrichtung gemäß einer ersten Beispielausführungsform der vorliegenden Erfindung angewendet wurde;
    • 2 ist ein Blockdiagramm, das ein Beispiel der Anomaliedetektionsvorrichtung gemäß der ersten Beispielausführungsform der vorliegenden Erfindung zeigt;
    • 3 ist eine Ansicht, die eine Tabelle zeigt, die ein Beispiel eines Gültigkeitsgrads in der ersten Beispielausführungsform der vorliegenden Erfindung zeigt;
    • 4 ist eine Ansicht, die ein Beispiel einer Anzeige eines Anomaliedetektionsergebnisses in der ersten Beispielausführungsform der vorliegenden Erfindung zeigt;
    • 5 ist eine Ansicht, die ein Beispiel des Betriebs des Erstellens eines Normalmodells in der Anomaliedetektionsvorrichtung gemäß der ersten Beispielausführungsform der vorliegenden Erfindung zeigt;
    • 6 ist eine Ansicht, die ein Beispiel einer Anomaliedetektionsoperation in der Anomaliedetektionsvorrichtung gemäß der ersten Beispielausführungsform der vorliegenden Erfindung zeigt;
    • 7 ist eine Ansicht, die ein Beispiel einer Anomaliedetektionsoperation in einer Anomaliedetektionsvorrichtung gemäß einer zweiten Beispielausführungsform der vorliegenden Erfindung zeigt; und
    • 8 ist ein Blockdiagramm einer Anomaliedetektionsvorrichtung gemäß einer dritten Beispielausführungsform der vorliegenden Erfindung.
  • BEISPIELHAFTE AUSFÜHRUNGSFORMEN
  • Im Folgenden werden Beispielausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die Zeichnungen genau beschrieben.
  • [Erste Beispielausführungsform]
  • 1 ist ein Hardware-Konfigurationsdiagramm, das ein Beispiel eines Computersystems zeigt, auf das eine Anomaliedetektionsvorrichtung 100 gemäß einer ersten Beispielausführungsform der vorliegenden Erfindung angewendet wurde. Das Computersystem dieses Beispiels enthält die Anomaliedetektionsvorrichtung 100, eine Firewall 102, die mit dem Internet 101 verbunden ist, einen Proxy-Server 103, der mit der Firewall 102 verbunden ist, einen Host-Computer 104, mehrere PCs (Personal Computer) 105, 106 und eine SDN (softwaredefinierte Vernetzung) 107, die den Proxy-Server 103, den Host-Computer 104 und die PCs 105, 105 miteinander verbindet.
  • Die Anomaliedetektionsvorrichtung 100 ist konfiguriert, Ereignissignale von den entsprechenden Abschnitten des Computersystems zu sammeln. Ein Ereignissignal enthält die Auftrittszeit eines Ereignisses in Bezug auf eine Aktivität eines Betriebsmittels des Computersystems und den Inhalt der Aktivität. Ein Betriebsmittel ist z. B. ein Computer, ein Programm, ein Prozess und eine Datei. Eine Aktivität eines Betriebsmittels ist z. B. der Start eines Prozesses, das Lesen/Schreiben einer Datei, die Kommunikation zwischen Prozessen und der Zugriff auf das Netz.
  • Ferner ist die Anomaliedetektionsvorrichtung 100 konfiguriert, die Anwesenheit/Abwesenheit einer Anomalie auf der Grundlage der gesammelten Ereignissignale zu detektieren. Die Anomaliedetektionsvorrichtung 100 ist konfiguriert, zwei Anomaliedetektionsverfahren, ein normalmodellbasiertes Anomaliedetektionsverfahren und ein regelbasiertes Anomaliedetektionsverfahren, parallel auszuführen und ein anomales Ereignissignal, das im Computersystem verursacht wird, zu detektieren.
  • Ferner ist die Anomaliedetektionsvorrichtung 100 konfiguriert, dem Administrator des Computersystems die detektierte Anomalie zu präsentieren. Die Anomaliedetektionsvorrichtung 100 ist außerdem konfiguriert, automatisch nötige Maßnahmen zu ergreifen, um eine Beschädigung, die durch die detektierte Anomalie bewirkt wird, zu minimieren.
  • Unten wird die Anomaliedetektionsvorrichtung 100 genau beschrieben.
  • 2 ist ein Blockdiagramm, das ein Beispiel der Anomaliedetektionsvorrichtung 100 zeigt. Unter Bezugnahme auf 2 enthält die Anomaliedetektionsvorrichtung 100 einen Kommunikationsschnittstellenabschnitt (I/F-Abschnitt) 111, einen Betätigungseingabeabschnitt 112, einen Bildschirmanzeigeabschnitt 113, einen Speicherabschnitt 120 und einen Arithmetikabschnitt 130.
  • Der Kommunikationsschnittstellenabschnitt 111 enthält eine fest zugeordnete Datenkommunikationsschaltung und ist konfiguriert, eine Datenkommunikation mit verschiedenen Vorrichtungen wie z. B. einem Computer, die mittels einer drahtlosen oder drahtgebundenen Kommunikationsleitung verbunden sind, durchzuführen.
  • Der Betätigungseingabeabschnitt 112 enthält eine Betätigungseingabevorrichtung wie z. B. eine Tastatur und eine Maus und ist konfiguriert, eine Betätigung durch einen Bediener zu detektieren und zum Arithmetikabschnitt 130 auszugeben.
  • Der Bildschirmanzeigeabschnitt 113 enthält eine Bildschirmanzeigevorrichtung wie z. B. eine LCD (Flüssigkristallanzeigevorrichtung) oder ein PDP (Plasmaanzeigefeld) und ist konfiguriert, verschiedene Arten von Informationen wie z. B. ein Anomaliedetektionsergebnis auf einem Bildschirm anzuzeigen.
  • Der Speicherabschnitt 120 enthält eine Speichervorrichtung wie z. B. eine Festplatte oder einen Datenspeicher und ist konfiguriert, Verarbeitungsinformationen, die für verschiedene Typen einer Verarbeitung, die durch den Arithmetikabschnitt 130 ausgeführt wird, nötig sind, zu speichern und ein Programm 121 zu speichern. Das Programm 121 ist ein Programm, das verschiedene Verarbeitungsabschnitte realisiert, indem es durch den Arithmetikabschnitt 130 geladen und ausgeführt wird. Das Programm 121 wird im Voraus von einer externen Vorrichtung oder einem computerlesbaren Aufzeichnungsmedium mittels einer Daten-Eingabe-/Ausgabe-Funktion wie z. B. dem Kommunikationsschnittstellenabschnitt 111 geladen und in den Speicherabschnitt 120 gespeichert.
  • Hauptverarbeitungsinformationen, die im Speicherabschnitt 120 gespeichert sind, enthalten einen Ereignispuffer 122, ein Normalmodell 123, eine Regel 124, einen Gültigkeitsgrad 125, ein normalmodellbasiertes Anomaliedetektionsergebnis 126, ein regelbasiertes Anomaliedetektionsergebnis 127 und ein endgültiges Anomaliedetektionsergebnis 128.
  • Der Ereignispuffer 122 ist konfiguriert, eine vordefinierte Anzahl Ereignissignale des Computersystems, das das Ziel der Anomaliedetektion ist, anzusammeln oder die Ereignissignale für einen vordefinierten Zeitraum anzusammeln. Der Ereignispuffer 122 kann ein FIFO-Register (First-In-First-Out-Register), das eine vorgegebene Kapazität besitzt, sein.
  • Das Normalmodell 123 ist ein Modell des Normalzustands (des gewöhnlichen Zustands) des Computersystems. Das Normalmodell 123 wird in einem normalmodellbasierten Anomaliedetektionsverfahren verwendet. Ein oder mehrere Normalmodelle 123 sind enthalten.
  • Die Regel 124 ist eine Regel zum Identifizieren eines anomalen Ereignissignals. Im Allgemeinen sind mehrere Regeln 124 vorhanden. Die Regel 124 wird in einem regelbasierten Anomaliedetektionsverfahren verwendet. Wie zuvor erwähnt wurde, bezieht sich ein Ereignissignal auf eine Aktivität eines Betriebsmittels des Computersystems. Deshalb wird in der Regel 124 ein Schwellenwert, eine Bedingung oder dergleichen zum Identifizieren einer anomalen Betriebsmittelaktivität definiert. Zum Beispiel wird das Signal als anomal betrachtet, wenn Daten oder eine physikalische Größe, die mit einer Aktivität eines Betriebsmittels, das in einem Ereignissignal enthalten ist, in Beziehung stehen, einen Schwellenwert, eine Bedingung oder dergleichen, die in einer bestimmten Regel definiert sind, erfüllen. Die Regel 124 ist für jedes Betriebsmittel vorhanden. Alternativ ist die Regel 124 für jeden Typ einer Aktivität eines Betriebsmittels vorhanden. Zum Beispiel ist eine Regel vorhanden, um eine anomale Aktivität des Host-Computers 104 von 1 zu detektieren. Außerdem ist eine Regel vorhanden, um eine anomale Aktivität der PCs 105, 106 zu detektieren. Deshalb steht die Regel in Beziehung zu einem bestimmten Betriebsmittel. Jeder Regel werden Regelidentifizierungsinformationen zugewiesen, um sie von der weiteren Regel zu unterscheiden. Außerdem wird jeder Regel eine Punktzahl zugewiesen, die einem Ereignissignal zugewiesen werden soll, das durch die Regel als anomal detektiert wird.
  • Der Gültigkeitsgrad 125 repräsentiert den Grad der Gültigkeit der Regel 124. Der Gültigkeitsgrad 125 ist für jede Regel vorhanden, d. h. für sämtliche Regelidentifizierungsinformationen. In dieser Beispielausführungsform nimmt der Gültigkeitsgrad 125 entweder den Wert 0 oder den Wert 1 an. Der Anfangswert des Gültigkeitsgrads 125 ist der Wert 0. Der Gültigkeitsgrad vom Wert 0 repräsentiert vollständig ungültig. Der Gültigkeitsgrad vom Wert 1 repräsentiert vollständig gültig. Allerdings kann in einer weiteren Beispielausführungsform der Gültigkeitsgrad 125 nicht nur die oben genannten zwei Werte annehmen, sondern auch einen Zwischenwert. Darüber hinaus kann eine Punktzahl, die einem Ereignissignal zugewiesen werden soll, das durch eine bestimmte Regel als anomal detektiert wird, als ein Wert berechnet werden, der durch Multiplizieren einer Punktzahl, die der Regel zugewiesen wurde, mit dem Gültigkeitsgrad der Regel erhalten wird. Der Wert des Gültigkeitsgrads 125 wird gemäß dem Ergebnis der Anomaliebestimmung auf der Grundlage eines Normalmodells dynamisch geändert, wie später beschrieben wird.
  • 3 ist eine Tabelle, die ein Beispiel eines Gültigkeitsgrads 125 zeigt. Jede Zeile zeigt eine Regel. In diesem Beispiel sind N Regeln R1 bis RN vorhanden. Jede Spalte zeigt ein Ereignissignal, das das Ziel der Anomaliebestimmung ist. In diesem Beispiel wird die Anwesenheit/Abwesenheit einer Anomalie in der Reihenfolge von Ereignissignal V1, Ereignissignal V2, Ereignissignal V3, ... bestimmt. Der Wert 0 oder der Wert 1, der beim Schnittpunkt der Zeile und der Spalte geschrieben ist, ist ein Gültigkeitsgrad. Zum Beispiel besitzen in den zwei Spalten, die den Ereignissignalen V1 und V2 in 3 entsprechen, die Gültigkeitsgrade aller Regeln R1 bis RN den Wert 0. Andererseits besitzen in der Spalte, die dem Ereignissignal V3 entspricht, die zwei Gültigkeitsgrade, die den Regeln R1 und R3 entsprechen, den Wert 1 und besitzen die Gültigkeitsgrade, die den weiteren Regeln entsprechen, den Wert 0.
  • Das normalmodellbasierte Anomaliedetektionsergebnis 126 repräsentiert ein Ergebnis, das durch das normalmodellbasierte Anomaliedetektionsverfahren detektiert wird. Das Anomaliedetektionsergebnis 126 enthält ein Ereignissignal, das als anomal detektiert wurde, und eine Punktzahl, die den Grad der Sicherheit der Anomaliedetektion angibt. Der Wertebereich der Punktzahl ist 0 bis 1, wobei der schlechteste Wert 0 ist und der beste Wert 1 ist. Allerdings ist der Wertebereich der Punktzahl nicht darauf beschränkt.
  • Das regelbasierte Anomaliedetektionsergebnis 127 repräsentiert ein Ergebnis, das durch das regelbasierte Anomaliedetektionsverfahren detektiert wurde. Das regelbasierte Anomaliedetektionsergebnis 127 enthält ein Ereignissignal, das als anomal detektiert wurde, eine Punktzahl, die den Grad der Sicherheit der Anomaliedetektion angibt, und eine Regel, die bei der Anomaliedetektion verwendet wurde. Der Wertebereich der Punktzahl ist 0 bis 1, wobei der schlechteste Wert 0 ist und der beste Wert 1 ist. Allerdings ist der Wertebereich der Punktzahl nicht darauf beschränkt.
  • Das endgültige Anomaliedetektionsergebnis 128 repräsentiert ein endgültiges Anomaliedetektionsergebnis, das durch Durchführen einer übergreifenden Bestimmung auf der Grundlage eines normalmodellbasierten Anomaliedetektionsergebnisses 126 und des regelbasierten Anomaliedetektionsergebnisses 127 erzeugt wird.
  • Der Arithmetikabschnitt 130 enthält einen Prozessor wie z. B. einen Mikroprozessor und seine Peripherieschaltungen. Der Arithmetikabschnitt 130 ist konfiguriert, durch Abrufen des Programms 121 aus dem Speicherabschnitt 120 und Ausführen des Programms 121 zu bewirken, dass die Hardware und das Programm 121 zusammenwirken und verschiedene Verarbeitungsabschnitte realisieren. Die Verarbeitungsabschnitte, die durch den Arithmetikabschnitt 130 realisiert werden, enthalten einen Ereignissignalsammelabschnitt 131, einen normalmodellbasierten Anomaliedetektionsabschnitt 132, einen Regelsteuerabschnitt 133, einen regelbasierten Anomaliedetektionsabschnitt 134, einen Anomaliedetektionsintegrationsabschnitt 135, einen Detektionsergebnisdarstellungsabschnitt 136 und einen Anomalieverarbeitungsabschnitt 137.
  • Der Ereignissignalsammelabschnitt 131 ist konfiguriert, Ereignissignale des Computersystems zu sammeln. Zum Beispiel sind im Computersystem von 1 die Firewall 102, der Proxy-Server 103, der Host-Computer 104 und die PCs 105, 106 mit Agenten 108 ausgestattet. Der Agent 108 ist eine Software, die Ereignisse wie z. B. den Start eines Prozesses, das Lesen/Schreiben einer Datei, die Kommunikation zwischen Prozessen und den Zugriff auf das Netz überwacht. Der Ereignissignalsammelabschnitt 131 empfängt Ereignissignale, die durch die Agenten 108 überwacht werden, um die Ereignissignale des Computersystems zu sammeln. Der Ereignissignalsammelabschnitt 131 ist konfiguriert, die gesammelten Ereignissignale zu kopieren und zum Ereignispuffer 122 bzw. zum normalmodellbasierten Anomaliedetektionsabschnitt 132 auszugeben.
  • Der normalmodellbasierte Anomaliedetektionsabschnitt 132 ist konfiguriert, ein maschinelles Lernen mit Ereignissignalen, die vom Ereignissignalsammelabschnitt 131 empfangen wurden, und der Zeitabfolge der Ereignissignale als ein gewöhnlicher Zustand (ein Normalzustand) durchzuführen und das Normalmodell 123 zu erzeugen. Das Normalmodell 123 kann ein einzelnes Modell sein oder kann mehrere Modelle sein, die durch maschinelles Lernen aus verschiedenen Sichtweisen erhalten werden. Der normalmodellbasierte Anomaliedetektionsabschnitt 132 ist auch konfiguriert, nach dem Speichern des Normalmodells 123 im Speicherabschnitt 120 eine tatsächliche Anomaliedetektion durchzuführen. Das heißt, der normalmodellbasierte Anomaliedetektionsabschnitt 132 gleicht ein Ereignissignal, das vom Ereignissignalsammelabschnitt 131 empfangen wurde, mit dem Normalmodell 123 ab und erzeugt ein Detektionsergebnis, das eine Punktzahl, deren Wert größer wird, wenn der Grad der Differenz vom gewöhnlichen Zustand höher wird, und das Ereignissignal enthält. Wenn mehrere Normalmodelle 123 vorhanden sind, kann der normalmodellbasierte Anomaliedetektionsabschnitt 132 den entsprechenden Normalmodellen Punktzahlen zuweisen und die Punktzahlen durch eine gewisse Norm normieren, um eine endgültige Punktzahl zu berechnen. Der normalmodellbasierte Anomaliedetektionsabschnitt 132 gibt das erzeugte Detektionsergebnis zum Regelsteuerabschnitt 133 aus und speichert das Detektionsergebnis außerdem als das normalmodellbasierte Anomaliedetektionsergebnis 126 in den Speicherabschnitt 120.
  • Der Regelsteuerabschnitt 133 ist konfiguriert, den Gültigkeitsgrad einer Regel auf der Grundlage eines Detektionsergebnisses, das vom normalmodellbasierten Anomaliedetektionsabschnitt 132 empfangen wurde, zu bestimmen. Der Regelsteuerabschnitt 133 ist außerdem konfiguriert, den bestimmten Gültigkeitsgrad in den Gültigkeitsgrad 125, der im Speicherabschnitt 120 gespeichert ist, zu speichern. Ausführlicher ist der Regelsteuerabschnitt 133 konfiguriert, die folgende Verarbeitung für jedes empfangene Detektionsergebnis auszuführen.
  • Zunächst extrahiert der Regelsteuerabschnitt 133 ein Ereignissignal und eine Punktzahl aus dem Detektionsergebnis. Dann fügt der Regelsteuerabschnitt 133 eine neue Spalte, die dem extrahierten Ereignissignal entspricht, zur Tabelle des Gültigkeitsgrads 125, die in 3 beschrieben wird, hinzu. Dann bestimmt der Regelsteuerabschnitt 133, ob die extrahierte Punktzahl gleich oder größer als ein voreingestellter Schwellenwert ist oder nicht. Wenn die Punktzahl kleiner als der Schwellenwert ist, setzt der Regelsteuerabschnitt 133 den Gültigkeitsgrad einer Regel in jeder Zeile der hinzugefügten Spalte zum Wert 0. Wenn die Punktzahl gleich oder größer als der Schwellenwert ist, identifiziert der Regelsteuerabschnitt 133 ein Betriebsmittel, das mit dem extrahierten Ereignissignal in Beziehung steht. Wie oben erwähnt wurde, steht ein Ereignissignal mit einer Aktivität eines Betriebsmittels des Computersystems in Beziehung und steht deshalb mit einem gewissen Betriebsmittel in Beziehung. Dann setzt der Regelsteuerabschnitt 133 von den Gültigkeitsgraden der Regeln in den entsprechenden Zeilen der hinzugefügten Spalte den Gültigkeitsgrad einer Regel, die mit dem identifizierten Betriebsmittel in Beziehung steht, zum Wert 1 und setzt den Gültigkeitsgrad einer Regel, die nicht mit dem identifizierten Betriebsmittel in Beziehung steht, zum Wert 0. Dann beendet der Regelsteuerabschnitt 133 die Verarbeitung am Detektionsergebnis.
  • Der regelbasierte Anomaliedetektionsabschnitt 134 ist konfiguriert, Ereignissignale aus dem Ereignispuffer 122 in der zeitlichen Reihenfolge abzurufen und eine Anomalie des Ereignissignals auf der Grundlage der Regel 124 zu detektieren. Somit wird ein Ereignissignal über den Ereignispuffer 122 spät in den regelbasierten Anomaliedetektionsabschnitt 134 eingegeben. Deshalb startet der regelbasierte Anomaliedetektionsabschnitt 134 in Bezug auf dasselbe Ereignissignal die Detektion der Anwesenheit/Abwesenheit einer Anomalie hinsichtlich der Zeit später als der normalmodellbasierte Anomaliedetektionsabschnitt 132.
  • Der regelbasierte Anomaliedetektionsabschnitt 134 detektiert die Anwesenheit/Abwesenheit einer Anomalie eines eingegebenen Ereignissignals durch Abgleichen des eingegebenen Ereignissignals mit der Regel 124. Dem Ereignissignal, das als anomal detektiert wird, wird eine Punktzahl, die einer zutreffenden Regel zugewiesen ist, zugewiesen. Eine Regel, die zum eigentlichen Abgleich verwendet wird, ist eine Regel mit dem Gültigkeitsgrad 125 vom Wert 1, der in eine Spalte, die dem oben beschriebenen eingegebenen Ereignissignal entspricht, in der Gültigkeitsgradtabelle, die in 3 gezeigt ist, geschrieben ist. Eine Regel mit dem Gültigkeitsgrad 125 vom Wert 0 wird nicht zum Abgleich verwendet. Wenn mehrere Regeln auf dasselbe Ereignissignal zutreffen, berechnet der regelbasierte Anomaliedetektionsabschnitt 134 eine endgültige Punktzahl durch Addieren der Punktzahlen, die den entsprechenden Regeln zugewiesen sind, gemäß einer bestimmten Norm. Der regelbasierte Anomaliedetektionsabschnitt 134 speichert das erzeugte regelbasierte Anomaliedetektionsergebnis 127 in den Speicherabschnitt 120.
  • Der Anomaliedetektionsintegrationsabschnitt 135 ist konfiguriert, das endgültige Anomaliedetektionsergebnis 128 durch Abrufen des normalmodellbasierten Anomaliedetektionsergebnisses 126 und des regelbasierten Anomaliedetektionsergebnisses 127 aus dem Speicherabschnitt 120 und Durchführen einer übergreifenden Bestimmung auf der Grundlage der Anomaliedetektionsergebnisse zu erzeugen. Ausführlicher ist der Anomaliedetektionsintegrationsabschnitt 135 konfiguriert, die folgende Verarbeitung auszuführen.
  • Der Anomaliedetektionsintegrationsabschnitt 135 detektiert von Anomaliedetektionsergebnissen, die im normalmodellbasierte Anomaliedetektionsergebnis 126 enthalten sind, ein Ereignissignal, das in einem Anomaliedetektionsergebnis, in dem eine Punktzahl gleich oder größer als ein voreingestellter Schwellenwert ist, enthalten ist, als ein anomales Ereignissignal. Dann vergleicht der Anomaliedetektionsintegrationsabschnitt 135 das normalmodellbasierte Anomaliedetektionsergebnis 126 mit dem regelbasierten Anomaliedetektionsergebnis 127 und prüft dadurch, ob das Ereignissignal, das auf der Grundlage eines Normalmodells als anomal detektiert wird, auf der Grundlage einer Regel als anomal detektiert wird oder nicht. Anschließend klassifiziert der Anomaliedetektionsintegrationsabschnitt 135 Ereignissignale, die auf der Grundlage eines Normalmodells als anomal detektiert wurden, in eine erste Gruppe, die auf der Grundlage einer Regel als anomal detektiert wird, und eine zweite Gruppe, die auf der Grundlage einer Regel nicht als anomal detektiert wird, und erzeugt das endgültige Anomaliedetektionsergebnis 128 für jede Gruppe. Die erste Gruppe enthält ein Ereignissignal, das auf der Grundlage eines Normalmodells als anomal detektiert wurde, die Punktzahl des Ereignissignals, eine Regel, die beim Detektieren als anomal auf der Grundlage einer Regel verwendet wird, und die Punktzahl der Regel. Die zweite Gruppe enthält ein Ereignissignal, das auf der Grundlage eines Normalmodells als anomal detektiert wurde und die Punktzahl des Ereignissignals. Der Anomaliedetektionsintegrationsabschnitt 135 speichert das endgültige Anomaliedetektionsergebnis 128 in den Speicherabschnitt 120.
  • Der Detektionsergebnisdarstellungsabschnitt 136 ist konfiguriert, das endgültige Anomaliedetektionsergebnis 128 aus dem Speicherabschnitt 120 abzurufen, ein Anomaliedetektionsergebnis auf dem Bildschirmanzeigeabschnitt 113 auf der Grundlage des abgerufenen endgültigen Anomaliedetektionsergebnis 128 anzuzeigen und/oder das Anomaliedetektionsergebnis über den Kommunikationsschnittstellenabschnitt 111 zu einem Endgerät oder dergleichen, das in den Zeichnungen nicht gezeigt ist, zu senden.
  • 4 zeigt ein Beispiel eines Anomaliedetektionsergebnisses, das auf dem Bildschirmanzeigeabschnitt 113 angezeigt wird. In diesem Beispiel wird ein Anomaliedetektionsergebnis in Text in einer Zeile angezeigt. Jede Zeile enthält die Felder Seriennummer, Datum und Zeit, Ereignissignal als anomal bestimmt, normalmodellbasierte Anomaliedetektionspunktzahl, zutreffende Regel und regelbasierte Anomaliedetektionspunktzahl. Zum Beispiel repräsentiert ein Anomaliedetektionsergebnis von Nr. 1, dass Datum und Zeit der Detektion 16:11:45 am 5. Januar 2018 ist, das anomale Ereignissignal V3 ist, die normalmodellbasierte Anomaliedetektionspunktzahl 0,9 ist, die zutreffende Regel R1, R3 ist und die regelbasierte Anomaliedetektionspunktzahl 0,8 ist. Ein Anomaliedetektionsergebnis von Nr. 2 repräsentiert, dass Datum und Zeit der Detektion 16:30:30 am 5. Januar 2018 ist, das anomale Ereignissignal V33 ist, die normalmodellbasierte Anomaliedetektionspunktzahl 0,6 ist und keine zutreffende Regel im regelbasierten Anomaliedetektionsverfahrens vorhanden ist.
  • Der Anomalieverarbeitungsabschnitt 137 ist konfiguriert, das endgültige Anomaliedetektionsergebnis 128 aus dem Speicherabschnitt 120 abzurufen und auf der Grundlage des abgerufenen endgültigen Anomaliedetektionsergebnisses eine detektierte Anomalie automatisch zu verarbeiten. Zum Beispiel trennt der Anomalieverarbeitungsabschnitt 137 einen Computer, in dem eine Anomalie detektiert wird, vom Netz. Alternativ ändert der Anomalieverarbeitungsabschnitt 137 die Einstellungen einer Firewall-Funktion (z. B. die Windows-Firewall), die auf jedem Computer arbeitet. Alternativ blockiert der Anomalieverarbeitungsabschnitt 137 die Kommunikation von einem Computer, in dem eine Anomalie detektiert wird, durch die SDN. Alternativ ändert der Anomalieverarbeitungsabschnitt 137 die Routing-Tabelle jedes Computers oder steuert die SDN, einen Computer, in dem eine Anomalie detektiert wird, in ein Quarantänenetz zu isolieren. Alternativ trennt der Anomalieverarbeitungsabschnitt 137 einen Prozess, in dem eine Anomalie detektiert wird, von einem Computer, in dem der Prozess arbeitet. Alternativ ändert der Anomalieverarbeitungsabschnitt 137 die Einstellungen der Firewall oder steuert die SN derart, dass eine Kommunikation von einem Prozess, in dem eine Anomalie detektiert wird, nicht ermöglicht wird. Alternativ beendet der Anomalieverarbeitungsabschnitt 137 zwangsweise einen Prozess, in dem eine Anomalie detektiert wird. Alternativ gibt der Anomalieverarbeitungsabschnitt 137 nach dem Ergreifen der oben beschriebenen Maßnahmen eine Programmdatei, die mit einem Prozess, in dem eine Anomalie detektiert wird, in Beziehung steht in Quarantäne und/oder kopiert das Programm zur Analyse zum Verwaltungs-Server.
  • Dann wird ein Betrieb der Anomaliedetektionsvorrichtung 100 beschrieben.
  • 5 zeigt ein Beispiel eines Betriebs des Erstellens eines Normalmodells 123 durch die Anomaliedetektionsvorrichtung. Unter Bezugnahme auf 5 sammelt zunächst der Ereignissignalsammelabschnitt 131 Ereignissignale von den Agenten 108, die sich in den entsprechenden Abschnitten des Computersystems befinden. Dann führt der normalmodellbasierte Anomaliedetektionsabschnitt 132 ein maschinelles Lernen mit der Zeitabfolge der gesammelten Ereignissignale als ein gewöhnlicher Zustand (ein Normalzustand) durch und erstellt das Normalmodell 123. Ein Verfahren zum Erstellen des Normalmodells kann ein beliebiges Verfahren sein. Zum Beispiel kann das Projektionsabstandsverfahren (PDM), der lokale Unterraumklassifikator (LSC) oder dergleichen verwendet werden. Unter Berücksichtigung, dass sich der gewöhnliche Zustand aufgrund einer Änderung eines Anwenders, einer Änderung eines Unternehmens, einer Änderung einer verwendeten Software usw. ändern kann, kann ein Lernen jederzeit fortgesetzt werden.
  • 6 zeigt ein Beispiel des Ablaufs einer Operation des Detektierens einer Anomalie durch die Anomaliedetektionsvorrichtung 100. Unter Bezugnahme auf 6 sammelt zunächst der Ereignissignalsammelabschnitt 131 Ereignissignale von den Agenten 108, die sich in den entsprechenden Abschnitten des Computersystems befinden. Dann erzeugt der Ereignissignalsammelabschnitt 131 eine Kopie für jedes der gesammelten Ereignissignale und gibt eines der zwei gleichen Ereignissignale zum Ereignispuffer 122 aus und gibt das Weitere zum normalmodellbasierten Anomaliedetektionsabschnitt 132 aus.
  • Der normalmodellbasierte Anomaliedetektionsabschnitt 132 detektiert die Anwesenheit/Abwesenheit einer Anomalie im eingegebenen Ereignissignal auf der Grundlage des Normalmodells 123 und speichert das Detektionsergebnis im normalmodellbasierten Anomaliedetektionsergebnis 126 und gibt außerdem das Detektionsergebnis zum Regelsteuerabschnitt 133 aus. Der Regelsteuerabschnitt 133 setzt auf der Grundlage des eingegebenen Detektionsergebnisses den Gültigkeitsgrad einer Regel, die mit einem Betriebsmittel in Beziehung steht, das mit dem detektierten Ereignissignal in Beziehung steht, zum Wert 1 und setzt den Gültigkeitsgrad der weiteren Regel zum Wert 0.
  • Andererseits ruft der regelbasierte Anomaliedetektionsabschnitt 134 das Ereignissignal, das im Ereignispuffer 122 gespeichert ist, ab. Der regelbasierte Anomaliedetektionsabschnitt 134 ruft auch die Gültigkeitsgrade der entsprechenden Regeln, die der Spalte des abgerufenen Ereignissignals in der Tabelle des Gültigkeitsgrads 125, die in 3 gezeigt ist, ab. Dann ruft der regelbasierte Anomaliedetektionsabschnitt 134 die Regel, die den abgerufenen Gültigkeitsgrad des Werts 1 besitzt, ab. Dann detektiert der regelbasierte Anomaliedetektionsabschnitt 134 die Anwesenheit/Abwesenheit einer Anomalie des abgerufenen Ereignissignals auf der Grundlage der abgerufenen Regel und speichert das Detektionsergebnis in das regelbasierte Anomaliedetektionsergebnis 127.
  • Der Anomaliedetektionsintegrationsabschnitt 135 führt eine übergreifende Bestimmung auf der Grundlage des normalmodellbasierten Anomaliedetektionsergebnisses 126 und des regelbasierten Anomaliedetektionsergebnisses 127 durch und erzeugt das endgültige Anomaliedetektionsergebnis 128. Der Detektionsergebnisdarstellungsabschnitt 136 zeigt das endgültige Anomaliedetektionsergebnis 128 auf dem Bildschirmanzeigeabschnitt 113, z. B. wie in 4 gezeigt ist, oder/und sendet das endgültige Anomaliedetektionsergebnis 128 über den Kommunikationsschnittstellenabschnitt 111 zu einem externen Endgerät. Der Anomalieverarbeitungsabschnitt 137 verarbeitet automatisch die detektierte Anomalie auf der Grundlage des endgültigen Anomaliedetektionsergebnisses 128.
  • Somit kann gemäß dieser Beispielausführungsform die folgende Wirkung erreicht werden.
  • Es ist möglich, an demselben Ereignissignal des Computersystems das normalmodellbasierte Anomaliedetektionsverfahren auszuführen und danach das regelbasierte Anomaliedetektionsverfahren auszuführen. Dies ist darauf zurückzuführen, dass der Ereignissignalsammelabschnitt 131 ein Ereignissignal, das vom Computersystem gesammelt wurde, kopiert und das Ereignissignal in den normalmodellbasierten Anomaliedetektionsabschnitt 132 eingibt und außerdem das Ereignissignal über den Ereignispuffer 122 in den regelbasierten Anomaliedetektionsabschnitt 134 eingibt.
  • Es ist möglich, den Gültigkeitsgrad einer Regel, die durch den regelbasierten Anomaliedetektionsabschnitt 134 zum Detektieren der Anwesenheit/Abwesenheit einer Anomalie eines Ereignissignals verwendet wird, gemäß dem Ergebnis einer Anomaliedetektion am Ereignissignal durch den normalmodellbasierten Anomaliedetektionsabschnitt 132 zu steuern. Dies ist darauf zurückzuführen, dass der Regelsteuerabschnitt 133 auf der Grundlage des Ergebnisses der Detektion durch den normalmodellbasierten Anomaliedetektionsabschnitt 132 den Gültigkeitsgrad einer Regel, die durch den regelbasierten Anomaliedetektionsabschnitt 134 verwendet wird, für jedes Ereignissignal steuert.
  • Es ist möglich, die Gründe zum Begründen, dass ein Ereignissignal, das durch den normalmodellbasierten Anomaliedetektionsabschnitt 132 als anomal detektiert wird, anomal ist, auf der Grundlage einer Regel des regelbasierten Anomaliedetektionsabschnitts 134 darzustellen. Dies ist darauf zurückzuführen, dass der Anomaliedetektionsintegrationsabschnitt 135 das normalmodellbasierte Anomaliedetektionsergebnis 126 mit dem regelbasierten Anomaliedetektionsergebnis 127 vergleicht und dadurch prüft, ob das Ereignissignal, das auf der der Grundlage eines Normalmodells als anomal detektiert wurde, auf der Grundlage einer Regel als anomal detektiert wird oder nicht, und das endgültige Anomaliedetektionsergebnis 128 erzeugt, das das Ereignissignal, das auf der Grundlage eines Normalmodells als anomal detektiert wurde, und die Regel, die auf der Grundlage einer Regel als anomal detektiert wurde, enthält.
  • Selbst wenn der regelbasierte Anomaliedetektionsabschnitt 134 dazu tendiert, falsche negative Ergebnisse zu zeigen, ist es möglich, falsche negative Ergebnisse im endgültigen Anomaliedetektionsergebnis 128 zu unterdrücken. Dies ist darauf zurückzuführen, dass der Anomaliedetektionsintegrationsabschnitt 135 eine übergreifende Bestimmung auf der Grundlage des normalmodellbasierten Anomaliedetektionsergebnisses 126 und des regelbasierten Anomaliedetektionsergebnisses 127 durchführt und dadurch schließlich detektiert, dass eine Anomalie vorliegt, wenn durch den normalmodellbasierten Anomaliedetektionsabschnitt 132 detektiert wird, dass eine Anomalie vorliegt, ungeachtet dessen, ob durch den regelbasierten Anomaliedetektionsabschnitt 134 eine Anomalie detektiert wird oder nicht.
  • Selbst wenn der regelbasierte Anomaliedetektionsabschnitt 134 eine Tendenz zur Überdetektion zeigt, ist es möglich, aufgrund des Einflusses davon zu verhindern, dass das endgültige Anomaliedetektionsergebnis 128 überdetektiert wird. Der Grund ist, dass der Anomaliedetektionsintegrationsabschnitt 135 eine übergreifende Bestimmung auf der Grundlage des normalmodellbasierten Anomaliedetektionsergebnisses 126 und des regelbasierten Anomaliedetektionsergebnisses 127 durchführt und dadurch schließlich detektiert, dass eine Anomalie vorliegt, wenn durch den normalmodellbasierten Anomaliedetektionsabschnitt 132 detektiert wird, dass eine Anomalie vorliegt, ungeachtet dessen, ob durch den regelbasierten Anomaliedetektionsabschnitt 134 eine Anomalie detektiert wird oder nicht. Da die Überdetektion auf diese Weise unterdrückt werden kann, wird die Datenmenge des endgültigen Anomaliedetektionsergebnisses 128 verringert. Als ein Ergebnis kann die Menge von Daten zum Übertragen des Anomaliedetektionsergebnisses zum Anzeigebildschirm verringert werden und die anzuzeigende Anzeigefläche des Bildschirms kann verringert werden.
  • Somit führt die Anomaliedetektionsvorrichtung 100 gemäß dieser Beispielausführungsform eine endgültige Anomaliedetektion durch paralleles Ausführen des normalmodellbasierten Anomaliedetektionsverfahrens und des regelbasierten Anomaliedetektionsverfahrens und Durchführen einer übergreifenden Bestimmung auf der Grundlage der Ergebnisse der Anomaliedetektion durch beide Verfahren durch und kann deshalb eine hochgenaue Detektion durchführen.
  • Ferner wird, da der Gültigkeitsgrad einer Regel zum Detektieren der Anwesenheit/Abwesenheit einer Anomalie eines Ereignissignals, das bei normalmodellbasierter Anomaliedetektion als nicht anomal bestimmt wird, zum Wert 0 gesetzt wird, eine regelbasierte Anomaliedetektion am Ereignissignal, das bei normalmodellbasierter Anomaliedetektion als nicht anomal bestimmt wird, nahezu unterlassen. Deshalb ist es möglich, die Berechnungsmenge zur Anomaliedetektion zu verringern.
  • [Zweite Beispielausführungsform]
  • Dann wird eine Anomaliedetektionsvorrichtung gemäß einer zweiten Beispielausführungsform der vorliegenden Erfindung beschrieben.
  • Die Anomaliedetektionsvorrichtung gemäß der zweiten Beispielausführungsform ist von der Anomaliedetektionsvorrichtung 100 gemäß der ersten Beispielausführungsform im folgenden Punkt verschieden und ist mit Ausnahme des folgenden Punkts auf dieselbe Weise wie die Anomaliedetektionsvorrichtung 100 gemäß der ersten Beispielausführungsform konfiguriert.
  • Der Ereignissignalsammelabschnitt 131 ist konfiguriert, Ereignissignale des Computersystems zu sammeln und die Ereignissignal zum normalmodellbasierten Anomaliedetektionsabschnitt 132 auszugeben. Der Ereignissignalsammelabschnitt 131 ist nicht konfiguriert, die Ereignissignale zu kopieren und zum Ereignispuffer 122 auszugeben.
  • Der normalmodellbasierte Anomaliedetektionsabschnitt 132 ist konfiguriert, die Anwesenheit/Abwesenheit einer Anomalie in einem eingegebenen Ereignissignal zu detektieren, das Detektionsergebnis zum Regelsteuerabschnitt 133 auszugeben und das Detektionsergebnis außerdem in das normalmodellbasierte Anomaliedetektionsergebnis 126 zu speichern und danach das Ereignissignal nach einer Detektion der Anwesenheit/Abwesenheit einer Anomalie zum Ereignispuffer 122 zu senden.
  • 7 zeigt ein Beispiel des Ablaufs einer Anomaliedetektionsoperation in der Anomaliedetektionsvorrichtung 200 gemäß dieser Beispielausführungsform. Unter Bezugnahme auf 7 sammelt zuerst der Ereignissignalsammelabschnitt 131 Ereignissignale von den Agenten 108, die sich in den entsprechenden Abschnitten des Computersystems befinden. Dann gibt der Ereignissignalsammelabschnitt 131 die gesammelten Ereignissignale zum normalmodellbasierten Anomaliedetektionsabschnitt 132 aus.
  • Der normalmodellbasierte Anomaliedetektionsabschnitt 132 detektiert die Anwesenheit/Abwesenheit einer Anomalie in eingegebenen Ereignissignalen und speichert die Detektionsergebnisse in das normalmodellbasierte Anomaliedetektionsergebnis 126 und gibt das Detektionsergebnis außerdem zum Regelsteuerabschnitt 133 aus. Der normalmodellbasierte Anomaliedetektionsabschnitt 132 gibt außerdem die Ereignissignale nach der Detektion der Anwesenheit/Abwesenheit einer Anomalie zum Ereignispuffer 122 aus. Der Betrieb danach ist derselbe wie in der Anomaliedetektionsvorrichtung 100 gemäß der ersten Beispielausführungsform.
  • Gemäß dieser Beispielausführungsform kann dieselbe Wirkung wie in der ersten Beispielausführungsform erreicht werden.
  • Ferner ist es gemäß dieser Beispielausführungsform möglich, den Prozess des Kopierens eines Ereignissignals des Computersystems durch den Ereignissignalsammelabschnitt 131 auszulassen.
  • [Dritte Beispielausführungsform]
  • Dann wird eine Anomaliedetektionsvorrichtung gemäß einer dritten Beispielausführungsform der vorliegenden Erfindung beschrieben.
  • Unter Bezugnahme auf 8 enthält eine Anomaliedetektionsvorrichtung 300 gemäß der dritten Beispielausführungsform der vorliegenden Erfindung einen normalmodellbasierten Anomaliedetektionsabschnitt 302, einen regelbasierten Anomaliedetektionsabschnitt 303 und einen Anomaliedetektionsintegrationsabschnitt 304.
  • Der normalmodellbasierte Anomaliedetektionsabschnitt 302 ist konfiguriert, die Anwesenheit/Abwesenheit einer Anomalie in einem Ereignissignal des Computersystems auf der Grundlage eines Normalmodells zu detektieren. Der normalmodellbasierte Anomaliedetektionsabschnitt 302 kann auf dieselbe Weise wie der normalmodellbasierte Anomaliedetektionsabschnitt 132, der in 2 gezeigt ist, konfiguriert sein, ist jedoch nicht darauf beschränkt.
  • Der regelbasierte Anomaliedetektionsabschnitt 303 ist konfiguriert, mit dem normalmodellbasierten Anomaliedetektionsabschnitt 302 parallel zu arbeiten und die Anwesenheit/Abwesenheit einer Anomalie im Ereignissignal auf der Grundlage einer Regel zu detektieren. Der regelbasierte Anomaliedetektionsabschnitt 303 kann auf dieselbe Weise wie der regelbasierte Anomaliedetektionsabschnitt 134, der in 2 gezeigt ist, konfiguriert sein, ist jedoch nicht darauf beschränkt.
  • Der Anomaliedetektionsintegrationsabschnitt 304 ist konfiguriert, ein endgültiges Anomaliedetektionsergebnis durch Durchführen einer übergreifenden Bestimmung auf der Grundlage der Ergebnisse der Detektion durch den normalmodellbasierten Anomaliedetektionsabschnitt 302 und den regelbasierten Anomaliedetektionsabschnitt 303 zu erzeugen. Der Anomaliedetektionsintegrationsabschnitt 304 kann auf dieselbe Weise wie der Anomaliedetektionsintegrationsabschnitt 135, der in 2 gezeigt ist, konfiguriert sein, ist jedoch nicht darauf beschränkt.
  • Die Anomaliedetektionsvorrichtung 300 gemäß dieser Beispielausführungsform, die wie oben beschrieben konfiguriert ist, arbeitet auf die folgende Weise. Das heißt, der normalmodellbasierte Anomaliedetektionsabschnitt 302 detektiert die Anwesenheit/Abwesenheit einer Anomalie in einem Ereignissignal des Computersystem auf der Grundlage eines Normalmodelles. Der regelbasierte Anomaliedetektionsabschnitt 303 detektiert parallel zum normalmodellbasierten Anomaliedetektionsabschnitt 302 die Anwesenheit/Abwesenheit einer Anomalie im Ereignissignal auf der Grundlage einer Regel. Dann erzeugt der Anomaliedetektionsintegrationsabschnitt 304 ein endgültiges Anomaliedetektionsergebnis durch Durchführen einer übergreifenden Bestimmung auf der Grundlage der Ergebnisse einer Detektion durch den normalmodellbasierten Anomaliedetektionsabschnitt 302 und den regelbasierten Anomaliedetektionsabschnitt 303.
  • Die Anomaliedetektionsvorrichtung 300 gemäß dieser Beispielausführungsform kann die Genauigkeit der Detektion mit der Konfiguration und dem Betrieb, der oben beschrieben wird, erhöhen. Der Grund ist, dass die Anomaliedetektionsvorrichtung 300 ein endgültiges Anomaliedetektionsergebnis durch paralleles Durchführen einer normalmodellbasierten Anomaliedetektion und einer regelbasierten Anomaliedetektion und Durchführen einer übergreifenden Bestimmung auf der Grundlage der Ergebnisse beider Detektionen erzeugt.
  • Obwohl die vorliegende Erfindung oben unter Bezugnahme auf die Beispielausführungsformen beschrieben wurde, ist die vorliegende Erfindung nicht auf die Beispielausführungsformen beschränkt. Die Konfigurationen und Details der vorliegenden Erfindung können auf verschiedene Weisen, die durch Fachleute verstanden werden können, im Umfang der vorliegenden Erfindung geändert werden.
  • Zum Beispiel kann als eine weitere Beispielausführungsform der Anomaliedetektionsintegrationsabschnitt 135 das endgültige Anomaliedetektionsergebnis 128 erzeugen, wobei lediglich ein Ereignis, das sowohl durch das normalmodellbasierte Anomaliedetektionsergebnis 126 als auch das regelbasierte Anomaliedetektionsergebnis 127 als anomal detektiert wird, anomal ist.
  • Die vorliegende Erfindung beruht auf der japanischen Patentanmeldung Nr. 2018-007840 , eingereicht am 22. Januar 2018, deren Offenbarung hier durch Bezugnahme vollständig mit aufgenommen ist, und beansprucht deren Priorität.
  • Die vorliegende Erfindung kann auf das Gebiet des Durchführens einer Anomaliedetektion angewendet werden und ist speziell im Gebiet des Detektierens einer Anomalie in einem Computersystem vorteilhaft.
  • Die Gesamtheit oder ein Teil der Beispielausführungsformen, die oben offenbart werden, können als die folgenden ergänzenden Hinweise beschrieben werden, sind jedoch nicht darauf beschränkt.
  • (Ergänzender Hinweis 1)
  • Eine Anomaliedetektionsvorrichtung, die Folgendes umfasst:
    • eine normalmodellbasierte Anomaliedetektionseinheit, die konfiguriert ist, auf der Grundlage eines Normalmodells zu detektieren, ob ein Ereignissignal eines Computersystems anomal ist oder nicht;
    • eine regelbasierte Anomaliedetektionseinheit, die konfiguriert ist, mit der normalmodellbasierten Anomaliedetektionseinheit parallel zu arbeiten und auf der Grundlage einer Regel zu detektieren, ob das Ereignissignal anomal ist oder nicht; und
    • eine Anomaliedetektionsintegrationseinheit, die konfiguriert ist, ein endgültiges Anomaliedetektionsergebnis zu erzeugen, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektionseinheit und der regelbasierten Anomaliedetektionseinheit durchgeführt wird.
  • (Ergänzender Hinweis 2)
  • Die Anomaliedetektionsvorrichtung nach dem ergänzenden Hinweis 1, die ferner eine Ereignissignalsammeleinheit umfasst, die konfiguriert ist, das Ereignissignal zu sammeln.
  • (Ergänzender Hinweis 3)
  • Die Anomaliedetektionsvorrichtung nach dem ergänzenden Hinweis 1 oder 2, wobei das Ereignissignal eine Auftrittszeit eines Ereignisses in Bezug auf eine Aktivität eines Betriebsmittels des Computersystems und einen Inhalt der Aktivität enthält.
  • (Ergänzender Hinweis 4)
  • Die Anomaliedetektionsvorrichtung nach dem ergänzenden Hinweis 3, wobei die Regel die Aktivität des Betriebsmittels betrifft.
  • (Ergänzender Hinweis 5)
  • Die Anomaliedetektionsvorrichtung nach dem ergänzenden Hinweis 4, die ferner eine Regelsteuereinheit umfasst, die konfiguriert ist, das Betriebsmittel zu identifizieren, das mit dem Ereignissignal, das durch die normalmodellbasierte Anomaliedetektionseinheit als anomal detektiert wird, verbunden ist, und einen Gültigkeitsgrad der Regel auf der Grundlage davon, ob die Regel das identifizierte Betriebsmittel betrifft oder nicht, zu bestimmen.
  • (Ergänzender Hinweis 6)
  • Die Anomaliedetektionsvorrichtung nach dem ergänzenden Hinweis 5, wobei die Regelsteuereinheit konfiguriert ist, den Gültigkeitsgrad für jedes Ereignissignal und für jede Regel zu bestimmen.
  • (Ergänzender Hinweis 7)
  • Die Anomaliedetektionsvorrichtung nach dem ergänzenden Hinweis 6, wobei die regelbasierte Anomaliedetektionseinheit konfiguriert ist, auf den Gültigkeitsgrad für jede Regel, der dem Ereignissignal entspricht, Bezug zu nehmen, die Regel, deren Gültigkeitsgrad gleich oder größer als ein Schwellenwert ist, zu verwenden und zu detektieren, ob das Ereignissignal anomal ist oder nicht.
  • (Ergänzender Hinweis 8)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 7, wobei das Ereignissignal, das gleich dem Ereignissignal ist, das in die normalmodellbasierte Anomaliedetektionseinheit eingegeben wird, spät in die regelbasierte Anomaliedetektionseinheit eingegeben wird.
  • (Ergänzender Hinweis 9)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 8, wobei die Ereignissignalsammeleinheit konfiguriert ist, das Ereignissignal zu kopieren, eines der zwei gleichen Ereignissignale zur normalmodellbasierten Anomaliedetektionseinheit zu senden und das Weitere zu einem Ereignispuffer, der in einer Stufe vor der normalmodellbasierten Anomaliedetektionseinheit angeordnet ist, zu senden.
  • (Ergänzender Hinweis 10)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 8, wobei die normalmodellbasierte Anomaliedetektionseinheit konfiguriert ist, das Ereignissignal, für das detektiert wurde, ob eine Anomalie vorliegt oder nicht, zu einem Ereignispuffer, der in einer Stufe vor der normalmodellbasierten Anomaliedetektionseinheit angeordnet ist, zu senden.
  • (Ergänzender Hinweis 11)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 10, wobei die Anomaliedetektionsintegrationseinheit konfiguriert ist, das Ereignissignal, das durch die normalmodellbasierte Anomaliedetektionseinheit als anomal detektiert wurde, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufzunehmen.
  • (Ergänzender Hinweis 12)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 10, wobei die Anomaliedetektionsintegrationseinheit konfiguriert ist, lediglich das Ereignissignal, das sowohl durch die normalmodellbasierte Anomaliedetektionseinheit als auch die regelbasierte Anomaliedetektionseinheit als anomal detektiert wurde, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufzunehmen.
  • (Ergänzender Hinweis 13)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 12, wobei die Anomaliedetektionsintegrationseinheit konfiguriert ist, eine Bestimmung durchzuführen, ob das Ereignissignal, das durch die normalmodellbasierte Anomaliedetektionseinheit als anomal detektiert wird, durch die regelbasierte Anomaliedetektionseinheit als anomal detektiert wird oder nicht, und ein Ergebnis der Bestimmung in das endgültige Anomaliedetektionsergebnis aufzunehmen.
  • (Ergänzender Hinweis 14)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 13, die ferner eine Detektionsergebnisdarstellungseinheit umfasst, die konfiguriert ist, das endgültige Anomaliedetektionsergebnis auf einem Bildschirm anzuzeigen.
  • (Ergänzender Hinweis 15)
  • Die Anomaliedetektionsvorrichtung nach einem der ergänzenden Hinweise 1 bis 14, die ferner eine Anomalieverarbeitungseinheit umfasst, die konfiguriert ist, eine detektierte Anomalie auf der Grundlage des endgültigen Anomaliedetektionsergebnisses automatisch zu verarbeiten.
  • (Ergänzender Hinweis 16)
  • Ein Anomaliedetektionsverfahren, das Folgendes umfasst:
    • Detektieren auf der Grundlage eines Normalmodells, ob ein Ereignissignal eines Computersystems anomal ist oder nicht;
    • parallel zum Detektieren auf der Grundlage des Normalmodells, ob eine Anomalie vorliegt oder nicht, Detektieren auf der Grundlage einer Regel, ob das Ereignissignal anomal ist oder nicht; und
    • Erzeugen eines endgültigen Anomaliedetektionsergebnisses, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen des Detektierens auf der Grundlage des Normalmodells, ob eine Anomalie vorliegt oder nicht, und des Detektierens auf der Grundlage der Regel, ob eine Anomalie vorliegt oder nicht, durchgeführt wird.
  • (Ergänzender Hinweis 17)
  • Das Anomaliedetektionsverfahren nach dem ergänzenden Hinweis 16, das ferner eine Ereignissignalsammeleinheit umfasst, die konfiguriert ist, das Ereignissignal zu sammeln.
  • (Ergänzender Hinweis 18)
  • Das Anomaliedetektionsverfahren nach dem ergänzenden Hinweis 16 oder 17, wobei das Ereignissignal eine Auftrittszeit eines Ereignisses in Bezug auf eine Aktivität eines Betriebsmittels des Computersystems und einen Inhalt der Aktivität enthält.
  • (Ergänzender Hinweis 19)
  • Das Anomaliedetektionsverfahren nach dem ergänzenden Hinweis 18, wobei die Regel die Aktivität des Betriebsmittels betrifft.
  • (Ergänzender Hinweis 20)
  • Das Anomaliedetektionsverfahren nach dem ergänzenden Hinweis 19, das ferner ein Identifizieren des Betriebsmittels, das mit dem Ereignissignal, das beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als anomal detektiert wird, verbunden ist, und ein Bestimmen eines Gültigkeitsgrads der Regel auf der Grundlage davon, ob die Regel das identifizierte Betriebsmittel betrifft oder nicht, umfasst.
  • (Ergänzender Hinweis 21)
  • Das Anomaliedetektionsverfahren nach dem ergänzenden Hinweis 20, wobei beim Bestimmen des Gültigkeitsgrads der Regel der Gültigkeitsgrad für jedes Ereignissignal und für jede Regel bestimmt wird.
  • (Ergänzender Hinweis 22)
  • Das Anomaliedetektionsverfahren nach dem ergänzenden Hinweis 21, wobei beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel auf den Gültigkeitsgrad für jede Regel, der dem Ereignissignal entspricht, Bezug genommen wird, die Regel, deren Gültigkeitsgrad gleich oder größer als ein Schwellenwert ist, verwendet wird und detektiert wird, ob das Ereignissignal anomal ist oder nicht.
  • (Ergänzender Hinweis 23)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 22, wobei am Ereignissignal, an dem auf der Grundlage des Normalmodells detektiert wird, ob eine Anomalie vorliegt oder nicht, anschließend das Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel durchgeführt wird.
  • (Ergänzender Hinweis 24)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 23, wobei das Ereignissignal beim Sammeln des Ereignissignals kopiert wird, eines der zwei gleichen Ereignissignale zum Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells verwendet wird und das Weitere in einem Ereignispuffer gespeichert wird, um hinsichtlich der Zeit spät zum Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel verwendet zu werden.
  • (Ergänzender Hinweis 25)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 23, wobei das Ereignissignal, für das auf der Grundlage des Normalmodells detektiert wird, ob eine Anomalie vorliegt oder nicht, in einem Ereignispuffer gespeichert wird, um danach zum Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel verwendet zu werden.
  • (Ergänzender Hinweis 26)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 25, wobei beim Erzeugen des endgültigen Anomaliedetektionsergebnisses das Ereignissignal, das beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als anomal detektiert wird, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufgenommen wird.
  • (Ergänzender Hinweis 27)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 25, wobei beim Erzeugen des endgültigen Anomaliedetektionsergebnisses lediglich das Ereignissignal, das sowohl beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als auch beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel als anomal detektiert wird, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufgenommen wird.
  • (Ergänzender Hinweis 28)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 27, wobei beim Erzeugen des endgültigen Anomaliedetektionsergebnisses eine Bestimmung durchgeführt wird, ob das Ereignissignal, das beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als anomal detektiert wurde, beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel als anomal detektiert wird oder nicht, und ein Ergebnis der Bestimmung in das endgültige Anomaliedetektionsergebnis aufgenommen wird.
  • (Ergänzender Hinweis 29)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 28, das ferner ein Anzeigen des endgültigen Anomaliedetektionsergebnisses auf einem Bildschirm umfasst.
  • (Ergänzender Hinweis 30)
  • Das Anomaliedetektionsverfahren nach einem der ergänzenden Hinweise 16 bis 29, das ferner ein automatisches Verarbeiten einer detektierten Anomalie auf der Grundlage des endgültigen Anomaliedetektionsergebnisses umfasst.
  • (Ergänzender Hinweis 31)
  • Ein computerlesbares Aufzeichnungsmedium, in dem ein Programm aufgezeichnet ist, wobei das Programm Anweisungen umfasst, um zu bewirken, dass ein Computer als Folgendes arbeitet:
    • eine normalmodellbasierte Anomaliedetektionseinheit, die konfiguriert ist, auf der Grundlage eines Normalmodells zu detektieren, ob ein Ereignissignal eines Computersystems anomal ist oder nicht;
    • eine regelbasierte Anomaliedetektionseinheit, die konfiguriert ist, mit der normalmodellbasierten Anomaliedetektionseinheit parallel zu arbeiten und auf der Grundlage einer Regel zu detektieren, ob das Ereignissignal anomal ist oder nicht; und
    • eine Anomaliedetektionsintegrationseinheit, die konfiguriert ist, ein endgültiges Anomaliedetektionsergebnis zu erzeugen, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektionseinheit und der regelbasierten Anomaliedetektionseinheit durchgeführt wird.
  • Bezugszeichenliste
    • 100
    Anomaliedetektionsvorrichtung
    101
    Internet
    102
    Firewall
    103
    Proxy-Server
    104
    Host-Computer
    105
    PC
    106
    PC
    107
    SDN
    108
    Agent
    111
    Kommunikationsschnittstellenabschnitt
    112
    Betätigungseingabeabschnitt
    113
    Bildschirmanzeigeabschnitt
    120
    Speicherabschnitt
    121
    Programm
    122
    Ereignispuffer
    123
    Normalmodell
    124
    Regel
    125
    Gültigkeitsgrad
    126
    normalmodellbasiertes Anomaliedetektionsergebnis
    127
    regelbasiertes Anomaliedetektionsergebnis
    128
    endgültiges Anomaliedetektionsergebnis
    130
    Arithmetikabschnitt
    131
    Ereignissignalsammelabschnitt
    132
    normalmodellbasierter Anomaliedetektionsabschnitt
    133
    Regelsteuerabschnitt
    134
    regelbasierter Anomaliedetektionsabschnitt
    135
    Anomaliedetektionsintegrationsabschnitt
    136
    Detektionsergebnisdarstellungsabschnitt
    137
    Anomalieverarbeitungsabschnitt
    200
    Anomaliedetektionsvorrichtung
    300
    Anomaliedetektionsvorrichtung
    302
    normalmodellbasierter Anomaliedetektionsabschnitt
    303
    regelbasierter Anomaliedetektionsabschnitt
    304
    Anomaliedetektionsintegrationsabschnitt
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 5331774 [0008]
    • JP 2018007840 [0078]

Claims (31)

  1. Anomaliedetektionsvorrichtung, die Folgendes umfasst: eine normalmodellbasierte Anomaliedetektionseinheit, die konfiguriert ist, auf der Grundlage eines Normalmodells zu detektieren, ob ein Ereignissignal eines Computersystems anomal ist oder nicht; eine regelbasierte Anomaliedetektionseinheit, die konfiguriert ist, mit der normalmodellbasierten Anomaliedetektionseinheit parallel zu arbeiten und auf der Grundlage einer Regel zu detektieren, ob das Ereignissignal anomal ist oder nicht; und eine Anomaliedetektionsintegrationseinheit, die konfiguriert ist, ein endgültiges Anomaliedetektionsergebnis zu erzeugen, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektionseinheit und der regelbasierten Anomaliedetektionseinheit durchgeführt wird.
  2. Anomaliedetektionsvorrichtung nach Anspruch 1, die ferner eine Ereignissignalsammeleinheit umfasst, die konfiguriert ist, das Ereignissignal zu sammeln.
  3. Anomaliedetektionsvorrichtung nach Anspruch 1 oder 2, wobei das Ereignissignal eine Auftrittszeit eines Ereignisses in Bezug auf eine Aktivität eines Betriebsmittels des Computersystems und einen Inhalt der Aktivität enthält.
  4. Anomaliedetektionsvorrichtung nach Anspruch 3, wobei die Regel die Aktivität des Betriebsmittels betrifft.
  5. Anomaliedetektionsvorrichtung nach Anspruch 4, die ferner eine Regelsteuereinheit umfasst, die konfiguriert ist, das Betriebsmittel zu identifizieren, das mit dem Ereignissignal, das durch die normalmodellbasierte Anomaliedetektionseinheit als anomal detektiert wird, verbunden ist, und einen Gültigkeitsgrad der Regel auf der Grundlage davon, ob die Regel das identifizierte Betriebsmittel betrifft oder nicht, zu bestimmen.
  6. Anomaliedetektionsvorrichtung nach Anspruch 5, wobei die Regelsteuereinheit konfiguriert ist, den Gültigkeitsgrad für jedes Ereignissignal und für jede Regel zu bestimmen.
  7. Anomaliedetektionsvorrichtung nach Anspruch 6, wobei die regelbasierte Anomaliedetektionseinheit konfiguriert ist, auf den Gültigkeitsgrad für jede Regel, der dem Ereignissignal entspricht, Bezug zu nehmen, die Regel, deren Gültigkeitsgrad gleich oder größer als ein Schwellenwert ist, zu verwenden und zu detektieren, ob das Ereignissignal anomal ist oder nicht.
  8. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 7, wobei das Ereignissignal, das gleich dem Ereignissignal ist, das in die normalmodellbasierte Anomaliedetektionseinheit eingegeben wird, spät in die regelbasierte Anomaliedetektionseinheit eingegeben wird.
  9. Anomaliedetektionsvorrichtung nach Anspruch 2, wobei die Ereignissignalsammeleinheit konfiguriert ist, das Ereignissignal zu kopieren, eines der zwei gleichen Ereignissignale zur normalmodellbasierten Anomaliedetektionseinheit zu senden und das Weitere zu einem Ereignispuffer, der in einer Stufe vor der normalmodellbasierten Anomaliedetektionseinheit angeordnet ist, zu senden.
  10. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 8, wobei die normalmodellbasierte Anomaliedetektionseinheit konfiguriert ist, das Ereignissignal, für das detektiert wurde, ob eine Anomalie vorliegt oder nicht, zu einem Ereignispuffer, der in einer Stufe vor der normalmodellbasierten Anomaliedetektionseinheit angeordnet ist, zu senden.
  11. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 10, wobei die Anomaliedetektionsintegrationseinheit konfiguriert ist, das Ereignissignal, das durch die normalmodellbasierte Anomaliedetektionseinheit als anomal detektiert wurde, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufzunehmen.
  12. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 10, wobei die Anomaliedetektionsintegrationseinheit konfiguriert ist, lediglich das Ereignissignal, das sowohl durch die normalmodellbasierte Anomaliedetektionseinheit als auch die regelbasierte Anomaliedetektionseinheit als anomal detektiert wurde, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufzunehmen.
  13. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 12, wobei die Anomaliedetektionsintegrationseinheit konfiguriert ist, eine Bestimmung durchzuführen, ob das Ereignissignal, das durch die normalmodellbasierte Anomaliedetektionseinheit als anomal detektiert wird, durch die regelbasierte Anomaliedetektionseinheit als anomal detektiert wird oder nicht, und ein Ergebnis der Bestimmung in das endgültige Anomaliedetektionsergebnis aufzunehmen.
  14. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 13, die ferner eine Detektionsergebnisdarstellungseinheit umfasst, die konfiguriert ist, das endgültige Anomaliedetektionsergebnis auf einem Bildschirm anzuzeigen.
  15. Anomaliedetektionsvorrichtung nach einem der Ansprüche 1 bis 14, die ferner eine Anomalieverarbeitungseinheit umfasst, die konfiguriert ist, eine detektierte Anomalie auf der Grundlage des endgültigen Anomaliedetektionsergebnisses automatisch zu verarbeiten.
  16. Anomaliedetektionsverfahren, das Folgendes umfasst: Detektieren auf der Grundlage eines Normalmodells, ob ein Ereignissignal eines Computersystems anomal ist oder nicht; parallel zum Detektieren auf der Grundlage des Normalmodells, ob eine Anomalie vorliegt oder nicht, Detektieren auf der Grundlage einer Regel, ob das Ereignissignal anomal ist oder nicht; und Erzeugen eines endgültigen Anomaliedetektionsergebnisses, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen des Detektierens auf der Grundlage des Normalmodells, ob eine Anomalie vorliegt oder nicht, und des Detektierens auf der Grundlage der Regel, ob eine Anomalie vorliegt oder nicht, durchgeführt wird.
  17. Anomaliedetektionsverfahren nach Anspruch 16, das ferner eine Ereignissignalsammeleinheit umfasst, die konfiguriert ist, das Ereignissignal zu sammeln.
  18. Anomaliedetektionsverfahren nach Anspruch 16 oder 17, wobei das Ereignissignal eine Auftrittszeit eines Ereignisses in Bezug auf eine Aktivität eines Betriebsmittels des Computersystems und einen Inhalt der Aktivität enthält.
  19. Anomaliedetektionsverfahren nach Anspruch 18, wobei die Regel die Aktivität des Betriebsmittels betrifft.
  20. Anomaliedetektionsverfahren nach Anspruch 19, das ferner ein Identifizieren des Betriebsmittels, das mit dem Ereignissignal, das beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als anomal detektiert wird, verbunden ist, und ein Bestimmen eines Gültigkeitsgrads der Regel auf der Grundlage davon, ob die Regel das identifizierte Betriebsmittel betrifft oder nicht, umfasst.
  21. Anomaliedetektionsverfahren nach Anspruch 20, wobei beim Bestimmen des Gültigkeitsgrads der Regel der Gültigkeitsgrad für jedes Ereignissignal und für jede Regel bestimmt wird.
  22. Anomaliedetektionsverfahren nach Anspruch 21, wobei beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel auf den Gültigkeitsgrad für jede Regel, der dem Ereignissignal entspricht, Bezug genommen wird, die Regel, deren Gültigkeitsgrad gleich oder größer als ein Schwellenwert ist, verwendet wird und detektiert wird, ob das Ereignissignal anomal ist oder nicht.
  23. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 22, wobei am Ereignissignal, an dem auf der Grundlage des Normalmodells detektiert wird, ob eine Anomalie vorliegt oder nicht, anschließend das Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel durchgeführt wird.
  24. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 23, wobei das Ereignissignal beim Sammeln des Ereignissignals kopiert wird, eines der zwei gleichen Ereignissignale zum Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells verwendet wird und das Weitere in einem Ereignispuffer gespeichert wird, um hinsichtlich der Zeit spät zum Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel verwendet zu werden.
  25. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 23, wobei das Ereignissignal, für das auf der Grundlage des Normalmodells detektiert wird, ob eine Anomalie vorliegt oder nicht, in einem Ereignispuffer gespeichert wird, um danach zum Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel verwendet zu werden.
  26. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 25, wobei beim Erzeugen des endgültigen Anomaliedetektionsergebnisses das Ereignissignal, das beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als anomal detektiert wird, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufgenommen wird.
  27. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 25, wobei beim Erzeugen des endgültigen Anomaliedetektionsergebnisses lediglich das Ereignissignal, das sowohl beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als auch beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel als anomal detektiert wird, als ein anomales Ereignissignal in das endgültige Anomaliedetektionsergebnis aufgenommen wird.
  28. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 27, wobei beim Erzeugen des endgültigen Anomaliedetektionsergebnisses eine Bestimmung durchgeführt wird, ob das Ereignissignal, das beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage des Normalmodells als anomal detektiert wurde, beim Detektieren, ob eine Anomalie vorliegt oder nicht, auf der Grundlage der Regel als anomal detektiert wird oder nicht, und ein Ergebnis der Bestimmung in das endgültige Anomaliedetektionsergebnis aufgenommen wird.
  29. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 28, das ferner ein Anzeigen des endgültigen Anomaliedetektionsergebnisses auf einem Bildschirm umfasst.
  30. Anomaliedetektionsverfahren nach einem der Ansprüche 16 bis 29, das ferner ein automatisches Verarbeiten einer detektierten Anomalie auf der Grundlage des endgültigen Anomaliedetektionsergebnisses umfasst.
  31. Computerlesbares Aufzeichnungsmedium, in dem ein Programm aufgezeichnet ist, wobei das Programm Anweisungen umfasst, um zu bewirken, dass ein Computer als Folgendes arbeitet: eine normalmodellbasierte Anomaliedetektionseinheit, die konfiguriert ist, auf der Grundlage eines Normalmodells zu detektieren, ob ein Ereignissignal eines Computersystems anomal ist oder nicht; eine regelbasierte Anomaliedetektionseinheit, die konfiguriert ist, mit der normalmodellbasierten Anomaliedetektionseinheit parallel zu arbeiten und auf der Grundlage einer Regel zu detektieren, ob das Ereignissignal anomal ist oder nicht; und eine Anomaliedetektionsintegrationseinheit, die konfiguriert ist, ein endgültiges Anomaliedetektionsergebnis zu erzeugen, indem eine übergreifende Bestimmung auf der Grundlage von Detektionsergebnissen der normalmodellbasierten Anomaliedetektionseinheit und der regelbasierten Anomaliedetektionseinheit durchgeführt wird.
DE112018006911.7T 2018-01-22 2018-12-20 Anomaliedetektionsvorrichtung Pending DE112018006911T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018007840 2018-01-22
JP2018-007840 2018-01-22
PCT/JP2018/047057 WO2019142591A1 (ja) 2018-01-22 2018-12-20 異常検知装置

Publications (1)

Publication Number Publication Date
DE112018006911T5 true DE112018006911T5 (de) 2020-10-01

Family

ID=67302150

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018006911.7T Pending DE112018006911T5 (de) 2018-01-22 2018-12-20 Anomaliedetektionsvorrichtung

Country Status (4)

Country Link
US (1) US20210049477A1 (de)
JP (1) JP6939906B2 (de)
DE (1) DE112018006911T5 (de)
WO (1) WO2019142591A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11329982B2 (en) 2018-12-31 2022-05-10 T-Mobile Usa, Inc. Managing internet of things devices using blockchain operations
US11159945B2 (en) 2018-12-31 2021-10-26 T-Mobile Usa, Inc. Protecting a telecommunications network using network components as blockchain nodes
US11601787B2 (en) 2018-12-31 2023-03-07 T-Mobile Usa, Inc. Using a blockchain to determine trustworthiness of messages between vehicles over a telecommunications network
US11277425B2 (en) * 2019-04-16 2022-03-15 International Business Machines Corporation Anomaly and mode inference from time series data
US11271957B2 (en) 2019-07-30 2022-03-08 International Business Machines Corporation Contextual anomaly detection across assets

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4819014B2 (ja) * 2007-09-20 2011-11-16 株式会社日立製作所 ログ解析方法、ログ格納装置及びプログラム
JP4998455B2 (ja) * 2008-12-22 2012-08-15 日本電気株式会社 障害復旧装置および障害復旧方法ならびにプログラム
US20160029966A1 (en) * 2014-07-31 2016-02-04 Sano Intelligence, Inc. Method and system for processing and analyzing analyte sensor signals
JP6555061B2 (ja) * 2015-10-01 2019-08-07 富士通株式会社 クラスタリングプログラム、クラスタリング方法、および情報処理装置
JP6652699B2 (ja) * 2015-10-05 2020-02-26 富士通株式会社 アノマリ評価プログラム、アノマリ評価方法、および情報処理装置
US10419458B2 (en) * 2016-01-21 2019-09-17 Cyiot Ltd Distributed techniques for detecting atypical or malicious wireless communications activity
WO2017153005A1 (en) * 2016-03-09 2017-09-14 Siemens Aktiengesellschaft Smart embedded control system for a field device of an automation system
US10673880B1 (en) * 2016-09-26 2020-06-02 Splunk Inc. Anomaly detection to identify security threats
US10375098B2 (en) * 2017-01-31 2019-08-06 Splunk Inc. Anomaly detection based on relationships between multiple time series
US11250343B2 (en) * 2017-06-08 2022-02-15 Sap Se Machine learning anomaly detection

Also Published As

Publication number Publication date
JPWO2019142591A1 (ja) 2021-01-14
US20210049477A1 (en) 2021-02-18
JP6939906B2 (ja) 2021-09-22
WO2019142591A1 (ja) 2019-07-25

Similar Documents

Publication Publication Date Title
DE112018006911T5 (de) Anomaliedetektionsvorrichtung
Groppe et al. Mass univariate analysis of event‐related brain potentials/fields II: Simulation studies
DE69908360T2 (de) Rechnersystem und verfahren zur erklärung des verhaltens eines modelles das eingangsdaten auf ausgangdaten abbildet
DE4436658B4 (de) Vorrichtung und Verfahren zur Störungsuntersuchung
DE10297009B4 (de) Sensorfusion unter Verwendung von selbstvaluierenden Prozesssensoren
DE112012002718B4 (de) Erkennen von Sicherheitsschwachstellen in Web-Anwendungen
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
DE112012003110T5 (de) Verfahren, Programmprodukt und System zur Datenidentifizierung
DE102014211504A1 (de) Verfahren und System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur
DE112012000279T5 (de) Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen
DE112019005467T5 (de) System und verfahren zum erkennen und vorhersagen von mustern eines anomalen sensorverhaltens einer maschine
US20220039716A1 (en) Calibration method for critical point of mental fatigue based on self-organized criticality
DE112011100168B4 (de) Erfassen von Diagnosedaten in einer Datenverarbeitungsumgebung
DE112015006287B4 (de) Informationsverarbeitungs-Vorrichtung
WO2021228894A1 (de) Bildauswertungsverfahren in der mikroskopie
DE102017126893A1 (de) Analysemethode mit Erwartungskorridor als Bewertungsgrundlage für Analyseergebnis
DE10259794A1 (de) Verfahren und Vorrichtung für das Event Management
DE112019001332T5 (de) Ermittlungsvorrichtung, fotoelektrischer Sensor mit mehreren optischen Achsen, Verfahren zur Steuerung einer Ermittlungsvorrichtung, Informationsverarbeitungsprogramm und Aufzeichnungsmedium
EP3961447A1 (de) Verfahren zur detektion von anomalen betriebszuständen eines computersystems
DE112020006451T5 (de) Diagnosevorrichtung, diagnoseverfahren und programm
DE102019127426A1 (de) Entfernung von Wellenform-DC-Störung
EP3929554A1 (de) Verbesserte fehlererkennung bei maschinen mittels ki
DE112021001418T5 (de) System zur fehlerbehebung bei leistungsereignissen
EP0065155B1 (de) Verfahren und Anordnung zur Feststellung und Meldung von Kühlungsstörungen in einem Brennelement eines Reaktorkerns
DE102019134113A1 (de) Datensortiervorrichtung und datensortierverfahren und überwachungs- und diagnosevorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed