-
[Technischer Bereich]
-
Die vorliegende Erfindung betrifft die Anomalieerkennung.
-
[Technischer Hintergrund]
-
Ein System zur Überwachung, ob ein Computersystem normal arbeitet, wurde entwickelt. Beispielsweise offenbart PTL 1 ein System, das das Lernen eines normalen Betriebsmodells zu einem Zeitpunkt des normalen Betriebs einer zu beobachtenden Zielsoftware durchführt, den Betrieb der zu beobachtenden Zielsoftware mit dem Modell vergleicht und dadurch das Auftreten einer Anomalie feststellt, die durch Eindringen in die zu überwachende Zielsoftware verursacht wurde.
-
[Zitierliste]
-
[Patentliteratur]
-
[PTL 1] Veröffentlichung der japanischen Patentanmeldung Nr.
2008-129714 .
-
[Zusammenfassung der Erfindung]
-
[Technisches Problem]
-
Nach der Methode der PTL 1 ist es notwendig, ein Modell eines zu überwachenden Systems zu erstellen, während das System normal arbeitet. Mit anderen Worten, das zu überwachende System muss sich während einer Phase, in der das Modell erstellt wird, in einem normalen Zustand befinden.
-
Die vorliegende Erfindung ist im Hinblick auf das oben beschriebene Problem gemacht worden. Eines der Ziele der vorliegenden Erfindung ist es, ein Verfahren bereitzustellen, das in der Lage ist, mit der Überwachung zu beginnen, ob ein zu überwachendes Zielsystem in einer Situation normal arbeitet, in der nicht bekannt ist, ob das System normal arbeitet.
-
[Lösung des Problems]
-
Eine Informationsverarbeitungsvorrichtung der vorliegenden Erfindung umfasst (1) eine Erfassungseinheit, die erste Ereignisinformationen erfasst, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweite Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung verursacht wird, (2) eine Klassifizierungseinheit, die jedes Ereignis, das durch die zweiten Ereignisinformationen angezeigt wird, unter Verwendung der ersten Ereignisinformationen klassifiziert, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, bei dem es sich um ein Ereignis handelt, das in der Standardvorrichtung nicht auftritt, (3) eine erste Lerneinheit, die das Lernen eines ersten Modells zur Bestimmung, ob ein als die erste Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, durch Verwendung der zweiten Ereignisinformationen auf einem als die erste Klasse klassifizierten Ereignis durchführt, und (4) eine zweite Lerneinheit, die das Lernen eines zweiten Modells zur Bestimmung, ob ein als die zweite Klasse klassifiziertes Ereignis ein Zielereignis für eine Warnung ist, durch Verwendung der zweiten Ereignisinformationen auf einem als die zweite Klasse klassifizierten Ereignis durchführt.
-
Ein Steuerungsverfahren der vorliegenden Erfindung ist ein von einem Computer ausgeführtes Steuerungsverfahren. Das Steuerungsverfahren umfasst (1) einen Erfassungsschritt des Erfassens erster Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer Standardvorrichtung verursacht wird, und zweiter Ereignisinformationen, die Informationen über ein Ereignis anzeigen, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung verursacht wird, (2) einen Klassifizierungsschritt zum Klassifizieren eines jeden Ereignisses, das durch die zweiten Ereignisinformationen angezeigt wird, unter Verwendung der ersten Ereignisinformationen, entweder als ein Ereignis einer ersten Klasse, das ein Ereignis ist, das auch in der Standardvorrichtung auftritt, oder als ein Ereignis einer zweiten Klasse, das ein Ereignis ist, das in der Standardvorrichtung nicht auftritt, (3) einen ersten Lernschritt zur Durchführung des Lernens eines ersten Modells zur Bestimmung, ob ein als die erste Klasse klassifiziertes Ereignis ein Warnzielereignis ist, unter Verwendung der zweiten Ereignisinformationen auf einem als die erste Klasse klassifizierten Ereignis, und (4) einen zweiten Lernschritt zur Durchführung des Lernens eines zweiten Modells zur Bestimmung, ob ein als die zweite Klasse klassifiziertes Ereignis ein Warnzielereignis ist, unter Verwendung der zweiten Ereignisinformationen auf einem als die zweite Klasse klassifizierten Ereignis.
-
Ein Programm der vorliegenden Erfindung veranlasst einen Computer, jeden der in dem Kontrollverfahren der vorliegenden Erfindung umfassten Schritte auszuführen.
-
[Vorteilhafte Auswirkungen der Erfindung]
-
Nach der vorliegenden Erfindung wird ein Verfahren bereitgestellt, das mit der Überwachung eines zu überwachenden Zielsystems in einer Situation beginnen kann, in der nicht bekannt ist, ob das System normal arbeitet.
-
Figurenliste
-
Die oben beschriebene Aufgabe und andere Aufgaben, Eigenschaften und Vorteile wird/werden durch die unten beschriebenen bevorzugten exemplarischen Ausführungsbeispiele und die beigefügten Zeichnungen noch deutlicher gemacht werden.
-
- [1] 1 ist ein Diagramm, das den Umriss einer Operation einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel darstellt.
- [2] 2 ist ein Diagramm, das eine Konfiguration einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel 1 veranschaulicht.
- [3] 3 ist ein Diagramm, das einen Computer zur Realisierung einer Informationsverarbeitungsvorrichtung veranschaulicht.
- [4] 4 ist ein Flussdiagramm, das einen von einer Informationsverarbeitungsvorrichtung ausgeführten Verarbeitungsfluss gemäß dem exemplarischen Ausführungsbeispiel 1 veranschaulicht.
- [5] 5 ist ein Diagramm, das Informationen, die ein Ereignis definieren, in tabellarischer Form veranschaulicht.
- [6] 6 ist ein Blockdiagramm, das eine funktionelle Konfiguration einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel3 veranschaulicht.
- [7] 7 ist ein Flussdiagramm, das einen Verarbeitungsfluss veranschaulicht, der von einer Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel3 ausgeführt wird. [exemplarische Ausführungsbeispiele]
-
Exemplarische Ausführungsbeispiele der vorliegenden Erfindung werden im Folgenden unter Bezugnahme auf die Zeichnungen beschrieben. Es ist zu beachten, dass in allen Zeichnungen gleiche Bestandselemente durch gleiche Bezugszeichen bezeichnet werden und die Beschreibung dieser Elemente gegebenenfalls nicht wiederholt wird. Sofern nicht anders erwähnt, stellen die Blöcke in den Blockdiagrammen funktionale Komponenten dar, nicht Hardwarekomponenten.
-
[Exemplarisches Ausführungsbeispiel 1]
-
<Überblick>
-
1 ist ein Diagramm, das den Umriss einer Operation einer Informationsverarbeitungsvorrichtung gemäß des exemplarischen Ausführungsbeispiels 1 darstellt. 1 ist ein konzeptionelles Diagramm zur Erleichterung des Verständnisses eines Betriebs einer Informationsverarbeitungsvorrichtung 2000 und schränkt den Betrieb der Informationsverarbeitungsvorrichtung 2000 in keiner Weise konkret ein.
-
In Bezug auf ein Ereignis, das durch einen Prozess in einer zu bestimmenden Zielvorrichtung 10 verursacht wird, führt eine Informationsverarbeitungsvorrichtung 2000 das Lernen (Aktualisieren) eines Modells durch, mit dem bestimmt wird, ob das Ereignis Zielereignis für eine Warnung ist. Ein „Prozess“ bedeutet hier, dass ein Programm ausgeführt wird. Ferner ist ein „Ereignis“ eine Aktion, die ein Prozess in Bezug zu einem beliebigen Objekt (ein anderer Prozess, eine Datei oder ähnliches) ausführt. Ein von einem Prozess verursachtes Ereignis ist z.B. der Start eines anderen Prozesses, eine Kommunikation mit einem anderen Prozess, ein Zugriff auf eine Datei oder ähnliches.
-
Die Zielereignisse für eine Warnung können verschiedene Ereignisse sein. Die Zielereignisse für eine Warnung sind z. B. Ereignisse, die als Ereignisse mit einem hohen Sicherheitsrisiko eingeschätzt werden, wie z. B. Ereignisse mit einer hohen Wahrscheinlichkeit für Malware-Beteiligung. Weitere Beispiele für Zielereignisse für eine Warnung werden später beschrieben.
-
Zwei Modelle, d.h. ein erstes Modell und ein zweites Modell, werden wie oben beschrieben als Modelle verwendet. Das erste Modell wird verwendet, wenn das zu bestimmende Zielereignis ein Ereignis ist, das auch in der Standardvorrichtung 20 aufgetreten ist. Dagegen wird das zweite Modell verwendet, wenn das zu bestimmende Zielereignis ein Ereignis ist, das nicht in der Standvorrichtung 20 aufgetreten ist. Nachstehend werden von den zu bestimmenden Ereignissen, die in der Zielvorrichtung 10 aufgetreten sind, Ereignisse, die auch in der Standardvorrichtung 20 aufgetreten sind, als Ereignisse der ersten Klasse und Ereignisse, die in der Standardvorrichtung 20 nicht aufgetreten sind, als Ereignisse der zweiten Klasse bezeichnet.
-
In diesem Fall ist die Standardvorrichtung 20 ein Computer, bei dem die Wahrscheinlichkeit eines normalen Betriebs als hoch eingeschätzt wird (mit einer geringen Wahrscheinlichkeit, dass eine Fehlfunktion aufgetreten ist). Wenn beispielsweise eine Warnung vor einem Ereignis mit einer hohen Wahrscheinlichkeit der Beteiligung von Malware erfolgen soll, wird ein Computer mit einer niedrigen Wahrscheinlichkeit einer Malware-Infektion als Standardvorrichtung 20 verwendet.
-
Um das Lernen der Modelle durchzuführen, erfasst die Informationsverarbeitungsvorrichtung 2000 Informationen über Ereignisse, die in der Standardvorrichtung 20 aufgetreten sind (im Folgenden als erste Ereignisinformationen bezeichnet) und Informationen über Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 aufgetreten sind (im Folgenden als zweite Ereignisinformationen bezeichnet). Unter Verwendung der ersten Ereignisinformationen klassifiziert die Informationsverarbeitungsvorrichtung 2000 jedes durch die zweiten Ereignisinformationen angezeigte Ereignis (mit anderen Worten, die in der zu bestimmenden Zielvorrichtung 10 aufgetretenen Ereignisse) als ein Ereignis der ersten Klasse oder als ein Ereignis der zweiten Klasse. Die Informationsverarbeitungsvorrichtung 2000 führt das Lernen des ersten Modells unter Verwendung der zweiten Ereignisinformationen der als erste Klasse klassifizierten Ereignisse durch. Darüber hinaus führt die Informationsverarbeitungsvorrichtung 2000 das Lernen des zweiten Modells unter Verwendung der zweiten Ereignisinformationen der als zweite Klasse klassifizierten Ereignisse durch.
-
<Vorteilhafte Auswirkungen>>
-
Da es sich bei der Standardvorrichtung 20 um einen Computer mit einer hohen Wahrscheinlichkeit eines normalen Betriebs handelt, kann davon ausgegangen werden, dass die Ereignisse, die auch in der Standardvorrichtung 20 auftreten, eine höhere Wahrscheinlichkeit haben, normale Ereignisse zu sein, als die Ereignisse, die in der Standardvorrichtung 20 nicht auftreten. Daher kann bei der Bestimmung, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Ziel für eine Warnung ist oder nicht, mit einer hohen Genauigkeit bestimmt werden, indem berücksichtigt wird, ob das Ereignis auch in der Standardvorrichtung 20 aufgetreten ist.
-
Als Modelle zur Bestimmung, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Zielereignis für eine Warnung ist, verfügt die Informationsverarbeitungsvorrichtung 2000 daher über zwei Modelle, d.h. das erste Modell zur Durchführung der Bestimmung eines Ereignisses, das auch in der Standardvorrichtung 20 aufgetreten ist (ein Ereignis der ersten Klasse), und das zweite Modell zur Durchführung der Bestimmung eines Ereignisses, das in der Standardvorrichtung 20 nicht aufgetreten ist (ein Ereignis der zweiten Klasse). Das Lernen für das erste Modell wird mit Ereignissen durchgeführt, die als erste Klasse klassifiziert sind, während das Lernen für das zweite Modell mit Ereignissen durchgeführt wird, die als zweite Klasse klassifiziert sind. Auf diese Weise ist es möglich, mit hoher Genauigkeit zu bestimmen, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Zielereignis für eine Warnung ist oder nicht, da es möglich ist, die Bestimmung vorzunehmen, während bei der Bestimmung, ob das Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, ein Warnziel ist, zwischen einem Ereignis, das auch in der Standardvorrichtung 20 aufgetreten ist, und einem Ereignis, das in der Standardvorrichtung 20 nicht aufgetreten ist, unterschieden wird.
-
Ferner verwendet die Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel nicht die zu bestimmende Zielvorrichtung 10, sondern die Standardvorrichtung 20 als normal arbeitende Vorrichtung bei der Herstellung der Modelle. Somit können auch dann Modelle mit hoher Genauigkeit erzielt werden, wenn sich die zu bestimmende Zielvorrichtung 10 zu Beginn des Lernens der Modelle bereits in einem anomalen Zustand befindet. Daher ist es möglich, den Betrieb der Informationsverarbeitungsvorrichtung 2000 in einer Situation zu beginnen, in der nicht bekannt ist, ob die zu überwachende Vorrichtung (zu bestimmende Zielvorrichtung 10) normal arbeitet.
-
Die Informationsverarbeitungsvorrichtung 2000 gemäß dem vorliegenden exemplarischen Ausführungsbeispiel wird im folgenden ausführlicher beschrieben.
-
<Beispiel einer funktionellen Konfiguration der Informationsverarbeitungsvorrichtung 2000>
-
2 ist ein Diagramm, das eine Konfiguration der Informationsverarbeitungsvorrichtung gemäß dem exemplarischen Ausführungsbeispiel 1 zeigt. Die Informationsverarbeitungsvorrichtung 2000 beinhaltet eine Erfassungseinheit 2020, eine Klassifizierungseinheit 2040, eine erste Lerneinheit 2060 und eine zweite Lerneinheit 2080. Die Erfassungseinheit 2020 erfasst erste Ereignisinformationen und zweite Ereignisinformationen. Die ersten Ereignisinformationen sind Informationen über ein Ereignis, das durch einen Prozess in der Standardvorrichtung 20 verursacht wurde. Die zweiten Ereignisinformationen sind Informationen über ein Ereignis, das durch einen Prozess in der zu bestimmenden Zielvorrichtung 10 verursacht wurde.
-
Die Klassifizierungseinheit 2040 klassifiziert die Ereignisse, die durch die zweiten Ereignisinformationen dargestellt werden, als Ereignisse der ersten Klasse und Ereignisse der zweiten Klasse unter Verwendung der ersten Ereignisinformationen. Wie oben beschrieben, sind die Ereignisse der ersten Klasse Ereignisse, die auch in der Standardvorrichtung 20 aufgetreten sind. Darüber hinaus sind die Ereignisse der zweiten Klasse Ereignisse, die in der Standardvorrichtung 20 nicht aufgetreten sind.
-
Die erste Lerneinheit 2060 führt das Lernen des ersten Modells durch, wobei die zweiten Ereignisinformationen auf den als erste Klasse klassifizierten Ereignissen verwendet werden. Die zweite Lerneinheit 2080 führt das Lernen des zweiten Modells durch, wobei die zweiten Ereignisinformationen auf den als zweite Klasse klassifizierten Ereignissen verwendet werden.
-
<Hardware-Konfiguration der Informationsverarbeitungsvorrichtung 2000>
-
Die funktionalen Komponenteneinheiten der Informationsverarbeitungsvorrichtung 2000 können durch Hardware (z.B. fest verdrahtete elektronische Schaltungen o.ä.) zur Realisierung der funktionalen Komponenteneinheiten oder durch eine Kombination aus Hardware und Software (z.B. eine Kombination aus einer elektronischen Schaltung und einem Programm zur Steuerung der Schaltung) realisiert werden. Ein Fall, in dem die funktionalen Komponenten der Informationsverarbeitungsvorrichtung 2000 durch eine Kombination von Hardware und Software realisiert werden, wird im folgenden näher beschrieben.
-
3 ist ein Diagramm, das einen Computer 1000 zur Realisierung einer Informationsverarbeitungsvorrichtung 2000 zeigt. Der Computer 1000 kann ein beliebiger Computer sein. Zum Beispiel kann der Computer 1000 ein Personal Computer (PC), eine Servermaschine, ein Tablet-Terminal, ein Smartphone oder ähnliches sein. Der Computer 1000 kann ein dedizierter Computer zur Realisierung der Informationsverarbeitungsvorrichtung 2000 oder ein Computer für allgemeine Zwecke sein.
-
Der Computer 1000 umfasst einen Bus 1020, einen Prozessor 1040, einen Speicher 1060, eine Speichervorrichtung 1080, eine Ein-/Ausgabeschnittstelle 1100 und eine Netzwerkschnittstelle 1120. Der Bus 1020 ist ein Datenübertragungspfad zum gegenseitigen Senden/Empfangen von Daten zwischen dem Prozessor 1040, dem Speicher 1060, der Speichervorrichtung 1080, der Eingabe-/Ausgabeschnittstelle 1100 und der Netzwerkschnittstelle 1120. Es ist jedoch zu beachten, dass das Verfahren der gegenseitigen Verbindung zwischen dem Prozessor 1040 und dergleichen nicht auf die Busverbindung beschränkt ist. Der Prozessor 1040 ist ein Prozessor wie z.B. eine zentrale Recheneinheit (CPU), eine Grafikverarbeitungseinheit (GPU) oder ein FPGA (Field Programmable Gate Array). Der Speicher 1060 ist eine Hauptspeichervorrichtung das aus einem Direktzugriffsspeicher (RAM) oder ähnlichem besteht. Die Speichervorrichtung 1080 ist eine Zusatzspeichervorrichtung, die durch ein Festplattenlaufwerk, ein Solid-State-Laufwerk (SSD), eine Speicherkarte, einen Nur-Lese-Speicher (ROM) oder ähnliches realisiert wird. Es ist jedoch zu beachten, dass die Speichervorrichtung 1080 aus einem Stück Hardware, wie z.B. RAM, bestehen kann, ähnlich wie das Stück Hardware, das die Hauptspeichervorrichtung bildet.
-
Die Ein-/Ausgabeschnittstelle 1100 ist eine Schnittstelle zum Anschluss des Computers 1000 und der Ein-/Ausgabevorrichtung. Die Netzwerkschnittstelle 1120 ist eine Schnittstelle für den Anschluss des Computers 1000 an ein Kommunikationsnetzwerk. Dieses Kommunikationsnetzwerk ist z.B. ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetzwerk (WAN). Das Verfahren der Verbindung zwischen der Netzwerkschnittstelle 1120 und dem Kommunikationsnetzwerk kann eine drahtlose Verbindung oder eine drahtgebundene Verbindung sein.
-
Die Speichervorrichtung 1080 speichert Programmmodule zur Realisierung der funktionalen Komponenteneinheiten der Informationsverarbeitungsvorrichtung 2000. Der Prozessor 1040 liest diese Programmodule in den Speicher 1060 ein und realisiert damit die den Programmodulen entsprechenden Funktionen.
-
<Über die zu bestimmenden Zielvorrichtung 10>
-
Die zu bestimmende Zielvorrichtung kann ein beliebiger Computer wie ein PC, eine Servermaschine, ein Tablet-Terminal oder ein Smartphone sein. Es kann eine zu bestimmende Zielvorrichtung 10 oder eine Vielzahl von zu bestimmenden Vorrichtungen 10 sein.
-
Hier können das erste Modell und das zweite Modell von einer Vielzahl von zu bestimmenden Vorrichtungen 10 gemeinsam genutzt werden. In diesem Fall erfasst die Informationsverarbeitungsvorrichtung 2000 zweite Ereignisinformationen von jedem der Vielzahl der zu bestimmenden Vorrichtungen 10, die sich das erste Modell und das zweite Modell teilen.
-
<Über die Standardvorrichtung 20>
-
Die Standardvorrichtung 20 kann ein beliebiger Computer wie ein PC, eine Servermaschine, ein Tablet-Terminal oder ein Smartphone sein. Wie oben beschrieben, ist die Standardvorrichtung 20 ein Computer mit einer hohen Wahrscheinlichkeit, normal zu arbeiten.
-
Die Standardvorrichtung 20 ist z.B. ein Computer, auf dem ein Betriebssystem (OS) sauber installiert wurde und dessen Betrieb noch nicht aufgenommen wurde. Es ist jedoch zu beachten, dass es sich bei der Standardvorrichtung 20 nicht unbedingt um einen Computer handeln muss, dessen Betrieb noch nicht begonnen hat, sondern um einen Computer, der in einer Situation betrieben wird, in der die Wahrscheinlichkeit des Auftretens einer Fehlfunktion gering ist. Ein solcher Computer ist z.B. ein Computer, der in einer Situation mit einer geringen Wahrscheinlichkeit einer Malware-Infektion betrieben wird, wie z.B. ein Computer, dessen Verbindung zu einem Netzwerk im Vergleich zu den Computern für allgemeine Benutzer strenger eingeschränkt ist, und ein Computer, der von einem Sicherheitsexperten betrieben wird.
-
<Verarbeitungsfluss>
-
4 ist ein Flussdiagramm, das einen Verarbeitungsfluss veranschaulicht, der von einer Informationsverarbeitungsvorrichtung 2000 gemäß dem exemplarischen Ausführungsbeispiels 1 ausgeführt wird. Die Erfassungseinheit 2020 erfasst die ersten Ereignisinformationen (S 102). Die Erfassungseinheit 2020 erfasst die zweiteen Ereignisinformationen (S104). Die Erfassungseinheit 2040 klassifiziert jedes Ereignis, das durch die zweiten Ereignisinformationen angegeben wird, entweder als erste oder als zweite Klasse (S 106). Die erste Lerneinheit 2060 führt das Lernen des ersten Modells unter Verwendung der zweiten Ereignisinformationen auf die als erste Klasse klassifizierten Ereignisse durch (S108). Die zweite Lerneinheit 2080 führt das Lernen des zweiten Modells unter Verwendung der zweiten Ereignisinformationen auf die als zweite Klasse klassifizierten Ereignisse durch (S110).
-
Hier ist es vorzuziehen, dass das Lernen der Modelle anhand der Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 aufgetreten sind, während des Betriebs der zu bestimmenden Zielvorrichtung 10 wiederholt durchgeführt wird. So erfasst z.B. die Informationsverarbeitungsvorrichtung 2000 wiederholt zweite Ereignisinformationen, und jedes Mal, wenn die Informationsverarbeitungsvorrichtung 2000 zweite Ereignisinformationen erfasst, führt die Informationsverarbeitungsvorrichtung 2000 das Lernen der Modelle unter Verwendung der zweiten Ereignisinformationen (von S106 bis S110) durch.
-
<Über Ereignisse>
-
Wie oben beschrieben, ist ein Ereignis eine Aktion, die ein Prozess in Bezug auf ein beliebiges Objekt ausführt. Wenn ein Prozess eine Aktion in Bezug auf einen anderen Prozess als Objekt ausführt, können diese Prozesse auf demselben Betriebssystem (OS) oder auf voneinander verschiedenen Betriebssystemen arbeiten. Als Beispiel für den letzteren Fall ist es denkbar, dass ein Prozess die Kommunikation mit einem anderen Prozess ausführt, der auf einem anderen Betriebssystem arbeitet, z.B. durch Verwendung einer Socket-Schnittstelle.
-
Beispielsweise wird ein Ereignis durch Informationen identifiziert, die drei Elemente repräsentieren, nämlich Gegenstand, Objekt und Aktionsinhalte. Die Informationen, die den Gegenstand repräsentieren (im Folgenden als Gegenstandsinformationen bezeichnet), sind beispielsweise die Informationen, die den Prozess identifizieren, der das Ereignis verursacht hat. Im Folgenden wird die Information, die einen Prozess identifiziert, als
Prozess-Identifikationsinformation bezeichnet. Prozess-Identifikationsinformationen geben z.B. den Namen eines Prozesses an. Weitere Informationen zur Prozessidentifikation sind z.B. der Name oder Pfad einer ausführbaren Datei oder ähnliches.
-
Die Informationen, die ein Objekt repräsentieren (im Folgenden als Objektinformationen bezeichnet), sind z.B. der Typ und die Identifikationsinformationen des Objekts. Der Typ eines Objekts ist z.B. Prozess, Datei, andere Vorrichtungen oder ähnliches. Wenn es sich bei dem Objekt um einen Prozess handelt, umfassen die Objektinformationen die Prozess-Identifikationsinformationen des Prozesses.
-
Wenn es sich bei dem Objekt um eine Datei handelt, umfassen die Objektinformationen Informationen, die die Datei identifizieren (im Folgenden als Datei-Identifikationsinformationen). Datei-Identifikationsinformationen sind z.B. der Name oder Pfad der Datei. Wenn es sich bei dem Objekt um eine Datei handelt, können die Objektinformationen außerdem einen Hash-Wert der Datei umfassen.
-
Handelt es sich bei dem Objekt um eine andere Vorrichtung, umfassen die Objektinformationen z.B. Identifikationsinformationen der anderen Vorrichtung (im folgenden als Vorrichtungs-Identifikationsinformationen). Vorrichtungs-Identifikationsinformationen sind z.B. eine Netzwerkadresse wie eine IP-Adresse (Internet Protocol) oder eine MAC-Adresse (Media Access Control). Es ist zu beachten, dass die andere Vorrichtung hier nicht nur eine physische Vorrichtung, sondern auch eine virtuelle Vorrichtung (eine virtuelle Maschine oder Ähnliches) sein kann. Wenn es sich bei dem Objekt um eine andere Vorrichtung handelt, können die Objektinformationen zusätzlich zu oder anstelle der Vorrichtungs-Identifikationsinformationen außerdem die Anzahl der Objekte angeben (mit anderen Worten, die Anzahl der anderen Vorrichtungen, mit denen der Prozess als Gegenstand des Ereignisses Kommunikation durchgeführt hat).
-
Informationen, die Aktionsinhalte repräsentieren (im Folgenden als Inhaltsinformationen bezeichnet), sind z.B. eine von Kennungen, die im Voraus verschiedenen Aktionsinhalten zugewiesen werden. So werden z.B. verschiedenen Aktionsinhalten voneinander verschiedene Bezeichner zugewiesen, wie „einen Prozess starten“, „einen Prozess stoppen“, „eine Datei öffnen“, „Daten aus einer Datei lesen“, „Daten in eine Datei schreiben“, „einen Socket öffnen“, „Daten aus einem Socket lesen“, „Daten in einen Socket schreiben“ und dergleichen. Es ist zu beachten, dass ein Zugriff auf einen Socket einen Zugriff auf eine andere mit dem Socket verbundene Vorrichtung bedeutet.
-
5 ist ein Diagramm, das Informationen zur Definition eines Ereignisses in Tabellenform zeigt. Die Tabelle in 5 wird im Folgenden als die Tabelle 200 bezeichnet. Die Tabelle 200 umfasst Gegenstandsinformationen 202, Objektinformationen 204 und Inhaltsinformationen 206. Die Gegenstandsinformationen 202 umfassen Prozessnamen 208 und Pfade 210. Die Objektinformationen 204 umfassen die Typen 212 und Identifikationsinformationen 214.
-
<Über erste Ereignisinformationen>
-
Die ersten Ereignisinformationen sind die Informationen über ein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist. In Bezug auf jedes Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, geben die ersten Ereignisinformationen die oben beschriebenen Informationen (Gegenstandsinformationen, Objektinformationen und Inhaltsinformationen) an, die das Ereignis identifizieren.
-
Hier verursacht ein Prozess je nach Ausführungsumgebung, wie z.B. Typ und Version des Betriebssystems, auf unterschiedliche Weise ein Ereignis. Daher ist es vorzuziehen, erste Ereignisinformationen für jede Art von Ausführungsumgebung im Voraus bereitzustellen. Daher wird eine Vielzahl von Standardvorrichtungen 20 in verschiedenen Arten von Ausführungsumgebungen bereitgestellt, und die ersten Ereignisinformationen werden für jede der Standardvorrichtungen 20 im Voraus generiert. In einem solchen Fall umfassen die ersten Ereignisinformationen auch Informationen, die die Ausführungsumgebung repräsentieren (im Folgenden als Ausführungs-Umgebungsinformationen bezeichnet). Ausführungs-Umgebungsinformationen geben z.B. den Typ des Betriebssystems, die Versionsnummer, die Build-Nummer und die entsprechende CPU-Architektur an.
-
Die Erfassungseinheit 2020 erfasst vorzugsweise die ersten Ereignisinformationen, die für eine Standardvorrichtung 20 in derselben Ausführungsumgebung generiert werden, in der sich die zu bestimmende Zielvorrichtung 10 befindet. Es ist jedoch zu beachten, dass es denkbar ist, dass für eine Standardvorrichtung 20 in derselben Ausführungsumgebung, in der sich die zu bestimmende Zielvorrichtung 10 befindet, keine ersten Ereignisinformationen generiert werden. In einem solchen Fall erfasst die Erfassungseinheit 2020 z.B. die ersten Ereignisinformationen, die für eine Standardvorrichtung 20 in der Ausführungsumgebung erzeugt werden, die den größten Übereinstimmungsgrad mit der Ausführungsumgebung aufweist, in der sich die zu bestimmende Zielvorrichtung 10 befindet.
-
Der Übereinstimmungsgrad der Ausführungsumgebung wird z.B. als gewichteter Mittelwert der jeweiligen Übereinstimmungsgrade der in den Ausführungs-Umgebungsinformationen angegebenen Informationen (Typ und Version des Betriebssystems u.ä. wie oben beschrieben) berechnet. Der Übereinstimmungsgrad jedes Elements wird z.B. mit 1 bewertet, wenn die entsprechenden Informationen gleich sind, und mit 0, wenn sie nicht gleich sind. Was die Gewichtung anbelangt, so werden schwerere Gewichte den wichtigeren Elementen im Voraus zugewiesen. Da z.B. der Typ des Betriebssystems als wichtiger angesehen wird als die Version des Betriebssystems, wird dem Übereinstimmungsgrad des Typs des Betriebssystems ein höheres Gewicht zugewiesen als dem Übereinstimmungsgrad der Version des Betriebssystems.
-
<Über zweite Ereignisinformationen>
-
Die zweiten Ereignisinformationen sind Informationen über ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist. Die Form der zweiten Ereignisinformationen kann die gleiche sein wie die der ersten Ereignisinformationen. Beachten Sie jedoch, dass die ersten Ereignisinformationen und die zweiten Ereignisinformationen jeweils ein Ereignis identifizieren müssen, jedoch nicht in der gleichen Form vorliegen müssen.
-
<Erfassung der ersten Ereignisinformationen: S102>
-
Die Erfassungseinheit 2020 erfasst erste Ereignisinformationen (S102). Die Erfassungseinheit 2020 kann erste Ereignisinformationen auf verschiedene Weisen erfassen. Beispielsweise erfasst die Erfassungseinheit 2020 erste Ereignisinformationen von einer Speichervorrichtung, die die ersten Ereignisinformationen speichert. Diese Speichervorrichtung kann außerhalb der Informationsverarbeitungsvorrichtung 2000 (z.B. in der Standardvorrichtung 20) oder innerhalb der Informationsverarbeitungsvorrichtung 2000 bereitgestellt werden. Darüber hinaus kann die Erfassungseinheit 2020 beispielsweise erste Ereignisinformationen empfangen, die von einer anderen Vorrichtung (z.B. der Standardvorrichtung 20) übertragen werden.
-
<Erfassung der zweiten Ereignisinformationen: S104>
-
Die Erfassungseinheit 2020 erfasst zweite Ereignisinformationen (S104). Beispielsweise erfasst die Erfassungseinheit 2020 zweite Ereignisinformationen von einer Speichervorrichtung, das die zweiten Ereignisinformationen speichert. Diese Speichervorrichtung kann außerhalb der Informationsverarbeitungsvorrichtung 2000 (z.B. die zu bestimmende Zielvorrichtung 10) oder innerhalb der Informationsverarbeitungsvorrichtung 2000 bereitgestellt werden. Ferner kann die Erfassungseinheit 2020 z.B. zweite Ereignisinformationen empfangen, die von einer anderen Vorrichtung (z.B. der zu bestimmenden Zielvorrichtung 10) übertragen werden.
-
Klassifizierung der Ereignisse: S106>
-
Unter Verwendung der ersten Ereignisinformationen klassifiziert die Klassifizierungseinheit 2040 die durch die zweiten Ereignisinformationen angegebenen Ereignisse als erste Klasse oder als zweite Klasse (S 106). Dabei geben die ersten Ereignisinformationen Informationen zu den Ereignissen an, die in der Standardvorrichtung 20 aufgetreten sind. Durch Vergleich jedes durch die zweiten Ereignisinformationen angezeigten Ereignisses mit den durch die ersten Ereignisinformationen angezeigten Ereignissen bestimmt die Klassifizierungseinheit 2040 also, ob das durch die zweiten Ereignisinformationen angezeigte Ereignis mit einem der in der Standardvorrichtung 20 aufgetretenen Ereignisse identisch ist. Die Klassifizierungseinheit 2040 klassifiziert als erste Klasse ein Ereignis, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als dasselbe Ereignis wie eines der Ereignisse bestimmt wurde, die in der Standardvorrichtung 20 aufgetreten sind. Dagegen klassifiziert die Klassifizierungseinheit 2040 ein Ereignis als zweite Klasse, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als nicht identisch mit einem der in der Standardvorrichtung 20 aufgetretenen Ereignisse bestimmt wurde.
-
«Über den Vergleich von Ereignissen»
-
Das Verfahren zur Bestimmung, ob ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist, dasselbe ist wie ein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, wird beschrieben. Wie oben beschrieben, kann ein Ereignis mit drei Elementen identifiziert werden, d.h. Gegenstand, Objekt und Aktionsinhalt. Daher vergleicht die Klassifizierungseinheit 2040 ein Ereignis, das in der zu bestimmenden Zielvorrichtung 10 auftrat, mit einem Ereignis, das in der Standardvorrichtung 20 in Bezug auf diese drei Elemente auftrat, und bestimmt so, ob die Ereignisse einander gleich sind. Die Klassifizierungseinheit 2040 stellt fest, dass die zu vergleichenden Ereignisse gleich sind, wenn diese Ereignisse in Bezug auf alle diese drei Elemente gleich sind. Im Gegensatz dazu bestimmt die Klassifizierungseinheit 2040, dass die zu vergleichenden Ereignisse nicht gleich sind, wenn diese Ereignisse in Bezug auf eines oder mehrere der Elemente nicht gleich sind.
-
««Über die Gleichheit der Gegenstände »»
-
Die Klassifizierungseinheit 2040 vergleicht die Gegenstandsinformationen zu dem durch die ersten Ereignisinformationen angegebenen Ereignis mit den Gegenstandsinformationen zu dem durch die zweiten Ereignisinformationen angegebenen Ereignis. Hier wird, wie oben beschrieben, der Gegenstand eines Ereignisses durch den Prozessnamen, den Namen einer ausführbaren Datei, den Pfad einer ausführbaren Datei oder ähnliches des Prozesses angegeben, der das Ereignis verursacht hat. Ob diese Informationen gleich sind oder nicht, kann z.B. mit Hilfe eines Algorithmus zur Bestimmung der Ähnlichkeit von Zeichenketten ermittelt werden.
-
Wenn z.B. die jeweiligen Gegenstandsinformationen dieser Ergeignisse gleich sind, bestimmt die Klassifizierungseinheit 2040, dass die Gegenstände dieser Ereignisse gleich sind. Im Gegensatz dazu stellt die Klassifizierungseinheit 2040 fest, dass die Gegenstände dieser Ereignisse nicht die gleichen sind, wenn die jeweiligen Gegenstandsinformationen dieser Ereignisse nicht die gleichen sind.
-
Es ist jedoch zu beachten, dass die Gegenstandsinformationen für im Wesentlichen die gleichen Ereignisse voneinander abweichen können. Beispielsweise können die zu bestimmende Zielvorrichtung 10 und die Standardvorrichtung 20 unterschiedliche Pfade für ausführbare Dateien mit gleichem Inhalt haben. Genauer gesagt kann der Pfad für die ausführbare Datei „fileA.exe“ auf der zu bestimmenden Zielvorrichtung 10 „C:¥dirl¥fileA.exe“ lauten, während er auf der Standardvorrichtung 20 „D:¥dir2¥fileA.exe“ lauten kann. Somit kann die Klassifizierungseinheit 2040 die Gleichheit der Ereignisse feststellen, indem sie nur die Dateinamen vergleicht, die in den Pfaden der ausführbaren Dateien enthalten sind, wenn die Gegenstandsinformationen z.B. Pfade von ausführbaren Dateien angeben.
-
««Über die Gleichheit der Objekte »»
-
Die Klassifizierungseinheit 2040 vergleicht die Objektinformationen zu dem durch die ersten Ereignisinformationen angegebenen Ereignis mit den Objektinformationen zu dem durch die zweiten Ereignisinformationen angegebenen Ereignis. Wenn die jeweiligen Objektinformationen dieser Ereignisse gleich sind, stellt die Klassifizierungseinheit 2040 fest, dass die Objekte dieser Ereignisse gleich sind. Im Gegensatz dazu stellt die Klassifizierungseinheit 2040 fest, dass die Objekte dieser Ereignisse nicht gleich sind, wenn die jeweiligen Objektinformationen dieser Ereignisse nicht gleich sind. Es ist jedoch zu beachten, dass die Klassifizierungseinheit 2040 möglicherweise nur die Dateinamen vergleicht, wenn die Objektinformationen Pfade von ausführbaren Dateien wie oben beschrieben angeben.
-
««Über die Gleichheit der Aktionsinhalte »»
-
Die Klassifizierungseinheit 2040 vergleicht die Inhaltsinformationen zu dem durch die ersten Ereignisinformationen angegebenen Ereignis mit den Inhaltsinformationen zu dem durch die zweiten Ereignisinformationen angegebenen Ereignis. Wenn die jeweiligen Inhaltsinformationen dieser Ereignisse gleich sind, stellt die Klassifizierungseinheit 2040 fest, dass die Aktionsinhalte dieser Ereignisse gleich sind. Wenn die jeweiligen Inhaltsinformationen dieser Ereignisse nicht gleich sind, stellt die Klassifizierungseinheit 2040 dagegen fest, dass die Aktionsinhalte dieser Ereignisse nicht gleich sind.
-
<Beschreibung der Modelle>>
-
Das erste Modell und das zweite Modell werden beschrieben. Zum Beispiel umfasst das erste Modell (1) eine Punktzahl, die auf der Anzahl des Auftretens oder der Häufigkeit des Auftretens jedes als erste Klasse klassifizierten Ereignisses basiert, und (2) einen ersten Schwellenwert. Hier wird für jedes Ereignis eine Punktzahl vergeben. Die Bestimmung, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist, erfolgt durch den Vergleich der Punktzahl des Ereignisses mit dem ersten Schwellenwert. Wenn die Punktzahl des zu bestimmenden Zielereignisses nicht größer als der erste Schwellenwert ist, bestimmt das erste Modell, dass das Ereignis ein Warnziel ist. Wenn dagegen die Punktzahl des zu bestimmenden Zielereignisses größer als der erste Schwellenwert ist, bestimmt das erste Modell, dass das Ereignis kein Warnziel ist.
-
In ähnlicher Weise umfasst das zweite Modell (1) eine Punktzahl, die auf der Anzahl des Auftretens oder der Häufigkeit des Auftretens jedes als zweite Klasse klassifizierten Ereignisses basiert, und (2) einen zweiten Schwellenwert. Auch hier wird für jedes Ereignis eine Punktzahl vergeben. Die Bestimmung, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist, erfolgt durch den Vergleich der Punktzahl des Ereignisses mit dem zweiten Schwellenwert. Wenn die Punktzahl des zu bestimmenden Zielereignisses nicht größer als der zweite Schwellenwert ist, bestimmt das zweite Modell, dass das Ereignis ein Ziel für eine Warnung ist. Wenn dagegen die Punktzahl des zu bestimmenden Zielereignisses größer als der zweite Schwellenwert ist, bestimmt das zweite Modell, dass das Ereignis kein Ziel für eine Warnung ist.
-
Es wird hier angenommen, dass die Punktzahl eines Ereignisses entsprechend der Anzahl des Auftretens des Ereignisses angegeben wird. In diesem Fall ist im ersten Modell und im zweiten Modell ein Ereignis mit einer höheren Punktzahl zu bewerten, wenn die Anzahl des Auftretens des Ereignisses größer ist. Zum Beispiel wird die Anzahl des Auftretens des Ereignisses selbst als Punktzahl des Ereignisses verwendet. Ferner kann z.B. die Anzahl des Auftretens des Ereignisses in eine nach eigenem Ermessen gewählte monoton nicht-fallende Funktion eingegeben werden, und die Ausgabe kann als Punktzahl des Ereignisses verwendet werden. Diese Funktion wird im Voraus in einer Speichervorrichtung gespeichert, auf die von der ersten Lerneinheit 2060 aus zugegriffen werden kann.
-
Andererseits wird davon ausgegangen, dass die Punktzahl eines Ereignisses nach der Häufigkeit des Auftretens des Ereignisses angegeben wird. In diesem Fall wird im ersten Modell und im zweiten Modell ein Ereignis mit einer höheren Punktzahl bewertet, wenn die Häufigkeit des Auftretens des Ereignisses höher ist. Zum Beispiel wird die Häufigkeit des Ereignisses selbst als Punktzahl des Ereignisses verwendet. Ferner kann z.B. die Häufigkeit des Auftretens des Ereignisses in eine willkürlich gewählte monoton nicht-fallende Funktion eingegeben werden, und die Ausgabe kann als Punktzahl des Ereignisses verwendet werden. Diese Funktion wird im Voraus in einer Speichervorrichtung gespeichert, auf die von der ersten Lerneinheit 2060 aus zugegriffen werden kann.
-
Mit Hilfe der oben beschriebenen Modelle kann ein Ereignis mit einer geringen Anzahl von Auftritten oder ein Ereignis mit einer geringen Häufigkeit von Auftritten als Ziel für eine Warnung behandelt werden.
-
<Lernen des ersten Modells: S108>
-
Die erste Lerneinheit 2060 führt das Lernen des ersten Modells (S108) durch. Konkret erhöht die erste Lerneinheit 2060 die Punktzahl, die das erste Modell für jedes Ereignis angibt, das zu den Ereignissen gehört, die durch die zweiten Ereignisinformationen angegeben werden und als erste Klasse klassifiziert wurde.
-
Nehmen Sie hier an, dass die Anzahl des Auftretens eines Ereignisses als Punktzahl des Ereignisses verwendet wird. In diesem Fall berechnet z.B. die erste Lerneinheit 2060 für jedes Ereignis, das zu den Ereignissen gehört, die durch die zweiten Ereignisinformationen angegeben werden und als erste Klasse klassifiziert ist, die Punktzahl auf der Grundlage der Anzahl des Auftretens des Ereignisses und führt das Lernen des ersten Modells durch, um die berechnete Punktzahl anzugeben. Hier wird die Anzahl des Auftretens jedes Ereignisses in einer Speichervorrichtung gespeichert.
-
Weiterhin wird angenommen, dass die Häufigkeit des Auftretens eines Ereignisses als Punktzahl des Ereignisses verwendet wird. In diesem Fall berechnet z.B. die erste Lerneinheit 2060 für jedes Ereignis, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als erste Klasse klassifiziert wird, die Häufigkeit des Ereignisses. Anhand der Punktzahl, die auf der Häufigkeit des Auftretens der für jedes Ereignis berechneten Ereignisse basiert, aktualisiert die erste Lerneinheit 2060 dann die Punktzahl des Ereignisses.
-
Es ist zu beachten, dass die Häufigkeit des Auftretens eines Ereignisses die Häufigkeit des Auftretens während des gesamten Zeitraums seit der Inbetriebnahme der zu bestimmenden Zielvorrichtung 10 oder die Häufigkeit des Auftretens während eines Teils des Zeitraums sein kann. Im letzteren Fall berechnet z.B. die erste Lerneinheit 2060 für jedes Ereignis, das zu den durch die zweiten Ereignisinformationen angegebenen Ereignissen gehört und als erste Klasse klassifiziert ist, die Häufigkeit des Auftretens des Ereignisses, indem sie die Anzahl des Auftretens während der vorbestimmten letzten Periode durch die Länge der vorbestimmten Periode dividiert. Es ist zu beachten, dass die Anzahl des Auftretens des Ereignisses während der vorbestimmten letzten Periode identifiziert werden kann, indem das Datum und die Uhrzeit des Auftretens jedes Ereignisses in einer Speichervorrichtung gespeichert werden.
-
<Lernen des zweiten Modells: S110>
-
Die zweite Lerneinheit 2080 führt das Lernen des zweiten Modells (S110) durch. Konkret erhöht die zweite Lerneinheit 2080 die Punktzahl im zweiten Modell für jedes Ereignis, das zu den Ereignissen gehört, die durch die zweiten Ereignisinformationen angegeben und als zweite Klasse klassifiziert wurden. Es ist zu beachten, dass die Methode zur Aktualisierung der Punktzahl dieselbe ist wie für das erste Modell.
-
<Unterschied zwischen dem ersten Modell und dem zweiten Modell>
-
Das erste Modell und das zweite Modell ähneln sich insofern, als dass sie beide dazu dienen, zu bestimmen, ob ein zu bestimmendes Zielereignis ein Ziel für eine Warnung ist. Andererseits unterscheidet sich das erste Modell insofern vom zweiten Modell, als dass das erste Modell bei einer Bestimmung für die als erste Klasse klassifizierten Ereignisse verwendet wird, während das zweite Modell bei einer Bestimmung für die als zweite Klasse klassifizierten Ereignisse verwendet wird.
-
Hier wird, wie oben beschrieben, ein Ereignis der ersten Klasse wahrscheinlich ein normales Ereignis sein. Somit ist ein Ereignis der ersten Klasse wahrscheinlicher ein Ereignis, das nicht als Warnziel behandelt werden muss, als ein Ereignis der zweiten Klasse. Daher ist es vorzuziehen, das erste Modell und das zweite Modell so zu konstruieren, dass ein Ereignis der ersten Klasse mit geringerer Wahrscheinlichkeit als ein Ereignis der zweiten Klasse als Warnziel behandelt wird. Im Folgenden werden zwei Methoden beschrieben, um die Modelle auf diese Weise zu konstruieren.
-
«Erstes Verfahren»
-
Der erste Schwellenwert, der im ersten Modell als Bestimmungskriterium verwendet wird, ist auf einen kleineren Wert festgelegt als der zweite Schwellenwert, der im zweiten Modell als Bestimmungskriterium verwendet wird. Beispielsweise angenommen, dass der erste Schwellenwert im ersten Modell Th1 und der zweite Schwellenwert im zweiten Modell Th2 ist. In diesem Fall werden Th1 und Th2 so gewählt, dass Th1 < Th2. Auf diese Weise wird ein Ereignis mit einer Punktzahl, die nicht größer als Th1 ist, als ein Warnziel behandelt, unabhängig davon, ob das Ereignis als erste oder zweite Klasse klassifiziert wird. Andererseits wird ein Ereignis mit einer Punktzahl, die größer als Th1 und nicht größer als Th2 ist, nicht als Ziel für eine Warnung behandelt, wenn es als erste Klasse klassifiziert wird, aber wird als Ziel für eine Warnung behandelt, wenn es als zweite Klasse klassifiziert wird. Daraus folgt, dass ein Ereignis der ersten Klasse mit geringerer Wahrscheinlichkeit als ein Ereignis der zweiten Klasse als Ziel für eine Warnung behandelt wird.
-
In diesem Fall können der erste Schwellenwert und der zweite Schwellenwert auf einen beliebigen Wert eingestellt werden, unter der Bedingung, dass der erste Schwellenwert kleiner als der zweite Schwellenwert ist. Diese Schwellenwerte werden im Voraus in einer Speichervorrichtung gespeichert, auf die über die Informationsverarbeitungsvorrichtung 2000 zugegriffen werden kann.
-
«Zweites Verfahren»
-
Durch die Einführung eines Unterschieds zwischen den Lerngraden im ersten Modell und im zweiten Modell wird sichergestellt, dass ein Ereignis der ersten Klasse mit geringerer Wahrscheinlichkeit als Ziel für eine Warnung behandelt wird als ein Ereignis der zweiten Klasse. Insbesondere wird die Punktzahl eines Ereignisses der ersten Klasse beim Lernen des ersten Modells um einen größeren Betrag erhöht als die Punktzahl eines Ereignisses der zweiten Klasse beim zweiten Modell. Beispielsweise werden die Punktwerte im ersten Modell und im zweiten Modell jeweils wie folgt definiert.
-
[Equation 1]
-
-
S1i repräsentiert die Punktzahl eines Ereignisses i der ersten Klasse und ni repräsentiert die Anzahl des Auftretens des Ereignisses i. S2j repräsentiert die Punktzahl eines Ereignisses j der zweiten Klasse und nj repräsentiert die Anzahl des Auftretens des Ereignisses j. α und β sind positive reelle Zahlen. f(ni) ist eine Funktion zur Umwandlung der Anzahl des Auftretens ni des Ereignisses i der ersten Klasse in die Punktzahl S1i und g(nj) ist eine Funktion zur Umwandlung der Anzahl des Auftretens nj des Ereignisses j der zweiten Klasse in die Punktzahl S2j. Beides sind oben beschriebene monoton nicht-fallende Funktionen.
-
In der obigen Gleichung (1) ist die Punktzahl eines Ereignisses der ersten Klasse ein Wert, der durch Multiplikation der Anzahl des Auftretens des Ereignisses mit α berechnet wird. Die Punktzahl eines Ereignisses der ersten Klasse erhöht sich also um α, wenn die Anzahl des Auftretens um 1 steigt. Andererseits ist die Punktzahl eines Ereignisses der zweiten Klasse ein Wert, der durch Multiplikation der Anzahl des Auftretens des Ereignisses mit β berechnet wird. So erhöht sich die Punktzahl eines Ereignisses der zweiten Klasse um β, wenn die Anzahl des Auftretens um 1 zunimmt. Da α>β, erhöht sich die Punktzahl eines Ereignisses der ersten Klasse um einen größeren Betrag als die Punktzahl eines Ereignisses der zweiten Klasse.
-
Es sei darauf hingewiesen, dass die auf der Grundlage der Häufigkeit des Auftretens berechneten Punktzahlen definiert werden können, indem die Anzahl des Auftretens durch die Häufigkeit des Auftretens in der Gleichung (1) ersetzt wird.
-
In einem Fall, in dem auf diese Weise ein Unterschied zwischen den Lerngraden im ersten Modell und im zweiten Modell eingeführt wird, können der erste Schwellenwert und der zweite Schwellenwert derselbe Wert sein. Beachten Sie jedoch, dass auch in diesem Fall der erste Schwellenwert auf einen kleineren Wert als der zweite Schwellenwert gesetzt werden kann.
-
>Über das Generieren der Modelle>
-
Das erste Modell und das zweite Modell können im Voraus generiert und in einer Speichervorrichtung gespeichert werden oder durch die Informationsverarbeitungsvorrichtung 2000 generiert werden. Im letzteren Fall erzeugt z.B. die erste Lerneinheit 2060 das erste Modell, wenn das erste Modell zum Zeitpunkt der Ausführung des Lernens des ersten Modells noch nicht erzeugt worden ist (wenn das erste Modell nicht in einer Speichervorrichtung gespeichert worden ist). In ähnlicher Weise generiert z.B. die zweite Lerneinheit 2080 das zweite Modell, wenn das zweite Modell zum Zeitpunkt der Ausführung des Lernens des zweiten Modells noch nicht generiert wurde (wenn das zweite Modell nicht in einer Speichervorrichtung gespeichert wurde).
-
[Exemplarisches Ausführungsbeispiel 2]
-
Eine funktionelle Konfiguration der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 2 ist in 2 dargestellt, ähnlich wie die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 1. Mit Ausnahme der nachfolgend beschriebenen Sachverhalte hat die Informationsverarbeitungsvorrichtung 2000 nach der dem exemplarischen Ausführungsbeispiel 2 dieselben Funktionen wie die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 1.
-
Nach dem vorliegenden exemplarischen Ausführungsbeispiel wird das erste Modell im Voraus auf der Grundlage von Ereignissen generiert, die in der Standardvorrichtung 20 aufgetreten sind. Die erste Lerneinheit 2060 führt das Lernen dieses ersten Modells durch. Dazu erfasst die Erfassungseinheit 2020 nach dem exemplarischen Ausführungsbeispiel 2 das erste Modell. Dann führt die erste Lerneinheit 2060 nach dem exemplarischen Ausführungsbeispiel 2 das Lernen des erfassten ersten Modells durch.
-
Es ist zu beachten, dass das erste Modell auf der Grundlage von Ereignissen, die in der Standardvorrichtung 20 aufgetreten sind, nach demselben Verfahren generiert wird wie das Verfahren, mit dem die erste Lerneinheit 2060 das erste Modell im exemplarischen Ausführungsbeispiel 1 generiert. Beispielsweise wird das erste Modell unter Verwendung der oben beschriebenen Gleichung (1) generiert.
-
Es ist zu beachten, dass das erste Modell in der Informationsverarbeitungsvorrichtung 2000 erzeugt werden kann oder in einer anderen Vorrichtung als der Informationsverarbeitungsvorrichtung 2000 erzeugt werden kann. Wenn die Informationsverarbeitungsvorrichtung 2000 das erste Modell erzeugt, erfasst die Informationsverarbeitungsvorrichtung 2000 Informationen, die Ereignisse darstellen, die in der Standardvorrichtung 20 aufgetreten sind, wie die in 5 dargestellte Tabelle 200, und erzeugt das erste Modell unter Verwendung dieser Informationen.
-
<Vorteilhafte Auswirkungen>
-
Nach der Informationsverarbeitungsvorrichtung 2000 gemäß dem vorliegenden exemplarischen Ausführungsbeispiel wird der Betrieb der Informationsverarbeitungsvorrichtung 2000 begonnen, nachdem das erste Modell bis zu einem gewissen Grad unter Verwendung der Ereignisse, die in der Standardvorrichtung 20 aufgetreten sind, gelernt wurde. Dadurch ist es möglich, eine genaue Bestimmung in Bezug auf die Ereignisse der ersten Klasse in einem frühen Stadium vorzunehmen, im Vergleich zu dem Fall, in dem das erste Modell nicht im Voraus gelernt wurde. Da ferner die Informationen über die Ereignisse, die in der Standardvorrichtung 20 aufgetreten sind, nicht nur zur Klassifizierung der Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 aufgetreten sind, sondern auch zum Lernen des ersten Modells verwendet werden können, wird die Standardvorrichtung 20 effektiver genutzt.
-
<Beispiel einer Hardware-Konfiguration>
-
Eine Hardwarekonfiguration eines Rechners zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 2 kann z.B. durch 3, ähnlich dem exemplarischen Ausführungsbeispiel 1, veranschaulicht werden. Beachten Sie jedoch, dass die Speichervorrichtung 1080 des Rechners 1000 zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel weiterhin Programmmodule zur Realisierung der Funktionen der Informationsverarbeitungsvorrichtung 2000 entsprechend dem vorliegenden exemplarischen Ausführungsbeispiel speichert.
-
[Exemplarisches Ausführungsbeispiel 3]
-
6 ist ein Blockdiagramm, das eine funktionelle Konfiguration der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 zeigt. Mit Ausnahme der nachfolgend beschriebenen Sachverhalte hat die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 dieselben Funktionen wie die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 1 oder 2.
-
Die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 erfasst Informationen über ein zu bestimmendes Zielereignis und bestimmt, ob das zu bestimmende Zielereignis ein Warnziel ist. Wenn das zu bestimmende Zielereignis ein Warnziel ist, gibt die Informationsverarbeitungsvorrichtung 2000 gemäß dem exemplarischen Ausführungsbeispiel 3 einen vorbestimmte Warnhinweis aus.
-
Zu diesem Zweck umfasst die Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 eine Bestimmungseinheit 2120 und eine Warneinheit 2140. Ferner erfasst die Erfassungseinheit 2020 nach dem exemplarischen Ausführungsbeispiel 3 Informationen über das zu bestimmende Zielereignis. Die Klassifizierungseinheit 2040 bestimmt anhand der ersten Ereignisinformationen, ob das zu bestimmende Zielereignis in die erste Klasse oder in die zweite Klasse klassifiziert werden soll. Insbesondere dann, wenn das zu bestimmende Zielereignis dasselbe ist wie ein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, wird das zu bestimmende Zielereignis in die erste Klasse klassifiziert, und wenn das zu bestimmende Zielereignis nicht dasselbe ist wie irgendein Ereignis, das in der Standardvorrichtung 20 aufgetreten ist, wird das zu bestimmende Zielereignis in die zweite Klasse klassifiziert.
-
Wenn das zu bestimmende Zielereignis als erste Klasse klassifiziert wird, bestimmt die Bestimmungseinheit 2120 anhand des ersten Modells, ob das zu bestimmende Zielereignis ein Warnzielereignis ist. Ferner bestimmt die Bestimmungseinheit 2120, wenn das zu bestimmende Zielereignis als zweite Klasse klassifiziert wird, mit Hilfe des zweiten Modells, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist. Es ist zu beachten, dass das Verfahren zur Bestimmung unter Verwendung des ersten Modells, ob das Ereignis der ersten Klasse ein Ziel für eine Warnung ist, und das Verfahren zur Bestimmung unter Verwendung des zweiten Modells, ob das Ereignis der zweiten Klasse ein Ziel für eine Warnung ist, wie in Bezug auf das exemplarische Ausführungsbeispiel 1 beschrieben ist.
-
Die Warneinheit 2140 gibt einen vorbestimmte Warnhinweis aus, wenn festgestellt wurde, dass das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist.
-
<Vorteilhafte Auswirkungen>
-
Die Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel führt eine Klassifizierung durch, ob das zu bestimmende Zielereignis ein Ereignis ist, das auch in der Standardvorrichtung 20 oder anderweitig aufgetreten ist, und bestimmt anhand eines Modells gemäß der Klassifizierung, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist. Dadurch ist es möglich, im Vergleich zu einem Fall, in dem eine solche Klassifizierung nicht berücksichtigt wird, genau zu bestimmen, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist. Da ferner ein Warnhinweis ausgegeben wird, wenn festgestellt wird, dass das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist, kann der Administrator oder dergleichen der zu bestimmenden Zielvorrichtung 10 erkennen, dass eine Anomalie in der zu bestimmenden Zielvorrichtung 10 vorliegen kann.
-
<Beispiel einer Hardware-Konfiguration>
-
Eine Hardwarekonfiguration eines Rechners zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem exemplarischen Ausführungsbeispiel 3 lässt sich, ähnlich wie beim exemplarischen Ausführungsbeispiel 1, durch 3 veranschaulichen. Es ist jedoch zu beachten, dass die Speichereinrichtung 1080 des Rechners 1000 zur Realisierung der Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel weitere Programmodule zur Realisierung der Funktionen der Informationsverarbeitungsvorrichtung 2000 nach dem vorliegenden exemplarischen Ausführungsbeispiel speichert.
-
<Verarbeitungsfluss>>
-
7 ist ein Flussdiagramm, das einen Verarbeitungsfluss veranschaulicht, der durch die Informationsverarbeitungsvorrichtung 2000 gemäß dem exemplarischen Ausführungsbeispiel 3 ausgeführt wird. Die Erfassungseinheit 2020 erfasst die ersten Ereignisinformationen (S201). Die Erfassungseinheit 2020 erfasst Informationen über das zu bestimmende Zielereignis (S202). Die Klassifizierungseinheit 2040 bestimmt, ob das zu bestimmende Zielereignis in die erste Klasse oder in die zweite Klasse klassifiziert wird (S204). Wenn das zu bestimmende Zielereignis in die erste Klasse klassifiziert wird (S204: ERSTE KLASSE), bestimmt die Bestimmungseinheit 2120 anhand des ersten Modells, ob das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist (S206). Wenn das zu bestimmende Zielereignis ein Warnzielereignis ist (S206: WARNZIEL), gibt die Bestimmungseinheit 2140 einen Warnhinweis aus (S208). Wenn das zu bestimmende Zielereignis kein Warnziel ist (S206: KEIN WARNZIEL), endet die Verarbeitung von 7.
-
Wenn das zu bestimmende Zielereignis als zweite Klasse klassifiziert ist (S204: ZWEITE KLASSE), bestimmt die Bestimmungseinheit 2120 anhand des zweiten Modells, ob das zu bestimmende Zielereignis ein Ziel für eine Warnung ist (S210). Wenn das zu bestimmende Zielereignis ein Zielereignis für eine Warnung ist (S210: JA), gibt die Warneinheit 2140 einen Warnhinweis aus (S208). Wenn das zu bestimmende Zielereignis kein Ziel für eine Warnung ist (S210: NEIN), wird die Verarbeitung von 7 beendet.
-
<Über Warnung>
-
Bei dem von der Warneinheit 2140 ausgegebenen Warnhinweis kann es sich um verschiedene Informationen handeln. Bei dem Warnhinweis kann es sich beispielsweise um eine Zeichenfolge, ein Bild oder einen Ton handeln, die bzw. der das Eintreten Warnzielereignisses meldet. Es ist zu beachten, dass der Warnhinweis vorzugsweise Informationen zur Identifizierung des zu bestimmenden Zielereignisses enthält, das als Ziel für eine Warnung festgelegt wurde (Gegenstandsformationen, Objektinformationen und Inhaltsinformationen).
-
Der Warnhinweis kann an verschiedene Ausgabeziele ausgegeben werden. Beispielsweise wird der Warnhinweis an einen vom Administrator genutzten Computer o.ä. der zu bestimmenden Zielvorrichtung 10 ausgegeben. Bei diesem Computer kann es sich um einen stationären Computer (einen Desktop-PC o.ä.) oder um einen tragbaren Computer (ein mobiles Terminal o.ä.) handeln. Ferner können die Warnhinweise an den Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 übertragen werden. In diesem Fall werden die Warnhinweise an den Administrator o.ä. der zu bestimmenden Zielvorrichtung z.B. per E-Mail o.ä. übermittelt.
-
Darüber hinaus können z.B. Warnhinweise in einer Speichervorrichtung gespeichert werden, auf die von dem vom Administrator benutzten Computer o.ä. der zu bestimmenden Zielvorrichtung 10 aus zugegriffen werden kann. Genauer gesagt ist diese Speichervorrichtung mit einer Protokolldatei versehen, in der Informationen zu einem Warnzielereigni gespeichert werden, wenn ein solches Ereignis eintritt. Wenn ein zu bestimmendes Zielereignis als Ziel für eine Warnung bestimmt worden ist, fügt die Warneinheit 2140 dieser Protokolldatei Informationen über das zu bestimmende Zielereignis hinzu. Durch Bezugnahme auf diese Protokolldatei kann der vom Administrator o.ä. verwendete Computer der zu bestimmenden Zielvorrichtung 10 die Informationen über das Zielereignis für eine Warnung erfassen, das in der zu bestimmenden Zielvorrichtung 10 aufgetreten ist.
-
<Über das zu bestimmenden Zielereignis>
-
Die zu bestimmenden Zielereignisse können die gleichen oder andere als die für das Lernen der Modelle verwendeten Ereignisse sein. Im ersten Fall bestimmt die Informationsverarbeitungsvorrichtung 2000 in Bezug auf ein Ereignis, das durch die zweiten Ereignisinformationen angezeigt wird, nicht nur, ob das Ereignis ein Ziel für eine Warnung ist, sondern führt auch das Lernen der Modelle unter Verwendung des Ereignisses durch. Daher können in einem frühen Stadium des Lernens der Modelle über die zu bestimmende Zielvorrichtung 10 viele Ereignisse, die durch die zweiten Ereignisinformationen angezeigt werden, als Ziele für eine Warnung bestimmt werden. Im Laufe des weiteren Betriebs der zu bestimmenden Zielvorrichtung 10 schreitet jedoch das Lernen der Modelle voran, und die Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 häufig vorkommen, werden mit geringerer Wahrscheinlichkeit als Ziel für eine Warnung bestimmt werden. Auf der anderen Seite werden die Ereignisse, die in der zu bestimmenden Zielvorrichtung 10 selten vorkommen, weiterhin als Ziele für eine Warnung bestimmt. Wie oben beschrieben, ist es durch die Verwendung der zu bestimmenden Zielereignisse auch für das Lernen der Modelle möglich, die Modelle während des Betriebs der zu bestimmenden Zielvorrichtung 10 auszureifen.
-
Es ist zu beachten, dass bei Verwendung der zu bestimmenden Zielereignisse für das Lernen der Modelle zunächst die Bestimmung durch die Bestimmungseinheit 2120 oder das Lernen der Modelle durchgeführt werden kann.
-
Wenn die zu bestimmenden Zielereignisse auch für das Lernen der Modelle verwendet werden, können hier, wie oben beschrieben, viele Ereignisse als Warnziel in einem frühen Stadium nach Beginn des Betriebs der zu bestimmenden Zielvorrichtung 10 bestimmt werden. So kann eine Anordnung getroffen werden, um erst dann einen Warnhinweis auszugeben, wenn eine vorbestimmte Bedingung, wie z.B. der Ablauf einer vorbestimmten Zeitspanne nach Beginn des Betriebs der zu bestimmenden Zielvorrichtung 10, erfüllt ist. Eines der Verfahren zur Verhinderung der Ausgabe eines Warnhinweis durch die Informationsverarbeitungsvorrichtung 2000 besteht darin, die Warneinheit 2140 am Betrieb zu hindern, bis die oben beschriebene vorbestimmte Bedingung erfüllt ist. Ein anderes Verfahren besteht darin, die Warneinheit 2140 so zu konfigurieren, dass sie „einen Warnhinweis nur dann ausgibt, wenn das zu bestimmende Zielereignis als Ziel für eine Warnung bestimmt worden ist und die oben beschriebene vorbestimmte Bedingung erfüllt ist“.
-
Ferner kann das Verfahren zur Ausgabe eines Warnhinweises geändert werden, je nachdem, ob die oben beschriebene vorgegebene Bedingung erfüllt ist. Wenn beispielsweise die vorgegebene Bedingung erfüllt ist, wird der Warnhinweis in einer Form ausgegeben, die der Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 umgehend erkennen kann. Wenn z.B. das zu bestimmende Zielereignis als Ziel für eine Warnung bestimmt worden ist, sendet die Warneinheit 2140 einen Warnhinweis an ein vom Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 verwendetes Terminal, wenn die vorbestimmte Bedingung erfüllt ist, während die Warneinheit 2140 einen Warnhinweis in eine Protokolldatei ausgibt, wenn die vorbestimmte Bedingung nicht erfüllt ist.
-
Dadurch kann in einer Situation, in der die Modelle noch nicht ausgereift sind und häufig Warnhinweise ausgegeben werden, die Belästigung des Administrators o.ä. der zu bestimmenden Zielvorrichtung 10 reduziert werden, während dem Administrator o.ä. weiterhin Warnhinweise zur Verfügung gestellt werden. Ferner erfordert die Ausgabe eines Warnhinweises in einer Form, die der Administrator o.ä. der zu bestimmenden Zielvorrichtung 10 umgehend erkennen kann, im Allgemeinen mehr Computerressourcen. Daher ist es in einer Situation, in der Warnhinweise häufig ausgegeben werden, weil die Modelle noch nicht ausgereift sind, auch von Vorteil, die verbrauchten Computerressourcen zu reduzieren.
-
Die oben beschriebene vorbestimmte Bedingung kann eine andere sein als die Bedingung, dass eine vorbestimmte Zeitspanne nach Beginn des Betriebs der zu bestimmenden Zielvorrichtung 10 abläuft. Die Bedingung kann z.B. sein, dass die Anzahl der Ereignisse, die zum Lernen verwendet wurden, nicht kleiner als eine vorbestimmte Anzahl ist.
-
Exemplarische Ausführungsbeispiele der vorliegenden Erfindung wurden oben unter Bezugnahme auf die Zeichnungen beschrieben. Dies sind Beispiele für die vorliegende Erfindung, und es ist möglich, eine Kombination der oben beschriebenen exemplarischen Ausführungsbeispiele oder verschiedene andere als die oben beschriebenen Konfigurationen zu übernehmen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-