JP2004309998A - 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法 - Google Patents

確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法 Download PDF

Info

Publication number
JP2004309998A
JP2004309998A JP2003171481A JP2003171481A JP2004309998A JP 2004309998 A JP2004309998 A JP 2004309998A JP 2003171481 A JP2003171481 A JP 2003171481A JP 2003171481 A JP2003171481 A JP 2003171481A JP 2004309998 A JP2004309998 A JP 2004309998A
Authority
JP
Japan
Prior art keywords
data
probability
parameters
model
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003171481A
Other languages
English (en)
Inventor
Yuko Matsunaga
祐子 松永
Kenji Yamanishi
健司 山西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003171481A priority Critical patent/JP2004309998A/ja
Priority to US10/778,178 priority patent/US7561991B2/en
Publication of JP2004309998A publication Critical patent/JP2004309998A/ja
Priority to US11/822,456 priority patent/US20070255540A1/en
Priority to US11/822,460 priority patent/US20070255542A1/en
Priority to US11/822,457 priority patent/US20070260435A1/en
Priority to US11/822,455 priority patent/US20070260434A1/en
Priority to US11/822,459 priority patent/US20070255541A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/29Graphical models, e.g. Bayesian networks
    • G06F18/295Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Evolutionary Biology (AREA)
  • Mathematical Physics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Operations Research (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Probability & Statistics with Applications (AREA)
  • Artificial Intelligence (AREA)
  • Algebra (AREA)
  • Evolutionary Computation (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Complex Calculations (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】忘却型アルゴリズムを用いて大量データを逐次的に読み込みつつ適応的に各データが発生する確率分布を推定し、これを用いた異常行動検出を行う。
【解決手段】確率分布推定装置2または確率分布推定装置4は、ベクトル値のデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、隠れ変数を持つ確率モデルを用いて推定する。特に、入力データの値に対して隠れ変数を持つ確率モデルのパラメータの値を読み込み、該確率モデルを用いて該入力データが発生した確からしさを計算し、新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新し、パラメータ値の幾つかを出力する。異常検出手段6は、確率分布推定装置2または確率分布推定装置4から受け取ったパラメータの値を用いて、異常行動度としてデータの情報量を計算して出力する。
【選択図】 図7

Description

【0001】
【発明の属する技術分野】
本発明は確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法に関し、特に全体の行動パタンに対して大きく外れる異常行動を検出する確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法に関する。
【0002】
【従来の技術】
従来、統計学やデータマイニング、なりすまし検出や侵入検出などの分野で幾つかの異常行動検出装置が提案されている。
【0003】
まず、1点1点の多次元データの異常を検出する装置としては、“外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置”がある(例えば、特許文献1参照)。この装置は、1点1点の離散値または連続値の多次元データをヒストグラムまたは確率密度関数を用いて表し、統計的外れ値の検出を行うものである。
【0004】
この他に、離散値ベクトルデータで表される行動データを用いた異常行動検出装置が、以下のようになりすまし検出や侵入検出などの分野で幾つか提案されている。
【0005】
システムコールデータを用いた侵入検出方式としては、S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaffによる方式(例えば、非特許文献1参照)やC. Warrender, S. Forrest, B. Pearlmutterによる方式(例えば、非特許文献2参照)がよく知られている。S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaffによる方式は、特定プログラムが正常時に内部的に利用しているシステムコールのパタンの部分列を記憶し、実行プログラムのシステムコール系列とこれらの部分列とのマッチングを行ってプログラムが正常か否かの判定をするものである。また、C. Warrender, S. Forrest, B. Pearlmutterによる方式は、過去のシステムコール系列を隠れマルコフモデルを用いて学習し、得られたパラメータを用いて実行プログラムが正常か否かの判定をするものである。
【0006】
また、なりすまし検出方式としては、R. A. Maxion and T. N. Townsendによる方式(例えば、非特許文献3参照)が知られている。この方式は、特定ユーザの過去のコマンド履歴をナイーブベイズモデルを用いて学習し、得られたパラメータを用いて現在のユーザの行動が正常か否かの判定をするものである。
【0007】
Webのアクセスログを用いた異常行動検出方式としては、I. Cadez and P. S. Bradleyによる方式(例えば、非特許文献4参照)がある。この方式は、複数ユーザのアクセスログデータを用いて全体の行動の変化を検出するものである。
【0008】
また、ビデオカメラ画像からの人間の異常行動検出システムが、公知である(例えば、特許文献2参照)。このシステムは、行動モデルをエントロピー的プライアと隠れマルコフモデルとを用いて推定するものである。
【0009】
一方、連続値ベクトルデータで表される行動データを用いた異常行動検出装置には、次のようなものがある。
【0010】
時系列データにおける変化点を検出する方式には、K. Yamanishi and J. Takeuchi による方式(例えば、非特許文献5参照)がある。この方式は、時系列データを自己回帰モデルなどを用いてオンラインで学習し、モデルが大きく変化した点を変化点として検出するものである。
【0011】
時系列連続値データにおいて特徴的な箇所を発見する方式としては、X. Ge and P. Smyth による方式 (例えば、非特許文献6参照) が知られている。この方式は、時系列連続値データを継続時間の分布モデルおよび各状態に対応する回帰モデルを持つ隠れマルコフモデルを用いて表し、特定の状態に対応する時系列連続値データを特徴的な箇所として検出するものである。
【0012】
また、軌跡データ(連続値行動データ)の状態推定を行う方式としては、S. Gaffney and P. Smyth による方式(例えば、非特許文献7参照)が知られている。この方式は、軌跡データを回帰モデルの有限混合分布を用いて学習し、軌跡データが有限混合分布の各回帰モデルから生起した確からしさを計算する状態推定手段を備えたものである。
【0013】
【特許文献1】
特開2001−101154号公報(第5−6頁、図3―図4)
【特許文献2】
特開平11−259643号公報(第5−6頁、図1)
【非特許文献1】
S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaff, A sense of self for UNIX(登録商標)processes, in Proceedings of the 1996 IEEE Symposium on Security and Privacy, pp:120−128, 1996
【非特許文献2】
C. Warrender, S. Forrest, B. Pearlmutter, Detecting intrusions using system calls: alternative data models, in Proceedings of the 1999 IEEE symposium on Security and Privacy, pp:133−145, 1999
【非特許文献3】
R. A. Maxion and T. N. Townsend, Masquerade Detection Using Truncated Command Lines, in Proceedings of the International Conference on Dependable Systems and Networks, pp:219−228, 2002
【非特許文献4】
I. Cadez and P. S. Bradley, Model Based Population Tracking and Automatic Detection of Distribution Changes, in Proceedings of the Neural Information Processing Systems, pp:1345−1352, 2001
【非特許文献5】
K. Yamanishi and J. Takeuchi, A Unifying Framework for Detecting outliers and change−points from non−stationary time series data, in Proceedings of KDD2002, pp:41−46, 2002
【非特許文献6】
X. Ge and P. Smyth, Deformable Markov Model Templates for Time−Series Pattern Matching, in Proceedings of KDD2000, pp:81−90, 2000
【非特許文献7】
S. Gaffney and P. Smyth, Trajectory Clustering with Mixtures of Regression Models, in Proceedings of KDD1999, pp:63−72, 1999
【0014】
【発明が解決しようとする課題】
第1の問題点は、従来技術では、データを発生させる情報源の変化に対して適応性が無いことである。その理由は、特許文献1、K. Yamanishi and J. Takeuchiによる方式以外の全ての方式では、過去の全てのデータを平等に扱うため、パタンの変化があったときに対応できないからである。
【0015】
第2の問題点は、十分なスケーラビリティがないことである。その理由は、S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaffによる方式では、マッチングを用いるため、精度の高い検出を行うためには大規模な記憶容量を必要とするからである。特許文献1、K. Yamanishi and J. Takeuchiによる方式以外の全ての方式では、いずれも学習アルゴリズムが過去の全てのデータを用いるものであるため、大規模な記憶容量を必要とする上に計算上非効率であるからである。
【0016】
第3の問題点は、ノイズに対するロバスト性が無いことである。その理由は、S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaffによる方式では、マッチングを用いるため、記憶した部分列と少しでも異なるものは全て異常と判定してしまうからである。
【0017】
第4の問題点は、検出できる異常行動が限定されていることである。その理由は、離散値データを扱うS. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaffによる方式,C. Warrender, S. Forrest, B. Pearlmutterによる方式,R. A. Maxion and T. N. Townsendによる方式では、いずれもそれぞれの問題に特化された手法であり、単一プログラムや単一ユーザの過去の行動から大きく外れる外れ値の意味での異常行動の検出はできるが、バーストな異常行動の発生や複数プログラムや複数ユーザの問題を扱うことはできないからである。同様に、特許文献2記載のシステムでも、学習したモデルからの外れ値の意味での行動を検出することしかできない。また、I. Cadez and P. S. Bradleyによる方式は、複数ユーザのアクセスログを分析する問題における全体の行動の変化を検出することはできるが、各個人の行動の変化を検出することはできない。さらに、連続値データを扱うX. Ge and P. Smythによる方式では、時系列連続値データにおいて、あらかじめ注目するべきであると分かっている特徴的な箇所を検出することはできるが、異常な軌跡を検出することはできない。また、S. Gaffney and P. Smythによる方式においても、軌跡の状態推定手段を備えているが、異常な軌跡を検出することはできない。
【0018】
第5の問題点は、データ数が少ない場合の検出精度が悪いことである。S. Forrest, S. A. Hofmeyr, A. Somayaji, T. A. Longstaffによる方式, C. Warrender, S. Forrest, B. Pearlmutterによる方式,R. A. Maxion and T. N. Townsendによる方式では、単一プログラムや単一ユーザについて、それぞれ十分な量の過去のデータが無いと精度のよい異常行動検出を行うことができない。
【0019】
第6の問題点は、分析対象のデータが限定されていることである。特許文献1記載のシステムでは、学習したモデルからの外れ値の意味での1点1点の離散値データまたは連続値データを検出することはできるが、異常行動を検出することはできない。同様に、K. Yamanishi and J. Takeuchiによる方式でも、1点1点の離散値データまたは連続値データの外れ値や変化点を検出することはできるが、行動データのパタンの異常を検出することはできない。
【0020】
【発明の目的】
本発明の第1の目的は、行動を表すベクトルデータを忘却型アルゴリズムを用いて大量データを逐次的に読み込みつつノイズに対してロバストかつ適応的に各データが発生する確率分布を推定し、これを用いた異常行動の検出を行う確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法を提供することにある。
【0021】
本発明の第2の目的は、これまでのパタンの外れ値の意味での異常行動と区別して、異常行動度を用いてさらにバーストな異常行動を意味する行動の変化を検出することが可能な確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法を提供することにある。
【0022】
本発明の第3の目的は、複数プログラムや複数ユーザのデータが混合した行動データを扱う問題において、各個人の行動の変化を検出することが可能であり、同時に各個人についての行動データが少ない場合にも精度のよい異常行動データの検出が可能な確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法を提供することにある。
【0023】
本発明の第4の目的は、全体の行動モデルの構造の変化を検出することが可能な確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法を提供することにある。
【0024】
【課題を解決するための手段】
本発明の請求項1の確率分布推定装置(図1の2)は、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、隠れ変数を持つ確率モデルを用いて推定する確率分布推定装置であって、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置(図1の22)と、入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段(図1の21)と、該確からしさ計算手段から確からしさを読み込み、前記確率モデルの各パラメータを前記パラメータ記憶装置から読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段(図1の23)とを備え、前記パラメータ記憶装置の前記確率モデルのパラメータのいくつかを出力するようにしたことを特徴とする。
【0025】
また、本発明の請求項2の確率分布推定装置(図1の2)は、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、継続時間分布および隠れ変数を持つ時系列モデルを用いて推定する確率分布推定装置であって、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置(図1の22)と、入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段(図1の21)と、該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルの各パラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段(図1の23)とを備え、前記パラメータ記憶装置の前記確率モデルのパラメータのいくつかを出力するようにしたことを特徴とする確率分布推定装置。
【0026】
さらに、本発明の請求項3の確率分布推定装置(図1の2)は、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、継続時間分布を持つ隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置であって、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置(図1の22)と、入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段(図1の21)と、該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布の各パラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段(図1の23)とを備え、前記パラメータ記憶装置の前記確率モデルのパラメータのいくつかを出力するようにしたことを特徴とする。
【0027】
さらにまた、本発明の請求項4の確率分布推定装置(図3の4)は、入力データをベクトルデータ列に加工するセッション化手段(図3の41)をさらに備えることを特徴とする。
【0028】
また、本発明の請求項5の異常行動検出装置(図5)は、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図5の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図5の5)とを備えることを特徴とする。
【0029】
さらに、本発明の請求項6の異常行動検出装置(図5)は、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図5の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図5の5)とを備えることを特徴とする。
【0030】
さらにまた、本発明の請求項7の異常行動検出装置(図7)は、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図7の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図7の6)とを備えることを特徴とする。
【0031】
また、本発明の請求項8の異常行動検出装置(図7)は、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、各隠れ変数を持つ確率モデルのパラメータを前記パラメータ記憶装置から読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図7の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図7の6)とを備えることを特徴とする。
【0032】
さらに、本発明の請求項9の異常行動検出装置(図9)は、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部(図9の71)をさらに備えることを特徴とする。
【0033】
さらにまた、本発明の請求項10の異常行動検出装置(図11)は、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、各隠れ変数を持つ確率モデルのパラメータを前記パラメータ記憶装置から読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図11の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図11の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図11の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図11の10)とを備えることを特徴とする。
【0034】
また、本発明の請求項11の異常行動検出装置(図11)は、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図11の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図11の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図11の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図11の10)とを備えることを特徴とする。
【0035】
さらに、本発明の請求項12の異常行動検出装置(図13)は、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置(図13の2または4)と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図13の11)とを備えることを特徴とする。
【0036】
さらにまた、本発明の請求項13の異常行動検出装置(図13)は、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置(図13の2または4)と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図13の11)とを備えることを特徴とする。
【0037】
また、本発明の請求項14の異常行動検出装置(図5)は、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図5の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図5の5)とを備えることを特徴とする。
【0038】
さらに、本発明の請求項15の異常行動検出装置(図5)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図5の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図5の5)とを備えることを特徴とする。
【0039】
さらにまた、本発明の請求項16の異常行動検出装置(図7)は、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図7の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図7の6)とを備えることを特徴とする。
【0040】
また、本発明の請求項17の異常行動検出装置(図7)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図7の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図7の6)とを備えることを特徴とする。
【0041】
さらに、本発明の請求項18の異常行動検出装置(図9)は、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部(図9の71)をさらに備えることを特徴とする。
【0042】
さらにまた、本発明の請求項19の異常行動検出装置(図11)は、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図11の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図11の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図11の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図11の10)とを備えることを特徴とする。
【0043】
また、本発明の請求項20の異常行動検出装置(図11)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図11の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図11の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図11の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図11の10)とを備えることを特徴とする。
【0044】
さらに、本発明の請求項21の異常行動検出装置(図13)は、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置(図13の2または4)と、隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図13の11)とを備えることを特徴とする。
【0045】
さらにまた、本発明の請求項22の異常行動検出装置(図13)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置(図13の2または4)と、隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図13の11)とを備えることを特徴とする。
【0046】
また、本発明の請求項23の異常行動検出装置(図5)は、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図5の11)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図5の5)とを備えることを特徴とする。
【0047】
さらに、本発明の請求項24の異常行動検出装置(図5)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図5の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図5の5)とを備えることを特徴とする。
【0048】
さらにまた、本発明の請求項25の異常行動検出装置(図7)は、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図7の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図7の6)とを備えることを特徴とする。
【0049】
また、本発明の請求項26の異常行動検出装置(図7)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図7の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図7の6)とを備えることを特徴とする。
【0050】
さらに、本発明の請求項27の異常行動検出装置(図9)は、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部(図9の71)をさらに備えることを特徴とする。
【0051】
さらにまた、本発明の請求項28の異常行動検出装置(図11)は、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図11の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図11の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図11の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図11の10)とを備えることを特徴とする。
【0052】
また、本発明の請求項29の異常行動検出装置(図11)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図11の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図11の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図11の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図11の10)とを備えることを特徴とする。
【0053】
さらに、本発明の請求項30の異常行動検出装置(図13)は、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置(図13の2または4)と、隠れ変数のとりうる状態の個数の異なる前記隠れマルコフモデルの有限混合分布に対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図13の11)とを備えることを特徴とする。
【0054】
さらにまた、本発明の請求項31の異常行動検出装置(図13)は、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置(図13の2または4)と、隠れ変数のとりうる状態の個数の異なる前記隠れマルコフモデルの有限混合分布に対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図13の11)とを備えることを特徴とする。
【0055】
一方、本発明の請求項32の確率分布推定方法(図2)は、ベクトルデータ列を入力とする工程(図2のS11)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程(図2のS12)と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図2のS13)と、計算したパラメータ値の幾つかを出力する工程(図2のS14)とを含むことを特徴とする。
【0056】
また、本発明の請求項33の確率分布推定方法(図2)は、ベクトルデータ列を入力とする工程(図2のS11)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程(図2のS12)と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図2のS13)と、計算したパラメータ値の幾つかを出力する工程(図2のS14)とを含むことを特徴とする。
【0057】
さらに、本発明の請求項34の確率分布推定方法(図2)は、ベクトルデータ列を入力とする工程(図2のS11)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程(図2のS12)と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図2のS13)と、計算したパラメータ値の幾つかを出力する工程(図2のS14)とを含むことを特徴とする。
【0058】
さらにまた、本発明の請求項35の確率分布推定方法(図4)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程(図4のS22)をさらに含むことを特徴とする。
【0059】
また、本発明の請求項36の確率分布推定方法(図6)は、ベクトルデータ列を入力とする工程(図6のS31)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図6のS32)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程(図6のS33)とを含むことを特徴とする。
【0060】
さらに、本発明の請求項37の異常行動検出方法(図6)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図6のS31)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、(図6のS32)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程(図6のS33)とを含むことを特徴とする。
【0061】
さらにまた、本発明の請求項38の異常行動検出方法(図8)は、ベクトルデータ列を入力とする工程(図8のS41)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図8のS42)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程(図8のS43およびS44)とを含むことを特徴とする。
【0062】
また、本発明の請求項39の異常行動検出方法(図8)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図8のS41)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図8のS42)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程(図8のS43およびS44)とを含むことを特徴とする。
【0063】
さらに、本発明の請求項40の異常行動検出方法(図10)は、複数個のデータを読み込み、前記推定された確率分布のパラメータを使用して前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する工程(図10のS54およびS55)をさらに含むことを特徴とする。
【0064】
さらにまた、本発明の請求項41の異常行動検出方法(図12)は、ベクトルデータ列を入力とする工程(図12のS61)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図12のS62)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程(図12のS63およびS64)と、前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程(図12のS65)と、更新前後の事後確率の変化を計算し出力する工程(図12のS66)とを含むことを特徴とする。
【0065】
また、本発明の請求項42の異常行動検出方法(図12)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図12のS61)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図12のS62)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程(図12のS63およびS64)と、前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程(図12のS65)と、更新前後の事後確率の変化を計算し出力する工程(図12のS66)とを含むことを特徴とする。
【0066】
さらに、本発明の請求項43の異常行動検出方法(図14のS)は、ベクトルデータ列を入力とする工程(図14のS71)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図14のS72)と、計算したパラメータ値の幾つかを出力する工程と、前記確率モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、該パラメータおよび入力データを用いて各確率モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程(図14のS73およびS74)とを含むことを特徴とする。
【0067】
さらにまた、本発明の請求項44の異常行動検出方法(図14)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図14のS71)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図14のS72)と、計算したパラメータ値の幾つかを出力する工程と、前記確率モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、該パラメータおよび入力データを用いて各確率モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程(図14のS73およびS74)とを含むことを特徴とする。
【0068】
また、本発明の請求項45の異常行動検出方法(図6)は、ベクトルデータ列を入力とする工程(図6のS31)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図6のS32)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程(図6のS33およびS34)とを含むことを特徴とする。
【0069】
さらに、本発明の請求項46の異常行動検出方法(図6)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図6のS31)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図6のS32)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程(図6のS33およびS34)とを含むことを特徴とする。
【0070】
さらにまた、本発明の請求項47の異常行動検出方法(図8)は、ベクトルデータ列を入力とする工程(図8のS41)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図8のS42)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程(図8のS43およびS44)とを含むことを特徴とする。
【0071】
また、本発明の請求項48の異常行動検出方法(図8)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図8のS41)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図8のS42)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程(図8のS43およびS44)とを含むことを特徴とする。
【0072】
さらに、本発明の請求項49の異常行動検出方法(図10)は、複数個のデータを読み込み、前記推定された確率分布のパラメータを使用して前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する工程(図10のS54およびS55)をさらに含むことを特徴とする。
【0073】
さらにまた、本発明の請求項50の異常行動検出方法(図12)は、ベクトルデータ列を入力とする工程(図12のS61)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図12のS62)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程(図12のS63およびS64)と、前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、更新前後の事後確率の変化を計算し出力する工程(図12のS65およびS66)とを含むことを特徴とする。
【0074】
また、本発明の請求項51の異常行動検出方法(図12)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図12のS61)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図12のS62)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程(図12のS63およびS64)と、前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、更新前後の事後確率の変化を計算し出力する工程(図12のS65およびS66)とを含むことを特徴とする。
【0075】
さらに、本発明の請求項52の異常行動検出方法(図14)は、ベクトルデータ列を入力とする工程(図14のS71)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図14のS72)と、計算したパラメータ値の幾つかを出力する工程と、前記時系列モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、該パラメータおよび入力データを用いて各時系列モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程(図14のS73およびS74)とを含むことを特徴とする。
【0076】
さらにまた、本発明の請求項53の異常行動検出方法(図14)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図14のS71)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図14のS72)と、計算したパラメータ値の幾つかを出力する工程と、前記時系列モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、該パラメータおよび入力データを用いて各時系列モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程(図14のS73およびS74)とを含むことを特徴とする。
【0077】
また、本発明の請求項54の異常行動検出方法(図6)は、ベクトルデータ列を入力とする工程(図6のS31)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図6のS32)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程(図6のS33およびS34)とを含むことを特徴とする。
【0078】
さらに、本発明の請求項55の異常行動検出方法(図6)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図6のS31)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図6のS32)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程(図6のS33およびS34)とを含むことを特徴とする。
【0079】
さらにまた、本発明の請求項56の異常行動検出方法(図8)は、ベクトルデータ列を入力とする工程(図8のS41)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図8のS42)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程(図8のS43およびS44)とを含むことを特徴とする。
【0080】
また、本発明の請求項57の異常行動検出方法(図8)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図8のS41)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図8のS42)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程(図8のS43およびS44)とを含むことを特徴とする。
【0081】
さらに、本発明の請求項58の異常行動検出方法(図10)は、複数個のデータを読み込み、前記推定された確率分布のパラメータを使用して前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する工程(図10のS54およびS55)をさらに含むことを特徴とする。
【0082】
さらにまた、本発明の請求項59の異常行動検出方法(図12)は、ベクトルデータ列を入力とする工程(図12のS61)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図12のS62)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程(図12のS63およびS64)と、前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、更新前後の事後確率の変化を計算し出力する工程(図12のS65およびS66)とを含むことを特徴とする。
【0083】
また、本発明の請求項60の異常行動検出方法(図12)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図12のS61)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図12のS62)と、計算したパラメータ値の幾つかを出力する工程と、推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程(図12のS63およびS64)と、前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、更新前後の事後確率の変化を計算し出力する工程(図12のS65およびS66)とを含むことを特徴とする。
【0084】
さらに、本発明の請求項61の異常行動検出方法(図14)は、ベクトルデータ列を入力とする工程(図14のS71)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図14のS72)と、計算したパラメータ値の幾つかを出力する工程と、前記隠れマルコフモデルの有限混合分布のパラメータの個数を変化させて推定パラメータを並列に計算する工程と、該パラメータおよび入力データを用いて各有限混合分布について計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程(図14のS73およびS74)とを含むことを特徴とする。
【0085】
さらにまた、本発明の請求項62の異常行動検出方法(図14)は、入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、ベクトルデータ列を入力とする工程(図14のS71)と、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程(図14のS72)と、計算したパラメータ値の幾つかを出力する工程と、前記隠れマルコフモデルの有限混合分布のパラメータの個数を変化させて推定パラメータを並列に計算する工程と、該パラメータおよび入力データを用いて各隠れマルコフモデルの有限混合分布について計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程(図14のS73およびS74)とを含むことを特徴とする。
【0086】
他方、本発明の請求項63の確率分布推定プログラム(図15の100)は、コンピュータを、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置(図15の22),入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段(図15の21),および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段(図15の23)として動作させることを特徴とする。
【0087】
また、本発明の請求項64の確率分布推定プログラム(図15の100)は、コンピュータを、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置(図15の22),入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段(図15の21),および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段(図15の23)として動作させることを特徴とする。
【0088】
さらに、本発明の請求項65の確率分布推定プログラム(図15の100)は、コンピュータを、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置(図15の22),入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段(図15の21),および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段(図15の23)として動作させることを特徴とする。
【0089】
さらにまた、本発明の請求項66の確率分布推定プログラム(図16の200)は、コンピュータを、入力データをベクトルデータ列に加工するセッション化手段(図16の41)としてさらに動作させることを特徴とする。
【0090】
また、本発明の請求項67の異常行動検出プログラム(図17の400)は、コンピュータ(図17の300)を、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図17の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図17の5)として動作させることを特徴とする。
【0091】
さらに、本発明の請求項68の異常行動検出プログラム(図17の400)は、コンピュータ(図17の300)を、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図17の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図17の5)として動作させることを特徴とする。
【0092】
さらにまた、本発明の請求項69の異常行動検出プログラム(図18の600)は、コンピュータ(図18の500)を、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図18の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図18の6)として動作させることを特徴とする。
【0093】
また、本発明の請求項70の異常行動検出プログラム(図18の600)は、コンピュータ(図18の500)を、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図18の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図18の6)として動作させることを特徴とする。
【0094】
さらに、本発明の請求項71の異常行動検出プログラム(図19の800)は、コンピュータ(図19の700)を、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部(図19の71)としてさらに動作させることを特徴とする。
【0095】
さらにまた、本発明の請求項72の異常行動検出プログラム(図20の1000)は、コンピュータ(図20の900)を、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図20の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図20の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図20の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図20の10)として動作させることを特徴とする。
【0096】
また、本発明の請求項73の異常行動検出プログラム(図20の1000)は、コンピュータ(図20の900)を、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置(図20の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図20の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図20の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図20の10)として動作させることを特徴とする。
【0097】
さらに、本発明の請求項74の異常行動検出プログラムは(図21の1200)、コンピュータ(図21の1100)を、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置(図21の2または4)と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図21の11)として動作させることを特徴とする。
【0098】
さらにまた、本発明の請求項75の異常行動検出プログラム(図21の1200)は、コンピュータ(図21の1100)を、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置(図21の2または4)と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図21の11)として動作させることを特徴とする。
【0099】
また、本発明の請求項76の異常行動検出プログラム(図17の400)は、コンピュータ(図17の300)を、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図17の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図17の5)として動作させることを特徴とする。
【0100】
さらに、本発明の請求項77の異常行動検出プログラム(図17の400)は、コンピュータ(図17の300)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図17の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図17の5)として動作させることを特徴とする。
【0101】
さらにまた、本発明の請求項78の異常行動検出プログラム(図18の600)は、コンピュータ(図18の500)を、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図18の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図18の6)として動作させることを特徴とする。
【0102】
また、本発明の請求項79の異常行動検出プログラム(図18の600)は、コンピュータ(図18の500)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図18の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図18の6)として動作させることを特徴とする。
【0103】
さらに、本発明の請求項80の異常行動検出プログラム(図19の800)は、コンピュータを、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部(図19の71)としてさらに動作させることを特徴とする。
【0104】
さらにまた、本発明の請求項81の異常行動検出プログラム(図20の1000)は、コンピュータ(図20の900)を、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図20の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図20の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図20の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図20の10)として動作させることを特徴とする。
【0105】
また、本発明の請求項82の異常行動検出プログラム(図20の1000)は、コンピュータ(図20の900)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置(図20の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図20の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図20の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図20の10)として動作させることを特徴とする。
【0106】
さらに、本発明の請求項83の異常行動検出プログラム(図21の1200)は、コンピュータ(図21の1100)を、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置(図21の2または4)と、隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図21の11)として動作させることを特徴とする。
【0107】
さらにまた、本発明の請求項84の異常行動検出プログラム(図21の1200)は、コンピュータ(図21の1100)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置(図21の2または4)と、隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図21の11)として動作させることを特徴とする。
【0108】
また、本発明の請求項85の異常行動検出プログラム(図17の400)は、コンピュータ(図17の300)を、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図17の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図17の5)として動作させることを特徴とする。
【0109】
さらに、本発明の請求項86の異常行動検出プログラム(図17の400)は、コンピュータ(図17の300)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図17の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段(図17の5)として動作させることを特徴とする。
【0110】
さらにまた、本発明の請求項87の異常行動検出プログラム(図18の600)は、コンピュータ(図18の500)を、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図18の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図18の6)として動作させることを特徴とする。
【0111】
また、本発明の請求項88の異常行動検出プログラム(図18の600)は、コンピュータ(図18の500)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図18の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段(図18の6)として動作させることを特徴とする。
【0112】
さらに、本発明の請求項89の異常行動検出プログラム(図19の800)は、コンピュータ(図19の700)を、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部(図19の71)としてさらに動作させることを特徴とする。
【0113】
さらにまた、本発明の請求項90の異常行動検出プログラム(図20の1000)は、コンピュータ(図20の900)を、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図20の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図20の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図20の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図20の10)として動作させることを特徴とする。
【0114】
また、本発明の請求項91の異常行動検出プログラム(図20の1000)は、コンピュータ(図20の900)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置(図20の2または4)と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段(図20の8)と、前記入力データとは別のデータを入力として与える参照データ入力装置(図20の9)と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段(図20の10)として動作させることを特徴とする。
【0115】
さらに、本発明の請求項92の異常行動検出プログラム(図21の1200)は、コンピュータ(図21の1100)を、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置(図21の2または4)と、隠れ変数のとりうる状態の個数の異なる前記隠れマルコフモデルの有限混合分布に対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図21の11)として動作させることを特徴とする。
【0116】
さらにまた、本発明の請求項93の異常行動検出プログラム(図21の1200)は、コンピュータ(図21の1100)を、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置(図21の2または4)と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段(図21の11)として動作させることを特徴とする。
【0117】
【発明の実施の形態】
次に、本発明の実施の形態について、図面を参照して詳細に説明する。
【0118】
[第1の実施の形態]
図1は、本発明の第1の実施の形態に係る確率分布推定装置2の構成を示すブロック図である。本実施の形態に係る確率分布推定装置2は、確からしさ計算手段21と、パラメータ記憶装置22と、パラメータ更新手段23と、パラメータ出力装置24とから構成されている。
【0119】
パラメータ記憶装置22は、隠れ変数を持つ確率モデルの全てのパラメータを記憶する手段である。
【0120】
確からしさ計算手段21は、入力データが発生した確からしさを計算する手段である。
【0121】
パラメータ更新手段23は、後述するパラメータ更新規則にしたがってパラメータを書き換える手段である。
【0122】
パラメータ出力装置24は、パラメータ記憶装置22のパラメータを出力する装置である。
【0123】
図2は、図1の確率分布推定装置2の概略動作を表すフロー図であり、図1の確率分布推定装置2は、以下のように動作する。
【0124】
まず、データが読み込まれる前にパラメータ記憶装置22に格納されている各パラメータの値が初期化される(ステップS10)。
【0125】
次に、新たなデータyが入力される度に、以下のように動作をする。まず、データyが確からしさ計算手段21およびパラメータ更新手段23に渡されて格納される(ステップS11)。
【0126】
確からしさ計算手段21は、パラメータ記憶装置22より現在のパラメータの値を読み込み、これを用いてデータyを発生した確からしさを計算し、パラメータ更新手段23に送る。
【0127】
パラメータ更新手段23は、パラメータ記憶装置22より現在のパラメータの値を読み込み、データyを読み込み、パラメータ記憶装置22に記憶されているパラメータの値を書き換える(ステップS13)。
【0128】
ここで用いるパラメータ更新規則は、通常パラメータ推定によく用いられるDempsterらのEMアルゴリズム(Maximum likelihood from incomplete data via the EM algorithm, Journal of the Royal Statistical Society, Series B, Vol. 39, no.1, pp: 1−38, 1977)をオンラインで高速にかつ適応的な学習を可能とするように改良したものである。EMアルゴリズムとは、繰り返し毎に全データを用いて対数尤度の条件付期待値を最大化するアルゴリズムである。ここで、対数尤度の条件付期待値の最大化するときのパラメータは、十分統計量の条件付期待値を用いて計算される。これに対し、本パラメータ更新規則は、データを逐次的に読み込みながら、忘却係数rの重みを付けた十分統計量の条件付期待値を計算するアルゴリズムとなっている。すなわち、データy=(y,…,yTj)をj番目に読み込まれたデータとすると、現在のデータyの十分統計量の条件付期待値にr、過去データy,…,y の重み付き十分統計量の条件付期待値に(1−r)の重みを付けて、和を取ったものを全体のデータの重み付き十分統計量の条件付期待値とする。これはすなわち、過去の1〜(j−l)番目のデータを前のデータほど忘却する推定を実現している。ここで、例えば、忘却係数rをデータによらない0<r<1の定数とすると、忘却係数rの値が大きいほどより過去を忘却した推定を行う。r=1/jとすれば、1〜j番目の全てのデータに等しい重みを付けて学習することができる。また、例えば、現在のデータの確からしさが小さいときにはより小さい重みを付ける、といったように、データに依存して忘却係数rを決めることもできる。以上のパラメータ更新規則を用いれば、時間が経つにつれて傾向が変わったデータを適応的に学習するができる。
【0129】
以下でより具体的に説明する。
【0130】
まず、離散値ベクトルデータで表される行動データの学習について説明する。
【0131】
データy=(y,…,y)(離散ベクトル値)が、確率分布として、例えばn次元隠れマルコフモデルの有限混合分布を表す数1に従って発生するとする。
【0132】
【数1】
Figure 2004309998
【0133】
ここで、Kは有限混合分布の重ね合わせの数を表す整数であり、π(k=1,…,K)は各隠れマルコフモデルの発生確率であり、数2が成り立つ。
【0134】
【数2】
Figure 2004309998
【0135】
ただし、有限混合分布のK個のn次元隠れマルコフモデルを表す数3であるものとする。
【0136】
【数3】
Figure 2004309998
【0137】
ここで、x,…,xは隠れ変数系列、γは初期確率ベクトル、a,bは確率遷移行列である。Σ,…,x は、隠れ変数系列x,…,xのとりうる全ての組み合わせについて和をとることを意味する。
【0138】
隠れ変数系列x,…,xをx=y,…,x=yとした場合、隠れマルコフモデルはマルコフモデルとなる。また、K=1とし、隠れ変数のとりうる状態の個数を1とした場合、隠れマルコフモデルの有限混合分布はナイーブベイズモデルとなる。
【0139】
なお、隠れ変数のとりうる状態の個数とTの値が大きく数3の計算が実用的に難しい場合は、ViterbiによるViterbiアルゴリズム(Error bounds for convolutional codes and an asymptotically optimum decoding algorithm, IEEE Transactions on Information Theory, 13, pp: 260−267, 1967)を使用して求められた最適状態遷移系列の確率で近似する。また、k番目の隠れマルコフモデルの発生確率π、初期確率ベクトルγにおける各出力シンボルの発生確率、確率遷移行列a,bにおける各状態遷移確率をパラメータベクトルθ(k=1,…,K)で表し、θ=(θ,…,θ)とする。
【0140】
パラメータ記憶装置22は、上述のパラメータθおよび各kについて後述のパラメータ更新規則によって計算されたc,γ,a,bを記憶する。ただし、隠れマルコフモデルの個数Kと、過去のデータの忘却の速さを表す忘却係数r(0<r<1;rが大きい程、過去のデータを速く忘却する)、パラメータνが予め与えられているものとし、データが読み込まれる前にこれらの全てのパラメータは初期化されているものとする。
【0141】
確からしさ計算手段21では、確からしさが発生確率として数1および数3によって計算される。
【0142】
また、パラメータ更新手段23では、数4〜数11に示すように、各k=1,…,Kについて順次計算する。
【0143】
【数4】
Figure 2004309998
【0144】
【数5】
Figure 2004309998
【0145】
【数6】
Figure 2004309998
【0146】
【数7】
Figure 2004309998
【0147】
【数8】
Figure 2004309998
【0148】
【数9】
Figure 2004309998
【0149】
【数10】
Figure 2004309998
【0150】
【数11】
Figure 2004309998
【0151】
数5は、有限混合分布の係数πの重み付き十分統計量の条件付期待値を更新する計算であり、数6,数8,数10のγ,a,bは、それぞれn次元隠れマルコフモデルのパラメータγ,a,bの重み付き十分統計量の条件付期待値を更新する計算である。数5,数6,数8,数10の全ての式において、現在のデータyの十分統計量の条件付期待値にr、過去のデータの重み付き十分統計量の条件付期待値に(1−r)の重みを付けて和を取る。有限混合分布の係数πは、数5で計算された重み付き十分統計量の条件付期待値そのものであり、n次元隠れマルコフモデルのパラメータγ,a,bは、それぞれγ,a,bを数7,数9,数11のように正規化することによって計算される。
【0152】
なお、数10,数11におけるuは、入力データの各シンボル、数6〜数11におけるs,s’やs,…,sn+ は隠れ変数シンボルを表し、τ,τ’はそれぞれ入力データが与えられたときの時点(t−n+1)から(t+1)の隠れ変数の事後確率と時点tの隠れ変数の事後確率を表す。これらのτ,τ’は、隠れマルコフモデルのパラメータ推定ではよく用いられるBaumらによるBaum‐Welchアルゴリズム(A maximization technique occurring in the statistical analysis of probabilistic functions of Markov chains, The Annals of Mathematical Statistics, 41(1), pp: 164−171, 1970)を用いて計算される。また、記号“:=”は右辺の計算結果を左辺に代入することを意味し、“Λy=u”は時点t番目の入力データのシンボルがuであることを満たす場合のみ和をとることを意味する。
【0153】
以上では、離散値ベクトルデータで表される行動データを学習する確率分布推定装置について、n次元隠れマルコフモデルの有限混合分布を隠れ変数を持つ確率モデルの一例として説明した。
【0154】
上述したように、隠れマルコフモデルの有限混合分布は、マルコフモデル、ナイーブベイズモデル、およびこれらの有限混合分布を含む。また、隠れマルコフモデルの有限混合分布の他にも、離散値ベクトルデータを表す隠れ変数を持つ確率モデルとして、継続時間分布を持つ隠れマルコフモデルや有限状態確率オートマトン、ベイジアンネットワーク、ニューラルネットワークなどが考えられる。
【0155】
また、時点tの隠れ変数xが線形または非線形関数hを用いてx=h(x,…,xt−1)で表されるとする。観測時系列yが線形または非線形関数hを用いてy=h(x,…,x)で表されるとする。このとき、h,hによって表される全ての離散値ベクトルデータを表す状態空間モデルが考えられる。十分統計量の条件付期待値を解析的に算出可能な全ての隠れ変数を持つ確率モデルについて、上のパラメータ更新規則を適用することができる。
【0156】
次に、連続値ベクトルデータで表される行動データの学習について説明する。
【0157】
データy=(y,…,y)(連続ベクトル値)が、確率分布として、例えば継続時間分布と各状態に対応する自己回帰モデルを持つ1次元隠れマルコフモデルの有限混合分布を表す数1に従って発生するとする。ただし、y,…,yは、それぞれ多次元連続ベクトル値を表すものとする。ここで、離散値ベクトルデータの場合と同様に、Kは有限混合分布の重ね合わせの数を表す整数であり、π(k=1,…,K)は各1次元隠れマルコフモデルの発生確率であり、数2が成り立つ。ただし、有限混合分布のK個の継続時間分布と各状態に対応する自己回帰モデルを持つ1次元隠れマルコフモデルを表す数12〜14であるものとする。
【0158】
【数12】
Figure 2004309998
【0159】
【数13】
Figure 2004309998
【0160】
【数14】
Figure 2004309998
【0161】
ここで、x,…,xは隠れ変数系列、γは初期確率ベクトル、a,bは確率遷移行列である。ただし、連続する隠れ変数x +1はここでは異なる状態をとるものとし、T’≦Tが成り立つ。数13のP(d|x=s)は、隠れ変数xが状態sをとるときの継続時間分布の確率である。継続時間分布の例としては、例えば、ポアソン分布、幾何分布、指数分布、ガンマ分布などが考えられる。ただし、継続時間分布を持つ隠れマルコフモデルは、通常の隠れマルコフモデルと包含関係にあり、継続時間分布を幾何分布とした場合の継続時間分布を持つ隠れマルコフモデルは通常の隠れマルコフモデルである。ここでは、数14のポアソン分布の場合を例として説明する。
【0162】
また、数15は、L次元自己回帰モデルの式を表す。
【0163】
【数15】
Figure 2004309998
【0164】
また、各隠れ変数のとりうる状態に対応する自己回帰モデルの平均μ、係数β,…,β、分散共分散行列Σをパラメータベクトルθで表す。k番目の隠れマルコフモデルの発生確率π、初期確率ベクトルγにおける各出力シンボルの発生確率、確率遷移行列a,bにおける各状態遷移確率、隠れ変数の各状態に対応する継続時間分布のパラメータλ、および上述のθをパラメータベクトルθ(k=1,…,K)で表し、θ=(θ,…,θ)とする。
【0165】
なお、離散値ベクトルデータの例の場合と同様に、隠れ変数のとりうる状態の個数とTの値が大きく数12の計算が実用的に難しい場合は、ViterbiによるViterbiアルゴリズムを継続時間分布を持つ場合に拡張したアルゴリズム(例えば、確率モデルによる音声認識,pp:74−78,電子情報通信学会,1988)を使用して求められた最適状態遷移系列の確率で近似する。
【0166】
パラメータ記憶装置22は、上述のパラメータθおよび各kについて後述のパラメータ更新規則によって計算されたc,γ,a,b,d,λ ,μ ,C ,Σ を記憶する。ただし、離散値ベクトルデータの例の場合と同様に、隠れマルコフモデルの個数Kと、過去のデータの忘却の速さを表す忘却係数r(0<r<1;rが大きい程、過去のデータを速く忘却する)、パラメータνが予め与えられているものとし、データが読み込まれる前にこれらの全てのパラメータは初期化されているものとする。
【0167】
確からしさ計算手段21では、確からしさが数1および数12〜数15によって計算される。
【0168】
また、パラメータ更新手段23では、数4、数5および数16〜数29に示すように、各k=1,…,Kについて順次計算する。
【0169】
【数16】
Figure 2004309998
【0170】
【数17】
Figure 2004309998
【0171】
【数18】
Figure 2004309998
【0172】
【数19】
Figure 2004309998
【0173】
【数20】
Figure 2004309998
【0174】
【数21】
Figure 2004309998
【0175】
【数22】
Figure 2004309998
【0176】
【数23】
Figure 2004309998
【0177】
【数24】
Figure 2004309998
【0178】
【数25】
Figure 2004309998
【0179】
【数26】
Figure 2004309998
【0180】
【数27】
Figure 2004309998
【0181】
【数28】
Figure 2004309998
【0182】
【数29】
Figure 2004309998
【0183】
なお、τ,τ’’,τ’は、それぞれ入力データが与えられたときの、時点tから時点(t+d−1)が状態sであり,時点(t+d)に状態s’となる事後確率、時点tから時点(t+d−1)が状態sである事後確率、時点tから状態sである事後確率を表す。これらのτ,τ’’,τ’は、BaumらによるBaum‐Welchアルゴリズムを継続時間分布を持つ場合に拡張したアルゴリズム(例えば、確率モデルによる音声認識,pp: 74−78,電子情報通信学会,1988)を用いて計算される。また、数20、数21のd,λ は、それぞれ継続時間分布であるポアソン分布の重み付け十分統計量の条件付期待値である。数23のμ ,数25のC ,数28のΣ は、それぞれ自己回帰モデルの重み付け十分統計量の条件付期待値である。特に、数25のC は、L次自己回帰モデルにおける自己相関係数の重み付け十分統計量の条件付期待値を計算するものである(l=1,…,L)。また、自己回帰モデルの係数行列β,…,βは、数27のL次元連立方程式を解くことによって得られる。ただし、C ,− =C である。
【0184】
また、数28の各y d’の予測値は、数27において得られたβ,…,βを用いて数30によって計算される。
【0185】
【数30】
Figure 2004309998
【0186】
以上では、連続値ベクトルデータで表される行動データを学習する確率分布推定装置について継続時間分布および各状態に対応する自己回帰モデルを持つ1次元隠れマルコフモデルの有限混合分布を隠れ変数を持つ確率モデルの一例として説明した。この例は、容易に継続時間分布および各状態に対応する自己回帰モデルを持つn次元隠れマルコフモデルの有限混合分布に拡張される。この他に、各状態に対応するモデルが、回帰モデルや移動平均モデル、自己回帰移動平均モデル、正規分布である場合が考えられる。また、自己回帰モデルまたは多項式回帰モデルの有限混合分布、因子分析モデルなどが考えられる。また、時点tの隠れ変数xが線形または非線形関数hを用いてx=h(x,…,x )で表されるとする。観測時系列yが線形または非線形関数hを用いてy=h(x,…,x)で表されるとする。このとき、h,hによって表される全ての連続値ベクトルデータを表す状態空間モデルが考えられる。十分統計量の条件付期待値を解析的に算出可能な全ての隠れ変数を持つ確率モデルについて、上のパラメータ更新規則を適用することができる。
【0187】
第1の実施の形態によれば、確率モデルを用いることによって大量の行動データをノイズに対してロバストに、オンラインアルゴリズムを適用することによって高速に、かつ忘却型アルゴリズムを用いることによって適応的に学習して、各データが発生する確率分布を推定することができる。
【0188】
[第2の実施の形態]
図3は、本発明の第2の実施の形態に係る確率分布推定装置4の構成を示すブロック図である。図3を参照すると、確率分布推定装置4は、図1に示された第1の実施の形態に係る確率分布推定装置2に対して、セッション化手段41を付加した点だけが異なる。よって、確からしさ計算手段21,パラメータ記憶装置22,パラメータ更新手段23,およびパラメータ出力装置24の動作は、確率分布推定装置2における各手段21〜24の動作と同一のため、説明は省略する。
【0189】
セッション化手段41は、入力装置1から得られたデータが行動を表すベクトルの形式を持たない場合、これをベクトルデータに変換するセッション化を行う。
【0190】
以下では、セッション化手段41を有しない場合の入力データおよびセッション化手段41を有する場合のセッション化後のデータを入力データと記述する。
【0191】
図4は、図3の確率分布推定装置4の概略動作を表すフロー図である。ステップS22のセッション化では、入力データが行動を表すベクトルの形式を持たない場合、これをベクトルデータに変換するセッション化を行う。ステップS20,S21およびS23〜S25の動作は、図2のステップS10〜S14の動作と同一のため、説明は省略する。
【0192】
第2の実施の形態によれば、データが行動を表すベクトルの形式を持たない場合でも、大量の行動データをノイズに対してロバストに高速かつ適応的に学習して各データが発生する確率分布を推定することができる。
【0193】
[第3の実施の形態]
ところで、上述の隠れ変数を持つ確率モデルを表現するには、確率分布推定装置2または確率分布推定装置4によって計算されたパラメータの値を指定すれば十分であることから、異常行動検出装置は、パラメータの値を上述の確率分布推定装置2または確率分布推定装置4のパラメータ出力装置24から受け取り、これを用いて入力データの異常行動らしさを計算する。
【0194】
図5は、本発明の第3の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、データを入力する入力装置1と、状態推定スコアを出力する出力装置3と、図1に示した確率分布推定装置2または図3に示した確率分布推定装置4と、入力データが各隠れ変数に対応する状態を持つ確からしさを計算する状態推定手段5とを有する。
【0195】
図6は、第3の実施の形態に係る異常行動検出装置の動作を表すフロー図である。第3の実施の形態に係る異常行動検出装置は、入力装置1によりデータを入力し(ステップS31)、確率分布推定装置2または確率分布推定装置4を用いてパラメータの更新を行い(ステップS32)、得られたパラメータを用いて状態推定手段5において上述の状態推定スコアを計算し(ステップS33)、計算した状態推定スコアを出力装置3から出力する(ステップS34)。
【0196】
例えば、隠れ変数を持つ確率モデルが、数1のように、ある確率モデルPの有限混合分布で表される場合を考える。状態推定手段5は、確率分布推定装置2または確率分布推定装置4(パラメータ出力装置24)から受け取ったパラメータの値を用いて、スコアとして数31のように各kについての確率モデルPから生起した確率を表す事後確率を状態推定スコアcとして計算して出力する。
【0197】
【数31】
Figure 2004309998
【0198】
この他にも、状態推定手段5は、例えば確率モデルPに数3のn次元隠れマルコフモデルを用いた場合、各隠れ変数xが対応する状態をとる確からしさを計算して出力する。隠れ変数を持つ確率モデルの全ての隠れ変数について、状態推定手段5によって隠れ変数が対応する状態をとる確からしさを計算し出力することが考えられる。
【0199】
第3の実施の形態によれば、逐次的に行動データを読み込みながら忘却型アルゴリズムにより適応的な確率分布推定を行い、推定された確率分布を使用して、入力データが各隠れ変数に対応する状態を持つ確からしさを状態推定スコアとして計算するので、大量の行動データをノイズに対してロバストに高速かつ適応的に学習して各データが発生する確率分布を推定する確率分布推定装置を用いた異常行動検出装置により異常行動データの検出を行うことができる。
【0200】
[第4の実施の形態]
図7は、本発明の第4の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、データを入力する入力装置1と、異常行動度を出力する出力装置3と、図1に示した確率分布推定装置2または図3に示した確率分布推定装置4と、入力データの異常行動度を計算する異常検出手段6とから構成されている。
【0201】
異常検出手段6は、異常行動度計算部61を備え、確率分布推定装置2または確率分布推定装置4(パラメータ出力装置24)から受け取ったパラメータの値を用いて、異常行動度としてデータの情報量を計算して出力する。具体的には、現在入力された長さTのデータyに対し、1〜(j−1)番目までのデータから推定された確率分布のパラメータθ(j 1)を用いて、異常行動度を現すスコアとして数32または数33のように計算する。
【0202】
【数32】
Figure 2004309998
【0203】
【数33】
Figure 2004309998
【0204】
数32または数33は、その値が大きいほど入力データyが全体のパタンから外れた異常行動データであるという意味を持つ。ここで、数32および数33の第1項は、確率モデルPを用いて入力データyを圧縮したと考えた場合の圧縮率に相当する。数33中の“Compress”は、入力データyを例えばLempel−Ziv符号などのユニバーサル符号を用いて圧縮したときの圧縮率を示す。したがって、数33の第2項は、規則的なパタンや特徴的なパタンを持った異常行動データに対してより高いスコアを与える効果を持つ。なお、数32や数33で用いる推定パラメータはWを正の整数として、ただちにθ(j W)などに一般化される。また、f(y)は、入力データyの長さを表す関数である。入力データyが離散値ベクトルデータの場合は、例えばf(y)=Tとし、数32および数33の対数関数の底を出力シンボルの総数とする。また、入力データyが連続値ベクトルデータの場合は、例えば、g(y)をyをコンピュータ内で2進数表現した場合に必要とされるビット数として、f(y)=Σg(y)とする。また、数32および数33の対数関数の底を2とする。
【0205】
図8は、第4の実施の形態に係る異常行動検出装置の動作を表すフロー図である。第4の実施の形態に係る異常行動検出装置は、入力装置1によりデータを入力し(ステップS41)、確率分布推定装置2または確率分布推定装置4を用いてパラメータの更新を行い(ステップS42)、得られたパラメータを用いて異常検出手段6の異常行動度計算部61において上述の異常行動度を計算し(ステップS43)、計算した異常行動度を出力装置3から出力する(ステップS44)。
【0206】
第4の実施の形態によれば、逐次的に行動データを読み込みながら忘却型アルゴリズムにより適応的な確率分布推定を行い、推定された確率分布を使用して、データの確率分布に対する情報量として異常行動度を計算するので、大量の行動データをノイズに対してロバストに高速かつ適応的に学習して各データが発生する確率分布を推定する確率分布推定装置を用いた異常行動検出装置により異常行動データの検出を行うことができる。
【0207】
[第5の実施の形態]
図9は、本発明の第5の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、データを入力する入力装置1と、行動モデル変化度を出力する出力装置3と、図1に示した確率分布推定装置2または図3に示した確率分布推定装置4と、入力データの異常行動度を計算し、この異常行動度を用いて行動モデル変化度を計算する異常検出手段7とから構成されている。
【0208】
異常検出手段7は、異常行動度計算部61で計算された異常行動度を使用して、行動モデル変化度計算部71において異常行動度の平均を行動モデル変化度を現すスコアとして計算して出力する。具体的には、予め定められた時間間隔をWとすると、現在入力されたデータy、その直前の(W−1)個のデータy +1,…,y と1〜(j−W)番目までのデータから推定された確率分布のパラメータθ(j W)を用いて、例えば数34のように計算する。数34は、その値が大きいほど、y −W+1,…yがバーストな異常行動データであるという意味を持つ。
【0209】
【数34】
Figure 2004309998
【0210】
図10は、第5の実施の形態に係る異常行動検出装置の動作を表すフロー図である。第5の実施の形態に係る異常行動検出装置は、入力装置1によりデータを入力し(ステップS51)、確率分布推定装置2または確率分布推定装置4を用いてパラメータの更新を行い(ステップS52)、得られたパラメータを用いて異常行動度計算部61において異常行動度を計算し(ステップS53)、行動モデル変化度計算部71において異常行動度を用いて上述の行動モデル変化度を計算し(ステップS54)、計算した行動モデル変化度を出力装置3から出力する(ステップS55)。
【0211】
第5の実施の形態によれば、過去のデータから適応的に学習した確率分布からの外れ値を表す異常行動度がある一定区間内で平均として特に大きくなっているかどうかを行動モデル変化度として計算し、外れ値が集中的に発生したことを検出するため、バーストな異常行動を意味する行動の変化を検出することができる。
【0212】
[第6の実施の形態]
図11は、本発明の第6の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、データを入力する入力装置1と、事後確率の変化を出力する出力装置3と、図1に示した確率分布推定装置2または図3に示した確率分布推定装置4と、事後確率の変化の比較の対象として用いる1個以上の参照データを入力する参照データ入力装置9と、入力データの事後確率と参照データの事後確率とを計算する事後確率計算手段8と、事後確率計算手段8によって計算された事後確率の変化を計算する事後確率変化度計算手段10とから構成されている。
【0213】
事後確率計算手段8は、確率分布推定装置2または確率分布推定装置4で推定された確率分布のパラメータを用いて、入力データと参照データ入力装置9から入力された参照データの隠れ変数に対応する状態の事後確率をそれぞれ計算する。
【0214】
事後確率変化度計算手段10は、上述の事後確率計算手段8によって計算された2つの事後確率の差を事後確率変化度として計算して出力する。
【0215】
具体的には、例えば、隠れ変数を持つ確率モデルが、数1のように、ある確率モデルPの有限混合分布で表される場合を考える。入力データをy、参照データのデータ集合をY、正の整数をW、推定パラメータをθ(j W)として、事後確率計算手段8によって、各kについてP(k|Y,θ(j W))とP(k|Y,y,θ(j W))を計算する。なお、ここで参照データは、過去の入力データy,…y の部分集合とする。このときに、事後確率変化度は、例えば、数35や数36によって事後確率変化度計算手段10で計算する。数35や数36は、その値が大きいほど、入力データyが参照データの行動パタンと異なる異常行動データであるという意味を持つ。
【0216】
【数35】
Figure 2004309998
【0217】
【数36】
Figure 2004309998
【0218】
この他にも、事後確率計算手段8は、例えば確率モデルPに数3のn次元隠れマルコフモデルを用いた場合、各隠れ変数xが対応する状態をとる事後確率を、入力データと、入力データおよび参照データを合わせたデータとについてそれぞれ計算し、これらの変化を事後確率変化度計算手段10により計算して出力する。隠れ変数を持つ確率モデルの全ての隠れ変数について、事後確率計算手段8によって入力データの隠れ変数と参照データの隠れ変数とが対応する状態をとる事後確率を計算し、その変化を事後確率変化度計算手段10によって計算して出力することが考えられる。
【0219】
図12は、第6の実施の形態に係る異常行動検出装置の動作を表すフロー図である。第6の実施の形態に係る異常行動検出装置は、入力装置1によりデータを入力し(ステップS61)、確率分布推定装置2または確率分布推定装置4を用いてパラメータの更新を行い(ステップS62)、事後確率の比較対照として用いる参照データを参照データ入力装置9により入力し(ステップS63)、事後確率計算手段8により入力データと参照データとを用いて上述の2つの事後確率を計算し(ステップS64)、これらの2つの事後確率を用いて事後確率変化度を事後確率変化度計算手段10により計算し(ステップS65)、計算した事後確率変化度を出力装置3から出力する(ステップS66)。
【0220】
第6実施の形態によれば、事後確率変化度を用いることにより、分布全体からの外れ値だけではなく、あるプログラムやユーザについて、その隠れ変数の対応する状態の変化を検出することが可能であるため、複数プログラムや複数ユーザのデータが混合した状況の行動データを扱う問題において、各個人の行動の変化を検出することが可能であり、同時に各個人についての行動データが少ない場合にも精度のよい異常行動データの検出ができる。また、個人の行動データが少ない場合、複数のプログラムやユーザの行動データを合わせた全体のデータからの学習を行うことで、類似する行動パタンを持つデータを用いて単独のデータのみを使う場合に比べより信頼性のある学習を行うことができ、この推定された確率分布と事後確率変化度計算手段10を用いることにより、精度のよい異常行動データの検出を実現できる。
【0221】
[第7の実施の形態]
図13は、本発明の第7の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、データを入力する入力装置1と、情報量規準の値を出力する出力装置3と、隠れ変数のとりうる状態の個数の異なる隠れ変数を持つ確率モデルについてそれぞれのパラメータの推定を並列に行うための、複数個の図1に示した確率分布推定装置2または図3に示した確率分布推定装置4と、情報量規準計算手段11とから構成されている。
【0222】
情報量規準計算手段11は、複数個の図1に示した確率分布推定装置2または図3に示した確率分布推定装置4を使用して、隠れ変数のとりうる状態の個数の異なる隠れ変数を持つ確率モデルについてそれぞれ計算された推定パラメータを用いて情報量規準を計算し、情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する。
【0223】
具体的には、例えば、隠れ変数を持つ確率モデルが、数1のように、ある確率モデルPの有限混合分布で表される場合を考える。現在の入力データをyとして、W,Wをそれぞれ正の整数とするとき、各Kについて数37または数38のように計算する。数37または数38のScore4を最も小さくするKの値を最適な有限混合分布の個数として出力する。数37または数38は、例えば、その値を最も小さくするKの値が変化したとき、入力データyによって行動パタンの数が変化したという意味を持つ。上述のKの値が大きくなるときは、新たな行動パタンが生成したときであり、Kの値が小さくなるときは、既存の行動パタンが消滅したときである。例えば、新しい行動パタンの生成から、異常な行動データの特徴的なパタンを発見することができる。また、パタンの生成や消滅から、全体のデータの傾向の時間的な変化を知ることができる。
【0224】
【数37】
Figure 2004309998
【0225】
【数38】
Figure 2004309998
【0226】
この他にも、例えば、確率モデルPに数3のn次元隠れマルコフモデルを用いた場合、複数個の図1に示した確率分布推定装置2または図3に示した確率分布推定装置4を使用して、各隠れ変数xのとりうる状態の個数を変化させた場合のパラメータの推定を並列に行い、情報量規準計算手段11は、それぞれの状態の個数の異なるn次元隠れマルコフモデルの有限混合分布について情報量規準の値を計算し、情報量規準の値が最も小さい時の状態の個数を最適な値として出力する。また、例えば、確率モデルPに数12〜14によって表される、継続時間分布と隠れ変数のとる各状態に対応する自己回帰モデルを持つ1次元隠れマルコフモデル用いた場合、複数個の図1に示した確率分布推定装置2または図3に示した確率分布推定装置4を使用して、各隠れ変数xのとりうる状態の個数や各隠れ変数xが対応する状態をとる継続時間を変化させた場合のパラメータの推定を並列に行い、情報量規準計算手段11は、それぞれの継続時間分布と隠れ変数のとる各状態に対応する自己回帰モデルを持つ1次元隠れマルコフモデルの有限混合分布について情報量規準の値を計算し、情報量規準の値が最も小さい時の状態の個数や状態の継続時間を最適な値として出力する。
【0227】
隠れ変数を持つ確率モデルの全ての隠れ変数について、複数個の図1に示した確率分布推定装置2または図3に示した確率分布推定装置4を使用して、隠れ変数のとりうる状態の個数の異なる隠れ変数を持つ確率モデルについてそれぞれのパラメータの推定を並列に行い、情報量規準計算手段11によって推定パラメータを用いて情報量規準を計算し、情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力することが考えられる。
【0228】
図14は、第7の実施の形態に係る異常行動検出装置の動作を表すフロー図である。第7の実施の形態に係る異常行動検出装置は、入力装置1によりデータを入力し(ステップS71)、複数個の確率分布推定装置2または確率分布推定装置4を用いて、それぞれ異なる隠れ変数のとりうる状態の個数を持つ確率分布のパラメータの更新を行い(ステップS72)、各確率分布について情報量規準を情報量規準計算手段11により計算し(ステップS73)、これらの情報量規準の値を出力装置3から出力する(ステップS74)。
【0229】
[第8の実施の形態]
図15は、本発明の第8の実施の形態に係る確率分布推定装置2の構成を示すブロック図である。本実施の形態に係る確率分布推定装置2は、図1に示した第1の実施の形態に係る確率分布推定装置2に対して確率分布推定プログラム100を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0230】
確率分布推定プログラム100は、コンピュータでなる確率分布推定装置2に読み込まれ、確率分布推定装置2の動作を、確からしさ計算手段21,パラメータ記憶装置22,パラメータ更新手段23およびパラメータ出力装置24として制御する。確率分布推定プログラム100の制御による確率分布推定装置2の動作は、第1の実施の形態に係る確率分布推定装置2の動作と全く同様になるので、その詳しい説明を割愛する。
【0231】
[第9の実施の形態]
図16は、本発明の第9の実施の形態に係る確率分布推定装置4の構成を示すブロック図である。本実施の形態に係る確率分布推定装置4は、図3に示した第2の実施の形態に係る確率分布推定装置4に対して確率分布推定プログラム200を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0232】
確率分布推定プログラム200は、コンピュータでなる確率分布推定装置4に読み込まれ、確率分布推定装置4の動作を、確からしさ計算手段21,パラメータ記憶装置22,パラメータ更新手段23,パラメータ出力装置24およびセッション化手段41として制御する。確率分布推定プログラム200の制御による確率分布推定装置4の動作は、第2の実施の形態に係る確率分布推定装置4の動作と全く同様になるので、その詳しい説明を割愛する。
【0233】
[第10の実施の形態]
図17は、本発明の第10の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、図5に示した第3の実施の形態に係る異常行動検出装置を実現するコンピュータ300に対して異常行動検出プログラム400を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0234】
異常行動検出プログラム400は、コンピュータ300でなる異常行動検出装置に読み込まれ、異常行動検出装置の動作を、確率分布推定装置2または確率分布推定装置4,および状態推定手段5として制御する。異常行動検出プログラム400の制御による異常行動検出装置の動作は、第3の実施の形態に係る異常行動検出装置の動作と全く同様になるので、その詳しい説明を割愛する。
【0235】
[第11の実施の形態]
図18は、本発明の第11の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、図7に示した第4の実施の形態に係る異常行動検出装置を実現するコンピュータ500に対して異常行動検出プログラム600を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0236】
異常行動検出プログラム600は、コンピュータ500でなる異常行動検出装置に読み込まれ、異常行動検出装置の動作を、確率分布推定装置2または確率分布推定装置4,および異常行動度計算部61を含む異常検出手段6として制御する。異常行動検出プログラム600の制御による異常行動検出装置の動作は、第4の実施の形態に係る異常行動検出装置の動作と全く同様になるので、その詳しい説明を割愛する。
【0237】
[第12の実施の形態]
図19は、本発明の第12の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、図9に示した第5の実施の形態に係る異常行動検出装置を実現するコンピュータ700に対して異常行動検出プログラム800を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0238】
異常行動検出プログラム800は、コンピュータ700でなる異常行動検出装置に読み込まれ、異常行動検出装置の動作を、確率分布推定装置2または確率分布推定装置4,ならびに異常行動度計算部61および行動モデル変化度計算部71を含む異常検出手段7として制御する。異常行動検出プログラム800の制御による異常行動検出装置の動作は、第5の実施の形態に係る異常行動検出装置の動作と全く同様になるので、その詳しい説明を割愛する。
【0239】
[第13の実施の形態]
図20は、本発明の第13の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、図11に示した第6の実施の形態に係る異常行動検出装置を実現するコンピュータ900に対して異常行動検出プログラム1000を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0240】
異常行動検出プログラム1000は、コンピュータ900でなる異常行動検出装置に読み込まれ、異常行動検出装置の動作を、確率分布推定装置2または確率分布推定装置4,事後確率計算手段8,参照データ入力装置9および事後確率変化度計算手段10として制御する。異常行動検出プログラム1000の制御による異常行動検出装置の動作は、第6の実施の形態に係る異常行動検出装置の動作と全く同様になるので、その詳しい説明を割愛する。
【0241】
[第14の実施の形態]
図21は、本発明の第14の実施の形態に係る異常行動検出装置の構成を示すブロック図である。本実施の形態に係る異常行動検出装置は、図13に示した第7の実施の形態に係る異常行動検出装置を実現するコンピュータ1100に対して異常行動検出プログラム1200を付加するようにした点だけが異なる。したがって、その他の特に言及しない部分には同一符号を付して、それらの詳しい説明を省略する。
【0242】
異常行動検出プログラム1200は、コンピュータ1100でなる異常行動検出装置に読み込まれ、異常行動検出装置の動作を、複数の確率分布推定装置2または確率分布推定装置4,および情報量規準計算手段11として制御する。異常行動検出プログラム1200の制御による異常行動検出装置の動作は、第7の実施の形態に係る異常行動検出装置の動作と全く同様になるので、その詳しい説明を割愛する。
【0243】
【実施例】
次に、本発明の第1の実施の形態に係る確率分布推定装置(図1の2)および確率分布推定方法の実施例を説明する。本実施例では、例として、データを離散値ベクトルデータとし、確率分布を隠れマルコフモデルの有限混合分布として、説明する。あるユーザのコマンド履歴を一定時間ごとに記録したものが1入力データとして入力装置1から得られる。ここで、各入力データの長さは異なっていてもよい。確率分布推定装置2は、例えば“(cd,ls,cp,…)”を1入力データyとし、“cd”,“ls”などをそれぞれ入力データのシンボルy,yとする。このとき、隠れマルコフモデルの隠れ変数は、例えばこれらの各コマンドのうち類似するものを集めた集合となり、隠れマルコフモデルのパラメータは、それぞれγがこれらのクラスタの初期確率、aがこれらのクラスタ間の遷移行列、bがこれらのクラスタの条件付の入力データのシンボルの確率となる。
【0244】
次に、本発明の第2の実施の形態に係る確率分布推定装置(図3の4)および確率分布推定方法の実施例を説明する。本実施例では、セッション化手段(図3の41)は、例えば入力データが“13:40:01 cd,13:40:02 ls,13:41:21 cp,…,13:45:33 netscape,13:45:37 netscape,…”のようにコマンドの実行時間とコマンドが記録されたデータである場合、これを例えば一定時間ごとに区切って“(cd,ls,cp,…)”,“(netscape,netscape)”に変換するなどの方法により入力データ形式である離散値ベクトルデータに変換する。
【0245】
次に、本発明の第3の実施の形態に係る異常行動検出装置(図5)の実施例を、図22を参照して説明する。本実施例では、あるユーザの過去のコマンド履歴データ“(cd,ls,cp,…),(netscape,netscape),…”から第1の実施の形態に係る確率分布推定装置(図1の2)または第2の実施の形態に係る確率分布推定装置(図3の4)によって推定された確率分布のパラメータが得られ、現在のこのユーザが実行しているコマンド履歴を表す1入力データ“(ps,tcsh,tcsh,…)”が得られる。このとき、状態推定手段(図5の5)によって、例えば、入力データが学習した有限混合分布のどの隠れマルコフモデルから生起したかを表す確からしさを計算し、これを状態推定スコアとして出力する。ユーザが実行するいくつかのコマンドのパタンを表す各隠れマルコフモデルのうち、現在のコマンド履歴がどの隠れマルコフモデルから生起したかを計算することができる。具体的には、図22のように、ユーザの現在の入力したコマンド履歴の有限混合分布の各隠れマルコフモデルの表すパタンとの類似度を確率的に計算する。なお、図22の各パタンは、実際はそれぞれ初期確率や確率遷移行列などの隠れマルコフモデルのパラメータを用いて表される。また、状態推定手段(図5の5)によって、例えば、各隠れマルコフモデルの隠れ変数が対応する状態をとる確からしさを計算し、ユーザの実行する個々のコマンドがコマンド集合を表す各状態のうち、どの状態から生起したかを知ることができる。例えば、ファイルやディレクトリを編集するコマンドである、mv,cp,mkdirなどのコマンドを1つのコマンド集合を成すと仮定すると、状態推定手段(図5の5)によって個々のコマンドだけではなくファイルを編集する、という現象をとらえることができる。
【0246】
次に、本発明の第4の実施の形態に係る異常行動検出装置(図7)の実施例を説明する。本実施例では、あるユーザの過去のコマンド履歴データ“(cd,ls,cp,…),(netscape,netscape),…”から第1の実施の形態に係る確率分布推定装置(図1の2)または第2の実施の形態に係る確率分布推定装置(図3の4)によって推定された確率分布のパラメータが得られ、現在のこのユーザが実行しているコマンド履歴を表す1入力データ“(ps,tcsh,tcsh,…)”が得られる。このとき、異常検出手段(図7の6)によって、入力データの異常の度合いを出力し、この値が大きいほど異常であると判断する。
【0247】
次に、本発明の第5の実施の形態に係る異常行動検出装置(図9)の実施例を説明する。本実施例では、あるユーザの過去のコマンド履歴データ“(cd,ls,cp,…),(netscape,netscape),…”から第1の実施の形態に係る確率分布推定装置(図1の2)または第2の実施の形態に係る確率分布推定装置(図3の4)によって推定された確率分布のパラメータが得られ、現在のこのユーザが実行しているコマンド履歴を表す1入力データ“(ps,tcsh,tcsh,…)”が得られ、また現在から近い過去にユーザが実行したコマンド履歴を表すいくつかの入力データ“(netscape,netscape,…),(tcsh,tcsh,…)”が得られる。このとき、異常検出手段(図9の7)によって、最近のユーザの行動の変化の度合いを表す行動モデル変化度を出力し、この値が大きいほど異常であると判断する。
【0248】
次に、本発明の第6の実施の形態に係る異常行動検出装置(図11)の実施例を説明する。本実施例では、あるユーザの過去のコマンド履歴データ“(cd,ls,cp,…),(netscape,netscape),…”から第1の実施の形態に係る確率分布推定装置(図1の2)または第2の実施の形態に係る確率分布推定装置(図3の4)によって推定された確率分布のパラメータが得られ、現在このユーザが実行しているコマンド履歴を表す1入力データ“(ps,tcsh,tcsh,…)”が得られる。このとき、現在から近い過去にユーザが実行したコマンド履歴を表すいくつかの入力データを参照データ入力装置(図11の9)から入力し、事後確率計算手段(図11の8)によって参照データの事後確率とこれに現在のユーザのデータを加えたものの事後確率を計算する。次に、事後確率変化度計算手段(図11の10)によって、上述の2つの事後確率の変化を事後確率変化度として計算し、これを用いて現在のユーザの行動が過去と異なる隠れ変数の対応する状態を持つかどうかを見ることによって、確率分布が内部的に変化しているかどうかを判断する。
【0249】
また、本発明の第6の実施の形態に係る異常行動検出装置は、複数のプログラムまたはユーザのデータの混合したデータを扱う場合に特に有効であり、以下、複数ユーザのデータが得られる場合の第6の実施の形態に係る異常行動検出装置の実施例を説明する。複数のユーザの過去のコマンド履歴データ“ユーザ1:(cd,ls,cp,…),ユーザ2:(mail,netscape,netscape,…),ユーザ1:(netscape,netscape),…”から第1の実施の形態に係る確率分布推定装置(図1の2)または第2の実施の形態に係る確率分布推定装置(図3の4)によって推定された確率分布のパラメータが得られ、現在のユーザ1が実行しているコマンド履歴を表す1入力データ“(ps,tcsh,tcsh,…)”が得られる。このとき、過去のユーザ1のデータをいくつか集めたものを参照データ入力装置(図11の9)から入力し、事後確率計算手段(図11の8)によって参照データの事後確率とこれに現在のユーザ1のデータを加えたものの事後確率とを計算する。次に、事後確率変化度計算手段(図11の10)によって、上述の2つの事後確率の変化を事後確率変化度として計算し、これを用いて入力データの異常の度合いを出力し、この値が大きいほど異常であると判断する。
【0250】
次に、本発明の第7の実施の形態に係る異常行動検出装置(図13)の実施例を説明する。本実施例では、あるユーザの過去のコマンド履歴データ“(cd,ls,cp,…),(netscape,netscape),…”から第1の実施の形態に係る確率分布推定装置(図1の2)または第2の実施の形態に係る確率分布推定装置(図3の4)によって、例えば、有限混合分布の隠れマルコフモデルの個数を変化させてそれぞれの場合について並列に確率分布を推定する。推定された確率分布のパラメータを用いて、情報量規準計算手段(図13の11)によってそれぞれの確率分布について情報量規準を計算する。このとき、情報量規準の値が最も小さくなる隠れマルコフモデルの個数が現在最適なクラスタ数である。現在このユーザが実行しているコマンド履歴を表す1入力データ“(ps,tcsh,tcsh,…)”が得られ、このデータをそれぞれ上述の確率分布推定装置2または確率分布推定装置4に入力して再度並列にパラメータの推定と情報量規準の計算とを行う。このとき最適なクラスタ数が変化したかどうかを見ることで、新しい行動パタンの生成や消滅を表すモデルの構造変化を捉えることができる。また、隠れ変数のとりうる状態の個数を変化させた場合に情報量規準計算手段(図13の11)を用いれば、コマンドの連なりが意味する行動の生成や消滅だけではなく、個々のコマンド集合の生成や消滅を捉えることができる。具体的には、例えば、ファイルやディレクトリを編集するコマンドである、mv,cp,mkdirなどのコマンドを表す1つのコマンド集合の出現や消滅を時系列的に捉えることができる。
【0251】
以上のなりすまし検出の実施例の他に、プログラムが内部で実行するシステムコールのパタンを用いた侵入検出,Webの閲覧履歴を用いた不審顧客行動検出,アラームメッセージを用いたネットワーク障害検出などの応用がある。
【0252】
例えば、システムコール系列をデータとしたときに、異常検出手段(図7の6)を用いると、通常のプログラムが実行するシステムコールのパタンに対し侵入があった場合のシステムコールのパタンを外れ値として検出することで、侵入検出に応用される。また、同データに異常検出手段(図9の7)を用いると、侵入があったことによってシステムコールのパタンが継続的に大きく変化している状況を検出することができる。
【0253】
例えば、複数ユーザのWebの閲覧履歴が混合したWebの閲覧履歴をデータとしたときに、ある一人の顧客に着目して事後確率変化度計算手段(図11の10)を用いると、顧客の行動が全体の顧客の中では異常ではない場合でも、過去とは異なる閲覧の仕方をしている、という個人の行動変化を検出することができる。また、同データに情報量規準計算手段(図13の11)を用いると、Webページのデザインの変更が原因で生じた全体の顧客行動パタンの中での新しい行動パタンなどを検出することができる。
【0254】
また、データを連続値ベクトルデータとし、確率分布を継続時間分布と各状態に対応する自己回帰モデルを持つ隠れマルコフモデルの有限混合分布として、説明する。例えば、コンピュータ性能評価やネットワーク性能分析におけるリソース使用量をデータとする。
【0255】
CPU使用率やメモリ消費量などの時系列に観測される数値データを、曜日や時間帯などの一定時間単位に区切ったものを1行動データとする。例えば状態推定手段(図5の5)を用いて、有限混合分布のどの隠れマルコフモデルから生起したかの確からしさを計算した場合、現在の軌跡が数種類ある軌跡のパタンのうち、どのパタンに当てはまるのかを知ることができる。一方、状態推定手段(図5の5)を用いて、各隠れマルコフモデルの隠れ変数の対応するどの状態から生起したかの確からしさを計算した場合、現在の軌跡の特定の箇所がどのパタンに当てはまるのかを知ることができる。ここで、継続時間分布を持つ隠れマルコフモデルを用いることにより、時間方向の伸縮性を加味してロバストな状態推定を実現することができる。
【0256】
また、異常検出手段(図7の6)を用いると、図23のように複数ある軌跡のパタンのうちどれにも当てはまらないパタンを持つ軌跡を検出することができる。
【0257】
異常検出手段(図9の7)を用いると、障害があったことによってCPU使用率のパタンが過去のパタンと比較して継続的に大きく変化している状況を検出することができる。
【0258】
また、複数コンピュータのCPU使用率を観測するような状況があった場合、事後確率変化度計算手段(図11の10)を用いると、全体のパタンの中では、異常パタンではないけれども、あるコンピュータに着目したとき、そのコンピュータでは過去にはないようなパタンの軌跡が観測された、という状況を検出することができる。
【0259】
また、情報量規準計算手段(図13の11)を用いて、有限混合分布の最適な分布数を時系列に計算した場合、新しい軌跡のパタンの生成や消滅をその具体的な特徴と共に検出することができる。さらに、情報量規準計算手段(図13の11)を用いて、最適な継続時間や隠れ変数のとりうる状態の個数を計算した場合、軌跡の一部分として新しい特徴的なパタンの生成や消滅をとらえることができる。
【0260】
以上のCPU使用率の実施例のほかに、連続値データを用いる応用例として、署名認証や、ビデオ画像等の動画を用いた動体解析などへの応用がある。
【0261】
例えば、署名認証の場合、署名時の手の動作などを記録した数値データから異常検出手段(図7の6)を用いて本人の署名かどうかを鑑定することができる。
【0262】
また、例えば、ビデオ画像等の動画を用いた動体解析の場合、行動を表す数値データから情報量規準計算手段(図13の11)を用いて、新しい特徴的な行動パタンの生成や消滅をとらえることができる。
【0263】
【発明の効果】
第1の効果は、大量の行動を表すベクトルデータをノイズに対してロバストに、高速かつ適応的に学習して各データが発生する確率分布を推定する確率分布推定装置を用いた異常行動検出装置により異常行動データの検出を行うことができることにある。その理由は、逐次的に行動データを読み込みながら忘却型アルゴリズムにより適応的な確率分布推定を行い、推定された確率分布を使用して、隠れ変数に対応する状態の事後確率を状態推定スコアとして計算し、またデータの確率分布に対する情報量として異常行動度を計算するためである。
【0264】
第2の効果は、行動モデル変化度計算部により、バーストな異常行動を意味する行動の変化を検出することができることにある。その理由は、過去のデータから適応的に学習した確率分布からの外れ値を表す異常行動度がある一定区間内で平均として特に大きくなっているかどうかを行動モデル変化度として計算し、外れ値が集中的に発生したことを検出するためである。
【0265】
第3の効果は、事後確率変化度計算手段により、複数プログラムや複数ユーザのデータが混合した状況の行動データを扱う問題において、各個人の行動の変化を検出することが可能であり、同時に各個人についての行動データが少ない場合にも精度のよい異常行動データの検出ができることにある。その理由は、事後確率の変化を用いると、分布全体からの外れ値だけではなく、あるプログラムやユーザについて、その行動を表すモデルの隠れ変数に対応する状態の変化を検出することが可能であるためである。また、個人の行動データが少ない場合、複数のプログラムやユーザの行動データを合わせた全体のデータからの学習を行うことで、類似する行動パタンを持つデータを用いて単独のデータのみを使う場合に比べより信頼性のある学習を行うことができ、この推定された確率分布と上述の事後確率変化度計算手段を用いることにより、精度のよい異常行動データの検出を実現できるためである。
【0266】
第4の効果は、情報量規準計算手段により全体の行動モデルの構造の変化を検出することができることにある。その理由は、隠れ変数を持つ確率モデルの隠れ変数のとりうる状態の個数を変化させて、それぞれの確率モデルについてパラメータを推定し情報量規準を計算したとき、情報量規準の値が最も小さくなる隠れ変数のとりうる状態の個数が最適な隠れ変数のとりうる状態の個数であり、逐次的に確率分布推定を行っていく過程で最適な隠れ変数のとりうる状態の個数が変化する時点を見つけることによってデータの発生分布の大きな構造変化を検出できるためである。
【図面の簡単な説明】
【図1】本発明の第1の実施の形態に係る確率分布推定装置の構成を示すブロック図である。
【図2】第1の実施の形態に係る確率分布推定装置の動作を示すフロー図である。
【図3】本発明の第2の実施の形態に係る確率分布推定装置の構成を示すブロック図である。
【図4】第2の実施の形態に係る確率分布推定装置の動作を示すフロー図である。
【図5】本発明の第3の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図6】第3の実施の形態に係る異常行動検出装置の動作を示すフロー図である。
【図7】本発明の第4の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図8】第4の実施の形態に係る異常行動検出装置の動作を示すフロー図である。
【図9】本発明の第5の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図10】第5の実施の形態に係る異常行動検出装置の動作を示すフロー図である。
【図11】本発明の第6の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図12】第6の実施の形態に係る異常行動検出装置の動作を示すフロー図である。
【図13】本発明の第7の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図14】第7の実施の形態に係る異常行動検出装置の動作を示すフロー図である。
【図15】本発明の第8の実施の形態に係る確率分布推定装置の構成を示すブロック図である。
【図16】本発明の第9の実施の形態に係る確率分布推定装置の構成を示すブロック図である。
【図17】本発明の第10の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図18】本発明の第11の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図19】本発明の第12の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図20】本発明の第13の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図21】本発明の第14の実施の形態に係る異常行動検出装置の構成を示すブロック図である。
【図22】本発明の実施例を説明するための図である。
【図23】本発明の実施例を説明するための図である。
【符号の説明】
1 入力装置
2,4 確率分布推定装置
3 出力装置
5 状態推定手段
6,7 異常検出手段
8 事後確率計算手段
9 参照データ入力装置
10 事後確率変化度計算手段
11 情報量規準計算手段
21 確からしさ計算手段
22 パラメータ記憶装置
23 パラメータ更新手段
24 パラメータ出力装置
41 セッション化手段
61 異常行動度計算部
71 行動モデル変化度計算部
100,200 確率分布推定プログラム
300,500,700,900,1100 コンピュータ
400,600,800,1000,1200 異常行動検出プログラム

Claims (93)

  1. ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、隠れ変数を持つ確率モデルを用いて推定する確率分布推定装置であって、
    隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置と、
    入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段と、
    該確からしさ計算手段から確からしさを読み込み、前記確率モデルの各パラメータを前記パラメータ記憶装置から読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段と
    を備え、前記パラメータ記憶装置の前記確率モデルのパラメータのいくつかを出力するようにしたことを特徴とする確率分布推定装置。
  2. ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、継続時間分布および隠れ変数を持つ時系列モデルを用いて推定する確率分布推定装置であって、
    継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置と、
    入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段と、
    該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルの各パラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段と
    を備え、前記パラメータ記憶装置の前記確率モデルのパラメータのいくつかを出力するようにしたことを特徴とする確率分布推定装置。
  3. ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を、継続時間分布を持つ隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置であって、
    継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置と、
    入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、前記隠れマルコフモデルの有限混合分布から該入力データが発生した確からしさを計算する確からしさ計算手段と、
    該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布の各パラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段と
    を備え、前記パラメータ記憶装置の前記隠れマルコフモデルの有限混合分布のパラメータのいくつかを出力するようにしたことを特徴とする確率分布推定装置。
  4. 入力データをベクトルデータ列に加工するセッション化手段をさらに備えることを特徴とする請求項1,請求項2または請求項3記載の確率分布推定装置。
  5. 隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段と
    を備えることを特徴とする異常行動検出装置。
  6. 入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段と
    を備えることを特徴とする異常行動検出装置。
  7. 隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段と
    を備えることを特徴とする異常行動検出装置。
  8. 入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、各隠れ変数を持つ確率モデルのパラメータを前記パラメータ記憶装置から読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段と
    を備えることを特徴とする異常行動検出装置。
  9. 前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部をさらに備えることを特徴とする請求項7または請求項8記載の異常行動検出装置。
  10. 隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、各隠れ変数を持つ確率モデルのパラメータを前記パラメータ記憶装置から読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、
    前記入力データとは別のデータを入力として与える参照データ入力装置と、
    前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段と
    を備えることを特徴とする異常行動検出装置。
  11. 入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、
    前記入力データとは別のデータを入力として与える参照データ入力装置と、
    前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段と
    を備えることを特徴とする異常行動検出装置。
  12. 隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置と、
    隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段と
    を備えることを特徴とする異常行動検出装置。
  13. 入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置と、
    隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段と
    を備えることを特徴とする異常行動検出装置。
  14. 継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルから該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段と
    を備えることを特徴とする異常行動検出装置。
  15. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段と
    を備えることを特徴とする異常行動検出装置。
  16. 継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段と
    を備えることを特徴とする異常行動検出装置。
  17. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段と
    を備えることを特徴とする異常行動検出装置。
  18. 前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部をさらに備えることを特徴とする請求項16または請求項17記載の異常行動検出装置。
  19. 継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、
    前記入力データとは別のデータを入力として与える参照データ入力装置と、
    前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段と
    を備えることを特徴とする異常行動検出装置。
  20. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、
    前記入力データとは別のデータを入力として与える参照データ入力装置と、
    前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段と
    を備えることを特徴とする異常行動検出装置。
  21. 継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置と、
    隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段とを備えることを特徴とする異常行動検出装置。
  22. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置と、
    隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段とを備えることを特徴とする異常行動検出装置。
  23. 継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段と
    を備えることを特徴とする異常行動検出装置。
  24. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段と
    を備えることを特徴とする異常行動検出装置。
  25. 継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段と
    を備えることを特徴とする異常行動検出装置。
  26. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段と
    を備えることを特徴とする異常行動検出装置。
  27. 前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部をさらに備えることを特徴とする請求項25または請求項26記載の異常行動検出装置。
  28. 継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、
    前記入力データとは別のデータを入力として与える参照データ入力装置と、
    前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段と
    を備えることを特徴とする異常行動検出装置。
  29. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、
    該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、
    前記入力データとは別のデータを入力として与える参照データ入力装置と、
    前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段と
    を備えることを特徴とする異常行動検出装置。
  30. 継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置と、
    隠れ変数のとりうる状態の個数の異なる前記隠れマルコフモデルの有限混合分布に対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段と
    を備えることを特徴とする異常行動検出装置。
  31. 入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置と、
    隠れ変数のとりうる状態の個数の異なる前記隠れマルコフモデルの有限混合分布に対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段と
    を備えることを特徴とする異常行動検出装置。
  32. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に、隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と
    を含むことを特徴とする確率分布推定方法。
  33. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と
    を含むことを特徴とする確率分布推定方法。
  34. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と
    を含むことを特徴とする確率分布推定方法。
  35. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程をさらに含むことを特徴とする請求項32,請求項33または請求項34記載の確率分布推定方法。
  36. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程と
    を含むことを特徴とする異常行動検出方法。
  37. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程と
    を含むことを特徴とする異常行動検出方法。
  38. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程と
    を含むことを特徴とする異常行動検出方法。
  39. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程と
    を含むことを特徴とする異常行動検出方法。
  40. 複数個のデータを読み込み、前記推定された確率分布のパラメータを使用して前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する工程をさらに含むことを特徴とする請求項38または請求項39記載の異常行動検出方法。
  41. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程と、
    前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、
    更新前後の事後確率の変化を計算し出力する工程と
    を含むことを特徴とする異常行動検出方法。
  42. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程と、
    前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、
    更新前後の事後確率の変化を計算し出力する工程と
    を含むことを特徴とする異常行動検出方法。
  43. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    前記確率モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、
    該パラメータおよび入力データを用いて各確率モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程と
    を含むことを特徴とする異常行動検出方法。
  44. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に隠れ変数を持つ確率モデルを使用して、入力データの値に対して前記確率モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    前記確率モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、
    該パラメータおよび入力データを用いて各確率モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程と
    を含むことを特徴とする異常行動検出方法。
  45. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程と
    を含むことを特徴とする異常行動検出方法。
  46. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程と
    を含むことを特徴とする異常行動検出方法。
  47. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程と
    を含むことを特徴とする異常行動検出方法。
  48. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程と
    を含むことを特徴とする異常行動検出方法。
  49. 複数個のデータを読み込み、前記推定された確率分布のパラメータを使用して前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する工程をさらに含むことを特徴とする請求項47または請求項48記載の異常行動検出方法。
  50. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程と、
    前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、
    更新前後の事後確率の変化を計算し出力する工程と
    を含むことを特徴とする異常行動検出方法。
  51. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程と、
    前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、
    更新前後の事後確率の変化を計算し出力する工程と
    を含むことを特徴とする異常行動検出方法。
  52. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    前記時系列モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、
    該パラメータおよび入力データを用いて各時系列モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程と
    を含むことを特徴とする異常行動検出方法。
  53. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布および隠れ変数を持つ時系列モデルを使用して、入力データの値に対して前記時系列モデルのパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記時系列モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    前記時系列モデルのパラメータの個数を変化させて推定パラメータを並列に計算する工程と、
    該パラメータおよび入力データを用いて各時系列モデルについて計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程と
    を含むことを特徴とする異常行動検出方法。
  54. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程と
    を含むことを特徴とする異常行動検出方法。
  55. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定工程と
    を含むことを特徴とする異常行動検出方法。
  56. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程と
    を含むことを特徴とする異常行動検出方法。
  57. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記確率モデルのパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を用いて該データの異常行動度を計算して出力する工程と
    を含むことを特徴とする異常行動検出方法。
  58. 複数個のデータを読み込み、前記推定された確率分布のパラメータを使用して前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する工程をさらに含むことを特徴とする請求項56または請求項57記載の異常行動検出方法。
  59. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程と、
    前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、
    更新前後の事後確率の変化を計算し出力する工程と
    を含むことを特徴とする異常行動検出方法。
  60. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    推定された確率分布のパラメータを使用して、前記入力データとは別に参照データを読み込み、隠れ変数に対応する状態の事後確率を計算する工程と、
    前記入力データから新たに読み込んだデータを使用して該事後確率を更新する工程と、
    更新前後の事後確率の変化を計算し出力する工程と
    を含むことを特徴とする異常行動検出方法。
  61. ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    前記隠れマルコフモデルの有限混合分布のパラメータの個数を変化させて推定パラメータを並列に計算する工程と、
    該パラメータおよび入力データを用いて各有限混合分布について計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程と
    を含むことを特徴とする異常行動検出方法。
  62. 入力データがベクトルデータ構造を持たない場合に、該入力データを該ベクトルデータに変換するセッション化を行う工程と、
    ベクトルデータ列を入力とする工程と、
    該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布に継続時間分布を持つ隠れマルコフモデルの有限混合分布を使用して、入力データの値に対して前記隠れマルコフモデルの有限混合分布のパラメータから該入力データが発生した確からしさを計算する工程と、
    該確からしさおよび前記隠れマルコフモデルの有限混合分布のパラメータを使用して新たに読み込んだデータに応じて過去のデータを忘却しつつパラメータを更新する工程と、
    計算したパラメータ値の幾つかを出力する工程と、
    前記隠れマルコフモデルの有限混合分布のパラメータの個数を変化させて推定パラメータを並列に計算する工程と、
    該パラメータおよび入力データを用いて各隠れマルコフモデルの有限混合分布について計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する工程と
    を含むことを特徴とする異常行動検出方法。
  63. コンピュータを、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段として動作させるための確率分布推定プログラム。
  64. コンピュータを、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段として動作させるための確率分布推定プログラム。
  65. コンピュータを、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段として動作させるための確率分布推定プログラム。
  66. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段としてさらに動作させることを特徴とする請求項63,請求項64または請求項65記載の確率分布推定プログラム。
  67. コンピュータを、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段として動作させるための異常行動検出プログラム。
  68. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記確率モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段として動作させるための異常行動検出プログラム。
  69. コンピュータを、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段として動作させるための異常行動検出プログラム。
  70. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段として動作させるための異常行動検出プログラム。
  71. コンピュータを、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部としてさらに動作させることを特徴とする請求項69または請求項70記載の異常行動検出プログラム。
  72. コンピュータを、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、前記入力データとは別のデータを入力として与える参照データ入力装置と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段として動作させるための異常行動検出プログラム。
  73. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、前記入力データとは別のデータを入力として与える参照データ入力装置と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段として動作させるための異常行動検出プログラム。
  74. コンピュータを、隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段として動作させるための異常行動検出プログラム。
  75. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,隠れ変数を持つ確率モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み前記確率モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記確率モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記確率モデルを用いて推定する複数の確率分布推定装置と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段として動作させるための異常行動検出プログラム。
  76. コンピュータを、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段として動作させるための異常行動検出プログラム。
  77. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記時系列モデルの各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段として動作させるための異常行動検出プログラム。
  78. コンピュータを、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段として動作させるための異常行動検出プログラム。
  79. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段として動作させるための異常行動検出プログラム。
  80. コンピュータを、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部としてさらに動作させることを特徴とする請求項78または請求項79記載の異常行動検出プログラム。
  81. コンピュータを、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、前記入力データとは別のデータを入力として与える参照データ入力装置と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段として動作させるための異常行動検出プログラム。
  82. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、前記入力データとは別のデータを入力として与える参照データ入力装置と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段として動作させるための異常行動検出プログラム。
  83. コンピュータを、継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置と、隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段として動作させるための異常行動検出プログラム。
  84. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布および隠れ変数を持つ時系列モデルの全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み前記時系列モデルを用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記時系列モデルのパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記時系列モデルを用いて推定する複数の確率分布推定装置と、隠れ変数のとりうる状態の個数の異なる前記時系列モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段として動作させるための異常行動検出プログラム。
  85. コンピュータを、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段として動作させるための異常行動検出プログラム。
  86. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータが前記隠れマルコフモデルの有限混合分布の各隠れ変数に対応する状態を持つ確からしさをスコアとして出力する状態推定手段として動作させるための異常行動検出プログラム。
  87. コンピュータを、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段として動作させるための異常行動検出プログラム。
  88. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、新たに読み込んだデータの情報量を計算して該データの異常行動度として出力する異常検出手段として動作させるための異常行動検出プログラム。
  89. コンピュータを、前記確率分布推定装置により推定された確率分布のパラメータを使用して、新たに複数個のデータを読み込み、前記異常行動度の一定幅の時間平均として行動モデル変化度を計算して出力する行動モデル変化度計算部としてさらに動作させることを特徴とする請求項87または請求項88記載の異常行動検出プログラム。
  90. コンピュータを、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、前記入力データとは別のデータを入力として与える参照データ入力装置と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段として動作させるための異常行動検出プログラム。
  91. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する確率分布推定装置と、該確率分布推定装置により推定された確率分布のパラメータを使用して、隠れ変数に対応する状態の事後確率を計算する事後確率計算手段と、前記入力データとは別のデータを入力として与える参照データ入力装置と、前記事後確率計算手段により前記参照データ入力装置から読み込んだデータから計算された隠れ変数に対応する状態の事後確率および新たに読み込んだ入力データから計算された隠れ変数に対応する状態の事後確率を使用して、事後確率の変化を計算し出力する事後確率変化度計算手段として動作させるための異常行動検出プログラム。
  92. コンピュータを、継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置と、隠れ変数のとりうる状態の個数の異なる前記隠れマルコフモデルの有限混合分布に対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段として動作させるための異常行動検出プログラム。
  93. コンピュータを、入力データをベクトルデータ列に加工するセッション化手段,継続時間分布を持つ隠れマルコフモデルの有限混合分布の全てのパラメータを記憶するパラメータ記憶装置,入力データに対して前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み前記隠れマルコフモデルの有限混合分布を用いて該入力データが発生した確からしさを計算する確からしさ計算手段,および該確からしさ計算手段から確からしさを読み込み、前記パラメータ記憶装置から前記隠れマルコフモデルの有限混合分布のパラメータを読み込み、新たに読み込んだデータに応じて過去のデータを忘却しつつ前記パラメータ記憶装置の内容を更新するパラメータ更新手段を備え、ベクトルデータ列を入力として、該ベクトルデータ列を順次読み込みつつ各データが発生する確率分布を前記隠れマルコフモデルの有限混合分布を用いて推定する複数の確率分布推定装置と、隠れ変数のとりうる状態の個数の異なる前記確率モデルに対して前記複数の確率分布推定装置を並列に使用して、各確率分布推定装置により推定された確率分布のパラメータおよび入力データから計算した情報量規準の値が最も小さい時の隠れ変数のとりうる状態の個数を最適な値として出力する情報量規準計算手段として動作させるための異常行動検出プログラム。
JP2003171481A 2003-02-18 2003-06-17 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法 Pending JP2004309998A (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
JP2003171481A JP2004309998A (ja) 2003-02-18 2003-06-17 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法
US10/778,178 US7561991B2 (en) 2003-02-18 2004-02-17 Detection of abnormal behavior using probabilistic distribution estimation
US11/822,456 US20070255540A1 (en) 2003-02-18 2007-07-06 Apparatus and method of detecting abnormal behavior
US11/822,460 US20070255542A1 (en) 2003-02-18 2007-07-06 Method of detecting abnormal behavior
US11/822,457 US20070260435A1 (en) 2003-02-18 2007-07-06 Abnormal behavior detection apparatus
US11/822,455 US20070260434A1 (en) 2003-02-18 2007-07-06 Apparatus and program for detecting abnormal behavior
US11/822,459 US20070255541A1 (en) 2003-02-18 2007-07-06 Apparatus, method and program for detecting abnormal behavior

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003040347 2003-02-18
JP2003171481A JP2004309998A (ja) 2003-02-18 2003-06-17 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法

Publications (1)

Publication Number Publication Date
JP2004309998A true JP2004309998A (ja) 2004-11-04

Family

ID=32871206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003171481A Pending JP2004309998A (ja) 2003-02-18 2003-06-17 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法

Country Status (2)

Country Link
US (6) US7561991B2 (ja)
JP (1) JP2004309998A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005078077A (ja) * 2003-08-29 2005-03-24 Microsoft Corp 非線形予測子およびターゲットによって案内される時間的制約を使用して声道共鳴を追跡する方法および装置
WO2008087968A1 (ja) * 2007-01-17 2008-07-24 Nec Corporation 変化点検出方法および装置
JP2014216009A (ja) * 2013-04-26 2014-11-17 パロ・アルト・リサーチ・センター・インコーポレーテッドPaloAlto ResearchCenterIncorporated 情報の複数のドメインを組合せることによる仕事の実施データ内の異常の検知
JP2016048503A (ja) * 2014-08-28 2016-04-07 株式会社日立製作所 生活パターン管理システム及びアプリケーションサーバ
JP2018523885A (ja) * 2015-07-27 2018-08-23 ピヴォタル・ソフトウェア・インコーポレーテッド ユーザ挙動を異常として分類すること

Families Citing this family (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3506068B2 (ja) * 1999-09-29 2004-03-15 日本電気株式会社 外れ値度計算装置
CA2429375A1 (en) * 2003-05-22 2004-11-22 Cognos Incorporated Model action logging
US7650282B1 (en) * 2003-07-23 2010-01-19 Nexidia Inc. Word spotting score normalization
JP2005141601A (ja) * 2003-11-10 2005-06-02 Nec Corp モデル選択計算装置,動的モデル選択装置,動的モデル選択方法およびプログラム
EP1589716A1 (en) * 2004-04-20 2005-10-26 Ecole Polytechnique Fédérale de Lausanne (EPFL) Method of detecting anomalous behaviour in a computer network
WO2006030742A1 (ja) * 2004-09-14 2006-03-23 Matsushita Electric Industrial Co., Ltd. 機器制御システムおよび機器制御方法
US7516050B2 (en) * 2005-03-09 2009-04-07 Poulin Christian D Defining the semantics of data through observation
CN1333552C (zh) * 2005-03-23 2007-08-22 北京首信科技有限公司 基于机器学习的用户行为异常的检测方法
US7747084B2 (en) * 2005-06-15 2010-06-29 Lockheed Martin Corporation Methods and apparatus for target discrimination using observation vector weighting
US8255332B1 (en) * 2005-06-27 2012-08-28 Sam L. Savage Utilization and distribution of stochastic data
JP4626852B2 (ja) * 2005-07-11 2011-02-09 日本電気株式会社 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム
US7788205B2 (en) * 2006-05-12 2010-08-31 International Business Machines Corporation Using stochastic models to diagnose and predict complex system problems
JP4846493B2 (ja) * 2006-09-05 2011-12-28 富士通セミコンダクター株式会社 デバッグシステム及びデバッグ回路
US8160977B2 (en) * 2006-12-11 2012-04-17 Poulin Christian D Collaborative predictive model building
US7743086B2 (en) * 2007-06-14 2010-06-22 Microsoft Corporation Distributed kernel density estimation
US8463732B2 (en) * 2008-01-04 2013-06-11 Sam L. Savage Storage of stochastic information in stochastic information systems
US20090192784A1 (en) * 2008-01-24 2009-07-30 International Business Machines Corporation Systems and methods for analyzing electronic documents to discover noncompliance with established norms
US8204843B2 (en) * 2008-02-22 2012-06-19 Xerox Corporation Temporal events analysis employing tree induction
US20090216698A1 (en) * 2008-02-22 2009-08-27 Xerox Corporation Temporal events analysis employing tree induction
US8844033B2 (en) * 2008-05-27 2014-09-23 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting network anomalies using a trained probabilistic model
EP2288987A4 (en) * 2008-06-12 2015-04-01 Guardian Analytics Inc USER MODELING FOR DETECTING FRAUD AND ANALYSIS
US8126833B2 (en) 2008-09-11 2012-02-28 Behavioral Recognition Systems, Inc. Detecting anomalous events using a long-term memory in a video analysis system
CA2745316A1 (en) * 2008-12-03 2010-06-10 Chevron U.S.A. Inc. System and method of grid generation for discrete fracture modeling
WO2010065774A2 (en) * 2008-12-03 2010-06-10 Chevron U.S.A. Inc. System and method for predicting fluid flow characteristics within fractured subsurface reservoirs
US10290053B2 (en) 2009-06-12 2019-05-14 Guardian Analytics, Inc. Fraud detection and analysis
US20110138255A1 (en) * 2009-12-09 2011-06-09 Lee Daniel Chonghwan Probabilistic Learning-Based Decoding of Communication Signals
US8493211B2 (en) * 2010-09-17 2013-07-23 International Business Machines Corporation Providing event indications to prevent indication storms in an event model
US8478711B2 (en) 2011-02-18 2013-07-02 Larus Technologies Corporation System and method for data fusion with adaptive learning
KR101329904B1 (ko) * 2011-03-18 2013-11-14 닛본 덴끼 가부시끼가이샤 다변량 데이터의 혼합 모델 추정 장치, 혼합 모델 추정 방법 및 혼합 모델 추정 프로그램을 기록한 컴퓨터 판독가능 기록 매체
US9508045B2 (en) * 2012-08-17 2016-11-29 Raytheon Company Continuous-time baum-welch training
US9544204B1 (en) * 2012-09-17 2017-01-10 Amazon Technologies, Inc. Determining the average reading speed of a user
US9930082B2 (en) 2012-11-20 2018-03-27 Nvidia Corporation Method and system for network driven automatic adaptive rendering impedance
US10547713B2 (en) 2012-11-20 2020-01-28 Nvidia Corporation Method and system of transmitting state based input over a network
US10255124B1 (en) * 2013-06-21 2019-04-09 Amazon Technologies, Inc. Determining abnormal conditions of host state from log files through Markov modeling
US10324779B1 (en) 2013-06-21 2019-06-18 Amazon Technologies, Inc. Using unsupervised learning to monitor changes in fleet behavior
US10552511B2 (en) 2013-06-24 2020-02-04 Infosys Limited Systems and methods for data-driven anomaly detection
US9819604B2 (en) 2013-07-31 2017-11-14 Nvidia Corporation Real time network adaptive low latency transport stream muxing of audio/video streams for miracast
US20150235152A1 (en) * 2014-02-18 2015-08-20 Palo Alto Research Center Incorporated System and method for modeling behavior change and consistency to detect malicious insiders
US10445444B2 (en) * 2014-08-01 2019-10-15 Nec Corporation Flow rate prediction device, mixing ratio estimation device, method, and computer-readable recording medium
GB2529150B (en) 2014-08-04 2022-03-30 Darktrace Ltd Cyber security
US9842300B2 (en) * 2014-11-04 2017-12-12 Utah State University Statistical model for systems incorporating history information
CN104881711B (zh) * 2015-05-18 2018-08-07 中国矿业大学 基于矿工行为分析的井下预警机制方法
US10713140B2 (en) 2015-06-10 2020-07-14 Fair Isaac Corporation Identifying latent states of machines based on machine logs
US10360093B2 (en) * 2015-11-18 2019-07-23 Fair Isaac Corporation Detecting anomalous states of machines
GB2547202B (en) * 2016-02-09 2022-04-20 Darktrace Ltd An anomaly alert system for cyber threat detection
CN107563080B (zh) * 2017-09-11 2020-06-23 湖南大学 基于gpu的两相介质随机模型并行生成方法、电子设备
EP3528458B1 (en) 2018-02-20 2020-09-23 Darktrace Limited A cyber security appliance for a cloud infrastructure
US12063243B2 (en) 2018-02-20 2024-08-13 Darktrace Holdings Limited Autonomous email report generator
US11924238B2 (en) 2018-02-20 2024-03-05 Darktrace Holdings Limited Cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources
US11477222B2 (en) 2018-02-20 2022-10-18 Darktrace Holdings Limited Cyber threat defense system protecting email networks with machine learning models using a range of metadata from observed email communications
US11985142B2 (en) 2020-02-28 2024-05-14 Darktrace Holdings Limited Method and system for determining and acting on a structured document cyber threat risk
US11962552B2 (en) 2018-02-20 2024-04-16 Darktrace Holdings Limited Endpoint agent extension of a machine learning cyber defense system for email
US11463457B2 (en) 2018-02-20 2022-10-04 Darktrace Holdings Limited Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance
US20190334759A1 (en) * 2018-04-26 2019-10-31 Microsoft Technology Licensing, Llc Unsupervised anomaly detection for identifying anomalies in data
US10986121B2 (en) 2019-01-24 2021-04-20 Darktrace Limited Multivariate network structure anomaly detector
CN110288273B (zh) * 2019-04-19 2024-03-22 平安科技(深圳)有限公司 一种信息提示方法、装置、电子设备及存储介质
CN110766259B (zh) * 2019-04-24 2023-06-23 国网甘肃省电力公司电力科学研究院 风电供暖提升可再生能源消纳能力的评价方法和装置
US11288117B2 (en) * 2019-08-06 2022-03-29 Oracle International Corporation Predictive system remediation
US12034767B2 (en) 2019-08-29 2024-07-09 Darktrace Holdings Limited Artificial intelligence adversary red team
US11709944B2 (en) 2019-08-29 2023-07-25 Darktrace Holdings Limited Intelligent adversary simulator
JP2023524619A (ja) 2020-02-28 2023-06-13 ダークトレース ホールディングス リミテッド 関心度に基づいてデータ・フローを異なって取り扱うこと
US11973774B2 (en) 2020-02-28 2024-04-30 Darktrace Holdings Limited Multi-stage anomaly detection for process chains in multi-host environments
CN111708687B (zh) * 2020-06-15 2021-07-27 北京优特捷信息技术有限公司 一种设备异常指标确定方法、装置、设备和存储介质
CN113505163B (zh) * 2021-09-10 2021-12-14 成都明途科技有限公司 基于大数据挖掘的组织目标分析方法、系统、存储介质
CN116466657B (zh) * 2023-03-17 2023-09-19 浙江立群汽车配件制造有限公司 万向节总成自动化生产加工控制系统
CN117932233B (zh) * 2024-03-21 2024-07-02 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) 基于相似异常行为的用户行为模型微调方法、系统及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111862A (ja) * 1996-08-13 1998-04-28 Fujitsu Ltd 再帰型ニューラルネットワークに基づく時系列解析装置および方法
WO2000070310A1 (fr) * 1999-05-12 2000-11-23 Kyushu Kyohan Co., Ltd. Dispositif d'identification de signal faisant intervenir un algorithme genetique et systeme d'identification en ligne
JP2001101154A (ja) * 1999-09-29 2001-04-13 Nec Corp 外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5465321A (en) * 1993-04-07 1995-11-07 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Hidden markov models for fault detection in dynamic systems
US6212510B1 (en) * 1998-01-30 2001-04-03 Mitsubishi Electric Research Laboratories, Inc. Method for minimizing entropy in hidden Markov models of physical signals

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10111862A (ja) * 1996-08-13 1998-04-28 Fujitsu Ltd 再帰型ニューラルネットワークに基づく時系列解析装置および方法
WO2000070310A1 (fr) * 1999-05-12 2000-11-23 Kyushu Kyohan Co., Ltd. Dispositif d'identification de signal faisant intervenir un algorithme genetique et systeme d'identification en ligne
JP2001101154A (ja) * 1999-09-29 2001-04-13 Nec Corp 外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005078077A (ja) * 2003-08-29 2005-03-24 Microsoft Corp 非線形予測子およびターゲットによって案内される時間的制約を使用して声道共鳴を追跡する方法および装置
WO2008087968A1 (ja) * 2007-01-17 2008-07-24 Nec Corporation 変化点検出方法および装置
US8250005B2 (en) 2007-01-17 2012-08-21 Nec Corporation Change-point detecting method and apparatus
JP2014216009A (ja) * 2013-04-26 2014-11-17 パロ・アルト・リサーチ・センター・インコーポレーテッドPaloAlto ResearchCenterIncorporated 情報の複数のドメインを組合せることによる仕事の実施データ内の異常の検知
JP2016048503A (ja) * 2014-08-28 2016-04-07 株式会社日立製作所 生活パターン管理システム及びアプリケーションサーバ
JP2018523885A (ja) * 2015-07-27 2018-08-23 ピヴォタル・ソフトウェア・インコーポレーテッド ユーザ挙動を異常として分類すること
US11436530B2 (en) 2015-07-27 2022-09-06 Pivotal Software, Inc. Classifying user behavior as anomalous

Also Published As

Publication number Publication date
US20070255540A1 (en) 2007-11-01
US20070255541A1 (en) 2007-11-01
US20070260434A1 (en) 2007-11-08
US20040167893A1 (en) 2004-08-26
US20070260435A1 (en) 2007-11-08
US7561991B2 (en) 2009-07-14
US20070255542A1 (en) 2007-11-01

Similar Documents

Publication Publication Date Title
JP2004309998A (ja) 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法
Jain et al. A K-Means clustering and SVM based hybrid concept drift detection technique for network anomaly detection
Yang et al. Reinforcement learning in feature space: Matrix bandit, kernels, and regret bound
JP6609050B2 (ja) 時間的因果グラフにおける異常フュージョン
US7647524B2 (en) Anomaly detection
JP7044117B2 (ja) モデル学習装置、モデル学習方法、及びプログラム
CN112202726B (zh) 一种基于上下文感知的系统异常检测方法
JP2005141601A (ja) モデル選択計算装置,動的モデル選択装置,動的モデル選択方法およびプログラム
CN110912908B (zh) 网络协议异常检测方法、装置、计算机设备和存储介质
JP2019105871A (ja) 異常候補抽出プログラム、異常候補抽出方法および異常候補抽出装置
Alhaidari et al. Network anomaly detection using two-dimensional hidden markov model based viterbi algorithm
Chen et al. Combining incremental hidden Markov model and Adaboost algorithm for anomaly intrusion detection
Yamanishi et al. Dynamic model selection with its applications to novelty detection
Domeniconi et al. A classification approach for prediction of target events in temporal sequences
Shu et al. A general kpi anomaly detection using attention models
CN114401205B (zh) 无标注多源网络流量数据漂移检测方法和装置
CN117171738A (zh) 一种恶意软件分析方法、装置、存储介质及设备
Tinawi Machine learning for time series anomaly detection
JP4573857B2 (ja) 逐次更新型非定常検出装置、逐次更新型非定常検出方法、逐次更新型非定常検出プログラムおよびそのプログラムを記録した記録媒体
CN114861753A (zh) 一种基于大规模网络的数据分类方法和装置
Lv et al. Determination of the number of principal directions in a biologically plausible PCA model
Mohapatra et al. TFBEST: Dual-Aspect Transformer with Learnable Positional Encoding for Failure Prediction
Astaras et al. Data-driven IoT Security Using Deep Learning Techniques
Lobo New perspectives and methods for stream learning in the presence of concept drift
Jacob et al. A Systematic Analysis and Review on Intrusion Detection Systems Using Machine Learning and Deep Learning Algorithms

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060405

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070328

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070426

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080604

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090508