JP2006072666A - 時系列データ判定方法 - Google Patents
時系列データ判定方法 Download PDFInfo
- Publication number
- JP2006072666A JP2006072666A JP2004254856A JP2004254856A JP2006072666A JP 2006072666 A JP2006072666 A JP 2006072666A JP 2004254856 A JP2004254856 A JP 2004254856A JP 2004254856 A JP2004254856 A JP 2004254856A JP 2006072666 A JP2006072666 A JP 2006072666A
- Authority
- JP
- Japan
- Prior art keywords
- data
- time
- series data
- occurrence matrix
- window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 主成分分析に用いる複数の時系列入力データを、複数種類のイベントに含まれる二種類のイベント間の関連性を共起行列で表した行列データに変換する。共起行列は、全ての2つのイベント間の関連性の強さをその距離と出現頻度により表現する。したがって本発明によれば、時系列データに含まれる動的情報を利用して、時系列データが所定のカテゴリに属するものであるか否かを従来よりも高い精度で判定することができる。
【選択図】 図1
Description
Ye,X.Li,Q.Chen,S.M.Emran,及びM.Xu著の「Probablistic Techniques for Intrusion Detection Based on Computer Audit Data」IEEE Transactions of Systems Man and Cybernetics,Vol.31,pp.266−274, 2001 S.A.Hofmeyr,S.Forrest及びA.Somayaji著の「Intrusion Detection using Sequences of System Calls」Journal of Computer Security,vol.6,pp.151−180,1998 W.Lee及びS.J.Stolfo著の「A framework for constructing features and models for intrusion detection systems」,Information and System Security,vol.3,pp.227−261,2000 N.Habra,B.L.Charlier,A.Mounji及びI.Mathieu著の「ASAX:Software Architecture and Rule-BasedL anguage for Universal Audit Trail Analysis」In Proc.of European Symposiumon Researchin Computer Secu-rity(ESORICS),pp.435-450,1992 R.Sekar,M.Bendre及びP.Bollineni著の「A Fast Automaton Based Method for DetectingAnomalous Program Behaviors」In Proceedings of the 2001 IEEE Symposium on Security and Privacy,pp.144-155,Oakland,May2001. W.DuMouchel著の「Computer Intrusion Detection Based on Bayes Factors for Comparing Command Transition Probabilities」Technical Report TR91,National Institute of Statistical Sciences(NISS),1999. R.A.Maxion 及びT.N.Townsend.著の「Masquerade Detection Using Truncated CommandLines」In Prof.of the International Conferenceon Dependable Systems and Networks(DSN-02),pp.219-228,2002. A.K.Ghosh ,A.Schwartzbard,及びM.Schatz著の「A study in using neural networks foranomaly and misuse detection」In Proc.of USENIX Security Symposium,pp.141-151,1999. J.S.Tan,K.M.C.及びR.A.Maxion.MarkovChains著の「Classifiers and Intrusion Detection.In Proc.of 14th IEEE Computer Security Foundations Workshop,pp.206-219,2001 C.Warrender,S.Forresto及びB.A.Pearlmutter著の「Detecting Intrusions using System Calls :Alternative Data Models」In IEEE Symposium on Security and Privacy,pp.133-145,1999.
本発明の時系列データの判定方法と関係する部分について以下に説明する。判定方法では、前述の共起行列の変換で用いたウィンドウ・データ取出ステップと、前述のスコープ・データ抽出ステップと、前述の共起行列変換ステップに加えて、更に固有共起行列決定ステップと、プロファイル用共起行列変換ステップと、判定用特徴ベクトル抽出ステップと、テスト用共起行列変換ステップと、テスト用特徴ベクトル抽出ステップと、判定ステップとを実施する。
Claims (10)
- 複数種類のイベントを含んで構成される時系列データが所定の1以上のカテゴリに属するものであるか否かを特徴抽出方法と識別方法とを用いて判定する時系列データ判定方法であって、
前記特徴抽出方法として、複数の時系列入力データを前記複数種類のイベントに含まれる二種類のイベント間の関連性を共起行列で表した行列データに変換したものを用いる統計的特徴抽出方法を用い、
前記識別方法として前記統計的特徴抽出方法で抽出した特徴ベクトルを識別に利用するものを用いるを実施することを特徴とする時系列データ判定方法。 - 前記統計的特徴抽出方法が主成分分析法である請求項1に記載の時系列データ判定方法。
- 前記複数の時系列入力データを共起行列で表した行列データに変換する際には、
前記時系列入力データをそれぞれ予め定めたデータ長さのウィンドウで切り出して複数のウィンドウ・データを取り出すウィンドウ・データ取出ステップと、
前記ウィンドウ・データから前記データ長よりも短いデータ長を有する複数のスコープ・データを時間的なずれを持って順次抽出するスコープ・データ抽出ステップと、
前記複数のウィンドウ・データを複数の前記スコープ・データに基づいて前記ウィンドウ・データに含まれる前記複数種類のイベント相互間の時系列で見た関連性の強さを示す複数の共起行列に変換する共起行列変換ステップとを実施することを特徴とする請求項1または2に記載の時系列データ判定方法。 - 前記スコープ・データ抽出ステップでは、前記複数種類のイベントから選択した1つの種類の前記イベントが前記ウィンドウ・データに含まれる位置を基準位置として前記1つの種類のイベントに対する1以上の前記スコープ・データを抽出し、
前記共起行列変換ステップでは、前記1つの種類のイベントについての前記1以上のスコープ・データに含まれる他の1つの種類の前記イベントの数の合計値を、前記1つの種類のイベントに対する前記他の一つの種類のイベントの頻度とし、前記頻度を前記1つの種類のイベントに対する前記複数種類のイベントとの前記関連性の強さを表示する値とする変換を行って前記ウィンドウ・データを前記共起行列に変換することを特徴とする請求項3に記載の時系列データ判定方法。 - 複数種類のイベントを含んで構成される時系列データが所定の1以上のカテゴリに属するものであるか否かを判定する時系列データ判定方法であって、
予め学習用の複数の時系列データをそれぞれ予め定めたデータ長さのウィンドウで切り出して複数のウィンドウ・データを取り出すウィンドウ・データ取出ステップと、
前記ウィンドウ・データから前記データ長よりも短いデータ長を有する複数のスコープ・データを時間的なずれを持って順次抽出するスコープ・データ抽出ステップと、
前記複数のウィンドウ・データを複数の前記スコープ・データに基づいて前記ウィンドウ・データに含まれる前記複数種類のイベント相互間の時系列で見た関連性の強さを示す複数の共起行列に変換する共起行列変換ステップと、
前記複数の共起行列を入力として統計的特徴抽出方法により特徴ベクトルを求めるための基礎となる固有共起行列群を決定する固有共起行列群決定ステップと、
前記1以上のカテゴリを含む1以上のプロファイル学習用時系列データに対して前記ウィンドウ・データ取出ステップ、前記スコープ・データ抽出ステップ及び前記共起行列変換ステップと同様のステップをそれぞれ実施して、前記1以上のプロファイル学習用時系列データを1以上のプロファイル用共起行列に変換するプロファイル用共起行列変換ステップと、
前記1以上のプロファイル用共起行列と前記固有共起行列群とに基づいて前記1以上のプロファイル学習用時系列データについての1以上の判定用特徴ベクトルを抽出する判定用特徴ベクトル抽出ステップと、
テストの対象となるテスト時系列データに対して前記ウィンドウ・データ取出ステップ、前記スコープ・データ抽出ステップ及び前記共起行列変換ステップと同様のステップを実施して、前記テスト時系列データをテスト用共起行列に変換するテスト用共起行列変換ステップと、
前記テスト用共起行列と前記固有共起行列群とに基づいて前記テスト用時系列データについてのテスト用特徴ベクトルを抽出するテスト用特徴ベクトル抽出ステップと、
前記1以上の判定用特徴ベクトルと前記テスト用特徴ベクトルとに基づいて、前記テスト時系列データが前記1以上のカテゴリに属するか否かを判定する判定ステップとからなる時系列データ判定方法。 - 前記スコープ・データ抽出ステップでは、前記複数種類のイベントから選択した1つの種類の前記イベントが前記ウィンドウ・データに含まれる位置を基準位置として前記1つの種類のイベントに対する1以上の前記スコープ・データを抽出し、
前記共起行列変換ステップでは、前記1つの種類のイベントについての前記1以上のスコープ・データに含まれる他の1つの種類の前記イベントの数の合計値を、前記1つの種類のイベントに対する前記他の一つの種類のイベントの頻度とし、前記頻度を前記1つの種類のイベントに対する前記他の種類のイベントの前記関連性の強さを表示する値とする変換を行って前記ウィンドウ・データを前記共起行列に変換することを特徴とする請求項5に記載の時系列データ判定方法。 - 前記判定用特徴ベクトル抽出ステップでは、前記プロファイル用共起行列と前記固有共起行列群とをベクトルかした後にその内積を求めて前記判定用特徴ベクトルを決定し、
前記テスト用特徴ベクトル抽出ステップでは、前記テスト用共起行列と前記固有共起行列群とをベクトル化した後にその内積を求めて前記テスト用特徴ベクトルを抽出することを特徴とする請求項5に記載の時系列データ判定方法。 - 前記判定ステップでは、所定のベクトル識別関数を用いて前記テスト用時系列データと前記判定用特徴ベクトルとのユークリッド距離が閾値以内であるか否かにより前記テスト時系列データが前記1以上のカテゴリに属するか否かを判定する請求項5に記載の時系列データ判定方法。
- 前記学習用の複数の時系列データに、前記テスト時系列データを含めて、前記固有共起行列群を更新することを特徴とする請求項5に記載の時系列データ判定方法
- 請求項1乃至9のいずれか1項に記載の時系列データ判定方法を用いて、コンピュータシステムに入力される時系列データの異常を判別することを特徴とする時系列データ異常判別方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004254856A JP4476078B2 (ja) | 2004-09-01 | 2004-09-01 | 時系列データ判定用プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004254856A JP4476078B2 (ja) | 2004-09-01 | 2004-09-01 | 時系列データ判定用プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006072666A true JP2006072666A (ja) | 2006-03-16 |
JP4476078B2 JP4476078B2 (ja) | 2010-06-09 |
Family
ID=36153236
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004254856A Expired - Fee Related JP4476078B2 (ja) | 2004-09-01 | 2004-09-01 | 時系列データ判定用プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4476078B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8099527B2 (en) | 2008-05-21 | 2012-01-17 | Fujitsu Limited | Operation management apparatus, display method, and record medium |
JP2013250888A (ja) * | 2012-06-01 | 2013-12-12 | Fujitsu Ltd | 異常遷移パターン検出方法、プログラム及び装置 |
WO2017056179A1 (ja) * | 2015-09-29 | 2017-04-06 | 富士通株式会社 | プログラム、情報処理方法および情報処理装置 |
US10108296B2 (en) | 2014-09-12 | 2018-10-23 | International Business Machines Corporation | Method and apparatus for data processing method |
CN113742883A (zh) * | 2020-11-20 | 2021-12-03 | 国网河北省电力有限公司雄安新区供电公司 | 一种基于多元时间序列的交流接触器寿命周期分割方法 |
-
2004
- 2004-09-01 JP JP2004254856A patent/JP4476078B2/ja not_active Expired - Fee Related
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8099527B2 (en) | 2008-05-21 | 2012-01-17 | Fujitsu Limited | Operation management apparatus, display method, and record medium |
JP2013250888A (ja) * | 2012-06-01 | 2013-12-12 | Fujitsu Ltd | 異常遷移パターン検出方法、プログラム及び装置 |
US10108296B2 (en) | 2014-09-12 | 2018-10-23 | International Business Machines Corporation | Method and apparatus for data processing method |
WO2017056179A1 (ja) * | 2015-09-29 | 2017-04-06 | 富士通株式会社 | プログラム、情報処理方法および情報処理装置 |
CN113742883A (zh) * | 2020-11-20 | 2021-12-03 | 国网河北省电力有限公司雄安新区供电公司 | 一种基于多元时间序列的交流接触器寿命周期分割方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4476078B2 (ja) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4484643B2 (ja) | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 | |
Pusara et al. | User re-authentication via mouse movements | |
Khan et al. | Malicious insider attack detection in IoTs using data analytics | |
US10997134B2 (en) | Automatic entity resolution with rules detection and generation system | |
Pinzon et al. | idMAS-SQL: intrusion detection based on MAS to detect and block SQL injection through data mining | |
WO2016049983A1 (zh) | 用户键盘按键行为模式建模与分析系统及其身份识别方法 | |
CN107315956B (zh) | 一种用于快速准确检测零日恶意软件的图论方法 | |
Mac et al. | Detecting attacks on web applications using autoencoder | |
CN111107072A (zh) | 一种基于认证图嵌入的异常登录行为检测方法及系统 | |
CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
WO2017192719A1 (en) | User specific classifiers for biometric liveness detection | |
Al Solami et al. | Continuous biometric authentication: Can it be more practical? | |
CN115277189B (zh) | 基于生成式对抗网络的无监督式入侵流量检测识别方法 | |
CN112733954A (zh) | 一种基于生成对抗网络的异常流量检测方法 | |
Guowei et al. | Research on network intrusion detection method of power system based on random forest algorithm | |
Eid et al. | Improved real-time discretize network intrusion detection system | |
Hasan et al. | Internet of Things | |
CN110889451A (zh) | 事件审计方法、装置、终端设备以及存储介质 | |
JP4476078B2 (ja) | 時系列データ判定用プログラム | |
CN117176433A (zh) | 网络数据的异常行为检测系统及方法 | |
CN116957049A (zh) | 基于对抗自编码器的无监督内部威胁检测方法 | |
Malik et al. | Performance Evaluation of Classification Algorithms for Intrusion Detection on NSL-KDD Using Rapid Miner | |
Singh et al. | A hybrid approach for intrusion detection based on machine learning | |
CN113159181B (zh) | 基于改进的深度森林的工业控制系统异常检测方法和系统 | |
Balazia et al. | How unique is a face: An investigative study |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070612 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070810 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071002 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071108 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20071207 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080926 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100309 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130319 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140319 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |