JP2006107179A - 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法 - Google Patents

異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法 Download PDF

Info

Publication number
JP2006107179A
JP2006107179A JP2004293770A JP2004293770A JP2006107179A JP 2006107179 A JP2006107179 A JP 2006107179A JP 2004293770 A JP2004293770 A JP 2004293770A JP 2004293770 A JP2004293770 A JP 2004293770A JP 2006107179 A JP2006107179 A JP 2006107179A
Authority
JP
Japan
Prior art keywords
similarity
time
series data
data
storage means
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004293770A
Other languages
English (en)
Other versions
JP4468131B2 (ja
Inventor
修平 ▲桑▼田
Shuhei Kuwata
Masatoshi Nishimura
正寿 西村
Tsutomu Matsunaga
務 松永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2004293770A priority Critical patent/JP4468131B2/ja
Publication of JP2006107179A publication Critical patent/JP2006107179A/ja
Application granted granted Critical
Publication of JP4468131B2 publication Critical patent/JP4468131B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

【課題】系列全体を同時に対象とし、過去のデータに基づく仮定を行わずに異常値及び変化点を検出できる検出装置を提供する。
【解決手段】モデル抽出部4は、データ記憶部2から一定期間の時系列データを系列ごとに読み出し、読み出した時系列データに基づいて部分空間を抽出し、抽出した部分空間の情報をモデル記憶部に記録する。ベクトル抽出手段3aは、データ記憶部2から時系列データを読み出し、読み出した時系列データに基づいてベクトルを抽出する。異常値類似度算出手段3bは、モデル記憶部6から時刻ごとの部分空間と、ベクトル抽出手段3aによって抽出されたベクトルとの角度を第1類似度として算出し、変化点類似度算出手段3cは、さらに、第1類似度と一時刻前の第1類似度に基づいて第2類似度を算出し、類似度記憶部7に記録する。異常値検出手段3d及び変化点検出手段3eは、第1類似度、第2類似度に基づいて異常値、変化点を検出する。
【選択図】 図1

Description

本発明は、主にクレジットカードのトランザクションデータや、ネットワーク接続時のログデータなどの時系列データから異常値、変化点の抽出し、クレジットカードの不正利用やネットワーク侵入を検出する異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法に関する。
例えば、クレジットカードの利用によって発生するトランザクションデータや、ネットワークトラヒックのログデータ等は、時々刻々と変化する大量の時系列データとなる。正常に処理が行われている間は、これらの時系列データにおいて、過去の傾向と現在の傾向を比較しても大きな違いは見られない。
しかし、クレジットカードの不正利用や、ネットワーク侵入が行われた場合には、時系列データに過去とは異なる傾向が発生することが知られている。つまり、時系列データを解析し、そのような異なる傾向を検出することで、不正利用や侵入などによって発生する異常状態を動的に検出することが可能となる。時系列データに発生する異なる傾向とは、図21(a)に示すように正常な傾向からかけ離れた値となる場合や、図21(b)に示すように過去の傾向とは異なる別の傾向に変化する場合があり、前者が発生する箇所は、当該時系列データにおける「異常値」と呼ばれており、後者が発生する箇所は、当該時系列データにおける「変化点」と呼ばれている。
しかしながら、このような大量のデータから異なる傾向を抽出することは容易ではなく、これまでに様々な検出手法が提案されている。例えば、「異常値検出」を行う手法としては以下の4つが提案されている。
(1)全系列の中で2つの系列の組の相関関係によって検出する手法(特許文献1、非特許文献1参照)。
(2)全系列を発生させる確率モデルを仮定し、過去と現在における確率モデルの違いによって検出する手法(非特許文献2参照)。
(3)主成分分析を用い、主成分の違いによって検出する手法(非特許文献3参照)
(4)過去の系列から学習した予測式に基づいて検出する手法(特許文献2)
また、変化点の検出手法としては上記手法(2)を利用する方法が提案されている(非特許文献2参照)。
以下、この4つの手法について説明する。
[手法(1)]
最初に、手法(1)は、図22に示すように、例えば4つのデータ系列が入力された場合に、4つの系列の中から2つの系列を選択し、選択した2つの系列間における相関関係があるか否かを全ての組み合わせについて検出する。そして、相関のある2組の系列をルールとして記憶しておき、新たに入力されたデータと記憶しているルールとが乖離している場合に異常値として検出する手法である。なお、相関関係の検出は、例えば、図23に示すように、2つの系列間の距離に基づいて行うことが可能である。
[手法(2)]
次に、手法(2)は、図24に示すように、例えば4つのデータ系列が入力された場合に、入力された4つの系列を生成することができる確率モデルを過去の全系列から構成し、構成した確率モデルと、新たに入力されたデータを含めた全系列に基づいて構成した確率モデルとの差分が大きい場合を異常値として検出する手法である。また、手法(2)を利用して、変化点検出を行う場合には、過去の全系列から構成した確率モデルと、新たに入力されたデータを含めて構成した確率モデルとの差分が、過去のデータから得られた平均値に比べて大きく変化した場合を変化点として検出を行う。
なお、手法(2)において異常値の検出は、上述した通り確率モデルの変化によって判定するが、用いる確率モデルとしては、例えば、離散値の場合に適用されるヒストグラム法の確率密度関数や、連続値の場合に適用される混合正規分布がある。
以下に、手法(2)の具体的な異常値及び変化点の検出方法について説明する。最初に異常値の検出はxを系列ベクトル、p(t)(x)をt時点までの全系列から推定した確率モデルとした場合に次の式(1)によって求められるt時点までに得られた全系列に関する平均値が過去に求められた平均値よりも大きいか否かを判定することによって行う。
Figure 2006107179
式(1)において、√p(t)(x)は、t時点までの全系列から推定した確率モデルであり、√p(t−1)(x)は、t−1時点までの全系列から推定した確率モデルである。
また、手法(2)において変化点の検出は、確率モデルの平均的な変化、即ち次の式(2)のT’期間における確率モデルqが有するShannon情報量の平均値が過去の平均値よりも大きいか否かを判定することによって行う。
Figure 2006107179
式(2)において、yは、上記の系列xの確率モデルpが有するShannonの情報量のT期間における平均値であり、次の式(3)によって求めることができる。
Figure 2006107179
[手法(3)]
次に、手法(3)は、図25に示すように全系列に対して主成分分析を行うことによって求められる第1主成分ベクトルと、新たに入力されたベクトルを構成するデータとの投影距離が過去の投影距離と比べて大きくなったか否かによって異常値を検出する手法である。
[手法(4)]
最後に、手法(4)は、図26に示すように過去と現在の系列データの一部の値から系列データをクラスに分類し、当該クラスに予め対応付けられている予測式から予測値を求め、実際の値との誤差の大きさに基づいて異常値を検出する手法である。
具体的には、最初に、図26の(1)に示すように、系列データのうち破線で囲まれたデータに基づいて該当するクラスを検出する。クラス分類の方法は予め過去のデータに基づいて学習されており、同図のデータはクラス2に分類されている。
次に、図26の(2)に示すようにクラス2の予測式に基づいて時刻4の画素4に対応する予測値を算出する。各クラスに対応付けられている予測式は過去のデータに基づいて求められ、予め設定されている。そして、算出した予測値と実際の画素4、時刻4の値「23」との誤差を算出し、予め設定されている閾値1と閾値2に基づいて、誤差が閾値1を超える回数が閾値2を超えた場合に異常値として判定することができる。
特開平5−256741号公報 特開平7−87481号公報 山西健司、"データ・テキストマイニングの最新動向"、応用数理、2002年 矢入健久 他、"時系列相関ルールマイニングに基づく人工衛星テレメトリデータからの異常検出法"、人工知能学会全国大会、2001年 和泉勇次 他、"異常検知のためのネットワーク特徴量抽出法に関する一考察"、電子情報通信学会総合大会、2004年
しかしながら、上記の手法(1)から(4)では、入力された系列データの系列全体ではなく部分的な系列間の関係にのみ基づいて検出を行っているか、もしくは対象とする系列データに対してある仮定を立て当該仮定に基づいて検出を行っているという問題がある。例えば、手法(1)では、3つ以上の系列の相関関係を一度に対象とできないため、2つの系列の相関関係で挙動を捉えきれない場合には、異常値及び変化点の検出ができないという問題がある。また、手法(2)及び(4)では、確率モデルや予測式を仮定しているため、実際の系列データとの乖離が大きい場合には検出結果が保証されないという問題がある。また、さらに、手法(4)では、主成分分析によって全系列の相関関係を対象とすることができるが、第1主成分のみを対象としているため、入力された系列データの第1主成分の寄与率が小さい場合などには、系列データの相関関係を捉えきれず、異常値及び変化点の検出ができないという問題がある。
本発明は、上記問題を解決するためになされたもので、その目的は、入力された系列データ全体を同時に対象とし、過去のデータの傾向に基づく仮定を行わずに異常値及び変化点を検出可能な異常値検出装置及び変化点検出装置を提供することにある。
上述した課題を解決するために、本発明は、複数の時系列データから異常値を検出する異常値検出装置であって、前記複数の時系列データを記憶するデータ記憶手段と、前記複数の時系列データを入力し、入力した前記時系列データを系列ごとに前記データ記憶手段に記録するデータ入力手段と、前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出し、読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出し、抽出した前記部分空間の情報をモデル記憶手段に記録するモデル抽出手段と、前記データ記憶手段から最新の時系列データを読み出し、読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出するベクトル抽出手段と、前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出し、読み出した前記部分空間の情報と、前記ベクトル抽出手段によって抽出された前記ベクトルとに基づいて第1類似度を算出し、算出した前記第1類似度を類似度記憶手段に記録する第1の類似度算出手段と、前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて前記最新の時系列データが異常値か否かを検出する異常検出手段と、を備えたことを特徴とする異常値検出装置である。
本発明は、上記の発明において、前記異常検出手段は、前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度との差分を求め、当該差分が予め定められた第1の閾値より大きい場合に前記最新の時系列データを異常値として検出することを特徴とする。
本発明は、複数の時系列データから変化点を検出する変化点検出装置であって、前記複数の時系列データを記憶するデータ記憶手段と、前記複数の時系列データを入力し、入力した前記時系列データを系列ごとに前記データ記憶手段に記録するデータ入力手段と、前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出し、読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を抽出し、抽出した前記部分空間の情報をモデル記憶手段に記録するモデル抽出手段と、前記データ記憶手段から最新の時系列データを読み出し、読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出するベクトル抽出手段と、前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出し、読み出した前記部分空間の情報と、前記ベクトル抽出手段によって抽出された前記ベクトルとに基づいて第1類似度を算出し、算出した前記第1類似度を類似度記憶手段に記録する第1の類似度算出手段と、前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて第2類似度を算出し、算出した前記第2類似度を前記類似度記憶手段に記録する第2の類似度算出手段と、前記最新の時系列データに対応する前記第2類似度と、前記類似度記憶手段に記憶されている最新以前の前記第2類似度とに基づいて前記最新の時系列データが変化点か否かを検出する変化点検出手段と、を備えたことを特徴とする変化点検出装置である。
本発明は、上記に記載の発明において、前記第2の類似度算出手段は、前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度との差分を第2類似度として、前記類似度記憶手段に記録し、前記変化点検出手段は、前記最新の時系列データに対応する前記第2類似度と、前記類似度記憶手段に記憶されている最新以前の前記第2類似度との差分を求め、当該差分が予め定められた第2の閾値より大きい場合に前記最新の時系列データを変化点として検出することを特徴とする。
本発明は、複数の時系列データから異常値を検出する異常値検出方法であって、前記複数の時系列データを入力する過程と、入力した前記時系列データを系列ごとに前記データ記憶手段に記録する過程と、前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出す過程と、読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出する過程と、抽出した前記部分空間の情報をモデル記憶手段に記録する過程と、前記データ記憶手段から最新の時系列データを読み出す過程と、読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出する過程と、前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出す過程と、読み出した前記部分空間の情報と、抽出された前記ベクトルとに基づいて第1類似度を算出する過程と、算出した前記第1類似度を類似度記憶手段に記録する過程と、前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて前記最新の時系列データが異常値か否かを検出する過程と、からなることを特徴とする異常値検出方法である。
本発明は、複数の時系列データから変化点を検出する変化点検出方法であって、前記複数の時系列データを入力する過程と、入力した前記時系列データを系列ごとに前記データ記憶手段に記録する過程と、前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出す過程と、読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出する過程と、抽出した前記部分空間の情報をモデル記憶手段に記録する過程と、前記データ記憶手段から最新の時系列データを読み出す過程と、読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出する過程と、前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出す過程と、読み出した前記部分空間の情報と、前記ベクトルとに基づいて第1類似度を算出する過程と、算出した前記第1類似度を類似度記憶手段に記録する過程と、前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて第2類似度を算出し、算出した前記第2類似度を前記類似度記憶手段に記録する過程と、前記最新の時系列データに対応する前記第2類似度と、前記類似度記憶手段に記憶されている最新以前の前記第2類似度とに基づいて前記最新の時系列データが変化点か否かを検出する過程と、からなることを特徴とする変化点検出方法である。
この発明によれば、異常値検出装置は、複数の時系列データを記憶するデータ記憶手段からから一定期間の時系列データを系列ごとに読み出し、読み出した時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出する。次に、データ記憶手段から最新の時系列データを読み出し、読み出した最新の時系列データに基づいて座標空間におけるベクトルを抽出する。そして、当該部分空間と、抽出したベクトルとに基づいて第1類似度を算出し、算出した最新の時系列データに対応する第1類似度と、最新以前の第1類似度とに基づいて、最新の時系列データが異常値か否かを検出する構成となっている。そのため、最新の時系列データが最新以前、即ち過去の時点の時系列データの傾向にどれだけ類似しているかを示す第1類似度を求めることができ、最新の第1類似度と最新以前の第1類似度とを比較することで最新の時系列データが異常値であるか否かを検出することができる。それによって、入力された系列データ全体を同時に対象とし、過去のデータの傾向に基づく仮定を行わずに異常値検出を行うことが可能となる。
また、本発明によれば、異常点検出装置は、最新の時系列データに対応する第1類似度と、類似度記憶手段に記憶されている最新以前の前記第1類似度との差分を求め、当該差分が予め定められた第1の閾値より大きい場合に最新の時系列データを異常値として検出する構成となっている。そのため、最新の第1類似度と最新以前の第1類似度との差分が第1の閾値より大きい場合に最新の時系列データが異常値であることを検出することができる。
また、本発明によれば、変化点検出装置は、複数の時系列データを記憶するデータ記憶手段からから一定期間の時系列データを系列ごとに読み出し、読み出した時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出する。次に、データ記憶手段から最新の時系列データを読み出し、読み出した最新の時系列データに基づいて座標空間におけるベクトルを抽出する。当該部分空間と、抽出したベクトルとに基づいて第1類似度を算出し、算出した最新の時系列データに対応する第1類似度と、最新以前の第1類似度とに基づいて、第2類似度を算出する。そして、当該最新の時系列データの第2類似度と、最新以前の第2類似度とに基づいて最新の時系列データが変化点であるか否かを検出する構成となっている。そのため、第1類似度における最新、即ち現時点と最新以前、即ち過去の時点の傾向の違いを示す第2類似度を算出し、さらに、現時点の第2類似度と過去の時点の第2類似度とを比較することで最新の時系列データが変化点であるか否かを検出することができる。それによって、入力された系列データ全体を同時に対象とし、過去のデータの傾向に基づく仮定を行わずに変化点検出を行うことが可能となる。
また、本発明によれば、変化点検出装置は、最新の時系列データに対応する第1類似度と、類似度記憶手段に記憶されている最新以前の第1類似度との差分を第2類似度として、類似度記憶手段に記録する。そして、最新の時系列データに対応する第2類似度と、類似度記憶手段に記憶されている最新以前の第2類似度との差分を求め、当該差分が予め定められた第2の閾値より大きい場合に最新の時系列データを変化点として検出する構成となっている。そのため、最新の第1類似度と最新以前の第1類似度との差分として第2類似度を算出し、さらに、最新の第2類似度と最新以前の第2類似度との差分が第2の閾値より大きい場合に最新の時系列データが変化点であることを検出することができる。
以下、本発明の一実施形態による異常値検出装置及び変換点検出装置を図面を参照して説明する。
図1は、本実施形態による検出装置10を示す概略ブロック図である。
検出装置10は、上述した異常値検出装置と変化点検出装置の両方の機能を有する。検出装置10において、データ入力部1は、異常値、変化点を検出する対象となる複数の時系列データを入力する。データ記憶部2は、データ入力部1によって入力されたデータを逐次を記憶する。モデル抽出部4は、データ記憶部2から過去の一定期間のデータを読み出し、読み出したデータに基づいて構成される部分空間、即ち検出のためのモデルを抽出し、抽出した部分空間の情報をモデル記憶部6に記録する。
検出部3は、最新時刻のデータの異常値及び変化点の検出を行う。検出部3において、ベクトル抽出手段3aは、データ記憶部2から最新時刻のデータを読み出し、当該データの上記した部分空間におけるベクトルを抽出する。異常値類似度算出手段3bは、モデル記憶部6からモデルを読み出し、ベクトル抽出手段3aによって抽出されたベクトルと読み出したモデルに基づいて異常値検出のための第1類似度を算出し、類似度記憶部7へ記録する。変化点類似度算出手段3cは、異常値類似度算出手段3bから最新、即ち現時点での第1類似度を受信し、また類似度記憶部7から一時点前の第1類似度を読み出し、一時点前の第1類似度と現時点の第1類似度との差分を変化点検出のための第2類似度として算出し、類似度記憶部7へ記録する。ここで、差分とは差の絶対値であることを意味する。
異常値検出手段3dは、類似度記憶部7から一時点前の第1類似度を読み出し、読み出した一時点前の第1類似度と、異常値類似度算出手段3bが算出した現時点の第1類似度との差分が予め内部に設定されている第1閾値より大きい、即ち第1閾値を超える場合には第1類似度に対応するデータを異常値として検出する。変化点検出手段3eは、類似度記憶部7から一時点前の第2類似度を読み出し、読み出した第2類似度と、変化点類似度算出手段3cが算出した現時点の第2類似度との差分が予め内部に設定されている第2閾値を超える場合に第2閾値に対応するデータを変化点として検出する。
ここで、上記のデータ入力部1は、上述したデータ入力手段に、データ記憶部2はデータ記憶手段に、モデル抽出部4は、上述したモデル抽出手段に、モデル記憶部6は、モデル記憶手段に、類似度記憶部7は、類似度記憶手段に対応する。
また、上記の異常値類似度算出手段3bは、上述した第1の類似度算出手段に、変化点類似度算出手段3cは、上述した第2の類似度算出手段に対応する。
図2は、データ記憶部2のデータ記憶構成を示した図である。同図では、4つの系列の時系列データが時刻ごとに記憶されている。
図3は、モデル記憶部6のデータ記憶構成を示した図である。データ記憶部2からモデル抽出部4によってデータが読み出される一定期間の値は予め設定されており、データ記憶部2から読み出された一定期間のデータから求められる部分空間が、モデル記憶部6に記憶される。ここで、各系列は部分空間を構成する各座標となる。軸は部分空間の次元数を示すものであり、予め適宜設定することができる。
図4は、類似度記憶部7のデータ記憶構成を示した図である。第1類似度には上述した異常値類似度算出手段3bによって算出された第1類似度が時刻ごとに記録され、第2類似度には上述した変化点類似度算出手段3cによって算出された第2類似度が時刻ごとに記録される。
図5は、モデル抽出部4によって構成される部分空間、即ちモデルを説明するための図である。モデル記憶部6のデータ記憶構成で説明した通り、最初に、各系列を座標とする座標空間を設定する。つまり、系列が4つある場合には四次元の座標空間が設定される。そして、当該座標空間におけるベクトルを同一時点の要素によって抽出する。抽出したベクトルを元に部分空間を作成し、得られたモデル(部分空間の基底ベクトル)を、モデル記憶部6に記憶する。
次に、図6から図8を参照して本実施形態の検出装置10における異常値検出と変化点検出の処理の概略について説明する。
図6は、処理の流れの全体像を示した図である。最初に、過去X時点までのデータを読み出して、特徴となる部分空間の抽出を行う。そして、現時点のデータのベクトルを抽出し、抽出した現時点のデータのベクトルと、当該部分空間とに基づいて第1類似度と第2類似度を算出する。データを読み出す範囲である過去X時点までの一定期間は、新たなデータが入力されるごとに移動し、最新の過去データから特徴を捉えて異常値及び変化点を検出することが可能となる。
図7は、異常値検出及び変化点検出の処理を説明するための図である。
図7(a)のグラフに示すように異常値は、ある時点の第1類似度が過去の第1類似度の傾向と大きく異なる場合に存在する。異常値検出の処理は、第1類似度の傾向の変化、即ち現時点の第1類似度と一時点前の第1類似度との差分が予め設定されている第1閾値より大きい場合を異常値として判定することによって行う。
図7(b)のグラフに示すように変化点とは、ある時点の前後で第2類似度の傾向が大きく変わる場合に存在する。変化点検出の処理は、第2類似度の傾向の変化、即ち現時点の第2類似度と一時点前の第2類似度との差分が予め設定されている第2閾値より大きい場合を変化点として判定することによって行う。
次に、図8から図10を参照して、検出装置10における異常値検出及び変化店検出の処理の流れについて説明する。
図8は、モデル抽出部4におけるモデル抽出の処理を示したフローチャートである。最初に、モデル抽出部4は、時刻t−1から時刻t−Lまでのデータをデータ記憶部2から読み出す。具体的には、図9に示すようにt=4、L=2、系列数=4の場合には過去の2時刻分を読み出すことになる(ステップSa1)。読み出したデータを用いて、図5で説明したモデル抽出の手法により部分空間、即ちモデルを求める(ステップSa2)。そして、求めた部分空間の情報をモデル記憶部6に記録する(ステップSa3)。
図10は、検出部3における異常値及び変化点の検出処理を示したフローチャートである。最初に、異常値類似度算出手段3b及び変化点類似度算出手段3cがモデルを読み出す(ステップSb1)。次に、ベクトル抽出手段3aが現時点(現在時刻:t)、即ちデータ記憶部2に記憶されている最新のデータを読み出す(ステップSb2)。異常値類似度算出手段3b及び変化点類似度算出手段3cはそれぞれ第1類似度及び第2類似度を算出する。ここで、第1類似度は、ベクトル抽出手段3aが読み出した最新のデータによって構成されるベクトルと、上記の部分空間とに基づいて求められる。また、第2類似度は、一時点前の第1類似度と現時点の第1類似度の差分として求められる(ステップSb3)。
次に、異常値検出手段3dは、一時点前の第1類似度を類似度記憶部7から読み出し、一時点前の第1類似度と現時点の第1類似度との差分を比較する(ステップSb4)。そして、その差分が第1閾値より大きい、即ち第1閾値を超えているか否かを判定する(ステップSb5)。差分が第1閾値を超えている場合には、当該現時点のデータを異常値として検出する(ステップSb6)。一方、その差分が第1閾値を超えていない場合には、変化点類似度算出手段3cは、類似度記憶部7から一時点前の第2類似度を読み出し、現時点の第2類似度と比較する(ステップSb7)。そして、その差分が第2閾値を超えているか否かを判定する(ステップSb8)。差分が第2閾値を超えている場合には、現時点のデータを変化点として検出する(ステップSb9)。一方、差分が第2閾値を超えていない場合には、異常値及び変化点をしなかったとして終了する。
なお、第1閾値と第2閾値は、過去のデータによって経験的に求められる値であり、予め検出装置10の内部に設定されている値である。
また、変化点類似度算出手段3cは、自ら第1類似度を算出した後に第2類似度を算出するようにしてもよいし、異常値類似度算出手段3bが算出した第1類似度を利用して第2類似度を算出するようにしてもよい。
図11は、上述した第1類似度算出の手法を説明するための図である。第1類似度は、ベクトル抽出手段3aによって抽出されたベクトルと、モデル記憶部6から読み出したモデル、即ち部分空間とに基づいて算出されるが、当該ベクトルと部分空間の要素の違い従って、以下の3つの算出パターンが存在する。
(パターン1)
最初に、図11(a)に示すように、ベクトル抽出手段3aによって抽出されたベクトルがベクトル「x」として表され、部分空間がベクトル「y」として表される場合について説明する。ここで、x及びyは、d次元ベクトルの転置によって表される。即ち、x={x11,x12,…,x1d、y={y11,y12,…,y1dとして表現される。なお、Tは転置を意味する。
パターン1の場合に、第1類似度はベクトルとベクトルの内積をベクトルの大きさで規格化した値、即ちベクトル同士のなす角度の余弦として算出され、第1類似度をSとした場合に以下の式(4)によって求められる。
Figure 2006107179
(パターン2)
次に、図11(b)に示すように、ベクトル抽出手段3aによって抽出されたベクトルがベクトル「x」として表され、部分空間が複数のベクトルによって構成される空間「y,y,y」として表される場合について説明する。ここで、x及びy,y,yはそれぞれd次元ベクトルの転置として表される。即ち、x={x11,x12,…,x1d、y={y11,y12,…,y1d、y={y21,y22,…,y2d、y={y31,y32,…,y3dとして表現される。なお、Tは転置を意味する。
パターン2の場合に、第1類似度Sは、以下の式(5)によって求められる。
Figure 2006107179
なお、部分空間がベクトルである場合には、式(5)の値は、式(4)と同じ値となる。
(パターン3)
次に、図11(c)に示すように、ベクトル抽出手段3aによって抽出されたベクトルが空間「x,x」として表され、部分空間が空間「y,y,y」として表される場合について説明する。ここで、x,x及びy,y,yは図11(b)と同じくd次元ベクトルの転置として表される。即ち、x={x11,x12,…,x1d、x={x21,x22,…,x2d、y={y11,y12,…,y1d、y={y21,y22,…,y2d、y={y31,y32,…,y3dとして表現される。なお、Tは転置を意味する。
パターン3の場合に、第1類似度Sは、X=[x,x]、Y=[y,y,y]としたときに、以下の式(6)の最大固有値μmaxとして算出される。
Figure 2006107179
なお、式(6)の最大固有値μmaxは、Xがベクトルであり、かつYがベクトルの場合には、式(4)によって算出される値と同じ値になり、Xがベクトルであり、かつYが空間の場合には、式(5)によって算出される値と同じ値になる。
次に、図12から図15を参照して異常値検出を行った実験の結果について説明する。
図12は、異常値検出の実験の条件を示した表である。当該実験では、入力する系列数を4、対象とする期間を時刻100点分としている。また、図12の表は、サンプルとして設定した各時系列データの特徴を示している。
図13から図14は、系列1から系列4のデータを示した図である。以下に各データの特徴について説明する。
図13(a):系列1は、時刻50で変化なし、かつ時刻51から100において変化なしとしたデータである。
図13(b):系列2は、時刻50において異常値を発生させ、かつ時刻51から100において変化ありとしたデータである。
図14(c):系列3は、時刻50において異常値を発生させ、かつ時刻51から100において変化なしとしたデータである。
図14(d):系列4は、時刻50において変化なし、かつ時刻51から100において変化ありとしたデータである。
図15は、異常値検出の実験結果を示した図である。図15(a)は、過去3時点前までのデータから部分空間、即ちモデルを抽出した場合の結果である。図15(b)は過去10時点前までのデータから部分空間を抽出した場合の結果である。両方の図において、縦軸は第1類似度であり、横軸は時刻である。
両方の結果において、時刻50で前後の第1類似度と大きく異なる第1類似度が検出されており、異常値検出ができていることが示されている。また、図15(a)と(b)では利用する過去のデータの個数によって第1類似度の変化に違いが見られ、(a)に比べて(b)の方が入力されたデータ全体の特徴がよく捉えられていることが分かる。
次に、図16から図19を参照して変化点検出を行った実験の結果について説明する。
図16は、変化点検出の実験の条件を示した表である。当該実験では、入力する系列数を5、対象とする期間を時刻100点分としている。また、図16の表は、サンプルとして設定した各時系列データの特徴を示している。
図17から図18は、系列1から系列6のデータを示した図である。以下に各データの特徴について説明する。
図17(a):系列1は、時刻35で変化なし、かつ時刻36から100において波の形に変化ありとしたデータである。
図17(b):系列2は、時刻35で変化なし、かつ時刻36から100において波の形に変化ありとしたデータである。
図18(c):系列3は、時刻35で変化なし、かつ時刻36から100において変化なしとしたデータである。
図18(d):系列4は、時刻35で変化なし、かつ時刻51から100において変化なしとしたデータである。
図18(e):系列5は、時刻35で変化なし、かつ時刻51から100において変化なしとしたデータである。
図19は、変化点検出の実験結果を示した図である。図19(a)、(b)ともに、過去3時点前までのデータから部分空間、即ちモデルを抽出した場合の結果である。図19(a)の縦軸は第1類似度であり、横軸は時刻である。図19(b)の縦軸は、第2類似度であり、横軸は時刻である。
両方の図において時刻35において変化が見られるが、第2類似度の差分で示した図19(b)の方がより明確に変化点が検出されていることが示されている。
図20は、本実施形態による検出装置10による検出方法と、上述した従来の手法(3)による検出方法との違いを説明するための図である。本実施形態と従来の手法(3)は、共に過去のデータの傾向と現在のデータの傾向の類似度に基づいて検出を行っている。しかしながら、従来の手法(3)では第1主成分のみで類似度を算出しているため、「ベクトルとベクトル」の類似度を算出する上述したパターン1にしか対応していない。一方、本実施形態では、「ベクトルとベクトル」、「ベクトルと空間」、「空間と空間」の類似度を算出するパターン1から3に対応しており、複雑なデータの分布においても、当該データから特徴を抽出し類似度を算出することを可能としている。
この違いを見ることができるデータとして、図20(b)に示すような円状に分布するデータがある。このような円状に分布するデータの場合、第1主成分のみを利用する従来の手法(3)ではデータの特徴が正しく表現できない。なぜなら、このようなデータの分布の場合には、第1主成分のみを抽出しても、特徴を捉えることができないためである。つまり、「ベクトルとベクトル」の類似度では違いを捉えることが困難である。一方、本実施形態では、「ベクトルとベクトル」の関係だけではなく、「ベクトルと空間」、「空間と空間」の類似度を算出することができ、円状に分布するデータにおいて第1主成分以外の要素に特徴が存在する場合には、当該特徴における類似度を比較することで異常値、変化点を検出することが可能となる。
本実施形態の検出装置10は、例えば、ネットワークのトラヒックのログデータからのネットワーク侵入検出や、各センサから取得される人工衛星テレメトリックデータに基づく人工衛星などの宇宙システムの異常検知に利用可能である。また、カード決済時のトランザクションデータに基づくクレジットカード不正利用検出や、携帯電話のなりすまし利用行為の検出や、保険金請求データやレセプトからの例外事象や不審データの検出などにも利用することが可能である。
上述の検出装置10は内部に、コンピュータシステムを有している。そして、上述した異常値検出及び変化点検出の処理は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
本実施形態による検出装置の内部構成を示したブロック図である。 同実施形態におけるデータ記憶部のデータ記憶構成を示した図である。 同実施形態におけるモデル記憶部のデータ記憶構成を示した図である。 同実施形態における類似度記憶部のデータ記憶構成を示した図である。 同実施形態におけるモデル抽出部によって構成されるモデルを説明するための図である。 同実施形態における異常値検出と変化点検出の処理の概略を示した図である。 同実施形態における異常値検出の処理を説明するための図である。 同実施形態におけるモデル抽出の処理を示したフローチャートである。 同実施形態におけるモデル抽出の処理を示した図である。 同実施形態における異常値及び変化点の検出処理を示したフローチャートである。 同実施形態における第1類似度算出の手法を説明するための図である。 同実施形態における異常値検出の実験条件を示した図(その1)である。 同実施形態における異常値検出の実験条件を示した図(その2)である。 同実施形態における異常値検出の実験条件を示した図(その3)である。 同実施形態における異常値検出の実験結果を示した図である。 同実施形態における変化点検出の実験条件を示した図(その1)である。 同実施形態における変化点検出の実験条件を示した図(その2)である。 同実施形態における変化点検出の実験条件を示した図(その3)である。 同実施形態における変化点検出の実験結果を示した図である。 同実施形態における検出方法と従来の技術の違いを説明するための図である。 従来の技術を説明するための図である。 従来の技術における手法(1)を説明するための図(その1)である。 従来の技術における手法(1)を説明するための図(その2)である。 従来の技術における手法(2)を説明するための図である。 従来の技術における手法(3)を説明するための図である。 従来の技術における手法(4)を説明するための図である。
符号の説明
1 データ入力部
2 データ記憶部
3 検出部
3a ベクトル抽出手段
3b 異常値類似度算出手段3b
3c 変化点類似度算出手段3c
3d 異常値検出手段
3e 変化点検出手段
4 モデル抽出部
6 モデル記憶部
7 類似度記憶部
10 検出装置

Claims (6)

  1. 複数の時系列データから異常値を検出する異常値検出装置であって、
    前記複数の時系列データを記憶するデータ記憶手段と、
    前記複数の時系列データを入力し、入力した前記時系列データを系列ごとに前記データ記憶手段に記録するデータ入力手段と、
    前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出し、読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出し、抽出した前記部分空間の情報をモデル記憶手段に記録するモデル抽出手段と、
    前記データ記憶手段から最新の時系列データを読み出し、読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出するベクトル抽出手段と、
    前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出し、読み出した前記部分空間の情報と、前記ベクトル抽出手段によって抽出された前記ベクトルとに基づいて第1類似度を算出し、算出した前記第1類似度を類似度記憶手段に記録する第1の類似度算出手段と、
    前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて前記最新の時系列データが異常値か否かを検出する異常検出手段と、
    を備えたことを特徴とする異常値検出装置。
  2. 前記異常検出手段は、
    前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度との差分を求め、当該差分が予め定められた第1の閾値より大きい場合に前記最新の時系列データを異常値として検出することを特徴とする請求項1に記載の異常値検出装置。
  3. 複数の時系列データから変化点を検出する変化点検出装置であって、
    前記複数の時系列データを記憶するデータ記憶手段と、
    前記複数の時系列データを入力し、入力した前記時系列データを系列ごとに前記データ記憶手段に記録するデータ入力手段と、
    前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出し、読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を抽出し、抽出した前記部分空間の情報をモデル記憶手段に記録するモデル抽出手段と、
    前記データ記憶手段から最新の時系列データを読み出し、読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出するベクトル抽出手段と、
    前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出し、読み出した前記部分空間の情報と、前記ベクトル抽出手段によって抽出された前記ベクトルとに基づいて第1類似度を算出し、算出した前記第1類似度を類似度記憶手段に記録する第1の類似度算出手段と、
    前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて第2類似度を算出し、算出した前記第2類似度を前記類似度記憶手段に記録する第2の類似度算出手段と、
    前記最新の時系列データに対応する前記第2類似度と、前記類似度記憶手段に記憶されている最新以前の前記第2類似度とに基づいて前記最新の時系列データが変化点か否かを検出する変化点検出手段と、
    を備えたことを特徴とする変化点検出装置。
  4. 前記第2の類似度算出手段は、
    前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度との差分を第2類似度として、前記類似度記憶手段に記録し、
    前記変化点検出手段は、
    前記最新の時系列データに対応する前記第2類似度と、前記類似度記憶手段に記憶されている最新以前の前記第2類似度との差分を求め、当該差分が予め定められた第2の閾値より大きい場合に前記最新の時系列データを変化点として検出することを特徴とする請求項3に記載の変化点検出装置。
  5. 複数の時系列データから異常値を検出する異常値検出方法であって、
    前記複数の時系列データを入力する過程と、
    入力した前記時系列データを系列ごとに前記データ記憶手段に記録する過程と、
    前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出す過程と、
    読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出する過程と、
    抽出した前記部分空間の情報をモデル記憶手段に記録する過程と、
    前記データ記憶手段から最新の時系列データを読み出す過程と、
    読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出する過程と、
    前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出す過程と、
    読み出した前記部分空間の情報と、抽出された前記ベクトルとに基づいて第1類似度を算出する過程と、
    算出した前記第1類似度を類似度記憶手段に記録する過程と、
    前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて前記最新の時系列データが異常値か否かを検出する過程と、
    からなることを特徴とする異常値検出方法。
  6. 複数の時系列データから変化点を検出する変化点検出方法であって、
    前記複数の時系列データを入力する過程と、
    入力した前記時系列データを系列ごとに前記データ記憶手段に記録する過程と、
    前記データ記憶手段から一定期間の前記時系列データを系列ごとに読み出す過程と、
    読み出した前記時系列データの系列数を次元数とする座標空間において、異なる系列の同一時点の前記時系列データに基づいて構成される部分空間を時刻ごとに抽出する過程と、
    抽出した前記部分空間の情報をモデル記憶手段に記録する過程と、
    前記データ記憶手段から最新の時系列データを読み出す過程と、
    読み出した前記最新の時系列データに基づいて前記座標空間におけるベクトルを抽出する過程と、
    前記モデル記憶手段から時刻ごとの前記部分空間の情報を読み出す過程と、
    読み出した前記部分空間の情報と、前記ベクトルとに基づいて第1類似度を算出する過程と、
    算出した前記第1類似度を類似度記憶手段に記録する過程と、
    前記最新の時系列データに対応する前記第1類似度と、前記類似度記憶手段に記憶されている最新以前の前記第1類似度とに基づいて第2類似度を算出し、算出した前記第2類似度を前記類似度記憶手段に記録する過程と、
    前記最新の時系列データに対応する前記第2類似度と、前記類似度記憶手段に記憶されている最新以前の前記第2類似度とに基づいて前記最新の時系列データが変化点か否かを検出する過程と、
    からなることを特徴とする変化点検出方法。

JP2004293770A 2004-10-06 2004-10-06 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法 Expired - Lifetime JP4468131B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004293770A JP4468131B2 (ja) 2004-10-06 2004-10-06 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004293770A JP4468131B2 (ja) 2004-10-06 2004-10-06 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法

Publications (2)

Publication Number Publication Date
JP2006107179A true JP2006107179A (ja) 2006-04-20
JP4468131B2 JP4468131B2 (ja) 2010-05-26

Family

ID=36376839

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004293770A Expired - Lifetime JP4468131B2 (ja) 2004-10-06 2004-10-06 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法

Country Status (1)

Country Link
JP (1) JP4468131B2 (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287722A (ja) * 2007-05-16 2008-11-27 Beijing Kingsoft Software Co Ltd リスクレベル分析装置およびリスクレベル分析方法
WO2010041355A1 (ja) * 2008-10-09 2010-04-15 株式会社日立製作所 異常検知方法及びシステム
JP2011043966A (ja) * 2009-08-20 2011-03-03 Nec Corp Id管理システム、id管理方法、id管理用プログラム
JP2011196738A (ja) * 2010-03-18 2011-10-06 Nec Corp 衛星測位システムの異常値検出装置、異常値検出方法及び異常値検出プログラム
WO2012073526A1 (ja) * 2010-12-03 2012-06-07 株式会社日立製作所 データ処理システム、及びデータ処理装置
JP2012230703A (ja) * 2012-07-19 2012-11-22 Hitachi Ltd 異常検知方法及びシステム
JP2017138708A (ja) * 2016-02-02 2017-08-10 Kddi株式会社 スカラ特徴量によって時系列変化点を検出可能なプログラム、装置及び方法
US9824157B2 (en) 2014-03-17 2017-11-21 Fujitsu Limited Information processing device and information processing method
JP2017207852A (ja) * 2016-05-17 2017-11-24 Kddi株式会社 相互相関に基づいて時系列変化点を検出可能なプログラム、装置及び方法
JP2018061240A (ja) * 2016-09-13 2018-04-12 アクセンチュア グローバル ソリューションズ リミテッド 時系列グラフ分析による悪意ある脅威の検出
CN109118053A (zh) * 2018-07-17 2019-01-01 阿里巴巴集团控股有限公司 一种盗卡风险交易的识别方法和装置
JP2019040536A (ja) * 2017-08-28 2019-03-14 株式会社日立製作所 指標選択装置及びその方法
CN110008247A (zh) * 2018-12-13 2019-07-12 阿里巴巴集团控股有限公司 异常来源确定方法、装置、设备及计算机可读存储介质
CN110288003A (zh) * 2019-05-29 2019-09-27 北京师范大学 数据变化识别方法及设备

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287722A (ja) * 2007-05-16 2008-11-27 Beijing Kingsoft Software Co Ltd リスクレベル分析装置およびリスクレベル分析方法
KR101316486B1 (ko) * 2008-10-09 2013-10-08 가부시키가이샤 히타치세이사쿠쇼 이상 검지 방법 및 시스템
WO2010041355A1 (ja) * 2008-10-09 2010-04-15 株式会社日立製作所 異常検知方法及びシステム
CN102112933A (zh) * 2008-10-09 2011-06-29 株式会社日立制作所 异常检测方法及系统
CN102112933B (zh) * 2008-10-09 2014-06-18 株式会社日立制作所 异常检测方法及系统
US8630962B2 (en) 2008-10-09 2014-01-14 Hitachi, Ltd. Error detection method and its system for early detection of errors in a planar or facilities
JP2011043966A (ja) * 2009-08-20 2011-03-03 Nec Corp Id管理システム、id管理方法、id管理用プログラム
JP2011196738A (ja) * 2010-03-18 2011-10-06 Nec Corp 衛星測位システムの異常値検出装置、異常値検出方法及び異常値検出プログラム
WO2012073526A1 (ja) * 2010-12-03 2012-06-07 株式会社日立製作所 データ処理システム、及びデータ処理装置
JP2012117987A (ja) * 2010-12-03 2012-06-21 Hitachi Ltd データ処理方法、データ処理システム、及びデータ処理装置
JP2012230703A (ja) * 2012-07-19 2012-11-22 Hitachi Ltd 異常検知方法及びシステム
US9824157B2 (en) 2014-03-17 2017-11-21 Fujitsu Limited Information processing device and information processing method
JP2017138708A (ja) * 2016-02-02 2017-08-10 Kddi株式会社 スカラ特徴量によって時系列変化点を検出可能なプログラム、装置及び方法
JP2017207852A (ja) * 2016-05-17 2017-11-24 Kddi株式会社 相互相関に基づいて時系列変化点を検出可能なプログラム、装置及び方法
US10476896B2 (en) 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
JP2018061240A (ja) * 2016-09-13 2018-04-12 アクセンチュア グローバル ソリューションズ リミテッド 時系列グラフ分析による悪意ある脅威の検出
JP2019040536A (ja) * 2017-08-28 2019-03-14 株式会社日立製作所 指標選択装置及びその方法
CN109118053A (zh) * 2018-07-17 2019-01-01 阿里巴巴集团控股有限公司 一种盗卡风险交易的识别方法和装置
CN110008247A (zh) * 2018-12-13 2019-07-12 阿里巴巴集团控股有限公司 异常来源确定方法、装置、设备及计算机可读存储介质
CN110008247B (zh) * 2018-12-13 2022-08-16 阿里巴巴集团控股有限公司 异常来源确定方法、装置、设备及计算机可读存储介质
CN110288003A (zh) * 2019-05-29 2019-09-27 北京师范大学 数据变化识别方法及设备
CN110288003B (zh) * 2019-05-29 2022-01-18 北京师范大学 数据变化识别方法及设备

Also Published As

Publication number Publication date
JP4468131B2 (ja) 2010-05-26

Similar Documents

Publication Publication Date Title
JP4468131B2 (ja) 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法
CN110490078B (zh) 监控视频处理方法、装置、计算机设备和存储介质
D'Avino et al. Autoencoder with recurrent neural networks for video forgery detection
CN110853033B (zh) 基于帧间相似度的视频检测方法和装置
Vázquez-Padín et al. A random matrix approach to the forensic analysis of upscaled images
JP2006252259A (ja) データ分析装置及び方法
CN110431560A (zh) 目标人物的搜索方法和装置、设备、程序产品和介质
Ryu et al. Detecting trace of seam carving for forensic analysis
KR102321397B1 (ko) 생동감 평가에 근거하는 비디오 스푸핑 검출을 위한 시스템 및 프로세스
CN111953697A (zh) 一种apt攻击识别及防御方法
CN107808100B (zh) 针对特定测试样本的隐写分析方法
Chu et al. Detectability of the order of operations: An information theoretic approach
Kumar et al. A comprehensive analysis on video forgery detection techniques
CN113780363A (zh) 一种对抗样本防御方法、系统、计算机及介质
Doan et al. Image tampering detection based on a statistical model
WO2018050644A1 (en) Method, computer system and program product for detecting video surveillance camera tampering
Chen et al. A features decoupling method for multiple manipulations identification in image operation chains
WO2017179728A1 (ja) 画像認識装置、画像認識方法および画像認識プログラム
Girish et al. Inter-frame video forgery detection using UFS-MSRC algorithm and LSTM network
Alkishri et al. Evaluating the Effectiveness of a Gan Fingerprint Removal Approach in Fooling Deepfake Face Detection
Qian et al. Web Photo Source Identification based on Neural Enhanced Camera Fingerprint
Essa et al. High Order Volumetric Directional Pattern for Video‐Based Face Recognition
CN112613345A (zh) 用户认证方法和系统
Le et al. Statistical detector of resampled tiff images
Luo et al. Upscaling factor estimation on pre-JPEG compressed images based on difference histogram of spectral peaks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070320

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100216

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100224

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4468131

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130305

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140305

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250