JP2007334589A - 決定木構築方法および装置および状態判定装置 - Google Patents

決定木構築方法および装置および状態判定装置 Download PDF

Info

Publication number
JP2007334589A
JP2007334589A JP2006164977A JP2006164977A JP2007334589A JP 2007334589 A JP2007334589 A JP 2007334589A JP 2006164977 A JP2006164977 A JP 2006164977A JP 2006164977 A JP2006164977 A JP 2006164977A JP 2007334589 A JP2007334589 A JP 2007334589A
Authority
JP
Japan
Prior art keywords
value
attribute
state
probability
decision tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006164977A
Other languages
English (en)
Inventor
Satoshi Ota
聡 太田
Ryosuke Kurebayashi
亮介 榑林
Kiyoshi Kobayashi
潔 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006164977A priority Critical patent/JP2007334589A/ja
Publication of JP2007334589A publication Critical patent/JP2007334589A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Complex Calculations (AREA)

Abstract

【課題】通信トラヒックの状態がホストへの侵入であるのか、侵入を含まない正常なものであるのかを判定する際に、侵入が無いにも関わらず誤って侵入があるかのような出力をすることを防ぐ。
【解決手段】木構造を用いて通信トラヒックの状態を推定する際の木構造の構築にあたり、情報利得を計算するときに、特定の状態の状態確率を増減する機構を設け、どの状態の判定を誤るか、という誤り種別に対して情報利得の感度が異なるようにし、決定木の内部ノードに割当てる属性を決めるとき、より重要な判定誤りを減らす属性を選択する。
【選択図】図1

Description

本発明は、何らかのシステムがあったとき、そのシステムがどのような状態にあるのかを、前記システムを観測して得られる複数の属性値から判定する決定木の構築技術と同技術を用いた状態判定技術に関する。
上記決定木について図6を参照して説明する。決定木とは図6に示すような根を持つ木構造をしており、状態を判定するために観測された属性値を調べる手順を示すものである。図6に示すように、決定木は根101を含む内部ノード102、103、104、105、葉ノード111、112、113、114、115、116から成っている。同図が示すように、内部ノードは子ノードを持っているのに対し、葉ノードには子ノードがない。また、根ノードは他の内部ノードの子ノードにはなっていない内部ノードである。
根ノードを含む内部ノードには調べるべき属性が割り当てられ、葉ノードには状態が割当てられている。属性のとり得る値は集合で表現でき、さらにこの集合は複数の独立な部分集合の和で表すことが出来る。図7に、図6の木構造の構築データを一覧表にして示した。図7ではノードの符号をノード識別子とした。
状態の判定は根ノードから葉ノードに向かって行われ、内部ノードでは割り当てられた属性の値を調べ、属性の値がどの部分集合に属するかに基づいて子ノードの1つを選び、判定処理は選ばれた子ノードに進む。この処理を繰り返し、処理が葉ノードに到達したならば、その葉ノードに割当てられた状態を判定結果として出力する。決定木によって状態を判定する場合には、状態の判定誤り率は、決定木の内部ノードにどの属性を割当てるかによって大きく左右される。
従来、決定木を用いる状態判定装置では、決定木の内部ノードに割当てる属性の選択のため非特許文献1に説明されている情報理論的な手法を用いてきた。本従来技術では、状態に関する情報量をエントロピーで表現し、ある属性値を調べる前の事前確率から計算される状態に関する情報量と、属性値を調べた後の事後確率から計算される状態に関する情報量との差を計算する。この情報量の差を属性がもたらす情報量と解釈して情報利得と呼び、最も情報利得が高い属性を内部ノードに割当てる。以下、この従来技術の詳細を、例を用いて説明する。
いま、「翌日の天気」というシステムを考え、このシステムが2つの状態「雨が降る」、「雨は降らない」のいずれかを取ると仮定する。以下、表現を簡潔にするため、これらの状態をそれぞれS1,S2と書く。また、状態の集合SをS={S1,S2}のように定義し、状態に関する情報量をI(S)のように書く。システムに関して観測される第1の属性として「夕焼けの有無」があり、これをa1と書く。a1は値0(無し)または値1(有り)のいずれかをとる。すなわち属性a1の値は、集合{0,1}に属し、部分集合{0}または{1}のいずれかに属する。また、第2の属性a2(例えば「猫が顔を洗うしぐさの有無」)であって、a2も値として0または1をとると仮定する。
このシステムで、過去において40回の観測結果が図8のように得られ、このデータを学習データとした場合を説明する。いま、判定処理の最初に実行される根ノードに割当てる属性を選択する状況を説明する。まず、属性値を調べる前の状態に関する情報量I(S)を計算する。状態の確率P(S1),(S2)を学習データ中の状態の相対度数により推定すると、S1,S2共に20回ずつ発生しているので、次のようになる。
P(S1)=20/40=0.5 (1)
P(S2)=20/40=0.5 (2)
にしたがって情報量I(S)は、
I(S)=−P(S1)log2P(S1)−P(S2)log2P(S2)=1(ビット) (3)
である。学習データにおいて、属性a1が値0をとる場合は17回あって、そのうち16回は状態S1であるので、属性a1が値0をとるという条件での状態確率および情報量は次のようになる。
P(S1|a1=0)=16/17 (4)
P(S2|a1=0)=1/17 (5)
I(S1|a1=0)=−P(S1|a1=0)log2P(S1|a1=0)
−P(S2|a1=0)log2(S2|a1=0)=0.3228 (6)
同様に、a1が値1をとるという条件での情報量は次のように計算される。
I(S|a1=1)=0.6666 (7)
従って、属性a1の値がわかった後では、状態の情報量は次のように計算される。
I(S|a1)=P(a1=0)I(S|a1=0)+P(a1=0)I(S|a1=1)=(17/40)×0.3228+(23/40)×0.6666=0.5205 (8)
この結果、属性a1の情報利得G(a1)は次のように計算される。
G(a1)=I(S)−I(S|a1)=1−0.5205=0.4795 (9)
同じようにして属性a2の情報利得G(a2)は次のように計算される。
G(a2)=0.4221 (10)
このように属性a1の情報利得は属性a2の情報利得よりも大きいので、決定木の根ノードには属性a1が選ばれる。決定木を構築するには、根ノードの子ノード、さらにその子ノードという順序で、予め定められた停止規則が成立するまで、同様に最も情報利得の高い属性をノードに割当てていくことを繰り返す。この処理の過程で、あるノードで停止規則が成立したならば、そのノードは子ノードを持たない葉ノードとなり、判定処理が同ノードに進んだ場合に、もっとも尤度の高い状態が割当てられる。
上に述べた例で、仮に停止規則が「属性値は1回だけ調べる」というものだとすると、根ノードで属性値a1を1回調べるので、根ノードの2つの子ノードを構築する際、いずれの子ノードでも停止規則が成立する。よって、図9のように子ノードは葉ノードとなる。図9に示すように、根ノードでa1が0のとき到達する子ノード(葉)をL0,a1が1のとき到達するノードをL1と書く。学習データで、a1が0であるものは、状態S1のデータが16、状態S2のデータが1あるので、葉ノードL0に到達したという条件での条件付状態確率を学習データから推定すると次のようになる。
P(S1|L0)=16/17=0.9412 (11)
P(S2|L1)=1/17=0.0588 (12)
このように、判定プロセスが葉ノードL0に到達したとき、状態はS1である確率が高いので、葉ノードL0には状態S1を割当てる。すなわち、システムの状態を本決定木に従って判定したとき、葉ノードL0に到達したならばシステム状態はS1であると推定する。同じようにして、葉ノードL1には状態S2を割当てる。
次に、本従来技術により構築した決定木は、誤り種類毎の重要度に違いがなければ良い性能であることを説明する。いま、状態の発生確率と、各状態おいて属性値のとる値の条件付き確率が、学習データの相対頻度から正確に推定できると仮定する。すなわち、
P(S1)=P(S2)=20/40=0.5 (13)
P(a1=0|S1)=1−P(a1=1|S1)=16/20=0.8 (14)
P(a1=0|S2)=1−P(a1=1|S2)=0.1 (15)
P(a2=0|S1)=1−P(a2=1|S1)=0.9 (16)
P(a2=0|S2)=1−P(a2=1|S2)=0.3 (17)
という確率に従って各状態および属性値が発生するものとする。すると、従来技術で構築した決定木で、誤りが発生するのは、真の状態がS1であって属性a1の値が1である場合と、真の状態がS2であって属性a1の値が0の場合である。従って、判定誤りの確率をE1とすると、
1=P(a1=1|S1)P(S1)+P(a1=0|S2)P(S2)=0.1
(18)
となる。
一方、従来技術を用いず、根ノードに割当てられる属性がa2であるような決定木を考える。この決定木を図10に示す。同図の決定木を用いたときの判定誤りの確率をE2とすると、E2は次の値となる。
2=P(a2=1|S1)P(S1)+P(a2=0|S2)P(S2)=0.2
(19)
このように、従来技術によって決定木を構築すれば、判定誤りの確率が低い決定木を作ることが出来る。
なお、非特許文献1に記されているように、情報利得として式(9)、(10)のG(a1)、G(a2)を、内部ノードでの分岐確率から計算される情報量で割った値G′(a1)、G′(a2)が使われることもある。G′(a1)、G′(a2)の本質的な性質は上の議論と変わりないが、有効でない属性が選ばれる可能性をさらに低減できるとされている。
J.Ross Quinlan 著、C4.5:Programs ForMachine Learning,Morgan Kaufman Publishers,1993年,第2章。
従来技術によれば、多くの場合で判定誤りの確率が小さい、優れた決定木を構築できる。しかし、従来技術によって構築された決定木では誤りの種類によって重要度が異なる場合には、必ずしも良い決定木を構築するとは限らない。このことを前述の2状態、2属性のシステムの例を用いて説明する。
前述のシステムで、判定誤りの種類としては次の2つがある。
(1)真の状態はS1(明日は雨が降る)であるのにS2と判定する。
(2)真の状態はS2(明日は雨が降らない)であるのにS1と判定する。
本システムの利用者は、これら2つの誤りのうち、傘を持たずに外出して雨に濡れるという被害をもたらす(1)の誤りがより重要だと考えている、と仮定する。一方、(2)の誤りは傘が荷物になるものの(1)の誤りに比べ被害は軽微であって、重要度は低いと考えると仮定する。図9に示す従来技術で構築した決定木で、これら2つの誤り(1)、(2)がそれぞれ真の状態のもとで発生する条件付確率をそれぞれE1,1,E1,2のように書くと、
1,1=P(a1=1|S1)=0.2 (20)
1,2=P(a1=1|S2)=0.1 (21)
となる。一方、従来技術では構築されない根ノードに属性a2を割当てた決定木(図10)で、誤り(1)、(2)がそれぞれ真の状態のもとで発生する条件付確率をそれぞれE2,1,E2,2のように書くと、
2,1=P(a2=1|S1)=0.1 (22)
2,2=P(a2=0|S2)=0.3 (23)
となる。したがって、より重要な誤り(1)に関しては従来技術で構築した決定木の方が大きな誤り確率となる。仮に誤り(1)が発生したときの損失を10、誤り(2)が発生したときの損失を1とすると、システムが生み出す損失の期待値は、従来技術を用いた場合は1.05、図10の決定木では0.65となり、従来技術を用いるとより大きな損失を与える決定木が構築されてしまう。
状態判定装置では、確率的に判定誤りが発生するが、判定誤りの種類によって判定誤りの重要性は異なる。
本発明は、このような背景の下に行われたものであって、本発明は、特に、過去に観測された既知の状態と属性値の集合を学習データとして与え、学習データから決定木を構築し、構築した決定木により現在の未知の状態を判定する場合に、重要な判定誤りを減らすような決定木の構築方法の提供を目的としている。
本発明の主な応用分野は、インターネットにおける侵入検知システムである。インターネットにおける侵入検知システムでは、監視対象であるホストに入る通信トラヒックの属性値を取得し、通信トラヒックの状態がホストへの侵入であるのか、侵入を含まない正常なものであるのかを判定する。
この際、判定誤りとしては、(1)侵入があるにも関わらず侵入が無いと判定する誤りと、(2)侵入が無いにも関わらず侵入があると判定する誤りがあり、前者よりも後者を極力起こらないようにする必要がある。
本発明は、インターネットにおける侵入検知システムに適用することで、侵入が無いにも関わらず同装置が誤って侵入があるかのような出力をすることを防ぐことを目的としている。
本発明は、システムが複数M個(但しMは1より大きい整数)の状態S1,S2,...,SMのいずれか一つの状態をとり、前記状態が未知であって、前記システムを観測すると複数N個(但しNは1より大きい整数)の属性a1,a2,...,aMの値を知ることができ、属性の値が属する集合はいくつかの孤立な部分集合の輪であるとき、内部ノードと葉ノードで構成し、内部ノードは複数の子ノードを持ち、内部ノードのうち1つは他の内部ノードの子ノードではない根ノードであり、葉ノードは子ノードを持たない木構造で、核内部ノードには前記N個の属性a1,a2,...,aNの1つを割り当て、根ノードから処理を開始し、内部ノードでは割当てた属性の値を調べ、属性の値がどの部分集合に属するかに応じて、いずれか1つの子ノードへ処理を進め、葉ノードには状態割り当て、処理が木はノードに到達したら該葉ノードに割当てた状態をシステムの状態と推定する決定木の、ある内部ノードに割当てる属性an(但し、nは1≦n≦Nの整数)を前記N個の属性a1,a2,...,aNの中から選ぶに当たり、属性anの値を調べる前の状態に関する情報量から、属性anの値を調べた後の情報量を減算して計算される情報利得を求め、前記N個の属性a1,a2,...,aN の中で、前記情報利得が最大になるような属性an を選ぶ決定木構築装置において実行される決定木構築方法である。
ここで、本発明の特徴とするところは、anの値がXの要素であるという条件での状態確率をP(S1|an∈X),P(S2|an∈X),…,P(SM|an∈X)として、予め決められた状態Smの(ただしmは1≦m≦Mの整数)、属性anの値がXの要素であるとき状態確率P(Sm|an∈X)をΔP(Sm|an∈X)だけ減らした確率Q(Sm|an∈X)と、Sm以外の状態の状態確率P(Si|an∈X)(但し、iはi≠mで1≦i≦Mの整数)との和が、ΔP(Sm|an∈X)だけ増加するように変更して得られる確率Q(Si|an∈X)を求めるステップと、属性a1,a2,…,aNのうち、anの値を調べた後に値が部分集合Xの要素であるときの情報量を、確率Q(S1|an∈X),Q(S2|an∈X),…,Q(SM|an∈X)を用いて計算し、属性anの値を調べた後の情報量は、anの値が部分集合Xの要素であるときの情報量を、anの値が属し得る全ての部分集合について平均した値として、前記確率Q(S1|an∈x),Q(S2|an∈X),…,Q(SM|an∈X)のそれぞれに、属性anが部分集合Xの要素となる確率P(an∈X)を乗算した値Q(S1|an∈X)P(an∈X),Q(S2|an∈X)P(an∈X),…,Q(SM|an∈X)P(an∈X)を、属性anが属し得る全ての部分集合について加算して確率Q(S1),Q(S2),…,Q(SM)を求めるステップと、前記属性anの値を調べる前の状態に関する情報量を前記確率Q(S1),Q(S2),…,Q(SM)を使って計算するステップとを有することを第一の特徴とする。
本発明の第一の特徴では、情報利得を計算する際、特定の状態の状態確率を増減する機構を設けたことにより、どの状態の判定を誤るか、という誤り種別に対して情報利得の感度が異なるようにしていることが従来技術と異なる。
この結果、決定木の内部ノードに割当てる属性を決めるとき、より重要な判定誤りを減らす属性を選択することができる。
また、本発明は、システムが複数M個(但しMは1より大きい整数)の状態S1,S2,…,SMのいずれか一つの状態をとり、この状態が未知であるとき、前記システムを観測して得られる複数N個の属性a1,a2,…,aNの値を調べてシステムの状態を判定する決定木の、ある属性an(但しnは1≦n≦Nの整数)を前記決定木の内部ノードに割当て、前記属性anが連続値をとり、前記内部ノードでは前記属性anの値が属する部分集合が、ある閾値tとanの値との大小関係に従って決定されるときの、前記閾値tの値を決定するに当たり、前記属性anの値を調べる前の状態に関する情報量から、前記属性anの値を調べ、前記閾値tと比較した後の情報量を減算して計算される情報利得を求め、前記情報利得が最大になるように閾値tを決定する決定木構築装置において実行される決定木構築法である。
ここで、本発明の特徴とするところは、属性anの値が閾値tによって決まる部分集合X(t)に属する場合には、状態確率をP(S1|an∈X(t)),P(S2|an∈X(t)),…,P(SM|an∈X(t))として、予め決められた状態Sm(但しmは1≦m≦Mの整数)の状態確率P(SM|an∈X(t))を、ΔP(SM|an∈X(t))だけ減らした確率Q(Sm|an∈X(t))と、Sm以外の状態の状態確率P(Si|an∈X(t))(但し、iはi≠mで1≦i≦Mの整数)との和が、ΔP(Sm|an∈X(t))だけ増加するように変更して得られる確率Q(Si|an∈X(t))を求めるステップと、属性a1,a2,…,aNのうち、anの値を調べた後に値が部分集合X(t)の要素であるときの情報量を、確率Q(S1|an∈X(t)),Q(S2|an∈X(t),…,Q(SM|an∈X(t))を用いて計算し、属性anの値を調べた後の情報量は、anの値が部分集合X(t)の要素であるときの情報量を、anの値が属し得る全ての部分集合について平均した値として、前記確率Q(S1|an∈X(t)),Q(S2|an∈X(t)),…,Q(SM|an∈X(t))のそれぞれに、属性anが部分集合X(t)の要素となる確率P(an∈X(t))を乗算した値Q(S1|an∈X(t))P(an∈X(t)),Q(S2|an∈X(t))P(an∈X(t)),…,Q(SM|an∈X)P(an∈X(t))を、属性anが属し得る全ての部分集合について加算して確率Q(S1),Q(S2),…,Q(SM)を求めるステップと、前記属性anの値を調べる前の状態に関する情報量を前記確率Q(S1),Q(S2),…,Q(SM)を使って計算するステップとを有することを第二の特徴とする。
決定木を構築する際、情報利得は内部ノードに割当てる属性を選択するだけでなく、連続的な値をとる属性で分岐条件を決める閾値の設定でも使われる。上の説明で、部分集合X(t)は、{x|x≦t}あるいは{x|x>t}のような集合であって、値tの決め方によって決定木の判定誤り特性は大きく左右されるが、この場合も情報利得を最大化するようにtを決めると良い特性が得られる。
本発明の第二の特徴では、この閾値tの決定においても情報利得を計算する際、特定の状態の状態確率を増減する機構を設けたことにより、どの状態の判定を誤るか、とうい誤り種別に対して情報利得の感度が異なるようにしている。この結果、連続値をとる属性が決定木の内部ノードに割当てられる場合には、属性の選択だけでなく閾値の設定の面でも重要な判定誤りの発生率を低減することができる。
また、本発明を決定木構築装置の観点から観ると、本発明は、過去に複数回のデータ観測を行い、この観測したデータの属性および状態を集計して得られた学習データを入力し、この学習データに基づき根ノードから内部ノードを経て葉ノードに到達する木構造を構築する際に、各内部ノードに割当てる属性を決定する内部ノード属性決定手段を備えた決定木構築装置であって、本発明の特徴とするところは、前記内部ノード属性決定手段は、上述した本発明の決定木構築方法を用いて内部ノードの属性を決定する手段を備えたところにある。
さらに、属性に連続値が含まれる場合に、当該属性の値と閾値とを比較して属性を決定するための閾値決定手段を備え、この閾値決定手段は、上述した本発明の決定木構築方法を用いて閾値を決定する手段を備えたところにある。
さらに、本発明の決定木構築法を用いて決定木を構築し、状態判定装置に適用すれば、重要な判定誤りの発生確率が低い状態判定装置を得ることができる。
すなわち、本発明を状態判定装置の観点から観れば、本発明は、ネットワークとホスト・コンピュータとの間に挿入され、前記ネットワークと前記ホスト・コンピュータとの間の通信トラヒックの状態を判定する状態判定装置であって、本発明の特徴とするところは、本発明の決定木構築装置により構築された木構造を入力し、当該木構造における葉ノードに割当てられた状態に基づき前記通信トラヒックの状態を判定する手段を備えたところにある。
また、本発明をプログラムの観点から観ることもできる。すなわち、本発明は、汎用の情報処理装置にインストールすることにより、その汎用の情報処理装置に、本発明の決定木構築装置に相応する機能を実現させるプログラムである。あるいは、本発明は、汎用の情報処理装置にインストールすることにより、その汎用の情報処理装置に、本発明の状態判定装置に相応する機能を実現させるプログラムである。
本発明のプログラムは、記録媒体に記録されることにより、前記汎用の情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記汎用の情報処理装置に本発明のプログラムをインストールすることもできる。
これにより、汎用の情報処理装置を用いて、本発明の決定木構築装置または状態判定装置を実現することができる。
本発明を用いれば、未知の状態を、観測の結果得られる属性値を決定木に与えて判断する状態判定装置で、判定誤り種類による重要度の違いを考慮した決定木を構築することができる。この結果、状態判定装置において、判定誤りが甚大な損害を及ぼすような種類の判定誤りを従来技術よりも減少させることが可能となる効果がある。
特に、インターネットの侵入検知システムに適用すれば、同装置で重要なFalse Positiveの少ない侵入検知が可能となる効果が得られる。
(第一実施例)
本発明の第一実施例を図面を参照して説明する。図1は第一実施例を説明する流れ図であり、属性値が離散値を取る場合に、決定木の内部ノードを選択するときの計算手続きを示すものである。図1に示した処理の流れに従って決定木が構築される様子を、図8のデータを使って説明する。図1に従えば、内部ノードに割当てる属性を選択するとき、属性毎に情報利得を次のように計算する。
まず、値が既知となった後の事後状態確率を求め、その事後状態確率を、ある状態Smに関しては減少させ、他の状態については増加させ、その事後状態確率から属性値が分かった後の事後情報量J(S|a)を計算する(ステップS4およびS5)。
mは、システムの真の状態がSmのときに、他の状態であるかのように判定誤りしたときに、生じる損失が、他の判定誤りで生じる損失よりも大きくなるような状態とする。図8のデータの例では状態S1「明日は雨が降る」の状態確率をΔP(S1)だけ減少させて(1−Δ)倍にして、状態S1の状態確率の減少分を状態S2「明日は雨が降らない」の状態確率に加算する。
ここでパラメタΔは0より大きく1より小さい値に選ぶ。この変更した事後状態確率からJ(S|a)を計算する。さらに、変更した事後状態確率と、属性値の発生確率とから、属性値を知る前の事前確率に相当する状態確率を求め(ステップS6)、その情報量J(S)を計算する。属性値aの情報利得H(a)はJ(S)からJ(S|a)を減ずることによって計算される(ステップS7)。
以上の計算はステップS2、S3によってすべての属性について実行され、ステップS8、S9によって情報利得が最大の属性が記録され、最終的な出力となる(ステップS10)。
ここで、図8のデータで属性a1の利得情報H(a1)を計算する。値が0である場合には、事後の状態確率は式(3)、(4)の値となるが、本発明ではこれを次の確率Q(S1|a1=0),Q(S2|a1=0)に変換する。
Q(S1|a1=0)=(1−Δ)×16/17 (24)
Q(S2|a1=0)=1/17+Δ×16/17 (25)
パラメタΔを0.5に設定すると、Q(S1|a1=0)=0.470588,Q(S2|a1=0)=0.529412という値が計算される。同様に、Q(S2|a1=1)=0.913043と計算される。
この結果、変更された事後状態確率による情報量J(S|a1)は次のように計算される。
J(S|a1=0)=−Q(S1|a1=0)log2Q(S1|a1=0)−Q(S2|a1=0)log2Q(S2|a1=0)=0.997053
(26)
J(S|a1=1)=0.426229 (27)
J(S|a1)=P(a1=0)J(S|a1=0)+P(a1=1)J(S|a1=1)=0.66902 (28)
変更した事後状態確率から事前確率に相当する状態確率を求めると、次のようになる。
Q(S1)=Q(S1|a1=0)P(a1=0)+Q(S1|a1=1)P(a1=1)=0.25 (29)
Q(S2)=Q(S2|a1=0)P(a1=0)+Q(S2|a1=1)P(a1=1)=0.75 (30)
従って、J(S)は、
J(S)=−Q(S1)log2Q(S1)−Q(S2)log2Q(S2)=0.811278 (31)
この結果、属性a1の情報利得H(a1)は次のように計算される。
H(a1)=J(S)−J(S|a1)=0.145528 (32)
同様にして、属性a2に関しては、
J(S|a2)=0.661326 (33)
H(a2)=0.149953 (34)
このように、本発明によれば、属性a1の情報利得H(a1)よりも、属性a2の情報利得H(a2)の方が大きな値となる。この結果、本発明を用いれば、決定木の根に割当てられる属性はa2となる。もし、停止規則が「属性値は1回だけ調べる」というものだとすると、本発明により構築される決定木は、図10の構成となる。図10の決定木は、前述のとおり、従来技術で構築される図9の決定木に比べ、状態S1であるときに状態S2であると判定する判定誤りの確率が小さい。この結果、状態S1を状態S2と判定誤りするときの損失が10で、状態S2を状態S1と判定誤りするときの損失が1である場合に、本発明を用いることにより従来技術より損失の期待値を小さくすることができる。
以上説明したように、本発明を用いれば、判定誤りの中で重要度の高いものに着目して確率を変更する機能を設けているので、従来技術の情報利得における判定誤りの種類による重要度の違いが考慮されないという問題が解決され、重要な判定誤りがより少ない決定木を構築できる利点が生じる。また、本発明を用いて構築した決定木を状態判定装置に用いれば重要な判定誤りの少ない装置とすることができる。
(第二実施例)
本発明の第二実施例を図面を参照して説明する。図2は第二実施例を説明する流れ図であり、属性が連続値を取る場合に、決定木の内部ノードを選択するときの計算手続きを示すものである。属性が連続値を取る場合には、ある閾値を定め、属性値が閾値より大きいか、そうでないかによって内部ノードでどの子ノードへ処理を進行させるかを決定する。
ここで閾値をいくつに設定するかによって決定木の性能は変化する。本発明では、属性aに対し、閾値tを変化させながら(図2のステップS19)、閾値tを用いたときの情報利得H(a,t)を、変更した状態確率に従って計算し、情報利得が最大になるような閾値tmaxを選ぶ。ここで変更した状態確率に従った情報利得は、図1の場合と同じく次のように計算する。
まず、値を閾値tと比較した後の事後状態確率を求め、その事後状態確率を、ある状態Smに関しては減少させ、他の状態については増加させる。この変更した状態確率から属性値が分かった後の事後情報量J(S|a,t)を計算する(ステップS13、S14)。Smはシステムの真の状態がSmであるとき、他の状態であるかのように判定誤りしたときの損失が、他の状態を判定誤りしたときの損失よりも大きくなるような状態である。
さらに、変更した事後状態確率と、属性値の発生確率とから、属性値を知る前の事前確率に相当する状態確率を求め(ステップS15)、その情報量J(S)を計算する。連続的属性aと閾値tとを比較して得られる情報利得H(a,t)はJ(S)からJ(S|a,t)を減ずることによって計算される(ステップS16)。
閾値tを変化させながらこの計算を繰り返す過程で、情報利得が最大になる閾値がステップS17およびS18で記録され、手続き終了時に出力される(ステップS20)。
上のように選んだ閾値tmaxに対する情報利得H(a,tmax)を、各属性毎に比較し、情報利得が最大になるような属性を選び、内部ノードに割当てる。連続値をとる属性と離散値をとる属性とが混在している場合は、連続値は上に説明した閾値tmaxでの情報利得を、離散値は図1のステップS7で計算される情報利得を計算し、情報利得が最大となる属性値を内部ノードに割当てる。
情報利得としては以上説明したH(a)またはH(a,t)の代わりに、これらの値を内部ノードでの分岐確率から計算される情報量で割った値H′(a)またはH′(a,t)を使うこともできる。H′(a)またはH′(a,t)を使えば従来技術におけるG′(a)の場合と同様の効果がある上、重要な判定誤りの発生率を低減できる。
(侵入検知システムの実施例)
以上、説明した属性が連続値である場合の効果を、インターネットに接続したホスト・コンピュータを監視する侵入検知システムに応用したときの例を説明する。図3は、本発明を侵入検知システムに応用したときの様子を説明する図であって、31はホスト・コンピュータ、32は侵入検知システムである。なお、侵入検知システム32の機能は、ホスト・コンピュータ31の内部でソフトウェアとして実装して実行してもよい。侵入検知システム32はトラヒック属性抽出機構33、学習データ34、決定木構築機構35、侵入判定機構36で構成される。
なお、本発明の決定木構築装置は本実施例における決定木構築機構35に相当し、本発明の状態判定装置は本実施例における侵入判定機構36に相当する。
決定木構築機構35は、学習データ34から決定木を構築し、構築した決定木を侵入判定機構36に出力する作用をするが、その構成は図4のようになっている。本構成では、停止規則判定機構54、葉ノードに割当てる状態の決定機構55、内部ノードに割当てる属性の決定機構56、子ノードの学習データサブセット生成機構58は、学習データ(またはそのサブセット)と共に、決定木の中のノードを一意に識別する識別子を入力として動作する。
また、決定木の構築を記録するには、ノードの識別子毎に、そのノードが葉ノードか内部ノードかを示す値と、葉ノードならば割当てた状態を示す値、内部ノードならば割当てた属性および属性値の集合毎の対応する子ノードの識別子をデータとして記録すればよく、このデータが図4の機構で生成されて出力となる。
本構成では、まず、学習データ34は根ノードであることを示す識別子と共に停止規則判定機構54に第1の入力51として与えられる。停止規則判定機構54は学習データから与えられた識別子のノードを葉ノードと内部ノードのどちらとするべきか判断し、判断結果は決定木記録機構59へ送られて記録される。
停止規則判定機構54がノード識別子で識別されるノードを葉ノードにするべきと判断した場合には、第1の入力(学習データ)51とノード識別子とを葉ノードに割当てる状態の決定機構55へ送る。葉ノードに割当てる状態の決定機構55は与えられた学習データに対して、最も損失の少なくなるように、ノード識別子で識別される葉ノードに割当てる状態を決定する。結果は、決定木記録機構59へ送られて記録される。
逆に、ノード識別子で識別されるノードを内部ノードにするべきと判断した場合には、与えられた学習データとノード識別子は、内部ノードに割当てる属性の決定機構56へ送られる。内部ノードに割当てる属性の決定機構56は図1のフローに従って、ノード識別子で識別される内部ノードに割当てる属性を決定する。さらに、属性に連続値が含まれる場合には、属性の値と閾値とを比較する必要があるので、情報利得の計算中に連続属性値に対する閾値決定機構57へ学習データを送る。
連続属性値に対する閾値決定機構57は図2のフローに従って最良の閾値を決定し、同時に情報利得を計算し、これに基づいて内部ノードに割当てる属性の決定機構56は最も情報利得の高い属性をノードに割当てる。結果は決定木記録機構59へ送られて記録される。
調べる属性が決定すれば、与えられた学習データの個々の要素について、属性の値に基づいて、ノード識別子で識別される内部ノードの、どの子ノードに処理を進めるか決定できる。この結果、子ノード毎に対応する学習データのサブセットを生成できる。この学習データのサブセットは、内部ノードに割当てる属性の決定機構56が決定した属性と、学習データを入力として、子ノードの学習データサブセット生成機構58が生成する。
子ノードの学習データサブセット生成機構58は、子ノードの識別子を新しく作り、内部ノードの子ノードの情報として、決定木記録機構59へ送る。これと共に、第1の子ノードの識別子と第1の子ノードに対応する学習データのサブセットを停止規則判定機構54に第2の入力52として送り込む。
停止規則判定機構54は第2の入力52に対しても同様の動作をして、葉ノードに割当てる状態の決定機構55または内部ノードに割当てる属性の決定機構56を起動する。葉ノードに割当てる状態の決定機構55および内部ノードに割当てる属性の決定機構56は上と同様の動作を繰り返し、その結果、第1の子ノードを根とする部分木が再帰的に構築される。
次に、子ノードの学習データサブセット生成機構58は、第2の子ノードと第2の子ノードに対応する学習データのサブセットを停止規則判定機構54に第3の入力53として送り込む。この結果、停止規則判定機構54以下が同様の動作を繰り返し、第2の子ノードを根とする部分木が再帰的に構築される。
同様のことを全ての子ノードと、対応する学習データのサブセットに繰り返すことで、決定木が再帰的手法により構築される。この決定木の構築過程で、決定木の構築を示すデータであるノード識別子毎の、葉ノードか内部ノードかの区別と、葉ノードの場合の割当てられる状態と、内部ノードの場合の割当てられる属性と、内部ノードが持つ子ノードの識別子は、決定される度に決定木記録機構59へ送られて記録される。決定木の構築が完了すると、決定木のすべての構築データが記録され、決定木記録機構59は記録された決定木の出力(構築データ)60を図3の侵入判定機構36へ送出する。なお、決定木記録機構59において記録される構築データは、例えば、図7に示したように一覧表として生成される。
インターネットの侵入検知システムは、属性がトラヒックの性質を示す数値であり、状態が現在のトラヒックがホストへの侵入を含んでいない正常状態か、そうでなければトラヒックに含まれる侵入または攻撃の種類の一つをとるような状態判定システムと考えることができる。
侵入検知システムにおける判定誤りは、現実には正常状態であるのに侵入または攻撃が発生しているように判定する誤り(以下、False Positiveと呼ぶ)、侵入または攻撃が発生しているのに正常状態であるかのように判定する誤り(以下、False Negativeと呼ぶ)、侵入または攻撃の種別の誤判定の3つの種類に分類される。
これらの中で、False Positiveが発生すると不要な攻撃遮断措置が必要となり、ホストの運用管理上大きな作業負荷が発生する問題がある。特に、侵入または攻撃が稀にしか発生しない状況では、システムが侵入または攻撃を検知したとき、そのほとんどがFalse Positiveということも起こり得る。そのような状況が起こると判定結果に対する信頼性が極めて低下する。
このような問題の発生を防ぐため、侵入検知システムにおいては他の種類の判定誤りよりもFalse Positiveを減らすことがより重要な課題となる。したがって、上の説明における記号Smに相当する状態は正常状態となる。
(第三実施例)
第三実施例は、汎用の情報処理装置にインストールすることにより、その汎用の情報処理装置に、本実施例の決定木構築装置(決定木構築機構35に相当)および状態判定装置(侵入判定機構36に相当)に相応する機能を実現させるプログラムである。このプログラムは、記録媒体に記録されて汎用の情報処理装置にインストールされ、あるいは通信回線を介して汎用の情報処理装置にインストールされることにより当該汎用の情報処理装置に、本実施例の決定木構築装置および状態判定装置にそれぞれ相応する機能を実現させることができる。汎用の情報処理装置は、例えば、汎用のパーソナル・コンピュータである。
(実施例の評価)
以下では、本発明を適用することでFalse Positiveを減らすことが達成できることを実験データにより示す。
実験はデータマイニングの国際会議で公開されたKDDCup99で使われたトラヒックデータ(http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html)を用いて行った。本データはLAN上で通常のアプリケーションによるトラヒックと侵入トラヒックとを発生させて記録されたものである。データはコネクション単位に記録されており、各コネクションのとる状態は「正常」か、あるいは、22種類の侵入かのいずれかである。
コネクションには離散値をとる属性がプロトコル、サービス等7種類、連続値をとる属性が接続時間、送信バイト数など34種類定義されている。データには4898431個のコネクションの属性値と状態とが含まれているが、これを5等分して5つの部分データを構築した。
次に、各部分データ毎に20%のコネクションをランダムに選んで学習データとして、残りの80%のコネクションを決定木による判定が正しいかどうかを調べる評価用のデータとした。さらに、5つの部分データ毎に学習データから本発明および従来技術を用いて決定木を構築し、構築した決定木を用いて評価データの各コネクションについて状態を判定し、判定結果とコネクションの真の状態とを比較してFalse Positiveの割合を計算した。
本発明を用いた場合には、「正常」状態の状態確率Pnを(1−Δ)倍に減少させ、22個の侵入状態の中で、属性値を調べた後で最も状態確率の高い侵入状態を選び、この選ばれた侵入状態の状態確率を正常状態の状態確率の減少分ΔPnだけ増加させた。もし、最も状態確率の高い侵入状態が複数あれば、その中で属性値を調べる前の状態確率が最大の侵入状態を選び、その状態確率を増加させた。パラメタΔは0から0.9の範囲で変化させた。
このようにして本発明を使って構築した決定木を用い、侵入検知時のFalse Positiveを求め、従来技術と比較した結果を図5に示す。図5の横軸はパラメタΔの値であり、縦軸は従来技術で得られるFalse Positiveの数に対する本発明で得られるFalse Positiveの数の割合をパーセントで表示したものである。100パーセント未満であれば従来技術よりもFalse Positiveが少ないことを示している。図5には5つの部分問題の中で最も効果があった場合(最良値)、最も効果がなかった場合(最悪値)、平均値を示している。
図5が示すように、本発明の効果は部分問題とパラメタΔの選び方によってばらつくものの、Δを0.3以上0.8以下に選べば全ての部分問題において本発明を用いることでFalse Positiveを低減することができた。特に、Δを0.7に選べばFalse Positiveを従来技術に比べ平均値で50%程度に低減できる。さらに、最も効果のある部分問題では23%程度までFalse Psitiveを低減できる。
以上説明したように、本発明の図4の機構を用いることで、属性が連続値を取る場合であっても、重要な判定誤りを従来技術より低減するような決定木を構築することが可能となる。特に、図4の機構を用いて構築した決定木を、図3に示すように、インターネットにおける侵入検知システムに適用すれば、侵入検知で重要な判定誤りであるFalse Positiveを効果的に低減することができる。
本発明を用いれば、判定誤りが甚大な損害を及ぼすような種類の判定誤りを従来技術よりも減少させることが可能となるので、例えば、インターネットの侵入検知システムに適用すれば、同システムで重要なFalse Positiveの少ない侵入検知が可能となり、ネットワーク管理者および利用者の双方にとって有用なネットワーク・システムの構築に寄与することができる。
本実施例の内部ノードの属性決定手順を示す流れ図。 本実施例の閾値決定手順を示す流れ図。 本実施例の侵入検知システムのブロック構成図。 本実施例の決定木構築機構のブロック構成図。 本実施例の侵入検知システムにおける効果を示す実験結果を説明するための図。 木構造を説明するための図。 図6の木構造の構築データの一覧表を示す図。 学習データの一例を示す図。 従来技術により構築される決定木の例を示す図。 従来技術では構築されない決定木の例を示す図。
符号の説明
31 ホスト・コンピュータ
32 侵入検知システム
33 トラヒック属性抽出機構
34 学習データ
35 決定木構築機構
36 侵入判定機構
51〜53 入力データ
54 停止規則判定機構
55 葉ノードに割当てる状態の判定機構
56 内部ノードに割当てる属性の決定機構
57 連続属性値に対する閾値決定機構
58 子ノードの学習データサブセット生成機構
59 決定木記録機構
60 出力
101 根ノード
102〜105 内部ノード
111〜116 葉ノード

Claims (7)

  1. システムが複数M個(但しMは1より大きい整数)の状態S,S2,...,SMのいずれか一つの状態をとり、前記状態が未知であって、前記システムを観測すると複数N個(但しNは1より大きい整数)の属性a,a2,...,aMの値を知ることができ、属性の値が属する集合はいくつかの孤立な部分集合の和であるとき、内部ノードおよび葉ノードで構成され、内部ノードは複数の子ノードを持ち、内部ノードのうち1つは他の内部ノードの子ノードではない根ノードであり、葉ノードは子ノードを持たない木構造で、
    前記内部ノードに前記N個の属性a,a2,...,aNの1つを割り当て、根ノードから処理を開始し、前記内部ノードでは割当てた属性の値を調べ、属性の値がどの部分集合に属するかに応じて、いずれか1つの子ノードへ処理を進め、葉ノードには状態を割り当て、処理が葉ノードに到達したらこの葉ノードに割当てた状態をシステムの状態と推定する決定木の、ある内部ノードに割当てる属性an(但し、nは1≦n≦Nの整数)を前記N個の属性a1,a2,...,aNの中から選ぶに当たり、属性anの値を調べる前の状態に関する情報量から、属性anの値を調べた後の情報量を減算して計算される情報利得を求め、前記N個の属性a1,a2,...,aNの中で、前記情報利得が最大になるような属性anを選ぶ決定木構築装置において実行される決定木構築方法であって、
    nの値がXの要素であるという条件での状態確率をP(S1|an∈X),P(S2|an∈X),…,P(SM|an∈X)として、予め決められた状態Smの(ただしmは1≦m≦Mの整数)、属性anの値がXの要素であるとき状態確率P(Sm|an∈X)をΔP(Sm|an∈X)だけ減らした確率Q(Sm|an∈X)と、Sm以外の状態の状態確率P(Si|an∈X)(但し、iはi≠mで1≦i≦Mの整数)との和が、ΔP(Sm|an∈X)だけ増加するように変更して得られる確率Q(Si|an∈X)を求めるステップと、
    属性a1,a2,…,aNのうち、anの値を調べた後に値が部分集合Xの要素であるときの情報量を、確率Q(S1|an∈X),Q(S2|an∈X),…,Q(SM|an∈X)を用いて計算し、属性anの値を調べた後の情報量は、anの値が部分集合Xの要素であるときの情報量を、anの値が属し得る全ての部分集合について平均した値として、前記確率Q(S1|an∈x),Q(S2|an∈X),…,Q(SM|an∈X)のそれぞれに、属性anが部分集合Xの要素となる確率P(an∈X)を乗算した値Q(S1|an∈X)P(an∈X),Q(S2|an∈X)P(an∈X),…,Q(SM|an∈X)P(an∈X)を、属性anが属し得る全ての部分集合について加算して確率Q(S1),Q(S2),…,Q(SM)を求めるステップと、
    前記属性anの値を調べる前の状態に関する情報量を前記確率Q(S1),Q(S2),…,Q(SM)を使って計算するステップと
    を有することを特徴とする決定木構築方法。
  2. システムが複数M個(但しMは1より大きい整数)の状態S1,S2,…,Sのいずれか一つの状態をとり、この状態が未知であるとき、前記システムを観測して得られる複数N個の属性a1,a2,…,aNの値を調べてシステムの状態を判定する決定木の、ある属性an(但しnは1≦n≦Nの整数)を前記決定木の内部ノードに割当て、前記属性anが連続値をとり、前記内部ノードでは前記属性anの値が属する部分集合が、ある閾値tとanの値との大小関係に従って決定されるときの、前記閾値tの値を決定するに当たり、前記属性anの値を調べる前の状態に関する情報量から、前記属性anの値を調べ、前記閾値tと比較した後の情報量を減算して計算される情報利得を求め、前記情報利得が最大になるように閾値tを決定する決定木構築装置において実行される決定木構築方法であって、
    属性anの値が閾値tによって決まる部分集合X(t)に属する場合には、状態確率をP(S1|an∈X(t)),P(S2|an∈X(t)),…,P(SM|an∈X(t))として、予め決められた状態Sm(但しmは1≦m≦Mの整数)の状態確率P(SM|an∈X(t))を、ΔP(SM|an∈X(t))だけ減らした確率Q(Sm|an∈X(t))と、Sm以外の状態の状態確率P(Si|an∈X(t))(但し、iはi≠mで1≦i≦Mの整数)との和が、ΔP(Sm|an∈X(t))だけ増加するように変更して得られる確率Q(Si|an∈X(t))を求めるステップと、
    属性a1,a2,…,aNのうち、anの値を調べた後に値が部分集合X(t)の要素であるときの情報量を、確率Q(S1|an∈X(t)),Q(S2|an∈X(t),…,Q(SM|an∈X(t))を用いて計算し、属性anの値を調べた後の情報量は、anの値が部分集合X(t)の要素であるときの情報量を、anの値が属し得る全ての部分集合について平均した値として、前記確率Q(S1|an∈X(t)),Q(S2|an∈X(t)),…,Q(SM|an∈X(t))のそれぞれに、属性anが部分集合X(t)の要素となる確率P(an∈X(t))を乗算した値Q(S1|an∈X(t))P(an∈X(t)),Q(S2|an∈X(t))P(an∈X(t)),…,Q(SM|an∈X)P(an∈X(t))を、属性anが属し得る全ての部分集合について加算して確率Q(S1),Q(S2),…,Q(SM)を求めるステップと、
    前記属性anの値を調べる前の状態に関する情報量を前記確率Q(S1),Q(S2),…,Q(SM)を使って計算するステップと
    を有することを特徴とする決定木構築方法。
  3. 過去に複数回のデータ観測を行い、この観測したデータの属性および状態を集計して得られた学習データを入力し、この学習データに基づき根ノードから内部ノードを経て葉ノードに到達する木構造を構築する際に、各内部ノードに割当てる属性を決定する内部ノード属性決定手段を備えた決定木構築装置において、
    前記内部ノード属性決定手段は、請求項1記載の決定木構築方法を用いて内部ノードの属性を決定する手段を備えた
    ことを特徴とする決定木構築装置。
  4. 属性に連続値が含まれる場合に、当該属性の値と閾値とを比較して属性を決定するための閾値決定手段を備え、
    この閾値決定手段は、請求項2記載の決定木構築方法を用いて閾値を決定する手段を備えた請求項3記載の決定木構築装置。
  5. ネットワークとホスト・コンピュータとの間に挿入され、前記ネットワークと前記ホスト・コンピュータとの間の通信トラヒックの状態を判定する状態判定装置において、
    請求項3または4記載の決定木構築装置により構築された木構造を入力し、当該木構造における葉ノードに割当てられた状態に基づき前記通信トラヒックの状態を判定する手段を備えた
    ことを特徴とする状態判定装置。
  6. 汎用の情報処理装置にインストールすることにより、その汎用の情報処理装置に、請求項3または4記載の決定木構築装置に相応する機能を実現させるプログラム。
  7. 汎用の情報処理装置にインストールすることにより、その汎用の情報処理装置に、請求項5記載の状態判定装置に相応する機能を実現させるプログラム。
JP2006164977A 2006-06-14 2006-06-14 決定木構築方法および装置および状態判定装置 Pending JP2007334589A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006164977A JP2007334589A (ja) 2006-06-14 2006-06-14 決定木構築方法および装置および状態判定装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006164977A JP2007334589A (ja) 2006-06-14 2006-06-14 決定木構築方法および装置および状態判定装置

Publications (1)

Publication Number Publication Date
JP2007334589A true JP2007334589A (ja) 2007-12-27

Family

ID=38934021

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006164977A Pending JP2007334589A (ja) 2006-06-14 2006-06-14 決定木構築方法および装置および状態判定装置

Country Status (1)

Country Link
JP (1) JP2007334589A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3267369A1 (en) 2016-07-04 2018-01-10 Panasonic Intellectual Property Management Co., Ltd. Decision tree generating apparatus, decision tree generating method, non-transitory computer-readable recording medium, and inquiry system
WO2019073557A1 (ja) * 2017-10-11 2019-04-18 三菱電機株式会社 サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム
CN109946673A (zh) * 2019-04-15 2019-06-28 西安电子科技大学 基于蒙特卡洛树搜索的网络化雷达节点遴选方法
CN110895669A (zh) * 2018-09-13 2020-03-20 大连大学 构建房颤预测决策树的方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3267369A1 (en) 2016-07-04 2018-01-10 Panasonic Intellectual Property Management Co., Ltd. Decision tree generating apparatus, decision tree generating method, non-transitory computer-readable recording medium, and inquiry system
US10846603B2 (en) 2016-07-04 2020-11-24 Panasonic Intellectual Property Management Co., Ltd. Decision tree generating apparatus, decision tree generating method, non-transitory computer-readable recording medium, and inquiry system
WO2019073557A1 (ja) * 2017-10-11 2019-04-18 三菱電機株式会社 サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム
CN110895669A (zh) * 2018-09-13 2020-03-20 大连大学 构建房颤预测决策树的方法
CN109946673A (zh) * 2019-04-15 2019-06-28 西安电子科技大学 基于蒙特卡洛树搜索的网络化雷达节点遴选方法
CN109946673B (zh) * 2019-04-15 2022-12-02 西安电子科技大学 基于蒙特卡洛树搜索的网络化雷达节点遴选方法

Similar Documents

Publication Publication Date Title
JP7441582B2 (ja) データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム
KR100974888B1 (ko) 비정상 트래픽 탐지 장치 및 방법
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US20200244676A1 (en) Detecting outlier pairs of scanned ports
US11711389B2 (en) Scanner probe detection
JP2006323471A (ja) サービス処理状況分析プログラム、サービス処理状況分析方法、およびサービス処理状況分析装置
EP2458788A1 (en) Method, device and system for processing network mapping identifiers and method for selecting peer nodes
EP1916800A1 (en) Peer-to-peer overlay graph construction
US11770396B2 (en) Port scan detection using destination profiles
CN112261052B (zh) 基于流规则分析的sdn数据平面异常行为检测方法及系统
CN110798426A (zh) 一种洪水类DoS攻击行为的检测方法、系统及相关组件
WO2016201996A1 (zh) 一种自适应防攻击方法及装置
JP2018535612A (ja) 早期警戒決定方法、ノード、及びサブシステム
JP2007334589A (ja) 決定木構築方法および装置および状態判定装置
CN116248337A (zh) 一种基于测试用例自动化生成的协议模糊测试方法及装置
CN112468324B (zh) 基于图卷积神经网络的加密流量分类方法及装置
US11223641B2 (en) Apparatus and method for reconfiguring signature
CN115361295B (zh) 基于topsis的资源备份方法、装置、设备及介质
JP6899972B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN111294318B (zh) 一种网络攻击的ip地址分析方法、装置和存储介质
CN107241222B (zh) 一种网络拓扑校准方法
KR102409160B1 (ko) 복수개의 커뮤니티를 포함하는 네트워크에서 커뮤니티 재구성 방법 및 이를 위한 전자 장치
CN111555918B (zh) 一种回源优化方法、装置及电子设备
Tomczak On-line change detection for resource allocation in service-oriented systems
CN110610205A (zh) 社交网络中的社区识别方法