JP2010152431A - 不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法 - Google Patents
不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法 Download PDFInfo
- Publication number
- JP2010152431A JP2010152431A JP2008326805A JP2008326805A JP2010152431A JP 2010152431 A JP2010152431 A JP 2010152431A JP 2008326805 A JP2008326805 A JP 2008326805A JP 2008326805 A JP2008326805 A JP 2008326805A JP 2010152431 A JP2010152431 A JP 2010152431A
- Authority
- JP
- Japan
- Prior art keywords
- profile
- prediction
- accesses
- profiles
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】予測プロファイル生成部105は、正常状態のプロファイル152と、環境変化情報161とを入力し、所定の規則に従うことにより、環境変化情報161を使用してプロファイル152から将来のアクセス数の異常検知に使用する使用プロファイルの候補となる複数の予測プロファイルを生成する。分析部103とプロファイル選択部106とから構成される使用プロファイル決定部は、複数の予測プロファイルのなかから、所定の基準に合致する予測プロファイルを使用プロファイルとして決定する。
【選択図】図3
Description
アクセス数の時系列データをプロファイルとして用いてアクセス数の異常検知を行うAnomaly検知を実行する不正アクセス検知装置において、
正常と認められる過去のアクセス数からなる正常時系列データと、前記正常時系列データの改変に使用する改変情報とを入力し、所定の生成規則に従うことにより、前記改変情報を使用して前記正常時系列データから将来のアクセス数の異常検知に使用する使用プロファイルの候補となる複数の予測プロファイルを生成する予測プロファイル生成部と、
前記予測プロファイル生成部によって生成された前記複数の予測プロファイルのなかから、所定の決定基準に合致する予測プロファイルを前記使用プロファイルとして決定する使用プロファイル決定部と
を備えたことを特徴とする。
図1〜図20を用いて実施の形態1を説明する。
(1)データ取得部101は、ネットワーク機器のログ150を取り込む。
(2)集計部102は、ネットワーク機器のログ150から、特定の集計期間における特定条件下の集計値をカウント151として出力する。
(3)分析部103は、プロファイル定義部104からプロファイル152を受け取り、特定の統計分析によりカウント151がプロファイル152に対して異常か否か分析する。
(4)プロファイル定義部104は、正常状態のカウントの集合であるプロファイルを保持する。
(5)予測プロファイル生成部105は、プロファイル152と、アクセス数の変動後のアクセス数の平均予測値などの環境変化情報161から、予測プロファイル154を1つ以上生成する。
(6)プロファイル選択部106は、複数生成された予測プロファイルを用いて分析した複数の分析結果から、最適な予測プロファイルを判定し、その結果である選択された予測プロファイル156をプロファイル定義部104に通知する。
図4は学習動作を示すシーケンスである。図3、図4を参照して、学習の動作について説明する。不正アクセス検知装置100における検知開始前の準備動作を「学習」と呼ぶ。データ取得部101は、正常な状態として扱う期間のネットワークトラフィックデータ(例えば、ネットワーク機器のログ150を1週間分)を受信し(S101)、集計部102に渡す(S102)。ネットワークトラフィックデータとして、例えば、図5の様なIDS(Intrusion Detection System)のログファイルを取り込む。
図9は検知動作を示すシーケンスである。図9を参照して、プロファイルを用いた検知動作について説明する。データ取得部101は、ネットワーク機器のログ150を5分間ぶん新たに受信し(S201)、集計部102に渡す(S202)。
図11は分析部103における検知動作の詳細を示すシーケンスである。図11を参照して、分析部103における検知動作の詳細を説明する。図11において、プロファイル152は、使用プロファイル蓄積部1041における現在のプロファイル201であり、プロファイル処理部1032に入力される(S2051)。分析対象であるカウント151はカウント処理部1031に入力される(S2052)。
図13は予測プロファイルの生成過程を示すシーケンスである。図13を参照して予測プロファイルの生成を説明する。差異定義部1051は、、5/1(木曜日)、0時に5月の宛先ポート445宛の平均アクセス数の予測値を環境変化情報161(改変情報の一例)として予め受け取る(S301)。例えば、キーボードなどの入力装置から環境変化情報161を入力する。この場合、予測値である平均アクセス数が100であるとする。
予測プロファイル生成部105の差異定義部1051は、プロファイル定義部104のプロファイル候補蓄積部1043が保存している4月のプロファイル203(正常時系列データの一例)を受け取り(S302)、平均値を求める(S303)。図3に示したように、4月のプロファイル203は、プロファイル152として渡される。ここで、4月の平均値が10(10/5分)であったとする。次にこの平均値と5月の予測アクセス数の差Δ(100−10=90)を求める(S304)。これを差異10551とする。差異定義部1051は、差異10551を差異反映部1052に渡す(S305)。
図14に示すように、予測プロファイル生成部105の差異反映部1052は、4月のプロファイル203の全ての集計時刻のカウントに差異10551であるΔ(90)を足して、変動後の予測プロファイルを生成する(S306)。図14では、4月のプロファイル203のフォーマットにおいて、各集計値にΔを足したデータを予測プロファイルとして生成する。
図19は最適な予測プロファイルの選択動作を示すシーケンスである。図19を参照して、5/1(木)00:05以降における不正アクセス検知装置の動作を説明する。5/1、00:05において、データ取得部101は、ネットワーク機器のログ150(5分間ぶん)を受け取り(S401)、集計部0102に出力する(S402)。集計部102は宛先ポート445の5分間のアクセス数を集計し(S403)、カウント151として出力する(S404)。分析部103のプロファイル処理部1032は、差異反映部1052から複数の予測プロファイルを受け取る(S405)。
5/2(木)00:00において、プロファイル選択部106は自身に蓄積された、R(j,i)を用いて、適切なプロファイルを選択する(S408)。プロファイル選択部106は、1日の分析の間に検知が発生した予測プロファイルは、プロファイルとして適切では無いと判断し削除する。図20は、プロファイル選択部106がプロファイルを削除する処理を示す。図20は、S34、S35、S36,S37と進みS37からS34に戻るループは、ある予測プロファイルを対象とした場合に、各5分ごとのカウント151が異常かどうかを判定する処理である。R(j,i)は分析結果155(異常=1、あるいは正常=0)であり、例えば、予測プロファイル1を使った場合の、5/1(木)0時00分の分析結果155はR(1,1)、5/2(木)0時00分の分析結果はR(1,288)である。Prof_jが予測プロファイルであり、jが予測プロファイルの番号である。つまり、予測プロファイル1はProf_1である。
次に図21〜図24を参照して実施の形態2を説明する。実施の形態1では、予め5月の予想平均アクセス数が分かっている場合に、これを利用して予測プロファイルを生成した。実施の形態2では、予測平均アクセス数が分からない場合の実施形態を説明する。
5/1(木曜日)の設備変更後、5/1(木)の一日間のみの学習を行う。この動作は、実施の形態1に示した学習動作であるが、実施の形態2では、集計部102が時系列データ157をプロファイル定義部104に渡す場合、プロファイル定義部104は、時系列データ157をカウント蓄積部1042に保存する。つまりこの場合、図4におけるS105では、時系列データ157がカウント蓄積部1042に保存される。
図21は、実施の形態2における予測プロファイルを生成する動作を示す図である。図21を参照して予測プロファイルの生成動作を説明する。
次に、予測プロファイル生成部105における差異定義部1051は、プロファイル定義部104からプロファイル候補蓄積部1043が保存している4月のプロファイル203(正常時系列データの一例)を受け取り(S502)、4月における木曜日のカウントである木曜日のカウント301を取り出し、平均値μ’thr303を求める(4/3(木),10(木),17(木),24(木)のアクセス数の平均値)(S503)。
さらに、
Δ=μthr304−μ’thr303
を計算する(S504)。この処理を図22に示す。
差異定義部1051は、このΔを差異10551として差異反映部1052に渡す(S505)。
予測プロファイル生成部105における差異反映部1052は、図23に示すように、4月のプロファイル203の全ての時刻のカウントに差異定義部1051から受け取った差異10551であるΔを足して、変動後の予測プロファイルを生成する(S506)。
図24は、実施の形態2における最適な予測プロファイルを選択する動作を示す図である。図24を参照して最適な予測プロファイルの選択動作を説明する。実施に形態1と異なり、実施の形態1の場合、検知対象とする5/1の一日分のデータ(i=1〜288)は既に取得されている。
(装置外からパラメータ入力)
実施の形態3は、差分Δに乗じる0.5倍等の数値を外部からパラメータとして入力する実施形態である。実施の形態1、2では、複数のプロファイルを準備する際に、例としてΔを0.5倍〜2.0倍まで0.1刻みで指定しているが、他の倍数、刻みでもよく、装置外からパラメータで与える方式で実現する。図25において、パラメータ10551は、倍率最大値10552、倍率最小値10553、生成個数10554、刻み幅10555で与える。倍率最大値10552は実施の形態1では2.0に相当し、倍率最小値10553は0.5に相当する。刻み幅10555は、0.1に相当する。刻み幅を与えない場合は、代わりに生成個数10554を与え、差異定義部1051は以下を計算し、結果を刻み幅の代わりとする。
すなわち、
刻み幅=(倍率最大値−倍率最大値)/生成個数とする。
(分析日数をm日)
実施の形態1、実施の形態2では、生成した複数の予測プロファイルの選択において、複数の予測プロファイルを用いて1日ぶんの分析を行い、異常を検知した予測プロファイルを削除し、異常検知しなかった予測プロファイルの中で1番小さいものを選択した。本実施の形態4では、選択するための分析期間をm日とし、その期間において、検知した予測プロファイルを削除し、検知しなかった予測プロファイルの中で1番小さいものを選択する。
(ビジネスアワーにのみ加算)
実施の形態1、2では、現在のプロファイル全体に、n*Δを足して予測プロファイルを生成した。しかし、土日、夜間はプロファイル変動前と変動後で変化が無く、平日のビジネスアワーのみ変化があることが分かっている場合は、プロファイルにおいて平日のビジネスアワーの部分にのみ、n*Δを足してもよい。例えば、図26の様に、平日の昼アクセス数が多く、夜はアクセス数は少なく、土日はアクセス数が少ない場合、設備変更による変動後も同様の傾向が想定される場合は、平日のビジネスアワー(例:9時〜17時)にのみn*Δを足し、それ以外は足さないで予測プロファイルを生成する。
(d>kの場合に予測プロファイルを削除)
実施の形態1、2では、予測プロファイルの選択において、図20のフローで、d>0の場合にProf_jを削除(S39)したが、d>0の分岐をd>kとする。kはプロファイル選択部106に与えるパラメータであり、例えば、k=10であれば、そのプロファイルを使用し10回以上検知が発生した場合に削除することになる。このように、異常を検知した回数が閾値を超えた場合に削除するようにする。
(平均の比によって予測プロファイルを生成)
実施の形態1では、差異定義部1051は、現在のプロファイルの平均値と、平均値の予測値の差を差異10551として計算した。また、実施の形態2では、差異定義部1051は、現在のプロファイルの木曜日の平均値と、5/1(木)の平均値の差を差異10551として計算した。本実施の形態7では、これらの平均値の差を差異10551として計算するのではなく、比を差異10551として求めても良い。
Δ=「平均値の予測値」/「現在のプロファイルの木曜日の平均値」
であり、実施の形態2では、
Δ=「5/1(木)の平均値」/「現在のプロファイルの木曜日の平均値」
である。
(予測プロファイルの補正)
実施の形態1、実施の形態2では、生成した複数の予測プロファイルの選択において、複数の予測プロファイルを用いて1日分析を行い、異常検知された予測プロファイルを削除した。本実施の形態8では、全ての予測プロファイルにおいて異常検知が発生しなかった場合に予測プロファイルの補正を行うものである。実施の形態1、実施の形態2ではΔを0.5倍〜2.0倍まで0.1刻みで計算した0.5*Δ〜2.0*Δを用意して複数の予測プロファイルを生成したが、異常検知が発生しないということはこれらで生成した予測プロファイルでは実測値に対して大きいということである。よって、Δに掛ける倍率を最低の0.5の1/10を刻みとして、0.05*Δ〜0.45*Δを差異として新しい予測プロファイルを生成し、これらの予測プロファイルで検知するか試みる。
(選択する際に使用するアルゴリズム)
実施の形態1、実施の形態2では、予測プロファイルを選択する際の分析アルゴリズムとして、検知に用いる統計分析のアルゴリズムをそのまま使用した。本実施の形態9では、予測プロファイルを選択するために別の統計分析のアルゴリズムを適用しても良い。例えば、検知に3σ(平均+3σを超えたら検知)を利用している場合において、予測プロファイルの選択においては、これを1σ(平均+σを超えたら検知)とし、分析を行い選択の判断を行っても良い。他の例として、例えば、特開2008−146157号公報に示されるスライディングウィンドウを使用したPCA(Principal Component Analysis:主成分分析)を適用して分析を行い、選択の判断を行っても良い。
(1時間おきの平均アクセス数の反映)
実施の形態2では、設備変更後に1日観測したアクセス数の1日の平均値(5/1(木)の1日の平均)を求め、4月のプロファイルにおける同じ曜日の平均値を求めてその差を差異として、4月のプロファイル全体に反映した。本実施の形態10では、設備変更後に1日観測したアクセス数の1時間おきの(5分の集計値の)平均値を求め、4月のプロファイルにおける同じ曜日の1日の1時間おきの(5分の集計値の)平均値を求め、各1時間おきの差異を、4月のプロファイルの同時間帯に反映するものである。
μthr_0_1(5/1(木)0時〜1時の5分の平均アクセス数)、
μthr_1_2(5/1(木)1時〜2時の5分の平均アクセス数)、
・・・
μthr_23_24(5/1(木)23時〜24時の5分の平均アクセス数)、
図22の、木曜日のカウント301から4月の木曜日の1時間おきの平均値を以下の様に表す。
μ’thr_0_1(4月の木曜日の0時〜1時の5分の平均アクセス数)、
μ’thr_1_2(4月の木曜日の1時〜2時の5分の平均アクセス数)、
・・・、
μ’thr_23_24(4月の木曜日の23時〜24時の5分の平均アクセス数)、
Δ_0_1=μthr_0_1−μ’thr_0_1、
Δ_1_2=μthr_1_2−μ’thr_1_2、
・・・
Δ_23_24=μthr_23_24−μ’thr_23_24、
4月1日0時〜1時における各5分の集計値+n*Δ_0_1、
4月1日1時〜2時における各5分の集計値+n*Δ_1_2、
・・・
4月1日23時〜24時における各5分の集計値+n*Δ_23_24、
4月2日0時〜1時における各5分の集計値+n*Δ_0_1、
4月2日1時〜2時における各5分の集計値+n*Δ_1_2、
・・・
4月2日23時〜24時における各5分の集計値+n*Δ_23_24、
以降、4月30日のデータまで同じように適用する。
(1週間の観測)
実施の形態2では、設備変更後に1日観測したアクセス数の1日の平均値を求め、4月のプロファイルにおける同じ曜日の平均値を求めその差を差異として、4月のプロファイル全体に反映した。本実施の形態では、設備変更後に7日観測したアクセス数の曜日別の平均値を求め、4月のプロファイルにおける同じ曜日の平均値を求め、同じ曜日の平均値の差を求め、曜日別の差異を4月のプロファイルの曜日ごとに反映するものである。
5/1(木)〜5/7(水)に観測したアクセス数の1日の平均値を以下の様に表す。
μthr(5/1(木)の1日の平均アクセス数)、
μfri(5/2(金)の1日の平均アクセス数)、
・・・
μwed(5/7(水)の1日の平均アクセス数)、
図22の、4月のプロファイル203から各曜日の1日の平均値を以下の様に表す。
μ’thr(4月の木曜日の1日の平均アクセス数)、
μ’fri(4月の金曜日の1日の平均アクセス数)、
・・・
μ’wed(4月の水曜日の1日の平均アクセス数)、
Δ_thr=μthr−μ’thr、
Δ_fri=μfri−μ’fri、
・・・
Δ_wed=μwed−μ’wed、
4月の各木曜日の各5分の集計値+n*Δ_thr、
4月の各金曜日の各5分の集計値+n*Δ_fri、
・・・
4月の各水曜日の各5分の集計値+n*Δ_wed、
実施の形態1、2では、プロファイルとして3月や4月という単位ごとにプロファイルを使用して分析した。他の分析の形態として、ビジネスアワーとそれ以外にプロファイルを分けて持つ場合や、1時間おきや、曜日別にプロファイルを分けて分析を行う場合がある。
Δb=μ’b−μb、Δnb=μ’nb−μnb
を求める。Δbを現在のビジネスアワー用のプロファイルに、Δnbをビジネスアワー以外のプロファイルに反映することで、ビジネスアワーとそれ以外の予測プロファイルを生成できる。
Claims (9)
- アクセス数の時系列データをプロファイルとして用いてアクセス数の異常検知を行うAnomaly検知を実行する不正アクセス検知装置において、
正常と認められる過去のアクセス数からなる正常時系列データと、前記正常時系列データの改変に使用する改変情報とを入力し、所定の生成規則に従うことにより、前記改変情報を使用して前記正常時系列データから将来のアクセス数の異常検知に使用する使用プロファイルの候補となる複数の予測プロファイルを生成する予測プロファイル生成部と、
前記予測プロファイル生成部によって生成された前記複数の予測プロファイルのなかから、所定の決定基準に合致する予測プロファイルを前記使用プロファイルとして決定する使用プロファイル決定部と
を備えたことを特徴とする不正アクセス検知装置。 - 前記予測プロファイル生成部は、
アクセス数を検知する検知対象の設備を変更した場合の変更後の平均アクセス数の予測値を前記改変情報として入力すると共に前記正常時系列データの平均アクセス数を算出し、算出した前記平均アクセス数と入力した前記予測値とに基づいて、前記複数の予測プロファイルを生成することを特徴とする請求項1記載の不正アクセス検知装置。 - 前記予測プロファイル生成部は、
アクセス数を検知する検知対象の設備を変更した変更後におけるアクセス数をある曜日の1日間観測した観測結果に基づき算出された前記1日間における平均アクセス数を前記改変情報として入力すると共に前記正常時系列データにおける前記曜日と同じ曜日についての平均アクセス数を算出し、算出した前記平均アクセス数と入力した前記平均アクセス数とに基づいて、前記複数の予測プロファイルを生成することを特徴とする請求項1記載の不正アクセス検知装置。 - 前記使用プロファイル決定部は、前記所定の決定基準として、
前記予測プロファイルの期間に含まれる一定期間を対象として前記複数の予測プロファイルの前記予測プロファイルごとに前記予測プロファイルを用いたアクセス数の異常検知処理により異常が検知されるかどうかを判定して異常の検知結果に基づいて前記使用プロファイルを決定することを特徴とする請求項1〜3のいずれかに記載の不正アクセス検知装置。 - 前記予測プロファイル生成部は、
前記使用プロファイル決定部による判定の結果、どの前記予測プロファイルについても異常が検出されなかった場合には、所定の補正規則に基づいて、前記複数の予測プロファイルの各予測プロファイルを補正し、
前記使用プロファイル決定部は、
補正後の前記予測プロファイルごとに前記補正後の予測プロファイルを用いたアクセス数の異常検知処理により異常が検知されるかどうかを前記所定の決定基準によって再度判定し、異常の検知結果に基づいて前記使用プロファイルを決定することを特徴とする請求項4記載の不正アクセス検知装置。 - 前記使用プロファイル決定部は、
現在においてプロファイルとして使用している時系列データを、決定された前記使用プロファイルに切り替え、前記使用プロファイルを使用してアクセス数の異常検知を行うことを特徴とする請求項1〜5の記載の不正アクセス検知装置。 - コンピュータを、
正常と認められる過去のアクセス数からなる正常時系列データと、前記正常時系列データの改変に使用する改変情報とを入力し、所定の生成規則に従うことにより、前記改変情報を使用して前記正常時系列データから将来のアクセス数の異常検知に使用する使用プロファイルの候補となる複数の予測プロファイルを生成する予測プロファイル生成部、
前記予測プロファイル生成部によって生成された前記複数の予測プロファイルのなかから、所定の決定基準に合致する予測プロファイルを前記使用プロファイルとして決定する使用プロファイル決定部
として機能させるための不正アクセス検知プログラム。 - 請求項7記載の不正アクセス検知プログラムを記録したコンピュータ読み取り可能な記録媒体。
- アクセス数の時系列データをプロファイルとして用いてアクセス数の異常検知を行うAnomaly検知を実行する不正アクセス検知装置が行う不正アクセス検知方法において、
(1)予測プロファイル生成部が、
正常と認められる過去のアクセス数からなる正常時系列データと、前記正常時系列データの改変に使用する改変情報とを入力し、所定の生成規則に従うことにより、前記改変情報を使用して前記正常時系列データから将来のアクセス数の異常検知に使用する使用プロファイルの候補となる複数の予測プロファイルを生成し、
(2)使用プロファイル決定部が、
前記予測プロファイル生成部によって生成された前記複数の予測プロファイルのなかから、所定の決定基準に合致する予測プロファイルを前記使用プロファイルとして決定することを特徴とする不正アクセス検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008326805A JP5219783B2 (ja) | 2008-12-24 | 2008-12-24 | 不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008326805A JP5219783B2 (ja) | 2008-12-24 | 2008-12-24 | 不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010152431A true JP2010152431A (ja) | 2010-07-08 |
JP5219783B2 JP5219783B2 (ja) | 2013-06-26 |
Family
ID=42571489
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008326805A Expired - Fee Related JP5219783B2 (ja) | 2008-12-24 | 2008-12-24 | 不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5219783B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018159362A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
JP2019511030A (ja) * | 2016-01-24 | 2019-04-18 | ハサン・シェド・カムラン | 人工知能によるコンピュータセキュリティ |
JP6563615B1 (ja) * | 2018-03-16 | 2019-08-21 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
WO2019167891A1 (ja) * | 2018-03-01 | 2019-09-06 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
JP2020516979A (ja) * | 2017-04-13 | 2020-06-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001014295A (ja) * | 1999-06-30 | 2001-01-19 | Sumitomo Metal Ind Ltd | データ予測方法、データ予測装置及び記録媒体 |
JP2006268684A (ja) * | 2005-03-25 | 2006-10-05 | Fujitsu Ltd | 需要予測装置、需要予測方法および需要予測プログラム |
JP2007233849A (ja) * | 2006-03-02 | 2007-09-13 | Nippon Telegr & Teleph Corp <Ntt> | 情報通信サービス分析方法及びシステム |
JP2007265317A (ja) * | 2006-03-30 | 2007-10-11 | Hitachi Ltd | 来場人数予測方法及びシステム |
JP2008146157A (ja) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
-
2008
- 2008-12-24 JP JP2008326805A patent/JP5219783B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001014295A (ja) * | 1999-06-30 | 2001-01-19 | Sumitomo Metal Ind Ltd | データ予測方法、データ予測装置及び記録媒体 |
JP2006268684A (ja) * | 2005-03-25 | 2006-10-05 | Fujitsu Ltd | 需要予測装置、需要予測方法および需要予測プログラム |
JP2007233849A (ja) * | 2006-03-02 | 2007-09-13 | Nippon Telegr & Teleph Corp <Ntt> | 情報通信サービス分析方法及びシステム |
JP2007265317A (ja) * | 2006-03-30 | 2007-10-11 | Hitachi Ltd | 来場人数予測方法及びシステム |
JP2008146157A (ja) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019511030A (ja) * | 2016-01-24 | 2019-04-18 | ハサン・シェド・カムラン | 人工知能によるコンピュータセキュリティ |
WO2018159362A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
JPWO2018159362A1 (ja) * | 2017-03-03 | 2019-08-08 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
JP2020516979A (ja) * | 2017-04-13 | 2020-06-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
JP7191837B2 (ja) | 2017-04-13 | 2022-12-19 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
JP7465939B2 (ja) | 2017-04-13 | 2024-04-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
WO2019167891A1 (ja) * | 2018-03-01 | 2019-09-06 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
JP2019153893A (ja) * | 2018-03-01 | 2019-09-12 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
JP6563615B1 (ja) * | 2018-03-16 | 2019-08-21 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
WO2019176080A1 (ja) * | 2018-03-16 | 2019-09-19 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
Also Published As
Publication number | Publication date |
---|---|
JP5219783B2 (ja) | 2013-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9954882B2 (en) | Automatic baselining of anomalous event activity in time series data | |
CN107528722B (zh) | 一种时间序列中异常点检测方法及装置 | |
US10216560B2 (en) | Integration based anomaly detection service | |
US10558545B2 (en) | Multiple modeling paradigm for predictive analytics | |
Vilalta et al. | Predictive algorithms in the management of computer systems | |
US8516499B2 (en) | Assistance in performing action responsive to detected event | |
US9704382B2 (en) | Method for calculating error rate of alarm | |
US8949676B2 (en) | Real-time event storm detection in a cloud environment | |
US20160255109A1 (en) | Detection method and apparatus | |
JP5219783B2 (ja) | 不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法 | |
US9372734B2 (en) | Outage window scheduler tool | |
CN111104342A (zh) | 用于存储的方法、电子设备和计算机程序产品 | |
CN108664603A (zh) | 一种修复时序数据的异常聚合值的方法及装置 | |
WO2021185182A1 (zh) | 一种异常检测的方法及装置 | |
CN112131075A (zh) | 一种用于存储监控数据异常检测的方法及设备 | |
CN115643193A (zh) | 一种网络流量异常检测方法、装置、设备及介质 | |
EP2882139B1 (en) | System and method for IT servers anomaly detection using incident consolidation | |
US20230421441A1 (en) | State-based entity behavior analysis | |
Dittman et al. | Cost variance investigation: Markovian control of Markov processes | |
US20200334596A1 (en) | Anomaly detection framework | |
JP6018024B2 (ja) | 変化検知装置、変化検知システム、変化検知方法及びプログラム | |
CN111241155B (zh) | 时序数据异常检测方法、装置、设备及存储介质 | |
US11768915B1 (en) | System, method, and computer program for anomaly detection in time-series data with mixed seasonality | |
US11030214B2 (en) | System for identification of outlier groups | |
CN112988497A (zh) | 管理备份系统的方法、电子设备和计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111024 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130123 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130305 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160315 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |