JP2017215765A - Abnormality detector, abnormality detection method and abnormality detection program - Google Patents
Abnormality detector, abnormality detection method and abnormality detection program Download PDFInfo
- Publication number
- JP2017215765A JP2017215765A JP2016109033A JP2016109033A JP2017215765A JP 2017215765 A JP2017215765 A JP 2017215765A JP 2016109033 A JP2016109033 A JP 2016109033A JP 2016109033 A JP2016109033 A JP 2016109033A JP 2017215765 A JP2017215765 A JP 2017215765A
- Authority
- JP
- Japan
- Prior art keywords
- data
- value vector
- abnormality
- relationship
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005856 abnormality Effects 0.000 title claims abstract description 198
- 238000001514 detection method Methods 0.000 title claims abstract description 152
- 239000013598 vector Substances 0.000 claims abstract description 206
- 238000004364 calculation method Methods 0.000 claims abstract description 111
- 230000002159 abnormal effect Effects 0.000 claims abstract description 34
- 239000011159 matrix material Substances 0.000 claims description 5
- 230000002776 aggregation Effects 0.000 abstract 1
- 238000004220 aggregation Methods 0.000 abstract 1
- 238000000034 method Methods 0.000 description 60
- 238000012545 processing Methods 0.000 description 41
- 238000010586 diagram Methods 0.000 description 27
- 238000004891 communication Methods 0.000 description 10
- 230000015654 memory Effects 0.000 description 8
- 238000012360 testing method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000007423 decrease Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
- Complex Calculations (AREA)
Abstract
Description
本発明は、異常検知装置、異常検知方法及び異常検知プログラムに関する。 The present invention relates to an abnormality detection device, an abnormality detection method, and an abnormality detection program.
多数のサーバやルータ等の機器で構成されるシステムでは、各装置のハードディスクやメモリ等のハードウェア異常を検知することが運用上必要になる。情報・通信機器に限らず、多数のセンサを持つ産業機械や自動車などにおいても、温度や加速度等のセンサデータから機械の異常検知をしたいという需要が存在する。また、機器類だけでなく、例えばクレジットカードの利用状況を分析することによる不正使用の検知、情報セキュリティにおけるDDoS(Distributed Denial of Service)攻撃の検知分野やマルウェアの検知分野でも、異常検知技術が用いられている。 In a system composed of a large number of devices such as servers and routers, it is necessary to detect hardware abnormalities such as hard disks and memories of each device. There is a demand not only for information / communication equipment but also for industrial machines and automobiles having a large number of sensors to detect machine abnormalities from sensor data such as temperature and acceleration. In addition to devices, for example, detection of unauthorized use by analyzing credit card usage, abnormal detection technology used in the field of DDoS (Distributed Denial of Service) attacks and malware detection in information security It has been.
最も簡単な異常検知の方法として、人間がデータを直接視認することで、データにおける異常を検知するという方法が考えられる。しかし、多数のデータがどのような傾向を示した時に異常であるかを把握するには、相当な習熟が必要になるため、人間の目で異常判定することは困難である。仮に人間の目で異常検知できるとしても、特定の習熟した作業者に依存してしまい、その作業者がいなくなれば異常検知はできなくなってしまう。以上を鑑みると、異常検知の仕組みを何らかの方法で機械的に実行することが必要になる。 As the simplest abnormality detection method, a method in which an abnormality in data is detected by a human directly viewing the data can be considered. However, it is difficult to determine an abnormality with the human eye because it requires considerable skill to grasp the tendency when a lot of data shows an abnormality. Even if an abnormality can be detected by human eyes, it depends on a specific skilled worker, and if the worker disappears, the abnormality cannot be detected. In view of the above, it is necessary to mechanically execute the mechanism of abnormality detection by some method.
このような機械的な異常検知の方法として最も簡易なものに、データの値域に閾値を設け、閾値を超えた際に異常であると判定する方法がある。この方法は、適切に機能する場合があるものの、一般的には、妥当な閾値を決定することが困難である。これは、閾値を大きくすると、本来異常として発見したい事象をとり損ねる可能性がある一方で、閾値を小さくすると異常でないのに異常であると判定してしまう事象が増えるためである。 One of the simplest methods for detecting such mechanical anomalies is a method in which a threshold value is provided in the data range, and an abnormality is determined when the threshold value is exceeded. Although this method may work properly, it is generally difficult to determine a reasonable threshold. This is because, if the threshold value is increased, an event that is originally supposed to be detected as an abnormality may be missed. On the other hand, if the threshold value is decreased, an event that is determined to be abnormal although not abnormal is increased.
そこで、それまでに出現していないパターンを発見し、異常であると判定する異常検知方法として、広く利用されている方法にLOFが提案されている(例えば、非特許文献1参照)。LOFは、データ空間内での局所的密度を計算する方法である。 Thus, LOF has been proposed as a widely used method for detecting an abnormality that has not occurred so far and determining an abnormality (for example, see Non-Patent Document 1). LOF is a method for calculating local density in data space.
具体的には、LOFは、新たに得られたデータが、それまでに得られているデータの空間の中で密度の高い箇所に存在する場合は、異常度合いを表す数値を小さく出力する。言い換えると、LOFは、新たに得られたデータがそれまでにも得られているデータと類似するデータである場合、新たに得られたデータは、異常ではないと判定する。一方、新たに得られたデータが密度の低い箇所に存在する場合、異常度合いを表す数値を大きく出力する。言い換えると、LOFは、新たに得られたデータがそれまでに得られているデータと類似しないデータである場合、新たに得られたデータは、異常であると判定する。 Specifically, the LOF outputs a small numerical value indicating the degree of abnormality when newly obtained data is present at a high density location in the data space obtained so far. In other words, the LOF determines that the newly obtained data is not abnormal when the newly obtained data is similar to the data obtained so far. On the other hand, when newly obtained data is present at a location with low density, a numerical value representing the degree of abnormality is output to a large value. In other words, the LOF determines that the newly obtained data is abnormal when the newly obtained data is not similar to the data obtained so far.
また、データ間に何らかの関係性がある場合に、この関係性が崩れたことから異常を検知する方法がある。この方法として、複数種類のデータ間の相関関係が維持されているか否かを分析し、その結果から異常を発見する方法が提案されている。この方法では、データを2組ずつ選び、例えば単回帰により一方から他方を予測する関数を構築し、その予測値が観測値から一定以上離れていることによって相関関係が破壊されているとみなしている。 In addition, when there is some relationship between the data, there is a method of detecting an abnormality because the relationship is broken. As this method, a method of analyzing whether or not correlation between a plurality of types of data is maintained and finding an abnormality from the result has been proposed. In this method, two sets of data are selected, a function that predicts one from the other by simple regression, for example, is constructed, and the correlation is considered to be destroyed because the predicted value is more than a certain distance from the observed value. Yes.
しかしながら、LOFでは、データ間に相関がある場合に、相関に従っているデータであって本来正常であるデータであっても、データの集合から外れているデータを異常として検知する、という問題がある。具体的に、図13〜図15を参照して、従来技術の問題を説明する。図13〜図15は、従来技術に係る異常検知方法を説明するための図である。図13〜図15は、データとしてX及びYの組が与えられたとして、座標平面上にその組をプロットしたものである。 However, LOF has a problem that when there is a correlation between data, even if the data conforms to the correlation and is normally normal, data that is out of the data set is detected as abnormal. Specifically, the problems of the prior art will be described with reference to FIGS. 13 to 15 are diagrams for explaining an abnormality detection method according to the related art. In FIGS. 13 to 15, assuming that a set of X and Y is given as data, the set is plotted on a coordinate plane.
図13では、X及びYの組に対する点として、平均ベクトルが(3,3)であり、共分散行列が[[1,0.9]、[0.9,1]]の2次元正規分布に従う点を200点(白丸)プロットしている。また、右上に位置する点Pbは、(6.5,6.5)の点である。また、左上の点Prは、(2,5)の点である。 In FIG. 13, as a point for a set of X and Y, a two-dimensional normal distribution with an average vector of (3, 3) and a covariance matrix of [[1, 0.9], [0.9, 1]] 200 points (white circles) are plotted according to the above. The point Pb located at the upper right is the point (6.5, 6.5). The upper left point Pr is the point (2, 5).
この図13では、次のような、データ間に相関が見られる場合をイメージして、XとYとの組に対する点をプロットしている。例えば、X及びYが、アプリケーションサーバAとアプリケーションサーバBとのCPU(Central Processing Unit)使用率をそれぞれ表しているとする。そして、アプリケーションサーバAとアプリケーションサーバBとが、Webサーバからのリクエストを均等に受け付けている場合を例とする。 In FIG. 13, points for a set of X and Y are plotted in the image of the case where the following correlation is found between data. For example, let X and Y represent the CPU (Central Processing Unit) usage rates of the application server A and the application server B, respectively. Then, as an example, the application server A and the application server B receive requests from the Web server equally.
この場合、Webサーバへのアクセス数が増加し、アプリケーションサーバへのリクエストが増加すると、X及びYがともに上昇すると考えられる。逆に、Webサーバへのアクセス数が減少すると、X及びYはともに下降すると考えられる。図13において、白丸は、正常な状態のデータの例である。そして、点Pbは、相関関係を維持したままで、それまでには存在していなかった値をとった場合の例である。また、点Prは、相関関係が崩れた場合の例である。以下、正常な状態のデータである白丸が先に与えられ、続いて異常検知対象データとして、点Pb及び点Prが与えられた状況を考える。 In this case, if the number of accesses to the Web server increases and the number of requests to the application server increases, both X and Y are considered to increase. Conversely, when the number of accesses to the Web server decreases, both X and Y are considered to decrease. In FIG. 13, white circles are examples of data in a normal state. The point Pb is an example in a case where the correlation is maintained and a value that has not existed until then is taken. The point Pr is an example when the correlation is broken. Hereinafter, a situation is considered in which white circles, which are data in a normal state, are given first, and then points Pb and Pr are given as abnormality detection target data.
このうち、点Pbは、正常な状態において成り立つ相関関係を維持しているため、本来、異常でないと判定すべき場合がある。一方、点Prでは正常な状態において成り立つ相関関係には従っていないため、異常であると判定すべき場合がある。しかしながら、LOFではデータ間の関係性を考慮していないため、白丸の密度が低い点に存在する点Pb及び点Prは、いずれも異常度合いを表わす数値が大きく出力されてしまう。すなわち、異常であると判定すべきではない点Pbにおいて、異常であると判定されてしまう問題がある。 Among these points, the point Pb maintains a correlation that holds in a normal state, and therefore it may be determined that the point Pb is not normally abnormal. On the other hand, the point Pr does not follow the correlation established in the normal state, and therefore it may be determined to be abnormal. However, since the relationship between data is not taken into account in LOF, a large numerical value indicating the degree of abnormality is output for both the point Pb and the point Pr existing at points where the density of white circles is low. That is, there is a problem that it is determined to be abnormal at the point Pb that should not be determined to be abnormal.
一方、複数種類データ間の相関関係が維持されているか否かを分析し、その結果から異常を発見する方法では、図14や図15に示すように、データ間の関係性が複数あり、複雑な関係が見られる場合に異常を検知することが難しいという問題がある。 On the other hand, in the method of analyzing whether or not the correlation between a plurality of types of data is maintained and finding an abnormality from the result, there are a plurality of relationships between the data as shown in FIG. 14 and FIG. There is a problem that it is difficult to detect an abnormality when there is a significant relationship.
例えば、図14の白丸は、平均ベクトルが(3,3)、共分散行列が[[1,0.99],[0.99,1]]の2次元正規分布に従う200点(データ群Rb)と、これらを(π/5)だけ反時計回りに回転させた点(データ群Rb´)である。図14の例では、データ間の関係性が2つあり、検知データをいずれの相関関係と比較すればよいか判断が難しい。そして、この図14では、白丸で表示された点の相関係数は「0.07」と小さい。したがって、関係性が崩れたことから異常を検知する方法でも、図14の例では、正常な状態のデータに限っても相関が見られないと判断するため、異常検知を適切に実行することが難しい。 For example, the white circles in FIG. 14 are 200 points (data group Rb) according to a two-dimensional normal distribution with an average vector of (3, 3) and a covariance matrix of [[1, 0.99], [0.99, 1]]. ) And a point (data group Rb ′) obtained by rotating these counterclockwise by (π / 5). In the example of FIG. 14, there are two relationships between data, and it is difficult to determine which correlation the detected data should be compared with. And in this FIG. 14, the correlation coefficient of the point displayed with the white circle is as small as “0.07”. Therefore, even in the method of detecting an abnormality because the relationship is broken, in the example of FIG. 14, it is determined that no correlation is found even if the data is in a normal state. difficult.
そして、図15では、正常な状態が、データで見ると3つの離れた群を構成している場合のイメージを示す。図15中の白丸は正常な状態のデータである。点Pgは、異常判定対象のデータである。また、直線Lbは、正常な白丸のみから単回帰直線(具体的には、「Y=0.9175X+0.1081」の関係を有する。)を計算し、図15中にプロットしたものである。図15中、左下の白丸の群(データ群Rc)は、X及びYが、それぞれ平均が「0.5」、標準偏差が「0.1」の正規分布に従う乱数をとった100点をプロットしたものである。右の直線Lbの上の群(データ群Rd)は、Xは平均「3」、標準偏差「0.1」、Yは平均「4」、標準偏差「0.1」の正規分布に従う乱数をとった20点をプロットしたものである。右の直線Lbの下の群(データ群Re)は、Xは平均「4」、標準偏差「0.1」、Yは平均「3」、標準偏差「0.1」の正規分布に従う乱数をとった20点をプロットしたものである。なお、白丸の相関係数は「0.9231」という高い値をとっている。 FIG. 15 shows an image in a case where the normal state constitutes three separate groups as viewed in data. White circles in FIG. 15 are data in a normal state. The point Pg is data for abnormality determination. The straight line Lb is a single regression line (specifically, having a relationship of “Y = 0.9175X + 0.1081”) calculated from only normal white circles and plotted in FIG. In FIG. 15, the white circle group at the lower left (data group Rc) plots 100 points that are random numbers according to a normal distribution in which X and Y each have an average of “0.5” and a standard deviation of “0.1”. It is a thing. The group on the right straight line Lb (data group Rd) is a random number according to a normal distribution in which X is an average “3”, standard deviation “0.1”, Y is an average “4”, and standard deviation “0.1”. The 20 points taken are plotted. The group below the right straight line Lb (data group Re) is a random number according to a normal distribution with X being an average of “4” and standard deviation of “0.1”, and Y being an average of “3” and standard deviation of “0.1”. The 20 points taken are plotted. Note that the white circle has a high correlation coefficient of “0.9231”.
ここで、図15に示す点Pgは、明らかに白丸の3つのデータ群Rc〜Rdから大きく離れている。しかしながら、単回帰直線の直線Lbには近い位置であるため、点Pgと直線Lbとの比較を行うだけでは、点Pgが直線Lbに対応する相関から崩れていると判断することはできない。すなわち、点Pgは、正常な状態のデータから見れば離れた箇所に存在するものであるが、関係性が崩れたことから異常を検知する方法では、この点Pgを異常であると検知することができない。 Here, the point Pg shown in FIG. 15 is clearly far from the three data groups Rc to Rd of white circles. However, since the position is close to the straight line Lb of the single regression line, it is not possible to determine that the point Pg is broken from the correlation corresponding to the straight line Lb only by comparing the point Pg with the straight line Lb. That is, the point Pg is present at a location distant from the normal state data, but in the method of detecting an abnormality because the relationship is broken, the point Pg is detected as abnormal. I can't.
本発明は、上記に鑑みてなされたものであって、データ間の関係性に基づいた検知対象データの異常検知を精度よく実行することができる異常検知装置、異常検知方法及び異常検知プログラムを提供することを目的とする。 The present invention has been made in view of the above, and provides an anomaly detection apparatus, an anomaly detection method, and an anomaly detection program capable of accurately detecting anomaly of detection target data based on the relationship between data. The purpose is to do.
上述した課題を解決し、目的を達成するために、本発明に係る異常検知装置は、データ間の関係性に基づいて、検知対象である検知データの、データ間の関係性からの乖離を表す乖離値ベクトルと、比較対象である比較データの、データ間の関係性からの乖離を表す乖離値ベクトルと、を計算する乖離値ベクトル計算部と、検知データの乖離値ベクトルの、比較データの乖離値ベクトルの集合からの離散度合を、異常を示す度合として計算する異常度計算部と、離散度合が所定の閾値を超えた場合に検知データは異常であることを判定する異常判定部と、を有する。 In order to solve the above-described problems and achieve the object, the abnormality detection device according to the present invention represents a deviation of the detection data, which is a detection target, from the relationship between the data based on the relationship between the data. Deviation value vector calculation unit for calculating deviation value vector and deviation value vector representing deviation from relationship between comparison data of comparison data to be compared, and deviation of comparison data between deviation value vector of detection data An abnormality degree calculation unit that calculates a discrete degree from a set of value vectors as a degree indicating abnormality, and an abnormality determination part that determines that the detected data is abnormal when the discrete degree exceeds a predetermined threshold value. Have.
本発明によれば、データ間の関係性に基づき、検知対象データの異常検知を精度よく実行することができる。 According to the present invention, it is possible to accurately detect abnormality of detection target data based on the relationship between data.
以下、図面を参照して、本発明の一実施の形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this embodiment. Moreover, in description of drawing, the same code | symbol is attached | subjected and shown to the same part.
[実施の形態1]
まず、第一の実施形態について説明する。以下の実施形態では、第一の実施形態に係る異常検知装置の構成、異常検知装置による処理の流れを説明する。
[Embodiment 1]
First, the first embodiment will be described. In the following embodiments, the configuration of the abnormality detection device according to the first embodiment and the flow of processing by the abnormality detection device will be described.
[異常検知装置の構成]
図1は、実施の形態1に係る異常検知装置10の構成の一例を示すブロック図である。図1に示すように、第一の実施形態に係る異常検知装置10は、通信処理部11、制御部12及び記憶部13を有する。
[Configuration of anomaly detection device]
FIG. 1 is a block diagram illustrating an example of the configuration of the
通信処理部11は、接続される端末装置20との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、比較対象であるデータ、検知対象となるデータ、及び、検知対象となるデータに対する異常検知処理の要求を端末装置20から受信する。また、例えば、通信処理部11は、異常検知処理の処理結果を端末装置20に対して送信する。
The communication processing unit 11 controls communication related to various types of information exchanged with the connected
制御部12は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部12は、CPUやMPU(Micro Processing Unit)などの電子回路である。制御部12は、関係性推定部121、乖離値ベクトル計算部122、異常度計算部123及び異常判定部124を有する。
The
関係性推定部121は、データ間の関係性を推定し、データ間の関係性を示すパラメータを算出する。例えば、与えられたデータについて、データ間の関係性が式として与えられているものの、パラメータに相当するものが未定である場合に、パラメータを推定する。具体的には、データXとデータYとの関係性が、「Y=aX+b」という単回帰であることは与えられているが、「a」及び「b」が不明な場合に、関係性推定部121は、与えられたデータを基に「a」及び「b」を推定する。この場合、関係性推定部121は、それを出力した機器等が正常な状態のデータ、言い換えると、異常な状態のデータを含まないデータを、パラメータ推定のために用いることが望ましい。
The
乖離値ベクトル計算部122は、データ間の関係性に基づき、関係性からの乖離を表す乖離値ベクトルを計算する。実施の形態1では、乖離値ベクトル計算部122は、データ間の関係性に基づいて、検知対象である検知データの、データ間の関係性からの乖離を表す乖離値ベクトルを計算する。そして、乖離値ベクトル計算部122は、データ間の関係性に基づいて、比較対象である比較データの、データ間の関係性からの乖離を表す乖離値ベクトルを計算する。すなわち、乖離値ベクトル計算部122は、データ間に何らかの関係性が見られる場合に、その関係性からの乖離を示す値を、検知データ及び比較データについて計算する。なお、乖離値ベクトル計算部122は、データ間の乖離値ベクトルを、記憶部13(後述)の乖離値ベクトル記憶部131に記憶させてもよい。また、乖離値ベクトル計算部122は、関係性推定部121が算出したデータ間の関係性を示すパラメータを、データ間の関係性に適用し、データ間の乖離値ベクトルを計算する。なお、このデータ間の関係性は、予め与えられたものであってもよい。
The divergence value vector calculation unit 122 calculates a divergence value vector representing the divergence from the relationship based on the relationship between the data. In the first embodiment, the divergence value vector calculation unit 122 calculates a divergence value vector representing the divergence of the detection data that is the detection target from the relationship between the data based on the relationship between the data. Then, the divergence value vector calculation unit 122 calculates a divergence value vector representing the divergence from the relationship between the data of the comparison data to be compared based on the relationship between the data. That is, the divergence value vector calculation unit 122 calculates a value indicating a divergence from the relationship for the detection data and the comparison data when some relationship is found between the data. The divergence value vector calculation unit 122 may store a divergence value vector between data in a divergence value
異常度計算部123は、検知データの乖離値ベクトルの、比較データの乖離値ベクトルの集合からの離散度合を計算する。具体的には、異常度計算部123は、検知データの乖離値ベクトルの、比較データの乖離値ベクトルの集合からの、空間的な距離や密度などに基づき、離散度合を計算する。この異常度計算部123が計算した離散度合は、異常を示す異常度として、異常判定部124(後述)における判定において用いられる。なお、異常度計算部123は、乖離値ベクトル記憶部131(後述)が記憶する乖離値ベクトルを用いて離散度合を計算してもよい。 The abnormality degree calculation unit 123 calculates the degree of discreteness of the deviation value vector of the detection data from the set of deviation value vectors of the comparison data. Specifically, the degree-of-abnormality calculation unit 123 calculates a discrete degree based on a spatial distance, a density, and the like of a deviation value vector of detection data from a set of deviation value vectors of comparison data. The discrete degree calculated by the abnormality degree calculation unit 123 is used in the determination in the abnormality determination unit 124 (described later) as the abnormality degree indicating abnormality. Note that the degree of abnormality calculation unit 123 may calculate the degree of discreteness using a deviation value vector stored in a deviation value vector storage unit 131 (described later).
異常判定部124は、異常度計算部123が計算した離散度合が所定の閾値を超えた場合に、検知データは異常であることを判定する。異常判定部124は、離散度合が所定の閾値以下である場合に、検知データは正常であることを判定する。異常判定部124による判定結果は、異常検知結果として、通信処理部11を介して、例えば、端末装置20に出力される。
The
記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置によって実現され、異常検知装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。記憶部13は、乖離値ベクトル計算部122が計算した乖離値ベクトルを記憶する乖離値ベクトル記憶部131を有する。
The
[処理対象のデータの例]
次に、異常検知装置10における処理対象のデータの例について説明する。図2は、異常検知装置10における処理対象のデータ構成の一例を示す図である。
[Example of data to be processed]
Next, an example of data to be processed in the
図2に示すように、例えば、検知データとして、「X1」〜「XN」というN種類のデータが与えられたとする。図2において、「xn m」は、n番目のデータのmにおける観測値である。添字の「m」は、観測された地点や時点を意味する。例えば、「X1」〜「XN」がユーザ「1」からユーザ「N」を示し、データの要素が商品「m」の購入の有無を表す場合、添字が等しいデータは、同一商品の購入の有無を意味する。或いは、「X1」〜「XN」がサーバ「1」からサーバ「N」のCPU使用率を示し、データの要素が時点「m」におけるCPU使用率を表す場合、添字が等しいデータは、観測時点が等しいことを意味する。 As shown in FIG. 2, for example, it is assumed that N types of data “X 1 ” to “X N ” are given as detection data. In FIG. 2, “x n m ” is an observed value at m of the n-th data. The subscript “m” means an observed point or time point. For example, when “X 1 ” to “X N ” indicate the user “N” from the user “1” and the data element indicates the presence / absence of purchase of the product “m”, the data with the same subscript is the purchase of the same product It means presence or absence. Alternatively, when “X 1 ” to “X N ” indicate the CPU usage rate of the server “1” to the server “N” and the data element indicates the CPU usage rate at the time “m”, the data with the same subscript is It means that observation time is equal.
[関係性推定部の処理]
関係性推定部121は、「X1」〜「XN」の間に成り立つ関係性を推定し、「X1」〜「XN」間の関係性を示すパラメータを算出する。
[Relationship Estimator Processing]
The
この場合、関係性推定部121は、それを出力した機器等が正常な状態のデータ、言い換えると、異常な状態のデータを含まないデータを、パラメータ算出のために用いることが望ましい。正常な状態のデータであるか否かは、機器が正常であったことから判断してもよい。また、正常な状態のデータであるか否かは、データを見て、異常値に相当するものを含まないことなどを基に、人間が視認して判断してもよい。これは、異常判定部124での異常検知において、「正常と異なる」ことを「異常」とみなすという指標を用いるためである。さらに、関係性推定部121において、正常なデータのみを用いて、正常な状態のデータに成り立つ関係式を推定することで、異常検知の感度を向上させることが期待できる。
In this case, it is desirable that the
例えば、データ間の関係性が式として与えられているものの、パラメータに相当するものが未定である場合に、関係性推定部121は、このパラメータを推定する。具体的には、データXとデータYとの関係性が、「Y=aX+b」という単回帰であることは与えられているが、「a」及び「b」が不明な場合に、関係性推定部121は、与えられたデータを基に「a」及び「b」を推定する。
For example, if the relationship between the data is given as an equation, but the one corresponding to the parameter is undetermined, the
また、関係性推定部121は、データ間の関係性として、例えば、「X1」〜「XN」のいずれかを目的変数、残りを説明変数とする重回帰式が与えられる場合、この重回帰式のパラメータを求める。また、関係性推定部121は、データ間の関係性として、「X1」〜「XN」の中から2組ずつを選択し、2組ごとに一方を目的変数とし、他方を説明変数とする単回帰式が与えられる場合、この単回帰式のパラメータを求める。
In addition, when the
或いは、関係性推定部121は、データ間の関係性として、各「XN」が系列データであり、過去のデータから将来を予測する自己回帰式またはベクトル自己回帰式が与えられる場合、この自己回帰式またはベクトル自己回帰式のパラメータを求めてもよい。添え字の「1,2,…,m,…」に順序性がある場合、例えば、前述のサーバのCPU使用率がデータである例などの場合である。
Alternatively, as the relationship between data, each of the “X N ” is series data, and the
また、データ間の関係性は、混合分布モデルでモデリングしてあってもよいし、より複雑な非線形な関係を表す式で示されたものであってもよい。例えば、何らかの確率分布を用いて、データ間の関係性を表してもよい。例えば、データ間の関係性が「K」個のクラスタを持つ、混合分布モデルにより表現される場合、関係性推定部121は、(1)式に示す関係式のパラメータを求める。
Further, the relationship between data may be modeled by a mixed distribution model, or may be expressed by an expression representing a more complicated nonlinear relationship. For example, the relationship between data may be expressed using some probability distribution. For example, when the relationship between the data is expressed by a mixed distribution model having “K” clusters, the
なお、「X1」〜「XN」の間に成り立つ関係性が予め与えられている場合には、本実施の形態では、関係性推定部121の算出処理を省略することができる。
Note that in the present embodiment, when the relationship that holds between “X 1 ” to “X N ” is given in advance, the calculation processing of the
[乖離値ベクトル計算部の処理]
続いて、乖離値ベクトル計算部122は、「X1」〜「XN」および「X1」〜「XN」の間に成り立つ関係性から、乖離値ベクトルを計算する。図3は、乖離値ベクトル計算部122が行う乖離値ベクトルの計算処理の例を示す図である。
[Processing of deviation value vector calculation unit]
Subsequently, the divergence value vector calculation unit 122 calculates a divergence value vector from the relationship established between “X 1 ” to “X N ” and “X 1 ” to “X N ”. FIG. 3 is a diagram illustrating an example of a deviation value vector calculation process performed by the deviation value vector calculation unit 122.
図3に示す例では、乖離値ベクトルは、添字「m」ごとに計算されるものとしている。また、この例では、図3に示すデータ「X1」〜「XN」が与えられ、この「X1」〜「XN」の間に成り立つ関係性を、「F(X1,X2,・・・,XN)=0」としている。この例では、関係式が、「X1」〜「XN」のいずれかを目的変数、残りを説明変数とする重回帰式であることをイメージしている。 In the example illustrated in FIG. 3, the divergence value vector is calculated for each subscript “m”. Further, in this example, data “X 1 ” to “X N ” shown in FIG. 3 are given, and the relationship established between these “X 1 ” to “X N ” is expressed by “F (X 1 , X 2). ,..., X N ) = 0 ”. In this example, it is assumed that the relational expression is a multiple regression expression in which any one of “X 1 ” to “X N ” is an objective variable and the rest is an explanatory variable.
具体的には、図3における「X1の乖離値」は、添字「m」における観測値「x1 m」と、「m」において観測されたデータから、関係性を用いて推定される「X1」の値「F(x1 m,x2 m,・・・,xN m)」と、の差である。また、「X2の乖離値」は、添字「m」における観測値「x2 m」と、「m」において観測されたデータから、関係性を用いて推定される「X2」の値「F(x1 m,x2 m,・・・,xN m)」と、の差である。乖離値ベクトル計算部122は、図3に示す計算処理を行うことによって、「X1」〜「XN」の各乖離値を計算する。そして、図3に示すように、乖離値ベクトル計算部122は、共通の添字「m」を持つ複数種類のデータから計算した乖離値を、乖離値ベクトルとして出力する。 Specifically, the “divergence value of X 1 ” in FIG. 3 is estimated using the relationship from the observed value “x 1 m ” at the subscript “m” and the data observed at “m”. And the value of “X 1 ” “F (x 1 m , x 2 m ,..., X N m )”. Further, "divergence values of X 2" is the observed value of the subscript "m" and "x 2 m" from the observed data in the "m", the value of "X 2" which is estimated using the relationship " F (x 1 m , x 2 m ,..., X N m ) ”. The divergence value vector calculation unit 122 calculates each divergence value of “X 1 ” to “X N ” by performing the calculation process illustrated in FIG. 3. Then, as shown in FIG. 3, the divergence value vector calculation unit 122 outputs the divergence value calculated from a plurality of types of data having a common subscript “m” as a divergence value vector.
また、データ間の関係性は「F(X1,X2,・・・,XN)=0」のように、全てのデータに対して一つの関係性が与えられる場合だけでなく、データの組に対して与えられる場合もある。例えば、「X1」〜「XN」の中から2組ずつを選択し、2組ごとに一方を目的変数、他方を説明変数とする単回帰式で関連性が与えられる場合である。そこで、図4を参照して、この場合における乖離値ベクトルの計算処理について説明する。図4は、乖離値ベクトル計算部122が行う乖離値ベクトルの計算処理の他の例を示す図である。 In addition, the relationship between data is not only when one relationship is given to all data, such as “F (X 1 , X 2 ,..., X N ) = 0”, but also data In some cases. For example, there is a case where two sets are selected from “X 1 ” to “X N ”, and relevance is given by a single regression equation in which one set is an objective variable and the other is an explanatory variable. Therefore, the divergence value vector calculation process in this case will be described with reference to FIG. FIG. 4 is a diagram illustrating another example of a divergence value vector calculation process performed by the divergence value vector calculation unit 122.
図4に示すように、例えば、「X1のX2から見た乖離値」は、添字「m」における観測値「x1 m」と、「m」において観測されたデータから、「X1」と「X2」の関係性「F12」を用いて推定される「X1」の値「F12(x1 m,x2 m)」と、の差を乖離値である。乖離値ベクトル計算部122は、図4に示す計算処理を行うことによって、「X1のX2から見た乖離値」〜「XN−1のXNから見た乖離値」を計算する。そして、乖離値ベクトル計算部122は、図4に示すように、共通の添字「m」を持つ複数種類のデータから計算した乖離値を、乖離値ベクトルとして出力する。 As shown in FIG. 4, for example, “the divergence value of X 1 as viewed from X 2 ” is obtained from the observed value “x 1 m ” at the subscript “m” and the data observed at “m” as “X 1 ”And the value“ F 12 (x 1 m , x 2 m ) ”of“ X 1 ”estimated using the relationship“ F 12 ”between“ X 2 ”and the difference value. Divergence value vector calculation unit 122, by performing a calculation process shown in FIG. 4, calculates a "divergence values viewed from X 2 of X 1" - "divergence values viewed from X N-1 of X N". Then, as shown in FIG. 4, the divergence value vector calculation unit 122 outputs divergence values calculated from a plurality of types of data having a common subscript “m” as divergence value vectors.
なお、図4では特に指定していないが、データ間の関係性が一部の組み合わせに対してのみ成り立つと考えてもよい。例えば、「X1」と「X2」の間は、相関係数が大きく相関関係が認められるのに対し、「X1」と「X3」の間は、相関係数が小さく相関関係が認められないような場合である。このような場合、乖離値ベクトル計算部122は、関係性が認められるものに対してのみ乖離値を計算すればよい。 Although not particularly specified in FIG. 4, it may be considered that the relationship between data holds only for some combinations. For example, the correlation coefficient is large between “X 1 ” and “X 2 ”, whereas the correlation coefficient is small between “X 1 ” and “X 3 ”. This is a case where it is not allowed. In such a case, the divergence value vector calculation unit 122 may calculate the divergence value only for those for which a relationship is recognized.
また、データ間の関係性が(1)式に示す混合分布モデルで表現される場合には、乖離値ベクトル計算部122は、以下の(2)式で定義される各クラスタへの帰属度「mk」を計算する。帰属度が大きい程、そのクラスタへの帰属度が高い、すなわち、そのクラスタの中心点に近いと言える。言い換えると、帰属度が大きい程、そのクラスタへの乖離度が小さいと言える。 Further, when the relationship between the data is expressed by the mixed distribution model shown in the equation (1), the divergence value vector calculation unit 122 assigns the degree of belonging to each cluster defined by the following equation (2) “ m k "is calculated. It can be said that the greater the degree of belonging, the higher the degree of belonging to the cluster, that is, closer to the center point of the cluster. In other words, it can be said that the greater the degree of attribution, the smaller the degree of deviation from the cluster.
この場合、乖離値ベクトル計算部122は、(2)式を用いて計算した帰属度「mk」に対し、乖離値ベクトルとして、「(m1,m2,・・・,mK)」を求める。或いは、乖離値ベクトル計算部122は、(2)式を用いて計算した帰属度「mk」に対し、乖離値ベクトルとして、「−logΣπkP(x|θk)」のように、負の対数尤度を計算してもよい。なお、この場合には、乖離値ベクトルは、1次元となる。 In this case, the divergence value vector calculation unit 122 uses “(m 1 , m 2 ,..., M K )” as the divergence value vector for the degree of membership “m k ” calculated using the equation (2). Ask for. Alternatively, the divergence value vector calculation unit 122 has a negative value such as “−logΣπ k P (x | θ k )” as the divergence value vector with respect to the degree of membership “m k ” calculated using the equation (2). The log likelihood may be calculated. In this case, the divergence value vector is one-dimensional.
乖離値ベクトル計算部122は、上記に示したような計算処理を行うことによって、データ間の関係性に基づいて検知データ及び比較データのデータ間の関係性からの乖離を表す乖離値ベクトルを計算する。なお、一般的には、比較データは複数存在する。もちろん、比較データは、一つでもよい。 The divergence value vector calculation unit 122 calculates the divergence value vector representing the divergence from the relationship between the detection data and the comparison data based on the relationship between the data by performing the calculation process as described above. To do. In general, there are a plurality of comparison data. Of course, the comparison data may be one.
[異常度計算部の処理]
次に、異常度計算部123の処理について説明する。異常度計算部123は、乖離値ベクトル計算部122が、検知データから計算した乖離値ベクトルと、比較データから計算した乖離値ベクトルと、を用いて、離散度合を計算する。
[Processing of abnormality level calculation part]
Next, the processing of the abnormality degree calculation unit 123 will be described. The degree-of-abnormality calculation unit 123 calculates a discrete degree using the divergence value vector calculated from the detection data by the divergence value vector calculation unit 122 and the divergence value vector calculated from the comparison data.
具体的には、異常度計算部123は、検知データの乖離値ベクトルが、比較データの乖離値ベクトルの集合から、空間的にどのくらい離れているかを計算する。この場合、異常度計算部123は、例えばk−NN(k−nearest neighbor method)法を用いて、検知データの乖離値ベクトルが、比較データの乖離値ベクトルの集合から、空間的にどのくらい離れているかを計算する。図5を参照して、異常度計算部123が、k−NN法を用いて、離散度合を計算した場合について説明する。 Specifically, the degree-of-abnormality calculation unit 123 calculates how far the deviation value vector of the detection data is spatially separated from the set of deviation value vectors of the comparison data. In this case, the degree-of-abnormality calculation unit 123 uses, for example, a k-NN (k-nearest neighbor method) method to determine how far the deviation value vector of the detection data is spatially separated from the set of deviation value vectors of the comparison data. To calculate. With reference to FIG. 5, the case where the degree-of-abnormality calculation unit 123 calculates the discrete degree using the k-NN method will be described.
図5は、異常度計算部123による異常度計算処理を説明する図である。図5は、乖離値ベクトルの次元1〜次元3に対し、乖離値ベクトル計算部122が比較データ及び検知データから計算した各乖離値ベクトルをプロットした図である。図5において、原点近傍に位置する白丸のデータ群R1は、比較データから計算された乖離値ベクトルに対応する。点P1は、検知データから計算した乖離値ベクトルに対応する(図5の(1)参照)。k−NN法では、検知データの乖離値に対応する点P1から見て、k番目に近い点Pkまでの距離を、異常度(離散度合)として計算する(図5の(2)参照)。ここで、「k」は、パラメータであり、ヒューリスティックスを用いて設定される。 FIG. 5 is a diagram for explaining the abnormality degree calculation processing by the abnormality degree calculation unit 123. FIG. 5 is a diagram in which each divergence value vector calculated by the divergence value vector calculation unit 122 from the comparison data and the detection data is plotted with respect to the first to third divergence value vectors. In FIG. 5, a white circle data group R1 located in the vicinity of the origin corresponds to a deviation value vector calculated from the comparison data. The point P1 corresponds to the deviation value vector calculated from the detection data (see (1) in FIG. 5). In the k-NN method, the distance to the point Pk closest to the kth point as viewed from the point P1 corresponding to the deviation value of the detection data is calculated as the degree of abnormality (discrete degree) (see (2) in FIG. 5). Here, “k” is a parameter and is set using heuristics.
また、異常度計算部123は、検知データの乖離値ベクトルが、比較データの乖離値ベクトルの集合から、どのくらい空間的に疎な位置に存在するかを計算してもよい。この場合、異常度計算部123は、例えば、LOFを用いて検知データの乖離値ベクトルが、比較データの乖離値ベクトルの集合から、空間的にどのくらい離れているかを計算する。 In addition, the degree of abnormality calculation unit 123 may calculate how spatially sparse the divergence value vectors of the detection data exist from the set of divergence value vectors of the comparison data. In this case, the degree-of-abnormality calculation unit 123 calculates, for example, how far the divergence value vector of the detection data is spatially separated from the set of divergence value vectors of the comparison data using LOF.
図6は、異常度計算部123による異常度計算処理の他の例を説明する図である。LOFは、空間内での局所的密度を計算する手法である。図6の白丸のデータ群R1は、比較データの乖離値ベクトルに対応する点の集まりであり、点P1は、検知データから計算した乖離値ベクトルに対応する点である(図6の(1)参照)。 FIG. 6 is a diagram for explaining another example of the abnormality degree calculation processing by the abnormality degree calculation unit 123. LOF is a technique for calculating local density in space. The white circle data group R1 in FIG. 6 is a collection of points corresponding to the deviation value vector of the comparison data, and the point P1 is a point corresponding to the deviation value vector calculated from the detected data ((1) in FIG. 6). reference).
具体的には、検知データの乖離値(点P1)から見て、k番目までに近い点Pkまでの距離の平均を、それらk番目の点Pkから見てm番目までに近い点Pmまでの距離の平均で割った値を異常度(離散度合)として計算する(図6の(2)参照)。例えば、データ群R1の密度の高い位置に、検知データの乖離値ベクトルに対応する点P1があった場合には、点P1からk番目に近い点Pkまでの距離の平均が小さくなり、点Pkから点Pmまでの距離も小さくなるため、離散度合は小さくなる。一方、データ群R1の密度の低い位置に点P1があった場合には、点P1からk番目に近い点Pkまでの距離の平均が大きくなるため、離散度合は小さくなる。なお、「k」及び「m」は、パラメータであり、ヒューリスティックスを用いて設定される。 Specifically, the average of the distances to the points Pk closest to the kth, as viewed from the divergence value (point P1) of the detection data, is obtained from the kth point Pk to the point Pm closest to the mth. The value divided by the average of the distance is calculated as the degree of abnormality (discrete degree) (see (2) in FIG. 6). For example, when there is a point P1 corresponding to the deviation value vector of the detected data at a high density position in the data group R1, the average of the distances from the point P1 to the kth closest point Pk becomes small, and the point Pk Since the distance from to point Pm is also small, the degree of discreteness is small. On the other hand, when the point P1 is located at a low density position in the data group R1, the average of the distance from the point P1 to the kth closest point Pk is large, so the degree of discreteness is small. “K” and “m” are parameters and are set using heuristics.
また、比較データは、正常な状態のデータに限定することで、後述する異常判定部124の異常検知精度を高めることができる。「正常な状態のデータ」の定義は前述の通りである。また、正常な状態のデータのみを比較データとした場合、乖離値ベクトルは、空間的には局所に集中することに注意しておく。例えば図5及び図6において説明した方法を用いて乖離値ベクトルを計算すると、空間的には原点近傍に乖離値ベクトルが集中する。また、(2)式に示す帰属度「mk」に対し、乖離値ベクトルを(m1,m2,・・・,mK)で定義した場合は、乖離値ベクトルは、空間的にはK個のクラスタに集中する。
Further, by limiting the comparison data to data in a normal state, it is possible to improve the abnormality detection accuracy of the
また、検知データと比較データとが別々に与えられる場合がある。例えば、ある特定の過去1日分の複数のサーバのCPU使用率を比較データとして異常検知装置10に届き、検知データは、異常検知装置10の運用時に逐次的に届くような場合である。このような場合、比較データの乖離値ベクトルを、検知対象のデータが届くたびに計算し直すことは計算リソース上、効率的ではない。そこで、記憶部13の乖離値ベクトル記憶部131は、このような場合に比較データの乖離値を再計算する必要がないように、比較データの乖離値ベクトルを記憶しておく。乖離値ベクトル記憶部131を利用する場合、異常度計算部123は、検知データの乖離値ベクトルと、乖離値ベクトル記憶部131が記憶する乖離値ベクトルと、を比較する。
Further, the detection data and the comparison data may be given separately. For example, the CPU usage rates of a plurality of servers for a specific past day reach the
そして、乖離値ベクトル記憶部131を利用する場合も、比較データとして、正常な状態のデータから計算した乖離値ベクトルのみを記憶させることで、異常検知精度を高めることができる。
Even when the divergence value
[異常判定部の処理]
異常判定部124は、異常度計算部123が計算した離散度合が所定の閾値を超えた場合に、検知データは異常であることを判定する。異常判定部124は、離散度合が所定の閾値以下である場合に、検知データは正常であることを判定する。
[Abnormality judgment unit processing]
The
ここで、判定の基準となる閾値は、予め設定されたものである。或いは、テストデータがある場合は、テストデータ中の特定のデータ、すなわち、異常が発生した際のデータにおける異常度を閾値として設定してもよい。または、テストデータにおける異常度が、適当な確率分布に従うと考え、その上位5%或いは上位1%などの値を閾値として設定してもよい。異常判定部124による判定結果は、異常検知結果として、通信処理部11を介して、例えば、端末装置20に出力される。
Here, the threshold value used as the criterion for determination is set in advance. Alternatively, when there is test data, the degree of abnormality in specific data in the test data, that is, data when an abnormality occurs may be set as a threshold value. Alternatively, the degree of abnormality in the test data may be considered to follow an appropriate probability distribution, and a value such as the top 5% or the top 1% may be set as the threshold value. The determination result by the
[異常検知処理の流れ]
次に、異常検知装置10が実行する異常検知処理について説明する。図7は、異常検知装置10が実行する異常検知処理の処理手順を示すフローチャートである。
[Flow of error detection processing]
Next, the abnormality detection process executed by the
まず、異常検知装置10では、関係性推定部121が、入力されたデータに対して、データ間の関係性を推定し、データ間の関係性を示すパラメータを算出する関係性推定処理を行う(ステップS1)。関係性推定部121は、それを出力した機器等が正常な状態のデータ、言い換えると、異常な状態のデータを含まないデータを、パラメータ推定のために用いる。データ間に成り立つ関係性が予め与えられている場合には、本ステップS1を省略することができる。
First, in the
そして、乖離値ベクトル計算部122は、データ間の関係性に基づいて、検知対象である検知データの集合及び比較データの集合におけるデータ間の乖離値ベクトルを計算する乖離値ベクトル計算処理を実行する(ステップS2)。ここで、乖離値ベクトル計算部122は、比較データが予め与えられている場合、該比較データの集合におけるデータ間の乖離値ベクトルを計算して、乖離値ベクトル記憶部131に記憶する。
Then, the divergence value vector calculation unit 122 executes divergence value vector calculation processing for calculating a divergence value vector between the data in the set of detection data to be detected and the set of comparison data based on the relationship between the data. (Step S2). Here, when the comparison data is given in advance, the divergence value vector calculation unit 122 calculates a divergence value vector between data in the set of comparison data, and stores it in the divergence value
続いて、異常度計算部123は、検知データの乖離値ベクトルの、比較データの乖離値ベクトルの集合からの離散度合を、異常度として計算する異常度計算処理を行う(ステップS3)。なお、異常度計算部123は、比較データの乖離値ベクトルが予め計算されて乖離値ベクトル記憶部131に記憶されている場合、乖離値ベクトル記憶部131から比較データの乖離値ベクトルを読み出して、比較データの乖離値ベクトルの集合を取得する。
Subsequently, the abnormality degree calculation unit 123 performs an abnormality degree calculation process for calculating the degree of discreteness of the deviation value vector of the detection data from the set of deviation value vectors of the comparison data as an abnormality degree (step S3). When the deviation value vector of the comparison data is calculated in advance and stored in the deviation value
そして、異常判定部124は、異常度計算部123が計算した離散度合を基に、検知データが異常であるか否かを判定する異常判定処理を行う(ステップS4)。この場合、異常判定部124は、異常度計算部123が計算した離散度合が所定の閾値を超えた場合に、検知データは異常であることを判定する。一方、異常判定部124は、離散度合が所定の閾値以下である場合に、検知データは正常であることを判定する。異常判定部124は、判定結果を異常検知結果として、通信処理部11を介して端末装置20に出力し、異常検知処理を終了する。
And the
[異常検知処理の具体例]
図8は、実施の形態1の異常検知処理を説明する図である。図8は、データとして、X及びYの組が与えられたとして、座標平面上にその組をプロットしたものである。図8の白丸は、正常な状態の比較データに対応する。また、点Pbは、相関関係を維持したままで、それまでには存在していなかった値をとった場合の例である。点Prは、相関関係が崩れた場合の例である。また、正常である比較データ(図8の白丸)を基に、X及びYの関係性として、直線Ltで示される「Y=aX+b」という単回帰が与えられている。
[Specific examples of abnormality detection processing]
FIG. 8 is a diagram for explaining the abnormality detection process of the first embodiment. FIG. 8 plots the set on the coordinate plane assuming that a set of X and Y is given as data. White circles in FIG. 8 correspond to comparison data in a normal state. Moreover, the point Pb is an example in the case of taking a value that did not exist until then while maintaining the correlation. The point Pr is an example when the correlation is broken. Further, based on normal comparison data (white circles in FIG. 8), a single regression “Y = aX + b” indicated by a straight line Lt is given as the relationship between X and Y.
図8の示す点Pbは、直線Lt上に位置し、正常である場合に成り立つ相関関係を維持しているため、正常であることが想定される。ここで、従来用いられていたLOFでは、データ間の関係性を考慮しておらず、白丸の密度が低い点に存在する点Pb及び点Prは、いずれも異常であると検知される。 Since the point Pb shown in FIG. 8 is located on the straight line Lt and maintains the correlation that is established when it is normal, it is assumed to be normal. Here, in the conventional LOF, the relationship between data is not taken into consideration, and the points Pb and Pr existing at the point where the density of white circles is low are detected as abnormal.
これに対し、本実施の形態1では、データ間の関係性に基づいて、検知データの集合におけるデータ間の乖離値ベクトルと、比較データの集合におけるデータ間の乖離値ベクトルと、を計算し、検知データの乖離値ベクトルの、比較データの乖離値ベクトルの集合からの離散度合を、異常度として異常判定を行う。 On the other hand, in the first embodiment, based on the relationship between the data, the divergence value vector between the data in the set of detection data and the divergence value vector between the data in the set of comparison data are calculated, Anomaly determination is performed with the degree of discreteness of the deviation value vector of the detection data from the set of deviation value vectors of the comparison data as the degree of abnormality.
例えば、点Pbが検知データである場合を例とする。この点Pbは、直線Lt上に位置するため、点Pbに示す「X,Y」は、直線Ltで示される「Y=aX+b」の関係を有していると言える。したがって、この点Pbに示す「X,Y」について、直線Ltで示される「Y=aX+b」に対する乖離値ベクトルを計算し、その乖離値ベクトルの、正常である比較データ(白丸)の乖離値ベクトルの集合からの離散度合を計算すると、ほぼ0となり、点Pbは正常であることを検知できる。 For example, a case where the point Pb is detection data is taken as an example. Since the point Pb is located on the straight line Lt, it can be said that “X, Y” indicated by the point Pb has a relationship of “Y = aX + b” indicated by the straight line Lt. Therefore, a divergence value vector with respect to “Y = aX + b” indicated by the straight line Lt is calculated for “X, Y” indicated by this point Pb, and the divergence value vector of normal comparison data (white circle) of the divergence value vector. When the degree of discreteness from the set is calculated, it becomes almost 0, and it can be detected that the point Pb is normal.
一方、点Prが検知データである場合について説明する。この点Prは、直線Ltから離れているため、点Prに示す「X,Y」は、「Y=aX+b」の関係を有していないと言える。したがって、この点Prに示す「X,Y」の、直線Ltで示される「Y=aX+b」に対する乖離値ベクトルを計算し、その乖離値ベクトルの、正常である比較データ(白丸)の乖離値ベクトルの集合からの離散度合を計算すると、その値は大きくなり、Prは異常であることを検知できる。 On the other hand, a case where the point Pr is detection data will be described. Since this point Pr is away from the straight line Lt, it can be said that “X, Y” shown at the point Pr does not have a relationship of “Y = aX + b”. Therefore, the divergence value vector of “X, Y” indicated by the point Pr with respect to “Y = aX + b” indicated by the straight line Lt is calculated, and the divergence value vector of the normal comparison data (white circle) of the divergence value vector is calculated. When the degree of discreteness from the set is calculated, the value becomes large, and it can be detected that Pr is abnormal.
このように、異常検知装置10は、乖離値ベクトルという概念を導入し、検知対象のデータの乖離値ベクトルと、正常である比較データの乖離値ベクトルの集合との空間的な距離や密度に基づき離散度合(異常度)を計算し、検知データの異常の有無を判定する。したがって、異常検知装置10は、データ間に相関がある場合に、相関に乗っているが、比較データの集合から外れた、正常であると想定できるデータ(例えば、点Pb)を、正常であると検知することができる。
As described above, the
また、図14や図15のように、データ間に単なる相関関係でない、複雑な関係性が見られる場合であっても、データ間の関係性からの乖離値ベクトルという概念により、異常検知を精度よく実行することができる。 Moreover, even when a complicated relationship that is not just a correlation between data is seen as shown in FIG. 14 and FIG. 15, anomaly detection is accurately performed by the concept of a deviation value vector from the relationship between data. Can perform well.
[実施の形態1の効果]
上記のように、実施の形態1では、乖離値ベクトルという概念を導入し、データ間の関係性に基づいて計算した、検知データの乖離値ベクトルと、正常である比較データの乖離値ベクトルの集合との空間的な距離や密度に基づき離散度合(異常度)を計算し、検知データの異常の有無を判定するため、データ間の関係性に基づいた検知対象データの異常検知を精度よく実行することができる。
[Effect of Embodiment 1]
As described above, the first embodiment introduces the concept of divergence value vectors, and is a set of divergence value vectors of detected data and divergence value vectors of normal comparison data calculated based on the relationship between the data. In order to calculate the degree of anomaly (abnormality) based on the spatial distance and density of the data and determine the presence or absence of abnormality in the detected data, the abnormality detection of the detection target data based on the relationship between the data is accurately executed be able to.
[実施の形態2]
次に、実施の形態2について説明する。実施の形態2では、離散度合として、検知データ及び比較データの乖離値ベクトルに基づいたマハラビノス距離を計算し、異常の有無を判定する。なお、実施の形態2に係る異常検知装置は、図1に示す異常検知装置10と同等の構成を有する。
[Embodiment 2]
Next, a second embodiment will be described. In the second embodiment, the Mahalanobis distance based on the deviation value vector of the detection data and the comparison data is calculated as the discrete degree, and the presence / absence of an abnormality is determined. Note that the abnormality detection device according to the second embodiment has a configuration equivalent to that of the
実施の形態2では、実施の形態1と同様に、乖離値ベクトル計算部122が、データ間の関係性に基づいて、検知対象である検知データの集合におけるデータ間の乖離値ベクトルを計算する。そして、乖離値ベクトル計算部122は、比較データの集合におけるデータ間の乖離値ベクトルを計算する。なお、実施の形態1と同様に、乖離値ベクトル計算部122は、比較データが予め与えられている場合、該比較データの集合におけるデータ間の乖離値ベクトルを計算して、乖離値ベクトル記憶部131に記憶してもよい。
In the second embodiment, as in the first embodiment, the divergence value vector calculation unit 122 calculates a divergence value vector between data in a set of detection data to be detected based on the relationship between data. Then, the divergence value vector calculation unit 122 calculates a divergence value vector between data in the set of comparison data. As in the first embodiment, the divergence value vector calculation unit 122 calculates the divergence value vector between data in the set of comparison data when the comparison data is given in advance, and the divergence value
そして、異常度計算部123は、比較データの乖離値ベクトルが多次元正規分布に従うと仮定し、それらの乖離値ベクトルの平均と共分散行列とを計算する。続いて、異常度計算部123は、(3)式で定義されるマハラビノス距離を計算し、このマハラビノス距離を離散度合(異常度)として出力する。 Then, the degree-of-abnormality calculation unit 123 assumes that the divergence value vectors of the comparison data follow a multidimensional normal distribution, and calculates an average of these divergence value vectors and a covariance matrix. Subsequently, the abnormality degree calculation unit 123 calculates the Mahalanobis distance defined by the equation (3), and outputs the Mahalanobis distance as a discrete degree (abnormal degree).
異常判定部124は、異常度計算部123が計算したマハラビノス距離が一定の閾値を超えた場合に、検知データは異常であることを判定する。一方、異常判定部124は、異常度計算部123が計算したマハラビノス距離が一定の閾値以下である場合には、検知データは正常であることを判定する。なお、本実施の形態2では、比較データの乖離値ベクトルが多次元正規分布に従うと仮定しており、この場合、乖離値ベクトルのマハラビノス距離は近似的にx二乗分布に従うため、x二乗分布に基づき閾値を決定することができる。このような方法は、ホテリングのT2検定と呼ばれている(「竹内啓,統計学辞典 P112,東洋経済新聞社,1989」参照)。
The
[実施の形態2の効果]
このように、実施の形態2においては、離散度合として、マハラビノス距離を計算し、計算したマハラビノス距離と所定の閾値との比較結果によって、異常の有無を判定する。マハラビノス距離は、データ間の関係性に基づく検知データ及び比較データの乖離値ベクトルを基に計算されたものであるため、実施の形態2は、実施の形態1と同様に、データ間の関係性に基づいた検知対象データの異常検知を精度よく実行することができる。
[Effect of Embodiment 2]
As described above, in the second embodiment, the Mahalanobis distance is calculated as the discrete degree, and the presence or absence of abnormality is determined based on the comparison result between the calculated Mahalanobis distance and the predetermined threshold value. Since the Mahalanobis distance is calculated based on the deviation value vector of the detection data and the comparison data based on the relationship between the data, the second embodiment is similar to the first embodiment in the relationship between the data. It is possible to accurately detect abnormality of detection target data based on the above.
[実施の形態3]
次に、実施の形態3について説明する。この実施の形態3に係る異常検知装置は、図1に示す異常検知装置10と同等の構成を有する。
[Embodiment 3]
Next,
また、実施の形態1と同様に、乖離値ベクトル計算部122は、データ間の関係性に基づいて、検知対象である検知データの集合におけるデータ間の乖離値ベクトルを計算する。そして、乖離値ベクトル計算部122は、比較データの集合におけるデータ間の乖離値ベクトルを計算する。なお、実施の形態1と同様に、乖離値ベクトル計算部122は、比較データが予め与えられている場合、該比較データの集合におけるデータ間の乖離値ベクトルを計算して、乖離値ベクトル記憶部131に記憶してもよい。そこで、次に、異常度計算部123の処理を説明する。
Similarly to the first embodiment, the divergence value vector calculation unit 122 calculates a divergence value vector between data in a set of detection data to be detected based on the relationship between data. Then, the divergence value vector calculation unit 122 calculates a divergence value vector between data in the set of comparison data. As in the first embodiment, the divergence value vector calculation unit 122 calculates the divergence value vector between data in the set of comparison data when the comparison data is given in advance, and the divergence value
[異常度計算部の処理]
実施の形態3では、異常度計算部123は、さらに、One-class Support Vector Machine(以下「One-class SVM」と略す。詳しくは、「B. Scholkopf, J. C. Platt, J. Shawe-Taylor, A. J. Smola, and R. C. Williamson, “Estimating the Support of a High-Dimensional Distribution”, Neural Computation, 13(7):1443-1471, 2001.」参照。)の概念に基づいて、比較データの乖離値ベクトルの集合を含む領域を推定する。
[Processing of abnormality level calculation part]
In the third embodiment, the abnormality degree calculation unit 123 is further abbreviated as “One-class Support Vector Machine” (hereinafter, “One-class SVM”. For details, refer to “B. Scholkopf, JC Platt, J. Shawe-Taylor, AJ” Smola, and RC Williamson, “Estimating the Support of a High-Dimensional Distribution”, Neural Computation, 13 (7): 1443-1471, 2001.)) The region including is estimated.
具体的に、図9を参照して、離散度合(異常度)を求める処理について説明する。図9は、実施の形態3に係る異常度計算処理を説明する図である。図9は、データの乖離値ベクトルを所定の高次元空間に写像したものである。 Specifically, with reference to FIG. 9, a process for obtaining the degree of discreteness (abnormality) will be described. FIG. 9 is a diagram for explaining abnormality degree calculation processing according to the third embodiment. FIG. 9 is a map of data divergence value vectors in a predetermined high-dimensional space.
異常度計算部123は、One-class SVMに基づき、正常データである比較データの乖離値ベクトルを、高次元空間(図9ではφの次元1及び次元2)に写像する。そして、異常度計算部123は、写像した比較データの乖離値ベクトルに対応する点の、原点からの距離(マージン)が最大化するような平面(超平面)を求める。この平面は、図9の例では、超平面Leとして示している。この超平面Leは、正常である比較データの乖離値ベクトルの集合の境界に対応するものであり、実際には、写像した比較データの乖離値ベクトルを示す点は、超平面Leよりも原点側でない方に位置する。
The degree-of-abnormality calculation unit 123 maps the deviation value vector of the comparison data, which is normal data, to a high-dimensional space (
続いて、異常度計算部123は、検知対象データの乖離値ベクトルを、比較データに対して写像した高次元空間と同じ高次元空間に写像する。例えば、図9に示すように、写像した検知データの乖離値ベクトルを示す各点は、超平面Leから見て、原点側にある群R2と、原点側にない群R3とに分けられる。異常度計算部123は、写像した検知データの乖離値ベクトルに対応する点が、超平面Leから見て原点側にあるか否かを基に、離散度合(異常度)を計算する。 Subsequently, the degree-of-abnormality calculation unit 123 maps the deviation value vector of the detection target data to the same high-dimensional space as the high-dimensional space mapped to the comparison data. For example, as shown in FIG. 9, each point indicating the deviation value vector of the mapped detection data is divided into a group R2 on the origin side and a group R3 not on the origin side when viewed from the hyperplane Le. The degree of abnormality calculation unit 123 calculates the degree of discreteness (degree of abnormality) based on whether or not the point corresponding to the divergence value vector of the mapped detection data is on the origin side when viewed from the hyperplane Le.
そこで、異常度計算部123における計算処理を、図10を参照して、説明する。図10は、実施の形態3に係る異常度計算処理を説明する図である。まず、比較データの乖離値ベクトルを「e1,e2,・・・,eM」とする。この比較データの乖離値ベクトルに対し、図10に示す式G((A)式参照)を、(B)式及び(C)式に示す条件下で最小化する最小化問題を解く。なお、記号「<,>」は内積を表す。 Therefore, the calculation process in the abnormality degree calculation unit 123 will be described with reference to FIG. FIG. 10 is a diagram for explaining the abnormality degree calculation processing according to the third embodiment. First, let divergence value vectors of comparison data be “e 1 , e 2 ,..., E M ”. The minimization problem of minimizing the equation G shown in FIG. 10 (see equation (A)) under the conditions shown in equations (B) and (C) with respect to the deviation value vector of the comparison data is solved. The symbol “<,>” represents an inner product.
この問題では、超平面として、各データの(「φ(ベクトルem)」の距離を、「dm」としたときに、最も小さいdmを最大化する超平面を求めようとしている。言い換えると、最も超平面に近いデータまでの距離を最大化する、超平面のパラメータ「ベクトルw」と「ρ」を求めようとしている。 In this problem, an attempt is made to obtain a hyperplane that maximizes the smallest d m when the distance (“φ (vector e m ))” of each data is “d m ”. The hyperplane parameters “vector w” and “ρ” that maximize the distance to the data closest to the hyperplane are obtained.
この最小化問題は、以下の(4)式に示す「L」を最小化するLagrangeの未定乗数法により解くことができる。この(4)式の1行目は、Gそのものであり、(4)式の2行目については、図10の(B)式に示す制約条件を反映し、(4)式の3行目については、図10の(C)式に示す制約条件を反映する。 This minimization problem can be solved by Lagrange's undetermined multiplier method for minimizing “L” shown in the following equation (4). The first line of the expression (4) is G itself, and the second line of the expression (4) reflects the constraints shown in the expression (B) of FIG. 10, and the third line of the expression (4). For, the constraints shown in the equation (C) of FIG. 10 are reflected.
図11は、実施の形態3に係る異常度計算処理及び異常判定処理を説明する図である。異常度計算部123は、異常データの乖離値ベクトルを「e’」としたとき、図11に示す式f(e’)によって、検知データの乖離値ベクトル「e’」に対する異常度を計算する。式f(e’)は、(4)式で求めたパラメータを適用し、比較データの乖離値ベクトル「em」を高次元空間に写像した点と、検知データの乖離値ベクトル「e’」を高次元空間に写像した点との距離に基づいた異常度を計算するものである。異常度計算部123は、この式f(e’)を用いた計算を行うことによって、写像した検知データの乖離値ベクトルに対応する点が、超平面Leから見て原点側にあるか否かを示す異常度を求めることができる。 FIG. 11 is a diagram for explaining an abnormality degree calculation process and an abnormality determination process according to the third embodiment. When the deviation value vector of abnormal data is “e ′”, the abnormality degree calculation unit 123 calculates the degree of abnormality with respect to the deviation value vector “e ′” of the detected data using the equation f (e ′) shown in FIG. . Expression f (e ′) applies the parameter obtained by Expression (4), and maps the divergence value vector “e m ” of the comparison data to the high-dimensional space and the divergence value vector “e ′” of the detection data. The degree of anomaly is calculated based on the distance from a point mapped to a high-dimensional space. The degree-of-abnormality calculation unit 123 performs the calculation using the formula f (e ′), thereby determining whether or not the point corresponding to the divergence value vector of the mapped detection data is on the origin side when viewed from the hyperplane Le. Can be obtained.
このように、異常度計算部123は、上述のOne-class SVMに従い、写像した検知データの乖離値ベクトルを示す点が、平面(例えば、超平面Le)から見て原点側にあるか、或いは、平面から見て原点側にないかを、式f(e’)を用いて計算する。 As described above, the degree-of-abnormality calculation unit 123 determines whether the point indicating the divergence value vector of the mapped detection data is on the origin side when viewed from the plane (for example, the hyperplane Le) according to the above-described One-class SVM, or Whether it is not on the origin side when viewed from the plane is calculated using the equation f (e ′).
[異常判定部の処理]
そして、実施の形態3では、異常判定部124は、写像した検知データの乖離値ベクトルを示す点が、平面から見て原点側にある場合には、該検知データは異常であると判定する。一方、異常判定部124は、写像した検知データの乖離値ベクトルを示す点が、平面から見て原点側にない場合には、正常であると判定する。例えば、異常判定部124は、図9に示す写像した検知データの乖離値ベクトルを示す各点のうち、超平面Leから見て、原点側にある群R2については、検知データは異常であると判定する。一方、異常判定部124は、超平面Leから見て、原点側にない群R3については、検知データは正常であると判定する(図9の枠B1参照)。
[Abnormality judgment unit processing]
In the third embodiment, the
ここで、異常判定部124は、検知データに対し式(e’)で求めた異常度と、前述の未定乗数法((4)式)によって求めた超平面に対応するパラメータ(ρチルダ)と、を比較することによって、検知データの異常の有無を判定する。すなわち、図11に示すように、異常判定部124は、検知データについての異常度f(e’)が、(4)式からパラメータ(ρチルダ)よりも小さい場合には、検知データが超平面Leよりも原点側にあると判断して、該検知データは異常であると判定する。一方、異常判定部124は、検知データについての異常度f(e’)が、パラメータ(ρチルダ)よりも大きい場合には、検知データが超平面Leよりも原点側にないと判断して、正常であると判定する。
Here, the
[実施の形態3の効果]
このように、実施の形態3においては、比較データの乖離値ベクトルを高次元空間に写像して原点からの距離が最大化する超平面を求める。そして、実施の形態3では、検知データの乖離値ベクトルを高次元空間に写像した場合に該写像した乖離値ベクトルに対応する点が、超平面から見て原点側にあるか否かを基に異常度を計算して、異常の有無を判定する。すなわち、実施の形態3においても、実施の形態1と同様に、データ間の関係性に基づいて計算した、検知データの乖離値ベクトルと、正常である比較データの乖離値ベクトルの集合との距離によって、検知データの異常の有無を判定しているため、データ間の関係性に基づいた検知対象データの異常検知を精度よく実行することができる。
[Effect of Embodiment 3]
As described above, in the third embodiment, the hyperplane where the distance from the origin is maximized is obtained by mapping the divergence value vector of the comparison data into the high-dimensional space. In the third embodiment, when the deviation value vector of the detection data is mapped to the high-dimensional space, the point corresponding to the mapped deviation value vector is on the origin side when viewed from the hyperplane. The degree of abnormality is calculated to determine whether there is an abnormality. That is, also in the third embodiment, as in the first embodiment, the distance between the divergence value vector of the detected data and the set of divergence value vectors of the normal comparison data calculated based on the relationship between the data. Therefore, the presence / absence of abnormality in the detected data is determined, so that the abnormality detection of the detection target data based on the relationship between the data can be accurately performed.
[実施形態のシステム構成について]
図1に示した異常検知装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、異常検知装置10の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
[System configuration of the embodiment]
Each component of the
また、異常検知装置10においておこなわれる各処理は、全部または任意の一部が、CPU(Central Processing Unit)およびCPUにより解析実行されるプログラムにて実現されてもよい。また、異常検知装置10においておこなわれる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
In addition, each or all of the processes performed in the
また、実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述および図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。 In addition, among the processes described in the embodiment, all or a part of the processes described as being automatically performed can be manually performed. Alternatively, all or part of the processing described as being performed manually can be automatically performed by a known method. In addition, the above-described and illustrated processing procedures, control procedures, specific names, and information including various data and parameters can be changed as appropriate unless otherwise specified.
[プログラム]
図12は、プログラムが実行されることにより、異常検知装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
[program]
FIG. 12 is a diagram illustrating an example of a computer in which the
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、異常検知装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、異常検知装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
The hard disk drive 1090 stores, for example, an
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
The setting data used in the processing of the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。 Although the embodiment to which the invention made by the present inventor is applied has been described above, the present invention is not limited by the description and the drawings that form part of the disclosure of the present invention according to this embodiment. That is, other embodiments, examples, operation techniques, and the like made by those skilled in the art based on the present embodiment are all included in the scope of the present invention.
10 異常検知装置
11 通信処理部
12 制御部
13 記憶部
121 関係性推定部
122 乖離値ベクトル計算部
123 異常度計算部
124 異常判定部
131 乖離値ベクトル記憶部
DESCRIPTION OF
Claims (8)
前記検知データの前記乖離値ベクトルの、前記比較データの前記乖離値ベクトルの集合からの離散度合を、異常を示す度合として計算する異常度計算部と、
前記離散度合が所定の閾値を超えた場合に前記検知データは異常であることを判定する異常判定部と、
を有することを特徴とする異常検知装置。 Based on the relationship between the data, it represents the divergence from the relationship between the data of the divergence value vector that represents the divergence from the relationship between the data of the detection data that is the detection target and the comparison data that is the comparison target. A divergence value vector, a divergence value vector calculation unit for calculating,
An abnormality degree calculation unit for calculating a discrete degree of the deviation value vector of the detection data from the set of deviation value vectors of the comparison data as a degree indicating abnormality;
An abnormality determination unit that determines that the detection data is abnormal when the discrete degree exceeds a predetermined threshold;
An abnormality detection device characterized by comprising:
前記異常度計算部は、前記乖離値ベクトル記憶部が記憶する乖離値ベクトルを用いて前記離散度合を計算することを特徴とする請求項1に記載の異常検知装置。 A deviation value vector storage unit for storing the deviation value vector calculated by the deviation value vector calculation unit;
The abnormality detection device according to claim 1, wherein the abnormality degree calculation unit calculates the discrete degree using a deviation value vector stored in the deviation value vector storage unit.
前記乖離値ベクトル計算部は、前記関係性推定部が算出した前記データ間の関係性を示すパラメータを前記データ間の関係性に適用し、前記乖離値ベクトルを計算することを特徴とする請求項1または2に記載の異常検知装置。 Further comprising a relationship estimation unit for estimating a relationship between the data and calculating a parameter indicating the relationship between the data;
The divergence value vector calculation unit applies the parameter indicating the relationship between the data calculated by the relationship estimation unit to the relationship between the data, and calculates the divergence value vector. The abnormality detection device according to 1 or 2.
データ間の関係性に基づいて、前記検知データの集合におけるデータ間の乖離値ベクトルと、比較対象である比較データの集合におけるデータ間の乖離値ベクトルと、を計算する工程と、
前記検知データの前記乖離値ベクトルの、前記比較データの前記乖離値ベクトルの集合からの離散度合を、異常を示す度合として計算する工程と、
前記離散度合が所定の閾値を超えた場合に前記検知データは異常であることを判定する工程と、
を含んだことを特徴とする異常検知方法。 An anomaly detection method executed by an anomaly detection device that detects the presence or absence of an anomaly with respect to a set of detection data to be detected,
Calculating a divergence value vector between data in the set of detection data and a divergence value vector between data in the set of comparison data to be compared based on the relationship between the data;
Calculating a discrete degree of the deviation value vector of the detection data from the set of deviation value vectors of the comparison data as a degree indicating abnormality;
Determining that the detection data is abnormal when the discrete degree exceeds a predetermined threshold;
An abnormality detection method characterized by including
前記検知データの前記乖離値ベクトルの、前記比較データの前記乖離値ベクトルの集合分布からの離散度合を、異常を示す度合として計算するステップと、
前記離散度合が所定の閾値を超えた場合に前記検知データは異常であることを判定するステップと、
をコンピュータに実行させるための異常検知プログラム。 Calculating a divergence value vector between data in a set of detection data to be detected and a divergence value vector between data in a set of comparison data to be compared based on the relationship between the data;
Calculating a discrete degree of the deviation value vector of the detection data from a set distribution of the deviation value vector of the comparison data as a degree indicating abnormality;
Determining that the detection data is abnormal when the discrete degree exceeds a predetermined threshold;
An abnormality detection program that causes a computer to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016109033A JP6538615B2 (en) | 2016-05-31 | 2016-05-31 | Abnormality detection device, abnormality detection method and abnormality detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016109033A JP6538615B2 (en) | 2016-05-31 | 2016-05-31 | Abnormality detection device, abnormality detection method and abnormality detection program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017215765A true JP2017215765A (en) | 2017-12-07 |
JP6538615B2 JP6538615B2 (en) | 2019-07-03 |
Family
ID=60576967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016109033A Active JP6538615B2 (en) | 2016-05-31 | 2016-05-31 | Abnormality detection device, abnormality detection method and abnormality detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6538615B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109375609A (en) * | 2018-10-18 | 2019-02-22 | 北京鼎力信安技术有限公司 | The detection method and device of abnormal aggression |
KR102016967B1 (en) * | 2018-09-28 | 2019-10-21 | 유은영 | Method of processing vulnerability/risk through data correlation/association analysis of system information for system and processing the vulnerability/risk of system and apparatus therefor |
WO2019244203A1 (en) * | 2018-06-18 | 2019-12-26 | 三菱電機株式会社 | Diagnostic device, diagnostic method and program |
JP2020098373A (en) * | 2018-12-17 | 2020-06-25 | 富士通株式会社 | Abnormality detection device and program and method for the same |
CN113348420A (en) * | 2019-03-28 | 2021-09-03 | 三菱动力株式会社 | Plant monitoring device, plant monitoring method, and program |
CN114051581A (en) * | 2019-08-01 | 2022-02-15 | 三菱动力株式会社 | Plant monitoring device, plant monitoring method, and program |
JP7461798B2 (en) | 2020-05-29 | 2024-04-04 | 日鉄テックスエンジ株式会社 | Equipment monitoring support device, method, and program |
US11983072B2 (en) | 2019-01-16 | 2024-05-14 | Nec Corporation | Estimation apparatus, estimation method, and computer-readable storage medium |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012256311A (en) * | 2011-05-17 | 2012-12-27 | Toyota Central R&D Labs Inc | Outlier detection device, outlier detection method, program, and vehicle fault diagnosis system |
JP2015082190A (en) * | 2013-10-22 | 2015-04-27 | 日本電信電話株式会社 | Outlier detector, method, and program |
-
2016
- 2016-05-31 JP JP2016109033A patent/JP6538615B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012256311A (en) * | 2011-05-17 | 2012-12-27 | Toyota Central R&D Labs Inc | Outlier detection device, outlier detection method, program, and vehicle fault diagnosis system |
JP2015082190A (en) * | 2013-10-22 | 2015-04-27 | 日本電信電話株式会社 | Outlier detector, method, and program |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112018007597B4 (en) | 2018-06-18 | 2022-06-09 | Mitsubishi Electric Corporation | Diagnostic device, diagnostic method and program |
WO2019244203A1 (en) * | 2018-06-18 | 2019-12-26 | 三菱電機株式会社 | Diagnostic device, diagnostic method and program |
JP6636214B1 (en) * | 2018-06-18 | 2020-01-29 | 三菱電機株式会社 | Diagnostic device, diagnostic method and program |
US11782395B2 (en) | 2018-06-18 | 2023-10-10 | Mitsubishi Electric Corporation | Diagnostic device, diagnostic method and program |
CN112334849A (en) * | 2018-06-18 | 2021-02-05 | 三菱电机株式会社 | Diagnostic device, diagnostic method, and program |
CN112334849B (en) * | 2018-06-18 | 2022-02-18 | 三菱电机株式会社 | Diagnostic device, diagnostic method, and program |
KR102016967B1 (en) * | 2018-09-28 | 2019-10-21 | 유은영 | Method of processing vulnerability/risk through data correlation/association analysis of system information for system and processing the vulnerability/risk of system and apparatus therefor |
CN109375609A (en) * | 2018-10-18 | 2019-02-22 | 北京鼎力信安技术有限公司 | The detection method and device of abnormal aggression |
JP2020098373A (en) * | 2018-12-17 | 2020-06-25 | 富士通株式会社 | Abnormality detection device and program and method for the same |
JP7238378B2 (en) | 2018-12-17 | 2023-03-14 | 富士通株式会社 | Abnormality detection device, abnormality detection program, and abnormality detection method |
US11983072B2 (en) | 2019-01-16 | 2024-05-14 | Nec Corporation | Estimation apparatus, estimation method, and computer-readable storage medium |
CN113348420A (en) * | 2019-03-28 | 2021-09-03 | 三菱动力株式会社 | Plant monitoring device, plant monitoring method, and program |
CN114051581A (en) * | 2019-08-01 | 2022-02-15 | 三菱动力株式会社 | Plant monitoring device, plant monitoring method, and program |
CN114051581B (en) * | 2019-08-01 | 2024-05-31 | 三菱重工业株式会社 | Plant monitoring device, plant monitoring method, and storage medium |
JP7461798B2 (en) | 2020-05-29 | 2024-04-04 | 日鉄テックスエンジ株式会社 | Equipment monitoring support device, method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP6538615B2 (en) | 2019-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6538615B2 (en) | Abnormality detection device, abnormality detection method and abnormality detection program | |
JP6594044B2 (en) | Method for detecting anomalies in real time series | |
US10728264B2 (en) | Characterizing behavior anomaly analysis performance based on threat intelligence | |
US9727723B1 (en) | Recommendation system based approach in reducing false positives in anomaly detection | |
US10992675B2 (en) | Anomaly detection using tripoint arbitration | |
WO2017118133A1 (en) | Anomaly detection method for internal virtual machine of cloud system | |
US10104100B1 (en) | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks | |
JP6585482B2 (en) | Device diagnostic apparatus and system and method | |
JP2019521422A (en) | Method, apparatus and computer readable medium for detecting abnormal user behavior related application data | |
EP1630634A2 (en) | Method and apparatus for detecting out-of-range conditions in power generation equipment operations | |
US10567398B2 (en) | Method and apparatus for remote malware monitoring | |
WO2016208159A1 (en) | Information processing device, information processing system, information processing method, and storage medium | |
US20230086187A1 (en) | Detection of anomalies associated with fraudulent access to a service platform | |
US9558346B1 (en) | Information processing systems with security-related feedback | |
JP2015028700A (en) | Failure detection device, failure detection method, failure detection program and recording medium | |
Cheng et al. | A distribution‐free multivariate control chart for phase I applications | |
JPWO2018216197A1 (en) | Abnormality importance calculation system, abnormality importance calculation device, and abnormality importance calculation program | |
US20220191113A1 (en) | Method and apparatus for monitoring abnormal iot device | |
Ozay et al. | Smarter security in the smart grid | |
CN113343228B (en) | Event credibility analysis method and device, electronic equipment and readable storage medium | |
JP7033262B2 (en) | Information processing equipment, information processing methods and programs | |
US11132603B2 (en) | Method and apparatus for generating one class model based on data frequency | |
CN112583847A (en) | Method for network security event complex analysis for medium and small enterprises | |
US20180176108A1 (en) | State information completion using context graphs | |
JP7500980B2 (en) | Information processing device, information processing method, and information processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180412 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190131 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190419 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190604 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190606 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6538615 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |