JP2019220892A - 検知装置及び検知方法 - Google Patents

検知装置及び検知方法 Download PDF

Info

Publication number
JP2019220892A
JP2019220892A JP2018118143A JP2018118143A JP2019220892A JP 2019220892 A JP2019220892 A JP 2019220892A JP 2018118143 A JP2018118143 A JP 2018118143A JP 2018118143 A JP2018118143 A JP 2018118143A JP 2019220892 A JP2019220892 A JP 2019220892A
Authority
JP
Japan
Prior art keywords
detection
output data
communication
detection device
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018118143A
Other languages
English (en)
Other versions
JP7091872B2 (ja
Inventor
友貴 山中
Tomoki Yamanaka
友貴 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018118143A priority Critical patent/JP7091872B2/ja
Priority to PCT/JP2019/024606 priority patent/WO2019245006A1/ja
Priority to US16/973,039 priority patent/US11847210B2/en
Publication of JP2019220892A publication Critical patent/JP2019220892A/ja
Application granted granted Critical
Publication of JP7091872B2 publication Critical patent/JP7091872B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks

Abstract

【課題】IoT機器の異常検知の精度の低下を抑止する。【解決手段】検知装置10は、IoT機器の通信に関する情報を取得する。また、検知装置10は、混合ガウス分布に従う確率変数である潜在変数及び入力されたデータを基に出力データを生成する生成モデルに、通信に関する情報の特徴を示すデータを入力し、出力データを計算する。検知装置10は、出力データを基にアノマリスコアを計算し、当該アノマリスコアが閾値を超えている場合、IoT機器の異常を検知する。【選択図】図2

Description

本発明は、検知装置及び検知方法に関する。
IoT時代の到来に伴い、多種のデバイスが多様な使われ方の下でインターネットに接続され、そのセキュリティ対策のためにIoT機器向けのトラフィックセッション異常検知システムや侵入検知システム(IDS:Intrusion Detection System)が盛んに研究されている。
このような異常検知システムの中には、VAE(Variational Auto Encoder)等の教師なし学習による確率密度推定器を用いるものがある。確率密度推定による異常検知は、正常なトラフィックを基に正常な通信パターンの発生確率を学習し、発生確率の低い通信を異常として検知する。
このため、VAE等によれば、すべての悪性状態を知らずとも異常検知が可能である。そして、この特性は、未だ過渡期にありすべての脅威情報を知り尽くせないIoT機器に対するサイバー攻撃検知と良くマッチする。
Diederik P Kingma, Max Welling, "Auto-Encoding Variational Bayes" [online]、[平成30年6月11日検索]、インターネット(https://arxiv.org/pdf/1312.6114.pdf)
しかしながら、従来のVAEには、IoT機器の異常検知の精度が低下する場合があるという問題がある。具体的には、従来のVAEを用いる場合、いわゆる「強すぎる正則化」の問題により確率密度推定の精度が低下し、その結果異常検知の精度が低下することがある。
ここで、従来のVAEについて説明する。従来のVAEは入力データを一度低次元のガウス分布にエンコードし、エンコード後のより少ない情報のみを用いて再度入力データと近づくようにデコードすることを目指す。このようにすることで、入力データを正しく再構成できるのに必要な情報のみを抽出するエンコーダを得ることができる。
その際、従来のVAEにおいては、「低次元のガウス分布にエンコード」の制約が強すぎて、再構成に必要な情報までも削減してしまっている可能性があるという問題がある。これが「強すぎる正則化」の問題である。
本発明によれば、IoT機器の異常検知の精度の低下を抑止することができる。
図1は、第1の実施形態に係る検知システムの構成の一例を示す図である。 図2は、第1の実施形態に係る検知装置の構成の一例を示す図である。 図3は、第1の実施形態に係る生成モデルについて説明するための図である。 図4は、第1の実施形態に係る検知装置の処理の流れを示すフローチャートである。 図5は、第1の実施形態に係る検知装置の処理の流れを示すフローチャートである。 図6は、検知プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る検知装置及び検知方法の実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る検知システムの構成について説明する。図1は、第1の実施形態に係る検知システムの構成の一例を示す図である。図1に示すように、検知システム1は、検知装置10及びIoT機器20を有する。
検知装置10は、IoT機器20と外部ネットワーク30との通信に関する情報を取得する。例えば、検知装置10は、IoT機器20と外部ネットワーク30との間に備えられたゲートウェイから情報を取得することができる。また、例えば、検知装置10は、トラフィックセッション情報を取得することができる。また、検知装置10は、取得した情報を使って学習した生成モデルを用いて、IoT機器20の異常の検知を行う。また、IoT機器20は、監視カメラやウェアラブルデバイス等の機器に通信機能を備えたものである。
次に、図2を用いて、検知装置10の構成について説明する。図2は、第1の実施形態に係る検知装置の構成の一例を示す図である。図2に示すように、検知装置10は、入出力部11、通信部12、記憶部13及び制御部14を有する。
ここで、検知装置10は、VAEを基にした生成モデルを用いて検知及び学習を行う。図3を用いて、本実施形態で用いられる生成モデルについて説明する。図3は、第1の実施形態に係る生成モデルについて説明するための図である。
図3に示すように、本実施形態の生成モデルは、従来のVAEと同様に、オートエンコーダを利用したモデルである。生成モデルは、入力層、エンコーダ、デコーダ及び出力層を有する。生成モデルは、入力層に入力されたデータをエンコードし、エンコードしたデータを基に、確率変数である潜在変数を生成し、当該潜在変数から確率的に決定された値をデコードし、デコードしたデータを出力データとして出力層に出力する。
従来のVAEにおける潜在変数は、単峰のガウス分布で表される。これに対し、本実施形態の生成モデルにおける潜在変数は、多峰のガウス分布、すなわち混合ガウス分布で表される。
ここで、本実施形態の生成モデルの最適化を行うための目的関数は、エンコーダをq(z|x)、潜在変数をp(z)、デコーダをp(x|z)とすると、(1)式のように表される。
Figure 2019220892
このとき、q(z|x)は、混合ガウス分布であり、(2)式のように表される。
Figure 2019220892
πは、平均がμ、分散がσであるガウス分布N(μ,σ)に設定された重みである。π、μ、σは、生成モデルの学習によって更新されるパラメータである。また、πの合計は常に一定の値になるようにしてもよい。例えば、q(z|x)が3つのガウス分布からなる混合ガウス分布である場合、π+π+π=1という制約条件が設定されていてもよい。
さらに、q(z|x)が混合ガウス分布である場合、検知装置10は、(1)式の目的関数のカルバックラーダイバージェンス((3)式)を計算するために、参考文献1("Lower and Upper Bounds for Approximation of the Kullback-Leibler Divergence Between Gaussian Mixture Models" by Durrien, Thiran, and Kelly (2012))又は参考文献2("Approximating the Kullback Leibler divergence between Gaussian Mixture Models" by Hershey and Olsen (2007))に記載の手法を用いることができる。
Figure 2019220892
一例として、検知装置10は、カルバックラーダイバージェンスを(4)式のように分解し、(4)式の第1項及び第2項のそれぞれについて、Jensenの不等式を用いて下限又は上限を計算する。そして、検知装置10は、計算した下限又は上限を組み合わせることで、(2)式のカルバックラーダイバージェンスを近似的に計算する。
Figure 2019220892
このように、検知装置10は、混合ガウス分布に従う潜在変数を使って出力データを計算するため、単一のガウス分布を使う場合と比較して、潜在変数に多くの情報を持たせることができる。このため、本実施形態によれば、従来のVAEに比べて正則化の度合いを弱めることができ、検知精度の低下を抑止することが可能になる。
図2に戻り、入出力部11は、ユーザからのデータの入力を受け付ける。入出力部11は、例えば、マウスやキーボード等の入力装置、及びディスプレイやタッチパネル等の表示装置を含む。通信部12は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部12はNIC(Network Interface Card)である。例えば、通信部12は、IoT機器20、及びIoT機器20と外部ネットワーク30との間に備えられたゲートウェイ等との間でデータ通信を行う。
記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、検知装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部13は、モデルDB131を有する。モデルDB131は、学習済みの生成モデルのパラメータ等を記憶する。
制御部14は、検知装置10全体を制御する。制御部14は、例えば、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、TPU(Tensor Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部14は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部14は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部14は、取得部141、抽出部142、計算部143、更新部144及び検知部145を有する。
取得部141は、機器の通信に関する情報を取得する。例えば、取得部141は、IoT機器の通信に関するログからトラフィックセッション情報を取得する。例えば、取得部141は、トラフィックセッション情報として、IoT機器20におけるデータ量、送受信されたパケットの数及びサイズ等を取得する。また、例えば、取得部141は、IoT機器20及び通信先のMACアドレス、IPアドレス、ポート番号、通信プロトコル等を取得する。
抽出部142は、取得部141によって取得された通信に関する情報から所定の特徴量を抽出する。例えば、抽出部142は、取得部141によって取得された情報に含まれるデータ量やパケット数等の量的情報を正規化した値、又は当該情報に含まれる各種アドレスやプロトコル等の質的情報を数値化した値等を要素として含む特徴ベクトルを生成する。
計算部143は、混合ガウス分布に従う確率変数である潜在変数及び入力されたデータを基に出力データを生成する生成モデルに、通信に関する情報の特徴を示すデータを入力し、出力データを計算する。計算部143は、抽出部142によって抽出されたデータを、図3に示すような生成モデルの入力層に入力し、出力データを生成するための計算を実行する。
更新部144は、出力データと生成モデルに入力した特徴量との差分が小さくなるように、生成モデルのパラメータを更新する。具体的には、更新部144は、(1)式の目的関数が最適化されるようにパラメータを更新する。このとき、更新部144は、混合ガウス分布に含まれ、それぞれに重みが設定されたガウス分布の、平均、分散及び重みを更新する。これにより、更新部144は、正常状態にある通信の特徴を生成モデルに学習させる。
検知部145は、出力データを基に計算したアノマリスコアを用いて、機器の異常の検知を行う。検知部145は、計算部143によって生成モデルに入力された特徴量と、生成モデルから出力された出力データとの差分が大きいほど大きくなり、当該差分が小さいほど小さくなるようにアノマリスコアを計算する。つまり、アノマリスコアは、検知対象の通信の状態の、通常状態にある通信の特徴からのかい離度合いを示すスコアである。検知部145は、アノマリスコアが閾値を超えている場合、異常が発生していることを検知する。
[第1の実施形態の処理]
図4及び図5を用いて検知装置10の処理について説明する。図4及び図5は、第1の実施形態に係る検知装置の処理の流れを示すフローチャートである。図4に示すように、まず、検知装置10は、IoT機器20の通信に関する情報を取得する(ステップS11)。
次に、検知装置10は、取得した情報から特徴量を抽出する(ステップS12)。また、検知装置10は、抽出した特徴量を生成モデルに入力し、出力データを計算する(ステップS13)。出力データを計算する処理については、後に図5を用いて説明する。
検知装置10は、生成モデルの学習を行う場合及び異常の検知を行う場合の両方で、ステップS11からステップS13までの処理を行う。ここで、検知装置10が生成モデルの学習を行う場合(ステップS14、学習)、計算した出力データを基に生成モデルを更新する(ステップS15)。一方で、検知装置10が異常の検知を行う場合(ステップS14、検知)、計算した出力データを基にアノマリスコアを計算し、異常を検知する(ステップS16)。
図5を用いて、出力データを計算する処理について説明する。図5に示すように、検知装置10は、入力層に入力された特徴量をエンコードする(ステップS131)。そして、検知装置10は、エンコードされたデータから混合ガウス分布に基づく確率変数を生成する(ステップS132)。さらに、検知装置10は、確率変数から確率的に決定された値をデコードしたデータを、出力層から出力データとして出力する(ステップS133)。
[第1の実施形態の効果]
第1の実施形態において、検知装置10は、機器の通信に関する情報を取得する。また、検知装置10は、混合ガウス分布に従う確率変数である潜在変数及び入力されたデータを基に出力データを生成する生成モデルに、通信に関する情報の特徴を示すデータを入力し、出力データを計算する。検知装置10は、出力データを基に計算したアノマリスコアを用いて、機器の異常の検知を行う。
このように、第1の実施形態では、潜在変数が従う分布を混合ガウス分布としている。これにより、第1の実施形態では、潜在変数が単一のガウス分布に従うとした場合に比べ、潜在変数により多くの情報を持たせることができ、確率密度推定の精度が低下を抑止することができる。このため、第1の実施形態によれば、IoT機器の異常検知の精度の低下を抑止することができる。
ここで、従来のVAEを用いた手法と本実施形態の手法との異常検知精度を比較した実験について説明する。まず、本実験では、異常検知対象のデータセットとして、Letter(参考URL:http://odds.cs.stonybrook.edu/letter-recognition-dataset/)を用いた。また、学習におけるエポック数を1000回とした。また、実施形態の生成モデルにおける混合ガウス分布の要素分布の混合数を3とした。そして、それぞれの手法で学習及び検知を10回ずつ行い、AUC(Area Under the Curve)値の平均により評価を行った。
実験の結果、従来のVAEを用いた手法のAUC値の平均は0.942±0.0198であった。これに対し、本実施形態の手法のAUC値の平均は0.97976±0.0103であった。これより、本実施形態の手法は、従来のVAEを用いた手法と比べ、異常検知精度が有意に向上しているといえる。
また、更新部144は、出力データと生成モデルに入力した特徴量との差分が小さくなるように、生成モデルのパラメータを更新する。このように、第1の実施形態によれば、入力されたデータを正常状態にある通信の特徴を示すものとみなし、生成モデルの学習を行うことが可能になる。
また、更新部144は、混合ガウス分布に含まれ、それぞれに重みが設定されたガウス分布の、平均、分散及び重みを更新する。このように、第1の実施形態によれば、混合ガウス分布の重みを更新することで、混合ガウス分布に含まれる分布の峰のうちどの分布の峰を潰すかを選択し、分布形状を最適化することが可能になる。
[プログラム]
一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、検知装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知に関するサービスを提供する検知サーバ装置として実装することもできる。例えば、検知サーバ装置は、IoT機器の通信に関する情報を入力とし、検知結果を出力とする検知サービスを提供するサーバ装置として実装される。この場合、検知サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図6は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、検知装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 検知装置
11 入出力部
12 通信部
13 記憶部
14 制御部
20 IoT機器
30 外部ネットワーク
141 取得部
142 抽出部
143 計算部
144 更新部
145 検知部

Claims (4)

  1. 機器の通信に関する情報を取得する取得部と、
    混合ガウス分布に従う確率変数である潜在変数及び入力されたデータを基に出力データを生成する生成モデルに、前記通信に関する情報の特徴を示すデータを入力し、前記出力データを計算する計算部と、
    前記出力データを基に計算したアノマリスコアを用いて、前記機器の異常の検知を行う検知部と、
    を有することを特徴とする検知装置。
  2. 前記出力データと前記生成モデルに入力した特徴量との差分が小さくなるように、前記生成モデルのパラメータを更新する更新部をさらに有することを特徴とする請求項1に記載の検知装置。
  3. 前記更新部は、前記混合ガウス分布に含まれ、それぞれに重みが設定されたガウス分布の、平均、分散及び前記重みを更新することを特徴とする請求項2に記載の検知装置。
  4. コンピュータによって実行される検知方法であって、
    機器の通信に関する情報を取得する取得工程と、
    混合ガウス分布に従う確率変数である潜在変数を基に出力データを生成する生成モデルに、前記通信に関する情報の特徴を示す入力データを入力し、前記出力データを計算する計算工程と、
    前記出力データを基に計算したアノマリスコアを用いて、前記機器の異常の検知を行う検知工程と、
    を含むことを特徴とする検知方法。
JP2018118143A 2018-06-21 2018-06-21 検知装置及び検知方法 Active JP7091872B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018118143A JP7091872B2 (ja) 2018-06-21 2018-06-21 検知装置及び検知方法
PCT/JP2019/024606 WO2019245006A1 (ja) 2018-06-21 2019-06-20 検知装置及び検知方法
US16/973,039 US11847210B2 (en) 2018-06-21 2019-06-20 Detecting device and detecting method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018118143A JP7091872B2 (ja) 2018-06-21 2018-06-21 検知装置及び検知方法

Publications (2)

Publication Number Publication Date
JP2019220892A true JP2019220892A (ja) 2019-12-26
JP7091872B2 JP7091872B2 (ja) 2022-06-28

Family

ID=68982995

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018118143A Active JP7091872B2 (ja) 2018-06-21 2018-06-21 検知装置及び検知方法

Country Status (3)

Country Link
US (1) US11847210B2 (ja)
JP (1) JP7091872B2 (ja)
WO (1) WO2019245006A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111444471A (zh) * 2020-02-25 2020-07-24 国网河南省电力公司电力科学研究院 一种基于多元高斯分布的电缆生产质量异常检测方法和系统
WO2021161538A1 (ja) * 2020-02-14 2021-08-19 日本電信電話株式会社 学習装置、学習方法及び学習プログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7006805B2 (ja) * 2018-10-02 2022-01-24 日本電信電話株式会社 算出装置、算出方法及び算出プログラム
WO2022059209A1 (ja) * 2020-09-18 2022-03-24 日本電信電話株式会社 検知装置、学習装置、検知方法、学習方法、検知プログラム及び学習プログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013214171A (ja) * 2012-03-31 2013-10-17 Nec Corp 性能監視装置、性能監視方法、及びそのプログラム
JP2018073258A (ja) * 2016-11-02 2018-05-10 日本電信電話株式会社 検知装置、検知方法および検知プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040054505A1 (en) * 2001-12-12 2004-03-18 Lee Susan C. Hierarchial neural network intrusion detector
CN104200113A (zh) * 2014-09-10 2014-12-10 山东农业大学 基于高斯过程的物联网数据不确定性度量、预测与野值剔除方法
US11327475B2 (en) * 2016-05-09 2022-05-10 Strong Force Iot Portfolio 2016, Llc Methods and systems for intelligent collection and analysis of vehicle data
US10181032B1 (en) * 2017-07-17 2019-01-15 Sift Science, Inc. System and methods for digital account threat detection
EP3776367A1 (en) * 2018-03-28 2021-02-17 Nvidia Corporation Detecting data anomalies on a data interface using machine learning

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013214171A (ja) * 2012-03-31 2013-10-17 Nec Corp 性能監視装置、性能監視方法、及びそのプログラム
JP2018073258A (ja) * 2016-11-02 2018-05-10 日本電信電話株式会社 検知装置、検知方法および検知プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
TOMCZAK, JAKUB M ほか: "VAE with a VampPrior", ARXIV[ONLINE], JPN6021041875, 26 February 2018 (2018-02-26), US, pages 1 - 16, ISSN: 0004623068 *
小泉大地 ほか: "言語メタデータに基づく画像コンテンツの検索", 言語処理学会第11回年次大会 発表論文集, JPN6021041876, 15 March 2005 (2005-03-15), JP, pages 737 - 740, ISSN: 0004623069 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021161538A1 (ja) * 2020-02-14 2021-08-19 日本電信電話株式会社 学習装置、学習方法及び学習プログラム
EP4092581A4 (en) * 2020-02-14 2023-09-06 Nippon Telegraph And Telephone Corporation LEARNING DEVICE, LEARNING METHOD AND LEARNING PROGRAM
AU2020428327B2 (en) * 2020-02-14 2023-11-16 Nippon Telegraph And Telephone Corporation Learning device, learning method, and learning program
JP7405231B2 (ja) 2020-02-14 2023-12-26 日本電信電話株式会社 学習装置、学習方法及び学習プログラム
CN111444471A (zh) * 2020-02-25 2020-07-24 国网河南省电力公司电力科学研究院 一种基于多元高斯分布的电缆生产质量异常检测方法和系统

Also Published As

Publication number Publication date
US20210271755A1 (en) 2021-09-02
WO2019245006A1 (ja) 2019-12-26
US11847210B2 (en) 2023-12-19
JP7091872B2 (ja) 2022-06-28

Similar Documents

Publication Publication Date Title
WO2019245006A1 (ja) 検知装置及び検知方法
US20230119658A1 (en) Adversarial attack prevention and malware detection system
JP6606050B2 (ja) 検知装置、検知方法および検知プログラム
JP6870508B2 (ja) 学習プログラム、学習方法及び学習装置
CN112231592A (zh) 基于图的网络社团发现方法、装置、设备以及存储介质
US11563654B2 (en) Detection device and detection method
US20230027149A1 (en) Network Anomaly Control
CN113221104A (zh) 用户异常行为的检测方法及用户行为重构模型的训练方法
JP6767312B2 (ja) 検知システム、検知方法及び検知プログラム
CN115170919B (zh) 图像处理模型训练及图像处理方法、装置、设备和存储介质
WO2023050670A1 (zh) 虚假信息检测方法、系统、计算机设备及可读存储介质
JP7331938B2 (ja) 学習装置、推定装置、学習方法及び学習プログラム
JP7420244B2 (ja) 学習装置、学習方法、推定装置、推定方法及びプログラム
CN114758130A (zh) 图像处理及模型训练方法、装置、设备和存储介质
CN113989152A (zh) 图像增强方法、装置、设备以及存储介质
EP4202800A1 (en) Learning device, learning method, and learning program
US20220405572A1 (en) Methods for converting hierarchical data
US20230351251A1 (en) Determination device, determination method, and determination program
US20230267216A1 (en) Machine learning models with multi-budget differential privacy
JP6933302B2 (ja) 学習方法、学習装置及び学習プログラム
CN115913616A (zh) 基于异构图异常链路发现的横向移动攻击检测方法及装置
CN115879166A (zh) 数据识别方法、装置、电子设备以及存储介质
CN115936090A (zh) 模型训练方法、设备和存储介质
CN115719433A (zh) 图像分类模型的训练方法、装置及电子设备
CN117390420A (zh) 事件序列表征提取及模型训练方法、装置、设备和介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220530

R150 Certificate of patent or registration of utility model

Ref document number: 7091872

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150