JP2020004009A - 異常検知装置、および、異常検知方法 - Google Patents
異常検知装置、および、異常検知方法 Download PDFInfo
- Publication number
- JP2020004009A JP2020004009A JP2018121953A JP2018121953A JP2020004009A JP 2020004009 A JP2020004009 A JP 2020004009A JP 2018121953 A JP2018121953 A JP 2018121953A JP 2018121953 A JP2018121953 A JP 2018121953A JP 2020004009 A JP2020004009 A JP 2020004009A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication log
- information
- abnormality
- learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
【課題】通信機器の正常状態の挙動の再学習を適切なタイミングで行う。【解決手段】異常検知装置30は、通信機器10の正常動作時の通信ログを学習データとして用いて検知モデルを生成する学習部31と、生成された検知モデルを用いて通信機器10の異常を検知する異常検知部32とを備える。そして、異常検知装置30は、第1の通信ログよりも後の所定期間に発生した通信ログ(第2の通信ログ)を取得するデータ取得部330と、現在の検知モデルの学習データ(第1の通信ログ)と、第2の通信ログとの間に差分情報がある場合、その差分情報に含まれる追加情報(追加フローの情報)の数または削除情報(削除フローの情報)の数が所定の評価基準を満たすとき、第2の通信ログを用いた再学習を命令する判定部334とを備える。【選択図】図1
Description
本発明は、異常検知装置、および、異常検知方法に関する。
PC等の機器におけるウイルス感染等による異常を検知する方法として、機器の挙動パターンと既知の異常パターンをマッチングして異常を検知するシグネチャ検知方式と、機器の挙動パターンと正常状態の挙動パターンをマッチングして異常を検知するアノマリ検知方式が従来から提案および利用されている(特許文献1参照)。
シグネチャ検知方式では予め異常パターンが定められているため、当該異常パターンと合致した場合に異常を検知できるが、未知ウイルス等による予め異常パターンが定められていない異常を検知できない。一方、アノマリ検知方式では特許文献1のように機械学習技術を用いることで正常状態を学習し、学習されたモデルと合致しない挙動パターンは全て異常として検知する。よって、未知ウイルス等による異常も検知することができる。しかし、アノマリ検知方式では、機器の設定変更等により正常状態が変更された場合、過去のモデルと合致しない挙動パターンは異常として検知されてしまう。
ここで、従来技術(例えば、特許文献1参照)では、アノマリ検知方式に用いられる機器の正常状態の挙動を、過去の観測値に基づいて定めているので、機器の設定変更等による正常状態の変化に追従するためには、正常状態の挙動を再学習する必要がある。
ここで、計算コストを掛けられない環境では、機器の正常状態の挙動の再学習を頻繁に実施できず、その結果、セキュリティ低下を招く懸念がある。よって、計算コストを掛けられない環境においては、上記の正常状態の挙動の再学習を、適切なタイミングで行う必要がある。そこで、本発明は、前記した問題を解決し、機器の正常状態の挙動の再学習を適切なタイミングで行うことを課題とする。
前記した課題を解決するため、本発明は、通信機器の正常動作時の通信ログを学習データとして用いて、前記通信機器の異常を検知する検知モデルを生成する学習部と、前記生成された検知モデルと、前記通信機器の通信ログとを用いて、前記通信機器の異常を検知する異常検知部と、前記検知モデルの生成に用いられた通信ログである第1の通信ログよりも後の所定期間に発生した通信ログである第2の通信ログを取得するデータ取得部と、前記第2の通信ログのうち、当該検知モデルにより異常が検知された通信ログを前記第1の通信ログの追加情報として特定する追加情報特定部と、前記第1の通信ログと前記第2の通信ログとの差分情報から、前記第1の通信ログの追加情報を除いた削除情報を特定する削除情報特定部と、前記第1の通信ログの追加情報または削除情報が存在する場合において、前記追加情報の数または前記削除情報の数が所定の評価基準を満たすとき、前記学習部に、前記第2の通信ログを学習データとして用いて検知モデルを生成するよう命令する判定部と、を備えることを特徴とする。
本発明によれば、機器の正常状態の挙動の再学習を適切なタイミングで行うことができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、本実施形態に限定されない。
[構成と概要]
まず、図1を用いて、本実施形態の異常検知装置を含むシステムの構成例を説明する。システムは、例えば、図1に示すように、通信機器10と、ゲートウェイ装置20と、異常検知装置30とを備える。通信機器10とゲートウェイ装置20とはLAN(Local Area Network)等により接続される。また、ゲートウェイ装置20と異常検知装置30とはインターネット等のネットワークにより接続される。
まず、図1を用いて、本実施形態の異常検知装置を含むシステムの構成例を説明する。システムは、例えば、図1に示すように、通信機器10と、ゲートウェイ装置20と、異常検知装置30とを備える。通信機器10とゲートウェイ装置20とはLAN(Local Area Network)等により接続される。また、ゲートウェイ装置20と異常検知装置30とはインターネット等のネットワークにより接続される。
通信機器10は、本システムにおける異常の検知対象となる通信機器である。この通信機器10は、例えば、PC等である。ゲートウェイ装置20は、通信機器10をインターネット等のネットワーク経由で外部装置に接続したり、同一LAN内の他の通信機器10に接続したりする装置である。このゲートウェイ装置20は、各通信機器10が送受信するネットワークフローの情報、当該ネットワークフローの通信特徴量、各通信機器10の動作ログ等、通信機器10の挙動を示す情報を取得する。
なお、ネットワークフローの情報(ネットワークフロー情報)は、例えば、当該ネットワークフローの送信元IP(Internet Protocol)アドレス、送信元MAC(Media Access Control)アドレス、送信先IPアドレス、送信先MACアドレス、通信ポート番号、受信パケット数、送信パケット数、通信ペイロード等である。通信特徴量は、例えば、ネットワークフローの送信元IPアドレス、送信元MACアドレス、送信先IPアドレス、送信先MACアドレス、受信パケット総数の平均値、送信パケット総数の分散値等である。また、動作ログは、当該通信機器10において実行されたプロセスのID、プロセスの実行開始時刻等である。
異常検知装置30は、ゲートウェイ装置20から取得した各通信機器10の正常状態における挙動を示す情報を学習することにより、各通信機器10への不正アクセスやウィルス感染等の異常の検出を行う。異常検知装置30は、例えば、各通信機器10の正常状態にけるネットワークフロー情報、当該ネットワークフローの通信特徴量、各通信機器の動作ログ等(以上まとめて「通信ログ」と称す)を学習データとし、アノマリ検知型の検知モデルを生成する。そして、異常検知装置30は、生成した検知モデルと、検知対象との通信機器10のネットワークフロー情報、通信特徴量、動作ログ等とを用いて、アノマリ検知型の異常検知を行う。
ここで、異常検知装置30は、各通信機器10の設定変更等による正常状態の変化に追従するため、各通信機器10の正常状態の通信ログを再学習し、再学習の結果を用いて検知モデルを更新する。
例えば、異常検知装置30は、現在の検知モデルAの生成に用いられた通信ログ(学習データセットA)の後に発生した上記各通信機器10の通信ログ(学習データセットB)を取得する。ここで、取得した学習データセットBと学習データセットAとの差分情報が所定の評価基準を満たす場合、異常検知装置30は、学習データセットBを用いた再学習を行う。これにより異常検知装置30は、計算コストをかけられない環境であっても適切なタイミングで、通信機器10の正常状態の挙動の再学習を行うことができる。
[異常検知装置]
引き続き図1を用いて異常検知装置30を詳細に説明する。異常検知装置30は、学習部31と、異常検知部32と、再学習実施判定部33とを備える。
引き続き図1を用いて異常検知装置30を詳細に説明する。異常検知装置30は、学習部31と、異常検知部32と、再学習実施判定部33とを備える。
学習部31は、通信機器10の正常状態の通信ログを学習データとして、通信機器10の異常を検知するための検知モデルを生成する。例えば、学習部31は、ゲートウェイ装置20から各通信機器10の正常状態の通信ログを取得すると、この通信ログを学習データとして、各通信機器10の異常を検知するための検知モデルを生成する。
学習部31は、学習データによる学習が完了し、検知モデルが生成されると、異常検知部32に対し、当該検知モデルを用いた異常検知(異常検知のための分析)を開始させる。そして、学習部31は、当該学習に用いた通信機器10の識別情報、通信ログ(学習データセットA)、および、当該通信ログの学習により生成された検知モデル(検知モデルA)を、再学習実施判定部33に保存する。
異常検知部32は、学習部31により生成された検知モデルと、通信機器10の通信ログとを用いて、通信機器10に対しアノマリ検知型の異常検知を行う。例えば、異常検知部32は、ゲートウェイ装置20から、検知対象の通信機器10の通信ログを取得すると、学習部31により生成された検知モデルを用いて、当該通信機器10の異常検知を行う。
再学習実施判定部33は、学習部31が通信ログの再学習を実施すべきか否かを判定する。この再学習実施判定部33は、データ取得部330と、追加情報特定部331と、差分情報特定部332と、削除情報特定部333と、判定部334とを備える。
データ取得部330は、所定期間ごと、あるいは、異常検知装置30の管理者からの指示入力が行われたとき、ゲートウェイ装置20から所定の通信機器10について、その時点から所定期間の通信ログ(第2の通信ログ)を取得する。
追加情報特定部331は、データ取得部330により取得された第2の通信ログのうち、現在異常検知部32で用いている検知モデル(検知モデルA)により異常が検知された通信ログを追加情報として特定する。
差分情報特定部332は、検知モデルAの生成に用いられた通信ログ(学習データセットA)と、データ取得部330により取得された第2の通信ログ(学習データセットB)とを比較し、差分情報の有無を判定する。
例えば、比較対象となる学習データセットA,Bが、通信機器10のネットワークフロー情報または通信特徴量である場合、差分情報特定部332は、学習データセットA,Bの5タプル情報(送信元/宛先のIPアドレス、送信元/宛先のMACアドレス、通信ポート番号)を比較する。また、例えば、学習データセットA,Bが、通信機器10の動作ログである場合、差分情報特定部332は、当該通信機器10の宛先の通信機器のIPアドレス、MACアドレス、通信ポートを比較する。
削除情報特定部333は、第1の通信ログ(学習データセットA)と第2の通信ログ(学習データセットB)との差分情報から、上記の追加情報を除いた削除情報を特定する。
この追加情報および削除情報を、図2を参照しながら詳細に説明する。
例えば、図2に示すように、更新前検知モデル(検知モデルA)の生成に用いられた学習データセットA(ネットワークフロー情報A−1,A−2,A−3,…)と、最新学習データセット(学習データセットB。ネットワークフロー情報B−1,B−2,B−3,…)とが与えられた場合を考える。各ネットワークフロー情報は、図2に示すように、5タプル情報の他に、5タプル以外の情報(例えば、受信パケット数、送信パケット数、ペイロード等)を含んでいてもよい。
このような場合、追加情報特定部331が、学習データセットBに、更新前検知モデル(検知モデルA)を用いて異常検知の有無を確認することで、学習データセットBに追加フロー(追加情報)の有無がわかるだけでなく、追加フロー(追加情報)を特定できる((1))。
つまり、学習データセットBに、検知モデルAを用いて異常が検知されたということは、この学習データセットBに、学習データセットAにはない通信先との通信ログ(追加フローの通信ログ)が含まれることを意味する。よって、差分情報特定部332は、検知モデルAで異常を検知した学習データセットBの通信ログがあれば、その通信ログを追加情報として特定する。
次に、差分情報特定部332が、学習データセットAおよび学習データセットBの5タプル情報を用いて、両データセットの差分(差分情報)を確認し、差分情報がある場合、削除情報特定部333は、この差分情報から追加フロー(追加情報)を除く。これにより、削除情報特定部333は、削除フロー(削除情報)の有無がわかるだけでなく、削除フロー(削除情報)を特定できる((2))。
つまり、学習データセットAと学習データセットBとの間に差分(差分情報)があるにもかかわらず、上記の追加フロー(追加情報)以外の情報(通信ログ)があるということは、学習データセットAに含まれる通信先のうち、学習データセットBで含まれなくなった通信先があることを意味する。すなわち、削除フローがあることを意味する。よって、削除情報特定部333は、学習データセットAと学習データセットBとの差分情報に追加情報以外の情報(通信ログ)があれば、その通信ログを削除情報として特定する。
図1に戻り、判定部334を説明する。判定部334は、第1の通信ログ(学習データセットA)と第2の通信ログ(学習データセットB)との間に差分情報がある場合、学習部31に、第2の通信ログ(学習データセットB)を学習データとして異常検知モデルを生成するよう(再学習するよう)命令する。
例えば、判定部334は、第1の通信ログ(学習データセットA)と第2の通信ログ(学習データセットB)との間に差分情報がある場合において、その差分情報に含まれる追加情報の数、または、削除情報の数が所定の評価基準を満たす場合、学習部31に第2の通信ログ(学習データセットB)を学習データとした再学習を実施するよう命令する。
例えば、判定部334は、(1)追加情報の数が所定の閾値を超える場合、(2)削除情報の数が所定の閾値を超える場合、または、(3)追加情報と削除情報との合計が所定の閾値を超える場合、学習部31に再学習を実施するよう命令する。
なお、(1)〜(3)に用いられる閾値は、異常検知装置30のユーザが決定してもよいし、異常検知装置30が、過去の統計値等に基づき決定してもよい。
また、判定部334は、第1の通信ログ(学習データセットA)と第2の通信ログ(学習データセットB)との間に差分情報がある場合において、(1)〜(3)のいずれか、または、これらの組み合わせにより記述された評価基準を満たす場合、学習部31に再学習を実施するよう命令してもよい。なお、判定部334が、どのような評価基準を用いて判定を行うかは、異常検知装置30のユーザが適宜設定可能である。
そして、学習部31による再学習が完了し、新たな検知モデル(検知モデルB)が生成されると、異常検知部32に対し、検知モデルBを用いた異常検知(異常検知のための分析)を開始させる。そして、学習部31は、再学習に用いた通信機器10の識別情報、通信ログ(学習データセットB)、および、当該通信ログの学習により生成された検知モデル(検知モデルB)を、再学習実施判定部33に上書き保存する。
なお、更新前学習データセット(学習データセットA)と最新学習データセット(学習データセットB)との関係は、図3に示すパターン1〜4が考えらえる。つまり、パターン1のように最新学習データセットすべてが更新前学習データセットに含まれる場合と、パターン2のように、更新前学習データセットの一部が最新学習データセットの一部に含まれる場合と、パターン3のように、更新前学習データセットすべてが最新学習データセットに含まれる場合と、パターン4のように、更新前学習データセットと最新学習データセットとがまったく異なる場合とが考えられる。
なお、図3のパターン1〜4の斜線部分は、それぞれパターンにおける更新前学習データセットと最新学習データセットとの差分情報を示す。パターン1の場合、差分情報には追加情報はないが削除情報はあり、パターン2,4の場合、差分情報に追加情報も削除情報もある。また、パターン3の場合、差分情報に追加情報はあるが削除情報はない。よって、パターン1の場合、学習部31は、最新学習データセットを学習することで、異常の見逃しの少ない検知モデルを生成することができる。また、パターン2,4の場合、学習部31は、最新学習データセットを学習することで、異常の見逃しが少なく、かつ、誤検知の少ない検知モデルを生成することができる。また、パターン3の場合、学習部31は、最新学習データセットを学習することで、誤検知の少ない検知モデルを生成することができる。
ここで、再学習をするか否かを、判定部334が、追加情報または削除情報(またはこれらの組み合わせ)を用いた評価基準を用いて判定することで、上記のいずれのパターンであっても、適切なタイミングで学習部31に再学習を実施するよう命令することができる。
例えば、判定部334が、(1)追加情報の数が所定値を超える場合に、学習部31に再学習を命令することで、パターン2,3,4における最新学習データセットによる再学習を実現できる。その結果、学習部31は、誤検知の少ない検知モデルを生成することができる。また、判定部334が、(2)削除情報の数が所定値を超える場合に、学習部31に再学習を命令することで、パターン1,2,4における最新学習データセットによる再学習を実現できる。その結果、学習部31は、異常の見逃しの少ない検知モデルを生成することができる。判定部334が、(3)追加情報と削除情報の合計数が所定値を超える場合に、学習部31に再学習を命令することで、パターン2,4における最新学習データセットによる再学習を実現できる。その結果、学習部31は、誤検知と異常の見逃しが少ない検知モデルを生成することができる。
[処理手順]
次に、図4を用いて異常検知装置30の処理手順を説明する。異常検知装置30の処理は、最初の検知モデルを生成する初期学習フェーズと、再学習により検知モデルを更新する運用フェーズとに分けられる。まず初期学習フェーズから説明する。
次に、図4を用いて異常検知装置30の処理手順を説明する。異常検知装置30の処理は、最初の検知モデルを生成する初期学習フェーズと、再学習により検知モデルを更新する運用フェーズとに分けられる。まず初期学習フェーズから説明する。
(初期学習フェーズ)
まず、学習部31は、通信機器10の正常動作(学習データセットA)を学習し、検知モデルAを生成する(S1)。そして、学習部31は、再学習実施判定部33に、学習データセットAと検知モデルAを保存する(S2)。また、学習部31は、異常検知部32に対し、当該検知モデルを用いた異常検知の分析動作を開始させる(S3)。
まず、学習部31は、通信機器10の正常動作(学習データセットA)を学習し、検知モデルAを生成する(S1)。そして、学習部31は、再学習実施判定部33に、学習データセットAと検知モデルAを保存する(S2)。また、学習部31は、異常検知部32に対し、当該検知モデルを用いた異常検知の分析動作を開始させる(S3)。
(運用フェーズ)
次に、運用フェーズを説明する。S3の後、データ取得部330は、学習データセットA以降の通信ログ(学習データセットB)を取得する(S11)。その後、追加情報特定部331は、検知モデルAと学習データセットBとにより追加情報の有無を確認する(S12)。つまり、追加情報特定部331は、学習データセットBに、検知モデルAで異常を検知した通信ログがあるか否かを確認し、あれば当該通信ログを追加情報として特定する。その後、削除情報特定部333は、学習データセットAと学習データセットBと追加情報とにより削除情報の有無を確認する(S13)。つまり、まず、差分情報特定部332が、学習データセットAと学習データセットBとの差分の有無を確認し、差分があれば、その差分の通信ログを差分情報として特定する。そして、削除情報特定部333は、当該差分情報に、S12で特定された追加情報以外の通信ログがあるか否かを確認し、あれば当該通信ログを削除情報として特定する。
次に、運用フェーズを説明する。S3の後、データ取得部330は、学習データセットA以降の通信ログ(学習データセットB)を取得する(S11)。その後、追加情報特定部331は、検知モデルAと学習データセットBとにより追加情報の有無を確認する(S12)。つまり、追加情報特定部331は、学習データセットBに、検知モデルAで異常を検知した通信ログがあるか否かを確認し、あれば当該通信ログを追加情報として特定する。その後、削除情報特定部333は、学習データセットAと学習データセットBと追加情報とにより削除情報の有無を確認する(S13)。つまり、まず、差分情報特定部332が、学習データセットAと学習データセットBとの差分の有無を確認し、差分があれば、その差分の通信ログを差分情報として特定する。そして、削除情報特定部333は、当該差分情報に、S12で特定された追加情報以外の通信ログがあるか否かを確認し、あれば当該通信ログを削除情報として特定する。
S13の後、判定部334は、追加情報または削除情報があり(つまり、差分情報があり)(S14でYes)、かつ、追加情報の数または削除情報の数が所定の評価基準(例えば、前記した(1)〜(3))を満たす場合(S15でYes)、学習部31に、正常動作を再学習させ、検知モデルBを生成するよう命令する(S16)。すなわち、判定部334は、学習部31に、学習データセットBを学習し、検知モデルBを生成するよう命令する。これにより、学習部31は、検知モデルBを生成する。その後、学習部31は、再学習実施判定部33の学習データセットAを学習データセットBで上書きし、検知モデルAを検知モデルBで上書きする(S17)。また、学習部31は、異常検知部32に対し、S17で上書きされた検知モデル(検知モデルB)を用いた異常検知の分析動作を開始させる(S18)。その後、S11へ戻る。
なお、判定部334が、追加情報も削除情報もない(つまり、差分情報がない)と判定した場合(S14でNo)、S11へ戻る。また、判定部334が、追加情報の数または削除情報の数が所定の評価基準(例えば、前記した(1)〜(3))を満たさないと判定した場合(S15でNo)もS11へ戻る。
このように異常検知装置30は、学習データセットにおける追加情報の数または削除情報の数を用いた評価基準に基づき、再学習を実施するか否かを判定する。つまり、異常検知装置30は、現在の検知モデルの生成後の追加フローの数または削除フローの数に基づき、再学習を実施するか否かを判定する。その結果、異常検知装置30は、適切なタイミングで再学習を実施することができる。
なお、異常検知装置30は、学習データセットにおける追加情報の数または削除情報の数を用いた評価基準に基づき、再学習を実施するか否かを判定することとしたが、これに限定されない。例えば、異常検知装置30は、学習データセットにおける追加情報または削除情報の有無にかかわらず、差分情報がある場合に再学習を実施すると判定してもよい。
[プログラム]
また、上記の実施形態で述べた異常検知装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検知装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、異常検知装置30を、クラウドサーバに実装してもよい。
また、上記の実施形態で述べた異常検知装置30の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を異常検知装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、異常検知装置30を、クラウドサーバに実装してもよい。
図5を用いて、上記のプログラム(管理プログラム)を実行するコンピュータの一例を説明する。図5に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図5に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 通信機器
20 ゲートウェイ装置
30 異常検知装置
31 学習部
32 異常検知部
33 再学習実施判定部
330 データ取得部
331 追加情報特定部
332 差分情報特定部
333 削除情報特定部
334 判定部
20 ゲートウェイ装置
30 異常検知装置
31 学習部
32 異常検知部
33 再学習実施判定部
330 データ取得部
331 追加情報特定部
332 差分情報特定部
333 削除情報特定部
334 判定部
Claims (4)
- 通信機器の正常動作時の通信ログを学習データとして用いて、前記通信機器の異常を検知する検知モデルを生成する学習部と、
前記生成された検知モデルと、前記通信機器の通信ログとを用いて、前記通信機器の異常を検知する異常検知部と、
前記検知モデルの生成に用いられた通信ログである第1の通信ログよりも後の所定期間に発生した通信ログである第2の通信ログを取得するデータ取得部と、
前記第2の通信ログのうち、当該検知モデルにより異常が検知された通信ログを前記第1の通信ログの追加情報として特定する追加情報特定部と、
前記第1の通信ログと前記第2の通信ログとの差分情報から、前記第1の通信ログの追加情報を除いた削除情報を特定する削除情報特定部と、
前記第1の通信ログの追加情報または削除情報が存在する場合において、前記追加情報の数または前記削除情報の数が所定の評価基準を満たすとき、前記学習部に、前記第2の通信ログを学習データとして用いて検知モデルを生成するよう命令する判定部と、
を備えることを特徴とする異常検知装置。 - 前記判定部は、
前記追加情報または前記削除情報が存在する場合において、前記追加情報の数が所定の閾値を超えるとき、または、前記削除情報の数が所定の閾値を超えるとき、または、前記追加情報と前記削除情報との合計数が所定の閾値を超えるとき、前記学習部に、前記第2の通信ログを学習データとして用いて検知モデルを生成するよう命令する
ことを特徴とする請求項1に記載の異常検知装置。 - 前記通信機器の通信ログは、
当該通信機器が送受信するネットワークフローの情報、前記ネットワークフローの通信特徴量、および、当該通信機器の動作ログの少なくともいずれかを含む
ことを特徴とする請求項1に記載の異常検知装置。 - 通信機器の異常を検知する異常検知装置により実行される異常検知方法であって、
通信機器の正常動作時の通信ログを学習データとして用いて、前記通信機器の異常を検知する検知モデルを生成するステップと、
前記生成された検知モデルと、前記通信機器の通信ログとを用いて、前記通信機器の異常を検知するステップと、
前記検知モデルの生成に用いられた通信ログである第1の通信ログよりも後の所定期間に発生した通信ログである第2の通信ログを取得するステップと、
前記第2の通信ログのうち、当該検知モデルにより異常が検知された通信ログを前記第1の通信ログの追加情報として特定するステップと、
前記第1の通信ログと前記第2の通信ログとの差分情報から、前記第1の通信ログの追加情報を除いた削除情報を特定するステップと、
前記第1の通信ログの追加情報または削除情報が存在する場合において、前記追加情報の数または前記削除情報の数が所定の評価基準を満たすとき、前記検知モデルを生成する学習部に、前記第2の通信ログを学習データとして用いて検知モデルを生成するよう命令するステップと、
を含んだことを特徴とする異常検知方法。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018121953A JP6984551B2 (ja) | 2018-06-27 | 2018-06-27 | 異常検知装置、および、異常検知方法 |
| CN201980042316.8A CN112437920A (zh) | 2018-06-27 | 2019-06-24 | 异常检测装置和异常检测方法 |
| US17/255,897 US20210273964A1 (en) | 2018-06-27 | 2019-06-24 | Abnormality sensing device and abnormality sensing method |
| PCT/JP2019/024928 WO2020004315A1 (ja) | 2018-06-27 | 2019-06-24 | 異常検知装置、および、異常検知方法 |
| EP19827096.9A EP3796196B1 (en) | 2018-06-27 | 2019-06-24 | Abnormality sensing device and abnormality sensing method |
| AU2019293409A AU2019293409B2 (en) | 2018-06-27 | 2019-06-24 | Abnormality sensing device and abnormality sensing method |
| US18/222,340 US20230362182A1 (en) | 2018-06-27 | 2023-07-14 | Abnormality sensing device and abnormality sensing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018121953A JP6984551B2 (ja) | 2018-06-27 | 2018-06-27 | 異常検知装置、および、異常検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020004009A true JP2020004009A (ja) | 2020-01-09 |
| JP6984551B2 JP6984551B2 (ja) | 2021-12-22 |
Family
ID=68985696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018121953A Active JP6984551B2 (ja) | 2018-06-27 | 2018-06-27 | 異常検知装置、および、異常検知方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US20210273964A1 (ja) |
| EP (1) | EP3796196B1 (ja) |
| JP (1) | JP6984551B2 (ja) |
| CN (1) | CN112437920A (ja) |
| AU (1) | AU2019293409B2 (ja) |
| WO (1) | WO2020004315A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7452849B2 (ja) | 2020-05-25 | 2024-03-19 | 日本電気通信システム株式会社 | 異常操作検出装置、異常操作検出方法、およびプログラム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3839781A4 (en) * | 2018-10-02 | 2022-04-06 | Nippon Telegraph And Telephone Corporation | CALCULATION DEVICE, METHOD AND PROGRAM |
| CA3060144A1 (en) * | 2018-10-26 | 2020-04-26 | Royal Bank Of Canada | System and method for max-margin adversarial training |
| CN112632030B (zh) * | 2020-12-04 | 2023-04-14 | 贝壳技术有限公司 | 数据异常定位方法及装置 |
| WO2022254519A1 (ja) * | 2021-05-31 | 2022-12-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 監視装置、監視システムおよび監視方法 |
| JPWO2023188052A1 (ja) * | 2022-03-30 | 2023-10-05 | ||
| JP2024006797A (ja) * | 2022-07-04 | 2024-01-17 | 富士通株式会社 | 検知プログラム及び検知装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015162032A (ja) * | 2014-02-27 | 2015-09-07 | 株式会社日立製作所 | 移動体の診断装置 |
| US20180007084A1 (en) * | 2016-06-29 | 2018-01-04 | Cisco Technology, Inc. | Automatic retraining of machine learning models to detect ddos attacks |
| US20180032903A1 (en) * | 2016-07-28 | 2018-02-01 | International Business Machines Corporation | Optimized re-training for analytic models |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030101260A1 (en) * | 2001-11-29 | 2003-05-29 | International Business Machines Corporation | Method, computer program element and system for processing alarms triggered by a monitoring system |
| US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| JP2004312064A (ja) | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| JP5531064B2 (ja) * | 2012-08-10 | 2014-06-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信装置、通信システム、通信方法、および、通信プログラム |
| US9202052B1 (en) * | 2013-06-21 | 2015-12-01 | Emc Corporation | Dynamic graph anomaly detection framework and scalable system architecture |
| US9189623B1 (en) * | 2013-07-31 | 2015-11-17 | Emc Corporation | Historical behavior baseline modeling and anomaly detection in machine generated end to end event log |
| EP3200115B1 (en) * | 2014-10-14 | 2019-01-09 | Nippon Telegraph and Telephone Corporation | Specification device, specification method, and specification program |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US20210194909A1 (en) * | 2018-05-03 | 2021-06-24 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
-
2018
- 2018-06-27 JP JP2018121953A patent/JP6984551B2/ja active Active
-
2019
- 2019-06-24 EP EP19827096.9A patent/EP3796196B1/en active Active
- 2019-06-24 CN CN201980042316.8A patent/CN112437920A/zh active Pending
- 2019-06-24 US US17/255,897 patent/US20210273964A1/en active Pending
- 2019-06-24 AU AU2019293409A patent/AU2019293409B2/en active Active
- 2019-06-24 WO PCT/JP2019/024928 patent/WO2020004315A1/ja unknown
-
2023
- 2023-07-14 US US18/222,340 patent/US20230362182A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015162032A (ja) * | 2014-02-27 | 2015-09-07 | 株式会社日立製作所 | 移動体の診断装置 |
| US20180007084A1 (en) * | 2016-06-29 | 2018-01-04 | Cisco Technology, Inc. | Automatic retraining of machine learning models to detect ddos attacks |
| US20180032903A1 (en) * | 2016-07-28 | 2018-02-01 | International Business Machines Corporation | Optimized re-training for analytic models |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7452849B2 (ja) | 2020-05-25 | 2024-03-19 | 日本電気通信システム株式会社 | 異常操作検出装置、異常操作検出方法、およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6984551B2 (ja) | 2021-12-22 |
| WO2020004315A1 (ja) | 2020-01-02 |
| AU2019293409B2 (en) | 2022-05-19 |
| EP3796196A1 (en) | 2021-03-24 |
| EP3796196A4 (en) | 2022-03-02 |
| CN112437920A (zh) | 2021-03-02 |
| US20210273964A1 (en) | 2021-09-02 |
| AU2019293409A1 (en) | 2021-01-21 |
| US20230362182A1 (en) | 2023-11-09 |
| EP3796196B1 (en) | 2023-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020004315A1 (ja) | 異常検知装置、および、異常検知方法 | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| CN110875847B (zh) | 网络基础设施的动态的、基于端点配置的部署 | |
| US20150019915A1 (en) | Systems and methods of analyzing a software component | |
| WO2016208159A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 | |
| JP2017072993A (ja) | ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム | |
| US20210157909A1 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| US10296746B2 (en) | Information processing device, filtering system, and filtering method | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| JP2016099857A (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| CN111737081B (zh) | 云服务器监控方法、装置、设备及存储介质 | |
| EP2942728B1 (en) | Systems and methods of analyzing a software component | |
| JP6683655B2 (ja) | 検知装置および検知方法 | |
| US20200342109A1 (en) | Baseboard management controller to convey data | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| JP2019028948A (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
| US20210042412A1 (en) | Information processing apparatus, control method, and program | |
| WO2021014592A1 (ja) | 異常検出装置、異常検出方法および異常検出プログラム | |
| JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| JP6760884B2 (ja) | 生成システム、生成方法及び生成プログラム | |
| US20180276064A1 (en) | Diagnosis device, diagnosis method, and non-volatile recording medium | |
| WO2023000819A1 (zh) | 设备查找方法、装置、系统和计算机可读介质 | |
| JPWO2007091305A1 (ja) | ワーム対策プログラム、ワーム対策装置、ワーム対策方法 | |
| CN114301657A (zh) | 一种账号登录的检测方法、装置、以及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200924 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211026 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6984551 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |