JP4484643B2 - 時系列データ異常判定用プログラム及び時系列データ異常判別方法 - Google Patents
時系列データ異常判定用プログラム及び時系列データ異常判別方法 Download PDFInfo
- Publication number
- JP4484643B2 JP4484643B2 JP2004264758A JP2004264758A JP4484643B2 JP 4484643 B2 JP4484643 B2 JP 4484643B2 JP 2004264758 A JP2004264758 A JP 2004264758A JP 2004264758 A JP2004264758 A JP 2004264758A JP 4484643 B2 JP4484643 B2 JP 4484643B2
- Authority
- JP
- Japan
- Prior art keywords
- series data
- occurrence
- data
- test
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 55
- 230000005856 abnormality Effects 0.000 title claims description 27
- 239000011159 matrix material Substances 0.000 claims description 169
- 238000012360 testing method Methods 0.000 claims description 83
- 239000013598 vector Substances 0.000 claims description 73
- 238000000605 extraction Methods 0.000 claims description 29
- 238000013075 data extraction Methods 0.000 claims description 26
- 238000006243 chemical reaction Methods 0.000 claims description 23
- 230000009466 transformation Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 35
- 230000002159 abnormal effect Effects 0.000 description 12
- 238000000513 principal component analysis Methods 0.000 description 11
- 230000006399 behavior Effects 0.000 description 7
- 230000001364 causal effect Effects 0.000 description 6
- 238000002474 experimental method Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000012567 pattern recognition method Methods 0.000 description 4
- 230000006835 compression Effects 0.000 description 3
- 238000007906 compression Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012850 discrimination method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012847 principal component analysis method Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- BKCJZNIZRWYHBN-UHFFFAOYSA-N Isophosphamide mustard Chemical compound ClCCNP(=O)(O)NCCCl BKCJZNIZRWYHBN-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
Ye,X.Li,Q.Chen,S.M.Emran,及びM.Xu著の「Probablistic Techniques for Intrusion Detection Based on Computer Audit Data」IEEE Transactions of Systems Man and Cybernetics,Vol.31,pp.266−274, 2001 S.A.Hofmeyr,S.Forrest及びA.Somayaji著の「Intrusion Detection using Sequences of System Calls」Journal of Computer Security,vol.6,pp.151−180,1998 W.Lee及びS.J.Stolfo著の「A framework for constructing features and models for intrusion detection systems」,Information and System Security,vol.3,pp.227−261,2000 N.Habra,B.L.Charlier,A.Mounji及びI.Mathieu著の「ASAX:Software Architecture and Rule−BasedL anguage for Universal Audit Trail Analysis」In Proc.of European Symposiumon Researchin Computer Secu−rity(ESORICS),pp.435−450,1992 R.Sekar,M.Bendre及びP.Bollineni著の「A Fast Automaton Based Method for DetectingAnomalous Program Behaviors」In Proceedings of the 2001 IEEE Symposium on Security and Privacy,pp.144−155,Oakland,May2001. W.DuMouchel著の「Computer Intrusion Detection Based on Bayes Factors for Comparing Command Transition Probabilities」Technical Report TR91,National Institute of Statistical Sciences(NISS),1999. R.A.Maxion 及びT.N.Townsend.著の「Masquerade Detection Using Truncated CommandLines」In Prof.of the International Conferenceon Dependable Systems and Networks(DSN−02),pp.219−228,2002. A.K.Ghosh ,A.Schwartzbard,及びM.Schatz著の「A study in using neural networks foranomaly and misuse detection」In Proc.of USENIX Security Symposium,pp.141−151,1999. J.S.Tan,K.M.C.及びR.A.Maxion.MarkovChains著の「Classifiers and Intrusion Detection.In Proc.of 14th IEEE Computer Security Foundations Workshop,pp.206−219,2001 C.Warrender,S.Forresto及びB.A.Pearlmutter著の「Detecting Intrusions using System Calls :Alternative Data Models」In IEEE Symposium on Security and Privacy,pp.133−145,1999. 2004年3月1日に日本ソフトウエア学会主催の「第7回プログラミング及び応用のシステムに関するワークショップ」で配布された、岡瑞起、大山恵弘及び加藤和彦著の「Eigen Co−occurrence Matrix Method for Masquerade Detection」の論文
Claims (5)
- 複数種類のイベントを含んで構成される時系列データが所定の1以上のカテゴリに属するものであるか否かを判定することにより前記時系列データが正常であるか否かを判断するために、
予め学習用の複数の時系列データをそれぞれ予め定めたデータ長のウィンドウで切り出して複数のウィンドウ・データを取り出すウィンドウ・データ取出ステップと、
前記ウィンドウ・データから前記データ長よりも短いデータ長を有する複数のスコープ・データを時間的なずれを持って順次抽出するスコープ・データ抽出ステップと、
前記複数のウィンドウ・データを複数の前記スコープ・データに基づいて前記ウィンドウ・データに含まれる前記複数種類のイベント相互間の時系列で見た関連性の強さを示す複数の共起行列に変換する共起行列変換ステップと、
前記複数の共起行列を入力として統計的特徴抽出方法により特徴ベクトルを求めるための基礎となる固有共起行列群を決定する固有共起行列群決定ステップと、
前記1以上のカテゴリを含む1以上のプロファイル学習用時系列データに対して前記ウィンドウ・データ取出ステップ、前記スコープ・データ抽出ステップ及び前記共起行列変換ステップと同様のステップをそれぞれ実施して、前記1以上のプロファイル学習用時系列データを1以上のプロファイル用共起行列に変換するプロファイル用共起行列変換ステップと、
前記1以上のプロファイル用共起行列と前記固有共起行列群とに基づいて前記1以上のプロファイル学習用時系列データについての1以上の判定用特徴ベクトルを抽出する判定用特徴ベクトル抽出ステップと、
テストの対象となるテスト時系列データに対して前記ウィンドウ・データ取出ステップ、前記スコープ・データ抽出ステップ及び前記共起行列変換ステップと同様のステップを実施して、前記テスト時系列データをテスト用共起行列に変換するテスト用共起行列変換ステップと、
前記テスト用共起行列と前記固有共起行列群とに基づいて前記テスト用時系列データについてのテスト用特徴ベクトルを抽出するテスト用特徴ベクトル抽出ステップと、
前記判定用特徴ベクトルの要素と前記固有共起行列群を構成する複数の固有共起行列との掛け算に基づいて、前記複数の固有共起行列の次元を小さくした複数の判定用近似共起行列を取得する判定用近似共起行列取得ステップと、
前記複数の判定用近似共起行列からイベント抽出を行って判定用多層ネットワークモデルを生成する判定用多層ネットワークモデル生成ステップと、
前記テスト用特徴ベクトルの要素と前記固有共起行列群を構成する複数の固有共起行列とを掛け算することにより、前記複数の固有共起行列の次元を小さくした複数のテスト用近似共起行列を取得するテスト用近似共起行列取得ステップと、
前記複数のテスト用近似共起行列からイベント抽出を行ってテスト用多層ネットワークモデルを生成するテスト用多層ネットワークモデル生成ステップと、
前記判定用多層ネットワークモデルと前記テスト用多層ネットワークモデルとに基づいて、前記テスト時系列データが前記1以上のカテゴリに属するか否かを判定する判定ステップとをコンピュータに実行させて前記時系列データの異常を判別するための時系列データ異常判定用プログラム。 - 前記判定ステップでは、前記判定用多層ネットワークモデルと前記テスト用多層ネットワークモデルとの類似度に基づいて前記テスト時系列データが前記1以上のカテゴリに属するか否かを判定することを特徴とする請求項1に記載の時系列データ異常判定用プログラム。
- 前記判定ステップでは、前記類似度が予め定めた閾値より大きいか否かにより、前記テスト時系列データが前記1以上のカテゴリに属するか否かを判定することを特徴とする請求項2に記載の時系列データ異常判定用プログラム。
- 前記判定用多層ネットワークモデル及び前記テスト用多層ネットワークモデルは、それぞれ共起性が正の値から構成されるネットワークモデルと、共起性が負の値から構成されるネットワークモデルとからなり、
前記判定ステップでは、前記共起性が正の値から構成されるネットワークモデルと、前記共起性が負の値から構成されるネットワークモデルの少なくとも一方を用いて、前記類似度を求めることを特徴とする請求項2または3に記載の時系列データ異常判定用プログラム。 - 請求項1乃至4のいずれか1項に記載の時系列データ異常判定用プログラムを実行するコンピュータを用いて、コンピュータシステムに入力される時系列データの異常を判別することを特徴とする時系列データ異常判別方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004264758A JP4484643B2 (ja) | 2004-09-10 | 2004-09-10 | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 |
US11/179,838 US7698740B2 (en) | 2004-09-10 | 2005-07-12 | Sequential data examination method using Eigen co-occurrence matrix for masquerade detection |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004264758A JP4484643B2 (ja) | 2004-09-10 | 2004-09-10 | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006079479A JP2006079479A (ja) | 2006-03-23 |
JP4484643B2 true JP4484643B2 (ja) | 2010-06-16 |
Family
ID=36100611
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004264758A Expired - Fee Related JP4484643B2 (ja) | 2004-09-10 | 2004-09-10 | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7698740B2 (ja) |
JP (1) | JP4484643B2 (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7813917B2 (en) * | 2004-06-22 | 2010-10-12 | Gary Stephen Shuster | Candidate matching using algorithmic analysis of candidate-authored narrative information |
US7324918B1 (en) * | 2005-12-30 | 2008-01-29 | At&T Corp | Forecasting outcomes based on analysis of text strings |
US7493233B1 (en) * | 2005-12-30 | 2009-02-17 | At&T Intellectual Property Ii, L.P. | Forecasting a volume associated with an outcome based on analysis of text strings |
JP5004743B2 (ja) * | 2007-10-10 | 2012-08-22 | 東芝情報システム株式会社 | データ処理装置 |
DE102009044173A1 (de) * | 2009-10-02 | 2011-04-07 | Psylock Gmbh | Kreuzweiser Abgleich von Tippverhaltensdaten zur Authentifizierung und/oder Identifizierung einer Person |
JP5656161B2 (ja) * | 2010-02-25 | 2015-01-21 | 学校法人慶應義塾 | 相関性評価方法、相関性評価装置、動作再現装置 |
US20120209575A1 (en) * | 2011-02-11 | 2012-08-16 | Ford Global Technologies, Llc | Method and System for Model Validation for Dynamic Systems Using Bayesian Principal Component Analysis |
US9652616B1 (en) * | 2011-03-14 | 2017-05-16 | Symantec Corporation | Techniques for classifying non-process threats |
US8776250B2 (en) * | 2011-07-08 | 2014-07-08 | Research Foundation Of The City University Of New York | Method of comparing private data without revealing the data |
US8145913B1 (en) * | 2011-08-30 | 2012-03-27 | Kaspersky Lab Zao | System and method for password protection |
JP5928165B2 (ja) * | 2012-06-01 | 2016-06-01 | 富士通株式会社 | 異常遷移パターン検出方法、プログラム及び装置 |
WO2014068758A1 (ja) * | 2012-11-01 | 2014-05-08 | 株式会社日立製作所 | 情報提示装置および情報提示方法 |
KR101756287B1 (ko) * | 2013-07-03 | 2017-07-26 | 한국전자통신연구원 | 음성인식을 위한 특징 추출 장치 및 방법 |
CN106462583B (zh) | 2014-03-10 | 2020-03-24 | 因特拉纳公司 | 用于快速数据分析的系统和方法 |
US10296507B2 (en) * | 2015-02-12 | 2019-05-21 | Interana, Inc. | Methods for enhancing rapid data analysis |
US9794158B2 (en) * | 2015-09-08 | 2017-10-17 | Uber Technologies, Inc. | System event analyzer and outlier visualization |
US10284453B2 (en) | 2015-09-08 | 2019-05-07 | Uber Technologies, Inc. | System event analyzer and outlier visualization |
TWI615730B (zh) * | 2015-11-20 | 2018-02-21 | 財團法人資訊工業策進會 | 以應用層日誌分析為基礎的資安管理系統及其方法 |
US10146835B2 (en) | 2016-08-23 | 2018-12-04 | Interana, Inc. | Methods for stratified sampling-based query execution |
US10423387B2 (en) | 2016-08-23 | 2019-09-24 | Interana, Inc. | Methods for highly efficient data sharding |
JP6643211B2 (ja) * | 2016-09-14 | 2020-02-12 | 株式会社日立製作所 | 異常検知システム及び異常検知方法 |
US10785237B2 (en) * | 2018-01-19 | 2020-09-22 | General Electric Company | Learning method and system for separating independent and dependent attacks |
US11595434B2 (en) | 2019-05-30 | 2023-02-28 | Morgan State University | Method and system for intrusion detection |
CN111242312B (zh) * | 2020-01-06 | 2021-08-17 | 支付宝(杭州)信息技术有限公司 | 事件序列数据的处理方法、装置、电子设备 |
US11676071B2 (en) * | 2020-06-30 | 2023-06-13 | Oracle International Corporation | Identifying and ranking anomalous measurements to identify faulty data sources in a multi-source environment |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5651077A (en) * | 1993-12-21 | 1997-07-22 | Hewlett-Packard Company | Automatic threshold determination for a digital scanner |
JPH08251403A (ja) | 1995-03-13 | 1996-09-27 | Minolta Co Ltd | 画像領域属性判別装置 |
JP3718967B2 (ja) | 1997-08-22 | 2005-11-24 | コニカミノルタビジネステクノロジーズ株式会社 | 画像特徴量抽出装置および方法並びに画像特徴量抽出プログラムを記録した記録媒体 |
JP2001338264A (ja) | 2000-05-25 | 2001-12-07 | Ricoh Co Ltd | 文字認識パターン辞書作成装置、文字認識パターン辞書作成方法および記録媒体 |
JP3573688B2 (ja) | 2000-06-28 | 2004-10-06 | 松下電器産業株式会社 | 類似文書検索装置及び関連キーワード抽出装置 |
US6438493B1 (en) * | 2000-09-29 | 2002-08-20 | Exxonmobil Upstream Research Co. | Method for seismic facies interpretation using textural analysis and neural networks |
US6560540B2 (en) * | 2000-09-29 | 2003-05-06 | Exxonmobil Upstream Research Company | Method for mapping seismic attributes using neural networks |
JP2002323371A (ja) | 2001-04-27 | 2002-11-08 | Toshiba Corp | 音響診断装置及び音響診断方法 |
US6886010B2 (en) * | 2002-09-30 | 2005-04-26 | The United States Of America As Represented By The Secretary Of The Navy | Method for data and text mining and literature-based discovery |
US7373612B2 (en) * | 2002-10-21 | 2008-05-13 | Battelle Memorial Institute | Multidimensional structured data visualization method and apparatus, text visualization method and apparatus, method and apparatus for visualizing and graphically navigating the world wide web, method and apparatus for visualizing hierarchies |
JP2004164036A (ja) | 2002-11-08 | 2004-06-10 | Hewlett Packard Co <Hp> | 文書の共通性評価方法 |
-
2004
- 2004-09-10 JP JP2004264758A patent/JP4484643B2/ja not_active Expired - Fee Related
-
2005
- 2005-07-12 US US11/179,838 patent/US7698740B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US7698740B2 (en) | 2010-04-13 |
US20060069955A1 (en) | 2006-03-30 |
JP2006079479A (ja) | 2006-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4484643B2 (ja) | 時系列データ異常判定用プログラム及び時系列データ異常判別方法 | |
Wang et al. | Identifying intrusions in computer networks with principal component analysis | |
Wang et al. | Processing of massive audit data streams for real-time anomaly intrusion detection | |
CN111652290B (zh) | 一种对抗样本的检测方法及装置 | |
Marasco et al. | Combining match scores with liveness values in a fingerprint verification system | |
Devaraju et al. | Performance analysis of intrusion detection system using various neural network classifiers | |
Biggio et al. | Design of robust classifiers for adversarial environments | |
Gupta | An effective model for anomaly IDS to improve the efficiency | |
CN115643035A (zh) | 基于多源日志的网络安全态势评估方法 | |
Al Solami et al. | Continuous biometric authentication: Can it be more practical? | |
Guowei et al. | Research on network intrusion detection method of power system based on random forest algorithm | |
Ulvila et al. | A decision analysis method for evaluating computer intrusion detection systems | |
CN115277189B (zh) | 基于生成式对抗网络的无监督式入侵流量检测识别方法 | |
Mechtri et al. | Intrusion detection using principal component analysis | |
CN116957049A (zh) | 基于对抗自编码器的无监督内部威胁检测方法 | |
CN116827656A (zh) | 网络信息安全防护系统及其方法 | |
Abdulrahaman et al. | Ensemble learning approach for the enhancement of performance of intrusion detection system | |
CN110808995B (zh) | 安全防护方法和装置 | |
Do Xuan et al. | Optimization of network traffic anomaly detection using machine learning. | |
CN117176433A (zh) | 网络数据的异常行为检测系统及方法 | |
CN117992953A (zh) | 基于操作行为跟踪的异常用户行为识别方法 | |
Ahmed et al. | Digital fingerprinting based on keystroke dynamics. | |
JP4476078B2 (ja) | 時系列データ判定用プログラム | |
Subbulakshmi et al. | Multiple learning based classifiers using layered approach and Feature Selection for attack detection | |
WS et al. | Machine learning based intrusion detection framework using recursive feature elimination method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070116 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070319 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070730 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070904 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070928 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100222 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100323 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130402 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |