JP4668092B2 - 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム - Google Patents
学習能力評価装置、学習能力評価方法及び学習能力評価プログラム Download PDFInfo
- Publication number
- JP4668092B2 JP4668092B2 JP2006058237A JP2006058237A JP4668092B2 JP 4668092 B2 JP4668092 B2 JP 4668092B2 JP 2006058237 A JP2006058237 A JP 2006058237A JP 2006058237 A JP2006058237 A JP 2006058237A JP 4668092 B2 JP4668092 B2 JP 4668092B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- learning
- evaluation
- detection
- learning ability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、例えば、異常検知システムの学習能力を評価することにより、異常検知システムの検知精度の収束や学習時間、検知時間などを予め判定可能とすること目的とする。
上記ネットワークからデータを取得して記憶装置に記憶するデータ取得部と、上記データ取得部が取得したデータから上記異常検知システムの学習能力の評価項目に対する検知用データと学習用データとの組を評価用データとして抽出して記憶装置に記憶する評価用データ抽出部と、上記評価用データ抽出部が抽出した評価用データを上記異常検知システムへ通信装置によって送信する評価用データ送信部と、上記評価用データ送信部が評価用データを送信した場合に、上記異常検知システムにより検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得部と、上記検知結果情報取得部が取得した検知結果情報に基づいて上記評価項目を評価するためのパラメータを処理装置によって算出する分析用データ評価部とを備えることを特徴とする。
図1において、学習能力評価システム1000は、表示装置901A、キーボード902A、マウス903A、システムユニット909Aを備え、これらはケーブルや信号線で接続されている。また、学習能力評価システム1000は、表示装置901B、キーボード902B、マウス903B、システムユニット909Bなどのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
ここで、システムユニット909A、システムユニット909Bなどはコンピュータである。また、表示装置901A、キーボード902A、マウス903A、システムユニット909Aは異常検知システム200の一例である。さらに、表示装置901B、キーボード902B、マウス903B、システムユニット909Bは学習能力評価装置100の一例である。また、さらに、システムユニット909Aとシステムユニット909Bとは接続線などにより接続されている。
さらに、システムユニット909Aは、ケーブル、ローカルエリアネットワーク942(LAN)を介してサーバA916、サーバB917と接続される。また、システムユニット909Aは、LAN942、ゲートウェイ941を介してインターネット940に接続されている。
図2において、学習能力評価装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
図2に示す磁気ディスク装置920、図2に示すROM913、RAM914などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」の各項目として記憶されている。「〜ファイル」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
実施の形態1では、異常検知システム200の学習能力評価システム1000について説明する。ここで、異常検知システム200とは、不正アクセスの診断対象となるネットワークを流れるデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として不正なアクセスを検知するシステム又は装置である。学習能力評価システム1000は、異常検知システム200の学習能力を評価するシステム又は装置である。ここで、学習能力とは、例えば、学習データによって変動する達成できる最終的な異常検知率、最終的な誤検知率、異常検知率の収束の早さ、誤検知率の収束の早さ、学習時間、検知時間などである。また、学習能力の評価項目は追加することができる。
学習能力評価部101は、パケットキャプチャ部110(データ取得部)と、評価用データ抽出部120と、評価用データ送信部130と、ログ解析部140(検知結果情報取得部)と、分析用データ評価部150と、学習能力分析部160とを備える。
パケットキャプチャ部110は、パケット取得部111と、パケット保存部112とを備える。評価用データ抽出部120は、学習用データ抽出部121と、検知用データ抽出部122と、学習用データ保存部123と、検知用データ保存部124とを備える。評価用データ送信部130は、学習用データ送信部131と、検知用データ送信部132とを備える。ログ解析部140は、ログ受信部141と、分析用データ抽出部142と、分析用データ保存部143とを備える。分析用データ評価部150は、評価パラメータ計算部151と、評価パラメータ保存部152とを備える。学習能力分析部160は、分析部161を備える。
学習能力評価装置100は、ネットワークを介して診断対象となるネットワーク及び分析対象となる異常検知システム200に接続される。
ここで、(S102)と(S103)とは、評価用データ抽出処理である。
図7はネットワークを流れるデータセットから抽出される学習用データセット、検知用データセットを示している。上述した(S102)では、検知用データ抽出部122は、パケット保存部112が記憶したパケットの集合から検知用データセットを抽出する。ここでは、例えば、検知用データセットAが抽出されたとする。次に、(S103)では、検知用データセットAと組を成す学習用データセットを抽出する。ここでは、例えば、学習用データセット1が抽出されたとする。そして、(S104)では、抽出した検知用データセットと学習用データセットとの組である評価用データセットを記憶装置984に記憶する。つまり、ここでは、検知用データセットAと学習用データセット1との組が評価用データセットである。
そして、(S105)では、検知用データセットAと組を成す他の学習用データセットを評価に必要なだけ(S103)、(S104)を繰り返して抽出、記憶する。ここでは、例えば、学習用データセット2と学習用データセット3とが抽出されたとする。つまり、検知用データセットAと学習用データセット2との組の評価用データセットと、検知用データセットAと学習用データセット3との組の評価用データセットとが記憶装置984に記憶される。
さらに、(S106)では、評価項目に応じて、評価に必要なだけ(S102)から(S105)までを繰り返し、評価用データセットを抽出、記憶する。
ここで、(S110)と(S112)とは、評価データ送信処理である。
ここで、(S114)と(S115)とは、検知結果情報取得処理である。
つまり、評価用データ送信部130は、評価用データ抽出部120が抽出した複数の評価用データを評価用データ毎に送信する。
次に、実施の形態2について説明する。実施の形態2では、実施の形態1にかかる学習能力評価装置100の分析部161に新たに計測装置を加える。
Claims (6)
- ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する学習能力評価装置において、
上記ネットワークを流れるデータから検知用データと学習用データとを抽出して記憶装置に記憶する評価用データ抽出部と、
上記評価用データ抽出部が抽出した学習用データを所定の量づつ上記異常検知システムへ通信装置によって送信して、上記異常検知システムに学習させる学習用データの量を徐々に増やす学習用データ送信部と、
上記学習用データ送信部が上記学習用データを上記所定の量送信する度に、上記検知用データを上記異常検知システムへ通信装置によって送信する検知用データ送信部と、
上記検知用データ送信部が送信した検知用データに対して、上記異常検知システムにより異常が検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得部と、
上記検知結果情報取得部が取得した検知結果情報に基づいて、学習用データの量毎に上記異常検知システムの学習能力を評価をするためのパラメータを処理装置により算出する評価部と
を備えることを特徴とする学習能力評価装置。 - 上記評価用データ抽出部は、上記異常検知システムの学習能力の評価項目毎に、その評価項目に対する検知用データと学習用データとの組を抽出し、
上記学習用データ送信部は、所定の評価項目順に、各評価項目についての学習用データを送信し、
上記検知用データ送信部は、上記学習用データ送信部が学習用データを所定の量送信する度に、送信された学習用データと組をなす検知用データを送信し、
上記評価部は、どの評価項目の検知用データに対する検知結果情報であるかに応じたパラメータを、上記検知結果情報に基づいて計算して、学習量に対する上記異常検知システムの異常検知の評価をする
ことを特徴とする請求項1に記載の学習能力評価装置。 - 上記学習能力評価装置は、さらに、
上記評価部が計算した評価項目毎に計算されたパラメータの平均を評価値として算出する学習能力分析部
を備えることを特徴とする請求項2記載の学習能力評価装置。 - 上記評価部が計算した評価項目毎に計算されたパラメータの分散を上記評価値として算出する学習能力分析部
を備えることを特徴とする請求項2記載の学習能力評価装置。 - ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する
学習能力評価装置の学習能力評価方法において、
上記ネットワークを流れるデータから検知用データと学習用データとを抽出して記憶装置に記憶する評価用データ抽出工程と、
上記評価用データ抽出工程で抽出した学習用データを所定の量づつ上記異常検知システムへ通信装置によって送信して、上記異常検知システムに学習させる学習用データの量を徐々に増やす学習用データ送信工程と、
上記学習用データ送信工程で上記学習用データを上記所定の量送信する度に、上記検知用データを上記異常検知システムへ通信装置によって送信する検知用データ送信工程と、
上記検知用データ送信工程で送信した検知用データに対して、上記異常検知システムにより異常が検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得工程と、
上記検知結果情報取得工程で取得した検知結果情報に基づいて、学習用データの量毎に上記異常検知システムの学習能力を評価をするためのパラメータを処理装置により算出する評価工程と
を備えることを特徴とする学習能力評価方法。 - ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する学習能力評価装置の学習能力評価プログラムにおいて、
上記ネットワークを流れるデータから検知用データと学習用データとを抽出して記憶装置に記憶する評価用データ抽出処理と、
上記評価用データ抽出処理で抽出した学習用データを所定の量づつ上記異常検知システムへ通信装置によって送信して、上記異常検知システムに学習させる学習用データの量を徐々に増やす学習用データ送信処理と、
上記学習用データ送信処理で上記学習用データを上記所定の量送信する度に、上記検知用データを上記異常検知システムへ通信装置によって送信する検知用データ送信処理と、
上記検知用データ送信処理で送信した検知用データに対して、上記異常検知システムにより異常が検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得処理と、
上記検知結果情報取得処理で取得した検知結果情報に基づいて、学習用データの量毎に上記異常検知システムの学習能力を評価をするためのパラメータを処理装置により算出する評価処理と
をコンピュータに実行させることを特徴とする学習能力評価プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006058237A JP4668092B2 (ja) | 2006-03-03 | 2006-03-03 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006058237A JP4668092B2 (ja) | 2006-03-03 | 2006-03-03 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007235879A JP2007235879A (ja) | 2007-09-13 |
JP4668092B2 true JP4668092B2 (ja) | 2011-04-13 |
Family
ID=38555957
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006058237A Expired - Fee Related JP4668092B2 (ja) | 2006-03-03 | 2006-03-03 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4668092B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6067195B2 (ja) | 2014-09-08 | 2017-01-25 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP6767434B2 (ja) * | 2018-06-20 | 2020-10-14 | 日本電信電話株式会社 | 評価装置及び評価方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005234849A (ja) * | 2004-02-19 | 2005-09-02 | Mitsubishi Electric Corp | 監視装置及び監視方法及びプログラム |
JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
-
2006
- 2006-03-03 JP JP2006058237A patent/JP4668092B2/ja not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005234849A (ja) * | 2004-02-19 | 2005-09-02 | Mitsubishi Electric Corp | 監視装置及び監視方法及びプログラム |
JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2007235879A (ja) | 2007-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107302547B (zh) | 一种web业务异常检测方法及装置 | |
US11775826B2 (en) | Artificial intelligence with cyber security | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
US20170126704A1 (en) | Method And Devices For Non-Intrusive Malware Detection For The Internet Of Things (IOT) | |
CN103905450B (zh) | 智能电网嵌入式设备网络检测评估系统与检测评估方法 | |
CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
CN109858254A (zh) | 基于日志分析的物联网平台攻击检测系统及方法 | |
Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
US11575688B2 (en) | Method of malware characterization and prediction | |
JP5865486B2 (ja) | 利用者体感品質推定装置、端末ボトルネック判定装置、類似操作抽出装置、及び方法、並びにプログラム | |
JP2008176753A (ja) | データ類似性検査方法及び装置 | |
WO2014132611A1 (ja) | システム分析装置、及び、システム分析方法 | |
JP6749956B2 (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
CN114944957B (zh) | 一种异常数据检测方法、装置、计算机设备及存储介质 | |
WO2008088121A1 (en) | Apparatus and method for detecting program plagiarism through memory access log analysis | |
Almotairi et al. | A technique for detecting new attacks in low-interaction honeypot traffic | |
CN114168374A (zh) | 基于集成异常检测器与根因分析结合的异常数据定位方法 | |
JP2007243459A (ja) | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム | |
JP4668092B2 (ja) | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム | |
JP4559974B2 (ja) | 管理装置及び管理方法及びプログラム | |
CN116800504A (zh) | 一种终端物理指纹提取及非法接入动态认证方法和装置 | |
CN111800427A (zh) | 一种物联网设备评估方法、装置及系统 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080820 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100730 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100817 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101007 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110111 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110112 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140121 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |