JP4668092B2 - 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム - Google Patents
学習能力評価装置、学習能力評価方法及び学習能力評価プログラム Download PDFInfo
- Publication number
- JP4668092B2 JP4668092B2 JP2006058237A JP2006058237A JP4668092B2 JP 4668092 B2 JP4668092 B2 JP 4668092B2 JP 2006058237 A JP2006058237 A JP 2006058237A JP 2006058237 A JP2006058237 A JP 2006058237A JP 4668092 B2 JP4668092 B2 JP 4668092B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- learning
- evaluation
- detection
- learning ability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、異常検知システムの学習能力を評価する技術に関するものである。
インターネットを利用した不正アクセスによる情報漏洩や改ざん、ウイルス攻撃がある。不正アクセスの対策として侵入検知システム(IDS,Intrusion Detection System)がある。IDSという技術は不正検知と異常検知という二つの手法に分類される。
不正検知の手法は既知の不正アクセスの攻撃パターンを予めシグネチャとして登録しておく必要がある。不正検知の手法は診断対象なるネットワークを流れるパケットを収集し、登録されたシグネチャとのパターンマッチングにより攻撃の有無を判断する。そのため、既知の攻撃には有効であるが、未知の攻撃に対しては効果がない。
一方、異常検知の手法は診断対象であるネットワークの通常のアクセス状況を学習する。そして、異常検知の手法は通常のアクセス状況と大きく異なるアクセスを異常、すなわち攻撃であると判断する。そのため、未知の攻撃に対しても検知が可能である。
また、異常検知の手法を用いた異常検知システムは異常検知率や誤検知率といった検知精度に関して評価される(非特許文献1)。
特開2004−312083号公報
C.Kruegel著「Anomaly Detection of web−based attacks」In Proceedings of 10th ACM Conference on Computer and Communication Security(CCS03)、2003年10月
異常検知システムの異常検知率や誤検知率といった検知精度に関する評価を行う装置はない。また、複数の学習データを与えた場合における検知精度や、検知精度の収束の早さの変化に関して異常検知システムを評価できない。そのため、異常検知システムは最終的な検知精度は高くても検知精度の収束や学習、そして検知に時間がかかってしまう可能性があるという課題がある。
本発明は、例えば、異常検知システムの学習能力を評価することにより、異常検知システムの検知精度の収束や学習時間、検知時間などを予め判定可能とすること目的とする。
本発明は、例えば、異常検知システムの学習能力を評価することにより、異常検知システムの検知精度の収束や学習時間、検知時間などを予め判定可能とすること目的とする。
本発明にかかる学習能力評価装置は、例えば、ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する学習能力評価装置において、
上記ネットワークからデータを取得して記憶装置に記憶するデータ取得部と、上記データ取得部が取得したデータから上記異常検知システムの学習能力の評価項目に対する検知用データと学習用データとの組を評価用データとして抽出して記憶装置に記憶する評価用データ抽出部と、上記評価用データ抽出部が抽出した評価用データを上記異常検知システムへ通信装置によって送信する評価用データ送信部と、上記評価用データ送信部が評価用データを送信した場合に、上記異常検知システムにより検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得部と、上記検知結果情報取得部が取得した検知結果情報に基づいて上記評価項目を評価するためのパラメータを処理装置によって算出する分析用データ評価部とを備えることを特徴とする。
上記ネットワークからデータを取得して記憶装置に記憶するデータ取得部と、上記データ取得部が取得したデータから上記異常検知システムの学習能力の評価項目に対する検知用データと学習用データとの組を評価用データとして抽出して記憶装置に記憶する評価用データ抽出部と、上記評価用データ抽出部が抽出した評価用データを上記異常検知システムへ通信装置によって送信する評価用データ送信部と、上記評価用データ送信部が評価用データを送信した場合に、上記異常検知システムにより検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得部と、上記検知結果情報取得部が取得した検知結果情報に基づいて上記評価項目を評価するためのパラメータを処理装置によって算出する分析用データ評価部とを備えることを特徴とする。
本発明にかかる学習能力評価装置によれば、分析用データ評価部が異常検知システムの学習に関する分析を行い数値化するため、異常検知システムの学習能力を評価することができる。
以下、図に基づいて本発明の実施の形態について説明する。
まず、図1、図2に基づき、実施の形態における学習能力評価装置100のハードウェア構成について説明する。
図1は、実施の形態における学習能力評価装置100を有する学習能力評価システム1000の外観の一例を示す図である。
図1において、学習能力評価システム1000は、表示装置901A、キーボード902A、マウス903A、システムユニット909Aを備え、これらはケーブルや信号線で接続されている。また、学習能力評価システム1000は、表示装置901B、キーボード902B、マウス903B、システムユニット909Bなどのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
ここで、システムユニット909A、システムユニット909Bなどはコンピュータである。また、表示装置901A、キーボード902A、マウス903A、システムユニット909Aは異常検知システム200の一例である。さらに、表示装置901B、キーボード902B、マウス903B、システムユニット909Bは学習能力評価装置100の一例である。また、さらに、システムユニット909Aとシステムユニット909Bとは接続線などにより接続されている。
さらに、システムユニット909Aは、ケーブル、ローカルエリアネットワーク942(LAN)を介してサーバA916、サーバB917と接続される。また、システムユニット909Aは、LAN942、ゲートウェイ941を介してインターネット940に接続されている。
図1において、学習能力評価システム1000は、表示装置901A、キーボード902A、マウス903A、システムユニット909Aを備え、これらはケーブルや信号線で接続されている。また、学習能力評価システム1000は、表示装置901B、キーボード902B、マウス903B、システムユニット909Bなどのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
ここで、システムユニット909A、システムユニット909Bなどはコンピュータである。また、表示装置901A、キーボード902A、マウス903A、システムユニット909Aは異常検知システム200の一例である。さらに、表示装置901B、キーボード902B、マウス903B、システムユニット909Bは学習能力評価装置100の一例である。また、さらに、システムユニット909Aとシステムユニット909Bとは接続線などにより接続されている。
さらに、システムユニット909Aは、ケーブル、ローカルエリアネットワーク942(LAN)を介してサーバA916、サーバB917と接続される。また、システムユニット909Aは、LAN942、ゲートウェイ941を介してインターネット940に接続されている。
図2は、実施の形態における学習能力評価装置100のハードウェア資源の一例を示す図である。
図2において、学習能力評価装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
図2において、学習能力評価装置100は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、LAN942等に接続されている。通信ボード915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。
図2に示す磁気ディスク装置920、図2に示すROM913、RAM914などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
図2に示す磁気ディスク装置920、図2に示すROM913、RAM914などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「学習能力評価部101」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」の各項目として記憶されている。「〜ファイル」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」の各項目として記憶されている。「〜ファイル」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
実施の形態1.
実施の形態1では、異常検知システム200の学習能力評価システム1000について説明する。ここで、異常検知システム200とは、不正アクセスの診断対象となるネットワークを流れるデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として不正なアクセスを検知するシステム又は装置である。学習能力評価システム1000は、異常検知システム200の学習能力を評価するシステム又は装置である。ここで、学習能力とは、例えば、学習データによって変動する達成できる最終的な異常検知率、最終的な誤検知率、異常検知率の収束の早さ、誤検知率の収束の早さ、学習時間、検知時間などである。また、学習能力の評価項目は追加することができる。
実施の形態1では、異常検知システム200の学習能力評価システム1000について説明する。ここで、異常検知システム200とは、不正アクセスの診断対象となるネットワークを流れるデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として不正なアクセスを検知するシステム又は装置である。学習能力評価システム1000は、異常検知システム200の学習能力を評価するシステム又は装置である。ここで、学習能力とは、例えば、学習データによって変動する達成できる最終的な異常検知率、最終的な誤検知率、異常検知率の収束の早さ、誤検知率の収束の早さ、学習時間、検知時間などである。また、学習能力の評価項目は追加することができる。
図3は、実施の形態1にかかる学習能力評価システム1000の構成を示す図である。学習能力評価システム1000は、学習能力評価装置100を備える。学習能力評価装置100は、異常検知システム200と通信し、異常検知システム200を自動的に評価する。学習能力評価装置100は、異常検知の診断対象となるネットワークを流れるデータを取得(キャプチャ)する。ここで、データとは、例えば、1つのアクセス分のパケットの集合を指す。次に、学習能力評価装置100は、キャプチャしたパケットを利用して評価項目に応じた複数パターンの学習用データセットと検知用データセットとの組を抽出する。ここで、学習用データセットと検知用データセットの組を評価用データセットという。また、データセットとは、データの集合である。また、学習用データとは、異常検知システム200にネットワークの通常状態を学習させるデータである。検知用データとは、学習用データセットにより異常検知システム200に学習を行った後、実際に検知を行わせるためのデータである。そして、学習能力評価装置100は、評価対象となる異常検知システム200へまず学習用データを送信し、次に検知用データを送信する。そして、学習能力評価装置100は、異常検知システム200からその検知結果情報を例えばログとして受信する。次に、学習能力評価装置100は、ログから学習能力の分析に必要な情報を抽出して評価する。
図4は、実施の形態1にかかる学習能力評価装置100の機能を示す機能ブロック図である。実施の形態1にかかる学習能力評価装置100は、学習能力評価部101と、処理装置980と、記憶装置984と、通信装置988とを備える。学習能力評価部101は、例えば、ソフトウェア、プログラムなどであっても構わない。この場合、学習能力評価部101は、例えば、記憶装置984に記憶され、処理装置980によって処理されるものである。
学習能力評価部101は、パケットキャプチャ部110(データ取得部)と、評価用データ抽出部120と、評価用データ送信部130と、ログ解析部140(検知結果情報取得部)と、分析用データ評価部150と、学習能力分析部160とを備える。
パケットキャプチャ部110は、パケット取得部111と、パケット保存部112とを備える。評価用データ抽出部120は、学習用データ抽出部121と、検知用データ抽出部122と、学習用データ保存部123と、検知用データ保存部124とを備える。評価用データ送信部130は、学習用データ送信部131と、検知用データ送信部132とを備える。ログ解析部140は、ログ受信部141と、分析用データ抽出部142と、分析用データ保存部143とを備える。分析用データ評価部150は、評価パラメータ計算部151と、評価パラメータ保存部152とを備える。学習能力分析部160は、分析部161を備える。
学習能力評価装置100は、ネットワークを介して診断対象となるネットワーク及び分析対象となる異常検知システム200に接続される。
学習能力評価部101は、パケットキャプチャ部110(データ取得部)と、評価用データ抽出部120と、評価用データ送信部130と、ログ解析部140(検知結果情報取得部)と、分析用データ評価部150と、学習能力分析部160とを備える。
パケットキャプチャ部110は、パケット取得部111と、パケット保存部112とを備える。評価用データ抽出部120は、学習用データ抽出部121と、検知用データ抽出部122と、学習用データ保存部123と、検知用データ保存部124とを備える。評価用データ送信部130は、学習用データ送信部131と、検知用データ送信部132とを備える。ログ解析部140は、ログ受信部141と、分析用データ抽出部142と、分析用データ保存部143とを備える。分析用データ評価部150は、評価パラメータ計算部151と、評価パラメータ保存部152とを備える。学習能力分析部160は、分析部161を備える。
学習能力評価装置100は、ネットワークを介して診断対象となるネットワーク及び分析対象となる異常検知システム200に接続される。
次に、図5と図6とを用いて実施の形態1にかかる学習能力評価システム1000の動作を説明する。図5と図6とは実施の形態1にかかる学習能力評価システム1000の動作である学習能力評価処理を示すフローチャートである。学習能力評価処理は、学習能力評価方法及び学習能力評価プログラムの処理内容を示すものである。
まず、データ取得処理(S101)では、パケット取得部111は、不正検知の診断対象となるネットワークからパケットを取得する。そして、パケット保存部112は、取得したパケットを記憶装置984に記憶する。
次に、検知用データ抽出処理(S102)では、検知用データ抽出部122は、パケット保存部112が記憶したパケットを取得し、取得したパケットが成すデータセットから検知用データセットを抽出する。検知用データ抽出部122は、データの抽出方法として、すべてランダムにデータを抽出するランダム抽出部や、ランダムに選択したデータから連続してデータを抽出する連続抽出部などを備える。データの抽出方法はこれに限られず、評価項目に応じたデータ抽出を選択可能である。検知用データ抽出部122は、検知用データセットを抽出すると、取得したパケットすべて、又は取得したパケットから検知用データセットを抽出した残りのパケットを学習用データ抽出部121へ渡す。
次に、学習用データ抽出処理(S103)では、学習用データ抽出部121は、検知用データ抽出部122から受け取ったパケットが成すデータセットから学習用データセットを抽出する。学習用データ抽出部121は、検知用データ抽出部122と同様に、データの抽出方法として、すべてランダムにデータを抽出するランダム抽出部や、ランダムに選択したデータから連続してデータを抽出する連続抽出部などを備える。また、データの抽出方法はこれに限られず、評価項目に応じたデータ抽出を選択可能である。
ここで、(S102)と(S103)とは、評価用データ抽出処理である。
ここで、(S102)と(S103)とは、評価用データ抽出処理である。
次に、評価用データ記憶処理(S104)では、検知用データ保存部124は、(S102)で検知用データ抽出部122が抽出した検知用データセットを記憶装置984に記憶する。また、学習用データ保存部123は、(S103)で学習用データ抽出部121が抽出した学習用データセットを記憶装置984に記憶する。
次に、学習用データ抽出確認処理(S105)では、評価用データ抽出部120は、学習用データセットが評価に必要な分だけ抽出できているか否かを判定する。学習用データセットが評価に必要な分だけ抽出できていると評価用データ抽出部120が判定した場合(S105でYES)、(S106)へ進む。一方、学習用データセットが評価に必要な分だけ抽出できていないと、評価用データ抽出部120が判定した場合(S105でNO)、評価用データ抽出部120は、再度(S103)、(S104)を実行し、学習用データセットの抽出、保存を行う。
次に、検知用データ抽出確認処理(S106)では、評価用データ抽出部120は、検知用データセットが評価に必要な分だけ抽出できているか否かを判定する。検知用データセットが評価に必要な分だけ抽出できていると評価用データ抽出部120が判定した場合(S106でYES)、(S107)へ進む。一方、検知用データセットが評価に必要な分だけ抽出できていないと評価用データ抽出部120が判定した場合(S106でNO)、評価用データ抽出部120は、再度(S102)から(S105)までを実行し、検知用データセットと学習用データセットとの抽出、保存を行う。
(S105)、(S106)で、評価用データ抽出部120が学習用データセットと検知用データセットとが異常検知システム200の評価に必要な分だけ抽出、保存できたと判定した場合、異常検知システム200の評価に移る。また、図5の1、2と図6の1、2とはそれぞれ対応している。
ここで、(S102)から(S106)までの処理の一例について説明する。
図7はネットワークを流れるデータセットから抽出される学習用データセット、検知用データセットを示している。上述した(S102)では、検知用データ抽出部122は、パケット保存部112が記憶したパケットの集合から検知用データセットを抽出する。ここでは、例えば、検知用データセットAが抽出されたとする。次に、(S103)では、検知用データセットAと組を成す学習用データセットを抽出する。ここでは、例えば、学習用データセット1が抽出されたとする。そして、(S104)では、抽出した検知用データセットと学習用データセットとの組である評価用データセットを記憶装置984に記憶する。つまり、ここでは、検知用データセットAと学習用データセット1との組が評価用データセットである。
そして、(S105)では、検知用データセットAと組を成す他の学習用データセットを評価に必要なだけ(S103)、(S104)を繰り返して抽出、記憶する。ここでは、例えば、学習用データセット2と学習用データセット3とが抽出されたとする。つまり、検知用データセットAと学習用データセット2との組の評価用データセットと、検知用データセットAと学習用データセット3との組の評価用データセットとが記憶装置984に記憶される。
さらに、(S106)では、評価項目に応じて、評価に必要なだけ(S102)から(S105)までを繰り返し、評価用データセットを抽出、記憶する。
図7はネットワークを流れるデータセットから抽出される学習用データセット、検知用データセットを示している。上述した(S102)では、検知用データ抽出部122は、パケット保存部112が記憶したパケットの集合から検知用データセットを抽出する。ここでは、例えば、検知用データセットAが抽出されたとする。次に、(S103)では、検知用データセットAと組を成す学習用データセットを抽出する。ここでは、例えば、学習用データセット1が抽出されたとする。そして、(S104)では、抽出した検知用データセットと学習用データセットとの組である評価用データセットを記憶装置984に記憶する。つまり、ここでは、検知用データセットAと学習用データセット1との組が評価用データセットである。
そして、(S105)では、検知用データセットAと組を成す他の学習用データセットを評価に必要なだけ(S103)、(S104)を繰り返して抽出、記憶する。ここでは、例えば、学習用データセット2と学習用データセット3とが抽出されたとする。つまり、検知用データセットAと学習用データセット2との組の評価用データセットと、検知用データセットAと学習用データセット3との組の評価用データセットとが記憶装置984に記憶される。
さらに、(S106)では、評価項目に応じて、評価に必要なだけ(S102)から(S105)までを繰り返し、評価用データセットを抽出、記憶する。
1つの評価用データセットにおいて、検知用データセットと学習用データセットとが同じデータを重複して持っていても構わない。
図5と図6とを用いた実施の形態1にかかる学習能力評価システム1000の動作の説明に戻る。以下は、異常検知システム200を評価する処理である。ここでは、学習用データセットを異常検知システム200へ流す量である学習量を所定の量から徐々に増やしながら、異常検知システム200の診断を行い学習能力の評価をする。学習量は以下では一定量ずつ増やしているが、これに限られるわけではなく、学習量に対して一定の割合で増やすなどとしても構わない。
評価用データ選択処理(S107)では、学習用データ送信部131は、学習用データ保存部123が記憶した学習用データセットを1つ取得する。また、検知用データ送信部132は、検知用データ保存部124が記憶した学習用データに対応する検知用データセットを取得する。
次に、初期値設定処理(S108)では、評価用データ送信部130は、学習量Aの増加量をY、学習量Aを0に初期化する。
次に、学習量増加処理(S109)では、評価用データ送信部130は、学習量Aの増加量Yだけ学習量を増加させる。
次に、学習量データ送信処理(S110)では、学習用データ送信部131は、学習用データセットのA個のデータを異常検知システム200へ通信装置988によって送信する。
そして、学習処理(S111)では、異常検知システム200は、受信した学習用データを用いて学習を行う。
次に、検知用データ送信処理(S112)では、検知用データ送信部132は、(S107)で取得した検知用データセットのすべてのデータを異常検知システム200へ通信装置988によって送信する。
ここで、(S110)と(S112)とは、評価データ送信処理である。
ここで、(S110)と(S112)とは、評価データ送信処理である。
そして、検知処理(S113)では、異常検知システム200は、受信した検知用データに対して異常検知を行い、その検知結果情報を例えばログとして学習能力評価装置100に送信する。
つまり、ここでは、送信する学習用データセットの量は徐々に増加させるが、送信する検知用データセットの量は一定としている。これにより、学習量による異常検知システム200の異常検知率などが評価できる。
次に、結果情報受信処理(S114)では、ログ受信部141は、異常検知システム200の送信した検知結果情報であるログを受信し、分析用データ抽出部142に送る。
次に、検知情報抽出確認処理(S115)では、分析用データ抽出部142は、設定された評価項目に応じて必要なパラメータを算出するための情報をログから処理装置980によって抽出する。そして、分析用データ保存部143は抽出した情報を記憶装置984に記憶する。ここで、パラメータとは、最終的な異常検知率、最終的な誤検知率、異常検知率の収束の早さ、誤検知率の収束の早さ、学習時間、検知時間などを指す。また、パラメータはこれに限られず、新たな評価項目の設定などにより追加も可能である。
ここで、(S114)と(S115)とは、検知結果情報取得処理である。
ここで、(S114)と(S115)とは、検知結果情報取得処理である。
各パラメータを抽出するために必要な情報の一例を挙げる。最終的な異常検知率を抽出するためには、各学習用データセットについて学習データ量ごとの異常検知率が必要である。最終的な誤検知率を抽出するためには、各学習用データセットについて学習データ量ごとの誤検知率が必要である。異常検知率の収束の早さを抽出するためには、各学習用データセットについて学習データ量ごとの異常検知率が必要である。誤検知率の収束の早さを抽出するためには、各学習用データセットについて学習データ量ごとの誤検知率が必要である。学習時間を抽出するためには、学習開始時刻、学習終了時刻が必要である。検知時間を抽出するためには、検知開始時刻、検知終了時刻が必要である。つまり、分析用データ抽出部142は、学習用データセットの各学習データ量に対して必要な情報をログから抽出して、分析用データ保存部143は分析用データとして記憶する。
次に、学習量確認処理(S116)では、評価用データ送信部130は、学習量Aが(S107)で取得した学習用データセットのデータ数と同じか否かを判定する。つまり、評価用データ送信部130は、(S107)で取得した学習用データセットをすべて異常検知システム200へ送信したか否かを判定する。学習量Aが学習用データセットのデータ数と同じであると評価用データ送信部130が判定した場合(S116でYES)、この評価用データセットの評価は終了となり(S117)へ進む。一方、学習量Aが学習用データセットのデータ数と同じでないと評価用データ送信部130が判定した場合(S116でNO)、S109に戻って学習量を増加量Yだけ増やして再評価を行う。
次に、評価用データセット確認処理(S117)では、評価用データ送信部130は、全ての評価用データの評価が終了したか否かを判定する。全ての評価用データの評価が終了したと評価用データ送信部130が判定した場合(S117でYES)、(S118)へ進む。一方、全ての評価用データの評価が終了していないと評価用データ送信部130が判定した場合(S117でNO)、(S107)に戻って次の評価用データについて評価を行う。
つまり、評価用データ送信部130は、評価用データ抽出部120が抽出した複数の評価用データを評価用データ毎に送信する。
つまり、評価用データ送信部130は、評価用データ抽出部120が抽出した複数の評価用データを評価用データ毎に送信する。
次に、分析用データ評価処理(S118)では、評価パラメータ計算部151は、分析用データ保存部143が記憶した各評価項目(パターン)の分析用データに基づき、設定した評価項目に応じたパラメータを処理装置980によって計算する。そして、評価パラメータ保存部152は記憶装置984に記憶する。パラメータについては上述したものに加えて、評価項目により追加も可能である。
そして、学習能力評価処理(S119)では、分析部161は、評価パラメータ保存部152が記憶した各評価項目のパラメータから、登録された計測装置を用いて評価値を処理装置980によって計測する。実施の形態1では分析部161は平均計測装置を備え、パラメータの平均を処理装置980によって計算して評価値として出力する。
実施の形態1にかかる学習能力評価装置100によれば、異常検知システム200の学習能力を評価することができる。そのため、例えば、異常検知システム200の検知精度の収束の早さの変動が大きい場合に、学習が足りずに十分な性能が発揮できない場合があることを事前に評価することが可能である。
また、実施の形態1にかかる学習能力評価装置100によれば、異常検知システム200の評価を自動的に行うことができる。さらに、評価値を用いることで学習能力の高い異常検知システム200の判別やその改良を行うことができる。
さらに、実施の形態1にかかる学習能力評価装置100によれば、異常検知システム200を監視対象ネットワーク上に設置した場合の平均的学習能力を求めることができる。
上述したように、実施の形態1にかかる学習能力評価装置100では、異常検知システム200の学習に関する評価を行うために、複数パターンの評価用データセットを異常検知システム200に適用する。そして、その結果から検知精度やその収束の早さ、学習時間などの評価項目について各パターンの結果の変化の大きさを分析し、数値化することを特徴とする。
実施の形態2.
次に、実施の形態2について説明する。実施の形態2では、実施の形態1にかかる学習能力評価装置100の分析部161に新たに計測装置を加える。
次に、実施の形態2について説明する。実施の形態2では、実施の形態1にかかる学習能力評価装置100の分析部161に新たに計測装置を加える。
図8は、実施の形態2にかかる学習能力評価装置100の機能を示す機能ブロック図である。実施の形態2にかかる学習能力評価装置100は、実施の形態1にかかる学習能力評価装置100に加え、分析部161が分散計測装置を備える。その他については、実施の形態1にかかる学習能力評価装置100と同様である。
次に、図9と図10とを用いて実施の形態2にかかる学習能力評価システム1000の動作を説明する。図9と図10とは実施の形態2にかかる学習能力評価システム1000の動作である学習能力評価処理を示すフローチャートである。実施の形態2にかかる学習能力評価システム1000の動作は、(S119)においてのみ、実施の形態1にかかる学習能力評価システム1000の動作と異なる。
学習能力分析処理(S119)では、分析部161は、評価パラメータ保存部152が記憶した各評価用データのパラメータから、登録された計測装置を用いて評価値を計測する。実施の形態2では平均計測装置でパラメータの平均を計算し、分散計測装置で分散を計算し、評価値として出力する。さらに、分析部161の計測装置はさらに追加が可能である。
実施の形態2にかかる学習能力評価装置100によれば、異常検知システム200を監視対象のネットワークに設置した場合の平均学習能力だけでなく、学習能力が偶然の要因によりどれだけ変動しうるかについても評価することができる。
つまり、上述した実施の形態にかかる学習能力評価装置100は、所定のネットワークの環境を学習し、その環境から外れたパケットを異常パケットであると判別し、その結果をログなどとして出力する異常検知システム200についての自動評価装置である。また、学習能力評価装置100は、診断対象となるネットワークを流れるパケットを取得するパケットキャプチャ装置と、取得したパケットから評価項目に応じた学習用のデータのセットと検知用のデータのセットを生成できる評価用データ生成装置と、学習用データと検知用データを異常検知システム200に送信する評価用データ送信装置と、異常検知システム200からのログを収集し、評価に必要なパラメータを抽出するするログ解析装置と、分析用データから異常検知システム200を評価する評価装置とを備える。ここで、必要なパラメータとは、最終的な異常検知率、最終的な誤検知率、異常検知率の収束の早さ、誤検知率の収束の早さ、学習時間、検知時間を指す。また、最終的な異常検知率とは、評価用データのセットから得られる最高の異常検知率を指す。最終的な誤検知率とは、評価用データから得られる最低の誤検知率を指す。異常検知率の収束の早さは、異常検知率が最終的な異常検知率になるまでの時間を指す。語検知率の収束の早さは、誤検知率が最終的な誤検知率になるまでの時間を指す。学習時間は学習用データのセットから学習用データを受け取り、学習を行った時間、検知時間は検知用データのセットから全ての検知用データについて検知を行うのにかかった時間を指す。また、これらは自動的に行われる。
また、学習能力評価装置100は、さらに、分析用データから異常検知システム200の学習能力を評価する評価装置を備える。ここで、学習能力とは、学習データによって変動する達成できる最終的な異常検知率、最終的な誤検知率、異常検知率の収束の早さ、誤検知率の収束の早さ、学習時間、検知時間の変動の大きさを指す。また、変動の大きさの計算は、ログ解析装置によって評価用データのセットごとに抽出した評価項目のパラメータについて変動を計算することで得る。
100 学習能力評価装置、101 学習能力評価部、110 パケットキャプチャ部、111 パケット取得部、112 パケット保存部、120 評価用データ抽出部、121 学習用データ抽出部、122 検知用データ抽出部、123 学習用データ保存部、124 検知用データ保存部、130 評価用データ送信部、131 学習用データ送信部、132 検知用データ送信部、140 ログ解析部、141 ログ受信部、142 分析用データ抽出部、143 分析用データ保存部、150 分析用データ評価部、151 評価パラメータ計算部、152 評価パラメータ保存部、160 学習能力分析部、161 分析部、200 異常検知システム、901 表示装置、902 キーボード、903 マウス、904 FDD、909 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916 サーバA、917 サーバB、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、940 インターネット、941 ゲートウェイ、942 LAN、980 処理装置、984 記憶装置、988 通信装置、1000 学習能力評価システム。
Claims (6)
- ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する学習能力評価装置において、
上記ネットワークを流れるデータから検知用データと学習用データとを抽出して記憶装置に記憶する評価用データ抽出部と、
上記評価用データ抽出部が抽出した学習用データを所定の量づつ上記異常検知システムへ通信装置によって送信して、上記異常検知システムに学習させる学習用データの量を徐々に増やす学習用データ送信部と、
上記学習用データ送信部が上記学習用データを上記所定の量送信する度に、上記検知用データを上記異常検知システムへ通信装置によって送信する検知用データ送信部と、
上記検知用データ送信部が送信した検知用データに対して、上記異常検知システムにより異常が検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得部と、
上記検知結果情報取得部が取得した検知結果情報に基づいて、学習用データの量毎に上記異常検知システムの学習能力を評価をするためのパラメータを処理装置により算出する評価部と
を備えることを特徴とする学習能力評価装置。 - 上記評価用データ抽出部は、上記異常検知システムの学習能力の評価項目毎に、その評価項目に対する検知用データと学習用データとの組を抽出し、
上記学習用データ送信部は、所定の評価項目順に、各評価項目についての学習用データを送信し、
上記検知用データ送信部は、上記学習用データ送信部が学習用データを所定の量送信する度に、送信された学習用データと組をなす検知用データを送信し、
上記評価部は、どの評価項目の検知用データに対する検知結果情報であるかに応じたパラメータを、上記検知結果情報に基づいて計算して、学習量に対する上記異常検知システムの異常検知の評価をする
ことを特徴とする請求項1に記載の学習能力評価装置。 - 上記学習能力評価装置は、さらに、
上記評価部が計算した評価項目毎に計算されたパラメータの平均を評価値として算出する学習能力分析部
を備えることを特徴とする請求項2記載の学習能力評価装置。 - 上記評価部が計算した評価項目毎に計算されたパラメータの分散を上記評価値として算出する学習能力分析部
を備えることを特徴とする請求項2記載の学習能力評価装置。 - ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する
学習能力評価装置の学習能力評価方法において、
上記ネットワークを流れるデータから検知用データと学習用データとを抽出して記憶装置に記憶する評価用データ抽出工程と、
上記評価用データ抽出工程で抽出した学習用データを所定の量づつ上記異常検知システムへ通信装置によって送信して、上記異常検知システムに学習させる学習用データの量を徐々に増やす学習用データ送信工程と、
上記学習用データ送信工程で上記学習用データを上記所定の量送信する度に、上記検知用データを上記異常検知システムへ通信装置によって送信する検知用データ送信工程と、
上記検知用データ送信工程で送信した検知用データに対して、上記異常検知システムにより異常が検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得工程と、
上記検知結果情報取得工程で取得した検知結果情報に基づいて、学習用データの量毎に上記異常検知システムの学習能力を評価をするためのパラメータを処理装置により算出する評価工程と
を備えることを特徴とする学習能力評価方法。 - ネットワークからデータを取得して上記ネットワークの通常状態を学習し、上記通常状態から外れる状態を上記ネットワークの異常として検知する異常検知システムと通信する学習能力評価装置の学習能力評価プログラムにおいて、
上記ネットワークを流れるデータから検知用データと学習用データとを抽出して記憶装置に記憶する評価用データ抽出処理と、
上記評価用データ抽出処理で抽出した学習用データを所定の量づつ上記異常検知システムへ通信装置によって送信して、上記異常検知システムに学習させる学習用データの量を徐々に増やす学習用データ送信処理と、
上記学習用データ送信処理で上記学習用データを上記所定の量送信する度に、上記検知用データを上記異常検知システムへ通信装置によって送信する検知用データ送信処理と、
上記検知用データ送信処理で送信した検知用データに対して、上記異常検知システムにより異常が検知された結果である検知結果情報を取得して記憶装置に記憶する検知結果情報取得処理と、
上記検知結果情報取得処理で取得した検知結果情報に基づいて、学習用データの量毎に上記異常検知システムの学習能力を評価をするためのパラメータを処理装置により算出する評価処理と
をコンピュータに実行させることを特徴とする学習能力評価プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006058237A JP4668092B2 (ja) | 2006-03-03 | 2006-03-03 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006058237A JP4668092B2 (ja) | 2006-03-03 | 2006-03-03 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007235879A JP2007235879A (ja) | 2007-09-13 |
| JP4668092B2 true JP4668092B2 (ja) | 2011-04-13 |
Family
ID=38555957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006058237A Expired - Fee Related JP4668092B2 (ja) | 2006-03-03 | 2006-03-03 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4668092B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6067195B2 (ja) | 2014-09-08 | 2017-01-25 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| JP6767434B2 (ja) * | 2018-06-20 | 2020-10-14 | 日本電信電話株式会社 | 評価装置及び評価方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234849A (ja) * | 2004-02-19 | 2005-09-02 | Mitsubishi Electric Corp | 監視装置及び監視方法及びプログラム |
| JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
-
2006
- 2006-03-03 JP JP2006058237A patent/JP4668092B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234849A (ja) * | 2004-02-19 | 2005-09-02 | Mitsubishi Electric Corp | 監視装置及び監視方法及びプログラム |
| JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007235879A (ja) | 2007-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107302547B (zh) | 一种web业务异常检测方法及装置 | |
| US11775826B2 (en) | Artificial intelligence with cyber security | |
| US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| US20170126704A1 (en) | Method And Devices For Non-Intrusive Malware Detection For The Internet Of Things (IOT) | |
| CN103905450B (zh) | 智能电网嵌入式设备网络检测评估系统与检测评估方法 | |
| CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
| JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
| CN109858254A (zh) | 基于日志分析的物联网平台攻击检测系统及方法 | |
| Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
| US11575688B2 (en) | Method of malware characterization and prediction | |
| JP5865486B2 (ja) | 利用者体感品質推定装置、端末ボトルネック判定装置、類似操作抽出装置、及び方法、並びにプログラム | |
| JP2008176753A (ja) | データ類似性検査方法及び装置 | |
| WO2014132611A1 (ja) | システム分析装置、及び、システム分析方法 | |
| JP6749956B2 (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
| CN114944957B (zh) | 一种异常数据检测方法、装置、计算机设备及存储介质 | |
| WO2008088121A1 (en) | Apparatus and method for detecting program plagiarism through memory access log analysis | |
| Almotairi et al. | A technique for detecting new attacks in low-interaction honeypot traffic | |
| CN114168374A (zh) | 基于集成异常检测器与根因分析结合的异常数据定位方法 | |
| JP2007243459A (ja) | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム | |
| JP4668092B2 (ja) | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム | |
| JP4559974B2 (ja) | 管理装置及び管理方法及びプログラム | |
| CN116800504A (zh) | 一种终端物理指纹提取及非法接入动态认证方法和装置 | |
| CN111800427A (zh) | 一种物联网设备评估方法、装置及系统 | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080820 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100730 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100817 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101007 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110111 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110112 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140121 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |