JP6467989B2 - 検知プログラム、検知方法及び検知装置 - Google Patents

検知プログラム、検知方法及び検知装置 Download PDF

Info

Publication number
JP6467989B2
JP6467989B2 JP2015036897A JP2015036897A JP6467989B2 JP 6467989 B2 JP6467989 B2 JP 6467989B2 JP 2015036897 A JP2015036897 A JP 2015036897A JP 2015036897 A JP2015036897 A JP 2015036897A JP 6467989 B2 JP6467989 B2 JP 6467989B2
Authority
JP
Japan
Prior art keywords
detection
pattern
change point
detection pattern
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015036897A
Other languages
English (en)
Other versions
JP2016161950A (ja
Inventor
佑介 小▲柳▼
佑介 小▲柳▼
喜則 坂本
喜則 坂本
干城 今岡
干城 今岡
松原 正純
正純 松原
小林 賢司
賢司 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015036897A priority Critical patent/JP6467989B2/ja
Priority to US15/048,716 priority patent/US20160255109A1/en
Publication of JP2016161950A publication Critical patent/JP2016161950A/ja
Application granted granted Critical
Publication of JP6467989B2 publication Critical patent/JP6467989B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Image Analysis (AREA)

Description

本発明は、検知プログラム、検知方法及び検知装置に関する。
各種センサが検知したデータやログデータ等の時系列データを用いた異常検知技術が知られている(例えば、特許文献1及び特許文献2参照)。このような異常検知技術では、センサ値の正常範囲や正常なログデータを正常パターンとして記憶しておき、記憶した正常パターンと対象データとを比較及び検証することで対象データが正常か否かを判断する方法がある。また、データの中身を解析せずに、時間と共に変化する、対象データの特徴量(例えば通信量)が変化する変化点を検知する方法がある。
特開2009−217555号公報 特開2003−256957号公報
K. Yamanishi, J. Takeuchi, "Discovering outlier filtering rules from unlabeled data: combining a supervised learner with an unsupervised learner", In Proceedings of the Seventh ACM SIGKDD International Conference on Knowledge Discovery and Data Mining (KDD01), ACM Press, pp.389-394, 2001. J. Takeuchi, K. Yamanishi. A Unifying Framework for Detecting Outliers and Change Points from Time Series. IEEE Transaction on Knowledge and Data Engineering, 18(4):482-492, 2006.
しかしながら、上記異常検知技術のうち前者の方法では、対象データ自身と正常パターンとを比較して対象データが正常か否かを判断するための処理に時間がかかる。
また、後者の方法では、変化点だけでは、その変化点が何を意味しているのかがわからない。よって、対象データが正常であるか異常であるかを知るためには、結局、変化点に対応する対象データ自身の解析を行う必要があり、その結果、後者の方法によっても対象データが正常であるか否かを検出するまでの処理に時間がかかる。
他方、異常検知対象となるセンサデータ等のストリームデータは大量に入力されるため、データの異常を判定するための処理に時間がかかるデータの解析方法では、即時に事象を通知することが困難であるという課題がある。
そこで、一側面では、本発明は、対象データの検知処理をより少ない時間で行うことを目的とする。
一つの案では、評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行し、検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す第1の検知パターンを記憶部に記憶し、新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、前記新たな時系列データについて、検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、異なる出力を行う、処理をコンピュータに実行させるための検知プログラムが提供される。
一側面によれば、対象データの検知処理をより少ない時間で行うことができる。
一実施形態にかかる検知装置の内部構成の一例を示す図。 一実施形態にかかる異なる幅の特徴量と変化点と検知パターンとを示す図。 第1実施形態にかかる変化点履歴DBの一例を示す図。 第1実施形態にかかる既知パターンDBの一例を示す図。 第1実施形態にかかる検知パターン生成処理の一例を示すフローチャート。 第1実施形態にかかる学習処理の一例を示すフローチャート。 第1実施形態にかかる検知処理の一例を示すフローチャート。 第1実施形態にかかる検知結果の一例を示す図。 第1実施形態の変形例にかかる検知装置の内部構成の一例を示す図。 第1実施形態の変形例1にかかる検知パターン履歴DBの一例を示す図。 第1実施形態の変形例1にかかる学習処理の一例を示すフローチャート。 第1実施形態の変形例2にかかる学習処理の一例を示すフローチャート。 第1実施形態の変形例2にかかる変化点履歴DBの一例を示す図。 第1実施形態の変形例3にかかる学習処理の一例を示すフローチャート。 第1実施形態の変形例3にかかる変化点履歴DBの一例を示す図。 第2実施形態にかかる検知パターンの一例を示す図。 第2実施形態にかかる学習処理の一例を示すフローチャート。 第2実施形態にかかる検知処理の一例を示すフローチャート。 第2実施形態にかかる検知結果の一例を示す図。 第3実施形態にかかる検知パターンの一例を示す図。 第3実施形態にかかる学習処理の一例を示すフローチャート。 第3実施形態にかかる検知処理の一例を示すフローチャート。 第3実施形態にかかる検知結果の一例を示す図。 第3実施形態の変形例にかかる学習処理の一例を示すフローチャート。 第3実施形態の変形例にかかる検知結果の一例を示す図。 第3実施形態の変形例にかかる検知処理の一例を示すフローチャート。 第4実施形態にかかる検知装置の内部構成の一例を示す図。 第4実施形態にかかる学習処理の一例を示すフローチャート。 第4実施形態にかかる学習結果の一例を示す図。 第4実施形態にかかる検知処理の一例を示すフローチャート。 第4実施形態にかかる検知結果の一例を示す図。 第5実施形態にかかる検知装置の内部構成の一例を示す図。 一実施形態にかかる検知装置のハードウェア構成例を示す図。
以下、本発明の実施形態について添付の図面を参照しながら説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複した説明を省く。
[検知装置の内部構成]
まず、本発明の一実施形態に係る検知装置10の構成について、図1を参照しながら説明する。一実施形態に係る検知装置10は、各種センサが検知したデータやログデータ等の時系列データの特徴量の変化点のパターンを検出し、そのパターンが既知か未知かを判定する。検知装置10の一例としては、サーバやPC(Personal Computer)等の情報処理装置が挙げられる。
検知装置10は、データ入力部11、特徴量算出部12、変化点検知部13、検知パターン検出部14、変化点履歴DB15、既知パターン学習部16、既知パターンDB17、既知判定部18及び出力部19を有する。
データ入力部11は、各種センサが検知したデータ、通信データ、ログデータ等の評価対象の時系列データ(以下、「対象データ」ともいう。)を入力する。
特徴量算出部12は、対象データの特徴量を抽出する。対象データの特徴量の一例としては、外部ネットワークへの通信の割合等が挙げられる。特徴量算出部12は、単位時間のWindow幅(以下、「幅」ともいう。)が異なる複数の粒度のデータ群の特徴量を算出する。例えば、図2(a)の特徴量算出の一例では、特徴量算出部12は、対象データの現在時刻から異なる一定時間の幅に含まれるデータ群の特徴量をそれぞれ算出する。
例えば、幅「W」が10分、幅「W」が15分、幅「W」が20分とする。この場合、幅Wの特徴量算出部12aは、現在時刻の10分前から現在時刻に至るまでの10分間に取得したデータ群についての特徴量(幅「W」の特徴量)を算出する(図2(a)の上グラフ参照)。幅Wの特徴量算出部12bは、現在時刻の15分前から現在時刻に至るまでに取得したデータ群についての特徴量(幅「W」の特徴量)を算出する(図2(a)の中央グラフ参照)。幅Wの特徴量算出部12cは、現在時刻の20分前から現在時刻に至るまでに取得したデータ群についての特徴量(幅「W」の特徴量)を算出する(図2(a)の下グラフ参照)。
なお、特徴量算出の粒度を短く設定する程、細かい変化が現れるが、ノイズも含まれることになる。また、図2の例では、特徴量算出部12は、三つの幅について特徴量をそれぞれ算出したが、これに限らず、例えば、n個(n≧2)の異なる幅のデータ群について特徴量をそれぞれ算出すればよい。
変化点検知部13は、対象データについて、単位時間の幅が異なる複数の粒度の特徴量の変化点を検出する複数の変化点検出処理を実行し、特徴量の変化の度合いを検出する。図2(b)の変化点算出の一例では、幅W、W、Wのデータ群のそれぞれの特徴量に対する変化点のスコアが算出されている。変化点検知部13は、変化点検出処理毎に検出された変化点のスコアに検知IDを付与する。図2の(b)には、幅W、W、Wの特徴量の変化点検出処理に対応して検知ID「1」、検知ID「2」、検知ID「3」がそれぞれ付与されている。
(共通フェーズph1)
図1に示す共通フェーズph1において、検知パターン検出部14は、変化点検知部13が検出した各変化点が、順に、三つの変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序の情報を含む検知パターンを検出する。検知した変化点の履歴は、変化点履歴DB15に記憶される。検知順序は、検知IDの出現順序により示される。
具体的には、検知パターン検出部14は、変化点検知部13から検知IDと変化点の検知時刻とを取得し、検知IDと変化点の検知時刻とを変化点履歴DB15に記憶する。一例としては、検知パターン検出部14は、図2(b)の下側に示す丸が現時点を示すとすると、検知パターン検出部14は、現時点から一定期間に出現する所定の閾値以上の変化点(菱形、三角、丸)の検知IDの出現順番(3,1,2)を検知パターンとする。検知パターンは、変化点履歴DB15に記憶された変化点の検知履歴から検出する。変化点履歴DB15の一例を図3に示す。変化点履歴DB15には、検知ID151及び検知ID151に対応する検知時刻152の各情報が記憶される。図2の検知パターン(3,1,2)の情報は、図3の変化点履歴DB15の、検知ID151「3」、「1」、「2」及び各検知ID151に対応する各検知時刻により示される。変化点履歴DB15は、変化点検知の検知履歴が記憶される記憶部の一例である。
次に説明する学習フェーズph2は、検知パターン検出部14において検出された検知パターンから既知パターンを抽出し、既知パターンDB17に登録するフェーズである。
更に、検知フェーズph3では、学習フェーズph2で既知パターンDB17に登録された既知パターンに基づき、新たな対象データ(幅W,W,Wのデータ群)について検出された新たな検知パターンが、既知か未知かが判定される。
なお、検知パターン検出部14において検出された検知パターンのうち、学習フェーズph2において既知パターンか否かの判定対象となる検知パターンは「第1の検知パターン」の一例である。既知パターンであると判定された第1の検知パターンは既知パターンDB17に登録される。
一方、検知フェーズph3において既知パターンか否かの判定対象となる検知パターンは「第2の検知パターン」の一例である。第2の検知パターンは、既知パターンDB17に登録された既知パターンとの比較により既知か未知かの判定が可能となる。
(学習フェーズph2)
学習フェーズph2において、既知パターン学習部16は、検知パターン検出部14において検出された検知パターンから既知パターンを抽出し、既知パターンDB17に記憶する。例えば、既知パターン学習部16は、検知パターン検出部14において検出された検知パターンのうち、既知パターンDB17に記憶されていない検知パターンを新たな既知パターンと判断し、既知パターンDB17に記憶する。既知パターンDB17の一例を図4に示す。既知パターンDB17には、既知パターンであると判定された検知パターン(第1の検知パターン)の変化点の検知順序を示す検知IDの組が記憶される。なお、既知パターンDB17は、検知パターンから抽出された既知パターンを記憶する記憶部の一例である。
特徴量の変化の仕方(変化の度合い、変化の細かさ、変化前の状況)によって、各幅W、W、Wにおける変化点の検知タイミングは異なる。よって、各幅W、W、Wで変化点を検知した結果得られる変化点の検知順序によって、各幅における特徴量の変化の仕方が識別可能である。よって、既知パターン学習部16は、単位時間の幅が異なる複数の粒度で変化点を検出した結果から過去に存在する変化点群を示す既知パターンを学習する。
(検知フェーズph3)
検知フェーズph3において、既知判定部18は、新たな対象データについての検知パターン(第2の検知パターン)が、既知パターンDB17に記憶された既知パターン(第1の検知パターンのうち既知のパターンと判定させたもの)と一致するか否かを判定する。判定対象の検知パターン(第2の検知パターン)は、共通フェーズにおいて、変化点検知部13が第1の検知パターンが検出される際に用いられた幅W,W,Wと同一の幅のデータ群の変化点を抽出し、一定期間に検出される変化点の検知パターンである。
既知判定部18は、検知パターンが既知パターンと一致すると判定した場合、検知パターンは「既知」であると判断する。既知判定部18は、検知パターンが既知パターンと一致しないと判定した場合、検知パターンは「未知」であると判定する。これにより、検知パターンの既知又は未知の切り分けができる。出力部19は、検知フェーズph3で判定した判定結果を、対象データの判定を要求したユーザに通知する。
なお、n個の異なる幅のデータ群のnの数が多い程、既知パターンの判定精度を高めることができる。
<第1実施形態>
[検知パターン生成処理]
かかる構成の検知装置10が行う、第1実施形態に係る検知パターン生成処理について図5を参照して説明する。図5は、第1実施形態に係る検知パターン生成処理の一例を示すフローチャートである。本処理が開始されると、検知パターン検出部14は、検知ID及び検知時刻を入力し、入力した検知ID及び検知時刻を変化点履歴DB15に追加する(ステップS10)。例えば検知パターン検出部14は、図3の検知ID2、検知時刻「2014/10/01 13:22:00」を変化点履歴DB15に記憶する。
次に、検知パターン検出部14は、記憶した検知時刻よりも一定期間以上前の変化点履歴を削除する(ステップS12)。例えば、図3の変化点履歴DB15のうち、追加された検知ID2の検知時刻よりも一定期間以上前の検知ID及び検知時刻は削除される。次に、検知パターン検出部14は、検知時刻から過去一定期間に変化点を検知した変化点履歴情報から検知パターンを生成し(ステップS14)、本処理を終了する。図3の例では、検知時刻「2014/10/01 13:22:00」から過去一定期間に変化点を検知した変化点履歴情報から検知パターン(3,1,2)が生成される例が示されている。
[学習処理]
次に、第1実施形態に係る学習処理について図6を参照して説明する。図6は、第1実施形態に係る学習処理の一例を示すフローチャートである。本処理が開始されると、既知パターン学習部16は、検知パターン(第1の検知パターン)と一致する既知パターンが既知パターンDB17に存在するかを探索する(ステップS20)。既知パターン学習部16は、検知パターンと一致する既知パターンが存在するかを判定し(ステップS22)、検知パターンと一致する既知パターンが既知パターンDB17に存在すると判定した場合、本処理を終了する。一方、既知パターン学習部16は、検知パターンと一致する既知パターンが既知パターンDB17に存在しないと判定した場合、検知パターンを既知パターンとして既知パターンDB17に追加し(ステップS24)、本処理を終了する。図4では、既知パターンDB17に存在しない検知パターン(3,1,2)が既知パターンとして既知パターンDB17に追加される例が示されている。
[検知処理]
次に、第1実施形態に係る検知処理について図7を参照して説明する。図7は、第1実施形態に係る検知処理の一例を示すフローチャートである。本処理が開始されると、既知判定部18は、評価対象の検知パターン(第2の検知パターン)と一致する既知パターンが既知パターンDB17に存在するかを探索する(ステップS30)。既知判定部18は、検知パターンと一致する既知パターンが存在するかを判定する(ステップS32)。既知判定部18は、検知パターンと一致する既知パターンが存在すると判定した場合、出力部19は、該当検知パターンが既知であることを通知し(ステップS34)、本処理を終了する。
一方、既知判定部18は、検知パターンと一致する既知パターンが存在しないと判定した場合、出力部19は、該当検知パターンは未知であることを通知し(ステップS36)、本処理を終了する。
図8では、評価対象の検知パターン(3,1,2)が既知パターンDB17に存在するため、出力部19が、判定結果「既知」及び検知時刻「2014/11/02 13:20:00」を通知する例が示されている。
以上に説明したように、第1実施形態に係る検知装置10によれば、単位時間の幅が異なる複数の粒度で対象データの特徴量の変化点を検出し、検出された各変化点の検知順序(出現順序)を既知パターンとして学習する。そして、新たな検知パターンが学習した既知パターンと一致するかにより、新たな検知パターンが既知か未知かが判定される。このように、第1実施形態に係る検知装置10によれば、対象データ自身の解析を行うことなく、対象データの検知処理を該当対象データよりも少ない特徴量の変化点データの比較で行うことができる。これにより、対象データが既知又は未知を検出するまで処理時間を短縮できる。特に対象となるセンサデータやログデータ等のストリームデータは大量に流れてくる。よって、本実施形態によれば、検知データの既知又は未知を判定するまでの時間を短縮することで、検知データの事象を即時に通知することができる。
<変形例>
[検知装置の内部構成]
次に、第1実施形態の変形例1〜3に係る検知装置10の構成について、図9を参照しながら説明する。第1実施形態の各変形例に係る検知装置10は、図1に示した第1実施形態に係る検知装置10の構成に加えて検知パターン履歴DB20を有する。
検知パターン履歴DB20は、図10に示すように、検知パターン201及び出現頻度202の検知結果履歴情報を有する。出現頻度202は、検知パターン201の出現回数の累計が検知パターン201毎に記憶される。検知パターン履歴DB20の出現頻度202に基づき、検知パターンが既知パターンであるかが判定される。
[変形例1の学習処理]
かかる構成の検知装置10による、第1実施形態の変形例1に係る学習処理について図11を参照して説明する。図11は、第1実施形態の変形例1にかかる学習処理の一例を示すフローチャートである。本処理が開始されると、既知パターン学習部16は、検知パターンと一致する検知パターン201の検知結果履歴情報が検知パターン履歴DB20に存在するかを探索する(ステップS40)。既知パターン学習部16は、検知パターンと一致する検知パターン201が存在するかを判定する(ステップS42)。既知パターン学習部16は、検知パターンと一致する検知パターン201が存在すると判定した場合、一致する検知パターン201の出現頻度202を更新し(ステップS44)、ステップS48に進む。一方、既知パターン学習部16は、検知パターンと一致する検知パターン201が存在しないと判定した場合、検知パターンを検知パターン履歴DB20に追加し、追加した検知パターン201の出現頻度202を付加し(ステップS46)、ステップS48に進む。
次に、既知パターン学習部16は、該当する検知パターンの出現頻度が閾値S以上かを判定し(ステップS48)、閾値S未満と判定した場合には本処理を終了する。一方、既知パターン学習部16は、該当する検知パターンの出現頻度が閾値S以上と判定した場合、該当する検知パターン201を既知パターンとして既知パターンDB17に登録し(ステップS50)、本処理を終了する。
図10の例では、検知パターン201(5,1)は、出現頻度202が閾値S以上であるため、既知パターンDB17に登録され、検知パターン201(5,1,3)は、出現頻度202が閾値S未満であるため、既知パターンDB17に登録されていない。なお、閾値Sは、検知装置10を利用する利用者が設定することができる。
[変形例2の学習処理]
次に、第1実施形態の変形例2に係る学習処理について図12を参照して説明する。図12は、第1実施形態の変形例2にかかる学習処理の一例を示すフローチャートである。本処理が開始されると、変形例1と同様にステップS40〜S46が実行され、検知パターン履歴DB20に保存されている検知パターン201に出現頻度202が付加される。
次に、既知パターン学習部16は、各検知パターン201の出現頻度202を出現頻度の合計で割り、出現割合を算出する(ステップS52)。次に、既知パターン学習部16は、既知パターンDB17内の既知パターンを消去し、出現割合が閾値Uを超えた検知パターンのリストを既知パターンとして登録し(ステップS54)、本処理を終了する。
図13には、検知パターン履歴DB20に保存された各検知パターン201の出現頻度202に基づき出現割合が算出され、閾値U以上の出現割合の検知パターン201が既知パターンDB17に登録される。なお、閾値Uは、検知装置10を利用する利用者が設定することができる。
[変形例3の学習処理]
次に、第1実施形態の変形例3に係る学習処理について図14を参照して説明する。図14は、第1実施形態の変形例3に係る学習処理の一例を示すフローチャートである。本処理が開始されると、変形例1と同様にステップS40〜S46が実行され、検知パターン履歴DB20に保存されている検知パターン201に出現頻度202が付加される。
次に、既知パターン学習部16は、各検知パターン201の出現頻度202を経過時間で割り、各検知パターンの一定期間の出現数を算出する(ステップS56)。次に、既知パターン学習部16は、既知パターンDB17内の既知パターンを消去し、一定期間の出現数が閾値Vを超えた検知パターンのリストを既知パターンとして登録し(ステップS58)、本処理を終了する。
図15では、例えば検知パターン履歴DB20に保存された(5,1)の検知パターン201の出現頻度202を開始からの経過時間「20」で割ることで、(5,1)の検知パターンの一定期間の出現数「0.6」が算出される。一定期間の出現数「0.6」が閾値V以上の場合、(5,1)の検知パターン201は既知パターンDB17に登録される。なお、閾値Vは、検知装置10を利用する利用者が設定することができる。
以上、第1実施形態の変形例1〜変形例3に係る検知装置10では、学習フェーズにおいて、予め定められた閾値との判定により既知パターンの学習が可能である。例えば、変形例1では、出現頻度が閾値S以上の検知パターンを既知パターンとして既知パターンDB17に登録した。変形例2では、出現割合が閾値U以上の検知パターンを既知パターンとして既知パターンDB17に登録した。変形例3では、検知パターンの一定期間の出現数が閾値V以上の検知パターンを既知パターンとして既知パターンDB17に登録した。これにより、学習フェーズにおいて登録する既知パターンを検知パターンの出現頻度を考慮して決定することで、検知フェーズにおける既知又は未知の判定の精度を高めることができる。
<第2実施形態>
以上に説明した第1実施形態にかかる検知装置10では、変化点の検知順序に基づき、既知パターンの学習及び検知が実行された。これに対して、次に説明する第2実施形態にかかる検知装置10では、変化点の検知順序と検知間隔(出現間隔)に基づき、既知パターンの学習及び検知が実行される。例えば、図16に示すように、第2実施形態では、検知パターンは、検知順序(3,1、2)及び検知間隔(15,5,0)の情報を有する。検知間隔(15,5,0)は、現時点の検知ID2の検知時間からの時間差を示し、検知ID3と検知ID2との時間差「15」、検知ID1と検知ID2との時間差「5」、検知ID2と検知ID2との時間差「0」を示す。
既知パターンDB17には、検知順序171aと検知間隔171bとが記憶される。検知順序171aが同じであっても、検知間隔171bが異なる場合には異なる既知パターンとして登録される。既知パターンDB17には、検知順序171a毎に1または複数の検知間隔171bが登録されてもよい。
第2実施形態に係る検知装置10の内部構成は、図1に示す検知装置10の内部構成と同じであるためここでは説明を省略する。以下では、第2実施形態にかかる学習処理及び検知処理について順に説明する。
[学習処理]
まず、第2実施形態に係る学習処理について図17を参照して説明する。図17は、第2実施形態に係る学習処理の一例を示すフローチャートである。本処理が開始されると、既知パターン学習部16は、検知パターンの検知順序と一致する既知パターンの検知順序が既知パターンDB17に存在するかを判定する(ステップS60)。既知パターン学習部16は、検知順序が一致する既知パターンが既知パターンDB17に存在すると判定した場合、検知順序が一致した既知パターンのうち検知間隔が検知パターンと一致する既知パターンが存在するかを判定する(ステップS62)。既知パターン学習部16は、検知パターンの検知間隔と一致する既知パターンが存在すると判定した場合、本処理を終了する。
一方、既知パターン学習部16は、検知順序が一致した既知パターンのうちで検知間隔が検知パターンの検知間隔と一致する既知パターンが存在しないと判定した場合、検知パターンの検知間隔を既知パターンDB17に登録し(ステップS66)、本処理を終了する。
ステップS60にて、既知パターン学習部16は、検知順序が一致する既知パターンが既知パターンDB17に存在しないと判定した場合、検知パターンの検知順序を既知パターンDB17に登録する(ステップS64)。次に、検知パターンの検知間隔を既知パターンDB17に登録し(ステップS66)、本処理を終了する。
[検知処理]
次に、第2実施形態に係る検知処理について図18を参照して説明する。図18は、第2実施形態に係る検知処理の一例を示すフローチャートである。本処理が開始されると、既知判定部18は、検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在するかを探索する(ステップS70)。既知判定部18は、検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在しないと判定した場合、本処理を終了する。
一方、既知判定部18は、検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在すると判定した場合、該既知パターンのうち検知間隔が検知パターンの検知間隔と一致する既知パターンが存在するかを判定する(ステップS72)。既知判定部18は、検知順序が一致した既知パターンのうち検知間隔が検知パターンの検知間隔と一致する既知パターンが存在すると判定した場合、検知パターンは既知であると通知し(ステップS74)、本処理を終了する。既知判定部18は、検知順序が一致した既知パターンのうち検知間隔が検知パターンの検知間隔と一致する既知パターンが存在しないと判定した場合、本処理を終了する。
図19では、例えば検知パターンの検知順序(3,1,2)が既知パターンDB17の検知順序171a(3,1,2)と一致し、かつ、検知パターンの検知間隔(15,5,0)が既知パターンの検知間隔171b(15,5,0)と一致する。この場合、検知パターンは、既知と判定される。検知順序及び検知間隔の少なくともいずれかが一致しない場合、検知パターンは、未知と判定される。
以上に説明したように、第2実施形態に係る検知装置10によれば、検知パターンの検知順序及び検知間隔により、検知パターンを抽出するための変化点をより細かく識別することができる。これにより、検知パターン及び既知パターンの検知順序及び検知間隔が一致するか否かにより、検知パターンの既知又は未知の判定精度を高めることができる。
<第3実施形態>
以上に説明した第1実施形態にかかる検知装置10では、変化点の検知順序に基づき、既知パターンの学習及び検知が実行され、第2実施形態にかかる検知装置10では、変化点の検知順序及び検知間隔に基づき、既知パターンの学習及び検知が実行された。これに対して、次に説明する第3実施形態にかかる検知装置10では、変化点の検知順序と検知間隔に加えて検知間隔の揺らぎの許容範囲を設けて、既知パターンの学習及び検知が実行される。第3実施形態では、検知される変化点の検知パターンは、第2実施形態と同様に検知順序及び検知間隔の情報を有する。例えば、図20に示す検知パターンの検知順序は(3,1,2)、検知間隔は(14,4,0)である。第3実施形態では、既知パターンDB17に検知順序171a及び検知間隔171bとともに検知間隔171bに対するに揺らぎの許容範囲171cが記憶されている。検知フェーズにおいて、検知パターンの検知間隔が既知パターンの検知間隔と完全一致しない場合であっても検知間隔のずれが揺らぎの許容範囲内であれば既知であると判定される。
例えば、既知パターンDB17の検知順序171aが(3,1,2)、検知間隔171bが(15,5,0)、揺らぎの許容範囲171cが(1,2,0)の場合、検知パターンの検知順序は既知パターンの検知順序171aと一致する。しかし、検知パターンの検知間隔171b(14,4,0)は既知パターンDB17の検知間隔171b(15,5,0)と一致しない。この場合、第2実施形態では検知フェーズにおいて検知パターンは未知であると判定される。
一方、第3実施形態では、検知パターンの検知間隔171b(14,4,0)は既知パターンの許容される検知間隔(15±1,5±2,0±0)に含まれる。この結果、検知パターンは既知であると判定される。
第3実施形態に係る検知装置10の内部構成は、図1に示す検知装置10の内部構成と同じであるためここでは説明を省略する。以下では、第3実施形態にかかる学習処理及び検知処理について順に説明する。
[学習処理]
まず、第3実施形態に係る学習処理について図21を参照して説明する。図21は、第3実施形態に係る学習処理の一例を示すフローチャートである。本処理が開始されると、既知パターン学習部16は、検知パターンの検知順序と一致する既知パターンの検知順序が既知パターンDB17に存在するかを判定する(ステップS80)。既知パターン学習部16は、検知順序が一致する既知パターンが既知パターンDB17に存在すると判定した場合、検知間隔の差の絶対値がすべて閾値d(図23では±3)以下となる検知パターンが存在するかを判定する(ステップS82)。
既知パターン学習部16は、検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在すると判定した場合、検知パターン履歴DB20の該当類似パターンの出現範囲203を検知間隔の差の絶対値に更新する(ステップS84)。また、既知パターン学習部16は、出現頻度202を更新(「1」を加算)する(ステップS84)。
例えば、図23に示す検知パターン履歴DB20の類似パターンの出現範囲203は、検知パターンと既知パターンとの検知間隔との差の絶対値(1,2,0)に更新される。
図21に戻り、次に、既知パターン学習部16は、検知パターン履歴DB20の出現頻度202が閾値Xを上回った場合、類似パターンの出現範囲203を既知パターンDB17の揺らぎの許容範囲171cに登録し(ステップS88)、本処理を終了する。
他方、既知パターン学習部16は、ステップS80にて検知順序が一致する既知パターンが既知パターンDB17に存在しないと判定した場合、検知パターンの検知順序と検知間隔を検知パターン履歴DB20と既知パターンDB17とに追加する(ステップS86)。既知パターン学習部16は、ステップS82にて検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在しないと判定した場合、検知パターンの検知順序と検知間隔を検知パターン履歴DB20と既知パターンDB17とに追加する(ステップS86)。次に、既知パターン学習部16は、検知パターン履歴DB20の出現頻度202が閾値Xを上回った場合、類似パターンの出現範囲203を既知パターンDB17の揺らぎの許容範囲171cに登録し(ステップS88)、本処理を終了する。
[検知処理]
次に、第3実施形態に係る検知処理について図22を参照して説明する。図22は、第3実施形態に係る検知処理の一例を示すフローチャートである。本処理が開始されると、既知判定部18は、検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在するかを探索する(ステップS90)。
既知判定部18は、検知パターンと検知順序が一致する既知パターンが既知パターンDB17に存在すると判定した場合、検知間隔の差の絶対値がすべて既知パターンDB17の揺らぎの許容範囲171c以下の検知パターンがあるかを判定する(ステップS92)。既知パターン学習部16は、検知間隔の差の絶対値がすべて既知パターンDB17の揺らぎの許容範囲171c以下となる検知パターンが存在すると判定した場合、検知パターンが既知であると通知し(ステップS94)、本処理を終了する。
一方、既知判定部18は、ステップS90にて検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在しないと判定した場合、検知パターンが未知であると通知し(ステップS96)、本処理を終了する。同様に、既知判定部18は、ステップS92にて検知間隔の差の絶対値がすべて既知パターンDB17の揺らぎの許容範囲171c以下となる検知パターンが存在しないと判定した場合、検知パターンが未知であると通知し(ステップS96)、本処理を終了する。
<第3実施形態の変形例>
以上に説明した第3実施形態では、検知順序が変化しない場合において検知間隔の揺らぎの許容範囲を考慮した学習処理及び検知処理について説明した。第3実施形態の変形例では、検知順序が変化する場合において検知間隔の揺らぎの許容範囲を考慮した学習処理及び検知処理について説明する。第3実施形態の変形例においても検知装置10の内部構成は、図1に示す検知装置10の内部構成と同じであるため説明を省略する。
[学習処理]
第3実施形態の変形例に係る学習処理について図24を参照して説明する。図24は、第3実施形態の変形例に係る学習処理の一例を示すフローチャートである。本処理が開始されると、既知パターン学習部16は、検知パターンを、検知順序を入れ替えてできるすべての検知順序に変換する(ステップS100)。これにより、変換された検知順序のパターンを含むすべての検知パターンのリストが作成される。
次に、既知パターン学習部16は、変換後の検知パターンのリストから、検知間隔が揺らぎの許容範囲−dより小さい値を有する検知パターン削除する(ステップS102)。次に、既知パターン学習部16は、変換後の検知パターンのリストから一つの検知パターンを、比較対象の検知パターンとして選択する(ステップS104)。
次に、既知パターン学習部16は、比較対象の検知パターンと同じ検知順序が、既知パターンDB17に存在するかを判定する(ステップS106)。既知パターン学習部16は、検知パターンと検知順序が同じ既知パターンが既知パターンDB17に存在すると判定した場合、検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在するかを判定する(ステップS108)。既知パターン学習部16は、検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在すると判定した場合、検知パターン履歴DB20の類似パターンの出現範囲203を検知間隔の差の絶対値に更新する(ステップS110)。また、既知パターン学習部16は、出現頻度202を更新し(ステップS110)、ステップS112に進む。
例えば、図25に示すように、検知間隔からの揺らぎの許容範囲をd(d≧1)とすると、検知ID1と検知ID2との検知間隔が短い。このため、揺らぎが許容される範囲で検知パターン((3,1,2)、(15,1,0))と、検知順序が異なる検知パターン((3,2,1)、(14,−1,0))とは類似パターンと捉えることができる。
よって、第3実施形態の変形例では、揺らぎの許容範囲に応じて検知順序を変換した検知パターンに対しても検知パターンと既知パターンとを比較することができる。そして、検知パターンの検知順序を入れ替えてできるすべての検知順序に変換して比較するため、精度が高い検知パターンの既知又は未知の判定が可能となる。
図24に戻り、既知パターン学習部16は、ステップS106にて比較対象の検知パターンと同じ検知順序が、既知パターンDB17に存在しないと判定した場合、ステップS112に進む。また、ステップS108にて検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在しないと判定した場合、ステップS112に進む。
既知パターン学習部16は、ステップS112にて変換後の検知パターンのリストに比較対象検知パターンとなっていない検知パターンが存在するかを判定する。既知パターン学習部16は、変換後の検知パターンのリストに比較対象の検知パターンとなっていない検知パターンが存在すると判定した場合、ステップS104に戻り、ステップS104〜S112の処理を繰り返す。ステップS104〜S112の処理は、ステップS112にて比較対象の検知パターンとなっていない検知パターンが存在しないと判定されるまで繰り返される。
既知パターン学習部16は、ステップS112にて比較対象の検知パターンとなっていない検知パターンが存在しないと判定した場合、比較対象の検知パターンと類似する検知パターンが一つもなかったかを判定する(ステップS114)。既知パターン学習部16は、比較対象の検知パターンと類似する検知パターンが一つもなかったと判定した場合、検知パターンの検知順序と検知間隔を検知パターン履歴DB20に追加し(ステップS116)、本処理を終了する。既知パターン学習部16は、比較対象の検知パターンと類似する検知パターンがあったと判定した場合、そのまま本処理を終了する。
[検知処理]
次に、第3実施形態の変形例に係る検知処理について図26を参照して説明する。図26は、第3実施形態の変形例に係る検知処理の一例を示すフローチャートである。本処理が開始されると、既知判定部18は、対象の検知パターンを、検知順序を入れ替えてできるすべての検知順序に変換し、リスト化する(ステップS120)。次に、既知判定部18は、変換後の検知パターンのリストから、検知間隔が揺らぎの許容範囲−dより小さい値を有する検知パターン削除する(ステップS122)。次に、既知判定部18は、変換後の検知パターンのリストから一つの検知パターンを、比較対象の検知パターンとして選択する(ステップS124)。
次に、既知判定部18は、比較対象の検知パターンと同じ検知順序が、既知パターンDB17に存在するかを判定する(ステップS126)。既知判定部18は、比較対象の検知パターンと同じ検知順序が、既知パターンDB17に存在すると判定した場合、検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在するかを判定し(ステップS128)、ステップS130に進む。
既知判定部18は、ステップS126にて比較対象の検知パターンと同じ検知順序が、既知パターンDB17に存在しないと判定した場合、ステップS130に進む。また、ステップS108にて検知間隔の差の絶対値がすべて閾値d以下となる検知パターンが存在しないと判定した場合も同様に、ステップS130に進む。
既知判定部18は、ステップS130にて変換後の検知パターンのリストに比較対象検知パターンとなっていない検知パターンが存在するかを判定する。既知判定部18は、変換後の検知パターンのリストに比較対象の検知パターンとなっていない検知パターンが存在すると判定した場合、ステップS124に戻り、ステップS124〜S130の処理を繰り返す。ステップS124〜S130の処理は、ステップS130にてにて比較対象の検知パターンとなっていない検知パターンが存在しないと判定されるまで繰り返される。
既知判定部18は、ステップS130にて比較対象の検知パターンとなっていない検知パターンが存在しないと判定した場合、比較対象の検知パターンと類似する検知パターンが一つもなかったかを判定する(ステップS132)。既知判定部18は、比較対象の検知パターンと類似する検知パターンがあったと判定した場合、検知パターンは「既知」と判定し(ステップS134)、本処理を終了する。一方、既知判定部18は、比較対象の検知パターンと類似する検知パターンが一つもなかったと判定した場合、検知パターンは「未知」と判定し(ステップS136)、本処理を終了する。
以上、第3実施形態及びその変形例に係る検知装置10によれば、検知間隔の揺らぎ許容範囲に基づき検知パターンの検知順序及び検知間隔が一致するパターンのみならず、それらが類似するパターンも含めて検知パターンの既知又は未知が判定される。これにより、評価対象データの特徴量の変化点の出現のずれを許容し、既知パターンと「似ている」検知パターンを既知として検知することができる。
第1又は第2実施形態では、既知パターンと一致していない検知パターンは、類似していても未知と判定された。これに対して、第3実施形態及び変形例では、検知パターンの検知変化点の出現の些細なずれを考慮し、既知パターンと「似ている」検知パターンは既知と判定される。これにより、より実効性のある既知パターンの学習及び検知が可能になる。
<第4実施形態>
以上に説明した第1〜第3実施形態及び変形例にかかる検知装置10は、変化点の検知順序、検知間隔及び揺らぎの許容範囲等に基づき、既知パターンの学習及び検知を実行した。これに対して、第4実施形態にかかる検知装置10は、既知パターンの正常又は異常の学習結果に基づき、既知と判定された検知パターンの正常又は異常を判定する。以下、本実施形態にかかる検知装置10について説明する。
[検知装置の内部構成]
まず、第4実施形態に係る検知装置10の構成について、図27を参照しながら説明する。第4実施形態に係る検知装置10は、図9に示した第1実施形態の変形例に係る検知装置10の構成に加えて正常・異常学習部21、既知パターン学習履歴DB22、メッセージ入力部23、メッセージ判定部24及び異常メッセージ判定ルールDB25を有する。
メッセージ入力部23は、対象システム等のメッセージ及びメッセージの到達時刻又は送信時刻(以下、「メッセージ時刻」ともいう。)を入力する。メッセージ判定部24は、異常メッセージ判定ルールDB25に示す異常を示すメッセージの判定基準に基づき、入力メッセージの正常又は異常を判定する。
正常・異常学習部21は、入力したメッセージ時刻が既知パターン学習履歴DB22に記憶した検出時刻222から一定期間後までの間の時刻に該当する既知パターン221が存在するかを判定する。正常・異常学習部21は、該当する既知パターン221が存在すると判定した場合、既知パターン17の該当既知パターン171に対応する正常又は異常の学習結果173にメッセージの判定結果(正常又は異常等)を記憶する。正常・異常学習部21は、該当既知パターン221が既知パターン学習履歴DB22に複数存在すると判定した場合、すべての既知パターン171に対応する学習結果173にそれぞれのメッセージ判定結果を記憶する。
[学習処理]
第4実施形態に係る学習処理について図28を参照して説明する。図28は、第4実施形態に係る学習処理の一例を示すフローチャートである。本処理が開始されると、正常・異常学習部21は、入力メッセージの時刻(メッセージ時刻)と同期間の既知パターンが存在するかを判定する(ステップS140)。具体的には、正常・異常学習部21は、入力メッセージの時刻が既知パターン学習履歴DB22に記憶した検出時刻222から一定期間Y後までの間の時刻に対応する既知パターン221が存在するかを判定する。
正常・異常学習部21は、ステップS140にて入力メッセージの時刻と同期間の既知パターンが存在すると判定した場合、該当する既知パターンのうち、学習結果が異常でない既知パターン171のみ既知パターンDB17から抽出する(ステップS142)。
次に、正常・異常学習部21は、抽出した既知パターン171に対応する正常又は異常の学習結果173が異常を示すかを判定する(ステップS144)。正常・異常学習部21は、抽出した既知パターン171に対応する正常又は異常の学習結果173が異常を示すと判定した場合、既知パターンDB17の該当既知パターン171に対応する正常又は異常の学習結果173に「異常」を記憶する(ステップS146)。一方、正常・異常学習部21は、抽出した既知パターン171に対応する正常又は異常の学習結果173が正常を示すと判定した場合、既知パターンDB17の該当既知パターン171に対応する学習結果173に「正常」を記憶する(ステップS148)。
次に、正常・異常学習部21は、検出時刻222が入力メッセージの時刻よりも古い既知パターンの情報を既知パターン学習履歴DB22から削除し(ステップS150)、本処理を終了する。
また、正常・異常学習部21は、ステップS140にて入力メッセージの時刻と同期間の既知パターンが存在しないと判定した場合も同様にステップS150の処理を実行し、本処理を終了する。これにより、図29に示すように、メッセージの判定結果から既知パターンが正常か又は異常かが学習され、学習結果が既知パターンDB17に記憶される。
[検知処理]
次に、第4実施形態に係る検知処理について図30を参照して説明する。図30は、第3実施形態に係る検知処理の一例を示すフローチャートである。本処理が開始されると、既知判定部18は、対象の検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在するかを探索する(ステップS160)。既知判定部18は、検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在しないと判定した場合、検知パターンが「未知」のパターンであることを通知し(ステップS162)、本処理を終了する。
一方、既知判定部18は、検知パターンの検知順序と一致する検知順序の既知パターンが既知パターンDB17に存在すると判定した場合、既知パターンDB17の該当既知パターンの学習結果173に「正常」が記憶されているかを判定する(ステップS164)。既知判定部18は、正常又は異常の学習結果173に「異常」が記憶されていると判定した場合、検知パターンが「異常」のパターンであることを通知し(ステップS166)、本処理を終了する。一方、ステップS164にて、既知判定部18は、正常又は異常の学習結果173に「正常」が記憶されていると判定した場合、検知パターンが「正常」のパターンであることを通知し(ステップS168)、本処理を終了する。
これにより、検知パターンが、正常の既知パターンと一致した場合は「正常」、異常の既知パターンと一致した場合は「異常」、一致する既知パターンが無い場合は「未知」と判定できる。
以上に説明したように、第1〜第3実施形態では、対象の検知パターンの既知又は未知が判定されたのに対して、第4実施形態では、対象の検知パターンが既知である場合に正常又は異常の判定が可能となる。これにより、学習フェーズにおいて既知パターンが正常であるか又は異常であるかを学習することで、検知パターンが既知の場合に正常又は異常の情報を利用者に通知することができる。例えば、図31には、利用者への通知例(出力例)として、検知ID12の判定結果が既知(異常)であることを提示する一例が示されている。また、出力例には、既知パターンDB17の出現状況174の情報が提示されてもよい。
<第5実施形態>
[検知装置の内部構成]
最後に第5実施形態にかかる検知装置10について、図32を参照しながら説明する。第5実施形態にかかる検知装置10は、図9に示した第1実施形態の変形例に係る検知装置10の構成に加えて、既知パターン取り込み部26を有する。既知パターン取り込み部26は、既知パターンDB27の情報を外部のサーバ等から取り込む。
既知パターン学習部16は、取り込んだ既知パターンDB27に記憶された情報に基づき、検知パターンの既知又は未知、既知の場合の正常又は異常を学習する。また、既知判定部18は、取り込んだ既知パターンに基づき、検知パターンの既知又は未知、既知の場合の正常又は異常を判定する。既知判定部18は、検知パターンの正常又は異常に関して既に既知パターンDB17に保持している既知パターンと、取り込んだ既知パターンに矛盾があれば、取り込んだ既知パターンで上書きする。
第5実施形態に係る検知装置10によれば外部のサーバ等から既知パターンを取り込み、取り込んだ既知パターンにより検知パターンの学習及び検出が可能になる。また、取り込んだ既知パターンにより既知パターンDB17を更新することができる。これにより、外部から取り込んだ既知パターンを考慮して、検知パターンの学習、既知又は未知の判定を行うことができる。
(ハードウェア構成例)
最後に、本実施形態に係る検知装置10のハードウェア構成について、図33を参照して説明する。図33は、本実施形態に係る検知装置10のハードウェア構成の一例を示す。検知装置10は、入力装置101、表示装置102、外部I/F103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106、通信I/F107、及びHDD(Hard Disk Drive)108などを備え、それぞれがバスBで相互に接続されている。
入力装置101は、キーボードやマウスなどを含み、検知装置10に各操作信号を入力するために用いられる。表示装置102は、ディスプレイなどを含み、各種の処理結果を表示する。通信I/F107は、検知装置10をネットワークに接続するインタフェースである。これにより、検知装置10は、通信I/F107を介して、他の機器(例えば、既知パターンDB26を保存する装置等)とデータ通信を行うことができる。
HDD108は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、検知装置10の全体を制御する基本ソフトウェア及びアプリケーションソフトウェアがある。例えば、HDD108には、各種のデータベースやプログラム等が格納されてもよい。
外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、検知装置10は、外部I/F103を介して記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aには、CD(Compact Disk)、及びDVD(Digital Versatile Disk)、ならびに、SDメモリカード(SD Memory card)やUSBメモリ(Universal Serial Bus memory)等がある。
ROM105は、電源を切っても内部データを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105には、ネットワーク設定等のプログラム及びデータが格納されている。RAM104は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。CPU106は、上記記憶装置(例えば「HDD108」や「ROM105」など)から、プログラムやデータをRAM104上に読み出し、処理を実行することで、装置全体の制御や搭載機能を実現する演算装置である。
かかる構成により、本実施形態に係る検知装置10では、CPU106が、ROM105やHDD108内に格納されたデータ及びプログラムを用いて学習処理及び検知処理を実行する。なお、変化点履歴DB15、既知パターンDB17、検知パターン履歴DB20及び既知パターン学習履歴DB22に記憶された情報は、RAM104、HDD108、又はネットワークを介して検知装置10に接続されるクラウド上のサーバ等に格納され得る。
以上、検知プログラム、検知方法及び検知装置を上記実施形態により説明したが、本発明にかかる検知プログラム、検知方法及び検知装置は上記実施形態に限定されるものではなく、本発明の範囲内で種々の変形及び改良が可能である。また、上記実施形態及び変形例が複数存在する場合、矛盾しない範囲で組み合わせることができる。
以上の説明に関し、更に以下の項を開示する。
(付記1)
評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行し、
検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す第1の検知パターンを記憶部に記憶し、
新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、
前記新たな時系列データについて、検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、異なる出力を行う、
処理をコンピュータに実行させるための検知プログラム。
(付記2)
評価対象の時系列データについて、前記第1の検知パターンが出現する頻度に基づき、該第1の検知パターンを前記記憶部に記憶するか否かを決定する、、
付記1に記載の検知プログラム。
(付記3)
前記第1の検知パターン及び前記第2の検知パターンは、前記検出された各変化点の検知間隔情報を含み、
前記第1の検知パターン及び前記第2の検知パターンの検知間隔情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンに含まれる検知間隔と一致するか否かに応じて、異なる出力を行う、
付記1又は2に記載の検知プログラム。
(付記4)
前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンの前記検知間隔からのずれの許容範囲内にあるか否かに応じて、異なる出力を行う、
付記3に記載の検知プログラム。
(付記5)
前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンが示す検知順序が、前記記憶部に記憶された第1の検知パターンが示す検知順序から変更可能な検知順序に一致し、かつ、前記第2の検知パターンの検知間隔が、前記検知順序を変更後の第1の検知パターンの検知間隔のずれの許容範囲内にあるか否かに応じて、異なる出力を行う、
付記3に記載の検知プログラム。
(付記6)
前記記憶部に記憶された第1の検知パターンは、該第1の検知パターンの出現が正常又は異常を示す情報を含み、
前記第1の検知パターンの出現が正常又は異常を示す情報に基づき、前記第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、該第2の検知パターンの正常又は異常の出力を行う、
付記1〜5のいずれか一項に記載の検知プログラム。
(付記7)
評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行し、
検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第1の検知パターンを記憶部に記憶し、
新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、
前記新たな時系列データについて、検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、異なる出力を行う、
処理をコンピュータが実行する検知方法。
(付記8)
評価対象の時系列データについて、前記第1の検知パターンが出現する頻度に基づき、該第1の検知パターンを前記記憶部に記憶するか否かを決定する、
付記7に記載の検知方法。
(付記9)
前記第1の検知パターン及び前記第2の検知パターンは、前記検出された各変化点の検知間隔情報を含み、
前記第1の検知パターン及び前記第2の検知パターンの検知間隔情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンに含まれる検知間隔と一致するか否かに応じて、異なる出力を行う、
付記7又は8に記載の検知方法。
(付記10)
前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンの前記検知間隔からのずれの許容範囲内にあるか否かに応じて、異なる出力を行う、
付記9に記載の検知方法。
(付記11)
前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンが示す検知順序が、前記記憶部に記憶された第1の検知パターンが示す検知順序から変更可能な検知順序に一致し、かつ、前記第2の検知パターンの検知間隔が、前記検知順序を変更後の第1の検知パターンの検知間隔のずれの許容範囲内にあるか否かに応じて、異なる出力を行う、
付記9に記載の検知方法。
(付記12)
前記記憶部に記憶された第1の検知パターンは、該第1の検知パターンの出現が正常又は異常を示す情報を含み、
前記第1の検知パターンの出現が正常又は異常を示す情報に基づき、前記第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、該第2の検知パターンの正常又は異常の出力を行う、
付記7〜11のいずれか一項に記載の検知方法。
(付記13)
評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行する変化点検知部と、
検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第1の検知パターンを記憶部に記憶する学習部と、
新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、前記検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かを判定する判定部と、
前記一致するか否かの判定に応じて、異なる出力を行う出力部と、
を有する検知装置。
(付記14)
前記学習部は、評価対象の時系列データについて、前記第1の検知パターンが出現する頻度に基づき、該第1の検知パターンを前記記憶部に記憶するか否かを決定する、
付記13に記載の検知装置。
(付記15)
前記第1の検知パターン及び前記第2の検知パターンは、前記検出された各変化点の検知間隔情報を含み、
前記判定部は、前記第1の検知パターン及び前記第2の検知パターンの検知間隔情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンに含まれる検知間隔と一致するか否かを判定し、
前記出力部は、前記一致するか否かの判定に応じて、異なる出力を行う、
付記13又は14に記載の検知装置。
(付記16)
前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
前記判定部は、前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンの前記検知間隔からのずれの許容範囲内にあるか否かを判定し、
前記出力部は、前記一致するか否かの判定に応じて、異なる出力を行う、
付記15に記載の検知装置。
(付記17)
前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
前記判定部は、前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンが示す検知順序が、前記記憶部に記憶された第1の検知パターンが示す検知順序から変更可能な検知順序に一致し、かつ、前記第2の検知パターンの検知間隔が、前記検知順序を変更後の第1の検知パターンの検知間隔のずれの許容範囲内にあるか否かを判定し、
前記出力部は、前記一致するか否かの判定に応じて、異なる出力を行う、
付記15に記載の検知装置。
(付記18)
前記記憶部に記憶された第1の検知パターンは、該第1の検知パターンの出現が正常又は異常を示す情報を含み、
前記判定部は、前記第1の検知パターンの出現が正常又は異常を示す情報に基づき、前記第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かを判定し、
前記出力部は、前記一致するか否かの判定に応じて、該第2の検知パターンの正常又は異常の出力を行う、
付記13〜17のいずれか一項に記載の検知装置。
10:検知装置
11:データ入力部
12:特徴量算出部
13:変化点検知部
14:検知パターン検出部
15:変化点履歴DB
16:既知パターン学習部
17:既知パターンDB
18:既知判定部
19:出力部
20:検知パターン履歴DB
21:正常・異常学習部
22:既知パターン学習履歴DB
23:メッセージ入力部
24:メッセージ判定部
25:異常メッセージ判定ルールDB
26:既知パターン取り込み部
151:検知ID
152:検知時間
171:既知パターン
171a:検知順序
171b:検知間隔
171c:揺らぎの許容範囲
172:検知ID
173:正常又は異常の学習結果
174:出現状況
201:検知パターン
202:出現頻度
203:類似パターンの出現範囲
ph1:共通フェーズ
ph2:学習フェーズ
ph3:検知フェーズ

Claims (8)

  1. 評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行し、
    検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す第1の検知パターンを記憶部に記憶し、
    新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、
    前記新たな時系列データについて、検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、異なる出力を行う、
    処理をコンピュータに実行させるための検知プログラム。
  2. 評価対象の時系列データについて、前記第1の検知パターンが出現する頻度に基づき、該第1の検知パターンを前記記憶部に記憶するか否かを決定する、
    請求項1に記載の検知プログラム。
  3. 前記第1の検知パターン及び前記第2の検知パターンは、前記検出された各変化点の検知間隔情報を含み、
    前記第1の検知パターン及び前記第2の検知パターンの検知間隔情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンに含まれる検知間隔と一致するか否かに応じて、異なる出力を行う、
    請求項1又は2に記載の検知プログラム。
  4. 前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
    前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンに含まれる検知間隔が前記記憶部に記憶された第1の検知パターンの前記検知間隔からのずれの許容範囲内にあるか否かに応じて、異なる出力を行う、
    請求項3に記載の検知プログラム。
  5. 前記第1の検知パターンは、前記検知間隔のずれの許容範囲を示すずれ許容範囲情報を含み、
    前記第1の検知パターンのずれ許容範囲情報に基づき、前記第2の検知パターンが示す検知順序が、前記記憶部に記憶された第1の検知パターンが示す検知順序から変更可能な検知順序に一致し、かつ、前記第2の検知パターンの検知間隔が、前記検知順序を変更後の第1の検知パターンの検知間隔のずれの許容範囲内にあるか否かに応じて、異なる出力を行う、
    請求項3に記載の検知プログラム。
  6. 前記記憶部に記憶された第1の検知パターンは、該第1の検知パターンの出現が正常又は異常を示す情報を含み、
    前記第1の検知パターンの出現が正常又は異常を示す情報に基づき、前記第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、該第2の検知パターンの正常又は異常の出力を行う、
    請求項1〜5のいずれか一項に記載の検知プログラム。
  7. 評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行し、
    検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第1の検知パターンを記憶部に記憶し、
    新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、
    前記新たな時系列データについて、検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かに応じて、異なる出力を行う、
    処理をコンピュータが実行する検知方法。
  8. 評価対象の時系列データについて、単位時間の幅が異なる複数の粒度で変化点を検出する複数の変化点検出処理を実行する変化点検知部と、
    検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第1の検知パターンを記憶部に記憶する学習部と、
    新たな評価対象の時系列データについて、前記異なる複数の粒度で変化点を検出し、前記検出された各変化点が、順に、前記複数の変化点検出処理のうち、どの変化点検出処理に対応するかを示す検知順序情報を含む第2の検知パターンが、前記記憶部に記憶された第1の検知パターンと一致するか否かを判定する判定部と、
    前記一致するか否かの判定に応じて、異なる出力を行う出力部と、
    を有する検知装置。
JP2015036897A 2015-02-26 2015-02-26 検知プログラム、検知方法及び検知装置 Expired - Fee Related JP6467989B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015036897A JP6467989B2 (ja) 2015-02-26 2015-02-26 検知プログラム、検知方法及び検知装置
US15/048,716 US20160255109A1 (en) 2015-02-26 2016-02-19 Detection method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015036897A JP6467989B2 (ja) 2015-02-26 2015-02-26 検知プログラム、検知方法及び検知装置

Publications (2)

Publication Number Publication Date
JP2016161950A JP2016161950A (ja) 2016-09-05
JP6467989B2 true JP6467989B2 (ja) 2019-02-13

Family

ID=56798477

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015036897A Expired - Fee Related JP6467989B2 (ja) 2015-02-26 2015-02-26 検知プログラム、検知方法及び検知装置

Country Status (2)

Country Link
US (1) US20160255109A1 (ja)
JP (1) JP6467989B2 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10476896B2 (en) * 2016-09-13 2019-11-12 Accenture Global Solutions Limited Malicious threat detection through time series graph analysis
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
US11256812B2 (en) * 2017-01-31 2022-02-22 Zerofox, Inc. End user social network protection portal
US11394722B2 (en) 2017-04-04 2022-07-19 Zerofox, Inc. Social media rule engine
US11418527B2 (en) 2017-08-22 2022-08-16 ZeroFOX, Inc Malicious social media account identification
US11403400B2 (en) 2017-08-31 2022-08-02 Zerofox, Inc. Troll account detection
JP6954070B2 (ja) * 2017-12-08 2021-10-27 富士通株式会社 判別プログラム、判別方法および判別装置
US10715393B1 (en) * 2019-01-18 2020-07-14 Goldman Sachs & Co. LLC Capacity management of computing resources based on time series analysis
US11321332B2 (en) * 2020-05-18 2022-05-03 Business Objects Software Ltd. Automatic frequency recommendation for time series data

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3176910B2 (ja) * 1990-08-31 2001-06-18 株式会社東芝 時系列データの特徴検出システム及び予測システム
JP4183185B2 (ja) * 2004-03-10 2008-11-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 診断装置、検出装置、制御方法、検出方法、プログラム、及び記録媒体
US8699357B2 (en) * 2006-11-30 2014-04-15 Alcatel Lucent Methods and apparatus for instability detection in inter-domain routing
US20080140817A1 (en) * 2006-12-06 2008-06-12 Agarwal Manoj K System and method for performance problem localization

Also Published As

Publication number Publication date
US20160255109A1 (en) 2016-09-01
JP2016161950A (ja) 2016-09-05

Similar Documents

Publication Publication Date Title
JP6467989B2 (ja) 検知プログラム、検知方法及び検知装置
US10514974B2 (en) Log analysis system, log analysis method and program recording medium
JP6875179B2 (ja) システム分析装置、及びシステム分析方法
US10860655B2 (en) Creating and testing a correlation search
WO2019236321A1 (en) Tracking and recovering transactions performed across multiple applications
US20160094431A1 (en) Service Analyzer Interface
JP2017072882A (ja) アノマリ評価プログラム、アノマリ評価方法、および情報処理装置
KR102440335B1 (ko) 이상 감지 관리 방법 및 그 장치
Gupta et al. Context-aware time series anomaly detection for complex systems
JPWO2010061735A1 (ja) 検出イベントに応じたアクション実行を支援するシステム、検出イベントに応じたアクション実行を支援する方法、支援装置及びコンピュータプログラム
US10248517B2 (en) Computer-implemented method, information processing device, and recording medium
US20170201606A1 (en) Automatically adjusting timestamps from remote systems based on time zone differences
US20150326446A1 (en) Automatic alert generation
CN111061581B (zh) 一种故障检测方法、装置及设备
CN111695584A (zh) 时序数据监视系统和时序数据监视方法
JP2021125266A (ja) 状態推定装置、システム、及び製造方法
US20180173687A1 (en) Automatic datacenter state summarization
CN112950687B (zh) 一种确定跟踪状态的方法、装置、存储介质和电子设备
US20240098008A1 (en) Detecting behavioral change of iot devices using novelty detection based behavior traffic modeling
GB2484967A (en) Discovery of resources in a computing network
JP6898607B2 (ja) 異常予兆検出システムおよび異常予兆検出方法
US10320636B2 (en) State information completion using context graphs
US9690639B2 (en) Failure detecting apparatus and failure detecting method using patterns indicating occurrences of failures
US20160092289A1 (en) Determination method, selection method, and determination device
CN109840246A (zh) 一种用于计算目标特征的历史数据的方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181231

R150 Certificate of patent or registration of utility model

Ref document number: 6467989

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees