JP6725452B2 - Classification device, classification method, and classification program - Google Patents
Classification device, classification method, and classification program Download PDFInfo
- Publication number
- JP6725452B2 JP6725452B2 JP2017104304A JP2017104304A JP6725452B2 JP 6725452 B2 JP6725452 B2 JP 6725452B2 JP 2017104304 A JP2017104304 A JP 2017104304A JP 2017104304 A JP2017104304 A JP 2017104304A JP 6725452 B2 JP6725452 B2 JP 6725452B2
- Authority
- JP
- Japan
- Prior art keywords
- label
- granularity
- classification
- teacher data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、分類装置、分類方法および分類プログラムに関する。 The present invention relates to a classification device, a classification method, and a classification program.
近年、データの質の向上、データ数の増加、計算リソースの増加、あるいは機械学習のアルゴリズムの進歩に伴って、深層学習を用いた分類問題を解く事例が増加している。深層学習は、教師データとして与えられたラベル情報に基づいて、自動的にデータの特徴を抽出しながら学習を行うことにより、高い分類性能を示すことが知られている。 In recent years, as the quality of data has increased, the number of data has increased, the number of computational resources has increased, or the progress of machine learning algorithms, cases of solving classification problems using deep learning have increased. It is known that deep learning shows high classification performance by performing learning while automatically extracting the characteristics of data based on label information given as teacher data.
例えば、通信データ等に基づいて深層学習を用いて、発生したセキュリティインシデントの種別を自動的に分類することができる。その場合には、通信データ等に対してインシデントの種別を示すラベルが付与された教師データが必要となる。深層学習に用いられる教師データには、同じ階層で分類されている同じ粒度のラベルが付与されている必要がある。例えば、「DoS攻撃」と「XXXマルウェアによるDoS攻撃」とは粒度が異なるラベルであり、そのままでは深層学習に用いることができない。 For example, the type of security incident that has occurred can be automatically classified by using deep learning based on communication data and the like. In that case, teacher data in which a label indicating the type of incident is attached to communication data or the like is required. The teacher data used for deep learning needs to be labeled with the same granularity classified in the same hierarchy. For example, “DoS attack” and “DoS attack by XXX malware” are labels with different granularity, and cannot be used as they are for deep learning.
ここで、教師データは、人手によりラベルを付与したり、ウィルスチェックのサービスサイトであるVirusTotal等からセキュリティベンダが付与したラベルの情報を取得したりすることにより用意される。人手により付与されたラベルの粒度は、ラベル付与を実施した実施者によって異なる場合がある。また、セキュリティベンダにより付与されたラベルや、SHA−1ハッシュ値等がラベルとして用いられる場合には、ラベルが異なる粒度の階層構造をもつ場合がある。 Here, the teacher data is prepared by manually assigning a label or acquiring information on a label assigned by a security vendor from a virus check service site such as VirusTotal. The granularity of the label applied by hand may differ depending on the person who performed the label application. When a label given by a security vendor or a SHA-1 hash value is used as a label, the label may have a hierarchical structure with different granularity.
しかしながら、従来の技術では、階層構造をもつラベルが付与された教師データを用いてセキュリティインシデントの種別を分類することは困難であった。例えば、深層学習を用いてセキュリティインシデントの種別を分類する場合に、大量のインシデントのデータを収集し、各データに対して粒度の揃った適切なラベルを付与することは困難である。一方、粗い粒度のラベルの教師データを用いる場合には、細かい粒度の詳細なラベルが付与された教師データは学習に使用できない。また、新たなセキュリティインシデントが発見された場合にも、適切な粒度のラベルが付与されなければ教師データとして追加することができない。 However, with the conventional technology, it is difficult to classify the types of security incidents using the teacher data to which labels having a hierarchical structure are added. For example, when classifying security incident types using deep learning, it is difficult to collect a large amount of incident data and give appropriate labels with uniform granularity to each data. On the other hand, when using the teacher data of the coarse-grain label, the teacher data to which the detailed label of the fine grain is given cannot be used for learning. Further, even when a new security incident is discovered, it cannot be added as teacher data unless a label with an appropriate granularity is given.
本発明は、上記に鑑みてなされたものであって、階層構造をもつラベルが付与された教師データを用いてセキュリティインシデントの種別を分類することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to classify the types of security incidents using teacher data to which labels having a hierarchical structure are added.
上述した課題を解決し、目的を達成するために、本発明に係る分類装置は、データに付与する分類の階層を表す第1の粒度のラベルを出力する粗分類部と、データに付与する粒度が前記第1の粒度のラベルより細かい第2の粒度のラベルを出力するとともに、前記第1の粒度のラベルから前記第2の粒度のラベルを出力する細分類部と、前記第1の粒度のラベルが付与された教師データまたは前記第2の粒度のラベルが付与された教師データを取得する取得部と、取得された前記第2の粒度のラベルが付与された教師データのラベルを、前記第1の粒度のラベルに変換する変換部と、を備え、前記粗分類部は、取得された前記第1の粒度のラベルが付与された教師データと、変換された前記第1の粒度のラベルが付与された教師データとを用いて、前記第1の粒度のラベルの付与を学習し、前記細分類部は、取得された前記第2の粒度のラベルが付与された教師データと、前記粗分類部が出力した前記第1の粒度のラベルとを用いて、前記第2の粒度のラベルの付与を学習することを特徴とする。 In order to solve the above-mentioned problems and achieve the object, the classification device according to the present invention includes a coarse classification unit that outputs a label of a first granularity indicating a classification hierarchy to be assigned to data, and a granularity to be assigned to data Outputs a label of a second granularity smaller than the label of the first granularity, and outputs a label of the second granularity from the label of the first granularity, and a sub-classification unit of the first granularity. The acquisition unit for acquiring the teacher data with a label or the teacher data with the label of the second granularity, and the label of the acquired teacher data with the label of the second granularity, And a conversion unit that converts the label to a granularity of 1. The coarse classification unit includes the acquired teacher data to which the acquired label of the first granularity is added and the converted label of the first granularity. The assignment of the label of the first granularity is learned by using the assigned teacher data, and the fine classification unit acquires the acquired teacher data of the label of the second granularity and the coarse classification. The assignment of the label of the second granularity is learned by using the label of the first granularity output by the unit.
本発明によれば、階層構造をもつラベルが付与された教師データを用いてセキュリティインシデントの種別を分類することができる。 According to the present invention, it is possible to classify the types of security incidents using teacher data to which labels having a hierarchical structure are added.
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。 Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings. The present invention is not limited to this embodiment. In the description of the drawings, the same parts are designated by the same reference numerals.
[分類装置の構成]
図1は、分類装置の概略構成を例示する模式図である。図1に例示するように、分類装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
[Classification device configuration]
FIG. 1 is a schematic diagram illustrating a schematic configuration of a classification device. As illustrated in FIG. 1, the
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。 The input unit 11 is realized by using an input device such as a keyboard and a mouse, and inputs various instruction information such as processing start to the control unit 15 in response to an input operation by an operator. The output unit 12 is realized by a display device such as a liquid crystal display and a printing device such as a printer.
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介したIoT機器2等の外部の装置と制御部15との通信を制御する。
The
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する分類処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
The storage unit 14 is realized by a semiconductor memory device such as a RAM (Random Access Memory) or a flash memory (Flash Memory), or a storage device such as a hard disk or an optical disk, and is a model in a normal state specified by a classification process described later. Parameters and the like are stored. The storage unit 14 may be configured to communicate with the control unit 15 via the
本実施形態において、記憶部14には、ラベル情報14aが格納される。ラベル情報14aは、分類装置10で分類されたデータに付与されるラベルと、各ラベルの分類の階層を表す粒度とを示す情報である。ラベル情報14aは、例えば、米国政府が推進しているサイバー攻撃対策において、検知に有効なサイバー攻撃を特徴付ける指標等を記述するための技術仕様であるSTIX(Structured Threat Information eXpression)を参照して構築される。
In the present embodiment, the storage unit 14 stores the
図2は、ラベル情報14aのデータ構成を例示する図である。図2には、マルウェアが行った通信のネットワークログを分類する場合の階層型のラベルが例示されている。図2に示す例では、DoS、ランサムウェア、およびトロイの木馬は、階層1の粒度の粗いラベルである。また、例えばDoSマルウェア1およびDoSマルウェア2は、階層1のDoSより粒度の細かい階層2のラベルである。
FIG. 2 is a diagram illustrating a data structure of the
図1の説明に戻る。制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図1に例示するように、粗分類部15a、細分類部15b、取得部15c、および変換部15dとして機能する。なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。
Returning to the description of FIG. The control unit 15 is realized by using a CPU (Central Processing Unit) or the like, and executes a processing program stored in the memory. As a result, the control unit 15 functions as a
粗分類部15aは、データに付与する分類の階層を表す第1の粒度のラベルを出力する。また、細分類部15bは、データに付与する粒度が第1の粒度のラベルより細かい第2の粒度のラベルを出力するとともに、第1の粒度のラベルから第2の細かい粒度のラベルを出力する。第1の粒度のラベルとは、例えば、図2に例示した階層1のラベルであり、第2の粒度のラベルとは、階層2のラベルである。以下、第1の粒度のラベルを粒度の粗いラベルとも記し、第2の粒度のラベルを粒度の細かいラベルまたは詳細ラベルとも記す。
The
ここで、図3を参照して粗分類部15aおよび細分類部15bについて説明する。図3は、分類装置10の処理概要を説明するための説明図である。図3に例示するように、本実施形態の分類装置10は、2階層の階層型のラベルのうち、粒度の粗いラベルを出力する粗分類部15aと、粒度の細かいラベルを出力する細分類部15bとが組み合わされて構成される。
Here, the
粗分類部15aは、単一の階層のラベルを取り扱う従来の分類装置と同様に構成され、データxが入力されると、隠れ層(hidden)を介して、データxに付与する「DoS」等の粒度の粗いラベルyを出力する。細分類部15bは、hiddenを介して、入力されたデータxに付与する「DoSマルウェア1」等の粒度の細かい詳細ラベルzを出力する。また、細分類部15bは、hiddenを介して、入力された粒度の粗いラベルyから粒度の細かい詳細ラベルzを出力する。
The rough classifying
粗分類部15aおよび細分類部15bは、後述するように、階層型の粒度の異なるラベルが付与されたデータを教師データとして深層学習を行う。これにより、分類装置10は入力されたデータxに付与する詳細ラベルzを高精度に出力することが可能となる。このように、深層学習で最適化される誤差関数を拡張することにより、分類装置10の分類性能を向上させることが可能となる。
The
なお、粗分類部15aおよび細分類部15bの深層学習の方式は限定されず、例えば、変分オートエンコーダ(Variational auto encoder)等を用いた高度な半教師あり学習が適用されてもよい。
The method of deep learning of the
図1の説明に戻る。取得部15cは、第1の粒度のラベルが付与された教師データまたは第2の粒度のラベルが付与された教師データを取得する。例えば、取得部15cは、入力部11あるいは通信制御部13を介して、階層型のラベルが付与されたデータを教師データとして取得する。
Returning to the description of FIG. The
変換部15dは、取得された第2の粒度のラベルが付与された教師データのラベルを、第1の粒度のラベルに変換する。具体的には、変換部15dは、階層型のラベルを階層の数の要素をもつベクトル形式に変換する。 The conversion unit 15d converts the acquired label of the teacher data to which the label of the second granularity is given to the label of the first granularity. Specifically, the conversion unit 15d converts the hierarchical label into a vector format having the number of layers of elements.
図4は、ラベルの変換について説明するための説明図である。図4に例示するように、変換部15dは、ラベル情報14aを参照し、例えば人手により付与された粒度のそろっていない2階層の階層型のラベルを、2つの要素をもつベクトルに変換する。例えば、変換部15dは、「DoSマルウェア1」を(DoS,DoSマルウェア1)に変換する。
FIG. 4 is an explanatory diagram for explaining label conversion. As illustrated in FIG. 4, the conversion unit 15d refers to the
また、粗いラベルのみが付与されていて詳細ラベルが不明である場合に、変換部15dは、(DoS,*)あるいは(DoS,null)のように、不明な詳細ラベルの値を*またはnull等とする。図4に示す例では、例えば、階層1の粒度の粗いラベルである「トロイの木馬」が(トロイの木馬,*)というベクトルに変換されている。これにより、変換部15dは、取得部15cが取得した教師データのラベルが階層2の詳細ラベルであった場合に、ラベル情報14aを参照し、階層1の粗いラベルに変換する。
When only the coarse label is given and the detailed label is unknown, the conversion unit 15d sets the value of the unknown detailed label to * or null, such as (DoS,*) or (DoS,null). And In the example shown in FIG. 4, for example, a "Trojan horse", which is a coarse-grained label of Layer 1, is converted into a vector of (Trojan horse, *). Accordingly, when the label of the teacher data acquired by the
なお、マルウェアが行った通信のネットワークログを、SHA−1ハッシュ値等で表されるマルウェア検体IDをラベルとして用いて分類する場合には、変換部15dは、マルウェア検体IDを元にして、最適な階層の階層型ラベルに変換する。その際、変換部15dは、必要以上に詳細な階層の値、あるいは信頼度の低い階層の値を*またはnull等とする。 In addition, when classifying the network log of the communication performed by the malware using the malware sample ID represented by the SHA-1 hash value or the like as a label, the conversion unit 15d optimizes based on the malware sample ID. Convert to a hierarchical label of a different hierarchy. At that time, the conversion unit 15d sets the value of the layer more detailed than necessary or the value of the layer with low reliability to * or null.
そして、粗分類部15aは、取得された第1の粒度のラベルが付与された教師データと、変換された第1の粒度のラベルが付与された教師データとを用いて、第1の粒度のラベルの付与を学習する。また、細分類部15bは、取得された第2の粒度の詳細ラベルが付与された教師データと、粗分類部15aが出力した第1の粒度のラベルとを用いて、第2の粒度の詳細ラベルの付与を学習する。
Then, the
言い換えれば、粒度の粗いラベルが付与された教師データが入力された場合に、粗分類部15aが粒度の粗いラベルの付与を学習する。また、粒度の細かい詳細ラベルが付与された教師データが入力された場合に、変換部15dが詳細ラベルを粒度の粗いラベルに変換することにより、粗分類部15aが粒度の粗いラベルの付与を学習する。また、細分類部15bが、粒度の細かい詳細ラベルが付与された教師データと、粗分類部15aが出力した粒度の粗いラベルとを用いて、詳細ラベルの付与を学習する。このように、分類装置10は、粒度の粗いラベルが付与された教師データおよび粒度の細かい詳細ラベルが付与された教師データのすべての教師データを用いて、詳細ラベルの付与を学習することが可能となる。
In other words, when the teacher data to which the coarse-grained label is attached is input, the
なお、分類装置10が取り扱うラベルの階層は3以上でもよい。ここで、図5を参照して、その場合の分類装置の構成を説明する。その場合に、分類装置10は、さらに、データに付与する、第1の粒度よりさらに粗い粒度のラベルを出力する粗分類部15αを備え、該粗分類部15αが粗分類部15aに連結される
The class of labels handled by the
図5には、分類装置10が3階層のラベルを取り扱う場合について例示されている。図5に示すように、階層1の粒度の粗いラベルを出力する粗分類部15aに、粗分類部15aと同様に構成され階層1よりさらに粒度の粗いラベルを出力する粗分類部15αが連結されている。これにより、分類装置10が、詳細ラベル、粗いラベル、および、さらに粗いラベルの3階層のラベルを取り扱うことが可能となる。
FIG. 5 exemplifies a case where the
分類装置10が4階層のラベルを取り扱う場合には、粗分類部15aおよび粗分類部15αと同様に構成され粒度が最も粗いラベルを出力する新たな粗分類部が、粗分類部15αに連結される。このように、分類装置10が取り扱うラベルの階層の数が増えた場合には、粗分類部15aと同様に構成され粒度が最も粗いラベルを出力する新たな粗分類部を分類装置10に連結することにより実現可能となる。これにより、分類装置10は、多様な教師データを用いて最も粒度の細かい詳細ラベルの付与を学習することが可能となる。
When the classifying
[分類処理]
次に、図6を参照して、本実施形態に係る分類装置10による分類処理について説明する。図6は、分類処理手順を示すフローチャートである。図6のフローチャートは、例えば、分類処理の開始を指示する操作入力があったタイミングで開始される。
[Classification process]
Next, with reference to FIG. 6, a classification process by the
まず、取得部15cが、入力部11あるいは通信制御部13を介して、粒度の粗いラベルが付与された教師データまたは粒度の細かいラベルが付与された教師データを取得する(ステップS1)。
First, the
次に、変換部15dが、教師データに付与されている階層型のラベルを階層の数の要素をもつベクトル形式に変換することにより、取得された教師データに詳細ラベルが付与されている場合には、詳細ラベルを粒度の粗いラベルに変換する(ステップS2)。 Next, the conversion unit 15d converts the hierarchical label attached to the teacher data to a vector format having the number of layers of elements, so that a detailed label is attached to the acquired teacher data. Converts the detailed label into a coarse-grained label (step S2).
取得部15cが、粒度の粗いラベルが付与された教師データを取得した場合に(ステップS3、Yes)、粗分類部15aが粗いラベルの付与を学習する(ステップS4)。また、取得部15cが、詳細ラベルが付与された教師データを取得した場合に(ステップS3,No)、粗分類部15aが粗いラベルの付与を学習し、細分類部15bが詳細ラベルの付与を学習する(ステップS5)。これにより、一連の分類処理が終了する。
When the
以上、説明したように、本実施形態の分類装置10において、粗分類部15aが、データに付与する分類の階層を表す第1の粒度の粗いラベルを出力する。また、細分類部15bが、データに付与する第1の粒度より細かい第2の粒度の詳細ラベルを出力するとともに、第1の粒度の粗いラベルから第2の粒度の詳細ラベルを出力する。また、取得部15cが、第1の粒度の粗いラベルが付与された教師データまたは第2の粒度の詳細ラベルが付与された教師データを取得する。
As described above, in the
また、変換部15dが、取得された第2の粒度の詳細ラベルが付与された教師データのラベルを、第1の粒度の粗いラベルに変換する。粗分類部15aは、取得された第1の粒度の粗いラベルが付与された教師データと、変換された第1の粒度の粗いラベルが付与された教師データとを用いて、第1の粒度の粗いラベルの付与を学習する。また、細分類部15bは、取得された第2の粒度の詳細ラベルが付与された教師データと、粗分類部15aが出力した第1の粒度の粗いラベルとを用いて、第2の粒度の詳細ラベルの付与を学習する。
In addition, the conversion unit 15d converts the acquired label of the teacher data to which the detailed label of the second granularity is added to the label of the first coarse particle. The
この場合に、粗分類部15aは、大量の教師データを用いて学習するので、精度が向上する。また、細分類部15bは、分類対象のデータに加え、粒度の粗いラベルを用いて分類するので、精度が向上する。また、粒度の粗いラベルが付与された教師データが無駄にされることなく詳細ラベルの付与の学習に利用される。
In this case, since the
このように、分類装置10は、階層型の粒度の異なるラベルが付与されたすべての教師データを用いて、詳細ラベルの付与を学習することが可能となる。これにより、ラベルの粒度に関わらず、幅広くより多くのラベルの情報を教師データとして学習できるので、分類性能が向上する。
In this way, the
また、セキュリティインシデントの原因を絞り込みながら、その時点でわかった範囲で抽象的なラベルが付与された教師データを用いて学習することが可能となる。同一のマルウェアに対して、セキュリティベンダごとに異なるラベルが付与されていても、異なるラベルの教師データを用いて学習することができる。このように、本実施形態の分類装置10の分類処理により、階層構造をもつラベルが付与された教師データを用いてセキュリティインシデントの種別を分類することできる。
Further, it becomes possible to narrow down the cause of the security incident and learn by using the teacher data to which the abstract label is given within the range found at that time. Even if different labels are assigned to the same malware for each security vendor, it is possible to learn using teacher data with different labels. In this way, the classification processing of the
さらに、データに付与するさらに粒度の粗いラベルを出力する粗分類部15αを備え、該粗分類部15αが粗分類部15aに連結されてもよい。これにより、分類装置10が3階層のラベルを取り扱うことが可能となる。このように、分類装置10は、多数階層構造の多様なラベルが付与された教師データを用いて、最も粒度の細かい詳細ラベルの付与を学習することが可能となる。
Furthermore, a coarse classification unit 15α for outputting a coarser-grained label to be added to the data may be provided, and the coarse classification unit 15α may be connected to the
[実施例] [Example]
次に、本実施形態の分類装置10と、単一の階層のラベルを取り扱う従来の分類装置について、以下の条件で実験を行って、分類精度を測定した。ここで、従来の分類装置は、hiddenを介して入力されたデータに付与する粒度の細かい詳細ラベルを出力する。入力されるデータは、手書き数字の画像データとし、詳細ラベルは、1,2,…の10種の数字のラベルとした。また、本実施形態の分類装置10で取り扱われる粒度の粗いラベルは、偶数または奇数の2種類のラベルとした。
Next, with respect to the
本実施形態の分類装置10および従来の分類装置のそれぞれに、詳細ラベルが付与された教師データ300件を入力し、粗いラベルが付与された教師データ9700件を本実施形態の分類装置10に入力し、詳細ラベルの付与の学習を行った。その後、本実施形態の分類装置10および従来の分類装置のそれぞれに、学習されていない未知のデータ10000件を入力した。その結果、従来の分類装置の分類精度は82%であった。これに対し、本実施形態の分類装置10の分類精度は87%であり、約5%の分類精度の向上が確認された。
To each of the
[プログラム]
上記実施形態に係る分類装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、分類装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の分類処理を実行する分類プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の分類プログラムを情報処理装置に実行させることにより、情報処理装置を分類装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
[program]
It is also possible to create a program in which the processing executed by the
また、分類装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の分類処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、分類装置10は、教師データおよび未知のデータを入力とし、未知のデータに付与するラベルを出力する分類処理サービスを提供するサーバ装置として実装される。この場合、分類装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の分類処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、分類装置10と同様の機能を実現する分類プログラムを実行するコンピュータの一例を説明する。
The
図7は、分類プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
FIG. 7 is a diagram illustrating an example of a computer that executes a classification program. The
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
The
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
Here, the hard disk drive 1031 stores, for example, an
また、分類プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した分類装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
The classification program is stored in the hard disk drive 1031 as a
また、分類プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Data used for information processing by the classification program is stored as
なお、分類プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、分類プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。 Although the embodiments to which the invention made by the present inventor has been applied have been described above, the present invention is not limited to the description and the drawings that form part of the disclosure of the present invention according to the present embodiment. That is, all other embodiments, examples, operation techniques, and the like made by those skilled in the art based on this embodiment are included in the scope of the present invention.
10 分類装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a ラベル情報
15 制御部
15a 粗分類部
15b 細分類部
15c 取得部
15d 変換部
10 Classification Device 11 Input Section 12
Claims (4)
データに付与する粒度が前記第1の粒度のラベルより細かい第2の粒度のラベルを出力するとともに、前記第1の粒度のラベルから前記第2の粒度のラベルを出力する細分類部と、
前記第1の粒度のラベルが付与された教師データまたは前記第2の粒度のラベルが付与された教師データを取得する取得部と、
取得された前記第2の粒度のラベルが付与された教師データのラベルを、前記第1の粒度のラベルに変換する変換部と、を備え、
前記粗分類部は、取得された前記第1の粒度のラベルが付与された教師データと、変換された前記第1の粒度のラベルが付与された教師データとを用いて、前記第1の粒度のラベルの付与を学習し、
前記細分類部は、取得された前記第2の粒度のラベルが付与された教師データと、前記粗分類部が出力した前記第1の粒度のラベルとを用いて、前記第2の粒度のラベルの付与を学習することを特徴とする分類装置。 A coarse classification unit that outputs a first granularity label that represents a classification hierarchy to be assigned to data;
A sub-classification unit that outputs a label of a second granularity in which the granularity given to the data is finer than the label of the first granularity, and outputs the label of the second granularity from the label of the first granularity;
An acquisition unit for acquiring the teacher data to which the label of the first granularity is attached or the teacher data to which the label of the second granularity is attached,
A conversion unit that converts the acquired label of the teacher data to which the label of the second granularity is added to the label of the first granularity,
The rough classification unit uses the acquired teacher data to which the label of the first granularity has been acquired and the converted teacher data to which the label of the first granularity has been converted to obtain the first granularity. Learn how to label
The fine classification unit uses the acquired teacher data to which the label of the second granularity is added and the label of the first granularity output from the coarse classification unit, and uses the label of the second granularity. A classifying device characterized by learning the assignment of.
データに付与する分類の階層を表す第1の粒度のラベルを出力する粗分類工程と、
データに付与する粒度が前記第1の粒度のラベルより細かい第2の粒度のラベルを出力するとともに、前記第1の粒度のラベルから前記第2の粒度のラベルを出力する細分類工程と、
前記第1の粒度のラベルが付与された教師データまたは前記第2の粒度のラベルが付与された教師データを取得する取得工程と、
取得された前記第2の粒度のラベルが付与された教師データのラベルを、前記第1の粒度のラベルに変換する変換工程と、を含み、
前記粗分類工程において、取得された前記第1の粒度のラベルが付与された教師データと、変換された前記第1の粒度のラベルが付与された教師データとを用いて、前記第1の粒度のラベルの付与を学習し、
前記細分類工程において、取得された前記第2の粒度のラベルが付与された教師データと、前記粗分類工程において出力された前記第1の粒度のラベルとを用いて、前記第2の粒度のラベルの付与を学習することを特徴とする分類方法。 A classification method executed by a classification device,
A rough classification step of outputting a first granularity label representing a classification hierarchy to be given to the data;
A sub-classification step of outputting a label of a second granularity in which the granularity given to the data is finer than the label of the first granularity, and outputting the label of the second granularity from the label of the first granularity;
An acquisition step of acquiring the teacher data with the label of the first granularity or the teacher data with the label of the second granularity;
A conversion step of converting the acquired label of the teacher data to which the label of the second granularity is given to the label of the first granularity,
In the rough classification step, using the acquired teacher data with the label of the first granularity and the acquired teacher data with the label of the first granularity, the first granularity is used. Learn how to label
In the fine classification step, using the acquired teacher data to which the label of the second granularity is given and the label of the first granularity output in the rough classification step, A classification method characterized by learning the assignment of labels.
データに付与する粒度が前記第1の粒度のラベルより細かい第2の粒度のラベルを出力するとともに、前記第1の粒度のラベルから前記第2の粒度のラベルを出力する細分類ステップと、
前記第1の粒度のラベルが付与された教師データまたは前記第2の粒度のラベルが付与された教師データを取得する取得ステップと、
取得された前記第2の粒度のラベルが付与された教師データのラベルを、前記第1の粒度のラベルに変換する変換ステップと、を含み、
前記粗分類ステップにおいて、取得された前記第1の粒度のラベルが付与された教師データと、変換された前記第1の粒度のラベルが付与された教師データとを用いて、前記第1の粒度のラベルの付与を学習し、
前記細分類ステップにおいて、取得された前記第2の粒度のラベルが付与された教師データと、前記粗分類ステップにおいて出力された前記第1の粒度のラベルとを用いて、前記第2の粒度のラベルの付与を学習する処理をコンピュータに実行させることを特徴とする分類プログラム。 A coarse classification step of outputting a label of a first granularity representing a classification hierarchy given to the data;
A sub-classification step of outputting a label of a second granularity in which the granularity given to the data is finer than the label of the first granularity, and outputting the label of the second granularity from the label of the first granularity;
An acquisition step of acquiring the teacher data with the label of the first granularity or the teacher data with the label of the second granularity;
A conversion step of converting the acquired label of the teacher data to which the label of the second granularity is given to the label of the first granularity,
In the rough classification step, using the acquired teacher data with the label of the first granularity and the converted teacher data with the label of the first granularity, the first granularity is used. Learn how to label
In the fine classification step, using the acquired teacher data to which the label of the second granularity is given and the label of the first granularity output in the rough classification step, A classification program characterized by causing a computer to execute a process of learning labeling.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017104304A JP6725452B2 (en) | 2017-05-26 | 2017-05-26 | Classification device, classification method, and classification program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017104304A JP6725452B2 (en) | 2017-05-26 | 2017-05-26 | Classification device, classification method, and classification program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018200524A JP2018200524A (en) | 2018-12-20 |
JP6725452B2 true JP6725452B2 (en) | 2020-07-22 |
Family
ID=64668226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017104304A Active JP6725452B2 (en) | 2017-05-26 | 2017-05-26 | Classification device, classification method, and classification program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6725452B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6740184B2 (en) * | 2017-07-07 | 2020-08-12 | 日本電信電話株式会社 | Granting device, assigning method, and assigning program |
CN110322688A (en) * | 2019-05-20 | 2019-10-11 | 华为技术有限公司 | A kind of method of data processing, the method for data query and relevant device |
JP7283554B2 (en) | 2019-09-27 | 2023-05-30 | 日本電気株式会社 | LEARNING DEVICE, LEARNING METHOD, AND PROGRAM |
CN111104800B (en) * | 2019-12-24 | 2024-01-23 | 东软集团股份有限公司 | Entity identification method, entity identification device, entity identification equipment, storage medium and program product |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092203A (en) * | 2008-10-07 | 2010-04-22 | Nec Corp | Failure detection device and failure detection method |
JP5660078B2 (en) * | 2012-05-31 | 2015-01-28 | カシオ計算機株式会社 | Multi-class classifier, method and program |
CN105938558B (en) * | 2015-03-06 | 2021-02-09 | 松下知识产权经营株式会社 | Learning method |
JP6719399B2 (en) * | 2017-02-10 | 2020-07-08 | ヤフー株式会社 | Analysis device, analysis method, and program |
-
2017
- 2017-05-26 JP JP2017104304A patent/JP6725452B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018200524A (en) | 2018-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6725452B2 (en) | Classification device, classification method, and classification program | |
US10581888B1 (en) | Classifying software scripts utilizing deep learning networks | |
US20200159924A1 (en) | Protecting a machine learning model | |
RU2697955C2 (en) | System and method for training harmful container detection model | |
US10262272B2 (en) | Active machine learning | |
CN106919555B (en) | System and method for field extraction of data contained within a log stream | |
RU2454714C1 (en) | System and method of increasing efficiency of detecting unknown harmful objects | |
US10872236B1 (en) | Layout-agnostic clustering-based classification of document keys and values | |
CN110826060A (en) | Visual classification method and device for malicious software of Internet of things and electronic equipment | |
US20200117523A1 (en) | Statistical deep content inspection of api traffic to create per-identifier interface contracts | |
US20200394511A1 (en) | Low-Resource Entity Resolution with Transfer Learning | |
US11799863B2 (en) | Creation device, creation system, creation method, and creation program | |
US9870420B2 (en) | Classification and storage of documents | |
CA3102085A1 (en) | An ensemble-based data curation pipeline for efficient label propagation | |
US20220179964A1 (en) | Machine learning based vulnerable target identification in ransomware attack | |
Conti et al. | A few-shot malware classification approach for unknown family recognition using malware feature visualization | |
US10659624B2 (en) | System and method for controlling the printing of documents, and performing analytics regarding documents printed, in a distributed enterprise environment | |
US8543645B1 (en) | Live experiment framework | |
JP2022003517A (en) | Detecting image-borne identification documents for protecting sensitive information | |
Tasyurek et al. | RT-Droid: a novel approach for real-time android application analysis with transfer learning-based CNN models | |
Fathurrahman et al. | Lightweight convolution neural network for image-based malware classification on embedded systems | |
JP6721551B2 (en) | Extraction device, extraction method, and extraction program | |
CN111881446A (en) | Method and device for identifying malicious codes of industrial internet | |
US11575691B2 (en) | System and method for a meta scan engine | |
US20230106639A1 (en) | User sentiment analysis for url reputations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190620 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200605 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200623 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200625 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6725452 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |