JP6781776B2 - 特徴量生成装置、特徴量生成方法及びプログラム - Google Patents
特徴量生成装置、特徴量生成方法及びプログラム Download PDFInfo
- Publication number
- JP6781776B2 JP6781776B2 JP2018565943A JP2018565943A JP6781776B2 JP 6781776 B2 JP6781776 B2 JP 6781776B2 JP 2018565943 A JP2018565943 A JP 2018565943A JP 2018565943 A JP2018565943 A JP 2018565943A JP 6781776 B2 JP6781776 B2 JP 6781776B2
- Authority
- JP
- Japan
- Prior art keywords
- vector
- numerical
- learning
- vectors
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Description
本実施の形態では、フローデータのMSE、MIBデータのMSE、CPU使用率のMSEの3種のMSEが得られる。検知部16は、得られたMSEの平均を、最終的な異常度として計算し、最終的な異常度が予め定められた閾値を超えていた場合に異常であると判定する。そうでない場合、検知部16は、正常とであると判定する。
xtrain'_{d,i}=(xtrain_{d,i}−μ_i)/σ_i
の変換により標準化する。すなわち、各メトリックiの値は、平均μ_i及び標準偏差σ_iに基づいて標準化される。その結果、教師データxtrain_{d、i}は、{{−1.22,−1.22},{0,0},{1.22,1.22}}に標準化される。
11 受信部
12 学習処理制御部
13 前処理部
14 学習部
15 検知処理制御部
16 検知部
20 測定装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
121 教師データ記憶部
122 パラメータ記憶部
123 観測データ記憶部
124 学習結果記憶部
125 学習データ記憶部
B バス
N1 ネットワーク
Claims (7)
- 異常の検知対象から複数のタイミングで収集される各データの特徴量を要素とする数値ベクトルを生成し、当該数値ベクトルを、所定の数値ベクトルの集合に基づく正規化パラメータ又は標準化パラメータを用いて正規化又は標準化する生成部と、
前記所定の数値ベクトルを学習し、学習結果を出力する学習部と、
前記生成部によって正規化又は標準化された数値ベクトルごとに、当該数値ベクトルと、前記学習結果とに基づいて異常を検知する検知部とを有し、
前記所定の数値ベクトルの集合は、前記検知部によって異常が検知されない数値ベクトルの集合であり、前記検知部によって異常が検知されないことに応じて更新され、
前記生成部は、更新後の前記所定の数値ベクトルの集合に基づいて前記正規化パラメータ又は前記標準化パラメータを更新し、前記所定の数値ベクトルの集合が更新された後に収集される各データの特徴量を要素とする数値ベクトルについては、更新後の前記正規化パラメータ又は前記標準化パラメータを用いて正規化又は標準化する、
ことを特徴とする特徴量生成装置。 - 前記生成部は、生成した数値ベクトルの各メトリックを、前記所定の数値ベクトルの集合における当該メトリックの最大値によって除することで正規化する、
ことを特徴とする請求項1記載の特徴量生成装置。 - 前記生成部は、生成した数値ベクトルの各メトリックを、前記所定の数値ベクトルの集合における当該メトリックの平均及び標準偏差に基づいて標準化する、
ことを特徴とする請求項1記載の特徴量生成装置。 - 異常の検知対象から複数のタイミングで収集される各データの特徴量を要素とする数値ベクトルを生成し、当該数値ベクトルを、所定の数値ベクトルの集合に基づく正規化パラメータ又は標準化パラメータを用いて正規化又は標準化する生成手順と、
前記所定の数値ベクトルを学習し、学習結果を出力する学習手順と、
前記生成手順において正規化又は標準化された数値ベクトルごとに、当該数値ベクトルと、前記学習結果とに基づいて異常を検知する検知手順とをコンピュータが実行し、
前記所定の数値ベクトルの集合は、前記検知手順において異常が検知されない数値ベクトルの集合であり、前記検知手順において異常が検知されないことに応じて更新され、
前記生成手順は、更新後の前記所定の数値ベクトルの集合に基づいて前記正規化パラメータ又は前記標準化パラメータを更新し、前記所定の数値ベクトルの集合が更新された後に収集される各データの特徴量を要素とする数値ベクトルについては、更新後の前記正規化パラメータ又は前記標準化パラメータを用いて正規化又は標準化する、
ことを特徴とする特徴量生成方法。 - 前記生成手順は、生成した数値ベクトルの各メトリックを、前記所定の数値ベクトルの集合における当該メトリックの最大値によって除することで正規化する、
ことを特徴とする請求項4記載の特徴量生成方法。 - 前記生成手順は、生成した数値ベクトルの各メトリックを、前記所定の数値ベクトルの集合における当該メトリックの平均及び標準偏差に基づいて標準化する、
ことを特徴とする請求項4記載の特徴量生成方法。 - 請求項1乃至3いずれか一項記載の各部としてコンピュータを機能させるためのプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017017920 | 2017-02-02 | ||
JP2017017920 | 2017-02-02 | ||
PCT/JP2017/040104 WO2018142704A1 (ja) | 2017-02-02 | 2017-11-07 | 特徴量生成装置、特徴量生成方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018142704A1 JPWO2018142704A1 (ja) | 2019-11-14 |
JP6781776B2 true JP6781776B2 (ja) | 2020-11-04 |
Family
ID=63040418
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018565943A Active JP6781776B2 (ja) | 2017-02-02 | 2017-11-07 | 特徴量生成装置、特徴量生成方法及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20190392350A1 (ja) |
JP (1) | JP6781776B2 (ja) |
WO (1) | WO2018142704A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11954131B2 (en) | 2019-06-06 | 2024-04-09 | Nec Corporation | Time-series data processing method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007329329A (ja) * | 2006-06-08 | 2007-12-20 | Omron Corp | 不良要因抽出装置、不良要因抽出方法、不良要因抽出用プログラム、および不良要因抽出用プログラムを格納した記録媒体 |
JP5431235B2 (ja) * | 2009-08-28 | 2014-03-05 | 株式会社日立製作所 | 設備状態監視方法およびその装置 |
US8620853B2 (en) * | 2011-07-19 | 2013-12-31 | Smartsignal Corporation | Monitoring method using kernel regression modeling with pattern sequences |
US10069691B2 (en) * | 2013-11-26 | 2018-09-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for anomaly detection in a network |
US10887786B2 (en) * | 2016-10-25 | 2021-01-05 | Extreme Networks, Inc. | Near-uniform load balancing in a visibility network via usage prediction |
-
2017
- 2017-11-07 WO PCT/JP2017/040104 patent/WO2018142704A1/ja active Application Filing
- 2017-11-07 JP JP2018565943A patent/JP6781776B2/ja active Active
- 2017-11-07 US US16/481,672 patent/US20190392350A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
JPWO2018142704A1 (ja) | 2019-11-14 |
US20190392350A1 (en) | 2019-12-26 |
WO2018142704A1 (ja) | 2018-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6823501B2 (ja) | 異常検知装置、異常検知方法及びプログラム | |
US10728271B2 (en) | Bayesian tree aggregation in decision forests to increase detection of rare malware | |
JP6564799B2 (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
US11374944B2 (en) | Instant network threat detection system | |
US11570166B2 (en) | Semi-active probing framework to gather threat intelligence for encrypted traffic and learn about devices | |
US20200236131A1 (en) | Protecting endpoints with patterns from encrypted traffic analytics | |
US20190102337A1 (en) | Scalable training of random forests for high precise malware detection | |
US10452846B2 (en) | OS start event detection, OS fingerprinting, and device tracking using enhanced data features | |
JP6751168B2 (ja) | 異常要因推定装置、異常要因推定方法及びプログラム | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
US20230129786A1 (en) | Correlating endpoint and network views to identify evasive applications | |
US11201877B2 (en) | Detecting encrypted malware with SPLT-based deep networks | |
US11451561B2 (en) | Automated creation of lightweight behavioral indicators of compromise (IOCS) | |
US10079768B2 (en) | Framework for joint learning of network traffic representations and traffic classifiers | |
US10867036B2 (en) | Multiple pairwise feature histograms for representing network traffic | |
US10999146B1 (en) | Learning when to reuse existing rules in active labeling for device classification | |
US20210027167A1 (en) | Model structure extraction for analyzing unstructured text data | |
US10904271B2 (en) | Active prioritization of investigation targets in network security | |
JP6781776B2 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
JP6858798B2 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190723 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200609 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200730 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201013 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201016 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6781776 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |