JP6864610B2 - 特定システム、特定方法及び特定プログラム - Google Patents
特定システム、特定方法及び特定プログラム Download PDFInfo
- Publication number
- JP6864610B2 JP6864610B2 JP2017234400A JP2017234400A JP6864610B2 JP 6864610 B2 JP6864610 B2 JP 6864610B2 JP 2017234400 A JP2017234400 A JP 2017234400A JP 2017234400 A JP2017234400 A JP 2017234400A JP 6864610 B2 JP6864610 B2 JP 6864610B2
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- cause
- feature amount
- specific
- communication feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
まず、図1を用いて、第1の実施形態に係る特定システムの構成について説明する。図1は、第1の実施形態に係る特定システムの構成の一例を示す図である。図1に示すように、特定システム1は、特定装置10、ゲートウェイ装置20及び機器30を有する。また、特定装置10及びゲートウェイ装置20は、ネットワーク2を介して通信可能に接続されている。また、機器30は、ゲートウェイ装置20と通信可能に接続されている。
例えば、検知モデル141は、通信特徴量又は動作ログからアノマリスコアを計算する関数及びパラメータを含む。
図4及び5を用いて、特定装置10の処理の流れを説明する。特定装置10の処理は、大きく初期設定フェーズと運用フェーズに分けられる。初期設定フェーズにおいて、特定装置10は、主に収集又は初期学習を行う。また、運用フェーズにおいて、特定装置10は、主に機器の異常検知及び異常原因の特定を行う。
第1の生成部151は、機器30の正常動作時の通信特徴量又は動作ログを学習し、機器30が異常状態であることを検知するための検知モデル141を生成する。第2の生成部153は、機器30の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器30の異常原因を特定するための特定モデル142を生成する。検知部152は、検知モデル141と機器30から取得した通信特徴量又は動作ログとを基に、機器30が異常状態であることを検知する。特定部154は、検知部152によって機器30が異常状態であることが検知された場合、特定モデル142と機器30から取得した通信特徴量又は動作ログとを基に、機器30の異常原因を特定する。
特定システム1の装置構成は、図1のものに限られない。例えば、特定システム1は、第1の生成部151及び検知部152に相当する機能を備えた検知装置と、第2の生成部153及び特定部154に相当する機能を備えた特定装置とを有するものであってもよい。また、特定装置10は、ゲートウェイ装置20を経由せずに、直接機器30の通信特徴量又は動作ログを取得してもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
一実施形態として、特定装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の異常検知処理及び異常原因の特定処理を実行する特定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の特定プログラムを情報処理装置に実行させることにより、情報処理装置を特定装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはサーバ機器、スマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
2 ネットワーク
10 特定装置
11 通信部
12 入力部
13 出力部
14 記憶部
15 制御部
20 ゲートウェイ装置
30 機器
141 検知モデル
142 特定モデル
143 異常原因DB
151 第1の生成部
152 検知部
153 第2の生成部
154 特定部
155 格納部
Claims (4)
- 機器の正常動作時の通信特徴量又は動作ログを収集又は学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成部と、
機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成部と、
前記検知モデルと第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器が異常状態であることを検知する検知部と、
前記検知部によって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器の異常原因を特定する特定部と、
前記第1の機器から取得した通信特徴量又は動作ログと前記特定部によって特定された前記第1の機器の第1の異常原因とを出力する出力部と、
前記出力部によって出力された前記通信特徴量又は前記動作ログと前記第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける入力部と、
前記第1の異常原因と前記第2の異常原因とが同一であるか否かを判定し、同一でないと判定した場合、前記第2の異常原因と前記通信特徴量又は前記動作ログとを対応付けて記憶部に格納する格納部と、
を有し、
前記第2の生成部は、前記記憶部から取得した異常原因と通信特徴量又は動作ログとを学習することを特徴とする特定システム。 - 前記第2の生成部は、前記記憶部に異常原因と通信特徴量又は動作ログとが記憶されている場合にのみ前記特定モデルを生成することを特徴とする請求項1に記載の特定システム。
- 特定システムで実行される特定方法であって、
機器の正常動作時の通信特徴量又は動作ログを学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成工程と、
機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成工程と、
前記検知モデルと第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器が異常状態であることを検知する検知工程と、
前記検知工程によって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器の異常原因を特定する特定工程と、
前記第1の機器から取得した通信特徴量又は動作ログと前記特定工程によって特定された前記第1の機器の第1の異常原因とを出力する出力工程と、
前記出力工程によって出力された前記通信特徴量又は前記動作ログと前記第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける入力工程と、
前記第1の異常原因と前記第2の異常原因とが同一であるか否かを判定し、同一でないと判定した場合、前記第2の異常原因と前記通信特徴量又は前記動作ログとを対応付けて記憶部に格納する格納工程と、
を含み、
前記第2の生成工程は、前記記憶部から取得した異常原因と通信特徴量又は動作ログとを学習することを特徴とする特定方法。 - コンピュータに、
機器の正常動作時の通信特徴量又は動作ログを学習し、機器が異常状態であることを検知するための検知モデルを生成する第1の生成ステップと、
機器の異常原因ごとの通信特徴量又は動作ログを収集又は学習し、機器の異常原因を特定するための特定モデルを生成する第2の生成ステップと、
前記検知モデルと第1の機器から取得した通信特徴量又は動作ログとを基に、前記第1の機器が異常状態であることを検知する検知ステップと、
前記検知ステップによって前記第1の機器が異常状態であることが検知された場合、前記特定モデルと前記第1の機器から取得した通信特徴量とを基に、前記第1の機器の異常原因を特定する特定ステップと、
前記第1の機器から取得した通信特徴量又は動作ログと前記特定ステップによって特定された前記第1の機器の第1の異常原因とを出力する出力ステップと、
前記出力ステップによって出力された前記通信特徴量又は前記動作ログと前記第1の異常原因とに基づいて行われたインシデントレスポンスによって特定された第2の異常原因の入力を受け付ける入力ステップと、
前記第1の異常原因と前記第2の異常原因とが同一であるか否かを判定し、同一でないと判定した場合、前記第2の異常原因と前記通信特徴量又は前記動作ログとを対応付けて記憶部に格納する格納ステップと、
を実行させ、
前記第2の生成ステップは、前記記憶部から取得した異常原因と通信特徴量又は動作ログとを学習することを特徴とする特定プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017234400A JP6864610B2 (ja) | 2017-12-06 | 2017-12-06 | 特定システム、特定方法及び特定プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017234400A JP6864610B2 (ja) | 2017-12-06 | 2017-12-06 | 特定システム、特定方法及び特定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019103069A JP2019103069A (ja) | 2019-06-24 |
JP6864610B2 true JP6864610B2 (ja) | 2021-04-28 |
Family
ID=66977239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017234400A Active JP6864610B2 (ja) | 2017-12-06 | 2017-12-06 | 特定システム、特定方法及び特定プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6864610B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3989492B1 (en) * | 2019-07-23 | 2024-01-03 | Nippon Telegraph And Telephone Corporation | Abnormality detection device, abnormality detection method, and abnormality detection program |
WO2021192191A1 (ja) * | 2020-03-27 | 2021-09-30 | 日本電気株式会社 | 異常アクセス予測システム、異常アクセス予測方法およびプログラム記録媒体 |
JP7413924B2 (ja) | 2020-05-25 | 2024-01-16 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
WO2024003995A1 (ja) * | 2022-06-27 | 2024-01-04 | 日本電信電話株式会社 | 異常検出装置、異常検出方法および異常検出プログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6453086B2 (ja) * | 2015-01-30 | 2019-01-16 | 株式会社日立ハイテクノロジーズ | 稼働データ分類装置 |
US11049030B2 (en) * | 2016-03-07 | 2021-06-29 | Nippon Telegraph And Telephone Corporation | Analysis apparatus, analysis method, and analysis program |
-
2017
- 2017-12-06 JP JP2017234400A patent/JP6864610B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019103069A (ja) | 2019-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
US20230362182A1 (en) | Abnormality sensing device and abnormality sensing method | |
JP6491356B2 (ja) | 分類方法、分類装置および分類プログラム | |
JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
US20190081970A1 (en) | Specifying system, specifying device, and specifying method | |
JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
US20210160259A1 (en) | System for automated signature generation and refinement | |
KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
JP6915305B2 (ja) | 検知装置、検知方法および検知プログラム | |
JP7052602B2 (ja) | 生成装置、生成方法及び生成プログラム | |
US20200342109A1 (en) | Baseboard management controller to convey data | |
JP6683655B2 (ja) | 検知装置および検知方法 | |
JP2014063349A (ja) | マルウェア検出装置および方法 | |
JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
CN110659478A (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
JP2018120308A (ja) | 分類装置、分類方法及び分類プログラム | |
US20220237238A1 (en) | Training device, determination device, training method, determination method, training method, and determination program | |
JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
JP2018169897A (ja) | 検知装置、検知方法及び検知プログラム | |
JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
JP2019022066A (ja) | 検出システム、検出方法及び検出プログラム | |
US20230221983A1 (en) | Techniques for providing third party trust to a cloud computing environment | |
JP6760884B2 (ja) | 生成システム、生成方法及び生成プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191217 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201208 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210208 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210330 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210402 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6864610 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |