JP7444270B2 - 判定装置、判定方法及び判定プログラム - Google Patents

判定装置、判定方法及び判定プログラム Download PDF

Info

Publication number
JP7444270B2
JP7444270B2 JP2022550323A JP2022550323A JP7444270B2 JP 7444270 B2 JP7444270 B2 JP 7444270B2 JP 2022550323 A JP2022550323 A JP 2022550323A JP 2022550323 A JP2022550323 A JP 2022550323A JP 7444270 B2 JP7444270 B2 JP 7444270B2
Authority
JP
Japan
Prior art keywords
determination
data
model
overdetection
relearning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022550323A
Other languages
English (en)
Other versions
JPWO2022059207A1 (ja
Inventor
友貴 山中
直人 藤木
正紀 篠原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022059207A1 publication Critical patent/JPWO2022059207A1/ja
Application granted granted Critical
Publication of JP7444270B2 publication Critical patent/JP7444270B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • G06N3/0455Auto-encoder networks; Encoder-decoder networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computer Security & Cryptography (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Alarm Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Description

本発明は、判定装置、判定方法及び判定プログラムに関する。
IoT時代の到来に伴い、多種のデバイスが多様な使われ方の下でインターネットに接続されている。これらのIoTデバイスのセキュリティ対策のため、IoT機器向けのトラフィックセッション異常検知システムや侵入検知システム(IDS)が、昨今盛んに研究されている。
このような異常検知システムの中には、Variational Auto Encoder(VAE)等の教師なし学習による確率密度推定器を用いるものがある。確率密度推定器を用いた異常検知システムは、実際の通信からトラフィック特徴量と呼ばれる学習用の高次元データを生成し、この特徴量を用いて正常なトラフィックの特徴を学習することで、正常通信パターンの発生確率を推定できるようになる。なお、以降の説明では、確率密度推定器を単にモデルと呼ぶ場合がある。
その後、異常検知システムは、学習済みのモデルを用いて各通信の発生確率を算出し、発生確率の小さい通信を異常として検知する。このため、確率密度推定器を用いた異常検知システムによれば、全ての悪性状態を知らずとも異常検知が可能であり、さらに、未知のサイバー攻撃への対処も可能であるという利点もある。なお、異常検知システムにおいては、前述の発生確率が小さいほど大きくなるアノマリスコアが異常検知に用いられる場合がある。
確率密度推定器を用いた異常検知システムは、検知対象の正常状態からのかい離度合いをもって異常を検知するということができる。したがって、監視対象システムの正常データの傾向が変化した場合、確率密度推定器をその変化に追従させることが必要になる。
正常状態の変化に追従する手法としては、過検知フィードバック(FB)及び再学習が知られている(例えば、特許文献1を参照)。過検知FBは学習済みのモデルからの小さなズレを補正する方法である。再学習はその名の通り、今持っている学習済みのモデルを破棄し、新たに学習を行う方法である。
特開2019-220866号公報
しかしながら、従来の技術には、正常状態の変化に追従する手法を適切に選択することが困難な場合があるという問題がある。
例えば、過検知FBは強力な手法であり、学習済みモデルからの変化が小さい場合は基本的に過検知FBを用いればよい。ただし、大量の新しい正常パターンをFBする場合、及び、学習済みモデルからの大幅な傾向の変化がある場合等に、過検知FBはうまく機能しないことがある。
一方で、過検知FBがうまく機能しないケースを判断するためには、機械学習に関する深い知識を要する。このため、全てのユーザが正常状態の変化に追従する手法を適切に選択できるとは限らない。
上述した課題を解決し、目的を達成するために、判定装置は、正常なデータを学習することにより生成された第1のモデルに関する情報、前記第1のモデルを使った異常検知システムによって過検知されたデータに関する情報、及び、前記過検知されたデータを基に生成された第2のモデルに関する情報のうち少なくともいずれかに基づき、前記第1のモデルの再学習の要否を判定する判定部と、前記判定部による判定の結果を通知する通知部と、を有することを特徴とする。
本発明によれば、正常状態の変化に追従する手法を適切に選択することができる。
図1は、判定装置と検知システムとの関係を説明する図である。 図2は、検知エンジンの動作例を示す図である。 図3は、検知エンジンの動作例を示す図である。 図4は、第1の実施形態に係る判定装置の構成例を示す図である。 図5は、第1の実施形態に係る判定装置の処理の流れを示すフローチャートである。 図6は、判定プログラムを実行するコンピュータの一例を示す図である。
以下に、本願に係る判定装置、判定方法及び判定プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
図1は、判定装置と検知システムとの関係を説明する図である。図1に示すように、判定装置30は、過検知データ及び検知結果に関する情報を検知システム1から取得し、取得した情報を基に判定を行い、判定結果をユーザに通知する。
検知システム1は、学習装置10及び検知装置20を有する。学習装置10は、初期学習データを用いてモデルの学習を行い、学習済みのモデルを構築するための情報である初期学習モデル情報を検知装置20に受け渡す。例えば、モデルはVAE等の確率密度推定器である。
また、学習装置10は、過検知データを用いてモデルの学習を行い、学習済みのモデルを構築するための情報である過検知モデル情報を検知装置20に受け渡す。検知装置20は、学習装置10から受け取った情報を基に各モデルを構築し、検知対象データの異常検知を行う。
検知システム1は、特許文献1に記載の評価装置と同様の構成及び機能を有するものであってもよい。その場合、学習装置10は、特許文献1に記載の評価装置における生成部に相当する。また、検知装置20は、特許文献1に記載の評価装置における評価部に相当する。
過検知データとは、初期学習データを用いて学習を行った初期学習モデルで異常判定されてしまったが、本来は正常であるはずのデータである。また、過検知データのみを用いて学習を行ったモデルが過検知モデルである。過検知FBは、初期学習モデルと過検知モデルを併用する手法である(詳細は特許文献1を参照)。
ここで、初期学習モデルと過検知モデルを併用した機構を検知エンジンと呼ぶ。検知エンジンは、入力された評価対象のデータについて、初期学習モデルと過検知モデルの両方でアノマリスコアの算出を行う。そして、検知エンジンは、2つのアノマリスコアのうち最小のものを最終的なアノマリスコアとみなす。なお、検知エンジンは、2つのアノマリスコアのlogsumexpを近似的に最小値とみなすことができる。
例えば、図2のように、初期学習モデルが低めのスコアを算出し、過検知モデルが高めのスコアを算出した場合、検知エンジンは、低めのスコアを最終的なアノマリスコアとして出力する。図2は、検知エンジンの動作例を示す図である。
例えば、図3のように、初期学習モデルが高めのスコアを算出し、過検知モデルが低めのスコアを算出した場合、検知エンジンは、低めのスコアを最終的なアノマリスコアとして出力する。図3は、検知エンジンの動作例を示す図である。
検知エンジンは、1つだけでなく複数の過検知モデルを初期学習モデルと併用してもよい。過検知モデルが複数である場合は、1つの評価対象データに対し、過検知モデルの数+1個のアノマリスコアがそれぞれのモデルによって算出される。そして、検知エンジンは、複数のアノマリスコアのうち最小のものを最終的なアノマリスコアとみなす。
ここで、過検知FBには2つの懸念点がある。第1の懸念点は、過検知モデルは初期学習モデルよりも規模が小さいモデルであるため、学習可能なデータのパターンに限りがあることである。したがって、大量のパターンを1度にFBしようとすると、過検知モデルが過検知データ全体をうまく学習することができず、FBがうまく働かないことがある。
第2の懸念点は、前述の通り複数の過検知モデルを併用可能であるが、過検知モデルの数が増えすぎると、本来異常なデータを誤って正常とみなしてしまう検知漏れのリスクが高まってしまうことである。基本的には、初期学習モデルと過検知モデルは、初期学習モデルが正常状態をうまく反映できており、過検知モデルは初期学習モデルと正常状態の微妙な差異を吸収するためにある、といった関係にあることが望ましい。
ここで、再学習を行う場合、新たな学習用データの収集が必要になる。このことから、再学習は効果が大きい一方で、非常にコストが大きい手法であるといえる。そのため、過検知FBで済む場合は過検知FBを採用する方が望ましい。一方で、過検知FBには上記のような懸念点があるため、過検知FBを採用しない方がよいケースも存在する。
そこで、本実施形態においては、判定装置30が所定の情報を基に、再学習を採用すべきであるか、もしくは過検知FBを採用すべきであるかを自動的に判定し、その結果をユーザに通知する。その結果、本実施形態によれば、正常状態の変化に追従する手法を適切に選択することができるようになる。
図4を用いて、判定装置30について説明する。図4は、第1の実施形態に係る判定装置の構成例を示す図である。図4に示すように、判定装置30は、IF(インタフェース)部31、記憶部32及び制御部33を有する。
IF部31は、データの入力及び出力のためのインタフェースである。例えば、IF部31はNIC(Network Interface Card)である。また、IF部31は、マウスやキーボード等の入力装置、及びディスプレイ等の出力装置と接続されていてもよい。
記憶部32は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部32は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部32は、判定装置30で実行されるOS(Operating System)や各種プログラムを記憶する。
制御部33は、判定装置30全体を制御する。制御部33は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部33は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部33は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部33は、取得部331、判定部332、通知部333を有する。
取得部331は、検知システム1から判定に必要な情報を取得する。例えば、取得部331は、正常であることが既知の初期学習データを学習することにより生成された初期学習モデルに関する情報、初期学習モデルを使った異常検知システムによって過検知された過検知データに関する情報、及び、過検知データを基に生成された過検知モデルに関する情報のうち少なくともいずれかを取得する。なお、初期学習モデルは第1のモデルの一例である。また、過検知モデルは第2のモデルの一例である。
例えば、取得部331は、初期学習データ及び過検知データの件数、種別及び具体的な値等を取得する。また、取得部331は、初期学習モデル及び過検知モデルに関して、損失関数の値及び算出されたアノマリスコア等を取得する。
判定部332は、取得部331によって取得された情報を基に再学習の要否を判定する。つまり、判定部332は、正常であることが既知の初期学習データを学習することにより生成された初期学習モデルに関する情報、初期学習モデルを使った異常検知システムによって過検知された過検知データに関する情報、及び、過検知データを基に生成された過検知モデルに関する情報のうち少なくともいずれかに基づき、初期学習モデルの再学習の要否を判定する。
通知部333は、判定部332による判定の結果を通知する。通知部333は、再学習の要否をユーザに通知する。例えば、ユーザは、モデルを正常状態に追従させるための手法を選択する際に、判定部332が再学習が必要であると判定した場合は再学習を選択し、判定部332が再学習が必要であると判定しなかった場合は過検知FBを選択することができる。
以下、判定部332が初期学習モデルの再学習の要否を判定する条件について説明する。条件には、大きく分けて(1)過検知データに関する条件と、(2)初期学習モデルに関する条件がある。また、各条件は単独で用いられてもよいし、組み合わせとして用いられてもよい。例えば、判定部332は、下記の条件のいずれかが満たされた場合に、再学習が必要と判定する。
(1)過検知データに関する条件
判定部332は、過検知データの件数の初期学習データの件数に対する割合が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。例えば、過検知モデルの学習に使用される過検知データの件数が、初期学習データの件数の30%を超えた場合、判定部332は初期学習モデルの再学習が必要であると判定する。
これは、過検知FBがそもそも初期学習からの小さなズレを補正するものであり、あまりに大量の過検知データをFBすると、うまく機能しないためである。
また、判定部332は、過検知データを所定の基準で複数の種別に分類したときの種別の数の、初期学習データを基準で分類したときの種別の数に対する割合が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。例えば、対象のデータが通信において発生したパケットごと又はフローごとの情報である場合、種別は通信プロトコル及びポート番号等の違いによるものであってもよい。
例えば、初期学習モデルの学習の際には存在しなかった通信プロトコルによる通信が増加した場合、トラフィックの傾向が大きく変化した可能性があり、初期学習モデルの再学習が必要になると考えられる。
判定部332は、過検知モデルの損失関数が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これは、過検知データだけでは過検知モデルの損失関数を十分に小さくすることができないため、過検知モデルの品質が向上しないことを意味している。そのような場合は、初期学習モデルの再学習が必要になると考えられる。
(2)初期学習モデルに関する条件
判定部332は、検知対象のデータのうちの、過検知モデルを使った異常検知システムによって異常と検知されなかったデータの割合が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。例えば、過検知モデルによって正常判定されるデータの件数が、検知対象のデータの件数の40%を超えた場合、初期学習モデルの再学習が必要であると判定される。
なお、正常判定されるデータとは、例えばアノマリスコアが低く異常と検知されないデータである。これは、初期学習モデルよりも過検知モデルに適合するデータが増えてきていると考えられるためである。
判定部332は、初期学習モデルによって計算される異常の度合いを表すアノマリスコアが所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これは、正常なデータの傾向が変化し、初期学習モデルが、本来正常であるデータに対しても高いアノマリスコアを算出していることが考えられるためである。
なお、判定部332は、初期学習モデルに関する条件について、例えば一定期間ごとに判定を行うようにしてもよい。例えば、判定部332は、直近4時間のデータを基に条件の判定を行う。
[第1の実施形態の処理]
図5は、第1の実施形態に係る判定装置の処理の流れを示すフローチャートである。まず、判定装置30は、過検知データに関する情報、初期学習モデルに関する情報、過検知モデルに関する情報を取得を取得する(ステップS101)。判定装置30は、これらの全ての情報を取得してもよいし、一部を取得してもよい。
次に、判定装置30は、取得した情報を基に、再学習が必要になる条件が満たされるか否かを判定する(ステップS102)。条件が満たされる場合(ステップS103、Yes)、判定装置30は、再学習が必要であることを通知する(ステップS104)。条件が満たされない場合(ステップS103、No)、判定装置30は、再学習が必要であることを通知せずに処理を終了する。
[第1の実施形態の効果]
これまで説明してきたように、判定部332は、正常であることが既知の初期学習データを学習することにより生成された初期学習モデルに関する情報、初期学習モデルを使った異常検知システムによって過検知された過検知データに関する情報、及び、過検知データを基に生成された過検知モデルに関する情報のうち少なくともいずれかに基づき、初期学習モデルの再学習の要否を判定する。通知部333は、判定部332による判定の結果を通知する。このように、判定装置30は、再学習の要否を自動的に判定して通知する。その結果、本実施形態によれば、正常状態の変化に追従する手法を適切に選択することができるようになる。
判定部332は、過検知データの件数の初期学習データの件数に対する割合が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これにより、大量の過検知データがFBされ、過検知モデルが機能しなくなることを防止することができる。
判定部332は、過検知データを所定の基準で複数の種別に分類したときの種別の数の、初期学習データを基準で分類したときの種別の数に対する割合が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これにより、データの傾向が大きく変化し、相対的に初期学習モデルの精度が低下してきたことを察知することができる。
判定部332は、過検知モデルの損失関数が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これにより、過検知モデルの品質が向上しなくなったことを察知することができる。
判定部332は、検知対象のデータのうちの、過検知モデルを使った異常検知システムによって異常と検知されなかったデータの割合が所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これにより、データの傾向が変化し、初期学習モデルではなく過検知モデルに適合してきたことを察知することができる。
判定部332は、初期学習モデルによって計算される異常の度合いを表すスコアが所定の値を超えた場合、初期学習モデルの再学習が必要であると判定する。これにより、データの傾向が大きく変化し、相対的に初期学習モデルの精度が低下してきたことを察知することができる。
[実施例]
本実施形態の検知システム1及び判定装置30は、IoT機器の異常検知へ適用可能である。例えば、検知システム1は、IoTネットワークに置かれたネットワークセンサによってキャプチャされたパケットに対して統計処理を実施し、トラフィック特徴量を生成する。そして、検知システム1は、トラフィック特徴量を用いて生成モデル(確率密度推定器)の学習を行い、初期学習モデルを生成する。
さらに、検知システム1は、この初期学習モデルを用いてある一定期間異常検知を行い続け、過検知データを蓄積していく。判定装置30は、蓄積された過検知データ及び各モデルに関する情報を検知システム1から取得し、再学習の要否を判定し、必要に応じて再学習をリコメンドする。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、プログラムは、CPUだけでなく、GPU等の他のプロセッサによって実行されてもよい。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、判定装置30は、パッケージソフトウェアやオンラインソフトウェアとして上記の判定処理を実行する判定プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の判定プログラムを情報処理装置に実行させることにより、情報処理装置を判定装置30として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、判定装置30は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の判定処理に関するサービスを提供する判定サーバ装置として実装することもできる。例えば、判定サーバ装置は、過検知データに関する情報を入力とし、再学習の要否を出力とする判定サービスを提供するサーバ装置として実装される。この場合、判定サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の判定処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図6は、判定プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(BASIC Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、判定装置30の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、判定装置30における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 検知システム
10 学習装置
20 検知装置
30 判定装置
31 IF部
32 記憶部
33 制御部
331 取得部
332 判定部
333 通知部

Claims (8)

  1. 正常であることが既知の初期学習データを学習することにより生成された第1のモデルを使った異常検知システムによって過検知された過検知データを所定の基準で複数の種別に分類したときの種別の数の、前記初期学習データを前記基準で分類したときの種別の数に対する割合が所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定する判定部と、
    前記判定部による判定の結果を通知する通知部と、
    を有することを特徴とする判定装置。
  2. 正常であることが既知の初期学習データを学習することにより生成された第1のモデルを使った異常検知システムによって過検知された過検知データを基に生成された第2のモデルを使った異常検知システムによって異常と検知されなかったデータの、検知対象のデータに対する割合が所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定する判定部と、
    前記判定部による判定の結果を通知する通知部と、
    を有することを特徴とする判定装置。
  3. 前記判定部は、さらに、前記過検知データの件数の前記初期学習データの件数に対する割合が所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定することを特徴とする請求項1又は2に記載の判定装置。
  4. 前記判定部は、さらに、前記第2のモデルの損失関数が所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定することを特徴とする請求項に記載の判定装置。
  5. 前記判定部は、さらに、前記第1のモデルによって計算される異常の度合いを表すスコアが所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定することを特徴とする請求項1又は2に記載の判定装置。
  6. 判定装置によって実行される判定方法であって、
    正常であることが既知の初期学習データを学習することにより生成された第1のモデルを使った異常検知システムによって過検知された過検知データを所定の基準で複数の種別に分類したときの種別の数の、前記初期学習データを前記基準で分類したときの種別の数に対する割合が所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定する判定工程と、
    前記判定工程による判定の結果を通知する通知工程と、
    を含むことを特徴とする判定方法。
  7. 判定装置によって実行される判定方法であって、
    正常であることが既知の初期学習データを学習することにより生成された第1のモデルを使った異常検知システムによって過検知された過検知データを基に生成された第2のモデルを使った異常検知システムによって異常と検知されなかったデータの、検知対象のデータに対する割合が所定の値を超えた場合、前記第1のモデルの再学習が必要であると判定する判定工程と、
    前記判定工程による判定の結果を通知する通知工程と、
    を含むことを特徴とする判定方法。
  8. コンピュータを、請求項1からのいずれか1項に記載の判定装置として機能させるための判定プログラム。
JP2022550323A 2020-09-18 2020-09-18 判定装置、判定方法及び判定プログラム Active JP7444270B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/035622 WO2022059207A1 (ja) 2020-09-18 2020-09-18 判定装置、判定方法及び判定プログラム

Publications (2)

Publication Number Publication Date
JPWO2022059207A1 JPWO2022059207A1 (ja) 2022-03-24
JP7444270B2 true JP7444270B2 (ja) 2024-03-06

Family

ID=80776756

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022550323A Active JP7444270B2 (ja) 2020-09-18 2020-09-18 判定装置、判定方法及び判定プログラム

Country Status (6)

Country Link
US (1) US20230351251A1 (ja)
EP (1) EP4216113A4 (ja)
JP (1) JP7444270B2 (ja)
CN (1) CN116324826A (ja)
AU (1) AU2020468530B2 (ja)
WO (1) WO2022059207A1 (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018143019A1 (ja) 2017-01-31 2018-08-09 日本電気株式会社 情報処理装置、情報処理方法およびプログラム記録媒体
JP2019513246A (ja) 2017-03-13 2019-05-23 平安科技(深▲せん▼)有限公司Ping An Technology (Shenzhen) Co.,Ltd. ランダムフォレストモデルの訓練方法、電子装置及び記憶媒体
WO2019138655A1 (ja) 2018-01-09 2019-07-18 日本電信電話株式会社 モデル学習装置、モデル学習方法、及びプログラム
JP2019153893A (ja) 2018-03-01 2019-09-12 日本電信電話株式会社 検知装置、検知方法及び検知プログラム
JP2019220866A (ja) 2018-06-20 2019-12-26 日本電信電話株式会社 評価装置及び評価方法
JP2020123174A (ja) 2019-01-30 2020-08-13 オリンパス株式会社 画像ファイル生成装置、画像ファイル生成方法、画像管理装置、および画像管理方法
JP2021018537A (ja) 2019-07-18 2021-02-15 オークマ株式会社 工作機械における診断モデルの再学習要否判定方法及び再学習要否判定装置、再学習要否判定プログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020078818A1 (en) * 2018-10-15 2020-04-23 Koninklijke Philips N.V. Adapting prediction models
US11481665B2 (en) * 2018-11-09 2022-10-25 Hewlett Packard Enterprise Development Lp Systems and methods for determining machine learning training approaches based on identified impacts of one or more types of concept drift

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018143019A1 (ja) 2017-01-31 2018-08-09 日本電気株式会社 情報処理装置、情報処理方法およびプログラム記録媒体
JP2019513246A (ja) 2017-03-13 2019-05-23 平安科技(深▲せん▼)有限公司Ping An Technology (Shenzhen) Co.,Ltd. ランダムフォレストモデルの訓練方法、電子装置及び記憶媒体
WO2019138655A1 (ja) 2018-01-09 2019-07-18 日本電信電話株式会社 モデル学習装置、モデル学習方法、及びプログラム
JP2019153893A (ja) 2018-03-01 2019-09-12 日本電信電話株式会社 検知装置、検知方法及び検知プログラム
JP2019220866A (ja) 2018-06-20 2019-12-26 日本電信電話株式会社 評価装置及び評価方法
JP2020123174A (ja) 2019-01-30 2020-08-13 オリンパス株式会社 画像ファイル生成装置、画像ファイル生成方法、画像管理装置、および画像管理方法
JP2021018537A (ja) 2019-07-18 2021-02-15 オークマ株式会社 工作機械における診断モデルの再学習要否判定方法及び再学習要否判定装置、再学習要否判定プログラム

Also Published As

Publication number Publication date
CN116324826A (zh) 2023-06-23
EP4216113A4 (en) 2024-06-05
EP4216113A1 (en) 2023-07-26
AU2020468530A1 (en) 2023-04-20
WO2022059207A1 (ja) 2022-03-24
US20230351251A1 (en) 2023-11-02
AU2020468530B2 (en) 2024-02-01
JPWO2022059207A1 (ja) 2022-03-24

Similar Documents

Publication Publication Date Title
JP7103274B2 (ja) 検知装置及び検知プログラム
RU2654146C1 (ru) Система и способ обнаружения вредоносных файлов с использованием элементов статического анализа
WO2018159337A1 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
WO2019240038A1 (ja) 検知装置及び検知方法
JP2018073258A (ja) 検知装置、検知方法および検知プログラム
WO2019245006A1 (ja) 検知装置及び検知方法
JP6767312B2 (ja) 検知システム、検知方法及び検知プログラム
US20190303789A1 (en) Computer-readable recording medium, learning method, and learning device
JP7444270B2 (ja) 判定装置、判定方法及び判定プログラム
JP2019040423A (ja) 検知装置、検知方法および検知プログラム
JP6954466B2 (ja) 生成方法、生成装置および生成プログラム
JP6835704B2 (ja) 検知システム、学習方法及び学習プログラム
JP2018073241A (ja) 検知装置、検知方法および検知プログラム
JP7184197B2 (ja) 異常検出装置、異常検出方法および異常検出プログラム
JP7444271B2 (ja) 学習装置、学習方法及び学習プログラム
JP2019003533A (ja) 検知装置および検知方法
US11899793B2 (en) Information processing apparatus, control method, and program
WO2021075009A1 (ja) 学習装置、推定装置、学習方法及び学習プログラム
JP7509311B2 (ja) トラフィックセンサ、分析方法、および、分析プログラム
JP7176630B2 (ja) 検知装置、検知方法および検知プログラム
JP6933302B2 (ja) 学習方法、学習装置及び学習プログラム
JP7509242B2 (ja) 改竄検知装置、改竄検知方法および改竄検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240123

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240205

R150 Certificate of patent or registration of utility model

Ref document number: 7444270

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150