JP7444271B2 - 学習装置、学習方法及び学習プログラム - Google Patents
学習装置、学習方法及び学習プログラム Download PDFInfo
- Publication number
- JP7444271B2 JP7444271B2 JP2022550324A JP2022550324A JP7444271B2 JP 7444271 B2 JP7444271 B2 JP 7444271B2 JP 2022550324 A JP2022550324 A JP 2022550324A JP 2022550324 A JP2022550324 A JP 2022550324A JP 7444271 B2 JP7444271 B2 JP 7444271B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- learning
- model
- anomaly score
- unlearned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 30
- 230000006870 function Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 25
- 238000001514 detection method Methods 0.000 description 23
- 238000012545 processing Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 17
- 230000005856 abnormality Effects 0.000 description 7
- 230000010365 information processing Effects 0.000 description 4
- 238000002474 experimental method Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
- G06N3/0455—Auto-encoder networks; Encoder-decoder networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0475—Generative networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Probability & Statistics with Applications (AREA)
- Debugging And Monitoring (AREA)
- Electrically Operated Instructional Devices (AREA)
- Testing And Monitoring For Control Systems (AREA)
Description
本発明は、学習装置、学習方法及び学習プログラムに関する。
IoT時代の到来に伴い、多種のデバイスが多様な使われ方の下でインターネットに接続されている。これらのIoTデバイスのセキュリティ対策のため、IoT機器向けのトラフィックセッション異常検知システムや侵入検知システム(IDS)が、昨今盛んに研究されている。
このような異常検知システムの中には、Variational Auto Encoder(VAE)等の教師なし学習による確率密度推定器を用いるものがある。確率密度推定器を用いた異常検知システムは、実際の通信からトラフィック特徴量と呼ばれる学習用の高次元データを生成し、この特徴量を用いて正常なトラフィックの特徴を学習することで、正常通信パターンの発生確率を推定できるようになる。なお、以降の説明では、確率密度推定器を単にモデルと呼ぶ場合がある。
その後、異常検知システムは、学習済みのモデルを用いて各通信の発生確率を算出し、発生確率の小さい通信を異常として検知する。このため、確率密度推定器を用いた異常検知システムによれば、全ての悪性状態を知らずとも異常検知が可能であり、さらに、未知のサイバー攻撃への対処も可能であるという利点もある。なお、異常検知システムにおいては、前述の発生確率が小さいほど大きくなるアノマリスコアが異常検知に用いられる場合がある。
ここで、VAE等の確率密度推定器の学習は、学習対象の正常データ間で件数に偏りがある状況ではうまくいかないことが多い。特に、トラフィックセッションデータにおいては、件数に偏りがある状況がよく発生する。例えば、HTTP通信はよく使われるため、データが短時間で大量に集まる。一方で、稀にしか通信を行わないNTP通信等のデータを大量に集めるのは困難である。このような状況でVAE等の確率密度推定器による学習を行うと、データの件数が少ないNTP通信の学習がうまくいかず、発生確率を低く見積もってしまい、誤検知の原因になってしまうことがある。
このようなデータ件数の偏りによって発生する問題を解決する方法として、確率密度推定器の学習を2段階で行う方法が知られている(例えば、特許文献1を参照)。
しかしながら、従来の技術には、処理時間が増大する場合があるという問題がある。例えば、特許文献1に記載の方法では、確率密度推器の学習が2段階で行われるため、1段階の場合と比べて学習時間が2倍程度長くかかってしまう。
上述した課題を解決し、目的を達成するために、学習装置は、学習用のデータのうち未学習のデータとして選択されたデータを学習し、アノマリスコアを計算するモデルを生成する生成部と、前記学習用のデータのうち、前記生成部によって生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの少なくとも一部を前記未学習のデータとして選択する選択部と、を有することを特徴とする。
本発明によれば、正常データ間の件数に偏りがある場合であっても、短時間で精度良く学習を行うことができる。
以下に、本願に係る学習装置、学習方法及び学習プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、本実施形態の学習処理の流れを説明する。図1は、学習処理の流れを説明する図である。図1に示すように、本実施形態の学習装置は、終了条件が満たされるまで、STEP1とSTEP2を繰り返す。これにより、学習装置は複数のモデルを生成する。また、生成されたモデルはリストに追加されていくものとする。
まず、図1を用いて、本実施形態の学習処理の流れを説明する。図1は、学習処理の流れを説明する図である。図1に示すように、本実施形態の学習装置は、終了条件が満たされるまで、STEP1とSTEP2を繰り返す。これにより、学習装置は複数のモデルを生成する。また、生成されたモデルはリストに追加されていくものとする。
最初は、収集された学習用のデータは全て未学習のデータと見なされるものとする。STEP1では、学習装置は、未学習のデータから所定の数のデータをランダムにサンプリングする。そして、学習装置は、サンプリングしたデータからモデルを生成する。例えば、モデルはVAE等の確率密度推定器である。
続いて、STEP2では、学習装置は、生成したモデルを用いて、未学習のデータ全体のアノマリスコアを計算する。そして、学習装置は、アノマリスコアが閾値以下であったデータを学習済みのデータとして選択する。一方、学習装置は、アノマリスコアが閾値以上であったデータを未学習のデータとして選択する。ここで、終了条件が満たされていなければ、学習装置はSTEP1に戻る。
2回目以降のSTEP1では、STEP2でアノマリスコアが閾値以上であったデータが未学習のデータとみなされることになる。このように、本実施形態では、サンプリングと評価(アノマリスコアの計算及び未学習のデータの選択)が繰り返され、未学習のデータの中で支配的なタイプのデータが逐次学習される。
また、本実施形態では、サンプリングをすること、及び未学習のデータを絞り込んでいくことにより学習対象のデータは減っていくので、学習に要する時間を短くすることができる。
学習装置の構成について説明する。図2は、第1の実施形態に係る学習装置の構成例を示す図である。図2に示すように、学習装置10は、IF(インタフェース)部11、記憶部12及び制御部13を有する。
IF部11は、データの入力及び出力のためのインタフェースである。例えば、IF部11はNIC(Network Interface Card)である。また、IF部11は、マウスやキーボード等の入力装置、及びディスプレイ等の出力装置と接続されていてもよい。
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部12は、学習装置10で実行されるOS(Operating System)や各種プログラムを記憶する。
制御部13は、学習装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部13は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部13は、生成部131、計算部132及び選択部133を有する。
生成部131は、学習用のデータのうち未学習のデータとして選択されたデータを学習し、アノマリスコアを計算するモデルを生成する。生成部131は、生成したモデルをリストに追加する。生成部131は、既存のVAEの生成手法を採用することができる。また、生成部131は、未学習のデータの一部をサンプリングして得られたデータを基にモデルを生成してもよい。
計算部132は、生成部131によって生成されたモデルにより、未学習のデータのアノマリスコアを計算する。計算部132は、未学習のデータ全体のアノマリスコアを計算してもよいし、未学習のデータの一部のアノマリスコアを計算してもよい。
選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。
図3を用いて、選択部133による未学習データの選択について説明する。図3は、未学習のデータの選択について説明する図である。ここでは、モデルはVAEであり、異常通信を検知するために通信データのアノマリスコアを計算するものとする。
前述の通り、データ数に偏りがある状況下だと誤検知が発生してしまうことが多い。例えば、大量のHTTP通信と少量の管理用FTP通信を同時に学習対象とするような場合にデータ数の偏りが発生する。
図3の<1回目>に示すように、ここでは大量のMQTT通信のデータ、中程度の量のDNS通信等のデータ、少量のカメラ通信のデータが存在する状況を想定する。図3のグラフは、横軸に確率密度の負の対数尤度(-log p(x))の近似値であるアノマリスコア、縦軸にデータ数のヒストグラムを描いたものである。確率密度の負の対数尤度は、データ点の密度(出現頻度)が低ければ低いほど高い値をとるため、アノマリスコア、すなわち異常の度合いとみなすことができる。
図3の<1回目>に示すように、データ数が多いMQTT通信のアノマリスコアは低くなり、データ数が少ないカメラストリーミング通信のアノマリスコアは高くなる。このため、データ数が少ないカメラ通信のデータは、誤検知の原因になっていることが考えられる。
そこで、選択部133は、アノマリスコアが閾値以上であるデータの中から未学習のデータを選択する。そして、当該選択された未学習のデータの一部又は全部を使って、誤検知を抑えたモデルが生成される。言い換えると、選択部133は、さらなる学習が不要なデータを除外する機能を有している。
閾値は、モデルの生成時に得られたLoss値を基に決められてもよい。その場合、選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが、モデルの生成時に得られる各データのLoss値を基に計算された閾値以上であるデータの少なくとも一部を、未学習のデータとして選択する。例えば、閾値は、Loss値の平均+0.3σのように、平均値や分散を基に計算されるものであってもよい。
図3の<2回目>に示すように、選択部133は、<1回目>において計算されたアノマリスコアを基に、DNS通信のデータ及びカメラ通信のデータを中心に選択する。逆に、選択部133は、データ数が多かったMQTT通信のデータはほぼ選択しないことになる。
また、学習装置10は、生成部131、計算部132及び選択部133による各処理を3回目以降も繰り返すことができる。つまり、生成部131は、選択部133によって未学習のデータとしてデータが選択されるたびに、当該選択されたデータを学習し、アノマリスコアを計算するモデルを生成する。そして、選択部133は、生成部131によってモデルが生成されるたびに、当該生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。
また、学習装置10は、アノマリスコアが閾値以上となるデータの数が所定の値未満になった時点で繰り返しを終了してもよい。言い換えると、選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの数が所定の条件を満たす場合、当該アノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。
例えば、学習装置10は、アノマリスコアが閾値以上であるデータの数が、最初に収集された学習用のデータの数の1%未満になるまで処理を繰り返してもよい。また、繰り返しのたびにモデルが生成され、リストに追加されていくため、学習装置10は複数のモデルを出力することができる。
学習装置10によって生成された複数のモデルは、検知装置等において異常検知に使用される。複数のモデルを使った異常検知については、特許文献1に記載の方法により行われてもよい。すなわち、検知装置は、複数のモデルによって計算されたアノマリスコアのマージ値、又は最小値により異常を検知することができる。
[第1の実施形態の処理]
図4は、第1の実施形態に係る学習装置の処理の流れを示すフローチャートである。まず、学習装置10は、未学習のデータの一部をサンプリングする(ステップS101)。次に、学習装置10は、サンプリングしたデータを基にモデルを生成する(ステップS102)。
図4は、第1の実施形態に係る学習装置の処理の流れを示すフローチャートである。まず、学習装置10は、未学習のデータの一部をサンプリングする(ステップS101)。次に、学習装置10は、サンプリングしたデータを基にモデルを生成する(ステップS102)。
ここで、終了条件が満たされている場合(ステップS103、Yes)、学習装置10は処理を終了する。一方、終了条件が満たされていない場合(ステップS103、No)、学習装置10は生成したモデルにより未学習のデータ全体のアノマリスコアを計算する(ステップS104)。
学習装置10は、アノマリスコアが閾値以上のデータを未学習のデータとして選択し(ステップS105)、ステップS101に戻り処理を繰り返す。なお、ステップS105が実行される直前に、未学習のデータの選択は一旦初期化される。つまり、ステップS105では、学習装置10は、未学習のデータが1つも選択されていない状態で、アノマリスコアを参照して新たに未学習のデータの選択を行うことになる。
[第1の実施形態の効果]
これまで説明してきたように、生成部131は、学習用のデータのうち未学習のデータとして選択されたデータを学習し、アノマリスコアを計算するモデルを生成する。選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。このように、学習装置10は、モデルを生成した後に、誤検知の原因になりやすいデータを選択し、モデルを再度生成することができる。その結果、本実施形態によれば、正常データ間の件数に偏りがある場合であっても、短時間で精度良く学習を行うことができる。
これまで説明してきたように、生成部131は、学習用のデータのうち未学習のデータとして選択されたデータを学習し、アノマリスコアを計算するモデルを生成する。選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。このように、学習装置10は、モデルを生成した後に、誤検知の原因になりやすいデータを選択し、モデルを再度生成することができる。その結果、本実施形態によれば、正常データ間の件数に偏りがある場合であっても、短時間で精度良く学習を行うことができる。
生成部131は、選択部133によって未学習のデータとしてデータが選択されるたびに、当該選択されたデータを学習し、アノマリスコアを計算するモデルを生成する。選択部133は、生成部131によってモデルが生成されるたびに、当該生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。本実施形態では、このように処理を繰り返すことにより複数のモデルを生成し、異常検知の精度を向上させていくことができる。
選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが、モデルの生成時に得られる各データのLoss値を基に計算された閾値以上であるデータの少なくとも一部を、未学習のデータとして選択する。これにより、アノマリスコアの偏りの度合いに応じた閾値を設定することができる。
選択部133は、学習用のデータのうち、生成部131によって生成されたモデルによって計算されたアノマリスコアが閾値以上であるデータの数が所定の条件を満たす場合、当該アノマリスコアが閾値以上であるデータの少なくとも一部を未学習のデータとして選択する。このように、繰り返し処理の終了条件を設定しておくことで、異常検知の精度と学習に要する処理時間のバランスを調整することができる。
[実験結果]
本実施形態を使って行った実験の結果を示す。まず、実験においては、下記の通信が混ざったデータを用いて学習が行われた。
MQTT通信:1883ポート 20951件(多数データ)
カメラ通信:1935ポート 204件(少数データ)
実験では、学習によってモデルを生成し、生成したモデルで各データのアノマリスコアを計算した。図5、図6及び図7は、アノマリスコアの分布を示す図である。
本実施形態を使って行った実験の結果を示す。まず、実験においては、下記の通信が混ざったデータを用いて学習が行われた。
MQTT通信:1883ポート 20951件(多数データ)
カメラ通信:1935ポート 204件(少数データ)
実験では、学習によってモデルを生成し、生成したモデルで各データのアノマリスコアを計算した。図5、図6及び図7は、アノマリスコアの分布を示す図である。
まず、従来のVAE(1段階VAE)による学習の結果を図5に示す。図5の例では、学習に要した時間は268secであった。また、図5の例では、少数データであるカメラ通信のアノマリスコアがやや高めに計算されている。
特許文献1に記載の2段階VAEによる学習の結果を図6に示す。図6の例では、学習に要した時間は572secであった。また、図6の例では、図5の例と比べて、少数データであるカメラ通信のアノマリスコアが下がっている。
本実施形態による学習の結果を図7に示す。図7の例では、学習に要した時間は192secであった。また、図7に示すように、本実施形態では、カメラ通信のアノマリスコアが図6の2段階VAEの場合と同程度まで下がっており、さらに学習に要する時間が大幅に短縮されている。
図8は、ROC曲線を示す図である。図8に示すように、本実施形態は、1段階VAE及び2段階VAEと比べて理想的なROC曲線を示している。また、本実施形態による検知精度は、0.9949であった。また、2段階VAEによる検知精度は0.9652であった。また、1段階VAEによる検知精度は0.9216であった。これより、本実施形態によれば検知精度が向上するということができる。
[実施例]
図9に示すようにIoT機器が接続されたネットワーク上に備えられたサーバに、上記の実施形態における学習装置10と同じモデル生成機能、及び学習装置10によって生成されたモデルを使った異常検知機能を持たせてもよい。図9は、異常検知システムの構成例を示す図である。
図9に示すようにIoT機器が接続されたネットワーク上に備えられたサーバに、上記の実施形態における学習装置10と同じモデル生成機能、及び学習装置10によって生成されたモデルを使った異常検知機能を持たせてもよい。図9は、異常検知システムの構成例を示す図である。
この場合、サーバは、IoT機器の送受信するトラフィックセッション情報を収集し、正常トラフィックセッションの確率密度の学習及び異常トラフィックセッションの検知を行う。サーバは、正常トラフィックセッションの確率密度の学習時には、実施形態の手法を適用し、セッションデータ数間に偏りがあっても精度良く、かつ高速に異常検知モデルの生成を行うことができるようになる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、プログラムは、CPUだけでなく、GPU等の他のプロセッサによって実行されてもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU(Central Processing Unit)及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、プログラムは、CPUだけでなく、GPU等の他のプロセッサによって実行されてもよい。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、学習装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の学習処理を実行する学習プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の学習プログラムを情報処理装置に実行させることにより、情報処理装置を学習装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
一実施形態として、学習装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の学習処理を実行する学習プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の学習プログラムを情報処理装置に実行させることにより、情報処理装置を学習装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、学習装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の学習処理に関するサービスを提供する学習サーバ装置として実装することもできる。例えば、学習サーバ装置は、学習用のデータを入力とし、生成済みの複数のモデルの情報を出力とする学習サービスを提供するサーバ装置として実装される。この場合、学習サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の学習処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図10は、学習プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(BASIC Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、学習装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、学習装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 学習装置
11 IF部
12 記憶部
13 制御部
131 生成部
132 計算部
133 選択部
11 IF部
12 記憶部
13 制御部
131 生成部
132 計算部
133 選択部
Claims (5)
- 学習用のデータのうち未学習のデータとして選択されたデータを学習し、アノマリスコアを計算するモデルを生成する生成部と、
前記学習用のデータのうち、前記生成部によって生成されたモデルによって計算されたアノマリスコアが、前記モデルの生成時に得られる各データのLoss値の平均値及び分散を基に計算された閾値以上であるデータの少なくとも一部を前記未学習のデータとして選択する選択部と、
を有することを特徴とする学習装置。 - 前記生成部は、前記選択部によって前記未学習のデータとしてデータが選択されるたびに、当該選択されたデータを学習し、アノマリスコアを計算するモデルを生成し、
前記選択部は、前記生成部によってモデルが生成されるたびに、当該生成されたモデルによって計算されたアノマリスコアが前記閾値以上であるデータの少なくとも一部を前記未学習のデータとして選択することを特徴とする請求項1に記載の学習装置。 - 前記選択部は、前記学習用のデータのうち、前記生成部によって生成されたモデルによって計算されたアノマリスコアが前記閾値以上であるデータの数が所定の条件を満たす場合、当該アノマリスコアが前記閾値以上であるデータの少なくとも一部を前記未学習のデータとして選択することを特徴とする請求項1又は2に記載の学習装置。
- 学習装置によって実行される学習方法であって、
学習用のデータのうち未学習のデータとして選択されたデータを学習し、アノマリスコアを計算するモデルを生成する生成工程と、
前記学習用のデータのうち、前記生成工程によって生成されたモデルによって計算されたアノマリスコアが、前記モデルの生成時に得られる各データのLoss値の平均値及び分散を基に計算された閾値以上であるデータの少なくとも一部を前記未学習のデータとして選択する選択工程と、
を含むことを特徴とする学習方法。 - コンピュータを、請求項1から3のいずれか1項に記載の学習装置として機能させるための学習プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/035623 WO2022059208A1 (ja) | 2020-09-18 | 2020-09-18 | 学習装置、学習方法及び学習プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022059208A1 JPWO2022059208A1 (ja) | 2022-03-24 |
| JP7444271B2 true JP7444271B2 (ja) | 2024-03-06 |
Family
ID=80776763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022550324A Active JP7444271B2 (ja) | 2020-09-18 | 2020-09-18 | 学習装置、学習方法及び学習プログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230334361A1 (ja) |
| EP (1) | EP4202800A4 (ja) |
| JP (1) | JP7444271B2 (ja) |
| CN (1) | CN116113960A (ja) |
| AU (1) | AU2020468806B2 (ja) |
| WO (1) | WO2022059208A1 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001051969A (ja) | 1999-08-13 | 2001-02-23 | Kdd Corp | 正誤答判定機能を有するニューラルネットワーク手段 |
| JP2019102011A (ja) | 2017-12-08 | 2019-06-24 | 日本電信電話株式会社 | 学習装置、学習方法及び学習プログラム |
| JP2019114222A (ja) | 2017-12-24 | 2019-07-11 | オリンパス株式会社 | 撮像システム、学習装置、および撮像装置 |
| JP2019153893A (ja) | 2018-03-01 | 2019-09-12 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
| US20200042829A1 (en) | 2017-07-24 | 2020-02-06 | Huawei Technologies Co., Ltd. | Classification Model Training Method and Apparatus |
| WO2020159439A1 (en) | 2019-01-29 | 2020-08-06 | Singapore Telecommunications Limited | System and method for network anomaly detection and analysis |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6585654B2 (ja) * | 2017-05-01 | 2019-10-02 | 日本電信電話株式会社 | 判定装置、分析システム、判定方法および判定プログラム |
| JP7082461B2 (ja) * | 2017-07-26 | 2022-06-08 | 株式会社Ye Digital | 故障予知方法、故障予知装置および故障予知プログラム |
| JP6691094B2 (ja) * | 2017-12-07 | 2020-04-28 | 日本電信電話株式会社 | 学習装置、検知システム、学習方法及び学習プログラム |
-
2020
- 2020-09-18 AU AU2020468806A patent/AU2020468806B2/en active Active
- 2020-09-18 CN CN202080105213.4A patent/CN116113960A/zh active Pending
- 2020-09-18 EP EP20954193.7A patent/EP4202800A4/en active Pending
- 2020-09-18 WO PCT/JP2020/035623 patent/WO2022059208A1/ja active Application Filing
- 2020-09-18 JP JP2022550324A patent/JP7444271B2/ja active Active
- 2020-09-18 US US18/026,605 patent/US20230334361A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001051969A (ja) | 1999-08-13 | 2001-02-23 | Kdd Corp | 正誤答判定機能を有するニューラルネットワーク手段 |
| US20200042829A1 (en) | 2017-07-24 | 2020-02-06 | Huawei Technologies Co., Ltd. | Classification Model Training Method and Apparatus |
| JP2019102011A (ja) | 2017-12-08 | 2019-06-24 | 日本電信電話株式会社 | 学習装置、学習方法及び学習プログラム |
| JP2019114222A (ja) | 2017-12-24 | 2019-07-11 | オリンパス株式会社 | 撮像システム、学習装置、および撮像装置 |
| JP2019153893A (ja) | 2018-03-01 | 2019-09-12 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
| WO2020159439A1 (en) | 2019-01-29 | 2020-08-06 | Singapore Telecommunications Limited | System and method for network anomaly detection and analysis |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2020468806B2 (en) | 2024-02-29 |
| EP4202800A4 (en) | 2024-05-01 |
| AU2020468806A1 (en) | 2023-04-27 |
| EP4202800A1 (en) | 2023-06-28 |
| JPWO2022059208A1 (ja) | 2022-03-24 |
| US20230334361A1 (en) | 2023-10-19 |
| WO2022059208A1 (ja) | 2022-03-24 |
| CN116113960A (zh) | 2023-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Das et al. | Adaptive stream processing using dynamic batch sizing | |
| RU2654146C1 (ru) | Система и способ обнаружения вредоносных файлов с использованием элементов статического анализа | |
| RU2589310C2 (ru) | Система и способ расчета интервала повторного определения категорий сетевого ресурса | |
| US20220222116A1 (en) | Memory management in data processing systems | |
| US10387205B2 (en) | Optimizing runtime environments | |
| WO2019245006A1 (ja) | 検知装置及び検知方法 | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| JP7014054B2 (ja) | 検知装置及び検知方法 | |
| JP7444271B2 (ja) | 学習装置、学習方法及び学習プログラム | |
| US10680960B2 (en) | Dynamic rate limiting for networked resources | |
| JP6767434B2 (ja) | 評価装置及び評価方法 | |
| KR101222486B1 (ko) | 비결정적 유한 오토마타의 비결정성을 선택적으로 제거하기 위한 방법, 서버, 단말 장치 및 컴퓨터 판독 가능한 기록 매체 | |
| CN111107079A (zh) | 一种上传文件检测方法及装置 | |
| JP7444270B2 (ja) | 判定装置、判定方法及び判定プログラム | |
| US20220360596A1 (en) | Classification scheme for detecting illegitimate account creation | |
| JP2007334589A (ja) | 決定木構築方法および装置および状態判定装置 | |
| KR102124171B1 (ko) | 엔트로피 기반 신경망(Neural Networks) 가지치기 방법 및 시스템 | |
| CN112437093B (zh) | 安全状态的确定方法、装置及设备 | |
| Yazidi et al. | A novel stochastic discretized weak estimator operating in non-stationary environments | |
| Tembine et al. | Noisy mean field game model for malware propagation in opportunistic networks | |
| WO2022254729A1 (ja) | 解析装置、解析方法、および、解析プログラム | |
| WO2022195887A1 (ja) | トラフィックセンサ、分析方法、および、分析プログラム | |
| JP7176636B2 (ja) | 生成装置、生成方法及び生成プログラム | |
| WO2023248414A1 (ja) | 求解装置、求解方法および求解プログラム | |
| JP7448022B2 (ja) | 検知装置、検知方法及び検知プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231107 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240109 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240205 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7444271 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |