WO2022130460A1

WO2022130460A1 - 学習装置、学習方法、異常検知装置、異常検知方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2022130460A1
Application number: PCT/JP2020/046553
Authority: WO
Inventors: 昌平三谷; 直生吉永
Original assignee: 日本電気株式会社
Priority date: 2020-12-14
Filing date: 2020-12-14
Publication date: 2022-06-23
Also published as: JPWO2022130460A1; US20240039940A1

Abstract

学習装置１０は、あらかじめ設定された部分空間と部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、特徴ベクトルを生成するための第一のパラメータと、距離を調整するための第二のパラメータとを学習する、学習部１１を有する。

Description

学習装置、学習方法、異常検知装置、異常検知方法、及びコンピュータ読み取り可能な記録媒体

　本発明は、マッピングに用いるパラメータを学習する、学習装置、学習方法、及び、マッピングの結果に基づいて異常を検知する、異常検知装置、異常検知方法に関し、更には、学習装置、学習方法、異常検知装置、異常検知方法を実現するためのプログラムを記録しているコンピュータ読み取り可能な記録媒体に関する。

　インフラ、プラント、ビルなどに用いられる制御システムへの攻撃を防止するために、制御システムのネットワークを流れるパケット（例えば、制御コマンド、プロセス値、コントロール値などを含むパケット）を監視し、不正な制御手順により発生した異常データを検知する技術が開示されている。

　関連する技術として非特許文献１には、入力データのうち正常データの特徴ベクトルを、中心と半径により特徴付けられた超球体の内部にマッピングすることで、正常データと異常データの特徴ベクトルを分離する技術が開示されている。非特許文献１の技術では、ディープサポートベクターデータ記述（Deep Support Vector Data Description：Deep SVDD）を用いて、ニューラルネットワークを学習し、正常データをできるだけ超球体の内部に収めるとともに、超球体の体積を最小化している。

Lukas Ruff, 外７名,"Deep One-Class Classification", 2018年7月, International Conference on Machine Learning 2018, p.4393 - p.4402

　しかしながら、非特許文献１に示した技術により、正常データと異常データをマッピングした場合、多数の異常データが超球体の内部にマッピングされることがある。超球体の内部に異常データがマッピングされる理由の一つとして、対象とするシステムに複数の状態が存在することが挙げられる。なお、システム状態には、システム状態が遷移する過渡的な状態も含まれる。

　一つの側面として、正常データと異常データが精度よく分離されるようにマッピングするためのパラメータを学習する、学習装置、学習方法、及び、マッピングの結果に基づいて精度よく異常を検知する、異常検知装置、異常検知方法、及び、コンピュータ読み取り可能な記録媒体を提供することを目的とする。

　上記目的を達成するため、一つの側面における学習装置は、
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習部
　を有することを特徴とする。

　また、上記目的を達成するため、一側面における異常検知装置は、
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピング部と、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定部と、
　を有することを特徴とする。

　また、上記目的を達成するため、一側面における学習方法は、
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習ステップ
　を有することを特徴とする。

　また、上記目的を達成するため、一側面における異常検知方法は、
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピングステップと、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定ステップと、
　を有することを特徴とする。

　また、上記目的を達成するため、一側面におけるプログラムを記録したコンピュータ読み取り可能な記録媒体は、
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習ステップ
　を実行させる命令を含むプログラムを記録していることを特徴とする。

　さらに、上記目的を達成するため、一側面におけるプログラムを記録したコンピュータ読み取り可能な記録媒体は、
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピングステップと、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定ステップと、
　を実行させる命令を含むプログラムを記録していることを特徴とする。

　一つの側面として、正常データと異常データが精度よく分離されるようにマッピングし、マッピングの結果に基づいて精度よく異常を検知することができる。

図１は、学習装置の一例を説明するための図である。図２は、特徴ベクトルのマッピングを説明するための図である。図３は、異常検知装置を有するシステムの一例を説明するための図である。図４は、学習装置の動作の一例を説明するための図である。図５は、異常検知装置の動作の一例を説明するための図である。図６は、異常検知装置を有するシステムの一例を説明するための図である。図７は、異常検知装置の動作の一例を説明するための図である。図８は、実施形態１、変形例１、実施形態２における学習装置及び異常検知装置を実現するコンピュータの一例を示すブロック図である。

　はじめに、以降で説明する実施形態の理解を容易にするために概要を説明する。
　実施形態で説明する学習装置と異常検知装置を有するシステム（同一の技術分野に属するシステム）は、制御システムへの攻撃を防止するために、制御システムのネットワークを流れるパケットを監視するために用いられる。

　学習装置は、正常データと、不正な制御手順により発生した異常データとを精度よく分離してマッピングするモデルを生成する。異常検知装置は、学習装置が生成したモデルを用いて異常を検知する。

　従来、正常データと異常データを分離する方法として、ＡＥ（Auto Encoder）、Deep SVDD、クラスタリングなどを用いた方法が提案されている。

　ＡＥを用いた方法では、正常データと異常データの分離は、ハイパーパラメータに依存するため、ハイパーパラメータをチューニングしなければならないという課題がある。

　そこで、上述したＡＥの課題を解決するために、非特許文献１に示したDeep SVDDを用いて、正常データと異常データを分離するマッピングが提案されている。しかし、非特許文献１に示されているDeep SVDDを用いた方法では、異常データの特徴ベクトルを超球体（正常データの特徴ベクトルを収める正常領域）の内部にマッピングするため、正常データと異常データを精度よく分離できないという課題がある。

　異常データの特徴ベクトルが超球体の内部にマッピングされる理由の一つとして、制御システムには、運用において、複数のシステム状態が存在し、そのシステム状態に応じて、制御システムの振る舞いが変化することが挙げられる。

（１）非特許文献１に示した技術では、異なる入力に対して、異なる点へマッピングを行うニューラルネットワークが用いられている。

　異なる点へマッピングする理由は、同じ点へのマッピングを許すと、正常データの特徴ベクトルと異常データの特徴ベクトルとが全て同じ点にマッピングされてしまう虞があるため、異常データを検知できなくなるからである。

（２）制御システムに複数のシステム状態がある場合、システム状態に応じて入力のパターンも増えるので、入力のパターンの増加にともない、正常データのマッピング先の点も増える。

　そうすると、（１）（２）に起因して、異なる全ての正常データの特徴ベクトルの点を超球体に収めるために、超球体の半径を大きくしなければならない。

（３）非特許文献１に示した技術では、正常データを用いて学習をしているが、異常データを用いて学習をしていないので、異常データの特徴ベクトルに対応する点は全空間に均等に分布する。

　その結果、（１）（２）に起因して超球体の半径を大きくしているので、（３）に起因して全空間に均等に分布している異常データの特徴ベクトルが、超球体の内部にマッピングされ易くなる。

　したがって、複数のシステム状態がある場合、非特許文献１に示した技術を用いても、正常データと異常データを精度よく分離することが困難になる。

　なお、上述した方法以外にも、上述した方法にクラスタリングを組み合わせた方法も考えられる。しかし、システム状態には、状態遷移をしている期間の過渡的なシステム状態も存在する。

　そうすると、クラスタリングを組み合わせた方法では、状態遷移中の過渡的な正常データと、状態遷移前後の正常データを同じ集合としてクラスタリングすることになるため、やはり単一の超球体に複数のシステム状態が含まれ、超球体の半径が大きくなり、正常データと異常データを精度良く分離することが困難になる。

　このようなプロセスを経て、発明者は、上述したような従来の方法では、正常データと異常データとを精度よく分離できないという課題を見出し、それとともに係る課題を解決する手段を導出するに至った。

　すなわち、発明者は、制御システムの監視において、正常データの特徴ベクトルと異常データの特徴ベクトルとを精度よく分離してマッピングする、人間自身には到底生成できない、有意義な生成物であるモデルを導出するに至った。その結果、このモデルを用いた特徴ベクトルのマッピングの結果に基づいて、制御システムに生じた異常を精度よく検知できる。

　以下、図面を参照して実施形態について説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明は省略することもある。

（実施形態１）
　図１を用いて、本実施形態１における学習装置の構成について説明する。図１は、学習装置の一例を説明するための図である。

［装置構成］
　図１に示す学習装置１０は、制御システムのネットワークから取得した正常データと異常データの特徴ベクトルを、部分空間にマッピングをするためのモデルを学習する装置である。また、図１に示すように、学習装置１０は、学習部１１と、選択部１２とを有する。

　学習装置１０は、例えば、ＣＰＵ（Central Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）などのプログラマブルなデバイス、又はＧＰＵ（Graphics Processing Unit）、又はそれらのうちのいずれか一つ以上を搭載した回路、サーバコンピュータ、パーソナルコンピュータ、モバイル端末などの情報処理装置である。

　ネットワークには、イベント系列（トラフィックデータ）及び時系列（センサデータ）などのデータが流れている。トラフィックデータ、センサデータは、例えば、制御システムに接続されたデータ収集装置を用いて、データベース、サーバコンピュータなどの記憶装置に記憶してもよい。

　制御システムは、例えば、発電所、電力網、通信網、道路、鉄道、港湾、空港、上下水道、灌漑施設、治水施設などの公共又は公益の設備、施設、構造物などに用いられるシステムである。

　イベント系列は、制御システムに、対象の制御をさせた場合に発生するイベントの一連の流れを表す。すなわち、イベント系列とは、対象の制御をした場合に発生するイベントの順序を表している。イベントとは、例えば、制御コマンド、状態遷移イベント、通知イベントなどである。

　トラフィックデータは、パケットとパケットの受信日時の組が含まれるデータである。パケットのヘッダフィールドには、例えば、送信元／宛先ＭＡＣ（Media Access Control）アドレス、ＩＰ（Internet Protocol）アドレス、ポート番号、バージョンなどが含まれる。パケットのペイロードには、例えば、アプリケーションの種類、関連デバイスＩＤ、制御値、状態値などが含まれる。トラフィックデータには、パケットの統計量を含めてもよい。

　時系列は、センサの計測したプロセス値の一連の流れを表す。すなわち、時系列とは、対象を制御した場合に発生するプロセス値の順序を表している。プロセス値は、例えば、速度、位置、温度、圧力、流速などの連続値、スイッチの切り替えを表す離散値などである。なお、プロセス値は、不正な制御手順で制御されると、制御システムが異常な状態に陥り、プロセス値も異常値となる。

　特徴ベクトルは、例えば、特徴量、潜在ベクトル、表現ベクトル、表現、埋め込み、低次元ベクトル、特徴空間への写像、表現空間への写像、潜在空間への写像（射影）などに言い換えられる。

　学習部１１は、訓練データから正常データの特徴ベクトルを抽出し、正常データの特徴ベクトルを正常領域にマッピングするために用いるマッピングモデルの学習をする。その後、学習部１１は、学習したマッピングモデルを記憶装置２０に記憶する。

　具体的には、学習部１１は、まず、選択部１２から、部分空間に関する部分空間選択情報を取得する。次に、学習部１１は、部分空間選択情報に基づいて、モデル学習に必要な部分空間などの設定をして、モデル学習の準備を終了する。

　部分空間は、例えば、超球面、又は二次超曲面（例えば、超楕円面、超双曲面など）、又はトーラス、又は超平面などである。

　又は、部分空間は、超球面、二次超曲面、トーラス、超平面のいずれか一つの一部でもよい。

　又は、部分空間は、超球面、二次超曲面、トーラス、超平面のうちの一つ以上を複数個組み合わせた和集合でもよい。なお、和集合には、非交和（直和）も含まれる。

　又は、部分空間は、超球面、二次超曲面、トーラス、超平面のうちの一つ以上を複数個組み合わせた積集合でもよい。

　部分空間選択情報は、選択した部分空間を表す情報を含んでいる。選択した部分空間を表す情報とは、例えば、選択した部分空間の次元数、超球面の半径や二次超曲面の係数、超楕円面の楕円率や超平面の傾きを指定するアフィン変換パラメータなどである。

　マッピングモデルには、例えば、線形モデル、ニューラルネットワーク、カーネルモデル、ロジスティックモデル、確率分布回帰、確率過程回帰、階層ベイズモデル、ＲＮＮ（Recurrent Neural Network）、Transformerなどを用いてもよい。学習方法は、例えば、一般化逆行列、勾配降下法、モンテカルロ法などを用いてもよい。

　次に、モデル学習の準備が終了すると学習を開始する。学習部１１は、訓練データとして入力された正常データを取得する。

　訓練データは、例えば、イベント系列のデータ以外にも、時系列、音声、画像、映像、関係データ（例えば、人物同士の友人関係の有無や強さ、データ間の相関の有無や強さ、包含関係の有無など）、行動履歴などのデータを用いてもよい。

　次に、学習部１１は、訓練データとして入力された正常データをモデルに入力し、正常データの特徴ベクトルを生成し、生成した正常データの特徴ベクトルを正常領域にマッピングするためのモデルの学習をする。

　具体的には、学習部１１は、モデルに含まれる、特徴ベクトルを生成するために用いる第一のパラメータと、部分空間からの距離を調整するために用いる第二のパラメータとを学習により生成する。

　正常領域は、あらかじめ設定された部分空間と、その部分空間からの距離（面からの距離）とに基づいて設定される領域で、学習により求められる。

　マッピングについて説明する。
　図２は、特徴ベクトルのマッピングを説明するための図である。まず、従来の超球体マッピングについて説明する。非特許文献１に示されているような、超球体のマッピングモデル２１に、図２に示す入力データ（トラフィックデータ）を入力すると、図２の超球体２２の内部には、正常データの特徴ベクトル（黒丸：●）だけでなく、異常データの特徴ベクトル（白丸：○）もマッピングされる。

　次に、本発明の部分空間マッピングについて説明する。図２に示す部分空間マッピングモデル２３は、部分空間としてトーラスが選択された場合に、選択されたトーラスを用いて学習されたモデルである。そして、学習した部分空間マッピングモデル２３に、図２に示す入力データを入力すると、入力データが正常データである場合、図２の正常領域２４（部分多様体の近傍）には、正常データの特徴ベクトル（黒丸：●）がマッピングされる。入力データが異常データである場合、異常データの特徴ベクトル（白丸：○）は正常領域２４にマッピングされない。

　マッピングモデルについて詳細な説明をする。
　例えば、部分空間として超球面が選択された場合、モデルは、数１のような損失関数により表すことができる。ただし、部分空間は超球面に限定されるものではない。

　学習部１１は、学習することにより、数１の損失関数（モデル）に含まれる、特徴ベクトルを生成するために用いる第一のパラメータと、部分空間からの距離を調整するために用いる第二のパラメータとを学習する。

　また、中心点は、あらかじめ設定してもよいが、中心点を第三のパラメータとして学習してもよい。

　このように、特徴ベクトルを生成するために用いる第一のパラメータ、部分空間からの正常領域の距離を調整するために用いる第二のパラメータ、及び部分空間の一部を指定する第三のパラメータを学習により設定できるので、パラメータの調整に係る作業を削減できる。

　また、数１の損失関数に補助項を設けることで、正常データの特徴ベクトルが、正常領域の同じ点付近に集中しないように分散させる。

　その結果、生成したモデルを用いることで、正常データの特徴ベクトルが部分空間に沿う方向に満遍なく分布するようにできる。それにより、異なる正常データが多数存在しても、正常データの特徴ベクトルが部分空間から離れる方向に分布することを防ぎ、結果として部分空間からの正常領域の距離を小さくすることができる。したがって、正常データの特徴ベクトルを部分空間に沿ったごく薄い正常領域にマッピングし、一方で異常データの特徴ベクトルは部分空間に沿うことなくマッピングすることができる。

　また、従来のように超球体を正常領域としてマッピングをする場合、正常データの特徴ベクトルを超球体に収めようとして超球体の体積が大きくなっていたので、異常データの特徴ベクトルも超球体に紛れていた。

　しかし、正常領域として部分空間と部分空間からの距離を設定することにより、正常データの特徴ベクトルを部分空間から小さな距離の内側に収め、正常領域をごく薄く取ることで正常領域の体積を小さくできるので、異常データの特徴ベクトルが正常領域に紛れ難くできる。すなわち、正常データの特徴ベクトルと異常データの特徴ベクトルとを精度よく分離することができる。

　また、正常データの特徴ベクトルを、超球面や超二次曲面のような曲がった部分空間のまわりの、体積の小さな正常領域にマッピングするので、正常領域と正常データの特徴ベクトルとの関係、正常領域と異常データの特徴ベクトルとの関係から、二つの正常な状態の間を結ぶ過渡的な状態における正常データの特徴ベクトルと、二つの正常な状態の中間に位置するだけの異常データの特徴ベクトルとを分離し易くなる。

　二つの正常な状態の中間に位置する異常データの特徴ベクトルのマッピングは、ニューラルネットワークなどマッピングモデルの構造に依存するが、多くの場合、二つの正常な状態に対応する曲がった部分空間上の二点を結ぶ直線（測地線）上にマッピングされる。したがって、二つの正常な状態の中間に位置する異常データの特徴ベクトルは、曲がった部分空間の上にはマッピングされず、正常領域の外にマッピングされるようになる。

　選択部１２は、上述したような部分空間を選択する。選択部１２は、部分空間として、少なくとも超球面、二次超曲面（例えば、超楕円面、超双曲面など）、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する。

　具体的には、まず、正常領域を決定するための部分空間を選択する。選択方法としては、複数の部分空間を画面に表示するなどして、利用者により部分空間を選択させる方法が考えられる。又は、実験、シミュレーション、機械学習などにより、制御システムに適した部分空間をあらかじめ決めておいてもよい。

　次に、選択部１２は、利用者により部分空間のいずれかが選択された後、部分空間選択情報を学習部１１に出力する。

［システム構成］
　続いて、図３を用いて、本実施形態１における異常検知装置３０の構成を具体的に説明する。図３は、異常検知装置を有するシステムの一例を示す図である。

　図３に示すように、本実施形態１におけるシステムは、学習装置１０、記憶装置２０、異常検知装置３０、出力装置４０を有する。異常検知装置３０は、マッピング部３１と、判定部３２と、出力情報生成部３３とを有する。

　システムについて説明する。
　学習装置１０、記憶装置２０については、既に説明をしたので説明を省略する。

　異常検知装置３０は、例えば、ＣＰＵ、又はＦＰＧＡなどのプログラマブルなデバイス、又はＧＰＵ、又はそれらのうちのいずれか一つ以上を搭載した回路、サーバコンピュータ、パーソナルコンピュータ、モバイル端末などの情報処理装置である。

　出力装置４０は、出力情報生成部３３により、出力可能な形式に変換された、後述する出力情報を取得し、その出力情報に基づいて、生成した画像及び音声などを出力する。出力装置４０は、例えば、液晶、有機ＥＬ（Electro Luminescence）、ＣＲＴ（Cathode Ray Tube）を用いた画像表示装置などである。さらに、画像表示装置は、スピーカなどの音声出力装置などを備えていてもよい。なお、出力装置４０は、プリンタなどの印刷装置でもよい。

　異常検知装置について説明する。
　マッピング部３１は、対象の制御システムから取得した入力データをモデルに入力し、入力データの特徴ベクトルをマッピングする。

　具体的には、マッピング部３１は、まず、制御システム又は記憶装置（不図示）から入力データを取得する。

　入力データは、例えば、イベント系列と時系列のデータ以外にも、時系列、音声、画像、映像、関係データ（人物同士の友人関係の有無や強さ、データ間の相関の有無や強さ、包含関係の有無など）、行動履歴などのデータを用いてもよい。

　次に、マッピング部３１は、入力データをマッピングモデルに入力して、学習したマッピングモデルに基づいて特徴ベクトルを抽出する。特徴ベクトルは、例えば、ｎ個（１以上）の実数の組で表される。

　次に、マッピング部３１は、マッピングの結果を表すマッピング結果情報を、判定部３に出力する。マッピング結果は、例えば、図２の発明のマッピングに示したようなイメージになる。

　マッピング結果情報は、入力データそれぞれの特徴ベクトルを識別する識別情報と、特徴ベクトルの位置（点）を表すマッピング位置情報と、点と正常領域との距離を表す距離情報とを有する情報である。

　判定部３２は、マッピングの結果に基づいて特徴ベクトルを異常と判定する。具体的には、判定部３２は、まず、マッピング結果情報を、マッピング部３１から取得する。

　次に、判定部３２は、マッピング結果情報に基づいて、正常領域外にマッピングされた特徴ベクトルを検出する。判定部３２は、特徴ベクトルのうち、正常領域にマッピングされた特徴ベクトルを正常データの特徴ベクトルと判定し、正常領域外にマッピングされた特徴ベクトルを異常データの特徴ベクトルと判定する。

　次に、判定部３２は、判定結果を有する判定結果情報を出力情報生成部３３に出力する。判定結果情報は、例えば、入力データの特徴ベクトル、入力データが正常か異常かを表す判定結果などの情報を有する。判定結果情報は、例えば、ログなどを含めてもよい。

　また、判定結果は、正常と異常の二値だけでなく、異常に複数のレベルを設けてもよい。

　また、判定部３２は、判定結果情報を、更に他の分析エンジンに出力してもよい。

　出力情報生成部３３は、判定結果情報、入力データなどの情報を取得して、出力装置４０に出力可能な形式に変換した出力情報を生成する。出力情報は、出力装置４０に、少なくとも判定結果を出力させるための情報である。

（変形例１）
　変形例１について説明する。変形例１では、判定部３２の他の判定方法について説明する。

　正常領域に特徴ベクトルをマッピングするためのモデルは、実際に、制御システムを運用して取得したデータを用いて学習されたモデルとは限らない。制御システムを運用して取得したデータを用いて学習されたモデルであっても、学習した時点とモデルを利用する運用時点との間に、大きな時間差が存在する場合がある。さらに、時間差がほとんど存在しない場合であっても、過学習が行われる可能性がある。

　そのため、運用において制御システムから取得したデータの特徴ベクトルをマッピングすると、特徴ベクトルの位置に誤差が生じる。すなわち、正常領域と特徴ベクトルとの距離にも誤差が生じる。

　そこで、この誤差を吸収するために用いる閾値をあらかじめ設定する。具体的には、判定部３２は、正常領域に基づいてあらかじめ設定された閾値と、正常領域と特徴ベクトルとの距離とを比較し、距離が閾値以上か否かの判定をする。

　閾値は、実験やシミュレーションにより求めてもよい。閾値は、例えば、誤検知率が１［％］以下になる設定することが望ましい。ただし、誤検知率は１［％］に限定されるものではない。

［装置動作］
　次に、実施形態１における学習装置と異常検知装置の動作について、図４、図５を用いて説明する。図４は、学習装置の動作の一例を説明するための図である。図５は、異常検知装置の動作の一例を説明するための図である。以下の説明においては、適宜図を参照する。また、本実施形態１では、学習装置と異常検知装置を動作させることによって、学習法と異常検知方法が実施される。よって、本実施形態１における学習方法と異常検知方法の説明は、以下の学習装置と異常検知装置の動作説明に代える。

　学習装置の動作について説明する。
　図４に示すように、選択部１２は、正常領域を決定するための部分空間を選択する（ステップＡ１）。具体的には、ステップＡ１において、選択部１２は、部分空間として、少なくとも超球面、二次超曲面（例えば、超楕円面、超双曲面など）、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択し、部分空間に関する部分空間選択情報を出力する。

　次に、学習部１１は、選択部１２から、部分空間に関する部分空間選択情報を取得する（ステップＡ２）。次に、学習部１１は、部分空間選択情報に基づいて、モデル学習に必要な部分空間などの設定をして、モデル学習の準備を終了する（ステップＡ３）。

　次に、モデル学習の準備が終了すると学習を開始する。学習部１１は、訓練データとして入力された正常データを取得する（ステップＡ４）。

　次に、学習部１１は、訓練データとして入力された正常データをモデルに入力し、正常データの特徴ベクトルを生成し、生成した正常データの特徴ベクトルを正常領域にマッピングするためのモデルの学習をする（ステップＡ５）。

　具体的には、ステップＡ５において、学習部１１は、モデルに含まれる、特徴ベクトルを生成するために用いる第一のパラメータと、部分空間からの距離を調整するために用いる第二のパラメータとを学習により生成する。

　次に、学習装置１０は、学習処理を終了する指示を取得した場合（ステップＡ６：Ｙｅｓ）には、学習処理を終了する。学習処理を継続する場合（ステップＡ６：Ｎｏ）には、ステップＡ１に移行して処理を継続する。

　異常検知装置の動作について説明する。
　図５に示すように、マッピング部３１は、制御システム又は記憶装置（不図示）から入力データを取得する（ステップＢ１）。

　次に、マッピング部３１は、入力データをマッピングモデルに入力して、学習したマッピングモデルに基づいて特徴ベクトルを抽出する（ステップＢ２）。特徴ベクトルは、例えば、ｎ個（１以上）の実数の組で表される。

　次に、判定部３２は、マッピング結果情報をマッピング部３１から取得する（ステップＢ３）。次に、判定部３２は、マッピング結果情報に基づいて、正常領域外にマッピングされた特徴ベクトルを検出する（ステップＢ４）。

　判定部３２は、特徴ベクトルのうち、正常領域にマッピングされた特徴ベクトルを正常データの特徴ベクトルと判定し、正常領域外にマッピングされた特徴ベクトルを異常データの特徴ベクトルと判定する。判定部３２は、判定結果を有する判定結果情報を出力情報生成部３３に出力する。

　なお、判定部３２は、変形例１で説明した閾値に基づいて、正常データの特徴ベクトルと異常データの特徴ベクトルとを判定してもよい。

　次に、出力情報生成部３３は、判定結果情報、入力データなどの情報を取得して、出力装置４０に出力可能な形式に変換した出力情報を生成する（ステップＢ５）。次に、出力情報生成部３３は、出力情報を、出力装置４０に出力する（ステップＢ６）。

　次に、異常検知装置３０は、異常検知処理を終了する指示を取得した場合（ステップＢ７：Ｙｅｓ）には、異常検知処理を終了する。異常検知処理を継続する場合（ステップＢ７：Ｎｏ）には、ステップＢ１に移行して処理を継続する。

［本実施形態１の効果］
　以上のように実施形態１、変形例１によれば、第一、第二のパラメータ及び第三のパラメータを学習により設定できるので、パラメータの調整に係る作業を削減できる。

　また、従来のように超球体を正常領域としてマッピングする場合、正常データの特徴ベクトルを超球体に収めようとして超球体の体積が大きくなっていたので、異常データの特徴ベクトルも超球体に紛れていた。

［プログラム］
　本発明の実施形態１、変形例１におけるプログラムは、コンピュータに、図４に示すステップＡ１からＡ６を実行させるプログラム、図５に示すステップＢ１からＢ７を実行させるプログラムであればよい。

　このプログラムをコンピュータにインストールし、実行することによって、本実施形態における学習装置と学習方法、異常検知装置と異常検知方法を実現することができる。この場合、コンピュータのプロセッサは、学習部１１、選択部１２、マッピング部３１、判定部３２、出力情報生成部３３として機能し、処理を行なう。

　また、本実施形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、学習部１１、選択部１２、マッピング部３１、判定部３２、出力情報生成部３３のいずれかとして機能してもよい。

（実施形態２）
　図６を用いて、実施形態２における異常検知装置の構成について説明する。図６は、異常検知装置を有するシステムの一例を示す図である。実施形態２では、異常検知にオートエンコーダを用いた例について説明する。

［システム構成］
　図６に示すように、実施形態２におけるシステムは、異常検知装置７０と、学習装置１０と、記憶装置２０と、出力装置４０とを有する。異常検知装置７０は、マッピング部３１と、出力情報生成部３３と、判定部７１と、オートエンコーダ７２とを有する。

　なお、学習装置１０、記憶装置２０、出力装置４０、マッピング部３１、出力情報生成部３３については、既に説明をしたので説明を省略する。

　異常検知装置について説明する。
　判定部７１は、マッピングの結果に加え、再構成誤差を用いて、特徴ベクトルの異常を判別する。

　具体的には、判定部７１は、まず、マッピング部３１からマッピング結果情報を取得する。次に、判定部７１は、入力データの特徴ベクトルを、オートエンコーダ７２に入力して生成された、当該入力データに対応する再構成されたデータを取得する。

　次に、判定部７１は、入力データと、当該入力データの特徴ベクトルから再構成された当該入力データに対応するデータとの差分を表す再構成誤差情報を生成する。

　再構成誤差情報は、例えば二乗誤差やクロスエントロピーを算出することにより、一つ以上の実数値として出力する。

　次に、判定部７１は、上述した判定部３２と同様（実施形態１、変形例１を参照）、マッピングの結果に基づいて、入力データが正常であるか異常であるかを判定する（第一の判定）。さらに、判定部７１は、再構成誤差情報に含まれる差分に応じて、入力データが正常であるか異常であるかを判定する（第二の判定）。

　次に、判定部７１は、第一の判定と第二の判定がともに正常である場合に、入力データが正常であると判定する。また、第一の判定と第二の判定がともに異常である場合には、入力データが異常であると判定する。さらに、第一の判定、第二の判定のいずれかが異常である場合には、判定部７１は、入力データが異常であると判定する。

　又は、判定部７１は、上述した判定部３２と同様（実施形態１、変形例１を参照）、マッピングの結果に基づいて、入力データの特徴ベクトルと正常領域内の部分空間との距離と、再構成誤差情報に含まれる差分との重み付き和を算出する。重み付き和は、入力データの異常の度合いを表す。

　次に、判定部７１は、上述した判定部３２と同様、当該重み付き和の異常判定閾値をあらかじめ設定し、当該重み付き和が閾値を下回る場合に、入力データが正常であると判定する。また、判定部７１は、当該重み付き和が閾値を上回る場合に、入力データが異常であると判定する。

　次に、判定部７１は、判定結果を有する判定結果情報を出力情報生成部３３に出力する。

　オートエンコーダ７２は、学習フェーズにおいて、正常データの特徴ベクトルを入力して学習する。また、オートエンコーダ７２の学習により生成されたパラメータは、異常検知装置７０に設けられた記憶装置に記憶してもよいし、異常検知装置７０以外の記憶装置に記憶してもよい。

　オートエンコーダ７２が正常データの特徴ベクトルを用いて学習された場合、入力データが正常データであれば、オートエンコーダ７２は、当該入力データを復元できる。対して、オートエンコーダ７２に異常データが入力された場合、オートエンコーダ７２は、異常データの特徴ベクトルが反映できない。

　したがって、オートエンコーダ７２の入力データと出力データを比較し、大きな差があればその入力データに異常データがあると判定できる。

　なお、マッピングモデルの学習とオートエンコーダ７２の学習は、並行して行ってもよいし、別々に学習してもよい。

［装置動作］
　次に、本発明の実施形態２における異常検知装置の動作について図７を用いて説明する。図７は、異常検知装置の動作の一例を説明するための図である。以下の説明においては、適宜図を参照する。また、本実施形態２では、異常検知装置を動作させることによって、異常検知方法が実施される。よって、本実施形態２における異常検知方法の説明は、以下の異常検知装置の動作説明に代える。

　図７に示すように、マッピング部３１は、制御システム又は記憶装置（不図示）から入力データを取得する（ステップＢ１）。次に、マッピング部３１は、入力データをマッピングモデルに入力して、学習したマッピングモデルに基づいて特徴ベクトルを抽出する（ステップＢ２）。次に、マッピング部３１は、マッピングの結果を表すマッピング結果情報を、判定部７１に出力する。

　次に、判定部７１は、マッピング結果情報をマッピング部３１から取得する（ステップＢ３）。次に、判定部７１は、マッピング結果情報に基づいて、正常領域外にマッピングされた特徴ベクトルを検出する（ステップＢ４）。又は、正常領域内の部分空間から当該特徴ベクトルまでの距離を算出する。

　判定部７１は、上述した判定部３２と同様（実施形態１、変形例１を参照）、マッピングの結果に基づいて、入力データが正常であるか異常であるかを判定する（第一の判定）。判定部７１は、判定結果を有する判定結果情報を出力情報生成部３３に出力する。

　次に、判定部７１は、入力データの特徴ベクトルを、オートエンコーダ７２に入力して生成された、当該入力データに対応する再構成されたデータを取得する（ステップＣ１）。

　次に、判定部７１は、入力データと、当該入力データの特徴ベクトルから再構成された当該入力データに対応するデータとの差分を表す再構成誤差情報を生成する（ステップＣ２）。

　次に、さらに、判定部７１は、再構成誤差情報に含まれる差分に応じて、入力データが正常であるか異常であるかを判定する（第二の判定）（ステップＣ３）。

　次に、判定部７１は、第一の判定と第二の判定がともに正常である場合に、入力データが正常であると判定する（ステップＣ４）。また、第一の判定と第二の判定がともに異常である場合には、入力データが異常であると判定する。さらに、第一の判定、第二の判定のいずれかが異常である場合には、判定部７１は、入力データが異常であると判定する。

　又は、判定部７１は、正常領域内の部分空間から入力データの特徴ベクトルまでの距離と、当該入力データの特徴ベクトルから再構成された当該入力データに対応するデータとの差分を表す再構成誤差情報と、の重み付き和を算出する。さらに、当該重み付き和があらかじめ定めた閾値を超えた場合には、当該入力データを異常であると判定する。

［実施形態２の効果］
　以上のように本実施形態２によれば、更に、実施形態１よりも異常検知の精度を向上させることができる。

　また、オートエンコーダによって再構成のタスクを課すことにより、様々な状態を持つ正常データを、特徴に応じて実施形態１よりも明確に、部分空間へ広くマッピングすることができる。その結果、より優れた特徴抽出器となる。

［プログラム］
　本発明の実施形態２におけるプログラムは、コンピュータに、図７に示すステップＢ１からＢ４、Ｃ１からＣ４、Ｂ５からＢ７を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施形態における異常検知装置と異常検知方法を実現することができる。この場合、コンピュータのプロセッサは、マッピング部３１、判定部７１、出力情報生成部３３、オートエンコーダ７２として機能し、処理を行なう。

　また、本実施形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、マッピング部３１、判定部７１、出力情報生成部３３、オートエンコーダ７２のいずれかとして機能してもよい。

［物理構成］
　ここで、実施形態１、変形例１、実施形態２におけるプログラムを実行することによって、学習装置及び異常検知装置を実現するコンピュータについて図８を用いて説明する。図８は、実施形態１、変形例１、実施形態２における学習装置及び異常検知装置を実現するコンピュータの一例を示すブロック図である。

　図８に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。なお、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ、又はＦＰＧＡを備えていてもよい。

　ＣＰＵ１１１は、記憶装置１１３に格納された、本実施形態におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）などの揮発性の記憶装置である。また、本実施形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであってもよい。なお、記録媒体１２０は、不揮発性記録媒体である。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリなどの半導体記憶装置があげられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）などの汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）などの磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体があげられる。

　なお、本実施形態における学習装置及び異常検知装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、学習装置及び異常検知装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

［付記］
　以上の実施形態に関し、更に以下の付記を開示する。上述した実施形態の一部又は全部は、以下に記載する（付記１）から（付記２１）により表現することができるが、以下の記載に限定されるものではない。

（付記１）
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習部
　を有する学習装置。

（付記２）
　付記１に記載の学習装置であって、
　前記部分空間として、少なくとも超球面、超楕円面、超双曲面、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する、選択部
　を有する学習装置。

（付記３）
　付記１又は２に記載の学習装置であって、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコーダ
　を有する学習装置。

（付記４）
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピング部と、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定部と、
　を有する異常検知装置。

（付記５）
　付記４に記載の異常検知装置であって、
　前記判定部は、前記領域外にマッピングされた特徴ベクトルを異常と判定する
　異常検知装置。

（付記６）
　付記４又は５に記載の異常検知装置であって、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコーダを有し、
　前記判定部は、前記入力データと、前記オートエンコーダに前記入力データの特徴ベクトルを入力して再構成したデータとの差分を表す再構成誤差を算出し、前記マッピングの結果と前記再構成誤差とに基づいて、前記特徴ベクトルの異常を判別する
　異常検知装置。

（付記７）
　付記４から６のいずれか一つに記載の異常検知装置であって、
　前記入力データは、前記システムにおけるネットワークのトラフィックデータ、センサから出力されるセンサデータのうちのいずれか一つを含む
　異常検知装置。

（付記８）
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習ステップ
　を有する学習方法。

（付記９）
　付記８に記載の学習方法であって、
　前記部分空間として、少なくとも超球面、超楕円面、超双曲面、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する、選択ステップ
　を有する学習方法。

（付記１０）
　付記８又は９に記載の学習方法であって、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコードステップ
　を有する学習方法。

（付記１１）
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピングステップと、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定ステップと、
　を有する異常検知方法。

（付記１２）
　付記１１に記載の異常検知方法であって、
　前記判定ステップにおいて、前記領域外にマッピングされた特徴ベクトルを異常と判定する
　異常検知方法。

（付記１３）
　付記１１又は１２に記載の異常検知方法であって、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコードステップと、
　前記判定ステップにおいて、前記入力データと、前記入力データの特徴ベクトルを入力して再構成したデータとの差分を表す再構成誤差を算出し、前記再構成による再構成誤差に基づいて、前記特徴ベクトルの異常を判別する
　異常検知方法。

（付記１４）
　付記１１から１３のいずれか一つに記載の異常検知方法であって、
　前記入力データは、前記システムにおけるネットワークのトラフィックデータ、センサから出力されるセンサデータのうちのいずれか一つを含む
　異常検知方法。

（付記１５）
　コンピュータに、
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習ステップ
　を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１６）
　付記１５に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　前記部分空間として、少なくとも超球面、超楕円面、超双曲面、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する、選択ステップ
　を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１７）
　付記１５又は１６に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコードステップ
　を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１８）
　コンピュータに、
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピングステップと、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定ステップと、
　を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１９）
　付記１８に記載のコンピュータ読み取り可能な記録媒体であって、
　前記判定ステップにおいて、前記領域外にマッピングされた特徴ベクトルを異常と判定する
　コンピュータ読み取り可能な記録媒体。

（付記２０）
　付記１８又は１９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコードステップを実行させる命令を含み、
　前記判定ステップにおいて、前記入力データと、前記入力データの特徴ベクトルを入力して再構成したデータとの差分を表す再構成誤差を算出し、前記マッピングの結果と前記再構成誤差とに基づいて、前記特徴ベクトルの異常を判別する
　コンピュータ読み取り可能な記録媒体。

（付記２１）
　付記１８から２０のいずれか一つに記載のコンピュータ読み取り可能な記録媒体であって、
　前記入力データは、前記システムにおけるネットワークのトラフィックデータ、センサから出力されるセンサデータのうちのいずれか一つを含む
　コンピュータ読み取り可能な記録媒体。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように本発明によれば、正常データと異常データが精度よく分離されるようにマッピングし、マッピングの結果に基づいて精度よく異常を検知することができる。本発明は、制御システムの監視が必要な分野において有用である。

　１０　学習装置
　１１　学習部
　１２　選択部
　２０　記憶装置
　３０　異常検知装置
　３１　マッピング部
　３２　判定部
　３３　出力情報生成部
　４０　出力装置
　７０　異常検知装置
　７１　判定部
　７２　オートエンコーダ
１１０　コンピュータ
１１１　ＣＰＵ
１１２　メインメモリ
１１３　記憶装置
１１４　入力インターフェイス
１１５　表示コントローラ
１１６　データリーダ／ライタ
１１７　通信インターフェイス
１１８　入力機器
１１９　ディスプレイ装置
１２０　記録媒体
１２１　バス

Claims

　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する、学習手段
　を有する学習装置。
　請求項１に記載の学習装置であって、
　前記部分空間として、少なくとも超球面、超楕円面、超双曲面、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する、選択手段
　を有する学習装置。
　請求項１又は２に記載の学習装置であって、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコーダ
　を有する学習装置。
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングする、マッピング手段と、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する、判定手段と、
　を有する異常検知装置。
　請求項４に記載の異常検知装置であって、
　前記判定手段は、前記領域外にマッピングされた特徴ベクトルを異常と判定する
　異常検知装置。
　請求項４又は５に記載の異常検知装置であって、
　正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する、オートエンコーダを有し、
　前記判定手段は、前記入力データと、前記オートエンコーダに前記入力データの特徴ベクトルを入力して再構成したデータとの差分を表す再構成誤差を算出し、前記マッピングの結果と前記再構成誤差とに基づいて、前記特徴ベクトルの異常を判別する
　異常検知装置。
　請求項４から６のいずれか一つに記載の異常検知装置であって、
　前記入力データは、前記システムにおけるネットワークのトラフィックデータ、センサから出力されるセンサデータのうちのいずれか一つを含む
　異常検知装置。
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する
　学習方法。
　請求項８に記載の学習方法であって、
　前記部分空間として、少なくとも超球面、超楕円面、超双曲面、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する
　学習方法。
　請求項８又は９に記載の学習方法であって、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する
　学習方法。
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングし、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する
　異常検知方法。
　請求項１１に記載の異常検知方法であって、
　前記判定において、前記領域外にマッピングされた特徴ベクトルを異常と判定する
　異常検知方法。
　請求項１１又は１２に記載の異常検知方法であって、
　正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成し、
　前記判定において、前記入力データと、前記入力データの特徴ベクトルを入力して再構成したデータとの差分を表す再構成誤差を算出し、前記再構成による再構成誤差に基づいて、前記特徴ベクトルの異常を判別する
　異常検知方法。
　請求項１１から１３のいずれか一つに記載の異常検知方法であって、
　前記入力データは、前記システムにおけるネットワークのトラフィックデータ、センサから出力されるセンサデータのうちのいずれか一つを含む
　異常検知方法。
　コンピュータに、
　あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、訓練データとして入力された正常データに基づいて生成された特徴ベクトルをマッピングするためのマッピングモデルに含まれる、前記特徴ベクトルを生成するための第一のパラメータと、前記距離を調整するための第二のパラメータとを学習する
　処理を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項１５に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　前記部分空間として、少なくとも超球面、超楕円面、超双曲面、トーラス、超平面、これらの一部、これらの和集合又は積集合、のうちのいずれか一つを選択する
　処理を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項１５又は１６に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　前記正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する
　処理を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　コンピュータに、
　対象のシステムから取得した入力データをマッピングモデルに入力し、あらかじめ設定された部分空間と前記部分空間からの距離とに基づいて設定される領域に、前記入力データに基づいて生成された特徴ベクトルをマッピングし、
　前記マッピングの結果に基づいて特徴ベクトルを異常と判定する
　処理を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項１８に記載のコンピュータ読み取り可能な記録媒体であって、
　前記領域外にマッピングされた特徴ベクトルを異常と判定する
　コンピュータ読み取り可能な記録媒体。
　請求項１８又は１９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　正常データの特徴ベクトルを入力し、当該特徴ベクトルに対応する入力データを再構成する処理を実行させる命令を含み、
　前記入力データと、前記入力データの特徴ベクトルを入力して再構成したデータとの差分を表す再構成誤差を算出し、前記マッピングの結果と前記再構成誤差とに基づいて、前記特徴ベクトルの異常を判別する
　コンピュータ読み取り可能な記録媒体。
　請求項１８から２０のいずれか一つに記載のコンピュータ読み取り可能な記録媒体であって、
　前記入力データは、前記システムにおけるネットワークのトラフィックデータ、センサから出力されるセンサデータのうちのいずれか一つを含む
　コンピュータ読み取り可能な記録媒体。