异常检测装置(30)具有:学习部(31),其使用通信设备(10)的正常动作时的通信日志作为学习数据来生成检测模型;以及异常检测部(32),其使用所生成的检测模型来检测通信设备(10)的异常。然后,异常检测装置(30)具有:数据取得部(330),其取得在比第1通信日志靠后的规定期间内所产生的通信日志(第2通信日志);以及判定部(334),在目前的检测模型的学习数据(第1通信日志)与第2通信日志之间具有差分信息的情况下,在该差分信息所包含的追加信息(追加流的信息)的数量或删除信息(删除流的信息)的数量满足规定的评价基准时,所述判定部(334)命令使用第2通信日志的重新学习。(334)命令使用第2通信日志的重新学习。(334)命令使用第2通信日志的重新学习。
【技术实现步骤摘要】
【国外来华专利技术】异常检测装置和异常检测方法
[0001]本专利技术涉及异常检测装置和异常检测方法。
技术介绍
[0002]作为检测PC等设备中的由于病毒感染等引起的异常的方法,一直以来提出并使用将设备的举动模式与已知的异常模式匹配而检测异常的特征检测方式和将设备的举动模式与正常状态的举动模式匹配而检测异常的异常检测方式(参照专利文献1)。
[0003]在特征检测方式中,预先确定了异常模式,因此,在与该异常模式一致的情况下,能够检测出异常,但是,无法检测出由于未知病毒等引起的未预先确定异常模式的异常。另一方面,在异常检测方式中,通过如专利文献1那样使用机器学习技术来学习正常状态,与所学习的模型不一致的举动模式全部检测为异常。因此,还能够检测出由于未知病毒等引起的异常。但是,在异常检测方式中,在正常状态由于设备的设定变更等而发生了变更的情况下,与过去的模型不一致的举动模式会被检测为异常。
[0004]此处,在现有技术(例如,参照专利文献1)中,根据过去的观测值确定了用于异常检测方式的设备的正常状态的举动,因此,需要重新学习正常状态的举动,以追随由于设备的设定变更等引起的正常状态的变化。
[0005]现有技术文献
[0006]专利文献
[0007]专利文献1:日本特开2004-312064号公报
技术实现思路
[0008]专利技术所要解决的课题
[0009]此处,在不花费计算成本的环境中,无法频繁地实施设备的正常状态的举动的重新学习,其结果,有可能导致安全性下降。因此,在不花费计算成本的环境中,需要在适当的定时进行上述的正常状态的举动的重新学习。因此,本专利技术解决上述课题,其课题在于在适当的定时进行设备的正常状态的举动的重新学习。
[0010]用于解决课题的手段
[0011]为了解决上述课题,本专利技术的特征在于,具有:学习部,其使用通信设备的正常动作时的通信日志作为学习数据来生成检测所述通信设备的异常的检测模型;异常检测部,其使用所述生成的检测模型和所述通信设备的通信日志来检测所述通信设备的异常;数据取得部,其取得作为在比第1通信日志靠后的规定期间内产生的通信日志的第2通信日志,该第1通信日志是在所述检测模型的生成中使用的通信日志;追加信息确定部,其将所述第2通信日志中的、由该检测模型检测出异常的通信日志确定为所述第1通信日志的追加信息;删除信息确定部,其根据所述第1通信日志与所述第2通信日志之间的差分信息,确定除所述第1通信日志的追加信息以外的删除信息;以及判定部,在存在所述第1通信日志的追加信息或删除信息的情况下,在所述追加信息的数量或所述删除信息的数量满足规定的评
价基准时,所述判定部命令所述学习部使用所述第2通信日志作为学习数据来生成检测模型。
[0012]专利技术效果
[0013]根据本专利技术,能够在适当的定时进行设备的正常状态的举动的重新学习。
附图说明
[0014]图1是示出系统的结构例的图。
[0015]图2是用于说明本实施方式中的追加信息和删除信息的图。
[0016]图3是用于说明更新前学习数据集与最新学习数据集的差分信息、追加信息和删除信息的图。
[0017]图4是示出图1的异常检测装置的处理过程的例子的流程图。
[0018]图5是执行异常检测程序的计算机的例子的图。
具体实施方式
[0019]以下,参照附图,对用于实施本专利技术的方式(实施方式)进行说明。本专利技术不限于本实施方式。
[0020][结构和概要][0021]首先,使用图1来说明包含本实施方式的异常检测装置的系统的结构例。例如,如图1所示,系统具有通信设备10、网关装置20和异常检测装置30。通信设备10和网关装置20通过LAN(Local Area Network:局域网)等连接。此外,网关装置20和异常检测装置30通过互联网等网络连接。
[0022]通信设备10是成为本系统中的异常的检测对象的通信设备。该通信设备10例如是PC等。网关装置20是将通信设备10经由互联网等网络与外部装置连接或者与同一LAN内的其他通信设备10连接的装置。该网关装置20取得各通信设备10收发的网络流的信息、该网络流的通信特征量、各通信设备10的动作日志等表示通信设备10的举动的信息。
[0023]另外,网络流的信息(网络流信息)例如是网络流的发送源IP(Internet Protocol:互联网协议)地址、发送源MAC(Media Access Control:媒体访问控制)地址、发送目的地IP地址、发送目的地MAC地址、通信端口编号、接收分组数量、发送分组数量、通信有效载荷等。通信特征量例如是网络流的发送源IP地址、发送源MAC地址、发送目的地IP地址、发送目的地MAC地址、接收分组总数的平均值、发送分组总数的方差值等。此外,动作日志是由该通信设备10执行的过程的ID、过程的执行开始时刻等。
[0024]异常检测装置30通过学习表示从网关装置20取得的各通信设备10的正常状态下的举动的信息,进行对各通信设备10的非法访问或病毒感染等异常的检测。异常检测装置30例如设各通信设备10的正常状态下的网络流信息、该网络流的通信特征量、各通信设备的动作日志等(以上,统称作“通信日志”)为学习数据,生成异常检测型检测模型。然后,异常检测装置30使用所生成的检测模型、与检测对象的通信设备10的网络流信息、通信特征量、动作日志等来进行异常检测型异常检测。
[0025]此处,异常检测装置30追随基于各通信设备10的设定变更等的正常状态的变化,因此,重新学习各通信设备10的正常状态的通信日志,使用重新学习的结果更新检测模型。
[0026]例如,异常检测装置30取得在目前的检测模型A的生成中使用的通信日志(学习数据集A)之后所产生的上述各通信设备10的通信日志(学习数据集B)。此处,在所取得的学习数据集B与学习数据集A之间的差分信息满足规定的评价基准的情况下,异常检测装置30进行使用学习数据集B的重新学习。由此,异常检测装置30即使在不花费计算成本的环境下,也能够在适当的定时进行通信设备10的正常状态的举动的重新学习。
[0027][异常检测装置][0028]接着,使用图1详细地说明异常检测装置30。异常检测装置30具有学习部31、异常检测部32和重新学习实施判定部33。
[0029]学习部31将通信设备10的正常状态的通信日志作为学习数据,生成用于检测通信设备10的异常的检测模型。例如,学习部31在从网关装置20取得了各通信设备10的正常状态的通信日志时,将该通信日志作为学习数据生成用于检测各通信设备10的异常的检测模型。
[0030]学习部31在学习数据的学习完成并生成了检测模型时,使异常检测部32开始使用该检测模型的异常检测(用于异常检测的分析)。然后,学习部31将在该学习中使用的通信设备10的识别信息、通信日志(学习数据集A)和通过该通信日志的学习生成的检测模型(检测模型A)保存到重新学习实施判定部33中本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种异常检测装置,其特征在于,具有:学习部,其使用通信设备的正常动作时的通信日志作为学习数据,生成检测所述通信设备的异常的检测模型;异常检测部,其使用所述生成的检测模型和所述通信设备的通信日志来检测所述通信设备的异常;数据取得部,其取得作为在比第1通信日志靠后的规定期间内所产生的通信日志的第2通信日志,其中,该第1通信日志是在所述检测模型的生成中使用的通信日志;追加信息确定部,其将所述第2通信日志中的、由该检测模型检测出异常的通信日志确定为所述第1通信日志的追加信息;删除信息确定部,其根据所述第1通信日志与所述第2通信日志之间的差分信息,确定除所述第1通信日志的追加信息以外的删除信息;以及判定部,在存在所述第1通信日志的追加信息或删除信息的情况下,在所述追加信息的数量或所述删除信息的数量满足规定的评价基准时,所述判定部命令所述学习部使用所述第2通信日志作为学习数据来生成检测模型。2.根据权利要求1所述的异常检测装置,其特征在于,在存在所述追加信息或所述删除信息的情况下,在所述追加信息的数量超过规定的阈值时、或所述删除信息的数量超过规定的阈值时、或所述追加信息与所述删除信息的合计数量超过规定的阈值时,所述判定...
【专利技术属性】
技术研发人员:泉雅巳,佐藤友康,中津留毅,南拓也,藤木直人,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。