Nothing Special   »   [go: up one dir, main page]

JP2019003533A - 検知装置および検知方法 - Google Patents

検知装置および検知方法 Download PDF

Info

Publication number
JP2019003533A
JP2019003533A JP2017119457A JP2017119457A JP2019003533A JP 2019003533 A JP2019003533 A JP 2019003533A JP 2017119457 A JP2017119457 A JP 2017119457A JP 2017119457 A JP2017119457 A JP 2017119457A JP 2019003533 A JP2019003533 A JP 2019003533A
Authority
JP
Japan
Prior art keywords
determination
anomaly score
normal operation
value
determination threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017119457A
Other languages
English (en)
Other versions
JP6753818B2 (ja
Inventor
公洋 山越
Koyo Yamakoshi
公洋 山越
友康 佐藤
Tomoyasu Sato
友康 佐藤
南 拓也
Takuya Minami
拓也 南
五十嵐 弓将
Yumimasa Igarashi
弓将 五十嵐
直人 藤木
Naoto Fujiki
直人 藤木
中津留 毅
Takeshi Nakatsuru
毅 中津留
真徳 山田
Masanori Yamada
真徳 山田
友貴 山中
Tomoki Yamanaka
友貴 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017119457A priority Critical patent/JP6753818B2/ja
Publication of JP2019003533A publication Critical patent/JP2019003533A/ja
Application granted granted Critical
Publication of JP6753818B2 publication Critical patent/JP6753818B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】人手を介さずに異常検知の判定閾値を変更して誤検知の発生を抑止する。【解決手段】判定部15aは、機器の正常動作時のアノマリスコアを用いた学習を行って判定閾値を決定し、更新部15bが、機器の正常動作時の判定結果が異常であった場合の回数が所定の閾値以上になった場合に、判定部15aの学習により判定閾値を更新し、正常動作時の判定結果が正常であった場合のアノマリスコアのうちの最大値を正常動作時のアノマリスコアの最大値とし、異常動作時の判定結果が正常であった場合に、該アノマリスコアを異常動作時のアノマリスコアの最小値とし、該最小値が正常動作時のアノマリスコアの最大値より大きい場合に、判定閾値を該最大値と該最小値との中間の値に更新し、該最小値が該最大値以下であった場合の回数が所定の閾値以上になった場合に、判定部15aの学習により判定閾値を更新する。【選択図】図2

Description

本発明は、検知装置および検知方法に関する。
従来、PCやサーバ等の機器のウイルス感染等の異常を検知するウイルス検知ソフトが知られている。ウイルス検知ソフトは、感染源となる悪性プログラムのシグニチャを参照して異常を検知している。この方式では、新種のウイルスが発見される都度、あるいは、一定の頻度で、悪性プログラムを定義するシグニチャファイルが更新される。したがって、新種のウイルスや亜種のウイルスに対する検知性能を低下させないため、シグニチャファイルを頻繁に更新し続ける必要がある。また、この方式では、未発見のウイルスの感染を検知することができない。
また、近年、様々な分野でPCやサーバとはタイプの異なるいわゆるIoT機器が利用されている。一般に、IoT機器は、いったんシステムに導入されると、十分なセキュリティ対策が講じられないままに長期間使用される場合が多い。このようなIoT機器は、攻撃者による分析および未知の攻撃のターゲットとなりやすい。また、IoT機器は、特殊なOSで構成されたり、CPUやメモリ等のリソースが不十分だったりして、ウイルス検知ソフトの導入が困難な場合が多い。
そこで、ウイルス検知ソフトを用いずに機器の異常を検知する技術が提案されている(特許文献1参照)。この技術では、機器の動作中に計測されたシステムコール回数を、予め決められた正常動作時の基準値と比較して、基準値の範囲内であれば正常と判定され、範囲外であれば異常と判定される。なお、ファームウェアの更新等により、機器の基本動作の設定が変更された場合や、動作環境が変わった場合等には、正常動作時の値は変化する場合がある。
特開2005−234849号公報
しかしながら、従来の技術では、基準値すなわち異常検知の判定閾値の変更について考慮されていなかった。例えば、ファームウェアの更新等により、機器の基本動作の設定が変更された場合や、動作環境が変わった場合等には、正常動作時の値が当初の判定閾値から乖離して、動作の異常を判定することができない場合がある。また、その場合に、異常の検知率を改善するために判定閾値を変更するには、人手を介する手間が発生する。また、判定閾値の変更を行う間は異常の検知を停止しなければならない。
本発明は、上記に鑑みてなされたものであって、人手を介さずに異常検知の判定閾値を変更して誤検知の発生を抑止することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、機器から取得される動作時の特徴量から算出される、該機器の異常の度合いを表すアノマリスコアが、所定の判定閾値より小さい場合に正常と判定し、該判定閾値以上の場合に異常と判定する判定部と、前記機器の正常動作時または異常動作時における前記判定部による判定結果が所定の条件を満たした場合に、アノマリスコアを用いて前記判定閾値を更新する更新部と、を備えることを特徴とする。
本発明によれば、人手を介さずに異常検知の判定閾値を変更して誤検知の発生を抑止することができる。
図1は、本発明の一実施形態に係る検知装置を含むシステムの概略構成を例示する模式図である。 図2は、検知装置の概略構成を例示する模式図である。 図3は、更新部の処理を説明するための説明図である。 図4は、更新部の処理を説明するための説明図である。 図5は、検知処理手順を示すフローチャートである。 図6は、検知プログラムを実行するコンピュータを例示する図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[システムの構成]
図1は、本実施形態の検知装置を含むシステムの概略構成を例示する模式図である。図1に例示するように、異常検知対象の機器1は、ゲートウェイ装置2およびネットワーク3を介して検知装置10に接続される。ゲートウェイ装置2は、機器1とLAN(Local Area Network)やインターネット等のネットワーク3を介した他の装置との間の通信の特徴量や機器1の動作ログ等の機器1の特徴量を取得する。
検知装置10は、機器1の動作時の特徴量をゲートウェイ装置2およびネットワーク3を介して取得して、機器1の異常を検知する。すなわち、検知装置10は、機器1の動作時の特徴量から算出された機器1の異常の度合いを表すアノマリスコアが、機器1の正常動作時の特徴量を用いて学習された所定の判定閾値より小さい場合に正常と判定し、判定閾値以上の場合に異常と判定する。
また、本実施形態において、検知装置10は、後述する検知処理により、機器1の異常動作時または正常動作時における異常/正常の判定結果を用いて、判定閾値を最適な値に更新する。
[検知装置の構成]
図2は、検知装置の概略構成を例示する模式図である。図2に例示するように、検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、ネットワーク3を介したゲートウェイ装置2等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する検知処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図2に例示するように、判定部15aおよび更新部15bとして機能する。なお、これらの機能部は、異なるハードウェアに実装されてもよい。
判定部15aは、機器1から取得される動作時の特徴量から算出される、該機器1の異常の度合いを表すアノマリスコアが、所定の判定閾値より小さい場合に正常と判定し、該判定閾値以上の場合に異常と判定する。ここで、動作時の特徴量とは、例えば、通信の特徴量や動作ログを意味する。
また、判定部15aは、機器1の正常動作時の特徴量を用いた学習を行って判定閾値を決定する。すなわち、判定部15aは、機器1の正常動作時の特徴量を学習データとして、正常動作時の特徴量から算出されたアノマリスコアを用いて、判定閾値を決定する。
具体的には、判定部15aは、学習データのアノマリスコアの統計分布から導出される上限値に所定のマージンを加算した値を判定閾値に決定する。例えば、アノマリスコアが正規分布に従うとの前提の下で、分散σと平均mとを用いた統計的手法を適用し、上限値をm+2σとして、例外的な極端な値のアノマリスコアを削除する。
更新部15bは、機器1の正常動作時または異常動作時における判定部15aによる判定結果が所定の条件を満たした場合に、アノマリスコアを用いて判定閾値を更新する。ここで、機器1の正常動作時か異常動作時かは、運用者が現場に設置された機器1の状況を確認することにより切り分けるものとする。
具体的には、更新部15bは、機器1の正常動作時の判定結果が異常であった場合の回数NG1が所定の閾値NG1_max以上になった場合に、機器1の前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた判定部15aの学習により判定閾値を更新する。
すなわち、機器1の正常動作時の特徴量から算出されるアノマリスコアが判定閾値以上であり、判定部15aによる判定結果が異常であった場合に、更新部15bは、過検知とみなし、過検知の回数を計数する。また、この回数NG1が所定の閾値NG1_max以上になった場合に、更新部15bは、判定部15aに、機器1の前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた学習を実施させる。これにより、更新部15bは、正常動作に偏りが生じることなく学習し、上記の上限値を用いた判定閾値を更新する。
また、更新部15bは、機器1の正常動作時の判定結果が正常であった場合のアノマリスコアのうちの最大値を正常動作時のアノマリスコアの最大値とする。また、更新部15bは、機器1の異常動作時の判定結果が正常であった場合に、このときのアノマリスコアを異常動作時のアノマリスコアの最小値とする。
そして、更新部15bは、異常動作時のアノマリスコアの最小値が正常動作時のアノマリスコアの最大値より大きい場合に、判定閾値を正常動作時のアノマリスコアの最大値と異常動作時のアノマリスコアの最小値との中間の値に更新する。また、更新部15bは、該最小値が最大値以下であった場合の回数NG2が所定の閾値NG2_max以上になった場合に、前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた判定部15aの学習により、判定閾値を更新する。
ここで、図3および図4を参照して、更新部15bの処理について説明する。図3および図4は、更新部15bの処理を説明するための説明図である。更新部15bは、機器1の正常動作が正しく正常と判定された場合に、このときのアノマリスコアを正常動作時のアノマリスコアとし、正常動作時のアノマリスコアの最大値を特定する。また、更新部15bは、機器1の異常動作が誤って正常と判定された場合に、検知漏れとみなし、このときのアノマリスコアを異常動作時のアノマリスコアの最小値とする。そして、更新部15bは、正常動作時のアノマリスコアの最大値と異常動作時のアノマリスコアの最小値とを比較する。
図3に例示するように、異常動作時のアノマリスコアの最小値が正常動作時のアノマリスコアの最大値より大きい場合に、更新部15bは、判定閾値を更新する。この場合に、更新部15bは、異常動作時のアノマリスコアの最小値と正常動作時のアノマリスコアの最大値との中間の値を更新後の判定閾値とする。
この判定閾値は、異常動作時のアノマリスコアの最小値と正常動作時のアノマリスコアの最大値との間の1:1の中間の値に限定されない。例えば、正常動作時のアノマリスコア数と異常動作時のアノマリスコア数との比率に応じた比率の、例えば、2:1となる間の値としてもよい。
一方、図4に例示するように、異常動作時のアノマリスコアの最小値が正常動作時のアノマリスコアの最大値以下であった場合に、更新部15bは、判定閾値の更新不可として、更新不可の回数を計数する。この回数NG2が所定の閾値NG2_max以上になった場合に、更新部15bは、判定部15aに、前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた学習を実施させる。これにより、更新部15bは、正常動作に偏りが生じることなく学習し、上記の上限値を用いた判定閾値を更新する。
なお、更新部15bは、機器1の異常動作時の判定結果が異常であった場合のアノマリスコアのうちの最小値を異常動作時のアノマリスコアの最小値とし、判定閾値を異常動作時のアノマリスコアの最小値と正常動作時のアノマリスコアの最大値との中間の値に更新してもよい。すなわち、更新部15bは、異常動作が正しく異常と判定された場合にも、異常動作時のアノマリスコアの最小値と正常動作時のアノマリスコアの最大値との中間の値で判定閾値を更新してもよい。
また、上記実施形態では、更新部15bは、過検知の回数NG1や、検知漏れかつ異常動作時のアノマリスコアの最小値と正常動作時のアノマリスコアの最大値とを用いた判定閾値の更新不可の回数NG2として、発生回数を計数しているが、これに限定されない。例えば単位時間当たりの発生回数を計数してもよい。
また、回数NG1または回数NG2がそれぞれ閾値NG1_max、NG2_maxに達していない場合にも、機器1のファームウェアの更新や設定変更等により動作条件の変更が想定される場合には、判定閾値を更新してもよい。その場合に、更新部15bは、動作条件の変更後の特徴量を取得して、判定部15aの学習を実施させることにより、判定閾値を更新する。
[検知処理]
次に、図5を参照して、本実施形態に係る検知装置10による検知処理について説明する。図5は、検知処理手順を示すフローチャートである。図5のフローチャートは、例えば、検知処理の開始を指示する操作入力があったタイミングで開始される。
検知処理は、初期設定フェーズと運用フェーズとに分類される。まず、初期設定フェーズでは、判定部15aが、直近の正常動作時のアノマリスコアを用いた学習により、アノマリスコアの上限値を用いて判定閾値を決定する。その際、更新部15bが後述する処理で用いる回数NG1および回数NG2のカウンタ値が0に初期設定される(ステップS1〜S2)。
次に、運用フェーズでは、判定部15aが、機器1の直近の動作時の特徴量を取得してアノマリスコアを算出し(ステップS3〜S4)、判定閾値を用いて正常か異常かの判定を行う(ステップS5)。
判定結果が異常であった場合に(ステップS5,Yes)、運用者により異常動作時と確認されていれば(ステップS6,Yes)、判定部15aが正しく異常と判定したことを意味する(ステップS7)。この場合に、更新部15bはステップS3に処理を戻す。
判定結果が異常であった場合に(ステップS5,Yes)、運用者により正常動作時と確認されていれば(ステップS6,No)、判定部15aが真の正常を異常とした過検知であることを意味する(ステップS8)。この場合に、更新部15bは、過検知の回数NG1に1を加算する(ステップS9)。
回数NG1が所定の閾値NG1_max未満であれば(ステップS10,Yes)、更新部15bは、ステップS3に処理を戻す。一方、回数NG1が所定の閾値NG1_max以上になった場合に(ステップS10,No)、更新部15bは、ステップS1に処理を戻し、前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた判定部15aの学習により、判定閾値を更新する。
ステップS5の処理において、判定結果が正常であった場合に(ステップS5,No)、運用者により正常動作時と確認されていれば(ステップS11,Yes)、判定部15aが正しく正常と判定したことを意味する(ステップS12)。この場合に、更新部15bは、このときのアノマリスコアを正常動作時のアノマリスコアとし、正常動作時のアノマリスコアの最大値を特定して更新した後(ステップS13)、ステップS3に処理を戻す。
判定結果が正常であった場合に(ステップS5,No)、運用者により異常動作時と確認されていれば(ステップS11,No)、判定部15aが真の異常を正常とした検知漏れであることを意味する(ステップS14)。この場合に、更新部15bは、このときのアノマリスコアを用いて異常動作時のアノマリスコアの最小値を更新する(ステップS15)。
また、更新部15bは、正常動作時のアノマリスコアの最大値と異常動作時のアノマリスコアの最小値とを比較して、判定閾値の更新が可能か否かを確認する(ステップS16)。異常動作時のアノマリスコアの最小値が正常動作時のアノマリスコアの最大値より大きく、判定閾値の更新が可能な場合に(ステップS16,Yes)、更新部15bは、この最小値とこの最大値との中間の値を用いて判定閾値を更新した後(ステップS17)、ステップS3に処理を戻す。
一方、異常動作時のアノマリスコアの最小値が正常動作時のアノマリスコアの最大値以下であり、判定閾値の更新が不可能な場合に(ステップS16,No)、更新部15bは、更新不可の回数NG2に1を加算する(ステップS18)。
回数NG2が所定の閾値NG2_max未満であれば(ステップS19,Yes)、更新部15bは、ステップS3に処理を戻す。一方、回数NG2が所定の閾値NG2_max以上になった場合に(ステップS19,No)、更新部15bは、ステップS1に処理を戻し、前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた判定部15aの学習により、判定閾値を更新する。
以上、説明したように、本実施形態の検知装置10において、判定部15aが、機器1から取得される動作時の特徴量から算出される、該機器1の異常の度合いを表すアノマリスコアが、所定の判定閾値より小さい場合に正常と判定し、該判定閾値以上の場合に異常と判定する。また、更新部15bは、機器1の正常動作時または異常動作時における判定部15aによる判定結果が所定の条件を満たした場合に、アノマリスコアを用いて判定閾値を更新する。
これにより、検知装置10は、機器1の正常動作の判定閾値が初期値から乖離した場合にも、人手を介さずに判定閾値の更新を行って、過検知や検知漏れ等の誤検知の発生を抑止できる。また、機器の動作環境の変化に基づいて誤検知率が増加する場合にも、判定閾値の頻繁な学習による更新を抑止できるので、学習に伴う異常検知の処理の停止時間を必要最低限に抑えることができる。このように、本実施形態の検知装置10により、人手を介さずに異常検知の判定閾値を変更して誤検知の発生を抑止することができる。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
また、検知装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置10は、機器1の動作時の特徴量を入力とし、正常か異常かの判定結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
図6は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1 機器
2 ゲートウェイ装置
3 ネットワーク
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
15 制御部
15a 判定部
15b 更新部

Claims (4)

  1. 機器から取得される動作時の特徴量から算出される、該機器の異常の度合いを表すアノマリスコアが、所定の判定閾値より小さい場合に正常と判定し、該判定閾値以上の場合に異常と判定する判定部と、
    前記機器の正常動作時または異常動作時における前記判定部による判定結果が所定の条件を満たした場合に、アノマリスコアを用いて前記判定閾値を更新する更新部と、
    を備えることを特徴とする検知装置。
  2. 前記判定部は、前記機器の正常動作時の特徴量を用いた学習を行って前記判定閾値を決定し、
    前記更新部は、前記機器の正常動作時の前記判定結果が異常であった場合の回数が所定の閾値以上になった場合に、前記機器の前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた前記判定部の学習により前記判定閾値を更新し、
    前記機器の正常動作時の前記判定結果が正常であった場合のアノマリスコアのうちの最大値を正常動作時のアノマリスコアの最大値とし、
    前記機器の異常動作時の前記判定結果が正常であった場合に、該アノマリスコアを異常動作時のアノマリスコアの最小値とし、該最小値が前記最大値より大きい場合に、前記判定閾値を該最大値と該最小値との中間の値に更新し、該最小値が前記最大値以下であった場合の回数が所定の閾値以上になった場合に、前記機器の前回までの学習に用いた正常動作時の特徴量と直近の正常動作時の特徴量とを所定の割合で足し合わせた特徴量を用いた前記判定部の学習により前記判定閾値を更新することを特徴とする請求項1に記載の検知装置。
  3. 前記更新部は、前記機器の異常動作時の前記判定結果が異常であった場合のアノマリスコアのうちの最小値を異常動作時のアノマリスコアの最小値とし、前記判定閾値を該最小値と前記最大値との中間の値に更新することを特徴とする請求項2に記載の検知装置。
  4. 検知装置で実行される検知方法であって、
    機器から取得される動作時の特徴量から算出される、該機器の異常の度合いを表すアノマリスコアが、所定の判定閾値より小さい場合に正常と判定し、該判定閾値以上の場合に異常と判定する判定工程と、
    前記機器の正常動作時または異常動作時における前記判定工程における判定結果が所定の条件を満たした場合に、アノマリスコアを用いて前記判定閾値を更新する更新工程と、
    を含むことを特徴とする検知方法。
JP2017119457A 2017-06-19 2017-06-19 検知装置および検知方法 Active JP6753818B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017119457A JP6753818B2 (ja) 2017-06-19 2017-06-19 検知装置および検知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017119457A JP6753818B2 (ja) 2017-06-19 2017-06-19 検知装置および検知方法

Publications (2)

Publication Number Publication Date
JP2019003533A true JP2019003533A (ja) 2019-01-10
JP6753818B2 JP6753818B2 (ja) 2020-09-09

Family

ID=65005993

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017119457A Active JP6753818B2 (ja) 2017-06-19 2017-06-19 検知装置および検知方法

Country Status (1)

Country Link
JP (1) JP6753818B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220263737A1 (en) * 2019-07-23 2022-08-18 Nippon Telegraph And Telephone Corporation Anomaly detection device, anomaly detection method and anomaly detection program
US12003523B2 (en) 2020-01-23 2024-06-04 Mitsubishi Electric Corporation Model generation apparatus, model generation method, and computer readable medium

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004507A (ja) * 2005-06-24 2007-01-11 Mitsubishi Electric Corp 管理装置
JP2011024286A (ja) * 2009-07-13 2011-02-03 Mitsubishi Electric Corp 電力系統監視制御システム及び制御方法
JP2015162032A (ja) * 2014-02-27 2015-09-07 株式会社日立製作所 移動体の診断装置
JP2016192000A (ja) * 2015-03-31 2016-11-10 横河電機株式会社 業務支援装置及び業務支援方法
JP2017021702A (ja) * 2015-07-14 2017-01-26 中国電力株式会社 故障予兆監視方法
JP2017072882A (ja) * 2015-10-05 2017-04-13 富士通株式会社 アノマリ評価プログラム、アノマリ評価方法、および情報処理装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004507A (ja) * 2005-06-24 2007-01-11 Mitsubishi Electric Corp 管理装置
JP2011024286A (ja) * 2009-07-13 2011-02-03 Mitsubishi Electric Corp 電力系統監視制御システム及び制御方法
JP2015162032A (ja) * 2014-02-27 2015-09-07 株式会社日立製作所 移動体の診断装置
JP2016192000A (ja) * 2015-03-31 2016-11-10 横河電機株式会社 業務支援装置及び業務支援方法
JP2017021702A (ja) * 2015-07-14 2017-01-26 中国電力株式会社 故障予兆監視方法
JP2017072882A (ja) * 2015-10-05 2017-04-13 富士通株式会社 アノマリ評価プログラム、アノマリ評価方法、および情報処理装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220263737A1 (en) * 2019-07-23 2022-08-18 Nippon Telegraph And Telephone Corporation Anomaly detection device, anomaly detection method and anomaly detection program
US12113816B2 (en) * 2019-07-23 2024-10-08 Nippon Telegraph And Telephone Corporation Anomaly detection device, anomaly detection method and anomaly detection program
US12003523B2 (en) 2020-01-23 2024-06-04 Mitsubishi Electric Corporation Model generation apparatus, model generation method, and computer readable medium

Also Published As

Publication number Publication date
JP6753818B2 (ja) 2020-09-09

Similar Documents

Publication Publication Date Title
RU2530210C2 (ru) Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US11086983B2 (en) System and method for authenticating safe software
US20150242627A1 (en) Apparatus and method for blocking actvity of malware
CN112437920B (zh) 异常检测装置和异常检测方法
US8732836B2 (en) System and method for correcting antivirus records to minimize false malware detections
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
JP6606050B2 (ja) 検知装置、検知方法および検知プログラム
US10885162B2 (en) Automated determination of device identifiers for risk-based access control in a computer network
US11550920B2 (en) Determination apparatus, determination method, and determination program
JP6753818B2 (ja) 検知装置および検知方法
US10726129B2 (en) Persistence probing to detect malware
WO2020009094A1 (ja) 生成装置、生成方法及び生成プログラム
JP2018148267A (ja) 検知装置、検知方法および検知プログラム
JP6683655B2 (ja) 検知装置および検知方法
JP2018148270A (ja) 分類装置、分類方法および分類プログラム
US11818153B2 (en) Detection device and detection program
JP7184197B2 (ja) 異常検出装置、異常検出方法および異常検出プログラム
US20210209504A1 (en) Learning method, learning device, and learning program
US12028352B2 (en) Learning method, learning device, and learning program
JP7533753B2 (ja) 分析装置、分析システム、分析方法、および、分析プログラム
EP4395259A1 (en) System and method for filtering events for transmission to remote devices
US20230351251A1 (en) Determination device, determination method, and determination program
JP2023121566A (ja) 検知装置、検知方法および検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190522

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200820

R150 Certificate of patent or registration of utility model

Ref document number: 6753818

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150