属性值提取部(101)提取属于与异常检测中的监视对象相关联的属性的多个属性值作为多个模型生成属性值。分割数据生成部(102)从表示多个正常事件的正常数据中,按照每个模型生成属性值提取与模型生成属性值相关联的正常事件,按照每个模型生成属性值生成表示提取出的正常事件的分割数据,其中,所述多个正常事件各自已被判明为正常,各自与多个属性值中的任意属性值相关联,且各自包含多个特征。特征选择部(103)从多个分割数据所示的多个正常事件中包含的多个特征中,选择用于生成在异常检测中使用的正常模型的特征组合。正常模型生成部(104)使用选择出的特征组合,按照每个模型生成属性值生成正常模型。生成属性值生成正常模型。生成属性值生成正常模型。
【技术实现步骤摘要】
【国外来华专利技术】模型生成装置、模型生成方法和模型生成程序
[0001]本专利技术涉及异常检测技术。
技术介绍
[0002]近年来,以特定的企业或特定的组织为对象的目标型攻击正在增加。2015年发生的对日本养老金机构的目标型攻击仍令人记忆犹新。此外,随着控制系统的网络化,对发电设备、气体设备等重要基础设施的网络攻击逐渐成为威胁。这样,网络攻击成为动摇国家安全保障的重大未决事项。2020年即将举办备受世界瞩目的东京奥运会和残奥会,预计其将成为攻击者的良好标靶。如果在大会期间内重要基础设施因网络攻击而停止工作,则会给大会运营带来很大的障碍。
[0003]另一方面,在安全监视的现场,目前,具有专业知识的工作人员短缺已常态化。根据来自日本经济产业省的调查报告,在2016年,信息安全人材短缺132,060人。另外,预计在2020年会短缺193,010人。因此,需要即使工作人员少也能够高精度且高效地检测网络攻击的技术。
[0004]作为检测网络攻击的技术,使用关于攻击和/或正常状态的规则的规则库的检测技术是众所周知的。但是,由于攻击的先进化和未知攻击的增加,预先定义规则变得困难,给监视工作人员带来困扰。因此,期望无需预先定义规则的先进的检测技术。作为实现它的技术,期待机器学习等Artificial Intelligence(人工智能,以下简称作AI)。
[0005]AI对预先准备的多个类的数据进行学习,自动地找到划分类间的边界。如果能够大量准备每个类的数据,则AI能够适当地找到边界。如果能够将AI应用于网络攻击的监视,则可期待AI替代迄今为止具有专业知识和技能的工作人员进行的规则的定义和更新。
[0006]但是,在网络安全中,存在很难大量准备AI中最重要的每个类的数据这样的课题。特别是攻击的发生非常罕见,为了学习而大量准备攻击数据非常困难。因此,需要即使在攻击数据少或者完全没有的环境中也能够有效地将攻击检测为异常的AI技术。
[0007]作为这种技术的代表例,已知有异常检测技术。在异常检测技术中,仅对正常数据进行学习,将正常的举动模型化为正常模型。而且,在异常检测技术中,将偏离正常模型的举动检测为异常。
[0008]在非专利文献1中公开有如下技术:基于正常数据的倾向分割正常数据,按照通过分割而得到的每个分割数据生成正常模型。
[0009]现有技术文献
[0010]非专利文献
[0011]非专利文献1:Denis Hock,Martin Kappes,Bogdan V.Ghita,“A Pre
‑
clustering Method To Improve Anomaly Detection”
技术实现思路
[0012]专利技术要解决的课题
[0013]正常数据包含各种属性(例如所属、职务、时期等),举动按照每个属性值(例如作为所属的属性值,有经理部、总务部、营业部等)而不同的情况不少。在非专利文献1的技术中,基于正常数据的倾向来生成正常模型,因此,每个属性值固有的正常举动并不直接反映到正常模型。
[0014]因此,即使使用通过非专利文献1的技术生成的正常模型,也存在不能高精度地进行异常检测这样的课题。
[0015]本专利技术的主要目的在于解决这样的课题。更具体而言,本专利技术的主要目的在于能够进行高精度的异常检测。
[0016]用于解决课题的手段
[0017]本专利技术的模型生成装置具有:
[0018]属性值提取部,其提取属于与异常检测中的监视对象相关联的属性的多个属性值作为多个模型生成属性值;
[0019]分割数据生成部,其从表示多个正常事件的正常数据中,按照每个模型生成属性值提取与模型生成属性值相关联的正常事件,按照每个模型生成属性值生成表示提取出的正常事件的分割数据,其中,所述多个正常事件各自已被判明为正常,各自与多个属性值中的任意属性值相关联,且各自包含多个特征;
[0020]特征选择部,其从针对所述多个模型生成属性值生成的多个分割数据所示的多个正常事件中包含的多个特征中,选择用于生成在异常检测中使用的正常模型的特征组合;以及
[0021]正常模型生成部,其使用由所述特征选择部选择出的特征组合,按照每个模型生成属性值生成正常模型。
[0022]专利技术效果
[0023]根据本专利技术,按照每个模型生成属性值生成正常模型,因此,能够进行高精度的异常检测。
附图说明
[0024]图1是示出实施方式1的异常检测系统的构成例的图。
[0025]图2是示出实施方式1的模型生成装置的硬件结构例的图。
[0026]图3是示出实施方式1的异常检测装置的硬件结构例的图。
[0027]图4是示出实施方式1的模型生成装置的功能结构例的图。
[0028]图5是示出实施方式1的异常检测装置的功能构成例的图。
[0029]图6是示出实施方式1的正常数据和日志数据的例子的图。
[0030]图7是示出实施方式1的属性DB的例子的图。
[0031]图8是示出实施方式1的特征DB的例子的图。
[0032]图9是示出实施方式1的模型特征DB的例子的图。
[0033]图10是示出实施方式1的正常模型管理DB的例子的图。
[0034]图11是示出实施方式1的监视对象管理DB的例子的图。
[0035]图12是示出实施方式1的模型生成装置的动作概要的图。
[0036]图13是示出实施方式1的异常检测装置的动作概要的图。
[0037]图14是示出实施方式1的模型生成装置的动作例的流程图。
[0038]图15是示出实施方式1的模型生成属性值提取处理和分割数据生成处理的流程图。
[0039]图16是示出实施方式1的特征选择处理的流程图。
[0040]图17是示出实施方式1的正常模型生成处理的流程图。
[0041]图18是示出实施方式1的异常检测装置的动作例的流程图。
[0042]图19是示出实施方式1的异常检测装置的动作详情的流程图。
[0043]图20是示出实施方式1的异常检测装置的动作详情的流程图。
[0044]图21是示出实施方式2的异常检测装置的动作概要的图。
[0045]图22是示出实施方式2的异常检测装置的动作例的流程图。
具体实施方式
[0046]以下,使用附图对实施方式进行说明。在以下的实施方式的说明和附图中,标注同一标号的部分表示同一部分或相当的部分。
[0047]实施方式1
[0048]***结构的说明***
[0049]图1示出本实施方式的异常检测系统1000的结构例。
[0050]如图1所示,异常检测系统1000由模型生成装置100和异常检测装置200构成。
[0051]模型生成装置100取得正常数据300,基于正常数据300生成在异常检测中使用的正常模型400。正常模型400是表现出与正常数据一贯的行为的模型。本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种模型生成装置,该模型生成装置具有:属性值提取部,其提取属于与异常检测中的监视对象相关联的属性的多个属性值作为多个模型生成属性值;分割数据生成部,其从表示多个正常事件的正常数据中,按照每个模型生成属性值提取与模型生成属性值相关联的正常事件,按照每个模型生成属性值生成表示提取出的正常事件的分割数据,其中,所述多个正常事件各自已被判明为正常,各自与多个属性值中的任意属性值相关联,且各自包含多个特征;特征选择部,其从针对所述多个模型生成属性值生成的多个分割数据所示的多个正常事件中包含的多个特征中,选择用于生成在异常检测中使用的正常模型的特征组合;以及正常模型生成部,其使用由所述特征选择部选择出的特征组合,按照每个模型生成属性值生成正常模型。2.根据权利要求1所述的模型生成装置,其中,所述特征选择部组合所述多个分割数据所示的多个正常事件中包含的多个特征而生成多个特征组合,按照生成的每个特征组合,计算对所述多个分割数据进行分类的精度即分类精度,根据计算出的分类精度,选择用于生成正常模型的特征组合。3.根据权利要求2所述的模型生成装置,其中,所述特征选择部将所述多个分割数据分割成作为学习用的分割数据的学习数据和作为验证用的分割数据的验证数据,进行使用了所述学习数据的学习而生成多个特征组合,使用所述验证数据按照每个特征组合计算分类精度。4.根据权利要求2所述的模型生成装置,其中,所述特征选择部选择多个特征组合中的分类精度最高且特征数最少的特征组合作为用于生成正常模型的特征组合。5.根据权利要求2所述的模型生成装置,其中,所述特征选择部根据各特征对分类精度的贡献度,从构成多个特征组合中的分类精度最高且特征数最少的特征组合的多个特征中选择1个以上的特征,选择由选择出的1个以上的特征构成的组合作为用于生成正常模型的特征组合。6.根据权利要求1所述的模型...
【专利技术属性】
技术研发人员:山本匠,岩崎亚衣子,福田寿志,河内清人,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。