属性值取得部(203)取得与异常检测中的监视对象相关联的属性的属性值。正常模型取得部(204)从与多个属性值对应地生成的多个正常模型中,取得与由属性值取得部(203)取得的属性值对应地生成的正常模型。异常检测部(205)使用由正常模型取得部(204)取得的正常模型,进行异常检测。行异常检测。行异常检测。
【技术实现步骤摘要】
【国外来华专利技术】异常检测装置、异常检测方法和异常检测程序
[0001]本专利技术涉及异常检测技术。
技术介绍
[0002]近年来,以特定的企业或特定的组织为对象的目标型攻击正在增加。2015年发生的对日本养老金机构的目标型攻击仍令人记忆犹新。此外,随着控制系统的网络化,对发电设备、气体设备等重要基础设施的网络攻击逐渐成为威胁。这样,网络攻击成为动摇国家安全保障的重大未决事项。2020年即将举办备受世界瞩目的东京奥运会和残奥会,预计其将成为攻击者的良好标靶。如果在大会期间内重要基础设施因网络攻击而停止工作,则会给大会运营带来很大的障碍。
[0003]另一方面,在安全监视的现场,目前,具有专业知识的工作人员短缺已常态化。根据来自日本经济产业省的调查报告,在2016年,信息安全人材短缺132,060人。另外,预计在2020年会短缺193,010人。因此,需要即使工作人员少也能够高精度且高效地检测网络攻击的技术。
[0004]作为检测网络攻击的技术,使用关于攻击和/或正常状态的规则的规则库的检测技术是众所周知的。但是,由于攻击的先进化和未知攻击的增加,预先定义规则变得困难,给监视工作人员带来困扰。因此,期望无需预先定义规则的先进的检测技术。作为实现它的技术,期待机器学习等Artificial Intelligence(人工智能,以下简称作AI)。
[0005]AI对预先准备的多个类的数据进行学习,自动地找到划分类间的边界。如果能够大量准备每个类的数据,则AI能够适当地找到边界。如果能够将AI应用于网络攻击的监视,则可期待AI替代迄今为止具有专业知识和技能的工作人员进行的规则的定义和更新。
[0006]但是,在网络安全中,存在很难大量准备AI中最重要的每个类的数据这样的课题。特别是攻击的发生非常罕见,为了学习而大量准备攻击数据非常困难。因此,需要即使在攻击数据少或者完全没有的环境中也能够有效地将攻击检测为异常的AI技术。
[0007]作为这种技术的代表例,已知有异常检测技术。在异常检测技术中,仅对正常数据进行学习,将正常的举动模型化为正常模型。而且,在异常检测技术中,将偏离正常模型的举动检测为异常。
[0008]在非专利文献1中公开有如下技术:基于正常数据的倾向分割正常数据,按照通过分割而得到的每个分割数据生成正常模型。
[0009]现有技术文献
[0010]非专利文献
[0011]非专利文献1:Denis Hock,Martin Kappes,Bogdan V.Ghita,“A Pre
‑
clustering Method To Improve Anomaly Detection”
技术实现思路
[0012]专利技术要解决的课题
[0013]正常数据包含各种属性(例如所属、职务、时期等),举动按照每个属性值(例如作为所属的属性值,有经理部、总务部、营业部等)而不同的情况不少。在非专利文献1的技术中,基于正常数据的倾向来生成正常模型,因此,每个属性值固有的正常举动并不直接反映到正常模型。
[0014]因此,即使使用通过非专利文献1的技术生成的正常模型,也存在不能高精度地进行异常检测这样的课题。
[0015]本专利技术的主要目的在于解决这样的课题。更具体而言,本专利技术的主要目的在于能够进行高精度的异常检测。
[0016]用于解决课题的手段
[0017]本专利技术的异常检测装置具有:
[0018]属性值取得部,其取得与异常检测中的监视对象相关联的属性的属性值;
[0019]正常模型取得部,其从与多个属性值对应地生成的多个正常模型中,取得与由所述属性值取得部取得的属性值对应地生成的正常模型;以及
[0020]异常检测部,其使用由所述正常模型取得部取得的正常模型,进行异常检测。
[0021]专利技术效果
[0022]根据本专利技术,使用按照每个属性值生成的正常模型进行异常检测,因此,能够进行高精度的异常检测。
附图说明
[0023]图1是示出实施方式1的异常检测系统的构成例的图。
[0024]图2是示出实施方式1的模型生成装置的硬件结构例的图。
[0025]图3是示出实施方式1的异常检测装置的硬件结构例的图。
[0026]图4是示出实施方式1的模型生成装置的功能结构例的图。
[0027]图5是示出实施方式1的异常检测装置的功能构成例的图。
[0028]图6是示出实施方式1的正常数据和日志数据的例子的图。
[0029]图7是示出实施方式1的属性DB的例子的图。
[0030]图8是示出实施方式1的特征DB的例子的图。
[0031]图9是示出实施方式1的模型特征DB的例子的图。
[0032]图10是示出实施方式1的正常模型管理DB的例子的图。
[0033]图11是示出实施方式1的监视对象管理DB的例子的图。
[0034]图12是示出实施方式1的模型生成装置的动作概要的图。
[0035]图13是示出实施方式1的异常检测装置的动作概要的图。
[0036]图14是示出实施方式1的模型生成装置的动作例的流程图。
[0037]图15是示出实施方式1的模型生成属性值提取处理和分割数据生成处理的流程图。
[0038]图16是示出实施方式1的特征选择处理的流程图。
[0039]图17是示出实施方式1的正常模型生成处理的流程图。
[0040]图18是示出实施方式1的异常检测装置的动作例的流程图。
[0041]图19是示出实施方式1的异常检测装置的动作详情的流程图。
[0042]图20是示出实施方式1的异常检测装置的动作详情的流程图。
[0043]图21是示出实施方式2的异常检测装置的动作概要的图。
[0044]图22是示出实施方式2的异常检测装置的动作例的流程图。
具体实施方式
[0045]以下,使用附图对实施方式进行说明。在以下的实施方式的说明和附图中,标注同一标号的部分表示同一部分或相当的部分。
[0046]实施方式1
[0047]***结构的说明***
[0048]图1示出本实施方式的异常检测系统1000的结构例。
[0049]如图1所示,异常检测系统1000由模型生成装置100和异常检测装置200构成。
[0050]模型生成装置100取得正常数据300,基于正常数据300生成在异常检测中使用的正常模型400。正常模型400是表现出与正常数据一贯的行为的模型。
[0051]模型生成装置100是计算机。模型生成装置100的动作步骤相当于模型生成方法。另外,实现模型生成装置100的动作的程序相当于模型生成程序。
[0052]异常检测装置200取得由模型生成装置100生成的正常模型400,此外,取得日志数据500。日志数据500是异常检测装置200监视的监视数据的一例。异常检测装置200能够将日志数据500本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种异常检测装置,该异常检测装置具有:属性值取得部,其取得与异常检测中的监视对象相关联的属性的属性值;正常模型取得部,其从与多个属性值对应地生成的多个正常模型中,取得与由所述属性值取得部取得的属性值对应地生成的正常模型;以及异常检测部,其使用由所述正常模型取得部取得的正常模型,进行异常检测。2.根据权利要求1所述的异常检测装置,其中,在与所述监视对象相关联的属性中发生了属性值变更的情况下,所述属性值取得部取得变更前的属性值即变更前属性值和变更后的属性值即变更后属性值,作为与所述监视对象相关联的属性的属性值,所述正常模型取得部取得与所述变更前属性值对应的正常模型和与所述变更后属性值对应的正常模型,所述异常检测部使用与所述变更前属性值对应的正常模型和与所述变更后属性值对应的正常模型,进行异常检测。3.根据权利要求2所述的异常检测装置,其中,所述异常检测部取得从发生所述变更前属性值到所述变更后属性值的变更起的期间即变更后期间,使用与所述变更前属性值对应的正常模型、与所述变更后属性值对应的正常模型以及所述变更后期间,进行异常检测。4.根据权利要求3所述的异常检测装置,其中,所述异常检测部使用与所述变更前属性值对应的正常模型计算所述变更前属性值的异常度,使用与所述变更后属性值对应的正常模型计算所述变更后属性值的异常度,进行将所述变更后期间应用于所述变更前属性值的异常度和所述变更后属性值的异常度的运算,计算将所述变更前属性值的异常度和所述变更后属性值的异常度统合而成的统合异常度,使用计算...
【专利技术属性】
技术研发人员:山本匠,岩崎亚衣子,福田寿志,河内清人,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。