JP2017037382A - 異常ベクトル検出装置および異常ベクトル検出プログラム - Google Patents
異常ベクトル検出装置および異常ベクトル検出プログラム Download PDFInfo
- Publication number
- JP2017037382A JP2017037382A JP2015156841A JP2015156841A JP2017037382A JP 2017037382 A JP2017037382 A JP 2017037382A JP 2015156841 A JP2015156841 A JP 2015156841A JP 2015156841 A JP2015156841 A JP 2015156841A JP 2017037382 A JP2017037382 A JP 2017037382A
- Authority
- JP
- Japan
- Prior art keywords
- vector
- abnormal
- cluster
- abnormality
- vectors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 239000013598 vector Substances 0.000 title claims abstract description 271
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 170
- 230000005856 abnormality Effects 0.000 claims abstract description 120
- 238000001514 detection method Methods 0.000 claims description 49
- 238000004891 communication Methods 0.000 claims description 22
- 238000004364 calculation method Methods 0.000 description 14
- 238000000034 method Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 7
- 238000012706 support-vector machine Methods 0.000 description 7
- 230000002547 anomalous effect Effects 0.000 description 6
- 238000013450 outlier detection Methods 0.000 description 2
- 230000006641 stabilisation Effects 0.000 description 2
- 238000011105 stabilization Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Complex Calculations (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
変数j(ただしjは2以上の整数)の、異なる複数の値について、
‐前記複数のベクトルを、j個のクラスタに分類するステップと、
‐前記j個のクラスタのうちから異常クラスタを検出する、異常クラスタ検出ステップと、
‐前記異常クラスタに属する各ベクトルについて異常度を決定する、異常度決定ステップと、
を実行する、異常度決定機能と、
各ベクトルの前記異常度に基づき、各ベクトルが異常ベクトルであるか否かを判定する、異常ベクトル判定機能と
を備える。
前記異常度決定機能は、変数i(ただしiは1以上の整数)の、異なる複数の値について実行され、
前記異常クラスタ検出ステップは、各クラスタについて、そのクラスタに属するベクトルの数がi個以下である場合に、そのクラスタを異常クラスタとして検出するステップであってもよい。
前記異常ベクトル判定機能は、変数iおよびjについて算出された各ベクトルの暫定異常度に基づいて実行されてもよい。
前記異常度決定ステップにおいて、各ベクトルの前記異常度は、そのベクトルと、SVMによって求められる他のクラスタに属する少なくとも1つの最近サポートベクトルとの距離に基づいて計算されてもよい。
前記ベクトルは、それぞれ通信ネットワークを介した通信に関する値を表し、
前記異常ベクトルは、マルウェア等の影響による不審な通信に関する値であってもよい。
実施の形態1.
図1に、本発明の実施の形態1に係る異常ベクトル検出装置10の構成の例を示す。異常ベクトル検出装置10は、複数のベクトルのうちから異常ベクトルを検出する装置である。
図3は、異常ベクトル検出装置10の処理の流れの例を示すフローチャートである。
まず異常ベクトル検出装置10の演算手段20は、複数のベクトルからなる集合を取得する(ステップS1)。ここで、各ベクトルは記憶手段30にあらかじめ記憶されていてもよいし、異常ベクトル検出装置10の入力手段またはネットワークインタフェース等を介して入力されてもよい。
以下の具体例では、変数iの初期値は1、終値は5である。変数jの初期値は2である。変数jの終値は定義されないが、4229と定義してもよい。異常度は各ベクトルと対応する最近サポートベクトルとの距離として算出される。異なる10個のjの値(連続であっても不連続であってもよい)について、少なくとも1個の異常候補ベクトルの暫定異常度が同一となった場合に、異常候補ベクトルとその暫定異常度がjの変化に対して安定したと判定されるものとする。異常ベクトルの判定基準は0.80とする。有効数字は2桁とする。
i=3のときは、i=2のときと同じ結果が得られるものとする。
‐異常候補ベクトルのインデックスp
‐異常候補ベクトルV(p)
‐ループ変数i
‐V(p)の最近サポートベクトルw(p,i,j)のうち、jを変化させたときに最頻となるものW(p,i)
‐V(p)の暫定異常度A(p,i,j)のうち、jを変化させたときの最頻値L(p,i)
をまとめると、たとえば次の通りになる。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
2064 X1 1 Y1 0.31
2064 X1 2 Y1 0.31
2064 X1 3 Y1 0.31
2064 X1 4 Y1 0.31
2064 X1 5 Y6 0.57
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
923 X2 2 Y5 0.35
923 X2 3 Y5 0.35
923 X2 4 Y5 0.35
923 X2 5 Y5 0.35
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
899 X3 2 Y5 0.33
899 X3 3 Y5 0.33
899 X3 4 Y5 0.33
899 X3 5 Y5 0.33
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
3274 Y1 4 Y6 0.26
3274 Y1 5 Y6 0.26
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
3726 Y2 4 Y6 0.21
3726 Y2 5 Y6 0.21
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
2317 Y3 4 Y6 0.19
2317 Y3 5 Y6 0.19
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
3730 Y4 4 Y6 0.17
3730 Y4 5 Y6 0.17
‐異常候補ベクトルのインデックスp
‐異常候補ベクトルV(p)
‐暫定異常度A(p,i,j)のうち、jを変化させたときの最頻値L(p,i)を求め、さらにこれにおいてiを変化させたときの最小値Mini{L(p,i)}
は、たとえば次の通りになる。
p V(p) Mini{L(p,i)}
2064 X1 0.31
923 X2 0.35
899 X3 0.33
3274 Y1 0.26
3726 Y2 0.21
2317 Y3 0.19
3730 Y4 0.17
X1(0.02, 1.00) … 0.31/0.35 ≒ 0.89 ≧ 0.80
X2(1.00, 0.00) … 0.35/0.35 ≒ 1.00 ≧ 0.80
X3(0.98, 0.00) … 0.33/0.35 ≒ 0.94 ≧ 0.80
Y1(0.03, 0.69) … 0.26/0.35 ≒ 0.74 < 0.80
Y2(0.03, 0.64) … 0.21/0.35 ≒ 0.60 < 0.80
Y3(0.02, 0.62) … 0.19/0.35 ≒ 0.54 < 0.80
Y4(0.03, 0.60) … 0.17/0.35 ≒ 0.49 < 0.80
変数iのループは省略してもよい。すなわち、異常クラスタを検出する基準となるベクトルの個数を固定してもよい。
Claims (7)
- 複数のベクトルのうちから異常ベクトルを検出する、異常ベクトル検出装置であって、
変数j(ただしjは2以上の整数)の、異なる複数の値について、
‐前記複数のベクトルを、j個のクラスタに分類するステップと、
‐前記j個のクラスタのうちから異常クラスタを検出する、異常クラスタ検出ステップと、
‐前記異常クラスタに属する各ベクトルについて異常度を決定する、異常度決定ステップと、
を実行する、異常度決定機能と、
各ベクトルの前記異常度に基づき、各ベクトルが異常ベクトルであるか否かを判定する、異常ベクトル判定機能と
を備える、異常ベクトル検出装置。 - 前記異常度決定機能は、所定数のjの値について、少なくとも1個の異常クラスタが検出され、かつ、少なくとも1個の異常クラスタに属する少なくとも1個のベクトルの前記異常度が、前記所定数のjの値すべてにおいて同一となるまで実行される、請求項1に記載の異常ベクトル検出装置。
- 前記異常度決定機能は、変数i(ただしiは1以上の整数)の、異なる複数の値について実行され、
前記異常クラスタ検出ステップは、各クラスタについて、そのクラスタに属するベクトルの数がi個以下である場合に、そのクラスタを異常クラスタとして検出するステップである、請求項1または2に記載の異常ベクトル検出装置。 - 前記異常ベクトル判定機能は、変数iおよびjについて算出された各ベクトルの暫定異常度に基づいて実行される、請求項3に記載の異常ベクトル検出装置。
- 前記異常度決定ステップにおいて、各ベクトルの前記異常度は、そのベクトルと、SVMによって求められる他のクラスタに属する少なくとも1つの最近サポートベクトルとの距離に基づいて計算される、請求項1〜4のいずれか一項に記載の異常ベクトル検出装置。
- 前記ベクトルは、それぞれ通信ネットワークを介した通信に関する値を表し、
前記異常ベクトルは、マルウェア等の影響による不審な通信に関する値である、
請求項1〜5のいずれか一項に記載の異常ベクトル検出装置。 - コンピュータを、請求項1〜6のいずれか一項に記載の異常ベクトル検出装置として機能させる、異常ベクトル検出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015156841A JP5973636B1 (ja) | 2015-08-07 | 2015-08-07 | 異常ベクトル検出装置および異常ベクトル検出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015156841A JP5973636B1 (ja) | 2015-08-07 | 2015-08-07 | 異常ベクトル検出装置および異常ベクトル検出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5973636B1 JP5973636B1 (ja) | 2016-08-23 |
JP2017037382A true JP2017037382A (ja) | 2017-02-16 |
Family
ID=56706682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015156841A Expired - Fee Related JP5973636B1 (ja) | 2015-08-07 | 2015-08-07 | 異常ベクトル検出装置および異常ベクトル検出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5973636B1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018133004A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
CN109990803A (zh) * | 2018-01-02 | 2019-07-09 | 西门子(中国)有限公司 | 检测***异常的方法、装置及传感器处理的方法、装置 |
JP2020181235A (ja) * | 2019-04-23 | 2020-11-05 | 株式会社 インターコム | サーバ、セキュリティ監視システム、プログラム及びセキュリティ監視方法 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6249505B1 (ja) * | 2016-12-26 | 2017-12-20 | 三菱電機インフォメーションシステムズ株式会社 | 特徴抽出装置およびプログラム |
US11647034B2 (en) * | 2020-09-12 | 2023-05-09 | Microsoft Technology Licensing, Llc | Service access data enrichment for cybersecurity |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6216066B1 (en) * | 1998-07-01 | 2001-04-10 | General Electric Company | System and method for generating alerts through multi-variate data assessment |
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
EP2725512B1 (en) * | 2012-10-23 | 2019-03-27 | Verint Systems Ltd. | System and method for malware detection using multi-dimensional feature clustering |
-
2015
- 2015-08-07 JP JP2015156841A patent/JP5973636B1/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018133004A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
CN109990803A (zh) * | 2018-01-02 | 2019-07-09 | 西门子(中国)有限公司 | 检测***异常的方法、装置及传感器处理的方法、装置 |
JP2020181235A (ja) * | 2019-04-23 | 2020-11-05 | 株式会社 インターコム | サーバ、セキュリティ監視システム、プログラム及びセキュリティ監視方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5973636B1 (ja) | 2016-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pervez et al. | Feature selection and intrusion classification in NSL-KDD cup 99 dataset employing SVMs | |
Khraisat et al. | An anomaly intrusion detection system using C5 decision tree classifier | |
JP5973636B1 (ja) | 異常ベクトル検出装置および異常ベクトル検出プログラム | |
Koc et al. | A network intrusion detection system based on a Hidden Naïve Bayes multiclass classifier | |
Kanakarajan et al. | Improving the accuracy of intrusion detection using gar-forest with feature selection | |
Bostani et al. | Modification of supervised OPF-based intrusion detection systems using unsupervised learning and social network concept | |
Baldwin et al. | Leveraging support vector machine for opcode density based detection of crypto-ransomware | |
Ranjan et al. | A new clustering approach for anomaly intrusion detection | |
Bifet et al. | Improving adaptive bagging methods for evolving data streams | |
US20190155824A1 (en) | Enabling advanced analytics with large data sets | |
Wang et al. | Mining multi-label data streams using ensemble-based active learning | |
US10992675B2 (en) | Anomaly detection using tripoint arbitration | |
Prasad et al. | Stream data mining: platforms, algorithms, performance evaluators and research trends | |
Sharma et al. | A novel multi-classifier layered approach to improve minority attack detection in IDS | |
Ghanem et al. | Novel multi-objective artificial bee colony optimization for wrapper based feature selection in intrusion detection | |
Sahu et al. | An ensemble-based scalable approach for intrusion detection using big data framework | |
Pattawaro et al. | Anomaly-based network intrusion detection system through feature selection and hybrid machine learning technique | |
EP2953062A1 (en) | Learning method, image processing device and learning program | |
Calvert et al. | Threshold based optimization of performance metrics with severely imbalanced big security data | |
Bhati et al. | A new ensemble based approach for intrusion detection system using voting | |
Aziz et al. | Cluster Analysis-Based Approach Features Selection on Machine Learning for Detecting Intrusion. | |
Xiao et al. | A multiple-instance stream learning framework for adaptive document categorization | |
Jirachan et al. | Applying KSE-test and K-means clustering towards scalable unsupervised intrusion detection | |
Renjit et al. | Network based anomaly intrusion detection system using SVM | |
Jiang | A semi-supervised learning model for intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160705 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160714 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5973636 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |