JP6564799B2 - 閾値決定装置、閾値決定方法及びプログラム - Google Patents
閾値決定装置、閾値決定方法及びプログラムInfo
- Publication number
- JP6564799B2 JP6564799B2 JP2017040590A JP2017040590A JP6564799B2 JP 6564799 B2 JP6564799 B2 JP 6564799B2 JP 2017040590 A JP2017040590 A JP 2017040590A JP 2017040590 A JP2017040590 A JP 2017040590A JP 6564799 B2 JP6564799 B2 JP 6564799B2
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- detection
- unit
- threshold value
- learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Testing And Monitoring For Control Systems (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
学習処理制御部12は、学習処理を制御する。
単位時間が経過すると(S201でYes)、検知処理制御部15は、直近の単位時間分の観測データ群を観測データ記憶部123から取得し、当該観測データ群を前処理部13へ入力する(S202)。
時間 異常有無 検知有無
12:00 0 0
12:01 1 0
12:02 0 1
12:03 1 1
・・・
ここで、1は異常有り、検知有りを示し、0は異常無し、検知無しを示す。上記の例では、12:01に異常が発生したにもかかわらず検知部16が異常の発生を検知できなかったため、見逃しであると判断できる。また、12:02に異常が発生していないにもかかわらず検知部16が異常の発生を検知したため、誤検知であると判断できる。見逃しは閾値が高いことから生じ、誤検知は閾値が低いことから生じるため、閾値決定部18は、誤検知が発生した場合には閾値を増加させ、見逃しが発生した場合には、閾値を減少させる。
ここで、Δθは閾値の増減量(n_1*Δθ−n_2*Δθ)を求めるためのパラメータである。このパラメータΔθが大きすぎる場合、閾値θが大きく変動し、誤検知又は見逃しの可能性が高くなることが考えられる。
なお、Δθを上記のように動的に変化させずに、予め決められた固定値、試行錯誤的に得られた固定値等としてもよい。
11 受信部
12 学習処理制御部
13 前処理部
14 学習部
15 検知処理制御部
16 検知部
17 異常発生情報取得部
18 閾値決定部
20 測定装置
30 異常記録装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
121 教師データ記憶部
122 パラメータ記憶部
123 観測データ記憶部
124 学習結果記憶部
125 学習データ記憶部
126 検知結果記憶部
127 異常発生情報記憶部
B バス
N1 ネットワーク
Claims (7)
- 異常の検知対象から収集されたデータを学習した学習結果と、テスト期間において異常の検知対象から観測されたデータとに基づいて異常度を算出し、当該異常度を閾値と比較することで異常の発生を検知する検知部と、
異常の見逃し及び誤検知の有無に基づいて前記閾値を決定する閾値決定部と、
を有し、
前記閾値決定部は、単位時間ごとに誤検知の回数及び見逃しの回数を計算し、一定期間分の誤検知の回数及び見逃しの回数の計算が終了した場合、誤検知の回数の標準偏差及び見逃しの回数の標準偏差を計算し、前記計算された誤検知の回数及び誤検知の回数の標準偏差と、前記計算された見逃しの回数及び見逃しの回数の標準偏差に基づいて、前記閾値の増減量を計算する、閾値決定装置。 - 前記閾値決定部は、誤検知が発生した場合には、前記閾値を増加させ、見逃しが発生した場合には、前記閾値を減少させる、請求項1に記載の閾値決定装置。
- 前記閾値決定部は、異常が検出されないときに前記検知部によって算出された異常度の分布からの外れ度合に基づいて、前記閾値を決定する、請求項1又は2に記載の閾値決定装置。
- 異常の検知対象において異常が発生した異常発生時刻を取得する取得部を更に有し、
前記閾値決定部は、前記異常発生時刻に基づいて、前記検知部によって検知された異常の検知精度が目標値を満足するように、前記閾値を決定する、請求項1又は2に記載の閾値決定装置。 - 異常の検知対象において異常が発生した異常発生時刻を取得する取得部を更に有し、
前記閾値決定部は、前記異常発生時刻の時間帯において前記検知部が異常の発生を検知しなかった場合、見逃しであると判断し、前記異常発生時刻の時間帯以外に前記検知部が異常の発生を検知した場合、誤検知であると判断する、請求項1乃至3のうちいずれか1項に記載の閾値決定装置。 - 異常の検知対象から収集されたデータを学習した学習結果と、テスト期間において異常の検知対象から観測されたデータとに基づいて異常度を算出し、当該異常度を閾値と比較することで異常の発生を検知する検知手順と、
異常の見逃し及び誤検知の有無に基づいて前記閾値を決定する閾値決定手順であって、単位時間ごとに誤検知の回数及び見逃しの回数を計算し、一定期間分の誤検知の回数及び見逃しの回数の計算が終了した場合、誤検知の回数の標準偏差及び見逃しの回数の標準偏差を計算し、前記計算された誤検知の回数及び誤検知の回数の標準偏差と、前記計算された見逃しの回数及び見逃しの回数の標準偏差に基づいて、前記閾値の増減量を計算する閾値決定手順と、
をコンピュータが実行する閾値決定方法。 - 請求項1乃至5いずれか一項記載の各部としてコンピュータを機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017040590A JP6564799B2 (ja) | 2017-03-03 | 2017-03-03 | 閾値決定装置、閾値決定方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017040590A JP6564799B2 (ja) | 2017-03-03 | 2017-03-03 | 閾値決定装置、閾値決定方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018148350A JP2018148350A (ja) | 2018-09-20 |
JP6564799B2 true JP6564799B2 (ja) | 2019-08-21 |
Family
ID=63592380
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017040590A Active JP6564799B2 (ja) | 2017-03-03 | 2017-03-03 | 閾値決定装置、閾値決定方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6564799B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11892829B2 (en) | 2021-09-15 | 2024-02-06 | Kabushiki Kaisha Toshiba | Monitoring apparatus, method, and program |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7173168B2 (ja) * | 2019-01-18 | 2022-11-16 | 日本電気株式会社 | 異常検知装置、システム、方法及びプログラム |
JP7103274B2 (ja) * | 2019-02-28 | 2022-07-20 | 日本電信電話株式会社 | 検知装置及び検知プログラム |
JP2020154514A (ja) * | 2019-03-19 | 2020-09-24 | 株式会社エヌ・ティ・ティ・データ | 学習装置、学習方法、検索装置、検索方法及びプログラム |
WO2020196195A1 (ja) * | 2019-03-26 | 2020-10-01 | 東京エレクトロン株式会社 | 状態判定装置、状態判定方法及びコンピュータ読み取り可能な記録媒体 |
JP7135969B2 (ja) * | 2019-03-27 | 2022-09-13 | 富士通株式会社 | 情報処理方法及び情報処理装置 |
JP7257871B2 (ja) * | 2019-05-09 | 2023-04-14 | 三菱電機株式会社 | 異常検知システム |
US11885720B2 (en) | 2019-10-18 | 2024-01-30 | Nec Corporation | Time series data processing method |
-
2017
- 2017-03-03 JP JP2017040590A patent/JP6564799B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11892829B2 (en) | 2021-09-15 | 2024-02-06 | Kabushiki Kaisha Toshiba | Monitoring apparatus, method, and program |
Also Published As
Publication number | Publication date |
---|---|
JP2018148350A (ja) | 2018-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6564799B2 (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
JP6823501B2 (ja) | 異常検知装置、異常検知方法及びプログラム | |
EP3700147A1 (en) | System and method for classifying network traffic | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
JP6751168B2 (ja) | 異常要因推定装置、異常要因推定方法及びプログラム | |
US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
EP2725512A1 (en) | System and method for malware detection using multi-dimensional feature clustering | |
JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
US9235463B2 (en) | Device and method for fault management of smart device | |
US11677613B2 (en) | Root-cause analysis and automated remediation for Wi-Fi authentication failures | |
WO2014132611A1 (ja) | システム分析装置、及び、システム分析方法 | |
JP2019095822A (ja) | パラメータ設定方法、データ分析装置、データ分析システム及びプログラム | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
EP3905619A1 (en) | System and method for classifying network devices | |
WO2020044898A1 (ja) | 機器状態監視装置及びプログラム | |
JP6858798B2 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
JP6781776B2 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
JP6488197B2 (ja) | 異常検出方法、異常検出装置、及びネットワークシステム | |
CN107566187B (zh) | 一种sla违例监测方法、装置和*** | |
US9311210B1 (en) | Methods and apparatus for fault detection | |
US20240235974A1 (en) | Traffic monitoring device and traffic monitoring method | |
US11805034B1 (en) | Systems and methods for detecting large network flows | |
CN114629695A (zh) | 一种网络异常检测方法、装置、设备和介质 | |
WO2017068771A1 (ja) | スイッチ異常検知装置、スイッチ異常検知方法、および、プログラム記憶媒体 | |
CN118041648A (zh) | 一种基于自适应探测的工控漏洞扫描方法及其*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190408 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190423 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190624 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190723 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190729 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6564799 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |