JP7033262B6 - 情報処理装置、情報処理方法及びプログラム - Google Patents
情報処理装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP7033262B6 JP7033262B6 JP2020508118A JP2020508118A JP7033262B6 JP 7033262 B6 JP7033262 B6 JP 7033262B6 JP 2020508118 A JP2020508118 A JP 2020508118A JP 2020508118 A JP2020508118 A JP 2020508118A JP 7033262 B6 JP7033262 B6 JP 7033262B6
- Authority
- JP
- Japan
- Prior art keywords
- data
- learning
- cluster
- clustering
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Automation & Control Theory (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
Description
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
検査対象のシステムから取得した学習データに基づいてモデルを学習し、当該モデルを用いて検査データの中から異常データを検知する技術が知られている。特許文献1には、学習データを部分空間法でモデル化し、部分空間におけるデータ間の距離に基づいて異常候補を検知する異常検知システムが記載されている。
特許文献1に記載の技術においては、学習データと検査データとの間でデータ傾向が変化した場合には、正常なデータに対する誤検知や異常なデータに対する見逃しが発生する場合があった。このような場合、最新のデータを用いて定期的にモデルを再学習する方法が考えられる。しかしながら、当該方法では有識者によるモデルの妥当性の検証を伴うため、コストが高くなる問題があった。
本発明は、上述の問題に鑑みて行われたものであって、データ傾向の変化を迅速に検知でき、適切なタイミングでモデルの再学習を実行できる情報処理装置、情報処理方法及びプログラムを提供することを目的とする。
本発明の1つの観点によれば、対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するデータ取得部と、前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定する判定部と、前記学習データをクラスタリングするクラスタリング部と、前記モデルに基づいて前記検査データが属するクラスタを判別するクラスタ判別部と、を備え、前記判定部は、前記クラスタリングの結果と前記判別の結果とを比較することで、前記再学習の要否を判定し、前記判定部は、前記クラスタリングの結果に基づいて、前記学習データが属する前記クラスタと前記クラスタごとのデータ数との関係を示す期待度数分布を算出する第1の算出部と、前記判別の結果に基づいて、前記検査データが属する前記クラスタと前記クラスタごとの前記データ数との関係を示す観測度数分布を算出する第2の算出部と、前記期待度数分布に対する前記観測度数分布の誤差が所定の有意水準値を超えるか否かを検定する検定部と、を有することを特徴とする情報処理装置が提供される。
本発明によれば、データ傾向の変化を迅速に検知でき、適切なタイミングでモデルの再学習を実行できる情報処理装置、情報処理方法及びプログラムを提供できる。
以下、図面を参照して、本発明の実施形態を説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明を省略することもある。
[第1の実施形態]
本発明の第1の実施形態に係る情報処理装置1及び情報処理方法について図1乃至図10を用いて説明する。
本発明の第1の実施形態に係る情報処理装置1及び情報処理方法について図1乃至図10を用いて説明する。
図1は、本実施形態に係る情報処理装置1と対象システム2の関係を示す概略図である。図1に示すように、情報処理装置1には、対象システム2がネットワーク3を介して通信可能に接続されている。対象システム2は、情報処理装置1における処理対象となるデータを生成して出力する。ネットワーク3は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)であるが、その種別が限定されるものではない。ネットワーク3は、有線のネットワークであってもよいし、無線のネットワークであってもよい。なお、当該処理の対象となるデータの種類は、限定されないが、以下の説明ではログデータを例とする。
対象システム2は、特定のシステムに限定されない。対象システム2は、例えばIT(Information Technology)システムである。ITシステムは、サーバ、クライアント端末、ネットワーク機器その他の情報機器等の機器、及び当該機器上で動作する各種のソフトウェアにより構成される。なお、本実施形態の対象システム2は、メールの送受信を管理するメールシステムである。また、対象システム2は1つに限らず、複数でもよい。
本実施形態に係る情報処理装置1には、対象システム2におけるメール送受信に伴って生成されたデータがネットワーク3を介して入力される。対象システム2から情報処理装置1にデータを入力する態様は、特に限定されない。当該入力の態様は、対象システム2の構成等に応じて適宜選択できる。
例えば、対象システム2における通知エージェントが、対象システム2において生成されたログデータを情報処理装置1に送信することにより、情報処理装置1にログデータを入力できる。ログデータを送信するプロトコルは、特に限定されない。当該プロトコルは、ログデータを送信するシステムの構成等に応じて適宜選択できる。例えば、プロトコルとして、syslogプロトコル、FTP(File Transfer Protocol)、FTPS(File Transfer Protocol over TLS(Transport Layer Security)/SSL(Secure Sockets Layer))、SFTP(SSH(Secure Shell) File Transfer Protocol)を用いることができる。また、対象システム2が、生成したログデータを情報処理装置1と共有することにより、情報処理装置1にログデータを入力できる。ログデータを共有するためのファイル共有の手法は、特に限定されない。ファイル共有の方法は、ログデータを生成するシステムの構成等に応じて適宜選択される。例えば、SMB(Server Message Block)又はこれを拡張したCIFS(Common Internet File System)によるファイル共有を用いることができる。
なお、本実施形態に係る情報処理装置1は、必ずしも対象システム2とネットワーク3を介して通信可能に接続されている必要はない。例えば、情報処理装置1は、対象システム2からログデータを収集するログ収集システム(不図示)とネットワーク3を介して通信可能に接続されていてもよい。この場合、対象システム2で生成されたログデータは、一旦、ログ収集システムにより収集される。そして、当該ログデータは、ログ収集システムからネットワーク3を介して情報処理装置1に入力される。また、本実施形態に係る情報処理装置1は、対象システム2で生成されたログデータを記録した記録媒体からログデータを取得することもできる。この場合、対象システム2は、ネットワーク3を介して情報処理装置1に接続されている必要はない。
以下、本実施形態に係る情報処理装置1の具体的構成について更に図2乃至図8を用いて説明する。図2は、本実施形態に係る情報処理装置1の機能構成を示すブロック図である。
図2に示すように、情報処理装置1は、データ取得部11、学習部12、記憶部13、判定部14、及び出力部15を備える。データ取得部11は、対象システム2における異常検知用のモデルの学習に使用された学習データ及びモデルの検査に使用する検査データを対象システム2から取得する。学習データ及び検査データは、共通のデータ項目を有するデータであって、それぞれ異なる母集団に含まれるデータである。母集団は、例えば、ログデータの生成された期間やログデータを生成した部署及び場所等により任意に定められる。本実施形態に係る情報処理装置1において処理の対象となるログデータは、対象システム2又はこれに含まれる構成要素により定期又は不定期に生成されて出力されたものである。
図3は、本実施形態において対象システム2から取得されるログデータの一例を示す表である。ここでは、ログデータとしてメール受信履歴が示されている。メール受信履歴には、受信日時、送信元アドレス、経路情報、添付ファイルの有無がパラメータとして含まれている。例えば、受信日時“2017/12/01 10:52:59”のログデータの場合には、送信元アドレス“xxx@abcd.com”から受信したメールが、経路情報“Recived:from *** ([xxx.xxx.0.1]) by ...”に示されるネットワーク上の経路で対象システム2(メールサーバ)に到達し、当該メールには添付ファイルが無かったことを示している。なお、図3に示すメール受信履歴は、あくまで例示であり、これら以外のパラメータを更に含んでもよい。また、図3では複数のユーザのうちの一人のユーザに関するメール受信履歴のみが例示されているが、他のユーザについても同様のメール受信履歴が記憶されているものとする。
また、本実施形態における学習データ及び検査データは、それぞれ異なる期間に生成されているものとする。例えば、学習データは、過去1年間分のメール受信履歴であり、検査データは、検査当日のメール受信履歴である。これにより、モデルの基礎となった学習データのデータ傾向が、異なる期間の検査データのデータ傾向と適合するのか否かを判定できる。
また、本実施形態における検査データは、学習データよりも後の期間に生成されている。情報処理装置1は、学習データの解析によって、過去の一定期間におけるデータ傾向を検出できる。これに対し、情報処理装置1は、検査データの解析によって、学習データの生成時点よりも新しいデータ傾向を検出できる。なお、対象システム2からの検査データの抽出期間(以下、検査期間)は、学習データの抽出期間(以下、学習期間)に一部又は全部が含まれてもよい。例えば、学習期間は2017年1月から6月の半年間に、検査期間は2017年6月の1ヶ月間にそれぞれ設定される。
学習部12は、学習データに基づいて対象システム2における異常検知用のモデルを学習する。図2に示すように、学習部12は、クラスタリング部12a、モデル構築部12b、及びクラスタ判別部12cを含む。
クラスタリング部12aは、データ取得部11から入力された学習データをクラスタリングする。クラスタリング部12aは、クラスタリング結果を記憶部13に記憶する。本実施形態におけるクラスタリング結果は、ログデータの特徴量を示す2つの指標値からなる2次元ベクトルと、ログデータの分類先のクラスタIDとを組み合わせたデータセットとする。
図4は、本実施形態におけるクラスタリングの一例を示す模式図である。ここでは、第1の指標値(横軸)と第2の指標値(縦軸)からなる2次元平面(部分空間)が示されている。この2次元平面には、ログデータを表す複数の点(図中、黒丸の印)がプロットされている。例えば、図3に示したパラメータのうち、送信元アドレス及び経路情報の2つが指標値として用いられる。データ間の類似度は、データ間の距離が近いほど高くなる。逆に、データ間の類似度は、データ間の距離が遠いほど低くなる。図4において、楕円C1~C4は、共通のクラスタID(ラベル)を有するログデータ群(クラスタ)の境界線を示している。また、楕円C1~C4のいずれにも含まれないログデータは、異常候補とみなされたデータ(以下、異常データ)に該当する。なお、クラスタリングの手法としては、例えばDBSCAN(Density-based spatial clustering of applications with noise)やk平均法(k-means)等の技術を用いることができる。
モデル構築部12bは、クラスタリング部12aにおけるクラスタリングの結果に基づいて、未知の入力データが属するクラスタを判別するための異常検知用のモデルを構築する。そして、モデル構築部12bは、構築したモデルを記憶部13に記憶する。クラスタ判別(クラス分類)の手法としては、例えばk近傍法(k-nearest neighbor algorithm, k-NN)やSVM(Support Vector Machine)等の技術を用いることができる。
クラスタ判別部12cは、データ取得部11から入力された検査データが属するクラスタを、記憶部13に記憶されているモデルに基づいて判別する。図5は、本実施形態におけるクラスタ判別の一例を示す模式図である。ここでは、楕円C1~C4の境界線に対応するモデルに対して検査データD1~D5(図中、四角形の印)がそれぞれ入力された場合を表している。例えば、クラスタ判別部12cは、検査データD1~D4が楕円C1~C4のクラスタにそれぞれ属すると判別する。クラスタ判別部12cは、検査データD5が楕円C1~C4の領域に含まれないため、検査データD5を異常データとして判別する。
判定部14は、学習データのデータ分布と検査データのデータ分布との乖離度に基づいてモデルの再学習の要否を判定する。2つのデータ分布の乖離度は、学習データと検査データとの間におけるデータ傾向の変化の度合いを示す。判定部14は、データ傾向の変化が有ったときに、モデルの再学習が必要であると判定する。また、図2に示すように、判定部14は、期待度数分布算出部14a、観測度数分布算出部14b、及び検定部14cを含む。
期待度数分布算出部(第1の算出部)14aは、クラスタリング部12aにおけるクラスタリングの結果に基づいて期待度数分布を算出する。期待度数分布は、学習データが属するクラスタとクラスタごとのデータ数との関係を示す。
図6は、本実施形態における期待度数分布の一例を示す表である。ここでは、期待度数分布はクラスタIDとデータ数の組み合わせによって示されている。例えば、クラスタID“cluster_001”のクラスタに属する学習データのデータ数は“32,102”である。また、クラスタID“cluster_err”は、データ数が一定数に満たないクラスタを1つに纏めたIDである。すなわち、クラスタID“cluster_err”のデータ数は、異常データ(外れ値)とみなされた学習データの数を示す。
観測度数分布算出部(第2の算出部)14bは、クラスタ判別部12cにおける判別の結果に基づいて観測度数分布を算出する。観測度数分布は、検査データが属するクラスタとクラスタごとのデータ数との関係を示す。
図7は、本実施形態における観測度数分布の一例を示す表である。ここでは、観測度数分布はクラスタIDと1日当たりのデータ数の組み合わせたデータセットである。例えば、2018/8/28の検査データの場合には、クラスタID“cluster_001”のクラスタに属する検査データのデータ数は、“1,526”である。また、クラスタID“cluster_err”に対応する検査データの数は、2018/8/28の検査データの場合には、“28”であるが、2018/8/30の検査データの場合には、“55”である。
検定部14cは、期待度数分布に対する観測度数分布の誤差(乖離度)が所定の有意水準値を超えるか否かを検定する。有意水準値としては、例えば0.05が使われる。
出力部15は、判定部14における判定結果を出力する。本実施形態の出力部15は、ディスプレイ109により構成される。なお、ディスプレイ109への表示に代えて情報処理装置1の外部の装置に処理結果のデータを送信する構成であってもよい。また、出力部15は、プリンタ(不図示)等の出力装置により構成されてもよい。データを受信した当該他の装置は、必要に応じて当該データを用いた処理を行ってもよく、表示を行ってもよい。更に、情報処理装置1は、処理結果を記憶装置に記憶しておき、他の装置からの要求に応じて処理結果を他の装置に送信する構成としてもよい。
上述した情報処理装置1は、例えばコンピュータ装置により構成される。図8は、本実施形態に係る情報処理装置1のハードウェア構成の一例を示すブロック図である。なお、情報処理装置1は、単一の装置により構成されてもよい。また、情報処理装置1は、有線又は無線で接続された2つ以上の物理的に分離された装置により構成されてもよい。
図8に示すように、情報処理装置1は、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HDD(Hard Disk Drive)104、通信インターフェース(I/F(Interface))105、入力装置106、ディスプレイコントローラ107を有している。CPU101、ROM102、RAM103、HDD104、及び通信I/F105、入力装置106、及びディスプレイコントローラ107は、共通のバスライン108に接続されている。
CPU101は、情報処理装置1の全体の動作を制御する。また、CPU101は、データ取得部11、学習部12、判定部14、及び出力部15の各部の機能を実現するプログラムを実行する。CPU101は、HDD104等に記憶されたプログラムをRAM103にロードして実行することにより、各部の機能を実現する。
ROM102には、ブートプログラム等のプログラムが記憶されている。RAM103は、CPU101がプログラムを実行する際のワーキングエリアとして使用される。
また、HDD104は、情報処理装置1における処理結果及びCPU101により実行される各種のプログラムを記憶する記憶装置である。記憶装置は、不揮発性であればHDD104に限定されない。記憶装置は、例えばフラッシュメモリ等であってもよい。本実施形態において、HDD104、ROM102及びRAM103は、記憶部13としての機能を実現する。
通信I/F105は、ネットワーク3に接続された対象システム2との間のデータ通信を制御する。通信I/F105は、CPU101と共にデータ取得部11の機能を実現する。
入力装置106は、例えば、キーボード、マウス等のヒューマンインターフェースである。また、入力装置106は、ディスプレイ109に組み込まれたタッチパネルであってもよい。情報処理装置1のユーザは、入力装置106を介して、情報処理装置1の設定の入力、処理の実行指示の入力等を行うことができる。
ディスプレイコントローラ107には、ディスプレイ109が接続されている。ディスプレイコントローラ107は、CPU101と共に出力部15として機能する。ディスプレイコントローラ107は、出力されたデータに基づく画像をディスプレイ109に表示させる。なお、情報処理装置1のハードウェア構成は、上述した構成に限定されない。
以下、情報処理装置1の動作について図9及び図10に沿って詳述する。なお、以下の説明では、上述のメール受信履歴に対するデータ分析を例として説明するが、本発明はこれに限定されるものではない。
図9は、本実施形態に係る情報処理装置1の学習処理の一例を示すフローチャートである。この処理は、例えば、情報処理装置1のユーザから学習データの抽出期間(学習期間)と共にモデルの学習処理の実行要求が入力されたときに開始される。
先ず、データ取得部11は、対象システム2から学習期間に含まれるログデータを学習データとして取得し(ステップS101)、学習データをクラスタリング部12aに出力する。
次に、クラスタリング部12aは、データ取得部11から入力された学習データを所定のアルゴリズムに従ってクラスタリングする(ステップS102)。このとき、クラスタリング部12aは、クラスタリング結果を記憶部13に記憶する。
次に、モデル構築部12bは、クラスタリング部12aにおけるクラスタリング結果から異常検知用のモデルを構築する(ステップS103)。このとき、モデル構築部12bは、構築したモデルを記憶部13に記憶する。
そして、期待度数分布算出部14aは、クラスタリング結果から期待度数分布を算出する(ステップS104)。このとき、期待度数分布算出部14aは、算出した期待度数分布を記憶部13に記憶する。なお、ステップS104の処理は、後述する図10のフローチャートにおいて実行されてもよい。
図10は、本実施形態に係る情報処理装置1のモデルの検査処理の一例を示すフローチャートである。この処理は、例えば、情報処理装置1のユーザから検査データの抽出期間(検査期間)と共にモデルの検査処理の実行要求が入力されたときに開始される。
先ず、データ取得部11は、対象システム2から検査期間に含まれるログデータを検査データとして取得し(ステップS201)、検査データをクラスタ判別部12cに出力する。
次に、クラスタ判別部12cは、データ取得部11から入力された検査データが属するクラスタをモデルによって判別する(ステップS202)。このとき、クラスタ判別部12cは、クラスタの判別結果を記憶部13に記憶する。
次に、観測度数分布算出部14bは、クラスタの判別結果から観測度数分布を算出し(ステップS203)、観測度数分布を検定部14cへ出力する。
次に、検定部14cは、記憶部13から読み出した期待度数分布と、観測度数分布算出部14bから入力された観測度数分布との誤差を検定する(ステップS204)。検定方法としては、カイ二乗検定等の技術を用いることができる。
次に、検定部14cは、誤差が所定の有意水準値を超えるか否かを判定する(ステップS205)。ここで、検定部14cは、誤差が所定の有意水準値を超えると判定した場合には(ステップS205:YES)、ステップS206の処理へ移る。これに対し、検定部14cは、誤差が所定の有意水準値を超えないと判定した場合には(ステップS205:NO)、ステップS208の処理へ移る。
次に、検定部14cは、出力部15にデータ傾向の変化有りの判定結果を出力させると共に(ステップS206)、学習部12に対して異常検知用のモデルの再学習を指示する(ステップS207)。このとき、学習部12は、例えば検査データを含む学習データに基づいてモデルの再学習を実行し、再学習による新たなモデルを記憶部13に記憶する。なお、再学習の実行タイミングや使用する学習データは、これに限られない。
ステップS208において、検定部14cは、出力部15にデータ傾向の変化無しの判定結果を出力させる。すなわち、既存のモデルは検査データに十分対応できており、モデルの再学習は不要と判定される。
以上のように、本実施形態に係る情報処理装置1によれば、データ傾向の変化を迅速に検知でき、適切なタイミングでモデルの再学習を実行できる。例えば、対象システム2がメールシステムの場合には、ログデータのデータ傾向の変化を検知することで、早いタイミングでモデルの再学習をユーザに提案できる。その結果、再学習モデルによってスパムメール等の不正メールを高精度で検出できる。また、モデルの再学習を必要に応じて実行することで、モデル学習に要するコストも抑制できる。
[第2の実施形態]
本発明の第2の実施形態に係る情報処理装置20について図11乃至図14を用いて説明する。なお、以下の説明において、第1の実施形態と同様の構成については、説明を省略又は簡略化する。
本発明の第2の実施形態に係る情報処理装置20について図11乃至図14を用いて説明する。なお、以下の説明において、第1の実施形態と同様の構成については、説明を省略又は簡略化する。
図11は、本実施形態に係る情報処理装置20の機能構成を示すブロック図である。図11に示すように、本実施形態の学習部12は、第1のクラスタリング部12d及び第2のクラスタリング部12eを有する。第1のクラスタリング部12dは、第1の実施形態のクラスタリング部12aに相当し、学習データをクラスタリングする。これに対し、第2のクラスタリング部12eは、検査データをクラスタリングする。第2のクラスタリング部12eは、例えば、学習データから構築したモデルによって検査データが属するクラスタを判別した後に、その判別結果に基づいて検査データをクラスタリングする。この場合、検査データのクラスタリングを短時間で完了できる。なお、第1の実施形態のクラスタリング部12aと同一の手法を用いることもできる。
本実施形態の判定部14は、学習データと検査データの間におけるクラスタリングの結果を比較することで、モデルの再学習の要否を判定する。本実施形態の判定部14は、第1の実施形態の期待度数分布算出部14a及び観測度数分布算出部14bを有さない。その代わりに、判定部14は、第1のクラスタ解析部14d、第2のクラスタ解析部14e、及び比較部14fを有する。
第1のクラスタ解析部14dは、第1のクラスタリング部12dにおける学習データのクラスタリング結果を解析することで、第1のクラスタ解析情報を作成する。これに対し、第2のクラスタ解析部14eは、第2のクラスタリング部12eにおける検査データのクラスタリング結果を解析することで、第2のクラスタ解析情報を作成する。クラスタ解析情報の具体例としては、各クラスタの重心座標、各クラスタに属するデータのデータ数、クラスタの総数、外れ値の数等が挙げられる。
比較部14fは、第1のクラスタ解析情報と第2のクラスタ解析情報とを比較することで、データ傾向の変化の有無(モデルの再学習の要否)を判定する。判定方法の具体例としては、以下の(1)~(5)のような方法が挙げられる。
(1)学習データと検査データの間において、クラスタリングによって生成されたクラスタの数を比較する。クラスタ数の増減があった場合には、比較部14fは、データ傾向の変化有りと判定する。
(2)クラスタリングによって生成されたクラスタのうち、学習データと検査データの間において対応関係にあるクラスタの重心座標を比較する。部分空間におけるクラスタの重心座標の変動幅が所定の閾値を超える場合には、比較部14fは、データ傾向の変化有りと判定する。
(3)学習データ及び検査データにおける異常データのデータ数、すなわち、どのデータにも属さないデータの数を比較する。そして、検査時の異常データの検出数の増加率が所定の閾値を超える場合には、比較部14fは、データ傾向の変化有りと判定する。あるデータが異常データか否かについては、既存のクラスタに属するデータとの距離が一定以上離れているか否かによって判定できる。
(4)あるクラスタに属するデータの数の変化を比較する。例えば、クラスタAに属するデータの一日当たりのデータ数が、学習データと検査データの間で大幅に異なる場合には、比較部14fは、データ傾向の変化有りと判定する。
(5)上述の方法(1)においてクラスタの個数が同じ場合に、新しいクラスタ群(検査データのクラスタリング結果)を使用して過去のデータ(モデル学習時の学習データ)を判別し、過去のクラスタで判別した場合との異常データの検出数を比較する。
図12は、本実施形態におけるデータ傾向の変化の判定方法を説明する模式図である。ここでは、破線の楕円A1、B1は、学習データのクラスタの境界線を示している。また、実線の楕円A2、B2及びCは、検査データのクラスタの境界線を示している。また、A1とA2は、例えば共通のクラスタIDを有する、対応関係にあるクラスタである。同様に、B1とB2も対応関係にあるクラスタである。P1、P2、Q1、Q2は、それぞれ楕円A1、A2、B1、B2に係るクラスタの重心座標の位置を示している。A1とA2のクラスタ間の重心座標の変動幅、すなわち、点P1と点P2の間の距離はd1である。同様に、B1とB2のクラスタ間の重心座標の変動幅、すなわち、点Q1と点Q2の間の距離はd2である。この場合、距離(変動幅)d1、d2の一方又は両方が所定の閾値を超える場合には、判定部14は、データ傾向の変化有りと判定できる。
これに対し、楕円Cに係るクラスタは、検査データのクラスタリングによって新たに生成されている。このように、クラスタ数が増加した場合にも、判定部14は、データ傾向の変化有りと判定できる。なお、クラスタの数が減少した場合も同様である。
図13は、本実施形態に係る情報処理装置20のモデルの学習処理の一例を示すフローチャートである。この処理は、例えば、情報処理装置1のユーザからログデータの学習期間と共にモデルの学習処理の実行要求が入力されたときに開始される。
先ず、データ取得部11は、対象システム2から学習期間に含まれるログデータを学習データとして取得し(ステップS301)、学習データをクラスタリング部12aに出力する。
次に、第1のクラスタリング部12dは、データ取得部11から入力された学習データを所定のアルゴリズムに従ってクラスタリングする(ステップS302)。このとき、第1のクラスタリング部12dは、クラスタリング結果を記憶部13に記憶する。
次に、モデル構築部12bは、第1のクラスタリング部12dにおけるクラスタリング結果から異常検知用のモデルを構築する(ステップS303)。このとき、モデル構築部12bは、構築したモデルを記憶部13に記憶する。
そして、第1のクラスタ解析部14dは、クラスタリング結果を解析することで、第1のクラスタ解析情報を作成する(ステップS304)。このとき、第1のクラスタ解析部14dは、作成した第1のクラスタ解析情報を記憶部13に記憶する。なお、ステップS304の処理は、後述する図14のフローチャートにおいて実行されてもよい。
図14は、本実施形態に係る情報処理装置20の検査処理の一例を示すフローチャートである。この処理は、例えば、情報処理装置1のユーザよりモデルの検査処理の実行要求が入力されたときに開始される。
先ず、データ取得部11は、対象システム2から検査期間に含まれるログデータを検査データとして取得し(ステップS401)、検査データをクラスタ判別部12cに出力する。
次に、第2のクラスタリング部12eは、データ取得部11から入力された検査データをクラスタリングする(ステップS402)。このとき、第2のクラスタリング部12eは、クラスタリング結果を記憶部13に記憶する。
次に、第2のクラスタ解析部14eは、第2のクラスタリング部12eにおけるクラスタリング結果を解析することで、第2のクラスタ解析情報を作成する(ステップS403)。このとき、第2のクラスタ解析部14eは、作成した第2のクラスタ解析情報を記憶部13に記憶する。
次に、比較部14fは、学習時の第1のクラスタ解析情報と検査時の第2のクラスタ解析情報とを比較し(ステップS404)、クラスタ数の増減の有無を判定する(ステップS405)。ここで、比較部14fは、クラスタ数の増減が有ると判定した場合には(ステップS405:YES)、ステップS408の処理へ移る。これに対し、比較部14fは、クラスタ数の増減が無いと判定した場合には(ステップS405:NO)、ステップS406の処理へ移る。
ステップS406において、比較部14fは、対応するクラスタ間における重心座標の変動幅が所定の閾値を超えるか否かを判定する。ここで、比較部14fは、重心座標の変動幅が所定の閾値を超えると判定した場合には(ステップS406:YES)、ステップS408の処理へ移る。これに対し、比較部14fは、重心座標の変動幅が所定の閾値を超えないと判定した場合には(ステップS406:NO)、ステップS407の処理へ移る。
ステップS407において、比較部14fは、学習時を基準として、検査時における異常データの検出数の増加率が所定の閾値を超えるか否かを判定する。ここで、比較部14fは、検出数の増加率が所定の閾値を超えると判定した場合には(ステップS407:YES)、ステップS408の処理へ移る。これに対し、比較部14fは、検出数の増加率が所定の閾値を超えないと判定した場合には(ステップS407:NO)、ステップS410の処理へ移る。
次に、判定部14は、出力部15にデータ傾向の変化有りの判定結果を出力させると共に(ステップS408)、学習部12に対して異常検知用のモデルの再学習を指示する(ステップS409)。このとき、学習部12は、検査データを含む他の学習データに基づいてモデルの再学習を実行する。そして、学習部12は、再学習による新たなモデルを記憶部13に記憶する。なお、再学習の実行タイミングや使用する学習データは、これに限られない。
ステップS410において、判定部14は、出力部15にデータ傾向の変化無しの判定結果を出力させる。すなわち、既存のモデルは検査データに十分に対応できており、モデルの再学習は不要と判定される。
以上のように、本実施形態に係る情報処理装置20によれば、第1の実施形態と同様に、データ傾向の変化を迅速に検知でき、適切なタイミングでモデルの再学習を実行できる。モデルの学習時と検査時におけるクラスタリング結果を比較するため、第1の実施形態の場合よりも様々な条件に基づいてデータ傾向の変化を検知できる。
[第3の実施形態]
本発明の第3の実施形態に係る情報処理装置30について図15を用いて説明する。図15は、本実施形態に係る情報処理装置30の機能構成を示すブロック図である。情報処理装置30は、データ取得部31及び判定部32を備える。データ取得部31は、対象システムにおける異常検知用のモデルの学習に使用された学習データ及びモデルの検査に使用する検査データを対象システムから取得する。判定部32は、学習データのデータ分布と検査データのデータ分布との乖離度に基づいてモデルの再学習の要否を判定する。本実施形態に係る情報処理装置30によれば、データ傾向の変化を迅速に検知でき、適切なタイミングでモデルの再学習を実行できる。
本発明の第3の実施形態に係る情報処理装置30について図15を用いて説明する。図15は、本実施形態に係る情報処理装置30の機能構成を示すブロック図である。情報処理装置30は、データ取得部31及び判定部32を備える。データ取得部31は、対象システムにおける異常検知用のモデルの学習に使用された学習データ及びモデルの検査に使用する検査データを対象システムから取得する。判定部32は、学習データのデータ分布と検査データのデータ分布との乖離度に基づいてモデルの再学習の要否を判定する。本実施形態に係る情報処理装置30によれば、データ傾向の変化を迅速に検知でき、適切なタイミングでモデルの再学習を実行できる。
[変形実施形態]
以上、実施形態を参照して本発明を説明したが、本発明は上述の実施形態に限定されるものではない。本願発明の構成及び詳細には本発明の要旨を逸脱しない範囲で、当業者が理解し得る様々な態様に変形できる。
以上、実施形態を参照して本発明を説明したが、本発明は上述の実施形態に限定されるものではない。本願発明の構成及び詳細には本発明の要旨を逸脱しない範囲で、当業者が理解し得る様々な態様に変形できる。
例えば、データ傾向の変化を検知する方法は、上述の実施形態で例示した方法に限られない。一定期間(例えば、一日間)のデータの総数が過去の総数よりも大幅に増えた、又は減ったことをもって、データ傾向の変化の有無(モデルの再学習の要否)を判定してもよい。会社の合併やシステムの統合等により、ユーザ数は急増する。この場合、従来とは異なるユーザが増えるため、データ傾向の変化が予想される。
また、上述の実施形態では、メールシステム、あるいは情報通信の技術領域への本発明の適用例を例示したが、本発明はメールシステム、情報通信以外の技術領域にも適用可能である。
例えば、本発明は、運送業における配送履歴のデータ分析にも適用できる。ユーザごとに配送品、配送先、配送サービスの種類等を含む履歴データのデータ傾向を解析し、モデルの再学習を適切なタイミングで実行できる。その結果、情報処理装置は、異常な配送、注文等を高精度で検出できる。
同様に、例えば、本発明は、小売業又は金融業におけるクレジットカードの使用履歴、及び送金データのデータ分析にも適用できる。ユーザごとに使用したクレジットカード、購入品等の履歴データや送金データのデータ傾向を解析し、モデルの再学習を適切なタイミングで実行できる。その結果、情報処理装置は、異常なクレジットカードの使用、他人によるカードの不正使用及び不正な送金データ等を高精度で検出可能できる。
また、上述の各実施形態の機能を実現するように該実施形態の構成を動作させるプログラムを記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のコンピュータプログラムが記録された記録媒体はもちろん、そのコンピュータプログラム自体も各実施形態に含まれる。
記録媒体としては、例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD-ROM(Compact Disc-Read Only Memory)、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また、記録媒体に記録されたプログラム単体で処理を実行している構成に限らず、他のソフトウェア、拡張ボードの機能と共同して、OS(Operating System)上で動作して処理を実行する構成も各実施形態の範疇に含まれる。
上述の各実施形態の機能により実現されるサービスは、SaaS(Software as a Service)の形態でユーザに対して提供することもできる。
上述の実施形態の一部又は全部は、以下の付記のようにも記載できるが、以下には限られない。
(付記1)
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するデータ取得部と、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定する判定部と、
を備えることを特徴とする情報処理装置。
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するデータ取得部と、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定する判定部と、
を備えることを特徴とする情報処理装置。
(付記2)
前記学習データ及び前記検査データは、それぞれ異なる期間に生成されていることを特徴とする付記1に記載の情報処理装置。
前記学習データ及び前記検査データは、それぞれ異なる期間に生成されていることを特徴とする付記1に記載の情報処理装置。
(付記3)
前記検査データは、前記学習データよりも後の前記期間に生成されていることを特徴とする付記2に記載の情報処理装置。
前記検査データは、前記学習データよりも後の前記期間に生成されていることを特徴とする付記2に記載の情報処理装置。
(付記4)
前記学習データをクラスタリングするクラスタリング部と、
前記モデルに基づいて前記検査データが属するクラスタを判別するクラスタ判別部と、
を更に備え、
前記判定部は、前記クラスタリングの結果と前記判別の結果とを比較することで、前記再学習の要否を判定することを特徴とする付記1乃至3のいずれかに記載の情報処理装置。
前記学習データをクラスタリングするクラスタリング部と、
前記モデルに基づいて前記検査データが属するクラスタを判別するクラスタ判別部と、
を更に備え、
前記判定部は、前記クラスタリングの結果と前記判別の結果とを比較することで、前記再学習の要否を判定することを特徴とする付記1乃至3のいずれかに記載の情報処理装置。
(付記5)
前記判定部は、
前記クラスタリングの結果に基づいて、前記学習データが属する前記クラスタと前記クラスタごとのデータ数との関係を示す期待度数分布を算出する第1の算出部と、
前記判別の結果に基づいて、前記検査データが属する前記クラスタと前記クラスタごとの前記データ数との関係を示す観測度数分布を算出する第2の算出部と、
前記期待度数分布に対する前記観測度数分布の誤差が所定の有意水準値を超えるか否かを検定する検定部と、
を有することを特徴とする付記4に記載の情報処理装置。
前記判定部は、
前記クラスタリングの結果に基づいて、前記学習データが属する前記クラスタと前記クラスタごとのデータ数との関係を示す期待度数分布を算出する第1の算出部と、
前記判別の結果に基づいて、前記検査データが属する前記クラスタと前記クラスタごとの前記データ数との関係を示す観測度数分布を算出する第2の算出部と、
前記期待度数分布に対する前記観測度数分布の誤差が所定の有意水準値を超えるか否かを検定する検定部と、
を有することを特徴とする付記4に記載の情報処理装置。
(付記6)
前記学習データをクラスタリングする第1のクラスタリング部と、
前記検査データを前記クラスタリングする第2のクラスタリング部と、
を更に備え、
前記判定部は、前記学習データと前記検査データの間における前記クラスタリングの結果を比較することで、前記再学習の要否を判定することを特徴とする付記1乃至3のいずれかに記載の情報処理装置。
前記学習データをクラスタリングする第1のクラスタリング部と、
前記検査データを前記クラスタリングする第2のクラスタリング部と、
を更に備え、
前記判定部は、前記学習データと前記検査データの間における前記クラスタリングの結果を比較することで、前記再学習の要否を判定することを特徴とする付記1乃至3のいずれかに記載の情報処理装置。
(付記7)
前記判定部は、前記学習データと前記検査データの間において、前記クラスタリングによって生成されたクラスタの数を比較することで、前記再学習の要否を判定することを特徴とする付記6に記載の情報処理装置。
前記判定部は、前記学習データと前記検査データの間において、前記クラスタリングによって生成されたクラスタの数を比較することで、前記再学習の要否を判定することを特徴とする付記6に記載の情報処理装置。
(付記8)
前記判定部は、前記クラスタリングによって生成されたクラスタのうち、前記学習データと前記検査データの間において対応関係にある前記クラスタの重心座標を比較することで、前記再学習の要否を判定することを特徴とする付記6に記載の情報処理装置。
前記判定部は、前記クラスタリングによって生成されたクラスタのうち、前記学習データと前記検査データの間において対応関係にある前記クラスタの重心座標を比較することで、前記再学習の要否を判定することを特徴とする付記6に記載の情報処理装置。
(付記9)
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するステップと、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定するステップと、
を備えることを特徴とする情報処理方法。
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するステップと、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定するステップと、
を備えることを特徴とする情報処理方法。
(付記10)
コンピュータに、
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するステップと、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定するステップと、
を実行させることを特徴とするプログラムが記録された記録媒体。
コンピュータに、
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するステップと、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定するステップと、
を実行させることを特徴とするプログラムが記録された記録媒体。
Claims (8)
- 対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するデータ取得部と、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定する判定部と、
前記学習データをクラスタリングするクラスタリング部と、
前記モデルに基づいて前記検査データが属するクラスタを判別するクラスタ判別部と、
を備え、
前記判定部は、前記クラスタリングの結果と前記判別の結果とを比較することで、前記再学習の要否を判定し、
前記判定部は、
前記クラスタリングの結果に基づいて、前記学習データが属する前記クラスタと前記クラスタごとのデータ数との関係を示す期待度数分布を算出する第1の算出部と、
前記判別の結果に基づいて、前記検査データが属する前記クラスタと前記クラスタごとの前記データ数との関係を示す観測度数分布を算出する第2の算出部と、
前記期待度数分布に対する前記観測度数分布の誤差が所定の有意水準値を超えるか否かを検定する検定部と、
を有することを特徴とする情報処理装置。 - 前記学習データ及び前記検査データは、それぞれ異なる期間に生成されていることを特徴とする請求項1に記載の情報処理装置。
- 前記検査データは、前記学習データよりも後の前記期間に生成されていることを特徴とする請求項2に記載の情報処理装置。
- 前記学習データをクラスタリングする第1のクラスタリング部と、
前記検査データを前記クラスタリングする第2のクラスタリング部と、
を更に備え、
前記判定部は、前記学習データと前記検査データの間における前記クラスタリングの結果を比較することで、前記再学習の要否を判定することを特徴とする請求項1乃至3のいずれか一項に記載の情報処理装置。 - 前記判定部は、前記学習データと前記検査データの間において、前記クラスタリングによって生成されたクラスタの数を比較することで、前記再学習の要否を判定することを特徴とする請求項4に記載の情報処理装置。
- 前記判定部は、前記クラスタリングによって生成されたクラスタのうち、前記学習データと前記検査データの間において対応関係にある前記クラスタの重心座標を比較することで、前記再学習の要否を判定することを特徴とする請求項4に記載の情報処理装置。
- コンピュータが、対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するステップと、
前記コンピュータが、前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定するステップと、
前記コンピュータが、前記学習データをクラスタリングするステップと、
前記コンピュータが、前記モデルに基づいて前記検査データが属するクラスタを判別するステップと、
を備え、
前記判定するステップでは、前記コンピュータが、前記クラスタリングの結果と前記判別の結果とを比較することで、前記再学習の要否を判定し、
前記判定するステップは、
前記コンピュータが、前記クラスタリングの結果に基づいて、前記学習データが属する前記クラスタと前記クラスタごとのデータ数との関係を示す期待度数分布を算出するステップと、
前記コンピュータが、前記判別の結果に基づいて、前記検査データが属する前記クラスタと前記クラスタごとの前記データ数との関係を示す観測度数分布を算出するステップと、
前記コンピュータが、前記期待度数分布に対する前記観測度数分布の誤差が所定の有意水準値を超えるか否かを検定するステップと、
を有することを特徴とする情報処理方法。 - コンピュータに、
対象システムにおける異常検知用のモデルの学習に使用された学習データ及び前記モデルの検査に使用する検査データを前記対象システムから取得するステップと、
前記学習データのデータ分布と前記検査データの前記データ分布との乖離度に基づいて前記モデルの再学習の要否を判定するステップと、
前記学習データをクラスタリングするステップと、
前記モデルに基づいて前記検査データが属するクラスタを判別するステップと、
を実行させ、
前記判定するステップでは、前記クラスタリングの結果と前記判別の結果とを比較することで、前記再学習の要否を判定し、
前記判定するステップは、
前記クラスタリングの結果に基づいて、前記学習データが属する前記クラスタと前記クラスタごとのデータ数との関係を示す期待度数分布を算出するステップと、
前記判別の結果に基づいて、前記検査データが属する前記クラスタと前記クラスタごとの前記データ数との関係を示す観測度数分布を算出するステップと、
前記期待度数分布に対する前記観測度数分布の誤差が所定の有意水準値を超えるか否かを検定するステップと、
を有することを特徴とするプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/010801 WO2019180778A1 (ja) | 2018-03-19 | 2018-03-19 | 情報処理装置、情報処理方法及び記録媒体 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2019180778A1 JPWO2019180778A1 (ja) | 2021-02-04 |
| JP7033262B2 JP7033262B2 (ja) | 2022-03-10 |
| JP7033262B6 true JP7033262B6 (ja) | 2022-04-18 |
Family
ID=67986045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020508118A Active JP7033262B6 (ja) | 2018-03-19 | 2018-03-19 | 情報処理装置、情報処理方法及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210117858A1 (ja) |
| JP (1) | JP7033262B6 (ja) |
| WO (1) | WO2019180778A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190377984A1 (en) * | 2018-06-06 | 2019-12-12 | DataRobot, Inc. | Detecting suitability of machine learning models for datasets |
| US11574236B2 (en) * | 2018-12-10 | 2023-02-07 | Rapid7, Inc. | Automating cluster interpretation in security environments |
| JP7187397B2 (ja) * | 2019-07-18 | 2022-12-12 | オークマ株式会社 | 工作機械における診断モデルの再学習要否判定方法及び再学習要否判定装置、再学習要否判定プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5369246B1 (ja) | 2013-07-10 | 2013-12-18 | 株式会社日立パワーソリューションズ | 異常予兆診断装置及び異常予兆診断方法 |
| WO2014207789A1 (ja) | 2013-06-24 | 2014-12-31 | 株式会社 日立製作所 | 状態監視装置 |
| JP2015162032A (ja) | 2014-02-27 | 2015-09-07 | 株式会社日立製作所 | 移動体の診断装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000218263A (ja) * | 1999-02-01 | 2000-08-08 | Meidensha Corp | 水質制御方法及びその装置 |
| JP5530019B1 (ja) * | 2013-11-01 | 2014-06-25 | 株式会社日立パワーソリューションズ | 異常予兆検知システム及び異常予兆検知方法 |
| US10410135B2 (en) * | 2015-05-21 | 2019-09-10 | Software Ag Usa, Inc. | Systems and/or methods for dynamic anomaly detection in machine sensor data |
| JP6555061B2 (ja) * | 2015-10-01 | 2019-08-07 | 富士通株式会社 | クラスタリングプログラム、クラスタリング方法、および情報処理装置 |
-
2018
- 2018-03-19 JP JP2020508118A patent/JP7033262B6/ja active Active
- 2018-03-19 US US16/981,530 patent/US20210117858A1/en not_active Abandoned
- 2018-03-19 WO PCT/JP2018/010801 patent/WO2019180778A1/ja active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014207789A1 (ja) | 2013-06-24 | 2014-12-31 | 株式会社 日立製作所 | 状態監視装置 |
| JP5369246B1 (ja) | 2013-07-10 | 2013-12-18 | 株式会社日立パワーソリューションズ | 異常予兆診断装置及び異常予兆診断方法 |
| JP2015162032A (ja) | 2014-02-27 | 2015-09-07 | 株式会社日立製作所 | 移動体の診断装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2019180778A1 (ja) | 2021-02-04 |
| WO2019180778A1 (ja) | 2019-09-26 |
| JP7033262B2 (ja) | 2022-03-10 |
| US20210117858A1 (en) | 2021-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9811438B1 (en) | Techniques for processing queries relating to task-completion times or cross-data-structure interactions | |
| US8869277B2 (en) | Realtime multiple engine selection and combining | |
| KR101834260B1 (ko) | 이상 거래 탐지 방법 및 장치 | |
| US9558347B2 (en) | Detecting anomalous user behavior using generative models of user actions | |
| US20190028371A1 (en) | Identifying multiple devices belonging to a single user | |
| JP7033262B6 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| US11516240B2 (en) | Detection of anomalies associated with fraudulent access to a service platform | |
| EP3648433B1 (en) | System and method of training behavior labeling model | |
| CN110679114B (zh) | 一种估计数据对象可删除性的方法 | |
| WO2022199185A1 (zh) | 用户操作检测方法及程序产品 | |
| CN114556302A (zh) | 异常检测的动态配置 | |
| US11550707B2 (en) | Systems and methods for generating and executing a test case plan for a software product | |
| JPWO2019073557A1 (ja) | サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム | |
| JP2007243459A (ja) | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム | |
| CN114584377A (zh) | 流量异常检测方法、模型的训练方法、装置、设备及介质 | |
| CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
| CN113656354A (zh) | 日志分类方法、***、计算机设备和可读存储介质 | |
| Branco et al. | Resampling with neighbourhood bias on imbalanced domains | |
| CN115766293B (zh) | 一种风险文件检测方法、装置、电子设备及存储介质 | |
| US20150113645A1 (en) | System and method for operating point and box enumeration for interval bayesian detection | |
| CN111177802B (zh) | 行为标记模型训练***及方法 | |
| US11775642B1 (en) | Malware detection using federated learning | |
| JP6508202B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
| US10904185B1 (en) | Email address validation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200820 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200820 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210727 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220209 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7033262 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |