知財求人 - 知財ポータルサイト「IP Force」
特開2023-181763分析条件生成装置、分析条件生成方法、分析条件生成システムおよび分析条件生成プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023181763
(43)【公開日】2023-12-25
(54)【発明の名称】分析条件生成装置、分析条件生成方法、分析条件生成システムおよび分析条件生成プログラム
(51)【国際特許分類】
G06Q 50/10 20120101AFI20231218BHJP
G06Q 10/20 20230101ALI20231218BHJP
H04L 43/08 20220101ALI20231218BHJP
【FI】
G06Q50/10
G06Q10/00 300
H04L43/08
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2022095086
(22)【出願日】2022-06-13
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】晒谷 光一
【テーマコード(参考)】
5L049
【Fターム(参考)】
5L049CC15
(57)【要約】 (修正有)
【課題】分析精度の低下を抑制しつつ、学習時の負荷をより小さくする分析条件生成装置、分析条件生成方法、分析条件生成システム及び分析条件生成プログラムを提供する。
【解決手段】分析条件生成装置において、分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された統計量に基づいて生成する学習用データ生成部と、学習用データを使用して、統計量に関する条件であり、かつ、分析のための条件である分析条件を生成して出力する学習部とを備える。統計量は、第二の単位時間あたりの集計値であり、集計値は、統計量の算出に使用される値であり、学習用データは、第二の単位時間の整数倍である第一の単位時間における統計量の最大値および最小値である。
【選択図】図1
【解決手段】分析条件生成装置において、分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された統計量に基づいて生成する学習用データ生成部と、学習用データを使用して、統計量に関する条件であり、かつ、分析のための条件である分析条件を生成して出力する学習部とを備える。統計量は、第二の単位時間あたりの集計値であり、集計値は、統計量の算出に使用される値であり、学習用データは、第二の単位時間の整数倍である第一の単位時間における統計量の最大値および最小値である。
【選択図】図1
【特許請求の範囲】
【請求項1】
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成部と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習部と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成装置。
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習部と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成装置。
【請求項2】
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
請求項1に記載の分析条件生成装置。
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
請求項1に記載の分析条件生成装置。
【請求項3】
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
請求項2に記載の分析条件生成装置。
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
請求項2に記載の分析条件生成装置。
【請求項4】
前記集計値は、通信回数である、
請求項1に記載の分析条件生成装置。
請求項1に記載の分析条件生成装置。
【請求項5】
前記分析用フローから前記統計量を算出する分析用算出部と、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する分析部と
をさらに備える、請求項1から請求項4のいずれかに記載の分析条件生成装置。
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する分析部と
をさらに備える、請求項1から請求項4のいずれかに記載の分析条件生成装置。
【請求項6】
前記分析部は、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
請求項5に記載の分析条件生成装置。
請求項5に記載の分析条件生成装置。
【請求項7】
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成し、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力し、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成方法。
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力し、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成方法。
【請求項8】
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
請求項7に記載の分析条件生成方法。
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
請求項7に記載の分析条件生成方法。
【請求項9】
コンピュータに、
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成機能と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習機能と
を実現させ、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成プログラム。
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成機能と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習機能と
を実現させ、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成プログラム。
【請求項10】
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成手段と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習手段と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成システム。
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習手段と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、分析条件生成装置等に関する。
【背景技術】
【0002】
通信事業者のネットワークには様々なデータが流通している。また、近年、流通するデータの量が増加している。その一方、サイバー攻撃の手法が進化し、サイバー攻撃による被害の件数が増加している。そのため、通信事業者ではネットワークの安全性の確保が課題になっている。
【0003】
この課題に対応して、通信フローを分析する方法が、たとえば、特許文献1に開示されている。特許文献1には、トラフィック管理装置が、統計情報(トラフィック情報)を学習して予測値を求め、予測値と実測値との差分に基づいて、通信フローの異常分析を行うことが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2018-195929号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1に記載の方法では、統計情報を学習する。通信フローの分析の精度を向上するためには、学習に使用される統計量を算出する際の単位時間を短くすると良い。なお、単位時間とは、統計量の算出の基準とする時間である。しかし、単位時間を短くすると、学習用データのデータ数が多くなるので、学習時の処理負荷が大きくなる。
【0006】
たとえば、学習に使用される統計量が5分単位の集計値(トラフィック量など)である場合、1日分の学習用データは、288個になる。1日分の学習用データは、単位時間が短いほど多くなる。統計量が1分単位の集計値であれば、1日分の学習用データは、1440個になる。また、統計量が1秒単位の集計値であれば、1日分の学習用データは、86400個になる。分析精度向上のために、多くの日数の統計量を学習すると、学習用データは、1日分の学習用データのデータ数の日数倍の数になる。通信フローの種別ごとなど、複数の種別の統計量を学習する場合には、学習用データは、さらに種別数倍になる。通信フローの種別は、1000以上となる場合もある。一方、統計量の単位時間を長くすれば、学習用データが少なくなるので、学習時の処理負荷は小さくなる。しかし、分析精度は低下する。
【0007】
本発明の目的は、上述した課題を鑑み、分析精度の低下を抑制しつつ、学習時の負荷をより小さくすることを可能にする分析条件生成装置等を提供することにある。
【課題を解決するための手段】
【0008】
本発明の一態様において、分析条件生成装置は、分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成部と、前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習部とを備え、前記統計量は、第二の単位時間あたりの集計値であり、前記集計値は、前記統計量の算出に使用される値であり、前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である。
【0009】
また、本発明の他の態様において、分析条件生成方法は、分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成し、前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力し、前記統計量は、第二の単位時間あたりの集計値であり、前記集計値は、前記統計量の算出に使用される値であり、前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である。
【0010】
また、本発明の他の態様において、分析条件生成プログラムは、コンピュータに、分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成機能と、前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習機能とを実現させ、前記統計量は、第二の単位時間あたりの集計値であり、前記集計値は、前記統計量の算出に使用される値であり、前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である。
【0011】
また、本発明の他の態様において、分析条件生成システムは、分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成手段と、前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習手段とを備え、前記統計量は、第二の単位時間あたりの集計値であり、前記集計値は、前記統計量の算出に使用される値であり、前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である。
【発明の効果】
【0012】
本発明によれば、分析精度の低下を抑制しつつ、学習時の負荷をより小さくすることが可能になる。
【図面の簡単な説明】
【0013】
【図1】本発明の第一の実施形態の分析条件生成装置の構成例を示す図である。
【図2】本発明の第一の実施形態の分析条件生成装置の動作フローの例を示す図である。
【図3】本発明の第二の実施形態の分析条件生成装置を含むシステムの構成例を示す図である。
【図4】本発明の第二の実施形態の分析条件生成装置の構成例を示す図である。
【図5】分析条件による異常分析を説明するための図である。
【図6】第一の単位時間と第二の単位時間との関係を示す図である。
【図7】本発明の第二の実施形態の分析条件生成装置の動作フローの例を示す図である。
【図8】本発明の第二の実施形態の分析条件生成装置の動作フローの例を示す図である。
【図9】本発明の各実施形態のハードウェア構成例を示す図である。
【発明を実施するための形態】
【0014】
[第一の実施形態]
本発明の第一の実施の形態について説明する。第一の実施の形態における分析条件生成装置10の具体的な一例が、後述する第二の実施の形態における分析条件生成装置20である。
本発明の第一の実施の形態について説明する。第一の実施の形態における分析条件生成装置10の具体的な一例が、後述する第二の実施の形態における分析条件生成装置20である。
【0015】
分析条件生成装置10は、学習用データ生成部11および学習部12を含む。
【0016】
学習用データ生成部11は、分析用フローの分析に使用される統計量に関連する学習用データを、学習用フローから算出された統計量に基づいて生成する。分析用フローは、分析対象の通信フローである。学習用フローは、学習対象の通信フローである。
【0017】
統計量は、第二の単位時間あたりの集計値である。集計値は、統計量の算出に使用される値である。また、学習用データは、第二の単位時間の整数倍である第一の単位時間における統計量の最大値および最小値である。
【0018】
学習部12は、学習用データを使用して、分析条件を生成して出力する。分析条件は、統計量に関する条件であり、かつ、分析のための条件である。
【0019】
次に、図2に本実施形態の分析条件生成装置10の動作フローの例を示す。
【0020】
学習用データ生成部11は、学習用データを、学習用フローから算出された統計量に基づいて生成する(ステップS101)。学習部12は、学習用データを使用して、分析条件を生成して出力する(ステップS102)。
【0021】
以上で説明したように、本発明の第一の実施形態では、分析条件生成装置10は、学習用データ生成部11および学習部12を含む。学習用データ生成部11は、分析用フローの分析に使用される統計量に関連する学習用データを、学習用フローから算出された統計量に基づいて生成する。分析用フローは、分析対象の通信フローである。学習用フローは、学習用の通信フローである。統計量は、第二の単位時間あたりの集計値である。集計値は、統計量の算出に使用される値である。また、学習用データは、第二の単位時間の整数倍である第一の単位時間における統計量の最大値および最小値である。学習部12は、学習用データを使用して、分析条件を生成して出力する。分析条件は、統計量に関する条件であり、かつ、分析のための条件である。
【0022】
これにより、分析条件生成装置10は、学習用データのデータ数を少なくすることができる。また、学習用データには、第二の単位時間あたりの集計値の変動が反映される。そのため、分析精度の低下を抑制しつつ、学習時の負荷をより小さくすることが可能になる。
【0023】
[第二の実施形態]
次に、本発明の第二の実施の形態における分析条件生成装置20について説明する。
次に、本発明の第二の実施の形態における分析条件生成装置20について説明する。
【0024】
まず、図3に本実施形態の分析条件生成装置20を含むシステムの構成例を示す。分析条件生成装置20は、蓄積装置50と互いに接続する。
【0025】
蓄積装置50は、学習や分析に使用される通信フロー(通信パケット)を収集して蓄積する。蓄積対象の通信フローは、たとえば、海外の通信(NNI(Network Node Interface))と国内の通信(UNI(User Network Interface))との境界を経由する通信フローであってもよい。蓄積対象の通信フローは、ここで挙げられているものに限られない。
【0026】
分析条件生成装置20は、学習対象の通信フローである学習用フローに基づいて、分析対象の通信フローである分析用フローの分析のための条件である分析条件を生成する。また、本実施形態では、分析条件生成装置20は、さらに、分析用フローの分析を行い、分析の結果を出力する。学習用フローおよび分析用フローは、蓄積装置50から分析条件生成装置20へ入力される。分析条件生成装置20は、たとえば、表示手段(不図示)などに分析の結果を出力する。なお、本実施形態では、分析条件生成装置20は、分析用フローが異常か否かを分析する。分析用フローが異常な状態は、サイバー攻撃が行われている状態を含む。
【0027】
次に、図4に本実施形態の分析条件生成装置20の構成例を示す。本実施形態の分析条件生成装置20は、学習用データ生成部21、学習部22、分析用算出部23および分析部24を含む。なお、分析用算出部23および分析部24は、分析条件生成装置20の外部にあってもよい。
【0028】
学習用データ生成部21は、分析に使用される統計量に関連する学習用データを、学習用フローから算出された統計量に基づいて生成する。本実施形態では、分析は、異常分析であってもよい。異常分析は、通信フローが異常か否かを分析することである。なお、分析は、異常分析に限られない。学習用フローは、学習対象の通信フローである。なお、学習用データの生成の具体的な方法については後述する。
【0029】
学習用フローは、蓄積装置50から学習用データ生成部21に入力される。
【0030】
統計量は、たとえば、単位時間あたりの通信回数を含む。統計量は、さらに、ユーザ数などを含んでいてもよい。また、学習用データ生成部21は、通信の種別やユーザごとに、統計量を算出してもよい。通信の種別とは、たとえば、通信プロトコルや、制御信号における制御の種類などである。たとえば、統計量は、SMS(short message service)の位置確認の単位時間あたりの回数を含んでいてもよい。
【0031】
学習用データ生成部21には、あらかじめ定められた量の通信フロー(通信パケット)が入力される。たとえば、学習用データ生成部21には、1日分、1か月分などの通信フローが入力される。
【0032】
学習部22は、学習用データを使用して、分析条件を生成する。分析条件は、統計量に関する条件である。また、分析条件は、分析のための条件である。分析条件は、分析部24において、通信フローの分析に使用される。
【0033】
分析が異常分析である場合、条件は、たとえば、通信フローが正常であると分析される場合に統計量が満たす条件である。また、分析条件は、たとえば、統計量に基づく条件式である。分析条件は、統計量に対する上限値および下限値であってもよい。分析条件は、複数の種類の統計量が学習用データ生成部21で算出される場合には、その各々に対する条件式であってもよい。たとえば、分析条件は、通信種別の各々に関し、単位時間あたりの通信回数の上限値および下限値であってもよい。また、分析条件は、日付、時刻、曜日等によって変化する条件であってもよい。
【0034】
学習部22は、たとえば、教師なしの学習によって、分析条件を生成する。サイバー攻撃の手法は、常に進化や変化をしている。そのため、学習部22は、正確な教師データを学習に使用することができない。したがって、学習部22は、分析条件(学習モデル)の生成に、教師なし学習を使用する。これにより、学習部22は、異常な通信フローが含まれている可能性がある学習用フローを用いた学習用データを、学習に使用することができる。この学習用データは、異常な通信フローが含まれている可能性がある学習用フローから算出された統計量に基づいて生成される。
【0035】
分析対象の通信フローである分析用フローは、蓄積装置50から分析用算出部23へ入力される。分析用算出部23には、あらかじめ定められた量の通信フロー(通信パケット)が入力される。たとえば、分析用算出部23には、1日分、1か月分などの通信フローが入力される。
【0036】
分析用算出部23は、分析用フローから統計量を算出する。分析部24は、分析条件と、分析用フローから算出された統計量とを使用して、分析用フローに対する分析を行い、分析用フローに対する分析の結果を出力する。また、分析用算出部23は、後述の、第一の単位時間における統計量の最大値および最小値を、分析用データとして算出してもよい。この場合、分析部24は、分析条件と分析用データとを使用して分析を行う。
【0037】
具体的には、分析部24は、分析用フローの統計量が分析条件を満たす場合に、分析用フローが正常であると分析する。また、分析部24は、分析用フローの統計量が分析条件を満たさない場合に、分析用フローが異常であると分析する。さらに具体的には、分析条件が統計量に対する上限値および下限値である場合、分析部24は、分析用フローの統計量が上限値を超える場合、または、分析用フローの統計量が下限値を下回る場合に、分析用フローが異常であると分析する。
【0038】
また、分析部24は、さらに、統計量の変化率があらかじめ設定されている値を超える場合に、分析用フローが異常であると分析してもよい。たとえば、学習部22が、学習時の統計量の変化率に対してカイ二乗統計値を算出しておき、分析部24が、分析時の統計量の変化率のカイ二乗統計値が学習時より大きい場合に、分析用フローが異常であると分析してもよい。変化率は、統計量が単位時間(たとえば、5分間)あたりの集計値である場合に、ある単位時間における統計量(A)と一つ前の単位時間の統計量(B)との差分をAで割ることによって計算される。なお、集計値は、統計量の算出に使用される値である。たとえば、統計量が単位時間あたりの通信回数である場合、集計値は、通信回数である。
【0039】
図5に、分析条件による異常分析を説明するための図を示す。
【0040】
横軸は、時刻である。縦軸は、単位時間あたりの通信回数である。細い実線および破線は、分析条件を示す。細い実線は、統計量に対する上限値を示す。破線は、統計量に対する下限値を示す。図5の例の場合、分析条件は、時刻によって変化する。太い実線は、分析用算出部23が算出した統計量を示す。
【0041】
分析部24は、ある時刻において、分析用算出部23が算出した統計量が、分析条件を満たさない場合、すなわち、統計量が下限値を下回る場合または上限値を超える場合に、当該時刻において、分析用フローが異常であると分析する。
【0042】
また、分析部24は、さらに、異常であると分析した場合に、ユーザごとの統計量の情報を出力してもよい。これにより、情報を確認した分析者は、特定のユーザが多く通信しているのか、多くのユーザが多く通信しているのか、といった情報を把握して、異常の原因を解析することが可能になる。
【0043】
次に、学習用データの生成の具体的な方法について説明する。なお、分析に上述の分析用データを使用する場合、分析用データについても同様の方法で生成することができる。
【0044】
統計量は、たとえば、単位時間あたりの集計値である。集計値は、統計量の算出に使用される値であり、たとえば、通信回数である。
【0045】
より良い分析精度を得るためには、単位時間を、たとえば5分などに短くするとよい。しかし、学習用データ生成部21が5分ごとの集計値を算出する場合、1時間分の学習用フローあたり12個(60÷5)、1日分の学習用フローあたり288個(12×24)の統計量が算出されることになる。より良い分析精度を得るためには、より多くの期間の統計量を学習用データとして学習を行うことが望ましい。その結果、1つの学習用フローにつき、1日分の学習用フローあたり288個に期間(日数)を掛けた数の学習用データが学習部22に入力されることになる。そのため、学習部22での学習における計算量が多くなる。
【0046】
これに対し、本実施形態では、学習用データ生成部21は、第二の単位時間の整数倍である第一の単位時間における統計量の最大値および最小値を、学習用データとして算出する。なお、このとき、統計量は、第二の単位時間あたりの集計値である。図6は、第一の単位時間と第二の単位時間との関係を示す図である。なお、第一の単位時間は、第二の単位時間の整数倍であるが、第一の単位時間と同じ単位(時間、分、秒など)の第二の単位時間を整数倍したものである。
【0047】
具体例について説明する。たとえば、第二の単位時間が5分、第一の単位時間が60分であるとする。まず、学習用データ生成部21は、第二の単位時間(5分)あたりの集計値(たとえば通信回数)を算出する。次に、第一の単位時間(60分)における、第二の単位時間あたりの集計値(第一の単位時間内に12個(60÷5)存在する)の最大値と最小値とを、学習用データとする。学習用データ生成部21は、最大値と最小値とを、学習用データとして学習部22へ入力する。このようにすると、1時間分の学習用フローあたり2個(最大値と最小値)、1日分の学習用フローあたり48個(2×24)に、学習用データを削減することができる。
【0048】
上記の方法で算出された学習用データは、第二の単位時間あたりの集計値とは異なる。そのため、上記の方法で算出された学習用データを使用した学習で生成される分析条件も、第二の単位時間あたりの集計値を学習用データとして学習した場合に生成される分析条件とは異なる。
【0049】
しかし、上記の方法で算出される学習用データには、第二の単位時間あたりの集計値が反映されている。そのため、上記の方法で算出された学習用データを使用した学習で生成される分析条件は、第二の単位時間あたりの集計値を学習用データとした学習で生成される分析条件に近いものになる。そのため、学習用データ生成部21が上記の方法で学習用データを算出した場合、学習用データの数を少なくしつつ、学習用データの数を少なくした場合の分析精度の低下を小さく抑えることが可能になる。また、分析用算出部23が同様の方法で分析用データを算出した場合、分析用データの数を少なくしつつ、分析用データの数を少なくした場合の分析精度の低下を小さく抑えることが可能になる。
【0050】
次に、図7および図8に、本実施形態の分析条件生成装置20の動作フローの例を示す。図7は、分析条件生成装置20の学習時の動作フローの例を示す図である。図8は、分析条件生成装置20の分析時の動作フローの例を示す図である。
【0051】
まず、図7を用いて、分析条件生成装置20の学習時の動作フローの例について説明する。
【0052】
学習用データ生成部21は、分析に使用される統計量に関連する学習用データを、学習用フローから算出された統計量に基づいて生成する(ステップS201)。学習用データは、第二の単位時間の整数倍である第一の単位時間における、第二の単位時間あたりの集計値の最大値および最小値である。なお、集計値は、統計量の算出に使用される値である。
【0053】
学習部22は、学習用データを使用して、統計量に関する条件であり、かつ、分析のための条件である分析条件を生成する(ステップS202)。
【0054】
次に、図8を用いて、分析条件生成装置20の分析時の動作フローの例について説明する。
【0055】
分析用算出部23は、分析用フローから統計量を算出する(ステップS203)。
【0056】
分析部24は、分析条件と、分析用フローから算出された統計量とを使用して、分析用フローに対する分析を行い、分析用フローに対する分析の結果を出力する(ステップS204)。
【0057】
以上で説明したように、本発明の第二の実施形態では、分析条件生成装置20は、学習用データ生成部21および学習部22を含む。学習用データ生成部21は、分析用フローの分析に使用される統計量に関連する学習用データを、学習用フローから算出された統計量に基づいて生成する。分析用フローは、分析対象の通信フローである。学習用フローは、学習用の通信フローである。統計量は、第二の単位時間あたりの集計値である。集計値は、統計量の算出に使用される値である。また、学習用データは、第二の単位時間の整数倍である第一の単位時間における統計量の最大値および最小値である。学習部22は、学習用データを使用して、分析条件を生成して出力する。分析条件は、統計量に関する条件であり、かつ、分析のための条件である。
【0058】
これにより、分析条件生成装置20は、学習用データのデータ数を少なくすることができる。また、学習用データには、第二の単位時間あたりの集計値の変動が反映される。そのため、分析精度の低下を抑制しつつ、学習時の負荷をより小さくすることが可能になる。
【0059】
また、本実施形態では、分析用フローの分析では、分析用フローが異常か否かを分析する異常分析が行われる。異常分析では、分析用フローから算出された統計量が分析条件を満たす場合に、分析用フローが正常であると分析される。また、本実施形態では、分析条件は、統計量の上限値および下限値である。異常分析では、分析用フローから算出された統計量が、上限値を超える場合、または、下限値を下回る場合に、分析用フローが異常であると分析される。これにより、分析条件生成装置20で生成された分析条件を使用した異常分析が可能になる。
【0060】
また、本実施形態では、集計値は、通信回数である。これにより、通信回数による分析が可能になる。たとえば、SMSの位置確認の回数による分析などが可能になる。
【0061】
また、本実施形態では、分析条件生成装置20は、分析用算出部23と、分析部24とをさらに備える。分析用算出部23は、分析用フローから統計量を算出する。分析部24は、分析条件と、分析用フローから算出された統計量とを使用して、分析用フローの分析を行い、分析用フローの分析の結果を出力する。また、本実施形態では、分析部24は、分析用フローから算出された統計量が分析条件を満たす場合に、分析用フローが正常であると分析する。これにより、分析条件生成装置20は、分析条件の生成に加えて、分析条件を用いた分析を行うことが可能になる。
【0062】
[ハードウェア構成例]
上述した本発明の各実施形態における分析条件生成装置(10、20)を、一つの情報処理装置(コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。なお、分析条件生成装置は、物理的または機能的に少なくとも二つの情報処理装置を用いて実現してもよい。また、分析条件生成装置は、専用の装置として実現してもよい。また、分析条件生成装置の一部の機能のみを情報処理装置を用いて実現してもよい。
上述した本発明の各実施形態における分析条件生成装置(10、20)を、一つの情報処理装置(コンピュータ)を用いて実現するハードウェア資源の構成例について説明する。なお、分析条件生成装置は、物理的または機能的に少なくとも二つの情報処理装置を用いて実現してもよい。また、分析条件生成装置は、専用の装置として実現してもよい。また、分析条件生成装置の一部の機能のみを情報処理装置を用いて実現してもよい。
【0063】
図9は、本発明の各実施形態の分析条件生成装置を実現可能な情報処理装置のハードウェア構成例を概略的に示す図である。情報処理装置90は、通信インタフェース91、入出力インタフェース92、演算装置93、記憶装置94、不揮発性記憶装置95およびドライブ装置96を含む。
【0064】
たとえば、図1の学習用データ生成部11および学習部12は、演算装置93で実現することが可能である。
【0065】
通信インタフェース91は、各実施形態の分析条件生成装置が、有線あるいは/および無線で外部装置と通信するための通信手段である。なお、分析条件生成装置を、少なくとも二つの情報処理装置を用いて実現する場合、それらの装置の間を通信インタフェース91経由で相互に通信可能なように接続してもよい。
【0066】
入出力インタフェース92は、入力デバイスの一例であるキーボードや、出力デバイスとしてのディスプレイ等のマンマシンインタフェースである。
【0067】
演算装置93は、汎用のCPU(Central Processing Unit)やマイクロプロセッサ等の演算処理装置や複数の電気回路によって実現される。演算装置93は、たとえば、不揮発性記憶装置95に記憶された各種プログラムを記憶装置94に読み出し、読み出したプログラムに従って処理を実行することが可能である。
【0068】
記憶装置94は、演算装置93から参照可能な、RAM(Random Access Memory)等のメモリ装置であり、プログラムや各種データ等を記憶する。記憶装置94は、揮発性のメモリ装置であってもよい。
【0069】
不揮発性記憶装置95は、たとえば、ROM(Read Only Memory)、フラッシュメモリ、等の、不揮発性の記憶装置であり、各種プログラムやデータ等を記憶することが可能である。
【0070】
ドライブ装置96は、たとえば、後述する記録媒体97に対するデータの読み込みや書き込みを処理する装置である。
【0071】
記録媒体97は、たとえば、光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な任意の記録媒体である。
【0072】
本発明の各実施形態は、たとえば、図9に例示した情報処理装置90により分析条件生成装置を構成し、この分析条件生成装置に対して、上記各実施形態において説明した機能を実現可能なプログラムを供給することにより実現してもよい。
【0073】
この場合、分析条件生成装置に対して供給したプログラムを、演算装置93が実行することによって、実施形態を実現することが可能である。また、分析条件生成装置のすべてではなく、一部の機能を情報処理装置90で構成することも可能である。
【0074】
さらに、上記プログラムを記録媒体97に記録しておき、分析条件生成装置の出荷段階、あるいは運用段階等において、適宜上記プログラムが不揮発性記憶装置95に格納されるよう分析条件生成装置を構成してもよい。なお、この場合、上記プログラムの供給方法は、出荷前の製造段階、あるいは運用段階等において、適当な治具を利用して分析条件生成装置内にインストールする方法を採用してもよい。また、上記プログラムの供給方法は、インターネット等の通信回線を介して外部からダウンロードする方法等の一般的な手順を採用してもよい。
【0075】
上記の実施形態の一部または全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0076】
(付記1)
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成部と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習部と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成装置。
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成部と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習部と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成装置。
【0077】
(付記2)
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
付記1に記載の分析条件生成装置。
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
付記1に記載の分析条件生成装置。
【0078】
(付記3)
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
付記2に記載の分析条件生成装置。
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
付記2に記載の分析条件生成装置。
【0079】
(付記4)
前記集計値は、通信回数である、
付記1に記載の分析条件生成装置。
前記集計値は、通信回数である、
付記1に記載の分析条件生成装置。
【0080】
(付記5)
前記分析用フローから前記統計量を算出する分析用算出部と、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する分析部と
をさらに備える、付記1から付記4のいずれかに記載の分析条件生成装置。
前記分析用フローから前記統計量を算出する分析用算出部と、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する分析部と
をさらに備える、付記1から付記4のいずれかに記載の分析条件生成装置。
【0081】
(付記6)
前記分析部は、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
付記5に記載の分析条件生成装置。
前記分析部は、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
付記5に記載の分析条件生成装置。
【0082】
(付記7)
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成し、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力し、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成方法。
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成し、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力し、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成方法。
【0083】
(付記8)
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
付記7に記載の分析条件生成方法。
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
付記7に記載の分析条件生成方法。
【0084】
(付記9)
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
付記8に記載の分析条件生成方法。
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
付記8に記載の分析条件生成方法。
【0085】
(付記10)
前記集計値は、通信回数である、
付記7に記載の分析条件生成方法。
前記集計値は、通信回数である、
付記7に記載の分析条件生成方法。
【0086】
(付記11)
前記分析用フローから前記統計量を算出し、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する、
付記7から付記10のいずれかに記載の分析条件生成方法。
前記分析用フローから前記統計量を算出し、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する、
付記7から付記10のいずれかに記載の分析条件生成方法。
【0087】
(付記12)
前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
付記11に記載の分析条件生成方法。
前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
付記11に記載の分析条件生成方法。
【0088】
(付記13)
コンピュータに、
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成機能と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習機能と
を実現させ、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成プログラム。
コンピュータに、
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成機能と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習機能と
を実現させ、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成プログラム。
【0089】
(付記14)
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
付記13に記載の分析条件生成プログラム。
前記分析用フローの分析では、前記分析用フローが異常か否かを分析する異常分析が行われ、
前記異常分析では、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析される、
付記13に記載の分析条件生成プログラム。
【0090】
(付記15)
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
付記14に記載の分析条件生成プログラム。
前記分析条件は、前記統計量の上限値および下限値であり、
前記異常分析では、前記分析用フローから算出された前記統計量が、前記上限値を超える場合、または、前記下限値を下回る場合に、前記分析用フローが異常であると分析される、
付記14に記載の分析条件生成プログラム。
【0091】
(付記16)
前記集計値は、通信回数である、
付記13に記載の分析条件生成プログラム。
前記集計値は、通信回数である、
付記13に記載の分析条件生成プログラム。
【0092】
(付記17)
前記分析用フローから前記統計量を算出する分析用算出機能と、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する分析機能と
をさらにコンピュータに実現させる、付記13から付記16のいずれかに記載の分析条件生成プログラム。
前記分析用フローから前記統計量を算出する分析用算出機能と、
前記分析条件と、前記分析用フローから算出された前記統計量とを使用して、前記分析用フローの分析を行い、前記分析用フローの分析の結果を出力する分析機能と
をさらにコンピュータに実現させる、付記13から付記16のいずれかに記載の分析条件生成プログラム。
【0093】
(付記18)
前記分析機能は、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
付記17に記載の分析条件生成プログラム。
前記分析機能は、前記分析用フローから算出された前記統計量が前記分析条件を満たす場合に、前記分析用フローが正常であると分析する、
付記17に記載の分析条件生成プログラム。
【0094】
(付記19)
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成手段と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習手段と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成システム。
分析対象の通信フローである分析用フローの分析に使用される統計量に関連する学習用データを、学習対象の通信フローである学習用フローから算出された前記統計量に基づいて生成する学習用データ生成手段と、
前記学習用データを使用して、前記統計量に関する条件であり、かつ、前記分析のための条件である分析条件を生成して出力する学習手段と
を備え、
前記統計量は、第二の単位時間あたりの集計値であり、
前記集計値は、前記統計量の算出に使用される値であり、
前記学習用データは、前記第二の単位時間の整数倍である第一の単位時間における前記統計量の最大値および最小値である、
分析条件生成システム。
【0095】
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【符号の説明】
【0096】
10、20 分析条件生成装置
11、21 学習用データ生成部
12、22 学習部
23 分析用算出部
24 分析部
50 蓄積装置
90 情報処理装置
91 通信インタフェース
92 入出力インタフェース
93 演算装置
94 記憶装置
95 不揮発性記憶装置
96 ドライブ装置
97 記録媒体
11、21 学習用データ生成部
12、22 学習部
23 分析用算出部
24 分析部
50 蓄積装置
90 情報処理装置
91 通信インタフェース
92 入出力インタフェース
93 演算装置
94 記憶装置
95 不揮発性記憶装置
96 ドライブ装置
97 記録媒体
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】