知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-07-10
(45)【発行日】2023-07-19
(54)【発明の名称】閾値出力装置、閾値出力方法および閾値出力プログラム
(51)【国際特許分類】
H04L 43/16 20220101AFI20230711BHJP
【FI】
H04L43/16
【請求項の数】
6
(21)【出願番号】P 2019208999
(22)【出願日】2019-11-19
(65)【公開番号】P2021082948
(43)【公開日】2021-05-27
【審査請求日】2022-08-05
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】大屋 優
(72)【発明者】
【氏名】浅野 秀平
(72)【発明者】
【氏名】久保田 大樹
【審査官】佐々木 洋
(56)【参考文献】
【文献】特開2020-052747(JP,A)
【文献】特開2019-128934(JP,A)
【文献】特開2021-022759(JP,A)
【文献】特開2019-185183(JP,A)
【文献】特開2009-086896(JP,A)
【文献】米国特許出願公開第2006/0067240(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
H04L 41/00-101/695
(57)【特許請求の範囲】
【請求項1】
異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得部と、前記第一の取得部によって取得されたトラフィックデータを用いて、統計モデルを生成する生成部と、
前記第一のネットワークのトラフィックデータを取得する第二の取得部と、
前記第二の取得部によって取得されたトラフィックデータを用いて、前記生成部によって生成された前記統計モデルを更新する更新部と、
前記更新部によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力部と
を有することを特徴とする閾値出力装置。
【請求項2】
前記生成部は、前記統計モデルとして、極値統計を用いた極値分布の統計モデルを生成することを特徴とする請求項1に記載の閾値出力装置。
【請求項3】
前記閾値出力部によって出力された閾値を超える通信が前記第一のネットワークにおいて発生した場合には、前記第一のネットワークの異常を検知する検知部をさらに有することを特徴とする請求項1に記載の閾値出力装置。
【請求項4】
前記検知部は、前記第一のネットワークの異常を検知した場合には、前記第一のネットワークの通信に異常が発生したことを知らせるアラームを出力することを特徴とする請求項3に記載の閾値出力装置。
【請求項5】
閾値出力装置によって実行される閾値出力方法であって、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得工程と、
前記第一の取得工程によって取得されたトラフィックデータを用いて、統計モデルを生成する生成工程と、
前記第一のネットワークのトラフィックデータを取得する第二の取得工程と、
前記第二の取得工程によって取得されたトラフィックデータを用いて、前記生成工程によって生成された前記統計モデルを更新する更新工程と、
前記更新工程によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力工程と
を含むことを特徴とする閾値出力方法。
【請求項6】
異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得ステップと、前記第一の取得ステップによって取得されたトラフィックデータを用いて、統計モデルを生成する生成ステップと、
前記第一のネットワークのトラフィックデータを取得する第二の取得ステップと、
前記第二の取得ステップによって取得されたトラフィックデータを用いて、前記生成ステップによって生成された前記統計モデルを更新する更新ステップと、
前記更新ステップによって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力ステップと
をコンピュータに実行させることを特徴とする閾値出力プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、閾値出力装置、閾値出力方法および閾値出力プログラムに関する。
【背景技術】
【0002】
近年、インターネット上では、DDоS(Distributed Denial of Service)攻撃と呼ばれる大量の通信を発生させることで、攻撃先のサーバや回線に負荷を与えてサービスの提供を不可能にする攻撃が発生している。
【0003】
従来、異常なネットワークトラフィックを検知するためには、流れている通信の大きさについて監視システムに適当な閾値を設定し、その閾値を超えた場合に異常なトラフィックがあるか判断していた。
【0004】
このような閾値の設定は、事前に対象となるネットワーク回線の通信に関するデータを長期的に収集し、その傾向から統計やオペレータの経験則に基づいて行われていた。または、実際の運用の中で、試行錯誤によって閾値の大きさの調整を手動で行っていた。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2007-173907号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の手法では、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができない場合があるという課題があった。例えば、統計に基づいて閾値を設定する場合には、対象のネットワーク回線の通信に関する長期的なデータの収集が必要である。このため、例えば、新規に異常検知を行いたいネットワーク回線がある場合に、簡易に閾値を設定することができなかった。
【0007】
また、例えば、オペレータの経験則や試行錯誤による手動での閾値の設定では、オペレータの育成が必要であり、簡易に閾値を設定することができなかった。また、オペレータごとに精度のバラつきが生じるため、精度良く閾値を設定することができない場合があるという課題があった。
【課題を解決するための手段】
【0008】
上述した課題を解決し、目的を達成するために、本発明の閾値出力装置は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得部と、前記第一の取得部によって取得されたトラフィックデータを用いて、統計モデルを生成する生成部と、前記第一のネットワークのトラフィックデータを取得する第二の取得部と、前記第二の取得部によって取得されたトラフィックデータを用いて、前記生成部によって生成された前記統計モデルを更新する更新部と、前記更新部によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力部とを有することを特徴とする。
【0009】
また、本発明の閾値出力方法は、閾値出力装置によって実行される閾値出力方法であって、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得工程と、前記第一の取得工程によって取得されたトラフィックデータを用いて、統計モデルを生成する生成工程と、前記第一のネットワークのトラフィックデータを取得する第二の取得工程と、前記第二の取得工程によって取得されたトラフィックデータを用いて、前記生成工程によって生成された前記統計モデルを更新する更新工程と、前記更新工程によって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力工程とを含むことを特徴とする。
【0010】
また、本発明の閾値出力プログラムは、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得する第一の取得ステップと、前記第一の取得ステップによって取得されたトラフィックデータを用いて、統計モデルを生成する生成ステップと、前記第一のネットワークのトラフィックデータを取得する第二の取得ステップと、前記第二の取得ステップによって取得されたトラフィックデータを用いて、前記生成ステップによって生成された前記統計モデルを更新する更新ステップと、前記更新ステップによって更新された前記統計モデルを用いて、前記第一のネットワークにおける通信の異常を検知するための閾値を出力する閾値出力ステップとをコンピュータに実行させることを特徴とする。
【発明の効果】
【0011】
本発明によれば、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができるという効果を奏する。
【図面の簡単な説明】
【0012】
【発明を実施するための形態】
【0013】
以下に、本願に係る閾値出力装置、閾値出力方法および閾値出力プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る閾値出力装置、閾値出力方法および閾値出力プログラムが限定されるものではない。
【0014】
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る閾値出力装置10の構成、閾値出力装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
以下の実施の形態では、第1の実施形態に係る閾値出力装置10の構成、閾値出力装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
【0015】
[閾値出力装置の構成]
まず、図1を用いて、閾値出力装置10の構成を説明する。図1は、第1の実施形態に係る閾値出力装置の構成例を示すブロック図である。図1に示すように、閾値出力装置10は、ユーザ端末20とネットワーク30を介して接続されている。
まず、図1を用いて、閾値出力装置10の構成を説明する。図1は、第1の実施形態に係る閾値出力装置の構成例を示すブロック図である。図1に示すように、閾値出力装置10は、ユーザ端末20とネットワーク30を介して接続されている。
【0016】
ここでユーザ端末20は、例えば、デスクトップ型PC、タブレット型PC、ノート型PC、携帯電話機、スマートフォン、PDA(Personal Digital Assistant)等の情報処理装置である。
【0017】
また、図1に示すように、この閾値出力装置10は、通信処理部11、制御部12および記憶部13を有する。以下に閾値出力装置10が有する各部の処理を説明する。
【0018】
通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は異常検知対象のネットワークに異常が発生した場合には、異常アラームを送信する。なお、本実施形態では、閾値出力装置10とユーザ端末20とがネットワーク30を介して通信を行う場合を例に説明しているが、これに限定されるものではなく、ユーザ端末20と接続することなく閾値出力装置10がローカルな環境で動作してもよい。
【0019】
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納し、統計モデル記憶部13aを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。統計モデル記憶部13aは、生成部12bによって生成された統計モデルと、更新部12dによって更新された統計モデルとを記憶する。
【0020】
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、第一の取得部12a、生成部12b、第二の取得部12c、更新部12d、閾値出力部12eおよび検知部12fを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
【0021】
制御部12の各機能部によって実行される処理は、統計モデルを生成して更新(再学習)し、該統計モデルを用いて閾値を出力する閾値出力フェーズと、閾値出力フェーズにおいて出力された閾値を用いて異常検知対象のネットワーク回線の異常を検知する異常検知フェーズとに大別される。制御部12における第一の取得部12a、生成部12b、第二の取得部12c、更新部12d、閾値出力部12eは、閾値出力フェーズにおける処理を行う機能部であり、制御部12における検知部12fは、異常検知フェーズにおける処理を行う機能部である。
【0022】
なお、第1の実施形態に係る閾値出力装置10は、閾値出力フェーズにおける閾値出力処理および異常検知フェーズにおける異常検知処理の両方を行う装置として説明するが、これに限定されるものではなく、閾値出力フェーズにおける閾値出力処理のみを行うようにしてもよい。この場合には、閾値出力装置10が出力した閾値を用いて、他の装置が異常検知対象のネットワーク回線の異常を検知する。以下では、制御部12における各機能部について説明する。
【0023】
第一の取得部12aは、異常検知対象のネットワーク回線を含むネットワーク回線のトラフィックデータを取得する。例えば、第一の取得部12aは、異常検知対象のネットワークよりも広範なネットワークの通信機器からリアルタイムにトラフィックデータを取得してもよいし、所定のタイミングで自動または手動で入力されたトラフィックデータを取得するようにしてもよい。第一の取得部12aは、通信機器からリアルタイムにトラフィックデータを取得する場合には、予め設定された期間、トラフィックデータを継続して収集する。また、第一の取得部12aは、取得したトラフィックデータに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。
【0024】
ここで、図2を用いて、第一の取得部12aが取得するトラフィックデータの具体例について説明する。図2は、トラフィックデータの一例を示す図である。図2に例示するように、例えば、第一の取得部12aは、トラフィックデータとして、送信元IPアドレスを示す「Src IP」、送信先IPアドレスを示す「Dst IP」、送信元IPアドレスを示す「Src Port」、送信先IPアドレスを示す「Dst Port」、パケットに関する情報(例えば、パケットのバイト数等)を示す「packet」、パケットの送信または受信時刻を示す「Time」等を取得する。
【0025】
また、上述した広範なネットワーク回線とは、図3に例示するように、異常を検知する対象のネットワーク回線を含むものであってもよい。図3は、異常検知対象のネットワーク回線を含む広範なネットワーク回線について説明する図である。広範なネットワーク回線について具体例を挙げて説明すると、例えば、異常検知対象のネットワークが、所定の拠点のLAN(Local Area Network)である場合には、第一の取得部12aは、その拠点のLANと他の拠点のLANを含む広範なネットワーク回線からトラフィックデータを取得するようにしてもよい。また、例えば、所定のWebサーバについての通信異常を検知したい場合には、第一の取得部12aは、該Webサーバを含む広範なネットワーク回線からトラフィックデータを取得するようにしてもよい。
【0026】
生成部12bは、第一の取得部12aによって取得されたトラフィックデータを用いて、統計モデルを生成する。具体的には、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行い、統計モデルを得る。
【0027】
例えば、生成部12bは、統計モデルとして、極値統計を用いた極値分布の統計モデルを生成するようにしてもよい。つまり、DDоS攻撃等の大量の通信を発生させることで、攻撃先のサーバや回線に負荷を与えてサービスの提供を不可能にする攻撃を検知するために、通信量が異常に大きい通信に対する閾値を設定する場合には、極値統計を用いた極値分布へのデータの当てはめが考えられる。
【0028】
第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する。例えば、第二の取得部12cは、異常検知対象のネットワークにおける通信機器からリアルタイムにトラフィックデータを取得してもよいし、所定のタイミングで自動または手動で入力されたトラフィックデータを取得するようにしてもよい。第二の取得部12cは、通信機器からリアルタイムにトラフィックデータを取得する場合には、予め設定された期間、トラフィックデータを継続して収集する。また、第二の取得部12cは、取得したトラフィックデータに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。
【0029】
例えば、第二の取得部12cは、所定の拠点のLANが異常検知対象のネットワークである場合には、該LANのエッジルータ等の通信機器からトラフィックデータを取得する。また、例えば、第二の取得部12cは、所定のWebサーバへの通信の異常を検知したい場合には、該Webサーバに接続されたネットワークからWebサーバを宛先とする通信のトラフィックデータを取得するようにしてもよい。
【0030】
更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する。つまり、更新部12dは、異常検知対象のネットワーク回線から収集したトラフィックデータによって、生成された統計モデルを再学習する。なお、再学習の手法については、既存の手法のうち、どのような手法を適用してもよい。
【0031】
閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する。ここで、閾値出力部12eは、異常検知対象のネットワークにおける通信の異常を検知するための閾値を自装置における他の機能部に出力してもよいし、外部の装置(システム)に出力してもよい。本実施形態では、閾値出力部12eは、閾値を後述する検知部12fに閾値を出力して設定する場合を例に説明する。例えば、閾値出力部12eは、DDoS攻撃を検知するために、更新部12dによって更新された統計モデルを用いて、同一送信元または同一送信先の所定期間における通信量の閾値を検知部12fに設定する。つまり、閾値出力部12eは、短期間において、同一送信元または同一送信先で大量の通信が発生した場合に、当該通信の異常を検知することができるように、閾値を設定する。なお、統計モデルから閾値を決定する手法については、既存の手法のうち、どのような手法を適用してもよい。例えば、閾値出力部12eは、極値分布の面積が全体の1%となる通信量を特定し、特定した通信量を閾値と設定してもよい。また、例えば、閾値出力部12eは、1年に1度の頻度で発生する程度の異常な大きさの通信量を特定し、特定した通信量を閾値と設定してもよい。
【0032】
このように、閾値出力装置10は、異常検知対象のネットワークだけでなく、広範なネットワークからトラフィックデータを収集することで、統計的なモデリングに十分な量のデータに基づいて統計モデリングを行うことができる。また、閾値出力装置10は、異常検知対象のネットワークから収集した比較的少ないデータであっても、統計モデルを再学習することで、異常検知対象のネットワークに適した閾値を設定することができる。
【0033】
ここで、図4を用いて、閾値出力装置10による閾値出力処理の概要を説明する。図4は、第1の実施形態に係る閾値出力装置による閾値出力処理の概要を説明する図である。図4に例示するように、閾値出力装置10の第一の取得部12aは、異常検知対象のネットワーク回線より広いネットワーク回線からトラフィックデータを収集する。
【0034】
そして、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行って統計モデルを得る。続いて、第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する。
【0035】
そして、更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する。その後、閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する。
【0036】
図1の説明に戻って、検知部12fは、閾値出力部12eによって出力された閾値を超える通信が発生した場合には、異常検知対象のネットワークの異常を検知する。また、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信に異常が発生したことを知らせるアラームをユーザ端末20に出力してもよい。例えば、検知部12fは、アラームとして、異常検知対象のネットワークがDDoS攻撃を受けている旨の警告メッセージを出力してもよいし、警告を報知する音を出力するようにしてもよい。
【0037】
また、例えば、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信機器へ指示を出して、異常な通信に対する対策を講じるようにしてもよい。例えば、検知部12fは、異常検知対象のネットワークの異常を検知した場合には、異常検知対象のネットワークの通信を解析装置へ迂回したり、大量の通信を発生させている送信元を特定し、特定した送信元の通信を遮断したりしてもよい。
【0038】
このように、閾値出力装置10では、最適な閾値を用いて、異常検知対象のネットワークの異常を検知することができる。また、閾値出力装置10では、異常検知対象のネットワークの異常を検知した場合には、ユーザ端末20にアラームを出力したり、通信機器へ指示を出したりすることで、異常な通信に対して適切な対策を講じることが可能である。
【0039】
[閾値出力装置の処理手順]
次に、図5を用いて、第1の実施形態に係る閾値出力装置10による処理手順の例を説明する。図5は、第1の実施形態に係る閾値出力装置における閾値出力処理の流れの一例を示すフローチャートである。
次に、図5を用いて、第1の実施形態に係る閾値出力装置10による処理手順の例を説明する。図5は、第1の実施形態に係る閾値出力装置における閾値出力処理の流れの一例を示すフローチャートである。
【0040】
まず、図5を用いて、閾値出力装置10における閾値出力処理の流れを説明する。図5に例示するように、第一の取得部12aは、異常検知対象のネットワーク回線よりも広範なネットワーク回線のトラフィックデータを取得すると(ステップS101肯定)、取得したトラフィックデータに対して、空値補完処理や正規化処理等のデータ前処理を行う(ステップS102)。
【0041】
続いて、生成部12bは、第一の取得部12aによって取得されたトラフィックデータを用いて、統計モデルを生成する(ステップS103)。具体的には、生成部12bは、第一の取得部12aによって取得されたトラフィックデータに対して統計的なモデリングを行い、統計モデルを得る。
【0042】
そして、第二の取得部12cは、異常検知対象のネットワークのトラフィックデータを取得する(ステップS104)。なお、第二の取得部12cは、S102と同様に、取得したトラフィックデータに対して、空値補完処理や正規化処理等のデータ前処理を行うようにしてもよい。
【0043】
続いて、更新部12dは、第二の取得部12cによって取得されたトラフィックデータを用いて、生成部12bによって生成された統計モデルを更新する(ステップS105)。そして、閾値出力部12eは、更新部12dによって更新された統計モデルを用いて、異常検知対象のネットワークにおける通信の異常を検知するための閾値を出力する(ステップS106)。
【0044】
(第1の実施形態の効果)
第1の実施形態に係る閾値出力装置10は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、統計モデルを生成する。続いて、閾値出力装置10は、第一のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、生成した統計モデルを更新する。そして、閾値出力装置10は、更新した統計モデルを用いて、第一のネットワークにおける通信の異常を検知するための閾値を出力する。これにより、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。
第1の実施形態に係る閾値出力装置10は、異常検知対象の第一のネットワークを含む第二のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、統計モデルを生成する。続いて、閾値出力装置10は、第一のネットワークのトラフィックデータを取得し、取得したトラフィックデータを用いて、生成した統計モデルを更新する。そして、閾値出力装置10は、更新した統計モデルを用いて、第一のネットワークにおける通信の異常を検知するための閾値を出力する。これにより、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。
【0045】
つまり、閾値出力装置10は、異常検知対象のネットワークだけでなく、広範なネットワークからトラフィックデータを収集することで、長期的なデータの収集を行うことなく、統計的なモデリングに十分な量のデータを得ることが可能である。また、閾値出力装置10は、統計的なモデリングに十分な量のデータに基づいて統計モデリングを行うことができる。さらに、閾値出力装置10は、異常検知対象のネットワークから収集した比較的少ないデータであっても、統計モデルを再学習することで、異常検知対象のネットワークに適した閾値を設定することができる。このため、閾値出力装置10は、異常なトラフィックを検知するための閾値を簡易かつ精度よく設定することができることが可能である。
【0046】
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUやGPUおよび当該CPUやGPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUやGPUおよび当該CPUやGPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0047】
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0048】
(プログラム)
また、上記実施形態において説明した閾値出力装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る閾値出力装置10が実行する処理をコンピュータが実行可能な言語で記述した閾値出力プログラムを作成することもできる。この場合、コンピュータが閾値出力プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる閾値出力プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された閾値出力プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
また、上記実施形態において説明した閾値出力装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る閾値出力装置10が実行する処理をコンピュータが実行可能な言語で記述した閾値出力プログラムを作成することもできる。この場合、コンピュータが閾値出力プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる閾値出力プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された閾値出力プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
【0049】
図6は、閾値出力プログラムを実行するコンピュータを示す図である。図6に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
【0050】
メモリ1010は、図6に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図6に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図6に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図6に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図6に例示するように、例えばディスプレイ1130に接続される。
【0051】
ここで、図6に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、閾値出力プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
【0052】
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
【0053】
なお、閾値出力プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、閾値出力プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【0054】
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0055】
10 閾値出力装置
11 通信処理部
12 制御部
12a 第一の取得部
12b 生成部
12c 第二の取得部
12d 更新部
12e 閾値出力部
12f 検知部
13 記憶部
13a 統計モデル記憶部
20 ユーザ端末
30 ネットワーク
11 通信処理部
12 制御部
12a 第一の取得部
12b 生成部
12c 第二の取得部
12d 更新部
12e 閾値出力部
12f 検知部
13 記憶部
13a 統計モデル記憶部
20 ユーザ端末
30 ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】