[发明专利]异常检测装置和异常检测方法

说明书

异常检测装置(30)具有：学习部(31)，其使用通信设备(10)的正常动作时的通信日志作为学习数据来生成检测模型；以及异常检测部(32)，其使用所生成的检测模型来检测通信设备(10)的异常。然后，异常检测装置(30)具有：数据取得部(330)，其取得在比第1通信日志靠后的规定期间内所产生的通信日志(第2通信日志)；以及判定部(334)，在目前的检测模型的学习数据(第1通信日志)与第2通信日志之间具有差分信息的情况下，在该差分信息所包含的追加信息(追加流的信息)的数量或删除信息(删除流的信息)的数量满足规定的评价基准时，所述判定部(334)命令使用第2通信日志的重新学习。

技术领域

本发明涉及异常检测装置和异常检测方法。

背景技术

作为检测PC等设备中的由于病毒感染等引起的异常的方法，一直以来提出并使用将设备的举动模式与已知的异常模式匹配而检测异常的特征检测方式和将设备的举动模式与正常状态的举动模式匹配而检测异常的异常检测方式(参照专利文献1)。

在特征检测方式中，预先确定了异常模式，因此，在与该异常模式一致的情况下，能够检测出异常，但是，无法检测出由于未知病毒等引起的未预先确定异常模式的异常。另一方面，在异常检测方式中，通过如专利文献1那样使用机器学习技术来学习正常状态，与所学习的模型不一致的举动模式全部检测为异常。因此，还能够检测出由于未知病毒等引起的异常。但是，在异常检测方式中，在正常状态由于设备的设定变更等而发生了变更的情况下，与过去的模型不一致的举动模式会被检测为异常。

此处，在现有技术(例如，参照专利文献1)中，根据过去的观测值确定了用于异常检测方式的设备的正常状态的举动，因此，需要重新学习正常状态的举动，以追随由于设备的设定变更等引起的正常状态的变化。

现有技术文献

专利文献

专利文献1：日本特开2004-312064号公报

发明内容

发明所要解决的课题

此处，在不花费计算成本的环境中，无法频繁地实施设备的正常状态的举动的重新学习，其结果，有可能导致安全性下降。因此，在不花费计算成本的环境中，需要在适当的定时进行上述的正常状态的举动的重新学习。因此，本发明解决上述课题，其课题在于在适当的定时进行设备的正常状态的举动的重新学习。

用于解决课题的手段

为了解决上述课题，本发明的特征在于，具有：学习部，其使用通信设备的正常动作时的通信日志作为学习数据来生成检测所述通信设备的异常的检测模型；异常检测部，其使用所述生成的检测模型和所述通信设备的通信日志来检测所述通信设备的异常；数据取得部，其取得作为在比第1通信日志靠后的规定期间内产生的通信日志的第2通信日志，该第1通信日志是在所述检测模型的生成中使用的通信日志；追加信息确定部，其将所述第2通信日志中的、由该检测模型检测出异常的通信日志确定为所述第1通信日志的追加信息；删除信息确定部，其根据所述第1通信日志与所述第2通信日志之间的差分信息，确定除所述第1通信日志的追加信息以外的删除信息；以及判定部，在存在所述第1通信日志的追加信息或删除信息的情况下，在所述追加信息的数量或所述删除信息的数量满足规定的评价基准时，所述判定部命令所述学习部使用所述第2通信日志作为学习数据来生成检测模型。

发明效果

根据本发明，能够在适当的定时进行设备的正常状态的举动的重新学习。

附图说明

图1是示出系统的结构例的图。

图2是用于说明本实施方式中的追加信息和删除信息的图。

图3是用于说明更新前学习数据集与最新学习数据集的差分信息、追加信息和删除信息的图。

图4是示出图1的异常检测装置的处理过程的例子的流程图。