[发明专利]学习装置、学习方法以及学习程序

说明书

学习装置(10)具有取得学习用的多个通信数据的取得部(131)、分别提取多个通信数据的特征量的特征量提取部(132)、使VAE模型(121)学习通信数据的特征量的学习部(1331)、使用kernel herding提取多个通信数据的特征量的代表点的代表点提取部(1332)、和输出由代表点提取部(1332)提取出的代表点的输出部。

技术领域

本发明涉及学习装置、学习方法以及学习程序。

背景技术

随着IoTC(Internet of Things)时代的到来，多种设备(IoT设备)与因特网连接，被执行多种使用方法。作为这些IoT设备的安全对策，已知有面向IoT设备的流量会话异常检测系统或入侵检测系统(IDS：Intrusion Detection System)正在积极研究中。

在这样的异常检测系统中，例如有使用VAE(Variational Auto Encoder，变分自编码器)等的基于无监督学习的概率密度估计器的系统。在概率密度估计器的异常检测中，根据实际的通信生成被称为流量特征量的学习用高维数据，使用该特征量来学习正常的流量的特征，由此能够估计正常通信模式的发生概率。然后，使用已学习模型计算各通信的发生概率，将发生概率小的通信检测为异常。因此，即使不知道所有的恶性状态也能够进行异常检测，进而还具有能够应对未知的网络攻击的优点。

现有技术文献

非专利文献

非专利文献1Y.Chen，M.Welling and A.Smola，“Super-Samplesfrom KernelHerding”，In Proceedings of the 26^thConferenceon Uncertainty in ArtificialIntelligence(UAI)，pp.109-116，(2010)。

发明内容

发明要解决的课题

在实际运用中使用概率密度估计器的异常检测系统时，需要掌握异常检测系统将何种特征的通信视为正常的倾向。但是，作为异常检测系统的学习对象的IoT设备的通信多种多样，难以掌握其倾向。

具体地说，IoT设备在按照其每个类别使用多种协议进行通信的基础上，即使着眼于1个HTTP协议通信，通信的特征也是各种各样的，既有WebSocket那样的长时间持续的通信，也有页读入那样的瞬间结束的通信。因此，作为根据这些通信生成的学习用数据的流量特征量也变得多种多样，仅通过平均值或中央值的计算这样的简单的统计处理，学习用流量特征量的倾向把握也同样困难。如果不能掌握学习用流量特征量的倾向，则不知道异常检测系统将怎样的特征的通信视为正常，所以认为即使在异常检测系统中进行了检测也不能掌握检测理由，给运用带来障碍。

本发明是鉴于上述情况而完成的，其目的在于提供一种能够提供用于掌握学习用的流量特征量的倾向的数据的学习装置、学习方法以及学习程序。

解决课题的手段

为了解决上述课题，达成目的，本发明的学习装置的特征在于，具有：取得部，其取得学习用的多个通信数据；特征量提取部，其分别提取多个多个通信数据的特征量；学习部，其使生成模型学习通信数据的特征量；第1代表点提取部，其使用核集群(kernelherding)，提取多个通信数据的特征量的代表点；及输出部，其输出由第1代表点提取部提取出的代表点。

本发明的学习方法，该学习方法由学习装置执行，该学习方法的特征在于，包括如下步骤：取得学习用的多个通信数据；分别提取多个通信数据的特征量；使生成模型学习通信数据的特征量；使用kernel herding提取多个通信数据的特征量的代表点；以及输出代表点。