檢測裝置(10)取得設備的網絡日志以及主機日志。此外，檢測裝置(10)將網絡日志轉換為能夠輸入到多模態的生成模型的形式的網絡特征量，該生成模型基于由概率變量表示的多個潛在變量生成輸出數據。另外，檢測裝置(10)將主機日志轉換為能夠輸入到生成模型的形式的主機特征量。此外，檢測裝置(10)將網絡特征量和主機特征量中的至少一方輸入到生成模型，計算輸出數據。此外，檢測裝置(10)使用基于輸出數據計算出的異常得分，進行設備的異常的檢測。

技術領域

本發明涉及檢測裝置及檢測方法。

背景技術

近年來，IoT開始普及，到目前為止所有的設備經由網絡協調動作而產生各種價值。另一方面，產生不認為各種設備經由網絡連接的脆弱性。另外，目前也有IoT普及的最初期，安全對策不充分的設備大量地與網絡連接。

由于這種情況，IoT的異常檢測技術變得重要。異常檢測器能夠分為列表型的檢測器和學習型的檢測器。列表型檢測器是人根據各IoT設備來設計檢測條件的類型。此外，學習型的檢測器是從數據學習檢測條件的類型的檢測器。

由于IoT設備的種類較多，所以認為學習型成為主流。此外，在學習型的檢測方法中，有：學習正常狀態，根據偏離正常狀態的偏差來檢測異常的類型；和學習異常狀態，利用接近異常狀態的程度來檢測異常的類型。

例如，作為具有偏離正常狀態的偏差而檢測異常的類型的檢測方法，已知有使用了學習了連接有IoT設備的正常狀態的網絡的日志的檢測模型的異常檢測型的檢測方法。

在先技術文獻

非專利文獻

非專利文獻1：Jinwon An，Sungzoon Cho，“Variational Autoencoder basedAnomaly Detection using Reconstruction Probability”[online]，[平成30年6月4日檢索]，互聯網(http://dm.snu.ac.kr/static/docs/TR/SNUDM-TR-2015-03.pdf)

非專利文獻2：Diederik P Kingma，Max Welling，“Auto-Encoding VariationalBayes”[online]，[平成30年6月4日檢索]，互聯網(https：//arxiv.org/pdf/1312.6114.pdf)

非專利文獻3：Masahiro Suzuki，Kotaro Nakayama，Yutaka Matsuo，“JOINTMULTIMODAL LEARNING WITH DEEP GENERATIVE MODELS”[online]，[平成30年6月4日檢索]，互聯網(https：//arxiv.org/pdf/1611.01891.pdf)

非專利文獻4：CERT NetSA Security Suite，“YAF”[online]，[平成30年6月4日檢索]，互聯網(https：//tools.netsa.cert.org/yaf/index.html)

發明內容

發明要解決的課題

但是，在現有技術中，存在有時難以高精度地檢測IoT設備的異常的問題。例如，學習網絡日志的異常檢測型的檢測方法，對于檢測由DoS攻擊、Arp spoofing引起的異常是有效的，另一方面，而有時不能檢測由勒索軟件引起的異常。這是因為，由勒索軟件引起的異常難以作為網絡側的異常顯現，容易作為主機側的異常顯現。相反，學習主機日志的檢測方法，雖然在通過勒索軟件進行的異常的檢測中有效，但是有時在通過DoS攻擊、Arpspoofing進行的異常的檢測中無效。

發明的效果

根據本發明，能夠高精度地檢測IoT設備的異常。

附圖說明