異常検知

US10659477
The aspects of the present disclosure provide for a scalable multiple tiered vehicle cyber-attack detection system 100 that includes a multiple tier architecture that may identify and predict potential security risks for the onboard systems 198 by analyzing the system log data 197, for one or more vehicles, using one or more first cyber-attack anomaly detection module 113 (e.g., a behavior based anomaly detection agent) and one or more second cyber-attack anomaly detection module 117 (e.g., a supervised deep learning detection agent).
【００１５】
  本開示の態様は、一以上の第１のサイバー攻撃異常検知モジュール１１３（例えば挙動ベースの異常検知エージェント）と一以上の第２のサイバー攻撃異常検知モジュール１１７（例えば、教師あり深層学習検知エージェント）とを用いて一以上のビークルのシステムログデータ１９７を解析することで搭載システム１９８の潜在的なセキュリティリスクを特定し予測し得る複数段階のアーキテクチャを含んだ、スケーラブルな複数段階のビークルサイバー攻撃検知システム１００を提供する。

The one or more first cyber-attack anomaly detection module 113 includes natural language processing based feature extraction and unsupervised behavior based anomaly detection using system entropy measurements 116.
一以上の第１のサイバー攻撃異常検知モジュール１１３は、自然言語処理ベースの特徴抽出、及びシステムエントロピー測定値１１６を用いた教師なし挙動ベースの異常検知を含む。

The input to the natural language processing is one or more batches of system log data 128 that is captured through a sliding time window 127.
自然言語処理への入力は、スライド時間窓１２７を通じて捕捉されるシステムログデータ１２８の一以上のバッチである。

The output of the first cyber-attack anomaly detection module 113 is an indication of a first cyber-attack 114. The first cyber-attack anomaly detection module 113 requires no ground truth data.
第１のサイバー攻撃異常検知モジュール１１３の出力は、第１のサイバー攻撃１１４の表示である。第１のサイバー攻撃異常検知モジュール１１３は真値（ｇｒｏｕｎｄ  ｔｒｕｔｈ）データを必要としない。

US2018300693
[0021] FIG. 1 illustrates an example of logging transaction information in a blockchain according to example embodiments. Referring to FIG. 1, a logic configuration 100 includes an originator 110 as a party that initiates a new blockchain transaction 120.
【００１７】
  図１は、例示的な実施形態による、ブロックチェーンにおいて取引情報のログを取ることの一例を示している。図１を参照すると、ロジック構成１００が、新たなブロックチェーン取引１２０を開始する当事者として開始者（originator）１１０を含む。

A clearing house (CCH) 130 receives and processes the transactions adding to a ledger 150 for a new transaction request 112, a transaction acknowledgement 114 from an out-of-band device (OOBD) 140 and a committed transaction once confirmation is received 118.
クリアリング・ハウス（ＣＣＨ）１３０が、新たな取引要求１１２に関して帳簿１５０に加わる取引、帯域外デバイス（ＯＯＢＤ）１４０からの取引確認応答１１４、およびいったん確認が受信された上での委任された取引１１８を受信および処理する。

The OOBD 140 may be responsible for issuing a confirmation message that confirms a new transaction 116. Each transaction from the originator 110 is recorded in a blockchain 150 by a central clearing house CCH 130.
ＯＯＢＤ１４０は、新たな取引を確認する確認メッセージ１１６を発行することを担当することが可能である。開始者１１０からのそれぞれの取引は、セントラル・クリアリング・ハウスＣＣＨ１３０によってブロックチェーン１５０内に記録される。

A confirmation of the transaction is performed using the out-of-band verification device (OOBD) 140, which may include but is not limited to a smart phone, cell phone, tablet, desktop, laptop computer, and/or any device including a processor and memory.
取引の確認は、帯域外検証デバイス（ＯＯＢＤ：out-of-band verification device）１４０を使用して実行され、ＯＯＢＤ１４０は、スマート・フォン、携帯電話、タブレット、デスクトップ、ラップトップ・コンピュータ、または、プロセッサとメモリとを含む任意のデバイス、あるいはその組合せを含むことができるが、それらには限定されない。

The OOBD 140 submits a corresponding blockchain entry which may be a sidechain, a separate blockchain or the same blockchain. The blockchain entries created by the CCH and OOBD are reconciled by a third party auditor.
ＯＯＢＤ１４０は、サイドチェーン、別個のブロックチェーン、または同じブロックチェーンであることが可能である対応するブロックチェーン・エントリーを提出する。ＣＣＨおよびＯＯＢＤによって作成されたブロックチェーン・エントリーどうしは、第三者の監査担当者によって調整される。

Any CCH transactions without corresponding OOBD transactions are flagged as potentially fraudulent and both the CCH and OOBD are notified by a notification procedure. In parallel, transaction profiling is performed by the third party auditor or a different third party based on the transactions posted to the blockchain.
対応するＯＯＢＤ取引を伴わないあらゆるＣＣＨ取引が、潜在的に不正なものとしてフラグを立てられ、ＣＣＨおよびＯＯＢＤの両方が、通知手順によって通知を受ける。並行して、ブロックチェーンにポストされた取引に基づいて第三者の監査担当者または異なる第三者によって取引プロファイリングが実行される。

Anomalous and suspicious transactions are flagged as potentially fraudulent and both the CCH and OOBD are notified.
異常な疑わしい取引が、潜在的に不正なものとしてフラグを立てられ、ＣＣＨおよびＯＯＢＤの両方が、通知を受ける。

Examples of suspicious behavior may include high volume of low value transactions (payments) to a particular party, or unfamiliar party or parties, high value payments to known suspicious entities, transactions at unusual times of the day or non-business days (e.g., holidays), multiple unsuccessful attempts to submit a transaction, incorrect payment instructions (e.g., misspellings), and the like.
疑わしい行動の例は、特定の当事者またはよく知らない１人もしくは複数の当事者への低い値の大量の取引（支払い）、既知の疑わしいエンティティへの高い値の支払い、異常な時間帯または非営業日（たとえば、休日）における取引、取引を提出する複数の不成功の試み、不正確な支払い指示（たとえば、ミススペリング）などを含むことができる。

[0024] The third party auditor may be one or more of the blockchain members. The third party may also be one or more peers on the blockchain, a regulator, or contracted party to perform the auditing and fraud detection functions, etc.
【００２０】
  第三者の監査担当者は、ブロックチェーン・メンバーのうちの１人または複数であることが可能である。第三者は、ブロックチェーン上の１つまたは複数のピア、規制者、または、監査および不正検知機能を実行するための契約当事者（contracted party）などであることも可能である。

Each of those peers may perform only a subset of the auditing and/or fraud detection functions. The blockchain technology supports selective disclosure of information about the transactions. The entire transaction may be clear text, or encrypted so that only a subset of the blockchain participants, including an auditor or regulator, may view the transaction details.
それらのピアのそれぞれは、監査機能または不正検知機能あるいはその両方のサブセットのみを実行することができる。ブロックチェーン・テクノロジーは、取引に関する情報の選択的な開示をサポートする。取引全体は、平文であることが可能であり、または監査担当者もしくは規制者を含むブロックチェーン参加者のサブセットのみが取引詳細を見ることができるように暗号化されることも可能である。

Similarly, selective parts of the transaction can be encrypted or hashed. Auditing of the transactions can be based on the encrypted or hashed values, or may use advance cryptographic techniques that have privacy preserving properties. Similarly, through the use of analytic techniques, the behavior modeling and anomaly detection can be performed on the same data and may use cryptographic techniques used by the auditing capabilities.
同様に、取引の選択的な部分が暗号化またはハッシュ化されることも可能である。取引の監査は、暗号化もしくはハッシュ化された値に基づくことが可能であり、またはプライバシー保護特性を有する高度暗号技術を使用することができる。同様に、分析技術の使用を通じて、行動モデリングおよび異常検知が、同じデータ上で実行されることが可能であり、監査能力によって使用される暗号技術を使用することができる。

According to example embodiments, there is a shared communication channel for the OOBD. The OOBD may establish a separate communication sub-channel over a SSL session. It is this sub-channel that establishes the out-of-band communication. In general, the communication channel for the OOBD communication channel may be separate from the communication channel used by the user or system that submitted the original transaction.
例示的な実施形態によれば、ＯＯＢＤのための共有通信チャネルがある。ＯＯＢＤは、ＳＳＬセッションを介した別個の通信サブチャネルを確立することができる。帯域外通信を確立するのは、このサブチャネルである。一般には、ＯＯＢＤ通信チャネルのための通信チャネルは、最初の取引を提出したユーザまたはシステムによって使用されている通信チャネルとは別個であることが可能である。

WO2015147972
[0015] FIG. 2A is a side thermal image view of conduit 32 and illustrates a flow of process fluid. FIG. 2A also illustrates an anomaly 40 in the process conduit skin temperature 42 of conduit 32. Anomaly 40 is shown by the darker region in the figure which indicates a higher temperature than the surrounding areas.
【０００９】
  図２Ａは、導管３２の側面熱画像図であり、プロセス流体の流れを例示する。図２Ａはまた、導管３２のプロセス導管外板温度４２の異常４０を例示する。異常４０は、周囲エリアより高い温度を指示する図の暗い領域によって示される。

This region of localized heating may be due to any number of sources. For example, a hot object in the flow may positioned near wall of the conduit, the wall of the conduit may be thinning and has lost structural integrity, a heat source in the process may be affecting the conduit, etc.
この局所的加熱の領域は、任意の数の原因による。例えば、流れ中の熱物体が導管の壁の近くに位置する、導管の壁が薄層化し構造的完全性を失った、プロセス中の熱源が導管に影響を及ぼしているなど、である。

Although the anomaly 40 is illustrated as region of increased temperature, a process anomaly may also be detected by identifying localized cooling. The detected anomaly may indicated an impending failure or may indicate that a failure has already occurred. The anomaly 40 may be detected using the infrared detector 100 shown in FIG. 1 to monitor for hot or cold spots on conduit 32
異常４０が上昇した温度の領域として例示されるが、プロセス異常はまた、局所的冷却を識別することによって検知されてもよい。検知された異常は、切迫した故障を指示するか、又は故障が既に発生していることを指示することができる。異常４０は、導管３２上のホット又はコールドスポットに対する監視をするために図１に示される赤外線検知装置１００を使用して検知され得る。

EP2777957
[0005] The purpose of a tire monitoring system is to provide the driver with a warning should an anomaly occur in one or more tires.
【０００５】
  タイヤ監視システムの目的は、１または複数のタイヤに異常が発生した場合、運転者に警告を与えることである。

In some instances, tire pressure and/or temperature may be reported and/or displayed, while in other instances a simple low pressure alert may be generated.
いくつかの例では、タイヤ圧および／または温度が、報告および／または表示されてもよいし、他の例では、単純な低圧アラートが生成されてもよい。

To be useful, the information must be quickly communicated and be reliable. 
有用であるためには、情報は、迅速に伝達され、信頼性がなければならない。

WO2014052167
[0079] The regression analysis component 406 can employ pattern information to determine whether particular patterns of values for cholesterol, glucose, temperature and/or pH occur at particular times of day, month, for example.
【００７２】
  回帰分析用要素４０６は、例えば、日、月、における特定の時刻のコレステロール、グルコース、温度、及び／又は、ｐＨの値に特定のパターンがあるかどうかを判断するパターン情報を採用することができる。

Cluster analysis can be employed to determine general health information that tends to be associated with particular measured/sensed values while anomaly detection can be employed to determine peculiarities in the body response
クラスター分析は、測定／検出された特定の値に関連付けられる傾向にある全般的な健康情報を判断するために採用される一方、異常検知は、身体反応における特異点

(e.g., measured/sensed values that are significantly different from other measured/sensed values measured when the same/similar general health condition was noted).
（例えば、同じ／類似する全般的な健康状態であると思われるときに測定した、他の測定／検出された値とは顕著に異なる測定／検出された値）を判断するために採用される。

[0085] Turning back to FIG. 1, in some aspects, the communication component 122 of contact lens 102 can transmit information to ihe device 1 18 based on the information 120 sensed by the sensors 106, 108, 1 10, 1 12.
【００７８】
  図１に戻って、いくつかの形態では、コンタクトレンズ１０２の通信用要素１２２は、センサ１０６、１０８、１１０、１１２により検出された情報１２０に基づいて情報を装置１１８に伝送することができる。

For example, the communication component 122 can transmit information identifying nearby stores that sell foods high in sugar content (e.g., bakeries) if ihe sensor that measures glucose (e.g., sensor 106) measures/senses a low glucose level.
例えば、通信用要素１２２は、グルコースを測定するセンサ（例えば、センサ１０６）がグルコース・レベルが低いことを測定／検出した場合、砂糖量の多い食品（例えば、パン菓子）を販売する近くの店を見つける情報を伝送することができる。

Similarly, the communication component 122 can transmit information identifying nearby hospitals or clinics if the sensors 106, 108, 1 10, 1 12 measure severely abnormal glucose, cholesterol, pH and/or temperature levels.
同様に、通信用要素１２２は、センサ１０６、１０８、１１０、１１２がしばしば、グルコース、コレステロール、ｐＨ、及び／又は、温度のレベルが異常であることを測定した場合、近くの病院又は診療所を見つける情報を伝送することができる。