JP5711675B2 - ネットワーク異常検出装置およびネットワーク異常検出方法 - Google Patents
ネットワーク異常検出装置およびネットワーク異常検出方法 Download PDFInfo
- Publication number
- JP5711675B2 JP5711675B2 JP2012007590A JP2012007590A JP5711675B2 JP 5711675 B2 JP5711675 B2 JP 5711675B2 JP 2012007590 A JP2012007590 A JP 2012007590A JP 2012007590 A JP2012007590 A JP 2012007590A JP 5711675 B2 JP5711675 B2 JP 5711675B2
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- past
- threshold value
- eigenvector
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
はじめに、本実施形態のネットワーク異常検出装置を含むネットワーク異常検出システムの構成およびネットワーク異常検出装置の異常判定方法について、図1(a)(b)を用いて説明する。
図2の最上段に示すように、企業のネットワークにおけるトラフィック量は、一般的に、深夜では小さい値で緩やかな変動を示し、出勤時には、急激な変動を示し、昼間には大きな値で緩やかな変動を示す傾向にある。
しかしながら、ネットワークに異常があったわけではないのに異常と判定してしまうため、ネットワーク保守者に、無用の点検作業を行わせることになり、ネットワーク運用業務の効率を低下させることとなる。
このケースでは、現在ベクトル(Vec-Now)および基準ベクトル(Vec-Ref)の計算方法は、比較例の場合と同様であっても構わない。しかし、閾値を、過去一定期間の異常スコア(θ)または閾値を用いて時系列予測演算を行うことによって、1タイムスロット先の閾値を予測する。そして、正常な状態で発生する異常スコア(θ)の大きな変化を異常と判定しないような閾値を予め設定する。これにより、異常スコア(θ)<閾値となって、正常な状態を間違って異常な状態と判定してしまうことを抑制することができる。
このケースでは、現在ベクトル(Vec-Now)および閾値の計算方法は、比較例の場合と同様であっても構わない。しかし、基準ベクトル(Vec-Ref)を、過去一定期間の固有ベクトルを用いて時系列予測演算を行うことによって、1タイムスロット先の基準ベクトル(Vec-Ref)を算出する。そのため、異常スコア(θ)の変動が、比較例の場合より小さくなるように算出される。これにより、異常スコア(θ)<閾値となって、正常な状態を間違って異常な状態と判定してしまうことを抑制することができる。
まず、ネットワーク異常検出装置100の構成について、図3を用いて説明する(適宜、図1,11参照)。ネットワーク異常検出装置100は、図3に示すように、処理部110、記憶部120、および入出力部130を備えている。
処理部110は、さらに、行列生成部111、固有ベクトル演算部112、基準ベクトル演算部113、異常判定部114、および閾値演算部115を備える。処理部110は、図示しないCPU(Central Processing Unit)およびメインメモリによって構成され、記憶部120に記憶されているアプリケーションプログラムをメインメモリに展開して、処理部110内の各部を具現化する。
次に、ネットワーク異常検出装置100の処理フロー例について、図7を用いて説明する(適宜、図3参照)。
ステップS701では、行列生成部111は、入力部131を介して、ネットワーク11内の装置10間におけるトラフィック量等のトラフィック情報を取得し、例えばトラフィック量を成分とする行列を生成する。行列の生成は、所定の周期またはネットワーク11の管理者もしくは保守者等に指示されたときに行われる。
異常スコア(θ)が閾値より大きいと判定した場合(ステップS707でYes)、ステップS708へ進み、異常スコア(θ)が閾値以下と判定した場合(ステップS707でNo)、ステップS709へ進む。
次に、ステップS704における基準ベクトル(Vec-Ref)の演算方法の詳細について、図8を用いて説明する。ここでは、主に、図2(c)で説明したように、1タイムスロット先の基準ベクトル(Vec-Ref)の予測について説明する。
まず、予測に使用するデータを選択するための選択方法について説明し、次に、予測値の算出方法について説明する。
方法A2は、現時点や1タイムスロット先の変動傾向と合致しうる過去の時点として、例えば、1日前、2日前、・・、x日前の同時間帯や、1週間前、2週間前、・・、y週間前の同曜日同時間帯の過去の固有ベクトルを用いるものである。その理由は、例えば、企業のネットワークでは、1日周期や1週間周期(第1の周期)でトラフィック量が変動する傾向を持つことが多いためである。同曜日とは、例えば、現在の曜日が水曜日であれば、その1週間前、2週間前、・・を選択する。同時間帯とは、例えば、現在時刻が13時15分であれば、時間データに13時を含む固有ベクトルを選択することを表す。または、同時間帯とは、現在時刻の前後の所定時間(例えば、30分)以内の固有ベクトルを選択することを表しても構わない。
方法B2は、現在ベクトル(Vec-Now)の各成分の値が独立に近い動きをする場合、例えば、ネットワークのノードAから出力されるトラフィックが近隣のノードBに流れ込む等の場合では、ベクトル各成分に対して、ARモデルやカルマンフィルタ等の1次元時系列予測法を適用可能である。
第1の基準ベクトル算出方法は、方法A1と方法B1との組み合わせであり、図2(a)に示す比較例で使用されるものである。
第2の基準ベクトル算出方法は、方法A2と方法B1との組み合わせである。
第3の基準ベクトル算出方法は、方法A2と方法B2との組み合わせである。
次に、ステップS705における閾値の演算方法の詳細について、図9を用いて説明する。ここでは、主に、図2(b)で説明したように、1タイムスロット先の閾値の予測方法について説明する。
まず、予測に使用するデータを選択するための選択方法について説明し、次に、予測値の算出方法について説明する。
また、方法a12,a22では、例えば、企業のネットワークでは、1日周期や1週間周期(第1の周期)でトラフィック量が変動する傾向を持つことが多いので、1タイムスロット先の変動傾向と合致しうる過去の時点として、例えば、1日前、2日前、・・、x日前の同時間帯や、1週間前、2週間前、・・、y週間前の同曜日同時間帯の(第1の周期で所定の時間帯に存在する)過去の値を用いることとする。
第2の閾値算出方法は、方法a11と方法b2との組み合わせである。
第3の閾値算出方法は、方法a12と方法b2との組み合わせである。
なお、第2,第3の閾値算出方法は、閾値を直接算出するため、方法c1または方法c2を用いる必要がない。
第5の閾値算出方法は、方法a21と方法b2と方法c2との組み合わせである。
第6の閾値算出方法は、方法a22と方法b2と方法c1との組み合わせである。
第7の閾値算出方法は、方法a22と方法b2と方法c2との組み合わせである。
10(10A,10B,10C) 装置
11 ネットワーク
100 ネットワーク異常検出装置
110 処理部
111 行列生成部
112 固有ベクトル演算部
113 基準ベクトル演算部
114 異常判定部
115 閾値演算部
120 記憶部
121 過去固有ベクトルDB
122 過去異常スコアDB
123 過去閾値DB
130 入出力部
131 入力部
132 出力部
Claims (7)
- 現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算部と、
前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算部と、
前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定部と、
前記異常判定部によって算出された過去一定期間の前記異常スコアを前記現在ベクトルを算出した時刻と関連付けて前記記憶部に記憶している場合、前記記憶部に記憶されている前記異常スコアを過去異常スコアとして取得し、取得した前記過去異常スコアを時系列予測演算法に適用して予測異常スコアを算出し、算出した当該予測異常スコアの値の出現頻度分布を求め、所定の確率となるときを前記閾値に設定する閾値演算部と、
を備えることを特徴とするネットワーク異常検出装置。 - 現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算部と、
前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算部と、
前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定部と、
前記異常スコアとの比較に用いた過去一定期間の前記閾値を前記現在ベクトルを算出した時刻と関連付けて前記記憶部に記憶している場合、前記記憶部から前記閾値を過去閾値として取得し、取得した当該過去閾値を時系列予測演算法に適用して新たな閾値を算出し、算出した前記新たな閾値を前記閾値に設定する閾値演算部と、
を備えることを特徴とするネットワーク異常検出装置。 - 前記閾値演算部は、前記記憶部に記憶されている前記異常スコアの中から、前記第1の周期で所定の時間帯に存在する前記異常スコアを前記過去異常スコアとして取得する
ことを特徴とする請求項1に記載のネットワーク異常検出装置。 - 前記閾値演算部は、前記記憶部に記憶されている前記閾値の中から、前記第1の周期で所定の時間帯に存在する前記閾値を前記過去閾値として取得する
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 - 前記閾値演算部は、前記出現頻度分布を一次元正規分布、多次元正規分布または多変量正規分布で生成する
ことを特徴とする請求項1または請求項3に記載のネットワーク異常検出装置。 - ネットワークの異常を判定するネットワーク異常検出装置のネットワーク異常検出方法であって、
前記ネットワーク異常検出装置は、
現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算ステップと、
前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算ステップと、
前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定ステップと、
前記異常判定ステップによって算出された過去一定期間の前記異常スコアを前記現在ベクトルを算出した時刻と関連付けて前記記憶部に記憶している場合、前記記憶部に記憶されている前記異常スコアを過去異常スコアとして取得し、取得した前記過去異常スコアを時系列予測演算法に適用して予測異常スコアを算出し、算出した当該予測異常スコアの値の出現頻度分布を求め、所定の確率となるときを前記閾値に設定する閾値演算ステップと、
を実行することを特徴とするネットワーク異常検出方法。 - ネットワークの異常を判定するネットワーク異常検出装置のネットワーク異常検出方法であって、
前記ネットワーク異常検出装置は、
現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算ステップと、
前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算ステップと、
前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定ステップと、
前記異常スコアとの比較に用いた過去一定期間の前記閾値を前記現在ベクトルを算出した時刻と関連付けて前記記憶部に記憶している場合、前記記憶部から前記閾値を過去閾値として取得し、取得した当該過去閾値を時系列予測演算法に適用して新たな閾値を算出し、算出した前記新たな閾値を前記閾値に設定する閾値演算ステップと、
を実行することを特徴とするネットワーク異常検出方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012007590A JP5711675B2 (ja) | 2012-01-18 | 2012-01-18 | ネットワーク異常検出装置およびネットワーク異常検出方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012007590A JP5711675B2 (ja) | 2012-01-18 | 2012-01-18 | ネットワーク異常検出装置およびネットワーク異常検出方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013150083A JP2013150083A (ja) | 2013-08-01 |
JP5711675B2 true JP5711675B2 (ja) | 2015-05-07 |
Family
ID=49047198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012007590A Active JP5711675B2 (ja) | 2012-01-18 | 2012-01-18 | ネットワーク異常検出装置およびネットワーク異常検出方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5711675B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6259379B2 (ja) * | 2014-09-02 | 2018-01-10 | 日本電信電話株式会社 | トラフィック異常検出装置およびブログラム |
JP6378655B2 (ja) * | 2015-08-24 | 2018-08-22 | 日本電信電話株式会社 | 監視装置および監視方法 |
JP6993559B2 (ja) | 2017-05-16 | 2022-01-13 | 富士通株式会社 | トラフィック管理装置、トラフィック管理方法およびプログラム |
WO2019094287A1 (en) * | 2017-11-09 | 2019-05-16 | Corning Incorporated | Sub-displays with alignment structures and tiled displays fabricated from the sub-displays |
CN110298552B (zh) * | 2019-05-31 | 2023-12-01 | 国网上海市电力公司 | 一种结合历史用电特征的配电网个体功率异常检测方法 |
CN114007132A (zh) * | 2020-07-28 | 2022-02-01 | 中国电信股份有限公司 | 异常检测方法、装置及计算机可读存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4688083B2 (ja) * | 2007-06-12 | 2011-05-25 | 日本電信電話株式会社 | 基準値予測方法とシステムおよびプログラム |
JP4721362B2 (ja) * | 2007-06-12 | 2011-07-13 | 日本電信電話株式会社 | 閾値設定方法とシステムおよびプログラム |
-
2012
- 2012-01-18 JP JP2012007590A patent/JP5711675B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013150083A (ja) | 2013-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10554526B2 (en) | Feature vector based anomaly detection in an information technology environment | |
JP5711675B2 (ja) | ネットワーク異常検出装置およびネットワーク異常検出方法 | |
US8930757B2 (en) | Operations management apparatus, operations management method and program | |
US10338982B2 (en) | Hybrid and hierarchical outlier detection system and method for large scale data protection | |
JP5767617B2 (ja) | ネットワーク障害検出システムおよびネットワーク障害検出装置 | |
US10318366B2 (en) | System and method for relationship based root cause recommendation | |
US20160162346A1 (en) | Root cause analysis for service degradation in computer networks | |
US9524223B2 (en) | Performance metrics of a computer system | |
JP6823501B2 (ja) | 異常検知装置、異常検知方法及びプログラム | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
KR102440335B1 (ko) | 이상 감지 관리 방법 및 그 장치 | |
CN104778111A (zh) | 一种进行报警的方法和装置 | |
CN108418710B (zh) | 一种分布式监控系统、方法及装置 | |
US20150378806A1 (en) | System analysis device and system analysis method | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
CN112596975A (zh) | 对网络设备进行监控处理的方法、系统、设备和存储介质 | |
CN116975938B (zh) | 一种产品制造过程中的传感器数据处理方法 | |
Du et al. | ATOM: Automated tracking, orchestration and monitoring of resource usage in infrastructure as a service systems | |
WO2019142414A1 (ja) | ネットワーク監視システム、方法及びプログラムを格納した非一時的なコンピュータ可読媒体 | |
JP4559462B2 (ja) | 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体 | |
JP6627258B2 (ja) | システムモデル生成支援装置、システムモデル生成支援方法、及び、プログラム | |
JP5498440B2 (ja) | ネットワーク異常検出装置およびネットワーク異常検出方法 | |
CN113485891A (zh) | 业务日志监控方法、装置、存储介质及电子设备 | |
US10580082B2 (en) | Flow generating program, flow generating method, and flow generating device | |
AU2021106268A4 (en) | Nature-inspired adaptive defense system for early intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140117 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140502 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20140528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150303 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150306 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5711675 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |