KR102525187B1 - 시계열 기반 이상 탐지 방법 및 시스템 - Google Patents

시계열 기반 이상 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR102525187B1
KR102525187B1 KR1020210061509A KR20210061509A KR102525187B1 KR 102525187 B1 KR102525187 B1 KR 102525187B1 KR 1020210061509 A KR1020210061509 A KR 1020210061509A KR 20210061509 A KR20210061509 A KR 20210061509A KR 102525187 B1 KR102525187 B1 KR 102525187B1
Authority
KR
South Korea
Prior art keywords
series data
time series
preprocessed
processor
anomaly
Prior art date
Application number
KR1020210061509A
Other languages
English (en)
Other versions
KR20220153914A (ko
Inventor
이춘희
김세준
정다운
정희진
Original Assignee
네이버클라우드 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버클라우드 주식회사 filed Critical 네이버클라우드 주식회사
Priority to KR1020210061509A priority Critical patent/KR102525187B1/ko
Priority to US17/662,933 priority patent/US11973672B2/en
Priority to JP2022077887A priority patent/JP7427047B2/ja
Publication of KR20220153914A publication Critical patent/KR20220153914A/ko
Priority to KR1020230051484A priority patent/KR20230057327A/ko
Application granted granted Critical
Publication of KR102525187B1 publication Critical patent/KR102525187B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • G06F18/2155Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the incorporation of unlabelled data, e.g. multiple instance learning [MIL], semi-supervised techniques using expectation-maximisation [EM] or naïve labelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0627Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2218/00Aspects of pattern recognition specially adapted for signal processing
    • G06F2218/12Classification; Matching
    • G06F2218/14Classification; Matching by matching peak patterns
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

시계열 기반 이상 탐지 방법 및 시스템을 개시한다. 본 실시예에 따른 이상 탐지 방법은 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하는 단계, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 딥러닝 모델을 재학습하는 단계 및 상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 재학습된 딥러닝 모델을 이용하여 탐지하는 단계를 포함할 수 있다.

Description

시계열 기반 이상 탐지 방법 및 시스템{METHOD AND SYSTEM FOR ANOMALY DETECTION BASED ON TIME SERIES}
실시예들은 시계열 기반 이상 탐지 방법 및 시스템과 관련된다.
기존 관측과는 상이하여 다른 매커니즘에 의해 생성되었다고 판단할 만한 관측값을 이상(anomaly)으로 정의할 수 있다. 이상 탐지는 그 자체가 알고리즘이라기 보다는 '목표하는 바 또는 기대하는 결과'에 해당하며, 여러 알고리즘과 분석론을 활용한 '분석 어플리케이션'이라고 볼 수 있다.
따라서, 해결하고자 하는 문제의 목적과 컨텍스트에 따라 이상 탐지의 목적이 상이해질 수 있다.
[선행문헌번호]
한국공개특허 제10-2020-0072169호
과거 정상 데이터를 기반으로 하여 딥러닝 모델 생성할 수 있는 이상 탐지 방법 및 장치를 제공한다.
자동화된 기준선을 생성하여 이상치를 탐지할 수 있는 이상 탐지 방법 및 장치를 제공한다.
기설정된 탐지주기 패턴을 통계적으로 모델링할 수 있는 이상 탐지 방법 및 장치를 제공한다.
대량의 데이터에 대한 실시간 이상 탐지가 가능한 이상 탐지 방법 및 장치를 제공한다.
적어도 하나의 프로세서를 포함하는 컴퓨터 장치의 이상 탐지 방법에 있어서, 상기 적어도 하나의 프로세서에 의해, 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하는 단계; 상기 적어도 하나의 프로세서에 의해, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계; 상기 적어도 하나의 프로세서에 의해, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하는 단계; 및 상기 적어도 하나의 프로세서에 의해, 상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하는 단계를 포함하는 이상 탐지 방법을 제공한다.
일측에 따르면, 상기 딥러닝 모델은 상기 비지도 학습 방식 중 컨볼루셔널 오토인코더(Conv-AutoEncoder)를 사용하여 구현되는 것을 특징으로 할 수 있다.
다른 측면에 따르면, 상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는, Z 점수(Z score)를 이용하여 상기 전처리된 시계열 데이터의 이상치를 검출하고 노이즈를 제거하는 단계를 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는, 6시그마(6sigma)를 기준으로 설정된 손실 임계값을 이용하여 상기 전처리된 시계열 데이터의 이상을 탐지하는 단계를 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는, 정규분포 기반의 3시그마 규칙(3sigma rule)을 이용하여 상기 현재 탐지주기에 전처리된 시계열 데이터를 위한 신뢰대역을 생성하는 단계; 및 상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하는 단계를 포함하는 것을 특징으로 할 수 있다
또 다른 측면에 따르면, 상기 신뢰대역은 상기 시계열 데이터의 임의의 시점에서의 값보다 큰 값들로 이루어진 제1 신뢰대역 및 상기 시계열 데이터의 임의의 시점에서의 값보다 작은 값들로 이루어진 제2 신뢰대역을 포함하고, 상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하는 단계는, 상기 제1 신뢰대역 및 상기 제2 신뢰대역 중에서 설정된 하나의 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 설정하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 신뢰대역을 생성하는 단계는, 상기 현재 탐지주기에 전처리된 시계열 데이터의 표준편차의 단위로 상기 신뢰대역의 폭을 조정하는 단계를 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 이상 탐지 방법은 상기 적어도 하나의 프로세서에 의해, 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 상기 딥러닝 모델을 공통적으로 적용하기 위해, 상기 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 변동계수(coefficient of variance)를 반영하는 단계를 더 포함할 수 있다.
또 다른 측면에 따르면, 상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는, 상기 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 계산된 점수의 합산 또는 가중합을 통해 이상 탐지 결과를 조합하는 단계를 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 이상 탐지 방법은 상기 적어도 하나의 프로세서에 의해, 상기 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상 탐지 결과를 시각화하는 단계를 더 포함할 수 있다.
또 다른 측면에 따르면, 상기 이상 탐지 방법은 상기 적어도 하나의 프로세서에 의해, 상기 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상의 탐지에 대한 경고를 제공하는 단계를 더 포함할 수 있다.
또 다른 측면에 따르면, 상기 이상 탐지 방법은 상기 적어도 하나의 프로세서에 의해, 상기 현재 탐지주기에 전처리된 시계열 데이터, 상기 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상 탐지 결과 및 상기 재학습된 딥러닝 모델에 대해 6시그마를 기준으로 설정된 손실 임계값 중 적어도 하나를 데이터베이스에 저장하는 단계를 더 포함할 수 있다.
컴퓨터 장치와 결합되어 상기 방법을 컴퓨터 장치에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램을 제공한다.
상기 방법을 컴퓨터 장치에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터 판독 가능한 기록매체를 제공한다.
컴퓨터 장치에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서에 의해, 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하고, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하고, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하고, 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하는 것을 특징으로 하는 컴퓨터 장치를 제공한다.
과거 정상 데이터를 기반으로 하여 딥러닝 모델 생성할 수 있다.
자동화된 기준선을 생성하여 이상치를 탐지할 수 있다.
기설정된 탐지주기 패턴을 통계적으로 모델링할 수 있다.
대량의 데이터에 대한 실시간으로 이상을 탐지할 수 있다.
도 1은 본 발명의 일실시예에 따른 컴퓨터 장치의 예를 도시한 블록도이다.
도 2는 본 발명의 일실시예에 있어서, 포인트 이상의 예를 도시한 도면이다.
도 3 및 도 4는 본 발명의 일실시예에 있어서, 문맥 이상의 예들을 도시한 도면들이다.
도 5는 본 발명의 일실시예에 따른 오토인코더의 예를 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 컨볼루셔널 오토인코더의 예를 도시한 도면이다.
도 7은 본 발명의 일실시예에 있어서, 자동화된 기준성 생성 과정의 예를 도시한 도면이다.
도 8은 본 발명의 일실시예에 있어서, 6시그마에 기반하여 손실 임계값을 설정하는 예를 도시한 도면이다.
도 9 내지 도 12는 본 발명의 일실시예에 있어서, 신뢰대역을 설정하는 예를 도시한 도면들이다.
도 13은 본 발명의 일실시예에 있어서, 이상 탐지 시스템의 실시간 탐지 과정의 예를 도시한 도면이다.
도 14 내지 도 17은 본 발명의 일실시예에 있어서, 사용량 증가 패턴을 탐지하는 예를 도시한 도면들이다.
도 18은 본 발명의 일실시예에 있어서, 고정 임계값을 사용하여 이상을 탐지하는 예를 도시한 도면이다.
도 19는 본 발명의 일실시예에 있어서, 패턴 변경시에 이상을 탐지하는 예를 도시한 도면이다.
도 20 및 도 21은 본 발명의 일실시예에 따른 이상 탐지 방법의 예를 도시한 흐름도들이다.
이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일실시예에 따른 컴퓨터 장치의 예를 도시한 블록도이다. 컴퓨터 장치(Computer device, 100)는 도 1에 도시된 바와 같이, 메모리(Memory, 110), 프로세서(Processor, 120), 통신 인터페이스(Communication interface, 130) 그리고 입출력 인터페이스(I/O interface, 140)를 포함할 수 있다. 메모리(110)는 컴퓨터에서 판독 가능한 기록매체로서, RAM(random access memory), ROM(read only memory) 및 디스크 드라이브와 같은 비소멸성 대용량 기록장치(permanent mass storage device)를 포함할 수 있다. 여기서 ROM과 디스크 드라이브와 같은 비소멸성 대용량 기록장치는 메모리(110)와는 구분되는 별도의 영구 저장 장치로서 컴퓨터 장치(100)에 포함될 수도 있다. 또한, 메모리(110)에는 운영체제와 적어도 하나의 프로그램 코드가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 메모리(110)와는 별도의 컴퓨터에서 판독 가능한 기록매체로부터 메모리(110)로 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록매체가 아닌 통신 인터페이스(130)를 통해 메모리(110)에 로딩될 수도 있다. 예를 들어, 소프트웨어 구성요소들은 네트워크(Network, 160)를 통해 수신되는 파일들에 의해 설치되는 컴퓨터 프로그램에 기반하여 컴퓨터 장치(100)의 메모리(110)에 로딩될 수 있다.
프로세서(120)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(110) 또는 통신 인터페이스(130)에 의해 프로세서(120)로 제공될 수 있다. 예를 들어 프로세서(120)는 메모리(110)와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다.
통신 인터페이스(130)은 네트워크(160)를 통해 컴퓨터 장치(100)가 다른 장치와 서로 통신하기 위한 기능을 제공할 수 있다. 일례로, 컴퓨터 장치(100)의 프로세서(120)가 메모리(110)와 같은 기록 장치에 저장된 프로그램 코드에 따라 생성한 요청이나 명령, 데이터, 파일 등이 통신 인터페이스(130)의 제어에 따라 네트워크(160)를 통해 다른 장치들로 전달될 수 있다. 역으로, 다른 장치로부터의 신호나 명령, 데이터, 파일 등이 네트워크(160)를 거쳐 컴퓨터 장치(100)의 통신 인터페이스(130)를 통해 컴퓨터 장치(100)로 수신될 수 있다. 통신 인터페이스(130)를 통해 수신된 신호나 명령, 데이터 등은 프로세서(120)나 메모리(110)로 전달될 수 있고, 파일 등은 컴퓨터 장치(100)가 더 포함할 수 있는 저장 매체(상술한 영구 저장 장치)로 저장될 수 있다.
입출력 인터페이스(140)는 입출력 장치(I/O device, 150)와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 마이크, 키보드 또는 마우스 등의 장치를, 그리고 출력 장치는 디스플레이, 스피커와 같은 장치를 포함할 수 있다. 다른 예로 입출력 인터페이스(140)는 터치스크린과 같이 입력과 출력을 위한 기능이 하나로 통합된 장치와의 인터페이스를 위한 수단일 수도 있다. 입출력 장치(150)는 컴퓨터 장치(100)와 하나의 장치로 구성될 수도 있다.
또한, 다른 실시예들에서 컴퓨터 장치(100)는 도 1의 구성요소들보다 더 적은 혹은 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다. 예를 들어, 컴퓨터 장치(100)는 상술한 입출력 장치(150) 중 적어도 일부를 포함하도록 구현되거나 또는 트랜시버(transceiver), 데이터베이스 등과 같은 다른 구성요소들을 더 포함할 수도 있다.
본 발명의 일실시예에 따른 이상 탐지 시스템은 적어도 하나의 컴퓨터 장치에 의해 구현될 수 있으며, 이러한 컴퓨터 장치는 앞서 도 1을 통해 설명한 컴퓨터 장치(100)에 대응할 수 있다.
한편, 이상(anomaly)은 포인트 이상(point anomaly)와 문맥 이상(contextual anomaly)로 분류될 수 있다.
도 2는 포인트 이상의 예를 도시한 도면이다. 포인트 이상은 평소보다 데이터가 급증하거나 급감하는 패턴이 나타나는 것으로서 아웃라이어(outlier)를 의미할 수 있다. 도 2의 그래프는 데이터가 평소보다 급증하는 예를 나타내고 있다.
도 3 및 도 4는 문맥 이상의 예들을 도시한 도면들이다. 문맥 이상은 과거에 발생하지 않았던 패턴이 나타나는 것으로, 데이터의 패턴이 변경하는 경우와 데이터의 크기가 변경(점진적인 증가 또는 점진적인 감소)하는 경우로 구분될 수 있다. 도 3의 그래프는 계절성(seasonality) 분석에 따라 패턴이 변경된 경우의 예를 나타내고 있으며, 도 4의 그래프는 데이터 사용 범위가 변경된 경우의 예를 나타내고 있다.
1. 인텔리전트 모니터링(Intelligent Monitoring)
인프라 모니터링은 순수 IT 모니터링에서 데이터 주도적 분석으로 변화해야 할 필요성이 있다. 이를 인텔리전트 모니터링이라고 부르고 있으며, 인텔리전트 모니터링은 운영자의 전문성이나 기존의 알람을 완전히 대체하는 것은 아니다. 종래에는 인간이 알람의 진위를 파악하기 위해 일일이 조사를 해야 하지만, 머신러닝을 통해서 높은 정확도로 동일한 작업을 가능하게 할 수 있으며, 이를 통해 운영자가 실제 문제에 집중할 수 있도록 도울 수 있다. 본 실시예에 따른 이상 탐지 방법 및 시스템은 장기 예측보다 현재 발생하는 데이터에서 실시간으로 신뢰할만한 이상 탐지를 판단할 수 있다.
2. 비지도 학습(Unsupervised Learning)
IT 인프라 운영 데이터는 다음과 같은 특성을 갖는다.
1) 방대함: IT 인프라 운영은 특성상 서버, 네트워크, 클라우드 등 다양한 데이터 소스에서 모니터링된 시계열 데이터가 지속적으로 발생함.
2) 기준 설정이 어려움: 운영자가 임계값을 직접 등록하는 통계적 감지 기법으로는 한계가 존재함.
3) 레이블이 없음: 레이블 없이 축적되는 방대한 데이터에서 실시간으로 스스로 지속 학습하는 방안이 요구됨.
4) 사용 패턴이 있음: 일별 및/또는 주별로 시간적인 패턴이 존재함.
따라서, 이상 탐지를 위한 신뢰할 수 있는 규칙을 만들거나 누군가가 명확한 정답을 정의할 수 없다는 문제점이 존재한다. 이에, 데이터로부터 배우고, 데이터의 변화에 자동 적응하여 인프라 데이터 특성에 맞는 모델을 구현하는 것이 요구된다.
3. 연속 학습(Continuous Learning)
이상 탐지를 위한 데이터의 변화에 수동으로 적응할 수는 없기 때문에 이상 탐지 시스템은 지속적으로 환경에 적응할 수 있는 시스템이어야 한다. 일례로, 특정 시점만을 모델링하면 사용 패턴이 변화할 때 오탐(이상 탐지 오류)이 발생할 수 있다. 뿐만 아니라, 메트릭(metric)마다 다른 사용 패턴이 있기 때문에, 서로 다른 메트릭에서 모델을 공유하기가 어렵다. 따라서 메트릭마다 최신 데이터로 정확한 모델을 유지할 수 있는 자동화가 요구된다.
이를 위해, 본 발명의 실시예들에 따른 이상 탐지 방법 및 시스템은 아래와 같은 특징들을 포함할 수 있다.
가. 과거 정상 데이터를 기반으로 하여 딥러닝 모델 생성
일실시예에 따른 이상 탐지 시스템은 비지도 학습 방식 중 컨볼루셔널 오토인코더(Conv-AutoEncoder)를 사용할 수 있다. 학습 데이터는 정상 운영 상태라고 가정하여 모델을 생성할 수 있으며, 인입 데이터의 기대값과 실제값의 오차를 계산하는 방식이 활용될 수 있다.
나. 자동화된 기준선 생성
일실시예에 따른 이상 탐지 시스템은 6시그마(6sigma)를 기준으로 임계치를 자동으로 계산할 수 있으며, 특이치(이상치) 검출과 노이즈 제거를 위해 Z 점수(Z score)를 사용할 수 있다.
통계학에서 시그마(σ)는 하나의 값이 평균으로부터 얼마나 멀리 떨어져 있는지를 뜻하는 기호로 이는 표준편차를 의미할 수 있다. 누군가가 평균에서 1시그마내에 있다면, 그는 사회 전체적으로 볼 때, 68.27%만큼의 주류에 속하는 사람이라는 의미이다. 양 극단으로 갈수록 확률이 급격히 낮아지는 정규분포의 특성상 평균에서 멀어질수록 시그마의 값은 급격히 높아진다. 2시그마는 95.45%, 3시그마는 99.73%를 포함하는 범위이다. 이때, '3시그마에 속할 만한 인간'은 한 사회에서 0.27%(370명 중 한 명)에 속하는 독특한 사람을 의미하는 표현이 될 수 있다. 품질관리에서 6시그마라는 용어가 나오는데, 불량품이 나올 확률이 6 시그마내로 하자라는 얘기는 '불량품이 없다'라는 얘기와 거의 같은 얘기가 된다.
한편, Z 점수는 표준 점수(standard score)라고 하기도 한다. 표준 정상 분포에서 확률변수 X의 평균이 μ이고 표준편차가 σ일 때 확률변수 X가 평균 μ에서 표준편차 몇 배 거리만큼 떨어져 있는가가 z = (X-μ)/σ로 구해질 수 있다. Z 점수는 측정의 단위로 표준편차를 사용하여 해당분포의 평균과 관련된 점수의 위치를 나타내기 때문에 서로 다른 분포로부터 나온 값들을 비교 가능토록 해주는 역할을 할 수 있다.
다. 기설정된 탐지주기(분(minute), 시(hour), 일(day) 및/또는 주(week) 등) 패턴을 통계적으로 모델링
일실시예에 따른 이상 탐지 시스템은 정규분포 기반의 3시그마 규칙(3sigma rule) 방식으로 신뢰구간 생성할 수 있으며, 데이터 특성에 따른 통계치(일례로, 변동계수(coefficient of variance))를 반영함으로써, 다양한 형태의 시계열(일례로, 서로 다른 메트릭의 시계열 데이터)에 딥러닝 모델을 공통으로 적용할 수 있게 된다.
통계학에서 3시그마 규칙은 정규 분포를 나타내는 규칙으로, 경험적인 규칙(empirical rule)이라고도 한다. 3시그마 규칙 평균에서 양쪽으로 3표준편차의 범위에 거의 모든 값들(99.7%)이 들어가는 규칙을 나타낼 수 있다.
변동계수는 표준편차 s의 크기를 평균치 x에 대한 백분율로 나타낸 것을 의미할 수 있다. 이러한 변동계수는 상대치이기 때문에 크기나 단위가 다른 분포간의 변동을 비교하는 데 사용할 수가 있다.
라. 실시간 탐지
일실시예에 따른 이상 탐지 시스템은 분당 수 만개의 데이터 포인트 각각을 점수화하여 이상을 탐지할 수 있다. 이때, 이상 탐지 시스템은 멀티 메트릭(multi metric)에 대한 통합 점수로 레벨을 설정할 수도 있다.
도 5는 본 발명의 일실시예에 따른 오토인코더의 예를 도시한 도면이고, 도 6은 본 발명의 일실시예에 따른 컨볼루셔널 오토인코더의 예를 도시한 도면이다.
오토인코더는 비지도 학습에서 활용 가능한 모델로서, 도 5는 원본 입력 데이터(original input data, 510)를 인코더(encoder, 520)에 입력하여 원본 입력 데이터(510)에 대한 압축된 표현(compressed representation, 530)을 생성하고, 압축된 표현(530)을 다시 디코더(decoder, 540)에 입력하여 복원된 입력 데이터(reconstructed input data, 550)를 생성하는 과정을 나타내고 있다. 이때, 오토인코더는 도 5의 과정에서 원본 입력 데이터(510)와 복원된 입력 데이터(550)가 유사하도록 모델을 학습시킬 수 있다. 이를 위해 오토인코더는 원본 입력 데이터(510)의 특징을 기억하고 있어야 한다.
이러한 오토인코더는 기존의 뉴럴 네트워크(neural network) 형태에서 출력값과 입력값의 개수가 같은 모델로, 좌우를 대칭으로 하는 입출력층으로 구성될 수 있으며, 원본 입력 데이터(510)를 인코더(520)를 통해 압축한 뒤 다시 디코더(540)를 통해 복구하는 작업을 통해 특징을 추출하여 학습할 수 있다. 이러한 오토인코더는 데이터의 압축과 복원을 통해 데이터의 중요한 특징들을 탐색할 수 있는 장점이 있어, 예제 데이터로부터 자동적으로 학습하는데 유용하기 때문에 기존의 비지도 학습의 문제를 해결하기 위해 사용될 수 있다.
이러한 오토인코더의 특징에 컨볼루션 레이어를 결합한 도 6의 컨볼루셔널 오토인코더는 컨볼루션을 통하여 특징을 추출하여 비지도 학습에 활용할 수 있다. 이처럼, 도 6은 좌우를 대칭으로 하는 입출력층으로 구성된 컨볼루션 레이어를 통해 원본 입력 데이터의 특징을 추출하여 비지도 학습에 활용할 수 있음을 나타내고 있다.
도 7은 본 발명의 일실시예에 있어서, 자동화된 기준성 생성 과정의 예를 도시한 도면이다.
도 7의 그래프를 통해 살펴보면, 일실시예에 따른 이상 탐지 시스템은 제1 시점(810) 이전의 과거 정상데이터(메트릭 데이터(820))를 학습하여 딥러닝 모델을 생성할 수 있다.
또한, 이상 탐지 시스템은 통계에 근거하여 이상 탐지 결정 기준으로서의 손실 임계값(loss threshold)을 자동으로 설정할 수 있다. 도 7에서는 제1 점선(830) 및 제2 점선(840)이 각각 손실값에 대한 이상 탐지 결정 기준을 나타내고 있다. 손실 임계값을 결정하기 위해 이상 탐지 시스템은 통계 알고리즘으로서 6시그마, SPC(Statistical Process Control) 등에 근거하여 손실 임계값을 설정할 수 있다.
이때, 이상 탐지 시스템은 통계 알고리즘에 의하여 레벨별로 복수의 손실 임계값을 정의할 수도 있다. 일례로, 도 7에서는 제1 점선(830)에 의해 나타난 제1 손실 임계값 이상의 손실값(850)에 대응하는 메트릭 데이터(860)에 대해 크리티컬(Critical) 레벨의 이상을 탐지하고, 제1 점선(830)에 의해 나타난 제1 손실 임계값 미만이지만, 제2 점선(840)에 의해 나타난 제2 손실 임계값 이상의 손실값(870)에 대응하는 메트릭 데이터(880)에 대해 워닝(Warning) 레벨의 이상을 탐지하는 예를 나타내고 있다. 실시예에 따라 손실 임계값은 3레벨(일례로, High/Middle/Low 레벨)이나 4레벨 이상의 레벨로 정의될 수도 있다.
도 8은 본 발명의 일실시예에 있어서, 6시그마에 기반하여 손실 임계값을 설정하는 예를 도시한 도면이다. 일례로, 일실시예에 따른 이상 탐지 시스템은 6시그마를 상한(upper limit, μ+6σ)으로, -6시그마를 하한(lower limit, μ-6σ)으로 둘 수 있으며, 6시그마(및/또는 -6시그마) 외에도 5시그마(또는 -5시그마)나 4시그마(또는 -4시그마) 등을 손실 임계값의 레벨로 더 설정할 수 있다. 여기서, μ는 값들의 평균을, σ는 표준편차를 의미할 수 있다.
도 9 내지 도 12는 본 발명의 일실시예에 있어서, 신뢰대역을 설정하는 예를 도시한 도면들이다.
도 9의 그래프는 값(910)과 값(910)에 대응하는 신뢰대역(920, 930)을 나타내고 있다. 신뢰대역(920, 930)은 값(910)을 기준으로 값(910)보다 큰 값에 대한 제1 신뢰대역(920)과 값(910)보다 작은 값에 대한 제2 신뢰대역(930)을 포함할 수 있다.
도 10의 그래프 역시 값(1010)과 값(1010)에 대응하는 신뢰대역(1020, 1030)을 나타내고 있다. 신뢰대역(1020, 1030)은 값(1010)을 기준으로 값(1010)보다 큰 값에 대한 제1 신뢰대역(1020)과 값(1010)보다 작은 값에 대한 제2 신뢰대역(1030)을 포함할 수 있다.
한편, 일실시예에 따른 이상 탐지 시스템은 과거의 기설정된 탐지주기(분(minute), 시(hour), 일(day) 및/또는 주(week) 등)의 사용 패턴을 통계적 수치로 모델링하여 신뢰도를 생성할 수 있다. 일례로, 이상 탐지 시스템은 3시그마에 기반하여 신뢰도를 생성할 수 있으며, 변동 계수(coefficient of variance, cv)를 사용하여 [Confidence band width = band_width * std(표준편차)]와 같이 패턴 유형을 분류할 수 있다. 여기서, [Confidence band width]는 신뢰대역의 폭을 의미할 수 있으며, [band_width]는 신뢰대역의 폭을 조정하기 위한 변수(일례로, 자연수)로서 사용될 수 있다. 일례로, [band_width]가 1 증가할 때마다 표준편차만큼 신뢰대역의 폭이 넓어질 수 있다.
이때, 도 11 및 도 12는 앞서 도 9 및 도 10과 비교하여 신뢰대역(920, 930, 1020, 1030)의 폭이 넓어졌음을 나타내고 있다.
한편, 앞서 설명한 바와 같이, 시계열 패턴의 특징을 추출하기 위해 변동계수(cv)가 사용될 수 있다. 본 실시예에서 변동계수 cv = σ/μ와 같이 계산될 수 있으며, σ는 표준편차를, μ는 값들의 평균을 의미할 수 있다. 다시 말해, 변동계수 cv는 평균에 대비한 표준편차의 크기를 의미할 수 있으며, 이러한 cv를 통해 상대적 산포도 측정이 가능해지며, 변동계수의 값이 클수록 시계열의 평균대비 편차가 큰 패턴이 나타남을 의미할 수 있다.
또한, 특이치 검출과 노이즈 제거를 위해 Z 점수가 사용될 수 있다. 본 실시예에서 Z 점수 Z = (x-μ)/σ와 같이 계산될 수 있으며, σ는 표준편차를, μ는 값들의 평균을, x는 특정 값을 각각 의미할 수 있다. Z 점수는 관측값 x가 전체 분포에서 차지하는 상대적 위치를 표시할 수 있다.
도 13은 본 발명의 일실시예에 있어서, 이상 탐지 시스템의 실시간 탐지 과정의 예를 도시한 도면이다. 본 실시예에 따른 이상 탐지 시스템은 클라우드(1310)와 같은 데이터 소스로부터 기설정된 시간 간격(일례로, 매 1분)마다 실시간으로 데이터를 수집 및 전처리(1320)할 수 있다. 일례로, 이상 탐지 시스템은 분당 수만 개와 같은 방대한 데이터를 수집하여 처리할 수 있다. 이때, 이상 탐지 시스템은 수집된 데이터를 CPU, 메모리, 로드(load), 프로세스 카운트(process count), 디스크 읽기(disk read), 디스크 쓰기(disk write), 네트워크 인(net in) 네트워크 아웃(net out) 등 다양한 메트릭들로 분류하여 각각의 메트릭별 시계열 데이터를 생성하여 수집된 데이터를 전처리할 수 있다.
또한, 이상 탐지 시스템은 이상 탐지를 위해 학습된 딥러닝 모델을 통해 실시간으로 전처리된 데이터에 대한 분석을 처리하여 이상 탐지(1330)를 처리할 수 있다. 이때, 이상 탐지 시스템은 멀티 메트릭에 대한 통합 점수로 이상 탐지 레벨을 설정할 수 있다.
또한, 이상 탐지 시스템은 이상 탐지(1330)의 결과를 시각화(1340)할 수 있으며, 필요 시 관리자에게 경고(또는 알람)를 제공(1350)할 수 있다.
이때, 처리된 데이터는 다시 딥러닝 모델에 적용할 수 있다. 다시 말해, 이상 탐지 시스템은 처리된 데이터를 더 이용하여 다시 모델을 생성(1360)할 수 있다. 수집 및 전처리(1320)된 데이터와 이상 탐지(1330)의 결과, 그리고 모델 생성(1360) 시에 설정된 손실 임계값 등이 데이터베이스(1370)에 저장될 수 있다.
따라서, 이상 탐지 시스템의 딥러닝 모델은 데이터로부터 배우고 데이터의 변화에 따라 자동으로 적응할 수 있다. 또한, 이상 탐지 시스템은 인프라 데이터의 특성에 맞게 딥러닝 모델을 구현할 수 있게 된다.
도 14 내지 도 17은 본 발명의 일실시예에 있어서, 사용량 증가 패턴을 탐지하는 예를 도시한 도면들이다. 도 14 및 도 15는 학습 패턴보다 사용량이 증가하여 이상을 탐지한 예를 나타내고 있다.
만약, 지속적인 학습을 통해 딥러닝 모델이 증가 추세를 학습하게 되는 경우, 딥러닝 모델은 도 16 및 도 17에 도시된 바와 같이 주간 사용 패턴을 적용하여 아웃오브밴드(out of band)로 이상을 탐지할 수 있게 된다.
이와 유사하게, 사용량의 감소를 통해 이상을 탐지하고, 지속적인 학습을 통해 감소 추세를 학습하여 일정 기간의 사용 패턴을 통해 아웃오브밴드로 이상을 탐지할 수 있음을 쉽게 이해할 수 있을 것이다.
한편, 앞서 도 9 내지 도 12에서는 신뢰대역(920, 930, 1020, 1030)에 대해 이미 설명하였으며, 이러한 신뢰대역(920, 930, 1020, 1030)을 벗어나는 패턴이 이상패턴으로서 탐지될 수 있다. 이때, 신뢰대역(920, 930, 1020, 1030)은 값(910, 1010)을 기준으로 값(910, 1010)보다 큰 값에 대한 제1 신뢰대역(920, 1020)과 값(910, 1010)보다 작은 값에 대한 제2 신뢰대역(930, 1030)을 포함할 수 있음을 설명한 바 있다. 실시예에 따라서는 옵션을 통해 제1 신뢰대역(920, 1020) 및 제2 신뢰대역(930, 1030) 중 어느 하나만을 이상 탐지에 활용하도록 설정할 수도 있다. 다시 말해, 특정 값이나 값의 패턴이 제1 신뢰대역(920, 1020)을 넘어선 경우에만 이상을 탐지하도록 설정하거나 역으로 특정 값이나 값의 패턴이 제2 신뢰대역(930, 1030) 아래로 내려간 경우에만 이상을 탐지하도록 설정할 수 있다.
또한, 도 14 내지 도 17에서와 같이 하나의 메트릭 데이터를 통해서도 이상의 탐지가 가능하나, 인스턴스 내의 복수의 메트릭 데이터들 각각에 대한 이상 탐지 결과들의 조합을 통해 이상을 탐지할 수도 있다. 일례로, 각 메트릭 데이터에 대해 탐지된 점수들간의 합산(또는 가중합)을 통해 이상 탐지 결과들이 조합될 수 있으며, 합산(또는 가중합)된 점수를 이용하여 인프라에 대한 이상을 탐지할 수도 있다. 또한, 다수의 메트릭에서 동시에 이상이 탐지되는 경우, 해당 인프라에 대한 장애 의심 패턴을 가려낼 수도 있다. 이러한 합산(또는 가중합)된 점수나 장애 의심 패턴은 경고 등을 생성 시에 고려될 수 있다.
도 18은 본 발명의 일실시예에 있어서, 고정 임계값을 사용하여 이상을 탐지하는 예를 도시한 도면이다. 도 18의 그래프에서는 CPU 사용량이 90%(고정 임계값) 이상인 값들에 대해 이상을 탐지하는 예를 나타내고 있다.
도 19는 본 발명의 일실시예에 있어서, 패턴 변경시에 이상을 탐지하는 예를 도시한 도면이다. 도 19의 그래프에서는 데이터의 값의 패턴이 반복되는 경우에는 이상을 탐지하지 않고, 패턴이 변경되는 경우에 이상을 탐지하는 예를 나타내고 있다.
도 20 및 도 21은 본 발명의 일실시예에 따른 이상 탐지 방법의 예를 도시한 흐름도들이다. 본 실시예에 따른 이상 탐지 방법은 앞서 설명한 이상 탐지 시스템을 구현하는 컴퓨터 장치(100)에 의해 수행될 수 있다. 이때, 컴퓨터 장치(100)의 프로세서(120)는 메모리(110)가 포함하는 운영체제의 코드나 적어도 하나의 컴퓨터 프로그램의 코드에 따른 제어 명령(instruction)을 실행하도록 구현될 수 있다. 여기서, 프로세서(120)는 컴퓨터 장치(100)에 저장된 코드가 제공하는 제어 명령에 따라 컴퓨터 장치(100)가 도 20의 방법이 포함하는 단계들(2010 내지 2070)을 수행하도록 컴퓨터 장치(200)를 제어할 수 있다. 도 21의 단계들(2021 내지 2024)는 단계(2020)에 포함되어 수행될 수 있다.
단계(2010)에서 컴퓨터 장치(100)는 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리할 수 있다. 일례로, 컴퓨터 장치(100)는 매 분마다 시계열 데이터를 수집하여 전처리할 수 있으나 이에 한정되는 것은 아니다. 또한, 시계열 데이터는 복수의 서버군의 인프라에 대한 시계열 데이터를 포함할 수 있으나 이에 한정되는 것은 아니다.
단계(2020)에서 컴퓨터 장치(100)는 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지할 수 있다. 이때, 딥러닝 모델은 비지도 학습 방식 중 컨볼루셔널 오토인코더(Conv-AutoEncoder)를 사용하여 구현될 수 있다.
일실시예에서 단계(2020)는 도 21의 단계(2021) 및 단계(2022)를 포함할 수 있다.
단계(2021)에서 컴퓨터 장치(100)는 Z 점수(Z score)를 이용하여 상기 전처리된 시계열 데이터의 이상치를 검출하고 노이즈를 제거할 수 있다. 이미 설명한 바와 같이, Z 점수는 표준 정상 분포에서 확률변수 X의 평균이 μ이고 표준편차가 σ일 때 확률변수 X가 평균 μ에서 표준편차 몇 배 거리만큼 떨어져 있는가를 나타낼 수 있으며, 측정의 단위로 표준편차를 사용하여 해당분포의 평균과 관련된 점수의 위치를 나타내기 때문에 서로 다른 분포로부터 나온 값들을 비교 가능토록 해주는 역할을 할 수 있기 때문에 이전 탐지주기의 시계열 데이터의 분포를 통해 현재 탐지주기의 시계열 데이터의 분포에서 이상치를 검출하고, 노이즈를 제거하는데 활용될 수 있다.
단계(2022)에서 컴퓨터 장치(100)는 6시그마(6sigma)를 기준으로 설정된 손실 임계값을 이용하여 전처리된 시계열 데이터의 이상을 탐지할 수 있다. 6시그마는 이상이 발생할 확률이 거의 없다는 의미가 될 수 있으며, 이러한 6시그마를 기준으로 그 이내에서 손실 임계값이 자동으로 설정될 수 있다. 일례로, 시그마 단위(표준편차 단위)로 손실 임계값이 설정될 수 있다. 이 경우 컴퓨터 장치(100)는 설정된 손실 임계값을 이용하여 전처리된 시계열 데이터의 이상을 탐지할 수 있다.
실시예에 따라 컴퓨터 장치(100)는 단계(2022)에서 6시그마를 기준으로 복수 레벨의 손실 임계값들을 설정할 수도 있다. 일례로, 앞서 도 7에서는 제1 점선(830)과 제2 점선(840)으로 나타난 손실 임계값에 따라 이상치에 대해 크리티컬(Critical)과 워닝(Warning)과 같은 레벨이 부여되는 예를 설명한 바 있다.
다른 실시예에서 단계(2020)는 도 21의 단계(2023) 및 단계(2024)를 포함할 수 있다.
단계(2023)에서 컴퓨터 장치(100)는 정규분포 기반의 3시그마 규칙을 이용하여 상기 현재 탐지주기에 전처리된 시계열 데이터를 위한 신뢰대역을 생성할 수 있다.
단계(2024)에서 컴퓨터 장치(100)는 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지할 수 있다. 이러한 신뢰대역의 생성 및 활용에 대해서는 앞서 도 9 내지 도 12 등을 통해 자세히 설명한 바 있다. 이러한 신뢰대역의 생성 및 활용은 딥러닝 모델의 지속적인 학습을 통해 추세(패턴)의 학습이 이루어진 이후에 이루어질 수 있다.
또한, 실시예에 따라 신뢰대역은 시계열 데이터의 임의의 시점에서의 값보다 큰 값들로 이루어진 제1 신뢰대역 및 시계열 데이터의 임의의 시점에서의 값보다 작은 값들로 이루어진 제2 신뢰대역을 포함할 수 있다. 이 경우, 컴퓨터 장치(100)는 단계(2024)에서 제1 신뢰대역 및 제2 신뢰대역 중에서 설정된 하나의 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 설정할 수도 있다.
또한, 실시예에 따라 컴퓨터 장치(100)는 단계(2023)에서 현재 탐지주기에 전처리된 시계열 데이터의 표준편차의 단위로 신뢰대역의 폭을 조정할 수 있다. 일례로, 신뢰대역의 폭이 [Confidence band width = band_width * std(표준편차)]와 같이 표준편차의 단위로 조정될 수 있음을 이미 설명한 바 있다.
단계(2030)에서 컴퓨터 장치(100)는 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 딥러닝 모델을 재학습할 수 있다. 이처럼 딥러닝 모델은 신뢰할 수 있는 규칙을 만들거나 누군가가 명확한 정답을 정의하기 어려운 이상 탐지 학습에서 비지도 학습 방식으로 데이터로부터 학습이 이루어질 수 있으며, 데이터의 변화에 자동으로 적응할 수 있게 된다.
단계(2040)에서 컴퓨터 장치(100)는 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 재학습된 딥러닝 모델을 이용하여 탐지할 수 있다. 이때, 학습주기는 탐지주기와 동일하거나 또는 탐지주기보다 크게 설정될 수 있다. 실시예에 따라 학습주기는 탐지주기의 n(n은 자연수)배가 되도록 설정될 수 있다. 이 경우, 학습주기마다 이전 학습주기에 대응하는 탐지주기(들)에 수집 및 전처리된 시계열 데이터를 이용하여 딥러닝 모델이 재학습됨으로써, 지속적인 학습과 동시에 이상 탐지가 가능해진다.
단계(2050)에서 컴퓨터 장치(100)는 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상 탐지 결과를 시각화할 수 있다. 앞서 도 13에서는 이상 탐지 결과가 시각화(1340)될 수 있음을 이미 설명한 바 있다. 이때, 도 7, 도 9 내지 도 12, 도 14 내지 도 19의 그래프들이 시각화된 이상 탐지 결과의 예시들일 수 있다.
단계(2060)에서 컴퓨터 장치(100)는 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상의 탐지에 대한 경고를 제공할 수 있다. 앞서 도 13에서는 이상 탐지에 따른 경고(또는 알람)가 제공(1350)될 수 있음을 이미 설명한 바 있다. 일례로, 경고(또는 알람)은 컴퓨터 장치(100)를 이용하여 구현된 이상 탐지 시스템의 관리자에게 제공될 수 있다.
단계(2070)에서 컴퓨터 장치(100)는 현재 탐지주기에 전처리된 시계열 데이터, 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상 탐지 결과 및 재학습된 딥러닝 모델에 대해 6시그마를 기준으로 설정된 손실 임계값 중 적어도 하나를 데이터베이스에 저장할 수 있다. 데이터베이스에 저장된 데이터는 딥러닝 모델의 학습용 과거 데이터로서 활용될 수 있다. 이 경우, 딥러닝 모델은 앞서 설명한 바와 같이, 현재 탐지주기에 전처리된 시계열 데이터를 활용할 수 있을 뿐만 아니라, 이상 탐지 결과와 손실 임계값을 더 활용하여 재학습될 수 있다.
한편, 도 20에서는 하나의 메트릭의 시계열 데이터에 대해서만 설명하였으나, 서로 다른 복수의 메트릭 각각의 시계열 데이터가 존재할 수 있다. 이때, 컴퓨터 장치(100)는 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 상기 딥러닝 모델을 공통적으로 적용하기 위해, 상기 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 변동계수(coefficient of variance)를 반영할 수 있다.
이 경우, 일례로 컴퓨터 장치(100)는 단계(2020)에서 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 계산된 점수의 합산 또는 가중합을 통해 이상 탐지 결과를 조합할 수도 있다. 조합된 이상 탐지 결과는 인프라의 장애 의심 패턴을 가려내기 위해 사용되거나 또는 알람의 생성 여부를 결정하기 위해 사용될 수 있다.
이와 같이, 본 발명의 실시예들에 따르면, 과거 정상 데이터를 기반으로 하여 딥러닝 모델 생성할 수 있다. 또한, 자동화된 기준선을 생성하여 이상치를 탐지할 수 있다. 또한, 기설정된 탐지주기 패턴을 통계적으로 모델링할 수 있다. 또한, 대량의 데이터에 대한 실시간으로 이상을 탐지할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (20)

  1. 적어도 하나의 프로세서를 포함하는 컴퓨터 장치의 이상 탐지 방법에 있어서,
    상기 적어도 하나의 프로세서에 의해, 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하는 단계;
    상기 적어도 하나의 프로세서에 의해, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계;
    상기 적어도 하나의 프로세서에 의해, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하는 단계; 및
    상기 적어도 하나의 프로세서에 의해, 상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하는 단계
    를 포함하고,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는,
    Z 점수(Z score)를 이용하여 상기 전처리된 시계열 데이터의 이상치를 검출하고 노이즈를 제거하는 단계
    를 포함하는 것을 특징으로 하는 이상 탐지 방법.
  2. 제1항에 있어서,
    상기 딥러닝 모델은 상기 비지도 학습 방식 중 컨볼루셔널 오토인코더(Conv-AutoEncoder)를 사용하여 구현되는 것을 특징으로 하는 이상 탐지 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는,
    6시그마(6sigma)를 기준으로 설정된 손실 임계값을 이용하여 상기 전처리된 시계열 데이터의 이상을 탐지하는 단계
    를 포함하는 것을 특징으로 하는 이상 탐지 방법.
  5. 적어도 하나의 프로세서를 포함하는 컴퓨터 장치의 이상 탐지 방법에 있어서,
    상기 적어도 하나의 프로세서에 의해, 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하는 단계;
    상기 적어도 하나의 프로세서에 의해, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계;
    상기 적어도 하나의 프로세서에 의해, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하는 단계; 및
    상기 적어도 하나의 프로세서에 의해, 상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하는 단계
    를 포함하고,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는,
    정규분포 기반의 3시그마 규칙(3sigma rule)을 이용하여 상기 현재 탐지주기에 전처리된 시계열 데이터를 위한 신뢰대역을 생성하는 단계; 및
    상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하는 단계
    를 포함하고,
    상기 신뢰대역은 상기 시계열 데이터의 임의의 시점에서의 값보다 큰 값들로 이루어진 제1 신뢰대역 및 상기 시계열 데이터의 임의의 시점에서의 값보다 작은 값들로 이루어진 제2 신뢰대역을 포함하고,
    상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하는 단계는,
    상기 제1 신뢰대역 및 상기 제2 신뢰대역 중에서 설정된 하나의 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 설정하는 것을 특징으로 하는 이상 탐지 방법.
  6. 삭제
  7. 제5항에 있어서,
    상기 신뢰대역을 생성하는 단계는,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 표준편차의 단위로 상기 신뢰대역의 폭을 조정하는 단계
    를 포함하는 것을 특징으로 하는 이상 탐지 방법.
  8. 적어도 하나의 프로세서를 포함하는 컴퓨터 장치의 이상 탐지 방법에 있어서,
    상기 적어도 하나의 프로세서에 의해, 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하는 단계;
    상기 적어도 하나의 프로세서에 의해, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계;
    상기 적어도 하나의 프로세서에 의해, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하는 단계; 및
    상기 적어도 하나의 프로세서에 의해, 상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하는 단계
    를 포함하고,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는,
    정규분포 기반의 3시그마 규칙(3sigma rule)을 이용하여 상기 현재 탐지주기에 전처리된 시계열 데이터를 위한 신뢰대역을 생성하는 단계; 및
    상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하는 단계
    를 포함하고,
    상기 적어도 하나의 프로세서에 의해, 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 상기 딥러닝 모델을 공통적으로 적용하기 위해, 상기 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 변동계수(coefficient of variance)를 반영하는 단계
    를 더 포함하는 이상 탐지 방법.
  9. 제8항에 있어서,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계는,
    상기 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 계산된 점수의 합산 또는 가중합을 통해 이상 탐지 결과를 조합하는 단계
    를 포함하는 것을 특징으로 하는 이상 탐지 방법.
  10. 제1항에 있어서,
    상기 적어도 하나의 프로세서에 의해, 상기 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상 탐지 결과를 시각화하는 단계
    를 더 포함하는 이상 탐지 방법.
  11. 제1항에 있어서,
    상기 적어도 하나의 프로세서에 의해, 상기 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상의 탐지에 대한 경고를 제공하는 단계
    를 더 포함하는 이상 탐지 방법.
  12. 적어도 하나의 프로세서를 포함하는 컴퓨터 장치의 이상 탐지 방법에 있어서,
    상기 적어도 하나의 프로세서에 의해, 기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하는 단계;
    상기 적어도 하나의 프로세서에 의해, 이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하는 단계;
    상기 적어도 하나의 프로세서에 의해, 현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하는 단계; 및
    상기 적어도 하나의 프로세서에 의해, 상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하는 단계
    를 포함하고,
    상기 적어도 하나의 프로세서에 의해, 상기 현재 탐지주기에 전처리된 시계열 데이터, 상기 현재 탐지주기에 전처리된 시계열 데이터에 대한 이상 탐지 결과 및 상기 재학습된 딥러닝 모델에 대해 6시그마를 기준으로 설정된 손실 임계값 중 적어도 하나를 데이터베이스에 저장하는 단계
    를 더 포함하는 이상 탐지 방법.
  13. 컴퓨터 장치와 결합되어 제1항, 제2항, 제4항, 제5항 또는 제7항 내지 제12항 중 어느 한 항의 방법을 컴퓨터 장치에 실행시키기 위해 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
  14. 제1항, 제2항, 제4항, 제5항 또는 제7항 내지 제12항 중 어느 한 항의 방법을 컴퓨터 장치에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터 판독 가능한 기록매체.
  15. 컴퓨터 장치에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서
    를 포함하고,
    상기 적어도 하나의 프로세서에 의해,
    기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하고,
    이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하고,
    현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하고,
    상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하고,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하기 위해, 상기 적어도 하나의 프로세서에 의해,
    Z 점수(Z score)를 이용하여 상기 전처리된 시계열 데이터의 이상치를 검출하고 노이즈를 제거하는 것
    을 특징으로 하는 컴퓨터 장치.
  16. 제15항에 있어서,
    상기 딥러닝 모델은 상기 비지도 학습 방식 중 컨볼루셔널 오토인코더(Conv-AutoEncoder)를 사용하여 구현되는 것
    을 특징으로 하는 컴퓨터 장치.
  17. 제15항에 있어서,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하기 위해, 상기 적어도 하나의 프로세서에 의해,
    6시그마(6sigma)를 기준으로 설정된 손실 임계값을 이용하여 상기 전처리된 시계열 데이터의 이상을 탐지하는 것
    을 특징으로 하는 컴퓨터 장치.
  18. 컴퓨터 장치에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서
    를 포함하고,
    상기 적어도 하나의 프로세서에 의해,
    기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하고,
    이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하고,
    현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하고,
    상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하고,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하기 위해, 상기 적어도 하나의 프로세서에 의해,
    정규분포 기반의 3시그마 규칙(3sigma rule)을 이용하여 상기 현재 탐지주기에 전처리된 시계열 데이터를 위한 신뢰대역을 생성하고,
    상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하고,
    상기 신뢰대역은 상기 시계열 데이터의 임의의 시점에서의 값보다 큰 값들로 이루어진 제1 신뢰대역 및 상기 시계열 데이터의 임의의 시점에서의 값보다 작은 값들로 이루어진 제2 신뢰대역을 포함하고,
    상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하기 위해, 상기 적어도 하나의 프로세서에 의해,
    상기 제1 신뢰대역 및 상기 제2 신뢰대역 중에서 설정된 하나의 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 설정하는 것
    을 특징으로 하는 컴퓨터 장치.
  19. 삭제
  20. 컴퓨터 장치에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서
    를 포함하고,
    상기 적어도 하나의 프로세서에 의해,
    기설정된 탐지주기마다 시계열 데이터를 수집 및 전처리하고,
    이전 탐지주기의 시계열 데이터의 특징을 이용한 비지도 학습(Unsupervised Learning) 방식으로 학습된 딥러닝 모델을 이용하여 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하고,
    현재 학습주기 동안 전처리된 시계열 데이터를 더 이용하여 상기 딥러닝 모델을 재학습하고,
    상기 현재 학습주기 이후의 탐지주기에 수집 및 전처리된 시계열 데이터의 이상을 상기 재학습된 딥러닝 모델을 이용하여 탐지하고,
    상기 현재 탐지주기에 전처리된 시계열 데이터의 이상을 탐지하기 위해, 상기 적어도 하나의 프로세서에 의해,
    정규분포 기반의 3시그마 규칙(3sigma rule)을 이용하여 상기 현재 탐지주기에 전처리된 시계열 데이터를 위한 신뢰대역을 생성하고,
    상기 신뢰대역을 벗어나는 데이터 또는 데이터의 패턴을 이상치로서 탐지하고,
    상기 적어도 하나의 프로세서에 의해,
    서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 상기 딥러닝 모델을 공통적으로 적용하기 위해, 상기 서로 다른 복수의 메트릭 각각의 시계열 데이터에 대해 변동계수(coefficient of variance)를 반영하는 것
    을 특징으로 하는 컴퓨터 장치.
KR1020210061509A 2021-05-12 2021-05-12 시계열 기반 이상 탐지 방법 및 시스템 KR102525187B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020210061509A KR102525187B1 (ko) 2021-05-12 2021-05-12 시계열 기반 이상 탐지 방법 및 시스템
US17/662,933 US11973672B2 (en) 2021-05-12 2022-05-11 Method and system for anomaly detection based on time series
JP2022077887A JP7427047B2 (ja) 2021-05-12 2022-05-11 時系列基盤の異常探知方法およびコンピュータ装置
KR1020230051484A KR20230057327A (ko) 2021-05-12 2023-04-19 시계열 기반 이상 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210061509A KR102525187B1 (ko) 2021-05-12 2021-05-12 시계열 기반 이상 탐지 방법 및 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020230051484A Division KR20230057327A (ko) 2021-05-12 2023-04-19 시계열 기반 이상 탐지 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20220153914A KR20220153914A (ko) 2022-11-21
KR102525187B1 true KR102525187B1 (ko) 2023-04-24

Family

ID=83999056

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210061509A KR102525187B1 (ko) 2021-05-12 2021-05-12 시계열 기반 이상 탐지 방법 및 시스템
KR1020230051484A KR20230057327A (ko) 2021-05-12 2023-04-19 시계열 기반 이상 탐지 방법 및 시스템

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020230051484A KR20230057327A (ko) 2021-05-12 2023-04-19 시계열 기반 이상 탐지 방법 및 시스템

Country Status (3)

Country Link
US (1) US11973672B2 (ko)
JP (1) JP7427047B2 (ko)
KR (2) KR102525187B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102614798B1 (ko) 2022-12-29 2023-12-15 전남대학교산학협력단 시계열 기반 전력 데이터의 이상 탐지 방법 및 이를 위한 장치
US11831525B1 (en) * 2023-03-28 2023-11-28 Sap Se Anomaly detection using unsupervised learning and surrogate data sets

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070018880A (ko) * 2004-02-06 2007-02-14 테스트 어드밴티지 인코포레이티드 데이터 분석을 위한 방법 및 장치
EP2998894B1 (en) * 2005-07-11 2021-09-08 Brooks Automation, Inc. Intelligent condition monitoring and fault diagnostic system
US8676964B2 (en) * 2008-07-31 2014-03-18 Riverbed Technology, Inc. Detecting outliers in network traffic time series
US9652354B2 (en) * 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US11023818B2 (en) 2016-06-23 2021-06-01 3M Innovative Properties Company Personal protective equipment system having analytics engine with integrated monitoring, alerting, and predictive safety event avoidance
JP6661559B2 (ja) 2017-02-03 2020-03-11 株式会社東芝 異常検出装置、異常検出方法およびプログラム
KR102526103B1 (ko) 2017-10-16 2023-04-26 일루미나, 인코포레이티드 심층 학습 기반 스플라이스 부위 분류
JP6950504B2 (ja) 2017-12-08 2021-10-13 富士通株式会社 異常候補抽出プログラム、異常候補抽出方法および異常候補抽出装置
KR102501884B1 (ko) * 2018-07-06 2023-02-21 에임시스템 주식회사 기계 학습 기반의 설비 이상 진단 시스템 및 방법
US20200097810A1 (en) * 2018-09-25 2020-03-26 Oracle International Corporation Automated window based feature generation for time-series forecasting and anomaly detection
KR102600745B1 (ko) * 2018-11-14 2023-11-10 주식회사 디플리 신경망 분석 기반의 소리 분류용 이상 탐지 방법
KR102185190B1 (ko) 2018-12-12 2020-12-01 한국전자통신연구원 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
US20200342304A1 (en) 2019-04-25 2020-10-29 International Business Machines Corporation Feature importance identification in deep learning models
US20210209486A1 (en) * 2020-01-08 2021-07-08 Intuit Inc. System and method for anomaly detection for time series data

Also Published As

Publication number Publication date
KR20230057327A (ko) 2023-04-28
KR20220153914A (ko) 2022-11-21
US11973672B2 (en) 2024-04-30
JP7427047B2 (ja) 2024-02-02
JP2022176136A (ja) 2022-11-25
US20220368614A1 (en) 2022-11-17

Similar Documents

Publication Publication Date Title
JP7069269B2 (ja) デジタル・ツイン・シミュレーション・データを利用した時系列データに基づく、大規模な産業用監視システム向けの半教師あり深層異常検出のための方法およびシステム
Zhang et al. LSTM-based analysis of industrial IoT equipment
KR20230057327A (ko) 시계열 기반 이상 탐지 방법 및 시스템
US11294754B2 (en) System and method for contextual event sequence analysis
EP3979080A1 (en) Methods and systems for predicting time of server failure using server logs and time-series data
Guan et al. Ensemble of Bayesian predictors and decision trees for proactive failure management in cloud computing systems.
CN111914873A (zh) 一种两阶段云服务器无监督异常预测方法
JP2021524954A (ja) 異常検知
KR102079359B1 (ko) 개선된 sax 기법 및 rtc 기법을 이용한 공정 모니터링 장치 및 방법
KR102359090B1 (ko) 실시간 기업정보시스템 이상행위 탐지 서비스를 제공하는 방법과 시스템
CN115836283A (zh) 制造过程决策支持的模型保真度监测和重新生成
KR101960755B1 (ko) 미취득 전력 데이터 생성 방법 및 장치
Ruan et al. Deep learning-based fault prediction in wireless sensor network embedded cyber-physical systems for industrial processes
KR102622895B1 (ko) 지도 학습 모델 및 비지도 학습 모델의 앙상블 구조를 이용한 대기질 데이터의 이상 판정 방법 및 시스템
CN117114454B (zh) 一种基于Apriori算法的直流套管状态评估方法及系统
CN117094184B (zh) 基于内网平台的风险预测模型的建模方法、系统及介质
CN110770753B (zh) 高维数据实时分析的装置和方法
KR20210126378A (ko) 슬라이딩 윈도우 기법을 이용한 제조설비의 실시간 다변량 이상감지 시스템
CN115766513A (zh) 一种异常检测方法和装置
CN116340872A (zh) 一种基于重构和预测联合确定异常的方法
Ruiz-Arenas et al. Systematic exploration of signal-based indicators for failure diagnosis in the context of cyber-physical systems
CN113377630B (zh) 一种通用的kpi异常检测框架实现方法
CN110874601A (zh) 识别设备运行状态的方法、状态识别模型训练方法及装置
KR20230027535A (ko) 공정 이상 예측 방법 및 장치
KR20230015648A (ko) Graph autoencoder를 활용한 자동화 설비 동작 시퀀스 이상 감지 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant