CN106104497B - 信息处理装置和异常检测方法 - Google Patents
信息处理装置和异常检测方法 Download PDFInfo
- Publication number
- CN106104497B CN106104497B CN201580015248.8A CN201580015248A CN106104497B CN 106104497 B CN106104497 B CN 106104497B CN 201580015248 A CN201580015248 A CN 201580015248A CN 106104497 B CN106104497 B CN 106104497B
- Authority
- CN
- China
- Prior art keywords
- state diagram
- information
- relationship
- exception
- normal model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/079—Root cause analysis, i.e. error or fault diagnosis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0718—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in an object-oriented system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0772—Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0787—Storage of error reports, e.g. persistent data storage, storage using memory protection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3017—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is implementing multitasking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
- G06F11/3079—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by reporting only the changes of the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3086—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves the use of self describing data formats, i.e. metadata, markup languages, human readable formats
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3447—Performance evaluation by modeling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/81—Threshold
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Library & Information Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种提高系统异常的检测能力的信息处理装置。该信息处理装置包括:用于基于表示系统中所包括的多个要素之间的关系的变化的关系变化信息来生成状态图的部件,所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;用于基于所述关系变化信息来生成正常模型的部件,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;以及用于基于所述状态图和所述正常模型来检测系统异常并且输出表示所检测到的异常的异常信息的部件。
Description
技术领域
本发明涉及用于检测系统异常的技术。
背景技术
已知有用以检测系统异常的各种现有技术。
例如,专利文献1公开了进程监视装置。专利文献1中所公开的该进程监视装置按以下方式进行工作。
首先,进程监视装置基于进程的静态属性来提取需要注意进程。静态属性的示例包括进程名称、用于实现进程的程序的制造商名称、程序(软件)名称、版本、启动进程的父进程的名称、以及进程大小。进程监视装置在当前静态属性与过去的静态属性不同的情况下提取相关进程作为需要注意进程。进程监视装置在过去的静态属性不可用的情况下提取相关进程作为需要注意进程。进程监视装置在父进程不可识别的情况下提取相关进程作为需要注意进程。进程监视装置在外部进程用作父进程的情况下提取相关进程作为需要注意进程。
其次,进程监视装置基于动态属性来针对需要注意进程发出警报。动态属性的示例包括动态专用存储器字节数、动态共享存储器字节数、重定向器发送、接收流量速率和硬盘访问速率。在可以通过使用任何统计方法来区分过去的动态属性和当前动态属性的情况下,进程监视装置例如针对相关的需要注意进程生成警告或者将相关的需要注意进程登记为要监视的进程。
再次,进程监视装置提取与需要注意进程具有预定相关性的关联进程并且将该关联进程确定为要监视的进程。具有预定相关性的进程的示例包括具有明确父子关系的进程、以及尽管不具有明确父子关系但在要监视的进程进行工作的情况下始终启动的进程。
专利文献2公开了与安全应用程序中的云计算的使用相关联的技术。专利文献2中所公开的系统按以下方式进行工作。
首先,系统监视客户端的流量。
其次,系统将所监视到的流量与同客户端的工作模式相对应的预测流量模式进行比较。
再次,系统基于比较结果来判断是否发现了安全威胁。
现有技术文献
专利文献
专利文献1:日本特开2008-021274
专利文献2:日本特表2012-523159
发明内容
发明要解决的问题
然而,在上述的现有技术文献所公开的技术中,仅检测个别的要素单位的异常或者由于预定义的攻击模式所引起的异常。换句话说,例如难以检测由于针对计算机系统的未知目标类型的攻击而引起的异常。
这是因为,专利文献1中所公开的技术仅用于基于个别进程的预定义的静态和动态属性来检测异常。专利文献1中所公开的技术在相关进程提取方面仅考虑到父子关系和启动之间的同步性。
专利文献2中所公开的技术仅用于基于预测流量模式来检测客户端的流量的异常。
本发明的目的是提供用以解决上述问题的信息处理装置、监视方法及其程序或用于记录程序的非瞬态计算机可读记录介质。
用于解决问题的方案
根据本发明的一方面的信息处理装置,包括:绘图部,用于基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;正常模型生成部,用于基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;以及异常检测部,用于基于所述状态图和所述正常模型来检测与所述系统相关联的异常,并且输出表示所检测到的所述异常的第一异常信息。
根据本发明的一方面的异常检测方法,包括以下步骤:基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;基于所述状态图和所述正常模型来检测与所述系统相关联的异常;以及输出表示所检测到的所述异常的异常信息。
根据本发明的一方面的非瞬态计算机可读记录介质记录用于使计算机执行以下处理的程序:基于时间序列来获得表示系统中所包括的多个要素之间的关系的变化的关系变化信息,并且基于所述关系变化信息来生成状态图,其中所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合;基于所述状态图和所述正常模型来检测与所述系统相关联的异常;以及输出表示所检测到的所述异常的异常信息。
发明的效果
本发明可以提高系统异常的检测能力。
附图说明
图1是示出根据本发明的第一实施例的信息处理装置的结构的框图。
图2是示出根据第一实施例的包括信息处理装置和要监视的系统的信息处理系统的结构的框图。
图3是示出第一实施例中的示例性关系变化信息的图。
图4是示出第一实施例中的示例性状态图的图。
图5是示出第一实施例中的状态图所表示的要素之间的关系的概念图。
图6是示出第一实施例中的示例性正常模型的图。
图7是示出第一实施例中的示例性异常信息的图。
图8是示出实现根据第一实施例的信息处理装置的计算机的硬件结构的框图。
图9是示出第一实施例中的信息处理装置的操作的流程图。
图10是示出第一实施例中的信息处理装置的操作的流程图。
图11是示出第一实施例中的示例性关系变化信息的图。
图12是示出第一实施例中的另一示例性状态图的图。
图13是示出根据本发明的第二实施例的信息处理装置的结构的框图。
图14是示出第二实施例中的示例性异常信息的图。
图15是示出根据本发明的第三实施例的信息处理装置的结构的框图。
图16是示出第三实施例中的示例性异常信息的图。
图17是示出根据本发明的第四实施例的信息处理装置的结构的框图。
图18是示出第四实施例中的示例性异常信息的图。
图19是示出第四实施例中的另一示例性异常信息的图。
图20是示出根据本发明的第五实施例的信息处理装置的结构的框图。
具体实施方式
以下将参考附图来详细说明本发明的实施例。在本说明书所述的各附图和各实施例中,相同的附图标记表示相同的构成要素,并且将适当地省略对相同的构成要素的说明。
第一实施例
图1是示出根据本发明的第一实施例的信息处理装置100的结构的框图。
如图1所示,根据本实施例的信息处理装置100包括绘图部110、正常模型生成部120和异常检测部130。可以针对硬件单位的电路或计算机装置的功能单位来划分图1所示的构成要素。这里假定要针对计算机装置的功能单位来划分图1所示的构成要素。
图2是示出包括信息处理装置100、要监视的系统(以下还简称为“系统”)900和关系变化监视部件930的信息处理系统的结构的框图。
要监视的系统900
要监视的系统900包括多个要素920。各要素920具有与其它各要素920的特定关系。
例如,要监视的系统900是包括经由网络彼此连接的多个主机(未示出)并且在这些主机上启动进程(未示出)的信息处理系统。
要监视的系统900可以是社交网络。
要监视的系统900可以是具有特定构造的数据项(要素920)的集合。具有特定构造的数据项的集合的示例包括具有超文本链接和超文本链接对象之间的关系的文件的集合。
要监视的系统900可以是与上述的示例无关的任何系统。
关系变化监视部件930
关系变化监视部件930监视要监视的系统900中所包括的要素920之间的关系的变化。关系变化监视部件930将所检测到的关系的变化作为关系变化信息810发送至信息处理装置100。关系变化监视部件930可以包括在要监视的系统900中。
在要监视的系统900是信息处理系统的情况下,关系变化监视部件930例如可以是主机上所运行的代理。例如,代理监视主机上的启动的进程的行为并且将进程事件日志发送至信息处理装置100。
在要监视的系统900是社交网络的情况下,关系变化监视部件930可以例如用作邮件服务器上所运行的邮件监视代理。这里,社交网络是指SNS(Social NetworkingService,社交网络服务)所构建的网络。例如,邮件监视代理监视用户之间所交换的邮件消息,并且将邮件发送和接收日志发送至信息处理装置100。可选地,关系变化监视部件930可以是SNS服务器上所运行的代理。该代理例如监视SNS中的好友请求信息(消息信息)以及好友之间的联系(用户连接信息/联系数量的增加)及其变化。
在要监视的系统900是网页的集合的情况下,关系变化监视部件930例如可以是web服务器上所运行的代理。例如,该代理监视网页的创建和删除以及网页之间的超文本链接关系的变化,并且将表示这些变化的详情的事件日志发送至信息处理装置100。
关系变化监视部件930可以与上述的示例无关地监视任意系统中的任意要素920之间的关系的变化,并且将任意关系变化信息810发送至信息处理装置100。
信息处理装置100和关系变化监视部件930经由网络(未示出)彼此连接。用于监视相同或不同的要监视的系统900的多个关系变化监视部件930可以连接至信息处理装置100而不限于图2所示的示例。
信息处理装置100的绘图部110
绘图部110基于时间序列例如从关系变化监视部件930获取要监视的系统900的关系变化信息810。绘图部110基于所获得的关系变化信息810生成状态图820,并且将状态图820输出至异常检测部130。
关系变化信息810
关系变化信息810是表示要监视的系统900中所包括的要素920之间的关系的变化的信息。更具体地,关系变化信息810如上所述包括从各种关系变化监视部件930发送来的信息。
图3是示出作为关系变化信息810的具体示例的示例性关系变化信息811的图。图3所示的关系变化信息811表示“要素920“E2”和要素920“E3”之间发生了类型为“L2”的关系”的事件。注意,“E2”和“E3”是要素920的标识符。例如,要素920“E2”表示要素920具有标识符“E2”。此外,“L2”是要素920之间的关系的类型的标识符。例如,类型“L2”表示要素920之间的关系的类型具有标识符“L2”。
状态图820
状态图820具有各要素920作为该状态图820的顶点(也称为节或节点),并且具有要素920之间的关系作为该状态图820的边(也称为链、边或分支)。状态图820表示要监视的系统900中的要素920之间的关系。这里,该关系的示例包括“在特定时间段期间在要素之间传输数据”的数据传输关系以及“可以在特定时刻(或者在特定时间段期间)在要素之间发生数据传输”的数据传输关系。
图4是示出作为状态图820的具体示例的状态图821的图。如图4所示,状态图821由包括顶点标识符和边的记录所定义。顶点标识符是形成顶点的要素920的标识符。边是表示各顶点标识符所指定的顶点(要素920)和其它顶点(要素920)之间的关系的信息。
例如,顶点标识符“E1”指定标识符为“E1”的要素920。与顶点标识符“E1”相对应的边“E2;L0,E3;L1;L1”表示以下信息。首先,要素920“E1”具有以要素920“E2”形成且具有属性“L0”的边。其次,要素920“E1”具有以要素920“E3”形成且均具有属性“L1”的两个边。
例如,在顶点标识符为“E4”的记录中,边(Side)栏是空白的,这表示要素920“E4”不具有以任何其余的要素920形成的边。
边例如表示具有该边的要素920已完成针对通信的准备。边的属性例如表示该边上所进行的通信的协议的类型。例如可以以表示要素920之间的关系而不限于上述的示例的任何形式来定义边和边的属性(例如,类型)。
例如,基于图3所示的关系变化信息811来定义顶点标识符为“E2”的记录中的边“E3;L2”和顶点标识符为“E3”的记录中的边“E2;L2”。
状态图820可以采用任何形式而不限于上述的示例。
状态图820所表示的要素920之间的关系
图5是示出状态图821所表示的要素920之间的关系的概念图。
参考图5,以圆圈来表示顶点并且在圆圈内标记顶点标识符。通过使圆圈彼此连接的线段来表示边。例如,实线段表示类型为“L0”的边。交替的一长一短的虚线所表示的线段表示类型为“L1”的边。交替的一长两短的虚线所表示的线段表示类型为“L2”的边。箭头表示从关系生成边起的向外方向。
信息处理装置100的正常模型生成部120
正常模型生成部120基于关系变化信息810生成正常模型830,并且将正常模型830输出至异常检测部130。正常模型830是要监视的系统900的正常操作期间状态图820所满足的条件的集合。
正常模型830
图6是示出作为正常模型830的具体示例的示例性正常模型831的图。如图6所示,通过包括条件类型、条件值和有效标志的记录来定义正常模型831。
例如,条件类型为“关系顶点数”的记录中的条件值“上限值2”表示“具有以一个顶点(要素920)形成的边的要素920的数量为两个以下”的条件。条件类型为“次数”的记录中的条件值“上限值6”表示“从一个顶点起延伸的边的数量为六个以下”的条件。条件类型为“边属性”的记录表示针对边的属性(例如,关系的类型、频率、关系的上下级方向或关系发生的时间等)的条件。有效标志表示记录中所包括的条件值是否有效。有效标志的初始值是“无效”。
正常模型生成部120例如可以将如下值设置为针对条件类型为“关系顶点数”的记录的条件值,其中该值是通过将预定值与预定时间段期间针对所有顶点中的各顶点的“关系顶点数”的平均值相加所获得的。预定时间段例如被定义为从特定的过去时刻起直到当前时刻为止的时间段(以下被称为时间段Pa)。预定时间段还可以是由当前时刻之前的特定持续时间所定义的时间段(以下被称为时间段Pb)。预定时间段甚至可以是从特定的第一过去时刻起直到特定的第二过去时刻为止的时间段(以下被称为时间段Pc)。预定时间段甚至可以是获得预定数量的关系变化信息810所花费的时间段。换句话说,预定时间段可以是相对于当前时刻或特定的过去时刻而言最近的、并且获得预定数量的关系变化信息810所经历的时间段(以下被称为时间段Pd(相对于当前时刻)或时间段Pe(相对于过去时刻))。预定时间段甚至可以是时间段Pa、Pb、Pc或Pd期间的预定间歇时间段。如上所述,正常模型生成部120可以基于诸如过去的固定时间段(时间段Pc和Pe)或顺次变化的时间段(时间段Pa、Pb和Pd)等的任意时间段期间的关系变化信息810来生成正常模型830。在正常模型生成部120基于顺次变化的时间段期间的关系变化信息810生成正常模型830的情况下,根据关系变化信息810的顺次输入来顺次更新正常模型830。
正常模型生成部120可以基于关系变化信息810使用任何技术来计算任意条件类型的条件值,而不限于上述示例。
例如在基于预定数量的关系变化信息810来生成或更新条件值的情况下,正常模型生成部120将有效标志设置为“有效”。在基于预定时间段期间的关系变化信息810来生成或更新条件值的情况下,正常模型生成部120也可以将有效标志设置为“有效”。
正常模型830可以与上述示例无关地包括表示以下条件类型的记录。
正常模型830可以包括表示针对顶点的属性(例如,要素920的类型或顶点的发生时刻等)的条件的记录。
正常模型830可以包括表示针对邻接顶点的属性的条件的记录。
正常模型830可以包括表示针对以下内容的任意条件的记录:顶点之间的路径的有无、数量和距离、路线中的顶点和边的属性等。
正常模型830甚至可以包括表示针对图特性(例如,直径、中心性或子构造等)的条件的记录。
信息处理装置100的异常检测部130
异常检测部130基于状态图820和正常模型830检测与要监视的系统900相关联的异常,并且输出表示所检测到的异常的异常信息840。
异常信息840例如表示已检测到要监视的系统900的任何异常。异常信息840还可以包括与异常相关联的任意信息。
异常检测部130可以在任意时刻输出异常信息840。例如,异常检测部130在检测到异常时输出表示该异常的异常信息840。异常检测部130还可以保持所检测到的异常,并且响应于请求(预定时刻或管理者的指示)而输出表示所保持的异常的异常信息840。异常检测部130甚至可以与请求中所包括的时刻(时间范围)相对应地针对状态图820检测异常。
图7是示出作为异常信息840的具体示例的示例性异常信息841的图。如图7所示,异常信息841表示关系顶点数已超过关系顶点数的上限值。
以上已经说明了信息处理装置100的功能单位的构成要素。
接着,以下将说明信息处理装置100的硬件单位的构成要素。
图8是示出实现根据本实施例的信息处理装置100的计算机700的硬件结构的图。
如图8所示,计算机700包括CPU(中央处理单元)701、存储部702、存储装置703、输入部704、输出部705和通信部706。计算机700还包括从外部供给的记录介质(或存储介质)707。例如,记录介质707是非瞬态地存储信息的非易失性记录介质(非瞬态记录介质)。记录介质707可以是将信息作为信号来保持的瞬态记录介质。
CPU 701运行操作系统(未示出)以控制计算机700整体的操作。例如,CPU 701从存储装置703中所安装的记录介质707读取程序或数据,并且将所读取的程序或数据写入存储部702。该程序的示例包括用于使计算机700执行(后面要说明的)图9和10所示的流程图中的操作的程序。
CPU 701根据所读取的程序和所读取的数据来执行各种类型的处理作为图1所示的绘图部110、正常模型生成部120和异常检测部130。
CPU 701可以从连接至通信网络(未示出)的外部计算机(未示出)将程序或数据下载至存储部702。
存储部702存储程序和数据。存储部702例如可以存储关系变化信息810、状态图820、正常模型830和异常信息840。
存储装置703例如以任意的光盘、软盘、磁光盘、外部硬盘或半导体存储器中的任一类型来实现,并且包括记录介质707。存储装置703(记录介质707)以计算机可读的方式来存储程序。存储装置703还可以存储数据。存储装置703例如可以存储关系变化信息810、状态图820、正常模型830和异常信息840。
输入部704接收操作员的操作输入和外部信息输入。输入操作所使用的装置的示例包括任意的鼠标、键盘、内部键钮和触摸面板中的任一类型。
输出部705例如以显示器来实现。输出部705例如用于经由GUI(图形用户界面)向操作员的输入请求和向操作员的输出呈现。
通信部706实现与关系变化监视部件930的接口。通信部706可以被包括作为绘图部110、正常模型生成部120和异常检测部130的一部分。
如上所述,图1所示的信息处理装置100的功能单位的块是通过具有图8所示的硬件结构的计算机700来实现的。然而,注意,用于实现计算机700的各部的部件不限于上述说明。换句话说,可以以单个物理上结合的装置或者以有线或无线的方式相连接的两个以上物理上分离的装置来实现计算机700。
在将用于记录上述程序的代码的记录介质707供给至计算机700的情况下,CPU701可以读取并执行记录介质707中所存储的程序代码。可选地,CPU 701可以将记录介质707中所存储的程序代码存储在存储部702和/或存储装置703中。换句话说,本实施例包括瞬态或非瞬态地存储由计算机700(CPU 701)所执行的程序(软件)的记录介质707的实施例。非瞬态地存储信息的存储介质还被称为非易失性存储介质。
以上已经说明了实现本实施例中的信息处理装置100的计算机700的硬件单位的各构成要素。
以下将参考附图来详细说明本实施例中的操作。
图9和10是示出本实施例中的操作的流程图。可以基于上述的CPU 701所进行的程序控制来执行基于流程图的处理。处理步骤由诸如S610等的附图标记来表示。
绘图部110在接收到关系变化信息810时根据图9所示的流程图来开始操作。绘图部110例如经由图8所示的通信部706从要监视的系统900接收关系变化信息810。
绘图部110基于所接收到的关系变化信息810生成状态图820(新生成状态图820或者通过更新来生成状态图820)(步骤S601)。绘图部110将状态图820保持在例如图8所示的存储部702或存储装置703中。
正常模型生成部120基于所接收到的关系变化信息810来生成正常模型830的内容(新生成正常模型830的内容或者通过更新来生成正常模型830的内容)(步骤S602)。换句话说,首先,正常模型生成部120生成或更新包括与所接收到的关系变化信息810相关联的条件类型的记录的条件值。该记录是正常模型830的记录。其次,正常模型生成部120在针对该记录满足预定条件(例如,条件值的给定更新次数)的情况下将该记录中的有效标志的设置改变为“有效”。正常模型生成部120将正常模型830保持在例如图8所示的存储部702或存储装置703中。
异常检测部130基于状态图820和正常模型830来进行与要监视的系统900相关联的异常的检测处理(步骤S603)。然后,处理结束。
在图9所示的流程图中,绘图部110、正常模型生成部120和异常检测部130按该顺序串行工作。然而,绘图部110、正常模型生成部120和异常检测部130可以并行工作。
在图9的流程图所示的操作中,每当正常模型生成部120更新正常模型830的内容时,异常检测部130进行异常检测处理。然而,异常检测部130可以在任意时间(例如,在特定时刻或者在从管理者接收到指示的情况下)进行异常检测处理。
在图9的流程图所示的操作中,绘图部110和正常模型生成部120每次接收到关系变化信息810时分别更新状态图820和正常模型830。然而,绘图部110和正常模型生成部120可以累积所接收到的关系变化信息810并且在特定时间基于所累积的关系变化信息810分别生成或更新状态图810和正常模型830。该特定时间例如可以是紧挨在异常检测部130生成异常信息840之前。
在图9的步骤S603中,异常检测部130按照图10所示的流程图进行以下操作。
异常检测部130针对正常模型830的所有记录执行步骤S630~S638之间的处理。
异常检测部130从正常模型830获得记录(步骤S631)。
异常检测部130基于有效标志来判断该记录是否有效(步骤S632)。如果有效标志为“无效”(步骤S632为否),则处理进入步骤S638。
如果有效标志为“有效”(步骤S632为是),则异常检测部130针对可从状态图820提取的要确认的所有值执行步骤S633~S637之间的处理。
异常检测部130从状态图820提取与该记录中所包括的条件类型相对应的要确认的值(步骤S634)。
异常检测部130判断该要确认的值是否符合该记录中所包括的条件值(步骤S635)。
如果要确认的值符合该条件值(步骤S635为是),则处理进入步骤S637。
如果要确认的值不符合该条件值(步骤S635为否),则异常检测部130判断为发生了异常,并且生成或更新异常信息840以包括表示异常的详情的信息(步骤S636)。
如果处理了可提取的要确认的所有值,则处理进入步骤S638。如果要确认的任何值仍待处理,则处理返回至步骤S634(步骤S637)。
如果处理了正常模型830的所有记录,则处理进入步骤S639。如果任何记录仍待处理,则处理返回至步骤S631(步骤S638)。
异常检测部130输出异常信息840(步骤S639)。
例如,异常检测部130经由图8所示的输出部705输出异常信息840。异常检测部130可以将异常信息840经由图8所示的通信部706发送至装置(未示出)。异常检测部130可以经由图8所示的存储装置703将异常信息840记录在记录介质707上。
接着,以下将参考具体数据来说明从关系变化信息810的接收到异常信息840的输出的处理序列。
绘图部110例如在接收到如图11所示的关系变化信息811时,根据图9所示的流程图开始操作。图11示出表示要素920“E3”和要素920“E4”之间发生了关系“L0”的关系变化信息810的具体示例。
在图9的步骤S601中,绘图部110基于所接收到的图11所示的关系变化信息811来更新状态图820(例如,从图4所示的状态图821更新为图12所示的状态图821)。
在图9的步骤S602中,正常模型生成部120基于所接收到的关系变化信息811来更新正常模型830(例如,图6所示的正常模型831)的内容。然而,在这种情况下,没有必要更新正常模型830(例如,正常模型831)的内容。
在图10的步骤S631中,异常检测部130从正常模型830(例如,正常模型831)提取条件类型为“关系顶点数”的记录。
在图10的步骤S632中,异常检测部130判断为该记录的有效标志为“有效”。
在图10的步骤S634中,异常检测部130从状态图820(例如,图12所示的状态图821)顺次提取要确认的值。
在图10的步骤S635中,异常检测部130顺次判断要确认的值是否符合该记录中所包括的条件值(上限值2)。在这种情况下,异常检测部130判断为要通过边链接至顶点标识符为“E4”的记录的要素920的数量(即,顶点关系数)为“3”,这不符合“上限值2”。
在图10的步骤S636中,异常检测部130生成表示顶点关系数已超过顶点关系数的上限值的异常信息840(例如,图7所示的异常信息841)。
异常检测部130甚至处理条件类型为“边数”和“边属性”的记录。然而,在这种情况下,针对条件类型为“边数”和“边属性”的记录,没有向异常信息840(例如,异常信息841)添加信息。
在图10的步骤S639中,异常检测部130输出异常信息840(例如,图7所示的异常信息841)。
作为上述的本实施例的有利效果,可以提高系统异常的检测能力。例如,可以检测由于未知目标类型的攻击而引起的系统异常。
这是由于包含了以下结构。首先,绘图部110基于关系变化信息810生成状态图820。其次,正常模型生成部120基于关系变化信息810来生成正常模型830。再次,异常检测部130基于状态图820和正常模型830来生成异常信息840。
第二实施例
以下将参考附图详细说明本发明的第二实施例。以下将在不会使本实施例的说明变得不清楚的范围内省略与上述说明相同的详细说明。
图13是示出根据本发明的第二实施例的信息处理装置200的结构的框图。
本实施例中的信息处理装置200与第一实施例中的信息处理装置100的不同之处在于:如图13所示,代替异常检测部130,前者包括异常检测部230。
异常检测部230
异常检测部230计算与所检测到的异常相对应的表示状态图820相对于正常模型830的偏差程度的异常度,并且输出包括异常度的异常信息840。
除了上述的方面以外,异常检测部230与图1所示的异常检测部130相同。
例如,基于图6所示的正常模型831和图12所示的状态图821,异常检测部230输出表示如下内容的异常信息840:要确认的值“3”相对于记录中所包括的条件值(上限值“2”)表示50%的偏差。
图14是示出作为从异常检测部230输出的异常信息840的具体示例的示例性异常信息842的图。
作为上述的本实施例的第一个有利效果,除第一实施例的有利效果之外,可以更详细地向用户呈现系统异常的检测结果。
这是由于异常检测部230输出包括异常度的异常信息840。
第三实施例
以下将参考附图详细说明本发明的第三实施例。以下将在不会使本实施例的说明变得不清楚的范围内省略与上述说明相同的详细说明。
图15是示出根据本发明的第三实施例的信息处理装置300的结构的框图。
本实施例中的信息处理装置300与第一实施例中的信息处理装置100的不同之处在于:如图15所示,代替异常检测部130,前者包括异常检测部330。
异常检测部330
异常检测部330输出与所检测到的异常相关联的包括表示顶点(要素920)和边(要素920之间的关系)的信息的异常信息840。
除上述的方面以外,异常检测部330与图1所示的异常检测部130相同。
例如,基于图6所示的正常模型831和图12所示的状态图821,异常检测部330输出包括以下内容的异常信息840:关系顶点数已超过关系顶点数的上限值的顶点的标识符“E3”以及关系顶点的标识符“E1”、“E2”和“E3”。
图16是示出作为从异常检测部330输出的异常信息840的具体示例的示例性异常信息843的图。
异常检测部330可以包括根据第二实施例的异常检测部230的功能。在这种情况下,包括异常检测部230的功能的异常检测部330可以计算与所检测到的异常相关联的针对任意的边和顶点的异常度。
作为上述的本实施例的第一个有利效果,除第一实施例的有利效果以外,可以更详细地向用户呈现系统异常的检测结果。
这是由于异常检测部330输出与所检测到的异常相关联的包括表示顶点和边的信息的异常信息840。例如在检测到一个计算机A的异常的情况下,异常检测部330输出“计算机A与计算机B的通信存在异常”作为异常信息840。换句话说,与仅输出“计算机A存在异常”的情况相比,可以知晓与同计算机B的通信相关联的计算机A的内部存在异常这一事实。
第四实施例
以下将参考附图详细说明本发明的第四实施例。以下将在不会使本实施例的说明变得不清楚的范围内省略与上述说明相同的详细说明。
图17是示出根据本发明的第四实施例的信息处理装置400的结构的框图。
本实施例中的信息处理装置400与第一实施例中的信息处理装置100的不同之处在于:如图17所示,代替异常检测部130,前者包括异常检测部430。
异常检测部430
异常检测部430输出基于状态图820和正常模型830所生成的包括用于表示异常的图表的异常信息840。用于表示异常的图表包括网络图(后面更详细地说明)、矩阵(后面更详细地说明)和其它任意图表。
异常检测部430按照以下方式来输出表示异常的异常信息840。异常检测部430例如在与状态图820上的异常相对应的部分中利用增加的线宽来表示图形的线或字符等。异常检测部430还可以在与状态图820上的异常相对应的部分中利用增加的大小来表示图形的线或字符等。异常检测部430甚至可以在与状态图820上的异常相对应的部分中利用颜色的变化来显示图形的线或字符等。异常检测部430甚至可以在与状态图上的异常相对应的部分中利用背景颜色的变化来显示图形的线或字符等。
异常检测部430可以根据异常信息840中的图形、字符或矩阵单元的配置来强调与状态图820上的异常相对应的部分。更具体地,异常检测部430可以使与状态图820上的异常相对应的部分的图形集中在网络图的预定区域中(例如,网络图的左侧或靠近网络图的中心)。此外,异常检测部430可以通过列表排序来生成矩阵以使得在矩阵内按预定的顺序(例如,按从最左列和最上行起的顺序)来配置与状态图820上的异常相对应的单元。
异常检测部430可以与上述的示例无关地,使用任何技术来强调与状态图820上的异常相对应的部分并且输出表示异常的异常信息840。
异常检测部430还可以输出基于正常模型的图表(以下称为正常模型图表)。例如,异常检测部430输出正常模型图表以使得用户能够将正常模型图表和用于表示异常的图表进行比较并参考。异常检测部430可以独立地或者通过将正常模型图表包括在异常信息840中来输出该正常模型图表。
异常检测部430可以基于例如正常模型生成部120所生成的正常模型830来生成正常模型图表。
异常检测部430可以获得正常模型生成部120所生成的正常模型图表。在这种情况下,正常模型生成部120基于例如来自异常检测部430的请求而根据正常模型830生成正常模型图表并输出该正常模型图表。
正常模型生成部120例如可以基于来自异常检测部430的请求来将正常模型830传送至绘图部110并请求绘图部110生成正常模型图表。绘图部110或正常模型生成部120所生成的正常模型图表可以直接或经由异常检测部430来输出。
可以例如根据以下过程通过异常检测部430或正常模型生成部120来生成正常模型图表。作为该过程中的第一处理,将顶点的所有组合(要素920之间的关系)与正常模型830对照以提取被判断为正常的顶点的组合。作为该过程中的第二处理,将所提取到的顶点的组合包括在正常模型图表中。
除上述的方面以外,异常检测部430与图1所示的异常检测部130相同。
以下将给出基于图6所示的正常模型831和图12所示的状态图821从异常检测部430输出的异常信息840的示例。
图18是示出作为从异常检测部430输出的异常信息840的具体示例的以网络图表示的示例性异常信息844的图。
参考图18,圆圈表示顶点并且圆圈内所标记的字符串表示顶点标识符。使圆圈彼此连接的线段表示边。例如,双圆圈和双线段强调被判断为存在异常的顶点(要素920)和边(要素920之间的关系)。
网络图可以是任意类型并且以任意形式来表示异常而不限于图18所示的示例。
图19是示出作为从异常检测部430输出的异常信息840的具体示例的以矩阵表示的示例性异常信息845的图。
异常信息845是如下的矩阵,其中该矩阵具有由纵轴上的顶点标识符(最左顶点标识符)的列表所指定的作为边的from(始端)侧顶点的顶点以及由横轴上的顶点标识符(最上行的顶点标识符)的列表所指定的作为边的to(终端)侧顶点的顶点。矩阵的单元中的字符串(例如,“L0”)表示从from侧顶点到to侧顶点的边的有无(NL表示边不存在,其它表示边存在)以及属性(L0、L1和L2)。参考图19,与异常相关联的顶点和边由斜体字符表示。
与图19所示的示例无关地,矩阵可以是任意类型并且以任意形式表示异常。
异常检测部430可以与上述的示例无关地,以彼此自由组合的方式或者作为异常信息840独立地输出通过以任意类型的图而使用任何技术表示异常所获得的任意异常图表以及基于正常模型830所生成的任意类型的正常图表。例如,异常检测部430可以与正常模型图表重叠地输出异常图表。
异常检测部430可以包括根据第二实施例的异常检测部230和根据第三实施例的异常检测部330的功能。
第四实施例的变形例
异常检测部430可以独立地或彼此相关联地输出表示状态图820、正常模型830和异常信息840各自的时间变化的显示信息。时间变化是指随着时间的经过的变化。
显示信息可以是表示例如状态图820、正常模型830和异常信息840中任何之一的状态的变化的运动图像的信息。显示信息还可以是表示状态图820、正常模型830和异常信息840中任何之一在多个时间点处可用的状态的特定配置的信息。
可以与当前时刻相对应地实时更新显示信息。
作为上述的本实施例的第一个有利效果,除第一实施例的有利效果以外,可以以更易于人理解的形式向用户呈现系统异常的检测结果。
原因如下。异常检测部430输出包括用于表示异常的图表的异常信息840。异常检测部430还输出正常模型图表。异常检测部430甚至输出表示状态图820、正常模型830和异常信息840各自的时间变化的显示信息。
作为上述的实施例的第二个有利效果,即使在系统中实际上没有发生异常的情况下,使通信被视为正常的顶点之间的间隔也可以与使通信被视为异常的顶点之间的间隔区分开来。此外,能够进行该区分,这使得可以例如通过仅允许被视为通信正常的发生的顶点之间的通信来防止异常通信。
这是由于包含了以下结构。首先,异常检测部430或正常模型生成部120将顶点的所有组合与正常模型830进行对照以提取被判断为正常的顶点的组合,并且将所提取的顶点的组合包括在正常模型图表中。其次,异常检测部430与正常模型图表重叠地输出用于表示异常的图表。
第五实施例
以下将参考附图详细说明本发明的第五实施例。以下将在不会使本实施例的说明变得不清楚的范围内省略与上述说明相同的详细说明。
图20是示出根据本发明的第五实施例的信息处理装置500的结构的框图。
本实施例中的信息处理装置500与第一实施例中的信息处理装置100的不同之处在于:如图20所示,代替绘图部110和异常检测部130,前者包括绘图部510和异常检测部530,并且还包括历史累计部540。
绘图部510
绘图部510在预定时间将能够恢复该时间点可用的状态图820的信息与例如该时间点的时刻相关联地记录在历史累积部540中。预定时间的示例包括预定的时刻。预定时间可以是关系变化信息810的处理数量达到预定阈值的时刻。预定时间可以是与上述的示例无关的任意时刻。能够恢复该时间点可用的状态图820的信息的示例包括与任意先前时间点(例如,预定时间点之前的时间点)处可用的状态图820的差异。能够恢复该时间点可用的状态图820的信息甚至可以是该时间点处可用的状态图820自身。
绘图部510还可以将最新的状态图820作为暂时状态图记录在历史累积部540中,并且每当获得关系变化信息810时更新该暂时状态图及其相关联的时刻。在这种情况下,绘图部510可以在预定时间停止更新暂时状态图并且将暂时状态图确定为最终状态图820。
除上述的方面以外,绘图部510与图1所示的绘图部110相同。
历史累积部540
历史累积部540存储状态图820。历史累积部540还可以存储上述的暂时状态图。
异常检测部530
异常检测部530基于正常模型830和历史累积部540中所存储的状态图820来检测与要监视的系统900相关联的异常。异常检测部530还可以基于历史累积部540中所存储的暂时状态图来检测与要检测的系统900相关联的异常。除上述的方面以外,异常检测部530与图1所示的异常检测部130等同。
异常检测部530可以包括根据第一实施例的异常检测部130、根据第二实施例的异常检测部230、根据第三实施例的异常检测部330和根据第四实施例的异常检测部430的任何功能。
例如在异常检测部530包括异常检测部430的功能的情况下,第四实施例的变形例中的显示信息可以与所要求的时间范围相关联。
作为上述的本实施例的有利效果,除第一实施例的有利效果以外,可以向用户提供过去状态图820相对于当前正常模型830的异常信息840。
这是由于包含了以下结构。首先,绘图部510在预定时间将状态图820记录在历史累积部540中,并且历史累积部540存储状态图820。其次,异常检测部530基于正常模型830和历史累积部540中所存储的状态图820来检测与要监视的系统900相关联的异常。
尽管以上已经参考各实施例说明了本发明,但本发明不限于上述实施例。可以在本发明的范围内对本发明的结构或详情作出本领域技术人员将理解的各种变化。
本申请基于并要求2014年3月20日提交的日本专利申请2014-058497和2014年6月6日提交的PCT国际申请PCT/JP2014/003014的优先权,它们全部内容通过引用包含于此。
附图标记说明
100 信息处理装置
110 绘图部
120 正常模型生成部
130 异常检测部
200 信息处理装置
230 异常检测部
300 信息处理装置
330 异常检测部
400 信息处理装置
430 异常检测部
500 信息处理装置
510 绘图部
530 异常检测部
540 历史累积部
700 计算机
701 CPU
702 存储部
703 存储装置
704 输入部
705 输出部
706 通信部
707 记录介质
810 关系变化信息
811 关系变化信息
820 状态图
821 状态图
830 正常模型
831 正常模型
840 异常信息
841 异常信息
842 异常信息
843 异常信息
844 异常信息
845 异常信息
900 要监视的系统
920 要素
930 关系变化监视部件
Claims (13)
1.一种信息处理装置,包括:
处理器,其被配置为用作以下部件:
绘图部,用于基于关系变化信息来生成状态图,其中所述关系变化信息表示系统中所包括的多个要素之间的关系的变化并且是基于时间序列来获得的,所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;
正常模型生成部,用于基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合并且是通过包括条件类型、条件值和有效标志的记录来定义的;以及
异常检测部,用于基于所述状态图和所述正常模型来检测与所述系统相关联的异常,并且输出表示所检测到的所述异常的第一异常信息,其中所述异常检测部通过判断能够从所述状态图提取的要确认的值是否符合所述记录中所包括的条件值来检测与所述系统相关联的异常。
2.根据权利要求1所述的信息处理装置,其中,
所述系统包括经由网络彼此连接的多个主机,以及
所述主机上所运行的进程由所述顶点来定义。
3.根据权利要求1所述的信息处理装置,其中,所述异常检测部计算与所检测到的所述异常相对应的表示所述状态图相对于所述正常模型的偏差程度的异常度,并且输出至少包括所计算出的所述异常度的所述第一异常信息。
4.根据权利要求1所述的信息处理装置,其中,所述异常检测部输出至少包括与所检测到的所述异常相对应的用于识别所述要素的信息和与所述要素之间的关系有关的信息的所述第一异常信息。
5.根据权利要求1所述的信息处理装置,其中,所述异常检测部输出基于所述状态图和所述第一异常信息所生成的包括用于表示异常的图表的第二异常信息。
6.根据权利要求5所述的信息处理装置,其中,所述异常检测部在所述要素之间的所有关系中提取通过与所述正常模型进行对照而被视为正常的所述要素之间的关系,并且与所提取的所述要素之间的关系重叠地输出用于表示异常的图表。
7.根据权利要求5所述的信息处理装置,其中,所述异常检测部独立地或彼此相关联地输出表示所述状态图、所述正常模型和所述第二异常信息各自的时间变化的显示信息。
8.根据权利要求1所述的信息处理装置,其中,所述处理器还被配置为用作以下部件:
历史累积部,用于存储状态图,
其中,所述绘图部将所述状态图记录在所述历史累积部中,以及
所述异常检测部进一步基于所述正常模型和所述历史累积部中所记录的历史状态图来检测与所述系统相关联的异常。
9.根据权利要求1所述的信息处理装置,其中,所述关系变化信息包括表示所述要素之间的关系的发生、消失和变化以及要素的发生和消失中的至少一个的信息。
10.根据权利要求1所述的信息处理装置,其中,所述正常模型中的所述条件包括以下内容中的至少一个的范围:所述顶点中的任一顶点的属性、与所述顶点中的任一顶点邻接的顶点的数量、与所述顶点中的任一顶点邻接的顶点的属性、所述边的属性、所述顶点之间的路线的有无、所述顶点之间的路线的数量、所述路线的距离、所述路线中的所述顶点的属性、所述路线中的所述边的属性、以及状态图的特性。
11.一种信息处理系统,包括:
根据权利要求1所述的信息处理装置;以及
关系变化监视部,用于监视所述系统并发送关系变化信息。
12.一种异常检测方法,包括以下步骤:
基于关系变化信息来生成状态图,其中所述关系变化信息表示系统中所包括的多个要素之间的关系的变化并且是基于时间序列来获得的,所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;
基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合并且是通过包括条件类型、条件值和有效标志的记录来定义的;
基于所述状态图和所述正常模型来检测与所述系统相关联的异常,其中通过判断能够从所述状态图提取的要确认的值是否符合所述记录中所包括的条件值来检测与所述系统相关联的异常;以及
输出表示所检测到的所述异常的异常信息。
13.一种用于记录程序的非瞬态计算机可读记录介质,所述程序用于使计算机执行以下处理:
基于关系变化信息来生成状态图,其中所述关系变化信息表示系统中所包括的多个要素之间的关系的变化并且是基于时间序列来获得的,所述状态图包括所述要素作为所述状态图的顶点并且包括所述要素之间的关系作为所述状态图的边;
基于所述关系变化信息来生成正常模型,其中所述正常模型是所述系统的正常操作期间所述状态图所满足的条件的集合并且是通过包括条件类型、条件值和有效标志的记录来定义的;
基于所述状态图和所述正常模型来检测与所述系统相关联的异常,其中通过判断能够从所述状态图提取的要确认的值是否符合所述记录中所包括的条件值来检测与所述系统相关联的异常;以及
输出表示所检测到的所述异常的异常信息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014-058497 | 2014-03-20 | ||
| JP2014058497 | 2014-03-20 | ||
| PCT/JP2014/003007 WO2015140841A1 (ja) | 2014-03-20 | 2014-06-05 | 異常を検知する情報処理装置及び異常検知方法 |
| JPPCT/JP2014/003007 | 2014-06-05 | ||
| PCT/JP2015/001500 WO2015141221A1 (ja) | 2014-03-20 | 2015-03-18 | 情報処理装置及び異常検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106104497A CN106104497A (zh) | 2016-11-09 |
| CN106104497B true CN106104497B (zh) | 2019-07-16 |
Family
ID=54143867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580015248.8A Active CN106104497B (zh) | 2014-03-20 | 2015-03-18 | 信息处理装置和异常检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10789118B2 (zh) |
| EP (1) | EP3121727B1 (zh) |
| JP (1) | JP6638644B2 (zh) |
| CN (1) | CN106104497B (zh) |
| WO (2) | WO2015140841A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6828692B2 (ja) * | 2015-12-02 | 2021-02-10 | 日本電気株式会社 | 支援装置、支援方法およびプログラム |
| RU2625051C1 (ru) * | 2016-02-18 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружений аномалий в технологической системе |
| US10338986B2 (en) * | 2016-10-28 | 2019-07-02 | Microsoft Technology Licensing, Llc | Systems and methods for correlating errors to processing steps and data records to facilitate understanding of errors |
| US20210109801A1 (en) * | 2016-11-29 | 2021-04-15 | Nec Corporation | Anomaly assessment device, anomaly assessment method, and storage medium whereupon anomaly assessment program is recorded |
| US10909014B2 (en) | 2017-02-22 | 2021-02-02 | Nec Corporation | Information processing device, information processing system, monitoring method, and recording medium |
| WO2018216197A1 (ja) * | 2017-05-26 | 2018-11-29 | 三菱電機ビルテクノサービス株式会社 | 異常重要度算出システム、異常重要度算出装置、及び異常重要度算出プログラム |
| WO2019240020A1 (ja) * | 2018-06-13 | 2019-12-19 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
| JP2020060992A (ja) * | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 表示制御方法、表示制御プログラム、および表示制御装置 |
| JP7063229B2 (ja) * | 2018-10-24 | 2022-05-09 | オムロン株式会社 | 制御装置および制御プログラム |
| JP7299040B2 (ja) * | 2019-03-12 | 2023-06-27 | 株式会社ディスコ | 監視システム |
| JP2021110979A (ja) * | 2020-01-06 | 2021-08-02 | 日本電気通信システム株式会社 | 自律移動装置、学習装置、異常検知方法、及びプログラム |
| JP7276203B2 (ja) * | 2020-03-06 | 2023-05-18 | 横河電機株式会社 | 情報処理装置、情報処理方法、及びプログラム |
| US11636090B2 (en) * | 2020-03-15 | 2023-04-25 | International Business Machines Corporation | Method and system for graph-based problem diagnosis and root cause analysis for IT operation |
| US11409769B2 (en) | 2020-03-15 | 2022-08-09 | International Business Machines Corporation | Computer-implemented method and system for attribute discovery for operation objects from operation data |
| US20220214677A1 (en) * | 2021-01-05 | 2022-07-07 | Samsung Electronics Company, Ltd. | Detecting anomalous events using a microcontroller |
| US11941641B2 (en) | 2021-10-15 | 2024-03-26 | EMC IP Holding Company LLC | Method and system to manage technical support sessions using historical technical support sessions |
| US11809471B2 (en) | 2021-10-15 | 2023-11-07 | EMC IP Holding Company LLC | Method and system for implementing a pre-check mechanism in a technical support session |
| US11915205B2 (en) | 2021-10-15 | 2024-02-27 | EMC IP Holding Company LLC | Method and system to manage technical support sessions using ranked historical technical support sessions |
| US20230236919A1 (en) * | 2022-01-24 | 2023-07-27 | Dell Products L.P. | Method and system for identifying root cause of a hardware component failure |
| CN114978877B (zh) * | 2022-05-13 | 2024-04-05 | 京东科技信息技术有限公司 | 一种异常处理方法、装置、电子设备及计算机可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083557A (zh) * | 2007-06-29 | 2007-12-05 | 中兴通讯股份有限公司 | 一种基于snmp的ip网络集群管理方法 |
| JP2008021274A (ja) * | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
| JP2010128673A (ja) * | 2008-11-26 | 2010-06-10 | Nec Corp | コンピュータネットワーク、異常検出特定装置、異常検出特定方法およびそのプログラム |
| CN102449635A (zh) * | 2009-04-01 | 2012-05-09 | 霍尼韦尔国际公司 | 作为安全层的云计算 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0862128B1 (en) * | 1997-02-28 | 2007-09-19 | Fujitsu Limited | Logical device verification method and apparatus |
| JP3755394B2 (ja) * | 2000-09-29 | 2006-03-15 | 日本電気株式会社 | 電子商取引監査システム、電子商取引監査方法及び電子商取引監査プログラムを記録した記録媒体 |
| US7822850B1 (en) * | 2008-01-11 | 2010-10-26 | Cisco Technology, Inc. | Analyzing log files |
| WO2009097435A1 (en) * | 2008-01-29 | 2009-08-06 | Telcordia Technologies, Inc. | System and method for automated distributed diagnostics for networks |
| JP5428372B2 (ja) * | 2009-02-12 | 2014-02-26 | 日本電気株式会社 | 運用管理装置および運用管理方法ならびにそのプログラム |
| US8392760B2 (en) | 2009-10-14 | 2013-03-05 | Microsoft Corporation | Diagnosing abnormalities without application-specific knowledge |
| US8782614B2 (en) * | 2011-04-08 | 2014-07-15 | Ca, Inc. | Visualization of JVM and cross-JVM call stacks |
| US20130097183A1 (en) * | 2011-10-14 | 2013-04-18 | Zenoss, Inc. | Method and apparatus for analyzing a root cause of a service impact in a virtualized environment |
| WO2013131963A1 (en) * | 2012-03-06 | 2013-09-12 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Receiver |
| US8914317B2 (en) * | 2012-06-28 | 2014-12-16 | International Business Machines Corporation | Detecting anomalies in real-time in multiple time series data with automated thresholding |
-
2014
- 2014-06-05 WO PCT/JP2014/003007 patent/WO2015140841A1/ja active Application Filing
-
2015
- 2015-03-18 EP EP15765705.7A patent/EP3121727B1/en active Active
- 2015-03-18 WO PCT/JP2015/001500 patent/WO2015141221A1/ja active Application Filing
- 2015-03-18 JP JP2016508539A patent/JP6638644B2/ja active Active
- 2015-03-18 CN CN201580015248.8A patent/CN106104497B/zh active Active
- 2015-03-18 US US15/127,354 patent/US10789118B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008021274A (ja) * | 2006-06-15 | 2008-01-31 | Interlex Inc | プロセス監視装置及び方法 |
| CN101083557A (zh) * | 2007-06-29 | 2007-12-05 | 中兴通讯股份有限公司 | 一种基于snmp的ip网络集群管理方法 |
| JP2010128673A (ja) * | 2008-11-26 | 2010-06-10 | Nec Corp | コンピュータネットワーク、異常検出特定装置、異常検出特定方法およびそのプログラム |
| CN102449635A (zh) * | 2009-04-01 | 2012-05-09 | 霍尼韦尔国际公司 | 作为安全层的云计算 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2015141221A1 (ja) | 2017-04-06 |
| CN106104497A (zh) | 2016-11-09 |
| WO2015141221A1 (ja) | 2015-09-24 |
| EP3121727A1 (en) | 2017-01-25 |
| US10789118B2 (en) | 2020-09-29 |
| WO2015140841A1 (ja) | 2015-09-24 |
| EP3121727B1 (en) | 2019-06-26 |
| US20170132060A1 (en) | 2017-05-11 |
| JP6638644B2 (ja) | 2020-01-29 |
| EP3121727A4 (en) | 2017-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106104497B (zh) | 信息处理装置和异常检测方法 | |
| CN109586999A (zh) | 一种容器云平台状态监控预警系统、方法及电子设备 | |
| US10992559B2 (en) | Diagnostic and recovery signals for disconnected applications in hosted service environment | |
| US10437695B2 (en) | Fault information providing server and fault information providing method for users of in-vehicle terminals | |
| JP6780655B2 (ja) | ログ分析システム、方法およびプログラム | |
| CN109542714A (zh) | 应用程序监控方法及装置、计算机装置及计算机存储介质 | |
| JP2009238010A (ja) | Itシステムのトラブル対処装置、トラブル対処方法およびそのためのプログラム | |
| CN111078507A (zh) | 数据监控方法、系统、计算机设备和存储介质 | |
| US20170244595A1 (en) | Dynamic data collection profile configuration | |
| CN111858254A (zh) | 数据的处理方法、装置、计算设备和介质 | |
| JP2016099938A (ja) | イベント分析システムおよび方法 | |
| KR20130058336A (ko) | 사용자의 행위 로그를 이용한 모바일 어플리케이션의 사용성 분석 장치 및 방법 | |
| CN110012000A (zh) | 命令检测方法、装置、计算机设备以及存储介质 | |
| KR101079036B1 (ko) | 제어망 이상 징후 탐지 장치 및 방법 | |
| JP6780326B2 (ja) | 情報処理装置及びプログラム | |
| US20160004584A1 (en) | Method and computer system to allocate actual memory area from storage pool to virtual volume | |
| JP2009053896A (ja) | 不正操作検出装置およびプログラム | |
| CN111077859B (zh) | 生产工艺控制方法、装置及系统 | |
| JP6972735B2 (ja) | 表示制御プログラム、表示制御方法及び表示制御装置 | |
| JP2021068192A (ja) | 情報表示システムおよび情報表示方法 | |
| WO2019123449A1 (en) | A system and method for analyzing network traffic | |
| JP6547341B2 (ja) | 情報処理装置、方法及びプログラム | |
| JP2013197601A (ja) | 障害検知装置、障害検知方法、及びプログラム | |
| JP6575611B2 (ja) | ロールバック処理制御プログラム、ロールバック処理制御方法及びロールバック処理制御装置 | |
| US9741185B2 (en) | Anti-pass back capacity predictive system and method for access control host processing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |