DE112016005290T5 - Anomliefusion auf temporalen kausalitätsgraphen - Google Patents

Anomliefusion auf temporalen kausalitätsgraphen Download PDF

Info

Publication number
DE112016005290T5
DE112016005290T5 DE112016005290.1T DE112016005290T DE112016005290T5 DE 112016005290 T5 DE112016005290 T5 DE 112016005290T5 DE 112016005290 T DE112016005290 T DE 112016005290T DE 112016005290 T5 DE112016005290 T5 DE 112016005290T5
Authority
DE
Germany
Prior art keywords
event
graph
anomaly
causality
regression
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016005290.1T
Other languages
English (en)
Inventor
Kai Zhang
Hui Zhang
Jianwu XU
Guofei Jiang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Laboratories America Inc
Original Assignee
NEC Laboratories America Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Laboratories America Inc filed Critical NEC Laboratories America Inc
Publication of DE112016005290T5 publication Critical patent/DE112016005290T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0775Content or structure details of the error report, e.g. specific table structure, specific error fields
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/83Indexing scheme relating to error detection, to error correction, and to monitoring the solution involving signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Evolutionary Biology (AREA)
  • Computational Linguistics (AREA)
  • Algebra (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Ein beispielhaftes Verfahren zum Erfassen von einer oder mehreren Anomalien in einem System enthält ein Bilden eines temporalen Kausalitätsgraphen, der eine Funktionsbeziehung unter lokalen Komponenten in einer normalen Periode beschreibt; ein Anwenden des Kausalitätsgraphen als eine Ausbreitungsvorlage, um einen Systemzustand vorherzusagen, durch iteratives Anwenden von aktuellen Systemereignissignaturen; und ein Erfassen von der einen oder den mehreren Anomalien des Systems durch Untersuchen bezogener Muster auf dem Vorlagen-Kausalitätsgraphen, der normale Systemverfahrensweisen spezifiziert. Das System kann Ereignismuster auf dem Kausalitätsgraphen ausrichten, um einen Anomaliewert zu bestimmen.

Description

  • Die vorliegende Erfindung beansprucht die Priorität aus der provisorischen Anmeldung mit der Seriennummer 62256752, eingereicht am 18.11.2016, deren Inhalt durch Bezugnahme enthalten ist.
  • HINTERGRUND
  • Mit der Entwicklung in Bezug auf das Ausmaß und eine Funktionalität von großen vernetzten Systemen, wie beispielsweise den digitalen Netzwerksystemen (DNS) und Clouds, wird die Komplexität eines Systems signifikant größer, was es immer wichtiger macht, Systemanomalien oder -ausfälle bzw. -fehler auf eine proaktive und zuverlässige Weise zu erfassen. Dies kann das Risiko eines Zerstörens von Systemdiensten stark reduzieren, welches für gewöhnlich mit riesigem wirtschaftlichen Verlust assoziiert ist. Um den Überblick über die globalen Systembedingungen zu behalten, wird für gewöhnlich ein Überwachungssystem eingesetzt, das den Betriebszustand von wichtigen lokalen Komponenten/Modulen/Untersystemen aufzeichnet. Um eine Fehler- oder Anomalieerfassung durchzuführen, erfasst ein Verfahren Anomalien bei rauschbehafteten multivariaten zeitseriellen Daten durch Verwenden einer Regressionsmethode für zerstreute temporale Ereignisse, um die Abhängigkeitsbeziehungen unter Variablen in der zeitlichen Ablauffolge zu erfassen. Anomalien werden durch Durchführen einer Durchquerung eines zufälligen Wegs auf dem Graph, induziert durch die temporale Ereignisregression, gefunden. Ein anderes Verfahren macht den Fehlerdetektor als einen Dienst für Anwendungen verfügbar. Das System ist aus mehreren Fehlererfassungsagenten zusammengesetzt, die innerhalb der verteilten Umgebung in Betrieb sind, wobei jeder verantwortlich ist für das Überwachen einer Untergruppe von Prozessen und das Updaten der Anwendungen. Adaptive Protokolle können stattdessen zur Anomalieerfassung verwendet werden. Diese Protokolle passen sich dynamisch an ihre Umgebung an, und passen insbesondere ihr Verhalten an sich ändernde Netzwerkbedingungen an. Diese Ansätze erfordern typischerweise eine Domänenkenntnis der verteilten Systeme sowie eine gewisse Interferenz mit dem System (wie beispielsweise die Reaktion von bestimmten Testsignalen, um zu prüfen, ob das System normal läuft).
  • Eine Familie eines zugehörigen Algorithmus ist eine kausale Ableitung insbesondere basierend auf der zerstreuten Granger-Kausalitätsmethode. Der typische Ansatz bei dieser Familie eines Algorithmus besteht im Verwenden eines autoregressiven (VAR) Modells, um die Beziehung zwischen mehreren zeitlichen Serien zu berechnen. Um die Verbindungen zerstreut zu machen, wird eine L1-Norm-Regulierung hinzugefügt, so dass nur eine kleine Untergruppe von kausalen Beziehungen als signifikante identifiziert sein wird. Andere Verfahren werden verwendet, wo die Kausalstruktur rein aus statistischen Tests bestimmt wird. Diese Verfahren sind nur auf ein Identifizieren der temporalen Kausalitätsbeziehung im gesamten System fokussiert, jedoch berücksichtigen sie nicht das Problem eines weiteren Identifizierens von Anomalien im System.
  • ZUSAMMENFASSUNG
  • Ein beispielhaftes Verfahren zum Erfassen von einer oder mehreren Anomalien in einem System enthält ein Bilden eines temporalen Kausalitätsgraphen, der eine Funktionsbeziehung unter lokalen Komponenten in einer normalen Periode beschreibt; ein Anwenden des Kausalitätsgraphen als eine Ausbreitungsvorlage, um einen Systemzustand vorherzusagen, durch iteratives Anwenden von aktuellen Systemereignissignaturen; und Erfassen der einen oder der mehreren Anomalien des Systems durch Untersuchen bezogener Muster auf dem Vorlagen-Kausalitätsgraphen, der normale Systemverfahrensweisen spezifiziert. Das System kann Ereignismuster auf dem Kausalitätsgraphen ausrichten, um einen Anomalitätswert zu bestimmen.
  • Bei Implementierungen können Sensoren als Teil eines Internets von Dingen (loT), eines digitalen Netzwerksystems oder einer Cloud verwendet werden und kann das System Anomalien aus Sensordaten erfassen. Das System kann potentielle Anomalien des Systems durch Untersuchen der bezogenen Muster auf einen Vorlagen-Kausalitätsgraphen erfassen, der normale Systemverhaltensweisen spezifiziert. Das System kann einen Anomaliewert durch Verwenden dieses vorhergesagten Systemereignisses bestimmen. Das System kann Signaturen auf dem temporalen Kausalitätsgraphen verarbeiten und untersuchen, wie unterschiedlich Muster in dieser Signatur vom temporalen Kausalitätsgraphen sind.
  • Vorteile des Systems können eines oder mehreres vom Folgenden enthalten. Das System stellt eine Anomalie- und Fehlererfassung in großen Netzwerksystemen, wie beispielsweise digitalen Netzwerksystemen oder Clouds, bereit. Das System kann Anomalien, verdächtige Verhaltensweisen oder schwerwiegende Fehler in großen Netzwerksystemen erfassen. Dies lässt zu, dass Systembetreiber das System effektiver aufrechterhalten, so dass dann, wenn eine potentielle Störung eines normalen Systembetriebszustands erfolgen würde, ein proaktives Debuggen oder eine Einstellung betrieben werden kann. Dies kann den wirtschaftlichen Verlust im Vergleich mit einem unerwarteten Herunterfahren des Systems oder und einer Unterbrechung eines Dienstes stark reduzieren, was in großen verteilten Computernetzwerksystemen, wie beispielsweise DNS oder Cloud-Systemen oder IoT-Systemen, wertvoll sein wird.
  • Figurenliste
    • 1 zeigt eine Architektur eines beispielhaften Verfahrens, um Anomalien, verdächtige Verhaltensweisen oder schwerwiegende Fehler in großen Netzwerksystemen zu erfassen.
    • 2 zeigt ein beispielhaftes Verfahren zum Erfassen von einer oder mehreren Anomalien in einem System.
    • 3 zeigt ein Beispiel der eingegebenen mehreren Ereignissequenzen.
    • 4 stellt einen Ansatz dar, um die Ereignissequenz in Regressionsdaten zu transformieren.
    • 5 zeigt einen beispielhaften gelenkten Graphen, der die temporalen Kausalitätsbeziehungen unter unterschiedlichen Ereignissen zusammenfasst.
    • 6 zeigt einen beispielhaften gelenkten Graphen, der die temporalen Kausalitätsbeziehungen unter unterschiedlichen Ereignissen zusammenfasst.
    • 7 zeigt ein beispielhaftes Computersystem zum Erfassen von Anomalien.
  • BESCHREIBUNG
  • 1 zeigt unsere Architektur eines beispielhaften Verfahrens, um Anomalien, verdächtige Verhaltensweisen oder schwerwiegende Fehler in großen Netzwerksystemen zu erfassen. Es gibt drei Hauptkomponenten: (1) einen Kausalitätsableitungsschritt 100, der die nicht negative LASSO-Regressionstechnik anwendet, um den temporalen Kausalitätsgraphen zu bilden, der die Ursachen- und Auswirkungs-Ereignismuster in der normalen Betriebsperiode zusammenfasst; (2) einen Ereignisausbreitungsschritt 200, der die erwarteten Ereignissignaturen nach bestimmten Schritten von Zeitintervallen ab dem aktuellen Zeitstempel vorhersagt; (3) einen Anomaliewert-Quantisierungsschritt 300, der einen Anomaliewert für jeden Zeitpunkt, der durch einen Ereignissignaturvektor dargestellt ist, durch Vergleichen dieses Vektors auf dem temporalen Kausalitätsgraphen berechnet, um das Ausmaß einer Anomalie basierend auf historischen Beobachtungen zu messen.
  • 2 zeigt ein beispielhaftes Verfahren zum Erfassen von einer oder mehreren Anomalien in einem System durch Bilden eines temporalen Kausalitätsgraphen, der eine Funktionsbeziehung unter lokalen Komponenten in einer normalen Periode beschreibt; Anwenden des Kausalitätsgraphen als eine Ausbreitungsvorlage, um einen Systemzustand vorherzusagen, durch iteratives Anwenden von aktuellen Systemereignissignaturen; und Erfassen der einen oder der mehreren Anomalien des Systems durch Untersuchen in Bezug auf Muster auf dem Vorlagen-Kausalitätsgraphen, der normale Systemverhaltensweisen spezifiziert. Das System kann Ereignismuster auf dem Kausalitätsgraphen ausrichten, um einen Anomaliewert zu bestimmen. Das System kann auch eine Ereignisausbreitung auf dem temporalen Kausalitätsgraphen durchführen, um einen zukünftigen Zustand vorherzusagen.
  • Unsere Prozeduren zum Bilden eines Kausalitätsgraphen und drauffolgenden Quantifizieren von Anomalien durch Vergleichen von Mustern auf dem Graphen unterscheiden sich von herkömmlichen Verfahren, die typischerweise eine Anomalieerfassung in einem euklidischen Vektorraum berücksichtigen. Gegensätzlich dazu verwendet das vorliegende System einen Graphen, um normale Systemverhaltensweisen zu beschreiben und um dann eine Anomalie basierend auf diesem kausalen Graphen als eine Vorlage zu erfassen. Insbesondere wird der Graph unter Verwendung von nicht negativem LASSO (Operator mit kleinster absoluter Schrumpfung und Auswahl = least absolute shrinkage and selection operator); während herkömmliche Verfahren zum Schätzen der Kausalitätsbeziehung typischerweise auf dem Standard-LASSO-Verfahren basiert, das zu negativen Koeffizienten führen könnte, die nicht einfach zu interpretieren sind. Während herkömmliche Verfahren typischerweise kontinuierliche zeitliche Ablauffolgen in einer kausalen Ableitung berücksichtigen, analysiert das vorliegende System diskrete Ereignissequenzen.
  • Beim Statistik- und Maschinenlernen ist LASSO ein Regressionsanalyseverfahren, das sowohl eine variable Auswahl als auch eine Regelung durchführt, um die Vorhersagegenauigkeit und Interpretierbarkeit des statistischen Modells zu verbessern, welches es erzeugt. LASSO ist nahe bezogen auf ein grundsätzliches Streben nach Rauschunterdrückung. LASSO wurde ursprünglich für Modelle kleinsten Fehlerquadrats formuliert und dieser einfache Fall offenbart eine wesentliche Menge über das Verhalten des Schätzers, einschließlich seiner Beziehung zur Ridge-Regression und einer Auswahl einer besten Untergruppe und der Verbindungen zwischen LASSO-Koeffizientenschätzen und einer sogenannten weichen Schwellenbildung. Er offenbart auch, dass (wie bei einer standardmäßigen linearen Regression) die Koeffizientenschätzungen nicht eindeutig sein müssen, wenn Kovariate kolinear sind. Obwohl sie ursprünglich für kleinste Quadrate definiert ist, kann eine LASSO-Regularisierung bei einer weiten Vielfalt von statistischen Modellen angewendet werden, einschließlich verallgemeinerter linearer Modelle, verallgemeinerter Schätzgleichungen, proportionaler Risikomodelle, und M-Schätzern. Die Fähigkeit von LASSO, eine Untergruppenauswahl durchzuführen, beruht auf der Form der Beschränkung und hat eine Vielfalt von Interpretationen einschließlich in Bezug auf Geometrie, Bayes-Statistik und konvexe Analyse.
  • Die Kombination einer kausalen Ableitung und einer Anomalieerfassung wird verwendet, um Systemfehler zu identifizieren; und die verbesserte kausale Ableitung kann diskrete Ereignissequenzen mit einstellbaren Zeitverzögerungen handhaben.
  • 3 zeigt ein Beispiel unserer eingegebenen mehrfachen Ereignissequenzen. Und zwar mit einer Anzahl von D Sequenzen, wobei jede das Auftreten eines bestimmten Typs von Anomalieereignis über der Zeit beschreibt. 3 stellt ein solches Datenformat dar. Bei einem Beispiel ist jede Sequenz (oder Typ eines Ereignisses) mit dem Burst bzw. Bündel von Anomalieprotokollen in einem Server in einem gemeinsamen Netzwerksystem assoziiert. Die i-te Sequenz wird dargestellt sein durch S ( i ) = { ( t 1 ( i ) , e 1 ( i ) ) , ( t 2 ( i ) , e 2 ( i ) ) , , ( t n i ( i ) , e n i ( i ) ) }
    Figure DE112016005290T5_0001
    wobei t(i)_j der Zeitstempel des j-ten Auftretens eines Ereignisses ist, d.h. e(i)J ist die entsprechende Stärke des Auftretens und ni ist die Anzahl von Auftritten, die für das i-te Ereignis aufgezeichnet sind. Je höher e(i)J ist, umso wahrscheinlicher ist es, dass der i-te Server irgendeinem Anomaliezustand ausgesetzt ist, und zwar basierend auf der Überwachungsprotokollanalyse.
  • Im Folgenden werden wir unser System über eine Anomalieerfassung und ein frühes Warnen in großen vernetzten Systemen detailliert darlegen. Unser System stellt zwei Operationen zur Verfügung. Zuerst werden wir einen temporalen Kausalitätsgraphen bilden, der die signifikante Funktionsbeziehung unter zahlreichen lokalen Komponenten in einer normalen Periode beschreibt. Als zweites werden wir diesen Kausalitätsgraphen als eine Ausbreitungsvorlage, um den Systemzustand vorherzusagen, durch iteratives Anwenden der aktuellen Systemereignissignaturen auf ihn verwenden. Schließlich werden wir einen Anomaliewert durch Verwenden dieser vorhergesagten Systemereignissignatur berechnen.
  • Aufdecken von kausalen Beziehungen über nicht negative zerstreute Regression
  • Wir diskutieren, wie die mehreren Ereignissequenzen in die Eingabe einer Reihe von Regressionsproblemen zu transformieren ist, um die temporale Kausalitätsbeziehung unter den unterschiedlichen Ereignissen zu identifizieren. Die Idee ist, das Auftreten von dem einen Ereignis durch Verwenden von anderen Ereignissen, die vor ihm passieren, vorherzusagen (oder zu rekonstruieren). Präziser betrachtet man ein Vorhersagen des Auftretens des i-ten Ereignisses unter Verwendung von allen anderen j Ereignissen, wobei 1<j<D; j nicht gleich i. Dann waren wir dazu fähig, eine Anzahl von ni Paaren (X(i)_j, Y(i)J) zu erzeugen, wobei X(i)_j ein D-1-dimensionaler Vektor ist, Y(i)_j ein Skalar ist. Y j ( i ) = e j ( i )
    Figure DE112016005290T5_0002
     X j ( i ) [ d ] = t l ( d ) [ t j ( i ) Δ t , t j ( i ) ] f ( e l ( d ) )
    Figure DE112016005290T5_0003
  • 4 stellt einen Ansatz dar, um die Ereignissequenz in Regressionsdaten zu transformieren. Um die einigen Zeitstempel für jeden Ereigniskanal miteinander zu kombinieren, verwenden wir ein zeitbasiertes Neugewichtungsschema, um einen gewichteten Durchschnitt der Ereigniszahlen in jedem Kanal zu berechnen. Dann können wir das folgende Regressionsproblem definieren, um die Beziehung zwischen Folgendem aufzudecken: min X ( i ) α i Y ( i ) 2 2 + λ | α ( i ) |
    Figure DE112016005290T5_0004
     s . t . α ( i ) 0
    Figure DE112016005290T5_0005
  • Durch Zurückentwickeln jeder Ereignissequenz mit allen Restsequenzen und Wiederholen von diesem für jede Sequenz kann man D Modellkoeffizienten erhalten, wobei jeder D-1 Regressionskoeffizienten enthält. Da diese Koeffizienten alle nicht negativ sind, können wir diese Koeffizienten in einen Graphen transformieren. Spezifisch ist eine Matrix W eine D-mal-D-Matrix.
  • Ereignisausbreitung auf dem kausalen Graphen
  • Der temporale Kausalitätsgraph W fasst die Beziehung unter allen D Ereignissen zusammen. Die Randgewichtungen in diesem Graph beschreiben genau die Umsetzung der Systemereignissignatur vom Zeitstempel t-Δt zum Zeitstempel t. Daher können wir unter gegebener Systemereignissignatur bei irgendeiner zukünftigen Zeit t die Systemsignatur beim nächsten Zeitstempel vorhersagen als: v ( t + Δ t ) = α W v ( t ) + ( 1 α ) v ( t )
    Figure DE112016005290T5_0006
  • Gleichermaßen kann man dann, wenn man mehrere Schritte im Voraus vorhersagen möchte, die obige Gleichung iterativ anwenden. In einem Fall, in welchem man unendliche Schritte ausbreiten möchte, wird die konvergierte Signatur Folgendes sein: v ( t + ) = ( I α W ) 1 v ( t )
    Figure DE112016005290T5_0007
  • Anomalieerfassung
  • Der temporale kausale Graph kann verwendet werden, um den Zustand des Systems zu identifizieren, welches gewöhnlich aus mehreren Komponenten zusammengesetzt ist, deren Zwischenbeziehung wichtigen Aufschluss über das Systemverhalten geben kann. Es soll angenommen werden, dass wir die historischen Ereignissequenzen in der normalen Periode verwendet haben, um den Kausalitätsgraphen W zu bilden. In der Echtzeit-Testphase soll angenommen sein, dass wir die Ereignissignatur v(t) haben, die ein D-1-dimensionaler Vektor für irgendeine gegebene Zeit t ist. Dann können wir den Anomaliewert für die Ereignissignatur vt durch Untersuchen berechnen, ob die Muster eines gemeinsamen Auftritts in v(t) in W gefunden werden können. Wenn alle Muster bei einem gemeinsamen Auftritt in W gefunden werden können, dann wird die Ereignissignatur v(t) als normal angesehen werden; gegensätzlich dazu, nämlich dann, wenn die meisten der Muster eines gemeinsamen Auftritts in v(t) in W nicht vorhanden sind, wird angenommen, dass v(t) anomale Muster enthält. Im Folgenden schlagen wir zwei Arten vor, um die Anomaliewerte zu berechnen.
  • 5 zeigt einen beispielhaften gelenkten Graphen, der die temporalen Kausalitätsbeziehungen unter unterschiedlichen Ereignissen zusammenfasst. Jeder Knoten ist ein Ereignis und dann, wenn Wij > 0, existiert ein Rand zwischen dem i- und j-ten Knoten mit einer Gewichtung wij.
  • Anomaliewert durch nicht gesehene Muster eines gemeinsamen Auftritts Spezifischer können wir den Anomaliewert für v(t) berechnen als:
  • s ( t ) = i j g ( W i j ) v ( t ) i j i j ( 1 g ) ( W i j ) v ( t ) i j
    Figure DE112016005290T5_0008
  • Hier ist g() als eine abklingende Funktion definiert, wie beispielsweise die Gaußsche Kernelfunktion oder eine Stufenfunktion. Intuitiv misst der Wert das Verhältnis zwischen den nicht gesehenen Mustern eines gemeinsamen Auftritts in v(t) und denjenigen, die mit den Mustern im Graph W konsistent sind. Je höher der Wert ist, umso anomaler ist v(t).
  • Anomaliewert durch Pfadabstände auf dem Graphen
  • Das zweite Verfahren besteht im Berechnen der paarweisen Abstände der Nichtnullereignisse in v(t) auf dem gelenkten Graphen, der durch W definiert ist. Wenn ein Paar von Ereignissen (d.h. ein Muster eines gemeinsamen Auftritts) weit weg von jedem anderen auf dem Graphen ist (in Bezug auf den kürzesten Pfadabstand), dann wird dieses Muster stark anomal sein und sollte zum Ausmaß an Anomalie beitragen. Spezifischer kann man Folgendes definieren: s ( t ) = v ( t ) i j > 0 d i s ( i , j | W )
    Figure DE112016005290T5_0009
     dis ( i ,j | W ) = { k ü r z e s t e r P f a d A b s t a n d e s   e x i s t i e r t   e i n   P f a d   z w i s c h e n   i , j c k e i n   P f a d   z w i s c h e n   i , j
    Figure DE112016005290T5_0010
  • Schwelle für Alarme
  • Um eine Schwelle der Anomaliewerte so zu definieren, dass ein Alarm ausgelöst werden kann, kann man die Verteilung der historischen Signaturereignisvektor v(t)'s für t = 1; 2; ... T untersuchen. Durch Annehmen, dass der Anomaliewert einer Gauß-Verteilung folgt, kann man die Schwelle der Werte auf einfache Weise entsprechend einem Quantil von 5 % berechnen.
  • 6 stellt einen beispielhaften gelenkten bzw. gerichteten Graphen dar, der die temporalen Kausalitätsbeziehungen unter unterschiedlichen Ereignissen zusammenfasst. Jeder Knoten ist ein Ereignis, und wenn Wij > 0, dann existiert ein Rand zwischen dem i- und j-ten Knoten mit einer Gewichtung Wij.
  • Nimmt man Bezug auf die Zeichnungen, in welchen gleiche Bezugszeichen dieselben oder ähnliche Elemente darstellen, und anfänglich auf 7, ist ein Blockdiagramm, das ein beispielhaftes Verarbeitungssystem 100 beschreibt, auf welches die vorliegenden Prinzipien angewendet werden können, gemäß einer Ausführungsform der vorliegenden Prinzipien gezeigt. Das Verarbeitungssystem 100 enthält wenigstens einen Prozessor (CPU) 104, der operativ mit anderen Komponenten über einen System 102 gekoppelt ist. Ein Cache 106, ein Nurlesespeicher (ROM) 108, ein Direktzugriffsspeicher (RAM) 110, ein Eingabe/Ausgabe-(I/O-)Adapter 120, ein Klangadapter 130, ein Netzwerkadapter 140, ein Anwenderschnittstellenadapter 150 und ein Anzeigeadapter 160 sind operativ mit dem Systembus 102 gekoppelt.
  • Eine erste Speichervorrichtung 122 und eine zweite Speichervorrichtung 124 sind operativ mit einem Systembus 102 durch den I/O-Adapter 120 gekoppelt. Die Speichervorrichtungen 122 und 124 können irgendwelche einer Plattenspeichervorrichtung (z.B. einer magnetischen oder optischen Plattenspeichervorrichtung), einer Festkörper-Magnetvorrichtung und so weiter sein. Die Speichervorrichtungen 122 und 124 können derselbe Typ einer Speichervorrichtung sein oder unterschiedliche Typen von Speichervorrichtungen.
  • Ein Lautsprecher 132 ist operativ mit dem Systembus 102 durch den Klangadapter 130 gekoppelt. Ein Transceiver 142 ist operativ mit dem Systembus 102 durch einen Netzwerkadapter 140 gekoppelt. Eine Anzeigevorrichtung 162 ist operativ mit dem Systembus 102 durch einen Anzeigeadapter 160 gekoppelt. Eine erste Anwendereingabevorrichtung 152, eine zweite Anwendereingabevorrichtung 154 und eine dritte Anwendereingabevorrichtung 156 sind operativ mit dem Systembus 102 durch einen Anwenderschnittstellenadapter 150 gekoppelt. Die Anwendereingabevorrichtungen 152, 154 und 156 können irgendetwas von einer Tastatur, einer Maus, einem Keypad bzw. einer kleinen Tastatur, einer Bilderfassungsvorrichtung, einer Bewegungserfassungsvorrichtung, einem Mikrophon, einer Vorrichtung, die die Funktionalität von wenigstens zwei der vorangehenden Vorrichtungen enthält, und so weiter sein. Natürlich können andere Typen von Eingabevorrichtungen auch verwendet werden, während der Sinngehalt der vorliegenden Prinzipien beibehalten wird. Die Anwendereingabevorrichtungen 152, 154 und 156 können derselbe Typ einer Anwendereingabevorrichtung sein oder unterschiedliche Typen von Anwendereingabevorrichtungen. Die Anwendereingabevorrichtungen 152, 154 und 156 werden verwendet, um Information zu und von dem System 100 einzugeben und auszugeben.
  • Natürlich kann das Verarbeitungssystem 100 auch andere Elemente (nicht gezeigt) enthalten, wie es ohne weiteres von einem Fachmann auf dem Gebiet in Erwägung gezogen wird, so wie bestimmte Elemente weglassen. Beispielsweise können verschiedene andere Eingabevorrichtungen und/oder Ausgabevorrichtungen im Verarbeitungssystem 100 enthalten sein, und zwar in Abhängigkeit von der bestimmten Implementierung desselben, wie es ohne weiteres durch einen Fachmann auf dem Gebiet verstanden wird. Beispielsweise können verschiedene Typen von drahtlosen und/oder verdrahteten Eingabe- und/oder Ausgabevorrichtungen verwendet werden. Darüber hinaus können zusätzliche Prozessoren, Steuerungen, Speicher und so weiter in verschiedenen Konfigurationen auch verwendet werden, wie es ohne weiteres durch einen Fachmann auf dem Gebiet erkannt wird. Diese und andere Variationen des Verarbeitungssystems 100 werden angesichts der Lehren der hierin bereitgestellten vorliegenden Prinzipien durch einen Fachmann auf dem Gebiet ohne weiteres in Erwägung gezogen.
  • Es sollte verstanden werden, dass hierin beschriebene Ausführungsformen gänzlich Hardware sein können, oder sowohl Hardware- als auch Softwareelemente enthalten können, die Firmware, residente Software, einen Mikrocode, etc. enthalten, aber nicht darauf beschränkt sind.
  • Ausführungsformen können ein Computerprogrammprodukt enthalten, auf das von einem computernutzbaren oder computerlesbaren Medium zugreifbar ist, das einen Programmcode zur Verwendung durch einen oder in Verbindung mit einem oder irgendeinem Anweisungsausführungssystem bereitstellt. Ein computernutzbares oder computerlesbares Medium kann irgendeine Vorrichtung enthalten, die das Programm zur Verwendung durch das oder in Verbindung mit dem Anweisungsausführungssystem, der Vorrichtung oder dem Gerät speichert, kommuniziert, ausbreitet oder transportiert. Das Medium kann magnetisch, optisch, elektronisch, elektromagnetisch, Infrarot oder ein Halbleitersystem (oder eine Vorrichtung oder ein Gerät) oder ein Ausbreitungsmedium sein. Das Medium kann ein computerlesbares Speichermedium enthalten, wie beispielsweise einen Halbleiter oder einen Festkörperspeicher, ein Magnetband, eine entfernbare Computerdiskette, einen Direktzugriffsspeicher (RAM), einen Nurlesespeicher (ROM), eine feste Magnetplatte und eine optische Platte, etc.
  • Ein Datenverarbeitungssystem, das zum Speichern und/oder Ausführen eines Programmcodes geeignet ist, kann wenigstens einen Prozessor enthalten, wie z.B. einen Hardware-Prozessor, der direkt oder indirekt mit Speicherelementen durch einen Systembus gekoppelt ist. Die Speicherelemente können einen lokalen Speicher enthalten, der während einer aktuellen Ausführung des Programmcodes verwendet wird, einen Massenspeicher und Cache-Speicher, die eine temporäre Speicherung von wenigstens etwas von einem Programmcode bereitstellen, um die Anzahl von Malen zu reduzieren, für welche ein Code aus einem Massenspeicher während einer Ausführung ausgelesen wird. Eingabe/Ausgabe- oder I/O-Vorrichtungen (einschließlich, aber nicht darauf beschränkt, Tastaturen, Anzeigen, Zeigevorrichtungen, etc.) können mit dem System entweder direkt oder über dazwischenliegende I/O-Steuerungen gekoppelt sein.
  • Das System der 7 kann verbunden sein mit dem Internet, einem globalen System von miteinander verbundenen Computern und Computernetzwerken, die eine standardmäßige Internetprotokollfolge verwenden (z.B. das Übertragungssteuerungsprotokoll (TCP) und das Internetprotokoll (IP)), um miteinander zu kommunizieren. Das Internet der Dinge (loT) lässt zu, dass Objekte, nicht nur Computer und Computernetzwerke, lesbar, erkennbar, lokalisierbar, adressierbar und steuerbar sind über ein IoT-Kommunikationsnetzwerk (z.B. ein Ad-Hoc-System oder das Internet). Das System kann bei verschiedenen Anwendungen für das IoT verwendet werden. Beispielsweise können auf dem Gebiet von smarten Stromnetzen und Energiemanagement, Energieversorgungsfirmen eine Lieferung von Energie zu Wohnsitzen und Geschäften optimieren, während Kunden eine Energienutzung besser managen können. Auf dem Gebiet einer Wohnsitz- und Gebäudeautomatisierung können Smart-Homes bzw. -Wohnsitze und -Gebäude eine zentralisierte Steuerung über virtuell irgendeine Vorrichtung oder ein System zu Hause oder im Büro haben, und zwar von Haushaltsgeräten bis zu Sicherheitssystemen für Plug-In-Elektrofahrzeuge (PEV). Auf dem Gebiet einer Teileverfolgung können Unternehmen, Krankenhäuser, Fabriken und andere große Organisationen die Stellen von hochwertiger Ausrüstung, Patienten, Fahrzeugen und so weiter genau verfolgen. Auf dem Gebiet der Gesundheit und des Wohlfühlens können Ärzte die Gesundheit von Patienten von der Ferne aus überwachen, während die Leute den Fortschritt von Fitnessroutinen verfolgen können. Für diese IoT- oder Industriesysteme enthält die Erfassung von einer oder mehreren Anomalien im IoT-System ein Bilden eines temporalen Kausalitätsgraphen, der eine Funktionsbeziehung unter lokalen Komponenten in einer normalen Periode beschreibt; ein Anwenden des Kausalitätsgraphen als eine Ausbreitungsvorlage, um einen Systemzustand vorherzusagen, durch iteratives Anwenden von aktuellen Systemereignissignaturen; und ein Erfassen von der einen oder den mehreren Anomalien des Systems durch Untersuchen bezogener Muster auf dem Vorlagen-Kausalitätsgraphen, der normale Systemverhaltensweisen spezifiziert. Das System kann Ereignismuster auf dem Kausalitätsgraphen ausrichten, um einen Anomaliewert zu bestimmen.
  • Das Vorangehende ist in jeder Hinsicht als illustrativ und beispielhaft zu verstehen, aber nicht als beschränkend, und der Schutzumfang der hierin offenbarten Erfindung ist nicht aus der detaillierten Beschreibung zu bestimmen, sondern vielmehr aus den Ansprüchen, wie sie gemäß der vollen Breite interpretiert werden, die durch die Patentgesetze zugelassen ist. Es ist zu verstehen, dass die hierin gezeigten und beschriebenen Ausführungsformen nur illustrativ für die Prinzipien der vorliegenden Erfindung sind und dass Fachleute auf dem Gebiet verschiedene Modifikationen implementieren können, ohne vom Schutzumfang und Sinngehalt der Erfindung abzuweichen. Fachleute auf dem Gebiet könnten verschiedene andere Merkmalskombinationen implementieren, ohne vom Schutzumfang und Sinngehalt der Erfindung abzuweichen.

Claims (20)

  1. Verfahren zum Erfassen von einer oder mehreren Anomalien in einem System, umfassend: Bilden eines temporalen Kausalitätsgraphen, der eine Funktionsbeziehung unter lokalen Komponenten in einer normalen Periode beschreibt; Anwenden des Kausalitätsgraphen als eine Ausbreitungsvorlage, um einen Systemzustand vorherzusagen, durch iteratives Anwenden von aktuellen Systemereignissignaturen; und Erfassen von der einen oder den mehreren Anomalien des Systems durch Untersuchen bezogener Muster auf dem Vorlagen-Kausalitätsgraphen, der normale Systemverhaltensweisen spezifiziert.
  2. Verfahren nach Anspruch 1, umfassend einen Sensorenteil eines Internets der Dinge (loT), eines digitalen Netzwerksystems oder einer Cloud.
  3. Verfahren nach Anspruch 1, umfassend ein Bestimmen eines Anomaliewerts durch Verwenden des vorhergesagten Systemereignisses.
  4. Verfahren nach Anspruch 1, wobei das Bilden des temporalen Kausalitätsgraphen ein Durchführen einer nicht negativen zerstreuten Regression umfasst.
  5. Verfahren nach Anspruch 1, umfassend, dass jede Sequenz (oder Typ eines Ereignisses) mit dem Burst bzw. Bündel von Anomalieprotokollen in einem Server in einem gemeinsamen Netzwerksystem assoziiert ist.
  6. Verfahren nach Anspruch 1, umfassend ein Verwenden des Graphen, um normale Systemverhaltensweisen zu beschreiben, und dann ein Erfassen einer Anomalie basierend auf diesem kausalen Graphen als eine Vorlage.
  7. Verfahren nach Anspruch 1, wobei der Graph unter Verwendung von nicht negativem LASSO (kleinster absoluter Schrumpfungs- und Auswahloperator) bestimmt wird.
  8. Verfahren nach Anspruch 1, wobei eine Kombination einer kausalen Ableitung und einer Anomalieerfassung verwendet wird, um einen Systemfehler zu identifizieren.
  9. Verfahren nach Anspruch 1, umfassend, dass die verbesserte kausale Ableitung diskrete Ereignissequenzen mit einstellbaren Zeitverzögerungen handhaben kann.
  10. Verfahren nach Anspruch 1, umfassend ein Analysieren diskreter Ereignissequenzen.
  11. Verfahren nach Anspruch 1, umfassend ein Bestimmen von Kausalbeziehungen mit nicht negativer zerstreuter Regression.
  12. Verfahren nach Anspruch 1, umfassend ein Transformieren von mehreren Ereignissequenzen in eine Eingabe einer Reihe von Regressionsproblemen, um die temporale Kausalitätsbeziehung unter unterschiedlichen Ereignissen zu identifizieren.
  13. Verfahren nach Anspruch 1, umfassend ein Vorhersagen oder Rekonstruieren eines Auftretens von einem Ereignis durch Verwenden früherer Ereignisse.
  14. Verfahren nach Anspruch 1, umfassend ein Vorhersagen eines Auftretens eines i-ten Ereignisses unter Verwendung von anderen j Ereignissen, wobei 1<j<D; j nicht gleich i, und ein Erzeugen einer Anzahl von n_i-Paaren (X(i)_j, Y(i)_j), wobei X(i)_j ein D-1-dimensionaler Vektor ist, und Y(i)J ein Skalar ist, Y j ( i ) = e j ( i )
    Figure DE112016005290T5_0011
     X j ( i ) [ d ] = t l ( d ) [ t j ( i ) Δ t , t j ( i ) ] f ( e l ( d ) ) .
    Figure DE112016005290T5_0012
  15. Verfahren nach Anspruch 1, umfassend ein Kombinieren von mehreren Zeitstempeln miteinander für jeden Ereigniskanal, ein Anwenden eines zeitbasierten Neugewichtungsschemas, um einen gewichteten Durchschnitt der Ereigniszahlen in jedem Kanal zu bestimmen, und ein Anwenden einer Regression, um eine Beziehung zu bestimmen: min X ( i ) α i Y ( i ) 2 2 + λ | α ( i ) | s . t . α ( i ) 0.
    Figure DE112016005290T5_0013
  16. Durch Bilden einer Regression von jeder Ereignissequenz mit allen restlichen Sequenzen und Wiederholen davon für jede Sequenz kann man D Modellkoeffizienten erhalten, wobei jeder D-1 Regressionskoeffizienten enthält.
  17. Verfahren nach Anspruch 1, umfassend ein Bestimmen eines Anomaliewerts für v(t) als
    Figure DE112016005290T5_0014
    wobei g() als eine Abklingfunktion definiert ist.
  18. Verfahren nach Anspruch 1, umfassend ein Bestimmen eines Anomaliewerts für v(t) als paarweise Abstände von Nichtnullereignissen in v(t) auf einem gelenkten bzw. gerichteten Graphen.
  19. Verfahren nach Anspruch 1, umfassend ein Ausrichten von Ereignismustern auf dem Kausalitätsgraphen, um einen Anomaliewert zu bestimmen.
  20. Verfahren nach Anspruch 1, umfassend ein Durchführen einer Ereignisausbreitung auf dem temporalen Kausalitätsgraphen, um einen zukünftigen Zustand vorherzusagen.
DE112016005290.1T 2015-11-18 2016-11-16 Anomliefusion auf temporalen kausalitätsgraphen Pending DE112016005290T5 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562256752P 2015-11-18 2015-11-18
US62/256,752 2015-11-18
US15/351,449 2016-11-15
US15/351,449 US10235231B2 (en) 2015-11-18 2016-11-15 Anomaly fusion on temporal casualty graphs
PCT/US2016/062140 WO2017087440A1 (en) 2015-11-18 2016-11-16 Anomaly fusion on temporal casuality graphs

Publications (1)

Publication Number Publication Date
DE112016005290T5 true DE112016005290T5 (de) 2018-09-13

Family

ID=58717735

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016005290.1T Pending DE112016005290T5 (de) 2015-11-18 2016-11-16 Anomliefusion auf temporalen kausalitätsgraphen

Country Status (4)

Country Link
US (1) US10235231B2 (de)
JP (1) JP6609050B2 (de)
DE (1) DE112016005290T5 (de)
WO (1) WO2017087440A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11620553B2 (en) * 2016-04-21 2023-04-04 Utopus Insights, Inc. System and method for forecasting leaks in a fluid-delivery pipeline network
JP6730340B2 (ja) * 2018-02-19 2020-07-29 日本電信電話株式会社 因果推定装置、因果推定方法、及びプログラム
US11153144B2 (en) 2018-12-06 2021-10-19 Infosys Limited System and method of automated fault correction in a network environment
JP7120043B2 (ja) * 2019-01-23 2022-08-17 日本電信電話株式会社 グラフ要約装置、グラフ要約方法及びプログラム
US10976068B2 (en) 2019-09-03 2021-04-13 Resolute Building Intelligence, LLC System and method for configuring analytic rules to equipment based upon building data
US20210117998A1 (en) * 2019-10-21 2021-04-22 Oracle International Corporation Artificial Intelligence Based Room Personalized Demand Model
WO2021084609A1 (ja) * 2019-10-29 2021-05-06 日本電信電話株式会社 学習装置、分類装置、学習方法、分類方法及びプログラム
US11157347B2 (en) * 2019-12-02 2021-10-26 EMC IP Holding Company LLC Detection of resource bottlenecks in user devices using artificial intelligence and causal graphs
US11188403B2 (en) 2020-04-29 2021-11-30 Capital One Services, Llc Computer-based systems involving an engine and tools for incident prediction using machine learning and methods of use thereof
EP3905044B1 (de) 2020-04-30 2023-05-10 Bull SAS Automatisches analyseverfahren der transaktionsprotokolle eines verteilten it-systems
CN114691447A (zh) * 2020-12-30 2022-07-01 超聚变数字技术有限公司 一种设备的状态分析方法和分析装置
US20220253733A1 (en) * 2021-02-05 2022-08-11 Mingming Zuo Abnormality detection based on causal graphs representing causal relationships of abnormalities
US20220382614A1 (en) * 2021-05-26 2022-12-01 Nec Laboratories America, Inc. Hierarchical neural network-based root cause analysis for distributed computing systems
JPWO2022249369A1 (de) * 2021-05-26 2022-12-01
US11816080B2 (en) * 2021-06-29 2023-11-14 International Business Machines Corporation Severity computation of anomalies in information technology operations
US20230236922A1 (en) * 2022-01-24 2023-07-27 International Business Machines Corporation Failure Prediction Using Informational Logs and Golden Signals
CN115118580B (zh) * 2022-05-20 2023-10-31 阿里巴巴(中国)有限公司 告警分析方法以及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7530105B2 (en) * 2006-03-21 2009-05-05 21St Century Technologies, Inc. Tactical and strategic attack detection and prediction
US8370609B1 (en) * 2006-09-27 2013-02-05 Oracle America, Inc. Data cache rollbacks for failed speculative traces with memory operations
US8359577B2 (en) * 2008-12-23 2013-01-22 Honeywell International Inc. Software health management testbed
US8255346B2 (en) * 2009-11-11 2012-08-28 International Business Machines Corporation Methods and systems for variable group selection and temporal causal modeling
US20140108324A1 (en) * 2012-10-12 2014-04-17 Nec Laboratories America, Inc. Data analytic engine towards the self-management of complex physical systems
US9185124B2 (en) 2013-02-27 2015-11-10 Sayan Chakraborty Cyber defense systems and methods
US9195943B2 (en) * 2013-03-12 2015-11-24 Bmc Software, Inc. Behavioral rules discovery for intelligent computing environment administration
JP6101408B2 (ja) * 2013-09-10 2017-03-22 シマンテック コーポレーションSymantec Corporation イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法
US9367809B2 (en) * 2013-10-11 2016-06-14 Accenture Global Services Limited Contextual graph matching based anomaly detection
US9159032B1 (en) 2014-03-19 2015-10-13 Xerox Corporation Predicting arrival times of vehicles based upon observed schedule adherence

Also Published As

Publication number Publication date
US10235231B2 (en) 2019-03-19
WO2017087440A1 (en) 2017-05-26
JP6609050B2 (ja) 2019-11-20
JP2019502195A (ja) 2019-01-24
US20170235626A1 (en) 2017-08-17

Similar Documents

Publication Publication Date Title
DE112016005290T5 (de) Anomliefusion auf temporalen kausalitätsgraphen
DE112016001742T5 (de) Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken
DE102022201746A1 (de) Verwaltung von rechenzentren mit maschinellem lernen
Lindemann et al. Anomaly detection and prediction in discrete manufacturing based on cooperative LSTM networks
De Oca et al. A cusum change-point detection algorithm for non-stationary sequences with application to data network surveillance
DE60017457T2 (de) Verfahren zur isolierung eines fehlers in fehlernachrichten
DE112012000797T5 (de) Mehrfach-Modellierungsparadigma für eine Vorhersageanalytik
KR20180108446A (ko) Ict 인프라 관리 시스템 및 이를 이용한 ict 인프라 관리 방법
JP6730340B2 (ja) 因果推定装置、因果推定方法、及びプログラム
DE112021006232T5 (de) Proaktive anomalieerkennung
AT511272A1 (de) Kopplungsmethodik für nicht-iterative co-simulation
DE112018003496T5 (de) Kognitive energiebewertung durch einen nicht intrusiven sensor in einem wärmeenergie-fluidtransfersystem
Skordilis et al. A condition monitoring approach for real-time monitoring of degrading systems using Kalman filter and logistic regression
DE112021002866T5 (de) Modelltreueüberwachung und -neuerstellung zur entscheidungsunterstützung eines fertigungsverfahrens
CN112699048B (zh) 基于人工智能的程序故障处理方法、装置、设备及存储介质
Varbanov et al. A Bayesian approach to sequential monitoring of nonlinear profiles using wavelets
Quigley et al. A Bayes linear Bayes method for estimation of correlated event rates
Yang et al. Bayesian network based software reliability prediction by dynamic simulation
Zhang et al. Causal direction inference for network alarm analysis
Mammadova et al. Detecting shifts in Conway–Maxwell–Poisson profile with deviance residual-based CUSUM and EWMA charts under multicollinearity
Vilcu et al. Software application for the analysis of the reliability of a textile equipment
Zhou et al. Effects of model accuracy on residual control charts
Tamura et al. Reliability analysis methods for an embedded open source software
Stefanopoulou et al. Ensuring Reliability in Smart Building IoT Operations Through Real-Time Holistic Data Treatment
Chen et al. Universal structural estimator and dynamics approximator for complex networks

Legal Events

Date Code Title Description
R012 Request for examination validly filed