DE60000307T2 - Verfahren und Vorrichtung zur Feststellung von Service Abweichungen in transaktionsorientierten Netzwerken - Google Patents

Verfahren und Vorrichtung zur Feststellung von Service Abweichungen in transaktionsorientierten Netzwerken

Info

Publication number
DE60000307T2
DE60000307T2 DE60000307T DE60000307T DE60000307T2 DE 60000307 T2 DE60000307 T2 DE 60000307T2 DE 60000307 T DE60000307 T DE 60000307T DE 60000307 T DE60000307 T DE 60000307T DE 60000307 T2 DE60000307 T2 DE 60000307T2
Authority
DE
Germany
Prior art keywords
transaction
network
data
time
thresholds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60000307T
Other languages
English (en)
Other versions
DE60000307D1 (de
Inventor
Campbell Lap-Wah Lawrence Ho.
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of DE60000307D1 publication Critical patent/DE60000307D1/de
Application granted granted Critical
Publication of DE60000307T2 publication Critical patent/DE60000307T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5022Ensuring fulfilment of SLA by giving priorities, e.g. assigning classes of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5025Ensuring fulfilment of SLA by proactively reacting to service quality change, e.g. by reconfiguration after service quality degradation or upgrade
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • User Interface Of Digital Computer (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

    Technisches Gebiet
  • Die vorliegende Erfindung betrifft die proaktive Fehlererkennung und Anomalieerkennung auf Transaktionsnetzen.
    • Allgemeiner Stand der Technik
  • Transaktionsorientierte Netze, wie zum Beispiel das TAS-Netz (Transaction Access Services) von AT&T liefern allgegenwärtige Wähl-zu-Paket-Dienste zum Führen von Transaktionsverkehr kurzer Dauer. Die durchschnittliche Benutzung des TAS-Netzes kann an einem wenig geschäftigen und typischen Tag auf Millionen von Transaktionen kommen. Die Benutzung solcher Transaktionsnetze steigt weiter mit hoher Geschwindigkeit an. Typische Transaktionen unterstützen Kassenanwendungen und -dienste (z. B. Kredit-/Guthabenkartenauthorisierungen und Bezahlungen), Krankenkassenanwendungen, Bank- und Verkaufsanwendungen und andere datengestützte Verkaufsanwendungen.
  • Bei solchen transaktionsorientierten Netzen kann es sich um großflächige Netze (WANs) für Daten, Telekomm oder eine Kombination von Daten und Telekomm handeln, die solche Transaktionen kurzer Dauer (mit einer Dauer in der Größenordnung von Sekunden) zwischen einer Menge von Endgeräten (z. B. Kreditkarten-Scanner oder PCs) und einer Menge von Verarbeitungs-Servern (z. B. Kreditverarbeitungs-Servern) versorgen. Fig. 1 zeigt ein typisches Netz 101, wie zum Beispiel das TAS-Netz von AT&T, mit dem sehr viele Endgeräte verbunden sind, wie zum Beispiel Kreditkarten-Scanner 102-1-102-N und mehrere Host-Prozessoren 103-1-103-M. Das TAS-Netz von AT&T umfaßt drei Komponenten: ein AT&T-800-Netz 104, TAS-Knoten 105 und das AT&T-Paketnetz 106. Das TAS-Netz 101 ermöglicht eine transaktionsorientierte Kommunikation zwischen beliebigen der angeschlossenen Endgeräte 102, die geographisch über das gesamte Land verstreut sind, und ihrem gekennzeichneten bestimmten Verarbeitungs-Host. Der Zugang der mehreren Endgeräte 102 zu dem TAS-Netz erfolgt durch das 800-Netz 104, das an der Menge von TAS-Knoten (Modems) 105 abgeschlossen ist, in denen die POTS-zu-Paket-Protokollumsetzung bewirkt wird. Diese Knoten verwenden die Ziffern des Identifikationsdienstes für die gewählte Nummer (DNIS), die von den 4ESSTM-Vermittlungen in dem 800-Netz bereitgestellt werden, um vermittelte virtuelle Leitungen (SVCs) in dem Paketnetz 106 herzustellen. Das Paketnetz 106 schließt die Verbindung zwischen einem einzelnen Endgerät 102-i, das eine Transaktion eines bestimmten Typs einleitet, und dem bestimmten Host- Prozessor 103-j, der diesen Typ von Transaktion abschließen kann, ab.
  • Das TAS-Netz 101 unterstützt gleichzeitig Transaktionen mehrerer Dienstklassen, wobei jede Dienstklasse einen verschiedenen Typ von Transaktion darstellt. Zum Beispiel fallen VISA®-Kreditkartentransaktionen, die an den bestimmten VISA-Host-Prozessor gerichtet sind, der solche Transaktionen behandelt, in eine Klasse, MasterCard®-Kreditkartentransaktionen, die an den Mastercard-Host-Prozessor gerichtet sind, der solche Transaktionen behandelt, fallen in eine andere Klasse, Gesundheits-Kartentransaktionen für einen bestimmten pharmazeutischen Anbieter, die an den Host-Prozessor dieses Anbieters gerichtet sind, fallen in eine dritte Klasse usw. Transaktionen zwischen Klassen weisen wahrscheinlich sehr unterschiedliche zeitliche Kenngrößen auf, wie zum Beispiel die mittlere Transaktionsdauer und die Dauerverteilung, aufgrund der diversen Beschaffenheit des Typs von Transaktionen, die zwischen Klassen unterstützt werden. Zum Beispiel würde erwartet, daß eine Kreditkartenauthorisierung für einen Kauf unter Verwendung einer VISA-Kreditkarte eine kürzere Dauer aufweist als eine Gesundheits- Kartentransaktion, die mit einer Medikamenten- Nachfüllbestellung zusammenhängt.
  • Aufgrund der ungeheuer großen Anzahl von Transaktionen, die auf dem Netz unterstützt wird, ist es äußerst wichtig, daß Netzausfälle und Leistungsverschlechterungen möglichst gering gehalten werden. Ein Netzausfall oder eine Leistungsverschlechterung könnten zum Beispiel leicht die Fähigkeit von Verbrauchern in dem gesamten Land, mit ihren Kreditkarten Einkäufe zu tätigen, beeinträchtigen. Ein solches Szenario würde zu ernsthaften ökonomischen Auswirkungen für ein großes Segment der Business-Gemeinschaft führen. Sogar der Ausfall oder die Leistungsverschlechterung eines bestimmten einzelnen Host-Prozessors kann sich stark auf die Leistungen anderer Dienstklassen und des Netzes als Ganzes auswirken.
  • Zur Zeit überwachen und verwalten Netzmanagementsysteme die TAS-Knoten 105 in dem TAS-Netz 101, um Leistungsausfall in den Modem-Schaltkreisen zu erkennen. Solche Systeme reagieren auf einen harten Ausfall, wenn dieser auftritt. Ähnlich überwachen Managementsysteme Vermittlungen in dem 800-Netz 104 und Vermittlungen in dem Paketnetz 106 und reagieren ebenfalls nur auf tatsächliche Ausfälle auf dem überwachten Teil des Netzes. Somit werden nur das Netz selbst und die Komponenten, aus denen das Netz besteht, gerade überwacht und innerhalb des Netzes verwaltet. Bei solchen Managementsystemen kann der Ausfall oder die Leistungsverschlechterung von keinen nicht verwalteten Elementen erkannt werden.
  • Es ist jedoch häufig der Ausfall oder die Leistungsverschlechterung eines nichtverwalteten Elements, der bzw. die sich sehr nachteilig auf das gesamte Netz auswirken kann. Zum Beispiel kann die Leistungsverschlechterung eines Host-Prozessors, der Transaktionen in einer bestimmten Dienstklasse versorgt, nicht nur zu einer Verweigerung des Dienstes für diese eine Dienstklasse, sondern auch für Transaktionen in anderen Dienstklassen führen, die von anderen Host-Prozessoren versorgt werden, da alle Dienstklassen dieselbe Netzinfrastruktur und -betriebsmittel gemeinsam nutzen. Während Perioden mit hoher Verkehrsintensität, wie zum Beispiel während der Weihnachts-Einkaufssaison können außerdem Betriebsmitteldienste für die Dienstklassen VISA und MasterCard überlastet werden, was zu einer Betriebsmittelentführung von diesen dominanten Dienstklassen von anderen, weniger dominanten Dienstklassen führt, was zu einer Zugangsverweigerung für Transaktionen in diesen anderen, weniger dominanten Dienstklassen führt. Weiterhin bleibt auf der Transaktionseingangsseite des Netzes ein allgemeiner Ausfall von unverwalteten Transaktionensendgeräten, die einer bestimmten Dienstklasse zugeordnet sind, durch ein Netzmanagementsystem, das nur Netzelemente überwacht, unerkannt.
  • Es ist deshalb wünschenswert, in der Lage zu sein, die Netzleistung in Echtzeit zu messen und zu analysieren, woraus eine Anomalie erkannt werden kann, bevor ein tatsächlicher Ausfall auftritt, so daß rechtzeitig Korrekturmaßnahmen ausgeführt werden können, um Ausfälle zu vermeiden. Die Fehlererkennung auf einem lokalen Netz unter Verwendung der Anomalieerkennung wird von F. Feather, D. Siewiorek und R. Maxion in einer Arbeit mit dem Titel "Fault Detection in and Ethernet Using Anomaly Signature Matching", Computer Cornmuni ca tion Revi ew (ACM SIGCOMM' 93), Band 23, Nr. 4, Oktober 1993, beschrieben. Wie in dieser Arbeit beschrieben, werden beobachtbare Netzleistungsdaten direkt analysiert, um Anomalien zu erkennen. Es hat sich jedoch herausgestellt, daß eine Analyse von direkt beobachteten Netzleistungsdaten nicht empfindlich genug ist, damit Anomalien außerhalb des Netzes erkannt und somit proaktiv korrigiert werden können. Außerdem betreffen die von Feather et al. vorgeschlagenen Techniken im wesentlichen die Umgebung eines lokalen Ethernet-Netzes (Ethernet-LAN).
  • C. S. Hood und C. Ji beschreiben die Fehlererkennung auf einem bayesischen Netz unter Verwendung der Anomalieerkennung in einer Arbeit mit dem Titel "Probalistic Network Fault Detection", Global Telecommunications Conference (Globecom), IEEE, 18. November 1996 (18.11.1996), Seiten 1872-1876. Diese Arbeit beschreibt ein System, bei dem geringfügige Änderungen der Beschaffenheit gemessener Variablen aus einem bayesischen Netz durch Verwendung von Parametern eines autoregressiven Prozesses zweiter Ordnung bestimmt werden. Dann wird eine Wahrscheinlichkeitsfunktion, daß das Netz für eine gegebene Menge von Variablen abnormal ist, abgeschätzt. Spitzen in dieser zeitabhängigen Wahrscheinlichkeitsverteilung liefern eine Anzeige einer starken Wahrscheinlichkeit des Vorliegens einer Anomalie in dem Netz.
    • Kurze Darstellung der Erfindung
  • Die unabhängigen Ansprüche definieren ein Verfahren und einen Detektor gemäß der Erfindung. Bevorzugte Formen werden in den abhängigen Ansprüchen definiert.
  • Gemäß der vorliegenden Erfindung wird eine proaktive und automatische Erkennung von Netzausfällen und Leistungsverschlechterungen erzielt, indem zunächst Echtzeit-Netzleistungsdaten in eine auf Leistung basierende Zielfunktion umgesetzt werden. Die Zielfunktion, die aktuelle Echtzeitdaten verwendet, ist direkt mit den bestimmten Anomalien korelliert, die die Netzüberwachungsvorrichtung zu erkennen versucht. Diese Zielfunktion, die aus aktuellen Daten erzeugt wird, wird dann mit derselben Zielfunktion verglichen, die aus Vorgeschichte-Leistungsdaten vorhergesagt wird, um Anomalien in der Zielfunktion zu bestimmen, die aus den aktuellen Daten erzeugt wird, die probabilistisch einen potientiellen Fehler bedeuten. Durch einen solchen Echtzeitvergleich können Warnungen erzeugt werden, wenn in der aus den aktuellen Daten erzeugten Zielfunktion Anomalien erkannt werden.
  • Bei der Ausführungsform der vorliegenden Erfindung wird eine Zielfunktion, die zur Charakterisierung der Leistung von transaktionsorientierten Netzen verwendet wird, als Verkehrsintensität definiert. Für jede Transaktion ist die Transaktion durch die Dienstklasse, zu der die Transaktion gehört, die Startzeit der Transaktion und die Dauer der Transaktion gekennzeichnet. Aus aktuellen Transaktionsdaten wird für jede Dienstklasse eine zeitabhängige Verkehrsintensität berechnet, die als gleich der Gesamtzahl aktiver Transaktionen auf dem überwachten Netz, die in ein berechnetes Ablegeintervall fallen, definiert ist. Dieses Ablegeintervall wird für jede Dienstklasse adaptiv und dynamisch aus jüngsten Vorgeschichtetransaktionsdatensätzen bestimmt und ist eine Funktion des Median und der Wahrscheinlichkeitsverteilung der Transaktionsdauer für diese bestimmte Dienstklasse aus solchen vergangenen Daten. Aus einem größeren vergangenen Zeitrahmenfenster von Vorgeschichtedaten werden eine vorhergesagte Grundlinie und obere und untere zeitabhängige Verkehrsintensitätsschwellen für jede Dienstklasse unter Verwendung dieses Ablegeintervalls bestimmt. Eine Anomalie wird erkannt, wenn die Echtzeit- Verkehrsintensität zu einem bestimmten Zeitpunkt, die aus den aktuellen Daten unter Verwendung des bestimmten Ablegeintervalls berechnet wird, länger als ein vorbestimmtes Zeitintervall lang größer als die vorhergesagte zeitabhängige obere Schwelle oder kleiner als die vorhergesagte zeitabhängige untere Schwelle ist. Um die Entwicklung des Netzverkehrs zu berücksichtigen, werden die jüngsten Leistungsdaten periodisch mit den Vorgeschichtedaten integriert, um die Leistungsschwellen und die Grundlinie zu aktualisieren. Bei Erkennung einer Anomalie kann eine Warnung ertönen, wie zum Beispiel durch eine graphische Benutzeroberfläche (GUI), um eine Netzbedienungsperson auf das Vorliegen von Netzanomalien und -fehlern hinzuweisen. Die Bedienungsperson kann dann die Dienstklasse oder -klassen identifizieren, die der Anomalie zugeordnet sind, und die mögliche Ursache bzw. die möglichen Ursachen der Anomalie bestimmen. Als Alternative oder in Zusammenwirkung mit einer GUI kann bei Erkennung einer Anomalie eine Netzsteuermodul für eine automatische Rückkopplung und Steuerung, wie zum Beispiel das Ablösen eines potentiell ordnungswidrigen Host-Prozessors, oder zur Einleitung eines Umlenkmoduls signalisiert werden. Bei Erkennung einer Anomalie werden die Daten, die zu dieser Anomalie führen, aus der Datenbank entfernt, um eine Verwendung dieser Daten als Teil der zur Berechnung von Ablegeintervallen und der Grundlinie und der oberen und unteren Schwelle verwendeten Vorgeschichtedaten zu verhindern.
    • Kurze Beschreibung der Zeichnung
  • Fig. 1 ist ein Blockschaltbild eines vorbekannten Transaktionsnetzes eines Typs, für den die vorliegende Erfindung Anomalien mit Ursprung innerhalb oder außerhalb dieses Netzes erkennen kann;
  • Fig. 2A-2G zeigen die normierten Wahrscheinlichkeitsverteilungsfunktionen von Transaktionsdauern für eine bestimmte Dienstklasse für jeweils einen Montag- Sonntag;
  • Fig. 3 zeigt, wie die Verkehrsintensität bestimmt wird, an einem Ankunftsdiagramm, das als Pfeile dargestellte Transaktionen zeigt;
  • Fig. 4A-4G zeigen die Verkehrsintensitäten, die jeweils den Wahrscheinlichkeitsverteilungsfunktionen in Fig. 2A-2G entsprechen;
  • Fig. 5A-5C zeigen auf einer einzigen Zeitskala die Wochen-lange Verkehrsintensität, die entsprechenden Wochentag- und Wochenend-/Feiertagbeiträge bzw. eine entsprechende Fehlerfunktion;
  • Fig. 6 ist ein Blockschaltbild der Architektur des Transaktionsanomalieerkennungssystems der vorliegenden Erfindung;
  • Fig. 7 ist ein Funktionsblockschaltbild eines Regelgeneratorprozessors in dem Anomalieerkennungssystem von Fig. 6;
  • Fig. 8 ist eine Visualisierungsinstanz auf einer GUI für eine bestimmte Dienstklasse, die während normalen Betriebsbedingungen erzeugt wird, wobei die Echtzeit- Verkehrsintensität bis zu einem aktuellen Zeitpunkt gezeigt ist;
  • Fig. 9 ist eine Visualisierungsinstanz auf einer GUI einer anomalen Bedingung, die bei einem Abstürzen eines Transaktions-Servers für eine bestimmte Dienstklasse erzeugt wird, wenn diese Bedingung nicht von der vorliegenden Erfindung erkannt wird; und
  • Fig. 10 ist ein Flußdiagramm, das das Verfahren der vorliegenden Erfindung zusammenfaßt.
    • Ausführliche Beschreibung
  • Die vorliegende Erfindung wird nun für das Erkennen von Netz-/Dienstanomalien auf einem transaktionsorientierten großflächigen Netz (WAN), wie zum Beispiel dem in Fig. 1 gezeigten AT&T-Transaktions-Zugangs- Dienst-Netz (TAS-Netz) 101, beschrieben. Es versteht sich, daß die beschriebene Ausführungsform nicht auf das Erkennen von Netz-/Dienstanomalien dieser Art von Netz oder unbedingt auf einen WAN beschränkt ist. Statt dessen kann die Erfindung auf die Erkennung von Netz-/Dienstanomalien einer beliebigen Art von Netz angewandt werden, aus dem aus gerade beobachtbaren Echtzeit-Netzleistungsdaten eine Zielfunktion erzeugt werden kann, und bei dem diese Zielfunktion dann mit der Zielfunktion verglichen werden kann, die aus Vorgeschichte-Netzleistungsdaten erzeugt wird, um eine Anomalie in der aus aktuellen Leistungsdaten erzeugten Zielfunktion zu erkennen.
  • Auf dem vorliegenden transaktionsorientierten Netz 101 in Fig. 1, das Transaktionen kurzer Dauer zwischen einer Menge von Endgeräten 102-1 - 102-N und mehreren Host-Prozessoren 103-1-103-M versorgt, wird jede Transaktion eindeutig durch das folgende 4-Tuple identifiziert:
  • (i, s, ti.s, Δti.s) (2)
  • Hierbei bedeutet
  • - "i" die Transaktionskennung,
  • - "s" die Dienstklassenkennung, zu der die Transaktion gehört,
  • - ti.s die Startzeit der Transaktion und
  • - Δti.s die Dauer der Transaktion (für jede Dienstklasse "s" weist Δti.s einen Median, ein oberes und ein unteres Quartil und eine Wahrscheinlichkeitsverteilungsfunktion auf).
  • Die Transaktionskennung identifiziert eindeutig eine Transaktion (z. B. ein Zähler positiver ganzer Zahlen, während Transaktionen in dem Netz hervortreten). Die Dienstklassenkennung identifiziert, zu welcher Dienstklasse eine Transaktion gehört. Zum Beispiel sind eine VISA-Kreditkartentransaktion und eine mit der Gesundheitsversorgung zusammenhängende Transaktion (z. B. eine Medikamenten-Nachfüllbestellung) zwei verschiedene Klassen von Transaktionen. Sie gehören zu zwei verschiedenen Dienstklassen (bei einem typischen Mehrfach-Dienstklassen-Netz kann die Anzahl von Dienstklassen mehrere zehn oder sogar hunderte betragen), wobei eine eine wesentlich längere Median- Transaktionsdauer als die der anderen aufweist. Formal weist jede Transaktionsdienstklasse ihre eigene Median- Transanktionsdauer, ihr eigenes oberes und unteres Quartil und ihre eigene Wahrscheinlichkeitsverteilungsfunktion (PDF) von Transaktionsdauern auf.
  • Innerhalb jeder Dienstklasse zeigt eine Analyse der Transaktionsdaten (das 4-Tuple von Gleichung 1) eine beständige wochentägliche Dauerverteilung auf, möglicherweise mit einer anderen Dauerverteilung an jedem Wochenendtag oder an Feiertagen. Als Beispiel zeigen Fig. 2A-2G die normierten Wahrscheinlichkeitsverteilungen von Transaktionsdauern für eine bestimmte Dienstklasse, die hier als Dienstklasse 1 bezeichnet wird, jeweils für Montag-Sonntag. Um eine zuverlässige und effektive Netz-/Dienstanomalieerkennung zu entwickeln, müssen die statistischen Eigenschaften der beobachtbaren Zufallsgrößen (wie zum Beispiel der Transaktionsdauer) zeitlich relativ invariant (und daher im Mittel in die Zukunft vorhersehbar) sein. Aus den PDFs der Transaktionsdauer der Dienstklasse 1 in Fig. 2A-2G ist ihre tägliche Montag-Freitag-Wochentag- Wiederholbarkeitsbeschaffenheit beobachtbar. Weiterhin konnte auch eine wöchentliche Wochenend- und Feiertagsbeständigkeit beobachtet werden (nicht gezeigt).
  • Gemäß der vorliegenden Erfindung ist die Zielfunktion, die für die Anomalieerkennung gewählt wird, eine auf Dienstklassen basierende Verkehrsintensität. Verkehrsintensitäten werden direkt aus der beobachteten Transaktionsdauer und der Transaktionseinleitungszeit für die Transaktionen in jeder Dienstklasse berechnet. Die Verkehrsintensität ist ein Maß für die Anzahl aktiver Transaktionen, die als Funktion der Zeit einer bestimmten Dienstklasse gewidmet werden, unter Berücksichtigung der Größe eines Ablegeintervalls δT. Wie später besprochen wird, ist das Ablegeintervall δT eine Variable, die als Funktion der Median- Transaktionsdauer bestimmt wird, so daß probabilistisch ein sehr großer Anteil aller Transaktionen eine Dauer von weniger als dem Ablegeintervall aufweist. Fig. 3 zeigt Transaktionen, die als Pfeile in einem Ankunftsdiagramm dargestellt sind (die x-Achse stellt die ablaufende Zeit in Einheiten von δT dar, während die y-Achse die verschiedenen Transaktionen überspannt, die von einer ganzzahligen Menge von Transaktionskennungen dargestellt werden).
  • Mit dieser Darstellung werden die Startzeiten von Transaktionen als die Anfänge der Transaktionspfeile dargestellt, während die Transaktionsdauer durch die Länge der Transaktionspfeile dargestellt wird. In jedem Ablegeintervall der Dauer δT ist die Verkehrsintensität gleich der Gesamtzahl von Transaktionen, die entweder teilweise oder komplett in diese Ablage fallen. Die Transaktionszahl wird durch Summieren aller Transaktionen (d. h. Pfeile), die in diese Ablage fallen δT, berechnet, und die Verkehrsintensität Is für eine Dienstklasse s zum Zeitpunkt Tns wird gegeben durch:
  • Is(Tn,s) = Δti/δTs T = Tn,s; Tn,s = n · δTs, n = 0, 1, ..., Ns (2)
  • Für die sechs in Fig. 3 gezeigten beispielhaften Transaktionen enthält die erste Ablage (0 < T &le; &delta;T) alle sechs Transaktionen und daher sechs Einheiten (Kreise oder Erlang) der Verkehrsintensität; die zweite Ablage (&delta;T < T &le; 2&delta;T) enthält vier Transaktionen und daher vier Einheiten der Verkehrsintensität; und die dritte Ablage (2&delta;T < T &le; 3&delta;T) enthält zwei Transaktionen und daher zwei Einheiten (Kreise oder Erlang) der Verkehrsintensität.
  • Es folgt nun unmittelbar die mathematische Grundlage und Bestätigung aus tatsächlichen Daten, die die Verwendung der Verkehrsintensität als Zielfunktion, die für die Anomalieerkennung gemäß der vorliegenden Erfindung verwendet werden kann, rechtfertigt. Nach dieser Analyse wird die Anomaliedetektionsmethodologie der vorliegenden Erfindung beschrieben.
  • Die Montag-Sonntag-Verkehrsintensitäten der sogenannten Dienstklasse 1 sind jeweils in Fig. 4A-4G gezeigt, so wie sie aus den entsprechenden PDFs (Fig. 2A-2G) unter Verwendung der mathematischen Definition der Verkehrsintensität von Gleichung (2) erzeugt werden. Das Ablegeintervall, mit dem die Verkehrsintensitäten in diesen Figuren erzeugt werden, wurde als 23,6 s gewählt. Wie bereits erwähnt und noch weiter erläutert werden wird, ist das Ablegeintervall eine Funktion des Median von Transaktionen, so daß Transaktionen mit hoher Wahrscheinlichkeit, anormal zu sein, in den Verkehrsintensitäten hervorgehoben werden. Aus diesen Daten stellt das Ablegeintervall von 23,6 s viermal die Median-Transaktionsdauer aus Vorgeschichtedaten in der bestimmten beobachteten Dienstklasse dar.
  • Aus einer Analyse einer großen Datenmenge (Daten von einem Jahr) der auf Dienstklassen basierenden Verkehrsintensitäten wurde gefunden, daß tägliche wöchentliche und Wochenende-/Feiertagskomponenten existieren. Durch eine Analyse der Varianz kann die Verkehrsintensität für eine Dienstklasse "s" durch die folgende nichtstationäre Zeitreihe approximiert werden:
  • Is(t) = &alpha; (t) + B (t) + &epsi;s(t), (3)
  • wobei &alpha;(t) der Wochentag-Beitrag zu der Verkehrsintensität, &beta;(t) der Wochenende-Beitrag (Samstag, Sonntag und Feiertag) und &epsi;(t) die Fehlerfunktion (relative Fluktuation) ist, die effektiv die Abweichung der Verkehrsintensitäten von den Wochentag- und Wochenende-Grundlinien mißt. Fig. 5A-5C zeigen auf einer einzigen Zeitskala die Wochen-lange Verkehrsintensität der Dienstklasse 1 in Fig. 5A, den entsprechenden Wochentag-Beitrag &alpha;(t) und den Wochenende-/Feiertagbeitrag &beta;(t) in Fig. 5B, sowie die entsprechende Fehlerfunktion &epsi;(t) in Fig. 5C. An einem Wochentag gilt: &beta;(t) = 0 für alle t; an einem Tag des Wochenendes: &alpha;(t) = 0 für alle t. Es zeigt sich, daß der zeitliche Mittelwert von &epsi;(t) eine Potenzabhängigkeit zu dem zeitlichen Mittelwert von &alpha;(t) und &beta;(t) aufweist, so daß folgendes gilt:
  • [&epsi;(t)]² t { [&alpha;(t)]² t}r, 1,1 &le; r &le; 1,5, (4)
  • wobei die zeitlichen Mittelwerte über eine Dauer von einer Größenordnung größer als das Ablegeintervall genommen werden (für die der Dienstklasse 1 zugeordneten Daten beträgt diese Zahl 240 Sekunden).
  • Die &alpha;(t) und &beta;(t) der Dienstklassen können durch die folgenden Beziehungen approximiert werden:
  • so daß das aktuelle &alpha;(t) und &beta;(t) aus einer Reihe von &alpha;(t)s und &beta;(t)s und einem Skalierungsfaktor cs und ds aus den vorherigen fünf Wochentagen und vier vorherigen Wochenendtagen (einen Monat) unter Berücksichtigung der Fehler &Delta;s vorhergesagt (d. h. extrapoliert) werden können. In der Praxis werden die Skalierungsfaktoren cs und ds aus den Verhältnissen der &alpha;(t)s und &beta;(t)s der vorherigen Woche bzw. des vorherigen Monats bestimmt, d. h.
  • wobei die inneren zeitlichen Mittelwerte für die Dauer von 10 Ablegeintervallen berechnet werden, während der äußere Mittelwert für den gesamten Tag (oder 4 Wochen im Fall des ds) berechnet werden. Typische Werte von &Delta; liegen im Bereich von 5% bis 15%, so daß die Vorhersage von Verkehrsintensitäten sehr zuverlässig wird, und dieser Umstand wird von der Anomalieerkennungsmethodologie der Erfindung ausgenutzt.
  • Da nun somit die oben definierte und beschriebene Verkehrsintensität als eine Zielfunktion gerechtfertigt worden ist, wird nun die Verwendung dieser Funktion, die aus den Netz-Transaktionsdaten abgeleitet wird, für die adaptive Netzanomalieerkennung gemäß der vorliegenden Erfindung beschrieben. Allgemein gesagt, besteht die adaptive Anomalieerkennungsmethodologie aus drei Prozeßbestandteilen: 1) für jede Dienstklasse wird ein Ablegeintervall als eine Funktion des Median von Transaktionsdauern vergangener Transaktionsdaten bestimmt, wobei das Ablegeintervall so gewählt wird, daß aus der Verteilung von Transaktionsdauern in den zur Ableitung des Ablegeintervalls verwendeten Daten nur ein kleiner Anteil (z. B. &le;10%) von Transaktionsdauern größer als das Ablegeintervall ist; 2) unter Verwendung des in dem ersten Prozeß für jede Dienstklasse bestimmten Ablegeintervalls werden die zeitlich-basierte Grundlinie und obere und untere Schwellen-Leistungs-Schwellen der Verkehrsintensität (entsprechend dem oben beschriebenen prädiktiven &alpha;(t), &beta;(t) und &epsi;(t)) für jede Dienstklasse aus Vorgeschichte- Transaktionsdaten abgeleitet; und 3) in jeder Dienstklasse und unter Verwendung des für diese Klasse in dem ersten Teil bestimmten Ablegeintervalls werden Echtzeit-Transaktionsdaten in eine zeitliche Verkehrsintensität umgesetzt und mit den zeitlichen oberen und unteren Schwellen verglichen, um zu bestimmen, ob die Echtzeit-Verkehrsintensität die oberen oder unteren Schwellen übersteigt oder unter diese fällt, beziehungsweise, wenn dies der Fall ist, um welchen Grad und für wie lange. Aus diesem Vergleich kann das Vorliegen einer anormalen Bedingung erkannt werden und es kann entweder manuell durch Eingriff durch die Bedienungsperson oder automatisch durch Netzsteuermodule darauf reagiert werden.
  • Der Netzanomaliedetektor, der die drei oben beschriebenen Funktionsprozesse durchführt, wird bei der Ausführungsform der vorliegenden Erfindung als Echtzeitsoftware implementiert, die die Leistungsdaten des verwalteten Netzes adaptiv für jede Dienstklasse in eine Zielfunktion umsetzt (d. h. Verkehrsintensität), um Anomalien in der Verkehrsintensität in jedem Dienst in bezug auf vorgeschichtliche Grundlinien oder statistisch erwartetes Verhalten solcher Verkehrsintensitäten zu erkennen, wobei diese Anomalien Signaturen von weichen und harten Netzfehlern sind.
  • Bei dem ersten Prozeß werden die durch Netzvermittlungen erzeugten Transaktionsdatensätze gemäß einer Ablegestrategie, die von der vorgeschichtlichen Leistung der in Frage kommenden Dienstklasse abhängt, abgelegt, um Transaktionen zu erkennen, die mit hoher Wahrscheinlichkeit anormal sind. Durch Verwendung von Gleichung (2) werden Transaktionsdauern (mit dem Zeitstempel ti) berechnet, um in diskreten Zeitintervallen für jede Dienstklasse Verkehrsintensitäten zu bilden. Die Verkehrsintensität einer Dienstklasse liefert ein Maß der Gesamtzahl von Leitungen, die dieser Dienstklasse in Echtzeit zugewiesen werden. Für eine Dienstklasse "i" wird ihre Verkehrsintensität Is(Tn,s) zu diskreten Zeitpunkten Tn,s (n ist eine ganze Zahl, wobei ihr Maximalwert Ns die Gesamtzahl täglicher Zeitintervalle bestimmt) durch Gleichung (2) gegeben, wobei Transaktionen in einer Zeitablage (definiert durch das Ablegeintervall &delta;Ts, das dienstklassenabhängig ist) für die Dienstklasse summiert werden; und NS = (24 · 60 · 60)/&delta;Ts (wobei die Einheit von &delta;Ts s ist) ist die tägliche Anzahl von Zeitablagen von "s". Das Ablegeintervall &delta;Ts wird adaptiv und dynamisch aus vorgeschichtlichen Transaktionsdatensätzen bestimmt. Bei der bestimmten Ausführungsform der vorliegenden Erfindung umfassen die zur Bestimmung von &delta;Ts verwendeten vorgeschichtlichen Transaktionsdatensätze Transaktionsdatensätze für einen vergangenen Tag in dieser Dienstklasse. Der Wert von &delta;Ts hängt mit dem Median von Transaktionsdauern aus diesen Vorgeschichtedaten und der PDF dieser Transaktionsdauern in einer Dienstklasse zusammen und wird so bestimmt, daß nur ein kleiner Anteil von Vorgeschichte-Transaktionsdauern (z. B. 5%) dieses Ablegeintervall überschreitet. Wenn dieses Ablegeintervall auf Echtzeit-Transaktionsdaten angewandt wird, werden vorzugsweise somit Transaktionen, die mit hoher Wahrscheinlichkeit anormal sind, hervorgehoben.
  • Bei der Ausführungsform der Erfindung ist das Ablegeintervall direkt proportional zu dem Median der Transaktionsdauer einer Dienstklasse. Genauer gesagt gilt für diese Ausführungsform
  • &delta;Ts = 4 · median(&Delta;ti,s), (9)
  • wobei der Faktor vier aus empirischen Daten so bestimmt wurde, daß probabilistisch erwartet werden kann, daß ungefähr 95% aller Transkaktionsdauern kleiner als dieses Ablegeintervall sind.
  • Bei dem zweiten Prozeßbestandteil werden unter Verwendung des in dem ersten Prozeß für jede Dienstklasse bestimmten Ablegeintervalls zeitlichbasierte Lesstungsmeßverkehrsintensitätsschwellen für jede Klasse mit Hilfe eines größeren Körpers von Vorgeschichtedaten bestimmt. Zur Überwachung eines TAS- oder eines TAS-artigen Transaktionsnetzes werden Verkehrsintensitätsschwellen jeder TAS-Dienstklasse in vier separate tagesbezogene Gruppen klassifiziert: Wochentage, Samstage, Sonntage und Feiertage. Die Vorgeschichtedaten für jede Dienstklasse und für jede tagesbezogene Gruppe dienen dann zur Konstruktion adaptiver zeitlicher Verkehrsintensitätsschwellen für jede TAS-Dienstklasse für jede tagesbezogene Gruppe.
  • Für jede der vier Schwellengruppe wird eine Menge adaptiver Schwellen bestimmt, um die erwartete Leistung von TAS-Diensten an Wochentagen, Samstagen, Sonntagen bzw. Feiertagen vorherzusagen. Jede Menge von dynamischen Schwellen (obere und untere Schwellen) ist aus einer vorhergesagten Grundlinie s(Tn,s) und einer Toleranz s(Tn,s) (wobei "~" einen vorhergesagten Wert bezeichnen) folgendermaßen zusammengesetzt:
  • Die Grundlinie s(Tn,s) und die Toleranz s(Tn,s) werden aus Vorgeschichte-Transaktionsdaten durch eine eindimensionale Zeitreihenanalyse berechnet und werden in den Klassen "Wochentag", "Samstag", "Sonntag" und "Feiertag" klassifiziert. Die s(Tn,s) stellen die vorhergesagten mittleren Verkehrsintensitäten von Dienstklassen dar, während die s(Tn,s) die vorhergesagten mittleren Fluktuationen der entsprechenden Verkehrsintensitäten darstellen. Sowohl die s(Tn,s) als auch die s(Tn,s) werden periodisch unter Verwendung der jüngsten Transaktionsdaten aktualisiert, um die Entwicklung des Netzverkehrs zu berücksichtigen.
  • Die vorhergesagten s(Tn,s) und s(Tn,s) werden aus Gleichung (5) bis Gleichung (8) berechnet, und zwar explizit als:
  • s(t) = &alpha;s(t) + &beta;s(t) (13)
  • s(t) = { [&epsi;s(t)]² t}1/&sub2; (14)
  • Da das aktuelle &alpha;(t) und &beta;(t) und &epsi;(t) durch die Gleichungen (5), (6) bzw. (7) wie bereits beschrieben aus ihren vergangenen Werten berechnet werden können, können die oberen/unteren Schwellen und die Grundlinien der zeitlichen Verkehrsintensität für eine Dienstklasse aus Vorgeschichte-Netzdaten aus dieser Dienstklasse vorhergesagt werden. Bei der spezifischen Ausführungsform der vorliegenden Erfindung werden Transaktionsdaten von fünf Wochentagen zu für Wochentage und vier aufeinanderfolgende Wochenendtage zur Bestimmung der Grundlinie und der oberen und unteren Verkehrsintensitätsschwellen in jeder Dienstklasse für Wochenendtage verwendet.
  • Die erwartete Leistung von TAS-Diensten wird durch die obigen Schwellen vorhergesagt, und Abweichungen (sowohl bezüglich Betrag als auch Dauer, gemäß Definition durch eine Menge von Fehlerkriterien) von dem Erwarteten sind Anzeigen von Netz-/Dienstanomalien.
  • Bei der Anomalieerkennung ertönt eine Warnung, die die Ankunft einer Netz-/Dienstanomalie signalisiert, wenn (1) die gemessene (in Echtzeit) Verkehrsintensität Is,measured(Tn,s) zum Zeitpunkt Tn,s über die oberen oder unteren Schwellen hinaus abweicht; und (2) der vorherige Zustand für mehr als Tpersist andauert, d. h.
  • wobei Es(Tn,s) ein Fehlersignal ist, das abhängig davon, ob die gemessene Verkehrsintensität unter oder über die vorhergesagten unteren bzw. oberen Schwellen fällt, folgendermaßen bestimmt wird:
  • wobei abhängig davon, ob der aktuelle Tag der Woche ein Wochentag, Samstag, Sonntag oder ein Feiertag ist, separate Vergleiche durchgeführt werden.
  • Die Wahl der Parameter "a" und Tpersist in Gleichung (15) werden experimentell bestimmt. Bei der spezifischen Ausführungsform der vorliegenden Erfindung ertönt eine Warnung, um die Erkennung einer Netz-/Dienstanomalie zu signalisieren, wenn die Echtzeit-Verkehrsintensität Is,measured(Tn,s) zum Zeitpunkt Tn,s für eine Dauer von mehr als 15 Minuten von den oberen oder unteren Schwellen abweicht, d. h.
  • was wiederum von dem Tag der Woche abhängt (Wochentag, Samstag, Sonntag, Feiertag). In den Gleichungen (18) und (19) wird die Wahl des Parameters 15 Minuten für eine TAS-Netzfehlermanagementausführungsform gewählt, bei der Netzleistungsdaten alle 15 Minuten geliefert werden. Anormale Ereignisse, die weniger als 15 Minuten andauern, können somit nicht in Echtzeit erkannt werden. Der Parameter a in den Gleichungen (15), (18) und (19) wird aus einer Analyse experimenteller TAS- Transaktionsdaten bestimmt.
  • Die Architektur des Transaktionsanomalieerkennungssystems der vorliegenden Erfindung ist in Fig. 6 gezeigt. Transaktionsdaten zum Beispiel in Form von 4-Tuples pro Gleichung (1) werden kontinuierlich am Ende jedes 15-Minuten-Intervalls aus dem überwachten Netz 601 einem Sampler-Prozessor 602 und einer Datenbank 603 zugeführt. Unter Verwendung von Transaktionsdaten von einem vergangenen Tag in jeder Dienstklasse, die aus der Datenbank 603 zugeführt werden (unter der Annahme, daß der vergangene Tag und der aktuelle Tag beides Wochentage sind) berechnet der Sampler-Prozessor 602 das Ablegeintervall für jede Dienstklasse als Funktion der Median-Transaktionsdauer unter Verwendung von Gleichung (9). Unter Verwendung des berechneten Ablegeintervalls für jede Dienstklasse verarbeitet der Sampler-Prozessor 602 die Echtzeit- Transaktionsdaten dann, um die aktuelle Echtzeit- Verkehrsintensität für jede Dienstklasse zu erzeugen. Die Echtzeit-Verkehrsintensität in jeder Dienstklasse wird dann einem Detektor-Prozessor 604 zugeführt. Außerdem werden dem Detektor-Prozessor 604 die zeitliche Grundlinie, die oberen und unteren Schwellen für jede Dienstklasse aus einem Regelgenerator- Prozessor 605 für einen Tagestyp als der aktuelle Tag zugeführt. Der Regelgenerator-Prozessor 605 leitet unter Verwendung des durch den Sampler-Prozessor 602 bestimmten Ablegeintervalls und der in der Datenbank 603 aus den Daten der vergangenen Woche für Wochentage oder Monatsdaten für Wochenendtage gespeicherten Vorgeschichtedaten die zeitliche Grundlinie, die oberen und unteren adaptiven Schwellen für jede Dienstklasse für Wochentage bzw. Wochenendtage ab. Nach der Bestimmung, daß die aktuelle Verkehrsintensität in einer beliebigen Dienstklasse für eine Dauer von 15 oder mehr Minuten über die obere Schwelle oder unter die untere Schwelle fällt, erzeugt der Detektor- Prozessor 604 eine Warnung. Diese Warnung wird einer GUI 606 und/oder einem oder mehreren Korrektursteuermodulen 607, die mit dem Netz 601 verbunden sind, zugeführt. Die GUI 606 kann eine Kontrolltafel, ein Warnungsprotokoll und eine Verkehrs- Visualisierungsvorrichtung enthalten.
  • Fig. 7 ist ein Funktionsblockschaltbild, das zeigt, wie der Regelgenerator-Prozessor 605 die Grundlinie und die oberen und unteren Schwellen aus Vorgeschichtedaten bestimmt. Unverarbeitete, auf Dienstklassen basierende Vorgeschichtedaten der Transaktionszeit und der Verkehrsintensität Tn,s und Is[Tn,s] aus Gleichungen (1) und (2) für eine vergangene 24-Stunden-Periode für jede Dienstklasse werden in eine Kern-Glättungsvorrichtung 701 eingegeben, die eine Dreieck-Abklingfunktion mit einer im voraus berechneten Bandbreite über den Bandbreitengenerator 702 verwendet, um die unverarbeitete Verkehrsintensität zu glätten. Der Bandbreitengenerator 702 bestimmt, wie viele Datenpunkte geglättet werden sollen. Die geglättete Verkehrsintensität des letzten 24-Stunden-Perioden-Tags wird dann ablageweise mit den entsprechenden Verkehrsintensitäten Is der vorherigen fünf Wochentage, die aus der Datenbank 603 erhalten werden, durch den Skalierer 703 dividiert. Das Ergebnis sind fünf Skalierungsfaktoren, das cs in Gleichung (8), das dann in der Datenbank 603 gespeichert wird. Die fünf Skalierungsfaktoren des nächsten Tags in der vorherigen Woche (d. h. sechs Tage zuvor) werden dann aus der Datenbank 603 abgerufen und zusammen mit den Verkehrsintensitäten Is aus den letzten 24 Stunden und den vorherigen vier Wochentagen von dem Grundliniengenerator 704 zur Berechnung der vorhergesagten Grundlinie für den kommenden Tag unter Verwendung von Gleichung (5) verwendet. Dieselbe Prozedur wird durch Gleichung (6) auf Wochenendtage angewandt, mit der Ausnahme, daß statt der Verwendung von fünf vorherigen Wochentagen vier vorherige Samstage oder Sonntage verwendet werden und die entsprechenden Skalierungsfaktoren ds in Gleichung (8) von dem Skalierer 703 berechnet werden. Die aktuelle geglättete Verkehrsintensität I wird dann von dem Relativ- Fluktuations-Generator 705 zur Berechnung der Fluktuation (&sigma; in Gleichung (14) und Gleichung (3)) in bezug auf die nicht geglättete unverarbeitete Verkehrsintensität I verwendet. Die Fluktuation wird dann denselben Skalierungsschritten unterzogen, die oben für die Verkehrsintensität benutzt wurden, wobei der Skalierer 706 zur Berechnung seiner eigenen Wochentag- und Wochenende-Skalierungsfaktoren, der cs bzw. ds verwendet wird. Diese Skalierungsfaktoren werden dann von dem Schwellengenerator 707 zur Berechnung der vorhergesagten oberen und unteren Schwellen durch die Gleichungen (7) und (14) verwendet. Die Ausgaben des Grundliniengenerators 704 und des Schwellengenerators 707 sind die vorhergesagten Grundlinien und Schwellen für jede Dienstklasse sowohl für Wochentage als auch für Wochenenden.
  • Fig. 8 ist eine Visualisierungsinstanz für eine bestimmte Dienstklasse, die während normalen Betriebsbedingungen erzeugt wurde, wobei die Echtzeit- Verkehrsintensität für einen gegebenen Tag bis zu einer aktuellen Zeit gezeigt ist. Fig. 9 ist eine Visualisierungsinstanz, die die Verkehrsintensität für eine bestimmte Dienstklasse bei einem anormalen Zustand zeigt, der bei einem Abstürzen von Transaktions-Servern einer bestimmten Kreditkartenverarbeitungsdienstklasse erzeugt worden sein könnte. Diese Figur zeigt die Auswirkung auf die Verkehrsintensität für diese bestimmte Dienstklasse ohne Ausnutzung der vorliegenden Erfindung. Beim Einsetzen eines Serverausfalls belegt die ausfallende Dienstklasse unfairerweise Netzbetriebsmittel (physische Leitungen in dem Telcom- Netz und virtuelle Leitungen in dem Datennetz), was zu Spikes in der Transaktionsintensität führt. Wie in Fig. 9 gezeigt, dauert dieser Zustand mehr als zwei Stunden lang an. Die vorliegende Erfindung erkennt jedoch innerhalb der ersten 15 Minuten des Einsetzens des Serverausfalls den Umstand, daß die Verkehrsintensität dauernd die obere Schwelle übersteigt und erkennt die Dienstklasse, der der Ausfall zugeordnet ist. Bei Beobachtung der erzeugten Warnung und der Visualisierungsdaten kann ein Netzmanager dann Korrekturmaßnahmen durchführen, um die Auswirkung der bemerkten Anomalie in der Verkehrsintensität der betroffenen Dienstklasse möglichst gering zu halten. Durch Beachten der Dienstklasse, in der eine Anomalie erkannt wurde, kann der Netzmanager somit Verkehr auf dem Netz umlenken, andere Zugriffspunkte auf das Netz wählen oder die einer bestimmten betroffenen Dienstklasse zugeteilten Betriebsmittel zurückskalieren, um eine Betriebsmittelentführung durch diese betroffene Dienstklasse von anderen Dienstklassen zu verhindern. Wieder mit bezug auf Fig. 6 können zusätzlich zu oder anstatt der GUI 606 ein oder mehrere Korrektursteuermodule 607, die den Detektor 604 und das Netz 601 verbinden, auf eine erzeugte Warnung reagieren, um automatische Korrekturmaßnahmen zu treffen, wie zum Beispiel das Auslösen eines Unterbrechers zum Trennen der Versorgung für einen abstürzenden Transaktions-Server und/oder ein Umlenkmodul zum Umlenken von Verkehr in dem Netz.
  • Während die Zeit voranschreitet und aktuelle Transaktionsdaten in der Datenbank 603 gespeichert werden, werden die neueren Daten periodisch mit den älteren Daten integriert, so daß der Regelgenerator- Prozessor 605 bei der Bestimmung der oberen und unteren Leistungsschwellen die aktuelleren Daten verwenden kann, um die Entwicklung der Netzverkehrsstatistiken zu berücksichtigen. Wenn jedoch eine Anomalie erkannt wird, werden die aktuellen Transaktionsdaten, die diese Anomalie erzeugt haben, aus jeder Speicherstelle in der Datenbank 603, die aktuelle Daten speichert, entfernt, um zu verhindern, daß diese anormalen Daten etwaige nachfolgende Berechnungen des Ablegeintervalls und der Grundlinie und der oberen und unteren Schwellen kontaminieren.
  • Fig. 10 ist ein Flußdiagramm, das das Verfahren der vorliegenden Erfindung zusammenfaßt. Im Schritt 1001 wird für jede Dienstklasse unter Verwendung von Transaktionsdaten einer vergangenen Woche ein Ablegeintervall bestimmt. Im Schritt 1002 werden für jede Dienstklasse unter Verwendung des bestimmten Ablegeintervalls für diese Dienstklasse zeitliche Grundlinien, obere und untere Verkehrsintensitätsschwellen bestimmt. Im Schritt 1003 werden alle 15 Minuten aktuelle Transaktionsdaten empfangen. Diese Daten werden im Schritt 1004 gespeichert, während im Schritt 1005 für jede Dienstklasse unter Verwendung des im Schritt 1001 für jede Dienstklasse bestimmten Ablegeintervalls und der aktuellen Transaktionsdaten für jede Dienstklasse eine aktuelle zeitliche Verkehrsintensität bestimmt wird. Im Schritt 1006 wird für jede Dienstklasse die aktuelle Verkehrsintensität mit den im Schritt 1002 bestimmten zeitlich zugeordneten oberen und unteren Schwellen verglichen. Im Entscheidungsschritt 1007 wird für jede Dienstklasse bestimmt, ob die aktuelle Verkehrsintensität länger als eine vorgeschriebene Zeit lang größer als die obere Schwelle oder kleiner als die untere Schwelle ist. Wenn nicht, wird im Schritt 1009 keine Anomalie erkannt. Im Fall ja im Entscheidungsschritt 1007 wird dann im Schritt 1010 eine der Dienstklasse bzw. den Dienstklassen, für die aktuelle Verkehrsintensität die obere bzw. untere Schwelle überschritten hat oder darunter gefallen ist, eine Anomalie erkannt. Im Schritt 1011 wird die Fehlererkennung und die Entfernung einer ordnungswidrigen Dienstklasse durch eine GUI oder mit dem Netz verbundene Steuermodule bewirkt. Die Verarbeitung wird im Schritt 1003 fortgesetzt, in dem weiter neue aktuelle Transaktionsdaten empfangen und im Schritt 1004 in einer Datenbank gespeichert werden. Nach dem Schritt 1004 wird im Schritt 1012 bestimmt, ob seit der Aktualisierung der Vorgeschichtedaten, mit denen die oberen und unteren Schwellen bestimmt wurden, mit aktuelleren Daten ein größeres Intervall als ein vorbestimmtes Intervall vergangen ist. Wenn dieses vorbestimmte Intervall vergangen ist, dann werden im Schritt 1013 die Vorgeschichtedaten mit den neueren Daten aktualisiert, so daß die Grundlinie, die oberen und unteren Schwellen, die im Schritt 1002 aus Vorgeschichtedaten bestimmt wurden, statistisch die statistische Entwicklung aktueller Daten wiedergeben.
  • Wie bereits erwähnt, ist die vorliegende Erfindung nicht auf die Bestimmung von Anomalien auf einem großflächigen Transaktionsnetz beschränkt. Sie kann gleichermaßen auf die Bestimmung von Anomalien auf einer beliebigen Art von Netz angewandt werden, indem auf einem Netz beobachtete Leistungsdaten in eine Zielfunktion umgesetzt werden, die empfindlich auf Anomalien reagiert, die einen Netzfehler anzeigen können. Die obige Beschreibung ist deshalb lediglich ein Beispiel für die Prinzipien der Erfindung. Es versteht sich somit, daß Fachleute in der Lage sein werden, verschiedene Anordnungen zu konzipieren, die zwar hier nicht explizit beschrieben oder gezeigt wurden, aber dennoch die Erfindung, so wie sie in den Ansprüchen definiert wird, realisieren. Weiterhin sind alle Beispiele und konditionale Sprache, die hier angeführt wurden, hauptsächlich ausdrücklich nur für pädagogische Zwecke gedacht, um dem Leser ein Verständnis der Prinzipien der Erfindung und der von dem Erfinder zur Erzielung eines Fortschritts in der Technik beigetragenen Konzepte zu erleichtern und sollen nicht als Einschränkung auf solche spezifisch angeführten Beispiele und Konditionen aufgefaßt werden. Außerdem sollen alle Aussagen, die hier Prinzipien, Aspekte und Ausführungsformen der Erfindung sowie spezifische Beispiele dafür angeben, sowohl strukturelle als funktionelle Äquivalente dieser umfassen. Zusätzlich ist beabsichtigt, daß solche Äquivalente sowohl zur Zeit bekannte Äquivalente als auch in der Zukunft entwickelte Äquivalente, d. h. etwaige entwickelte Elemente, die dieselbe Funktion ungeachtet der Struktur durchführen, umfassen.
  • Somit ist zum Beispiel für Fachleute erkennbar, daß die hier angegebenen Blockschaltbilder Konzeptansichten von beispielhaften Schaltkreisen repräsentieren, die die Prinzipien der Erfindung realisieren. Ähnlich versteht sich, daß alle Flußdiagramme, Ablaufdiagramme und dergleichen verschiedene Prozesse darstellen, die im wesentlichen in einem computerlesbaren Medium dargestellt und so durch einen Computer oder Prozessor ausgeführt werden können, gleichgültig, ob ein solcher Computer oder Prozessor explizit gezeigt ist oder nicht.
  • Die Funktionen der verschiedenen in den Figuren gezeigten Elemente, einschließlich als "Prozessoren" oder "Server" bezeichneter Funktionsblöcke können entweder durch eigene Hardware oder durch Hardware, die Software ausführen kann, in Verbindung mit entsprechender Software, bereitgestellt werden. Bei Bereitstellung durch einen Prozessor, Server oder Computer können die Funktionen von einem einzigen eigenen Prozessor, von einem einzigen gemeinsam genutzten Prozessor oder von mehreren einzelnen Prozessoren, von denen einige gemeinsam genutzt werden können, bereitgestellt werden. Außerdem sollte die explizite Verwendung des Begriffs "Prozessor", "Server" oder "Computer" nicht als sich ausschließlich auf Hardware, die Software ausführen kann, beziehend aufgefaßt werden und kann implizit ohne Einschränkung Hardware für digitale Signalverarbeitung (DSP), Nur- Lese-Speicher (ROM) zum Speichern von Software, Direktzugriffsspeicher (RAM) und nichtflüchtige Speicherung umfassen. Andere Hardware, ob herkömmlich und/oder kundenspezifisch, kann ebenfalls enthalten sein.
  • In den vorliegenden Ansprüchen soll jedes Element, das als ein Mittel zum Durchführen einer spezifizierten Funktion ausgedrückt wird, jede beliebige Art der Durchführung dieser Funktion umfassen, darunter zum Beispiel a) eine Kombination von Schaltungselementen, die diese Funktion durchführen, oder b) Software in beliebiger Form, einschließlich daher Firmware, Mikrocode oder dergleichen in Kombination mit entsprechenden Schaltkreisen zur Ausführung dieser Software, um die Funktion durchzuführen. Die durch diese Ansprüche definierte Erfindung ist in dem Umstand verankert, daß die von den verschiedenen angeführten Mitteln bereitgestellten Funktionalitäten so kombiniert und zusammengebracht werden, wie es die Ansprüche vorschreiben. Der Anmelder betrachtet somit jedes beliebige Mittel, das diese Funktionalitäten bereitstellen kann, als den hier gezeigten äquivalent.

Claims (8)

1. Verfahren zum Erkennen einer Anomalie auf einem Netzwerk mit den folgenden Schritten:
Verwenden beobachteter Netzwerkdaten zur Bildung eines Vergleichs mit oberen und unteren Schwellen, die aus Vorgeschichtedaten bestimmt werden; und
Bestimmen, daß eine Anomalie in dem Netzwerk vorliegt, wenn der Vergleich zeigt, daß die verwendeten beobachteten Netzwerkdaten außerhalb der oberen und unteren Schwellen liegen;
dadurch gekennzeichnet, daß
das Netzwerk ein Transaktionsnetzwerk ist, über das elektronisch Transaktionen durchgeführt werden, und beobachtete Transaktionsdaten für jede Transaktion eine Startzeit der Transaktion und eine Dauer der Transaktion enthalten; und das Verfahren weiterhin die folgenden Schritte umfaßt:
Bestimmen (1001) eines Ablegeintervalls aus vergangenen Transaktionsdaten, das so gewählt wird, daß die Dauer von ungefähr mindestens 90% aller vergangenen Transaktionen kleiner als das Ablegeintervall ist;
Verwenden dieses bestimmten Ablegeintervalls zur Ableitung (1005) einer zeitveränderlichen Transaktionsintensität aus aktuellen Transaktionsdaten, wobei die Verkehrsintensität den Verkehr in dem Netzwerk zu einem gegebenen Zeitpunkt in dem bestimmten Ablegeintervall darstellt;
Verwenden dieses bestimmten Ablegeintervalls zur Ableitung (1002) von zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen aus Vorgeschichtedaten, die Arbeitstag-Vorgeschichtedaten von Nicht-Arbeitstag-Wochenende- und -Feiertags- Vorgeschichtedaten trennen, um die Schwellen abzuleiten;
Vergleichen (1006) der aus aktuellen Transaktionsdaten abgeleiteten Verkehrsintensität mit Werten der oberen und unteren Schwellen zu Zeitpunkten, die den Zeiten entsprechen, die den aktuellen Transaktionsdaten zugeordnet sind; und
Bestimmen (1007, 1010), daß eine Anomalie vorliegt, wenn der Vergleichsschritt zeigt, daß die aus aktuellen Transaktionsdaten abgeleitete Transaktionsintensität länger als eine vorbestimmte Zeit über der oberen Schwelle oder unter der unteren Schwelle liegt.
2. Verfahren nach Anspruch 1, wobei die Transaktionen in mehreren Dienstklassen stattfinden, wobei für mindestens eine bestimmte der mehreren Dienstklassen ein Ablegeintervall aus vergangenen Transaktionsdaten für diese bestimmte Dienstklasse bestimmt wird, wobei die Schritte des Ableitens einer zeitveränderlichen Transaktionsintensität, des Ableitens von zeitveränderlichen oberen und unteren Schwellen, des Vergleichens der Verkehrsintensität mit den oberen und unteren Schwellen und des Bestimmens, daß eine Anomalie vorliegt, für die bestimmte Dienstklasse durchgeführt werden.
3. Verfahren nach Anspruch 1, weiterhin gekennzeichnet durch die folgenden Schritte:
periodisches Aktualisieren (1013) der Vorgeschichtedaten mit aktuellen und kurz zurückliegenden Transaktionsdaten, die bei der Ableitung der zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen nicht benutzt wurden; und
Neuableiten (1002) der zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen unter Verwendung der aktualisierten Vorgeschichtedaten.
4. Verfahren nach Anspruch 3, wobei Transaktionsdaten, die eine Anomalie erzeugt haben, von den bei zur Aktualisierung der Vorgeschichtedaten verwendeten aktuellen und kurz zurückliegenden Transaktionsdaten ausgeschlossen (1008) werden.
5. Netzwerkanomaliedetektor, umfassend:
ein Mittel zur Verwendung beobachteter Netzwerkdaten zur Bildung eines Vergleichs mit oberen und unteren Schwellen, die aus Vorgeschichtedaten aus dem Netzwerk bestimmt werden; und
ein Mittel, das bestimmt, daß eine Anomalie in dem Netzwerk vorliegt, wenn der Vergleich zeigt, daß die verwendeten beobachteten Netzwerkdaten außerhalb der oberen und unteren Schwellen liegen;
dadurch gekennzeichnet, daß
das Netzwerk ein Transaktionsnetzwerk ist, über das elektronisch Transaktionen durchgeführt werden, und beobachtete Transaktionsdaten für jede Transaktion eine Startzeit der Transaktion und eine Dauer der Transaktion enthalten; und daß der Netzwerkanomaliedetektor weiterhin folgendes umfaßt:
ein Mittel (602) zum Bestimmen eines Ablegeintervalls aus vergangenen Transaktionsdaten, das so gewählt wird, daß die Dauer von ungefähr mindestens 90% aller vergangenen Transaktionen kleiner als das Ablegeintervall ist;
ein Mittel (602) zum Ableiten einer zeitveränderlichen Transaktionsintensität aus aktuellen Transaktionsdaten unter Verwendung des bestimmten Ablegeintervalls, wobei die Verkehrsintensität den Verkehr in dem Netzwerk zu einem gegebenen Zeitpunkt in dem bestimmten Ablegeintervall darstellt;
ein Mittel (605), das das bestimmte Ablegeintervall zur Ableitung von zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen aus Vorgeschichtedaten, die Arbeitstag-Vorgeschichtedaten von Nicht-Arbeitstag-Wochenende- und -Feiertags- Vorgeschichtedaten trennen, verwendet;
ein Mittel (604) zum Vergleichen der aus aktuellen Transaktionsdaten abgeleiteten Verkehrsintensität mit Werten der oberen und unteren Schwellen zu Zeitpunkten, die den Zeiten entsprechen, die den aktuellen Transaktionsdaten zugeordnet sind; und
ein Mittel (606, 607) zum Bestimmen, daß eine Anomalie vorliegt, wenn das Mittel zum Vergleichen bestimmt, daß die aus aktuellen Transaktionsdaten abgeleitete Transaktionsintensität länger als eine vorbestimmte Zeit über der oberen Schwelle oder unter der unteren Schwelle liegt.
6. Netzwerkanomaliedetektor nach Anspruch 5, wobei die Transaktionen in mehreren Dienstklassen stattfinden, wobei das Mittel zum Bestimmen eines Ablegeintervalls aus vergangenen Transaktionsdaten für mindestens eine bestimmte der mehreren Dienstklassen ein Ablegeintervall aus vergangenen Transaktionsdaten für diese bestimmte Dienstklasse bestimmt und das Mittel zum Ableiten einer zeitveränderlichen Transaktionsintensität, das Mittel zum Ableiten von zeitveränderlichen oberen und unteren Schwellen, das Mittel zum Vergleichen der Verkehrsintensität mit den oberen und unteren Schwellen und das Mittel zum Bestimmen, daß eine Anomalie vorliegt, diese Funktionen für die bestimmte Dienstklasse durchführen.
7. Netzwerkanomaliedetektor nach Anspruch 5, wobei die Vorgeschichtedaten periodisch mit aktuellen und kurz zurückliegenden Transaktionsdaten aktualisiert werden, die bei der Ableitung der zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen nicht benutzt wurden;
wobei das Mittel zum Ableiten der zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen die Schwellen unter Verwendung der aktualisierten Vorgeschichtedaten neu ableitet.
8. Netzwerkanomaliedetektor nach Anspruch 7, wobei Transaktionsdaten, die eine Anomalie erzeugt haben, von den bei zur Neuableitung der zeitveränderlichen oberen und unteren Transaktionsintensitätsschwellen verwendeten aktuellen und kurz zurückliegenden Transaktionsdaten ausgeschlossen werden.
DE60000307T 1999-06-29 2000-06-13 Verfahren und Vorrichtung zur Feststellung von Service Abweichungen in transaktionsorientierten Netzwerken Expired - Fee Related DE60000307T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US09/342,587 US6597777B1 (en) 1999-06-29 1999-06-29 Method and apparatus for detecting service anomalies in transaction-oriented networks

Publications (2)

Publication Number Publication Date
DE60000307D1 DE60000307D1 (de) 2002-09-12
DE60000307T2 true DE60000307T2 (de) 2003-04-10

Family

ID=23342456

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60000307T Expired - Fee Related DE60000307T2 (de) 1999-06-29 2000-06-13 Verfahren und Vorrichtung zur Feststellung von Service Abweichungen in transaktionsorientierten Netzwerken

Country Status (4)

Country Link
US (1) US6597777B1 (de)
EP (1) EP1065827B1 (de)
JP (1) JP2001057555A (de)
DE (1) DE60000307T2 (de)

Families Citing this family (120)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685311B2 (en) * 1999-05-03 2010-03-23 Digital Envoy, Inc. Geo-intelligent traffic reporter
US6801945B2 (en) * 2000-02-04 2004-10-05 Yahoo ! Inc. Systems and methods for predicting traffic on internet sites
US20020106070A1 (en) * 2000-10-27 2002-08-08 Elsey Nicholas J. Technique for effectively capturing and processing event data
US7383191B1 (en) * 2000-11-28 2008-06-03 International Business Machines Corporation Method and system for predicting causes of network service outages using time domain correlation
GB0104973D0 (en) * 2001-02-28 2001-04-18 Nokia Networks Oy Quality of service monitor
US7657935B2 (en) 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7424619B1 (en) * 2001-10-11 2008-09-09 The Trustees Of Columbia University In The City Of New York System and methods for anomaly detection and adaptive learning
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US8544087B1 (en) 2001-12-14 2013-09-24 The Trustess Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
WO2003073332A2 (en) * 2002-02-22 2003-09-04 Iplocks, Inc. Method and apparatus for monitoring a database system
AU2003228411A1 (en) * 2002-03-29 2003-10-13 Network Genomics, Inc. Forward looking infrastructure re-provisioning
FR2840485B1 (fr) * 2002-06-03 2004-12-03 Cit Alcatel Dispositif et procede de controle de profils, notamment de flux de donnees, dans un reseau de communications
US7337206B1 (en) * 2002-07-15 2008-02-26 Network Physics Method for detecting congestion in internet traffic
US7230929B2 (en) * 2002-07-22 2007-06-12 Qlogic, Corporation Method and system for dynamically assigning domain identification in a multi-module fibre channel switch
US7154886B2 (en) * 2002-07-22 2006-12-26 Qlogic Corporation Method and system for primary blade selection in a multi-module fiber channel switch
US7509229B1 (en) 2002-07-23 2009-03-24 Opnet Technologies, Inc. Bayesian approach to correlating network traffic congestion to performance metrics
US7334046B1 (en) 2002-08-05 2008-02-19 Qlogic, Corporation System and method for optimizing frame routing in a network
US7397768B1 (en) 2002-09-11 2008-07-08 Qlogic, Corporation Zone management in a multi-module fibre channel switch
US7362717B1 (en) 2002-10-03 2008-04-22 Qlogic, Corporation Method and system for using distributed name servers in multi-module fibre channel switches
US9503470B2 (en) 2002-12-24 2016-11-22 Fred Herz Patents, LLC Distributed agent based model for security monitoring and response
US8327442B2 (en) 2002-12-24 2012-12-04 Herz Frederick S M System and method for a distributed application and network security system (SDI-SCAM)
US7624174B2 (en) * 2003-05-22 2009-11-24 Microsoft Corporation Self-learning method and system for detecting abnormalities
US7355966B2 (en) * 2003-07-16 2008-04-08 Qlogic, Corporation Method and system for minimizing disruption in common-access networks
US7152132B2 (en) * 2003-07-16 2006-12-19 Qlogic Corporation Method and apparatus for improving buffer utilization in communication networks
US7388843B2 (en) * 2003-07-16 2008-06-17 Qlogic, Corporation Method and apparatus for testing loop pathway integrity in a fibre channel arbitrated loop
US7406092B2 (en) 2003-07-21 2008-07-29 Qlogic, Corporation Programmable pseudo virtual lanes for fibre channel systems
US7430175B2 (en) 2003-07-21 2008-09-30 Qlogic, Corporation Method and system for managing traffic in fibre channel systems
US7420982B2 (en) 2003-07-21 2008-09-02 Qlogic, Corporation Method and system for keeping a fibre channel arbitrated loop open during frame gaps
US7646767B2 (en) 2003-07-21 2010-01-12 Qlogic, Corporation Method and system for programmable data dependant network routing
US7894348B2 (en) 2003-07-21 2011-02-22 Qlogic, Corporation Method and system for congestion control in a fibre channel switch
US7352701B1 (en) 2003-09-19 2008-04-01 Qlogic, Corporation Buffer to buffer credit recovery for in-line fibre channel credit extension devices
US7103504B1 (en) * 2003-11-21 2006-09-05 Qlogic Corporation Method and system for monitoring events in storage area networks
US20050131937A1 (en) * 2003-12-15 2005-06-16 Parkyn Nicholas D. System and method for end-to-end management of service level events
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US7930377B2 (en) 2004-04-23 2011-04-19 Qlogic, Corporation Method and system for using boot servers in networks
US7340167B2 (en) * 2004-04-23 2008-03-04 Qlogic, Corporation Fibre channel transparent switch for mixed switch fabrics
US7617303B2 (en) 2004-04-27 2009-11-10 At&T Intellectual Property Ii, L.P. Systems and method for optimizing access provisioning and capacity planning in IP networks
US7669190B2 (en) 2004-05-18 2010-02-23 Qlogic, Corporation Method and system for efficiently recording processor events in host bus adapters
US10284571B2 (en) * 2004-06-28 2019-05-07 Riverbed Technology, Inc. Rule based alerting in anomaly detection
US7404020B2 (en) * 2004-07-20 2008-07-22 Qlogic, Corporation Integrated fibre channel fabric controller
US8295299B2 (en) 2004-10-01 2012-10-23 Qlogic, Corporation High speed fibre channel switch element
US7676611B2 (en) * 2004-10-01 2010-03-09 Qlogic, Corporation Method and system for processing out of orders frames
US20060085538A1 (en) * 2004-10-14 2006-04-20 Sbc Knowledge Ventures, L.P. System and method for enhanced network monitoring
FR2881009B1 (fr) * 2005-01-17 2007-04-20 Bouygues Telecom Sa Procede de detection d'evenements dans un reseau de telecommunications
US8400948B2 (en) * 2005-01-18 2013-03-19 Aspect Software Inc. Method and system for updating real-time data between intervals
US20060206419A1 (en) * 2005-03-10 2006-09-14 Peter Rosti Business process and user interfaces for money transfer
US20070078589A1 (en) * 2005-10-05 2007-04-05 Antonio Magnaghi Detecting anomalies internal to a network from traffic external to the network
US20070076611A1 (en) * 2005-10-05 2007-04-05 Fujitsu Limited Detecting anomalies from acceptable traffic affected by anomalous traffic
US8516104B1 (en) * 2005-12-22 2013-08-20 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting anomalies in aggregated traffic volume data
US8018835B1 (en) * 2005-12-30 2011-09-13 At&T Intellectual Property Ii, L.P. Method and apparatus for analyzing service disruptions in a communication network
US7590513B2 (en) * 2006-01-30 2009-09-15 Nec Laboratories America, Inc. Automated modeling and tracking of transaction flow dynamics for fault detection in complex systems
US7548560B1 (en) 2006-02-27 2009-06-16 Qlogic, Corporation Method and system for checking frame-length in fibre channel frames
US7738377B1 (en) * 2006-05-22 2010-06-15 At&T Intellectual Property Ii, L.P. Method and apparatus for volumetric thresholding and alarming on internet protocol traffic
US7546223B2 (en) * 2006-06-07 2009-06-09 Ee Systems Group Inc. Process and system of energy signal detection
US7865584B2 (en) * 2006-06-20 2011-01-04 Alcatel Lucent Network service performance monitoring apparatus and methods
US7720954B2 (en) * 2006-08-03 2010-05-18 Citrix Systems, Inc. Method and appliance for using a dynamic response time to determine responsiveness of network services
US20080077932A1 (en) * 2006-09-25 2008-03-27 International Business Machines Corporation Mechanism for Automatically Managing the Resource Consumption of Transactional Workloads
JP2010508587A (ja) * 2006-10-25 2010-03-18 アイエムエス ソフトウェア サービシズ リミテッド 市場データにおけるアノマリーを検出するシステム及び方法
US7613816B1 (en) 2006-11-15 2009-11-03 Qlogic, Corporation Method and system for routing network information
JP2008227578A (ja) * 2007-03-08 2008-09-25 Kochi Univ ネットワークシステム管理システム及びネットワーク管理運用方法
JP5298293B2 (ja) * 2007-03-30 2013-09-25 国立大学法人九州大学 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
CN101175044B (zh) * 2007-12-05 2011-10-26 华为软件技术有限公司 信息流量许可控制方法及装置
US20100031156A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. User Interface For Network Events and Tuning
JP5126015B2 (ja) * 2008-11-19 2013-01-23 富士通株式会社 パケット配信の品質評価装置及び方法
WO2011009000A1 (en) * 2009-07-15 2011-01-20 Nortel Networks Limited Method and apparatus for telecommunications network performance anomaly events detection and notification
US8443107B2 (en) 2009-11-11 2013-05-14 Digital Envoy, Inc. Method, computer program product and electronic device for hyper-local geo-targeting
US20130055283A1 (en) * 2010-05-07 2013-02-28 Dinkar Sitaram Workload Performance Control
US9213978B2 (en) * 2010-09-30 2015-12-15 At&T Intellectual Property I, L.P. System and method for speech trend analytics with objective function and feature constraints
US8751436B2 (en) * 2010-11-17 2014-06-10 Bank Of America Corporation Analyzing data quality
US9049034B2 (en) * 2010-12-20 2015-06-02 Hewlett-Packard Development Company, L.P. Multicast flow monitoring
JP5753460B2 (ja) * 2011-08-12 2015-07-22 エヌ・ティ・ティ・コムウェア株式会社 運用管理装置、運用管理方法、及び運用管理プログラム
US20130061290A1 (en) * 2011-09-06 2013-03-07 Jacob Mendel System for securely performing a transaction
US10296409B2 (en) * 2012-05-15 2019-05-21 International Business Machines Corporation Forecasting workload transaction response time
US20140114442A1 (en) * 2012-10-22 2014-04-24 The Boeing Company Real time control system management
US9817884B2 (en) 2013-07-24 2017-11-14 Dynatrace Llc Method and system for real-time, false positive resistant, load independent and self-learning anomaly detection of measured transaction execution parameters like response times
US9430273B2 (en) * 2014-02-27 2016-08-30 International Business Machines Corporation Suppressing aborting a transaction beyond a threshold execution duration based on the predicted duration
US10069900B2 (en) * 2014-08-05 2018-09-04 Oracle International Corporation Systems and methods for adaptive thresholding using maximum concentration intervals
CN104125013B (zh) * 2014-08-13 2017-02-22 烽火通信科技股份有限公司 无源光网络性能数据采集装置及处理方法
US20160148092A1 (en) * 2014-11-20 2016-05-26 Mastercard International Incorporated Systems and methods for determining activity level at a merchant location by leveraging real-time transaction data
US9531614B1 (en) * 2015-10-30 2016-12-27 AppDynamics, Inc. Network aware distributed business transaction anomaly detection
CN106656536B (zh) 2015-11-03 2020-02-18 阿里巴巴集团控股有限公司 一种用于处理服务调用信息的方法与设备
US10834110B1 (en) * 2015-12-18 2020-11-10 F5 Networks, Inc. Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
US10970891B2 (en) 2016-02-29 2021-04-06 Oracle International Corporation Systems and methods for detecting and accommodating state changes in modelling
US10699211B2 (en) 2016-02-29 2020-06-30 Oracle International Corporation Supervised method for classifying seasonal patterns
US10885461B2 (en) 2016-02-29 2021-01-05 Oracle International Corporation Unsupervised method for classifying seasonal patterns
US10331802B2 (en) 2016-02-29 2019-06-25 Oracle International Corporation System for detecting and characterizing seasons
US10198339B2 (en) 2016-05-16 2019-02-05 Oracle International Corporation Correlation-based analytic for time-series data
US10635563B2 (en) 2016-08-04 2020-04-28 Oracle International Corporation Unsupervised method for baselining and anomaly detection in time-series data for enterprise systems
US11082439B2 (en) 2016-08-04 2021-08-03 Oracle International Corporation Unsupervised method for baselining and anomaly detection in time-series data for enterprise systems
US10269236B2 (en) * 2016-09-06 2019-04-23 Honeywell International Inc. Systems and methods for generating a graphical representation of a fire system network and identifying network information for predicting network faults
US10915830B2 (en) 2017-02-24 2021-02-09 Oracle International Corporation Multiscale method for predictive alerting
US10949436B2 (en) 2017-02-24 2021-03-16 Oracle International Corporation Optimization for scalable analytics using time series models
US10439915B2 (en) * 2017-04-14 2019-10-08 Solarwinds Worldwide, Llc Network status evaluation
US20200202315A1 (en) * 2017-05-12 2020-06-25 Visa International Service Association System and Method for Identifying and Targeting Financial Devices to Promote Recurring Transactions
US11038869B1 (en) 2017-05-12 2021-06-15 F5 Networks, Inc. Methods for managing a federated identity environment based on application availability and devices thereof
US10817803B2 (en) 2017-06-02 2020-10-27 Oracle International Corporation Data driven methods and systems for what if analysis
US10621005B2 (en) 2017-08-31 2020-04-14 Oracle International Corporation Systems and methods for providing zero down time and scalability in orchestration cloud services
ES2955083T3 (es) * 2017-12-08 2023-11-28 Nokia Solutions & Networks Oy Métodos y sistemas para la generación y adaptación de líneas de base de red
US11368476B2 (en) * 2018-02-22 2022-06-21 Helios Data Inc. Data-defined architecture for network data management
WO2019197811A1 (en) * 2018-04-11 2019-10-17 Arm Limited Exception handling in transactions
US20190334759A1 (en) * 2018-04-26 2019-10-31 Microsoft Technology Licensing, Llc Unsupervised anomaly detection for identifying anomalies in data
US10997517B2 (en) 2018-06-05 2021-05-04 Oracle International Corporation Methods and systems for aggregating distribution approximations
US10963346B2 (en) 2018-06-05 2021-03-30 Oracle International Corporation Scalable methods and systems for approximating statistical distributions
US11138090B2 (en) 2018-10-23 2021-10-05 Oracle International Corporation Systems and methods for forecasting time series with variable seasonality
US12001926B2 (en) 2018-10-23 2024-06-04 Oracle International Corporation Systems and methods for detecting long term seasons
US11102092B2 (en) * 2018-11-26 2021-08-24 Bank Of America Corporation Pattern-based examination and detection of malfeasance through dynamic graph network flow analysis
US11276064B2 (en) 2018-11-26 2022-03-15 Bank Of America Corporation Active malfeasance examination and detection based on dynamic graph network flow analysis
WO2020137743A1 (ja) * 2018-12-28 2020-07-02 パナソニックIpマネジメント株式会社 電子制御装置、電子制御システムおよびプログラム
US10326676B1 (en) * 2019-01-08 2019-06-18 Extrahop Networks, Inc. Automated risk assessment based on machine generated investigation
US10855548B2 (en) * 2019-02-15 2020-12-01 Oracle International Corporation Systems and methods for automatically detecting, summarizing, and responding to anomalies
CN111866924B (zh) * 2019-04-25 2022-12-16 中国移动通信集团安徽有限公司 性能指标监控方法、装置、计算设备及计算机存储介质
US11533326B2 (en) 2019-05-01 2022-12-20 Oracle International Corporation Systems and methods for multivariate anomaly detection in software monitoring
US11537940B2 (en) 2019-05-13 2022-12-27 Oracle International Corporation Systems and methods for unsupervised anomaly detection using non-parametric tolerance intervals over a sliding window of t-digests
US11887015B2 (en) 2019-09-13 2024-01-30 Oracle International Corporation Automatically-generated labels for time series data and numerical lists to use in analytic and machine learning systems
US11349981B1 (en) 2019-10-30 2022-05-31 F5, Inc. Methods for optimizing multimedia communication and devices thereof
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11502894B2 (en) * 2020-11-10 2022-11-15 Accenture Global Solutions Limited Predicting performance of a network order fulfillment system
US12019616B2 (en) * 2022-01-24 2024-06-25 Dell Products L.P. Evaluation framework for anomaly detection using aggregated time-series signals
CN116611797B (zh) * 2023-07-20 2023-10-13 杭银消费金融股份有限公司 业务跟踪及监控方法、系统与存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69225822T2 (de) * 1991-03-12 1998-10-08 Hewlett Packard Co Auf Hypothesen und Schlussfolgerungen basiertes Diagnoseverfahren von Datenkommunikationsnetzwerken
CA2116278C (en) * 1993-03-01 2000-07-25 Robert O. Quinn Graphical interface for cellular system
US5659593A (en) * 1994-11-30 1997-08-19 Lucent Technologies Inc. Detection of deviations in monitored patterns
ATE191112T1 (de) 1995-02-02 2000-04-15 Cabletron Systems Inc Verfahren und anordnung zum lernen von verhaltentrends von netzwerken und vorhersagen des zukünftigen verhaltens von datenübertagungsnetzwerken
US5699403A (en) * 1995-04-12 1997-12-16 Lucent Technologies Inc. Network vulnerability management apparatus and method

Also Published As

Publication number Publication date
US6597777B1 (en) 2003-07-22
DE60000307D1 (de) 2002-09-12
EP1065827B1 (de) 2002-08-07
EP1065827A1 (de) 2001-01-03
JP2001057555A (ja) 2001-02-27

Similar Documents

Publication Publication Date Title
DE60000307T2 (de) Verfahren und Vorrichtung zur Feststellung von Service Abweichungen in transaktionsorientierten Netzwerken
DE60214994T2 (de) Verfahren und system zur verringerung von falschalarmen in netzwerkfehlermanagementsystemen
DE69430841T2 (de) Verfahren und Vorrichtung zum Bestimmen der Netzwerkverzögerungen
DE69925557T2 (de) Überwachung des Durchsatzes eines Computersystems und eines Netzwerkes
DE69622026T2 (de) Verfahren und gerät zur verfahrensbasierter alarmmeldung in einer verteilter netzwerkverwaltingsumgebung
DE60124970T2 (de) Nicht-beeinflussende Bestimmung von Ende-zu-Ende Netzwerkeingenschaften
DE69829759T2 (de) Verteilung von nachrichten zu dienststeuereinrichtungen
DE102005020893A1 (de) System zur adaptiven Bestimmung von Operationseigenschaften einer ausführbaren Anwendung
DE102014211504A1 (de) Verfahren und System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur
DE69838204T2 (de) Integrierte Überlaststeuerung für verteilte Echtzeitsysteme
DE69832548T2 (de) Verfahren zur Erkennung von durch Signalabbau verursachten Fehlerbedingungen in SONET- und SDH-Signalen
DE102022201746A1 (de) Verwaltung von rechenzentren mit maschinellem lernen
EP1223709A2 (de) Verfahren und Vorrichtung zum rechnergestützten Überwachen eines Telekommunikationsnetzes
DE69633939T2 (de) Verkehrsüberlastregelungssystem in intelligenten elektronischen netzen
DE60203404T2 (de) Client-server netzwerken
DE69331372T2 (de) Überwachung des Zustandes eines Systems
DE10163530A1 (de) Verfahren zum Überwachen der Dienstgüte in paketorientierten Netzen
EP1520433A1 (de) Erkennung von dienst-minderleistungen in einem kommunikationsnetz
DE602005002418T2 (de) Verwaltungsverfahren und -system für Netzverwaltungssysteme
DE69830212T2 (de) Gerät zur Verkehrsüberwachung in einem Telekommunikationsnetzwerk
DE102019131038B4 (de) Detektion von Ereignisstürmen
DE69425253T2 (de) Verfahren zur steuerung eines telekommunikationsnetzwerks
EP1072165B1 (de) Verfahren zur erkennung von missbräuchen von dienstleistungen des netzbetreibers mittels online-analyse von kundenbezogenen datensätzen
EP1349314B1 (de) Verfahren zur Überwachung von Service-Level-Agreements
EP1371236B1 (de) Verfahren zur selektiven und gesammelten weiterleitung von meldungen in einem tmn-netzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee