FI114749B - Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi - Google Patents

Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi Download PDF

Info

Publication number
FI114749B
FI114749B FI20001997A FI20001997A FI114749B FI 114749 B FI114749 B FI 114749B FI 20001997 A FI20001997 A FI 20001997A FI 20001997 A FI20001997 A FI 20001997A FI 114749 B FI114749 B FI 114749B
Authority
FI
Finland
Prior art keywords
time
input
period
behavior
indicators
Prior art date
Application number
FI20001997A
Other languages
English (en)
Swedish (sv)
Other versions
FI20001997A (fi
FI20001997A0 (fi
Inventor
Antti Sorvari
Albert Hoeglund
Kimmo Haetoenen
Original Assignee
Nokia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Corp filed Critical Nokia Corp
Publication of FI20001997A0 publication Critical patent/FI20001997A0/fi
Priority to FI20001997A priority Critical patent/FI114749B/fi
Priority to AU2001269056A priority patent/AU2001269056A1/en
Priority to US10/363,745 priority patent/US7519860B2/en
Priority to EP01947345A priority patent/EP1325588A1/en
Priority to PCT/EP2001/006405 priority patent/WO2002021774A1/en
Priority to EP01967371A priority patent/EP1334417A1/en
Priority to CNB018154476A priority patent/CN1196984C/zh
Priority to PCT/FI2001/000783 priority patent/WO2002021242A1/en
Priority to JP2002524792A priority patent/JP4436042B2/ja
Priority to AU2001287759A priority patent/AU2001287759A1/en
Priority to CA2421928A priority patent/CA2421928C/en
Publication of FI20001997A publication Critical patent/FI20001997A/fi
Priority to US10/383,224 priority patent/US7613668B2/en
Application granted granted Critical
Publication of FI114749B publication Critical patent/FI114749B/fi

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Description

114749
Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi
Keksinnön tausta
Keksintö liittyy poikkeamien (anomalioiden) ilmaisemiseen tietoko-5 ne- ja tietoliikenneverkoissa, joissa normaalin käyttäytymisen käsite vaihtelee ajan mukana. Tarkemmin sanottuna, keksintö liittyy erityisesti ilmaisujärjestel-män opettamiseen. Eräs esimerkki tällaisesta poikkeaman ilmaisumekanismis-ta perustuu itsejärjestyviin karttoihin (self-organizing maps (SOM)).
Mekanismit epänormaalien tilanteiden ilmaisemiseksi kuuluvat yh-10 teen kahdesta pääkategoriasta, nimittäin sääntöpohjaisiin ilmaisumekanismei-hin ja anomalianilmaisumekanismeihin. Sääntöpohjaiset ilmaisumekanismit yrittävät tunnistaa tiettyjä käyttäytymismalleja, jotka tiedetään virheellisiksi. Sääntöpohjaisilla ilmaisumekanismeilla on siis kaksi vakavaa rajoitusta: ne voivat havaita vain ongelmia, jotka ovat esiintyneet aiemmin ja jotka on ekspli-15 siittisesti opetettu ilmaisujärjestelmälle tai ohjelmoitu siihen. Anomalianil-maisujärjestelmät (anomaly detection systems (ADS)), kuten termiä tässä hakemuksessa käytetään, kääntävät ilmaisuongelman: niille opetetaan, mitä normaali käytös on, ja kaikki normista olennaisesti (ennalta määrätyllä marginaalilla) poikkeava tulkitaan anomaliaksi. ADS-mekanismit kykenevät ilmaise-20 maan potentiaalia ongelmatilanteita ilman, että tällaisia tilanteita opetetaan eksplisiittisesti. Eräs ADS:n esimerkki esitetään lähteessä 1. ADS siis määritellään mekanismina, joka opetetaan kohdejärjestelmän normaalilla käyttäytymi-• sellä. Niin ollen ADS liputtaa jokaisen merkittävän poikkeaman normaalista potentiaalisena anomaliana. Sen sijaan sääntöpohjainen ilmaisumekanismi •j 25 opetetaan tunnetuilla epänormaaleilla käyttäytymismalleilla, ja se ilmaista vain : sille opetetut ongelmat.
. ·. Lähde 1 esittää ADS:n Unix-pohjaiseen tietokonejärjestelmään. Jär jestelmä koostuu tiedonkeruukomponentista, käyttäjän käytöksen visualisointi-komponentista, automaattisesta anomalianilmaisukomponentista sekä käyttö-' ; 30 liittymästä. Järjestelmä vähentää anomalian ilmaisemiseen tarvittavan datan ·’ määrää valitsemalla joukon ominaisuuksia, jotka kuvaavat käyttäjän käyttäy tymistä järjestelmässä. Automaattinen anomalianilmaisukomponentti approk-simoi käyttäjien päivittäisiä profiileja itsejärjestyvillä kartoilla (SOM), jotka on • \t alunperin luonut Teuvo Kohonen. Eräs SOM:in avainparametri on paras kuva- 35 usetäisyys eli Best Mapping Unit (BMU) -etäisyys. SOM:in BMU -etäisyyksiä »» » käytetään ilmaisemaan poikkeamia päivittäisistä profiileista. Eräs tällaisten 2 114749 poikkeamien mitta ilmaistaan anomahan P-arvona. Lähteen 1 mukaan ADS on testattu, ja sen on havaittu pystyvän ilmaisemaan suuri joukko poikkeavia käyttäytymisiä.
Ongelmana tunnetuissa SOM-perusteisissa ADS-mekanismeissa 5 on, että ne rajoittuvat ilmaisemaan ongelmia järjestelmissä, joissa on hyvin määritelty normaali käyttäytyminen. Useimmissa tietoliikenneverkoissa ’’normaalin käytöksen” käsite on parhaimmillaankin epämääräinen. Verkkoelementin käytös huippuhetkellä on hyvin erilaista kuin sen käytös hiljaisina aamuyön tunteina. Tarkemmin sanottuna, useimmiten käyttäjät aiheuttavat muutoksen 10 siinä, mitä pidetään normaalina. Toisin sanoen tunnetut ADS-mekanismit eivät helposti sovellu ilmaisemaan ongelmia järjestelmissä tai elementeissä, joiden normaalikäytös vaihtelee ajan mukana.
Keksinnön lyhyt selostus
Keksinnön tavoitteena on siten tuottaa mekanismi opettamaan sel-15 laisia ADS-järjestelmiä, jotka tukeutuvat normaalikäyttäytymisen käsitteeseen järjestelmässä, jossa normaalikäytös vaihtelee merkittävästi ajan mukana.
Tässä yhteydessä ’’merkittävästi” tarkoittaa, että tiettyinä hetkinä normaalina pidettävää käytöstä pidetään muina aikoina poikkeavana.
Tämä tavoite saavutetaan menetelmällä ja laitteistolla, joille on tun-20 nusomaista se, mitä sanotaan itsenäisissä patenttivaatimuksissa. Keksinnön edulliset suoritusmuodot ovat epäitsenäisten patenttivaatimusten kohteena.
• ·· Keksintö perustuu osaksi siihen ajatukseen, että aikaa käytetään : ADS:n ottodatan komponenttina. Mutta ei riitä, että aika sisällytetään ottoda- : taan, jos aika esitetään suureena, joka kasvaa lineaarisesti kiinteästä alkupis-
·;·· 25 teestä. Tämä johtuu siitä, että tällainen ajan esitys ei ole toistuva, eikä ADS
; tietäisi, koska tietty käytös on normaalia ja koska poikkeavaa. Ei myöskään . *. riitä sisällyttää aikaa jaksollisena suureena (kuten 24 tunnin kello), koska päi- vittäiset hyppäykset ajasta 23:59 aikaan 00:00 aiheuttaisivat ottodataan merkit-. tävää epäjatkuvuutta.
; 30 Niinpä keksintö perustuu myös sellaisen ajan esityksen formuloin- ** tiin, joka riittää ratkaisemaan aikariippuvan normaalikäyttäytymisen ongelman ... järjestelmissä, kuten tietoliikenneverkoissa. Keksinnön mukaisesti ottodatan : 'komponenttina käytettävä ajan esitys on 1) jaksollinen, 2) jatkuva ja 3) yksikä-sitteinen (ottodatan jakson puitteissa). Eräs edullinen esimerkki tällaisesta ajan \ 35 (t) esityksestä on projektio x- ja y-komponentteihin siten, että x=sin(27it/L) ja y=cos(2nt/L), missä L on vaihtelun jakso, tyypillisesti vuorokausi tai viikko. En- 114749 3 sinäkemältä tällainen kaksiulotteinen ajan esitys näyttäisi käyttävän kaksiulotteisen SOM-kartan molemmat dimensiot, mutta tällaisia SOM-karttoja käytetään vain visualisointitarkoituksiin ja tietokoneen muistissa SOM-kartalla voi olla mielivaltainen määrä dimensioita.
5 Ajan esitykseen kohdistuvat jatkuvuusvaatimukset tulisi kuitenkin tulkita tosielämän rajoitusten valossa. Kaikkien digitaalisten järjestelmien resoluutio on äärellinen, mikä tarkoittaa että mikään ajan esitys ei voi olla täydellisen jatkuva. Lisäksi jonkin verran muistia voidaan säästää havaintoja tallennettaessa jättämällä pois joitakin havaintojen vähiten merkitseviä bittejä, toisin 10 sanoen kvantisoinnilla. Keksinnön tarkoituksiin ajan esitys on riittävän jatkuva (-’jatkuva suuressa mittakaavassa”), mikäli se ei sisällä niin suuria epäjatkuvuuksia, että ne vaikuttaisivat päätökseen normaalin ja poikkeavan käytöksen välillä. Esimerkiksi tietoliikenneverkossa, jonka käytön jakso on vuorokausi, noin 10-15 minuutin epäjatkuvuuksia (kvantisointeja) voidaan pitää hyväksyt-15 tävinä, ellei esiinny hetkiä, jolloin käyttäjien käytös muuttuu niin nopeasti, että tietty käytös on tiettynä hetkenä normaalia, mutta 10 tai 15 minuuttia myöhemmin poikkeavaa. Sen sijaan järjestelmässä, joka avautuu tai sulkeutuu (tai muuten radikaalisti muuttaa käyttäytymistään) tarkoin määriteltyinä hetkinä, ajan esityksessä on oltava huomattavasti pienempiä epäjatkuvuuksia.
20 Jonkin verran muistia voidaan säästää, mikäli tiedetään, että muu tokset havainnoitavien elementtien käytöksessä ovat pieniä ja/tai tasaisia tietyissä jakson osissa (kuten öisin) ja selvempiä muissa osissa (kuten päivisin).
: ’* Tässä tapauksessa ajan esitys voi olla sellainen, että resoluutio vaihtelee jak- :· : son puitteissa. Tämä tarkoittaa, että yksi bitti voi vastata esimerkiksi 30 minuut- : 25 tia jakson hiljaisissa osissa ja 5 -15 minuuttia jakson aktiivisemmissa osissa.
Joissakin tapauksissa yksi jakso (tyypillisesti 24 tuntia) riittää, mutta joskus voidaan tarvita kaksi tai kolme sisäkkäistä jaksoa. Esimerkiksi ajan esi-tys voi sisältää yhden komponentin, jolla on 24 tunnin jakso ja toisen, jonka jakso on yksi viikko. Paikoissa tai tilanteissa, joissa vuodenaikojen vaihtelu on 30 merkittävää, saatetaan tarvita kolmas komponentti, jolla on vuoden jakso.
·. Keksintö ei rajoitu itsejärjestyviin karttoihin, vaan sitä voidaan käyt tää muidenkin klusterointitekniikoiden kanssa, kuten k-means ja Learning Vector Quantization.
...: Keksinnön erään edullisen suoritusmuodon mukaisesti kaikki muut- 35 tuja (ottodatat komponentit), ajan esitys mukaan lukien, skaalataan siten, että , ’; kunkin muuttujan varianssi on sama, edullisesti yksi.
4 114749
Keksintö voidaan toteuttaa ohjelmistorutiineina tietokonejärjestelmässä, jolta on pääsy havainnoitaviin elementteihin. Keksinnön mukainen mekanismi kootaan edullisimmin yhteen verkkoelementtiin, kuten käyttö- ja huoltokeskukseen.
5 Kuvioiden lyhyt selostus
Keksintöä selostetaan nyt lähemmin edullisten suoritusmuotojen yhteydessä, viitaten oheisiin piirroksiin, joista:
Kuvio 1 esittää itsejärjestyvää karttaa (SOM);
Kuvio 2 on muunnos kuviosta 1 ja siinä on ympyröitä, joiden keski- 10 pisteet ovat SOM:in neuronien kohdalla;
Kuvio 3 on keksinnön erästä edullista suoritusmuotoa esittävä prosessikaavio; ja
Kuviot 4A - 4C esittävät erilaisia ajan esityksiä.
Keksinnön yksityiskohtainen selostus 15 Keksinnön edullisia suoritusmuotoja selostetaan itsejärjestyvien karttojen (SOM) yhteydessä. Kuvio 1 esittää itsejärjestyvää karttaa (SOM). SOM-anomaliatestin tavoite on testata, onko olion nykyinen käytös poikkeavaa vai ei. Testattava hypoteesi on:
Ho: Viimeisin havainto ei ole poikkeava.
20 Hi: Viimeisin havainto on poikkeava.
Olion käytös voi olla hyvin yhdenmukaista, mikä tarkoittaa että se V: keskittyy ominaisuusavaruuden yhteen tai muutamaan alueeseen. Toisaalta käytös voi hajaantua enemmän ominaisuusavaruudessa, mikä tarkoittaisi epä- säännöllisempää käytöstä. SOM-anomaliatestin ajatus on approksimoida olion .··. 25 normaalikäytöstä pienellä oliokohtaisella SOM:illa. Aiemman käytöksen olete- ♦ · ,·*, taan edustavan olion normaalia käytöstä. Poikkeavat havainnot aiemmassa • » käytöksessä voidaan jättää huomiotta, kun SOM:ia opetetaan.
Kuviossa 1 näytetty SOM on yksiulotteinen (8*1) SOM, jossa on 200 ·;;; pistettä keinotekoista dataa, joita yhteisestä osoitetaan viitenumerolla 13. Ku- » · *· ·* 30 viossa 2 näytetään sama SOM, johon on piirretty ympyrät tai ellipsit 21, joiden !*·.. keskipisteinä ovat SOM:in neuronit 14. Selkeyden vuoksi kuvioissa 2 näyte- tään vain kaksi ominaisuutta 11 ja 12, mutta todellisuudessa havaittavien omi-naisuuksien määrä voi olla paljonkin suurempi kuin kaksi.
• · I
: * 200 pistettä keinotekoista dataa kahdesta ominaisuudesta on piirret- »1*1» 35 ty tasolle yhdessä datalla opetetun 8*1 -kokoisen kartan neuronien kanssa.
5 114749
Yksiulotteinen SOM approksimoi melko hyvin kahta klusteria (joista kummallakin on neljä ellipsiä 21). Huomattakoon, että kuvion 1 data on kaksiulotteista visualisoinnin mahdollistamiseksi ihmisille. Tietokonejärjestelmässä ulottuvuuksien määrä voi olla paljon suurempi kuin kaksi.
5 Datapisteen ik Best Matching Unit (BMU) SOM:issa on neuroni w„ josta on pienin etäisyys datapisteeseen. Tämä ilmaistaan yhtälössä (1), missä ”dist” tarkoittaa etäisyyttä: BMU = argminldist^Wi)} (1) i Tässä oletetaan, että euklidista etäisyyttä BMU:hun käytetään mit-10 taamaan, kuinka paljon havainto poikkeaa normaalista oliokohtaisesta käytöksestä, mutta muunkinlaisia etäisyyden mittauksia voidaan käyttää. Anomalian P-arvo mittaa havainnon anomalian määrää. Tämän arvon perusteella hypoteesi Ho hyväksytään tai hylätään. Anomalian P-arvon laskenta selostetaan SOM-perusteisen ADS:n käyttövaiheen yhteydessä.
15 ADS-mekanismiin kuuluu kolme vaihetta: suunnittelu, opetus ja käyttö. Suunnitteluvaiheeseen kuuluu tyypillisesti ihmisen päätöksiä, ja se käsittää seuraavat vaiheet: 1. Valitaan kohdeoliota kuvaava ominaisuusjoukko. Oliota kuvaavaa ominaisuusvektoria merkitään kirjaimella f. (Kohdeolio on havaittava olio, kuten 20 verkkoelementti.) Tämä vaihe selostetaan yksityiskohtaisesti lähteessä 1. Tämän keksinnön tarpeisiin riittää sanoa, että ominaisuudet ovat parametreja, ; ·· joita voidaan käyttää tekemään ero normaalin ja poikkeavan käytöksen välillä.
: 2. Formuloidaan hypoteesi poikkeavan käytöksen ilmaisemiseksi.
Tavoite on testata viimeisin havainto fn+i anomalian suhteen. Testattava hypo-. 25 teesi on H0: Viimeisin havainto ei ole poikkeava. Vaihtoehtoinen hypoteesi on , ·. H-ι: Viimeisin havainto on poikkeava. (Lopuke n selostetaan käyttövaiheen yh- ^ teydessä.)
Opetusvaihe käsittää tyypillisesti seuraavat vaiheet: ' · , 1. Havaitaan kohdeolion normaalikäytöstä. Esimerkiksi kerätään 30 ominaisuusvektorin n mittausta (f-ι, h, , fn)· ·· 2. Opetetaan SOM, jossa on m neuronia käyttäen mittauksia (f-ι, f2, % .,· ... , fn) opetusdatana Neuronien määrä kartalla, m, valitaan paljon pienemmäk si kuin n, esimerkiksi n/10.
: Käyttövaihe käsittää tyypillisesti seuraavat vaiheet: 6 114749 1. Jätetään huomiotta SOM:in neuronit, jotka eivät ole Best Mapping
Unit -yksiköitä (BMU) millekään datapisteelle (f-ι, f2.....f„).
2. Lasketaan BMU-etäisyydet datapisteille (fi, f2, ... , fn) opetetusta SOM:ista. Näitä etäisyyksiä merkitään tunnuksilla (D-ι, D2.....Dn).
5 3. Lasketaan BMU-etäisyys havainnolle W Dn+i merkitsee tätä etäisyyttä.
4. Lasketaan anomalian P-arvo. Olkoon B niiden BMU-etäisyyksien (D^ D2.....Dn) määrä, joka on suurempi kuin Dn+i. Anomalian P-arvo tietylle oliolle lasketaan sitten kaavasta: 10 P,^-n (2) 5. Hyväksytään tai hylätään nollahypoteesi anomalian P-arvon perusteella. Jos anomalian P-arvo on suurempi kuin anomalian P-arvon kynnysarvo, niin nollahypoteesi H0 hyväksytään, (viimeisin havainto katsotaan normaaliksi). Toisaalta, jos anomalian P-arvo on pienempi kuin anomalian P- 15 arvon kynnysarvo, niin nollahypoteesi H0 hylätään ja viimeisin havainto oletetaan poikkeavaksi.
Jos testi osoittaa, että olion käytös on poikkeavaa (H0 hylätään), k merkitsevimmin poikkeavaa ominaisuutta voidaan määrittää. Ne k ominaisuutta (ominaisuusvektorin) komponentit, joilla on suurin absoluuttinen vaikutus 20 BMU-etäisyyteen, ovat k merkitsevimmin poikkeavaa ominaisuutta. Yhtälö (3) näyttää, kuinka eniten poikkeavat ominaisuudet voidaan laskea. Tälle ominai-: ·· suusvektorin komponentille annetaan alaindeksi md yhtälössä (3). Yhtälössä T ·* (3) BMU tarkoittaa ominaisuusvektorin fn+i Best Mapping Unit -etäisyyttä ja j saa arvoja nollasta ominaisuuksien lukumäärään asti. Muut k-1 eniten poik-·; · 25 keavaa ominaisuutta lasketaan vastaavalla tavalla.
: ; fn+i,,w = argmax {abs(fn+Uj-BMU,)} (3) . '. j
Kuviossa 1 näytettyä tilannetta voidaan käyttää esimerkkinä. Kuvio 1 näyttää kaksi anomaliaa, joita osoitetaan yhteisesti viitenumerolla 15. Anomalian 1 anomalia-P-arvo on 0/200 = 0. Koska datapisteiden yksikään BMU-30 etäisyys ei ylitä anomalla 1:n BMU-etäisyyttä, osoittajan arvo on nolla. Vastaavasti anomalian 2 anomalia-P-arvo on 7/200 = 0,035.
·. Jos anomalia-P-arvo on pienempi kuin anomalia-P-arvon kynnysar- ^ vo, nollahypoteesi H0 hylätään ja Hipaistaan hälytys. Anomalia-P-arvon kyn- ‘. nysarvo voidaan tulkita osuutena havainnoista, jotka hylätään mikäli valvotta- 7 114749 van olion käytös ei poikkea sannan olion aiemmasta käytöksestä, jota käytettiin opetusvälineessä. Toisin sanoen, mikäli nollahypoteesi pätee: hälytysten määrä = P-arvon kynnysarvo * havainnot (4)
Toisaalta, jos nollahypoteesi ei päde (uusi data on poikkeavaa), hyi-5 käysten (hälytysten) määrä on suurempi.
Kuvio 2 näyttää, kuinka valittua P-arvon kynnysarvoa voidaan havainnollistaa oliolle / käyttäen d-ulotteisia palloja (d-palloja), jotka on keskitetty oliokohtaisen kartan neuronien kohdalle. Kaksiulotteisella ottodatalla d-pallot ovat ympyröitä. Tässä d tarkoittaa dimensioiden määrää ottodatassa (fi, h, , 10 fn). Toisin sanoen jokainen ottodatan elementti fi - fn on itse vektori, jolla on d dimensiota. Niiden olion / havaintojen määrä, jotka lankeavat pallojen ulkopuolelle, vastaa osoittajaa B yhtälössä (2). Kuvion 2 kaksiulotteinen esimerkki näyttää tällaisen tilanteen. Tässä B on 13, mikä vastaa melko korkeaa P-arvon kynnysarvoa n. 6.50.
15 Kuvio 3 on prosessikaavio, joka esittää keksinnön erästä edullista suoritusmuotoa. Viitenumero 302 osoittaa elementtiin fysikaalisessa järjestelmässä kuten tietoliikenneverkossa (joka on eri asia kuin neuroverkko). Fyysinen elementti voi käsittää useita havaittavia elementtejä. Esimerkiksi jos fyysisen järjestelmän elementti 302 on tietoliikennekeskus, sen havaittaviin ele-:*' · 20 mentteihin voi kuulua läpäisykyky, odotusaika, epäonnistuneiden puhelujen : määrä (tai prosenttiosuus) jne. Kutakin ajan yksikköä kohti osoittimien kerääjä : 306 kerää osoitinmonikkoa 304. Monikot tallennetaan osoitintietokantaan 310.
.. : Viite 312 osoittaa neuroverkon (tai muun oppivan järjestelmän) 314 opetuk- .· . sessa käytettyä datajoukkoa. Datajoukon 312 tulisi osoittaa fyysisen elementin 25 302 normaalikäytöstä. Muisti 318 sisältää opetettuja neuroverkkoja. Kun fyysistä elementtiä 302 havainnoidaan, vastaava opetettu neuroverkko 320 noudetaan muistista johdetaan yhtenä syötteenä anomalianilmaisumekanismille 322.
; Anomalianilmaisumekanismin toinen syöte on osoitinjoukko 324, jota testataan poikkeavan käytöksen suhteen. Jos anomalianilmaisumekanismi 322 päättää, 30 että osoitinjoukon 324 kuvaama käytös on poikkeavaa, anomalian P-arvo ja eniten poikkeavat osoittimet 326 tallennetaan anomaliahistoriatietokantaan 328. Samalla annetaan hälytys 330 valvontalaitteelle 332, kuten tietokoneen näytölle.
8 114749
Kuviot 4A - 4C esittävät erilaisia ajan esityksiä, joista jotkut ovat hyväksyttäviä ja toiset eivät ole. Kuviossa 4A vaaka-akseli on aika yksiköissä L, missä L on ottodatan periodi, jonka oletetaan olevan 24 tuntia. Viiva 400 esittää suoraa ajan esitystä. Viitteet 401 - 403 osoittavat kolmea toistuvan tapah-5 tuman instanssia, jotka esiintyvät 24 tunnin välein. Tämän ajan esityksen ongelmana on, että aikojen esitykset ovat erilaiset, eikä ADS pysty tunnistamaan tapahtumia 401 - 403 toistuvaksi tapahtumaksi.
Saha-aaltoviiva 405 on 24-tuntinen ajan esitys, tai toisin sanoen ajan modulofunktio. Tässä esityksessä samaan vuorokaudenaikaan esiintyvillä 10 tapahtumilla on identtiset esitykset, mutta vuorokauden vaihdot aiheuttavat epäjatkuvuutta ottodataan.
Kuviossa 4B siniaalto 410 on periodinen ja jatkuva, mutta se ei ole yksikäsitteinen. Tapahtumat 411 ja 412 esiintyvät eri aikoina, mutta niillä on identtiset ajan esitykset. Jos oletetaan, että tapahtuma 411 on normaalia aa-15 mulla, niin ADS ei tunnistaisi samanlaista tapahtumaa anomaliaksi, jos se esiintyisi illalla.
Kuvio 4C esittää kolmea hyväksyttävää ajan esitystä. Ne kaikki perustuvat siihen ajatukseen, että aika esitetään koordinaattiparina x,y. Ympyrä 420 edustaa aikaa muodossa {x=sin(27it/L); y=cos(27rt/L)}, missä L on vaihte-20 luperiodin pituus, ja 2nt/L on kulma x-akselilta. Ellipsi 422 on myös hyväksyttävä, kunhan se ei ole niin litteä, että se aiheuttaisi epävarmuuden, onko piste ellipsin ylä- vai alapuoliskossa. Jopa suorakulmiota 424 voidaan käyttää. Vaik-:‘i*: ka usealla pisteellä on identtiset x- tai y-koordinaatit, millään kahdella suora- . ·; ·. kulmion pisteellä ei ole identtisiä x/y -koordinaattipareja.
25 Ympyrän 420 sini/kosini -yhdistelmää pidetään edullisena ajan esi- tyksenä, koska tapahtumat, jotka ovat yhtä etäällä ajassa, ovat yhtä etäällä • · il! myös ajan esityksessä. Kuitenkin sini/kosini -yhdistelmä on laskennallisesti vaativa, ja joitakin approksimaatioita, kuten saha-aaltojen funktiopareja, joiden välillä on 90 asteen vaihesiirto, voidaan käyttää.
I * ·· : 30 Kuten aiemmin todettiin, joissakin tilanteissa ajan esitys saattaa vaatia useamman kuin yhden komponentin. Voi esimerkiksi olla jopa kolme |' ,, sini/kosini -paria, joiden periodit ovat yksi vuorokausi, yksi viikko ja yksi vuosi.
• ’ ·" Vaikka keksinnön edullisia suoritusmuotoja on esitetty neuroverkko- i’ jen ja itsejärjestyvien karttojen yhteydessä, keksintö ei rajoitu näihin esimerk- ·:·· 35 keihin. Eräänä vaihtoehtona keksintö voidaan yleistää muihinkin klusterointi 9 114749 tekniikoihin, kuten k-means ja Learning Vector Quantization, missä tapauksessa neuronit korvataan koodikirjavektoreilla.
Lähde: 1. Höglund, Albert: An Anomaly Detection System for Computer 5 Networks, diplomityö H:gin Teknillisessä korkeakoulussa 1997.
Lähde 1 sisältyy tähän viittauksena.
» I I I
• • t 1
• · I
• « I
• « 1 • •111 • »
• I
• ·
MM
» · · » · · I I · t · t • · »

Claims (10)

114749
1. Menetelmä poikkeamien havaintomekanismin opettamiseksi järjestelmässä, johon kuuluu havaittavia elementtejä (302), joista ainakin yhdellä on periodinen aikariippuva käytös, joka poikkeamien havaintomekanismi käsit- 5 tää tietokonepohjaisen oppimismekanismin (314), jolla on syöteavaruus syöte-datakomponenteista (11, 12) koostuvan syötedatan määrittelemiseksi; jossa menetelmässä: - kerätään indikaattoreita (304), jotka indikoivat havaittavien elementtien (302) käytöstä ja järjestetään kerätyt indikaattorit siten, että kunkin 10 havaittavan elementin indikaattorit osoitetaan samalle syötedatakomponentille; - opetetaan oppimismekanismi (314) siten, että sen syötedata käsittää syötedatakomponentteja, jotka perustuvat kerättyihin indikaattoreihin (304); - sijoitetaan syötedataa approksimoivia pisteitä (14) syöteavaruu- teen; 15 tunnettu siitä, että: - sisällytetään ainakin yhteen syötedatakomponenttiin (11, 12) ajan esitys (420 - 424); - missä ajan esitys (420 - 424) on periodinen, jatkuva ja yksikäsitteinen mainitun ainakin yhden elementin jakson puitteissa, jolla on periodinen 20 aikariippuva käytös.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, '; että oppimismekanismi on tai siihen kuuluu itsejärjestyvä kartta.
’ 3. Patenttivaatimuksen 1 tai 2 mukainen menetelmä, tunnettu ‘ : siitä, että ajan esityksellä on ensimmäinen periodi ja ainakin yksi toinen pe- t I I 25 riodi, joka on ensimmäisen periodin monikerta. • ·«
4. Jonkin edellisen patenttivaatimuksen mukainen menetelmä, tunnettu siitä, että syötedatakomponentit skaalataan siten, että kunkin va-rianssi on sama, edullisesti yksi.
5. Jonkin edellisen patenttivaatimuksen mukainen menetelmä, '··. 30 tunnettu siitä, että ajan esityksellä on muuttuva resoluutio siten, että yksi * · bitti vastaa erilaisia ajan yksiköitä riippuen aikariippuvan käytöksen muutoksis-: ta. M · M 114749
6. Järjestely poikkeamien havaitsemiseksi järjestelmässä, johon kuuluu havaittavia elementtejä (302), joista ainakin yhdellä on periodinen aikariippuva käytös, joka järjestely käsittää: 5. tietokonepohjaisen oppimismekanismin (314), jolla on syöteava- ruus syötedatakomponenteista (11, 12) koostuvan syötedatan määrittelemiseksi; - välineet keräämään indikaattoreita (304), jotka indikoivat havaittavien elementtien (302) käytöstä ja järjestetään kerätyt indikaattorit siten, että 10 kunkin havaittavan elementin indikaattorit osoitetaan samalle syötedatakom-ponentille; - välineet opettamaan oppimismekanismi (314) siten, että sen syö-tedata käsittää syötedatakomponentteja, jotka perustuvat kerättyihin indikaattoreihin (304); 15. välineet sijoittamaan syötedataa approksimoivia pisteitä (14) syö- teavaruuteen; tunnettu siitä, että järjestely käsittää: - ainakin yhden syötedatakomponentin (11, 12), johon kuuluu ajan esitys (420 - 424); 20. missä ajan esitys (420 - 424) on periodinen, jatkuva ja yksikäsittei nen mainitun ainakin yhden elementin jakson puitteissa, jolla on periodinen i ’ ’ . aikariippuva käytös. • *
7. Patenttivaatimuksen 6 mukainen järjestely, tunnettu siitä, et- ’· , tä oppimismekanismi on tai siihen kuuluu itsejärjestyvä kartta. : 25
8. Patenttivaatimuksen 6 tai 7 mukainen järjestely, tunnettu sii- : tä, että ajan esityksellä on ensimmäinen periodi ja ainakin yksi toinen periodi, joka on ensimmäisen periodin monikerta.
9. Jonkin patenttivaatimuksen 6-8 mukainen järjestely, tunnet-: t u siitä, että se on koottu yhteen verkkoelementtiin.
10. Tietokoneella luettava muistiväline, joka käsittää tietokoneoh- jelman, tunnettu siitä, että ohjelman suorittaminen tietokoneessa saa tä-män suorittamaan patenttivaatimuksen 1 mukaisen menetelmän vaiheet. • » I I 114749
FI20001997A 2000-09-11 2000-09-11 Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi FI114749B (fi)

Priority Applications (12)

Application Number Priority Date Filing Date Title
FI20001997A FI114749B (fi) 2000-09-11 2000-09-11 Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi
AU2001269056A AU2001269056A1 (en) 2000-09-11 2001-06-06 System, device and method for automatic anomaly detection
US10/363,745 US7519860B2 (en) 2000-09-11 2001-06-06 System, device and method for automatic anomaly detection
EP01947345A EP1325588A1 (en) 2000-09-11 2001-06-06 System, device and method for automatic anomaly detection
PCT/EP2001/006405 WO2002021774A1 (en) 2000-09-11 2001-06-06 System, device and method for automatic anomaly detection
CNB018154476A CN1196984C (zh) 2000-09-11 2001-09-10 异常检测系统及其教导方法
EP01967371A EP1334417A1 (en) 2000-09-11 2001-09-10 Anomaly detection system and a method of teaching it
PCT/FI2001/000783 WO2002021242A1 (en) 2000-09-11 2001-09-10 Anomaly detection system and a method of teaching it
JP2002524792A JP4436042B2 (ja) 2000-09-11 2001-09-10 異常検出システム及びそれを教授する方法
AU2001287759A AU2001287759A1 (en) 2000-09-11 2001-09-10 Anomaly detection system and a method of teaching it
CA2421928A CA2421928C (en) 2000-09-11 2001-09-10 Anomaly detection system and a method of teaching it
US10/383,224 US7613668B2 (en) 2000-09-11 2003-03-07 Anomaly detection system and a method of teaching it

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20001997 2000-09-11
FI20001997A FI114749B (fi) 2000-09-11 2000-09-11 Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi

Publications (3)

Publication Number Publication Date
FI20001997A0 FI20001997A0 (fi) 2000-09-11
FI20001997A FI20001997A (fi) 2002-03-12
FI114749B true FI114749B (fi) 2004-12-15

Family

ID=8559059

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20001997A FI114749B (fi) 2000-09-11 2000-09-11 Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi

Country Status (8)

Country Link
US (2) US7519860B2 (fi)
EP (2) EP1325588A1 (fi)
JP (1) JP4436042B2 (fi)
CN (1) CN1196984C (fi)
AU (2) AU2001269056A1 (fi)
CA (1) CA2421928C (fi)
FI (1) FI114749B (fi)
WO (2) WO2002021774A1 (fi)

Families Citing this family (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI114749B (fi) 2000-09-11 2004-12-15 Nokia Corp Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi
US6862698B1 (en) 2002-01-22 2005-03-01 Cisco Technology, Inc. Method of labeling alarms to facilitate correlating alarms in a telecommunications network
TW200507556A (en) * 2003-01-16 2005-02-16 Koninkl Philips Electronics Nv Preventing distribution of modified or corrupted files
US7016806B2 (en) * 2003-03-31 2006-03-21 Lucent Technologies Inc. Method and apparatus for event monitoring in an information processing system
US9143393B1 (en) 2004-05-25 2015-09-22 Red Lambda, Inc. System, method and apparatus for classifying digital data
US7631222B2 (en) * 2004-08-23 2009-12-08 Cisco Technology, Inc. Method and apparatus for correlating events in a network
US20070028220A1 (en) * 2004-10-15 2007-02-01 Xerox Corporation Fault detection and root cause identification in complex systems
US8185955B2 (en) * 2004-11-26 2012-05-22 Telecom Italia S.P.A. Intrusion detection method and system, related network and computer program product therefor
CN100440796C (zh) * 2004-12-04 2008-12-03 华为技术有限公司 一种获取网络关键性能指标的方法及关键性能指标组件
US7996814B1 (en) 2004-12-21 2011-08-09 Zenprise, Inc. Application model for automated management of software application deployments
US7937197B2 (en) * 2005-01-07 2011-05-03 GM Global Technology Operations LLC Apparatus and methods for evaluating a dynamic system
US10127130B2 (en) 2005-03-18 2018-11-13 Salesforce.Com Identifying contributors that explain differences between a data set and a subset of the data set
US9129226B2 (en) * 2011-12-04 2015-09-08 Beyondcore, Inc. Analyzing data sets with the help of inexpert humans to find patterns
GB0513294D0 (en) * 2005-06-29 2005-08-03 Nokia Corp Quality assessment for telecommunications network
JP4626852B2 (ja) * 2005-07-11 2011-02-09 日本電気株式会社 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム
JP2008134705A (ja) * 2006-11-27 2008-06-12 Hitachi Ltd データ処理方法及びデータ分析装置
US20080229153A1 (en) * 2007-03-13 2008-09-18 At&T Knowledge Ventures, Lp System and method of network error analysis
EP2003604B1 (en) * 2007-05-23 2018-10-24 Deutsche Telekom AG Self-organizing map with virtual map units
US20090030752A1 (en) * 2007-07-27 2009-01-29 General Electric Company Fleet anomaly detection method
US8332883B2 (en) 2007-10-02 2012-12-11 The Nielsen Company (Us), Llc Providing actionable insights based on physiological responses from viewers of media
US7941382B2 (en) * 2007-10-12 2011-05-10 Microsoft Corporation Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior
SG152081A1 (en) * 2007-10-18 2009-05-29 Yokogawa Electric Corp Metric based performance monitoring method and system
CN101917898A (zh) * 2007-10-31 2010-12-15 埃姆申塞公司 对来自观众的生理响应提供分散式收集和集中式处理的系统和方法
US8793363B2 (en) * 2008-01-15 2014-07-29 At&T Mobility Ii Llc Systems and methods for real-time service assurance
JP4984162B2 (ja) * 2008-01-17 2012-07-25 日本電気株式会社 監視制御方法および監視制御装置
US20100031156A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. User Interface For Network Events and Tuning
US8213308B2 (en) * 2008-09-11 2012-07-03 Juniper Networks, Inc. Methods and apparatus for defining a flow control signal related to a transmit queue
US8218442B2 (en) 2008-09-11 2012-07-10 Juniper Networks, Inc. Methods and apparatus for flow-controllable multi-staged queues
US8325749B2 (en) 2008-12-24 2012-12-04 Juniper Networks, Inc. Methods and apparatus for transmission of groups of cells via a switch fabric
US8254255B2 (en) 2008-12-29 2012-08-28 Juniper Networks, Inc. Flow-control in a switch fabric
US20100169169A1 (en) * 2008-12-31 2010-07-01 International Business Machines Corporation System and method for using transaction statistics to facilitate checkout variance investigation
US8023513B2 (en) * 2009-02-24 2011-09-20 Fujitsu Limited System and method for reducing overhead in a wireless network
US7962797B2 (en) * 2009-03-20 2011-06-14 Microsoft Corporation Automated health model generation and refinement
US8522085B2 (en) * 2010-01-27 2013-08-27 Tt Government Solutions, Inc. Learning program behavior for anomaly detection
CN102483738A (zh) * 2009-07-14 2012-05-30 惠普开发有限公司 确定时间数据中的周期性效应
US8516471B2 (en) * 2009-10-06 2013-08-20 International Business Machines Corporation Detecting impact of operating system upgrades
US20110090820A1 (en) 2009-10-16 2011-04-21 Osama Hussein Self-optimizing wireless network
US9264321B2 (en) 2009-12-23 2016-02-16 Juniper Networks, Inc. Methods and apparatus for tracking data flow based on flow state values
JP2013523043A (ja) 2010-03-22 2013-06-13 エルアールディシー システムズ、エルエルシー ソースデータセットの完全性を識別及び保護する方法
US8805839B2 (en) 2010-04-07 2014-08-12 Microsoft Corporation Analysis of computer network activity by successively removing accepted types of access events
US9602439B2 (en) 2010-04-30 2017-03-21 Juniper Networks, Inc. Methods and apparatus for flow control associated with a switch fabric
US9065773B2 (en) 2010-06-22 2015-06-23 Juniper Networks, Inc. Methods and apparatus for virtual channel flow control associated with a switch fabric
US8584241B1 (en) * 2010-08-11 2013-11-12 Lockheed Martin Corporation Computer forensic system
US8553710B1 (en) 2010-08-18 2013-10-08 Juniper Networks, Inc. Fibre channel credit-based link flow control overlay onto fibre channel over ethernet
US8719930B2 (en) * 2010-10-12 2014-05-06 Sonus Networks, Inc. Real-time network attack detection and mitigation infrastructure
US8595556B2 (en) 2010-10-14 2013-11-26 International Business Machines Corporation Soft failure detection
US8683591B2 (en) * 2010-11-18 2014-03-25 Nant Holdings Ip, Llc Vector-based anomaly detection
US9660940B2 (en) 2010-12-01 2017-05-23 Juniper Networks, Inc. Methods and apparatus for flow control associated with a switch fabric
US9032089B2 (en) 2011-03-09 2015-05-12 Juniper Networks, Inc. Methods and apparatus for path selection within a network based on flow duration
US8806645B2 (en) * 2011-04-01 2014-08-12 Mcafee, Inc. Identifying relationships between security metrics
US8509762B2 (en) 2011-05-20 2013-08-13 ReVerb Networks, Inc. Methods and apparatus for underperforming cell detection and recovery in a wireless network
EP2735122A4 (en) 2011-07-22 2015-07-08 Empirix Inc NETWORK MONITORING AND TESTING SYSTEMS WITH SELF-ADJUSTED TRIGGER BASED ON PERFORMANCE IDENTIFICATION VALUES
US9369886B2 (en) 2011-09-09 2016-06-14 Viavi Solutions Inc. Methods and apparatus for implementing a self optimizing-organizing network manager
US8811183B1 (en) 2011-10-04 2014-08-19 Juniper Networks, Inc. Methods and apparatus for multi-path flow control within a multi-stage switch fabric
US9258719B2 (en) 2011-11-08 2016-02-09 Viavi Solutions Inc. Methods and apparatus for partitioning wireless network cells into time-based clusters
US10802687B2 (en) 2011-12-04 2020-10-13 Salesforce.Com, Inc. Displaying differences between different data sets of a process
US10796232B2 (en) 2011-12-04 2020-10-06 Salesforce.Com, Inc. Explaining differences between predicted outcomes and actual outcomes of a process
EP2815541B1 (en) 2012-02-17 2018-06-27 Osama Tarraf Methods and apparatus for coordination in multi-mode networks
US10268974B2 (en) * 2012-09-28 2019-04-23 Rex Wiig System and method of a requirement, compliance and resource management
US9953281B2 (en) * 2012-09-28 2018-04-24 Rex Wiig System and method of a requirement, compliance and resource management
US9246747B2 (en) * 2012-11-15 2016-01-26 Hong Kong Applied Science and Technology Research Co., Ltd. Adaptive unified performance management (AUPM) with root cause and/or severity analysis for broadband wireless access networks
WO2014183784A1 (en) * 2013-05-14 2014-11-20 Telefonaktiebolaget L M Ericsson (Publ) Resource budget determination for communications network
US9218570B2 (en) * 2013-05-29 2015-12-22 International Business Machines Corporation Determining an anomalous state of a system at a future point in time
WO2014205421A1 (en) * 2013-06-21 2014-12-24 Arizona Board Of Regents For The University Of Arizona Automated detection of insider threats
US9414244B2 (en) 2013-07-22 2016-08-09 Motorola Solutions, Inc. Apparatus and method for determining context-aware and adaptive thresholds in a communications system
GB2517147A (en) 2013-08-12 2015-02-18 Ibm Performance metrics of a computer system
US9727821B2 (en) 2013-08-16 2017-08-08 International Business Machines Corporation Sequential anomaly detection
US9645877B2 (en) * 2013-08-21 2017-05-09 Hitachi, Ltd. Monitoring apparatus, monitoring method, and recording medium
TWI510109B (zh) * 2013-09-25 2015-11-21 Chunghwa Telecom Co Ltd 遞迴式異常網路流量偵測方法
WO2015077917A1 (en) * 2013-11-26 2015-06-04 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for anomaly detection in a network
US10122747B2 (en) * 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
FR3015757B1 (fr) * 2013-12-23 2019-05-31 Electricite De France Procede d'estimation quantitative du colmatage des plaques d'un generateur de vapeur
CN103869053B (zh) * 2014-03-24 2015-07-15 焦振志 区域地球化学调查样品分析异常点抽检方法
US9985979B2 (en) * 2014-11-18 2018-05-29 Vectra Networks, Inc. Method and system for detecting threats using passive cluster mapping
US10884891B2 (en) 2014-12-11 2021-01-05 Micro Focus Llc Interactive detection of system anomalies
US10320824B2 (en) * 2015-01-22 2019-06-11 Cisco Technology, Inc. Anomaly detection using network traffic data
US9113353B1 (en) 2015-02-27 2015-08-18 ReVerb Networks, Inc. Methods and apparatus for improving coverage and capacity in a wireless network
EP3304820B1 (en) 2015-05-27 2019-12-18 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for analysing performance of a network by managing network data relating to operation of the network
US20170034720A1 (en) * 2015-07-28 2017-02-02 Futurewei Technologies, Inc. Predicting Network Performance
WO2017027003A1 (en) 2015-08-10 2017-02-16 Hewlett Packard Enterprise Development Lp Evaluating system behaviour
US10861031B2 (en) 2015-11-25 2020-12-08 The Nielsen Company (Us), Llc Methods and apparatus to facilitate dynamic classification for market research
US20170167890A1 (en) * 2015-12-09 2017-06-15 Watersmart Software, Inc. System and method for providing a platform for detecting pattern based irrigation
WO2017108106A1 (en) 2015-12-22 2017-06-29 Telefonaktiebolaget Lm Ericsson (Publ) Method and network node for identifiying specific area of wireless communication system
US10609587B2 (en) 2016-05-01 2020-03-31 Teoco Corporation System, method, and computer program product for location-based detection of indicator anomalies
US9942085B2 (en) * 2016-07-13 2018-04-10 Incelligent P.C. Early warning and recommendation system for the proactive management of wireless broadband networks
US10694487B2 (en) * 2016-09-15 2020-06-23 Cisco Technology, Inc. Distributed network black box using crowd-based cooperation and attestation
US11223668B2 (en) * 2017-01-12 2022-01-11 Telefonaktiebolaget Lm Ericsson (Publ) Anomaly detection of media event sequences
US10419269B2 (en) 2017-02-21 2019-09-17 Entit Software Llc Anomaly detection
US11055631B2 (en) * 2017-03-27 2021-07-06 Nec Corporation Automated meta parameter search for invariant based anomaly detectors in log analytics
US11271960B2 (en) * 2017-12-06 2022-03-08 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of anomalies
US10931696B2 (en) 2018-07-13 2021-02-23 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies
US10548032B2 (en) * 2018-01-26 2020-01-28 Verizon Patent And Licensing Inc. Network anomaly detection and network performance status determination
US10685652B1 (en) * 2018-03-22 2020-06-16 Amazon Technologies, Inc. Determining device groups
US11188865B2 (en) * 2018-07-13 2021-11-30 Dimensional Insight Incorporated Assisted analytics
US11012421B2 (en) 2018-08-28 2021-05-18 Box, Inc. Predicting user-file interactions
US11921612B2 (en) * 2018-08-29 2024-03-05 Oracle International Corporation Identification of computer performance anomalies based on computer key performance indicators
US11228506B2 (en) 2018-09-06 2022-01-18 Hewlett Packard Enterprise Development Lp Systems and methods for detecting anomalies in performance indicators of network devices
US10834106B2 (en) 2018-10-03 2020-11-10 At&T Intellectual Property I, L.P. Network security event detection via normalized distance based clustering
KR102424694B1 (ko) 2018-12-26 2022-07-25 삼성전자주식회사 무선 통신 시스템에서 네트워크 장치의 성능을 모니터링 하기 위한 장치 및 방법
CN111949496B (zh) * 2019-05-15 2022-06-07 华为技术有限公司 一种数据检测方法及装置
US11799890B2 (en) * 2019-10-01 2023-10-24 Box, Inc. Detecting anomalous downloads
US11216666B2 (en) 2019-12-11 2022-01-04 Fujifilm Business Innovation Corp. Understanding normality of an environment using semantic information from images
WO2022019728A1 (en) * 2020-07-24 2022-01-27 Samsung Electronics Co., Ltd. Method and system for dynamic threshold detection for key performance indicators in communication networks
US11499892B2 (en) * 2020-11-30 2022-11-15 Kcf Technologies, Inc. Optimization for anomaly detection
US20220214948A1 (en) * 2021-01-06 2022-07-07 Kyndryl, Inc. Unsupervised log data anomaly detection
US11558238B1 (en) 2022-01-08 2023-01-17 Bank Of America Corporation Electronic system for dynamic latency reduction through edge computation based on a multi-layered mechanism

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI910512A (fi) * 1991-02-01 1992-08-02 Esko Antero Hirvonen Kontrollsystem.
US5317725A (en) * 1991-03-12 1994-05-31 Hewlett-Packard Company Landmark data abstraction paradigm to diagnose data communication networks
US5819226A (en) * 1992-09-08 1998-10-06 Hnc Software Inc. Fraud detection using predictive modeling
US5365514A (en) * 1993-03-01 1994-11-15 International Business Machines Corporation Event driven interface for a system for monitoring and controlling a data communications network
US5446874A (en) * 1993-12-23 1995-08-29 International Business Machines Corp. Automated benchmarking with self customization
US6006016A (en) * 1994-11-10 1999-12-21 Bay Networks, Inc. Network fault correlation
DE69607324T2 (de) 1995-02-02 2000-08-24 Cabletron Systems Inc Verfahren und anordnung zum lernen von verhaltentrends von netzwerken und vorhersagen des zukünftigen verhaltens von datenübertagungsnetzwerken
GB2303275B (en) * 1995-07-13 1997-06-25 Northern Telecom Ltd Detecting mobile telephone misuse
EP0849910A3 (en) * 1996-12-18 1999-02-10 Nortel Networks Corporation Communications network monitoring
GB2321362A (en) * 1997-01-21 1998-07-22 Northern Telecom Ltd Generic processing capability
US6105149A (en) * 1998-03-30 2000-08-15 General Electric Company System and method for diagnosing and validating a machine using waveform data
US6609217B1 (en) * 1998-03-30 2003-08-19 General Electric Company System and method for diagnosing and validating a machine over a network using waveform data
US6442542B1 (en) * 1999-10-08 2002-08-27 General Electric Company Diagnostic system with learning capabilities
US6609036B1 (en) * 2000-06-09 2003-08-19 Randall L. Bickford Surveillance system and method having parameter estimation and operating mode partitioning
FI114749B (fi) 2000-09-11 2004-12-15 Nokia Corp Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi

Also Published As

Publication number Publication date
US20040039968A1 (en) 2004-02-26
CN1455890A (zh) 2003-11-12
US7519860B2 (en) 2009-04-14
EP1325588A1 (en) 2003-07-09
JP4436042B2 (ja) 2010-03-24
EP1334417A1 (en) 2003-08-13
WO2002021774A1 (en) 2002-03-14
CA2421928C (en) 2011-11-15
CN1196984C (zh) 2005-04-13
FI20001997A (fi) 2002-03-12
WO2002021242A1 (en) 2002-03-14
CA2421928A1 (en) 2002-03-14
US20030225520A1 (en) 2003-12-04
JP2004508631A (ja) 2004-03-18
FI20001997A0 (fi) 2000-09-11
AU2001269056A1 (en) 2002-03-22
AU2001287759A1 (en) 2002-03-22
US7613668B2 (en) 2009-11-03

Similar Documents

Publication Publication Date Title
FI114749B (fi) Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi
CN107566163A (zh) 一种用户行为分析关联的告警方法及装置
CN106100937B (zh) 系统监控方法和装置
Yang et al. Inferring occupancy from opportunistically available sensor data
US20140058705A1 (en) System and Method for Detecting Abnormal Occurrences
CN110532119B (zh) 动力系统运行异常点检测方法
US11604502B2 (en) Systems and methods for intelligent alarm grouping
CN108880931A (zh) 用于输出信息的方法和装置
US10268836B2 (en) System and method for detecting sensitivity content in time-series data
Doyle et al. Population mobility dynamics estimated from mobile telephony data
CN111157680A (zh) 室内挥发性物质的泄漏溯源方法及装置
CN115081969B (zh) 异常数据确定方法及相关装置
CN108268901A (zh) 一种基于动态时间弯曲距离发现环境监测异常数据的算法
Panduman et al. Implementation of integration VaaMSN and SEMAR for wide coverage air quality monitoring
CN115561408A (zh) 空气污染预警方法、装置、电子设备及存储介质
CN115221233A (zh) 基于深度学习的变电站多类带电检测数据异常检测方法
CN113125659A (zh) 水质监测平台
Hao et al. Assessing disaster impact in real time: Data-driven system integrating humans, hazards, and the built environment
Taylor et al. Assessing daily patterns using home activity sensors and within period changepoint detection
CN113836241B (zh) 时序数据分类预测方法、装置、终端设备及存储介质
CN116108198A (zh) 基于大数据ai构建知识图谱的水质诊断方法及存储介质
CN112990542B (zh) 一种用于空压机的寿命预测方法
Gawin et al. Will NILM technology replace multi-meter telemetry systems for monitoring electricity consumption?
CN112465259B (zh) 一种基于深度神经网络的开关故障预测方法
FI130073B (fi) Prediktiivinen kaapelimodeemien kunnossapito