FR3136917A1 - Détection d’anomalies pour la maintenance applicative de dispositifs - Google Patents

Détection d’anomalies pour la maintenance applicative de dispositifs Download PDF

Info

Publication number
FR3136917A1
FR3136917A1 FR2205936A FR2205936A FR3136917A1 FR 3136917 A1 FR3136917 A1 FR 3136917A1 FR 2205936 A FR2205936 A FR 2205936A FR 2205936 A FR2205936 A FR 2205936A FR 3136917 A1 FR3136917 A1 FR 3136917A1
Authority
FR
France
Prior art keywords
sequence
network
observation
implementation
communicating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2205936A
Other languages
English (en)
Inventor
Naji Najari
Samuel Berlemont
Grégoire LEFEBVRE
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2205936A priority Critical patent/FR3136917A1/fr
Priority to PCT/EP2023/064054 priority patent/WO2023241896A1/fr
Publication of FR3136917A1 publication Critical patent/FR3136917A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0859Retrieval of network configuration; Tracking network configuration history by keeping history of different configuration generations or by rolling back to previous configuration versions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

L’invention porte sur un procédé de surveillance d’au moins un dispositif dans un réseau de communication, le procédé comprenant :obtenir une séquence d’observation (sij(k)) à partir d’observations d’un flux réseau impliquant le dispositif,mettre en œuvre au moins un modèle (MODij) donné d’intelligence artificielle associé à une version de micrologiciel (j) d’au moins un dispositif de référence, le modèle donné étant entraîné à produire une séquence reconstruite (ŝij (k)) à partir de la séquence d’observation et d’une séquence d’observation précédente et à déterminer une erreur de reconstruction entre la séquence reconstruite et la séquence d’observation, une erreur inférieure à un seuil caractérisant que le dispositif opère dans le réseau avec ladite version de micrologiciel, la séquence reconstruite étant produite en fonction de relations intra-séquence (zk) entre des éléments de la séquence d’observation (sij(k)) et de relations inter-séquences (zk - 1) entre la séquence d’observation (sij(k)) et la séquence d’observation (sij(k - 1)) précédente. Figure de l’abrégé : Figure 5

Description

Détection d’anomalies pour la maintenance applicative de dispositifs
La présente divulgation relève du domaine des services de gestion de dispositifs communicants, également appelés dispositifs connectés ou objets connectés.
Plus particulièrement, la présente divulgation porte sur un procédé de gestion d’un dispositif communicant dans un réseau de communication local et sur un système, un dispositif, un programme informatique et un support d’enregistrement correspondants.
La présente divulgation peut trouver une application par exemple dans les services numériques de gestion à distance de dispositifs communicants par un opérateur et/ou par un fournisseur de services numériques.
Généralement, de tels services numériques reposent essentiellement sur deux types d’entités.
Un serveur de gestion, localisé dans le réseau de l’opérateur ou du fournisseur de services numériques, est chargé d’exécuter à distance des opérations de maintenance, de configuration et/ou de diagnostic sur des dispositifs communicants présents dans des réseaux locaux.
Des clients de gestion, présents sur les dispositifs communicants gérés, assurent une communication sécurisée avec le serveur de gestion.
Des anomalies de fonctionnement peuvent se produire dans un réseau local. Toutefois, dans le cadre de réseaux locaux comportant des dispositifs communicants hétérogènes, non intégrés dans un quelconque service numérique de gestion à distance ou gérés par des services numériques de gestion à distance différents, il n’est pas possible pour l’opérateur de déterminer quel dispositif communicant peut être à l’origine d’anomalies de fonctionnement.
En effet, l’opérateur ne peut réaliser que des diagnostics limités aux dispositifs communicants dont il assure la gestion pour déterminer l’origine d’un dysfonctionnement. Cela suffit lorsque les dispositifs communicants fournis par l’opérateur sont bien responsables du dysfonctionnement. Cependant, des dépendances locales peuvent exister entre dispositifs communicants. Par exemple, des dépendances en matière de connectivité peuvent exister lors d’une connexion d’un dispositif communicant fourni par l’opérateur à un répéteur Wi-Fi tiers.
Afin de prémunir l’utilisateur final d’une expérience dégradée par l’apparition d’anomalies de fonctionnement, l’opérateur s’appuie sur son propre service numérique de gestion à distance pour maintenir à jour les dispositifs communicants liés à ce service numérique. Ces mises à jour de micrologiciel corrigent généralement les derniers dysfonctionnements remontés par les utilisateurs finaux. L’opérateur programme des campagnes de mises à jour plus ou moins fréquentes en fonction de la criticité du changement du micrologiciel.
Un dispositif communicant du réseau local peut être à l’origine de l’anomalie de fonctionnement. En effet, il n’est pas possible pour le service numérique de gestion à distance de déclencher simultanément la mise à jour des micrologiciels de tous les dispositifs communicants gérés par le service numérique. L’utilisateur final peut donc encore rencontrer un problème avec un dispositif communicant particulier alors même que ce dernier fait partie de la campagne de mise à jour. Dans ce cas, une interface de gestion locale est généralement mise à disposition de l’utilisateur final afin qu’il puisse déclencher cette opération manuellement et immédiatement.
Il est dans l’intérêt commun de l’opérateur et de ses utilisateurs finaux que les mises à jour soient régulières pour l’ensemble des dispositifs communicants des utilisateurs finaux, et pas seulement pour les dispositifs communicants directement liés au service numérique de gestion à distance fourni par l’opérateur. De manière proactive, l’opérateur cherche donc à inciter l’utilisateur final à provoquer manuellement l’installation des dernières versions disponibles pour chaque famille de dispositifs communicants.
Mais l’opérateur n’est pas en mesure de connaître la version de chaque dispositif communicant raccordé à un réseau local d’un utilisateur final dès lors que certains de ces dispositifs communicants sont gérés par des fournisseurs tiers qui ne rendent pas une telle information accessible à l’opérateur.
Tenter d’inférer la version de micrologiciel d’un dispositif communicant à partir de l’étude du trafic réseau du dispositif communicant lors de son fonctionnement est difficile à mener.
Des anomalies dans des flux réseau peuvent être de trois types : ponctuelles, collectives ou contextuelles. Pour illustrer ces types d’anomalies, il est fait référence à la qui représente différents flux réseau sous la forme de quatre signaux univariés lissés :
un premier flux réseau de référence, ou nominal (3),
un deuxième flux réseau (4) comportant une anomalie ponctuelle,
un troisième flux réseau (5) comportant une anomalie contextuelle, et
un quatrième flux réseau (6) comportant une anomalie collective.
Lorsqu’une donnée d’une série temporelle est éloignée au sens de la distance euclidienne des autres données de la série, celle-ci est considérée comme une anomalie ponctuelle. Si un sous-ensemble de données diffère des autres données de la série, celui-ci caractérise une anomalie collective. L’anomalie contextuelle est la plus difficile à détecter puisqu’elle intervient lorsqu’une donnée est jugée anormale dans un contexte spécifique.
Dans le cadre d’opérations de maintenance applicative, il peut être souhaitable qu’un service numérique de gestion à distance, fourni par exemple par un opérateur, puisse détecter les versions d’une famille de dispositifs communicants au réseau local d’un utilisateur final.
La référence suivante décrit une méthode connue de détection d’anomalies dans des séries temporelles :
Z. Chen, D. Chen, X. Zhang, Z. Yuan and X. Cheng, Learning Graph Structures with Transformer for Multivariate Time Series Anomaly Detection in IoT, IEEE Internet of Things Journal, 2021.
Dans cette référence, les auteurs proposent de détecter des anomalies temporelles à l’aide de réseaux de neurones de type transformeur (ou modèle auto-attentif). En particulier, cette approche attribue à chaque flux réseau un score d’anomalie et les observations qui ont un score supérieur à un seuil prédéfini sont considérées anormales.
Cette méthode présente cependant des limites qui la rendent peu applicable à l’inférence de version de micrologiciel d’un dispositif communicant en temps réel.
Notamment, cette méthode n’est pas robuste aux anomalies qui peuvent contaminer la base d’apprentissage. En effet, les auteurs supposent que toutes les données d’apprentissage sont nominales. En pratique, des anomalies peuvent s’infiltrer dans les données collectées pour l’apprentissage. Dans ce cas, la performance de cette approche peut être significativement impactée.
Il existe un besoin pour une méthode permettant de remédier à des insuffisances et/ou inconvénients de l'état de la technique et/ou d'y apporter des améliorations et permettant en particulier une détection robuste des anomalies contextuelles dans des séries temporelles de métadonnées de flux réseau de dispositifs communicants.
Résumé
La présente divulgation vient améliorer la situation.
Il est proposé un procédé de surveillance d’au moins un dispositif dans un réseau de communication, le procédé comprenant :
obtenir une séquence d’observation à partir d’observations d’un flux réseau impliquant le dispositif,
mettre en œuvre au moins un modèle donné d’intelligence artificielle associé à une version de micrologiciel d’au moins un dispositif de référence, le modèle donné étant entraîné à produire une séquence reconstruite à partir de la séquence d’observation et d’une séquence d’observation précédente et à déterminer une erreur de reconstruction entre la séquence reconstruite et la séquence d’observation, une erreur de reconstruction inférieure à un seuil caractérisant que le dispositif opère dans le réseau avec ladite version de micrologiciel,
la séquence reconstruite étant produite en fonction de relations intra-séquence entre des éléments de la séquence d’observation et de relations inter-séquences entre la séquence d’observation et la séquence d’observation précédente.
Le procédé de surveillance proposé permet une détection robuste d’anomalies, y compris contextuelles, dans des observations d’un flux réseau impliquant un ou plusieurs dispositifs. Le flux réseau est entendu comme un ensemble de données numériques transitant sur le réseau de communication. Il peut par exemple s’agir de paquets de données numériques émis au fil du temps par différents dispositifs sources vers différents dispositifs de destination. Les observations du flux réseau sont des données numériques relatives au flux réseau. Il peut s’agir par exemple de métadonnées extraites d’en-têtes de ces paquets. Les observations du flux réseau peuvent être par exemple recueillies de manière continue, de manière à former une série temporelle divisible en séquences d’observation. Ainsi, les séquences d’observation sont définies comme étant des données numériques relatives au flux réseau, collectées pendant une fenêtre d’observation. La robustesse de la détection d’anomalies est conférée par le recours aux relations intra-séquence et inter-séquence évoquées en tant que base à la reconstruction d’une séquence d’observation.
Le procédé proposé permet de détecter des anomalies en temps réel à partir du flux réseau. Le temps de calcul requis pour la mise en œuvre du procédé est en effet compatible avec cette mise en œuvre en continu. Par ailleurs, il ne nécessite pas de paramétrage complexe d’algorithmes ni un apprentissage supervisé. Pour finir, il est robuste aux données bruitées et aux valeurs aberrantes lors de l’entraînement.
Le procédé de surveillance proposé trouve des applications notamment dans le domaine de l’assistance à distance où il offre la possibilité de déterminer si un ou plusieurs dispositifs quelconques opèrent ou non dans un réseau de communication avec la même version donnée de micrologiciel qu’un ou plusieurs dispositifs de référence.
Il est proposé un procédé de gestion d’au moins un dispositif communicant dans un réseau de communication, le procédé comprenant :
surveiller le dispositif communicant selon le procédé de surveillance ci-avant, et
émettre une consigne de gestion du dispositif communicant sur la base d’une comparaison entre l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné et le seuil.
Le procédé de gestion proposé, qui englobe le procédé de surveillance précité et présente les mêmes avantages, trouve des applications dans le domaine de la maintenance en ce qu’il vient faciliter des opérations de maintenance automatique. Il permet par exemple de détecter des dispositifs dont le trafic réseau présente des caractéristiques anormales pour déclencher des diagnostics avancés, identifier l’origine du problème, et permettre une réparation automatique avant toute demande d’assistance de la part d’utilisateurs finaux.
Il est également proposé un programme informatique comportant des instructions pour la mise en œuvre de l’un des procédés ci-avant lorsque ce programme est exécuté par un processeur.
Il est également proposé un support d’enregistrement non transitoire lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre de l’un des procédés ci-avant lorsque ce programme est exécuté par un processeur.
Il est également proposé un circuit de traitement de données comprenant un processeur connecté au support d’enregistrement non transitoire ci-avant.
Il est également proposé un système comprenant une pluralité de dispositifs communicants dans un réseau de communication, au moins un des dispositifs communicants comprenant le circuit de traitement de données ci-avant.
Le procédé de surveillance ci-avant peut comprendre optionnellement certaines fonctions supplémentaires telles que définies ci-après.
Dans certains exemples, la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’une pluralité de modèles respectivement associés à une version respective de micrologiciel de l’au moins un dispositif de référence,
chaque dit modèle étant respectivement entraîné à produire une séquence reconstruite respective à partir de la séquence d’observation et de la séquence d’observation précédente et à déterminer une erreur de reconstruction respective entre la séquence reconstruite respective et la séquence d’observation,
l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné ayant la valeur la plus faible parmi les erreurs de reconstruction respectives.
Par la mise en œuvre d’une telle pluralité de modèles, il est possible de déterminer la version précise de micrologiciel d’un dispositif surveillé opérant dans le réseau, en l’identifiant parmi un ensemble de versions possibles prédéfinies, qui sont, chacune, respectivement associée à un modèle respectif.
En effet, lorsque le dispositif surveillé et l’au moins un dispositif de référence appartiennent à une même famille de dispositifs, et lorsqu’en outre l’erreur de reconstruction déterminée lors de la mise en œuvre d’un modèle est inférieure au seuil évoqué, alors la version de micrologiciel avec laquelle le dispositif surveillé opère dans le réseau est identifiée précisément comme étant celle associée à ce modèle.
Une famille de dispositifs communicants est définie comme étant un regroupement de dispositifs communicants partageant la même version d’un micrologiciel. Ces dispositifs communicants peuvent cependant être différents par exemple dans leur fonctionnement ou en facteur de forme.
Dans certains exemples, la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’un ensemble de modèles comprenant une pluralité de sous-ensembles respectivement associés à une famille respective de dispositifs de référence et comprenant, chacun, au moins un modèle associé à une version de micrologiciel d’au moins un dispositif de référence de la famille respective, le modèle donné appartenant à l’un des sous-ensembles,
l’erreur de reconstruction, déterminée lors de la mise en œuvre du modèle donné (MODij), inférieure au seuil caractérisant en outre que le dispositif appartient à la famille associée au sous-ensemble comprenant le modèle donné.
Par la mise en œuvre d’un tel ensemble de modèles, il est possible de déterminer à la fois la famille de dispositifs à laquelle appartient un dispositif surveillé et la version de micrologiciel avec laquelle il opère dans le réseau.
Lorsqu’à l’inverse les erreurs de reconstruction déterminées lors de la mise en œuvre de chaque modèle sont toutes supérieurs à un seuil, alors le flux réseau impliquant le dispositif surveillé peut simplement être considéré comme inconnu, ou comme présentant une anomalie.
Un tel cas de figure survient, par exemple, lorsqu’aucun des sous-ensembles n’est associé à une famille à laquelle appartient le dispositif surveillé, ou lorsqu’aucun des modèles n’est associé avec la version de micrologiciel avec laquelle le dispositif surveillé opère dans le réseau, ou encore lorsque cette version de micrologiciel est corrompue.
Le procédé de gestion ci-avant peut comprendre optionnellement certaines fonctions supplémentaires telles que définies ci-après.
Dans certains exemples, lorsque l’erreur de reconstruction déterminée est inférieure au seuil et la version de micrologiciel associée au modèle donné est obsolète, la consigne de gestion comprend une recommandation de mise à jour de la version de micrologiciel avec laquelle le dispositif opère dans le réseau.
Ainsi, un service de notification et de recommandation peut proposer des mises à jour de micrologiciel ciblées pour un ou plusieurs dispositifs surveillés et gérés dont la version de micrologiciel est identifiée comme n’étant plus à jour.
Dans certains exemples, le procédé comprend en outre, lorsque l’erreur de reconstruction déterminée est supérieure au seuil, une détection d’anomalie, et la consigne de gestion est émise sur la base de l’anomalie
Ainsi, un service de notification et de recommandation peut par exemple ne proposer des mises à jour générales de micrologiciel de l’ensemble des dispositifs en présence qu’à la condition préalable que la version de micrologiciel d’un ou plusieurs dispositifs surveillés n’a pas pu être identifiée.
D’autres caractéristiques, détails et avantages apparaîtront à la lecture de la description détaillée ci-après, et à l’analyse des dessins annexés, sur lesquels :
Fig. 1
illustre différents types d’anomalies dans des séries temporelles pour un signal univarié.
Fig. 2
illustre un système comprenant une pluralité de dispositifs communicants dans un réseau de communication local dans un exemple de réalisation.
Fig. 3
illustre un système comprenant une pluralité de dispositifs communicants dans un réseau de communication local dans une variante de réalisation.
Fig. 4
illustre un algorithme général d’un programme informatique pour la mise en œuvre, lorsque ce programme est exécuté par un processeur, d’un procédé d’entraînement d’au moins un modèle d’intelligence artificielle dans un exemple de réalisation.
Fig. 5
illustre un algorithme général d’un programme informatique pour la mise en œuvre, lorsque ce programme est exécuté par un processeur, d’un modèle d’intelligence artificielle dans un exemple de réalisation.
Fig. 6
illustre un algorithme général d’un programme informatique pour la mise en œuvre, lorsque ce programme est exécuté par un processeur, d’un procédé de gestion d’au moins un objet communicant dans un exemple de réalisation.
Fig. 7
illustre un circuit de traitement de données dans un exemple de réalisation.
La technique proposée permet de remédier à des inconvénients de l’état de la technique et propose une surveillance d’objets communicants dans un réseau de communication. Cette surveillance offre une détection robuste d’anomalies, y compris d’anomalies contextuelles, dans des séries temporelles de métadonnées de flux réseau de dispositifs communicants. Les anomalies détectées permettent notamment de déclencher des demandes de mise à jour de la version du micrologiciel de dispositifs communicants dans leur dernière version fonctionnelle.
Le principe général de la technique proposée repose sur une confrontation d’un comportement d’un dispositif communicant avec différents comportements possibles recensés. Chacun de ces comportements possibles est modélisé indépendamment et est associé à une version possible de micrologiciel pour un dispositif de référence ou pour une famille de dispositifs de référence. Pour ce faire, pour une pluralité de dispositifs de référence, des métadonnées sont extraites d’un trafic réseau pendant un intervalle de temps subdivisé en sous-intervalles, formant autant de fenêtres d’observation. Ces métadonnées peuvent comporter par exemple des adresses IP source, des adresses IP de destination, des tailles de paquets entrants et sortants, des horodatages, etc. Les métadonnées extraites du trafic réseau pendant une fenêtre d’observation forment une séquence d’observation.
Les séquences d’observation servent de base pour modéliser le comportement de chaque dispositif de référence, de sorte qu’une liste de modèles notés MODijest générée. Dans cette notation, l’indice j désigne une famille de dispositifs de référence parmi un ensemble de familles considérées, et l’indice i désigne une version de micrologiciel parmi un ensemble de versions possibles pour la famille i considérée. En d’autres termes, chaque modèle MODijest le fruit d’un entraînement automatique visant à compresser puis reconstruire les séquences d’observation de manière continue pour une famille de dispositifs communicants.
A partir de la séquence d’observation et de la séquence reconstruite par le modèle MODij, une erreur de reconstruction est déterminée. Lorsque cette erreur de reconstruction est inférieure à un seuil, il est possible d’inférer que la séquence d’observation correspond à un trafic réseau impliquant un dispositif de la famille i opérant sous la version j de micrologiciel.
Lorsqu’aucun des modèles MODijde la liste de modèles générés n’arrive à reconstruire correctement une séquence d’observation, c’est-à-dire lorsque les erreurs de reconstruction déterminées pour chacune des séquences reconstruites sont toutes supérieures à un seuil, cela signifie que le trafic réseau pour ce dispositif présente des caractéristiques inconnues. Ces caractéristiques inconnues peuvent être regroupées sous le terme générique d’anomalie. Une anomalie survient par exemple lorsque le dispositif n’appartient à aucune des familles prédéfinies. Une anomalie peut aussi survenir lorsque le dispositif, bien qu’appartenant à l’une des familles prédéfinies, n’opère sous aucune des versions de micrologiciel prédéfinies, ou opère sous une version de micrologiciel corrompue.
Dans la suite de la description, on s’attache à décrire en détails un exemple de mise en œuvre de la technique proposée en se référant aux figures 2 à 7. On se place également dans le cas particulier où le réseau de communication est un réseau de communication local.
La illustre un système comprenant une pluralité de dispositifs communicants (10, 11, 12, 13, 14, 15) dans un réseau de communication local LAN/WLAN (1). L’un des dispositifs communicants est une passerelle d’accès à un réseau GW (10), également appelée passerelle réseau, interfaçant le réseau de communication local (1) avec un réseau de communication étendu WAN (2) et permettant aux dispositifs communicants d’accéder au réseau étendu. Les dispositifs communicants peuvent comprendre différents types de dispositifs EQ1, EQ2, EQ3, EQ4 (11, 12, 13, 14) à l’usage d’un utilisateur, tel qu’un ordinateur, un téléphone mobile, une tablette tactile, une enceinte communicante, une console de jeux, un dispositif communicant dans le domaine de l’éclairage, de la santé, de la sécurité, du chauffage, de la qualité de l’air, etc. Par ailleurs, les dispositifs communicants peuvent comprendre un ou plusieurs dispositifs réseau autres que la passerelle d’accès, tels qu’un commutateur, un concentrateur, un routeur, un répéteur RPT (15), etc.
Sur la , la topologie du réseau local (1) est représentée en arbre. Certains dispositifs communicants EQ1 (11), EQ2 (12) communiquent directement avec la passerelle réseau (10), tandis que d’autres dispositifs utilisateurs EQ3 (13), EQ4 (14) communiquent quant à eux avec un répéteur RPT (15) dont le rôle principal est d’étendre la couverture de la passerelle réseau (10). Pour autant, la technique proposée n’est pas limitée à une quelconque topologie particulière du réseau local (1) et est applicable à toute installation par exemple domestique ou bien au sein d’une entreprise, quels que soient les dispositifs réseau en présence et quels que soient par ailleurs le nombre et la nature des dispositifs communicants.
Un dispositif EXT (20), extérieur au réseau local (1), est également représenté sur la et désigne un dispositif apte à communiquer avec une ou plusieurs entités du réseau local, par exemple la passerelle réseau GW (10). En fonction notamment de la topologie du réseau local, cette communication s’effectue soit directement via le réseau étendu (2), soit indirectement à travers à la fois le réseau étendu (2) et le réseau local (1).
L’un quelconque au moins des dispositifs représentés comprend un circuit de traitement CT (100) configuré pour la mise en œuvre de la technique proposée. Dans l’exemple de la , un tel circuit de traitement CT (100) est intégré à la passerelle d’accès au réseau GW (10), ce qui permet au circuit de traitement CT (100) d’avoir directement accès à la totalité du trafic transitant dans le réseau local. La décrit spécifiquement la structure d’un tel circuit de traitement (100). Celui-ci comprend au moins un processeur CPU (101) raccordé à au moins une mémoire non transitoire MEM (102) et à une interface de communication COM (103) avec le réseau local (1). La mémoire non transitoire (102) stocke une ou plusieurs instructions d’un programme informatique pour la mise en œuvre d’un procédé de gestion du système de la lorsque ce programme est exécuté par un processeur. Le fonctionnement du programme peut également requérir la présence d’une mémoire transitoire au sein du circuit de traitement. Fonctionnellement, au cours de l’exécution du programme, un tel circuit de traitement (100) ou un tel ensemble de circuits de traitement peut être vu comme un regroupement de modules fonctionnels, ou logiques, respectivement dédiés à des tâches spécifiques.
Dans une variante illustrée sur la , plusieurs circuits de traitement CT (100) peuvent être configurés collectivement pour mettre en œuvre le procédé proposé. De tels circuits de traitement CT (100), comprenant chacun une structure correspondant à celle de la , peuvent être intégrés à différents dispositifs tels que la passerelle d’accès au réseau GW (10) et le dispositif EXT (20). Ainsi, un premier circuit de traitement CT (100) au niveau de la passerelle réseau (10) peut par exemple être configuré pour mettre en œuvre un client de gestion et un second circuit de traitement CT (100) au niveau du dispositif extérieur (20) pour mettre en œuvre un serveur de gestion dialoguant avec le client de gestion, les étapes de la technique proposée étant alors réparties entre le serveur de gestion et le client de gestion.
On décrit à présent, dans un exemple de réalisation particulier, un procédé de gestion d’équipements communicants. Ce procédé s’appuie sur des modèles d’intelligence artificielle.
Chacun de ces modèles, noté MODij, est associé à une famille i de dispositifs de référence et à une version de micrologiciel j des dispositifs de référence de la famille i. L’indice i est compris entre 1 et I, où I désigne le nombre de familles de dispositifs de référence prises en compte par le procédé d’entraînement, et l’indice j est compris entre 1 et JI, où JIdésigne le nombre de versions de micrologiciels supportées pour la famille i, ce nombre étant variable d’une famille supportée à une autre. Le procédé d’entraînement de modèles peut être mis en œuvre par tout circuit de traitement (100) dans tout système comprenant un ou plusieurs dispositifs de référence dans un réseau de communication, tels que par exemple les systèmes des figures 2 et 3.
On décrit à présent, en référence à la , un exemple de procédé (1000) d’entraînement, ou d’apprentissage, d’un modèle d’intelligence artificielle MODij(1101) adapté pour la mise en œuvre du procédé de gestion.
Un collecteur de données (1001) enregistre pendant une période de référence (par exemple une période de 7 jours), des métadonnées d’un trafic réseau impliquant, au moins, un ou plusieurs dispositifs de référence de la famille i opérant dans le réseau avec la version j de micrologiciel.
Par exemple, dans le système de la ou 3, ces métadonnées peuvent être collectées depuis une sonde prévue sur un dispositif, tel que la passerelle réseau (10), par lequel transite la totalité du flux réseau impliquant le ou les dispositifs de référence de la famille i opérant dans le réseau avec la version j de micrologiciel. Lorsque la période de référence est suffisamment longue eu égard à la famille i considérée, les métadonnées ainsi collectées sont susceptibles de refléter toutes les situations de fonctionnement nominal de ce ou ces dispositifs de référence.
A défaut, lorsque les métadonnées sont recueillies au niveau d’un dispositif par lequel ne transite qu’une partie du flux réseau impliquant le ou les dispositifs de référence de la famille i opérant dans le réseau avec la version j de micrologiciel, les métadonnées ainsi recueillies peuvent tout de même refléter une partie des situations de fonctionnement nominal de ce ou ces dispositifs de référence. Un tel cas est possible par exemple dans le cadre d’un réseau maillé où le trafic réseau ne suit pas toujours la même route.
En sortie du collecteur de données, un filtre de données (1002) permet de trier les métadonnées enregistrées en sélectionnant celles considérées utiles pour l’apprentissage du modèle MODij(par exemple des adresses MAC -pour « Medium Access Control »-, des adresses IP -pour « Internet Protocol »-, des tailles de paquets, des adresses source, des adresses de destination, etc.). Cette sélection peut être supervisée ou non supervisée. Par exemple, le filtre peut être configuré pour sélectionner, spécifiquement, des métadonnées se rapportant à une famille i en version j, c’est-à-dire des métadonnées correspondant par exemple à une adresse source et/ou à une adresse de destination figurant dans une liste d’adresses répertoriées, associées à un dispositif de référence de la famille i opérant dans le réseau avec la version j de micrologiciel. De manière générale, la mise en œuvre d’une telle sélection est une démarche bien connue de l’homme du métier et qui n’est pas davantage développée ici.
En sortie du filtre de données, un segmenteur (1003) permet de former, à partir de l’ensemble des métadonnées sélectionnées, des groupes de métadonnées à analyser conjointement. La taille de ces groupes de métadonnées peut être préalablement fixée, un groupe définissant une fenêtre d’analyse. Dans un exemple d’implémentation, les métadonnées enregistrées sont segmentées en groupes de 100 échantillons sans recouvrement.
En sortie du segmenteur, un ou plusieurs modules de prétraitement (1004) permettent d’opérer des prétraitements sur les groupes de métadonnées formés. Différents exemples de prétraitements pouvant être effectués par ces modules de prétraitement sont à présent évoqués, de façon non exhaustive. Un encodage one-hot, ou encodage 1 parmi n, consiste à encoder une variable à n états sur n bits. Un tel encodage est courant en apprentissage automatique pour représenter une variable catégorielle en données numériques. Un encodage de fréquence, ou « count encoding » en anglais, permet de refléter la fréquence d’apparition de catégories. Une normalisation a pour but d’uniformiser les données en les redimensionnant pour qu’elles soient comparables sur une échelle commune. Un ré-échantillonnage permet de tirer, sur la base des échantillons formant un groupe de métadonnées, de nouveaux échantillons hypothétiques qui reflètent les mêmes caractéristiques de distribution.
A l’issue du ou des prétraitements, des séquences de données, ou séquences d’observation, notées sij (k)et indexées par k = 1…n par ordre d’apparition, sont obtenues. Dans un exemple d’implémentation, n peut être fixé égal à 100. Les séquences d’observation ainsi obtenues sont les séquences d’apprentissage du modèle d’intelligence artificielle MODij.
Un module d’apprentissage (1005) est prévu pour effectuer l’apprentissage du modèle MODij. L’entraînement du modèle MODijs’effectue en fournissant successivement les séquences d’observation en entrée du module d’apprentissage, lequel tente de les reconstruire.
Le fonctionnement détaillé du module d’apprentissage (1005) est à présent décrit en référence à la , dans un exemple de réalisation.
Deux séquences d’observation consécutives sij (k)(111) et sij (k-1)(112) sont fournies en entrée du module d’apprentissage (1005). La séquence d’observation courante sij (k)est la séquence à reconstruire. La séquence d’observation précédente sij (k-1)représente un élément d’un historique de séquences d’observation.
Deux branches d’opérations sont réalisées en parallèle.
Selon une première branche d’opérations, la séquence d’observation courante sij (k)est traitée par un premier module formé d’un module d’auto-attention (212) et d’un encodeur (312). L’auto-attention est un mécanisme d’apprentissage pour modèles d’intelligence artificielle qui est connu de l’homme du métier et qui est décrit notamment dans A. Vaswani, N. Shazeer, N. Parmar, J. Uszkoreit, L. Jones, A. Gomez, Ł. Kaiser, and I. Polosukhin, Advances in Neural Information Processing Systems, page 5998--6008. (2017). En appliquant un mécanisme d’auto-attention à la séquence d'observation courante, le module d’auto-attention fournit en sortie des relations intra-séquence notées zk, c’est-à-dire des relations au sein de la séquence d’observation courante sij (k). L’encodeur (312) est configuré pour encoder ces relations intra-séquence.
Selon une deuxième branche d’opérations, la séquence d’observation courante et, au moins, la séquence d’observation précédente sij (k-1), sont traitées par un deuxième module formé d’un module de co-attention (211) et d’un encodeur (311). La co-attention est un mécanisme d’apprentissage pour modèles d’intelligence artificielle qui est connu de l’homme du métier et qui est décrit notamment dans Haoran Zhang and Diane Litman, 2018, Co-Attention Based Neural Network for Source-Dependent Essay Scoring, Proceedings of the Thirteenth Workshop on Innovative Use of NLP for Building Educational Applications, pages 399–409, New Orleans, Louisiana, Association for Computational Linguistics. En appliquant un mécanisme de co-attention à la séquence d'observation courante, le module de co-attention fournit en sortie des relations inter-séquence, c’est-à-dire des relations entre la séquence d’observation courante sij (k)et un historique de séquences d’observation. Dans un exemple d’implémentation, l’historique de séquences d’observation est représenté par la seule séquence d’observation précédente sij (k-1)et les relations inter-séquence sont notées zk-1. Dans d’autres exemples d’implémentation, l’historique de séquences d’observation peut être représenté par p séquences d’observation précédentes (sij (k-1), sij (k- 2 ), …, sij (k- p )) et les relations inter-séquence sont notées zk -p. L’encodeur (311) est configuré pour encoder ces relations intra-séquence.
Bien que le premier et le deuxième module puissent être implémentés sous la forme de modules totalement séparés et distincts, dans un mode de réalisation particulier ces modules sont implémentés sous la forme d’un réseau de neurones siamois. Ce mode de réalisation particulier permet d’obtenir une meilleure robustesse à la détection d’anomalies, en particulier d’anomalies contextuelles. Alternativement, il est également possible de construire un module d’apprentissage ayant une architecture fonctionnellement similaire à celle d’un réseau de neurones siamois.
Dans un exemple d’implémentation, le premier et le deuxième module sont implémentés sous la forme d’un réseau de neurones siamois de type transformeur,
l’auto-attention est définie par :

et la co-attention est définie par :
.
Les grandeurs q, v et etsont habituellement définies, dans le domaine des réseaux de neurones de type transformeur, comme désignant la «query», la «value», et l’élément de la séquence d’observation considérée à l’instant t. Des informations supplémentaires, notamment sur les grandeurs q, v et et, et plus généralement sur l’implémentation de mécanismes d’attention au moyen de réseaux de neurones de type transformeur, sont disponibles dans A. Vaswani, N. Shazeer, N. Parmar, J. Uszkoreit, L. Jones, A. Gomez, Ł. Kaiser, and I. Polosukhin. Advances in Neural Information Processing Systems, page 5998-6008, (2017).
Dans un exemple d’implémentation par un réseau de neurones entièrement connectés, les relations encodées par le premier et le deuxième module sont fusionnées par un fusionneur (410), puis traitées par un troisième module afin de produire, en sortie, une séquence reconstruite ŝij (k)(711) qui est une reconstruction de la séquence d’entrée sij (k)(111). Fonctionnellement, le troisième module comprend, au moins, un décodeur (610) configuré pour décoder les relations encodées. Dans un exemple d’implémentation, le troisième module comprend en outre un module de transformation (510) configuré pour transformer les relations encodées au moyen d’un mécanisme d’auto-attention avant leur décodage.
Au cours de la phase d’entraînement, les encodages effectués par le premier et le deuxième module, ainsi que le décodage effectué par le troisième module, sont progressivement affinés à chaque traitement d’une nouvelle séquence d’observation, de sorte que les séquences reconstruites soient, collectivement, les plus similaires possibles aux séquences d’apprentissage. Ainsi, le modèle MODijapprend à bien reconstruire les séquences d’observation provenant de la famille i de dispositifs de référence opérant dans un réseau avec la version j de micrologiciel.
Dans une réalisation, le modèle MODijapprend à reconstruire les séquences d’apprentissage en minimisant la fonction robuste de Geman-McClure. Cette fonction est définie par :
La grandeur ekest le résultat d’un calcul d’erreur de reconstruction de la séquence d’observation sij (k). Ce calcul fait intervenir la distance euclidienne dij (k)entre la séquence d’observation sij (k)et la séquence reconstruite ŝij (k), ainsi qu’un paramètre noté c, qui contrôle la robustesse de la fonction et est fixé comme un multiple de l’intervalle interquartile (IQR) de toutes les métadonnées de la famille i en version j, avec λ = 0,1 par exemple.
Une fois l’entraînement du modèle MODij(1101) achevé, celui-ci peut être stocké dans une base de référence (1100), notée DB_REF, puis une nouvelle itération du procédé de la peut être déclenchée afin d’entraîner un nouveau modèle MODi , j +1pour une autre version j+1 de micrologiciel de la famille i si une telle version existe, ou un nouveau modèle MODi+1,1pour une autre famille i+1 de dispositifs de référence. Cette démarche peut être répétée jusqu’à couvrir autant de familles que désiré et, pour chaque famille couverte, autant de versions de micrologiciel que désiré.
Il est maintenant décrit, en référence à la , un procédé de gestion de dispositifs communicants. Ce procédé de gestion comporte une procédure de collecte et de prétraitement de métadonnées (2000) effectuée à l’aide d’un collecteur (2001), d’un filtre (2002), d’un segmenteur (2003) et d’un ou plusieurs modules de prétraitement (2004).
Les entités (2001, 2002, 2003, 2004) prévues pour la mise en œuvre la procédure de collecte et de prétraitement de métadonnées (2000) présente de nombreuses similitudes avec celles (1001, 1002, 1003, 1004) prévues pour la mise en œuvre les premières étapes du procédé d’entraînement (1000) précédemment décrit en lien avec la , à deux nuances près.
Spécifiquement, dans le procédé de gestion proposé :
le collecteur (2001) collecte en continu des métadonnées se rapportant à des flux réseau courants, susceptibles d’impliquer tous types de dispositifs communicants, opérant sous toute version de micrologiciel, et
le filtre (2002) organise ces métadonnées collectées selon une procédure calquée sur celle du filtre (1002), de manière à ce que les séquences d’observation en sortie du ou des modules de prétraitement (2004) aient un format identique ou similaire à celui des séquences d’observation découlant d’observations de flux réseau impliquant les dispositifs de référence.
A titre de variante de réalisation, le filtre (2002) peut extraire un sous-ensemble de métadonnées considérées utiles pour gérer collectivement un groupe de dispositifs communicants présumés liés, c’est-à-dire présumés appartenir à une même famille et présumés opérer dans le réseau avec une même version de micrologiciel.
Dans le procédé de gestion proposé, le fonctionnement du segmenteur (2003) et celui du ou des modules de prétraitement (2004) sont inchangés par rapport à ceux décrits en lien avec la .
Le procédé de gestion comporte également une procédure de traitement de données et de gestion de dispositifs communicants (2100).
Un chargeur (2106) charge en mémoire un ensemble de modèles d’intelligence artificielle MODijprécédemment entraînés. Il peut s’agir, par exemple, de l’ensemble des modèles stockés dans la base de référence DB_REF (1100) précédemment décrite.
Un reconstructeur de séquence (2107) est prévu pour mettre en œuvre chaque modèle d’intelligence artificielle MODijpréalablement chargé par le chargeur.
Fonctionnellement, le reconstructeur de séquence peut être considéré comme comprenant une pluralité d’instances en parallèle, chaque instance étant associée à un modèle MODijrespectif et ayant un fonctionnement identique à celui du module d’apprentissage décrit en lien avec la et de manière plus détaillée en lien avec la .
On considère à présent, pour les besoins de la mise en œuvre d’un quelconque nombre de modèles MODij, qu’à un instant courant, une séquence d’observation courante sij (k)et au moins une séquence d’observation précédente sij (k-1), relatives à un même dispositif, sont obtenues en tant que séquences à analyser. L’analyse de ces séquences d’observation vise à caractériser la famille à laquelle appartient ce dispositif communicant et/ou la version de micrologiciel avec laquelle ce dispositif communicant opère dans le réseau.
Mettre en œuvre chacun des modèles d’intelligence artificielle MODijimplique de :
fournir la même séquence d’observation courante à analyser sij (k)à l’ensemble des premiers modules pour déterminer les relations intra-séquence,
fournir les mêmes séquences d’observation courante à analyser sij (k)et séquence d’observation précédente à analyser sij (k-1) à l’ensemble des deuxièmes modules pour déterminer les relations inter-séquences, et
obtenir, pour chacun des modèles d’intelligence artificielle mis en œuvre, une séquence reconstruite ŝij (k)respective qui est une reconstruction, par un troisième module respectif, de la séquence d’observation courante à analyser sij (k).
Pour chaque séquence reconstruite ainsi obtenue, un calcul d’erreur de reconstruction, noté ek ij, est effectué, par exemple selon l’équation (3). Pour une séquence reconstruite ŝij (k)par la mise en œuvre du modèle MODij, le résultat du calcul d’erreur de reconstruction est ainsi, par exemple, une distance euclidienne entre cette séquence reconstruite ŝij (k)et la séquence d’observation courante sij (k)qui en est à l’origine. Cette distance euclidienne est une grandeur positive indicative de la qualité de la reconstruction. Plus elle est proche de zéro, meilleure est la qualité de la reconstruction. Les erreurs de reconstruction pour chaque séquence reconstruite peuvent être comparées entre elles en vue d’identifier la famille de dispositifs communicants à laquelle appartient le dispositif communicant à gérer et la version de micrologiciel avec laquelle il opère dans le réseau.
Plus précisément, comparer les erreurs de reconstruction entre elles permet de déterminer l’erreur minimale notée ek, c’est-à-dire la valeur minimale d’erreur obtenue pour l’ensemble des calculs d’erreurs effectués. Parmi l’ensemble des modèles MODij, celui dont la mise en œuvre a produit en sortie la séquence reconstruite présentant l’erreur minimale ekest un modèle donné noté MODî ĵ, il s’agit du modèle représentant le comportement dans le réseau des dispositifs communicants appartenant à la famille î et opérant avec la version ĵ de micrologiciel.
Un comparateur (2108) compare l’erreur de reconstruction minimale ekà un seuil τmindont la valeur, fixée, est propre au modèle donné MODî ĵ.
Si l’erreur de reconstruction minimale ekest inférieure au seuil τmin, alors le dispositif communicant auquel la séquence d’observation est relative est identifié comme appartenant à la famille î et opérant avec la version ĵ de micrologiciel. Si cette version ĵ est finale pour la famille î, alors il peut être conclu que le dispositif communicant opère déjà dans le réseau avec un micrologiciel à jour, et il n’est pas nécessaire de déclencher une quelconque mise à jour de ce dispositif communicant. Si à l’inverse la version ĵ n’est pas finale pour la famille î, un service de notification et de recommandation peut émettre une notification (2109) proposant une mise à jour du micrologiciel du dispositif communicant de la famille î.
Si l’erreur de reconstruction minimale ekest supérieure au seuil τmin, alors le dispositif communicant auquel la séquence d’observation est relative est identifié comme inconnu, c’est-à-dire appartenant à une famille inconnue, ou opérant avec une version inconnue de micrologiciel, ou encore présentant des anomalies. Optionnellement, lorsque le dispositif communicant auquel la séquence d’observation est relative est identifié comme inconnu, il peut être prévu de stocker la séquence d’observation en mémoire, en vue d’une analyse ultérieure. Un service de notification et de recommandation peut en outre, par exemple, émettre une notification (2110) recommandant une mise à jour de tous les micrologiciels disponibles pour les dispositifs communicants identifiés comme inconnus.
Le service de notification peut être un service adapté et personnalisé pour informer qui de droit (par exemple un client, un gestionnaire d’objets, etc.) qu’une mise à jour du micrologiciel d’un ou plusieurs dispositifs communicants, ou d’une ou plusieurs familles de dispositifs communicants, est nécessaire.

Claims (10)

  1. Procédé de surveillance d’au moins un dispositif (10, 11, 12, 13, 14, 15, 20) dans un réseau de communication, le procédé comprenant :
    obtenir une séquence d’observation (111) à partir d’observations d’un flux réseau impliquant le dispositif,
    mettre en œuvre au moins un modèle donné (1101) d’intelligence artificielle associé à une version de micrologiciel d’au moins un dispositif de référence, le modèle donné étant entraîné à produire une séquence reconstruite (711) à partir de la séquence d’observation et d’une séquence d’observation précédente (112) et à déterminer une erreur de reconstruction entre la séquence reconstruite et la séquence d’observation, une erreur de reconstruction inférieure à un seuil caractérisant que le dispositif opère dans le réseau avec ladite version de micrologiciel,
    la séquence reconstruite étant produite en fonction de relations intra-séquence (zk) entre des éléments de la séquence d’observation et de relations inter-séquences (zk - 1) entre la séquence d’observation et la séquence d’observation précédente.
  2. Procédé selon la revendication 1,
    procédé dans lequel la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’une pluralité de modèles respectivement associés à une version respective de micrologiciel de l’au moins un dispositif de référence,
    chaque dit modèle étant respectivement entraîné à produire une séquence reconstruite respective à partir de la séquence d’observation et de la séquence d’observation précédente et à déterminer une erreur de reconstruction respective entre la séquence reconstruite respective et la séquence d’observation,
    l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné (MODî ĵ) ayant la valeur la plus faible parmi les erreurs de reconstruction respectives.
  3. Procédé selon la revendication 1 ou 2,
    procédé dans lequel la mise en œuvre d’au moins un modèle donné comprend la mise en œuvre d’un ensemble de modèles comprenant une pluralité de sous-ensembles respectivement associés à une famille respective de dispositifs de référence et comprenant, chacun, au moins un modèle associé à une version de micrologiciel d’au moins un dispositif de référence de la famille respective, le modèle donné appartenant à l’un des sous-ensembles,
    l’erreur de reconstruction, déterminée lors de la mise en œuvre du modèle donné (MODij), inférieure au seuil caractérisant en outre que le dispositif appartient à la famille associée au sous-ensemble comprenant le modèle donné.
  4. Procédé de gestion d’au moins un dispositif communicant dans un réseau de communication, le procédé comprenant :
    surveiller le dispositif communicant selon le procédé de surveillance de l’une des revendications 1 à 3, et
    émettre une consigne de gestion du dispositif communicant sur la base d’une comparaison entre l’erreur de reconstruction déterminée lors de la mise en œuvre du modèle donné (MODij) et le seuil.
  5. Procédé selon la revendication 4, procédé dans lequel, lorsque l’erreur de reconstruction déterminée est inférieure au seuil et la version de micrologiciel associée au modèle donné est obsolète, la consigne de gestion comprend une recommandation de mise à jour de la version de micrologiciel avec laquelle le dispositif opère dans le réseau.
  6. Procédé selon la revendication 4 ou 5, procédé comprenant en outre, lorsque l’erreur de reconstruction déterminée est supérieure au seuil, une détection d’anomalie, et dans lequel la consigne de gestion est émise sur la base de l’anomalie.
  7. Programme informatique comportant des instructions pour la mise en œuvre du procédé selon l’une des revendications 1 à 6 lorsque ce programme est exécuté par un processeur.
  8. Support d’enregistrement non transitoire (102) lisible par un ordinateur sur lequel est enregistré un programme pour la mise en œuvre du procédé selon l’une des revendications 1 à 6 lorsque ce programme est exécuté par un processeur.
  9. Dispositif de traitement de données (100) comprenant un processeur (101) connecté à un support d’enregistrement non transitoire (102) selon la revendication 8.
  10. Système comprenant une pluralité de dispositifs communicants (10, 11, 12, 13, 14, 15, 20) dans un réseau de communication, au moins un des dispositifs communicants comprenant un dispositif de traitement (100) selon la revendication 9.
FR2205936A 2022-06-17 2022-06-17 Détection d’anomalies pour la maintenance applicative de dispositifs Pending FR3136917A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2205936A FR3136917A1 (fr) 2022-06-17 2022-06-17 Détection d’anomalies pour la maintenance applicative de dispositifs
PCT/EP2023/064054 WO2023241896A1 (fr) 2022-06-17 2023-05-25 Détection d'anomalies pour la maintenance applicative de dispositifs

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2205936 2022-06-17
FR2205936A FR3136917A1 (fr) 2022-06-17 2022-06-17 Détection d’anomalies pour la maintenance applicative de dispositifs

Publications (1)

Publication Number Publication Date
FR3136917A1 true FR3136917A1 (fr) 2023-12-22

Family

ID=83280209

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2205936A Pending FR3136917A1 (fr) 2022-06-17 2022-06-17 Détection d’anomalies pour la maintenance applicative de dispositifs

Country Status (2)

Country Link
FR (1) FR3136917A1 (fr)
WO (1) WO2023241896A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200076841A1 (en) * 2018-09-05 2020-03-05 Oracle International Corporation Context-aware feature embedding and anomaly detection of sequential log data using deep recurrent neural networks
US20220172067A1 (en) * 2020-11-30 2022-06-02 International Business Machines Corporation Learning from distributed traces for anomaly detection and root cause analysis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200076841A1 (en) * 2018-09-05 2020-03-05 Oracle International Corporation Context-aware feature embedding and anomaly detection of sequential log data using deep recurrent neural networks
US20220172067A1 (en) * 2020-11-30 2022-06-02 International Business Machines Corporation Learning from distributed traces for anomaly detection and root cause analysis

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
A. VASWANIN. SHAZEERN. PARMARJ. USZKOREITL. JONESA. GOMEZL. KAISERI. POLOSUKHIN, ADVANCES IN NEURAL INFORMATION PROCESSING SYSTEMS, 2017, pages 5998 - 6008
HAORAN ZHANGDIANE LITMAN: "Proceedings of the Thirteenth Workshop on Innovative Use of NLP for Building Educational Applications", 2018, ASSOCIATION FOR COMPUTATIONAL LINGUISTICS, article "Co-Attention Based Neural Network for Source-Dependent Essay Scoring", pages: 399 - 409
Z. CHEND. CHENX. ZHANGZ. YUANX. CHENG: "Learning Graph Structures with Transformer for Multivariate Time Series Anomaly Détection in IoT", IEEE INTERNET OF THINGS JOURNAL, 2021

Also Published As

Publication number Publication date
WO2023241896A1 (fr) 2023-12-21

Similar Documents

Publication Publication Date Title
EP3172548B1 (fr) Procédé pour détecter des anomalies dans un réseau de distribution, en particulier d'eau potable
EP3846046A1 (fr) Procede et systeme de traitement de donnees pour la preparation d'un jeu de donnees
EP3489831A1 (fr) Procédé et dispositif de surveillance d'un processus générateur de données d'une métrique pour la prédiction d'anomalies
FR3076005A1 (fr) Commande de la consommation energetique d'une grappe de serveurs
FR3072236A1 (fr) Dispositif et procede d'acquisition de valeurs de compteurs associes a une tache de calcul
WO2023241896A1 (fr) Détection d'anomalies pour la maintenance applicative de dispositifs
EP2005649B1 (fr) Procedé et système pour mettre a jour des changements de topologie d'un reseau informatique
EP1724975A1 (fr) Dispositif d'analyse de données d'analyse modifiées, en vue de l'optimisation d'un réseau de communication
EP4055506B1 (fr) Detection d'attaques a l'aide de compteurs de performances materiels
WO2016092218A1 (fr) Moyens pour déterminer un niveau de pertinence d'une ressource dans un système de traitement d'informations
WO2016087770A1 (fr) Procédé de surveillance du fonctionnement d'une turbomachine
AU2021269196B2 (en) Performance event troubleshooting system
US20220173958A1 (en) Knowledge base and mining for effective root-cause analysis
WO2021122291A1 (fr) Procede et dispositif de detection d'equipement intrus
FR3123748A1 (fr) Apprentissage automatique sans annotation ameliore par regroupements adaptatifs en ensemble ouvert de classes
EP3905044A1 (fr) Procédé d'analyse automatique des journaux de transactions d'un système informatique distribué
EP4033361B1 (fr) Procédé et dispositif de détermination d'au moins une machine impliquée dans une anomalie détectée dans une infrastructure informatique complexe
FR3090153A1 (fr) Procédé et système de détection d’anomalie dans un réseau de télécommunications
WO2024079408A1 (fr) Procédé de détection d'anomalie dans une série temporelle observée de valeurs d'une grandeur physique représentative des performances d'un système
FR3140958A1 (fr) Procédé de détection d’anomalie dans une série temporelle observée de valeurs d’une grandeur physique représentative des performances d’un système.
FR3089648A1 (fr) Procede de detection non supervise d’attaques internes et systeme associe
FR3075996A1 (fr) Systeme et procede d'elaboration et d'execution de tests fonctionnels pour grappe de serveurs
EP3985514A1 (fr) Procédé de prédiction et d'analyse non intrusif d'au moins un incident dans un centre de données
FR3090262A1 (fr) Procédé de détermination d’un chemin de transmission de données, et dispositif correspondant.
FR3124615A1 (fr) Procédé d’échange sécurisé de données.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20231222