JP2011164950A - 異常検出装置、異常検出システム、異常検出方法、及び、プログラム - Google Patents
異常検出装置、異常検出システム、異常検出方法、及び、プログラム Download PDFInfo
- Publication number
- JP2011164950A JP2011164950A JP2010027124A JP2010027124A JP2011164950A JP 2011164950 A JP2011164950 A JP 2011164950A JP 2010027124 A JP2010027124 A JP 2010027124A JP 2010027124 A JP2010027124 A JP 2010027124A JP 2011164950 A JP2011164950 A JP 2011164950A
- Authority
- JP
- Japan
- Prior art keywords
- probability distribution
- device group
- devices
- acquired
- abnormality detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】原因装置群を高い精度にて特定することが可能な異常検出装置を提供すること。
【解決手段】異常検出装置100は、互いに関連して作動する複数の装置を含むシステムに適用される。異常検出装置100は、上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得部101と、上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得部102と、上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定部103と、上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定部104と、を備える。
【選択図】図5
【解決手段】異常検出装置100は、互いに関連して作動する複数の装置を含むシステムに適用される。異常検出装置100は、上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得部101と、上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得部102と、上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定部103と、上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定部104と、を備える。
【選択図】図5
Description
本発明は、互いに関連して作動する複数の装置を含むシステムの作動状態が異常状態であるか否かを検出する異常検出装置に関する。
互いに関連して作動する複数の装置を含むシステムの作動状態が異常状態であるか否かを検出する異常検出装置が知られている。例えば、システムは、互いに通信を行う複数の通信装置を含む通信システムである。
この種のシステムの性質は、システムに含まれる装置が、他の装置と強い相関を有する、という性質である。この結果、システムは、特定の作動状態を有する場合がある。例えば、特定の作動状態は、システムにおいて、各装置が略同一の負荷にて作動している状態、又は、特定の装置が他の装置よりも大きい負荷にて作動している状態、等である。ところで、個々の装置の作動状態のみを検出しても、これらの特定の作動状態を検出することはできない。この結果、システムの作動状態が異常状態であることを検出することが難しくなる。
例えば、通信システムにおいて、ある通信装置(例えば、サーバ装置)が故障することによって、通信トラフィックがその通信装置を回避し始めた場合を想定する。この場合、故障した通信装置と、その通信装置の近傍に配置された通信装置と、の間の通信トラフィックは、一斉に減少する。
ところで、ある通信トラフィックが減少することは、通信装置の故障を示唆しない。一方、複数の通信トラフィックが一斉に減少することは、通信装置の故障を示唆する。従って、通信装置の故障を検出するためには、個々の通信トラフィックの変化ではなく、複数の通信トラフィックの変化(即ち、複数の装置が関連した現象)を検出する必要がある。
加えて、上記の性質のため、システムの作動状態が異常状態となった基となる装置が1つであるとは限らない。例えば、システムが通信システムである場合、複数の通信装置間で通信が循環するという障害が存在する。この障害が発生している場合においても、異常検出装置は、通信が循環している複数の装置(原因装置群)を、システムの作動状態が異常状態となった基となる装置群として特定できることが望ましい。
しかしながら、この障害が発生している場合、装置が他の装置と相関を有するため、個々の装置の異常度を足し合わせた値は、装置群の異常度と等しくならない。ここで、装置の異常度は、装置の作動状態が異常状態に近づくほど大きくなる値であり、装置群の異常度は、装置群の作動状態が異常状態に近づくほど大きくなる値である。
従って、各装置の作動状態を個別に検出した後に、それらの検出値をまとめるだけでは、原因装置群を高い精度にて特定することができない。即ち、原因装置群を一括して検出する技術が必要とされている。
ところで、異常検出装置の一つとして、特許文献1に記載の異常検出装置は、システムの作動状態の特徴を表す特徴量を成分として有する行列の最大固有ベクトルを入力する。そして、異常検出装置は、基準となるベクトルと、入力された最大固有ベクトルと、が比較的大きく相違している場合、システムの作動状態が異常状態であることを検出する。
また、異常検出装置の他の一つとして、非特許文献1に記載の異常検出装置は、システム内の装置間の相関構造の変化に対して各装置が及ぼす影響の大きさ(当該変化に対する各装置の寄与)を表す値をスコアとして算出する。
Tsuyoshi Ide、外3名、「Proximity-based anomaly detection using sparse structure learning」、Proceedings of 2009 SIAM International Conference on Data Mining(SDM09)、Society for Industrial and Applied Mathematics、2009年、p.97-108
しかしながら、特許文献1に記載の異常検出装置によれば、システムの作動状態が異常状態であるか否かを検出することができるが、原因装置群を特定することはできない。この理由は、当該異常検出装置が、ある装置群内の装置と、当該装置群外の装置と、の間の関係を無視した処理を行っているためである。
また、非特許文献1に記載の異常検出装置によっても、原因装置群を高い精度にて特定することはできない。この理由は、システム内の装置が他の装置と強い相関を有するので、個々の装置の異常度を足し合わせた値が装置群の異常度と等しくならないためである。
このように、上述した文献に記載の異常検出装置においては、システムの作動状態が異常状態となった基となる装置群(原因装置群)を高い精度にて特定することができない、という問題があった。
このため、本発明の目的は、上述した課題である「原因装置群を高い精度にて特定できない場合が生じること」を解決することが可能な異常検出装置を提供することにある。
かかる目的を達成するため本発明の一形態である異常検出装置は、
互いに関連して作動する複数の装置を含むシステムに適用され、
上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える。
互いに関連して作動する複数の装置を含むシステムに適用され、
上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える。
また、本発明の他の形態である異常検出システムは、
互いに関連して作動する複数の装置を含む対象システムを含み、
上記対象システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記対象システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
上記複数の装置の一部を構成し且つ上記対象システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える。
互いに関連して作動する複数の装置を含む対象システムを含み、
上記対象システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記対象システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
上記複数の装置の一部を構成し且つ上記対象システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える。
また、本発明の他の形態である異常検出方法は、
互いに関連して作動する複数の装置を含むシステムに適用され、
上記システムの作動状態の特徴を表す特徴量を取得し、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得し、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定し、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する方法である。
互いに関連して作動する複数の装置を含むシステムに適用され、
上記システムの作動状態の特徴を表す特徴量を取得し、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得し、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定し、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する方法である。
また、本発明の他の形態であるプログラムは、
互いに関連して作動する複数の装置を含むシステムに適用される異常検出装置に、
上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を実現させるためのプログラムである。
互いに関連して作動する複数の装置を含むシステムに適用される異常検出装置に、
上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を実現させるためのプログラムである。
本発明は、以上のように構成されることにより、原因装置群を高い精度にて特定することができる。
以下、本発明に係る、異常検出装置、異常検出システム、異常検出方法、及び、プログラム、の各実施形態について図1〜図5を参照しながら説明する。
<第1実施形態>
図1に示したように、第1実施形態に係る異常検出システム1は、異常検出装置2と、複数(本例では、n個、ここで、nは整数)の通信装置3a,3b,3c,…と、を含む。異常検出装置2、及び、通信装置3a,3b,3c,…は、IP(Internet Protocol)網を構成する通信回線NWを介して、互いに通信可能に接続されている。なお、複数の通信装置3a,3b,3c,…は、通信システムを構成している。また、通信システムは、その作動状態が異常状態にあるか否かを異常検出装置2が検出する対象となるシステムであり、対象システムとも呼ばれる。
図1に示したように、第1実施形態に係る異常検出システム1は、異常検出装置2と、複数(本例では、n個、ここで、nは整数)の通信装置3a,3b,3c,…と、を含む。異常検出装置2、及び、通信装置3a,3b,3c,…は、IP(Internet Protocol)網を構成する通信回線NWを介して、互いに通信可能に接続されている。なお、複数の通信装置3a,3b,3c,…は、通信システムを構成している。また、通信システムは、その作動状態が異常状態にあるか否かを異常検出装置2が検出する対象となるシステムであり、対象システムとも呼ばれる。
各通信装置3a,3b,3c,…は、他の通信装置3a,3b,3c,…との間で通信を行う装置である。即ち、複数の通信装置3a,3b,3c,…は、互いに関連して作動する、と言うことができる。
各通信装置3a,3b,3c,…は、特徴量基礎情報を異常検出装置2へ送信する。特徴量基礎情報は、通信システムの作動状態の特徴を表す特徴量の基礎となる情報である。更に、特徴量基礎情報は、当該特徴量基礎情報が生成された時刻を表す情報を含む。
本例では、特徴量基礎情報は、複数の通信装置3a,3b,3c,…のそれぞれが他の通信装置3a,3b,3c,…へ単位時間あたりに送信するデータ量(データサイズ)を表す情報である。なお、特徴量基礎情報は、複数の通信装置3a,3b,3c,…のそれぞれが備える処理装置の負荷を表す情報であってもよい。
異常検出装置2は、図示しない中央処理装置(CPU;Central Processing Unit)、及び、記憶装置(メモリ及びハードディスク駆動装置(HDD;Hard Disk Drive))を備える。異常検出装置2は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
図2は、上記のように構成された異常検出装置2の機能を表すブロック図である。
異常検出装置2の機能は、特徴量取得部(特徴量取得手段)21と、確率分布取得部(確率分布取得手段)22と、作動状態判定部(作動状態判定手段)23と、原因装置群特定部(原因装置群特定手段)24と、を含む。
異常検出装置2の機能は、特徴量取得部(特徴量取得手段)21と、確率分布取得部(確率分布取得手段)22と、作動状態判定部(作動状態判定手段)23と、原因装置群特定部(原因装置群特定手段)24と、を含む。
特徴量取得部21は、通信システムの作動状態の特徴を表す特徴量を取得する。特徴量は、各通信装置3a,3b,3c,…から受信した特徴量基礎情報を成分として有するベクトルである。本例では、特徴量は、各通信装置3a,3b,3c,…が他の通信装置3a,3b,3c,…へ単位時間あたりに送信するデータ量を成分として有するベクトルである。
なお、特徴量は、各通信装置3a,3b,3c,…が備える処理装置の負荷を成分として有するベクトルであってもよい。また、特徴量は、各通信装置3a,3b,3c,…が他の通信装置3a,3b,3c,…へ単位時間あたりに送信するデータ量を成分として有するベクトルと、各通信装置3a,3b,3c,…が備える処理装置の負荷を成分として有するベクトルと、を併せたベクトル等であってもよい。
また、特徴量は、ベクトルではなく行列であってもよい。この場合、例えば、特徴量は、一対の通信装置毎の、当該通信装置間で単位時間あたりに通信されるデータ量(通信トラフィック量)を成分として有する行列であってもよい。また、特徴量は、一対の通信装置毎の、当該通信装置間の物理的な接続の有無を表す値(例えば、真偽値)を成分として有する行列であってもよい。
特徴量取得部21は、各通信装置3a,3b,3c,…から受信された特徴量基礎情報に基づいて、当該特徴量基礎情報に含まれる時刻と対応付けて特徴量を取得する。特徴量取得部21は、取得された特徴量と、当該特徴量と対応付けられた時刻と、を対応付けて確率分布取得部22へ出力する。
確率分布取得部22は、特徴量取得部21から出力された特徴量と、時刻と、を受け付ける。確率分布取得部22は、受け付けた特徴量x(t)に基づいて、特徴量x(t)を確率変数とする確率分布pt(x|θt)を取得する。上述したように、本例では、通信システムがn個の通信装置3a,3b,3c,…を含むので、特徴量x(t)は、n次元のベクトルである。また、tは、時刻を表す整数であり、特徴量取得部21により特徴量が取得される毎に1ずつ増加する整数である。
本例では、確率分布は、多次元の正規分布である。また、本例では、平均値が0である確率分布を想定する。従って、確率分布取得部22は、確率分布を特定するための確率分布パラメータθtとしての分散共分散行列Σtを取得することにより、数式1に示した当該確率分布pt(x|Σt)を取得する。なお、確率分布は、平均値が0以外であってもよい。
確率分布取得部22は、取得された確率分布パラメータθt(本例では、分散共分散行列Σt)を時刻tと対応付けて記憶装置に記憶させる。更に、確率分布取得部22は、時刻tと対応付けられた(即ち、第1の時点にて取得された特徴量に基づく)確率分布パラメータΣtと、時刻t−1と対応付けられた(即ち、第1の時点よりも前の第2の時点にて取得された特徴量に基づく)確率分布パラメータΣt−1と、を作動状態判定部23及び原因装置群特定部24のそれぞれへ出力する。
作動状態判定部23は、特徴量取得部21により取得された確率分布と、特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、通信システムの作動状態が異常状態にあるか否かを判定する。
具体的には、作動状態判定部23は、確率分布取得部22から出力された、時刻tと対応付けられた確率分布パラメータΣtを確率分布として受け付ける。更に、作動状態判定部23は、確率分布取得部22から出力された、時刻t−1と対応付けられた確率分布パラメータΣt−1を基準確率分布として受け付ける。
作動状態判定部23は、受け付けた、確率分布パラメータΣt、及び、確率分布パラメータΣt−1と、数式2と、に基づいて、異常度スコアS(t)を算出する。ここで、異常度スコアS(t)は、時刻tと対応付けられた確率分布と、時刻t−1と対応付けられた確率分布(基準確率分布)と、の差が大きくなるほど大きくなる値を有する。
ここで、DKL[pt−1(x|θt−1)||pt(x|θt)]は、KL(Kullback−Leibler)ダイバージェンスと呼ばれる値であり、数式3により定義される。
DKL[pt−1(x|θt−1)||pt(x|θt)]は、確率分布pt−1(x|θt−1)と、確率分布pt(x|θt)と、が一致している(等しい分布である)場合に0となる。また、DKL[pt−1(x|θt−1)||pt(x|θt)]は、確率分布pt−1(x|θt−1)と、確率分布pt(x|θt)と、が大きく異なるほど、大きくなる値を有する。
ところで、確率分布は、通信システムの作動状態が正常状態から異常状態へ変化した場合に、比較的大きく変化する。従って、異常度スコアS(t)が比較的大きくなった場合、通信システムの作動状態が正常状態から異常状態へ変化した可能性が高い。
そこで、作動状態判定部23は、算出された異常度スコアS(t)が予め設定された閾値スコアよりも大きい場合、通信システムの作動状態が異常状態にあると判定する。一方、作動状態判定部23は、算出された異常度スコアS(t)が上記閾値スコア以下である場合、通信システムの作動状態が異常状態にない(即ち、正常状態にある)と判定する。
ここで、通信システムの作動状態が正常状態から異常状態へ変化した場合における、通信装置群の作動状態の変化について説明する。
図3は、通信システムの作動状態が正常状態にある場合における、原因装置群及び非原因装置群の作動状態を概念的に示した説明図である。図4は、通信システムの作動状態が異常状態にある場合における原因装置群及び非原因装置群の作動状態を概念的に示した説明図である。
ここで、原因装置群α0は、通信システムの作動状態が異常状態となった基となる通信装置群である。また、非原因装置群β0は、通信システムに含まれるすべての通信装置のうちの、原因装置群α0を構成する通信装置以外の通信装置からなる通信装置群である。
図3及び図4において、実線の丸は、通信装置を表し、破線の丸は、通信装置群を表す。また、実線の丸と実線の丸とを結ぶ直線は、通信装置間に比較的強い相関関係が存在することを表す。
図3及び図4に示したように、通信システムの作動状態が正常状態から異常状態へ変化した場合、原因装置群α0においては、非原因装置群β0に比較して通信信装置間の相関関係が大きく変化する。従って、原因装置群特定部24は、このような性質を利用して、原因装置群を特定する。
具体的には、原因装置群特定部24は、複数の通信装置3a,3b,3c,…の一部を構成する任意の通信装置群に対して、原因装置群特定関数Eの値を算出する。そして、原因装置群特定部24は、算出された原因装置群特定関数Eの値を最小にする通信装置群を、通信システムの作動状態が異常状態となった基となる通信装置群である原因装置群として特定する。
原因装置群特定関数Eは、数式4に示したように定義される関数である。ここで、αは、原因装置群特定関数Eの値を算出する対象となる通信装置群を表す。また、βは、複数の通信装置3a,3b,3c,…のうちの、通信装置群αを構成する通信装置以外の通信装置からなる通信装置群を表す。また、kは、通信装置群αを構成する通信装置の数を表す。即ち、n−kは、通信装置群βを構成する通信装置の数を表す。
ここで、第1の関数L(α,β)は、後述するように、時刻tと対応付けられた確率分布の、時刻t−1と対応付けられた確率分布(基準確率分布)からの変化に対して通信装置群αが及ぼす影響が大きくなるほど大きくなる値を有する。また、第2の関数f(k)は、後述するように、通信装置群αを構成する通信装置の数kが少なくなるほど小さくなる値を有する。
即ち、原因装置群特定関数Eは、時刻tと対応付けられた確率分布の、時刻t−1と対応付けられた確率分布(基準確率分布)からの変化に対して通信装置群αが及ぼす影響が大きくなるほど小さくなり、且つ、通信装置群αを構成する通信装置の数kが少なくなるほど小さくなる値を有する。
即ち、原因装置群特定部24は、時刻tと対応付けられた確率分布の、時刻t−1と対応付けられた確率分布(基準確率分布)からの変化に対して通信装置群αが及ぼす影響が大きさと、通信装置群αを構成する通信装置の数kと、に基づいて原因装置群を特定する。
これにより、原因装置群特定部24は、原因装置群を一括して特定することができる。
これにより、原因装置群特定部24は、原因装置群を一括して特定することができる。
なお、原因装置群特定関数Eは、各時刻における特徴量x、及び、各時刻における確率分布パラメータθ等のパラメータにも基づいて変化する関数であってもよい。
ここで、第1の関数L(α,β)及び第2の関数f(k)についてより詳細に説明する。
先ず、数式5に示したように、特徴量x(t),x(t−1)のうちの、通信装置群αを構成する通信装置に対応する要素からなるk次元ベクトルxα(t),xα(t−1)と、通信装置群βを構成する通信装置に対応する要素からなるn−k次元ベクトルxβ(t),xβ(t−1)と、を定義する。
先ず、数式5に示したように、特徴量x(t),x(t−1)のうちの、通信装置群αを構成する通信装置に対応する要素からなるk次元ベクトルxα(t),xα(t−1)と、通信装置群βを構成する通信装置に対応する要素からなるn−k次元ベクトルxβ(t),xβ(t−1)と、を定義する。
更に、数式6に示したように、分散共分散行列Σt,Σt−1のうちの、通信装置群αを構成する通信装置間の関係に対応する要素からなる行列Σt,αα,Σt−1,ααと、通信装置群αを構成する通信装置と通信装置群βを構成する通信装置との間の関係に対応する要素からなる行列Σt,αβ,Σt−1,αβ,Σt,βα,Σt−1,βαと、通信装置群βを構成する通信装置間の関係に対応する要素からなる行列Σt,ββ,Σt−1,ββと、を定義する。
本例では、第1の関数L(α,β)を、数式7に示したように定義する。
ここで、DBurg(X,Y)は、Burg行列ダイバージェンス(Burg matrix divergence)と呼ばれる関数であり、数式8に示したように定義される。ここで、Tr[XY−1]は、正方行列XY−1の対角成分の和を表す。
なお、DBurg(X,Y)は、正方行列X及び正方行列Yが等しい場合に0となる。また、DBurg(X,Y)は、正方行列Xと、正方行列Yと、が大きくことなるほど大きくなる値を有する。
また、第2の関数f(k)を、数式9に示したように定義する。ここで、λは、予め設定された正規化パラメータである。
このように、原因装置群特定部24は、複数の通信装置3a,3b,3c,…の一部を構成し且つ通信システムの作動状態が異常状態となった基となる通信装置群である原因装置群を、取得された確率分布の基準確率分布からの変化に対して当該通信装置群が及ぼす影響の大きさと、当該通信装置群を構成する通信装置の数と、に基づいて特定する、と言うことができる。
異常検出装置2は、作動状態判定部23により、通信システムの作動状態が異常状態にあると判定された場合、その旨を表す情報を出力(例えば、ディスプレイに表示)する。更に、異常検出装置2は、作動状態判定部23により、通信システムの作動状態が異常状態にあると判定された場合、原因装置群特定部24により特定された原因装置群を表す情報(例えば、原因装置群を構成する通信装置を特定するための情報)を出力する。
以上、説明したように、本発明の第1実施形態に係る異常検出装置2によれば、通信システムの作動状態が異常状態にあるか否かを高い精度にて検出することができる。更に、通信システムの作動状態が異常状態となった基となる装置群(原因装置群)を高い精度にて特定することができる。異常検出装置2によれば、例えば、通信トラフィックが複数の通信装置間で循環する障害が発生した場合であっても、原因装置群を高い精度にて特定することができる。
更に、異常検出装置2は、第1の時点にて取得された特徴量に基づいて確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて取得された特徴量に基づいて基準確率分布を取得する。
これによれば、直前の時点における確率分布を基準確率分布として用いることができる。この結果、通信システムの作動状態が異常状態であるか否かを高い精度にて判定することができる。
<第2実施形態>
次に、本発明の第2実施形態に係る異常検出装置について図5を参照しながら説明する。
第2実施形態に係る異常検出装置100は、互いに関連して作動する複数の装置を含むシステムに適用される。
次に、本発明の第2実施形態に係る異常検出装置について図5を参照しながら説明する。
第2実施形態に係る異常検出装置100は、互いに関連して作動する複数の装置を含むシステムに適用される。
異常検出装置100は、
上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得部(特徴量取得手段)101と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得部(確率分布取得手段)102と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定部(作動状態判定手段)103と、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定部(原因装置群特定手段)104と、
を備える。
上記システムの作動状態の特徴を表す特徴量を取得する特徴量取得部(特徴量取得手段)101と、
上記取得された特徴量に基づいて、上記特徴量を確率変数とする確率分布を取得する確率分布取得部(確率分布取得手段)102と、
上記取得された確率分布と、上記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、上記システムの作動状態が異常状態にあるか否かを判定する作動状態判定部(作動状態判定手段)103と、
上記複数の装置の一部を構成し且つ上記システムの作動状態が異常状態となった基となる装置群である原因装置群を、上記取得された確率分布の上記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定部(原因装置群特定手段)104と、
を備える。
これによれば、システムの作動状態が異常状態にあるか否かを高い精度にて検出することができる。更に、システムの作動状態が異常状態となった基となる装置群(原因装置群)を高い精度にて特定することができる。
以上、上記実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成及び詳細に、本願発明の範囲内において当業者が理解し得る様々な変更をすることができる。
なお、第1実施形態においては、対象システムは、通信システムであり、対象システムに含まれる装置は、通信装置であった。ところで、対象システムは、自動車等の複数の部分装置からなるシステムであってもよい。この場合、異常検出装置は、各部分装置から出力される特徴量基礎情報(例えば、電流、及び、電圧等)に基づいて原因装置群(上記複数の部分装置の一部からなる装置群)を特定することが好適である。
また、異常検出装置は、複数の一次元の時系列データに基づいて、各時系列データ間の相関を考慮に入れながら、対象システムの作動状態が異常状態となる基となった時系列データ群(複数の時系列データ)を特定することができる。
なお、上記実施形態において異常検出装置の各機能は、CPUがプログラム(ソフトウェア)を実行することにより実現されていたが、回路等のハードウェアにより実現されていてもよい。
また、上記実施形態においてプログラムは、記憶装置に記憶されていたが、コンピュータが読み取り可能な記録媒体に記憶されていてもよい。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。
また、上記実施形態の他の変形例として、上述した実施形態及び変形例の任意の組み合わせが採用されてもよい。
<付記>
上記実施形態の一部又は全部は、以下の付記のように記載され得るが、以下には限られない。
上記実施形態の一部又は全部は、以下の付記のように記載され得るが、以下には限られない。
(付記1)
互いに関連して作動する複数の装置を含むシステムに適用され、
前記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える異常検出装置。
互いに関連して作動する複数の装置を含むシステムに適用され、
前記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える異常検出装置。
これによれば、システムの作動状態が異常状態にあるか否かを高い精度にて検出することができる。更に、システムの作動状態が異常状態となった基となる装置群(原因装置群)を高い精度にて特定することができる。
(付記2)
付記1に記載の異常検出装置であって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出装置。
付記1に記載の異常検出装置であって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出装置。
(付記3)
付記1又は付記2に記載の異常検出装置であって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成された異常検出装置。
付記1又は付記2に記載の異常検出装置であって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成された異常検出装置。
ところで、装置間の関係、及び、システムの作動状態は、時間の経過に伴って変化する。従って、システムの作動状態が異常状態であるか否かを判定するための基準も、時間の経過に伴って変化する。
例えば、システムが通信システムである場合、ある通信トラフィックが、夜間においては通信システムの作動状態が異常状態であると判定される大きさであっても、昼間においては通信システムの作動状態が異常状態でないと判定される大きさであることがある。即ち、基準確率分布として一定の分布を用いると、システムの作動状態が異常状態であるか否かを高い精度にて判定することができない虞がある。
これに対し、上記のように構成された異常検出装置によれば、例えば、直前の時点における確率分布を基準確率分布として用いることができる。この結果、システムの作動状態が異常状態であるか否かを高い精度にて判定することができる。
(付記4)
付記1乃至付記3のいずれか一項に記載の異常検出装置であって、
前記作動状態判定手段は、前記取得された確率分布と、前記基準確率分布と、の差を表す値として、KL(Kullback−Leibler)ダイバージェンスに基づく値を用いるように構成された異常検出装置。
付記1乃至付記3のいずれか一項に記載の異常検出装置であって、
前記作動状態判定手段は、前記取得された確率分布と、前記基準確率分布と、の差を表す値として、KL(Kullback−Leibler)ダイバージェンスに基づく値を用いるように構成された異常検出装置。
(付記5)
付記1乃至付記4のいずれか一項に記載の異常検出装置であって、
前記確率分布取得手段は、前記確率分布を特定するための確率分布パラメータを取得することにより当該確率分布を取得するように構成され、
前記原因装置群特定手段は、前記取得された確率分布パラメータに基づいて前記原因装置群を特定するように構成された異常検出装置。
付記1乃至付記4のいずれか一項に記載の異常検出装置であって、
前記確率分布取得手段は、前記確率分布を特定するための確率分布パラメータを取得することにより当該確率分布を取得するように構成され、
前記原因装置群特定手段は、前記取得された確率分布パラメータに基づいて前記原因装置群を特定するように構成された異常検出装置。
(付記6)
付記5に記載の異常検出装置であって、
前記確率分布は、多次元の正規分布であり、
前記確率分布パラメータは、分散共分散行列を含む異常検出装置。
付記5に記載の異常検出装置であって、
前記確率分布は、多次元の正規分布であり、
前記確率分布パラメータは、分散共分散行列を含む異常検出装置。
(付記7)
付記1乃至付記6のいずれか一項に記載の異常検出装置であって、
前記装置は、他の装置との間で通信を行う通信装置であり、
前記特徴量は、前記複数の装置のそれぞれが他の装置へ送信するデータ量を含む異常検出装置。
付記1乃至付記6のいずれか一項に記載の異常検出装置であって、
前記装置は、他の装置との間で通信を行う通信装置であり、
前記特徴量は、前記複数の装置のそれぞれが他の装置へ送信するデータ量を含む異常検出装置。
(付記8)
互いに関連して作動する複数の装置を含む対象システムを含み、
前記対象システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記対象システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記対象システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える異常検出システム。
互いに関連して作動する複数の装置を含む対象システムを含み、
前記対象システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記対象システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記対象システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える異常検出システム。
(付記9)
付記8に記載の異常検出システムであって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出システム。
付記8に記載の異常検出システムであって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出システム。
(付記10)
付記8又は付記9に記載の異常検出システムであって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成された異常検出システム。
付記8又は付記9に記載の異常検出システムであって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成された異常検出システム。
(付記11)
互いに関連して作動する複数の装置を含むシステムに適用され、
前記システムの作動状態の特徴を表す特徴量を取得し、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得し、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定し、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する、異常検出方法。
互いに関連して作動する複数の装置を含むシステムに適用され、
前記システムの作動状態の特徴を表す特徴量を取得し、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得し、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定し、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する、異常検出方法。
(付記12)
付記11に記載の異常検出方法であって、
前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出方法。
付記11に記載の異常検出方法であって、
前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出方法。
(付記13)
付記11又は付記12に記載の異常検出方法であって、
第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得する、異常検出方法。
付記11又は付記12に記載の異常検出方法であって、
第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得する、異常検出方法。
(付記14)
互いに関連して作動する複数の装置を含むシステムに適用される異常検出装置に、
前記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を実現させるためのプログラム。
互いに関連して作動する複数の装置を含むシステムに適用される異常検出装置に、
前記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を実現させるためのプログラム。
(付記15)
付記14に記載のプログラムであって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成されたプログラム。
付記14に記載のプログラムであって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成されたプログラム。
(付記16)
付記14又は付記15に記載のプログラムであって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成されたプログラム。
付記14又は付記15に記載のプログラムであって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成されたプログラム。
本発明は、互いに通信を行う複数の通信装置を含む通信システムの作動状態が異常状態であるか否かを検出する異常検出装置等に適用可能である。
1 異常検出システム
2 異常検出装置
3a,3b,3c,… 通信装置
21 特徴量取得部
22 確率分布取得部
23 作動状態判定部
24 原因装置群特定部
100 異常検出装置
101 特徴量取得部
102 確率分布取得部
103 作動状態判定部
104 原因装置群特定部
NW 通信回線
2 異常検出装置
3a,3b,3c,… 通信装置
21 特徴量取得部
22 確率分布取得部
23 作動状態判定部
24 原因装置群特定部
100 異常検出装置
101 特徴量取得部
102 確率分布取得部
103 作動状態判定部
104 原因装置群特定部
NW 通信回線
Claims (10)
- 互いに関連して作動する複数の装置を含むシステムに適用され、
前記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える異常検出装置。 - 請求項1に記載の異常検出装置であって、
前記原因装置群特定手段は、前記取得された確率分布の、前記基準確率分布からの変化に対して前記装置群が及ぼす影響が大きくなるほど小さくなり、且つ、当該装置群を構成する装置の数が少なくなるほど小さくなる値を有する関数の値を最小にする装置群を前記原因装置群として特定するように構成された異常検出装置。 - 請求項1又は請求項2に記載の異常検出装置であって、
前記確率分布取得手段は、第1の時点にて前記取得された特徴量に基づいて前記確率分布を取得し、且つ、当該第1の時点よりも前の第2の時点にて前記取得された特徴量に基づいて前記基準確率分布を取得するように構成された異常検出装置。 - 請求項1乃至請求項3のいずれか一項に記載の異常検出装置であって、
前記作動状態判定手段は、前記取得された確率分布と、前記基準確率分布と、の差を表す値として、KL(Kullback−Leibler)ダイバージェンスに基づく値を用いるように構成された異常検出装置。 - 請求項1乃至請求項4のいずれか一項に記載の異常検出装置であって、
前記確率分布取得手段は、前記確率分布を特定するための確率分布パラメータを取得することにより当該確率分布を取得するように構成され、
前記原因装置群特定手段は、前記取得された確率分布パラメータに基づいて前記原因装置群を特定するように構成された異常検出装置。 - 請求項5に記載の異常検出装置であって、
前記確率分布は、多次元の正規分布であり、
前記確率分布パラメータは、分散共分散行列を含む異常検出装置。 - 請求項1乃至請求項6のいずれか一項に記載の異常検出装置であって、
前記装置は、他の装置との間で通信を行う通信装置であり、
前記特徴量は、前記複数の装置のそれぞれが他の装置へ送信するデータ量を含む異常検出装置。 - 互いに関連して作動する複数の装置を含む対象システムを含み、
前記対象システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記対象システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記対象システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を備える異常検出システム。 - 互いに関連して作動する複数の装置を含むシステムに適用され、
前記システムの作動状態の特徴を表す特徴量を取得し、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得し、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定し、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する、異常検出方法。 - 互いに関連して作動する複数の装置を含むシステムに適用される異常検出装置に、
前記システムの作動状態の特徴を表す特徴量を取得する特徴量取得手段と、
前記取得された特徴量に基づいて、前記特徴量を確率変数とする確率分布を取得する確率分布取得手段と、
前記取得された確率分布と、前記特徴量を確率変数とする確率分布の基準となる基準確率分布と、の差に基づいて、前記システムの作動状態が異常状態にあるか否かを判定する作動状態判定手段と、
前記複数の装置の一部を構成し且つ前記システムの作動状態が異常状態となった基となる装置群である原因装置群を、前記取得された確率分布の前記基準確率分布からの変化に対して当該装置群が及ぼす影響の大きさと、当該装置群を構成する装置の数と、に基づいて特定する原因装置群特定手段と、
を実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010027124A JP2011164950A (ja) | 2010-02-10 | 2010-02-10 | 異常検出装置、異常検出システム、異常検出方法、及び、プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010027124A JP2011164950A (ja) | 2010-02-10 | 2010-02-10 | 異常検出装置、異常検出システム、異常検出方法、及び、プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011164950A true JP2011164950A (ja) | 2011-08-25 |
Family
ID=44595557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010027124A Pending JP2011164950A (ja) | 2010-02-10 | 2010-02-10 | 異常検出装置、異常検出システム、異常検出方法、及び、プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011164950A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019111435A1 (ja) * | 2017-12-05 | 2019-06-13 | 日本電気株式会社 | 異常判定装置、異常判定方法、及びプログラムが格納された非一時的なコンピュータ可読媒体 |
-
2010
- 2010-02-10 JP JP2010027124A patent/JP2011164950A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019111435A1 (ja) * | 2017-12-05 | 2019-06-13 | 日本電気株式会社 | 異常判定装置、異常判定方法、及びプログラムが格納された非一時的なコンピュータ可読媒体 |
| JPWO2019111435A1 (ja) * | 2017-12-05 | 2020-11-19 | 日本電気株式会社 | 異常判定装置、異常判定方法、及びプログラム |
| US11409591B2 (en) | 2017-12-05 | 2022-08-09 | Nec Corporation | Anomaly determination apparatus, anomaly determination method, and non-transitory computer readable medium storing program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7958559B2 (en) | Method, device and computer program product for determining a malicious workload pattern | |
| US20190095266A1 (en) | Detection of Misbehaving Components for Large Scale Distributed Systems | |
| JP2017126363A (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| JP7040851B2 (ja) | 異常検知装置、異常検知方法及び異常検知プログラム | |
| US20150046757A1 (en) | Performance Metrics of a Computer System | |
| US9355005B2 (en) | Detection apparatus and detection method | |
| CN110532119B (zh) | 动力系统运行异常点检测方法 | |
| JP2020053036A (ja) | データ系列の異常検出におけるビン分割された四分位数間範囲の分析のためのシステム及び方法 | |
| US20190265088A1 (en) | System analysis method, system analysis apparatus, and program | |
| JP6611677B2 (ja) | 単変量時系列信号に対してリアルタイムで外れ値を検出するシステム及び方法 | |
| CN111508588B (zh) | 训练装置、训练方法和计算机可读记录介质 | |
| JP2017215765A (ja) | 異常検知装置、異常検知方法及び異常検知プログラム | |
| WO2018211721A1 (ja) | 異常情報推定装置、異常情報推定方法及びプログラム | |
| JP2015108898A (ja) | 異常検知システム及び異常検知方法 | |
| JP2007243459A (ja) | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム | |
| JP2019039727A (ja) | 画像検査装置、画像検査方法および画像検査プログラム | |
| US10360249B2 (en) | System and method for creation and detection of process fingerprints for monitoring in a process plant | |
| CN114584377A (zh) | 流量异常检测方法、模型的训练方法、装置、设备及介质 | |
| JP2011164950A (ja) | 異常検出装置、異常検出システム、異常検出方法、及び、プログラム | |
| CN116700955A (zh) | 作业处理方法、装置、计算机设备及可读存储介质 | |
| US9690639B2 (en) | Failure detecting apparatus and failure detecting method using patterns indicating occurrences of failures | |
| US10372719B2 (en) | Episode mining device, method and non-transitory computer readable medium of the same | |
| JP6689176B2 (ja) | センサネットワーク分析装置、センサネットワーク分析方法及びセンサネットワーク分析プログラム | |
| WO2018142694A1 (ja) | 特徴量生成装置、特徴量生成方法及びプログラム | |
| JP2010128674A (ja) | コンピュータネットワーク、異常検出装置、異常検出方法および異常検出プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD07 | Notification of extinguishment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7427 Effective date: 20120717 |