JP2016225772A - 異常検出方法、異常検出装置、及びネットワークシステム - Google Patents

異常検出方法、異常検出装置、及びネットワークシステム Download PDF

Info

Publication number
JP2016225772A
JP2016225772A JP2015109314A JP2015109314A JP2016225772A JP 2016225772 A JP2016225772 A JP 2016225772A JP 2015109314 A JP2015109314 A JP 2015109314A JP 2015109314 A JP2015109314 A JP 2015109314A JP 2016225772 A JP2016225772 A JP 2016225772A
Authority
JP
Japan
Prior art keywords
abnormality detection
network
index value
abnormality
frequency component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015109314A
Other languages
English (en)
Other versions
JP6488197B2 (ja
Inventor
韵成 朱
Yuncheng Zhu
韵成 朱
沖田 英樹
Hideki Okita
英樹 沖田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015109314A priority Critical patent/JP6488197B2/ja
Priority to US15/164,093 priority patent/US20160352600A1/en
Publication of JP2016225772A publication Critical patent/JP2016225772A/ja
Application granted granted Critical
Publication of JP6488197B2 publication Critical patent/JP6488197B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)

Abstract

【課題】複数のネットワーク装置を含むネットワークシステムにおいて、異常が発生したネットワーク装置を高精度で検出することを可能にする。
【解決手段】
複数のネットワーク装置を含むネットワークシステムにおいて、通信手段を介して複数のネットワーク装置それぞれから、データプレイン指標値などのネットワーク装置の動作状態を示す指標値を取得し、取得された指標値の高周波成分を計算し、複数の高周波成分の相関関係に基づいて、ネットワーク装置の異常を検出する。
【選択図】 図7

Description

本発明は、通信ネットワークを分析する技術に関する。
複数のネットワーク装置により構成された大規模な通信ネットワークが社会インフラの一部となっている。このような通信ネットワークでは、「サイレント障害」と呼ばれる、ネットワーク装置に予め用意された自律診断機能では検知できない異常が発生しうる。そして、通信事業者は、通信ネットワークの信頼性を保つために、サイレント障害を含むネットワーク装置の異常を早期検出し、対策を取ることが必要となる。
ネットワーク装置の異常を検出する第1の技術として、トラフィック量の急激な変化を異常として検出方法が存在する。特許文献1には、ネットワーク上のトラフィック量の急激な変化を検出する方法として、トラフィック時系列データを、ノイズフィルタを用いて検出しやすい補正時系列データに変換し、自動で設定した閾値と比較することによって異常を検出する方法が開示されている。
また、ネットワーク装置の異常を検出する第2の技術として、監視対象端末の動作状態を示す情報の相関関係を判断基準と比較する方法が存在する。特許文献2には、コンピュータ端末での処理動作における動作異常を検出するシステムとして、端末のハードウェアおよびソフトウェア動作状態情報を取得し、取得した動作状態情報の相関関係と予め設定された動作状態関係情報とが異なるか否かの判定を行うことによって、異常を検出するシステムが開示されている。
特開2008-211541号公報 特開2011-034319号公報
しかしながら、第1の技術では、装置の異常発生時に出現する急激な変化を検出できるが、異常の早期特徴である日常変化範囲内の変化の検出を行うことが困難である。
また、第2の技術では、監視対象端末の動作原理を解明し、動作状態の関係情報を予め設定する必要がある。そのため、第2の技術は、動作状態の関係が明確となっている装置にしか適用できず、動作状態の相互関係が複雑な大規模な通信ネットワークにおけるネットワーク装置の異常検出を行うことが困難である。
本発明は、上記の点を鑑みてなされたものであり、複数のネットワーク装置を含むネットワークシステムにおいて、ネットワーク装置の日常変化範囲内の変化の検出を行うことで、異常が発生した装置を高精度で検出することを目的とする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下の通りである。
複数のネットワーク装置を含むネットワークシステムにおける異常検出方法であって、前記複数のネットワーク装置それぞれから、前記ネットワーク装置の動作状態を示す指標値を取得し、前記指標値の高周波成分を計算し、複数の前記高周波成分の相関関係に基づいて、前記ネットワーク装置の異常を検出することを特徴とする異常検出方法である。
また、複数のネットワーク装置を含むネットワークシステムにおける異常検出装置であって、前記複数のネットワーク装置それぞれから、前記ネットワーク装置の動作状態を示す指標値を取得し、前記指標値の高周波成分を計算し、複数の前記高周波成分の相関関係に基づいて、前記ネットワーク装置の異常を検出することを特徴とする異常検出装置である。
また、複数のネットワーク装置と、異常検出装置と、を備えるネットワークシステムであって、前記異常検出装置は、前記複数のネットワーク装置それぞれから、前記ネットワーク装置の動作状態を示す指標値を取得し、前記指標値の高周波成分を計算し、複数の前記高周波成分の相関関係に基づいて、前記ネットワーク装置の異常を検出することを特徴とするネットワークシステムである。
本発明によれば、複数のネットワーク装置を含むネットワークシステムにおいて、異常が発生した装置を高精度で検出することが可能となる。
前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
実施例1におけるシステム構成例である。 実施例1における異常検出装置の構成例である。 実施例1における指標値情報テーブルの例である。 実施例1における指標値履歴テーブルの例である。 実施例1における高周波成分履歴テーブルの例である。 実施例1における指標値グループ情報テーブルの例である。 実施例1における異常分析プログラムの処理フローの例である。 実施例1における相関程度情報テーブルの例である。 実施例2におけるシステム構成例である。 実施例3におけるシステム構成例である。
以下、本発明の実施の形態を、図面を用いて説明する。
なお、以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明などの関係にある。
また、以下の実施の形態において、要素の数等(個数、数値、量、範囲等を含む)に言及する場合、特に明示した場合及び原理的に明らかに特定の数に限定される場合などを除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良いものとする。
さらに、以下の実施の形態において、その構成要素(要素ステップなどを含む)は、特に明示した場合及び原理的に明らかに必須であると考えられる場合などを除き、必ずしも必須のものではない。
さらに、以下に示した実施の形態は単独で適用してもよいし、複数もしくはすべての実施の形態を組み合わせて適用しても構わない。
本実施例では、複数のネットワーク装置を含むネットワークシステムにおいて、検出サーバは、通信手段を経て複数のネットワーク装置それぞれの指標値を取得する。検出サーバは、取得された指標値により高周波成分を計算し、前記計算結果の相関関係に基づきネットワーク装置の異常を検出することを特徴とする。
本実施例のシステム構成は、図1に示すように、複数のネットワーク装置101(以下、NE)と、指標値を取得するための通信手段102と、検出サーバ103(異常検出装置と呼んでもよい)と、表示装置104から構成される。検出サーバ103は、通信手段102を経て、NE101から動作状態を示す複数の指標値を取得し、各NEに異常が発生しているかを検出する。検出サーバ103は、検出した異常発生の結果を表示装置104に提供する。通信手段102は、単なる通信経路でもよいし、複数のNE101から指標値を取得し、まとめて検出サーバ103に報告するNE管理サーバ(NEM)でも構わない。
図2に本実施例の検出サーバ103の構成例を示す。本実施例における検出サーバ103の機能は、一般的なコンピュータの外部記憶装置205にプログラムソフトウェアの形で格納され、メモリ201上に展開されてCPU202により実行される。また、検出サーバ103は、入出力インターフェース203、あるいはネットワークインターフェース204、あるいはその両方に介して通信手段102と表示装置104に接続する。検出サーバ103のメモリ201は、指標値取得プログラム206と、高周波成分計算プログラム207と、異常分析プログラム208を格納する。さらに検出サーバ103のメモリ201は、検出に使われる指標値のリストを格納する指標値情報テーブル209と、取得された指標値の値を格納する指標値履歴テーブル210と、指標値から算出された高周波成分の値を格納する高周波成分履歴テーブル211と、指標値のグルーピング情報を格納する指標値グループ情報テーブル212と、算出された相関情報の値を格納する相関程度情報テーブル213を格納する。
なお、本実施例では上記プログラム及び上記情報を単一のコンピュータのメモリ上に格納する構成を示した。しかし、上記情報を外部記憶装置に格納し、上記プログラムの処理のつど上記情報を上記外部記憶装置から読み込み、それぞれの処理が完了するごとに外部記憶装置に格納する構成を取ることも可能である。
また、上記プログラム及び上記情報を複数のコンピュータに分散して格納することも可能である。例えば上記情報をそれぞれリレーショナルデータベースのテーブルとして実装して検出サーバ103とは異なるデータベースサーバに格納し、検出サーバ103上で実行された上記プログラムがデータベースサーバ上の上記情報を参照及び更新することも可能である。
以上のような上記情報の格納方法の違いは、本発明の本質には影響を与えない。
図3は、検出サーバ103が保持する指標値情報テーブル209の例である。指標値情報は、指標値の識別子を示す指標値ID301と、指標値が取得された装置の識別子を示す装置ID302と、その装置内部における指標値の意味を示す指標タイプ303から成る。指標値は、ネットワーク装置101の動作状態を示すものである。図3の例では、指標値ID301として数字ナンバリングを、装置ID302として装置のアドレスを、指標値タイプ303としてInternet Engineering Task Force(IETF)がRFC2578にて規定したManagement Information Base(MIB)の標準表示を採用する。「.1.3.6.1.2.1.31.1.1.1.10.1」と「.1.3.6.1.2.1.31.1.1.1.6.1」がそれぞれインターフェース#1における送信オクテット数と受信オクテット数を意味する。それ以外にも、指標値情報テーブル209の各項目とも識別子として使える他の任意の文字列を使用することも可能である。
指標値取得プログラム206は、予め設定した一定の時間間隔おきに、指標値情報テーブル209から取得された情報に基づいて、各NEの各指標値を、通信手段102を経由して取得する。指標値は、指標タイプ303に対応するものであり、例えば指標値ID0001の指標値は送信オクテット数であり、指標値ID0002の指標値は受信オクテット数である。指標値取得プログラム206は、取得された指標値を指標値履歴テーブル210に格納する。
図4は、検出サーバ103が保持する指標値履歴テーブル210の例である。指標値履歴は、履歴の更新時刻を示す更新日時401と、指標値の識別子を示す指標値ID301と、更新日時における指標値の値を示す指標値402から成る。
高周波成分計算プログラム207は、指標値履歴テーブル210が更新される度に、格納された指標値の履歴に基づいて、各指標値の高周波成分を算出する。計算方法の一例として、高周波成分計算プログラム207は、同一の指標値IDの複数の指標値に対して、ハイパスフィルタを用いて、以下の数1で示される平滑化した正規変化率(smoothed normalized rate of variability)を求める。数1において、xtとはt時刻の指標値、nとは平滑の長さ、αとは平滑度である。
Figure 2016225772
高周波成分計算プログラム207は、算出された高周波成分を、高周波成分履歴テーブル211に格納する。
図5は、検出サーバ103が保持する高周波成分履歴テーブル211の例である。高周波成分履歴は、履歴の更新時刻を示す更新日時401と、指標値の識別子を示す指標値ID301と、更新日時における指標値で算出された高周波成分の値を示す高周波成分501から成る。
図6は、検出サーバ103が保持する指標値グループ情報テーブル212の例である。指標値グループ情報テーブル212は、後述するように、高周波成分のアンバランス程度を計算する際に参照される。同一グループに属する複数の指標値は、相関関係が強いものであってもよいし、相関関係が弱いものであってもよい。指標値グループ情報は、グループの識別子を示すグループID601と、グループに含まれる指標値の識別子のリストを示す指標値IDリスト602から成る。指標値グループ情報は、手動で予め設定する他、指標値情報テーブル209の情報を用いて自動生成することができる。指標値グループを自動生成する手法の例として、装置ID302が同じ指標値をグルーピングする、指標タイプ303が同じ指標値をグルーピングする、指標タイプ303の一部が同じ指標値をグルーピングする、NEの接続関係を利用して接続されている装置の一部の指標値をグルーピングする、又はランダムにグルーピングすることができる。
図7に、検出サーバ103が実施する、異常分析プログラム208の具体的な処理フロー例を示す。ステップ701において、検出サーバ103は、指標値グループ情報テーブル212から、未分析のグループを一つ選択する。次に、ステップ702において、検出サーバ103は、高周波成分履歴テーブル211から、ステップ701において選択されたグループに含まれる全ての指標値の最新の高周波成分を取得する。ステップ703において、検出サーバ103は、選択されたグループ内における未分析の指標値を一つ選択する。次に、ステップ704において、検出サーバ103は、ステップ703において選択された指標値とグループ内の他の指標値との相関関係として、高周波成分のアンバランス程度を計算する。アンバランス程度は、選択された指標値の高周波成分と、他の指標値の高周波成分の平均値との差から算出される。第iの指標値の高周波成分をz(i)とすれば、m個の指標値を含むグループにおける第iの指標値のアンバランス程度は以下の数2で示される。
Figure 2016225772
検出サーバ103は、ステップ705において、相関程度情報テーブル213から、指標値IDとグループIDが同じアンバランス程度の過去の履歴としてp個のデータを取得し、履歴上のアンバランス程度の統計分布を算出する。次に、ステップ706において、検出サーバは外れ度合いとして最新のアンバランス程度の履歴上の統計分布における外側確率を計算し、その外れ度合いが予め設定された閾値を超えたかを判断する。外れ度合いが閾値を超えた場合、ステップ707において、検出サーバ103は表示装置104に異常アラームを出力する。出力内容の一例として、指標値ID301と、指標値に関連する装置の識別子を示す装置ID302と、その装置内部における指標値の意味を示す指標タイプ303と、アンバランス程度の外れ度合いとの組合せを表示装置104に出力してもよい。次に、ステップ708において、検出サーバ103は、ステップ701で選択されたグループ内の全ての指標値の分析を完了したかを判断する。未完了の場合、検出サーバ103は、ステップ703に戻り、次の指標値を分析する。完了した場合、検出サーバ103は、ステップ709に進み、グループ内の全ての指標値が正常かを判断する。全ての指標値が正常の場合、検出サーバ103は、ステップ710において、相関程度情報テーブル213に、分析した全ての指標値のグループ内における最新のアンバランス程度の値を保存する。次に、ステップ711において、検出サーバ103は、全てのグループの分析を完了したかを判断する。未完了の場合、検出サーバ103は、ステップ701に戻り、次のグループを分析する。
図8は、検出サーバ103が保持する相関程度情報テーブル213の例である。相関程度情報は、相関程度の更新時刻を示す更新日時401と、指標値の識別子を示す指標値ID301と、相関程度を算出するグループの識別子を示すグループID601と、更新日時における相関程度の計算結果を示す相関値801から成る。
このように、本実施例では、複数のネットワーク装置を含むネットワークシステムにおいて、検出サーバは、通信手段を経て複数のネットワーク装置の指標値を取得する。検出サーバは、取得された指標値により、高周波成分として平滑化した正規変化率を計算する。検出サーバは、グループ内における前記計算結果のアンバランス程度に基づき、最新の指標値の相関程度の外れ度合いを算出する。そして、検出サーバは、相関程度の外れ度合いを用いてネットワーク装置に異常が発生しているかを判定する。これにより、異常の早期特徴である日常変化範囲内の変化の検出が可能となり、高精度でネットワークの異常を検出することが可能となる。
また、検出サーバ103は、指標値の高周波成分として、平滑化した正規変化率を用いる。平滑化した正規変化率は、差分や他のハイパスフィルタと比べ、処理する帯域を平滑に調整でき、適切な情報を分析に取り込むことが可能になる。パラメータのnがαより大きい場合、平滑化した正規変化率は以下の数3で示される計算で高速かつ近似的に算出することができる。さらに、平滑化した正規変化率の計算は有限インパルス応答フィルタ(FIRフィルタ)を用いて構成できるため、ハードウェア化することも容易である。
Figure 2016225772
また、検出サーバ103は、複数の指標値の高周波成分それぞれのグループ内でのアンバランス程度を用いて、ネットワーク装置の異常を検出する。これにより、異常発生時に一つのNEの指標値の高周波成分が過去の履歴の範囲内に収まっても、並列などで相関している他のNEの指標値及びその高周波成分との間にアンバランスが生じることによって、異常を検出することが可能となる。
また、検出サーバ103は、算出されたアンバランス程度を、過去の履歴のp個のデータから生成された統計分布と比較し、外れ度合いを用いてネットワーク装置の異常を検出する。つまり、相関が強い指標値の間では、過去の履歴により生成した統計分布の分散が小さいため、外れに対しては敏感である。そのため、相関関係の存在が分かる指標値については、それらの指標値が同じグループに属するように、管理者が予め手動で設定することができる。一方、複雑な大規模な通信ネットワークにおいては、指標値間の関係性が不明確な場合が多いため、手動でグルーピングすることが難しい。そこで、検出サーバ103において、グルーピングを任意に行い、それを用いてネットワーク装置の異常を検出してもよい。なぜならば、相関が弱い指標値の間では、過去の履歴により生成した統計分布の分散が大きいため、外れ値が生じにくくなるからである。これにより、指標値のグルーピングのために、指標値の相関原理を解明する必要がなくなり、検出精度に悪い影響を与えることなく、ネットワーク装置の異常を検出することが可能となる。
なお、本実施例では、指標値として、ネットワーク装置が送受信したオクテット数を用いる。しかし、そういったデータプレイン指標値以外にも、接続ユーザ数などのコントロールプレイン指標値、CPUやメモリ使用率などのソフトウェア指標値や、そのほかの指標値など、ネットワーク装置の動作状態を示す指標値を利用することも可能である。
本実施例では、複数のネットワーク装置を含むネットワークシステムにおいて、検出サーバは、通信手段を経て複数のネットワーク装置それぞれの指標値を取得する。検出サーバは、取得された指標値により高周波成分を計算し、前記計算結果の相関関係に基づき、ネットワーク装置の異常を検出する。ネットワーク装置の異常を検出時、検出サーバは、ネットワークを制御する制御装置に特定の装置への異常状態の検証を要求する。そして、制御装置が、異常が解消するように、異常が発生した装置に制御を要求することを特徴とする。そのため、本実施例では、ネットワークの異常解消の自動化が可能となる。
図9を用いて、本実施例のシステム構成を説明する。なお、実施例1と重複する内容は説明を省略する。本実施例のシステム構成では、NE101及び検出サーバ103と接続する制御サーバ901(ネットワーク制御装置と呼んでもよい)が存在する。検出サーバ103は、ネットワークから異常を検出したとき、異常の検証及び制御を制御サーバ901に要求する。制御サーバ901は要求を受信すると、NE101に対して異常の検証を行う。異常検証の手法の例として、テストトラフィックあるいはテスト接続要求を送信する手法など、公知の手法を用いればよい。異常検証においてNE101の異常が確定した場合、制御サーバ901はNE101に対して制御指令を送信し、異常が解消するように制御を要求する。異常解消の手法の例として、トラフィックの経路を変更し、異常が発生したNE101をリセットする手法など、公知の手法を用いればよい。
本実施例では、複数のネットワーク装置を含むネットワークシステムにおいて、検出サーバは、ネットワーク装置に繋がるリンク上に流れるトラフィックの統計を指標値として取得する。検出サーバは、取得された指標値により高周波成分を計算し、前記計算結果の相関関係に基づき、ネットワーク装置の異常を検出することを特徴とする。
図10を用いて、本実施例のシステム構成を説明する。なお、実施例1と重複する内容は説明を省略する。本実施例のシステム構成では、複数のNE101が通信ネットワーク1001に接続する。パケット詳細解析装置1002(以下、DPI)は、NE101と通信ネットワーク1001とを接続する各インターフェースを監視する。そして、DPI1002は、インターフェースで取得されたトラフィック送受信の統計情報を検出サーバ103に転送する。検出サーバ103は、DPI1002より取得した送受信の統計情報を用いて、装置ID302や指標値402を取得する。そして、検出サーバ103は、取得された情報を用いて、実施例1で説明した方法で、ネットワーク装置の異常を検出する。
このように、本実施例では、DPI1002を用いて指標値を取得する。これにより、NE101に指標値の生成及び送信機能がない場合、あるいはNE101がその機能を失った場合でも、ネットワーク装置の異常を検出することが可能となる。
101 ネットワーク装置(NE)
102 通信手段
103 検出サーバ(異常検出装置)
104 表示装置
901 制御サーバ(ネットワーク制御装置)
1001 通信ネットワーク
1002 パケット詳細解析装置(DPI装置)

Claims (15)

  1. 複数のネットワーク装置を含むネットワークシステムにおける異常検出方法であって、
    前記複数のネットワーク装置それぞれから、前記ネットワーク装置の動作状態を示す指標値を取得し、
    前記指標値の高周波成分を計算し、
    複数の前記高周波成分の相関関係に基づいて、前記ネットワーク装置の異常を検出することを特徴とする異常検出方法。
  2. 請求項1に記載の異常検出方法であって、
    前記指標値に対して、ハイパスフィルタを使って高周波成分を計算することを特徴とする異常検出方法。
  3. 請求項2に記載の異常検出方法であって、
    前記ハイパスフィルタは、前記高周波成分として、前記指標値の履歴から平滑化した正規変化率を計算することを特徴とする異常検出方法。
  4. 請求項1乃至3の何れかに記載の異常検出方法であって、
    前記相関関係は、前記ネットワーク装置の一つの前記高周波成分と、他の前記ネットワーク装置の前記高周波成分の平均値との差から算出されるアンバランス程度であることを特徴とする異常検出方法。
  5. 請求項4に記載の異常検出方法であって、
    前記アンバランス程度の履歴から、前記アンバランス程度の統計分布を算出し、
    前記統計分布における、最新の前記アンバランス程度の外側確率を算出し、
    前記外側確率と予め設定された閾値とを比較することにより、前記ネットワーク装置の異常を検出することを特徴とする異常検出方法。
  6. 複数のネットワーク装置を含むネットワークシステムにおける異常検出装置であって、
    前記複数のネットワーク装置それぞれから、前記ネットワーク装置の動作状態を示す指標値を取得し、
    前記指標値の高周波成分を計算し、
    複数の前記高周波成分の相関関係に基づいて、前記ネットワーク装置の異常を検出することを特徴とする異常検出装置。
  7. 請求項6に記載の異常検出装置であって、
    前記指標値に対して、ハイパスフィルタを使って高周波成分を計算することを特徴とする異常検出装置。
  8. 請求項7に記載の異常検出装置であって、
    前記ハイパスフィルタは、前記高周波成分として、前記指標値の履歴から平滑化した正規変化率を計算することを特徴とする異常検出装置。
  9. 請求項6乃至8の何れかに記載の異常検出装置であって、
    前記相関関係は、前記ネットワーク装置の一つの前記高周波成分と、他の前記ネットワーク装置の前記高周波成分の平均値との差から算出されるアンバランス程度であることを特徴とする異常検出装置。
  10. 複数のネットワーク装置と、異常検出装置と、を備えるネットワークシステムであって、
    前記異常検出装置は、
    前記複数のネットワーク装置それぞれから、前記ネットワーク装置の動作状態を示す指標値を取得し、
    前記指標値の高周波成分を計算し、
    複数の前記高周波成分の相関関係に基づいて、前記ネットワーク装置の異常を検出することを特徴とするネットワークシステム。
  11. 請求項10に記載のネットワークシステムであって、
    前記異常検出装置は、前記指標値に対して、ハイパスフィルタを使って高周波成分を計算することを特徴とするネットワークシステム。
  12. 請求項11に記載のネットワークシステムであって、
    前記ハイパスフィルタは、前記高周波成分として、前記指標値の履歴から平滑化した正規変化率を計算することを特徴とするネットワークシステム。
  13. 請求項10乃至12の何れかに記載のネットワークシステムであって、
    前記相関関係は、前記ネットワーク装置の一つの前記高周波成分と、他の前記ネットワーク装置の前記高周波成分の平均値との差から算出されるアンバランス程度であることを特徴とするネットワークシステム。
  14. 請求項10乃至13の何れかに記載のネットワークシステムであって、
    前記ネットワーク装置と通信ネットワークを接続するインターフェースを監視する解析装置を備え、
    前記解析装置は、前記インターフェースから取得されたトラフィック送受信の統計情報を前記異常検出装置に送信し、
    前記異常検出装置は、前記トラフィック送受信の統計情報に基づいて、前記指標値を取得することを特徴とするネットワークシステム。
  15. 請求項10乃至14の何れかに記載のネットワークシステムであって、
    前記ネットワーク装置を制御する制御装置を備え、
    前記異常検出装置は、異常が検出されたネットワーク装置への異常状態の検証、又は、異常が検出されたネットワーク装置への異常状態の検証と制御を、前記制御装置に要求することを特徴とするネットワークシステム。
JP2015109314A 2015-05-29 2015-05-29 異常検出方法、異常検出装置、及びネットワークシステム Active JP6488197B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015109314A JP6488197B2 (ja) 2015-05-29 2015-05-29 異常検出方法、異常検出装置、及びネットワークシステム
US15/164,093 US20160352600A1 (en) 2015-05-29 2016-05-25 Abnormality detection method, abnormality detection device, and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015109314A JP6488197B2 (ja) 2015-05-29 2015-05-29 異常検出方法、異常検出装置、及びネットワークシステム

Publications (2)

Publication Number Publication Date
JP2016225772A true JP2016225772A (ja) 2016-12-28
JP6488197B2 JP6488197B2 (ja) 2019-03-20

Family

ID=57397683

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015109314A Active JP6488197B2 (ja) 2015-05-29 2015-05-29 異常検出方法、異常検出装置、及びネットワークシステム

Country Status (2)

Country Link
US (1) US20160352600A1 (ja)
JP (1) JP6488197B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112016002999T5 (de) * 2015-07-01 2018-03-15 Mitsubishi Electric Corporation Anomalie-detektionssystem für verteilte ausrüstungen
CN107566202B (zh) * 2016-07-01 2019-09-03 中国移动通信有限公司研究院 一种网元状态监控方法、装置及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006510277A (ja) * 2002-12-13 2006-03-23 セタシア ネットワークス コーポレイション 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8453234B2 (en) * 2006-09-20 2013-05-28 Clearwire Ip Holdings Llc Centralized security management system
US8225323B2 (en) * 2007-06-25 2012-07-17 Alaxala Networks Corporation Control device and control method for reduced power consumption in network device
US7920983B1 (en) * 2010-03-04 2011-04-05 TaKaDu Ltd. System and method for monitoring resources in a water utility network
US9459942B2 (en) * 2010-08-27 2016-10-04 Hewlett Packard Enterprise Development Lp Correlation of metrics monitored from a virtual environment

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006510277A (ja) * 2002-12-13 2006-03-23 セタシア ネットワークス コーポレイション 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法

Also Published As

Publication number Publication date
US20160352600A1 (en) 2016-12-01
JP6488197B2 (ja) 2019-03-20

Similar Documents

Publication Publication Date Title
CN109412870B (zh) 告警监控方法及平台、服务器、存储介质
US10536343B2 (en) Traffic management apparatus and traffic management method
US20190196894A1 (en) Detecting and analyzing performance anomalies of client-server based applications
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US8443074B2 (en) Constructing an inference graph for a network
WO2013186870A1 (ja) サービス監視システム、及び、サービス監視方法
JP6564799B2 (ja) 閾値決定装置、閾値決定方法及びプログラム
WO2015135417A1 (en) Method and system for monitoring quality of data transmission in idc network
US11522765B2 (en) Auto discovery of network proxies
CN107704387B (zh) 用于系统预警的方法、装置、电子设备及计算机可读介质
US10462031B1 (en) Network visibility for cotenant processes
US20200250475A1 (en) Anomaly factor estimation device, anomaly factor estimation method, and storage medium
US10931513B2 (en) Event-triggered distributed data collection in a distributed transaction monitoring system
US11962666B2 (en) User-configurable end user monitoring (EUM)
JP6488197B2 (ja) 異常検出方法、異常検出装置、及びネットワークシステム
US11250100B2 (en) Cause-based event correlation to virtual page transitions in single page applications
KR20190066741A (ko) 트래픽 분류를 이용하여 이상 탐지를 수행하기 위한 시스템
US10659289B2 (en) System and method for event processing order guarantee
US9645877B2 (en) Monitoring apparatus, monitoring method, and recording medium
JP3791921B2 (ja) ネットワーク・トレースを解析する方法、ネットワーク・トレースを解析するための処理装置、および該処理装置としてコンピュータを制御させるためのコンピュータ実行可能なプログラム、並びにネットワークにおけるノード間の時間差補正方法
JP6294145B2 (ja) 監視方法、監視装置および監視制御プログラム
US11316770B2 (en) Abnormality detection apparatus, abnormality detection method, and abnormality detection program
WO2020044898A1 (ja) 機器状態監視装置及びプログラム
US9311210B1 (en) Methods and apparatus for fault detection
CN110855516B (zh) 一种cdn质量检测系统及方法

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190225

R150 Certificate of patent or registration of utility model

Ref document number: 6488197

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150