JP2017143399A - 時系列データ異常監視装置及び時系列データ異常監視方法 - Google Patents
時系列データ異常監視装置及び時系列データ異常監視方法 Download PDFInfo
- Publication number
- JP2017143399A JP2017143399A JP2016023207A JP2016023207A JP2017143399A JP 2017143399 A JP2017143399 A JP 2017143399A JP 2016023207 A JP2016023207 A JP 2016023207A JP 2016023207 A JP2016023207 A JP 2016023207A JP 2017143399 A JP2017143399 A JP 2017143399A
- Authority
- JP
- Japan
- Prior art keywords
- series data
- time
- abnormality
- estimated value
- time series
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワーク装置の通信トラフィック等の時系列データの特定不能な変動による異常を適正に検知する。【解決手段】時系列データ異常監視装置10は、ネットワーク装置の通信トラフィックによる時系列データから異なる条件に応じた各種の変動パターンを求め、この各種変動パターンを変動パターン保存部17に分類して保存する算出部11と、時系列データの現存しない将来の値である推定値を推定して求める推定部12とを備える。その推定値の時間帯に対応する過去の各種変動パターンを保存部から取得し、この各種変動パターンの各々と推定値とを比較し、これら比較による複数の差分を求める比較部13と、複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択する選択部14とを備える。その適応モデルとしての変動パターンに対応する時系列データが、予め定められた閾値を超える場合に異常と検知する異常検知部15を備える。【選択図】図1
Description
本発明は、ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、時系列データの異常を検知する時系列データ異常監視装置及び時系列データ異常監視方法に関する。
ネットワークの運用管理において、ネットワーク装置の通信状況(通信トラフィック)の異常を監視することは非常に重要であり、従来種々の異常監視手法が提案されている。例えば、特許文献1に記載の異常検出装置がある。この装置では、現時点のネットワーク内の装置間の状態を示す現在ベクトルと、基準ベクトルとの角度差から異常スコアを算出し、更に、異常スコアと閾値とを比較して、その大小関係に基づいてネットワークの異常を判定するようになっている。
つまり、ネットワーク装置間のトラフィック量のバランスを多次元のベクトルで表現し、基準ベクトルとの角度を異常度(異常スコア)として定義し、トラフィック量の相関崩れをバランス崩れ(異常)として検出する。
例えば、図5(a)に示すように、3台のネットワーク装置の通信時のトラフィック量T1,T2,T3が月曜日から日曜日まで計測されてグラフ化されているとする。各トラフィック量T1〜T3は、図5(b)に示すように、所定の分配率(比率)で平準化されたトラフィック量T1a,T2a,T3aで表される。また、図5(c)に示すように、各トラフィック量T1〜T3の上昇下降の傾向がベクトルVa,Vbで表される。
図5(a)に示す水曜日のトラフィック量T3が、符号T3bで示す波形のようにV字状に急激に矢印Y1方向に下降して上昇したとする。この場合、図5(b)に符号T3cで示すように、所定の比率で平準化した各波形T1a〜T3aのバランスが崩れ、水曜日のトラフィック量がV字状に下方へ向かって急激に変動する。
この際、図5(c)に示すように、水曜日を除く他の曜日のベクトルVaは右肩上がりの傾斜方向を向いているが、水曜日のV字状の変動部分のベクトルVbは、右肩下がりの傾斜方向を向くこととなる。このようにベクトルVbが変動して他のベクトルVaと異なる場合、変動ベクトルVbに対応する部分の波形を、図5(d)に符号T3dで示すように反転して表す。この反転した山形波形T3dが予め定められた所定値の閾値th1を超えた場合に、トラフィック量の異常としてアラームを発動する。このように、異常な挙動をしているネットワーク装置を特定することができる。この技術では、複数のトラフィック量T1〜T3のバランスを見ながら異常を検知するので、平日や土日等の休日といった週変動や特異日の影響を受けにくくなる。
しかし、上述したバランス解析技術では、図5(b)に示すようにトラフィック量T1a〜T3aの比率を用いることで特異日の影響を軽減している。この手法は多くの場合有効である。しかし、企業で使われている電話サービスのように平日と休日等のようにトラフィック量に極めて大きな差の変動パターンが存在する場合、平日と休日とで波形が平準化されないため、正常時のベクトル表現に傾きの違いが生じる。このため、上述したようにベクトルで異常を適正に検知できなくなるケースが生じる。
そこで、特許文献2に記載の技術のように、複数のネットワーク装置をグルーピングし、装置間のトラフィック量の時系列データの比率を算出する。各比率の時系列データに所定の解析モデル(後述)を適用し、通常時と異なる変動を検出した場合、異常とすることでネットワーク装置のサービスに応じたトラフィック量を監視している。なお、解析モデルとは、例えば、通常時は各時系列データの比率が不変であるため、比率が一定以上変動した場合に異常と判定するためのモデルである。この他、通常時は、比率が周期Tで変動するため、その周期Tが一定値を超えて変動した場合、異常と判定するモデルもある。
このような解析モデルの例を説明する。例えば、図6(a)の横軸に時間t、縦軸にトラフィック量を表したグラフに、平日の変動パターンP1と、土日の休日の変動パターンP2とを表す。各パターンP1,P2は、時間t軸に、3分間隔で1点のトラフィックデータをプロットして表したものである。1日が24時間なので、これに60分を掛け、この結果を3分で割った値を、480ポイントとしている。つまり、時間t軸は1日を、(24時間×60分)÷3分=480ポイントとしている。
しかし、その1日のトラフィック量では、平日変動パターンP1の昼休みにおいて符号P1aで示すように、トラフィック量がV字状に急激に下降して上昇する。一方、休日変動パターンP2ではそのような変動はない。この際の平日と休日の変動パターンP1,P2を図6(b)に示すようにバランス値で表す。このバランス値は、各変動パターンP1,P2を平日及び休日毎にミラー状態として波形で表したものである。
ここで、解析モデルにおける同じ基準パターンで、各パターンP1,P2を判断すると何れかで不整合が生じる。例えば、平日変動パターンP1に応じた基準パターンで、平日変動パターンP1を比較して判定すると、昼休み時間はパターンP1がV字状に立ち下がっているが、正常と判定される。しかし、休日変動パターンP2は、昼休み時間がたち下がっていないので異常と判定される。このように、休日変動パターンP2は、実際の休日に応じたパターンであるので本来は正常であるが、異常と判定されてしまい、本来の結果と異なる判定となる。このように監視対象の時系列データが、平日と休日や、朝と夜等の異なる変動パターンを持つ場合、変動の異常を適正に検知できないという問題があった。
このため、例えばカレンダ情報(日付、平日や休日情報)等をシステムに導入し、この導入した値を用いて、適用した解析モデルを変更することで精度の改善を図ることも行なわれている。しかし、この場合、休暇推奨日、午前又は午後休み、創立記念日等の特別休日、会社毎に異なる盆休みや年末年始等のように、カレンダ情報からは判断できない特異日が発生してしまう。この場合も、時系列データの変動の異常を適正に検知できなくなる。
更には、電話のトラフィックでは、例えば人気のコンサートチケット販売開始後に急激にトラフィックが上昇変動したり、地震発生時等でもトラフィックが急激に変動する。このような突発的な変動は、カレンダ情報を適用した解析モデルでは対応できず、事前に人が予測して登録しておくこともできない。このため、時系列データの変動の異常を適正に検知できなくなる。
本発明は、このような事情に鑑みてなされたものであり、ネットワーク装置の通信トラフィック等の時系列データの特定不能な変動による異常を適正に検知することができる時系列データ異常監視装置及び時系列データ異常監視方法を提供することを課題とする。
上記課題を解決するための手段として、請求項1に係る発明は、ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、当該時系列データの異常を検知する時系列データ異常監視装置であって、前記時系列データから異なる条件に応じた各種の変動パターンを求め、当該各種変動パターンを記憶手段に分類して保存する算出部と、前記時系列データの現存しない将来の値である推定値を推定して求める推定部と、前記推定された推定値の時間帯に対応する過去の各種変動パターンを前記記憶手段から取得し、この取得された各種変動パターンの各々と前記推定値とを比較し、当該推定値と前記各種変動パターンの各々との複数の差分を求める比較部と、前記比較部で求められた複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択する選択部と、前記選択された適応モデルとしての変動パターンに対応する前記時系列データが、予め定められた閾値を超える場合に異常と検知する異常検知部とを備えることを特徴とする時系列データ異常監視装置である。
請求項3に係る発明は、ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、当該時系列データの異常を検知する異常監視装置による時系列データ異常監視方法であって、前記異常監視装置は、前記時系列データから異なる条件に応じた各種の変動パターンを求め、当該各種変動パターンを記憶手段に分類して保存するステップと、前記時系列データの現存しない将来の値である推定値を推定して求めるステップと、前記推定された推定値の時間帯に対応する過去の各種変動パターンを前記記憶手段から取得し、この取得された各種変動パターンの各々と前記推定値とを比較し、当該推定値と前記各種変動パターンの各々との複数の差分を求めるステップと、当該求められた複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択するステップと、前記選択された適応モデルとしての変動パターンに対応する前記時系列データが、予め定められた閾値を超える場合に異常と検知するステップとを実行することを特徴とする装置監視制御方法である。
請求項1の構成及び請求項3の方法によれば、時系列データの将来の値である推定値を求め、この推定値と同じ時間帯の過去の各種変動パターンの内、推定値との差分が最も小さい変動パターンを適応モデルとして選択する。そして、選択された適応モデルとしての変動パターンに対応する現在の時系列データが所定の閾値を超える場合に異常と検知するようにした。このため、現在の時系列データに対応した適応モデルで、その時系列データの変動を検知できる。従って、ネットワーク装置の通信トラフィック等の時系列データの特定不能な変動による異常を適正に検知することができる。
請求項2に係る発明は、前記推定部は、前記時系列データを時系列順に所定時間保持し、この保持した所定時間幅の時系列データに対して外挿を行って得られる、当該時系列データが存在しない範囲の外挿結果を、前記推定値として求めることを特徴とする請求項1に記載の時系列データ異常監視装置である。
この構成によれば、リアルタイムデータとしての時系列データの現存しない将来の値である推定値を、適正に推定して求めることができる。
本発明によれば、ネットワーク装置の通信トラフィック等の時系列データの特定不能な変動による異常を適正に検知することができる時系列データ異常監視装置及び時系列データ異常監視方法を提供することができる。
以下、本発明の実施形態を、図面を参照して説明する。
<第1実施形態の構成>
図1は、本発明の第1実施形態に係る時系列データ異常監視装置の構成を示すブロック図である。
図1に示す時系列データ異常監視装置(異常監視装置)10は、電話機や通信端末機等のネットワーク装置の通信トラフィックにおける特定不能な急激な変動を異常として検知するものである。この異常監視装置10は、変動パターン算出部11と、データ推定部12と、比較部13と、選択部14と、異常検知部15と、データ保存部16と、変動パターン保存部17と、異常検知結果保存部18とを備えて構成されている。なお、変動パターン保存部17は請求項記載の記憶手段を構成する。
<第1実施形態の構成>
図1は、本発明の第1実施形態に係る時系列データ異常監視装置の構成を示すブロック図である。
図1に示す時系列データ異常監視装置(異常監視装置)10は、電話機や通信端末機等のネットワーク装置の通信トラフィックにおける特定不能な急激な変動を異常として検知するものである。この異常監視装置10は、変動パターン算出部11と、データ推定部12と、比較部13と、選択部14と、異常検知部15と、データ保存部16と、変動パターン保存部17と、異常検知結果保存部18とを備えて構成されている。なお、変動パターン保存部17は請求項記載の記憶手段を構成する。
異常監視装置10には、通信機能を有するパソコン等の入出力装置20が接続されている。入出力装置20は、各種のネットワーク装置(図示せず)に接続されており、ネットワーク装置の通信時に計測されるトラフィック量が時系列データとして入力される。この入力された時系列データは、入出力装置20から変動パターン算出部(算出部ともいう)11及びデータ保存部16へ出力される。データ保存部16は、時系列データを時系列順に保存する。
算出部11は、入出力装置20から入力される時系列データに対して、平均や分散を用いたクラスタリングを行う等の変動を算出する方法で変動パターンを作成する。ここで、クラスタリングとは、例えば、時系列データの平均値を算出し、平均値が一定値以内であれば同じ変動パターンと見做して分類することである。例えば、所定の時間幅に入力された時系列データの平均値が5±1と、10±1であるとすると、5±1の変動パターンと、10±1の変動パターンとに分類できる。このように、時系列データに対して平均及び分散を用いたクラスタリングを行うことにより、時系列データが平均値や分散値の条件で分類され、この条件毎の変動パターンが、変動パターン保存部17に分類されて保存される。
このように算出部11により分類されて作成される変動パターンの一例を、図2(a)に示す。図2(a)は横軸に時間t、縦軸にトラフィック量を表したグラフである。横軸の時間tは、1日を(24時間×60分)÷3分=480ポイントとして表してある。この時間t軸に、3分間隔の1点の時系列データ(トラフィック量)をプロットして、平日の変動パターンP1と、土日の休日の変動パターンP2とを表してある。
平日変動パターンP1は、時間t軸において、午前0時に対応する0ポイントから会社の出勤時刻の所定時間前までの140ポイントまでのトラフィック量が略0付近となっている。更に、140ポイント付近から徐々に立ち上がった直後、急激に立ち上がり、横ばいとなっている。この後、昼休みに対応する250ポイント前後の時間幅で、符号P1aで示すようにV字状に立ち下がった後、立ち上がって横ばいとなっている。更に、終業時刻付近に対応する340ポイント付近で立ち下がっている。
休日変動パターンP2は、0ポイントから140ポイントまでは平日と略同じだが、140ポイント付近から緩やかな傾斜で徐々に立ち上がった後、横ばいとなり、平日の終業時刻付近に対応する340ポイント付近から徐々に右肩下がりに立ち下がっている。
また、図1に示す算出部11は、入出力装置20からデータ保存部16に保存された時系列データに対して、上記分類した変動パターンを対応付ける。この対応付けにより、保存された時系列データが、どの変動パターンに分類されるかが定義づけられる。更に、算出部11は、入出力装置20から入力される時系列データを、そのままの状態でデータ推定部(推定部ともいう)12へ出力する。
推定部12は、算出部11より入力される時系列データを時系列順に所定時間保持し、この保持した所定時間幅の時系列データから、当該時系列データの現存しない将来の値を推定する処理を行う。この推定処理には、例えば外挿が用いられる。外挿とは、数値データを何らかの関数に当て嵌め、数値データの無い範囲(外側)の値を推定することである。簡単には、一次関数による外挿(線形外挿、直線外挿)である。これは、図3に示すように、時間t軸に沿ってプロットされるトラフィック量の実測値j1,j2,j3を、線で結んで延長した延長線上の推定値k1を求めることである。
推定部12の推定例を、図2(b)及び(c)を参照して説明する。推定部12は、図2(b)に示すように、まず、任意時間幅(80ポイント幅)のウィンドウWを定め、このウィンドウWを時間t軸上の所定位置(例えば60〜140ポイント間)に定める。
推定部12は、算出部11からの時系列データをウィンドウW幅の時間軸に沿って線で結んで延長し、この延長線により推定値を求める。例えば、算出部11から現在出力される時系列データが、平日変動パターンP1に対応するデータである場合、平日変動パターンP1の破線延長線に対応する推定値P1eが求められる。一方、休日変動パターンP2に対応するデータである場合、休日変動パターンP2の破線延長線に対応する推定値P2eが求められる。この場合、ウィンドウW1の60〜140ポイント間の平日変動パターンP1及び休日変動パターンP2は、トラフィック量が略0付近のものなので、各変動パターンP1,P2に対応する推定値P1e,P2eの双方は、あまり差が開かない。
一方、推定部12が図2(c)に示す時間帯(90〜170ポイント)にウィンドウWを設定した場合、この間に対応する平日変動パターンP1及び休日変動パターンP2は、立ち上がり過程において差が開いている。このため、推定部12で推定したウィンドウW幅の平日及び休日変動パターンP1,P2の延長線に対応する推定値P1f,P2fの双方には、大きな差が生じる。推定部12は、現在入力される時系列データから求めた平日変動パターンP1に対応する推定値P1f又は、休日変動パターンP2に対応する推定値P2fを比較部13へ出力する。
比較部13は、推定部12から入力された推定値P1f又はP2fに対応する時間帯の過去の平日及び休日変動パターンP1,P2を、変動パターン保存部17から取得する。この取得した平日及び休日変動パターンP1,P2と、推定値P1f又はP2fとを比較し、推定値P1f又はP2fと、平日変動パターンP1との差分(平日差分という)及び、推定値P1f又はP2fと、休日変動パターンP2との差分(休日差分という)を求める。これら平日差分と休日差分とを選択部14へ出力する。
選択部14は、平日差分と休日差分との差分が小さい方の変動パターンP1又はP2を適応モデルとして選択する。例えば、平日差分が小さければ、平日変動パターンP1を適応モデルとして選択する。この選択された適応モデル(例えば平日変動パターンP1)を異常検知部15へ出力する。
なお、比較部13と選択部14を1つの機能部(例えば比較選択部)に纏めてもよい。
なお、比較部13と選択部14を1つの機能部(例えば比較選択部)に纏めてもよい。
異常検知部15は、選択部14で選択された適応モデルとしての平日変動パターンP1に対応する時系列データをデータ保存部16から取得し、この取得した時系列データを閾値th2(後述)と比較して異常を検知する。異常検知部15は、各種の変動パターン毎(平日及び休日変動パターン推定値P1f,P2f毎)に対応する各種の閾値th2を、メモリ等の記憶手段(図示せず)に保存している。閾値th2は、異常検知対象の時系列データ(トラフィック量)が異常か否かを判定するものである。
従って、異常検知部15は、データ保存部16から取得した時系列データを、これに対応する閾値th2と比較して異常を検知する。例えば、異常検知部15は、取得した平日変動パターンP1に対応する時系列データを、これに対応する閾値th2と比較して異常を検知する。この際、異常検知部15は、時系列データの平均値が閾値th2を上回っていれば異常と検知する。
この他、異常検知部15は、時系列データの微分から傾きを導き出し、この傾きが他の閾値th3を上回っていれば異常と検知してもよい。なお、閾値th3は、その傾きが所定角度を上回る傾きであれば異常と判断するためのものである。
また、異常検知部15は、異常検知結果を異常検知結果保存部18に保存する。この保存される異常検知結果は入出力装置20へ通知される。なお、正常検知結果も所定の条件等に応じて保存するようにしてもよい。
<実施形態の動作>
次に、時系列データ異常監視装置10によるネットワーク装置の通信トラフィックの異常を検知する動作を、図4に示すフローチャートを参照して説明する。
図4に示すステップS1において、入出力装置20からネットワーク装置(図示せず)の異なる条件の通信時に計測されるトラフィック量が時系列データとして、異常監視装置10の算出部11に入力されると共に、データ保存部16に時系列順に保存される。
次に、時系列データ異常監視装置10によるネットワーク装置の通信トラフィックの異常を検知する動作を、図4に示すフローチャートを参照して説明する。
図4に示すステップS1において、入出力装置20からネットワーク装置(図示せず)の異なる条件の通信時に計測されるトラフィック量が時系列データとして、異常監視装置10の算出部11に入力されると共に、データ保存部16に時系列順に保存される。
ステップS2において、算出部11は、入力される時系列データに対して、平均及び分散を用いたクラスタリング処理を行って各種の変動パターンを作成する。例えば、図2(a)に示すように、平日変動パターンP1と、休日変動パターンP2とが作成されたとする。この作成された各パターンP1,P2は、変動パターン保存部17に保存される。
また、算出部11は、入出力装置20からデータ保存部16に保存された時系列データに対して、上記ステップS1で作成した各変動パターンP1,P2を対応付ける。この対応付けにより、保存された時系列データが、どの変動パターンP1,P2に分類されるかが定義づけられる。更に、算出部11は、入出力装置20から入力される時系列データを、そのままの状態で推定部12へ出力する。
ステップS3において、推定部12は、算出部11から取得される時系列データの現存しない将来の値(推定値)を外挿により推定する。即ち、図2(c)に示す90〜170ポイント間のウィンドウW幅の時間軸に沿って線で結び延長し、この延長線により、時系列データの将来の値であるの推定値を求める。例えば、算出部11からリアルタイムで出力される時系列データが、平日変動パターンP1に対応するデータであるとすると、平日変動パターンP1のウィンドウWの破線延長線に対応する推定値P1fが求められる。推定部12は、その求めた推定値P1fを比較部13へ出力する。
ステップS4において、比較部13は、推定部12から入力された推定値P1fに対応する時間帯の過去の平日及び休日変動パターンP1,P2を、変動パターン保存部17から取得する。次に、ステップS5において、比較部13は、その取得した平日及び休日変動パターンP1,P2と、推定値P1fとを比較し、推定値P1fと平日変動パターンP1との差分(平日差分)及び、推定値P1fと休日変動パターンP2との差分(休日差分)を求める。これら平日差分と休日差分とは選択部14へ出力される。
ステップS6において、選択部14は、休日差分と平日差分との小さい方の差分、例えば、小さい方の平日差分に対応する平日変動パターンP1を適応モデルとして選択する。この選択した適応モデルの平日変動パターンP1を異常検知部15へ出力する。
ステップS7において、異常検知部15は、上記選択された適応モデルとしての平日変動パターンP1に対応する時系列データをデータ保存部16から取得する。ステップS8において、異常検知部15は、その取得した時系列データの平均値と、これに対応する閾値th2と比較する。ステップS9において、異常検知部15は、上記ステップS8の比較において、平均値が閾値th2を上回っているか否かを判定する。
この結果、上回っていると判定(Yes)された場合、異常検知部15は、ステップS10において異常と検知し、この異常検知結果を異常検知結果保存部18に保存する。一方、上回っていないと判定(No)された場合は、ステップS11において正常と検知する。
<実施形態の効果>
以上説明したように、本実施形態の時系列データ異常監視装置10は、ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、当該時系列データの異常を検知するものであり、次のような特徴構成とした。
(1)時系列データから異なる条件に応じた各種の変動パターンを求め、当該各種変動パターンを変動パターン保存部17に分類して保存する算出部11と、時系列データの現存しない将来の値である推定値を推定して求める推定部12とを備える。また、その推定された推定値の時間帯に対応する過去の各種変動パターンを変動パターン保存部17から取得し、この取得された各種変動パターンの各々と推定値とを比較し、当該推定値と各種変動パターンの各々との複数の差分を求める比較部13と、比較部13で求められた複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択する選択部14とを備える。更に、その選択された適応モデルとしての変動パターンに対応する時系列データが、予め定められた閾値を超える場合に異常と検知する異常検知部15を備える構成とした。
以上説明したように、本実施形態の時系列データ異常監視装置10は、ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、当該時系列データの異常を検知するものであり、次のような特徴構成とした。
(1)時系列データから異なる条件に応じた各種の変動パターンを求め、当該各種変動パターンを変動パターン保存部17に分類して保存する算出部11と、時系列データの現存しない将来の値である推定値を推定して求める推定部12とを備える。また、その推定された推定値の時間帯に対応する過去の各種変動パターンを変動パターン保存部17から取得し、この取得された各種変動パターンの各々と推定値とを比較し、当該推定値と各種変動パターンの各々との複数の差分を求める比較部13と、比較部13で求められた複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択する選択部14とを備える。更に、その選択された適応モデルとしての変動パターンに対応する時系列データが、予め定められた閾値を超える場合に異常と検知する異常検知部15を備える構成とした。
この構成によれば、時系列データの将来の値である推定値を求め、この推定値と同じ時間帯の過去の各種変動パターンの内、推定値との差分が最も小さい変動パターンを適応モデルとして選択する。そして、選択された適応モデルとしての変動パターンに対応する現在の時系列データが所定の閾値を超える場合に異常と検知するようにした。このため、現在の時系列データに対応した適応モデルで、その時系列データの変動を検知できる。従って、ネットワーク装置の通信トラフィック等の時系列データの特定不能な変動による異常が生じても、その異常を適正に検知することができる。
(2)推定部12は、時系列データを時系列順に所定時間保持し、この保持した所定時間幅の時系列データに対して外挿を行って得られる、当該時系列データが存在しない範囲の外挿結果を、推定値として求めるようにした。
これによって、リアルタイムデータとしての時系列データの現存しない将来の値である推定値を、適正に推定して求めることができる。
その他、具体的な構成について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
10 時系列データ異常監視装置(異常監視装置)
11 変動パターン算出部(算出部)
12 データ推定部(推定部)
13 比較部
14 選択部
15 異常検知部
16 データ保存部
17 変動パターン保存部
18 異常検知結果保存部
20 入出力装置
11 変動パターン算出部(算出部)
12 データ推定部(推定部)
13 比較部
14 選択部
15 異常検知部
16 データ保存部
17 変動パターン保存部
18 異常検知結果保存部
20 入出力装置
Claims (3)
- ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、当該時系列データの異常を検知する時系列データ異常監視装置であって、
前記時系列データから異なる条件に応じた各種の変動パターンを求め、当該各種変動パターンを記憶手段に分類して保存する算出部と、
前記時系列データの現存しない将来の値である推定値を推定して求める推定部と、
前記推定された推定値の時間帯に対応する過去の各種変動パターンを前記記憶手段から取得し、この取得された各種変動パターンの各々と前記推定値とを比較し、当該推定値と前記各種変動パターンの各々との複数の差分を求める比較部と、
前記比較部で求められた複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択する選択部と、
前記選択された適応モデルとしての変動パターンに対応する前記時系列データが、予め定められた閾値を超える場合に異常と検知する異常検知部と
を備えることを特徴とする時系列データ異常監視装置。 - 前記推定部は、前記時系列データを時系列順に所定時間保持し、この保持した所定時間幅の時系列データに対して外挿を行って得られる、当該時系列データが存在しない範囲の外挿結果を、前記推定値として求める
ことを特徴とする請求項1に記載の時系列データ異常監視装置。 - ネットワーク装置の通信トラフィックによる時系列データの変動を監視し、当該時系列データの異常を検知する異常監視装置による時系列データ異常監視方法であって、
前記異常監視装置は、
前記時系列データから異なる条件に応じた各種の変動パターンを求め、当該各種変動パターンを記憶手段に分類して保存するステップと、
前記時系列データの現存しない将来の値である推定値を推定して求めるステップと、
前記推定された推定値の時間帯に対応する過去の各種変動パターンを前記記憶手段から取得し、この取得された各種変動パターンの各々と前記推定値とを比較し、当該推定値と前記各種変動パターンの各々との複数の差分を求めるステップと、
当該求められた複数の差分の内、最も小さい差分に対応する変動パターンを適応モデルとして選択するステップと、
前記選択された適応モデルとしての変動パターンに対応する前記時系列データが、予め定められた閾値を超える場合に異常と検知するステップと
を実行することを特徴とする装置監視制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016023207A JP6417343B2 (ja) | 2016-02-10 | 2016-02-10 | 時系列データ異常監視装置及び時系列データ異常監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016023207A JP6417343B2 (ja) | 2016-02-10 | 2016-02-10 | 時系列データ異常監視装置及び時系列データ異常監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017143399A true JP2017143399A (ja) | 2017-08-17 |
| JP6417343B2 JP6417343B2 (ja) | 2018-11-07 |
Family
ID=59627511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016023207A Active JP6417343B2 (ja) | 2016-02-10 | 2016-02-10 | 時系列データ異常監視装置及び時系列データ異常監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6417343B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020017952A (ja) * | 2018-07-24 | 2020-01-30 | バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド | 警告するための方法と装置 |
| CN111143392A (zh) * | 2019-12-03 | 2020-05-12 | 深圳市智微智能软件开发有限公司 | 资料异常处理方法及系统 |
| KR20200072169A (ko) * | 2018-12-12 | 2020-06-22 | 한국전자통신연구원 | 머신러닝을 이용한 이상징후 탐지 방법 및 시스템 |
| KR20210153785A (ko) * | 2020-06-10 | 2021-12-20 | 한국전자통신연구원 | 복수개의 머신 러닝 학습 모델을 이용한 이상 상황 탐지 방법 및 이를 위한 장치 |
| CN115858895A (zh) * | 2023-02-21 | 2023-03-28 | 山东优嘉环境科技有限公司 | 一种用于智慧城市的多源异构数据处理方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236813A (ja) * | 2004-02-20 | 2005-09-02 | Ntt Docomo Inc | ネットワーク装置の制御装置及び通信システム並びに異常検出方法 |
| JP2009049490A (ja) * | 2007-08-14 | 2009-03-05 | Oki Electric Ind Co Ltd | ネットワーク監視装置、ネットワーク監視システム |
| JP2013162496A (ja) * | 2012-02-08 | 2013-08-19 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ不正使用判定装置及び方法及びプログラム |
-
2016
- 2016-02-10 JP JP2016023207A patent/JP6417343B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005236813A (ja) * | 2004-02-20 | 2005-09-02 | Ntt Docomo Inc | ネットワーク装置の制御装置及び通信システム並びに異常検出方法 |
| JP2009049490A (ja) * | 2007-08-14 | 2009-03-05 | Oki Electric Ind Co Ltd | ネットワーク監視装置、ネットワーク監視システム |
| JP2013162496A (ja) * | 2012-02-08 | 2013-08-19 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ不正使用判定装置及び方法及びプログラム |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020017952A (ja) * | 2018-07-24 | 2020-01-30 | バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド | 警告するための方法と装置 |
| US10951500B2 (en) | 2018-07-24 | 2021-03-16 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and apparatus for warning |
| KR20200072169A (ko) * | 2018-12-12 | 2020-06-22 | 한국전자통신연구원 | 머신러닝을 이용한 이상징후 탐지 방법 및 시스템 |
| KR102185190B1 (ko) * | 2018-12-12 | 2020-12-01 | 한국전자통신연구원 | 머신러닝을 이용한 이상징후 탐지 방법 및 시스템 |
| CN111143392A (zh) * | 2019-12-03 | 2020-05-12 | 深圳市智微智能软件开发有限公司 | 资料异常处理方法及系统 |
| KR20210153785A (ko) * | 2020-06-10 | 2021-12-20 | 한국전자통신연구원 | 복수개의 머신 러닝 학습 모델을 이용한 이상 상황 탐지 방법 및 이를 위한 장치 |
| KR102407730B1 (ko) | 2020-06-10 | 2022-06-16 | 한국전자통신연구원 | 복수개의 머신 러닝 학습 모델을 이용한 이상 상황 탐지 방법 및 이를 위한 장치 |
| CN115858895A (zh) * | 2023-02-21 | 2023-03-28 | 山东优嘉环境科技有限公司 | 一种用于智慧城市的多源异构数据处理方法及系统 |
| CN115858895B (zh) * | 2023-02-21 | 2023-05-05 | 山东优嘉环境科技有限公司 | 一种用于智慧城市的多源异构数据处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6417343B2 (ja) | 2018-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6417343B2 (ja) | 時系列データ異常監視装置及び時系列データ異常監視方法 | |
| US20180211176A1 (en) | Blended IoT Device Health Index | |
| CN107871190A (zh) | 一种业务指标监控方法及装置 | |
| CN108123849B (zh) | 检测网络流量的阈值的确定方法、装置、设备及存储介质 | |
| CN104901823B (zh) | 一种告警阈值生成方法、业务性能指标监控方法及装置 | |
| US6937945B2 (en) | Electrical power transmission | |
| JP2003162324A (ja) | ビル内のユーティリティの異常使用を検出するインテリジェント・データ分析法 | |
| US9600391B2 (en) | Operations management apparatus, operations management method and program | |
| US20180039895A1 (en) | Data predicting method and apparatus | |
| AU2002302818A1 (en) | Method of monitoring a high voltage grid power system | |
| EP3276884B1 (en) | Intelligent maintenance and repair of user properties | |
| US20150277445A1 (en) | System and method for detecting a stick-slip | |
| JP5928104B2 (ja) | 性能監視装置、性能監視方法、及びそのプログラム | |
| US20150205856A1 (en) | Dynamic brownian motion with density superposition for abnormality detection | |
| CN108255671A (zh) | 计算机系统的应用的监视和警告机制 | |
| TW201126289A (en) | Method and apparatus for monitoring a process and/or a technical installation | |
| US10360249B2 (en) | System and method for creation and detection of process fingerprints for monitoring in a process plant | |
| CN109976986B (zh) | 异常设备的检测方法及装置 | |
| KR101597935B1 (ko) | 비정상 시계열 데이터 탐지 방법 및 비정상 시계열 데이터 탐지 시스템 | |
| CN110134680B (zh) | 空间监控方法、装置、计算机设备及存储介质 | |
| CN113342625A (zh) | 一种数据监控方法及系统 | |
| CN110458713B (zh) | 模型监控方法、装置、计算机设备及存储介质 | |
| CN112149823A (zh) | 一种报警信息筛选过滤的组合实现方法 | |
| EP1739558A1 (en) | Method, computer program and device to automatically predict performance shortages of databases | |
| JP2018191217A (ja) | データ監視装置、データ監視方法及びデータ監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180814 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180921 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181002 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181005 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6417343 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |