JP2018045403A - 異常検知システム及び異常検知方法 - Google Patents
異常検知システム及び異常検知方法 Download PDFInfo
- Publication number
- JP2018045403A JP2018045403A JP2016179146A JP2016179146A JP2018045403A JP 2018045403 A JP2018045403 A JP 2018045403A JP 2016179146 A JP2016179146 A JP 2016179146A JP 2016179146 A JP2016179146 A JP 2016179146A JP 2018045403 A JP2018045403 A JP 2018045403A
- Authority
- JP
- Japan
- Prior art keywords
- pattern
- event
- log
- abnormality detection
- symbolized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
【課題】複数のイベント系列が混在するログから監視対象システムの異常を検知するシステムを提供する。【解決手段】異常検知システム1は、監視対象システム2が出力したログに含まれる時系列のイベントを、所定のルールに基づいて記号化イベントに変換する記号化手段112と、記号化手段によって記号化された正常時のログに基づいて同じパターンで出現する記号化イベント列を頻出パターンとして学習する学習手段115と、記号化手段によって記号化された監視時のログにおいて頻出パターンが生起しているか否かに基づいて異常の発生の有無を検知する異常検知手段117とを有する。【選択図】図1
Description
本発明は、対象システムの異常を検知する技術に関する。
様々な情報通信サービスや社会インフラサービスは、多数の計算機、各種機器及び設備から構成されるシステムによって支えられている。当該システムは、より便利なサービスの提供及び高度な最適化のために、大規模かつ複雑である。また、当該システムは、コスト低減や柔軟なソフト更新等の要請から、異なる企業が提供するハードウェアやソフトウェア、又は、OSS(Open Source Software)を組み合わせて構築されることも多い。このようなシステムは、内部がブラックボックスとなりやすく、運用監視の負担が大きい。
システムを運用監視するためのソフトウェアは、運用監視者の負担を軽減するために、検索機能や所定のルールに対する適合可否のチェック機能などを提供する。しかし、監視対象のデータ量は膨大であり、データの特性を把握してルールを設計しないと、不要なものも多数検出されてしまう。すなわち、ルールを適切に設計する負荷が大きい。
特許文献1には、ログに含まれるイベントの順列と正常時におけるログの特徴を示すパターン情報の順列とを比較することにより、ログと正常時パターンとの不一致箇所を特定し、特定した不一致箇所に基づいてログと正常時パターンとの不一致の程度が所定の閾値を超えているか否かを判定することにより、異常を検知する技術が開示されている。
データセンタの複数のサーバを管理する場合、或るイベント系列中に他の単発イベントや別のイベント系列が割り込むログを監視対象とする必要がある。理由は次の通りである。データセンタでは、様々な目的に応じて、サーバ上のソフトが相互に連携して処理を行う。例えば、DBへデータを登録するトランザクションなど、定型の動作が行われる場合、複数のサーバが別々に一連のトランザクションに関するログを書き込む。この場合、fluentd、Zabbixなど、ログを監視、収集及び統合するソフトを使用して、複数のサーバのログを1つのログに時系列に統合して分析する。しかしながら、様々なソフトが別々の文脈でログを出力しているため、複数のログを時系列に統合すると、或るイベント系列の途中に他のイベント系列が割り込んでしまう。
特許文献1の技術は、上記のように、或るイベント系列の途中に他のイベント系列が割り込む状況を想定していない。このため、特許文献1の技術は、他のイベントが割り込んだ箇所を、不一致箇所として扱ってしまう。すなわち、特許文献1の技術は、或るイベント系列において順序が一致していたとしても、他のイベント系列の割り込みによる不一致箇所が存在すると、全体として異常が発生しているのか否かを正しく判断することができない。
そこで本発明の目的は、複数のイベント系列が混在するログから監視対象システムの異常を検知するシステムを提供することにある。
一実施形態に係る、監視対象システムの異常を検知する異常検知システムは、
監視対象システムが出力したログに含まれる時系列のイベントを、所定のルールに基づいて記号化イベントに変換する記号化手段と、
記号化手段によって記号化された正常時のログに基づいて、同じパターンで出現する記号化イベント列を頻出パターンとして学習する学習手段と、
記号化手段によって記号化された監視時のログにおいて頻出パターンが生起しているか否かに基づいて、異常の発生の有無を検知する異常検知手段と、を有する。
監視対象システムが出力したログに含まれる時系列のイベントを、所定のルールに基づいて記号化イベントに変換する記号化手段と、
記号化手段によって記号化された正常時のログに基づいて、同じパターンで出現する記号化イベント列を頻出パターンとして学習する学習手段と、
記号化手段によって記号化された監視時のログにおいて頻出パターンが生起しているか否かに基づいて、異常の発生の有無を検知する異常検知手段と、を有する。
本発明によれば、複数のイベント系列が混在するログから監視対象システムの異常を検知することができる。
以下、実施形態を説明する。以下の説明では、「プログラム」を主語として処理を説明する場合があるが、プログラムは、プロセッサ(例えばCPU(Central Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)及び通信インターフェイスデバイスのうちの少なくとも1つを用いながら行うため、処理の主語が、プロセッサ、そのプロセッサを有する装置とされてもよい。プロセッサが行う処理の一部又は全部が、ハードウェア回路で行われてもよい。コンピュータプログラムは、プログラムソースからインストールされてよい。プログラムソースは、プログラム配布サーバ又は記憶メディア(例えば可搬型の記憶メディア)であってもよい。
<概略>
本実施形態に係る異常検知システムは、情報通信サービスや社会インフラサービスを支える計算機および関連機器又は設備等から構成される機器、計算機又はシステム(「監視対象システム」と呼ぶ)のログから、監視対象システムにおいて異常が発生しているか否かを検知する。これにより、異常検知システムは、これらのサービスに係るシステムの安定的な運用を支援する。ログは、日時、テキスト又は数値等で表現されたメッセージを含むイベントの集合であってよい。
本実施形態に係る異常検知システムは、情報通信サービスや社会インフラサービスを支える計算機および関連機器又は設備等から構成される機器、計算機又はシステム(「監視対象システム」と呼ぶ)のログから、監視対象システムにおいて異常が発生しているか否かを検知する。これにより、異常検知システムは、これらのサービスに係るシステムの安定的な運用を支援する。ログは、日時、テキスト又は数値等で表現されたメッセージを含むイベントの集合であってよい。
異常検知システムの処理は、監視対象選定及びモデル学習フェーズと、監視フェーズとに分けられてよい。
監視対象選定及びモデル学習フェーズは、監視対象システムが出力した正常時のログから頻出系列パターンに基づき監視対象を選定するとともに、頻出系列パターンの生起の予測を行うための予測モデルを学習する。
監視フェーズは、監視時のログについて監視対象の頻出系列パターンの生起の予測結果と実際に発生したログのイベント列に乖離がある場合、それを異常と判断し、ユーザに通知および関連情報を表示する。
監視対象選定及びモデル学習フェーズでは、次のA1〜A5の処理が実行されてよい。
(A1)テキスト処理やクラスタリング処理に基づき、テキストや数値などで記載された正常時のログを記号列に変換する。
(A2)記号化されたイベント列から頻出系列パターンを抽出する。すなわち、頻出系列パターンとは、正常時に頻出するイベント列(イベントの順序)のパターンである。
(A3)頻出系列パターンを構成する要素列の部分要素列から構成される部分パターンを生成する。すなわち、部分パターンとは、頻出系列パターンの一部分のイベント列(イベントの順序)のパターンである。
(A4)A2で抽出した頻出系列パターンと、A3で生成した部分パターンとの組の集合から、監視に用いる部分パターンを選定する。この選定方法については後述する。その際、頻出系列パターン内の部分パターンの生起を監視するために用いるウィンドウサイズ(「部分パターンのウィンドウサイズ」と呼ぶ)と、その部分パターンが生起してから頻出系列パターンが最後まで生起するまでの間のパターン(「レストパターン」と呼ぶ)を監視するために用いるウィンドウサイズ(「レストパターンのウィンドウサイズ」と呼ぶ)と、を決定する。
(A5)生成した頻出系列パターン、部分パターン、及び正常時のログに基づき、部分パターンが生起したときにその部分パターンを含む頻出系列パターンが生起する確率を算出するための統計的な予測モデルを学習する。
(A1)テキスト処理やクラスタリング処理に基づき、テキストや数値などで記載された正常時のログを記号列に変換する。
(A2)記号化されたイベント列から頻出系列パターンを抽出する。すなわち、頻出系列パターンとは、正常時に頻出するイベント列(イベントの順序)のパターンである。
(A3)頻出系列パターンを構成する要素列の部分要素列から構成される部分パターンを生成する。すなわち、部分パターンとは、頻出系列パターンの一部分のイベント列(イベントの順序)のパターンである。
(A4)A2で抽出した頻出系列パターンと、A3で生成した部分パターンとの組の集合から、監視に用いる部分パターンを選定する。この選定方法については後述する。その際、頻出系列パターン内の部分パターンの生起を監視するために用いるウィンドウサイズ(「部分パターンのウィンドウサイズ」と呼ぶ)と、その部分パターンが生起してから頻出系列パターンが最後まで生起するまでの間のパターン(「レストパターン」と呼ぶ)を監視するために用いるウィンドウサイズ(「レストパターンのウィンドウサイズ」と呼ぶ)と、を決定する。
(A5)生成した頻出系列パターン、部分パターン、及び正常時のログに基づき、部分パターンが生起したときにその部分パターンを含む頻出系列パターンが生起する確率を算出するための統計的な予測モデルを学習する。
監視フェーズでは、学習フェーズで学習したパターンやモデルに基づいて、ログから異常を検知する。そして、監視フェーズは、運用監視者に対して、検知結果や関連情報などを提示する。監視フェーズは、次のB1〜B3の要件を全て満たす場合に異常と判定してよい。
(B1)部分パターンのウィンドウサイズの範囲において、部分パターンが生起する。
(B2)部分パターンの生起後に、部分パターンのウィンドウサイズとレストパターンのウィンドウサイズとを合わせた範囲において、その部分パターンを含む頻出系列パターンが生起する確率が所定の閾値以上である。
(B3)その部分パターンの生起後に、その部分パターンを含む頻出系列パターンが生起していない。
(B1)部分パターンのウィンドウサイズの範囲において、部分パターンが生起する。
(B2)部分パターンの生起後に、部分パターンのウィンドウサイズとレストパターンのウィンドウサイズとを合わせた範囲において、その部分パターンを含む頻出系列パターンが生起する確率が所定の閾値以上である。
(B3)その部分パターンの生起後に、その部分パターンを含む頻出系列パターンが生起していない。
すなわち、監視フェーズは、正常時であれば生起するはずの頻出系列パターンが生起していない場合、異常と判断する。
異常判定処理では、次のC1〜C3の処理が実行されてよい。
(C1)監視時のログを前述同様に記号列に変換する。
(C2)監視対象選定及びモデル学習フェーズで選定された各パターンを用いて、ログに対して異常検知を行う。例えば、上記B1乃至B3の要件を全て満たすか否かを判定する。
(C3)その検知結果を通知し、関連情報を表示する。
(C1)監視時のログを前述同様に記号列に変換する。
(C2)監視対象選定及びモデル学習フェーズで選定された各パターンを用いて、ログに対して異常検知を行う。例えば、上記B1乃至B3の要件を全て満たすか否かを判定する。
(C3)その検知結果を通知し、関連情報を表示する。
なお、本実施形態のログは、日時、テキスト又は数値等で表現されたメッセージの集合であるが、ログはどのようなものであってもよい。例えば、カメラやマイクなどから得られる画像や音声に対してパターン認識を行い、タグ(アノテーション)や文章を抽出したものをログのイベントとしてもよい。
<システム構成>
図1は、本実施形態に係る異常検知システムの構成例を示す。
図1は、本実施形態に係る異常検知システムの構成例を示す。
異常検知システム1は、異常検知装置11と、端末12とを有する。異常検知装置11は、ログから抽出した頻出系列パターンに基づいて、監視対象システム2に異常が発生しているか否かを検知する。端末12は、その検知結果を表示する。
異常検知装置11と端末12とは、LAN(Local Area Network)等のネットワークで接続されてよい。監視対象システム2は、1以上の被監視装置21を有してよい。各被監視装置21は、LAN又はWAN等のネットワークで接続されてよい。なお、各サブシステムは、WWW(World Wide Web)に代表されるWAN(Wide Area Network)等の他のネットワークを介して接続されても良い。
上記の各構成要素の数は増減してもよい。各構成要素は、1つのネットワークで接続されても良いし、階層分けされて接続されてもよい。例えば、異常検知装置11は、複数の装置で構成されてもよいし、端末12と同一のハードウェア上で実現されてもよい。例えば、1以上の被監視装置21が、異常検知装置11又は端末12とハードウェアを共有してもよい。
<機能とハードウェア>
図2は、計算機のハードウェアの構成例を示す。以下、図1及び図2を参照しながら、異常検知システム1の機能について説明する。
図2は、計算機のハードウェアの構成例を示す。以下、図1及び図2を参照しながら、異常検知システム1の機能について説明する。
異常検知装置11は、機能として、ログ収集部111、ログ記号化部112、監視パターン生成部113、ウィンドウサイズ決定部114、予測モデル学習部115、系列パターン生起予測部116、異常検知部117、データ管理部118を有してよい。これらの機能は、異常検知装置11が備えるCPU1H101が、ROM(Read Only Memory)1H102又は外部記憶装置1H104に格納されたプログラムをRAM(Read Access Memory)1H103に読み込み、通信I/F(Interface)1H105、マウスやキーボード等に代表される外部入力装置1H106、ディスプレイなどに代表される外部出力装置1H107を制御することによって実現されてよい。
端末12は、機能として、表示部121を有する。この機能は、端末12が備えるCPUが、ROM又は外部記憶装置に格納されたプログラムをRAMに読み込み、通信I/F(Interface)、マウスやキーボード等に代表される外部入力装置、ディスプレイなどに代表される外部出力装置を制御することで実現されてよい。
被監視装置21は、機能として、ログ収集機能や、装置ごとの目的(例えばデータ管理、Webページのホスティング、設備の制御等)に応じた各種機能を有する。これらの機能は、被監視装置21が備えるCPUが、ROM又は外部記憶装置に格納されたプログラムをRAMに読み込み、通信I/F、マウスやキーボード等に代表される外部入力装置、ディスプレイなどに代表される外部出力装置を制御することによって実現されてよい。
<データ構造>
図3は、統合前のログ1D1の一例を示す。統合前のログ1D1は、異常検知装置11によって監視対象システム2から収集されてよい。
図3は、統合前のログ1D1の一例を示す。統合前のログ1D1は、異常検知装置11によって監視対象システム2から収集されてよい。
ログ1D1には、1つ以上のイベントが含まれてよい。図3は、BSD又はLinux(登録商標)などのOSにおいて出力される「syslog」の例である。
イベントは、そのイベントが生成された日時、発行したデータソース名、及び、イベントの内容を表す短いテキストによって構成されてよい。また、イベントの重要度(info,error等)が付与されてもよい。syslogやwebサーバログなどでは、図3に示すように、1行が1つのイベントに対応する。しかし、複数行が1つのイベントに対応してもよい。本実施形態では、ログの記載形式に関わらず、イベントの日時を除いた部分の情報を「メッセージ」と呼ぶ。
図4は、統合後のログの一例を示す。統合後のログは、異常検知装置11によって監視対象システム2から収集された複数のログ1D1が、データ管理部118によって統合されたものであってよい。
統合後のログにおけるイベントは、データ項目として、イベントID1D201と、日時1D202と、メッセージ1D203とを有してよい。
イベントID1D201は、統合後のイベントを一意に識別するための値である。ログ収集部111は、被監視装置21からログを収集する際に、各イベントにイベントID1D201を付与してよい。
日時1D202は、イベントが発生した日時である。ログ収集部111は、容易に日時を比較できるように、日時1D202をISO8601などの共通フォーマットに統一してよい。
メッセージ1D203は、日時1D202に発生したイベントの内容である。
図5は、テンプレートデータ1D3の一例を示す。テンプレートデータ1D3は、データ管理部118で管理されてよい。
テンプレートデータ1D302は、イベントを記号化する際に用いられる。テンプレートデータ1D302は、データ項目として、クラスID1D301と、テンプレート文1D302とを有して良い。
クラスID1D301は、テンプレートデータ1D302を一意に識別するための値である。クラスID1D301は、記号化されたイベントと対応付けられてよい。すなわち、記号化されたイベントには、何れかのクラスID1D301が対応付けられる。
テンプレート文1D302は、類似するメッセージ1D203を抽象化するための文である。テンプレート文1D302は、メッセージ1D203の一部がワイルドカードで表現された文であってよい。
図5の例では、「*」が任意の文字列、「$NUM」が数値にマッチするワイルドカードを意味する。なお、正規表現にマッチするか否か、又は、特定の文字列群を含むか否かなどによってもイベントを記号化することができる。したがって、テンプレート文1D302は、それらを表現した文であってもよい。
図6は、記号化イベント1D4の一例を示す。記号化イベント1D4は、データ管理部118で管理されてよい。
記号化イベント1D401は、イベントを記号列に変換した後のデータである。記号化イベント1D401は、データ項目として、イベントID1D401と、日時1D402と、クラスID1D403とを有して良い。
クラスID1D403は、イベントID1D401のイベントに対応付けられたテンプレートデータ1D3のクラスID1D301である。ログの収集と同時にイベントを記号化する場合、記号化イベント1D4の数は、統合後のログのイベント1D2の数と一致する。
図6の例では、イベントID1D401「1000001」のイベントには、クラスID1D403「4」が対応付けられている。これは、イベントID「1000001」のイベントのメッセージ1D203は、図5のクラスID1D301「4」に対応するテンプレート文1D302「machine1 anacron[$NUM]:Job * terminated」に適合するメッセージであったことを表す。
図7は、頻出系列パターン1D5の一例を示す。頻出系列パターン1D5は、データ管理部118で管理されてよい。
頻出系列パターン1D5は、正常時のログに関する記号化イベント1D401に対して系列パターンマイニングを適用することで得られてよい。頻出系列パターン1D5は、データ項目として、パターンID1D501、パターン長1D502、出現回数1D503、パターン1D504を有して良い。
パターンID1D501は、頻出系列パターン1D5を一意に識別するための値である。
パターン長1D502は、パターン1D504に含まれるクラスIDの数である。
出現回数1D503は、正常時のログにおいてパターン1D504が発生した回数である。
パターン1D504は、正常時のログにおいて時系列に頻出するクラスIDのセットである。
図7のパターンID1D501「0」の頻出系列パターンは、クラスIDが時系列に「0→4→2→18→7」(1D504)と出現するパターンであることを示す。また、このパターンID1D501「0」のパターン1D504は、5つ(1D502)のクラスIDから構成されており、正常時のログにおいて34回(1D503)出現していることを示す。
図8は、監視対象パターン1D6の一例を示す。監視対象パターン1D6は、データ管理部118で管理されてよい。
監視対象パターン1D6は、監視対象となる頻出系列パターンと、当該頻出系列パターンに含まれる一部のパターン(「部分パターン」という)とを含む。監視対象パターン1D6は、データ項目として、パターンID1D601と、全体パターン1D602と、部分パターン1D603と、部分パターンのウィンドウサイズ1D604と、レストパターンのウィンドウサイズ1D605とを有してよい。
パターンID1D601及び全体パターン1D602は、それぞれ、図7の頻出系列パターン1D5のパターンID1D501及びパターン1D504と対応する。
パターンID1D601及び全体パターン1D602は、それぞれ、図7の頻出系列パターン1D5のパターンID1D501及びパターン1D504と対応する。
部分パターン1D603は、全体パターン1D602の一部に含まれるパターンである。
部分パターンのウィンドウサイズ1D604は、部分パターン1D603の生起の監視に用いられる区間である。部分パターンのウィンドウサイズ1D604は、監視対象のイベント数であってもよいし、監視時間(例えば10秒や1分)であってもよい。
レストパターンのウィンドウサイズ1D605は、部分パターン1D603の生起後の監視に用いられる区間である。レストパターンのウィンドウサイズ1D605も、監視対象のイベント数であってもよいし、監視時間であってもよい。
図8の1行目は、全体パターン1D602が「1→17→15→8→16」、部分パターン1D603が「1→17→15→8」であり、レストパターンは「16」である。よって、部分パターン1D603「1→17→15→8」が、部分パターンのウィンドウサイズ1D604「6イベント」の区間内で生起した場合、当該部分パターンが生起したと判断してよい。また、レストパターン「16」が、部分パターンの発生後からレストパターンのウィンドウサイズ1D605「5イベント」の区間内で生起した場合、レストパターンが発生したと判断してよい。
図9は、異常検知結果データ1D7の一例を示す。異常検知結果データ1D7は、データ管理部118で管理されてよい。
異常検知結果データ1D7は、異常検知の結果を表すデータである。異常検知結果データ1D7は、データ項目として、アノマリID1D701と、開始イベントID1D702と、終了イベントID1D703と、パターンID1D704とを有してよい。
アノマリID1D701は、異常検知の結果を一意に識別するための値である。
開始イベントID1D702及び終了イベントID1D703は、異常を検知した区間の開始と終了のイベントIDを表す。
パターンID1D704は、異常検知に用いられた監視対象パターン1D6のパターンID1D601を表す。
図9の1行目は、アノマリID1D701「0」の異常検知結果は、開始イベントID1D702「1000073」から終了イベントID1D703「1000088」の区間において、パターンID1D704「35」に係る異常が検知されたことを示す。なお、ウィンドウをスライドさせて異常を検出するので、アノマリID「1」のときにも同様にパターンID「35」に係る異常が検知されている。
なお、データ管理部118は、予測モデルのパラメータを管理してもよい。この場合、データ管理部118、予測モデルに適宜対応するパラメータを管理するためデータ構造を有してよい。予測モデルの生成には、リカレントニューラルネットワークが用いられてよい。この場合、モデルのパラメータは、重み行列の集合となる。
<処理フロー>
図10は、監視対象選定及びモデル学習フェーズの処理の一例を示すフローチャートである。
図10は、監視対象選定及びモデル学習フェーズの処理の一例を示すフローチャートである。
なお、本処理の前に、異常検知装置11は、被監視装置21から正常時のログを収集し、データ管理部118に、統合後のログ(図4参照)を登録済みであるとする。
まず、ログ記号化部112は、正常時の統合後のログの各イベント1D3を、テンプレートデータ1D3を用いて記号化し、記号化イベント1D4を生成する(ステップ1F101)。テンプレートの生成方法については後述する。なお、ログ記号化部112は、何れのテンプレートデータ1D3にも該当しないイベント1D3については、未知のイベントであるとして、例えば「−1」など、未知を示す適切な記号を割り当ててよい。
次に、監視パターン生成部113は、記号化イベントに対して、PrefixspanやApriori Allなどの頻出系列パターンマイニングを適用し、閾値「C」以上出現するパターン(つまり頻出系列パターン)を抽出する(ステップ1F102)。本実施形態では閾値「C」を「30回」としているが、閾値「C」は、監視するログや目的に応じて適切に設定されてよい。
次に、監視パターン生成部113は、頻出系列パターンから全ての部分パターンを抽出する。そして、監視パターン生成部113は、「頻出系列パターンの生起回数/部分パターンの生起回数」が閾値α以上に該当する部分パターンを抽出し、その中から長さが最短の部分パターンを選択する。そして、監視パターン生成部113は、その選択した部分パターンを、監視対象パターン1D6に登録する(ステップ1F103)。この時点では、部分パターンのウィンドウサイズ1D604及びレストパターンのウィンドウサイズ1D605は未定なため、「−1」などの無効を表す値であってよい。また、本実施形態では閾値αを「0.95」としているが、閾値αは監視するログや目的に応じて適切に設定されてよい。このような部分パターンを選択することにより、比較的早い時点で頻出系列パターンの生起を、比較的高い精度で予測することができるようになる。なお、本実施形態では、監視パターン数を削減するために、1つの部分パターンと頻出系列パターンとの組とを選択しているが、2つ以上の組を選択してもよい。
次に、ウィンドウサイズ決定部114は、部分パターンのウィンドウサイズ1D604とレストパターンのウィンドウサイズ1D605とを決定し、監視対象パターン1D6に登録する(ステップ1F104)。ウィンドウサイズの決定方法については後述する。
次に、予測モデル学習部115は、生成した頻出系列パターン、部分パターン、及び、正常時のログを用いて、部分パターンが生起したときに頻出系列パターンが生起する確率を算出するための統計的な予測モデルを学習する。そして、予測モデル学習部115は、その学習した予測モデルに係るパラメータを、データ管理部118に登録する(ステップ1F105)。そして、本処理を終了する。
例えば、リカレントニューラルネットワークの一種であるLSTM(Long short−term Memory)で構成される予測モデルを用いる。例えば、リカレントニューラルネットワークにおいて、1ofK表現された或るイベントのクラスIDを入力と、1ofK表現された次のイベントのクラスIDを出力とする。そして、ネットワークを、入力側から、全結層、LSTM層、LSTM層、LSTM層、全結層で構成し、最後にソフトマックス関数を介して出力を得る。ネットワークの構成は、監視するログや目的に応じて適切に設定されてよい。予測モデルに係るパラメータは、各層の重み行列の集合であってよい。
なお、別の方法が用いられてもよい。例えば、直接ロジスティック回帰やSVM(Support Vector Machine)などの識別モデルが用いられてもよい。例えば、或るイベントを基点にそのイベントからτ個前までのイベントの各クラスIDを入力とする。そして、その基点としたイベントの次のイベントから、レストパターンのウィンドウサイズだけ先のイベントまでの区間に、監視対象の頻出系列パターンが生起したか否か(「0」or「1」)を判定する。「τ」には、「10」など、適切な値が設定されてよい。
また、簡単な予測モデルに、ステップ1F103の場合と同様の「頻出系列パターンの生起回数/部分パターンの生起回数」を用いることもできる。予測モデルは、監視するログや目的に応じて適切に選定されてよい。
以上、監視対象選定及びモデル学習フェーズの処理を説明した。本実施形態のように、イベントをいったん記号化し、その記号化イベントにおける頻出系列パターンを監視対象とすることにより、イベントが文字列であっても数値であっても同じように取り扱うことができる。
さらに、頻出系列パターンの抽出において「飛び」を許容することにより、例えば、或るトランザクションに係るイベント列の間に、単発又は別のトランザクションのイベントが紛れ込んでいたとしても、同じパターンとして抽出することができる。
なお、ルールを定めて、登録する頻出系列パターン1D6を限定してもよい。例えば、システムの構成変更によって発生しないことが自明の特定のパターンを登録しない、というルールを定めてもよい。
図11は、テンプレート生成処理の一例を示すフローチャートである。
なお、本処理の前に、異常検知装置11は、被監視装置21から正常時のログを収集し、データ管理部118に、統合後のログ(図4参照)を登録済みであるとする。
まず、ログ記号化部112は、正常時の統合後のログの各イベント1D3における「数値列」、「IPアドレス」、「URI」、「MACアドレス」などの典型的な文字列を、「$NUM」、「$IPADDR」、「$URI」、「$MACADDR」などの文字列に置換する(ステップ1F201)。
ログ記号化部112は、各イベントを、イベントに含まれる単語群のJaccard距離に基づくWard法により、クラスタリングする(ステップ1F202)。クラスタは、距離が指定値(例えば0.5)以下の範囲で結合すると定義されてもよい。また、情報量基準などに基づいて適切なクラスタ数が決定されてもよい。
ログ記号化部112は、同じクラスタ番号が割り当たったイベント群について、最長共通部分列を動的計画法(smith watermanアルゴリズム)等を用いて抽出する。そして、ログ記号化部112は、各イベントについて、最長共通部分列の各要素の間に文字列が存在する場合、最長共通部分列の該当する文字の間にワイルドカード(*)を追加し、テンプレートを生成する。そして、ログ記号化部112は、テンプレートを識別するためのクラスIDを、「0」からの連番等でテンプレートデータ1D3に登録し、本処理を終了する(ステップ1F203)。
なお、本実施形態では、ログの単語群のJaccard距離に基づくWard法によりクラスタリングを行っているが、他の方法であってもよい。例えば、同じクラスタに属すイベントに共通する単語群を代表単語群として抽出し、その代表単語群との距離に基づいてクラスタを割り当てても良い。この場合、テンプレートは代表単語群となり、どのクラスタからも遠いイベントを未知のイベントに割り当ててよい。他にも、「skipgram」や「GloVe」等によって単語をベクトル表現化し、それを足し合わせたベクトルをイベントのベクトル表現とし、そのベクトルをK−meansでクラスタリングし、クラスIDを生成しても良い。
また、上記は、「syslog」など、テキストを主体としたログを想定したテンプレート生成となっており、数値全般を「$NUM」に変換している。しかし、数値データに対して適当なビンを設定して度数分布を作成し、各ログ中の数値について対応するビンのIDを、クラスIDとして割り振ってもよい。例えば、数値「1〜10」にはクラスID「1」を、数値「11〜20」にはクラスID「2」を割り当ててもよい。
図12は、ウィンドウサイズを決定する処理の一例を示すフローチャートである。
まず、図12を用いて、部分パターンのウィンドウサイズを決定する処理について説明する。
ウィンドウサイズ決定部114は、図13の例のように、複数の部分パターンが生起を開始してから終了するまでの区間のイベント数に基づき、度数分布を作成する(ステップ1F401)。
次に、ウィンドウサイズ決定部114は、その作成した度数分布におけるイベント数が小さい方から例えば90%の要素が含まれるところでのイベント数(90パーセンタイル)を、部分パターンのウィンドウサイズに決定する。そして、ウィンドウサイズ決定部114は、監視対象パターン1D6に、その決定したウィンドウサイズを登録し、処理を終了する(ステップ1F402)。図13の例では、「5〜12」のイベント数でパターンが発生し、小さい方から90%が含まれるイベント数は「10」であるので、部分パターンのウィンドウサイズを「10」に決定する。
なお、上記では、イベント数を用いてウィンドウサイズを決定しているが、ログの実際の時刻を用いても良いし、ログの実際の時刻及びイベント数を併用してもよい。
また、上記では、ウィンドウサイズを、小さい方から90%が含まれるときのイベント数(90パーセンタイル)としている。しかし、対数正規分布などの統計モデルに当てはめて、その「平均」又は「平均+3×標準偏差」に最も近い整数値を、ウィンドウサイズに決定してもよい。また、ウィンドウサイズの度数分布から外れ値を除去した部分集合を作成し、その部分集合の中の最長値を、ウィンドウサイズに決定してもよい。
次に、図12を用いて、レストパターンのウィンドウサイズを決定する処理について説明する。
ウィンドウサイズ決定部114は、図13の例のように、複数のレストパターンが生起を開始してから終了するまでの区間のイベント数に基づき、度数分布を作成する(ステップ1F401)。
次に、ウィンドウサイズ決定部114は、その作成した度数分布におけるイベント数が小さい方から例えば90%の要素が含まれるところでのイベント数(90パーセンタイル)を、レストパターンのウィンドウサイズに決定する。そして、ウィンドウサイズ決定部114は、監視対象パターン1D6に、その決定したウィンドウサイズを登録し、処理を終了する(ステップ1F402)。
これにより、監視対象の部分パターン及びレストパターンごとに、他のイベントの割り込みを考慮したウィンドウサイズが決定される。
なお、上記では、イベント数を用いてウィンドウサイズを決定しているが、ログの実際の時刻を用いても良いし、ログの実際の時刻及びイベント数を併用してもよい。
また、上記では、ウィンドウサイズを、小さい方から90%が含まれるときのイベント数(90パーセンタイル)としている。しかし、対数正規分布などの統計モデルに当てはめて、その「平均」又は「平均+3×標準偏差」に最も近い整数値を、ウィンドウサイズに決定してもよい。また、ウィンドウサイズの度数分布から外れ値を除去した部分集合を作成し、その部分集合の中の最長値を、ウィンドウサイズに決定してもよい。
図14は、レストパターンのウィンドウサイズを決定する処理の変形例を示すフローチャートである。
ウィンドウサイズ決定部114は、複数の部分パターンが生起を開始してから終了するまでの区間のイベント数と、複数のレストパターンが生起を開始してから終了するまでの区間のイベント数と、に基づく統計モデル(例えば線形回帰モデル)を作成する(ステップ1F501)。
次に、ウィンドウサイズ決定部114は、部分パターンのウィンドウサイズに対するレストパターンのウィンドウサイズの決定表を作成する(ステップ1F502)。
この場合、ウィンドウサイズは、部分パターンが生起を開始してから終了するまでの区間のイベント数に応じて動的に変化する。したがって、監視対象パターン1D6のレストパターンのウィンドウサイズ1D605の代わりに、ステップ1F502で作成した決定表を保持しておき、適宜その決定表を参照してレストパターンのウィンドウサイズを決定してよい。これによれば、多数の割り込みが発生して部分パターンのウィンドウサイズが大きくなると、それに合わせて、レストパターンのウィンドウサイズも大きくなる。
図15は、監視フェーズの処理の一例を示すフローチャートである。
なお、本処理の前に、異常検知装置11は、被監視装置21から監視時のログを収集し、データ管理部118に、統合後のログ(図4参照0を登録済みであるとする。また、既に正常時のログに対して、監視対象選定及びモデル学習が行われているとする。
まず、ログ記号化部111は、監視対象選定及びモデル学習フェーズの場合と同様に、監視時のログを記号化する(ステップ1F601)。
次に、系列パターン生起予測部116は、監視時のログにおける監視対象に選定された各パターンについて、部分パターンが生起しているか否かを判定する(ステップ1F602)。系列パターン生起予測部116は、部分パターンが生起していないと判定した場合(NO)、本処理を終了し、生起していると判定した場合(YES)、ステップ1F603に進む。
ステップ1F602の判定結果がYESの場合、系列パターン生起予測部116は、その生起していると判定した部分パターンを含む頻出系列パターンの生起確率を算出する(ステップ1F602)。
本実施形態では、例えば次のように、リカレントニューラルネットワークの一種であるLSTMに係る予測モデルを使用して、生起確率を推定する。
まず、リカレントニューラルネットワークの内部状態をいったん初期化し、部分パターンが発生する数十時刻前からリカレントニューラルネットワークにその時刻のイベントのクラスIDを入力し、内部状態を更新する。
そして、部分パターンが発生し終わった時刻の次の時刻から、レストパターンのウィンドウサイズの分、逐次サンプルを生成する。すなわち、リカレントニューラルネットワークに或る時刻のクラスIDを入力すると、出力として、次の時刻の各クラスIDの生起確率が得られる。その生起確率を使用してルーレット選択を行うことにより、予測される次のクラスIDを出力する。これを複数回繰り返すことにより、レストパターンのウィンドウサイズ分の予測クラスID列(予測レストパターンのクラスID列)が複数個得られる。
そして、部分パターンのクラスID列と各予測レストパターンのクラスID列とを連結したクラス列で、監視対象の頻出系列パターンが生起した回数を数える。
最後に、この回数を、予測レストパターンの総数で除算することにより、頻出系列パターンの生起確率を推定することができる。
リカレントニューラルネットワークの一種であるLSTMを使用することにより、監視対象の部分パターンのウィンドウサイズより以前の情報が自然な形で加味されるので、予測精度が向上し得る。なお、処理負荷を下げる必要がある場合、上記のルーレット選択の部分を、最大の確率を有するクラスIDを選択するように変更し、一度だけサンプルを作成してよい。
次に、異常検知部117は、ステップ1F602で部分パターンが生起していたパターンに関して、生起確率が閾値「γ」以上であり、かつ、レストパターンのウィンドウサイズ内でレストパターンが生起しているか否か、すなわち、部分パターンと組み合わせて監視対象とした頻出系列パターンが生起しているか否かを判定する。この判定の結果、生起確率が閾値「γ」以上であり、かつ、頻出系列パターンが発生していないパターンが存在する場合(YES)、ステップ1F605に進む。この判定の結果が否定的な場合は(NO)、本処理を終了する(ステップ1F604)。なお、本実施形態では閾値「γ」を「0.95」とするが、求められる性能(精度と再現率)に応じて他の閾値に設定してもよい。
ステップ1F604の判定結果がYESの場合、異常検知部117は、そのパターンに関して異常があったと判定する。その場合、異常検知部117は、異常のあった箇所、すなわち、部分パターンの開始箇所のイベントID(開始イベントID)と、部分パターンの終了箇所にレストパターンのウィンドウサイズの分を進めた箇所のイベントID(終了イベントID)と、を抽出する。
そして、異常検知部117は、検知したデータごとにアノマリID1D701を付与しながら、上記の開始イベントID、終了イベントID及びパターンIDを、異常検知結果データ1D7に登録する(ステップ1F605)。
そして、異常検知部117は、端末12の表示部121に対して、異常検知結果データ1D7に異常検知結果を登録したことを通知し(ステップ1F606)、本処理を終了する。
端末12の表示部121は、この通知を受けて、各種ログやパターンのデータと、異常検知結果データ1D7とを表示してよい。すなわち、端末12は、運用監視者に異常検知結果を提示してよい。
<ユーザインターフェース>
図16は、ログ情報監視画面1G1の例を示す。ログ情報監視画面1G1は、端末12の表示部121によって表示されてよい。
図16は、ログ情報監視画面1G1の例を示す。ログ情報監視画面1G1は、端末12の表示部121によって表示されてよい。
ログ情報監視画面1G1には、パターンリスト1G101と、テンプレートリスト1G102と、ログリスト1G103とが表示されてよい。
パターンリスト1G1010には、監視対象のログに出現する頻出系列パターン1D5のパターンID1D501とパターン長1D502と出現回数1D503とが表示されてよい。
テンプレートリスト1G202には、パターンリスト1G1010で選択された頻出系列パターン1D5のパターン1D504に対応するテンプレートデータ1D3が表示されてよい。
これらを表示することにより、運用監視者は、どのような頻出系列パターンが異常検知のための監視対象となっているか、及び、それがどのようなログにマッチし得るのかなどを知ることができる。
ログリスト1G103には、イベント1D2及び記号化イベント1D4に対応する、イベントID、日時、クラスID及びメッセージが表示されてよい。その際、異常が検知されたイベントのクラスIDには、図16の1G103aに示す「!37」のように、強調されたり、追加の記号が付されたりしてよい。さらに、そのクラスIDには、後述の異常追跡情報表示画面1G2へのリンクが付与されてよい。これにより、運用監視者は、どのイベントで異常が検知されたかを、容易に知ることができる。
図17は、追跡情報表示画面1G2の例を示す。追跡情報表示画面1G2は、端末12の表示部121によって表示されてよい。
図17の例の画面は、前述したログ情報監視画面1G1において異常が検知されたイベントからリンクされた画面であってよい。すなわち、図17の例の画面には、そのリンク元の異常に関する内容が表示されてよい。
追跡情報表示画面1G2は、異常パターンID選択タブ1G201で区切られてよい。そのタブで区切られた中に、テンプレートリスト1G202と、異常検知個所付近のログリスト1G203とが表示されてよい。
異常パターンID選択タブ1G201は、異常を検知した監視対象のパターンのパターンID分だけ生成されてよい。図17の例は、パターンID「1」、「12」、「21」のパターンに関する異常が検知されたことを表している。このタブごとに、異常を検知したパターンが異なり、表示される内容も異なる。
テンプレートリスト1G202には、異常を検知した監視対象パターンに関するクラスIDとテンプレートとのリストが表示されてよい。
異常検知個所付近のログリスト1G203には、異常検知結果データ1D7の開始イベントIDから終了イベントIDまでの区間のイベントが表示される。図17の例では、パターンID「1」の部分パターンに該当するクラスID「1」、「17」、「15」、「「8」のイベントと、レストパターンのウィンドウサイズであるその後の5つ分のイベントとが表示されている。
なお、頻出パターンに基づく時系列の異常検知の観点から、何れの時点まで正しく動作していたと考えられるかを判別できるように、頻出系列パターンに該当するイベントのクラスIDには、図17に示す「*1*」や「*17*」のように、強調や追加の記号が付与されてよい。
図18は、異常検出回数表示画面1G3の例を示す。異常検出回数表示画面1G3は、端末12の表示部121によって表示されてよい。異常検出回数表示画面1G3は、ログ情報監視画面1G1と合わせて利用されてもよいし、単独で利用されてもよい。
異常検出回数表示画面1G3には、異常検出回数グラフ1G301と、異常パターン選択ボックス1G302とが表示されてよい。
異常検出回数グラフ1G301には、異常パターン選択ボックス1G302で指定されたパターンに関する一定時間幅の単位での異常検出回数の度数分布(ヒストグラム)が表示されてよい。図18の例では、異常パターン選択ボックス1G302で「すべて」が選択されているので、「すべて」の監視対象のパターンが対象となっている。異常パターン選択ボックス1G302は、各種の監視対象のパターンや、その組み合わせを選択可能であってよい。また、異常パターン選択ボックス1G302において、組み合わせやすべてのパターンが選択されている場合、その内訳が分かるように色分けなどがされてもよい。
本実施形態では、度数分布のビン幅(時間幅)を1時間とする。例えば、1つのビン幅(時間幅)における異常検出回数は、5月12日の午後9:00では、5月12日の午後8:30〜5月12日の午後9:30までに検出された異常の総数に対応する。なお、システムや運用監視者の要求に応じて、時間幅は、30分単位、15分単位などに変更されてもよい。
異常検出回数グラフ1G301には、閾値1G301aが設定されてよい。異常検出回数が閾値1G301a以上である箇所は、1G301bに示すように、強調表示されてよい。本実施形態では、閾値1G301aには、過去1週間の平均の2倍を設定する。ただし、閾値1G301aに係る期間や倍数は変更されてもよいし、閾値1G301aには運用監視者が固定の値を予め設定してもよいし、時間を考慮して変動を統計モデルで学習しておき閾値1G301aを変動させてもよい。
本実施形態によれば、複数を統合したログから、異常を検知することができる。よって、運用監視者の負担を低減することができる。
また、運用監視者が、上述のウィンドウサイズを手動で設定することは難しい。例えば、ウィンドウサイズを長くし過ぎると、別のイベント列と合わせて正常と判断されてしまおそれがあり、ウィンドウサイズを短くし過ぎると、別のイベント列と合わせた結果、その区間で正常なイベント列が最後まで出力されずに異常なイベント列であると判断されてしまうおそれがある。しかし、本実施形態では、監視対象パターンごとに最適なウィンドウサイズが自動的に決定されるので、固定のウィンドウサイズを用いる場合に比べて、高い異常検知性能(精度及び/又は再現率)を実現することができる。
また、本実施形態は、単に異常があったことを提示するだけでなく、異常がどのような頻出系列パターンに関して発生したものであり、また、その頻出系列パターンを構成するイベントのどこまでは正常に生起していたかなどを、認識可能な態様で提示する。これにより、運用監視者は、単に異常があったことだけでなく、どのような原因で異常が発生したのかを究明するために有用な情報を得ることができる。すなわち、運用監視者が、より短時間で異常の原因を究明できる可能性が高まる。
上述した実施形態は、本発明の説明のための例示であり、本発明の範囲を実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
1:異常検知システム 2:監視対象システム 11:異常検知装置 12:端末 21:被監視装置
Claims (14)
- 監視対象システムの異常を検知する異常検知システムであって、プロセッサとメモリを備え、
前記プロセッサは、
前記監視対象システムが出力したログに含まれる時系列のイベントを、所定のルールに基づいて記号化イベントに変換する記号化手段と、
前記記号化手段によって記号化された正常時のログに基づいて、同じパターンで出現する記号化イベント列を頻出パターンとして学習する学習手段と、
前記記号化手段によって記号化された監視時のログにおいて前記頻出パターンが生起しているか否かに基づいて、異常の発生の有無を検知する異常検知手段と、を実行する
異常検知システム。 - 前記異常検知手段は、
前記頻出パターンを構成する記号化イベント列のサイズに基づいて、前記記号化された監視時のログから、前記頻出パターンが生起しているか否かの検知対象とする記号化イベント列を抽出する
請求項1に記載の異常検知システム。 - 前記異常判定手段は、
前記抽出した検知対象の記号化イベント列において、前記頻出パターンの一部である部分パターンが生起しており、且つ、前記部分パターンが生起したときに前記部分パターンを含む前記頻出パターンが生起する確率が所定の閾値以上であるにも関わらず、前記頻出パターンの前記部分パターンの後に出現するパターンであるレストパターンが出現していない場合、異常有りと判定する
請求項2に記載の異常検知システム。 - 前記プロセッサは、
前記記号化された正常時のログに基づいて、前記記号化された監視時のログから部分パターンの生起の判定区間に関するサイズである部分パターンのウィンドウサイズを決定するウィンドウサイズ決定手段、をさらに実行する
請求項3に記載の異常検知システム。 - 前記ウィンドウサイズ決定手段は、
前記部分パターンが生起したときに当該部分パターンを含む前記頻出パターンが生起する確率が所定の閾値以上である複数の部分パターンのサイズの内の最小サイズに基づいて、前記ウィンドウサイズを決定する
請求項4に記載の異常検知システム。 - 前記ウィンドウサイズ決定手段は、
複数の頻出パターンのイベント数の度数分布における所定の2つのパーセンタイルの間のイベント数に基づいて、前記ウィンドウサイズを決定する
請求項4に記載の異常検知システム。 - 前記ウィンドウサイズ決定手段は、
複数の頻出パターンのイベント数の度数分布を所定の統計モデルにフィッティングし、その統計モデルの平均値に関する値に最も近いイベント数に基づいて、前記ウィンドウサイズを決定する
請求項4に記載の異常検知システム。 - 前記学習手段は、
前記記号化された正常時のログを用いて、前記部分パターンが生起したときに前記部分パターンを含む前記頻出パターンが生起する確率を、LSTM(Long short−term Memory)に係る予測モデルとして学習する
請求項3に記載の異常検知システム。 - 前記学習手段は、
前記記号化された正常時のログを用いて、前記部分パターンが生起したときに前記部分パターンを含む前記頻出パターンが生起する確率を、統計モデルとして学習する
請求項3に記載の異常検知システム。 - 前記記号化手段は、
正常時のログのイベント群に基づいて生成された複数のクラスタに共通する語に基づいてテンプレートを生成し、
監視時のログのイベントに対して、
或るテンプレートが適合する場合、その適合するテンプレートに基づく記号を割り当て、
何れのテンプレートとも適合しない場合、未知のイベントである旨を示す記号を割り当てる
請求項1に記載の異常検知システム。 - 前記プロセッサは、
各頻出パターンのサイズ及び出現回数を表示するGUIを生成するGUI生成手段、をさらに実行する
請求項2に記載の異常検知システム。 - 前記プロセッサは、
前記監視時のログを出力すると共に、異常有りと判定されたイベントを他のイベントと区別可能な態様で表示するGUIを生成するGUI生成手段、をさらに実行する
請求項2に記載の異常検知システム。 - 前記GUI生成手段は、
前記異常有りと判定されたイベントに当該イベントの異常に関する情報を含むGUIへのリンクを付与し、
前記リンク先のGUIとして、前記異常有りと判定されたイベントに関連する頻出パターン及び当該イベントを含む監視時のログを表示するGUIを生成する
請求項11に記載の異常検知システム。 - コンピュータが、監視対象システムの異常を検知する機能を提供する異常検知方法であって、
記号化手段が、前記監視対象システムが出力したログに含まれる時系列のイベントを、所定のルールに基づいて記号化イベントに変換し、
前記学習手段が、前記記号化手段によって記号化された正常時のログに基づいて、同じパターンで出現する記号化イベント列を頻出パターンとして学習し、
前記異常検知手段が、前記記号化手段によって記号化された監視時のログにおいて前記頻出パターンが生起しているか否かに基づいて、異常の発生の有無を検知する
異常検知方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016179146A JP6643211B2 (ja) | 2016-09-14 | 2016-09-14 | 異常検知システム及び異常検知方法 |
| US15/495,213 US20180075235A1 (en) | 2016-09-14 | 2017-04-24 | Abnormality Detection System and Abnormality Detection Method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016179146A JP6643211B2 (ja) | 2016-09-14 | 2016-09-14 | 異常検知システム及び異常検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018045403A true JP2018045403A (ja) | 2018-03-22 |
| JP6643211B2 JP6643211B2 (ja) | 2020-02-12 |
Family
ID=61560837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016179146A Active JP6643211B2 (ja) | 2016-09-14 | 2016-09-14 | 異常検知システム及び異常検知方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20180075235A1 (ja) |
| JP (1) | JP6643211B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200005206A (ko) * | 2018-07-06 | 2020-01-15 | 에임시스템 주식회사 | 기계 학습 기반의 설비 이상 분류 시스템 및 방법 |
| JP2020150692A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | モータ劣化傾向監視システム |
| JP2021052136A (ja) * | 2019-09-26 | 2021-04-01 | 株式会社ディスコ | 加工装置 |
| WO2021149226A1 (ja) * | 2020-01-23 | 2021-07-29 | 三菱電機株式会社 | アノマリ検知装置、アノマリ検知方法及びアノマリ検知プログラム |
| WO2021199160A1 (ja) * | 2020-03-30 | 2021-10-07 | 日本電気株式会社 | 情報処理装置、情報処理方法、記録媒体、情報処理システム |
| WO2022168468A1 (ja) * | 2021-02-08 | 2022-08-11 | オムロン株式会社 | 周期動作検知装置、周期動作検知方法及び周期動作検知プログラム |
| WO2022176298A1 (ja) * | 2021-02-22 | 2022-08-25 | 三菱電機株式会社 | データ分析装置、データ分析システムおよびプログラム |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11244048B2 (en) * | 2017-03-03 | 2022-02-08 | Nippon Telegraph And Telephone Corporation | Attack pattern extraction device, attack pattern extraction method, and attack pattern extraction program |
| EP3407273A1 (de) * | 2017-05-22 | 2018-11-28 | Siemens Aktiengesellschaft | Verfahren und anordnung zur ermittlung eines anomalen zustands eines systems |
| US10469307B2 (en) * | 2017-09-26 | 2019-11-05 | Cisco Technology, Inc. | Predicting computer network equipment failure |
| US11150630B2 (en) * | 2017-10-19 | 2021-10-19 | International Business Machines Corporation | Predictive maintenance utilizing supervised sequence rule mining |
| WO2019202711A1 (ja) * | 2018-04-19 | 2019-10-24 | 日本電気株式会社 | ログ分析システム、ログ分析方法及び記録媒体 |
| US10679065B2 (en) * | 2018-07-03 | 2020-06-09 | Hitachi, Ltd. | Non-invasive data extraction from digital displays |
| US20220114253A1 (en) * | 2019-02-04 | 2022-04-14 | Nec Corporation | Action plan estimation apparatus, action plan estimation method, and computer-readable recording medium |
| CN111949480B (zh) * | 2020-08-10 | 2023-08-11 | 重庆大学 | 一种基于组件感知的日志异常检测方法 |
| US20220180247A1 (en) * | 2020-12-04 | 2022-06-09 | Oracle International Corporation | Detecting associated events |
| CN113032226A (zh) * | 2021-05-28 | 2021-06-25 | 北京宝兰德软件股份有限公司 | 异常日志的检测方法、装置、电子设备及存储介质 |
| US20230032678A1 (en) * | 2021-07-29 | 2023-02-02 | Micro Focus Llc | Abnormality detection in log entry collection |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006079479A (ja) * | 2004-09-10 | 2006-03-23 | Japan Science & Technology Agency | 時系列データ判定方法 |
| JP2008041041A (ja) * | 2006-08-10 | 2008-02-21 | Hitachi Information Systems Ltd | ログ通知条件定義支援装置とログ監視システムおよびプログラムとログ通知条件定義支援方法 |
| JP2011227706A (ja) * | 2010-04-20 | 2011-11-10 | Hitachi Ltd | 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム |
| JP2012137934A (ja) * | 2010-12-27 | 2012-07-19 | Hitachi Ltd | 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム並びに企業資産管理・設備資産管理システム |
| WO2012160637A1 (ja) * | 2011-05-23 | 2012-11-29 | 富士通株式会社 | メッセージ判定装置およびメッセージ判定プログラム |
| JP2014010666A (ja) * | 2012-06-29 | 2014-01-20 | Fujitsu Ltd | 情報出力装置、方法及びプログラム |
| JP2014035749A (ja) * | 2012-08-10 | 2014-02-24 | Nippon Telegr & Teleph Corp <Ntt> | ログ生成則作成装置及び方法 |
| WO2014196129A1 (ja) * | 2013-06-03 | 2014-12-11 | 日本電気株式会社 | 障害分析装置、障害分析方法、および、記録媒体 |
| WO2015045262A1 (ja) * | 2013-09-24 | 2015-04-02 | 日本電気株式会社 | ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体 |
| WO2016031681A1 (ja) * | 2014-08-25 | 2016-03-03 | 日本電信電話株式会社 | ログ分析装置、ログ分析システム、ログ分析方法及びコンピュータプログラム |
| JP2016058027A (ja) * | 2014-09-12 | 2016-04-21 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データ処理装置、データ処理方法、およびプログラム |
| JP2016076075A (ja) * | 2014-10-06 | 2016-05-12 | 富士通株式会社 | フィルタルール作成装置、フィルタルール作成方法、およびプログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110154117A1 (en) * | 2009-12-22 | 2011-06-23 | General Electric Company, A New York Corporation | Methods and apparatus to perform log file analyses |
| US10282546B1 (en) * | 2016-06-21 | 2019-05-07 | Symatec Corporation | Systems and methods for detecting malware based on event dependencies |
-
2016
- 2016-09-14 JP JP2016179146A patent/JP6643211B2/ja active Active
-
2017
- 2017-04-24 US US15/495,213 patent/US20180075235A1/en not_active Abandoned
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006079479A (ja) * | 2004-09-10 | 2006-03-23 | Japan Science & Technology Agency | 時系列データ判定方法 |
| JP2008041041A (ja) * | 2006-08-10 | 2008-02-21 | Hitachi Information Systems Ltd | ログ通知条件定義支援装置とログ監視システムおよびプログラムとログ通知条件定義支援方法 |
| JP2011227706A (ja) * | 2010-04-20 | 2011-11-10 | Hitachi Ltd | 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム |
| JP2012137934A (ja) * | 2010-12-27 | 2012-07-19 | Hitachi Ltd | 異常検知・診断方法、異常検知・診断システム、及び異常検知・診断プログラム並びに企業資産管理・設備資産管理システム |
| WO2012160637A1 (ja) * | 2011-05-23 | 2012-11-29 | 富士通株式会社 | メッセージ判定装置およびメッセージ判定プログラム |
| JP2014010666A (ja) * | 2012-06-29 | 2014-01-20 | Fujitsu Ltd | 情報出力装置、方法及びプログラム |
| JP2014035749A (ja) * | 2012-08-10 | 2014-02-24 | Nippon Telegr & Teleph Corp <Ntt> | ログ生成則作成装置及び方法 |
| WO2014196129A1 (ja) * | 2013-06-03 | 2014-12-11 | 日本電気株式会社 | 障害分析装置、障害分析方法、および、記録媒体 |
| WO2015045262A1 (ja) * | 2013-09-24 | 2015-04-02 | 日本電気株式会社 | ログ分析システム、障害原因分析システム、ログ分析方法、および、プログラムを記憶する記録媒体 |
| WO2016031681A1 (ja) * | 2014-08-25 | 2016-03-03 | 日本電信電話株式会社 | ログ分析装置、ログ分析システム、ログ分析方法及びコンピュータプログラム |
| JP2016058027A (ja) * | 2014-09-12 | 2016-04-21 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データ処理装置、データ処理方法、およびプログラム |
| JP2016076075A (ja) * | 2014-10-06 | 2016-05-12 | 富士通株式会社 | フィルタルール作成装置、フィルタルール作成方法、およびプログラム |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200005206A (ko) * | 2018-07-06 | 2020-01-15 | 에임시스템 주식회사 | 기계 학습 기반의 설비 이상 분류 시스템 및 방법 |
| KR102501883B1 (ko) * | 2018-07-06 | 2023-02-21 | 에임시스템 주식회사 | 기계 학습 기반의 설비 이상 분류 시스템 및 방법 |
| JP2020150692A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | モータ劣化傾向監視システム |
| JP7170564B2 (ja) | 2019-03-14 | 2022-11-14 | 三菱電機株式会社 | モータ劣化傾向監視システム |
| JP2021052136A (ja) * | 2019-09-26 | 2021-04-01 | 株式会社ディスコ | 加工装置 |
| WO2021149226A1 (ja) * | 2020-01-23 | 2021-07-29 | 三菱電機株式会社 | アノマリ検知装置、アノマリ検知方法及びアノマリ検知プログラム |
| JPWO2021149226A1 (ja) * | 2020-01-23 | 2021-07-29 | ||
| JP7016459B2 (ja) | 2020-01-23 | 2022-02-04 | 三菱電機株式会社 | アノマリ検知装置、アノマリ検知方法及びアノマリ検知プログラム |
| WO2021199160A1 (ja) * | 2020-03-30 | 2021-10-07 | 日本電気株式会社 | 情報処理装置、情報処理方法、記録媒体、情報処理システム |
| WO2022168468A1 (ja) * | 2021-02-08 | 2022-08-11 | オムロン株式会社 | 周期動作検知装置、周期動作検知方法及び周期動作検知プログラム |
| WO2022176298A1 (ja) * | 2021-02-22 | 2022-08-25 | 三菱電機株式会社 | データ分析装置、データ分析システムおよびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180075235A1 (en) | 2018-03-15 |
| JP6643211B2 (ja) | 2020-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6643211B2 (ja) | 異常検知システム及び異常検知方法 | |
| US11586972B2 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
| US10515002B2 (en) | Utilizing artificial intelligence to test cloud applications | |
| CN110574338B (zh) | 根本原因发现方法及系统 | |
| US9652318B2 (en) | System and method for automatically managing fault events of data center | |
| US9612898B2 (en) | Fault analysis apparatus, fault analysis method, and recording medium | |
| US10600002B2 (en) | Machine learning techniques for providing enriched root causes based on machine-generated data | |
| JP6919569B2 (ja) | ログ分析システム、方法、及び記録媒体 | |
| US20200184072A1 (en) | Analysis device, log analysis method, and recording medium | |
| US11860721B2 (en) | Utilizing automatic labelling, prioritizing, and root cause analysis machine learning models and dependency graphs to determine recommendations for software products | |
| US20160098390A1 (en) | Command history analysis apparatus and command history analysis method | |
| US9860109B2 (en) | Automatic alert generation | |
| KR20170035892A (ko) | 온라인 서비스의 거동 변화의 인식 기법 | |
| Lal et al. | Root cause analysis of software bugs using machine learning techniques | |
| US20220350733A1 (en) | Systems and methods for generating and executing a test case plan for a software product | |
| US20230205516A1 (en) | Software change analysis and automated remediation | |
| WO2020140624A1 (zh) | 从日志中提取数据的方法和相关设备 | |
| US11757708B2 (en) | Anomaly detection device, anomaly detection method, and anomaly detection program | |
| Lee et al. | DC-Prophet: Predicting Catastrophic Machine Failures in D ata C enters | |
| JP6191440B2 (ja) | スクリプト管理プログラム、スクリプト管理装置及びスクリプト管理方法 | |
| JP6201079B2 (ja) | 監視システムおよび監視方法 | |
| JP2019049802A (ja) | 障害解析支援装置、インシデント管理システム、障害解析支援方法及びプログラム | |
| US20230237366A1 (en) | Scalable and adaptive self-healing based architecture for automated observability of machine learning models | |
| US20190294523A1 (en) | Anomaly identification system, method, and storage medium | |
| CN115349129A (zh) | 生成具有不确定性区间的性能预测 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181009 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190815 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190820 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190912 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191217 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200106 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6643211 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |