JP2019101712A - Abnormality estimation device, abnormality estimation method and program - Google Patents

Abnormality estimation device, abnormality estimation method and program Download PDF

Info

Publication number
JP2019101712A
JP2019101712A JP2017231355A JP2017231355A JP2019101712A JP 2019101712 A JP2019101712 A JP 2019101712A JP 2017231355 A JP2017231355 A JP 2017231355A JP 2017231355 A JP2017231355 A JP 2017231355A JP 2019101712 A JP2019101712 A JP 2019101712A
Authority
JP
Japan
Prior art keywords
abnormality
estimation
communication network
model
causal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017231355A
Other languages
Japanese (ja)
Other versions
JP6835702B2 (en
Inventor
松尾 洋一
Yoichi Matsuo
洋一 松尾
暁 渡邉
Akira Watanabe
暁 渡邉
敬志郎 渡辺
Keishiro Watanabe
敬志郎 渡辺
川原 亮一
Ryoichi Kawahara
亮一 川原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017231355A priority Critical patent/JP6835702B2/en
Publication of JP2019101712A publication Critical patent/JP2019101712A/en
Application granted granted Critical
Publication of JP6835702B2 publication Critical patent/JP6835702B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To shorten time required for estimating a position and a factor of irregular type abnormality.SOLUTION: An abnormality estimation device for estimating a position of abnormality in a communication network comprises: first estimation means for calculating a maximum posterior probability using a causal model which indicates a causal relation between an apparatus constituting the communication network and observation information of the apparatus and thereby estimating the position of abnormality in the case where abnormality having occurred in the communication network is a regular type abnormality; abnormality class determination means for determining whether or not the abnormality is an irregular type abnormality on the basis of the maximum posterior probability calculated by the estimation means; and second estimation means for, if the abnormality is determined as the irregular type abnormality by the abnormality class determination means, estimating the position of abnormality in the case where the abnormality is the irregular abnormality, using a correction model obtained by correcting the causal model by difference between distribution of regular abnormalities and distribution of irregular abnormalities.SELECTED DRAWING: Figure 1

Description

本発明は、異常推定装置、異常推定方法及びプログラムに関する。   The present invention relates to an abnormality estimation apparatus, an abnormality estimation method, and a program.

通信ネットワークで発生した異常の対応は、異常検知、異常箇所・要因の特定、復旧の順に行われる。異常箇所・要因の特定では、例えば、因果モデルによる異常箇所・要因の推定手法が行われている(非特許文献1〜3参照)。因果モデルによる異常箇所・要因の推定手法は、学習フェーズと推論フェーズとの2つのフェーズから構成される。   The correspondence of the abnormality which generate | occur | produced in the communication network is performed in order of abnormality detection, identification of an abnormal place and a factor, and restoration. In the identification of the abnormal part / factor, for example, a method of estimating the abnormal part / factor by a causal model is performed (see Non-Patent Documents 1 to 3). The method of estimating an abnormal place and factor by a causal model is composed of two phases of a learning phase and an inference phase.

学習フェーズでは、通信ネットワークシステムの構成要素であるルータやサーバ等の異常と、通信ネットワークシステムの構成要素から得られるエラーログやアラート、トラヒック量等を表す様々な観測情報の値との因果関係を表す因果モデルを構築する。   In the learning phase, the causal relationship between abnormalities in routers and servers that are components of the communication network system and the values of various observation information representing error logs and alerts obtained from the components of the communication network system, etc. Construct a causal model to represent.

因果モデルは、例えば、通信ネットワークシステムの構成要素の1つ1つを機器・要因状態層のノードとし、各ノードで異常が発生した場合に影響を与える観測状態層のノードに向かって重み付きのエッジを張ることで構築される。この重みは条件付き確率で規定される。通信ネットワークシステムの専門家の知識や過去に発生した異常の事例情報等に基づいて、全てのノードに対して重み付きエッジを張ることで、通信ネットワークシステム全体の因果関係を記述した因果モデルが得られる。   In the causal model, for example, each component of the communication network system is a node of the device / factor state layer, and weighted toward the nodes of the observation state layer that affects when an abnormality occurs in each node. It is built by putting an edge. This weight is defined by the conditional probability. By applying weighted edges to all nodes based on the knowledge of an expert of the communication network system and the case information of an abnormality that has occurred in the past, etc., a causal model describing the causality of the entire communication network system is obtained. Be

推論フェーズでは、通信ネットワークシステムで異常が発生したときに得られる観測情報の値と、学習フェーズで作成した因果モデルとから、事前確率と条件付き確率とが最大になるようにエッジを逆に辿ることで、異常箇所・要因を推定する。なお、事前確率と条件付き確率とが最大となる場合の事後確率を最大事後確率と呼び、この時の機器・要因状態層の値が推定結果である。   In the inference phase, the edge is traced backward so that the prior probability and the conditional probability become maximum from the value of observation information obtained when an abnormality occurs in the communication network system and the causal model created in the learning phase To estimate the location of the anomaly The posterior probability when the a priori probability and the conditional probability become maximum is called the maximum posterior probability, and the value of the device / factor state layer at this time is the estimation result.

ここで、因果モデルは、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて構築されるが、構築された因果モデルは必ずしも正確でない場合がある。例えば、因果モデルには、過去に発生したことがない異常が発生した場合の因果関係は記述されない。また、通信ネットワークシステムを構成する機器が更改された場合等には、当該機器を示すノードと、観測状態層のノードとの因果関係が変わる場合もあり、学習フェーズのみで通信ネットワークシステム全体の因果関係を正確に記述した因果モデルを構築することは困難である。   Here, although the causal model is constructed based on the configuration information of the communication network, the case information of the abnormality that has occurred in the past, etc., the constructed causal model may not necessarily be accurate. For example, the causal model does not describe the causal relationship when an abnormality that has never occurred in the past has occurred. In addition, when the devices constituting the communication network system are renewed, the causal relationship between the node indicating the device and the nodes in the observation state layer may change, and the cause and effect of the entire communication network system only in the learning phase. It is difficult to construct a causal model that accurately describes the relationship.

また、異常が発生しても機器がアラートを出力しない場合や観測情報の分析ミス等によって観測状態層のノードを異常状態と推定してしまう場合がある。このように、本来の観測情報の状態(言い換えれば、真の観測状態)を必ずしも容易に判断できない場合がある。このような異常は非定型異常と呼ばれる。一方で、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて構築される因果モデルで推定可能な異常は定型異常と呼ばれる。   In addition, even if an abnormality occurs, the device may not output an alert, or a node in the observation state layer may be estimated as an abnormal state due to an analysis error of observation information or the like. Thus, there are cases where it is not always easy to determine the state of the original observation information (in other words, the true observation state). Such abnormalities are called atypical abnormalities. On the other hand, an abnormality that can be estimated by a causal model that is constructed based on configuration information of a communication network, case information of an abnormality that has occurred in the past, or the like is called a fixed abnormality.

これに対して、観測情報の不正確性に対応する関数を導入し、推定時に因果モデルの修正を行うことで、非定型異常の異常箇所・要因も推定可能な因果モデルによる異常箇所・要因の推定手法が提案されている(非特許文献4参照)。   On the other hand, by introducing a function corresponding to the imprecision of observation information and correcting the causal model at the time of estimation, the abnormal place / factor of the atypical abnormality can be estimated by the causal model which can also be estimated. An estimation method has been proposed (see Non-Patent Document 4).

Srikanth Kandula, Dina Katabi, and Jean-philippe Vasseur. Shrink: A tool for failure diagnosis in IP networks. Proceedings of the 2005 ACM SIGCOMM workshop on Mining network data, pages 173-178, 2005.Shrink: A tool for failure diagnosis in IP networks. Proceedings of the 2005 ACM SIGCOMM workshop on Mining network data, pages 173-178, 2005. R.R. Kompella, J. Yates, A. Greenberg, and A.C. Snoeren. IP Fault Localization via Risk Modeling. IEEE Transactions on Dependable and Secure Computing, 7(4):1-14, 2010.IP Fault Localization via Risk Modeling. IEEE Transactions on Dependable and Secure Computing, 7 (4): 1-14, 2010. R. R. Kompella, J. Yates, A. Greenberg, and A. C. Snoeren. He Yan, Lee Breslau, Zihui Ge, Dan Massey, Dan Pei, and Jennifer Yates. G-RCA: A Generic Root Cause Analysis Platform for Service Quality Management in Large IP Networks. IEEE/ACM Transactions on Networking, 20(6):1734-1747, 2012.G-RCA: A Generic Root Cause Analysis Platform for Service Quality Management in Large IP Networks. IEEE / ACM Transactions on Networking, 20 (6): 1734-1747, 2012. 松尾洋一, 中野雄介, 渡邉暁, 渡辺敬志郎, 石橋圭介, 川原亮一, "非定型故障の原因箇所推定技術の検討," 信学会総合大会, B-7-35, 2017.Youichi Matsuo, Yusuke Nakano, Watanabe, Keishiro Watanabe, Keisuke Ishibashi, Keiichi Kawahara, "Study on technique for estimating the cause of atypical failure," Proceedings of the IEICE General Conference, B-7-35, 2017.

ところで、通信ネットワークで発生した異常が非定型異常であった場合、例えば、機器と観測情報との因果関係は事前に構築した因果モデルと異なることがある。そこで、非特許文献4では、最大事後確率pと、エッジに変更を与える関数及び観測状態に対するノイズを与える関数による変換度合いの大きさとを比較しながら、因果モデルを修正する修正候補を全パターン試し(すなわち、修正候補の全探索を行って)、当該因果モデルを修正することで、非定型異常が発生した場合における異常箇所・要因の推定を可能としている。しかしながら、非特許文献4に開示されている推定手法では、機器数や観測数が増加すると、因果モデルの修正候補が組み合わせ的に増加する。例えば、機器・要因数をN、観測数をMとした場合、その組み合わせ数は2×2となる。 By the way, when the abnormality which generate | occur | produced in the communication network is atypical abnormality, for example, the causal relationship between an apparatus and observation information may differ from the causal model built beforehand. Therefore, in Non-Patent Document 4, all candidate patterns for correcting the causal model are trialed while comparing the maximum a posteriori probability p and the degree of conversion by the function that changes the edge and the function that adds noise to the observation state. By correcting the causal model (that is, performing a full search of correction candidates), it is possible to estimate an abnormal part / factor when an atypical abnormality occurs. However, in the estimation method disclosed in Non-Patent Document 4, as the number of devices and the number of observations increase, correction candidates for the causal model increase in combination. For example, when the number of devices and factors is N and the number of observations is M, the number of combinations is 2 N × 2 M.

このため、非特許文献4に開示されている推定手法では、異常箇所・要因の推定に膨大な時間を要していた。   For this reason, in the estimation method disclosed in Non-Patent Document 4, it takes an enormous amount of time to estimate an abnormal part / factor.

本発明は、上記の点に鑑みてなされたもので、非定型異常の異常箇所・要因の推定に要する時間を短縮させることを目的とする。   The present invention has been made in view of the above-described points, and an object thereof is to shorten the time required to estimate an abnormal part / factor of an atypical abnormality.

そこで、本発明の実施の形態では、通信ネットワークの異常箇所を推定する異常推定装置であって、前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手段と、前記推定手段により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手段と、前記異常種別判定手段により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差によって前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手段と、を有することを特徴とする。   So, in the embodiment of the present invention, it is an abnormality estimating device which estimates an abnormal part of a communication network, and uses a causal model representing a causal relationship between a device forming the communication network and observation information of the device. Calculating a maximum a posteriori probability, based on a first estimation means for estimating the abnormal point in the case where the abnormality occurring in the communication network is a fixed abnormality, and the maximum posterior probability calculated by the estimation means; Distribution of fixed type abnormality and distribution of fixed type abnormality when the type is determined as abnormal by the abnormality type determination unit that determines whether the abnormality is the atypical abnormality, and the abnormality type determination unit determines by the abnormality type determination unit Second estimation means for estimating the abnormal portion in the case where the abnormality is an atypical abnormality using a correction model obtained by correcting the causal model by a difference between Characterized in that it.

非定型異常の異常箇所・要因の推定に要する時間を短縮させることができる。   It is possible to shorten the time required to estimate the abnormal part / factor of the atypical abnormality.

本発明の実施の形態における異常推定装置の機能構成の一例を示す図である。It is a figure which shows an example of a function structure of the abnormality estimation apparatus in embodiment of this invention. 本発明の実施の形態における因果モデルの構築処理の一例を示すフローチャートである。It is a flowchart which shows an example of the construction | assembly process of the causal model in embodiment of this invention. 本発明の実施の形態における異常推定処理の一例を示すフローチャートである。It is a flowchart which shows an example of the abnormality estimation process in embodiment of this invention. 本発明の実施の形態における異常推定装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the abnormality estimation apparatus in embodiment of this invention.

以下、本発明の実施の形態について、図面を参照しながら説明する。以降では、因果モデルによる異常箇所・要因の推定手法により、通信ネットワークで発生した異常の異常箇所・要因を推定する異常推定装置10について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following, an abnormality estimation apparatus 10 will be described which estimates an abnormal part / factor of an abnormality generated in a communication network by a method of estimating an abnormal part / factor using a causal model.

因果モデルによる異常箇所・要因の推定手法では、現在の観測情報の値に対して、事前確率と条件付き確率とが最大となる事後確率(最大事後確率)を計算することで、機器・要因状態層を推定する。   In the method of estimating an abnormal place or factor using a causal model, the device / factor state is calculated by calculating the posterior probability (maximum a posteriori probability) in which the a priori probability and the conditional probability become maximum with respect to the current observation information value. Estimate the layer.

そこで、本発明の実施の形態では、機器・要因の状態層X=(x,・・・,x)と、観測情報の状態層Y=(y,・・・,y)とを結んだ有向マルコフモデルにおいて事前確率と条件付き確率とを定義し、これらの事前確率と条件付き確率とによって事後確率を新たに定義する。学習フェーズでは、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、この事後確率により表されるモデル(因果モデル)を構築する。そして、推論フェーズでは、現在の観測情報の値に対して、この事後確率を最大化させる機器・要因の状態を推定することで、異常箇所・要因を推定する。 Therefore, in the embodiment of the present invention, the device / factor state layer X = (x 1 ,..., X N ) and the observation information state layer Y = (y 1 ,..., Y M ) In the directed Markov model connecting を, a prior probability and a conditional probability are defined, and a posteriori probability is newly defined by the prior probability and the conditional probability. In the learning phase, a model (causal model) represented by this a posteriori probability is constructed based on the configuration information of the communication network, the case information of the abnormality that has occurred in the past, and the like. Then, in the inference phase, the abnormal point / factor is estimated by estimating the state of the device / factor which maximizes this a posteriori probability with respect to the value of the current observation information.

なお、観測情報は、上述したように、例えば、通信ネットワークシステムの構成要素から得られるエラーログやアラート、トラヒック量等を表す情報である。観測情報の値(観測値)は、例えば、エラーログやアラートである場合に「1」、そうでない場合に「0」となる。同様に、観測情報の値(観測値)は、例えば、機器のトラヒック量が或る閾値を超えた場合に「1」、そうでない場合に「0」となる。   As described above, the observation information is, for example, information representing an error log or an alert obtained from a component of the communication network system, a traffic amount, and the like. The value of the observation information (observation value) is, for example, “1” in the case of an error log or an alert, and “0” otherwise. Similarly, the value of the observation information (observation value) is, for example, “1” when the traffic volume of the device exceeds a certain threshold, and “0” otherwise.

<事前確率>
まず、事前確率を定義する。xを機器・要因iの状態とし、xは0又は1を取る確率変数とする。ここで、0は正常状態を表し、1は異常状態を表すものとする。また、N個の機器・要因iの状態に対して、機器・要因の状態層XをX=(x,・・・,x)とし、 <Prior probability>
First, define the prior probability. Let x i be the state of device factor i, and x i be a random variable taking 0 or 1. Here, 0 represents a normal state, and 1 represents an abnormal state. Also, for the state of N devices / factor i, let X = (x 1 ,..., X N ) be the state layer X of the device / factor,

Figure 2019101712
とする。ここで、αは機器・要因の異常度合を表す事前確率のパラメータである。
Figure 2019101712
 I assume. Here, α is a parameter of the prior probability representing the degree of abnormality of the device / factor.

このとき、N個の機器・要因群に対して、事前確率P(X|α)を以下の数2で定義する。   At this time, the prior probability P (X | α) is defined by the following equation 2 for N devices and factor groups.

Figure 2019101712
Figure 2019101712

<条件付き確率>
次に条件付き確率を定義する。yを観測情報jの観測値とし、yは0又は1を取る確率変数とする。ここで、0は正常状態が観測されたことを表し、1は異常状態が観測されたことを表すものとする。また、M個の観測情報jの観測値に対して、観測情報の状態層YをY=(y,・・・,y)とする。 <Conditional probability>
Next we define the conditional probability. the y j to the observed value of the observation information j, y j is a random variable that takes 0 or 1. Here, 0 represents that a normal state was observed, and 1 represents that an abnormal state was observed. Further, for the observed values of M pieces of observation information j, the state layer Y of the observation information is Y = (y 1 ,..., Y M ).

更に、zを異常の種別を表す確率変数とする。zは1又は2を取り、z=1は定型異常、z=2は非定型異常を表すものとし、   Furthermore, let z be a random variable representing the type of abnormality. z takes 1 or 2, z = 1 represents a typical abnormality, and z = 2 represents an atypical abnormality,

Figure 2019101712
とする。ここで、γは定型異常又は非定型異常の出現のし易さを表すパラメータである。なお、通信ネットワークで異常が発生した場合、zの値が1であるか又は2であるかは決定されている(言い換えれば、通信ネットワークで発生した異常が定型異常又は非定型異常のいずれであるかは決定されている)が、本実施形態ではzを確率変数として扱う。
Figure 2019101712
 I assume. Here, γ is a parameter representing the ease of appearance of a typical abnormality or an atypical abnormality. When an abnormality occurs in the communication network, it is determined whether the value of z is 1 or 2 (in other words, the abnormality generated in the communication network is either a fixed abnormality or an unfixed abnormality) However, in the present embodiment, z is treated as a random variable.

また、φを機器・要因の状態層Xと観測情報の状態層Yとの因果関係の有無を表す分布とする。機器・要因iの状態xと、観測情報jの観測値yとに対して、φ i,jは定型異常が発生した場合の因果関係の有無を表す分布であり、例えば非特許文献1〜3に開示されている手法を用いて決定される。なお、φ i,jは決定的に決まる分布であるが、本実施形態では確率分布として扱う。 Also, let φ z be a distribution that represents the presence or absence of a causal relationship between the device / factor state layer X and the observation information state layer Y. A state x i of the device-factor i, with respect to the observed value y j observation information j, phi 1 i, j is a distribution representing the presence or absence of a causal relationship when the standard error occurs, for example, non-patent literature It is determined using the method disclosed in 1-3. Note that φ 1 i, j is a distribution that is determined decisively, but is treated as a probability distribution in this embodiment.

一方で、機器・要因iの状態xと、観測情報jの観測値yとに対して、φ i,jは非定型異常が発生した場合の因果関係を表す分布であり、 On the other hand, the state x i of the device-factor i, with respect to the observed value y j observation information j, phi 2 i, j is a distribution representing the causal relationship when the atypical abnormality occurs,

Figure 2019101712
とする。ここで、θはパラメータである。
Figure 2019101712
 I assume. Here, θ is a parameter.

このとき、δをデルタ関数とし、真であれば1を、そうでなければ0を返す関数として、条件付き確率P(Y|X,z,φ,φ,)を以下の数5で定義する。 At this time, the conditional probability P (Y | X, z, φ 1 , φ 2 ,) is given by the following equation 5 with δ as a delta function, and 1 if true, and 0 otherwise. Define.

Figure 2019101712
ここで、βは、機器・要因群の異常と、異常状態を示す観測値との因果関係の影響度合いを表す条件付き確率のパラメータである。また、cは規格化定数である。
Figure 2019101712
 Here, β is a parameter of conditional probability that represents the degree of influence of a causal relationship between an abnormality of the device / factor group and an observed value indicating an abnormal state. Also, c is a normalization constant.

<事後確率>
次に、事後確率を定義する。上記の数2で定義した事前確率と、上記の数5で定義した条件付き確率とを用いて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)は、以下の数6で定義される。 <Post-Probability>
Next, we define the posterior probability. The posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) using the prior probability defined by the above equation 2 and the conditional probability defined by the above equation 5 Is defined by the following equation 6.

Figure 2019101712
この事後確率が学習フェーズで構築される因果モデルである。
Figure 2019101712
 This posterior probability is a causal model constructed in the learning phase.

<異常箇所・要因の推定>
次に、上記の数6で定義した事後確率P(X,Y,z,φ,φ,θ,α,β,γ)を用いて異常箇所・要因を推定する場合について説明する。通信ネットワークで発生した異常の種別が定型異常である場合、現在の観測情報に対して、z=1として、以下の数7により最大事後確率p^と、以下の数8により機器・要因状態X^とを計算する。 <Estimation of abnormal place / factor>
Next, the case where an abnormal part and factor are estimated using the posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) defined by the above equation 6 will be described. If the type of the abnormality generated in the communication network is a fixed abnormality, with the current observation information, assuming z = 1, the maximum posterior probability p ^ by the following equation 7 and the device / factor state X by the following equation 8 Calculate ^.

Figure 2019101712
Figure 2019101712

Figure 2019101712
この機器・要因状態X^が定型異常である場合の推定結果(例えば、異常箇所・要因の推定結果)である。なお、上記の数7及び数8は、例えば、確率伝搬法等を用いて計算することができる。確率伝搬法については、例えば、参考文献「Bishop, Christopher M. (2006), Pattern Recognition and Machine Learning, Springer, ISBN 0-387-31073-8」を参照されたい。
Figure 2019101712
 This is an estimation result (for example, an estimation result of an abnormal part or factor) when the device / factor state X ^ is a fixed abnormality. The above equations (7) and (8) can be calculated using, for example, a probability propagation method or the like. For the probability propagation method, see, for example, bibliography Bishop, Christopher M. (2006), Pattern Recognition and Machine Learning, Springer, ISBN 0-387-31073-8.

一方で、通信ネットワークで発生した異常の種別が非定型異常である場合、現在の観測情報に対して、z=2として、以下の数9により機器・要因状態X^を計算する。   On the other hand, when the type of abnormality occurring in the communication network is an atypical abnormality, the device / factor state X ^ is calculated by the following equation 9 with z = 2 for the current observation information.

Figure 2019101712
ここで、c´は規格化定数である。
Figure 2019101712
 Here, c 'is a normalization constant.

この機器・要因状態X^が非定型異常である場合の推定結果である。なお、上記の数9は、例えば、ギブスサンプリング等を用いて計算することができる。ギブスサンプリングについては上記の参考文献を参照されたい。   It is an estimation result when this equipment / factorial state X ^ is an atypical abnormality. The above equation (9) can be calculated using, for example, Gibbs sampling or the like. See the above references for Gibbs sampling.

上記の数9は、φにより非定型異常の因果関係を表し、θとφとを変化させつつ、φとφとが乖離し過ぎないようにするペナルティ項τ(|φ−φ)を導入することで、非定型異常時の因果関係を推定する問題とした。言い換えれば、数9は、φとφとの乖離度(分布の差)に重み付けを調整する任意の定数τを乗じた値をペナルティ項として導入し、事後確率が最大となるX、θ、φを求める問題である。なお、|・|はL2ノルムである。ペナルティ項はφとφとの乖離度に基づく値であれば良く、例えば、L1ノルム等が用いられても良い。 The above numbers 9, phi 2 by representing the causal relationship between atypical abnormal, while changing the θ and phi 2, phi 1 and phi 2 and the penalty term to avoid excessively deviate τ (| φ 1 - By introducing φ 2 | 2 ), it is a problem to estimate the causal relationship at the time of atypical abnormality. In other words, Equation 9 introduces as a penalty term a value obtained by multiplying the degree of deviation (difference in distribution) between φ 1 and φ 2 by an arbitrary constant τ that adjusts weighting, and X, θ that maximizes the posterior probability , Φ 2 is a problem. Note that | · | 2 is the L2 norm. Penalty term may be a value based on the deviation degree between the phi 1 and phi 2, for example, L1 norm or the like may be used.

このように確率モデルで定式化することで、ギブスサンプリング等の手法を使用でき、全探索する必要がなくなるため計算時間を短縮することができる。   Thus, by formulating with a probability model, methods such as Gibbs sampling can be used, and since it is not necessary to search all, calculation time can be shortened.

<機能構成>
次に、本発明の実施の形態における異常推定装置10の機能構成について、図1を参照しながら説明する。図1は、本発明の実施の形態における異常推定装置10の機能構成の一例を示す図である。 <Functional configuration>
Next, the functional configuration of the abnormality estimation device 10 according to the embodiment of the present invention will be described with reference to FIG. FIG. 1 is a diagram showing an example of a functional configuration of the abnormality estimation device 10 according to the embodiment of the present invention.

図1に示すように、本発明の実施の形態における異常推定装置10は、モデル構築部101と、異常推定処理部102と、異常種別判定部103と、UI部104とを有する。また、本発明の実施の形態における異常推定装置10は、モデル構築用情報記憶部105と、因果モデル記憶部106とを記憶する。   As shown in FIG. 1, the abnormality estimation apparatus 10 according to the embodiment of the present invention includes a model construction unit 101, an abnormality estimation processing unit 102, an abnormality type determination unit 103, and a UI unit 104. Further, the abnormality estimation apparatus 10 according to the embodiment of the present invention stores the model construction information storage unit 105 and the causal model storage unit 106.

モデル構築用情報記憶部105は、因果モデルを構築するための情報(例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等)を記憶する。因果モデル記憶部106は、モデル構築部101により構築された因果モデルを示す情報(例えば、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ等)が記憶される。 The model construction information storage unit 105 stores information for constructing a causal model (for example, configuration information of a communication network, case information of an abnormality that has occurred in the past, and the like). The causal model storage unit 106 is information indicating the causal model constructed by the model construction unit 101 (for example, the posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β shown in the above equation 6) , Γ) are stored.

モデル構築部101は、学習フェーズにおいて、モデル構築用情報記憶部105に記憶されている情報(例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等)に基づいて、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルを構築する。例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ(例えば、θ、α、β、γ等)が決定されることで、因果モデルが構築される。 In the learning phase, the model construction unit 101 uses the above number 6 based on the information stored in the model construction information storage unit 105 (for example, configuration information of a communication network, case information of an abnormality that has occurred in the past, etc.). A causal model represented by the a posteriori probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) shown in FIG. For example, each parameter (for example, the posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ)) (for example, based on the configuration information of the communication network or the case information of the abnormality occurred in the past). , Θ, α, β, γ, etc. are determined to construct a causal model.

異常推定処理部102は、推論フェーズにおいて、観測情報を取得する度に、当該観測情報と、モデル構築部101により構築された因果モデルとを用いて、数7に示す最大事後確率p^と、数8に示す機器・要因状態X^とを計算する。また、異常推定処理部102は、異常種別判定部103により異常の種別が非定型異常であると判定された場合、上記の数9に示す機器・要因状態X^とを計算する。   The anomaly estimation processing unit 102 uses the observation information and the causal model constructed by the model construction unit 101 every time observation information is acquired in the inference phase, and the maximum a posteriori probability p ^ shown in Expression 7; The device / factor state X ^ shown in equation 8 is calculated. In addition, when the abnormality type determination unit 103 determines that the type of abnormality is an atypical abnormality, the abnormality estimation processing unit 102 calculates the device / factor state X ^ shown in the above-described equation (9).

すなわち、異常推定処理部102は、通信ネットワークで発生した異常の種別が定型異常である場合には、数8に示す機器・要因状態X^によって異常箇所・要因を推定する。一方で、異常推定処理部102は、通信ネットワークで発生した異常の種別が非定型異常である場合には、モデル構築部101により構築された因果モデルを、定型異常と非定型異常との分布の差とした表現したモデルに修正し、このモデル(以降では「修正モデル」とも表す。)を用いて、数9に示す機器・要因状態X^を計算して、異常箇所・要因を推定する。   That is, when the type of abnormality generated in the communication network is a fixed abnormality, the abnormality estimation processing unit 102 estimates an abnormal part / factor according to the device / factor state X ^ shown in Expression 8. On the other hand, when the type of the abnormality occurring in the communication network is an atypical abnormality, the abnormality estimation processing unit 102 determines that the causal model constructed by the model construction unit 101 has the distribution of the atypical abnormality and the atypical abnormality. A model expressed as a difference is corrected, and the device / factor state X ^ shown in Equation 9 is calculated using this model (hereinafter also referred to as “corrected model”) to estimate an abnormal part / factor.

なお、異常推定装置10は、例えば、各機器のエラーログやアラート、トラヒック量等を収集する収集装置から観測情報を取得しても良いし、異常推定装置10が各機器からエラーログやアラート、トラヒック情報等を収集することで観測情報を取得しても良い。   The abnormality estimation device 10 may acquire observation information from a collection device that collects, for example, error logs and alerts of each device, traffic volume, etc. The error estimation device 10 may acquire error logs and alerts from each device, The observation information may be acquired by collecting traffic information and the like.

異常種別判定部103は、異常推定処理部102により計算された最大事後確率p^に基づいて、通信ネットワークで発生した異常の種別を判定する。異常種別判定部103は、例えば、最大事後確率p^と、予め設定された閾値とを比較し、最大事後確率p^が閾値以上である場合に定型異常、最大事後確率p^が閾値未満である場合に非定型異常と判定すれば良い。なお、異常の種別の判定手法は、これに限られない。ただし、可能な限り判定精度が高い方が好ましい。   The abnormality type determination unit 103 determines the type of abnormality occurring in the communication network based on the maximum a posteriori probability p ^ calculated by the abnormality estimation processing unit 102. The abnormality type determination unit 103 compares, for example, the maximum posterior probability p ^ with a preset threshold, and if the maximum posterior probability p ^ is equal to or greater than the threshold, the fixed abnormality, the maximum posterior probability p ^ is less than the threshold If there is a certain condition, it may be determined as an atypical error. The method of determining the type of abnormality is not limited to this. However, it is preferable that the determination accuracy be as high as possible.

UI部104は、異常推定処理部102による推定結果(すなわち、通信ネットワークで発生した異常箇所・要因)を表示する。通信ネットワークで発生した異常箇所・要因が表示されることで、オペレータ等は、異常箇所・要因に応じた復旧作業を行うことができる。   The UI unit 104 displays the estimation result by the abnormality estimation processing unit 102 (that is, the abnormal place / factor generated in the communication network). By displaying the abnormal part / factor generated in the communication network, the operator or the like can perform the recovery operation according to the abnormal part / factor.

なお、本発明の実施の形態における異常推定装置10は、1台のコンピュータで構成されていても良いし、複数台のコンピュータで構成されていても良い。異常推定装置10が複数台のコンピュータで構成されている場合、当該異常推定装置10が有する各機能部(モデル構築部101、異常推定処理部102、異常種別判定部103、及びUI部104)は、複数台のコンピュータに分散されていても良い。   In addition, the abnormality estimation apparatus 10 in embodiment of this invention may be comprised with one computer, and may be comprised with two or more computers. When the abnormality estimation device 10 is configured by a plurality of computers, each functional unit (the model construction unit 101, the abnormality estimation processing unit 102, the abnormality type determination unit 103, and the UI unit 104) of the abnormality estimation device 10 , May be distributed to a plurality of computers.

また、異常推定装置10が複数台のコンピュータで構成されている場合、当該異常推定装置10が有する各記憶部(モデル構築用情報記憶部105及び因果モデル記憶部106)は、複数台のコンピュータに分散されていても良い。   When the abnormality estimation device 10 is configured of a plurality of computers, each storage unit (model construction information storage unit 105 and causal model storage unit 106) of the abnormality estimation device 10 includes a plurality of computers. It may be distributed.

<因果モデルの構築処理>
次に、本発明の実施の形態における因果モデルの構築処理について、図2を参照しながら説明する。図2は、本発明の実施の形態における因果モデルの構築処理の一例を示すフローチャートである。なお、因果モデルの構築処理は、学習フェーズにおける処理である。 <Causal model construction processing>
Next, a process of constructing a causal model in the embodiment of the present invention will be described with reference to FIG. FIG. 2 is a flowchart showing an example of a process of constructing a causal model in the embodiment of the present invention. The process of constructing a causal model is a process in the learning phase.

ステップS101:モデル構築部101は、例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等をモデル構築用情報記憶部105から取得する。   Step S101: The model construction unit 101 acquires, for example, configuration information of a communication network, case information of an abnormality that has occurred in the past, and the like from the model construction information storage unit 105.

ステップS102:次に、モデル構築部101は、モデル構築用情報記憶部105から取得した情報に基づいて、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルを構築する。モデル構築部101は、例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ(例えば、θ、α、β、γ等)を決定することで、因果モデルを構築される。 Step S102: Next, based on the information acquired from the model construction information storage unit 105, the model construction unit 101 obtains the posterior probability P (X, Y, z, φ 1 , φ 2 , θ , Α, β, γ) construct a causal model. The model construction unit 101 uses, for example, the posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) based on the configuration information of the communication network, the case information of an abnormality that has occurred in the past, and the like. A causal model is constructed by determining each parameter (for example, θ, α, β, γ, etc.) of

そして、モデル構築部101は、構築した因果モデルを示す情報(例えば、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ等)を因果モデル記憶部106に記憶する。 Then, the model construction unit 101 causes the information indicating the constructed causal model (for example, each parameter of the posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ), etc.) to be a causal model It is stored in the storage unit 106.

以上により、本発明の実施の形態における異常推定装置10では、学習フェーズにおいて、数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルが構築される。 As described above, in the abnormality estimation device 10 according to the embodiment of the present invention, in the learning phase, the posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) shown in the equation 6 is displayed. The causal model to be

<異常推定処理>
次に、本発明の実施の形態における異常推定処理について、図3を参照しながら説明する。図3は、本発明の実施の形態における異常推定処理の一例を示すフローチャートである。なお、異常推定処理は、推論フェーズにおける処理である。また、異常推定処理は、観測情報が取得される度に実行される。 <Abnormality estimation processing>
Next, abnormality estimation processing according to the embodiment of the present invention will be described with reference to FIG. FIG. 3 is a flowchart showing an example of the abnormality estimation process in the embodiment of the present invention. The abnormality estimation process is a process in the inference phase. Also, the abnormality estimation process is performed each time observation information is acquired.

ステップS201:まず、異常推定処理部102は、取得した観測情報と、因果モデル記憶部106に記憶されている因果モデルとを用いて、数7に示す最大事後確率p^と、数8に示す機器・要因状態X^とを計算する。これにより、通信ネットワークで発生した異常が定型異常である場合における異常箇所・要因が推定される。   Step S201: First, using the acquired observation information and the causal model stored in the causal model storage unit 106, the abnormality estimation processing unit 102 shows the maximum a posteriori probability p ^ shown in the equation 7 and the equation 8 Calculate device / factor state X ^. As a result, an abnormal part or factor is estimated when the abnormality occurring in the communication network is a fixed abnormality.

ステップS202:異常種別判定部103は、異常推定処理部102により計算された最大事後確率p^に基づいて、通信ネットワークで発生した異常の種別が定型異常又は非定型異常のいずれであるかを判定する。   Step S202: Based on the maximum a posteriori probability p ^ calculated by the abnormality estimation processing unit 102, the abnormality type determination unit 103 determines whether the type of the abnormality generated in the communication network is either a fixed abnormality or an unfixed abnormality. Do.

通信ネットワークで発生した異常の種別が非定型異常であると判定された場合、ステップS203に進み、通信ネットワークで発生した異常の種別が定型異常であると判定された場合、ステップS204に進む。   If it is determined that the type of abnormality occurring in the communication network is an unfixed form abnormality, the process proceeds to step S203, and if it is determined that the type of abnormality occurring in the communication network is a fixed form abnormality, the process proceeds to step S204.

ステップS203:異常種別判定部103により異常の種別が非定型異常であると判定された場合、異常推定処理部102は、観測情報と、修正モデルとを用いて、数9に示す機器・要因状態X^を計算する。これにより、通信ネットワークで発生した異常が非定型異常である場合における異常箇所・要因が推定される。上述したように、数9に示す機器・要因状態X^は、例えば、ギブスサンプリングを用いて計算することができる。このため、非特許文献4に開示されている推定手法のように全探索を行う必要がなくなり、計算時間を短縮することができる。   Step S203: If the abnormality type determination unit 103 determines that the type of abnormality is an atypical abnormality, the abnormality estimation processing unit 102 uses the observation information and the correction model to determine the device / factorial state shown in Equation 9. Calculate X ^. As a result, an abnormal part or factor is estimated when the abnormality occurring in the communication network is an atypical abnormality. As described above, the device factor state X ^ shown in equation 9 can be calculated using, for example, Gibbs sampling. Therefore, it is not necessary to perform a full search as in the estimation method disclosed in Non-Patent Document 4, and the calculation time can be shortened.

ステップS204:UI部104は、ステップS201又はステップS203で計算された機器・要因状態X^(すなわち、通信ネットワークで発生した異常箇所・要因)を表示する。すなわち、通信ネットワークで発生した異常が定型異常である場合には、ステップS201で計算された機器・要因状態X^が表示される。一方で、通信ネットワークで発生した異常が非定型異常である場合には、ステップS203で計算された機器・要因状態X^が表示される。   Step S204: The UI unit 104 displays the device / factor state X ^ (that is, an abnormal place / factor generated in the communication network) calculated in step S201 or step S203. That is, when the abnormality generated in the communication network is a fixed abnormality, the device / factor state X ^ calculated in step S201 is displayed. On the other hand, when the abnormality generated in the communication network is an unfixed form abnormality, the device / factor state X ^ calculated in step S203 is displayed.

以上により、本発明の実施の形態における異常推定装置10では、推論フェーズにおいて、学習フェーズで構築した因果モデルを用いて、異常箇所・要因を推定することができる。しかも、本発明の実施の形態における異常推定装置10では、通信ネットワークで発生した異常の種別が非定型異常である場合には、当該因果モデルを修正したモデルを用いて、異常箇所・要因を推定する。このため、通信ネットワークで発生した異常が非定型異常であっても、異常箇所・要因の推定を短時間で行うことができるようになる。   As described above, in the inference phase, the abnormality estimation device 10 according to the embodiment of the present invention can estimate the abnormal part / factor using the causal model constructed in the learning phase. Moreover, in the abnormality estimation apparatus 10 according to the embodiment of the present invention, when the type of the abnormality generated in the communication network is an atypical abnormality, the abnormality location / factor is estimated using a model obtained by correcting the causal model. Do. For this reason, even if the abnormality generated in the communication network is an atypical abnormality, it is possible to estimate the abnormal part / factor in a short time.

なお、図3に示す例では、ステップS201で数8に示す機器・要因状態X^を計算し、定型異常の場合における異常箇所・要因を推定しているが、この推定は、ステップS202で異常の種別が定型異常であると判定された場合にのみ行われても良い。   In the example shown in FIG. 3, the device / factor state X ^ shown in equation 8 is calculated in step S201, and the abnormal part / factor in the case of the fixed abnormality is estimated. This estimation is abnormal in step S202. It may be performed only when it is determined that the type of is a fixed abnormality.

<ハードウェア構成>
最後に、本発明の実施の形態における異常推定装置10のハードウェア構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における異常推定装置10のハードウェア構成の一例を示す図である。 <Hardware configuration>
Finally, the hardware configuration of the abnormality estimation apparatus 10 according to the embodiment of the present invention will be described with reference to FIG. FIG. 4 is a diagram showing an example of a hardware configuration of the abnormality estimation device 10 according to the embodiment of the present invention.

図4に示すように、本発明の実施の形態における異常推定装置10は、入力装置11と、表示装置12と、外部I/F13と、RAM(Random Access Memory)14と、ROM(Read Only Memory)15と、CPU(Central Processing Unit)16と、通信I/F17と、補助記憶装置18とを有する。これら各ハードウェアは、それぞれがバス19を介して通信可能に接続されている。   As shown in FIG. 4, the abnormality estimation device 10 according to the embodiment of the present invention includes an input device 11, a display device 12, an external I / F 13, a random access memory (RAM) 14, and a read only memory (ROM). ), A CPU (Central Processing Unit) 16, a communication I / F 17, and an auxiliary storage device 18. Each of these pieces of hardware is communicably connected via a bus 19.

入力装置11は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置12は、例えばディスプレイ等であり、異常推定装置10の処理結果を表示する。なお、異常推定装置10は、入力装置11及び表示装置12の少なくとも一方を有していなくても良い。   The input device 11 is, for example, a keyboard, a mouse, a touch panel, etc., and is used by the user to input various operations. The display device 12 is, for example, a display or the like, and displays the processing result of the abnormality estimation device 10. The abnormality estimation device 10 may not have at least one of the input device 11 and the display device 12.

外部I/F13は、外部装置とのインタフェースである。外部装置には、記録媒体13a等がある。異常推定装置10は、外部I/F13を介して、記録媒体13a等の読み取りや書き込みを行うことができる。記録媒体13aには、例えば、本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラムが格納されていても良い。   The external I / F 13 is an interface with an external device. The external device is, for example, a recording medium 13a. The abnormality estimation apparatus 10 can read and write the recording medium 13 a and the like via the external I / F 13. The recording medium 13a may store, for example, a program for realizing each functional unit of the abnormality estimation apparatus 10 according to the embodiment of the present invention.

記録媒体13aには、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等がある。   Examples of the recording medium 13a include a flexible disk, a CD (Compact Disc), a DVD (Digital Versatile Disk), an SD memory card (Secure Digital memory card), and a USB (Universal Serial Bus) memory card.

RAM14は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM15は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。ROM15には、例えば、OS(Operating System)設定やネットワーク設定等が格納されている。CPU16は、ROM15や補助記憶装置18等からプログラムやデータをRAM14上に読み出して処理を実行する演算装置である。   The RAM 14 is a volatile semiconductor memory that temporarily holds programs and data. The ROM 15 is a non-volatile semiconductor memory that can hold programs and data even after the power is turned off. The ROM 15 stores, for example, OS (Operating System) settings, network settings, and the like. The CPU 16 is an arithmetic device that reads a program or data from the ROM 15, the auxiliary storage device 18 or the like onto the RAM 14 and executes processing.

通信I/F17は、異常推定装置10を通信ネットワークに接続するためのインタフェースである。本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラムは、例えば、通信I/F17を介して、所定のサーバ等から取得(ダウンロード)されても良い。   The communication I / F 17 is an interface for connecting the abnormality estimation device 10 to a communication network. A program for realizing each functional unit of the abnormality estimation apparatus 10 according to the embodiment of the present invention may be acquired (downloaded) from, for example, a predetermined server via the communication I / F 17.

補助記憶装置18は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等であり、プログラムやデータを格納している不揮発性の記憶装置である。補助記憶装置18に格納されているプログラムやデータには、例えば、OS、当該OS上において各種機能を実現するアプリケーションプログラム、本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラム等がある。   The auxiliary storage device 18 is, for example, a hard disk drive (HDD) or a solid state drive (SSD), and is a non-volatile storage device storing programs and data. For the programs and data stored in the auxiliary storage device 18, for example, an OS, an application program for realizing various functions on the OS, and each functional unit included in the abnormality estimation apparatus 10 according to the embodiment of the present invention There is a program for

本発明の実施の形態における異常推定装置10が有する各機能部(モデル構築部101、異常推定処理部102、異常種別判定部103、及びUI部104)は、当該異常推定装置10にインストールされた1以上のプログラムがCPU16に実行させる処理により実現される。   The functional units (the model construction unit 101, the abnormality estimation processing unit 102, the abnormality type determination unit 103, and the UI unit 104) included in the abnormality estimation device 10 according to the embodiment of the present invention are installed in the abnormality estimation device 10. One or more programs are realized by processing that the CPU 16 executes.

また、本発明の実施の形態における異常推定装置10が有する各記憶部(モデル構築用情報記憶部105及び因果モデル記憶部106)は、例えば補助記憶装置18を用いて実現される。なお、モデル構築用情報記憶部105及び因果モデル記憶部106の少なくとも一方の記憶部が、例えば、異常推定装置10と通信ネットワークを介して接続される記憶装置等を用いて実現されても良い。   Further, each storage unit (model construction information storage unit 105 and causal model storage unit 106) included in the abnormality estimation apparatus 10 according to the embodiment of the present invention is realized using, for example, the auxiliary storage device 18. The storage unit of at least one of the model construction information storage unit 105 and the causal model storage unit 106 may be realized using, for example, a storage device connected to the abnormality estimation apparatus 10 via a communication network.

本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。   The present invention is not limited to the above specifically disclosed embodiments, and various modifications and changes are possible without departing from the scope of the claims.

10 異常推定装置
101 モデル構築部
102 異常推定処理部
103 異常種別判定部
104 UI部
105 モデル構築用情報記憶部
106 因果モデル記憶部 DESCRIPTION OF SYMBOLS 10 abnormality estimation apparatus 101 model construction part 102 abnormality estimation processing part 103 abnormality type determination part 104 UI part 105 information storage part for model construction 106 causal model storage part

Claims (6)

通信ネットワークの異常箇所を推定する異常推定装置であって、
前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手段と、
前記第1の推定手段により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手段と、
前記異常種別判定手段により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差によって前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手段と、
を有することを特徴とする異常推定装置。 An anomaly estimation apparatus for estimating an anomaly of a communication network, comprising:
The abnormality in the case where the abnormality occurring in the communication network is a fixed abnormality by calculating a maximum a posteriori probability using a causal model representing a causal relationship between a device forming the communication network and the observation information of the device First estimation means for estimating a location;
An abnormality type determination unit that determines whether the abnormality is an atypical abnormality based on the maximum a posteriori probability calculated by the first estimation unit;
If it is determined by the abnormality type determination unit that the abnormality is an atypical abnormality, the abnormality is not determined using a correction model in which the causal model is corrected by the difference between the distribution of the fixed abnormality and the distribution of the atypical abnormality. A second estimation unit configured to estimate the abnormal portion in the case of the fixed abnormality;
An anomaly estimation apparatus characterized by having: 前記異常が定型異常又は非定型異常のいずれであるかに応じて、前記第1の推定手段又は前記第2の推定手段のいずれかにより推定された前記異常箇所を出力する出力手段を有する、ことを特徴とする請求項1に記載の異常推定装置。   According to whether the abnormality is a fixed form abnormality or a non-fixed form abnormality, it has an output means for outputting the abnormal point estimated by either the first estimation means or the second estimation means. The abnormality estimation apparatus according to claim 1, characterized in that 前記通信ネットワークを構成する機器の状態を表す機器状態層Xと、前記機器の観測情報の状態を表す観測状態層Yと、定型異常又は非定型異常のいずれかを表す確率変数zと、機器状態層Xから観測状態層Yへの因果関係を表す分布φとに基づいて、前記因果モデルを構築するモデル構築手段を有する、ことを特徴とする請求項1又は2に記載の異常推定装置。 An apparatus state layer X representing the state of an apparatus constituting the communication network, an observation state layer Y representing the state of observation information of the apparatus, a random variable z representing either a fixed form abnormality or an unfixed form abnormality, an apparatus state The anomaly estimating apparatus according to claim 1, further comprising a model constructing unit configured to construct the causal model on the basis of a distribution φ z representing a causal relationship from the layer X to the observation state layer Y. 前記第2の推定手段は、
前記差をペナルティ項として、前記修正モデルを表す式の最大値をギブスサンプリングにより計算することで、前記異常箇所を推定する、ことを特徴とする請求項1乃至3の何れか一項に記載の異常推定装置。 The second estimation means is
The said abnormal part is estimated by calculating the maximum value of the formula showing the said correction model by Gibbs sampling by making said difference into a penalty term, The said abnormal location is estimated as described in any one of the Claims 1 thru | or 3 characterized by the above-mentioned. Anomaly estimation device. 通信ネットワークの異常箇所を推定する異常推定装置が、
前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手順と、
前記第1の推定手順により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手順と、
前記異常種別判定手順により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差によって前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手順と、
を実行することを特徴とする異常推定方法。 An anomaly estimation apparatus that estimates an anomaly point of the communication network
The abnormality in the case where the abnormality occurring in the communication network is a fixed abnormality by calculating a maximum a posteriori probability using a causal model representing a causal relationship between a device forming the communication network and the observation information of the device A first estimation procedure for estimating the location;
An abnormality type determination procedure of determining whether the abnormality is an atypical abnormality based on the maximum a posteriori probability calculated by the first estimation procedure;
If it is determined by the abnormality type determination procedure that the abnormality is an atypical abnormality, the abnormality is not determined using a corrected model in which the causal model is corrected by the difference between the distribution of the fixed abnormality and the distribution of the atypical abnormality. A second estimation procedure for estimating the abnormal part in the case of a fixed abnormality;
An anomaly estimation method characterized in that: コンピュータを、請求項1乃至4の何れか一項に記載の異常推定装置における各手段として機能させるためのプログラム。   The program for functioning a computer as each means in the abnormality estimation apparatus as described in any one of Claims 1-4.
JP2017231355A 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program Active JP6835702B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017231355A JP6835702B2 (en) 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017231355A JP6835702B2 (en) 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program

Publications (2)

Publication Number Publication Date
JP2019101712A true JP2019101712A (en) 2019-06-24
JP6835702B2 JP6835702B2 (en) 2021-02-24

Family

ID=66973738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017231355A Active JP6835702B2 (en) 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program

Country Status (1)

Country Link
JP (1) JP6835702B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024034024A1 (en) * 2022-08-09 2024-02-15 日本電信電話株式会社 Causal model construction device, abnormal location estimation device, causal model construction method, abnormal location estimation method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024034024A1 (en) * 2022-08-09 2024-02-15 日本電信電話株式会社 Causal model construction device, abnormal location estimation device, causal model construction method, abnormal location estimation method, and program

Also Published As

Publication number Publication date
JP6835702B2 (en) 2021-02-24

Similar Documents

Publication Publication Date Title
US20210397938A1 (en) Detection device and detection program
JP6183450B2 (en) System analysis apparatus and system analysis method
US20180121275A1 (en) Method and apparatus for detecting and managing faults
WO2016136198A1 (en) System monitoring apparatus, system monitoring method, and recording medium on which system monitoring program is recorded
US9524223B2 (en) Performance metrics of a computer system
JP6649294B2 (en) State determination device, state determination method, and program
US20180174072A1 (en) Method and system for predicting future states of a datacenter
US20150378806A1 (en) System analysis device and system analysis method
JP5971395B2 (en) System analysis apparatus and system analysis method
JP7283485B2 (en) Estimation device, estimation method, and program
JP6835702B2 (en) Anomaly estimation device, anomaly estimation method and program
JP6728830B2 (en) Information processing device, information processing method, and program
US20160093118A1 (en) Generating Estimates of Failure Risk for a Vehicular Component in Situations of High-Dimensional and Low Sample Size Data
US9690639B2 (en) Failure detecting apparatus and failure detecting method using patterns indicating occurrences of failures
JP6787873B2 (en) Abnormal type judgment device, abnormal type judgment method and program
CN116542507A (en) Process abnormality detection method, electronic device, computer storage medium, and program product
JP6627258B2 (en) System model generation support device, system model generation support method, and program
WO2018142694A1 (en) Feature amount generation device, feature amount generation method, and program
US11595244B2 (en) Recovery support apparatus, recovery support method and program
WO2020240770A1 (en) Learning device, estimation device, learning method, estimation method, and program
US11973658B2 (en) Model construction apparatus, estimation apparatus, model construction method, estimation method and program
JPWO2020148838A1 (en) Estimator, estimation method, and program
WO2024034024A1 (en) Causal model construction device, abnormal location estimation device, causal model construction method, abnormal location estimation method, and program
TWI824681B (en) Device management system, device failure cause estimation method, and memory medium for non-temporarily storing programs
WO2023188017A1 (en) Training data generation device, training data generation method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210204

R150 Certificate of patent or registration of utility model

Ref document number: 6835702

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150