JP2020057858A - 異常検知装置、異常検知方法および異常検知プログラム - Google Patents
異常検知装置、異常検知方法および異常検知プログラム Download PDFInfo
- Publication number
- JP2020057858A JP2020057858A JP2018185387A JP2018185387A JP2020057858A JP 2020057858 A JP2020057858 A JP 2020057858A JP 2018185387 A JP2018185387 A JP 2018185387A JP 2018185387 A JP2018185387 A JP 2018185387A JP 2020057858 A JP2020057858 A JP 2020057858A
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- unit
- abnormality detection
- ranking
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】異常検知を行う際の処理負荷を軽減すること。【解決手段】異常検知装置10は、対象システムに関する時系列データを取得し、取得した時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。そして、異常検知装置10は、作成したランキングを用いて、異常度を計算し、計算した異常度に基づいて、対象システムの異常を検知する。【選択図】図2
Description
本発明は、異常検知装置、異常検知方法および異常検知プログラムに関する。
従来、大量の時系列データを取得し、普段と異なるふるまい、例えば、通信量の急な増加などの異常を検知する異常検知技術が知られている。このような異常検知技術は、DDоS攻撃の検知や機器の故障検知などに応用されている。異常検知には、過去の値から分布を仮定し、現在の値の異常度を確率値として定義するホテリングのt2理論を用いたものや、LOF(Local Outlier Factor)や特異スペクトル変換法を用いる手法などが存在する。
しかしながら、従来の手法では、異常検知を行う際の処理負荷が大きくなる場合があるという課題があった。例えば、複数の時系列データについて、各時系列データを用いて、それぞれの異常度合いを示す異常度を計算し、計算した異常度に基づいて異常を監視した場合には、計算コストが大きくなる場合があった。
上述した課題を解決し、目的を達成するために、本発明の異常検知装置は、対象システムに関する時系列データを取得する取得部と、前記取得部によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成部と、前記作成部によって作成されたランキングを用いて、異常度を計算する計算部と、前記計算部によって計算された異常度に基づいて、前記対象システムの異常を検知する検知部とを有することを特徴とする。
また、本発明の異常検知方法は、異常検知装置によって実行される異常検知方法であって、対象システムに関する時系列データを取得する取得工程と、前記取得工程によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成工程と、前記作成工程によって作成されたランキングを用いて、異常度を計算する計算工程と、前記計算工程によって計算された異常度に基づいて、前記対象システムの異常を検知する検知工程とを含むことを特徴とする。
また、本発明の異常検知プログラムは、対象システムに関する時系列データを取得する取得ステップと、前記取得ステップによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成ステップと、前記作成ステップによって作成されたランキングを用いて、異常度を計算する計算ステップと、前記計算ステップによって計算された異常度に基づいて、前記対象システムの異常を検知する検知ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、異常検知を行う際の処理負荷を軽減することができるという効果を奏する。
以下に、本願に係る異常検知装置、異常検知方法および異常検知プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る異常検知装置、異常検知方法および異常検知プログラムが限定されるものではない。
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る異常検知システム100の構成、異常検知装置10の構成、異常検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
以下の実施の形態では、第1の実施形態に係る異常検知システム100の構成、異常検知装置10の構成、異常検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[異常検知システムの構成]
図1は、第1の実施形態に係る異常検知システムの構成例を示す構成図である。第1の実施形態に係る異常検知システム100は、異常検知装置10と端末装置20とを有し、異常検知装置10と端末装置20とはネットワーク30を介して互いに接続されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。
図1は、第1の実施形態に係る異常検知システムの構成例を示す構成図である。第1の実施形態に係る異常検知システム100は、異常検知装置10と端末装置20とを有し、異常検知装置10と端末装置20とはネットワーク30を介して互いに接続されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。
異常検知装置10は、対象システムに関する時系列データを取得する。例えば、異常検知装置10は、時系列データとして、異常検知を行う対象の通信システムにおける通信データを取得する。なお、異常検知装置10は、時系列データとして、通信データに限定されるものではなく、どのようなデータを処理対象として取得してもよく、例えば、センサデータ等を取得してもよい。以下の説明では、異常検知装置10が、時系列データとして、通信データを取得して処理を行う場合を例として説明する。
そして、異常検知装置10は、取得した時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。例えば、異常検知装置10は、取得した通信データから、1時間単位で通信先ごとの通信量を集計し、集計結果を用いて、1時間ごとの通信量のランキングを作成する。なお、所定の時間単位として、「1時間」が設定されているものとして説明するが、これに限定されるものではなく、例えば、所定の時間単位として「10分」や「1日」が設定されていてもよい。
その後、異常検知装置10は、作成したランキングを用いて、異常度を計算し、異常度に基づいて、対象システムの異常を検知する。例えば、異常検知装置10は、異常度が所定の閾値よりも高い場合には、対象システムの異常を検知し、端末装置20に対してアラートを出力する。このように、異常検知装置10は、通信先同士の相対的な通信量の順位を示すランキングを作成し、作成したランキングを用いて、異常度を計算するので、絶対的な値ではなく、相対的な値から異常を検知することができ、処理負荷を軽減することが可能である。
端末装置20は、PC(Personal Computer)やスマートフォン等の装置であって、例えば、対象システムを管理する管理者が使用する装置である。例えば、端末装置20は、異常検知装置10によって異常が検知された場合には、異常検知装置10から異常が検知された通信先を示すアラート表示画面を受信し、アラート表示画面を表示する。
[異常検知装置の構成]
次に、図2を用いて、異常検知装置10の構成を説明する。図2は、第1の実施形態に係る異常検知装置の構成例を示すブロック図である。図2に示すように、この異常検知装置10は、通信処理部11、制御部12および記憶部13を有する。以下に異常検知装置10が有する各部の処理を説明する。
次に、図2を用いて、異常検知装置10の構成を説明する。図2は、第1の実施形態に係る異常検知装置の構成例を示すブロック図である。図2に示すように、この異常検知装置10は、通信処理部11、制御部12および記憶部13を有する。以下に異常検知装置10が有する各部の処理を説明する。
通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は、異常が検知された通信先を示すアラート表示画面のデータを端末装置20に送信する。
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納する。記憶部13は、集計データ記憶部13a、ランキング情報記憶部13bおよび異常度情報記憶部13cを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
集計データ記憶部13aは、通信先ごとに、時間帯別の通信量の集計データを記憶する。例えば、集計データ記憶部13aは、図3に例示するように、通信先を一意に識別する通信先IDごとに、1時間ごとの通信量を記憶する。図3は、集計データ記憶部に記憶されるデータの一例を示す図である。図3の例を挙げて具体的に説明すると、集計データ記憶部13aは、通信先ID「A」について、「0:00−1:00」の期間における通信量として「2000」と、「1:00−2:00」の期間における通信量として「1950」と、「2:00−3:00」の期間における通信量として「1800」とを記憶する。なお、ここで、通信量とは、例えば、パケット数であってもよいし、データ量であってもよい。
ランキング情報記憶部13bは、通信先ごとに、各時間帯における通信量の相対的な順位を記憶する。例えば、ランキング情報記憶部13bは、図4に例示するように、通信IDごとに、1時間ごとの通信量のランキングにおける順位を記憶する。図4は、ランキング情報記憶部に記憶されるデータの一例を示す図である。図4の例を挙げて具体的に説明すると、ランキング情報記憶部13bは、通信先ID「A」について、「0:00−1:00」の期間におけるランキングの順位として「20」と、「1:00−2:00」の期間におけるランキングの順位として「24」と、「2:00−3:00」の期間におけるランキングの順位として「30」とを記憶する。
異常度情報記憶部13cは、通信先ごとに、異常度を記憶する。例えば、異常度情報記憶部13cは、図5に例示するように、通信先IDと異常度とを対応付けて記憶する。図5は、異常度情報記憶部に記憶されるデータの一例を示す図である。ここで、異常度とは、後述する計算部12cによって計算された所定の時点における異常度であり、0〜1の範囲で定義され、1に近づくほど異常度合いが高いものとする。図5の例を挙げて具体的に説明すると、異常度情報記憶部13cは、通信先ID「A」の異常度が「0.2」であり、通信先ID「B」の異常度が「0.3」であることを記憶している。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部12は、取得部12a、作成部12b、計算部12c、検知部12dおよび出力部12eを有する。ここで、制御部12は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
取得部12aは、対象システムに関する時系列データを取得する。具体的には、取得部12aは、時系列データとして、異常検知を行う対象の通信システムにおける通信データを取得する。例えば、取得部12aは、通信システムにおけるルータ等の通信機器から直接パケットのデータを定期的に収集するようにしてもよいし、端末装置20等から入力された所定期間の通信データをまとめて取得するようにしてもよい。
作成部12bは、取得部12aによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。ここで、異常検知単位とは、異常を検知する単位を示すものであり、以下では、異常検知単位として通信先IDが設定されているものとして説明する。なお、異常検知単位は、これに限定されるものではなく、例えば、処理対象が時系列のセンサデータである場合には、異常検知単位として、センサを識別するセンサIDが設定されていてもよい。具体的には、作成部12bは、取得した通信データから、1時間単位で通信先ごとの通信量を集計し、集計結果を用いて、1時間ごとの通信量のランキングを作成する。なお、作成部12bは、取得した通信データが欠損している場合には、既存の手法を用いて、欠損している部分を補完するようにしてもよい。例えば、作成部12bは、データがない部分については、該当部分のデータを「0」で補完する。
ここで、図6を用いて、ランキング作成の処理例を説明する。図6は、ランキング作成の処理例を説明する図である。図6に例示するように、作成部12bは、取得部12aによって取得された時系列の通信量を示す通信データから、「0:00−1:00」、「1:00−2:00」、「2:00−3:00」・・・の各時間帯における各通信先IDの通信量をそれぞれ集計し、集計結果を集計データ記憶部13aに格納する。
続いて、作成部12bは、各通信先IDの同一時間帯の通信量同士を比較して順位付けを行い、時間帯ごとのランキングを作成し、ランキング結果をランキング情報記憶部13bに格納する。
計算部12cは、作成部12bによって作成されたランキングを用いて、異常度を計算する。具体的には、計算部12cは、作成部12bによって作成されたランキングに含まれる所定時間単位ごとの順位のうち上位所定番目の順位を特定し、該上位所定番目の順位と、所定の時点における順位とに基づいて、所定の時点における各通信先の異常度を計算し、計算した異常度を異常度情報記憶部13cに格納する。なお、どの時点の異常度を計算するかは、任意に設定できるものとするが、以下の説明では、現在の時点における異常度を計算するものとする。
また、計算部12cは、ランキングに含まれる各順位を通信先の数に応じて、補正するようにしてもよい。例えば、計算部12cは、ある通信先のランキングが「10」位であって、通信先の数が「100」ある場合には、「10」を「100」で除算して「0.1」と補正し、ある通信先のランキングが「10」位であって、通信先の数が「20」ある場合には、「10」を「20」で除算して「0.5」と補正する。つまり、時系列データには周期性が現れることが多く、周期性がある場合には時間ごとに対象の登場数が異なる。このため、同じ10位でも意味が異なるため、通信先の全体の数に応じて、順位を補正する。
例えば、計算部12cは、ランキングに含まれる各時間帯の順位のうち、移動n%値の順位を、通信先ごとに特定する。ここでは、通信先ごとのランキングの時系列データにおいて、ある一定区間の上位n%の値を移動n%値とする。この場合の一定区間とは、対象の値から過去のw個分とする。このwをウィンドウ幅とする。例えば、計算部12cは、移動n%値が10%と設定されている場合には、各通信先について、ランキングに含まれる100個の順位のうち、上位10番目の順位を特定する。この順位は、各通信先の普段のランキングを意味するものとする。ランキングの分布は対象ごとに異なる場合があるため、分布の種類に左右されづらく、計算コストも少ない移動n%値を用いている。なお、移動n%値について、整数で切れない場合は、前後整数で切れるところからの平均値で処理する。例えば、4つの中の50%値なら2位と3位の平均値、10個の中の12%値なら1位と2位の平均値、10個の中の1%値は参照できるものが1位の値しかないので1位の値用いる。
なお、ここでは、例えば、10%をデフォルト値として設定されているものとするが、これに限定されるものではなく、nの値やウィンドウ幅は任意に設定することができるものとする。つまり、データの種類の検知したい異常の種類によって適切なウィンドウ幅やnの値は異なるため、ウィンドウ幅やnの値は自由に設定することができるようにし、データや目的によって、偽陽性と偽陰性のバランスを考慮して、柔軟に異常を検知できるように調整することが可能である。なお、移動n%値について、一般的に、統計の分野においては5%を閾値にすることがあるが、本実施形態では、5%から少し余裕を持たせた10%値をデフォルト値とする。そうすることによって、ウィンドウ幅が小さくても(例えば、20程度でも)、異常を検知できるようにしている。
そして、計算部12cは、異常度の計算として、「異常度=(移動n%値―現在の値)/移動n%値」を計算する。なお、普段よりランキングが低い場合には異常度がマイナスの値となるが、本実施形態ではランキングの上昇を検知するために、マイナスの異常度は「0」で置換する。これにより、異常度が0〜1の範囲で定義され、1に近づくほど異常とみなせる。
検知部12dは、計算部12cによって計算された異常度に基づいて、対象システムの異常を検知する。例えば、検知部12dは、計算部12cによって計算された各異常度のうち所定の閾値(例えば、0.8)を超えている異常度があるか判定し、所定の閾値を超える異常度があると判定した場合には、対象システムの異常を検知する。
出力部12eは、異常度が所定の閾値よりも高い場合には、対象システムの異常を検知し、端末装置20に対してアラートを出力する。例えば、出力部12eは、異常が検知された通信先を示すアラート表示画面を生成し、アラート表示画面のデータを端末装置20に対して出力する。
[異常検知装置の処理手順]
次に、図7を用いて、第1の実施形態に係る異常検知装置10による処理手順の例を説明する。図7は、第1の実施形態に係る異常検知装置における処理の流れの一例を示すフローチャートである。
次に、図7を用いて、第1の実施形態に係る異常検知装置10による処理手順の例を説明する。図7は、第1の実施形態に係る異常検知装置における処理の流れの一例を示すフローチャートである。
図7に例示するように、異常検知装置10の取得部12aは、対象システムに関する時系列データを取得する(ステップS101)。具体的には、取得部12aは、時系列データとして、異常検知を行う対象の通信システムにおける通信データを取得する。
そして、作成部12bは、取得部12aによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計する(ステップS102)。続いて、作成部12bは、取得した通信データが欠損している場合には、既存の手法を用いて、欠損している部分を補完する(ステップS103)。
そして、作成部12bは、集計結果を用いて、所定の時間単位ごとのランキングを作成する(ステップS104)。続いて、計算部12cは、ランキングに含まれる各順位を通信先の数に応じて、補正する(ステップS105)。例えば、計算部12cは、ある通信先のランキングが「10」位であって、通信先の数が「100」ある場合には、「10」を「100」で除算して「0.1」と補正する。
そして、計算部12cは、ランキングに含まれる各時間帯の順位のうち、移動n%値の順位を、通信先ごとに特定する(ステップS106)。そして、計算部12cは、移動n%値の順位と、所定の時点における順位とに基づいて、所定の時点における異常度を計算する(ステップS107)。例えば、計算部12cは、異常度の計算として、「異常度=(移動n%値―現在の値)/移動n%値」を計算する。
その後、検知部12dは、計算部12cによって計算された各異常度のうち所定の閾値(例えば、0.8)を超えている異常度があるか判定する(ステップS108)。この結果、検知部12dが所定の閾値を超える異常度がないと判定した場合には(ステップS108否定)、そのまま処理を終了する。また、検知部12dが所定の閾値を超える異常度がないと判定した場合には(ステップS108肯定)、端末装置20に対してアラートを出力する(ステップS109)。例えば、出力部12eは、異常が検知された通信先を示すアラート表示画面を生成し、アラート表示画面のデータを端末装置20に対して出力する。
(第1の実施形態の効果)
第1の実施形態に係る異常検知装置10は、対象システムに関する時系列データを取得し、取得した時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。そして、異常検知装置10は、作成したランキングを用いて、異常度を計算し、計算した異常度に基づいて、対象システムの異常を検知する。このため、異常検知装置10では、異常検知の行う際の処理負荷を軽減することが可能である。
第1の実施形態に係る異常検知装置10は、対象システムに関する時系列データを取得し、取得した時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。そして、異常検知装置10は、作成したランキングを用いて、異常度を計算し、計算した異常度に基づいて、対象システムの異常を検知する。このため、異常検知装置10では、異常検知の行う際の処理負荷を軽減することが可能である。
つまり、異常検知装置10は、通信先同士の相対的な通信量の順位を示すランキングを作成し、作成したランキングを用いて、異常度を計算するので、絶対的な値ではなく、相対的な値から異常を検知することができ、処理負荷を軽減することが可能である。
また、従来における、期間全体で値が大きいもの等の基準で絞り、それぞれに異常検知アルゴリズムを適用する手法では、期間全体で値が大きいものを異常と判定するという条件で絞ると、短期間で大きな値を記録するものは対象から外れてしまう。これに対して、異常検知装置10では、絶対的な値ではなく、相対的な値から異常を検知するので、短期間で大きな値を記録した対象についても異常を検知することが可能である。
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(プログラム)
また、上記実施形態において説明した異常検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る異常検知装置10が実行する処理をコンピュータが実行可能な言語で記述した異常検知プログラムを作成することもできる。この場合、コンピュータが異常検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる異常検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された異常検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
また、上記実施形態において説明した異常検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る異常検知装置10が実行する処理をコンピュータが実行可能な言語で記述した異常検知プログラムを作成することもできる。この場合、コンピュータが異常検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる異常検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された異常検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
図8は、異常検知プログラムを実行するコンピュータを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図8に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図8に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図8に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図8に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図8に例示するように、例えばディスプレイ1130に接続される。
ここで、図8に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、異常検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10 異常検知装置
11 通信処理部
12 制御部
12a 取得部
12b 作成部
12c 計算部
12d 検知部
12e 出力部
13 記憶部
13a 集計データ記憶部
13b ランキング情報記憶部
13c 異常度情報記憶部
20 端末装置
30 ネットワーク
100 異常検知システム
11 通信処理部
12 制御部
12a 取得部
12b 作成部
12c 計算部
12d 検知部
12e 出力部
13 記憶部
13a 集計データ記憶部
13b ランキング情報記憶部
13c 異常度情報記憶部
20 端末装置
30 ネットワーク
100 異常検知システム
Claims (5)
- 対象システムに関する時系列データを取得する取得部と、
前記取得部によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成部と、
前記作成部によって作成されたランキングを用いて、異常度を計算する計算部と、
前記計算部によって計算された異常度に基づいて、前記対象システムの異常を検知する検知部と
を有することを特徴とする異常検知装置。 - 前記計算部は、前記作成部によって作成されたランキングに含まれる所定時間単位ごとの順位のうち上位所定番目の順位を特定し、該上位所定番目の順位と、所定の時点における順位とに基づいて、前記所定の時点における異常度を計算することを特徴とする請求項1に記載の異常検知装置。
- 前記計算部は、異常検知単位の数に応じて、前記ランキングに含まれる順位を補正することを特徴とする請求項1に記載の異常検知装置。
- 異常検知装置によって実行される異常検知方法であって、
対象システムに関する時系列データを取得する取得工程と、
前記取得工程によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成工程と、
前記作成工程によって作成されたランキングを用いて、異常度を計算する計算工程と、
前記計算工程によって計算された異常度に基づいて、前記対象システムの異常を検知する検知工程と
を含むことを特徴とする異常検知方法。 - 対象システムに関する時系列データを取得する取得ステップと、
前記取得ステップによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成ステップと、
前記作成ステップによって作成されたランキングを用いて、異常度を計算する計算ステップと、
前記計算ステップによって計算された異常度に基づいて、前記対象システムの異常を検知する検知ステップと
をコンピュータに実行させることを特徴とする異常検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018185387A JP7084271B2 (ja) | 2018-09-28 | 2018-09-28 | 異常検知装置、異常検知方法および異常検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018185387A JP7084271B2 (ja) | 2018-09-28 | 2018-09-28 | 異常検知装置、異常検知方法および異常検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020057858A true JP2020057858A (ja) | 2020-04-09 |
| JP7084271B2 JP7084271B2 (ja) | 2022-06-14 |
Family
ID=70107790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018185387A Active JP7084271B2 (ja) | 2018-09-28 | 2018-09-28 | 異常検知装置、異常検知方法および異常検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7084271B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002063285A (ja) * | 2000-08-15 | 2002-02-28 | Office Samurai:Kk | 個人所得ランキングの提示システム、その提示方法、確定申告計算システム、ならびに記録媒体 |
| JP2007173907A (ja) * | 2005-12-19 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| JP2011109587A (ja) * | 2009-11-20 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | Bgpトラヒック変動監視装置、方法、およびシステム |
| WO2016136215A1 (ja) * | 2015-02-27 | 2016-09-01 | 日本電気株式会社 | 制御装置およびトラフィック制御方法、並びにコンピュータ・プログラムを記録する記録媒体 |
| JP2017083985A (ja) * | 2015-10-26 | 2017-05-18 | 株式会社Screenホールディングス | 時系列データ処理方法、時系列データ処理プログラム、および、時系列データ処理装置 |
-
2018
- 2018-09-28 JP JP2018185387A patent/JP7084271B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002063285A (ja) * | 2000-08-15 | 2002-02-28 | Office Samurai:Kk | 個人所得ランキングの提示システム、その提示方法、確定申告計算システム、ならびに記録媒体 |
| JP2007173907A (ja) * | 2005-12-19 | 2007-07-05 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| JP2011109587A (ja) * | 2009-11-20 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | Bgpトラヒック変動監視装置、方法、およびシステム |
| WO2016136215A1 (ja) * | 2015-02-27 | 2016-09-01 | 日本電気株式会社 | 制御装置およびトラフィック制御方法、並びにコンピュータ・プログラムを記録する記録媒体 |
| JP2017083985A (ja) * | 2015-10-26 | 2017-05-18 | 株式会社Screenホールディングス | 時系列データ処理方法、時系列データ処理プログラム、および、時系列データ処理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7084271B2 (ja) | 2022-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8457928B2 (en) | Automatic determination of dynamic threshold for accurate detection of abnormalities | |
| US10891558B2 (en) | Creation of metric relationship graph based on windowed time series data for anomaly detection | |
| US8478569B2 (en) | Auto adjustment of baseline on configuration change | |
| US9369364B2 (en) | System for analysing network traffic and a method thereof | |
| US20160217378A1 (en) | Identifying anomalous behavior of a monitored entity | |
| US20150127595A1 (en) | Modeling and detection of anomaly based on prediction | |
| CN112188531B (zh) | 异常检测方法、装置、电子设备及计算机存储介质 | |
| CN109343853B (zh) | 一种应用程序的异常识别方法及设备 | |
| US20200097351A1 (en) | System and method for binned inter-quartile range analysis in anomaly detection of a data series | |
| US20110161048A1 (en) | Method to Optimize Prediction of Threshold Violations Using Baselines | |
| US10540790B2 (en) | Visual classification of events | |
| JP5387779B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| US20200134075A1 (en) | System and method for anomaly characterization based on joint historical and time-series analysis | |
| WO2018122890A1 (ja) | ログ分析方法、システムおよびプログラム | |
| JP6718367B2 (ja) | 判定システム、判定方法、及びプログラム | |
| US20150281008A1 (en) | Automatic derivation of system performance metric thresholds | |
| JP7207009B2 (ja) | 異常検知装置、異常検知方法および異常検知プログラム | |
| JP5310094B2 (ja) | 異常検出システム、異常検出方法および異常検出用プログラム | |
| JP2020057858A (ja) | 異常検知装置、異常検知方法および異常検知プログラム | |
| JP2014153736A (ja) | 障害予兆検出方法、プログラムおよび装置 | |
| JP2011159125A (ja) | イベントクラスタリングシステム、そのコンピュータプログラムおよびデータ処理方法 | |
| US20210075844A1 (en) | Information processing device, information processing method, and storage medium | |
| CN111651503B (zh) | 一种配电网数据异常识别方法、系统及终端设备 | |
| JP6756378B2 (ja) | 異常検出方法、システムおよびプログラム | |
| JP2018191217A (ja) | データ監視装置、データ監視方法及びデータ監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210119 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211019 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211026 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220517 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220602 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7084271 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |