JP2020140580A - 検知装置及び検知プログラム - Google Patents
検知装置及び検知プログラム Download PDFInfo
- Publication number
- JP2020140580A JP2020140580A JP2019037021A JP2019037021A JP2020140580A JP 2020140580 A JP2020140580 A JP 2020140580A JP 2019037021 A JP2019037021 A JP 2019037021A JP 2019037021 A JP2019037021 A JP 2019037021A JP 2020140580 A JP2020140580 A JP 2020140580A
- Authority
- JP
- Japan
- Prior art keywords
- data
- detection
- abnormality
- detection device
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/06—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
- G06N3/063—Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using electronic means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/904—Browsing; Visualisation therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2365—Ensuring data consistency and integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Neurology (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
【課題】深層学習を使ってログの異常検知を行う場合の学習データの前処理や選定、モデルの選択を適切に行えるようになることで、検知精度を向上させること。【解決手段】前処理部131は、学習用のデータ及び検知対象のデータを加工する。また、生成部132は、前処理部131によって加工された学習用のデータを基に、深層学習により正常状態のモデルを生成する。また、検知部133は、前処理部131によって加工された検知対象のデータをモデルに入力して得られた出力データを基に異常度を計算し、異常度を基に検知対象のデータの異常を検知する。【選択図】図1
Description
本発明は、検知装置及び検知プログラムに関する。
従来、深層学習(Deep Learning)を用いたモデルであるオートエンコーダ(AE:autoencoder)やリカレントニューラルネットワーク(RNN:Recurrent neural network、LSTM:Long short-term memory、GRU:Gated recurrent unit)を使った異常検知技術が知られている。例えば、オートエンコーダを用いた従来技術では、まず正常なデータの学習によりモデルが生成される。そして、検知対象のデータと、当該データをモデルに入力して得られる出力データとの間の再構成誤差が大きいほど異常の度合いが大きいと判断される。
池田 泰弘、石橋 圭介、中野 雄介、渡辺敬志郎、川原 亮一、「オートエンコーダを用いた異常検知におけるモデル再学習手法」、信学技報 IN2017-84
しかしながら、従来の技術には、深層学習を使って異常検知を行う場合に、検知精度が低下する場合があるという問題がある。例えば、従来技術では、異常検知のための学習用のデータ又は検知対象のデータに対する適切な前処理が行われない場合がある。また、従来技術では、モデルの生成が乱数依存であるため、学習データに対して一意のモデルかどうかを確認するのが難しい。また、従来技術では、学習データに異常が含まれている可能性を考慮していない場合がある。いずれの場合も、異常検知における検知精度が低下することが考えられる。なお、ここでいう検知精度の低下は、異常なデータを異常と検知する検知率の低下、及び正常なデータを異常と検知する誤検知率の上昇を指すものとする。
上述した課題を解決し、目的を達成するために、検知装置は、学習用のデータ及び検知対象のデータを加工する前処理部と、前記前処理部によって加工された学習用のデータを基に、深層学習によりモデルを生成する生成部と、前記前処理部によって加工された検知対象のデータを前記モデルに入力して得られた出力データを基に異常度を計算し、前記異常度を基に前記検知対象のデータの異常を検知する検知部と、を有することを特徴とする。
本発明によれば、深層学習を使って異常検知を行う場合の学習データの前処理や選定、モデルの選択を適切に行えるようになり、検知精度を向上させることができる。
以下に、本願に係る検知装置及び検知プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る検知装置の構成について説明する。図1は、第1の実施形態に係る検知装置の構成の一例を示す図である。図1に示すように、検知装置10は、入出力部11、記憶部12及び制御部13を有する。
まず、図1を用いて、第1の実施形態に係る検知装置の構成について説明する。図1は、第1の実施形態に係る検知装置の構成の一例を示す図である。図1に示すように、検知装置10は、入出力部11、記憶部12及び制御部13を有する。
入出力部11は、データの入出力を行うためのインタフェースである。例えば、入出力部11は、ネットワークを介して他の装置との間でデータ通信を行うためのNIC(Network Interface Card)であってもよい。
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部12は、検知装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部12は、プログラムの実行で用いられる各種情報を記憶する。また、記憶部12は、モデル情報121を記憶する。
モデル情報121は、生成モデルを構築するための情報である。実施形態では、生成モデルはオートエンコーダであるものとする。また、オートエンコーダは、エンコーダ及びデコーダにより構成される。エンコーダ及びデコーダはいずれもニューラルネットワークである。このため、例えば、モデル情報121は、エンコーダ及びデコーダの層の数、各層の次元の数、ノード間の重み、層ごとのバイアス等を含む。また、以降の説明では、モデル情報121に含まれる情報のうち、重み及びバイアス等の学習により更新されるパラメータをモデルパラメータと呼ぶ場合がある。また、生成モデルを単にモデルと呼ぶ場合がある。
制御部13は、検知装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部13は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部13は、前処理部131、生成部132、検知部133及び更新部134を有する。
前処理部131は、学習用のデータ及び検知対象のデータを加工する。また、生成部132は、前処理部131によって加工された学習用のデータを基に、深層学習によりモデルを生成する。また、検知部133は、前処理部131によって加工された検知対象のデータをモデルに入力して得られた出力データを基に異常度を計算し、異常度を基に検知対象のデータの異常を検知する。なお、実施形態では、生成部132は、深層学習にオートエンコーダを用いる。また、以降の説明では、学習用のデータ及び検知対象のデータを、それぞれ学習データ及びテストデータと呼ぶ。
このように、検知装置10は、制御部13の各部の処理により、学習処理及び検知処理を行うことができる。また、生成部132は、生成したモデルの情報をモデル情報121として記憶部12に格納する。また、生成部132は、モデル情報121を更新する。検知部133は、記憶部12に記憶されたモデル情報121を基にオートエンコーダを構築し、異常検知を行う。
ここで、図2を用いて、実施形態におけるオートエンコーダについて説明する。図2は、オートエンコーダについて説明するための図である。図2に示すように、オートエンコーダを構成するAEネットワーク2は、エンコーダとデコーダを有する。AEネットワーク2には、例えば、データに含まれる1つ以上の特徴量の値が入力される。そして、エンコーダは、入力された特徴量群を圧縮表現に変換する。さらにデコーダは、圧縮表現から特徴量群を生成する。このとき、デコーダは、入力されたデータと同様の構造を持つデータを生成する。
このように、オートエンコーダがデータを生成すること再構成と呼ぶ。また、再構成されたデータを再構成データと呼ぶ。また、入力されたデータと再構成データとの誤差を再構成誤差と呼ぶ。
図3を用いて、オートエンコーダの学習について説明する。図3は、学習について説明するための図である。図3に示すように、学習の際には、検知装置10は、各時刻の正常なデータをAEネットワーク2に入力する。そして、検知装置10は、再構成誤差が小さくなるようにオートエンコーダの各パラメータを最適化する。このため、十分に学習が行われると、入力データと再構成データが同値になる。
図4を用いて、オートエンコーダによる異常検知について説明する。図4は、異常検知について説明するための図である。図4に示すように、検知装置10は、正常であるか異常であるかが未知のデータをAEネットワーク2に入力する。
ここで、時刻t1のデータは正常であるものとする。このとき、時刻t1のデータに対する再構成誤差は十分に小さくなり、検知装置10は、時刻t1のデータが再構成可能、すなわち正常であると判断する。
一方、時刻t2のデータは異常であるものとする。このとき、時刻t2のデータに対する再構成誤差は大きくなり、検知装置10は、時刻t1のデータが再構成不可能、すなわち異常であると判断する。なお、検知装置10は、再構成誤差の大小を閾値により判定してもよい。
例えば、検知装置10は、複数の特徴量を持つデータを使って学習及び異常検知を行うことができる。このとき、検知装置10は、データごとの異常度だけでなく、特徴量ごとの異常度を計算することができる。
図5を用いて、特徴量ごとの異常度について説明する。図5は、特徴量ごとの異常度について説明するための図である。図5の例では、特徴量は、コンピュータにおける各時刻のCPU使用率、メモリ使用率、ディスクIO速度等である。例えば、入力データの特徴量と再構成されたデータの特徴量とを比較すると、CPU1とmemory1の値に大きく差がついている。この場合、CPU1とmemory1を原因とする異常が発生している可能性があると推定することができる。
また、オートエンコーダのモデルは、学習データのサイズに依存せずにコンパクトにすることが可能である。また、モデルが生成済みであれば、検知は行列演算によって行われるため、高速に処理することが可能になる。
実施形態の検知装置10は、検知対象の装置から出力されるログを基に、当該装置の異常を検知することができる。例えば、ログは、センサによって収集されるセンサデータであってもよい。例えば、検知対象の装置は、サーバ等の情報処理装置であってもよいし、IoT機器であってもよい。例えば、検知対象の装置は、自動車に搭載された車載器、医療用のウェアラブル測定機器、生産ラインで使用される検査装置、ネットワークの末端のルータ等である。また、ログの種類は、数値及びテキストが含まれる。例えば、情報処理装置であれば、数値ログはCPUやメモリなどの装置から収集される測定値、テキストログはsyslogやMIBといったメッセージログである。
ここで、単にオートエンコーダの学習を行い、学習済みのモデルを使って異常検知を行うだけでは、十分な検知精度が得られない場合がある。例えば、各データに対し適切な前処理が行われない場合や、複数回学習した場合のモデル選択を誤った場合、学習データに異常が含まれている可能性を考慮していない場合に検知精度が低下することが考えられる。そこで、検知装置10は、以下に説明する各処理の少なくともいずれかを実行することで、検知精度を向上させることができる。
(1.変動が小さい特徴量の特定)
学習データにおいては変動が小さかった特徴量が、検知対象データにおいてわずかでも変動した場合、検知結果に大きな影響を与える場合がある。この場合、本来異常でないデータに対する異常度が過剰に大きくなり、誤検知が起きやすくなる。
学習データにおいては変動が小さかった特徴量が、検知対象データにおいてわずかでも変動した場合、検知結果に大きな影響を与える場合がある。この場合、本来異常でないデータに対する異常度が過剰に大きくなり、誤検知が起きやすくなる。
そこで、前処理部131は、特徴量の時系列データである学習用のデータから、時間に対する変動の大きさの度合いが所定値以下である特徴量を特定する。また、検知部133は、検知対象のデータの特徴量のうち、前処理部131によって特定された特徴量、又は、前処理部131によって特定された特徴量以外の特徴量の少なくともいずれかを基に異常を検知する。
つまり、検知部133は、テストデータの特徴量のうち、学習データにおいて変動が大きかった特徴量のみを用いて検知を行うことができる。これにより、検知装置10は、学習データにおいては変動が小さかった特徴量が、検知対象データにおいてわずかでも変動した場合の異常度の影響を抑えることができ、異常でないデータの誤検知を抑制することができる。
一方、検知部133は、テストデータの特徴量のうち、学習データにおいて変動が小さかった特徴量のみを用いて検知を行うことができる。この場合、検知装置10は、検知における異常度のスケールを大きくする。これにより、検知装置10は、検知対象データにおいて変動が大きくなった場合のみを異常として検知することができる。
図6は、変動が小さい特徴量の特定について説明するための図である。図6の上部の表は、特徴量の学習データの標準偏差(STD)を計算し、閾値を設定したときの、各閾値に該当する特徴量の数である。例えば、閾値を0.1とした場合、STD≧0.1となる特徴量数(Group1性能値数)は132個である。また、そのとき、STD<0.1となる特徴量数(Group2性能値数)は48個である。
図6の例では、特徴量の標準偏差の閾値を0.1とする。このとき、前処理部131は、学習データから、標準偏差が0.1未満である特徴量を特定する。そして、検知部133が、テストデータから特定された特徴量を用いて検知を行った場合(STD<0.1)、異常度は6.9×1012〜3.7×1016程度であった。一方、検知部133が、テストデータから特定された特徴量を除いて検知を行った場合(STD≧0.1)、異常度はSTD<0.1の場合と比べて非常に小さくなり、最大でも20,000程度であった。
(2.遁増又は遁減するデータの変換)
サーバシステムから出力されるデータのように、遁増又は遁減するデータが存在する。このようなデータの特徴量は、学習データとテストデータにおいて取り得る値の範囲が異なる場合があり、誤検知の原因になる。例えば、累積値の場合、累積値そのものよりも値の変化度合い等に意味がある場合がある。
サーバシステムから出力されるデータのように、遁増又は遁減するデータが存在する。このようなデータの特徴量は、学習データとテストデータにおいて取り得る値の範囲が異なる場合があり、誤検知の原因になる。例えば、累積値の場合、累積値そのものよりも値の変化度合い等に意味がある場合がある。
そこで、前処理部131は、学習用のデータ及び検知対象のデータの一部又は全てを、当該データの所定の時刻間の差又は比に変換する。例えば、前処理部131は、時刻間のデータの値の差分を取ってもよいし、ある時刻のデータの値を1つ前の時刻のデータの値で割ってもよい。これにより、検知装置10は、学習データとテストデータのデータ取り得る範囲の違いによる影響を抑えることができ、誤検知の発生を抑え、さらに、テストデータにおいて、学習時と異なる変化をする特徴量の異常を検知しやすくなる。図7は、遁増するデータ及び遁減するデータの一例を示す図である。また、図8は、遁増するデータ及び遁減するデータを変換したデータの一例を示す図である。
(3.最適なモデルの選択)
モデルの学習を行う際には、モデルパラメータの初期値等をランダムに決定する場合がある。例えば、オートエンコーダを含むニューラルネットワークを用いたモデルの学習を行う際には、ノード間の重み等の初期値をランダムに決定する場合がある。また、誤差逆伝播の際にドロップアウトの対象になるノードがランダムに決定される場合がある。
モデルの学習を行う際には、モデルパラメータの初期値等をランダムに決定する場合がある。例えば、オートエンコーダを含むニューラルネットワークを用いたモデルの学習を行う際には、ノード間の重み等の初期値をランダムに決定する場合がある。また、誤差逆伝播の際にドロップアウトの対象になるノードがランダムに決定される場合がある。
このような場合、層(レイヤ)の数、層ごとの次元数(ノード数)が一定であっても、最終的に生成されるモデルが毎回同じものになるとは限らない。そのため、ランダム性のパターンを変えて学習を複数回試行すると、複数のモデルが生成されることになる。ランダム性のパターンを変えることは、例えば初期値として使用する乱数を発生させ直すことである。このような場合、各モデルから計算される異常度が異なることもあり、異常検知に使用するモデルによっては、誤検知が起きる原因になる。
そこで、生成部132は、複数のパターンごとに学習を行う。つまり、生成部132は、学習用のデータに対して複数回学習を行う。そして、検知部133は、生成部132によって生成されたモデルのうち、互いの関係の強さに応じて選択されたモデルを用いて異常を検知する。生成部132は、関係の強さとして、同一のデータを入力したときの再構成データから計算される異常度間の相関係数を計算する。
図9は、モデルが安定する場合の異常度の例を示す図である。各矩形内の数値は、各モデルの異常度間の相関係数である。例えば、trial3とtrial8との相関係数は0.8である。図9の例では、モデル間の相関係数が最低でも0.77と高いため、生成部132がどのモデルを選択しても大きな差は生じないと考えられる。
一方、図10は、モデルが安定しない場合の異常度の例を示す図である。図9と同様に、各矩形内の数値は、モデル間の相関係数である。例えば、trial3という試行で生成されたモデルと、trial8という試行で生成されたモデルとの相関係数は0.92である。図10の場合、これらのモデルからは選択せず、層の数や層ごとの次元数などを変更して、再度モデルの生成をやり直すのがよい。
(4.データの分布の時間変化への対応)
サーバシステムから出力されるデータのように、時間の経過に応じて分布が変化するデータがある。このため、分布の変化前に収集された学習データを使って生成されたモデルを用いて、分布の変化後に収集されたテストデータの検知を行った場合、テストデータの正常分布を学習していないために、正常なデータの異常度が大きくなることが考えられる。
サーバシステムから出力されるデータのように、時間の経過に応じて分布が変化するデータがある。このため、分布の変化前に収集された学習データを使って生成されたモデルを用いて、分布の変化後に収集されたテストデータの検知を行った場合、テストデータの正常分布を学習していないために、正常なデータの異常度が大きくなることが考えられる。
そこで、前処理部131は、時系列データである学習用のデータを所定の期間ごとのスライディングウィンドウで分割する。そして、生成部132は、前処理部131によって分割されたスライディングウィンドウごとのデータのそれぞれを基に、モデルを生成する。また、生成部132は、固定期間の学習データに基づくモデルの生成(固定期間学習)と、当該固定期間をスライディングウィンドウで分割した期間それぞれの学習データに基づくモデルの生成(スライティング学習)の両方を行ってもよい。また、スライディング学習は、分割されたスライディングウィンドウごとのデータを基に生成されるモデルをすべて使用するのではなく、その中からいずれかを選択して使用してもよい。例えば、前日から一定期間遡ったデータを使って作成したモデルを、翌日1日の異常検知に適用することを繰り返してもよい。
図11は、固定期間学習の結果の一例を示す図である。図12は、スライディング学習の結果の一例を示す図である。図11及び図12は、各モデルから計算された異常度を表している。スライディング学習は、前日までの2週間のデータで作成したモデルで、翌日1日の異常度を算出している。スライディング学習の方が、固定期間学習と比べて異常度が上昇する期間が多い。これは、短期的に見ると、データ分布が細かく変化しているためであると見ることができる。
(5.学習データからの異常データの除去)
検知装置10はいわゆるアノマリ検知を行うものであるため、学習データはなるべく正常なデータであることが望ましい。一方で、収集した学習データの中には、人が認識することが難しい異常データや外れ度が高いデータが含まれていることがある。
検知装置10はいわゆるアノマリ検知を行うものであるため、学習データはなるべく正常なデータであることが望ましい。一方で、収集した学習データの中には、人が認識することが難しい異常データや外れ度が高いデータが含まれていることがある。
前処理部131は、学習用のデータに対する複数の異なる正規化手法ごとに生成されたモデル群、又は、それぞれに異なるモデルパラメータが設定されたモデル群のうちの少なくとも一方のモデル群に含まれる少なくとも1つのモデルを使って計算された異常度が所定の値より高いデータを学習用のデータから除外する。なお、この場合のモデルの生成及び異常度の計算は、それぞれ生成部132及び検知部133によって行われてもよい。
図13は、正規化手法ごとの異常度の一例を示す図である。図13に示すように、各正規化手法に共通して、02/01以降の異常度が高い。この場合、前処理部131は、学習データから02/01以降のデータを除外する。また、前処理部131は、少なくとも1つの正規化手法で異常度が高くなるデータを除外することができる。
また、異なるモデルパラメータが設定されたモデル群を用いて異常度を計算する場合も、図13に示すような複数の異常度の時系列データが得られる。その場合も同様に、前処理部131は、いずれかの時系列データで異常度が高いデータを除外する。
[第1の実施形態の処理]
図14を用いて、検知装置10の学習処理の流れについて説明する。図14は、第1の実施形態に係る検知装置の学習処理の流れを示すフローチャートである。図14に示すように、まず、検知装置10は、学習データの入力を受け付ける(ステップS101)。次に、検知装置10は、遁増又は遁減する特徴量のデータを変換する(ステップS102)。例えば、検知装置10は、各データを所定の時刻間の差又は比に変換する。
図14を用いて、検知装置10の学習処理の流れについて説明する。図14は、第1の実施形態に係る検知装置の学習処理の流れを示すフローチャートである。図14に示すように、まず、検知装置10は、学習データの入力を受け付ける(ステップS101)。次に、検知装置10は、遁増又は遁減する特徴量のデータを変換する(ステップS102)。例えば、検知装置10は、各データを所定の時刻間の差又は比に変換する。
ここで、検知装置10は、バリエーションごとの学習データに対する正規化を実行する(ステップS103)。バリエーションとは、正規化の手法であり、図13に示すmin-max正規化、標準化(Z-score)、ロバスト正規化等が含まれる。
検知装置10は、生成モデルを用いて、学習データからデータを再構成する(ステップS104)。そして、検知装置10は、再構成誤差から異常度を計算する(ステップS105)。そして、検知装置10は、異常度が高い期間のデータを除外する(ステップS106)。
ここで、未試行のバリエーションがある場合(ステップS107、Yes)、検知装置10は、ステップS103に戻り、未試行のバリエーションを選択して処理を繰り返す。一方、未試行のバリエーションがない場合(ステップS107、No)、検知装置10は、次の処理へ進む。
検知装置10は、ランダム性のパターンを設定した上で(ステップS108)、生成モデルを用いて学習データからデータを再構成する(ステップS109)。そして、検知装置10は、再構成誤差から異常度を計算する(ステップS110)。
ここで、未試行のパターンがある場合(ステップS111、Yes)、検知装置10は、ステップS108に戻り、未試行のパターンを設定して処理を繰り返す。一方、未試行のパターンがない場合(ステップS111、No)、検知装置10は、次の処理へ進む。
検知装置10は、各パターンの生成モデルの相関の大きさを計算し、相関が大きい生成モデル群の中から生成モデルを選択する(ステップS112)。
図15を用いて、検知装置10の検知処理の流れについて説明する。図15は、第1の実施形態に係る検知装置の検知処理の流れを示すフローチャートである。図15に示すように、まず、検知装置10は、テストデータの入力を受け付ける(ステップS201)。次に、検知装置10は、遁増又は遁減する特徴量のデータを変換する(ステップS202)。例えば、検知装置10は、各データを所定の時刻間の差又は比に変換する。
検知装置10は、学習時と同じ手法でテストデータを正規化する(ステップS203)。そして、検知装置10は、生成モデルを用いてテストデータからデータを再構成する(ステップS204)。ここで、検知装置10は、学習データにおいて変動が小さい特徴量を特定する(ステップS205)。このとき、検知装置10は、特定した特徴量を異常度の計算対象から除外してもよい。そして、検知装置10は、再構成誤差から異常度を計算する(ステップS206)。さらに、検知装置10は、異常度を基に異常を検知する(ステップS207)。
[第1の実施形態の効果]
前処理部131は、学習用のデータ及び検知対象のデータを加工する。また、生成部132は、前処理部131によって加工された学習用のデータを基に、深層学習によりモデルを生成する。また、検知部133は、前処理部131によって加工された検知対象のデータをモデルに入力して得られた出力データを基に異常度を計算し、異常度を基に検知対象のデータの異常を検知する。このように、実施形態によれば、深層学習を使って異常検知を行う場合の学習データの前処理や選定、モデルの選択を適切に行えるようになり、検知精度を向上させることができる。
前処理部131は、学習用のデータ及び検知対象のデータを加工する。また、生成部132は、前処理部131によって加工された学習用のデータを基に、深層学習によりモデルを生成する。また、検知部133は、前処理部131によって加工された検知対象のデータをモデルに入力して得られた出力データを基に異常度を計算し、異常度を基に検知対象のデータの異常を検知する。このように、実施形態によれば、深層学習を使って異常検知を行う場合の学習データの前処理や選定、モデルの選択を適切に行えるようになり、検知精度を向上させることができる。
前処理部131は、特徴量の時系列データである学習用のデータから、時間に対する変動の大きさの度合いが所定値以下である特徴量を特定する。また、検知部133は、検知対象のデータの特徴量のうち、前処理部131によって特定された特徴量、又は、前処理部131によって特定された特徴量以外の特徴量の少なくともいずれかを基に異常を検知する。これにより、検知装置10は、検知精度を低下させるデータを除外することができる。
前処理部131は、学習用のデータ及び検知対象のデータの一部又は全てを、当該データの所定の時刻間の差又は比に変換する。これにより、検知装置10は、学習データが特徴量の取りうる範囲を網羅していなくても誤検知を抑制できる。また、上昇または下降のトレンド成分の影響を取り除くことで、時間による値の範囲の変化の影響を抑えることができる。
生成部132は、深層学習にオートエンコーダを用いる。これにより、検知装置10は、再構成誤差による異常度の計算及び異常検知を行うことができるようになる。
生成部132は、学習用のデータに対して複数回学習を行う。また、検知部133は、生成部132によって生成された各モデルのうち、互いの関係の強さに応じて選択されたモデルを用いて異常を検知する。これにより、検知装置10は、最適なモデルを選択することができる。
前処理部131は、時系列データである学習用のデータを所定の期間ごとのスライディングウィンドウで分割する。また、生成部132は、前処理部131によって分割されたスライディングウィンドウごとのデータのそれぞれを基に、モデルを生成する。これにより、検知装置10は、データ分布の変化に早期に追従したモデルを生成することができ、データ分布が変化することの影響による誤検知を抑えることができる。
前処理部131は、学習用のデータに対する複数の異なる正規化手法ごとに生成されたモデル群、又は、それぞれに異なるモデルパラメータが設定されたモデル群のうちの少なくとも一方のモデル群を使って計算された異常度が所定の値より高いデータを学習用のデータから除外する。これにより、検知装置10は、検知精度を低下させるデータを除外することができる。
[検知装置の出力例]
ここで、検知装置10による検知結果の出力例について説明する。検知装置10は、例えばテキストログ及び数値ログの学習及び検知を行うことができる。例えば、数値ログの特徴量は、各種センサが計測した数値及び数値に統計的な処理を施した値である。また、例えば、テキストログの特徴量は、各メッセージを分類してIDを付与し、一定時刻ごとの各IDの出現頻度を表す値である。
ここで、検知装置10による検知結果の出力例について説明する。検知装置10は、例えばテキストログ及び数値ログの学習及び検知を行うことができる。例えば、数値ログの特徴量は、各種センサが計測した数値及び数値に統計的な処理を施した値である。また、例えば、テキストログの特徴量は、各メッセージを分類してIDを付与し、一定時刻ごとの各IDの出現頻度を表す値である。
以降の出力結果を得るための設定等について説明する。まず、使用したデータは、OpenStack系のシステムの3つのコントローラノードから取得した数値ログ(約350メトリクス)及びテキストログ(約3000〜4500ID)である。また、データの収集期間は5/1〜6/30であり、収集間隔は5分である。また、期間中に、メンテナンス日を含めて8回の異常イベントが発生した。
検知装置10は、コントローラノードごとにモデルを生成した。また、検知装置10は、各モデルを使って検知を行った。学習期間は5/1〜6/5である。また、検知の対象となる評価期間は、5/1〜6/30である。
図16は、テキストログの異常度の一例を示す図である。図16に示すように、検知装置10は、メンテナンスがあった5/12や障害が発生した6/19に高い異常度を出力している。また、図17は、テキストログの異常度と障害情報との関係の一例を示す図である。図17に示すように、検知装置10は、異常が発生した5/7や6/19に高い異常度を出力している。
図18は、障害発生時のテキストログ及び特徴量ごとの異常度の一例を示す図である。なお、outlierが特徴量ごとの異常度を表しており、値が大きな上位10のログメッセージを示している。図18に示すように、rabbit関連の障害が発生した6/19の該当時刻のログメッセージを見ると、rabbitに関する内容が多く、一部ではERRORが記されている。ここから、rabbitで何かあったことが原因ではないかと推測することが可能となる。
図19は、異常度が上昇したときのテキストログ及び特徴ごとの異常度の一例を示す図である。また、図20は、異常度が上昇した前後の時刻のテキストログIDのデータ分布の一例を示す図である。図19に示すように、上位10のログの特徴ごとの異常度は一致しており、これは400以上のログで同じ値であった。また、図20に示すように、各コントローラで発生したテキストログのIDが類似しており、10:31以前の時刻にこれらのIDは全く出現していなかったことがわかる。これより、10:31に普段出ないログが大量に出力されるような異常が発生したことが示唆されている。
図21は、数値ログの異常度の一例を示す図である。図21に示すように、検知装置10は、メンテナンスがあった5/12や障害が発生した5/20に高い異常度を出力している。また、図22は、数値ログの異常度と障害情報との関係の一例を示す図である。図22に示すように、検知装置10は、異常が発生した6/14や6/19に高い異常度を出力している。
図23は、障害発生時の数値ログ及び特徴量ごとの異常度の一例を示す図である。図23に示すように、rabbit関連の障害が発生した6/19の同時刻に検知装置10はrabbitのメモリ関連の特徴量が高い異常度を出力している。図24は、6/19の同時刻前後の数値ログの特徴量ごとの入力データと再構成データの一例を示す図である。originalが入力データを、reconstructが再構成データを表す。図24に示すように、特徴量ごとの異常度が一番大きなtop1のrabbitのメモリ関連の特徴量は、該当時刻に入力データが大幅に小さな値となったが、その変化がうまく再構成できていないことがわかる。一方、残りの3つの特徴量は、該当時刻の再構成データが大きく上昇している様子が確認される。これは、rabbitのメモリ関連の特徴量が下降したときは、残りの3つの特徴量は上昇すると学習された結果であるが、下降度合いが学習期間の想定以上に大きかったため、異常度が大きくなったと推測される。
[その他の実施形態]
これまで、生成部132が深層学習にオートエンコーダを用いる場合の実施形態を説明した。一方で、生成部132は、深層学習にリカレントニューラルネットワーク(以降、RNN)を用いてもよい。つまり、生成部132は、深層学習にオートエンコーダ又はRNNを用いる。
これまで、生成部132が深層学習にオートエンコーダを用いる場合の実施形態を説明した。一方で、生成部132は、深層学習にリカレントニューラルネットワーク(以降、RNN)を用いてもよい。つまり、生成部132は、深層学習にオートエンコーダ又はRNNを用いる。
RNNは、時系列データを入力とするニューラルネットワークである。例えば、RNNを使った異常検知方法には、予測モデルを構築する方法と、sequence-to-sequenceのオートエンコーダモデルを構築する方法がある。また、ここでいうRNNには、単純なRNNだけでなく、RNNのバリエーションであるLSTMやGRUも含まれる。
予測モデルを構築する方法では、検知装置10は、再構成誤差の代わりに、元のデータの値と予測値の誤差を基に異常を検知する。例えば、予測値は、所定の期間の時系列データを入力した場合のRNNの出力値であり、ある時刻の時系列データの推定値である。検知装置10は、実際に収集されたある時刻のデータと当該時刻の予測値との誤差の大きさを基に異常を検知する。例えば、検知装置10は、誤差の大きさが閾値を超えている場合に、当該時刻に異常が発生したことを検知する。
sequence-to-sequenceのオートエンコーダモデルを構築する方法は、オートエンコーダを構築する点は第1の実施形態と共通しているが、ニューラルネットワークがRNNである点、及び入力データ及び出力データ(再構成データ)が時系列データである点が異なる。この場合、検知装置10は、時系列データの再構成誤差を異常度とみなし、異常を検知することができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、検知装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知に関するサービスを提供する検知サーバ装置として実装することもできる。例えば、検知サーバ装置は、学習データを入力とし、生成モデルを出力とする検知サービスを提供するサーバ装置として実装される。この場合、検知サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図25は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、検知装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 検知装置
11 入出力部
12 記憶部
13 制御部
121 モデル情報
131 前処理部
132 生成部
133 検知部
11 入出力部
12 記憶部
13 制御部
121 モデル情報
131 前処理部
132 生成部
133 検知部
Claims (8)
- 学習用のデータ及び検知対象のデータを加工する前処理部と、
前記前処理部によって加工された学習用のデータを基に、深層学習によりモデルを生成する生成部と、
前記前処理部によって加工された検知対象のデータを前記モデルに入力して得られた出力データを基に異常度を計算し、前記異常度を基に前記検知対象のデータの異常を検知する検知部と、
を有することを特徴とする検知装置。 - 前記前処理部は、特徴量の時系列データである前記学習用のデータから、時間に対する変動の大きさの度合いが所定値以下である特徴量を特定し、
前記検知部は、前記検知対象のデータの特徴量うち、前記前処理部によって特定された特徴量、又は、前記前処理部によって特定された特徴量以外の特徴量の少なくともいずれかを基に異常を検知することを特徴とする請求項1に記載の検知装置。 - 前記前処理部は、前記学習用のデータ及び検知対象のデータの一部又は全てを、当該データの所定の時刻間の差又は比に変換することを特徴とする請求項1に記載の検知装置。
- 前記生成部は、深層学習にオートエンコーダ又はリカレントニューラルネットワークを用いることを特徴とする請求項1から3のいずれか1項に記載の検知装置。
- 前記生成部は、前記学習用のデータに対して複数回学習を行い、
前記検知部は、前記生成部によって生成された各モデルのうち、互いの関係の強さに応じて選択されたモデルを用いて異常を検知することを特徴とする請求項4に記載の検知装置。 - 前記前処理部は、時系列データである前記学習用のデータを所定の期間ごとのスライディングウィンドウで分割し、
前記生成部は、前記前処理部によって分割されたスライディングウィンドウごとのデータのそれぞれを基に、モデルを生成することを特徴とする請求項4又は5に記載の検知装置。 - 前記前処理部は、前記学習用のデータに対する複数の異なる正規化手法ごとに生成されたモデル群、又は、それぞれに異なるモデルパラメータが設定されたモデル群のうちの少なくとも一方のモデル群に含まれる少なくとも1つのモデルを使って計算された異常度が所定の値より高いデータを前記学習用のデータから除外することを特徴とする請求項4から6のいずれか1項に記載の検知装置。
- コンピュータを、請求項1から7のいずれか1項に記載の検知装置として機能させるための検知プログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019037021A JP7103274B2 (ja) | 2019-02-28 | 2019-02-28 | 検知装置及び検知プログラム |
| US17/421,378 US20210397938A1 (en) | 2019-02-28 | 2020-02-13 | Detection device and detection program |
| PCT/JP2020/005474 WO2020175147A1 (ja) | 2019-02-28 | 2020-02-13 | 検知装置及び検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019037021A JP7103274B2 (ja) | 2019-02-28 | 2019-02-28 | 検知装置及び検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020140580A true JP2020140580A (ja) | 2020-09-03 |
| JP7103274B2 JP7103274B2 (ja) | 2022-07-20 |
Family
ID=72238879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019037021A Active JP7103274B2 (ja) | 2019-02-28 | 2019-02-28 | 検知装置及び検知プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210397938A1 (ja) |
| JP (1) | JP7103274B2 (ja) |
| WO (1) | WO2020175147A1 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2022201451A1 (ja) * | 2021-03-25 | 2022-09-29 | ||
| JP7335378B1 (ja) | 2022-03-02 | 2023-08-29 | エヌ・ティ・ティ・コムウェア株式会社 | メッセージ分類装置、メッセージ分類方法、およびプログラム |
| JP7335379B1 (ja) | 2022-03-02 | 2023-08-29 | エヌ・ティ・ティ・コムウェア株式会社 | 学習装置、学習方法、およびプログラム |
| WO2023228316A1 (ja) * | 2022-05-25 | 2023-11-30 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11084225B2 (en) | 2018-04-02 | 2021-08-10 | Nanotronics Imaging, Inc. | Systems, methods, and media for artificial intelligence process control in additive manufacturing |
| KR20200141812A (ko) * | 2019-06-11 | 2020-12-21 | 삼성전자주식회사 | 뉴럴 네트워크를 이용하여 이상 신호를 감지하는 방법 및 장치 |
| US11117328B2 (en) * | 2019-09-10 | 2021-09-14 | Nanotronics Imaging, Inc. | Systems, methods, and media for manufacturing processes |
| US11630956B2 (en) * | 2020-10-20 | 2023-04-18 | Jade Global, Inc. | Extracting data from documents using multiple deep learning models |
| CN112738098A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种基于网络行为数据的异常检测方法及装置 |
| US11640388B2 (en) * | 2021-04-30 | 2023-05-02 | International Business Machines Corporation | Cognitive data outlier pre-check based on data lineage |
| EP4099224A1 (en) * | 2021-05-31 | 2022-12-07 | Grazper Technologies ApS | A concept for detecting an anomaly in input data |
| CN115309871B (zh) * | 2022-10-12 | 2023-03-21 | 中用科技有限公司 | 一种基于人工智能算法的工业大数据处理方法及系统 |
| US11704540B1 (en) * | 2022-12-13 | 2023-07-18 | Citigroup Technology, Inc. | Systems and methods for responding to predicted events in time-series data using synthetic profiles created by artificial intelligence models trained on non-homogenous time series-data |
| US11868860B1 (en) * | 2022-12-13 | 2024-01-09 | Citibank, N.A. | Systems and methods for cohort-based predictions in clustered time-series data in order to detect significant rate-of-change events |
| CN117390586B (zh) * | 2023-12-13 | 2024-05-03 | 福建南方路面机械股份有限公司 | 基于多模态数据的坍落度监测方法、装置及可读介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008117381A (ja) * | 2006-10-10 | 2008-05-22 | Omron Corp | 時系列データ解析装置、時系列データ解析システム、時系列データ解析方法、プログラム、および記録媒体 |
| JP2018112863A (ja) * | 2017-01-11 | 2018-07-19 | 株式会社東芝 | 異常検知装置、異常検知方法、および異常検知プログラム |
| JP2018148350A (ja) * | 2017-03-03 | 2018-09-20 | 日本電信電話株式会社 | 閾値決定装置、閾値決定方法及びプログラム |
-
2019
- 2019-02-28 JP JP2019037021A patent/JP7103274B2/ja active Active
-
2020
- 2020-02-13 WO PCT/JP2020/005474 patent/WO2020175147A1/ja active Application Filing
- 2020-02-13 US US17/421,378 patent/US20210397938A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008117381A (ja) * | 2006-10-10 | 2008-05-22 | Omron Corp | 時系列データ解析装置、時系列データ解析システム、時系列データ解析方法、プログラム、および記録媒体 |
| JP2018112863A (ja) * | 2017-01-11 | 2018-07-19 | 株式会社東芝 | 異常検知装置、異常検知方法、および異常検知プログラム |
| JP2018148350A (ja) * | 2017-03-03 | 2018-09-20 | 日本電信電話株式会社 | 閾値決定装置、閾値決定方法及びプログラム |
Non-Patent Citations (2)
| Title |
|---|
| 柏木 陽佑 他: "識別的推定法に基づく音声の構造的表象を制約として用いたニューラルネットワーク音響モデルの話者適応", 情報処理学会 研究報告 音声言語情報処理(SLP), vol. 第2016−SLP−112巻 第1号, JPN6020015643, 21 July 2016 (2016-07-21), pages 1 - 6, ISSN: 0004731327 * |
| 納谷 太 他: "センサネットワークを用いた業務の計測と分析", 電子情報通信学会技術研究報告, vol. 第109巻 第131号, JPN6020015645, 9 July 2009 (2009-07-09), pages 127 - 134, ISSN: 0004731328 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2022201451A1 (ja) * | 2021-03-25 | 2022-09-29 | ||
| WO2022201451A1 (ja) * | 2021-03-25 | 2022-09-29 | 株式会社日立国際電気 | 検知装置および検知方法 |
| JP7436752B2 (ja) | 2021-03-25 | 2024-02-22 | 株式会社日立国際電気 | 検知装置および検知方法 |
| JP7335378B1 (ja) | 2022-03-02 | 2023-08-29 | エヌ・ティ・ティ・コムウェア株式会社 | メッセージ分類装置、メッセージ分類方法、およびプログラム |
| JP7335379B1 (ja) | 2022-03-02 | 2023-08-29 | エヌ・ティ・ティ・コムウェア株式会社 | 学習装置、学習方法、およびプログラム |
| WO2023228316A1 (ja) * | 2022-05-25 | 2023-11-30 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7103274B2 (ja) | 2022-07-20 |
| WO2020175147A1 (ja) | 2020-09-03 |
| US20210397938A1 (en) | 2021-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7103274B2 (ja) | 検知装置及び検知プログラム | |
| JP6313730B2 (ja) | 異常検出システムおよび方法 | |
| JP6853148B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| WO2017154844A1 (ja) | 分析装置、分析方法および分析プログラム | |
| Hoffmann et al. | A best practice guide to resource forecasting for computing systems | |
| US11115295B2 (en) | Methods and systems for online monitoring using a variable data | |
| US20210097438A1 (en) | Anomaly detection device, anomaly detection method, and anomaly detection program | |
| JP2018112863A (ja) | 異常検知装置、異常検知方法、および異常検知プログラム | |
| JP2020008997A (ja) | 異常検知システム | |
| US20150370235A1 (en) | Analyzing scada systems | |
| CN115348159A (zh) | 基于自编码器和服务依赖图的微服务故障定位方法及装置 | |
| CN113516174B (zh) | 调用链异常检测方法、计算机设备以及可读存储介质 | |
| CN115427968A (zh) | 边缘计算设备中的鲁棒人工智能推理 | |
| JP6767312B2 (ja) | 検知システム、検知方法及び検知プログラム | |
| CN108362957B (zh) | 设备故障诊断方法、装置、储存介质和电子设备 | |
| CN109343952B (zh) | 贝叶斯网络确定方法、装置、存储介质和电子设备 | |
| CN111930728A (zh) | 一种设备的特征参数和故障率的预测方法及系统 | |
| US20220058075A1 (en) | Identifying faults in system data | |
| JP2018073241A (ja) | 検知装置、検知方法および検知プログラム | |
| JP6749957B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| US20200213203A1 (en) | Dynamic network health monitoring using predictive functions | |
| US11188064B1 (en) | Process flow abnormality detection system and method | |
| JP6835702B2 (ja) | 異常推定装置、異常推定方法及びプログラム | |
| JP7444270B2 (ja) | 判定装置、判定方法及び判定プログラム | |
| JP7143894B2 (ja) | 情報処理装置、伝達関数生成方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210531 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220322 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220607 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220620 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7103274 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |