JP2021182287A - 異常検出方法、及び異常検出プログラム - Google Patents

異常検出方法、及び異常検出プログラム Download PDF

Info

Publication number
JP2021182287A
JP2021182287A JP2020087677A JP2020087677A JP2021182287A JP 2021182287 A JP2021182287 A JP 2021182287A JP 2020087677 A JP2020087677 A JP 2020087677A JP 2020087677 A JP2020087677 A JP 2020087677A JP 2021182287 A JP2021182287 A JP 2021182287A
Authority
JP
Japan
Prior art keywords
value
predicted value
abnormality
target period
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020087677A
Other languages
English (en)
Inventor
真司 山下
Shinji Yamashita
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2020087677A priority Critical patent/JP2021182287A/ja
Priority to EP21159237.3A priority patent/EP3913885A1/en
Priority to US17/193,746 priority patent/US11863418B2/en
Publication of JP2021182287A publication Critical patent/JP2021182287A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/149Network analysis or design for prediction of maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/067Generation of reports using time frame reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Abstract

【課題】予測の困難な変動に対応するように、不要な異常の検出を抑制し、適切な異常の検出を行う。【解決手段】導出部118が、対象経路の各々について、参照期間の実測値と予測値とに基づいて、補正係数αxを算出し、対象期間の予測値に補正係数αxを乗じて補正予測値を求める。算出部122が、対象経路の各々について、予測値及び補正予測値のそれぞれについての上限閾値及び下限閾値に基づいて、単位時間ごとの正常範囲を設定する。検出部124が、実測値が正常範囲に収まっているか否かを判定して、異常を検出する。【選択図】図3

Description

本開示は、異常検出方法、及び異常検出プログラムに関する。
ネットワークの運用では、管理下にあるネットワークが正常に動作しているかを把握するため、各種情報を定期的に収集し、何らかの異常が発生した際には、早期に異常を検出するようなネットワークの監視が必要である。各種情報としては、例えば、ネットワークのトラフィックの情報、並びにCPUの使用率及びハードディスク容量等のネットワーク配下のサーバ性能に関する情報が挙げられる。
このようなネットワークの異常を検出するための技術として、トラフィックの変動を許容する範囲を規定した変動許容範囲を示す閾値により、トラフィックの異常を検出する技術がある。この技術では、経路情報の属性ごとの過去の所定の時間範囲分のトラフィックのうち、トラフィックの変動分布が監視対象日時におけるトラフィックの変動分布と類似するトラフィックに基づいて、トラフィックの変動許容範囲を示す閾値を予測している。これにより、経路情報の属性ごとに、監視対象日時におけるトラフィックが閾値の範囲内に含まれるか否かを検出している。
特開2011−250201号公報 特開2018−195929号公報
上記のように、ネットワークの異常を、予測した変動許容範囲を示す閾値を用いて検出する手法がある。閾値の予測には、例えば、所定の周期分の過去の日時の特定のトラフィック量が用いられる。変動許容範囲の基準を特定のトラフィック量の平均として、この平均に所定のマージンをとって上限の閾値及び下限の閾値を求めている。
もっとも、実際のトラフィック量は、変動許容範囲の基準とした特定のトラフィック量の平均、すなわち予測したトラフィック量とは異なる傾向になってしまう場合がある。例えば、業務に用いられているネットワークの経路についてであれば、業務の時期又は業務の形態の変化によっては、実際のトラフィック量の傾向が予測したトラフィック量とは異なってしまうことが考えられる。業務の時期という観点では、業務の繁忙期の場合、業務量が想定よりも多くなると、予測よりもトラフィック量が多くなってしまう。また、業務の閑散期の場合、業務量が想定よりも少なくなると、予測よりもトラフィック量が少なくなってしまう。また、業務の形態の変化という観点では、多様なケースが想定される。例えば、週の途中からテレワークを開始した場合、業務態様に応じて、開始日以降にトラフィック量が増加又は減少することが想定される。ネットワークを介した業務の多い企業であればトラフィック量は増加傾向となることが想定され、ネットワークを介した業務の少ない企業であればトラフィック量は減少傾向となることが想定される。また、週の途中までテレワークを行い、途中から出勤体制に切り替えていった場合も同様に、トラフィック量の傾向の変動が生じ得る。テレワークの他にも自宅待機、人員の配置転換等、業務の形態の変化によって様々なトラフィック量の傾向の変動が想定され得る。このように業務の時期又は業務の形態の変化に応じて、予測したトラフィック量に比べて、実際のトラフィック量が定常的に多くなる、又は少なくなる、といった傾向の変動が生じ得る。
上記のようなトラフィック量の傾向の変動が生じると、予測したトラフィック量と、実際のトラフィック量とが乖離してしまう。このような乖離が生じた場合、乖離がなければ異常として検出されなかったトラフィック量の増加又は減少を、異常として検出してしまう場合がある。しかし、このようなトラフィック量の増加又は減少は、本来であれば異常とはみなし難いトラフィックの変動であり、不要な異常検出をしてしまうことになる。不要な異常検出をしてしまうと、本来検出したい異常を特定しづらくなる、という問題が生じる。ネットワークの監視においては、不要な異常検出はできるだけ少なくすることが望ましい。しかし、こうした傾向の変動は突発的な事情により生じるため、予めトラフィック量の傾向の変動を予測することは困難である。
本開示は、一つの側面として、予測の困難な変動に対応するように、不要な異常の検出を抑制し、適切な異常の検出を行うことを目的とする。
一つの態様として、開示の技術は、対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されている。開示の技術は、第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求める。開示の技術は、前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する。
一つの側面として、予測の困難な変動に対応するように、不要な異常の検出を抑制し、適切な異常の検出を行う、という効果を有する。
参考技術の適用例であり、算出した予測値と、実測値とを比較したグラフの一例を示す図である。 予測値のグラフと上限閾値及び下限閾値との関係を模式的に示した概略図である。 前日の予測値及び実測値を元に当日の補正予測値を求めた場合の一例を示す図である。 週の途中でトラフィック量のパターンが、増加傾向から減少傾向に変化する場合の一例を示す図である。 週の途中でトラフィック量のパターンが、減少傾向から増加傾向に変化する場合の一例を示す図である。 本実施形態に係るトラフィック管理装置のブロック図である。 補正係数αに基づいて補正予測値を求める場合の一例を示す図である。 補正係数αの算出に用いる参照期間の実測値及び予測値のデータの一例を示す図である。 週の初日にリセットして、翌日以降から補正予測値を求める場合の例を示す図である。 前週の補正係数αを持ち越して、補正予測値を求める場合の例を示す図である。 トラフィック管理装置として機能するコンピュータの概略構成を示すブロック図である。 補正処理の一例を示すフローチャートである。 検出処理の一例を示すフローチャートである。 本実施形態に係る手法の実験例を示す図である。 トラフィックの実測値、正常範囲の上限値、及び正常範囲の下限値の推移を表示する画面例を示す図である。 実測値が正常範囲の下限値を下回った場合には、異常が発生している旨を表示する画面例を示す図である。
以下、図面を参照して本開示に係る実施形態の一例を詳細に説明する。
本開示の実施形態について詳細に説明する前に、前提となる技術、及び本実施形態の手法の概要について説明する。なお、本実施形態では、ネットワークにおけるトラフィックの異常有無を検出する場合を例に説明するが、トラフィックに限らず適用が可能である。例えば、ネットワークのサーバ性能に関してCPUの使用率、及びハードディスク容量等に適用し、これらの異常有無の検出が可能である。また、ネットワークのトラフィックに限らず、電力、水道、又はガス等のインフラの流量にも適用可能である。
まず前提となる技術について説明する。ネットワークにおけるトラフィックの異常を検出する技術として、本開示の発明者が開発した特許文献2等に示されている技術(以下、参考技術と記載)がある。
参考技術では、トラフィックの変動を許容する範囲を規定した変動許容範囲、すなわち正常範囲の基準となる予測値を、トラフィック量の過去の実測値に基づくトラフィックモデルから時系列の波形として算出している。トラフィックが正常範囲に収まっているか否かを判定することにより、異常有無を判定する。実測値とは実際に測定されたトラフィック量を示す。そして、算出した予測値と、実測値とを比較して異常を検出している。本実施形態では、当該参考技術の予測値、及び異常検出の手法をベースとして用いるため、具体的な予測値の算出手法、及び異常の検出手法について説明する。
予測値の算出には、トラフィックモデルを用いる。トラフィックモデルには、自己回帰和分移動平均によるトラフィックモデル、又は回帰直線によるトラフィックモデル等を用いることができる。トラフィックモデルの学習データとしては、あるネットワークの経路について、単位時間ごとに実際に測定されたトラフィック量を用いる。例えば、単位時間を10分とする場合、サンプリング時刻を10分刻みに定める。サンプリング時刻を10:00とする場合、10:00時点で測定されたトラフィック量(Mbps)の測定結果を、10:00時点の学習データとする。単位時間の間のトラフィック量の平均を学習データとして用いてもよい。この場合、サンプリング時刻が10:00であれば、9:50−10:00までの間で任意の間隔(例えば、1分ごと、2分ごと等)でサンプリングしたトラフィック量の平均を10:00時点の学習データとすればよい。
トラフィックモデルは、ある学習期間のトラフィック量の推移を学習データとして用いて生成する。例えば、自己回帰和分移動平均のトラフィックモデルであれば、x(t)=β(t−1)+β(t−2)+・・・+β(t−n)と表せる。n(n=1,2,3,...)が週単位の学習期間を表し、tが週単位の予測期間の開始時点を表す。n=4であれば、予測期間の開始時点から前の4週間が学習期間となる。βは、週ごとのトラフィックモデルへの影響の度合いとなる係数であり、任意の値を用いる。β(t−1)であれば、開始時点の1週間前から開始時点までを表す。β(t−2)であれば、2週間前から1週間前までを表す。予測値を求める場合、例えば、学習期間の学習データで生成されたトラフィックモデルの自己回帰和分移動平均の推移から、予測期間中の所定時刻でサンプリングしたトラフィック量を求めて予測値とする。例えば、学習期間を4週間、予測期間を3週間とする場合、予測期間の開始時点を基準として、当該開始時点から前の4週間分の学習データを用いてトラフィックモデルを生成し、生成したトラフィックモデルから開始時点から3週間先の予測値を求める。このように、週単位の学習データでトラフィックモデルを生成して予測値を求めることにより、週の中での曜日ごとの傾向を反映した予測値が求められる。なお、学習期間及び予測期間は一例であり、任意の期間を定めることができる。また、単位時間の10分は一例であり、1分、5分、15分、20分等と任意の単位時間を定めることができる。上記の学習期間のトラフィック量の推移が、本開示の過去の実測値の一例である。
ここで、上述した課題において説明した予測したトラフィック量と実際のトラフィック量とに乖離が生じる場合というのは、参考技術では、予測値と実測値とに乖離が生じる場合に相当する。図1は、参考技術の適用例であり、算出した予測値と、実測値とを比較したグラフの一例を示す図である。図1の縦軸はトラフィック量、横軸は時刻を表している。縦軸は乗数で表したトラフィック量(Mbps)であり、4.0E+10であれば4の10乗の1,048,576Mbpsであることを示す。横軸は、2019−5−21(2019年5月21日)の15:00から3日ごとの日時をプロットした。図1に示す例では、Aの期間、及びBの期間で、予測値と実測値との乖離が生じている。Aの期間は、業務の繁忙期かつ月末締めの週でトラフィック量が増加しており、定常的に実測値の方が予測値よりも高くなるような乖離が生じている。Bの期間は、業務の繁忙期かつ月末締めが終了した翌月の週でトラフィック量が減少しており、定常的に予測値の方が実測値よりも高くなるような乖離が生じている。このように、Aの期間からBの期間という連続する期間において、種類の異なる乖離が生じてしまっている。ここで、参考技術の手法を参考にして、月単位又は年単位の変動を学習したモデルを作成して乖離の少ない予測値を求める手法も考えられる。しかし、この場合、数ヵ月から数年分の学習データが必要になり、長期の学習期間を要してしまう、という課題がある。
次に異常検出の手法について説明する。異常の検出は、基準となる予測値に対して定めた閾値に基づいて行う。例えば、予測値は上記算出手法によって設定されており、閾値として、上限閾値及び下限閾値を定める。この上限閾値及び下限閾値により定まる正常範囲に実測値が収まっているか否かに応じて異常を検出する。上限閾値及び下限閾値は、例えば、過去の一定期間の実測値から求めた標準偏差σを用いて、予測値+3σを上限閾値、及び予測値−3σを下限閾値として設定する。±3σはあくまで一例であるため、±2σ、±4σ等、適宜適切な上限閾値及び下限閾値を設定すればよい。標準偏差σは、例えば過去5週間分の実測値の標準偏差を用いる。図2は、予測値のグラフと上限閾値及び下限閾値との関係を模式的に示した概略図である。図2のグラフは、説明の便宜のため、時刻ごとのトラフィック量を示す波形のグラフを概略的に示したグラフとしている(以下の図でも同様)。図2において、予測値のグラフをピーク時間帯で一定値になるように描いているが、実際には図1で示したように、単位時間ごとに値をプロットした波形のグラフである。図2では、ピーク時間帯の時刻の予測値に対する上限閾値及び下限閾値を示している。ここで示した上限閾値及び下限閾値により定まる正常範囲が、当該時刻において異常なしと判定されるトラフィック量の範囲である。上限閾値及び下限閾値により定まる正常範囲により、実測値が当該正常範囲に収まっていれば異常なしと判定し、当該正常範囲に収まっていなければ異常ありと判定する。このように、上限閾値及び下限閾値の正常範囲を用いた判定により異常検出を行う。なお、ピーク時間帯以外の前後の時間帯についても正常範囲の考え方は同様である。以上が前提となる技術についての説明である。
次に、本実施形態の手法の概要について説明する。
上記の前提となる技術の課題から、予測値と実測値とに乖離が生じる場合を想定して、長期の学習期間を要さない手法により、予測値を補正して実測値に近づくようにしたい。補正により乖離が少なくなるように調整できれば、異常の検出を適切に行えると考えられる。そこで、本実施形態の手法では、予測値を補正した補正予測値を導入する。補正予測値は、前日の予測値及び実測値を元に当日の補正予測値を求める(具体的な補正予測値の算出手法については後述する)。つまり補正予測値は前日の実際のトラフィック量の傾向を反映して補正した予測値であるといえる。
図3は、前日の予測値及び実測値を元に当日の補正予測値を求めた場合の一例を示す図である。図3に示すように、前日(図3中ではx−1日)の予測値及び実測値を元に当日(図3中ではx日)の補正予測値を求める。図3の例では、前日の実測値が予測値よりも高かったため、予測値よりも補正予測値が高くなるように求められている。また、前日及び当日において予測値及び補正予測値のそれぞれについて、上記図2を用いて説明した上限閾値及び下限閾値を求める。(A)が予測値の上限閾値、(B)が予測値の下限閾値、(C)が補正予測値の上限閾値、(D)が補正予測値の下限閾値を示す。ここで、従来手法の正常範囲と本実施形態の手法の正常範囲の違いについて述べる。前日はまだ補正予測値を求めておらず従来手法の予測値のみを用いることになり、予測値の上限閾値(A)から予測値の下限閾値(B)までが正常範囲である。一方、補正予測値を求めた本実施形態の手法においては、当日の正常範囲について、予測値及び補正予測値のうち値が高い方の上限閾値から値が低い方の下限閾値までを正常範囲として扱う。図3の場合、補正予測値の上限閾値(C)から予測値の下限閾値(B)までの範囲を正常範囲として扱う。つまり、本実施形態における正常範囲は予測値と補正予測値との差に基づいて定められる。また、従前の予測値のみの正常範囲に比べて、本実施形態の正常範囲に幅を持たせているといえる。このように正常範囲を大きくしているのは、上記課題において説明したように、業務の時期又は業務の形態の変化等に応じてトラフィックの傾向に変動が生じ得るためである。
傾向の変動に対応するように正常範囲を定める場合の例を説明する。図4は、週の途中でトラフィック量のパターンが、増加傾向から減少傾向に変化する場合の一例を示す図である。図4に示す例では、予め過去の実績データ等に基づいて、破線のように5日間の予測値が設定されているものとする。しかし、例えば年度末等の突発的な事象により、週の1日目から3日目にかけてはトラフィック量が予測値よりも大きく増加傾向にあったものとする。補正予測値を用いた異常判定を行った場合、このような突発的な事象に基づくトラフィック量の増加を、不用意に異常と判定してしまうことが防止できる。しかし、例えば4日目から月が変わることで年度末の突発的なトラフィック増加が収まり、通常通りのトラフィック量に戻った場合に、単に補正予測値だけを用いた異常判定では、異常と判定してしまうことになる。しかし、本実施形態の手法では、補正予測値と予測値との間に収まっているか否かの判定を用いて異常判定を行うため、このような場合において誤って異常判定を行うことが防止できる。つまり、突発的な事象が収まってトラフィック量が通常状態に戻ったとしても、その通常状態の予測値も用いて異常判定しているため、突発的な事象の発生にも、当該突発的な事象の収束にも対応することが可能となるのである。
図4において補正予測値は、1日目から3日目の増加傾向において実測値と予測値とが大きく乖離しているため、この乖離を埋めるように求める。図4の場合は、1日目から3日目の増加傾向のパターンを捉えて、前日の予測値及び実測値を元に求められる。2日目から4日目の補正予測値は、予測値よりも高い数値となるように求められている。一方、4日目は減少傾向のパターンに変化したため、5日目の補正予測値は予測値よりも低い数値となるように求められる。また、予測値及び補正予測値のそれぞれについて上限閾値及び下限閾値が求められる。2日目から4日目の正常範囲は、補正予測値の上限閾値、及び予測値の下限閾値によって定められる。5日目の正常範囲は、予測値の上限閾値、及び補正予測値の下限閾値によって定められる。
図5は、週の途中でトラフィック量のパターンが、減少傾向から増加傾向に変化する場合の一例を示す図である。図5に示す例では、図4の場合と逆のパターンであり、週の1日目から3日目にかけてはトラフィック量が減少傾向にあったものとする。一方、4日目に突発的な事象の発生により増加傾向に変化している。図4及び図5のいずれの場合も、これらの突発的な事象の発生又は収束による傾向の変動は予め予測できない。そこで、突発的な事象による傾向の変動にも対応できるように、予測値及び補正予測値の両方を考慮した正常範囲を定めるのである。
上述したように、正常範囲は予測値と補正予測値との差に基づいて定められる。補正予測値は実測値と予測値との乖離を埋めるような値として求められているため、実測値と予測値との乖離の大きさに、正常範囲が比例するといえる。また、乖離が大きいということは、それだけトラフィックの傾向が大きく変動していることを示している。よって、このように傾向が大きく変動している不確実性の高い状況においては、正常範により幅を持たせてネットワークのトラフィックを監視する。これにより、予測の困難なトラフィックの変動にも柔軟に対応して、不要な異常を検出することなく、適切な異常の検出が行えるようになる。
本実施形態では、異常検出の対象は、業務に用いられるネットワークを対象経路とし、当該ネットワークのトラフィックの異常を検出する場合を例に説明する。
本実施形態では、予測値が求められている単位期間を日ごと(24時間ごと)として、異常の検出を行う。ここで、本実施形態の異常検出の単位期間に関する用語について整理する。以下、単位期間に関する用語として「対象日」、「対象期間」、「参照日」、及び「参照期間」を説明する。
「対象日」は、異常の検出を行う日である。本実施形態では、予測値の対象日に合わせて、対象日ごとに補正予測値を求める。対象日は、例えば、業務用のネットワークの異常の検出を行う場合であれば業務が行われる営業日とする。週の平日の月曜日から金曜日が営業日である場合は、月曜日から金曜日の5日間の各々の日を対象日とする。月曜日から金曜日の間に祝日がある場合は、祝日を除いた日を対象日とする。例えば、火曜日が祝日である場合は、月曜日、水曜日、木曜日、及び金曜日を対象日とする。なお、曜日に関わらず常時稼働するネットワークであれば、週の日の全てを対象日とすればよい。
「対象期間」は、対象日の各時間帯のうち、異常の検出を行う時間帯である。対象期間には、例えば、業務が稼働し始めてから業務が終了するまでの時間帯を設定すればよい。業務の時間帯が10:00−12:00、及び13:00−17:00であればそれぞれの時間帯を対象期間として設定する。このようにネットワークが業務で使用されている任意の時間帯を対象期間にして、異常の検出を行うようにする。なお、常時稼働しているネットワークであれば対象日の全ての時間帯を対象期間とすればよい。対象日の対象期間が、開示の技術の第一の対象期間の一例である。
「参照日」は、補正予測値を求めるための実測値及び予測値を取得する日である。参照日は、一つ前の対象日を参照日とすればよく、例えば、直近の対象日を参照日とすればよい。週において対象日が連続している場合には、対象日をx日と表すと、x−1日を参照日とする。なお、直近の対象日だった2日間(x−1日、及びx−2日)を参照日とする等、複数の参照日としてもよい。また、複数の参照日とする場合には、直近の参照日の影響が大きくなるように重み付け等を行ってもよい。
「参照期間」は、参照日の各時間帯のうち、補正予測値を求めるのに用いる実測値及び予測値を取得する一つ以上の時間帯である。このように参照期間を定めるのは、ネットワークが集中的に使用されている時間帯が、予測値と実測値との乖離が生じやすいと考えられるからである。参照期間には、例えば、業務のピーク時間帯を設定すればよい。業務のピーク時間帯が10:00−11:30、及び14:30−15:30であれば当該時間帯を設定する。このような参照期間の実測値及び予測値を用いることで、実測値に対する乖離を少なくするような補正予測値を求められる。なお、参照期間と対象期間とは同一であってもよい。参照期間が、本開示の技術の第二の対象期間の一例である。
なお、単位期間が日ごとではなく、例えば、24時間よりも短い12時間である場合には、12時間ごとに対象期間及び参照期間を規定すればよい。同様に、24時間よりも長い36時間であれば、36時間ごとに対象期間及び参照期間を規定すればよい。また、単位期間が2日(48時間)ごとである場合には、2日ごとに対象期間及び参照期間を規定すればよい。他の時間間隔の場合も同様である。また、対象経路ごとに、対象期間、及び参照期間を定めるようにしてもよい。
以下、本開示の実施形態の構成及び作用について詳細に説明する。
図6に示すように、本実施形態に係るトラフィック管理装置100は、送受信部110と、トラフィック情報記憶部112と、予測部114と、予測情報記憶部116と、導出部118と、補正情報記憶部120と、算出部122と、検出部124とを含む。
送受信部110は、ネットワークの経路の各々へのトラフィック情報のリクエストの送信、及び経路の各々からのトラフィック情報の受信を行う。トラフィック管理装置100では、受信した当該経路の各々を、異常検出を行う対象経路とする。トラフィック情報は、各経路のトラフィック量を含む経路に関する情報である。送受信部110は、トラフィック情報を受信すると、トラフィック情報記憶部112に格納する。
トラフィック情報記憶部112には、対象経路の各々のトラフィック情報が格納される。本実施形態では、トラフィック情報のうち、単位時間ごとのトラフィック量を実測値として扱う。
予測部114は、経路の各々について、トラフィックの予測値を求めて格納する。予測値は、上述した参考技術の手法を用いて、過去の実測値に基づくトラフィックモデルを用いて求めればよい。予測値は対象日よりも前に予め求めておけばよく、上述した例で示したように、例えば、予測期間の開始時点から過去4週間分の実測値を学習データとして用いて、当該開始時点から3週間先までの予測値を求めておく。トラフィックモデルは、トラフィック情報記憶部112に格納したトラフィック情報を用いて学習する。
予測情報記憶部116には、対象経路の各々のトラフィックモデル及び予測値が格納される。
導出部118は、対象経路の各々について、予測値に補正係数αを乗じて対象期間の補正予測値を求め、補正情報記憶部120に格納する。補正係数αは、参照期間の実測値と、参照期間の予測値とに基づいて、参照期間の単位時間ごとの実測値と予測値との比率(実測値/予測値)の平均値により算出する。比率は、実測値と予測値との乖離の大きさを表す値である。以下、補正係数α及び補正予測値の求め方について詳細に説明する。
図7は、補正係数αに基づいて補正予測値を求める場合の一例を示す図である。図7の例では、対象日をx日、参照日をx−1日と表している。参照日(x−1日)の参照期間の実測値及び予測値から補正係数αを算出する。そして、対象日(x日)の予測値に補正係数αを乗じた値を補正予測値として算出する。図7の例の場合には、x−1日の参照期間において、予測値が実測値を下回っているため、x日の補正予測値を予測値よりも大きくするような補正係数αが求められる。x日では、補正係数αを予測値に乗算して、予測値よりも大きな補正予測値が求められる。
図8は、補正係数αの算出に用いる参照期間の実測値及び予測値のデータの一例を示す図である。図8の例では、参照期間は、2019/5/27の10:00〜11:30の間、及び14:00〜15:30の間の時間帯とし、単位時間を10分として、10分刻みでサンプリングを行う。サンプリング時刻は、10:00/10:10/10:20・・・/11:30、及び14:00/14:10/14:20・・・/15:30である。サンプリング時刻ごとのトラフィック量を実測値としてトラフィック情報記憶部112から取得する。また、当該サンプリング時刻が含まれる単位時間の間のトラフィック量の平均を実測値として取得してもよい。サンプリング時刻が10:00であれば、9:50から10:00の間の任意の間隔(例えば、1分ごと、2分ごと等)のトラフィック量をトラフィック情報記憶部112から取得し、取得したトラフィック量の平均を実測値とする。サンプリング時刻が15:30であれば、15:20から15:30の間の任意の間隔のトラフィック量の平均を実測値としてトラフィック情報記憶部112から取得する。また、参照期間の単位時間ごとの予測値を予測情報記憶部116から取得する。そして、サンプリング時刻ごとに実測値と予測値との比率を求める。10:00のサンプリング時刻では、比率が1.113と求められる。ここで、実測値のデータには、一時的なトラフィックの増大又は低下等による異常値が含まれ得る。そのため、異常値を除去するため、求めた比率を昇順に並べ、上位10%及び下位10%を除外する。そして、残りの80%の比率の平均値を補正係数αとして求める。図8の例では、上位10%が、本開示の最大値を含む所定の範囲の一例であり、下位10%が、最小値を含む所定の範囲の一例である。なお、上位10%及び下位10%は一例であり、他のパーセンテージとしてもよい。また、比率を昇順でなく降順に並べても同様に所定の範囲を除外すればよい。
以上のように、補正係数αは、参照期間の単位時間ごとの実測値と予測値との比率を求め、異常値を除去した残りの比率についての平均値として求める。なお、比率の平均値は、一例であり、中央値を用いてもよい。また、この参照期間の時間帯、及び単位時間は一例であり、他の時間帯、及び単位時間としてもよい。なお、上記の説明では、実測値と予測値との比率は、(実測値/予測値)とする場合を例に説明したが、比率を(予測値/実測値)として補正係数αを求めてもよい。この場合には、補正係数αで予測値を除して補正予測値を求める。
また、補正係数αは、週の単位での持ち越し設定を予め定めておく。持ち越し設定とは、翌週に補正係数αを持ち越さずにリセットするか、補正係数αを持ち越して利用するかを定める設定である。リセットするとは、例えば、月曜日を対象日とする場合に、月曜日は補正予測値を用いないということである。つまり、リセットする場合、前週の何れかの日を参照日として補正係数αは求めない。また、持ち越すとは、例えば、月曜日を対象日とする場合に、月曜日の補正予測値には、前週の何れかの日を参照日として求めた補正係数αを用いる、ということである。このように週ごとに持ち越し設定を導入するのは、時期によってトラフィックの変動の傾向が異なる場合があるからである。持ち越し設定は、予め設定しておいてもよいし、週の初日の統計をとって自動的に行ってもよい。このように、週のうちの初日と規定される日は、補正予測値を求めない、又は前週の所定の日を参照日として補正予測値を求めるように設定しておく。なお、対象日である月曜日が、本開示の週の初日と既定される日の一例である。
図9は、週の初日に補正係数αをリセットして、翌日以降から補正係数αを求めて補正予測値を求める場合の例を示す図である。図9に示す例では、トラフィックの実測値が予測値よりも大きい傾向が週をまたぐと終わり、実測値が小さくなっている。このようにトラフィックの変動傾向が週をまたいでも継続しないと想定される場合は、補正係数αを持ち越さずにリセットする設定にしておけばよい。図9に示す例では、前の週の補正係数αを持ち越さずに、初日はリセットして翌日から補正予測値を求めている。
図10は、前週の補正係数αを持ち越して、補正予測値を求める場合の例を示す図である。図10に示す例では、トラフィックの実測値が予測値よりも大きい傾向が週をまたいでも続いている。このようにトラフィックの変動傾向が週をまたいでも継続すると想定される場合は、補正係数αを持ち越す設定にしておけばよい。図10の例では、前週の月曜の補正係数αを持ち越して用いて補正予測値を求める。なお、前週のいずれの日の補正係数αを持ち越すかは任意であり、例えば前週の最後の対象日の補正係数αを持ち越すようにしてもよい。また、前週の補正係数αの平均、又は中央値等の補正係数αを算出して、週の初日に持ち越すようにしてもよい。
以上が導出部118の補正予測値の求め方についての説明である。
補正情報記憶部120には、対象経路の各々の補正係数α及び補正予測値が格納される。また、補正情報記憶部120には、後述する算出部122で算出した、対象経路の各々についての単位時間ごとの正常範囲の設定が格納される。正常範囲の設定は、当該正常範囲を定める上限閾値及び下限閾値である。
算出部122は、対象経路の各々について、予測値及び補正予測値のそれぞれについての上限閾値及び下限閾値に基づいて、単位時間ごとの正常範囲を設定する。予測値及び補正予測値のそれぞれの上限閾値及び下限閾値は、参考技術の手法を用いて、標準偏差σを用いて求めればよい。例えば、予測値については「予測値+3σ」を予測値の上限閾値、「予測値−3σ」を予測値の下限閾値とする。補正予測値については「補正予測値+3σ」を補正予測値の上限閾値、「補正予測値−3σ」を補正予測値の下限閾値とする。単位時間ごとの正常範囲は、予測値及び補正予測値のうち値が高い方の上限閾値から値が低い方の下限閾値までを設定する。補正予測値>予測値である場合には、補正予測値の上限閾値から予測値の下限閾値の範囲を正常範囲として定める。補正予測値<予測値である場合には、予測値の上限閾値から補正予測値の下限閾値の範囲を正常範囲として定める。このように、予測値と前記補正予測値との、一方を上限値に、他方を下限値にして、正常範囲を定める。なお、予測値及び補正予測値が同値の場合は何れの上限閾値及び下限閾値を用いても正常範囲は同じであるため何れを用いてもよい。
検出部124は、対象経路の各々について、算出部122で設定した正常範囲を用いて、異常を検出する。異常の検出手法は、上述した参考技術の手法をベースにすればよく、単位時間ごとに、実測値が正常範囲に収まっているか否かを判定する。正常範囲に収まっている場合には異常なしと判定し、正常範囲に収まっていない場合には異常ありと判定する。検出部124は、このように正常範囲を用いた異常有無の判定により異常を検出する。
トラフィック管理装置100は、例えば図11に示すコンピュータ20で実現することができる。コンピュータ20は、Central Processing Unit(CPU)21と、一時記憶領域としてのメモリ22と、不揮発性の記憶部23とを備える。また、コンピュータ20は、入出力装置24と、記憶媒体29に対するデータの読み込みおよび書き込みを制御するRead/Write(R/W)部25と、インターネット等のネットワークに接続される通信インターフェース(I/F)26とを備える。CPU21、メモリ22、記憶部23、入出力装置24、R/W部25、および通信I/F26は、バス27を介して互いに接続される。
記憶部23は、Hard Disk Drive(HDD)、Solid State Drive(SSD)、フラッシュメモリ等によって実現できる。記憶媒体としての記憶部23には、コンピュータ20をトラフィック管理装置100として機能させるための管理プログラム30が記憶される。管理プログラム30は、予測プロセス32と、導出プロセス33と、算出プロセス34と、検出プロセス35とを有する。また、記憶部23は、トラフィック情報記憶部112、予測情報記憶部116、および補正情報記憶部120の各々を構成する情報が記憶される情報記憶領域60を有する。なお、管理プログラム30は、開示の技術の異常検出プログラムの一例である。
CPU21は、管理プログラム30を記憶部23から読み出してメモリ22に展開し、管理プログラム30が有するプロセスを順次実行する。CPU21は、予測プロセス32を実行することで、図6に示す予測部114として動作する。また、CPU21は、導出プロセス33を実行することで、図6に示す導出部118として動作する。また、CPU21は、算出プロセス34を実行することで、図6に示す算出部122として動作する。CPU21は、検出プロセス35を実行することで、図6に示す検出部124として動作する。また、CPU21は、情報記憶領域39から情報を読み出して、トラフィック情報記憶部112、予測情報記憶部116、及び補正情報記憶部120の各々をメモリ22に展開する。これにより、管理プログラム30を実行したコンピュータ20が、トラフィック管理装置100として機能することになる。なお、プログラムを実行するCPU21はハードウェアである。
なお、管理プログラム30により実現される機能は、例えば半導体集積回路、より詳しくはApplication Specific Integrated Circuit(ASIC)等で実現することも可能である。
次に、本実施形態に係るトラフィック管理装置100の作用について説明する。トラフィック管理装置100の作用は、対象期間の開始前に行っておく補正処理と、対象期間の検出処理とに分けられる。なお、予め予測部114の処理を実行し、予測情報記憶部116に対象経路の各々の予測値が格納されていることを前提とする。補正処理及び検出処理は、開示の技術の異常検出方法の一例である。
補正処理について、図12のフローチャートを参照して説明する。以下の補正処理は、対象経路の各々について実行する。
ステップS100では、導出部118が、補正処理タイミングであるか否かを判定して、補正処理タイミングである場合にはステップS102へ移行し、補正処理タイミングでない場合には、所定の時間間隔を置いて当該ステップS100を繰り返す。補正処理タイミングは、対象経路の各々について、当該対象経路の対象期間の開始前の任意の時間に設定しておけばよい。
ステップS102では、導出部118が、対象経路について、参照日の参照期間の実測値と予測値とを取得する。実測値はトラフィック情報記憶部112から取得し、予測値は予測情報記憶部116から取得する。
ステップS104では、導出部118が、対象経路について、参照日の参照期間の実測値と予測値とに基づいて、補正係数αを算出する。補正係数αは、参照期間の単位時間ごとの実測値と予測値との比率の平均値により算出する。
ステップS106では、導出部118が、対象経路について、対象期間の予測値に補正係数αを乗じて補正予測値を求め、補正情報記憶部120に格納する。
ステップS108では、算出部122が、対象経路について、対象期間の単位時間ごとの予測値及び補正予測値のそれぞれについての上限閾値及び下限閾値を算出する。
ステップS110では、算出部122が、対象経路について、対象期間の単位時間ごとの正常範囲を設定し、正常範囲の設定を補正情報記憶部120に格納する。正常範囲の設定は、ステップS108で算出した予測値及び補正予測値のそれぞれについての上限閾値及び下限閾値に基づいて、予測値及び補正予測値のそれぞれのうち、値が高い方の上限閾値と値が低い方の下限閾値を選択して正常範囲とするように定める。このように、正常範囲を予測値と補正予測値との差に基づいて定める。
次に、検出処理について説明する。図13のフローチャートを参照して説明する。検出処理は、対象経路の各々について、単位時間ごと(例えば、5分ごと、10分ごと等)に実行される。以下では、一つの対象経路について検出処理を実行する場合を例に説明する。
ステップS200では、算出部122が、現在の時間が対象期間であるか否かを判定して、対象期間である場合にはステップS202へ移行し、対象期間でない場合には、処理を終了する。
ステップS202では、算出部122が、対象経路について、当該単位時間の正常範囲の設定を取得する。正常範囲の設定は補正情報記憶部120から取得する。
ステップS204では、算出部122が、対象経路について、設定手法の設定に応じた単位時間分の実測値をトラフィック情報記憶部112から取得する。例えば、現時点が10:10である場合には、10:10時点のトラフィック量を実測値としてトラフィック情報記憶部112から取得する。
ステップS206では、検出部124が、ステップS204で取得した実測値とステップS202で取得した正常範囲の設定に基づいて、実測値が正常範囲に収まっているか否かを判定する。正常範囲に収まっている場合にはステップS208へ移行し、正常範囲に収まっていない場合にはステップS210へ移行する。
ステップS208では、検出部124が、当該単位時間についての実測値に異常が発生していないと判定して、異常なしと出力する。ステップS210では、検出部124が、当該単位時間についての実測値に異常が発生していると判定して、異常ありと出力する。なお、ステップS204からS210までの実測値を取得して異常を検出する処理は、検出処理を実行する単位時間より短い間隔で繰り返し実行してもよい。
以上が本実施形態の補正処理及び検出処理の説明である。
本実施形態に係る手法の実験例について説明する。図14は、本実施形態に係る手法の実験例を示す図である。図14に示す実験例では、5月最終週の繁忙期と、翌月の6月第1週の閑散期とについて、週ごとに補正係数αをリセットして補正予測値を求めた。本実験においては、予測値よりも補正予測値が実測値に近い傾向となっており、補正予測値を用いて異常検出を行うことの有効性が確認できた。
また、ネットワークの管理者がトラフィックの推移を確認できる画面の例について説明する。図15は、トラフィックの実測値、正常範囲の上限値、及び正常範囲の下限値の推移を表示する画面例を示す図である。図15に示す画面例のように、実測値、正常範囲の上限値、及び正常範囲の下限値の推移を表示することで、リアルタイムに異常有無の監視が行える。図15において、実線が実測値、点線が補正予測値による正常範囲の上限値、破線が予測値による正常範囲の下限値を表す。また、図16に示す画面例のように、実測値が正常範囲の下限値を下回った場合には、異常が発生している旨を表示する。
以上説明したように、本実施形態に係るトラフィック管理装置100によれば、対象経路の各々について、参照期間の実測値と予測値とに基づいて、補正係数αを算出し、対象期間の予測値に補正係数αを乗じて補正予測値を求める。予測値及び補正予測値について正常範囲を算出する。また、対象期間のうちの所定の期間の実測値を取得し、正常範囲を用いて、異常を検出する。これにより、予測の困難な変動に応じた適切な異常の検出が行える。
[変形例]
本実施形態の変形例について説明する。
例えば、上述した実施形態では、補正係数αを用いる場合を例に説明したが、これに限定されるものではなく、補正係数βに代えて、参照期間の実測値と予測値との差から算出された補正値βを用いてもよい。補正値βを用いる場合には、補正値βを予測値に加算した値を補正予測値として求める。また、この場合に、比率に代えて、実測値と予測値との差を用いる。補正値βは、差の値について、最大値を含む所定の範囲に含まれる値、及び最小値を含む所定の範囲に含まれる値を除去し、残りの差の値を用いた平均値として算出する。そして、補正値βを予測値に加算することにより補正予測値を求める。
また、異常の検出は、例えば、実測値と予測値との差分、及び実測値と補正予測値との差分を用いて以下(1−1)式、及び(1−2)式により異常度を算出して行ってもよい。
第1異常度=((実測値)−(予測値)) (1−1)
第2異常度=((実測値)−(補正予測値)) (1−2)
第1異常度と第2異常度とをそれぞれ予め設定した閾値と比較し、何れかが閾値に収まっている場合は異常なしと判定し、何れも閾値に収まっていない場合に異常有りと判定して、異常を検出する。この場合、これらの異常度を本開示の基準として用いる。また、(1−1)式、及び(1−2)式は、以下の(2−1)式、及び(2−2)式に置き換えてもよい。
第1異常度=(((実測値)−(予測値))/(予測値)) (2−1)
第2異常度=(((実測値)−(補正予測値))/(補正予測値)) (2−2)
また、補正予測値は、予測値、実測値、及び補正係数αの各データと補正予測値との関係を定めたテーブル等に記憶しておいて読み出すことにより求めてもよい。
また、補正予測値は、深層学習等の手法を用いて求めてもよい。深層学習等の手法を用いる場合には、学習データとして、対象期間に取得された実測値と、対象期間の予測値及び補正予測値と、参照期間の実測値及び予測値との各々を用いて、補正予測値を出力する補正モデルを学習する。学習データは、一定の期間、例えば数週間など本実施形態の手法により蓄積すればよい。補正モデルが、上述した実施形態の補正係数αに相当する。補正モデルは、補正予測値と実測値との差を最適化するように学習される。導出部118は、学習した補正モデルに、参照期間の実測値及び予測値を入力し、補正モデルの出力として補正予測値を求めるようにすればよい。補正モデルを用いることで、対象経路のトラフィックの変動の傾向に対応できる。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されており、
第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求め、
前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する、
処理をコンピュータに実行させる異常検出方法。
(付記2)
前記補正予測値は、
前記第二の対象期間の前記実測値と前記予測値との比率から算出された補正係数、又は前記第二の対象期間の前記実測値と前記予測値との差から算出された補正値を用いて求める付記1に記載の異常検出方法。
(付記3)
前記補正係数を用いる場合は、前記比率について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正係数を算出し、
前記補正値を用いる場合は、前記差について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正値を算出する付記2に記載の異常検出方法。
(付記4)
前記基準は、前記予測値及び前記補正予測値のそれぞれについて求めた上限閾値及び下限閾値により定まる正常範囲とし、
実測値が前記正常範囲に収まっている場合に、異常が発生していないと判定し、実測値が前記正常範囲に収まっていない場合に、異常が発生していると判定することにより異常を検出する付記1乃至付記3の何れかに記載の異常検出方法。
(付記5)
前記正常範囲は、前記予測値と前記補正予測値との差に基づいて定められる付記4に記載の異常検出方法。
(付記6)
前記第一の対象期間が週のうちの初日と規定される日である場合は、前週の所定の日の対象期間を参照して前記補正予測値を求める付記1乃至付記5の何れかに記載の異常検出方法。
(付記7)
対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されており、
第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求め、
前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する、
処理をコンピュータに実行させる異常検出プログラム。
(付記8)
前記補正予測値は、
前記第二の対象期間の前記実測値と前記予測値との比率から算出された補正係数、又は前記第二の対象期間の前記実測値と前記予測値との差から算出された補正値を用いて求める付記7に記載の異常検出プログラム。
(付記9)
前記補正係数を用いる場合は、前記比率について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正係数を算出し、
前記補正値を用いる場合は、前記差について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正値を算出する付記8に記載の異常検出プログラム。
(付記10)
前記基準は、前記予測値及び前記補正予測値のそれぞれについて求めた上限閾値及び下限閾値により定まる正常範囲とし、
実測値が前記正常範囲に収まっている場合に、異常が発生していないと判定し、実測値が前記正常範囲に収まっていない場合に、異常が発生していると判定することにより異常を検出する付記7乃至付記9の何れかに記載の異常検出プログラム。
(付記11)
前記正常範囲は、前記予測値と前記補正予測値との差に基づいて定められる付記10に記載の異常検出プログラム。
(付記12)
前記補正予測値は、
前記第一の対象期間が週のうちの初日と規定される日である場合は、前週の所定の日の対象期間を参照して前記補正予測値を求める付記7乃至付記11の何れかに記載の異常検出プログラム。
(付記13)
対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されており、
第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求める導出部と、
前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する検出部と、
を含む異常検出装置。
(付記14)
前記補正予測値は、
前記第二の対象期間の前記実測値と前記予測値との比率から算出された補正係数、又は前記第二の対象期間の前記実測値と前記予測値との差から算出された補正値を用いて求める付記13に記載の異常検出装置。
(付記15)
前記補正係数を用いる場合は、前記比率について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正係数を算出し、
前記補正値を用いる場合は、前記差について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正値を算出する付記14に記載の異常検出装置。
(付記16)
前記基準は、前記予測値及び前記補正予測値のそれぞれについて求めた上限閾値及び下限閾値により定まる正常範囲として求める算出部を更に含み、
実測値が前記正常範囲に収まっている場合に、異常が発生していないと判定し、実測値が前記正常範囲に収まっていない場合に、異常が発生していると判定することにより異常を検出する付記13乃至付記15の何れかに記載の異常検出装置。
(付記17)
対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されており、
第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求め、
前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する、
処理をコンピュータに実行させる異常検出プログラムを格納した記憶媒体。
(付記18)
前記補正予測値は、
前記第二の対象期間の前記実測値と前記予測値との比率から算出された補正係数、又は前記第二の対象期間の前記実測値と前記予測値との差から算出された補正値を用いて求める付記17に記載の記憶媒体。
(付記19)
前記補正係数を用いる場合は、前記比率について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正係数を算出し、
前記補正値を用いる場合は、前記差について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正値を算出する付記18に記載の記憶媒体。
(付記20)
前記基準は、前記予測値及び前記補正予測値のそれぞれについて求めた上限閾値及び下限閾値により定まる正常範囲とし、
実測値が前記正常範囲に収まっている場合に、異常が発生していないと判定し、実測値が前記正常範囲に収まっていない場合に、異常が発生していると判定することにより異常を検出する付記17乃至付記19の何れかに記載の記憶媒体。
20 コンピュータ
21 CPU
22 メモリ
23 記憶部
24 入出力装置
29 記憶媒体
30 管理プログラム
100 トラフィック管理装置
110 送受信部
112 トラフィック情報記憶部
114 予測部
116 予測情報記憶部
118 導出部
120 補正情報記憶部
122 算出部
124 検出部

Claims (7)

  1. 対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されており、
    第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求め、
    前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する、
    処理をコンピュータに実行させる異常検出方法。
  2. 前記補正予測値は、
    前記第二の対象期間の前記実測値と前記予測値との比率から算出された補正係数、又は前記第二の対象期間の前記実測値と前記予測値との差から算出された補正値を用いて求める請求項1に記載の異常検出方法。
  3. 前記補正係数を用いる場合は、前記比率について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正係数を算出し、
    前記補正値を用いる場合は、前記差について、最大値を含む所定の範囲及び最小値を含む所定の範囲を除いて前記補正値を算出する請求項2に記載の異常検出方法。
  4. 前記基準は、前記予測値及び前記補正予測値のそれぞれについて求めた上限閾値及び下限閾値により定まる正常範囲とし、
    実測値が前記正常範囲に収まっている場合に、異常が発生していないと判定し、実測値が前記正常範囲に収まっていない場合に、異常が発生していると判定することにより異常を検出する請求項1乃至請求項3の何れか1項に記載の異常検出方法。
  5. 前記正常範囲は、前記予測値と前記補正予測値との差に基づいて定められる請求項4に記載の異常検出方法。
  6. 前記第一の対象期間が週のうちの初日と規定される日である場合は、前週の所定の日の対象期間を参照して前記補正予測値を求める請求項1乃至5の何れか1項に記載の異常検出方法。
  7. 対象期間ごとに、前記対象期間の異常有無を判定するための基準となる予測値が設定されており、
    第一の対象期間より前の第二の対象期間についての前記予測値と実測値とに基づいて、前記第一の対象期間の前記予測値を補正した補正予測値を求め、
    前記第一の対象期間に対応する前記予測値と前記補正予測値との、一方を上限値に、他方を下限値に、定めた基準を用いて、前記第一の対象期間の異常有無を判定する、
    処理をコンピュータに実行させる異常検出プログラム。
JP2020087677A 2020-05-19 2020-05-19 異常検出方法、及び異常検出プログラム Pending JP2021182287A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2020087677A JP2021182287A (ja) 2020-05-19 2020-05-19 異常検出方法、及び異常検出プログラム
EP21159237.3A EP3913885A1 (en) 2020-05-19 2021-02-25 Anomaly detection method and program
US17/193,746 US11863418B2 (en) 2020-05-19 2021-03-05 Anomaly detection method and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020087677A JP2021182287A (ja) 2020-05-19 2020-05-19 異常検出方法、及び異常検出プログラム

Publications (1)

Publication Number Publication Date
JP2021182287A true JP2021182287A (ja) 2021-11-25

Family

ID=74758618

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020087677A Pending JP2021182287A (ja) 2020-05-19 2020-05-19 異常検出方法、及び異常検出プログラム

Country Status (3)

Country Link
US (1) US11863418B2 (ja)
EP (1) EP3913885A1 (ja)
JP (1) JP2021182287A (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11775502B2 (en) * 2021-03-12 2023-10-03 Adobe Inc. Facilitating efficient and effective anomaly detection via minimal human interaction
JP2022165669A (ja) * 2021-04-20 2022-11-01 株式会社日立製作所 異常検出装置、異常検出方法、および異常検出プログラム
US11973779B2 (en) * 2021-05-11 2024-04-30 Bank Of America Corporation Detecting data exfiltration and compromised user accounts in a computing network
CN114301803B (zh) * 2021-12-24 2024-03-08 北京百度网讯科技有限公司 网络质量检测方法、装置、电子设备及存储介质
CN116183058B (zh) * 2023-04-21 2023-07-07 实德电气集团有限公司 一种智能电容器的监测方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5448787B2 (ja) 2009-12-21 2014-03-19 三菱重工業株式会社 計算機管理装置、計算機管理方法及び計算機管理プログラム
JP5221594B2 (ja) 2010-05-27 2013-06-26 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
US20150281008A1 (en) * 2014-03-25 2015-10-01 Emulex Corporation Automatic derivation of system performance metric thresholds
US20160050132A1 (en) * 2014-08-18 2016-02-18 Telefonaktiebolaget L M Ericsson (Publ) Method and system to dynamically collect statistics of traffic flows in a software-defined networking (sdn) system
JP6742894B2 (ja) * 2016-06-09 2020-08-19 株式会社日立製作所 データ予測システムおよびデータ予測方法
US11082439B2 (en) * 2016-08-04 2021-08-03 Oracle International Corporation Unsupervised method for baselining and anomaly detection in time-series data for enterprise systems
JP6993559B2 (ja) 2017-05-16 2022-01-13 富士通株式会社 トラフィック管理装置、トラフィック管理方法およびプログラム
JP6834773B2 (ja) * 2017-05-22 2021-02-24 富士通株式会社 管理装置、データセンタ管理プログラム、データセンタ管理方法及びデータセンタシステム
JP6710241B2 (ja) * 2018-06-18 2020-06-17 株式会社日立製作所 監視システム及びその制御方法
US11190425B2 (en) * 2019-12-30 2021-11-30 Viavi Solutions Inc. Anomaly detection in a network based on a key performance indicator prediction model

Also Published As

Publication number Publication date
EP3913885A1 (en) 2021-11-24
US20210367875A1 (en) 2021-11-25
US11863418B2 (en) 2024-01-02

Similar Documents

Publication Publication Date Title
JP2021182287A (ja) 異常検出方法、及び異常検出プログラム
US10496465B2 (en) System operations management apparatus, system operations management method and program storage medium
US7472388B2 (en) Job monitoring system for browsing a monitored status overlaps with an item of a pre-set browsing end date and time
US9864659B2 (en) Scheduling and executing a backup
JP4965064B2 (ja) 異常検出のための自己学習方法及びシステム
US8868993B1 (en) Data replacement policy
WO2016161263A1 (en) Predictive analytic reliability tool set for detecting equipment failures
US9600391B2 (en) Operations management apparatus, operations management method and program
US9417981B2 (en) Data processing system, data processing method, and program
US7756676B1 (en) Detecting data change based on adjusted data values
WO2017150286A1 (ja) システム分析装置、システム分析方法、及び、コンピュータ読み取り可能な記録媒体
JP4924457B2 (ja) 雨量値・累計雨量値の収集・積算方法
US8924343B2 (en) Method and system for using confidence factors in forming a system
JP2010152431A (ja) 不正アクセス検知装置及び不正アクセス検知プログラム及び記録媒体及び不正アクセス検知方法
JP2007164346A (ja) 決定木変更方法、異常性判定方法およびプログラム
CN112418534B (zh) 揽件量预测方法及装置、电子设备、计算机可读存储介质
US20130030863A1 (en) Trend-based target setting for process control
CN108920310B (zh) 接口数据的异常值检测方法及系统
JP2007065779A (ja) コーザル要因効果予測方法、コーザル要因効果予測装置及びコーザル要因効果予測プログラム
WO2018003053A1 (ja) データ収集サーバおよび欠損データ補完方法
US20240073047A1 (en) Management method, management device, and recording medium
US11829226B2 (en) Anomaly detection apparatus, anomaly detection method, and anomaly detection program
JP2017199267A (ja) フロー生成プログラム、フロー生成方法およびフロー生成装置
CN113420422A (zh) 一种告警日志占比预测方法、系统、设备以及介质
AU2020225753A1 (en) Improved computer-implemented event forecasting and information provision

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240306

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240416