JP4354480B2 - 異常トラヒック検知装置および方法 - Google Patents
異常トラヒック検知装置および方法 Download PDFInfo
- Publication number
- JP4354480B2 JP4354480B2 JP2006327882A JP2006327882A JP4354480B2 JP 4354480 B2 JP4354480 B2 JP 4354480B2 JP 2006327882 A JP2006327882 A JP 2006327882A JP 2006327882 A JP2006327882 A JP 2006327882A JP 4354480 B2 JP4354480 B2 JP 4354480B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- value
- abnormal
- observed
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
なお、パラメータ学習装置100におけるパラメータ学習において、最尤推定やEMアルゴリズムなどが利用できるのは公知の技術である。
観測トラヒックyl+nが正常値に戻ったかどうかは、前述のn期先予測値^yl+nと正常時の観測誤差の標準偏差√(^rl)から計算される復帰閾値との比較によって行われる。すなわち、観測トラヒックyl+nが復帰閾値^yl+n+α√(^rl)以下になっていれば、観測トラヒックyl+nは正常状態へ戻ったと判定される。ここに、αは予め定められるパラメータであり、正常時処理装置110における検出閾値計算装置112で用いるパラメータと同じものでもよい。
現在の状態(異常か正常か)を表すフラグflagを管理しておく、なお、正常時ならばflag=0、異常時ならばflag=1とする。また、異常発生時点(つまりflagが0から1へ変わった時点)である時点lを記憶しておく。観測値ytが入力されたら、正常時(flag=0)ならば異常トラヒック発生検知装置113へ、異常時(flag=1)ならば異常トラヒック終了判定装置123へ、現時点のトラヒックの観測値ytおよびflagの値を通知する。また、異常発生時点lを異常トラヒック終了判定装置123へ通知する。また、異常トラヒック検出装置113から異常発生の旨を受信したら、flagを1にし、異常トラヒック終了判定装置123から異常終了の旨を受信したら、flagを0にする。
選択装置からytおよびflagが通知されたら、検出閾値計算装置112から閾値Thtを読み出し、yt>Thtならば、異常トラヒック発生と判定し、その旨を選択装置130へ通知する。また、ytの値およびflagの値を、一期先予測装置111およびパラメータ学習装置100へ通知する。
異常トラヒック発生検知装置113あるいは異常トラヒック終了判定装置120からytおよびflagを受信したら、以下の計算を実施する。
一期先予測装置111から現時点tの観測値ytおよび時点t−1での一期先予測値^ytを受信し、かつ、パラメータ学習装置100からARMAモデルの係数を受信したら、以下の計算を実施する。まず、本装置内で保持している、予測誤差yt−^ytに関する誤差分散σ2の推定値^σ2を用いて、異常検出閾値ThtをTht=^yt+α^σと計算し、記憶しておく。その後、観測値ytを用いて^σ2を以下のように更新する。
異常トラヒック発生検知装置113から通知された観測値ytを用いて、ARMAモデルの係数a1,a2,b1,b2を以下の手順で学習する。まず、パラメータ学習用のカルマンフィルタ状態空間モデルを以下のように表す。
選択装置130から観測値yt,flag,異常発生時点lを受信したら、まず、異常発生時点lからの経過時刻をn(=t−l)とし、yl+n=ytとする。その後、復帰閾値計算装置122から閾値Thl+n’を読み出し、yl+n<Thl+n’ならば、異常終了と判定し、flag=0としてその旨を選択装置130へ通知する。また、ytの値およびflagの値を、一期先予測装置111およびパラメータ学習装置100へ通知する。また、異常発生時点lをn期先予測装置121に通知する。
異常トラヒック終了判定装置123から異常発生時点lを受信したら、その時点からのn期先における予測値^yl+nを以下の式で計算する。
n期先予測装置121からn期先予測値^yl+nを受信したら、検出閾値計算装置112から、最新の^σの値を読み出し、復帰閾値Thl+n’をThl+n’=^yl+n+α^σと計算し、記憶しておく。
Claims (2)
- 時々刻々と訪れるトラヒックデータについて、予め決められたある時間間隔ごとに集約されたトラヒックの変化を監視しネットワークトラヒックの異常を検知する異常トラヒック検知装置であって、
観測されたトラヒック値が正常状態であると判定された後に処理を行う正常時処理装置と、観測されたトラヒック値が異常状態であると判定された後に処理を行う異常時処理装置と、各々の処理装置から送られる制御信号を受けて正常時処理装置と異常時処理装置とを切り替える選択装置と、正常時処理装置および異常時処理装置に入力するパラメータを観測されたトラヒック値から計算するパラメータ学習装置と、
を有し、
前記正常時処理装置は、入力されたパラメータと過去に観測されたトラヒック値に基づき一期先の正常トラヒック状態のトラヒック値を予測する一期先予測装置と、観測されたトラヒック値が正常状態かどうかを判定するための検出閾値を、予め定められた規則により計算する検出閾値計算装置と、観測されたトラヒック値が前記検出閾値計算装置による検出閾値を上回ったときに異常トラヒック発生検知を行い、異常トラヒックが発生したことを通知する異常トラヒック発生検知装置と、
を有し、
前記異常時処理装置は、入力されたパラメータと正常状態時に観測されたトラヒック値に基づき最後に正常と判定された時刻からn期先の正常トラヒック値の推移を予測するn期先予測装置と、観測されたトラヒック値が異常状態かどうかを判定するための復帰閾値を、予め定められた規則により計算する復帰閾値計算装置と、観測されたトラヒック値が前記復帰閾値計算装置による復帰閾値を下回ったときに異常トラヒック終了判定を行い、正常トラヒックに復帰したことを通知する異常トラヒック終了判定装置と、
を有し、
前記一期先予測装置が、前記パラメータ学習装置により計算されるパラメータと過去に観測されたトラヒック値の推移に基づき、一期先に観測されるトラヒック値を予測し、
前記検出閾値計算装置が、前記一期先予測装置の出力値と観測されたトラヒック値の推移に基づき、予め定められた規則によって値を検出閾値として出力し、
前記異常トラヒック発生検知装置が、前記検出閾値計算装置の検出閾値を観測トラヒック値が上回ったときに異常として検知し、異常トラヒック発生の通知を行い、
前記n期先予測装置が、前記パラメータ学習装置により計算されるパラメータと正常状態時における観測トラヒック値の推移に基づき、異常トラヒック発生時における正常トラヒックの推移の予測値をn期先予測値として計算し、
前記復帰閾値計算装置が、前記n期先予測装置の出力値と正常時に観測されたトラヒック値の推移に基づき、予め定められた規則によって計算される値を復帰閾値として出力し、
前記異常トラヒック終了判定装置が、観測トラヒック値が前記復帰閾値計算装置の復帰閾値を観測トラヒック値が下回っていたときに異常トラヒックの終了として判定し、正常状態に復帰したことを通知すること、を特徴とする異常トラヒック検知装置。 - 時々刻々と訪れるトラヒックデータについて、予め決められたある時間間隔ごとに集約されたトラヒックの変化を監視しネットワークトラヒックの異常を検知する異常トラヒック検知装置における異常トラヒック検知方法であって、
前記異常トラヒック検知装置は、正常時処理装置と異常時処理装置と選択装置とパラメータ学習装置とを有し、
前記正常時処理装置が、観測されたトラヒック値が正常状態であると判定された後に処理を行うステップと、前記異常時処理装置が、観測されたトラヒック値が異常状態であると判定された後に処理を行うステップと、前記選択装置が、各々の処理装置から送られる制御信号を受けて正常時処理装置と異常時処理装置とを切り替えるステップと、前記パラメータ学習装置が、正常時処理装置および異常時処理装置に入力するパラメータを観測されたトラヒック値から計算するステップと、
を有し、
前記正常時処理装置は、一期先予測装置と検出閾値計算装置と異常トラヒック発生検知装置とを有し、
前記一期先予測装置が、入力されたパラメータと過去に観測されたトラヒック値に基づき一期先の正常トラヒック状態のトラヒック値を予測するステップと、前記検出閾値計算装置が、観測されたトラヒック値が正常状態かどうかを判定するための検出閾値を、予め定められた規則により計算するステップと、前記異常トラヒック発生検知装置が、観測されたトラヒック値が前記検出閾値計算装置による検出閾値を上回ったときに異常トラヒック発生検知を行い、異常トラヒックが発生したことを通知するステップと、
を有し、
前記異常時処理装置は、n期先予測装置と復帰閾値計算装置と異常トラヒック終了判定装置とを有し、
前記n期先予測装置が、入力されたパラメータと正常状態時に観測されたトラヒック値に基づき最後に正常と判定された時刻からn期先の正常トラヒック値の推移を予測するステップと、前記復帰閾値計算装置が、観測されたトラヒック値が異常状態かどうかを判定するための復帰閾値を、予め定められた規則により計算するステップと、前記異常トラヒック終了判定装置が、観測されたトラヒック値が前記復帰閾値計算装置による復帰閾値を下回ったときに異常トラヒック終了判定を行い、正常トラヒックに復帰したことを通知するステップと、
を有し、
前記一期先予測装置が、前記パラメータ学習装置により計算されるパラメータと過去に観測されたトラヒック値の推移に基づき、一期先に観測されるトラヒック値を予測し、
前記検出閾値計算装置が、前記一期先予測装置の出力値と観測されたトラヒック値の推移に基づき、予め定められた規則によって値を検出閾値として出力し、
前記異常トラヒック発生検知装置が、前記検出閾値計算装置の検出閾値を観測トラヒック値が上回ったときに異常として検知し、異常トラヒック発生の通知を行い、
前記n期先予測装置が、前記パラメータ学習装置により計算されるパラメータと正常状態時における観測トラヒック値の推移に基づき、異常トラヒック発生時における正常トラヒックの推移の予測値をn期先予測値として計算し、
前記復帰閾値計算装置が、前記n期先予測装置の出力値と正常時に観測されたトラヒック値の推移に基づき、予め定められた規則によって計算される値を復帰閾値として出力し、
前記異常トラヒック終了判定装置が、観測トラヒック値が前記復帰閾値計算装置の復帰閾値を観測トラヒック値が下回っていたときに異常トラヒックの終了として判定し、正常状態に復帰したことを通知すること、を特徴とする異常トラヒック検知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006327882A JP4354480B2 (ja) | 2006-12-05 | 2006-12-05 | 異常トラヒック検知装置および方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006327882A JP4354480B2 (ja) | 2006-12-05 | 2006-12-05 | 異常トラヒック検知装置および方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008141641A JP2008141641A (ja) | 2008-06-19 |
JP4354480B2 true JP4354480B2 (ja) | 2009-10-28 |
Family
ID=39602618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006327882A Expired - Fee Related JP4354480B2 (ja) | 2006-12-05 | 2006-12-05 | 異常トラヒック検知装置および方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4354480B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5403698B2 (ja) * | 2010-11-02 | 2014-01-29 | 日本電信電話株式会社 | トラヒック判別装置及びトラヒック判別装置における閾値の更新方法 |
US11496507B2 (en) | 2017-03-09 | 2022-11-08 | Nec Corporation | Abnormality detection device, abnormality detection method and abnormality detection program |
JP6993559B2 (ja) * | 2017-05-16 | 2022-01-13 | 富士通株式会社 | トラフィック管理装置、トラフィック管理方法およびプログラム |
JP6928241B2 (ja) * | 2017-08-04 | 2021-09-01 | 富士通株式会社 | トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム |
JP6927135B2 (ja) * | 2018-04-24 | 2021-08-25 | 日本電信電話株式会社 | トラヒック推定装置、トラヒック推定方法及びプログラム |
CN112823495B (zh) * | 2018-10-26 | 2023-02-28 | 住友电气工业株式会社 | 检测装置、网关装置、检测方法和检测程序 |
-
2006
- 2006-12-05 JP JP2006327882A patent/JP4354480B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008141641A (ja) | 2008-06-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4354480B2 (ja) | 異常トラヒック検知装置および方法 | |
Kim et al. | Joint optimization of sampling and control of partially observable failing systems | |
JP4594869B2 (ja) | 状態監視装置 | |
JP6609050B2 (ja) | 時間的因果グラフにおける異常フュージョン | |
CN107480028B (zh) | 磁盘可使用的剩余时长的获取方法及装置 | |
JP6854151B2 (ja) | 異常予測方法、異常予測装置、異常予測システムおよび異常予測プログラム | |
KR101941854B1 (ko) | 미취득 데이터 보정을 통한 부하 예측 시스템 및 방법 | |
US20170069198A1 (en) | Method for calculating error rate of alarm | |
CN110445680B (zh) | 网络流量异常检测方法、装置及服务器 | |
CN113837427B (zh) | 用于对资产执行预测性健康分析的方法和计算系统 | |
CN108509325A (zh) | 系统超时时间的动态确定方法与装置 | |
JP5413240B2 (ja) | イベント予測システムおよびイベント予測方法、ならびにコンピュータ・プログラム | |
CN115699045A (zh) | 用于执行资产的预测健康分析的方法和计算系统 | |
CN111078503B (zh) | 一种异常监控方法及系统 | |
US8037365B2 (en) | System and method for automated and adaptive threshold setting to separately control false positive and false negative performance prediction errors | |
Bodenham | Adaptive estimation with change detection for streaming data | |
US20150281008A1 (en) | Automatic derivation of system performance metric thresholds | |
EP3295567B1 (en) | Pattern-based data collection for a distributed stream data processing system | |
EP3025452B1 (en) | Monitoring network use of resources | |
JP2008108262A (ja) | コンピュータネットワークの改良 | |
CN106936611B (zh) | 一种预测网络状态的方法及装置 | |
Amin et al. | Using automated control charts for the runtime evaluation of qos attributes | |
US9507344B2 (en) | Index generation and embedded fusion for controller performance monitoring | |
EP3934175B1 (en) | Anomaly detection method and anomaly detection program | |
US9047572B2 (en) | Mode determination for multivariate time series data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090213 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090317 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090515 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090728 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090729 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4354480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120807 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130807 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |