JP4354480B2 - 異常トラヒック検知装置および方法 - Google Patents

異常トラヒック検知装置および方法 Download PDF

Info

Publication number
JP4354480B2
JP4354480B2 JP2006327882A JP2006327882A JP4354480B2 JP 4354480 B2 JP4354480 B2 JP 4354480B2 JP 2006327882 A JP2006327882 A JP 2006327882A JP 2006327882 A JP2006327882 A JP 2006327882A JP 4354480 B2 JP4354480 B2 JP 4354480B2
Authority
JP
Japan
Prior art keywords
traffic
value
abnormal
observed
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006327882A
Other languages
English (en)
Other versions
JP2008141641A (ja
Inventor
薫明 原田
亮一 川原
達哉 森
憲昭 上山
裕 廣川
公洋 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006327882A priority Critical patent/JP4354480B2/ja
Publication of JP2008141641A publication Critical patent/JP2008141641A/ja
Application granted granted Critical
Publication of JP4354480B2 publication Critical patent/JP4354480B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、時々刻々と観測されるトラヒック時系列データに関して、観測されるトラヒックへの異常値混入の始まりと終わりを検出するデータ分析技術に関する。
日々増大するネットワーク需要を背景に、DDoS攻撃にあげられるようなネットワークトラヒック資源を大量消費する不正行為が増えてきた。このような不正行為でネットワーク帯域が浪費されてしまえば、一般ユーザの通信品質を著しく劣化させることにつながる。そのため、このDDoS攻撃のような異常トラヒックが発生したことを一刻も早く検知し、対策することがネットワーク管理者に求められている。しかし、大規模化・高速化するネットワークにおいては監視しなければならない対象も増大していくため、人が全てを管理することは不可能に近い。そこで、異常トラヒック発生検知ならびに異常トラヒック原因分析処理を自動化することが望まれる。
原因分析処理を自動化する際に考慮しなければならないことは、分析の優先順位である。というのも、異常の原因を特定することは通常膨大なコスト(人員的、時間的、計算資源的)がかかるため、緊急性を有する対策を優先して行いたいからである。この分析の優先順位を決める妥当な理由は、観測トラヒックが現在も異常状態にあるかどうかである。何故なら、今現在異常が起こっている監視先への対処は緊急に行うべきである一方、現在は収まっている過去の異常についての対処は、資源があまっているときに行えば十分であるからである。そのため、監視しているトラヒックについて、異常の発生を検知することはもちろん、その異常が継続しているかどうかを判定する必要がでてくることとなる。
従来の異常トラヒック検知技術としては、非特許文献1や特許文献1のように時系列解析モデルや統計的手法を用いて、トラヒック値の急変を検知するものが挙げられる。しかし、非特許文献1や特許文献1に挙げられている手法は監視しているトラヒック値に異変が起こったことを検知するのみで、異常トラヒックの発生と終了を区別して判定するものではなかった。一方、非特許文献2では異常区間を切り出すための手法に触れている。ここで紹介されている手法は、トラヒック値の異常な増加が観測された後、ある程度のトラヒック値の減少を観測したときに異常が終了したと判定しているが、その判定基準の根拠は明確ではないため不十分と言える。例えば、2つ以上の原因によって複合的に異常が発生していた場合、どれかひとつの異常が収まったときにもある程度のトラヒック値の減少を観測できる。非特許文献2の手法では、このような場合に、まだ異常状態であるのにもかかわらず正常状態へ戻ったと誤判定してしまいかねない。また、特許文献2においても異常の発生検知と正常復帰判定を行うことに触れられているが、正常復帰判定のための具体的な手法は提示されていない。
異常の終了判定において難しいのは、観測しているトラヒックから異常な要素が消えたかを判定することである。通常、異常なトラヒック状態は、正常なトラヒックに性質の異なるトラヒックが加算されるために起こる。そのため、観測されるトラヒックが正常な状態に戻ったと判定するには、観測されたトラヒックから加算されていたトラヒックが取り除かれたことを確認しなければならない。しかし、異常状態においては正常なトラヒックを観測することが出来ない上に、正常状態のトラヒック値自体も変動することが一般的なため、何を基準に正常状態へ戻ったと判定するかは非常に難しい問題である。
特開平11−177549号公報(トラヒック監視装置及びトラヒック監視方法) 特開2005−197971号公報(輻輳制御装置、ルータ装置、輻輳制御システム、及び輻輳制御方法) A. Soule, K. Salamatian and N. Taft, Combining Filtering and Statistical Methods for Anomaly Detection, IMC'05, pp.331-344, 2005. 武井、太田、加藤、根元、トラヒックパターンを用いた不正アクセス検出及び追跡方式、電子情報通信学会論文誌B、Vol.J84−B No.8、pp.1464−1473、2001 R. Shumway and D.Stoffer, Dynamic linear models with Switching, Journal of the American Statistical Association, 86, 1991.
従来の技術では、異常トラヒックの発生検知は行えるものの、異常トラヒックの妥当な終了判定を行っていなかった。しかし、異常トラヒックの終了判定は、ネットワーク管理機構を自動化するにあたり、異常トラヒック分析の優先順位や分析の打ち切りタイミングを規定するために必要となる技術と言える。以上のような問題を鑑みて、本発明では正常時のトラヒック推移に基づき異常時において観測できない正常トラヒック変動を予測し、異常トラヒックの合理的な終了判定をも実現する異常トラヒック検知手法を提供する。これにより、妥当な分析処理期間と処理の優先順位を規定することが可能となる。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、時々刻々と訪れるトラヒックデータについて、予め決められたある時間間隔ごとに集約されたトラヒックの変化を監視しネットワークトラヒックの異常を検知する異常トラヒック検知装置であって、観測されたトラヒック値が正常状態であると判定された後に処理を行う正常時処理装置と、観測されたトラヒック値が異常状態であると判定された後に処理を行う異常時処理装置と、各々の処理装置から送られる制御信号を受けて正常時処理装置と異常時処理装置とを切り替える選択装置と、正常時処理装置および異常時処理装置に入力するパラメータを観測されたトラヒック値から計算するパラメータ学習装置と、を有し、前記正常時処理装置は、入力されたパラメータと過去に観測されたトラヒック値に基づき一期先の正常トラヒック状態のトラヒック値を予測する一期先予測装置と、観測されたトラヒック値が正常状態かどうかを判定するための検出閾値を、予め定められた規則により計算する検出閾値計算装置と、観測されたトラヒック値が前記検出閾値計算装置による検出閾値を上回ったときに異常トラヒック発生検知を行い、異常トラヒックが発生したことを通知する異常トラヒック発生検知装置と、を有し、前記異常時処理装置は、入力されたパラメータと正常状態時に観測されたトラヒック値に基づき最後に正常と判定された時刻からn期先の正常トラヒック値の推移を予測するn期先予測装置と、観測されたトラヒック値が異常状態かどうかを判定するための復帰閾値を、予め定められた規則により計算する復帰閾値計算装置と、観測されたトラヒック値が前記復帰閾値計算装置による復帰閾値を下回ったときに異常トラヒック終了判定を行い、正常トラヒックに復帰したことを通知する異常トラヒック終了判定装置と、を有し、前記一期先予測装置が、前記パラメータ学習装置により計算されるパラメータと過去に観測されたトラヒック値の推移に基づき、一期先に観測されるトラヒック値を予測し、前記検出閾値計算装置が、前記一期先予測装置の出力値と観測されたトラヒック値の推移に基づき、予め定められた規則によって値を検出閾値として出力し、前記異常トラヒック発生検知装置が、前記検出閾値計算装置の検出閾値を観測トラヒック値が上回ったときに異常として検知し、異常トラヒック発生の通知を行い、前記n期先予測装置が、前記パラメータ学習装置により計算されるパラメータと正常状態時における観測トラヒック値の推移に基づき、異常トラヒック発生時における正常トラヒックの推移の予測値をn期先予測値として計算し、前記復帰閾値計算装置が、前記n期先予測装置の出力値と正常時に観測されたトラヒック値の推移に基づき、予め定められた規則によって計算される値を復帰閾値として出力し、前記異常トラヒック終了判定装置が、観測トラヒック値が前記復帰閾値計算装置の復帰閾値を観測トラヒック値が下回っていたときに異常トラヒックの終了として判定し、正常状態に復帰したことを通知すること、を特徴とする。
の発明は、時々刻々と訪れるトラヒックデータについて、予め決められたある時間間隔ごとに集約されたトラヒックの変化を監視しネットワークトラヒックの異常を検知する異常トラヒック検知装置における異常トラヒック検知方法であって、前記異常トラヒック検知装置は、正常時処理装置と異常時処理装置と選択装置とパラメータ学習装置とを有し、前記正常時処理装置が、観測されたトラヒック値が正常状態であると判定された後に処理を行うステップと、前記異常時処理装置が、観測されたトラヒック値が異常状態であると判定された後に処理を行うステップと、前記選択装置が、各々の処理装置から送られる制御信号を受けて正常時処理装置と異常時処理装置とを切り替えるステップと、前記パラメータ学習装置が、正常時処理装置および異常時処理装置に入力するパラメータを観測されたトラヒック値から計算するステップと、を有し、前記正常時処理装置は、一期先予測装置と検出閾値計算装置と異常トラヒック発生検知装置とを有し、前記一期先予測装置が、入力されたパラメータと過去に観測されたトラヒック値に基づき一期先の正常トラヒック状態のトラヒック値を予測するステップと、前記検出閾値計算装置が、観測されたトラヒック値が正常状態かどうかを判定するための検出閾値を、予め定められた規則により計算するステップと、前記異常トラヒック発生検知装置が、観測されたトラヒック値が前記検出閾値計算装置による検出閾値を上回ったときに異常トラヒック発生検知を行い、異常トラヒックが発生したことを通知するステップと、を有し、前記異常時処理装置は、n期先予測装置と復帰閾値計算装置と異常トラヒック終了判定装置とを有し、前記n期先予測装置が、入力されたパラメータと正常状態時に観測されたトラヒック値に基づき最後に正常と判定された時刻からn期先の正常トラヒック値の推移を予測するステップと、前記復帰閾値計算装置が、観測されたトラヒック値が異常状態かどうかを判定するための復帰閾値を、予め定められた規則により計算するステップと、前記異常トラヒック終了判定装置が、観測されたトラヒック値が前記復帰閾値計算装置による復帰閾値を下回ったときに異常トラヒック終了判定を行い、正常トラヒックに復帰したことを通知するステップと、を有し、前記一期先予測装置が、前記パラメータ学習装置により計算されるパラメータと過去に観測されたトラヒック値の推移に基づき、一期先に観測されるトラヒック値を予測し、前記検出閾値計算装置が、前記一期先予測装置の出力値と観測されたトラヒック値の推移に基づき、予め定められた規則によって値を検出閾値として出力し、前記異常トラヒック発生検知装置が、前記検出閾値計算装置の検出閾値を観測トラヒック値が上回ったときに異常として検知し、異常トラヒック発生の通知を行い、前記n期先予測装置が、前記パラメータ学習装置により計算されるパラメータと正常状態時における観測トラヒック値の推移に基づき、異常トラヒック発生時における正常トラヒックの推移の予測値をn期先予測値として計算し、前記復帰閾値計算装置が、前記n期先予測装置の出力値と正常時に観測されたトラヒック値の推移に基づき、予め定められた規則によって計算される値を復帰閾値として出力し、前記異常トラヒック終了判定装置が、観測トラヒック値が前記復帰閾値計算装置の復帰閾値を観測トラヒック値が下回っていたときに異常トラヒックの終了として判定し、正常状態に復帰したことを通知すること、を特徴とする。


本発明により、正常時のトラヒック推移に基づき異常時において観測できない正常トラヒック変動を予測し、異常トラヒックの合理的な終了判定を実現することができる。これにより、妥当な分析処理期間と処理の優先順位を規定することが可能となる。
図1に本発明の実施形態の異常トラヒック検知装置を示す。110は正常時処理装置であり、120は異常時処理装置であり、100はパラメータ学習装置であり、130は選択装置であり、140は観測値である。正常時処理装置110、は一期先予測装置111と検出閾値計算装置112と異常トラヒック発生検知装置113とを有する。異常時処理装置120は、n期先予測装置121と復帰閾値計算装置122と異常トラヒック終了判定装置123とを有する。
まず本異常トラヒック検知装置は、予め定められた期間の観測されたトラヒック値(または、単に観測トラヒック値という)を学習データとして蓄積し、そのトラヒック値の推移から本異常トラヒック検知装置を構成する各装置を動作させるパラメータを逐次学習するパラメータ学習装置100を有する。この予め定められた期間をLとし、学習期間と呼ぶ。この学習期間の長さLは固定された値でも良いし、予め定められる規則により変動しても良い。また、学習データが蓄積されている限り、パラメータ学習装置100は学習データを利用して観測トラヒックモデルのパラメータを計算し、正常時処理装置110および異常時処理装置120へパラメータを出力することができる。
なお、パラメータ学習装置100におけるパラメータ学習において、最尤推定やEMアルゴリズムなどが利用できるのは公知の技術である。
本異常トラヒック検知装置では、直前に観測されたトラヒック値yt−1が正常状態であったか異常状態であったかによって、図2の正常時処理装置110ないしは図3の異常時処理装置120もしくはその両方へ現在の観測トラヒック値yを選択送信する選択装置130を有する。ここで、正常時処理装置110は、直前に観測されたトラヒック値yt−1が正常状態であったときに動作する装置であり、異常時処理装置120は、直前に観測されたトラヒック値yt−1が異常状態であったときに動作する装置である。なお選択装置130の送信先は、正常時処理装置110ないしは異常時処理装置120からの信号により制御される。これにより、正常な観測トラヒック値と異常な観測トラヒック値を切り分けて処理することが可能となる。
正常時処理装置110は、選択装置130によって送信された観測トラヒック値yが正常状態であるかどうかを判定するために利用される、過去の観測トラヒック値ytーi,i=1,2,…に基づいて一期先の正常トラヒック値の予測値^y(実際にはyの上に^が記載されるが、コードデータとして入力できないので「^y」と記載する)を計算する一期先予測装置111を有する。一期先予測装置111は、パラメータ学習装置100によって計算されるパラメータθと、正常と判定された過去のトラヒック値yt−i,i=1,2,…に基づいて、逐次的に予測値を計算する。
なお、観測されたトラヒックから逐次的に正常なトラヒック値の推移を予測する一期先予測装置111に、カルマンフィルタモデルやARMAモデル、ARIMAモデルなどの時系列解析手法が利用できるのは公知の技術である。
正常時処理装置110は、選択装置130によって送信された観測トラヒック値yが正常状態であるかどうかを判定するための基準となる、検出閾値を計算する検出閾値計算装置112を有する。検出閾値計算装置112は、一期先予測装置111から出力される予測値^yと、正常なトラヒック状態において観測されたトラヒック値yt−i,i=1,2,…の標準偏差^σt−1(実際にはσの上に^が記載されるが、コードデータとして入力できないので「^σ」と記載する)に基づいて検出閾値を計算する。
なお、この検出閾値に、観測されるトラヒック値の予測値^yに標準偏差^σt−1のα倍を加えたものを基準とし、それを超えた際に異常として検知することは公知の技術である。
正常時処理装置110は、観測トラヒック値yと検出閾値y+α^σt−1とを比較し、観測トラヒック値が検出閾値を下回るときは、観測トラヒック値は正常状態であると判定し、観測トラヒック値が検出閾値を上回るときは、観測トラヒック値は異常状態であるとして異常検知を行う異常トラヒック発生検知装置113を有する。また観測トラヒック値が正常状態であるとき、観測トラヒック値yは正常なトラヒック値として次回以降の一期先予測へと利用できるよう一期先予測装置111へとフィードバックされる。
異常トラヒック発生検知装置によって異常トラヒック発生検知が行われたとき、同時に異常トラヒック発生検知装置は異常の検知通知を行う。この正常時処理装置110は、時系列解析モデルなどを利用した公知の技術によって実現されても良い。ただし、異常トラヒック発生検知後の処理は本発明における異常時処理装置120で行われることになる。
異常トラヒック発生検知後の異常継続中において、異常時処理装置120は、送信された観測トラヒック値yl+nが正常状態へ戻ったかどうかを判定するために利用される、n期先の正常トラヒック値の推移を予測値^yl+nとするn期先予測装置121を有する。ここで、正常トラヒック値が最後に観測された時刻をlとして、それからの経過時間をnであらわしている。n期先予測を行うのは、正常状態の観測トラヒック値の推移に基づき、観測することの出来ない正常トラヒック値の推移を予測するためである。ここで、n期先予測装置121は、正常時処理装置110における一期先予測装置111と検出閾値計算装置112で計算された一期先予測値および検出閾値を利用することも出来るし、パラメータ学習装置100で計算されるパラメータを利用しても良い。
異常中における正常トラヒックは、正常状態の観測トラヒック値に基づいて、新たに提案される技術により予測されることを特徴とする。これにより観測されたトラヒックが正常なトラヒックに戻ったかどうかが判定される。
異常時処理装置120は、異常時処理装置120に送信された観測トラヒック値yl+nが正常状態に戻ったかどうかを判定する基準となる、復帰閾値を計算する復帰閾値計算装置122を有する。復帰閾値計算装置122は、n期先予測装置121から出力されるn期先予測値^yl+nと、正常なトラヒック状態において観測されたトラヒック値に基づいて検出閾値を計算する。
異常時処理装置120は、観測トラヒック値yl+nと復帰閾値とを比較し、観測トラヒック値が復帰閾値を上回るときは、観測トラヒック値は異常状態のままであると判定し、観測トラヒック値が復帰閾値を下回るときは、観測トラヒック値は正常状態へと戻ったとして異常終了判定を行う異常トラヒック終了判定装置123を有する。また観測トラヒック値が正常状態へ戻ったと判定されたとき、観測トラヒック値yl+nは正常なトラヒック値として一期先予測装置111へとフィードバックされる。
異常トラヒック終了判定装置123によって異常トラヒック終了判定が行われたとき、同時に異常トラヒック終了判定装置123は異常の終了通知を行う。
異常トラヒックの終了判定後は、正常時処理装置110へと処理が引き継がれる。以降も正常時処理と異常時処理とが適宜切り替えられて異常トラヒック発生検知および終了判定処理が行われていく。
以下、本発明の実施例を説明する。
本実施例においてはカルマンフィルタモデルを適用する場合を説明する。このとき、観測トラヒック値の推移について、大きな周期成分をシステム発展、小さな周期成分を観測誤差とみなすことを特徴とする。ただし、この二つの周期成分は合成されていて、分離して観測することはできない。本発明では、観測トラヒック値の推移におけるシステム発展成分を、システム誤差の累積による結果であると考えることで、観測トラヒック値の予測にカルマンフィルタを利用することを特徴とする。今、現時刻をtと表せば、カルマンフィルタにおけるトラヒックモデルは、観測値yと明示的には観測できないシステムの状態xにより、
Figure 0004354480
で表現される。なお、観測誤差vとシステム誤差wは平均0で分散がそれぞれvar[v]=r,var[w]=qの互いに独立な正規分布に従うとする。ここで、観測誤差分散rおよびシステム誤差分散qはトラヒックモデルの観測できない真のパラメータであるが、EMアルゴリズムを用いたパラメータ学習装置100より推定を行うことが出来るのは公知の技術である。
カルマンフィルタは、観測値yのほかにシステムの状態推定値xt|tを保持している。ここで、表記xi|tは、時刻tまでの観測系列が与えられたときの時刻iのシステムの状態推定値を表す。また、時刻tにおけるパラメータ学習装置100によるパラメータ推定値を^r,^qと(実際にはr、qの上に^が記載されるが、コードデータとして入力できないので「^r」、「^q」と記載する)とあらわす。このパラメータはパラメータ学習装置により逐次更新しても良い。
カルマンフィルタの一期先状態予測はシステム状態発展式に基づき、xt|tー1=E[xt|t−1+w]=xt−1|t−1により計算される。したがって、一期先予測^yは観測式に基づき、
Figure 0004354480
で与えられる。一方、カルマンフィルタでは同時にモデル分散値pも考慮している。このモデル分散値pも時間発展し、pt|tー1=ptー1|tー1+^qt−1により計算される。
カルマンフィルタでは、時刻tの観測トラヒック値yを受け取ると、次のような更新式によりシステムの状態値推定、モデル分散値推定へとフィードバックする。
Figure 0004354480
なおここで、kはカルマンゲインと呼ばれる量で、k=Pt|t−1/(Pt|t−1+^r)で与えられる。
一期先予測装置111にカルマンフィルタを用いた実施例では、異常トラヒック発生検知の検出閾値の計算において、過去L期間に観測されたトラヒック値のシステム誤差分散、観測誤差分散から計算される標準偏差^σを利用する。カルマンフィルタモデルでは、w=xt|t−xt−1|t−1がシステム誤差、v=y−xt|tが観測誤差となる。ここで、観測値に基づくシステム誤差分散^qは、
Figure 0004354480
で推定され、同様の計算式で観測値に基づく誤差分散^rも計算される。システム誤差と観測誤差は互いに独立な正規分布により生成されるので、トラヒック変化の観測値に基づく一期先観測値の標準偏差は^σ=√(^r+^q)と計算できる。
観測トラヒックyが正常であるかどうかは、前述の一期先予測値^yと過去の観測値の標準偏差^σt−1から計算される検出閾値との比較によって行われる。すなわち、観測トラヒック値yが検出閾値^y+α^σt−1を超えていれば、観測トラヒック値yは異常なトラヒック状態であるとして異常トラヒック発生の通知をする。ここにαは予め定められるパラメータである。例えば、正常なトラヒック変化の標準偏差^σt−1に対してα=3としたときは、正常状態における正常な観測トラヒック値を異常として誤検知する確率は約0.13%に抑えられる。ところで、観測トラヒック値yが異常なトラヒック状態として検知されたとき、観測トラヒック値yはカルマンフィルタにおける一期先予測へフィードバックされることはない。また、異常なトラヒック状態が検知された後の処理はn期先予測装置121に引き継がれる。
さらに、β<αなる予め定められるパラメータを用いて、観測トラヒック値yが閾値^y+β^σt−1を超えているが閾値^y+α^σt−1を超えていない場合は、小さな異常トラヒック状態の疑いがあることの通知のみを出力し、正常時の処理を引き続き行うというように、異常の度合いによって通知の内容を制御しても良い。
一方、観測トラヒック値yが閾値^y−α^σt−1を下回る場合、観測トラヒックに大きな減少が起こったことが通知される。この場合、本発明で検出したい異常は起こっていないために正常時の処理を引き続き行うものの、観測トラヒック値は大きな減少と言う異常値であるため、トラヒック変化の観測値に基づく標準偏差^σt−1の計算に含めない。また、トラヒックモデル自体に変化が起こった可能性が高いため、学習データが蓄積され次第パラメータの再学習を行っても良い。
異常トラヒック発生検知がなされた後、以降の処理は異常時処理装置120に引き継がれる。正常時処理装置110で計算された一期先予測値や検出閾値を参照し、正常トラヒック状態の観測トラヒックデータに基づいたn期先予測がn期先予測装置121により行われる。このn期先予測装置121による予測値は、観測トラヒックが正常状態に戻ったかどうかを判定するための基準となる。
カルマンフィルタモデルを適用する場合、n期先予測装置121としてHoeffding-Azuma不等式(以後、簡単のためにHA不等式と書く)に基づくn期先予測が行われる。このHA不等式は、確率変数列X,X,….Xがk=1,2,…,nについて、E[X|X,…,Xk−1]=0に従うとき、この確率変数列の和ΣXが期待値(E[ΣX]=0)からどの程度逸脱するかを見積もる式として知られている。HA不等式を用いたn期先予測装置121によるn期先予測値は次のような手順で計算される。
まず、最後に観測された正常なトラヒック値の状態値Xl|lと正常なトラヒック状態のシステム発展の推移を元に、次のようなn期先状態予測を行う。
Figure 0004354480
ここに、δはn期先予測の精度に関する予め定められるパラメータで、cは正常時に観測されたシステム誤差の標準偏差√(^q)に基づき計算される値である。このn期先状態予測値xl+n|lは、真の状態値xl+nの最大限の増加推移を正常時のシステム推移に基づいて計算している。つまり、真のシステム状態値xl+nはこのn期先状態予測値xl+n|lよりも小さい値となっている。次に、n期先状態予測値に、観測誤差による影響を考え合わせることでn期先予測値が計算される。ただし、観測誤差は平均0の正規分布に従うとしているので、n期先予測装置121による時刻l+nの予測値は、
Figure 0004354480
となる。
観測トラヒックyl+nが正常値に戻ったかどうかは、前述のn期先予測値^yl+nと正常時の観測誤差の標準偏差√(^r)から計算される復帰閾値との比較によって行われる。すなわち、観測トラヒックyl+nが復帰閾値^yl+n+α√(^r)以下になっていれば、観測トラヒックyl+nは正常状態へ戻ったと判定される。ここに、αは予め定められるパラメータであり、正常時処理装置110における検出閾値計算装置112で用いるパラメータと同じものでもよい。
異常トラヒック終了判定装置123によって観測トラヒックが正常なトラヒック状態に戻ったと判定されたら、正常時処理装置110内に保持されている前回の正常状態時のパラメータ^r,^qと正常なトラヒック状態として判定された観測トラヒック値を用いて、直ちに正常時処理装置110へと処理が引き継がれる。
本実施例は、カルマンフィルタモデルを適用した場合の検出閾値計算装置112における各時刻の標準偏差^σの見積もりにおいて、EMアルゴリズムによって観測誤差分散とシステム誤差分散の推定値^r,^qを求めるものである。その他の点については実施例1と同様である。
本実施例は、カルマンフィルタモデルを適用した場合の検出閾値計算装置における各時刻の標準偏差^σの見積もりにおいて、過去L期間の平滑化系列を利用して観測誤差分散とシステム誤差分散を見積もるものである。現時刻をtとしたときの平滑化系列は、カルマンフィルタで計算される状態予測値xi+1|i、状態推定値xi|i、モデル分散予測値pi+1|i、モデル分散推定値pi|iを利用して、次のように計算される。
Figure 0004354480
ただし、J=Pi|i/Pi+1|iは平滑化ゲインとする。このとき、w=xi|t−xi-1|tがシステム誤差、v=y−xi|tが観測誤差となり、実施例1と同様の計算で標準偏差を見積もることが出来る。
実施例4は、カルマンフィルタモデルを適用した場合の検出閾値計算装置における各時刻の標準偏差として、過去に見積もられた標準偏差の最大値^σmax=max^σ(1≦i≦t)を実績値として利用するものである。その他の点については実施例1と同様である。
本発明では以上のように、正常時処理装置と異常時処理装置を切り替えて用いることで、異常トラヒックの発生検知ならびに終了判定を実現する。
実施例1から4までにおいては、入力トラヒックをカルマンフィルタの状態空間表現でモデル化していたのに対し、ここでは、ARMAモデルを用いてモデル化した場合について述べる。ARMAモデルでは、時点tでのトラヒック量y
Figure 0004354480
でモデル化する。ここで、uは、時点tでの誤差を意味する。a,a,b,bは係数である。なお、ここでは、2期前までの観測値、および2期前までの誤差項に依存する場合を例示しており、それぞれAR次数が2、MA次数が2とよぶ。これら次数は、それぞれ、p次、q次と一般化できるが、ここでは2次の場合を例示する。このARMAモデルを、カルマンフィルタの状態空間表現で表すと以下のようになる。
Figure 0004354480
ここで、x1,t,x2,tは状態空間システム内部でのみ用いる状態変数、uは、平均0、分散σの正規分布に従う誤差項である。以上のモデルを用いて、図1の一期先予測装置およびn期先予測装置において、一期先予測およびn期先予測を行う。また、パラメータ学習装置において、観測値yを用いて逐次的に係数a,a,b,bおよび誤差分散σを学習する。以下、各装置での動作を記述する。なお、装置間の処理フローは、実施例1の説明に用いた図1〜3と同様である。
■選択装置130
現在の状態(異常か正常か)を表すフラグflagを管理しておく、なお、正常時ならばflag=0、異常時ならばflag=1とする。また、異常発生時点(つまりflagが0から1へ変わった時点)である時点lを記憶しておく。観測値yが入力されたら、正常時(flag=0)ならば異常トラヒック発生検知装置113へ、異常時(flag=1)ならば異常トラヒック終了判定装置123へ、現時点のトラヒックの観測値yおよびflagの値を通知する。また、異常発生時点lを異常トラヒック終了判定装置123へ通知する。また、異常トラヒック検出装置113から異常発生の旨を受信したら、flagを1にし、異常トラヒック終了判定装置123から異常終了の旨を受信したら、flagを0にする。
■異常トラヒック発生検知装置113
選択装置からyおよびflagが通知されたら、検出閾値計算装置112から閾値Thを読み出し、y>Thならば、異常トラヒック発生と判定し、その旨を選択装置130へ通知する。また、yの値およびflagの値を、一期先予測装置111およびパラメータ学習装置100へ通知する。
■一期先予測装置
異常トラヒック発生検知装置113あるいは異常トラヒック終了判定装置120からyおよびflagを受信したら、以下の計算を実施する。
Figure 0004354480
ここで、F は、Fの転置行列を意味する。また、Q=1,R=0とする。なお、xt|t,Pt|tの初期値x0|0,P0|0は、予め定めておく。(例えば、x0|0=[0 0 0],P0|0=I,Iは単位行列)。上記の式で計算されたxt|t−1を用いて、時点t−1での一期先予測^yを、
Figure 0004354480
と計算する。その後、現時点の観測値yおよび一期先予測値^yを検出閾値計算装置112へ通知する。
■検出閾値計算装置112
一期先予測装置111から現時点tの観測値yおよび時点t−1での一期先予測値^yを受信し、かつ、パラメータ学習装置100からARMAモデルの係数を受信したら、以下の計算を実施する。まず、本装置内で保持している、予測誤差y−^yに関する誤差分散σの推定値^σを用いて、異常検出閾値ThをTh=^y+α^σと計算し、記憶しておく。その後、観測値yを用いて^σを以下のように更新する。
Figure 0004354480
ここで、γは予め定めるパラメータである(0<γ<1)。なお、上記の更新は、予測誤差の絶対値|y−^y|がβ^σよりも小さいときのみ行う(βは予め定めるパラメータで、例えばβ=3)。その理由は、異常発生時のような極端なはずれ値も含めて行うと、誤差分散の推定値が過度に大きくなってしまう恐れがあるからである。
■パラメータ学習装置100
異常トラヒック発生検知装置113から通知された観測値yを用いて、ARMAモデルの係数a,a,b,bを以下の手順で学習する。まず、パラメータ学習用のカルマンフィルタ状態空間モデルを以下のように表す。
Figure 0004354480
以上の準備のもと、以下の計算を実施する。
Figure 0004354480
ここで、Q’=0,R’=1とする。なお、xt|t,Pt|tの初期値x0|0’,P0|0’は予め定めておく。(例えば、x0|0’=[0 0 0 0],P0|0’=I)。また、H’(t≦2)は、H’=[0 0 0 1]とする。上記の式で計算されたxt|t’を用いて、ARMAモデルの係数a,a,b,b
Figure 0004354480
と推定する。ここで、xt|t’[i]は、ベクトルxt|t’の第i要素を指す。なお、上記の更新は、予測誤差の絶対値|y−^y|がβ^σよりも小さいときのみ行う(βは予め定めるパラメータで、例えばβ=3)。上記計算完了後、一期先予測装置111へ、更新されたARMAモデルの係数a,a,b,bを通知する。
■異常トラヒック終了判定装置123
選択装置130から観測値y,flag,異常発生時点lを受信したら、まず、異常発生時点lからの経過時刻をn(=t−l)とし、yl+n=yとする。その後、復帰閾値計算装置122から閾値Thl+n’を読み出し、yl+n<Thl+n’ならば、異常終了と判定し、flag=0としてその旨を選択装置130へ通知する。また、yの値およびflagの値を、一期先予測装置111およびパラメータ学習装置100へ通知する。また、異常発生時点lをn期先予測装置121に通知する。
■n期先予測装置121
異常トラヒック終了判定装置123から異常発生時点lを受信したら、その時点からのn期先における予測値^yl+nを以下の式で計算する。
Figure 0004354480
n期先予測値^yl+nを復帰閾値計算装置122に通知する。
■復帰閾値計算装置122
n期先予測装置121からn期先予測値^yl+nを受信したら、検出閾値計算装置112から、最新の^σの値を読み出し、復帰閾値Thl+n’をThl+n’=^yl+n+α^σと計算し、記憶しておく。
本実施例は、実施例5のn期先予測装置に121おいて、カルマンフィルタを用いてn期先予測を実施していた代わりに、Holt-Wintersモデルを用いてn期先予測を行うものである。なお、実施例5では、異常継続中のみn期先予測を行っていたが、ここでは正常時にもHolt-Wintersを用いて1期先予測を行っておき、異常発生時以降のn期先予測に備える。
Figure 0004354480
実施例5ではARMAモデルを用いていたのに対し、ここではARIMAモデルを用いる。ここではARIMAモデルにおける階差d=1の場合を例に説明する。実施例5では、観測値yを直接ARMAモデルに適用していたが、ここでは、ARMAモデルにおけるyを、z=y−ytー1に置き換え、そこで計算された予測値^z(実際にはyの上に^が記載されるが、コードデータとして入力できないので「^z」と記載する)に、1期前の観測値ytー1を加えることにより、時点tでの予測値^y=^z+ytー1とする。それ以外の処理は、実施例5と同じである。
本異常トラヒック検知装置によって、観測トラヒックの状態により、正常時処理装置110と異常時処理装置120を切り替えることで、異常トラヒック発生の検知と正常復帰の判定を妥当に行うことが可能となる。これにより、異常トラヒック分析を行う外部装置を想定したとき、その装置へ多くの制御情報を含んだ処理制御信号を送信することが可能となる。例えば、異常の終了と共に停止信号を送れば、いたずらに計算資源を消費し続けることがなくなり、分析コストの削減へとつながる。さらに、異常継続時間を管理することにより、トラヒック分析処理の優先順位を制御することも可能となる。これにより、従来オペレータが処理を行っていた作業の自動化を実現することができる。
本発明の有効性を評価した結果を示す。図4は、あるトラヒックを5分間隔に集積したトラヒック時系列データに対して、本発明の実施例を適用した結果である。カルマンフィルタによる一期先予測とHA不等式によるn期先予測を用いるためのパラメータは、L=30(2.5時間)、α=6、β=3、δ=0.01、c=1.5√(^q)とした。異常通知のalertは、異常トラヒック発生通知は+2、異常トラヒック発生の疑いは+1、トラヒック急減少は−1として視認しやすい大きさに拡大して同図に表示した。なお図4では、一期先予測、n期先予測の区別なくy[t]で表示している。また、異常トラヒック発生検知および終了判定基準である閾値の変移をEUB[t](EUB:Estimated Upper Bound)で表示した。
図4を見ると、異常トラヒック発生通知がされている間は、n期先予測が正常トラヒックの増加傾向を良く捉えている様子が分かる。また、観測トラヒックがEUB[t]以下になった後は、一期先予測が行われるようになっている。このように、本発明による異常トラヒック発生検知手法は、異常トラヒックの発生検知と終了判定を可能とする。
以上、本発明者によってなされた発明を、前記実施形態、実施例に基づき具体的に説明したが、本発明は、前記実施形態、実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明における異常トラヒック発生検知装置の構成例を示す図である。 本発明の正常時処理装置における処理概要を示す図である。 本発明の異常時処理装置における処理概要を示す図である。 本発明の効果を示す結果である。
符号の説明
100…パラメータ学習装置、110…正常時処理装置、111…一期先予測装置、112…検出閾値計算装置、113…異常トラヒック発生検知装置、120…異常時処理装置、121…n期先予測装置、122…復帰閾値計算装置、123…異常トラヒック終了判定装置、130…選択装置、140…観測値

Claims (2)

  1. 時々刻々と訪れるトラヒックデータについて、予め決められたある時間間隔ごとに集約されたトラヒックの変化を監視しネットワークトラヒックの異常を検知する異常トラヒック検知装置であって、
    観測されたトラヒック値が正常状態であると判定された後に処理を行う正常時処理装置と、観測されたトラヒック値が異常状態であると判定された後に処理を行う異常時処理装置と、各々の処理装置から送られる制御信号を受けて正常時処理装置と異常時処理装置とを切り替える選択装置と、正常時処理装置および異常時処理装置に入力するパラメータを観測されたトラヒック値から計算するパラメータ学習装置と、
    を有し、
    前記正常時処理装置は、入力されたパラメータと過去に観測されたトラヒック値に基づき一期先の正常トラヒック状態のトラヒック値を予測する一期先予測装置と、観測されたトラヒック値が正常状態かどうかを判定するための検出閾値を、予め定められた規則により計算する検出閾値計算装置と、観測されたトラヒック値が前記検出閾値計算装置による検出閾値を上回ったときに異常トラヒック発生検知を行い、異常トラヒックが発生したことを通知する異常トラヒック発生検知装置と、
    を有し、
    前記異常時処理装置は、入力されたパラメータと正常状態時に観測されたトラヒック値に基づき最後に正常と判定された時刻からn期先の正常トラヒック値の推移を予測するn期先予測装置と、観測されたトラヒック値が異常状態かどうかを判定するための復帰閾値を、予め定められた規則により計算する復帰閾値計算装置と、観測されたトラヒック値が前記復帰閾値計算装置による復帰閾値を下回ったときに異常トラヒック終了判定を行い、正常トラヒックに復帰したことを通知する異常トラヒック終了判定装置と、
    を有し、
    前記一期先予測装置が、前記パラメータ学習装置により計算されるパラメータと過去に観測されたトラヒック値の推移に基づき、一期先に観測されるトラヒック値を予測し、
    前記検出閾値計算装置が、前記一期先予測装置の出力値と観測されたトラヒック値の推移に基づき、予め定められた規則によって値を検出閾値として出力し、
    前記異常トラヒック発生検知装置が、前記検出閾値計算装置の検出閾値を観測トラヒック値が上回ったときに異常として検知し、異常トラヒック発生の通知を行い、
    前記n期先予測装置が、前記パラメータ学習装置により計算されるパラメータと正常状態時における観測トラヒック値の推移に基づき、異常トラヒック発生時における正常トラヒックの推移の予測値をn期先予測値として計算し、
    前記復帰閾値計算装置が、前記n期先予測装置の出力値と正常時に観測されたトラヒック値の推移に基づき、予め定められた規則によって計算される値を復帰閾値として出力し、
    前記異常トラヒック終了判定装置が、観測トラヒック値が前記復帰閾値計算装置の復帰閾値を観測トラヒック値が下回っていたときに異常トラヒックの終了として判定し、正常状態に復帰したことを通知すること、を特徴とする異常トラヒック検知装置。
  2. 時々刻々と訪れるトラヒックデータについて、予め決められたある時間間隔ごとに集約されたトラヒックの変化を監視しネットワークトラヒックの異常を検知する異常トラヒック検知装置における異常トラヒック検知方法であって、
    前記異常トラヒック検知装置は、正常時処理装置と異常時処理装置と選択装置とパラメータ学習装置とを有し、
    前記正常時処理装置が、観測されたトラヒック値が正常状態であると判定された後に処理を行うステップと、前記異常時処理装置が、観測されたトラヒック値が異常状態であると判定された後に処理を行うステップと、前記選択装置が、各々の処理装置から送られる制御信号を受けて正常時処理装置と異常時処理装置とを切り替えるステップと、前記パラメータ学習装置が、正常時処理装置および異常時処理装置に入力するパラメータを観測されたトラヒック値から計算するステップと、
    を有し、
    前記正常時処理装置は、一期先予測装置と検出閾値計算装置と異常トラヒック発生検知装置とを有し、
    前記一期先予測装置が、入力されたパラメータと過去に観測されたトラヒック値に基づき一期先の正常トラヒック状態のトラヒック値を予測するステップと、前記検出閾値計算装置が、観測されたトラヒック値が正常状態かどうかを判定するための検出閾値を、予め定められた規則により計算するステップと、前記異常トラヒック発生検知装置が、観測されたトラヒック値が前記検出閾値計算装置による検出閾値を上回ったときに異常トラヒック発生検知を行い、異常トラヒックが発生したことを通知するステップと、
    を有し、
    前記異常時処理装置は、n期先予測装置と復帰閾値計算装置と異常トラヒック終了判定装置とを有し、
    前記n期先予測装置が、入力されたパラメータと正常状態時に観測されたトラヒック値に基づき最後に正常と判定された時刻からn期先の正常トラヒック値の推移を予測するステップと、前記復帰閾値計算装置が、観測されたトラヒック値が異常状態かどうかを判定するための復帰閾値を、予め定められた規則により計算するステップと、前記異常トラヒック終了判定装置が、観測されたトラヒック値が前記復帰閾値計算装置による復帰閾値を下回ったときに異常トラヒック終了判定を行い、正常トラヒックに復帰したことを通知するステップと、
    を有し、
    前記一期先予測装置が、前記パラメータ学習装置により計算されるパラメータと過去に観測されたトラヒック値の推移に基づき、一期先に観測されるトラヒック値を予測し、
    前記検出閾値計算装置が、前記一期先予測装置の出力値と観測されたトラヒック値の推移に基づき、予め定められた規則によって値を検出閾値として出力し、
    前記異常トラヒック発生検知装置が、前記検出閾値計算装置の検出閾値を観測トラヒック値が上回ったときに異常として検知し、異常トラヒック発生の通知を行い、
    前記n期先予測装置が、前記パラメータ学習装置により計算されるパラメータと正常状態時における観測トラヒック値の推移に基づき、異常トラヒック発生時における正常トラヒックの推移の予測値をn期先予測値として計算し、
    前記復帰閾値計算装置が、前記n期先予測装置の出力値と正常時に観測されたトラヒック値の推移に基づき、予め定められた規則によって計算される値を復帰閾値として出力し、
    前記異常トラヒック終了判定装置が、観測トラヒック値が前記復帰閾値計算装置の復帰閾値を観測トラヒック値が下回っていたときに異常トラヒックの終了として判定し、正常状態に復帰したことを通知すること、を特徴とする異常トラヒック検知方法。
JP2006327882A 2006-12-05 2006-12-05 異常トラヒック検知装置および方法 Expired - Fee Related JP4354480B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006327882A JP4354480B2 (ja) 2006-12-05 2006-12-05 異常トラヒック検知装置および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006327882A JP4354480B2 (ja) 2006-12-05 2006-12-05 異常トラヒック検知装置および方法

Publications (2)

Publication Number Publication Date
JP2008141641A JP2008141641A (ja) 2008-06-19
JP4354480B2 true JP4354480B2 (ja) 2009-10-28

Family

ID=39602618

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006327882A Expired - Fee Related JP4354480B2 (ja) 2006-12-05 2006-12-05 異常トラヒック検知装置および方法

Country Status (1)

Country Link
JP (1) JP4354480B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5403698B2 (ja) * 2010-11-02 2014-01-29 日本電信電話株式会社 トラヒック判別装置及びトラヒック判別装置における閾値の更新方法
US11496507B2 (en) 2017-03-09 2022-11-08 Nec Corporation Abnormality detection device, abnormality detection method and abnormality detection program
JP6993559B2 (ja) * 2017-05-16 2022-01-13 富士通株式会社 トラフィック管理装置、トラフィック管理方法およびプログラム
JP6928241B2 (ja) * 2017-08-04 2021-09-01 富士通株式会社 トラフィック分析装置、トラフィック分析方法、トラフィック分析プログラム、及び通信システム
JP6927135B2 (ja) * 2018-04-24 2021-08-25 日本電信電話株式会社 トラヒック推定装置、トラヒック推定方法及びプログラム
CN112823495B (zh) * 2018-10-26 2023-02-28 住友电气工业株式会社 检测装置、网关装置、检测方法和检测程序

Also Published As

Publication number Publication date
JP2008141641A (ja) 2008-06-19

Similar Documents

Publication Publication Date Title
JP4354480B2 (ja) 異常トラヒック検知装置および方法
Kim et al. Joint optimization of sampling and control of partially observable failing systems
JP4594869B2 (ja) 状態監視装置
JP6609050B2 (ja) 時間的因果グラフにおける異常フュージョン
CN107480028B (zh) 磁盘可使用的剩余时长的获取方法及装置
JP6854151B2 (ja) 異常予測方法、異常予測装置、異常予測システムおよび異常予測プログラム
KR101941854B1 (ko) 미취득 데이터 보정을 통한 부하 예측 시스템 및 방법
US20170069198A1 (en) Method for calculating error rate of alarm
CN110445680B (zh) 网络流量异常检测方法、装置及服务器
CN113837427B (zh) 用于对资产执行预测性健康分析的方法和计算系统
CN108509325A (zh) 系统超时时间的动态确定方法与装置
JP5413240B2 (ja) イベント予測システムおよびイベント予測方法、ならびにコンピュータ・プログラム
CN115699045A (zh) 用于执行资产的预测健康分析的方法和计算系统
CN111078503B (zh) 一种异常监控方法及系统
US8037365B2 (en) System and method for automated and adaptive threshold setting to separately control false positive and false negative performance prediction errors
Bodenham Adaptive estimation with change detection for streaming data
US20150281008A1 (en) Automatic derivation of system performance metric thresholds
EP3295567B1 (en) Pattern-based data collection for a distributed stream data processing system
EP3025452B1 (en) Monitoring network use of resources
JP2008108262A (ja) コンピュータネットワークの改良
CN106936611B (zh) 一种预测网络状态的方法及装置
Amin et al. Using automated control charts for the runtime evaluation of qos attributes
US9507344B2 (en) Index generation and embedded fusion for controller performance monitoring
EP3934175B1 (en) Anomaly detection method and anomaly detection program
US9047572B2 (en) Mode determination for multivariate time series data

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090728

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090729

R150 Certificate of patent or registration of utility model

Ref document number: 4354480

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130807

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees