JP4559974B2 - 管理装置及び管理方法及びプログラム - Google Patents
管理装置及び管理方法及びプログラム Download PDFInfo
- Publication number
- JP4559974B2 JP4559974B2 JP2006007898A JP2006007898A JP4559974B2 JP 4559974 B2 JP4559974 B2 JP 4559974B2 JP 2006007898 A JP2006007898 A JP 2006007898A JP 2006007898 A JP2006007898 A JP 2006007898A JP 4559974 B2 JP4559974 B2 JP 4559974B2
- Authority
- JP
- Japan
- Prior art keywords
- state
- abnormality
- state vector
- classification label
- assumed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
運用システムの監視は、運用システムの管理者によって行われる。管理者は、運用システムで何らかの障害が発生した場合には、それを検出し、システムを正常動作へ復旧する必要がある。しかしながら、運用システムが大規模であったり、複雑な構成をしている場合には、システム上の障害箇所の特定に手間取り、復旧に時間がかかってしまうといった問題点がある。このような問題を解決するために、障害解析技術がある。
また、例えば、図10に示すような、従来技術2(特許文献2)では、あらかじめ、ネットワークシステム上で障害として想定される事象と、その発生箇所についての対応テーブルを作成しておき、障害が発生した場合には、対応テーブルを参照して、障害発生箇所を特定している。
また、例えば、図11に示すような、従来技術3(特許文献3)では、システムで発生する異常現象とそれを引き起こす原因候補を対応付けた推定原因テーブルを作成しておき、異常が検出された場合には、推定原因テーブルを参照して、検出された異常現象の原因として発生頻度の高い原因候補から順にシミュレーションを行い、実際に検出された異常状態と類似するシミュレーション結果が得られた原因を異常発生の原因として特定している。
コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定部と、
複数のコンピュータ装置の状態に関する情報を状態情報として収集する状態情報収集部と、
前記状態情報収集部により収集された状態情報を用いて、前記複数のコンピュータ装置のうちのいずれかのコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成部と、
前記状態ベクトル生成部により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別部とを有することを特徴とする。
図1は、本実施の形態に係るシステム構成例を示す図である。
図1において、110−112は監視対象ネットワークである。これらは内部ネットワークである。100は外部ネットワークである。120−123は監視対象ネットワークに接続している接続端末である(以下、単に端末ともいう)。これら接続端末は、コンピュータ装置の例である。130は、監視対象ネットワーク内のトラフィックを監視し、異常を検出する異常検出装置である。500は、異常検出装置130により検出された異常の発生原因を特定する異常発生原因特定装置である。異常発生原因特定装置500は、管理装置の例である。
異常発生原因特定装置500は、異常検出装置130で異常が検出された場合に、異常検出ログに含まれている、異常なトラフィックを発生した疑いのある端末が、どのような原因によって異常なトラフィックを生成したのかを判定する。
そこで、本実施の形態に係る異常発生原因特定装置500は、異常の発生原因として複数の原因を想定し、想定した原因によって引き起こされる端末の状態をあらかじめ学習しておき、異常発生時の端末の状態が学習済みの状態のうち、どの状態に最も近いのかを統計学に基づく判別分析によって推定し、その状態が属する原因を、異常が発生した原因として特定する。
本実施の形態では、異常発生の原因として、監視対象ネットワークに接続された端末がネットワーク感染型ワームに感染している場合と、メール感染型ワームに感染している場合の2つを想定する。これは、既存のワームが、上記の2つに大別できることに基づいている。
本実施の形態では、端末状態を、状態ベクトル(複数の要素を持つ数値モデル)によって表現する。図6は、状態ベクトルの例を表したものである。図6において、600は状態ベクトル表であり、601、602、603は、それぞれ、状態ベクトル1、状態ベクトル2、状態ベクトル3を表している。
状態ベクトルを構成する要素は、想定した複数の異常発生原因を、精度よく分類することができるもので構成する。本実施の形態では、ワームの挙動の違いによりネットワーク感染型ワームの感染状態と、メール感染型ワームの感染状態に分類するため、端末が通信で使用しているプロトコルの割合、データ送信量、データ受信量、パケット送受信数、特定箇所変更イベント数、特定ファイル変更イベント数、アクセス先ホスト数、メール送受信数、エラーパケットの受信数、CPU使用率、メモリ使用率など、ワーム感染時の端末状態への影響を観測可能な特徴量とする。ただし、上記の特徴量に限らず、測定可能な様々な要素の組み合わせを試し、最良の組み合わせを選択するものとする。観測は、端末上でしか行えないものと、ネットワーク上でリモートからでも行えるものがある。それぞれの要素は、単位時間当たりの数を測定して、数値化したものとする。
異常発生原因特定装置500は、異常検出装置130で異常が検出される原因を状態ベクトルの形であらかじめ想定しておき、異常が検出された際に、異常に関係のある端末の状態を表す状態ベクトルを得て、異常に関係のある端末の状態ベクトルが、予め想定した原因のどの状態ベクトルに近似しているかを判断して、異常発生原因を判定するものである。
501は境界値学習指示部である。502は境界値学習部である。503は端末情報収集部である。504はデータ記憶部である。505は状態判別指示部である。506は状態判別部である。507は状態ベクトル生成部である。508は状態判別結果表示部である。120、121は接続端末である。124は接続端末の端末情報取得部である。130は異常検出装置である。240は内部ネットワークである。
また、読み込んだ想定状態ベクトルをどの分類ラベルとして境界値を学習するのかについては、ユーザもしくは外部プログラムによって与えられる。
なお、境界値学習部502が計算した境界値情報は、データ記憶部504によって記録しておく。
図3において、異常発生原因特定装置500は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置ともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。また、これら全てのハードウェア装置が接続されていなくてもよく、例えば、プリンタ装置906、スキャナ装置907はなくてもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。異常発生原因特定装置500におけるデータ記憶部504は、これらの記憶媒体により実現される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ファイル群924には、本実施の形態及び以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
また、本実施の形態及び以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital Versatile Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
異常発生原因特定装置500では、学習フェーズと運用フェーズの2つの動作があるため、それぞれについて概説する。
以上の説明では、状態ベクトルと分類ラベルを1つずつ学習しているが、複数の学習データが与えられた場合には、それらをまとめて学習することも可能である。加えて、状態ベクトルの要素が、監視対象ネットワークの環境に依存しない限りにおいては、異なる監視対象ネットワークであっても、共通の学習データを使用可能である。
異常検出装置130によって、監視対象ネットワークを流れるトラフィックに異常が発生した場合に、状態判別指示部505は、異常検出装置130から異常検出ログを受信して、状態判別部506を呼び出す。状態判別部506は、状態を判別する対象となる端末の状態ベクトルを状態ベクトル生成部507によって生成し、生成した状態ベクトルの分類ラベルを判別分析によって、分類ラベルを判別する。分類ラベルの判別結果は、データ記憶部504を用いて異常発生原因特定装置500内に保存される。保存された分類ラベルの判別結果は、状態判別結果表示部508で読み込まれ、ユーザに表示、もしくは他のプログラムに通知される。
運用フェーズ中に、誤った判別結果が得られた場合には、学習フェーズと同様の手順により、再学習を行う。この際、学習する状態ベクトルは、ユーザが作成するのではなく、誤った判別結果が得られたものを使用する。
先ず、境界値学習部502が、境界値学習指示部501がデータ記憶部504から読み出した想定状態ベクトルを取得する(S401)(境界値設定ステップ)。この想定状態ベクトルは、前述したように、端末がワームに感染した場合に遷移すると想定される状態の状態ベクトルである。想定状態ベクトルの作成は、端末を実際に既知のワームに感染させて、状態ベクトルの要素となる項目について観測したデータを用いて行う。もしくは、実際に端末をワームに感染させるのではなく、想定したワームに感染した場合に端末がどのような挙動を示すのかをシミュレーションにより解析し、理論的な数値として想定状態ベクトルを作成してもよい。端末をワームに感染させての実験又はシミュレーション、及び想定状態ベクトルの生成は、異常発生原因特定装置500の外部で行ってもよいし、異常発生原因特定装置500内部で行ってもよい。上記のようにして得られた端末の想定状態ベクトルは、データ記憶部504において記憶され、また、境界値学習指示部501により読み出され、境界値学習部502に渡される。
次に、境界値学習部502は、それぞれの分類ラベルの境界値を設定する(S403)(境界値設定ステップ)。つまり、境界値学習部502は、得られた想定状態ベクトルを状態空間にプロットし、プロットされた点と、それにラベルづけされた分類ラベルごとの領域に切り分けるための境界値(面)、すなわち、各分類ラベルの境界を示す境界値を設定する。境界値の設定は、従来からの統計的手法により実現可能である。但し、後述するように、状態判別部506による状態判別手法には、線形判別関数による方式と、マハラノビス距離による方式とがあり、状態判別部506が用いる判別方式に対応する境界値(面)を設定する必要がある。
次に、データ記憶部504が、各分類ラベルの境界値を記憶する(S404)。
端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S501)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S502)。端末情報収集部503が収集する端末情報には、状態ベクトルが生成可能な数値が示されている。具体的には、前述したように、端末が通信で使用しているプロトコルの割合、データ送信量、データ受信量、パケット送受信数、特定箇所変更イベント数、特定ファイル変更イベント数、アクセス先ホスト数、メール送受信数、エラーパケットの受信数、CPU使用率、メモリ使用率など、ワーム感染時の端末状態への影響を観測可能な特徴量が端末情報として通知される。
異常の発生が検出された場合は、状態判別部506は、状態判別指示部505から異常検出ログの内容を通知され、異常に関係する端末を特定する(S504)。異常検出ログは、前述したように、異常なトラフィックを発生させた疑いのある端末のIPアドレス等が含まれるため、状態判別部506は、異常検出ログから異常なトラフィックを発生させた疑いのある端末を特定できる。
次に、状態ベクトル生成部507が、異常に関係した端末の状態ベクトルを生成する(S505)(状態ベクトル生成ステップ)。状態判別部506により異常を発生させた疑いのある端末が特定されたので、状態ベクトル生成部507は当該端末の端末情報をデータ記憶部504から読み出し、読み出した当該端末の端末情報の各パラメータから、当該端末の状態を表す状態ベクトルを生成する。
状態判別部506が、端末の状態を判定する際には、与えられた状態ベクトルがどの分類ラベルに属するのか(どの原因によって引き起こされる状態に類似しているのか)を統計的分析手法の一つである、判別分析を用いて特定する。概念的には、判定対象となる端末の状態ベクトルが与えられたときに、それが状態空間上のどの分類ラベルの領域に属するのかを判定する。これにより、与えられた状態を引き起こしている原因が特定される。ただし、与えられた端末の状態が、状態空間上のどの分類ラベルの領域にも属さない場合は、想定外の原因によって引き起こされているか、もしくは、正常状態であると判定する。また、複数の分類ラベルに属すると判定された場合は、複数の原因が同時発生していると判断する。
統計的な判別分析の方式には、大きく分けて、線形判別関数による方式と、マハラノビス距離による方式がある。前者は、分類ラベルごとの領域を直線(平面面)で分ける方式であり、分散共分散行列が等しい場合に用いられる。この場合、各ベクトル要素の係数(重みに相当)が判別式のパラメータとなる。後者は、判別したいデータと、分類ラベルの重心との距離を導出し、最も距離が短いグループに所属するものとする方式である。この場合、境界は曲線(曲面)で表される。判別式のパラメータは、マハラノビス距離を計算するのに必要な、各分類ラベルに属する状態ベクトルの平均ベクトルと分散共分散行列となる。本実施の形態では、判別分析手法として、どちらの方式を用いてもよく、分類するデータの特徴によって、適宜選択する。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
異常検出装置の検出結果を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルの分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能、
各接続端末から収集した情報、状態判別結果、判別のためのパラメータを装置内に記憶するためのデータ記憶機能。
これらの情報を元に、ユーザは、検出された異常に対して的確な対応を早期にとることができる。本実施の形態のように、ネットワーク感染型ワームに感染、メール感染型ワームに感染、という2つの分類ラベルを異常発生原因として想定した場合は、どの端末が、どのようなワームに感染したことが原因で、異常が発生したのかが特定できるため、それぞれのワームに対して、最善の対策を早期にとることが可能となる。
また、新種のワームに感染したことにより異常が発生した場合でも、新種のワームに感染した端末の状態ベクトルと、各分類ラベルの境界値とを比較することにより新種のワームがネットワーク感染型ワーム、メール感染型ワームのいずれに近いのかを判別することができ、新種のワームに対しても適切な処理を早期にとることが可能になる。
また、本実施の形態による異常発生原因の特定は、ハードウェア資源を増加させることなく実現可能であり、ハードウェア資源を増加させることなく、セキュリティ強度を高めることができる。
以上の実施の形態1では、異常検出装置130で異常を検出した場合に、異常を発生させている疑いのある個々の端末の状態を判定し、実際に異常を発生させている端末と、異常を発生させている原因(ネットワーク感染型ワームに感染、メール感染型ワームに感染)を特定するものであるが、異常発生原因特定装置500単体で、端末の異常を検出することも可能である。なぜなら、端末の状態を判定した際に、端末の状態が異常を発生している状態であると判定されれば、判定された異常状態を引き起こす原因が発生しているといえるからである。この場合、監視対象ネットワーク上の全ての接続端末の状態を、定期的、もしくは、接続端末から状態ベクトルの要素に変更が加わるようなイベントの発生を異常発生原因特定装置500が受信したときに、その端末の状態を判定する。
図7において、図5と同様に、端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S701)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S702)。
そして、定期的な状態ベクトルの生成タイミングである場合(S703でYes)は、状態ベクトル生成部507が全接続端末の状態ベクトルを生成する(S704)(状態ベクトル生成ステップ)。
その後は、図5のS505からS507と同様であり、全接続端末の状態ベクトルと各分類ラベルの境界値とに基づき、それぞれの端末の状態ベクトルがどの分類ラベルに分類されるかを判別し(S705)(状態判別ステップ)、データ記憶部504が判別結果を記憶し(S706)、状態判別結果表示部508が判別結果を通知する(S707)。
図8において、図5と同様に、端末情報収集部503は、各接続端末の端末情報取得部124から端末情報を定期的に収集し(S801)(状態情報収集ステップ)、データ記憶部504が収集された端末情報を記憶する(S802)。
そして、以前の端末情報と比較して一定レベル以上の状態の変化が新たな状態情報に示されている端末が存在している場合、すなわち状態ベクトルの要素に変更が加わるようなイベントがいずれかの端末に発生している場合(S803でYes)は、状態ベクトル生成部507が、このようなイベントが発生した端末の状態ベクトルを生成する(S804)(状態ベクトル生成ステップ)。この状態ベクトル発生のトリガとなるイベントの内容(状態の変化の内容)は予め異常発生原因特定装置500に設定しておく。
その後は、図5のS505からS507と同様であり、状態判別の対象となる端末の状態ベクトルと各分類ラベルの境界値とに基づき、それぞれの端末の状態ベクトルがどの分類ラベルに分類されるかを判別し(S805)(状態判別ステップ)、データ記憶部504が判別結果を記憶し(S806)、状態判別結果表示部508が判別結果を通知する(S807)。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
接続端末から収集された端末情報の内容を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルの分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能。
以上の実施の形態2では、異常検出装置130の異常検出結果によらず、異常発生原因特定装置500のみで、異常を発生させる可能性がある端末を検出している。しかしながら、異常検出装置130によって、異常が検出されている場合と検出されていない場合では、仮に端末の状態が同じ場合であっても、異なる原因によって引き起こされていることが考えられる。
そこで、実施の形態2で用いる状態ベクトルに加え、異常検出装置130での異常検出の有無も考慮して、原因の判定を行う。これは、状態空間の次元を1つ増やすことに相当するため、例え端末の状態が同一であっても、それが、異常検出装置130で異常が検出されているときに発生している状態か否かで、異なる判定を行うことができる。
このように、本実施の形態では、状態ベクトルがいずれの分類ラベルに分類されるかを判別する際に、内部ネットワーク内で異常が検出されている否か(異常検出装置で異常が検出されているか否か)を判定要素の一つとして利用して、分類ラベルを判別する。
端末の状態を表す状態ベクトルと、その分類ラベルを学習するための、境界値学習指示機能および境界値学習機能、
状態ベクトルを生成するための端末情報を各接続端末から収集する端末情報収集機能、
接続端末から収集された端末情報の内容を元に、ユーザもしくはプログラムから端末状態判別の指示を受けるための状態判別指示機能、
状態判別指示機能からの指示を受けた端末の状態ベクトルに加えて、異常検出装置での検出結果の有無も、判別の要素として、分類ラベルを判別する状態判別機能、
各接続端末から収集した情報から状態ベクトルを生成する状態ベクトル生成機能、
状態判別機能で判別した結果を表示するための状態判別結果表示機能、
各接続端末から収集した情報、状態判別結果、判別のためのパラメータを装置内に記憶するためのデータ記憶機能。
Claims (7)
- コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定部と、
所定の内部ネットワーク内にある複数のコンピュータ装置の状態に関する情報を状態情報として定期的に収集する状態情報収集部と、
前記内部ネットワーク内で異常が検出された場合に、前記状態情報収集部により定期的に収集された状態情報のうち前記異常に関係のあるコンピュータ装置から収集された状態情報を選択し、選択した状態情報を用いて、前記異常に関係のあるコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成部と、
前記状態ベクトル生成部により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別部とを有することを特徴とする管理装置。 - 前記状態ベクトル生成部は、
以前の状態情報と比較して一定レベル以上の状態の変化が新たな状態情報に示されているコンピュータ装置の状態ベクトルを生成することを特徴とする請求項1に記載の管理装置。 - 前記状態ベクトル生成部は、
前記状態情報収集部により定期的に収集された状態情報を用いて、前記複数のコンピュータ装置の状態ベクトルを定期的に生成することを特徴とする請求項1に記載の管理装置。 - 前記状態判別部は、
前記内部ネットワーク内で異常が検出されている否かを判定要素の一つとして、前記状態ベクトル生成部により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別することを特徴とする請求項1に記載の管理装置。 - 前記境界値設定部は、
コンピュータウィルス感染時のコンピュータ装置に想定される状態が表された想定状態ベクトルを複数のコンピュータウィルスのそれぞれについて取得することを特徴とする請求項1に記載の管理装置。 - コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定ステップと、
所定の内部ネットワーク内にある複数のコンピュータ装置の状態に関する情報を状態情報として定期的に収集する状態情報収集ステップと、
前記内部ネットワーク内で異常が検出された場合に、前記状態情報収集ステップにより定期的に収集された状態情報のうち前記異常に関係のあるコンピュータ装置から収集された状態情報を選択し、選択した状態情報を用いて、前記異常に関係のあるコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成ステップと、
前記状態ベクトル生成ステップにより生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成ステップにより生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別ステップとを有することを特徴とする管理方法。 - コンピュータ装置に異常を発生させる複数の異常発生原因のそれぞれについて異常発生時のコンピュータ装置に想定される状態が表された想定状態ベクトルを取得し、共通性のある想定状態ベクトルを共通の分類ラベルに分類するとともに、共通の分類ラベルに分類された想定状態ベクトルに基づきそれぞれの分類ラベルの境界を示す境界値を設定する境界値設定処理と、
所定の内部ネットワーク内にある複数のコンピュータ装置の状態に関する情報を状態情報として定期的に収集する状態情報収集処理と、
前記内部ネットワーク内で異常が検出された場合に、前記状態情報収集処理により定期的に収集された状態情報のうち前記異常に関係のあるコンピュータ装置から収集された状態情報を選択し、選択した状態情報を用いて、前記異常に関係のあるコンピュータ装置の状態を表す状態ベクトルを生成する状態ベクトル生成処理と、
前記状態ベクトル生成処理により生成された状態ベクトルとそれぞれの分類ラベルの境界値とに基づき、前記状態ベクトル生成処理により生成された状態ベクトルがいずれの分類ラベルに分類されるかを判別する状態判別処理とを計算機に実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006007898A JP4559974B2 (ja) | 2006-01-16 | 2006-01-16 | 管理装置及び管理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006007898A JP4559974B2 (ja) | 2006-01-16 | 2006-01-16 | 管理装置及び管理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007189644A JP2007189644A (ja) | 2007-07-26 |
JP4559974B2 true JP4559974B2 (ja) | 2010-10-13 |
Family
ID=38344490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006007898A Expired - Fee Related JP4559974B2 (ja) | 2006-01-16 | 2006-01-16 | 管理装置及び管理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4559974B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5264470B2 (ja) * | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
JP6623453B2 (ja) * | 2016-01-05 | 2019-12-25 | Kddi株式会社 | 障害原因特定装置、及びプログラム |
JP7009907B2 (ja) * | 2017-10-25 | 2022-01-26 | 沖電気工業株式会社 | 通信解析装置、通信解析プログラム、及び通信解析方法 |
JPWO2019116418A1 (ja) | 2017-12-11 | 2020-12-17 | 日本電気株式会社 | 障害分析装置、障害分析方法および障害分析プログラム |
JP7126256B2 (ja) | 2018-10-30 | 2022-08-26 | 国立研究開発法人宇宙航空研究開発機構 | 異常診断装置、異常診断方法、及びプログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09205429A (ja) * | 1996-01-29 | 1997-08-05 | Toshiba Corp | ネットワーク故障診断装置及び故障予測装置並びにその診断及び予測方法 |
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2005167347A (ja) * | 2003-11-28 | 2005-06-23 | Fujitsu Ltd | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
-
2006
- 2006-01-16 JP JP2006007898A patent/JP4559974B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09205429A (ja) * | 1996-01-29 | 1997-08-05 | Toshiba Corp | ネットワーク故障診断装置及び故障予測装置並びにその診断及び予測方法 |
JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
JP2005167347A (ja) * | 2003-11-28 | 2005-06-23 | Fujitsu Ltd | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
JP2005250802A (ja) * | 2004-03-03 | 2005-09-15 | Toshiba Solutions Corp | 不正アクセス検出装置及び不正アクセス検出プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2007189644A (ja) | 2007-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10585774B2 (en) | Detection of misbehaving components for large scale distributed systems | |
WO2016132717A1 (ja) | ログ分析システム、ログ分析方法およびプログラム記録媒体 | |
JP6183450B2 (ja) | システム分析装置、及び、システム分析方法 | |
JP7044117B2 (ja) | モデル学習装置、モデル学習方法、及びプログラム | |
JP6183449B2 (ja) | システム分析装置、及び、システム分析方法 | |
JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
JP4559974B2 (ja) | 管理装置及び管理方法及びプログラム | |
US11640459B2 (en) | Abnormality detection device | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
JP2022533552A (ja) | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 | |
WO2015072085A1 (ja) | ログ分析システム、ログ分析方法、および、記憶媒体 | |
JP2015028700A (ja) | 障害検知装置、障害検知方法、障害検知プログラム及び記録媒体 | |
JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN114584377A (zh) | 流量异常检测方法、模型的训练方法、装置、设备及介质 | |
JP2014120001A (ja) | 監視装置、監視対象ホストの監視方法、監視プログラム及び記録媒体 | |
CN114944957A (zh) | 一种异常数据检测方法、装置、计算机设备及存储介质 | |
US9865158B2 (en) | Method for detecting false alarm | |
CN111555899B (zh) | 告警规则配置方法、设备状态监测方法、装置和存储介质 | |
JP7065744B2 (ja) | ネットワーク装置、パケットを処理する方法、及びプログラム | |
JP4745881B2 (ja) | ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム | |
KR102275635B1 (ko) | 함수 호출 패턴 분석을 통한 이상 검출 장치 및 방법 | |
JP2020038525A (ja) | 異常検知装置 | |
US11526162B2 (en) | Method for detecting abnormal event and apparatus implementing the same method | |
JP7359206B2 (ja) | 学習装置、学習方法、及びプログラム | |
JP2012222371A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080610 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100430 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100601 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100702 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100720 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100723 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130730 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |