JP6025574B2 - モニタリングシステム、及び計算機 - Google Patents

モニタリングシステム、及び計算機 Download PDF

Info

Publication number
JP6025574B2
JP6025574B2 JP2013001135A JP2013001135A JP6025574B2 JP 6025574 B2 JP6025574 B2 JP 6025574B2 JP 2013001135 A JP2013001135 A JP 2013001135A JP 2013001135 A JP2013001135 A JP 2013001135A JP 6025574 B2 JP6025574 B2 JP 6025574B2
Authority
JP
Japan
Prior art keywords
detection
data
attribute
information
detection model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013001135A
Other languages
English (en)
Other versions
JP2014134870A (ja
Inventor
田中 匡史
匡史 田中
長野 裕史
裕史 長野
智将 仲田
智将 仲田
恒太 井手口
恒太 井手口
洋子 衣川
洋子 衣川
中川 香織
香織 中川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2013001135A priority Critical patent/JP6025574B2/ja
Publication of JP2014134870A publication Critical patent/JP2014134870A/ja
Application granted granted Critical
Publication of JP6025574B2 publication Critical patent/JP6025574B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、所定のイベント発生の予兆を検知するモニタリングシステムに関する。
本技術分野の背景技術として、特許文献1がある。特許文献1には、「職種と金額とを予め関連付けて記録する個人信用力記録手段と、被融資者の職種に関する情報を取得する職種情報取得手段と、該職種情報取得手段で取得された被融資者の職種により前記個人信用力記録手段の記録内容を検索し、前記職種に予め関連付けられている金額を被融資者の個人信用力として評定する個人信用力評定手段と、融資の実行の際に設定した担保の現在の評価額に関する情報を取得する担保評価額情報取得手段と、被融資者の現在のローン元本残額に関する情報を取得する元本残額情報取得手段と、前記担保評価額情報取得手段で取得された現在の担保評価額と前記個人信用力評定手段で評定された個人信用力との合計額から前記元本残額情報取得手段で取得された現在のローン元本残額を減算して得られた金額を被融資者の信用余力として設定する信用余力設定手段と、信用余力とポイントとを予め関連付けて記録するポイント記録手段と、前記信用余力設定手段で設定された信用余力により前記ポイント記録手段の記録内容を検索し、前記信用余力に予め関連付けられているポイントを被融資者の途上与信ポイントとして設定するポイント設定手段と、ポイントとアクションとを予め関連付けて記録するアクション記録手段と、前記ポイント設定手段で設定されたポイントにより前記アクション記録手段の記録内容を検索し、前記ポイントに予め関連付けられているアクションを被融資者に対して取るべきアクションとして決定するアクション決定手段とを備えている」と記載されている。
特開2007−18239号公報
しかし、特許文献1に記載された発明のように従来の技術では、信用余力の算出に用いられる個人信用力は、被融資者が属する職種に関連付けられた金額に基づくものであり、被融資者個別の状況に基づくものではない。また、被融資者の経済状況についても、電話契約の異動、個人信用情報、自行の取引情報(実施例)など限定的な情報しか考慮されておらず、被融資者の状況変化に基づく途上与信管理には十分でない。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、所定のイベントの発生の予兆を検知するモニタリングシステムであって、前記モニタリングシステムは、所定の業務を実行する複数のモニタリング対象システムと、前記複数のモニタリング対象システムと接続される一つ以上の計算機と、を備え、前記一つ以上の計算機は、演算装置、前記演算装置に接続される主記憶装置、及び前記演算装置に接続されるネットワーク装置を有し、前記モニタリングシステムは、前記複数のモニタリング対象システム毎に、取得するモニタリングデータを特定するための収集設定情報と、前記モニタリングデータに含まれるユーザ属性に基づいて分類された属性別データを生成するためのユーザ属性管理情報と、所定のイベントの発生に関連する事象である検知パターンの種別及び時系列の組合せである検知モデルを管理する検知モデル情報と、前記検知パターンに対応する前記事象の内容を管理する検知パターン情報と、前記ユーザ属性毎に適用される前記検知モデルを定義する検知モデル設定情報と、前記属性別データに対応する前記ユーザ属性、前記ユーザ属性に適用される検知モデルの識別情報、及び検知対象の前記検知パターンの識別情報が対応づけられた検知状態情報と、を保持し、前記収集設定情報に基づいて、前記複数のモニタリング対象システムの各々から前記モニタリングデータを取得し、所定の前記モニタリングデータを送信するデータ収集部と、前記データ収集部から前記所定のモニタリングデータを取得し、前記ユーザ属性管理情報に基づいて、前記取得された所定のモニタリングデータを用いて前記属性別データを生成するデータ抽出部と、前記データ抽出部から前記属性別データを取得し、前記検知モデル情報、前記検知モデル設定情報、及び前記属性別データに基づいて、前記ユーザ属性毎に前記所定のイベントの発生の予兆を検知する検知部と、を有し、前記検知部は、前記検知モデル設定情報に基づいて、前記検知モデルを選択し、前記検知状態情報を参照して、検知対象となる第1の検知パターンを特定し、前記データ抽出部から、前記選択された検知モデルが適用される前記ユーザ属性に対応する前記属性別データを取得し、前記取得された属性別データ、及び前記第1の検知パターンに基づいて、前記第1の検知パターンに対応する事象が発生するか否かを判定し、前記第1の検知パターンに対応する事象が発生すると判定された場合に、前記検知モデル情報に基づいて、前記第1の検知パターンの次の検知対象である第2の検知パターンを特定し、前記取得された属性データに対応するユーザ属性、前記選択された検知モデルの識別情報、及び前記第2の検知パターンの識別情報を対応づけて前記検知状態情報に格納し、前記選択された検知モデルに対応する所定のイベントの発生の予兆となる全ての前記検知パターンが検知されたか否かを判定し、前記選択された検知モデルに対応する所定のイベントの発生の予兆となる全ての検知パターンが検知されたと判定された場合に、アラートを出力することを特徴とする。
本発明によれば、ユーザ属性毎の属性データに基づいて、ユーザ属性毎に所定のイベントの発生の予兆を検知することができる。すなわち、各被融資者の操作履歴等に基づいて、被融資者の状況把握が可能となる。
上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
本発明の実施例1におけるモニタリングシステムの構成例を示す説明図である。 本発明の実施例1におけるモニタリングシステムの機能構成を示す説明図である。 本発明の実施例1における検知モデル情報の一例を示す説明図である。 本発明の実施例1における検知サーバのハードウェア構成を示すブロック図である。 本発明の実施例1のデータ管理サーバが保持する収集設定情報の一例を示す説明図である。 本発明の実施例1のユーザ管理サーバが保持するユーザ管理情報の一例を示す説明図である。 本発明の実施例1の検知サーバが保持する検知モデル設定情報の一例を示す説明図である。 本発明の実施例1の検知サーバが保持する検知状態情報の一例を示す説明図である。 本発明の実施例1のデータ管理サーバのデータ収集部が実行するデータ収集処理の一例を説明するフローチャートである。 本発明の実施例1のユーザ管理サーバのユーザデータ抽出部が実行する属性別データ抽出処理の一例を説明するフローチャートである。 本発明の実施例1の検知サーバの検知部が実行する検知処理の一例を説明するフローチャートである。 本発明の実施例1の検知サーバの検知部が実行する検知処理の一例を説明するフローチャートである。 本発明の実施例2のモニタリングシステムの機能構成を示す説明図である。 本発明の実施例2のユーザ管理サーバが保持するユーザ・イベント管理情報の一例を示す説明図である。 本発明の実施例2の検知サーバが保持する抽出状態情報の一例を示す説明図である。 本発明の実施例2のユーザ管理サーバのユーザ属性・イベント別データ抽出部が実行する時系列データ抽出処理を説明するフローチャートである。 本発明の実施例2の検知サーバの検知モデル抽出部が実行する検知モデル抽出処理を説明するフローチャートである。
以下、図面を用いて実施例について説明する。
実施例1におけるモニタリングシステムの構成例について説明する。
図1は、本発明の実施例1におけるモニタリングシステムの構成例を示す説明図である。図2は、本発明の実施例1におけるモニタリングシステムの機能構成を示す説明図である。
実施例1におけるモニタリングシステムは、複数の外部システム100、データ管理サーバ200、ユーザ管理サーバ300、及び検知サーバ400から構成される。複数の外部システム100、データ管理サーバ200、ユーザ管理サーバ300、及び検知サーバ400は、ネットワーク150を介して互いに通信可能なように接続される。
以下の説明では、データ管理サーバ200、ユーザ管理サーバ300、及び検知サーバ400を区別しない場合、サーバとも記載する。
ネットワーク150は、LAN(Local Area Network)等の利用者の組織が管理する通信網である。なお、本発明は、ネットワーク150の種別に限定されず、ネットワーク150は、インターネット等の公衆通信網、WAN(Wide Area Network)又はVPN(Virtual Private Network)等であってもよい。また、複数種類の通信網が混在したネットワークであってもよい。
外部システム100は、監視対象のシステムであって、計算機及びネットワーク装置等から構成される計算機システムである。外部システム100では、所定の業務が実行される。なお、本発明では、外部システム100が実行する業務に限定されない。
外部システム100は、制御部102を備える。制御部102は、データ管理サーバ200の要求に応じて、ログデータ、取引データ等のモニタリング対象のデータを送信する。以下の説明では、モニタリング対象のデータをモニタリングデータとも記載する。
なお、制御部102は、逐次又は周期的に、データ管理サーバ200にデータを送信する。周期的にデータが送信される場合、制御部102は、一定量のデータを蓄積し、蓄積されたデータをデータ管理サーバ200に送信する。
なお、制御部102は、所定のデータ形式に変換し、変換されたデータをデータ管理サーバ200に送信してもよい。
なお、制御部102が送信するデータには、一つ以上のユーザ属性が含まれるものとする。ユーザ属性としては、ユーザ名、組織名、業種、及び地域等が考えられる。
データ管理サーバ200は、外部システム100から受信したモニタリングデータを管理し、また、ユーザ管理サーバ300の要求に応じて、所定のモニタリングデータをユーザ管理サーバ300に送信する。
データ管理サーバ200は、データ収集部202を備え、また、収集設定情報204及び収集データ206を管理する。
データ収集部202は、外部システム100から受信したモニタリングデータを収集データ206として格納する。なお、データ収集部202は、外部システム100から受信したモニタリングデータを所定のデータ形式で管理する。
また、データ収集部202は、ユーザ管理サーバ300の要求に応じて、収集データ206からモニタリングデータを読み出し、読み出されたモニタリングデータをユーザ管理サーバ300に送信する。
収集データ206は、外部システム100から受信したモニタリングデータである。収集設定情報204は、ユーザ管理サーバ300に送信するモニタリングデータを特定するための情報である。収集設定情報204の詳細については、図5を用いて後述する。
なお、収集データ206はデータベースを用いて管理されてもよい。
ユーザ管理サーバ300は、データ管理サーバ200からモニタリングデータを取得し、取得されたモニタリングデータを所定のユーザ属性毎に分類する。また、ユーザ管理サーバ300は、所定のユーザ属性毎に分類された複数のデータを検知サーバ400に送信する。以下の説明では、所定のユーザ属性毎に分類されたデータを属性別データとも記載する。
ユーザ管理サーバ300は、属性別データ抽出部302を備え、また、ユーザ属性管理情報304を保持する。
属性別データ抽出部302は、データ管理サーバ200から取得されたモニタリングデータをユーザ属性に従って複数の属性別データに分類し、また、複数の属性別データを検知サーバ400に送信する。本実施例では、属性別データ抽出部302は、属性別データを時系列順に並びかえ、時刻情報(例えば、タイムスタンプ)が古いデータから順に、当該属性別データを検知サーバ400に送信する。
ユーザ属性管理情報304は、受信したモニタリングデータから属性別データを生成するための情報である。本実施例では、属性別データ抽出部302は、ユーザ属性管理情報304に基づいて、データ管理サーバ200から所定のモニタリングデータを取得する。なお、ユーザ属性管理情報304の詳細については、図6を用いて後述する。
検知サーバ400は、ユーザ管理サーバ300から受信した属性別データに基づいて特定のイベントの発生の予兆を検知する。
検知サーバ400は、検知部402を備え、また、検知モデル情報404、検知モデル設定情報405、検知パターン情報406、及び検知状態情報408を保持する。
検知部402は、ユーザ管理サーバ300から受信した属性別データを解析し、解析結果に基づいて、特定のイベントの発生の予兆を検知する。本実施例では、検知部402は、検知モデル情報404に基づいて、特定のイベントが発生する可能性があるか否かを判定する。ここで、検知モデル情報404について説明する。
図3は、本発明の実施例1における検知モデル情報404の一例を示す説明図である。
検知モデル情報404は、複数の検知モデルの情報を格納する。図3に示す例では、検知モデル情報404には、検知モデル1(501)、検知モデル2(502)、及び検知モデル3(503)の三つの検知モデルの情報が含まれる。
検知モデルとは、特定のイベントの発生に関連する検知パターンの組合せを示すモデルである。ここで、検知パターンは、検知モデルを構成する事象を示す。例えば、「ログイン回数の増加率が所定の比率以上」、「振り込みによる入金回数が所定の回数以上」となる事象等が考えられる。また、検知パターンの組合せとは、検知パターンの種別及び時系列の組合せを示す。
なお、検知パターンの具体的な内容は、後述する検知パターン情報406に格納される。
検知モデル1(501)は、検知パターン「A」が発生後、検知パターン「B」が発生した場合に異常発生の可能性があることを示すモデルである。検知モデル2(502)は、検知パターン「B」、「C」及び「D」が同時に発生した場合に異常発生の可能性があることを示すモデルである。検知モデル3(503)は、検知パターン「B」の発生後、検知パターン「A1」又は「A2」のいずれかが発生した場合に異常発生の可能性があることを示すモデルである。
検知モデル設定情報405は、属性別データ毎に適用される検知モデルを示す情報である。検知モデル設定情報405の詳細については、図7を用いて後述する。
検知パターン情報406は、検知パターンの具体的な内容を示す情報である。具体的には、検知パターン情報406には、検知パターンの識別子と、検知パターンの内容とが対応づけられた情報が格納される。例えば、検知パターンの識別子が「A」の検知パターンは「ログイン回数の増加率が所定の比率以上」となる事象であることを示す情報が格納される。
検知状態情報408は、データの解析状況を示す情報である。検知状態情報408の詳細については、図8を用いて後述する。
図4は、本発明の実施例1における検知サーバ400のハードウェア構成を示すブロック図である。
検知サーバ400は、演算装置601、主記憶装置602、副記憶装置603、通信装置604、入力装置605、及び出力装置606を備える。演算装置601、主記憶装置602、副記憶装置603、通信装置604、入力装置605、及び出力装置606は、バス607を介して互いに接続される。
演算装置601は、演算処理を実行する装置であり、例えば、CPU(Central Processing Unit)等が考えられる。演算装置601は、主記憶装置602に格納されるプログラム等を実行することによって、検知部402等の検知サーバ400が有する機能を実現することができる。
主記憶装置602は、演算装置601によって実行されるプログラム及び当該プログラムの実行に必要な情報を格納する装置であり、例えば、RAM(Random Access Memory)等が考えられる。主記憶装置602は、また、演算処理に必要なワークエリアを提供する。
副記憶装置603は、プログラム及び情報を格納する装置であり、例えば、HDD(Hard Disk Drive)及びフラッシュメモリ等の不揮発性記憶装置が考えられる。
主記憶装置602に格納されるプログラム及び情報は、副記憶装置603に格納されていてもよい。この場合、演算装置601が、副記憶装置603からプログラム及び情報を読み出し、読み出されたプログラム及び情報を主記憶装置602上に展開する。さらに、演算装置601は、主記憶装置602に展開されたプログラム及び情報を用いて所定の演算処理を実行する。
通信装置604は、外部の装置と通信するための装置であり、例えば、アンテナを介した無線通信を行うための無線通信装置、又は、ネットワークケーブルを介した有線通信を行うための有線通信装置である。
入力装置605は、検知サーバ400に各種情報を入力するための装置であり、例えば、キーボード、マウス、タッチペン、及びポインティングデバイス等が考えられる。
出力装置606は、検知サーバ400の利用者に各種情報を出力するための装置であり、例えば、ディスプレイ等が考えられる。
なお、外部システム100を構成する計算機、データ管理サーバ200、及びユーザ管理サーバ300も同様のハードウェアを備える。なお、外部システム100を構成する計算機は、入力装置605及び出力装置606を備えていなくともよい。
なお、外部システム100を構成する計算機、及び各サーバの主記憶装置602には、以下のようなプログラム及び情報が格納される。
外部システム100を構成する計算機の主記憶装置602には、制御部102を実現するためのプログラムが格納される。データ管理サーバ200の主記憶装置602には、データ収集部202を実現するためのプログラム、収集設定情報204、及び収集データ206が格納される。ユーザ管理サーバ300の主記憶装置602には、属性別データ抽出部302、及びユーザ属性管理情報304が格納される。検知サーバ400の主記憶装置602には、検知部402を実現するためのプログラム、検知モデル情報404、検知モデル設定情報405、検知パターン情報406、及び検知状態情報408が格納される。
次に、図5から図8を用いて、各サーバが保持する情報の詳細について説明する。
図5は、本発明の実施例1のデータ管理サーバ200が保持する収集設定情報204の一例を示す説明図である。
収集設定情報204は、システムID701、システム名702、対象データ703、最終取得日時704、取得間隔705、及びアドレス706を含む。
システムID701は、外部システム100を一意に識別するための識別子を格納する。システム名702は、外部システム100が実行する業務に関連するシステム名を格納する。対象データ703は、外部システム100から取得するモニタリングデータの種別を示す情報を格納する。
最終取得日時704は、外部システム100から取得されたモニタリングデータの日時のうち、最新の日時を格納する。取得間隔705は、外部システム100からモニタリングデータを取得する時間間隔を格納する。なお、取得間隔705が空欄の場合、取得間隔705が設定されていないことを示す。
アドレス706は、対象データの送信要求を送信する制御部102のネットワークアドレスを格納する。
図6は、本発明の実施例1のユーザ管理サーバ300が保持するユーザ属性管理情報304の一例を示す説明図である。
ユーザ属性管理情報304は、システムID801、対象データ802、ユーザ属性803、及びデータ期間804を含む。システムID801及び対象データ802は、システムID701及び対象データ703と同一のものである。
ユーザ属性803は、モニタリングデータを属性別データに分類する場合に用いられるユーザ属性を格納する。データ期間804は、検知サーバ400に送信する属性別データの時間幅を格納する。
なお、ユーザ属性803が空欄の場合、個別のユーザ毎にモニタリングデータが分類されることを示す。例えば、ユーザID毎にモニタリングデータが分類される。
図7は、本発明の実施例1の検知サーバ400が保持する検知モデル設定情報405の一例を示す説明図である。
検知モデル設定情報405は、モデルID901及びユーザ属性902を含む。モデルID901は、検知モデルを一意に識別するための識別子を格納する。ユーザ属性902は、ユーザ属性803と同一のものである。
なお、ユーザ属性902は、どのユーザ属性に基づいて分類された属性別データであるかを示す情報である。すなわち、検知モデルID901に対応する検知モデルが適用される属性別データを特定するための情報として用いられる。
なお、ユーザ属性902が空欄の場合、個別のユーザ毎に分類された属性別データに適用される検知モデルであることを示す。
図8は、本発明の実施例1の検知サーバ400が保持する検知状態情報408の一例を示す説明図である。
検知状態情報408は、対象ユーザ属性1001、モデルID1002、検知パターン1003、及び検知日時1004を含む。
対象ユーザ属性1001は、検知処理の対象となる属性別データを識別するための識別子を格納する。モデルID1002は、属性別データに適用される検知モデルを一意に識別するための識別子を格納する。なお、モデルID1002に格納される情報は、モデルID901と同一の情報である。
検知パターン1003は、検知対象の検知パターンの識別子を格納する。検知日時1004は、検知パターン1003に設定された検知パターンと一致する事象が検知された日時を格納する。
後述するように、検知サーバ400は、データの解析結果に基づいて、検知パターン1003に設定された検知パターンと一致する事象が検知されたか否かを判定する。
検知状態情報408は、検知サーバ400が後述する検知処理の実行時に生成される情報である。例えば、図8の1行目のエントリは、「ユーザA」のデータに対して、「検知モデル1」に一致するか否かが判定されていることを示す。また、検知サーバ400は、次に検知パターン「B」が検知されるか否かを判定することが分かる。
以下、モニタリングシステムにおける処理の詳細について図を説明する。
図9は、本発明の実施例1のデータ管理サーバ200のデータ収集部202が実行するデータ収集処理の一例を説明するフローチャートである。
データ収集部202は、周期的に処理を実行するものとする。なお、本発明は、データ収集部202の処理開始のタイミングに限定されない。例えば、データ管理サーバ200の利用者等から指示を受け付けた場合、又は、ユーザ管理サーバ300から収集データの送信要求を受信した場合に、処理が開始されてもよい。
データ収集部202は、外部システム100から取得する対象データを特定し、モニタリングデータの送信要求を外部システム100に送信する(ステップS101)。具体的には以下のような処理が実行される。
データ収集部202は、収集設定情報204を参照して、上のエントリから順に処理を実行する。まず、データ収集部202は、選択されたエントリのシステムID701を参照して、データを取得する外部システム100を特定する。
データ収集部202は、選択されたエントリのシステム名702及び対象データ703に基づいて、特定された外部システム100から取得するモニタリングデータを特定する。例えば、インターネットバンキングにおける操作履歴データ、又は勘定系システムにおける取引データ等がモニタリングデータとして特定される。
データ収集部202は、選択されたエントリの取得間隔705に値が格納されているか否かを判定する。
選択されたエントリの取得間隔705に値が格納されていない場合、データ収集部202は、特定された外部システム100にモニタリングデータの送信要求を送信する。具体的には、データ収集部202は、アドレス706に格納されたネットワークアドレス宛に、モニタリングデータの送信要求に対応するパケットを送信する。
選択されたエントリの取得間隔705に値が格納されている場合、データ収集部202は、現在の日時と選択されたエントリの最終取得日時704とを比較し、取得間隔705に格納された値だけ時間が経過しているか否かを判定する。例えば、取得間隔705が「1時間」である場合、データ収集部202は、現在の日時が最終取得日時704から1時間以上経過しているか否かを判定する。
取得間隔705に格納された値だけ時間が経過していないと判定された場合、データ収集部202は、取得間隔705に格納された値だけ時間が経過するまで待ち続ける。なお、データ収集部202は、時間の経過を待たずに当該エントリについての処理を終了してもよい。
取得間隔705に格納された値だけ時間が経過していると判定された場合、データ収集部202は、特定された外部システム100にモニタリングデータの送信要求を送信する。具体的には、データ収集部202は、アドレス706に格納されたネットワークアドレス宛に、モニタリングデータの送信要求に対応するパケットを送信する。
データ収集部202は、収集設定情報204に含まれる全てのエントリについて前述した処理を繰り返し実行する。なお、データ収集部202は、複数のエントリについて同時に前述した処理を実行するようにしてもよい。
外部システム100の特性に応じて、特に、他銀行のシステム等では提供されるモニタリングデータの更新頻度が異なる場合がある。そのため、本発明では、取得間隔705を設定することによって、外部システム100に対する不要な送信要求の送信を防ぐことができる。
以上がステップS101の処理である。
次に、データ収集部202は、外部システム100から受信したモニタリングデータを収集データ206に格納し、また、収集設定情報204を更新する(ステップS102)。
具体的には、データ収集部202は、収集設定情報204を参照し、受信したモニタリングデータに対応するエントリを検索する。データ収集部202は、検索されたエントリの最終取得日時704に、外部システム100からモニタリングデータを受信した日時の情報を格納する。
なお、受信したデータに対応するエントリを検索する方法としては以下のような方法が考えられる。まず、データ収集部202は、受信したパケット(モニタリングデータ)のヘッダを参照して、当該パケットの送信元のアドレスを取得する。データ収集部202は、収集設定情報204のアドレス706を参照して、取得されたアドレスと一致するエントリを検索する。
次に、データ収集部202は、ユーザ管理サーバ300からモニタリングデータの送信要求を受信したか否かを判定する(ステップS103)。後述するように、モニタリングデータの送信要求には、システム名、データの種別、及びタイムスタンプが含まれる。
ユーザ管理サーバ300からモニタリングデータの送信要求を受信していないと判定された場合(ステップS103がNO)、データ収集部202は処理を終了する。
ユーザ管理サーバ300からモニタリングデータの送信要求を受信していると判定された場合(ステップS103がYES)、データ収集部202は、要求されたモニタリングデータをユーザ管理サーバ300に送信し(ステップS104)、処理を終了する。
具体的には、データ収集部202は、モニタリングデータの送信要求に含まれるシステム名、及びデータ種別に基づいて、要求されたモニタリングデータを特定する。さらに、データ収集部202は、モニタリングデータの送信要求に含まれるタイムスタンプに基づいて、特定されたモニタリングデータのうち、更新分のモニタリングデータのみをユーザ管理サーバ300に送信する。
なお、外部システム100からモニタリングデータを取得する処理と、ユーザ管理サーバ300にモニタリングデータを送信する処理とは、別々の処理として実行されてもよい。
図10は、本発明の実施例1のユーザ管理サーバ300の属性別データ抽出部302が実行する属性別データ抽出処理の一例を説明するフローチャートである。
属性別データ抽出部302は、検知サーバ400から属性別データの送信要求を受信した場合に処理を実行するものとする。後述するように、属性別データの送信要求には、システム名、ユーザ属性、及びデータの種別が含まれる。
なお、本発明は、属性別データ抽出部302の処理開始のタイミングに限定されない。例えば、ユーザ管理サーバ300の利用者等から指示を受け付けた場合、又は、周期的に、処理が実行されてもよい。
属性別データ抽出部302は、データ収集部202にモニタリングデータの送信要求を送信し、モニタリングデータを受信する(ステップS201)。
モニタリングデータの送信要求には、システム名、及びデータの種別が含まれる。システム名、及びデータの種別は属性別データの送信要求に含まれるものと同一である。
また、モニタリングデータの送信要求には、これまで受信したモニタリングデータの最新のタイムスタンプが含まれる。属性別データ抽出部302は、前回取得したモニタリングデータのタイムスタンプのうち、最新のタイムスタンプを一時的に保持する。これによって、データ管理サーバ200は、収集データ206に格納されるデータのうち、前回までに受信したモニタリングデータ以外のデータ、すなわち、更新分のモニタリングデータを取得できる。
本実施例では、属性別データ抽出部302は、受信したモニタリングデータを一時的に保持する。なお、属性別データ抽出部302は、受信したモニタリングデータを一定期間経過した後に破棄してもよいし、副記憶装置603に格納してもよい。
次に、属性別データ抽出部302は、ユーザ属性管理情報304に基づいて、受信したモニタリングデータを用いて複数の属性別データを生成する(ステップS202)。具体的には、以下のような処理が実行される。
属性別データ抽出部302は、ユーザ属性管理情報304を参照して、属性別データの送信要求に含まれるユーザ属性に対応するエントリを選択する。属性別データ抽出部302は、受信したモニタリングデータから、選択されたエントリのシステムID801、対象データ802、ユーザ属性803、及びデータ期間804に一致するデータを抽出する。
このとき、ユーザ属性803が空の場合、属性別データ抽出部302は、受信したモニタリングデータからユーザ毎にデータを抽出する。ユーザ属性803に所定のユーザ属性が格納される場合、属性別データ抽出部302は、受信したモニタリングデータから当該ユーザ属性に対応するデータを抽出する。
また、属性別データ抽出部302は、受信したモニタリングデータのうち、タイムスタンプが最新のモニタリングデータからデータ期間804に格納された期間だけ遡った時間間隔のデータを抽出する。
さらに、属性別データ抽出部302は、タイムスタンプが古い順に、抽出されたデータを並び替えることによって属性別データを生成する。前述のように、本実施例の属性別データは時系列データとして生成される。
本実施例では、ユーザ属性803に特定のユーザ属性が格納される場合、一つの属性別データが生成され、ユーザ属性803が空の場合、複数の属性別データが生成されることとなる。
以上が、ステップS202の処理である。
次に、属性別データ抽出部302は、検知サーバ400に生成された属性別データを送信し(ステップS203)、処理を終了する。
図6に示すユーザ属性管理情報304の場合、ステップS202では、以下のような属性別データが生成される。
一番目のエントリが選択された場合、属性別データ抽出部302は、受信したモニタリングデータから、システムIDが「0001」、データの種別が「操作ログ」であるデータを、ユーザ毎に3ヶ月分抽出する。属性別データ抽出部302は、抽出されたユーザ毎のデータを時系列順に並び替えることによって、属性別データを生成する。なお、生成された属性別データにはユーザ属性としてユーザの識別子が含まれる。
また、三番目のエントリが選択された場合、属性別データ抽出部302は、システムIDが「0002」、データの種別が「取引データ」、ユーザ属性が「製造業」であるデータを1ヶ月分抽出する。属性別データ抽出部302は、抽出されたデータを時系列順に並び替えることによって、ユーザ属性が「製造業」である属性別データを生成する。
図11A及び図11Bは、本発明の実施例1の検知サーバ400の検知部402が実行する検知処理の一例を説明するフローチャートである。
まず、検知部402は、検知モデル情報404及び検知モデル設定情報405を読み出し(ステップS301)、また、検知状態情報408を読み出す(ステップS302)。
検知部402は、読み出された検知モデル設定情報405に基づいて検知モデルを一つ選択する(ステップS303)。ここでは、検知モデル設定情報405の上のエントリから順に選択されるものとする。
検知部402は、検知状態情報408に、選択された検知モデルに対応するエントリが存在するか否かを判定する(ステップS304)。
具体的には、検知部402は、モデルID1002が、ステップS303において選択された検知モデルの識別子と一致するエントリを検索する。
検知状態情報408に、選択された検知モデルに対応するエントリが存在すると判定された場合(ステップS304がYES)、検知部402は、検知状態情報408に基づいて、検知対象の検知パターンを設定し(ステップS305)、ステップS307に進む。
具体的には、検知部402は、検知状態情報408の対応するエントリの検知パターン1003に格納される検知パターンを、検知対象の検知パターンとして設定する。
検知状態情報408に、選択された検知モデルに対応するエントリが存在しないと判定された場合(ステップS304がNO)、検知部402は、検知モデル情報404に基づいて、検知対象の検知パターンを設定し(ステップS306)、ステップS307に進む。
具体的には、検知部402は、選択された検知モデルの識別子に基づいて、検知モデル情報404を参照し、最初の検知パターンを特定する。検知部402は、特定された最初の検知パターンを、検知対象の検知パターンとして設定する。
次に、検知部402は、ユーザ管理サーバ300に属性別データの送信要求を送信する(ステップS307)。当該送信要求には、システム名、ユーザ属性、及びデータの種別が含まれる。
ここで、システム名及びデータの種別は、設定された検知パターンに基づいて決定される。例えば、設定された検知パターンがインターネットバンキングの操作ログに関連する内容である場合、検知部402は、システム名を「インターネットバンキングシステム」と、データ種別を「操作ログ」と決定する。
本実施例では、検知部402は、受信した属性別データを一時的に保持する。なお、検知部402は、受信した属性別データを一定期間経過した後に破棄してもよいし、副記憶装置603に格納してもよい。
次に、検知部402は、属性別データを取得した後、一つの属性別データを選択し、選択された属性別データに対してステップS308からステップS313の処理を実行する。
このとき、検知部402は、複数の属性別データを受信した場合、取得された全ての属性別データに対して、ステップS308からステップS313の処理を繰り返し実行する。例えば、「ユーザA」及び「ユーザB」の属性別データが取得された場合、検知部402は、「ユーザA」の属性別データに対してステップS308からステップS313の処理を実行し、「ユーザB」の属性別データに対してステップS308からステップS313の処理を実行する。
検知部402は、ユーザ管理サーバ300から受信した属性別データを用いて、所定の解析処理を実行する(ステップS308)。さらに、検知部402は、解析結果、及び選択された検知モデルに対して設定された検知パターンに基づいて、マッチング処理を実行する(ステップS309)。
本実施例では、検知モデル毎に、解析処理の処理内容が予め設定されているものとする。なお、解析処理が必要ない場合には、当該ステップを省略してもよい。
検知部402は、マッチング処理の結果に基づいて、設定された検知パターンに一致する事象が発生しているか否かを判定する(ステップS310)。
設定された検知パターンに一致する事象が発生していないと判定された場合(ステップS310がNO)、検知部402はステップS314に進む。
設定された検知パターンに一致する事象が発生していると判定された場合(ステップS310がYES)、検知部402は、検知状態情報408を更新する(ステップS311)。
具体的には、検知部402は、検知モデル情報404に基づいて、検知状態情報408の対応するエントリの検知パターン1003に次の検知対象となる検知パターンの識別子を設定する。
例えば、「検知モデル1」が適用される「ユーザA」において検知パターン「A」と一致する事象が発生すると判定された場合、図8の一番上のエントリのように、検知パターン「B」が設定される。また、「検知モデル3」が適用される「ユーザB」において検知パターン「E」と一致する事象が発生すると判定された場合、図8の二番上のエントリのように、検知パターン「F1」及び検知パターン「F2」が設定される。
なお、特定のイベントが発生の条件である全ての検知パターンが検知されている場合には、次の検知対象は存在しないため検知パターン1003には終了を示す情報が格納される。
次に、検知部402は、特定のイベントが発生する可能性があるか否かを判定する(ステップS312)。
具体的には、特定された検知モデルについて、特定のイベントが発生条件である検知パターンが全て検知されたか否かを判定する。例えば、図3に示す検知モデル1の場合、検知パターン「A」及び検知パターン「B」の両方の検知パターンが検知されたか否かが判定される。特定のイベントが発生条件である検知パターンが全て検知された場合、検知部402は、特定のイベントが発生する可能性があると判定する。
特定のイベントが発生する可能性がないと判定された場合(ステップS312がNO)、検知部402はステップS314に進む。
特定のイベントが発生する可能性があると判定された場合(ステップS312がYES)、検知部402は、特定された検知モデルに対応する異常発生のアラートを外部システム100に対して出力し(ステップS313)、ステップS314に進む。なお、アラートの出力先は外部システム100に限定されず、各サーバ、又はその他の装置に対してアラートが出力されてもよい。
検知部402は、検知モデル設定情報405に含まれる全ての検知モデルについて処理が完了したか否かを判定する(ステップS314)。
検知モデル設定情報405に含まれる全ての検知モデルについて処理が完了していないと判定された場合(ステップS314がNO)、検知部402はステップS303に戻る。
検知モデル設定情報405に含まれる全ての検知モデルについて処理が完了していると判定された場合(ステップS314がYES)、検知部402は処理を終了する。
なお、本発明は、外部システム100又は各サーバから送信されるデータの送信タイミングに限定されない。したがって、逐次到来するデータ、すなわち、ストリームデータを処理するシステム(ストリームデータ処理システム)にも適用可能である。
ストリームデータ処理システムに本発明を適用する場合、外部システム100は逐次ストリームデータ(モニタリングデータ)をデータ管理サーバ200に送信し、データ管理サーバ200は逐次ストリームデータ(モニタリングデータ)をユーザ管理サーバ300に送信し、またユーザ管理サーバ300は逐次ユーザ属性毎のストリームデータ(属性別データ)を検知サーバ400に送信する。この場合、各サーバは各送信要求を送信する必要はない。
ここで、具体例を用いて検知処理について説明する。
まず、図3に示す「検知モデル1」を例に説明する。以下の説明では、「検知モデル1」の検知パターン「A」は「1回のログイン中に残高照会と手続き説明ページ閲覧とを実行」、検知パターン「B」は「1回の取引で100万円以上の入金」であるものとする。
また、図7に示すように、検知モデル1では、ユーザ属性902が設定されていないため、ユーザ毎に分類されたモニタリングデータ、すなわち属性別データに対して検知モデル1に対する検知処理が実行される。そのため、以下の説明では、「ユーザA」、「ユーザB」、及び「ユーザC」の三つの属性別データがユーザ管理サーバ300によって生成されたものとする。
ステップS304において、「検知モデル1」に対応するエントリが存在しないと判定された場合、検知部402は、「検知モデル1」の最初の検知パターン「A」を検知対象の検知パターンとして設定する(ステップS305)。
ステップS307において、検知パターン「A」はインターネットバンキングの操作に関するパターンであるため、検知部402は、ユーザ管理サーバ300に、ユーザ毎のインターネットバンキングシステムの操作ログデータの送信要求を送信する。
ステップS309において、検知部402は、「ユーザA」、「ユーザB」、及び「ユーザC」のそれぞれの操作ログデータの解析結果と、設定された検知パターン「A」とのマッチング処理を実行する。さらに、ステップS310において、検知部402は、検知パターン「A」と一致する事象が発生するか否かを判定する。
ここで、「ユーザA」において検知パターン「A」に一致する事象が発生すると判定された場合、検知部402は、図8の一番目のエントリを追加することによって検知状態情報408を更新する。なお、検知日時1004には、ステップS310の処理が実行された日時が格納される。
さらに、検知部402は、追加されたエントリの検知パターン1003に検知パターン「B」を格納する。
所定期間が経過した後、検知処理が開始された場合、検知部402は、ステップS305において、検知パターン「B」を検知対象の検知パターンとして設定する。
ステップS307において検知部402は、ユーザ管理サーバ300に勘定系システムの取引データの送信要求を送信する。ステップS309において、検知部402は、「ユーザA」について検知パターン「B」に一致する事象が発生するか否かを判定する。
「ユーザA」について検知パターン「B」と一致する事象が発生すると判定された場合、検知モデルに含まれる全ての検知パターンが検知されたことになる。したがって、ステップS312において、検知部402は、「ユーザA」について異常が発生する可能性があると判定し、ステップS313において該当する外部システム100に対してアラートを出力する。
以上のように、対象となる検知パターンを絞ることによって、マッチング処理に必要なデータの種別、及び取得期間を限定できるため、通信及び処理量を低減することができる。
次に、図3に示す「検知モデル3」を例に説明する。以下の説明では、「検知モデル3」の検知パターン「E」は「残高照会回数が3カ月連続増加」、検知パターン「F1」は「1カ月の入金回数が5回以上」、検知パターン「F2」は「1カ月の入金合計が10万円以上」であるものとする。また、月の区切りは、該当ユーザのローン返済引き落とし日とする。
「検知モデル3」では、検知パターン「E」が検知された後、検知パターン「F1」又は検知パターン「F2」が検知された場合、異常が発生する可能性があると判定される検知モデルである。
また、図7に示すように、「検知モデル3」では、ユーザ属性902が設定されていないため、以下の説明では、「ユーザA」、「ユーザB」、及び「ユーザC」の三つの属性別データがユーザ管理サーバ300によって生成されたものとする。
ステップS304において、「検知モデル3」に対応するエントリが存在しないと判定された場合、検知部402は、「検知モデル3」の最初の検知パターン「E」を検知対象の検知パターンとして設定する(ステップS305)。
ステップS307において、検知パターン「E」はインターネットバンキングの操作に関するパターンであるため、検知部402は、ユーザ管理サーバ300に、ユーザ毎のインターネットバンキングシステムの操作ログデータの送信要求を送信する。
ステップS309において、検知部402は、「ユーザA」、「ユーザB」、及び「ユーザC」のそれぞれの操作ログデータの解析結果と、設定された検知パターン「E」とのマッチング処理を実行する。さらに、ステップS310において、検知部402は、検知パターン「E」と一致する事象が発生するか否かを判定する。
ここで、「ユーザB」において検知パターン「E」に一致する事象が発生すると判定された場合、検知部402は、図8の二番目のエントリを追加することによって検知状態情報408を更新する。なお、検知日時1004には、ステップS310の処理が実行された日時が格納される。すなわち、3カ月目の残高参照回数が前月の回数を越えた日時が検知日時1004に格納される。
さらに、検知部402は、追加されたエントリの検知パターン1003に検知パターン「F1」及び検知パターン「F2」を格納する。
所定期間が経過した後、検知処理が開始された場合、検知部402は、ステップS305において、検知パターン「F1」及び検知パターン「F2」を検知対象の検知パターンとして設定する。
ステップS307において検知部402は、ユーザ管理サーバ300に勘定系システムの取引データのうち、「ユーザB」が検知日時1004以降かつ検知日時1004に直近する時間間隔の取引データの送信要求を送信する。ステップ309において、検知部402は、「ユーザB」について検知パターン「F1」又は検知パターン「F2」に一致する事象が発生するか否かを判定する。
「ユーザB」について検知パターン「F1」又は検知パターン「F2」の少なくともいずれかと一致する事象が発生すると判定された場合、検知モデルに含まれる全ての検知パターンが検知されたことになる。したがって、ステップS312において、検知部402は、「ユーザB」について異常が発生する可能性があると判定し、ステップS313において該当する外部システム100に対してアラートを出力する。
以上のように、対象となる検知パターン及びその特長に基づいて、マッチング処理に必要なデータ種別、及び取得期間を限定できるため、通信及び処理量を低減することができる。
以上説明したように、実施例1のモニタリングシステムでは、ユーザ個別の操作履歴データ等のデータをリアルタイムにモニタリングすることができ、モニタリング結果に基づいて、ユーザ毎に異常発生の予兆等を検知することができる。
また、ユーザ属性、すなわち、ユーザ毎に検知モデルを設定することによって、ユーザ毎に適したイベント発生の予兆を検知することができる。
実施例1では、予め検知モデルが登録されていたが、実施例2では、モニタリングの履歴等から検知モデルを抽出する点が異なる。
以下、実施例1との差異を中心に説明する。なお、実施例1の構成と同一の符号が付与された構成は、同一の機能又は構成であることを示す。
図12は、本発明の実施例2のモニタリングシステムの機能構成を示す説明図である。
外部システム100及びデータ管理サーバ200は、実施例1と同一であるため説明を省略する。
実施例2のユーザ管理サーバ300は、データ管理サーバ200から受信したデータからユーザ属性毎のイベントに関連するデータを生成し、生成されたユーザ属性毎のイベントに関連するデータを検知サーバ400に送信する。実施例2のユーザ管理サーバ300は、ユーザ属性・イベント別データ抽出部1102を備え、及びユーザ属性・イベント管理情報1104を保持する。
以下の説明では、ユーザ属性毎のイベントに関連するデータを、ユーザ属性・イベント別データとも記載する。
ユーザ属性・イベント別データ抽出部1102は、ユーザ属性・イベント別データを抽出する。ユーザ属性・イベント管理情報1104は、ユーザ属性毎の過去に発生したイベントに関する情報を格納する。ユーザ属性・イベント管理情報1104の詳細については、図13を用いて後述する。
実施例2の検知サーバ400は、ユーザ管理サーバ300から受信したユーザ属性・イベント別データに基づいて、検知モデルを生成する。実施例2の検知サーバ400は、検知モデル抽出部1202を備え、また、検知モデル情報404、検知パターン情報406、及び抽出状態情報1204を保持する。
検知モデル抽出部1202は、ユーザ属性・イベント別データを用いて検知モデルを生成する。抽出状態情報1204は、生成中の検知モデルに関する情報を格納する。抽出状態情報1204の詳細については、図14を用いて後述する。検知モデル情報404及び検知パターン情報406は、実施例1と同一であるため説明を省略する。
なお、各サーバのハードウェア構成は実施例1と同一であるため説明を省略する。また、データ管理サーバ200が実行する処理は実施例1と同一であるため説明を省略する。
図13は、本発明の実施例2のユーザ管理サーバ300が保持するユーザ属性・イベント管理情報1104の一例を示す説明図である。
ユーザ属性・イベント管理情報1104は、対象ユーザ属性1301、イベント1302、及び発生時期1303を含む。
対象ユーザ属性1301は、対象のイベントに関連するユーザ属性を格納する。イベント1302は、発生したイベントを特定するための情報を格納する。発生時期1303は、対象のイベントが発生した時期を格納する。
図14は、本発明の実施例2の検知サーバ400が保持する抽出状態情報1204の一例を示す説明図である。
抽出状態情報1204は、対象ユーザ属性1401、イベント1402、及び抽出パターン1403を含む。
対象ユーザ属性1401及びイベント1402は、対象ユーザ属性1301及びイベント1302と同一のものである。抽出パターン1403は、対象のイベントに関連する検知パターンの情報を格納する。なお、抽出パターン1403には、検知パターンの発生順が把握可能な形式でデータが格納される。
以下、実施例2におけるユーザ管理サーバ300及び検知サーバ400が実行する処理の詳細について説明する。
図15は、本発明の実施例2のユーザ管理サーバ300のユーザ属性・イベント別データ抽出部1102が実行する時系列データ抽出処理を説明するフローチャートである。
ユーザ属性・イベント別データ抽出部1102は、ユーザ属性・イベント管理情報1104を読み出し(ステップS401)、処理対象のユーザ属性を選択する(ステップS402)。
本実施例では、ユーザ属性・イベント別データ抽出部1102は、ユーザ属性・イベント管理情報1104の上のエントリから順に選択するものとする。
ユーザ属性・イベント別データ抽出部1102は、選択されたユーザ属性に対応するエントリに基づいて、データ管理サーバ200にモニタリングデータの送信要求を送信し、所定のモニタリングデータを受信する(ステップS403)。
モニタリングデータの送信要求には、ユーザ属性、及びデータ期間が含まれる。ユーザ属性は、ステップS402において選択されたユーザ属性、すなわち、選択されたエントリの対象ユーザ属性1301に対応する。また、データ期間は、イベント1302及び発生時期1303から決定される。本実施例では、イベント1302毎にデータを取得する期間が予め決定されているものとする。したがって、発生時期1303を起点として、予め設定された期間がデータ期間となる。
これによって、データ管理サーバ200は、要求されたモニタリングデータを収集データ206から取得することができる。
次に、ユーザ属性・イベント別データ抽出部1102は、受信したモニタリングデータを用いてユーザ属性・イベント別データを生成する(ステップS404)。このとき、ユーザ属性・イベント別データ抽出部1102は、受信したモニタリングデータを時系列順に並び替え、また、ステップ402において選択されたエントリのイベント1302の情報を付加する。
ユーザ属性・イベント別データ抽出部1102は、生成されたユーザ属性・イベント別データを検知サーバ400に送信する(ステップS405)。
ユーザ属性・イベント別データ抽出部1102は、全てのユーザ属性について処理が完了したか否かを判定する(ステップS406)。
全てのユーザ属性について処理が完了していないと判定された場合、ユーザ属性・イベント別データ抽出部1102は、ステップS402に戻る。
全てのユーザ属性について処理が完了したと判定された場合、ユーザ属性・イベント別データ抽出部1102は、処理を終了する。
図16は、本発明の実施例2の検知サーバ400の検知モデル抽出部1202が実行する検知モデル抽出処理を説明するフローチャートである。
検知モデル抽出部1202は、ユーザ管理サーバ300から、ユーザ属性・イベント別データを受信し(ステップS501)、また、抽出状態情報1204を更新する(ステップS502)。さらに、検知モデル抽出部1202は、ユーザ属性に基づいて、処理対象のユーザ属性・イベント別データを選択する(ステップS503)。
具体的には、検知モデル抽出部1202は、抽出状態情報1204に、受信したユーザ属性・イベント別データに対応するエントリを追加する。検知モデル抽出部1202は、追加されたエントリの対象ユーザ属性1401に受信した時系列データに含まれるユーザ属性を格納し、イベント1402に受信した時系列データに付加されたイベント1302の情報を格納する。なお、抽出パターン1403は空欄のままである。
また、検知モデル抽出部1202は、検知パターン情報406を読み出し、処理対象の検知パターンを選択する(ステップS504)。
検知モデル抽出部1202は、選択されたユーザ属性・イベント別データの解析処理を実行する(ステップS505)。
具体的には、検知モデル抽出部1202は、選択されたユーザ属性・イベント別データに対して、選択された検知パターンに対応する解析処理を実行する。
例えば、選択された検知パターンが「1カ月の入金回数が5回以上」である場合、検知モデル抽出部1202は、選択されたユーザ属性・イベント別データから1ヶ月分のデータを抽出し、さらに、当該抽出されたデータから取引データを抽出する。検知モデル抽出部1202は、抽出された取引データを参照することによって、入金回数が5回以上であるか否かを解析する。
次に、検知モデル抽出部1202は、解析結果に基づいて、選択された検知パターンに対応する事象が発生しているか否かを判定する(ステップS506)。
選択された検知パターンに対応する事象が発生していないと判定された場合(ステップS506がNO)、検知モデル抽出部1202は、ステップS508に進む。
選択された検知パターンに対応する事象が発生していると判定された場合(ステップS506がYES)、検知モデル抽出部1202は、抽出状態情報1204に検知パターンを抽出パターン1403に登録し(ステップS507)、ステップS508に進む。
検知モデル抽出部1202は、検知パターン情報406に含まれる全ての検知パターンについて処理が完了したか否かを判定する(ステップS508)。
検知パターン情報406に含まれる全ての検知パターンについて処理が完了していないと判定された場合(ステップS508がNO)、検知モデル抽出部1202はステップS504に戻る。
検知パターン情報406に含まれる全ての検知パターンについて処理が完了していると判定された場合(ステップS508がYES)、検知モデル抽出部1202は、抽出パターン1403に格納された検知パターンの組合せを、検知モデルとして検知モデル情報404に登録する(ステップS509)。
検知モデル抽出部1202は、受信した全ての時系列データについて処理が完了したか否かを判定する(ステップS510)。
受信した全ての時系列データについて処理が完了していないと判定された場合(ステップS510がNO)、検知モデル抽出部1202は、ステップS503に戻る。
受信した全ての時系列データについて処理が完了していると判定された場合(ステップS510がYES)、検知モデル抽出部1202は、処理を終了する。
前述した処理では、ユーザ属性別、かつイベント別に検知モデルが抽出される。検知モデル抽出部1202は、同一のイベント毎に検知モデルもまとめて、多くのユーザ属性に共通する検知モデルを、優先的にモニタリングする検知モデルとしてもよい。
実施例2によれば、自動的にユーザ属性毎の検知モデルを生成することができる。これによって、ユーザ属性毎に検知モデルと一致するか否かを判定するため、効率的かつ適切な検知処理が実現できる。また、処理速度の向上を実現することが可能である。
実施例3では、検知処理における検知パターンとのマッチング処理が異なる。なお,モニタリングシステムの構成、各サーバの構成は、実施例1と同一であるため説明を省略する。また、各サーバが保持する情報も実施例1と同一であるため説明を省略する。さらに、データ管理サーバ200、及びユーザ管理サーバ300が実行する処理は実施例1と同一であるため説明を省略する。
以下、実施例3の検知サーバ400が実行する検知処理を実施例1との差異を中心に説明する。
以下の説明では、ステップS305又はステップS306において、複数の検知パターンが設定されるものとする。
実施例3では、以下のような処理が実行される。
まず、検知部402は、検知モデル情報404を参照して、設定された検知パターンに対応する検知モデルの数を算出し、算出された検知モデルの数が多い順に、検知パターンに高い優先度を付与する。
次に、検知部402は、現在の処理負荷が高いか否かを判定する。
現在の処理負荷が高いと判定された場合、検知部402は、設定された複数の検知パターンのうち、優先度が高い検知モデルのみを選択する。なお、ここでは、一つの検知パターンのみを選択するものとしたが、複数の検知パターンが選択されてもよい。
その他の処理は実施例1と同一であるため説明を省略する。
実施例3によれば、処理負荷に応じて、優先度の高い検知パターンのみについてマッチング処理を実行することによって、処理性能の低減を実現できる。
モニタリング対象の外部システム100の機能が変更され、また、新たな外部システム100がモニタリング対象として追加される等、モニタリングシステムの状態が変化した場合、同一の検知モデルのままでは、イベント発生の予兆検知の精度が低下する可能性がある。
実施例4では、モニタリングシステムの状態に応じて、検知モデル情報404を更新する点が、実施例1と異なる。以下、実施例1との差異を中心に実施例4について説明する。
実施例4のモニタリングシステムの構成、各サーバの構成は、実施例1と同一であるため説明を省略する。また、収集設定情報204、ユーザ属性管理情報304、検知モデル設定情報405、検知パターン情報406、及び検知状態情報408も実施例1と同一であるため説明を省略する。さらに、データ管理サーバ200、及びユーザ管理サーバ300が実行する処理は実施例1と同一であるため説明を省略する。
実施例4では、検知モデル情報404が異なる。具体的には、アラート回数及びイベント発生回数のカラムが新たに追加される。
また、実施例4の検知部402が実行する処理は以下のステップが異なる。
ステップS313において、検知部402は、検知モデル情報404の選択された検知モデルのアラート回数の値を更新する。また、検知部402は、選択された検知モデルに対応するイベントの発生を検知した場合に、検知モデル情報404の選択された検知モデルのイベント発生回数を更新する。
検知部402は、周期的に、アラート回数と事象発生回数との比を算出し、算出された比が予め設定されたしきい値以下となる検知モデルが存在する場合、検知モデル情報404から当該検知モデルを削除する。
実施例4によれば、モニタリングシステムの状態変化に応じてイベントの検知精度が低下した検知モデルを削除することによって、イベント発生の予兆検知の精度の低下を防ぐことができる。
本発明は、前述した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換をすることが可能である。
また、前述の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、専用のハードウェアも用いて実現してもよい。また、前述の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、及びSSD(Solid State Drive)等の記録装置、又は、ICカード、SDカード、及びDVD等の記録媒体に格納することができる。
また、本発明は、データ管理サーバ200、ユーザ管理サーバ300、及び検知サーバ400が備える機能、及び情報を一つの計算機にまとめることもできる。例えば、仮想化技術を用いて、一つの計算機上にデータ管理サーバ200、ユーザ管理サーバ300、及び検知サーバ400を実現する方法が考えられる。
本発明は、実施例で示したイベントに関する利用目的に限定されるものではない。例えば、不正取引の監視などに利用することもできる。
100 外部システム
102 制御部
150 ネットワーク
200 データ管理サーバ
202 データ収集部
204 収集設定情報
206 収集データ
300 ユーザ管理サーバ
302 属性別データ抽出部
304 ユーザ属性管理情報
400 検知サーバ
402 検知部
404 検知モデル情報
405 検知モデル設定情報
406 検知パターン情報
408 検知状態情報
601 演算装置
602 主記憶装置
603 副記憶装置
604 通信装置
605 入力装置
606 出力装置
607 バス
1102 ユーザ属性・イベント別データ抽出部
1104 ユーザ属性・イベント管理情報
1202 検知モデル抽出部
1204 抽出状態情報

Claims (6)

  1. 所定のイベントの発生の予兆を検知するモニタリングシステムであって、
    前記モニタリングシステムは、
    所定の業務を実行する複数のモニタリング対象システムと、
    前記複数のモニタリング対象システムと接続される一つ以上の計算機と、を備え、
    前記一つ以上の計算機は、演算装置、前記演算装置に接続される主記憶装置、及び前記演算装置に接続されるネットワーク装置を有し、
    前記モニタリングシステムは、
    前記複数のモニタリング対象システム毎に、取得するモニタリングデータを特定するための収集設定情報と、
    前記モニタリングデータに含まれるユーザ属性に基づいて分類された属性別データを生成するためのユーザ属性管理情報と、
    所定のイベントの発生に関連する事象である検知パターンの種別及び時系列の組合せである検知モデルを管理する検知モデル情報と、
    前記検知パターンに対応する前記事象の内容を管理する検知パターン情報と、
    前記ユーザ属性毎に適用される前記検知モデルを定義する検知モデル設定情報と、
    前記属性別データに対応する前記ユーザ属性、前記ユーザ属性に適用される検知モデルの識別情報、及び検知対象の前記検知パターンの識別情報が対応づけられた検知状態情報と、を保持し、
    前記収集設定情報に基づいて、前記複数のモニタリング対象システムの各々から前記モニタリングデータを取得し、所定の前記モニタリングデータを送信するデータ収集部と、
    前記データ収集部から前記所定のモニタリングデータを取得し、前記ユーザ属性管理情報に基づいて、前記取得された所定のモニタリングデータを用いて前記属性別データを生成するデータ抽出部と、
    前記データ抽出部から前記属性別データを取得し、前記検知モデル情報、前記検知モデル設定情報、及び前記属性別データに基づいて、前記ユーザ属性毎に前記所定のイベントの発生の予兆を検知する検知部と、を有し、
    前記検知部は、
    前記検知モデル設定情報に基づいて、前記検知モデルを選択し、
    前記検知状態情報を参照して、検知対象となる第1の検知パターンを特定し、
    前記データ抽出部から、前記選択された検知モデルが適用される前記ユーザ属性に対応する前記属性別データを取得し、
    前記取得された属性別データ、及び前記第1の検知パターンに基づいて、前記第1の検知パターンに対応する事象が発生するか否かを判定し、
    前記第1の検知パターンに対応する事象が発生すると判定された場合に、前記検知モデル情報に基づいて、前記第1の検知パターンの次の検知対象である第2の検知パターンを特定し、
    前記取得された属性データに対応するユーザ属性、前記選択された検知モデルの識別情報、及び前記第2の検知パターンの識別情報を対応づけて前記検知状態情報に格納し、
    前記選択された検知モデルに対応する所定のイベントの発生の予兆となる全ての前記検知パターンが検知されたか否かを判定し、
    前記選択された検知モデルに対応する所定のイベントの発生の予兆となる全ての検知パターンが検知されたと判定された場合に、アラートを出力することを特徴とするモニタリングシステム。
  2. 請求項1に記載のモニタリングシステムであって、
    前記検知部は、
    対象となるモニタリング対象システムの識別情報、対象となる前記ユーザ属性、及び対象となるデータ期間を含む属性別データ送信要求を前記データ抽出部に送信し、
    前記データ抽出部は、
    前記属性別データ送信要求に含まれる前記モニタリング対象システムの識別情報及び前記ユーザ属性を含むモニタリングデータの送信要求を前記データ収集部に送信し、
    前記属性別データ送信要求に含まれる前記ユーザ属性、及び前記ユーザ属性管理情報に基づいて、前記データ収集部から取得したモニタリングデータを分類し、
    前記分類されたモニタリングデータを時系列順に並び替えることによって前記属性別データを生成し、
    前記生成された属性別データを前記検知部に送信し、
    前記データ収集部は、
    前記モニタリングデータの送信要求に含まれる前記モニタリング対象システムの識別情報及び前記ユーザ属性に基づいて、前記複数のモニタリング対象システムから受信した前記モニタリングデータの中から、前記所定のモニタリングデータを読み出し、
    前記読み出された所定のモニタリングデータを前記データ抽出部に送信することを特徴とするモニタリングシステム。
  3. 請求項1に記載のモニタリングシステムであって、
    前記検知部は、
    前記選択された検知モデルに含まれる検知対象となる検知パターンが複数存在する場合に、前記検知パターン情報を参照して、前記複数の検知パターンの各々について、当該検知パターンを含む前記検知モデルの数を算出し、
    前記検知部の処理負荷が所定のしきい値以上の場合には、前記算出された検知モデルの数が多い前記検知パターンを選択し、
    前記選択された検知パターンに対応する事象が発生するか否かを判定することを特徴とするモニタリングシステム。
  4. 請求項1に記載のモニタリングシステムであって、
    前記検知モデル情報には、前記検知モデルの識別情報、前記検知モデルに対応する所定のイベントの発生の予兆が検知された第1の回数、及び前記イベントが実際に発生した第2の回数が対応づけられた情報が格納され、
    前記検知部は、
    前記選択された検知モデルに対応する所定のイベントの発生の予兆が検知された場合に、当該検知モデルに対応する前記第1の回数を更新し、
    前記検知された所定のイベントが発生した場合に、前記選択された検知モデルに対応する前記第2の回数を更新し、
    前記第1の回数に対する前記第2の回数の比率を算出し、
    前記算出された比率が予め設定されたしきい値以下の場合、前記検知モデル情報から前記選択された検知モデルに関する情報を削除することを特徴とするモニタリングシステム。
  5. 請求項1に記載のモニタリングシステムであって、
    前記モニタリングシステムは、
    発生したイベントの識別情報、前記発生したイベントに関連する前記ユーザ属性、及び前記発生したイベントの発生時間を示す時刻情報が対応づけられたイベント管理情報を保持し、
    前記データ抽出部は、
    前記イベント管理情報を参照して、前記発生したイベントに関連するモニタリングデータの送信要求を前記データ収集部に送信し、
    前記発生したイベントの識別情報を含めて、前記データ収集部から受信したモニタリングデータを前記検知部に送信し、
    前記検知部は、
    前記検知パターンに基づいて、前記データ抽出部から受信したモニタリングデータを解析することによって、前記検知パターンの種別及び時系列を特定し、
    前記特定された検知パターンの種別、及び時系列に基づいて、新たな検知モデルを生成し、
    前記生成された検知モデルに対応する情報を前記検知モデル情報に格納することを特徴とするモニタリングシステム。
  6. 所定の業務を実行する複数のモニタリング対象システムからモニタリングデータを取得し、所定のイベントの発生の予兆を検知する計算機であって、
    前記計算機は、演算装置、前記演算装置に接続される主記憶装置、及び前記演算装置に接続されるネットワーク装置を備え、
    前記複数のモニタリング対象システム毎に、取得する前記モニタリングデータを特定するための収集設定情報と、
    前記モニタリングデータに含まれるユーザ属性に基づいて分類された属性別データを生成するためのユーザ属性管理情報と、
    所定のイベントの発生に関連する事象である検知パターンの種別及び時系列の組合せである検知モデルを管理する検知モデル情報と、
    前記検知パターンに対応する前記事象の内容を管理する検知パターン情報と、
    前記ユーザ属性毎に適用される前記検知モデルを定義する検知モデル設定情報と、
    前記属性別データに対応する前記ユーザ属性、前記ユーザ属性に適用される検知モデルの識別情報、及び前記属性別データに対する検知対象の前記検知パターンの識別情報が対応づけられた検知状態情報と、を保持し、
    前記収集設定情報に基づいて、前記複数のモニタリング対象システムの各々から前記モニタリングデータを取得し、所定の前記モニタリングデータを送信するデータ収集部と、
    前記データ収集部から前記所定のモニタリングデータを取得し、前記ユーザ属性管理情報に基づいて、前記取得された所定のモニタリングデータを用いて前記属性別データを生成するデータ抽出部と、
    前記データ抽出部から前記属性別データを取得し、前記検知モデル情報、前記検知モデル設定情報、及び前記属性別データに基づいて、前記ユーザ属性毎に前記所定のイベントの発生の予兆を検知する検知部と、を有し、
    前記検知部は、
    前記検知モデル設定情報に基づいて、前記検知モデルを選択し、
    前記検知状態情報を参照して、検知対象となる第1の検知パターンを特定し、
    前記データ抽出部から、前記選択された検知モデルが適用される前記ユーザ属性に対応する前記属性別データを取得し、
    前記取得された属性別データ、及び前記第1の検知パターンに基づいて、前記第1の検知パターンに対応する事象が発生するか否かを判定し、
    前記第1の検知パターンに対応する事象が発生すると判定された場合に、前記検知モデル情報に基づいて、前記第1の検知パターンの次の検知対象である第2の検知パターンを特定し、
    前記取得された属性データに対応するユーザ属性、前記選択された検知モデルの識別情報、及び前記第2の検知パターンの識別情報を対応づけて前記検知状態情報に格納し、
    前記選択された検知モデルに対応する所定のイベントの発生の予兆となる全ての前記検知パターンが検知されたか否かを判定し、
    前記選択された検知モデルに対応する所定のイベントの発生の予兆となる全ての検知パターンが検知されたと判定された場合に、アラートを出力することを特徴とする計算機。
JP2013001135A 2013-01-08 2013-01-08 モニタリングシステム、及び計算機 Active JP6025574B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013001135A JP6025574B2 (ja) 2013-01-08 2013-01-08 モニタリングシステム、及び計算機

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013001135A JP6025574B2 (ja) 2013-01-08 2013-01-08 モニタリングシステム、及び計算機

Publications (2)

Publication Number Publication Date
JP2014134870A JP2014134870A (ja) 2014-07-24
JP6025574B2 true JP6025574B2 (ja) 2016-11-16

Family

ID=51413103

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013001135A Active JP6025574B2 (ja) 2013-01-08 2013-01-08 モニタリングシステム、及び計算機

Country Status (1)

Country Link
JP (1) JP6025574B2 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4783594B2 (ja) * 2005-07-07 2011-09-28 株式会社日本総合研究所 途上与信管理システム、途上与信管理システム用プログラム及び途上与信管理方法
JP4962782B2 (ja) * 2007-08-13 2012-06-27 富士通株式会社 利用者状態推定システム、利用者状態推定方法および利用者状態推定プログラム
JP5098821B2 (ja) * 2008-06-02 2012-12-12 富士通株式会社 監視対象システムの障害等の予兆を検出する監視装置及び監視方法
JP5199152B2 (ja) * 2009-03-12 2013-05-15 株式会社日立製作所 行動予測方法及び行動予測システム
JP4981877B2 (ja) * 2009-11-20 2012-07-25 株式会社エヌ・ティ・ティ・ドコモ 到着時刻予測装置及び到着時刻予測方法

Also Published As

Publication number Publication date
JP2014134870A (ja) 2014-07-24

Similar Documents

Publication Publication Date Title
JP5919825B2 (ja) データ処理方法、分散処理システムおよびプログラム
JP6680902B2 (ja) 精算処理方法、精算処理装置、端末機器及び記憶媒体
US20210092160A1 (en) Data set creation with crowd-based reinforcement
CN108647357B (zh) 数据查询的方法及装置
US9965327B2 (en) Dynamically scalable data collection and analysis for target device
WO2014184934A1 (ja) 障害分析方法、障害分析システム及び記憶媒体
CN110546621B (zh) 用于数据存储的垃圾收集
JP2016522475A (ja) 複数ヴァージョンをテストするための方法及びデバイス
JP2016212547A (ja) 情報提供プログラム、情報提供装置、及び情報提供方法
JP5373870B2 (ja) 予測装置、予測方法、及び、プログラム
US20110113429A1 (en) Incident management method and operation management server
CN103207727A (zh) 用于处理数据的方法和系统
CA3009817A1 (en) Systems and methods for caching task execution
Tedeschi et al. On optimizing transaction fees in bitcoin using ai: Investigation on miners inclusion pattern
CN106776757B (zh) 用户完成网银操作的指示方法及装置
EP4207028A1 (en) Crypto-asset blockchain processing device, processing method, processing system, and processing program
WO2021257545A1 (en) Financial risk assessment
US20230385820A1 (en) Methods and Systems for Predicting Cash Flow
WO2019095569A1 (zh) 基于微博财经事件的金融分析方法、应用服务器及计算机可读存储介质
JP4938813B2 (ja) 取引データ処理方法、システム及びプログラム
JP6025574B2 (ja) モニタリングシステム、及び計算機
US10275832B1 (en) Custom data
JP6920235B2 (ja) 障害影響調査装置および障害影響調査方法
US11783206B1 (en) Method and system for making binary predictions for a subject using historical data obtained from multiple subjects
JP2018025944A (ja) リソース制御ブログラム、リソース制御方法及びリソース制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150320

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160913

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161011

R150 Certificate of patent or registration of utility model

Ref document number: 6025574

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150