JP6718367B2 - Judgment system, judgment method, and program - Google Patents
Judgment system, judgment method, and program Download PDFInfo
- Publication number
- JP6718367B2 JP6718367B2 JP2016237066A JP2016237066A JP6718367B2 JP 6718367 B2 JP6718367 B2 JP 6718367B2 JP 2016237066 A JP2016237066 A JP 2016237066A JP 2016237066 A JP2016237066 A JP 2016237066A JP 6718367 B2 JP6718367 B2 JP 6718367B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic amount
- communication data
- traffic
- reference value
- determination target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 38
- 230000005856 abnormality Effects 0.000 claims description 164
- 238000004891 communication Methods 0.000 claims description 116
- 238000004364 calculation method Methods 0.000 claims description 91
- 230000002159 abnormal effect Effects 0.000 claims description 77
- 238000010801 machine learning Methods 0.000 claims description 22
- 238000003012 network analysis Methods 0.000 claims description 18
- 230000002776 aggregation Effects 0.000 claims description 10
- 238000004220 aggregation Methods 0.000 claims description 10
- 238000005070 sampling Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 22
- 230000008859 change Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000013075 data extraction Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、判定システム、判定方法、及びプログラムに関する。 The present invention relates to a determination system, a determination method, and a program.
例えば、特許文献1には、トラヒック量の測定箇所について設定された下限閾値に基づいて監視を行うトラヒック監視システムであって、測定箇所でのトラヒック量に関するトラヒック情報を定期的に取得するトラヒック情報取得手段と、トラヒック情報取得手段によって取得したトラヒック情報に基づいて算出される算出値が下限閾値より低下した場合に測定箇所について警報発生状態であるとみなす判定手段とを含むことを特徴とするトラヒック監視システムが記載されている。 For example, in Patent Document 1, there is a traffic monitoring system that performs monitoring based on a lower limit threshold set for a traffic volume measurement point, and acquires traffic information that periodically acquires traffic information regarding the traffic volume at the measurement point. Traffic monitoring, characterized in that it includes a means and a determination means for determining that a measurement point is in an alarm generation state when a calculated value calculated based on the traffic information acquired by the traffic information acquisition means is lower than a lower limit threshold value. The system is described.
ところで、特許文献1のシステムでは、判定対象値としてのトラヒック変動率と、判定閾値とが対比され、トラヒック変動率が判定閾値より低下した場合に、異常状態であると判定される。
そのため、特許文献1のシステムでは、例えばユーザの利用方法の変化直後に、ユーザの利用方法の変化後のトラヒック変動率と、ユーザの利用方法の変化前に設定された判定閾値とが対比され、異常状態であるか否かが判定される。その結果、ユーザの利用方法の変化直後に、正常状態であるにもかかわらず、異常状態であると誤って判定されるおそれがある。
また、特許文献1のシステムでは、例えばネットワークシステム内における切り替え作業の実行直後に、切り替え作業の実行後のトラヒック変動率と、切り替え作業の実行前に設定された判定閾値とが対比され、異常状態であるか否かが判定される。その結果、切り替え作業の実行直後に、正常状態であるにもかかわらず、異常状態であると誤って判定されるおそれがある。
By the way, in the system of Patent Document 1, the traffic variation rate as the determination target value is compared with the determination threshold value, and when the traffic variation rate is lower than the determination threshold value, it is determined to be in an abnormal state.
Therefore, in the system of Patent Document 1, for example, immediately after the change in the usage method of the user, the traffic fluctuation rate after the change in the usage method of the user is compared with the determination threshold set before the change in the usage method of the user. It is determined whether or not the state is abnormal. As a result, immediately after the change in the usage method of the user, there is a possibility that it may be erroneously determined to be in an abnormal state even though it is in a normal state.
Further, in the system of Patent Document 1, for example, immediately after the execution of the switching work in the network system, the traffic variation rate after the execution of the switching work is compared with the determination threshold value set before the execution of the switching work, and an abnormal state occurs. Is determined. As a result, immediately after the switching work is performed, there is a possibility that the normal state may be erroneously determined to be the abnormal state.
本発明のいくつかの態様は、通信データのトラヒック量が異常状態であると誤って判定されるおそれを抑制することができる判定システム、判定方法、及びプログラムを提供することを目的の一つとする。 It is an object of some aspects of the present invention to provide a determination system, a determination method, and a program capable of suppressing the risk of erroneously determining that the traffic volume of communication data is in an abnormal state. ..
また、本発明の他の態様は、後述する実施形態に記載した作用効果を奏することを可能にする判定システム、判定方法、及びプログラムを提供することを目的の一つとする。 Another object of another aspect of the present invention is to provide a determination system, a determination method, and a program that can achieve the effects described in the embodiments described below.
上述した課題を解決するために、本発明の一態様は、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する学習モデル取得部と、前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得するトラヒック量基準値取得部と、前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する異常判定閾値取得部と、判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する判定対象トラヒック量取得部と、前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する異常判定対象値取得部と、前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する判定部と、を備える判定システムである。
また、本発明の別の一態様は、判定システムが、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する第1ステップと、前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する第2ステップと、前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する第3ステップと、判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する第4ステップと、前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する第5ステップと、前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する第6ステップと、を含む判定方法である。
また、本発明の別の一態様は、コンピュータに、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する第1ステップと、前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する第2ステップと、前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する第3ステップと、判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する第4ステップと、前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する第5ステップと、前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する第6ステップと、を実行させるためのプログラムである。
In order to solve the problems described above, one aspect of the present invention is a learning model acquisition unit that acquires a learning model created by machine learning the traffic volume of past communication data, and the traffic of the past communication data. Traffic amount reference value acquisition unit that acquires a traffic amount reference value that is a reference value of the traffic amount of communication data set based on the amount, and an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model. Abnormality determination threshold value acquisition unit to be acquired, determination target traffic amount acquisition unit to acquire the determination target traffic amount that is the traffic amount of the communication data to be determined, and an abnormality determination that is an outlier of the determination target traffic amount with respect to the learning model The determination system includes an abnormality determination target value acquisition unit that acquires a target value, and a determination unit that determines whether or not an abnormal state is present based on the abnormality determination threshold value and the abnormality determination target value.
Further, another aspect of the present invention is that the determination system includes a first step of obtaining a learning model created by machine learning the traffic volume of past communication data, and a traffic volume of the past communication data. A second step of obtaining a traffic amount reference value which is a reference value of the traffic amount of communication data set based on the second step, and a third step of obtaining an abnormality determination threshold value which is an outlier of the traffic amount reference value for the learning model. And a fourth step of acquiring a determination target traffic amount that is the traffic amount of the determination target communication data, and a fifth step of acquiring an abnormality determination target value that is an outlier of the determination target traffic amount with respect to the learning model, A sixth step of determining whether or not an abnormality is present based on the abnormality determination threshold value and the abnormality determination target value.
Further, another aspect of the present invention is based on a first step of acquiring a learning model created by machine learning the traffic volume of past communication data in a computer, and the traffic volume of the past communication data based on the first step. A second step of obtaining a traffic amount reference value which is a reference value of the traffic amount of the communication data set by the above, and a third step of obtaining an abnormality determination threshold value which is an outlier of the traffic amount reference value for the learning model. A fourth step of acquiring a determination target traffic amount that is a traffic amount of the determination target communication data, and a fifth step of acquiring an abnormality determination target value that is an outlier of the determination target traffic amount with respect to the learning model; It is a program for executing a sixth step of judging whether or not it is in an abnormal state based on the abnormality judgment threshold value and the abnormality judgment target value.
本発明の一実施形態によれば、通信データのトラヒック量が異常状態であると誤って判定されるおそれを抑制することができる。 According to an embodiment of the present invention, it is possible to suppress the possibility that the traffic volume of communication data is erroneously determined to be in an abnormal state.
以下、本発明の一実施形態について、図面を参照して説明する。
[第1の実施形態]
本発明の第1の実施形態について説明する。
図1は、第1の実施形態の判定システム100が適用されたネットワークシステム200の一例を示す図である。
図1に示す例では、判定システム100は、学習モデル取得部10と、トラヒック量基準値取得部11と、異常判定閾値取得部12と、判定対象トラヒック量取得部13と、異常判定対象値取得部14と、トラヒック量基準値算出部20と、判定部30と、ネットワーク分析部40と、アラーム分析部50とを備える。
学習モデル取得部10は、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する。図1に示す例では、学習モデル作成部210が、判定システム100の外部に設けられている。学習モデル作成部210は、過去の通信データのトラヒック量を機械学習することによって、学習モデルを作成する。学習モデル取得部10は、学習モデル作成部210から学習モデルを取得する。
An embodiment of the present invention will be described below with reference to the drawings.
[First Embodiment]
A first embodiment of the present invention will be described.
FIG. 1 is a diagram illustrating an example of a
In the example illustrated in FIG. 1, the
The learning
トラヒック量基準値取得部11は、過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する。図1に示す例では、トラヒック量基準値算出部20が、判定システム100の内部に設けられている。トラヒック量基準値算出部20は、過去の通信データのトラヒック量の統計値に基づいてトラヒック量基準値を算出する。トラヒック量基準値取得部11は、トラヒック量基準値算出部20からトラヒック量基準値を取得する。
異常判定閾値取得部12は、学習モデルに対するトラヒック量基準値の外れ値である異常判定閾値を取得する。図1に示す例では、異常判定閾値算出部220が、判定システム100の外部に設けられている。異常判定閾値算出部220は、異常判定閾値を算出する。異常判定閾値取得部12は、異常判定閾値算出部220から異常判定閾値を取得する。
The traffic amount reference
The abnormality determination
判定対象トラヒック量取得部13は、判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する。
図1に示す例では、判定対象トラヒック量が、ネットワークシステム200に含まれる複数のポート270−1、270−2、…、270−8のそれぞれにおいて測定される。ネットワークシステム200には、集約スイッチ280が含まれている。複数のポート270−1、270−2、…、270−8のそれぞれの判定対象トラヒック量は、集約スイッチ280を介して、判定対象トラヒック量取得部13によって取得される。トラヒック収集サーバ290は、複数のポート270−1、270−2、…、270−8のそれぞれの判定対象トラヒック量を保存する。
また、図1に示す例では、複数のポート270−1、270−2、…、270−8のそれぞれの過去の通信データのトラヒック量が、集約スイッチ280を介して、学習モデル作成部210によって取得される。学習モデル作成部210は、複数のポート270−1、270−2、…、270−8のそれぞれの過去の通信データのトラヒック量を機械学習することによって、複数のポート270−1、270−2、…、270−8のそれぞれの学習モデルを作成する。
The determination target traffic
In the example shown in FIG. 1, the traffic volume to be determined is measured at each of the plurality of ports 270-1, 270-2,..., 270-8 included in the
Further, in the example shown in FIG. 1, the traffic volume of the past communication data of each of the plurality of ports 270-1, 270-2,..., 270-8 is calculated by the learning model creation unit 210 via the
異常判定対象値取得部14は、学習モデルに対する判定対象トラヒック量の外れ値である異常判定対象値を取得する。図1に示す例では、異常判定対象値算出部230が、判定システム100の外部に設けられている。異常判定対象値算出部230は、異常判定対象値を算出する。異常判定対象値取得部14は、異常判定対象値算出部230から異常判定対象値を取得する。
判定部30は、異常判定閾値取得部12によって取得された異常判定閾値と、異常判定対象値取得部14によって取得された異常判定対象値とに基づいて、異常状態であるか否かを判定する。具体的には、判定部30は、異常判定対象値が異常判定閾値より大きい場合に、異常状態であると判定する。
図1に示す例では、判定部30は、複数のポート270−1、270−2、…、270−8のそれぞれの判定対象トラヒック量が異常状態であるか否かを判定する。
The abnormality determination target
The
In the example shown in FIG. 1, the
ネットワーク分析部40は、判定部30によって異常状態であると判定されたポートの数、位置などを分析する。また、ネットワーク分析部40は、異常状態である旨の判定結果を分析する。異常状態である旨の判定結果には、例えばユーザ起因の判定結果が含まれる。また、異常状態である旨の判定結果には、例えばネットワークシステム200が起因する判定結果が含まれる。
異常状態である旨の判定結果が、ユーザ起因の判定結果である場合、ネットワーク分析部40は、ユーザの利用方法が変化した、あるいは、ネットワークシステム200内で切り替え作業などが実行された、と分析する。つまり、ネットワーク分析部40は、ネットワークシステム200自体が正常である、と分析する。
異常状態である旨の判定結果が、ネットワークシステム200が起因する判定結果である場合、ネットワーク分析部40は、ネットワークシステム200に異常が発生したおそれがある、と分析する。また、ネットワーク分析部40は、異常が発生した箇所(被疑箇所)を特定する。被疑箇所は、異常状態であると判定されたポートの位置、正常状態であると判定されたポートの位置、ネットワークシステム200の構成、通信データのトラヒックの流れなどに基づいて特定される。
The
When the determination result indicating the abnormal state is the determination result caused by the user, the
When the determination result indicating the abnormal state is the determination result caused by the
アラーム分析部50は、アラーム情報(出されたアラームの履歴)を突合する。故障には、アラームを出すことができないサイレント故障と、アラームを出すことができる通常の故障とが含まれる。アラーム分析部50は、サイレント故障が原因の異常状態であると判定されたのか、あるいは、通常の故障が原因の異常状態であると判定されたのかを分析する。
図1に示す例では、ネットワーク分析部40とアラーム分析部50とが判定システム100に設けられているが、他の例では、ネットワーク分析部40とアラーム分析部50とを省略したり、判定システム100の外部に設けたりしてもよい。
The
In the example shown in FIG. 1, the
図2は、第1の実施形態の判定システム100を適用可能なネットワークシステム200の一例を示す図である。図2に示す例では、ネットワークシステム200が、第1ネットワーク200−1と、第2ネットワーク200−2と、第3ネットワーク200−3とによって構成されている。第1ネットワーク200−1と、第2ネットワーク200−2と、第3ネットワーク200−3とは、相互に接続されている。第1ネットワーク200−1は第1事業者のネットワークであり、第2ネットワーク200−2は第2事業者のネットワークであり、第3ネットワーク200−3は第3事業者のネットワークである。
第1ネットワーク200−1には、複数のVLAN(Virtual Local Area Network)と、それらを接続する接続装置260−1とが含まれている。第2ネットワーク200−2および第3ネットワーク200−3は、第1ネットワーク200−1と同様に構成される。第2ネットワーク200−2には、接続装置260−2が含まれ、第3ネットワーク200−3には、接続装置260−3が含まれている。
図2に示すネットワークシステム200に対して第1の実施形態の判定システム100を適用することによって、判定部30は、ネットワークシステム200内の複数のポートのそれぞれの判定対象トラヒック量が異常状態であるか否かを判定することができる。
FIG. 2 is a diagram showing an example of a
The first network 200-1 includes a plurality of VLANs (Virtual Local Area Networks) and a connection device 260-1 that connects them. The second network 200-2 and the third network 200-3 are configured similarly to the first network 200-1. The second network 200-2 includes a connection device 260-2, and the third network 200-3 includes a connection device 260-3.
By applying the
図3は、第1の実施形態の判定システム100における処理の流れなどを示す図である。図3に示す例では、接続装置260−1、260−2内の複数のポートのそれぞれの過去の通信データのトラヒック量が、トラヒック収集サーバ290に保存されている。また、接続装置260−1、260−2内の複数のポートでは、判定対象トラヒック量が測定される。
判定システム100は、最初にトラヒック収集を実行する。具体的には、判定システム100は、トラヒック収集サーバ290に保存されている過去の通信データのトラヒック量を収集する。また、判定システム100は、ミラーポート280aを有する集約スイッチ280を介して、接続装置260−1、260−2内の複数のポートの判定対象トラヒック量を収集する。
判定システム100は、次いで、トラヒック分析を実行する。具体的には、判定システム100は、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する。また、判定システム100は、過去の通信データのトラヒック量に基づいてトラヒック量基準値を算出する。また、判定システム100は、学習モデルに対するトラヒック量基準値の外れ値である異常判定閾値を取得する。また、判定システム100は、学習モデルに対する判定対象トラヒック量の外れ値である異常判定対象値を取得する。また、判定システム100は、異常判定閾値と異常判定対象値とに基づいて、接続装置260−1、260−2内の複数のポートのそれぞれが異常状態であるか否かを判定する。
FIG. 3 is a diagram showing a flow of processing and the like in the
The
The
図3に示す例では、判定システム100は、次いで、アラーム分析を実行する。具体的には、判定システム100は、サイレント故障が原因の異常状態であると判定されたのか、あるいは、通常の故障が原因の異常状態であると判定されたのかを分析する。
判定システム100は、次いで、ネットワーク分析を実行する。具体的には、判定システム100は、接続装置260−1、260−2内において異常が発生した箇所(被疑箇所)を特定する。図3に示す例では、判定システム100は、次いで、サイレント故障を周知する処理を実行する。
In the example shown in FIG. 3, the
The
図4は、接続装置260と、接続装置260に接続された複数のVLAN250−1、250−2、250−3と、接続装置260内の複数のポート270−1、270−2、270−3との関係の一例を示す図である。
図4に示す例では、VLAN250−1は、ポート270−1を介して接続装置260に接続されている。同様に、VLAN250−2、250−3は、それぞれ、ポート270−2、270−3を介して接続装置260に接続されている。VLAN250−1、VLAN250−2、VLAN250−3は、それぞれ、ユーザU1、U2、U3によって利用されている。
図4に示す例では、VLAN250−1内の判定対象トラヒック量は、ポート270−1において測定される。同様に、VLAN250−2、VLAN250−3内の判定対象トラヒック量は、それぞれ、ポート270−2、270−3において測定される。
FIG. 4 illustrates a
In the example shown in FIG. 4, the VLAN 250-1 is connected to the
In the example shown in FIG. 4, the determination target traffic volume in the VLAN 250-1 is measured at the port 270-1. Similarly, the traffic volumes subject to determination in the VLAN 250-2 and the VLAN 250-3 are measured at the ports 270-2 and 270-3, respectively.
図5は判定対象トラヒック量の一般的な異常判定手法を示す図である。詳細には、図5(A)は過去の通信データのトラヒック量と従来型判定用閾値との関係の一例を示す図である。図5(A)の横軸は時刻を示している。同様に、後述する図5(B)、図5(C)、図5(D)、図6(A)、図6(B)、図6(C)、図7(A)、図7(B)、図8(A)、図8(B)、図9(A)、図9(B)、図10(A)、図10(B)、図10(C)、図10(D)、図11(B)、図11(C)、図12、図13(A)、図13(B)、図13(C)、図14(A)、図15(A)、図15(C)および図16の横軸も時刻を示している。
図5(A)の縦軸はトラヒック量を示している。同様に、後述する図5(B)、図5(C)、図5(D)、図6(A)、図6(B)、図6(C)、図7(A)、図7(B)、図8(A)、図8(B)、図9(A)、図9(B)、図10(A)、図10(B)、図10(C)、図10(D)、図11(B)、図11(C)、図12、図13(A)、図13(B)、図13(C)、図14(A)、図14(B)、図15(A)、図15(B)および図15(C)の縦軸もトラヒック量を示している。
図5(A)に示す例では、図5(A)に示すような「過去の通信データのトラヒック量」が得られた場合に、「過去の通信データのトラヒック量」に基づき、一般的な統計的手法によって「従来型判定用閾値」が算出される。ポートにおいて測定された判定対象トラヒック量(図示せず)と図5(A)に示す「従来型判定用閾値」とが対比される。判定対象トラヒック量が図5(A)に示す「従来型判定用閾値」よりも小さい場合に、判定対象トラヒック量が異常状態であると判定される。
図5(B)は図5(A)に示す「従来型判定用閾値」を算出するために必要な「過去の通信データのトラヒック量」のデータ量を示す図である。
FIG. 5 is a diagram showing a general abnormality determination method for the traffic volume to be determined. Specifically, FIG. 5A is a diagram showing an example of the relationship between the traffic amount of past communication data and the conventional determination threshold value. The horizontal axis of FIG. 5A indicates time. Similarly, FIG. 5(B), FIG. 5(C), FIG. 5(D), FIG. 6(A), FIG. 6(B), FIG. 6(C), FIG. 7(A), FIG. B), FIG. 8(A), FIG. 8(B), FIG. 9(A), FIG. 9(B), FIG. 10(A), FIG. 10(B), FIG. 10(C), FIG. 10(D). 11(B), 11(C), 12, 13(A), 13(B), 13(C), 14(A), 15(A), 15(C) ) And the horizontal axis of FIG. 16 also indicate time.
The vertical axis of FIG. 5(A) represents the traffic volume. Similarly, FIG. 5(B), FIG. 5(C), FIG. 5(D), FIG. 6(A), FIG. 6(B), FIG. 6(C), FIG. 7(A), FIG. B), FIG. 8(A), FIG. 8(B), FIG. 9(A), FIG. 9(B), FIG. 10(A), FIG. 10(B), FIG. 10(C), FIG. 10(D). , FIG. 11(B), FIG. 11(C), FIG. 12, FIG. 13(A), FIG. 13(B), FIG. 13(C), FIG. 14(A), FIG. 14(B), FIG. ), FIG. 15(B) and FIG. 15(C) also indicate the traffic volume.
In the example shown in FIG. 5(A), when the “traffic amount of past communication data” as shown in FIG. 5(A) is obtained, a general traffic amount based on the “traffic amount of past communication data” is obtained. The “conventional determination threshold value” is calculated by a statistical method. The traffic volume to be judged (not shown) measured at the port is compared with the "conventional judgment threshold value" shown in FIG. 5(A). When the traffic volume to be determined is smaller than the “threshold type determination threshold value” shown in FIG. 5A, it is determined that the traffic volume to be determined is in an abnormal state.
FIG. 5B is a diagram showing the data amount of the “traffic amount of past communication data” necessary for calculating the “conventional determination threshold value” shown in FIG. 5A.
図5(C)は過去の通信データのトラヒック量と従来型判定用閾値との関係の他の例を示す図である。図5(C)に示す例では、図5(C)に示す「過去の通信データのトラヒック量」に基づき、一般的な統計的手法によって図5(C)に示す「従来型判定用閾値」が算出される。判定対象トラヒック量が図5(C)に示す「従来型判定用閾値」よりも小さい場合に、判定対象トラヒック量が異常状態であると判定される。
図5(D)は図5(C)に示す「従来型判定用閾値」を算出するために必要な「過去の通信データのトラヒック量」のデータ量を示す図である。
FIG. 5C is a diagram showing another example of the relationship between the traffic volume of past communication data and the conventional determination threshold value. In the example shown in FIG. 5(C), based on the “traffic amount of past communication data” shown in FIG. 5(C), the “conventional determination threshold value” shown in FIG. Is calculated. When the determination target traffic amount is smaller than the “conventional determination threshold value” illustrated in FIG. 5C, the determination target traffic amount is determined to be in an abnormal state.
FIG. 5D is a diagram showing the data amount of the “traffic amount of past communication data” necessary for calculating the “conventional determination threshold value” shown in FIG. 5C.
図5(A)に示す例では、例えば1時間のような短い時間間隔で「従来型判定用閾値」の値が変更される。そのため、算出される「従来型判定用閾値」の値の数が多い。また、図5(A)に示す「従来型判定用閾値」の算出に必要な「過去の通信データのトラヒック量」のデータ量が多い(図5(B)に示す例では、データ抽出期間ta〜tbが長い)。
一方、図5(C)に示す例では、例えば8時間のような長い時間間隔で「従来型判定用閾値」の値が変更される。そのため、算出される「従来型判定用閾値」の値の数が少ない。また、図5(C)に示す「従来型判定用閾値」の算出に必要な「過去の通信データのトラヒック量」のデータ量が少ない(図5(D)に示す例では、データ抽出期間tc〜tdが短い)。
In the example shown in FIG. 5A, the value of the “conventional determination threshold value” is changed at short time intervals such as one hour. Therefore, the number of calculated "conventional determination threshold values" is large. Further, there is a large amount of "traffic amount of past communication data" required for calculating the "conventional determination threshold value" shown in FIG. 5A (in the example shown in FIG. 5B, the data extraction period ta ~ Tb is long).
On the other hand, in the example shown in FIG. 5C, the value of the “conventional determination threshold value” is changed at a long time interval such as 8 hours. Therefore, the number of calculated “conventional determination threshold values” is small. In addition, the data volume of the “traffic volume of past communication data” required for calculating the “conventional determination threshold value” shown in FIG. 5C is small (in the example shown in FIG. 5D, the data extraction period tc). ~td is short).
図6は、図5(A)および図5(B)に示す判定対象トラヒック量の一般的な異常判定手法において起こり得る誤判定の一例を示す図である。図6(A)は図4に示すポート270−1において測定された判定対象トラヒック量を示す図である。同様に、図6(B)および図6(C)は、それぞれ、ポート270−2、270−3において測定された判定対象トラヒック量を示す図である。
図6(A)に示す例では、図4に示すユーザU1の利用方法が、以前と比べて変化していない。そのため、「判定対象トラヒック量」が、「従来型判定用閾値」よりも小さくならない。その結果、一般的な判定システムによって、「異常状態ではない」と判定される。図6(C)に示す例においても、図4に示すユーザU3の利用方法が、以前と比べて変化していない。その結果、一般的な判定システムによって、「異常状態ではない」と判定される。
FIG. 6 is a diagram showing an example of erroneous determination that can occur in the general abnormality determination method of the determination target traffic amount shown in FIGS. 5(A) and 5(B). FIG. 6A is a diagram showing the traffic volume to be judged, which is measured at the port 270-1 shown in FIG. Similarly, FIG. 6(B) and FIG. 6(C) are diagrams showing the traffic volume to be determined measured at the ports 270-2 and 270-3, respectively.
In the example shown in FIG. 6(A), the usage method of the user U1 shown in FIG. 4 has not changed from before. Therefore, the “traffic amount to be determined” does not become smaller than the “conventional determination threshold value”. As a result, it is determined by a general determination system that it is not in an abnormal state. Also in the example shown in FIG. 6C, the usage method of the user U3 shown in FIG. 4 is the same as before. As a result, it is determined by a general determination system that it is not in an abnormal state.
一方、図6(B)に示す例では、図4に示すユーザU2の利用方法が以前と比べて変化している。また、ユーザU2の利用方法が変化した後にポート270−2において測定された「判定対象トラヒック量」と、ユーザU2の利用方法が変化する前に算出された「従来型判定用閾値」とが対比される。そのため、期間t1〜t2に、「判定対象トラヒック量」が、「従来型判定用閾値」よりも小さくなる。その結果、一般的な判定システムによって、期間t1〜t2に「異常状態である」と判定される。
図4および図6に示す例では、期間t1〜t2に、接続装置260自体には異常が発生していない。そのため、上述した期間t1〜t2の「異常状態である」旨の判定は、誤判定になる。
例えば昼休み期間中、ネットワークシステム内の夜間の切り替え作業の実行時など、判定対象トラヒック量が定期的または不定期に短時間で変動する場合にも、図6(B)に示す例と同様に、一般的な判定システムによって誤判定されるおそれがある。
On the other hand, in the example shown in FIG. 6(B), the usage method of the user U2 shown in FIG. 4 is different from that before. Further, the “traffic volume to be determined” measured at the port 270-2 after the usage method of the user U2 is changed, and the “conventional determination threshold value” calculated before the usage method of the user U2 is compared. To be done. Therefore, in the periods t1 to t2, the “traffic amount to be determined” becomes smaller than the “conventional determination threshold value”. As a result, it is determined by the general determination system that the “abnormal state” is in the period t1 to t2.
In the example shown in FIG. 4 and FIG. 6, no abnormality has occurred in the
For example, even when the traffic volume to be judged fluctuates regularly or irregularly in a short time during the lunch break during the nighttime switching work in the network system, as in the example shown in FIG. 6B, There is a risk of making an erroneous determination by a general determination system.
図7は、誤判定の他の例を示す図である。図7(A)に示す例では、時刻23:00にネットワークシステム内の切り替え作業が実行されない。
一方、図7(B)に示す例では、時刻23:00にネットワークシステム内の切り替え作業が実行される。また、切り替え作業の実行中の「判定対象トラヒック量」と、切り替え作業が実行されない場合の過去の通信データのトラヒック量に基づいて算出された「従来型判定用閾値」とが対比される。そのため、時刻23:00に「判定対象トラヒック量」が「従来型判定用閾値」よりも小さくなる。その結果、一般的な判定システムによって、時刻23:00に「異常状態である」と判定される。
図7(B)に示す例では、時刻23:00にネットワークシステム自体には異常が発生していない。そのため、上述した時刻23:00の「異常状態である」旨の判定は、誤判定になる。
例えばユーザの利用方法が変化し、「判定対象トラヒック量」が短期的に変化する場合にも、図7(B)に示す例と同様に、一般的な判定システムによって誤判定されるおそれがある。
FIG. 7 is a diagram showing another example of the erroneous determination. In the example shown in FIG. 7A, the switching work in the network system is not executed at 23:00.
On the other hand, in the example shown in FIG. 7B, the switching work within the network system is executed at time 23:00. Further, the “traffic amount to be determined” during the switching work is compared with the “conventional determination threshold” calculated based on the traffic amount of the past communication data when the switching work is not performed. Therefore, the "determination target traffic volume" becomes smaller than the "conventional determination threshold value" at 23:00. As a result, the general determination system determines that it is “in an abnormal state” at 23:00.
In the example shown in FIG. 7B, no abnormality has occurred in the network system itself at 23:00. Therefore, the above-mentioned determination of "abnormal state" at time 23:00 is an erroneous determination.
For example, even when the usage method of the user changes and the “traffic volume to be determined” changes in the short term, there is a possibility that an erroneous determination may be made by a general determination system, as in the example shown in FIG. 7B. ..
図8は、第1の実施形態の判定システム100による判定を示す図である。図8(A)および図8(B)において、「学習モデル」は、ユーザの利用方法が変化した後の過去の通信データのトラヒック量に基づいて作成された学習モデルである。「トラヒック量基準値」は、ユーザの利用方法が変化する前の過去の通信データのトラヒック量に基づいて算出されたトラヒック量基準値である。「時刻t01の判定対象トラヒック量」は、ユーザの利用方法が変化した後に測定された判定対象トラヒック量である。「時刻t01の異常判定閾値」は、「時刻t01の学習モデル」に対する「トラヒック量基準値」の外れ値を示す。「時刻t01の異常判定対象値」は、「時刻t01の学習モデル」に対する「時刻t01の判定対象トラヒック量」の外れ値を示す。
図8(A)に示す例では、「時刻t01の異常判定対象値」が「時刻t01の異常判定閾値」より小さいため、判定システム100の判定部30が「異常状態ではない」と判定する。
FIG. 8 is a diagram showing the determination by the
In the example illustrated in FIG. 8A, the “abnormality determination target value at time t01” is smaller than the “abnormality determination threshold value at time t01”, and thus the
上述したように、図6(B)に示す一般的な判定システムでは、ユーザの利用方法の変化に伴って「判定対象トラヒック量」の値が落ち込む期間t1〜t2に、「異常状態である」と誤判定されてしまう。
それに対し、第1の実施形態の判定システム100では、図8(A)に示すように、ユーザの利用方法の変化に伴って「判定対象トラヒック量」の値が落ち込む時刻t01においても、「異常状態ではない」と判定される。そのため、通信データのトラヒック量が異常状態であると誤って判定されるおそれを抑制することができる。
As described above, in the general determination system shown in FIG. 6B, the “abnormal state” is present during the period t1 to t2 when the value of the “traffic volume to be determined” drops due to the change in the usage method of the user. Will be erroneously determined.
On the other hand, in the
図8(B)は、ユーザの利用方法が変化した後の時刻t02の判定対象トラヒック量が、ユーザの利用方法が変化する前と同様に大きい値になる例を示している。
ユーザの利用方法が変化した後、ネットワークシステムが正常であれば、「時刻t02の判定対象トラヒック量」の値は、「学習モデル」と同様に、落ち込む必要がある。ところが、図8(B)に示す例では、ユーザの利用方法が変化した後の「時刻t02の判定対象トラヒック量」の値が、ユーザの利用方法が変化する前と同様に大きい値になる。
詳細には、「時刻t02の異常判定対象値」が「時刻t02の異常判定閾値」より大きくなる。そのため、判定システム100の判定部30は「異常状態である」と判定する。
FIG. 8B illustrates an example in which the traffic volume to be determined at time t02 after the user's usage method has changed is as large as that before the user's usage method has changed.
If the network system is normal after the usage method of the user has changed, the value of the “traffic volume to be determined at time t02” needs to drop, as in the “learning model”. However, in the example shown in FIG. 8B, the value of the “traffic volume to be judged at time t02” after the user's usage method changes is a large value as before the user's usage method changes.
Specifically, the “abnormality determination target value at time t02” is larger than the “abnormality determination threshold value at time t02”. Therefore, the
図9は、第1の実施形態の判定システム100による判定の他の例を示す図である。図9(A)は時刻23:00のネットワークシステム内の切り替え作業の実行前の例を示している。図9(B)は時刻23:00のネットワークシステム内の切り替え作業の実行後の例を示している。
図9(A)の「学習モデル」は、切り替え作業の実行前の過去の通信データのトラヒック量に基づいて作成された学習モデルである。図9(B)の「学習モデル」は、切り替え作業の実行後の過去の通信データのトラヒック量に基づいて作成された学習モデルである。図9(A)および図9(B)の「トラヒック量基準値」は、切り替え作業の実行前の過去の通信データのトラヒック量に基づいて算出されたトラヒック量基準値である。
図9(A)の「23:00の判定対象トラヒック量」は、切り替え作業の実行前の時刻23:00の判定対象トラヒック量である。図9(B)の「23:00の判定対象トラヒック量」は、切り替え作業の実行後の時刻23:00の判定対象トラヒック量である。
図9(A)の「23:00の異常判定閾値」は、図9(A)の「23:00の学習モデル」に対する図9(A)および図9(B)の「トラヒック量基準値」の外れ値を示す。図9(B)の「23:00の異常判定閾値」は、図9(B)の「23:00の学習モデル」に対する図9(A)および図9(B)の「トラヒック量基準値」の外れ値を示す。
図9(A)の「23:00の異常判定対象値」は、図9(A)の「23:00の学習モデル」に対する図9(A)の「23:00の判定対象トラヒック量」の外れ値を示す。図9(B)の「23:00の異常判定対象値」は、図9(B)の「23:00の学習モデル」に対する図9(B)の「23:00の判定対象トラヒック量」の外れ値を示す。
FIG. 9: is a figure which shows the other example of the determination by the
The “learning model” in FIG. 9A is a learning model created based on the traffic volume of past communication data before execution of the switching work. The “learning model” in FIG. 9B is a learning model created based on the traffic volume of past communication data after execution of the switching work. The “traffic amount reference value” in FIGS. 9A and 9B is a traffic amount reference value calculated based on the traffic amount of past communication data before execution of the switching work.
The “traffic target traffic amount at 23:00” in FIG. 9A is the target traffic amount at time 23:00 before the execution of the switching work. “23:00 determination target traffic amount” in FIG. 9B is the determination target traffic amount at time 23:00 after the switching work is performed.
The “23:00 abnormality determination threshold” in FIG. 9A is the “traffic amount reference value” in FIGS. 9A and 9B with respect to the “23:00 learning model” in FIG. 9A. Indicates an outlier. The “23:00 abnormality determination threshold value” in FIG. 9B is the “traffic amount reference value” in FIGS. 9A and 9B with respect to the “23:00 learning model” in FIG. 9B. Indicates an outlier.
“Abnormality judgment target value at 23:00” in FIG. 9(A) is the same as “23:00 judgment target traffic amount” in FIG. 9(A) with respect to “23:00 learning model” in FIG. 9(A). Indicates an outlier. The “23:00 abnormality determination target value” in FIG. 9B corresponds to the “23:00 determination target traffic amount” in FIG. 9B with respect to the “23:00 learning model” in FIG. 9B. Indicates an outlier.
図9(A)に示す例では、図9(A)の「23:00の異常判定対象値」が図9(A)の「23:00の異常判定閾値」より小さいため、判定システム100の判定部30が「異常状態ではない」と判定する。図9(B)に示す例では、図9(B)の「23:00の異常判定対象値」が図9(B)の「23:00の異常判定閾値」より小さいため、判定システム100の判定部30が「異常状態ではない」と判定する。
上述したように、図7(B)に示す一般的な判定システムでは、切り替え作業の実行に伴って「判定対象トラヒック量」の値が落ち込む時刻23:00に、「異常状態である」と誤判定されてしまう。
それに対し、第1の実施形態の判定システム100では、図9(B)に示すように、切り替え作業の実行に伴って「23:00の判定対象トラヒック量」の値が落ち込む時刻23:00においても、「異常状態ではない」と判定される。そのため、通信データのトラヒック量が異常状態であると誤って判定されるおそれを抑制することができる。
In the example illustrated in FIG. 9A, the “23:00 abnormality determination target value” in FIG. 9A is smaller than the “23:00 abnormality determination threshold” in FIG. The
As described above, in the general determination system shown in FIG. 7(B), at the time of 23:00 when the value of the “determination target traffic amount” drops due to the execution of the switching work, it is erroneously determined that “it is in an abnormal state”. It will be judged.
On the other hand, in the
図10は、過去の通信データのトラヒック量に基づいてトラヒック量基準値を算出する計算負荷と、過去の通信データのトラヒック量を機械学習することによって学習モデルを作成する計算負荷とを示す図である。
第1の実施形態の判定システム100が適用された図10に示す例では、トラヒック量基準値算出部20が、図10(A)の「過去の通信データのトラヒック量」の統計値に基づいて、図10(A)の「トラヒック量基準値」を算出する。具体的には、トラヒック量基準値算出部20が、例えば1か月〜2か月のような、図10(B)の「データ抽出期間tA〜tB」にわたる過去の通信データのトラヒック量の統計値に基づいて、図10(A)の「トラヒック量基準値」を算出する。
学習モデル作成部210は、図10(C)の「過去の通信データのトラヒック量」を機械学習することによって、図10(C)の「時刻t001の学習モデル」および「時刻t002の学習モデル」を作成する。具体的には、学習モデル作成部210が、例えば直近の2週間〜1か月のような、「期間tA〜tB」よりも短い図10(D)の「データ抽出期間tC〜tD」にわたる過去の通信データのトラヒック量を機械学習することによって学習モデルを作成する。
FIG. 10 is a diagram showing a calculation load for calculating a traffic amount reference value based on the traffic amount of past communication data and a calculation load for creating a learning model by machine learning the traffic amount of past communication data. is there.
In the example shown in FIG. 10 to which the
The learning model creation unit 210 performs “learning model at time t001” and “learning model at time t002” in FIG. 10C by machine learning the “traffic amount of past communication data” in FIG. 10C. To create. Specifically, the learning model creation unit 210 uses the past for the “data extraction period tC to tD” in FIG. 10D, which is shorter than the “period tA to tB”, such as the latest two weeks to one month. A learning model is created by machine learning the traffic volume of the communication data.
第1の実施形態の判定システム100が適用された図10に示す例では、トラヒック量基準値算出部20の計算負荷(計算回数)が、図10(A)の「トラヒック量基準値」を算出するための過去の通信データのトラヒック量のサンプリング間隔によって、図10(B)の「期間tA〜tB」を除した値である。学習モデル作成部210の計算負荷(計算回数)は、学習モデルを作成するための過去の通信データのトラヒック量のサンプリング間隔によって、図10(D)の「期間tC〜tD」を除した値である。図10(A)の「トラヒック量基準値」を算出するための過去の通信データのトラヒック量のサンプリング間隔は、学習モデルを作成するための過去の通信データのトラヒック量のサンプリング間隔よりも、大きい値に設定される。そのため、トラヒック量基準値算出部20の計算負荷(計算回数)は、学習モデル作成部210の計算負荷(計算回数)より小さくなる。その結果、トラヒック量基準値算出部20の計算負荷を軽減することができる。つまり、判定システム100の計算負荷を軽減することができる。
また、トラヒック量基準値算出部20は、学習モデル作成部210が学習モデルを作成する時間単位(例えば、5分)よりも長い時間単位(例えば、8時間)で図10(A)の「トラヒック量基準値」を算出する。詳細には、通常、ユーザトラヒックは1日単位で周期性を持っているため、上述したように、トラヒック量基準値算出部20は、長い時間単位で「トラヒック量基準値」を算出すればよい。
学習モデルの時間単位が5分に設定される場合、学習モデル作成部210によって作成される学習モデルの値は、5分の間、一定値になる。5分の間、一定値になる学習モデルを作成するために例えばN回の計算が必要な場合、学習モデルを作成するための単位時間当たりの計算回数は(N回/5分)になる。
一方、トラヒック量基準値の時間単位が8時間に設定される場合、トラヒック量基準値算出部20によって算出されるトラヒック量基準値は、8時間の間、一定値になる。8時間の間、一定値になるトラヒック量基準値を算出するために例えばN回の計算が必要な場合、トラヒック量基準値を算出するための単位時間当たりの計算回数は(N回/8時間)になる。
すなわち、トラヒック量基準値を算出するための所定時間当たりの計算回数は、学習モデルを作成するための所定時間当たりの計算回数より少ない。そのため、トラヒック量基準値算出部20の計算負荷を軽減することができる。つまり、判定システム100の計算負荷を軽減することができる。
In the example shown in FIG. 10 to which the
In addition, the traffic amount reference
When the time unit of the learning model is set to 5 minutes, the value of the learning model created by the learning model creating unit 210 becomes a constant value for 5 minutes. If, for example, N times of calculations are required to create a learning model having a constant value for 5 minutes, the number of calculations per unit time for creating the learning model is (N times/5 minutes).
On the other hand, when the time unit of the traffic amount reference value is set to 8 hours, the traffic amount reference value calculated by the traffic amount reference
That is, the number of calculations per predetermined time for calculating the traffic amount reference value is smaller than the number of calculations per predetermined time for creating the learning model. Therefore, the calculation load of the traffic amount reference
図11は、異常判定対象値を示す図である。図11(A)に示す例では、学習モデル作成部210が、過去の通信データのトラヒック量に関する例えば14個〜30個のデータを機械学習することによって、「学習モデル」を作成する。判定対象トラヒック量取得部13は、例えばポートにおいて測定された「判定対象トラヒック量」を取得する。異常判定対象値算出部230は、「学習モデル」に対する「判定対象トラヒック量」の外れ値である「異常判定対象値」を算出する。
図11(B)に示す例では、学習モデル作成部210が、例えば14個〜30個の過去の時刻12:00の通信データのトラヒック量のデータを機械学習することによって、「12:00の学習モデル」を作成する。学習モデル作成部210が、同様に「13:00の学習モデル」を作成する。
図11(C)に示す例では、異常判定対象値算出部230が、「12:00の学習モデル」と、判定対象トラヒック量取得部13によって取得された「12:00の判定対象トラヒック量」とに基づいて「12:00の異常判定対象値」を算出する。異常判定対象値算出部230は、同様に「13:00の異常判定対象値」を算出する。異常判定対象値算出部230は、異常判定対象値を算出するが、その異常判定対象値が異常であるか否かを判定しない。
FIG. 11 is a diagram showing an abnormality determination target value. In the example illustrated in FIG. 11A, the learning model creation unit 210 creates a “learning model” by machine-learning, for example, 14 to 30 pieces of data regarding the traffic volume of past communication data. The determination target traffic
In the example illustrated in FIG. 11B, the learning model creation unit 210 performs machine learning on the traffic amount data of, for example, 14 to 30 pieces of communication data at the past time 12:00, so that “12:00 Create a learning model". The learning model creation unit 210 similarly creates a “13:00 learning model”.
In the example illustrated in FIG. 11C, the abnormality determination target
図12は、「12:00の異常判定対象値」が異常であるか否かを判定する手法を示す図である。図12に示す例では、トラヒック量基準値算出部20が、例えば14個未満の過去の通信データのトラヒック量のデータに基づいて、時刻12:00を含む時間帯の「トラヒック量基準値」を算出する。「12:00のトラヒック量基準値」は、時刻12:00を含む時間帯の「トラヒック量基準値」と等しい。
異常判定閾値算出部220は、「12:00のトラヒック量基準値」と「12:00の学習モデル」とに基づいて「12:00の異常判定閾値」を算出する。判定部30は、「12:00の異常判定対象値」と「12:00の異常判定閾値」とを対比する。
図12に示す例では、「12:00の異常判定対象値」が「12:00の異常判定閾値」以下であるため、判定部30は、12:00に異常状態はないと判定する。
FIG. 12 is a diagram showing a method of determining whether or not the “12:00 abnormality determination target value” is abnormal. In the example shown in FIG. 12, the traffic volume reference
The abnormality determination threshold
In the example shown in FIG. 12, since the “12:00 abnormality determination target value” is equal to or less than the “12:00 abnormality determination threshold”, the
図13は、「12:00の異常判定閾値」と「13:00の異常判定閾値」とを比較した図である。図13(B)に示す例では、時刻12:00と時刻13:00とが、「トラヒック量基準値」が一定値の時間帯に含まれている。そのため、「12:00のトラヒック量基準値」と「13:00のトラヒック量基準値」とが等しい。
図13(A)に示す例では、「13:00の学習モデル」の値(トラヒック量)が、「12:00の学習モデル」の値より大きい。そのため、図13(C)に示す例では、「13:00の異常判定閾値」が「12:00の異常判定閾値」より大きくなる。その結果、図13に示す例では、時刻13:00に、時刻12:00よりも、異常状態であると判定されづらくなる。
FIG. 13 is a diagram comparing the “12:00 abnormality determination threshold” and the “13:00 abnormality determination threshold”. In the example illustrated in FIG. 13B, the time 12:00 and the time 13:00 are included in the time zone in which the “traffic amount reference value” is a constant value. Therefore, the "12:00 traffic amount reference value" and the "13:00 traffic amount reference value" are equal.
In the example illustrated in FIG. 13A, the value (traffic amount) of the “13:00 learning model” is larger than the value of the “12:00 learning model”. Therefore, in the example shown in FIG. 13C, the “13:00 abnormality determination threshold” is larger than the “12:00 abnormality determination threshold”. As a result, in the example shown in FIG. 13, at time 13:00, it is more difficult to determine that the state is abnormal than at time 12:00.
図14は、トラヒック量基準値の算出手法の一例を示す図である。図14(B)の横軸は分布を示している。同様に、図15(B)の横軸も分布を示している。
図14に示す例では、図14(A)に示す時間帯のトラヒック量基準値が一定値になるように、トラヒック量基準値が算出される。具体的には、図14に示す例では、トラヒック量基準値算出部20が、図14(A)に示す時間帯の「過去の通信データのトラヒック量」に基づいて、図14(B)に示す分布を算出する。また、トラヒック量基準値算出部20は、図14(B)に示す分布のAパーセンタイル(Aは所定値)のトラヒック量を算出する。トラヒック量基準値算出部20は、そのトラヒック量に係数B(Bは1より小さい値)を乗じることによって、「トラヒック量基準値」を算出する。
FIG. 14 is a diagram showing an example of a method of calculating the traffic amount reference value. The horizontal axis of FIG. 14B shows the distribution. Similarly, the horizontal axis of FIG. 15B also shows the distribution.
In the example shown in FIG. 14, the traffic amount reference value is calculated so that the traffic amount reference value in the time zone shown in FIG. Specifically, in the example shown in FIG. 14, the traffic amount reference
図15は、トラヒック量基準値の算出手法の他の例を示す図である。図15に示す例では、図15(A)および図15(C)に示す時間帯のトラヒック量基準値が一定値になるように、トラヒック量基準値が算出される。具体的には、図15に示す例では、例えばポートのような判定対象トラヒック量の測定点において、図15(A)に示すような過去の通信データのトラヒック量が測定される。トラヒック量基準値算出部20は、図15(A)に示す時間帯の「過去の通信データのトラヒック量(送信パケット数)」に基づいて、図15(B)に示す分布を算出する。トラヒック量基準値算出部20は、出現率が低くなる(例えば99.5%以下)となる点を第1暫定値αとする。詳細には、トラヒック量基準値算出部20が下記の(1)〜(6)の計算を実施する。
(1)トラヒック量基準値算出部20は、送信パケット数の標準偏差σを算出する。
(2)トラヒック量基準値算出部20は、例えば0.001σを1階級として、図15(B)に示すヒストグラムを算出する。
(3)トラヒック量基準値算出部20は、1階級毎の出現確率を算出する。
(4)トラヒック量基準値算出部20は、出現確率を送信パケット数の多いほうから順に加算し、例えば99.5%を超えた階級の最大値(第1暫定値)αを算出する。
(5)グラフから異常値を除くため、トラヒック量基準値算出部20は、0.4αを下回る送信パケットを除外し、再度(1)〜(4)の計算を実施する。
(6)トラヒック量基準値算出部20は、再度算出された値を、図15(C)に示す第2暫定値βとし、その第2暫定値βにx%(x%は1より小さい値)を乗じることによって、図15(C)に示す「トラヒック量基準値」を算出する。
FIG. 15 is a diagram showing another example of the method of calculating the traffic volume reference value. In the example shown in FIG. 15, the traffic amount reference value is calculated so that the traffic amount reference value in the time zones shown in FIGS. 15(A) and 15(C) becomes a constant value. Specifically, in the example shown in FIG. 15, the traffic volume of past communication data as shown in FIG. 15A is measured at a measurement point of the traffic volume to be determined such as a port. The traffic amount reference
(1) The traffic amount reference
(2) The traffic amount reference
(3) The traffic volume reference
(4) The traffic volume reference
(5) In order to remove the abnormal value from the graph, the traffic amount reference
(6) The traffic amount reference
図16は、異常判定対象値と異常判定閾値との関係を示す図である。図16の縦軸は、異常判定対象値および異常判定閾値を示している。図16に示す例では、判定部30が、所定時間間隔で、異常判定対象値が異常判定閾値より大きいか否かを判定する。
図16に示す例では、時刻t1に、判定部30は、異常判定対象値が異常判定閾値より大きいと最初に判定する。第1の実施形態の判定システム100が適用されたネットワークシステム200の異常報知部(図示せず)は、ワーニングを実行する。
Xa回(例えば2回)後の判定が判定部30によって実行される時刻t3に、判定部30は、アラートをログに出力する。同様に、判定部30は、Xb回(例えば6回)の判定毎に、つまり、時刻t9、t15に、アラートをログに出力する。
異常判定対象値が異常判定閾値以下であると判定部30がXc回(例えば5回)続けて判定する時刻t21に、異常報知部は、ネットワークシステム200が復旧したと判定する。
FIG. 16 is a diagram showing the relationship between the abnormality determination target value and the abnormality determination threshold value. The vertical axis of FIG. 16 indicates the abnormality determination target value and the abnormality determination threshold value. In the example shown in FIG. 16, the
In the example illustrated in FIG. 16, at time t1, the
At time t3 when the determination after Xa times (for example, twice) is performed by the
At time t21, when the
図17は、第1の実施形態の判定システム100を適用可能なネットワークシステム200の他の例を示す図である。図17に示す例では、ネットワークシステム200は、接続装置260−1、260−2を有する。接続装置260−1はVLAN250−1、250−2、250−3を接続し、接続装置260−2はVLAN250−4、250−5、250−6を接続する。接続装置260−1はポート270−1、270−2、270−3、270−4を有し、接続装置260−2はポート270−5、270−6、270−7、270−8を有する。
図17に示す例では、判定部30が、ポート270−1の判定対象トラヒック量が異常状態であり、ポート270−2、270−3、270−4の判定対象トラヒック量が異常状態ではないと判定する。ネットワーク分析部40は、ポート270−1の判定対象トラヒック量の異常状態がユーザU1に起因すると分析する。また、ネットワーク分析部40は、接続装置260−1は正常状態であると分析する。
また、図17に示す例では、判定部30が、ポート270−5、270−6、270−7、270−8の判定対象トラヒック量が異常状態であると判定する。ネットワーク分析部40は、接続装置260−2が異常状態であると分析する。
詳細には、接続装置260−1、260−2内でサイレント故障が発生した場合、接続装置260−1内のポート270−1〜270−4、および、接続装置260−2内のポート270−5〜270−8のそれぞれが異常状態であるか否かを判定部30によって判定する。それにより、ネットワーク分析部40は、どのポート270−1〜270−8が異常状態であるのかを分析することができる。また、アラーム分析部50は、サイレント故障が原因となって異常状態であると判定されたのか、あるいは、通常の故障が原因となって異常状態であると判定されたのかを分析することができる。
FIG. 17 is a diagram showing another example of the
In the example illustrated in FIG. 17, the
Further, in the example illustrated in FIG. 17, the
Specifically, when a silent failure occurs in the connection devices 260-1 and 260-2, the ports 270-1 to 270-4 in the connection device 260-1 and the port 270- in the connection device 260-2. The
つまり、図17に示す例では、判定対象トラヒック量が、複数のVLAN250−1〜250−6と、それらを接続する接続装置260−1、260−2とを含むネットワークシステム200内における判定対象の通信データのトラヒック量である。また、ネットワーク分析部40は、異常状態の原因が、各VLAN250−1〜250−6内にあるか、あるいは、接続装置260−1、260−2内にあるかを分析する。
また、図17に示す例では、判定対象トラヒック量が、ネットワークシステム200に含まれる複数のポート270−1〜270−8のそれぞれにおける判定対象の通信データのトラヒック量である。また、判定部30は、複数のポート270−1〜270−8のそれぞれにおける判定対象トラヒック量が異常状態であるか否かを判定する。
That is, in the example illustrated in FIG. 17, the traffic volume to be determined is the traffic volume to be determined in the
Further, in the example illustrated in FIG. 17, the traffic volume to be determined is the traffic volume of the communication data to be determined in each of the plurality of ports 270-1 to 270-8 included in the
図18は、判定システム100による全体的な処理の流れを示すフローチャートである。
(ステップS101)学習モデル取得部10は、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する。
(ステップS102)トラヒック量基準値取得部11は、過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する。
(ステップS103)異常判定閾値取得部12は、学習モデルに対するトラヒック量基準値の外れ値である異常判定閾値を取得する。
(ステップS104)判定対象トラヒック量取得部13は、判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する。
(ステップS105)異常判定対象値取得部14は、学習モデルに対する判定対象トラヒック量の外れ値である異常判定対象値を取得する。
(ステップS106、S107、S108)判定部30は、異常判定閾値と異常判定対象値とに基づいて異常状態であるか否かを判定する。
詳細には、判定部30は、異常判定対象値が異常判定閾値より大きいか否かを判定する(ステップS106)。異常判定対象値が異常判定閾値より大きい場合、判定部30は、異常状態であると判定する(ステップS107)。異常判定対象値が異常判定閾値以下の場合、判定部30は、異常状態ではないと判定する(ステップS108)。
FIG. 18 is a flowchart showing the flow of the overall processing by the
(Step S101) The learning
(Step S102) The traffic volume reference
(Step S103) The abnormality determination
(Step S104) The determination target traffic
(Step S105) The abnormality determination target
(Steps S106, S107, S108) The
Specifically, the
〔第1の実施形態のまとめ〕
以上説明したように、判定システム100は、過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する学習モデル取得部10と、過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得するトラヒック量基準値取得部11と、学習モデルに対するトラヒック量基準値の外れ値である異常判定閾値を取得する異常判定閾値取得部12と、判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する判定対象トラヒック量取得部13と、学習モデルに対する判定対象トラヒック量の外れ値である異常判定対象値を取得する異常判定対象値取得部14と、異常判定閾値と異常判定対象値とに基づいて異常状態であるか否かを判定する判定部30と、を備える。
また、判定システム100において、判定部30は、異常判定対象値が異常判定閾値より大きい場合に異常状態であると判定する。
また、判定システム100は、過去の通信データのトラヒック量の統計値に基づいてトラヒック量基準値を算出するトラヒック量基準値算出部20をさらに備え、トラヒック量基準値取得部11は、トラヒック量基準値算出部20によって算出されたトラヒック量基準値を取得する。
これにより、判定システム100は、異常状態であると誤って判定されるおそれを抑制することができる。
[Summary of First Embodiment]
As described above, the
Further, in the
Further, the
As a result, the
また、判定システム100において、トラヒック量基準値算出部20は、第1の期間tA〜tBにわたる過去の通信データのトラヒック量の統計値に基づいてトラヒック量基準値を算出し、学習モデルは、第1の期間tA〜tBよりも短い第2の期間tC〜tDにわたる過去の通信データのトラヒック量を機械学習することによって作成され、トラヒック量基準値を算出するための過去の通信データのトラヒック量のサンプリング間隔によって、第1の期間tA〜tBを除した値である第1計算負荷は、学習モデルを作成するための過去の通信データのトラヒック量のサンプリング間隔によって、第2の期間tC〜tDを除した値である第2計算負荷より小さい。
また、判定システム100において、トラヒック量基準値算出部20は、学習モデルが作成される時間単位よりも長い時間単位でトラヒック量基準値を算出し、トラヒック量基準値を算出するための所定時間当たりの計算回数は、学習モデルを作成するための所定時間当たりの計算回数より少ない。
これにより、判定システム100は、第1計算負荷が第2計算負荷より大きい場合よりも、トラヒック量基準値算出部20の計算負荷を軽減することができる。
In the
Further, in the
Thereby, the
また、判定システム100において、判定対象トラヒック量は、複数のVLANと、複数のVLANを接続する接続装置とを含むネットワークシステム内における判定対象の通信データのトラヒック量であり、判定システム100は、異常状態の原因が、各VLAN内にあるか、あるいは、接続装置内にあるかを分析するネットワーク分析部40をさらに備える。
これにより、判定システム100は、異常状態の原因が、各VLAN内にあるか、あるいは、接続装置内にあるかを正確に分析することができる。
In the
Accordingly, the
また、判定システム100において、判定対象トラヒック量は、ネットワークシステムに含まれる複数のポートのそれぞれにおける判定対象の通信データのトラヒック量であり、判定部30は、複数のポートのそれぞれにおける判定対象トラヒック量が異常状態であるか否かを判定する。
これにより、判定システム100は、ネットワークシステム内のポートの判定対象トラヒック量が異常状態であるか否かを正確に判定することができる。
Further, in the
Accordingly, the
また、判定システム100において、判定対象トラヒック量取得部は、ネットワークシステムに含まれる集約スイッチから判定対象トラヒック量を取得し、学習モデルは、集約スイッチから取得された過去の通信データのトラヒック量を機械学習することによって作成される。
これにより、判定システム100は、ネットワークシステム内の集約スイッチから取得される判定対象トラヒック量が異常状態であるか否かを正確に判定することができる。
以上が、第1の実施形態についての説明である。
Further, in the
Accordingly, the
The above is the description of the first embodiment.
[第2の実施形態]
図19は、第2の実施形態の判定システム100が適用されたネットワークシステム200の一例を示す図である。第2の実施形態の判定システム100は、後述する点を除き、上述した第1の実施形態の判定システム100と同様の効果を奏することができる。
第1の実施形態の判定システム100が適用された図1に示す例では、トラヒック量基準値算出部20が判定システム100の内部に設けられている。一方、第2の実施形態の判定システム100が適用された図19に示す例では、図1に示すトラヒック量基準値算出部20と同様の機能を有するトラヒック量基準値算出部240が、判定システム100の外部に設けられている。
第2の実施形態の判定システム100では、第1の実施形態の判定システム100よりも、判定システム100の計算負荷を軽減することができる。
[Second Embodiment]
FIG. 19 is a diagram illustrating an example of a
In the example shown in FIG. 1 to which the
The
[変形例]
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成は上述の実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。例えば、上述の第1〜2の実施形態において説明した各構成は、任意に組み合わせることができる。また、例えば、上述の第1〜2の実施形態において説明した各構成は、特定の機能を発揮するのに不要である場合には、省略することができる。また、例えば、上述の第1〜2の実施形態において説明した各構成は、任意に分離して別体の装置に備えることができる。
[Modification]
Although the embodiments of the present invention have been described in detail above with reference to the drawings, the specific configuration is not limited to the above-described embodiments, and includes a design and the like within a range not departing from the gist of the present invention. For example, the configurations described in the above-described first and second embodiments can be arbitrarily combined. Further, for example, each configuration described in the above-described first and second embodiments can be omitted if it is unnecessary to exert a specific function. In addition, for example, the configurations described in the above-described first and second embodiments can be arbitrarily separated and provided in a separate device.
また、上述の学習モデル取得部10、トラヒック量基準値取得部11、異常判定閾値取得部12、判定対象トラヒック量取得部13、異常判定対象値取得部14、判定部30の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより学習モデル取得部10、トラヒック量基準値取得部11、異常判定閾値取得部12、判定対象トラヒック量取得部13、異常判定対象値取得部14、判定部30としての処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部または外部に設けられた記録媒体も含まれる。配信サーバの記録媒体に記憶されるプログラムのコードは、端末装置で実行可能な形式のプログラムのコードと異なるものでもよい。すなわち、配信サーバからダウンロードされて端末装置で実行可能な形でインストールができるものであれば、配信サーバで記憶される形式は問わない。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に端末装置で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
In order to realize the functions of the learning
10…学習モデル取得部、11…トラヒック量基準値取得部、12…異常判定閾値取得部、13…判定対象トラヒック量取得部、14…異常判定対象値取得部、20…トラヒック量基準値算出部、30…判定部、40…ネットワーク分析部、50…アラーム分析部、100…判定システム、200…ネットワークシステム、200−1、200−2、200−3…ネットワーク、210…学習モデル作成部、220…異常判定閾値算出部、230…異常判定対象値算出部、240…トラヒック量基準値算出部、250−1、250−2、250−3、250−4、250−5、250−6…VLAN、260、260−1、260−2、260−3…接続装置、270−1、270−2、270−3、270−4、270−5、270−6、270−7、270−8…ポート、280…集約スイッチ、280a…ミラーポート、290…トラヒック収集サーバ 10... Learning model acquisition unit, 11... Traffic amount reference value acquisition unit, 12... Abnormality determination threshold value acquisition unit, 13... Judgment target traffic amount acquisition unit, 14... Abnormality determination target value acquisition unit, 20... Traffic amount reference value calculation unit , 30... Judgment unit, 40... Network analysis unit, 50... Alarm analysis unit, 100... Judgment system, 200... Network system, 200-1, 200-2, 200-3... Network, 210... Learning model creation unit, 220 ...Abnormality determination threshold value calculation unit, 230... Abnormality determination target value calculation unit, 240... Traffic amount reference value calculation unit, 250-1, 250-2, 250-3, 250-4, 250-5, 250-6... VLAN , 260, 260-1, 260-2, 260-3... Connection device, 270-1, 270-2, 270-3, 270-4, 270-5, 270-6, 270-7, 270-8... Port, 280... Aggregation switch, 280a... Mirror port, 290... Traffic collection server
Claims (10)
前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得するトラヒック量基準値取得部と、
前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する異常判定閾値取得部と、
判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する判定対象トラヒック量取得部と、
前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する異常判定対象値取得部と、
前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する判定部と、
前記過去の通信データのトラヒック量の統計値に基づいて前記トラヒック量基準値を算出するトラヒック量基準値算出部と、
を備え、
前記トラヒック量基準値取得部は、前記トラヒック量基準値算出部によって算出された前記トラヒック量基準値を取得する、
判定システム。 A learning model acquisition unit that acquires a learning model created by machine learning the traffic volume of past communication data,
A traffic amount reference value acquisition unit that acquires a traffic amount reference value that is a reference value of the traffic amount of the communication data set based on the traffic amount of the past communication data,
An abnormality determination threshold value acquisition unit that acquires an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model,
A determination target traffic amount acquisition unit that acquires a determination target traffic amount that is the traffic amount of the determination target communication data,
An abnormality determination target value acquisition unit that acquires an abnormality determination target value that is an outlier of the determination target traffic amount for the learning model,
A determination unit that determines whether or not an abnormality state is based on the abnormality determination threshold value and the abnormality determination target value,
A traffic amount reference value calculation unit that calculates the traffic amount reference value based on a statistical value of the traffic amount of the past communication data,
Equipped with
The traffic amount reference value acquisition unit acquires the traffic amount reference value calculated by the traffic amount reference value calculation unit,
Judgment system.
前記学習モデルは、前記第1の期間よりも短い第2の期間にわたる前記過去の通信データのトラヒック量を機械学習することによって作成され、
前記トラヒック量基準値を算出するための前記過去の通信データのトラヒック量のサンプリング間隔によって、前記第1の期間を除した値である第1計算負荷は、
前記学習モデルを作成するための前記過去の通信データのトラヒック量のサンプリング間隔によって、前記第2の期間を除した値である第2計算負荷より小さい、
請求項1に記載の判定システム。 The traffic amount reference value calculation unit calculates the traffic amount reference value based on a statistical value of the traffic amount of the past communication data over a first period,
The learning model is created by machine learning the traffic volume of the past communication data over a second period that is shorter than the first period,
The first calculation load, which is a value obtained by dividing the first period by the sampling interval of the traffic volume of the past communication data for calculating the traffic volume reference value,
Smaller than a second calculation load which is a value obtained by dividing the second period by a sampling interval of the traffic volume of the past communication data for creating the learning model,
The determination system according to claim 1.
前記トラヒック量基準値を算出するための所定時間当たりの計算回数は、前記学習モデルを作成するための前記所定時間当たりの計算回数より少ない、
請求項1又は請求項2に記載の判定システム。 The traffic amount reference value calculation unit calculates the traffic amount reference value in a time unit longer than a time unit in which the learning model is created,
The number of calculations per predetermined time for calculating the traffic amount reference value is less than the number of calculations per predetermined time for creating the learning model,
The determination system according to claim 1 or 2.
前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得するトラヒック量基準値取得部と、
前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する異常判定閾値取得部と、
判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する判定対象トラヒック量取得部と、
前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する異常判定対象値取得部と、
前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する判定部と、
を備え、
前記判定対象トラヒック量は、複数のVLAN(Virtual Local Area Network)と、前記複数のVLANを接続する接続装置とを含むネットワークシステム内における前記判定対象の通信データのトラヒック量であり、
前記異常状態の原因が、各VLAN内にあるか、あるいは、前記接続装置内にあるかを分析するネットワーク分析部をさらに備える
判定システム。 A learning model acquisition unit that acquires a learning model created by machine learning the traffic volume of past communication data,
A traffic amount reference value acquisition unit that acquires a traffic amount reference value that is a reference value of the traffic amount of the communication data set based on the traffic amount of the past communication data,
An abnormality determination threshold value acquisition unit that acquires an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model,
A determination target traffic amount acquisition unit that acquires a determination target traffic amount that is the traffic amount of the determination target communication data,
An abnormality determination target value acquisition unit that acquires an abnormality determination target value that is an outlier of the determination target traffic amount for the learning model,
A determination unit that determines whether or not an abnormality state is based on the abnormality determination threshold value and the abnormality determination target value,
Equipped with
The determination target traffic amount is a traffic amount of the determination target communication data in a network system including a plurality of VLANs (Virtual Local Area Networks) and a connection device that connects the plurality of VLANs,
The network analysis unit further analyzes whether the cause of the abnormal state is in each VLAN or in the connection device.
Determine constant system.
前記判定部は、前記複数のポートのそれぞれにおける前記判定対象トラヒック量が前記異常状態であるか否かを判定する、
請求項4に記載の判定システム。 The determination target traffic amount is the traffic amount of the determination target communication data in each of a plurality of ports included in the network system,
The determination unit determines whether or not the determination target traffic amount in each of the plurality of ports is in the abnormal state,
The determination system according to claim 4.
前記学習モデルは、前記集約スイッチから取得された前記過去の通信データのトラヒック量を機械学習することによって作成される、
請求項4又は請求項5に記載の判定システム。 The determination target traffic volume acquisition unit acquires the determination target traffic volume from an aggregation switch included in the network system,
The learning model is created by machine learning the traffic volume of the past communication data acquired from the aggregation switch,
The determination system according to claim 4 or claim 5.
過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する第1ステップと、
前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する第2ステップと、
前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する第3ステップと、
判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する第4ステップと、
前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する第5ステップと、
前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する第6ステップと、
前記過去の通信データのトラヒック量の統計値に基づいて前記トラヒック量基準値を算出する第7ステップと、
を含み、
前記第5ステップにおいて、前記第7ステップにおいて算出された前記トラヒック量基準値を取得する、
判定方法。 The judgment system
A first step of acquiring a learning model created by machine learning the traffic volume of past communication data;
A second step of obtaining a traffic amount reference value which is a reference value of the traffic amount of the communication data set based on the traffic amount of the past communication data;
A third step of acquiring an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model;
A fourth step of acquiring the traffic volume to be judged, which is the traffic volume of the communication data to be judged,
A fifth step of acquiring an abnormality determination target value that is an outlier of the determination target traffic amount for the learning model;
A sixth step of determining whether or not there is an abnormal state based on the abnormality determination threshold value and the abnormality determination target value,
A seventh step of calculating the traffic amount reference value based on a statistical value of the traffic amount of the past communication data;
Only including,
In the fifth step, the traffic volume reference value calculated in the seventh step is acquired.
Judgment method.
過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する第1ステップと、
前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する第2ステップと、
前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する第3ステップと、
判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する第4ステップと、
前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する第5ステップと、
前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する第6ステップと、
を含み、
前記判定対象トラヒック量は、複数のVLAN(Virtual Local Area Network)と、前記複数のVLANを接続する接続装置とを含むネットワークシステム内における前記判定対象の通信データのトラヒック量であり、
前記異常状態の原因が、各VLAN内にあるか、あるいは、前記接続装置内にあるかを分析する第7ステップをさらに含む、
判定方法。 The judgment system
A first step of acquiring a learning model created by machine learning the traffic volume of past communication data;
A second step of obtaining a traffic amount reference value which is a reference value of the traffic amount of the communication data set based on the traffic amount of the past communication data;
A third step of acquiring an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model;
A fourth step of acquiring the traffic volume to be judged, which is the traffic volume of the communication data to be judged,
A fifth step of acquiring an abnormality determination target value that is an outlier of the determination target traffic amount for the learning model;
A sixth step of determining whether or not there is an abnormal state based on the abnormality determination threshold value and the abnormality determination target value,
Only including,
The determination target traffic amount is a traffic amount of the determination target communication data in a network system including a plurality of VLANs (Virtual Local Area Networks) and a connection device that connects the plurality of VLANs,
The method further includes a seventh step of analyzing whether the cause of the abnormal state is in each VLAN or in the connected device.
Judgment method.
過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する第1ステップと、
前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する第2ステップと、
前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する第3ステップと、
判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する第4ステップと、
前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する第5ステップと、
前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する第6ステップと、
前記過去の通信データのトラヒック量の統計値に基づいて前記トラヒック量基準値を算出する第7ステップと、
を実行させ、
前記第5ステップにおいて、前記第7ステップにおいて算出された前記トラヒック量基準値を取得するためのプログラム。 On the computer,
A first step of acquiring a learning model created by machine learning the traffic volume of past communication data;
A second step of obtaining a traffic amount reference value which is a reference value of the traffic amount of the communication data set based on the traffic amount of the past communication data;
A third step of acquiring an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model;
A fourth step of acquiring the traffic volume to be judged, which is the traffic volume of the communication data to be judged,
A fifth step of acquiring an abnormality determination target value that is an outlier of the determination target traffic amount for the learning model;
A sixth step of determining whether or not there is an abnormal state based on the abnormality determination threshold value and the abnormality determination target value,
A seventh step of calculating the traffic amount reference value based on a statistical value of the traffic amount of the past communication data;
Was executed,
In the fifth step, a program for acquiring the traffic volume reference value calculated in the seventh step .
過去の通信データのトラヒック量を機械学習することによって作成された学習モデルを取得する第1ステップと、
前記過去の通信データのトラヒック量に基づいて設定された通信データのトラヒック量の基準値であるトラヒック量基準値を取得する第2ステップと、
前記学習モデルに対する前記トラヒック量基準値の外れ値である異常判定閾値を取得する第3ステップと、
判定対象の通信データのトラヒック量である判定対象トラヒック量を取得する第4ステップと、
前記学習モデルに対する前記判定対象トラヒック量の外れ値である異常判定対象値を取得する第5ステップと、
前記異常判定閾値と前記異常判定対象値とに基づいて異常状態であるか否かを判定する第6ステップと、
を実行させ、
前記判定対象トラヒック量は、複数のVLAN(Virtual Local Area Network)と、前記複数のVLANを接続する接続装置とを含むネットワークシステム内における前記判定対象の通信データのトラヒック量であり、
前記異常状態の原因が、各VLAN内にあるか、あるいは、前記接続装置内にあるかを分析する第7ステップをさらに実行させるためのプログラム。 On the computer,
A first step of acquiring a learning model created by machine learning the traffic volume of past communication data;
A second step of obtaining a traffic amount reference value which is a reference value of the traffic amount of the communication data set based on the traffic amount of the past communication data;
A third step of acquiring an abnormality determination threshold value that is an outlier of the traffic amount reference value for the learning model;
A fourth step of acquiring the traffic volume to be judged, which is the traffic volume of the communication data to be judged,
A fifth step of acquiring an abnormality determination target value that is an outlier of the determination target traffic amount for the learning model;
A sixth step of determining whether or not there is an abnormal state based on the abnormality determination threshold value and the abnormality determination target value,
Run
The determination target traffic amount is a traffic amount of the determination target communication data in a network system including a plurality of VLANs (Virtual Local Area Networks) and a connection device that connects the plurality of VLANs,
The cause of the abnormal state, or found within each VLAN, or because the program further execute a seventh step of analyzing whether there in the connecting device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016237066A JP6718367B2 (en) | 2016-12-06 | 2016-12-06 | Judgment system, judgment method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016237066A JP6718367B2 (en) | 2016-12-06 | 2016-12-06 | Judgment system, judgment method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018093432A JP2018093432A (en) | 2018-06-14 |
JP6718367B2 true JP6718367B2 (en) | 2020-07-08 |
Family
ID=62566427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016237066A Active JP6718367B2 (en) | 2016-12-06 | 2016-12-06 | Judgment system, judgment method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6718367B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7085429B2 (en) * | 2018-07-11 | 2022-06-16 | Phcホールディングス株式会社 | Network monitoring equipment, network monitoring methods, and network monitoring programs |
US11119716B2 (en) * | 2018-10-31 | 2021-09-14 | Fanuc Corporation | Display system, machine learning device, and display device |
JP7303461B2 (en) * | 2020-02-12 | 2023-07-05 | 日本電信電話株式会社 | Recovery determination device, recovery determination method, and recovery determination program |
JP2022012365A (en) | 2020-07-01 | 2022-01-17 | 富士通株式会社 | Abnormality determination method and abnormality determination program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4721362B2 (en) * | 2007-06-12 | 2011-07-13 | 日本電信電話株式会社 | Threshold setting method, system and program |
-
2016
- 2016-12-06 JP JP2016237066A patent/JP6718367B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018093432A (en) | 2018-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6718367B2 (en) | Judgment system, judgment method, and program | |
CN107871190B (en) | Service index monitoring method and device | |
US10102056B1 (en) | Anomaly detection using machine learning | |
JP6025753B2 (en) | Computer-implemented method, computer-readable storage medium, and system for monitoring performance metrics | |
JP5389726B2 (en) | Work delay monitoring method, work management apparatus, and work management program | |
JP6787340B2 (en) | Log analysis system, log analysis method and program | |
EP3927000B1 (en) | Network element health status detection method and device | |
JP5277667B2 (en) | Failure analysis system, failure analysis method, failure analysis server, and failure analysis program | |
CN108897665A (en) | Blog management method, device, computer equipment and storage medium | |
JP2008236307A (en) | Network monitoring device and network monitoring method | |
CN105281966A (en) | Method and device for identifying abnormal traffic of network equipment | |
WO2018122890A1 (en) | Log analysis method, system, and program | |
JP2021135679A (en) | Process machine state estimation system, and process machine state estimation program | |
JP2018109973A (en) | Mechanism for monitoring and alerting computer system applications | |
CN111158982B (en) | Electronic device, first operating system, data processing method, and storage medium | |
JP6741217B2 (en) | Log analysis system, method and program | |
US20140176345A1 (en) | System and method for monitoring and alerting on equipment errors | |
US20190044797A1 (en) | Method and apparatus of establishing computer network monitoring criteria | |
CN107168846A (en) | The monitoring method and device of electronic equipment | |
CN105279432B (en) | Software monitoring processing method and device | |
CN113835961A (en) | Alarm information monitoring method, device, server and storage medium | |
WO2018097877A1 (en) | Window deviation analyzer | |
CN112965902A (en) | Application system evaluation method and device | |
EP3457609B1 (en) | System and method for computing of anomalies based on frequency driven transformation and computing of new features based on point anomaly density | |
CN110781146A (en) | Event storage method, power terminal and computer-readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20181116 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200303 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200428 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200612 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6718367 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |