JP6806249B2 - 情報処理装置、情報処理システム、情報処理方法、及びプログラム - Google Patents

情報処理装置、情報処理システム、情報処理方法、及びプログラム Download PDF

Info

Publication number
JP6806249B2
JP6806249B2 JP2019524714A JP2019524714A JP6806249B2 JP 6806249 B2 JP6806249 B2 JP 6806249B2 JP 2019524714 A JP2019524714 A JP 2019524714A JP 2019524714 A JP2019524714 A JP 2019524714A JP 6806249 B2 JP6806249 B2 JP 6806249B2
Authority
JP
Japan
Prior art keywords
data
pattern
information processing
difference
temporal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019524714A
Other languages
English (en)
Other versions
JPWO2018235123A1 (ja
Inventor
翼 高橋
翼 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2018235123A1 publication Critical patent/JPWO2018235123A1/ja
Priority to JP2020201209A priority Critical patent/JP7311480B2/ja
Application granted granted Critical
Publication of JP6806249B2 publication Critical patent/JP6806249B2/ja
Priority to JP2022140463A priority patent/JP7468586B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4183Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by data acquisition, e.g. workpiece identification
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41885Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/24Testing correct operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、データの処理に関し、特に、時系列データを処理する情報処理装置などに関する。
ネットワークへの不正侵入を検知する装置、又は、工場における温度センサーなどのセンサー装置(以下、まとめて「検知装置」と呼ぶ)は、監視対象(ネットワーク又は工場)における所定の属性の状態又は値を観測する。属性とは、温度、圧力、流量、若しくは、振動などの物理的な値、又は、データの送信、受信、所定のメッセージの作成などの動作の状態である。以下、観測した値及び観測した状態をまとめて「観測値」と呼ぶ。さらに、検知装置は、単一の時間での観測ではなく、通常は、連続して(シーケンスに)観測を継続する。連続した観測を基に、検知装置は、観測した属性の値(観測値)と、観測した時間などの時間に関連する情報(タイムスタンプ)と関連付けて含むデータを、時々刻々と生成する。つまり、検知装置は、監視対象を観測し、複数の時間における観測値とタイムスタンプとを含むデータ(以下、「時系列データ」又は「シーケンスデータ」と呼ぶ)を生成する。そして、検知装置は、生成したシーケンスデータを分析することで、監視対象を把握する。ここで監視対象の把握とは、例えば、監視対象が正常であるか否の判別、又は、監視対象における疑わしい挙動の検出などである。
シーケンスデータの例としては、Twitterなどのミニブログ(つぶやき)、プロキシサーバ若しくは監視サーバのログ、又は、侵入検知(IDS:Intrusion Detection System)のアラートログなどがある。
このようなシーケンスデータ(時系列データ)を処理する技術は、いろいろな分野に適用されている(例えば、特許文献1ないし3)。
特許文献1は、脳波を解析する技術を開示している。
特許文献2は、正常稼働状態のデータを学習する技術を開示している。
特許文献3は、正常パターンを自動抽出する技術を開示している。
シーケンスデータには、監視対象の様々な挙動が、入り混じっている。例えば、シーケンスデータには、時間的な定常性(constancy)を持つ挙動と、時間的な定常性のない挙動(以下、「ランダムな挙動」と呼ぶ)とが、入り混じっている場合がある。時間的な定常性を持つ挙動とは、例えば、「特定の曜日及び/又は時間帯によく発現する挙動」又は「毎日発現する挙動」である。また、ランダムな挙動とは、「発現する時間又は位置を特定できない挙動」である。
コンピュータ・ネットワーク上での不正な攻撃(サイバー攻撃)に対する防御(サイバーセキュリティ)において、時間的な定常性を持つ挙動は、通常の業務に関連する動作に該当する。また、ランダムな挙動は、標的型攻撃などのサイバー攻撃、機器の故障、又は、何らかの異常に該当する。
時間的な定常性を持つ挙動及びランダムな挙動のそれぞれに対応したパターンを検出することは、アラート(警報)を発報するセキュリティ機器において、通常は生じない異常(anomaly)を検出する上で重要である。
このように、シーケンスデータの分析において、時間的な定常性を持つ挙動とランダムな挙動とのパターンを明確に分けたい、という要求がある。
データ中の主要なパターンを検出する手法として、各種の手法が提案されている。例えば、このような手法として、主成分分析(PCA:Principal Component Analysis)又は特異値分解(SVD:Singular Value Decomposition)などの行列分解が知られている。これらの手法は、シーケンスデータに対しても適用することができる。しかしながら、行列分解は、時間的な定常性を持つ挙動であるか、ランダムな挙動であるかを、区別できない。また、時間的な定常性を持つ挙動のように頻度の高いパターンが多数ある場合、行列分解は、ランダムな挙動を雑音と見なしてしまい、ランダムな挙動をパターンとして検出できない可能性がある。
非特許文献1に記載の技術は、「タイムスタンプ,属性値」からなるデータを、周期に基づいて分割及び積層して行列形式のシーケンスデータを作成する。さらに、非特許文献1に記載の技術は、行列形式のシーケンスデータを基に、「周期数,周期内タイムスタンプ,属性値」から成るテンソル(tensor)を生成する。このように周期に基づいて積層されたテンソル、つまり時間軸方向に積層されたテンソルには、時間方向における新たな冗長性が生まれる。非特許文献1に記載の技術は、このテンソルにテンソル分解を適用して、周期的なパターン(時間的な定常性を持つ挙動に対応したパターン)を検出する。加えて、非特許文献1に記載の技術は、時間的な定常性を持つ挙動から外れる挙動を、異常値として検出する。
上記のような行列又はテンソルにおける計算は、計算量が多く、さらに、結果の値が一つの値に収束しない場合がある。そこで、計算量を軽くするため、及び、結果を収束させるために、制約が用いられる。このような計算における制約として、正則化が、広く用いられている。このような正則化としては、スパース(Sparse)正則化がある。スパース正則化とは、多くの変数において、その値を0とする制約である。
非特許文献2は、スパース正則化の一種であるGroup Lasso正則化を開示している。Group Lasso正則化は、変数のグループに対して、そのグループに属する変数を同時に0につぶす、すなわち変数の値が疎になるように仕向ける作用を持つ正則化である。
非特許文献3は、Group Lassoを用いて、主成分分析における所定数(k)の上位コンポーネント(上位kコンポーネント)を含む変数のグループを生成する。主成分分析では、コンポーネントは、上位になるほど、データの主要な成分を持つ。そのため、上記の変数のグループ(上位kコンポーネント)は、多くのデータが共通に持つ特徴を多く含んだ密なパターン、換言すると、多くのデータにおいて発現するパターンの推定となる。
非特許文献4は、Group Lasso正則化を用いて、主成分分析で得られるパターンが異常値に頑健であるように仕向ける技術を開示している。
国際公開第2012/133185号 特開2014−149840号公報 特開2011−247696号公報
Tsubasa Takahashi, Bryan Hooi, Christos Faloutsos, "AutoCyclone: Automatic Mining of Cyclic Online Activities with Robust Tensor Factorization", Proceedings of the 26th International Conference on World Wide Web, April 03-07, 2017, pp. 213-221 Ming Yuan, Yi Lin, "Model selection and estimation in regression with grouped variables", Journal of the Royal Statistical Society: Series B (Statistical Methodology), Volume 68, Issue 1, February 2006, pp.49-67 Ruoyi Jiang, Hongliang Fei, Jun Huan, "Anomaly localization for network data streams with graph joint sparse PCA", KDD '11 Proceeding of the 17th ACM SIGKDD international conference on Knowledge discovery and data mining, August 21-24, 2011, pp. 886-894 Gonzalo Mateos, Georgios B. Giannakis, "Robust PCA as Bilinear Decomposition With Outlier-Sparsity Regularization", IEEE Transactions on Signal Processing, Volume 60, Issue10, Oct. 2012, pp.5176-5190
しかしながら、非特許文献1に記載の技術は、異常値に含まれるパターンを抽出することができない。
また、非特許文献1に記載の技術は、入力データに時間方向の冗長性を持たせることで、周期的なパターンが抽出されやすいように工夫している。しかし、非特許文献1に記載の技術では、パターンを抽出するためのテンソル分解において、必ずしも、時間的な定常性を持つ挙動のパターンだけを抽出するように仕向けられた制約が加えられてはいない。そのため、非特許文献1に記載の技術では、ランダムな挙動であってもその頻度が高い場合、又は、ランダムな挙動に対応した観測値が大きい場合などでは、時間的な定常性を持つ挙動のパターンに、ランダムな挙動のパターンが混じってしまう可能性がある。
また、非特許文献3に開示された上位kコンポーネントは、単にデータセット全体における特徴的なパターンが集められたグループである。上位kコンポーネントは、必ずしも、時間的な定常性を持つ挙動のパターンの推定となるわけではない。
非特許文献2は、Group Lasso正則化を開示する文献であり、時間的な定常性を持つ挙動に対応したパターンとランダムな挙動とに対応したパターンとを区別する技術を開示していない。
非特許文献4は、主成分分析で得られるパターンにおける異常値に対する頑健性を向上する技術を開示している。しかし、非特許文献4は、時間的な定常性を持つ挙動に対応したパターンとランダムな挙動とに対応したパターンとを区別する技術を開示していない。
特許文献1ないし3は、上記の時間的な定常性を持つ挙動のパターンとランダムな挙動のパターンとを区別する技術を開示していない。
このように、特許文献1ないし3、及び、非特許文献1ないし4は、時間的な定常性を持つ挙動に対応したパターンとランダムな挙動に対応したパターンとを抽出できないという問題点があった。
本発明の目的は、上記問題点を解決し、時間的な定常性を持つ挙動に対応したパターンと、ランダムな挙動に対応したパターンとを抽出する情報処理装置などを提供することにある。
本発明の一形態における情報処理装置は、複数の時間における複数の観測値を含む第1のデータを基に第1のデータを時間において積層した第2のデータを構築し、第2のデータを基に第1のデータにおける時間的な定常性を持つ観測値の組合せである定常パターンを抽出する定常パターン抽出手段と、第1のデータと定常パターンとの時間における差分を生成する差分生成手段と、差分を基に時間的な定常性を持たない観測値の組合せであるランダムパターンを抽出するランダムパターン抽出手段とを含む。
本発明の一形態における情報処理方法は、複数の時間における複数の観測値を含む第1のデータを基に第1のデータを時間において積層した第2のデータを構築し、第2のデータを基に第1のデータにおける時間的な定常性を持つ観測値の組合せである定常パターンを抽出し、第1のデータと定常パターンとの時間における差分を生成し、差分を基に時間的な定常性を持たない観測値の組合せであるランダムパターンを抽出する。
本発明の一形態におけるプログラムは、複数の時間における複数の観測値を含む第1のデータを基に第1のデータを時間において積層した第2のデータを構築し、第2のデータを基に第1のデータにおける時間的な定常性を持つ観測値の組合せである定常パターンを抽出する処理と、第1のデータと定常パターンとの時間における差分を生成する処理と、差分を基に時間的な定常性を持たない観測値の組合せであるランダムパターンを抽出する処理とをコンピュータに実行させる

本発明の一形態における情報処理システムは、上記の情報処理装置と、情報処理装置に第1のデータを送信する監視対象と、情報処理装置からランダムパターンを受信して表示する表示装置とを含む。
本発明に基づけば、時間的な定常性を持つ挙動に対応したパターンとランダムな挙動に対応したパターンとを抽出できる。
図1は、本発明における第1の実施形態に係る情報処理装置の構成の一例を示すブロック図である。 図2は、第1の実施形態に係る情報処理装置の動作の一例を示すフローチャートである。 図3は、シーケンスデータの一例を示す図である。 図4は、サブデータの一例を示す図である。 図5は、構築されたテンソルの一例を示す図である。 図6は、テンソル分解に基づいて得られたパターンの一例を示す図である。 図7は、図6における定常パターンの一例を示す図である。 図8は、サブデータにおける個別差分を示す図である。 図9は、図8に示されている個別差分を行列化した差分を示す図である。 図10は、図9に示されている差分に対して行列分解を適用した結果の一例を示す図である。 図11は、ハードウェア構成の一例を示すブロック図である。 図12は、第1の実施形態に係る情報処理システムの構成の一例を示す図である。
以下、図面を参照して、本発明における実施形態について説明する。
各図面は、本発明の実施形態を説明するものである。ただし、本発明は、各図面の記載に限られるわけではない。また、各図面の同様の構成には、同じ番号を付し、その繰り返しの説明を省略する場合がある。また、以下の説明に用いる図面において、本発明の説明に関係しない部分の構成については、記載を省略し、図示しない場合もある。
まず、本実施形態の説明における用語について整理する。
「観測値」とは、監視対象における所定の挙動に対応した属性について観測された値である。観測値は、直接的に観測された値に限られず、間接的に観測された値(例えば、センサーが検出した値を変換した値、又は、複数の観測値を基に算出された値)でもよい。
監視対象(以下、「ソース」と呼ぶ場合もある)は、1つに限られず、複数でもよい。また、各監視対象における観測対象の属性は、1つに限られず、複数でもよい。さらに、属性は、全ての監視対象において同じである必要はない。属性は、少なくとも一部の監視対象において異なっていてもよい。
「タイムスタンプ」とは、観測値が観測された時間に関する情報である。つまり、タイムスタンプとは、観測における時間に関する情報である。タイムスタンプは、単一の時間ではなく、所定の幅を持った時間範囲でもよい。
観測値とタイムスタンプは、関連付けられている。
各実施形態における情報処理装置は、観測値とタイムスタンプとを含むデータを受信し、以下で説明する動作を実行する。ただし、このデータは、少なくとも複数のタイムスタンプにおけるデータを含む。つまり、このデータは、シーケンスデータ(時系列データ)である。さらに、このデータは、各タイムスタンプにおいて複数の観測値を含む。ここで、複数の観測値とは、少なくとも監視対象又は属性のいずれかが複数となっている観測値のことである。なお、このデータは、一部の観測値が欠損したデータでもよい。
つまり、シーケンスデータは、複数の時間における複数の観測値を含むデータである。
<第1の実施形態>
以下、図面を参照して、第1の実施形態について説明する。
[構成の説明]
まず、第1の実施形態に係る情報処理装置100の構成について、図面を参照して説明する。
図1は、本発明における第1の実施形態に係る情報処理装置100の構成の一例を示すブロック図である。図1に示されているように、情報処理装置100は、定常パターン抽出部102と、差分生成部104と、ランダムパターン抽出部106とを含む。
定常パターン抽出部102は、シーケンスデータ(以下、「シーケンスデータX」、又は、単に「X」と示す場合もある)を取得する。
定常パターン抽出部102におけるシーケンスデータXの取得元は、任意である。例えば、定常パターン抽出部102は、図示しない外部の装置からシーケンスデータXを受信してもよい。あるいは、定常パターン抽出部102は、図示しない記憶部から、シーケンスデータXを読み出してもよい。
そして、定常パターン抽出部102は、シーケンスデータXを、シーケンスデータXにおけるタイムスタンプに基づいて複数のデータに分割する。以下、分割された各データを「サブデータ」と呼ぶ。
そして、定常パターン抽出部102は、分割したサブデータを積層したデータ(以下、テンソルと呼ぶ)を構築する。
このように、テンソルは、サブデータを積層して構築される。また、サブデータのオーダーは、シーケンスデータXのオーダーと同じである。そのため、構築されるテンソルのオーダーは、「シーケンスデータXのオーダー+1」となる。例えば、シーケンスデータXのオーダーがm次の場合、テンソルのオーダーは、m+1次となる。より具体的には、例えば、シーケンスデータXが行列の場合、mは「2」である。そのため、この場合、テンソルのオーダーは、「3=2+1」である。なお、このようなテンソルのデータ形式は、シーケンスデータが持っている時間的冗長性を、より明確に表現したデータ形式である。
なお、シーケンスデータ及びテンソルは、同様の観測値を含むデータの集合である。そこで、以下、シーケンスデータを「第1のデータ」と、テンソルを「第2のデータ」と呼ぶ場合もある。
定常パターン抽出部102は、このテンソルを対象として、時間的な定常性を持つ挙動のパターン(以下、「定常パターン(constant pattern)」と呼ぶ)を抽出する。以下の説明において、定常パターンを、「定常パターンP」、又は、単に「P」と示す場合もある。
シーケンスデータXは、観測値の組合せの集合である。定常パターンPは、シーケンスデータXにおける時間的な定常性を持つパターンである。ここで、パターンとは、観測値の組合せである。つまり、定常パターンPとは、シーケンスデータXにおける時間的な定常性を持つ観測値の組合せである。
具体的には、定常パターン抽出部102は、定常パターンPの抽出において、時間的な定常性を備えているデータに対応したパターンが抽出されるように制約を付したテンソル因子分解(tensor factorization)を用いる。
そして、定常パターン抽出部102は、定常パターンPを差分生成部104に送信する。
定常パターン抽出部102は、抽出した定常パターンPを図示しない外部の装置に出力してもよい。あるいは、定常パターン抽出部102は、抽出した定常パターンPを図示しない情報処理装置100の内部の処理部に送信してもよい。あるいは、定常パターン抽出部102は、抽出した定常パターンPを図示しない記憶部に保存してもよい。
差分生成部104は、シーケンスデータXから定常パターンPに対応する部分を取り除いた差分Δを抽出する。本実施形態の説明では、差分生成部104は、差分Δを、シーケンスデータXと同じ形式を用いて、抽出する。例えば、シーケンスデータXがm次のオーダーのテンソルの場合、差分Δはm次のオーダーのテンソルである。あるいは、シーケンスデータXが行列の場合、差分Δは行列である。ただし、差分生成部104は、他の形式を用いてもよい。
差分生成部104は、差分Δをランダムパターン抽出部106に送信する。
なお、差分生成部104は、定常パターン抽出部102と同様にシーケンスデータXを取得してもよい。あるいは、差分生成部104は、定常パターンPと同様に、定常パターン抽出部102からシーケンスデータXを受信してもよい。
ランダムパターン抽出部106は、差分Δを基に時間的な定常性を持たない観測値の組合せであるランダムパターン(random pattern)を抽出する。以下、ランダムパターンを、「ランダムパターンZ」、又は、単に「Z」と示す場合もある。
ランダムパターン抽出部106は、抽出したランダムパターンZを図示しない外部の装置に出力してもよい。あるいは、ランダムパターン抽出部106は、抽出したランダムパターンZを図示しない情報処理装置100の内部の処理部に送信してもよい。あるいは、ランダムパターン抽出部106は、抽出したランダムパターンZを図示しない記憶部に保存してもよい。
次に、図面を参照して、情報処理装置100の動作について説明する。
図2は、第1の実施形態に係る情報処理装置100の動作の一例を示すフローチャートである。
まず、定常パターン抽出部102は、シーケンスデータXを基に、テンソルを構築する(ステップS11)。詳細には、まず、定常パターン抽出部102は、シーケンスデータXにおけるタイムスタンプに基づいて、シーケンスデータXをサブデータに分割する。そして、定常パターン抽出部102は、分割したサブデータを積層して、テンソルを構築する。
図3は、シーケンスデータXの一例を示す図である。図3に示されているシーケンスデータXは、(src,day,msg)から構成されるタプル(tuple)から成る。なお、タプルとは、複数の構成要素(図3では、src、day、msg)からなる組の総称である。
図3において、srcは、監視対象、つまり、データの情報源(source)に関する情報である。例えば、srcは、ソースのアドレスである。例えば、シーケンスデータXがコンピュータ・ネットワークのログの場合、ソースのアドレスは、ソースのIP(Internet Protocol)アドレスである。
dayは、時間に関する情報、つまりタイムスタンプである。dayは、例えば、日付及び/又は時間である。
msgは、シーケンスデータXにおける属性の種類を示す情報である。例えば、msgは、所定のメッセージの種類(例えば、障害内容)の区別を示す情報である。
図3の場合、各セルは、それぞれのメッセージを何度受け取ったかを示している。例えば、図3の最も左の最上位のセルは、ソースsrc1が、タイムスタンプday1に受け取ったmsg1の回数である。
図3において、横線を付したセル及び網掛けを付したセルは、0でない値が入っていることを示している。ただし、図3において、回数は省略している。
さらに、図3において、横線を付したセルは、時間的な定常性を持つ挙動に対応したパターン(定常パターンP)を構成するセルである。網掛けを付したセルは、ランダムな挙動に対応したパターン(ランダムパターンZ)を構成するセルである。
ただし、第1の実施形態において、各セルは、事前に、定常パターンPとランダムパターンZとして把握されている必要はない。図3における区別は、以降の説明の分かりやすくするためである。また、以降の説明において、説明を分かりやすくするため、行列分解及びテンソル分解で生じる誤差等は、省略している。
なお、図3において、ソース及び属性は、1次元のデータとして示されている。ただし、これは説明の便宜のためである。本実施形態の具体的な処理においては、ソース及び/又は属性は、多次元のデータでもよい。
定常パターン抽出部102は、図3のシーケンスデータXを、時間情報day(タイムスタンプ)に基づいて、サブデータに分割する。
図4は、サブデータの一例を示す図である。図4に示されているように、サブデータは、時間情報day(タイムスタンプ)に関して分割されている。
さらに定常パターン抽出部102は、図4に示されているサブデータを、時間方向に積層することで、テンソルを構築する。
図5は、構築されたテンソルの一例を示す図である。
定常パターン抽出部102は、テンソルを基に、定常パターンPを抽出する(ステップS13)。詳細には、定常パターン抽出部102は、対象となるテンソルに対して、時間的な定常性を持つ挙動のパターンが抽出されるように制約を付したテンソル因子分解を用いる。
図6は、テンソル因子分解に基づいて得られたパターンの一例を示す図である。図6は、定常パターンPを左側に、ランダムパターンZを右側に示している。
図6は、パターンを分かりやすくするため、パターンをテンソルの各軸のグループに分けて示している。例えば、左端のパターンは、横方向のセルの集合であるmsg軸のデータと、縦方向のセルの集合であるsrc軸のデータと、斜めのセルの集合がday軸(タイムスタンプ、つまり時間軸)のデータとを含む。図6に示されているように、定常パターンPは、時間軸(斜めのセル)が密(データがある、又は、ほぼ全体にある状態)となっている。一方、ランダムパターンは、時間軸(斜めのセル)が疎(データがない、又は、ほとんどない状態)となっている。
図6に示されている定常パターンPを得るためのテンソル因子分解の具体例を説明する。
定常パターン抽出部102は、時間的な定常性を持つ挙動のパターンを抽出するため、制約としてスパース正則化を適用したテンソル因子分解を用いる。より具体的には、定常パターン抽出部102は、スパース正則化として、Group Lasso正則化を、テンソルのday軸(時間軸)に対して付加する。
Group Lasso正則化は、スパース正則化の一種であり、グループとして設定した変数の組を同時に0につぶす効果を持つ。この効果(変数の組を同時に0につぶす効果)は、組となっている変数が同程度に小さい値を持つときに生じる。換言すると、定常的な値の出現がグループとして設定した変数の組に所定回数以上ある場合、Group Lasso正則化において、そのグループの少なくとも一部の変数は、0につぶれない。また、定常性が高く常に値が出現する変数の組は、全てにおいて0につぶれない。
定常パターン抽出部102は、このようなGroup Lasso正則化をテンソル因子分解に付与することで、定常パターンPのグループと、ランダムパターンZのグループとに対して異なる効果を実現できる。具体的には、定常パターン抽出部102は、Group Lasso正則化を用いて、ランダムパターンZのグループの変数及びランダムに発生するノイズを0につぶす。すなわち、定常パターン抽出部102は、Group Lasso正則化を用いて、ランダムパターンZがパターンとして検出されないようにする。このとき、定常パターンPにおいても、多くの変数は、0につぶれる。しかし、定常パターンPにおいて、少なくとも一部の変数は、0につぶれない。
定常パターン抽出部102は、定常パターンPとして、常に0でない変数(非ゼロ変数)のパターンを抽出すればよい。ただし、定常パターン抽出部102が抽出するパターンは、上記に限定されない。例えば、定常パターン抽出部102は、定常パターンPとして、非ゼロ変数の出現回数、又は、非ゼロ変数の比率が所定の閾値より多いパターンを抽出してもよい。得られるパターンは、時間的な定常性を持つ挙動のパターン(定常パターンP)となる。
図7は、図6における定常パターンPの一例を示す図である。
Group Lasso正則化を用いた方法として、Soft−thresholdingが知られている。Soft−thresholdingを用いる場合、変数のグループgに属する値vのGroup Lasso正則化を用いたスパースとなる推定値(v)は、以下の数式1を用いて導出される。
[数式1]
Figure 0006806249
ここで、「(・)」は、「max(・,0)」である。つまり、「(・)」は、括弧内の値が正の場合、括弧内の値であり、括弧内の値が負の値の場合、0である。また、||・||は、L2ノルムである。λは、正則化の効果を決定するパラメータであり、予め設定されている値である。つまり、グループgのL2ノルムが所定の値より小さい場合、推定値(V)は、0となる。
続いて、差分生成部104が、サブデータと定常パターンPとの差分(以下、「個別差分Δ」と呼ぶ)を抽出する(ステップS15)。サブデータは、時間的に分割されたデータである。そのため、個別差分Δは、時間的に分割された差分である。
図8は、サブデータにおける個別差分Δの一例を示す図である。
続いて、差分生成部104は、個別差分Δに対して所定の処理を施して、シーケンスデータXと同じ形式(テンソルの形式)のデータである差分Δを生成する(ステップS17)。なお、シーケンスデータXが、図3に示すような行列の場合、この処理は、一般的に行列化(Matricization)と呼ばれる処理となる。差分Δは、シーケンスデータXと定常パターンPとの時間における差分である。
図9は、図8に示されている個別差分Δを行列化した差分Δを示す図である。
そして、ランダムパターン抽出部106が、差分Δを基にランダムパターンZを抽出する(ステップS19)。ランダムパターン抽出部106が用いる手法は、任意である。例えば、ランダムパターン抽出部106は、差分Δに対して、スパースとなる推定値を用いた行列分解、頻出アイテム集合抽出、又はクラスタリングなどの分析手法を用いて、ランダムパターンZを抽出する。ここで、行列分解は、例えば、特異値分解又は非負値行列分解(Non−negative Matrix Factorizaton)などである。
図10は、図9に示されている差分Δに対してスパースとなる推定値を用いた行列分解を適用した結果の一例を示す図である。ランダムパターン抽出部106は、差分Δを、二つの行列(UとV)に分割する。
図10において、行列Vは、ランダムパターンZの集合(PR1ないしPR4)である。行列Vの各行が、ランダムパターンZである。以下、各ランダムパターンZを区別して説明する必要がない場合、ランダムパターンZが複数(集合となる)場合を含めてランダムパターンZと呼ぶ。
また、行列Uは、ランダムパターンZの発現位置(図10ではsrc1ないし5)、時間(図10ではday1ないし5)、及び発現するランダムパターンZ(図10ではPR1ないし4)を示す。具体的には、行列Uの縦線を付したセルにおいて、ランダムパターンZが発現する。以下の説明では、行列Uを「発現情報」とも呼ぶ。
例えば、行列Uの3行目の発現情報は、ソースsrc3の時間day1において、3番目のランダムパターンZ(PR3)が発現したことを示す。
なお、図10において、rは、抽出されたランダムパターンZの数である。rは、データの属性数(例えば、図3の列数)及びテンソルのランク(階数)に依存する。図9に示されている差分Δは、属性として4つのmsgを持つ。そのため、ランダムパターンZの数(r)の最大は、「4」である。図10は、rの最大数までランダムパターンZを抽出した例を示している。ただし、rの値は、最大数に限られない。rの値は、予め、1以上最大数以下の任意の数が設定されていればよい。
なお、定常パターン抽出部102は、定常パターンPを抽出する。そのため、定常パターン抽出部102の対象となるデータ(今の場合、シーケンスデータX)は、時間的な冗長性を持っている必要がある。
これに対し、ランダムパターン抽出部106は、ランダムパターンZ(時間的な定常性を持たないデータに対応するパターン)を抽出する。そのため、ランダムパターン抽出部106の対象となるデータは、必ずしも時間的な冗長性を持っている必要はない。時間的な定常性を持たない挙動は、発現頻度が低く、発現位置も不規則になる場合が多い。そのため、ランダムパターン抽出部106の対象となるデータは、多くのタプルを含むデータであることが望ましい。そのため、ランダムパターン抽出部106は、差分Δに加え、他のデータを用いてもよい。
[効果の説明]
このように、第1の実施形態に係る情報処理装置100は、時間的な定常性を持つ挙動に対応したパターンと、ランダムな挙動に対応したパターンとを抽出するとの効果を得ることができる。
その理由は、次のとおりである。
定常パターン抽出部102が、複数の時間における複数の観測値を含むシーケンスデータX(第1のデータ)を基にシーケンスデータX(第1のデータ)を時間において積層したテンソル(第2のデータ)を構築する。そして、定常パターン抽出部102が、テンソル(第2のデータ)を基にシーケンスデータX(第1のデータ)における時間的な定常性を持つ観測値の組合せである定常パターンPを抽出する。そして、差分生成部104が、シーケンスデータX(第1のデータ)と定常パターンPとの時間における差分Δを生成する。そして、ランダムパターン抽出部106が、差分Δを基に時間的な定常性を持たない観測値の組合せであるランダムパターンZを抽出する。
このように、情報処理装置100において、まず、定常パターン抽出部102が、複数の時間における複数の観測値を含むシーケンスデータXを時間において積層したテンソルを構築する。そのため、構築されたテンソルにおいて、時間的な冗長性が、明確となっている。そして、定常パターン抽出部102は、テンソルを基に定常パターンPを抽出する。つまり、定常パターン抽出部102は、時間的な冗長性を明確となったテンソルを用いて定常パターンPを抽出するため、時間的な定常性を持つ挙動に対応した定常パターンPを抽出することができる。
そして、差分生成部104が、シーケンスデータXと定常パターンPとの時間的な差として差分Δを生成する。定常パターンPは、時間的な冗長性を用いて抽出されている。そのため、差分Δは、時間的な冗長性を考慮した結果として、時間的な定常性を持たないデータとなる。
そして、ランダムパターン抽出部106が、差分Δを用いて時間的な定常性を持たないランダムパターンZを抽出する。差分Δは、時間的な冗長性を考慮して生成されたデータである。そのため、ランダムパターン抽出部106は、時間的な冗長性を考慮した結果として、時間的な定常性を持たない挙動に対応したランダムパターンZを抽出することができる。
このように、情報処理装置100は、時間的な定常性を持つ挙動に対応した定常パターンPと、ランダムな挙動に対応したランダムパターンZとを抽出できる。
[ハードウェアの構成]
以上の説明した情報処理装置100は、次のように構成される。例えば、情報処理装置100の各構成部は、ハードウェア回路で構成されてもよい。あるいは、情報処理装置100において、各構成部は、ネットワークを介して接続した複数の装置を用いて構成されてもよい。あるいは、情報処理装置100は、複数の構成部を1つのハードウェアで構成されてもよい。
あるいは、情報処理装置100は、CPU(Central Processing Unit)と、ROM(Read Only Memory)と、RAM(Random Access Memory)とを含むコンピュータ装置として実現されてもよい。情報処理装置100は、上記構成に加え、さらに、入出力接続回路(IOC:Input and Output Circuit)を含むコンピュータ装置として実現されてもよい。あるいは、情報処理装置100は、上記構成に加え、さらに、ネットワークインターフェース回路(NIC:Network Interface Circuit)を含むコンピュータ装置として実現されてもよい。
図11は、情報処理装置100のハードウェアの構成の一例を示す情報処理装置600の構成を示すブロック図である。
情報処理装置600は、CPU610と、ROM620と、RAM630と、内部記憶装置640と、IOC650と、NIC680とを含み、コンピュータ装置を構成している。
CPU610は、ROM620からプログラムを読み込む。そして、CPU610は、読み込んだプログラムに基づいて、RAM630と、内部記憶装置640と、IOC650と、NIC680とを制御する。そして、CPU610を含むコンピュータ装置は、これらの構成を制御し、図1に示されている、定常パターン抽出部102と、差分生成部104と、ランダムパターン抽出部106としての各機能を実現する。
CPU610は、各機能を実現する際に、RAM630及び/又は内部記憶装置640を、プログラムの一時記憶として使用してもよい。
また、CPU610は、コンピュータで読み取り可能にプログラムを記憶した記録媒体700が含むプログラムを、図示しない記録媒体読み取り装置を用いて読み込んでもよい。あるいは、CPU610は、NIC680を介して、図示しない外部の装置からプログラムを受け取り、RAM630に保存して、保存したプログラムを基に動作してもよい。
ROM620は、CPU610が実行するプログラム及び固定的なデータを記憶する。ROM620は、例えば、P−ROM(Programmable−ROM)又はフラッシュROMである。
RAM630は、CPU610が実行するプログラムと、データ(例えば、前述した図4ないし図10に示されているパターンのデータ及び他の作業用のデータ)とを一時的に記憶する。RAM630は、例えば、D−RAM(Dynamic−RAM)である。
内部記憶装置640は、情報処理装置600が長期的に保存するデータ及びプログラムを記憶する。また、内部記憶装置640は、CPU610の一時記憶装置として動作してもよい。内部記憶装置640は、例えば、ハードディスク装置、光磁気ディスク装置、SSD(Solid State Drive)又はディスクアレイ装置である。
ここで、ROM620と内部記憶装置640は、不揮発性(non−transitory)の記録媒体である。一方、RAM630は、揮発性(transitory)の記録媒体である。そして、CPU610は、ROM620、内部記憶装置640、又は、RAM630に記憶されているプログラムを基に動作可能である。つまり、CPU610は、不揮発性記録媒体及び/又は揮発性記録媒体を用いて動作可能である。
IOC650は、CPU610と、入力機器660及び表示機器670とのデータを仲介する。IOC650は、例えば、IOインターフェースカード又はUSB(Universal Serial Bus)カードである。さらに、IOC650は、USBのような有線に限らず、無線を用いてもよい。
入力機器660は、情報処理装置600の操作者からの入力指示を受け取る機器である。入力機器660は、例えば、キーボード、マウス又はタッチパネルである。
表示機器670は、情報処理装置600の操作者に情報を表示する機器である。表示機器670は、例えば、液晶ディスプレイである。表示機器670は、定常パターンP及び/又はランダムパターンZを表示してもよい。
NIC680は、ネットワークを介した図示しない外部の装置とのデータのやり取りを中継する。NIC680は、例えば、LAN(Local Area Network)カードである。さらに、NIC680は、有線に限らず、無線を用いてもよい。NIC680は、定常パターン抽出部102の一部として、シーケンスデータXを受信してもよい。あるいは、NIC680は、定常パターン抽出部102及び/又はランダムパターン抽出部106の一部として、定常パターンP及び/又はランダムパターンZを出力してもよい。
このように構成された情報処理装置600は、情報処理装置100と同様の効果を得ることができる。
その理由は、情報処理装置600のCPU610が、プログラムに基づいて情報処理装置100と同様の機能を実現できるためである。
[システムの説明]
次に、図面を参照して、本実施形態の情報処理装置100を含む情報処理システム10について、説明する。
図12は、第1の実施形態に係る情報処理システム10の構成の一例を示す図である。情報処理システム10は、第1の実施形態に係る情報処理装置100と、監視対象200と、表示装置300とを含む。
監視対象200は、情報処理装置100が処理対象であるシーケンスデータXの提供元である。監視対象200は、任意である。例えば、監視対象200は、所定の工場でもよい。この場合、シーケンスデータXは、観測値として、工場内の各設備における属性(温度、圧力、流量、又は、振動など)を含む。あるいは、監視対象200は、複数のコンピュータを含むコンピュータ・ネットワークである。この場合、シーケンスデータXは、例えば、観測値として、ネットワークにおいて送信及び受信されるデータ(例えば、パケット)及びコンピュータの状態を含むログである。図12は、これらの場合を例示している。
情報処理装置100は、監視対象200からシーケンスデータXを取得する。そして、情報処理装置100は、上記の動作を基に、ランダムパターンZを抽出する。そして、情報処理装置100は、ランダムパターンZを表示装置300に送信する。
表示装置300は、受信したランダムパターンZを表示する。その結果、情報処理システム10の利用者は、時間的な定常性を持たない観測値のパターン(ランダムパターンZ)を把握することができる。
なお、情報処理装置100は、表示装置300に、他の情報、例えば、発現位置情報、定常パターンP、及び/又は、シーケンスデータXを送信してもよい。この場合、表示装置300は、ランダムパターンZに加え、発現情報、定常パターンP、及び/又は、シーケンスデータXを表示する。
例えば、表示装置300がランダムパターンZと定常パターンPとを表示した場合、情報処理システム10の利用者は、定常パターンPとの比較を基に、ランダムパターンZをより適切に把握することができる。
あるいは、例えば、表示装置300がランダムパターンZと発現情報とを表示した場合、情報処理システム10の利用者は、ランダムパターンZに加え、ランダムパターンZの発現位置及び時間、並びに、ランダムパターンZの種別を把握することができる。
なお、表示装置300は、情報処理装置100の外部の装置に限られず、情報処理装置100に含まれていてもよい。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成及び詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
10 情報処理システム
100 情報処理装置
102 定常パターン抽出部
104 差分生成部
106 ランダムパターン抽出部
200 監視対象
300 表示装置
600 情報処理装置
610 CPU
620 ROM
630 RAM
640 内部記憶装置
650 IOC
660 入力機器
670 表示機器
680 NIC
700 記録媒体

Claims (7)

  1. 複数の時間における複数の観測値を含む第1のデータを基に前記第1のデータを前記時間において積層した第2のデータを構築し、前記第2のデータを基に前記第1のデータにおける時間的な定常性を持つ前記観測値の組合せである定常パターンを抽出する定常パターン抽出手段と、
    前記第1のデータと前記定常パターンとの前記時間における差分を生成する差分生成手段と、
    前記差分を基に時間的な定常性を持たない前記観測値の組合せであるランダムパターンを抽出するランダムパターン抽出手段と
    含み、
    前記定常パターン抽出手段が、
    前記定常パターンの抽出において、スパース正則化を適用したテンソル分解を用い、さらに、
    前記スパース正則化としてGroup Lasso正則化を用いる
    情報処理装置。
  2. 前記定常パターン抽出手段が、
    前記時間を基に前記第1のデータをサブデータに分割し、前記サブデータを前記時間において積層したテンソルとして前記第2のデータを構築する
    請求項1に記載の情報処理装置。
  3. 前記差分生成手段が、
    前記サブデータと前記定常パターンとの差である個別差分を抽出し、前記個別差分を行列化して前記差分を生成する
    請求項2に記載の情報処理装置。
  4. 前記ランダムパターン抽出手段が、
    前記ランダムパターンの抽出において、スパースとなる推定値を用いる行列分解を用いる
    請求項1ないし3のいずれか1項に記載の情報処理装置。
  5. 複数の時間における複数の観測値を含む第1のデータを基に前記第1のデータを前記時間において積層した第2のデータを構築し、前記第2のデータを基に前記第1のデータにおける時間的な定常性を持つ前記観測値の組合せである定常パターンを抽出し、
    前記第1のデータと前記定常パターンとの前記時間における差分を生成し、
    前記差分を基に時間的な定常性を持たない前記観測値の組合せであるランダムパターンを抽出し、
    前記定常パターンの抽出において、スパース正則化を適用したテンソル分解を用い、さらに、
    前記スパース正則化としてGroup Lasso正則化を用いる
    情報処理方法。
  6. 複数の時間における複数の観測値を含む第1のデータを基に前記第1のデータを前記時間において積層した第2のデータを構築し、前記第2のデータを基に前記第1のデータにおける時間的な定常性を持つ前記観測値の組合せである定常パターンを抽出する処理と、
    前記第1のデータと前記定常パターンとの前記時間における差分を生成する処理と、
    前記差分を基に時間的な定常性を持たない前記観測値の組合せであるランダムパターンを抽出する処理と
    前記定常パターンの抽出する処理において、スパース正則化を適用したテンソル分解を用い、さらに、
    前記スパース正則化としてGroup Lasso正則化を用いる
    をコンピュータに実行させるプログラム。
  7. 請求項1ないし4のいずれか1項に記載の情報処理装置と、
    前記情報処理装置に前記第1のデータを送信する監視対象と、
    前記情報処理装置から前記ランダムパターンを受信して表示する表示装置と
    を含む情報処理システム。
JP2019524714A 2017-06-19 2017-06-19 情報処理装置、情報処理システム、情報処理方法、及びプログラム Active JP6806249B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020201209A JP7311480B2 (ja) 2017-06-19 2020-12-03 情報処理システム、及び、情報処理方法
JP2022140463A JP7468586B2 (ja) 2017-06-19 2022-09-05 情報処理装置、情報処理方法、及び、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2017/022442 WO2018235123A1 (ja) 2017-06-19 2017-06-19 情報処理装置、情報処理システム、情報処理方法、及び記録媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020201209A Division JP7311480B2 (ja) 2017-06-19 2020-12-03 情報処理システム、及び、情報処理方法

Publications (2)

Publication Number Publication Date
JPWO2018235123A1 JPWO2018235123A1 (ja) 2020-03-26
JP6806249B2 true JP6806249B2 (ja) 2021-01-06

Family

ID=64735568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019524714A Active JP6806249B2 (ja) 2017-06-19 2017-06-19 情報処理装置、情報処理システム、情報処理方法、及びプログラム

Country Status (3)

Country Link
US (2) US11422538B2 (ja)
JP (1) JP6806249B2 (ja)
WO (1) WO2018235123A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11521097B2 (en) * 2019-02-19 2022-12-06 International Business Machines Corporation Sparse modeling for optimizing sensor placement
JP7392845B2 (ja) * 2020-05-25 2023-12-06 日本電信電話株式会社 非定常変動検知装置、非定常変動検知方法及びプログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3596581B2 (ja) * 1997-09-10 2004-12-02 本田技研工業株式会社 オフラインティーチングにおけるツールの作業条件設定方法
DE112005003076B4 (de) * 2004-12-17 2020-09-03 Abb Schweiz Ag Verfahren zur Steuerung einer industriellen Automationsvorrichtung oder eines Prozesses
JP2010016044A (ja) * 2008-07-01 2010-01-21 Toshiba Corp 設計レイアウトデータ作成方法および半導体装置の製造方法
JP5431235B2 (ja) 2009-08-28 2014-03-05 株式会社日立製作所 設備状態監視方法およびその装置
JP5493644B2 (ja) 2009-09-24 2014-05-14 株式会社豊田中央研究所 ガス電池およびガス電池の使用方法
KR100949183B1 (ko) * 2010-01-06 2010-03-23 (주)지란지교소프트 윈도우 타이틀을 이용한 사용패턴 모니터링 방법 및 장치
JP5499900B2 (ja) 2010-05-25 2014-05-21 Jfeスチール株式会社 パターン自動抽出方法およびパターン自動抽出システム
WO2012133185A1 (ja) 2011-03-31 2012-10-04 独立行政法人理化学研究所 脳波解析装置、脳波解析方法、プログラム、及び記録媒体
US9026719B2 (en) * 2012-11-15 2015-05-05 Elwha, Llc Intelligent monitoring for computation in memory
JP5778305B2 (ja) 2014-03-12 2015-09-16 株式会社日立製作所 異常検知方法及びそのシステム
US9323599B1 (en) * 2015-07-31 2016-04-26 AppDynamics, Inc. Time series metric data modeling and prediction
EP3144814B1 (en) * 2015-09-16 2021-08-25 ARM Limited Method and apparatus for generating a profile of a target program
WO2017116627A1 (en) * 2016-01-03 2017-07-06 Presenso, Ltd. System and method for unsupervised prediction of machine failures
JP7215095B2 (ja) * 2018-11-09 2023-01-31 富士フイルムビジネスイノベーション株式会社 三次元形状データの生成装置、三次元造形装置、及び三次元形状データの生成プログラム
US11354222B2 (en) * 2019-06-27 2022-06-07 Capital One Services, Llc Discovery crawler for application dependency discovery, reporting, and management tool
US11341236B2 (en) * 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system

Also Published As

Publication number Publication date
US20210149374A1 (en) 2021-05-20
WO2018235123A1 (ja) 2018-12-27
US20220404805A1 (en) 2022-12-22
JPWO2018235123A1 (ja) 2020-03-26
US11853041B2 (en) 2023-12-26
US11422538B2 (en) 2022-08-23

Similar Documents

Publication Publication Date Title
US11895143B2 (en) Providing action recommendations based on action effectiveness across information technology environments
US11470103B2 (en) Anomaly alert system for cyber threat detection
AU2017221858B2 (en) Graph database analysis for network anomaly detection systems
EP2924579B1 (en) Event correlation
EP3304858B1 (en) System for monitoring and managing datacenters
US9575828B2 (en) Correctly identifying potential anomalies in a distributed storage system
US10103960B2 (en) Spatial and temporal anomaly detection in a multiple server environment
US10296739B2 (en) Event correlation based on confidence factor
JP2019061565A (ja) 異常診断方法および異常診断装置
US20180007578A1 (en) Machine-to-Machine Anomaly Detection
US20150205956A1 (en) Information processing apparatus, information processing method, and program
US11853041B2 (en) Anomaly detection device, anomaly detection method, and recording medium
US20170004026A1 (en) Monitoring method
JP7468586B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
US20150244598A1 (en) Remote monitoring of events on a network using localized sensors
JP2009111537A (ja) 通信関係構造変化による異常検出方法、装置、プログラム、および記録媒体
Cole et al. Distance Measures for Competitive Learning-based Anomaly Detection in Industrial Control Systems.
TW202001653A (zh) 通信分析裝置、通信分析方法、通信環境分析裝置、通信環境分析方法、及程式
CN117040921A (zh) 一种基于大数据的apt攻击识别方法、装置和电子设备
CN116909785A (zh) 异常事件的处理方法、装置、设备、存储介质和程序产品
Rajeev et al. Network Traffic Visualization Framework for Threat Prediction and Detection
JPWO2018216100A1 (ja) 行動分析システム、行動分析方法及び記録媒体
JP2008172401A (ja) 端末間通信パターン集約方法および分析方法ならびにそのプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191120

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201023

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201117

R150 Certificate of patent or registration of utility model

Ref document number: 6806249

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150