JP7188979B2 - 異常検知装置、異常検知方法および異常検知プログラム - Google Patents

異常検知装置、異常検知方法および異常検知プログラム Download PDF

Info

Publication number
JP7188979B2
JP7188979B2 JP2018207799A JP2018207799A JP7188979B2 JP 7188979 B2 JP7188979 B2 JP 7188979B2 JP 2018207799 A JP2018207799 A JP 2018207799A JP 2018207799 A JP2018207799 A JP 2018207799A JP 7188979 B2 JP7188979 B2 JP 7188979B2
Authority
JP
Japan
Prior art keywords
data
time
series data
fake
discriminator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018207799A
Other languages
English (en)
Other versions
JP2020071845A (ja
Inventor
秀平 浅野
基至 大木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2018207799A priority Critical patent/JP7188979B2/ja
Publication of JP2020071845A publication Critical patent/JP2020071845A/ja
Application granted granted Critical
Publication of JP7188979B2 publication Critical patent/JP7188979B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Testing And Monitoring For Control Systems (AREA)

Description

本発明は、異常検知装置、異常検知方法および異常検知プログラムに関する。
従来、大量の時系列データを取得し、普段と異なるふるまい、例えば、通信量の急な増加などの異常を検知する異常検知技術が知られている。時系列データの異常検知の例としては、工場のラインで動いているロボットの故障検知や、株価の暴騰のアラートなどが挙げられる。
また、時系列データに対する異常検知の手法としては、自己回帰モデル等のデータを予測する予測モデルを作成し、その予測結果と観測値との予測誤差を基に異常度を計算する手法が知られている。
特開2007-173907号公報
上記したような従来の予測モデルを用いて異常検知を行う手法では、精度よく異常検知を行うことができない場合があるという課題があった。例えば、ネットワークや株価のような揺らぎの大きい時系列データでは、精度の高い予測モデルを作成することが難しく、精度よく異常検知を行うことができない場合がある。
上述した課題を解決し、目的を達成するために、本発明の異常検知装置は、異常検知対象に関する時系列データを取得する取得部と、敵対的生成ネットワークにおける生成器によって前記時系列データを基に生成されたフェイクデータと前記時系列データとを識別するように学習された識別器を用いて、前記取得部によって取得された時系列データの識別結果を出力し、該識別結果に基づいて、前記時系列データの異常を検知する検知部とを有することを特徴とする。
また、本発明の異常検知方法は、異常検知装置によって実行される異常検知方法であって、異常検知対象に関する時系列データを取得する取得工程と、敵対的生成ネットワークにおける生成器によって前記時系列データを基に生成されたフェイクデータと前記時系列データとを識別するように学習された識別器を用いて、前記取得工程によって取得された時系列データの識別結果を出力し、該識別結果に基づいて、前記時系列データの異常を検知する検知工程とを含んだことを特徴とする。
また、本発明の異常検知プログラムは、異常検知対象に関する時系列データを取得する取得ステップと、敵対的生成ネットワークにおける生成器によって前記時系列データを基に生成されたフェイクデータと前記時系列データとを識別するように学習された識別器を用いて、前記取得ステップによって取得された時系列データの識別結果を出力し、該識別結果に基づいて、前記時系列データの異常を検知する検知ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、揺らぎが大きい時系列データの異常検知を精度よく行うことができるという効果を奏する。
図1は、第1の実施形態に係る異常検知装置の構成例を示すブロック図である。 図2は、生成器によってフェイクデータを生成して識別器に入力する処理例について説明する図である。 図3は、識別器によって入力データを識別する処理を説明する図である。 図4は、生成器および識別器を学習する処理を説明する図である。 図5は、識別器を用いて異常度を出力する処理を説明する図である。 図6は、第1の実施形態に係る異常検知装置における学習処理の流れの一例を示すフローチャートである。 図7は、第1の実施形態に係る異常検知装置における異常検知処理の流れの一例を示すフローチャートである。 図8は、第2の実施形態に係る異常検知装置の構成例を示すブロック図である。 図9は、参考データを入力して生成器および識別器を学習する処理を説明する図である。 図10は、参考データを入力して識別器を用いて異常度を出力する処理を説明する図である。 図11は、異常検知対象の時系列データがどのモードに属するかを踏まえた上で、異常度を出力する処理を説明する図である。 図12は、異常検知プログラムを実行するコンピュータを示す図である。
以下に、本願に係る異常検知装置、異常検知方法および異常検知プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る異常検知装置、異常検知方法および異常検知プログラムが限定されるものではない。
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る異常検知装置10の構成、異常検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[異常検知装置の構成]
まず、図1を用いて、異常検知装置10の構成を説明する。図1は、第1の実施形態に係る異常検知装置の構成例を示すブロック図である。図1に示すように、異常検知装置10は、ユーザ端末20とネットワーク30を介して接続されている。
ここでユーザ端末20は、例えば、デスクトップ型PC、タブレット型PC、ノート型PC、携帯電話機、スマートフォン、PDA(Personal Digital Assistant)等の情報処理装置である。
また、図1に示すように、この異常検知装置10は、通信処理部11、制御部12および記憶部13を有する。以下に異常検知装置10が有する各部の処理を説明する。
通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は、ユーザ端末20から時系列データおよび異常度の検知要求を受信する。また、通信処理部11は、ユーザ端末20に対して異常度の検知結果を送信する。なお、本実施形態では、異常検知装置10とユーザ端末20とがネットワーク30を介して通信を行う場合を例に説明しているが、これに限定されるものではなく、ユーザ端末20と接続することなく異常検知装置10がローカルな環境で動作してもよい。
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納し、時系列データ記憶部13aを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
時系列データ記憶部13aは、異常検知対象に関する時系列データを記憶する。時系列データ記憶部13aは、時系列データとして、例えば、銀行のサイトやニュースサイトにおけるネットワークトラフィックに関するデータや、工場や機器などに設置されたセンサのデータ(例えば、温度や圧力、音、振動等のデータ)などを記憶する。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部12a、学習部12bおよび検知部12cを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
制御部12の各機能部によって実行される処理は、敵対的生成モデルの機械学習を行う学習フェーズと、学習フェーズにおいて学習された敵対的生成モデルの識別器を用いて異常を検知する異常検知フェーズとに大別される。制御部12における学習部12bは、学習フェーズにおける処理を行う機能部であり、制御部12における検知部12cは、異常検知フェーズにおける処理を行う機能部である。
なお、第1の実施形態に係る異常検知装置10は、学習フェーズにおける学習処理および異常検知フェーズにおける異常検知処理の両方を行う装置として説明するが、これに限定されるものではなく、異常検知フェーズにおける異常検知処理のみを行うようにしてもよい。この場合には、異常検知装置10は、事前に機械学習処理が行われた敵対的生成モデルの識別器が予め設定されているものとする。
また、学習フェーズにおいては、例えば、ニューラルネットワークの一種である敵対的生成ネットワークであるGAN(Generative Adversarial Network)を利用し、生成器と識別器という二つのニューラルネットワークを組み合わせて学習が行われる。例えば、敵対的生成ネットワークでは、学習処理として、対象データが時系列データである場合には、生成器はランダムなフェイクデータを生成するようにするとともに、識別器は入力されたデータが本物の実測値データであるのか生成器が生成したフェイクデータであるのかを識別するように構築される。
ここで、図2を用いて、学習フェーズにおいて、生成器によってフェイクデータを生成して識別器に入力する処理の概要について説明する。図2は、生成器によってフェイクデータを生成して識別器に入力する処理例について説明する図である。図2に例示するように、異常検知装置10は、所定期間の時系列データ(例えば、0:00~0:59の時系列データ)をRNN(Recurrent Neural Network)に入力し、生成器に入力して時系列データの特徴量を得る。
そして、異常検知装置10は、時系列データの特徴量とランダムに生成されたノイズとを生成器に入力して所定時点のフェイクデータ(例えば、1:00のデータ)を生成し、該フェイクデータを識別器に入力する。識別器は、入力されたデータが本物の実測値データであるのか生成器が生成したフェイクデータであるのかを識別し、入力されたデータに対する正常らしさ、言い換えると異常らしさを出力する。例えば、識別器は、「0」~「1」の値を出力するように設定され、「1」に近いほど異常らしさが高く、「0」に近いほど正常らしさが高いものとする。そして、異常検知装置10は、識別器の識別結果が正解に近くなるように、生成器および識別器を最適化する。つまり、識別器は、フェイクデータが入力された場合には、異常度が高い値(1に近い値)を出力し、実測値データの場合が入力された場合には、異常度が低い値(「0」に近い値)を出力することができるように、学習により最適化する。
また、図3を用いて、異常検知フェーズにおいて、識別器によって入力データを識別する処理を説明する。図3は、識別器によって入力データを識別する処理を説明する図である。図3に例示するように、異常検知装置10は、所定期間の時系列データをRNNに入力し、生成器に入力して時系列データの特徴量を得る。
そして、異常検知装置10は、時系列データの特徴量と判定したい実測値データを、学習フェーズによって得られた識別器に入力し、識別結果を出力する。例えば、識別器は、異常度として、「0」~「1」の値を出力するように設定され、「1」に近いほど異常度が高く、「0」に近いほど異常度が低いものとする。なお、学習フェーズにおける学習処理および異常検知フェーズにおける異常検知処理については、後に図を用いて詳述する。以下では、各機能部について説明する。
取得部12aは、異常検知対象に関する時系列データを取得する。例えば、取得部12aは、ユーザ端末20から時系列データを取得し、取得した時系列データを時系列データ記憶部13aに格納する。取得部12aは、時系列データを定期的に取得するようにしてもよいし、まとめて取得するようにしてもよい。
ここで、時系列データとは、例えば、銀行のサイトやニュースサイトにおけるネットワークトラフィックに関するデータや、工場や機器などに設置されたセンサのデータ等どのようなデータであってもよい。また、例えば、取得部12aは、ユーザ端末20からではなく、通信機器やセンサからリアルタイム時系列データを取得するようにしてもよい。また、取得部12aは、取得した時系列データに対して、空値補完処理や正規化処理等の既存のデータ前処理を行うようにしてもよい。
学習部12bは、取得部12aによって取得された時系列データおよびノイズデータを入力として、生成器を用いてフェイクデータを生成し、該フェイクデータと実測値データとを識別器に入力して該フェイクデータと実測値データとを識別する。また、学習部12bは、識別結果を基に、実測値データに似ている前記フェイクデータを生成できるように生成器を最適化し、フェイクデータと実測値データの識別精度が向上できるように識別器を最適化する。
ここで、図4を用いて、生成器および識別器を学習する処理について説明する。図4は、生成器および識別器を学習する処理を説明する図である。図4に例示するように、学習部12bは、所定期間の時系列データ(図4の例では、Xt-w~Xt-1の期間の時系列データ)をRNNに入力し、生成器に入力して時系列データの特徴量を得る。そして、学習部12bは、時系列データの特徴量とランダムに生成されたノイズとを生成器に入力してX時点のフェイクデータを生成する。
そして、学習部12bは、時系列データの特徴量と、生成したX時点のフェイクデータと、X時点の実測値データとを順次識別器に入力する。ここで、識別器は、入力されたフェイクデータおよび実測値データがそれぞれ本物の実測値データであるのか生成器が生成したフェイクデータであるのかを識別する。例えば、識別器は、識別結果として、「0」~「1」の値を出力するように設定される。
そして、この学習部12bは、識別結果に基づいて、生成器および識別器を最適化する。つまり、学習部12bは、識別器が実測値データを正常と識別し、フェイクデータを異常と識別できるように識別器を最適化するとともに、生成器が実測値データらしいフェイクデータを生成できるように生成器を最適化する。
検知部12cは、敵対的生成ネットワークにおける生成器によって時系列データを基に生成されたフェイクデータと時系列データとを識別するように学習された識別器を用いて、取得部12aによって取得された時系列データの識別結果を出力し、該識別結果に基づいて、異常を検知する。
ここで、図5を用いて、識別器を用いて識別結果を異常度として出力する処理を説明する。図5は、識別器を用いて異常度を出力する処理を説明する図である。図5に例示するように、検知部12cは、Xt-w~Xt-1の期間の時系列データをRNNに入力し、生成器に入力して時系列データの特徴量を得る。そして、検知部12cは、Xt-w~Xt-1の期間の時系列データの特徴量と、Xの実測値データとを識別器に入力し、異常度を出力する。
そして、検知部12cは、識別器から出力された異常度の値が所定の閾値(例えば、0.6)以上であるか判定し、異常度の値が所定の閾値以上である場合には異常を検知し、ユーザ端末20に異常発生に関する警告を出力する。例えば、検知部12cは、警告サインとして、一定時間後に異常検知対象に異常が発生する可能性がある旨の警告メッセージを出力してもよいし、警告を報知する音を出力するようにしてもよい。
[異常検知装置の処理手順]
次に、図6および図7を用いて、第1の実施形態に係る異常検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る異常検知装置における学習処理の流れの一例を示すフローチャートである。図7は、第1の実施形態に係る異常検知装置における異常検知処理の流れの一例を示すフローチャートである。
まず、図6を用いて、異常検知装置10における学習処理の流れを説明する。図6に例示するように、取得部12aが、時系列データを取得すると(ステップS101肯定)、学習部12bは、時系列データを入力データとして、生成器を用いてフェイクデータを生成する(ステップS102)。例えば、学習部12bは、Xt-w~Xt-1の期間の時系列データの特徴量とランダムに生成されたノイズとを生成器に入力してX時点のフェイクデータを生成する。
そして、学習部12bは、実測値データとフェイクデータとを識別器を用いて識別する(ステップS103)。例えば、識別器は、入力されたフェイクデータおよび実測値データがそれぞれ本物の実測値データであるのか生成器が生成したフェイクデータであるのかを識別する。続いて、学習部12bは、識別結果に基づいて生成器および識別器を学習する(ステップS104)。例えば、学習部12bは、識別器が実測値データを正常と識別し、フェイクデータを異常と識別できるように識別器を最適化するとともに、生成器が実測値データらしいフェイクデータを生成できるように生成器を最適化する。
次に、図7を用いて、異常検知装置10における異常検知処理の流れを説明する。図7に例示するように、取得部12aが、時系列データを取得すると(ステップS201肯定)、検知部12cは、時系列データを入力データとして、学習部12bによって学習された識別器を用いて異常度を出力する(ステップS202)。
そして、検知部12cは、識別器から出力された異常度が所定の閾値以上であるか判定し(ステップS203)、異常度が所定の閾値以上でない場合には(ステップS203否定)、そのまま処理を終了する。また、検知部12cは、異常度の値が所定の閾値以上である場合には(ステップS203肯定)、時系列データの異常を検知する(ステップS204)。ここで、検知部12cは、異常を検知した場合には、例えばユーザ端末20に異常発生に関する警告を出力するようにしてもよい。
(第1の実施形態の効果)
第1の実施形態に係る異常検知装置10は、異常検知対象に関する時系列データを取得し、敵対的生成ネットワークにおける生成器によって時系列データを基に生成されたフェイクデータと時系列データとを識別するように学習された識別器を用いて、時系列データの識別結果を出力し、該識別結果に基づいて、時系列データの異常を検知する。これにより、異常検知装置10は、精度よく異常検知を行うことが可能である。
つまり、異常検知装置10は、過去の時系列データを用いて、敵対的生成ネットワークにおける生成器および識別器を学習し、学習した識別器を適用して、時系列データの異常を検知するので、データの予測誤差を計算することなく、時系列データの異常を検知することができる。
また、異常検知装置10は、学習時において、過去の時系列データを与えて識別器を学習することで、識別器が通常と異なる異常なデータを識別できるようにし、予測モデルの構築が困難な揺らぎが大きい時系列データに対しても、精度よく異常検知を行うことが可能である。つまり、従来では、ネットワークトラフィックや株価のような、揺らぎの大きい系列データでは、予測モデルを構築することが難しかった。第1の実施形態に係る異常検知装置10では、学習時において、過去の時系列データを与えて識別器を学習することで、識別器が通常と異なる異常なデータを識別できるようにし、予測モデルの構築が困難な揺らぎが大きい時系列データに対しても、精度よく異常検知を行うことが可能である。
[第2の実施形態]
上述した第1の実施形態では、異常検知装置10が、時系列データを用いて生成器および識別器を学習する場合を説明したが、これに限定されるものではなく、例えば、参考データとして、時系列データと同種のモードに属する過去の大量の時系列データをさらに用いて生成器および識別器を学習するようにしてもよい。
そこで、以下では、第2の実施形態に係る異常検知装置10Aが、異常検知対象となり得る時系列データと同種のモードに属する過去の時系列データをさらに用いて生成器および識別器を学習し、異常検知する際には、異常検知対象の時系列データがどのモードに所属しているかを踏まえた上で、異常検知を行う場合について説明する。つまり、第2の実施形態における学習フェーズでは、異常検知装置10Aが、異常検知対象となり得る複数のモードの時系列データと複数のモードの参考データを用いて、学習処理を行い、いずれかのモードに特化したモデルではなく、汎用的なモデルを学習して識別器を得る。言い換えると、異常検知装置10Aは、学習フェーズにおいて、複数のモードの時系列データを同時に使用して一つのモデルを学習する。また、同種のモードとは、同一のモードだけでなく、同一種別のモードも含むものとする。例えば、時系列データが銀行サイトのネットワークトラフィックデータ等である場合には、参考データとして、過去の銀行サイトのネットワークトラフィックデータだけでなく、別のネットワークトラフィックデータを用いてもよい。そして、第2の実施形態における異常検知フェーズでは、異常検知対象とする時系列データと、当該時系列データと同種のモードに属する過去の時系列データを識別器に入力して、異常検知しようとしているデータがどのモードに所属しているかを踏まえた上で、異常検知を行う。ここで、モードとは、例えば、銀行サイトのネットワークトラフィックに関するモードや、ニュースサイトのネットワークトラフィックに関するモード等がある。例えば、異常検知フェーズにおいて、異常検知対象の時系列データが銀行サイトのネットワークトラフィックデータである場合には、参考データとして、過去の銀行サイトのネットワークトラフィックデータを識別器に入力するものとする。なお、第1の実施形態に係る異常検知装置10と同様の構成や処理については説明を省略する。
図8を用いて、第2の実施形態に係る異常検知装置10Aの構成例について説明する。図8は、第2の実施形態に係る異常検知装置の構成例を示すブロック図である。図8に示すように、第2の実施形態に係る異常検知装置10Aは、第1の実施形態に係る異常検知装置10と比較して、参考データ記憶部13bを新たに有する点が異なる。
参考データ記憶部13bは、異常検知対象に関する過去の時系列データを記憶する。例えば、参考データ記憶部13bは、異常検知対象に関する過去の時系列データとして、過去1日分、1か月分、1年分等の大量の時系列データを記憶する。参考データ記憶部13bは、複数のモードについて、過去の時系列データをそれぞれ記憶する。つまり、参考データ記憶部13bは、例えば、銀行のサイトやニュースサイトにおけるネットワークトラフィックに関する過去の時系列データや、工場や機器などに設置されたセンサの時系列データ(例えば、温度や圧力、音、振動等のデータ)等を記憶する。なお、参考データ記憶部13bに記憶されるデータは、事前に格納されたデータであって、適宜更新可能なデータである。
取得部12aは、異常検知対象に関する時系列データを取得する。例えば、取得部12aは、一定期間、ユーザ端末20から複数のモードの時系列データを取得し、取得した時系列データを時系列データ記憶部13aに格納する。
学習部12bは、取得部12aによって取得された各モードの時系列データおよびノイズデータとともに、各時系列データと同種のモードの過去の時系列データを参考データとして生成器に入力してフェイクデータを生成し、該フェイクデータおよび実測値データとともに、参考データを識別器に入力して該フェイクデータと実測値データとを識別し、生成器および識別器を最適化する。
ここで、図9を用いて、参考データを入力して生成器および識別器を学習する処理を説明する。図9は、参考データを入力して生成器および識別器を学習する処理を説明する図である。図9に例示するように、学習部12bは、所定期間の時系列データ(図4の例では、Xt-w~Xt-1の期間の時系列データ)をRNNに入力し、生成器に入力して時系列データの特徴量を得る。そして、学習部12bは、時系列データの特徴量とランダムに生成されたノイズとともに、入力した時系列データと同種のモードの参考データを生成器に入力してX時点のフェイクデータを生成する。
そして、学習部12bは、時系列データの特徴量と、生成したX時点のフェイクデータと、X時点の実測値データととともに、時系列データと同種のモードの参考データを識別器に入力する。ここで、識別器は、入力されたデータが本物の実測値データであるのか生成器が生成したフェイクデータであるのかを識別する。そして、この学習部12bは、識別結果に基づいて、生成器および識別器を最適化する。つまり、学習部12bは、識別器が実測値データを正常と識別し、フェイクデータを異常と識別できるように最適化するとともに、生成器が実測値データらしいフェイクデータを生成できるように最適化する。また、学習部12bは、複数のモードについても、上記の学習処理を繰り返し行う。つまり、第2の実施形態における学習フェーズでは、学習部12bが、複数のモードの時系列データや参考データを用いて、学習処理を行うので、いずれかのモードに特化したモデルではなく、汎用的なモデルを作ることができる。
検知部12cは、取得部12aによって取得された検知対象の時系列データとともに、該検知対象の時系列データと同一モードの参考データを識別器に入力し、時系列データの異常度を出力し、該異常度に基づいて、異常を検知する。
ここで、図10を用いて、参考データを入力して識別器を用いて異常度を出力する処理を説明する。図10は、参考データを入力して識別器を用いて異常度を出力する処理を説明する図である。図10に例示するように、検知部12cは、Xt-w~Xt-1の期間の時系列データをRNNに入力し、生成器に入力して時系列データの特徴量を得る。そして、検知部12cは、Xt-w~Xt-1の期間の時系列データの特徴量と、Xの実測値データとともに、入力した時系列データと同一モードの参考データを識別器に入力し、異常度を出力する。これにより、識別器は、異常を検知しようとしているデータが、どのモードに所属しているかを踏まえた上で、異常検知を行うことができる。
例えば、図11に例示するように、検知部12cは、異常を検出したいA銀行の時系列データ(ネットワークトラフックデータ)を識別器に入力する場合には、参考データとして、A銀行の普段の時系列データも識別器に入力することで、そのモードに特化した異常検知を行うことが可能である。図11は、異常検知対象の時系列データがどのモードに属するかを踏まえた上で、異常度を出力する処理を説明する図である。また、識別器自体は全てのモードやデータを通して一つだけでよく、参考データを変えることで識別器の振る舞いを変えることが出来る。
このように、第2の実施形態に係る異常検知装置10Aでは、予測モデルの構築が困難な揺らぎの大きいモードの時系列データに対しても、異常度の計算を行うことが可能である。さらに、異常検知装置10Aでは、時系列データが属するモードの挙動を踏まえた異常検知ができることから、一つの識別器で、異なるモードに対して最適な異常検知を行うことが可能である。
従来では、異なるモード毎に異常検知モデルを用意した場合には、モードの数だけ異常検知モデルが必要となってしまう。つまり、従来では、挙動の異なる各モードについて、異常検知モデルを構築し、該異常検知モデルを用いて異常検知をそれぞれ行う場合には、モード毎に異常検知モデルを用意しなければならず、複数の異常検知モデルが必要となる。一方、従来では、全てのモードに同一の異常検知モデルを用いた場合には、精度がよく異常検知を行うことが困難であった。このため、従来では、全てのモードに適用できる異常検知モデルを構築することが困難であった。
これに対して、第2の実施形態に係る異常検知装置10Aでは、異常を検知したいモードと同種の時系列データおよび参考データを用いて、学習処理を行っているので、予測モデルの構築が困難な揺らぎの大きいモードの時系列データに対しても、異常度の計算を行うことが可能である。さらに、異常検知装置10Aでは、識別器に参考データを与えることで、時系列データが属するモードの挙動を踏まえた異常検知ができることから、一つの識別器で、異なるモードに対して最適な異常検知を行うことが可能である。
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUやGPUおよび当該CPUやGPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(プログラム)
また、上記実施形態において説明した異常検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る異常検知装置10が実行する処理をコンピュータが実行可能な言語で記述した異常検知プログラムを作成することもできる。この場合、コンピュータが異常検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる異常検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された異常検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
図12は、異常検知プログラムを実行するコンピュータを示す図である。図12に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図12に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図12に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図12に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図12に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図12に例示するように、例えばディスプレイ1130に接続される。
ここで、図12に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、異常検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10、10A 異常検知装置
11 通信処理部
12 制御部
12a 取得部
12b 学習部
12c 検知部
13 記憶部
13a 時系列データ記憶部
13b 参考データ記憶部
20 ユーザ端末
30 ネットワーク

Claims (3)

  1. 異常検知対象に関する時系列データを取得する取得部と、
    敵対的生成ネットワークにおける生成器によって前記時系列データを基に生成されたフェイクデータと前記時系列データとを識別するように学習された識別器を用いて、前記取得部によって取得された時系列データの識別結果を出力し、該識別結果に基づいて、前記時系列データの異常を検知する検知部と
    有し、
    前記取得部によって取得された時系列データおよびノイズデータを入力として、前記生成器を用いて前記フェイクデータを生成し、該フェイクデータと実測値データとを前記識別器に入力して該フェイクデータと前記実測値データとを識別し、識別結果を基に、前記実測値データに似ている前記フェイクデータを生成できるように前記生成器を最適化し、前記フェイクデータと前記実測値データの識別精度が向上できるように前記識別器を最適化する学習部をさらに有し、
    前記学習部は、前記取得部によって取得された各モードの時系列データおよびノイズデータとともに、各時系列データと同種のモードの過去の時系列データを参考データとして前記生成器に入力して前記フェイクデータを生成し、該フェイクデータおよび実測値データとともに、前記参考データを前記識別器に入力して該フェイクデータと前記実測値データとを識別し、前記生成器および前記識別器を最適化し、
    前記検知部は、前記取得部によって取得された検知対象の時系列データとともに、該検知対象の時系列データと同一モードの参考データを前記識別器に入力し、時系列データの識別結果を出力し、該識別結果に基づいて、異常を検知することを特徴とする異常検知装置。
  2. 異常検知装置によって実行される異常検知方法であって、
    異常検知対象に関する時系列データを取得する取得工程と、
    敵対的生成ネットワークにおける生成器によって前記時系列データを基に生成されたフェイクデータと前記時系列データとを識別するように学習された識別器を用いて、前記取得工程によって取得された時系列データの識別結果を出力し、該識別結果に基づいて、前記時系列データの異常を検知する検知工程と
    を含み、
    前記取得工程によって取得された時系列データおよびノイズデータを入力として、前記生成器を用いて前記フェイクデータを生成し、該フェイクデータと実測値データとを前記識別器に入力して該フェイクデータと前記実測値データとを識別し、識別結果を基に、前記実測値データに似ている前記フェイクデータを生成できるように前記生成器を最適化し、前記フェイクデータと前記実測値データの識別精度が向上できるように前記識別器を最適化する学習工程をさらに含み、
    前記学習工程は、前記取得工程によって取得された各モードの時系列データおよびノイズデータとともに、各時系列データと同種のモードの過去の時系列データを参考データとして前記生成器に入力して前記フェイクデータを生成し、該フェイクデータおよび実測値データとともに、前記参考データを前記識別器に入力して該フェイクデータと前記実測値データとを識別し、前記生成器および前記識別器を最適化し、
    前記検知工程は、前記取得工程によって取得された検知対象の時系列データとともに、該検知対象の時系列データと同一モードの参考データを前記識別器に入力し、時系列データの識別結果を出力し、該識別結果に基づいて、異常を検知することを特徴とする異常検知方法。
  3. 異常検知対象に関する時系列データを取得する取得ステップと、
    敵対的生成ネットワークにおける生成器によって前記時系列データを基に生成されたフェイクデータと前記時系列データとを識別するように学習された識別器を用いて、前記取得ステップによって取得された時系列データの識別結果を出力し、該識別結果に基づいて、前記時系列データの異常を検知する検知ステップと
    をコンピュータに実行させ
    前記取得ステップによって取得された時系列データおよびノイズデータを入力として、前記生成器を用いて前記フェイクデータを生成し、該フェイクデータと実測値データとを前記識別器に入力して該フェイクデータと前記実測値データとを識別し、識別結果を基に、前記実測値データに似ている前記フェイクデータを生成できるように前記生成器を最適化し、前記フェイクデータと前記実測値データの識別精度が向上できるように前記識別器を最適化する学習ステップをさらにコンピュータに実行させ、
    前記学習ステップは、前記取得ステップによって取得された各モードの時系列データおよびノイズデータとともに、各時系列データと同種のモードの過去の時系列データを参考データとして前記生成器に入力して前記フェイクデータを生成し、該フェイクデータおよび実測値データとともに、前記参考データを前記識別器に入力して該フェイクデータと前記実測値データとを識別し、前記生成器および前記識別器を最適化し、
    前記検知ステップは、前記取得ステップによって取得された検知対象の時系列データとともに、該検知対象の時系列データと同一モードの参考データを前記識別器に入力し、時系列データの識別結果を出力し、該識別結果に基づいて、異常を検知することを特徴とする異常検知プログラム。
JP2018207799A 2018-11-02 2018-11-02 異常検知装置、異常検知方法および異常検知プログラム Active JP7188979B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018207799A JP7188979B2 (ja) 2018-11-02 2018-11-02 異常検知装置、異常検知方法および異常検知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018207799A JP7188979B2 (ja) 2018-11-02 2018-11-02 異常検知装置、異常検知方法および異常検知プログラム

Publications (2)

Publication Number Publication Date
JP2020071845A JP2020071845A (ja) 2020-05-07
JP7188979B2 true JP7188979B2 (ja) 2022-12-13

Family

ID=70547912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018207799A Active JP7188979B2 (ja) 2018-11-02 2018-11-02 異常検知装置、異常検知方法および異常検知プログラム

Country Status (1)

Country Link
JP (1) JP7188979B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7392996B2 (ja) 2019-06-19 2023-12-06 金居開發股▲分▼有限公司 アドバンスド電解銅箔及びそれを適用した銅張積層板

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7453136B2 (ja) 2020-12-25 2024-03-19 株式会社日立製作所 異常検出装置、異常検出方法及び異常検出システム
KR102570576B1 (ko) * 2021-04-07 2023-08-25 엘아이지넥스원 주식회사 비지도 학습과 지도 학습을 이용한 고장 진단 방법 및 장치
CN117009751B (zh) * 2023-10-07 2024-05-07 南方电网数字电网研究院有限公司 基于自适应的时序数据清洗方法和装置
CN117952564B (zh) * 2024-03-22 2024-06-07 江西为易科技有限公司 一种基于进度预测的排程模拟优化方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LI Dan et al.,Anomaly Detection with Generative Adversarial Networks for Multivariate Time Series,arXiv.org [online],2018年10月09日,pp.1-10,[2022年4月26日検索], インターネット<URL : https://arxiv.org/abs/1809.04758v2>
ZENATI Houssam et al.,EFFICIENT GAN-BASED ANOMALY DETECTION,arXiv.org [online],2018年02月17日,pp.1-7,[2022年4月26日検索], インターネット<URL : https://arxiv.org/abs/1802.06222v1>

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7392996B2 (ja) 2019-06-19 2023-12-06 金居開發股▲分▼有限公司 アドバンスド電解銅箔及びそれを適用した銅張積層板

Also Published As

Publication number Publication date
JP2020071845A (ja) 2020-05-07

Similar Documents

Publication Publication Date Title
JP7188979B2 (ja) 異常検知装置、異常検知方法および異常検知プログラム
JP7223839B2 (ja) 異常検出および/または予知保全のためのコンピュータ実装方法、コンピュータプログラム製品およびシステム
AU2019201857B2 (en) Sparse neural network based anomaly detection in multi-dimensional time series
KR101903283B1 (ko) 발전 설비의 자동 진단 시스템 및 자동 진단 방법
US20200364387A1 (en) Operations and maintenance system and method employing digital twins
US11551111B2 (en) Detection and use of anomalies in an industrial environment
JP2022523563A (ja) 機械学習および人工知能を使用する、機械異常の近リアルタイム検出ならびに分類
US11532056B2 (en) Deep convolutional neural network based anomaly detection for transactive energy systems
CN112884092B (zh) Ai模型生成方法、电子设备及存储介质
JP2018185794A (ja) 送電網におけるサイバー脅威を検出するための複数モデル複数領域の特徴発見
JP2019012555A (ja) 人工知能モジュール開発システム及び人工知能モジュール開発統合システム
JPWO2017094267A1 (ja) 異常検出システム、異常検出方法、異常検出プログラム及び学習済モデル生成方法
US11580629B2 (en) System and method for determining situation of facility by imaging sensing data of facility
US20220191113A1 (en) Method and apparatus for monitoring abnormal iot device
CN114444074A (zh) 一种异常区块链节点检测方法及装置
CN116894211A (zh) 用于生成能由人类感知的解释性输出的系统及用于监控异常识别的方法和计算机程序
JP2019105871A (ja) 異常候補抽出プログラム、異常候補抽出方法および異常候補抽出装置
US20210080924A1 (en) Diagnosis Method and Diagnosis System for a Processing Engineering Plant and Training Method
WO2021178649A1 (en) An algorithmic learning engine for dynamically generating predictive analytics from high volume, high velocity streaming data
CN110770753B (zh) 高维数据实时分析的装置和方法
Al-Dahidi et al. A novel fault detection system taking into account uncertainties in the reconstructed signals
EP4283422A1 (en) Quality prediction system, model-generating device, quality prediction method, and quality prediction program
CN115278757A (zh) 一种检测异常数据的方法、装置及电子设备
JP7363889B2 (ja) 学習装置、学習方法、コンピュータプログラム及び記録媒体
JP6795448B2 (ja) データ処理装置、データ処理方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220701

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221201

R150 Certificate of patent or registration of utility model

Ref document number: 7188979

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150