JP7192155B1 - Anomaly detection server, anomaly detection system, and anomaly detection method - Google Patents
Anomaly detection server, anomaly detection system, and anomaly detection method Download PDFInfo
- Publication number
- JP7192155B1 JP7192155B1 JP2022041894A JP2022041894A JP7192155B1 JP 7192155 B1 JP7192155 B1 JP 7192155B1 JP 2022041894 A JP2022041894 A JP 2022041894A JP 2022041894 A JP2022041894 A JP 2022041894A JP 7192155 B1 JP7192155 B1 JP 7192155B1
- Authority
- JP
- Japan
- Prior art keywords
- log information
- abnormality
- unit
- communication device
- anomaly detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 104
- 238000004891 communication Methods 0.000 claims abstract description 153
- 230000005856 abnormality Effects 0.000 claims abstract description 94
- 230000007717 exclusion Effects 0.000 claims abstract description 56
- 230000004913 activation Effects 0.000 claims description 75
- 230000002123 temporal effect Effects 0.000 claims description 8
- 238000010801 machine learning Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 9
- 238000004458 analytical method Methods 0.000 description 6
- 238000000034 method Methods 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法は、ネットワークの異常を迅速に検知することを目的とする。【解決手段】本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。【選択図】図1An anomaly detection server, an anomaly detection system, and an anomaly detection method according to an embodiment of the present disclosure are intended to quickly detect network anomalies. An anomaly detection server according to an embodiment of the present disclosure includes an acquisition unit that acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network; Exclusion processing unit that excludes the startup log information from the target of abnormality detection when the cause of the communication device startup is not based on an abnormality, and the number of remaining startup log information that was not excluded by the exclusion processing unit is counted every predetermined period of time, an abnormality determination unit determines whether there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold value, and the determination result of the abnormality determination unit is output. and an output unit for outputting. [Selection drawing] Fig. 1
Description
本発明は、異常検知サーバ、異常検知システム、及び異常検知方法に関する。 The present invention relates to an anomaly detection server, an anomaly detection system, and an anomaly detection method.
これまでに、ネットワーク上の異常を検知した際に、その異常の内容について判定可能な通信解析方法が知られている(例えば、特許文献1)。特許文献1に記載された通信解析方法は、ネットワーク装置で発生した情報から、異常検知の対象となる条件情報に該当する解析対象情報を抽出し、抽出した解析対象情報に基づいて特徴量を生成し、特徴量に基づいて検知した検知結果に基づき、ネットワークで発生した異常の内容を判定するものである。
Conventionally, there is known a communication analysis method capable of determining the content of an anomaly when an anomaly is detected on a network (for example, Patent Document 1). The communication analysis method described in
しかしながら、特許文献1に記載の通信解析方法においては、ネットワークの異常を検知するための特徴量を新たに生成する必要があり、ネットワークの異常を検知するための工数が増加し、ネットワークで発生した異常を迅速に検知することが難しいという問題があった。
However, in the communication analysis method described in
本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法は、ネットワークまたは通信機器の異常を迅速に検知することを目的とする。 An anomaly detection server, an anomaly detection system, and an anomaly detection method according to an embodiment of the present disclosure aim to quickly detect an anomaly in a network or communication equipment.
本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。 An anomaly detection server according to an embodiment of the present disclosure includes an acquisition unit that acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network, and the acquired startup log information However, if the cause of the startup of the communication device is not based on an abnormality, an exclusion processing unit that excludes it from the targets of abnormality detection, and the number of remaining startup log information that has not been excluded by the exclusion processing unit is counted every predetermined period. an abnormality determination unit that determines whether there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold value; and an output unit that outputs the determination result of the abnormality determination unit. , is characterized by having
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、通信機器が起動された原因が予め判明している起動ログ情報を異常検知の対象から除外してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit may exclude activation log information in which the cause of activation of the communication device is known in advance from the targets of anomaly detection.
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、少なくとも、通信機器が強制的に起動された場合、通信機器のファームウエアが変更された場合、あるいは通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報を異常検知の対象から除外してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit performs at least when the communication device is forcibly started, when the firmware of the communication device is changed, or when the mode or band of the communication device is changed. The startup log information created when changed may be excluded from the targets of abnormality detection.
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、通信機器のユーザの生活習慣に基づいて作成された起動ログ情報を異常検知の対象から除外してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit may exclude activation log information created based on the lifestyle habits of the user of the communication device from the targets of anomaly detection.
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習することが好ましい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit generates the activation log information based on the lifestyle habits of the user based on the activation log information acquired over a predetermined period of time. The patterns are preferably learned by machine learning.
本開示の一実施形態に係る異常検知サーバにおいて、異常判断部は、平均的な値からの乖離度に基づいて異常の有無を判断してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the anomaly determination unit may determine the presence or absence of an anomaly based on the degree of deviation from the average value.
本開示の一実施形態に係る異常検知サーバにおいて、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部をさらに有してよい。 The anomaly detection server according to an embodiment of the present disclosure may further include a power outage anomaly estimating unit that estimates the presence or absence of an anomaly based on the power outage based on the boot log information acquired when the power outage occurs.
本開示の一実施形態に係る異常検知システムは、複数の通信機器、及び該複数の通信機器とネットワークを介して接続されたサーバを有する異常検知システムであって、複数の通信機器は、それぞれ、起動時に起動ログ情報を作成する起動ログ情報作成部と、起動ログ情報を送信する送受信部と、を有し、サーバは、複数の通信機器のそれぞれから、起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。 An anomaly detection system according to an embodiment of the present disclosure is an anomaly detection system having a plurality of communication devices and a server connected to the plurality of communication devices via a network, wherein each of the plurality of communication devices is The server has a startup log information creation unit that creates startup log information at startup and a transmission/reception unit that transmits the startup log information, and the server includes an acquisition unit that acquires the startup log information from each of the plurality of communication devices, If the acquired startup log information is not based on an abnormality, the exclusion processing unit that excludes it from the target of abnormality detection, and the remaining startup log information that was not excluded by the exclusion processing unit. an abnormality determination unit that determines whether there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold value; and the determination result of the abnormality determination unit. and an output unit for outputting.
本開示の一実施形態に係る異常検知方法は、取得部が、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得し、除外処理部が、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外し、計数部が、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数し、異常判断部が、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断し、出力部が、異常判断部の判断結果を出力することを特徴とする。 In an anomaly detection method according to an embodiment of the present disclosure, an acquisition unit acquires startup log information, which is log information created at the time of startup, from each of a plurality of communication devices via a network, and an exclusion processing unit , if the acquired startup log information is not based on an abnormality that caused the communication device to start up, it is excluded from the object of abnormality detection, and the counting unit detects the remaining startup log information that has not been excluded by the exclusion processing unit. is counted for each predetermined period, and the abnormality determination unit compares the counted number of startup log information with a predetermined threshold value to determine whether or not there is an abnormality in the network, and the output unit outputs the error determination unit. It is characterized by outputting a judgment result.
本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法によれば、ネットワークまたは通信機器の異常を迅速に検知することができる。 According to an anomaly detection server, an anomaly detection system, and an anomaly detection method according to an embodiment of the present disclosure, it is possible to quickly detect an anomaly in a network or communication device.
以下、図面を参照して、本発明に係る異常検知サーバ、異常検知システム、及び異常検知方法について説明する。ただし、本発明の技術的範囲はそれらの実施の形態には限定されず、特許請求の範囲に記載された発明とその均等物に及ぶ点に留意されたい。 Hereinafter, an anomaly detection server, an anomaly detection system, and an anomaly detection method according to the present invention will be described with reference to the drawings. However, it should be noted that the technical scope of the present invention is not limited to those embodiments, but extends to the invention described in the claims and equivalents thereof.
まず、本開示の実施例1に係る異常検知システムの概要について説明する。図1に本開示の一実施形態に係る異常検知システム1000の構成概略図を示す。異常検知システム1000は、複数の通信機器20、及び複数の通信機器20とネットワーク30を介して接続された異常検知サーバ(以下、単に「サーバ」という。)10を有する。
First, an overview of the anomaly detection system according to the first embodiment of the present disclosure will be described. FIG. 1 shows a schematic configuration diagram of an
複数の通信機器20は、例えば、WiFiルータ20a、固定電話用通信機器20b、及びブロードバンドルータ20cである。ただし、通信機器20は、これらの例には限定されない。
The
複数の通信機器20は、複数の端末40との間で通信を行う。端末40は、例えば、スマートフォン等の携帯端末、デスクトップパソコンやノートパソコン等のコンピュータ、及び固定電話等である。
A plurality of
通信機器20が起動(再起動)すると、起動が行われたことを示す情報である「起動ログ情報」が作成され、サーバ10へ送信される。サーバ10は、起動ログ情報を収集することにより、いつ、どの通信機器が再起動されたのかを認識することができる。
When the
図2に、本開示の一実施形態に係る異常検知システム1000を用いて検出された起動ログ情報の数の経時的変化の例を示す。図2に示した例では、2月2日の12時頃に起動ログ情報の数が急増しており、何らかの異常が生じていることが推測される。しかしながら、通信機器20の再起動がサーバ10側からの遠隔操作により行われた場合等、通信機器20が再起動された原因が判明している場合は、異常検知の対象ではないものとして、その件数を検出された起動ログ情報の数から除外する必要がある。本開示の一実施形態に係る異常検知システム1000は、起動ログ情報の数を解析することにより、ネットワーク30または通信機器20の異常の有無を判断するものである。
FIG. 2 shows an example of temporal changes in the number of boot log information detected using the
通信機器20が再起動されるケースとして、再起動の原因が判明しているケースと、再起動の原因が判明していないケースがある。再起動の原因が判明しているケースとしては、通信機器を駆動するためのアプリケーションソフトの更新等のために遠隔操作により意図的に再起動させる場合や、ファームウエアの更新後に、ユーザが操作して通信機器20を再起動させる場合等がある。また、通信のモードやバンドが変更された場合にも、ユーザが通信機器20を再起動させる場合がある。これらの場合においては、アプリケーションソフトの更新やファームウエアの更新等は、サーバ10側等で管理しているため、通信機器20が再起動する原因は予め判明していることになる。
As a case where the
通信機器20の再起動の原因が判明していないケースには、ネットワークや通信機器の異常に基づいて再起動が行われるケースと、ネットワークや通信機器は正常に動作していても再起動が行われるケース、即ち、通信機器が起動された原因が異常に基づくものではないものと推定されるケースがある。なお、再起動の原因が判明していないケースには、ネットワーク管理者にとって再起動の原因の把握が困難なケースを含む。例えば、通信機器内に何らかの異常が発生して、内蔵されたウォッチドッグタイマの動作により通信機器が自動停止した場合、通常、ウォッチドッグタイマが動作したことを示す信号は通信機器の外部には出力されず、かつネットワーク管理者がすべての通信機器のウォッチドッグタイマの仕様を事前に詳細に把握しておくことは困難なため、再起動の原因が判明していないケースに該当する。
Cases in which the cause of the restart of the
ネットワークや通信機器は正常に動作していても再起動が行われるケースとして、ユーザが、端末40を使用していない場合には通信機器20の電源をOFFして、端末40の使用時に電源をONするケースがある。このように、ユーザが通信機器20の電源をONさせた場合に起動ログが作成され、起動ログ情報がサーバ10に送信される。例えば、ユーザは朝9時ごろに職務で使用する端末40を使用するために通信機器20の電源をONする場合が考えられる。また、ユーザは帰宅後に自宅の端末40を使用するために自宅の通信機器20の端末の電源をONする場合が考えられる。そのため、これらの場合にサーバ10が通信機器20から取得する起動ログ情報の数の時間的変化は、ユーザの生活リズムを反映したパターンとなることが推定される。このようにユーザの生活パターンに基づいて作成された起動ログ情報は、ネットワークや通信機器の異常が原因で作成されたものではないため、異常検知の対象とはならないものとして、サーバ10が通信機器20から取得した起動ログ情報から除外する必要がある。
As a case where a restart is performed even if the network and communication equipment are operating normally, the user turns off the power of the
以上の起動ログ情報は、予め通信機器20の起動の原因が判明しているもの、あるいは、通信機器20が起動された原因が異常に基づくものではないものと推定されるものである。このような起動ログ情報とは別に所定数以上の起動ログ情報をサーバ10が通信機器20から受信した場合は、ネットワーク30または通信機器20に何らかの異常が生じていることが推定される。
The activation log information described above indicates that the cause of activation of the
ネットワーク30または通信機器20に何らかの異常が生じると、ユーザ自身が通信機器20の再起動を行うと考えられる。例えば、ネットワークにおいて遅延が生じたり、通信速度が低下したりした場合には、通信機器20を再起動させることで解消する場合もあるため、ユーザは再起動を試みると考えられる。
It is conceivable that the user himself/herself restarts the
その他、通信機器20は、一般的に、端末40とは異なり、コンセントから電源を取っている場合が多い。そのため、例えば、停電等により電力の供給が停止した場合、通信機器20は動作を停止し、その後、電力が復帰すると、通信機器20は起動(再起動)される。
In addition, unlike the
本開示の実施形態に係る異常検知システム1000は、このような原因不明の起動ログ情報を検知し、通信機器20の異常を検出するものである。サーバ10は通信機器20から起動ログ情報を取得し、取得した起動ログ情報から通信機器20が起動された原因が異常に基づくものではない起動ログ情報を除外した残りの起動ログ情報の数を所定の基準値と比較することにより、ネットワーク30または通信機器20の異常の有無を迅速に判断することができる。
The
(通信機器)
次に、本開示の実施例1に係る異常検知システムを構成する通信機器20について説明する。図3に、通信機器20の構成ブロック図を示す。通信機器20は、送受信部21と、制御部22と、起動ログ情報作成部23と、記憶部24と、を有する。
(Communication equipment)
Next, the
送受信部21は、ネットワーク30を介してサーバ10との間でデータの送受信を行うとともに、端末40との間で通信を行う。特に、送受信部21は、サーバ10に対して起動ログ情報を送信する。
The transmitting/receiving
制御部22は、CPU等のプロセッサにより記憶部24に記憶されたプログラムを実行することにより、通信機器20の動作を制御する。
The
起動ログ情報作成部23は、通信機器20の起動時に起動ログ情報を作成する。起動ログ情報の詳細については後述する。
The activation log
記憶部24は、半導体メモリ等の記憶装置である。記憶部24は、通信機器20を制御するためのプログラムを記憶している。
The
(異常検知サーバ)
次に、本開示の実施形態に係る異常検知サーバについて説明する。図1に示すように、異常検知サーバ10は、制御部11と、送受信部6と、記憶部7と、計時部8と、表示部9と、出力部5と、を有し、これらはバス12により接続されている。
(anomaly detection server)
Next, an anomaly detection server according to an embodiment of the present disclosure will be described. As shown in FIG. 1, the
送受信部6は、ネットワーク30を介して通信機器20との間でデータの送受信を行う。特に、送受信部6は、通信機器20から起動ログ情報を取得する。
The transmitting/receiving unit 6 transmits/receives data to/from the
記憶部7は、半導体メモリやハードディスク等の記憶装置である。記憶部7は、通信機器20から受信した起動ログ情報を記憶する。さらに、記憶部7は、サーバ10を制御するためのプログラムを記憶している。
The
計時部8は、現在時刻を出力するモジュールである。送受信部6が通信機器20から起動ログ情報を受信した日時は、計時部8から取得された現在時刻に基づいて設定され、起動ログ情報と共に記憶部7に記憶されてよい。
The
表示部9は、液晶表示装置や有機EL表示装置等の表示装置である。表示部9は、出力部5から出力された通信機器20及びネットワーク30の異常検知結果を表示する。
The
出力部5は、通信機器20またはネットワーク30の異常検知結果を、送受信部6を介して、通信機器20、又はネットワーク管理者等に異常検知を通知するための機器に出力するようにしてよい。
The
制御部11は、取得部1と、除外処理部2と、計数部3と、異常判断部4と、を有し、これらは、サーバ10に設けられたCPU等のプロセッサにより記憶部7に記憶されたプログラムを実行することにより実現される。
The
取得部1は、ネットワーク30を介して、複数の通信機器20のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する。起動ログ情報には、起動ログ情報を送信した通信機器の識別番号、及び通信機器20が再起動された原因が判明している場合には、その原因に関する情報が含まれてよい。例えば、アプリケーションソフトの更新等のために遠隔操作により再起動する場合、及びファームウエアの更新後や通信のモードやバンドが変更された場合等において、通信機器20が再起動されたときに、その原因に関する情報が起動ログ情報に含まれてよい。
The
図4に、本開示の一実施形態に係る異常検知システム1000において、サーバ10が通信機器20から取得した起動ログ情報の一覧表100の例を示す。起動ログ情報の一覧表100には、区間101、ID102、通信機器の種別103、取得時刻104、再起動の原因105、除外対象フラグ106、積算値107のそれぞれの情報が含まれてよい。
FIG. 4 shows an example of a
区間101は、例えば、起動ログ情報の取得を30分ごとに集計する場合に、1日の何番目の区間に相当するかを示すものである。図4に示した例では、ある日の0時0分0秒(00:00:00)から30分間の区間101を「区間1」とし、その次の30分間の区間101を「区間2」とする例を示している。ただし、起動ログ情報を集計する期間は、30分間には限定されず、任意の期間に設定してよい。
The
ID102は、取得した起動ログ情報の識別番号である。例えば、時刻「00:00:05」に最初の起動ログ情報を取得した場合は、その起動ログ情報のID102を「0001」としてよい。その後に取得した起動ログ情報のID102には連続した番号を付してよい。例えば、図4に示した例では区間101が「1」の区間では、合計210個の起動ログ情報を取得したことを示している。
ID102 is the identification number of the acquired activation log information. For example, when the first activation log information is obtained at time "00:00:05", the
通信機器の種別103は、起動ログ情報を送信した通信機器の種別を示してよい。例えば、図4に示した例では、最初(ID「0001」)にWiFiルータ20aから起動ログ情報を取得し、2番目(ID「0002」)に固定電話用通信機器20bから起動ログ情報を取得し、3番目(ID「0003」)にブロードバンド(BB)ルータ20cから起動ログ情報を取得した例を示している、ただし、このような例には限られず、通信機器の種別だけでなく、固有の機種識別番号や通信機器20が設置された位置に関する情報等を起動ログ情報に含めて取得するようにしてよい。
The
取得時刻104は、送受信部6が通信機器20から起動ログ情報を受信した際に、計時部8から取得された現在時刻に基づいて設定されてよい。
The
再起動の原因105は、再起動の原因が予め判明している場合はその原因を記録し、予め判明している原因に該当しない場合は、空欄(図4では「---」と表示)としてよい。例えば、ID「0001」の起動ログ情報をWiFiルータ20aから取得する直前に、リモート操作でWiFiルータ20aを再起動させた場合には、再起動の原因105を「リモート操作による再起動」としてよい。また、ID「0003」の起動ログ情報をBBルータ20cから取得する前に、ファームウエアの更新がなされた場合には、ユーザがBBルータ20cを再起動させたものと推定されるため、再起動の原因105を「ファームウエアの更新後の再起動」としてよい。再起動の原因が予め判明していない場合には、ユーザの通常の生活習慣に基づいて通信機器が再起動された場合(通信機器20が起動された原因が異常に基づくものではないものと推定される場合)と、通信機器に異常が生じて再起動された場合が含まれると推定される。
For the cause of
(異常検知の対象外の起動ログ情報の除外方法)
除外処理部2は、取得した起動ログ情報が、通信機器20が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する。除外処理部2は、通信機器20が起動された原因が予め判明している起動ログ情報を除外してよい。図1に示すように、除外処理部2は、第1除外処理部2aと、第2除外処理部2bと、を備えてよい。
(Method of excluding startup log information not subject to anomaly detection)
If the acquired activation log information does not indicate that the
第1除外処理部2aは、少なくとも、通信機器20が強制的に起動された場合、通信機器20のファームウエアが変更された場合、あるいは通信機器20のモードまたはバンドが変更された場合に作成された起動ログ情報を除外してよい。上述したように、これらの起動ログ情報は、作成された原因が判明しているため、ネットワークの異常に起因したものではないものと判断することができるため、異常検知の対象とする起動ログ情報から除外するものである。ただし、これらに限られず、作成された原因が判明している起動ログ情報であれば、異常検知の対象から除外してよい。
The first
このように、除外処理部2は、取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報である場合は、異常検知の対象から除外する。例えば、図4に示すように、IDが「0001」及び「0003」の起動ログ情報は、再起動の原因が判明してため、除外対象フラグ106を立てて、除外する起動ログ情報であることを明示してよい。
In this manner, the
上記のようにして所定期間内に集計された起動ログ情報から、作成された原因が判明している起動ログ情報が除外されたものには、ネットワークまたは通信機器の異常に基づいて再起動された際に作成された起動ログ情報と、ユーザの生活習慣に基づいて通信機器が再起動された際に作成された起動ログ情報(通信機器20が起動された原因が異常に基づくものではないものと推定される起動ログ情報)とが含まれる。
From the boot log information aggregated within a predetermined period as described above, the boot log information whose cause is known is excluded. and boot log information created when the communication device is restarted based on the user's lifestyle habits (assuming that the cause of the
そこで、第2除外処理部2bは、通信機器20のユーザの生活習慣に基づいて作成された起動ログ情報を除外してよい。
Therefore, the second
図5に、本開示の一実施形態に係る異常検知システムにおいて、サーバ10が通信機器20から取得する起動ログ情報のうち、ユーザの生活習慣に基づく起動ログ情報の数と時間との関係を表すグラフの例を示す。曲線Lwは平日における起動ログ情報の数の時間的変化を表し、曲線Lhは休日における起動ログ情報の数の時間的変化を表している。
FIG. 5 shows the relationship between the number of pieces of boot log information based on the user's lifestyle habits and time among the boot log information acquired by the
平日においては、曲線Lwで示すように、ユーザは午前9時ごろに職務で使用する端末40を使用するために通信機器20の電源をONする場合が多いと考えられるため、起動ログ情報の数が午前9時ごろに第1のピークP1を示す。また、ユーザは帰宅後に自宅の端末40を使用するために自宅の通信機器20の端末の電源をONする場合が多いと考えられるため、起動ログ情報の数が18時ごろに第2のピークP2を示す。
On weekdays, as indicated by the curve Lw, it is thought that the user often turns on the power of the
一方、休日においては、曲線Lhで示すように、ユーザは平日より遅い時間帯に端末40の操作を行うために通信機器20を起動させ、曲線Lwよりなだらかに起動ログ情報の数が増加する。このように、ユーザの生活習慣に基づいて作成される起動ログ情報は、平日と休日とでは異なった変化を呈すると考えられる。
On the other hand, on holidays, as indicated by curve Lh, the user activates the
除外処理部2は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習してよい。このような構成とすることにより、平日及び休日のそれぞれにおける起動ログ情報の数を所定の期間に渡って収集し、機械学習や統計処理によって、通常作成されると予想される起動ログ情報の数を推定することができる。
The
以上のようにして、所定の期間に渡って取得した起動ログ情報から、第1除外処理部2a及び第2除外処理部2bによって除外された残り(残渣)の起動ログ情報がネットワークまたは通信機器の異常に起因して作成された起動ログ情報であると判断することができる。
As described above, the remaining (residual) boot log information excluded by the first
計数部3は、除外処理部2の第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数を所定期間毎に計数する。例えば、図4において、区間「1」において、ID「0001」の起動ログ情報は、再起動された原因が予め判明している起動ログ情報であるため、異常検知の対象からは除外され、積算値には含めず、積算値107は「0」となる。一方、ID「0002」の起動ログ情報は、再起動された原因が予め判明していない起動ログ情報であるため、異常検知の対象に含めるため、積算されて積算値107は「1」となる。また、ID「0003」の起動ログ情報は、再起動された原因が予め判明している起動ログ情報であるため、異常検知の対象からは除外され、積算値には含めず、積算値107は「1」のままとなる。
The
以下、同様にして、異常検知の対象となる起動ログ情報の積算を所定期間毎に行う。図4に示した例では、区間「1」において、210個の起動ログ情報を取得し、第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数が、異常検知の対象となる起動ログ情報の数であり、図4においては38個であった例を示している。なお、次の区間「2」は、積算値の初期値を「0」にリセットしてから積算を開始してよい。なお、積算値は、所定期間における通信機器の種別ごとに積算して求めてもよい。
Thereafter, in the same way, the startup log information that is the target of abnormality detection is accumulated every predetermined period. In the example shown in FIG. 4, 210 pieces of boot log information are acquired in section "1", and the number of remaining boot log information not excluded by the first
サーバ10が、所定期間において、複数の通信機器20から取得した起動ログ情報の総数をSt、第1除外処理部2a及び第2除外処理部2bが除外する起動ログ情報をそれぞれS1、S2とすると、異常検知の対象とする起動ログ情報の数Saは、Sa=St-S1-S2により算出される。
Let St be the total number of activation log information acquired from the plurality of
異常判断部4は、上記のようにして計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークまたは通信機器の異常の有無を判断する。 The abnormality determination unit 4 determines whether or not there is an abnormality in the network or communication equipment by comparing the number of pieces of boot log information counted as described above with a predetermined threshold value.
例えば、図4に示した例では、区間「1」において集計された異常検知の対象となる起動ログ情報の数は38個であるが、これは、区間「1」において取得した全ての起動ログ情報の数である210個の中から、第1除外処理部2a及び第2除外処理部2bにより、通信機器が起動された原因が異常に基づくものではない起動ログ情報を除外したものである。
For example, in the example shown in FIG. 4, the number of pieces of boot log information to be aggregated for anomaly detection in section "1" is 38. From the 210 pieces of information, the first
図6に、本開示の一実施形態に係る異常検知システムにおいて、取得した起動ログ情報の数を正規分布に当てはめた場合の例を示すグラフを示す。横軸は異常検知の対象となる起動ログ情報の数であり、縦軸は確率分布である。図6は平均値が20、標準偏差σが5である例を示している。上記の例では、異常検知の対象となる起動ログ情報の数が38個であり、平均値から3σの範囲の上限である35個を閾値とすると、38個という数値は閾値を超えているために異常と判断することができる。このように、異常判断部4は、平均的な値からの乖離度に基づいて異常の有無を判断してよい。 FIG. 6 shows a graph showing an example of a case where the number of acquired boot log information is applied to a normal distribution in the anomaly detection system according to an embodiment of the present disclosure. The horizontal axis is the number of boot log information items to be detected for anomalies, and the vertical axis is the probability distribution. FIG. 6 shows an example in which the average value is 20 and the standard deviation σ is 5. In the above example, the number of boot log information items to be detected for anomalies is 38, and if the threshold is 35, which is the upper limit of the range from the average value to 3σ, the numerical value of 38 exceeds the threshold. can be judged to be abnormal. In this way, the abnormality determination unit 4 may determine whether there is an abnormality based on the degree of deviation from the average value.
出力部5は、異常判断部4の判断結果を出力する。例えば、出力部5は、表示部9に異常判断部4の判断結果を出力する。図7に、本開示の一実施形態に係る異常検知システムを用いて検出された各通信機器ごとの異常検知結果の出力例を示す。一例として、2022年3月11日11:00現在におけるサービス異常発生件数の累計を示す。サービス異常発生件数を示す表200には、サービス名201、WiFiルータでの異常発生件数202、固定電話用通信機器での異常発生件数203、BBルータでの異常発生件数204が示されている。
The
ネットワーク30の管理者は、表200を参照することにより、どの通信機器において異常が発生しているかを迅速に把握することができる。
By referring to the table 200, the administrator of the
次に、本開示の実施形態に係る異常検知方法について説明する。図8に、本開示の一実施形態に係る異常検知システムの動作手順を説明するためのフローチャートを示す。 Next, an abnormality detection method according to an embodiment of the present disclosure will be described. FIG. 8 shows a flowchart for explaining the operation procedure of the anomaly detection system according to an embodiment of the present disclosure.
まず、ステップS101において、取得部1(図1参照)が、ネットワーク30を介して、複数の通信機器20のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する。
First, in step S<b>101 , the acquisition unit 1 (see FIG. 1 ) acquires activation log information, which is log information created at the time of activation, from each of the plurality of
次に、ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報であるか否かを判断する。ここで、起動された原因が予め判明している起動ログ情報は、例えば、(1)通信機器が強制的に起動された場合に作成された起動ログ情報、(2)通信機器のファームウエアが変更された場合に作成された起動ログ情報、(3)通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報である。
Next, in step S102, the
ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報であると判断した場合は、ステップS103において、第1除外処理部2aが異常検知の対象から除外する。
If the
一方、ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報ではないと判断した場合は、ステップS103における除外処理は行われない。
On the other hand, if the
次に、ステップS104において、第2除外処理部2bが生活習慣に基づく起動ログ情報を除外する。
Next, in step S104, the second
次に、ステップS105において、計数部3が、第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数を所定期間毎に計数する。
Next, in step S105, the
次に、ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値より大きいか否かを判断する。 Next, in step S106, the abnormality determination unit 4 determines whether or not the counted number of boot log information is greater than a predetermined threshold.
ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値より大きいと判断した場合は、ステップS107において、異常有りと判断する。 In step S106, when the abnormality determination unit 4 determines that the counted number of boot log information is larger than the predetermined threshold value, in step S107, it determines that there is an abnormality.
一方、ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値未満であると判断した場合は、ステップS108において、異常無しと判断する On the other hand, in step S106, if the abnormality determination unit 4 determines that the counted number of startup log information is less than the predetermined threshold value, in step S108, it determines that there is no abnormality.
次に、ステップS109において、出力部5が、異常判断部4の判断結果を出力する。
Next, in step S<b>109 , the
(停電に基づく起動ログ情報の分析)
通信機器20が設置された地域において停電が発生すると、通信機器20は動作を停止し、停電復帰後に再起動される。従って、停電が発生した地域において、停電に伴って起動ログ情報の数が増加することが考えられる。そこで、サーバ10は、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部13(図1参照)をさらに有してよい。
(Analysis of startup log information based on power failure)
When a power failure occurs in the area where the
停電により通信機器20が再起動された場合、ネットワーク30や通信機器20には異常が発生しないとも考えられる。しかしながら、停電の発生により、通信機器20のユーザは何らかの影響を受けることが想定される。そこで停電異常推定部13は、起動ログ情報の増加が停電を原因とするものであるか否かを推定し、停電が原因である場合は、その旨を出力部5に出力させることが好ましい。このような構成とすることにより、ユーザは通信機器20の再起動が停電に基づくものであることを把握することができる。
Even if the
停電による起動ログ情報の数の変化に特徴がある場合には、停電異常推定部13は、過去の起動ログ情報の時間的変化のデータから、今回の起動ログ情報の増加は停電によるものであると判断してよい。このような構成とすることで、サーバ10の外部から停電に関する情報を受信する前に、起動ログ情報の増加が停電に基づくものであるか否かを迅速に判断することができる。
If there is a characteristic change in the number of boot log information due to a power failure, the power failure
一方、停電に関する情報が、電力会社等からリアルタイムに取得可能である場合は、停電異常推定部13は、取得した停電関する情報に基づいて、起動ログ情報の増加が停電に基づくものであるか否かを判断してよい。例えば、起動ログ情報の増加が発生した地域と、停電が発生した地域とを照らし合わせて、両地域が一致した場合には、起動ログ情報の増加が停電に基づくものであると判断することができる。
On the other hand, if the power outage information can be acquired in real time from the power company or the like, the power outage
(異常が生じた地域及び機種の特定方法)
上述した例では、所定の地域における複数の通信機器を設置したネットワークにおける異常の判断方法について説明した。しかしながら、ネットワーク障害の原因にはネットワーク自体に異常が生じている場合と、特定の機種の通信機器に異常が生じている場合が考えられ、両者を切り分けることが好ましい。そこで、複数の地域に渡って複数の通信機器を設置したネットワークにおける異常を検知することにより、異常の原因が特定の地域のネットワークによるものであるのか、特定の機種の通信機器によるものであるのかを判別する方法について説明する。
(Method of Identifying Area and Model of Abnormality)
In the above example, the method of determining abnormality in a network in which a plurality of communication devices are installed in a predetermined area has been described. However, network failures may be caused by an abnormality in the network itself or by an abnormality in a particular type of communication device, and it is preferable to separate the two. Therefore, by detecting anomalies in networks in which multiple communication devices are installed over multiple regions, it is possible to determine whether the cause of anomalies is due to a network in a specific region or to a specific type of communication device. A method for determining is described.
図9(a)及び(b)に、本開示の一実施形態に係る異常検知システム1000を用いて検出された複数の地域及び機種についての異常と判断された起動ログ情報の数の一覧表を示す。図9(a)は、特定のある日における検出結果を示し、図9(b)は、特定のある日とは異なる別の日における検出結果を示す。図9(a)及び(b)においては、複数の地域が、東京、大阪、北海道であり、複数の機種が、WiFiルータ、固定電話用通信機器、BBルータである場合を例にとって説明する。
9A and 9B show lists of the number of startup log information determined to be abnormal for multiple regions and models detected using the
図9(a)においては、異常と判断された起動ログ情報の数が多いのは、ネットワークが存在する地域に関わらず、WiFiルータである。従って、この場合は、WiFiルータに異常が発生していることが推測される。 In FIG. 9(a), it is the WiFi router that has a large number of startup log information determined to be abnormal, regardless of the area where the network exists. Therefore, in this case, it is presumed that an abnormality has occurred in the WiFi router.
一方、図9(b)においては、異常と判断された起動ログ情報の数が多いのは、通信機器の機種に関わらず、大阪である。従って、この場合は、大阪に設置されたネットワークに異常が発生していることが推測される。 On the other hand, in FIG. 9B, Osaka has the largest number of startup log information determined to be abnormal, regardless of the model of the communication device. Therefore, in this case, it is presumed that an abnormality has occurred in the network installed in Osaka.
以上、本発明によれば、上述した作用により、ネットワーク又は通信機器の異常を迅速に検知することができるため、信頼できる持続可能なインフラの構築に寄与し、SDGs目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。
As described above, according to the present invention, anomalies in networks or communication equipment can be detected quickly by the above-described actions, so it contributes to the construction of reliable and sustainable infrastructure, and contributes to the development of
1 取得部
2 除外処理部
2a 第1除外処理部
2b 第2除外処理部
3 計数部
4 異常判断部
5 出力部
6 送受信部
7 記憶部
8 計時部
9 表示部
10 サーバ
11 制御部
12 バス
13 停電異常推定部
20 通信機器
30 ネットワーク
40 端末
1000 異常検知システム
1
Claims (9)
取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、
前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、
計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、
前記異常判断部の判断結果を出力する出力部と、
を有することを特徴とする異常検知サーバ。 an acquisition unit that acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network;
an exclusion processing unit that excludes the acquired activation log information from an abnormality detection target when the cause of activation of the communication device is not based on an abnormality;
a counting unit that counts the number of remaining boot log information not excluded by the exclusion processing unit for each predetermined period;
an abnormality determination unit that determines whether or not there is an abnormality in the network by comparing the counted number of boot log information with a predetermined threshold;
an output unit that outputs the determination result of the abnormality determination unit;
An anomaly detection server characterized by having:
前記複数の通信機器は、それぞれ、
起動時に起動ログ情報を作成する起動ログ情報作成部と、
前記起動ログ情報を送信する送受信部と、を有し、
前記サーバは、
前記複数の通信機器のそれぞれから、前記起動ログ情報を取得する取得部と、
取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、
前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、
計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、
前記異常判断部の判断結果を出力する出力部と、を有する、
ことを特徴とする異常検知システム。 An anomaly detection system having a plurality of communication devices and a server connected to the plurality of communication devices via a network,
Each of the plurality of communication devices,
a startup log information creation unit that creates startup log information at startup;
a transmitting/receiving unit that transmits the boot log information,
The server is
an acquisition unit that acquires the activation log information from each of the plurality of communication devices;
an exclusion processing unit that excludes the acquired activation log information from an abnormality detection target when the cause of activation of the communication device is not based on an abnormality;
a counting unit that counts the number of remaining boot log information not excluded by the exclusion processing unit for each predetermined period;
an abnormality determination unit that determines whether or not there is an abnormality in the network by comparing the counted number of boot log information with a predetermined threshold;
an output unit that outputs the determination result of the abnormality determination unit;
An anomaly detection system characterized by:
除外処理部が、取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外し、
計数部が、前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数し、
異常判断部が、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断し、
出力部が、前記異常判断部の判断結果を出力する、
ことを特徴とする異常検知方法。 an acquisition unit acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network;
The exclusion processing unit excludes the acquired activation log information from an abnormality detection target when the cause of activation of the communication device is not based on an abnormality,
a counting unit counting the number of remaining boot log information not excluded by the exclusion processing unit for each predetermined period;
The abnormality determination unit determines whether or not there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold,
The output unit outputs the judgment result of the abnormality judgment unit,
An anomaly detection method characterized by:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022041894A JP7192155B1 (en) | 2022-03-16 | 2022-03-16 | Anomaly detection server, anomaly detection system, and anomaly detection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022041894A JP7192155B1 (en) | 2022-03-16 | 2022-03-16 | Anomaly detection server, anomaly detection system, and anomaly detection method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP7192155B1 true JP7192155B1 (en) | 2022-12-19 |
JP2023136334A JP2023136334A (en) | 2023-09-29 |
Family
ID=84546046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022041894A Active JP7192155B1 (en) | 2022-03-16 | 2022-03-16 | Anomaly detection server, anomaly detection system, and anomaly detection method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7192155B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146197A (en) | 2013-01-29 | 2014-08-14 | Mitsubishi Heavy Ind Ltd | System management device and system |
JP2019168869A (en) | 2018-03-22 | 2019-10-03 | 株式会社日立製作所 | Incident detection system and method thereof |
-
2022
- 2022-03-16 JP JP2022041894A patent/JP7192155B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146197A (en) | 2013-01-29 | 2014-08-14 | Mitsubishi Heavy Ind Ltd | System management device and system |
JP2019168869A (en) | 2018-03-22 | 2019-10-03 | 株式会社日立製作所 | Incident detection system and method thereof |
Non-Patent Citations (1)
Title |
---|
飯田巨樹,ネットワーク/セキュリティ/ストレージ 3つの視点で見るリモート管理のポイント 第1部 ネットワークの管理/監視,N+I NETWORK Guide 2004年1月号,ソフトバンクパブリッシング株式会社,2004年01月01日,第4巻,第1号,通巻32号,pp.84~92 |
Also Published As
Publication number | Publication date |
---|---|
JP2023136334A (en) | 2023-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10939266B2 (en) | System, method, apparatus, and computer program product for providing mobile device support services | |
US11601801B2 (en) | System, method, apparatus, and computer program product for providing mobile device support services | |
EP2394219A1 (en) | System health and performance care of computing devices | |
CN115658408A (en) | Sensor state detection method and device and readable storage medium | |
JP7192155B1 (en) | Anomaly detection server, anomaly detection system, and anomaly detection method | |
KR100937003B1 (en) | System and method for maintaining devices | |
KR101702038B1 (en) | System for managing sever irregularity conditions of server, and method for managing sever irregularity conditions of server using the same | |
JP2014211784A (en) | Multiplex control apparatus and multiplex control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220316 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7192155 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |