JP7192155B1 - Anomaly detection server, anomaly detection system, and anomaly detection method - Google Patents

Anomaly detection server, anomaly detection system, and anomaly detection method Download PDF

Info

Publication number
JP7192155B1
JP7192155B1 JP2022041894A JP2022041894A JP7192155B1 JP 7192155 B1 JP7192155 B1 JP 7192155B1 JP 2022041894 A JP2022041894 A JP 2022041894A JP 2022041894 A JP2022041894 A JP 2022041894A JP 7192155 B1 JP7192155 B1 JP 7192155B1
Authority
JP
Japan
Prior art keywords
log information
abnormality
unit
communication device
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022041894A
Other languages
Japanese (ja)
Other versions
JP2023136334A (en
Inventor
キン 廉
祺晟 董
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2022041894A priority Critical patent/JP7192155B1/en
Application granted granted Critical
Publication of JP7192155B1 publication Critical patent/JP7192155B1/en
Publication of JP2023136334A publication Critical patent/JP2023136334A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

【課題】本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法は、ネットワークの異常を迅速に検知することを目的とする。【解決手段】本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。【選択図】図1An anomaly detection server, an anomaly detection system, and an anomaly detection method according to an embodiment of the present disclosure are intended to quickly detect network anomalies. An anomaly detection server according to an embodiment of the present disclosure includes an acquisition unit that acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network; Exclusion processing unit that excludes the startup log information from the target of abnormality detection when the cause of the communication device startup is not based on an abnormality, and the number of remaining startup log information that was not excluded by the exclusion processing unit is counted every predetermined period of time, an abnormality determination unit determines whether there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold value, and the determination result of the abnormality determination unit is output. and an output unit for outputting. [Selection drawing] Fig. 1

Description

本発明は、異常検知サーバ、異常検知システム、及び異常検知方法に関する。 The present invention relates to an anomaly detection server, an anomaly detection system, and an anomaly detection method.

これまでに、ネットワーク上の異常を検知した際に、その異常の内容について判定可能な通信解析方法が知られている(例えば、特許文献1)。特許文献1に記載された通信解析方法は、ネットワーク装置で発生した情報から、異常検知の対象となる条件情報に該当する解析対象情報を抽出し、抽出した解析対象情報に基づいて特徴量を生成し、特徴量に基づいて検知した検知結果に基づき、ネットワークで発生した異常の内容を判定するものである。 Conventionally, there is known a communication analysis method capable of determining the content of an anomaly when an anomaly is detected on a network (for example, Patent Document 1). The communication analysis method described in Patent Literature 1 extracts analysis target information corresponding to condition information for anomaly detection from information generated in a network device, and generates a feature value based on the extracted analysis target information. Then, based on the detection result detected based on the feature amount, the details of the abnormality occurring in the network are determined.

しかしながら、特許文献1に記載の通信解析方法においては、ネットワークの異常を検知するための特徴量を新たに生成する必要があり、ネットワークの異常を検知するための工数が増加し、ネットワークで発生した異常を迅速に検知することが難しいという問題があった。 However, in the communication analysis method described in Patent Document 1, it is necessary to newly generate a feature amount for detecting network anomalies, which increases man-hours for detecting network anomalies and causes network anomalies. There is a problem that it is difficult to quickly detect anomalies.

特開2019-80201号公報Japanese Patent Application Laid-Open No. 2019-80201

本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法は、ネットワークまたは通信機器の異常を迅速に検知することを目的とする。 An anomaly detection server, an anomaly detection system, and an anomaly detection method according to an embodiment of the present disclosure aim to quickly detect an anomaly in a network or communication equipment.

本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。 An anomaly detection server according to an embodiment of the present disclosure includes an acquisition unit that acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network, and the acquired startup log information However, if the cause of the startup of the communication device is not based on an abnormality, an exclusion processing unit that excludes it from the targets of abnormality detection, and the number of remaining startup log information that has not been excluded by the exclusion processing unit is counted every predetermined period. an abnormality determination unit that determines whether there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold value; and an output unit that outputs the determination result of the abnormality determination unit. , is characterized by having

本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、通信機器が起動された原因が予め判明している起動ログ情報を異常検知の対象から除外してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit may exclude activation log information in which the cause of activation of the communication device is known in advance from the targets of anomaly detection.

本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、少なくとも、通信機器が強制的に起動された場合、通信機器のファームウエアが変更された場合、あるいは通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報を異常検知の対象から除外してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit performs at least when the communication device is forcibly started, when the firmware of the communication device is changed, or when the mode or band of the communication device is changed. The startup log information created when changed may be excluded from the targets of abnormality detection.

本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、通信機器のユーザの生活習慣に基づいて作成された起動ログ情報を異常検知の対象から除外してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit may exclude activation log information created based on the lifestyle habits of the user of the communication device from the targets of anomaly detection.

本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習することが好ましい。 In the anomaly detection server according to an embodiment of the present disclosure, the exclusion processing unit generates the activation log information based on the lifestyle habits of the user based on the activation log information acquired over a predetermined period of time. The patterns are preferably learned by machine learning.

本開示の一実施形態に係る異常検知サーバにおいて、異常判断部は、平均的な値からの乖離度に基づいて異常の有無を判断してよい。 In the anomaly detection server according to an embodiment of the present disclosure, the anomaly determination unit may determine the presence or absence of an anomaly based on the degree of deviation from the average value.

本開示の一実施形態に係る異常検知サーバにおいて、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部をさらに有してよい。 The anomaly detection server according to an embodiment of the present disclosure may further include a power outage anomaly estimating unit that estimates the presence or absence of an anomaly based on the power outage based on the boot log information acquired when the power outage occurs.

本開示の一実施形態に係る異常検知システムは、複数の通信機器、及び該複数の通信機器とネットワークを介して接続されたサーバを有する異常検知システムであって、複数の通信機器は、それぞれ、起動時に起動ログ情報を作成する起動ログ情報作成部と、起動ログ情報を送信する送受信部と、を有し、サーバは、複数の通信機器のそれぞれから、起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。 An anomaly detection system according to an embodiment of the present disclosure is an anomaly detection system having a plurality of communication devices and a server connected to the plurality of communication devices via a network, wherein each of the plurality of communication devices is The server has a startup log information creation unit that creates startup log information at startup and a transmission/reception unit that transmits the startup log information, and the server includes an acquisition unit that acquires the startup log information from each of the plurality of communication devices, If the acquired startup log information is not based on an abnormality, the exclusion processing unit that excludes it from the target of abnormality detection, and the remaining startup log information that was not excluded by the exclusion processing unit. an abnormality determination unit that determines whether there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold value; and the determination result of the abnormality determination unit. and an output unit for outputting.

本開示の一実施形態に係る異常検知方法は、取得部が、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得し、除外処理部が、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外し、計数部が、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数し、異常判断部が、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断し、出力部が、異常判断部の判断結果を出力することを特徴とする。 In an anomaly detection method according to an embodiment of the present disclosure, an acquisition unit acquires startup log information, which is log information created at the time of startup, from each of a plurality of communication devices via a network, and an exclusion processing unit , if the acquired startup log information is not based on an abnormality that caused the communication device to start up, it is excluded from the object of abnormality detection, and the counting unit detects the remaining startup log information that has not been excluded by the exclusion processing unit. is counted for each predetermined period, and the abnormality determination unit compares the counted number of startup log information with a predetermined threshold value to determine whether or not there is an abnormality in the network, and the output unit outputs the error determination unit. It is characterized by outputting a judgment result.

本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法によれば、ネットワークまたは通信機器の異常を迅速に検知することができる。 According to an anomaly detection server, an anomaly detection system, and an anomaly detection method according to an embodiment of the present disclosure, it is possible to quickly detect an anomaly in a network or communication device.

本開示の一実施形態に係る異常検知システムの構成概略図である。1 is a schematic configuration diagram of an anomaly detection system according to an embodiment of the present disclosure; FIG. 本開示の一実施形態に係る異常検知システムを用いて検出された起動ログ情報の数の経時的変化の例を示すグラフである。7 is a graph showing an example of temporal change in the number of boot log information detected using the anomaly detection system according to an embodiment of the present disclosure; 本開示の一実施形態に係る異常検知システムを構成する通信機器の構成ブロック図である。1 is a configuration block diagram of a communication device that configures an anomaly detection system according to an embodiment of the present disclosure; FIG. 本開示の一実施形態に係る異常検知システムにおいて、サーバが通信機器から取得した起動ログ情報の一覧表の例である。6 is an example of a list of startup log information acquired by the server from the communication device in the anomaly detection system according to the embodiment of the present disclosure; 本開示の一実施形態に係る異常検知システムにおいて、サーバが通信機器から取得する起動ログ情報のうち、ユーザの生活習慣に基づく起動ログ情報の数と時間との関係を表すグラフの例である。7 is an example of a graph representing the relationship between the number of pieces of boot log information based on a user's lifestyle and time among the boot log information acquired by the server from the communication device in the anomaly detection system according to the embodiment of the present disclosure. 本開示の一実施形態に係る異常検知システムにおいて、取得した起動ログ情報の数を正規分布に当てはめた場合の例を示すグラフである。7 is a graph showing an example of a case where the number of acquired boot log information is applied to a normal distribution in the anomaly detection system according to an embodiment of the present disclosure; 本開示の一実施形態に係る異常検知システムを用いて検出された各通信機器ごとの異常検知結果の出力例である。7 is an output example of anomaly detection results for each communication device detected using the anomaly detection system according to an embodiment of the present disclosure; 本開示の一実施形態に係る異常検知システムの動作手順を説明するためのフローチャートである。4 is a flowchart for explaining the operation procedure of the anomaly detection system according to an embodiment of the present disclosure; 本開示の一実施形態に係る異常検知システムを用いて検出された複数の地域及び機種についての異常と判断された起動ログ情報の数の一覧表を示し、(a)は、特定のある日における検出結果であり、(b)は、特定のある日とは異なる別の日における検出結果である。Shows a list of the number of startup log information determined to be abnormal for multiple regions and models detected using the anomaly detection system according to an embodiment of the present disclosure, (a) shows FIG. 10B is a detection result, and (b) is a detection result on another day different from the specific day.

以下、図面を参照して、本発明に係る異常検知サーバ、異常検知システム、及び異常検知方法について説明する。ただし、本発明の技術的範囲はそれらの実施の形態には限定されず、特許請求の範囲に記載された発明とその均等物に及ぶ点に留意されたい。 Hereinafter, an anomaly detection server, an anomaly detection system, and an anomaly detection method according to the present invention will be described with reference to the drawings. However, it should be noted that the technical scope of the present invention is not limited to those embodiments, but extends to the invention described in the claims and equivalents thereof.

まず、本開示の実施例1に係る異常検知システムの概要について説明する。図1に本開示の一実施形態に係る異常検知システム1000の構成概略図を示す。異常検知システム1000は、複数の通信機器20、及び複数の通信機器20とネットワーク30を介して接続された異常検知サーバ(以下、単に「サーバ」という。)10を有する。 First, an overview of the anomaly detection system according to the first embodiment of the present disclosure will be described. FIG. 1 shows a schematic configuration diagram of an anomaly detection system 1000 according to an embodiment of the present disclosure. The anomaly detection system 1000 has a plurality of communication devices 20 and an anomaly detection server (hereinafter simply referred to as “server”) 10 connected to the plurality of communication devices 20 via a network 30 .

複数の通信機器20は、例えば、WiFiルータ20a、固定電話用通信機器20b、及びブロードバンドルータ20cである。ただし、通信機器20は、これらの例には限定されない。 The multiple communication devices 20 are, for example, a WiFi router 20a, a fixed-telephone communication device 20b, and a broadband router 20c. However, the communication device 20 is not limited to these examples.

複数の通信機器20は、複数の端末40との間で通信を行う。端末40は、例えば、スマートフォン等の携帯端末、デスクトップパソコンやノートパソコン等のコンピュータ、及び固定電話等である。 A plurality of communication devices 20 communicate with a plurality of terminals 40 . The terminal 40 is, for example, a mobile terminal such as a smart phone, a computer such as a desktop personal computer or a notebook personal computer, a landline telephone, or the like.

通信機器20が起動(再起動)すると、起動が行われたことを示す情報である「起動ログ情報」が作成され、サーバ10へ送信される。サーバ10は、起動ログ情報を収集することにより、いつ、どの通信機器が再起動されたのかを認識することができる。 When the communication device 20 is activated (rebooted), “activation log information”, which is information indicating that activation has been performed, is created and transmitted to the server 10 . The server 10 can recognize when and which communication device was restarted by collecting the startup log information.

図2に、本開示の一実施形態に係る異常検知システム1000を用いて検出された起動ログ情報の数の経時的変化の例を示す。図2に示した例では、2月2日の12時頃に起動ログ情報の数が急増しており、何らかの異常が生じていることが推測される。しかしながら、通信機器20の再起動がサーバ10側からの遠隔操作により行われた場合等、通信機器20が再起動された原因が判明している場合は、異常検知の対象ではないものとして、その件数を検出された起動ログ情報の数から除外する必要がある。本開示の一実施形態に係る異常検知システム1000は、起動ログ情報の数を解析することにより、ネットワーク30または通信機器20の異常の有無を判断するものである。 FIG. 2 shows an example of temporal changes in the number of boot log information detected using the anomaly detection system 1000 according to an embodiment of the present disclosure. In the example shown in FIG. 2, the number of startup log information increased sharply around 12:00 on February 2, and it is assumed that some kind of abnormality has occurred. However, when the cause of the restart of the communication device 20 is known, such as when the restart of the communication device 20 is performed by remote control from the server 10 side, it is considered not to be the target of abnormality detection. It is necessary to exclude the count from the number of boot log information detected. The anomaly detection system 1000 according to an embodiment of the present disclosure determines whether or not there is an anomaly in the network 30 or the communication device 20 by analyzing the number of startup log information.

通信機器20が再起動されるケースとして、再起動の原因が判明しているケースと、再起動の原因が判明していないケースがある。再起動の原因が判明しているケースとしては、通信機器を駆動するためのアプリケーションソフトの更新等のために遠隔操作により意図的に再起動させる場合や、ファームウエアの更新後に、ユーザが操作して通信機器20を再起動させる場合等がある。また、通信のモードやバンドが変更された場合にも、ユーザが通信機器20を再起動させる場合がある。これらの場合においては、アプリケーションソフトの更新やファームウエアの更新等は、サーバ10側等で管理しているため、通信機器20が再起動する原因は予め判明していることになる。 As a case where the communication device 20 is restarted, there are a case where the cause of the restart is known and a case where the cause of the restart is not found. Cases where the cause of the restart is known include cases where the user intentionally restarts the device by remote control to update the application software that drives the communication device, or when the user does not operate the device after updating the firmware. In some cases, the communication device 20 is restarted. Also, the user may restart the communication device 20 when the communication mode or band is changed. In these cases, the update of the application software, the update of the firmware, etc. are managed by the server 10 or the like, so the cause of the restart of the communication device 20 is known in advance.

通信機器20の再起動の原因が判明していないケースには、ネットワークや通信機器の異常に基づいて再起動が行われるケースと、ネットワークや通信機器は正常に動作していても再起動が行われるケース、即ち、通信機器が起動された原因が異常に基づくものではないものと推定されるケースがある。なお、再起動の原因が判明していないケースには、ネットワーク管理者にとって再起動の原因の把握が困難なケースを含む。例えば、通信機器内に何らかの異常が発生して、内蔵されたウォッチドッグタイマの動作により通信機器が自動停止した場合、通常、ウォッチドッグタイマが動作したことを示す信号は通信機器の外部には出力されず、かつネットワーク管理者がすべての通信機器のウォッチドッグタイマの仕様を事前に詳細に把握しておくことは困難なため、再起動の原因が判明していないケースに該当する。 Cases in which the cause of the restart of the communication device 20 is unknown include a case in which the restart is performed due to an abnormality in the network or the communication device, and a case in which the restart is performed even if the network or the communication device is operating normally. There are cases where it is presumed that the cause of activation of the communication device is not based on an abnormality. It should be noted that cases in which the cause of the restart is unknown include cases in which it is difficult for the network administrator to grasp the cause of the restart. For example, when an abnormality occurs in a communication device and the communication device automatically stops due to the operation of the built-in watchdog timer, a signal indicating that the watchdog timer has been activated is normally output to the outside of the communication device. Moreover, it is difficult for network administrators to grasp in advance the specifications of the watchdog timers of all communication devices in detail.

ネットワークや通信機器は正常に動作していても再起動が行われるケースとして、ユーザが、端末40を使用していない場合には通信機器20の電源をOFFして、端末40の使用時に電源をONするケースがある。このように、ユーザが通信機器20の電源をONさせた場合に起動ログが作成され、起動ログ情報がサーバ10に送信される。例えば、ユーザは朝9時ごろに職務で使用する端末40を使用するために通信機器20の電源をONする場合が考えられる。また、ユーザは帰宅後に自宅の端末40を使用するために自宅の通信機器20の端末の電源をONする場合が考えられる。そのため、これらの場合にサーバ10が通信機器20から取得する起動ログ情報の数の時間的変化は、ユーザの生活リズムを反映したパターンとなることが推定される。このようにユーザの生活パターンに基づいて作成された起動ログ情報は、ネットワークや通信機器の異常が原因で作成されたものではないため、異常検知の対象とはならないものとして、サーバ10が通信機器20から取得した起動ログ情報から除外する必要がある。 As a case where a restart is performed even if the network and communication equipment are operating normally, the user turns off the power of the communication equipment 20 when the terminal 40 is not in use, and turns off the power when the terminal 40 is in use. There is a case to turn ON. Thus, when the user turns on the power of the communication device 20 , an activation log is created and the activation log information is transmitted to the server 10 . For example, the user may turn on the power of the communication device 20 around 9:00 in the morning to use the terminal 40 for work. Also, the user may turn on the terminal of the communication device 20 at home in order to use the terminal 40 at home after returning home. Therefore, in these cases, it is presumed that the temporal change in the number of activation log information items acquired by the server 10 from the communication device 20 has a pattern that reflects the life rhythm of the user. The startup log information created based on the user's lifestyle pattern in this way is not created due to an abnormality in the network or communication equipment, and is therefore not subject to abnormality detection. 20 must be excluded from the startup log information.

以上の起動ログ情報は、予め通信機器20の起動の原因が判明しているもの、あるいは、通信機器20が起動された原因が異常に基づくものではないものと推定されるものである。このような起動ログ情報とは別に所定数以上の起動ログ情報をサーバ10が通信機器20から受信した場合は、ネットワーク30または通信機器20に何らかの異常が生じていることが推定される。 The activation log information described above indicates that the cause of activation of the communication device 20 is known in advance, or that the cause of activation of the communication device 20 is presumed not to be based on an abnormality. If the server 10 receives a predetermined number or more of boot log information from the communication device 20 separately from such boot log information, it is presumed that some kind of abnormality has occurred in the network 30 or the communication device 20 .

ネットワーク30または通信機器20に何らかの異常が生じると、ユーザ自身が通信機器20の再起動を行うと考えられる。例えば、ネットワークにおいて遅延が生じたり、通信速度が低下したりした場合には、通信機器20を再起動させることで解消する場合もあるため、ユーザは再起動を試みると考えられる。 It is conceivable that the user himself/herself restarts the communication device 20 when some kind of abnormality occurs in the network 30 or the communication device 20 . For example, when a delay occurs in the network or the communication speed drops, the problem may be solved by restarting the communication device 20, so it is considered that the user will attempt restarting.

その他、通信機器20は、一般的に、端末40とは異なり、コンセントから電源を取っている場合が多い。そのため、例えば、停電等により電力の供給が停止した場合、通信機器20は動作を停止し、その後、電力が復帰すると、通信機器20は起動(再起動)される。 In addition, unlike the terminal 40, the communication device 20 is generally powered from an outlet in many cases. Therefore, for example, when the power supply is stopped due to a power failure or the like, the communication device 20 stops operating, and then when the power is restored, the communication device 20 is started (restarted).

本開示の実施形態に係る異常検知システム1000は、このような原因不明の起動ログ情報を検知し、通信機器20の異常を検出するものである。サーバ10は通信機器20から起動ログ情報を取得し、取得した起動ログ情報から通信機器20が起動された原因が異常に基づくものではない起動ログ情報を除外した残りの起動ログ情報の数を所定の基準値と比較することにより、ネットワーク30または通信機器20の異常の有無を迅速に判断することができる。 The anomaly detection system 1000 according to the embodiment of the present disclosure detects such boot log information of unknown cause, and detects an anomaly of the communication device 20 . The server 10 acquires the activation log information from the communication device 20, and determines the number of remaining activation log information after excluding the activation log information for which the cause of the activation of the communication device 20 is not based on an abnormality from the acquired activation log information. By comparing with the reference value of , it is possible to quickly determine whether there is an abnormality in the network 30 or the communication device 20 .

(通信機器)
次に、本開示の実施例1に係る異常検知システムを構成する通信機器20について説明する。図3に、通信機器20の構成ブロック図を示す。通信機器20は、送受信部21と、制御部22と、起動ログ情報作成部23と、記憶部24と、を有する。
(Communication equipment)
Next, the communication device 20 that configures the anomaly detection system according to the first embodiment of the present disclosure will be described. FIG. 3 shows a configuration block diagram of the communication device 20. As shown in FIG. The communication device 20 has a transmission/reception section 21 , a control section 22 , an activation log information creation section 23 and a storage section 24 .

送受信部21は、ネットワーク30を介してサーバ10との間でデータの送受信を行うとともに、端末40との間で通信を行う。特に、送受信部21は、サーバ10に対して起動ログ情報を送信する。 The transmitting/receiving unit 21 transmits/receives data to/from the server 10 via the network 30 and communicates with the terminal 40 . In particular, the transmission/reception unit 21 transmits boot log information to the server 10 .

制御部22は、CPU等のプロセッサにより記憶部24に記憶されたプログラムを実行することにより、通信機器20の動作を制御する。 The control unit 22 controls the operation of the communication device 20 by executing a program stored in the storage unit 24 by a processor such as a CPU.

起動ログ情報作成部23は、通信機器20の起動時に起動ログ情報を作成する。起動ログ情報の詳細については後述する。 The activation log information creation unit 23 creates activation log information when the communication device 20 is activated. Details of the activation log information will be described later.

記憶部24は、半導体メモリ等の記憶装置である。記憶部24は、通信機器20を制御するためのプログラムを記憶している。 The storage unit 24 is a storage device such as a semiconductor memory. The storage unit 24 stores programs for controlling the communication device 20 .

(異常検知サーバ)
次に、本開示の実施形態に係る異常検知サーバについて説明する。図1に示すように、異常検知サーバ10は、制御部11と、送受信部6と、記憶部7と、計時部8と、表示部9と、出力部5と、を有し、これらはバス12により接続されている。
(anomaly detection server)
Next, an anomaly detection server according to an embodiment of the present disclosure will be described. As shown in FIG. 1, the anomaly detection server 10 has a control unit 11, a transmission/reception unit 6, a storage unit 7, a timer unit 8, a display unit 9, and an output unit 5, which are connected to a bus. 12 are connected.

送受信部6は、ネットワーク30を介して通信機器20との間でデータの送受信を行う。特に、送受信部6は、通信機器20から起動ログ情報を取得する。 The transmitting/receiving unit 6 transmits/receives data to/from the communication device 20 via the network 30 . In particular, the transmission/reception unit 6 acquires boot log information from the communication device 20 .

記憶部7は、半導体メモリやハードディスク等の記憶装置である。記憶部7は、通信機器20から受信した起動ログ情報を記憶する。さらに、記憶部7は、サーバ10を制御するためのプログラムを記憶している。 The storage unit 7 is a storage device such as a semiconductor memory or hard disk. The storage unit 7 stores the startup log information received from the communication device 20 . Furthermore, the storage unit 7 stores programs for controlling the server 10 .

計時部8は、現在時刻を出力するモジュールである。送受信部6が通信機器20から起動ログ情報を受信した日時は、計時部8から取得された現在時刻に基づいて設定され、起動ログ情報と共に記憶部7に記憶されてよい。 The clock unit 8 is a module that outputs the current time. The date and time when the transmission/reception unit 6 received the activation log information from the communication device 20 may be set based on the current time obtained from the clock unit 8 and stored in the storage unit 7 together with the activation log information.

表示部9は、液晶表示装置や有機EL表示装置等の表示装置である。表示部9は、出力部5から出力された通信機器20及びネットワーク30の異常検知結果を表示する。 The display unit 9 is a display device such as a liquid crystal display device or an organic EL display device. The display unit 9 displays the abnormality detection result of the communication device 20 and the network 30 output from the output unit 5 .

出力部5は、通信機器20またはネットワーク30の異常検知結果を、送受信部6を介して、通信機器20、又はネットワーク管理者等に異常検知を通知するための機器に出力するようにしてよい。 The output unit 5 may output the abnormality detection result of the communication device 20 or the network 30 via the transmission/reception unit 6 to the communication device 20 or a device for notifying the network administrator or the like of the abnormality detection.

制御部11は、取得部1と、除外処理部2と、計数部3と、異常判断部4と、を有し、これらは、サーバ10に設けられたCPU等のプロセッサにより記憶部7に記憶されたプログラムを実行することにより実現される。 The control unit 11 has an acquisition unit 1, an exclusion processing unit 2, a counting unit 3, and an abnormality determination unit 4, which are stored in the storage unit 7 by a processor such as a CPU provided in the server 10. It is realized by executing the program

取得部1は、ネットワーク30を介して、複数の通信機器20のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する。起動ログ情報には、起動ログ情報を送信した通信機器の識別番号、及び通信機器20が再起動された原因が判明している場合には、その原因に関する情報が含まれてよい。例えば、アプリケーションソフトの更新等のために遠隔操作により再起動する場合、及びファームウエアの更新後や通信のモードやバンドが変更された場合等において、通信機器20が再起動されたときに、その原因に関する情報が起動ログ情報に含まれてよい。 The acquisition unit 1 acquires startup log information, which is log information created at the time of startup, from each of the plurality of communication devices 20 via the network 30 . The activation log information may include the identification number of the communication device that transmitted the activation log information, and information about the cause if the cause of the restart of the communication device 20 is known. For example, when the communication device 20 is restarted by remote control for updating application software, or when the communication device 20 is restarted after updating the firmware or when the communication mode or band is changed, the Information about the cause may be included in the boot log information.

図4に、本開示の一実施形態に係る異常検知システム1000において、サーバ10が通信機器20から取得した起動ログ情報の一覧表100の例を示す。起動ログ情報の一覧表100には、区間101、ID102、通信機器の種別103、取得時刻104、再起動の原因105、除外対象フラグ106、積算値107のそれぞれの情報が含まれてよい。 FIG. 4 shows an example of a list 100 of startup log information acquired by the server 10 from the communication device 20 in the anomaly detection system 1000 according to an embodiment of the present disclosure. The startup log information list 100 may include information on sections 101 , IDs 102 , communication device types 103 , acquisition times 104 , restart causes 105 , exclusion target flags 106 , and integrated values 107 .

区間101は、例えば、起動ログ情報の取得を30分ごとに集計する場合に、1日の何番目の区間に相当するかを示すものである。図4に示した例では、ある日の0時0分0秒(00:00:00)から30分間の区間101を「区間1」とし、その次の30分間の区間101を「区間2」とする例を示している。ただし、起動ログ情報を集計する期間は、30分間には限定されず、任意の期間に設定してよい。 The interval 101 indicates the number of the interval of one day when the acquisition of the activation log information is totaled every 30 minutes, for example. In the example shown in FIG. 4, the section 101 for 30 minutes from 0:00:00 (00:00:00) on a certain day is defined as "section 1", and the section 101 for the next 30 minutes is defined as "section 2". It shows an example of However, the period for aggregating boot log information is not limited to 30 minutes, and may be set to any period.

ID102は、取得した起動ログ情報の識別番号である。例えば、時刻「00:00:05」に最初の起動ログ情報を取得した場合は、その起動ログ情報のID102を「0001」としてよい。その後に取得した起動ログ情報のID102には連続した番号を付してよい。例えば、図4に示した例では区間101が「1」の区間では、合計210個の起動ログ情報を取得したことを示している。 ID102 is the identification number of the acquired activation log information. For example, when the first activation log information is obtained at time "00:00:05", the ID 102 of the activation log information may be "0001". A consecutive number may be assigned to the ID 102 of the activation log information acquired thereafter. For example, in the example shown in FIG. 4, a total of 210 pieces of activation log information have been acquired in the section 101 of "1".

通信機器の種別103は、起動ログ情報を送信した通信機器の種別を示してよい。例えば、図4に示した例では、最初(ID「0001」)にWiFiルータ20aから起動ログ情報を取得し、2番目(ID「0002」)に固定電話用通信機器20bから起動ログ情報を取得し、3番目(ID「0003」)にブロードバンド(BB)ルータ20cから起動ログ情報を取得した例を示している、ただし、このような例には限られず、通信機器の種別だけでなく、固有の機種識別番号や通信機器20が設置された位置に関する情報等を起動ログ情報に含めて取得するようにしてよい。 The communication device type 103 may indicate the type of communication device that has transmitted the activation log information. For example, in the example shown in FIG. 4, the startup log information is obtained from the WiFi router 20a first (ID "0001"), and the startup log information is obtained from the fixed telephone communication device 20b second (ID "0002"). , and the third (ID "0003") shows an example of acquiring startup log information from the broadband (BB) router 20c. model identification number, information about the position where the communication device 20 is installed, etc. may be included in the activation log information and acquired.

取得時刻104は、送受信部6が通信機器20から起動ログ情報を受信した際に、計時部8から取得された現在時刻に基づいて設定されてよい。 The acquisition time 104 may be set based on the current time acquired from the clock unit 8 when the transmission/reception unit 6 receives the activation log information from the communication device 20 .

再起動の原因105は、再起動の原因が予め判明している場合はその原因を記録し、予め判明している原因に該当しない場合は、空欄(図4では「---」と表示)としてよい。例えば、ID「0001」の起動ログ情報をWiFiルータ20aから取得する直前に、リモート操作でWiFiルータ20aを再起動させた場合には、再起動の原因105を「リモート操作による再起動」としてよい。また、ID「0003」の起動ログ情報をBBルータ20cから取得する前に、ファームウエアの更新がなされた場合には、ユーザがBBルータ20cを再起動させたものと推定されるため、再起動の原因105を「ファームウエアの更新後の再起動」としてよい。再起動の原因が予め判明していない場合には、ユーザの通常の生活習慣に基づいて通信機器が再起動された場合(通信機器20が起動された原因が異常に基づくものではないものと推定される場合)と、通信機器に異常が生じて再起動された場合が含まれると推定される。 For the cause of restart 105, if the cause of the restart is known in advance, the cause is recorded, and if it does not correspond to the known cause, the column is left blank (indicated as "---" in FIG. 4). may be For example, if the WiFi router 20a is restarted by remote operation immediately before the startup log information with the ID "0001" is acquired from the WiFi router 20a, the cause 105 of the restart may be "restart by remote operation". . Also, if the firmware is updated before the activation log information of ID "0003" is acquired from the BB router 20c, it is presumed that the user has restarted the BB router 20c. The cause 105 may be "restart after firmware update". If the cause of the restart is not known in advance, it is assumed that the communication device is restarted based on the user's normal lifestyle (the cause of the restart of the communication device 20 is not based on an abnormality). It is presumed that this includes cases where communication equipment malfunctions and is restarted.

(異常検知の対象外の起動ログ情報の除外方法)
除外処理部2は、取得した起動ログ情報が、通信機器20が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する。除外処理部2は、通信機器20が起動された原因が予め判明している起動ログ情報を除外してよい。図1に示すように、除外処理部2は、第1除外処理部2aと、第2除外処理部2bと、を備えてよい。
(Method of excluding startup log information not subject to anomaly detection)
If the acquired activation log information does not indicate that the communication device 20 was activated due to an abnormality, the exclusion processing unit 2 excludes the acquired activation log information from the targets of abnormality detection. The exclusion processing unit 2 may exclude activation log information for which the cause of activation of the communication device 20 is known in advance. As shown in FIG. 1, the exclusion processing section 2 may include a first exclusion processing section 2a and a second exclusion processing section 2b.

第1除外処理部2aは、少なくとも、通信機器20が強制的に起動された場合、通信機器20のファームウエアが変更された場合、あるいは通信機器20のモードまたはバンドが変更された場合に作成された起動ログ情報を除外してよい。上述したように、これらの起動ログ情報は、作成された原因が判明しているため、ネットワークの異常に起因したものではないものと判断することができるため、異常検知の対象とする起動ログ情報から除外するものである。ただし、これらに限られず、作成された原因が判明している起動ログ情報であれば、異常検知の対象から除外してよい。 The first exclusion processing unit 2a is created at least when the communication device 20 is forcibly activated, when the firmware of the communication device 20 is changed, or when the mode or band of the communication device 20 is changed. You may exclude the startup log information. As described above, since the cause of the creation of these boot log information is known, it can be determined that they are not caused by network anomalies. are excluded from However, any boot log information for which the cause of creation is known may be excluded from the targets of anomaly detection.

このように、除外処理部2は、取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報である場合は、異常検知の対象から除外する。例えば、図4に示すように、IDが「0001」及び「0003」の起動ログ情報は、再起動の原因が判明してため、除外対象フラグ106を立てて、除外する起動ログ情報であることを明示してよい。 In this manner, the exclusion processing unit 2 excludes the acquired boot log information from the target of abnormality detection when the boot log information is the boot log information in which the cause of the boot is known in advance. For example, as shown in FIG. 4, the boot log information with the IDs "0001" and "0003" is the boot log information to be excluded by setting the exclusion target flag 106 because the cause of the reboot is known. may be specified.

上記のようにして所定期間内に集計された起動ログ情報から、作成された原因が判明している起動ログ情報が除外されたものには、ネットワークまたは通信機器の異常に基づいて再起動された際に作成された起動ログ情報と、ユーザの生活習慣に基づいて通信機器が再起動された際に作成された起動ログ情報(通信機器20が起動された原因が異常に基づくものではないものと推定される起動ログ情報)とが含まれる。 From the boot log information aggregated within a predetermined period as described above, the boot log information whose cause is known is excluded. and boot log information created when the communication device is restarted based on the user's lifestyle habits (assuming that the cause of the communication device 20 being restarted is not based on an abnormality). estimated startup log information).

そこで、第2除外処理部2bは、通信機器20のユーザの生活習慣に基づいて作成された起動ログ情報を除外してよい。 Therefore, the second exclusion processing unit 2b may exclude activation log information created based on the lifestyle habits of the user of the communication device 20. FIG.

図5に、本開示の一実施形態に係る異常検知システムにおいて、サーバ10が通信機器20から取得する起動ログ情報のうち、ユーザの生活習慣に基づく起動ログ情報の数と時間との関係を表すグラフの例を示す。曲線Lwは平日における起動ログ情報の数の時間的変化を表し、曲線Lhは休日における起動ログ情報の数の時間的変化を表している。 FIG. 5 shows the relationship between the number of pieces of boot log information based on the user's lifestyle habits and time among the boot log information acquired by the server 10 from the communication device 20 in the anomaly detection system according to an embodiment of the present disclosure. Here is an example graph. A curve Lw represents the temporal change in the number of startup log information on weekdays, and a curve Lh represents the temporal change in the number of startup log information on holidays.

平日においては、曲線Lwで示すように、ユーザは午前9時ごろに職務で使用する端末40を使用するために通信機器20の電源をONする場合が多いと考えられるため、起動ログ情報の数が午前9時ごろに第1のピークP1を示す。また、ユーザは帰宅後に自宅の端末40を使用するために自宅の通信機器20の端末の電源をONする場合が多いと考えられるため、起動ログ情報の数が18時ごろに第2のピークP2を示す。 On weekdays, as indicated by the curve Lw, it is thought that the user often turns on the power of the communication device 20 around 9:00 in order to use the terminal 40 for work, so the number of activation log information shows a first peak P1 around 9:00 am. In addition, since it is considered that the user often turns on the terminal of the communication device 20 at home in order to use the terminal 40 at home after returning home, the number of boot log information peaks at around 18:00 P2. indicates

一方、休日においては、曲線Lhで示すように、ユーザは平日より遅い時間帯に端末40の操作を行うために通信機器20を起動させ、曲線Lwよりなだらかに起動ログ情報の数が増加する。このように、ユーザの生活習慣に基づいて作成される起動ログ情報は、平日と休日とでは異なった変化を呈すると考えられる。 On the other hand, on holidays, as indicated by curve Lh, the user activates the communication device 20 to operate the terminal 40 later than on weekdays, and the number of activation log information increases more smoothly than curve Lw. Thus, the activation log information created based on the user's lifestyle habits is considered to exhibit different changes on weekdays and holidays.

除外処理部2は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習してよい。このような構成とすることにより、平日及び休日のそれぞれにおける起動ログ情報の数を所定の期間に渡って収集し、機械学習や統計処理によって、通常作成されると予想される起動ログ情報の数を推定することができる。 The exclusion processing unit 2 may learn, by machine learning, the temporal pattern of the activation log information created based on the user's lifestyle, based on the activation log information acquired over a predetermined period. By adopting such a configuration, the number of startup log information for each weekday and holiday is collected over a predetermined period, and the number of startup log information that is normally expected to be created by machine learning and statistical processing. can be estimated.

以上のようにして、所定の期間に渡って取得した起動ログ情報から、第1除外処理部2a及び第2除外処理部2bによって除外された残り(残渣)の起動ログ情報がネットワークまたは通信機器の異常に起因して作成された起動ログ情報であると判断することができる。 As described above, the remaining (residual) boot log information excluded by the first exclusion processing unit 2a and the second exclusion processing unit 2b from the boot log information acquired over a predetermined period is the network or communication device information. It can be determined that the information is boot log information created due to an abnormality.

計数部3は、除外処理部2の第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数を所定期間毎に計数する。例えば、図4において、区間「1」において、ID「0001」の起動ログ情報は、再起動された原因が予め判明している起動ログ情報であるため、異常検知の対象からは除外され、積算値には含めず、積算値107は「0」となる。一方、ID「0002」の起動ログ情報は、再起動された原因が予め判明していない起動ログ情報であるため、異常検知の対象に含めるため、積算されて積算値107は「1」となる。また、ID「0003」の起動ログ情報は、再起動された原因が予め判明している起動ログ情報であるため、異常検知の対象からは除外され、積算値には含めず、積算値107は「1」のままとなる。 The counting unit 3 counts the number of remaining boot log information not excluded by the first exclusion processing unit 2a and the second exclusion processing unit 2b of the exclusion processing unit 2 for each predetermined period. For example, in FIG. 4, in the section "1", the boot log information with the ID "0001" is the boot log information for which the cause of the restart is known in advance, so it is excluded from the targets of abnormality detection, and is accumulated. It is not included in the value, and the integrated value 107 becomes "0". On the other hand, since the boot log information with the ID "0002" is the boot log information for which the cause of the restart is not known in advance, it is included in the target of abnormality detection, so that the integrated value 107 is "1". . Further, since the boot log information with the ID "0003" is the boot log information for which the cause of the restart is known in advance, it is excluded from the targets of abnormality detection and is not included in the integrated value, and the integrated value 107 is "1" remains.

以下、同様にして、異常検知の対象となる起動ログ情報の積算を所定期間毎に行う。図4に示した例では、区間「1」において、210個の起動ログ情報を取得し、第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数が、異常検知の対象となる起動ログ情報の数であり、図4においては38個であった例を示している。なお、次の区間「2」は、積算値の初期値を「0」にリセットしてから積算を開始してよい。なお、積算値は、所定期間における通信機器の種別ごとに積算して求めてもよい。 Thereafter, in the same way, the startup log information that is the target of abnormality detection is accumulated every predetermined period. In the example shown in FIG. 4, 210 pieces of boot log information are acquired in section "1", and the number of remaining boot log information not excluded by the first exclusion processing unit 2a and the second exclusion processing unit 2b is , is the number of startup log information to be detected as an abnormality, and an example of 38 is shown in FIG. Note that in the next section "2", integration may be started after resetting the initial value of the integrated value to "0". Note that the integrated value may be obtained by integrating for each type of communication device in a predetermined period.

サーバ10が、所定期間において、複数の通信機器20から取得した起動ログ情報の総数をSt、第1除外処理部2a及び第2除外処理部2bが除外する起動ログ情報をそれぞれS1、S2とすると、異常検知の対象とする起動ログ情報の数Saは、Sa=St-S1-S2により算出される。 Let St be the total number of activation log information acquired from the plurality of communication devices 20 by the server 10 in a predetermined period, and S1 and S2 be the activation log information excluded by the first exclusion processing unit 2a and the second exclusion processing unit 2b, respectively. , the number Sa of boot log information to be subjected to abnormality detection is calculated by Sa=St-S1-S2.

異常判断部4は、上記のようにして計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークまたは通信機器の異常の有無を判断する。 The abnormality determination unit 4 determines whether or not there is an abnormality in the network or communication equipment by comparing the number of pieces of boot log information counted as described above with a predetermined threshold value.

例えば、図4に示した例では、区間「1」において集計された異常検知の対象となる起動ログ情報の数は38個であるが、これは、区間「1」において取得した全ての起動ログ情報の数である210個の中から、第1除外処理部2a及び第2除外処理部2bにより、通信機器が起動された原因が異常に基づくものではない起動ログ情報を除外したものである。 For example, in the example shown in FIG. 4, the number of pieces of boot log information to be aggregated for anomaly detection in section "1" is 38. From the 210 pieces of information, the first exclusion processing unit 2a and the second exclusion processing unit 2b exclude the activation log information whose cause of activation of the communication device is not based on an abnormality.

図6に、本開示の一実施形態に係る異常検知システムにおいて、取得した起動ログ情報の数を正規分布に当てはめた場合の例を示すグラフを示す。横軸は異常検知の対象となる起動ログ情報の数であり、縦軸は確率分布である。図6は平均値が20、標準偏差σが5である例を示している。上記の例では、異常検知の対象となる起動ログ情報の数が38個であり、平均値から3σの範囲の上限である35個を閾値とすると、38個という数値は閾値を超えているために異常と判断することができる。このように、異常判断部4は、平均的な値からの乖離度に基づいて異常の有無を判断してよい。 FIG. 6 shows a graph showing an example of a case where the number of acquired boot log information is applied to a normal distribution in the anomaly detection system according to an embodiment of the present disclosure. The horizontal axis is the number of boot log information items to be detected for anomalies, and the vertical axis is the probability distribution. FIG. 6 shows an example in which the average value is 20 and the standard deviation σ is 5. In the above example, the number of boot log information items to be detected for anomalies is 38, and if the threshold is 35, which is the upper limit of the range from the average value to 3σ, the numerical value of 38 exceeds the threshold. can be judged to be abnormal. In this way, the abnormality determination unit 4 may determine whether there is an abnormality based on the degree of deviation from the average value.

出力部5は、異常判断部4の判断結果を出力する。例えば、出力部5は、表示部9に異常判断部4の判断結果を出力する。図7に、本開示の一実施形態に係る異常検知システムを用いて検出された各通信機器ごとの異常検知結果の出力例を示す。一例として、2022年3月11日11:00現在におけるサービス異常発生件数の累計を示す。サービス異常発生件数を示す表200には、サービス名201、WiFiルータでの異常発生件数202、固定電話用通信機器での異常発生件数203、BBルータでの異常発生件数204が示されている。 The output unit 5 outputs the determination result of the abnormality determination unit 4 . For example, the output unit 5 outputs the determination result of the abnormality determination unit 4 to the display unit 9 . FIG. 7 shows an output example of anomaly detection results for each communication device detected using the anomaly detection system according to an embodiment of the present disclosure. As an example, the total number of service failure occurrences as of 11:00 on March 11, 2022 is shown. A table 200 showing the number of service failure occurrences shows a service name 201, the number of failure occurrences 202 in WiFi routers, the number of failure occurrences 203 in fixed telephone communication devices, and the number of failure occurrences 204 in BB routers.

ネットワーク30の管理者は、表200を参照することにより、どの通信機器において異常が発生しているかを迅速に把握することができる。 By referring to the table 200, the administrator of the network 30 can quickly grasp which communication device has an abnormality.

次に、本開示の実施形態に係る異常検知方法について説明する。図8に、本開示の一実施形態に係る異常検知システムの動作手順を説明するためのフローチャートを示す。 Next, an abnormality detection method according to an embodiment of the present disclosure will be described. FIG. 8 shows a flowchart for explaining the operation procedure of the anomaly detection system according to an embodiment of the present disclosure.

まず、ステップS101において、取得部1(図1参照)が、ネットワーク30を介して、複数の通信機器20のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する。 First, in step S<b>101 , the acquisition unit 1 (see FIG. 1 ) acquires activation log information, which is log information created at the time of activation, from each of the plurality of communication devices 20 via the network 30 .

次に、ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報であるか否かを判断する。ここで、起動された原因が予め判明している起動ログ情報は、例えば、(1)通信機器が強制的に起動された場合に作成された起動ログ情報、(2)通信機器のファームウエアが変更された場合に作成された起動ログ情報、(3)通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報である。 Next, in step S102, the exclusion processing unit 2 determines whether or not the activation log information acquired by the acquisition unit 1 is the activation log information for which the cause of activation is known in advance. Here, the startup log information for which the cause of the startup is known in advance is, for example, (1) startup log information created when the communication device is forcibly started, and (2) the firmware of the communication device is (3) boot log information created when the mode or band of the communication device is changed;

ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報であると判断した場合は、ステップS103において、第1除外処理部2aが異常検知の対象から除外する。 If the exclusion processing unit 2 determines in step S102 that the activation log information acquired by the acquisition unit 1 is activation log information for which the cause of activation is known in advance, then in step S103, the first exclusion processing is performed. The part 2a excludes it from the target of abnormality detection.

一方、ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報ではないと判断した場合は、ステップS103における除外処理は行われない。 On the other hand, if the exclusion processing unit 2 determines in step S102 that the activation log information acquired by the acquisition unit 1 is not the activation log information for which the cause of activation is known in advance, the exclusion processing in step S103 is Not done.

次に、ステップS104において、第2除外処理部2bが生活習慣に基づく起動ログ情報を除外する。 Next, in step S104, the second exclusion processing unit 2b excludes activation log information based on lifestyle habits.

次に、ステップS105において、計数部3が、第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数を所定期間毎に計数する。 Next, in step S105, the counting unit 3 counts the number of remaining boot log information not excluded by the first exclusion processing unit 2a and the second exclusion processing unit 2b for each predetermined period.

次に、ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値より大きいか否かを判断する。 Next, in step S106, the abnormality determination unit 4 determines whether or not the counted number of boot log information is greater than a predetermined threshold.

ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値より大きいと判断した場合は、ステップS107において、異常有りと判断する。 In step S106, when the abnormality determination unit 4 determines that the counted number of boot log information is larger than the predetermined threshold value, in step S107, it determines that there is an abnormality.

一方、ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値未満であると判断した場合は、ステップS108において、異常無しと判断する On the other hand, in step S106, if the abnormality determination unit 4 determines that the counted number of startup log information is less than the predetermined threshold value, in step S108, it determines that there is no abnormality.

次に、ステップS109において、出力部5が、異常判断部4の判断結果を出力する。 Next, in step S<b>109 , the output unit 5 outputs the determination result of the abnormality determination unit 4 .

(停電に基づく起動ログ情報の分析)
通信機器20が設置された地域において停電が発生すると、通信機器20は動作を停止し、停電復帰後に再起動される。従って、停電が発生した地域において、停電に伴って起動ログ情報の数が増加することが考えられる。そこで、サーバ10は、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部13(図1参照)をさらに有してよい。
(Analysis of startup log information based on power failure)
When a power failure occurs in the area where the communication device 20 is installed, the communication device 20 stops operating and is restarted after the power failure is restored. Therefore, it is conceivable that the number of start-up log information items increases along with the power outage in the area where the power outage occurred. Therefore, the server 10 may further include a power outage abnormality estimating unit 13 (see FIG. 1) that estimates the presence or absence of an abnormality based on the power outage based on the startup log information acquired when the power outage occurs.

停電により通信機器20が再起動された場合、ネットワーク30や通信機器20には異常が発生しないとも考えられる。しかしながら、停電の発生により、通信機器20のユーザは何らかの影響を受けることが想定される。そこで停電異常推定部13は、起動ログ情報の増加が停電を原因とするものであるか否かを推定し、停電が原因である場合は、その旨を出力部5に出力させることが好ましい。このような構成とすることにより、ユーザは通信機器20の再起動が停電に基づくものであることを把握することができる。 Even if the communication device 20 is restarted due to a power failure, it is conceivable that no abnormality will occur in the network 30 or the communication device 20 . However, users of the communication device 20 are expected to be affected in some way by the occurrence of a power outage. Therefore, it is preferable that the power outage abnormality estimation unit 13 estimates whether or not the increase in the startup log information is caused by the power outage, and if the power outage is the cause, causes the output unit 5 to output that effect. With such a configuration, the user can understand that the restart of the communication device 20 is based on a power failure.

停電による起動ログ情報の数の変化に特徴がある場合には、停電異常推定部13は、過去の起動ログ情報の時間的変化のデータから、今回の起動ログ情報の増加は停電によるものであると判断してよい。このような構成とすることで、サーバ10の外部から停電に関する情報を受信する前に、起動ログ情報の増加が停電に基づくものであるか否かを迅速に判断することができる。 If there is a characteristic change in the number of boot log information due to a power failure, the power failure anomaly estimating unit 13 determines that the current increase in the boot log information is due to the power failure, based on the data of the temporal change in the past boot log information. You can judge. By adopting such a configuration, it is possible to quickly determine whether or not an increase in boot log information is due to a power failure before receiving information about a power failure from outside the server 10 .

一方、停電に関する情報が、電力会社等からリアルタイムに取得可能である場合は、停電異常推定部13は、取得した停電関する情報に基づいて、起動ログ情報の増加が停電に基づくものであるか否かを判断してよい。例えば、起動ログ情報の増加が発生した地域と、停電が発生した地域とを照らし合わせて、両地域が一致した場合には、起動ログ情報の増加が停電に基づくものであると判断することができる。 On the other hand, if the power outage information can be acquired in real time from the power company or the like, the power outage abnormality estimating unit 13 determines whether the increase in the boot log information is due to the power outage based on the acquired information related to the power outage. You can judge whether For example, comparing an area where an increase in boot log information occurred with an area where a power outage occurred, and if the two areas match, it can be determined that the increase in boot log information is due to the power outage. can.

(異常が生じた地域及び機種の特定方法)
上述した例では、所定の地域における複数の通信機器を設置したネットワークにおける異常の判断方法について説明した。しかしながら、ネットワーク障害の原因にはネットワーク自体に異常が生じている場合と、特定の機種の通信機器に異常が生じている場合が考えられ、両者を切り分けることが好ましい。そこで、複数の地域に渡って複数の通信機器を設置したネットワークにおける異常を検知することにより、異常の原因が特定の地域のネットワークによるものであるのか、特定の機種の通信機器によるものであるのかを判別する方法について説明する。
(Method of Identifying Area and Model of Abnormality)
In the above example, the method of determining abnormality in a network in which a plurality of communication devices are installed in a predetermined area has been described. However, network failures may be caused by an abnormality in the network itself or by an abnormality in a particular type of communication device, and it is preferable to separate the two. Therefore, by detecting anomalies in networks in which multiple communication devices are installed over multiple regions, it is possible to determine whether the cause of anomalies is due to a network in a specific region or to a specific type of communication device. A method for determining is described.

図9(a)及び(b)に、本開示の一実施形態に係る異常検知システム1000を用いて検出された複数の地域及び機種についての異常と判断された起動ログ情報の数の一覧表を示す。図9(a)は、特定のある日における検出結果を示し、図9(b)は、特定のある日とは異なる別の日における検出結果を示す。図9(a)及び(b)においては、複数の地域が、東京、大阪、北海道であり、複数の機種が、WiFiルータ、固定電話用通信機器、BBルータである場合を例にとって説明する。 9A and 9B show lists of the number of startup log information determined to be abnormal for multiple regions and models detected using the anomaly detection system 1000 according to an embodiment of the present disclosure. show. FIG. 9(a) shows detection results on a specific day, and FIG. 9(b) shows detection results on another day different from the specific day. In FIGS. 9A and 9B, the case where the multiple regions are Tokyo, Osaka, and Hokkaido, and the multiple models are WiFi routers, fixed telephone communication devices, and BB routers will be described as an example.

図9(a)においては、異常と判断された起動ログ情報の数が多いのは、ネットワークが存在する地域に関わらず、WiFiルータである。従って、この場合は、WiFiルータに異常が発生していることが推測される。 In FIG. 9(a), it is the WiFi router that has a large number of startup log information determined to be abnormal, regardless of the area where the network exists. Therefore, in this case, it is presumed that an abnormality has occurred in the WiFi router.

一方、図9(b)においては、異常と判断された起動ログ情報の数が多いのは、通信機器の機種に関わらず、大阪である。従って、この場合は、大阪に設置されたネットワークに異常が発生していることが推測される。 On the other hand, in FIG. 9B, Osaka has the largest number of startup log information determined to be abnormal, regardless of the model of the communication device. Therefore, in this case, it is presumed that an abnormality has occurred in the network installed in Osaka.

以上、本発明によれば、上述した作用により、ネットワーク又は通信機器の異常を迅速に検知することができるため、信頼できる持続可能なインフラの構築に寄与し、SDGs目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。 As described above, according to the present invention, anomalies in networks or communication equipment can be detected quickly by the above-described actions, so it contributes to the construction of reliable and sustainable infrastructure, and contributes to the development of SDGs Goal 9 "Industry and technological innovation." We can contribute to the achievement of "Let's build a foundation".

1 取得部
2 除外処理部
2a 第1除外処理部
2b 第2除外処理部
3 計数部
4 異常判断部
5 出力部
6 送受信部
7 記憶部
8 計時部
9 表示部
10 サーバ
11 制御部
12 バス
13 停電異常推定部
20 通信機器
30 ネットワーク
40 端末
1000 異常検知システム
1 acquisition unit 2 exclusion processing unit 2a first exclusion processing unit 2b second exclusion processing unit 3 counting unit 4 abnormality determination unit 5 output unit 6 transmission/reception unit 7 storage unit 8 timer unit 9 display unit 10 server 11 control unit 12 bus 13 power outage Anomaly estimation unit 20 communication device 30 network 40 terminal 1000 anomaly detection system

Claims (9)

ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、
取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、
前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、
計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、
前記異常判断部の判断結果を出力する出力部と、
を有することを特徴とする異常検知サーバ。
an acquisition unit that acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network;
an exclusion processing unit that excludes the acquired activation log information from an abnormality detection target when the cause of activation of the communication device is not based on an abnormality;
a counting unit that counts the number of remaining boot log information not excluded by the exclusion processing unit for each predetermined period;
an abnormality determination unit that determines whether or not there is an abnormality in the network by comparing the counted number of boot log information with a predetermined threshold;
an output unit that outputs the determination result of the abnormality determination unit;
An anomaly detection server characterized by having:
前記除外処理部は、通信機器が起動された原因が予め判明している起動ログ情報を異常検知の対象から除外する、請求項1に記載の異常検知サーバ。 2. The abnormality detection server according to claim 1, wherein said exclusion processing unit excludes activation log information in which a cause of activation of the communication device is known in advance from an abnormality detection target. 前記除外処理部は、少なくとも、通信機器が強制的に起動された場合、通信機器のファームウエアが変更された場合、あるいは通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報を異常検知の対象から除外する、請求項1または2に記載の異常検知サーバ。 The exclusion processing unit at least stores activation log information created when the communication device is forcibly activated, when the firmware of the communication device is changed, or when the mode or band of the communication device is changed. 3. The anomaly detection server according to claim 1, which is excluded from anomaly detection targets. 前記除外処理部は、通信機器のユーザの生活習慣に基づいて作成された起動ログ情報を異常検知の対象から除外する、請求項1乃至3のいずれか一項に記載の異常検知サーバ。 The anomaly detection server according to any one of claims 1 to 3, wherein the exclusion processing unit excludes boot log information created based on lifestyle habits of a communication device user from anomaly detection targets. 前記除外処理部は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習する、請求項4に記載の異常検知サーバ。 5. The exclusion processing unit, based on the activation log information acquired over a predetermined period, learns the temporal pattern of the activation log information created based on the lifestyle habits of the user by machine learning. The described anomaly detection server. 前記異常判断部は、平均的な値からの乖離度に基づいて異常の有無を判断する、請求項1乃至5のいずれか一項に記載の異常検知サーバ。 The anomaly detection server according to any one of claims 1 to 5, wherein said anomaly judgment unit judges the presence or absence of an anomaly based on the degree of deviation from an average value. 停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部をさらに有する、請求項1乃至6のいずれか一項に記載の異常検知サーバ。 7. The anomaly detection server according to any one of claims 1 to 6, further comprising a power outage anomaly estimating unit for estimating presence/absence of an anomaly due to a power outage based on startup log information acquired when a power outage occurs. 複数の通信機器、及び該複数の通信機器とネットワークを介して接続されたサーバを有する異常検知システムであって、
前記複数の通信機器は、それぞれ、
起動時に起動ログ情報を作成する起動ログ情報作成部と、
前記起動ログ情報を送信する送受信部と、を有し、
前記サーバは、
前記複数の通信機器のそれぞれから、前記起動ログ情報を取得する取得部と、
取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、
前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、
計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、
前記異常判断部の判断結果を出力する出力部と、を有する、
ことを特徴とする異常検知システム。
An anomaly detection system having a plurality of communication devices and a server connected to the plurality of communication devices via a network,
Each of the plurality of communication devices,
a startup log information creation unit that creates startup log information at startup;
a transmitting/receiving unit that transmits the boot log information,
The server is
an acquisition unit that acquires the activation log information from each of the plurality of communication devices;
an exclusion processing unit that excludes the acquired activation log information from an abnormality detection target when the cause of activation of the communication device is not based on an abnormality;
a counting unit that counts the number of remaining boot log information not excluded by the exclusion processing unit for each predetermined period;
an abnormality determination unit that determines whether or not there is an abnormality in the network by comparing the counted number of boot log information with a predetermined threshold;
an output unit that outputs the determination result of the abnormality determination unit;
An anomaly detection system characterized by:
取得部が、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得し、
除外処理部が、取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外し、
計数部が、前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数し、
異常判断部が、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断し、
出力部が、前記異常判断部の判断結果を出力する、
ことを特徴とする異常検知方法。
an acquisition unit acquires startup log information, which is log information created at startup, from each of a plurality of communication devices via a network;
The exclusion processing unit excludes the acquired activation log information from an abnormality detection target when the cause of activation of the communication device is not based on an abnormality,
a counting unit counting the number of remaining boot log information not excluded by the exclusion processing unit for each predetermined period;
The abnormality determination unit determines whether or not there is an abnormality in the network by comparing the counted number of startup log information with a predetermined threshold,
The output unit outputs the judgment result of the abnormality judgment unit,
An anomaly detection method characterized by:
JP2022041894A 2022-03-16 2022-03-16 Anomaly detection server, anomaly detection system, and anomaly detection method Active JP7192155B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022041894A JP7192155B1 (en) 2022-03-16 2022-03-16 Anomaly detection server, anomaly detection system, and anomaly detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022041894A JP7192155B1 (en) 2022-03-16 2022-03-16 Anomaly detection server, anomaly detection system, and anomaly detection method

Publications (2)

Publication Number Publication Date
JP7192155B1 true JP7192155B1 (en) 2022-12-19
JP2023136334A JP2023136334A (en) 2023-09-29

Family

ID=84546046

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022041894A Active JP7192155B1 (en) 2022-03-16 2022-03-16 Anomaly detection server, anomaly detection system, and anomaly detection method

Country Status (1)

Country Link
JP (1) JP7192155B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014146197A (en) 2013-01-29 2014-08-14 Mitsubishi Heavy Ind Ltd System management device and system
JP2019168869A (en) 2018-03-22 2019-10-03 株式会社日立製作所 Incident detection system and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014146197A (en) 2013-01-29 2014-08-14 Mitsubishi Heavy Ind Ltd System management device and system
JP2019168869A (en) 2018-03-22 2019-10-03 株式会社日立製作所 Incident detection system and method thereof

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
飯田巨樹,ネットワーク/セキュリティ/ストレージ 3つの視点で見るリモート管理のポイント 第1部 ネットワークの管理/監視,N+I NETWORK Guide 2004年1月号,ソフトバンクパブリッシング株式会社,2004年01月01日,第4巻,第1号,通巻32号,pp.84~92

Also Published As

Publication number Publication date
JP2023136334A (en) 2023-09-29

Similar Documents

Publication Publication Date Title
US10939266B2 (en) System, method, apparatus, and computer program product for providing mobile device support services
US11601801B2 (en) System, method, apparatus, and computer program product for providing mobile device support services
EP2394219A1 (en) System health and performance care of computing devices
CN115658408A (en) Sensor state detection method and device and readable storage medium
JP7192155B1 (en) Anomaly detection server, anomaly detection system, and anomaly detection method
KR100937003B1 (en) System and method for maintaining devices
KR101702038B1 (en) System for managing sever irregularity conditions of server, and method for managing sever irregularity conditions of server using the same
JP2014211784A (en) Multiplex control apparatus and multiplex control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221207

R150 Certificate of patent or registration of utility model

Ref document number: 7192155

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150