JP7268228B1 - Information processing device, information processing method and information processing program - Google Patents
Information processing device, information processing method and information processing program Download PDFInfo
- Publication number
- JP7268228B1 JP7268228B1 JP2022092249A JP2022092249A JP7268228B1 JP 7268228 B1 JP7268228 B1 JP 7268228B1 JP 2022092249 A JP2022092249 A JP 2022092249A JP 2022092249 A JP2022092249 A JP 2022092249A JP 7268228 B1 JP7268228 B1 JP 7268228B1
- Authority
- JP
- Japan
- Prior art keywords
- time
- detection notification
- received
- suppression
- notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
【課題】監視対象の監視に係る管理者の負担を低減することを可能とする。【解決手段】本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、第1の抑制時間の経過後に回復検知通知を出力する出力制御部と、を備える。【選択図】図4An object of the present invention is to reduce the burden on an administrator involved in monitoring a monitoring target. Kind Code: A1 An information processing apparatus according to the present application includes a reception unit that receives an abnormality detection notification indicating that the state of a monitoring target is abnormal, and a start time that is a first time that a first abnormality detection notification is received. When a recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality is received within the first suppression time, a second abnormality detection notification different from the first abnormality detection notification is generated after the recovery detection notification is received. and an output control unit that outputs a recovery detection notification after the first suppression time has elapsed on condition that the recovery detection notification is not accepted. [Selection drawing] Fig. 4
Description
本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。 The present invention relates to an information processing device, an information processing method, and an information processing program.
従来、情報処理装置が監視対象の異常を検知し、監視対象の管理者に通知する技術が知られている。例えば、監視対象の異常が検出されるまでの監視対象の監視結果値を基に、監視対象の異常が瞬間的な異常か否かを判断する。そして、監視対象の異常が瞬間的な異常ではなかった場合に、障害メッセージを通知する技術が知られている。 Conventionally, a technology is known in which an information processing apparatus detects an abnormality in a monitoring target and notifies an administrator of the monitoring target. For example, based on the monitoring result value of the monitoring target until the abnormality of the monitoring target is detected, it is determined whether or not the abnormality of the monitoring target is an instantaneous abnormality. Also, there is known a technique of notifying a failure message when the failure to be monitored is not a momentary failure.
監視対象の監視に係る管理者の負担を低減することを可能とする技術が求められている。 There is a demand for a technology that can reduce the burden on administrators involved in monitoring monitored objects.
本願は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる情報処理装置、情報処理方法及び情報処理プログラムを提供することを目的とする。 An object of the present application is to provide an information processing apparatus, an information processing method, and an information processing program that can reduce the burden on an administrator involved in monitoring a monitoring target.
本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御部と、を備える。前記出力制御部は、前記第1の時刻を開始時刻とする前記第1の抑制時間内に前記第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制する。 An information processing apparatus according to the present application includes a receiving unit that receives an abnormality detection notification indicating that the state of a monitored object is abnormal, and a first suppression that starts at a first time when the first abnormality detection notification is received. When a recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality is received within the time, a second abnormality detection notification different from the first abnormality detection notification is generated after receiving the recovery detection notification. and an output control unit that outputs the recovery detection notification after the first suppression time has elapsed on condition that the recovery detection notification is not accepted. The output control unit suppresses output of the second abnormality detection notification when the second abnormality detection notification is received within the first suppression time period starting from the first time.
前記出力制御部は、前記第2の異常検知通知を受け付けた第2の時刻を開始時刻とする前記第1の抑制時間内に前記第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、前記第3の異常検知通知の出力を抑制し、前記第2の時刻を開始時刻とする前記第1の抑制時間内に前記回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第3の異常検知通知を受け付けないことを条件として、前記第2の時刻を開始時刻とする前記第1の抑制時間の経過後に前記回復検知通知を出力する。 The output control unit outputs a third abnormality detection notification different from the second abnormality detection notification within the first suppression time period starting at a second time when the second abnormality detection notification is received. If the recovery detection notification is received, outputting the third abnormality detection notification is suppressed, and if the recovery detection notification is received within the first suppression time whose start time is the second time, the recovery detection notification on the condition that the third abnormality detection notification is not received after receiving the recovery detection notification after the first restraint time having the second time as the start time elapses.
前記出力制御部は、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、第4の異常検知通知を受け付けた場合は、前記第1の抑制時間よりも長い第2の抑制時間にわたって、前記第4の異常検知通知の出力を抑制し、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記回復検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けないことを条件として、前記第2の抑制時間の経過後に前記回復検知通知を出力する。 When receiving a fourth abnormality detection notification after continuing the process of suppressing the abnormality detection notification during the first suppression time for a predetermined time, the output control unit receives a second output control that is longer than the first suppression time. After suppressing the output of the fourth abnormality detection notification for the suppression time of and suppressing the abnormality detection notification during the first suppression time, the recovery detection notification is received after continuing the process for the predetermined time , on condition that the fourth abnormality detection notification is not accepted, the recovery detection notification is output after the second suppression time elapses.
前記出力制御部は、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了後に前記第4の異常検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間にわたって前記第4の異常検知通知の出力を抑制し、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了後に、前記第4の異常検知通知を受け付け、更に前記回復検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。 The output control unit controls the end time of the first suppression period having the second time as the start time to exceed the predetermined time, and the first suppression period having the second time as the start time. When the fourth abnormality detection notification is received after the end of, the output of the fourth abnormality detection notification is suppressed for the second suppression time starting at the time when the fourth abnormality detection notification is received. and the end time of the first suppression period starting at the second time exceeds the predetermined period of time, and after the first suppression period starting at the second time ends, When the fourth abnormality detection notification is received and the recovery detection notification is received, the recovery detection notification is received after the second suppression time has elapsed, starting at the time when the fourth abnormality detection notification is received. to output
前記出力制御部は、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間に前記第3の異常検知通知を受け付け、更に前記回復検知通知を受け付けた場合は、前記第3の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。 The output control unit controls the end time of the first suppression period having the second time as the start time to exceed the predetermined time, and the first suppression period having the second time as the start time. In the case where the third abnormality detection notification is received and the recovery detection notification is further received, the recovery detection is performed after the second suppression time has elapsed, the start time being the time when the third abnormality detection notification was received. Output a notification.
本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御部と、を備える。 The information processing apparatus according to the present application includes a reception unit that receives an abnormality detection notification indicating that the state of a monitoring target is abnormal, and an N-th abnormality detection notification that is an abnormality detection notification received for the Nth time (N is a natural number). If another anomaly detection notification different from the Nth anomaly detection notification is received within a first suppression time starting at the Nth time that is the reception time, the other anomaly detection notification is output. is suppressed, and if a new abnormality detection notification is not received after the process of suppressing the abnormality detection notification during the first suppression time is continued for a predetermined time, a second suppression that is longer than the first suppression time Output for outputting a recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality after a lapse of time or after the process of suppressing the abnormality detection notification during the first suppression time is continued for the predetermined time. and a control unit.
前記出力制御部は、前記監視対象の状態を示す状態情報から、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を推定するよう学習された機械学習モデルを用いて、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を推定する。 The output control unit uses a machine learning model learned to estimate the first suppression time, the predetermined time, or the second suppression time from the state information indicating the state of the monitoring target, One suppression time, the predetermined time or the second suppression time is estimated.
前記出力制御部は、前記受付部が前記異常検知通知を受け付けた時刻から一定の時間内に受け付けた前記異常検知通知の履歴に基づいて、統計的手法を用いて、前記異常検知通知を受け付けてから、前記異常検知通知を受け付けなくなるまでの期間を推定し、推定した期間に基づいて、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を決定する。 The output control unit accepts the anomaly detection notification using a statistical method based on the history of the anomaly detection notifications received within a certain period of time from the time when the anomaly detection notification was accepted by the reception unit. , the period until the anomaly detection notification is no longer accepted is estimated, and the first suppression period, the predetermined period, or the second suppression period is determined based on the estimated period.
本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御部と、を備える。前記出力制御部は、前記第1の抑制時間内に複数の異常検知通知を受け付けた場合は、前記複数の異常検知通知の出力を抑制する。 An information processing apparatus according to the present application includes a reception unit that receives an abnormality detection notification indicating that the state of a monitoring target is abnormal, suppresses output of an abnormality detection notification received within a first suppression time , an output control unit that outputs a first abnormality detection notification after the first suppression time has elapsed on condition that the total notification time of the normal detection notification is equal to or greater than the cumulative threshold time. The output control unit suppresses output of the plurality of abnormality detection notifications when receiving a plurality of abnormality detection notifications within the first suppression time.
前記出力制御部は、前記監視対象の状態が異常から回復したことを示す回復検知通知を前記第1の抑制時間内に受け付けた場合は、前記回復検知通知の出力を抑制する。 The output control unit suppresses the output of the recovery detection notification when the recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality is received within the first suppression time.
前記出力制御部は、前記第1の異常検知通知を出力した第1の時刻を開始時刻とする第2の抑制時間であって、前記第1の抑制時間よりも短い前記第2の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、前記第1の時刻を開始時刻とする前記第2の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記回復検知通知を受け付けた第2の時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。 The output control unit is a second suppression time starting at a first time when the first abnormality detection notification is output, and is shorter than the first suppression time. When a second anomaly detection notification different from the first anomaly detection notification is received at this time, the output of the second anomaly detection notification is suppressed, and the second anomaly detection notification having the first time as the start time If a recovery detection notification indicating that the state of the monitoring target has recovered from an abnormality is received within the suppression time, the second abnormality detection notification is not received after the recovery detection notification is received. The recovery detection notification is output after the second suppression time, starting from the second time at which the recovery detection notification is received, has elapsed.
前記出力制御部は、前記第2の異常検知通知を受け付けた第3の時刻を開始時刻とする前記第2の抑制時間内に前記第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、前記第3の異常検知通知の出力を抑制し、前記第3の時刻を開始時刻とする前記第2の抑制時間内に前記回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第3の異常検知通知を受け付けないことを条件として、前記第2の時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。 The output control unit transmits a third abnormality detection notification different from the second abnormality detection notification within the second suppression time period starting at a third time when the second abnormality detection notification is received. If received, output of the third abnormality detection notification is suppressed, and if the recovery detection notification is received within the second suppression time whose start time is the third time, the recovery detection notification on the condition that the third anomaly detection notification is not received after receiving the recovery detection notification after the second suppression time having the second time as the start time elapses.
前記出力制御部は、前記監視対象の状態を示す状態情報から、前記第1の抑制時間、前記累積閾値時間または前記第2の抑制時間を推定するよう学習された機械学習モデルを用いて、前記第1の抑制時間、前記累積閾値時間または前記第2の抑制時間を推定する。 The output control unit uses a machine learning model learned to estimate the first suppression time, the cumulative threshold time, or the second suppression time from the state information indicating the state of the monitoring target, A first suppression time, the cumulative threshold time or the second suppression time is estimated.
本願に係る情報処理方法は、情報処理装置が実行するプログラムにより実現される情報処理方法であって、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、前記第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御工程と、を含む。 An information processing method according to the present application is an information processing method implemented by a program executed by an information processing apparatus, comprising: If a second anomaly detection notification different from the first anomaly detection notification is received within a first suppression time starting at the first time when the detection notification is received, the second anomaly detection notification is suppressed, and when a recovery detection notification indicating that the state of the monitored object has recovered from the abnormality is received within the first suppression time, the second abnormality detection is performed after receiving the recovery detection notification and an output control step of outputting the recovery detection notification after the first suppression time has elapsed on condition that the notification is not accepted.
本願に係る情報処理方法は、情報処理装置が実行するプログラムにより実現される情報処理方法であって、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、第1の抑制時間内に複数の異常検知通知を受け付けた場合は、前記複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御工程と、を含む。 An information processing method according to the present application is an information processing method implemented by a program executed by an information processing apparatus, comprising: a receiving step of receiving an abnormality detection notification indicating that the state of a monitoring target is abnormal; When a plurality of anomaly detection notifications are received within the time, suppressing the output of the plurality of anomaly detection notifications, and on the condition that the total notification time of each of the plurality of anomaly detection notifications is equal to or greater than the cumulative threshold time, and an output control step of outputting a first abnormality detection notification after the first suppression time has elapsed.
本願に係る情報処理方法は、情報処理装置が実行するプログラムにより実現される情報処理方法であって、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御工程と、を含む。 An information processing method according to the present application is an information processing method realized by a program executed by an information processing apparatus, comprising: a receiving step of receiving an abnormality detection notification indicating that the state of a monitoring target is abnormal; (natural number) different from the N-th anomaly detection notification within a first suppression time starting at the N-th time, which is the time when the N-th anomaly detection notification, which is an anomaly detection notification received for the first time, is received. is received, the output of the other anomaly detection notification is suppressed, and after continuing the process of suppressing the anomaly detection notification during the first suppression time for a predetermined time, a new anomaly detection notification is accepted. If not, after a second suppression time longer than the first suppression time elapses, or after the process of suppressing the abnormality detection notification during the first suppression time continues for the predetermined time, the monitoring and an output control step of outputting a recovery detection notification indicating that the target state has recovered from the abnormality.
本願に係る情報処理プログラムは、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付手順と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、前記第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御手順と、をコンピュータに実行させる。 An information processing program according to the present application includes a reception procedure for receiving an abnormality detection notification indicating that the state of a monitoring target is abnormal; When a second abnormality detection notification different from the first abnormality detection notification is received within the time, suppressing the output of the second abnormality detection notification, and suppressing the monitoring target within the first suppression time. When a recovery detection notification indicating that the state has recovered from an abnormality is received, on the condition that the second abnormality detection notification is not received after the recovery detection notification is received, after the first suppression time has elapsed and an output control procedure for outputting the recovery detection notification.
本願に係る情報処理プログラムは、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付手順と、第1の抑制時間内に複数の異常検知通知を受け付けた場合は、前記複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御手順と、をコンピュータに実行させる。 An information processing program according to the present application includes a reception procedure for receiving an abnormality detection notification indicating that the state of a monitoring target is abnormal; Suppressing the output of the detection notification, and outputting the first abnormality detection notification after the first suppression time has elapsed on condition that the total notification time of each of the plurality of abnormality detection notifications is equal to or greater than the cumulative threshold time. and causing a computer to execute an output control procedure.
本願に係る情報処理プログラムは、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付手段と、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御手段と、をコンピュータに実行させる。 An information processing program according to the present application includes receiving means for receiving an anomaly detection notification indicating that the state of a monitoring target is anomalous, and an Nth anomaly detection notification which is an anomaly detection notification received for the Nth time (N is a natural number). If another anomaly detection notification different from the Nth anomaly detection notification is received within a first suppression time starting at the Nth time that is the reception time, the other anomaly detection notification is output. is suppressed, and if a new abnormality detection notification is not received after the process of suppressing the abnormality detection notification during the first suppression time is continued for a predetermined time, a second suppression that is longer than the first suppression time Output for outputting a recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality after a lapse of time or after the process of suppressing the abnormality detection notification during the first suppression time is continued for the predetermined time. causing a computer to execute a control means;
実施形態の一態様によれば、監視対象の監視に係る負荷を低減することを可能とすることができる。 According to one aspect of the embodiment, it is possible to reduce the load related to monitoring of the monitoring target.
以下に、本願に係る情報処理装置、情報処理方法及び情報処理プログラムを実施するための形態(以下、「実施形態」と呼ぶ)について図面を参照しつつ詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法及び情報処理プログラムが限定されるものではない。また、以下の各実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。 Embodiments for implementing an information processing apparatus, an information processing method, and an information processing program according to the present application (hereinafter referred to as "embodiments") will be described in detail below with reference to the drawings. The information processing apparatus, information processing method, and information processing program according to the present application are not limited to this embodiment. Also, in each of the following embodiments, the same parts are denoted by the same reference numerals, and overlapping descriptions are omitted.
(実施形態)〔1.ばたつき抑制モード〕
従来、監視対象の状態を検知する検知装置が知られている。検知装置は、例えば、送受信したパケット量、CPU(Central Processing Unit)もしくは、メモリ等のハードウェアリソースの使用量、または、インターフェイスもしくは、電源ユニットなどのハードウェアの状態等の監視対象の状態を示す状態情報に基づいて、監視対象の状態が異常であるか否かを検知する。監視対象の状態が異常であるか否は、例えば、予め定められた閾値に基づいて検知する、または、監視対象の状態が異常であるか否を検知するよう学習された機械学習モデルを用いて、監視対象の状態を検知する等の手法によって行われてよい。検知装置は、監視対象の状態が異常であることを検知した場合、監視対象を管理する管理者に対して、監視対象の状態が異常であることを示す異常検知通知を行う。
(Embodiment) [1. Flutter suppression mode]
2. Description of the Related Art Conventionally, there is known a detection device that detects the state of an object to be monitored. The detection device indicates the status of the monitoring target, such as the amount of packets sent and received, the usage of hardware resources such as a CPU (Central Processing Unit) or memory, or the status of hardware such as an interface or a power supply unit. Based on the state information, it is detected whether or not the state of the monitored object is abnormal. Whether or not the state of the monitoring target is abnormal is detected, for example, based on a predetermined threshold value, or using a machine learning model that has been learned to detect whether or not the state of the monitoring target is abnormal. , detection of the state of the monitored object, or the like. When detecting that the state of the monitoring target is abnormal, the detecting device notifies the administrator who manages the monitoring target of the abnormality detection that the state of the monitoring target is abnormal.
また、検知装置によって検知される異常の中には、管理者に対して通知を行う必要のないものが含まれる。例えば、検知装置は、監視対象の状態が異常であることを検知した場合に、監視対象の状態が異常から回復するまでの間、異常を検知し続け、連続して異常検知通知を行う場合がある。このような場合、管理者は最初の異常検知通知を以って異常の発生を認識することができるにも関わらず、検知装置から繰り返し同一の異常検知通知を受けることになる。管理者は、繰り返し通知される異常検知通知のそれぞれについて、監視対象の状態を確認するまたは、内容が最初の異常検知と同一であるかを確認するなどの確認作業を行う必要がある。通常、管理者は、このような確認作業と並行して、最初の異常検知通知で認識した異常の復旧作業を行う必要があるため、管理者に対して過度な負担を強いることになっていた。 Also, the abnormalities detected by the detection device include those that do not need to be notified to the administrator. For example, when detecting that the status of the monitoring target is abnormal, the detection device may continue to detect the abnormality until the status of the monitoring target recovers from the abnormality, and may continuously issue an abnormality detection notification. be. In such a case, although the administrator can recognize the occurrence of anomaly from the first anomaly detection notification, the same anomaly detection notification is repeatedly received from the detection device. For each anomaly detection notification that is repeatedly notified, the administrator needs to confirm the status of the monitored object or check whether the content is the same as the first anomaly detection. In parallel with such confirmation work, administrators usually need to perform recovery work for anomalies recognized in the first anomaly detection notification, which imposes an excessive burden on administrators. .
そこで、検知装置から管理者に対して異常検知通知を行う前に、検知装置から異常検知通知を受け付けて、受け付けた異常検知通知のうち、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制するフィルタ装置が知られている。例えば、フィルタ装置は、検知装置から連続して異常検知通知を受け付けた場合、初回の異常検知通知を行った後は、監視対象の状態が異常から回復したことを示す回復検知通知を受け付けるまで、次回以降の異常検知通知を行わないよう抑制する。 Therefore, before sending an anomaly detection notification from the detection device to the administrator, an anomaly detection notification is received from the detection device, and out of the anomaly detection notifications received, an anomaly detection notification that does not need to be sent to the administrator There is known a filter device that suppresses the For example, when the filter device continuously receives anomaly detection notifications from the detection device, after the first anomaly detection notification is sent, the filter device receives a recovery detection notification indicating that the state of the monitoring target has recovered from the anomaly. Suppress not to perform anomaly detection notification after the next time.
しかしながら、上述したフィルタ装置は、例えば、短時間の間に、異常検知通知と回復検知通知を繰り返す場合であって、管理者に対して何度も通知を行う必要のない異常検知通知を行わないよう抑制することができなかった。したがって、上述したフィルタ装置は、監視対象の監視に係る管理者の負担を低減することが困難な場合があった。 However, the filter device described above, for example, repeats abnormality detection notification and recovery detection notification within a short period of time, and does not perform abnormality detection notification that does not require repeated notification to the administrator. could not be restrained. Therefore, it is sometimes difficult for the filter device described above to reduce the burden on the administrator involved in monitoring the monitored object.
これに対し、本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付け、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制してよい。また、抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、抑制時間の経過後に回復検知通知を出力してよい。 On the other hand, the information processing apparatus according to the present application receives an abnormality detection notification indicating that the state of the monitored object is abnormal, If a second anomaly detection notification different from the first anomaly detection notification is received immediately, the output of the second anomaly detection notification may be suppressed. In addition, if a recovery detection notification indicating that the state of the monitoring target has recovered from an abnormality is received within the suppression time period, the suppression time period is subject to the condition that the second anomaly detection notification is not accepted after the recovery detection notification is accepted. After the elapse of, the recovery detection notification may be output.
これにより、情報処理装置は、例えば、管理者に対して、初回の異常検知通知を行った後、一定時間の間、散発的に発生する異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。 As a result, the information processing apparatus can, for example, issue an anomaly detection notification that occurs sporadically for a certain period of time after sending an anomaly detection notification to the administrator for the first time. It is possible to suppress unnecessary anomaly detection notification not to be performed. Therefore, the information processing device can reduce the burden on the administrator involved in monitoring the monitoring target.
また、本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付け、累積測定時間内に複数の異常検知通知を受け付けた場合は、複数の異常検知通知の出力を抑制し、複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、累積測定時間の経過後に第1の異常検知通知を出力してよい。 Further, the information processing apparatus according to the present application receives anomaly detection notifications indicating that the state of the monitored object is abnormal, and outputs a plurality of anomaly detection notifications when a plurality of anomaly detection notifications are received within the cumulative measurement time. may be suppressed, and the first abnormality detection notification may be output after the cumulative measurement time has elapsed on condition that the total notification time of each of the plurality of abnormality detection notifications is equal to or greater than the cumulative threshold time.
これにより、情報処理装置は、例えば、管理者に対して、一定時間の間、異常検知通知と回復検知通知を繰り返す場合の異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。 As a result, the information processing apparatus can, for example, send an anomaly detection notification to an administrator in a case where an anomaly detection notification and a recovery detection notification are repeated for a certain period of time, and do not need to notify the administrator. Abnormality detection notification can be suppressed. Therefore, the information processing device can reduce the burden on the administrator involved in monitoring the monitoring target.
〔2.情報処理システムの構成〕
以下では、実施形態に係る情報処理装置がフィルタ装置100である場合について説明する。また、以下では、実施形態に係る監視対象が対象装置10である場合について説明する。
[2. Configuration of information processing system]
A case where the information processing device according to the embodiment is the
図1は、実施形態に係る情報処理システム1の構成例を示す図である。図1に示すように、情報処理システム1には、対象装置10と、検知装置20と、フィルタ装置100と、監視装置200とが含まれる。対象装置10と、検知装置20と、フィルタ装置100と、監視装置200とは所定のネットワークNを介して、有線または無線により通信可能に接続される。なお、図1に示した情報処理システム1には、複数台の対象装置10や、複数台の検知装置20や、複数台のフィルタ装置100や、複数台の監視装置200が含まれてもよい。
FIG. 1 is a diagram showing a configuration example of an
対象装置10は、監視対象のネットワークを構成する装置または機器である。対象装置10は、例えば、送受信したパケット量、CPU(Central Processing Unit)もしくは、メモリ等のハードウェアリソースの使用量、または、インターフェイスもしくは、電源ユニットなどのハードウェアの状態等の対象装置10の状態を示す状態情報を検知装置20に対して送信する。
The target device 10 is a device or equipment that constitutes a network to be monitored. The target device 10, for example, the amount of packets sent and received, the usage of hardware resources such as a CPU (Central Processing Unit) or memory, or the state of the target device 10 such as the state of hardware such as an interface or a power supply unit. is transmitted to the
検知装置20は、対象装置10の状態を検知する情報処理装置である。検知装置20は、対象装置10から状態情報を取得する。また、検知装置20は、対象装置10の状態情報に基づいて、対象装置10の状態が異常であるか否かを検知する。監視対象の状態が異常であるか否は、例えば、予め定められた閾値に基づいて検知する、または、監視対象の状態が異常であるか否を検知するよう学習された機械学習モデルを用いて、対象装置10の状態を検知するなどの手法を用いてよい。検知装置20は、対象装置10の状態が異常であることを検知した場合、対象装置10の状態が異常であることを示す異常検知通知をフィルタ装置100に送信する。また、検知装置20は、対象装置10の状態が異常から回復したことを検知した場合、対象装置10の状態が異常から回復したことを示す回復検知通知をフィルタ装置100に送信する。なお、検知装置20の各機能は、2以上の機器に分離して用意されてよい。
The
フィルタ装置100は、管理者に対して通知を行う必要のない通知(異常検知通知または回復検知通知)の出力を抑制する情報処理装置である。管理者に対して通知を行う必要のない通知とは、例えば、管理者が既に認識した異常と同一の異常を反復的に通知するものであってよい。フィルタ装置100は、検知装置20から異常検知通知を受け付ける。フィルタ装置100は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。また、フィルタ装置100は、検知装置20から回復検知通知を受け付ける。また、フィルタ装置100は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、抑制時間の経過後に回復検知通知を出力する。
The
監視装置200は、対象装置10の管理者によって使用される情報処理装置である。監視装置200は、フィルタ装置100から出力された異常検知通知または回復検知通知を受信する。監視装置200は、異常検知通知または回復検知通知を受信した場合、異常検知通知または回復検知通知を出力する。
The
〔3.フィルタ装置の構成〕
図2は、実施形態に係るフィルタ装置100の構成例を示す図である。フィルタ装置100は、通信部110と、記憶部120と、制御部130とを有する。
[3. Configuration of filter device]
FIG. 2 is a diagram showing a configuration example of the
(通信部110)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。そして、通信部110は、ネットワークと有線または無線で接続され、例えば、対象装置10や検知装置20や監視装置200との間で情報の送受信を行う。
(Communication unit 110)
The communication unit 110 is realized by, for example, a NIC (Network Interface Card) or the like. The communication unit 110 is connected to a network by wire or wirelessly, and transmits and receives information to and from the target device 10, the
(記憶部120)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。具体的には、記憶部120は、各種プログラム(情報処理プログラムの一例)を記憶する。
(storage unit 120)
The
(制御部130)
制御部130は、コントローラ(controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、フィルタ装置100内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
(control unit 130)
The control unit 130 is a controller, and for example, various programs (an example of an information processing program) stored in a storage device inside the
制御部130は、受付部131と、出力制御部132を機能部として有し、以下に説明する情報処理の作用を実現または実行してよい。なお、制御部130の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、各機能部は、制御部130の機能を示したものであり、必ずしも物理的に区別されるものでなくともよい。
The control unit 130 has a reception unit 131 and an
受付部131は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。また、受付部131は、受け付けた異常検知通知を、異常検知通知を受け付けた時刻と関連付けた履歴を、記憶部120に記憶させてもよい。
The receiving unit 131 receives an abnormality detection notification indicating that the state of the monitored object is abnormal. Further, the receiving unit 131 may cause the
出力制御部132は、管理者に対して通知を行う必要のない通知(異常検知通知または回復検知通知)の出力を抑制する。具体的には、出力制御部132は、受付部131によって受け付けられた異常検知通知または回復検知通知の出力を抑制する。ここで、管理者に対して通知を行う必要のない通知とは、例えば、管理者が既に認識した異常と同一の異常を反復的に知らせる通知であってよい。
The
より具体的には、出力制御部132は、受付部131が複数の異常検知通知を連続して受け付けた場合、1回目に受け付けた異常検知通知を出力した後、短期抑制時間(例えば、60分)内で安定するまで、2回目以降に受け付けた異常検知通知の出力を抑制する。以下では、N(Nは自然数)回目に受け付けた異常検知通知のことを、第Nの異常検知通知と記載する。また、出力制御部132は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする短期抑制時間内に第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。また、出力制御部132は、第2の異常検知通知を受け付けた第2の時刻を開始時刻とする短期抑制時間内に第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制する。このように、出力制御部132は、第Nの異常検知通知を受け付けた第Nの時刻を開始時刻とする短期抑制時間内に第(N+1)の異常検知通知を受け付けた場合は、第(N+1)の異常検知通知の出力を抑制する。以降、第Nの時刻を開始時刻とする短期抑制時間を、第Nの短期抑制時間と記載する場合がある。
More specifically, when the receiving unit 131 continuously receives a plurality of anomaly detection notifications, the
また、出力制御部132は、短期抑制時間に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に新たな異常検知通知を受け付けないことを条件として、短期抑制時間の経過後に回復検知通知を出力する。
Further, when the recovery detection notification is received during the short-term suppression time, the
ここで、対象装置10の用途または、検出したい障害の種類によっては、短期抑制時間内の異常検知を抑制する手法では適切に通知を抑制することができない場合があった。具体的には、例えば、送受信したデータ量を監視し、予め定められたデータ量(以降、閾値と記載する場合がある)よりも少なくなったときに異常を検知する場合である。このような場合、対象装置10が送受信するデータ量は、一定の周期(例えば、1日)で概ね同じような傾向を示す。そのため、閾値を下回った場合、異常が発生したことを管理者に通知する必要がある。一方、対象装置10自身または、対象装置10と相互に接続され協調的に機能する他の対象装置10などが、障害あるいは作業によって一時的にデータの送受信を停止した後、データの送受信を再開したような場合には、通常稼動時のデータ送受信量に戻るまでに上述した一定の周期よりも長い時間を要する場合がある。このようなケースでは、通常稼動時のデータ送受信量に戻るまでの期間において、異常検知通知が繰り返される場合があるため、従来の監視装置においては、閾値を一時的に変更する対応が必要であり、管理者の負担となっていた。 Here, depending on the application of the target device 10 or the type of failure to be detected, it may not be possible to appropriately suppress notification by the method of suppressing abnormality detection within the short-term suppression time. Specifically, for example, this is a case where the amount of data transmitted and received is monitored, and an abnormality is detected when the amount of data is less than a predetermined amount of data (hereinafter sometimes referred to as a threshold value). In such a case, the amount of data transmitted/received by the target device 10 shows a similar tendency in a certain cycle (for example, one day). Therefore, when the threshold value is exceeded, it is necessary to notify the administrator that an abnormality has occurred. On the other hand, the target device 10 itself, or another target device 10 that is mutually connected to the target device 10 and functions cooperatively, temporarily stopped transmitting and receiving data due to a failure or work, and then resumed transmitting and receiving data. In such a case, it may take a longer period of time than the above-described constant period until the amount of data transmission/reception during normal operation is restored. In such a case, the anomaly detection notification may be repeated until the amount of data sent and received during normal operation is restored. Therefore, in conventional monitoring devices, it is necessary to temporarily change the threshold. , was a burden on the administrator.
これに対して、出力制御部132は、短期抑制時間内に異常検知通知を抑制する処理を繰り返した場合に、最初の短期抑制時間の開始時刻からの経過時間が、長期抑制移行時間(例えば、100分)に達した場合、短期抑制時間よりも長い長期抑制時間(例えば、300分)にわたって異常検知通知の出力を抑制する。より具体的には、出力制御部132は、短期抑制時間内に異常検知通知を抑制する処理を繰り返し、第Nの短期抑制時間の終了時刻が、第1の時刻を開始時刻とする長期抑制移行時間を超過した場合、短期抑制時間よりも長い長期抑制時間にわたって、新たな異常検知通知の出力を抑制する。ここで、長期抑制時間の開始時刻は、例えば、第(N+1)の異常検知通知を受け付けた時刻であってよい。また、長期抑制時間の開始時刻は、第Nの短期抑制時間の終了時刻または開始時刻と同じ時刻であってもよい。また、長期抑制時間の開始時刻は、第1の時刻を開始時刻とする長期抑制移行時間の終了時刻と同じ時刻であってもよい。以降、第Nの時刻を開始時刻とする長期抑制移行時間を、第Nの長期抑制移行時間、第Nの時刻を開始時刻とする長期抑制時間を第Nの長期抑制時間と記載する場合がある。
On the other hand, when the process of suppressing the abnormality detection notification is repeated within the short-term suppression time, the
また、出力制御部132は、短期抑制時間に異常検知通知を抑制する処理を第1の長期抑制移行時間にわたって継続した後に、回復検知通知を受け付けた場合は、新たな異常検知通知を受け付けないことを条件として、長期抑制時間の経過後に回復検知通知を出力する。
Further, when the
図3は、実施形態に係る通知の抑制処理について説明するための図である。図3では、受付部131は、時刻t1~t11までの各時刻に15分おきに連続して第1~第11の異常検知通知E1-1~E1-11を受け付ける。また、また、受付部131は、時刻t12に回復検知通知R1-12を受け付ける。 FIG. 3 is a diagram for explaining notification suppression processing according to the embodiment. In FIG. 3, the receiving unit 131 continuously receives the first to eleventh abnormality detection notifications E1-1 to E1-11 every 15 minutes at each time from t1 to t11. Further, the receiving unit 131 receives the recovery detection notification R1-12 at time t12.
図3では、出力制御部132は、時刻t1に受け付けた第1の異常検知通知E1-1を出力する。また、出力制御部132は、時刻t1を開始時刻とする短期抑制時間#11に受け付けた第2~第5の異常検知通知E1-2~E1-5の出力を抑制する。また、出力制御部132は、短期抑制時間#11内に第2の異常検知通知E1-2を受け付けたので、時刻t2を開始時刻とする短期抑制時間(図示略)に受け付けた第3~第6の異常検知通知E1-3~E1-6の出力を抑制する。同様にして、出力制御部132は、時刻tk(k=3~6)を開始時刻とする短期抑制時間(図示略)に受け付けた第k~第(k+3)の異常検知通知E1-k~E1-(k+3)の出力を抑制する。すなわち、出力制御部132は、第Nの短期抑制時間内に第(N+1)の異常検知通知を受けた場合、第(N+1)の時刻を開始時刻とする短期抑制時間内の異常検知通知を抑制する。
In FIG. 3, the
また、出力制御部132は、時刻t6を開始時刻とする短期抑制時間#12の終了時刻が長期抑制移行時間(長期抑制移行契機時間ともいう)を超え、かつ、受付部131が時刻t6を開始時刻とする短期抑制時間#12の終了後に第11の異常検知通知E1-11を受け付けたので、時刻t11を開始時刻とする長期抑制時間#13にわたって第11の異常検知通知E1-11の出力を抑制する。また、出力制御部132は、時刻t6を開始時刻とする短期抑制時間#12の終了時刻が長期抑制移行時間を超え、かつ、受付部131が時刻t6を開始時刻とする短期抑制時間#12の終了後に第11の異常検知通知E1-11を受け付け、更に回復検知通知R1-12を受け付けたので、長期抑制時間#13の経過後に回復検知通知R1-12を出力する。
Further, the
図4は、実施形態に係る通知の抑制処理について説明するための図である。図4では、受付部131は、時刻t1~t8までの各時刻に15分おきに、第1の異常検知通知E2-1、回復検知通知R2-2、第2~第4の異常検知通知E2-3~E2-5、回復検知通知R2-6、第5の異常検知通知E2-7、および、回復検知通知R2-8を受け付ける。 FIG. 4 is a diagram for explaining notification suppression processing according to the embodiment. In FIG. 4, the reception unit 131 receives the first abnormality detection notification E2-1, the recovery detection notification R2-2, the second to fourth abnormality detection notifications E2 every 15 minutes from time t1 to time t8. -3 to E2-5, recovery detection notification R2-6, fifth abnormality detection notification E2-7, and recovery detection notification R2-8.
図4では、図3と同様に、出力制御部132は、時刻t1に受け付けた第1の異常検知通知E2-1を出力する。また、出力制御部132は、時刻t1を開始時刻とする短期抑制時間#21内に受け付けた第2~第4の異常検知通知E2-3~E2-5の出力を抑制する。また、出力制御部132は、短期抑制時間#21内に受け付けた回復検知通知R2-2の後に第2の異常検知通知E2-3を受け付けたので、回復検知通知R2-2の出力を抑制する。また、出力制御部132は、短期抑制時間#21内に第2の異常検知通知E2-3を受け付けたので、時刻t3を開始時刻とする短期抑制時間(図示略)内に受け付けた第3~第4の異常検知通知E2-4~E2-5、および、第5の異常検知通知E2-7の出力を抑制する。また、出力制御部132は、時刻t3を開始時刻とする短期抑制時間(図示略)内に受け付けた回復検知通知R2-6の後に第5の異常検知通知E2-7を受け付けたので、回復検知通知R2-6の出力を抑制する。また、出力制御部132は、時刻t4を開始時刻とする短期抑制時間(図示略)内に受け付けた第4の異常検知通知E2-5、および、第5の異常検知通知E2-7の出力を抑制する。また、出力制御部132は、時刻t4を開始時刻とする短期抑制時間(図示略)内に受け付けた回復検知通知R2-6の後に第5の異常検知通知E2-7を受け付けたので、回復検知通知R2-6の出力を抑制する。また、出力制御部132は、時刻t5を開始時刻とする短期抑制時間(図示略)内に受け付けた第5の異常検知通知E2-7の出力を抑制する。また、出力制御部132は、時刻t5を開始時刻とする短期抑制時間(図示略)内に受け付けた回復検知通知R2-6の後に第5の異常検知通知E2-7を受け付けたので、回復検知通知R2-6の出力を抑制する。すなわち、出力制御部132は、第Nの短期抑制時間内に第(N+1)の異常検知通知を受けた場合、第(N+1)の時刻を開始時刻とする短期抑制時間内の異常検知通知及び回復検知通知を抑制する。
In FIG. 4, similarly to FIG. 3, the
また、出力制御部132は、時刻t7を開始時刻とする短期抑制時間#22の終了時刻が長期抑制移行時間を超えたので、時刻t7を開始時刻とする長期抑制時間#23の経過後に回復検知通知R2-8を出力する。
In addition, since the end time of short-term suppression time #22 starting at time t7 has exceeded the long-term suppression transition time,
図5は、実施形態に係る通知の抑制処理について説明するための図である。図5では、単発の異常検知通知と安定を繰り返すため、長期抑制に移行しないパターンを示す。図5では、受付部131は、第1の異常検知通知E3-1を受け付けてから15分後に、回復検知通知R3-2を受け付ける。出力制御部132は、第1の異常検知通知E3-1を出力する。また、出力制御部132は、第1の異常検知通知E3-1を受け付けた時刻を開始時刻とする短期抑制時間(図5では、60分)内に回復検知通知R3-2を受け付けた後に新たな異常検知通知を受け付けなかったので、短期抑制時間の経過後に回復検知通知R3-2を出力する。また、受付部131は、出力制御部132が回復検知通知R3-2を出力した後、新たな異常検知通知E3-3を受け付けてから15分後に、回復検知通知R3-4を受け付ける。出力制御部132は、新たな異常検知通知E3-3を出力する。また、出力制御部132は、新たな異常検知通知E3-3を受け付けた時刻を開始時刻とする短期抑制時間(図5では、60分)内に回復検知通知R3-4を受け付けた後、更に新たな異常検知通知を受け付けなかったので、短期抑制時間の経過後に回復検知通知R3-4を出力する。
FIG. 5 is a diagram for explaining notification suppression processing according to the embodiment. FIG. 5 shows a pattern in which a shift to long-term suppression is not performed because a single anomaly detection notification and stabilization are repeated. In FIG. 5, the reception unit 131 receives the recovery detection notification R3-2 15 minutes after receiving the first abnormality detection notification E3-1. The
図6は、実施形態に係る通知の抑制処理について説明するための図である。図6では、最終の異常検知通知を受け付けた時刻を開始時刻とする短期抑制時間が、長期抑制移行時間に達しないため、長期抑制に移行しないパターンを示す。図6では、受付部131は、第1の異常検知通知E4-1を受け付けてから15分後に、回復検知通知R4-2を受け付ける。また、受付部131は、回復検知通知R4-2を受け付けから15分おきに、第2の異常検知通知E4-3、第3の異常検知通知E4-4、および、回復検知通知R4-5を受け付ける。出力制御部132は、第1の異常検知通知E4-1を出力する。また、出力制御部132は、第1の異常検知通知E4-1を受け付けた時刻を開始時刻とする短期抑制時間(図6では、60分)内に受け付けた第2~第3の異常検知通知E4-3~E4-4の出力を抑制する。また、出力制御部132は、第1の異常検知通知E4-1を受け付けた時刻を開始時刻とする短期抑制時間に受け付けた回復検知通知R4-2の後に第2の異常検知通知E4-3を受け付けたので、回復検知通知R4-2の出力を抑制する。また、出力制御部132は、第3の異常検知通知E4-4を受け付けた時刻を開始時刻とする短期抑制時間内に回復検知通知R4-5を受け付けた後に新たな異常検知通知を受け付けなかったので、短期抑制時間の経過後に回復検知通知R4-5を出力する。
FIG. 6 is a diagram for explaining notification suppression processing according to the embodiment. FIG. 6 shows a pattern in which the short-term suppression time, which starts at the time when the last abnormality detection notification is received, does not reach the long-term suppression transition time, and thus the long-term suppression is not performed. In FIG. 6, the reception unit 131 receives the recovery detection notification R4-2 15 minutes after receiving the first abnormality detection notification E4-1. In addition, the receiving unit 131 receives the recovery detection notification R4-2 and then sends the second abnormality detection notification E4-3, the third abnormality detection notification E4-4, and the recovery detection notification R4-5 every 15 minutes. accept. The
ここで、対象装置10または、監視する障害の内容などによっては、異常検知通知のみを行い、回復検知通知を行わない場合がある。具体的には、例えば、サーバ機器へのログインに失敗したことを異常として検出し、通知する場合、パスワードの入力ミスあるいは、誤操作などの原因でユーザがサーバ機器へのログインに失敗したときに異常検知通知を出力する。このような異常は、例えば、ハードウェアの故障のように、何らかの状態変化を伴うものではないため、異常発生前の状態に回復する(すなわち、サーバ機器へのログインが失敗した事実がなくなる)ことは起こらない。そのため、このような異常においては、回復検知通知が行われない場合がある。このような異常を以降、異常イベントとも記載する。 Here, depending on the target device 10 or the details of the failure to be monitored, there are cases where only the notification of abnormality detection is sent and the notification of recovery detection is not sent. Specifically, for example, when detecting and notifying that a login failure to a server device has failed, an error occurs when a user fails to log in to the server device due to a password input mistake or an erroneous operation. Output detection notification. Since such anomaly does not involve any state change like hardware failure, it is necessary to restore the state before the anomaly (that is, to eliminate the fact that the login to the server device failed). does not happen. Therefore, in such an anomaly, recovery detection notification may not be performed. Such an anomaly is hereinafter also referred to as an anomalous event.
発生した異常イベントの種類によっては、検出頻度が変化した場合にのみ管理者への通知が必要になる場合がある。具体的には、例えば、サーバ機器へのログインに失敗したという異常イベントの異常検知通知については、正規のユーザによるパスワードの入力ミスあるいは、誤操作などを原因として、例えば、2~3日間に1回のように低い頻度で定常的に発生する。そのため、低い頻度での発生であれば、ユーザによるミスとして、管理者への通知は不要である。一方で、例えば、1分間に60回のように高い頻度で発生した場合には、ブルートフォースアタックのような手法で、不正なアクセスが行われている可能性が高く、管理者に通知する必要がある。 Depending on the type of abnormal event that has occurred, it may be necessary to notify the administrator only when the detection frequency changes. Specifically, for example, for an anomaly detection notification of an anomaly event that failed to log in to the server device, for example, once every 2 to 3 days, it is caused by a password input error or an erroneous operation by an authorized user. It occurs constantly with a low frequency like Therefore, if it occurs infrequently, it is regarded as a mistake by the user and does not need to be notified to the administrator. On the other hand, if it occurs frequently, for example, 60 times per minute, there is a high possibility that unauthorized access is being performed by a method such as brute force attack, and it is necessary to notify the administrator. There is
上述したフィルタ装置では、回復検知通知を受けた後、抑制時間内に再度異常検知通知を受けないことを条件として、回復検知通知を出力していたが、異常検知通知が異常イベントに関するものである場合、回復検知通知を出力できず、管理者は異常イベントの発生が継続しているのか沈静化したのかを把握することができなかった。 In the filter device described above, after receiving the recovery detection notification, the recovery detection notification is output under the condition that the abnormality detection notification is not received again within the suppression time. However, the abnormality detection notification is related to an abnormality event. In this case, the recovery detection notification could not be output, and the administrator could not grasp whether the occurrence of the abnormal event continued or subsided.
これに対し、出力制御部132は、第Nの異常検知通知を受けた後、第Nの時刻を開始時刻とする短期抑制時間内あるいは、第Nの時刻を開始時刻とする長期抑制時間内に、第(N+1)の異常検知通知を受けなかった場合に、異常イベントが沈静化したとして、回復検知通知を出力してよい。このように、出力制御部132は、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、長期抑制時間の経過後、または、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、回復検知通知を出力してよい。すなわち、出力制御部132は、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする短期抑制時間内に第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、他の異常検知通知の出力を抑制し、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、長期抑制時間の経過後、または、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、回復検知通知を出力してよい。
On the other hand, after receiving the N-th abnormality detection notification, the
なお、出力制御部132は、監視対象の状態を示す状態情報から、短期抑制時間、長期抑制移行時間または長期抑制時間を推定するよう学習された機械学習モデルを用いて、短期抑制時間、長期抑制移行時間または長期抑制時間を推定してよい。具体的には、例えば、出力制御部132は、異常検知通知の内容と、受付部131が異常検知通知を受け付けた時刻から一定の時間内に受け付けた異常検知通知及び回復検知通知の履歴とを学習データとし、受付部131が受け付けた異常検知通知に基づいて、短期抑制時間、長期抑制移行時間または長期抑制時間を推定するように学習された学習モデルに基づいて、短期抑制時間、長期抑制移行時間または長期抑制時間を推定してよい。
Note that the
一実施形態に係る出力制御部132は、統計的手法を用いて、監視対象の状態を示す状態情報から、短期抑制時間、長期抑制移行時間または長期抑制時間を決定してよい。具体的には、例えば、出力制御部132は、記憶部120に記憶されている異常検知通知の履歴に基づいて、異常検知通知を受け付けてから、異常検知通知を受け付けなくなるまでの期間を統計的手法を用いて推定してよい。また、出力制御部132は、統計的手法を用いて推定した期間に基づいて、短期抑制時間、長期抑制移行時間または長期抑制時間を決定してよい。
The
(変形例)
〔4.累積検知モード〕
上述した実施形態に係る処理は、上記実施形態以外にも種々の異なる形態にて実施されてよい。
(Modification)
[4. Cumulative detection mode]
The processes according to the above-described embodiments may be implemented in various different forms other than the above-described embodiments.
上述した実施形態では、フィルタ装置100が、複数の異常検知通知を連続して受け付けた場合、1回目に受け付けた異常検知通知を出力した後、短期抑制時間(例えば、60分)内で安定するまで、2回目以降に受け付けた異常検知通知の出力を抑制する場合について説明した。変形例では、フィルタ装置100が、累積測定時間(例えば、60分)内に累積閾値時間(例えば、20分)以上、異常検知通知の通知を受け付けた場合、累積測定時間の経過後に第1の異常検知通知を出力する場合について説明する。また、変形例では、フィルタ装置100が、第1の異常検知通知を出力した後、通知抑制時間(例えば、30分)内で安定した場合、回復検知通知を出力する場合について説明する。
In the above-described embodiment, when the
上述した実施形態では、異常の発生をなるべく早期に管理者に対して通知するため、初めて検知した異常検知通知(以降、初回検知と記載される場合もある)をすぐに出力し、2回目以降の異常検知通知を抑止する手法を取る。しかし、対象装置10の用途または、検知したい障害の内容によっては、異常の発生を早期に通知することが適切でない場合がある。具体的には、例えば、定常的に発生する異常であり、発生頻度が変化しなければ問題ないと考えられる異常の通知を抑制したい場合がある。このような場合に、初回検知のみを通知し、2回目以降を抑止する方法とすると、管理者は当該異常に発生頻度の変化が生じたか否かを認識できなくなる。 In the above-described embodiment, in order to notify the administrator of the occurrence of an anomaly as early as possible, the anomaly detection notification that is detected for the first time (hereinafter sometimes referred to as the initial detection) is immediately output, and the second and subsequent anomaly detection notifications are output. take a method of suppressing anomaly detection notifications. However, depending on the purpose of the target device 10 or the content of the failure to be detected, it may not be appropriate to notify the occurrence of an abnormality early. Specifically, for example, there is a case where it is desired to suppress the notification of an abnormality that occurs constantly and is considered to be no problem as long as the frequency of occurrence does not change. In such a case, if a method is adopted in which only the first detection is notified and the second and subsequent detections are suppressed, the administrator cannot recognize whether or not the occurrence frequency of the abnormality has changed.
これに対し、出力制御部132は、累積測定時間に複数の異常検知通知を受け付けた場合は、複数の異常検知通知の出力を抑制し、複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であるか否かを判定する。出力制御部132は、複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であると判定した場合、累積測定時間の経過後に第1の異常検知通知を出力してよい。また、出力制御部132は、回復検知通知を累積測定時間に受け付けた場合は、回復検知通知の出力を抑制してよい。なお、所定の時間(例えば15分)間隔で機器の状態を確認し、異常があった場合に異常検知通知を行うよう設計されたシステムの場合であっても、一の異常検知通知を以って、所定の時間(例えば15分)の間、異常が継続したものとして扱ってもよい。
On the other hand, when a plurality of anomaly detection notifications are received during the cumulative measurement time, the
また、出力制御部132は、第1の異常検知通知を出力した第1の時刻を開始時刻とする通知抑制時間であって、累積測定時間よりも短い通知抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。また、出力制御部132は、第1の通知抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、回復検知通知を受け付けた第2の通知抑制時間の経過後に回復検知通知を出力する。また、出力制御部132は、第1の通知抑制時間内に異常検知通知を受け付けないことを条件として、第1の通知抑制時間の経過後に回復検知通知を出力する。
In addition, the
また、出力制御部132は、第2の異常検知通知を受け付けた第3の時刻を開始時刻とする通知抑制時間内に第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制する。また、出力制御部132は、第3の通知抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第3の異常検知通知を受け付けないことを条件として、第2通知抑制時間の経過後に回復検知通知を出力する。
Further, when the
図7は、変形例に係る通知の抑制処理について説明するための図である。図7では、各異常検知通知の通知時間は5分である。受付部131は、累積測定時間に、5つの異常検知通知E5-1~E5-4、および、E5-6を受け付ける。また、受付部131は、累積測定時間に、回復検知通知R5-5、および、回復検知通知R5-7を受け付ける。出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E5-1~E5-4、および、E5-6の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた回復検知通知R5-5、および、回復検知通知R5-7の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E5-1~E5-4、および、E5-6の通知時間の合計が25分であり、累積閾値時間(図7では、20分)以上であると判定したので、累積測定時間の経過後に第1の異常検知通知E5-8を出力する。また、出力制御部132は、第1の異常検知通知E5-8を出力した第1の時刻を開始時刻とする通知抑制時間(図7では、30分)に異常検知通知を受け付けなかったので、第1の時刻を開始時刻とする通知抑制時間の経過後に回復検知通知R5-9を出力する。
FIG. 7 is a diagram for explaining notification suppression processing according to the modification. In FIG. 7, the notification time of each abnormality detection notification is 5 minutes. The reception unit 131 receives five abnormality detection notifications E5-1 to E5-4 and E5-6 during the cumulative measurement time. Further, the reception unit 131 receives the recovery detection notification R5-5 and the recovery detection notification R5-7 during the cumulative measurement time. The
図8は、変形例に係る通知の抑制処理について説明するための図である。図8では、図7と同様に、受付部131は、累積測定時間に、5つの異常検知通知E6-1~E6-4、および、E6-6を受け付ける。また、受付部131は、累積測定時間に、回復検知通知R6-5、および、回復検知通知R6-7を受け付ける。また、図7と同様に、出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E6-1~E6-4、および、E6-6の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた回復検知通知R6-5、および、回復検知通知R6-7の出力を抑制する。また、図7と同様に、出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E6-1~E6-4、および、E6-6の通知時間の合計が25分であり、累積閾値時間(図8では、20分)以上であると判定したので、累積測定時間の経過後に第1の異常検知通知E6-8を出力する。
FIG. 8 is a diagram for explaining notification suppression processing according to the modification. In FIG. 8, as in FIG. 7, the reception unit 131 receives five abnormality detection notifications E6-1 to E6-4 and E6-6 during the cumulative measurement time. Further, the reception unit 131 receives the recovery detection notification R6-5 and the recovery detection notification R6-7 during the cumulative measurement time. Also, as in FIG. 7, the
また、図8では、出力制御部132は、第1の異常検知通知E6-8を出力した第1の時刻を開始時刻とする通知抑制時間に第2~第3の異常検知通知E6-9~E6-10を受け付けたので、第2~第3の異常検知通知E6-9~E6-10の出力を抑制する。また、出力制御部132は、第1の異常検知通知E6-8を出力した第1の時刻を開始時刻とする通知抑制時間に回復検知通知R6-11を受け付けたので、回復検知通知R6-11の出力を抑制する。また、出力制御部132は、第1の異常検知通知E6-8を出力した第1の時刻を開始時刻とする通知抑制時間に回復検知通知R6-11を受け付けた後に新たな異常検知通知を受け付けなかったので、回復検知通知R6-11を受け付けた第2の時刻を開始時刻とする通知抑制時間(図8では、30分)の経過後に回復検知通知R6-12を出力する。
Further, in FIG. 8, the
図9は、変形例に係る通知の抑制処理について説明するための図である。図9では、受付部131は、累積測定時間に、10個の異常検知通知E7-1~E7-10を受け付ける。出力制御部132は、累積測定時間に受け付けた10個の異常検知通知E7-1~E7-10の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた10個の異常検知通知E7-1~E7-10の通知時間の合計が60分であり、累積閾値時間(図9では、60分)以上であると判定したので、累積測定時間の経過後に第1の異常検知通知E7-10を出力する。
FIG. 9 is a diagram for explaining notification suppression processing according to the modification. In FIG. 9, the reception unit 131 receives ten abnormality detection notifications E7-1 to E7-10 during the cumulative measurement time. The
また、図9では、受付部131は、第1の異常検知通知E7-10を出力した第1の時刻を開始時刻とする通知抑制時間に第2~第3の異常検知通知E7-11~E7-12を受け付ける。出力制御部132は、通知抑制時間に受け付けた第2~第3の異常検知通知E7-11~E7-12の出力を抑制する。また、受付部131は、第1の異常検知通知E7-10を出力した第1の時刻を開始時刻とする通知抑制時間に回復検知通知R7-13を受け付ける。出力制御部132は、通知抑制時間に受け付けた回復検知通知R7-13の出力を抑制する。また、出力制御部132は、回復検知通知R7-13を受け付けた後に新たな異常検知通知を受け付けなかったので、回復検知通知R7-13を受け付けた第2の時刻を開始時刻とする通知抑制時間の経過後に回復検知通知R7-13を出力する。
Further, in FIG. 9, the receiving unit 131 outputs the second to third abnormality detection notifications E7-11 to E7 during the notification suppression period starting from the first time when the first abnormality detection notification E7-10 is output. -12 is accepted. The
検知する異常の種類または、異常の発生原因等によっては、時間帯によって発生の頻度または、傾向が変化する場合がある。具体的には、例えば、ネットワーク装置が送受信したパケット量の異常を検出する場合、深夜帯と日中帯では、検出する異常の頻度が異なるため、深夜帯においては、通知抑制時間を長く設定したい場合があった。 Depending on the type of abnormality to be detected or the cause of occurrence of the abnormality, the frequency or tendency of occurrence may change depending on the time zone. Specifically, for example, when detecting an anomaly in the amount of packets sent and received by a network device, the frequency of detected anomalies differs between late night hours and daytime hours. there was a case.
図10は、変形例に係る通知の抑制処理について説明するための図である。図10では、午前6:00~午前0:00(日中の時間帯)と午前0:00~午前6:00(夜間の時間帯)とで、累積閾値時間、累積測定時間、および、通知抑制時間を変化させる。図10では、日中の時間帯における累積閾値時間、累積測定時間、および、通知抑制時間を、それぞれ20分、60分、および、30分とする。一方、夜間の時間帯における累積閾値時間、累積測定時間、および、通知抑制時間を、それぞれ60分、100分、および、50分とする。 FIG. 10 is a diagram for explaining notification suppression processing according to the modification. In FIG. 10, the cumulative threshold time, the cumulative measurement time, and the notification Vary the suppression time. In FIG. 10, it is assumed that the cumulative threshold time, cumulative measurement time, and notification suppression time during the daytime are 20 minutes, 60 minutes, and 30 minutes, respectively. On the other hand, it is assumed that the cumulative threshold time, cumulative measurement time, and notification suppression time in the night time zone are 60 minutes, 100 minutes, and 50 minutes, respectively.
検知する異常の種類または、異常の発生原因、監視対象の機器の構成等によっては、複数の機器の異常が連動して発生する場合がある。具体的には、例えば、同一の機能を有し、並列で処理を行う2つのネットワーク装置が送受信したパケット量の異常を検出する場合、一方の装置が故障して送受信したパケット量に異常が生じたとしても、他方の装置が2台分の処理を行えていればネットワーク全体としては正常であるため、通知を抑制したい場合があった。 Depending on the type of abnormality to be detected, the cause of occurrence of the abnormality, the configuration of the equipment to be monitored, etc., abnormalities in multiple devices may occur in conjunction. Specifically, for example, when detecting an abnormality in the amount of packets sent and received by two network devices that have the same function and perform processing in parallel, one of the devices malfunctions and an abnormality occurs in the amount of packets sent and received. However, if the other device can perform processing for two devices, the network as a whole is normal.
図11は、変形例に係る通知の抑制処理について説明するための図である。図11では、フィルタ装置100が、分散型ネットワークを構成する4つの対象装置#1~対象装置#4それぞれの入力ポートに入力する入力トラフィック量の合算、および、4つの対象装置#1~対象装置#4それぞれの出力ポートから出力される出力トラフィック量の合算を算出する。そして、フィルタ装置100は、入力トラフィック量の合算、および、出力トラフィック量の合算の周期的な傾向に基づいて、バンドルグループ全体における異常検知通知の出力を抑制する。
FIG. 11 is a diagram for explaining notification suppression processing according to the modification. In FIG. 11, the
検知する異常の種類または、異常の発生原因、監視対象の機器の構成等によっては、複数の機器の異常が連動して発生する場合がある。具体的には、例えば、同一の機能を有し、並列で処理を行う2つのネットワーク装置のそれぞれが送受信したパケット量の異常を検出する場合、一方の装置の入力ポートが故障し、送受信したパケットの量に異常が生じると、他方の装置にパケットが集中し、異常を検出する場合があり、一方の異常のみを通知し、他方の異常は抑制したい場合があった。 Depending on the type of abnormality to be detected, the cause of occurrence of the abnormality, the configuration of the equipment to be monitored, etc., abnormalities in multiple devices may occur in conjunction. Specifically, for example, when detecting an abnormality in the amount of packets sent and received by two network devices that have the same function and perform processing in parallel, if the input port of one of the devices fails, the sent and received packets If an abnormality occurs in the amount of , packets may be concentrated in the other device and the abnormality may be detected, and there are cases where it is desired to notify only one abnormality and suppress the other abnormality.
図12は、変形例に係る通知の抑制処理について説明するための図である。図12では、出力制御部132が、分散型ネットワークを構成する複数の対象装置それぞれのトラフィック量に基づいて、異常検知通知の出力を抑制する。なお、分散型ネットワークを構成する複数の対象装置のグループをバンドルグループともいう。例えば、出力制御部132は、バンドルグループのすべての対象装置のトラフィック量が下限閾値を下回っている場合、メンテナンス作業中であるとみなして、異常検知通知の出力を抑制する。
FIG. 12 is a diagram for explaining notification suppression processing according to the modification. In FIG. 12, the
なお、出力制御部132は、監視対象の状態を示す状態情報から、累積測定時間、累積閾値時間または通知抑制時間を推定するよう学習された機械学習モデルを用いて、累積測定時間、累積閾値時間または通知抑制時間を推定してよい。
Note that the
〔5.効果〕
(ばたつき抑制モード)
上述したように、実施形態に係る情報処理装置(実施形態ではフィルタ装置100)は、受付部(実施形態では受付部131)と出力制御部(実施形態では出力制御部132)を備える。受付部は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。出力制御部は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、第1の抑制時間の経過後に回復検知通知を出力する。また、出力制御部は、第1の時刻を開始時刻とする第1の抑制時間内に第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。
[5. effect〕
(Flutter suppression mode)
As described above, the information processing apparatus (the
これにより、情報処理装置は、例えば、管理者に対して、初回の異常検知通知を行った後、一定時間の間、散発的に発生する異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。また、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができるため、持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。 As a result, the information processing apparatus can, for example, issue an anomaly detection notification that occurs sporadically for a certain period of time after sending an anomaly detection notification to the administrator for the first time. It is possible to suppress unnecessary anomaly detection notification not to be performed. Therefore, the information processing device can reduce the burden on the administrator involved in monitoring the monitoring target. In addition, the information processing device can reduce the burden on administrators involved in monitoring objects to be monitored. can contribute to the achievement of
また、出力制御部は、第2の異常検知通知を受け付けた第2の時刻を開始時刻とする第1の抑制時間内に第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制し、第2の時刻を開始時刻とする第1の抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第3の異常検知通知を受け付けないことを条件として、第2の時刻を開始時刻とする第1の抑制時間の経過後に回復検知通知を出力する。 Further, the output control unit receives a third abnormality detection notification different from the second abnormality detection notification within a first suppression time period starting at a second time when the second abnormality detection notification is received. , the output of the third abnormality detection notification is suppressed, and if the recovery detection notification is received within the first suppression time starting at the second time, after the recovery detection notification is received, the third On the condition that the abnormality detection notification is not accepted, the recovery detection notification is output after the first suppression time with the second time as the start time elapses.
これにより、情報処理装置は、管理者に対して通知を行う必要のない異常検知通知を受け付ける度に、一定時間の間、管理者に対して通知を行う必要のない異常検知通知を行わないよう繰り返し抑制することができる。 As a result, the information processing apparatus does not issue an anomaly detection notification that does not need to be notified to the administrator for a certain period of time each time it receives an anomaly detection notification that does not need to be notified to the administrator. Can be repeatedly suppressed.
また、出力制御部は、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、第4の異常検知通知を受け付けた場合は、第1の抑制時間よりも長い第2の抑制時間にわたって、第4の異常検知通知の出力を抑制し、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、回復検知通知を受け付けた場合は、第4の異常検知通知を受け付けないことを条件として、第2の抑制時間の経過後に回復検知通知を出力する。 Further, when the output control unit receives the fourth abnormality detection notification after continuing the process of suppressing the abnormality detection notification during the first suppression time for a predetermined time, the output control unit performs the second suppression time longer than the first suppression time. If the recovery detection notification is received after the process of suppressing the output of the fourth anomaly detection notification for the suppression time and suppressing the anomaly detection notification during the first suppression time is continued for a predetermined time, the fourth anomaly detection is performed. On condition that the notification is not accepted, the recovery detection notification is output after the second suppression time elapses.
これにより、情報処理装置は、例えば、管理者に対して通知を行う必要のない異常検知通知を受け付けなくなるまで長時間を要する場合、管理者に対して通知を行う必要のない異常検知通知を長時間にわたって行わないよう抑制することができる。 As a result, for example, if it takes a long time to stop accepting anomaly detection notifications that do not need to be notified to the administrator, the information processing device can take a long time to receive anomaly detection notifications that do not need to be notified to the administrator. It can be restrained from doing over time.
また、出力制御部は、第2の時刻を開始時刻とする第1の抑制時間の終了時刻が所定時間を超え、かつ、第2の時刻を開始時刻とする第1の抑制時間の終了後に第4の異常検知通知を受け付けた場合は、第4の異常検知通知を受け付けた時刻を開始時刻とする第2の抑制時間にわたって第4の異常検知通知の出力を抑制し、第2の時刻を開始時刻とする第1の抑制時間の終了時刻が所定時間を超え、かつ、第2の時刻を開始時刻とする第1の抑制時間の終了後に、第4の異常検知通知を受け付け、更に回復検知通知を受け付けた場合は、第4の異常検知通知を受け付けた時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。 In addition, the output control unit controls that the end time of the first suppression time starting at the second time exceeds the predetermined time, and after the first suppression time starting at the second time ends, When the fourth abnormality detection notification is received, the output of the fourth abnormality detection notification is suppressed for a second suppression time starting at the time when the fourth abnormality detection notification is received, and the second time is started. After the end time of the first suppression time set as the time exceeds the predetermined time and the end of the first suppression time set as the start time of the second time, the fourth abnormality detection notification is received, and the recovery detection notification is received. is received, the recovery detection notification is output after the second suppression time, which starts at the time when the fourth abnormality detection notification is received, elapses.
これにより、情報処理装置は、例えば、異常検知通知を短時間にわたって行わないよう所定時間継続して抑制した後に、管理者に対して通知を行う必要のない異常検知通知を新たに受け付けた場合、新たに受け付けた異常検知通知を長時間にわたって行わないよう抑制することができる。 As a result, for example, when the information processing device receives a new anomaly detection notification that does not need to be notified to the administrator after continuously suppressing the anomaly detection notification for a predetermined period of time so that it is not issued for a short time, It is possible to suppress the newly received anomaly detection notification from being sent for a long period of time.
また、出力制御部は、第2の時刻を開始時刻とする第1の抑制時間の終了時刻が所定時間を超え、かつ、第2の時刻を開始時刻とする第1の抑制時間に第3の異常検知通知を受け付け、更に回復検知通知を受け付けた場合は、第3の異常検知通知を受け付けた時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。 Further, the output control unit determines that the end time of the first suppression period starting at the second time exceeds the predetermined time, and the third suppression period is set to the first suppression period starting at the second time. When an abnormality detection notification is received and then a recovery detection notification is received, the recovery detection notification is output after a second suppression period starting at the time when the third abnormality detection notification is received.
これにより、情報処理装置は、例えば、短期抑制から長期抑制へと移行する直前に管理者に対して通知を行う必要のない異常検知通知を受け付けた場合であっても、短期抑制から長期抑制へと移行する直前に受け付けた異常検知通知を長期抑制することができる。 As a result, even if the information processing device receives, for example, an anomaly detection notification that does not need to be notified to the administrator immediately before shifting from short-term restraint to long-term restraint, the information processing apparatus can switch from short-term restraint to long-term restraint. It is possible to suppress for a long time the anomaly detection notification received immediately before the transition.
また、受付部は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。出力制御部は、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、他の異常検知通知の出力を抑制し、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、第1の抑制時間よりも長い第2の抑制時間の経過後、または、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、監視対象の状態が異常から回復したことを示す回復検知通知を出力する。 The receiving unit also receives an abnormality detection notification indicating that the state of the monitored object is abnormal. The output control unit receives the N-th (N is a natural number) abnormality detection notification, which is the N-th abnormality detection notification, within the first suppression time starting at the N-th time, which is the time when the N-th abnormality detection notification is received. When another abnormality detection notification different from the abnormality detection notification is received, the output of the other abnormality detection notification is suppressed, and after continuing the process of suppressing the abnormality detection notification during the first suppression time for a predetermined time, a new If the abnormal detection notification is not received, after the second suppression time longer than the first suppression time has elapsed, or after the process of suppressing the abnormality detection notification during the first suppression time has continued for a predetermined period of time, Output a recovery detection notification indicating that the status of the monitoring target has recovered from an anomaly.
これにより、情報処理装置は、例えば、異常検知通知が異常イベントに関するものである場合であっても、回復検知通知を出力することができる。 Thereby, the information processing apparatus can output the recovery detection notification even when the abnormality detection notification is related to an abnormal event, for example.
また、出力制御部は、監視対象の状態を示す状態情報から、第1の抑制時間、所定時間または第2の抑制時間を推定するよう学習された機械学習モデルを用いて、第1の抑制時間、所定時間または第2の抑制時間を推定する。 Further, the output control unit uses a machine learning model trained to estimate the first suppression time, the predetermined time, or the second suppression time from the state information indicating the state of the monitored object, and calculates the first suppression time. , a predetermined time or a second suppression time.
これにより、情報処理装置は、抑制時間を制御するパラメータを自動で設定することができる。 Thereby, the information processing device can automatically set the parameter for controlling the suppression time.
また、出力制御部は、受付部が異常検知通知を受け付けた時刻から一定の時間内に受け付けた異常検知通知の履歴に基づいて、統計的手法を用いて、異常検知通知を受け付けてから、異常検知通知を受け付けなくなるまでの期間を推定し、推定した期間に基づいて、第1の抑制時間、所定時間または第2の抑制時間を決定する。 Further, the output control unit uses a statistical method based on the history of the anomaly detection notifications received within a certain period of time from the time when the anomaly detection notification was received by the reception unit. A period until the detection notification is no longer accepted is estimated, and the first suppression period, the predetermined period of time, or the second suppression period is determined based on the estimated period.
これにより、情報処理装置は、抑制時間を制御するパラメータを統計的手法により決定することができる。 Thereby, the information processing device can determine a parameter for controlling the suppression time by a statistical method.
(累積検知モード)
また、受付部は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。出力制御部は、第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、第1の抑制時間の経過後に第1の異常検知通知を出力する。また、出力制御部は、第1の抑制時間内に複数の異常検知通知を受け付けた場合は、複数の異常検知通知の出力を抑制する。
(cumulative detection mode)
The receiving unit also receives an abnormality detection notification indicating that the state of the monitored object is abnormal. The output control unit suppresses the output of the abnormality detection notification received within the first suppression time , and the first After the suppression time has elapsed, the first abnormality detection notification is output. Further, the output control unit suppresses the output of the plurality of abnormality detection notifications when receiving the plurality of abnormality detection notifications within the first suppression time.
これにより、情報処理装置は、例えば、管理者に対して、一定時間の間、異常検知通知と回復検知通知を繰り返す場合の異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。また、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができるため、持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。 As a result, the information processing apparatus can, for example, send an anomaly detection notification to an administrator in a case where an anomaly detection notification and a recovery detection notification are repeated for a certain period of time, and do not need to notify the administrator. Abnormality detection notification can be suppressed. Therefore, the information processing device can reduce the burden on the administrator involved in monitoring the monitoring target. In addition, the information processing device can reduce the burden on administrators involved in monitoring objects to be monitored. can contribute to the achievement of
また、出力制御部は、監視対象の状態が異常から回復したことを示す回復検知通知を第1の抑制時間内に受け付けた場合は、回復検知通知の出力を抑制する。 Further, the output control unit suppresses the output of the recovery detection notification when the recovery detection notification indicating that the state of the monitored object has recovered from the abnormality is received within the first suppression time.
これにより、情報処理装置は、例えば、管理者に対して、一定時間の間、異常検知通知と回復検知通知を繰り返す場合の回復検知通知であって、管理者に対して通知を行う必要のない回復検知通知を行わないよう抑制することができる。 As a result, the information processing apparatus can, for example, provide the administrator with a recovery detection notification in the case where the abnormality detection notification and the recovery detection notification are repeated for a certain period of time, and there is no need to notify the administrator. It is possible to suppress not to perform recovery detection notification.
また、出力制御部は、第1の異常検知通知を出力した第1の時刻を開始時刻とする第2の抑制時間であって、第1の抑制時間よりも短い第2の抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制し、第1の時刻を開始時刻とする第2の抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、回復検知通知を受け付けた第2の時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。 Further, the output control unit sets the second suppression time within a second suppression time starting from the first time at which the first abnormality detection notification is output and which is shorter than the first suppression time. When a second anomaly detection notification different from the first anomaly detection notification is received, the output of the second anomaly detection notification is suppressed, and the monitoring target is suppressed within the second suppression time starting at the first time. When a recovery detection notification indicating that the state of has recovered from an abnormality is received, the second time when the recovery detection notification is received on the condition that the second abnormality detection notification is not received after the recovery detection notification is received. after the lapse of the second suppression time starting time, the recovery detection notification is output.
これにより、情報処理装置は、一定時間の間、異常検知通知と回復検知通知を繰り返した後に、管理者に対して通知を行う必要のない異常検知通知を新たに受け付けた場合、新たに受け付けた異常検知通知を行わないよう抑制することができる。 As a result, when the information processing apparatus receives a new abnormality detection notification that does not need to be notified to the administrator after repeating the abnormality detection notification and the recovery detection notification for a certain period of time, the information processing apparatus Abnormality detection notification can be suppressed.
また、出力制御部は、第2の異常検知通知を受け付けた第3の時刻を開始時刻とする第2の抑制時間内に第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制し、第3の時刻を開始時刻とする第2の抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第3の異常検知通知を受け付けないことを条件として、第2の時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。 Further, the output control unit receives a third abnormality detection notification different from the second abnormality detection notification within a second suppression time period starting at a third time at which the second abnormality detection notification is received. , the output of the third abnormality detection notification is suppressed, and if the recovery detection notification is received within the second suppression time starting at the third time, after the recovery detection notification is received, the third On the condition that the abnormality detection notification is not accepted, the recovery detection notification is output after the second suppression time with the second time as the start time elapses.
これにより、情報処理装置は、一定時間の間、異常検知通知と回復検知通知を繰り返した後に、管理者に対して通知を行う必要のない異常検知通知を受け付ける度に、一定時間の間、管理者に対して通知を行う必要のない異常検知通知を行わないよう繰り返し抑制することができる。 As a result, the information processing apparatus repeats the anomaly detection notification and the recovery detection notification for a certain period of time, and thereafter, every time an anomaly detection notification that does not need to be notified to the administrator is received, the information processing apparatus It is possible to repeatedly suppress an abnormality detection notification that does not need to be notified to the person.
また、出力制御部は、監視対象の状態を示す状態情報から、第1の抑制時間、累積閾値時間または第2の抑制時間を推定するよう学習された機械学習モデルを用いて、第1の抑制時間、累積閾値時間または第2の抑制時間を推定する。 Further, the output control unit performs the first suppression using a machine learning model learned to estimate the first suppression time, the cumulative threshold time, or the second suppression time from the state information indicating the state of the monitored object. Estimate time, cumulative threshold time or second suppression time.
これにより、情報処理装置は、抑制時間を制御するパラメータを自動で設定することができる。 Thereby, the information processing device can automatically set the parameter for controlling the suppression time.
〔6.ハードウェア構成〕
また、上述してきた実施形態に係るフィルタ装置100等の情報処理装置は、例えば図13に示すような構成のコンピュータ1000によって実現される。図13は、実施形態に係るフィルタ装置100等の情報処理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。以下、実施形態に係るフィルタ装置100を例に挙げて説明する。コンピュータ1000は、CPU1100、RAM1200、ROM1300、HDD1400、通信インターフェイス(I/F)1500、入出力インターフェイス(I/F)1600、及びメディアインターフェイス(I/F)1700を備える。
[6. Hardware configuration]
Further, the information processing device such as the
CPU1100は、ROM1300またはHDD1400に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM1300は、コンピュータ1000の起動時にCPU1100によって実行されるブートプログラムや、コンピュータ1000のハードウェアに依存するプログラム等を格納する。
The
HDD1400は、CPU1100によって実行されるプログラム、及び、かかるプログラムによって使用されるデータ等を格納する。通信インターフェイス1500は、所定の通信網を介して他の機器からデータを受信してCPU1100へ送り、CPU1100が生成したデータを所定の通信網を介して他の機器へ送信する。
The
CPU1100は、入出力インターフェイス1600を介して、ディスプレイやプリンタ等の出力装置、及び、キーボードやマウス等の入力装置を制御する。CPU1100は、入出力インターフェイス1600を介して、入力装置からデータを取得する。また、CPU1100は、生成したデータを入出力インターフェイス1600を介して出力装置へ出力する。
The
メディアインターフェイス1700は、記録媒体1800に格納されたプログラムまたはデータを読み取り、RAM1200を介してCPU1100に提供する。CPU1100は、かかるプログラムを、メディアインターフェイス1700を介して記録媒体1800からRAM1200上にロードし、ロードしたプログラムを実行する。記録媒体1800は、例えばDVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
例えば、コンピュータ1000が実施形態に係るフィルタ装置100として機能する場合、コンピュータ1000のCPU1100は、RAM1200上にロードされたプログラムを実行することにより、制御部130の機能を実現する。コンピュータ1000のCPU1100は、これらのプログラムを記録媒体1800から読み取って実行するが、他の例として、他の装置から所定の通信網を介してこれらのプログラムを取得してもよい。
For example, when the
以上、本願の実施形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。 As described above, some of the embodiments of the present application have been described in detail based on the drawings. It is possible to carry out the invention in other forms with modifications.
〔7.その他〕
また、上記実施形態及び変形例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。
[7. others〕
Further, among the processes described in the above embodiments and modifications, all or part of the processes described as being performed automatically can be performed manually, or described as being performed manually. All or part of the processing can also be performed automatically by known methods. In addition, information including processing procedures, specific names, various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified. For example, the various information shown in each drawing is not limited to the illustrated information.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。 Also, each component of each device illustrated is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution and integration of each device is not limited to the one shown in the figure, and all or part of them can be functionally or physically distributed and integrated in arbitrary units according to various loads and usage conditions. Can be integrated and configured.
また、上述してきた実施形態及び変形例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。 Also, the above-described embodiments and modifications can be appropriately combined within a range that does not contradict the processing content.
1 情報処理システム
10 対象装置
20 検知装置
100 フィルタ装置
110 通信部
120 記憶部
130 制御部
131 受付部
132 出力制御部
200 監視装置
Claims (23)
第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御部と、
を備える情報処理装置。 a receiving unit that receives an anomaly detection notification indicating that the state of the monitored object is abnormal;
When a recovery detection notification indicating that the state of the monitoring target has recovered from an abnormality is received within a first suppression time period starting from a first time at which the first abnormality detection notification is received, the recovery detection is performed. an output control unit that outputs the recovery detection notification after the first suppression time has elapsed on the condition that a second abnormality detection notification different from the first abnormality detection notification is not accepted after the notification is received;
Information processing device.
前記第1の時刻を開始時刻とする前記第1の抑制時間内に前記第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制する、
請求項1に記載の情報処理装置。 The output control unit is
suppressing output of the second abnormality detection notification when the second abnormality detection notification is received within the first suppression time with the first time as the start time;
The information processing device according to claim 1 .
前記第2の異常検知通知を受け付けた第2の時刻を開始時刻とする前記第1の抑制時間内に前記第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、前記第3の異常検知通知の出力を抑制し、
前記第2の時刻を開始時刻とする前記第1の抑制時間内に前記回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第3の異常検知通知を受け付けないことを条件として、前記第2の時刻を開始時刻とする前記第1の抑制時間の経過後に前記回復検知通知を出力する、
請求項2に記載の情報処理装置。 The output control unit is
If a third anomaly detection notification different from the second anomaly detection notification is received within the first suppression time starting at the second time when the second anomaly detection notification is received, the Suppressing the output of the third anomaly detection notification,
On the condition that when the recovery detection notification is received within the first suppression time period starting at the second time, the third abnormality detection notification is not received after the recovery detection notification is received. , outputting the recovery detection notification after the first suppression time having the second time as the start time elapses;
The information processing apparatus according to claim 2.
前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、第4の異常検知通知を受け付けた場合は、前記第1の抑制時間よりも長い第2の抑制時間にわたって、前記第4の異常検知通知の出力を抑制し、
前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記回復検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けないことを条件として、前記第2の抑制時間の経過後に前記回復検知通知を出力する、
請求項3に記載の情報処理装置。 The output control unit is
If a fourth abnormality detection notification is received after the process of suppressing the abnormality detection notification is continued for a predetermined time during the first suppression time, the second suppression time longer than the first suppression time Suppressing the output of the fourth anomaly detection notification,
If the recovery detection notification is accepted after the process of suppressing the abnormality detection notification during the first suppression time is continued for the predetermined time, the fourth abnormality detection notification is not accepted. outputting the recovery detection notification after the suppression time of 2 has elapsed;
The information processing apparatus according to claim 3.
前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了後に前記第4の異常検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間にわたって前記第4の異常検知通知の出力を抑制し、
前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了後に、前記第4の異常検知通知を受け付け、更に前記回復検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する、
請求項4に記載の情報処理装置。 The output control unit is
The end time of the first suppression period starting at the second time exceeds the predetermined time, and after the first suppression period starting at the second time ends, the fourth When the abnormality detection notification is received, suppressing the output of the fourth abnormality detection notification for the second suppression time starting at the time when the fourth abnormality detection notification is received,
After the end time of the first suppression time period starting at the second time exceeds the predetermined time period and after the first suppression time period starting at the second time ends, the first 4. When the abnormality detection notification of 4 is received and further the recovery detection notification is received, the recovery detection notification is output after the second suppression time, which starts at the time when the fourth abnormality detection notification is received, has elapsed. do,
The information processing apparatus according to claim 4.
前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間に前記第3の異常検知通知を受け付け、更に前記回復検知通知を受け付けた場合は、前記第3の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する、
請求項4に記載の情報処理装置。 The output control unit is
The end time of the first suppression period starting at the second time exceeds the predetermined period of time, and the third abnormality occurs during the first suppression period starting at the second time. When the detection notification is received and the recovery detection notification is received, the recovery detection notification is output after the second suppression time has elapsed with the start time being the time when the third abnormality detection notification is received.
The information processing apparatus according to claim 4.
N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御部と、
を備える情報処理装置。 a receiving unit that receives an anomaly detection notification indicating that the state of the monitored object is abnormal;
The N-th anomaly detection notification, which is an anomaly detection notification received for the Nth time (N is a natural number), is received within a first suppression time starting at the N-th time, which is the time when the N-th anomaly detection notification is received. When another abnormality detection notification different from the above is received, the output of the other abnormality detection notification is suppressed, and after continuing the process of suppressing the abnormality detection notification during the first suppression time for a predetermined time, a new abnormality If the detection notification is not received, the process of suppressing the abnormality detection notification is continued for the predetermined time after a second suppression time longer than the first suppression time elapses, or during the first suppression time. an output control unit that later outputs a recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality;
Information processing device.
前記監視対象の状態を示す状態情報から、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を推定するよう学習された機械学習モデルを用いて、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を推定する、
請求項4または7に記載の情報処理装置。 The output control unit is
Using a machine learning model learned to estimate the first suppression time, the predetermined time, or the second suppression time from the state information indicating the state of the monitoring target, the first suppression time, the estimating a predetermined time or the second suppression time;
The information processing apparatus according to claim 4 or 7.
前記受付部が前記異常検知通知を受け付けた時刻から一定の時間内に受け付けた前記異常検知通知の履歴に基づいて、統計的手法を用いて、前記異常検知通知を受け付けてから、前記異常検知通知を受け付けなくなるまでの期間を推定し、推定した期間に基づいて、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を決定する、
請求項4または7に記載の情報処理装置。 The output control unit is
After receiving the anomaly detection notification using a statistical method based on the history of the anomaly detection notifications received within a certain period of time from the time when the reception unit received the anomaly detection notification, the anomaly detection notification Estimate the period until it stops accepting, and determine the first suppression time, the predetermined time or the second suppression time based on the estimated period,
The information processing apparatus according to claim 4 or 7.
第1の抑制時間内に受け付けた複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御部と、
を備える情報処理装置。 a receiving unit that receives an anomaly detection notification indicating that the state of the monitored object is abnormal;
Suppressing the output of a plurality of anomaly detection notifications received within a first suppression time, and suppressing the first suppression time on the condition that the total notification time of each of the plurality of anomaly detection notifications is equal to or greater than a cumulative threshold time an output control unit that outputs a first abnormality detection notification after the elapse of;
Information processing device.
第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、前記所定の時間間隔である異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御部と、Suppressing the output of the anomaly detection notification received within the first suppression time, and suppressing the first suppression on the condition that the total notification time of the anomaly detection notification that is the predetermined time interval is equal to or greater than the cumulative threshold time an output control unit that outputs a first abnormality detection notification after a lapse of time;
を備える情報処理装置。Information processing device.
前記監視対象の状態が異常から回復したことを示す回復検知通知を前記第1の抑制時間内に受け付けた場合は、前記回復検知通知の出力を抑制する、
請求項10または11に記載の情報処理装置。 The output control unit is
suppressing output of the recovery detection notification when a recovery detection notification indicating that the state of the monitoring target has recovered from an abnormality is received within the first suppression time period;
The information processing apparatus according to claim 10 or 11 .
前記第1の異常検知通知を出力した第1の時刻を開始時刻とする第2の抑制時間であって、前記第1の抑制時間よりも短い前記第2の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、
前記第1の時刻を開始時刻とする前記第2の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記回復検知通知を受け付けた第2の時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する、
請求項10または11に記載の情報処理装置。 The output control unit is
A second suppression time starting at a first time when the first failure detection notification is output, wherein the first failure occurs within the second suppression time shorter than the first suppression time. When a second abnormality detection notification different from the detection notification is received, suppressing output of the second abnormality detection notification,
When the recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality is received within the second suppression time period starting from the first time, the recovery detection notification is received and then the recovery detection notification is received. 2, on the condition that the abnormality detection notification is not accepted, the recovery detection notification is output after the second suppression time has elapsed with the second time at which the recovery detection notification is accepted as the start time;
The information processing apparatus according to claim 10 or 11 .
前記第2の異常検知通知を受け付けた第3の時刻を開始時刻とする前記第2の抑制時間内に前記第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、前記第3の異常検知通知の出力を抑制し、
前記第3の時刻を開始時刻とする前記第2の抑制時間内に前記回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第3の異常検知通知を受け付けないことを条件として、前記第2の時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する、
請求項13に記載の情報処理装置。 The output control unit is
If a third anomaly detection notification different from the second anomaly detection notification is received within the second suppression time starting at a third time at which the second anomaly detection notification is received, the Suppressing the output of the third anomaly detection notification,
On the condition that when the recovery detection notification is received within the second suppression time period starting from the third time, the third abnormality detection notification is not received after the recovery detection notification is received. , outputting the recovery detection notification after the second suppression time with the second time as the start time elapses;
The information processing apparatus according to claim 13.
前記監視対象の状態を示す状態情報から、前記第1の抑制時間、前記累積閾値時間または前記第2の抑制時間を推定するよう学習された機械学習モデルを用いて、前記第1の抑制時間、前記累積閾値時間または前記第2の抑制時間を推定する、
請求項13に記載の情報処理装置。 The output control unit is
Using a machine learning model trained to estimate the first suppression time, the cumulative threshold time, or the second suppression time from state information indicating the state of the monitoring target, the first suppression time, estimating the cumulative threshold time or the second suppression time;
The information processing apparatus according to claim 13.
監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、
第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御工程と、
を含む情報処理方法。 An information processing method realized by a program executed by an information processing device,
a receiving step of receiving an anomaly detection notification indicating that the state of the monitored object is anomalous;
When a recovery detection notification indicating that the state of the monitoring target has recovered from an abnormality is received within a first suppression time period starting from a first time at which the first abnormality detection notification is received, the recovery detection is performed. an output control step of outputting the recovery detection notification after the first suppression time has elapsed on condition that a second abnormality detection notification different from the first abnormality detection notification is not accepted after the notification is received;
Information processing method including.
監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、
第1の抑制時間内に受け付けた複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御工程と、
を含む情報処理方法。 An information processing method realized by a program executed by an information processing device,
a receiving step of receiving an anomaly detection notification indicating that the state of the monitored object is anomalous;
Suppressing the output of a plurality of anomaly detection notifications received within a first suppression time, and suppressing the first suppression time on the condition that the total notification time of each of the plurality of anomaly detection notifications is equal to or greater than a cumulative threshold time an output control step of outputting a first abnormality detection notification after the elapse of;
Information processing method including.
監視対象の状態が異常であることを示す異常検知通知を所定の時間間隔で受け付ける受付工程と、a receiving step of receiving, at predetermined time intervals, an abnormality detection notification indicating that the state of the monitored object is abnormal;
第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、前記所定の時間間隔である異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御工程と、Suppressing the output of the anomaly detection notification received within the first suppression time, and suppressing the first suppression on the condition that the total notification time of the anomaly detection notification that is the predetermined time interval is equal to or greater than the cumulative threshold time an output control step of outputting a first abnormality detection notification after a lapse of time;
を含む情報処理方法。Information processing method including.
監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、
N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御工程と、
を含む情報処理方法。 An information processing method realized by a program executed by an information processing device,
a receiving step of receiving an anomaly detection notification indicating that the state of the monitored object is anomalous;
The N-th anomaly detection notification, which is an anomaly detection notification received for the Nth time (N is a natural number), is received within a first suppression time starting at the N-th time, which is the time when the N-th anomaly detection notification is received. When another abnormality detection notification different from the above is received, the output of the other abnormality detection notification is suppressed, and after continuing the process of suppressing the abnormality detection notification during the first suppression time for a predetermined time, a new abnormality If the detection notification is not received, the process of suppressing the abnormality detection notification is continued for the predetermined time after a second suppression time longer than the first suppression time elapses, or during the first suppression time. an output control step of outputting a recovery detection notification indicating that the state of the monitoring target has recovered from the abnormality;
Information processing method including.
第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御手順と、
をコンピュータに実行させる情報処理プログラム。 a reception procedure for receiving an anomaly detection notification indicating that the state of a monitoring target is abnormal;
When a recovery detection notification indicating that the state of the monitoring target has recovered from an abnormality is received within a first suppression time period starting from a first time at which the first abnormality detection notification is received, the recovery detection is performed. an output control procedure for outputting the recovery detection notification after the first suppression time elapses on condition that a second abnormality detection notification different from the first abnormality detection notification is not accepted after the notification is received;
An information processing program that causes a computer to execute
第1の抑制時間内に受け付けた複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御手順と、
をコンピュータに実行させる情報処理プログラム。 a reception procedure for receiving an anomaly detection notification indicating that the state of a monitoring target is abnormal;
Suppressing the output of a plurality of anomaly detection notifications received within a first suppression time, and suppressing the first suppression time on the condition that the total notification time of each of the plurality of anomaly detection notifications is equal to or greater than a cumulative threshold time an output control procedure for outputting a first abnormality detection notification after the elapse of;
An information processing program that causes a computer to execute
第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、前記所定の時間間隔である異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御手順と、Suppressing the output of the anomaly detection notification received within the first suppression time, and suppressing the first suppression on the condition that the total notification time of the anomaly detection notification that is the predetermined time interval is equal to or greater than the cumulative threshold time an output control procedure for outputting a first abnormality detection notification after a lapse of time;
をコンピュータに実行させる情報処理プログラム。An information processing program that causes a computer to execute
N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御手段と、
をコンピュータに実行させる情報処理プログラム。 receiving means for receiving an anomaly detection notification indicating that the state of the monitored object is anomalous;
The N-th anomaly detection notification, which is an anomaly detection notification received for the Nth time (N is a natural number), is received within a first suppression time starting at the N-th time, which is the time when the N-th anomaly detection notification is received. When another abnormality detection notification different from the above is received, the output of the other abnormality detection notification is suppressed, and after continuing the process of suppressing the abnormality detection notification during the first suppression time for a predetermined time, a new abnormality If the detection notification is not received, the process of suppressing the abnormality detection notification is continued for the predetermined time after a second suppression time longer than the first suppression time elapses, or during the first suppression time. output control means for outputting a recovery detection notification indicating that the state of the monitored object has recovered from the abnormality;
An information processing program that causes a computer to execute
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022092249A JP7268228B1 (en) | 2022-06-07 | 2022-06-07 | Information processing device, information processing method and information processing program |
| JP2023069677A JP2023179361A (en) | 2022-06-07 | 2023-04-20 | Information processing device, information processing method and information processing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022092249A JP7268228B1 (en) | 2022-06-07 | 2022-06-07 | Information processing device, information processing method and information processing program |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023069677A Division JP2023179361A (en) | 2022-06-07 | 2023-04-20 | Information processing device, information processing method and information processing program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP7268228B1 true JP7268228B1 (en) | 2023-05-02 |
| JP2023179140A JP2023179140A (en) | 2023-12-19 |
Family
ID=86270074
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022092249A Active JP7268228B1 (en) | 2022-06-07 | 2022-06-07 | Information processing device, information processing method and information processing program |
| JP2023069677A Pending JP2023179361A (en) | 2022-06-07 | 2023-04-20 | Information processing device, information processing method and information processing program |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023069677A Pending JP2023179361A (en) | 2022-06-07 | 2023-04-20 | Information processing device, information processing method and information processing program |
Country Status (1)
| Country | Link |
|---|---|
| JP (2) | JP7268228B1 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003330758A (en) | 2002-05-09 | 2003-11-21 | Nec Corp | Fault information notifying system with concentration function and program for functioning machine as fault information notifying system with concentration function |
| US20040088403A1 (en) | 2002-11-01 | 2004-05-06 | Vikas Aggarwal | System configuration for use with a fault and performance monitoring system using distributed data gathering and storage |
| JP2007030444A (en) | 2005-07-29 | 2007-02-08 | Oki Data Corp | Electronic apparatus |
| JP2014056509A (en) | 2012-09-13 | 2014-03-27 | Omron Corp | Monitoring device, monitoring method, program, and recording medium |
| WO2022054542A1 (en) | 2020-09-10 | 2022-03-17 | 村田機械株式会社 | Automated operation equipment and automated operation equipment control method |
-
2022
- 2022-06-07 JP JP2022092249A patent/JP7268228B1/en active Active
-
2023
- 2023-04-20 JP JP2023069677A patent/JP2023179361A/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003330758A (en) | 2002-05-09 | 2003-11-21 | Nec Corp | Fault information notifying system with concentration function and program for functioning machine as fault information notifying system with concentration function |
| US20040088403A1 (en) | 2002-11-01 | 2004-05-06 | Vikas Aggarwal | System configuration for use with a fault and performance monitoring system using distributed data gathering and storage |
| JP2007030444A (en) | 2005-07-29 | 2007-02-08 | Oki Data Corp | Electronic apparatus |
| JP2014056509A (en) | 2012-09-13 | 2014-03-27 | Omron Corp | Monitoring device, monitoring method, program, and recording medium |
| WO2022054542A1 (en) | 2020-09-10 | 2022-03-17 | 村田機械株式会社 | Automated operation equipment and automated operation equipment control method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023179140A (en) | 2023-12-19 |
| JP2023179361A (en) | 2023-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210006484A1 (en) | Fault detection method, apparatus, and system | |
| US8868986B2 (en) | Relevant alert delivery in a distributed processing system with event listeners and alert listeners | |
| US7783744B2 (en) | Facilitating root cause analysis for abnormal behavior of systems in a networked environment | |
| US8805999B2 (en) | Administering event reporting rules in a distributed processing system | |
| US8621277B2 (en) | Dynamic administration of component event reporting in a distributed processing system | |
| US9348687B2 (en) | Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system | |
| US20030229693A1 (en) | Self-correcting monitor | |
| JP4593812B2 (en) | Data exchange system and method | |
| US6633834B2 (en) | Baselining of data collector data | |
| EP3809611B1 (en) | Link balancing parameter training control circuit | |
| EP2522974A2 (en) | Signal processing during fault conditions | |
| CN108398926B (en) | Monitoring device and monitoring system | |
| US7523206B1 (en) | Method and system to dynamically apply access rules to a shared resource | |
| US8065571B2 (en) | Storage area network (SAN) link integrity tester | |
| JP7268228B1 (en) | Information processing device, information processing method and information processing program | |
| US20050288828A1 (en) | System and method for monitoring serially-connected devices | |
| CN113965494A (en) | Method for fault detection and role selection in a redundant process network | |
| CN108064054B (en) | FTP file transmission monitoring method and system in LTE system | |
| EP2319212A1 (en) | Method for detecting hardware faults by determining a ratio of released connections | |
| US5784274A (en) | System and method for monitoring errors occurring in data processed by a duplexed communication apparatus | |
| CN104348641A (en) | Fault detection method and fault detection device | |
| JPWO2019069433A1 (en) | Parameter adjustment system and parameter adjustment method | |
| US8374823B1 (en) | Method and apparatus for monitoring variations in a parameter over time | |
| CN111835702B (en) | Login method, login device, login equipment and computer readable storage medium | |
| US20240073156A1 (en) | Detecting shortfalls in an agreement between a publisher and a subscriber |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221116 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20221116 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20221116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230117 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230309 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230420 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7268228 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |