JP7347547B2 - イベント分析支援装置、イベント分析支援方法、及びプログラム - Google Patents

イベント分析支援装置、イベント分析支援方法、及びプログラム Download PDF

Info

Publication number
JP7347547B2
JP7347547B2 JP2021573659A JP2021573659A JP7347547B2 JP 7347547 B2 JP7347547 B2 JP 7347547B2 JP 2021573659 A JP2021573659 A JP 2021573659A JP 2021573659 A JP2021573659 A JP 2021573659A JP 7347547 B2 JP7347547 B2 JP 7347547B2
Authority
JP
Japan
Prior art keywords
event
information
feature
analysis support
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021573659A
Other languages
English (en)
Other versions
JPWO2021152689A5 (ja
JPWO2021152689A1 (ja
Inventor
昌平 三谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2021152689A1 publication Critical patent/JPWO2021152689A1/ja
Publication of JPWO2021152689A5 publication Critical patent/JPWO2021152689A5/ja
Application granted granted Critical
Publication of JP7347547B2 publication Critical patent/JP7347547B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3447Performance evaluation by modeling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Mathematical Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、イベントを分析するイベント分析支援装置、イベント分析支援方法に関し、更には、これらを実現するためのプログラムに関する。
インフラ、プラント、ビルなどに用いられる制御システムへの攻撃を防止するために、制御システムのネットワークを流れるパケット(例えば、制御コマンド、プロセス値、コントロール値などを含むパケット)を監視し、不正な制御手順を検知する技術が開示されている。
関連する技術として特許文献1には、監視対象システムで発生したイベントを予測モデルに入力して、監視対象システムの異常発生に対応したイベントを分析するイベント分析システムが開示されている。特許文献1の分析システムによれば、イベント系列を予測し、予測に反して発生したイベントを検知し、検知したイベントを含むイベント系列を辿って、異常なイベントまで遡るシステムである。
特許第6280862号
しかしながら、特許文献1のイベント分析システムでは、制御システムのネットワークにノイズイベントが流れていることを想定していないため、ノイズイベントが混在する制御システムでは異常なイベントを検知できない。
本発明の目的の一例は、イベント系列にノイズイベントが混在していても、イベント分析を精度よく行うイベント分析支援装置、イベント分析支援方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面におけるイベント分析支援装置は、
システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力部と、
新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力部と、
前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力部と、
を有することを特徴とする。
また、上記目的を達成するため、本発明の一側面におけるイベント分析支援方法は、
システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力ステップと、
新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力ステップと、
前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力ステップと、
を有することを特徴とする。
さらに、上記目的を達成するため、本発明の一側面におけるプログラムは
コンピュータに、
システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力ステップと、
新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力ステップと、
前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力ステップと、
を実行させることを特徴とする。
以上のように本発明によれば、イベント系列にノイズイベントが混在していても、イベント分析を精度よく行うことができる。
図1は、イベント分析支援装置の一例を説明するための図である。 図2は、イベント分析支援装置の運用時の一例を説明するための図である。 図3は、イベント分析支援装置の学習時の一例を説明するための図である。 図4は、排水制御システムの一例を説明するための図である。 図5は、排水制御システムのイベントの一例を説明するための図である。 図6は、イベント系列の一例を説明するための図である。 図7は、特徴候補情報の一例を説明するための図である。 図8は、特徴情報の一例を説明するための図である。 図9は、運用時のイベント分析支援装置の動作の一例を説明するための図である。 図10は、学習時のイベント分析支援装置の動作の一例を説明するための図である。 図11は、イベント分析支援装置を実現するコンピュータの一例を示すブロック図である。
(実施形態)
以下、図面を参照して、本発明の実施形態を説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明は省略することもある。
[装置構成]
最初に、図1を用いて、本実施形態におけるイベント分析支援装置1の構成について説明する。図1は、イベント分析支援装置の一例を説明するための図である。図1に示すイベント分析支援装置1は、システムにおいて、対象とするイベント系列にノイズイベントが混在していても、イベント分析を精度よく行うことができる装置である。
システムは、例えば、発電所、電力網、通信網、道路、鉄道、港湾、空港、上下水道、灌漑施設、治水施設などの公共又は公益の設備、施設、構造物などに用いられる制御システムである。
イベント系列は、システムに対象の制御をさせた場合に発生するイベントの一連の流れを表す。すなわち、イベント系列とは、対象の制御をした場合に発生するイベントの順序を表している。イベントは、例えば、システムの制御に用いる、制御コマンド、状態遷移イベント、通知イベントなどの各種イベントと、プロセス値、コントロール値などである。
ノイズイベントは、例えば、対象とするイベント系列のイベントとは別のイベントである。対象とするイベント系列をA→B→A→Cとした場合、対象のイベント系列のイベントと別のイベントX、Yが対象のイベント系列に混入することがある。例えば、A→X→X→Y→X→B→・・・のように、対象のイベント系列にノイズイベントが混入する。そのため、ノイズイベントの影響により対象のイベント系列を精度よく分析できない。特に、どのイベントが対象イベントであり、どのイベントがノイズイベントなのかが未知である場合には、対象イベント系列を精度よく分析することがさらに困難である。
そこで、本実施形態においては、イベント分析支援装置1を用いることで、対象となるイベント系列A→B→A→CにノイズイベントX、Yが混入しても、イベント分析を精度よく行うことができるようにする。
次に、図1に示すイベント分析支援装置1は、所属度出力部2と、特徴候補情報出力部3と、特徴情報出力部4とを有する。
このうち、所属度出力部2は、システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する。なお、イベントの種類の数と、設定されたイベント種別の数は一致していなくてもよい。また、イベント種別の数は、実際のイベントのパターン数以下に設定する。
イベント情報は、例えば、各種イベントを識別する識別情報、又はシステムの状態を表す状態情報、又はイベントと他のイベントとの時間間隔を表す間隔情報、又は識別情報及び状態情報及び間隔情報のうち二つ以上を組み合わせた情報などである。
イベント種別は、イベント情報を種別するための情報である。イベント種別は、例えば、上述した制御コマンド、状態遷移イベント、通知イベント、システムの状態を表す状態情報(プロセス値)、イベントと他のイベントとの時間間隔を表す間隔情報、システムの制御に用いるコントロール値などを種別するための情報である。
所属度は、例えば、あらかじめ設定されたk個のイベント種別がある場合、イベント情報がk個のイベント種別それぞれに対して所属する度合を表す情報である。具体的には、イベント種別の数がk=3である場合、所属度はb=(b1,b2,b3)のように表される。なお、所属度bの各要素b1、b2、b3は、例えば、数値などにより表すことができる。
特徴候補情報出力部3は、新たに発生したイベントのイベント情報と、イベント種別ごとに既に生成されているイベント間の特徴を表す特徴情報(潜在特徴)とを用いて、イベント種別ごとに特徴候補情報(潜在特徴候補)を出力する。特徴候補情報出力部3は、イベント間の未知の関係性を表す特徴候補情報をイベント種別ごとに生成する。
特徴情報、特徴候補情報は、イベント間の順序、イベント間の時間間隔、システムの状態の履歴などの特徴を表す情報である。
特徴情報出力部4は、特徴情報と特徴候補情報と所属度とを用いて、イベント種別ごとに新たな特徴情報を出力する。具体的には、特徴情報出力部4は、発生したイベントの所属度を用いて、既に生成されている特徴情報と、新たに生成された特徴候補情報とに重み付けをし、イベント種別ごとの特徴情報を更新することが考えられる。
例えば、イベント種別の数がk=3に設定され、所属度がb=(b1,b2,b3)=(0.8,0.1,0.1)で、既に生成されている特徴情報がFi=(Fi1,Fi,Fi3)で、特徴候補情報Fc=(Fc1,Fc2,Fc3)であるとする。
そして、特徴情報Fiの各要素がFi1=(1,1,1,1),Fi2=(2,2,2,2),Fi3=(3,3,3,3)で表され、特徴候補情報出力部3により生成された特徴候補情報Fcの各要素がFc1=(1,2,3,4),Fc2=(5,6,7,8),Fc3=(-1,-2,-3,-4)であるとする。
その場合、イベント種別ごとの新たな特徴情報Fi=(Fi1,Fi2,Fi3)の各要素は、数1に示すように、特徴情報Fiと特徴候補情報Fcとに、所属度bを用いて重み付けをし、重み付けをした特徴情報Fiと特徴候補情報Fcとを加算して求める。
(数1)
Fi1=(1-b1)Fi1+b1・Fc1
Fi1=0.2・(1,1,1,1)+0.8・(1,2,3,4)
=(1.0,1.8,2.6,3.4)

Fi2=(1-b2)Fi2+b2・Fc2
Fi2=0.9・(2,2,2,2)+0.1・(5,6,7,8)
=(2.3,2.4,2.5,2.6)

Fi3=(1-b3)Fi3+b3・Fc3
Fi3=0.9・(3,3,3,3)+0.1・(-1,-2,-3,-4)
=(2.6,2.5,2.4,2.3)
なお、数1に示したモデルを用いる場合、所属度bの要素が0であるイベント種別に対応する特徴情報Fiは、重みが0であるから特徴候補情報に依存しない。したがって、特徴候補情報出力部3は、少なくとも所属度bが0でないイベント種別に対応する特徴候補情報のみを出力すれば十分である。
また、特徴情報の生成は数1に示したモデルに限定されるものではない。例えば、特徴情報Fiと特徴候補情報Fcと所属度bとを、機械学習により生成されたモデルに入力し、新たな特徴情報Fiを生成してもよい。
このように、本実施形態においては、イベントの所属度と、既に生成されている特徴情報と、新たに生成された特徴候補情報とを用いて、イベント種別ごとの特徴情報を更新する。特に、所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与(重み)の大小関係とが一致するモデル(数1など)を用いることで、イベント系列にノイズイベントが混在していても、ノイズイベントの発生時に生成された特徴候補情報の寄与を抑制し、特徴情報に対するノイズイベントの影響が低減できる。また、この特徴情報を用いることで、様々なイベント分析を精度よく行うことができる。
[システム構成]
続いて、図2、図3を用いて、本実施形態におけるイベント分析支援装置1の構成をより具体的に説明する。図2は、イベント分析支援装置の運用時の一例を説明するための図である。図3は、イベント分析支援装置の学習時の一例を説明するための図である。
図2に示すように、本実施形態におけるイベント分析支援装置1は、運用時において、所属度出力部2と、特徴候補情報出力部3と、特徴情報出力部4と、取得部5と、分析結果出力部6とを用いて、イベント分析をする。また、運用時において、分析結果を表示する場合には、更に出力情報生成部7を用いる。また、イベント分析支援装置1は、学習時において、さらに学習部8を用いて、所属度出力部2、特徴候補情報出力部3、特徴情報出力部4、分析結果出力部6で用いるモデルそれぞれの学習をする。
運用時について説明する。
取得部5は、運用時において、対象のシステムにおいて発生したイベントを取得する。具体的には、まず、取得部5は、システムのネットワークを流れるパケット、又はログファイル、又はそれら両方を取得する。続いて、取得部5は、パケット、又はログファイル、又はそれら両方を用いて、イベントを検知する。続いて、取得部5は、検知したイベントを所属度出力部2及び特徴候補情報出力部3へ出力する。
所属度出力部2は、運用時において、対象のシステムにおいて発生したイベントが、あらかじめ設定された複数のイベント種別それぞれに、どの程度所属しているかを表す所属度を出力する。なお、イベントの種類の数と、設定されたイベント種別の数は一致していなくてもよい。また、イベント種別の数は、実際のイベントのパターン数以下に設定する。
具体的には、まず、所属度出力部2は、取得部5からイベントを取得する。続いて、所属度出力部2は、取得したイベントを所属度出力モデルに入力する。続いて、所属度出力部2は、所属度出力モデルから出力された所属度を特徴情報出力部4へ出力する。
所属度出力モデルは、例えば、ニューラルネットワークを用いたモデルの他、線形モデル、ロジスティックモデル、サポートベクトルマシン、パラメトリック確率モデル、ノンパラメトリック確率モデル、ベイズモデル、ガウス過程、木構造モデル、ルールベースなどが考えられる。
また、所属度出力モデルは、図2に示すようにイベント分析支援装置1の外部に設けられた記憶装置30に記憶されている。ただし、記憶装置30は、イベント分析支援装置1の内部に設けてもよい。なお、所属度出力モデルの学習については後述する。記憶装置30は、例えば、サーバコンピュータ、データベースなどの記憶装置である。
所属度について図4、図5、図6を用いて具体的に説明をする。図4は、排水制御システムの一例を説明するための図である。図5は、排水制御システムのイベントの一例を説明するための図である。図6は、イベント系列の一例を説明するための図である。
図4に示した排水制御システム40は、注水ポンプ41、貯水槽42、排水弁43、排水ポンプ44などを用いて、流入した水を貯水槽に貯めた後に排水をする排水制御システムである。また、正常運転時においては、排水制御システム40が有するネットワークに図5に示すイベントに対応するパケットが流れる。
また、図4の排水制御システム40において、正常運転時には、まず、図6に示すように、注水準備のために排水弁43を閉じる(図5の排水弁開閉(A))ための制御コマンドを有するパケットがネットワークに流れる。次に、約10分後に、注水ポンプ41を駆動して貯水槽42に既定量の注水をする(図5の注水ポンプ駆動(B))ための制御コマンドを有するパケットがネットワークに流れる。次に、約10分後に、排水のために排水弁43を開く(図5の排水弁開閉(A))ための制御コマンドを有するパケットがネットワークに流れる。次に、約10分後に、排水ポンプ44を駆動して排水する(図5の排水ポンプ駆動(C))ための制御コマンドを有するパケットがネットワークに流れる。
したがって、排水制御を行う際のイベント系列は、図6のAに示すようにA→B→A→Cとなる。しかし、実際には、イベントX(図5の温度計測値)、Y(図5の温度設定値)などのノイズイベントがイベント系列に混入するので、図6のBに示すような、A→X→X→Y→X→B→・・・などとなる。
続いて、上述した排水制御システム40において、あらかじめイベント種別の数がk=5に設定されている場合、所属度出力部2は、所属度として所属度b=(b1,b2,b3,b4,b5)を出力する。所属度出力モデルが、イベントがイベント種別b1、b2、b3、b4、b5に所属する所属度を出力するようなモデルである場合、イベントAを取得すると、所属度出力部2は所属度b=(1,0,0,0,0)を出力する。また、ノイズイベントXを取得すると、所属度出力部2は所属度b=(0,0,0,1,0)を出力する。
上述したイベントAを取得した直後に、特徴候補情報出力部3及び特徴情報出力部4が特徴情報を更新する。その結果、特徴情報としてFi=(Fi1,Fi2,Fi3,Fi4,Fi5)を出力したとする。
その後、ノイズイベントXを取得した直後に、特徴候補情報出力部3が、特徴候補情報としてFc=(Fc1,Fc2,Fc3,Fc4,Fc5)を出力する。しかし、所属度b=(0,0,0,1,0)であるため、特徴情報出力部4は、特徴情報としてFi´=(Fi1,Fi2,Fi3,Fc4,Fi5)を出力する。すなわち、ノイズイベントXの受信によって、4番目の特徴情報Fi4のみが更新されてFc4に変化し、その他の特徴情報は変化しない。
このように、ノイズイベントX及びYの受信によって変化する特徴情報は、特徴情報Fiの中でFi4及びFi5の2つだけである。一方で、Fi1、Fi2、Fi3の3つの特徴情報は、ノイズイベントの影響を受けずに保持される。従って、イベント系列内にノイズイベントが多数混入しても、ノイズイベントによって特徴情報Fi1、Fi2、Fi3が乱されることなく、高精度な分析を可能とする。
また、その後、イベントYを取得すると、所属度出力部2は所属度b=(0,0,0,0,1)を出力する。また、イベントBを取得すると、所属度出力部2は所属度b=(0,1,0,0,0)を出力する。したがって、ノイズイベントが混入したイベント系列A→X→X→Y→X→B→・・・のうち、A→X→X→Y→Xまでを受信した時点では、1番目、2番目および3番目の特徴情報Fi1、Fi2、Fi3は、ノイズイベントX、Yによって全く変更を受けない。
そして、次にイベントBを受信した時点で、特徴候補情報出力部3及び特徴情報出力部4が、特徴情報Fi=(Fi1,Fi2,Fi3,Fi4,Fi5)に基づき、2番目の特徴情報Fi2のみを更新する。これにより、ノイズイベントに乱されることなく、イベントAの取得時に更新された特徴情報Fi1を、イベントBの取得時に更新する特徴情報Fi2が引き継ぐことができる。したがって、イベントBの取得時に更新される特徴情報は、イベントAの取得時に更新された特徴情報と、イベントAの後にイベントBを取得したという順序関係と、イベントAとイベントBとの間の時間間隔と、イベントBに付随する圧力や温度やシステム状態のような状態の情報と、を圧縮して表現する情報となる。
従って、上述した特徴情報更新を繰り返すことにより、どのイベントが対象イベントであり、どのイベントがノイズイベントであるかが未知である場合にも、規則性を持った有用なイベント系列の順序関係などの特徴を、ノイズイベントに乱されることなく抽出することができる。
さらに、上述した例では、イベント種別の数がk=5で、イベントのパターン(A、B、C、X、Y))数も5種類なので上述した結果となるが、イベント種別の数とイベントのパターン数とが同じである必要は無い。所属度出力部2、特徴候補情報出力部3、特徴情報出力部4の計算量はイベント種別の数に比例するので、実際のイベントのパターン数よりも、イベント種別の数を小さく取ることで、計算量を抑制できる。
具体的に、上述した所属度出力モデルでは、イベント種別ごとの所属度を「1」「0」の二値を用いて表したが、0から1の間の数値を用いて所属度を表してもよい。
例えば、イベント種別の数がk=4で、イベントのパターン(A、B、C、X、Y)数が5種類であるというように、イベント種別の数とイベントのパターン数とが異なる場合、所属度出力モデルは、イベントAを取得すると、所属度b=(0.9,0.05,0.02,0.03)を出力し、イベントXを取得した場合、所属度b=(0.05,0.05,0.02,0.88)を出力するモデルでもよい。
上述したイベントAを取得した直後に、特徴候補情報出力部3及び特徴情報出力部4が特徴情報を更新した結果、特徴情報としてFi=(Fi1,Fi2,Fi3,Fi4,Fi5)を出力したとする。
その後、ノイズイベントXを取得した直後に、特徴候補情報出力部3が、特徴候補情報としてFc=(Fc1,Fc2,Fc3,Fc4)を出力するが、所属度b=(0.05,0.05,0.02,0.88)であるため、特徴情報出力部4は、特徴情報としてFi´=(0.95×Fi1+0.05×Fc1,0.95×Fi2+0.05×Fc2,0.98×Fi3+0.02×Fc3,0.12×Fi4+0.88×Fc4)を出力する。
すなわち、ノイズイベントXの受信によって、4番目の特徴情報Fi4は88%が失われて0.12×Fi4+0.88×Fc4に変化するが、その他の特徴情報は2%~5%しか失われず、95%~98%が保持される。
このように、ノイズイベントX及びYの受信によって特徴情報が変化するイベント種別を、4つのうち1つ又は2つ程度に抑制し、残りの特徴情報によって、ノイズイベントに乱されることのない特徴を保持し、高精度な分析を可能とする。
なお、所属度出力モデルの学習において、入力される学習用イベントデータがどのイベント種別に属するかを表す教師データは不要である。
特徴候補情報出力部3は、運用時において、新たに発生したイベントのイベント情報と、イベント種別ごとに既に生成されているイベント間の特徴を表す特徴情報とを用いて、イベント種別ごとに特徴候補情報を出力する。
具体的には、まず、特徴候補情報出力部3は、取得部5からイベントを取得する。続いて、特徴候補情報出力部3は、取得したイベントと、現在のイベント種別ごとの特徴情報を特徴候補情報出力モデルに入力する。続いて、特徴候補情報出力部3は、特徴候補情報出力モデルから出力されたイベント種別ごとの特徴候補情報を、特徴情報出力部4へ出力する。
特徴候補情報出力モデルは、例えば、ニューラルネットワーク、LSTM(Long short-term memory)、Attention-RNN(Recurrent Neural Network)、Transformerを利用することが考えられる。また、特徴候補情報出力モデルは記憶装置30に記憶されている。
図7は、特徴候補情報の一例を説明するための図である。図7は、イベント種別の数がk=5の場合の例である。その場合、まず、取得したイベント情報と、現在のイベント種別ごとの特徴情報1、2、3、4、5とを特徴候補情報出力モデルのモデル71、72、73、74、75それぞれに入力する。そうするとモデル71、72、73、74、75それぞれは、特徴候補情報1、2、3、4、5を出力する。なお、図7では説明を分かり易くするために、モデル71から75を用いて説明したが、モデルの数は5個に限定されるのもではない。
特徴情報出力部4は、運用時において、特徴情報と特徴候補情報と所属度とを用いて、イベント種別ごとに新たな特徴情報出力する。
具体的には、まず、特徴情報出力部4は、所属度出力部2から所属度を取得する。また、特徴情報出力部4は、特徴候補情報出力部3からイベント種別ごとの特徴候補情報を取得する。続いて、特徴情報出力部4は、現在のイベント種別ごとの特徴情報と特徴候補情報と所属度とを特徴情報出力モデルに入力する。続いて、特徴情報出力部4は、特徴情報出力モデルから出力されたイベント種別ごとの特徴情報を、分析結果出力部6へ出力する。
特徴情報出力モデルは、例えば、上述した数1に示すような所属度による特徴候補情報と特徴情報の重みづけ和の計算をしてもよいし、ニューラルネットワークなどによる非線形変換をしてもよい。また、特徴情報出力モデルは記憶装置30に記憶されている。
図8は、特徴情報の一例を説明するための図である。図8は、イベント種別の数がk=5の場合の例である。その場合、まず、イベント種別ごとの所属度b1、b2、b3、b4、b5及び特徴候補情報1、2、3、4、5を特徴情報出力モデルに入力する。図8の例では、モデル81が所属度b1と特徴候補情報1とを用いて新しい特徴情報1を出力する。モデル82、83、84、85それぞれについても、モデルに対応する所属度と特徴候補情報とを用いて、新しい特徴情報2、3、4、5を出力する。なお、図8では説明を分かり易くするために、モデル81から85を用いて説明したが、モデルの数は5個に限定されるのもではない。
分析結果出力部6は、あらかじめ設定された分析モデルに、イベント種別ごとの特徴情報を入力して分析結果を出力する。具体的には、まず、分析結果出力部6は、特徴情報出力部4から特徴情報を取得する。続いて、分析結果出力部6は、イベント種別ごとの特徴情報を分析モデルに入力する。続いて、分析結果出力部6は、分析モデルから出力された分析結果を表す分析結果情報を出力情報生成部7へ出力する。
例えば、システムは制御手順が異常な場合にシステムが異常になるので、イベント種別ごとの特徴情報を分析結果出力部6に入力して、異常なイベント系列を検知する。また、システムの状態に対して不適切な制御がされた場合にシステムの状態とイベントは不整合となるので、イベント種別ごとの特徴情報を分析結果出力部6に入力して、システムの状態とイベントの不整合を検知する。
分析モデルは、ニューラルネットワークなどに、イベント種別ごとの特徴情報を入力して、目的とする結果を出力するモデルである。分析モデルは、例えば、イベント系列の予測、イベントの分類、対象となるイベント系列の異常検知などを行ってもよい。異常検知は、例えば、特徴情報を用いてone-class学習(one-Class SVM、one-class SVDDなど)をした分析モデル、又は教師なし学習(自己組織化マップ、主成分分析、metric learning、Auto Encoderなど)をした分析モデルを用いて行う。
出力情報生成部7は、分析結果出力部6から分析結果情報を取得し、取得した分析結果情報を出力装置20に出力可能な出力情報に変換し、その出力情報を出力装置20へと送信する。
出力装置20は、出力情報生成部7により、出力可能な形式に変換された出力情報を取得し、その出力情報に基づいて、生成した画像及び音声などを出力する。出力装置20は、例えば、液晶、有機EL(Electro Luminescence)、CRT(Cathode Ray Tube)を用いた画像表示装置などである。さらに、画像表示装置は、スピーカなどの音声出力装置などを備えていてもよい。なお、出力装置20は、プリンタなどの印刷装置でもよい。
学習時について説明する。
学習部8は、システムにおいて過去に発生したイベント系列を用いて、所属度出力部2と、特徴候補情報出力部3と、特徴情報出力部4と、分析結果出力部6とを学習する。具体的には、まず、イベント分析支援装置1に、過去に発生したイベント系列(例えば、正常運転時において取得したイベント系列などの学習データ)を入力する。続いて、学習部8は、所属度出力部2、特徴候補情報出力部3、特徴情報出力部4、分析結果出力部6それぞれから出力された情報を取得する。続いて、学習部8は、出力された情報を用いて、所属度出力モデル、特徴候補情報出力モデル、特徴情報出力モデル、分析モデルを学習する。
学習部8は、所属度出力モデル、特徴候補情報出力モデル、特徴情報出力モデル、分析モデルが、いずれもニューラルネットワークなどの目的関数と学習パラメータを持つ機械学習モデルである場合、最終的な分析モデルの出力により計算される目的関数の値を最適化するよう、機械学習モデルの学習パラメータを調整する。
分析モデルが単純な予測、分類、異常検知などを行う場合、目的関数は、平均二乗誤差関数、交差エントロピー関数、ヒンジ損失関数、対数尤度関数、対数事後確率関数、エントロピー関数、ジニ係数、などを用いることができる。
また、学習パラメータの調整方法として、勾配降下法、共役勾配法、座標降下法、ニュートン法、サンプリングによる変分ベイズ、動的計画法、貪欲法などを用いることができる。
[装置動作]
次に、本発明の実施形態におけるイベント分析支援装置の動作について図9、図10を用いて説明する。図9は、運用時のイベント分析支援装置の動作の一例を説明するための図である。図10は、学習時のイベント分析支援装置の動作の一例を説明するための図である。以下の説明においては、適宜図1から図8を参照する。また、本実施形態では、イベント分析支援装置を動作させることによって、イベント分析支援方法が実施される。よって、本実施形態におけるイベント分析支援方法の説明は、以下のイベント分析支援装置の動作説明に代える。
運用時の動作について図9を用いて説明をする。
図9に示すように、最初に、取得部5は、運用時において、対象のシステムにおいて発生したイベントを取得する(ステップA1)。具体的には、ステップA1において、まず、取得部5は、システムのネットワークを流れるパケット、又はログファイル、又はそれら両方を取得する。続いて、ステップA1において、取得部5は、パケット、又はログファイル、又はそれら両方を用いて、イベントを検知する。続いて、ステップA1において、取得部5は、検知したイベントを所属度出力部2及び特徴候補情報出力部3へ出力する。
続いて、所属度出力部2は、運用時において、対象のシステムにおいて発生したイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに、どの程度所属しているかを表す所属度を出力する(ステップA2)。なお、イベント種別の数は、実際のイベントのパターン数以下にする。
具体的には、ステップA2において、まず、所属度出力部2は、取得部5からイベントを取得する。続いて、ステップA2において、所属度出力部2は、取得したイベントを所属度出力モデルに入力する。続いて、ステップA2において、所属度出力部2は、所属度出力モデルから出力された所属度を、特徴情報出力部4へ出力する。
続いて、特徴候補情報出力部3は、運用時において、新たに発生したイベントのイベント情報と、イベント種別ごとに既に生成されているイベント間の特徴を表す特徴情報とを用いて、イベント種別ごとに特徴候補情報を出力する(ステップA3)。
具体的には、ステップA3において、まず、特徴候補情報出力部3は、取得部5からイベントを取得する。続いて、ステップA3において、特徴候補情報出力部3は、取得したイベントと、現在のイベント種別ごとの特徴情報を特徴候補情報出力モデルに入力する。続いて、ステップA3において、特徴候補情報出力部3は、特徴候補情報出力モデルから出力されたイベント種別ごとの特徴候補情報を、特徴情報出力部4へ出力する。
続いて、特徴情報出力部4は、運用時において、特徴情報と特徴候補情報と所属度とを用いて、イベント種別ごとに新たな特徴情報に出力する(ステップA4)。
具体的には、ステップA4において、まず、特徴情報出力部4は、所属度出力部2から所属度を取得する。また、ステップA4において、特徴情報出力部4は、特徴候補情報出力部3からイベント種別ごとの特徴候補情報を取得する。続いて、ステップA4において、特徴情報出力部4は、現在のイベント種別ごとの特徴情報と特徴候補情報と所属度とを特徴情報出力モデルに入力する。続いて、ステップA4において、特徴情報出力部4は、特徴情報出力モデルから出力されたイベント種別ごとの特徴情報を、分析結果出力部6へ出力する。
続いて、分析結果出力部6は、あらかじめ設定された分析モデルに、イベント種別ごとの特徴情報を入力して分析結果を出力する(ステップA5)。
具体的には、ステップA5において、まず、分析結果出力部6は、特徴情報出力部4から特徴情報を取得する。続いて、ステップA5において、分析結果出力部6は、イベント種別ごとの特徴情報を分析モデルに入力する。続いて、ステップA5において、分析結果出力部6は、分析モデルから出力された分析結果を表す分析結果情報を出力情報生成部7へ出力する。
続いて、出力情報生成部7は、分析結果出力部6から分析結果情報を取得し、取得した分析結果情報を出力装置20に出力可能な出力情報に変換し、その出力情報を出力装置20へと送信する(ステップA6)。続いて、出力装置20は、出力情報生成部7により、出力可能な形式に変換された出力情報を取得し、その出力情報に基づいて、生成した画像及び音声などを出力する(ステップA7)。
イベント分析支援装置1は、イベント発生するごとに、ステップA1からA7を繰り返し実行する。なお、ステップA1からA4は、イベントが発生する度に実行し、ステップA5からステップA7は、あらかじめ設定されたタイミングで実行する。
学習時の動作について図10を用いて説明をする。
図10に示すように、最初に、過去に発生したイベント系列(例えば、正常運転時において取得したイベント系列などの学習データ)をイベント分析支援装置1に入力する(ステップB1)。
続いて、学習部8は、所属度出力部2、特徴候補情報出力部3、特徴情報出力部4、分析結果出力部6それぞれから出力された情報を取得する(ステップB2)。
続いて、学習部8は、出力された情報を用いて、所属度出力モデル、特徴候補情報出力モデル、特徴情報出力モデル、分析モデルを学習する(ステップB3)。
[本実施形態の効果]
以上のように本実施形態によれば、イベントの所属度と、既に生成されている特徴情報と、新たに生成された特徴候補情報とを用いて、イベント種別ごとの特徴情報を更新する。そのため、所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とを一致させ、ノイズイベントによって生成される特徴候補情報の寄与を抑制するので、イベント系列にノイズイベントが混在していても、特徴情報に対するノイズイベントの影響が低減できる。
また、イベント分析支援装置1により生成された特徴情報を用いることで、様々な分析を精度よく行うことができる。
例えば、顧客行動予測、犯罪発生予測、溶液濃度や機器状態の予測、直近の顧客の購買順序と消費額から次の消費行動を予測、多種の犯罪発生順序と頻度から次の犯罪発生を予測、多種の機器の操作順序と環境値から次の操作順序と環境値などの分析の精度を向上させることができる。
また、システムへの不正入力、機器の異常動作、異常行動の監視などの分析の精度を向上させることができる。具体的には、入力手順や操作手順が環境に整合しているか、あるいはその結果生じる機器の挙動が正常かどうかを監視する精度を向上させることができる。
さらに、病気や体調の分類、機器の分類、顧客行動の分類などの分析の精度を向上させることができる。具体的には、直近の受診履歴や食事、睡眠などのイベントから対象者の体調を分類、機器の稼働ログや通信パケットの系列から機器の種類を分類、顧客の購買イベントや取引イベント系列から顧客のタイプを分類などの分析の精度を向上させることができる。
ノイズイベントがその後のイベント系列に影響する場合でも、特徴情報を用いるので、イベントとノイズイベントとを区別しながら双方を自動的に加味できる。
イベントパターンの種類が多い(例えば、1000種類)場合や、イベントの値が連続値のため種類を定義できない場合に、少数のk個のイベント種別(例えば、10種別)に圧縮しておくことができる。
[プログラム]
本発明の実施形態におけるプログラムは、コンピュータに、図9に示すステップA1からA7、図10に示すステップB1からB3を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施形態におけるイベント分析支援装置とイベント分析支援方法とを実現することができる。この場合、コンピュータのプロセッサは、取得部5、所属度出力部2、特徴候補情報出力部3、特徴情報出力部4、分析結果出力部6、出力情報生成部7、学習部8として機能し、処理を行なう。
また、本実施形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、取得部5、所属度出力部2、特徴候補情報出力部3、特徴情報出力部4、分析結果出力部6、出力情報生成部7、学習部8のいずれかとして機能してもよい。
[物理構成]
ここで、実施形態におけるプログラムを実行することによって、イベント分析支援装置を実現するコンピュータについて図11を用いて説明する。図11は、本発明の実施形態におけるイベント分析支援装置を実現するコンピュータの一例を示すブロック図である。
図11に示すように、コンピュータ110は、CPU(Central Processing Unit)111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていてもよい。
CPU111は、記憶装置113に格納された、本実施形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)などの揮発性の記憶装置である。また、本実施形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであってもよい。なお、記録媒体120は、不揮発性記録媒体である。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリなどの半導体記憶装置があげられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)などの汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)などの磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体があげられる。
なお、本実施形態におけるイベント分析支援装置1は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。さらに、イベント分析支援装置1は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
[付記]
以上の実施形態に関し、更に以下の付記を開示する。上述した実施形態の一部又は全部は、以下に記載する(付記1)から(付記18)により表現することができるが、以下の記載に限定されるものではない。
(付記1)
システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力部と、
新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力部と、
前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力部と、
を有するイベント分析支援装置。
(付記2)
付記1に記載のイベント分析支援装置であって、
あらかじめ設定された分析モデルに前記特徴情報を入力して分析結果を出力する、分析結果出力部を有する
ことを特徴とするイベント分析支援装置。
(付記3)
付記1又は2に記載のイベント分析支援装置であって、
前記イベント情報は、前記イベントの種別を表す識別情報、又は前記システムの状態を表す状態情報、又は前記イベントと他のイベントとの時間間隔を表す間隔情報、又は前記識別情報及び前記状態情報及び前記間隔情報のうち二つ以上を組み合わせた情報を有する
ことを特徴とするイベント分析支援装置。
(付記4)
付記1から3のいずれかに記載のイベント分析支援装置であって、
前記所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とが一致する
ことを特徴とするイベント分析支援装置。
(付記5)
付記1から4のいずれか一つに記載のイベント分析支援装置であって、
前記イベント種別の数を、実際のイベントのパターン数以下にする
ことを特徴とするイベント分析支援装置。
(付記6)
付記1から5のいずれか一つに記載のイベント分析支援装置であって、
前記システムにおいて過去に発生したイベント系列を用いて、前記所属度出力部と、特徴候補情報出力部と、特徴情報出力部とで用いるモデルそれぞれを学習する、学習部
を有することを特徴とするイベント分析支援装置。
(付記7)
システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力ステップ、
新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力ステップと、
前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力ステップと
を有することを特徴とするイベント分析支援方法。
(付記8)
付記7に記載のイベント分析支援方法であって、
あらかじめ設定された分析モデルに前記特徴情報を入力して分析結果を出力する、分析結果出力ステップ
を有することを特徴とるイベント分析支援方法。
(付記9)
付記7又は8に記載のイベント分析支援方法であって、
前記イベント情報は、前記イベントの種別を表す識別情報、又は前記システムの状態を表す状態情報、又は前記イベントと他のイベントとの時間間隔を表す間隔情報、又は前記識別情報及び前記状態情報及び前記間隔情報のうち二つ以上を組み合わせた情報を有する
ことを特徴とするイベント分析支援方法。
(付記10)
付記7から9のいずれか一つに記載のイベント分析支援方法であって、
前記所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とが一致する
ことを特徴とするイベント分析支援方法。
(付記11)
付記7から10のいずれか一つに記載のイベント分析支援方法であって、
前記イベント種別の数を、実際のイベントのパターン数以下にする
ことを特徴とするイベント分析支援方法。
(付記12)
付記7から11のいずれか一つに記載のイベント分析支援方法であって、
前記システムにおいて過去に発生したイベント系列を用いて、所属度、特徴候補情報、特徴情報を出力するモデルそれぞれを学習する、学習ステップ
を有することを特徴とするイベント分析支援方法。
(付記13)
コンピュータに、
システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力ステップと、
新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力ステップと、
前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力ステップと
を実行させる命令を含むプログラム。
(付記14)
付記13に記載のプログラムであって、
前記プログラムが、前記コンピュータに、
あらかじめ設定された分析モデルに前記特徴情報を入力して分析結果を出力する、分析結果出力ステップ
を実行させる命令を含むプログラム。
(付記15)
付記13又は14に記載のプログラムであって、
前記イベント情報は、前記イベントの種別を表す識別情報、又は前記システムの状態を表す状態情報、又は前記イベントと他のイベントとの時間間隔を表す間隔情報、又は前記識別情報及び前記状態情報及び前記間隔情報のうち二つ以上を組み合わせた情報を有する
ことを特徴とするプログラム
(付記16)
付記13から15のいずれか一つに記載のプログラムであって、
前記所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とが一致する
ことを特徴とするプログラム
(付記17)
付記13から16のいずれか一つに記載のプログラムであって、
前記イベント種別の数を、実際のイベントのパターン数以下にする
ことを特徴とするプログラム
(付記18)
付記13から17のいずれか一つに記載のプログラムであって、
前記プログラムが、前記コンピュータに、
前記システムにおいて過去に発生したイベント系列を用いて、所属度、特徴候補情報、特徴情報を出力するモデルそれぞれを学習する、学習ステップ
を実行させる命令を含むプログラム。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
以上のように本発明によれば、イベント系列にノイズイベントが混在していても、イベント分析を精度よく行うことができる。本発明は、イベント分析が必要な分野において有用である。
1 イベント分析支援装置
2 所属度出力部
3 特徴候補情報出力部
4 特徴情報出力部
5 取得部
6 分析結果出力部
7 出力情報生成部
8 学習部
20 出力装置
30 記憶装置
40 排水制御システム
41 注水ポンプ
42 貯水槽
43 排水弁
44 排水ポンプ
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス

Claims (18)

  1. システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力する、所属度出力手段と、
    新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力する、特徴候補情報出力手段と、
    前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する、特徴情報出力手段と、
    を有するイベント分析支援装置。
  2. 請求項1に記載のイベント分析支援装置であって、
    あらかじめ設定された分析モデルに前記特徴情報を入力して分析結果を出力する、分析結果出力手段を有する
    ことを特徴とするイベント分析支援装置。
  3. 請求項1又は2に記載のイベント分析支援装置であって、
    前記イベント情報は、前記イベントの種別を表す識別情報、又は前記システムの状態を表す状態情報、又は前記イベントと他のイベントとの時間間隔を表す間隔情報、又は前記識別情報及び前記状態情報及び前記間隔情報のうち二つ以上を組み合わせた情報を有する
    ことを特徴とするイベント分析支援装置。
  4. 請求項1から3のいずれかに記載のイベント分析支援装置であって、
    前記所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とが一致する
    ことを特徴とするイベント分析支援装置。
  5. 請求項1から4のいずれか一つに記載のイベント分析支援装置であって、
    前記イベント種別の数を、実際のイベントのパターン数以下にする
    ことを特徴とするイベント分析支援装置。
  6. 請求項1から5のいずれか一つに記載のイベント分析支援装置であって、
    前記システムにおいて過去に発生したイベント系列を用いて、前記所属度出力手段と、
    特徴候補情報出力手段と、特徴情報出力手段とで用いるモデルそれぞれを学習する、学習手段
    を有することを特徴とするイベント分析支援装置。
  7. コンピュータが、
    システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力し、
    新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力し、
    前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力する
    ことを特徴とするイベント分析支援方法。
  8. 請求項7に記載のイベント分析支援方法であって、
    前記コンピュータが、
    あらかじめ設定された分析モデルに前記特徴情報を入力して分析結果を出力する
    ことを特徴とるイベント分析支援方法。
  9. 請求項7又は8に記載のイベント分析支援方法であって、
    前記イベント情報は、前記イベントの種別を表す識別情報、又は前記システムの状態を表す状態情報、又は前記イベントと他のイベントとの時間間隔を表す間隔情報、又は前記識別情報及び前記状態情報及び前記間隔情報のうち二つ以上を組み合わせた情報を有する
    ことを特徴とするイベント分析支援方法。
  10. 請求項7から9のいずれか一つに記載のイベント分析支援方法であって、
    前記所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とが一致する
    ことを特徴とするイベント分析支援方法。
  11. 請求項7から10のいずれか一つに記載のイベント分析支援方法であって、
    前記イベント種別の数を、実際のイベントのパターン数以下にする
    ことを特徴とするイベント分析支援方法。
  12. 請求項7から11のいずれか一つに記載のイベント分析支援方法であって、
    前記コンピュータが、
    前記システムにおいて過去に発生したイベント系列を用いて、所属度、特徴候補情報、特徴情報を出力するモデルそれぞれを学習する
    ことを特徴とするイベント分析支援方法。
  13. コンピュータに、
    システムにおいて発生するイベントに関するイベント情報が、あらかじめ設定された複数のイベント種別それぞれに所属する所属度を出力させ、
    新たに発生したイベントのイベント情報と、前記イベント種別ごとに既に生成されている前記イベント間の特徴を表す特徴情報とを用いて、前記イベント種別ごとに特徴候補情報を出力させ、
    前記特徴情報と前記特徴候補情報と前記所属度とを用いて、前記イベント種別ごとに新たな特徴情報に出力させる
    命令を含むプログラム。
  14. 請求項13に記載のプログラムであって、
    前記プログラムが、前記コンピュータに、
    あらかじめ設定された分析モデルに前記特徴情報を入力して分析結果を出力させる
    命令を含むプログラム。
  15. 請求項13又は14に記載のプログラムであって、
    前記イベント情報は、前記イベントの種別を表す識別情報、又は前記システムの状態を表す状態情報、又は前記イベントと他のイベントとの時間間隔を表す間隔情報、又は前記識別情報及び前記状態情報及び前記間隔情報のうち二つ以上を組み合わせた情報を有する
    ことを特徴とするプログラム。
  16. 請求項13から15のいずれか一つに記載のプログラムであって、
    前記所属度の大小関係と、新たな特徴情報に対する特徴候補情報の寄与の大小関係とが一致する
    ことを特徴とするプログラム。
  17. 請求項13から16のいずれか一つに記載のプログラムであって、
    前記イベント種別の数を、実際のイベントのパターン数以下にする
    ことを特徴とするプログラム。
  18. 請求項13から17のいずれか一つに記載のプログラムであって、
    前記プログラムが、前記コンピュータに、
    前記システムにおいて過去に発生したイベント系列を用いて、所属度、特徴候補情報、特徴情報を出力するモデルそれぞれを学習させる
    命令を含むプログラム。
JP2021573659A 2020-01-28 2020-01-28 イベント分析支援装置、イベント分析支援方法、及びプログラム Active JP7347547B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/002951 WO2021152689A1 (ja) 2020-01-28 2020-01-28 イベント分析支援装置、方法及び記録媒体

Publications (3)

Publication Number Publication Date
JPWO2021152689A1 JPWO2021152689A1 (ja) 2021-08-05
JPWO2021152689A5 JPWO2021152689A5 (ja) 2022-09-21
JP7347547B2 true JP7347547B2 (ja) 2023-09-20

Family

ID=77078677

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021573659A Active JP7347547B2 (ja) 2020-01-28 2020-01-28 イベント分析支援装置、イベント分析支援方法、及びプログラム

Country Status (3)

Country Link
US (1) US20230049871A1 (ja)
JP (1) JP7347547B2 (ja)
WO (1) WO2021152689A1 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014134991A (ja) 2013-01-11 2014-07-24 Canon Inc パターン抽出装置および制御方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014134991A (ja) 2013-01-11 2014-07-24 Canon Inc パターン抽出装置および制御方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
佐藤晃矢ほか,イベント時系列を利用したソーシャルネットワークサービスにおける新規ユーザーの離脱予測,一般社団法人人工知能学会第32回全国大会論文集DVD,2018年06月05日

Also Published As

Publication number Publication date
JPWO2021152689A1 (ja) 2021-08-05
WO2021152689A1 (ja) 2021-08-05
US20230049871A1 (en) 2023-02-16

Similar Documents

Publication Publication Date Title
US10733536B2 (en) Population-based learning with deep belief networks
JP7223839B2 (ja) 異常検出および/または予知保全のためのコンピュータ実装方法、コンピュータプログラム製品およびシステム
US11720821B2 (en) Automated and customized post-production release review of a model
JP6740247B2 (ja) 異常検出システム、異常検出方法、異常検出プログラム及び学習済モデル生成方法
US9245235B2 (en) Integrated approach to model time series dynamics in complex physical systems
CN112154418A (zh) 异常检测
EP3183622B1 (en) Population-based learning with deep belief networks
WO2020046261A1 (en) Systematic prognostic analysis with dynamic causal model
EP4000234A1 (en) Method and device for detecting anomalies, corresponding computer program product and non-transitory computer-readable carrier medium
US20230401141A1 (en) Application state prediction using component state
CN112148768A (zh) 一种指标时间序列异常检测方法、系统及存储介质
US20220011760A1 (en) Model fidelity monitoring and regeneration for manufacturing process decision support
US20210081800A1 (en) Method, device and medium for diagnosing and optimizing data analysis system
JP7207540B2 (ja) 学習支援装置、学習支援方法、及びプログラム
Fisch et al. Real time anomaly detection and categorisation
CN117094184B (zh) 基于内网平台的风险预测模型的建模方法、系统及介质
JP7347547B2 (ja) イベント分析支援装置、イベント分析支援方法、及びプログラム
US20230186053A1 (en) Machine-learning based behavior modeling
EP3454259A1 (en) Autonomous agent system
Zhu et al. Generic process visualization using parametric t-SNE
JP7331938B2 (ja) 学習装置、推定装置、学習方法及び学習プログラム
KR20230072920A (ko) 오염된 IoT 데이터 환경에서 비지도 이상 감지 모델을 위한 반복적 학습 방법 및 장치
KR102619793B1 (ko) Ai 기반 안전 센서 이상치 감지 및 알람 분류 방법, 컴퓨팅 장치 및 컴퓨터 프로그램
Boulmaiz et al. On Completeness-Aware Reasoning in Case-Based Reasoning
WO2024043888A1 (en) Real time detection, prediction and remediation of machine learning model drift in asset hierarchy based on time-series data

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220714

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230725

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230808

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230821

R151 Written notification of patent or utility model registration

Ref document number: 7347547

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151