KR102190578B1 - System and method for detecting and predicting anomalies based on analysis of text data - Google Patents

System and method for detecting and predicting anomalies based on analysis of text data Download PDF

Info

Publication number
KR102190578B1
KR102190578B1 KR1020140142784A KR20140142784A KR102190578B1 KR 102190578 B1 KR102190578 B1 KR 102190578B1 KR 1020140142784 A KR1020140142784 A KR 1020140142784A KR 20140142784 A KR20140142784 A KR 20140142784A KR 102190578 B1 KR102190578 B1 KR 102190578B1
Authority
KR
South Korea
Prior art keywords
abnormality
keyword
case
text data
data
Prior art date
Application number
KR1020140142784A
Other languages
Korean (ko)
Other versions
KR20160047065A (en
Inventor
김선득
오현택
김성일
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020140142784A priority Critical patent/KR102190578B1/en
Publication of KR20160047065A publication Critical patent/KR20160047065A/en
Application granted granted Critical
Publication of KR102190578B1 publication Critical patent/KR102190578B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

텍스트 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템은 모니터링 대상의 이상 또는 정상 여부와 관련된 사례 데이터를 저장하는 사례 데이터베이스; 상기 모니터링 대상에서 생성되는 텍스트 데이터를 수집하는 데이터 수집부; 상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 이상 감지부; 및 상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터와 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 예측부를 포함한다.Disclosed are a system and method for detecting and predicting anomalies through analysis of text data. An abnormality detection and prediction system according to an embodiment of the present invention includes a case database storing case data related to abnormality or normality of a monitoring target; A data collection unit collecting text data generated by the monitoring target; An abnormality detector configured to detect whether an abnormality has occurred in the monitored object from the text data; And a prediction unit that, when the occurrence of an abnormality in the monitored object is detected, compares the text data and past case data to predict whether the detected abnormality spreads or disappears.

Description

텍스트 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING AND PREDICTING ANOMALIES BASED ON ANALYSIS OF TEXT DATA}Anomaly detection and prediction system and method through text data analysis {SYSTEM AND METHOD FOR DETECTING AND PREDICTING ANOMALIES BASED ON ANALYSIS OF TEXT DATA}

본 발명의 실시예들은 텍스트 데이터의 분석을 통한 이상 감지 및 감지된 이상의 확산 또는 소멸 예측 기술과 관련된다.
Embodiments of the present invention relate to a technology for detecting an abnormality through analysis of text data and predicting the spread or disappearance of a detected abnormality.

기업 또는 정부기관 등의 업무가 대부분 전산화되면서 기업 등에서 대규모의 엔터프라이즈 서비스 인프라를 구축 및 관리하는 것이 일상화되었다. 이러한 엔터프라이즈 서비스 인프라의 경우 다수의 웹서버, 웹 애플리케이션 서버(WAS; Web Application Server), 데이터베이스, 방화벽, 스위치, 라우터 등을 포함하게 되며, 어느 하나의 이상이 다른 장비, 나아가 전체 시스템에도 영향을 주는 경우가 많으므로 지속적인 상태 모니터링이 필요하다.As most of the work of companies or government agencies has been computerized, it has become common for companies to build and manage large-scale enterprise service infrastructure. In the case of such an enterprise service infrastructure, a number of web servers, web application servers (WAS), databases, firewalls, switches, routers, etc. are included, and any one abnormality affects other equipment and even the entire system. In many cases, continuous condition monitoring is required.

이를 위하여 종래에는 각각의 장비로부터 로그 데이터 등의 상태 정보를 수집하고, 수집된 정보가 기 설정된 임계치를 초과하는 경우 관리자에게 알림을 통지하는 방식으로 모니터링이 이루어졌다. 그러나 이러한 종래 방식의 겨우 단순히 입수된 데이터가 임계치를 초과하는지 만을 판단하는 방식인 바, 발생된 이상이 어떻게 전개될지를 예측하는 데에는 한계가 있었다.
To this end, monitoring has been performed by collecting status information such as log data from each device, and notifying an administrator of a notification when the collected information exceeds a preset threshold. However, since this conventional method is a method of simply determining whether the acquired data exceeds a threshold value, there is a limitation in predicting how the generated abnormality will develop.

대한민국 공개특허공보 제10-2013-0123007호 (2013. 11. 12)Republic of Korea Patent Publication No. 10-2013-0123007 (November 12, 2013)

본 발명의 실시예들은 실시간으로 수집되는 텍스트 데이터와 과거 사례 데이터간의 융합을 통하여 모니터링 대상의 이상을 신속히 감지하고, 감지된 이상의 확산 또는 소멸 여부를 효과적으로 예측하기 위한 수단을 제공하기 위한 것이다.
Embodiments of the present invention are to provide a means for quickly detecting an abnormality of a monitoring target through fusion between text data collected in real time and past case data, and effectively predicting whether the detected abnormality spread or disappears.

예시적인 실시예에 따르면, 모니터링 대상의 이상 또는 정상 여부와 관련된 사례 데이터를 저장하는 사례 데이터베이스; 상기 모니터링 대상에서 생성되는 텍스트 데이터를 수집하는 데이터 수집부; 상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 이상 감지부; 및 상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터와 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 예측부를 포함하는 이상 감지 및 예측 시스템이 제공된다.According to an exemplary embodiment, there is provided a case database for storing case data related to abnormality or normality of a monitored object; A data collection unit collecting text data generated by the monitoring target; An abnormality detector configured to detect whether an abnormality has occurred in the monitored object from the text data; And a prediction unit for predicting whether the detected abnormality spreads or disappears by comparing the text data and past case data when the occurrence of an abnormality in the monitoring object is detected.

상기 데이터 수집부는, 수집된 상기 텍스트 데이터 각각으로부터 시각 정보 및 상기 모니터링 대상의 정상 또는 이상과 관련된 상태 키워드를 추출하고, 추출된 상기 시각 정보 및 상기 상태 키워드를 기 설정된 시간대별로 그룹화할 수 있다.The data collection unit may extract visual information and a state keyword related to normal or abnormality of the monitored object from each of the collected text data, and group the extracted visual information and the state keyword according to a preset time period.

상기 데이터 수집부는, 상기 텍스트 데이터에 숫자 형태로 표현되는 측정값이 포함되어 있는 경우, 동일 시간대에서 수집된 상기 측정값의 평균값 또는 중간값을 계산하고, 상기 평균값 또는 중간값과 대응되어 설정된 특정 문자열을 상기 상태 키워드로 설정할 수 있다.When the text data includes a measurement value expressed in a number form, the data collection unit calculates an average or median value of the measurement values collected in the same time period, and a specific character string set in correspondence with the average value or median value Can be set as the status keyword.

상기 이상 감지부는, 상기 상태 키워드가 기 설정된 이상 감지 기준 키워드 중 어느 하나와 일치하는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다.When the status keyword matches any one of preset abnormality detection reference keywords, the abnormality detection unit may determine that an abnormality has occurred in the monitoring target.

상기 이상 감지부는, 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력할 수 있다.The abnormality detector may output a warning message when it is determined that an abnormality has occurred in the monitoring target.

상기 사례 데이터는, 상기 모니터링 대상의 이상과 관련된 이상 사례 키워드; 상기 이상 사례 키워드의 연관 키워드; 상기 이상 사례 키워드와 상기 연관 키워드 간의 빈발 패턴 증가 연관 분석에 의한 향상도 기준값; 및 해당 이상 사례의 확산 또는 소멸 여부 정보를 포함할 수 있다.The case data may include an abnormal case keyword related to the abnormality of the monitored object; A related keyword of the abnormal case keyword; An improvement degree reference value by analyzing an increase in the frequent pattern between the abnormal case keyword and the related keyword; And information on whether the abnormal case has spread or disappeared.

상기 예측부는, 상기 텍스트 데이터로부터 획득된 이상 키워드와 동일 시간대에서 텍스트 데이터로부터 수집된 키워드 중 가장 빈도수가 높은 연관 후보 키워드를 추출하고, 상기 이상 키워드 및 상기 연관 후보 키워드간의 빈발 패턴 증가 연관 분석에 의한 향상도를 계산하며, 상기 이상 키워드, 상기 연관 후보 키워드 및 상기 향상도에 대응되는 사례 데이터를 상기 사례 데이터베이스에서 검색하고, 검색된 사례 데이터의 확산 또는 소멸 여부에 따라 감지된 이상의 확산 또는 소멸 여부를 예측할 수 있다.The prediction unit extracts a correlation candidate keyword with the highest frequency among keywords collected from text data at the same time as the abnormal keyword obtained from the text data, and analyzes an increase in the frequent pattern between the abnormal keyword and the relevant candidate keyword. Calculate the degree of improvement, search for the abnormal keyword, the associated candidate keyword, and case data corresponding to the degree of improvement in the case database, and predict the spread or disappearance of the detected abnormality according to the spread or disappearance of the searched case data. I can.

상기 예측부는, 연속된 시간대에서 기 설정된 횟수 이상 동일한 이상 발생이 감지되는 경우, 감지된 이상의 확산 또는 소멸 여부를 예측할 수 있다.The prediction unit may predict whether the detected abnormality spreads or disappears when the occurrence of the same abnormality is detected more than a preset number of times in consecutive time periods.

상기 시스템은, 상기 이상 키워드 및 상기 연관 후보 키워드에 대응되는 사례 데이터가 존재하지 않거나, 또는 상기 모니터링 대상에서 감지된 이상의 실제 이상 확산 또는 소멸 여부가 상기 예측부의 예측과 일치하지 않는 경우, 상기 연관 후보 키워드 및 상기 향상도를 이용하여 상기 사례 데이터베이스에 저장된 사례 데이터를 갱신하는 사례 갱신부를 더 포함할 수 있다.The system, when there is no case data corresponding to the anomaly keyword and the association candidate keyword, or whether the actual abnormality spread or disappearance detected by the monitoring target does not match the prediction of the prediction unit, the association candidate It may further include a case update unit for updating the case data stored in the case database by using the keyword and the degree of improvement.

다른 예시적인 실시예에 따르면, 이상 감지 및 예측 시스템에서 수행되는 이상 감지 및 예측 방법으로서, 모니터링 대상에서 생성되는 텍스트 데이터를 수집하는 단계; 상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계; 및 상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터 및 상기 모니터링 대상의 이상 또는 정상 여부와 관련된 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 포함하는 이상 감지 및 예측 방법이 제공된다.According to another exemplary embodiment, an abnormality detection and prediction method performed by an abnormality detection and prediction system, comprising: collecting text data generated from a monitoring target; Detecting whether an abnormality occurs in the monitoring target from the text data; And predicting the spread or disappearance of the detected abnormality in comparison with the text data and past case data related to the abnormality or normality of the monitoring object when the occurrence of an abnormality in the monitoring object is detected. A method is provided.

상기 텍스트 데이터를 수집하는 단계는, 수집된 상기 텍스트 데이터 각각으로부터 시각 정보 및 상기 모니터링 대상의 정상 또는 이상과 관련된 상태 키워드를 추출하는 단계; 및 추출된 상기 시각 정보 및 상기 상태 키워드를 기 설정된 시간대별로 그룹화하는 단계를 더 포함할 수 있다.The collecting of the text data may include extracting visual information and a status keyword related to normal or abnormality of the monitored object from each of the collected text data; And grouping the extracted time information and the status keyword for each preset time period.

상기 상태 키워드를 추출하는 단계는, 상기 텍스트 데이터에 숫자 형태로 표현되는 측정값이 포함되어 있는 경우, 동일 시간대에서 수집된 상기 측정값의 평균값 또는 중간값을 계산하고, 상기 평균값 또는 중간값과 대응되어 기 설정된 특정 문자열을 상기 상태 키워드로 설정할 수 있다.The extracting of the status keyword includes calculating an average or median value of the measured values collected in the same time period, and corresponding to the average or median value, when the text data includes a measurement value expressed in a numeric form. As a result, a preset specific character string can be set as the status keyword.

상기 이상 발생 여부를 감지하는 단계는, 상기 상태 키워드가 기 설정된 이상 감지 기준 키워드 중 어느 하나와 일치하는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다.In the detecting whether the abnormality has occurred, when the status keyword matches any one of preset abnormality detection reference keywords, it may be determined that the abnormality has occurred in the monitoring target.

상기 이상 발생 여부를 감지하는 단계는, 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력하는 단계를 더 포함할 수 있다.The detecting whether the abnormality has occurred may further include outputting a warning message when it is determined that the abnormality has occurred in the monitoring target.

상기 사례 데이터는, 상기 모니터링 대상의 이상과 관련된 이상 사례 키워드; 상기 이상 사례 키워드의 연관 키워드; 상기 이상 사례 키워드와 상기 연관 키워드 간의 빈발 패턴 증가 연관 분석에 의한 향상도 기준값; 및 해당 이상 사례의 확산 또는 소멸 여부 정보를 포함할 수 있다.The case data may include an abnormal case keyword related to the abnormality of the monitored object; A related keyword of the abnormal case keyword; An improvement degree reference value by analyzing an increase in the frequent pattern between the abnormal case keyword and the related keyword; And information on whether the abnormal case has spread or disappeared.

상기 예측하는 단계는, 상기 텍스트 데이터로부터 획득된 이상 키워드와 동일 시간대에서 텍스트 데이터로부터 수집된 키워드 중 가장 빈도수가 높은 연관 후보 키워드를 추출하는 단계; 상기 이상 키워드 및 상기 연관 후보 키워드간의 빈발 패턴 증가 연관 분석에 의한 향상도를 계산하는 단계; 상기 이상 키워드, 상기 연관 후보 키워드 및 상기 향상도에 대응되는 사례 데이터를 상기 사례 데이터베이스에서 검색하는 단계; 및 검색된 사례 데이터의 확산 또는 소멸 여부에 따라 감지된 이상의 확산 또는 소멸 여부를 판단하는 단계를 더 포함할 수 있다.The predicting may include: extracting an association candidate keyword having the highest frequency among keywords collected from text data at the same time as the abnormal keyword acquired from the text data; Calculating an improvement degree by analyzing an increase in the frequent pattern between the abnormal keyword and the association candidate keyword; Searching the case database for case data corresponding to the abnormal keyword, the association candidate keyword, and the degree of improvement; And determining whether the detected abnormality spread or disappears according to whether the searched case data spreads or disappears.

상기 예측하는 단계는, 연속된 시간대에서 기 설정된 횟수 이상 동일한 이상 발생이 감지되는 경우, 감지된 이상의 확산 또는 소멸 여부를 예측할 수 있다.In the predicting step, when the occurrence of the same abnormality is detected more than a preset number of times in a continuous time period, it is possible to predict whether the detected abnormality spread or disappears.

상기 방법은, 상기 검색하는 단계의 검색 결과, 상기 이상 키워드 및 상기 연관 후보 키워드에 대응되는 사례 데이터가 존재하지 않거나, 또는 상기 모니터링 대상에서 감지된 이상의 실제 이상 확산 또는 소멸 여부가 상기 판단하는 단계의 판단 결과와 일치하지 않는 경우, 상기 연관 후보 키워드 및 상기 향상도를 이용하여 상기 사례 데이터를 갱신하는 단계를 더 포함할 수 있다.The method comprises the step of determining whether case data corresponding to the abnormal keyword and the associated candidate keyword does not exist, or whether the actual abnormality detected by the monitoring target is spread or disappeared as a result of the search of the searching step. If it does not match the determination result, the step of updating the case data using the associated candidate keyword and the degree of improvement may be further included.

또 다른 예시적인 실시예에 따르면, 하드웨어와 결합되어, 모니터링 대상에서 생성되는 텍스트 데이터를 수집하는 단계; 상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계; 및 상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터 및 상기 모니터링 대상의 이상 또는 정상 여부와 관련된 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 포함하는 단계들을 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램이 제공된다.
According to another exemplary embodiment, the method comprising: collecting text data generated from a monitoring target by being combined with hardware; Detecting whether an abnormality occurs in the monitoring target from the text data; And predicting the spread or disappearance of the detected abnormality by comparing the text data and past case data related to the abnormality or normality of the monitoring object when the occurrence of an abnormality in the monitoring object is detected. For this purpose, a computer program stored on a recording medium is provided.

본 발명의 실시예들에 따르면, 실시간으로 수집되는 텍스트 데이터와 과거 사례 데이터간의 융합을 통하여 모니터링 대상의 이상을 신속히 감지할 수 있으며, 감지된 이상의 확산 또는 소멸 여부를 효과적으로 예측할 수 있다.According to embodiments of the present invention, it is possible to quickly detect an abnormality in a monitored object through the fusion between text data collected in real time and past case data, and effectively predict whether the detected abnormality spreads or disappears.

또한, 본 발명의 실시예들에 따르면, 감지된 이상의 확산 또는 소멸 예측 결과 및 실제 확산/소멸 여부에 따라 사례 데이터를 동적으로 업데이트하여 줌으로써 보다 효과적으로 모니터링 대상의 이상을 탐지할 수 있다.
In addition, according to embodiments of the present invention, it is possible to more effectively detect an abnormality of a monitored object by dynamically updating case data according to a prediction result of a detected abnormality spread or disappearance and whether or not the actual spread/disappear.

도 1은 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템의 구성을 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 이상 감지 및 예측 방법(500)을 설명하기 위한 흐름도1 is a block diagram illustrating the configuration of an abnormality detection and prediction system according to an embodiment of the present invention.
2 is a flow chart for explaining an abnormality detection and prediction method 500 according to an embodiment of the present invention

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, a specific embodiment of the present invention will be described with reference to the drawings. The following detailed description is provided to aid in a comprehensive understanding of the methods, devices, and/or systems described herein. However, this is only an example and the present invention is not limited thereto.

본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
In describing the embodiments of the present invention, when it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention and may vary according to the intention or custom of users or operators. Therefore, the definition should be made based on the contents throughout this specification. The terms used in the detailed description are only for describing embodiments of the present invention, and should not be limiting. Unless explicitly used otherwise, expressions in the singular form include the meaning of the plural form. In this description, expressions such as "comprising" or "feature" are intended to refer to certain features, numbers, steps, actions, elements, some or combination thereof, and one or more other than those described. It should not be construed to exclude the presence or possibility of other features, numbers, steps, actions, elements, any part or combination thereof.

도 1은 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)의 구성을 설명하기 위한 블록도이다. 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)은 모니터링 대상과 유선 또는 무선 네트워크를 통하여 연결되어 상기 모니터링 대상으로부터 상태 정보를 수집하고, 수집된 상태 정보를 이용하여 상기 모니터링 대상의 이상 발생 여부를 감지하며, 감지된 이상이 확산될지 또는 소멸될지를 예측하기 위한 장치이다. 일 실시예에서, 상기 모니터링 대상은 글로벌 사이트 셀렉터(GSS; Global Site Selector), 웹 서버, 웹 애플리케이션 서버(WAS; Web Application Server), 데이터베이스 서버, 방화벽, 스위치, 라우터 등의 엔터프라이즈 서비스 장비일 수 있으나, 본 발명은 특정한 모니터링 대상에 한정되는 것은 아니며 이상 여부의 감지가 필요한 모든 종류의 장치 내지는 설비 또한 본 발명의 모니터링 대상이 될 수 있다. 또한, 본 발명의 실시예들에서 상태 정보는 상기 모니터링 대상으로부터 주기적으로, 또는 특정 조건을 만족할 경우 송신되는 텍스트 형태의 데이터일 수 있다. 예를 들어, 상기 상태 정보는 텍스트 형태의 메시지(핑(ping) 메시지, 하트비트(heartbeat) 메시지, 또는 오류 발생 메시지) 또는 텍스트 형태의 로그(log) 데이터 등일 수 있다.1 is a block diagram illustrating the configuration of an abnormality detection and prediction system 100 according to an embodiment of the present invention. The abnormality detection and prediction system 100 according to an embodiment of the present invention is connected to a monitoring object through a wired or wireless network, collects status information from the monitoring object, and uses the collected status information to It is a device that detects the occurrence of occurrence and predicts whether the detected abnormality will spread or disappear. In one embodiment, the monitoring target may be an enterprise service equipment such as a global site selector (GSS), a web server, a web application server (WAS), a database server, a firewall, a switch, and a router. , The present invention is not limited to a specific monitoring target, and all kinds of devices or facilities requiring detection of abnormalities may also be the monitoring target of the present invention. In addition, in embodiments of the present invention, the status information may be data in the form of text transmitted periodically from the monitoring target or when a specific condition is satisfied. For example, the status information may be a text type message (a ping message, a heartbeat message, or an error message) or text type log data.

도시된 바와 같이, 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)은 데이터 수집부(102), 사례 데이터베이스(104), 이상 감지부(106), 및 예측부(108)를 포함한다.As shown, the abnormality detection and prediction system 100 according to an embodiment of the present invention includes a data collection unit 102, a case database 104, an abnormality detection unit 106, and a prediction unit 108 do.

데이터 수집부(102)는 상기 모니터링 대상에서 생성되는 텍스트 데이터를 수집한다. 일 실시예에서, 데이터 수집부(102)는 수집된 상기 텍스트 데이터 각각으로부터 시각 정보 및 상기 모니터링 대상의 정상 또는 이상과 관련된 상태 키워드를 추출할 수 있다. 이를 예를 들어 설명하면 다음과 같다.The data collection unit 102 collects text data generated from the monitoring target. In an embodiment, the data collection unit 102 may extract visual information and a status keyword related to normal or abnormality of the monitored object from each of the collected text data. This is described as an example as follows.

예를 들어, 웹 사이트의 가장 앞 단에 위치하는 글로벌 사이트 셀렉터(GSS)는 다음과 같은 형태의 로그 메시지를 송신할 수 있다.
For example, the global site selector (GSS) located at the front end of a web site may send a log message in the following format.

GSSGSS 의 로그 메시지Log messages

정상: Sep 2 17:00:40: %KAL-4-TCPTRANS: [2000] STATE ONLINE [210.118.76.142:52171] [LID: 38]normal:Sep 2 17:00:40: %KAL-4-TCPTRANS: [2000]STATE ONLINE [210.118.76.142:52171] [LID: 38]

이상: Sep 2 17:00:08: %KAL-4-TCPTRANS: [2000] STATE OFFLINE [210.118.76.142:52158] [LID: 38]
Above: Sep 2 17:00:08 : %KAL-4-TCPTRANS: [2000] STATE OFFLINE [210.118.76.142:52158] [LID: 38]

상기 두 개의 로그 메시지를 참조하면, 각각의 로그 메시지는 첫 부분에 발신 시각 정보(Sep 2 17:00:40, Sep 2 17:00:08)가 포함되며, 중간에는 GSS의 상태와 관련된 정보(ONLINE 또는 OFFLINE)가 포함되는 것을 알 수 있다. 즉, 상기 로그 메시지에 ONLINE이 포함되어 있는 경우는 정상 상태, OFFLINE이 포함되어 있는 경우는 이상 상태임을 알 수 있다. 따라서, 이 경우 데이터 수집부(102)는 각각의 메시지로부터 다음과 같은 키워드를 추출할 수 있다.
Referring to the above two log messages, each log message includes transmission time information (Sep 2 17:00:40, Sep 2 17:00:08) in the first part, and information related to the GSS status ( ONLINE or OFFLINE) are included. That is, when ONLINE is included in the log message, it can be seen that it is a normal state, and when OFFLINE is included, it is known that it is an abnormal state. Accordingly, in this case, the data collection unit 102 may extract the following keywords from each message.

Sep 2 17:00:40, STATE ONLINESep 2 17:00:40, STATE ONLINE

Sep 2 17:00:08, STATE OFFLINE
Sep 2 17:00:08, STATE OFFLINE

다른 예로, 스위치(switch)는 다음과 같은 형태의 로그 메시지를 송신할 수 있다.
As another example, the switch may transmit a log message in the following form.

스위치의 로그 메시지Log messages from the switch

정상: Mar 17 05:53:43.647 KST: %C6KENV-SP-4-PSFANOK: the fan in power supply 1 is OK Normal: Mar 17 05:53:43.647 KST : %C6KENV-SP-4-PSFANOK: the fan in power supply 1 is OK

이상: Mar 10 02:37:09.631 KST: %C4K_IOSMODPORTMAN-4-POWERSUPPLYBAD: Power supply 1 has failed or been turned off
Above: Mar 10 02:37:09.631 KST : %C4K_IOSMODPORTMAN-4-POWERSUPPLYBAD: Power supply 1 has failed or been turned off

상기 두 개의 로그 메시지 또한 GSS의 예에서와 마찬가지로, 첫 부분에 발신 시각 정보(Mar 17 05:53:43.647 KST, Mar 10 02:37:09.631)가 포함되며, 중간에는 스위치의 상태와 관련된 정보(OK 또는 failed)가 포함되는 것을 알 수 있다. 즉, 상기 로그 메시지에 OK가 포함되어 있는 경우는 정상 상태, failed가 포함되어 있는 경우는 이상 상태임을 알 수 있다. 따라서, 이 경우 데이터 수집부(102)는 각각의 메시지로부터 다음과 같은 키워드(시각 정보 및 상태값)를 추출할 수 있다.
As in the example of the GSS, the two log messages also include transmission time information (Mar 17 05:53:43.647 KST, Mar 10 02:37:09.631) in the first part, and information related to the state of the switch (in the middle). OK or failed) is included. That is, when the log message includes OK, it can be seen that the log message is in a normal state, and when the log message includes failed, it is an abnormal state. Accordingly, in this case, the data collection unit 102 may extract the following keywords (time information and status values) from each message.

Mar 17 05:53:43, OKMar 17 05:53:43, OK

Mar 10 02:37:09, failed
Mar 10 02:37:09, failed

이와 같이 텍스트 데이터로부터 키워드가 추출되는 경우, 다음으로 데이터 수집부(102)는 추출된 상기 시각 정보 및 상기 상태 키워드를 기 설정된 시간대별로 그룹화할 수 있다. 예를 들어 상기 시간대가 10초로 설정될 경우, 데이터 수집부(102)는 10초간 수집되는 텍스트 데이터로부터 획득되는 키워드들을 다음의 표 1과 같이 그룹화할 수 있다.
When a keyword is extracted from text data as described above, the data collection unit 102 may then group the extracted time information and the status keyword by preset time slot. For example, when the time zone is set to 10 seconds, the data collection unit 102 may group keywords obtained from text data collected for 10 seconds as shown in Table 1 below.

시간대slot 키워드 그룹Keyword group 1One Sep 2 17:00:00 GSS STATE OFFLINE WEBSERVER GET 443 … ROUTER 1Sep 2 17:00:00 GSS STATE OFFLINE WEBSERVER GET 443… ROUTER 1 22 Sep 2 17:00:10 GSS STATE OFFLINE WEBSERVER HEAD … ROUTER 2Sep 2 17:00:10 GSS STATE OFFLINE WEBSERVER HEAD… ROUTER 2 33 Sep 2 17:00:20 GSS STATE OFFLINE WEBSERVER GET 443 … ROUTER 2Sep 2 17:00:20 GSS STATE OFFLINE WEBSERVER GET 443… ROUTER 2 44 Sep 2 17:00:30 GSS STATE OFFLINE WEBSERVER GET 443 … ROUTER 1Sep 2 17:00:30 GSS STATE OFFLINE WEBSERVER GET 443… ROUTER 1 55 Sep 2 17:00:40 GSS STATE ONLINE SWITCH Module On … ROUTER 3Sep 2 17:00:40 GSS STATE ONLINE SWITCH Module On… ROUTER 3

상기 표 1에서 알 수 있는 바와 같이, 각 시간대별 키워드 그룹은 해당 시간대의 시작 시간, 텍스트 데이터를 송신한 모니터링 대상의 종류 및 해당 모니터링 대상의 상태를 포함한다. 예를 들어, 상기 시간대 1의 경우 9월 2일 17:00:00부터 동일 17:00:10초까지 수집된 텍스트 데이터로부터 추출된 값으로서, GSS의 상태는 STATE OFFLINE, 웹서버(WEBSERVER)의 상태는 GET 443임을 나타낸다(이후는 생략되어 있음). 즉, 데이터 수집부(102)는 동일 시간대에서 모니터링 대상의 종류 및 상태를 하나의 문자열에 나열함으로써 각 시간대 별 키워드 그룹을 생성할 수 있다.As can be seen in Table 1, the keyword group for each time period includes the start time of the corresponding time period, the type of the monitoring target to which text data is transmitted, and the status of the monitoring target. For example, in the case of time zone 1 above, as a value extracted from text data collected from 17:00:00 on September 2 to 17:00:10 seconds, the status of GSS is STATE OFFLINE, and the web server The status indicates GET 443 (omitted hereafter). That is, the data collection unit 102 may generate a keyword group for each time period by listing the type and state of the monitoring target in one character string in the same time period.

한편, 데이터 수집부(102)는 상기 텍스트 데이터에 숫자 형태로 표현되는 측정값이 포함되어 있는 경우, 동일 시간대에서 수집된 상기 측정값의 평균값 또는 중간값을 계산하고 상기 평균값 또는 중간값과 대응되어 설정된 특정 문자열을 상기 상태 키워드로 설정할 수 있다. 예를 들어, 특정 모니터링 대상으로부터 1초에 한 번씩 CPU 사용률이 수신된다고 가정하자. 이 경우 데이터 수집부(102)는 매 초 수신되는 CPU 사용률을 기 설정된 시간대(예를 들어 10초) 별로 수집하고, 각 시간대별 CPU 사용률의 대표값(평균값 또는 중간값)을 계산한다.Meanwhile, when the text data includes a measurement value expressed in a number form, the data collection unit 102 calculates an average or median value of the measurement values collected in the same time period and corresponds to the average or median value. A set specific character string can be set as the status keyword. For example, assume that CPU utilization is received once per second from a specific monitored target. In this case, the data collection unit 102 collects the CPU usage rate received every second for each preset time period (for example, 10 seconds), and calculates a representative value (average or median value) of the CPU usage rate for each time period.

이후, 데이터 수집부(102)는 계산된 상기 대표값을 문자열로 치환한다. 예를 들어, CPU 사용률이 70%를 초과할 경우 "이상", 70% 이하일 경우 "정상"으로 설정한다고 가정하자. 만약 특정 시간대의 CPU 사용률의 평균값이 68%인 경우, 데이터 수집부(102)는 해당 시간대의 CPU 사용률에 대응되는 키워드를 "정상"으로 설정할 수 있다. 또한, 만약 특정 시간대의 CPU 사용률의 평균값이 75%인 경우, 데이터 수집부(102)는 해당 시간대의 CPU 사용률에 대응되는 키워드를 "이상"으로 설정할 수 있다. 이와 같이 숫자 데이터를 그 값에 따라 대응되는 텍스트로 변화하는 경우, 숫자 데이터 또한 다른 로그 데이터의 키워드와 동일하게 취급할 수 있게 된다.Thereafter, the data collection unit 102 replaces the calculated representative value with a character string. For example, suppose that the CPU usage rate exceeds 70% and is set to "normal", and when the CPU usage is below 70%, it is set to "normal". If the average value of the CPU usage rate in a specific time period is 68%, the data collection unit 102 may set a keyword corresponding to the CPU usage rate in the corresponding time period to "normal". In addition, if the average value of the CPU usage rate in a specific time period is 75%, the data collection unit 102 may set a keyword corresponding to the CPU usage rate in the corresponding time period as "above". In this way, when numeric data is changed to text corresponding to the value, numeric data can be treated in the same manner as keywords of other log data.

다음으로, 사례 데이터베이스(104)는 모니터링 대상의 상태(이상 또는 정상 여부)와 관련된 과거 사례 데이터를 저장 및 관리하는 데이터베이스이다. 본 발명의 일 실시예에서, 사례 데이터베이스(104)는 모니터링 대상의 과거 이상(anomaly)이 감지되었을 때의 키워드 정보 및 해당 사례에서 이상이 확산되었는지 또는 소멸되었는지 여부에 대한 정보를 저장 및 관리한다. 이때, 이상이 "소멸"된 사례(이하 "소멸 사례")는 모니터링 대상의 이상이 감지되었으나 별다른 조치 없이 정상 상태로 복귀된 사례를 의미하며, 이상이 "확산"된 사례(이하 "확산 사례")는 모니터링 대상의 이상이 지속되거나 점차 확대되어 별도의 조치가 이루어졌던 사례를 의미한다.Next, the case database 104 is a database that stores and manages past case data related to the state of the monitoring target (whether abnormal or normal). In one embodiment of the present invention, the case database 104 stores and manages keyword information when a past anomaly of a monitoring target is detected and information on whether an abnormality has spread or disappeared in the case. At this time, a case in which an abnormality is "disappeared" (hereinafter, "extinction case") refers to a case in which an abnormality in the monitored object has been detected but returned to a normal state without taking any other measures, and a case in which the abnormality has been "proliferated" (hereinafter referred to as "spread case" ) Refers to cases in which the abnormality of the monitored object persisted or gradually expanded and separate measures were taken.

구체적으로, 사례 데이터베이스(104)에는 다음과 같은 데이터가 저장될 수 있다.
Specifically, the following data may be stored in the case database 104.

- 모니터링 대상의 이상과 관련된 이상 사례 키워드-Abnormal case keywords related to the abnormality to be monitored

- 이상 사례 키워드의 연관 키워드-Related keywords of abnormal case keywords

- 이상 사례 키워드와 연관 키워드 간의 빈발 패턴 증가(Frequent Pattern Growth; FPG) 연관 분석에 의한 향상도(lift) 기준값-Reference value of lift by correlation analysis of Frequent Pattern Growth (FPG) between abnormal case keywords and related keywords

- 해당 이상 사례의 확산 또는 소멸 여부
-Whether the abnormal case spreads or disappears

이상 감지부(106)는 데이터 수집부(102)에서 수집된 텍스트 데이터를 이용하여 모니터링 대상의 이상 발생 여부를 감지한다. 일 실시예에서, 이상 감지부(106)는 모니터링 대상으로부터 수집한 텍스트 데이터로부터 획득된 상태 키워드가 기 설정된 이상 감지 기준 키워드 중 어느 하나와 일치하는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다.The abnormality detection unit 106 detects whether an abnormality has occurred in the monitoring target by using the text data collected by the data collection unit 102. In one embodiment, the abnormality detection unit 106 may determine that an abnormality has occurred in the monitoring object when the status keyword obtained from text data collected from the monitoring object matches any one of preset abnormality detection criteria keywords. have.

이를 위하여, 이상 감지부(106)는 별도의 이상 감지 기준 키워드를 저장 및 관리할 수 있다. 예를 들어, 상기 이상 감지 기준 키워드는 다음과 같은 단어들을 포함할 수 있으며, 이 외에도 모니터링 대상에서 생성되는 메시지를 고려하여 적절하게 설정될 수 있다.
To this end, the abnormality detection unit 106 may store and manage a separate abnormality detection reference keyword. For example, the abnormality detection criterion keyword may include the following words, and may be appropriately set in consideration of a message generated from a monitoring target.

down, Down, DOWN, fail, Fail, FAIL, err, Err, Error, fatal, Fatal, FATAL, reject, Reject, REJECT, timeout, Timeout, TIMEOUT, off, Off, OFF, critical, Critical, CRITICAL
down, Down, DOWN, fail, Fail, FAIL, err, Err, Error, fatal, Fatal, FATAL, reject, Reject, REJECT, timeout, Timeout, TIMEOUT, off, Off, OFF, critical, Critical, CRITICAL

즉, 이상 감지부(106)는 상기 상태 키워드에 전술한 단어 중 하나 이상이 포함되는 경우 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다. 이상 감지부(106)는 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 시각적 또는 청각적 수단 등을 통해 경고 메시지를 출력할 수 있다. 예를 들어, 이상 감지부(106)는 관리자의 단말에 경고 메시지를 디스플레이하거나, 또는 경보음을 내도록 구성될 수 있다.That is, the abnormality detection unit 106 may determine that an abnormality has occurred in the monitoring target when one or more of the above-described words are included in the status keyword. The abnormality detection unit 106 may output a warning message through visual or audio means, etc., when it is determined that an abnormality has occurred in the monitored object. For example, the abnormality detection unit 106 may be configured to display a warning message on the administrator's terminal or to emit an alarm sound.

예측부(108)는 이상 감지부(106)에 의하여 모니터링 대상의 이상 발생이 감지되는 경우, 텍스트 데이터와 사례 데이터베이스(104)에 저장된 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측한다. 일 실시예에서, 예측부(108)는 상기 텍스트 데이터로부터 획득된 이상 키워드와 동일 시간대에서 텍스트 데이터로부터 수집된 키워드 중 가장 빈도수가 높은 연관 후보 키워드를 추출하고, 상기 이상 키워드 및 상기 연관 후보 키워드간의 빈발 패턴 증가(Frequent Pattern Growth; FPG) 연관 분석(이하, FPG 연관 분석)에 의한 향상도를 계산하며, 상기 이상 키워드, 상기 연관 후보 키워드 및 상기 향상도에 대응되는 사례 데이터를 사례 데이터베이스(104)에서 검색하고, 검색된 사례 데이터의 확산 또는 소멸 여부에 따라 감지된 이상의 확산 또는 소멸 여부를 예측할 수 있다. 이를 좀 더 상세히 설명하면 다음과 같다.When the occurrence of an abnormality in the monitored object is detected by the abnormality detection unit 106, the prediction unit 108 predicts whether the detected abnormality spreads or disappears by comparing text data and past case data stored in the case database 104 . In one embodiment, the prediction unit 108 extracts the most frequent related candidate keyword among keywords collected from text data at the same time as the abnormal keyword obtained from the text data, and between the abnormal keyword and the related candidate keyword The degree of improvement is calculated by the Frequent Pattern Growth (FPG) association analysis (hereinafter, FPG association analysis), and case data corresponding to the abnormal keyword, the association candidate keyword, and the improvement degree are stored in the case database 104 Search in, and predict whether the detected abnormality will spread or disappear according to whether the searched case data spreads or disappears. This will be described in more detail as follows.

이상 감지부(106)에 의하여 모니터링 대상의 이상 발생이 감지되는 경우, 예측부(108)는 데이터 수집부(102)에서 생성한 각 시간대별 키워드 그룹으로부터 이상 키워드 및 상기 이상 키워드와 동일 시간대에서 수집된 키워드 중 가장 빈도수가 높은 연관 후보 키워드를 추출한다. 예를 들어, 표 1의 사례에서 GSS의 OFFLINE 상태가 감지되었다고 가정하자. 이 경우, 이상 감지부(106)는 "OFFLINE"을 이상 키워드로, GSS의 OFFLINE 상태가 기록된 시간대인 시간대 1, 2, 3, 4에서 가장 많이 등장한 키워드인 WEBSERVER의 "GET 443"을 연관 후보 키워드로 설정한다.When the occurrence of an abnormality in the monitoring target is detected by the abnormality detection unit 106, the prediction unit 108 collects abnormal keywords and abnormal keywords from the keyword group for each time period generated by the data collection unit 102 at the same time Among the keywords, the most frequent related candidate keywords are extracted. For example, assume that the OFFLINE state of GSS is detected in the example of Table 1. In this case, the abnormality detection unit 106 uses "OFFLINE" as the abnormal keyword, and the keyword "GET 443" of WEBSERVER, which is the keyword that appears most in time zones 1, 2, 3, 4, which is the time zone in which the OFFLINE status of GSS is recorded, is a candidate for association. Set with keywords.

다음으로, 예측부(108)는 상기 이상 키워드 및 상기 연관 후보 키워드 간의 FPG 연관 분석을 통해 두 키워드 사이의 연관 관계를 계산한다. FPG 연관 분석은 인자들 사이의 지지도(Support), 신뢰도(Confidence) 및 향상도(Lift)를 계산함으로써 키워드 사이의 연관 관계를 분석하는 분석 방법을 의미한다. 예를 들어, 상기 예에서 이상 키워드 및 연관 후보 키워드 간의 지지도, 신뢰도 및 향상도는 다음과 같이 계산될 수 있다. Next, the prediction unit 108 calculates an association relationship between the two keywords through FPG association analysis between the abnormal keyword and the association candidate keyword. FPG association analysis refers to an analysis method that analyzes the association relationship between keywords by calculating Support, Confidence, and Lift between factors. For example, in the above example, the degree of support, reliability, and degree of improvement between the abnormal keyword and the associated candidate keyword may be calculated as follows.

설명의 편의를 위하여 이상 키워드를 키워드 X로, 연관 후보 키워드를 키워드 Y로 지칭하기로 하자. 먼저, 전체 데이터 집합에서 각 키워드들이 나타날 확률을 계산하면 다음의 수학식 1 및 2와 같다. 본 실시예에서는 최근 5개의 시간대(트랜잭션)를 전체 데이터 집합으로 가정하였으나, 전체 데이터 집합의 범위는 모니터링 대상 등을 고려하여 적절히 설정될 수 있다.
For convenience of explanation, the ideal keyword will be referred to as the keyword X and the related candidate keyword will be referred to as the keyword Y. First, the probability of each keyword appearing in the entire data set is calculated as shown in Equations 1 and 2 below. In the present embodiment, it is assumed that the last five time zones (transactions) are the entire data set, but the range of the entire data set may be appropriately set in consideration of a monitoring target or the like.

[수학식 1][Equation 1]

Figure 112014100528757-pat00001

Figure 112014100528757-pat00001

[수학식 2][Equation 2]

Figure 112014100528757-pat00002

Figure 112014100528757-pat00002

또한, 이로부터 X에 대한 Y의 지지도, 신뢰도 및 향상도를 계산하면 다음의 수학식 3 내지 5와 같다.
Further, Y's support, reliability, and improvement of Y for X are calculated from Equations 3 to 5 below.

[수학식 3][Equation 3]

Figure 112014100528757-pat00003

Figure 112014100528757-pat00003

[수학식 4][Equation 4]

Figure 112014100528757-pat00004

Figure 112014100528757-pat00004

[수학식 5][Equation 5]

Figure 112014100528757-pat00005

Figure 112014100528757-pat00005

향상도는 두 인자가 서로 독립적인지 아닌지를 판단하는 척도로서, 1이면 독립, 1보다 크면 밀접, 1보다 작으면 서로 반대 관계임을 나타낸다. 따라서, 상기 예의 경우 X와 Y 사이의 향상도가 1.25이므로 X와 Y는 밀접한 관계가 존재한다. The degree of improvement is a measure of whether two factors are independent of each other. If it is 1, it is independent, if it is greater than 1, it is in close relationship, and if it is less than 1, it is in opposite relationship. Therefore, in the case of the above example, since the degree of improvement between X and Y is 1.25, there is a close relationship between X and Y.

이와 같이 향상도가 계산되면, 다음으로 예측부(108)는 상기 X와 Y 간의 향상도가 1 이상이 사례가 존재하는지의 여부를 사례 데이터베이스(104)에서 검색하고, 검색된 사례의 확산 또는 소멸 여부에 따라 감지된 이상이 확산 또는 소멸될지 여부를 예측한다. 예를 들어, 사례 데이터베이스(104)에 저장된 사례 중 동일한 키워드 및 향상도를 가진 사례가 존재하고, 해당 사례가 장애 확산 사례인 경우 예측부(108)는 감지된 이상이 확산될 것으로, 반대로 장애 소멸 사례인 경우에는 감지된 이상이 소멸될 것으로 예측하게 된다.When the degree of improvement is calculated in this way, the prediction unit 108 then searches the case database 104 for whether or not a case with an improvement degree of 1 or more between X and Y exists, and whether the searched case spreads or disappears. Predicts whether the detected abnormality will spread or disappear according to For example, if a case with the same keyword and degree of improvement exists among cases stored in the case database 104, and the case is a case of spreading a failure, the prediction unit 108 predicts that the detected abnormality will spread, conversely, the failure disappears. In the case of a case, it is predicted that the detected abnormality will disappear.

본 발명의 일 실시예에서, 예측부(108)는 연속된 시간대에서 기 설정된 횟수 이상 동일한 이상 발생이 감지되는 경우, 감지된 이상의 확산 또는 소멸 여부를 예측할 수 있다. 예를 들어, 표 1의 사례에서 동일한 이상이 3회 이상 반복하여 나타날 경우를 기준값으로 설정하였다고 가정하면, 예측부(108)는 GSS STATE OFFLINE이 3회 감지된 이후인 시간대 4에서 감지된 이상의 확산 또는 소멸 여부를 예측하게 된다.In an embodiment of the present invention, when the occurrence of the same abnormality is detected more than a preset number of times in consecutive time periods, the prediction unit 108 may predict whether the detected abnormality spreads or disappears. For example, in the case of Table 1, assuming that the same anomaly appears repeatedly 3 or more times as a reference value, the prediction unit 108 spreads an anomaly detected in time zone 4 after the GSS STATE OFFLINE is detected 3 times. Or it predicts whether it will disappear.

한편, 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)은 사례 갱신부(110)를 더 포함할 수 있다. 사례 갱신부(110)는 예측부(108)의 검색 결과 상기 이상 키워드 및 상기 연관 후보 키워드에 대응되는 사례 데이터가 사례 데이터베이스(104)에 존재하지 않거나, 또는 상기 모니터링 대상에서 감지된 이상의 실제 이상 확산 또는 소멸 여부가 상기 예측부의 예측과 일치하지 않는 경우 상기 연관 후보 키워드 및 상기 향상도를 이용하여 상기 사례 데이터베이스에 저장된 사례 데이터를 갱신하게 된다.Meanwhile, the abnormality detection and prediction system 100 according to an embodiment of the present invention may further include a case update unit 110. The case update unit 110 does not exist in the case database 104 as a result of the search result of the prediction unit 108 and the case data corresponding to the associated candidate keyword, or the actual abnormality detected by the monitoring target is spread. Alternatively, if the disappearance does not coincide with the prediction of the prediction unit, case data stored in the case database is updated using the associated candidate keyword and the degree of improvement.

표 1의 사례로 돌아가면, 표 1의 경우 시간대 5에서 GSS STATE가 OFFLINE에서 ONLINE으로 전환되었는 바, 이 경우는 장애가 소멸된 사례에 해당한다. 그러나 만약 사례 데이터베이스(104)에 동일한 사례가 장애 확산으로 기록되어 있거나, 또는 사례 데이터베이스(104)에 이와 동일한 사례가 기록되어 있지 않은 경우, 사례 갱신부(110)는 금번에 발견된 사례를 사례 데이터베이스(104)에 업데이트함으로써 향후 장애 예측에 활용될 수 있도록 한다.
Returning to the example of Table 1, in the case of Table 1, the GSS STATE was switched from OFFLINE to ONLINE in time zone 5, and this case corresponds to a case in which the failure disappeared. However, if the same case is recorded as a failure spread in the case database 104, or if the same case is not recorded in the case database 104, the case update unit 110 converts the currently found case into a case database. By updating to (104), it can be used for future failure prediction.

도 2는 본 발명의 일 실시예에 따른 이상 감지 및 예측 방법(500)을 설명하기 위한 흐름도이다. 본 발명의 일 실시예에 따른 이상 감지 및 예측 방법(500)은 전술한 이상 감지 및 예측 시스템(100)에 의하여 수행될 수 있다.2 is a flowchart illustrating an abnormality detection and prediction method 500 according to an embodiment of the present invention. The abnormality detection and prediction method 500 according to an embodiment of the present invention may be performed by the above-described abnormality detection and prediction system 100.

단계 502에서, 데이터 수집부(102)는 모니터링 대상에서 생성되는 텍스트 데이터를 수집한다. In step 502, the data collection unit 102 collects text data generated in the monitoring target.

단계 504에서, 이상 감지부(106)는 상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지한다.In step 504, the abnormality detector 106 detects whether an abnormality has occurred in the monitoring target from the text data.

단계 506에서, 예측부(108)는 상기 텍스트 데이터 및 상기 모니터링 대상의 이상 또는 정상 여부와 관련된 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측한다.In step 506, the prediction unit 108 predicts the spread or disappearance of the detected abnormality by comparing the text data and past case data related to the abnormality or normality of the monitored object.

단계 508에서, 사례 갱신부(110)는 상기 506 단계의 수행 결과 상기 이상 키워드 및 상기 연관 후보 키워드에 대응되는 사례 데이터가 존재하지 않거나, 또는 상기 모니터링 대상에서 감지된 이상의 실제 이상 확산 또는 소멸 여부가 예측 결과와 일치하지 않는 경우, 모니터링 대상의 실제 이상 확산 또는 소멸 여부에 따라 사례 데이터를 갱신한다.
In step 508, the case update unit 110 determines whether there is no case data corresponding to the abnormal keyword and the associated candidate keyword as a result of the execution of step 506, or whether the actual abnormality detected by the monitoring object is spread or disappeared. If it does not match the prediction result, the case data is updated according to whether the actual abnormality of the monitored object spreads or disappears.

한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램, 및 상기 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나, 또는 컴퓨터 소프트웨어 분야에서 통상적으로 사용 가능한 것일 수 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 프로그램의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.Meanwhile, an embodiment of the present invention may include a program for performing the methods described in the present specification on a computer, and a computer-readable recording medium including the program. The computer-readable recording medium may include a program command, a local data file, a local data structure, or the like alone or in combination. The media may be specially designed and configured for the present invention, or may be commonly used in the field of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and specially configured to store and execute program instructions such as ROM, RAM, and flash memory. Hardware devices are included. Examples of the program may include not only machine language codes created by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
Although the exemplary embodiments of the present invention have been described in detail above, those of ordinary skill in the art to which the present invention pertains will understand that various modifications may be made to the above-described embodiments without departing from the scope of the present invention. . Therefore, the scope of the present invention is limited to the described embodiments and should not be determined, and should not be determined by the claims to be described later, but also by those equivalents to the claims.

100: 이상 감지 및 예측 시스템
102: 데이터 수집부
104: 사례 데이터베이스
106: 이상 감지부
108: 예측부
110: 사례 갱신부100: anomaly detection and prediction system
102: data collection unit
104: case database
106: abnormality detection unit
108: prediction unit
110: Case update section

Claims (19)

모니터링 대상의 이상 또는 정상 여부와 관련된 사례 데이터를 저장하는 사례 데이터베이스;
상기 모니터링 대상에서 생성되며, 상기 모니터링 대상의 정상 또는 이상과 관련된 상태 키워드를 포함하는 텍스트 데이터를 수집하는 데이터 수집부;
상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 이상 감지부; 및
상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터와 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 예측부를 포함하며,
상기 데이터 수집부는,
수집된 상기 텍스트 데이터 각각으로부터 시각 정보 및 상기 상태 키워드를 추출하고, 추출된 상기 시각 정보 및 상기 상태 키워드를 기 설정된 시간대별로 그룹화하며,
상기 이상 감지부는,
상기 상태 키워드가 기 설정된 이상 감지 기준 키워드 중 어느 하나와 일치하는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단하는, 이상 감지 및 예측 시스템.
A case database for storing case data related to abnormality or normality of a monitored object;
A data collection unit that is generated in the monitoring target and collects text data including a status keyword related to normal or abnormality of the monitoring target;
An abnormality detector configured to detect whether an abnormality has occurred in the monitoring target from the text data; And
When the occurrence of an abnormality in the monitored object is detected, comprising a predictor for predicting whether the detected abnormality spread or disappears by comparing the text data and past case data,
The data collection unit,
Extracting time information and the status keyword from each of the collected text data, grouping the extracted time information and the status keyword by preset time period,
The abnormality detection unit,
An abnormality detection and prediction system that determines that an abnormality has occurred in the monitoring target when the status keyword matches any one of preset abnormality detection reference keywords.
 삭제delete 청구항 1에 있어서,
상기 데이터 수집부는, 상기 텍스트 데이터에 숫자 형태로 표현되는 측정값이 포함되어 있는 경우,
동일 시간대에서 수집된 상기 측정값의 평균값 또는 중간값을 계산하고,
상기 평균값 또는 중간값과 대응되어 설정된 특정 문자열을 상기 상태 키워드로 설정하는, 이상 감지 및 예측 시스템.
The method according to claim 1,
When the text data includes a measurement value expressed in a numeric form,
Calculate the average or median value of the measured values collected in the same time period,
An abnormality detection and prediction system for setting a specific character string set in correspondence with the average value or the median value as the status keyword.
 삭제delete 청구항 1에 있어서,
상기 이상 감지부는, 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력하는, 이상 감지 및 예측 시스템.
The method according to claim 1,
The abnormality detection and prediction system for outputting a warning message when it is determined that an abnormality has occurred in the monitoring target.
 청구항 1에 있어서,
상기 사례 데이터는,
상기 모니터링 대상의 이상과 관련된 이상 사례 키워드;
상기 이상 사례 키워드의 연관 키워드;
상기 이상 사례 키워드와 상기 연관 키워드 간의 빈발 패턴 증가 연관 분석에 의한 향상도 기준값; 및
해당 이상 사례의 확산 또는 소멸 여부 정보를 포함하는, 이상 감지 및 예측 시스템.
The method according to claim 1,
The above case data is:
Abnormal case keywords related to the abnormality of the monitored object;
A related keyword of the abnormal case keyword;
An improvement degree reference value by analyzing an increase in the frequent pattern between the abnormal case keyword and the related keyword; And
Anomaly detection and prediction system, including information on whether the anomaly has spread or disappears.
 청구항 6에 있어서,
상기 예측부는,
상기 텍스트 데이터로부터 획득된 이상 키워드와 동일 시간대에서 텍스트 데이터로부터 수집된 키워드 중 가장 빈도수가 높은 연관 후보 키워드를 추출하고,
상기 이상 키워드 및 상기 연관 후보 키워드간의 빈발 패턴 증가 연관 분석에 의한 향상도를 계산하며,
상기 이상 키워드, 상기 연관 후보 키워드 및 상기 향상도에 대응되는 사례 데이터를 상기 사례 데이터베이스에서 검색하고,
검색된 사례 데이터의 확산 또는 소멸 여부에 따라 감지된 이상의 확산 또는 소멸 여부를 예측하는, 이상 감지 및 예측 시스템.
The method of claim 6,
The prediction unit,
Extracting a candidate keyword with the highest frequency among the keywords collected from text data at the same time as the abnormal keyword obtained from the text data,
Calculate the degree of improvement by analyzing the increase in the frequent pattern between the abnormal keyword and the associated candidate keyword,
Searching the case data corresponding to the abnormal keyword, the association candidate keyword, and the degree of improvement in the case database,
Anomaly detection and prediction system that predicts the spread or disappearance of a detected abnormality according to whether the searched case data spreads or disappears.
 청구항 7에 있어서,
상기 예측부는, 연속된 시간대에서 기 설정된 횟수 이상 동일한 이상 발생이 감지되는 경우, 감지된 이상의 확산 또는 소멸 여부를 예측하는, 이상 감지 및 예측 시스템.
The method of claim 7,
The prediction unit, when the occurrence of the same abnormality is detected more than a preset number of times in consecutive time periods, predicts whether the detected abnormality spreads or disappears.
 청구항 7에 있어서,
상기 이상 키워드 및 상기 연관 후보 키워드에 대응되는 사례 데이터가 존재하지 않거나, 또는
상기 모니터링 대상에서 감지된 이상의 실제 이상 확산 또는 소멸 여부가 상기 예측부의 예측과 일치하지 않는 경우,
상기 연관 후보 키워드 및 상기 향상도를 이용하여 상기 사례 데이터베이스에 저장된 사례 데이터를 갱신하는 사례 갱신부를 더 포함하는, 이상 감지 및 예측 시스템.
The method of claim 7,
Case data corresponding to the abnormal keyword and the associated candidate keyword does not exist, or
When the actual abnormal spread or disappearance of an abnormality detected by the monitoring target does not match the prediction of the prediction unit,
An abnormality detection and prediction system further comprising a case update unit for updating case data stored in the case database using the associated candidate keyword and the degree of improvement.
 이상 감지 및 예측 시스템에서 수행되는 이상 감지 및 예측 방법으로서,
모니터링 대상에서 생성되며, 상기 모니터링 대상의 정상 또는 이상과 관련된 상태 키워드를 포함하는 텍스트 데이터를 수집하는 단계;
상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계; 및
상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터 및 상기 모니터링 대상의 이상 또는 정상 여부와 관련된 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 포함하며,
상기 텍스트 데이터를 수집하는 단계는,
수집된 상기 텍스트 데이터 각각으로부터 시각 정보 및 상기 상태 키워드를 추출하는 단계; 및
추출된 상기 시각 정보 및 상기 상태 키워드를 기 설정된 시간대별로 그룹화하는 단계를 더 포함하며,
상기 이상 발생 여부를 감지하는 단계는,
상기 상태 키워드가 기 설정된 이상 감지 기준 키워드 중 어느 하나와 일치하는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단하는, 이상 감지 및 예측 방법.
An abnormality detection and prediction method performed in an abnormality detection and prediction system,
Collecting text data generated in a monitoring target and including a status keyword related to normal or abnormality of the monitoring target;
Detecting whether an abnormality occurs in the monitoring target from the text data; And
When the occurrence of an abnormality in the monitored object is detected, predicting whether the detected abnormality spread or disappears against the text data and past case data related to the abnormality or normality of the monitoring object,
Collecting the text data,
Extracting visual information and the status keyword from each of the collected text data; And
Grouping the extracted time information and the status keyword according to a preset time zone,
The step of detecting whether the abnormality has occurred,
When the status keyword matches any one of preset abnormality detection reference keywords, it is determined that an abnormality has occurred in the monitoring target.
 삭제delete 청구항 10에 있어서,
상기 상태 키워드를 추출하는 단계는,
상기 텍스트 데이터에 숫자 형태로 표현되는 측정값이 포함되어 있는 경우,
동일 시간대에서 수집된 상기 측정값의 평균값 또는 중간값을 계산하고,
상기 평균값 또는 중간값과 대응되어 기 설정된 특정 문자열을 상기 상태 키워드로 설정하는, 이상 감지 및 예측 방법.
The method of claim 10,
The step of extracting the status keyword,
If the text data contains measurement values expressed in numeric form,
Calculate the average or median value of the measured values collected in the same time period,
An abnormality detection and prediction method for setting a predetermined character string corresponding to the average value or the median value as the status keyword.
 삭제delete 청구항 10에 있어서,
상기 이상 발생 여부를 감지하는 단계는,
상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력하는 단계를 더 포함하는, 이상 감지 및 예측 방법.
The method of claim 10,
The step of detecting whether the abnormality has occurred,
The method of detecting and predicting an abnormality further comprising outputting a warning message when it is determined that an abnormality has occurred in the monitoring object.
 청구항 10에 있어서,
상기 사례 데이터는,
상기 모니터링 대상의 이상과 관련된 이상 사례 키워드;
상기 이상 사례 키워드의 연관 키워드;
상기 이상 사례 키워드와 상기 연관 키워드 간의 빈발 패턴 증가 연관 분석에 의한 향상도 기준값; 및
해당 이상 사례의 확산 또는 소멸 여부 정보를 포함하는, 이상 감지 및 예측 방법.
The method of claim 10,
The above case data is:
Abnormal case keywords related to the abnormality of the monitored object;
A related keyword of the abnormal case keyword;
An improvement degree reference value by analyzing an increase in the frequent pattern between the abnormal case keyword and the related keyword; And
An anomaly detection and prediction method that includes information on whether the anomaly has spread or disappears.
 청구항 15에 있어서,
상기 예측하는 단계는,
상기 텍스트 데이터로부터 획득된 이상 키워드와 동일 시간대에서 텍스트 데이터로부터 수집된 키워드 중 가장 빈도수가 높은 연관 후보 키워드를 추출하는 단계;
상기 이상 키워드 및 상기 연관 후보 키워드간의 빈발 패턴 증가 연관 분석에 의한 향상도를 계산하는 단계;
상기 이상 키워드, 상기 연관 후보 키워드 및 상기 향상도에 대응되는 사례 데이터를 사례 데이터베이스에서 검색하는 단계; 및,
검색된 사례 데이터의 확산 또는 소멸 여부에 따라 감지된 이상의 확산 또는 소멸 여부를 판단하는 단계를 더 포함하는, 이상 감지 및 예측 방법.
The method of claim 15,
The predicting step,
Extracting an association candidate keyword with the highest frequency among keywords collected from text data at the same time as the abnormal keyword acquired from the text data;
Calculating an improvement degree by analyzing an increase in the frequent pattern between the abnormal keyword and the association candidate keyword;
Searching case data corresponding to the abnormal keyword, the association candidate keyword, and the degree of improvement in a case database; And,
An abnormality detection and prediction method further comprising the step of determining whether the detected abnormality spreads or disappears according to whether the searched case data spreads or disappears.
 청구항 16에 있어서,
상기 예측하는 단계는,
연속된 시간대에서 기 설정된 횟수 이상 동일한 이상 발생이 감지되는 경우, 감지된 이상의 확산 또는 소멸 여부를 예측하는, 이상 감지 및 예측 방법.
The method of claim 16,
The predicting step,
An abnormality detection and prediction method for predicting whether the detected abnormality spreads or disappears when the same abnormality occurs more than a preset number of times in a continuous time period.
 청구항 16에 있어서,
상기 검색하는 단계의 검색 결과, 상기 이상 키워드 및 상기 연관 후보 키워드에 대응되는 사례 데이터가 존재하지 않거나, 또는
상기 모니터링 대상에서 감지된 이상의 실제 이상 확산 또는 소멸 여부가 상기 판단하는 단계의 판단 결과와 일치하지 않는 경우,
상기 연관 후보 키워드 및 상기 향상도를 이용하여 상기 사례 데이터를 갱신하는 단계를 더 포함하는, 이상 감지 및 예측 방법.
The method of claim 16,
As a result of the search in the searching step, case data corresponding to the abnormal keyword and the associated candidate keyword does not exist, or
If the actual abnormality detected by the monitoring object does not spread or disappear with the determination result of the determining step,
The method further comprising the step of updating the case data using the associated candidate keyword and the degree of improvement.
 하드웨어와 결합되어,
모니터링 대상에서 생성되며, 상기 모니터링 대상의 정상 또는 이상과 관련된 상태 키워드를 포함하는 텍스트 데이터를 수집하는 단계;
상기 텍스트 데이터로부터 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계; 및
상기 모니터링 대상의 이상 발생이 감지되는 경우, 상기 텍스트 데이터 및 상기 모니터링 대상의 이상 또는 정상 여부와 관련된 과거 사례 데이터를 대비하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 포함하는 단계들을 실행시키기 위하여 기록매체에 저장되며,
상기 텍스트 데이터를 수집하는 단계는,
수집된 상기 텍스트 데이터 각각으로부터 시각 정보 및 상기 상태 키워드를 추출하는 단계; 및
추출된 상기 시각 정보 및 상기 상태 키워드를 기 설정된 시간대별로 그룹화하는 단계를 더 포함하며,
상기 이상 발생 여부를 감지하는 단계는,
상기 상태 키워드가 기 설정된 이상 감지 기준 키워드 중 어느 하나와 일치하는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단하는, 컴퓨터 프로그램.Combined with hardware,
Collecting text data generated in a monitoring target and including a status keyword related to normal or abnormality of the monitoring target;
Detecting whether an abnormality occurs in the monitoring target from the text data; And
When the occurrence of an abnormality in the monitored object is detected, in order to execute the steps including the step of predicting whether the detected abnormality spreads or disappears against the text data and past case data related to the abnormality or normality of the monitoring object Stored in the recording medium,
Collecting the text data,
Extracting visual information and the status keyword from each of the collected text data; And
Grouping the extracted time information and the status keyword according to a preset time zone,
The step of detecting whether the abnormality has occurred,
When the status keyword matches any one of preset abnormality detection criteria keywords, it is determined that an abnormality has occurred in the monitoring target.
KR1020140142784A 2014-10-21 2014-10-21 System and method for detecting and predicting anomalies based on analysis of text data KR102190578B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140142784A KR102190578B1 (en) 2014-10-21 2014-10-21 System and method for detecting and predicting anomalies based on analysis of text data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140142784A KR102190578B1 (en) 2014-10-21 2014-10-21 System and method for detecting and predicting anomalies based on analysis of text data

Publications (2)

Publication Number Publication Date
KR20160047065A KR20160047065A (en) 2016-05-02
KR102190578B1 true KR102190578B1 (en) 2020-12-15

Family

ID=56021397

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140142784A KR102190578B1 (en) 2014-10-21 2014-10-21 System and method for detecting and predicting anomalies based on analysis of text data

Country Status (1)

Country Link
KR (1) KR102190578B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110377447B (en) * 2019-07-17 2022-07-22 腾讯科技(深圳)有限公司 Abnormal data detection method and device and server

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013025744A (en) 2011-07-26 2013-02-04 Nippon Telegr & Teleph Corp <Ntt> Log file collection system, server, log file collection method, log output method and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100840129B1 (en) * 2006-11-16 2008-06-20 삼성에스디에스 주식회사 System and method for management of performance fault using statistical analysis
KR101088651B1 (en) * 2009-09-30 2011-12-01 성균관대학교산학협력단 Method and apparatus for context estimating
KR20130123007A (en) 2012-05-02 2013-11-12 (주)네오위즈게임즈 Method for controlling trouble and server thereof
KR101907041B1 (en) * 2012-12-17 2018-10-11 한국전자통신연구원 Apparatus and method for managing risk based on prediction on social web media
KR20160025664A (en) * 2014-08-27 2016-03-09 삼성에스디에스 주식회사 Apparatus and method for early detection of abnormality

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013025744A (en) 2011-07-26 2013-02-04 Nippon Telegr & Teleph Corp <Ntt> Log file collection system, server, log file collection method, log output method and program

Also Published As

Publication number Publication date
KR20160047065A (en) 2016-05-02

Similar Documents

Publication Publication Date Title
KR102195070B1 (en) System and method for detecting and predicting anomalies based on analysis of time-series data
US10860939B2 (en) Application performance analyzer and corresponding method
JP5767617B2 (en) Network failure detection system and network failure detection device
CN107171819B (en) Network fault diagnosis method and device
US20190196894A1 (en) Detecting and analyzing performance anomalies of client-server based applications
US8352789B2 (en) Operation management apparatus and method thereof
KR101545215B1 (en) system and method for automatically manageing fault events of data center
US20160378583A1 (en) Management computer and method for evaluating performance threshold value
KR102440335B1 (en) A method and apparatus for detecting and managing a fault
CN107124289B (en) Weblog time alignment method, device and host
KR20050048019A (en) Method for detecting abnormal traffic in network level using statistical analysis
JP6280862B2 (en) Event analysis system and method
JP7311350B2 (en) MONITORING DEVICE, MONITORING METHOD, AND MONITORING PROGRAM
JP2017021790A (en) Systems and methods for verification and anomaly detection using mixture of hidden markov models
JP5163404B2 (en) Failure analysis system, failure analysis method, and failure analysis program
JP5651381B2 (en) Failure cause determination rule verification device and program
KR101444250B1 (en) System for monitoring access to personal information and method therefor
WO2018035765A1 (en) Method and apparatus for detecting network abnormity
KR102190578B1 (en) System and method for detecting and predicting anomalies based on analysis of text data
JP2005182647A (en) Abnormality detector for apparatus
CN111404740A (en) Fault analysis method and device, electronic equipment and computer readable storage medium
KR20170108315A (en) Method and apparatus for monitoring fault of system
JP2017211806A (en) Communication monitoring method, security management system, and program
US20210027254A1 (en) Maintenance management apparatus, system, method, and non-transitory computer readable medium
JP5435225B2 (en) Operation management apparatus, operation management method, and program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant