KR102195070B1 - 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법 - Google Patents

시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법 Download PDF

Info

Publication number
KR102195070B1
KR102195070B1 KR1020140136765A KR20140136765A KR102195070B1 KR 102195070 B1 KR102195070 B1 KR 102195070B1 KR 1020140136765 A KR1020140136765 A KR 1020140136765A KR 20140136765 A KR20140136765 A KR 20140136765A KR 102195070 B1 KR102195070 B1 KR 102195070B1
Authority
KR
South Korea
Prior art keywords
abnormality
detection
state information
prediction
case
Prior art date
Application number
KR1020140136765A
Other languages
English (en)
Other versions
KR20160042616A (ko
Inventor
김선득
오현택
김성일
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020140136765A priority Critical patent/KR102195070B1/ko
Priority to US14/582,746 priority patent/US9952921B2/en
Priority to PCT/KR2014/012793 priority patent/WO2016056708A1/ko
Priority to CN201410835032.3A priority patent/CN105787248B/zh
Publication of KR20160042616A publication Critical patent/KR20160042616A/ko
Application granted granted Critical
Publication of KR102195070B1 publication Critical patent/KR102195070B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/008Reliability or availability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • G06F11/0787Storage of error reports, e.g. persistent data storage, storage using memory protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템은 모니터링 대상의 상태와 관련된 과거 사례 데이터를 저장하는 사례 데이터베이스; 상기 모니터링 대상의 시계열 상태 정보를 수집하는 데이터 수집부; 설정된 탐지 구간 내에서 상기 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 이상 감지부; 상기 이상 감지부에 의하여 이상 발생이 감지되는 경우, 상기 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 유사 사례 선정부; 및 상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 예측부를 포함한다.

Description

시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING AND PREDICTING ANOMALIES BASED ON ANALYSIS OF TIME-SERIES DATA}
본 발명의 실시예들은 시계열 데이터의 분석을 통한 이상 감지 및 감지된 이상의 확산 또는 소멸 예측 기술과 관련된다.
기업 또는 정부기관 등의 업무가 대부분 전산화되면서 기업 등에서 대규모의 엔터프라이즈 서비스 인프라를 구축 및 관리하는 것이 일상화되었다. 이러한 엔터프라이즈 서비스 인프라의 경우 다수의 웹서버, 웹 애플리케이션 서버(WAS; Web Application Server), 데이터베이스, 방화벽, 스위치, 라우터 등을 포함하게 되며, 어느 하나의 이상이 다른 장비, 나아가 전체 시스템에도 영향을 주는 경우가 많으므로 지속적인 상태 모니터링이 필요하다.
이를 위하여 종래에는 각각의 장비로부터 상태 정보(중앙처리장치 사용률, 메모리 사용률, 저장장치 상태 정보 등)를 수집하고, 수집된 정보가 기 설정된 임계치를 초과하는 경우 관리자에게 알림을 통지하는 방식으로 모니터링이 이루어졌다. 그러나 이러한 종래 방식의 경우 단순히 입수된 데이터가 임계치를 초과하는지 만을 판단하는 방식인 바, 발생된 이상이 어떻게 전개될지를 예측하는 데에는 한계가 있었다.
대한민국 공개특허공보 제10-2013-0123007호 (2013. 11. 12)
본 발명의 실시예들은 실시간으로 수집되는 시계열 데이터와 과거 사례 데이터간의 융합을 통하여 모니터링 대상의 이상을 신속히 감지하고, 감지된 이상의 확산 또는 소멸 여부를 효과적으로 예측하기 위한 수단을 제공하기 위한 것이다.
본 발명의 예시적인 실시예에 따르면, 모니터링 대상의 상태와 관련된 과거 사례 데이터를 저장하는 사례 데이터베이스; 상기 모니터링 대상의 시계열 상태 정보를 수집하는 데이터 수집부; 설정된 탐지 구간 내에서 상기 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 이상 감지부; 상기 이상 감지부에 의하여 이상 발생이 감지되는 경우, 상기 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 유사 사례 선정부; 및 상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 예측부를 포함하는 이상 감지 및 예측 시스템이 제공된다.
상기 이상 감지 기준은, 상기 탐지 구간의 길이, 이상 발생 임계치 및 이상 감지 기준 패턴을 포함할 수 있다.
상기 이상 감지부는, 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 하나 이상 존재하거나, 또는 상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다.
상기 이상 감지부는, 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력할 수 있다.
상기 유사 사례 선정부는, 상기 과거 사례 데이터 각각의 패턴과 상기 탐지 구간 내에서의 상기 상태 정보의 패턴을 비교하고, 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터를 상기 유사 사례로 선정할 수 있다.
상기 예측부는, 선정된 상기 유사 사례가 이상 확산 사례에 해당하거나, 또는 상기 상태 정보가 상기 확산 예측 기준을 만족하는 경우, 감지된 이상이 확산될 것으로 예측하며, 상기 유사 사례가 이상 소멸 사례에 해당하고, 상기 상태 정보가 상기 확산 예측 기준을 만족하지 않는 경우, 감지된 이상이 소멸될 것으로 예측할 수 있다.
상기 예측부는, 상기 탐지 구간 내 상기 상태 정보의 평균값이 설정된 이상 감지 임계치를 초과하거나, 또는 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 설정된 기준 회수 이상 포함되는 경우, 상기 확산 예측 기준을 만족하는 것으로 판단할 수 있다.
상기 시스템은, 상기 예측부의 예측 결과 및 기 설정된 검증 구간에서의 상기 상태 정보의 변화에 기초하여 상기 탐지 구간의 길이를 조정하는 이상 감지 기준 갱신부를 더 포함할 수 있다.
상기 검증 구간은, 상기 탐지 구간 내 이상 발생이 시작된 시점부터 상기 탐지 구간의 종료 후 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다.
상기 검증 구간은, 상기 탐지 구간이 종료된 시점부터 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다.
상기 이상 감지 기준 갱신부는, 상기 과거 사례 데이터 각각의 패턴과 상기 검증 구간 내에서의 상기 상태 정보의 패턴을 비교하고, 상기 예측 결과, 및 상기 검증 구간 내 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터의 확산 또는 소멸 여부에 따라 상기 탐지 구간의 길이를 조정할 수 있다.
상기 이상 감지 기준 갱신부는, 상기 예측부에서 상기 이상이 소멸될 것이라고 예측되나, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 확산 사례와 유사한 경우, 상기 탐지 구간의 길이를 확장하고, 상기 예측부에서 상기 이상이 소멸될 것이라고 예측되고, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 소멸 사례와 유사한 경우, 상기 탐지 구간의 길이를 축소할 수 있다.
상기 이상 감지 기준 갱신부는, 상기 예측부에서 상기 이상이 확산될 것이라고 예측되나, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 소멸 사례와 유사한 경우, 상기 탐지 구간의 길이를 확장하고, 상기 예측부에서 상기 이상이 확산될 것이라고 예측되고, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 확산 사례와 유사한 경우, 상기 탐지 구간의 길이를 축소할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, 모니터링 대상의 시계열 상태 정보를 수집하는 단계; 설정된 탐지 구간 내에서 상기 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계; 이상 발생이 감지되는 경우, 상기 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 단계; 및 상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 포함하는 이상 감지 및 예측 방법이 제공된다.
상기 이상 감지 기준은, 상기 탐지 구간의 길이, 이상 발생 임계치 및 이상 감지 기준 패턴을 포함할 수 있다.
이상 발생 여부를 감지하는 단계는, 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 하나 이상 존재하거나, 또는 상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다.
이상 발생 여부를 감지하는 단계는, 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력하는 단계를 더 포함할 수 있다.
상기 유사 사례를 선정하는 단계는, 상기 과거 사례 데이터 각각의 패턴과 상기 탐지 구간 내에서의 상기 상태 정보의 패턴을 비교하고, 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터를 상기 유사 사례로 선정할 수 있다.
상기 예측 단계는, 선정된 상기 유사 사례가 이상 확산 사례에 해당하거나, 또는 상기 상태 정보가 상기 확산 예측 기준을 만족하는 경우, 감지된 이상이 확산될 것으로 예측하며, 상기 유사 사례가 이상 소멸 사례에 해당하고, 상기 상태 정보가 상기 확산 예측 기준을 만족하지 않는 경우, 감지된 이상이 소멸될 것으로 예측할 수 있다.
상기 예측 단계는, 상기 탐지 구간 내 상기 상태 정보의 평균값이 설정된 이상 감지 임계치를 초과하거나, 또는 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 설정된 기준 회수 이상 포함되는 경우, 상기 확산 예측 기준을 만족하는 것으로 판단할 수 있다.
상기 방법은, 상기 예측 결과 및 기 설정된 검증 구간에서의 상기 상태 정보의 변화에 기초하여 상기 탐지 구간의 길이를 조정하는 이상 감지 기준 갱신 단계를 더 포함할 수 있다.
상기 검증 구간은, 상기 탐지 구간 내 이상 발생이 시작된 시점부터 상기 탐지 구간의 종료 후 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다.
상기 검증 구간은, 상기 탐지 구간이 종료된 시점부터 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다.
상기 이상 감지 기준 갱신 단계는, 상기 과거 사례 데이터 각각의 패턴과 상기 검증 구간 내에서의 상기 상태 정보의 패턴을 비교하는 단계; 및 상기 예측 결과, 및 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터의 확산 또는 소멸 여부에 따라 상기 탐지 구간의 길이를 조정하는 단계를 더 포함할 수 있다.
상기 탐지 구간의 길이를 조정하는 단계는, 상기 예측부에서 상기 이상이 소멸될 것이라고 예측되나, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 확산 사례와 유사한 경우, 상기 탐지 구간의 길이를 확장하고, 상기 예측부에서 상기 이상이 소멸될 것이라고 예측되고, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 소멸 사례와 유사한 경우, 상기 탐지 구간의 길이를 축소할 수 있다.
상기 탐지 구간의 길이를 조정하는 단계는, 상기 예측부에서 상기 이상이 확산될 것이라고 예측되나, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 소멸 사례와 유사한 경우, 상기 탐지 구간의 길이를 확장하고, 상기 예측부에서 상기 이상이 확산될 것이라고 예측되고, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 확산 사례와 유사한 경우, 상기 탐지 구간의 길이를 축소할 수 있다.
본 발명의 다른 예시적인 실시예에 따르면, 하드웨어와 결합되어, 모니터링 대상의 시계열 상태 정보를 수집하는 단계; 설정된 탐지 구간 내에서 상기 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계; 이상 발생이 감지되는 경우, 상기 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 단계; 및 상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 실행시키기 위하여 기록매체에 저장된 컴퓨터 프로그램이 제공된다.
본 발명의 실시예들에 따를 경우, 실시간으로 수집되는 시계열 데이터와 과거 사례 데이터간의 융합을 통하여 모니터링 대상의 이상을 신속히 감지할 수 있으며, 감지된 이상의 확산 또는 소멸 여부를 효과적으로 예측할 수 있다.
또한, 본 발명의 실시예들에 따를 경우, 감지된 이상의 확산 또는 소멸 예측 결과 및 실제 확산/소멸 여부에 따라 탐지 조건을 동적으로 변경하여 줌으로써 보다 효과적으로 모니터링 대상의 이상을 탐지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템의 구성을 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 이상 감지부에서 탐지 구간의 길이 및 이상 발생 임계치를 이용하여 모니터링 대상의 이상 발생 여부를 판단하는 과정을 설명하기 위한 예시도
도 3 및 도 4는 본 발명의 일 실시예에 따른 검증 구간을 설명하기 위한 예시도
도 5는 본 발명의 일 실시예에 따른 이상 감지 및 예측 방법을 설명하기 위한 흐름도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)의 구성을 설명하기 위한 블록도이다. 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)은 모니터링 대상과 유선 또는 무선 네트워크를 통하여 연결되어 모니터링 대상으로부터 상태 정보를 수집하고, 수집된 상태 정보를 이용하여 상기 모니터링 대상의 이상 발생 여부를 감지하며, 감지된 이상이 확산될지 또는 소멸될지를 예측하기 위한 장치를 의미한다. 일 실시예에서, 상기 모니터링 대상은 웹서버, 웹 애플리케이션 서버(WAS; Web Application Server), 데이터베이스, 방화벽, 스위치, 라우터 등의 엔터프라이즈 서비스 장비일 수 있으나, 본 발명은 특정한 모니터링 대상에 한정되는 것은 아니며 이상 여부의 감지가 필요한 모든 종류의 장치 내지는 설비 또한 본 발명의 모니터링 대상이 될 수 있다. 또한, 본 발명의 실시예들에서 상태 정보는 초당 중앙처리장치 사용률, 메모리 사용률 중 일정 간격으로 지속적으로 수집되는 시계열 데이터를 의미한다.
도시된 바와 같이, 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)은 사례 데이터베이스(102), 데이터 수집부(104), 이상 감지부(106), 유사 사례 선정부(108) 및 예측부(110)를 포함하며, 필요에 따라 이상 감지 기준 갱신부(112)를 더 포함할 수 있다.
사례 데이터베이스(102)는 모니터링 대상의 상태와 관련된 과거 사례 데이터를 저장 및 관리하는 데이터베이스이다. 본 발명의 일 실시예에서, 사례 데이터베이스(102)는 모니터링 대상의 과거 이상(anomaly)이 감지되었을 때의 상태 정보의 시간에 따른 변화 패턴 및 해당 사례에서 이상이 확산되었는지 또는 소멸되었는지 여부에 대한 정보를 저장 및 관리한다. 이때, 이상이 '소멸'된 사례(이하 '소멸 사례')는 모니터링 대상의 이상이 감지되었으나, 별다른 조치 없이 정상 상태로 복귀된 사례를 의미하며, 이상이 '확산'된 사례(이하 '확산 사례')는 모니터링 대상의 이상이 지속되거나 점차 확대되어 별도의 조치가 이루어졌던 사례를 의미한다.
데이터 수집부(104)는 상기 모니터링 대상의 시계열 상태 정보를 수집한다. 일 실시예에서, 데이터 수집부(104)는 기 설정된 데이터 수집 주기별로 상기 모니터링 대상으로부터 상태 정보를 수집하도록 구성될 수 있다. 상기 데이터 수집 주기는 모니터링 대상 및 수집되는 상태 정보의 특성에 따라 적절하게 정해질 수 있다. 예를 들어 중앙처리장치 사용률, 메모리 사용률 등과 같이 매우 빠르게 변화하는 데이터의 경우 빠른 수집 주기(예를 들어 초당 1회 등)를 가지도록, 온도 또는 습도 데이터 등과 같이 상대적으로 그 변화의 속도가 느린 데이터의 경우 그에 맞는 수집 주기(예를 들어 분당 1회, 10분당 1회 등)를 가질 수 있다.
또한, 설정된 데이터 수집 주기와 모니터링 대상으로부터 송신되는 데이터의 송신 주기가 상이한 경우, 데이터 수집부(104)는 상기 데이터 수집 주기에 맞추어 수신되는 상태 정보를 가공할 수 있다. 예를 들어, 데이터 수집 주기가 분당 1회이고, 모니터링 대상으로부터의 데이터 송신 주기가 분당 10회일 경우, 데이터 수집부(104)는 1분 간격으로 수집되는 데이터의 평균값을 계산하고, 계산된 평균값 해당 기간의 상태 정보로 설정할 수 있다.
이상 감지부(106)는 기 설정된 탐지 구간 내에서 상기 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지한다. 본 발명의 일 실시예에서, 탐지 구간이란 수집된 상태 정보 중 이상 발생 여부를 감지하는 데 사용되는 구간을 의미한다. 일반적으로 시계열 데이터의 경우 현재 시점을 기준으로 최근의 데이터가 과거의 데이터보다 이상 감지에 있어 더욱 중요하므로, 이상 감지부(106)는 가장 최근의 데이터로부터 과거의 일정 시점까지의 구간을 탐지 구간으로 설정하고, 상기 탐지 구간 내에 포함된 시계열 상태 정보를 이용하여 이상 여부를 감지하게 된다.
상기 탐지 구간 내에서 이상 발생 여부를 감지하기 위하여, 이상 감지부(106)는 별도의 이상 감지 기준을 저장 및 관리한다. 상기 이상 감지 기준은 이상 감지 및 예측 시스템(100)의 관리자 등에 의하여 설정될 수 있다. 일 실시예에서, 이상 감지 기준은 탐지 구간의 길이, 이상 발생 임계치 및 이상 감지 기준 패턴을 포함한다.
탐지 구간의 길이는 이상 감지부(106)에서 이상 발생 여부를 탐지하는 데 사용되는 구간의 길이를 의미한다. 예를 들어, 탐지 구간의 길이가 10초일 경우 이상 감지부(106)는 가장 최근의 데이터로부터 10초 전까지의 데이터를 이용하여 이상 발생 여부를 탐지하게 된다.
이상 발생 임계치는 탐지 구간 내에서 이상 발생 여부를 판단하기 위한 기준값을 의미한다. 예를 들어, 이상 감지부(106)는 탐지 구간 내에서 설정된 임계치를 초과하는 값이 하나 이상 존재하는 경우 이상이 발생한 것으로 판단할 수 있다.
도 2는 본 발명의 일 실시예에 따른 이상 감지부(106)에서 탐지 구간의 길이 및 이상 발생 임계치를 이용하여 모니터링 대상의 이상 발생 여부를 판단하는 과정을 설명하기 위한 예시도이다. 도시된 예시도는 모니터링 대상의 시간에 따른 중앙처리장치(CPU) 사용률(%)을 나타낸 것으로서, 탐지 구간의 길이는 10초, 임계치는 K로 나타내었다.
도 2를 참조하면, 시간 t에서 t+10까지의 탐지 구간 1의 경우 CPU 사용률이 K를 초과하는 데이터가 존재하지 않으나, 시간 t+10에서 t+20까지의 탐지 구간 2의 경우 CPU 사용률이 K를 초과하는 데이터가 하나 존재하는 것을 알 수 있다(도면에서 점선 원으로 표기). 따라서 이상 감지부(106)는 탐지 구간 1에서는 이상이 발생하지 않았으나, 탐지 구간 2에서는 이상이 발생한 것으로 판단할 수 있다.
한편, 상기 이상 감지 기준은 이상 감지 기준 패턴을 더 포함할 수 있다. 이때 상기 이상 감지 기준 패턴은 모니터링 대상에 이상이 발생한 경우의 데이터 의 시계열 형상을 의미한다. 즉, 이상 감지부(106)는 탐지 구간 내의 상태 정보의 패턴을 이상 감지 기준 패턴과 비교하고, 상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우(즉, 양자 간의 유사도가 설정된 값 이상인 경우), 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다. 이때 수집된 상태 정보의 패턴과 기 저장된 이상 감지 기준 패턴과의 유사도는 코사인 유사도(cosine similarity) 또는 유클리디안 거리 등 다양한 방법들을 적절히 적용하여 계산할 수 있으며, 본 발명의 실시예들은 특정한 종류의 유사도 계산 방법론에 한정되는 것은 아님을 유의한다.
이상 감지부(106)는 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 하나 이상 존재하거나, 또는 임계치를 초과하는 값이 존재하지 않더라도 상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다. 또한, 이상 감지부(106)는 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 시각적 또는 청각적 수단을 이용하여 관리자에게 경고 메시지를 출력할 수 있다.
유사 사례 선정부(108)는 이상 감지부(106)에 의하여 이상 발생이 감지되는 경우, 사례 데이터베이스(102)에 저장된 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정한다. 구체적으로, 유사 사례 선정부(108)는 사례 데이터베이스(102)에 저장된 과거 사례 데이터 각각의 시계열 패턴과 상기 탐지 구간 내에서의 상기 상태 정보의 시계열 패턴을 비교하고, 상기 상태 정보의 시계열 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터를 상기 유사 사례로 선정할 수 있다. 상기 상태 정보의 시계열 패턴과 과거 사례 데이터의 패턴간 비교 또한 코사인 유사도(cosine similarity) 또는 유클리디안 거리 등 기존에 알려진 다양한 방법들을 적절히 적용하여 수행될 수 있다.
예측부(110)는 유사 사례 선정부(108)에서 선정된 상기 유사 사례 및 기 이상 확산 예측 기준을 이용하여 감지된 이상의 확산 또는 소멸 여부를 예측한다. 일 실시예에서, 예측부(110)는 선정된 상기 유사 사례가 이상 확산 사례에 해당하거나 또는 상기 상태 정보가 상기 확산 예측 기준을 만족하는 경우, 감지된 이상이 확산될 것으로 예측할 수 있다. 다시 말해, 예측부(110)는 이상이 발생한 구간의 데이터 패턴이 과거의 사례 데이터 중 확산 사례에 해당하거나, 또는 확산 사례에 해당하지 않더라도 기 설정된 이상 확산 예측 기준을 만족할 경우 감지된 이상이 확산될 것으로 예측하게 된다. 반대로, 예측부(110)는 상기 유사 사례가 이상 소멸 사례에 해당하고, 상기 상태 정보가 상기 확산 예측 기준을 만족하지 않는 경우, 감지된 이상이 소멸될 것으로 예측할 수 있다.
상기 이상 확산 기준은 다음과 같은 사항을 포함할 수 있다.
1) 탐지 구간 내 상태 정보의 평균값이 이상 감지 임계치를 초과
2) 탐지 구간 내에서 상태 정보에 이상 발생 임계치를 초과하는 값이 기준 회수 이상 포함
예측부(110)는 상기 1), 2) 중 어느 하나의 사항을 만족하는 경우 감지된 이상이 확산 예측 기준을 만족하는 것으로 판단할 수 있다.
한편, 전술한 바와 같이 본 발명의 일 실시예에 따른 이상 감지 및 예측 시스템(100)은 이상 감지 기준 갱신부(112)를 더 포함할 수 있다. 이상 감지 기준 갱신부(112)는 예측부(110)의 예측 결과 및 기 설정된 검증 구간에서의 상태 정보의 변화에 기초하여 상기 탐지 구간의 길이를 조정한다.
본 발명의 일 실시예에서, 검증 구간은 상기 탐지 구간 내 이상 발생이 시작된 시점부터 상기 탐지 구간의 종료 후 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다. 도 3은 이를 예시하기 위한 것으로서, 만약 t1과 t2 사이의 탐지 구간 중 t3 시점에서 이상 발생이 시작되었다면, 검증 구간은 t3부터 t4 사이의 구간이 된다.
다른 실시예에서, 검증 구간은 상기 탐지 구간이 종료된 시점부터 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다. 도 4는 이를 예시하기 위한 것으로서, 만약 t1과 t2 사이의 탐지 구간 중 어느 시점에서 이상 발생이 시작되었다면, 검증 구간은 탐지 구간의 종료 시점인 t2부터 t5 사이의 구간이 된다.
이상 감지 기준 갱신부(112)는 사례 데이터베이스(102)에 저장된 과거 사례 데이터 각각의 패턴과 상기 검증 구간 내에서의 상기 상태 정보의 패턴을 비교하여 검증 구간 내의 상태 정보가 확산 사례 또는 소멸 사례 중 어떤 사례와 가장 유사한지의 여부를 판단한다. 이상 감지 기준 갱신부(112)는 유사 사례 선정부(108)와 동일한 알고리즘을 이용하여 검증 구간 내 상태 정보 패턴과 사례 데이터베이스(102)에 저장된 과거 사례를 비교할 수 있다. 이후, 이상 감지 기준 갱신부(112)는 검증 구간 내 상태 정보의 확산 또는 소멸 여부와 예측부(110)에서의 예측 결과를 이용하여 상기 탐지 구간의 길이를 조정하게 된다.
일 실시예에서, 이상 감지 기준 갱신부(112)는 예측부(110)에서 이상이 소멸될 것이라고 예측되었으나, 검증 구간 내의 상태 정보가 과거 사례 데이터 중 확산 사례와 유사한 경우 탐지 구간의 길이를 확장하고, 예측부(110)에서 이상이 소멸될 것이라고 예측되고, 검증 구간 내의 상태 정보가 과거 사례 데이터 중 소멸 사례와 유사한 경우 탐지 구간의 길이를 축소할 수 있다.
또한, 이상 감지 기준 갱신부(112)는 예측부(110)에서 이상이 확산될 것이라고 예측되었으나, 검증 구간 내의 상태 정보가 과거 사례 데이터 중 소멸 사례와 유사한 경우 탐지 구간의 길이를 확장하고, 예측부(110)에서 이상이 확산될 것이라고 예측되고, 검증 구간 내의 상태 정보가 과거 사례 데이터 중 확산 사례와 유사한 경우 상기 탐지 구간의 길이를 축소할 수 있다.
구체적으로, 이상 감지 기준 갱신부(112)는 다음과 같이 탐지 구간의 길이를 조정할 수 있다.
1) 먼저, 예측부(110)에서 이상이 소멸될 것이라고 예측되었으나, 검증 구간 내의 상기 상태 정보가 확산 사례에 해당하는 경우, 이상 감지 기준 갱신부(112)는 탐지 구간의 길이를 확장한다. 즉, 이 경우는 탐지 구간의 길이가 너무 짧아 이상 확산이 제대로 탐지되지 못한 경우라고 판단하여, 탐지 구간에 검증 구간이 포함되도록 탐지 구간의 길이를 확장한다. 이때 상기 탐지 구간의 확장폭은 모니터링 대상 및 상태 정보의 특성 등을 고려하여 적절하게 설정할 수 있다.
2) 예측부(110)에서 이상이 소멸될 것이라고 예측되고, 검증 구간 내의 상태 정보가 소멸 사례와 유사한 경우, 이상 감지 기준 갱신부(112)는 탐지 구간의 길이를 축소한다. 즉, 이 경우는 탐지 구간의 길이를 줄임으로써 예측부(110)에서 빠르게 소멸을 예측하여 불필요한 장애 알람을 울리지 않도록 한다. 이때 상기 탐지 구간의 감소폭은 모니터링 대상 및 상태 정보의 특성 등을 고려하여 적절하게 설정할 수 있다.
3) 예측부(110)에서 이상이 확산될 것이라고 예측되었으나, 검증 구간 내의 상태 정보가 소멸 사례와 유사한 경우, 이상 감지 기준 갱신부(112)는 1)과 마찬가지로 탐지 구간의 길이를 확장한다.
4) 예측부(110)에서 이상이 확산될 것이라고 예측되고, 상기 검증 구간 내의 상기 상태 정보가 상기 과거 사례 데이터 중 확산 사례와 유사한 경우, 이상 감지 기준 갱신부(112)는 2)와 마찬가지로 탐지 구간의 길이를 축소한다.
도 5는 본 발명의 일 실시예에 따른 이상 감지 및 예측 방법(500)을 설명하기 위한 흐름도이다. 본 발명의 일 실시예에 따른 이상 감지 및 예측 방법(500)은 전술한 이상 감지 및 예측 시스템(100)에 의하여 수행될 수 있다.
단계 502에서, 데이터 수집부(104)는 모니터링 대상의 시계열 상태 정보를 수집한다.
단계 504에서, 이상 감지부(106)는 설정된 탐지 구간 내에서 상기 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지한다. 이때 상기 이상 감지 기준은, 상기 탐지 구간의 길이, 이상 발생 임계치 및 이상 감지 기준 패턴을 포함할 수 있다.
또한, 상기 504 단계에서, 이상 감지부(106)는 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 하나 이상 존재하거나, 또는 상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단할 수 있다. 또한 이상 감지부(106)는 상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력할 수 있다.
만약 단계 504에서 이상 발생이 감지되는 경우, 단계 506에서 유사 사례 선정부(108)는 사례 데이터베이스(102)에 저장된 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정한다. 구체적으로, 유사 사례 선정부(108)는 상기 과거 사례 데이터 각각의 패턴과 상기 탐지 구간 내에서의 상기 상태 정보의 패턴을 비교하고, 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터를 상기 유사 사례로 선정할 수 있다.
단계 508에서, 예측부(110)는 506 단계에서 선정된 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상의 확산 또는 소멸 여부를 예측한다. 구체적으로, 예측부(110)는 선정된 상기 유사 사례가 이상 확산 사례에 해당하거나, 또는 상기 상태 정보가 상기 확산 예측 기준을 만족하는 경우, 감지된 이상이 확산될 것으로 예측하며, 상기 유사 사례가 이상 소멸 사례에 해당하고, 상기 상태 정보가 상기 확산 예측 기준을 만족하지 않는 경우, 감지된 이상이 소멸될 것으로 예측할 수 있다.
또한, 예측부(110)는 상기 탐지 구간 내 상기 상태 정보의 평균값이 설정된 이상 감지 임계치를 초과하거나, 또는 상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 설정된 기준 회수 이상 포함되는 경우, 상기 확산 예측 기준을 만족하는 것으로 판단할 수 있다.
단계 510에서, 이상 감지 기준 갱신부(112)는 상기 예측 결과 및 기 설정된 검증 구간에서의 상기 상태 정보의 변화에 기초하여 상기 탐지 구간의 길이를 조정한다.
일 실시예에서 상기 검증 구간은 상기 탐지 구간 내 이상 발생이 시작된 시점부터 상기 탐지 구간의 종료 후 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다. 다른 실시예에서 상기 검증 구간은, 상기 탐지 구간이 종료된 시점부터 기 설정된 기간이 경과된 뒤까지의 구간일 수 있다.
구체적으로, 이상 감지 기준 갱신부(112)는 상기 과거 사례 데이터 각각의 패턴과 상기 검증 구간 내에서의 상기 상태 정보의 패턴을 비교하고, 508 단계에서의 예측 결과 및 검증 구간 내 상태 정보의 확산 또는 소멸 여부에 따라 상기 탐지 구간의 길이를 조정하게 된다. 구체적인 탐지 구간 길이 조정 과정에 대해서는 전술하였다.
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램, 및 상기 프로그램을 포함하는 컴퓨터 판독 가능 기록매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나, 또는 컴퓨터 소프트웨어 분야에서 통상적으로 사용 가능한 것일 수 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 프로그램의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 이상 감지 및 예측 시스템
102: 사례 데이터베이스
104: 데이터 수집부
106: 이상 감지부
108: 유사 사례 선정부
110: 예측부
112: 이상 감지 기준 갱신부

Claims (19)

  1. 모니터링 대상의 상태와 관련된 과거 사례 데이터를 저장하는 사례 데이터베이스;
    상기 모니터링 대상의 시계열 상태 정보를 수집하는 데이터 수집부;
    설정된 탐지 구간 내에서 상기 시계열 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 이상 감지부;
    상기 이상 감지부에 의하여 이상 발생이 감지되는 경우, 상기 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 유사 사례 선정부; 및
    상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상이 발생한 후, 감지된 이상의 확산 또는 소멸 여부를 예측하는 예측부를 포함하며,
    상기 과거 사례 데이터는,
    모니터링 대상의 과거 이상(anomaly)이 감지되었을 때의 상태 정보의 시간에 따른 변화 패턴 및 상기 과거 이상이 확산되었는지 또는 소멸되었는지 여부에 대한 정보를 포함하는, 이상 감지 및 예측 시스템.
  2. 청구항 1에 있어서,
    상기 이상 감지 기준은,
    상기 탐지 구간의 길이, 이상 발생 임계치 및 이상 감지 기준 패턴을 포함하는, 이상 감지 및 예측 시스템.
  3. 청구항 2에 있어서,
    상기 이상 감지부는,
    상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 하나 이상 존재하거나, 또는
    상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단하는, 이상 감지 및 예측 시스템.
  4. 청구항 1에 있어서,
    상기 이상 감지부는,
    상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력하는, 이상 감지 및 예측 시스템.
  5. 청구항 1에 있어서,
    상기 유사 사례 선정부는,
    상기 과거 사례 데이터 각각의 패턴과 상기 탐지 구간 내에서의 상기 상태 정보의 패턴을 비교하고,
    상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터를 상기 유사 사례로 선정하는, 이상 감지 및 예측 시스템.
  6. 청구항 2에 있어서,
    상기 예측부는,
    선정된 상기 유사 사례가 이상 확산 사례에 해당하거나, 또는 상기 상태 정보가 상기 확산 예측 기준을 만족하는 경우, 감지된 이상이 확산될 것으로 예측하며,
    상기 유사 사례가 이상 소멸 사례에 해당하고, 상기 상태 정보가 상기 확산 예측 기준을 만족하지 않는 경우, 감지된 이상이 소멸될 것으로 예측하는, 이상 감지 및 예측 시스템.
  7. 청구항 6에 있어서,
    상기 예측부는,
    상기 탐지 구간 내 상기 상태 정보의 평균값이 설정된 이상 감지 임계치를 초과하거나, 또는
    상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 설정된 기준 회수 이상 포함되는 경우, 상기 확산 예측 기준을 만족하는 것으로 판단하는, 이상 감지 및 예측 시스템.
  8. 청구항 6에 있어서,
    상기 예측부의 예측 결과 및 기 설정된 검증 구간에서의 상기 상태 정보의 변화에 기초하여 상기 탐지 구간의 길이를 조정하는 이상 감지 기준 갱신부를 더 포함하는, 이상 감지 및 예측 시스템.
  9. 청구항 8에 있어서,
    상기 이상 감지 기준 갱신부는,
    상기 과거 사례 데이터 각각의 패턴과 상기 검증 구간 내에서의 상기 상태 정보의 패턴을 비교하고,
    상기 예측 결과, 및 상기 검증 구간 내 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터의 확산 또는 소멸 여부에 따라 상기 탐지 구간의 길이를 조정하는, 이상 감지 및 예측 시스템.
  10. 이상 감지 및 예측 시스템에 의해 수행되는 방법으로서,
    모니터링 대상의 시계열 상태 정보를 수집하는 단계;
    설정된 탐지 구간 내에서 상기 시계열 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계;
    이상 발생이 감지되는 경우, 상기 모니터링 대상의 상태와 관련된 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 단계; 및
    상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상이 발생한 후, 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 포함하며,
    상기 과거 사례 데이터는,
    모니터링 대상의 과거 이상(anomaly)이 감지되었을 때의 상태 정보의 시간에 따른 변화 패턴 및 상기 과거 이상이 확산되었는지 또는 소멸되었는지 여부에 대한 정보를 포함하는, 이상 감지 및 예측 방법.
  11. 청구항 10에 있어서,
    상기 이상 감지 기준은,
    상기 탐지 구간의 길이, 이상 발생 임계치 및 이상 감지 기준 패턴을 포함하는, 이상 감지 및 예측 방법.
  12. 청구항 11에 있어서,
    이상 발생 여부를 감지하는 단계는,
    상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 하나 이상 존재하거나, 또는
    상기 상태 정보가 상기 이상 감지 기준 패턴 중 어느 하나와 매칭되는 경우, 상기 모니터링 대상에 이상이 발생한 것으로 판단하는, 이상 감지 및 예측 방법.
  13. 청구항 10에 있어서,
    이상 발생 여부를 감지하는 단계는,
    상기 모니터링 대상에 이상이 발생한 것으로 판단되는 경우 경고 메시지를 출력하는 단계를 더 포함하는, 이상 감지 및 예측 방법.
  14. 청구항 10에 있어서,
    상기 유사 사례를 선정하는 단계는,
    상기 과거 사례 데이터 각각의 패턴과 상기 탐지 구간 내에서의 상기 상태 정보의 패턴을 비교하고,
    상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터를 상기 유사 사례로 선정하는, 이상 감지 및 예측 방법.
  15. 청구항 11에 있어서,
    상기 예측 단계는,
    선정된 상기 유사 사례가 이상 확산 사례에 해당하거나, 또는 상기 상태 정보가 상기 확산 예측 기준을 만족하는 경우, 감지된 이상이 확산될 것으로 예측하며,
    상기 유사 사례가 이상 소멸 사례에 해당하고, 상기 상태 정보가 상기 확산 예측 기준을 만족하지 않는 경우, 감지된 이상이 소멸될 것으로 예측하는, 이상 감지 및 예측 방법.
  16. 청구항 15에 있어서,
    상기 예측 단계는,
    상기 탐지 구간 내 상기 상태 정보의 평균값이 설정된 이상 감지 임계치를 초과하거나, 또는
    상기 탐지 구간 내에서 상기 상태 정보에 상기 이상 발생 임계치를 초과하는 값이 설정된 기준 회수 이상 포함되는 경우, 상기 확산 예측 기준을 만족하는 것으로 판단하는, 이상 감지 및 예측 방법.
  17. 청구항 15에 있어서,
    상기 예측 결과 및 기 설정된 검증 구간에서의 상기 상태 정보의 변화에 기초하여 상기 탐지 구간의 길이를 조정하는 이상 감지 기준 갱신 단계를 더 포함하는, 이상 감지 및 예측 방법.
  18. 청구항 17에 있어서,
    상기 이상 감지 기준 갱신 단계는,
    상기 과거 사례 데이터 각각의 패턴과 상기 검증 구간 내에서의 상기 상태 정보의 패턴을 비교하는 단계; 및
    상기 예측 결과, 및 상기 상태 정보의 패턴과 가장 높은 유사도를 가지는 과거 사례 데이터의 확산 또는 소멸 여부에 따라 상기 탐지 구간의 길이를 조정하는 단계를 더 포함하는, 이상 감지 및 예측 방법.
  19. 하드웨어와 결합되어,
    모니터링 대상의 시계열 상태 정보를 수집하는 단계;
    설정된 탐지 구간 내에서 상기 시계열 상태 정보와 이상 감지 기준을 비교하여 상기 모니터링 대상의 이상 발생 여부를 감지하는 단계;
    이상 발생이 감지되는 경우, 상기 모니터링 대상의 상태와 관련된 과거 사례 데이터 중 상기 상태 정보와 가장 관련도가 높은 유사 사례를 선정하는 단계; 및
    상기 유사 사례 및 이상 확산 예측 기준을 이용하여 감지된 이상이 발생한 후, 감지된 이상의 확산 또는 소멸 여부를 예측하는 단계를 실행시키기 위하여 기록매체에 저장되며,
    상기 과거 사례 데이터는,
    모니터링 대상의 과거 이상(anomaly)이 감지되었을 때의 상태 정보의 시간에 따른 변화 패턴 및 상기 과거 이상이 확산되었는지 또는 소멸되었는지 여부에 대한 정보를 포함하는, 컴퓨터 프로그램.
KR1020140136765A 2014-10-10 2014-10-10 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법 KR102195070B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020140136765A KR102195070B1 (ko) 2014-10-10 2014-10-10 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법
US14/582,746 US9952921B2 (en) 2014-10-10 2014-12-24 System and method for detecting and predicting anomalies based on analysis of time-series data
PCT/KR2014/012793 WO2016056708A1 (ko) 2014-10-10 2014-12-24 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법
CN201410835032.3A CN105787248B (zh) 2014-10-10 2014-12-26 基于时间序列数据的分析的异常感测和预测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140136765A KR102195070B1 (ko) 2014-10-10 2014-10-10 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20160042616A KR20160042616A (ko) 2016-04-20
KR102195070B1 true KR102195070B1 (ko) 2020-12-24

Family

ID=55653302

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140136765A KR102195070B1 (ko) 2014-10-10 2014-10-10 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법

Country Status (4)

Country Link
US (1) US9952921B2 (ko)
KR (1) KR102195070B1 (ko)
CN (1) CN105787248B (ko)
WO (1) WO2016056708A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102612543B1 (ko) 2023-03-17 2023-12-08 동의대학교 산학협력단 딥러닝 기반 시계열 이상치 탐지 방법 및 그 시스템

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9323599B1 (en) * 2015-07-31 2016-04-26 AppDynamics, Inc. Time series metric data modeling and prediction
WO2018073960A1 (ja) * 2016-10-21 2018-04-26 日本電気株式会社 表示方法、表示装置、および、プログラム
US11310247B2 (en) * 2016-12-21 2022-04-19 Micro Focus Llc Abnormal behavior detection of enterprise entities using time-series data
JP2018133037A (ja) * 2017-02-17 2018-08-23 オムロン株式会社 制御装置
CN107194184B (zh) * 2017-05-31 2020-11-17 成都数联易康科技有限公司 基于时间序列相似性分析的在院人次异常检测方法及系统
CN107707376B (zh) * 2017-06-09 2018-08-03 贵州白山云科技有限公司 一种监控和告警的方法和系统
KR102382820B1 (ko) * 2017-08-09 2022-04-04 삼성에스디에스 주식회사 공정 관리 방법 및 그 장치
KR102008231B1 (ko) * 2017-08-25 2019-08-07 주식회사 펠코리아 자동화 설비의 고장 예측 장치, 이를 이용한 고장 예측 시스템 및 고장 예측 방법
US10628252B2 (en) * 2017-11-17 2020-04-21 Google Llc Real-time anomaly detection and correlation of time-series data
US11294758B2 (en) * 2017-11-30 2022-04-05 Vmware, Inc. Automated methods and systems to classify and troubleshoot problems in information technology systems and services
US10929220B2 (en) * 2018-02-08 2021-02-23 Nec Corporation Time series retrieval for analyzing and correcting system status
CN108320810A (zh) * 2018-04-11 2018-07-24 平安科技(深圳)有限公司 疾病异常数据检测方法及装置、计算机装置及存储介质
US11323465B2 (en) * 2018-09-19 2022-05-03 Nec Corporation Temporal behavior analysis of network traffic
CN109408325B (zh) * 2018-09-29 2020-11-03 华为技术有限公司 进行报警操作的方法和装置
US11388040B2 (en) 2018-10-31 2022-07-12 EXFO Solutions SAS Automatic root cause diagnosis in networks
CN109739720B (zh) * 2018-12-04 2022-08-02 东软集团股份有限公司 异常检测方法、装置、存储介质和电子设备
US11645293B2 (en) 2018-12-11 2023-05-09 EXFO Solutions SAS Anomaly detection in big data time series analysis
KR101960755B1 (ko) * 2018-12-20 2019-03-21 문경훈 미취득 전력 데이터 생성 방법 및 장치
KR102025736B1 (ko) * 2019-04-30 2019-09-26 주식회사 엔케이시스템 Plc 원격 진단 장치 및 방법
CN110232090B (zh) * 2019-05-29 2021-07-09 北京理工大学 一种多视角时间序列异常点集成检测和可视化方法
KR102108529B1 (ko) * 2019-09-19 2020-05-07 주식회사 엔케이시스템 Plc 원격 진단 장치 및 방법
US11763198B2 (en) * 2019-10-08 2023-09-19 Nec Corporation Sensor contribution ranking
US11651249B2 (en) 2019-10-22 2023-05-16 EMC IP Holding Company LLC Determining similarity between time series using machine learning techniques
US11175838B2 (en) 2019-10-22 2021-11-16 EMC IP Holding Company LLC Automatic identification of resources in contention in storage systems using machine learning techniques
US11175829B2 (en) 2019-10-22 2021-11-16 EMC IP Holding Company LLC Automatic identification of workloads contributing to behavioral changes in storage systems using machine learning techniques
US11062173B2 (en) 2019-10-22 2021-07-13 EMC IP Holding Company LLC Automatic identification of workloads contributing to system performance degradation using machine learning techniques
KR102179290B1 (ko) * 2019-11-07 2020-11-18 연세대학교 산학협력단 워크로드 데이터에 대한 이상징후 판별 방법
US11522766B2 (en) 2020-02-12 2022-12-06 EXFO Solutions SAS Method and system for determining root-cause diagnosis of events occurring during the operation of a communication network
CN116113942A (zh) * 2020-07-23 2023-05-12 Pdf决策公司 依据工艺踪迹预测装备故障模式
KR102274389B1 (ko) * 2020-09-18 2021-07-06 (주)위세아이텍 센서 데이터를 이용한 이상패턴 탐지 모델 구축 방법 및 이를 이용한 이상 탐지 장치 및 방법
KR20220058701A (ko) 2020-10-29 2022-05-10 연세대학교 산학협력단 시계열 데이터 예측을 위한 인공지능 모델 생성 장치 및 이를 활용한 시계열 데이터 예측 방법
KR102457031B1 (ko) * 2020-11-24 2022-10-21 스트라토 주식회사 데이터 모니터링 시스템 및 그 제어방법
US12052134B2 (en) 2021-02-02 2024-07-30 Exfo Inc. Identification of clusters of elements causing network performance degradation or outage
KR102354863B1 (ko) * 2021-10-01 2022-01-24 주식회사 제일엔지니어링종합건축사사무소 사물인터넷 기반의 교통안전시설 운영관리 장치 및 방법
US20230245146A1 (en) * 2022-01-28 2023-08-03 Walmart Apollo, Llc Methods and apparatus for automatic item demand and substitution prediction using machine learning processes
KR102414080B1 (ko) * 2022-05-12 2022-06-28 주식회사 어드밴스솔루션 추세 분석을 통한 케이블 고장 예측 시스템 및 방법
CN116628633A (zh) * 2023-07-26 2023-08-22 青岛中微创芯电子有限公司 一种igbt实时监测与使用寿命预测评估方法
KR102654695B1 (ko) * 2023-10-12 2024-04-04 (주)엘 테크 시간 적응적 앙상블 알고리즘을 이용한 센서 이상치 탐지 시스템 및 방법
KR102662347B1 (ko) * 2023-12-13 2024-04-30 주식회사 데일리펀딩 고도화된 선정산 이상 금융 거래 탐지 시스템 및 방법

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS51259B1 (ko) * 1969-02-12 1976-01-06
US6138112A (en) * 1998-05-14 2000-10-24 Microsoft Corporation Test generator for database management systems
US6240523B1 (en) * 1999-07-30 2001-05-29 Hewlett Packard Company Method and apparatus for automatically determining the phase relationship between two clocks generated from the same source
JP3996428B2 (ja) * 2001-12-25 2007-10-24 松下電器産業株式会社 異常検知装置及び異常検知システム
US6986076B1 (en) * 2002-05-28 2006-01-10 Unisys Corporation Proactive method for ensuring availability in a clustered system
US7206836B2 (en) * 2002-09-23 2007-04-17 Sun Microsystems, Inc. System and method for reforming a distributed data system cluster after temporary node failures or restarts
US7430598B2 (en) * 2003-11-25 2008-09-30 Microsoft Corporation Systems and methods for health monitor alert management for networked systems
US7477960B2 (en) * 2005-02-16 2009-01-13 Tokyo Electron Limited Fault detection and classification (FDC) using a run-to-run controller
JP4557007B2 (ja) * 2005-04-20 2010-10-06 三菱電機株式会社 データ収集装置及びゲートウェイ装置
US7480816B1 (en) * 2005-08-04 2009-01-20 Sun Microsystems, Inc. Failure chain detection and recovery in a group of cooperating systems
US7467067B2 (en) * 2006-09-27 2008-12-16 Integrien Corporation Self-learning integrity management system and related methods
KR100840129B1 (ko) * 2006-11-16 2008-06-20 삼성에스디에스 주식회사 통계적인 분석을 이용한 성능장애 관리시스템 및 그 방법
US7886182B1 (en) * 2007-04-19 2011-02-08 Network Appliances, Inc. Enhanced coordinated cluster recovery
KR101460327B1 (ko) * 2008-06-25 2014-11-10 주식회사 케이티 비정상 트래픽 검출 장치 및 그 방법
KR20100083646A (ko) * 2009-01-14 2010-07-22 포인트아이 주식회사 예측 기반의 위치 획득 방법, 그 장치 및 경보 서비스 시스템
KR101088651B1 (ko) * 2009-09-30 2011-12-01 성균관대학교산학협력단 상황 예측 장치 및 방법
US8868987B2 (en) * 2010-02-05 2014-10-21 Tripwire, Inc. Systems and methods for visual correlation of log events, configuration changes and conditions producing alerts in a virtual infrastructure
KR20110116840A (ko) * 2010-04-20 2011-10-26 목포대학교산학협력단 사례기반추론을 이용한 상황인식기반 적조 예측 시스템
KR20130123007A (ko) 2012-05-02 2013-11-12 (주)네오위즈게임즈 장애를 관리하는 방법 및 서버
JP2014006605A (ja) * 2012-06-22 2014-01-16 Shimizu Corp 警戒システム
CN103617110B (zh) * 2013-11-11 2016-09-07 国家电网公司 服务器设备状态检修系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102612543B1 (ko) 2023-03-17 2023-12-08 동의대학교 산학협력단 딥러닝 기반 시계열 이상치 탐지 방법 및 그 시스템

Also Published As

Publication number Publication date
KR20160042616A (ko) 2016-04-20
US9952921B2 (en) 2018-04-24
US20160103724A1 (en) 2016-04-14
CN105787248A (zh) 2016-07-20
CN105787248B (zh) 2018-08-31
WO2016056708A1 (ko) 2016-04-14

Similar Documents

Publication Publication Date Title
KR102195070B1 (ko) 시계열 데이터의 분석을 통한 이상 감지 및 예측 시스템 및 방법
EP3314762B1 (en) Adaptive filtering based network anomaly detection
JP5767617B2 (ja) ネットワーク障害検出システムおよびネットワーク障害検出装置
EP3671466B1 (en) Unsupervised anomaly detection for arbitrary time series
US9369364B2 (en) System for analysing network traffic and a method thereof
US7636051B2 (en) Status monitor apparatus
KR20190075861A (ko) DoS/DDoS 공격의 탐지 방법, 장치, 서버 및 저장 매체
KR102440335B1 (ko) 이상 감지 관리 방법 및 그 장치
US20130318615A1 (en) Predicting attacks based on probabilistic game-theory
JP2017528996A (ja) DDoS攻撃検出のための方法および装置
CN101668012B (zh) 安全事件检测方法及装置
US20110161048A1 (en) Method to Optimize Prediction of Threshold Violations Using Baselines
KR101695278B1 (ko) 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
CN105808368B (zh) 一种基于随机概率分布的信息安全异常检测的方法及系统
US20190164067A1 (en) Method and device for monitoring a process of generating metric data for predicting anomalies
CN106534212A (zh) 基于用户行为和数据状态的自适应安全防护方法及系统
CN105656693A (zh) 一种基于回归的信息安全异常检测的方法及系统
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
JP5711675B2 (ja) ネットワーク異常検出装置およびネットワーク異常検出方法
JP2010141655A (ja) ネットワーク監視装置
JP5310094B2 (ja) 異常検出システム、異常検出方法および異常検出用プログラム
KR20120019010A (ko) CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
EP2629453A1 (en) Method, apparatus and system for setting a size of an event correlation time window
CN111404740A (zh) 故障分析方法、装置、电子设备及计算机可读存储介质
JP7468658B2 (ja) セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant