WO2009090939A1 - ネットワーク異常検出装置及び方法 - Google Patents

ネットワーク異常検出装置及び方法 Download PDF

Info

Publication number
WO2009090939A1
WO2009090939A1 PCT/JP2009/050318 JP2009050318W WO2009090939A1 WO 2009090939 A1 WO2009090939 A1 WO 2009090939A1 JP 2009050318 W JP2009050318 W JP 2009050318W WO 2009090939 A1 WO2009090939 A1 WO 2009090939A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
model
abnormality
distribution
probability
Prior art date
Application number
PCT/JP2009/050318
Other languages
English (en)
French (fr)
Inventor
Shunsuke Hirose
Kenji Yamanishi
Original Assignee
Nec Corporation
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nec Corporation filed Critical Nec Corporation
Priority to US12/812,471 priority Critical patent/US20110107155A1/en
Priority to JP2009550016A priority patent/JPWO2009090939A1/ja
Publication of WO2009090939A1 publication Critical patent/WO2009090939A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning

Definitions

  • the following network properties are points to consider when detecting network anomalies.
  • the first property is that there is interaction for each vertex on the network. It is necessary to consider the overall network structure (graph structure) such as how the network is under this interaction and how it works.
  • the overall structure here is, for example, a structure indicating that all vertices are working uniformly, and that there are a small number of important vertices operating in a focused manner.
  • Patent Document 1 As a network abnormality detection method considering the above properties, there is a method described in Japanese Patent Laid-Open No. 2005-216066 (hereinafter referred to as Patent Document 1).
  • Patent Document 1 a normal state of a vector is learned by using a maximum eigenvector of a matrix having a network feature amount as a component, and a case where the vector is significantly different from a normal vector is detected as an abnormality.
  • the characteristic structures of networks include those described in Non-Patent Documents 1 to 3 below.
  • the traffic on the network there may be a hierarchical structure where there are hubs that play an important role in a certain area, and there are hubs that combine them when viewed in a wider area.
  • a network having such a hierarchical structure when an abnormality such as the occurrence of a worm occurs, the entire traffic becomes the same traffic, or only a part thereof becomes strange. In order to detect such an abnormality, it is necessary to consider the hierarchical structure of the network.
  • An object of the present invention is to provide a network anomaly detection apparatus and method capable of solving the above-described problems and detecting an anomaly in consideration of the overall network structure.
  • the network anomaly detection apparatus receives data representing a network state as a hierarchical matrix variable and inputs a data distribution that learns the network state as a probability distribution of the matrix variable.
  • An abnormality that detects, as an abnormality in the network, a state in which the probability distribution has transitioned from a distribution indicating a normal state of the network to a distribution indicating another state based on a learning result by the learning unit and the data distribution learning unit And a detection unit.
  • FIG. 1 is a block diagram showing a configuration of a network abnormality detection apparatus according to an embodiment of the present invention.
  • FIG. 2 is a flowchart for explaining an abnormality detection process performed in the network abnormality detection apparatus shown in FIG.
  • the structure candidate enumeration means 2 enumerates structures in the vicinity of the hierarchical structure selected as the optimum structure at the present time. However, when it is not necessary to save the calculation amount, the structure candidate enumeration unit 2 may enumerate all possible structures.
  • the structure is, for example, a direct product structure of matrices.
  • the Cartesian product structure of a matrix is generally
  • Each element ( ⁇ ) corresponds to a hierarchical structure.
  • the possible structure is a hierarchical structure that can be created by dividing this ⁇ .
  • the possible hierarchical structure is determined by how many ⁇ are multiplied by ⁇ and how many dimensions of each ⁇ are. For example,
  • the structure can be expressed as follows.
  • the data distribution model may be a probability distribution of matrix variables having a matrix type parameter having a hierarchical structure.
  • the data distribution model is a normal distribution of matrix variables whose parameter matrix has a direct product structure.
  • the model generation unit 31 acquires information on the parameters and structure of the previous model from the probability model storage unit 32, receives information on the structure of the newly generated model from the neighboring structure generation unit 22, and stores a plurality of models.
  • the parameter and structure information is supplied to each model parameter update unit 41.
  • ⁇ ′1 and ⁇ ′2 that minimize the value are obtained and set as the parameter values of the new model.
  • the parameters may be determined so that the log likelihood within the time width L given by the following equation is maximized.
  • a method for determining parameters as in the above example is called a learning method.
  • the updated parameter and structure information is stored in the probability model storage unit 42.
  • the information stored in the probability model storage unit 42 is sent to the probability model storage unit 32 every time the information is updated.
  • the product structure of the kth model at time j is
  • Is detected as a change in the hierarchical structure As a change in structure, a change is detected that the hierarchical structure itself has not changed, but the structure in any hierarchy has changed.
  • a method for detecting a structural change in any one of these hierarchies a method of calculating the amount of change from one hour before the parameter matrix of each layer and detecting a sudden change in the amount may be used. I can do it.

Abstract

 ネットワーク異常検出装置は、ネットワークの状態を階層構造の行列変数で表したデータを入力とし、上記ネットワークの状態を上記行列変数の確率分布として学習するデータ分布学習部(2、3、4、5)と、上記データ分布学習部による学習の結果に基づいて、上記確率分布が上記ネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態を上記ネットワークの異常として検出する異常検出部(6、7)と、を有する。

Description

ネットワーク異常検出装置及び方法
 本発明は、ネットワークの異常を検出する技術に関する。
 ネットワークの異常を検出する上で考慮すべき点として、以下のようなネットワークの性質がある。
 第一の性質は、ネットワーク上では頂点毎に相互作用がある点である。この相互作用の下でネットワークがどのような状態にあるか、もしくは、どのように働いているか、といった、ネットワークの全体的な構造(グラフ構造)を考慮する必要がある。ここでいう全体的な構造とは、例えば、どの頂点も均一に働いていること、重点的に稼動している重要な頂点が少数存在することなどを示す構造である。
 この第一の性質があるため、個別の要素を調べるだけでは、ネットワークの異常を検出することは難しい。例えば、ネットワークの或る部分のトラフィック量が多くなるだけでは、ネットワークの異常とは言えないが、他のある部分のトラフィック量と同時に多くなる場合は、ネットワークの異常であると言える。ネットワークの全体的な構造を考慮することで、例えば、ネットワークが通常の状態にあり、トラフィック量が均一であったものが、全体的にウィルスに感染してあるサーバを攻撃し始めたために、トラフィック量が一極集中するようになる、といったネットワークの異常を検出することができる。
 第二の性質は、ネットワーク上のトラフィック量は時刻と共に変化し、どの頂点とどの頂点が繋がっているかというネットワークの構造も時間と共に変化する点である。この第二の性質があるため、ネットワークの異常を検出するためには、ネットワークの通常の状態がどういう状態であるかを学習する必要がある。例えば、深夜の時間帯においては、トラフィック量が異常に多くなったとしても、昼の時間帯においては、トラフィック量は通常の量となる、といったような状況が、第二の性質に対応する。
 上記の性質を考慮したネットワークの異常検出方法として、特開2005-216066号公報(以下、特許文献1と記す。)に記載の方法がある。特許文献1に記載の方法では、ネットワークの特徴量を成分に持つ行列の最大固有ベクトルを入力として、ベクトルの通常の状態を学習し、通常のベクトルと大きく異なる場合を異常として検出する。
 ネットワークの持つ特徴的な構造としては、以下の非特許文献1乃至3に記載のものがある。
 1.A. L. Barabasi, and R. Albert, ‘Emergence of Scaling in Random Networks ’, Science vol. 286, pp509-512 (1999).)
 2.(C. Song, S. Havlin and H. Makse, ‘Self-similarity of complex networks’, Nature vol. 433, pp.392-395 (2005).)
 3.(Jure Leskovec and Christos Faloutsos, ‘Scalable Modeling of Real Graphs using Kronecker Multiplication’, ICML2007
 非特許文献1には、ネットワークの構造について、多くの現実のネットワークがスケールフリー性を持つことが示されている。ここで、スケールフリー性とは、ネットワークの多くの頂点が少ないリンク数を持つ一方、膨大なリンクを持つ頂点も少数ながら存在するという性質のことをいう。Webページを例に挙げると、人気のページは、膨大な数のページから参照されるが、他の大多数のページは、少数の参照元しか持たない。このような性質をスケールフリー性と呼ぶ。
 非特許文献2には、スケールフリー性を持つネットワークが自己相似性を持つことが報告されている。自己相似性とは、全体を相似的に縮小した際に、元と同じ形が現れるという性質である。具体的には、遠くからぼんやりと眺めた場合も、近くに寄って細かい構造を見た場合も、同じ形に見えるという性質を、自己相似性という。
 スケールフリー性を持つネットワークを、行列を用いて表現する方法として、非特許文献3には、行列を行列の直積として表すという方法が示されている。n×m行列Uとp×q行列Vとの直積は、以下のpn×qm行列で定義される。
Figure JPOXMLDOC01-appb-M000001
  特開2005-141601号公報(以下、特許文献2と記す。)には、ネットワークの構造についての技術ではないが、複数の構造があった場合に、その中から最適な構造を選択する技術が記載されている。この技術によれば、予め用意された構造の中から情報量規準を最小にするものを最適な構造として逐次的に選択することで、構造の時間的な変化に対応する。
 ネットワーク上のトラフィックにおいて、ある区域において重要な働きをするハブがあり、更に広い区域で見ると、それらをまとめるハブがある、というような階層構造が、各所で現れる場合がある。このような階層構造を有するネットワークにおいて、ワームの発生等の異常が発生した場合、全体が同じようなトラフィックになったり、一部だけがおかしくなったりする。このような異常を検出するためには、ネットワークの階層構造を考慮する必要がある。
 特許文献1に記載の手法では、入力を固有ベクトルに変換するため、ネットワークの構造に関する情報が出力に含まれない。このため、どのような変化が起こったために(全体的な構造がどのように変化したために)、ネットワークの異常と判断されたのかを知ることはできない。
 非特許文献1、2には、現実のネットワークの特徴的な構造としてスケールフリー構造や自己相似構造があることが開示されている。しかし、自己相似性やスケールフリー性といった階層構造の変化をどのようにして検出するかについては、これら非特許文献1、2には示されていない。
 特許文献2には、入力データの確率分布の構造の変化を捉える異常検出手法が記載されている。しかし、特許文献2に記載の手法は、候補となる構造を全て用意し、その中から最適な構造を選択するという手法である。階層構造を考慮したネットワークの異常検出に関する技術思想については、特許文献2には何も開示されていない。
 本発明の目的は、上記の課題を解決し、ネットワークの全体的な構造を考慮して異常の検出を行うことのできる、ネットワーク異常検出装置および方法を提供することにある。
 上記の目的を達成するため、本発明のネットワーク異常検出装置は、ネットワークの状態を階層構造の行列変数で表したデータを入力とし、前記ネットワークの状態を前記行列変数の確率分布として学習するデータ分布学習部と、前記データ分布学習部による学習の結果に基づいて、前記確率分布が前記ネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態を前記ネットワークの異常として検出する異常検出部と、を有する。
 また、本発明のネットワーク異常検出方法は、ネットワークの状態を階層構造の行列変数で表したデータを入力するコンピュータシステムにおいて行われるネットワーク異常検出方法であって、データ分布学習部が、入力される前記データに基づいて、前記ネットワークの状態を前記行列変数の確率分布として学習し、異常検出部が、前記データ分布学習部による学習の結果に基づいて、前記確率分布が前記ネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態を前記ネットワークの異常として検出する。
図1は、本発明の一実施形態であるネットワーク異常検出装置の構成を示すブロック図である。 図2は、図1に示すネットワーク異常検出装置において行われる異常検出処理を説明するためのフローチャートである。
符号の説明
1 データ入力装置
2 構造候補列挙手段
3 モデル生成手段
4 分布学習手段
5 モデル選択手段
6 異常スコア計算手段
7 構造変化検出手段
8 出力装置
 以下、本発明における一実施形態を、図面を参照して説明する。
 次に、本発明の実施形態について図面を参照して説明する。
 図1は、本発明の一実施形態であるネットワーク異常検出装置の構成を示すブロック図である。図1を参照すると、ネットワーク異常検出装置は、データ入力装置1、構造候補列挙手段2、モデル生成手段3、分布学習手段4、モデル選択手段5、異常度スコア計算手段6、構造変化検出手段7および出力装置8を有する。
 データ入力装置1は、ネットワークの状態を階層構造のパラメータで表したデータ、より具体的には、ネットワークの特徴量を成分に持つテンソル型データを入力するためのものである。入力データは、時刻と共に逐次的に入力される、もしくは、そのデータが発生した時刻に関する情報が付与されている。ここで、ネットワークの特徴量とは、例えば、ノード間のトラフィック量(もしくはその関数)や、ノード間の接続の有無を0、1の2値の情報で表したものである。入力データは、一般の階数のテンソル型であってもよく、また、行列型であってもよい。
 行列型データは、例えばD(i,j)のような、データを指定する自由度が二つ(iとj)あるデータを表す。例えば、Webページ間のリンクを表すデータD(i,j)の場合、D(i,j)はページ間のリンクの有無を表し、i、jはそれぞれ一つのWebページを表す。ページiからページjへリンクが張られている場合は、D(i,j)=1となる。ページiからページjへリンクが張られていない場合は、D(i,j)=0となる。
 テンソル型データは、E(i,j,k)やF(i,j,k,l)のように、データを指定する自由度が二つ以上あるデータである。E(i,j,k)のように自由度が3つあるものは、三階のテンソルと言う。F(i,j,k,l)のように自由度が4つあるものは、四階のテンソルと言う。行列型は、二階のテンソルと言うことができる。
 例えば、ネットワークの通信の種類と容量を記録したデータE(i,j,k)において、i,jはそれぞれ一つのサーバを表し、kは通信の種類(ftp,smtp,ssh…)を表す。E(i,j,k)はネットワーク上の通信量を表す。この通信量は、サーバiからサーバjへの通信における、通信の種類がkであったものがどれくらいの量あったかを示す。
 以下では、行列型の入力データを例にとって、本実施形態のネットワーク異常検出装置の各部の動作を説明する。
 構造候補列挙手段2は、現時点で最適な構造として選ばれている階層構造の近傍の構造を列挙する。ただし、計算量を節約しなくても良い場合は、構造候補列挙手段2は、可能な全ての構造を列挙しても良い。
 構造候補列挙手段2の主要部は、最適構造記憶部21および近傍構造生成部22からなる。最適構造記憶部21には、現時点で最適な構造として選ばれている階層構造の情報が格納される。近傍構造生成部22は、最適構造記憶部21に記憶されている最適な構造をもとに、最適な構造の近傍の構造を列挙し、その情報をモデル生成手段3に供給する。
 なお、最適な構造が決まっていない場合、すなわち初めてデータが入力された場合は、近傍構造生成部22は、可能な構造のうちの一つをランダムに選び、それを最適な構造とする。ここで、階層構造とは、一般のグラフ的な階層構造を指すものであり、例えば、ツリー構造、自己相似構造、スケールフリー構造などを含む。
 構造は、例えば行列の直積構造である。行列の直積構造は、一般に、
Figure JPOXMLDOC01-appb-M000002
 で示されるものであり、各要素(σ)が階層構造に対応する。可能な構造とは、このΣを分割してつくることが可能な階層構造である。可能な階層構造は、Σを幾つのσの掛け算で表すか、および、各σの次元が幾つであるか、といったことにより決まる。例えば、
Figure JPOXMLDOC01-appb-M000003
 で表される構造の場合、Σは30次元(入力データの次元に対応する)となる。入力データの次元が分かれば、可能な構造を列挙することができる。ネットワーク異常検出装置の起動時には、入力データの次元に関する情報がデータ入力装置1から近傍構造生成部22に供給される。
 以下では、データ入力装置1からの入力データ(ネットワークの特徴量)が直積構造を持つ場合を例にとって説明する。
 入力データをTとするとき、Tが直積構造を持つとは、以下の式のように、Tが二つ以上の行列または二つ以上の一般の階数のテンソルの直積で表されることを指す。
Figure JPOXMLDOC01-appb-M000004
  この式によれば、Uという階層の値とVという階層の値の積で入力データTが表される、という階層構造をTが持っている。非特許文献3に記載されているとおり、直積構造は、スケールフリー構造と対応しており、現実のネットワークが持つ構造の一つである。
 以下、近傍の構造の列挙の方法について説明する。
 K番目のモデルのパラメータ行列MKが、
Figure JPOXMLDOC01-appb-M000005
 で表される直積構造の場合は、階層構造は、幾つの行列の直積で書かれているかを示す(dk)と、それぞれの階層の行列μ1~μdkの各次元とで表される。各階層の行列の次元を並べた
Figure JPOXMLDOC01-appb-M000006
 といったもので構造を表すことができる。
 最適な構造の近傍の構造とは、最適な階層構造と類似する構造のことである。直積構造を考える場合、最適な構造と類似する直積構造を持つ構造が近傍の構造とされる。例えば、最適な構造が(s_1,s_2,…,s_d)のように表されるとき、その近傍の構造とは、以下のような構造である。
(1)隣接する二つの階層の次元を交換した構造
Figure JPOXMLDOC01-appb-M000007
 (2)隣接する二つの階層を一つにまとめた構造
Figure JPOXMLDOC01-appb-M000008
 (3)一つの階層を二つに分割した構造
Figure JPOXMLDOC01-appb-M000009
  モデル生成手段3は、入力データの確率分布のモデルを複数生成する。入力データをXと表す。データの分布のモデルとして、直積構造を持つ行列型パラメータを持つ行列変数の確率分布を用いる。分布として、例えば、行列変数の正規分布を用いることができる。
Figure JPOXMLDOC01-appb-M000010
  データの分布のモデルは、階層構造を持つ行列型パラメータを持つ行列変数の確率分布であれば良い。ここでは、データ分布モデルを、パラメータ行列が直積構造を持った行列変数の正規分布とする。
 生成された複数のモデルのうち、k番目のモデルは、
Figure JPOXMLDOC01-appb-M000011
 で与えられる。
 各モデルのパラメータに、構造候補列挙手段2にて列挙された構造と対応する直積構造を持たせる。k番目のモデルの階層の深さをdkとする。この深さdkは、幾つの直積でパラメータを表すかを示す。
Figure JPOXMLDOC01-appb-M000012
  モデル生成手段3は、モデル生成部31および確率モデル記憶部32からなる。分布学習手段4は、複数のモデルパラメータ更新部41および複数の確率モデル記憶部42からなる。
 モデル生成部31は、一段階前のモデルのパラメータと構造の情報を確率モデル記憶部32から取得し、新たに生成されたモデルの構造の情報を近傍構造生成部22から受け取り、複数のモデルのパラメータと構造の情報を各モデルパラメータ更新部41に供給する。
 近傍構造生成部22から得られた構造が、確率モデル記憶部32から送られた一段階前の時刻における複数のモデルの中に含まれる場合は、一段階前の時刻のパラメータをそのまま引き継ぐ。近傍構造生成部22から得られた構造が、一段階前の時刻における複数のモデルの中に含まれない場合、すなわち、最適な構造の変化によって構造候補列挙手段2で新たに生成された構造に対応したモデルである場合は、最適な構造に対応するモデルのパラメータに近くなるようにパラメータを決める。例えば、最適なモデルのパラメータがσであって、新たに生成した構造に対応するモデルのパラメータがσ’1×σ’2という形である場合、フロベニウスノルム
Figure JPOXMLDOC01-appb-M000013
 を最小にするσ’1とσ’2を求め、それを新たなモデルのパラメータの値とする。
 モデル学習手段4は、モデル生成手段3で用意された複数のモデルのパラメータを更新する。モデルパラメータ更新部41は、一段階前の時刻におけるモデルの情報をモデル生成部31から受け取り、入力データを入力装置1から受け取り、モデルのパラメータの更新を行う。時刻tでのパラメータの算出方法としては、時刻jの入力データをXjとして、例えば以下の式で与えられる対数尤度が最大になるようにパラメータを決める、という方法がある。
Figure JPOXMLDOC01-appb-M000014
  また、以下の式で与えられる時間幅Lの中での対数尤度が最大になるようにパラメータを決めてもよい。
Figure JPOXMLDOC01-appb-M000015
  また、過去のものの重みを小さくした以下の対数尤度が最大になるようにパラメータを決めてもよい。ただし、0<r<1である。このパラメータの決定方法は、一般に、忘却型学習と呼ばれる。
Figure JPOXMLDOC01-appb-M000016
  上記の例のような、パラメータを決める方式を、学習方式と呼ぶ。
 更新されたパラメータと構造の情報は確率モデル記憶部42に格納される。確率モデル記憶部42に格納されている情報は、情報が更新される度に、確率モデル記憶部32に送られる。
 モデル選択手段5は、モデル学習手段4にて学習された各モデルについて情報量規準を計算し、その値が最小になるモデルを最適なモデルとして選択する。モデル選択手段5は、最適モデル選択部51および最適モデル記憶部52からなる。最適モデル選択部51は、各確率モデル記憶部42から供給された複数のモデルの情報から、最適なモデルを一つ選択する。最適なモデルの選択方法について、以下に説明する。
 時刻jでのk番目のモデルのパラメータをまとめて
Figure JPOXMLDOC01-appb-M000017
 と表し、時刻jでのk番目のモデルの直積構造を
Figure JPOXMLDOC01-appb-M000018
 と表す。
 時刻jでの最適なモデルを
Figure JPOXMLDOC01-appb-M000019
 と表す。
 情報量規準を用いて最適なモデルを選択する方法の例として、以下のものが挙げられる。
 学習方式として忘却型学習を用いている場合に、以下の予測的確率的コンプレキシティとして知られる量(Universal coding, information, prediction, and estimation, IEEE Transactions on Information Theory, 30, pp:629-636, 1984)をモデル選択の為の情報量規準として用い、この値を最小にするモデルkを最適なモデルとして選択するという方法を用いることが出来る。
Figure JPOXMLDOC01-appb-M000020
  学習方式に依らず、ある範囲のモデルの推移を一括して求める場合には、時刻j-1までのモデルの系列
Figure JPOXMLDOC01-appb-M000021
 とモデルの遷移確率
Figure JPOXMLDOC01-appb-M000022
 とを用いて表される、以下の一括型動的モデル選択基準(特許文献2参照)
Figure JPOXMLDOC01-appb-M000023
 を最小にするように最適なモデルの系列
Figure JPOXMLDOC01-appb-M000024
 を決めるという方法を用いることが出来る。
 また、忘却型でない学習方式を用いる場合や、計算量を小さくしたい場合には、ある時間幅Wの中で、パラメータの数とデータの数とデータの尤度等を引数とする関数の値を計算して、それを最小にするモデルを最適なモデルとして選択するという方法を用いることができる。
 パラメータの数とデータの数とデータの尤度等を引数とする関数としては、MDL, AIC, BIC等の情報量規準を用いることができる。例えば、情報量規準としてMDLを用いる場合には、以下の量を最小にするモデルを最適なモデルとして選択すればよい。
Figure JPOXMLDOC01-appb-M000025
  異常度スコア計算手段6は、モデル選択手段5にて選択された最適なモデルを用いて、データの異常度スコアを算出する。異常度スコアは、入力データが通常のデータとどれだけ異なっているかを表す量で、値が大きい程、通常は、現れない異常なデータであることに対応する。異常度スコアが突然高くなったところを調べることで、突発的な異常を検出することができる。
 異常度スコアとして、例えば以下の量を用いることが出来る。
Figure JPOXMLDOC01-appb-M000026
  例えば、入力をネットワークのノード間の通信量とする場合、異常度スコアが高いことは、通常同時に通信量が多くならない二箇所で同時通信量が多くなる場合や、通常の通信量よりも全体的に通信量が多くなる場合など、通常の状態とは異なった状態にネットワークが置かれていることに対応する。したがって、この例では、異常度スコアを監視することで、ネットワーク上の通信の状態の異常を検出することが出来る。計算された異常度スコアは、出力装置8に送られる。
 スコアに対して予め閾値を設定できる場合は、スコアがその値を超えたか否か(異常か否か)の情報を出力装置8に送っても良い。
 構造変化検出手段7では、データの背後にある階層構造の変化を検出する。最適なモデルのパラメータが持つ階層構造
Figure JPOXMLDOC01-appb-M000027
 が変化した場合、これを階層構造の変化として検出する。構造の変化として、階層構造そのものは変化していないが、何れかの階層の中の構造が変化している、という変化も検出する。このような何れかの階層の中の構造変化の検出方法として、各階層のパラメータ行列の一時刻前からの変化量を計算し、その量の急激な変化を検出する、という方法を用いることが出来る。
 パラメータ行列の一時刻前からの変化量として、以下のような量を用いることが出来る。
Figure JPOXMLDOC01-appb-M000028
  例えば、入力がネットワーク上の通信量である場合に、構造の変化が起こるということは、ある区域において重要な働きをするハブがあり、更に、広い区域で見た場合に、それらをまとめるハブがある、といった、似たような構造を持つネットワークにおいて、ワームの発生等の異常が発生して、全体が同じようなトラフィックになったり、一部だけがおかしくなったりする、といった一時的ではない通信の全体的な異常が発生していることに対応する。したがって、この例では、構造の変化を監視することで、一時的ではない全体的な通信の構造の異常を検出することが出来る。
 上記の二つの変化が検出されたか否かを出力装置8に送る。
 その他、最適な構造に関する情報なども出力装置8に送っても良い。
 出力装置8は、異常度スコア計算手段6と構造変化検出手段7で得られた結果を受け取り、それを出力または表示する。
 図2は、図1に示すネットワーク異常検出装置において行われる異常検出処理を説明するためのフローチャートである。
 図2を参照すると、異常検出処理は、ネットワークの状態を階層構造の行列変数で表したデータを入力とし、該入力データの分布を行列変数の確率分布として学習するステップS10と、その確率分布が通常の状態から他の状態に遷移した場合にネットワークの異常と判定するステップS20とを含む。
 ステップS10の処理では、まず、近傍構造生成部22が、最適構造記憶部21に最適な構造の情報が格納されているか否かを確認する(ステップS11)。最適構造記憶部21に最適な構造の情報が格納されていない場合(起動直後の状態)、近傍構造生成部22は、入力装置1から予め与えられた入力データの次元に関する情報に基づいて、候補として可能な構造を列挙し、その中からランダムに選択した構造を最適な構造として用いる(ステップS12)。
 ステップS12の後、または、最適構造記憶部21に最適な構造の情報が格納されると、近傍構造生成部22が、最適な構造に類似の構造(近傍の構造)を列挙する。次に、モデル生成部31が、近傍構造生成部22にて列挙した近傍の構造のそれぞれについて、近傍の構造に対応する直積構造のパラメータよりなるモデルを生成する(ステップS14)。このモデル生成において、モデル生成部31は、生成するモデルのパラメータとして、最適な構造におけるパラメータおよび確率モデル記憶部32に格納されたモデルのパラメータを参照する。モデル生成部31にて生成された各モデルは、各モデルパレメータ更新部41に供給される。
 次に、モデルパレメータ更新部41のそれぞれが、学習方式により、モデル生成部31から供給されたモデルのパラメータを更新する(ステップS15)。各モデルパレメータ更新部41でパラメータの更新がなされたモデルはそれぞれ、対応する確率モデル記憶部42に格納される。確率モデル記憶部42に格納された、パラメータの更新がなされたモデルの情報は、モデル生成主だ3の確率モデル記憶部に供給される。
 次に、最適モデル選択部51が、各確率モデル記憶部42に格納されたモデルについて、情報量規準の値を計算し、この値が最も小さなモデルを最適モデルとする(ステップS16)。最適モデルは、最適モデル記憶部52に格納される。最適モデル記憶部52に格納された最適モデルの情報は、構造候補列挙手段2の最適構造記憶部21に供給される。
 上述のステップS11~S16が、データ入力装置1からデータが供給される度に繰り返し実行される。
 ステップS20では、ステップS11~S16の繰り返しの処理において、ステップS16で得られる最適モデルの分布(行列変数の確率分布)を監視し、その分布が通常の状態から他の状態に遷移した場合にネットワークの異常と判定する。この異常判定の処理は、異常度スコア計算手段6による計算結果に基づく第1の異常判定処理と、構造変化検出手段7による検出結果に基づく第2の異常判定処理とを含む。ステップS20において、第1および第2の異常判定処理のいずれかが一方が行われるようにしてもよい。
 以上説明したネットワーク異常検出装置は、本発明の一例であり、その構成および動作は発明の趣旨を逸脱しない範囲で適宜に変更することができる。例えば、図1に示した構成において、異常度スコア計算手段6および構造変化検出手段7の一方のみを有するように構成してもよい。
 また、ネットワーク異常検出装置は、プログラムより動作するコンピュータシステムにより構成することができる。コンピュータシステムの主要部は、プログラムやデータなどを蓄積する記憶装置、キーボードやマウスなどの入力装置、CRTやLCDなどの表示装置、外部との通信を行うモデムなどの通信装置、プリンタなどの出力装置および入力装置からの入力を受け付けて通信装置、出力装置、表示装置の動作を制御する制御装置から構成される。
 上記のコンピュータシステムにおいて、制御部が、記憶部に格納されたプログラムを実行することで実現される機能ブロックとして、ネットワークの状態を階層構造の行列変数で表したデータを入力とし、上記ネットワークの状態を上記行列変数の確率分布として学習するデータ分布学習部と、該データ分布学習部による学習の結果に基づいて、上記確率分布が上記ネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態を上記ネットワークの異常として検出する異常検出部と、を有していてもよい。
 上記の構成において、上記データ分布学習部が、入力される上記データの階層構造に対応する候補として複数の異なる構造を列挙する構造候補列挙手段と、上記構造候補列挙手段にて列挙された構造のそれぞれについて、当該構造と同じ階層構造の行列変数を持つ確率モデルを生成するモデル生成手段と、上記モデル生成手段で生成した確率モデルのそれぞれについて、該確率モデルの行列変数として与えられているパラメータを、入力される上記データに基づいて更新する分布学習手段と、上記分布学習手段にてパラメータの更新がなされた確率モデルのそれぞれについて、モデル選択の指標である情報量規準の値を計算し、該情報量規準の値が最も小さな確率モデルを最適なモデルとして選択するモデル選択手段と、を有し、上記異常検出部が、上記モデル選択手段にて選択した最適なモデルの行列変数の確率分布に関する学習の結果に基づいて上記ネットワークの異常の判定を行うように構成してもよい。この場合、上記構造候補列挙手段は、上記モデル選択手段にて最適なモデルの選択がなされると、該選択された最適なモデルの階層構造に類似した複数の異なる構造を上記候補として列挙してもよい。
 また、図1に示した構成において、上記のデータ分布学習部は、近傍構造生成部22、モデル生成部31、モデルパラメータ更新部31および最適モデル選択部51に対応する機能ブロックにより構成され、異常検出部は、異常度スコア計算手段6および構造変化検出手段に対応する機能ブロックにより構成される。
 以上説明した本発明によれば、以下のような効果を奏する。
 例えば、ネットワーク上のトラフィックにおいて、ある区域において重要な働きをするハブがあり、更に広い区域で見ると、それらをまとめるハブがある、というような階層構造が、各所で現れる場合がある。このような構造のネットワークにおいて、ワームの発生等の異常が発生した場合、全体が同じようなトラフィックになったり、一部だけがおかしくなったりする。
 本発明では、ネットワークの状態を階層構造(一般のグラフ的な階層構造、例えば、ツリー構造や自己相似構造などを含む)の行列変数で表したデータを入力とし、ネットワークの状態をその行列変数の確率分布として学習し、その学習の結果に基づいて、その確率分布がネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態をネットワークの異常として検出する。これにより、ネットワークの構造の変化を監視することができ、ワームの発生等の異常の発生を検出することができる。このようにネットワークの構造を考慮して異常の検出を行うことで、異常検出の精度を向上させることができる。
 また、ネットワークの状態を表す階層構造を持つ行列をパラメータとして持つ確率分布を学習し、そのパラメータ行列のどの階層が激しく変化するかを検出することができる。したがって、ネットワークの構造の変化を見る際に、部分的な構造の変化についても検出することができる。加えて、どのような構造の変化から異常が発生したのかということも提示することができ、その結果、検出結果の可読性を向上することができる。
 非特許文献1、2で示されているように、現実のネットワークに特徴的な構造としてスケールフリー構造や自己相似構造が存在する。スケールフリー構造は、多数の頂点が繋がっているハブとなる少数の頂点があり、それら少数のハブが繋がっている更に少数のハブがある、という構造になっているので、階層構造の一種であると言える。また、自己相似構造も、どの階層も同じ形をしているという階層構造である。本発明によれば、ネットワークの階層構造を考慮した異常検出を行うようになっているので、現実のネットワークへの適用を容易に行うことができる。
 以上説明した本発明のネットワーク異常検出装置は、要素同士が相関を持つネットワーク全般に適用することができる。
 以上、実施形態を参照して本発明を説明したが、本発明は上述した実施形態に限定されるものではない。本発明の構成および動作については、本発明の趣旨を逸脱しない範囲において、当業者が理解し得る様々な変更を行うことができる。
 この出願は、2008年1月15日に出願された日本出願特願2008-5603を基礎とする優先権を主張し、その開示の全てをここに取り込む。

Claims (11)

  1.  ネットワークの状態を階層構造の行列変数で表したデータを入力とし、前記ネットワークの状態を前記行列変数の確率分布として学習するデータ分布学習部と、
     前記データ分布学習部による学習の結果に基づいて、前記確率分布が前記ネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態を前記ネットワークの異常として検出する異常検出部と、を有する、ネットワーク異常検出装置。
  2.  前記データ分布学習部は、
     入力される前記データの階層構造に対応する候補として複数の異なる構造を列挙する構造候補列挙手段と、
     前記構造候補列挙手段にて列挙された構造のそれぞれについて、当該構造と同じ階層構造の行列変数を持つ確率モデルを生成するモデル生成手段と、
     前記モデル生成手段で生成した確率モデルのそれぞれについて、該確率モデルの行列変数として与えられているパラメータを、入力される前記データに基づいて更新する分布学習手段と、
     前記分布学習手段にてパラメータの更新がなされた確率モデルのそれぞれについて、モデル選択の指標である情報量規準の値を計算し、該情報量規準の値が最も小さな確率モデルを最適なモデルとして選択するモデル選択手段と、を有し、
     前記異常検出部は、前記モデル選択手段にて選択した最適なモデルの行列変数の確率分布に関する学習の結果に基づいて前記ネットワークの異常を検出する、請求の範囲第1項に記載のネットワーク異常検出装置。
  3.  前記構造候補列挙手段は、前記モデル選択手段にて最適なモデルの選択がなされると、該選択された最適なモデルの階層構造に類似した複数の異なる構造を前記候補として列挙する、請求の範囲第2項に記載のネットワーク異常検出装置。
  4.  前記異常検出部は、前記モデル選択手段にて選択された最適なモデルにより与えられる入力データの、前記ネットワークが通常の状態における入力データとの差を示す異常度スコアを計算する異常度スコア計算手段を有する、請求の範囲第2項または第3項に記載のネットワーク異常検出装置。
  5.  前記異常度スコア計算手段は、前記異常度スコアが閾値を越えるか否かを判定し、その判定結果を出力する、請求の範囲第4項に記載のネットワーク異常検出装置。
  6.  前記異常検出部は、前記モデル選択手段にて選択された最適なモデルに基づいて前記ネットワークの階層構造の変化を検出する構造変化検出手段を有する、請求の範囲第2項または第3項に記載のネットワーク異常検出装置。
  7.  ネットワークの状態を階層構造の行列変数で表したデータを入力するコンピュータシステムにおいて行われるネットワーク異常検出方法であって、
     データ分布学習部が、入力される前記データに基づいて、前記ネットワークの状態を前記行列変数の確率分布として学習し、
     異常検出部が、前記データ分布学習部による学習の結果に基づいて、前記確率分布が前記ネットワークの通常の状態を示す分布から他の状態を示す分布に遷移した状態を前記ネットワークの異常として検出する、ネットワーク異常検出方法。
  8.  前記データ分布学習部による学習のステップは、
     入力される前記データの階層構造に対応する候補として複数の異なる構造を列挙する第1のステップと、
     前記第1のステップで列挙された構造のそれぞれについて、当該構造と同じ階層構造の行列変数を持つ確率モデルを生成する第2のステップと、
     前記第2のステップで生成した確率モデルのそれぞれについて、該確率モデルの行列変数として与えられているパラメータを、入力される前記データに基づいて更新する第3のステップと、
     前記第3のステップでパラメータの更新がなされた確率モデルのそれぞれについて、モデル選択の指標である情報量規準の値を計算し、該情報量規準の値が最も小さな確率モデルを最適なモデルとして選択する第4のステップを含み、
     前記異常検出部による異常検出のステップは、前記第4のステップで選択した前記最適なモデルの行列変数の確率分布に関する学習の結果に基づいて前記ネットワークの異常を検出するステップである、請求の範囲第7項に記載のネットワーク異常検出方法。
  9.  前記第1のステップは、前記第4のステップで選択された最適なモデルの階層構造に類似した複数の異なる構造を前記候補として列挙するステップである、請求の範囲第8項に記載のネットワーク異常検出方法。
  10.  前記異常検出部による異常検出のステップは、前記第4のステップで選択された最適なモデルにより与えられる入力データの、前記ネットワークが通常の状態における入力データとの差を示す異常度スコアを計算し、該異常度スコアの計算結果に基づいて前記ネットワークの異常を検出するステップを含む、請求の範囲第8項または第9項に記載のネットワーク異常検出方法。
  11.  前記異常検出部による異常検出のステップは、前記第4のステップで選択された最適なモデルに基づいて前記ネットワークの階層構造の変化を検出し、該構造変化の検出結果に基づいて前記ネットワークの異常を検出するステップを含む、請求の範囲第8項または第9項に記載のネットワーク異常検出方法。
PCT/JP2009/050318 2008-01-15 2009-01-13 ネットワーク異常検出装置及び方法 WO2009090939A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US12/812,471 US20110107155A1 (en) 2008-01-15 2009-01-13 Network fault detection apparatus and method
JP2009550016A JPWO2009090939A1 (ja) 2008-01-15 2009-01-13 ネットワーク異常検出装置及び方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2008-005603 2008-01-15
JP2008005603 2008-01-15

Publications (1)

Publication Number Publication Date
WO2009090939A1 true WO2009090939A1 (ja) 2009-07-23

Family

ID=40885328

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2009/050318 WO2009090939A1 (ja) 2008-01-15 2009-01-13 ネットワーク異常検出装置及び方法

Country Status (3)

Country Link
US (1) US20110107155A1 (ja)
JP (1) JPWO2009090939A1 (ja)
WO (1) WO2009090939A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103716820A (zh) * 2012-09-29 2014-04-09 华为技术有限公司 小区失效检测方法及装置、终端切换控制方法及装置
JP2016189062A (ja) * 2015-03-30 2016-11-04 有限責任監査法人トーマツ 異常検出装置、異常検出方法及びネットワーク異常検出システム
US11411850B2 (en) 2018-03-14 2022-08-09 Nec Corporation Traffic analysis apparatus, method, and program

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9419866B2 (en) * 2012-11-01 2016-08-16 Huawei Technologies Co., Ltd. Method, node, and monitoring center detecting network fault
EP2997756B1 (en) * 2013-05-14 2017-12-06 Nokia Solutions and Networks Oy Method and network device for cell anomaly detection
WO2015091784A1 (en) 2013-12-19 2015-06-25 Bae Systems Plc Data communications performance monitoring
EP2887578A1 (en) * 2013-12-19 2015-06-24 BAE Systems PLC Network fault detection and location
EP3085017A1 (en) 2013-12-19 2016-10-26 BAE Systems PLC Method and apparatus for detecting fault conditions in a network
CN104268071B (zh) * 2014-10-23 2017-02-15 浙江力太科技有限公司 保证oee停机计时准确性方法
EP3018860B1 (en) * 2014-11-06 2017-04-19 Telefonaktiebolaget LM Ericsson (publ) Outage compensation in a cellular network
US9866578B2 (en) * 2014-12-03 2018-01-09 AlphaSix Corp. System and method for network intrusion detection anomaly risk scoring
EP3345342B1 (en) * 2015-12-08 2020-10-07 Siemens Aktiengesellschaft Determining a network topology of a hierarchical power supply network
EP3342099B1 (en) * 2015-12-08 2020-02-05 Siemens Aktiengesellschaft Automatic identification of a network node causing a network outage
CN114254751A (zh) * 2020-09-21 2022-03-29 华为技术有限公司 协同推理方法及通信装置
CN113903170B (zh) * 2021-08-30 2023-07-14 航天科工广信智能技术有限公司 基于结构自适应自演化深度学习的大规模路网交通流预测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0637782A (ja) * 1992-07-20 1994-02-10 Hitachi Cable Ltd ネットワーク装置
JP2005141601A (ja) * 2003-11-10 2005-06-02 Nec Corp モデル選択計算装置,動的モデル選択装置,動的モデル選択方法およびプログラム
JP2005216066A (ja) * 2004-01-30 2005-08-11 Internatl Business Mach Corp <Ibm> 異常検出システム及びその方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
WO2003065244A1 (en) * 2002-01-30 2003-08-07 Board Of Regents, The University Of Texas System Probabilistic boolean networks
US7277400B2 (en) * 2002-03-06 2007-10-02 Lucent Technologies Inc. Method of monitoring state of a telecommunications network comprising a plurality of nodes, and a corresponding telecommunications network
US7489638B2 (en) * 2004-04-08 2009-02-10 Alcatel-Lucent Usa Inc. Scheduling with delayed graphs for communication networks
JP4523444B2 (ja) * 2005-02-10 2010-08-11 富士通株式会社 通信ネットワークにおける障害の原因を特定する障害管理装置および方法
WO2007055222A1 (ja) * 2005-11-08 2007-05-18 Tohoku University ネットワーク異常検知方法およびネットワーク異常検知システム
US20080126859A1 (en) * 2006-08-31 2008-05-29 Guo Shang Q Methods and arrangements for distributed diagnosis in distributed systems using belief propagation
US20090185496A1 (en) * 2008-01-22 2009-07-23 Robert Duncan Doverspike Network performance and reliability evaluation taking into account attributes other than only the capacities of edges

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0637782A (ja) * 1992-07-20 1994-02-10 Hitachi Cable Ltd ネットワーク装置
JP2005141601A (ja) * 2003-11-10 2005-06-02 Nec Corp モデル選択計算装置,動的モデル選択装置,動的モデル選択方法およびプログラム
JP2005216066A (ja) * 2004-01-30 2005-08-11 Internatl Business Mach Corp <Ibm> 異常検出システム及びその方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YAMADA A.: "Characterization and Anomaly Detection for Network Log Using Attribute Oriented Induction", TRANSACTIONS OF INFORMATION PROCESSING SOCIETY OF JAPAN, vol. 47, no. 8, 15 August 2006 (2006-08-15), pages 2488 - 2498 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103716820A (zh) * 2012-09-29 2014-04-09 华为技术有限公司 小区失效检测方法及装置、终端切换控制方法及装置
CN103716820B (zh) * 2012-09-29 2016-12-21 华为技术有限公司 小区失效检测方法及装置、终端切换控制方法及装置
JP2016189062A (ja) * 2015-03-30 2016-11-04 有限責任監査法人トーマツ 異常検出装置、異常検出方法及びネットワーク異常検出システム
US11411850B2 (en) 2018-03-14 2022-08-09 Nec Corporation Traffic analysis apparatus, method, and program

Also Published As

Publication number Publication date
US20110107155A1 (en) 2011-05-05
JPWO2009090939A1 (ja) 2011-05-26

Similar Documents

Publication Publication Date Title
WO2009090939A1 (ja) ネットワーク異常検出装置及び方法
US11720821B2 (en) Automated and customized post-production release review of a model
KR102118670B1 (ko) Ict 인프라 관리 시스템 및 이를 이용한 ict 인프라 관리 방법
Li et al. Data-driven bearing fault identification using improved hidden Markov model and self-organizing map
Di Martino et al. A genetic algorithm to configure support vector machines for predicting fault-prone components
US7769561B2 (en) Robust sensor correlation analysis for machine condition monitoring
US20210266230A1 (en) Classification and Relationship Correlation Learning Engine for the Automated Management of Complex and Distributed Networks
JP7044117B2 (ja) モデル学習装置、モデル学習方法、及びプログラム
Karabağ et al. Integrated optimization of maintenance interventions and spare part selection for a partially observable multi-component system
KR102320706B1 (ko) 설비 모니터링 시스템의 모델 임계값 설정 방법
JP2008536218A (ja) 確率モデル作成用のコンピュータシステム
KR102531645B1 (ko) 모델의 성능 테스트를 위한 컴퓨터 프로그램
US20230102786A1 (en) Ccontinuous knowledge graph generation using causal event graph feedback
US20230122406A1 (en) Causal event prediction for events
JPWO2016147657A1 (ja) 情報処理装置、情報処理方法、及び、プログラム
JP2012164314A (ja) 現象における変数の影響を決定する方法
KR20210108874A (ko) 기계 학습을 사용하여 스토리지 장치 장애를 예측하는 시스템 및 장치
KR100686399B1 (ko) 컴퓨터 상에서 상관관계 기반의 하이브리드 특징 선택을 통한 경량화된 침입탐지방법
WO2020136859A1 (ja) 推定装置、推定方法、及びコンピュータ読み取り可能な記録媒体
Samarakoon et al. System abnormality detection in stock market complex trading systems using machine learning techniques
Tetskyi et al. Architecture and model of neural network based service for choice of the penetration testing tools
Shao et al. Hybrid artificial neural networks modeling for faults identification of a stochastic multivariate process
Zeng et al. Approximate solutions of interactive dynamic influence diagrams using model clustering
KR102320707B1 (ko) 설비 모니터링 시스템의 설비 고장 분류 방법
JP7215574B2 (ja) 監視システム、監視方法及びプログラム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09702793

Country of ref document: EP

Kind code of ref document: A1

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2009550016

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 12812471

Country of ref document: US

122 Ep: pct application non-entry in european phase

Ref document number: 09702793

Country of ref document: EP

Kind code of ref document: A1