WO2013145584A1

WO2013145584A1 - イベント相関検出システム

Info

Publication number: WO2013145584A1
Application number: PCT/JP2013/001481
Authority: WO
Inventors: 敏夫登内
Original assignee: 日本電気株式会社
Priority date: 2012-03-26
Filing date: 2013-03-08
Publication date: 2013-10-03
Also published as: US20150058272A1; JP6060969B2; JPWO2013145584A1

Abstract

　許容可能な程度に誤検出率に抑えるように、最小支持度と最小信頼度を自動設定できるイベント相関検出システム等を提供する。　イベント相関検出システム１０１は、到着率を算出する到着率計算部１０２と、第１確率を算出する発生確率計算部１０３と、最小支持度及び依存ルールに対する最小信頼度を算出する閾値計算部１０４と、複数のイベント型間における相関を検出するイベント相関用ルールエンジン部１６０とを備える。

Description

[規則37.2に基づきISAが決定した発明の名称]　イベント相関検出システム

　本発明は、イベントの相関を検出する情報処理の技術分野に関する。

　図２１は、一般的なイベント相関検出システムの構成を表すブロック図である。図２１を参照すると、このイベント相関検出システムは、イベント発生源１１０と、ウィンドウ分割部１００１と、イベント型ウィンドウ表記憶部１００２と、イベント相関用ルールエンジン部１００３と、Ｇｒａｐｈｉｃａｌ　Ｕｓｅｒ　Ｉｎｔｅｒｆａｃｅ（以降、「ＧＵＩ」と略記する）１１５と、イベント履歴Ｄａｔａｂａｓｅ（以降、Ｄａｔａｂａｓｅを「ＤＢ」と略記する）記憶部１００４と、イベント型ウィンドウ分割部１００５と、イベント型ウィンドウ表記憶部１００６と、規則生成部９３０と、イベント相関規則記憶部１００８等とを有する。

　特許文献１は、図２１が表すイベント相関検出システムにおける規則生成手法の一例を開示する。図２２は、図２１に例示するイベント相関検出システムにおける規則生成手法の一例を表す図である。図２２を参照すると、規則生成手法は、マイニングカーネルインタフェース機能２６と、マイニングカーネル機能１６と、マイニングカーネルの実行結果を記録するマイニング結果記録機能２８等を備える。

　次に、上記のような規則生成手法を備えるイベント相関規則生成システムが行う処理について説明する。

　イベント履歴ＤＢ記憶部１００４は、イベント発生源１１０が発生したイベントに関する履歴を記憶する。図２６は、イベント履歴ＤＢが有する情報を概念的に例示する図である。イベント履歴ＤＢ記憶部１００４は、イベントを識別する識別子（以降、「ＩＤ」と略記する）（Ｅ＃）と、イベントが発生した時刻（図２６に示す項目「Ｔｉｍｅ」）及びイベント型等に関する属性とを関連付けて記憶する。

　イベント型ウィンドウ分割部１００５は、イベント履歴ＤＢ記憶部１００４に記録された時刻を時間間隔Ｗ［ｓｅｃ］刻みに区切る。その結果、イベント型ウィンドウ分割部１００５は、イベントが発生した時刻に応じて、そのイベントをイベントの集合（以降、「イベント型ウィンドウ」と記す）に分類する。図２３は、イベントの発生をイベント型ウィンドウに分類した状態を概念的に例示する図である。図２３における横軸は、時刻の経過を示し、右に行くに従い、時刻が進むことを示す。図２３における三角形は、イベントが発生したことを示す。図２３に示す通り、イベントは、断続的に発生する。イベント型ウィンドウ分割部１００５が分類したイベントは、図２４に例示すような、イベントウィンドウ表に保存される。図２４は、イベントウィンドウ表の具体例を示す図である。イベントウィンドウ表は、ウィンドウのＩＤ（Ｗ＃）に関連する時間に発生した、少なくとも１つ以上のイベントのＩＤ（Ｅ＃）について、Ｗ＃とＥ＃とを関連付けて記憶する。

　図２５は、イベント型ウィンドウ表のイメージの一例を示す図である。そのイベント型ウィンドウ表は、イベント型ウィンドウのＩＤ（Ｗ＃）と、そのイベント型ウィンドウに属するイベントが持つイベント型とを関連付けて記憶する。規則生成部９３０は、運用者がＧＵＩ１１５を介して与えた所定の閾値を参照しつつ、イベント相関規則を生成する。

　イベント発生源１１０は、イベントを発生する。ウィンドウ分割部１００１は、一定時間間隔Ｗ［ｓｅｃ］に発生するイベントを、イベント型ウィンドウ表記憶部１００２に保存する。イベント型ウィンドウ表記憶部１００２は、さらに、Ｗ＃と、Ｗ＃に発生したイベントが持つイベント型とを関連付けて記憶する。

　イベント相関用ルールエンジン部１００３は、イベント相関規則記憶部１００８を参照しつつ、下記のような処理に従い、相関性のあるイベントをＧＵＩ１１５に表示する。例えば、イベント型Ａを持つイベント及びイベント型Ｂを持つイベントが発生する場合に、イベント型Ｃを持つイベントが発生するという規則は、イベント相関規則「Ａ，Ｂ⇒Ｃ」という形で表現される。

　あるイベント型ウィンドウＷ１の期間中に、イベント型Ｃを持つイベントＥ３が発生するとする。イベント型ウィンドウＷ１の期間中において、そのイベントＥ３が発生する直前に、イベント型Ａを持つイベントＥ１、及びイベント型Ｂを持つイベントＥ２が存在していたとする。

　このとき、イベント相関用ルールエンジン部１００３は、イベントＥ１とイベントＥ２が発生すれば、イベントＥ３が発生すると判定する。その結果、イベント相関用ルールエンジン部１００３は、イベントとそのイベントが持つイベント型を関連付け、イベント相関規則「Ａ，Ｂ⇒Ｃ」を作成する。

　マイニングカーネル機能１６は、以下のような処理に従って、イベント相関規則を作成する。まず、マイニングカーネルインタフェース機能２６は、判定の基準となる、所定の最小支持度（もしくは、最低サポート率）と、所定の最小信頼度（もしくは、最低信頼度）とに関する情報を有する。

　マイニングカーネル機能１６は、データアクセスプログラム、あるいは、ユーティリティを使い、過去に起きたイベントに関する履歴を読み取り、読み取った結果に基づき、イベント間の関係を解析する。次に、マイニングカーネル機能１６は、その解析により作成した相関ルールを、マイニング結果記録機能２８に記録する。

　ここで、ｋは、マイニングカーネル機能１６が保持するイベントの組み合わせの種類数を表す。マイニングカーネル機能１６は、ｋ＝２からｋを１ずつ増やしながら、以下の式に従って、支持度（もしくは、サポート率）（以降、「支持度ＳＲ」と表記する）を算出する。

　　　支持度ＳＲ＝ｋ÷Ｎｗ、
　　　（ただし、ｋ種類イベント型を持つイベントの組み合わせが、全イベント型ウィンドウ中、Ｎｗ個のウィンドウに現れるとする）。

　マイニングカーネル機能１６は、すべてのイベント型ウィンドウにおける支持度ＳＲが、所定の最小支持度未満になるまで、ｋを１ずつ増やしながら、上記支持度ＳＲの計算を繰り返し行う。ここで、マイニングカーネル機能１６が、上記のような計算を終了した組み合わせ数を、ｈで表す。マイニングカーネル機能１６は、（ｈ－１）個の時点において、所定の最小支持度以上である支持度ＳＲを有するイベント型を持つイベントの組み合わせを提示する。

　次に、マイニングカーネル機能１６は、上述したように提示したイベント型の組み合わせに存在するイベントを取り出す。次に、マイニングカーネル機能１６は、取り出したイベントが発生することについて相関があるかを、以下の処理に従い算出する。仮に、提示されたイベント型の組み合わせは、｛Ａ，Ｂ，Ｃ，Ｄ｝であるとする。マイニングカーネル機能１６は、その中から、一つのイベント型を取り出し（「Ｄ」で表す）、以下の計算式で定義する信頼度（以降、「信頼度ＴＲ」と表記する）の値に応じて、Ｄの発生がＡ，Ｂ、あるいは、Ｃの発生に相関するか否かを調べる。

　　　信頼度ＴＲ＝「｛Ａ，Ｂ，Ｃ，Ｄ｝が発生するイベント型ウィンドウの数」÷「｛Ａ，Ｂ，Ｃ｝が発生するイベント型ウィンドウの数」
　マイニングカーネル機能は、上記のように計算した信頼度ＴＲが、所定の最小信頼度以上ならば「Ａ，Ｂ，Ｃ⇒Ｄ」をイベント相関規則とする。

特許３１９５２３３号公報

　特許文献１における課題は、所定の最小支持度と、所定の最小信頼度とを、適切に決めることが難しいということである。マイニングカーネル機能１６は、所定の最小支持度の値や所定の最小信頼度の値が不適切であると、本来、相関してないイベント型同士が相関するという、誤った結果を検出してしまう。これまでは、最小支持度や最小信頼度は、許容可能な誤検出率になるように、試行錯誤しながら求められている。

　本発明の主たる目的は、許容可能な程度に誤検出率に抑えるように、最小支持度と最小信頼度を自動設定できるイベント相関検出システム等を提供することである。

　前述の目的を達成するために、本発明に係るイベント相関検出システムは、以下の構成を備えることを特徴とする。

　即ち、本発明に係るイベント相関検出システムは、
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を算出する到着率計算部と、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を算出する発生確率計算部と、
　前記第１確率に基づいて、前記複数のイベント型が同時に発生する第２確率を計算し、前記第２確率に基づいてイベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を算出する閾値計算部と、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出するイベント相関用ルールエンジン部とを
備えることを特徴とする。

　また、本発明の他の見地として、本発明に係るイベント相関検出方法は、
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を計算し、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を計算し、
　前記第１確率に基づいて、前記複数のイベント型が同時に発生する第２確率を計算し、前記第２確率に基づいてイベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を計算し、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出することを特徴とする。

　また、同目的は、上記構成を有するイベント相関検出装置を、並びに対応する方法を、コンピュータを使って実現するコンピュータ・プログラム、及びそのコンピュータ・プログラムが保存されている、コンピュータ読み取り可能な記憶媒体を使っても達成される。

　本発明に係るイベント相関検出システムによれば、許容可能な程度に誤検出率に抑えることができる。

本発明の第１の実施形態に係るイベント相関検出システムが有する構成を示すブロック図である。本発明の第１の実施形態に係るイベント相関検出システムが実行する処理の手順を示すフローチャートを表す。本発明の第２の実施形態に係るイベント相関検出システムが有する構成を表すブロック図である。本発明の第２の実施形態に係るイベント相関検出システムが実行する処理の手順を示すフローチャートである。本発明の第２の実施形態に係るイベント相関検出システムが実行する処理の手順を示すフローチャートである。本発明の第２の実施形態における規則生成部が有する構成を表すブロック図である。本発明の第２の実施形態におけるルール候補記憶部が有する構成を表すブロック図である。本発明の第２の実施形態における閾値計算部が有する構成を表すブロック図である。本発明の第２の実施形態における閾値記憶部が有する構成を表すブロック図である。本発明の第２の実施形態におけるイベント相関検出処理に関するフローチャートである。本発明の第２の実施形態における最小信頼度計算部が有する構成を表すブロック図である。本発明の第２の実施形態における最小信頼度計算部が行う処理に関するフローチャートである。本発明の第２の実施形態における最小支持度計算部が有する構成を示すブロック図である。本発明の第２の実施形態における最小支持度計算部が行う処理に関するフローチャートである。本発明の第２の実施形態における確率分布記憶部６２０が記憶する値の特性を説明する図である。本発明の第２の実施形態における確率分布記憶部７２０が記憶する値の特性を説明する図である。本発明の第２の実施形態における発生確率表記憶部が記憶する、イベント型と発生確率との関連を示す参照テーブルの一例を示す図である。本発明の第２の実施形態における最小支持度と支持度との関係を示す参照テーブルの一例を示す図である。本発明の第２の実施形態における最小信頼度と信頼度との関係を示す参照テーブルの一例を示す図である。本発明の第２の実施形態におけるイベント到着率表記憶部が記憶する、イベント型と到着率との関連を示す参照テーブルの一例を示す図である。実施形態に係るイベント相関検出システムを実現可能な計算処理装置のハードウェア構成を、概略的に示すブロック図である。一般的なイベント相関検出システムの構成を表すブロック図である。イベント相関検出システムにおける規則生成手法の一例を表す図である。イベントの発生をイベント型ウィンドウに分類した状態を概念的に例示する図である。イベントウィンドウ表の具体例を示す図である。イベント型ウィンドウ表に関するイメージの一例を示す図である。イベント履歴ＤＢに記憶された情報を概念的に例示する図である。

　次に、発明を実施するための最良の形態について図面を参照して詳細に説明する。

　＜第１の実施形態＞
　図１は、本発明の第１の実施形態に係るイベント相関検出システム１０１が有する構成を示すブロック図である。図１を参照すると、第１の実施形態に係るイベント相関検出システム１０１は、到着率計算部１０２と、発生確率計算部１０３と、閾値計算部１０４と、イベント相関用ルールエンジン部１６０とを有する。

　到着率計算部１０２は、イベントごとに単位時間当たりの到着件数（以降、この値を「到着率」と表す）を算出する。次に、発生確率計算部１０３は、到着率計算部１０２が算出した到着率に応じて、一定時間間隔Ｗ［ｓｅｃ（秒）］（以降、「所定の時間間隔」としても表す）において、あるイベント型を持つイベントＥが発生する確率Ｐ（Ｅ｜Ｗ）と、背景技術で説明したような支持度ＳＲと信頼度ＴＲとを算出する。

　次に、閾値計算部１０４は、確率Ｐ（Ｅ｜Ｗ）に基づいて、ルール候補に含まれる全てのイベントが発生する確率を算出する。次に、閾値計算部１０４は、上記で算出した確率と上記支持度ＳＲ、あるいは、算出した確率と上記信頼度ＴＲに基づき、２種類の確率分布を算出する。次に、閾値計算部１０４は、上述した２種類の確率分布において誤検出率に対応する領域の面積が、想定誤検出率以下となるような閾値をそれぞれ算出し、その算出した閾値を、それぞれ最小支持度、あるいは、最小信頼度とする。

　次に、図２に示すフローチャートを参照しながら、実施形態に係るイベント相関検出システム１０１が、イベント相関規則を生成する動作について説明する。図２は、本発明の第１の実施形態に係るイベント相関検出システム１０１が、実行する処理の手順を示すフローチャートを示す。

　まず、到着率計算部１０２は、イベントが発生した履歴に基づいて、イベントごとに到着率を算出する（ステップＡ１０）。次に、発生確率計算部１０３は、到着率計算部１０２が算出したイベントごとの到着率に基づいて、イベントが発生する確率（ステップＡ２０）と、背景技術で説明したような支持度ＳＲと信頼度ＴＲとを算出する（ステップＡ３０）。

　次に、閾値計算部１０４は、上記で算出した確率と上記支持度ＳＲとに基づき、あるいは、算出した確率と上記信頼度ＴＲとに基づき、２種類の確率分布を算出する（ステップＡ４０）。次に、閾値計算部１０４は、上述した２種類の確率分布において誤検出率に対応する領域の面積が、想定誤検出率以下となるような閾値をそれぞれ算出し、算出した閾値を、それぞれ最小支持度、あるいは、最小信頼度とする（ステップＡ５０）。

　次に、イベント相関用ルールエンジン部１６０は、閾値計算部１０４が算出した最小支持度の値、あるいは、最小信頼度の値に応じて、上述したイベント型間における相関を検出する（ステップＡ６０）。本発明の第１の実施形態に係るイベント相関検出システム１０１は、上述したように、想定誤検出率以下になるような閾値を算出し、算出した値を最小支持度、あるいは、最小信頼度とする。

　即ち、本発明の第１の実施形態によれば、許容可能な程度に誤検出率に抑えることができる。

　＜第２の実施形態＞
　次に、上述した第１の実施形態を基本とする第２の実施形態について説明する。

　以下の説明においては、本実施形態に係る特徴的な部分を中心に説明すると共に、上述した第１の実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。

　図３は、本発明の第２の実施形態に係るイベント相関検出システム１０５の構成を表すブロック図である。

　図３を参照すると、イベント相関検出システム１０５は、一定時間間隔Ｗ［ｓｅｃ］ごとにイベントを分類するウィンドウ分割部１４０と、イベント型ウィンドウに関連する情報を保存するイベント型ウィンドウ表記憶部２２０とを有する。さらに、イベント相関検出システム１０５は、イベント相関規則記憶部１７０に存在する値に基づき相関のあるイベントを検出するイベント相関用ルールエンジン部１６０を有する。

　さらに、イベント相関検出システム１０５は、イベント履歴ＤＢ記憶部１３０の値からイベントごとの到着率を算出する到着率計算部１０２と、イベント到着率から一定時間間隔Ｗ［ｓｅｃ］において、あるイベント型を持つイベントが発生する確率を算出する発生確率計算部１０３とを有する。

　さらに、イベント相関検出システム１０５は、イベント履歴ＤＢ記憶部１３０におけるイベントの発生時刻に応じて、一定時間間隔Ｗ［ｓｅｃ］ごとにイベント型を区分するイベント型ウィンドウ分割部２１０と、イベント相関規則を生成する規則生成部２３０とを有する。規則生成部２３０は、イベント型ウィンドウ表記憶部２２０が記憶するイベント型ウィンドウを参照することにより、ルール候補として同時発生率の高いイベント群を生成する。次に、規則生成部２３０は、その結果をルール候補記憶部２４０に記憶する。次に、規則生成部２３０は、ルール候補記憶部２４０が記憶する値と、閾値記憶部３１０が記憶する閾値とを使って、イベント相関規則を生成する。

　図５は、本発明の第２の実施形態における規則生成部２３０が有する構成を表すブロック図である。図５に示すように、規則生成部２３０は、組み合わせ生成部４１０と、組み合わせ選抜部４５０と、依存ルール生成部４６０と、依存ルール選抜部５１０とを有する。

　図６は、本発明の第２の実施形態におけるルール候補記憶部２４０が有する構成を表すブロック図である。図６に示すように、ルール候補記憶部２４０は、イベント組み合わせ記憶部４２０と、依存ルール記憶部４７０とを有する。

　図７は、本発明の第２の実施形態における閾値計算部１０４が有する構成を表すブロック図である。図７に示すように、閾値計算部１０４は、最小支持度計算部４３０と、最小信頼度計算部４８０とを有する。

　図８は、本発明の第２の実施形態における閾値記憶部３１０が有する構成を表すブロック図である。図８に示すように、閾値記憶部３１０は、最小支持度記憶部４４０と、最小信頼度記憶部４９０とを有する。

　図１０は、本発明の第２の実施形態における最小信頼度計算部４８０が有する構成を表すブロック図である。図１０を参照すると、最小信頼度計算部４８０は、確率分布計算部７１０と、確率分布記憶部７２０と、分布確率逆計算部７３０とを有する。図１２は、本発明の第２の実施形態における最小支持度計算部４３０の構成を示すブロック図である。図１２を参照すると、最小支持度計算部４３０は、確率分布計算部６１０と、確率分布記憶部６２０と、分布確率逆計算部６３０とを有する。これらの各部が行う処理については、フローチャートの説明とともに後述する。

　イベント発生源（図２１におけるイベント発生源１１０）は、イベントを発生する。本実施形態に係る説明においては、イベントは、ポアソン分布に従い発生すると仮定する。

　イベント発生源の一例として、データセンタを挙げることができる。データセンタは、多数のサーバや、ネットワーク機器、ストレージなどを有する。データセンタにおける多数のサーバは、通常、お互いに独立して、イベントを発生する。データセンタにおけるサーバのように、多数の機器が独立してイベントを発生する場合、全体のイベントは、ポアソン分布に従って発生すると仮定することができる。仮に、イベント発生源がデータセンタであるとすると、このシステムの利用者は、データセンタ運用者である。

　ＧＵＩ（例えば、後述するハードウェア構成（図２０）における入力装置２３０５）は、利用者が許容可能な想定誤検出率を入力することが可能な、インターフェースである。また、ＧＵＩ（例えば、後述するハードウェア構成（図２０）における出力装置２３０４）は、イベント相関用ルールエンジン部１６０が検出した相関のあるイベントを、利用者に提示する処理も行う。

　想定誤検出率記憶部１２０は、利用者が許容可能な誤検出率を表す値を記憶する。誤検出率は、イベント相関規則記憶部１７０が記憶するイベント相関規則の中に、相関性を持たない規則が含まれる確率である。

　図３、図２１、図２６を参照しながら、実施形態に係るイベント相関検出システム１０５について説明を行う。図２６は、イベント履歴ＤＢが記憶する情報を概念的に例示する図である。図２６におけるイベント履歴ＤＢが記憶する情報は、本発明の第２の実施形態に係るイベント相関検出システム１０５でも利用する。図３は、本発明の第２の実施形態に係るイベント相関検出システム１０５の構成を表すブロック図である。イベント履歴ＤＢ記憶部１３０は、イベント発生源（図２１におけるイベント発生源１１０）が過去に発生したイベントに関連する履歴を記憶する。イベント履歴ＤＢ記憶部１３０が記憶するイベント履歴ＤＢは、イベントの発生時刻と、イベント型などを関連付けて記憶する。イベント履歴ＤＢ記憶部１３０は、上記に例示したパラメタ以外の値と関連付けして、記憶してもよい。

　ウィンドウ分割部１４０は、イベント発生源（図２１におけるイベント発生源１１０）から発生したイベントを、イベント型ウィンドウに分類する。次に、ウィンドウ分割部１４０は、イベント型ウィンドウ表記憶部２２０に、分類したイベント型ウィンドウに関連する情報を記録する。図２４は、イベントウィンドウ表の具体例を示す図である。イベントウィンドウ表は、関連するイベント相関検出システムが記憶する表であるとともに、本発明の第２の実施形態におけるイベント相関検出システムが記憶する表でもある。

　次に、イベント相関用ルールエンジン部１６０は、イベント相関規則記憶部１７０が記憶する値に従い、イベント型ウィンドウ表記憶部２２０に記録されたイベントの間において発生に相関があるイベントを選び出す。例えば、イベント型Ａを持つイベント及びイベント型Ｂを持つイベントが発生するのに応じて、イベント型Ｃを持つイベントが発生するということを表す、イベント相関規則「Ａ，Ｂ⇒Ｃ」があるとする。あるイベント型ウィンドウＷ１の中に、イベント型Ｃを持つイベントＥ３が発生するとする。

　イベント型ウィンドウＷ１内において、イベントＥ３が発生する直前に、イベント型Ａを持つイベントＥ１、及びイベント型Ｂを持つイベントＥ２が発生するとする。このとき、イベント相関用ルールエンジン部１６０は、上記のイベント生成規則に従い、イベントＥ１、イベントＥ２、イベントＥ３の発生に相関があると判定する。

　イベント相関規則記憶部１７０は、少なくとも１つ以上のイベント型を持つイベントから構成される前提条件と、あるイベント型を持つイベントから構成される帰結とを関連付けて記憶する。例えば、Ａ、Ｂ、Ｃがそれぞれイベント型を表す場合、イベント相関規則「Ａ，Ｂ⇒Ｃ」は、「イベント型Ａを持つイベント及びイベントＢ型を持つイベントが発生するのに応じて、イベント型Ｃを持つイベントが発生する」という相関を表す。イベント相関規則が「Ａ，Ｂ⇒Ｃ」である場合に、「前提条件」は、「⇒」の左に存在する「Ａ，Ｂ」を表し、「帰結」は、「⇒」の右に存在する「Ｃ」を表す。

　イベント型ウィンドウ分割部２１０は、イベント履歴ＤＢ記憶部１３０が記憶するイベントをイベント型ウィンドウの単位で分類する。次に、イベント型ウィンドウ分割部２１０は、イベント型ウィンドウにおいて発生するイベントに関するイベント型と、そのイベント型ウィンドウを表す識別子（以降、「ＩＤ」と略記する）とを関連付けし、その結果をイベント型ウィンドウ表記憶部２２０に保存する。

　イベント型ウィンドウ表記憶部２２０は、イベント型ウィンドウごとにそのイベント型を保存する。図２５は、イベント型ウィンドウ表に関するイメージの一例を示す図である。例えば、イベント型ウィンドウ表は、イベント型ウィンドウに関するＩＤ（Ｗ＃）と、イベント型ウィンドウに存在するイベントが持つイベント型の集合等とを関連付けする。イベント型ウィンドウ表は、関連するイベント相関検出システムが有する情報であるとともに、本発明の第２の実施形態におけるイベント相関検出システムが有する情報でもある。

　規則生成部２３０は、閾値を参照しつつイベント相関規則を生成し、その結果をイベント相関規則記憶部１７０に記憶する。以下では、一例を題材にしながら、規則生成部２３０の構成などについて説明を行う。

　図５に示すように、規則生成部２３０は、組み合わせ生成部４１０と、組み合わせ選抜部４５０と、依存ルール生成部４６０と、依存ルール選抜部５１０とを有する。

　ここで、イベント型ウィンドウにおけるイベント型に、ＡとＢとＣとＤとＥとが存在していたと仮定する。また、組み合わせ選抜部４５０は、イベント組み合わせ記憶部４２０が記憶するイベント型組み合わせの中から、｛Ａ，Ｂ｝を選んだとする。組み合わせ生成部４１０は、組み合わせ選抜部４５０が選んだイベント型組み合わせ｛Ａ，Ｂ｝に関して、イベント型ウィンドウ内にあるイベント型を一つ加えて、新たなイベント型組み合わせを生成する。この例の場合、組み合わせ生成部４１０は、イベント型組み合わせ｛Ａ，Ｂ，Ｃ｝，｛Ａ，Ｂ，Ｄ｝，｛Ａ，Ｂ，Ｅ｝を作成し、該組み合わせをイベント組み合わせ記憶部４２０に出力する。

　組み合わせ選抜部４５０は、イベント組み合わせ記憶部４２０が記憶するイベント組み合わせの中から、計算した支持度ＳＲが、最小支持度記憶部４４０が記憶する最小支持度以上の値に関連するイベント組み合わせを選び出す。

　組み合わせ選抜部４５０は、イベント型の組み合わせＡ，Ｂ，・・・の支持度ｓ（Ａ，Ｂ，・・・）を、式１に従って算出する。

　　　ｓ（Ａ，Ｂ，・・・）＝（組み合わせＡ，Ｂ，・・・を含むイベント型ウィンドウ数）÷（全イベント型ウィンドウ数）・・・（式１）。

　依存ルール生成部４６０は、組み合わせ選抜部４５０が選択した少なくとも１つ以上のイベント組み合わせに対して、以下の処理に従って、依存ルールを生成する。例えば、組み合わせ選抜部４５０は、イベント型組み合わせ｛Ａ，Ｂ，Ｃ｝を選んだとする。その場合、依存ルール生成部４６０は、そのイベント型組み合わせから、「Ａ，Ｂ⇒Ｃ」，「Ｂ，Ｃ⇒Ａ」，「Ｃ，Ａ⇒Ｂ」を依存ルールとして生成し、該依存ルールを依存ルール記憶部４７０に保存する。

　依存ルール選抜部５１０は、依存ルール生成部４６０が生成した依存ルールの中から、その信頼度ＴＲが最小信頼度以上の依存ルールを選抜する。依存ルール選抜部５１０は、選抜した依存ルールをイベント相関規則とし、その結果をイベント相関規則記憶部１７０に記憶する。ここで、組み合わせ選抜部４５０は、依存ルール「Ｂ，Ｃ⇒Ａ」に関する信頼度ｔ（Ｂ，Ｃ⇒Ａ）を、式２に従って算出する。

　　　ｔ（Ｂ，Ｃ⇒Ａ）＝（Ａ，Ｂ，Ｃを含むイベント型ウィンドウ数）÷（Ｂ，Ｃを含むイベント型ウィンドウ数）・・・（式２）。

　図６に示すように、ルール候補記憶部２４０は、イベント組み合わせ記憶部４２０と、依存ルール記憶部４７０とを有する。ルール候補記憶部２４０は、規則生成部２３０が一時的に作成した作業データを記憶する。

　イベント組み合わせ記憶部４２０は、複数のイベント型を組み合わせた結果、得られるイベント型の組み合わせを記憶する。例えば、イベント組み合わせ記憶部４２０が記憶する値の一例として、上記の例の場合、係るイベント型の組み合わせとしては、例えば、｛Ａ，Ｂ，Ｃ｝，｛Ａ，Ｂ，Ｄ｝，｛Ａ，Ｂ，Ｅ｝などが想定される。

　依存ルール記憶部４７０は、複数のイベント型を使って構成される「前提条件」と、イベント型を使って構成される「帰結」とを組み合わせた規則を記憶する。依存ルール記憶部４７０が記憶する規則は、イベント型間における相関を表す。例えば、Ａ、Ｂ、Ｃは、イベント型を表すとする。その場合、イベント相関規則「Ａ，Ｂ⇒Ｃ」は、「イベント型Ａを持つイベント及びイベント型Ｂを持つイベントが発生するのに応じて、イベント型Ｃを持つイベントが発生する」、という相関を表す。

　到着率計算部１０２は、イベント履歴ＤＢ記憶部１３０が記憶するイベント履歴ＤＢをもとに、イベント型ごと（ここでは、イベント型がＥであったとする。）のイベント発生頻度（ここでは、上述に従い「λＥ」［／ｓｅｃ］とする）を算出する。例えば、時間間隔ＴにおいてイベントＥがＮＥ回発生する場合、到着率計算部１０２は、イベント発生頻度λＥを、式３に示すような処理に従い算出する。

　　　λＥ＝ＮＥ÷Ｔ・・・（式３）。

　図１９は、本発明の第２の実施形態におけるイベント到着率表記憶部２６０が記憶する、イベント型と到着率との関連を示す参照テーブルの一例を示す図である。イベント到着率表記憶部２６０は、イベント型とそのイベント型が到着する到着率を関連付けて記憶する。

　発生確率計算部１０３は、一定時間間隔Ｗにて、イベントが一回以上発生するイベント型ごとに、以下の処理に従って、発生確率を算出する。ここで、イベント型Ｅであるイベントは、ポアソン分布に従い発生すると仮定する。その場合、発生確率計算部１０３は、一定時間間隔Ｗのイベント型ウィンドウにおいて、イベント型Ｅを持つイベントが１回以上発生する発生確率Ｐｒ（｜Ｅ｜＞０｜Ｗ）を、式４に示す処理に従い算出する。

　　　Ｐｒ（｜Ｅ｜＞０｜Ｗ）＝１－ｅｘｐ（－λＥ×Ｗ）・・・（式４）、
　　（ただし、｜Ｅ｜は、イベントＥを持つイベントが発生する回数、
　　λＥは、上述したイベント発生頻度、
　　ｅｘｐ（）は、自然対数を底とする指数関数を表す）。

　発生確率表記憶部２８０は、式４のように発生確率計算部１０３が計算した値とイベント型とを関連付けて記憶する。図１６は、本発明の第２の実施形態における発生確率表記憶部が記憶する、イベント型とその発生確率との関連を示す参照テーブルの一例を示す図である。

　発生確率表記憶部２８０は、イベント型と、式４のような式に従って算出した発生確率Ｐｒ（｜Ｅ｜＞０｜Ｗ）とを関連付けて記憶する。

　図７に示すように、閾値計算部１０４は、最小支持度計算部４３０と、最小信頼度計算部４８０とを有する。閾値計算部１０４は、以下のような処理に従い閾値を算出し、該閾値を閾値記憶部３１０に記憶する。その結果、閾値記憶部３１０が記憶する閾値に基づいて、閾値計算部１０４が処理を行う場合に、誤検出率は、想定誤検出率記憶部１２０が記憶する想定誤検出率以下になる。閾値計算部１０４は、そのために、最小支持度と最小信頼度を算出し、それらの算出値をそれぞれ最小支持度記憶部４４０と最小信頼度記憶部４９０とに記憶する。閾値計算部１０４は、以下のようなフローに従って、閾値を算出する。

　図１２に示すように、最小支持度計算部４３０は、確率分布計算部６１０と、確率分布記憶部６２０と、分布確率逆計算部６３０とを有する。最小支持度計算部４３０は、以下のような処理に従って誤検出率を算出する。その結果、算出した誤検出率は、想定誤検出率記憶部１２０が記憶する想定誤検出率以下の数値になる。

　最小支持度計算部４３０における処理方法は、以下のような方法である。確率分布計算部６１０は、イベント組み合わせ記憶部４２０を参照し、該イベント組み合わせの中から特定のイベント型組み合わせＣを取り出す。イベント型組み合わせＣは、複数のイベント型を含む。次に、確率分布計算部６１０は、発生確率表記憶部２８０を参照することにより、該イベント型に関連付けられた発生確率を取り出す。確率分布計算部６１０は、上述した処理を、イベント型組み合わせＣに含まれる全てのイベント型について行う。

　次に、確率分布計算部６１０は、イベント型組み合わせＣに含まれるイベント型が互いに独立して発生するという仮定の下で、イベント型組み合わせＣが発生する確率Ｐｒ（Ｃ｜Ｗ）を、式５に示した処理に従い算出する。

　　　Ｐｒ（Ｃ｜Ｗ）＝ΠＥ∈Ｃ＿Ｐｒ（｜Ｅ｜＞０｜Ｗ）・・・（式５）、
　　（ただし、ΠＥ∈Ｃ＿Ｐｒ（｜Ｅ｜＞０｜Ｗ）は、イベント型組み合わせＣに属する任意のイベント型Ｅについて、Ｐｒ（｜Ｅ｜＞０｜Ｗ）を掛け合わせることを表す）。

　次に、確率分布計算部６１０は、Ｎｗ個のウィンドウのうちｉ個のウィンドウにおいて、イベント型組み合わせＣが発生する確率Ｇ（ｉ）を、式６に示された処理に従って算出する。

　　　Ｇ（ｉ）＝　Ｃ（Ｎｗ，ｉ）　Ｐ（Ｃ｜Ｗ）↑ｉ×（１－Ｐ（Ｃ｜Ｗ））↑（Ｎｗ－ｉ）・・・（式６）、
　　（ただし、Ｃ（Ｎｗ，ｉ）は、Ｎｗ個からｉ個を取り出す場合の組み合わせ数、
　　Ｎｗは、イベント型ウィンドウ表における全ウィンドウ数、
　　Ｗ↑ｉは、べき乗を表す。即ち、Ｗ↑ｉは、Ｗをｉ回掛け合わせること、
　　ｉは、自然数を意味する）。

　Ｇ（ｉ）は、二項分布Ｂ（Ｎｗ，Ｐｒ（Ｃ｜Ｗ））に等しい。確率分布計算部６１０は、発生ウィンドウ数ｉと算出したＧ（ｉ）とを関連付けして、その結果を確率分布記憶部６２０に記憶する。確率分布記憶部６２０は、上記ウィンドウ数ｉとＧ（ｉ）の値とを、関連付けして記憶する。

　図１４は、本発明の第２の実施形態における確率分布記憶部６２０が記憶する情報が有する特性を説明する図である。図１４の横軸は、イベント組み合わせＣが発生するウィンドウ数（発生回数）を表す。図１４の縦軸は、確率分布記憶部６２０が記憶する確率分布において、上述した発生ウィンドウ数ｉに関連付けされた確率（確率密度）を表す。図１４に実線で示す曲線は、イベント型を持つ各イベントが独立して発生すると仮定したときにおける、発生イベント型組み合わせが発生する確率を表す。図１４に点線で示す曲線は、イベント型組み合わせにおける各イベントの発生が独立でない場合における発生確率を表す。

　図１４を参照しながら、最小支持度計算部４３０における最小支持度ｓの算出方法について説明する。例えば、イベント型組み合わせＣは、イベント型Ｃ１とイベント型Ｃ２とから構成されるとする。

　上記のように、確率分布計算部６１０は、イベント型Ｃ１を持つイベントと、イベント型Ｃ２を持つイベントとが独立して発生するという仮定において、イベント型組み合わせが発生する確率Ｇ（ｉ）を算出する。図１４における実線は、確率Ｇ（ｉ）を表す。すなわち、図１４における実線は、上記のような二項分布Ｂ（Ｎｗ，Ｐｒ（Ｃ｜Ｗ））を表す。

　図１４において、最小支持度をｓと表したとき、縦軸に示す（ｓ×Ｎｗ）より発生頻度が高い場合に、本実施形態に係る装置は、イベント型組み合わせにおける各イベントの発生が、お互いに依存性があると判定する。しかし、イベント型組み合わせにおける各イベントＢ、Ｃは、お互いに独立である。そのため、図１４において、格子状に表した部分は、誤った結果を検出することを表す。

　想定誤検出率記憶部１２０が記憶する想定誤検出率をｐ０として表すと、分布確率逆計算部６３０は、式７を満たす最小のｓを算出する。

　　　（Σｉ＞ｓ＿Ｎｗ×Ｇ（ｉ））＜ｐ０・・・（式７）、
　　（ただし、（Σｉ＞ｓ＿Ｎｗ×Ｇ（ｉ））は、ｓよりも大きな値を持つｉについて、Ｎｗ×Ｇ（ｉ）の和をとること、
　　ｉは、自然数を表す）。

　このｓを算出する方法は、ｉの値を順次大きな値から代入していき、式７を満たさなくなる値を見つけてもよいし、解析的に計算してＮｅｗｔｏｎ法などの手法により計算してもよい。最小のｓを算出する方法は、上記に例示した方法に限定されるものではない。

　図１４に示す点線は、イベント型組み合わせにおける各イベントＢ、Ｃの発生が独立でない場合における確率分布を表す。図１４における点線と、横軸に示す発生頻度が（ｓ×Ｎｗ）を表す縦線の右側部分とに囲まれた領域は、本実施形態に係る装置が、イベント型組み合わせにおける各イベントＢ、Ｃの発生が独立でないと、正しく検出する部分である。一方、図１４における点線と、横軸に示す発生頻度が（ｓ×Ｎｗ）を表す縦線の左側部分とに囲まれた領域（図１４に示す斜線部分）は、最小支持度以下である。そのため、本実施形態に係る装置は、この部分を選抜しない。

　即ち、本実施形態に係るイベント相関検出システムは、イベント型組み合わせにおける各イベントＢ、Ｃの発生が独立でないにもかかわらず、検出することができない。そのため、最小支持度計算部４３０は、式７を満たすようなｓを算出することにより、最小支持度を算出する。その結果、本発明に係る本実施形態は、許容可能な程度に誤検出率に抑えることができる。

　最小信頼度計算部４８０は、以下に説明する処理に従って、最小信頼度を算出し、算出した値を最小信頼度記憶部４９０に記憶する。本実施形態において、係る処理が実施されると、誤検出率の値は、想定誤検出率記憶部１２０が記憶する想定誤検出率の値以下になる。

　即ち、図１０に示すように、最小信頼度計算部４８０は、確率分布計算部７１０と、確率分布記憶部７２０と、分布確率逆計算部７３０とを有する。確率分布計算部７１０は、発生確率表記憶部２８０が関連付ける値と依存ルール記憶部４７０が記憶する依存ルールＲとを参照する。次に、確率分布計算部７１０は、依存ルールＲに含まれるイベント型を持つイベントが独立して発生すると仮定して、依存ルールが発生する確率Ｐｒ（Ｒ）を算出する。例えば、依存ルールＲが「Ｂ，Ｃ，…⇒Ａ」という依存ルールである場合、確率分布計算部７１０は、式８に示す処理に従って、確率Ｐｒ（Ｒ｜Ｗ）を算出する。

　　　Ｐｒ（Ｒ｜Ｗ）＝Ｐｒ（｜Ａ｜＞０｜Ｗ）・・・（式８）、
　　（ただし、｜Ａ｜は、イベント型Ａを持つイベントの発生回数を表す）。

　このとき、確率分布計算部７１０は、ＮｗとＰｒ（Ｒ｜Ｗ）とをパラメタとした二項分布Ｂ（Ｎｗ，Ｐｒ（Ｒ｜Ｗ））に従って、確率分布を算出する。ただし、上述した計算手法において、Ｎｗは、イベント履歴ＤＢに保存されているウィンドウ数を表す。確率分布計算部７１０は、算出した確率分布を、確率分布記憶部７２０に記憶する。

　次に、分布確率逆計算部７３０は、確率分布記憶部７２０が記憶する確率分布を参照した後、以下に説明する処理に従い、最小信頼度ｔを算出する。図１５は、本発明の第２の実施形態における確率分布記憶部７２０の特性を説明する図である。図１５の横軸は、依存ルールが発生したウィンドウ数（発生回数）を表す。また、図１５の縦軸は、確率分布記憶部７２０が記憶する確率密度を表す。図１５の実線は、イベント型を持つ各イベントが独立して発生すると仮定したときにおける、発生イベント型組み合わせが発生する確率を表す。図１５の点線は、イベント型組み合わせにおける各イベントの発生が独立でない場合における確率を表す。図１５を参照しながら、分布確率逆計算部７３０が最小信頼度ｔを算出する処理方法について説明する。

　依存ルール記憶部４７０が記憶する依存ルールＲは、「Ｂ⇒Ａ」であるとする。図１５における実線は、イベント型Ａを持つイベントとイベント型Ｂを持つイベントとが独立して発生した場合の確率分布を表す。確率分布計算部７１０は、上記の処理に従い、確率分布を二項分布Ｂ（Ｎｗ，Ｐｒ（Ｒ｜Ｗ））として計算処理する。最小信頼度をｔとした場合、本実施形態に係る装置は、ｔ×Ｎｗより発生頻度が高い部分を、イベントが相互に依存して発生するイベントとして選ぶ。

　しかし、図１５における実線は、イベント型Ａを持つイベントとイベント型Ｂを持つイベントとが独立して発生すると仮定して、確率分布計算部７１０が算出した値を表す。そのため、分布確率逆計算部７３０は、図１５における実線と、横軸に示す発生頻度が（ｔ×Ｎｗ）を表す縦線の右側とで囲まれた領域（図１５において格子状に表した部分）を、お互いに依存関係があるイベントとして検出する。即ち、その検出は、誤った結果である。

　そこで、分布確率逆計算部７３０は、想定誤検出率記憶部１２０をｐ０とするとき、式９を満たす、最小のｔを算出する。

　　　（Σｉ＞ｔ＿Ｎｗ×ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ））＜ｐ０・・・（式９）、
　　（ただし、ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ）は、確率分布ｄＲ（Ｎｗ，Ｗ，Ｒ）のときの、値ｉを取る確率、
　　（Σｉ＞ｔ＿Ｎｗ×ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ））は、ｔよりも大きな値を持つｉについてＮｗ×ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ）の和を算出すること、
　　ｉは、自然数を表す）。

　分布確率逆計算部７３０は、確率分布記憶部７２０と想定誤検出率記憶部１２０の値を参照しながら、上述した処理方法に従って、最小信頼度ｔを算出する。

　このｔを算出する方法は、ｉの値を順次大きな値から代入していき、式９を満たさなくなる値を計算してもよいし、解析的に計算してＮｅｗｔｏｎ法などの手法により計算してもよい。最小のｔを算出する方法は、上記に例示した方法に限定されるものではない。

　閾値計算部１０４は、下記のような処理に従って閾値を計算し、算出した値を閾値記憶部３１０に記憶する。規則生成部２３０は、閾値記憶部３１０が記憶する閾値を参照する。図８に示すように、閾値記憶部３１０は、最小支持度記憶部４４０と、最小信頼度記憶部４９０とを有する。

　最小支持度記憶部４４０は、規則生成部２３０が参照する閾値を記憶する。最小支持度計算部４３０が算出する閾値は、イベント組み合わせに関する支持度ＳＲにおける下限値を表す。また、最小信頼度記憶部４９０は、規則生成部２３０が参照する閾値を記憶する。最小信頼度計算部４８０が算出する閾値は、依存ルールに関する信頼度ＴＲにおける下限値を表す。

　図９のフローチャートを参照しながら、本実施の形態に係るイベント相関検出処理動作について詳細に説明する。図９は、本発明の第２の実施形態におけるイベント相関検出処理に関するフローチャートである。

　まず、ウィンドウ分割部１４０は、イベント発生源（図２１におけるイベント発生源１１０）が発生したイベントを受信する。そして、ウィンドウ分割部１４０は、一定時間間隔Ｗごとに受信したイベントをイベント型ウィンドウに分類し、イベント型ウィンドウのＩＤ（Ｗ＃）と、そのイベント型ウィンドウに属するイベントが持つイベント型の集合とを関連付けて、イベント型ウィンドウ表記憶部２２０に記録する（ステップＥ１１０）。

　次に、イベント相関用ルールエンジン部１６０は、イベント相関規則記憶部１７０の値に応じて、イベント型ウィンドウ表記憶部２２０に記録されたイベントの間において、相関のあるイベントを選び出す（ステップＥ１２０）。

　次に、図３乃至図８、図１０を参照しながら、本発明の第２の実施形態に係るイベント相関システムの動作について詳細に説明する。図４Ａと図４Ｂとは、本発明の第２の実施形態に係るイベント相関検出システム１０５が、実行する処理の手順を示すフローチャートを表す。

　まず、到着率計算部１０２は、イベント履歴ＤＢ記憶部１３０が持つ値を参照しながら、上述した処理に従って、イベント履歴ＤＢ記憶部１３０に存在するイベントごとに到着率を算出する。次に、到着率計算部１０２は、イベントと計算したそのイベントが到着する到着率とを関連付けて、イベント到着率表記憶部２６０に記録する（図４ＡにおけるステップＡ２１０）。

　次に、発生確率計算部１０３は、イベント到着率表記憶部２６０の値を参照した後、イベント到着率表記憶部２６０に存在するイベントごとに、一定時間間隔Ｗ［ｓｅｃ］におけるイベント発生確率を、上記のような処理に従って算出する。そして、発生確率計算部１０３は、算出した値を発生確率表記憶部２８０に保存する（ステップＡ２２０）。

　また、イベント型ウィンドウ分割部２１０は、イベント履歴ＤＢ記憶部１３０が記憶する値に基づいて、一定時間間隔Ｗ［ｓｅｃ］単位にて、イベントをイベント型ウィンドウとして分類する。次に、イベント型ウィンドウ分割部２１０は、分類したイベント型ウィンドウを、イベント型とウィンドウとを関連付けてイベント型ウィンドウ表記憶部２２０に保存する（図４ＡにおけるステップＡ１１０）。ステップＡ２１０からステップＡ２２０への処理の流れと、ステップＡ１１０の処理は、並行に行ってもよいし、二つのうちいずれかを先に行ってもよい。なお、これらステップＡ２１０、ステップＡ２２０、ステップＡ１１０は、前述した図２における処理と同じなので、重複する説明は省略する。

　ステップＡ２２０及びステップＡ１１０が完了したのち、規則生成部２３０は、イベント組み合わせ数を２として設定する（ステップＢ１２０）。次に、組み合わせ生成部４１０は、イベント型ウィンドウ表記憶部２２０の値に基づいて、規則生成部２３０が設定したイベント組み合わせ数について、上述したようにイベント組み合わせを作成する。そして、規則生成部２３０は、作成したイベント組み合わせをイベント組み合わせ記憶部４２０に記憶する（ステップＢ１３０）。

　組み合わせ生成部４１０は、規則生成部２３０がイベント組み合わせ数を２と設定したとき、２種類のイベント型を組み合わせる。組み合わせ生成部４１０は、全てのイベント型を組み合わせることにより、イベント組み合わせを作成する。

　一方、ステップＢ１７０の処理が完了した後、規則生成部２３０は、イベント組み合わせ数を１増やす。組み合わせ生成部４１０は、規則生成部２３０が設定したイベント組み合わせ数に応じて、イベント組み合わせを作成し、作成したイベント組み合わせをイベント組み合わせ記憶部４２０に記憶する。

　次に、最小支持度計算部４３０は、イベント組み合わせ記憶部４２０が記憶するそれぞれのイベント組み合わせについて、発生確率表記憶部２８０が持つ値と想定誤検出率記憶部１２０が持つ値とを参照し、式９に示す処理方法に従って、最小支持度を計算し、算出した値を最小支持度記憶部４４０に記憶する（ステップＢ１４０）。

　次に、組み合わせ選抜部４５０は、イベント組み合わせにおける支持度ＳＲを算出する。次に、組み合わせ選抜部４５０は、算出した支持度ＳＲと最小支持度記憶部４４０に存在する値との大小を比較する。その後、組み合わせ選抜部４５０は、最小支持度の値より算出した支持度ＳＲの値が大きいイベント組み合わせのみを残す（ステップＢ１５０）。もし、組み合わせ選抜部４５０は、最小支持度記憶部４４０に存在する値より、算出した支持度ＳＲが大きな値である組み合わせが有ると判定した場合に（ステップＢ１６０においてＹＥＳと判定）、上述した支持度ＳＲが大きいイベント組み合わせを、組み合わせ選抜部４５０の内部に、一時的に保存する。

　次に、組み合わせ選抜部４５０は、イベント組み合わせを１個増やし（ステップＢ１７０）、組み合わせ選抜部４５０の内部に、一時的に保存したイベントの組み合わせに、新たに一つイベントを追加し、その後、ステップＢ１３０に戻る。

　組み合わせ選抜部４５０は、もし、算出したそれぞれの支持度ＳＲが最小支持度記憶部４４０に存在する値より、小さな値であると判定した場合に（ステップＢ１６０においてＮＯと判定）、組み合わせ選抜部４５０の内部に、一時的に保存したイベントの組み合わせを参照し、依存ルール生成部４６０は、依存ルールを生成する（ステップＢ２１０）。

　次に、最小信頼度計算部４８０は、依存ルール生成部４６０が生成した依存ルールごとに、発生確率表記憶部２８０に存在する値と、想定誤検出率記憶部１２０に存在する値を参照しながら、最小信頼度を計算し、算出した値を最小信頼度記憶部４９０に保存する（ステップＢ２２０）。

　次に、依存ルール選抜部５１０は、依存ルール生成部４６０が生成した依存ルールごとに信頼度ＴＲを算出する。依存ルール選抜部５１０は、算出した信頼度ＴＲと、依存ルールに関連付けされた最小信頼度記憶部４９０に存在する値との大小を比較する。そして、依存ルール選抜部５１０は、依存ルール生成部４６０が生成した依存ルールの中から、最小信頼度の値よりも算出した信頼度ＴＲが高い値を持つ依存ルールのみを残す（ステップＢ２３０）。

　最後に、依存ルール選抜部５１０は、上記のように抽出した依存ルールを、イベント相関規則として生成し（ステップＢ２４０）、作成したイベント相関規則をイベント相関規則記憶部１７０に保存する。

　次に、図１２のブロック図及び図１３のフローチャートを参照しながら、最小支持度計算部４３０の動作について説明する。図１２は、本発明の第２の実施形態における最小支持度計算部の構成を示すブロック図である。図１３は、本発明の第２の実施形態における最小支持度計算部が行う処理に関するフローチャートである。

　まず、確率分布計算部６１０は、イベント型組み合わせ「Ａ，Ｂ，・・・」（＝Ｃ）ごとに、下記の方法に従い、イベントが独立に発生すると仮定した場合に算出した確率分布を、下記のような二項分布の計算方法に従って、ｄＣ（Ｎｗ，Ｗ，Ｃ）を算出する（ステップＣ１１０）。その後、確率分布計算部６１０は、算出した値を確率分布記憶部６２０に保存する。確率分布計算部６１０は、その計算方法を、Ｐｒ（｜Ｅ｜＞０｜Ｗ）の値に応じて、式１０に示す処理に従い計算する。

　　　ｄＣ（Ｎｗ，Ｗ，Ｃ）＝Ｂ（Ｎｗ，ΠＥ∈Ｃ＿Ｐｒ（｜Ｅ｜＞０｜Ｗ））・・・（式１０）、
　　（ただし、ΠＥ∈Ｃ＿Ｐｒ（｜Ｅ｜＞０｜Ｗ）は、上記イベント型組み合わせＣに属する全てのイベント型について、Ｐｒ（｜Ｅ｜＞０｜Ｗ）を掛け合わせること、
　　Ｂ（Ｎｗ，Ｐ）は、二項分布、即ち、
　　Ｂ（Ｎｗ，Ｐ）＝Σｉ＿Ｃ（Ｎｗ，ｉ）×Ｐ↑ｉ×（１－Ｐ）↑ｉ、
　　（ただし、Ｃ（Ｎｗ，ｉ）は、Ｎｗ個からｉ個を取り出す場合の組み合わせ数、
　　Ｐ↑ｉは、べき乗を表す。即ち、Ｐ↑ｉは、Ｗをｉ回掛け合わせることを意味する。

　　Σｉ＿Ｃ（Ｎｗ，ｉ）×Ｐ↑ｉ×（１－Ｐ）↑ｉは、ｉについてＣ（Ｎｗ，ｉ）×Ｐ↑ｉ×（１－Ｐ）↑ｉの総和を取ることを意味する）。

　次に、分布確率逆計算部６３０は、上述したイベント組み合わせごとに、確率分布計算部６１０が算出した確率分布ｄＣ（Ｎｗ，Ｗ，Ｃ）に応じて、「Ｐｒ（Ｘ＞ｓ×Ｎｗ｜ｄＣ（Ｎｗ，Ｗ，Ｃ））≦想定誤検出率ｐ０」を満たす最大のｓを計算し、算出した値を最小支持度記憶部４４０に保存する（ステップＣ１２０）。ただし、Ｐｒ（Ｘ＞ｓ×Ｎｗ｜ｄＣ（Ｎｗ，Ｗ，Ｃ））は、ｄＣ（Ｎｗ，Ｗ，Ｃ）が表す確率分布において、確率変数Ｘがｓ×Ｎｗよりも大きな値を取る確率を表す。

　次に、図１０のブロック図及び図１１のフローチャートを参照して本実施の形態のうち、最小信頼度計算部４８０の動作について説明する。図１０は、本発明の第２の実施形態における最小信頼度計算部４８０が有する構成を表すブロック図である。図１１は、本発明の第２の実施形態における最小信頼度計算部４８０が行う処理に関するフローチャートである。

　まず、確率分布計算部７１０は、依存ルール記憶部４７０が記憶する依存ルール「Ｂ，Ｃ，・・・⇒Ａ」ごとに、下記の方法に従い、イベントＡがイベントＢ，イベントＣ，・・・と独立に発生すると仮定した場合の確率分布ｄＲ（Ｎｗ，Ｗ，Ｒ）を算出する。その計算方法は、ＮｗとＰｒ（Ａ｜Ｗ）の値とに従って、二項分布Ｂ（Ｎｗ，Ｐｒ（Ａ｜Ｗ））を算出する方法である。次に、確率分布計算部７１０は、算出した値を確率分布記憶部７２０に保存する（ステップＤ１１０）。依存ルールは、必ずしも、上記に示したような「Ｂ，Ｃ，・・・⇒Ａ」である必要はない。

　次に、分布確率逆計算部７３０は、上述した依存ルール「Ｂ，Ｃ，・・・⇒Ａ」ごとに、確率分布計算部７１０が算出した確率分布ｄＲ（Ｎｗ，Ｗ，Ｒ）において、「Ｐｒ（Ｘ＞ｔ｜ｄＲ（Ｎｗ，Ｗ，Ｒ））≦想定誤検出率ｐ０」となる最小のｔを算出する。分布確率逆計算部７３０は、その算出値を最小信頼度記憶部４９０に保存する（ステップＣ１３０）。上述したような方法に従って算出することにより、分布確率逆計算部７３０は、上述した確率分布ｄＲ（Ｎｗ，Ｗ，Ｒ）において、Ｘ＞ｔである確率がｐ０以下という条件を満たすような、最小のｔを最小信頼度として算出する。

　本実施形態は、最小支持度と最小信頼度とを評価可能にするため、入力されるイベント発生分布確率と、各イベント間における相関性とにおいて仮定をする。即ち、イベント発生分布確率は、ポアソン分布であると仮定する。また、各イベントは、確率的に独立して発生すると仮定する。

　即ち、本実施形態は、上述したような計算方法に従って計算を行う。そのため、本実施形態が算出する閾値（すなわち、最小支持度、最小信頼度）は、許容される誤検出率を超えないようにすることができる。

　次に、具体例を用いて本発明を実施するための本実施形態の動作を説明する。

　図２６は、イベント履歴ＤＢ記憶部１３０が記憶する情報を概念的に例示する図である。イベント履歴ＤＢは、本発明の第２の実施形態におけるイベント相関検出システムも利用している。イベント履歴ＤＢ記憶部１３０に存在するテーブルは、イベントのＩＤ（Ｅ＃）と、そのイベントが発生した時刻（ＴＩＭＥ）と、そのイベント型などを関連付けている。イベント履歴ＤＢ記憶部１３０に存在するテーブルは、上記以外の項目と関連付けられていてもよいし、上記の項目を必ずしも含んでいなくともよい。図２６に示したようなイベント履歴ＤＢに存在するイベントの番号（Ｅ＃）をすべて参照すると、それぞれのＥ＃に関連付けられたイベント型は、４種類のイベント型、すなわち、「ＱｕｅｒｙＥｒｒｏｒ」，「ＤＢＥｒｒｏｒ」，「ＮＷＣｏｎｇｅｓｔｉｏｎ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」である。

　まず、到着率計算部１０２は、イベント履歴ＤＢ記憶部１３０に存在する値を参照し、その中から一つのイベントを取り出す。次に、到着率計算部１０２は、取り出したイベントついて、上述した方法に従って到着率を計算し、算出した値をイベント型と関連付けを行い、それをイベント到着率表記憶部２６０に記憶する。到着率計算部１０２は、そのような処理を、イベント履歴ＤＢ記憶部１３０に存在する全てのイベントについて行う（図４ＡにおけるステップＡ２１０）。

　図１９は、本発明の第２の実施形態におけるイベント到着率表記憶部２６０が記憶する、イベント型と到着率との関連を示す参照テーブルの一例を示す図である。イベント到着率表は、イベント型と算出した到着率とを関連付けする。ここで、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントが時刻「２０１１／１１／２３　１０：００：００」から時刻「２０１１／１１／２３　１３：２０」までの３時間２０分の間、すなわち、１２，０００秒間のうちに、４８回発生するとする。その場合、到着率計算部１０２は、ＱｕｅｒｙＥｒｒｏｒ型イベントの発生率を、λＱｕｅｒｙＥｒｒｏｒ＝４８÷１２０００＝０．００４［／ｓｅｃ］のように算出する。　
　次に、発生確率計算部１０３は、イベント到着率表記憶部２６０を参照しながら、イベントごとに一定時間間隔Ｗ［ｓｅｃ］でのイベント発生確率を、下記のように計算し、その算出した値を発生確率表記憶部２８０に記憶する（ステップＡ２２０）。

　Ｗ＝３００［ｓｅｃ］とすると、例えば、発生確率計算部１０３は、ＱｕｅｒｙＥｒｒｏｒ型のイベントが発生する確率を、式４に従い、Ｐｒ（｜ＱｕｅｒｙＥｒｒｏｒ｜＞０｜Ｗ）＝１－ｅｘｐ（－λＱｕｅｒｙＥｒｒｏｒ×Ｗ）＝１―ｅｘｐ（－０．００４×３００）＝０．６９８８０６のように算出する。次に、発生確率計算部１０３は、図１６に示すように、算出した値と、そのイベント型を関連付けて、発生確率表記憶部２８０に保存する。図１６は、本発明の第２の実施形態における発生確率表記憶部２８０が記憶する、イベント型と発生確率との関連を示す参照テーブルの一例を示す図である。

　イベント型ウィンドウ分割部２１０は、時刻を一定時間間隔Ｗ［ｓｅｃ］で切り分ける。ここでは、その切り分けられた個々の時間を、それぞれ、ウィンドウと呼ぶ。次に、イベント型ウィンドウ分割部２１０は、ウィンドウにおいて発生したイベントを、イベント履歴ＤＢ記憶部１３０から探す。次に、イベント型ウィンドウ分割部２１０は、そのイベントが持つイベント型の種類とウィンドウとを関連付けて、イベント型ウィンドウ表記憶部２２０に保存する（図４ＡにおけるステップＡ１１０）。

　規則生成部２３０は、以下のように動作する。ステップＡ２２０及びステップＡ１１０が完了したのち、規則生成部２３０は、初期におけるイベント組み合わせを２と設定する（ステップＢ１２０）。次に、組み合わせ生成部４１０は、イベント型ウィンドウ表記憶部２２０の値を参照し、規則生成部２３０が設定したイベント組み合わせ数分のイベントの組み合わせを生成する（ステップＢ１３０）。即ち、初期において、組み合わせ生成部４１０は、２種類のイベントを組み合わせる。

　図２５におけるイベント型ウィンドウ表においては、４種類のイベント型が存在する。規則生成部２３０がイベント型組み合わせ数を２と設定した場合、組み合わせ生成部４１０は、以下に示す、６種類のイベント組み合わせを生成する。

　　　「ＱｕｅｒｙＥｒｒｏｒ」，「ＤＢＥｒｒｏｒ」、
　　　「ＱｕｅｒｙＥｒｒｏｒ」，「ＮＷＣｏｎｇｅｓｔｉｏｎ」、
　　　「ＱｕｅｒｙＥｒｒｏｒ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」、
　　　「ＤＢＥｒｒｏｒ」，「ＮＷＣｏｎｇｅｓｔｉｏｎ」、
　　　「ＤＢＥｒｒｏｒ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」、
　　　「ＮＷＣｏｎｇｅｓｔｉｏｎ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」。

　次に、最小支持度計算部４３０は、それぞれのイベント組み合わせについて、発生確率表記憶部２８０におけるテーブルと、想定誤検出率記憶部１２０に存する値を参照しつつ、以下に例示するような処理方法に従って、最小支持度記憶部４４０を算出する（ステップＢ１４０）。

　即ち、最小支持度計算部４３０は、以下のように処理を行う。ただし、この例では、想定誤検出率記憶部１２０は、０．１という値を記憶するとする。以下では、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントと、ＤＢＥｒｒｏｒ型を持つイベントとのイベント型組み合わせにおける最小支持度を算出する場合を例にして、最小支持度計算部４３０の動作について説明する。

　最小支持度計算部４３０は、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントとＤＢＥｒｒｏｒ型を持つイベントとが、確率的に独立して発生すると仮定して、計算を行う。即ち、最小支持度計算部４３０は、一定時間間隔Ｗ［ｓｅｃ］でのウィンドウにおいて、以下に示す処理に従って、上記のイベントが同時に発生する確率を算出する。

　　Ｐ（ＱｕｅｒｙＥｒｒｏｒ＆ＤＢＥｒｒｏｒ｜Ｗ）＝Ｐ（ＱｕｅｒｙＥｒｒｏｒ｜Ｗ）×Ｐ（ＤＢＥｒｒｏｒ｜Ｗ）＝０．６９８８０６×０．２５９１８２＝０．１８１１１８。

　次に、最小支持度計算部４３０は、算出した確率Ｐ（ＱｕｅｒｙＥｒｒｏｒ＆ＤＢＥｒｒｏｒ｜Ｗ）に基づき、ｍｉｎ｛ｓ｜Ｐｒ（Ｘ＞Ｎｗｓ｜Ｂ（Ｎｗ，Ｐ（ＱｕｅｒｙＥｒｒｏｒ＆ＤＢＥｒｒｏｒ｜Ｗ）））＞ｐ０｝を算出し、算出した値を最小支持度とする。ただし、上記式におけるＸは、ＱｕｅｒｙＥｒｒｏｒとＤＢＥｒｒｏｒが同時発生するウィンドウ数を表す確率変数である。また、上記式は、Ｐｒ（Ｘ＞Ｎｗｓ｜Ｂ（Ｎｗ，Ｐ（ＱｕｅｒｙＥｒｒｏｒ＆ＤＢＥｒｒｏｒ｜Ｗ）））＞ｐ０を満たす最小のｓを算出することを意味している。

　次に、組み合わせ選抜部４５０は、以下に例示するような方法により、イベント組み合わせの支持度ＳＲを算出する。例えば、ＱｕｅｒｙＥｒｒｏｒとＤＢＥｒｒｏｒとがともに発生したウィンドウ数は、全ウィンドウ数Ｎｗ＝４０回のうち、１０回であるとする。その場合、組み合わせ選抜部４５０は、支持度ＳＲを１０÷４０＝０．２５として計算し、その値を出力する。

　次に、組み合わせ選抜部４５０は、算出した各イベント組み合わせの支持度ＳＲと、その組み合わせに関連付いた最小支持度の値とを比較する。その後、組み合わせ選抜部４５０は、最小支持度の値より算出した支持度ＳＲが大きい値を持つイベント組み合わせのみを残す（ステップＢ１５０）。

　図１７は、上記のような２種類のイベントの組み合わせと、その組み合わせにて算出した支持度ＳＲと、その最小支持度とを関連付けしたテーブルの一例を表す。図１７のテーブルは、上記６つのイベント型組み合わせについて、算出した支持度ＳＲなどを表す。

　次に、規則生成部２３０は、最小支持度の値よりも大きな支持度ＳＲを持つイベント型組み合わせが存在することを認識する。図１７に示したテーブルにおいて、最小支持度の値よりも算出した支持度ＳＲが大きいイベント型組み合わせは、ＱｕｅｒｙＥｒｒｏｒ型とＴｏｏＭａｎｙＲｅｑｕｅｓｔ型との組み合わせのみある。その他のイベント型組み合わせにおける支持度ＳＲの値は、いずれも最小支持度の値よりも小さい。そのため、組み合わせ選抜部４５０は、ＱｕｅｒｙＥｒｒｏｒ型とＴｏｏＭａｎｙＲｅｑｕｅｓｔ型とが組み合わされたイベント型組み合わせを抜き出す。

　そして、規則生成部２３０は、イベント型組み合わせの長さを１増やす（ステップＢ１７０）。即ち、この例において、イベント型組み合わせの長さは、３となるため、組み合わせ生成部４１０は、規則生成部２３０が設定した３に従って、３つのイベント組み合わせを作成し、その結果をイベント組み合わせ記憶部４２０に保存する。この例において、イベント組み合わせ記憶部４２０は、上述のようなイベント型組み合わせに対して、以下のイベント型組み合わせを作成する。

　　　「ＱｕｅｒｙＥｒｒｏｒ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」，「ＮＷＣｏｎｇｅｓｔｉｏｎ」、
　　　「ＱｕｅｒｙＥｒｒｏｒ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」，「ＤＢＥｒｒｏｒ」。

　最小支持度計算部４３０は、これらの２種類のイベント組み合わせについて、上述した方法に従って、それぞれ最小支持度を算出する（ステップＢ１４９）。次に、組み合わせ選抜部４５０は、イベント型組み合わせの支持度ＳＲを算出し、算出された支持度ＳＲの値と最小支持度記憶部４４０に存在する値との大小を比較する。上述したように、組み合わせ選抜部４５０は、最小支持度の値より算出した支持度ＳＲの方が大きいイベント型組み合わせのみを残す（ステップＢ１５０）。

　ここで、上記２種類のイベント型組み合わせにおける支持度ＳＲは、ともに最小支持度よりも小さな値であるとする。図１７に示すように、算出した支持度ＳＲが、最後に最小支持度の値を上回った、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントとＴｏｏＭａｎｙＲｅｑｕｅｓｔ型を持つイベントとのイベント型組み合わせが、依存ルール生成部４６０における処理対象になる。

　依存ルール生成部４６０は、イベント組み合わせ記憶部４２０に存在する値を参照することにより、「ＱｕｅｒｙＥｒｒｏｒ」，「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」という値を読み出す。次に、依存ルール生成部４６０は、下記のような処理を行い、依存ルールを生成する（ステップＢ２１０）。

　この例において、組み合わせ選抜部４５０が、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントとＴｏｏＭａｎｙＲｅｑｕｅｓｔ型を持つイベントとのイベント型組み合わせを残したのに応じて、依存ルールは、下記の２種類である。

　　　ＱｕｅｒｙＥｒｒｏｒ⇒ＴｏｏＭａｎｙＲｅｑｕｅｓｔ、
　　　ＴｏｏＭａｎｙＲｅｑｕｅｓｔ⇒ＱｕｅｒｙＥｒｒｏｒ。

　最小信頼度計算部４８０は、依存ルールごとに、発生確率表記憶部２８０における値と、想定誤検出率記憶部１２０における値とを参照しながら、下記の処理を行って、最小信頼度を算出し、算出した値を最小信頼度記憶部４９０に保存する（ステップＢ２２０）。

　例えば、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントが発生する回数は、３２回であるとする。さらに、ＱｕｅｒｙＥｒｒｏｒ型を持つイベントとＴｏｏＭａｎｙＲｅｑｕｅｓｔ型を持つイベントとが発生するウィンドウ数は、２１回であるとする。

　「ＱｕｅｒｙＥｒｒｏｒ⇒ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」という依存ルールの場合、最小信頼度計算部４８０は、Ｐｒ（ＴｏｏＭａｎｙＲｅｑｕｅｓｔ｜Ｗ）＝２１÷３２＝０．６５６２５を計算し、その値を最小信頼度の値とする。次に、依存ルール選抜部５１０は、依存ルールごとに信頼度ＴＲを算出する。その後、依存ルール選抜部５１０は、算出した信頼度ＴＲの値と、最小信頼度記憶部４９０において依存ルールに関連付いた値とを比較する。そして、依存ルール選抜部５１０は、その比較結果に基づき、最小信頼度の値より算出した信頼度ＴＲが高い依存ルールのみを残す（ステップＢ２３０）。

　図１８は、本発明の第２の実施形態における最小信頼度と信頼度ＴＲの一例を示す図である。図１８における最左の列は、依存ルール「Ａ⇒Ｂ」におけるＡを表し、図１８における最上位の行は、依存ルール「Ａ⇒Ｂ」におけるＢを表す。そして、図１８において、Ａを示す行とＢを示す列が交差する領域における数値は、算出した依存ルール「Ａ⇒Ｂ」の信頼度ＴＲの値を表す。

　図１８を参照すると、依存ルール「ＱｕｅｒｙＥｒｒｏｒ⇒ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」の信頼度ＴＲは、０．６５６２５であり、依存ルール「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ⇒ＱｕｅｒｙＥｒｒｏｒ」の信頼度ＴＲは、０．８４であることがわかる。

　図１８の最下位の行は、依存ルール「Ａ⇒Ｂ」における最小信頼度の値を、Ｂを表す列に関連付けている。依存ルール「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ⇒ＱｕｅｒｙＥｒｒｏｒ」における最小信頼度が０．８であるため、算出した信頼度ＴＲである０．８４は、最小信頼度よりも大きい。同様に、依存ルール「ＱｕｅｒｙＥｒｒｏｒ⇒ＴｏｏＭａｎｙＲｅｑｕｅｓｔ」における最小信頼度が０．６５であるため、算出した信頼度ＴＲである０．６５６２５は、最小信頼度よりも大きい。

　そのため、依存ルール選抜部５１０は、上述したような比較の結果に従い、上記２つの依存ルールともイベント相関規則とする。次に、依存ルール選抜部５１０は、その２つの依存ルールをイベント相関規則記憶部１７０に記憶する（ステップＢ２４０）。

　図９は、本発明の第２の実施形態におけるイベント相関検出処理に関するフローチャートである。次に、図９を参照しながら、具体的な例を用いて、イベント相関検出処理について示す。

　まず、ウィンドウ分割部１４０は、イベント発生源（例えば、図２１におけるイベント発生源１１０）が発生したイベントを受信する。次に、ウィンドウ分割部１４０は、発生時刻に応じて、一定時間間隔Ｗごとにイベントを分類する。そして、ウィンドウ分割部１４０は、分割したウィンドウと、ウィンドウに発生したイベントなどとを関連付けし、その結果をイベント型ウィンドウ表記憶部２２０に記録する（ステップＥ１１０）。

　図２４は、イベントウィンドウ表の具体例を示す図である。図２４において、ウィンドウ１（Ｗ＃＝１）において発生したイベント（Ｅ＃＝２３４３）に関連したＴｏｏＭａｎｙＲｅｑｕｅｓｔ型と、イベント（Ｅ＃＝２３４５）に関連したＱｕｅｒｙＥｒｒｏｒ型とが、一つのウィンドウで発生していることがわかる。このことは、作成したイベント相関規則「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ⇒ＱｕｅｒｙＥｒｒｏｒ」に対応している。

　次に、イベント相関用ルールエンジン部１６０は、作成したイベント相関規則「ＴｏｏＭａｎｙＲｅｑｕｅｓｔ⇒ＱｕｅｒｙＥｒｒｏｒ」に従い、イベント型ウィンドウ表２２０に記録されたイベントの間で相関のあるイベント（Ｅ＃＝２３４３とＥ＃＝２３４５）を選び出す。

　即ち、本発明の実施形態によれば、許容可能な程度に誤検出率に抑えることができる。

　（ハードウェア構成例）
　図２０は、本発明の各実施形態に係るイベント相関検出システムを実現可能な計算処理装置のハードウェア構成を、概略的に示すブロック図である。

　次に、上述した各実施形態におけるイベント相関検出システムを、１つの計算処理装置（情報処理装置、コンピュータ）を用いて実現するハードウェア資源の構成例について説明する。但し、係るイベント相関検出システムは、物理的または機能的に少なくとも２種類の計算処理装置を用いて実現してもよい。また、係るイベント相関検出システムは、専用の装置として実現してもよい。

　図２０は、第１または第２の実施形態に係るイベント相関検出システムを実現可能な計算処理装置のハードウェア構成を概略的に示す図である。計算処理装置２３０６は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）２３０１、メモリ２３０２、ディスク２３０３、出力装置２３０４、入力装置２３０５、および、不揮発性記録媒体２３０７（以降、「記録媒体」とも表す）を有する。

　不揮発性記録媒体２３０７は、コンピュータが読み取り可能な、例えば、コンパクトディスク（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）、デジタルバーサタイルディスク（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）、ブルーレイディスク（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ）、ユニバーサルシリアルバスメモリ（ＵＳＢメモリ）などを指しており、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。不揮発性記録媒体２３０７は、上述した媒体に限定されない。また、不揮発性記録媒体２３０７の代わりに、通信ネットワークを介して係るプログラムを持ち運びしても良い。

　分布確率逆計算部７３０は、ディスク２３０３が記憶するソフトウェア・プログラム（コンピュータ・プログラム）：以下、単にプログラムと称する）を、実行時にメモリ２３０２にコピーし、演算処理を実行する。分布確率逆計算部７３０は、プログラム実行に必要なデータをメモリ２３０２から読み込む。表示が必要な場合には、分布確率逆計算部７３０は、出力装置２３０４に出力結果を表示する。外部からプログラムを入力する場合、分布確率逆計算部７３０は、入力装置２３０５からプログラムを読み取る。分布確率逆計算部７３０は、メモリ２３０２にあるイベント相関検出プログラム解釈し実行を行う。分布確率逆計算部７３０は、上述した各実施形態において参照したフローチャート（図２、図４Ａ、図４Ｂ、図９、図１１、図１３）、式に応じた処理を順次行う。

　即ち、このような場合、本発明は、係るイベント相関検出プログラムによっても成し得ると捉えることができる。更に、係るイベント相関検出プログラムが記録されたコンピュータ読み取り可能な記録媒体によっても、本発明は成し得ると捉えることができる。

　尚、上述した各実施形態の一部又は全部は、以下の付記のようにも記載されうる。しかしながら、上述した各実施形態により例示的に説明した本発明は、以下には限られない。即ち、
　（付記１）
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を算出する到着率計算部と、
　前記イベント型ごとに、前記到着率と前記所定の時間間隔とに基づいて、前記イベント型が発生する第１確率を算出する発生確率計算部と、
　前記第１確率に基づいて、前記複数のイベント型が発生する第２確率を計算し、前記第２確率に基づいてイベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を算出する閾値計算部と、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出するイベント相関用ルールエンジン部とを
備えるイベント相関検出システム。

　（付記２）
　前記イベント型を前記所定の時間間隔ごとに分類し、各前記所定の時間間隔と、分類した前記イベント型の集合を関連付けして、ウィンドウを生成するウィンドウ分割部をさらに備え、
　前記到着率計算部は、前記ウィンドウに応じて計算を行う
付記１に記載のイベント相関検出システム。

　（付記３）
　前記ウィンドウに存在する複数の前記イベント型を組にし、その組を集めることによって、第１組み合わせを生成する組み合わせ生成部と、
　前記第１組み合わせに含まれる前記組に存在するイベント型が全て出現する前記ウィンドウの個数と、全ての前記ウィンドウの個数との比である支持度を計算し、前記第１組み合わせから、前記支持度が前記最小支持度より大きな値を持つ特定の前記組を、第２組み合わせとして選抜する組み合わせ選抜部と、
　前記第２組み合わせに存在する組におけるイベント型の中から、一つのイベント型を帰結とし、残りのイベント型を前提条件とする依存ルールを生成する依存ルール生成部と、
　前記依存ルールに出現する前記イベント型が出現するウィンドウの個数と、前記前提条件が出現する前記ウィンドウの個数との比である信頼度を算出する依存ルール選抜部とを、
さらに備え、
　前記イベント相関用ルールエンジン部は、前記信頼度と前記最小信頼度との大小に基づいて前記イベント型間における相関を検出する
付記２に記載のイベント相関検出システム。

　（付記４）
　前記組み合わせ生成部は、組み合わせ個数を２と設定し、
　前記組み合わせ生成部は、前記組み合わせ個数分の前記イベント型を組み合わせて前記組を作成する第１処理を行い、
　前記イベント相関用ルールエンジン部は、前記信頼度が前記最小信頼度よりも大きな値を持つ組が存在すると判定した場合には、前記第２組み合わせを第３組み合わせとして保持する第２処理を行ったのち、
　前記組み合わせ個数を１増やす第３処理を行い、
　前記イベント相関用ルールエンジン部が、前記信頼度が前記最小信頼度よりも大きな値を持つ組が存在しないと判定するまで、前記第１処理乃至前記第３処理を順次繰り返し、
　前記イベント相関用ルールエンジン部は、前記信頼度が前記最小信頼度よりも大きな値を持つ組が存在しないと判定する場合には、前記イベント相関用ルールエンジン部が最後に保持した特定の前記第３組み合わせを出力する
付記３に記載のイベント相関検出システム。

　（付記５）
　前記閾値計算部は、
　前記第１確率に基づいて、前記第２確率を計算し、その計算した値をまとめて確率分布Ｇ（ｉ）を生成する確率分布計算部と、
　前記確率分布Ｇ（ｉ）（但しｉは、自然数）においてｉの値が特定値以上におけるＧ（ｉ）の総和を取り、その算出した総和と全前記ウィンドウ数との積が、所定の想定誤検出率以下である範囲における最小の前記特定値を出力する分布確率計算部とを
有する付記２に記載のイベント相関検出システム。

　（付記６）
　前記閾値計算部は、
　　　Ｐｒ（｜Ｅ｜＞０｜Ｗ）＝１－ｅｘｐ（－λＥ×Ｗ）、
　　　（ただし、Ｗは、前記ウィンドウにおける時間間隔、
　　　λＥ＝ＮＥ÷Ｔ、
　　　ｅｘｐ（）は、指数関数、
　　　Ｔは、時間間隔、
　　　ＮＥは、時間間隔Ｔにおいて、イベント型Ｅが発生する回数、
　　　「｜Ｅ｜」は、イベント型Ｅを持つイベントが発生する回数、
　　　Ｐｒ（｜Ｅ｜＞０｜Ｗ）は、ウィンドウにおける時間間隔Ｗにおいて、イベント型Ｅを持つイベントを持つイベントが発生する確率である）、
　の処理に従い、前記第１確率をあらわすＰｒ（｜Ｅ｜＞０｜Ｗ）を計算し、前記第１確率に基づいて、前記第２確率を計算し、前記第２確率に基づいて前記最小支持度を算出する付記２に記載のイベント相関検出システム。

　（付記７）
　前記閾値計算部は、
　　　Ｐｒ（Ｒ｜Ｗ）＝Ｐｒ（｜Ａ｜＞０｜Ｗ）、
　　　（ただし、Ｒは、依存ルール、
　　　Ａは、前記依存ルールにおける前記帰結、
　　　Ｗは、前記ウィンドウの時間間隔、
　　　「｜Ａ｜」は、イベント型Ａを持つイベントが発生する回数、
　　　Ｐｒ（｜Ａ｜＞０｜Ｗ）は、前記ウィンドウにおける時間間隔Ｗにおいて、イベント型Ａを持つイベントを持つイベントが少なくとも１回以上発生する確率、
　　　Ｐｒ（Ｒ｜Ｗ）は、「前記ウィンドウにおける時間間隔Ｗにおいて、依存ルールＲが発生する」確率である）、
　の処理に従い前記第１確率を表すＰｒ（Ｒ｜Ｗ）を計算し、前記第１確率に基づいて、前記第２確率を計算し、前記第２確率に基づいて前記最小信頼度を算出する
付記２に記載のイベント相関検出システム。

　（付記８）
　前記閾値計算部は、前記ウィンドウに存在する前記時間間隔数と前記第１確率との２項分布の計算処理に従って、前記確率分布を計算し、前記確率分布に基づいて前記最小支持度を算出する
付記５に記載のイベント相関検出システム。

　（付記９）
　前記閾値計算部は、前記ウィンドウに存在する前記時間間隔数と前記第１確率との２項分布の計算処理に従って、前記確率分布を計算し、前記確率分布に基づいて前記最小信頼度を算出する付記５に記載のイベント相関検出システム。

　（付記１０）
　前記閾値計算部は、
　　　（Σｉ＞ｓ＿Ｎｗ×Ｇ（ｉ））＜ｐ０、
　　　（ただし、Ｎｗは、全前記ウィンドウの個数、
　　　Ｇ（ｉ）は、前記λＥに基づいて算出した前記確率分布、
　　　（Σｉ＞ｓ＿Ｎｗ×Ｇ（ｉ））は、ｔよりも大きなｉについてＮｗ×Ｇ（ｉ）の総和値、
　　　ｐ０は、前記想定誤検出率、
　　　ｉは、自然数である）、
　を満たす最小のｓを計算し、その算出値を前記最小支持度とする
付記５に記載のイベント相関検出システム。

　（付記１１）
　前記閾値計算部は、
　　　（Σｉ＞ｔ＿Ｎｗ×ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ））＜ｐ０
　　　（ただし、Ｎｗは、全前記ウィンドウの個数、
　　　ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ）は、前記依存ルールＲに基づいて算出した前記確率分布、
　　　（Σｉ＞ｔ＿Ｎｗ×ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ））は、ｔよりも大きなｉについてＮｗ×ｄＲ（Ｎｗ，Ｗ，Ｒ）（ｉ）の総和値、
　　　ｐ０は、前記想定誤検出率、
　　　ｉは、自然数である）、
　を満たす最小のｔを計算し、その算出値を前記最小信頼度とする
付記５に記載のイベント相関検出システム。

　（付記１２）
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を計算し、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を計算し、
　前記第１確率に基づいて、前記複数のイベント型が発生する第２確率を計算し、前記第２確率に基づいて、イベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を計算し、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出する
イベント相関検出方法。

　（付記１３）
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を算出する到着率機能と、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を算出する発生確率計算機能と、
　前記第１確率に基づいて、前記複数のイベント型が発生する第２確率を計算し、前記第２確率に基づいて、イベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を算出する閾値計算機能と、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出するイベント相関用ルールエンジン機能とを
コンピュータに実現させるコンピュータ・プログラム。

　以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。

　この出願は、２０１２年３月２６日に出願された日本出願特願２０１２－０６８６３９を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１６　　マイニングカーネル機能
　２６　　マイニングカーネルインタフェース機能
　２８　　マイニング結果記録機能
　１０１　　イベント相関検出システム
　１０２　　到着率計算部
　１０３　　発生確率計算部
　１０４　　閾値計算部
　１０５　　イベント相関検出システム
　１１０　　イベント発生源
　１１５　　ＧＵＩ
　１２０　　想定誤検出率記憶部
　１３０　　イベント履歴ＤＢ記憶部
　１４０　　ウィンドウ分割部
　１５０　　イベント型ウィンドウ表記憶部
　１６０　　イベント相関用ルールエンジン部
　１７０　　イベント相関規則記憶部
　２１０　　イベント型ウィンドウ分割部
　２２０　　イベント型ウィンドウ表記憶部
　２３０　　規則生成部
　２４０　　ルール候補記憶部
　２６０　　イベント到着率表記憶部
　２８０　　発生確率表記憶部
　３１０　　閾値記憶部
　４１０　　組み合わせ生成部
　４２０　　イベント組み合わせ記憶部
　４３０　　最小支持度計算部
　４４０　　最小支持度記憶部
　４５０　　組み合わせ選抜部
　４６０　　依存ルール生成部
　４７０　　依存ルール記憶部
　４８０　　最小信頼度計算部
　４９０　　最小信頼度記憶部
　５１０　　依存ルール選抜部
　６１０　　確率分布計算部
　６２０　　確率分布記憶部
　６３０　　分布確率逆計算部
　７１０　　確率分布計算部
　７２０　　確率分布記憶部
　７３０　　分布確率逆計算部
　２３０１　　ＣＰＵ
　２３０２　　メモリ
　２３０３　　ディスク
　２３０４　　出力装置
　２３０５　　入力装置
　２３０６　　計算処理装置
　２３０７　　不揮発性記録媒体
　１００１　　ウィンドウ分割部
　１００２　　イベント型ウィンドウ分割部
　１００３　　イベント相関用ルールエンジン部
　１００４　　イベント履歴Ｄａｔａｂａｓｅ記憶部
　１００５　　イベント型ウィンドウ分割部
　１００６　　イベント型ウィンドウ表記憶部
　９３０　　規則生成部
　１００８　　イベント相関規則記憶部

Claims

　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を計算する到着率計算部と、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を計算する発生確率計算部と、
　前記第１確率に基づいて、前記複数のイベント型が発生する第２確率を計算し、前記第２確率に基づいて、イベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を計算する閾値計算部と、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出するイベント相関用ルールエンジン部とを
備えることを特徴とするイベント相関検出システム。
　前記イベント型を前記時間間隔ごとに分類し、各前記所定の時間間隔と、分類した前記イベント型の集合を関連付けして、ウィンドウを生成するウィンドウ分割部をさらに備え、
　前記到着率計算部は、前記ウィンドウに応じて計算を行う
ことを特徴とする請求項１に記載のイベント相関検出システム。
　前記ウィンドウに存在する複数の前記イベント型を組にし、その組を集めることによって、第１組み合わせを生成する組み合わせ生成部と、
　前記第１組み合わせに含まれる前記組に存在するイベント型が全て出現する前記ウィンドウの個数と、全ての前記ウィンドウの個数との比である支持度を計算し、前記第１組み合わせから、前記支持度が前記最小支持度より大きな値を持つ特定の前記組を、第２組み合わせとして選抜する組み合わせ選抜部と、
　前記第２組み合わせに存在する組におけるイベント型の中から、一つのイベント型を帰結とし、残りのイベント型を前提条件とする依存ルールを生成する依存ルール生成部と、
　前記依存ルールに出現する前記イベント型が出現するウィンドウの個数と、前記前提条件が出現する前記ウィンドウの個数との比である信頼度を計算する依存ルール選抜部とを、
さらに備え、
　前記イベント相関用ルールエンジン部は、前記信頼度と前記最小信頼度との大小に基づいて前記イベント型間における相関を検出する
ことを特徴とする請求項２に記載のイベント相関検出システム。
　前記組み合わせ生成部は、組み合わせ個数を２と設定し、
　前記組み合わせ生成部は、前記組み合わせ個数分の前記イベント型を組み合わせて前記組を作成する第１処理を行い、
　前記イベント相関用ルールエンジン部は、前記信頼度が前記最小信頼度よりも大きな値を持つ組が存在すると判定した場合には、前記第２組み合わせを第３組み合わせとして保持する第２処理を行ったのち、
　前記組み合わせ個数を１増やす第３処理を行い、
　前記イベント相関用ルールエンジン部が、前記信頼度が前記最小信頼度よりも大きな値を持つ組が存在しないと判定するまで、前記第１処理乃至前記第３処理を順次繰り返し、
　前記イベント相関用ルールエンジン部は、前記信頼度が前記最小信頼度よりも大きな値を持つ組が存在しないと判定した場合には、前記イベント相関用ルールエンジン部が最後に保持した特定の前記第３組み合わせを出力する
ことを特徴とする請求項３に記載のイベント相関検出システム。
　前記閾値計算部は、
　前記第１確率に基づいて、前記第２確率を計算し、その計算した値をまとめて確率分布Ｇ（ｉ）（但しｉは、自然数）を生成する確率分布計算部と、
　前記確率分布Ｇ（ｉ）においてｉの値が特定値以上におけるＧ（ｉ）の総和を取り、その算出した総和と全前記ウィンドウ数との積が、所定の想定誤検出率以下である範囲における最小の前記特定値を出力する分布確率計算部と、
から構成されることを特徴とする請求項２乃至４のいずれか１項に記載のイベント相関検出システム。
　前記閾値計算部は、
　　　Ｐｒ（｜Ｅ｜＞０｜Ｗ）＝１－ｅｘｐ（－λＥ×Ｗ）、
　　　（ただし、Ｗは、前記ウィンドウにおける時間間隔、
　　　λＥ＝ＮＥ÷Ｔ、
　　　ｅｘｐ（）は、指数関数、
　　　Ｔは、時間間隔、
　　　ＮＥは、時間間隔Ｔにおいて、イベント型Ｅが発生する回数、
　　　「｜Ｅ｜」は、イベント型Ｅを持つイベントが発生する回数、
　　　Ｐｒ（｜Ｅ｜＞０｜Ｗ）は、ウィンドウにおける時間間隔Ｗにおいて、イベント型Ｅを持つイベントを持つイベントが発生する確率である）、
　の処理に従い、前記第１確率をあらわすＰｒ（｜Ｅ｜＞０｜Ｗ）を計算し、前記第１確率に基づいて、前記第２確率を計算し、前記第２確率に基づいて前記最小支持度を計算する
ことを特徴とする、請求項２乃至５のいずれか１項に記載のイベント相関検出システム。
　前記閾値計算部は、
　　　Ｐｒ（Ｒ｜Ｗ）＝Ｐｒ（｜Ａ｜＞０｜Ｗ）、
　　　（ただし、Ｒは、依存ルール、
　　　Ａは、前記依存ルールにおける前記帰結、
　　　Ｗは、前記ウィンドウの時間間隔、
　　　「｜Ａ｜」は、イベント型Ａを持つイベントが発生する回数、
　　　Ｐｒ（｜Ａ｜＞０｜Ｗ）は、前記ウィンドウにおける時間間隔Ｗにおいて、イベント型Ａを持つイベントを持つイベントが少なくとも１回以上発生する確率、
　　　Ｐｒ（Ｒ｜Ｗ）は、「前記ウィンドウにおける時間間隔Ｗにおいて、依存ルールＲが発生する」確率である）、
　の処理に従い前記第１確率を表すＰｒ（Ｒ｜Ｗ）を計算し、前記第１確率に基づいて、前記第２確率を計算し、前記第２確率に基づいて前記最小信頼度を計算する
ことを特徴とする、請求項２乃至６のいずれか１項に記載のイベント相関検出システム。
　前記閾値計算部は、
　　　（Σｉ＞ｓ＿Ｎｗ×Ｇ（ｉ））＜ｐ０、
　　　（ただし、Ｎｗは、全前記ウィンドウの個数、
　　　Ｇ（ｉ）は、前記λＥに基づいて算出した前記確率分布、
　　　（Σｉ＞ｓ＿Ｎｗ×Ｇ（ｉ））は、ｔよりも大きなｉについてＮｗ×Ｇ（ｉ）の総和値、
　　　ｐ０は、前記想定誤検出率、
　　　ｉは、自然数である）、
　を満たす最小のｓを計算し、その算出値を前記最小支持度とする
ことを特徴とする請求項５あるいは６のいずれか１項に記載のイベント相関検出システム。
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を計算し、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を計算し、
　前記第１確率に基づいて、前記複数のイベント型が同時に発生する第２確率を計算し、前記第２確率に基づいて、イベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を計算し、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出する
ことを特徴とするイベント相関検出方法。
　複数のイベント型を対象として、
　前記イベント型ごとに、前記イベント型が所定の時間間隔において到着する到着率を計算する到着率機能と、
　前記イベント型ごとに、前記到着率と前記時間間隔とに基づいて、前記イベント型が発生する第１確率を計算する発生確率計算機能と、
　前記第１確率に基づいて、前記複数のイベント型が同時に発生する第２確率を計算し、前記第２確率に基づいて、イベント型組み合わせに対する最小支持度及び依存ルールに対する最小信頼度を計算する閾値計算機能と、
　前記最小支持度と前記最小信頼度に応じて前記複数のイベント型間における相関を検出するイベント相関用ルールエンジン機能とを
コンピュータに実現させるコンピュータ・プログラム。