WO2020003460A1

WO2020003460A1 - 異常検知装置

Info

Publication number: WO2020003460A1
Application number: PCT/JP2018/024682
Authority: WO
Inventors: 毅彦溝口
Original assignee: 日本電気株式会社
Priority date: 2018-06-28
Filing date: 2018-06-28
Publication date: 2020-01-02
Also published as: US11640459B2; US20210224383A1; JP7031743B2; JPWO2020003460A1

Abstract

第１の異常検知部は、被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する。第２の異常検知部は、第１の異常検知部と並行して動作し、被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する。第１の記憶部は、異常な第１の被監視データと異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された異常な第２の被監視データとを関連付けて記憶する。第１の判定部は、異常な第１の被監視データが検知されたとき、その異常な第１の被監視データに関連付けられている異常な第２の被監視データを第１の記憶部から読み出し、読み出した異常な第２の被監視データと検知された異常な第１の被監視データとを含む第１の異常検知結果を出力する。

Description

異常検知装置

　本発明は、異常検知装置、異常検知方法、およびコンピュータ読み取り可能な記録媒体に関する。

　各種の設備やシステムで異常が発生した場合、発生した異常を速やかに検知することが重要である。そのための異常検知方法が各種提案されている。

　例えば、特許文献１では、Ｗｅｂサーバ等の被監視システムからＣＰＵ使用率、メモリ使用量などの複数の性能指標の計測値を被監視データとして収集し、この収集した性能指標の計測値を正常時の計測値と比較することにより、異常な性能指標を異常項目として検知している。

　また、特許文献２では、Ｗｅｂサーバ等の被監視システムからシステムログを被監視データとして収集し、この収集したシステムログを正常時のシステムログと比較することにより、異常なシステムログを検知している。また特許文献２では、システムログに基づく異常検知と並行して、ＳＮＳ情報を被監視データとして収集してネガティブな呟きに基づく異常検知を行い、双方の被監視データで異常があれば、障害が発生したと判断する。そして、特許文献２では、過去に異常検知したシステムログの単語出現分布と今回異常検知したシステムログの単語出現分布とを比較することにより、発生した障害がサイレント障害か否かを判定している。

ＷＯ２０１１／０８３６８７号公報特開２０１５－２８７００号公報

　上述したように、被監視システムの異常を検知するために利用する被監視データは、各種のものがある。例えば特許文献１では、ＣＰＵ使用率、メモリ使用量などの性能指標の計測値を被監視データとして利用している。また、例えば特許文献２では、システムログを被監視データとし、さらにＳＮＳ情報を被監視データとして利用している。そして、一般に被監視データのそれぞれには一長一短がある。例えば、システムログによる異常検知は、異常の原因を特定するのが容易であるという長所がある。しかし、システムログによる異常検知は、性能指標の計測値に異常が生じた後に異常ログが出力されるプラントなどの被監視システムでは、性能指標の計測値による異常検知と比較して、異常の早期検知は困難である。一方、性能指標の計測値による異常検知は、プラントなどの被監視システムではシステムログによる異常検知が行われる以前に異常を検知できる利点があるが、異常の原因を特定するのは困難である。

　以上のことから、被監視システムで発生した異常を総合的に判断するためには、種類の異なる複数の被監視データの異常を検知することが望ましい。しかし、上述したプラントなどの被監視システムに見られるように、複数の被監視データのそれぞれに異常が検知されるタイミングはずれている。即ち、プラントなどの被監視システムでは、先ず性能指標の計測値に異常が検知され、その後しばらくしてからシステムログに異常が検知される。そのため、特許文献２に記載されるように複数の被監視データの異常を単に検知する構成では、異常が発生してから複数の被監視データの異常が出揃うまでに長時間を要する。その結果、複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することは困難になる。

　本発明の目的は、上述した課題、すなわち、複数の被監視データの異常を組み合わせ早期に総合的な判断を実施できない、という課題を解決する異常検知装置を提供することにある。

　本発明の一形態に係る異常検知装置は、
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する第１の異常検知部と、
　前記第１の異常検知部と並行して動作し、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する第２の異常検知部と、
　前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部と、
　前記異常な第１の被監視データが検知されたとき、該検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを前記第１の記憶部から読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する第１の判定部と、を備える。

　また本発明の他の形態に係る異常検知方法は、
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知し、
　前記異常な第１の被監視データの検知と並行して、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知し、
　前記異常な第１の被監視データが検知されたとき、前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部から、前記検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する。

　また本発明の他の形態に係るコンピュータ読み取り可能な記録媒体は、
　コンピュータを、
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する第１の異常検知部と、
　前記第１の異常検知部と並行して動作し、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する第２の異常検知部と、
　前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部と、
　前記異常な第１の被監視データが検知されたとき、該検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを前記第１の記憶部から読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する第１の判定部と、
して機能させるプログラムを記録する。

　本発明は、上述した構成を有することにより、複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。

本発明の第１の実施の形態に係る異常検知装置のブロック図である。本発明の第１の実施の形態に係る異常検知装置における第１の学習部の動作を説明する概念図である。本発明の第１の実施の形態に係る異常検知装置における第１のモデルの内容例を示す図である。本発明の第１の実施の形態に係る異常検知装置における記憶部に記憶されているデータ例を示す図である。本発明の第１の実施の形態に係る異常検知装置における判定部の処理例を示すフローチャートである。本発明の第２の実施の形態に係る異常検知装置のブロック図である。本発明の第２の実施の形態に係る異常検知装置における記憶部に記憶されているデータ例を示す図である。本発明の第２の実施の形態に係る異常検知装置における判定部の処理例を示すフローチャートである。本発明の第３の実施の形態に係る異常検知装置のブロック図である。本発明の第３の実施の形態に係る異常検知装置における第１の判定部の処理例を示すフローチャートである。本発明の第３の実施の形態に係る異常検知装置における第２の判定部の処理例を示すフローチャートである。本発明の第３の実施の形態に係る異常検知装置のブロック図である。本発明に係る異常検知装置を実現する情報処理装置の構成例を示す図である。

　次に本発明の実施の形態について図面を参照して詳細に説明する。
［第１の実施の形態］
　図１は、本発明の第１の実施の形態に係る異常検知装置１００のブロック図である。図１を参照すると、異常検知装置１００は、有線または無線による通信路あるいはネットワークを通じて被監視システム２００に接続されている。

　被監視システム２００は、異常検知の対象となるシステムである。本実施の形態では、異常が起きると、先ずセンサの計測値に異常が生じた後に異常ログが出力されるプラントシステムなどを被監視システム２００とする。プラントシステムとしては、例えば発電プラント、化学プラント、水処理プラント、石油プラントなどが例示できる。被監視システム２００は、複数の装置２０１から構成される。被監視システム２００がプラントシステムの場合、装置２０１は、例えば、ボイラ、タービン、発電装置、制御コンピュータなどのプラント設備である。但し、被監視システム２００は、プラントシステムに限定されない。

　装置２０１は、装置２０１の各計測項目の計測値を計測するセンサ２０２を備えている。センサ２０２の計測項目は、例えば、温度、圧力、流量などである。センサ２０２は、センサデータ２１０を出力する。センサデータ２１０は、例えば、センサ２０２を一意に識別するセンサＩＤと、計測項目の計測値と、計測時刻を示すタイムスタンプとを含んでいる。計測項目は、性能指標とも呼ばれる。計測項目の計測値は、性能情報とも呼ばれる。

　また、装置２０１は、テキスト形式のログデータ２１１を出力するログ記録部２０３を備えている。ログデータ２１１は、例えば、装置２０１の稼働状況や操作履歴を表すテキストメッセージと、採取時刻を示すタイムスタンプとを含んでいる。ログデータは、テキストログ、イベント情報とも呼ばれる。

　異常検知装置１００は、被監視システム２００の異常を検知する装置である。異常検知装置１００は、センサ２０２のセンサデータ２１０およびログ記録部２０３のログデータ２１１に基づいて、被監視システム２００の異常を検知するように構成されている。異常検知装置１００は、収集部１０１と、第１の学習部１０２と、第２の学習部１０３と、第１のモデル１０４と、第２のモデル１０５と、第１の異常検知部１０６と、第２の異常検知部１０７と、判定部１０８と、記憶部１０９と、出力部１１０とを備えている。

　収集部１０１は、被監視システム２００からセンサデータ２１０を定期的に収集するように構成されている。例えば、収集部１０１は、センサ２０２毎に、センサデータ２１０を例えば１分毎に収集する。定期的に収集されたセンサ２０２のセンサデータ２１０における計測値を時系列に並べたデータは、当該センサ２０２の時系列データと呼ばれる。時系列データは、センサ２０２毎に存在する。また、収集部１０１は、被監視システム２００からログデータ２１１をリアルタイムに収集する。収集部１０１は、収集したセンサデータ２１０を第１の学習部１０２および第１の異常検知部１０６へ供給するように構成されている。また、収集部１０１は、収集したログデータ２１１を第２の学習部１０３および第２の異常検知部１０７へ供給するように構成されている。

　第１の学習部１０２は、被監視システム２００の正常運用中に、収集部１０１から供給されるセンサデータ２１０に基づいて、センサデータ２１０の時系列データ間に存在する不変的な相関関係（インバリアント）を自動的に抽出するように構成されている。正常運用中のセンサデータの時系列データは、正常時系列データとも呼ばれる。また、第１の学習部１０２は、抽出した相関関係を数式で表現し、当該数式を含むモデルデータを第１のモデル１０４として記憶するように構成されている。相関関数を表現する数式は、例えば、ｙ＝ｆ（Ｘ）の形式とすることができる。この数式は、一方のセンサデータの計測値ｙを他方のセンサデータの計測値Ｘの関数として定義している。関数ｆ（Ｘ）の次数や定数項は、計測値Ｘの値から計測値ｙの値が精度良く求まるように決定される。数式は、予測式とも呼ばれる。

　図２は、第１の学習部１０２の動作を説明する概念図である。図中のグラフの縦軸は、センサの計測値、横軸は時間である。上段の２つのグラフは、左側がセンサＩＤ＝１のセンサの時系列データ２２１を示し、右側がセンサＩＤ＝２のセンサの時系列データ２２２を示している。両者は常に連動していて相関関係を数式で表現できるため、第１の学習部１０２は、これら２つの時系列データ２２１、２２２から、ｙ₂＝ｆ₁(Ｘ₁)なる数式を含むモデルデータを作成する。数式中のＸの添え字“１”とｙの添え字“２”は、センサＩＤを表している。即ち、Ｘ₁はセンサＩＤ＝１のセンサの計測値、ｙ₂はセンサＩＤ＝２のセンサの計測値である。また、中段の２つのグラフは、左側がセンサＩＤ＝３のセンサの時系列データ２２３を示し、右側がセンサＩＤ＝４のセンサの時系列データ２２４を示している。両者は常に連動していないため、第１の学習部１０２は、これら２つの時系列データ２２３、２２４からはモデルデータを作成しない。下段の２つのグラフは、左側がセンサＩＤ＝５のセンサの時系列データ２２５を示し、右側がセンサＩＤ＝６のセンサの時系列データ２２６を示している。両者は常に連動していて相関関係を数式で表現できるため、第１の学習部１０２は、これら２つの時系列データ２２５、２２６から、ｙ₆＝ｆ₂(Ｘ₅)なる数式を含むモデルデータを作成する。

　図３は、第１のモデル１０４の内容の一例を示す。第１のモデル１０４は、それぞれがモデルデータを格納する複数のエントリを有する。モデルデータは、第１のセンサＩＤ、第２のセンサＩＤ、および、数式から構成される。例えば、１行目のエントリには、第１のセンサＩＤ＝１、第２のセンサＩＤ＝２、第１のセンサＩＤのセンサの計測値Ｘ₁と第２のセンサＩＤのセンサの計測値ｙ₂とに存在する不変的な相関関係を表す数式：ｙ₂＝ｆ₁(Ｘ₁)から構成されるモデルデータが記憶されている。

　第１の異常検知部１０６は、被監視システム２００の運用中に、収集部１０１から供給されるセンサデータ２１０の時系列データ間に存在する不変的な相関関係が破壊されたか否かを検知するように構成されている。具体的には、第１の異常検知部１０６は、第１のモデル１０４に登録されたモデルデータ毎に、以下の処理を行う。

　まず、第１の異常検知部１０６は、実際に測定して得られた第１のセンサＩＤのセンサの測定値Ｘを、数式に代入して、第２のセンサＩＤのセンサの測定値ｙを算出する。次に、第１の異常検知部１０６は、算出したｙの値と実際に測定して得られた第２のセンサＩＤのセンサの測定値とを比較して、両者のずれ量を算出する。次に、第１の異常検知部１０６は、算出したずれ量を閾値と比較し、ずれ量が閾値以上であれば、相関関係が破壊されていると判断し、ずれ量が閾値未満であれば、相関関係が破壊されていないと判断する。第１の異常検知部１０６は、相関関係が破壊されたと判断した場合、第１の異常検知結果を判定部１０８に出力する。第１の異常検知結果は、例えば、相関関係が破壊されたセンサＩＤのペア（第１のセンサＩＤと第２のセンサＩＤ）、相関関係の破壊を検知した時刻、両センサの時系列データを含んでいる。

　例えば、図３の１行目のエントリに記憶されたモデルデータの場合、第１の異常検知部１０６は、センサＩＤ＝１のセンサの測定値Ｘ₁を関数ｆ₁(Ｘ₁)に代入して、センサＩＤ＝２のセンサの測定値ｙ₂を算出する。次に、第１の異常検知部１０６は、算出したｙ₂の値と実際に測定して得られたセンサＩＤ＝２のセンサの測定値ｙとを比較して、両者のずれ量Δを算出する。次に、第１の異常検知部１０６は、ずれ量Δを閾値ＴＨと比較し、ずれ量Δが閾値ＴＨ以上であれば、相関関係が破壊されていると判断し、ずれ量Δが閾値ＴＨ未満であれば、相関関係が破壊されていないと判断する。第１の異常検知部１０６は、相関関係が破壊されたと判断した場合、センサＩＤ＝１、ＩＤ＝２のペア、相関関係の破壊を検知した時刻ｔ、両センサの時系列データを含む第１の異常検知結果を判定部１０８に出力する。

　第２の学習部１０３は、被監視システム２００の正常運用中に、収集部１０１から供給されるログデータ２１１からログのパターンを抽出し、抽出したログのパターンを第２のモデル１０５として記憶するように構成されている。正常運用中のログデータは、正常ログデータ、正常テキストログとも呼ばれる。ログのパターンは、例えば、ログの形式（フォーマット）や可変部の取り得る範囲（変数の種類、値の範囲）といったパターンである。ログのパターンは、ログの特徴量とも呼ばれる。

　第２の異常検知部１０７は、被監視システム２００の運用中に、収集部１０１から供給されるログデータ２１１からログのパターンを抽出し、抽出したログのパターンと第２のモデル１０５に記憶されたログのパターンとを比較するように構成されている。また、第２の異常検知部１０７は、被監視システム２００の運用中に収集部１０１から供給されるログデータ２１１から抽出したログのパターンが、第２のモデル１０５に記憶された何れのログのパターンとも一致しない場合、当該ログデータ２１１を異常ログデータとして含む第２の異常検知結果を判定部１０８へ出力するように構成されている。

　記憶部１０９は、第１の異常検知部１０６において異常であると検知されたセンサＩＤのペア（時系列データ間の不変的な相関関係の破壊が検知された２つのセンサのＩＤペア）と、その検知時刻と、当該検知時刻から一定時間が経過するまでに第２の異常検知部１０７において異常であると検知されたログデータ（異常ログデータ）とを関連付けて記憶するように構成されている。記憶部１０９は、判定部１０８から参照および更新される。初期状態の記憶部１０９には、有意なデータは記録されていない。

　図４は、記憶部１０９に記憶されているデータの例を示す。記憶部１０９は、複数のエントリを有する。それぞれのエントリは、センサＩＤのペアと、検知時刻と、異常ログデータとから構成される。例えば、１行目のエントリには、センサＩＤ＝１、ＩＤ＝２のペアおよび検知時刻ｔ₁に対応付けて、ログデータＡが記録されている。

　判定部１０８は、第１の異常検知部１０６および第２の異常検知部１０７の検知結果に基づいて総合的な判断を行うことにより、第３の異常検知結果を生成するように構成されている。

　図５は、判定部１０８の処理の一例を示すフローチャートである。図５を参照すると、判定部１０８は、先ず第１の異常検知部１０６から第１の異常検知結果を受信したか否かを判定する（ステップＳ１）。次に判定部１０８は、第１の異常検知結果を受信した場合（ステップＳ１でＹＥＳ）、当該第１の異常検知結果中のセンサＩＤのペアに関連する異常ログデータが記憶部１０９に記憶されているか否かを調べる（ステップＳ２）。判定部１０８は、関連する異常ログデータが記憶部１０９に記憶されていたならば（ステップＳ２でＹＥＳ）、関連する異常ログデータを将来発生すると予想される異常ログデータとして記憶部１０９から読み出す（ステップＳ３）。次に判定部１０８は、第１の異常検知結果と将来発生すると予想した上記異常ログデータとを含む第３の異常検知結果を作成して出力部１１０に伝達し、その出力を依頼する（ステップＳ４）。そして、判定部１０８は、ステップＳ１に戻り、上述した処理と同様の処理を繰り返す。

　また、判定部１０８は、関連する異常ログデータが記憶部１０９に記憶されていなければ（ステップＳ２でＮＯ）、第１の異常検知結果を含む第３の異常検知結果を作成して出力部１１０に伝達し、その出力を依頼する（ステップＳ５）。次に判定部１０８は、第１の異常検知結果中のセンサＩＤのペアと検知時刻とを記憶部１０９に登録する（ステップＳ６）。具体的には、ステップＳ６では、判定部１０８は、記憶部１０９の１つの空きエントリのセンサＩＤのペアの欄と検知時刻の欄に、第１の異常検知結果中のセンサＩＤのペアと検知時刻を登録し、異常ログデータの欄はＮＵＬＬ値としておく。そして、判定部１０８は、ステップＳ１に戻り、上述した処理と同様の処理を繰り返す。

　また、判定部１０８は、第２の異常検知部１０７から第２の異常検知結果を受信したか否かを判定する（ステップＳ７）。次に判定部１０８は、第２の異常検知結果を受信していなければ（ステップＳ７でＮＯ）、ステップＳ１に戻って、上述した処理と同様の処理を繰り返す。一方、判定部１０８は、第２の異常検知結果を受信したならば（ステップＳ７でＹＥＳ）、第２の異常検知結果を含む第３の異常検知結果を作成して出力部１１０に伝達し、その出力を依頼する（ステップＳ８）。次に判定部１０８は、第２の異常検知結果である異常ログデータの採取時刻より一定時間前の時刻以降の検知時刻を有するセンサＩＤのペアが記憶部１０９に記憶されているか否かを調べる（ステップＳ９）。次に判定部１０８は、そのようなセンサＩＤのペアが記憶部１０９に記憶されていれば（ステップＳ９でＹＥＳ）、第２の異常検知結果である異常ログデータを当該センサＩＤのペアに関連付けて記憶部１０９に登録する（ステップＳ１０）。具体的には、当該センサＩＤのペアを記録するエントリの異常ログデータの欄に当該異常ログデータを記録する。そして、判定部１０８は、ステップＳ１に戻り、上述した処理と同様の処理を繰り返す。判定部１０８は、ステップＳ９において該当するセンサＩＤのペアが記憶部１０９に記憶されていないと判断したとき、ステップＳ１０をスキップしてステップＳ１に戻り、上述した処理と同様の処理を繰り返す。

　出力部１１０は、判定部１０８からの依頼に従い、判定部１０８から受け取った第３の異常検知結果を表示装置の画面に表示し、または／および、外部の端末装置へ送信するように構成されている。

　異常検知装置１００は、例えば図１３に示すように、通信インタフェース部１００１と、キーボードやマウスなどの操作入力部１００２と、液晶ディスプレイ等の画面表示部１００３と、メモリやハードディスク等の記憶部１００４と、１以上のマイクロプロセッサ等の演算処理部１００５とを有するパーソナルコンピュータ等の情報処理装置１０００と、プログラム１１００とで実現することができる。プログラム１１００は、情報処理装置１０００の立ち上げ時等に外部のコンピュータ読み取り可能な記憶媒体から記憶部１００４に読み込まれ、演算処理部１００５の動作を制御することにより、演算処理部１００５上に、収集部１０１、第１の学習部１０２、第２の学習部１０３、第１のモデル１０４、第２のモデル１０５、第１の異常検知部１０６、第２の異常検知部１０７、判定部１０８、記憶部１０９、出力部１１０を実現する。

　次に本実施形態に係る異常検知装置１００の動作を説明する。異常検知装置１００の動作は、学習時の動作と異常検知時の動作とに大別される。

＜学習時の動作＞
　異常検知装置１００は、被監視システム２００の正常運用中に第１のモデル１０４および第２のモデル１０５を学習する。具体的には、異常検知装置１００は、以下のような動作を行う。

　収集部１０１は、被監視システム２００からセンサデータ２１０を定期的に収集し、収集したセンサデータ２１０を第１の学習部１０２へ供給する。また、収集部１０１は、被監視システム２００からログデータ２１１を収集し、収集したログデータ２１１を第２の学習部１０３へ供給する。

　第１の学習部１０２は、収集部１０１から供給されるセンサデータ２１０に基づいて、センサデータ２１０の時系列データ間に存在する不変的な相関関係を抽出し、抽出した相関関係を表現する数式とセンサＩＤのペアとを含むモデルデータを第１のモデル１０４に登録する。また、第２の学習部１０３は、収集部１０１から供給されるログデータ２１１からログのパターンを抽出し、抽出したログのパターンを第２のモデル１０５に登録する。

＜異常検知時の動作＞
　異常検知装置１００は、上記学習した第１のモデル１０４および第２のモデル１０５を使用して、被監視システム２００の異常を検知する。具体的には、異常検知装置１００は、以下のような動作を行う。

　収集部１０１は、被監視システム２００からセンサデータ２１０を定期的に収集し、収集したセンサデータ２１０を第１の異常検知部１０６へ供給する。また、収集部１０１は、被監視システム２００からログデータ２１１を収集し、収集したログデータ２１１を第２の異常検知部１０７へ供給する。

　第１の異常検知部１０６は、第１のモデル１０４に登録されたセンサＩＤのペア毎に、収集部１０１から供給されるセンサデータ２１０の時系列データ間に存在する不変的な相関関係（インバリアント）が破壊されたか否かを検知する。第１の異常検知部１０６は、相関関係が破壊されたセンサＩＤのペアを検知すると、相関関係が破壊されたセンサＩＤのペア、相関関係の破壊を検知した時刻、両センサの時系列データを含む第１の異常検知結果を判定部１０８へ出力する。

　また第２の異常検知部１０７は、収集部１０１から供給されるログデータ２１１からログのパターンを抽出し、抽出したログのパターンが第２のモデル１０５に記憶されているか否かを判定することにより、当該ログデータ２１１が異常ログデータか否かを判定する。第２の異常検知部１０７は、異常ログデータを検知すると、当該異常ログデータを含む第２の異常検知結果を判定部１０８へ出力する。

　判定部１０８は、第１の異常検知部１０６および第２の異常検知部１０７の検知結果に基づいて総合的な判断を行うことにより、第３の異常検知結果を生成し、出力部１１０を通じて第３の異常検知結果を出力する。

　例えば、判定部１０８は、第１の異常検知部１０６から不変的な相関関係が破壊したセンサＩＤのペアを含む第１の異常検知結果を受信すると、当該センサＩＤのペアに関連する異常ログデータが記憶部１０９に記憶されていないときは、不変的な相関関係が破壊したセンサＩＤのペア、その破壊時刻を含む第３の異常検知結果を生成し、出力部１１０を通じて出力すると共に、上記センサＩＤのペアおよび破壊時刻を記憶部１０９に登録する。このように、第１の異常検知部１０６で不変的な相関関係が破壊されたセンサＩＤのペアが検知されたときに、関連する異常ログデータが記憶部１０９に記憶されていないときは、関連する異常ログデータの発生を待つことなく速やかに第３の異常検知結果を生成して出力することにより、未知の異常の早期検知が可能になる。また、未知の異常の検知時に上記のようにセンサＩＤのペアおよび検知時刻を記憶部１０９に登録しておくことにより、その後の一定時間内に検知された異常ログデータを上記未知の異常に関連付けて記憶部１０９に記憶することができるようになる。即ち、判定部１０８は、第２の異常検知部１０７から異常ログデータを受信すると、当該異常ログデータの採取時刻より一定時間前の時刻以降の検知時刻を有するセンサＩＤのペアが記憶部１０９に記憶されているならば、上記異常ログデータを上記センサＩＤのペアに関連付けて記憶部１０９に登録する。さらに、上記検知された異常ログデータを含む異常検知結果を生成して出力することにより、システム管理者は、早期検知した未知の異常の原因を特定することができる。即ち、未知の異常は早期検知および原因ログの特定をすることができる。

　また例えば、判定部１０８は、第１の異常検知部１０６から不変的な相関関係が破壊したセンサＩＤのペアを含む第１の異常検知結果を受信すると、当該センサＩＤのペアに関連する異常ログデータが記憶部１０９に記憶されているときは、記憶されている異常ログデータを将来発生することが予想される異常ログデータとして含む第３の異常検知結果を生成し、出力部１１０を通じて出力する。これにより、既知の異常に関しては、異常ログデータが実際に検知されるより前に、発生が予想される異常ログデータを予見してシステム管理者に出力することができる。即ち、原因を異常ログの出現前に予見することができる。従って、システム管理者は、実際に検知された異常センサデータと予見された異常ログデータとを組み合わせて早期に総合的な判断を実施することができる。これにより、被監視システムの障害の早期復旧や回避が可能になる。

［第２の実施の形態］
　図６は、本発明の第２の実施の形態に係る異常検知装置３００のブロック図である。図６を参照すると、異常検知装置３００は、有線または無線による通信路あるいはネットワークを通じて被監視システム４００に接続されている。

　被監視システム４００は、異常検知の対象となるシステムである。本実施の形態では、異常が起きると、先ず異常ログが出力された後、センサの計測値に異常が生じるＩＴ（Ｉｎｆｏｒｍａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）システム、ＩＴＣ（Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）システム、ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）システムなどを被監視システム４００とする。即ち、被監視システム４００は、例えば、ネットワークエラーが発生すると、異常ログが出力され、その後にトラフィック増加による相関破壊が生じるようなシステムである。被監視システム４００は、複数の装置４０１から構成される。装置４０１は、例えば、各種のサーバ装置、ネットワークスイッチ、パーソナルコンピュータなどの情報処理装置である。

　装置４０１は、装置４０１の各部の状態を計測するセンサ４０２を備えている。センサ４０２は、例えば、ＣＰＵ使用率を計測するセンサ、メモリ使用量を計測するセンサ、受信パケット数や送信パケット数を計測するセンサ、ネットワーク負荷を計測するセンサ、処理待ちタスク数を計測するセンサなどである。センサ４０２は、センサデータ４１０を出力する。センサデータ４１０は、例えば、センサ４０２を一意に識別するセンサＩＤと、ＣＰＵ使用率などの計測値と、計測時刻を示すタイムスタンプとを含んでいる。

　また、装置４０１は、テキスト形式のログデータ４１１を出力するログ記録部４０３を備えている。ログデータ４１１は、例えば、装置４０１の稼働状況や操作履歴を表すテキストメッセージと、採取時刻を示すタイムスタンプとを含んでいる。

　異常検知装置３００は、被監視システム４００の異常を検知する装置である。異常検知装置３００は、センサ４０２のセンサデータ４１０およびログ記録部４０３のログデータ４１１に基づいて、被監視システム４００の異常を検知するように構成されている。異常検知装置３００は、収集部３０１と、第１の学習部３０２と、第２の学習部３０３と、第１のモデル３０４と、第２のモデル３０５と、第１の異常検知部３０６と、第２の異常検知部３０７と、判定部３０８と、記憶部３０９と、出力部３１０とを備えている。これらのうち、収集部３０１、第１の学習部３０２、第２の学習部３０３、第１のモデル３０４、第２のモデル３０５、第１の異常検知部３０６、第２の異常検知部３０７、および出力部３１０は、図１に示した異常検知装置１００の収集部１０１、第１の学習部１０２、第２の学習部１０３、第１のモデル１０４、第２のモデル１０５、第１の異常検知部１０６、第２の異常検知部１０７、および出力部１１０と同じである。

　記憶部３０９は、第２の異常検知部３０７において異常であると検知されたログデータ（異常ログデータ）と、当該異常ログデータの採取時刻から一定時間が経過するまでに第１の異常検知部３０６において異常であると検知されたセンサＩＤのペア（時系列データ間の不変的な相関関係の破壊が検知された２つのセンサのＩＤペア）およびその検知時刻を関連付けて記憶するように構成されている。記憶部３０９は、判定部３０８から参照および更新される。初期状態の記憶部３０９には、有意なデータは記録されていない。

　図７は、記憶部３０９に記憶されているデータの例を示す。記憶部３０９は、複数のエントリを有する。それぞれのエントリは、異常ログデータと、当該異常ログデータのパターンと、当該異常ログデータの採取時刻と、センサＩＤのペアと、検知時刻とから構成される。例えば、１行目のエントリには、ログデータＸ、パターンＰＸおよび採取時刻ｔ₁₁に対応して、センサＩＤ＝１１、ＩＤ＝１２のペアと検知時刻ｔ₂₁とが記録されている。ここで、パターンＰＸはログデータＸのパターンであり、第２の異常検知部３０７が異常検知のためにログデータＸから抽出したパターンと同じである。また、採取時刻ｔ₁₁は、ログデータＸに含まれるタイムスタンプが表す採取時刻と同一である。

　判定部３０８は、第１の異常検知部３０６および第２の異常検知部３０７の検知結果に基づいて総合的な判断を行うことにより、第３の異常検知結果を生成するように構成されている。

　図８は、判定部３０８の処理の一例を示すフローチャートである。図８を参照すると、判定部３０８は、先ず第２の異常検知部３０７から第２の異常検知結果を受信したか否かを判定する（ステップＳ２１）。次に判定部３０８は、第２の異常検知結果を受信した場合（ステップＳ２１でＹＥＳ）、当該第２の異常検知結果である異常ログデータに関連するセンサＩＤのペアが記憶部３０９に記憶されているか否かを調べる（ステップＳ２２）。異常ログデータに関連するセンサＩＤのペアが記憶部３０９に記憶されているか否かの調査では、判定部３０８は、例えば、採取時刻を除く異常ログデータの内容と同一の異常ログデータを記憶するエントリが記憶部３０９に存在し、且つ、そのエントリにセンサＩＤのペアが記憶されているか否かを調べる。或いは、判定部３０８は、異常ログデータから抽出したログのパターンと同一のパターンを記憶するエントリが記憶部３０９に存在し、且つ、そのエントリにセンサＩＤのペアが記憶されているか否かを調べるようにしてもよい。判定部３０８は、関連するセンサＩＤのペアが記憶部３０９に記憶されていたならば（ステップＳ２２でＹＥＳ）、関連するセンサＩＤのペアを将来相関破壊が起きると予想されるセンサＩＤのペアとして記憶部３０９から読み出す（ステップＳ２３）。次に判定部３０８は、第２の異常検知結果である異常ログデータと将来相関破壊が起きると予想したセンサＩＤのペアとを含む第３の異常検知結果を作成して出力部３１０に伝達し、その出力を依頼する（ステップＳ２４）。なお、判定部３０８は、センサＩＤのペアと一緒に記憶部３０９に記憶されている検知時刻と採取時刻との時間差に基づいて、相関破壊が起きる時刻を予想し、その予想時刻を第３の異常検知結果に含めるようにしてもよい。例えば、今回検知した異常ログデータの採取時刻がｔ₃₁、記憶部３０９に記憶された同一の異常ログデータと一緒に記憶部３０９に記憶された検知時刻と採取時刻との時間差がδｔの場合、時刻ｔ₃₁＋δｔを予想時刻とする。そして、判定部３０８は、ステップＳ２１に戻り、上述した処理と同様の処理を繰り返す。

　また、判定部３０８は、関連するセンサＩＤのペアが記憶部３０９に記憶されていなければ（ステップＳ２２でＮＯ）、第２の異常検知結果を含む第３の異常検知結果を作成して出力部３１０に伝達し、その出力を依頼する（ステップＳ２５）。次に判定部３０８は、第２の異常検知結果中の異常ログデータとそのパターンとその採取時刻とを記憶部３０９に登録する（ステップＳ２６）。具体的には、ステップＳ２６では、判定部３０８は、記憶部３０９の１つの空きエントリの異常ログデータ、パターンおよび採取時刻の各欄に、第２の異常検知結果中の異常ログデータ、そのパターン、採取時刻を登録し、センサＩＤのペアおよび検知時刻の欄はＮＵＬＬ値としておく。そして、判定部３０８は、ステップＳ２１に戻り、上述した処理と同様の処理を繰り返す。

　また、判定部３０８は、第１の異常検知部３０６から第１の異常検知結果を受信したか否かを判定する（ステップＳ２７）。次に判定部３０８は、第１の異常検知結果を受信していなければ（ステップＳ２７でＮＯ）、ステップＳ２１に戻って、上述した処理と同様の処理を繰り返す。一方、判定部３０８は、第１の異常検知結果を受信したならば（ステップＳ２７でＹＥＳ）、第１の異常検知結果を含む第３の異常検知結果を作成して出力部３１０に伝達し、その出力を依頼する（ステップＳ２８）。次に判定部３０８は、第１の異常検知結果の検知時刻より一定時間前の時刻以降の採取時刻を有する異常ログデータが記憶部３０９に記憶されているか否かを調べる（ステップＳ２９）。次に判定部３０８は、そのような異常ログデータが記憶部３０９に記憶されていれば（ステップＳ２９でＹＥＳ）、第１の異常検知結果である相関関係が破壊したセンサＩＤのペアおよびその検知時刻を当該異常ログデータに関連付けて記憶部３０９に登録する（ステップＳ３０）。具体的には、当該異常ログデータを記録するエントリのセンサＩＤのペアおよび検知時刻の各欄に相関関係が破壊したセンサＩＤのペアおよびその検知時刻を記録する。そして、判定部３０８は、ステップＳ２１に戻り、上述した処理と同様の処理を繰り返す。判定部３０８は、ステップＳ２９において該当する異常ログデータが記憶部３０９に記憶されていないと判断したとき、ステップＳ３０をスキップしてステップＳ２１に戻り、上述した処理と同様の処理を繰り返す。

　異常検知装置３００は、異常検知装置１００と同様に、図１３に示したような情報処理装置１０００とプログラム１１００とで実現することができる。プログラム１１００は、情報処理装置１０００の立ち上げ時等に外部のコンピュータ読み取り可能な記憶媒体から記憶部１００４に読み込まれ、演算処理部１００５の動作を制御することにより、演算処理部１００５上に、収集部３０１、第１の学習部３０２、第２の学習部３０３、第１のモデル３０４、第２のモデル３０５、第１の異常検知部３０６、第２の異常検知部３０７、判定部３０８、記憶部３０９、出力部３１０を実現する。

　次に本実施形態に係る異常検知装置３００の動作を説明する。異常検知装置３００の動作は、学習時の動作と異常検知時の動作とに大別される。学習時の動作は、図１に示した第１の実施形態に係る異常検知装置１００の学習時の動作と同じである。異常検知時の動作は、判定部３０８の動作を除き、図１に示した第１の実施形態に係る異常検知装置１００の異常検知時の動作と同じである。以下、異常検知時の判定部３０８の動作を説明する。

＜異常検知時の判定部３０８の動作＞
　判定部３０８は、第１の異常検知部３０６および第２の異常検知部３０７の検知結果に基づいて総合的な判断を行うことにより、第３の異常検知結果を生成し、出力部３１０を通じて第３の異常検知結果を出力する。

　例えば、判定部３０８は、第２の異常検知部３０７から異常ログデータを含む第２の異常検知結果を受信すると、当該異常ログデータに関連するセンサＩＤのペアが記憶部３０９に記憶されていないときは、当該異常ログデータを含む第３の異常検知結果を生成し、出力部３１０を通じて出力すると共に、上記異常ログデータ、そのパターン、およびその採取時刻を記憶部３０９に登録する。このように、第２の異常検知部３０７で異常ログデータが検知されたときに、関連するセンサＩＤのペアが記憶部３０９に記憶されていないときは、関連するセンサＩＤのペアによる相関関係破壊の発生を待つことなく速やかに第３の異常検知結果を生成して出力することにより、未知の異常の早期検知と出力が可能になる。また、未知の異常の検知時に上記のように異常ログデータ、そのパターン、その採取時刻を記憶部３０９に登録しておくことにより、その後の一定時間内に検知された相関関係破壊を起こしたセンサＩＤのペアを上記未知の異常に関連付けて記憶部３０９に記憶することができるようになる。即ち、判定部３０８は、第１の異常検知部３０６から相関関係の破壊したセンサＩＤのペアおよび検知時刻を受信すると、当該検知時刻より一定時間前の時刻以降の採取時刻を有する異常ログデータが記憶部３０９に記憶されているならば、上記センサＩＤのペアおよび検知時刻を上記異常ログデータに関連付けて記憶部３０９に登録する。

　また例えば、判定部３０８は、第２の異常検知部３０７から異常ログデータを含む第２の異常検知結果を受信すると、当該異常ログデータに関連するセンサＩＤのペアが記憶部３０９に記憶されているときは、記憶されているセンサＩＤのペアを相関関係の破壊が将来生じる可能性のあるセンサＩＤのペアとして含む第３の異常検知結果を生成し、出力部３１０を通じて出力する。これにより、既知の異常であれば、相関関係の破壊が実際に検知されるより前に、相関関係の破壊が生じるセンサＩＤのペアを出力することができる。これにより、既知の異常であれば、システム管理者は、センサデータ４１０とログデータ４１１との複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。

［第３の実施の形態］
　図９は、本発明の第３の実施の形態に係る異常検知装置５００のブロック図である。図９を参照すると、異常検知装置５００は、有線または無線による通信路あるいはネットワークを通じて被監視システム６００に接続されている。

　被監視システム６００は、異常検知の対象となるシステムである。本実施の形態では、異常が起きると、先ずセンサの計測値に異常が生じた後に異常ログが出力されるプラントシステムなどのシステムと、異常が起きると、先ず異常ログが出力された後、センサの計測値に異常が生じるＩＴシステム、ＩＴＣシステム、ＩｏＴシステムとが混在したシステムを被監視システム６００とする。被監視システム６００は、複数の装置６０１から構成される。装置６０１は、例えば、ボイラ、タービン、発電装置、制御コンピュータなどのプラント設備、各種のサーバ装置、ネットワークスイッチ、パーソナルコンピュータなどの情報処理装置である。

　装置６０１は、装置６０１の各部の状態を計測するセンサ６０２を備えている。センサ６０２は、例えば、温度センサ、圧力センサ、流量センサ、ＣＰＵ使用率を計測するセンサ、メモリ使用量を計測するセンサ、受信パケット数や送信パケット数を計測するセンサ、ネットワーク負荷を計測するセンサ、処理待ちタスク数を計測するセンサなどである。センサ６０２は、センサデータ６１０を出力する。センサデータ６１０は、例えば、センサ６０２を一意に識別するセンサＩＤと、温度やＣＰＵ使用率などの計測値と、計測時刻を示すタイムスタンプとを含んでいる。

　また、装置６０１は、テキスト形式のログデータ６１１を出力するログ記録部６０３を備えている。ログデータ６１１は、例えば、装置６０１の稼働状況や操作履歴を表すテキストメッセージと、採取時刻を示すタイムスタンプとを含んでいる。

　異常検知装置５００は、被監視システム６００の異常を検知する装置である。異常検知装置５００は、センサ６０２のセンサデータ６１０およびログ記録部６０３のログデータ６１１に基づいて、被監視システム６００の異常を検知するように構成されている。異常検知装置５００は、収集部５０１と、第１の学習部５０２と、第２の学習部５０３と、第１のモデル５０４と、第２のモデル５０５と、第１の異常検知部５０６と、第２の異常検知部５０７と、第１の判定部５０８－１と、第２の判定部５０８－２と、第１の記憶部５０９－１と、第２の記憶部５０９－２と、出力部５１０とを備えている。これらのうち、収集部５０１、第１の学習部５０２、第２の学習部５０３、第１のモデル５０４、第２のモデル５０５、第１の異常検知部５０６、第２の異常検知部５０７、第１の記憶部５０９－１、および出力部５１０は、図１に示した異常検知装置１００の収集部１０１、第１の学習部１０２、第２の学習部１０３、第１のモデル１０４、第２のモデル１０５、第１の異常検知部１０６、第２の異常検知部１０７、記憶部１０９、および出力部１１０と同じである。また、第２の記憶部５０９－２は、図６に示した異常検知装置３００の記憶部３０９と同じである。

　第１の判定部５０８－１および第２の判定部５０８－２は、第１の異常検知部５０６および第２の異常検知部５０７の検知結果に基づいて総合的な判断を行うことにより、第３の異常検知結果を生成するように構成されている。

　図１０は、第１の判定部５０８－１の処理の一例を示すフローチャートである。図１０に示す処理は、図５に示した判定部１０８の処理と比較して、ステップＳ８に相当するステップが省略されている点で相違し、それ以外は判定部１０８の処理と同一である。即ち、図１０のステップＳ４１～Ｓ４７、Ｓ４９～Ｓ５０は、図５のステップＳ１～Ｓ７、Ｓ９～Ｓ１０と同じである。

　図１１は、第２の判定部５０８－２の処理の一例を示すフローチャートである。図１１に示す処理は、図８に示した判定部３０８の処理と比較して、ステップＳ２８に相当するステップが省略されている点で相違し、それ以外は判定部３０８の処理と同一である。即ち、図１０のステップＳ６１～Ｓ６７、Ｓ６９～Ｓ７０は、図８のステップＳ２１～Ｓ２７、Ｓ２９～Ｓ３０と同じである。

　異常検知装置５００は、異常検知装置１００と同様に、図１３に示したような情報処理装置１０００とプログラム１１００とで実現することができる。プログラム１１００は、情報処理装置１０００の立ち上げ時等に外部のコンピュータ読み取り可能な記憶媒体から記憶部１００４に読み込まれ、演算処理部１００５の動作を制御することにより、演算処理部１００５上に、収集部５０１、第１の学習部５０２、第２の学習部５０３、第１のモデル５０４、第２のモデル５０５、第１の異常検知部５０６、第２の異常検知部５０７、第１の判定部５０８－１、第２の判定部５０８－２、第１の記憶部５０９－１、第２の記憶部５０９－２、出力部５１０を実現する。

　次に本実施形態に係る異常検知装置５００の動作を説明する。異常検知装置５００の動作は、学習時の動作と異常検知時の動作とに大別される。学習時の動作は、図１に示した第１の実施形態に係る異常検知装置１００の学習時の動作と同じである。異常検知時の動作は、第１の判定部５０８－１および第２の判定部５０８－２の動作を除き、図１に示した第１の実施形態に係る異常検知装置１００の異常検知時の動作と同じである。以下、異常検知時の第１の判定部５０８－１および第２の判定部５０８－２の動作を説明する。

＜異常検知時の第１の判定部５０８－１の動作＞
　異常検知時の第１の判定部５０８－１の動作は、異常検知時の判定部１０８の動作と比較して、ステップＳ８に相当する動作が省略されている点で相違し、それ以外は異常検知時の判定部１０８の動作と同じである。従って、第１の判定部５０８－１は、例えば、以下のような動作を行う。

　例えば、第１の判定部５０８－１は、第１の異常検知部５０６から不変的な相関関係が破壊したセンサＩＤのペアを含む第１の異常検知結果を受信すると（ステップＳ４１でＹＥＳ）、当該センサＩＤのペアに関連する異常ログデータが第１の記憶部５０９－１に記憶されていないときは（ステップＳ４２でＮＯ）、不変的な相関関係が破壊したセンサＩＤのペア、その検知時刻を含む第３の異常検知結果を生成し、出力部１１０を通じて出力すると共に（ステップＳ４５）、上記センサＩＤのペアおよび検知時刻を第１の記憶部５０９－１に登録する（ステップＳ４６）。このように、第１の異常検知部５０６で不変的な相関関係が破壊されたセンサＩＤのペアが検出されたときに、関連する異常ログデータが第１の記憶部５０９－１に記憶されていないときは、関連する異常ログデータの発生を待つことなく速やかに第３の異常検知結果を生成して出力することにより、未知の異常の早期検知と出力が可能になる。また、未知の異常の検知時に上記のようにセンサＩＤのペアおよび検知時刻を第１の記憶部５０９－１に登録しておくことにより、その後の一定時間内に検知された異常ログデータを上記未知の異常に関連付けて第１の記憶部５０９－１に記憶することができるようになる。即ち、第１の判定部５０８－１は、第２の異常検知部５０７から異常ログデータを受信すると（ステップＳ４７でＹＥＳ）、当該異常ログデータの採取時刻より一定時間前の時刻以降の破壊時刻を有するセンサＩＤのペアが第１の記憶部５０９－１に記憶されているならば（ステップＳ４９でＹＥＳ）、上記異常ログデータを上記センサＩＤのペアに関連付けて第１の記憶部５０９－１に登録する（ステップＳ５０）。

　また例えば、第１の判定部５０８－１は、第１の異常検知部５０６から不変的な相関関係が破壊したセンサＩＤのペアを含む第１の異常検知結果を受信すると（ステップＳ４１でＹＥＳ）、当該センサＩＤのペアに関連する異常ログデータが第１の記憶部５０９－１に記憶されているときは（ステップＳ４２でＹＥＳ）、記憶されている異常ログデータを将来発生することが予想される異常ログデータとして含む第３の異常検知結果を生成し、出力部５１０を通じて出力する（ステップＳ４３～Ｓ４４）。これにより、既知の異常であれば、異常ログデータが実際に検知されるより前に、発生が予想される異常ログデータを出力することができる。従って、既知の異常であれば、システム管理者は、センサデータ６１０とログデータ６１１との複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。

＜異常検知時の第２の判定部５０８－２の動作＞
　異常検知時の第２の判定部５０８－２の動作は、異常検知時の判定部３０８の動作と比較して、ステップＳ２８に相当する動作が省略されている点で相違し、それ以外は異常検知時の判定部３０８の動作と同じである。従って、第２の判定部５０８－２は、例えば、以下のような動作を行う。

　例えば、第２の判定部５０８－２は、第２の異常検知部５０７から異常ログデータを含む第２の異常検知結果を受信すると（ステップＳ６１でＹＥＳ）、当該異常ログデータに関連するセンサＩＤのペアが第２の記憶部５０９－２に記憶されていないときは（ステップＳ６２でＮＯ）、当該異常ログデータを含む第３の異常検知結果を生成し、出力部５１０を通じて出力すると共に（ステップＳ６５）、上記異常ログデータ、そのパターン、およびその採取時刻を第２の記憶部５０９－２に登録する（ステップＳ６６）。このように、第２の異常検知部５０７で異常ログデータが検知されたときに、関連するセンサＩＤのペアが第２の記憶部５０９－２に記憶されていないときは、関連するセンサＩＤのペアによる相関関係破壊の発生を待つことなく速やかに第３の異常検知結果を生成して出力することにより、未知の異常の早期検知と出力が可能になる。また、未知の異常の検知時に上記のように異常ログデータ、そのパターン、その採取時刻を第２の記憶部５０９－２に登録しておくことにより、その後の一定時間内に検知された相関関係破壊を起こしたセンサＩＤのペアを上記未知の異常に関連付けて第２の記憶部５０９－２に記憶することができるようになる。即ち、第２の判定部５０８－２は、第１の異常検知部５０６から相関関係の破壊したセンサＩＤのペアおよび検知時刻を受信すると（ステップＳ６７でＹＥＳ）、当該検知時刻より一定時間前の時刻以降の採取時刻を有する異常ログデータが第２の記憶部５０９－２に記憶されているならば（ステップＳ６９でＹＥＳ）、上記センサＩＤのペアおよび検知時刻を上記異常ログデータに関連付けて第２の記憶部５０９－２に登録する（ステップＳ７０）。

　また例えば、第２の判定部５０８－２は、第２の異常検知部５０７から異常ログデータを含む第２の異常検知結果を受信すると（ステップ６１でＹＥＳ）、当該異常ログデータに関連するセンサＩＤのペアが記憶部５０９に記憶されているときは（ステップＳ６２）、記憶されているセンサＩＤのペアを相関関係の破壊が将来生じる可能性のあるセンサＩＤのペアとして含む第３の異常検知結果を生成し、出力部５１０を通じて出力する（ステップＳ６３～Ｓ６４）。これにより、既知の異常であれば、相関関係の破壊が実際に検知されるより前に、相関関係の破壊が生じるセンサＩＤのペアを出力することができる。これにより、既知の異常であれば、システム管理者は、センサデータ６１０とログデータ６１１との複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。

［第４の実施の形態］
　図１２は、本発明の第４の実施の形態に係る異常検知装置７００のブロック図である。図１２を参照すると、異常検知装置７００は、有線または無線による通信路あるいはネットワークを通じて被監視システム８００に接続されている。

　被監視システム８００は、異常検知の対象となるシステムである。被監視システム８００からは、複数の第１の被監視データおよび複数の第２の被監視データを外部に取り出すことができる。第１の被監視データおよび第２の被監視データの一方は、例えば性能指標についての計測値を含み、他方は、例えばテキストログを含む。また被監視システム８００は、システム内で異常が起きると、先ず複数の第１の被監視データの何れかに異常が生じた後に、複数の第２の被監視データの何れかに異常が生じるようなシステムである。

　異常検知装置７００は、被監視システム８００から複数の第１の被監視データおよび複数の第２の被監視データを取得し、それらに基づいて被監視システム８００の異常を検知するように構成されている。異常検知装置７００は、第１の異常検知部７０１と、第２の異常検知部７０２と、第１の記憶部７０３と、第１の判定部７０４とを備えている。

　第１の異常検知部７０１は、被監視システム８００から得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知するように構成されている。第１の異常検知部７０１は、例えば、図１の第１の異常検知部１０６と同様に構成することができるが、それに限定されない。

　第２の異常検知部７０２は、第１の異常検知部７０１と並行して動作するように構成されている。また第２の異常検知部７０２は、被監視システム８００から得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知するように構成されている。第２の異常検知部７０２は、例えば、図１の第２の異常検知部１０７と同様に構成することができるが、それに限定されない。

　第１の記憶部７０３は、異常な第１の被監視データと当該異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された異常な第２の被監視データとを関連付けて記憶するように構成されている。

　第１の判定部７０４は、異常な第１の被監視データが検知されたとき、この検知した異常な第１の被監視データに関連付けられている異常な第２の被監視データを第１の記憶部７０３から読み出すように構成されている。また第１の判定部７０４は、読み出した異常な第２の被監視データと上記検知された異常な第１の被監視データとを含む第１の異常検知結果を出力するように構成されている。

　このように構成された異常検知装置７００は、以下のように機能する。即ち、第１の異常検知部７０１は、被監視システム８００から得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する。また第２の異常検知部７０２は、第１の異常検知部７０１による異常な第１の被監視データの検知と並行して、被監視システム８００から得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する。第１の判定部７０４は、異常な第１の被監視データが検知されたとき、第１の記憶部７０３から、上記検知した異常な第１の被監視データに関連付けられている異常な第２の被監視データを読み出し、その読み出した異常な第２の被監視データと上記検知された異常な第１の被監視データとを含む第１の異常検知結果を出力する。

　このように本実施形態に係る異常検知装置７００の第１の判定部７０４は、異常な第１の被監視データが検知されたとき、第１の記憶部７０３から、上記検知した異常な第１の被監視データに関連付けられている異常な第２の被監視データを将来発生することが予想される異常な第２の被監視データとして読み出し、その読み出した異常な第２の被監視データと上記検知された異常な第１の被監視データとを含む第１の異常検知結果を出力する。そのため、システム運用者等は、第１の異常検知結果に基づいて、異常な第２の被監視データが実際に検知される前に、異常な第１の被監視データと将来発生が予想される第２の被監視データを組み合わせて早期に総合的な判断を実施することができる。

［他の実施の形態］
　以上の各実施形態では、第１の被監視データおよび第２の被監視データとして、例えばセンサで計測される性能指標についての計測値、ログ記録部で記録されるテキストログを使用したが、本発明で使用する被監視データは上記に限定されない。例えば、ＳＮＳ情報を被監視データとして使用してもよい。

　また、図４に示す記憶部１０９の各エントリは、システム管理者の行うべきアクションを記載した欄を有していてもよい。その場合、判定部１０８は、図５のステップＳ３において、記憶部１０９のエントリから異常ログデータを読み出す際、そのエントリから上記アクションを同時に読み出し、ステップＳ４において、第１の異常検知結果と将来発生が予想される異常ログデータと上記アクションとを含む第３の異常検知結果を生成し、出力を依頼するようにしてもよい。また、図７に示す記憶部３０９の各エントリは、システム管理者の行うべきアクションを記載した欄を有していてもよい。その場合、判定部３０８は、図８のステップＳ２３において、記憶部３０９のエントリから相関破壊が予想されるセンサＩＤのペアを読み出す際、そのエントリから上記アクションを同時に読み出し、ステップＳ２４において、第２の異常検知結果と相関破壊が予想されるセンサＩＤのペアと上記アクションとを含む第３の異常検知結果を生成し、出力を依頼するようにしてもよい。

　また、性能指標の計測値の異常の検知は、計測値の時系列データ間に存在する不変的な相関関係の破壊を検知する方法以外の方法で行ってもよい。例えば、個々の性能指標毎に、その計測値が正常時に取り得る値の範囲を学習し、その学習した値の範囲を超えるか否かによって個々の性能指標の計測値の異常の有無を検知するようにしてもよい。

　また、異常ログの検知は、ログパターンによる方法以外の方法で行ってもよい。例えば、ログ中に予め定めた文字列や記号列が含まれているか否かを調べ、含まれている場合に当該ログを異常ログとして検知する方法であってもよい。

　以上、上記各実施形態を参照して本発明を説明したが、本発明は、上述した実施形態に限定されるものではない。本発明の構成や詳細には、本発明の範囲内で当業者が理解しうる様々な変更をすることができる。

　本発明は、プラントシステムやＩＣＴシステム等の被監視システムの監視、障害分析などに活用できる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する第１の異常検知部と、
　前記第１の異常検知部と並行して動作し、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する第２の異常検知部と、
　前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部と、
　前記異常な第１の被監視データが検知されたとき、該検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを前記第１の記憶部から読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する第１の判定部と、を備える
異常検知装置。
［付記２］
　前記第１の判定部は、前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを前記第１の記憶部に記憶し、前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに前記異常な第２の被監視データが検知されると、該検知された前記異常な第２の被監視データを前記記憶した前記異常な第１の被監視データに関連付けて前記第１の記憶部に記憶する、
付記１に記載の異常検知装置。
［付記３］
　前記第１の判定部は、前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを含む第２の異常検知結果を出力する、
付記１または２に記載の異常検知装置。
［付記４］
　前記異常な第２の被監視データと前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第１の被監視データとを関連付けて記憶する第２の記憶部と、
　前記異常な第２の被監視データが検知されたとき、該検知した前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データを前記第２の記憶部から読み出し、該読み出した前記異常な第１の被監視データと前記検知された前記異常な第２の被監視データとを含む第３の異常検知結果を出力する第２の判定部と、をさらに備える
付記１乃至３の何れかに記載の異常検知装置。
［付記５］
　前記第２の判定部は、前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを前記第２の記憶部に記憶し、前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに前記異常な第１の被監視データが検知されると、該検知された前記異常な第１の被監視データを前記記憶した前記異常な第２の被監視データに関連付けて前記第２の記憶部に記憶する、
付記４に記載の異常検知装置。
［付記６］
　前記第２の判定部は、前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを含む第４の異常検知結果を出力する、
付記４または５に記載の異常検知装置。
［付記７］
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
付記１乃至６の何れかに記載の異常検知装置。
［付記８］
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
付記１乃至６の何れかに記載の異常検知装置。
［付記９］
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知し、
　前記異常な第１の被監視データの検知と並行して、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知し、
　前記異常な第１の被監視データが検知されたとき、前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部から、前記検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する、
異常検知方法。
［付記１０］
　前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを前記第１の記憶部に記憶し、前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに前記異常な第２の被監視データが検知されると、該検知された前記異常な第２の被監視データを前記記憶した前記異常な第１の被監視データに関連付けて前記第１の記憶部に記憶する、
付記９に記載の異常検知方法。
［付記１１］
　前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを含む第２の異常検知結果を出力する、
付記９または１０に記載の異常検知方法。
［付記１２］
　前記異常な第２の被監視データが検知されたとき、前記異常な第２の被監視データと前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第１の被監視データとを関連付けて記憶する第２の記憶部から、前記検知した前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データを読み出し、該読み出した前記異常な第１の被監視データと前記検知された前記異常な第２の被監視データとを含む第３の異常検知結果を出力する、
付記９乃至１１の何れかに記載の異常検知方法。
［付記１３］
　前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを前記第２の記憶部に記憶し、前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに前記異常な第１の被監視データが検知されると、該検知された前記異常な第１の被監視データを前記記憶した前記異常な第２の被監視データに関連付けて前記第２の記憶部に記憶する、
付記１２に記載の異常検知方法。
［付記１４］
　前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを含む第４の異常検知結果を出力する、
付記１２または１３に記載の異常検知方法。
［付記１５］
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
付記９乃至１４の何れかに記載の異常検知方法。
［付記１６］
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
付記９乃至１４の何れかに記載の異常検知方法。
［付記１７］
　コンピュータを、
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する第１の異常検知部と、
　前記第１の異常検知部と並行して動作し、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する第２の異常検知部と、
　前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部と、
　前記異常な第１の被監視データが検知されたとき、該検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを前記第１の記憶部から読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する第１の判定部と、
して機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体。

１００…異常検知装置
１０１…収集部
１０２…第１の学習部
１０３…第２の学習部
１０４…第１のモデル
１０５…第２のモデル
１０６…第１の異常検知部
１０７…第２の異常検知部
１０８…判定部
１０９…記憶部
１１０…出力部
２００…被監視システム
２０１…装置
２０２…センサ
２０３…ログ記録部
２１０…センサデータ
２１１…ログデータ
２２１…センサＩＤ＝１のセンサの時系列データ
２２２…センサＩＤ＝２のセンサの時系列データ
２２３…センサＩＤ＝３のセンサの時系列データ
２２４…センサＩＤ＝４のセンサの時系列データ
２２５…センサＩＤ＝５のセンサの時系列データ
２２６…センサＩＤ＝６のセンサの時系列データ
３００…異常検知装置
３０１…収集部
３０２…第１の学習部
３０３…第２の学習部
３０４…第１のモデル
３０５…第２のモデル
３０６…第１の異常検知部
３０７…第２の異常検知部
３０８…判定部
３０９…記憶部
３１０…出力部
４００…被監視システム
４０１…装置
４０２…センサ
４０３…ログ記録部
４１０…センサデータ
４１１…ログデータ
５００…異常検知装置
５０１…収集部
５０２…第１の学習部
５０３…第２の学習部
５０４…第１のモデル
５０５…第２のモデル
５０６…第１の異常検知部
５０７…第２の異常検知部
５０８－１…第１の判定部
５０８－２…第２の判定部
５０９－１…第１の記憶部
５０９－２…第２の記憶部
５１０…出力部
６００…被監視システム
６０１…装置
６０２…センサ
６０３…ログ記録部
６１０…センサデータ
６１１…ログデータ
７００…異常検知装置
７０１…第１の異常検知部
７０２…第２の異常検知部
７０３…第１の記憶部
７０４…第１の判定部
８００…被監視システム
１０００…情報処理装置
１００１…通信インタフェース部
１００２…操作入力部
１００３…画面表示部
１００４…記憶部
１００５…演算処理部
１１００…プログラム

Claims

　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する第１の異常検知部と、
　前記第１の異常検知部と並行して動作し、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する第２の異常検知部と、
　前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部と、
　前記異常な第１の被監視データが検知されたとき、該検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを前記第１の記憶部から読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する第１の判定部と、を備える
異常検知装置。
　前記第１の判定部は、前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを前記第１の記憶部に記憶し、前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに前記異常な第２の被監視データが検知されると、該検知された前記異常な第２の被監視データを前記記憶した前記異常な第１の被監視データに関連付けて前記第１の記憶部に記憶する、
請求項１に記載の異常検知装置。
　前記第１の判定部は、前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを含む第２の異常検知結果を出力する、
請求項１または２に記載の異常検知装置。
　前記異常な第２の被監視データと前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第１の被監視データとを関連付けて記憶する第２の記憶部と、
　前記異常な第２の被監視データが検知されたとき、該検知した前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データを前記第２の記憶部から読み出し、該読み出した前記異常な第１の被監視データと前記検知された前記異常な第２の被監視データとを含む第３の異常検知結果を出力する第２の判定部と、をさらに備える
請求項１乃至３の何れかに記載の異常検知装置。
　前記第２の判定部は、前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを前記第２の記憶部に記憶し、前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに前記異常な第１の被監視データが検知されると、該検知された前記異常な第１の被監視データを前記記憶した前記異常な第２の被監視データに関連付けて前記第２の記憶部に記憶する、
請求項４に記載の異常検知装置。
　前記第２の判定部は、前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを含む第４の異常検知結果を出力する、
請求項４または５に記載の異常検知装置。
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
請求項１乃至６の何れかに記載の異常検知装置。
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
請求項１乃至６の何れかに記載の異常検知装置。
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知し、
　前記異常な第１の被監視データの検知と並行して、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知し、
　前記異常な第１の被監視データが検知されたとき、前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部から、前記検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する、
異常検知方法。
　前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを前記第１の記憶部に記憶し、前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに前記異常な第２の被監視データが検知されると、該検知された前記異常な第２の被監視データを前記記憶した前記異常な第１の被監視データに関連付けて前記第１の記憶部に記憶する、
請求項９に記載の異常検知方法。
　前記異常な第１の被監視データが検知されたとき、該検知された前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データが前記第１の記憶部に記憶されていない場合、前記検知した前記異常な第１の被監視データを含む第２の異常検知結果を出力する、
請求項９または１０に記載の異常検知方法。
　前記異常な第２の被監視データが検知されたとき、前記異常な第２の被監視データと前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第１の被監視データとを関連付けて記憶する第２の記憶部から、前記検知した前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データを読み出し、該読み出した前記異常な第１の被監視データと前記検知された前記異常な第２の被監視データとを含む第３の異常検知結果を出力する、
請求項９乃至１１の何れかに記載の異常検知方法。
　前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを前記第２の記憶部に記憶し、前記異常な第２の被監視データの検知時刻から一定時間が経過するまでに前記異常な第１の被監視データが検知されると、該検知された前記異常な第１の被監視データを前記記憶した前記異常な第２の被監視データに関連付けて前記第２の記憶部に記憶する、
請求項１２に記載の異常検知方法。
　前記異常な第２の被監視データが検知されたとき、該検知された前記異常な第２の被監視データに関連付けられている前記異常な第１の被監視データが前記第２の記憶部に記憶されていない場合、前記検知した前記異常な第２の被監視データを含む第４の異常検知結果を出力する、
請求項１２または１３に記載の異常検知方法。
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
請求項９乃至１４の何れかに記載の異常検知方法。
　前記複数の第１の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第２の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
請求項９乃至１４の何れかに記載の異常検知方法。
　コンピュータを、
　被監視システムから得られる複数の第１の被監視データのうちから異常な第１の被監視データを検知する第１の異常検知部と、
　前記第１の異常検知部と並行して動作し、前記被監視システムから得られる複数の第２の被監視データのうちから異常な第２の被監視データを検知する第２の異常検知部と、
　前記異常な第１の被監視データと前記異常な第１の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第２の被監視データとを関連付けて記憶する第１の記憶部と、
　前記異常な第１の被監視データが検知されたとき、該検知した前記異常な第１の被監視データに関連付けられている前記異常な第２の被監視データを前記第１の記憶部から読み出し、該読み出した前記異常な第２の被監視データと前記検知された前記異常な第１の被監視データとを含む第１の異常検知結果を出力する第１の判定部と、
して機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体。