WO2021199160A1 - 情報処理装置、情報処理方法、記録媒体、情報処理システム - Google Patents

情報処理装置、情報処理方法、記録媒体、情報処理システム Download PDF

Info

Publication number
WO2021199160A1
WO2021199160A1 PCT/JP2020/014560 JP2020014560W WO2021199160A1 WO 2021199160 A1 WO2021199160 A1 WO 2021199160A1 JP 2020014560 W JP2020014560 W JP 2020014560W WO 2021199160 A1 WO2021199160 A1 WO 2021199160A1
Authority
WO
WIPO (PCT)
Prior art keywords
event
events
types
time interval
future
Prior art date
Application number
PCT/JP2020/014560
Other languages
English (en)
French (fr)
Inventor
昌平 三谷
直生 吉永
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to JP2022512901A priority Critical patent/JP7529016B2/ja
Priority to PCT/JP2020/014560 priority patent/WO2021199160A1/ja
Priority to US17/913,235 priority patent/US20230153428A1/en
Publication of WO2021199160A1 publication Critical patent/WO2021199160A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Definitions

  • the present invention relates to an information processing device, an information processing method, a recording medium, and an information processing system.
  • OT Industrial Technology
  • An event can be defined as data output by a computer device or other electronic device or the system itself that constitutes the system.
  • An event sequence can be defined as a collection of data output in chronological order by a computer device, other electronic device, or the system itself.
  • Patent Document 2 discloses a method of extracting a frequent pattern from an event log by pattern mining or the like and detecting an abnormal event sequence using a prediction model learned in advance.
  • Patent Document 2 even in a system in which a plurality of event sequences may coexist, by probabilistically predicting whether or not the frequent occurrence pattern actually appears from the event sequence (partial pattern) in the first half of the frequent occurrence pattern. , Detects anomalous event sequences.
  • Patent Document 3 an attack or an abnormality that cannot be detected by a single white list is detected by storing a plurality of white lists that enumerate permitted communications in a network system in response to a system state including a physical system. The method is disclosed.
  • Patent Document 1 when most of the events output by the computer device and other electronic devices constituting the system or the system itself are regular, the regularity is given. It is a technology that can detect abnormalities in the event series. For example, when a plurality of event sequences are irregularly mixed, or when the event sequences that appear differ depending on the system state including the physical system, the above-mentioned technique cannot specify the regular event sequence.
  • an object of the present invention is to provide an information processing device, an information processing method, a recording medium, and an information processing system that solve the above-mentioned problems.
  • the information processing apparatus includes an event sequence indicating at least the types of a plurality of events output by the target system in the past time interval and the output time of each of the events, and the event sequence.
  • an event sequence indicating at least the types of a plurality of events output by the target system in the past time interval and the output time of each of the events, and the event sequence.
  • a selection model that selects the type of event that has a high probability of appearing in the future among the types of included events, a plurality of types of events that have a high probability of appearing in the future from among the types of each event included in the event series.
  • the relationship event selection means for selecting the event type, the type of the selected event, and the prediction model for estimating the order and time interval in which the selected event will appear in the future are used. Predict the order and time interval in which multiple selected events will appear in the future.
  • the information processing method includes an event sequence indicating at least the types of a plurality of events output by the target system in the past time interval and the output time of each of the events, and the event sequence.
  • an event sequence indicating at least the types of a plurality of events output by the target system in the past time interval and the output time of each of the events, and the event sequence.
  • the program uses the computer of the information processing apparatus as an event sequence indicating at least the types of a plurality of events output by the target system in the past time interval and the output time of each of the events. , The appearance that will appear in the future from the types of each event included in the event series, using a selection model that selects the type of event that has a high probability of appearing in the future among the types of events included in those event series.
  • a relational event selection means for selecting a plurality of event types having a high probability, a prediction model for estimating the types of the selected multiple events, and the order and time interval in which the selected multiple events will appear in the future. It is used as a predictor for predicting the order and time interval in which the selected events will appear in the future.
  • FIG. 1 is a block diagram showing a functional configuration of an information processing apparatus.
  • the information processing device 100 in the present invention is connected to an information processing system 200 that controls a plant or the like to be controlled.
  • the information processing device 100 is used to monitor the information processing system 200.
  • the devices and devices constituting the information processing system 200 output communication packets for controlling a control target such as a plant to the communication network constituting the information processing system 200.
  • the information processing device 100 acquires the communication packet and monitors the information processing system 200.
  • the information processing device 100 is composed of one or a plurality of information processing devices including an arithmetic unit and a storage device. Then, as shown in FIG. 1, the information processing apparatus 100 has a data measurement unit 110, a learning unit 120, a related event selection unit 130, an event sequence prediction unit 140, and an event sequence monitoring unit when the arithmetic unit executes a program. It has each function of 150. Further, the information processing device 100 includes a data storage unit 160 and a model storage unit 170 formed in the storage device.
  • FIG. 2 is a block diagram showing a functional configuration of a learning unit included in the information processing apparatus.
  • the learning unit 120 includes each functional configuration of a learning data acquisition unit 121, a model acquisition unit 122, a related event selection method learning unit 123, an event sequence prediction method learning unit 124, and a model update unit 125.
  • FIG. 3 is a first diagram showing an example of input data of the information processing device.
  • FIG. 4 is a first diagram showing an outline of processing of the information processing apparatus.
  • the information processing device 100 acquires the communication packet output by the information processing system 200 and records the communication packet in a database or the like of its own device.
  • the information processing device 100 acquires the event data D1 and the process data D2 specified based on the communication packet in the learning process.
  • the learning unit 120 of the information processing apparatus 100 inputs the types of the selected plurality of events, the time interval of the appearance time of those events, and the state information output by the information processing system 200 in the time interval, and provides information in the time interval.
  • a relational event selection model that outputs a highly related event type among a plurality of event types output by the processing system 200 is generated by machine learning. This learning process is performed by the related event selection method learning unit 123.
  • the information processing device 100 records the related event selection model in the model storage unit 170.
  • the learning unit 120 performs learning processing based on the event data D1 and the process data D2 included in each of the past communication packet and the new communication packet.
  • the learning unit 120 determines the types of the selected events based on the types of the selected events and the prediction results of the sequence prediction model of the order in which the selected events appear in the future and the time interval. Learning to train a series prediction model so that the value of the prediction accuracy obtained by using the degree of coincidence of the appearance order in the future time interval of the event and the degree of coincidence of the time interval based on the appearance time of those events in the future time interval is high.
  • Perform processing This learning process is performed by the event sequence prediction method learning unit 124.
  • the information processing device 100 records the series prediction model in the model storage unit 170.
  • the event data includes information such as the acquisition time of the communication packet and the destination IP address, source IP address, function number, register address, etc. included in the communication packet.
  • the event data further includes an event type classified based on a combination of a destination IP address, a source IP address, a function number, and a register address included in the communication packet.
  • the process data also includes a process value included in the communication packet.
  • the process value is, for example, a measured value measured by a physical sensor related to a controlled object. For example, if the control target is a plant, it may be values such as temperature, humidity, pressure, and rotation speed acquired from physical sensors by each device or device of the plant.
  • the information processing device 100 performs the monitoring process using the past communication packet, the new communication packet, the related event selection model, and the series prediction model generated in the monitoring process of the information processing system 200. In this monitoring process, the information processing device 100 determines whether or not the time series of newly acquired communication packets is abnormal.
  • FIG. 5 is a second diagram showing an example of input data of the information processing device.
  • the data measurement unit 110 of the information processing apparatus 100 acquires event data and process data based on the communication packet acquired from the information processing system 200.
  • the information processing device 100 identifies an event type (A, B, C, x, y) based on a combination of a destination IP address, a source IP address, a function number, and a register address included in a communication packet, and event data.
  • Process data (process value), event type, and reception time are stored in association with each other.
  • the data measurement unit 110 of the information processing apparatus 100 determines, from the reception time and the event type, the time interval of the event indicating the output interval of the communication packet specified as the event type by the information processing system 200, the event frequency indicating the output frequency, and the like.
  • the event data processed value may be calculated statistically. Further, the data measurement unit 110 of the information processing apparatus 100 may calculate a process data processing value such as a differential value or an integral value of the corresponding process value output by the information processing system 200 based on the reception time and the process value. good.
  • the data measurement unit 110 may record the calculated event data processing value or process data processing value in the data storage unit 160 in association with the event data or process data.
  • FIG. 6 is a first diagram showing a processing flow of the information processing apparatus.
  • FIG. 7 is a diagram showing an outline of processing of the learning unit.
  • the information processing device 100 performs a learning process.
  • the learning data acquisition unit 121 first reads the learning data from the data storage unit 160 (step S10).
  • the learning data read by the learning data acquisition unit 121 is event data, process data, event data processed value, and process data processed value recorded in the database of the own device.
  • the learning data acquisition unit 121 includes event data, process data, event data processing values (event interval, event frequency, event occurrence time, etc.), process data processing values (continuous value of process value, discrete value, differential value, integrated value, etc.). Etc.) to get.
  • the learning data acquisition unit 121 acquires the event data, the process data, the event data processing value, and the process data processing value by the data measurement unit 110, and the event data, the process data, and the event data processing according to the acquisition of the communication packet.
  • the values and process data are acquired in order based on the records of the processed values in the data storage unit 160.
  • the learning data acquisition unit 121 outputs each acquired data to the related event selection method learning unit 123. Further, the learning data acquisition unit 121 outputs each acquired data to the event series prediction method learning unit 124.
  • the model acquisition unit 122 acquires the relational event selection model in the initial state or during learning from the model storage unit 170 (step S11).
  • the model acquisition unit 122 acquires a series prediction model in the initial state or during learning from the model storage unit 170 (step S12).
  • the model acquisition unit 122 outputs the acquired relational event selection model to the relational event selection method learning unit 123.
  • the model acquisition unit 122 outputs the acquired series prediction model to the event series prediction method learning unit 124.
  • the related event selection method learning unit 123 starts the learning process (step S13).
  • the related event selection method learning unit 123 sets a time interval of a predetermined time in the past as a time interval of the current processing target (step S14).
  • the related event selection method learning unit 123 acquires the event data and the process data included in the communication packet output by the information processing system 200 in the time interval of the predetermined time in the past.
  • the time interval of a predetermined time in the past may be, for example, a time interval of one minute in the past.
  • the related event selection method learning unit 123 specifies at least the type of event data output by the system 200 in the time interval and the output time indicated by each event data.
  • the related event selection method learning unit 123 also specifies the value indicated by each process data in the time interval.
  • the relational event selection method learning unit 123 randomly selects a plurality of event types from the types of events included in a certain time interval in the past in the initial situation of learning the relational event selection model (step S15). .. In the situation where the learning degree of the relational event selection model has increased, the relational event selection method learning unit 123 determines the type of each event included in a certain time interval, the appearance interval of the event that can be calculated by the output time of the event, and the appearance interval of the event. May be input to the relational event selection model, and as a result, the types of a plurality of events output by the relational event selection model may be selected.
  • the relational event selection model is a learning model for outputting the type of the event having a high relation among the types of the plurality of events output by the information processing system 200 in the time interval.
  • the learning unit 123 calculates based on the type of each event included in a certain time interval, the event appearance interval that can be calculated based on the output time of the event, the current process data value, and the process data.
  • the processed process data processing value or event data processing value may be input to the relational event selection model, and as a result, the types of a plurality of events output by the relational event selection model may be selected.
  • the related event selection method learning unit 123 may input information other than the above into the related event selection model, and as a result, select a plurality of event types output by the related event selection model. For example, even if the value of the prediction accuracy, which is the output result of the event series prediction unit 140 shown below, is further input to the relational event selection model, and as a result, the types of a plurality of events output by the relational event selection model are selected. good.
  • the related event selection method learning unit 123 learns the related event selection model so that the value of the prediction accuracy, which is the output result of the event series prediction unit 140, is high. As a result, the related event selection method learning unit 123 can generate a learning model for outputting the highly related event type among the plurality of event types output by the information processing system 200 in the time interval. A high relationship may be defined as a high probability of output in a future time interval.
  • the related event selection method learning unit 123 outputs the information indicating the selected time interval and the type of the event selected in the time interval to the event series prediction method learning unit 124.
  • the related event selection method learning unit 123 sets a plurality of different time intervals, similarly selects a plurality of event types for each time interval for each of the plurality of time intervals, and outputs the event sequence prediction method learning unit 124. ..
  • the event series prediction method learning unit 124 acquires the information of the time interval output by the related event selection method learning unit 123 and the types of a plurality of events selected in the time interval.
  • the event series prediction method learning unit 124 inputs the information of the event type output by the relational event selection method learning unit 123 into the series prediction model in a certain time interval, and as a result, the input event type is the relational event selection.
  • Information on the order predicted to appear in a future time interval such as the time interval next to the time interval selected by the method learning unit 123 and the time interval is predicted and output (step S16).
  • the series prediction model is a learning model that predicts the order and time interval in which the selected plurality of events will appear in the future time interval when the types of the selected plurality of events are input.
  • the future time interval may be a time interval from the current time to a time after a predetermined length of time, such as 1 minute after the current time, or 1 minute after the reference time with the predetermined time after the current time as the reference time. It may be a time interval up to the time after a predetermined length of time such as.
  • the event series prediction method learning unit 124 includes a value of process data corresponding to each event included in the time interval set by the related event selection method learning unit 123, a process data processed value calculated based on the process data, and an event. Data processing values are entered into the series prediction model, and as a result, the types of the entered events are predicted to appear in future time intervals such as the time interval next to the time interval selected by the related event selection method learning unit 123. Information on the order in which they are performed and the time interval may be output.
  • the event series prediction method learning unit 124 inputs information other than the above into the series prediction model, and as a result, the input event type is the time interval next to the time interval selected by the related event selection method learning unit 123.
  • the order predicted to appear in a future time interval such as, and the information of the time interval may be specified based on the output of the series prediction model.
  • the event sequence prediction method learning unit 124 determines the order in which the event sequence prediction method learning unit 124 is predicted to appear in a future time interval such as the time interval next to the selected time interval for each time interval set by the related event selection method learning unit 123.
  • the time interval information is specified (step S17).
  • the event sequence prediction method learning unit 124 calculates the prediction accuracy R using the equation (1) as an example (step S18).
  • the prediction accuracy R is a prediction obtained by the degree of coincidence of the appearance order in the future time interval of the event type selected in the time interval and the degree of coincidence in the future time interval of the time interval based on the appearance time of those events.
  • the accuracy is R.
  • i indicates the order of appearance of events in the time interval
  • j indicates the type of event.
  • e ij indicates the probability that the event type j appears in the i-th position in the time interval, which is output by the event sequence prediction method learning unit 124 using the sequence prediction model.
  • e ⁇ ij is set to 1 when the event type j actually appears in the i-th position in the set time interval or a future time interval after the set time interval, and 0 otherwise. This is the value shown.
  • Equation (1) is an event-series prediction method learning section 124 the time time (i-1) th event appears time and i-th event appearing at the output the time interval using the series prediction model The interval. Further, in the equation (1), w j is a weight value output by the event sequence prediction method learning unit 124 using the sequence prediction model. The term w j may be omitted. In equation (1), ⁇ represents a constant.
  • the above equation (2) included in the equation (1) is a sequence of events selected from event data at a time interval set by the related event selection method learning unit 123 and an order predicted by the event sequence prediction method learning unit 124.
  • the value (numerical value) of the prediction accuracy according to the match is shown. The higher the degree of agreement, the larger the value indicated by the equation (2).
  • the above equation (3) included in the equation (1) is the time interval of each event selected from the event data in the time interval set by the related event selection method learning unit 123, and each predicted by the event sequence prediction method learning unit 124.
  • the value (numerical value) of the prediction accuracy according to the match with the time interval of the event is shown. The higher the degree of agreement, the larger the value indicated by the equation (3).
  • the event series prediction method learning unit 124 calculates the sum of equations (2) and (3) for each time interval set by the related event selection method learning unit 123, and outputs a prediction accuracy R indicating the average E thereof. ..
  • the event series prediction method learning unit 124 outputs the prediction accuracy R calculated according to the output of the relational event selection method learning unit 123 to the relational event selection method learning unit 123.
  • the event sequence prediction method learning unit 124 sets the types of a plurality of events output by the information processing system 200 in the past time interval and the types of a plurality of events selected in the event sequence indicating at least the output time of each of the events. Based on this, a series prediction model that predicts the order of event types output by the information processing system 200 in the future time interval and the time interval in which the event types are output is calculated by repeating the above processing by machine learning. (Step S19).
  • the event sequence prediction method learning unit 124 may use any machine learning method for calculating the sequence prediction model, and for example, logistic regression, support vector machine, perceptron, neural network, decision tree, rule extraction, etc. Use the machine learning method of.
  • the event sequence prediction method learning unit 124 may use LSTM (Long-Short Term Memory) or Attention Mechanism, which are a type of neural network, for calculating the sequence prediction model.
  • the event sequence prediction method learning unit 124 may use the pattern mining method A-priori algorithm, FP-Tree algorithm, FP-Growth algorithm, and Prefix-Span algorithm for the calculation of the sequence prediction model.
  • the related event selection method learning unit 123 includes information on the types of the selected plurality of events, the prediction accuracy R according to the output, the information of the time interval targeted for the selection processing of the selected plurality of event types, and the time thereof. Event data, process data, event data processing value, and process data processing value in the section are stored in association with each other.
  • the learning unit 123 uses a machine learning method such as reinforcement learning to select from among the types of events included in the time interval in which the types of a plurality of events for which the value of the prediction accuracy R increases are set.
  • the event selection model is calculated (step S20). That is, the related event selection method learning unit 123 outputs the prediction accuracy R output by the event series prediction method learning unit 124, the types of a plurality of events used for calculating the prediction accuracy R, the event data processing value, and the process. Data and process data The processing value is input, and the learning process is repeated so that the types of a plurality of events in which the value of the prediction accuracy R increases can be selected by using the relationship between the input and output.
  • the related event selection method learning unit 123 is based on the input of an event series indicating at least the types of a plurality of events output by the information processing system 200 in the past time interval and the output time of each of the events.
  • a relational event selection model that outputs a plurality of event types is generated by machine learning so that the smaller the difference between the order of the types and the measured value of the time interval in which the type of the event is output, the better the prediction accuracy.
  • the relational event selection method learning unit 123 may use any machine learning method for calculating the relational event selection model, for example, logistic regression, support vector machine, perceptron, neural network, decision tree, rule extraction, etc. Use machine learning methods such as.
  • the relational event selection method learning unit 123 may use LSTM (Long-Short Term Memory) or Attention Mechanism, which are a kind of neural network, for calculating the relational event selection model.
  • the relational event selection method learning unit 123 may use the pattern mining method A-priori algorithm, FP-Tree algorithm, FP-Growth algorithm, and Prefix-Span algorithm for calculating the relational event selection model.
  • the event series prediction method learning unit 124 outputs the parameter group constituting the updated series prediction model to the model update unit 125.
  • the model update unit 125 records the data of the series prediction model including the parameter group constituting the updated series prediction model in the model storage unit 170 (step S21).
  • the related event selection method learning unit 123 outputs the parameter group constituting the updated related event selection model to the model update unit 125.
  • the model update unit 125 records the data of the relation event selection model including the parameter group constituting the relation event selection model after the update in the model storage unit 170 (step S22).
  • the relation event selection method learning unit 123 and the event series prediction method learning unit 124 cooperate to select a related type of a plurality of events among the events appearing in a certain time interval.
  • An event selection model can be generated. Further, according to the above processing, the event type selected in a certain time interval, the event data and process data included in the event series in the time interval, the event data processing value, and the process data processing value are used in the future. It is possible to generate a series prediction model that predicts the order of the types of events output by the information processing system 200 in the time interval and the time interval in which the types of the events are output.
  • FIG. 8 is a diagram showing the relationship between the process state and the event sequence.
  • the above-mentioned time interval is, as an example, a time set in various process states output by the information processing system 200, such as a process state (1), a process state (2), and a process state (3). It is a section.
  • the characteristics of the event sequence and process data (room temperature, air conditioning operation rate, etc.) indicated by the order and time interval of the event data output by the information processing system 200 may differ depending on each process state. many.
  • the process state may be physical information measured by a sensor or the like in the information processing system 200.
  • the process state may be information on a state of system operation such as a state immediately after the start of operation of the information processing system 200 and a normal operation state.
  • a state of system operation such as a state immediately after the start of operation of the information processing system 200 and a normal operation state.
  • Each of the above-mentioned processes accurately determines the order and time interval of the types of events that appear in the future time interval in the period in which the process state continues, according to the process state specified by the information output from the information processing system.
  • This is a process for generating a series prediction model that can be predicted and a relational event selection model that can select a plurality of event types so that such prediction is performed using the series prediction model.
  • a series prediction model that can accurately predict the order and time interval of the types of events that appear in the future time interval without detecting the current process state, and such prediction is a series prediction model. It is possible to generate a relational event selection model that can select multiple event types so that it is performed using.
  • the process state is an example of state information.
  • the time interval may be set completely independently of the process state described above. For example, the time may be divided evenly, such as every minute, and each may be defined as a time interval. It is possible to extract features representing unknown process states that cannot be specifically specified by machine learning using only the event sequence and process data itself, without using information about process states.
  • the event selection model and the series prediction model can be learned to select an event type according to an unknown process state and to estimate the order and time interval of the event types.
  • FIG. 9 is a diagram showing an outline of processing of the learning unit.
  • the learning unit 120 selects from an event series (10) in which the types of events appearing in the time interval set in step S14 are represented in time series and the events included in the event series.
  • An event set (30) indicating at least the types of a plurality of events is input to the series prediction model (40).
  • the learning unit 120 calculates a prediction result (50) indicating the order and time interval of the types of events that appear in the future time interval by using the series prediction model. Based on the prediction result (50) and the measured value (20), the learning unit 120 calculates (60) the related event selection model and the series prediction model by machine learning and updates them.
  • FIG. 10 is a second diagram showing a processing flow of the information processing apparatus.
  • FIG. 11 is a first diagram showing an outline of the monitoring process.
  • the information processing apparatus 100 is controlled by the plant or the like based on the communication packet output from the information processing system 200.
  • the monitoring process for monitoring the abnormality of the above is started (step S101).
  • the related event selection unit 130 sets a predetermined time interval including the current time (step S102).
  • the related event selection unit 130 acquires event data D3 and process data D4 in a predetermined time interval including the current time.
  • the related event selection unit 130 may set a predetermined time interval including the current time as, for example, a time interval up to the time up to one minute before the past with respect to the present.
  • the related event selection unit 130 may set a predetermined time interval including the current time as a time interval up to the time up to one minute in the future with respect to the present.
  • the length of a predetermined time interval based on the current time may be determined by the user's setting. As an example, it is assumed that this length is equal to the length set in the learning process.
  • the related event selection unit 130 reads out the related event selection model recorded in the model storage unit 170 (step S103).
  • the related event selection unit 130 acquires an event sequence indicating at least the types of a plurality of events output by the information processing system 200 in the set past time interval and the output time of each of the events.
  • the related event selection unit 130 inputs the type of each event included in the set time interval and the event appearance interval that can be calculated from the output time of the event into the related event selection model.
  • the relational event selection unit 13 selects a plurality of event types output by the relational event selection model (step S104).
  • the related event selection unit 130 calculates based on the type of each event included in the set time interval, the event appearance interval that can be calculated based on the output time of the event, the current process data value, and the process data. Input the processed process data processing value or event data processing value to the related event selection model. As a result, the relational event selection unit 130 selects a plurality of event types output by the relational event selection model. The related event selection unit 130 outputs information on a plurality of event types (event sets) selected by the event series prediction unit 140 and a set time interval.
  • the processing of the related event selection unit 130 is related to the event type A and the event of the event type A when the event type specified for the new communication packet in the set time interval is the event A. Outputs a combination of event types (event set) including other event types that are likely to appear in future event series. Further, as shown in FIG. 11, when the event type specified for the new communication packet in the set time interval is event B, the processing of the related event selection unit 130 is performed on the event type B and the event of the event type B. Outputs a combination of event types (event set) that includes other event types that are highly relevant and may appear in future event series. Further, as shown in FIG.
  • event C when the event type specified for the new communication packet in the set time interval is event C, the processing of the related event selection unit 130 is performed on the event type C and the event of the event type C. Outputs a combination of event types (event set) that includes other event types that are highly relevant and may appear in future event series.
  • the event series prediction unit 140 sequentially acquires the event series information in the time interval set by the related event selection unit 130. Further, the event series prediction unit 140 acquires a plurality of event types (event sets) from the related event selection unit 130. Further, the event sequence prediction unit 140 reads out the sequence prediction model recorded in the model storage unit 170 in association with the identification information of the process state of the current control target (step S105).
  • the event series prediction unit 140 acquires the time interval information set by the related event selection unit 130 and the type of event (event set) selected in that time interval.
  • the event series prediction unit 140 inputs the type of event output by the related event selection unit 130 in the set time interval into the series prediction model.
  • the event series prediction unit 140 predicts that the input event types will appear in a future time interval such as the time interval next to the time interval selected by the related event selection unit 130, and the time.
  • Predicting and outputting interval information (step S106).
  • the future time interval may be a time interval from the current time to a time after a predetermined length of time, such as 1 minute after the current time, or 1 minute after the reference time with the predetermined time after the current time as the reference time. It may be a time interval up to the time after a predetermined length of time such as. It is assumed that this time interval is the same as the future time interval set based on the reference time in the learning process.
  • the event series prediction unit 140 determines the value of the process data corresponding to each event included in the time interval set by the related event selection unit 130, the process data processing value calculated based on the process data, and the event data processing value.
  • the event series prediction unit 140 inputs information other than the above into the series prediction model, and as a result, the type of the input event is a future time interval such as a time interval next to the time interval selected by the related event selection unit 130.
  • the order predicted to appear in the time interval and the information of the time interval may be specified based on the output of the series prediction model.
  • the event series prediction unit 140 provides information on the order and time interval predicted to appear in a future time interval such as the time interval next to the selected time interval for each time interval set by the related event selection unit 130. (Step S107).
  • the event series prediction unit 140 generates an appearance prediction list indicating at least the order and time interval in which the selected plurality of events will appear in the future, and outputs the appearance prediction list to the event series monitoring unit 150 (step S108).
  • the event series prediction unit 140 learns and predicts the order and the time interval, for example, the order in the event series and the time interval between each event in the event series as a probability model, so that the prediction probability exceeds the threshold value. It is possible to output a range of time intervals that are high.
  • the probability model may be constructed in any way, and for example, any probability distribution may be assumed. For example, a discrete distribution, a binomial distribution, a multinomial distribution, a Gaussian distribution, a Laplace distribution, a t distribution, a Cauchy distribution, a Gumbel distribution, a Poisson distribution, a Levy distribution, a q-Gaussian distribution, and the like can be used.
  • the event sequence prediction unit 140 generates an appearance prediction list including the calculated time interval range and outputs it to the event sequence monitoring unit 150.
  • FIG. 12 is a second diagram showing an outline of the monitoring process.
  • the processing of the event series prediction unit 140 is related to the event type A and the event of the event type A when the event type specified for the new communication packet in the set time interval is the event A.
  • a combination of event types (event set A) including other event types that are likely to appear in the event series in the future is input from the related event selection unit 130 (D51).
  • event B when the event type specified for the new communication packet in the set time interval is event B, the event series prediction unit 140 appears in the event series in the future because it is highly related to the event type B and the event of the event type B.
  • a combination of event types (event set B) including other possible event types is input from the related event selection unit 130 (D52).
  • the event sequence prediction unit 140 uses an event sequence prediction model, and uses event sequence candidates (D51) that indicate at least the order and time intervals in which the plurality of events selected by the relational event selection unit 130 appear in the future. Outputs an appearance prediction list (D61) showing the order and time interval in which the events of are appearing in the future. Further, the event sequence prediction unit 140 uses the event sequence prediction model, and uses the event sequence candidate (D52) that indicates at least the order and time interval in which the plurality of events selected by the relational event selection unit 130 appear in the future. An appearance prediction list (D62) showing the order in which a plurality of events will appear in the future and the time interval is output.
  • the event series monitoring unit 150 acquires an appearance prediction list showing the order and time interval in which a plurality of events will appear in the future from the event series prediction unit 140, and newly acquires a white list in which the information is described. Update to the event type order and time interval information included in the list (step S109).
  • FIG. 13 is a diagram showing the relationship between the event set and the white list in the first process state.
  • the related event selection unit 130 selects the types A, B, and C of a plurality of closely related events, and the types of those events.
  • the event set including A, B, and C is output to the event series prediction unit 140.
  • the event series prediction unit 140 Based on this event set, the event series prediction unit 140 generates a white list showing the appearance order A ⁇ B ⁇ A ⁇ C and the time interval in the appearance order of those events.
  • FIG. 14 is a diagram showing the relationship between the event set and the white list in the second process state.
  • the related event selection unit 130 selects a plurality of event types A and B having a high relationship, and the event types A and B are selected.
  • the event set including B is output to the event series prediction unit 140.
  • the event series prediction unit 140 Based on this event set, the event series prediction unit 140 generates a white list showing the appearance order A ⁇ B ⁇ A, the appearance order A ⁇ B, and the time interval in the appearance order of those events.
  • FIG. 15 is a diagram showing the relationship between the event set and the white list in the third process state.
  • the related event selection unit 130 selects a plurality of event types A and B having a high relationship, and the event types A and B are selected.
  • the event set including B is output to the event series prediction unit 140. Based on this event set, the event series prediction unit 140 generates a white list showing the appearance order A ⁇ B and the time interval in the appearance order of those events.
  • the event sequence monitoring unit 15 identifies the event type indicated by the new communication packet each time the communication packet is acquired, and calculates the time interval between the acquisition time of the event type and the acquisition time of the event type that appears (step S110). ).
  • the event sequence monitoring unit 15 includes a new acquisition time and time interval of an appearing event type calculated based on a communication packet acquired from the information processing system 200 in a new period from the current time to a predetermined time later.
  • the event series candidate is specified (step S111).
  • the event sequence monitoring unit 15 compares the new event sequence candidate with the event sequence candidate composed of the event type and the time interval described in the white list, and determines whether they match (step S112). If they match, the event sequence monitoring unit 15 determines that the monitoring target is normal.
  • the event sequence monitoring unit 15 determines that the monitoring target is abnormal.
  • the event sequence monitoring unit 15 outputs information on the determination result indicating normality or abnormality to a predetermined output destination (step S113).
  • the event sequence monitoring unit 15 may output an alarm when the determination result indicates an abnormality.
  • FIG. 16 is a diagram showing an example when the determination result becomes normal in the above-mentioned monitoring process.
  • the related event selection unit 130 includes an event series (161) representing the types of events appearing in the set time interval in a time series, and an event included in the event series (161).
  • An event set (162) indicating the types of the selected plurality of events is input to the series prediction model (163).
  • the event series prediction unit 140 uses a series prediction model to calculate a prediction result (event series candidate 164) indicating the order and time interval of the types of events that appear in the future time interval.
  • the event sequence monitoring unit 15 determines that the information processing system 200 to be monitored is normal when the degree of agreement is high.
  • the order of appearance of each event type of A ⁇ B ⁇ A ⁇ C and the time interval of A ⁇ B from 1 to 1.5 seconds in the order of the event type. It is assumed that the information that the time interval of B ⁇ A is 1.2 seconds to 2.4 seconds and the time interval of A ⁇ C is 1 second to 1.8 seconds is included. Further, in the new event series candidate (165) specified by the event series monitoring unit 15, the order of appearance of each event type of A ⁇ x ⁇ B ⁇ x ⁇ A ⁇ y ⁇ x ⁇ C and the order of the event types.
  • the event series monitoring unit 15 determines that the event types and their order included in the event series candidates output by the event series prediction unit 140 are normal because the degree of coincidence between the intervals of each event type is high (166). ..
  • FIG. 17 is a diagram showing an example when the determination result becomes abnormal in the above-mentioned monitoring process.
  • the related event selection unit 130 has an event series (171) representing the types of events appearing in the set time interval in a time series, and an event included in the event series (171).
  • An event set (172) indicating the types of the selected plurality of events is input to the series prediction model (173).
  • the event series prediction unit 140 uses a series prediction model to calculate a prediction result (event series candidate 174) indicating the order and time interval of the types of events that appear in the future time interval.
  • the event sequence monitoring unit 15 determines that the information processing system 200 to be monitored is normal when the degree of agreement is high.
  • the order of appearance of each event type of A ⁇ B ⁇ A ⁇ C and the time interval of A ⁇ B from 1 to 1.5 seconds in the order of the event type. It is assumed that the information that the time interval of B ⁇ A is 1.2 seconds to 2.4 seconds and the time interval of A ⁇ C is 1 second to 1.8 seconds is included. Further, in the new event series candidate (175) specified by the event series monitoring unit 15, the order of appearance of each event type of A ⁇ x ⁇ B ⁇ x ⁇ A ⁇ y ⁇ B ⁇ x ⁇ C and the event type.
  • the time interval of A ⁇ B is 1 second
  • the time interval of B ⁇ A is 1.5 seconds
  • the time interval of A ⁇ B is 0.5 seconds
  • the time interval of B ⁇ C is 1.5 seconds.
  • the event series monitoring unit 15 determines that the event is abnormal because the degree of agreement between the event types and their order included in the event series candidates output by the event series prediction unit 140 and the intervals between the types of each event is low (176). ).
  • the information processing apparatus 100 acquires at least an event sequence indicating at least the types of a plurality of events output by the information processing system 200 in the past time interval and the output time of each of the events. Then, based on the input of the event series, the prediction result of the order of the event types output by the information processing system 200 in the future time interval and the time interval in which the event type is output, and information in the future time interval. Machine learning of a selection model that outputs multiple event types that improves prediction accuracy as the difference between the order of event types output by the processing system 200 and the measured value of the time interval in which the event types are output is smaller. Generated by.
  • the information processing apparatus 100 predicts the order of the event types output by the target system in the future time interval and the time interval in which the event types are output, based on at least the selected plurality of event types.
  • a series prediction model is generated by machine learning. Then, the information processing apparatus 100 uses those learning models to determine the process state specified from the event type and process data of the communication packet acquired from the information processing system 200, or any process state. Even if the process state is unknown and cannot be specified, the order and time interval of the types of events that are likely to occur in the current process state or the time interval set at the present time can be predicted. Then, since it is determined whether the output of the system is normal or abnormal based on this prediction result and the measured value, it is possible to accurately monitor the abnormality of the controlled object regardless of the process state.
  • the event data including many types of events whose output from the target system such as the information processing system 200 is different is output, the event data having a high relationship among the event data is output.
  • the type By simply selecting the type, it is possible to predict the order and time interval of the event types that are likely to be output in the future time interval in the same process state.
  • FIG. 18 is a diagram showing a minimum configuration of an information processing device.
  • FIG. 19 is a diagram showing a processing flow of the information processing apparatus with the minimum configuration.
  • the information processing device 100 may include at least the related event selection means 181, the prediction means 182, and the monitoring means 183.
  • the related event selection means 181 includes an event series indicating at least the types of a plurality of events output by the target system (information processing system 200) in the past time interval and the output time of each of the events, and the events included in the event series. Select the type of event that has a high probability of appearing in the future among the types of Is selected (step S191).
  • the prediction means 182 uses a series prediction model that estimates the types of the selected events and the order and time intervals in which the selected events will appear in the future, so that the selected events will appear in the future. Predict the order and time interval to do (step S192).
  • the above-mentioned information processing device 100 has a computer system inside.
  • the process of each process described above is stored in a computer-readable recording medium in the form of a program, and the process is performed by the computer reading and executing this program.
  • the computer-readable recording medium refers to a magnetic disk, a magneto-optical disk, a CD-ROM, a DVD-ROM, a semiconductor memory, or the like.
  • this computer program may be distributed to a computer via a communication line, and the computer receiving the distribution may execute the program.
  • the above program may be for realizing a part of the above-mentioned functions.
  • a so-called difference file difference program
  • difference program difference program
  • Event series that show at least the types of multiple events output by the target system in the past time interval and the output time of each event, and the types of events included in those event series that have a high probability of appearing in the future.
  • a selection model for selecting a type a related event selection means for selecting the types of a plurality of events having a high probability of appearing in the future from the types of each event included in the event series, and The order in which the selected events will appear in the future and the order in which the selected events will appear in the future are used by using the types of the selected events and a prediction model that estimates the order in which the selected events will appear in the future and the time interval.
  • the predictor generates an appearance prediction list that at least indicates the order and time interval in which the selected events will appear in the future.
  • the target system outputs based on the combination of the order in which the events appear and the time interval of those events shown in the appearance prediction list, and the order of the events newly output by the target system and the time interval of those events.
  • Monitoring means to monitor whether the event to be performed is normal, The information processing apparatus according to Appendix 1.
  • a predictive model learning means that generates the predictive model by machine learning that predicts the order of event types output by the target system and the time interval at which the event types are output.
  • Appendix 5 The information processing apparatus according to Appendix 4, wherein the prediction model learning means calculates a value of prediction accuracy based on a difference between the prediction result and the actually measured value.
  • the selection model learning means further inputs the value of the prediction accuracy, and outputs the selection model that outputs the types of the plurality of events that improve the prediction accuracy as the difference between the prediction result and the actually measured value becomes smaller.
  • the information processing apparatus according to Appendix 4 which is generated by machine learning.
  • Event series that show at least the types of multiple events output by the target system in the past time interval and the output time of each event, and the types of events included in those event series that have a high probability of appearing in the future.
  • the selection model for selecting the type the types of a plurality of events having a high probability of appearing in the future are selected from the types of each event included in the event series.
  • the types of the selected multiple events and a prediction model that estimates the order in which the selected events will appear in the future and the time interval the order in which the selected events will appear in the future and the order in which the selected events will appear in the future.
  • An information processing method that predicts the time interval.
  • Event series that show at least the types of multiple events output by the target system in the past time interval and the output time of each event, and the types of events included in those event series that have a high probability of appearing in the future.
  • a related event selection means for selecting the types of a plurality of events having a high probability of appearing in the future from the types of each event included in the event series by using a selection model for selecting the type.
  • the order in which the selected events will appear in the future and the order in which the selected events will appear in the future are used by using the types of the selected events and a prediction model that estimates the order in which the selected events will appear in the future and the time interval.
  • Predictive means for predicting time intervals A recording medium that records a program that functions as.
  • Event series that show at least the types of multiple events output by the target system in the past time interval and the output time of each event, and the types of events included in those event series that have a high probability of appearing in the future.
  • a selection model for selecting a type a related event selection means for selecting the types of a plurality of events having a high probability of appearing in the future from the types of each event included in the event series, and The order in which the selected events will appear in the future and the order in which the selected events will appear in the future are used by using the types of the selected events and a prediction model that estimates the order in which the selected events will appear in the future and the time interval.
  • Information processing device 110 ... Data measurement unit 120 . Learning unit (selection model learning means, prediction model learning means) 130 ... Related event selection unit (related event selection means) 140 ... Event series prediction unit (prediction means) 150 ... Event series monitoring unit (monitoring means) 160 ... Data storage unit 170 ... Model storage unit 200 ... Information processing system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Abstract

過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する関係イベント選択モデルとを用いて、将来出現する出現確率が高い複数のイベントの種別を選択する。選択された複数のイベントの種別と、選択された複数のイベントが将来出現する順序と時間間隔とを推定する系列予測モデルとを用いて、選択された複数のイベントが将来出現する順序と時間間隔を予測する。

Description

情報処理装置、情報処理方法、記録媒体、情報処理システム
 本発明は、情報処理装置、情報処理方法、記録媒体、情報処理システムに関する。
 情報処理システムの利用が様々な分野に拡大している。一方で、外部からの標的型攻撃のような高度な情報処理システムへの攻撃の脅威が増大している。プラントや重要インフラ等、物理的なシステムを制御するOT(Operational Technology)システムにおいては、このような攻撃を防ぐことを目的として、制御の手順やネットワーク系のトラフィックデータ等のイベント系列や、物理系のプロセスデータ等を、コンピュータ装置を用いて監視している。このようなコンピュータの監視により、システムに対する攻撃やシステムの故障による異常な挙動を検知することが行われている。なおイベントとは、システムを構成するコンピュータ装置やその他電子機器またはシステム自体が出力したデータと定義され得る。またイベント系列とはコンピュータ装置やその他電子機器またはシステム自体が時系列に出力したデータの纏まりと定義され得る。
 システムの異常を検知するために、例えば特許文献1には、制御指示(制御コマンド)の順序や時間間隔を事前に学習し、一定の許容範囲を定めてその範囲から外れた制御コマンドの系列を異常として検知する技術が開示されている。
 また、特許文献2には、イベントログからパターンマイニング等によって頻出パターンを抽出し、事前に学習した予測モデルを用いて異常なイベント系列を検知する方法が開示されている。特許文献2では、頻出パターン内の前半のイベント系列(部分パターン)から実際に頻出パターンが出現するかどうかを確率的に予測することで、複数イベント系列が混在することがあるシステムであっても、異常なイベント系列を検知する。
 また、特許文献3では、物理系を含むシステム状態に対応し、ネットワーク系における許可通信を列挙したホワイトリストを複数記憶しておくことで、単一のホワイトリストでは検知できない攻撃や異常を検知する方法が開示されている。
特開2018-022296号公報 特開2018-045403号公報 国際公開第2018/134939号
 上述した特許文献1、特許文献2、特許文献3に開示の技術では、システムを構成するコンピュータ装置やその他電子機器またはシステム自体が出力したイベントのほとんどが規則的である場合において、当該規則的なイベント系列の異常を検知することができる技術である。例えば、複数のイベント系列が不規則に混在する場合や、物理系を含むシステム状態によって出現するイベント系列が異なる場合に、上述の技術では、規則的なイベント系列を特定することができない。
 そこでこの発明は、上述の課題を解決する情報処理装置、情報処理方法、記録媒体、情報処理システムを提供することを目的としている。
 本発明の第1の態様によれば、情報処理装置は、過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段と、前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する。
 本発明の第2の態様によれば、情報処理方法は、過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択し、前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する。
 本発明の第3の態様によれば、プログラムは、情報処理装置のコンピュータを、過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段、前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段、として機能させる。
 本発明によれば、システムを構成するコンピュータ装置やその他電子機器またはシステム自体が出力したイベントが不規則な場合でも、イベントの異常を監視することができる。
本発明の一実施形態による情報処理装置の機能構成を示すブロック図である。 本発明の一実施形態による情報処理装置が備える学習部の機能構成を示すブロック図である。 本発明の一実施形態による情報処理装置の入力データの一例を示す第一の図である。 本発明の一実施形態による情報処理装置の処理概要を示す第一の図である。 本発明の一実施形態による情報処理装置の入力データの一例を示す第二の図である。 本発明の一実施形態による情報処理装置の処理フローを示す第一の図である。 本発明の一実施形態による学習部の処理概要を示す図である。 本発明の一実施形態によるプロセス状態とイベント系列との関係を示す図である。 本発明の一実施形態による学習部の処理概要を示す図である。 本発明の一実施形態による情報処理装置の処理フローを示す第二の図である。 本発明の一実施形態による監視処理の処理概要を示す第一の図である。 本発明の一実施形態による監視処理の処理概要を示す第二の図である。 本発明の一実施形態による第一のプロセス状態におけるイベント集合とホワイトリストの関係を示す図である。 本発明の一実施形態による第二のプロセス状態におけるイベント集合とホワイトリストの関係を示す図である。 本発明の一実施形態による第三のプロセス状態におけるイベント集合とホワイトリストの関係を示す図である。 本発明の一実施形態による監視処理において判定結果が正常となった場合の例を示す図である。 本発明の一実施形態による監視処理において判定結果が異常となった場合の例を示す図である。 本発明の一実施形態による情報処理装置の最小構成を示す図である。 本発明の一実施形態による最小構成の情報処理装置の処理フローを示す図である。
 以下、本発明の一実施形態による情報処理装置を図面を参照して説明する。
 図1は、情報処理装置の機能構成を示すブロック図である。
 本発明における情報処理装置100は、制御対象となるプラントなどを制御する情報処理システム200に接続されている。情報処理装置100は、情報処理システム200を監視するために利用されるものである。情報処理システム200を構成する装置や機器は、プラントなどの制御対象を制御するための通信パケットを、情報処理システム200を構成する通信ネットワークへ出力している。情報処理装置100は、その通信パケットを取得して、情報処理システム200を監視する。
 情報処理装置100は、演算装置と記憶装置とを備えた1台又は複数台の情報処理装置にて構成される。そして、情報処理装置100は、図1に示すように、演算装置がプログラムを実行することで、データ計測部110、学習部120、関係イベント選択部130、イベント系列予測部140、イベント系列監視部150、の各機能を備える。また、情報処理装置100は、記憶装置に形成された、データ記憶部160、モデル記憶部170、を備える。
 図2は、情報処理装置が備える学習部の機能構成を示すブロック図である。
 学習部120は、学習用データ取得部121、モデル取得部122、関係イベント選択方法学習部123、イベント系列予測方法学習部124、モデル更新部125、の各機能構成を備える。
 図3は情報処理装置の入力データの一例を示す第一の図である。
 図4は情報処理装置の処理概要を示す第一の図である。
 情報処理装置100は、情報処理システム200の出力した通信パケットを取得し、その通信パケットを自装置のデータベース等に記録する。情報処理装置100は、学習処理において、通信パケットに基づいて特定したイベントデータD1とプロセスデータD2とを取得する。情報処理装置100の学習部120は、選択した複数のイベントの種別と、それらイベントの出現時刻の時間間隔と、時間区間において情報処理システム200の出力する状態情報とを入力とし、時間区間に情報処理システム200が出力した複数のイベントの種別のうちの関係の高いイベントの種別を出力とする関係イベント選択モデルを、機械学習により生成する。この学習処理は、関係イベント選択方法学習部123が行う。情報処理装置100は、関係イベント選択モデルをモデル記憶部170へ記録する。
 また学習部120は、過去の通信パケットと新たな通信パケットのそれぞれに含まれるイベントデータD1とプロセスデータD2とに基づいて学習処理を行う。学習部120は、この学習処理において、選択した複数のイベントの種別と、当該選択された複数のイベントが将来出現する順序と時間間隔の系列予測モデルによる予測結果とに基づいて、それらイベントの種別の将来の時間区間における出現順序の一致度とそれらイベントの出現時刻に基づく時間間隔の将来の時間区間における一致度とを用いて得られる予測精度の値が高くなるよう系列予測モデルを学習する学習処理を行う。この学習処理は、イベント系列予測方法学習部124が行う。情報処理装置100は、系列予測モデルをモデル記憶部170へ記録する。
 イベントデータは、通信パケットの取得時刻と、当該通信パケットに含まれる送信先IPアドレス、送信元IPアドレス、機能番号、レジスタアドレスなどの情報を含む。イベントデータは、通信パケットに含まれる送信先IPアドレス、送信元IPアドレス、機能番号、レジスタアドレスの組み合わせに基づいて分類したイベント種別をさらに含む。またプロセスデータは、通信パケットに含まれるプロセス値を含む。プロセス値は、一例としては制御対象に関する物理センサが計測した計測値である。例えば制御対象がプラントであれば、プラントの各装置や機器が物理センサから取得した温度、湿度、圧力、回転数、などの値であってよい。
 そして情報処理装置100は、情報処理システム200の監視処理において発生した、過去の通信パケットと、新たな通信パケットと、関係イベント選択モデルと系列予測モデルとを用いて、監視処理を行う。情報処理装置100は、この監視処理において、新たに取得した通信パケットの時系列が、異常であるか否かを判定する。
 図5は情報処理装置の入力データの一例を示す第二の図である。
 情報処理装置100のデータ計測部110は、情報処理システム200から取得した通信パケットに基づいて、イベントデータとプロセスデータとを取得する。情報処理装置100は、通信パケットに含まれる送信先IPアドレスや送信元IPアドレス、機能番号、レジスタアドレスの組み合わせに基づいてイベント種別(A,B,C,x,y)を特定し、イベントデータ、プロセスデータ(プロセス値)、イベント種別、受信時刻を対応付けて記憶する。情報処理装置100のデータ計測部110は、受信時刻とイベント種別から、当該イベント種別として特定される通信パケットの情報処理システム200による出力間隔を示すイベントの時間間隔、出力頻度を示すイベント頻度などのイベントデータ加工値を統計的に計算してもよい。また情報処理装置100のデータ計測部110は、受信時刻とプロセス値とに基づいて、情報処理システム200において出力した対応するプロセス値の微分値や積分値などのプロセスデータ加工値を計算してもよい。データ計測部110は、それらの計算したイベントデータ加工値やプロセスデータ加工値を、イベントデータやプロセスデータに紐づけてデータ記憶部160に記録してもよい。
 図6は情報処理装置の処理フローを示す第一の図である。
 図7は学習部の処理概要を示す図である。
 以下、情報処理装置100の処理の詳細について説明する。
 まず情報処理装置100は、学習処理を行う。情報処理装置100の学習部120において、学習用データ取得部121は、まず学習用データをデータ記憶部160から読み出す(ステップS10)。図7で示すように学習用データ取得部121が読み出す学習用データは、自装置のデータベースに記録されているイベントデータ、プロセスデータ、イベントデータ加工値、プロセスデータ加工値である。学習用データ取得部121は、イベントデータ、プロセスデータ、イベントデータ加工値(イベント間隔、イベント頻度、イベント発生時刻など)、プロセスデータ加工値(プロセス値の連続値、離散値、微分値、積分値など)を取得する。学習用データ取得部121は、それらイベントデータ、プロセスデータ、イベントデータ加工値、プロセスデータ加工値を、データ計測部110による通信パケットの取得と、それに応じたそれらイベントデータ、プロセスデータ、イベントデータ加工値、プロセスデータ加工値のデータ記憶部160への記録に基づいて、順に取得する。学習用データ取得部121は、取得した各データを、関係イベント選択方法学習部123へ出力する。また学習用データ取得部121は、取得した各データを、イベント系列予測方法学習部124へ出力する。
 またモデル取得部122は、モデル記憶部170から初期状態または学習途中の関係イベント選択モデルを取得する(ステップS11)。モデル取得部122は、モデル記憶部170から初期状態または学習途中の系列予測モデルを取得する(ステップS12)。モデル取得部122は、取得した関係イベント選択モデルを関係イベント選択方法学習部123へ出力する。またモデル取得部122は、取得した系列予測モデルをイベント系列予測方法学習部124へ出力する。関係イベント選択方法学習部123は、学習処理を開始する(ステップS13)。
 関係イベント選択方法学習部123は、過去のある所定時間の時間区間を現在の処理対象の時間区間として設定する(ステップS14)。関係イベント選択方法学習部123は、当該過去の所定時間の時間区間に情報処理システム200が出力した通信パケットに含まれるイベントデータとプロセスデータとを取得する。過去の所定時間の時間区間とは、例えば過去の1分間の時間区間であってよい。関係イベント選択方法学習部123は、その時間区間においてシステム200が出力したイベントデータの種別と、各イベントデータが示す出力時刻とを少なくとも特定する。関係イベント選択方法学習部123はまた、時間区間における各プロセスデータが示す値を特定する。
 関係イベント選択方法学習部123は、関係イベント選択モデルの学習が初期の状況においては、過去のある時間区間に含まれるイベントの種別のうち、ランダムに複数のイベントの種別を選択する(ステップS15)。関係イベント選択モデルの学習度合が上がってきた状況においては、関係イベント選択方法学習部123は、ある時間間隔に含まれる各イベントの種別と、そのイベントの出力時刻によって算出できるイベントの出現間隔と、を関係イベント選択モデルに入力し、その結果、関係イベント選択モデルが出力した複数のイベントの種別を選択してもよい。関係イベント選択モデルは、時間区間に情報処理システム200が出力した複数のイベントの種別のうちの関係の高いイベントの種別を出力するための学習モデルである。
 関係イベント選択方法学習部123は、ある時間間隔に含まれる各イベントの種別と、そのイベントの出力時刻によって算出できるイベントの出現間隔と、現在のプロセスデータの値や、そのプロセスデータに基づいて算出したプロセスデータ加工値またはイベントデータ加工値を関係イベント選択モデルに入力し、その結果、関係イベント選択モデルが出力した複数のイベントの種別を選択してもよい。
 関係イベント選択方法学習部123は、上述以外の情報を関係イベント選択モデルに入力し、その結果、関係イベント選択モデルが出力した複数のイベントの種別を選択してもよい。例えば、以降に示す、イベント系列予測部140の出力結果である予測精度の値をさらに関係イベント選択モデルに入力し、その結果、関係イベント選択モデルが出力した複数のイベントの種別を選択してもよい。
 以下に説明するが、関係イベント選択方法学習部123は、イベント系列予測部140の出力結果である予測精度の値が高くなるように、関係イベント選択モデルを学習する。これにより関係イベント選択方法学習部123は、時間区間に情報処理システム200が出力した複数のイベントの種別のうちの関係の高いイベントの種別を出力するための学習モデルを生成することができる。関係が高いとは、将来の時間区間において出力される可能性が高いことと定義されてよい。関係イベント選択方法学習部123は、選択した時間区間を示す情報と、その時間区間において選択したイベントの種別とを、イベント系列予測方法学習部124へ出力する。関係イベント選択方法学習部123は、異なる時間区間を複数設定し、それら複数の時間区間それぞれについて、同様に時間区間ごとに複数のイベントの種別を選択し、イベント系列予測方法学習部124へ出力する。
 イベント系列予測方法学習部124は、関係イベント選択方法学習部123の出力した時間区間の情報と、その時間区間において選択された複数のイベントの種別とを取得する。イベント系列予測方法学習部124は、ある時間区間において関係イベント選択方法学習部123が出力したイベントの種別の情報を系列予測モデルに入力し、その結果、それら入力したイベントの種別が、関係イベント選択方法学習部123によって選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を予測して出力する(ステップS16)。つまり系列予測モデルは、選択された複数のイベントの種別を入力した場合に、選択された複数のイベントが将来の時間区間において出現する順序と時間間隔とを予測する学習モデルである。将来の時間区間は、例えば現在の時刻から1分後などの所定長さの時間後の時刻までの時間区間でもよいし、現在の時刻から所定時間後を基準時刻としてその基準時刻から1分後などの所定長さの時間後の時刻までの時間区間であってもよい。
 イベント系列予測方法学習部124は、関係イベント選択方法学習部123によって設定された時間間隔に含まれる各イベントに対応するプロセスデータの値や、そのプロセスデータに基づいて算出したプロセスデータ加工値、イベントデータ加工値を系列予測モデルに入力し、その結果、それら入力したイベントの種別が、関係イベント選択方法学習部123によって選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を出力してもよい。
 イベント系列予測方法学習部124は、上述以外の情報を系列予測モデルに入力し、その結果、それら入力したイベントの種別が、関係イベント選択方法学習部123によって選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を、系列予測モデルの出力に基づいて特定してもよい。イベント系列予測方法学習部124は、関係イベント選択方法学習部123によって設定された時間間隔毎に、選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を特定する(ステップS17)。
 そしてイベント系列予測方法学習部124は、一例として式(1)を用いて予測精度Rを算出する(ステップS18)。当該予測精度Rは、時間区間において選択されたイベントの種別の将来の時間区間における出現順序の一致度と、それらイベントの出現時刻に基づく時間間隔の将来の時間区間における一致度とにより得られる予測精度Rである。
Figure JPOXMLDOC01-appb-M000001
 式(1)において、iは時間区間におけるイベントの出現順序、jはイベントの種別を示す。また式(1)においてeijはイベント系列予測方法学習部124が系列予測モデルを用いて出力した、イベント種別jが時間区間においてi番目に出現する確率を示す。また式(1)においてe^ijは設定された時間区間またはその時間区間の後の将来の時間区間において実際にイベント種別jがi番目に出現した場合には1、そうでない場合には0を示す値である。また式(1)においてtは、イベント系列予測方法学習部124が系列予測モデルを用いて出力した時間区間におけるi-1番目のイベントが出現する時刻とi番目のイベントの出現する時刻の時間間隔である。また式(1)においてwは、イベント系列予測方法学習部124が系列予測モデルを用いて出力した重み値である。wの項は無くても良い。式(1)においてλは定数を示す。
Figure JPOXMLDOC01-appb-M000002
式(1)に含まれる上記式(2)は、関係イベント選択方法学習部123が設定した時間間隔におけるイベントデータから選択したイベントの順序と、イベント系列予測方法学習部124が予測した順序との一致に応じた予測精度の値(数値)を示す。一致度が高いほど式(2)が示す値は大きい。
Figure JPOXMLDOC01-appb-M000003
式(1)に含まれる上記式(3)は、関係イベント選択方法学習部123が設定した時間間隔におけるイベントデータから選択した各イベントの時間間隔と、イベント系列予測方法学習部124が予測した各イベントの時間間隔との一致に応じた予測精度の値(数値)を示す。一致度が高いほど式(3)が示す値は大きい。
 イベント系列予測方法学習部124は、式(2)と式(3)の和を、関係イベント選択方法学習部123が設定した各時間区間について算出し、その平均Eを示す予測精度Rを出力する。イベント系列予測方法学習部124は、関係イベント選択方法学習部123の出力に応じて算出した予測精度Rを関係イベント選択方法学習部123へ出力する。
 イベント系列予測方法学習部124は、過去の時間区間に情報処理システム200が出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列において選択された複数のイベントの種別とに基づいて、将来の時間区間に情報処理システム200が出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔とを予測する系列予測モデルを、上述の処理を繰り返し機械学習により算出する(ステップS19)。
 イベント系列予測方法学習部124は、系列予測モデルを算出するために、いかなる機械学習手法を用いてもよいが、例えば、ロジスティック回帰、サポートベクトルマシン、パーセプトロン、ニューラルネットワーク、決定木、ルール抽出、などの機械学習手法を用いる。特に、イベント系列予測方法学習部124は、ニューラルネットワークの一種であるLSTM(Long-Short Term Memory)やAttention Mechanism を系列予測モデルの算出に用いてよい。また、イベント系列予測方法学習部124は、パターンマイニング手法であるA-prioriアルゴリズム、FP-Treeアルゴリズム、FP-Growthアルゴリズム、Prefix-Spanアルゴリズムを系列予測モデルの算出に用いてよい。
 関係イベント選択方法学習部123は、選択した複数のイベントの種別と、その出力に応じた予測精度Rと、選択した複数のイベント種別の選択処理の対象となった時間区間の情報と、その時間区間におけるイベントデータやプロセスデータ、イベントデータ加工値、プロセスデータ加工値を対応付けて記憶する。
 関係イベント選択方法学習部123は、強化学習などの機械学習の手法を用いて、予測精度Rの値が高まる複数のイベントの種別を設定した時間区間に含まれるイベントの種別の中から選択する関係イベント選択モデルを算出する(ステップS20)。つまり、関係イベント選択方法学習部123は、イベント系列予測方法学習部124の出力した予測精度Rを出力、その予測精度Rの算出に用いられた複数のイベントの種別や、イベントデータ加工値、プロセスデータ、プロセスデータ加工値を入力として、それら入出力の関係を用いて、予測精度Rの値が高まる複数のイベントの種別が選択できるよう学習処理を繰り返す。
 上述の処理によれば、関係イベント選択方法学習部123は、過去の時間区間に情報処理システム200が出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列の入力に基づいて、将来の時間区間に情報処理システム200が出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔との予測結果と、将来の時間間隔に情報処理システム200が出力したイベントの種別の順序と当該イベントの種別が出力される時間間隔の実測値との差が小さいほど予測精度を向上させる、複数のイベントの種別を出力する関係イベント選択モデルを機械学習により生成する。
 関係イベント選択方法学習部123は、関係イベント選択モデルを算出するために、いかなる機械学習手法を用いてもよいが、例えば、ロジスティック回帰、サポートベクトルマシン、パーセプトロン、ニューラルネットワーク、決定木、ルール抽出、などの機械学習手法を用いる。特に、関係イベント選択方法学習部123は、ニューラルネットワークの一種であるLSTM(Long-Short Term Memory)やAttention Mechanism を関係イベント選択モデルの算出に用いてよい。また、関係イベント選択方法学習部123は、パターンマイニング手法であるA-prioriアルゴリズム、FP-Treeアルゴリズム、FP-Growthアルゴリズム、Prefix-Spanアルゴリズムを関係イベント選択モデルの算出に用いてよい。
 イベント系列予測方法学習部124は、更新後の系列予測モデルを構成するパラメータ群をモデル更新部125へ出力する。モデル更新部125は、更新後の系列予測モデルを構成するパラメータ群を含む、系列予測モデルのデータをモデル記憶部170に記録する(ステップS21)。
 関係イベント選択方法学習部123は、更新後の関係イベント選択モデルを構成するパラメータ群をモデル更新部125へ出力する。モデル更新部125は、更新後の関係イベント選択モデルを構成するパラメータ群を含む、関係イベント選択モデルのデータをモデル記憶部170に記録する(ステップS22)。
 上述の処理によれば、関係イベント選択方法学習部123と、イベント系列予測方法学習部124とが連携して、ある時間区間において出現するイベントのうち複数のイベントの関係のある種別を選択する関係イベント選択モデルを生成することができる。また上述の処理によれば、ある時間区間において選択されたイベントの種別や、当該時間区間におけるイベント系列に含まれるイベントデータやプロセスデータ、イベントデータ加工値やプロセスデータ加工値を用いて、将来の時間区間に情報処理システム200が出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔とを予測する系列予測モデルを生成することができる。
 図8はプロセス状態とイベント系列との関係を示す図である。
 図8で示すように、上述した時間区間は一例として、プロセス状態(1)、プロセス状態(2)、プロセス状態(3)など、情報処理システム200が出力した様々なプロセス状態において設定された時間区間である。図8で示すように、各プロセス状態に応じて、情報処理システム200が出力するイベントデータの順序や時間間隔により示されるイベント系列やプロセスデータ(室温、空調稼働率など)の特徴は異なる場合が多い。なおプロセス状態は、情報処理システム200においてセンサなどが測定した物理情報であってよい。またはプロセス状態は、情報処理システム200が運転開始直後の状態、通常運転状態などの、システム稼働の状態に関する情報であってもよい。上述の各処理は、情報処理システムから出力される情報によって特定されるプロセス状態に応じて、当該プロセス状態が継続する期間における将来の時間区間に出現するイベントの種別の順序や時間区間を精度良く予測できる系列予測モデルや、そのような予測が系列予測モデルを用いて行われるよう複数のイベントの種別を選択できる関係イベント選択モデルを生成するための処理である。上述の処理によれば、現在のプロセス状態を検知することなく、将来の時間区間に出現するイベントの種別の順序や時間間隔を精度良く予測できる系列予測モデルや、そのような予測が系列予測モデルを用いて行われるよう複数のイベントの種別を選択できる関係イベント選択モデルを生成することができる。プロセス状態は状態情報の一例である。もちろん、時間区間は、上述のプロセス状態とは全く無関係に設定しても良い。例えば、時間を1分毎など均等に区切り、おのおのを時間区間と定めても良い。プロセス状態に関する情報を利用しなくても、イベント系列とプロセスデータ自体だけを用いて、具体的には特定し得ない未知のプロセス状態を表す特徴を機械学習によって抽出することが可能であり、関係イベント選択モデルや系列予測モデルは、未知のプロセス状態に応じたイベント種別の選択およびイベント種別の順序や時間間隔の推定を行うよう学習することができる。
 図9は学習部の処理概要を示す図である。
 図9で示すように、学習部120は、ステップS14で設定した時間区間に出現するイベントの種別を時系列に表したイベント系列(10)と、そのイベント系列に含まれるイベントの中から選択した複数のイベントの種別を少なくとも示すイベント集合(30)とを、系列予測モデル(40)へ入力する。学習部120は系列予測モデルを用いて、将来の時間区間に出現するイベントの種別の順序や時間間隔を示す予測結果(50)を算出する。学習部120はその予測結果(50)と、実測値(20)とに基づいて、関係イベント選択モデルや系列予測モデルを機械学習により算出(60)して更新する。
 図10は情報処理装置の処理フローを示す第二の図である。
 図11は監視処理の処理概要を示す第一の図である。
 以下、情報処理装置100の監視処理の詳細について説明する。
 上述した学習処理が繰り返されて学習モデル(関係イベント選択モデル、系列予測モデル)の精度が向上した後に、情報処理装置100は情報処理システム200から出力される通信パケットに基づいてプラントなどの制御対象の異常を監視する監視処理を開始する(ステップS101)。この監視処理において、関係イベント選択部130は、現在時刻を含む所定の時間区間を設定する(ステップS102)。関係イベント選択部130は、現在時刻を含む所定の時間区間におけるイベントデータD3とプロセスデータD4とを取得する。関係イベント選択部130は、現在時刻を含む所定の時間区間は、一例としては現在を基準として過去1分前までの時刻までを時間区間と設定してよい。関係イベント選択部130は、現在時刻を含む所定の時間区間を、現在を基準として将来の1分後までの時刻までを時間区間と設定してよい。現在時刻を基準とする所定の時間区間の長さはユーザの設定によって決まってよい。一例として、この長さは学習処理において設定された長さに等しいものとする。
 関係イベント選択部130は、モデル記憶部170に記録される関係イベント選択モデルを読み出す(ステップS103)。関係イベント選択部130は、設定した過去の時間区間に情報処理システム200が出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列を取得する。関係イベント選択部130は、設定した時間間隔に含まれる各イベントの種別と、そのイベントの出力時刻によって算出できるイベントの出現間隔と、を関係イベント選択モデルに入力する。関係イベント選択部13は、関係イベント選択モデルが出力した複数のイベントの種別を選択する(ステップS104)。
 または関係イベント選択部130は、設定した時間間隔に含まれる各イベントの種別と、そのイベントの出力時刻によって算出できるイベントの出現間隔と、現在のプロセスデータの値や、そのプロセスデータに基づいて算出したプロセスデータ加工値またはイベントデータ加工値を関係イベント選択モデルに入力する。関係イベント選択部130は、その結果、関係イベント選択モデルの出力した複数のイベントの種別を選択する。関係イベント選択部130は、イベント系列予測部140に選択した複数のイベントの種別(イベント集合)と、設定した時間区間の情報を出力する。
 関係イベント選択部130の処理は、図11で示すように、設定した時間区間に新たな通信パケットについて特定したイベント種別がイベントAである場合、当該イベント種別Aと、イベント種別Aのイベントに関連高く将来のイベント系列に出現する可能性のある他のイベント種別を含む、イベント種別の組み合わせ(イベント集合)を出力する。また関係イベント選択部130の処理は、図11で示すように、設定した時間区間に新たな通信パケットについて特定したイベント種別がイベントBである場合、当該イベント種別Bと、イベント種別Bのイベントに関連高く将来のイベント系列に出現する可能性のある他のイベント種別を含む、イベント種別の組み合わせ(イベント集合)を出力する。また関係イベント選択部130の処理は、図11で示すように、設定した時間区間に新たな通信パケットについて特定したイベント種別がイベントCである場合、当該イベント種別Cと、イベント種別Cのイベントに関連高く将来のイベント系列に出現する可能性のある他のイベント種別を含む、イベント種別の組み合わせ(イベント集合)を出力する。
 イベント系列予測部140は、関係イベント選択部130の設定した時間区間におけるイベント系列の情報を順に取得する。またイベント系列予測部140は、関係イベント選択部130から複数のイベントの種別(イベント集合)を取得する。またイベント系列予測部140は、現在の制御対象のプロセス状態の識別情報に紐づいてモデル記憶部170に記録される系列予測モデルを読み出す(ステップS105)。
 イベント系列予測部140は、関係イベント選択部130の設定した時間区間情報と、その時間区間において選択したイベントの種別(イベント集合)とを取得する。イベント系列予測部140は、設定された時間区間において関係イベント選択部130が出力したイベントの種別を系列予測モデルに入力する。イベント系列予測部140は、その結果、それら入力したイベントの種別が、関係イベント選択部130によって選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を予測して出力する(ステップS106)。将来の時間区間は、例えば現在の時刻から1分後などの所定長さの時間後の時刻までの時間区間でもよいし、現在の時刻から所定時間後を基準時刻としてその基準時刻から1分後などの所定長さの時間後の時刻までの時間区間であってもよい。この時間区間は、学習処理において基準時刻を基準に設定される将来の時間区間と同じであるとする。
 イベント系列予測部140は、関係イベント選択部130によって設定された時間間隔に含まれる各イベントに対応するプロセスデータの値や、そのプロセスデータに基づいて算出したプロセスデータ加工値、イベントデータ加工値を系列予測モデルに入力し、その結果、それら入力したイベントの種別が、関係イベント選択部130によって選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を出力してもよい。
 イベント系列予測部140は、上述以外の情報を系列予測モデルに入力し、その結果、それら入力したイベントの種別が、関係イベント選択部130によって選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を、系列予測モデルの出力に基づいて特定してもよい。イベント系列予測部140は、関係イベント選択部130によって設定された時間間隔毎に、選択された時間区間の次の時間区間などの将来の時間区間において出現すると予測される順番と、時間間隔の情報を特定する(ステップS107)。イベント系列予測部140は、選択された複数のイベントが将来出現する順序と時間間隔を少なくとも示す出現予測リストを生成し、イベント系列監視部150へ出力する(ステップS108)。
 イベント系列予測部140は、順序及び時間間隔を、例えば、イベント系列内の順序と、イベント系列内の各イベント間の時間間隔を、確率モデルとして学習及び予測することにより、予測確率が閾値を超えて高いような時間間隔の範囲を出力することができる。確率モデルはいかなる方法で構成しても良いが、例えば、任意の確率分布を仮定しても良い。例えば、離散分布、二項分布、多項分布、ガウス分布、ラプラス分布、t分布、コーシー分布、ガンベル分布、ポアソン分布、レヴィ分布、q-ガウス分布、等を用いることができる。その他、混合モデル、ノンパラメトリックベイズ等、単一の分布を仮定しない確率モデルを利用することもできる。この場合、イベント系列予測部140は算出した時間間隔の範囲を含む出現予測リストを生成し、イベント系列監視部150へ出力する。
 図12は監視処理の処理概要を示す第二の図である。
 イベント系列予測部140の処理は、図12で示すように、設定した時間区間に新たな通信パケットについて特定したイベント種別がイベントAである場合、当該イベント種別Aと、イベント種別Aのイベントに関連高く将来のイベント系列に出現する可能性のある他のイベント種別を含む、イベント種別の組み合わせ(イベント集合A)を関係イベント選択部130から入力する(D51)。またイベント系列予測部140は、設定した時間区間に新たな通信パケットについて特定したイベント種別がイベントBである場合、当該イベント種別Bと、イベント種別Bのイベントに関連高く将来のイベント系列に出現する可能性のある他のイベント種別を含む、イベント種別の組み合わせ(イベント集合B)を関係イベント選択部130から入力する(D52)。
 イベント系列予測部140は、イベント系列予測モデルを用いて、関係イベント選択部130によって選択された複数のイベントが将来出現する順序と時間間隔を少なくとも示すイベント系列候補(D51)を用いて、それら複数のイベントが将来出現する順序と時間間隔を表した出現予測リスト(D61)を出力する。またイベント系列予測部140は、イベント系列予測モデルを用いて、関係イベント選択部130によって選択された複数のイベントが将来出現する順序と時間間隔を少なくとも示すイベント系列候補(D52)を用いて、それら複数のイベントが将来出現する順序と時間間隔を表した出現予測リスト(D62)を出力する。
 イベント系列監視部150は、イベント系列予測部140から複数のイベントが将来出現する順序と時間間隔を表した出現予測リストを取得し、それらの情報を記載したホワイトリストを、新たに取得した出現予測リストに含まれるイベント種別の順序と時間間隔の情報に更新する(ステップS109)。
 図13は第一のプロセス状態におけるイベント集合とホワイトリストの関係を示す図である。
 図13で示すように、プロセス状態が図8で示すプロセス状態(1)である場合、関係イベント選択部130が関係の高い複数のイベントの種別A,B,Cを選択し、それらイベントの種別A、B、Cを含むイベント集合をイベント系列予測部140へ出力する。イベント系列予測部140は、このイベント集合に基づいて、出現順序A→B→A→Cと、それらのイベントの出現順序における時間間隔を示すホワイトリストを生成する。
 図14は第二のプロセス状態におけるイベント集合とホワイトリストの関係を示す図である。
 図14で示すように、プロセス状態が図8で示すプロセス状態(2)である場合、関係イベント選択部130が関係の高い複数のイベントの種別A,Bを選択し、それらイベントの種別A、Bを含むイベント集合をイベント系列予測部140へ出力する。イベント系列予測部140は、このイベント集合に基づいて、出現順序A→B→Aや出現順序A→Bと、それらのイベントの出現順序における時間間隔を示すホワイトリストを生成する。
 図15は第三のプロセス状態におけるイベント集合とホワイトリストの関係を示す図である。
 図15で示すように、プロセス状態が図8で示すプロセス状態(3)である場合、関係イベント選択部130が関係の高い複数のイベントの種別A,Bを選択し、それらイベントの種別A、Bを含むイベント集合をイベント系列予測部140へ出力する。イベント系列予測部140は、このイベント集合に基づいて、出現順序A→Bと、それらのイベントの出現順序における時間間隔を示すホワイトリストを生成する。
 イベント系列監視部15は、新たな通信パケットが示すイベント種別を、通信パケットを取得するごとに特定し、そのイベント種別の取得時刻と出現するイベント種別の取得時刻の時間間隔を算出する(ステップS110)。イベント系列監視部15は、現在時刻から所定時間後までの新たな期間に情報処理システム200から取得した通信パケットに基づいて算出した、出現するイベント種別の取得時刻と時間間隔とを含む、新たなイベント系列候補を特定する(ステップS111)。イベント系列監視部15は、新たなイベント系列候補と、ホワイトリストに記述されているイベント種別と時間間隔からなるイベント系列候補とを比較し、一致するかを判定する(ステップS112)。イベント系列監視部15は、一致する場合には、監視対象は正常と判定する。イベント系列監視部15は、一致しないと判定した場合、監視対象は異常と判定する。イベント系列監視部15は、正常または異常を示す判定結果の情報を所定の出力先へ出力する(ステップS113)。イベント系列監視部15は、判定結果が異常を示す場合には、アラームを出力するようにしてもよい。
 図16は上述の監視処理において判定結果が正常となった場合の例を示す図である。
 図16で示すように、関係イベント選択部130は、設定した時間区間に出現するイベントの種別を時系列に表したイベント系列(161)と、そのイベント系列(161)に含まれるイベントの中から選択した複数のイベントの種別を示すイベント集合(162)とを、系列予測モデル(163)へ入力する。イベント系列予測部140は系列予測モデルを用いて、将来の時間区間に出現するイベントの種別の順序や時間間隔を示す予測結果(イベント系列候補164)を算出する。イベント系列監視部15はイベント系列候補(164)と、新たなイベント系列候補(165)とに基づいて、一致度合が高い場合には、監視対象である情報処理システム200は正常と判定する。
 イベント系列予測部140が出力したイベント系列候補164にはA→B→A→Cの各イベント種別の出現の順序と、そのイベント種別の順序においてA→Bの時間間隔1~1.5秒、B→Aの時間間隔が1.2秒~2.4秒、A→Cの時間間隔が1秒~1.8秒の情報が含まれるとする。また、イベント系列監視部15が特定した新たなイベント系列候補(165)にはA→x→B→x→A→y→x→Cの各イベント種別の出現の順序と、そのイベント種別の順序においてA→Bの時間間隔1秒、B→Aの時間間隔が1.5秒、A→Cの時間間隔が1.5秒の情報が含まれるとする。この場合、イベント系列監視部15は、イベント系列予測部140が出力したイベント系列候補に含まれるイベント種別とその順序と、各イベント種別の間隔の一致度合が高いため、正常と判定する(166)。
 図17は上述の監視処理において判定結果が異常となった場合の例を示す図である。
 図17で示すように、関係イベント選択部130は、設定した時間区間に出現するイベントの種別を時系列に表したイベント系列(171)と、そのイベント系列(171)に含まれるイベントの中から選択した複数のイベントの種別を示すイベント集合(172)とを、系列予測モデル(173)へ入力する。イベント系列予測部140は系列予測モデルを用いて、将来の時間区間に出現するイベントの種別の順序や時間間隔を示す予測結果(イベント系列候補174)を算出する。イベント系列監視部15はイベント系列候補(174)と、新たなイベント系列候補(175)とに基づいて、一致度合が高い場合には、監視対象である情報処理システム200は正常と判定する。
 イベント系列予測部140が出力したイベント系列候補174にはA→B→A→Cの各イベント種別の出現の順序と、そのイベント種別の順序においてA→Bの時間間隔1~1.5秒、B→Aの時間間隔が1.2秒~2.4秒、A→Cの時間間隔が1秒~1.8秒の情報が含まれるとする。また、イベント系列監視部15が特定した新たなイベント系列候補(175)にはA→x→B→x→A→y→B→x→Cの各イベント種別の出現の順序と、そのイベント種別の順序においてA→Bの時間間隔1秒、B→Aの時間間隔が1.5秒、A→Bの時間間隔が0.5秒、B→Cの時間間隔が1.5秒の情報が含まれるとする。この場合、イベント系列監視部15は、イベント系列予測部140が出力したイベント系列候補に含まれるイベント種別とその順序と、各イベントの種別の間隔の一致度合が低いため、異常と判定する(176)。
 以上のように、本実施形態による情報処理装置100は、過去の時間区間に情報処理システム200が出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列を取得する。そしてそのイベント系列の入力に基づいて、将来の時間区間に情報処理システム200が出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔との予測結果と、将来の時間間隔に情報処理システム200が出力したイベントの種別の順序と当該イベントの種別が出力される時間間隔の実測値との差が小さいほど予測精度を向上させる、複数のイベントの種別を出力する選択モデルを機械学習により生成する。また情報処理装置100は、少なくとも選択された複数のイベントの種別に基づいて、将来の時間区間に対象システムが出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔とを予測する系列予測モデルを機械学習により生成する。そして、情報処理装置100は、それらの学習モデルを用いて、情報処理システム200から取得した通信パケットのイベント種別やプロセスデータから特定されるプロセス状態が、どのようなプロセス状態であっても、あるいはプロセス状態が特定し得ない未知のものであったとしても、現在のプロセス状態あるいは現時点において設定した時間区間において出現する可能性の高いイベントの種別の順序と時間間隔を予測することができる。そしてこの予測結果と、実測値とに基づいて、システムの出力が正常か異常かを判定するため、プロセス状態によらず精度良く、制御対象の異常を監視することができる。
 また上述の処理によれば、情報処理システム200などの対象システムからの出力が異なるイベントの種別を多く含むイベントデータを出力する場合であっても、そのイベントデータの中から関係の高いイベントデータの種別を選択するのみで、同様のプロセス状態における将来の時間区間で出力する可能性の高いイベントの種別の順序と時間間隔を予測することができる。
 図18は情報処理装置の最小構成を示す図である。
 図19は最小構成による情報処理装置の処理フローを示す図である。
 情報処理装置100は少なくとも、関係イベント選択手段181と、予測手段182と、監視手段183を備えればよい。
 関係イベント選択手段181は、過去の時間区間に対象システム(情報処理システム200)が出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する関係イベント選択モデルとを用いて、イベント系列に含まれる各イベントの種別の中から将来出現する出現確率が高い複数のイベントの種別を選択する(ステップS191)。
 予測手段182は、選択された複数のイベントの種別と、選択された複数のイベントが将来出現する順序と時間間隔とを推定する系列予測モデルとを用いて、選択された複数のイベントが将来出現する順序と時間間隔を予測する(ステップS192)。
 上述の情報処理装置100は内部に、コンピュータシステムを有している。そして、上述した各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD-ROM、DVD-ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
 また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
 上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
 過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段と、
 前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段と、
 を備える情報処理装置。
(付記2)
 前記予測手段が、前記選択された複数のイベントが将来出現する順序と時間間隔を少なくとも示す出現予測リストを生成し、
 前記出現予測リストが示す前記イベントが出現する順序とそれらイベントの時間間隔との組み合わせと、新たに前記対象システムが出力したイベントの順序とそれらイベントの時間間隔とに基づいて、前記対象システムが出力するイベントが正常か否かを監視する監視手段、
 を備える付記1に記載の情報処理装置。
(付記3)
 前記過去の時間区間に前記対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列において選択された複数のイベントの種別とに基づいて、将来の時間区間に前記対象システムが出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔とを予測する前記予測モデルを機械学習により生成する予測モデル学習手段と、
 を備える付記1または付記2に記載の情報処理装置。
(付記4)
 前記過去の時間区間に前記対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列の入力に基づいて、将来の時間区間に前記対象システムが出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔との予測結果と、前記将来の時間間隔に前記対象システムが出力したイベントの種別の順序と当該イベントの種別が出力される時間間隔の実測値との差が小さいほど予測精度を向上させる、前記複数のイベントの種別を出力する前記選択モデルを機械学習により生成する選択モデル学習手段と、
 を備える付記3に記載の情報処理装置。
(付記5)
 前記予測モデル学習手段は、前記予測結果と、前記実測値との差に基づく予測精度の値を算出する
 付記4に記載の情報処理装置。
(付記6)
 前記選択モデル学習手段は、さらに前記予測精度の値を入力とし、前記予測結果と、前記実測値との差が小さいほど予測精度を向上させる、前記複数のイベントの種別を出力する前記選択モデルを機械学習により生成する
 付記4に記載の情報処理装置。
(付記7)
 過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択し、
 前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する
 情報処理方法。
(付記8)
 情報処理装置のコンピュータを、
 過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段、
 前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段、
 として機能させるプログラムを記録する記録媒体。
(付記9)
 過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段と、
 前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段と、
 を備える情報処理システム。
100・・・情報処理装置
110・・・データ計測部
120・・・学習部(選択モデル学習手段、予測モデル学習手段)
130・・・関係イベント選択部(関係イベント選択手段)
140・・・イベント系列予測部(予測手段)
150・・・イベント系列監視部(監視手段)
160・・・データ記憶部
170・・・モデル記憶部
200・・・情報処理システム

Claims (9)

  1.  過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段と、
     前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段と、
     を備える情報処理装置。
  2.  前記予測手段が、前記選択された複数のイベントが将来出現する順序と時間間隔を少なくとも示す出現予測リストを生成し、
     前記出現予測リストが示す前記イベントが出現する順序とそれらイベントの時間間隔との組み合わせと、新たに前記対象システムが出力したイベントの順序とそれらイベントの時間間隔とに基づいて、前記対象システムが出力するイベントが正常か否かを監視する監視手段、
     を備える請求項1に記載の情報処理装置。
  3.  前記過去の時間区間に前記対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列において選択された複数のイベントの種別とに基づいて、将来の時間区間に前記対象システムが出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔とを予測する前記予測モデルを機械学習により生成する予測モデル学習手段と、
     を備える請求項1または請求項2に記載の情報処理装置。
  4.  前記過去の時間区間に前記対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列の入力に基づいて、将来の時間区間に前記対象システムが出力するイベントの種別の順序と当該イベントの種別が出力される時間間隔との予測結果と、前記将来の時間間隔に前記対象システムが出力したイベントの種別の順序と当該イベントの種別が出力される時間間隔の実測値との差が小さいほど予測精度を向上させる、前記複数のイベントの種別を出力する前記選択モデルを機械学習により生成する選択モデル学習手段と、
     を備える請求項3に記載の情報処理装置。
  5.  前記予測モデル学習手段は、前記予測結果と、前記実測値との差に基づく予測精度の値を算出する
     請求項4に記載の情報処理装置。
  6.  前記選択モデル学習手段は、さらに前記予測精度の値を入力とし、前記予測結果と、前記実測値との差が小さいほど予測精度を向上させる、前記複数のイベントの種別を出力する前記選択モデルを機械学習により生成する
     請求項4に記載の情報処理装置。
  7.  過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択し、
     前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する
     情報処理方法。
  8.  情報処理装置のコンピュータを、
     過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段、
     前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段、
     として機能させるプログラムを記録する記録媒体。
  9.  過去の時間区間に対象システムが出力した複数のイベントの種別と当該イベントそれぞれの出力時刻とを少なくとも示すイベント系列と、それらイベント系列に含まれるイベントの種別のうち将来出現する出現確率が高いイベントの種別を選択する選択モデルとを用いて、前記イベント系列に含まれる各イベントの種別の中から前記将来出現する出現確率が高い複数のイベントの種別を選択する関係イベント選択手段と、
     前記選択された複数のイベントの種別と、前記選択された複数のイベントが将来出現する順序と時間間隔とを推定する予測モデルとを用いて、前記選択された複数のイベントが将来出現する順序と時間間隔を予測する予測手段と、
     を備える情報処理システム。
PCT/JP2020/014560 2020-03-30 2020-03-30 情報処理装置、情報処理方法、記録媒体、情報処理システム WO2021199160A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2022512901A JP7529016B2 (ja) 2020-03-30 2020-03-30 情報処理装置、情報処理方法、プログラム、情報処理システム
PCT/JP2020/014560 WO2021199160A1 (ja) 2020-03-30 2020-03-30 情報処理装置、情報処理方法、記録媒体、情報処理システム
US17/913,235 US20230153428A1 (en) 2020-03-30 2020-03-30 Information processing device, information processing method, recording medium, information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/014560 WO2021199160A1 (ja) 2020-03-30 2020-03-30 情報処理装置、情報処理方法、記録媒体、情報処理システム

Publications (1)

Publication Number Publication Date
WO2021199160A1 true WO2021199160A1 (ja) 2021-10-07

Family

ID=77930137

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/014560 WO2021199160A1 (ja) 2020-03-30 2020-03-30 情報処理装置、情報処理方法、記録媒体、情報処理システム

Country Status (3)

Country Link
US (1) US20230153428A1 (ja)
JP (1) JP7529016B2 (ja)
WO (1) WO2021199160A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024176512A1 (ja) * 2023-02-24 2024-08-29 三菱電機株式会社 データ分析装置及びデータ分析方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021219468A1 (en) * 2020-04-30 2021-11-04 British Telecommunications Public Limited Company Network anomaly identification
US20220383101A1 (en) * 2021-05-27 2022-12-01 Sap Se Determining causality for cloud computing environment controller

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060241927A1 (en) * 2005-04-25 2006-10-26 Shubha Kadambe System and method for signal prediction
JP2017068782A (ja) * 2015-10-02 2017-04-06 株式会社日立製作所 時系列データ処理装置、及び時系列データ処理方法
JP2018022296A (ja) * 2016-08-02 2018-02-08 株式会社日立製作所 監視制御装置
JP2018045403A (ja) * 2016-09-14 2018-03-22 株式会社日立製作所 異常検知システム及び異常検知方法
WO2018051394A1 (ja) * 2016-09-13 2018-03-22 富士電機株式会社 アラーム予測装置、アラーム予測方法、及びプログラム
WO2018134939A1 (ja) * 2017-01-19 2018-07-26 三菱電機株式会社 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
WO2019012654A1 (ja) * 2017-07-13 2019-01-17 日本電気株式会社 分析システム、分析方法及び記憶媒体

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5769138B2 (ja) 2013-04-22 2015-08-26 横河電機株式会社 イベント解析装置およびコンピュータプログラム
US9306962B1 (en) * 2013-07-25 2016-04-05 Niddel Corp Systems and methods for classifying malicious network events
JP6048688B2 (ja) * 2014-11-26 2016-12-21 横河電機株式会社 イベント解析装置、イベント解析方法およびコンピュータプログラム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060241927A1 (en) * 2005-04-25 2006-10-26 Shubha Kadambe System and method for signal prediction
JP2017068782A (ja) * 2015-10-02 2017-04-06 株式会社日立製作所 時系列データ処理装置、及び時系列データ処理方法
JP2018022296A (ja) * 2016-08-02 2018-02-08 株式会社日立製作所 監視制御装置
WO2018051394A1 (ja) * 2016-09-13 2018-03-22 富士電機株式会社 アラーム予測装置、アラーム予測方法、及びプログラム
JP2018045403A (ja) * 2016-09-14 2018-03-22 株式会社日立製作所 異常検知システム及び異常検知方法
WO2018134939A1 (ja) * 2017-01-19 2018-07-26 三菱電機株式会社 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
WO2019012654A1 (ja) * 2017-07-13 2019-01-17 日本電気株式会社 分析システム、分析方法及び記憶媒体

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024176512A1 (ja) * 2023-02-24 2024-08-29 三菱電機株式会社 データ分析装置及びデータ分析方法

Also Published As

Publication number Publication date
JP7529016B2 (ja) 2024-08-06
US20230153428A1 (en) 2023-05-18
JPWO2021199160A1 (ja) 2021-10-07

Similar Documents

Publication Publication Date Title
WO2021199160A1 (ja) 情報処理装置、情報処理方法、記録媒体、情報処理システム
CN112231174B (zh) 异常告警方法、装置、设备及存储介质
CN111475804A (zh) 一种告警预测方法及系统
JP6354755B2 (ja) システム分析装置、システム分析方法、及びシステム分析プログラム
JP6896432B2 (ja) 故障予知方法、故障予知装置および故障予知プログラム
EP3859472B1 (en) Monitoring system and monitoring method
US7636051B2 (en) Status monitor apparatus
JP6854151B2 (ja) 異常予測方法、異常予測装置、異常予測システムおよび異常予測プログラム
JP2019185422A (ja) 故障予知方法、故障予知装置および故障予知プログラム
US20070239629A1 (en) Cluster Trending Method for Abnormal Events Detection
KR101941854B1 (ko) 미취득 데이터 보정을 통한 부하 예측 시스템 및 방법
EP1468361A1 (en) Method and system for analyzing and predicting the behavior of systems
JP2007219692A (ja) プロセス異常分析装置およびプロセス異常分析システム並びにプログラム
JP2020052714A5 (ja)
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
CN112148768A (zh) 一种指标时间序列异常检测方法、系统及存储介质
WO2020164740A1 (en) Methods and systems for automatically selecting a model for time series prediction of a data stream
US20230297095A1 (en) Monitoring device and method for detecting anomalies
KR101960755B1 (ko) 미취득 전력 데이터 생성 방법 및 장치
CN117111568B (zh) 基于物联网的设备监测方法、装置、设备及存储介质
JP7300200B2 (ja) 予測装置、予測方法およびプログラム
JP6896380B2 (ja) 故障予兆判定方法、故障予兆判定装置および故障予兆判定プログラム
WO2020261621A1 (ja) 監視システム、監視方法及びプログラム
JP2007164346A (ja) 決定木変更方法、異常性判定方法およびプログラム
JP2004078812A (ja) プロセスデータの解析方法及び解析装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20928967

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2022512901

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20928967

Country of ref document: EP

Kind code of ref document: A1