WO2022113355A1

WO2022113355A1 - システム監視装置、システム監視方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2022113355A1
Application number: PCT/JP2020/044544
Authority: WO
Inventors: 和彦磯山; 純平上村; 純明榮
Original assignee: 日本電気株式会社
Priority date: 2020-11-30
Filing date: 2020-11-30
Publication date: 2022-06-02
Also published as: US20230418720A1; JPWO2022113355A1

Abstract

システム監視装置１０は、試験用システム４０において監視コマンド２３及びエージェント４１により収集された情報を用いて学習させた補充モデル３１に基づいて、運用システム２０において監視コマンド２３を用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充部１１と、試験用システム４０において監視コマンド２３及びエージェント４１を用いて収集された情報を用いて学習させたリンク推定モデルに、補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定部１２と、を有する。

Description

システム監視装置、システム監視方法、及びコンピュータ読み取り可能な記録媒体

　本発明は、システムを監視するシステム監視装置、システム監視方法に関し、更には、これらを実現するためのプログラムを記録しているコンピュータ読み取り可能な記録媒体に関する。

　従来、システムに脆弱性がないかをチェックする場合には、エージェントなどを用いてシステムをチェックすることが知られている。

　特許文献１には、サイトに対する攻撃の予兆を検知し、攻撃の開始前に対策をし、被害を最小限にとどめる方法が開示されている。特許文献１によれば、まず、モニタエージェントがエンティティのログを分析して異常を検知した場合、異常に関するデータを管理マネージャに通知する。次に、管理マネージャは、通知されたデータに基づいて、データベースからデータに対応する対策を選択する。その後、管理マネージャは、対策依頼先のアクションエージェントに当該対策を実行させる。

特開２００２－２５１３７４号公報

　しかしながら、特許文献１のように、モニタエージェントなどを用いてシステムを監視する場合、モニタエージェントが、カーネルモジュールにアクセスしなければならないので、システムが不安定になったり、負荷が増加したりする。そのため、モニタエージェントを用いずにシステムを監視できる方法の開発が望まれている。

　一つの側面として、カーネルモジュールにアクセスせず、精度よくシステムを監視するシステム監視装置、システム監視方法、及びコンピュータ読み取り可能な記録媒体を提供することを目的とする。

　上記目的を達成するため、一つの側面におけるシステム監視装置は、
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充部と、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定部と、
　を有することを特徴とする。

　また、上記目的を達成するため、一側面におけるシステム監視方法は、
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充ステップと、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定ステップと、
　を有することを特徴とする。

　さらに、上記目的を達成するため、一側面におけるプログラムを記録したコンピュータ読み取り可能な記録媒体は、
　コンピュータに、
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充ステップと、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定ステップと
　を実行させる命令を含むプログラムを記録していることを特徴とする。

　一つの側面として、カーネルモジュールにアクセスせず、精度よくシステムを監視できる。

図１は、システム監視装置の一例を説明するための図である。図２は、システム監視装置を有するシステムの一例を説明するための図である。図３は、監視コマンドにより取得した情報の一例を説明するための図である。図４は、補充モデルの一例を説明するための図である。図５は、監視コマンドにより取得した情報の一例を説明するための図である。図６は、リンク推定モデルの一例を説明するための図である。図７は、リンク推定モデルの一例を説明するための図である。図８は、グラフ情報を説明するための図である。図９は、グラフ情報の概念を説明するための図である。図１０は、モデル生成装置の一例を説明するための図である。図１１は、マッピングを説明するための図である。図１２は、システム監視装置の動作の一例を説明するためのフロー図である。図１３は、モデル生成装置の動作の一例を説明するためのフロー図である。図１４は、システム監視装置、モデル生成装置を実現するコンピュータの一例を説明するためのブロック図である。

　以下、図面を参照して実施形態について説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明は省略することもある。

（実施形態）
　図１を用いて、本実施形態におけるシステム監視装置１０の構成について説明する。図１は、システム監視装置の一例を説明するための図である。

［装置構成］
　図１に示すシステム監視装置１０は、カーネルモジュールにアクセスせず、精度よくシステムを監視する装置である。また、図１に示すように、システム監視装置１０は、補充部１１と、推定部１２とを有する。

　補充部１１は、試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドだけを用いて収集されたノード情報（第一のノード情報）を補充し、補充ノード情報を生成する。

　試験用システムは、実際の運用で用いられる対象のシステム（運用システム）を模して構築されたシステムである。また、試験用システムで用いるホストにはエージェントがインストールされている。なお、試験用システムの詳細については後述する。

　監視コマンドは、ＯＳ（Operating System）などのソフトウェアに備わっている、システムを監視するために用いるプログラムを実行させるためのコマンドである。

　具体的には、所定の情報を収集するために監視コマンドが入力されると、入力された監視コマンドに対応するプログラムが実行され、システムからノードに関する情報（ノード情報）が収集される。

　ノード情報は、例えば、プロセス、ネットワーク、ファイルなどのノードに関する情報である。ノード情報は、ノードごとに、ノードと、当該ノードに対応する一つ以上のノードに関連した情報とが関連付けられている。例えば、ノードごとのノード情報はレコード（又はロウ）として表した場合、ノードに関する情報それぞれはレコードのフィールド（又はセル）として表される。なお、ノードに関する情報は、以降においてフィールド情報と呼ぶ。

　エージェントは、システムに関係する情報を取得するために用いるソフトウェアである。エージェントは、例えば、ＯＳのカーネルモジュールにアクセスをして、システムに関係するノード情報を取得する。ただし、エージェントを利用すると、システムが不安定になったり、負荷が増加したりする。

　補充モデルは、試験用システムにおいて、監視コマンドを用いて収集されたノード情報（第二のノード情報）と、エージェントを用いて収集されたノード情報（第三のノード情報）とに基づいて、第二のノード情報と第三のノード情報との関係を学習させた情報である。

　学習の結果、第一のノード情報を選択するためのキーとなるキー情報と、第一のノード情報を補充するための補充情報とが関連付けられたルール情報が生成される。補充モデルには、一つ以上のルール情報を有している。

　補充情報は、第一のノード情報に追加される情報である。補充情報は、エージェントを用いれば取得できるが、監視コマンドを用いても取得できない情報である。

　補充ノード情報は、第一のノード情報に補充情報が追加された情報である。補充ノード情報は、エージェントを利用して取得した第三のノード情報と同程度の情報を有する。

　なお、補充モデルの学習方法とモデルの詳細については後述する。

　このように、本実施形態においては、エージェントを用いず、ＯＳのカーネルモジュールにアクセスしないで、監視コマンドを用いて、運用システムから収集された第一のノード情報を、エージェントを用いて収集したノード情報と同程度の情報に拡充できる。

　推定部１２は、試験用システムにおいて監視コマンド及びエージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、補充ノード情報を入力し、ノード間にリンク（関係）が存在する確率を推定する。

　リンク推定モデルは、試験用システムにおいて、監視コマンドを用いて収集されたノード情報（第二のノード情報）と、エージェントを用いて収集されたノード情報（第三のノード情報）とに基づいて、ノード間のリンクが存在する確率を学習させた情報である。

　なお、リンク推定モデルの学習方法とモデルの詳細については後述する。

　このように、本実施形態においては、エージェントを用いず、ＯＳのカーネルモジュールにアクセスしないで、監視コマンドを用いて、運用システムから収集された第一のノード情報を拡充した補充ノード情報を用いて、ノード間にリンクが存在する確率を推定できる。

［システム構成］
　続いて、図２を用いて、本実施形態におけるシステム監視装置１０の構成をより具体的に説明する。図２は、システム監視装置を有するシステムの一例を説明するための図である。図２に示すシステムは、システム監視装置１０と、運用システム２０と、記憶装置３０とを有する。

　システム監視装置１０は、監視コマンド実行部１３と、取得部１４と、補充部１１と、推定部１２と、グラフ生成部１５と、基準リンク生成部１６と、異常判定部１７とを有する。

　システム監視装置１０は、例えば、ＣＰＵ（Central Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）などのプログラマブルなデバイス、又は、ＧＰＵ（Graphics Processing Unit）、又はそれらのうち一つ以上を搭載した回路、サーバコンピュータ、パーソナルコンピュータ、モバイル端末などの情報処理装置である。なお、システム監視装置１０の詳細については後述する。

　運用システム２０は、一つ以上のホスト２１を有している。ホスト２１は、例えば、情報処理装置、記憶装置、通信制御装置などである。ホスト２１は、ネットワークにより接続されている。図２の例では、ホスト２１において実行されるソフトウェアとして、ＯＳ２２、サービスプログラム２４、ユーザプログラム２５などが示されている。

　なお、図２に示した運用システム２０に含まれるハードウェア及びソフトウェアを機能ごとに分割し、分割した機能を複数の要素として表してもよい。要素の間にはリンクが存在する。

　また、図２の例では、運用システム２０としてホストを用いた例を示したが、運用システム２０を、ソーシャル・ネットワーキング・サービス（ＳＮＳ：Social Networking Service）により構築されたネットワークなどとしてもよい。

　監視コマンド２３は、システム監視装置１０から入力される、運用システム２０から情報を収集するためのプログラムを実行させるためのコマンドを示している。監視コマンド２３が入力された場合、情報を収集するためのプログラムが実行され、ファイル、ネットワーク、プロセスなどに関係する情報が収集される。図２の例では、ファイル２６、ネットワーク２７、プロセス２８などに関係する情報が収集される。

　記憶装置３０は、補充モデル３１、リンク推定モデル３２、基準リンクモデル３３などを記憶している。記憶装置３０は、例えば、データベース、サーバコンピュータなどの記憶装置である。なお、図２の例では上述したモデルを一つの記憶装置３０に記憶しているが、上述したモデルを異なる一つ以上の記憶装置に記憶してもよい。

　システム監視装置について詳細に説明する。
　監視コマンド実行部１３は、あらかじめ設定された間隔又は日時（年月日時刻）に、所定の監視コマンド２３をホスト２１に入力し、ＯＳ２２において所定の監視コマンドにより実行されるプログラムを実行させる。例えばＯＳ２２がＬｉｎｕｘ（登録商標）である場合、例えば、プロセスに関しては「ps」「pstree」などのコマンドを入力する。入出力に関しては、例えば、「iostat」などのコマンドを入力する。ネットワークに関しては、例えば、「netstat」「tcpdump」などのコマンドを入力する。

　取得部１４は、監視コマンド２３を実行して収集された情報をホスト２１から取得する。例えば、実行した監視コマンドに対応する、上述したファイル、ネットワーク、プロセスなどに関係する情報（ファイル２６、ネットワーク２７、プロセス２８）、すなわちスナップショットなどを取得する。

　補充部１１は、補充モデル３１から、第一のノード情報を補充するための補充情報を選択し、第一のノード情報に補充情報を追加して補充ノード情報を生成する。

　具体的には、補充部１１は、まず、取得部１４から第一のノード情報を含む情報を取得する。次に、補充部１１は、第一のノード情報を抽出する。次に、補充部１１は、補充モデル３１から、抽出した第一のノード情報に関連する補充情報を選択する。次に、補充部１１は、抽出した第一のノード情報に補充情報を追加して、補充ノード情報を生成する。

　補充部の実施例について説明する。
　監視コマンド実行部１３が、まず、監視コマンド２３として「netstat」コマンドをホスト２１に入力し、取得部１４が、図３に示すようなネットワークに関する情報を取得したとする。図３は、監視コマンドにより取得した情報の一例を説明するための図である。

　そのような場合、補充部１１は、図３に示す情報から、第一のノード情報として「ローカルアドレス」（送信元ＩＰ、送信元ポート）及び「外部アドレス」（宛先ＩＰ、宛先ポート）に関する情報である「10.20.2.109:1543」と「52.230.80.159:https」を抽出する。

　次に、補充部１１は、第一のノード情報「10.20.2.109:1543」「52.230.80.159:https」をキーとして用いて、図４の補充モデル３１を参照し、第一のノード情報に類似したキー情報「10.20.2.109:*」「52.230.80.159:*」を検出する。図４は、補充モデルの一例を説明するための図である。

　補充モデル３１は、図４に示すように、正規表現されたフィールド情報であるキーとなる情報「キー情報」と、第一のノード情報を補充するための正規表現された情報「補充情報」とが関連付けられた情報を有している。記号「*」は正規表現を表している。正規表現する理由は、例えば、ポート番号は毎回変わるため、このような変化を吸収するためである。

　なお、補充モデル３１は、後述する試験用システムとモデル生成装置とを用いて生成される。

　次に、補充部１１は、図４の補充モデル３１を参照し、検出したキー情報「10.20.2.109:*」「52.230.80.159:*」に関連付けられた補充情報「通信量」を選択する。「通信量」には、確率的な通信データ量を表す情報として、例えば、確率分布又は平均値などの値が記憶されている。

　その後、補充部１１は、第一のノード情報「10.20.2.109:1543」「52.230.80.159:https」に、取得した補充情報「通信量」を表す情報を追加して、補充ノード情報を生成する。

　また、図４の補充モデル３１には、正規表現されたキー情報「db_child *」と、正規表現された補充情報「db_parent *」とが関連付けられて記憶されている。キー情報「db_child *」は、プロセス名を表すノード情報である。補充情報「db_parent *」は、プロセス「db_child *」の親プロセス名を表すノード情報である。

　ただし、このような子プロセスと親プロセスとの関係は、後述するリンク推定モデルを用いても検出できる。

　推定部１２は、リンク推定モデル３２に、補充ノード情報を入力し、ノード間のリンクが存在する確率を推定する。

　具体的には、推定部１２は、まず、補充部１１から補充ノード情報を取得する。次に、推定部１２は、補充ノード情報を用いて、リンク推定モデル３２（３２ａ、３２ｂ）を参照し、補充ノード情報ノード間のリンクが存在する確率を推定する。

　推定部の実施例について説明する。
　監視コマンド実行部１３が、まず、監視コマンド２３として「ps」コマンドをホスト２１に入力し、取得部１４が、図５に示すようなプロセスに関する情報を取得したとする。図５は、監視コマンドにより取得した情報の一例を説明するための図である。

　そのような場合、補充部１１は、まず、図５に示す情報から、第一のノード情報として「db_child1242」に関する情報を抽出する。次に、補充部１１は、補充モデル３１に基づいて、抽出した第一のノード情報「db_child1242」に補充情報「db_parent」を追加して、補充ノード情報を生成する。

　次に、推定部１２は、補充ノード情報の「db_parent」「db_child1242」をキーとして用いて、図６に示したリンク推定モデル３２ａを参照し、「db_parent」「db_child1242」に関係するノードＩＤを検出する。図６は、リンク推定モデルの一例を説明するための図である。

　図６の例では、ファイルに関する情報には、ノードを識別するための情報「ノードＩＤ」、パスの名称「パス」、ファイルの名称「ファイル名」が関連付けられて記憶されている。さらに、ファイルに関する情報には、ノードＩＤに、アクセス開始日時、アクセス終了日時、ファイル名、パス名、オーナーＩＤ、グループＩＤ、バス、メディアタイプ、オペレーションタイプ（例えば、コピー、移動、削除など）などの情報が関連付けられて記憶されている。

　また、図６の例では、ネットワークに関する情報には、ノードを識別するための情報「ノードＩＤ」、送信元ＩＰアドレス「送信元ＩＰ」、送信元ポート「送信元ポート」、宛先ＩＰアドレス「宛先ＩＰ」、宛先ポート「宛先ポート」が関連付けられて記憶されている。さらに、ネットワークに関する情報には、ノードＩＤに、アクセス開始日時、アクセス終了日時、アクセスタイプ（送信、受信）、通信データ量などの情報が関連付けられて記憶されている。

　また、図６の例では、プロセスに関する情報には、ノードを識別するための情報「ノードＩＤ」、プロセスの名称「プロセス名」が関連付けられて記憶されている。さらに、プロセスに関する情報には、ノードＩＤに、アクセス開始日時、アクセス終了日時、プロセスＩＤ、オーナーＩＤ、グループＩＤ、実行ファイル名、パス名、コマンドライン引数、親側プロセスＩＤ、子側プロセスＩＤ、バス、バイナリ、メディアタイプ、オペレーションタイプなどの情報が関連付けられて記憶されている。

　なお、リンク推定モデル３２ａは、後述する試験用システムとモデル生成装置とを用いて生成される。

　次に、推定部１２が、「db_parent」のノードＩＤとして「Ｅ３」を検出し、「db_child1242」のノードＩＤとして「Ｅ４」を検出したとする。

　次に、推定部１２は、検出したノードＩＤ「Ｅ３」「Ｅ４」をキーとして用いて、図７に示したリンク推定モデル３２ｂを参照し、検出したノードＩＤ「Ｅ３」「Ｅ４」に関係するようなノード間のリンクを表すリンク情報を検出する。図７は、リンク推定モデルの一例を説明するための図である。

　リンク推定モデル３２ｂは、リンクを識別する情報と、関係するノードそれぞれを識別する情報と、ノード間のリンクを表す情報と、当該リンクの種別を表す情報と、試験用システムが平常に運用された場合に当該リンクが存在する確率を表す情報とが関連付けられたリンク情報を一つ以上有する。

　図７の例では、リンク情報は、リンクを識別する情報「リンクＩＤ」と、親側ノードを識別するための親側ノードＩＤ「ノードＩＤ１」と、子側ノードを識別するための子側ノードＩＤ「ノードＩＤ２」と、リンクの種別を表す情報「リンク種別」と、リンクが存在する確率を表す情報「存在確率」とが関連付けられた情報などを有している。

　図７のリンクＩＤ「Ｌ１」には、ノードＩＤ１「Ｅ３」、ノードＩＤ２「Ｅ４」、リンク種別「Ａ１」と、存在確率「Ｐ１」とが関連付けられている。

　図７の例では、推定部１２は、リンクＩＤ「Ｌ１」のリンク情報に「Ｅ３」「Ｅ４」が存在するので、リンクＩＤ「Ｌ１」に関係するリンク情報を取得する。

　リンク種別は、例えば、プロセス間のデータ伝達の関係を表す情報、プロセスがアクセスするファイルとの関係を表す情報などである。プロセス間のデータ伝達の関係は、例えば、ホスト間、ホストとプロセスとの間のデータ伝達の関係などである。プロセスがアクセスするファイルとの関係は、例えば、ファイルのオープン、クローズ、リード、ライト、生成、消去などである。また、リンク種別は、ノードの主従を示す方向、関係が発生した日時、コネクション確立の回数、データ量、アクセス頻度などを表す情報としてもよい。さらに、プロセス間のリンク種別には、データ通信の他に、親プロセスが子プロセスを起動する生起関係などがある。

　なお、リンク推定モデル３２ｂは、後述する試験用システムとモデル生成装置とを用いて生成される。

　グラフ生成部１５は、推定したリンク情報に基づいてグラフ情報を生成する。具体的には、グラフ生成部１５は、まず、推定したリンク情報を取得する。次に、グラフ生成部１５は、推定したリンク情報に基づいて、図８に示すようなグラフ情報８１を生成する。その後、グラフ生成部１５は、そのグラフ情報８１を異常判定部１７へ出力する。図８は、グラフ情報の一例を説明するための図である。

　グラフ情報は、ノード間の関係を表すグラフである。グラフ情報は、図８に示すように、ノードを頂点として表した情報「頂点」と、ノード間のリンクを辺として表した情報「辺」とが関連付けられた情報である。なお、辺はリンクの種類ごとに設定される。

　図８の例では、頂点「Ｐ１」には、頂点「Ｐ１」「Ｐ２」のリンクを表す辺「Ｌ０」と、頂点「Ｐ１」「Ｐ３」のリンクを表す辺「Ｌ１」と、頂点「Ｐ１」「Ｐ３」の他のリンクを表す辺「Ｌ３」とが関連付けられている。

　また、頂点「Ｐ２」には、頂点「Ｐ２」「Ｐ１」のリンクを表す辺「Ｌ０」と、頂点「Ｐ２」「Ｐ３」のリンクを表す辺「Ｌ２」とが関連付けられている。

　さらに、頂点「Ｐ３」には、頂点「Ｐ３」「Ｐ１」のリンクを表す辺「Ｌ１」と、頂点「Ｐ３」「Ｐ１」の他のリンクを表す辺「Ｌ３」と、頂点「Ｐ３」「Ｐ２」のリンクを表す辺「Ｌ２」とが関連付けられている。

　なお、ノード間のリンクがない頂点は「辺」を空欄とする。図８の例では、頂点「Ｐ４」はノード間のリンクがないので、「辺」は空欄になる。
である。

　図９は、グラフ情報の概念を説明するための図である。図９において、頂点は円形で示され、辺は円形を結ぶ線分で示されている。

　基準リンク生成部１６は、推定したリンク情報に基づいて、基準リンクモデル３３を生成する。具体的には、基準リンク生成部１６は、まず、推定したリンク情報を取得する。次に、基準リンク生成部１６は、取得した推定したリンク情報に基づいて、基準リンクモデル３３を生成する。

　基準リンクモデル３３は、試験用システム４０に対して生成されたリンク推定モデル３２と同じデータ構造の情報である。また、基準リンクモデルは、一つ以上のリンク情報を有している。なお、以降において、基準リンクモデルのリンク情報を基準リンク情報と呼ぶ。

　基準リンク情報は、リンクを識別する情報と、関係するノードそれぞれを識別する情報と、ノード間のリンクを表す情報と、当該リンクの種別を表す情報と、運用システムが運用された場合に当該リンクが存在する確率を表す情報とが関連付けられた情報などを有している。

　なお、基準リンクモデル３３は、リンク推定モデル３２を初期モデルとして、運用システム２０におけるノード間のリンクについて学習させることが望ましい。

　なお、グラフ生成部１５と基準リンク生成部１６を設ける理由は、運用システム２０を運用するユーザが開発したオリジナルソフトなどは、試験用システム４０では準備できないため、運用システム２０でグラフ情報を生成し、そのグラフ情報に基づいて異常判定をするからである。

　異常判定部１７は、推定されたノード間のリンクを表すリンク情報を用いて、運用システム２０において生成された基準リンクモデル３３を参照して、リンク情報に対応する基準リンクモデル３３に含まれる基準ルール情報を選択する。その後、異常判定部１７は、選択した基準ルール情報の存在確率があらかじめ設定された条件を満たさない場合、当該リンク情報を異常と判定する。

　具体的には、異常判定部１７は、まず、推定部１２からリンク情報を取得する。次に、異常判定部１７は、取得したリンク情報をキーとして、運用システム２０において生成された基準リンクモデル３３を参照して、基準リンクモデル３３に含まれる基準ルール情報を選択する。次に、異常判定部１７は、選択した基準ルール情報の存在確率があらかじめ設定された閾値以下である場合、当該リンク情報を異常と判定する。閾値は、例えば、実験、シミュレーションなどにより決定される。

　次に、異常判定部１７は、異常検知結果を、不図示の出力情報生成部に出力する。そして、出力情報生成部は、出力装置に異常検知結果を出力するために用いる出力情報を生成する。出力装置は、出力情報生成部により、出力可能な形式に変換された、出力情報を取得し、その出力情報に基づいて、生成した画像及び音声などを出力する。

　出力装置は、例えば、液晶、有機ＥＬ（Electro Luminescence）、ＣＲＴ（Cathode Ray Tube）を用いた画像表示装置などである。さらに、画像表示装置は、スピーカなどの音声出力装置などを備えていてもよい。なお、出力装置は、プリンタなどの印刷装置でもよい。

　補充モデルとリンク推定モデルの生成について説明する。
　図１０は、モデル生成装置の一例を説明するための図である。図１０に示す試験用システム４０は、図２に示した運用システムを模したシステムである。モデル生成装置５０は、補充モデル３１とリンク推定モデル３２とを生成する。

　試験用システムについて説明する。
　試験用システム４０は複数のホスト２１を有している。ホスト２１には、エージェント４１、試験用プログラム４２がインストールされている。

　エージェント４１は、試験用システム４０におけるノード間の関係を監視する。エージェント４１は、ノード間の関係を表す情報をモデル生成装置５０に送信する。

　エージェント４１は、ファイルについて、アクセス開始日時、アクセス終了日時、ファイル名、パス名、オーナーＩＤ、グループＩＤ、バス、メディアタイプ、オペレーションタイプ（例えば、コピー、移動、削除など）などの情報を収集する。

　エージェント４１は、ネットワークについて、アクセス開始日時、アクセス終了日時、送信元ＩＰ、送信元ポート、及び宛先ＩＰ、宛先ポート、アクセスタイプ（送信、受信）、通信データ量などの情報を収集する。

　エージェント４１は、プロセスについて、アクセス開始日時、アクセス終了日時、プロセス名、プロセスＩＤ、オーナーＩＤ、グループＩＤ、実行ファイル名、パス名、コマンドライン引数、親側プロセスＩＤ、子側プロセスＩＤ、バス、バイナリ、メディアタイプ、オペレーションタイプなどの情報を収集する。

　試験用システム４０がソーシャルネットワークである場合、エージェント４１は、メールサーバ上で動作するメールを監視する。例えば、エージェント４１は、ユーザ間でやり取りされるメールを監視し、メール送受信ログをモデル生成装置５０に送信する。

　試験用プログラム４２は、運用システム２０で使用されると考えられるプログラムであでる。したがって、ユーザプログラム２５をすべて含んでいることが望ましい。

　モデル生成装置について説明する。
　モデル生成装置５０は、監視コマンド実行部１３と、取得部１４と、グラフ生成部１５と、マッピング部５１と、補充モデル生成部５２と、リンク推定モデル生成部５３とを有する。

　モデル生成装置５０は、例えば、ＣＰＵ、又はＦＰＧＡなどのプログラマブルなデバイス、又は、ＧＰＵ、又はそれらのうち一つ以上を搭載した回路、サーバコンピュータ、パーソナルコンピュータ、モバイル端末などの情報処理装置である。

　監視コマンド実行部１３と、取得部１４と、グラフ生成部１５とについては、既に説明をしたので説明を省略する。

　マッピング部５１は、試験用システム４０において、監視コマンド２３を用いて収集された第二のノード情報と、エージェント４１を用いて収集された第三のノード情報とを用いて、第二のノード情報と第三のノード情報をマッピングする。

　具体的には、マッピング部５１は、まず、取得部１４から第二のノード情報と第三のノード情報とを取得する。次に、マッピング部５１は、取得した第二のノード情報と第三のノード情報それぞれについて、取得した情報のパラメータを多次元要素として、同じ事象において学習をし、クラスタリングする。

　そうすると、同じ事象において学習をしたので、多次元要素空間における第二のノード情報に対するクラスタリングの結果と、第三のノード情報に対するクラスタリングの結果は、図１１に示すように同じような結果となる。図１１は、マッピングを説明するための図である。

　ここで、学習方法は、例えば、ｋ近傍法（ＫＮＮ）、決定木、サポートベクターマシン（ＳＶＭ）などの学習が考えられる。

　次に、マッピング部５１は、第二のノード情報のクラスタ（多次元要素空間１のクラスタ）と、第二のノード情報のクラスタに対応する第三のノード情報のクラスタ（多次元要素空間２のクラスタ）とを用いて、それらのクラスタに含まれるノードを関連付ける（マッピングをする）。例えば、第二のノード情報のクラスタＣＬ１と、第三のノード情報のクラスタＣＬ１′は対応しているので、この二つのクラスタに含まれるノードを関連付けてマッピング情報を生成する。

　補充モデル生成部５２は、マッピング情報に基づいて補充モデル３１を生成する。すなわち、補充モデル生成部５２は、複数のイベントから共通の部分と可変の部分を検出し、補充モデル３１を生成する。

　具体的には、補充モデル生成部５２は、まず、マッピング部５１からマッピング情報を取得する。次に、補充モデル生成部５２は、取得したマッピング情報を用いて、図４に示すような補充モデル３１を生成して、記憶装置３０に記憶する。

　例えば、「db_child1234」「db_child5678」・・・と「db_child」の部分が共通で、その後に四桁の数値が続くプロセス名が頻繁に発生する場合、それにマッチする正規表現のキー「db_child\d{4}」が生成され、「db_child1234」「db_child5678」・・・で共通となるようなパラメータを検出する。補充情報としては親プロセス名が「db_parent」などが挙げられる。

　補充モデル３１は、正規表現されたフィールド情報であるキーとなる情報「キー情報」と、第一のノード情報を補充するための正規表現された情報「補充情報」とが関連付けられた情報である。

　リンク推定モデル生成部５３は、マッピング情報に基づいて生成されたグラフ情報を用いて、リンク推定モデル３２を生成する。

　具体的には、リンク推定モデル生成部５３は、まず、グラフ生成部１５により生成されたグラフ情報を取得する。ここで、グラフ生成部１５は、マッピング情報を入力として、グラフ情報を生成する。

　次に、リンク推定モデル生成部５３は、グラフ生成部１５により生成されたグラフ情報に基づいて、図６、７に示したようなリンク推定モデル３２（３２ａと３２ｂ）を生成する。

［装置動作］
　次に、本発明の実施形態におけるシステム監視装置１０とモデル生成装置５０の動作について説明する。図１２は、システム監視装置の動作の一例を説明するためのフロー図である。図１３は、モデル生成装置の動作の一例を説明するためのフロー図である。

　以下の説明においては適宜図を参照する。本実施形態では、システム監視装置を動作させることによって、システム監視方法が実施される。よって、本実施形態におけるシステム監視方法の説明は、以下のシステム監視装置の動作説明に代える。

　また、本実施形態では、モデル生成装置を動作させることによって、モデル生成方法が実施される。よって、本実施形態におけるモデル生成方法の説明は、以下のモデル生成装置の動作説明に代える。

　システム監視装置の動作について説明する。
　図１２に示すように、監視コマンド実行部１３は、まず、あらかじめ設定された間隔又は日時に、所定の監視コマンド２３を運用システム２０のホスト２１に入力し、ＯＳ２２において所定の監視コマンドにより実行されるプログラムを実行させる（ステップＡ１）。

　次に、取得部１４は、監視コマンド２３を実行して収集された情報をホスト２１から取得する（ステップＡ２）。

　次に、補充部１１は、補充モデル３１から、第一のノード情報を補充するための補充情報を選択し、第一のノード情報に補充情報を追加して補充ノード情報を生成する（ステップＡ３）。

　具体的には、ステップＡ３において、補充部１１は、まず、取得部１４から第一のノード情報を含む情報を取得する。次に、補充部１１は、第一のノード情報を抽出する。次に、補充部１１は、補充モデル３１から、抽出した第一のノード情報に関連する補充情報を選択する。次に、補充部１１は、抽出した第一のノード情報に補充情報を追加して、補充ノード情報を生成する。

　推定部１２は、リンク推定モデル３２に、補充ノード情報を入力し、ノード間のリンクが存在する確率を推定する（ステップＡ４）。

　具体的には、ステップＡ４において、推定部１２は、まず、補充部１１から補充ノード情報を取得する。次に、推定部１２は、補充ノード情報を用いて、リンク推定モデル３２（３２ａ、３２ｂ）を参照し、補充ノード情報ノード間のリンクが存在する確率を推定する。

　グラフ生成部１５は、推定したリンク情報に基づいてグラフ情報を生成する（ステップＡ５）。具体的には、ステップＡ５において、グラフ生成部１５は、まず、推定したリンク情報を取得する。次に、グラフ生成部１５は、取得した推定したリンク情報に基づいて、図８に示すようなグラフ情報８１を生成する。その後、グラフ生成部１５は、そのグラフ情報８１を異常判定部１７へ出力する。

　異常判定部１７は、推定されたノード間のリンクを表すリンク情報を用いて、運用システム２０において生成された基準リンクモデル３３を参照して、リンク情報に対応する基準リンクモデル３３に含まれる基準ルール情報を選択し、選択した基準ルール情報の存在確率があらかじめ設定された条件を満たさない場合、当該リンク情報を異常と判定する（ステップＡ６）。

　具体的には、ステップＡ６において、異常判定部１７は、まず、推定部１２からリンク情報を取得する。次に、異常判定部１７は、取得したリンク情報をキーとして、運用システム２０において生成された基準リンクモデル３３を参照して、基準リンクモデル３３に含まれる基準ルール情報を選択する。次に、異常判定部１７は、選択した基準ルール情報の存在確率があらかじめ設定された閾値以下である場合、当該リンク情報を異常と判定する。閾値は、例えば、実験、シミュレーションなどにより決定される。

　次に、異常判定部１７は、異常検知結果を、不図示の出力情報生成部に出力する（ステップＡ７）。そして、出力情報生成部は、出力装置に異常検知結果を出力するために用いる出力情報を生成する。出力装置は、出力情報生成部により、出力可能な形式に変換された、出力情報を取得し、その出力情報に基づいて、生成した画像及び音声などを出力する。

　次に、基準リンク生成部１６は、推定したリンク情報に基づいて、基準リンクモデル３３を生成する（ステップＡ８）。具体的には、ステップＡ８において、基準リンク生成部１６は、まず、推定したリンク情報を取得する。次に、基準リンク生成部１６は、取得した推定したリンク情報に基づいて、基準リンクモデル３３を生成する。

　次に、システム監視装置１０は、上述したシステム監視処理を終了する指示を取得した場合、システム監視処理を終了する（ステップＡ９：Ｙｅｓ）。また、システム監視処理を継続する場合（ステップＡ９：Ｎｏ）、ステップＡ１に移行して処理を継続する。

　モデル生成装置の動作について説明する。
　図１３に示すように、監視コマンド実行部１３は、まず、あらかじめ設定された間隔又は日時に、所定の監視コマンド２３を試験用システム４０のホスト２１に入力し、ＯＳ２２において所定の監視コマンドにより実行されるプログラムを実行させる（ステップＢ１）。

　次に、取得部１４は、監視コマンド２３を実行して収集された情報をホスト２１から取得する（ステップＢ２）。

　次に、マッピング部５１は、試験用システム４０において、監視コマンド２３を用いて収集された第二のノード情報と、エージェント４１を用いて収集された第三のノード情報とを用いて、マッピング情報を生成する（ステップＢ３）。

　具体的には、ステップＢ３において、マッピング部５１は、まず、取得部１４から第二のノード情報と第三のノード情報とを取得する。次に、マッピング部５１は、取得した第二のノード情報と第三のノード情報それぞれについて、取得した情報のパラメータを多次元要素として、同じ事象において学習をし、クラスタリングする。

　そうすると、同じ事象において学習をしたので、多次元要素空間における第二のノード情報に対するクラスタリングの結果と、第三のノード情報に対するクラスタリングの結果は、図１１に示すように同じような結果となる。

　次に、マッピング部５１は、第二のノード情報のクラスタ（多次元要素空間１のクラスタ）と、第二のノード情報のクラスタに対応する第三のノード情報のクラスタ（多次元要素空間２のクラスタ）とを用いて、それらのクラスタに含まれるノードを関連付ける（マッピングをする）。

　例えば、第二のノード情報のクラスタＣＬ１と、第三のノード情報のクラスタＣＬ１′は対応しているので、この二つのクラスタに含まれるノードを関連付けてマッピング情報を生成する。

　次に、補充モデル生成部５２は、マッピング情報に基づいて補充モデル３１を生成する（ステップＢ４）。具体的には、ステップＢ４において、補充モデル生成部５２は、まず、マッピング部５１からマッピング情報を取得する。次に、補充モデル生成部５２は、取得したマッピング情報を用いて、図４に示すような補充モデル３１を生成して、記憶装置３０に記憶する。

　次に、リンク推定モデル生成部５３は、マッピング情報に基づいて生成されたグラフ情報を用いて、リンク推定モデル３２を生成する（ステップＢ５）。

　具体的には、ステップＢ５において、リンク推定モデル生成部５３は、まず、グラフ生成部１５により生成されたグラフ情報を取得する。ここで、グラフ生成部１５は、マッピング情報を入力として、グラフ情報を生成する。

　次に、システム監視装置１０は、上述したモデル生成処理を終了する指示を取得した場合、モデル生成処理を終了する（ステップＢ６：Ｙｅｓ）。また、モデル生成処理を継続する場合（ステップＢ６：Ｎｏ）、ステップＢ１に移行して処理を継続する。

［本実施形態の効果］
　以上のように本実施形態によれば、エージェントを用いず、ＯＳのカーネルモジュールにアクセスしないで、監視コマンドを用いて、運用システムから収集された第一のノード情報を、エージェントを用いて収集したノード情報と同程度の情報に拡充できる。

　また、本実施形態においては、エージェントを用いず、ＯＳのカーネルモジュールにアクセスしないで、監視コマンドを用いて、運用システムから収集された第一のノード情報を拡充した補充ノード情報を用いて、ノード間にリンクが存在する確率を推定できる。

　さらに、運用システムでカーネルに影響を与えるエージェントを動かさずにすむので、エージェントによる処理負荷やシステムの動作不安定化を避けることができる。

［プログラム］
　本発明の実施形態におけるプログラムは、コンピュータに、図１２に示すステップＡ１からＡ９を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施形態におけるシステム監視装置、システム監視方法を実現することができる。この場合、コンピュータのプロセッサは、監視コマンド実行部１３、取得部１４、補充部１１、推定部１２、グラフ生成部１５、基準リンク生成部１６、異常判定部１７、出力情報生成部として機能し、処理を行なう。

　また、本実施形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、監視コマンド実行部１３、取得部１４、補充部１１、推定部１２、グラフ生成部１５、基準リンク生成部１６、異常判定部１７、出力情報生成部のいずれかとして機能してもよい。

　また、本発明の実施形態におけるプログラムは、コンピュータに、図１３に示すステップＢ１からＢ６を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施形態におけるモデル生成装置、モデル生成方法を実現することができる。この場合、コンピュータのプロセッサは、監視コマンド実行部１３、取得部１４、グラフ生成部１５、マッピング部５１、補充モデル生成部５２、リンク推定モデル生成部５３として機能し、処理を行なう。

　また、本実施形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、監視コマンド実行部１３、取得部１４、グラフ生成部１５、マッピング部５１、補充モデル生成部５２、リンク推定モデル生成部５３のいずれかとして機能してもよい。

［物理構成］
　ここで、実施形態におけるプログラムを実行することによって、システム監視装置、モデル生成装置を実現するコンピュータについて図１４を用いて説明する。図１４は、本発明の実施形態におけるシステム監視装置、モデル生成装置を実現するコンピュータの一例を示すブロック図である。

　図１４に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。なお、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ、又はＦＰＧＡなどのプログラマブルなデバイスを備えていてもよい。

　ＣＰＵ１１１は、記憶装置１１３に格納された、本実施形態におけるプログラム（コード）をメインメモリ１１２に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）などの揮発性の記憶装置である。また、本実施形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであってもよい。なお、記録媒体１２０は、不揮発性記録媒体である。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリなどの半導体記憶装置があげられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）などの汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）などの磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体があげられる。

　なお、本実施形態におけるシステム監視装置１０、モデル生成装置５０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、システム監視装置１０、モデル生成装置５０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

［付記］
　以上の実施形態に関し、更に以下の付記を開示する。上述した実施形態の一部又は全部は、以下に記載する（付記１）から（付記１２）により表現することができるが、以下の記載に限定されるものではない。

（付記１）
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充部と、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定部と、
　を有するシステム監視装置。

（付記２）
　付記１に記載のシステム監視装置であって、
　前記補充モデルは、前記試験用システムにおいて、前記監視コマンドを用いて収集された第二のノード情報と、前記エージェントを用いて収集された第三のノード情報とを用いて、学習により生成され、前記第一のノード情報を選択するためのキーとなるキー情報と、前記第一のノード情報を補充するための補充情報とが関連付けられたルール情報を、一つ以上有している
　システム監視装置。

（付記３）
　付記１又は２に記載のシステム監視装置であって、
　推定されたノード間のリンクを表すリンク情報を用いて、運用システムにおいて生成された基準リンクモデルを参照し、当該リンク情報に対応する基準リンクモデルに含まれる基準ルール情報を選択し、選択した基準ルール情報があらかじめ設定された条件を満たさない場合、前記リンク情報を異常と判定する、異常判定部
　を有するシステム監視装置。

（付記４）
　付記３に記載のシステム監視装置であって、
　前記基準リンクモデルは、運用システムにおいて過去に推定されたノード間のリンクを表すリンク情報を用いて生成される
　システム監視装置。

（付記５）
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充ステップと、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定ステップと、
　を有するシステム監視方法。

（付記６）
　付記５に記載のシステム監視方法であって、
　前記補充モデルは、前記試験用システムにおいて、前記監視コマンドを用いて収集された第二のノード情報と、前記エージェントを用いて収集された第三のノード情報とを用いて、学習により生成され、前記第一のノード情報を選択するためのキーとなるキー情報と、前記第一のノード情報を補充するための補充情報とが関連付けられたルール情報を、一つ以上有している
　システム監視方法。

（付記７）
　付記５又は６に記載のシステム監視方法であって、
　推定されたノード間のリンクを表すリンク情報を用いて、運用システムにおいて生成された基準リンクモデルを参照し、当該リンク情報に対応する基準リンクモデルに含まれる基準ルール情報を選択し、選択した基準ルール情報があらかじめ設定された条件を満たさない場合、前記リンク情報を異常と判定する、異常判定ステップ
　を有するシステム監視方法。

（付記８）
　付記７に記載のシステム監視方法であって、
　前記基準リンクモデルは、運用システムにおいて過去に推定されたノード間のリンクを表すリンク情報を用いて生成される
　システム監視方法。

（付記９）
　コンピュータに、
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充ステップと、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定ステップと
　を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１０）
　付記９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記補充モデルは、前記試験用システムにおいて、前記監視コマンドを用いて収集された第二のノード情報と、前記エージェントを用いて収集された第三のノード情報とを用いて、学習により生成され、前記第一のノード情報を選択するためのキーとなるキー情報と、前記第一のノード情報を補充するための補充情報とが関連付けられたルール情報を、一つ以上有している
　コンピュータ読み取り可能な記録媒体。

（付記１１）
　付記９又は１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　推定されたノード間のリンクを表すリンク情報を用いて、運用システムにおいて生成された基準リンクモデルを参照し、当該リンク情報に対応する基準リンクモデルに含まれる基準ルール情報を選択し、選択した基準ルール情報があらかじめ設定された条件を満たさない場合、前記リンク情報を異常と判定する、異常判定ステップ
　を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１２）
　付記１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記基準リンクモデルは、運用システムにおいて過去に推定されたノード間のリンクを表すリンク情報を用いて生成される
　コンピュータ読み取り可能な記録媒体。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように本発明によれば、カーネルモジュールにアクセスせず、精度よくシステムを監視できる。本発明は、システム監視が必要な分野において有用である。

　１０　システム監視装置
　１１　補充部
　１２　推定部
　１３　監視コマンド実行部
　１４　取得部
　１５　グラフ生成部
　１６　基準リンク生成部
　１７　異常判定部
　２０　運用システム
　２１　ホスト
　２２　ＯＳ
　２３　監視コマンド
　２４　サービスプログラム
　２５　ユーザプログラム
　２６　ファイル
　２７　ネットワーク
　２８　プロセス
　３０　記憶装置
　３１　補充モデル
　３２、３２ａ、３２ｂ　リンク推定モデル
　３３　基準リンクモデル
　４０　試験用システム
　４１　エージェント
　４２　試験用プログラム
　５０　モデル生成装置
　５１　マッピング部
　５２　補充モデル生成部
　５３　リンク推定モデル生成部
１１０　コンピュータ
１１１　ＣＰＵ
１１２　メインメモリ
１１３　記憶装置
１１４　入力インターフェイス
１１５　表示コントローラ
１１６　データリーダ／ライタ
１１７　通信インターフェイス
１１８　入力機器
１１９　ディスプレイ装置
１２０　記録媒体
１２１　バス

Claims

　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成する、補充手段と、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する、推定手段と、
　を有するシステム監視装置。
　請求項１に記載のシステム監視装置であって、
　前記補充モデルは、前記試験用システムにおいて、前記監視コマンドを用いて収集された第二のノード情報と、前記エージェントを用いて収集された第三のノード情報とを用いて、学習により生成され、前記第一のノード情報を選択するためのキーとなるキー情報と、前記第一のノード情報を補充するための補充情報とが関連付けられたルール情報を、一つ以上有している
　システム監視装置。
　請求項１又は２に記載のシステム監視装置であって、
　推定されたノード間のリンクを表すリンク情報を用いて、運用システムにおいて生成された基準リンクモデルを参照し、当該リンク情報に対応する基準リンクモデルに含まれる基準ルール情報を選択し、選択した基準ルール情報があらかじめ設定された条件を満たさない場合、前記リンク情報を異常と判定する、異常判定手段
　を有するシステム監視装置。
　請求項３に記載のシステム監視装置であって、
　前記基準リンクモデルは、運用システムにおいて過去に推定されたノード間のリンクを表すリンク情報を用いて生成される
　システム監視装置。
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成し、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する
　システム監視方法。
　請求項５に記載のシステム監視方法であって、
　前記補充モデルは、前記試験用システムにおいて、前記監視コマンドを用いて収集された第二のノード情報と、前記エージェントを用いて収集された第三のノード情報とを用いて、学習により生成され、前記第一のノード情報を選択するためのキーとなるキー情報と、前記第一のノード情報を補充するための補充情報とが関連付けられたルール情報を、一つ以上有している
　システム監視方法。
　請求項５又は６に記載のシステム監視方法であって、
　推定されたノード間のリンクを表すリンク情報を用いて、運用システムにおいて生成された基準リンクモデルを参照し、当該リンク情報に対応する基準リンクモデルに含まれる基準ルール情報を選択し、選択した基準ルール情報があらかじめ設定された条件を満たさない場合、前記リンク情報を異常と判定する
　システム監視方法。
　請求項７に記載のシステム監視方法であって、
　前記基準リンクモデルは、運用システムにおいて過去に推定されたノード間のリンクを表すリンク情報を用いて生成される
　システム監視方法。
　コンピュータに、
　試験用システムにおいて監視コマンド及びエージェントにより収集された情報を用いて学習させた補充モデルに基づいて、運用システムにおいて監視コマンドを用いて収集された第一のノード情報を補充し、補充ノード情報を生成し、
　前記試験用システムにおいて前記監視コマンド及び前記エージェントを用いて収集された情報を用いて学習させたリンク推定モデルに、前記補充ノード情報を入力し、ノード間にリンクが存在する確率を推定する
　処理を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項９に記載のコンピュータ読み取り可能な記録媒体であって、
　前記補充モデルは、前記試験用システムにおいて、前記監視コマンドを用いて収集された第二のノード情報と、前記エージェントを用いて収集された第三のノード情報とを用いて、学習により生成され、前記第一のノード情報を選択するためのキーとなるキー情報と、前記第一のノード情報を補充するための補充情報とが関連付けられたルール情報を、一つ以上有している
　コンピュータ読み取り可能な記録媒体。
　請求項９又は１０に記載のコンピュータ読み取り可能な記録媒体であって、
　前記プログラムが、前記コンピュータに、
　推定されたノード間のリンクを表すリンク情報を用いて、運用システムにおいて生成された基準リンクモデルを参照し、当該リンク情報に対応する基準リンクモデルに含まれる基準ルール情報を選択し、選択した基準ルール情報があらかじめ設定された条件を満たさない場合、前記リンク情報を異常と判定する
　処理を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
　請求項１１に記載のコンピュータ読み取り可能な記録媒体であって、
　前記基準リンクモデルは、運用システムにおいて過去に推定されたノード間のリンクを表すリンク情報を用いて生成される
　コンピュータ読み取り可能な記録媒体。