WO2023228316A1 - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- WO2023228316A1 WO2023228316A1 PCT/JP2022/021384 JP2022021384W WO2023228316A1 WO 2023228316 A1 WO2023228316 A1 WO 2023228316A1 JP 2022021384 W JP2022021384 W JP 2022021384W WO 2023228316 A1 WO2023228316 A1 WO 2023228316A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- word
- log
- detection
- detected
- learning
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 108
- 230000005856 abnormality Effects 0.000 claims abstract description 16
- 238000000034 method Methods 0.000 claims description 30
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000007781 pre-processing Methods 0.000 description 16
- 241000393496 Electra Species 0.000 description 15
- 238000012545 processing Methods 0.000 description 14
- 238000011156 evaluation Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 11
- 238000002474 experimental method Methods 0.000 description 8
- 238000012731 temporal analysis Methods 0.000 description 7
- 238000000700 time series analysis Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Abstract
検知装置(1)は、検知対象のログメッセージを取得するログ取得部(21)と、入力された単語が破壊された単語であるか否かを推定するモデルを用いて、検知対象のログメッセージの各単語に対する破壊の有無を推定し、推定結果を基に検知対象のログメッセージの異常を検知する検知部(23)と、を有する。
Description
本発明は、検知装置、検知方法及び検知プログラムに関する。
システムログは、サーバ機器などに発生した単純なエラー、外部からの攻撃、内部の不正動作等を検知及び検証するための最も基礎的なデータの一つである。これらのログすべてを漏れなく分析するためには、人手を介さず機械学習等を用いて自動で分析できることが重要であり、特に、ログの異常検知技術は、あらゆるIT領域で重要視されている。
機械学習を用いたログの異常検知技術では、次の二つの要件が重要であるとされている。
一つ目の要件は、パーサーフリーであることである。パーサーとは、システムログを固定的な部分と変動的な部分に分割する操作を行う機能のことである。従来は、パーサーを用いた後に機械学習等で異常検知を行う手法が主だった(非特許文献1)。しかしながら、これらの手法では、固定的な部分と変動的な部分とを分けて分析することになるため、情報の欠落が大きい場合や、未知のログに対して正しく分析できない場合があった。
二つの要件は、教師なし学習に基づく異常検知手法であることである。異常なログメッセージを収集することは、正常なログメッセージを収集することと比べて一般的に高コストである。このため、異常なログメッセージを十分な量集めないと動作しない教師あり学習に基づくアプローチを実際に運用することは難しい。一方、教師なし学習に基づくアプローチは、正常なログメッセージを学習し、それとは異なるパターンのメッセージを異常判定することを目指すため、教師あり学習に基づくアプローチと比べて、データ収集にかかるコストが低く、実用的である。
また、従来、ログの異常検知は時系列分析を行う手法が多く、ログの前後関係を考慮した異常検知を行う手法が多かった。しかしながら、時系列分析は一般に計算コストが高く、処理量の観点から不利である。なお、近年、ログメッセージの異常は、前後関係を考慮せずとも検知可能なものがほとんどを占めているという報告がなされた(非特許文献2)。
Min Du, Feifei Li, Guineng Zheng, Vivek Srikumar, "DeepLog: Anomaly Detection and Diagnosis from System Logs through Deep Learning", CCS’17, October 30-November 3, 2017, Dallas, TX, USA, [online],[令和4年4月20日検索],インターネット<URL:https://dl.acm.org/doi/10.1145/3133956.3134015>
Thorsten Wittkopp, Philipp Wiesner, Dominik Scheinert, and Odej Kao, "A Taxonomy of Anomalies in Log Data", [online],[令和4年4月20日検索],インターネット<URL:https://arxiv.org/abs/2111.13462>
しかしながら、パーサーフリーであり、教師なし学習に基づく異常検知であり、かつ、時系列分析を行わずログ1行に対して分析可能に、ログメッセージの異常を検知することができる検知方法は、これまでなかった。
本発明は、上記に鑑みてなされたものであって、パーサーを用いず、教師なし学習に基づく異常検知であり、かつ、時系列分析を行わずログ1行に対して分析可能に、ログメッセージの異常を検知することができる検知装置、検知方法及び検知プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、検知対象のログメッセージを取得する取得部と、入力された単語が破壊された単語であるか否かを推定するモデルを用いて、前記検知対象のログメッセージの各単語に対する破壊の有無を推定し、推定結果を基に前記検知対象のログメッセージの異常を検知する検知部と、を有することを特徴とする。
本発明によれば、パーサーを用いず、教師なし学習に基づく異常検知であり、かつ、時系列分析を行わずログ1行に対して分析可能に、ログメッセージの異常を検知することができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
本実施の形態に係る検知装置は、ELECTRAの事前学習タスクで用いられるReplaced Token Detectionを直接、異常検知に用いる。
本実施の形態に係る検知装置は、ELECTRAの事前学習タスクで用いられるReplaced Token Detectionを直接、異常検知に用いる。
[ELECTRA]
まずは、ELECTRA(参考文献1)の事前学習タスクについて説明する。
参考文献1:Kevin Clark, Minh-Thang Luong, Quoc V. Le, and Christopher D. Manning, “ELECTRA: Pre-training Text Encoders as Discriminators Rather Than Generators”, [online],[令和4年4月20日検索],インターネット<URL:https://arxiv.org/abs/2003.10555>
まずは、ELECTRA(参考文献1)の事前学習タスクについて説明する。
参考文献1:Kevin Clark, Minh-Thang Luong, Quoc V. Le, and Christopher D. Manning, “ELECTRA: Pre-training Text Encoders as Discriminators Rather Than Generators”, [online],[令和4年4月20日検索],インターネット<URL:https://arxiv.org/abs/2003.10555>
図1は、ELECTRAの事前学習タスクを説明する図である。図1に示すように、ELECTRAは、Generatorとよばれるニューラルネットワークと、Discriminatorと呼ばれるニューラルネットワークとによって構成される。
Generatorとして、次元数や層数が少ない小さなBERT(Bidirectional Encoder Representations from Transformers)モデルが用いられる。Discriminatorは、Generatorよりも、十分な大きさを持つBERTモデルが用いられる。
Generatorは、図1に示すように、ある単語が一定確率でMaskされたToken列(単語列、文章)を受け取り、Maskされた箇所の元々の単語の復元を試みる。このようなタスクは、Masked Language Modelingとばれるタスクであり、BERTの事前学習タスクである。しかしながら、Generatorは、小さいモデルであるため、精度よくMaskされた箇所の単語を復元することができず、誤った文章を復元してしまう場合がある。図1の場合、Generatorは、「cooked」と復元すべきところに、誤って「ate」を復元しており、「cooked」を破壊してしまっている。
一方、Discriminatorは、Generatorによって破壊された文章内の各Token(単語)に対して、その単語が破壊されているか否か、すなわち、Generatorによって誤って復元されたTokenであるか否か、を判定する2値分類を行う。これによって、Maskした箇所に限らず、全てのTokenの情報を、Discriminatorに一挙に学習させることができ、Masked Language Modelingよりも効率よく学習が進むとされている。言い換えると、ELECTRAで提案されたToken Replacement Detectionは、各Tokenが改変されたか否かを、全てのTokenに対して判定するものであり、学習効率が高い。
このToken Replacement Detectionを事前学習に用いることで、Discriminatorは、各Tokenを、前後関係を考慮した高品質な特徴ベクトルに埋め込むことができるようになる。
[適用法]
ELECTRAが事前学習で用いているToken Replacement Detectionは、Self-supervisedに基づく事前学習方法とみなせる。そこで、実施の形態では、ELECTRAのToken Replacement detectionを直接異常検知に応用した。実施の形態では、ELECTRAが事前学習で用いているToken Replacement Detectionを、Self-supervised learningとみなし、一般的なSelf-supervised learningを用いた異常検知のマナーに従って異常度を定義することで、ログメッセージに対する異常検知を実現した。
ELECTRAが事前学習で用いているToken Replacement Detectionは、Self-supervisedに基づく事前学習方法とみなせる。そこで、実施の形態では、ELECTRAのToken Replacement detectionを直接異常検知に応用した。実施の形態では、ELECTRAが事前学習で用いているToken Replacement Detectionを、Self-supervised learningとみなし、一般的なSelf-supervised learningを用いた異常検知のマナーに従って異常度を定義することで、ログメッセージに対する異常検知を実現した。
本実施の形態におけるELECTRAの適用法について説明する。まず、学習対象の正常なログメッセージを集めたデータセットを用意し、ELECTRAの事前学習(Token Replacement Detection)に用いる。このとき、ELECTRAモデルは、ランダム初期化された状態からログメッセージの学習を始めてもよいし、Wikipedia文書等の一般的な文書データを学習済みの事前学習済みモデルから、ログメッセージの学習を始めてもよい。後述の評価実験では、ランダム初期化された状態からログメッセージの学習を行ったELECTRAを用いた。
続いて、この学習済みのDiscriminatorを用いて、検知対象のログメッセージをログメッセージの異常検知を行う。図2は、学習済みのDiscriminatorを用いたログメッセージの異常検知方法を説明する図である。
実施の形態に係る異常検知方法では、学習済みのDiscriminatorに対し、Generatorによる破壊を行っていない未改変のログメッセージのデータを直接入力し(図2の(1))、各Tokenに対してそのTokenが破壊されているかどうかを推定する2値分類を行わせる。
このように、実施の形態に係る異常検知方法では、未改変のログメッセージのデータを直接Discriminatorに入力する。
このとき、ログメッセージの各Tokenは、そのまま入力されており、破壊されている箇所はない。このため、Discriminatorが、そのログメッセージの特徴をうまく捉えられていれば、つまり、学習したことのあるタイプのログメッセージであれば、全てのTokenに対して「破壊されていない(original)」と正しく推定できると期待できる。このため、実施の形態に係る異常検知方法では、Discriminatorが「original」と推定したデータは、「正常」であると判定する(図2の(2))。
一方、Discriminatorは、異常なログメッセージについては、正しく特徴を捉えられないため、異常なログメッセージの一部のTokenに対して、「破壊されている(replaced)」と推定すると期待できる。このため、実施の形態に係る異常検知方法では、Discriminatorが「replaced」と推定したデータは、「異常」であると判定する(図2の(2))。
実施の形態に係る異常検知方法では、Discriminatorの正答率をログメッセージの正常度合いとみなし、その差を基に、異常検知を行う。
上記の内容を数式で表現すると下記のようになる。1行のログメッセージを式(1)でのように表す。
ここで、xiは、ログメッセージ中のi番目の単語に対応するTokenである。このとき、Discriminatorを関数D(・)で表すと、式(2)とできる。
ここで、yiは、i番目のTokenに対するそのTokenが破壊されていない確率であり、0~1の範囲で表される実数値である。このとき、ログメッセージの正常度合いを式(3)のように定義する。
ここで、meanは、ベクトルの平均値を返す関数である。
[検知装置]
IT系のシステムに存在するログ集約サーバに、ログ異常検知機能を設けた場合を例に、本実施の形態に係る検知装置を説明する。図3は、実施の形態に係る検知装置の構成の一例を模式的に示す図である。
IT系のシステムに存在するログ集約サーバに、ログ異常検知機能を設けた場合を例に、本実施の形態に係る検知装置を説明する。図3は、実施の形態に係る検知装置の構成の一例を模式的に示す図である。
実施の形態に係る検知装置1は、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、CPU(Central Processing Unit)等を含むコンピュータ等に所定のプログラムが読み込まれて、CPUが所定のプログラムを実行することで実現される。また、検知装置1は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースを有する。検知装置1は、ワークステーションやパソコン等の汎用コンピュータで実現される。検知装置1は、図3に示すように、ログDB2と、モデル学習部10と、学習済みモデルデータベース(DB)3と、異常検知部20とを有する。
検知装置1は、外部のサーバやシステム等から、ログを受け付け、ログDB2に保存する。モデル学習部10は、ログDB2から取得した学習用ログメッセ―データセットを用いて、ログメッセージの異常検知のために用いるモデル(Discirminator)の学習処理を行う。学習済みモデルDB3は、モデル学習部10によって学習が実行されたモデルを保存する。
異常検知部20は、学習済みのモデル(Discirminator)を用いてログメッセージの異常検知処理を行う。異常検知部20は、モデル学習部10と同一のハードウェアに実装されてもよいし、異なるハードウェアに実装されてもよい。
[学習部]
モデル学習部10は、学習用ログ取得部11、前処理部12及び学習部13を有する。
モデル学習部10は、学習用ログ取得部11、前処理部12及び学習部13を有する。
学習用ログ取得部11は、ログDB2から、学習用ログメッセージデータセットを取得する。この学習用ログメッセージデータセットに含まれるログメッセージは、正常なログメッセージであることを前提とする。学習用ログ取得部11は、取得した学習用ログメッセージデータセットを前処理部12に出力する。
前処理部12は、学習用ログメッセージデータセットに対し、特殊記号のエスケープ、時刻情報の置き換え、スペースの除去、文字コードの変換などの前処理を行い、学習用ログメッセージを、Token(単語)にする。
学習部13は、前処理部12によって前処理が行われた学習用ログメッセージデータセットを用いて、モデル(Discirminator)の学習を行い、検知に用いるDiscirminatorを学習済みモデルDB3に保存する。Discirminatorは、ニューラルネットワークによって構成される。Discirminatorは、入力された単語が破壊された単語であるか否かを推定するモデルである。
学習用ログメッセージデータセットに含まれるログメッセージは、正常なログメッセージである。このため、学習部13は、Discirminatorが、学習用ログメッセージデータセットの全てのTokenに対して「original」と推定するように、教師なし学習に基づいて、Discirminatorを訓練する。
なお、学習部13は、追加学習のために、Generatorを学習済みモデルDB3に保存してもよい。追加学習として、学習部13は、Discirminatorが、Generatorによって破壊されたTokenに対して「replaced」と判定するように、Discirminatorを訓練してもよい。
学習部13は、モデル(Discirminator)を、各アプリケーションのログ単位に生成してもよいし、いくつかのアプリケーションをまとめたログ単位に生成してもよいし、サーバ単位で生成してもよい。モデルの生成単位は、システムに応じて適宜設定される。
[検知部]
次に、異常検知部20について説明する。異常検知部20は、ログ取得部21、前処理部22及び検知部23を有する。
次に、異常検知部20について説明する。異常検知部20は、ログ取得部21、前処理部22及び検知部23を有する。
ログ取得部21は、ログDB2から、検知対象のログメッセージを取得する。ログ取得部21による取得タイミングは、定期的でもよいし、新たなログメッセージがN件溜まった際などでもよい。
前処理部22は、前処理部12と同様に、検知対象のログメッセージに対し、特殊記号のエスケープ、時刻情報の置き換え、スペースの除去、文字コードの変換などの前処理を行い、異常検知対象のログメッセージを、Token(単語)にする。
検知部23は、学習済みモデルDB3から適切なモデル(Discirminator)をロードする。検知部23は、Discirminatorを用いて、検知対象のログメッセージの各単語に対する破壊の有無を推定し、推定結果を基に前記検知対象のログメッセージの異常を検知する。
検知部23は、検知対象のログメッセージのTokenのうち、Discirminatorが、破壊されていない単語であると推定した単語は、正常であると判定し、Discirminatorが破壊された単語であると推定した単語は、異常であると判定する。検知部23は、この判定結果を基に、検知対象のログメッセージの正常度合いを求める。
具体的には、検知部23は、前処理部22によって前処理が行われた検知対象のログメッセージの各TokenをDiscirminatorに入力する。検知部23は、検知対象のログメッセージの各Tokenに対する、Discirminatorの「original」または「replaced」の推定結果を基に、式(3)を用いて、検知対象のログメッセージの正常度合いを計算する。
検知部23は、計算した正常度合いが一定の閾値以下の場合、検知アラートを、監視者が有する管理者端末に対して出力する。閾値は、例えば、各アプリケーション、または、各サーバごとに適宜設定される。
このように、実施の形態に係る異常検知方法では、パーサーを用いた処理を行わず、また、点異常に特化しているため、時系列分析を行わない。したがって、実施の形態に係る異常検知方法は、時系列分析を行わずログ1行に対して分析可能に、2値分類を実行する。
[学習処理]
図4は、図3に示すモデル学習部10が実行する学習処理の処理手順を示すフローチャートである。
図4は、図3に示すモデル学習部10が実行する学習処理の処理手順を示すフローチャートである。
図4に示すように、学習用ログ取得部11は、ログDB2から、学習用ログメッセージデータセットを取得する(ステップS1)。前処理部12は、Discirminatorに入力可能となるように、学習用ログメッセージデータセットに対して前処理を行う(ステップS2)。
学習部13は、前処理部12によって前処理が行われた学習用ログメッセージデータセットを用いて、Discirminatorを訓練する学習処理を行う(ステップS3)。学習部13は、学習したDiscirminatorを学習済みモデルDB3に格納する。
[検知処理]
図5は、実施の形態に係る検知処理の処理手順を示すフローチャートである。
図5は、実施の形態に係る検知処理の処理手順を示すフローチャートである。
ログ取得部21は、ログDB2から、検知対象のログメッセージを取得する(ステップS11)。前処理部22は、ステップS2と同様の処理を行うことで、検知対象のログメッセージに対する前処理を行う(ステップS12)。
検知部23は、検知対象のログメッセージの異常を検知する検知処理を行う(ステップS13)。検知部23は、学習済みモデルDB3から適切なモデル(Discirminator)をロードする。そして、検知部23は、検知対象のログメッセージの各Tokenに対する、Discirminatorの「original」または「replaced」の判定結果を基に、検知対象のログメッセージの正常度合いを計算する。検知部23は、計算した正常度合いが一定の閾値以下の場合、検知アラートを、監視者に対して出力する。
[評価実験]
実施の形態に係る検知方法の効果を評価する評価実験を行った。本評価実験では、ログ異常検知において一般的に用いられるBGL(詳細は、<URL:https://github.com/logpai/loghub/tree/master/BGL>を参照)に対して評価実験を行った。BGLのデータセット構成を表1に示す。
実施の形態に係る検知方法の効果を評価する評価実験を行った。本評価実験では、ログ異常検知において一般的に用いられるBGL(詳細は、<URL:https://github.com/logpai/loghub/tree/master/BGL>を参照)に対して評価実験を行った。BGLのデータセット構成を表1に示す。
本評価実験では、BGLのうち、正常データの8割をDiscirminatorの学習に使用し、残り2割の正常データと異常データの全てとを、学習したDiscirminatorの評価に使用した。図6は、正常データの一例を示す図である。本評価実験では、図6に示すように、ログメッセージのタイムスタンプ等を削除し、文章部分のみを取り出したデータをDiscirminatorの学習に使用した。
本評価実験では、BGLに対して検知評価を行い、F1-Score及びAUC値を用いて、検知精度を測定した。表2は、LogBERT(参考文献4)から引用したBGLに対する評価結果である。
参考文献4:Haixuan Guo, Shuhan Yuan, and Xintao Wu, “LogBERT:Log Anomaly Detection via BERT”, [online],[令和4年4月20日検索],インターネット<URL:https://arxiv.org/abs/2103.04475>
参考文献4:Haixuan Guo, Shuhan Yuan, and Xintao Wu, “LogBERT:Log Anomaly Detection via BERT”, [online],[令和4年4月20日検索],インターネット<URL:https://arxiv.org/abs/2103.04475>
異常検知部20の評価結果は、F1-Scoreで評価したところ、0.99203を記録(SoTA)し、表2に示す従来手法(PCA等)の評価結果を大きく上回っていることが分かった。また、異常検知部20の評価結果は、AUC(Area Under the Roc Curve)値が0.996であり、非常に高い検知精度を達成できていることが分かった。
[実施の形態の効果]
このように、実施の形態に係る検知装置1は、学習済みのDiscriminatorを用いて、ログメッセージの異常検知を行うことで、パーサーフリーであり、教師なし学習に基づく異常検知であり、かつ、時系列分析を行わずログ1行に対して分析可能に、ログメッセージの異常を高精度で検知することができる。
このように、実施の形態に係る検知装置1は、学習済みのDiscriminatorを用いて、ログメッセージの異常検知を行うことで、パーサーフリーであり、教師なし学習に基づく異常検知であり、かつ、時系列分析を行わずログ1行に対して分析可能に、ログメッセージの異常を高精度で検知することができる。
[実施の形態のシステム構成について]
検知装置1の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置1の機能の分散及び統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
検知装置1の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置1の機能の分散及び統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
また、検知装置1においておこなわれる各処理は、全部または任意の一部が、CPU、GPU(Graphics Processing Unit)、及び、CPU、GPUにより解析実行されるプログラムにて実現されてもよい。また、検知装置1においておこなわれる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
[プログラム]
図7は、プログラムが実行されることにより、検知装置1が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図7は、プログラムが実行されることにより、検知装置1が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置1の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、検知装置1における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
1 検知装置
2 ログDB
3 学習済みモデルDB
10 モデル学習部
11 学習用ログ取得部
12,22 前処理部
13 学習部
20 異常検知部
21 ログ取得部
23 検知部
2 ログDB
3 学習済みモデルDB
10 モデル学習部
11 学習用ログ取得部
12,22 前処理部
13 学習部
20 異常検知部
21 ログ取得部
23 検知部
Claims (5)
- 検知対象のログメッセージを取得する取得部と、
入力された単語が破壊された単語であるか否かを推定するモデルを用いて、前記検知対象のログメッセージの各単語に対する破壊の有無を推定し、推定結果を基に前記検知対象のログメッセージの異常を検知する検知部と、
を有することを特徴とする検知装置。 - 前記モデルは、少なくとも、正常なログメッセージの各単語について、破壊されていない単語であると推定するように訓練されたモデルであることを特徴とする請求項1に記載の検知装置。
- 前記検知部は、前記検知対象のログメッセージの単語のうち、前記モデルが破壊されていない単語であると推定した単語は、正常であると判定し、前記モデルが破壊された単語であると推定した単語は、異常であると判定し、判定結果を基に、前記検知対象のログメッセージの正常度合いを求めることを特徴とする請求項1に記載の検知装置。
- 検知装置が実行する検知方法であって、
検知対象のログメッセージを取得する工程と、
入力された単語が破壊された単語であるか否かを推定するモデルを用いて、前記検知対象のログメッセージの各単語に対する破壊の有無を推定し、推定結果を基に前記検知対象のログメッセージの異常を検知する工程と、
を含んだことを特徴とする検知方法。 - 検知対象のログメッセージを取得するステップと、
入力された単語が破壊された単語であるか否かを推定するモデルを用いて、前記検知対象のログメッセージの各単語に対する破壊の有無を推定し、推定結果を基に前記検知対象のログメッセージの異常を検知するステップと、
をコンピュータに実行させるための検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/021384 WO2023228316A1 (ja) | 2022-05-25 | 2022-05-25 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/021384 WO2023228316A1 (ja) | 2022-05-25 | 2022-05-25 | 検知装置、検知方法及び検知プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2023228316A1 true WO2023228316A1 (ja) | 2023-11-30 |
Family
ID=88918715
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2022/021384 WO2023228316A1 (ja) | 2022-05-25 | 2022-05-25 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2023228316A1 (ja) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005182647A (ja) * | 2003-12-22 | 2005-07-07 | Nec Corp | 機器の異常検知装置 |
JP2015108898A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
JP2018073258A (ja) * | 2016-11-02 | 2018-05-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
JP2020135546A (ja) * | 2019-02-21 | 2020-08-31 | 京セラドキュメントソリューションズ株式会社 | 情報処理装置および不具合推定方法 |
JP2020140580A (ja) * | 2019-02-28 | 2020-09-03 | 日本電信電話株式会社 | 検知装置及び検知プログラム |
-
2022
- 2022-05-25 WO PCT/JP2022/021384 patent/WO2023228316A1/ja unknown
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005182647A (ja) * | 2003-12-22 | 2005-07-07 | Nec Corp | 機器の異常検知装置 |
JP2015108898A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
JP2018073258A (ja) * | 2016-11-02 | 2018-05-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
JP2020135546A (ja) * | 2019-02-21 | 2020-08-31 | 京セラドキュメントソリューションズ株式会社 | 情報処理装置および不具合推定方法 |
JP2020140580A (ja) * | 2019-02-28 | 2020-09-03 | 日本電信電話株式会社 | 検知装置及び検知プログラム |
Non-Patent Citations (1)
Title |
---|
YAMANAKA YUUKI, YAMADA MASANORI, TAKAHASHI TOMOKATSU, NAGAI TOMOHIRO: "Utilizing BERT for Feature Extraction of Packet Payload", PROCEEDINGS OF THE ANNUAL CONFERENCE OF JSAI, THE JAPANESE SOCIETY FOR ARTIFICIAL INTELLIGENCE, 11 June 2021 (2021-06-11), pages 1 - 3, XP093015030, Retrieved from the Internet <URL:https://www.jstage.jst.go.jp/article/pjsai/JSAI2021/0/JSAI2021_1F2GS10a04/_pdf/-char/en> [retrieved on 20230118], DOI: 10.11517/pjsai.JSAI2021.0_1F2GS10a04 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108737406B (zh) | 一种异常流量数据的检测方法及系统 | |
Oliner et al. | Alert detection in system logs | |
US8630962B2 (en) | Error detection method and its system for early detection of errors in a planar or facilities | |
CN111914873A (zh) | 一种两阶段云服务器无监督异常预测方法 | |
CN110381079B (zh) | 结合gru和svdd进行网络日志异常检测方法 | |
Jia et al. | A deviation based assessment methodology for multiple machine health patterns classification and fault detection | |
CA3037326A1 (en) | Sparse neural network based anomaly detection in multi-dimensional time series | |
CN111435366A (zh) | 设备故障诊断方法、装置和电子设备 | |
Lim et al. | Identifying recurrent and unknown performance issues | |
Kobayashi et al. | Towards an NLP-based log template generation algorithm for system log analysis | |
CN115456107A (zh) | 一种时间序列异常检测系统及方法 | |
CN115617614A (zh) | 基于时间间隔感知自注意力机制的日志序列异常检测方法 | |
CN111930597A (zh) | 基于迁移学习的日志异常检测方法 | |
CN111767193A (zh) | 一种服务器数据异常检测方法、装置、存储介质及设备 | |
An et al. | Real-time Statistical Log Anomaly Detection with Continuous AIOps Learning. | |
WO2023228316A1 (ja) | 検知装置、検知方法及び検知プログラム | |
CN115757062A (zh) | 一种基于句嵌入以及Transformer-XL的日志异常检测方法 | |
Li et al. | Glad: Content-aware dynamic graphs for log anomaly detection | |
CN114936139A (zh) | 数据中心网络内的日志处理方法、装置、设备及存储介质 | |
CN114969334A (zh) | 异常日志检测方法、装置、电子设备及可读存储介质 | |
Govindasamy et al. | Data reduction for bug triage using effective prediction of reduction order techniques | |
Shahid et al. | Anomaly detection in system logs in the sphere of digital economy | |
Shah et al. | Automated Log Analysis and Anomaly Detection Using Machine Learning | |
Liu et al. | The runtime system problem identification method based on log analysis | |
Wang et al. | LogOnline: A Semi-Supervised Log-Based Anomaly Detector Aided with Online Learning Mechanism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22943720 Country of ref document: EP Kind code of ref document: A1 |