JP2019121162A - 監視装置、監視方法および監視プログラム - Google Patents

監視装置、監視方法および監視プログラム Download PDF

Info

Publication number
JP2019121162A
JP2019121162A JP2018000286A JP2018000286A JP2019121162A JP 2019121162 A JP2019121162 A JP 2019121162A JP 2018000286 A JP2018000286 A JP 2018000286A JP 2018000286 A JP2018000286 A JP 2018000286A JP 2019121162 A JP2019121162 A JP 2019121162A
Authority
JP
Japan
Prior art keywords
variable
context
data
content
selection unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018000286A
Other languages
English (en)
Other versions
JP6871877B2 (ja
Inventor
拓郎 森山
Takuro Moriyama
拓郎 森山
岳 石井
Takeshi Ishii
岳 石井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2018000286A priority Critical patent/JP6871877B2/ja
Priority to US16/128,795 priority patent/US11126519B2/en
Publication of JP2019121162A publication Critical patent/JP2019121162A/ja
Application granted granted Critical
Publication of JP6871877B2 publication Critical patent/JP6871877B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/045Explanation of inference; Explainable artificial intelligence [XAI]; Interpretable artificial intelligence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/263Generation of test inputs, e.g. test vectors, patterns or sequences ; with adaptation of the tested hardware for testability with external testers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • G06F18/2148Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the process organisation or structure, e.g. boosting cascade
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computing Systems (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Medical Informatics (AREA)
  • Computational Linguistics (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

【課題】高い精度で文脈的異常検知を行う監視装置、監視方法および監視プログラムを提供する。【解決手段】本発明の実施形態としての監視装置は、異常の検知対象となるコンテンツ変数と、前記コンテンツ変数が得られた条件を示すコンテキスト変数に分類された入力データについて、第1期間に得られた基準データと、第2期間に得られた判定対象データに含まれる前記コンテキスト変数の値に基づき、前記基準データを正常データとして前記判定対象データの異常検知を行うときに使用する変数から除外される、前記コンテキスト変数を決定する、変数選択部を備える。【選択図】図1

Description

本発明の実施形態は、監視装置、監視方法および監視プログラムに関する。
異常の検知が行われる変数と、計測値が得られた条件、状況や背景など(context:コンテキスト)を表現する変数を区別する、文脈的異常検知(contextual anomaly detection)と呼ばれる手法を使うと、高い精度の異常検知を行うことができる。正常/異常属性がラベル付けされ、充分なサンプル数を含む教師データがあれば、異常検知に寄与する変数の選択を行うことができる。
しかし、過去の計測値が多く得られていない、または異常発生率が低いなどの理由で正常状態におけるデータしか用意できていない場合がある。このような場合、異常検知への寄与度を基準に変数を行うことは困難である。正常状態におけるデータしかない状況でも、文脈的異常検知の検知精度を高める技術の開発が求められている。
M. A. Hayes and M. A. M. Capretz, "Contextual Anomaly Detection in Big Sensor Data," 2014 IEEE International Congress on Big Data, Anchorage, AK, 2014, pp. 64−71. X. Song, M. Wu, C. Jermaine and S. Ranka, "Conditional Anomaly Detection," in IEEE Transactions on Knowledge and Data Engineering, vol. 19, no. 5, pp. 631−645, May 2007.
本発明の実施形態は、高い精度で文脈的異常検知を行う監視装置、監視方法および監視プログラムを提供する。
本発明の実施形態としての監視装置は、異常の検知対象となるコンテンツ変数と、前記コンテンツ変数が得られた条件を示すコンテキスト変数に分類された入力データについて、第1期間に得られた基準データと、第2期間に得られた判定対象データに含まれる前記コンテキスト変数の値に基づき、前記基準データを正常データとして前記判定対象データの異常検知を行うときに使用する変数から除外される、前記コンテキスト変数を決定する、変数選択部を備える。
第1の実施形態に係るシステム全体の構成例を示す図。 コンテキストデータの一例を示した図。 コンテンツデータの一例を示した図。 コンテキストデータの一例を示した図。 コンテンツデータの一例を示した図。 データの前処理結果および文脈的異常検知結果の例を示した図。 監視装置に係るハードウェア構成の例を示す図。 監視装置による処理の例を示したフローチャート。
以下、図面を参照しながら、本発明の実施形態について説明する。また、図面において同一の構成要素は、同じ番号を付し、説明は、適宜省略する。
(第1の実施形態)
図1は、第1の実施形態に係る監視装置の構成例を示す図である。
最初に本実施形態に係る監視装置の概要について説明する。図1には、監視装置1が示されている。監視装置1は、データに基づき文脈的異常検知を行うことができる。以下では、データとして物理的なセンサから得られた計測値を使った場合を例に説明するが、適用対象とされるデータはマーケティングデータ、経済指標、情報システムのログデータ、臨床データなどであってもよく、種類については特に問わない。
監視装置1は、データに含まれる変数をコンテンツ変数と、コンテキスト変数に分類し、文脈的異常検知を行う。コンテンツ変数(内容変数)とは、異常の検知対象となる変数のことをいう。コンテキスト変数(文脈変数)とは、コンテンツ変数が得られた条件、状況、背景など(context:コンテキスト)を示す変数のことをいう。
監視装置1は、文脈的異常検知の精度を高めるために、データ中のすべての変数を異常検知に使わず、一部の変数のみを選択することができる。変数選択は、異常検知をする前の前処理において実行される。コンテキスト変数のみについて変数選択を行うこともできるし、コンテキスト変数とコンテンツ変数の両方について変数選択を行ってもよい。
監視装置1は、変数選択を行う前に、監視対象が正常状態にあるときの期間に得られたデータであると推定される基準データと、異常検知の対象期間に得られた判定対象データを用意する。基準データと判定対象データは、いずれもコンテンツ変数とコンテキスト変数を含む。
基準データと判定対象データの間の識別に寄与する程度に基づき、異常検知に使用する変数を選ぶ。以降では、変数の識別に寄与する程度を、識別寄与度とよぶ。識別寄与度は、ランダムフォレストなどの識別器を使って計算する。また、変数の選択は統計的検定などを使って行ってもよい。コンテキスト変数の変数選択を行う場合、識別寄与度が小さい変数を選択する。コンテンツ変数の変数選択を行う場合、識別寄与度が大きい変数を選択する。
最後に、監視装置1は選択された(除外されなかった)変数に基づき、文脈的異常検知を行い、結果をディスプレイなどに表示する。これにより、異常検知結果の検証や装置などの保守点検作業などを行うことができる。
次に、監視装置1の各構成要素について説明する。
図1の監視装置1は、収集部2と、コンテキストデータベース(コンテキストDB)3と、コンテンツデータベース(コンテンツDB)4と、変数選択部5と、異常検知部6と、表示部7とを備えている。コンテキストデータベース3は、基準データ3aと、判定対象データ3bとを含む。コンテンツデータベース4は、基準データ4aと、判定対象データ4bとを含む。
収集部2は、外部の装置またはシステムなどからデータを収集し、コンテキストデータベース3またはコンテンツデータベース4に保存する。収集部2は、電気通信回線10を介して外部の装置やシステムに接続されている。電気通信回線10は、有線の通信媒体であってもよいし、無線であってもよい。有線の通信媒体の例としては、光ファイバ、LANケーブル、電話回線、同軸ケーブルなどがあるが、種類については特に問わない。収集部2が用いる通信規格の例としては、Ethernet、無線LAN、PCI Express、USB、UART、SPI、SDIO、シリアルポート、Bluetoothなどがあるが、その他の規格であってもよい。
外部の装置の例としては、空調機器、製造装置、発電所、各種の機械、移動体、電子機器、観測機器、情報通信端末などが挙げられるが、どのような装置であってもよい。外部の装置から収集されるデータの例としては、センサの計測値があるが、その他の種類のデータであってもよい。センサの計測値は物理量であってもよいし、設定値やステータスなどであってもよい。外部のシステムとしては、センサネットワーク、データベースサーバ、ウェブサーバ、ウェブサービスなどがあるが、どのようなシステムであってもよい。
収集部2は、収集したデータに含まれるコンテキスト変数をコンテキストデータベース3に保存する。また、収集部2は、収集したデータに含まれるコンテンツ変数をコンテンツデータベース4に保存する。あらかじめ外部の装置で変数に対しコンテキスト変数またはコンテンツ変数のラベル付けを行ってもよい。
また、収集部2で変数をコンテキスト変数またはコンテンツ変数に分類してもよい。変数の分類は、センサに付与された名称やデータ系列名などをパターンマッチングや自然言語処理などによって解析して行ってもよい。例えば、名称に“config”、“status”などの文字列を含む変数は装置の設定や状態に関係している可能性が高いため、コンテキスト変数に分類することができる。各センサに関するメタ情報を解析し、変数の分類を行ってもよい。メタ情報の形式は特に問わない。
また、特定の取得先のデータがいずれかの種類の変数のみを含む場合には、データの取得先のアドレスや識別子に基づき分類を行ってもよい。例えば、空調機器の異常検知において、外気温や天気は空調機器の動作条件を示す変数に該当する。条件を示す変数はコンテキスト変数であるため、気象情報を提供する、観測機関のサーバのドメイン名やIPアドレスから得られた変数をすべてコンテキスト変数に分類することができる。変数の分類に係る設定の一部またはすべてを手動で行ってもよい。センサやデータ系列にセンサIDなどの一意的な識別子が付与されていれば、当該識別子に基づき分類設定を行うことができる。
図2〜図5は、収集部2により収集されたデータの例を示している。図2、図3はある電子機器から取得されたデータである。図2、図3のテーブルには、計測時刻ごとに各変数がとる値が格納されている。図2、図3の計測時刻は「時間:分」形式で示されているが、年、月、秒、ミリ秒などの情報を含んでいてもよい。図2、図3にはそれぞれn個の時刻における変数の値が格納されている。図2、図3のテーブルにおけるそれぞれの行は、計測時刻が同一である変数をまとめたものになっている。以降では、同一時刻に得られた変数をまとめたものをレコードと呼ぶものとする。図2、図3のテーブルはそれぞれn個のレコードを含んでいる。
図2は電子機器のステータス情報に係るセンサの値である。図3は、電子機器の物理センサの計測値である。図2のテーブルは、スイッチAの操作状態や回路ブロックBの電源状態などを含んでおり、コンテキストデータに相当する。図2のコンテキストデータは、m個のコンテキスト変数を含んでいる。一方、図3のテーブルは電子機器の異常動作を判定するときに使われる電圧Cや電圧Dの計測値を含んでいるため、コンテンツデータに相当する。図3のコンテンツデータは、l(小文字のL)個のコンテンツ変数を含んでいる。
図3のコンテンツデータでは、時刻0:01に電圧Cが2.0Vと他の時刻に比べ高くなっている。しかし、図2のコンテキストデータを参照すると、同じ時刻0:01にスイッチAが押下されたことがわかる。したがって、時刻0:01で検出された電圧変動は電子機器の異常動作ではなく、スイッチの操作に起因していると推定される。
また、図3のコンテンツデータでは、時刻0:04に電流Dが25mA、時刻0:05に電流Dが23mAとなっており、電流値が7〜8mAである他の時刻に比べて高くなっている。しかし、図2のコンテキストデータを参照すると、時刻0:04、0:05に他の時刻ではOFFになっていた回路ブロックBがONになっていることがわかる。したがって、電流の増加は電子機器の異常動作ではなく、回路ブロックBがONにされ、回路のインピーダンスなどが変化したために起こったと推定される。
図2、図3のようにコンテキスト変数とコンテンツ変数に分類されたデータを使うと電子機器の文脈的異常検知を行うことができる。
図4、図5はあるビルの空調機器を監視するために収集されたデータである。図4、図5のテーブルには、計測時刻ごとに変数の値が格納されている。図2、図3の計測時刻は「時間:分」の形式で示されているが、年、月、秒、ミリ秒などの情報を含んでいてもよい。図4、図5のテーブルは、それぞれn個のレコードを含んでいる。
図4のテーブルは、空調機器の設定温度と、ビルの近隣にある観測所における外気温と天気などを格納している。これらの変数は、空調機器の設定や動作条件を示しているため、図4はコンテキストデータに相当する。図4には示されていないが、自動運転、冷房/暖房、除湿など、動作モードの設定情報もコンテキスト変数に分類される。
図5のテーブルは、空調機器が設置されている部屋の室内温度と、空調機器の消費電力などが格納されている。室内温度から空調機器の冷暖房効果を確認することができる。空調機器の消費電力から、空調機器の稼働状態を確認することができる。また、室内温度と消費電力の比較を行うことも可能である。例えば、冷房運転時において空調機器の消費電力が大きいのにも関わらず、室内温度が下がらない場合には、空調機器の故障を疑うことができる。図5は、値に基づき異常を検知可能な変数を格納しており、図5のテーブルはコンテンツデータであることがわかる。
図5のコンテンツデータでは、時刻10:00に310Wであった消費電力が、時刻11:00において350Wに増加している。一方、図4のコンテキストデータを参照すると、時刻10:00に摂氏27度であった設定温度が時刻11:00に摂氏25度に下げられていることがわかる。したがって、時刻11:00における消費電力の増加は機器の異常ではなく、冷房の設定温度が下げられたことに起因していると推定される。
また、時刻15:00では330Wであった消費電力が、時刻16:00に290Wに減少している。大幅な消費電力の減少がある一方、時刻15:00に摂氏28.2度であった室内温度が時刻16:00で摂氏27.4度に低下している。時刻17:00では消費電力285Wに対し、室内温度が摂氏26.9度であり、消費電力が減っているのにも関わらず、さらに室内温度が低下している。冷房運転中の空調機器の消費電力は室内温度と負の相関関係にあるため、図5のデータでは一般に期待される変数のふるまいとは異なる傾向がみられる。
図4のコンテキストデータを参照すると、時刻14:00に天気が晴れから曇りに変わっている。さらに時刻15:00に天気が曇りから雨になっている。外気温は、時刻14:00の摂氏35.4度から摂氏27.9度、摂氏26.1度、摂氏24.7度と、大幅な気温低下が認められる。ビルの周辺の気象は、昼過ぎまで猛暑であったが、午後に寒冷前線を伴う低気圧が接近し、冷たい空気の中に激しい雨が降り出したことがわかる。ビルの外の気象が変化した一方、冷房の設定温度は25度で一定である。このような状況であれば、空調機器の消費電力低下と室内温度の低下が同時に発生しうるため、空調機器の異常は発生していないと推定することができる。
図2〜図5の例で示したように、データに含まれる変数をコンテキスト変数(文脈変数)とコンテンツ変数(内容変数)に分類すると、異常検知の精度を高めることができる。
コンテキストデータベース3は、各計測時刻におけるコンテキスト変数である、コンテキストデータを保存する。上述の図3、図5は、コンテキストデータの一例である。コンテキストデータは、装置やシステムごとに設けられたテーブルに記憶されていてもよいし、同じテーブルにまとめて記録されていてもよい。複数の装置やシステムのコンテキストデータを同じテーブルに記録する場合、各変数に対し、装置またはシステムに対応する識別子を付与する。
コンテキストデータは、文脈的異常検知における用途から、基準データ3aと判定対象データ3bに分けられる。例えば、基準データとして用いられるコンテキストデータと、判定対象データとして用いられるデータを異なるテーブルに格納する。また、用途ごとにテーブルを分けず、基準データとして用いられるデータと判定対象データとして用いられるデータを同一のデーブルに保存してもよい。この場合、基準データに係る開始時刻および終了時刻ならびに判定対象データに係る開始時刻および終了時刻を管理し、両者を識別できるようにする。
基準データは、監視対象の装置やシステムが正常状態にあると推定される期間に取得されるデータである。例えば装置の保守点検やセンサの校正作業の直後や、装置がバスタブ曲線における初期故障期間を過ぎて偶発故障期間に入ったときに、装置は正常稼働している可能性が高い。したがって、このような期間に得られたデータを正常状態におけるデータと推定し、基準データとして用いることができる。
基準データに含まれるサンプル数は異常検知部6に適用される文脈的異常検知の手法に応じて決められる。
判定対象データとは、異常検知の対象とされるデータである。判定対象データは、基準データとは異なる期間に得られたデータであり、装置またはシステムの正常/異常状態の判定を行うもののことをいう。判定対象データに含まれるサンプル数は異常検知部6に適用される文脈的異常検知の手法に応じて決められる。
コンテンツデータベース4は、各計測時刻におけるコンテンツ変数である、コンテキストデータを保存する。上述の図2、図4は、コンテンツデータの一例である。コンテンツデータは、装置やシステムごとに設けられたテーブルに記憶されていてもよいし、同じテーブルにまとめて記録されていてもよい。複数の装置やシステムのコンテンツデータを同じテーブルに記録する場合、各変数に対し、装置またはシステムに対応する識別子を付与する。
コンテンツデータも、コンテキストデータと同様に基準データ4aと判定対象データ4bに分けられる。基準データとして用いられるコンテンツデータと、判定対象データとして用いられるコンテンツデータは、同一のテーブルに格納されてもよいし、別々のテーブルに格納されてもよい。
本実施形態では、コンテキストデータとコンテンツデータを異なるテーブルに分けて記憶したが、コンテキストデータとコンテンツデータを同じテーブルに記憶してもよい。この場合、それぞれの変数にデータの分類を示す識別子を付与する。ここまで、複数のデータの保存形式について説明したが、コンテキストデータと、コンテンツデータが行列として表現可能な形式で保存されているのであれば、どのような形式を用いてもよい。
変数選択部5は、基準データと判定対象データの間の識別に寄与する程度(識別寄与度)を計算し、計算結果に基づき、異常検知部6における文脈的異常検知で使用する変数を選択する。異常検知部6は、変数選択部5で選択された変数を使って、文脈的異常検知を行う。コンテキスト変数については、識別寄与度が大きいものが異常検知における使用対象から除外される。なお、本実施形態に係る変数選択部はすべてのコンテンツ変数を文脈的異常検知で使用する変数として選択するものとする。
あるコンテキスト変数の値、ふるまいなどが基準データと判定対象データで大きくことなっている場合、当該コンテキスト変数の識別寄与度は大きくなる。コンテキスト変数の識別寄与度が大きい場合、基準データと判定対象データは異なる条件、状況や背景など(context:コンテキスト)で得られたデータであるとみなすことができる。
基準データと判定対象データで異なる挙動を示しているコンテキスト変数を含めて文脈的異常検知を行おうとすると、当該コンテキスト変数の値の違いが過分に反映され、判定が行われてしまう。その結果、判定において真に異常兆候を示唆するその他の変数のふるまいが充分に反映されなくなる。したがって、異常検知において異常の誤検知や見逃しが発生する確率が高まってしまう。文脈的異常検知の精度を高めるためには、識別寄与度の大きいコンテキスト変数があれば、異常検知を行う前に当該コンテキスト変数を除去し、識別寄与度が小さいコンテキスト変数を選択するのが効果的である。
識別寄与度の大きいコンテキスト変数を除去することにより、基準データと判定対象データで計測条件に違いがある中でも、基準データと判定対象データで共通している条件に基づいて文脈的異常検知を行うことができる。
次に、変数選択処理の詳細について説明する。コンテンツデータと、コンテキストデータを使って行列計算をすることにより、変数選択処理が実行される。以降では「データ」といった場合、コンテンツデータとコンテキストデータの両方を示すものとする。また、単に「変数」といった場合、コンテンツ変数とコンテキスト変数の両方を示すものとする。最初に、変数の表記について説明する。
各時刻におけるコンテキストデータを下記の式(1)のようなベクトルで表現することができる。
Figure 2019121162
 それぞれのbはコンテキスト変数(文脈変数)であり、条件、状況や背景などを示す設定値や計測値に相当する。式(1)のベクトルは、b〜bのm個のコンテキスト変数を含んでいる。式(1)のベクトルは、図2、図4におけるレコードに相当する。
変数選択処理では、データを用途に基づき基準データと判定対象データに分けている。基準データと判定対象データを識別するため、ベクトルに添え字を付ける。基準データに係るベクトルにはaの添え字を付与し、判定対象データに係るベクトルにはhの添え字を付与するものとする。したがって、ベクトルxを下記の式(2)のように区別する。
Figure 2019121162
 ここで、ba1とbh1、ba1とbh1はそれぞれ同一のコンテキスト変数であるが、異なる期間に得られた変数であることを明確にするため、aまたはhの添え字で区別している。
データは、複数の時刻における変数を含んでいる。異なる時刻に得られたコンテキスト変数を区別するため、さらに添え字を追加する。下記の式(3)では複数の時刻に係るコンテキスト変数のベクトルが示されている。
Figure 2019121162
式(3)の下付き添え字{1、a}、{2、a}、{3、a}、{1、h}、{2、h}、{3、h}にある数字は、ベクトル内の変数が得られた時刻を区別している。式(3)では、{n、a}の添え字から、基準データはn個の時刻における変数の値を含んでいることがわかる。また、{n、h}の添え字から、判定対象データについてはn個の時刻における変数の値を含んでいることがわかる。
次に、上述の表記を用いて第1の実施形態に係る変数選択処理を説明する。
基準データとして用いられるコンテキスト変数の複数のレコードを、下記の式(4)のようなn×m次元の行列Xの形式に集約して表記することができる。
Figure 2019121162
また、下記の式(5)のような全要素の値が1のn次元の列ベクトルYを定義する。
Figure 2019121162
式(4)と同様に、判定対象データとして用いられるコンテキスト変数の複数のレコードを、下記の式(6)のようなn×m次元の行列Xの形式に集約して表記することができる。
Figure 2019121162
また、下記の式(7)のような、全要素の値が0のn次元の列ベクトルYを定義する。
Figure 2019121162
次に、行列Xと行列Xを行方向に連結し、下記の式(8)の行列Xを生成する。
Figure 2019121162
また、列ベクトルYとYを連結し、下記の式(9)のベクトルYを生成する。
Figure 2019121162
行列Xと、ベクトルYの準備ができたら、行列Xを説明変数とし、ベクトルYを目的変数とし、それぞれのコンテキスト変数の識別寄与度を計算する。識別寄与度は例えば、ランダムフォレストなどの識別器を使って求めることができる。ランダムフォレストを使った場合、識別寄与度はランダムフォレストにおける変数の重要度に相当する。
ランダムフォレストでは、訓練用のデータから重複を許してランダムにレコードを選択し、ブートストラップ標本を生成する処理と、生成したブートストラップ標本を使い、木を生成する処理を繰り返し行う。このとき訓練用データのうち、約1/3のレコード(out−of−bag data:以降ではoobデータと記す。)が木の生成に使われずに残る。
Permutation importanceによる変数の重要度は、上述のoobデータを使って算出される。まず、それぞれのoobデータを対応する木に適用し、変数が正しく分類されている回数を求める。次に、それぞれのoobデータにおける変数の値をランダムに並び替え、対応する木に適用し、変数が正しく分類されている回数を求める。ランダムフォレスト全体について、元のoobデータにおける正解数と並び替え後のoobデータにおける正解数の差の平均値は、Permutation importanceの値となる。
それぞれの変数について、標準偏差で正規化したPermutation importanceを使ってもよい。変数の値を並び替えた後のoobデータにおける正解率が元のoobデータにおける正解率より大きく低下している場合、当該変数の分類における影響度は大きいと推定される。
変数の重要度をジニ係数に基づき計算することもできる。ジニ係数はデータの不純度を示しており、ジニ係数の値が大きいほど、データが未分類であるといえる。したがって、データの分割前後におけるジニ係数の減少量が大きい変数は、重要度が大きいと推定される。それぞれの変数について、ランダムフォレストに含まれるすべての木についてジニ係数の減少量を加算すると、各変数の重要度を求めることができる。この方法により求められた重要度(識別寄与度)はGini Importanceと呼ばれる。
上述では、識別器としてランダムフォレストを使う場合を説明したが、これは一例にしか過ぎない。例えば、Adaboostなどその他の種類のアンサンブル学習を使って識別を行ってもよく、変数の分類が可能なのであれば、適用する機械学習の手法やアルゴリズムについては特に問わない。また、変数の重要度(識別寄与度)として、Gini ImportanceやPermutation importance以外の指標を使うことを妨げるものではない。
各コンテキスト変数について、識別寄与度を計算したら、各コンテキスト変数の識別寄与度をしきい値と比較する。コンテキスト変数の識別寄与度がしきい値より大きい場合、当該コンテキスト変数を文脈的異常検知で使用する変数から除外する。一方、コンテキスト変数の識別寄与度がしきい値以下である場合、当該コンテキスト変数は文脈的異常検知で使用する変数として選択される。この判定で用いるしきい値の決め方については特に問わない。例えば、全コンテキスト変数の識別寄与度の平均値をしきい値として使うことが考えられる。
以上で変数選択処理は完了する。変数選択部5は、後述する記憶装置105に選択されなかったコンテキスト変数に係る情報または選択されたコンテキスト変数に係る情報を保存してもよい。また、異常検知部6に、選択されなかったコンテキスト変数に係る情報または選択されたコンテキスト変数に係る情報を送信してもよい。異常検知部6は変数選択処理で選択されなかったコンテキスト変数を使用対象から除外して文脈的異常検知を行う。なお、本実施形態では、すべてのコンテンツ変数が選択されるため、異常検知部6はすべてのコンテンツ変数を使って文脈的異常検知を行う。
異常検知部6は、変数選択部5で選択された変数に基づき、文脈的異常検知を行う。異常検知部6は、コンテキスト変数とコンテンツ変数を含む基準データを正常データとして、コンテキスト変数とコンテンツ変数を含む判定対象データの文脈的異常検知を行う。異常検知部6では、正常データを使って異常検知が可能な方法を使って、文脈的異常検知を実行する。なお、文脈的異常検知の実行前にデータの学習が必要である場合、異常検知部6でデータの学習を行ってもよい。
正常データを使って異常検知を行う手法の例としては、ニューラルネットワークが挙げられる。ニューラルネットワークによる異常検知を行う場合、正常データであるとみなされる基準データを使ってニューラルネットワークの学習を行う。そして、学習したニューラルネットワークを使い、判定対象データの文脈的異常検知を行う。使用するニューラルネットワークの種類や層の数については特に限定しない。
他に、正常データを使って異常検知が可能な手法の例として、正常データの確率密度と判定対象データの確率密度の比を推定する確率密度比推定を使ったものが挙げられる。このような確率密度比に基づく異常検知を行う場合、基準データと判定対象データの確率密度比が1から離れているほど異常の度合が大きいと推定する。
上述のニューラルネットワークや確率密度比により異常検知は文脈的異常検知の例であり、その他の手法やモデルを使って文脈的異常検知を行ってもよい。異常検知部6は、文脈的異常検知の結果を記憶装置105に保存する。ここで、文脈的異常検知結果の保存形式の例としては、テキスト、バイナリ、CSV、XMLなどがあるが、形式については特に問わない。文脈的異常検知結果をテキストやグラフィックに変換可能な形式で保存すれば、表示部7は文脈的異常検知の結果をディスプレイに表示することができる。
表示部7は、異常検知部6が生成した文脈的異常検知結果を、所定の形式を有する画像データやテキストデータに変換し、後述する表示装置103に出力する。表示部7では文脈的異常検知の結果の他に、変数選択部5によるデータ前処理結果を表示してもよい。
図6は、表示装置103に表示されたデータの前処理結果および文脈的異常検知結果の例を示している。図6上段には、データ前処理結果が示されている。そして、図6下段には、文脈的異常検知の結果が示されている。図6の例は、空調機器に対して文脈的異常検知を行った場合の表示内容であるため、あるエアコンの点検を促す旨のメッセージが表示されている。本実施形態に係る監視装置はどのような装置やシステムに対して適用してもよく、メッセージの内容を装置やシステムの種類に応じて変更することができる。
例えば、情報システムへの標的型攻撃、DoS攻撃、マルウェア、侵入などを文脈的異常検知により検知する場合、情報システムに対する攻撃が行われた旨のメッセージに加え、セキュリティ対策ソフトウェアやアプライアンスなどによって所定のネットワーク切断、機能の停止、ボートの使用禁止、アクセス遮断などの措置がとられた旨のメッセージを表示してもよい。
次に、本実施形態に係る監視装置のハードウェア構成について説明する。本実施形態に係る監視装置は、コンピュータ100により構成される。コンピュータ100には、サーバ、クライアント端末、マイコン、タブレット、スマートフォン、パソコン、汎用コンピュータなど各種の情報処理装置が含まれる。
図7は、コンピュータ100の一例を示す図である。図7のコンピュータ100は、プロセッサ101と、入力装置102と、表示装置103と、通信装置104と、記憶装置105とを備える。プロセッサ101、入力装置102、表示装置103、通信装置104、記憶装置105は、バス106により相互に接続されている。
プロセッサ101は、コンピュータ100の制御装置と演算装置を含む電子回路である。プロセッサ101として、例えば、汎用目的プロセッサ、中央処理装置(CPU)、マイクロプロセッサ、デジタル信号プロセッサ(DSP)、コントローラ、マイクロコントローラ、状態マシン、特定用途向け集積回路、フィールドプログラマブルゲートアレイ(FPGA)、プログラム可能論理回路(PLD)またはこれらの組合せを用いることができる。
プロセッサ101は、バス106を介して接続された各装置(例えば、入力装置102、通信装置104、記憶装置105)から入力されたデータやプログラムに基づいて演算処理を行い、演算結果や制御信号を、バス106を介して接続された各装置(例えば、表示装置103、通信装置104、記憶装置105)に出力する。具体的には、プロセッサ101は、コンピュータ100のOS(オペレーティングシステム)や、監視プログラムなどを実行し、コンピュータ100を構成する各装置を制御する。
監視プログラムとは、コンピュータ100に、監視装置の上述の各機能や構成要素を実現させるプログラムである。監視プログラムは、一時的でない有形のコンピュータ読み取り可能な記憶媒体に記憶される。上記の記憶媒体は、例えば、光ディスク、光磁気ディスク、磁気ディスク、磁気テープ、フラッシュメモリ、半導体メモリであるが、これに限られない。プロセッサ101が監視プログラムを実行することにより、コンピュータ100が監視装置として機能する。
入力装置102は、コンピュータ100に情報を入力するための装置である。入力装置102は、例えば、キーボード、マウス、タッチパネルなどであるが、これに限られない。ユーザは、入力装置102を用いることにより、文脈的異常検知(監視)を行うセンサや装置などの指定、コンテキスト変数とコンテンツ変数に係る分類の指定、基準データに係る期間の指定、判定対象期間の指定、変数選択処理で使用する手法の選択、文脈的異常検知処理の開始指令などを入力することができる。
表示装置103は、画像や映像を表示するための装置である。表示装置103は、例えば、LCD(液晶ディスプレイ)、CRT(ブラウン管)、有機EL(有機エレクトロルミネッセンス)ディスプレイなどであるが、これに限られない。表示装置103には、上述のように判定結果として、データ前処理の結果や異常が検知された箇所などが表示される。
通信装置104は、コンピュータ100が外部装置と無線または有線で通信するための装置である。通信装置104は、例えば、NIC(Network Interface Card)、通信モジュール、モデム、ハブ、ルータなどであるが、これに限られない。収集部2は、通信装置104を介して、センサが設置された建物などから計測値データを遠隔収集してもよい。
記憶装置105は、コンピュータ100のOSや、監視プログラム、監視プログラムの実行に必要なデータ、監視プログラムの実行により生成されたデータなどを記憶する記憶媒体である。記憶装置105には、主記憶装置と外部記憶装置が含まれる。主記憶装置は、例えば、RAM、DRAM、SRAMであるが、これに限られない。また、外部記憶装置は、例えば、ハードディスク、光ディスク、フラッシュメモリ、磁気テープなどであるが、これに限られない。コンテキストデータベース3、コンテンツデータベース4は、記憶装置105上に構築されてもよいし、外部のサーバやストレージ上に構築されてもよい。
なお、コンピュータ100は、プロセッサ101、入力装置102、表示装置103、通信装置104、記憶装置105を、それぞれ1つずつまたは複数備えてもよいし、プリンタやスキャナなどの周辺機器を接続されていてもよい。
また、監視装置は、単一のコンピュータ100により構成されてもよいし、相互に接続された複数のコンピュータ100からなるシステムとして構成されてもよい。
さらに、監視プログラムは、コンピュータ100の記憶装置105に予め記憶されていてもよいし、コンピュータ100の外部の記憶媒体に記憶されていてもよいし、インターネット上にアップロードされていてもよい。いずれの場合も、監視プログラムをコンピュータ100にインストールして実行することにより、監視装置の機能が実現される。
(第2の実施形態)
第1の実施形態に係る監視装置では、アンサンブル学習などの機械学習により、識別寄与度を計算し、それぞれの変数の識別寄与度に基づいて変数選択処理を実行していた。基準データとして用いられるコンテキスト変数と、判定対象データとして用いられるコンテキスト変数に対して統計的検定を行い、検定結果に基づき変数選択を行ってもよい。
第2の実施形態に係る変数選択処理では、変数について一切の前提を設けず、特定の分布を仮定しないノンパラメトリックな検定手法を用いることができる。ノンパラメトリックな検定手法の例としてはマン・ホイットニーのU検定(Mann−Whitney Utest)などがあるが、その他の検定手法を用いてもよい。また、使用する検定手法は必ずノンパラメトリックな検定手法でなくてもよい。
基準データの行列Xである式(4)の要素を明示すると、下記の式(10)のようになる。
Figure 2019121162
一方、判定対象データの行列Xである式(6)の要素を明示すると、下記の式(11)のようになる。
Figure 2019121162
式(10)、(11)の各行は、各時刻で得られたコンテキスト変数のレコードに相当する。一方、式(10)、(11)の各列は、複数の時刻における、ひとつのコンテキスト変数の値に相当する。式(10)の行列Xと式(11)の行列Xはいずれもm個のコンテキスト変数を含んでいる。
本実施形態に係る変数選択部は、行列Xと行列Xから同じコンテキスト変数に係る列を抽出する。そして、それぞれの列について統計的検定を行い、有意差が存在する場合には、当該コンテキスト変数を、文脈的異常検知の使用対象から除外する。すなわち、有意差が存在しないコンテキスト変数を、文脈的異常検知で使用するコンテキスト変数に選択する。この処理をすべてのコンテキスト変数に係る列について実行することにより、文脈的異常検知に使用するコンテキスト変数を選択することができる。
変数選択部で実行される処理が異なる点を除けば、第2の実施形態に係る監視装置の機能および構成は、第1の実施形態に係る監視装置と同様である。
(第3の実施形態)
上述の各実施形態に係る監視装置では、コンテキスト変数(文脈変数)についてのみ変数選択を行っており、コンテンツ変数については、すべてのコンテンツ変数を選択して文脈的異常検知を行っていた。しかし、さらにコンテンツ変数(内容変数)の変数選択を行ってもよい。第3の実施形態に係る変数選択部は、コンテキスト変数の変数選択をした後、コンテンツ変数の変数選択を実行する。コンテキスト変数の変数選択処理については、第1の実施形態または第2の実施形態で説明した方法のいずれを用いてもよい。
本実施形態に係る変数選択部の処理を説明する前に、変数の表記について説明する。下記の式(12)は、基準データとして用いられるコンテンツ変数の行列Zである。
Figure 2019121162
本実施形態に係る変数選択部の処理を説明する前に、変数の表記について説明する。下記の式(13)は、判定対象データとして用いられるコンテンツ変数の行列Zである。
Figure 2019121162
式(12)の行列Zと式(13)のZの各行は、各時刻で得られたコンテンツ変数のレコードに相当する。一方、行列Za、の各列は、複数の時刻における、ひとつのコンテンツ変数の値に相当する。行列Za、はいずれもl(小文字のL)個のコンテンツ変数を含んでいる。
次に、変数選択後のコンテキストデータの表記について説明する。下記の式(14)は基準データとして使われるコンテキストデータである。式(14)は変数選択が行われた後のデータであるため、列の数を示す記号としてmが使われている。
Figure 2019121162
一方、下記の式(15)は判定対象データとして使われるコンテキストデータである。式(15)も変数選択が行われた後のデータであるため、列の数を示す記号としてmが使われている。
Figure 2019121162
式(14)、(15)で、それぞれの行は変数選択部で除外されなかったコンテキスト変数である。列の数mについては、変数選択前の列の数をmとすると、m≦mの関係が成り立つ。以降では、上述の表記を用いて、第3の実施形態に係る変数選択処理について説明する。
まず、行列X と行列Zを列方向に連結し、下記の式(16)に示した行列Wを生成する。
Figure 2019121162
同様に、行列X と行列Zを列方向に連結し、下記の式(17)に示した行列Wを生成する。
Figure 2019121162
そして、行列Wと行列Wを行方向に連結し、下記の式(18)に示した行列Wを生成する。
Figure 2019121162
次に、式(18)の行列Wを説明変数、式(9)のベクトルYを目的変数とし、それぞれのコンテンツ変数sの識別寄与度(重要度)を計算する。識別寄与度は第1の実施形態における変数選択処理と同様、ランダムフォレストやAdaboostなどの識別器を使って求めることができる。分類が可能なのであれば、適用する機械学習の手法やモデルについては特に問わない。識別寄与度を示す指標として、例えばPermutation importanceや、Gini Importanceなどを使うことができるが、その他の指標を使ってもよい。
各コンテンツ変数sについて、識別寄与度を計算したら、各コンテンツ変数の識別寄与度をしきい値と比較する。コンテンツ変数の識別寄与度がしきい値より小さい場合、当該コンテンツ変数を文脈的異常検知で使用する変数から除外する。一方、コンテンツ変数の識別寄与度がしきい値以上である場合、当該コンテンツ変数は文脈的異常検知で使用する変数として選択される。この判定で用いるしきい値の決め方については特に問わない。例えば、全コンテンツ変数の識別寄与度の平均値をしきい値として使うことが考えられる。
基準データと判定対象データとの間で挙動が類似したコンテンツ変数の識別寄与度(分類における重要度)は小さくなる。基準データと判定対象データとの間で似たふるまいや、近い値を示しているコンテンツ変数を含めて文脈異常検知を行っても、正常/異常の判定に寄与するところが少なく、却って判定精度を低下させるおそれすらある。したがって、識別寄与度の小さいコンテンツ変数を使用対象から外すことにより、文脈的異常検知の精度を改善することができる。また、異常検知部に入力される変数の数が減れば、文脈的異常検知における処理負荷が軽減される。
以上で第3の実施形態に係る変数選択処理は完了する。変数選択部は、記憶装置105に選択されなかった変数に係る情報または選択された変数に係る情報を保存してもよい。また、異常検知部に、選択されなかった変数に係る情報または選択された変数に係る情報を送信してもよい。異常検知部は変数選択処理で選択された変数(コンテキスト変数およびコンテンツ変数)を使う一方、変数選択処理で選択されなかった変数(コンテキスト変数およびコンテンツ変数)を除外して、文脈的異常検知を行う。
変数選択部で実行される処理が異なる点を除けば、第3の実施形態に係る監視装置の機能および構成は、上述の各実施形態に係る監視装置と同様である。なお、図6のデータの前処理結果および文脈的異常検知結果の例では、コンテキスト変数のみならず、一部のコンテンツ変数も選択から除外されている。したがって、図6の画面は第3の実施形態に係る監視装置により生成され、出力されたものであることがわかる。
本発明の実施形態に係る監視装置全体の処理を説明する。図8は、監視装置による処理の例を示したフローチャートである。以下では、図8を参照しながら処理を説明する。
まず、データをコンテンツ変数とコンテキスト変数に分類する。(ステップS101)ステップS101におけるデータとは、監視装置に入力されるデータのことをいう。コンテンツ変数とコンテキスト変数に分類された後のデータを入力データとよぶものとする。変数の分類処理の詳細は、収集部2に係る説明で述べた通りである。
次に基準データと判定対象データを用意する。(ステップS102)基準データと判定対象データの定義については、コンテキストデータベース3に係る説明で述べた通りである。そして、基準データと判定対象データに基づき、変数選択処理を行う。(ステップS103)変数選択部による変数選択処理は上述の各実施形態のいずれの処理を用いてもよい。変数選択処理の詳細は変数選択部5および上述の各実施形態の説明で述べた通りである。
そして、選択された変数を使って、判定対象データの文脈的異常検知を実行する。(ステップS104)文脈的異常検知に係る処理の詳細は異常検知部6の説明で述べた通りである。最後に、監視装置は変数選択の結果および文脈的異常検知を表示する。(ステップS105)
なお、本発明は上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素を適宜組み合わせることによって種々の発明を形成できる。また例えば、各実施形態に示される全構成要素からいくつかの構成要素を削除した構成も考えられる。さらに、異なる実施形態に記載した構成要素を適宜組み合わせてもよい。
1 監視装置
2 収集部
3 コンテキストデータベース
3a、4a 基準データ
3b、4b 判定対象データ
4 コンテンツデータベース
5 変数選択部
6 異常検知部
7 表示部
10 電気通信回線
100 コンピュータ
101 プロセッサ
102 入力装置
103 表示装置
104 通信装置
105 記憶装置
106 バス

Claims (16)

  1. 異常の検知対象となるコンテンツ変数と、前記コンテンツ変数が得られた条件を示すコンテキスト変数とを含む基準データと、前記コンテンツ変数と前記コンテキスト変数とを含む判定対象データに含まれる前記コンテキスト変数の値に基づき、前記判定対象データの異常検知を行うときに使用するコンテキスト変数を前記コンテキスト変数から選択する、変数選択部
    を備えた監視装置。
  2. 前記基準データは、前記検知対象が正常状態にある期間において得られたデータである、
    請求項1に記載の監視装置。
  3. 前記変数選択部は、前記基準データに係る前記コンテキスト変数と前記判定対象データに係る前記コンテキスト変数を結合した第1データについて、分類を実行し、計算された重要度が第1しきい値以下となった前記コンテキスト変数を、前記異常検知で使用する前記コンテキスト変数に選択する、
    請求項1または2に記載の監視装置。
  4. 前記変数選択部は、前記異常検知に使用される前記コンテキスト変数と、前記基準データに係る前記コンテンツ変数と前記判定対象データに係る前記コンテンツ変数を結合した第2データについて、分類を実行し、計算された重要度が第2しきい値以上となった前記コンテンツ変数を、前記異常検知で使用する前記コンテンツ変数に選択する、
    請求項3に記載の監視装置。
  5. 前記変数選択部は、アンサンブル学習によって前記分類を実行する、
    請求項3または4に記載の監視装置。
  6. 前記アンサンブル学習はランダムフォレストである、
    請求項5に記載の監視装置。
  7. 前記変数選択部が計算する、前記重要度はPermutation importanceまたはGini Importanceのいずれかである、
    請求項3ないし6のいずれか一項に記載の監視装置。
  8. 前記変数選択部は、前記基準データと前記判定対象データにおける同一の前記コンテキスト変数について統計的検定を行い、有意差がない前記コンテキスト変数を、前記異常検知で使用する前記コンテキスト変数に選択する、
    請求項1または2に記載の監視装置。
  9. 前記統計的検定はノンパラメトリックな検定手法である、
    請求項8に記載の監視装置。
  10. 前記ノンパラメトリックな検定手法は、マン・ホイットニーのU検定である、
    請求項9に記載の監視装置。
  11. 前記基準データと前記判定対象データに含まれる変数について、前記コンテンツ変数と前記コンテキスト変数への分類を実行する、収集部を備えた
    請求項1ないし10のいずれか一項に記載の監視装置。
  12. 前記変数選択部が選択した、前記コンテキスト変数および前記コンテンツ変数を含み、前記変数選択部が選択しなかった、前記コンテキスト変数および前記コンテンツ変数が除外された前記基準データに基づき、前記変数選択部が選択した前記コンテキスト変数および前記コンテンツ変数を含み、前記変数選択部が選択しなかった前記コンテキスト変数および前記コンテンツ変数が除外された前記判定対象データの異常検知を実行する、異常検知部を備えた
    請求項1ないし11のいずれか一項に記載の監視装置。
  13. 前記異常検知部による異常検知結果を表示する、表示部を備えた
    請求項12に記載の監視装置。
  14. 前記表示部は、少なくとも前記変数選択部が選択しなかった前記コンテキスト変数または前記変数選択部が選択しなかった前記コンテンツ変数のいずれかを表示する、
    請求項13に記載の監視装置。
  15. 異常の検知対象となるコンテンツ変数と、前記コンテンツ変数が得られた条件を示すコンテキスト変数とを含む基準データと、前記コンテンツ変数と前記コンテキスト変数とを含む判定対象データに含まれる前記コンテキスト変数の値に基づき、前記判定対象データの異常検知を行うときに使用するコンテキスト変数を前記コンテキスト変数から選択するステップと、
    選択された、前記コンテキスト変数を含み、前記変数選択部が選択しなかった、前記コンテキスト変数が除外された前記基準データに基づき、前記変数選択部が選択した前記コンテキスト変数を含み、前記変数選択部が選択しなかった前記コンテキスト変数が除外された前記判定対象データの異常検知を実行するステップと、
    少なくとも選択されなかった前記コンテキスト変数または異常検知結果のいずれかを表示するステップと
    を含む監視方法。
  16. 異常の検知対象となるコンテンツ変数と、前記コンテンツ変数が得られた条件を示すコンテキスト変数とを含む基準データと、前記コンテンツ変数と前記コンテキスト変数とを含む判定対象データに含まれる前記コンテキスト変数の値に基づき、前記判定対象データの異常検知を行うときに使用するコンテキスト変数を前記コンテキスト変数から選択するステップと、
    選択された、前記コンテキスト変数を含み、前記変数選択部が選択しなかった、前記コンテキスト変数が除外された前記基準データに基づき、前記変数選択部が選択した前記コンテキスト変数を含み、前記変数選択部が選択しなかった前記コンテキスト変数が除外された前記判定対象データの異常検知を実行するステップと、
    少なくとも選択されなかった前記コンテキスト変数または異常検知結果のいずれかを表示するステップと
    をコンピュータに実行させる監視プログラム。
JP2018000286A 2018-01-04 2018-01-04 情報処理装置、情報処理方法及びコンピュータプログラム Active JP6871877B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018000286A JP6871877B2 (ja) 2018-01-04 2018-01-04 情報処理装置、情報処理方法及びコンピュータプログラム
US16/128,795 US11126519B2 (en) 2018-01-04 2018-09-12 Monitoring device, monitoring method and non-transitory storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018000286A JP6871877B2 (ja) 2018-01-04 2018-01-04 情報処理装置、情報処理方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2019121162A true JP2019121162A (ja) 2019-07-22
JP6871877B2 JP6871877B2 (ja) 2021-05-19

Family

ID=67057697

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018000286A Active JP6871877B2 (ja) 2018-01-04 2018-01-04 情報処理装置、情報処理方法及びコンピュータプログラム

Country Status (2)

Country Link
US (1) US11126519B2 (ja)
JP (1) JP6871877B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120214B1 (ko) * 2019-11-15 2020-06-08 (주)유엠로직스 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
JP2021059058A (ja) * 2019-10-07 2021-04-15 横浜ゴム株式会社 混練異常度学習装置、学習済モデルの生成方法及びプログラム
US11710500B2 (en) 2020-06-15 2023-07-25 Hitachi, Ltd. Abnormality degree calculation system and method

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200410373A1 (en) * 2019-06-27 2020-12-31 Mohamad Zaim BIN AWANG PON Predictive analytic method for pattern and trend recognition in datasets
US11941502B2 (en) * 2019-09-04 2024-03-26 Optum Services (Ireland) Limited Manifold-anomaly detection with axis parallel
WO2021084286A1 (en) * 2019-10-30 2021-05-06 Citrix Systems, Inc. Root cause analysis in multivariate unsupervised anomaly detection

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07181097A (ja) * 1993-12-24 1995-07-18 Mitsui Toatsu Chem Inc 微少漏洩ガス雰囲気下での新規漏洩源の検知方法
JPH0830323A (ja) * 1994-07-20 1996-02-02 Hitachi Ltd 制御方法及び制御装置
JP2004169989A (ja) * 2002-11-20 2004-06-17 Daikin Ind Ltd 異常診断システム
JP2006319220A (ja) * 2005-05-13 2006-11-24 Sharp Corp 異常設備推定装置、異常設備推定方法、異常設備推定プログラム、および、記録媒体
JP2008204282A (ja) * 2007-02-21 2008-09-04 Toshiba Mitsubishi-Electric Industrial System Corp プロセスデータ予測システム及びそれを用いたプロセス管理装置
JP2010191556A (ja) * 2009-02-17 2010-09-02 Hitachi Ltd 異常検知方法及び異常検知システム
JP2014186402A (ja) * 2013-03-21 2014-10-02 Toshiba Corp 生活見守り支援装置
WO2017011734A1 (en) * 2015-07-16 2017-01-19 Falkonry Inc. Machine learning of physical conditions based on abstract relations and sparse labels
JP2017120504A (ja) * 2015-12-28 2017-07-06 川崎重工業株式会社 プラント異常監視方法およびプラント異常監視用のコンピュータプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080201299A1 (en) * 2004-06-30 2008-08-21 Nokia Corporation Method and System for Managing Metadata
US10354760B1 (en) * 2005-10-18 2019-07-16 At&T Intellectual Property Ii, L.P. Tool for visual exploration of medical data
US7647285B2 (en) * 2005-11-04 2010-01-12 Microsoft Corporation Tools for health and wellness
JP5067542B2 (ja) 2007-04-27 2012-11-07 オムロン株式会社 複合情報処理装置、複合情報処理方法、プログラム、および記録媒体
JP5808605B2 (ja) 2011-08-17 2015-11-10 株式会社日立製作所 異常検知・診断方法、および異常検知・診断システム
GB2500388B (en) 2012-03-19 2019-07-31 Ge Aviat Systems Ltd System monitoring
JP2015076058A (ja) 2013-10-11 2015-04-20 株式会社日立製作所 設備の監視診断装置
JP5956094B1 (ja) 2015-03-10 2016-07-20 三菱化学エンジニアリング株式会社 製造プロセスの解析方法
US20160328654A1 (en) * 2015-05-04 2016-11-10 Agt International Gmbh Anomaly detection for context-dependent data

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07181097A (ja) * 1993-12-24 1995-07-18 Mitsui Toatsu Chem Inc 微少漏洩ガス雰囲気下での新規漏洩源の検知方法
JPH0830323A (ja) * 1994-07-20 1996-02-02 Hitachi Ltd 制御方法及び制御装置
JP2004169989A (ja) * 2002-11-20 2004-06-17 Daikin Ind Ltd 異常診断システム
JP2006319220A (ja) * 2005-05-13 2006-11-24 Sharp Corp 異常設備推定装置、異常設備推定方法、異常設備推定プログラム、および、記録媒体
JP2008204282A (ja) * 2007-02-21 2008-09-04 Toshiba Mitsubishi-Electric Industrial System Corp プロセスデータ予測システム及びそれを用いたプロセス管理装置
JP2010191556A (ja) * 2009-02-17 2010-09-02 Hitachi Ltd 異常検知方法及び異常検知システム
JP2014186402A (ja) * 2013-03-21 2014-10-02 Toshiba Corp 生活見守り支援装置
WO2017011734A1 (en) * 2015-07-16 2017-01-19 Falkonry Inc. Machine learning of physical conditions based on abstract relations and sparse labels
JP2017120504A (ja) * 2015-12-28 2017-07-06 川崎重工業株式会社 プラント異常監視方法およびプラント異常監視用のコンピュータプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021059058A (ja) * 2019-10-07 2021-04-15 横浜ゴム株式会社 混練異常度学習装置、学習済モデルの生成方法及びプログラム
JP7372530B2 (ja) 2019-10-07 2023-11-01 横浜ゴム株式会社 混練異常度学習装置、学習済モデルの生成方法及びプログラム
KR102120214B1 (ko) * 2019-11-15 2020-06-08 (주)유엠로직스 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법
US11710500B2 (en) 2020-06-15 2023-07-25 Hitachi, Ltd. Abnormality degree calculation system and method

Also Published As

Publication number Publication date
US20190205234A1 (en) 2019-07-04
JP6871877B2 (ja) 2021-05-19
US11126519B2 (en) 2021-09-21

Similar Documents

Publication Publication Date Title
JP6871877B2 (ja) 情報処理装置、情報処理方法及びコンピュータプログラム
CN110113226B (zh) 一种检测设备异常的方法及装置
EP3346428A1 (en) Sensor design support apparatus, sensor design support method and computer program
CN111459700A (zh) 设备故障的诊断方法、诊断装置、诊断设备及存储介质
JP2019185422A (ja) 故障予知方法、故障予知装置および故障予知プログラム
US20200097351A1 (en) System and method for binned inter-quartile range analysis in anomaly detection of a data series
EP3364157A1 (en) Method and system of outlier detection in energy metering data
JP7285187B2 (ja) 履歴及び時系列の共同分析に基づく異常の特性評価のためのシステム及び方法
CN111741002B (zh) 一种网络入侵检测模型的训练方法和装置
JPWO2019239542A1 (ja) 異常検知装置、異常検知方法及び異常検知プログラム
CN111754241A (zh) 一种用户行为感知方法、装置、设备及介质
US20230144809A1 (en) Model operation support system and method
JP2019028834A (ja) 異常値診断装置、異常値診断方法、およびプログラム
CN114387762A (zh) 一种楼宇数据管理的方法、装置、设备及存储介质
CN113837596A (zh) 一种故障确定方法、装置、电子设备及存储介质
CN115145788A (zh) 一种针对智能运维***的检测数据生成方法和装置
CN113033639A (zh) 一种异常数据检测模型的训练方法、电子设备及存储介质
JP7322962B2 (ja) 生成方法、生成プログラムおよび情報処理装置
CN117149565A (zh) 云平台关键性能指标的状态检测方法、装置、设备及介质
JP7371694B2 (ja) 劣化検出方法、劣化検出プログラムおよび情報処理装置
CN113587362A (zh) 异常检测方法、装置及空调***
JP6712630B2 (ja) 異常監視装置、異常監視方法および異常監視プログラム
CN114155412A (zh) 深度学习模型迭代方法、装置、设备及存储介质
JP7136329B2 (ja) 異常検知装置、制御方法、及びプログラム
CN113869373A (zh) 设备异常检测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190819

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200626

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210416

R151 Written notification of patent or utility model registration

Ref document number: 6871877

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151