JP4745881B2 - Network status determination device, network status determination method, and network status determination program - Google Patents

Network status determination device, network status determination method, and network status determination program Download PDF

Info

Publication number
JP4745881B2
JP4745881B2 JP2006117453A JP2006117453A JP4745881B2 JP 4745881 B2 JP4745881 B2 JP 4745881B2 JP 2006117453 A JP2006117453 A JP 2006117453A JP 2006117453 A JP2006117453 A JP 2006117453A JP 4745881 B2 JP4745881 B2 JP 4745881B2
Authority
JP
Japan
Prior art keywords
feature amount
feature
steady state
network
steady
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006117453A
Other languages
Japanese (ja)
Other versions
JP2007295056A (en
Inventor
理華 河端
規郎 平井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006117453A priority Critical patent/JP4745881B2/en
Publication of JP2007295056A publication Critical patent/JP2007295056A/en
Application granted granted Critical
Publication of JP4745881B2 publication Critical patent/JP4745881B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、ネットワークの異常を検出するネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラムに関する。   The present invention relates to a network state determination device, a network state determination method, and a network state determination program for detecting a network abnormality.

従来のネットワークの異常検出手段は、ネットワークログ=時系列データを分析し異常を検出するが、過去のある期間の比較パラメータの総記録数に対する割合、平均値、標準偏差、相関度、頻度との比較によって分析対象の異常を判定していた(例えば、特許文献1)。   Conventional network anomaly detection means detects anomalies by analyzing network log = time-series data, but the ratio, average value, standard deviation, degree of correlation, and frequency of comparison parameters for a certain period in the past An abnormality to be analyzed was determined by comparison (for example, Patent Document 1).

また、ネットワークの通常状態におけるイベントを観測し分布データを作成し、ネットワークの運用時に作成した分布パターンとを比較し、この比較結果から異常を検出していた(例えば、特許文献2)。   In addition, an event in a normal state of the network is observed to create distribution data, compared with a distribution pattern created during network operation, and an abnormality is detected from the comparison result (for example, Patent Document 2).

このように従来のネットワークの異常検出手段は、通常状態との分析対象パラメータ値との比較で異常検出を行っているが、通常状態のログを入力として算出した閾値との比較であり、その閾値次第で異常検出精度が異なる課題があった。   As described above, the conventional network abnormality detection means performs abnormality detection by comparing the analysis target parameter value with the normal state, but the comparison with the threshold value calculated by using the log of the normal state as an input. There was a problem that the accuracy of abnormality detection differed depending on the situation.

また、ネットワークの状況は変化し続けており、通常状態を定義し直し続ける必要がある。通常状態を定義し直し、閾値を算出し直しても、異常の影響がバッググラウンドで長引いた場合などを考えると、その一定期間のデータの変動は落ち着いていても、通常=正常とは限らなくなる。この場合に異常状態が収束していったときのデータは通常とした状態のものとは異なるデータとなり異常と検出され、異常検出精度が低下するという課題があった。
特開2005−236862号公報 特開2005−244429号公報 Also, the network situation continues to change and it is necessary to keep redefining the normal state. Even if the normal state is redefined and the threshold value is calculated again, considering the case where the influence of the abnormality is prolonged in the background, even if the fluctuation of the data for a certain period of time has settled, it is not always normal = normal . In this case, there is a problem that data when the abnormal state converges is different from the data in the normal state and is detected as abnormal and the abnormality detection accuracy is lowered.
JP 2005-236862 A JP 2005-244429 A

この発明は、ネットワークの異常検出を精度高く行うことを目的とする。   An object of the present invention is to perform network abnormality detection with high accuracy.

この発明のネットワーク状態判定装置は、
ネットワークのログを収集するログ収集装置の収集した前記ログから前記ネットワークの所定期間の定常状態に対応する特徴量であるn次元(nは1以上の整数)の定常状態特徴量を複数抽出するとともに、前記ログに含まれるデータであって前記ネットワークの状態の判定に使用され、かつ前記定常状態の期間よりも後の所定期間のデータである判定対象データに対応する特徴量である判定対象データ特徴量をn次元の点を示す座標として抽出する抽出部と、
前記抽出部が抽出した複数の定常状態特徴量から前記複数の定常状態特徴量の分布する領域を示すn次元の特徴量領域を生成する特徴量領域生成部と、
前記特徴量領域生成部が生成した前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量との距離を算出する特徴間距離算出部と、
前記特徴間距離算出部が算出した距離に基づいて、前記ネットワークの状態を判定する判定部と
を備えたことを特徴とする。 The network state determination apparatus of the present invention
A plurality of n-dimensional (n is an integer greater than or equal to 1) steady-state feature quantities that are feature quantities corresponding to the steady-state state of the network for a predetermined period are extracted from the logs collected by a log collection device that collects network logs. The determination target data feature which is data included in the log and is used for determining the state of the network and is a feature amount corresponding to determination target data which is data in a predetermined period after the period of the steady state An extractor for extracting the quantity as coordinates indicating an n-dimensional point;
A feature amount region generation unit that generates an n-dimensional feature amount region indicating a region in which the plurality of steady state feature amounts are distributed from the plurality of steady state feature amounts extracted by the extraction unit;
An inter-feature distance calculation unit that calculates a distance between the feature amount region generated by the feature amount region generation unit and the determination target data feature amount extracted by the extraction unit;
And a determination unit that determines the state of the network based on the distance calculated by the inter-feature distance calculation unit.

この発明により、精度の高いネットワーク異常検出を実現することができる。   According to the present invention, highly accurate network abnormality detection can be realized.

実施の形態1.
図1は、コンピュータであるログ分析装置10(ネットワーク状態判定装置)の外観の一例を示す図である。図1において、ログ分析装置10は、システムユニット830、CRT(Cathode Ray Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key Board:K/B)、マウス815、FDD817(Flexible Disk Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。 Embodiment 1 FIG.
FIG. 1 is a diagram illustrating an example of an appearance of a log analysis device 10 (network state determination device) that is a computer. In FIG. 1, the log analysis apparatus 10 includes a system unit 830, a display device 813 having a CRT (Cathode Ray Tube) or LCD (liquid crystal) display screen, a keyboard 814 (Key Board: K / B), a mouse 815, an FDD 817 ( Hardware resources such as a flexible disk drive (CDD), a compact disk device 818 (CDD: Compact Disk Drive), and a printer device 819 are provided, and these are connected by cables and signal lines.

システムユニット830は、コンピュータであり、また、ネットワークに接続されている。ネットワークには、ログ収集装置20が接続されている。ログ分析装置10は、ネットワークを介してログ収集装置20と通信可能である。ログ分析装置10は、ログ収集装置20からログデータを取得する。   The system unit 830 is a computer and is connected to a network. A log collection device 20 is connected to the network. The log analysis device 10 can communicate with the log collection device 20 via a network. The log analysis device 10 acquires log data from the log collection device 20.

図2は、実施の形態1におけるログ分析装置10のハードウェア資源の一例を示す図である。図2において、ログ分析装置10は、プログラムを実行するCPU810(中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。   FIG. 2 is a diagram illustrating an example of hardware resources of the log analysis device 10 according to the first embodiment. In FIG. 2, the log analysis apparatus 10 includes a CPU 810 (also referred to as a central processing unit, a processing unit, an arithmetic unit, a microprocessor, a microcomputer, or a processor) that executes a program. The CPU 810 includes a ROM (Read Only Memory) 811, a RAM (Random Access Memory) 812, a display device 813, a keyboard 814, a mouse 815, a communication board 816, an FDD 817, a CDD 818, a printer device 819, and a magnetic disk device 820 via a bus 825. And control these hardware devices. Instead of the magnetic disk device 820, a storage device such as an optical disk device or a memory card read / write device may be used.

RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。   The RAM 812 is an example of a volatile memory. Storage media such as the ROM 811, the FDD 817, the CDD 818, and the magnetic disk device 820 are examples of nonvolatile memories. These are examples of a storage device, a storage unit, or a storage unit. The communication board 816, the keyboard 814, the FDD 817, and the like are examples of an input unit and an input device. The communication board 816, the display device 813, the printer device 819, and the like are examples of an output unit and an output device.

通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。   The communication board 816 is connected to a network (such as a LAN). The communication board 816 may be connected not only to the LAN but also to a WAN (wide area network) such as the Internet or ISDN.

磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。   The magnetic disk device 820 stores an operating system 821 (OS), a window system 822, a program group 823, and a file group 824. The programs in the program group 823 are executed by the CPU 810, the operating system 821, and the window system 822.

上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。   The program group 823 stores a program that executes a function described as “˜unit” in the description of the embodiment described below. The program is read and executed by the CPU 810.

ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。   The file group 824 includes “determination result”, “calculation result”, “extraction result”, “generation result”, and “processing result” in the description of the embodiment described below. Information, data, signal values, variable values, parameters, and the like are stored as items of “˜file” and “˜database”. The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 810 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. Used for CPU operations such as calculation, processing, output, printing, and display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the CPU operations of extraction, search, reference, comparison, operation, calculation, processing, output, printing, and display. Is remembered.

また、以下に述べる実施の形態の説明においては、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital Versatile Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。   In the description of the embodiments described below, data and signal values are stored in RAM 812 memory, FDD 817 flexible disk, CDD 818 compact disk, magnetic disk device 820 magnetic disk, other optical disks, mini disks, DVD (Digital). Recorded on a recording medium such as Versatile Disk). Data and signals are transmitted on-line via the bus 825, signal lines, cables, and other transmission media.

また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。   In addition, what is described as “to part” in the description of the embodiment described below may be “to circuit”, “to device”, “to device”, “means”, and “to step”. ”,“ ˜procedure ”, or“ ˜processing ”. That is, what is described as “˜unit” may be realized by firmware stored in the ROM 811. Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware. Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. The program is read by the CPU 810 and executed by the CPU 810. That is, the program causes the computer to function as “to part” described below. Alternatively, the procedure or method of “to part” described below is executed by a computer.

図3は、実施の形態1におけるログ分析装置10の構成図ブロックである。ログ分析装置10は、前述のようにネットワークを介してログ収集装置20と通信可能に接続している。また、ログ分析装置10は指示部30と接続している。   FIG. 3 is a configuration block diagram of the log analysis apparatus 10 according to the first embodiment. The log analysis device 10 is communicably connected to the log collection device 20 via the network as described above. The log analysis device 10 is connected to the instruction unit 30.

図3において、ログ収集装置20は、ネットワークを監視してログを収集して出力する。ログ収集装置20が収集するログは、例えば、ネットワーク状態に関するログであり、「アクセスログ」「エラーログ」等である。さらに具体的には、パケットログ、ファイアウォールログ、IDS(Intrusion Detection System)アラートログなどであるが、これらに限定するものではない。ログ分析装置10は、ログ収集装置20が出力するログをネットワークを介して読み込み、読み込んだログを分析し、分析結果を表示装置やプリンタ装置などを介して通知する。   In FIG. 3, the log collection device 20 collects and outputs logs by monitoring the network. The log collected by the log collection device 20 is, for example, a log related to the network state, such as “access log”, “error log”, and the like. More specifically, a packet log, a firewall log, an IDS (Intrusion Detection System) alert log, and the like are not limited thereto. The log analysis device 10 reads the log output from the log collection device 20 via a network, analyzes the read log, and notifies the analysis result via a display device, a printer device, or the like.

ログ分析装置10は、ログ記憶部101、ログ集計部102、特徴量算出部103、特徴量域定義部104(特徴量領域生成部)、特徴量域記憶部105、特徴間距離算出部106、判定部107、通知部108を備える。また、ログ集計部102と特徴量算出部103とは、特徴量を抽出する抽出部110を構成する。   The log analysis device 10 includes a log storage unit 101, a log totaling unit 102, a feature amount calculation unit 103, a feature amount region definition unit 104 (feature amount region generation unit), a feature amount region storage unit 105, an inter-feature distance calculation unit 106, A determination unit 107 and a notification unit 108 are provided. Further, the log totaling unit 102 and the feature amount calculation unit 103 constitute an extraction unit 110 that extracts feature amounts.

(1)ログ記憶部101は、ログ収集装置20から出力されたログを保存する。 (1) The log storage unit 101 stores the log output from the log collection device 20.

(2)ログ集計部102は、ログ記憶部101に蓄積されたデータから時系列データを作成し、数値行列を作成する。そして特徴量算出部103が、この行列に対して特異値分解処理を実行する。
時系列データを、
「x,x,x,x,・・・,xm−5,xm−4,xm−3,xm−2,xm−1,x
とすると、
(n=1〜m)は、
例えば、ログが「パケットログ」であれば、ポート135で受けた10分毎のパケット数や、1時間毎のSYNフラグの立ったパケット数などである。あるいは、ログが「ファイアウォールログ」であれば、x(n=1〜m)は、ポート445宛にきて廃棄された単位時間当たりのパケット数などとなる。 (2) The log totaling unit 102 creates time series data from the data stored in the log storage unit 101 and creates a numerical matrix. Then, the feature amount calculation unit 103 performs singular value decomposition processing on this matrix.
Time series data
"X 1, x 2, x 3 , x 4, ···, x m-5, x m-4, x m-3, x m-2, x m-1, x m "
Then,
x n (n = 1 to m) is
For example, if the log is “packet log”, the number of packets received every 10 minutes at the port 135, the number of packets with the SYN flag set every hour, and the like. Alternatively, if the log is a “firewall log”, x n (n = 1 to m) is the number of packets per unit time that are destined for the port 445 and discarded.

ログ集計部102が生成する「数値行列」の成分は、上記に示した時系列データの数値である。ログ集計部102により作成される「数値行列」は、その分析視点によって異なるが、2つ例を以下に述べる。   The components of the “numerical value matrix” generated by the log totaling unit 102 are the numerical values of the time series data shown above. The “numerical matrix” created by the log totaling unit 102 differs depending on the analysis viewpoint, but two examples will be described below.

図4〜図6を用いて、ログ集計部102による「数値行列」の作成の例を示す。   An example of creating a “numerical value matrix” by the log totaling unit 102 will be described with reference to FIGS. 4 to 6.

(数値行列作成の第1の例)
図4は、数値行列作成の第1の例を示す図である。図4では、時系列データ列を、
時系列データ列:
「x,x,x,x,・・・,xm−5,xm−4,xm−3,xm−2,xm−1,x
とする。
(n=1〜m)は、例えば、ポート135の10分毎に集計されたパケット数とする。10分ごとの時点1〜時点6の6時点(1時間)を1つの時データ(各行)とする。そして、各行のid〜idm−5において開始点を1時点(図4の例では10分)づつずらし、「m−5」行×6列の行列を生成する。これにより、1時間の期間の値の動きの変化を分析することができる。 (First example of numerical matrix creation)
FIG. 4 is a diagram illustrating a first example of numerical matrix creation. In FIG. 4, the time series data string is
Time series data column:
"X 1, x 2, x 3 , x 4, ···, x m-5, x m-4, x m-3, x m-2, x m-1, x m "
And
x n (n = 1 to m) is, for example, the number of packets counted every 10 minutes of the port 135. Six time points (1 hour) from time point 1 to time point 6 every 10 minutes are set as one hour data (each row). Then, in id 1 to id m-5 of each row, the start point is shifted by one time point (10 minutes in the example of FIG. 4) to generate a matrix of “m-5” rows × 6 columns. Thereby, the change of the movement of the value of the period of 1 hour can be analyzed.

(数値行列作成の第2の例)
図5、図6は、数値行列の作成の第2の例を示す図である。図5は、第2の例における時系列データを示す。図6は、特異値分解の対象期間と作成される数値行列(m行×6列)を示す。例えば、a(n=1〜m)は、地域1からの1時間毎に集計されたパケット数の時系列データであり、b(n=1〜m)は、地域2からの1時間毎に集計されたパケット数の時系列データであるとする。図6に示すように各時系列データ(行列では地域1〜地域6の6つの地域の時系列データを想定している)を各列に並べて行列を生成する。これにより、地域毎のパケット数のバランスの変化を分析することができる。 (Second example of numerical matrix creation)
5 and 6 are diagrams illustrating a second example of creation of a numerical matrix. FIG. 5 shows time-series data in the second example. FIG. 6 shows a target period of singular value decomposition and a numerical matrix (m rows × 6 columns) to be created. For example, a n (n = 1 to m) is time-series data of the number of packets aggregated every hour from the region 1, and b n (n = 1 to m) is one hour from the region 2. It is assumed that this is time-series data of the number of packets counted every time. As shown in FIG. 6, each time series data (in the matrix, time series data of six regions from region 1 to region 6 is assumed) is arranged in each column to generate a matrix. Thereby, a change in the balance of the number of packets for each region can be analyzed.

(3)特徴量算出部103は、ログ集計部102が出力した行列に対し特異値分解を行い、対象とする時系列データの特徴量を算出(抽出)する。なお、一つ時系列データでも、行列の作り方によって抽出される特徴量は違うものとなる。 (3) The feature amount calculation unit 103 performs singular value decomposition on the matrix output from the log totaling unit 102, and calculates (extracts) the feature amount of the target time-series data. Note that even with one time-series data, the feature quantity extracted differs depending on how the matrix is created.

(4)特徴量域定義部104は、任意の期間に対応する「特徴量域」を定義する。「特徴量域」(特徴量領域)とは、特徴量の集まった領域を意味する。以下の実施の形態では、分析手法として、「主成分分析」の一つの手法として「特異値分解」を用いている。主成分分析は、多くの変数のデータを、できるだけ情報の損失なしに少数個(m個)の総合的指標(主成分)で表現する手法である。p次元のデータを、m次元(m≦p)のデータに縮約するという意味で、次元圧縮を行う手法として用いることもできる。特異値分解は、主成分分析に使う“値”を求める行列演算といえる。実施の形態1及び実施の形態2では、特異値分解を用いているが、主成分分析に使う“値”を求めるのには、固有値分解を用いても構わない。行列を特異値分解することによって、例えば、図4に示し行た列におけるid1,id2,id3,・・・それぞれの行に対する、第一主成分得点、第二主成分得点、第三主成分得点、・・・・が求まる。これらは、例えば、グラフにしたときの波の大きさであったりするが、何を表しているかは、データに拠る。なお、その主成分がどの程度元のデータの情報を保持しているかは、特異値分解の結果として主成分得点とは別に求まるが、第一主成分は一番特徴を現す指標、第二主成分は二番目に特徴を現す指標、・・・・といえる。通常、全体の80%以上の特徴を現すところまで主成分を参照する。第n主成分まで参照する場合、id1の「特徴量」は、id1の(第一主成分得点,二主成分得点,・・・,第n主成分得点)からなる。図上にプロットする場合、特徴量はn次元の1点で表される。これが図3(d)に示す“点”(黒丸)である(図3(d)では、例示として2次元で示している)。上記「特徴量域」は、この複数の「特徴量」の点の集合を示す領域である。また、特徴量の点は、似た特徴を持つものは、ある一定の値の範囲に集約する。このため後述する「定常期間P」に対応する各点は、ある一定の範囲に集約する。特徴量域定義部104は、この集まり(領域)を、定常期間Pに対応する「定常域」と定義する。 (4) The feature amount area defining unit 104 defines a “feature amount area” corresponding to an arbitrary period. The “feature amount region” (feature amount region) means a region where feature amounts are collected. In the following embodiment, “singular value decomposition” is used as an analysis method as one method of “principal component analysis”. Principal component analysis is a technique for expressing data of many variables with a small number (m) of comprehensive indexes (principal components) with as little information loss as possible. It can also be used as a technique for dimensional compression in the sense of reducing p-dimensional data to m-dimensional (m ≦ p) data. Singular value decomposition can be said to be a matrix operation for obtaining “values” used for principal component analysis. In Embodiment 1 and Embodiment 2, singular value decomposition is used. However, eigenvalue decomposition may be used to obtain a “value” used for principal component analysis. By performing singular value decomposition on the matrix, for example, the first principal component score, the second principal component score, and the third principal component score for each row of id1, id2, id3 in the columns shown in FIG. , ... is found. These are, for example, the magnitudes of waves when graphed, but what they represent depends on the data. It should be noted that how much the principal component holds the original data information can be obtained separately from the principal component score as a result of the singular value decomposition, but the first principal component is the index that shows the most characteristic, the second principal component Ingredients can be said to be the second most characteristic index. Usually, the main component is referred to the point where the characteristic of 80% or more of the whole appears. When referring to the n-th principal component, the “feature value” of id1 is composed of id1 (first principal component score, second principal component score,..., N-th principal component score). In the case of plotting on the figure, the feature amount is represented by one point of n dimensions. This is the “point” (black circle) shown in FIG. 3D (in FIG. 3D, it is shown in two dimensions as an example). The “feature amount area” is an area indicating a set of points of the plurality of “feature amounts”. In addition, as for the feature amount, those having similar features are collected in a certain range of values. For this reason, each point corresponding to a “steady period P” described later is collected in a certain range. The feature amount region definition unit 104 defines this collection (region) as a “steady region” corresponding to the stationary period P.

(5)特徴量域記憶部105は、特徴量域を記憶する。 (5) The feature amount area storage unit 105 stores a feature amount area.

(6)特徴間距離算出部106は、特徴量域と判定対象データに対応する特徴量との距離を算出する。 (6) The inter-feature distance calculation unit 106 calculates the distance between the feature amount area and the feature amount corresponding to the determination target data.

(7)判定部107は、特徴間距離算出部106の結果を使い、判定対象データの状態を判定する。 (7) The determination unit 107 determines the state of the determination target data using the result of the inter-feature distance calculation unit 106.

(8)通知部108は、判定(分析)結果を通知する。 (8) The notification unit 108 notifies the determination (analysis) result.

(動作の説明)
次に、図7、図8を参照してログ分析装置10の動作を説明する。図7は、ログ分析装置10の動作を説明するフローチャートである。図8は、特徴量(定常状態特徴量)と行列との対応関係を説明するため図である。 (Description of operation)
Next, the operation of the log analysis apparatus 10 will be described with reference to FIGS. FIG. 7 is a flowchart for explaining the operation of the log analysis apparatus 10. FIG. 8 is a diagram for explaining the correspondence between the feature amount (steady state feature amount) and the matrix.

異常の判定対象となる観測データ(判定対象データ)がログ収集装置20から出力されると、指示部30は、定常期間を定義する「指示情報」をログ集計部102に送信する。この「指示情報」とは、定常期間Pの範囲の指定(予め所定の範囲が指定される。図3(b)の定常期間P0)、ログから抽出するべきデータのデータ抽出条件(例えば、TCPパケットのどのフラグがたっているか、ポート番号など)である。ログ集計部102は、この「指示情報」を指示部30から受信すると、受信した「指示情報」に従って、ログ記憶部101が記憶しているログのうち指定期間(定常状態の所定期間および異常の判定対象となる観測データが含まれる所定期間)のデータを取り出す(S11)。   When observation data (determination target data) that is an abnormality determination target is output from the log collection device 20, the instruction unit 30 transmits “instruction information” that defines a steady period to the log totaling unit 102. The “instruction information” is a specification of the range of the stationary period P (a predetermined range is designated in advance. The stationary period P0 in FIG. 3B), and a data extraction condition for data to be extracted from the log (for example, TCP Which flag of the packet is on, port number, etc.). When the log totaling unit 102 receives this “instruction information” from the instruction unit 30, the log totaling unit 102 performs a specified period (a predetermined period in a steady state and an abnormal state) among the logs stored in the log storage unit 101 according to the received “instruction information”. Data for a predetermined period including the observation data to be determined is extracted (S11).

(行列の作成)
そして、抽出部110のログ集計部102は、指示された単位時間でデータを集計して時系列データを作成し、その時系列データから「数値行列」を作成する。図3(c)が行列を示す。「指示された単位時間」とは、図4の行列に示したように10分毎のような単位である。図3(b)の時系列データは、時間t2〜tn+1が対象(定常期間P0と判定対象である観測データ)である。図3(c)の行列において、例えば、「a_t2」は、時間t2に対応する値を示している。なお、図3(c)の行列は、図4に示した「第1の例」の方法で作成した行列である。 (Matrix creation)
Then, the log totaling unit 102 of the extraction unit 110 totals data in the designated unit time to create time series data, and creates a “numerical matrix” from the time series data. FIG. 3C shows a matrix. The “instructed unit time” is a unit such as every 10 minutes as shown in the matrix of FIG. The time-series data in FIG. 3B is the target (observation data that is the determination target for the stationary period P0) from time t2 to tn + 1. In the matrix of FIG. 3C, for example, “a_t2” indicates a value corresponding to the time t2. The matrix in FIG. 3C is a matrix created by the method of “first example” shown in FIG.

(定常状態特徴量の抽出)
抽出部110の特徴量算出部103は、ログ集計部102から出力された行列を受け取り、特異値分解処理を行い、その算出結果から特徴量(定常状態特徴量と判定対象データ特徴量)を算出(抽出)する。すなわち、特徴量算出部103は、ログ収集装置20の収集したログからネットワークの定常期間P0(所定期間の定常状態)に対応する特徴量であるn次元(nは1以上の整数)の定常状態特徴量を複数抽出する。図3(d)において定常域RPを示す破線に囲まれた複数の黒丸のそれぞれが、「特徴量」(定常状態特徴量)である。複数の黒丸のそれぞれが、図3(c)に示す行列の最後の1行を除く各行に対応する「特徴量」(定常状態特徴量)である。図8は、特徴量(定常状態特徴量)と行列との対応関係を説明するための図である。図8は、例えば、定常期間が時間t11〜t20、それぞれに対応する値(例えばパケット数)をa11(t11)〜a20(t20)とする。また、次のa21が、新しい観測データであり、異常かの判定対象としている。この例では、行列の作り方は、図4に示した第1の例により作成してある。図8に示すように、特異値分解の結果算出される各行に対応する特徴量(定常状態特徴量)が、図3(d)の定常域RP中の黒丸で表される。図3(c)では対象となる行列において定常期間Pに対応する行は複数ある。よって、図3(d)に示すように定常域RPの中には複数の黒丸(定常状態特徴量)が存在することとなる。このように行列を特異値分解(行列演算)した結果、各行に対して、特徴量が求まり、各行に対応する特徴量を図示したものが図3(d)に示す定常域RPの中の複数の黒丸(定常状態特徴量)である。さらに、抽出部は、判定対象となる観測データに対する特徴量F1を抽出する。このように観測データでは、図8の行列において、a21が入った最後の行が、異常かどうかの判定対象である。この行に対応する特徴量が、図3(d)に示す「観測データ特徴量F1」の黒丸である。観測データ(判定対象データ)は、ログに含まれるデータであってネットワークの状態の判定に使用され、かつ定常期間P(定常状態の期間)よりも後の所定期間のデータである。以上のように「判定対象データ」に対応する特徴量である判定対象データ特徴量は、特徴量算出部103により、n次元の点を示す座標として抽出される。(S12) (Extraction of steady state feature)
The feature amount calculation unit 103 of the extraction unit 110 receives the matrix output from the log totaling unit 102, performs singular value decomposition processing, and calculates feature amounts (steady state feature amounts and determination target data feature amounts) from the calculation results. (Extract. That is, the feature quantity calculation unit 103 is an n-dimensional (n is an integer of 1 or more) steady state that is a feature quantity corresponding to a network steady period P0 (a steady state of a predetermined period) from the log collected by the log collection device 20. Extract multiple feature values. Each of a plurality of black circles surrounded by a broken line indicating the steady region RP in FIG. 3D is a “feature amount” (steady state feature amount). Each of the plurality of black circles is a “feature amount” (steady state feature amount) corresponding to each row except the last one row of the matrix shown in FIG. FIG. 8 is a diagram for explaining a correspondence relationship between a feature amount (steady state feature amount) and a matrix. In FIG. 8, for example, a steady period is time t11 to t20, and values (for example, the number of packets) corresponding to each are a11 (t11) to a20 (t20). Further, the next a21 is new observation data, and is a determination target of abnormality. In this example, the matrix is created by the first example shown in FIG. As shown in FIG. 8, the feature amount (steady state feature amount) corresponding to each row calculated as a result of the singular value decomposition is represented by a black circle in the steady region RP of FIG. In FIG. 3C, there are a plurality of rows corresponding to the stationary period P in the target matrix. Therefore, as shown in FIG. 3D, a plurality of black circles (steady state feature values) exist in the steady region RP. As a result of the singular value decomposition (matrix operation) of the matrix as described above, the feature amount is obtained for each row, and the feature amounts corresponding to each row are illustrated in the plurality of stationary regions RP shown in FIG. The black circle (steady state feature). Furthermore, the extraction unit extracts a feature amount F1 for the observation data to be determined. Thus, in the observation data, in the matrix of FIG. 8, the last row containing a21 is a determination target whether or not it is abnormal. The feature amount corresponding to this row is a black circle of “observation data feature amount F1” shown in FIG. The observation data (determination target data) is data included in the log, used for determination of the state of the network, and data for a predetermined period after the steady period P (steady state period). As described above, the determination target data feature amount, which is a feature amount corresponding to the “determination target data”, is extracted by the feature amount calculation unit 103 as coordinates indicating an n-dimensional point. (S12)

特徴量域定義部104(特徴量領域生成部)は、定常期間P(定常状態における所定期間)に対応する特徴量域を定常域RP(特徴量領域)と定義する(S13)。定義された定常域RPは、特徴量域記憶部105に保存される。すなわち、特徴量域定義部104(特徴量領域生成部)は、特徴量算出部103が抽出した複数の特徴量(定常状態特徴量)から、複数の定常状態特徴量の分布する領域を示すn次元の定常域RP(特徴量領域)を生成する。   The feature amount region definition unit 104 (feature amount region generation unit) defines a feature amount region corresponding to the steady period P (a predetermined period in the steady state) as a steady region RP (feature amount region) (S13). The defined steady region RP is stored in the feature amount region storage unit 105. That is, the feature amount area definition unit 104 (feature amount region generation unit) n indicating a region in which a plurality of steady state feature amounts are distributed from a plurality of feature amounts (steady state feature amounts) extracted by the feature amount calculation unit 103. A dimensional stationary region RP (feature amount region) is generated.

特徴間距離算出部106は、特徴量域定義部104が生成した定常域RPと特徴量算出部103が抽出した「観測データ特徴量F1」(判定対象データ特徴量)との距離を算出する(S14)。距離の算出には、定常域RPの重心からの距離などを使う。   The inter-feature distance calculation unit 106 calculates the distance between the steady region RP generated by the feature amount region definition unit 104 and the “observation data feature amount F1” (determination target data feature amount) extracted by the feature amount calculation unit 103 ( S14). For calculating the distance, the distance from the center of gravity of the steady region RP is used.

判定部107は、算出された距離を用い、観測データ特徴量F1が定常域RPから乖離しているか否かにより、観測データが異常か否かを判定する(S15)。異常の検知の判定結果(分析結果)は、通知部108を介して通知される。「乖離している」、「乖離していない」の判断条件は、図3(d)において、「観測データ特徴量F1」が定常域RPに含まれるか、含まれない、とうい条件である。例えば一例として、定常域RPがあって、そこに含まれる点は、重心からの距離がある値以下であるといえる。その値を超えたか否かで、乖離しているか、否かを判定することができる。そして、判定部107は、乖離しているか、否かによりネットワークの状態(異常か否か)を判定する。   The determination unit 107 determines whether or not the observation data is abnormal based on whether or not the observation data feature amount F1 deviates from the steady region RP using the calculated distance (S15). The determination result (analysis result) of abnormality detection is notified via the notification unit 108. The determination condition of “deviation” or “not deviation” is a condition that “observation data feature amount F1” is included or not included in the stationary region RP in FIG. . For example, as an example, there is a steady region RP, and the points included therein can be said to be less than or equal to a certain distance from the center of gravity. Whether or not there is a divergence can be determined based on whether or not the value is exceeded. Then, the determination unit 107 determines the state of the network (whether or not it is abnormal) depending on whether or not there is a divergence.

以上のように、実施の形態1のログ分析装置は、多次元のデータを最小の誤差で要約する(次元を削減する)ことが知られている特異値分解により得る特徴量を使って、ネットワークログの異常を検知するようにしているので、精度の高い異常検出を行うことができる。また、実施の形態1のログ分析装置は、定常域RPと観測データ特徴量F1との距離に基づいてネットワークの状態を判定するので、精度の高い異常検出を行うことができる。   As described above, the log analysis apparatus according to the first embodiment uses a feature amount obtained by singular value decomposition, which is known to summarize multidimensional data with a minimum error (reducing dimensions), and Since the abnormality of the log is detected, the abnormality detection with high accuracy can be performed. Moreover, since the log analyzer of Embodiment 1 determines the state of the network based on the distance between the steady region RP and the observed data feature amount F1, it is possible to detect anomalies with high accuracy.

実施の形態2.
次に図9、図10を用いて実施の形態2を説明する。以上の実施形態1では、比較対象となる定常期間Pに対する定常域RPが固定(1つ)の場合について述べた。実施の形態2では、ネットワークの状況の変化に追随して、比較対象となる特徴量域を再定義していく実施形態を示す。 Embodiment 2. FIG.
Next, the second embodiment will be described with reference to FIGS. In the first embodiment described above, the case where the stationary region RP with respect to the stationary period P to be compared is fixed (one) has been described. In the second embodiment, an embodiment in which a feature amount area to be compared is redefined in accordance with a change in a network situation.

図9は、「定常期間P0と定常域RP0」、「定常期間P1と定常域RP1」、及び異常の判定対象となる観測データ(判定対象データ)の特徴量の関係を示している。   FIG. 9 shows the relationship between the feature amounts of “steady period P0 and steady region RP0”, “steady period P1 and steady region RP1”, and observation data (determination target data) that is a determination target of abnormality.

(動作の説明)
ネットワークの状況が変化すると、異常の判定対象となる観測データがログ収集装置20から出力されたとき、指示部30が、ログ集計部102に、比較対象の特徴量域(定常域)の再定義を指示する指示情報を送信する。ログ集計部102は、その指示情報に従って、実施の形態1の場合と同様に、図9に示す定常期間P0および定常期間P1および異常の判定対象となる観測データが含まれる所定期間のデータをログ記憶部101から取り出し、指示された単位時間でデータを集計し時系列データを作成し、その時系列データから数値行列を作成する。このとき、ログ集計部102に渡される指示情報のログからのデータ抽出条件は、ネットワークの状況が変化する前に定常域RP0を定義したときと同じ条件(ただし指定期間が定常期間P1である点は異なる)である。 (Description of operation)
When the status of the network changes, when the observation data to be determined as abnormal is output from the log collection device 20, the instruction unit 30 redefines the comparison target feature amount region (steady region) to the log aggregation unit 102. The instruction information for instructing is transmitted. According to the instruction information, the log totaling unit 102 logs data for a predetermined period including the stationary period P0 and the stationary period P1 shown in FIG. 9 and the observation data to be determined as abnormal, as in the case of the first embodiment. The data is taken out from the storage unit 101, the data is totaled in the designated unit time to create time series data, and a numerical matrix is created from the time series data. At this time, the data extraction conditions from the log of the instruction information passed to the log totaling unit 102 are the same conditions as when the stationary region RP0 was defined before the network status changed (however, the designated period is the stationary period P1). Is different).

抽出部110は、特徴量算出部103で、実施の形態1と同様に、ログ集計部102から出力された行列を受け取り、特異値分解処理を行い、その算出結果から定常期間P0に対応する特徴量(定常状態特徴量)、定常期間P1に対応する特徴量(定常状態特徴量)、および観測データに対する「観測データ特徴量F2」を算出する。図9では、ログの状態が実線に遷移した場合の観測データ特徴量を「観測データ特徴量F2−1」(丸に×印の記号)で示し、ログの状態が破線に遷移した場合の観測データ特徴量を「観測データ特徴量F2−2」(四角に×印の記号)で示している。ネットワークの状態は、「観測データ特徴量F2−1」と「観測データ特徴量F2−2」とのいずれかに遷移するものとする。すなわち、図9のグラフにおいて、実線と破線とは、定常期間P1の後、ネットワークの状態が実線のように値が変化する、あるいは、破線のように変化するという別個の2つのケースを想定している。そして、図9には、この2つのケースに対応する観測データ特徴量を示す点「F2−1」と「F2−2」とを記載している。
The extraction unit 110 receives the matrix output from the log totaling unit 102 in the feature amount calculation unit 103 as in the first embodiment, performs singular value decomposition processing, and the feature corresponding to the stationary period P0 from the calculation result. An amount (steady state feature amount), a feature amount corresponding to the steady period P1 (steady state feature amount), and an “observation data feature amount F2” for the observation data are calculated. In FIG. 9, the observation data feature amount when the log state transitions to a solid line is indicated by “observation data feature amount F2-1” (a symbol with a circle ×), and the observation when the log state transitions to a broken line The data feature amount is indicated by “observation data feature amount F2-2” (symbol indicated by a cross in a square). It is assumed that the network state transitions to either “observation data feature amount F2-1” or “observation data feature amount F2-2”. That is, in the graph of FIG. 9, the solid line and the broken line assume two separate cases in which the value of the network state changes as a solid line or changes as a broken line after the steady period P1. ing. FIG. 9 shows points “F2-1” and “F2-2” indicating observed data feature amounts corresponding to these two cases.

特徴量域定義部104は、実施の形態1と同様にして、定常期間P0に対応する特徴量域を定常域RP0、定常期間P1に対応する特徴量域を定常域RP1と定義する。定義された定常域RP0および定常域RP1は、特徴量域記憶部105に保存される。   Similar to the first embodiment, the feature amount region defining unit 104 defines the feature amount region corresponding to the stationary period P0 as the stationary region RP0 and the feature amount region corresponding to the stationary period P1 as the stationary region RP1. The defined steady region RP0 and defined region RP1 are stored in the feature amount region storage unit 105.

特徴間距離算出部106は、実施の形態1と同様に、定常域RP1と「観測データ特徴量F2−1」(あるいは「観測データ特徴量F2−2」)との距離を算出する。算出方法は、実施の形態1と同様である。   Similar to the first embodiment, the inter-feature distance calculation unit 106 calculates the distance between the stationary region RP1 and the “observation data feature amount F2-1” (or “observation data feature amount F2-2”). The calculation method is the same as in the first embodiment.

判定部107は、実施の形態1と同様に、特徴間距離算出部106が算出した距離を用いて定常域RP1から観測データ特徴量F2が乖離しているかを見る。   Similar to the first embodiment, the determination unit 107 uses the distance calculated by the inter-feature distance calculation unit 106 to see whether the observation data feature amount F2 deviates from the steady region RP1.

次に、本実施の形態2の特徴点として、判定部107は、乖離していると判定した場合、その状態での観測データ特徴量F2(F2−1あるいはF2−2)と定常域RP0との距離関係を同時に算出する。そして、判定部107は、観測データ特徴量F2が、定常域RP1から離れていくと同時に、さらに、定常域RP0から離れていっているのか(F2−2が該当)、あるいは定常域RP0に近づくように定常域RP1から離れていっているのか(F2−1が該当)を見る。これにより、どのように定常域RP1から離れていっているのかで、新たな異常か、異常の収束が判定可能となる。このように、判定部107は、定常域RP0に接近するような動きで定常域RP1から観測データ特徴量F2が乖離した場合(F2−1)は、ネットワーク異常が収束状態にあると判定する。一方、さらに定常域RP0から乖離するような場合(F2−2)には、判定部107は、新たなネットワーク異常の検知であると判定する。異常の検知の判定結果(分析結果)は、通知部108を介して通知される。   Next, as a feature point of the second embodiment, when the determination unit 107 determines that there is a divergence, the observation data feature amount F2 (F2-1 or F2-2) in that state and the steady region RP0 Are simultaneously calculated. Then, at the same time as the observed data feature amount F2 is moving away from the steady region RP1, the determination unit 107 further moves away from the steady region RP0 (F2-2 is applicable), or approaches the steady region RP0. To see if it is far from the steady region RP1 (F2-1 applies). As a result, it is possible to determine whether the abnormality is new or the convergence of the abnormality depending on how far from the steady region RP1. As described above, the determination unit 107 determines that the network abnormality is in a converged state when the observed data feature amount F2 deviates from the steady region RP1 due to the movement approaching the steady region RP0 (F2-1). On the other hand, when it further deviates from the steady region RP0 (F2-2), the determination unit 107 determines that a new network abnormality has been detected. The determination result (analysis result) of abnormality detection is notified via the notification unit 108.

図9では、比較対象の定常域が2つの場合について述べたが、次に3つ以上の定常域を記憶し、判定に使用する場合を説明する。図10は、判定に使用する定常域が定常域RP0〜定常域RPNの「N+1」個ある場合を示す図である。ログ分析装置10の動作は図9の場合と同様であるので、簡単に説明する。
また、図10に示す「観測データ特徴量F3−1」、「観測データ特徴量F3−2」
は図9に示した「観測データ特徴量F2−1」等と同様に、2通りの遷移を想定する場合の特徴量である。 In FIG. 9, the case where there are two stationary regions to be compared has been described. Next, a case where three or more stationary regions are stored and used for determination will be described. FIG. 10 is a diagram illustrating a case where there are “N + 1” stationary regions RP0 to RPN that are used for the determination. The operation of the log analyzer 10 is the same as that in FIG. 9 and will be described briefly.
Further, “observation data feature quantity F3-1” and “observation data feature quantity F3-2” shown in FIG.
Is a feature amount in the case of assuming two kinds of transitions as in the “observation data feature amount F2-1” shown in FIG.

(動作の説明)
異常の判定対象となる観測データ(最新の定常期間PNよりも新しい期間のデータ)がログ収集装置20から出力されると、定常期間P0、および定常期間P1、定常期間P2、・・・・、定常期間PN、および異常の判定対象となる観測データが含まれる所定期間のデータをログ記憶部101から取り出し、実施の形態1の方法で、定常期間P0に対応する特徴量域を定常域RP0と定義し、特徴量域記憶部105に保存する。 (Description of operation)
When observation data (data of a period newer than the latest steady period PN) that is an abnormality determination target is output from the log collection device 20, the steady period P0, the steady period P1, the steady period P2,. Data for a predetermined period including the stationary period PN and the observation data to be determined as abnormal is extracted from the log storage unit 101, and the feature amount area corresponding to the stationary period P0 is defined as the stationary area RP0 by the method of the first embodiment. Defined and stored in the feature area storage unit 105.

同様に実施の形態1の方法で、定常期間P1に対応する特徴量域を定常域RP1と定義し、特徴量域記憶部105に保存する。   Similarly, by the method of the first embodiment, the feature amount region corresponding to the steady period P1 is defined as the steady region RP1 and stored in the feature amount region storage unit 105.

同様に実施の形態1の方法で、定常期間P2、定常期間P3、・・・、定常期間PNに対応する特徴量域を定常域RP2、定常域RP3、・・・、定常域RPNと定義し、特徴量域記憶部105に保存する。   Similarly, in the method of the first embodiment, the characteristic areas corresponding to the stationary period P2, stationary period P3,..., Stationary period PN are defined as stationary area RP2, stationary area RP3,. And stored in the feature amount area storage unit 105.

さらに、実施の形態1の方法で、観測データに対する「観測データ特徴量F3」を抽出する。   Furthermore, the “observation data feature amount F3” for the observation data is extracted by the method of the first embodiment.

以下の動作が特徴点である。特徴間距離算出部106は、最新の定常域RPNと「観測データ特徴量F3」との距離を算出する。判定部107は、算出された距離を用い、最新の定常域RPNから、「観測データ特徴量F3」が乖離しているかを見る。乖離していた場合、特徴量域記憶部105に保存されている他の特徴量域RP0、RP1、・・、RPN−1との距離関係を同時に見て、どの定常域に近づいていっているかを判定し、図9で説明したのと同様に、観測データが、特徴量域RPFが期間が示すネットワークの状態から、どの状態へ向かって変化をしているかを見る。   The following operations are characteristic points. The inter-feature distance calculation unit 106 calculates the distance between the latest steady region RPN and the “observation data feature amount F3”. The determination unit 107 uses the calculated distance to see whether the “observation data feature amount F3” is deviated from the latest steady region RPN. If there is a divergence, see the distance relationship with the other feature value areas RP0, RP1,..., RPN-1 stored in the feature value area storage unit 105 at the same time. In the same manner as described with reference to FIG. 9, the observed data changes to which state the characteristic amount region RPF changes from the network state indicated by the period.

この判定結果(分析結果)は、通知部108を介して通知される。   This determination result (analysis result) is notified via the notification unit 108.

以上のように、ログ分析装置10は、複数の過去の特徴量域との関係を見ることにより、異常検知だけでなく、ネットワークの状態の変化の方向を得ることができる。   As described above, the log analysis apparatus 10 can obtain not only an abnormality detection but also a direction of a change in the state of the network by looking at a relationship with a plurality of past feature amount areas.

以上の実施の形態で説明したログ分析装置10は、ネットワークログから得た時系列データから抽出した特徴量を使いネットワーク上の異常検出を行なう。また、ネットワークの状況の変化に対応した定常域を再定義し、正常域に近づく形で剥離したか否かで、長期の異常状態の収束か、新たな異常かを判定する。よって、閾値を使用することなく、実データをもとに作成した基準でネットワークの状態を判断することができる。   The log analysis apparatus 10 described in the above embodiment performs abnormality detection on the network using the feature amount extracted from the time series data obtained from the network log. In addition, the steady-state area corresponding to the change in the network status is redefined, and it is determined whether the long-term abnormal state has converged or a new abnormality depending on whether or not the separation is close to the normal area. Therefore, it is possible to determine the state of the network based on a standard created based on actual data without using a threshold value.

実施の形態3.
実施の形態3は、実施の形態1及び実施の形態2のログ分析装置10をネットワーク状態判定方法及びネットワーク状態判定プログラムとして把握した実施形態である。 Embodiment 3 FIG.
The third embodiment is an embodiment in which the log analysis device 10 according to the first and second embodiments is grasped as a network state determination method and a network state determination program.

図3に示したログ分析装置10の抽出部110、特徴量域定義部104(特徴量領域生成部)、特徴間距離算出部106、判定部107等の一連の動作は互いに関連しており、これらの一連の動作をネットワーク状態判定方法として把握することができる。   A series of operations such as the extraction unit 110, the feature amount region definition unit 104 (feature amount region generation unit), the inter-feature distance calculation unit 106, and the determination unit 107 of the log analysis apparatus 10 illustrated in FIG. These series of operations can be grasped as a network state determination method.

図11は、抽出部110等の一連の動作をネットワーク状態判定方法として把握した場合のフローチャートを示す。
(1)S101は、抽出部110が、ログ収集装置の収集したログからネットワークの所定期間の定常状態に対応する特徴量であるn次元(nは1以上の整数)の特徴量(定常状態特徴量)を複数抽出するとともに、ログに含まれるデータであってネットワークの状態の判定に使用され、かつ、定常状態の期間よりも後の所定期間のデータである観測データ(判定対象データ)に対応する特徴量である判定対象データ特徴量をn次元の点を示す座標として抽出するステップである。
(2)S102は、特徴量域定義部104(特徴量領域生成部)が、抽出部110が抽出した複数の特徴量(定常状態特徴量)から複数の定常状態特徴量の分布する領域を示すn次元の定常域(特徴量領域)を生成するステップである。
(3)S103は、特徴間距離算出部106が、特徴量域定義部104が生成した定常域と抽出部110が抽出した判定対象データ特徴量との距離を算出するステップである。
(4)S104は、判定部107が、特徴間距離算出部106が算出した距離に基づいてネットワークの状態を判定するステップである。 FIG. 11 is a flowchart when a series of operations of the extraction unit 110 and the like are grasped as a network state determination method.
(1) S101 is an n-dimensional (n is an integer greater than or equal to 1) feature quantity (steady-state feature), which is a feature quantity corresponding to the steady state of the network for a predetermined period from the log collected by the log collection device. Multiple), and is included in the log, used to determine the state of the network, and corresponds to observation data (determination target data) that is data for a predetermined period after the steady state period This is a step of extracting the determination target data feature quantity which is the feature quantity to be obtained as coordinates indicating an n-dimensional point.
(2) S102 indicates a region in which a plurality of steady state feature amounts are distributed from the plurality of feature amounts (steady state feature amounts) extracted by the extraction unit 110 by the feature amount region definition unit 104 (feature amount region generation unit). This is a step of generating an n-dimensional stationary region (feature amount region).
(3) S103 is a step in which the inter-feature distance calculation unit 106 calculates the distance between the steady region generated by the feature amount region definition unit 104 and the determination target data feature amount extracted by the extraction unit 110.
(4) S104 is a step in which the determination unit 107 determines the state of the network based on the distance calculated by the inter-feature distance calculation unit 106.

また、図3に示した抽出部110等の一連の動作は、一連の処理に置き換えることにより、ネットワーク状態判定プログラムの実施形態として把握することができる。   Further, a series of operations of the extraction unit 110 and the like illustrated in FIG. 3 can be grasped as an embodiment of the network state determination program by replacing with a series of processes.

図12は、抽出部110等の動作を、コンピュータであるログ分析装置に実行させる
ネットワーク状態判定プログラムの処理を示すフローチャートである。
(1)S201は、ログ収集装置の収集したログからネットワークの所定期間の定常状態に対応する特徴量であるn次元(nは1以上の整数)の特徴量(定常状態特徴量)を複数抽出するとともに、ログに含まれるデータであってネットワークの状態の判定に使用され、かつ、定常状態の期間よりも後の所定期間のデータである観測データ(判定対象データ)に対応する特徴量である判定対象データ特徴量をn次元の点を示す座標として抽出する処理である。
(2)S202は、抽出した複数の特徴量(定常状態特徴量)から複数の定常状態特徴量の分布する領域を示すn次元の定常域(特徴量領域)を生成する処理である。
(3)S203は、生成した定常域と抽出した判定対象データ特徴量との距離を算出する処理である。
(4)S204は、算出した距離に基づいて、ネットワークの状態を判定する処理である。 FIG. 12 is a flowchart showing the processing of the network state determination program that causes the log analysis device, which is a computer, to execute the operation of the extraction unit 110 and the like.
(1) S201 extracts a plurality of n-dimensional (n is an integer of 1 or more) feature quantities (steady state feature quantities) that are feature quantities corresponding to the steady state of the network for a predetermined period from the logs collected by the log collection device. In addition, the data is included in the log and is used for determining the state of the network, and is a feature amount corresponding to observation data (determination target data) that is data in a predetermined period after the steady state period. This is a process of extracting the determination target data feature quantity as coordinates indicating an n-dimensional point.
(2) S202 is processing for generating an n-dimensional steady region (feature amount region) indicating a region in which a plurality of steady state feature amounts are distributed from the extracted plurality of feature amounts (steady state feature amounts).
(3) S203 is a process of calculating the distance between the generated steady region and the extracted determination target data feature amount.
(4) S204 is processing for determining the state of the network based on the calculated distance.

実施の形態3のネットワーク状態判定方法は、定常域と判定対象データ特徴量との距離に基づいてネットワークの状態を判定するので、精度の高い異常検出を行うことができる。   Since the network state determination method according to the third embodiment determines the network state based on the distance between the steady region and the determination target data feature amount, it is possible to perform highly accurate abnormality detection.

実施の形態3のネットワーク状態判定プログラムは、定常域と判定対象データ特徴量との距離に基づいてネットワークの状態を判定するので、精度の高い異常検出を行うことができる。   Since the network state determination program according to the third embodiment determines the network state based on the distance between the steady region and the determination target data feature quantity, it is possible to perform highly accurate abnormality detection.

以上の実施の形態では、以下の手段を備えたネットワーク異常検出装置を説明した。
(a)ネットワークログを収集する手段
(b)収集したログを記憶する手段
(c)記憶手段によって保存されたログから時間軸に沿って変化する時系列データを生成し、その時系列データから特徴量を算出するための行列を作成する手段
(d)行列に対し特異値分解を実施し、解から得た主成分得点より特徴量を算出する手段
(e)定常時の期間の時系列データに対する特徴量を算出し、この特徴量域を定常域と定義する手段
(f)特徴量域を記憶する手段
(g)正常時の特徴量は一定の範囲に集約することを利用し、観測データの特徴量がこの範囲から乖離したことを検知することにより、ネットワークの異常を検知する手段。
(h)観測データの特徴量と、定常域との距離を算出する手段
(i)検知した結果を通知する通知手段 In the above embodiment, the network abnormality detection apparatus provided with the following means has been described.
(A) means for collecting network logs, (b) means for storing collected logs, and (c) generating time-series data that varies along the time axis from the logs saved by the storage means, and using the time-series data, feature quantities Means for creating a matrix for calculating (d) means for performing singular value decomposition on the matrix, and calculating feature values from principal component scores obtained from the solution (e) features for time-series data in a steady-state period Means for calculating the quantity and defining the feature quantity area as a stationary area (f) Means for storing the feature quantity area (g) Utilizing the fact that normal feature quantities are aggregated into a certain range, A means of detecting network anomalies by detecting that the amount deviates from this range.
(H) Means for calculating the distance between the feature amount of the observation data and the steady region (i) Notification means for notifying the detected result

以上の実施の形態では、以下の手段を備えたネットワーク異常検出装置を説明した。
(a)ネットワークの特性は変化し続けるため、特性の変化に追随するために、定常域の特徴量域を算出し定常域とし、検知対象との比較対象の特徴量域を定義し直す手段
(b)観測データの特徴量を、この定義し直した定常域の範囲から乖離したことを検知することにより、ネットワークの異常を検知する手段 In the above embodiment, the network abnormality detection apparatus provided with the following means has been described.
(A) Since the characteristics of the network continue to change, in order to follow the change of the characteristics, a means for calculating the feature amount area in the stationary region to be a steady region and redefining the feature amount region to be compared with the detection target ( b) Means for detecting an abnormality in the network by detecting that the characteristic amount of the observation data has deviated from the redefined steady-state range.

以上の実施の形態では、以下の手段を備えたネットワーク異常検出装置を説明した。
(a)定常期間P0を元に抽出した特徴量域を定常域RP0とし、変化する定常期間P1をもとに抽出した特徴量域を定常域RP1とする手段
(b)観測されたデータに対する特徴量が、定常域RP1からの乖離により異常を検知することに対し、定常域RP1から乖離した場合にその状態での定常域RP0との距離関係を同時に見て、定常域RP0に接近するような動きで定常域RPから乖離した場合は収束状態にあると判定する。一方、定常域RP0からさらに乖離するような場合は、新たな不正アクセスを検知したと判定する手段 In the above embodiment, the network abnormality detection apparatus provided with the following means has been described.
(A) Means region extracted based on stationary period P0 is defined as stationary region RP0, and feature region extracted based on changing stationary period P1 is defined as stationary region RP1. (B) Features for observed data When the quantity deviates from the steady region RP1, when the amount deviates from the steady region RP1, when the amount deviates from the steady region RP1, the distance relationship with the steady region RP0 in that state is simultaneously viewed and the amount approaches the steady region RP0. When the movement deviates from the steady region RP, it is determined that the state is converged. On the other hand, if it deviates further from the steady range RP0, means for determining that a new unauthorized access has been detected

以上の実施の形態では、以下の手段を備えたネットワーク異常検出装置を説明した。
(a)ネットワークの特性は変化し続けるため、特性の変化に追随するために、定常域の特徴量域を算出し定常域とし、検知対象との比較対象の特徴量域を定義し直す手段
(b)定常域を複数記憶する手段
(c)観測データの特徴量を、最新の定常域の範囲から乖離したことを検知することにより、ネットワークの状態の変化を検知する手段
(d)観測されたデータに対する特徴量が、最新の定常域から乖離した場合に、記憶された複数の定常域のうち、どの定常域に接近するかを判定する手段 In the above embodiment, the network abnormality detection apparatus provided with the following means has been described.
(A) Since the characteristics of the network continue to change, in order to follow the change of the characteristics, a means for calculating the feature amount area in the stationary region to be a steady region and redefining the feature amount region to be compared with the detection target ( b) Means for storing a plurality of stationary regions (c) Means for detecting changes in the state of the network by detecting that the feature quantity of the observation data has deviated from the latest stationary region range (d) Observed Means for determining which stationary region to approach among the stored stationary regions when the feature amount for the data deviates from the latest stationary region

実施の形態1におけるログ分析装置の外観を示す図。FIG. 3 is a diagram illustrating an appearance of a log analysis device according to the first embodiment. 実施の形態1におけるログ分析装置のハードウェア構成を示す図。2 is a diagram illustrating a hardware configuration of a log analysis device according to Embodiment 1. FIG. 実施の形態1におけるログ分析装置のブロック図。FIG. 2 is a block diagram of a log analysis device according to the first embodiment. 実施の形態1における数値行列作成の第1の例を示す図。FIG. 6 shows a first example of numerical matrix creation in the first embodiment. 実施の形態1における数値行列作成の第2の例を示す図。FIG. 10 shows a second example of numerical matrix creation in the first embodiment. 実施の形態1における数値行列作成の第2の例を示す図。FIG. 10 shows a second example of numerical matrix creation in the first embodiment. 実施の形態1におけるログ分析装置の動作を示すフローチャート。5 is a flowchart showing the operation of the log analysis device according to the first embodiment. 実施の形態1における特徴量と行列との対応関係を説明する図。4A and 4B illustrate a correspondence relationship between feature amounts and matrices in Embodiment 1. FIG. 実施の形態2における「定常期間P0と定常域RP0」、「定常期間P1と定常域RP1」、及び異常の判定対象となる観測データの特徴量の関係を示す図。The figure which shows the relationship between "steady period P0 and stationary region RP0", "steady period P1 and stationary region RP1", and the feature-value of the observation data used as the abnormality determination object in Embodiment 2. 実施の形態2における判定に使用する定常域が定常域RP0〜定常域RPNの「N+1」個ある場合を示す図。The figure which shows the case where the stationary region used for the determination in Embodiment 2 is "N + 1" of stationary region RP0 to stationary region RPN. 実施の形態3におけるネットワーク状態判定方法を示すフローチャート。10 is a flowchart illustrating a network state determination method according to the third embodiment. 実施の形態3におけるネットワーク状態判定プログラムを示すフローチャート。10 is a flowchart illustrating a network state determination program according to the third embodiment.

符号の説明Explanation of symbols

10 ログ分析装置、20 ログ収集装置、30 指示部、101 ログ記憶部、102 ログ集計部、103 特徴量算出部、104 特徴量域定義部、105 特徴量域記憶部、106 特徴間距離算出部、107 判定部、108 通知部、800 コンピュータシステム、810 CPU、811 ROM、812 RAM、813 表示装置、814 K/B、815 マウス、816 通信ボード、817 FDD、818 CDD、819 プリンタ装置、820 磁気ディスク装置、821 OS、822 ウィンドウシステム、823 プログラム群、824 ファイル群、825 バス、830 システムユニット。   DESCRIPTION OF SYMBOLS 10 log analyzer, 20 log collection apparatus, 30 instruction | indication part, 101 log storage part, 102 log totaling part, 103 feature-value calculation part, 104 feature-value area definition part, 105 feature-value area storage part, 106 distance between feature calculation part , 107 determination unit, 108 notification unit, 800 computer system, 810 CPU, 811 ROM, 812 RAM, 813 display device, 814 K / B, 815 mouse, 816 communication board, 817 FDD, 818 CDD, 819 printer device, 820 magnetic Disk unit, 821 OS, 822 window system, 823 program group, 824 file group, 825 bus, 830 system unit.

Claims (4)

ネットワークのログを収集するログ収集装置の収集した前記ログから前記ネットワークの所定期間の定常状態に対応する特徴量であるn次元(nは1以上の整数)の複数の定常状態特徴量を期間の異なる複数の定常状態のそれぞれについて抽出するとともに、前記ログに含まれるデータであって前記ネットワークの状態の判定に使用される所定期間のデータであり、かつ、前記複数の定常状態のうちの最新の定常状態の期間よりも後の期間のデータである判定対象データに対応する特徴量である判定対象データ特徴量をn次元の点を示す座標として抽出する抽出部と、
前記抽出部が前記複数の定常状態のそれぞれについて抽出した前記複数の定常状態特徴量から前記複数の定常状態特徴量の分布する領域を示すn次元の特徴量領域を前記複数の定常状態のそれぞれについて生成する特徴量領域生成部と、
前記特徴量領域生成部が生成した前記複数の定常状態のそれぞれについての前記特徴量領域のうち最新の期間の定常状態に対応する前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量との距離を算出する特徴間距離算出部と、
前記特徴間距離算出部が算出した距離に基づいて、最新の期間の定常状態に対応する前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量とが乖離しているかどうかを判定する判定部と
を備え、
前記特徴間距離算出部は、
前記判定部が最新の期間の定常状態に対応する前記特徴量領域と前記判定対象データ特徴量とが乖離していると判定した場合には、最新の期間の定常状態に対応する前記特徴量領域以外の他の全ての前記特徴量領域と前記判定対象データ特徴量との距離をそれぞれ算出し、
前記判定部は、
前記特徴間距離算出部が算出した最新の期間の定常状態に対応する前記特徴量領域以外の他の全ての前記特徴量領域と前記判定対象データ特徴量とのそれぞれの距離に基づいて、前記ネットワークの状態を判定することを特徴とするネットワーク状態判定装置。 A plurality of n-dimensional (n is an integer of 1 or more) steady state feature quantities corresponding to the steady state of the network for a predetermined period from the log collected by the log collection device that collects network logs. Extracting each of a plurality of different steady states, data included in the log, and data for a predetermined period used for determining the state of the network, and the latest of the plurality of steady states An extraction unit that extracts a determination target data feature amount that is a feature amount corresponding to determination target data that is data in a period after the steady state period as coordinates indicating an n-dimensional point;
For each of the plurality of steady states, an n-dimensional feature amount region indicating a region where the plurality of steady state feature amounts are distributed from the plurality of steady state feature amounts extracted by the extraction unit for each of the plurality of steady states. A feature amount region generation unit to be generated;
The feature amount region corresponding to the steady state of the latest period among the feature amount regions for each of the plurality of steady states generated by the feature amount region generation unit and the determination target data feature amount extracted by the extraction unit An inter-feature distance calculation unit that calculates the distance between
Based on the distance calculated by the inter-feature distance calculation unit, it is determined whether the feature amount region corresponding to the steady state of the latest period and the determination target data feature amount extracted by the extraction unit are different from each other. A determination unit,
The inter-feature distance calculation unit
When the determination unit determines that the feature amount region corresponding to the steady state of the latest period and the determination target data feature amount are deviated, the feature amount region corresponding to the steady state of the latest period Calculating distances between all the feature amount regions other than and the determination target data feature amount,
The determination unit
Based on the respective distances between all the feature amount regions other than the feature amount region corresponding to the steady state of the latest period calculated by the inter-feature distance calculation unit and the determination target data feature amount, the network A network state determination apparatus characterized by determining a state of a network. 前記抽出部は、
特異値分解を用いることにより前記定常状態特徴量と前記判定対象データ特徴量とを抽出することを特徴とする請求項1記載のネットワーク状態判定装置。 The extraction unit includes:
Singular value decomposition the steady state characteristic amount and the determination target data features and the claim 1 Symbol mounting network condition determination device and extracting the by using. コンピュータを、Computer
ネットワークのログを収集するログ収集装置の収集した前記ログから前記ネットワークの所定期間の定常状態に対応する特徴量であるn次元(nは1以上の整数)の複数の定常状態特徴量を期間の異なる複数の定常状態のそれぞれについて抽出するとともに、前記ログに含まれるデータであって前記ネットワークの状態の判定に使用される所定期間のデータであり、かつ、前記複数の定常状態のうちの最新の定常状態の期間よりも後の期間のデータである判定対象データに対応する特徴量である判定対象データ特徴量をn次元の点を示す座標として抽出する抽出部、A plurality of n-dimensional (n is an integer of 1 or more) steady state feature quantities corresponding to the steady state of the network for a predetermined period from the log collected by the log collection device that collects network logs. Extracting each of a plurality of different steady states, data included in the log, and data for a predetermined period used for determining the state of the network, and the latest of the plurality of steady states An extraction unit that extracts a determination target data feature amount, which is a feature amount corresponding to determination target data that is data in a period after the steady state period, as coordinates indicating an n-dimensional point;
前記抽出部が前記複数の定常状態のそれぞれについて抽出した前記複数の定常状態特徴量から前記複数の定常状態特徴量の分布する領域を示すn次元の特徴量領域を前記複数の定常状態のそれぞれについて生成する特徴量領域生成部、For each of the plurality of steady states, an n-dimensional feature amount region indicating a region where the plurality of steady state feature amounts are distributed from the plurality of steady state feature amounts extracted by the extraction unit for each of the plurality of steady states. A feature region generation unit to generate,
前記特徴量領域生成部が生成した前記複数の定常状態のそれぞれについての前記特徴量領域のうち最新の期間の定常状態に対応する前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量との距離を算出する特徴間距離算出部、The feature amount region corresponding to the steady state of the latest period among the feature amount regions for each of the plurality of steady states generated by the feature amount region generation unit and the determination target data feature amount extracted by the extraction unit An inter-feature distance calculator that calculates the distance to
前記特徴間距離算出部が算出した距離に基づいて、最新の期間の定常状態に対応する前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量とが乖離しているかどうかを判定する判定部Based on the distance calculated by the inter-feature distance calculation unit, it is determined whether the feature amount region corresponding to the steady state of the latest period and the determination target data feature amount extracted by the extraction unit are different from each other. Judgment part
として機能させるためのプログラムであって、Is a program for functioning as
前記特徴間距離算出部は、The inter-feature distance calculation unit
前記判定部が最新の期間の定常状態に対応する前記特徴量領域と前記判定対象データ特徴量とが乖離していると判定した場合には、最新の期間の定常状態に対応する前記特徴量領域以外の他の全ての前記特徴量領域と前記判定対象データ特徴量との距離をそれぞれ算出し、When the determination unit determines that the feature amount region corresponding to the steady state of the latest period and the determination target data feature amount are deviated, the feature amount region corresponding to the steady state of the latest period Calculating distances between all the feature amount regions other than and the determination target data feature amount,
前記判定部は、The determination unit
前記特徴間距離算出部が算出した最新の期間の定常状態に対応する前記特徴量領域以外の他の全ての前記特徴量領域と前記判定対象データ特徴量とのそれぞれの距離に基づいて、前記ネットワークの状態を判定することを特徴とするネットワーク状態判定プログラム。Based on the respective distances between all the feature amount regions other than the feature amount region corresponding to the steady state of the latest period calculated by the inter-feature distance calculation unit and the determination target data feature amount, the network A network status determination program for determining the status of a network. ネットワーク状態判定装置が行うネットワーク状態判定方法において、In the network status determination method performed by the network status determination device,
抽出部が、ネットワークのログを収集するログ収集装置の収集した前記ログから前記ネットワークの所定期間の定常状態に対応する特徴量であるn次元(nは1以上の整数)の複数の定常状態特徴量を期間の異なる複数の定常状態のそれぞれについて抽出するとともに、前記ログに含まれるデータであって前記ネットワークの状態の判定に使用される所定期間のデータであり、かつ、前記複数の定常状態のうちの最新の定常状態の期間よりも後の期間のデータである判定対象データに対応する特徴量である判定対象データ特徴量をn次元の点を示す座標として抽出し、A plurality of n-dimensional (n is an integer of 1 or more) steady state features that are feature quantities corresponding to a steady state for a predetermined period of the network from the log collected by a log collection device that collects network logs by an extraction unit The amount is extracted for each of a plurality of steady states having different periods, is data included in the log, and is data for a predetermined period used for determining the state of the network. A determination target data feature amount that is a feature amount corresponding to the determination target data that is data in a period after the latest steady state period is extracted as coordinates indicating an n-dimensional point,
特徴量領域生成部が、前記抽出部が前記複数の定常状態のそれぞれについて抽出した前記複数の定常状態特徴量から前記複数の定常状態特徴量の分布する領域を示すn次元の特徴量領域を前記複数の定常状態のそれぞれについて生成し、The feature amount region generation unit obtains an n-dimensional feature amount region indicating a region in which the plurality of steady state feature amounts are distributed from the plurality of steady state feature amounts extracted by the extraction unit for each of the plurality of steady states. Generated for each of a plurality of steady states,
特徴間距離算出部が、前記特徴量領域生成部が生成した前記複数の定常状態のそれぞれについての前記特徴量領域のうち最新の期間の定常状態に対応する前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量との距離を算出し、The feature distance calculation unit extracts the feature amount region and the extraction unit corresponding to the latest steady state among the feature amount regions for each of the plurality of steady states generated by the feature amount region generation unit. And calculating a distance from the determination target data feature amount,
判定部が、前記特徴間距離算出部が算出した距離に基づいて、最新の期間の定常状態に対応する前記特徴量領域と前記抽出部が抽出した前記判定対象データ特徴量とが乖離しているかどうかを判定し、Based on the distance calculated by the inter-feature distance calculating unit, whether or not the feature amount region corresponding to the steady state of the latest period is different from the determination target data feature amount extracted by the extracting unit Determine whether
前記特徴間距離算出部は、The inter-feature distance calculation unit
前記判定部が最新の期間の定常状態に対応する前記特徴量領域と前記判定対象データ特徴量とが乖離していると判定した場合には、最新の期間の定常状態に対応する前記特徴量領域以外の他の全ての前記特徴量領域と前記判定対象データ特徴量との距離をそれぞれ算出し、When the determination unit determines that the feature amount region corresponding to the steady state of the latest period and the determination target data feature amount are deviated, the feature amount region corresponding to the steady state of the latest period Calculating distances between all the feature amount regions other than and the determination target data feature amount,
前記判定部は、The determination unit
前記特徴間距離算出部が算出した最新の期間の定常状態に対応する前記特徴量領域以外の他の全ての前記特徴量領域と前記判定対象データ特徴量とのそれぞれの距離に基づいて、前記ネットワークの状態を判定することを特徴とするネットワーク状態判定方法。Based on the respective distances between all the feature amount regions other than the feature amount region corresponding to the steady state of the latest period calculated by the inter-feature distance calculation unit and the determination target data feature amount, the network A network state determination method characterized by determining a state of a network.
JP2006117453A 2006-04-21 2006-04-21 Network status determination device, network status determination method, and network status determination program Expired - Fee Related JP4745881B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006117453A JP4745881B2 (en) 2006-04-21 2006-04-21 Network status determination device, network status determination method, and network status determination program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006117453A JP4745881B2 (en) 2006-04-21 2006-04-21 Network status determination device, network status determination method, and network status determination program

Publications (2)

Publication Number Publication Date
JP2007295056A JP2007295056A (en) 2007-11-08
JP4745881B2 true JP4745881B2 (en) 2011-08-10

Family

ID=38765261

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006117453A Expired - Fee Related JP4745881B2 (en) 2006-04-21 2006-04-21 Network status determination device, network status determination method, and network status determination program

Country Status (1)

Country Link
JP (1) JP4745881B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008146157A (en) * 2006-12-06 2008-06-26 Mitsubishi Electric Corp Network abnormality decision device
JP4723466B2 (en) * 2006-12-19 2011-07-13 三菱電機株式会社 Data processing apparatus, data processing method, and program
EP3379772B1 (en) * 2016-02-24 2020-08-12 Nippon Telegraph And Telephone Corporation Analysis method, analysis device, and analysis program
JP6734228B2 (en) * 2017-06-14 2020-08-05 日本電信電話株式会社 Abnormality detection device and abnormality detection method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002344447A (en) * 2001-05-17 2002-11-29 Fujitsu Ltd Device for analyzing traffic fluctuation factor and program for analyzing traffic variable factor
JP2005038116A (en) * 2003-07-18 2005-02-10 Hitachi Ltd Fraudulent intrusion analysis device
JP2005236862A (en) * 2004-02-23 2005-09-02 Kddi Corp Log analyzing device and program, and recording medium
JP2007243459A (en) * 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp Traffic state extracting apparatus and method, and computer program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002344447A (en) * 2001-05-17 2002-11-29 Fujitsu Ltd Device for analyzing traffic fluctuation factor and program for analyzing traffic variable factor
JP2005038116A (en) * 2003-07-18 2005-02-10 Hitachi Ltd Fraudulent intrusion analysis device
JP2005236862A (en) * 2004-02-23 2005-09-02 Kddi Corp Log analyzing device and program, and recording medium
JP2007243459A (en) * 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp Traffic state extracting apparatus and method, and computer program

Also Published As

Publication number Publication date
JP2007295056A (en) 2007-11-08

Similar Documents

Publication Publication Date Title
US9298538B2 (en) Methods and systems for abnormality analysis of streamed log data
JP6669156B2 (en) Application automatic control system, application automatic control method and program
KR101083519B1 (en) Anomaly detection in data perspectives
US8117486B2 (en) Method and system for detecting an anomalous networked device
JP6656211B2 (en) Information processing apparatus, information processing method, and information processing program
US8892510B2 (en) Analysis-program storing recording medium, analyzing apparatus, and analytic method
JP2011065440A (en) Log data analysis device and log data analysis method of the same, and log data analysis program
EP2932393B1 (en) Automated correlation and analysis of callstack and context data
JP6866930B2 (en) Production equipment monitoring equipment, production equipment monitoring method and production equipment monitoring program
US20160255109A1 (en) Detection method and apparatus
EP3795975A1 (en) Abnormality sensing apparatus, abnormality sensing method, and abnormality sensing program
JP2007242002A (en) Network management device and method, and program
JP4745881B2 (en) Network status determination device, network status determination method, and network status determination program
US20080215601A1 (en) System monitoring program, system monitoring method, and system monitoring apparatus
JP7501266B2 (en) Driving assistance device, driving assistance system, and driving assistance method
Zheng et al. Density peaks clustering‐based steady/transition mode identification and monitoring of multimode processes
JP4723466B2 (en) Data processing apparatus, data processing method, and program
CN114944957B (en) Abnormal data detection method and device, computer equipment and storage medium
JPWO2007007410A1 (en) Message analysis apparatus, control method, and control program
JP2008146157A (en) Network abnormality decision device
JP2008140100A (en) Information processor, data determination method and program
JPWO2020202433A1 (en) Information processing device and API usage history display program
JP2007189644A (en) Managing device, managing method, and program
JP2011186712A (en) Performance analysis apparatus, performance analysis method and performance analysis program
US20210397598A1 (en) Data management method, data management system and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110124

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110215

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110510

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110512

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees