JP6835702B2 - Anomaly estimation device, anomaly estimation method and program - Google Patents

Anomaly estimation device, anomaly estimation method and program Download PDF

Info

Publication number
JP6835702B2
JP6835702B2 JP2017231355A JP2017231355A JP6835702B2 JP 6835702 B2 JP6835702 B2 JP 6835702B2 JP 2017231355 A JP2017231355 A JP 2017231355A JP 2017231355 A JP2017231355 A JP 2017231355A JP 6835702 B2 JP6835702 B2 JP 6835702B2
Authority
JP
Japan
Prior art keywords
abnormality
estimation
atypical
communication network
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017231355A
Other languages
Japanese (ja)
Other versions
JP2019101712A (en
Inventor
松尾 洋一
洋一 松尾
暁 渡邉
暁 渡邉
敬志郎 渡辺
敬志郎 渡辺
川原 亮一
亮一 川原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017231355A priority Critical patent/JP6835702B2/en
Publication of JP2019101712A publication Critical patent/JP2019101712A/en
Application granted granted Critical
Publication of JP6835702B2 publication Critical patent/JP6835702B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、異常推定装置、異常推定方法及びプログラムに関する。 The present invention relates to anomaly estimation devices, anomaly estimation methods and programs.

通信ネットワークで発生した異常の対応は、異常検知、異常箇所・要因の特定、復旧の順に行われる。異常箇所・要因の特定では、例えば、因果モデルによる異常箇所・要因の推定手法が行われている(非特許文献1〜3参照)。因果モデルによる異常箇所・要因の推定手法は、学習フェーズと推論フェーズとの2つのフェーズから構成される。 Responses to abnormalities that occur in communication networks are performed in the order of abnormality detection, identification of abnormal locations / causes, and recovery. In identifying the abnormal location / factor, for example, a method of estimating the abnormal location / factor using a causal model is performed (see Non-Patent Documents 1 to 3). The method of estimating the abnormal part / factor by the causal model consists of two phases, a learning phase and an inference phase.

学習フェーズでは、通信ネットワークシステムの構成要素であるルータやサーバ等の異常と、通信ネットワークシステムの構成要素から得られるエラーログやアラート、トラヒック量等を表す様々な観測情報の値との因果関係を表す因果モデルを構築する。 In the learning phase, the causal relationship between abnormalities in routers and servers, which are the components of the communication network system, and the values of various observation information representing error logs, alerts, traffic, etc. obtained from the components of the communication network system is examined. Build a causal model to represent.

因果モデルは、例えば、通信ネットワークシステムの構成要素の1つ1つを機器・要因状態層のノードとし、各ノードで異常が発生した場合に影響を与える観測状態層のノードに向かって重み付きのエッジを張ることで構築される。この重みは条件付き確率で規定される。通信ネットワークシステムの専門家の知識や過去に発生した異常の事例情報等に基づいて、全てのノードに対して重み付きエッジを張ることで、通信ネットワークシステム全体の因果関係を記述した因果モデルが得られる。 In the causal model, for example, each component of the communication network system is a node of the device / factor state layer, and each node is weighted toward the node of the observation state layer that affects when an abnormality occurs. It is built by stretching the edges. This weight is defined by a conditional probability. A causal model that describes the causal relationship of the entire communication network system can be obtained by adding weighted edges to all nodes based on the knowledge of communication network system experts and case information of abnormalities that have occurred in the past. Be done.

推論フェーズでは、通信ネットワークシステムで異常が発生したときに得られる観測情報の値と、学習フェーズで作成した因果モデルとから、事前確率と条件付き確率とが最大になるようにエッジを逆に辿ることで、異常箇所・要因を推定する。なお、事前確率と条件付き確率とが最大となる場合の事後確率を最大事後確率と呼び、この時の機器・要因状態層の値が推定結果である。 In the inference phase, the edges are traced in reverse so that the prior and conditional probabilities are maximized from the values of observation information obtained when an abnormality occurs in the communication network system and the causal model created in the learning phase. By doing so, the abnormal location / factor is estimated. The posterior probability when the prior probability and the conditional probability are maximum is called the maximum posterior probability, and the value of the device / factor state layer at this time is the estimation result.

ここで、因果モデルは、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて構築されるが、構築された因果モデルは必ずしも正確でない場合がある。例えば、因果モデルには、過去に発生したことがない異常が発生した場合の因果関係は記述されない。また、通信ネットワークシステムを構成する機器が更改された場合等には、当該機器を示すノードと、観測状態層のノードとの因果関係が変わる場合もあり、学習フェーズのみで通信ネットワークシステム全体の因果関係を正確に記述した因果モデルを構築することは困難である。 Here, the causal model is constructed based on the configuration information of the communication network, the case information of the abnormality that has occurred in the past, and the like, but the constructed causal model may not always be accurate. For example, the causal model does not describe the causal relationship when an abnormality that has never occurred in the past occurs. In addition, when the equipment that composes the communication network system is renewed, the causal relationship between the node indicating the equipment and the node in the observation state layer may change, and the causality of the entire communication network system may change only in the learning phase. It is difficult to build a causal model that accurately describes the relationship.

また、異常が発生しても機器がアラートを出力しない場合や観測情報の分析ミス等によって観測状態層のノードを異常状態と推定してしまう場合がある。このように、本来の観測情報の状態(言い換えれば、真の観測状態)を必ずしも容易に判断できない場合がある。このような異常は非定型異常と呼ばれる。一方で、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて構築される因果モデルで推定可能な異常は定型異常と呼ばれる。 In addition, even if an abnormality occurs, the device may not output an alert, or a node in the observation state layer may be estimated to be in an abnormal state due to an analysis error of observation information. In this way, the state of the original observation information (in other words, the true observation state) may not always be easily determined. Such abnormalities are called atypical abnormalities. On the other hand, anomalies that can be estimated by a causal model constructed based on communication network configuration information and case information of anomalies that have occurred in the past are called typical anomalies.

これに対して、観測情報の不正確性に対応する関数を導入し、推定時に因果モデルの修正を行うことで、非定型異常の異常箇所・要因も推定可能な因果モデルによる異常箇所・要因の推定手法が提案されている(非特許文献4参照)。 On the other hand, by introducing a function corresponding to the inaccuracy of observation information and modifying the causal model at the time of estimation, the abnormal location / factor of the atypical anomaly can also be estimated by the causal model. An estimation method has been proposed (see Non-Patent Document 4).

Srikanth Kandula, Dina Katabi, and Jean-philippe Vasseur. Shrink: A tool for failure diagnosis in IP networks. Proceedings of the 2005 ACM SIGCOMM workshop on Mining network data, pages 173-178, 2005.Srikanth Kandula, Dina Katabi, and Jean-philippe Vasseur. Shrink: A tool for failure diagnosis in IP networks. Proceedings of the 2005 ACM SIGCOMM workshop on Mining network data, pages 173-178, 2005. R.R. Kompella, J. Yates, A. Greenberg, and A.C. Snoeren. IP Fault Localization via Risk Modeling. IEEE Transactions on Dependable and Secure Computing, 7(4):1-14, 2010.R.R. Kompella, J. Yates, A. Greenberg, and A.C. Snoeren. IP Fault Localization via Risk Modeling. IEEE Transactions on Dependable and Secure Computing, 7 (4): 1-14, 2010. He Yan, Lee Breslau, Zihui Ge, Dan Massey, Dan Pei, and Jennifer Yates. G-RCA: A Generic Root Cause Analysis Platform for Service Quality Management in Large IP Networks. IEEE/ACM Transactions on Networking, 20(6):1734-1747, 2012.He Yan, Lee Breslau, Zihui Ge, Dan Massey, Dan Pei, and Jennifer Yates. G-RCA: A Generic Root Cause Analysis Platform for Service Quality Management in Large IP Networks. IEEE / ACM Transactions on Networking, 20 (6): 1734-1747, 2012. 松尾洋一, 中野雄介, 渡邉暁, 渡辺敬志郎, 石橋圭介, 川原亮一, "非定型故障の原因箇所推定技術の検討," 信学会総合大会, B-7-35, 2017.Yoichi Matsuo, Yusuke Nakano, Akira Watanabe, Keishiro Watanabe, Keisuke Ishibashi, Ryoichi Kawahara, "Examination of technique for estimating the cause of atypical failure," Shinkai General Conference, B-7-35, 2017.

ところで、通信ネットワークで発生した異常が非定型異常であった場合、例えば、機器と観測情報との因果関係は事前に構築した因果モデルと異なることがある。そこで、非特許文献4では、最大事後確率pと、エッジに変更を与える関数及び観測状態に対するノイズを与える関数による変換度合いの大きさとを比較しながら、因果モデルを修正する修正候補を全パターン試し(すなわち、修正候補の全探索を行って)、当該因果モデルを修正することで、非定型異常が発生した場合における異常箇所・要因の推定を可能としている。しかしながら、非特許文献4に開示されている推定手法では、機器数や観測数が増加すると、因果モデルの修正候補が組み合わせ的に増加する。例えば、機器・要因数をN、観測数をMとした場合、その組み合わせ数は2×2となる。 By the way, when the abnormality generated in the communication network is an atypical abnormality, for example, the causal relationship between the device and the observation information may be different from the causal model constructed in advance. Therefore, in Non-Patent Document 4, all patterns of modification candidates for modifying the causal model are tried while comparing the maximum posteriori probability p with the magnitude of the degree of conversion by the function that changes the edge and the function that gives noise to the observed state. By modifying the causal model (that is, performing a full search for modification candidates), it is possible to estimate the abnormal location / factor when an atypical abnormality occurs. However, in the estimation method disclosed in Non-Patent Document 4, as the number of devices and the number of observations increase, the number of candidates for modification of the causal model increases in combination. For example, when the number of devices / factors is N and the number of observations is M, the number of combinations is 2 N × 2 M.

このため、非特許文献4に開示されている推定手法では、異常箇所・要因の推定に膨大な時間を要していた。 Therefore, in the estimation method disclosed in Non-Patent Document 4, it takes an enormous amount of time to estimate the abnormal portion / factor.

本発明は、上記の点に鑑みてなされたもので、非定型異常の異常箇所・要因の推定に要する時間を短縮させることを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to shorten the time required for estimating an abnormal location / factor of an atypical abnormality.

そこで、本発明の実施の形態では、通信ネットワークの異常箇所を推定する異常推定装置であって、前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手段と、前記推定手段により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手段と、前記異常種別判定手段により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差によって前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手段と、を有することを特徴とする。 Therefore, in the embodiment of the present invention, an abnormality estimation device that estimates an abnormality location of a communication network, using a causal model that represents a causal relationship between the equipment constituting the communication network and the observation information of the equipment. By calculating the maximum a posteriori probability, based on the first estimation means for estimating the abnormality location when the abnormality generated in the communication network is a standard abnormality and the maximum a posteriori probability calculated by the estimation means. When the abnormality type determining means for determining whether or not the abnormality is an atypical abnormality and the abnormality type determining means determine that the abnormality is an atypical abnormality, the distribution of the typical abnormality and the distribution of the atypical abnormality. It is characterized by having a second estimation means for estimating the abnormal portion when the abnormality is an atypical abnormality by using a modified model in which the causal model is modified by the difference from the above.

非定型異常の異常箇所・要因の推定に要する時間を短縮させることができる。 It is possible to shorten the time required to estimate the abnormal location / factor of atypical abnormalities.

本発明の実施の形態における異常推定装置の機能構成の一例を示す図である。It is a figure which shows an example of the functional structure of the abnormality estimation apparatus in embodiment of this invention. 本発明の実施の形態における因果モデルの構築処理の一例を示すフローチャートである。It is a flowchart which shows an example of the construction process of the causal model in embodiment of this invention. 本発明の実施の形態における異常推定処理の一例を示すフローチャートである。It is a flowchart which shows an example of the abnormality estimation processing in embodiment of this invention. 本発明の実施の形態における異常推定装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware composition of the abnormality estimation apparatus in embodiment of this invention.

以下、本発明の実施の形態について、図面を参照しながら説明する。以降では、因果モデルによる異常箇所・要因の推定手法により、通信ネットワークで発生した異常の異常箇所・要因を推定する異常推定装置10について説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. Hereinafter, the abnormality estimation device 10 for estimating the abnormality location / factor of the abnormality generated in the communication network will be described by the method of estimating the abnormality location / factor by the causal model.

因果モデルによる異常箇所・要因の推定手法では、現在の観測情報の値に対して、事前確率と条件付き確率とが最大となる事後確率(最大事後確率)を計算することで、機器・要因状態層を推定する。 In the method of estimating abnormal locations / factors using a causal model, the posterior probability (maximum posterior probability) at which the prior probability and the conditional probability are maximized is calculated for the value of the current observation information to obtain the device / factor state. Estimate the layer.

そこで、本発明の実施の形態では、機器・要因の状態層X=(x,・・・,x)と、観測情報の状態層Y=(y,・・・,y)とを結んだ有向マルコフモデルにおいて事前確率と条件付き確率とを定義し、これらの事前確率と条件付き確率とによって事後確率を新たに定義する。学習フェーズでは、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、この事後確率により表されるモデル(因果モデル)を構築する。そして、推論フェーズでは、現在の観測情報の値に対して、この事後確率を最大化させる機器・要因の状態を推定することで、異常箇所・要因を推定する。 Therefore, in the embodiment of the present invention, the state layer X = (x 1 , ..., X N ) of the device / factor and the state layer Y = (y 1 , ..., Y M ) of the observation information. In the directed Markov model that connects the above, the prior probability and the conditional probability are defined, and the posterior probability is newly defined by these prior and conditional probabilities. In the learning phase, a model (causal model) represented by posterior probabilities is constructed based on communication network configuration information and case information of abnormalities that have occurred in the past. Then, in the inference phase, the abnormal location / factor is estimated by estimating the state of the device / factor that maximizes the posterior probability with respect to the value of the current observation information.

なお、観測情報は、上述したように、例えば、通信ネットワークシステムの構成要素から得られるエラーログやアラート、トラヒック量等を表す情報である。観測情報の値(観測値)は、例えば、エラーログやアラートである場合に「1」、そうでない場合に「0」となる。同様に、観測情報の値(観測値)は、例えば、機器のトラヒック量が或る閾値を超えた場合に「1」、そうでない場合に「0」となる。 As described above, the observation information is, for example, information representing an error log, an alert, a traffic amount, etc. obtained from a component of a communication network system. The value of the observation information (observed value) is, for example, "1" when it is an error log or an alert, and "0" when it is not. Similarly, the value of the observation information (observed value) is, for example, "1" when the traffic amount of the device exceeds a certain threshold value, and "0" when it is not.

<事前確率>
まず、事前確率を定義する。xを機器・要因iの状態とし、xは0又は1を取る確率変数とする。ここで、0は正常状態を表し、1は異常状態を表すものとする。また、N個の機器・要因iの状態に対して、機器・要因の状態層XをX=(x,・・・,x)とし、 <Prior probability>
First, we define prior probabilities. Let x i be the state of the device / factor i, and let x i be a random variable that takes 0 or 1. Here, 0 represents a normal state and 1 represents an abnormal state. Further, for the states of N devices / factors i, the state layer X of the devices / factors is set to X = (x 1 , ..., X N ).

Figure 0006835702
とする。ここで、αは機器・要因の異常度合を表す事前確率のパラメータである。
Figure 0006835702
 And. Here, α is a prior probability parameter representing the degree of abnormality of the device / factor.

このとき、N個の機器・要因群に対して、事前確率P(X|α)を以下の数2で定義する。 At this time, the prior probabilities P (X | α) are defined by the following equation 2 for N devices / factor groups.

Figure 0006835702
Figure 0006835702

<条件付き確率>
次に条件付き確率を定義する。yを観測情報jの観測値とし、yは0又は1を取る確率変数とする。ここで、0は正常状態が観測されたことを表し、1は異常状態が観測されたことを表すものとする。また、M個の観測情報jの観測値に対して、観測情報の状態層YをY=(y,・・・,y)とする。 <Conditional probability>
Next, we define conditional probabilities. the y j to the observed value of the observation information j, y j is a random variable that takes 0 or 1. Here, 0 indicates that a normal state has been observed, and 1 indicates that an abnormal state has been observed. Further, for the observed values of M observation information j, the state layer Y of the observation information is set to Y = (y 1 , ..., Y M ).

更に、zを異常の種別を表す確率変数とする。zは1又は2を取り、z=1は定型異常、z=2は非定型異常を表すものとし、 Further, let z be a random variable representing the type of abnormality. It is assumed that z takes 1 or 2, z = 1 represents a typical abnormality, and z = 2 represents an atypical abnormality.

Figure 0006835702
とする。ここで、γは定型異常又は非定型異常の出現のし易さを表すパラメータである。なお、通信ネットワークで異常が発生した場合、zの値が1であるか又は2であるかは決定されている(言い換えれば、通信ネットワークで発生した異常が定型異常又は非定型異常のいずれであるかは決定されている)が、本実施形態ではzを確率変数として扱う。
Figure 0006835702
 And. Here, γ is a parameter representing the ease of appearance of a typical abnormality or an atypical abnormality. When an abnormality occurs in the communication network, it is determined whether the value of z is 1 or 2 (in other words, the abnormality occurring in the communication network is either a standard abnormality or an atypical abnormality. However, in this embodiment, z is treated as a random variable.

また、φを機器・要因の状態層Xと観測情報の状態層Yとの因果関係の有無を表す分布とする。機器・要因iの状態xと、観測情報jの観測値yとに対して、φ i,jは定型異常が発生した場合の因果関係の有無を表す分布であり、例えば非特許文献1〜3に開示されている手法を用いて決定される。なお、φ i,jは決定的に決まる分布であるが、本実施形態では確率分布として扱う。 Further, φ z is a distribution showing the presence or absence of a causal relationship between the state layer X of the device / factor and the state layer Y of the observation information. A state x i of the device-factor i, with respect to the observed value y j observation information j, phi 1 i, j is a distribution representing the presence or absence of a causal relationship when the standard error occurs, for example, non-patent literature It is determined using the method disclosed in 1-3. Although φ 1 i and j are decisively determined distributions, they are treated as probability distributions in this embodiment.

一方で、機器・要因iの状態xと、観測情報jの観測値yとに対して、φ i,jは非定型異常が発生した場合の因果関係を表す分布であり、 On the other hand, the state x i of the device-factor i, with respect to the observed value y j observation information j, phi 2 i, j is a distribution representing the causal relationship when the atypical abnormality occurs,

Figure 0006835702
とする。ここで、θはパラメータである。
Figure 0006835702
 And. Here, θ is a parameter.

このとき、δをデルタ関数とし、真であれば1を、そうでなければ0を返す関数として、条件付き確率P(Y|X,z,φ,φθ,β,γ)を以下の数5で定義する。

At this time, the conditional probability P (Y | X, z, φ 1 , φ 2 , θ, β, γ ) is set as a delta function, 1 if true, and 0 otherwise. It is defined by the following number 5.

Figure 0006835702
ここで、βは、機器・要因群の異常と、異常状態を示す観測値との因果関係の影響度合いを表す条件付き確率のパラメータである。また、cは規格化定数である。
Figure 0006835702
 Here, β is a conditional probability parameter that represents the degree of influence of the causal relationship between the abnormality of the device / factor group and the observed value indicating the abnormal state. Further, c is a standardized constant.

<事後確率>
次に、事後確率を定義する。上記の数2で定義した事前確率と、上記の数5で定義した条件付き確率とを用いて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)は、以下の数6で定義される。 <Posterior probability>
Next, we define posterior probabilities. Using the prior probabilities defined in equation 2 above and the conditional probabilities defined in equation 5 above, posterior probabilities P (X, Y, z, φ 1 , φ 2, θ, α, β, γ) Is defined by the following equation 6.

Figure 0006835702
この事後確率が学習フェーズで構築される因果モデルである。
Figure 0006835702
 This posterior probability is a causal model constructed in the learning phase.

<異常箇所・要因の推定>
次に、上記の数6で定義した事後確率P(X,Y,z,φ,φ,θ,α,β,γ)を用いて異常箇所・要因を推定する場合について説明する。通信ネットワークで発生した異常の種別が定型異常である場合、現在の観測情報に対して、z=1として、以下の数7により最大事後確率p^と、以下の数8により機器・要因状態X^とを計算する。 <Estimation of abnormal parts / factors>
Next, a case where the abnormality location / factor is estimated using the posterior probabilities P (X, Y, z, φ 1 , φ 2, θ, α, β, γ) defined by the above equation 6 will be described. When the type of abnormality that occurred in the communication network is a standard abnormality, the maximum posteriori probability p ^ is determined by the following number 7 and the device / factor state X is set according to the following number 8 with z = 1 for the current observation information. Calculate with ^.

Figure 0006835702
Figure 0006835702

Figure 0006835702
この機器・要因状態X^が定型異常である場合の推定結果(例えば、異常箇所・要因の推定結果)である。なお、上記の数7及び数8は、例えば、確率伝搬法等を用いて計算することができる。確率伝搬法については、例えば、参考文献「Bishop, Christopher M. (2006), Pattern Recognition and Machine Learning, Springer, ISBN 0-387-31073-8」を参照されたい。
Figure 0006835702
 This is an estimation result (for example, an estimation result of an abnormal location / factor) when the device / factor state X ^ is a standard abnormality. The above equations 7 and 8 can be calculated by using, for example, belief propagation. For the belief propagation method, refer to the reference "Bishop, Christopher M. (2006), Pattern Recognition and Machine Learning, Springer, ISBN 0-387-31073-8", for example.

一方で、通信ネットワークで発生した異常の種別が非定型異常である場合、現在の観測情報に対して、z=2として、以下の数9により機器・要因状態X^を計算する。 On the other hand, when the type of abnormality generated in the communication network is an atypical abnormality, the device / factor state X ^ is calculated by the following equation 9 with z = 2 for the current observation information.

Figure 0006835702
ここで、c´は規格化定数である。
Figure 0006835702
 Here, c'is a standardized constant.

この機器・要因状態X^が非定型異常である場合の推定結果である。なお、上記の数9は、例えば、ギブスサンプリング等を用いて計算することができる。ギブスサンプリングについては上記の参考文献を参照されたい。 This is an estimation result when this device / factor state X ^ is an atypical abnormality. The above number 9 can be calculated by using, for example, Gibbs sampling. See references above for Gibbs sampling.

上記の数9は、φにより非定型異常の因果関係を表し、θとφとを変化させつつ、φとφとが乖離し過ぎないようにするペナルティ項τ(|φ−φ)を導入することで、非定型異常時の因果関係を推定する問題とした。言い換えれば、数9は、φとφとの乖離度(分布の差)に重み付けを調整する任意の定数τを乗じた値をペナルティ項として導入し、事後確率が最大となるX、θ、φを求める問題である。なお、|・|はL2ノルムである。ペナルティ項はφとφとの乖離度に基づく値であれば良く、例えば、L1ノルム等が用いられても良い。 The above numbers 9, phi 2 by representing the causal relationship between atypical abnormal, while changing the θ and phi 2, phi 1 and phi 2 and the penalty term to avoid excessively deviate τ (| φ 1 - phi 2 | 2) by introducing was a problem of estimating a causal relation during atypical abnormalities. In other words, Equation 9 introduces a value obtained by multiplying the degree of divergence (difference in distribution) between φ 1 and φ 2 by an arbitrary constant τ that adjusts the weight as a penalty term, and X and θ that maximize the posterior probability. , Φ 2 is a problem. Note that | and | 2 are L2 norms. The penalty term may be a value based on the degree of deviation between φ 1 and φ 2, and for example, the L1 norm or the like may be used.

このように確率モデルで定式化することで、ギブスサンプリング等の手法を使用でき、全探索する必要がなくなるため計算時間を短縮することができる。 By formulating with a probabilistic model in this way, a method such as Gibbs sampling can be used, and the calculation time can be shortened because it is not necessary to perform a full search.

<機能構成>
次に、本発明の実施の形態における異常推定装置10の機能構成について、図1を参照しながら説明する。図1は、本発明の実施の形態における異常推定装置10の機能構成の一例を示す図である。 <Functional configuration>
Next, the functional configuration of the abnormality estimation device 10 according to the embodiment of the present invention will be described with reference to FIG. FIG. 1 is a diagram showing an example of the functional configuration of the abnormality estimation device 10 according to the embodiment of the present invention.

図1に示すように、本発明の実施の形態における異常推定装置10は、モデル構築部101と、異常推定処理部102と、異常種別判定部103と、UI部104とを有する。また、本発明の実施の形態における異常推定装置10は、モデル構築用情報記憶部105と、因果モデル記憶部106とを記憶する。 As shown in FIG. 1, the abnormality estimation device 10 according to the embodiment of the present invention includes a model construction unit 101, an abnormality estimation processing unit 102, an abnormality type determination unit 103, and a UI unit 104. Further, the abnormality estimation device 10 in the embodiment of the present invention stores the model building information storage unit 105 and the causal model storage unit 106.

モデル構築用情報記憶部105は、因果モデルを構築するための情報(例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等)を記憶する。因果モデル記憶部106は、モデル構築部101により構築された因果モデルを示す情報(例えば、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ等)が記憶される。 The model building information storage unit 105 stores information for building a causal model (for example, communication network configuration information, past case information of abnormalities, etc.). The causal model storage unit 106 contains information indicating the causal model constructed by the model construction unit 101 (for example, the posterior probability P (X, Y, z, φ 1 , φ 2, θ, α, β shown in the above equation 6). , Γ) parameters, etc.) are stored.

モデル構築部101は、学習フェーズにおいて、モデル構築用情報記憶部105に記憶されている情報(例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等)に基づいて、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルを構築する。例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ(例えば、θ、α、β、γ等)が決定されることで、因果モデルが構築される。 In the learning phase, the model building unit 101 is based on the information stored in the model building information storage unit 105 (for example, communication network configuration information, past case information of abnormalities, etc.), and the above number 6 A causal model represented by the posterior probabilities P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) shown in is constructed. For example, each parameter of posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) (for example, based on communication network configuration information, case information of anomalies that have occurred in the past, etc.) , Θ, α, β, γ, etc.), and a causal model is constructed.

異常推定処理部102は、推論フェーズにおいて、観測情報を取得する度に、当該観測情報と、モデル構築部101により構築された因果モデルとを用いて、数7に示す最大事後確率p^と、数8に示す機器・要因状態X^とを計算する。また、異常推定処理部102は、異常種別判定部103により異常の種別が非定型異常であると判定された場合、上記の数9に示す機器・要因状態X^とを計算する。 In the inference phase, the anomaly estimation processing unit 102 uses the observation information and the causal model constructed by the model construction unit 101 to obtain the maximum posteriori probability p ^ shown in Equation 7 each time the observation information is acquired. The device / factor state X ^ shown in Equation 8 is calculated. Further, when the abnormality estimation processing unit 102 determines that the abnormality type is an atypical abnormality by the abnormality type determination unit 103, the abnormality estimation processing unit 102 calculates the device / factor state X ^ shown in the above equation 9.

すなわち、異常推定処理部102は、通信ネットワークで発生した異常の種別が定型異常である場合には、数8に示す機器・要因状態X^によって異常箇所・要因を推定する。一方で、異常推定処理部102は、通信ネットワークで発生した異常の種別が非定型異常である場合には、モデル構築部101により構築された因果モデルを、定型異常と非定型異常との分布の差とした表現したモデルに修正し、このモデル(以降では「修正モデル」とも表す。)を用いて、数9に示す機器・要因状態X^を計算して、異常箇所・要因を推定する。 That is, when the type of abnormality generated in the communication network is a standard abnormality, the abnormality estimation processing unit 102 estimates the abnormality location / factor by the device / factor state X ^ shown in Equation 8. On the other hand, when the type of abnormality generated in the communication network is an atypical abnormality, the abnormality estimation processing unit 102 uses the causal model constructed by the model construction unit 101 as the distribution of the typical abnormality and the atypical abnormality. It is modified to a model expressed as a difference, and using this model (hereinafter, also referred to as a "modified model"), the device / factor state X ^ shown in Equation 9 is calculated to estimate the abnormal location / factor.

なお、異常推定装置10は、例えば、各機器のエラーログやアラート、トラヒック量等を収集する収集装置から観測情報を取得しても良いし、異常推定装置10が各機器からエラーログやアラート、トラヒック情報等を収集することで観測情報を取得しても良い。 The abnormality estimation device 10 may acquire observation information from a collection device that collects error logs, alerts, traffic amounts, etc. of each device, and the abnormality estimation device 10 may acquire error logs, alerts, and error logs and alerts from each device. Observation information may be acquired by collecting traffic information and the like.

異常種別判定部103は、異常推定処理部102により計算された最大事後確率p^に基づいて、通信ネットワークで発生した異常の種別を判定する。異常種別判定部103は、例えば、最大事後確率p^と、予め設定された閾値とを比較し、最大事後確率p^が閾値以上である場合に定型異常、最大事後確率p^が閾値未満である場合に非定型異常と判定すれば良い。なお、異常の種別の判定手法は、これに限られない。ただし、可能な限り判定精度が高い方が好ましい。 The abnormality type determination unit 103 determines the type of abnormality that has occurred in the communication network based on the maximum posteriori probability p ^ calculated by the abnormality estimation processing unit 102. The abnormality type determination unit 103 compares, for example, the maximum posteriori probability p ^ with a preset threshold value, and when the maximum posteriori probability p ^ is equal to or greater than the threshold value, the standard abnormality and the maximum posteriori probability p ^ are less than the threshold value. In some cases, it may be determined as an atypical abnormality. The method for determining the type of abnormality is not limited to this. However, it is preferable that the determination accuracy is as high as possible.

UI部104は、異常推定処理部102による推定結果(すなわち、通信ネットワークで発生した異常箇所・要因)を表示する。通信ネットワークで発生した異常箇所・要因が表示されることで、オペレータ等は、異常箇所・要因に応じた復旧作業を行うことができる。 The UI unit 104 displays the estimation result (that is, the abnormality location / factor that occurred in the communication network) by the abnormality estimation processing unit 102. By displaying the abnormal location / factor that occurred in the communication network, the operator or the like can perform recovery work according to the abnormal location / factor.

なお、本発明の実施の形態における異常推定装置10は、1台のコンピュータで構成されていても良いし、複数台のコンピュータで構成されていても良い。異常推定装置10が複数台のコンピュータで構成されている場合、当該異常推定装置10が有する各機能部(モデル構築部101、異常推定処理部102、異常種別判定部103、及びUI部104)は、複数台のコンピュータに分散されていても良い。 The abnormality estimation device 10 according to the embodiment of the present invention may be composed of one computer or a plurality of computers. When the abnormality estimation device 10 is composed of a plurality of computers, each functional unit (model construction unit 101, abnormality estimation processing unit 102, abnormality type determination unit 103, and UI unit 104) of the abnormality estimation device 10 has. , May be distributed across multiple computers.

また、異常推定装置10が複数台のコンピュータで構成されている場合、当該異常推定装置10が有する各記憶部(モデル構築用情報記憶部105及び因果モデル記憶部106)は、複数台のコンピュータに分散されていても良い。 When the abnormality estimation device 10 is composed of a plurality of computers, each storage unit (model construction information storage unit 105 and causal model storage unit 106) of the abnormality estimation device 10 may be used in a plurality of computers. It may be dispersed.

<因果モデルの構築処理>
次に、本発明の実施の形態における因果モデルの構築処理について、図2を参照しながら説明する。図2は、本発明の実施の形態における因果モデルの構築処理の一例を示すフローチャートである。なお、因果モデルの構築処理は、学習フェーズにおける処理である。 <Causal model construction process>
Next, the process of constructing the causal model according to the embodiment of the present invention will be described with reference to FIG. FIG. 2 is a flowchart showing an example of a causal model construction process according to the embodiment of the present invention. The causal model construction process is a process in the learning phase.

ステップS101:モデル構築部101は、例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等をモデル構築用情報記憶部105から取得する。 Step S101: The model building unit 101 acquires, for example, communication network configuration information, case information of an abnormality that has occurred in the past, and the like from the model building information storage unit 105.

ステップS102:次に、モデル構築部101は、モデル構築用情報記憶部105から取得した情報に基づいて、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルを構築する。モデル構築部101は、例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ(例えば、θ、α、β、γ等)を決定することで、因果モデルを構築される。 Step S102: Next, the model building unit 101 determines the posterior probability P (X, Y, z, φ 1 , φ 2 , θ) shown in the above equation 6 based on the information acquired from the model building information storage unit 105. , Α, β, γ) to build a causal model. The model building unit 101 has, for example, posterior probabilities P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ, based on communication network configuration information, case information of abnormalities that have occurred in the past, and the like. ), A causal model is constructed by determining each parameter (for example, θ, α, β, γ, etc.).

そして、モデル構築部101は、構築した因果モデルを示す情報(例えば、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ等)を因果モデル記憶部106に記憶する。 Then, the model building unit 101 uses information indicating the constructed causal model (for example, each parameter of posterior probability P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ)) as a causal model. It is stored in the storage unit 106.

以上により、本発明の実施の形態における異常推定装置10では、学習フェーズにおいて、数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルが構築される。 As described above, in the abnormality estimation device 10 according to the embodiment of the present invention, the posterior probabilities P (X, Y, z, φ 1 , φ 2 , θ, α, β, γ) shown in Equation 6 are used in the learning phase. A causal model is constructed.

<異常推定処理>
次に、本発明の実施の形態における異常推定処理について、図3を参照しながら説明する。図3は、本発明の実施の形態における異常推定処理の一例を示すフローチャートである。なお、異常推定処理は、推論フェーズにおける処理である。また、異常推定処理は、観測情報が取得される度に実行される。 <Abnormality estimation processing>
Next, the abnormality estimation process according to the embodiment of the present invention will be described with reference to FIG. FIG. 3 is a flowchart showing an example of abnormality estimation processing according to the embodiment of the present invention. The anomaly estimation process is a process in the inference phase. In addition, the abnormality estimation process is executed every time the observation information is acquired.

ステップS201:まず、異常推定処理部102は、取得した観測情報と、因果モデル記憶部106に記憶されている因果モデルとを用いて、数7に示す最大事後確率p^と、数8に示す機器・要因状態X^とを計算する。これにより、通信ネットワークで発生した異常が定型異常である場合における異常箇所・要因が推定される。 Step S201: First, the abnormality estimation processing unit 102 uses the acquired observation information and the causal model stored in the causal model storage unit 106 to show the maximum posteriori probability p ^ shown in Equation 7 and the maximum posteriori probability p ^ shown in Equation 8. Calculate the device / factor state X ^. As a result, the location and cause of the abnormality can be estimated when the abnormality that occurs in the communication network is a standard abnormality.

ステップS202:異常種別判定部103は、異常推定処理部102により計算された最大事後確率p^に基づいて、通信ネットワークで発生した異常の種別が定型異常又は非定型異常のいずれであるかを判定する。 Step S202: The abnormality type determination unit 103 determines whether the type of abnormality generated in the communication network is a standard abnormality or an atypical abnormality based on the maximum posteriori probability p ^ calculated by the abnormality estimation processing unit 102. To do.

通信ネットワークで発生した異常の種別が非定型異常であると判定された場合、ステップS203に進み、通信ネットワークで発生した異常の種別が定型異常であると判定された場合、ステップS204に進む。 If it is determined that the type of abnormality that has occurred in the communication network is an atypical abnormality, the process proceeds to step S203, and if it is determined that the type of abnormality that has occurred in the communication network is a standard abnormality, the process proceeds to step S204.

ステップS203:異常種別判定部103により異常の種別が非定型異常であると判定された場合、異常推定処理部102は、観測情報と、修正モデルとを用いて、数9に示す機器・要因状態X^を計算する。これにより、通信ネットワークで発生した異常が非定型異常である場合における異常箇所・要因が推定される。上述したように、数9に示す機器・要因状態X^は、例えば、ギブスサンプリングを用いて計算することができる。このため、非特許文献4に開示されている推定手法のように全探索を行う必要がなくなり、計算時間を短縮することができる。 Step S203: When the abnormality type determination unit 103 determines that the abnormality type is an atypical abnormality, the abnormality estimation processing unit 102 uses the observation information and the correction model to show the device / factor state shown in Equation 9. Calculate X ^. As a result, the location and cause of the abnormality can be estimated when the abnormality that occurs in the communication network is an atypical abnormality. As described above, the device / factor state X ^ shown in Equation 9 can be calculated using, for example, Gibbs sampling. Therefore, unlike the estimation method disclosed in Non-Patent Document 4, it is not necessary to perform a full search, and the calculation time can be shortened.

ステップS204:UI部104は、ステップS201又はステップS203で計算された機器・要因状態X^(すなわち、通信ネットワークで発生した異常箇所・要因)を表示する。すなわち、通信ネットワークで発生した異常が定型異常である場合には、ステップS201で計算された機器・要因状態X^が表示される。一方で、通信ネットワークで発生した異常が非定型異常である場合には、ステップS203で計算された機器・要因状態X^が表示される。 Step S204: The UI unit 104 displays the device / factor state X ^ (that is, the abnormal location / factor that occurred in the communication network) calculated in step S201 or step S203. That is, when the abnormality generated in the communication network is a standard abnormality, the device / factor state X ^ calculated in step S201 is displayed. On the other hand, when the abnormality generated in the communication network is an atypical abnormality, the device / factor state X ^ calculated in step S203 is displayed.

以上により、本発明の実施の形態における異常推定装置10では、推論フェーズにおいて、学習フェーズで構築した因果モデルを用いて、異常箇所・要因を推定することができる。しかも、本発明の実施の形態における異常推定装置10では、通信ネットワークで発生した異常の種別が非定型異常である場合には、当該因果モデルを修正したモデルを用いて、異常箇所・要因を推定する。このため、通信ネットワークで発生した異常が非定型異常であっても、異常箇所・要因の推定を短時間で行うことができるようになる。 As described above, in the abnormality estimation device 10 according to the embodiment of the present invention, in the inference phase, the abnormality location / factor can be estimated by using the causal model constructed in the learning phase. Moreover, in the abnormality estimation device 10 according to the embodiment of the present invention, when the type of abnormality generated in the communication network is an atypical abnormality, the abnormality location / factor is estimated by using a model obtained by modifying the causal model. To do. Therefore, even if the abnormality generated in the communication network is an atypical abnormality, the abnormality location / factor can be estimated in a short time.

なお、図3に示す例では、ステップS201で数8に示す機器・要因状態X^を計算し、定型異常の場合における異常箇所・要因を推定しているが、この推定は、ステップS202で異常の種別が定型異常であると判定された場合にのみ行われても良い。 In the example shown in FIG. 3, the device / factor state X ^ shown in Equation 8 is calculated in step S201 to estimate the abnormal location / factor in the case of a standard abnormality, but this estimation is abnormal in step S202. It may be performed only when it is determined that the type of is abnormal.

<ハードウェア構成>
最後に、本発明の実施の形態における異常推定装置10のハードウェア構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における異常推定装置10のハードウェア構成の一例を示す図である。 <Hardware configuration>
Finally, the hardware configuration of the abnormality estimation device 10 according to the embodiment of the present invention will be described with reference to FIG. FIG. 4 is a diagram showing an example of the hardware configuration of the abnormality estimation device 10 according to the embodiment of the present invention.

図4に示すように、本発明の実施の形態における異常推定装置10は、入力装置11と、表示装置12と、外部I/F13と、RAM(Random Access Memory)14と、ROM(Read Only Memory)15と、CPU(Central Processing Unit)16と、通信I/F17と、補助記憶装置18とを有する。これら各ハードウェアは、それぞれがバス19を介して通信可能に接続されている。 As shown in FIG. 4, the abnormality estimation device 10 according to the embodiment of the present invention includes an input device 11, a display device 12, an external I / F 13, a RAM (Random Access Memory) 14, and a ROM (Read Only Memory). ) 15, a CPU (Central Processing Unit) 16, a communication I / F 17, and an auxiliary storage device 18. Each of these hardware is communicably connected via the bus 19.

入力装置11は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置12は、例えばディスプレイ等であり、異常推定装置10の処理結果を表示する。なお、異常推定装置10は、入力装置11及び表示装置12の少なくとも一方を有していなくても良い。 The input device 11 is, for example, a keyboard, a mouse, a touch panel, or the like, and is used for a user to input various operations. The display device 12 is, for example, a display or the like, and displays the processing result of the abnormality estimation device 10. The abnormality estimation device 10 does not have to have at least one of the input device 11 and the display device 12.

外部I/F13は、外部装置とのインタフェースである。外部装置には、記録媒体13a等がある。異常推定装置10は、外部I/F13を介して、記録媒体13a等の読み取りや書き込みを行うことができる。記録媒体13aには、例えば、本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラムが格納されていても良い。 The external I / F 13 is an interface with an external device. The external device includes a recording medium 13a and the like. The abnormality estimation device 10 can read or write the recording medium 13a or the like via the external I / F 13. For example, the recording medium 13a may store a program for realizing each functional unit of the abnormality estimation device 10 according to the embodiment of the present invention.

記録媒体13aには、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等がある。 The recording medium 13a includes, for example, a flexible disk, a CD (Compact Disc), a DVD (Digital Versatile Disk), an SD memory card (Secure Digital memory card), a USB (Universal Serial Bus) memory card, and the like.

RAM14は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM15は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。ROM15には、例えば、OS(Operating System)設定やネットワーク設定等が格納されている。CPU16は、ROM15や補助記憶装置18等からプログラムやデータをRAM14上に読み出して処理を実行する演算装置である。 The RAM 14 is a volatile semiconductor memory that temporarily holds programs and data. The ROM 15 is a non-volatile semiconductor memory capable of holding programs and data even when the power is turned off. The ROM 15 stores, for example, OS (Operating System) settings, network settings, and the like. The CPU 16 is an arithmetic unit that reads a program or data from the ROM 15 or the auxiliary storage device 18 or the like onto the RAM 14 and executes processing.

通信I/F17は、異常推定装置10を通信ネットワークに接続するためのインタフェースである。本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラムは、例えば、通信I/F17を介して、所定のサーバ等から取得(ダウンロード)されても良い。 The communication I / F 17 is an interface for connecting the abnormality estimation device 10 to the communication network. The program for realizing each functional unit of the abnormality estimation device 10 according to the embodiment of the present invention may be acquired (downloaded) from a predetermined server or the like via, for example, communication I / F17.

補助記憶装置18は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等であり、プログラムやデータを格納している不揮発性の記憶装置である。補助記憶装置18に格納されているプログラムやデータには、例えば、OS、当該OS上において各種機能を実現するアプリケーションプログラム、本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラム等がある。 The auxiliary storage device 18 is, for example, an HDD (Hard Disk Drive), an SSD (Solid State Drive), or the like, and is a non-volatile storage device that stores programs and data. The programs and data stored in the auxiliary storage device 18 include, for example, an OS, an application program that realizes various functions on the OS, and each functional unit of the abnormality estimation device 10 according to the embodiment of the present invention. There is a program for this.

本発明の実施の形態における異常推定装置10が有する各機能部(モデル構築部101、異常推定処理部102、異常種別判定部103、及びUI部104)は、当該異常推定装置10にインストールされた1以上のプログラムがCPU16に実行させる処理により実現される。 Each functional unit (model construction unit 101, abnormality estimation processing unit 102, abnormality type determination unit 103, and UI unit 104) of the abnormality estimation device 10 according to the embodiment of the present invention is installed in the abnormality estimation device 10. It is realized by a process of causing the CPU 16 to execute one or more programs.

また、本発明の実施の形態における異常推定装置10が有する各記憶部(モデル構築用情報記憶部105及び因果モデル記憶部106)は、例えば補助記憶装置18を用いて実現される。なお、モデル構築用情報記憶部105及び因果モデル記憶部106の少なくとも一方の記憶部が、例えば、異常推定装置10と通信ネットワークを介して接続される記憶装置等を用いて実現されても良い。 Further, each storage unit (model construction information storage unit 105 and causal model storage unit 106) included in the abnormality estimation device 10 according to the embodiment of the present invention is realized by using, for example, an auxiliary storage device 18. In addition, at least one storage unit of the model construction information storage unit 105 and the causal model storage unit 106 may be realized by using, for example, a storage device connected to the abnormality estimation device 10 via a communication network or the like.

本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。 The present invention is not limited to the above-described embodiments specifically disclosed, and various modifications and modifications can be made without departing from the scope of claims.

10 異常推定装置
101 モデル構築部
102 異常推定処理部
103 異常種別判定部
104 UI部
105 モデル構築用情報記憶部
106 因果モデル記憶部 10 Abnormality estimation device 101 Model construction unit 102 Abnormality estimation processing unit 103 Abnormality type determination unit 104 UI unit 105 Model construction information storage unit 106 Causal model storage unit

Claims (6)

通信ネットワークの異常箇所を推定する異常推定装置であって、
前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手段と、
前記第1の推定手段により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手段と、
前記異常種別判定手段により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差をペナルティ項として前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手段と、
を有することを特徴とする異常推定装置。 An anomaly estimation device that estimates anomalous parts of a communication network.
By calculating the maximum posteriori probability using a causal model that represents the causal relationship between the devices that make up the communication network and the observation information of the devices, the abnormalities that occur in the communication network are typical abnormalities. The first estimation method for estimating the location and
An abnormality type determining means for determining whether or not the abnormality is an atypical abnormality based on the maximum posteriori probability calculated by the first estimation means, and
When the abnormality is determined to be an atypical abnormality by the abnormality type determining means, the modified model obtained by modifying the causal model with the difference between the distribution of the typical abnormality and the distribution of the atypical abnormality as a penalty term is used. A second estimation means for estimating the abnormal location when the abnormality is an atypical abnormality, and
Anomaly estimator characterized by having. 前記異常が定型異常又は非定型異常のいずれであるかに応じて、前記第1の推定手段又は前記第2の推定手段のいずれかにより推定された前記異常箇所を出力する出力手段を有する、ことを特徴とする請求項1に記載の異常推定装置。 Having an output means for outputting the abnormality portion estimated by either the first estimation means or the second estimation means depending on whether the abnormality is a standard abnormality or an atypical abnormality. The abnormality estimation device according to claim 1. 前記通信ネットワークを構成する機器の状態を表す機器状態層Xと、前記機器の観測情報の状態を表す観測状態層Yと、定型異常又は非定型異常のいずれかを表す確率変数zと、機器状態層Xから観測状態層Yへの因果関係を表す分布φとに基づいて、前記因果モデルを構築するモデル構築手段を有する、ことを特徴とする請求項1又は2に記載の異常推定装置。 A device state layer X representing the state of the devices constituting the communication network, an observation state layer Y representing the state of the observation information of the device, a random variable z representing either a typical abnormality or an atypical abnormality, and a device state. The abnormality estimation device according to claim 1 or 2, further comprising a model building means for constructing the causal model based on a distribution φ z representing a causal relationship from the layer X to the observation state layer Y. 前記第2の推定手段は、
記修正モデルを表す式の最大値をギブスサンプリングにより計算することで、前記異常箇所を推定する、ことを特徴とする請求項1乃至3の何れか一項に記載の異常推定装置。 The second estimation means is
The maximum value of the expression for the pre-Symbol correction model to calculate the Gibbs sampling, the estimates of the abnormal portion, the abnormality estimation apparatus according to any one of claims 1 to 3, characterized in that. 通信ネットワークの異常箇所を推定する異常推定装置が、
前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手順と、
前記第1の推定手順により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手順と、
前記異常種別判定手順により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差をペナルティ項として前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手順と、
を実行することを特徴とする異常推定方法。 An anomaly estimation device that estimates anomalous parts of a communication network
By calculating the maximum posteriori probability using a causal model that represents the causal relationship between the devices that make up the communication network and the observation information of the devices, the abnormalities that occur in the communication network are typical abnormalities. The first estimation procedure for estimating the location and
An abnormality type determination procedure for determining whether or not the abnormality is an atypical abnormality based on the maximum posteriori probability calculated by the first estimation procedure, and
When the abnormality is determined to be an atypical abnormality by the abnormality type determination procedure, the correction model obtained by modifying the causal model with the difference between the distribution of the typical abnormality and the distribution of the atypical abnormality as a penalty term is used. A second estimation procedure for estimating the abnormal location when the abnormality is an atypical abnormality, and
Anomaly estimation method characterized by executing. コンピュータを、請求項1乃至4の何れか一項に記載の異常推定装置における各手段として機能させるためのプログラム。 A program for causing a computer to function as each means in the abnormality estimation device according to any one of claims 1 to 4.
JP2017231355A 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program Active JP6835702B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017231355A JP6835702B2 (en) 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017231355A JP6835702B2 (en) 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program

Publications (2)

Publication Number Publication Date
JP2019101712A JP2019101712A (en) 2019-06-24
JP6835702B2 true JP6835702B2 (en) 2021-02-24

Family

ID=66973738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017231355A Active JP6835702B2 (en) 2017-12-01 2017-12-01 Anomaly estimation device, anomaly estimation method and program

Country Status (1)

Country Link
JP (1) JP6835702B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024034024A1 (en) * 2022-08-09 2024-02-15 日本電信電話株式会社 Causal model construction device, abnormal location estimation device, causal model construction method, abnormal location estimation method, and program

Also Published As

Publication number Publication date
JP2019101712A (en) 2019-06-24

Similar Documents

Publication Publication Date Title
US20210397938A1 (en) Detection device and detection program
US11016834B2 (en) Hybrid and hierarchical outlier detection system and method for large scale data protection
JP6160673B2 (en) Operation management apparatus, operation management method, and program
US20180121275A1 (en) Method and apparatus for detecting and managing faults
WO2011099341A1 (en) Error cause extraction device, error cause extraction method and program storage medium
JP6845126B2 (en) Failure probability calculation device, failure probability calculation method and program
JP6649294B2 (en) State determination device, state determination method, and program
US10769866B2 (en) Generating estimates of failure risk for a vehicular component
JP2014527214A5 (en)
JP2021516511A (en) Methods and devices for determining the status of network devices
JPWO2020136859A1 (en) Estimator, estimation method, and program
JP5971395B2 (en) System analysis apparatus and system analysis method
JP6835702B2 (en) Anomaly estimation device, anomaly estimation method and program
JP6954379B2 (en) Abnormal location identification device, abnormal location identification method and program
US20160093118A1 (en) Generating Estimates of Failure Risk for a Vehicular Component in Situations of High-Dimensional and Low Sample Size Data
JP6787873B2 (en) Abnormal type judgment device, abnormal type judgment method and program
CN116542507A (en) Process abnormality detection method, electronic device, computer storage medium, and program product
US20230195962A1 (en) Model construction apparatus, estimation apparatus, model construction method, estimation method and program
US11595244B2 (en) Recovery support apparatus, recovery support method and program
JP6627258B2 (en) System model generation support device, system model generation support method, and program
JP7359206B2 (en) Learning devices, learning methods, and programs
TWI824681B (en) Device management system, device failure cause estimation method, and memory medium for non-temporarily storing programs
US11973658B2 (en) Model construction apparatus, estimation apparatus, model construction method, estimation method and program
WO2024034024A1 (en) Causal model construction device, abnormal location estimation device, causal model construction method, abnormal location estimation method, and program
WO2022059108A1 (en) Detection device, detection method, and detection program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210204

R150 Certificate of patent or registration of utility model

Ref document number: 6835702

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150