JP6835702B2 - 異常推定装置、異常推定方法及びプログラム - Google Patents

異常推定装置、異常推定方法及びプログラム Download PDF

Info

Publication number
JP6835702B2
JP6835702B2 JP2017231355A JP2017231355A JP6835702B2 JP 6835702 B2 JP6835702 B2 JP 6835702B2 JP 2017231355 A JP2017231355 A JP 2017231355A JP 2017231355 A JP2017231355 A JP 2017231355A JP 6835702 B2 JP6835702 B2 JP 6835702B2
Authority
JP
Japan
Prior art keywords
abnormality
estimation
atypical
communication network
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017231355A
Other languages
English (en)
Other versions
JP2019101712A (ja
Inventor
松尾 洋一
洋一 松尾
暁 渡邉
暁 渡邉
敬志郎 渡辺
敬志郎 渡辺
川原 亮一
亮一 川原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017231355A priority Critical patent/JP6835702B2/ja
Publication of JP2019101712A publication Critical patent/JP2019101712A/ja
Application granted granted Critical
Publication of JP6835702B2 publication Critical patent/JP6835702B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、異常推定装置、異常推定方法及びプログラムに関する。
通信ネットワークで発生した異常の対応は、異常検知、異常箇所・要因の特定、復旧の順に行われる。異常箇所・要因の特定では、例えば、因果モデルによる異常箇所・要因の推定手法が行われている(非特許文献1〜3参照)。因果モデルによる異常箇所・要因の推定手法は、学習フェーズと推論フェーズとの2つのフェーズから構成される。
学習フェーズでは、通信ネットワークシステムの構成要素であるルータやサーバ等の異常と、通信ネットワークシステムの構成要素から得られるエラーログやアラート、トラヒック量等を表す様々な観測情報の値との因果関係を表す因果モデルを構築する。
因果モデルは、例えば、通信ネットワークシステムの構成要素の1つ1つを機器・要因状態層のノードとし、各ノードで異常が発生した場合に影響を与える観測状態層のノードに向かって重み付きのエッジを張ることで構築される。この重みは条件付き確率で規定される。通信ネットワークシステムの専門家の知識や過去に発生した異常の事例情報等に基づいて、全てのノードに対して重み付きエッジを張ることで、通信ネットワークシステム全体の因果関係を記述した因果モデルが得られる。
推論フェーズでは、通信ネットワークシステムで異常が発生したときに得られる観測情報の値と、学習フェーズで作成した因果モデルとから、事前確率と条件付き確率とが最大になるようにエッジを逆に辿ることで、異常箇所・要因を推定する。なお、事前確率と条件付き確率とが最大となる場合の事後確率を最大事後確率と呼び、この時の機器・要因状態層の値が推定結果である。
ここで、因果モデルは、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて構築されるが、構築された因果モデルは必ずしも正確でない場合がある。例えば、因果モデルには、過去に発生したことがない異常が発生した場合の因果関係は記述されない。また、通信ネットワークシステムを構成する機器が更改された場合等には、当該機器を示すノードと、観測状態層のノードとの因果関係が変わる場合もあり、学習フェーズのみで通信ネットワークシステム全体の因果関係を正確に記述した因果モデルを構築することは困難である。
また、異常が発生しても機器がアラートを出力しない場合や観測情報の分析ミス等によって観測状態層のノードを異常状態と推定してしまう場合がある。このように、本来の観測情報の状態(言い換えれば、真の観測状態)を必ずしも容易に判断できない場合がある。このような異常は非定型異常と呼ばれる。一方で、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて構築される因果モデルで推定可能な異常は定型異常と呼ばれる。
これに対して、観測情報の不正確性に対応する関数を導入し、推定時に因果モデルの修正を行うことで、非定型異常の異常箇所・要因も推定可能な因果モデルによる異常箇所・要因の推定手法が提案されている(非特許文献4参照)。
Srikanth Kandula, Dina Katabi, and Jean-philippe Vasseur. Shrink: A tool for failure diagnosis in IP networks. Proceedings of the 2005 ACM SIGCOMM workshop on Mining network data, pages 173-178, 2005. R.R. Kompella, J. Yates, A. Greenberg, and A.C. Snoeren. IP Fault Localization via Risk Modeling. IEEE Transactions on Dependable and Secure Computing, 7(4):1-14, 2010. He Yan, Lee Breslau, Zihui Ge, Dan Massey, Dan Pei, and Jennifer Yates. G-RCA: A Generic Root Cause Analysis Platform for Service Quality Management in Large IP Networks. IEEE/ACM Transactions on Networking, 20(6):1734-1747, 2012. 松尾洋一, 中野雄介, 渡邉暁, 渡辺敬志郎, 石橋圭介, 川原亮一, "非定型故障の原因箇所推定技術の検討," 信学会総合大会, B-7-35, 2017.
ところで、通信ネットワークで発生した異常が非定型異常であった場合、例えば、機器と観測情報との因果関係は事前に構築した因果モデルと異なることがある。そこで、非特許文献4では、最大事後確率pと、エッジに変更を与える関数及び観測状態に対するノイズを与える関数による変換度合いの大きさとを比較しながら、因果モデルを修正する修正候補を全パターン試し(すなわち、修正候補の全探索を行って)、当該因果モデルを修正することで、非定型異常が発生した場合における異常箇所・要因の推定を可能としている。しかしながら、非特許文献4に開示されている推定手法では、機器数や観測数が増加すると、因果モデルの修正候補が組み合わせ的に増加する。例えば、機器・要因数をN、観測数をMとした場合、その組み合わせ数は2×2となる。
このため、非特許文献4に開示されている推定手法では、異常箇所・要因の推定に膨大な時間を要していた。
本発明は、上記の点に鑑みてなされたもので、非定型異常の異常箇所・要因の推定に要する時間を短縮させることを目的とする。
そこで、本発明の実施の形態では、通信ネットワークの異常箇所を推定する異常推定装置であって、前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手段と、前記推定手段により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手段と、前記異常種別判定手段により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差によって前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手段と、を有することを特徴とする。
非定型異常の異常箇所・要因の推定に要する時間を短縮させることができる。
本発明の実施の形態における異常推定装置の機能構成の一例を示す図である。 本発明の実施の形態における因果モデルの構築処理の一例を示すフローチャートである。 本発明の実施の形態における異常推定処理の一例を示すフローチャートである。 本発明の実施の形態における異常推定装置のハードウェア構成の一例を示す図である。
以下、本発明の実施の形態について、図面を参照しながら説明する。以降では、因果モデルによる異常箇所・要因の推定手法により、通信ネットワークで発生した異常の異常箇所・要因を推定する異常推定装置10について説明する。
因果モデルによる異常箇所・要因の推定手法では、現在の観測情報の値に対して、事前確率と条件付き確率とが最大となる事後確率(最大事後確率)を計算することで、機器・要因状態層を推定する。
そこで、本発明の実施の形態では、機器・要因の状態層X=(x,・・・,x)と、観測情報の状態層Y=(y,・・・,y)とを結んだ有向マルコフモデルにおいて事前確率と条件付き確率とを定義し、これらの事前確率と条件付き確率とによって事後確率を新たに定義する。学習フェーズでは、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、この事後確率により表されるモデル(因果モデル)を構築する。そして、推論フェーズでは、現在の観測情報の値に対して、この事後確率を最大化させる機器・要因の状態を推定することで、異常箇所・要因を推定する。
なお、観測情報は、上述したように、例えば、通信ネットワークシステムの構成要素から得られるエラーログやアラート、トラヒック量等を表す情報である。観測情報の値(観測値)は、例えば、エラーログやアラートである場合に「1」、そうでない場合に「0」となる。同様に、観測情報の値(観測値)は、例えば、機器のトラヒック量が或る閾値を超えた場合に「1」、そうでない場合に「0」となる。
<事前確率>
まず、事前確率を定義する。xを機器・要因iの状態とし、xは0又は1を取る確率変数とする。ここで、0は正常状態を表し、1は異常状態を表すものとする。また、N個の機器・要因iの状態に対して、機器・要因の状態層XをX=(x,・・・,x)とし、
Figure 0006835702
 とする。ここで、αは機器・要因の異常度合を表す事前確率のパラメータである。
このとき、N個の機器・要因群に対して、事前確率P(X|α)を以下の数2で定義する。
Figure 0006835702
<条件付き確率>
次に条件付き確率を定義する。yを観測情報jの観測値とし、yは0又は1を取る確率変数とする。ここで、0は正常状態が観測されたことを表し、1は異常状態が観測されたことを表すものとする。また、M個の観測情報jの観測値に対して、観測情報の状態層YをY=(y,・・・,y)とする。
更に、zを異常の種別を表す確率変数とする。zは1又は2を取り、z=1は定型異常、z=2は非定型異常を表すものとし、
Figure 0006835702
 とする。ここで、γは定型異常又は非定型異常の出現のし易さを表すパラメータである。なお、通信ネットワークで異常が発生した場合、zの値が1であるか又は2であるかは決定されている(言い換えれば、通信ネットワークで発生した異常が定型異常又は非定型異常のいずれであるかは決定されている)が、本実施形態ではzを確率変数として扱う。
また、φを機器・要因の状態層Xと観測情報の状態層Yとの因果関係の有無を表す分布とする。機器・要因iの状態xと、観測情報jの観測値yとに対して、φ i,jは定型異常が発生した場合の因果関係の有無を表す分布であり、例えば非特許文献1〜3に開示されている手法を用いて決定される。なお、φ i,jは決定的に決まる分布であるが、本実施形態では確率分布として扱う。
一方で、機器・要因iの状態xと、観測情報jの観測値yとに対して、φ i,jは非定型異常が発生した場合の因果関係を表す分布であり、
Figure 0006835702
 とする。ここで、θはパラメータである。
このとき、δをデルタ関数とし、真であれば1を、そうでなければ0を返す関数として、条件付き確率P(Y|X,z,φ,φθ,β,γ)を以下の数5で定義する。

Figure 0006835702
 ここで、βは、機器・要因群の異常と、異常状態を示す観測値との因果関係の影響度合いを表す条件付き確率のパラメータである。また、cは規格化定数である。
<事後確率>
次に、事後確率を定義する。上記の数2で定義した事前確率と、上記の数5で定義した条件付き確率とを用いて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)は、以下の数6で定義される。
Figure 0006835702
 この事後確率が学習フェーズで構築される因果モデルである。
<異常箇所・要因の推定>
次に、上記の数6で定義した事後確率P(X,Y,z,φ,φ,θ,α,β,γ)を用いて異常箇所・要因を推定する場合について説明する。通信ネットワークで発生した異常の種別が定型異常である場合、現在の観測情報に対して、z=1として、以下の数7により最大事後確率p^と、以下の数8により機器・要因状態X^とを計算する。
Figure 0006835702
Figure 0006835702
 この機器・要因状態X^が定型異常である場合の推定結果(例えば、異常箇所・要因の推定結果)である。なお、上記の数7及び数8は、例えば、確率伝搬法等を用いて計算することができる。確率伝搬法については、例えば、参考文献「Bishop, Christopher M. (2006), Pattern Recognition and Machine Learning, Springer, ISBN 0-387-31073-8」を参照されたい。
一方で、通信ネットワークで発生した異常の種別が非定型異常である場合、現在の観測情報に対して、z=2として、以下の数9により機器・要因状態X^を計算する。
Figure 0006835702
 ここで、c´は規格化定数である。
この機器・要因状態X^が非定型異常である場合の推定結果である。なお、上記の数9は、例えば、ギブスサンプリング等を用いて計算することができる。ギブスサンプリングについては上記の参考文献を参照されたい。
上記の数9は、φにより非定型異常の因果関係を表し、θとφとを変化させつつ、φとφとが乖離し過ぎないようにするペナルティ項τ(|φ−φ)を導入することで、非定型異常時の因果関係を推定する問題とした。言い換えれば、数9は、φとφとの乖離度(分布の差)に重み付けを調整する任意の定数τを乗じた値をペナルティ項として導入し、事後確率が最大となるX、θ、φを求める問題である。なお、|・|はL2ノルムである。ペナルティ項はφとφとの乖離度に基づく値であれば良く、例えば、L1ノルム等が用いられても良い。
このように確率モデルで定式化することで、ギブスサンプリング等の手法を使用でき、全探索する必要がなくなるため計算時間を短縮することができる。
<機能構成>
次に、本発明の実施の形態における異常推定装置10の機能構成について、図1を参照しながら説明する。図1は、本発明の実施の形態における異常推定装置10の機能構成の一例を示す図である。
図1に示すように、本発明の実施の形態における異常推定装置10は、モデル構築部101と、異常推定処理部102と、異常種別判定部103と、UI部104とを有する。また、本発明の実施の形態における異常推定装置10は、モデル構築用情報記憶部105と、因果モデル記憶部106とを記憶する。
モデル構築用情報記憶部105は、因果モデルを構築するための情報(例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等)を記憶する。因果モデル記憶部106は、モデル構築部101により構築された因果モデルを示す情報(例えば、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ等)が記憶される。
モデル構築部101は、学習フェーズにおいて、モデル構築用情報記憶部105に記憶されている情報(例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等)に基づいて、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルを構築する。例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ(例えば、θ、α、β、γ等)が決定されることで、因果モデルが構築される。
異常推定処理部102は、推論フェーズにおいて、観測情報を取得する度に、当該観測情報と、モデル構築部101により構築された因果モデルとを用いて、数7に示す最大事後確率p^と、数8に示す機器・要因状態X^とを計算する。また、異常推定処理部102は、異常種別判定部103により異常の種別が非定型異常であると判定された場合、上記の数9に示す機器・要因状態X^とを計算する。
すなわち、異常推定処理部102は、通信ネットワークで発生した異常の種別が定型異常である場合には、数8に示す機器・要因状態X^によって異常箇所・要因を推定する。一方で、異常推定処理部102は、通信ネットワークで発生した異常の種別が非定型異常である場合には、モデル構築部101により構築された因果モデルを、定型異常と非定型異常との分布の差とした表現したモデルに修正し、このモデル(以降では「修正モデル」とも表す。)を用いて、数9に示す機器・要因状態X^を計算して、異常箇所・要因を推定する。
なお、異常推定装置10は、例えば、各機器のエラーログやアラート、トラヒック量等を収集する収集装置から観測情報を取得しても良いし、異常推定装置10が各機器からエラーログやアラート、トラヒック情報等を収集することで観測情報を取得しても良い。
異常種別判定部103は、異常推定処理部102により計算された最大事後確率p^に基づいて、通信ネットワークで発生した異常の種別を判定する。異常種別判定部103は、例えば、最大事後確率p^と、予め設定された閾値とを比較し、最大事後確率p^が閾値以上である場合に定型異常、最大事後確率p^が閾値未満である場合に非定型異常と判定すれば良い。なお、異常の種別の判定手法は、これに限られない。ただし、可能な限り判定精度が高い方が好ましい。
UI部104は、異常推定処理部102による推定結果(すなわち、通信ネットワークで発生した異常箇所・要因)を表示する。通信ネットワークで発生した異常箇所・要因が表示されることで、オペレータ等は、異常箇所・要因に応じた復旧作業を行うことができる。
なお、本発明の実施の形態における異常推定装置10は、1台のコンピュータで構成されていても良いし、複数台のコンピュータで構成されていても良い。異常推定装置10が複数台のコンピュータで構成されている場合、当該異常推定装置10が有する各機能部(モデル構築部101、異常推定処理部102、異常種別判定部103、及びUI部104)は、複数台のコンピュータに分散されていても良い。
また、異常推定装置10が複数台のコンピュータで構成されている場合、当該異常推定装置10が有する各記憶部(モデル構築用情報記憶部105及び因果モデル記憶部106)は、複数台のコンピュータに分散されていても良い。
<因果モデルの構築処理>
次に、本発明の実施の形態における因果モデルの構築処理について、図2を参照しながら説明する。図2は、本発明の実施の形態における因果モデルの構築処理の一例を示すフローチャートである。なお、因果モデルの構築処理は、学習フェーズにおける処理である。
ステップS101:モデル構築部101は、例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等をモデル構築用情報記憶部105から取得する。
ステップS102:次に、モデル構築部101は、モデル構築用情報記憶部105から取得した情報に基づいて、上記の数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルを構築する。モデル構築部101は、例えば、通信ネットワークの構成情報や過去に発生した異常の事例情報等に基づいて、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ(例えば、θ、α、β、γ等)を決定することで、因果モデルを構築される。
そして、モデル構築部101は、構築した因果モデルを示す情報(例えば、事後確率P(X,Y,z,φ,φ,θ,α,β,γ)の各パラメータ等)を因果モデル記憶部106に記憶する。
以上により、本発明の実施の形態における異常推定装置10では、学習フェーズにおいて、数6に示す事後確率P(X,Y,z,φ,φ,θ,α,β,γ)により表される因果モデルが構築される。
<異常推定処理>
次に、本発明の実施の形態における異常推定処理について、図3を参照しながら説明する。図3は、本発明の実施の形態における異常推定処理の一例を示すフローチャートである。なお、異常推定処理は、推論フェーズにおける処理である。また、異常推定処理は、観測情報が取得される度に実行される。
ステップS201:まず、異常推定処理部102は、取得した観測情報と、因果モデル記憶部106に記憶されている因果モデルとを用いて、数7に示す最大事後確率p^と、数8に示す機器・要因状態X^とを計算する。これにより、通信ネットワークで発生した異常が定型異常である場合における異常箇所・要因が推定される。
ステップS202:異常種別判定部103は、異常推定処理部102により計算された最大事後確率p^に基づいて、通信ネットワークで発生した異常の種別が定型異常又は非定型異常のいずれであるかを判定する。
通信ネットワークで発生した異常の種別が非定型異常であると判定された場合、ステップS203に進み、通信ネットワークで発生した異常の種別が定型異常であると判定された場合、ステップS204に進む。
ステップS203:異常種別判定部103により異常の種別が非定型異常であると判定された場合、異常推定処理部102は、観測情報と、修正モデルとを用いて、数9に示す機器・要因状態X^を計算する。これにより、通信ネットワークで発生した異常が非定型異常である場合における異常箇所・要因が推定される。上述したように、数9に示す機器・要因状態X^は、例えば、ギブスサンプリングを用いて計算することができる。このため、非特許文献4に開示されている推定手法のように全探索を行う必要がなくなり、計算時間を短縮することができる。
ステップS204:UI部104は、ステップS201又はステップS203で計算された機器・要因状態X^(すなわち、通信ネットワークで発生した異常箇所・要因)を表示する。すなわち、通信ネットワークで発生した異常が定型異常である場合には、ステップS201で計算された機器・要因状態X^が表示される。一方で、通信ネットワークで発生した異常が非定型異常である場合には、ステップS203で計算された機器・要因状態X^が表示される。
以上により、本発明の実施の形態における異常推定装置10では、推論フェーズにおいて、学習フェーズで構築した因果モデルを用いて、異常箇所・要因を推定することができる。しかも、本発明の実施の形態における異常推定装置10では、通信ネットワークで発生した異常の種別が非定型異常である場合には、当該因果モデルを修正したモデルを用いて、異常箇所・要因を推定する。このため、通信ネットワークで発生した異常が非定型異常であっても、異常箇所・要因の推定を短時間で行うことができるようになる。
なお、図3に示す例では、ステップS201で数8に示す機器・要因状態X^を計算し、定型異常の場合における異常箇所・要因を推定しているが、この推定は、ステップS202で異常の種別が定型異常であると判定された場合にのみ行われても良い。
<ハードウェア構成>
最後に、本発明の実施の形態における異常推定装置10のハードウェア構成について、図4を参照しながら説明する。図4は、本発明の実施の形態における異常推定装置10のハードウェア構成の一例を示す図である。
図4に示すように、本発明の実施の形態における異常推定装置10は、入力装置11と、表示装置12と、外部I/F13と、RAM(Random Access Memory)14と、ROM(Read Only Memory)15と、CPU(Central Processing Unit)16と、通信I/F17と、補助記憶装置18とを有する。これら各ハードウェアは、それぞれがバス19を介して通信可能に接続されている。
入力装置11は、例えばキーボードやマウス、タッチパネル等であり、ユーザが各種操作を入力するのに用いられる。表示装置12は、例えばディスプレイ等であり、異常推定装置10の処理結果を表示する。なお、異常推定装置10は、入力装置11及び表示装置12の少なくとも一方を有していなくても良い。
外部I/F13は、外部装置とのインタフェースである。外部装置には、記録媒体13a等がある。異常推定装置10は、外部I/F13を介して、記録媒体13a等の読み取りや書き込みを行うことができる。記録媒体13aには、例えば、本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラムが格納されていても良い。
記録媒体13aには、例えば、フレキシブルディスク、CD(Compact Disc)、DVD(Digital Versatile Disk)、SDメモリカード(Secure Digital memory card)、USB(Universal Serial Bus)メモリカード等がある。
RAM14は、プログラムやデータを一時保持する揮発性の半導体メモリである。ROM15は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリである。ROM15には、例えば、OS(Operating System)設定やネットワーク設定等が格納されている。CPU16は、ROM15や補助記憶装置18等からプログラムやデータをRAM14上に読み出して処理を実行する演算装置である。
通信I/F17は、異常推定装置10を通信ネットワークに接続するためのインタフェースである。本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラムは、例えば、通信I/F17を介して、所定のサーバ等から取得(ダウンロード)されても良い。
補助記憶装置18は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等であり、プログラムやデータを格納している不揮発性の記憶装置である。補助記憶装置18に格納されているプログラムやデータには、例えば、OS、当該OS上において各種機能を実現するアプリケーションプログラム、本発明の実施の形態における異常推定装置10が有する各機能部を実現するためのプログラム等がある。
本発明の実施の形態における異常推定装置10が有する各機能部(モデル構築部101、異常推定処理部102、異常種別判定部103、及びUI部104)は、当該異常推定装置10にインストールされた1以上のプログラムがCPU16に実行させる処理により実現される。
また、本発明の実施の形態における異常推定装置10が有する各記憶部(モデル構築用情報記憶部105及び因果モデル記憶部106)は、例えば補助記憶装置18を用いて実現される。なお、モデル構築用情報記憶部105及び因果モデル記憶部106の少なくとも一方の記憶部が、例えば、異常推定装置10と通信ネットワークを介して接続される記憶装置等を用いて実現されても良い。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
10 異常推定装置
101 モデル構築部
102 異常推定処理部
103 異常種別判定部
104 UI部
105 モデル構築用情報記憶部
106 因果モデル記憶部

Claims (6)

  1. 通信ネットワークの異常箇所を推定する異常推定装置であって、
    前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手段と、
    前記第1の推定手段により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手段と、
    前記異常種別判定手段により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差をペナルティ項として前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手段と、
    を有することを特徴とする異常推定装置。
  2. 前記異常が定型異常又は非定型異常のいずれであるかに応じて、前記第1の推定手段又は前記第2の推定手段のいずれかにより推定された前記異常箇所を出力する出力手段を有する、ことを特徴とする請求項1に記載の異常推定装置。
  3. 前記通信ネットワークを構成する機器の状態を表す機器状態層Xと、前記機器の観測情報の状態を表す観測状態層Yと、定型異常又は非定型異常のいずれかを表す確率変数zと、機器状態層Xから観測状態層Yへの因果関係を表す分布φとに基づいて、前記因果モデルを構築するモデル構築手段を有する、ことを特徴とする請求項1又は2に記載の異常推定装置。
  4. 前記第2の推定手段は、
    記修正モデルを表す式の最大値をギブスサンプリングにより計算することで、前記異常箇所を推定する、ことを特徴とする請求項1乃至3の何れか一項に記載の異常推定装置。
  5. 通信ネットワークの異常箇所を推定する異常推定装置が、
    前記通信ネットワークを構成する機器と、該機器の観測情報との因果関係を表す因果モデルを用いて最大事後確率を計算することで、前記通信ネットワークで発生した異常が定型異常である場合における前記異常箇所を推定する第1の推定手順と、
    前記第1の推定手順により計算された最大事後確率に基づいて、前記異常が非定型異常であるか否かを判定する異常種別判定手順と、
    前記異常種別判定手順により前記異常が非定型異常であると判定された場合、定型異常の分布と非定型異常の分布との差をペナルティ項として前記因果モデルを修正した修正モデルを用いて、前記異常が非定型異常である場合における前記異常箇所を推定する第2の推定手順と、
    を実行することを特徴とする異常推定方法。
  6. コンピュータを、請求項1乃至4の何れか一項に記載の異常推定装置における各手段として機能させるためのプログラム。
JP2017231355A 2017-12-01 2017-12-01 異常推定装置、異常推定方法及びプログラム Active JP6835702B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017231355A JP6835702B2 (ja) 2017-12-01 2017-12-01 異常推定装置、異常推定方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017231355A JP6835702B2 (ja) 2017-12-01 2017-12-01 異常推定装置、異常推定方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2019101712A JP2019101712A (ja) 2019-06-24
JP6835702B2 true JP6835702B2 (ja) 2021-02-24

Family

ID=66973738

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017231355A Active JP6835702B2 (ja) 2017-12-01 2017-12-01 異常推定装置、異常推定方法及びプログラム

Country Status (1)

Country Link
JP (1) JP6835702B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024034024A1 (ja) * 2022-08-09 2024-02-15 日本電信電話株式会社 因果モデル構築装置、異常箇所推定装置、因果モデル構築方法、異常箇所推定方法、及びプログラム
WO2024157419A1 (ja) * 2023-01-26 2024-08-02 富士通株式会社 情報処理プログラム,情報処理装置及び情報処理方法

Also Published As

Publication number Publication date
JP2019101712A (ja) 2019-06-24

Similar Documents

Publication Publication Date Title
US11016834B2 (en) Hybrid and hierarchical outlier detection system and method for large scale data protection
JP7103274B2 (ja) 検知装置及び検知プログラム
WO2013111560A1 (ja) 運用管理装置、運用管理方法、及びプログラム
US20180121275A1 (en) Method and apparatus for detecting and managing faults
WO2011099341A1 (ja) 障害原因抽出装置、障害原因抽出方法およびプログラム記憶媒体
JP6845126B2 (ja) 故障確率算出装置、故障確率算出方法及びプログラム
JP7081741B2 (ja) ネットワークデバイスの状態を判定するための方法及び装置
JP6649294B2 (ja) 状態判定装置、状態判定方法及びプログラム
US10769866B2 (en) Generating estimates of failure risk for a vehicular component
JP2014527214A5 (ja)
JP6835702B2 (ja) 異常推定装置、異常推定方法及びプログラム
JPWO2020136859A1 (ja) 推定装置、推定方法、及びプログラム
JP6954379B2 (ja) 異常箇所特定装置、異常箇所特定方法及びプログラム
US20160093118A1 (en) Generating Estimates of Failure Risk for a Vehicular Component in Situations of High-Dimensional and Low Sample Size Data
JP6728830B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
JP6787873B2 (ja) 異常種別判定装置、異常種別判定方法及びプログラム
CN116467111A (zh) 根因定位方法、装置、电子设备及存储介质
CN116542507A (zh) 流程异常检测方法、电子设备、计算机存储介质及程序产品
JP7414135B2 (ja) モデル構築装置、推定装置、モデル構築方法、推定方法及びプログラム
US11595244B2 (en) Recovery support apparatus, recovery support method and program
JP6627258B2 (ja) システムモデル生成支援装置、システムモデル生成支援方法、及び、プログラム
TWI824681B (zh) 裝置管理系統、裝置的障礙原因推測方法以及非暫時性地記憶程式的記憶媒體
US11973658B2 (en) Model construction apparatus, estimation apparatus, model construction method, estimation method and program
WO2024034024A1 (ja) 因果モデル構築装置、異常箇所推定装置、因果モデル構築方法、異常箇所推定方法、及びプログラム
WO2023188017A1 (ja) 学習用データ生成装置、学習用データ生成方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210204

R150 Certificate of patent or registration of utility model

Ref document number: 6835702

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150