JP7031743B2 - 異常検知装置 - Google Patents

異常検知装置 Download PDF

Info

Publication number
JP7031743B2
JP7031743B2 JP2020526823A JP2020526823A JP7031743B2 JP 7031743 B2 JP7031743 B2 JP 7031743B2 JP 2020526823 A JP2020526823 A JP 2020526823A JP 2020526823 A JP2020526823 A JP 2020526823A JP 7031743 B2 JP7031743 B2 JP 7031743B2
Authority
JP
Japan
Prior art keywords
abnormal
monitored data
detected
abnormality detection
monitored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020526823A
Other languages
English (en)
Other versions
JPWO2020003460A1 (ja
Inventor
毅彦 溝口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020003460A1 publication Critical patent/JPWO2020003460A1/ja
Application granted granted Critical
Publication of JP7031743B2 publication Critical patent/JP7031743B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、異常検知装置、異常検知方法、およびコンピュータ読み取り可能な記録媒体に関する。
各種の設備やシステムで異常が発生した場合、発生した異常を速やかに検知することが重要である。そのための異常検知方法が各種提案されている。
例えば、特許文献1では、Webサーバ等の被監視システムからCPU使用率、メモリ使用量などの複数の性能指標の計測値を被監視データとして収集し、この収集した性能指標の計測値を正常時の計測値と比較することにより、異常な性能指標を異常項目として検知している。
また、特許文献2では、Webサーバ等の被監視システムからシステムログを被監視データとして収集し、この収集したシステムログを正常時のシステムログと比較することにより、異常なシステムログを検知している。また特許文献2では、システムログに基づく異常検知と並行して、SNS情報を被監視データとして収集してネガティブな呟きに基づく異常検知を行い、双方の被監視データで異常があれば、障害が発生したと判断する。そして、特許文献2では、過去に異常検知したシステムログの単語出現分布と今回異常検知したシステムログの単語出現分布とを比較することにより、発生した障害がサイレント障害か否かを判定している。
WO2011/083687号公報 特開2015-28700号公報
上述したように、被監視システムの異常を検知するために利用する被監視データは、各種のものがある。例えば特許文献1では、CPU使用率、メモリ使用量などの性能指標の計測値を被監視データとして利用している。また、例えば特許文献2では、システムログを被監視データとし、さらにSNS情報を被監視データとして利用している。そして、一般に被監視データのそれぞれには一長一短がある。例えば、システムログによる異常検知は、異常の原因を特定するのが容易であるという長所がある。しかし、システムログによる異常検知は、性能指標の計測値に異常が生じた後に異常ログが出力されるプラントなどの被監視システムでは、性能指標の計測値による異常検知と比較して、異常の早期検知は困難である。一方、性能指標の計測値による異常検知は、プラントなどの被監視システムではシステムログによる異常検知が行われる以前に異常を検知できる利点があるが、異常の原因を特定するのは困難である。
以上のことから、被監視システムで発生した異常を総合的に判断するためには、種類の異なる複数の被監視データの異常を検知することが望ましい。しかし、上述したプラントなどの被監視システムに見られるように、複数の被監視データのそれぞれに異常が検知されるタイミングはずれている。即ち、プラントなどの被監視システムでは、先ず性能指標の計測値に異常が検知され、その後しばらくしてからシステムログに異常が検知される。そのため、特許文献2に記載されるように複数の被監視データの異常を単に検知する構成では、異常が発生してから複数の被監視データの異常が出揃うまでに長時間を要する。その結果、複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することは困難になる。
本発明の目的は、上述した課題、すなわち、複数の被監視データの異常を組み合わせ早期に総合的な判断を実施できない、という課題を解決する異常検知装置を提供することにある。
本発明の一形態に係る異常検知装置は、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、を備える。
また本発明の他の形態に係る異常検知方法は、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知し、
前記異常な第1の被監視データの検知と並行して、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知し、
前記異常な第1の被監視データが検知されたとき、前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部から、前記検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する。
また本発明の他の形態に係るコンピュータ読み取り可能な記録媒体は、
コンピュータを、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
して機能させるプログラムを記録する。
本発明は、上述した構成を有することにより、複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。
本発明の第1の実施の形態に係る異常検知装置のブロック図である。 本発明の第1の実施の形態に係る異常検知装置における第1の学習部の動作を説明する概念図である。 本発明の第1の実施の形態に係る異常検知装置における第1のモデルの内容例を示す図である。 本発明の第1の実施の形態に係る異常検知装置における記憶部に記憶されているデータ例を示す図である。 本発明の第1の実施の形態に係る異常検知装置における判定部の処理例を示すフローチャートである。 本発明の第2の実施の形態に係る異常検知装置のブロック図である。 本発明の第2の実施の形態に係る異常検知装置における記憶部に記憶されているデータ例を示す図である。 本発明の第2の実施の形態に係る異常検知装置における判定部の処理例を示すフローチャートである。 本発明の第3の実施の形態に係る異常検知装置のブロック図である。 本発明の第3の実施の形態に係る異常検知装置における第1の判定部の処理例を示すフローチャートである。 本発明の第3の実施の形態に係る異常検知装置における第2の判定部の処理例を示すフローチャートである。 本発明の第3の実施の形態に係る異常検知装置のブロック図である。 本発明に係る異常検知装置を実現する情報処理装置の構成例を示す図である。
次に本発明の実施の形態について図面を参照して詳細に説明する。
[第1の実施の形態]
図1は、本発明の第1の実施の形態に係る異常検知装置100のブロック図である。図1を参照すると、異常検知装置100は、有線または無線による通信路あるいはネットワークを通じて被監視システム200に接続されている。
被監視システム200は、異常検知の対象となるシステムである。本実施の形態では、異常が起きると、先ずセンサの計測値に異常が生じた後に異常ログが出力されるプラントシステムなどを被監視システム200とする。プラントシステムとしては、例えば発電プラント、化学プラント、水処理プラント、石油プラントなどが例示できる。被監視システム200は、複数の装置201から構成される。被監視システム200がプラントシステムの場合、装置201は、例えば、ボイラ、タービン、発電装置、制御コンピュータなどのプラント設備である。但し、被監視システム200は、プラントシステムに限定されない。
装置201は、装置201の各計測項目の計測値を計測するセンサ202を備えている。センサ202の計測項目は、例えば、温度、圧力、流量などである。センサ202は、センサデータ210を出力する。センサデータ210は、例えば、センサ202を一意に識別するセンサIDと、計測項目の計測値と、計測時刻を示すタイムスタンプとを含んでいる。計測項目は、性能指標とも呼ばれる。計測項目の計測値は、性能情報とも呼ばれる。
また、装置201は、テキスト形式のログデータ211を出力するログ記録部203を備えている。ログデータ211は、例えば、装置201の稼働状況や操作履歴を表すテキストメッセージと、採取時刻を示すタイムスタンプとを含んでいる。ログデータは、テキストログ、イベント情報とも呼ばれる。
異常検知装置100は、被監視システム200の異常を検知する装置である。異常検知装置100は、センサ202のセンサデータ210およびログ記録部203のログデータ211に基づいて、被監視システム200の異常を検知するように構成されている。異常検知装置100は、収集部101と、第1の学習部102と、第2の学習部103と、第1のモデル104と、第2のモデル105と、第1の異常検知部106と、第2の異常検知部107と、判定部108と、記憶部109と、出力部110とを備えている。
収集部101は、被監視システム200からセンサデータ210を定期的に収集するように構成されている。例えば、収集部101は、センサ202毎に、センサデータ210を例えば1分毎に収集する。定期的に収集されたセンサ202のセンサデータ210における計測値を時系列に並べたデータは、当該センサ202の時系列データと呼ばれる。時系列データは、センサ202毎に存在する。また、収集部101は、被監視システム200からログデータ211をリアルタイムに収集する。収集部101は、収集したセンサデータ210を第1の学習部102および第1の異常検知部106へ供給するように構成されている。また、収集部101は、収集したログデータ211を第2の学習部103および第2の異常検知部107へ供給するように構成されている。
第1の学習部102は、被監視システム200の正常運用中に、収集部101から供給されるセンサデータ210に基づいて、センサデータ210の時系列データ間に存在する不変的な相関関係(インバリアント)を自動的に抽出するように構成されている。正常運用中のセンサデータの時系列データは、正常時系列データとも呼ばれる。また、第1の学習部102は、抽出した相関関係を数式で表現し、当該数式を含むモデルデータを第1のモデル104として記憶するように構成されている。相関関数を表現する数式は、例えば、y=f(X)の形式とすることができる。この数式は、一方のセンサデータの計測値yを他方のセンサデータの計測値Xの関数として定義している。関数f(X)の次数や定数項は、計測値Xの値から計測値yの値が精度良く求まるように決定される。数式は、予測式とも呼ばれる。
図2は、第1の学習部102の動作を説明する概念図である。図中のグラフの縦軸は、センサの計測値、横軸は時間である。上段の2つのグラフは、左側がセンサID=1のセンサの時系列データ221を示し、右側がセンサID=2のセンサの時系列データ222を示している。両者は常に連動していて相関関係を数式で表現できるため、第1の学習部102は、これら2つの時系列データ221、222から、y2=f1(X1)なる数式を含むモデルデータを作成する。数式中のXの添え字“1”とyの添え字“2”は、センサIDを表している。即ち、X1はセンサID=1のセンサの計測値、y2はセンサID=2のセンサの計測値である。また、中段の2つのグラフは、左側がセンサID=3のセンサの時系列データ223を示し、右側がセンサID=4のセンサの時系列データ224を示している。両者は常に連動していないため、第1の学習部102は、これら2つの時系列データ223、224からはモデルデータを作成しない。下段の2つのグラフは、左側がセンサID=5のセンサの時系列データ225を示し、右側がセンサID=6のセンサの時系列データ226を示している。両者は常に連動していて相関関係を数式で表現できるため、第1の学習部102は、これら2つの時系列データ225、226から、y6=f2(X5)なる数式を含むモデルデータを作成する。
図3は、第1のモデル104の内容の一例を示す。第1のモデル104は、それぞれがモデルデータを格納する複数のエントリを有する。モデルデータは、第1のセンサID、第2のセンサID、および、数式から構成される。例えば、1行目のエントリには、第1のセンサID=1、第2のセンサID=2、第1のセンサIDのセンサの計測値X1と第2のセンサIDのセンサの計測値y2とに存在する不変的な相関関係を表す数式:y2=f1(X1)から構成されるモデルデータが記憶されている。
第1の異常検知部106は、被監視システム200の運用中に、収集部101から供給されるセンサデータ210の時系列データ間に存在する不変的な相関関係が破壊されたか否かを検知するように構成されている。具体的には、第1の異常検知部106は、第1のモデル104に登録されたモデルデータ毎に、以下の処理を行う。
まず、第1の異常検知部106は、実際に測定して得られた第1のセンサIDのセンサの測定値Xを、数式に代入して、第2のセンサIDのセンサの測定値yを算出する。次に、第1の異常検知部106は、算出したyの値と実際に測定して得られた第2のセンサIDのセンサの測定値とを比較して、両者のずれ量を算出する。次に、第1の異常検知部106は、算出したずれ量を閾値と比較し、ずれ量が閾値以上であれば、相関関係が破壊されていると判断し、ずれ量が閾値未満であれば、相関関係が破壊されていないと判断する。第1の異常検知部106は、相関関係が破壊されたと判断した場合、第1の異常検知結果を判定部108に出力する。第1の異常検知結果は、例えば、相関関係が破壊されたセンサIDのペア(第1のセンサIDと第2のセンサID)、相関関係の破壊を検知した時刻、両センサの時系列データを含んでいる。
例えば、図3の1行目のエントリに記憶されたモデルデータの場合、第1の異常検知部106は、センサID=1のセンサの測定値X1を関数f1(X1)に代入して、センサID=2のセンサの測定値y2を算出する。次に、第1の異常検知部106は、算出したy2の値と実際に測定して得られたセンサID=2のセンサの測定値yとを比較して、両者のずれ量Δを算出する。次に、第1の異常検知部106は、ずれ量Δを閾値THと比較し、ずれ量Δが閾値TH以上であれば、相関関係が破壊されていると判断し、ずれ量Δが閾値TH未満であれば、相関関係が破壊されていないと判断する。第1の異常検知部106は、相関関係が破壊されたと判断した場合、センサID=1、ID=2のペア、相関関係の破壊を検知した時刻t、両センサの時系列データを含む第1の異常検知結果を判定部108に出力する。
第2の学習部103は、被監視システム200の正常運用中に、収集部101から供給されるログデータ211からログのパターンを抽出し、抽出したログのパターンを第2のモデル105として記憶するように構成されている。正常運用中のログデータは、正常ログデータ、正常テキストログとも呼ばれる。ログのパターンは、例えば、ログの形式(フォーマット)や可変部の取り得る範囲(変数の種類、値の範囲)といったパターンである。ログのパターンは、ログの特徴量とも呼ばれる。
第2の異常検知部107は、被監視システム200の運用中に、収集部101から供給されるログデータ211からログのパターンを抽出し、抽出したログのパターンと第2のモデル105に記憶されたログのパターンとを比較するように構成されている。また、第2の異常検知部107は、被監視システム200の運用中に収集部101から供給されるログデータ211から抽出したログのパターンが、第2のモデル105に記憶された何れのログのパターンとも一致しない場合、当該ログデータ211を異常ログデータとして含む第2の異常検知結果を判定部108へ出力するように構成されている。
記憶部109は、第1の異常検知部106において異常であると検知されたセンサIDのペア(時系列データ間の不変的な相関関係の破壊が検知された2つのセンサのIDペア)と、その検知時刻と、当該検知時刻から一定時間が経過するまでに第2の異常検知部107において異常であると検知されたログデータ(異常ログデータ)とを関連付けて記憶するように構成されている。記憶部109は、判定部108から参照および更新される。初期状態の記憶部109には、有意なデータは記録されていない。
図4は、記憶部109に記憶されているデータの例を示す。記憶部109は、複数のエントリを有する。それぞれのエントリは、センサIDのペアと、検知時刻と、異常ログデータとから構成される。例えば、1行目のエントリには、センサID=1、ID=2のペアおよび検知時刻t1に対応付けて、ログデータAが記録されている。
判定部108は、第1の異常検知部106および第2の異常検知部107の検知結果に基づいて総合的な判断を行うことにより、第3の異常検知結果を生成するように構成されている。
図5は、判定部108の処理の一例を示すフローチャートである。図5を参照すると、判定部108は、先ず第1の異常検知部106から第1の異常検知結果を受信したか否かを判定する(ステップS1)。次に判定部108は、第1の異常検知結果を受信した場合(ステップS1でYES)、当該第1の異常検知結果中のセンサIDのペアに関連する異常ログデータが記憶部109に記憶されているか否かを調べる(ステップS2)。判定部108は、関連する異常ログデータが記憶部109に記憶されていたならば(ステップS2でYES)、関連する異常ログデータを将来発生すると予想される異常ログデータとして記憶部109から読み出す(ステップS3)。次に判定部108は、第1の異常検知結果と将来発生すると予想した上記異常ログデータとを含む第3の異常検知結果を作成して出力部110に伝達し、その出力を依頼する(ステップS4)。そして、判定部108は、ステップS1に戻り、上述した処理と同様の処理を繰り返す。
また、判定部108は、関連する異常ログデータが記憶部109に記憶されていなければ(ステップS2でNO)、第1の異常検知結果を含む第3の異常検知結果を作成して出力部110に伝達し、その出力を依頼する(ステップS5)。次に判定部108は、第1の異常検知結果中のセンサIDのペアと検知時刻とを記憶部109に登録する(ステップS6)。具体的には、ステップS6では、判定部108は、記憶部109の1つの空きエントリのセンサIDのペアの欄と検知時刻の欄に、第1の異常検知結果中のセンサIDのペアと検知時刻を登録し、異常ログデータの欄はNULL値としておく。そして、判定部108は、ステップS1に戻り、上述した処理と同様の処理を繰り返す。
また、判定部108は、第2の異常検知部107から第2の異常検知結果を受信したか否かを判定する(ステップS7)。次に判定部108は、第2の異常検知結果を受信していなければ(ステップS7でNO)、ステップS1に戻って、上述した処理と同様の処理を繰り返す。一方、判定部108は、第2の異常検知結果を受信したならば(ステップS7でYES)、第2の異常検知結果を含む第3の異常検知結果を作成して出力部110に伝達し、その出力を依頼する(ステップS8)。次に判定部108は、第2の異常検知結果である異常ログデータの採取時刻より一定時間前の時刻以降の検知時刻を有するセンサIDのペアが記憶部109に記憶されているか否かを調べる(ステップS9)。次に判定部108は、そのようなセンサIDのペアが記憶部109に記憶されていれば(ステップS9でYES)、第2の異常検知結果である異常ログデータを当該センサIDのペアに関連付けて記憶部109に登録する(ステップS10)。具体的には、当該センサIDのペアを記録するエントリの異常ログデータの欄に当該異常ログデータを記録する。そして、判定部108は、ステップS1に戻り、上述した処理と同様の処理を繰り返す。判定部108は、ステップS9において該当するセンサIDのペアが記憶部109に記憶されていないと判断したとき、ステップS10をスキップしてステップS1に戻り、上述した処理と同様の処理を繰り返す。
出力部110は、判定部108からの依頼に従い、判定部108から受け取った第3の異常検知結果を表示装置の画面に表示し、または/および、外部の端末装置へ送信するように構成されている。
異常検知装置100は、例えば図13に示すように、通信インタフェース部1001と、キーボードやマウスなどの操作入力部1002と、液晶ディスプレイ等の画面表示部1003と、メモリやハードディスク等の記憶部1004と、1以上のマイクロプロセッサ等の演算処理部1005とを有するパーソナルコンピュータ等の情報処理装置1000と、プログラム1100とで実現することができる。プログラム1100は、情報処理装置1000の立ち上げ時等に外部のコンピュータ読み取り可能な記憶媒体から記憶部1004に読み込まれ、演算処理部1005の動作を制御することにより、演算処理部1005上に、収集部101、第1の学習部102、第2の学習部103、第1のモデル104、第2のモデル105、第1の異常検知部106、第2の異常検知部107、判定部108、記憶部109、出力部110を実現する。
次に本実施形態に係る異常検知装置100の動作を説明する。異常検知装置100の動作は、学習時の動作と異常検知時の動作とに大別される。
<学習時の動作>
異常検知装置100は、被監視システム200の正常運用中に第1のモデル104および第2のモデル105を学習する。具体的には、異常検知装置100は、以下のような動作を行う。
収集部101は、被監視システム200からセンサデータ210を定期的に収集し、収集したセンサデータ210を第1の学習部102へ供給する。また、収集部101は、被監視システム200からログデータ211を収集し、収集したログデータ211を第2の学習部103へ供給する。
第1の学習部102は、収集部101から供給されるセンサデータ210に基づいて、センサデータ210の時系列データ間に存在する不変的な相関関係を抽出し、抽出した相関関係を表現する数式とセンサIDのペアとを含むモデルデータを第1のモデル104に登録する。また、第2の学習部103は、収集部101から供給されるログデータ211からログのパターンを抽出し、抽出したログのパターンを第2のモデル105に登録する。
<異常検知時の動作>
異常検知装置100は、上記学習した第1のモデル104および第2のモデル105を使用して、被監視システム200の異常を検知する。具体的には、異常検知装置100は、以下のような動作を行う。
収集部101は、被監視システム200からセンサデータ210を定期的に収集し、収集したセンサデータ210を第1の異常検知部106へ供給する。また、収集部101は、被監視システム200からログデータ211を収集し、収集したログデータ211を第2の異常検知部107へ供給する。
第1の異常検知部106は、第1のモデル104に登録されたセンサIDのペア毎に、収集部101から供給されるセンサデータ210の時系列データ間に存在する不変的な相関関係(インバリアント)が破壊されたか否かを検知する。第1の異常検知部106は、相関関係が破壊されたセンサIDのペアを検知すると、相関関係が破壊されたセンサIDのペア、相関関係の破壊を検知した時刻、両センサの時系列データを含む第1の異常検知結果を判定部108へ出力する。
また第2の異常検知部107は、収集部101から供給されるログデータ211からログのパターンを抽出し、抽出したログのパターンが第2のモデル105に記憶されているか否かを判定することにより、当該ログデータ211が異常ログデータか否かを判定する。第2の異常検知部107は、異常ログデータを検知すると、当該異常ログデータを含む第2の異常検知結果を判定部108へ出力する。
判定部108は、第1の異常検知部106および第2の異常検知部107の検知結果に基づいて総合的な判断を行うことにより、第3の異常検知結果を生成し、出力部110を通じて第3の異常検知結果を出力する。
例えば、判定部108は、第1の異常検知部106から不変的な相関関係が破壊したセンサIDのペアを含む第1の異常検知結果を受信すると、当該センサIDのペアに関連する異常ログデータが記憶部109に記憶されていないときは、不変的な相関関係が破壊したセンサIDのペア、その破壊時刻を含む第3の異常検知結果を生成し、出力部110を通じて出力すると共に、上記センサIDのペアおよび破壊時刻を記憶部109に登録する。このように、第1の異常検知部106で不変的な相関関係が破壊されたセンサIDのペアが検知されたときに、関連する異常ログデータが記憶部109に記憶されていないときは、関連する異常ログデータの発生を待つことなく速やかに第3の異常検知結果を生成して出力することにより、未知の異常の早期検知が可能になる。また、未知の異常の検知時に上記のようにセンサIDのペアおよび検知時刻を記憶部109に登録しておくことにより、その後の一定時間内に検知された異常ログデータを上記未知の異常に関連付けて記憶部109に記憶することができるようになる。即ち、判定部108は、第2の異常検知部107から異常ログデータを受信すると、当該異常ログデータの採取時刻より一定時間前の時刻以降の検知時刻を有するセンサIDのペアが記憶部109に記憶されているならば、上記異常ログデータを上記センサIDのペアに関連付けて記憶部109に登録する。さらに、上記検知された異常ログデータを含む異常検知結果を生成して出力することにより、システム管理者は、早期検知した未知の異常の原因を特定することができる。即ち、未知の異常は早期検知および原因ログの特定をすることができる。
また例えば、判定部108は、第1の異常検知部106から不変的な相関関係が破壊したセンサIDのペアを含む第1の異常検知結果を受信すると、当該センサIDのペアに関連する異常ログデータが記憶部109に記憶されているときは、記憶されている異常ログデータを将来発生することが予想される異常ログデータとして含む第3の異常検知結果を生成し、出力部110を通じて出力する。これにより、既知の異常に関しては、異常ログデータが実際に検知されるより前に、発生が予想される異常ログデータを予見してシステム管理者に出力することができる。即ち、原因を異常ログの出現前に予見することができる。従って、システム管理者は、実際に検知された異常センサデータと予見された異常ログデータとを組み合わせて早期に総合的な判断を実施することができる。これにより、被監視システムの障害の早期復旧や回避が可能になる。
[第2の実施の形態]
図6は、本発明の第2の実施の形態に係る異常検知装置300のブロック図である。図6を参照すると、異常検知装置300は、有線または無線による通信路あるいはネットワークを通じて被監視システム400に接続されている。
被監視システム400は、異常検知の対象となるシステムである。本実施の形態では、異常が起きると、先ず異常ログが出力された後、センサの計測値に異常が生じるIT(Information Technology)システム、ITC(Information and Communication Technology)システム、IoT(Internet of Things)システムなどを被監視システム400とする。即ち、被監視システム400は、例えば、ネットワークエラーが発生すると、異常ログが出力され、その後にトラフィック増加による相関破壊が生じるようなシステムである。被監視システム400は、複数の装置401から構成される。装置401は、例えば、各種のサーバ装置、ネットワークスイッチ、パーソナルコンピュータなどの情報処理装置である。
装置401は、装置401の各部の状態を計測するセンサ402を備えている。センサ402は、例えば、CPU使用率を計測するセンサ、メモリ使用量を計測するセンサ、受信パケット数や送信パケット数を計測するセンサ、ネットワーク負荷を計測するセンサ、処理待ちタスク数を計測するセンサなどである。センサ402は、センサデータ410を出力する。センサデータ410は、例えば、センサ402を一意に識別するセンサIDと、CPU使用率などの計測値と、計測時刻を示すタイムスタンプとを含んでいる。
また、装置401は、テキスト形式のログデータ411を出力するログ記録部403を備えている。ログデータ411は、例えば、装置401の稼働状況や操作履歴を表すテキストメッセージと、採取時刻を示すタイムスタンプとを含んでいる。
異常検知装置300は、被監視システム400の異常を検知する装置である。異常検知装置300は、センサ402のセンサデータ410およびログ記録部403のログデータ411に基づいて、被監視システム400の異常を検知するように構成されている。異常検知装置300は、収集部301と、第1の学習部302と、第2の学習部303と、第1のモデル304と、第2のモデル305と、第1の異常検知部306と、第2の異常検知部307と、判定部308と、記憶部309と、出力部310とを備えている。これらのうち、収集部301、第1の学習部302、第2の学習部303、第1のモデル304、第2のモデル305、第1の異常検知部306、第2の異常検知部307、および出力部310は、図1に示した異常検知装置100の収集部101、第1の学習部102、第2の学習部103、第1のモデル104、第2のモデル105、第1の異常検知部106、第2の異常検知部107、および出力部110と同じである。
記憶部309は、第2の異常検知部307において異常であると検知されたログデータ(異常ログデータ)と、当該異常ログデータの採取時刻から一定時間が経過するまでに第1の異常検知部306において異常であると検知されたセンサIDのペア(時系列データ間の不変的な相関関係の破壊が検知された2つのセンサのIDペア)およびその検知時刻を関連付けて記憶するように構成されている。記憶部309は、判定部308から参照および更新される。初期状態の記憶部309には、有意なデータは記録されていない。
図7は、記憶部309に記憶されているデータの例を示す。記憶部309は、複数のエントリを有する。それぞれのエントリは、異常ログデータと、当該異常ログデータのパターンと、当該異常ログデータの採取時刻と、センサIDのペアと、検知時刻とから構成される。例えば、1行目のエントリには、ログデータX、パターンPXおよび採取時刻t11に対応して、センサID=11、ID=12のペアと検知時刻t21とが記録されている。ここで、パターンPXはログデータXのパターンであり、第2の異常検知部307が異常検知のためにログデータXから抽出したパターンと同じである。また、採取時刻t11は、ログデータXに含まれるタイムスタンプが表す採取時刻と同一である。
判定部308は、第1の異常検知部306および第2の異常検知部307の検知結果に基づいて総合的な判断を行うことにより、第3の異常検知結果を生成するように構成されている。
図8は、判定部308の処理の一例を示すフローチャートである。図8を参照すると、判定部308は、先ず第2の異常検知部307から第2の異常検知結果を受信したか否かを判定する(ステップS21)。次に判定部308は、第2の異常検知結果を受信した場合(ステップS21でYES)、当該第2の異常検知結果である異常ログデータに関連するセンサIDのペアが記憶部309に記憶されているか否かを調べる(ステップS22)。異常ログデータに関連するセンサIDのペアが記憶部309に記憶されているか否かの調査では、判定部308は、例えば、採取時刻を除く異常ログデータの内容と同一の異常ログデータを記憶するエントリが記憶部309に存在し、且つ、そのエントリにセンサIDのペアが記憶されているか否かを調べる。或いは、判定部308は、異常ログデータから抽出したログのパターンと同一のパターンを記憶するエントリが記憶部309に存在し、且つ、そのエントリにセンサIDのペアが記憶されているか否かを調べるようにしてもよい。判定部308は、関連するセンサIDのペアが記憶部309に記憶されていたならば(ステップS22でYES)、関連するセンサIDのペアを将来相関破壊が起きると予想されるセンサIDのペアとして記憶部309から読み出す(ステップS23)。次に判定部308は、第2の異常検知結果である異常ログデータと将来相関破壊が起きると予想したセンサIDのペアとを含む第3の異常検知結果を作成して出力部310に伝達し、その出力を依頼する(ステップS24)。なお、判定部308は、センサIDのペアと一緒に記憶部309に記憶されている検知時刻と採取時刻との時間差に基づいて、相関破壊が起きる時刻を予想し、その予想時刻を第3の異常検知結果に含めるようにしてもよい。例えば、今回検知した異常ログデータの採取時刻がt31、記憶部309に記憶された同一の異常ログデータと一緒に記憶部309に記憶された検知時刻と採取時刻との時間差がδtの場合、時刻t31+δtを予想時刻とする。そして、判定部308は、ステップS21に戻り、上述した処理と同様の処理を繰り返す。
また、判定部308は、関連するセンサIDのペアが記憶部309に記憶されていなければ(ステップS22でNO)、第2の異常検知結果を含む第3の異常検知結果を作成して出力部310に伝達し、その出力を依頼する(ステップS25)。次に判定部308は、第2の異常検知結果中の異常ログデータとそのパターンとその採取時刻とを記憶部309に登録する(ステップS26)。具体的には、ステップS26では、判定部308は、記憶部309の1つの空きエントリの異常ログデータ、パターンおよび採取時刻の各欄に、第2の異常検知結果中の異常ログデータ、そのパターン、採取時刻を登録し、センサIDのペアおよび検知時刻の欄はNULL値としておく。そして、判定部308は、ステップS21に戻り、上述した処理と同様の処理を繰り返す。
また、判定部308は、第1の異常検知部306から第1の異常検知結果を受信したか否かを判定する(ステップS27)。次に判定部308は、第1の異常検知結果を受信していなければ(ステップS27でNO)、ステップS21に戻って、上述した処理と同様の処理を繰り返す。一方、判定部308は、第1の異常検知結果を受信したならば(ステップS27でYES)、第1の異常検知結果を含む第3の異常検知結果を作成して出力部310に伝達し、その出力を依頼する(ステップS28)。次に判定部308は、第1の異常検知結果の検知時刻より一定時間前の時刻以降の採取時刻を有する異常ログデータが記憶部309に記憶されているか否かを調べる(ステップS29)。次に判定部308は、そのような異常ログデータが記憶部309に記憶されていれば(ステップS29でYES)、第1の異常検知結果である相関関係が破壊したセンサIDのペアおよびその検知時刻を当該異常ログデータに関連付けて記憶部309に登録する(ステップS30)。具体的には、当該異常ログデータを記録するエントリのセンサIDのペアおよび検知時刻の各欄に相関関係が破壊したセンサIDのペアおよびその検知時刻を記録する。そして、判定部308は、ステップS21に戻り、上述した処理と同様の処理を繰り返す。判定部308は、ステップS29において該当する異常ログデータが記憶部309に記憶されていないと判断したとき、ステップS30をスキップしてステップS21に戻り、上述した処理と同様の処理を繰り返す。
異常検知装置300は、異常検知装置100と同様に、図13に示したような情報処理装置1000とプログラム1100とで実現することができる。プログラム1100は、情報処理装置1000の立ち上げ時等に外部のコンピュータ読み取り可能な記憶媒体から記憶部1004に読み込まれ、演算処理部1005の動作を制御することにより、演算処理部1005上に、収集部301、第1の学習部302、第2の学習部303、第1のモデル304、第2のモデル305、第1の異常検知部306、第2の異常検知部307、判定部308、記憶部309、出力部310を実現する。
次に本実施形態に係る異常検知装置300の動作を説明する。異常検知装置300の動作は、学習時の動作と異常検知時の動作とに大別される。学習時の動作は、図1に示した第1の実施形態に係る異常検知装置100の学習時の動作と同じである。異常検知時の動作は、判定部308の動作を除き、図1に示した第1の実施形態に係る異常検知装置100の異常検知時の動作と同じである。以下、異常検知時の判定部308の動作を説明する。
<異常検知時の判定部308の動作>
判定部308は、第1の異常検知部306および第2の異常検知部307の検知結果に基づいて総合的な判断を行うことにより、第3の異常検知結果を生成し、出力部310を通じて第3の異常検知結果を出力する。
例えば、判定部308は、第2の異常検知部307から異常ログデータを含む第2の異常検知結果を受信すると、当該異常ログデータに関連するセンサIDのペアが記憶部309に記憶されていないときは、当該異常ログデータを含む第3の異常検知結果を生成し、出力部310を通じて出力すると共に、上記異常ログデータ、そのパターン、およびその採取時刻を記憶部309に登録する。このように、第2の異常検知部307で異常ログデータが検知されたときに、関連するセンサIDのペアが記憶部309に記憶されていないときは、関連するセンサIDのペアによる相関関係破壊の発生を待つことなく速やかに第3の異常検知結果を生成して出力することにより、未知の異常の早期検知と出力が可能になる。また、未知の異常の検知時に上記のように異常ログデータ、そのパターン、その採取時刻を記憶部309に登録しておくことにより、その後の一定時間内に検知された相関関係破壊を起こしたセンサIDのペアを上記未知の異常に関連付けて記憶部309に記憶することができるようになる。即ち、判定部308は、第1の異常検知部306から相関関係の破壊したセンサIDのペアおよび検知時刻を受信すると、当該検知時刻より一定時間前の時刻以降の採取時刻を有する異常ログデータが記憶部309に記憶されているならば、上記センサIDのペアおよび検知時刻を上記異常ログデータに関連付けて記憶部309に登録する。
また例えば、判定部308は、第2の異常検知部307から異常ログデータを含む第2の異常検知結果を受信すると、当該異常ログデータに関連するセンサIDのペアが記憶部309に記憶されているときは、記憶されているセンサIDのペアを相関関係の破壊が将来生じる可能性のあるセンサIDのペアとして含む第3の異常検知結果を生成し、出力部310を通じて出力する。これにより、既知の異常であれば、相関関係の破壊が実際に検知されるより前に、相関関係の破壊が生じるセンサIDのペアを出力することができる。これにより、既知の異常であれば、システム管理者は、センサデータ410とログデータ411との複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。
[第3の実施の形態]
図9は、本発明の第3の実施の形態に係る異常検知装置500のブロック図である。図9を参照すると、異常検知装置500は、有線または無線による通信路あるいはネットワークを通じて被監視システム600に接続されている。
被監視システム600は、異常検知の対象となるシステムである。本実施の形態では、異常が起きると、先ずセンサの計測値に異常が生じた後に異常ログが出力されるプラントシステムなどのシステムと、異常が起きると、先ず異常ログが出力された後、センサの計測値に異常が生じるITシステム、ITCシステム、IoTシステムとが混在したシステムを被監視システム600とする。被監視システム600は、複数の装置601から構成される。装置601は、例えば、ボイラ、タービン、発電装置、制御コンピュータなどのプラント設備、各種のサーバ装置、ネットワークスイッチ、パーソナルコンピュータなどの情報処理装置である。
装置601は、装置601の各部の状態を計測するセンサ602を備えている。センサ602は、例えば、温度センサ、圧力センサ、流量センサ、CPU使用率を計測するセンサ、メモリ使用量を計測するセンサ、受信パケット数や送信パケット数を計測するセンサ、ネットワーク負荷を計測するセンサ、処理待ちタスク数を計測するセンサなどである。センサ602は、センサデータ610を出力する。センサデータ610は、例えば、センサ602を一意に識別するセンサIDと、温度やCPU使用率などの計測値と、計測時刻を示すタイムスタンプとを含んでいる。
また、装置601は、テキスト形式のログデータ611を出力するログ記録部603を備えている。ログデータ611は、例えば、装置601の稼働状況や操作履歴を表すテキストメッセージと、採取時刻を示すタイムスタンプとを含んでいる。
異常検知装置500は、被監視システム600の異常を検知する装置である。異常検知装置500は、センサ602のセンサデータ610およびログ記録部603のログデータ611に基づいて、被監視システム600の異常を検知するように構成されている。異常検知装置500は、収集部501と、第1の学習部502と、第2の学習部503と、第1のモデル504と、第2のモデル505と、第1の異常検知部506と、第2の異常検知部507と、第1の判定部508-1と、第2の判定部508-2と、第1の記憶部509-1と、第2の記憶部509-2と、出力部510とを備えている。これらのうち、収集部501、第1の学習部502、第2の学習部503、第1のモデル504、第2のモデル505、第1の異常検知部506、第2の異常検知部507、第1の記憶部509-1、および出力部510は、図1に示した異常検知装置100の収集部101、第1の学習部102、第2の学習部103、第1のモデル104、第2のモデル105、第1の異常検知部106、第2の異常検知部107、記憶部109、および出力部110と同じである。また、第2の記憶部509-2は、図6に示した異常検知装置300の記憶部309と同じである。
第1の判定部508-1および第2の判定部508-2は、第1の異常検知部506および第2の異常検知部507の検知結果に基づいて総合的な判断を行うことにより、第3の異常検知結果を生成するように構成されている。
図10は、第1の判定部508-1の処理の一例を示すフローチャートである。図10に示す処理は、図5に示した判定部108の処理と比較して、ステップS8に相当するステップが省略されている点で相違し、それ以外は判定部108の処理と同一である。即ち、図10のステップS41~S47、S49~S50は、図5のステップS1~S7、S9~S10と同じである。
図11は、第2の判定部508-2の処理の一例を示すフローチャートである。図11に示す処理は、図8に示した判定部308の処理と比較して、ステップS28に相当するステップが省略されている点で相違し、それ以外は判定部308の処理と同一である。即ち、図10のステップS61~S67、S69~S70は、図8のステップS21~S27、S29~S30と同じである。
異常検知装置500は、異常検知装置100と同様に、図13に示したような情報処理装置1000とプログラム1100とで実現することができる。プログラム1100は、情報処理装置1000の立ち上げ時等に外部のコンピュータ読み取り可能な記憶媒体から記憶部1004に読み込まれ、演算処理部1005の動作を制御することにより、演算処理部1005上に、収集部501、第1の学習部502、第2の学習部503、第1のモデル504、第2のモデル505、第1の異常検知部506、第2の異常検知部507、第1の判定部508-1、第2の判定部508-2、第1の記憶部509-1、第2の記憶部509-2、出力部510を実現する。
次に本実施形態に係る異常検知装置500の動作を説明する。異常検知装置500の動作は、学習時の動作と異常検知時の動作とに大別される。学習時の動作は、図1に示した第1の実施形態に係る異常検知装置100の学習時の動作と同じである。異常検知時の動作は、第1の判定部508-1および第2の判定部508-2の動作を除き、図1に示した第1の実施形態に係る異常検知装置100の異常検知時の動作と同じである。以下、異常検知時の第1の判定部508-1および第2の判定部508-2の動作を説明する。
<異常検知時の第1の判定部508-1の動作>
異常検知時の第1の判定部508-1の動作は、異常検知時の判定部108の動作と比較して、ステップS8に相当する動作が省略されている点で相違し、それ以外は異常検知時の判定部108の動作と同じである。従って、第1の判定部508-1は、例えば、以下のような動作を行う。
例えば、第1の判定部508-1は、第1の異常検知部506から不変的な相関関係が破壊したセンサIDのペアを含む第1の異常検知結果を受信すると(ステップS41でYES)、当該センサIDのペアに関連する異常ログデータが第1の記憶部509-1に記憶されていないときは(ステップS42でNO)、不変的な相関関係が破壊したセンサIDのペア、その検知時刻を含む第3の異常検知結果を生成し、出力部110を通じて出力すると共に(ステップS45)、上記センサIDのペアおよび検知時刻を第1の記憶部509-1に登録する(ステップS46)。このように、第1の異常検知部506で不変的な相関関係が破壊されたセンサIDのペアが検出されたときに、関連する異常ログデータが第1の記憶部509-1に記憶されていないときは、関連する異常ログデータの発生を待つことなく速やかに第3の異常検知結果を生成して出力することにより、未知の異常の早期検知と出力が可能になる。また、未知の異常の検知時に上記のようにセンサIDのペアおよび検知時刻を第1の記憶部509-1に登録しておくことにより、その後の一定時間内に検知された異常ログデータを上記未知の異常に関連付けて第1の記憶部509-1に記憶することができるようになる。即ち、第1の判定部508-1は、第2の異常検知部507から異常ログデータを受信すると(ステップS47でYES)、当該異常ログデータの採取時刻より一定時間前の時刻以降の破壊時刻を有するセンサIDのペアが第1の記憶部509-1に記憶されているならば(ステップS49でYES)、上記異常ログデータを上記センサIDのペアに関連付けて第1の記憶部509-1に登録する(ステップS50)。
また例えば、第1の判定部508-1は、第1の異常検知部506から不変的な相関関係が破壊したセンサIDのペアを含む第1の異常検知結果を受信すると(ステップS41でYES)、当該センサIDのペアに関連する異常ログデータが第1の記憶部509-1に記憶されているときは(ステップS42でYES)、記憶されている異常ログデータを将来発生することが予想される異常ログデータとして含む第3の異常検知結果を生成し、出力部510を通じて出力する(ステップS43~S44)。これにより、既知の異常であれば、異常ログデータが実際に検知されるより前に、発生が予想される異常ログデータを出力することができる。従って、既知の異常であれば、システム管理者は、センサデータ610とログデータ611との複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。
<異常検知時の第2の判定部508-2の動作>
異常検知時の第2の判定部508-2の動作は、異常検知時の判定部308の動作と比較して、ステップS28に相当する動作が省略されている点で相違し、それ以外は異常検知時の判定部308の動作と同じである。従って、第2の判定部508-2は、例えば、以下のような動作を行う。
例えば、第2の判定部508-2は、第2の異常検知部507から異常ログデータを含む第2の異常検知結果を受信すると(ステップS61でYES)、当該異常ログデータに関連するセンサIDのペアが第2の記憶部509-2に記憶されていないときは(ステップS62でNO)、当該異常ログデータを含む第3の異常検知結果を生成し、出力部510を通じて出力すると共に(ステップS65)、上記異常ログデータ、そのパターン、およびその採取時刻を第2の記憶部509-2に登録する(ステップS66)。このように、第2の異常検知部507で異常ログデータが検知されたときに、関連するセンサIDのペアが第2の記憶部509-2に記憶されていないときは、関連するセンサIDのペアによる相関関係破壊の発生を待つことなく速やかに第3の異常検知結果を生成して出力することにより、未知の異常の早期検知と出力が可能になる。また、未知の異常の検知時に上記のように異常ログデータ、そのパターン、その採取時刻を第2の記憶部509-2に登録しておくことにより、その後の一定時間内に検知された相関関係破壊を起こしたセンサIDのペアを上記未知の異常に関連付けて第2の記憶部509-2に記憶することができるようになる。即ち、第2の判定部508-2は、第1の異常検知部506から相関関係の破壊したセンサIDのペアおよび検知時刻を受信すると(ステップS67でYES)、当該検知時刻より一定時間前の時刻以降の採取時刻を有する異常ログデータが第2の記憶部509-2に記憶されているならば(ステップS69でYES)、上記センサIDのペアおよび検知時刻を上記異常ログデータに関連付けて第2の記憶部509-2に登録する(ステップS70)。
また例えば、第2の判定部508-2は、第2の異常検知部507から異常ログデータを含む第2の異常検知結果を受信すると(ステップ61でYES)、当該異常ログデータに関連するセンサIDのペアが記憶部509に記憶されているときは(ステップS62)、記憶されているセンサIDのペアを相関関係の破壊が将来生じる可能性のあるセンサIDのペアとして含む第3の異常検知結果を生成し、出力部510を通じて出力する(ステップS63~S64)。これにより、既知の異常であれば、相関関係の破壊が実際に検知されるより前に、相関関係の破壊が生じるセンサIDのペアを出力することができる。これにより、既知の異常であれば、システム管理者は、センサデータ610とログデータ611との複数の被監視データの異常を組み合わせて早期に総合的な判断を実施することができる。
[第4の実施の形態]
図12は、本発明の第4の実施の形態に係る異常検知装置700のブロック図である。図12を参照すると、異常検知装置700は、有線または無線による通信路あるいはネットワークを通じて被監視システム800に接続されている。
被監視システム800は、異常検知の対象となるシステムである。被監視システム800からは、複数の第1の被監視データおよび複数の第2の被監視データを外部に取り出すことができる。第1の被監視データおよび第2の被監視データの一方は、例えば性能指標についての計測値を含み、他方は、例えばテキストログを含む。また被監視システム800は、システム内で異常が起きると、先ず複数の第1の被監視データの何れかに異常が生じた後に、複数の第2の被監視データの何れかに異常が生じるようなシステムである。
異常検知装置700は、被監視システム800から複数の第1の被監視データおよび複数の第2の被監視データを取得し、それらに基づいて被監視システム800の異常を検知するように構成されている。異常検知装置700は、第1の異常検知部701と、第2の異常検知部702と、第1の記憶部703と、第1の判定部704とを備えている。
第1の異常検知部701は、被監視システム800から得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知するように構成されている。第1の異常検知部701は、例えば、図1の第1の異常検知部106と同様に構成することができるが、それに限定されない。
第2の異常検知部702は、第1の異常検知部701と並行して動作するように構成されている。また第2の異常検知部702は、被監視システム800から得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知するように構成されている。第2の異常検知部702は、例えば、図1の第2の異常検知部107と同様に構成することができるが、それに限定されない。
第1の記憶部703は、異常な第1の被監視データと当該異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された異常な第2の被監視データとを関連付けて記憶するように構成されている。
第1の判定部704は、異常な第1の被監視データが検知されたとき、この検知した異常な第1の被監視データに関連付けられている異常な第2の被監視データを第1の記憶部703から読み出すように構成されている。また第1の判定部704は、読み出した異常な第2の被監視データと上記検知された異常な第1の被監視データとを含む第1の異常検知結果を出力するように構成されている。
このように構成された異常検知装置700は、以下のように機能する。即ち、第1の異常検知部701は、被監視システム800から得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する。また第2の異常検知部702は、第1の異常検知部701による異常な第1の被監視データの検知と並行して、被監視システム800から得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する。第1の判定部704は、異常な第1の被監視データが検知されたとき、第1の記憶部703から、上記検知した異常な第1の被監視データに関連付けられている異常な第2の被監視データを読み出し、その読み出した異常な第2の被監視データと上記検知された異常な第1の被監視データとを含む第1の異常検知結果を出力する。
このように本実施形態に係る異常検知装置700の第1の判定部704は、異常な第1の被監視データが検知されたとき、第1の記憶部703から、上記検知した異常な第1の被監視データに関連付けられている異常な第2の被監視データを将来発生することが予想される異常な第2の被監視データとして読み出し、その読み出した異常な第2の被監視データと上記検知された異常な第1の被監視データとを含む第1の異常検知結果を出力する。そのため、システム運用者等は、第1の異常検知結果に基づいて、異常な第2の被監視データが実際に検知される前に、異常な第1の被監視データと将来発生が予想される第2の被監視データを組み合わせて早期に総合的な判断を実施することができる。
[他の実施の形態]
以上の各実施形態では、第1の被監視データおよび第2の被監視データとして、例えばセンサで計測される性能指標についての計測値、ログ記録部で記録されるテキストログを使用したが、本発明で使用する被監視データは上記に限定されない。例えば、SNS情報を被監視データとして使用してもよい。
また、図4に示す記憶部109の各エントリは、システム管理者の行うべきアクションを記載した欄を有していてもよい。その場合、判定部108は、図5のステップS3において、記憶部109のエントリから異常ログデータを読み出す際、そのエントリから上記アクションを同時に読み出し、ステップS4において、第1の異常検知結果と将来発生が予想される異常ログデータと上記アクションとを含む第3の異常検知結果を生成し、出力を依頼するようにしてもよい。また、図7に示す記憶部309の各エントリは、システム管理者の行うべきアクションを記載した欄を有していてもよい。その場合、判定部308は、図8のステップS23において、記憶部309のエントリから相関破壊が予想されるセンサIDのペアを読み出す際、そのエントリから上記アクションを同時に読み出し、ステップS24において、第2の異常検知結果と相関破壊が予想されるセンサIDのペアと上記アクションとを含む第3の異常検知結果を生成し、出力を依頼するようにしてもよい。
また、性能指標の計測値の異常の検知は、計測値の時系列データ間に存在する不変的な相関関係の破壊を検知する方法以外の方法で行ってもよい。例えば、個々の性能指標毎に、その計測値が正常時に取り得る値の範囲を学習し、その学習した値の範囲を超えるか否かによって個々の性能指標の計測値の異常の有無を検知するようにしてもよい。
また、異常ログの検知は、ログパターンによる方法以外の方法で行ってもよい。例えば、ログ中に予め定めた文字列や記号列が含まれているか否かを調べ、含まれている場合に当該ログを異常ログとして検知する方法であってもよい。
以上、上記各実施形態を参照して本発明を説明したが、本発明は、上述した実施形態に限定されるものではない。本発明の構成や詳細には、本発明の範囲内で当業者が理解しうる様々な変更をすることができる。
本発明は、プラントシステムやICTシステム等の被監視システムの監視、障害分析などに活用できる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、を備える
異常検知装置。
[付記2]
前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを前記第1の記憶部に記憶し、前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに前記異常な第2の被監視データが検知されると、該検知された前記異常な第2の被監視データを前記記憶した前記異常な第1の被監視データに関連付けて前記第1の記憶部に記憶する、
付記1に記載の異常検知装置。
[付記3]
前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを含む第2の異常検知結果を出力する、
付記1または2に記載の異常検知装置。
[付記4]
前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部と、
前記異常な第2の被監視データが検知されたとき、該検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを前記第2の記憶部から読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第3の異常検知結果を出力する第2の判定部と、をさらに備える
付記1乃至3の何れかに記載の異常検知装置。
[付記5]
前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを前記第2の記憶部に記憶し、前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに前記異常な第1の被監視データが検知されると、該検知された前記異常な第1の被監視データを前記記憶した前記異常な第2の被監視データに関連付けて前記第2の記憶部に記憶する、
付記4に記載の異常検知装置。
[付記6]
前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを含む第4の異常検知結果を出力する、
付記4または5に記載の異常検知装置。
[付記7]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
付記1乃至6の何れかに記載の異常検知装置。
[付記8]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
付記1乃至6の何れかに記載の異常検知装置。
[付記9]
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知し、
前記異常な第1の被監視データの検知と並行して、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知し、
前記異常な第1の被監視データが検知されたとき、前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部から、前記検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する、
異常検知方法。
[付記10]
前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを前記第1の記憶部に記憶し、前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに前記異常な第2の被監視データが検知されると、該検知された前記異常な第2の被監視データを前記記憶した前記異常な第1の被監視データに関連付けて前記第1の記憶部に記憶する、
付記9に記載の異常検知方法。
[付記11]
前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを含む第2の異常検知結果を出力する、
付記9または10に記載の異常検知方法。
[付記12]
前記異常な第2の被監視データが検知されたとき、前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部から、前記検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第3の異常検知結果を出力する、
付記9乃至11の何れかに記載の異常検知方法。
[付記13]
前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを前記第2の記憶部に記憶し、前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに前記異常な第1の被監視データが検知されると、該検知された前記異常な第1の被監視データを前記記憶した前記異常な第2の被監視データに関連付けて前記第2の記憶部に記憶する、
付記12に記載の異常検知方法。
[付記14]
前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを含む第4の異常検知結果を出力する、
付記12または13に記載の異常検知方法。
[付記15]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
付記9乃至14の何れかに記載の異常検知方法。
[付記16]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
付記9乃至14の何れかに記載の異常検知方法。
[付記17]
コンピュータを、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
して機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体。
100…異常検知装置
101…収集部
102…第1の学習部
103…第2の学習部
104…第1のモデル
105…第2のモデル
106…第1の異常検知部
107…第2の異常検知部
108…判定部
109…記憶部
110…出力部
200…被監視システム
201…装置
202…センサ
203…ログ記録部
210…センサデータ
211…ログデータ
221…センサID=1のセンサの時系列データ
222…センサID=2のセンサの時系列データ
223…センサID=3のセンサの時系列データ
224…センサID=4のセンサの時系列データ
225…センサID=5のセンサの時系列データ
226…センサID=6のセンサの時系列データ
300…異常検知装置
301…収集部
302…第1の学習部
303…第2の学習部
304…第1のモデル
305…第2のモデル
306…第1の異常検知部
307…第2の異常検知部
308…判定部
309…記憶部
310…出力部
400…被監視システム
401…装置
402…センサ
403…ログ記録部
410…センサデータ
411…ログデータ
500…異常検知装置
501…収集部
502…第1の学習部
503…第2の学習部
504…第1のモデル
505…第2のモデル
506…第1の異常検知部
507…第2の異常検知部
508-1…第1の判定部
508-2…第2の判定部
509-1…第1の記憶部
509-2…第2の記憶部
510…出力部
600…被監視システム
601…装置
602…センサ
603…ログ記録部
610…センサデータ
611…ログデータ
700…異常検知装置
701…第1の異常検知部
702…第2の異常検知部
703…第1の記憶部
704…第1の判定部
800…被監視システム
1000…情報処理装置
1001…通信インタフェース部
1002…操作入力部
1003…画面表示部
1004…記憶部
1005…演算処理部
1100…プログラム

Claims (9)

  1. 被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
    前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
    前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
    前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
    前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部と、
    前記異常な第2の被監視データが検知されたとき、該検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを前記第2の記憶部から読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第2の異常検知結果を出力する第2の判定部と、を備える
    異常検知装置。
  2. 前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを前記第1の記憶部に記憶し、前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに前記異常な第2の被監視データが検知されると、該検知された前記異常な第2の被監視データを前記記憶した前記異常な第1の被監視データに関連付けて前記第1の記憶部に記憶する、
    請求項1に記載の異常検知装置。
  3. 前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを含む第の異常検知結果を出力する、
    請求項1または2に記載の異常検知装置。
  4. 前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを前記第2の記憶部に記憶し、前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに前記異常な第1の被監視データが検知されると、該検知された前記異常な第1の被監視データを前記記憶した前記異常な第2の被監視データに関連付けて前記第2の記憶部に記憶する、
    請求項1乃至3の何れかに記載の異常検知装置。
  5. 前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを含む第4の異常検知結果を出力する、
    請求項1乃至4の何れかに記載の異常検知装置。
  6. 前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
    請求項1乃至の何れかに記載の異常検知装置。
  7. 前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
    請求項1乃至5の何れかに記載の異常検知装置。
  8. 被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知し、
    前記異常な第1の被監視データの検知と並行して、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知し、
    前記異常な第1の被監視データが検知されたとき、前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部から、前記検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力し、
    前記異常な第2の被監視データが検知されたとき、前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部から、前記検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第2の異常検知結果を出力する、
    異常検知方法。
  9. コンピュータを、
    被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
    前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
    前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
    前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
    前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部と、
    前記異常な第2の被監視データが検知されたとき、該検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを前記第2の記憶部から読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第2の異常検知結果を出力する第2の判定部と、
    して機能させるプログラム。
JP2020526823A 2018-06-28 2018-06-28 異常検知装置 Active JP7031743B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/024682 WO2020003460A1 (ja) 2018-06-28 2018-06-28 異常検知装置

Publications (2)

Publication Number Publication Date
JPWO2020003460A1 JPWO2020003460A1 (ja) 2021-06-03
JP7031743B2 true JP7031743B2 (ja) 2022-03-08

Family

ID=68986790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020526823A Active JP7031743B2 (ja) 2018-06-28 2018-06-28 異常検知装置

Country Status (3)

Country Link
US (1) US11640459B2 (ja)
JP (1) JP7031743B2 (ja)
WO (1) WO2020003460A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11237548B2 (en) * 2018-12-27 2022-02-01 Mitsubishi Electric Corporation Data delivery control apparatus, method, and program
US11757904B2 (en) * 2021-01-15 2023-09-12 Bank Of America Corporation Artificial intelligence reverse vendor collation
US11895128B2 (en) 2021-01-15 2024-02-06 Bank Of America Corporation Artificial intelligence vulnerability collation
US20220335347A1 (en) * 2021-04-15 2022-10-20 Business Objects Software Ltd Time-series anomaly prediction and alert
CN115686894A (zh) * 2021-07-29 2023-02-03 Oppo广东移动通信有限公司 异常处理方法、装置、计算机设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011070635A (ja) 2009-08-28 2011-04-07 Hitachi Ltd 設備状態監視方法およびその装置
WO2016132717A1 (ja) 2015-02-17 2016-08-25 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
WO2018069950A1 (ja) 2016-10-13 2018-04-19 日本電気株式会社 ログ分析方法、システムおよびプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5267684B2 (ja) 2010-01-08 2013-08-21 日本電気株式会社 運用管理装置、運用管理方法、及びプログラム記憶媒体
US20160164721A1 (en) * 2013-03-14 2016-06-09 Google Inc. Anomaly detection in time series data using post-processing
JP2015028700A (ja) 2013-07-30 2015-02-12 Kddi株式会社 障害検知装置、障害検知方法、障害検知プログラム及び記録媒体
JP6387707B2 (ja) * 2014-07-01 2018-09-12 富士通株式会社 異常検出システム、表示装置、異常検出方法及び異常検出プログラム
US9646159B2 (en) * 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
JP6472367B2 (ja) * 2015-10-28 2019-02-20 株式会社 日立産業制御ソリューションズ 気付き情報提供装置及び気付き情報提供方法
US10652333B2 (en) * 2016-12-27 2020-05-12 Intel Corporation Normalization of sensors
US11537713B2 (en) * 2017-08-02 2022-12-27 Crashplan Group Llc Ransomware attack onset detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011070635A (ja) 2009-08-28 2011-04-07 Hitachi Ltd 設備状態監視方法およびその装置
WO2016132717A1 (ja) 2015-02-17 2016-08-25 日本電気株式会社 ログ分析システム、ログ分析方法およびプログラム記録媒体
WO2018069950A1 (ja) 2016-10-13 2018-04-19 日本電気株式会社 ログ分析方法、システムおよびプログラム

Also Published As

Publication number Publication date
US11640459B2 (en) 2023-05-02
US20210224383A1 (en) 2021-07-22
JPWO2020003460A1 (ja) 2021-06-03
WO2020003460A1 (ja) 2020-01-02

Similar Documents

Publication Publication Date Title
JP7031743B2 (ja) 異常検知装置
WO2019142331A1 (ja) 障害予測システムおよび障害予測方法
JP5794034B2 (ja) 障害予測システム及びプログラム
JP6875179B2 (ja) システム分析装置、及びシステム分析方法
US20080167842A1 (en) Method and system for detecting, analyzing and subsequently recognizing abnormal events
JP6280862B2 (ja) イベント分析システムおよび方法
WO2010032701A1 (ja) 運用管理装置、運用管理方法、および運用管理プログラム
JP2012242159A (ja) システムの高い可用性のためにセンサデータを補間する方法、コンピュータプログラム、システム。
JPWO2016132717A1 (ja) アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム
KR102005138B1 (ko) 기기 이상징후 사전감지 방법 및 시스템
CN112272763B (zh) 异常探测装置、异常探测方法以及计算机可读取的存储介质
JP6521096B2 (ja) 表示方法、表示装置、および、プログラム
JP2019057164A (ja) プラント異常監視システム
JPWO2014091952A1 (ja) センサ監視装置、センサ監視方法、及びセンサ監視プログラム
JP2020052714A5 (ja)
JP4922265B2 (ja) プラント監視装置およびプラント監視方法
CN113196311A (zh) 用于识别和预测机器的异常感测行为模式的***和方法
JP7501266B2 (ja) 運転支援装置、運転支援システム及び運転支援方法
KR20220127474A (ko) 자동화 공정 이상상태 모니터링 및 제어 시스템 및 방법
JP6915693B2 (ja) システム分析方法、システム分析装置、および、プログラム
JP2010276339A (ja) センサ診断方法およびセンサ診断装置
JP2005182647A (ja) 機器の異常検知装置
JP2016080585A (ja) プラント状態解析装置
US11415958B2 (en) Data extracting apparatus, data extracting method, and recording medium
JP2890815B2 (ja) プラントの異常診断装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201118

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220207

R151 Written notification of patent or utility model registration

Ref document number: 7031743

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151