JP7031743B2 - 異常検知装置 - Google Patents
異常検知装置 Download PDFInfo
- Publication number
- JP7031743B2 JP7031743B2 JP2020526823A JP2020526823A JP7031743B2 JP 7031743 B2 JP7031743 B2 JP 7031743B2 JP 2020526823 A JP2020526823 A JP 2020526823A JP 2020526823 A JP2020526823 A JP 2020526823A JP 7031743 B2 JP7031743 B2 JP 7031743B2
- Authority
- JP
- Japan
- Prior art keywords
- abnormal
- monitored data
- detected
- abnormality detection
- monitored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Debugging And Monitoring (AREA)
Description
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、を備える。
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知し、
前記異常な第1の被監視データの検知と並行して、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知し、
前記異常な第1の被監視データが検知されたとき、前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部から、前記検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する。
コンピュータを、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
して機能させるプログラムを記録する。
[第1の実施の形態]
図1は、本発明の第1の実施の形態に係る異常検知装置100のブロック図である。図1を参照すると、異常検知装置100は、有線または無線による通信路あるいはネットワークを通じて被監視システム200に接続されている。
異常検知装置100は、被監視システム200の正常運用中に第1のモデル104および第2のモデル105を学習する。具体的には、異常検知装置100は、以下のような動作を行う。
異常検知装置100は、上記学習した第1のモデル104および第2のモデル105を使用して、被監視システム200の異常を検知する。具体的には、異常検知装置100は、以下のような動作を行う。
図6は、本発明の第2の実施の形態に係る異常検知装置300のブロック図である。図6を参照すると、異常検知装置300は、有線または無線による通信路あるいはネットワークを通じて被監視システム400に接続されている。
判定部308は、第1の異常検知部306および第2の異常検知部307の検知結果に基づいて総合的な判断を行うことにより、第3の異常検知結果を生成し、出力部310を通じて第3の異常検知結果を出力する。
図9は、本発明の第3の実施の形態に係る異常検知装置500のブロック図である。図9を参照すると、異常検知装置500は、有線または無線による通信路あるいはネットワークを通じて被監視システム600に接続されている。
異常検知時の第1の判定部508-1の動作は、異常検知時の判定部108の動作と比較して、ステップS8に相当する動作が省略されている点で相違し、それ以外は異常検知時の判定部108の動作と同じである。従って、第1の判定部508-1は、例えば、以下のような動作を行う。
異常検知時の第2の判定部508-2の動作は、異常検知時の判定部308の動作と比較して、ステップS28に相当する動作が省略されている点で相違し、それ以外は異常検知時の判定部308の動作と同じである。従って、第2の判定部508-2は、例えば、以下のような動作を行う。
図12は、本発明の第4の実施の形態に係る異常検知装置700のブロック図である。図12を参照すると、異常検知装置700は、有線または無線による通信路あるいはネットワークを通じて被監視システム800に接続されている。
以上の各実施形態では、第1の被監視データおよび第2の被監視データとして、例えばセンサで計測される性能指標についての計測値、ログ記録部で記録されるテキストログを使用したが、本発明で使用する被監視データは上記に限定されない。例えば、SNS情報を被監視データとして使用してもよい。
[付記1]
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、を備える
異常検知装置。
[付記2]
前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを前記第1の記憶部に記憶し、前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに前記異常な第2の被監視データが検知されると、該検知された前記異常な第2の被監視データを前記記憶した前記異常な第1の被監視データに関連付けて前記第1の記憶部に記憶する、
付記1に記載の異常検知装置。
[付記3]
前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを含む第2の異常検知結果を出力する、
付記1または2に記載の異常検知装置。
[付記4]
前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部と、
前記異常な第2の被監視データが検知されたとき、該検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを前記第2の記憶部から読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第3の異常検知結果を出力する第2の判定部と、をさらに備える
付記1乃至3の何れかに記載の異常検知装置。
[付記5]
前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを前記第2の記憶部に記憶し、前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに前記異常な第1の被監視データが検知されると、該検知された前記異常な第1の被監視データを前記記憶した前記異常な第2の被監視データに関連付けて前記第2の記憶部に記憶する、
付記4に記載の異常検知装置。
[付記6]
前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを含む第4の異常検知結果を出力する、
付記4または5に記載の異常検知装置。
[付記7]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
付記1乃至6の何れかに記載の異常検知装置。
[付記8]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
付記1乃至6の何れかに記載の異常検知装置。
[付記9]
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知し、
前記異常な第1の被監視データの検知と並行して、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知し、
前記異常な第1の被監視データが検知されたとき、前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部から、前記検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する、
異常検知方法。
[付記10]
前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを前記第1の記憶部に記憶し、前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに前記異常な第2の被監視データが検知されると、該検知された前記異常な第2の被監視データを前記記憶した前記異常な第1の被監視データに関連付けて前記第1の記憶部に記憶する、
付記9に記載の異常検知方法。
[付記11]
前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを含む第2の異常検知結果を出力する、
付記9または10に記載の異常検知方法。
[付記12]
前記異常な第2の被監視データが検知されたとき、前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部から、前記検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第3の異常検知結果を出力する、
付記9乃至11の何れかに記載の異常検知方法。
[付記13]
前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを前記第2の記憶部に記憶し、前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに前記異常な第1の被監視データが検知されると、該検知された前記異常な第1の被監視データを前記記憶した前記異常な第2の被監視データに関連付けて前記第2の記憶部に記憶する、
付記12に記載の異常検知方法。
[付記14]
前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを含む第4の異常検知結果を出力する、
付記12または13に記載の異常検知方法。
[付記15]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
付記9乃至14の何れかに記載の異常検知方法。
[付記16]
前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
付記9乃至14の何れかに記載の異常検知方法。
[付記17]
コンピュータを、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
して機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体。
101…収集部
102…第1の学習部
103…第2の学習部
104…第1のモデル
105…第2のモデル
106…第1の異常検知部
107…第2の異常検知部
108…判定部
109…記憶部
110…出力部
200…被監視システム
201…装置
202…センサ
203…ログ記録部
210…センサデータ
211…ログデータ
221…センサID=1のセンサの時系列データ
222…センサID=2のセンサの時系列データ
223…センサID=3のセンサの時系列データ
224…センサID=4のセンサの時系列データ
225…センサID=5のセンサの時系列データ
226…センサID=6のセンサの時系列データ
300…異常検知装置
301…収集部
302…第1の学習部
303…第2の学習部
304…第1のモデル
305…第2のモデル
306…第1の異常検知部
307…第2の異常検知部
308…判定部
309…記憶部
310…出力部
400…被監視システム
401…装置
402…センサ
403…ログ記録部
410…センサデータ
411…ログデータ
500…異常検知装置
501…収集部
502…第1の学習部
503…第2の学習部
504…第1のモデル
505…第2のモデル
506…第1の異常検知部
507…第2の異常検知部
508-1…第1の判定部
508-2…第2の判定部
509-1…第1の記憶部
509-2…第2の記憶部
510…出力部
600…被監視システム
601…装置
602…センサ
603…ログ記録部
610…センサデータ
611…ログデータ
700…異常検知装置
701…第1の異常検知部
702…第2の異常検知部
703…第1の記憶部
704…第1の判定部
800…被監視システム
1000…情報処理装置
1001…通信インタフェース部
1002…操作入力部
1003…画面表示部
1004…記憶部
1005…演算処理部
1100…プログラム
Claims (9)
- 被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部と、
前記異常な第2の被監視データが検知されたとき、該検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを前記第2の記憶部から読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第2の異常検知結果を出力する第2の判定部と、を備える
異常検知装置。 - 前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを前記第1の記憶部に記憶し、前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに前記異常な第2の被監視データが検知されると、該検知された前記異常な第2の被監視データを前記記憶した前記異常な第1の被監視データに関連付けて前記第1の記憶部に記憶する、
請求項1に記載の異常検知装置。 - 前記第1の判定部は、前記異常な第1の被監視データが検知されたとき、該検知された前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データが前記第1の記憶部に記憶されていない場合、前記検知した前記異常な第1の被監視データを含む第3の異常検知結果を出力する、
請求項1または2に記載の異常検知装置。 - 前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを前記第2の記憶部に記憶し、前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに前記異常な第1の被監視データが検知されると、該検知された前記異常な第1の被監視データを前記記憶した前記異常な第2の被監視データに関連付けて前記第2の記憶部に記憶する、
請求項1乃至3の何れかに記載の異常検知装置。 - 前記第2の判定部は、前記異常な第2の被監視データが検知されたとき、該検知された前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データが前記第2の記憶部に記憶されていない場合、前記検知した前記異常な第2の被監視データを含む第4の異常検知結果を出力する、
請求項1乃至4の何れかに記載の異常検知装置。 - 前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含む、
請求項1乃至5の何れかに記載の異常検知装置。 - 前記複数の第1の被監視データは、前記被監視システムを構成する複数の装置から取得された複数のテキストログを含み、前記複数の第2の被監視データは、前記被監視システムを構成する複数の装置から取得された複数の性能指標についての計測値を含む、
請求項1乃至5の何れかに記載の異常検知装置。 - 被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知し、
前記異常な第1の被監視データの検知と並行して、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知し、
前記異常な第1の被監視データが検知されたとき、前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部から、前記検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力し、
前記異常な第2の被監視データが検知されたとき、前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部から、前記検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第2の異常検知結果を出力する、
異常検知方法。 - コンピュータを、
被監視システムから得られる複数の第1の被監視データのうちから異常な第1の被監視データを検知する第1の異常検知部と、
前記第1の異常検知部と並行して動作し、前記被監視システムから得られる複数の第2の被監視データのうちから異常な第2の被監視データを検知する第2の異常検知部と、
前記異常な第1の被監視データと前記異常な第1の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第2の被監視データとを関連付けて記憶する第1の記憶部と、
前記異常な第1の被監視データが検知されたとき、該検知した前記異常な第1の被監視データに関連付けられている前記異常な第2の被監視データを前記第1の記憶部から読み出し、該読み出した前記異常な第2の被監視データと前記検知された前記異常な第1の被監視データとを含む第1の異常検知結果を出力する第1の判定部と、
前記異常な第2の被監視データと前記異常な第2の被監視データの検知時刻から一定時間が経過するまでに検知された前記異常な第1の被監視データとを関連付けて記憶する第2の記憶部と、
前記異常な第2の被監視データが検知されたとき、該検知した前記異常な第2の被監視データに関連付けられている前記異常な第1の被監視データを前記第2の記憶部から読み出し、該読み出した前記異常な第1の被監視データと前記検知された前記異常な第2の被監視データとを含む第2の異常検知結果を出力する第2の判定部と、
して機能させるプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/024682 WO2020003460A1 (ja) | 2018-06-28 | 2018-06-28 | 異常検知装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020003460A1 JPWO2020003460A1 (ja) | 2021-06-03 |
JP7031743B2 true JP7031743B2 (ja) | 2022-03-08 |
Family
ID=68986790
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020526823A Active JP7031743B2 (ja) | 2018-06-28 | 2018-06-28 | 異常検知装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11640459B2 (ja) |
JP (1) | JP7031743B2 (ja) |
WO (1) | WO2020003460A1 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11237548B2 (en) * | 2018-12-27 | 2022-02-01 | Mitsubishi Electric Corporation | Data delivery control apparatus, method, and program |
US11757904B2 (en) * | 2021-01-15 | 2023-09-12 | Bank Of America Corporation | Artificial intelligence reverse vendor collation |
US11895128B2 (en) | 2021-01-15 | 2024-02-06 | Bank Of America Corporation | Artificial intelligence vulnerability collation |
US20220335347A1 (en) * | 2021-04-15 | 2022-10-20 | Business Objects Software Ltd | Time-series anomaly prediction and alert |
CN115686894A (zh) * | 2021-07-29 | 2023-02-03 | Oppo广东移动通信有限公司 | 异常处理方法、装置、计算机设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011070635A (ja) | 2009-08-28 | 2011-04-07 | Hitachi Ltd | 設備状態監視方法およびその装置 |
WO2016132717A1 (ja) | 2015-02-17 | 2016-08-25 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびプログラム記録媒体 |
WO2018069950A1 (ja) | 2016-10-13 | 2018-04-19 | 日本電気株式会社 | ログ分析方法、システムおよびプログラム |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5267684B2 (ja) | 2010-01-08 | 2013-08-21 | 日本電気株式会社 | 運用管理装置、運用管理方法、及びプログラム記憶媒体 |
US20160164721A1 (en) * | 2013-03-14 | 2016-06-09 | Google Inc. | Anomaly detection in time series data using post-processing |
JP2015028700A (ja) | 2013-07-30 | 2015-02-12 | Kddi株式会社 | 障害検知装置、障害検知方法、障害検知プログラム及び記録媒体 |
JP6387707B2 (ja) * | 2014-07-01 | 2018-09-12 | 富士通株式会社 | 異常検出システム、表示装置、異常検出方法及び異常検出プログラム |
US9646159B2 (en) * | 2015-03-31 | 2017-05-09 | Juniper Networks, Inc. | Multi-file malware analysis |
JP6472367B2 (ja) * | 2015-10-28 | 2019-02-20 | 株式会社 日立産業制御ソリューションズ | 気付き情報提供装置及び気付き情報提供方法 |
US10652333B2 (en) * | 2016-12-27 | 2020-05-12 | Intel Corporation | Normalization of sensors |
US11537713B2 (en) * | 2017-08-02 | 2022-12-27 | Crashplan Group Llc | Ransomware attack onset detection |
-
2018
- 2018-06-28 WO PCT/JP2018/024682 patent/WO2020003460A1/ja active Application Filing
- 2018-06-28 JP JP2020526823A patent/JP7031743B2/ja active Active
- 2018-06-28 US US17/255,518 patent/US11640459B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011070635A (ja) | 2009-08-28 | 2011-04-07 | Hitachi Ltd | 設備状態監視方法およびその装置 |
WO2016132717A1 (ja) | 2015-02-17 | 2016-08-25 | 日本電気株式会社 | ログ分析システム、ログ分析方法およびプログラム記録媒体 |
WO2018069950A1 (ja) | 2016-10-13 | 2018-04-19 | 日本電気株式会社 | ログ分析方法、システムおよびプログラム |
Also Published As
Publication number | Publication date |
---|---|
US11640459B2 (en) | 2023-05-02 |
US20210224383A1 (en) | 2021-07-22 |
JPWO2020003460A1 (ja) | 2021-06-03 |
WO2020003460A1 (ja) | 2020-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7031743B2 (ja) | 異常検知装置 | |
WO2019142331A1 (ja) | 障害予測システムおよび障害予測方法 | |
JP5794034B2 (ja) | 障害予測システム及びプログラム | |
JP6875179B2 (ja) | システム分析装置、及びシステム分析方法 | |
US20080167842A1 (en) | Method and system for detecting, analyzing and subsequently recognizing abnormal events | |
JP6280862B2 (ja) | イベント分析システムおよび方法 | |
WO2010032701A1 (ja) | 運用管理装置、運用管理方法、および運用管理プログラム | |
JP2012242159A (ja) | システムの高い可用性のためにセンサデータを補間する方法、コンピュータプログラム、システム。 | |
JPWO2016132717A1 (ja) | アプリケーション自動制御システム、アプリケーション自動制御方法およびプログラム | |
KR102005138B1 (ko) | 기기 이상징후 사전감지 방법 및 시스템 | |
CN112272763B (zh) | 异常探测装置、异常探测方法以及计算机可读取的存储介质 | |
JP6521096B2 (ja) | 表示方法、表示装置、および、プログラム | |
JP2019057164A (ja) | プラント異常監視システム | |
JPWO2014091952A1 (ja) | センサ監視装置、センサ監視方法、及びセンサ監視プログラム | |
JP2020052714A5 (ja) | ||
JP4922265B2 (ja) | プラント監視装置およびプラント監視方法 | |
CN113196311A (zh) | 用于识别和预测机器的异常感测行为模式的***和方法 | |
JP7501266B2 (ja) | 運転支援装置、運転支援システム及び運転支援方法 | |
KR20220127474A (ko) | 자동화 공정 이상상태 모니터링 및 제어 시스템 및 방법 | |
JP6915693B2 (ja) | システム分析方法、システム分析装置、および、プログラム | |
JP2010276339A (ja) | センサ診断方法およびセンサ診断装置 | |
JP2005182647A (ja) | 機器の異常検知装置 | |
JP2016080585A (ja) | プラント状態解析装置 | |
US11415958B2 (en) | Data extracting apparatus, data extracting method, and recording medium | |
JP2890815B2 (ja) | プラントの異常診断装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201118 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211124 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220125 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220207 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7031743 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |