JP7084271B2 - Anomaly detection device, anomaly detection method and anomaly detection program - Google Patents

Anomaly detection device, anomaly detection method and anomaly detection program Download PDF

Info

Publication number
JP7084271B2
JP7084271B2 JP2018185387A JP2018185387A JP7084271B2 JP 7084271 B2 JP7084271 B2 JP 7084271B2 JP 2018185387 A JP2018185387 A JP 2018185387A JP 2018185387 A JP2018185387 A JP 2018185387A JP 7084271 B2 JP7084271 B2 JP 7084271B2
Authority
JP
Japan
Prior art keywords
abnormality
unit
abnormality detection
ranking
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018185387A
Other languages
Japanese (ja)
Other versions
JP2020057858A (en
Inventor
友樹 平
悠介 斎藤
基至 大木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2018185387A priority Critical patent/JP7084271B2/en
Publication of JP2020057858A publication Critical patent/JP2020057858A/en
Application granted granted Critical
Publication of JP7084271B2 publication Critical patent/JP7084271B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、異常検知装置、異常検知方法および異常検知プログラムに関する。 The present invention relates to an abnormality detection device, an abnormality detection method, and an abnormality detection program.

従来、大量の時系列データを取得し、普段と異なるふるまい、例えば、通信量の急な増加などの異常を検知する異常検知技術が知られている。このような異常検知技術は、DDоS攻撃の検知や機器の故障検知などに応用されている。異常検知には、過去の値から分布を仮定し、現在の値の異常度を確率値として定義するホテリングのt理論を用いたものや、LOF(Local Outlier Factor)や特異スペクトル変換法を用いる手法などが存在する。 Conventionally, an abnormality detection technique has been known in which a large amount of time-series data is acquired and an abnormality such as an abnormality such as a sudden increase in communication volume is detected due to an unusual behavior. Such anomaly detection technology is applied to detection of DDоS attacks, device failure detection, and the like. For anomaly detection, the t2 theory of hoteling , which assumes a distribution from past values and defines the degree of anomaly of the current value as a probability value, is used, and LOF (Local Outlier Factor) and singular spectrum conversion method are used. There are methods and so on.

特開2007-173907号公報Japanese Unexamined Patent Publication No. 2007-17397

しかしながら、従来の手法では、異常検知を行う際の処理負荷が大きくなる場合があるという課題があった。例えば、複数の時系列データについて、各時系列データを用いて、それぞれの異常度合いを示す異常度を計算し、計算した異常度に基づいて異常を監視した場合には、計算コストが大きくなる場合があった。 However, the conventional method has a problem that the processing load when detecting an abnormality may become large. For example, if each time-series data is used to calculate the degree of abnormality indicating the degree of abnormality for a plurality of time-series data, and the abnormality is monitored based on the calculated degree of abnormality, the calculation cost becomes large. was there.

上述した課題を解決し、目的を達成するために、本発明の異常検知装置は、対象システムに関する時系列データを取得する取得部と、前記取得部によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成部と、前記作成部によって作成されたランキングを用いて、異常度を計算する計算部と、前記計算部によって計算された異常度に基づいて、前記対象システムの異常を検知する検知部とを有することを特徴とする。 In order to solve the above-mentioned problems and achieve the object, the abnormality detection device of the present invention acquires the time-series data related to the target system and the time-series data acquired by the acquisition unit for a predetermined time. Calculation that totals for each predetermined abnormality detection unit in units and calculates the degree of abnormality using the creation unit that creates a ranking for each predetermined time unit using the aggregation result and the ranking created by the creation unit. It is characterized by having a unit and a detection unit that detects an abnormality in the target system based on the degree of abnormality calculated by the calculation unit.

また、本発明の異常検知方法は、異常検知装置によって実行される異常検知方法であって、対象システムに関する時系列データを取得する取得工程と、前記取得工程によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成工程と、前記作成工程によって作成されたランキングを用いて、異常度を計算する計算工程と、前記計算工程によって計算された異常度に基づいて、前記対象システムの異常を検知する検知工程とを含むことを特徴とする。 Further, the abnormality detection method of the present invention is an abnormality detection method executed by an abnormality detection device, in which an acquisition process for acquiring time-series data related to a target system and a time-series data acquired by the acquisition process are predetermined. Aggregate for each predetermined abnormality detection unit in time units, and calculate the degree of abnormality using the creation process that creates a ranking for each predetermined time unit using the aggregation result and the ranking created by the creation process. It is characterized by including a calculation step for detecting an abnormality in the target system and a detection step for detecting an abnormality in the target system based on the degree of abnormality calculated by the calculation step.

また、本発明の異常検知プログラムは、対象システムに関する時系列データを取得する取得ステップと、前記取得ステップによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する作成ステップと、前記作成ステップによって作成されたランキングを用いて、異常度を計算する計算ステップと、前記計算ステップによって計算された異常度に基づいて、前記対象システムの異常を検知する検知ステップとをコンピュータに実行させることを特徴とする。 Further, the abnormality detection program of the present invention aggregates the acquisition step for acquiring the time-series data related to the target system and the time-series data acquired by the acquisition step for each predetermined abnormality detection unit in a predetermined time unit. A creation step that creates a ranking for each predetermined time unit using the aggregated results, a calculation step that calculates the degree of anomaly using the ranking created by the creation step, and an anomaly degree calculated by the calculation step. Based on the above, the computer is made to execute a detection step for detecting an abnormality in the target system.

本発明によれば、異常検知を行う際の処理負荷を軽減することができるという効果を奏する。 According to the present invention, there is an effect that the processing load when detecting an abnormality can be reduced.

図1は、第1の実施形態に係る異常検知システムの構成例を示す構成図である。FIG. 1 is a configuration diagram showing a configuration example of an abnormality detection system according to the first embodiment. 図2は、第1の実施形態に係る異常検知装置の構成例を示すブロック図である。FIG. 2 is a block diagram showing a configuration example of the abnormality detection device according to the first embodiment. 図3は、集計データ記憶部に記憶されるデータの一例を示す図である。FIG. 3 is a diagram showing an example of data stored in the aggregated data storage unit. 図4は、ランキング情報記憶部に記憶されるデータの一例を示す図である。FIG. 4 is a diagram showing an example of data stored in the ranking information storage unit. 図5は、異常度情報記憶部に記憶されるデータの一例を示す図である。FIG. 5 is a diagram showing an example of data stored in the abnormality degree information storage unit. 図6は、ランキング作成の処理例を説明する図である。FIG. 6 is a diagram illustrating a processing example of ranking creation. 図7は、第1の実施形態に係る異常検知装置における処理の流れの一例を示すフローチャートである。FIG. 7 is a flowchart showing an example of the processing flow in the abnormality detection device according to the first embodiment. 図8は、異常検知プログラムを実行するコンピュータを示す図である。FIG. 8 is a diagram showing a computer that executes an abnormality detection program.

以下に、本願に係る異常検知装置、異常検知方法および異常検知プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る異常検知装置、異常検知方法および異常検知プログラムが限定されるものではない。 Hereinafter, embodiments of the abnormality detection device, the abnormality detection method, and the abnormality detection program according to the present application will be described in detail with reference to the drawings. It should be noted that this embodiment does not limit the abnormality detection device, the abnormality detection method, and the abnormality detection program according to the present application.

[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る異常検知システム100の構成、異常検知装置10の構成、異常検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。 [First Embodiment]
In the following embodiment, the configuration of the abnormality detection system 100, the configuration of the abnormality detection device 10, and the processing flow of the abnormality detection device 10 according to the first embodiment will be described in order, and finally, the effect of the first embodiment will be described. To explain.

[異常検知システムの構成]
図1は、第1の実施形態に係る異常検知システムの構成例を示す構成図である。第1の実施形態に係る異常検知システム100は、異常検知装置10と端末装置20とを有し、異常検知装置10と端末装置20とはネットワーク30を介して互いに接続されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。 [Anomaly detection system configuration]
FIG. 1 is a configuration diagram showing a configuration example of an abnormality detection system according to the first embodiment. The abnormality detection system 100 according to the first embodiment has an abnormality detection device 10 and a terminal device 20, and the abnormality detection device 10 and the terminal device 20 are connected to each other via a network 30. The configuration shown in FIG. 1 is only an example, and the specific configuration and the number of each device are not particularly limited.

異常検知装置10は、対象システムに関する時系列データを取得する。例えば、異常検知装置10は、時系列データとして、異常検知を行う対象の通信システムにおける通信データを取得する。なお、異常検知装置10は、時系列データとして、通信データに限定されるものではなく、どのようなデータを処理対象として取得してもよく、例えば、センサデータ等を取得してもよい。以下の説明では、異常検知装置10が、時系列データとして、通信データを取得して処理を行う場合を例として説明する。 The abnormality detection device 10 acquires time-series data related to the target system. For example, the abnormality detection device 10 acquires communication data in the communication system for which abnormality detection is performed as time-series data. The abnormality detection device 10 is not limited to communication data as time-series data, and any data may be acquired as a processing target, for example, sensor data or the like may be acquired. In the following description, a case where the abnormality detection device 10 acquires communication data as time-series data and performs processing will be described as an example.

そして、異常検知装置10は、取得した時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。例えば、異常検知装置10は、取得した通信データから、1時間単位で通信先ごとの通信量を集計し、集計結果を用いて、1時間ごとの通信量のランキングを作成する。なお、所定の時間単位として、「1時間」が設定されているものとして説明するが、これに限定されるものではなく、例えば、所定の時間単位として「10分」や「1日」が設定されていてもよい。 Then, the abnormality detection device 10 aggregates the acquired time-series data for each predetermined abnormality detection unit in a predetermined time unit, and creates a ranking for each predetermined time unit using the aggregation result. For example, the abnormality detection device 10 aggregates the communication amount for each communication destination on an hourly basis from the acquired communication data, and creates a ranking of the communication amount for each hour using the aggregated result. It should be noted that the description will be made assuming that "1 hour" is set as the predetermined time unit, but the present invention is not limited to this, and for example, "10 minutes" or "1 day" is set as the predetermined time unit. It may have been done.

その後、異常検知装置10は、作成したランキングを用いて、異常度を計算し、異常度に基づいて、対象システムの異常を検知する。例えば、異常検知装置10は、異常度が所定の閾値よりも高い場合には、対象システムの異常を検知し、端末装置20に対してアラートを出力する。このように、異常検知装置10は、通信先同士の相対的な通信量の順位を示すランキングを作成し、作成したランキングを用いて、異常度を計算するので、絶対的な値ではなく、相対的な値から異常を検知することができ、処理負荷を軽減することが可能である。 After that, the abnormality detection device 10 calculates the degree of abnormality using the created ranking, and detects the abnormality of the target system based on the degree of abnormality. For example, when the degree of abnormality is higher than a predetermined threshold value, the abnormality detection device 10 detects an abnormality in the target system and outputs an alert to the terminal device 20. In this way, the abnormality detection device 10 creates a ranking indicating the relative ranking of the communication volume between the communication destinations, and calculates the degree of abnormality using the created ranking. Therefore, the abnormality detection device 10 is not an absolute value but a relative value. Abnormalities can be detected from the target value, and the processing load can be reduced.

端末装置20は、PC(Personal Computer)やスマートフォン等の装置であって、例えば、対象システムを管理する管理者が使用する装置である。例えば、端末装置20は、異常検知装置10によって異常が検知された場合には、異常検知装置10から異常が検知された通信先を示すアラート表示画面を受信し、アラート表示画面を表示する。 The terminal device 20 is a device such as a PC (Personal Computer) or a smartphone, and is, for example, a device used by an administrator who manages a target system. For example, when an abnormality is detected by the abnormality detection device 10, the terminal device 20 receives an alert display screen indicating a communication destination in which the abnormality is detected from the abnormality detection device 10, and displays the alert display screen.

[異常検知装置の構成]
次に、図2を用いて、異常検知装置10の構成を説明する。図2は、第1の実施形態に係る異常検知装置の構成例を示すブロック図である。図2に示すように、この異常検知装置10は、通信処理部11、制御部12および記憶部13を有する。以下に異常検知装置10が有する各部の処理を説明する。 [Configuration of anomaly detection device]
Next, the configuration of the abnormality detection device 10 will be described with reference to FIG. FIG. 2 is a block diagram showing a configuration example of the abnormality detection device according to the first embodiment. As shown in FIG. 2, the abnormality detection device 10 has a communication processing unit 11, a control unit 12, and a storage unit 13. The processing of each part of the abnormality detection device 10 will be described below.

通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は、異常が検知された通信先を示すアラート表示画面のデータを端末装置20に送信する。 The communication processing unit 11 controls communication related to various types of information. For example, the communication processing unit 11 transmits data on the alert display screen indicating the communication destination where the abnormality is detected to the terminal device 20.

記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納する。記憶部13は、集計データ記憶部13a、ランキング情報記憶部13bおよび異常度情報記憶部13cを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。 The storage unit 13 stores data and programs necessary for various processes by the control unit 12. The storage unit 13 has an aggregated data storage unit 13a, a ranking information storage unit 13b, and an abnormality degree information storage unit 13c. For example, the storage unit 13 is a semiconductor memory element such as a RAM (Random Access Memory) or a flash memory (Flash Memory), or a storage device such as a hard disk or an optical disk.

集計データ記憶部13aは、通信先ごとに、時間帯別の通信量の集計データを記憶する。例えば、集計データ記憶部13aは、図3に例示するように、通信先を一意に識別する通信先IDごとに、1時間ごとの通信量を記憶する。図3は、集計データ記憶部に記憶されるデータの一例を示す図である。図3の例を挙げて具体的に説明すると、集計データ記憶部13aは、通信先ID「A」について、「0:00-1:00」の期間における通信量として「2000」と、「1:00-2:00」の期間における通信量として「1950」と、「2:00-3:00」の期間における通信量として「1800」とを記憶する。なお、ここで、通信量とは、例えば、パケット数であってもよいし、データ量であってもよい。 The aggregated data storage unit 13a stores aggregated data of the communication amount for each time zone for each communication destination. For example, as illustrated in FIG. 3, the aggregated data storage unit 13a stores the communication amount for each hour for each communication destination ID that uniquely identifies the communication destination. FIG. 3 is a diagram showing an example of data stored in the aggregated data storage unit. More specifically, the aggregated data storage unit 13a will use the example of FIG. 3 as the communication amount of the communication destination ID “A” in the period of “0:00 to 1:00” as “2000” and “1”. "1950" is stored as the communication volume in the period of ": 00-2: 00", and "1800" is stored as the communication volume in the period of "2:00-3:00". Here, the communication amount may be, for example, the number of packets or the amount of data.

ランキング情報記憶部13bは、通信先ごとに、各時間帯における通信量の相対的な順位を記憶する。例えば、ランキング情報記憶部13bは、図4に例示するように、通信IDごとに、1時間ごとの通信量のランキングにおける順位を記憶する。図4は、ランキング情報記憶部に記憶されるデータの一例を示す図である。図4の例を挙げて具体的に説明すると、ランキング情報記憶部13bは、通信先ID「A」について、「0:00-1:00」の期間におけるランキングの順位として「20」と、「1:00-2:00」の期間におけるランキングの順位として「24」と、「2:00-3:00」の期間におけるランキングの順位として「30」とを記憶する。 The ranking information storage unit 13b stores the relative ranking of the communication amount in each time zone for each communication destination. For example, as illustrated in FIG. 4, the ranking information storage unit 13b stores the ranking in the ranking of the communication amount for each hour for each communication ID. FIG. 4 is a diagram showing an example of data stored in the ranking information storage unit. More specifically, the ranking information storage unit 13b gives the communication destination ID "A" a ranking of "20" in the period of "0:00 to 1:00" and "20". "24" is stored as the ranking ranking in the period of "1: 00-2: 00", and "30" is stored as the ranking ranking in the period of "2:00-3:00".

異常度情報記憶部13cは、通信先ごとに、異常度を記憶する。例えば、異常度情報記憶部13cは、図5に例示するように、通信先IDと異常度とを対応付けて記憶する。図5は、異常度情報記憶部に記憶されるデータの一例を示す図である。ここで、異常度とは、後述する計算部12cによって計算された所定の時点における異常度であり、0~1の範囲で定義され、1に近づくほど異常度合いが高いものとする。図5の例を挙げて具体的に説明すると、異常度情報記憶部13cは、通信先ID「A」の異常度が「0.2」であり、通信先ID「B」の異常度が「0.3」であることを記憶している。 The abnormality degree information storage unit 13c stores the abnormality degree for each communication destination. For example, the abnormality degree information storage unit 13c stores the communication destination ID and the abnormality degree in association with each other, as illustrated in FIG. FIG. 5 is a diagram showing an example of data stored in the abnormality degree information storage unit. Here, the degree of abnormality is the degree of abnormality at a predetermined time point calculated by the calculation unit 12c described later, and is defined in the range of 0 to 1, and the closer to 1, the higher the degree of abnormality. More specifically, the abnormality degree information storage unit 13c has an abnormality degree of "0.2" in the communication destination ID "A" and an abnormality degree of the communication destination ID "B" in the abnormality degree information storage unit 13c with reference to the example of FIG. I remember that it was "0.3".

制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部12は、取得部12a、作成部12b、計算部12c、検知部12dおよび出力部12eを有する。ここで、制御部12は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。 The control unit 12 has an internal memory for storing a program that defines various processing procedures and required data, and executes various processing by these. The control unit 12 includes an acquisition unit 12a, a creation unit 12b, a calculation unit 12c, a detection unit 12d, and an output unit 12e. Here, the control unit 12 is, for example, an electronic circuit such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit), or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array).

取得部12aは、対象システムに関する時系列データを取得する。具体的には、取得部12aは、時系列データとして、異常検知を行う対象の通信システムにおける通信データを取得する。例えば、取得部12aは、通信システムにおけるルータ等の通信機器から直接パケットのデータを定期的に収集するようにしてもよいし、端末装置20等から入力された所定期間の通信データをまとめて取得するようにしてもよい。 The acquisition unit 12a acquires time-series data related to the target system. Specifically, the acquisition unit 12a acquires communication data in the communication system for which abnormality detection is performed as time-series data. For example, the acquisition unit 12a may periodically collect packet data directly from a communication device such as a router in a communication system, or collectively acquire communication data for a predetermined period input from a terminal device 20 or the like. You may try to do it.

作成部12bは、取得部12aによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。ここで、異常検知単位とは、異常を検知する単位を示すものであり、以下では、異常検知単位として通信先IDが設定されているものとして説明する。なお、異常検知単位は、これに限定されるものではなく、例えば、処理対象が時系列のセンサデータである場合には、異常検知単位として、センサを識別するセンサIDが設定されていてもよい。具体的には、作成部12bは、取得した通信データから、1時間単位で通信先ごとの通信量を集計し、集計結果を用いて、1時間ごとの通信量のランキングを作成する。なお、作成部12bは、取得した通信データが欠損している場合には、既存の手法を用いて、欠損している部分を補完するようにしてもよい。例えば、作成部12bは、データがない部分については、該当部分のデータを「0」で補完する。 The creation unit 12b aggregates the time-series data acquired by the acquisition unit 12a for each predetermined abnormality detection unit in a predetermined time unit, and creates a ranking for each predetermined time unit using the aggregation result. Here, the abnormality detection unit indicates a unit for detecting an abnormality, and will be described below assuming that the communication destination ID is set as the abnormality detection unit. The abnormality detection unit is not limited to this, and for example, when the processing target is time-series sensor data, a sensor ID that identifies the sensor may be set as the abnormality detection unit. .. Specifically, the creation unit 12b aggregates the communication amount for each communication destination in 1-hour units from the acquired communication data, and creates a ranking of the communication amount for each hour using the aggregated result. If the acquired communication data is missing, the creating unit 12b may use an existing method to supplement the missing portion. For example, the creating unit 12b supplements the data of the corresponding portion with "0" for the portion having no data.

ここで、図6を用いて、ランキング作成の処理例を説明する。図6は、ランキング作成の処理例を説明する図である。図6に例示するように、作成部12bは、取得部12aによって取得された時系列の通信量を示す通信データから、「0:00-1:00」、「1:00-2:00」、「2:00-3:00」・・・の各時間帯における各通信先IDの通信量をそれぞれ集計し、集計結果を集計データ記憶部13aに格納する。 Here, a processing example of ranking creation will be described with reference to FIG. FIG. 6 is a diagram illustrating a processing example of ranking creation. As illustrated in FIG. 6, the creating unit 12b is "0: 00-1: 00", "1: 00-2: 00" from the communication data indicating the time-series communication amount acquired by the acquisition unit 12a. , "2: 00-3: 00" ... The communication amount of each communication destination ID in each time zone is totaled, and the totaled result is stored in the totaled data storage unit 13a.

続いて、作成部12bは、各通信先IDの同一時間帯の通信量同士を比較して順位付けを行い、時間帯ごとのランキングを作成し、ランキング結果をランキング情報記憶部13bに格納する。 Subsequently, the creation unit 12b compares and ranks the communication volumes of each communication destination ID in the same time zone, creates a ranking for each time zone, and stores the ranking result in the ranking information storage unit 13b.

計算部12cは、作成部12bによって作成されたランキングを用いて、異常度を計算する。具体的には、計算部12cは、作成部12bによって作成されたランキングに含まれる所定時間単位ごとの順位のうち上位所定番目の順位を特定し、該上位所定番目の順位と、所定の時点における順位とに基づいて、所定の時点における各通信先の異常度を計算し、計算した異常度を異常度情報記憶部13cに格納する。なお、どの時点の異常度を計算するかは、任意に設定できるものとするが、以下の説明では、現在の時点における異常度を計算するものとする。 The calculation unit 12c calculates the degree of abnormality using the ranking created by the creation unit 12b. Specifically, the calculation unit 12c specifies the upper predetermined rank among the ranks for each predetermined time unit included in the ranking created by the creation unit 12b, and the upper predetermined rank and the higher predetermined rank at a predetermined time point. The degree of abnormality of each communication destination at a predetermined time point is calculated based on the order, and the calculated degree of abnormality is stored in the degree of abnormality information storage unit 13c. It should be noted that the time point at which the degree of abnormality is calculated can be arbitrarily set, but in the following description, the degree of abnormality at the current time point is calculated.

また、計算部12cは、ランキングに含まれる各順位を通信先の数に応じて、補正するようにしてもよい。例えば、計算部12cは、ある通信先のランキングが「10」位であって、通信先の数が「100」ある場合には、「10」を「100」で除算して「0.1」と補正し、ある通信先のランキングが「10」位であって、通信先の数が「20」ある場合には、「10」を「20」で除算して「0.5」と補正する。つまり、時系列データには周期性が現れることが多く、周期性がある場合には時間ごとに対象の登場数が異なる。このため、同じ10位でも意味が異なるため、通信先の全体の数に応じて、順位を補正する。 Further, the calculation unit 12c may correct each rank included in the ranking according to the number of communication destinations. For example, if the ranking of a certain communication destination is "10" and the number of communication destinations is "100", the calculation unit 12c divides "10" by "100" to "0.1". If the ranking of a certain communication destination is "10" and the number of communication destinations is "20", divide "10" by "20" and correct it to "0.5". .. That is, periodicity often appears in time-series data, and if there is periodicity, the number of appearances of the target differs depending on the time. Therefore, since the meaning is different even in the same 10th place, the ranking is corrected according to the total number of communication destinations.

例えば、計算部12cは、ランキングに含まれる各時間帯の順位のうち、移動n%値の順位を、通信先ごとに特定する。ここでは、通信先ごとのランキングの時系列データにおいて、ある一定区間の上位n%の値を移動n%値とする。この場合の一定区間とは、対象の値から過去のw個分とする。このwをウィンドウ幅とする。例えば、計算部12cは、移動n%値が10%と設定されている場合には、各通信先について、ランキングに含まれる100個の順位のうち、上位10番目の順位を特定する。この順位は、各通信先の普段のランキングを意味するものとする。ランキングの分布は対象ごとに異なる場合があるため、分布の種類に左右されづらく、計算コストも少ない移動n%値を用いている。なお、移動n%値について、整数で切れない場合は、前後整数で切れるところからの平均値で処理する。例えば、4つの中の50%値なら2位と3位の平均値、10個の中の12%値なら1位と2位の平均値、10個の中の1%値は参照できるものが1位の値しかないので1位の値用いる。 For example, the calculation unit 12c specifies the rank of the moving n% value among the ranks of each time zone included in the ranking for each communication destination. Here, in the time-series data of the ranking for each communication destination, the value of the upper n% in a certain section is set as the moving n% value. In this case, the fixed section is the past w pieces from the target value. Let this w be the window width. For example, when the movement n% value is set to 10%, the calculation unit 12c specifies the top 10 ranks among the 100 ranks included in the ranking for each communication destination. This ranking shall mean the usual ranking of each communication destination. Since the distribution of the ranking may differ for each object, the moving n% value, which is not easily influenced by the type of distribution and has a low calculation cost, is used. If the moving n% value cannot be cut by an integer, it is processed by the average value from the place where it can be cut by an integer before or after. For example, if the value is 50% out of 4, the average value of the 2nd and 3rd place, if the value is 12% out of 10, the average value of the 1st and 2nd place, and the 1% value out of 10 can be referred to. Since there is only the 1st place value, the 1st place value is used.

なお、ここでは、例えば、10%をデフォルト値として設定されているものとするが、これに限定されるものではなく、nの値やウィンドウ幅は任意に設定することができるものとする。つまり、データの種類の検知したい異常の種類によって適切なウィンドウ幅やnの値は異なるため、ウィンドウ幅やnの値は自由に設定することができるようにし、データや目的によって、偽陽性と偽陰性のバランスを考慮して、柔軟に異常を検知できるように調整することが可能である。なお、移動n%値について、一般的に、統計の分野においては5%を閾値にすることがあるが、本実施形態では、5%から少し余裕を持たせた10%値をデフォルト値とする。そうすることによって、ウィンドウ幅が小さくても(例えば、20程度でも)、異常を検知できるようにしている。 Here, for example, it is assumed that 10% is set as the default value, but the value is not limited to this, and the value of n and the window width can be set arbitrarily. In other words, since the appropriate window width and n value differ depending on the type of data type of abnormality to be detected, the window width and n value can be set freely, and false positives and false positives are made depending on the data and purpose. It is possible to adjust so that the abnormality can be detected flexibly in consideration of the negative balance. In the field of statistics, the threshold value of the moving n% value is generally 5%, but in the present embodiment, a 10% value with a slight margin from 5% is used as the default value. .. By doing so, even if the window width is small (for example, about 20), the abnormality can be detected.

そして、計算部12cは、異常度の計算として、「異常度=(移動n%値―現在の値)/移動n%値」を計算する。なお、普段よりランキングが低い場合には異常度がマイナスの値となるが、本実施形態ではランキングの上昇を検知するために、マイナスの異常度は「0」で置換する。これにより、異常度が0~1の範囲で定義され、1に近づくほど異常とみなせる。 Then, the calculation unit 12c calculates "abnormality = (movement n% value-current value) / movement n% value" as the calculation of the degree of abnormality. If the ranking is lower than usual, the degree of abnormality becomes a negative value, but in the present embodiment, in order to detect an increase in the ranking, the degree of negative abnormality is replaced with "0". As a result, the degree of abnormality is defined in the range of 0 to 1, and the closer it is to 1, the more abnormal it can be regarded.

検知部12dは、計算部12cによって計算された異常度に基づいて、対象システムの異常を検知する。例えば、検知部12dは、計算部12cによって計算された各異常度のうち所定の閾値(例えば、0.8)を超えている異常度があるか判定し、所定の閾値を超える異常度があると判定した場合には、対象システムの異常を検知する。 The detection unit 12d detects an abnormality in the target system based on the degree of abnormality calculated by the calculation unit 12c. For example, the detection unit 12d determines whether or not there is an abnormality degree exceeding a predetermined threshold value (for example, 0.8) among the abnormality degrees calculated by the calculation unit 12c, and there is an abnormality degree exceeding the predetermined threshold value. If it is determined, an abnormality in the target system is detected.

出力部12eは、異常度が所定の閾値よりも高い場合には、対象システムの異常を検知し、端末装置20に対してアラートを出力する。例えば、出力部12eは、異常が検知された通信先を示すアラート表示画面を生成し、アラート表示画面のデータを端末装置20に対して出力する。 When the degree of abnormality is higher than a predetermined threshold value, the output unit 12e detects an abnormality in the target system and outputs an alert to the terminal device 20. For example, the output unit 12e generates an alert display screen indicating a communication destination in which an abnormality is detected, and outputs the data of the alert display screen to the terminal device 20.

[異常検知装置の処理手順]
次に、図7を用いて、第1の実施形態に係る異常検知装置10による処理手順の例を説明する。図7は、第1の実施形態に係る異常検知装置における処理の流れの一例を示すフローチャートである。 [Processing procedure for anomaly detection device]
Next, an example of the processing procedure by the abnormality detection device 10 according to the first embodiment will be described with reference to FIG. 7. FIG. 7 is a flowchart showing an example of the processing flow in the abnormality detection device according to the first embodiment.

図7に例示するように、異常検知装置10の取得部12aは、対象システムに関する時系列データを取得する(ステップS101)。具体的には、取得部12aは、時系列データとして、異常検知を行う対象の通信システムにおける通信データを取得する。 As illustrated in FIG. 7, the acquisition unit 12a of the abnormality detection device 10 acquires time-series data related to the target system (step S101). Specifically, the acquisition unit 12a acquires communication data in the communication system for which abnormality detection is performed as time-series data.

そして、作成部12bは、取得部12aによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計する(ステップS102)。続いて、作成部12bは、取得した通信データが欠損している場合には、既存の手法を用いて、欠損している部分を補完する(ステップS103)。 Then, the creation unit 12b aggregates the time-series data acquired by the acquisition unit 12a for each predetermined abnormality detection unit in a predetermined time unit (step S102). Subsequently, when the acquired communication data is missing, the creating unit 12b uses an existing method to supplement the missing portion (step S103).

そして、作成部12bは、集計結果を用いて、所定の時間単位ごとのランキングを作成する(ステップS104)。続いて、計算部12cは、ランキングに含まれる各順位を通信先の数に応じて、補正する(ステップS105)。例えば、計算部12cは、ある通信先のランキングが「10」位であって、通信先の数が「100」ある場合には、「10」を「100」で除算して「0.1」と補正する。 Then, the creation unit 12b creates a ranking for each predetermined time unit using the aggregation result (step S104). Subsequently, the calculation unit 12c corrects each rank included in the ranking according to the number of communication destinations (step S105). For example, if the ranking of a certain communication destination is "10" and the number of communication destinations is "100", the calculation unit 12c divides "10" by "100" to "0.1". And correct it.

そして、計算部12cは、ランキングに含まれる各時間帯の順位のうち、移動n%値の順位を、通信先ごとに特定する(ステップS106)。そして、計算部12cは、移動n%値の順位と、所定の時点における順位とに基づいて、所定の時点における異常度を計算する(ステップS107)。例えば、計算部12cは、異常度の計算として、「異常度=(移動n%値―現在の値)/移動n%値」を計算する。 Then, the calculation unit 12c specifies the rank of the moving n% value among the ranks of each time zone included in the ranking for each communication destination (step S106). Then, the calculation unit 12c calculates the degree of abnormality at a predetermined time point based on the rank of the movement n% value and the rank at the predetermined time point (step S107). For example, the calculation unit 12c calculates "abnormality = (movement n% value-current value) / movement n% value" as the calculation of the degree of abnormality.

その後、検知部12dは、計算部12cによって計算された各異常度のうち所定の閾値(例えば、0.8)を超えている異常度があるか判定する(ステップS108)。この結果、検知部12dが所定の閾値を超える異常度がないと判定した場合には(ステップS108否定)、そのまま処理を終了する。また、検知部12dが所定の閾値を超える異常度がないと判定した場合には(ステップS108肯定)、端末装置20に対してアラートを出力する(ステップS109)。例えば、出力部12eは、異常が検知された通信先を示すアラート表示画面を生成し、アラート表示画面のデータを端末装置20に対して出力する。 After that, the detection unit 12d determines whether or not there is an abnormality degree exceeding a predetermined threshold value (for example, 0.8) among the abnormality degrees calculated by the calculation unit 12c (step S108). As a result, when the detection unit 12d determines that there is no abnormality degree exceeding a predetermined threshold value (negation in step S108), the process is terminated as it is. Further, when the detection unit 12d determines that there is no abnormality degree exceeding a predetermined threshold value (step S108 affirmative), an alert is output to the terminal device 20 (step S109). For example, the output unit 12e generates an alert display screen indicating a communication destination in which an abnormality is detected, and outputs the data of the alert display screen to the terminal device 20.

(第1の実施形態の効果)
第1の実施形態に係る異常検知装置10は、対象システムに関する時系列データを取得し、取得した時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとのランキングを作成する。そして、異常検知装置10は、作成したランキングを用いて、異常度を計算し、計算した異常度に基づいて、対象システムの異常を検知する。このため、異常検知装置10では、異常検知の行う際の処理負荷を軽減することが可能である。 (Effect of the first embodiment)
The abnormality detection device 10 according to the first embodiment acquires time-series data related to the target system, aggregates the acquired time-series data for each predetermined abnormality detection unit in a predetermined time unit, and uses the aggregation result. , Create a ranking for each predetermined time unit. Then, the abnormality detection device 10 calculates the degree of abnormality using the created ranking, and detects the abnormality of the target system based on the calculated degree of abnormality. Therefore, in the abnormality detection device 10, it is possible to reduce the processing load when performing abnormality detection.

つまり、異常検知装置10は、通信先同士の相対的な通信量の順位を示すランキングを作成し、作成したランキングを用いて、異常度を計算するので、絶対的な値ではなく、相対的な値から異常を検知することができ、処理負荷を軽減することが可能である。 That is, since the abnormality detection device 10 creates a ranking indicating the ranking of the relative communication volume between the communication destinations and calculates the degree of abnormality using the created ranking, it is not an absolute value but a relative one. Abnormalities can be detected from the values, and the processing load can be reduced.

また、従来における、期間全体で値が大きいもの等の基準で絞り、それぞれに異常検知アルゴリズムを適用する手法では、期間全体で値が大きいものを異常と判定するという条件で絞ると、短期間で大きな値を記録するものは対象から外れてしまう。これに対して、異常検知装置10では、絶対的な値ではなく、相対的な値から異常を検知するので、短期間で大きな値を記録した対象についても異常を検知することが可能である。 In addition, in the conventional method of narrowing down by criteria such as those with a large value over the entire period and applying an abnormality detection algorithm to each, narrowing down under the condition that those with a large value over the entire period are judged as abnormal, in a short period of time. Those that record large values are excluded from the target. On the other hand, since the abnormality detection device 10 detects the abnormality not from the absolute value but from the relative value, it is possible to detect the abnormality even for the target that recorded a large value in a short period of time.

(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 (System configuration, etc.)
Further, each component of each of the illustrated devices is a functional concept, and does not necessarily have to be physically configured as shown in the figure. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or part of them may be functionally or physically distributed / physically distributed in any unit according to various loads and usage conditions. Can be integrated and configured. Further, each processing function performed by each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.

また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed. It is also possible to automatically perform all or part of the above by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above document and drawings can be arbitrarily changed unless otherwise specified.

(プログラム)
また、上記実施形態において説明した異常検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る異常検知装置10が実行する処理をコンピュータが実行可能な言語で記述した異常検知プログラムを作成することもできる。この場合、コンピュータが異常検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる異常検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された異常検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。 (program)
It is also possible to create a program in which the processing executed by the abnormality detection device described in the above embodiment is described in a language that can be executed by a computer. For example, it is possible to create an abnormality detection program in which the processing executed by the abnormality detection device 10 according to the embodiment is described in a language that can be executed by a computer. In this case, the same effect as that of the above embodiment can be obtained by executing the abnormality detection program by the computer. Further, even if the abnormality detection program is recorded on a computer-readable recording medium and the abnormality detection program recorded on the recording medium is read and executed by the computer, the same processing as that of the above embodiment can be realized. good.

図8は、異常検知プログラムを実行するコンピュータを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。 FIG. 8 is a diagram showing a computer that executes an abnormality detection program. As illustrated in FIG. 8, the computer 1000 has, for example, a memory 1010, a CPU 1020, a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. However, each of these parts is connected by a bus 1080.

メモリ1010は、図8に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図8に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図8に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図8に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図8に例示するように、例えばディスプレイ1130に接続される。 The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012, as illustrated in FIG. The ROM 1011 stores, for example, a boot program such as a BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090, as illustrated in FIG. The disk drive interface 1040 is connected to the disk drive 1100 as illustrated in FIG. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to, for example, a mouse 1110 and a keyboard 1120, as illustrated in FIG. The video adapter 1060 is connected, for example, to a display 1130, as illustrated in FIG.

ここで、図8に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、異常検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。 Here, as illustrated in FIG. 8, the hard disk drive 1090 stores, for example, the OS 1091, the application program 1092, the program module 1093, and the program data 1094. That is, the above-mentioned abnormality detection program is stored in, for example, the hard disk drive 1090 as a program module in which a command executed by the computer 1000 is described.

また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。 Further, the various data described in the above embodiment are stored as program data in, for example, a memory 1010 or a hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 into the RAM 1012 as needed, and executes various processing procedures.

なお、異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、異常検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。 The program module 1093 and program data 1094 related to the abnormality detection program are not limited to those stored in the hard disk drive 1090, but are stored in, for example, a removable storage medium and read out by the CPU 1020 via a disk drive or the like. May be good. Alternatively, the program module 1093 and the program data 1094 related to the abnormality detection program are stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.), and the network interface 1070 is used. It may be read out by the CPU 1020 via.

上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 The above-described embodiments and modifications thereof are included in the invention described in the claims and the equivalent scope thereof, as included in the technique disclosed in the present application.

10 異常検知装置
11 通信処理部
12 制御部
12a 取得部
12b 作成部
12c 計算部
12d 検知部
12e 出力部
13 記憶部
13a 集計データ記憶部
13b ランキング情報記憶部
13c 異常度情報記憶部
20 端末装置
30 ネットワーク
100 異常検知システム 10 Anomaly detection device 11 Communication processing unit 12 Control unit 12a Acquisition unit 12b Creation unit 12c Calculation unit 12d Detection unit 12e Output unit 13 Storage unit 13a Aggregate data storage unit 13b Ranking information storage unit 13c Abnormality information storage unit 20 Terminal device 30 Network 100 Anomaly detection system

Claims (4)

対象システムに関する時系列データを取得する取得部と、
前記取得部によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとの前記異常検知単位のランキングを作成する作成部と、
前記作成部によって作成されたランキングを用いて、前記異常検知単位の異常度を計算する計算部と、
前記計算部によって計算された異常度に基づいて、前記対象システムの異常を検知する検知部と
を有し、
前記計算部は、前記作成部によって作成されたランキングに含まれる所定時間単位ごとの前記異常検知単位の順位のうち上位所定番目の順位を特定し、該上位所定番目の順位と、所定の時点における順位とに基づいて、前記所定の時点における前記異常検知単位の異常度を計算することを特徴とする異常検知装置。 An acquisition unit that acquires time-series data related to the target system,
The time-series data acquired by the acquisition unit is aggregated for each predetermined abnormality detection unit in a predetermined time unit, and the aggregation result is used to create a ranking of the abnormality detection unit for each predetermined time unit. When,
Using the ranking created by the creation unit, a calculation unit that calculates the degree of abnormality of the abnormality detection unit, and a calculation unit.
It has a detection unit that detects an abnormality in the target system based on the degree of abnormality calculated by the calculation unit.
The calculation unit specifies the upper predetermined rank among the ranks of the abnormality detection units for each predetermined time unit included in the ranking created by the preparation unit, and the upper predetermined rank and the rank at a predetermined time point. An abnormality detection device, characterized in that the degree of abnormality of the abnormality detection unit at a predetermined time point is calculated based on the order . 前記計算部は、異常検知単位の数に応じて、前記ランキングに含まれる順位を補正することを特徴とする請求項1に記載の異常検知装置。 The abnormality detection device according to claim 1, wherein the calculation unit corrects the ranking included in the ranking according to the number of abnormality detection units. 異常検知装置によって実行される異常検知方法であって、
対象システムに関する時系列データを取得する取得工程と、
前記取得工程によって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとの前記異常検知単位のランキングを作成する作成工程と、
前記作成工程によって作成されたランキングを用いて、前記異常検知単位の異常度を計算する計算工程と、
前記計算工程によって計算された異常度に基づいて、前記対象システムの異常を検知する検知工程と
を含み、
前記計算工程は、前記作成工程によって作成されたランキングに含まれる所定時間単位ごとの前記異常検知単位の順位のうち上位所定番目の順位を特定し、該上位所定番目の順位と、所定の時点における順位とに基づいて、前記所定の時点における前記異常検知単位の異常度を計算することを特徴とする異常検知方法。 An anomaly detection method executed by an anomaly detection device.
The acquisition process to acquire time-series data related to the target system,
A creation process in which the time-series data acquired by the acquisition process is aggregated for each predetermined abnormality detection unit in a predetermined time unit, and the aggregation result is used to create a ranking of the abnormality detection unit for each predetermined time unit. When,
Using the ranking created by the creation step, a calculation step of calculating the degree of abnormality of the abnormality detection unit, and a calculation step.
Including a detection step of detecting an abnormality in the target system based on the degree of abnormality calculated by the calculation step.
The calculation step specifies the upper predetermined rank among the ranks of the abnormality detection units for each predetermined time unit included in the ranking created by the preparation step, and the higher predetermined rank and the predetermined time point. An abnormality detection method comprising calculating the degree of abnormality of the abnormality detection unit at a predetermined time point based on the order . 対象システムに関する時系列データを取得する取得ステップと、
前記取得ステップによって取得された時系列データを、所定の時間単位で所定の異常検知単位ごとに集計し、集計結果を用いて、所定の時間単位ごとの前記異常検知単位のランキングを作成する作成ステップと、
前記作成ステップによって作成されたランキングを用いて、前記異常検知単位の異常度を計算する計算ステップと、
前記計算ステップによって計算された異常度に基づいて、前記対象システムの異常を検知する検知ステップと
をコンピュータに実行させ
前記計算ステップは、前記作成ステップによって作成されたランキングに含まれる所定時間単位ごとの前記異常検知単位の順位のうち上位所定番目の順位を特定し、該上位所定番目の順位と、所定の時点における順位とに基づいて、前記所定の時点における前記異常検知単位の異常度を計算することを特徴とする異常検知プログラム。 The acquisition step to acquire the time series data related to the target system,
A creation step in which the time-series data acquired by the acquisition step is aggregated for each predetermined abnormality detection unit in a predetermined time unit, and the aggregation result is used to create a ranking of the abnormality detection unit for each predetermined time unit. When,
Using the ranking created by the creation step, a calculation step for calculating the degree of abnormality of the abnormality detection unit, and a calculation step.
Based on the degree of abnormality calculated by the calculation step, the computer is made to execute the detection step for detecting the abnormality of the target system .
The calculation step specifies a higher predetermined rank among the ranks of the abnormality detection units for each predetermined time unit included in the ranking created by the creation step, and the higher predetermined rank and a predetermined time point. An anomaly detection program characterized by calculating the degree of anomaly of the anomaly detection unit at a predetermined time point based on the order .
JP2018185387A 2018-09-28 2018-09-28 Anomaly detection device, anomaly detection method and anomaly detection program Active JP7084271B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018185387A JP7084271B2 (en) 2018-09-28 2018-09-28 Anomaly detection device, anomaly detection method and anomaly detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018185387A JP7084271B2 (en) 2018-09-28 2018-09-28 Anomaly detection device, anomaly detection method and anomaly detection program

Publications (2)

Publication Number Publication Date
JP2020057858A JP2020057858A (en) 2020-04-09
JP7084271B2 true JP7084271B2 (en) 2022-06-14

Family

ID=70107790

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018185387A Active JP7084271B2 (en) 2018-09-28 2018-09-28 Anomaly detection device, anomaly detection method and anomaly detection program

Country Status (1)

Country Link
JP (1) JP7084271B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002063285A (en) 2000-08-15 2002-02-28 Office Samurai:Kk System and method for presenting personal income ranking, final return calculation system and recording medium
JP2007173907A (en) 2005-12-19 2007-07-05 Nippon Telegr & Teleph Corp <Ntt> Abnormal traffic detection method and device
JP2011109587A (en) 2009-11-20 2011-06-02 Nippon Telegr & Teleph Corp <Ntt> Device, method, and system for monitoring bgp traffic variation
WO2016136215A1 (en) 2015-02-27 2016-09-01 日本電気株式会社 Control device, traffic control method, and recording medium onto which computer program is recorded
JP2017083985A (en) 2015-10-26 2017-05-18 株式会社Screenホールディングス Time series data processing method, time series data processing program, and time series data processing device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002063285A (en) 2000-08-15 2002-02-28 Office Samurai:Kk System and method for presenting personal income ranking, final return calculation system and recording medium
JP2007173907A (en) 2005-12-19 2007-07-05 Nippon Telegr & Teleph Corp <Ntt> Abnormal traffic detection method and device
JP2011109587A (en) 2009-11-20 2011-06-02 Nippon Telegr & Teleph Corp <Ntt> Device, method, and system for monitoring bgp traffic variation
WO2016136215A1 (en) 2015-02-27 2016-09-01 日本電気株式会社 Control device, traffic control method, and recording medium onto which computer program is recorded
JP2017083985A (en) 2015-10-26 2017-05-18 株式会社Screenホールディングス Time series data processing method, time series data processing program, and time series data processing device

Also Published As

Publication number Publication date
JP2020057858A (en) 2020-04-09

Similar Documents

Publication Publication Date Title
US20110238377A1 (en) Auto Adjustment of Baseline on Configuration Change
US11520395B2 (en) Integrated circuit power systems with machine learning capabilities
KR20190084946A (en) User abnormal behavior detection method, device and system
JP2005071364A (en) System and method for controlling vlsi environment
CN105429300B (en) power monitoring method and system
JP7285187B2 (en) System and method for anomaly characterization based on joint analysis of history and time series
US10564195B2 (en) System and method for energy sample forecasting of HVAC-R systems
JP2020137145A (en) Abnormality factor identification method, abnormality factor identification device, power conversion device, and power conversion system
US11892819B2 (en) Control device, control system, control method, and computer-readable storage medium
JP5711675B2 (en) Network abnormality detection apparatus and network abnormality detection method
JP7084271B2 (en) Anomaly detection device, anomaly detection method and anomaly detection program
US20220345590A1 (en) Video analysis method, video analysis system, and information processing device
CN107218702B (en) Air conditioner, air conditioner frequency adjusting method and computer readable storage medium
CN105468910A (en) Performance degradation prediction method for electromechanical equipment
US9791911B2 (en) Determining whether a change in power usage is abnormal when power usage exceeds a threshold based on additional metrics of components in an electronic device
US20150309553A1 (en) Server and method for adjustment of frequency of monitoring components of server
JP7243825B2 (en) Control device, control method and control program
JP2011159125A (en) Event clustering system, computer program therefor, and data processing method
WO2022161100A1 (en) Edge computing server resetting method and device
CN107682409B (en) Cluster resource pre-stretching method and device
CN107689877B (en) Parameter adjusting method and device
CN111651503B (en) Power distribution network data anomaly identification method and system and terminal equipment
CN114172708A (en) Method for identifying network flow abnormity
CN112601934B (en) Signal display control device and computer-readable recording medium
CN113052938A (en) Method and device for constructing boiler energy efficiency curve

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220602

R150 Certificate of patent or registration of utility model

Ref document number: 7084271

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150