JP2013150083A - Network abnormality detection device and network abnormality detection method - Google Patents
Network abnormality detection device and network abnormality detection method Download PDFInfo
- Publication number
- JP2013150083A JP2013150083A JP2012007590A JP2012007590A JP2013150083A JP 2013150083 A JP2013150083 A JP 2013150083A JP 2012007590 A JP2012007590 A JP 2012007590A JP 2012007590 A JP2012007590 A JP 2012007590A JP 2013150083 A JP2013150083 A JP 2013150083A
- Authority
- JP
- Japan
- Prior art keywords
- network
- abnormality
- threshold value
- past
- eigenvector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワークの異常を検出する技術に関する。 The present invention relates to a technique for detecting a network abnormality.
通信事業者は、ネットワークサービスを安定して提供するために、ネットワーク内の装置(ノード)において異常の発生を検知できるようにしている。異常検出の方法としては、大きく分けて、以下の2つの方法I,IIが用いられている。 In order to provide a network service stably, a telecommunications carrier can detect the occurrence of an abnormality in a device (node) in the network. As an abnormality detection method, the following two methods I and II are roughly used.
方法Iは、SyslogやSNMP Trap(Simple Network Management Protocol Trap)等を用いて、ネットワーク内の装置から自発的に送信される警報を利用するものである。方法Iでは、装置内の自装置監視プログラムが温度の上昇やリンク断といった異常を検出したときにのみ警報が発出される。したがって、方法Iは、トラフィック量が徐々に減少する事象等、自装置監視プログラムに設定されていない異常を検出することはできない。 Method I uses a warning that is spontaneously transmitted from a device in the network by using Syslog, SNMP Trap (Simple Network Management Protocol Trap), or the like. In Method I, an alarm is issued only when the self-device monitoring program in the device detects an abnormality such as a rise in temperature or a broken link. Therefore, Method I cannot detect an abnormality that is not set in the device monitoring program, such as an event in which the traffic volume gradually decreases.
方法IIは、ping(Packet Internet Grouper)やSNMP Request等を用いて、ネットワーク内の装置に対して問い合わせて得た情報を解析して、異常を検出するものである。方法IIでは、装置に対して問い合わせて得たCPU(Central Processing Unit)温度やトラフィック情報等の種々の情報を収集可能であるが、収集した情報を別途解析することで正常/異常を判定することになるため、解析スキルが必要とされる。 Method II uses ping (Packet Internet Grouper), SNMP Request, or the like to analyze information obtained by making an inquiry to a device in the network and detect an abnormality. In Method II, various information such as CPU (Central Processing Unit) temperature and traffic information obtained by inquiring to the device can be collected, but normal / abnormal can be determined by separately analyzing the collected information. Therefore, analysis skills are required.
例えば、正常時の挙動に近い現象は、方法Iでは警報が発出されず、また、方法IIでも異常として検出することが難しい。その一例について、図10(a)(b)を用いて説明する。図10(a)(b)は、ルータA,B,Cが直列に接続されているケースを表している。図10(a)は、ルータA−B間のトラフィック量とルータB−C間のトラフィック量とが等しい場合を表している。この図10(a)の場合には、方法I,II双方において正常と判定される。 For example, a phenomenon close to normal behavior is not issued by Method I, and is difficult to detect as an abnormality by Method II. One example will be described with reference to FIGS. FIGS. 10A and 10B show a case where routers A, B, and C are connected in series. FIG. 10A shows a case where the traffic volume between routers A and B is equal to the traffic volume between routers B and C. In the case of FIG. 10A, it is determined to be normal in both methods I and II.
それに対して、図10(b)に示す例は、ルータBにおいて経年劣化等の原因により異常が発生し、ルータA−B間のトラフィック量とルータB−C間のトラフィック量とが等しくなくなる現象が発生している場合を表している。図10(b)の場合において、ルータB−C間のトラフィック量が徐々に減少していったとしても、トラフィックが完全には遮断されていないため、方法Iでは警報は発出されない。また、方法IIでは、各ルータから収集したトラフィック量に関する情報を解析したとしても、トラフィック量がネットワークの利用状況に依存して自然と減少するケースや、災害やイベント等により突発的に増加するケース等が発生するため、トラフィック量の増減傾向のみから異常か否かを判定することは難しい。 On the other hand, the example shown in FIG. 10B is a phenomenon in which an abnormality occurs in the router B due to aged deterioration or the like, and the traffic volume between the routers A and B and the traffic volume between the routers B and C are not equal. It represents the case where has occurred. In the case of FIG. 10B, even if the traffic volume between the routers B-C gradually decreases, the traffic is not completely blocked, so that the alarm is not issued in Method I. In Method II, even if the information about the traffic volume collected from each router is analyzed, the traffic volume may naturally decrease depending on the network usage status, or it may increase suddenly due to a disaster or event. Therefore, it is difficult to determine whether or not there is an abnormality only from the increase / decrease trend of the traffic volume.
下記非特許文献1,2は、方法IIによる異常検出に関する技術を開示している。具体的には、図11に示すように、装置A,B,Cが直列に接続されているケースにおいて、行列の行を送信側の装置、列を受信側の装置として、行列を生成する。その行列の成分には所定の周期で取得されたトラフィック量を用いて、行列の固有ベクトルを所定の周期で算出する。行列の固有ベクトルは、行列の全成分が定数倍された場合には変化しないが、行列の一部の成分の値が変化した場合には変化する。したがって、ネットワークの一部で異常等によるトラフィック変動が発生する場合に、固有ベクトルが変動することになり、異常を検出することができる。
非特許文献1,2に記載の技術では、異常が発生していないときの過去K個の固有ベクトル時系列の移動平均を、基準ベクトル(Vec-Ref)として定義する。基準ベクトル(Vec-Ref)は、現時点の固有ベクトル(すなわち、現在ベクトル(Vec-Now))が異常か否かの判定基準として用いられる。そして、現在ベクトル(Vec-Now)と基準ベクトル(Vec-Ref)との間の角度差から異常スコア(θ)を算出し、当該異常スコア(θ)が閾値を超える場合、ネットワークに異常を検出したと判定する。
In the techniques described in
また、非特許文献1,2は、基準ベクトル(Vec-Ref)を固定せずに、加入者の増減やサービスの変化等に伴うトラフィック量の変化や装置の負荷の変化を考慮して、新たに算出される現在ベクトル(Vec-Now)を学習しつつ最新の基準ベクトル(Vec-Ref)を算出する方法を開示している。その学習の例としては、現在から過去に至る一定期間の基準ベクトル(Vec-Ref)の移動平均をとるケースが記載されている。また、非特許文献1,2は、閾値を固定せずに、過去の一定期間の異常スコア(θ)の値の出現頻度分布を求め、所定の確率(例えば、5%)となるときを閾値として算出している。
In addition,
しかしながら、非特許文献1,2では、基準ベクトル(Vec-Ref)を現在から過去に至る一定期間の固有ベクトル時系列を用いた移動平均により算出し、閾値を過去一定期間の異常スコア(θ)の値の出現頻度分布から算出しているので、1タイムスロット(タイムスロットとは、固有ベクトルを算出する所定の周期のこと)先の未来におけるネットワークの正常/異常を判定する場合に適していない虞がある。つまり、ネットワークの周期的な変動に十分に適応できていないという虞がある。
However, in
例えば、通信事業者のネットワークでは、深夜に、映像配信のトラフィック量が増大する傾向がある。また、企業のネットワークでは、従業員の出勤時間帯に、Webサーバへのアクセス数やメールの増加にともなってトラフィック量が増大する傾向がある。このように、ネットワークのトラフィック量は、時間帯ごとに周期的に大きく変動している。そのため、ネットワークが正常な状態であっても、1タイムスロット先の未来の変動傾向は、過去一定期間の時系列全体から求められる緩やかな変動傾向とは、大きく異なる虞がある。したがって、非特許文献1,2に記載の方法では、ネットワークの周期的な変動に対して、正常/異常を正しく判定できない虞がある。
For example, in a telecommunications carrier's network, the amount of video distribution traffic tends to increase at midnight. In a corporate network, the amount of traffic tends to increase with the increase in the number of accesses to the Web server and the number of e-mails during employee work hours. In this way, the amount of network traffic fluctuates greatly periodically in each time zone. Therefore, even if the network is in a normal state, the future fluctuation trend ahead of one time slot may be significantly different from the gentle fluctuation trend obtained from the entire time series for a certain period in the past. Therefore, the methods described in
そこで、本発明は、ネットワークの異常検出においてネットワークの周期的な変動に適応可能な技術を提供することを課題とする。 Therefore, an object of the present invention is to provide a technique that can be adapted to periodic fluctuations in the network in network abnormality detection.
本発明は、ネットワーク異常検出装置が、現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算部と、前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算部と、前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定部と、を備えることを特徴とする。 In the present invention, the network anomaly detection device calculates an eigenvector from a matrix indicating a state between devices in the current network, the calculated eigenvector is a current vector, and the eigenvector is associated with the time when the current vector is calculated. An eigenvector calculation unit that is stored as a past eigenvector in the storage unit, and a first period that indicates a variation cycle of a state between devices in the network in a predetermined time period, among the past eigenvectors stored in the storage unit. Obtaining the past eigenvector that exists, a reference vector calculation unit that calculates a reference vector from the acquired past eigenvector, and calculating an abnormality score from an angle difference between the current vector and the reference vector, Based on the magnitude relationship between the abnormal score and the threshold value. Characterized in that it comprises an abnormality determination unit determining abnormality of the workpiece, the.
また、本発明は、ネットワークの異常を判定するネットワーク異常検出装置のネットワーク異常検出方法であって、前記ネットワーク異常検出装置が、現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算ステップと、前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算ステップと、前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定ステップと、を実行することを特徴とする。 Further, the present invention is a network abnormality detection method of a network abnormality detection device for determining a network abnormality, wherein the network abnormality detection device calculates an eigenvector from a matrix indicating a state between devices in a current network, The calculated eigenvector as a current vector, the eigenvector calculation step of storing the eigenvector as a past eigenvector in association with the time when the current vector was calculated, and the past eigenvector stored in the storage unit, A reference vector calculation step of acquiring the past eigenvector existing in a predetermined time zone in a first period indicating a fluctuation cycle of a state between devices in the network, and calculating a reference vector from the acquired past eigenvector; The angle between the vector and the reference vector An abnormality score is calculated, the abnormality score is compared with a threshold value, and an abnormality determination step of determining a network abnormality based on a magnitude relationship between the abnormality score and the threshold value is executed. .
このような構成によれば、ネットワーク異常検出装置は、ネットワーク内の装置間の状態の変動周期(第1の周期)で所定の時間帯に存在する過去固有ベクトルを用いて、1タイムスロット先の基準ベクトルを算出することができる。つまり、現在ベクトルの変化を見越した基準ベクトルを算出できる。そのため、ネットワーク異常検出装置は、ネットワークの周期的な変動に適応可能となり、正常な状態を異常と判定することを抑制できる。 According to such a configuration, the network abnormality detection device uses a past eigenvector existing in a predetermined time zone with a state variation cycle (first cycle) between devices in the network, and a reference for one time slot ahead A vector can be calculated. That is, it is possible to calculate a reference vector in anticipation of changes in the current vector. Therefore, the network abnormality detection device can be adapted to periodic fluctuations in the network, and can suppress a normal state from being determined as abnormal.
また、本発明は、前記ネットワーク異常検出装置が、前記記憶部に前記異常スコアを記憶している場合、前記記憶部に記憶されている前記異常スコアを過去異常スコアとして取得し、取得した当該過去異常スコアの値の出現頻度分布を求め、所定の確率となるときを前記閾値に設定する閾値演算部をさらに備えることを特徴とする。 Further, in the present invention, when the network abnormality detection device stores the abnormality score in the storage unit, the abnormality abnormality stored in the storage unit is acquired as a past abnormality score, and the acquired past It further includes a threshold value calculation unit that obtains the appearance frequency distribution of the abnormal score values and sets the threshold value as a predetermined probability.
このような構成によれば、ネットワークの周期的な変動に適応した基準ベクトルと現在ベクトルとの角度差から算出された異常スコア(過去異常スコア)の値は、ばらつきが小さくなる。つまり、基準ベクトルの急な変化にともなって、過去異常スコアが大きな値になることを抑制することができる。そのため、ネットワーク異常検出装置は、出現頻度分布の分散が小さくなることによって、基準ベクトルの急な変化に適応した閾値を安定して算出することができる。したがって、ネットワーク異常検出装置は、ネットワークの異常検出においてネットワークの周期的な変動に適応して、ネットワークの異常検出を安定して行うことができる。 According to such a configuration, the value of the abnormality score (past abnormality score) calculated from the angle difference between the reference vector adapted to the periodic fluctuation of the network and the current vector is less varied. That is, it is possible to prevent the past abnormality score from becoming a large value due to a sudden change in the reference vector. For this reason, the network abnormality detection apparatus can stably calculate a threshold value adapted to a sudden change in the reference vector by reducing the variance of the appearance frequency distribution. Therefore, the network abnormality detection apparatus can stably detect the network abnormality by adapting to the periodic fluctuation of the network in the abnormality detection of the network.
また、本発明は、前記異常スコアの算出時に用いた前記現在ベクトルを算出した時刻と関連付けて前記記憶部に当該異常スコアを記憶している場合、前記閾値演算部が、前記記憶部に記憶された前記異常スコアの中から、前記第1の周期で所定の時間帯に存在する前記異常スコアを前記過去異常スコアとして取得することを特徴とする。 Further, in the present invention, when the abnormality score is stored in the storage unit in association with the time when the current vector used when calculating the abnormality score is stored, the threshold value calculation unit is stored in the storage unit. Further, the abnormality score existing in a predetermined time zone in the first period is acquired as the past abnormality score from the abnormality score.
このような構成によれば、閾値は、ネットワーク内の装置間の状態の変動周期(第1の周期)で所定の時間帯に存在する過去異常スコアに基づいて算出される。したがって、ネットワーク異常検出装置は、ネットワークの異常検出においてネットワークの周期的な変動に適応可能となる。 According to such a configuration, the threshold value is calculated based on a past abnormality score existing in a predetermined time zone in a state change cycle (first cycle) between devices in the network. Therefore, the network abnormality detection device can be adapted to the periodic fluctuation of the network in the network abnormality detection.
また、本発明は、前記閾値演算部が、取得した前記過去異常スコアを時系列予測演算法に適用して予測異常スコアを算出し、算出した当該予測異常スコアの値の出現頻度分布を求め、所定の確率となるときを前記閾値に設定することを特徴とする。 Further, in the present invention, the threshold calculation unit calculates the prediction abnormality score by applying the acquired past abnormality score to the time-series prediction calculation method, obtains the appearance frequency distribution of the calculated value of the prediction abnormality score, The threshold value is set when the predetermined probability is reached.
このような構成によれば、閾値は、過去異常スコアを時系列予測演算法に適用して算出された予測異常スコアに基づいて算出される。したがって、ネットワーク異常検出装置は、ネットワークの異常検出においてネットワークの周期的な変動に適応可能となる。 According to such a configuration, the threshold value is calculated based on the predicted abnormality score calculated by applying the past abnormality score to the time-series prediction calculation method. Therefore, the network abnormality detection device can be adapted to the periodic fluctuation of the network in the network abnormality detection.
また、本発明は、前記閾値演算部が、前記閾値を前記記憶部に記憶している場合、前記記憶部に記憶された前記閾値を過去閾値として取得し、取得した当該過去閾値を時系列予測演算法に適用して新たな閾値を設定することを特徴とする。 In the present invention, when the threshold value calculation unit stores the threshold value in the storage unit, the threshold value stored in the storage unit is acquired as a past threshold value, and the acquired past threshold value is time-series predicted. A new threshold value is set by applying to the calculation method.
このような構成によれば、新たな閾値は、過去閾値を時系列予測演算法に適用して算出される。したがって、ネットワーク異常検出装置は、ネットワークの異常検出においてネットワークの周期的な変動に適応可能となる。 According to such a configuration, the new threshold value is calculated by applying the past threshold value to the time series prediction calculation method. Therefore, the network abnormality detection device can be adapted to the periodic fluctuation of the network in the network abnormality detection.
また、本発明は、前記閾値演算部が、前記閾値の算出時において用いた前記現在ベクトルを算出した時刻と関連付けて当該閾値を前記記憶部に記憶している場合、前記記憶部に記憶されている前記閾値の中から、前記第1の周期で所定の時間帯に存在する前記閾値を前記過去閾値として取得することを特徴とする。 In the present invention, when the threshold value calculation unit stores the threshold value in the storage unit in association with the time when the current vector used in the calculation of the threshold value is calculated, the threshold value calculation unit is stored in the storage unit. The threshold value existing in a predetermined time zone in the first cycle is acquired as the past threshold value from the threshold values.
このような構成によれば、閾値は、ネットワーク内の装置間の状態の変動周期(第1の周期)で所定の時間帯に存在する過去閾値に基づいて算出される。したがって、ネットワーク異常検出装置は、ネットワークの異常検出においてネットワークの周期的な変動に適応可能となる。 According to such a configuration, the threshold value is calculated based on a past threshold value existing in a predetermined time zone in a state change cycle (first cycle) between devices in the network. Therefore, the network abnormality detection device can be adapted to the periodic fluctuation of the network in the network abnormality detection.
また、本発明は、前記閾値演算部が、前記出現頻度分布を一次元正規分布、多次元正規分布または多変量正規分布で生成することを特徴とする。 Further, the present invention is characterized in that the threshold value calculation unit generates the appearance frequency distribution as a one-dimensional normal distribution, a multidimensional normal distribution, or a multivariate normal distribution.
このような構成によれば、多次元で分布を扱う場合には、異常スコアのベクトル成分ごとに細かく閾値を設定することができる。 According to such a configuration, when handling a distribution in multiple dimensions, a threshold value can be set finely for each vector component of the abnormality score.
本発明によれば、ネットワークの異常検出においてネットワークの周期的な変動に適応可能な技術を提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the technique which can be adapted to the periodic fluctuation | variation of a network in the abnormality detection of a network can be provided.
本発明を実施するための形態(以降、「本実施形態」と称す。)について、適宜図面を参照しながら詳細に説明する。 A mode for carrying out the present invention (hereinafter referred to as “the present embodiment”) will be described in detail with reference to the drawings as appropriate.
(概要)
はじめに、本実施形態のネットワーク異常検出装置を含むネットワーク異常検出システムの構成およびネットワーク異常検出装置の異常判定方法について、図1(a)(b)を用いて説明する。
(Overview)
First, a configuration of a network abnormality detection system including a network abnormality detection device of this embodiment and an abnormality determination method of the network abnormality detection device will be described with reference to FIGS.
ネットワーク異常検出システム1は、図1(a)に示すように、ネットワーク11内のノードである装置10(10A,10B,10C)とネットワーク異常検出装置100とを通信可能に接続して構成される。ネットワーク異常検出装置100は、前記した方法IIのように、装置10に対して問い合わせて得た情報を分析して、ネットワーク11の異常を検出する機能を備えている。なお、図1(a)では、装置が3台記載されているが、3台に限らなくてもよい。
As shown in FIG. 1 (a), the network
ネットワーク異常検出装置100は、ネットワーク11の異常を検出する場合には、図11で説明した場合と同様に、基準ベクトル(Vec-Ref)を、現時点の現在ベクトル(Vec-Now)が異常か否かの判定基準として用いる。なお、現在ベクトル(Vec-Now)は、現時点のネットワーク11内の装置10間の状態を示す行列から算出される固有ベクトルである。また、基準ベクトル(Vec-Ref)は、過去に算出された固有ベクトルに基づいて算出される。
When the network
そして、ネットワーク異常検出装置100は、図1(b)に示すように、基準ベクトル(Vec-Ref)と現在ベクトル(Vec-Now)との角度差から求めた異常スコア(θ)が閾値より大きいか否かを比較し、異常スコア(θ)が閾値より大きい場合に異常と判定する。
Then, as shown in FIG. 1B, the network
次に、ネットワークの周期的な変動として、図2の最上段に示すように、企業のネットワークにおいて従業員の出勤時間帯にトラフィック量が増大するケースを一例として取り上げて、異常判定方法について説明する。
図2の最上段に示すように、企業のネットワークにおけるトラフィック量は、一般的に、深夜では小さい値で緩やかな変動を示し、出勤時には、急激な変動を示し、昼間には大きな値で緩やかな変動を示す傾向にある。
Next, as an example of the periodic fluctuation of the network, as shown in the uppermost part of FIG. 2, a case where the traffic volume increases in the employee work hours in the company network will be taken as an example, and the abnormality determination method will be described. .
As shown in the top row of FIG. 2, the amount of traffic in a corporate network generally shows a gradual fluctuation at a small value at midnight, a sudden fluctuation when going to work, and a gradual fluctuation at a large value during the daytime. It tends to show fluctuations.
まず、図2(a)は、比較例として、基準ベクトル(Vec-Ref)を過去一定期間の固有ベクトル時系列を用いた移動平均により算出し、閾値を過去一定期間の異常スコア(θ)の値の出現頻度分布から算出した場合を模式的に表したものである。特に、一点鎖線の楕円で囲まれた範囲では、現在ベクトル(Vec-Now)は、出勤にともなう急激な変動で大きく変化する。それに対して、基準ベクトル(Vec-Ref)は、過去の固有ベクトル時系列の移動平均で算出しているため、大きく変化することはない。そのため、異常スコア(θ)は、突出して大きくなる。そして、異常スコア(θ)は閾値より大きくなり(異常スコア(θ)>閾値となり)、異常と判定される。
しかしながら、ネットワークに異常があったわけではないのに異常と判定してしまうため、ネットワーク保守者に、無用の点検作業を行わせることになり、ネットワーク運用業務の効率を低下させることとなる。
First, FIG. 2A is a comparative example in which a reference vector (Vec-Ref) is calculated by a moving average using an eigenvector time series of a past fixed period, and a threshold value is a value of an abnormal score (θ) of the past fixed period. This is a schematic representation of the case calculated from the appearance frequency distribution. In particular, the current vector (Vec-Now) changes greatly due to abrupt fluctuations due to attendance in the range surrounded by the dashed-dotted ellipse. On the other hand, since the reference vector (Vec-Ref) is calculated by a moving average of past eigenvector time series, it does not change greatly. Therefore, the abnormal score (θ) is prominently increased. Then, the abnormal score (θ) becomes larger than the threshold value (abnormal score (θ)> threshold value), and is determined to be abnormal.
However, since the network is not abnormal but is determined to be abnormal, the network maintainer is required to perform unnecessary inspection work, thereby reducing the efficiency of the network operation work.
次に、図2(b)は、異常スコア(θ)の変化を予測して、その変化に応じて閾値を変化させる(閾値を予測する)ケースを模式的に表したものである。すなわち、異常スコア(θ)が大きくなるときに閾値を大きくして、異常と判定してしまうことを抑制するものである。
このケースでは、現在ベクトル(Vec-Now)および基準ベクトル(Vec-Ref)の計算方法は、比較例の場合と同様であっても構わない。しかし、閾値を、過去一定期間の異常スコア(θ)または閾値を用いて時系列予測演算を行うことによって、1タイムスロット先の閾値を予測する。そして、正常な状態で発生する異常スコア(θ)の大きな変化を異常と判定しないような閾値を予め設定する。これにより、異常スコア(θ)<閾値となって、正常な状態を間違って異常な状態と判定してしまうことを抑制することができる。
Next, FIG. 2B schematically illustrates a case in which a change in the abnormal score (θ) is predicted and the threshold value is changed according to the change (threshold value is predicted). That is, when the abnormal score (θ) increases, the threshold value is increased to suppress the determination as abnormal.
In this case, the calculation method of the current vector (Vec-Now) and the reference vector (Vec-Ref) may be the same as in the comparative example. However, the threshold value of one time slot ahead is predicted by performing a time series prediction calculation using the abnormal score (θ) or threshold value for a certain period in the past. Then, a threshold is set in advance so that a large change in the abnormality score (θ) that occurs in a normal state is not determined to be abnormal. As a result, it is possible to prevent the normal state from being erroneously determined as an abnormal state due to an abnormal score (θ) <threshold.
図2(c)は、現在ベクトル(Vec-Now)の変化を予測して、その変化に応じて基準ベクトル(Vec-Ref)を変化させる(基準ベクトル(Vec-Ref)を予測する)ケースを模式的に表したものである。すなわち、現在ベクトル(Vec-Now)と基準ベクトル(Vec-Ref)との角度差から算出される異常スコア(θ)をほぼ一定に保つことによって、異常と判定してしまうことを抑制するものである。
このケースでは、現在ベクトル(Vec-Now)および閾値の計算方法は、比較例の場合と同様であっても構わない。しかし、基準ベクトル(Vec-Ref)を、過去一定期間の固有ベクトルを用いて時系列予測演算を行うことによって、1タイムスロット先の基準ベクトル(Vec-Ref)を算出する。そのため、異常スコア(θ)の変動が、比較例の場合より小さくなるように算出される。これにより、異常スコア(θ)<閾値となって、正常な状態を間違って異常な状態と判定してしまうことを抑制することができる。
FIG. 2C shows a case in which a change in the current vector (Vec-Now) is predicted, and the reference vector (Vec-Ref) is changed in accordance with the change (the reference vector (Vec-Ref) is predicted). This is a schematic representation. In other words, the abnormality score (θ) calculated from the angle difference between the current vector (Vec-Now) and the reference vector (Vec-Ref) is kept almost constant, thereby preventing the abnormality from being determined. is there.
In this case, the method for calculating the current vector (Vec-Now) and the threshold value may be the same as in the comparative example. However, a reference vector (Vec-Ref) of one time slot ahead is calculated by performing time-series prediction calculation on the reference vector (Vec-Ref) using an eigenvector for a certain past period. Therefore, the fluctuation of the abnormal score (θ) is calculated to be smaller than that in the comparative example. As a result, it is possible to prevent the normal state from being erroneously determined as an abnormal state due to an abnormal score (θ) <threshold.
(ネットワーク異常検出装置の構成)
まず、ネットワーク異常検出装置100の構成について、図3を用いて説明する(適宜、図1,11参照)。ネットワーク異常検出装置100は、図3に示すように、処理部110、記憶部120、および入出力部130を備えている。
処理部110は、さらに、行列生成部111、固有ベクトル演算部112、基準ベクトル演算部113、異常判定部114、および閾値演算部115を備える。処理部110は、図示しないCPU(Central Processing Unit)およびメインメモリによって構成され、記憶部120に記憶されているアプリケーションプログラムをメインメモリに展開して、処理部110内の各部を具現化する。
(Configuration of network error detection device)
First, the configuration of the network
The processing unit 110 further includes a
行列生成部111は、入出力部130の入力部131を介して取得したネットワーク11内の装置10間におけるトラフィック量を成分として、行列の行を送信側の装置10、列を受信側の装置10として行列(図11参照)を生成する機能を有する。行列の生成は、所定の周期またはネットワーク11の管理者もしくは保守者等に指示されたときに行われる。
The
固有ベクトル演算部112は、行列生成部111によって生成された行列の固有ベクトル(図11参照)を所定の周期で算出する機能を有する。なお、算出した最新の固有ベクトルは、現在ベクトル(Vec-Now)として、異常判定部114に出力される。また、固有ベクトル演算部112は、固有ベクトル(現在ベクトル)を、当該固有ベクトル(現在ベクトル)を算出した時刻と関連付けて過去固有ベクトルDB121に過去固有ベクトルとして記憶する機能を有する。
The
基準ベクトル演算部113は、過去固有ベクトルDB121から過去固有ベクトルを読み出して、基準ベクトル(Vec-Ref)を算出する機能を有する。なお、基準ベクトル(Vec-Ref)の算出方法の詳細については後記する。
The reference
異常判定部114は、固有ベクトル演算部112から現在ベクトル(Vec-Now)を取得し、基準ベクトル演算部113から基準ベクトル(Vec-Ref)を取得し、現在ベクトル(Vec-Now)と基準ベクトル(Vec-Ref)との角度差から異常スコア(θ)を算出する。そして、異常判定部114は、異常スコア(θ)と閾値とを比較し、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する機能を有する。なお、閾値は、後記する閾値演算部115によって算出される。例えば、異常判定部114は、異常スコア(θ)が閾値以下の場合に正常と判定し、異常スコア(θ)が閾値より大きい場合に異常と判定する。また、異常判定部114は、異常スコア(θ)を、当該異常スコア(θ)の算出に用いた現在ベクトルを算出した時刻と関連付けて過去異常スコアDB122に記憶する機能を有する。また、異常判定部114は、異常状態等の情報を入出力部130の出力部132を介して表示装置に出力する機能を有する。
The
閾値演算部115は、過去異常スコアDB122から異常スコア(θ)を過去異常スコアとして読み出して所定の演算を実行し、1タイムスロット先の閾値を算出(設定)する機能を有する。また、閾値演算部115は、算出した閾値を、当該閾値の算出時において用いた現在ベクトル(Vec-Now)を算出した時刻と関連付けて過去閾値DB123に記憶するとともに、過去閾値DB123に記憶している閾値を過去閾値として読み出して、1タイムスロット先の閾値(新たな閾値)を算出する機能を有する。なお、閾値の算出方法の詳細については後記する。
The threshold
入出力部130は、入力部131および出力部132を備える。入力部131は、ネットワーク11に接続するための通信インタフェースであり、ネットワーク11内の装置10からトラフィック量等の情報を受信する。出力部132は、表示装置に接続するためのインタフェースであり、処理部110の処理結果等の情報を表示装置に出力する。
The input / output unit 130 includes an
記憶部120は、ハードディスク等であって、過去固有ベクトルDB121、過去異常スコアDB122および過去閾値DB123を格納している。
The storage unit 120 is a hard disk or the like, and stores a
過去固有ベクトルDB121は、図4に示すように、固有ベクトル演算部112(図3参照)が固有ベクトルを算出した時刻t(n)とその固有ベクトルU(n)とを関連付けて記憶している。ただし、現在時刻t(n)において、既に所定時間(k+1)を経過している固有ベクトルU(n−k−1)は時刻t(n−k−1)とともに削除される。なお、時刻t(n)におけるnは、算出した周期を識別する番号である。過去固有ベクトルDB121に記憶されている時刻t(n)は現在を表し、時刻t(n)の固有ベクトルは現在ベクトル(Vec-Now)となる。また、時刻t(n−1)以前の過去の固有ベクトルU(n−1)、U(n−2)、・・等は、基準ベクトル演算部113(図3参照)における基準ベクトル(Vec-Ref)の算出処理のために用いられる。
As shown in FIG. 4, the
過去異常スコアDB122は、図5に示すように、時刻t(n)と異常スコアθ(n)とを関連付けて記憶している。ただし、現在時刻t(n)において、既に所定時間(k+1)を経過している異常スコアθ(n−k−1)は時刻t(n−k−1)とともに削除される。
As shown in FIG. 5, the past
過去閾値DB123は、図6に示すように、時刻t(n)と閾値演算部115によって算出された閾値th(n)とを関連付けて記憶している。ただし、現在時刻t(n)において、既に所定時間(k+1)を経過している閾値th(n−k−1)は時刻t(n−k−1)とともに削除される。
As shown in FIG. 6, the past
(ネットワーク異常検出装置の処理フロー)
次に、ネットワーク異常検出装置100の処理フロー例について、図7を用いて説明する(適宜、図3参照)。
ステップS701では、行列生成部111は、入力部131を介して、ネットワーク11内の装置10間におけるトラフィック量等のトラフィック情報を取得し、例えばトラフィック量を成分とする行列を生成する。行列の生成は、所定の周期またはネットワーク11の管理者もしくは保守者等に指示されたときに行われる。
(Processing flow of network error detection device)
Next, a processing flow example of the network
In step S <b> 701, the
ステップS702では、固有ベクトル演算部112は、行列生成部111によって生成された行列から、固有ベクトルである現在ベクトル(Vec-Now)を所定の周期で算出する。
In step S <b> 702, the
ステップS703では、固有ベクトル演算部112は、現在ベクトル(Vec-Now)を、その算出した時刻と関連付けて過去固有ベクトルDB121に過去固有ベクトルとして記憶する。
In step S703, the
ステップS704では、基準ベクトル演算部113は、過去固有ベクトルDB121から過去固有ベクトルを読み出して、所定の演算を実行して、基準ベクトル(Vec-Ref)を算出する。なお、基準ベクトル(Vec-Ref)の演算方法の詳細については、後記する。
In step S704, the reference
ステップS705では、閾値演算部115は、過去異常スコアDB122から異常スコアを過去異常スコアとして読み出して、所定の演算を実行して、1タイムスロット先の閾値を算出する。または、閾値演算部115は、過去閾値DB123から閾値を過去閾値として読み出して、所定の演算を実行して、1タイムストッロ先の閾値を算出する。なお、閾値の演算方法の詳細については、後記する。
In step S705, the threshold
ステップS706では、異常判定部114は、現在ベクトル(Vec-Now)と基準ベクトル(Vec-Ref)とから異常スコア(θ)を算出する。具体的には、異常判定部114は、現在ベクトル(Vec-Now)と基準ベクトル(Vec-Ref)との角度差を算出し、その角度差から異常スコア(θ)を算出する。
In step S706, the
ステップS707では、異常判定部114は、ステップS706で算出した異常スコア(θ)が、ステップS705で算出した閾値より大きいか否かを判定する。
異常スコア(θ)が閾値より大きいと判定した場合(ステップS707でYes)、ステップS708へ進み、異常スコア(θ)が閾値以下と判定した場合(ステップS707でNo)、ステップS709へ進む。
In step S707, the
If it is determined that the abnormal score (θ) is greater than the threshold (Yes in step S707), the process proceeds to step S708. If the abnormal score (θ) is determined to be equal to or less than the threshold (No in step S707), the process proceeds to step S709.
ステップS708では、異常判定部114は、異常時の対応策を実行する。具体的には、異常判定部114は、異常を知らせるメッセージや警報等を出力部132を介して、表示装置に出力する。
In step S708, the
ステップS709では、異常判定部114は、ステップS706で算出した異常スコア(θ)を過去異常スコアDB122に記憶する。そして、ステップS709の処理が終了すると、処理はステップS701へ戻る。
In step S709, the
なお、図7には記載をしていないが、ステップS705より後の処理において、閾値演算部115は、ステップS705で算出した閾値を過去閾値DB123に記憶するようにしても構わない。また、ステップS704とステップS705とは、順番が逆であっても構わない。
Although not described in FIG. 7, in the processing after step S <b> 705, the threshold
(基準ベクトルの算出)
次に、ステップS704における基準ベクトル(Vec-Ref)の演算方法の詳細について、図8を用いて説明する。ここでは、主に、図2(c)で説明したように、1タイムスロット先の基準ベクトル(Vec-Ref)の予測について説明する。
まず、予測に使用するデータを選択するための選択方法について説明し、次に、予測値の算出方法について説明する。
(Calculation of reference vector)
Next, details of the calculation method of the reference vector (Vec-Ref) in step S704 will be described with reference to FIG. Here, mainly the prediction of the reference vector (Vec-Ref) ahead of one time slot will be described as described with reference to FIG.
First, a selection method for selecting data used for prediction will be described, and then a prediction value calculation method will be described.
図8(a)に示すように、予測に使用するデータを過去固有ベクトルDB121から選択するための選択方法は、方法A1では過去の所定期間内の固有ベクトルの時系列を選択する場合、方法A2では過去の所定期間内の所定周期(1日、1週間等)の同時間帯の固有ベクトルを選択する場合とした。
As shown in FIG. 8A, the selection method for selecting data to be used for prediction from the
方法A1は、図2(a)に示す比較例で使用されているものである。
方法A2は、現時点や1タイムスロット先の変動傾向と合致しうる過去の時点として、例えば、1日前、2日前、・・、x日前の同時間帯や、1週間前、2週間前、・・、y週間前の同曜日同時間帯の過去の固有ベクトルを用いるものである。その理由は、例えば、企業のネットワークでは、1日周期や1週間周期(第1の周期)でトラフィック量が変動する傾向を持つことが多いためである。同曜日とは、例えば、現在の曜日が水曜日であれば、その1週間前、2週間前、・・を選択する。同時間帯とは、例えば、現在時刻が13時15分であれば、時間データに13時を含む固有ベクトルを選択することを表す。または、同時間帯とは、現在時刻の前後の所定時間(例えば、30分)以内の固有ベクトルを選択することを表しても構わない。
Method A1 is used in the comparative example shown in FIG.
Method A2 can be used as a past time point that can coincide with the current time or a trend of one time slot ahead, for example, 1 day ago, 2 days ago, ..., the same time zone x days ago, 1 week ago, 2 weeks ago, ... The past eigenvectors in the same time zone on the same day of the week before y weeks are used. This is because, for example, in a corporate network, the traffic volume tends to fluctuate in a daily cycle or a weekly cycle (first cycle). As the same day, for example, if the current day is Wednesday, one week before, two weeks before, and so on are selected. The same time zone indicates that, for example, if the current time is 13:15, an eigenvector including 13:00 in the time data is selected. Alternatively, the same time zone may represent selecting an eigenvector within a predetermined time (for example, 30 minutes) before and after the current time.
また、予測値の算出方法は、図8(b)に示すように、方法B1では重み付き移動平均法を用いる場合、方法B2では時系列予測演算法(例えば、AR(Auto-Regressive)モデル、ARMA(Auto-Regressive Moving Average)モデル、カルマンフィルタ等)を用いる場合とした。 In addition, as shown in FIG. 8B, the calculation method of the predicted value includes a time series prediction calculation method (for example, an AR (Auto-Regressive) model, ARMA (Auto-Regressive Moving Average) model, Kalman filter, etc.) was used.
方法B1は、図2(a)に示す比較例で使用されているものである。
方法B2は、現在ベクトル(Vec-Now)の各成分の値が独立に近い動きをする場合、例えば、ネットワークのノードAから出力されるトラフィックが近隣のノードBに流れ込む等の場合では、ベクトル各成分に対して、ARモデルやカルマンフィルタ等の1次元時系列予測法を適用可能である。
Method B1 is used in the comparative example shown in FIG.
In the method B2, when the value of each component of the current vector (Vec-Now) moves independently, for example, when the traffic output from the node A of the network flows into the neighboring node B, the vector B A one-dimensional time series prediction method such as an AR model or a Kalman filter can be applied to the component.
また、方法B2は、ネットワークのノードCから出力されるトラフィックが多くのノードを通過するようなフローが多い等、現在ベクトル(Vec-Now)の各成分の値の変動に関連性がある場合、多変量ARモデル等を適用することで、1タイムスロット先の未来の挙動を表現することができる。 In addition, when the method B2 is related to fluctuations in the value of each component of the current vector (Vec-Now), for example, there are many flows in which traffic output from the node C of the network passes through many nodes, By applying a multivariate AR model or the like, it is possible to express the future behavior of one time slot ahead.
そして、図8(c)に示すように、予測値の算出を実行する組み合わせは、方法A1,A2と方法B1,B2との組み合わせによって決められる。
第1の基準ベクトル算出方法は、方法A1と方法B1との組み合わせであり、図2(a)に示す比較例で使用されるものである。
第2の基準ベクトル算出方法は、方法A2と方法B1との組み合わせである。
第3の基準ベクトル算出方法は、方法A2と方法B2との組み合わせである。
Then, as shown in FIG. 8C, the combination for executing the calculation of the predicted value is determined by the combination of the methods A1 and A2 and the methods B1 and B2.
The first reference vector calculation method is a combination of the method A1 and the method B1, and is used in the comparative example shown in FIG.
The second reference vector calculation method is a combination of method A2 and method B1.
The third reference vector calculation method is a combination of method A2 and method B2.
(閾値の算出)
次に、ステップS705における閾値の演算方法の詳細について、図9を用いて説明する。ここでは、主に、図2(b)で説明したように、1タイムスロット先の閾値の予測方法について説明する。
まず、予測に使用するデータを選択するための選択方法について説明し、次に、予測値の算出方法について説明する。
(Calculation of threshold value)
Next, details of the threshold calculation method in step S705 will be described with reference to FIG. Here, mainly as described with reference to FIG. 2B, a method of predicting a threshold of one time slot ahead will be described.
First, a selection method for selecting data used for prediction will be described, and then a prediction value calculation method will be described.
図9(a)に示すように、予測に使用するデータを選択するための選択方法は4通りある。方法a11は過去の所定期間内の閾値の時系列を過去閾値DB123から選択する場合、方法a12は過去の所定期間内の所定周期(1日、1週間等)の同時間帯の閾値を過去閾値DB123から選択する場合である。また、方法a21は、過去の所定期間内の異常スコア(θ)の時系列を過去異常スコアDB122から選択する場合、方法a22は過去の所定期間内で所定周期(1日、1週間等)の同時間帯の異常スコア(θ)を過去異常スコアDB122から選択する場合である。
As shown in FIG. 9A, there are four selection methods for selecting data used for prediction. When the method a11 selects a time series of threshold values in the past predetermined period from the past
方法a11,a12は、過去閾値を用いて閾値の予測値を直接算出する。それに対して、方法a21,a22は、過去異常スコア(θ)の予測値を示す予測異常スコアを算出してから、当該予測異常スコアの値の出現頻度分布を求め、所定の確率(例えば、5%)となるときを閾値として算出する。
また、方法a12,a22では、例えば、企業のネットワークでは、1日周期や1週間周期(第1の周期)でトラフィック量が変動する傾向を持つことが多いので、1タイムスロット先の変動傾向と合致しうる過去の時点として、例えば、1日前、2日前、・・、x日前の同時間帯や、1週間前、2週間前、・・、y週間前の同曜日同時間帯の(第1の周期で所定の時間帯に存在する)過去の値を用いることとする。
In the methods a11 and a12, the predicted value of the threshold is directly calculated using the past threshold. On the other hand, in the methods a21 and a22, after calculating a prediction abnormality score indicating a prediction value of the past abnormality score (θ), an appearance frequency distribution of the value of the prediction abnormality score is obtained, and a predetermined probability (for example, 5 %) Is calculated as a threshold value.
In the methods a12 and a22, for example, in a corporate network, the traffic amount tends to fluctuate in a daily cycle or a weekly cycle (first cycle). The past time points that can be matched include, for example, the same time zone of 1 day ago, 2 days ago, ... x days ago, 1 week ago, 2 weeks ago, ... It is assumed that a past value (existing in a predetermined time zone in one cycle) is used.
また、予測値の算出方法は、図9(b)に示すように、方法b1では重み付き移動平均法を用いる場合、方法b2では時系列予測演算法(例えば、ARモデル、ARMAモデル、カルマンフィルタ等)を用いる場合とした。 Further, as shown in FIG. 9B, the prediction value is calculated by using a weighted moving average method in the method b1, and a time series prediction calculation method (eg, AR model, ARMA model, Kalman filter, etc.) in the method b2. ).
図9(c)には、分布生成方法を2通り示した。方法c1では一次元正規分布の場合、方法c2では多次元正規分布または多変量正規分布の場合とした。この分布生成方法は、方法a21,a22において、異常スコアの値や予測異常スコアの値の出現頻度分布を生成するときに使用される。 FIG. 9C shows two distribution generation methods. The method c1 is a one-dimensional normal distribution, and the method c2 is a multidimensional normal distribution or a multivariate normal distribution. This distribution generation method is used when generating an appearance frequency distribution of abnormal score values and predicted abnormal score values in the methods a21 and a22.
そして、図9(d)に示すように、閾値の予測値の算出を実行する組み合わせは、方法a11,a12,a21,a22と方法b1,b2と方法c1,c2との組み合わせによって決められる。 As shown in FIG. 9D, the combination for calculating the predicted value of the threshold is determined by the combination of the methods a11, a12, a21, a22, the methods b1, b2, and the methods c1, c2.
第1の閾値算出方法は、方法a21と方法b1と方法c1との組み合わせであり、図2(a)に示す比較例で用いられたものである。
第2の閾値算出方法は、方法a11と方法b2との組み合わせである。
第3の閾値算出方法は、方法a12と方法b2との組み合わせである。
なお、第2,第3の閾値算出方法は、閾値を直接算出するため、方法c1または方法c2を用いる必要がない。
The first threshold value calculation method is a combination of the method a21, the method b1, and the method c1, and is used in the comparative example shown in FIG.
The second threshold value calculation method is a combination of the method a11 and the method b2.
The third threshold value calculation method is a combination of the method a12 and the method b2.
Note that the second and third threshold value calculation methods directly calculate the threshold value, and thus it is not necessary to use the method c1 or the method c2.
第4の閾値算出方法は、方法a21と方法b2と方法c1との組み合わせである。
第5の閾値算出方法は、方法a21と方法b2と方法c2との組み合わせである。
第6の閾値算出方法は、方法a22と方法b2と方法c1との組み合わせである。
第7の閾値算出方法は、方法a22と方法b2と方法c2との組み合わせである。
The fourth threshold value calculation method is a combination of the method a21, the method b2, and the method c1.
The fifth threshold value calculation method is a combination of the method a21, the method b2, and the method c2.
The sixth threshold value calculation method is a combination of the method a22, the method b2, and the method c1.
The seventh threshold value calculation method is a combination of the method a22, the method b2, and the method c2.
なお、図7に示すステップS706で用いられる基準ベクトル(Vec-Ref)およびステップS707で用いられる閾値の組み合わせは、第1〜第3の基準ベクトル算出方法によって算出された基準ベクトル(Vec-Ref)と、第1〜第7の閾値算出方法によって算出された閾値と、の組み合わせとすることができる。ただし、第1の基準ベクトル算出方法と第1の閾値算出方法との組み合わせは、図2(a)に示す比較例となるので、本実施形態には含まないものとする。 The combination of the reference vector (Vec-Ref) used in step S706 shown in FIG. 7 and the threshold used in step S707 is the reference vector (Vec-Ref) calculated by the first to third reference vector calculation methods. And a threshold value calculated by the first to seventh threshold value calculation methods. However, since the combination of the first reference vector calculation method and the first threshold value calculation method is a comparative example shown in FIG. 2A, it is not included in this embodiment.
以上、本実施形態で説明したネットワーク異常検出装置100は、行列の行を送信側の装置、列を受信側の装置として、行列の成分にはトラフィック量を用い、行列の固有ベクトル(現在ベクトル(Vec-Now))を算出し、現在ベクトル(Vec-Now)と基準ベクトル(Vec-Ref)との角度差から異常スコア(θ)を算出する。そして、ネットワーク異常検出装置100は、異常スコア(θ)が閾値より大きい場合、ネットワーク11の異常と判定する。その際、ネットワーク異常検出装置100は、ネットワーク11内のトラフィック量の周期的な変動に適用可能なように、過去の固有ベクトルに対して時系列予測演算を行って1タイムスロット先の基準ベクトル(Vec-Ref)を算出する。または、ネットワーク異常検出装置100は、閾値をネットワーク11内のトラフィック量の周期的な変動に適用可能なように変化させるため、過去の閾値に対して時系列予測演算を行って1タイムスロット先の閾値を算出する。または、ネットワーク異常検出装置100は、閾値をネットワーク11内のトラフィック量の周期的な変動に適用可能なように変化させるため、過去の異常スコア(θ)に対して時系列予測演算を行って予測異常スコアを算出し、その予測異常スコアの値の出現頻度分布を求め、所定の確率となるときを1タイムスロット先の閾値に設定する。つまり、ネットワーク異常検出装置100は、このような構成を備えているため、正常なネットワークにおける周期的な変動を異常と判定することを抑制することができる。
As described above, the network
1 ネットワーク異常検出システム
10(10A,10B,10C) 装置
11 ネットワーク
100 ネットワーク異常検出装置
110 処理部
111 行列生成部
112 固有ベクトル演算部
113 基準ベクトル演算部
114 異常判定部
115 閾値演算部
120 記憶部
121 過去固有ベクトルDB
122 過去異常スコアDB
123 過去閾値DB
130 入出力部
131 入力部
132 出力部
DESCRIPTION OF
122 Past abnormal score DB
123 Past threshold DB
130 Input /
Claims (8)
前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算部と、
前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定部と、
を備えることを特徴とするネットワーク異常検出装置。 Eigenvector calculation that calculates an eigenvector from a matrix indicating the state between devices in the current network, uses the calculated eigenvector as the current vector, and associates the eigenvector with the time when the current vector is calculated, and stores the eigenvector as a past eigenvector in the storage unit And
From the past eigenvectors stored in the storage unit, the past eigenvectors existing in a predetermined time zone with a first period indicating a fluctuation cycle of a state between devices in the network are acquired, and the acquired past A reference vector calculation unit for calculating a reference vector from the eigenvector;
An abnormality determination that calculates an abnormality score from an angle difference between the current vector and the reference vector, compares the abnormality score with a threshold value, and determines a network abnormality based on a magnitude relationship between the abnormality score and the threshold value And
A network abnormality detection device comprising:
をさらに備えることを特徴とする請求項1に記載のネットワーク異常検出装置。 When the abnormality score is stored in the storage unit, the abnormality score stored in the storage unit is acquired as a past abnormality score, an appearance frequency distribution of the acquired values of the past abnormality score is obtained, and a predetermined The network abnormality detection device according to claim 1, further comprising a threshold value calculation unit that sets the probability as the threshold value.
前記閾値演算部は、前記記憶部に記憶された前記異常スコアの中から、前記第1の周期で所定の時間帯に存在する前記異常スコアを前記過去異常スコアとして取得する
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 When the abnormality score is stored in the storage unit in association with the time when the current vector used when calculating the abnormality score is calculated,
The threshold calculation unit acquires the abnormality score existing in a predetermined time zone in the first period as the past abnormality score from the abnormality score stored in the storage unit. Item 3. The network abnormality detection device according to Item 2.
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 The threshold calculation unit calculates the prediction abnormality score by applying the acquired past abnormality score to the time series prediction calculation method, obtains the appearance frequency distribution of the calculated value of the prediction abnormality score, and has a predetermined probability The network abnormality detection device according to claim 2, wherein the threshold value is set as the threshold value.
ことを特徴とする請求項2に記載のネットワーク異常検出装置。 When the threshold value is stored in the storage unit, the threshold value calculation unit acquires the threshold value stored in the storage unit as a past threshold value, and applies the acquired past threshold value to the time-series prediction calculation method. The network abnormality detection device according to claim 2, wherein a new threshold is set.
ことを特徴とする請求項5に記載のネットワーク異常検出装置。 When the threshold value calculation unit stores the threshold value in the storage unit in association with the time when the current vector used in the calculation of the threshold value is calculated, the threshold value calculation unit is selected from the threshold values stored in the storage unit. The network abnormality detection device according to claim 5, wherein the threshold existing in a predetermined time zone in the first period is acquired as the past threshold.
ことを特徴とする請求項3または請求項4に記載のネットワーク異常検出装置。 5. The network abnormality detection device according to claim 3, wherein the threshold value calculation unit generates the appearance frequency distribution as a one-dimensional normal distribution, a multidimensional normal distribution, or a multivariate normal distribution.
前記ネットワーク異常検出装置は、
現時点のネットワーク内の装置間の状態を示す行列から固有ベクトルを算出し、算出した当該固有ベクトルを現在ベクトルとし、前記現在ベクトルを算出した時刻と関連付けて当該固有ベクトルを記憶部に過去固有ベクトルとして記憶する固有ベクトル演算ステップと、
前記記憶部に記憶されている前記過去固有ベクトルの中から、ネットワーク内の装置間の状態の変動周期を示す第1の周期で所定の時間帯に存在する前記過去固有ベクトルを取得し、取得した当該過去固有ベクトルから基準ベクトルを算出する基準ベクトル演算ステップと、
前記現在ベクトルと前記基準ベクトルとの角度差から異常スコアを算出し、前記異常スコアと閾値とを比較して、前記異常スコアと前記閾値との大小関係に基づいてネットワークの異常を判定する異常判定ステップと、
を実行することを特徴とするネットワーク異常検出方法。 A network abnormality detection method of a network abnormality detection device for judging a network abnormality,
The network abnormality detection device is:
Eigenvector calculation that calculates an eigenvector from a matrix indicating the state between devices in the current network, uses the calculated eigenvector as the current vector, and associates the eigenvector with the time when the current vector is calculated, and stores the eigenvector as a past eigenvector in the storage unit Steps,
From the past eigenvectors stored in the storage unit, the past eigenvectors existing in a predetermined time zone with a first period indicating a fluctuation cycle of a state between devices in the network are acquired, and the acquired past A reference vector calculation step for calculating a reference vector from the eigenvector;
An abnormality determination that calculates an abnormality score from an angle difference between the current vector and the reference vector, compares the abnormality score with a threshold value, and determines a network abnormality based on a magnitude relationship between the abnormality score and the threshold value Steps,
The network abnormality detection method characterized by performing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012007590A JP5711675B2 (en) | 2012-01-18 | 2012-01-18 | Network abnormality detection apparatus and network abnormality detection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012007590A JP5711675B2 (en) | 2012-01-18 | 2012-01-18 | Network abnormality detection apparatus and network abnormality detection method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013150083A true JP2013150083A (en) | 2013-08-01 |
JP5711675B2 JP5711675B2 (en) | 2015-05-07 |
Family
ID=49047198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012007590A Active JP5711675B2 (en) | 2012-01-18 | 2012-01-18 | Network abnormality detection apparatus and network abnormality detection method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5711675B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016052086A (en) * | 2014-09-02 | 2016-04-11 | 日本電信電話株式会社 | Traffic abnormality detection device and program |
JP2017046019A (en) * | 2015-08-24 | 2017-03-02 | 日本電信電話株式会社 | Monitoring device and monitoring method |
CN110298552A (en) * | 2019-05-31 | 2019-10-01 | 国网上海市电力公司 | A kind of power distribution network individual power method for detecting abnormality of combination history electrical feature |
US10536343B2 (en) | 2017-05-16 | 2020-01-14 | Fujitsu Limited | Traffic management apparatus and traffic management method |
CN111448658A (en) * | 2017-11-09 | 2020-07-24 | 康宁公司 | Sub-display with alignment structure and tiled display made from sub-displays |
CN114007132A (en) * | 2020-07-28 | 2022-02-01 | 中国电信股份有限公司 | Anomaly detection method, device and computer-readable storage medium |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008311719A (en) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | Threshold setting method, system, and program |
JP2008311720A (en) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | Reference value predicting method, system, and program |
-
2012
- 2012-01-18 JP JP2012007590A patent/JP5711675B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008311719A (en) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | Threshold setting method, system, and program |
JP2008311720A (en) * | 2007-06-12 | 2008-12-25 | Nippon Telegr & Teleph Corp <Ntt> | Reference value predicting method, system, and program |
Non-Patent Citations (2)
Title |
---|
CSNJ201110053393; 立石 直規 他: '複数の基準状態を用いるNW異常検出方式の提案' 電子情報通信学会2011年通信ソサイエティ大会講演論文集2 , 20110830, p.393 * |
JPN6014039657; 立石 直規 他: '複数の基準状態を用いるNW異常検出方式の提案' 電子情報通信学会2011年通信ソサイエティ大会講演論文集2 , 20110830, p.393 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016052086A (en) * | 2014-09-02 | 2016-04-11 | 日本電信電話株式会社 | Traffic abnormality detection device and program |
JP2017046019A (en) * | 2015-08-24 | 2017-03-02 | 日本電信電話株式会社 | Monitoring device and monitoring method |
US10536343B2 (en) | 2017-05-16 | 2020-01-14 | Fujitsu Limited | Traffic management apparatus and traffic management method |
CN111448658A (en) * | 2017-11-09 | 2020-07-24 | 康宁公司 | Sub-display with alignment structure and tiled display made from sub-displays |
CN111448658B (en) * | 2017-11-09 | 2023-12-29 | 康宁公司 | Sub-display with alignment structure and tiled display made of sub-display |
CN110298552A (en) * | 2019-05-31 | 2019-10-01 | 国网上海市电力公司 | A kind of power distribution network individual power method for detecting abnormality of combination history electrical feature |
CN110298552B (en) * | 2019-05-31 | 2023-12-01 | 国网上海市电力公司 | Power distribution network individual power abnormality detection method combining historical electricity utilization characteristics |
CN114007132A (en) * | 2020-07-28 | 2022-02-01 | 中国电信股份有限公司 | Anomaly detection method, device and computer-readable storage medium |
Also Published As
Publication number | Publication date |
---|---|
JP5711675B2 (en) | 2015-05-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10585774B2 (en) | Detection of misbehaving components for large scale distributed systems | |
JP5711675B2 (en) | Network abnormality detection apparatus and network abnormality detection method | |
US8930757B2 (en) | Operations management apparatus, operations management method and program | |
KR102118670B1 (en) | System and method for management of ict infra | |
US10318366B2 (en) | System and method for relationship based root cause recommendation | |
JP5767617B2 (en) | Network failure detection system and network failure detection device | |
US10860406B2 (en) | Information processing device and monitoring method | |
US20150341246A1 (en) | System and method for anomaly detection in information technology operations | |
US9524223B2 (en) | Performance metrics of a computer system | |
IL265849B (en) | System and method for improved anomaly detection using relationship graphs | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
US20150378806A1 (en) | System analysis device and system analysis method | |
JP2016099938A (en) | Event analysis system and method | |
CN113220534A (en) | Cluster multi-dimensional anomaly monitoring method, device, equipment and storage medium | |
CN105808368A (en) | Information security abnormity detection method and system based on random probability distribution | |
CN113485891A (en) | Service log monitoring method and device, storage medium and electronic equipment | |
US9455940B2 (en) | Information processing apparatus and information processing method | |
Du et al. | ATOM: Automated tracking, orchestration and monitoring of resource usage in infrastructure as a service systems | |
JP4559462B2 (en) | Anomaly detection method, apparatus, program, and recording medium due to communication related structure change | |
US20200213203A1 (en) | Dynamic network health monitoring using predictive functions | |
WO2019142414A1 (en) | Network monitoring system and method, and non-transitory computer-readable medium containing program | |
JP6627258B2 (en) | System model generation support device, system model generation support method, and program | |
JP5498440B2 (en) | Network abnormality detection apparatus and network abnormality detection method | |
CN107566187B (en) | SLA violation monitoring method, device and system | |
CN117648202B (en) | Heterogeneous system data synchronization process endless loop detection method, system and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140117 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140502 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20140528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150303 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150306 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5711675 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |