JP7626657B2 - 異常検出装置、異常検出方法、および異常検出プログラム - Google Patents

異常検出装置、異常検出方法、および異常検出プログラム Download PDF

Info

Publication number
JP7626657B2
JP7626657B2 JP2021071101A JP2021071101A JP7626657B2 JP 7626657 B2 JP7626657 B2 JP 7626657B2 JP 2021071101 A JP2021071101 A JP 2021071101A JP 2021071101 A JP2021071101 A JP 2021071101A JP 7626657 B2 JP7626657 B2 JP 7626657B2
Authority
JP
Japan
Prior art keywords
detection device
data
error
time
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021071101A
Other languages
English (en)
Other versions
JP2022165669A (ja
Inventor
サティシュ クマル ジャスワル
峰義 増田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021071101A priority Critical patent/JP7626657B2/ja
Priority to US17/681,968 priority patent/US11829226B2/en
Publication of JP2022165669A publication Critical patent/JP2022165669A/ja
Application granted granted Critical
Publication of JP7626657B2 publication Critical patent/JP7626657B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0721Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment within a central processing unit [CPU]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、異常を検出する異常検出装置、異常検出方法、および異常検出プログラムに関する。
IT(Information Technology)システムにおける異常検出は、適切な行動計画が設計され、かつ、ITシステムの円滑かつ効率的な操作を実行されるように、ITシステムの通常とは異なる振る舞いを特定するために利用される。
しかし、ディスクやRAMの容量の追加や削除による構成変更、大量のログファイルの予定外の削除、または、大量のログファイルのバックアップストレージへの転送のようなイベントの直後では、異常検出ができなくなる。これらのイベントが、急激な概念ドリフトを引き起こすからである。これらのイベントは、コンテナベースのマイクロサービスアーキテクチャの採用により、より頻繁に発生すると予想される。そのため、これらのイベントの直後に異常検出を可能にすることが重要である。
特許文献1は、予測分析のためのドリフト検出および補正のための装置、システム、方法、およびコンピュータプログラム製品を開示する。この装置では、予測モジュールは、モデルをワークロードデータに適用して、1つまたは複数の予測結果を生成する。ワークロードデータには、1つ以上のレコードが含まれる。モデルは、トレーニングデータに基づいて1つまたは複数の学習された関数を含む。ドリフト検出モジュールは、1つまたは複数の予測結果に関連するドリフト現象を検出する。予測時間修正モジュールは、ドリフト現象に応答して、少なくとも1つの予測結果を修正する。
米国特許出願公開第2004/0148047号
しかしながら、上述した特許文献1では、ドリフト現象が検出された場合、予測時間修正モジュールは、ドリフト現象に応答して、少なくとも1つの予測結果を修正するが、検出後の実測データをトレーニングデータとして用いて関数の再学習が必要となる。したがって、上述したイベント発生から再学習の完了までに時間がかかり、その間、異常検出ができなかったり、再学習前の状態で異常検出をしなければならないため誤検出が発生したりする。
本発明は、イベント発生後における異常検出の即時性の向上を図ることを目的とする。
本願において開示される発明の一側面となる異常検出装置は、プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、を有する異常検出装置であって、前記プロセッサは、監視対象の時系列な第1予測データのうち特定イベントの発生時点後における第2予測データを、スケール変換により補正する補正処理と、前記補正処理による補正後の第2予測データと、前記監視対象の時系列な第1実測データのうち前記特定イベントの発生時点後における第2実測データと、に基づいて、前記監視対象の異常を検出する検出処理と、を実行することを特徴とする。
本発明の代表的な実施の形態によれば、イベント発生後における異常検出の即時性の向上を図ることができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
図1は、異常検出装置による異常検出例を示す説明図である。 図2は、異常検出システムのシステム構成例を示す説明図である。 図3は、異常検出装置のハードウェア構成例を示すブロック図である。 図4は、ディスク使用率テーブルの一例を示す説明図である。 図5は、予測結果テーブルの一例を示す説明図である。 図6は、補正後予測結果テーブルの一例を示す説明図である。 図7は、異常検出装置による異常検出処理手順例を示すフローチャートである。 図8は、図7に示した概念ドリフト候補点決定処理(ステップS705)の詳細な処理手順例を示すフローチャートである。 図9は、ステップS802の算出例を示す説明図である。 図10は、ステップS804の算出例を示す説明図である。 図11は、ステップS807の算出例を示す説明図である。 図12は、図7に示した予測結果補正処理(ステップS706)の詳細な処理手順例(前半)を示すフローチャートである。 図13は、図7に示した予測結果補正処理(ステップS706)の詳細な処理手順例(後半)を示すフローチャートである。 図14は、概念ドリフト候補点ごとのスケールおよびシフト計算例1を示す説明図である。 図15は、概念ドリフト候補点ごとのスケールおよびシフト計算例2を示す説明図である。 図16は、概念ドリフト候補点ごとのスケールおよびシフト計算例3を示す説明図である。
<異常検出例>
図1は、異常検出装置による異常検出例を示す説明図である。監視対象は、たとえば、ITインフラストラクチャのディスク使用率である。図1の(A)~(C)に示すグラフにおいて、横軸は時間軸であり、縦軸はディスク使用率を示す。本実施例では、ディスク使用率を例に挙げて説明するが、RAM使用率でもよい。訓練データは、時系列モデルの作成に用いられる時刻t1までの時系列な実測値である。予測データは、時系列モデルから出力される時刻t1~t3までの時系列な予測値である。テストデータは、予測データと比較される時刻t1~t3までの時系列な実測値(正解データ)である。
時刻t1から時刻t2までは予測データとテストデータとの差は許容範囲内であり、時系列モデルによる予測が正しいことを示している。
(1)時刻t2で、イベントが検出されたとする。ここで、イベントとは、ディスクやRAMの容量の追加や削除による構成変更、大量のログファイルの予定外の削除、または、大量のログファイルのバックアップストレージへの転送のように突発的にディスク使用率が変更される挙動である。
このようなイベントの後は、ディスク使用率は通常の挙動を繰り返すが、時刻t2を境にディスク使用率が急激に変化しているため、時刻t2以降、テストデータと予測データとの間に差Gが生じる。このようなイベント前後のディスク使用率の挙動を概念ドリフトという。異常検出装置は、ディスク使用率の挙動が正常であるにもかかわらず、異常検出したり、ディスク使用率の挙動が異常であるにもかかわらず、異常検出しなかったりすることになる。
(2)このため、異常検出装置は、時刻t2以降の予測データを線形変換する。(B)では、異常検出装置は、時刻t2以降の予測データをシフトし、(C)では、時刻t2以降の予測データをk倍にスケール(拡縮)する。異常検出装置は、(B)のシフト結果後の予測データとテストデータとの差(シフト誤差)と、(C)のスケール結果後の予測データとテストデータとの差(スケール誤差)と、を比較し、誤差が小さい方を選択する。図1では、シフト誤差が5%、スケール誤差が10%であるため、シフト変換が採用される。このように、イベントが検出された時刻t2の直後でも線形変換結果を用いることで、時刻t2以降も異常検出が可能になる。
<システム構成例>
図2は、異常検出システムのシステム構成例を示す説明図である。異常検出システム200は、ITインフラストラクチャ201と、異常検出装置202と、を有する。ITインフラストラクチャ201および異常検出装置202は、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)などのネットワーク203を介して通信可能に接続される。
<異常検出装置のハードウェア構成例>
図3は、異常検出装置のハードウェア構成例を示すブロック図である。異常検出装置202は、プロセッサ301と、記憶デバイス302と、入力デバイス303と、出力デバイス304と、通信インターフェース(通信IF)305と、を有する。プロセッサ301、記憶デバイス302、入力デバイス303、出力デバイス304、および通信IF305は、バス306により接続される。プロセッサ301は、異常検出装置202を制御する。記憶デバイス302は、プロセッサ301の作業エリアとなる。また、記憶デバイス302は、各種プログラムやデータを記憶する非一時的なまたは一時的な記録媒体である。記憶デバイス302としては、たとえば、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、フラッシュメモリがある。入力デバイス303は、データを入力する。入力デバイス303としては、たとえば、キーボード、マウス、タッチパネル、テンキー、スキャナ、マイクがある。出力デバイス304は、データを出力する。出力デバイス304としては、たとえば、ディスプレイ、プリンタ、スピーカがある。通信IF305は、ネットワーク203と接続し、データを送受信する。
ここで、記憶デバイス302に記憶されているデータを具体的に説明する。記憶デバイス302は、ディスク使用率テーブル321と、予測結果テーブル322と、補正後予測結果テーブル323と、異常検出プログラム324と、を有する。ディスク使用率テーブル321は、ディスク使用率を時系列に記憶したテーブルであり、図4で後述する。予測結果テーブル322は、予測結果を時系列に記憶したテーブルであり、図5で後述する。補正後予測結果テーブル323は、補正後の予測結果を時系列に記憶したテーブルであり、図6で後述する。
異常検出プログラム324は、プロセッサ301に、ITインフラストラクチャ201で発生した異常を検出させるプログラムであり、異常検出モジュール340、収集モジュール341、概念ドリフト候補点決定モジュール342および予測結果補正モジュール343というプログラムモジュールを含む。異常検出モジュール340は、テストデータと予測データとを比較することにより、ディスク使用率の異常を検出するプログラムモジュールである。収集モジュール341は、ITインフラストラクチャ201からメトリクスデータを収集するプログラムモジュールであり、図7で後述する。概念ドリフト候補点決定モジュール342は、概念ドリフト候補点を決定するプログラムモジュールであり、図8~図11で後述する。概念ドリフト候補点とは、概念ドリフトを引き起こすようなイベントの検出時刻の候補である。予測結果補正モジュール343は、予測結果テーブル322に記憶された予測結果を補正するモジュールであり、図12および図13で後述する。
<テーブル>
図4~図6を用いて、記憶デバイス302に記憶されたディスク使用率テーブル321、予測結果テーブル322および補正後予測結果テーブル323について説明する。
図4は、ディスク使用率テーブル321の一例を示す説明図である。ディスク使用率テーブル321は、フィールドとして、タイムスタンプ401と、ディスク使用率402と、を有する。タイムスタンプ401は、ITインフラストラクチャ201がディスク使用率402を計測した日付時刻である。ディスク使用率402は、ITインフラストラクチャ201の全ディスク容量のうち使用中のディスクの容量の割合である。
図4において、タイムスタンプ401は、たとえば、15分刻みで記憶される。ディスク使用率402は、エントリ325X5まで増加傾向にあり、15分ごとに5%増加している。エントリ321X6において、ディスク使用率402が50%になると予想されたが、ディスク使用率402が突然25%に下がっている。ディスク使用率402が予想(50%)の半分にまで突発的に下落した理由は、ITインフラストラクチャ201のディスク容量が、エントリ321X5のタイムスタンプ401である「2021-01-01 01:00:00」後に、10GBから20GBに2倍にまで増加したからである。
また、エントリ321X7のタイムスタンプ401である「2021-01-01 01:30:00」のときに、ディスク使用率402が突然上昇した。エントリ321X7では、ディスク使用率402が27.5%になると予想されたが、実測値は50%である。このエントリ321X7で異常が発生したことがわかる。すなわち、エントリ321X7のディスク使用率402は異常値である。異常検出装置202は、エントリ321X7のタイムスタンプ401で異常が発生したことを検出することになる。
図5は、予測結果テーブル322の一例を示す説明図である。予測結果テーブル322は、フィールドとして、タイムスタンプ401と、予測ディスク使用率502と、下側シリーズ503と、上側シリーズ504と、を有する。予測ディスク使用率502は、時系列モデルに目的変数としてタイムスタンプ401が入力された場合に出力されるディスク使用率402の予測値である。タイムスタンプ401のほか、曜日、休日、祝祭日といったパラメータが時系列モデルに入力されてもよい。
下側シリーズ503と上側シリーズ504との間隔を、予測間隔という。予測間隔は、たとえば、95%信頼区間である。下側シリーズ503の値および上側シリーズ504の値は、たとえば、そのエントリの予測ディスク使用率502の-3σおよび+3σの値として算出される(σは標準偏差)。下側シリーズ503より小さい値および上側シリーズ504より大きい値は棄却域に含まれる。
また、予測間隔はパーセンタイルで規定されてもよい。この場合、下側シリーズ503は、たとえば、10パーセンタイルであり、上側シリーズ504は、90パーセンタイルである。すなわち、1~9番目に小さい予測ディスク使用率502およびから91番目以降の予測ディスク使用率502が棄却域に含まれる。
下側シリーズ503および上側シリーズ504は、異常検出に用いられる。ディスク使用率402が、下側シリーズ503より低く、または、上側シリーズ504より高ければ、そのディスク使用率402は異常値として検出される。換言すれば、ディスク使用率402は、予測間隔に含まれていれば、そのディスク使用率402は異常値として検出されない。
図6は、補正後予測結果テーブル323の一例を示す説明図である。補正後予測結果テーブル323は、フィールドとして、タイムスタンプ401と、補正後予測ディスク使用率602と、補正後下側シリーズ603と、補正後上側シリーズ604と、を有する。補正後予測ディスク使用率602は、線形変換により補正された予測ディスク使用率502である。補正後下側シリーズ603は、補正後予測ディスク使用率602に対応する下側シリーズ503である。補正後上側シリーズ604は、補正後予測ディスク使用率602に対応する上側シリーズ504である。
<異常検出処理手順例>
図7は、異常検出装置202による異常検出処理手順例を示すフローチャートである。ステップ701~S704は収集モジュール341により実行され、ステップS705は概念ドリフト候補点決定モジュール342により実行され、ステップS706は予測結果補正モジュール343により実行される。異常検出装置202は、たとえば、ディスク使用率テーブル321に未分析のエントリが一定数蓄積されると、図7に示す処理を開始する。
異常検出装置202は、ITインフラストラクチャ201からメトリクスデータを収集し、ディスク使用率テーブル321にエントリを追加する(ステップS701)。たとえば、ディスク使用率テーブル321の1つのエントリは、複数の時刻における各ディスク使用率402の統計値である。統計値とは、たとえば、複数の時刻における各ディスク使用率402の平均値、中央値、最大値、または最小値である。
ディスク使用率テーブル321のタイムスタンプ401は、15分間隔で記録されるため、ITインフラストラクチャ201がたとえば1分間隔でディスク使用率402を測定する場合、ITインフラストラクチャ201はディスク使用率402を15回測定し、15回分のディスク使用率402の統計値を算出する。ITインフラストラクチャ201は、15回の測定うち最後の測定時刻と15回のディスク使用率402の統計値とを異常検出装置202に送信する。異常検出装置202は、受信した最後の測定時刻をタイムスタンプ401に記録し、15回のディスク使用率402の統計値をディスク使用率402に記録する。
つぎに、異常検出装置202は、分析開始時刻Tstartを取得する(ステップS702)。分析開始時刻Tstartは、異常検出装置202がステップS703の分析を開始するディスク使用率テーブル321のエントリのタイムスタンプ401である。すなわち、分析開始時刻Tstartは、ディスク使用率テーブル321において、未分析でかつ最古のエントリのタイムスタンプ401である。たとえば、ディスク使用率テーブル321において、エントリ321X4まで異常検出処理が完了しているものとすると、次のエントリ321X5のタイムスタンプ401の値「2021-01-01 01:00:00」が分析開始時刻Tstartとなる。
つぎに、異常検出装置202は、時系列モデルの再学習に用いられていない分析開始時刻Tstartまでのエントリ群を時系列データとしてディスク使用率テーブル321から抽出し、時系列モデルを再学習する(ステップS703)。時系列モデルは、たとえば、
y=f(t)・・・(1)
で表現される関数である。左辺のyは、ディスク使用率402であり、右辺のtは時刻データであり、たとえば、タイムスタンプ401である。時刻データtとして、タイムスタンプ401のほか、曜日の種類(平日、休日、祝祭日)が入力されてもよい。
たとえば、エントリ321X1の1つ前までのエントリが学習済みであり、エントリ321X1~321X4が時系列モデルの学習に用いられていない分析開始時刻Tstartまでのエントリ群であれば、異常検出装置202は、エントリ321X1~321X4のタイムスタンプ401を時系列モデルの時刻データtに入力し、それらの出力結果yとエントリ321X1~321X4のディスク使用率402との差が最小となるように時系列モデルを再学習する。なお、時系列モデルが未生成である場合、異常検出装置202は、分析開始時刻Tstartまでのエントリ群を時系列データとしてディスク使用率テーブル321から抽出し、時系列モデルを学習する。
なお、時系列モデルは、ランダムフォレストでもよく、ARIMA(AutoRegressive Integrated Moving Average)モデルでもよく、SARIMA(Seasonal ARIMA)モデルでもよい。
つぎに、異常検出装置202は、分析開始時刻Tstartから予測の実行を開始し、予測結果テーブル322にエントリを追加する(ステップS704)。具体的には、たとえば、異常検出装置202は、ステップS703で再学習された上記式(1)の時系列モデルの時刻データtに、分析開始時刻Tstartから最新時刻までのタイムスタンプ401を順次入力し、タイムスタンプ401ごとのディスク使用率402の予測データpを上記式(1)のyとして出力し、タイムスタンプ401とともに予測ディスク使用率502として予測結果テーブル322に記録する。また、異常検出装置202は、順次入力されたタイムスタンプ401ごとに、下側シリーズ503の値および上側シリーズ504の値を算出して、予測結果テーブル322に記録する。
ここで、異常検出モジュール340で異常検出されないエントリについて説明する。たとえば、エントリ321X7のディスク使用率402(50%)は異常値である。しかし、エントリ321X7と同一タイムスタンプ401の予測結果テーブル322のエントリ322P3では、下側シリーズ503の値が「45%」、上側シリーズ504の値が「65%」である。
したがって、異常値であるエントリ321X7のディスク使用率402(50%)は、下側シリーズ503の値「45%」と上側シリーズ504の値「65%」との間の予測間隔[45,65]に含まれる。したがって、エントリ321X7のディスク使用率402(50%)は、異常値として検出されない。これは、再学習後の時系列モデルfが、ITインフラストラクチャ201のディスク容量が2倍になった影響を見逃しているからである。
異常検出装置202は、概念ドリフト候補点決定処理(ステップS705)および予測結果補正処理(ステップS706)により、予測ディスク使用率502を補正する。これにより、異常検出装置202は、異常検出モジュール340により、このように見逃されて正常値として扱われたエントリ321X7のディスク使用率402(50%)を異常値として検出する(ステップS707)。
<概念ドリフト候補点決定処理(ステップS705)>
図8は、図7に示した概念ドリフト候補点決定処理(ステップS705)の詳細な処理手順例を示すフローチャートである。ステップS704のあと、異常検出装置202は、操作ログまたは構成管理データベース(CMDB)が利用可能か否かを判断する(ステップS801)。ITインフラストラクチャ201における操作ログまたはCMDBのいずれかが利用可能である場合(ステップS801:Yes)、異常検出装置202は、概念ドリフト候補点を操作ログまたはCMDBから取得して(ステップS810)、予測結果補正処理(ステップS706)に移行する。
一方、操作ログおよびCMDBのいずれも利用不可能である場合(ステップS801:No)、異常検出装置202は、予測データとテストデータとの平均誤差を算出する(ステップS802)。予測データとは、予測ディスク使用率502であり、テストデータとは、予測データと同一タイムスタンプ401のディスク使用率402であり、正解データとも呼ばれる。平均誤差とは、タイムスタンプ401ごとの予測データとテストデータとの差分に基づく誤差の平均値である。たとえば、誤差は、図1の(A)の差Gであり、下記式(2)で表現される。平均誤差は、下記式(3)で表現される。
Figure 0007626657000001
式(2)、(3)のxは、テストデータであり、pは、予測ディスク使用率502であり、tは、タイムスタンプ401である。e(t)は、タイムスタンプ401がtのときの誤差であり、Eは、分析開始時刻TstartからTendまでのn個の誤差e(t)の平均値、すなわち、平均誤差である。Tendは、分析開始時刻Tstartのエントリからn番目のエントリのタイムスタンプ401が示す分析終了時刻である。
つぎに、異常検出装置202は、ステップS802で算出した平均誤差Eが誤差しきい値Ethresholdよりも大きいか否かを判断する(ステップS803)。平均誤差Eが誤差しきい値Ethresholdよりも大きくない場合(ステップS803:No)、予測結果補正処理(ステップS706)に移行する。一方、平均誤差Eが誤差しきい値Ethresholdよりも大きい場合(ステップS803:Yes)、ステップS804に移行する。本例では、誤差しきい値Ethresholdを、たとえば、Ethreshold=0.2とする。平均誤差Eが誤差しきい値Ethresholdよりも大きければ、急激な概念ドリフトが発生していると予想される。平均誤差Eが誤差しきい値Ethresholdよりも大きい概念ドリフトを、急激な概念ドリフトと称す。
平均誤差Eが誤差しきい値Ethresholdよりも大きい場合(ステップS803:Yes)、異常検出装置202は、テストデータの変化率rをタイムスタンプ401ごとに算出する(ステップS804)。変化率rは、たとえば、下記(4)で算出される。
Figure 0007626657000002
変化率rは、時刻tのテストデータxと時刻t+1のテストデータxt+1との比に基づいて算出される。異常検出装置202は、タイムスタンプ401ごとの変化率のうち、変化率しきい値Rthresholdよりも大きい特定の変化率rがあるか否かを判断する(ステップS805)。特定の変化率rが1つもない場合(ステップS805:No)、予測結果補正処理(ステップS706)に移行する。一方、特定の変化率rが1つ以上ある場合(ステップS805:Yes)、ステップS806に移行する。変化率しきい値Rthresholdは、ユーザにより任意に設定可能である。
異常検出装置202は、特定の変化率rとそのタイムスタンプ401が示す時刻tとを選択する(ステップS806)。そして、異常検出装置202は、特定の変化率rごとに、所定期間(たとえば、1日)においてステップS806で選択された回数をカウントする(ステップS807)。この選択された回数を特定の変化率rの出現回数fと称す。なお、特定の変化率rは、完全一致した場合にのみカウントされてもよく、許容範囲内であればカウントされてもよい。たとえば、変化率rが1.804や1.863であれば、特定の変化率r=1.8の出現回数fとしてカウントされる。
このあと、異常検出装置202は、出現回数frが出現回数しきい値Fthresholdより小さい特定のタイムスタンプ401があるか否かを判断する(ステップS808)。出現回数fが出現回数しきい値Fthresholdより小さい特定のタイムスタンプ401が1つもない場合(ステップS808:No)、予測結果補正処理(ステップS706)に移行する。
一方、出現回数fが出現回数しきい値Fthresholdより小さい特定のタイムスタンプ401が1つ以上ある場合(ステップS808:Yes)、異常検出装置202は、特定のタイムスタンプ401を概念ドリフト候補点に決定し(ステップS809)、予測結果補正処理(ステップS706)に移行する。特定の変化率rが出現回数しきい値Fthreshold以上出現しているということは、特定の変化率rおよびそのタイムスタンプ401が概念ドリフトによるディスク使用率402の変化を示しているのではなく、ディスク使用率402自体に通常の挙動とは異なる変化が発生していることを示している。したがって、異常検出装置202は、出現回数fが出現回数しきい値Fthresholdより小さい特定のタイムスタンプ401が示す時刻で、急激な概念ドリフトが発生したらしいと予測する。
つぎに、概念ドリフト候補点決定処理(ステップS705)の実行例を図9~図11を用いて説明する。
図9は、ステップS802の算出例を示す説明図である。図9では、分析開始時刻となるタイムスタンプ401は、「2021-01-01 01:00:00」とし、分析終了時刻となるタイムスタンプ401は、「2021-01-01 01:45:00」とする。図9の場合、平均誤差Eは誤差しきい値Ethresholdよりも大きいため(ステップS802:Yes)、ステップS804に移行する。
図10は、ステップS804の算出例を示す説明図である。エントリ1000は、分析開始時刻Tstartの1つ前のタイムスタンプ401(すなわち、前回の分析での分析終了時刻Tend)の算出結果を示す。エントリ1004では、変化率が算出されないため、ステップS804の判定は実行されない。図10では、エントリ1001~1003の各変化率rが変化率しきい値Rthresholdよりも大きい特定の変化率であることがわかる。
図11は、ステップS807の算出例を示す説明図である。エントリ1101~1103では、特定の変化率rtの各々の出現回数frが「1」であるため、出現回数しきい値Fthresholdよりも小さい。したがって、ステップS806で選択されたエントリ1001~1003のタイムスタンプ401は、特定のタイムスタンプ401に決定される(ステップS809)。
<予測結果補正処理(ステップS706)>
図12は、図7に示した予測結果補正処理(ステップS706)の詳細な処理手順例(前半)を示すフローチャートである。異常検出装置202は、テストデータ、予測データ、および概念ドリフト候補点を取得する(ステップS1201)。つぎに、異常検出装置202は、未選択の概念ドリフト候補点があるか否かを判断する(ステップS1202)。未選択の概念ドリフト候補点がある場合(ステップS1202:Yes)、異常検出装置202は、未選択の概念ドリフト候補点を1つ選択してTとし、選択した概念ドリフト候補点Tの変化率rを、下記式(5)を用いて算出する(ステップS1203)。
Figure 0007626657000003
つぎに、異常検出装置202は、下記式(6)を用いて、概念ドリフト候補点Tのスケール誤差e scaleを算出する(ステップS1203)。
Figure 0007626657000004
上記式(6)において、mは、タイムスタンプ401が示す時刻T+1から分析終了時刻Tendまでのタイムスタンプ401の個数である。スケール誤差e scaleは、予測データpを概念ドリフト候補点Tの変化率rでスケール(拡縮)した場合のテストデータとの誤差の平均値を示す。
つぎに、異常検出装置202は、下記式(7)を用いて、変化差分dを算出する(ステップS1205)。
Figure 0007626657000005
そして、異常検出装置202は、下記式(8)を用いて、シフト誤差e shiftを算出して(ステップS1206)、ステップS1202に戻る。
Figure 0007626657000006
シフト誤差e shiftは、予測データpを概念ドリフト候補点Tの変化差分dでシフト(加減算)した場合のテストデータとの誤差の平均値を示す。そして、ステップS1202において、未選択の概念ドリフト候補点がない場合(ステップS1202:No)、異常検出装置202は、最小誤差およびそのタイムスタンプ401を選択して(ステップS1207)、図13のステップS1301に移行する。具体的には、たとえば、異常検出装置202は、概念ドリフト候補点Tごとのスケール誤差e scaleおよびシフト誤差e shiftのうち、最小誤差を選択する。最小誤差のタイムスタンプ401が示す時刻をτとする。
たとえば、概念ドリフト候補点Tが3点(T1、T2、T3とする)存在すると仮定すると、スケール誤差eT1 scale,eT2 scale,eT3 scaleとシフト誤差eT1 shift,eT2 shift,eT3 shiftとが算出される。ステップS1207では、異常検出装置202は、スケール誤差eT1 scale,eT2 scale,eT3 scaleとシフト誤差eT1 shift,eT2 shift,eT3 shiftとの中から最小誤差を選択する。この最小誤差が、たとえば、スケール誤差eT3 scaleであったとすると、異常検出装置202は、スケール誤差eT3 scaleが発生した概念ドリフト候補点T3を選択してτとする。そして、図13のステップS1301に移行する。
なお、概念ドリフト候補点決定処理(ステップS705)において、概念ドリフト候補点Tが1つも決定または取得されなかった場合、ステップS1207および図13の処理は実行されない。
図13は、図7に示した予測結果補正処理(ステップS706)の詳細な処理手順例(後半)を示すフローチャートである。異常検出装置202は、ステップS1207の選択最小誤差がスケール誤差eτ scaleであるかシフト誤差eτ shiftであるかを判断する(ステップS1301)。選択最小誤差がスケール誤差eτ scaleである場合(ステップS1301:スケール誤差)、異常検出装置202は、選択最小誤差であるスケール誤差eτ scaleが誤差許容値Etolerance以下であるか否かを判断する(ステップS1302)。スケール誤差eτ scaleが誤差許容値Etolerance以下でない場合(ステップS1302:No)、予測結果補正処理(ステップS706)が終了する。
一方、スケール誤差eτ scaleが誤差許容値Etolerance以下である場合(ステップS1302:Yes)、異常検出装置202は、タイムスタンプ401が示す時刻τ後の予測データpを変化率rτでスケールする(ステップS1303)。このとき、異常検出装置202は、スケール後の予測データpに基づいて下側シリーズ503および上側シリーズ504も補正する。そして、異常検出装置202は、スケール後の予測データpについて、補正後予測結果テーブル323のエントリを追加し(ステップS1304)、予測結果補正処理(ステップS706)が終了する。
また、ステップS1301において、選択最小誤差がシフト誤差eτ shiftである場合(ステップS1301:シフト誤差)、異常検出装置202は、選択最小誤差であるシフト誤差eτ shiftが誤差許容値Etolerance以下であるか否かを判断する(ステップS1305)。シフト誤差eτ shiftが誤差許容値Etolerance以下でない場合(ステップS1305:No)、予測結果補正処理(ステップS706)が終了する。
一方、シフト誤差eτ shiftが誤差許容値Etolerance以下である場合(ステップS1305:Yes)、異常検出装置202は、タイムスタンプ401が示す時刻τ後の予測データpを変化差分dτでシフトする(ステップS1306)。このとき、異常検出装置202は、シフト後の予測データpに基づいて下側シリーズ503および上側シリーズ504も補正する。そして、異常検出装置202は、シフト後の予測データpについて、補正後予測結果テーブル323のエントリを追加し(ステップS1307)、予測結果補正処理(ステップS706)が終了する。
図14~図16は、概念ドリフト候補点Tごとのスケールおよびシフト計算例を示す説明図である。図14の概念ドリフト候補点は、「2021-01-01 01:00:00」であり、図15の概念ドリフト候補点は、「2021-01-01 01:15:00」であり、図16の概念ドリフト候補点は、「2021-01-01 01:30:00」である。
これら3つの概念ドリフト候補点Tにおける3つのスケール誤差e scaleおよび3つのシフト誤差e shiftのうち最小誤差は、図14の概念ドリフト候補点T=「2021-01-01 01:00:00」におけるスケール誤差e scale=0.159である。したがって、このスケール誤差e scaleが最小誤差として選択され、そのタイムスタンプ401である概念ドリフト候補点T=「2021-01-01 01:00:00」がτとして選択される(ステップS1207)。そして、エントリ1401~1403のタイムスタンプ401およびスケール後の予測データが、補正後予測テーブルに登録される。
このように、上述した異常検出装置202によれば、たとえば、ITインフラストラクチャ201において、ディスクの容量がk倍に増加すると、ディスク使用率402が1/k倍にスケール変換される。また、ディスクの容量がk倍に低下すると、ディスク使用率402がk倍にスケール変換される。また、大量のログファイルの予定外の削除があると、ディスク使用率402がその分低下するようシフト変換される。また、大量のファイルがバックアップストレージにコピーされると、ディスク使用率402がその分上昇するようシフト変換される。
したがって、概念ドリフトを引き起こすような特定イベント発生後においても、異常検出の即時性が向上し、1日ごとまたは1時間ごとのような定期的なITシステムの異常レポートの即時的な出力が可能になる。したがって、特定イベント発生後に異常検出が停止せず、異常であるのに正常としたり正常であるのに異常としたりするような誤検出も抑制することができる。
また、上述した異常検出装置202では、スケール変換とシフト変換のうちいずれか一方の線形変換を選択して、予測データを補正したが、スケール変換とシフト変換のうちいずれか一方の線形変換のみが実装されてもよい。
また、上述した異常検出装置202は、下記(1)~(9)のように構成することもできる。
(1)異常検出装置202は、プログラムを実行するプロセッサ301と、前記プログラムを記憶する記憶デバイス302と、を有し、前記プロセッサ301は、監視対象(たとえば、ディスク使用率402)の時系列な第1予測データ(たとえば、図1に示した時刻t1からt3までの予測データ)のうち特定イベントの発生時点T(たとえば、図1の時刻t2)後における第2予測データを、スケール変換により補正する補正処理(ステップS706)と、前記補正処理による補正後の第2予測データ(たとえば、図1に示した時刻t2からt3までの予測データ)と、前記監視対象の時系列な第1実測データ(たとえば、図1に示した時刻t1からt3までのテストデータ)のうち前記特定イベントの発生時点T後における第2実測データ(たとえば、図1に示した時刻t2からt3までのテストデータ)と、に基づいて、前記監視対象の異常を検出する検出処理(ステップS707)と、を実行する。
(2)上記(1)の異常検出装置202において、前記補正処理(ステップS706)では、前記プロセッサ301は、前記第2予測データを、前記第2実測データの変化率rτを用いた前記スケール変換により補正する。
(3)上記(1)の異常検出装置202において、前記補正処理(ステップS706)では、前記プロセッサ301は、前記第2予測データを、前記スケール変換またはシフト変換のうちいずれかの一方の線形変換により補正する。
(4)上記(1)の異常検出装置202において、前記補正処理では、前記プロセッサ301は、前記スケール変換が選択された場合、前記第2予測データを、前記第2実測データの変化率rτを用いた前記スケール変換により補正し、前記シフト変換が選択された場合、前記第2予測データを、前記第2実測データの変化の差rτを用いた前記シフト変換により補正する。
(5)上記(4)の異常検出装置202において、前記補正処理(ステップS706)では、前記プロセッサ301は、前記第2実測データと前記変化率rτで拡縮した前記第2予測データとのスケール誤差eτ scaleを算出し、前記第2実測データと前記変化の差rτでシフトした前記第2予測データとのシフト誤差eτ shiftを算出し、前記スケール誤差eτ scaleと前記シフト誤差eτ shiftとに基づいて、前記スケール変換またはシフト変換のうちいずれかの一方の線形変換を選択する。
(6)上記(5)の異常検出装置202において、前記補正処理(ステップS706)では、前記プロセッサ301は、前記スケール誤差eτ scaleと前記シフト誤差eτ shiftとのうち誤差が小さい方の線形変換を選択する。
(7)上記(1)の異常検出装置202において、前記プロセッサ301は、前記第1実測データの観測時点tにおける実測値の変化率rの各々について、変化率しきい値Rthresholdよりも大きい(ステップS805:Yes)特定の観測時点tを前記特定イベントの発生時点候補Tに決定する決定処理(ステップS705)を実行し、前記補正処理(ステップS706)では、前記プロセッサ301は、前記決定処理(ステップS705)によって決定された前記特定イベントの発生時点候補Tのうちいずれかの発生時点候補τの後における前記第2予測データを、前記スケール変換により補正する。
(8)上記(7)の異常検出装置202において、前記決定処理(ステップS705)では、前記プロセッサ301は、前記第1予測データと前記第1実測データとの間の誤差Eが誤差しきい値Ethresholdより大きい場合(ステップS803:Yes)、前記特定の観測時点tを前記特定イベントの発生時点候補Tに決定する。
(9)上記(7)の異常検出装置202において、前記決定処理(ステップS705)では、前記プロセッサ301は、前記特定の観測時点tでの前記実測値の変化率rについて所定期間内における出現回数fを計数し、前記出現回数fが出現回数しきい値Fthresholdよりも小さい前記実測値の変化率rに対応する前記特定の観測時点tを、前記特定イベントの発生時点候補Tに決定する。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。たとえば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、たとえば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサ301がそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、IC(Integrated Circuit)カード、SDカード、DVD(Digital Versatile Disc)の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
200 異常検出システム
201 ITインフラストラクチャ
202 異常検出装置
301 プロセッサ
302 記憶デバイス
321 ディスク使用率テーブル
322 予測結果テーブル
323 補正後予測結果テーブル
324 異常検出プログラム
340 異常検出モジュール
341 収集モジュール
342 概念ドリフト候補点決定モジュール
343 予測結果補正モジュール

Claims (11)

  1. プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、を有する異常検出装置であって、
    前記プロセッサは、
    監視対象の時系列な第1予測データのうち特定イベントの発生時点後における第2予測データを、スケール変換により補正する補正処理と、
    前記補正処理による補正後の第2予測データと、前記監視対象の時系列な第1実測データのうち前記特定イベントの発生時点後における第2実測データと、に基づいて、前記監視対象の異常を検出する検出処理と、
    を実行することを特徴とする異常検出装置。
  2. 請求項1に記載の異常検出装置であって、
    前記補正処理では、前記プロセッサは、前記第2予測データを、前記第2実測データの変化率を用いた前記スケール変換により補正する、
    ことを特徴とする異常検出装置。
  3. 請求項1に記載の異常検出装置であって、
    前記補正処理では、前記プロセッサは、前記第2予測データを、前記スケール変換またはシフト変換のうちいずれかの一方の線形変換により補正する、
    ことを特徴とする異常検出装置。
  4. 請求項3に記載の異常検出装置であって、
    前記補正処理では、前記プロセッサは、前記スケール変換が選択された場合、前記第2予測データを、前記第2実測データの変化率を用いた前記スケール変換により補正し、前記シフト変換が選択された場合、前記第2予測データを、前記第2実測データの変化の差を用いた前記シフト変換により補正する、
    ことを特徴とする異常検出装置。
  5. 請求項4に記載の異常検出装置であって、
    前記補正処理では、前記プロセッサは、前記第2実測データと前記変化率で拡縮した前記第2予測データとのスケール誤差を算出し、前記第2実測データと前記変化の差でシフトした前記第2予測データとのシフト誤差を算出し、前記スケール誤差と前記シフト誤差とに基づいて、前記スケール変換またはシフト変換のうちいずれかの一方の線形変換を選択する、
    ことを特徴とする異常検出装置。
  6. 請求項5に記載の異常検出装置であって、
    前記補正処理では、前記プロセッサは、前記スケール誤差と前記シフト誤差とのうち誤差が小さい方の線形変換を選択する、
    ことを特徴とする異常検出装置。
  7. 請求項1に記載の異常検出装置であって、
    前記プロセッサは、
    前記第1実測データの観測時点における実測値の変化率の各々について、変化率しきい値よりも大きい特定の観測時点を前記特定イベントの発生時点候補に決定する決定処理を実行し、
    前記補正処理では、前記プロセッサは、前記決定処理によって決定された前記特定イベントの発生時点候補のうちいずれかの発生時点候補の後における前記第2予測データを、前記スケール変換により補正する、
    ことを特徴とする異常検出装置。
  8. 請求項7に記載の異常検出装置であって、
    前記決定処理では、前記プロセッサは、前記第1予測データと前記第1実測データとの間の誤差が誤差しきい値より大きい場合、前記特定の観測時点を前記特定イベントの発生時点候補に決定する、
    ことを特徴とする異常検出装置。
  9. 請求項7に記載の異常検出装置であって、
    前記決定処理では、前記プロセッサは、前記特定の観測時点での前記実測値の変化率について所定期間内における出現回数を計数し、前記出現回数が出現回数しきい値よりも小さい前記実測値の変化率に対応する前記特定の観測時点を、前記特定イベントの発生時点候補に決定する、
    ことを特徴とする異常検出装置。
  10. プログラムを実行するプロセッサと、前記プログラムを記憶する記憶デバイスと、を有する異常検出装置が実行する異常検出方法であって、
    前記プロセッサは、
    監視対象の時系列な第1予測データのうち特定イベントの発生時点後における第2予測データを、スケール変換により補正する補正処理と、
    前記補正処理による補正後の予測データと、前記監視対象の時系列な第1実測データのうち前記特定イベントの発生時点後における第2実測データと、に基づいて、前記監視対象の異常を検出する検出処理と、
    を実行することを特徴とする異常検出方法。
  11. プロセッサに、
    監視対象の時系列な第1予測データのうち特定イベントの発生時点後における第2予測データを、スケール変換により補正する補正処理と、
    前記補正処理による補正後の予測データと、前記監視対象の時系列な第1実測データのうち前記特定イベントの発生時点後における第2実測データと、に基づいて、前記監視対象の異常を検出する検出処理と、
    を実行させることを特徴とする異常検出プログラム。
JP2021071101A 2021-04-20 2021-04-20 異常検出装置、異常検出方法、および異常検出プログラム Active JP7626657B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021071101A JP7626657B2 (ja) 2021-04-20 2021-04-20 異常検出装置、異常検出方法、および異常検出プログラム
US17/681,968 US11829226B2 (en) 2021-04-20 2022-02-28 Anomaly detection apparatus, anomaly detection method, and anomaly detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021071101A JP7626657B2 (ja) 2021-04-20 2021-04-20 異常検出装置、異常検出方法、および異常検出プログラム

Publications (2)

Publication Number Publication Date
JP2022165669A JP2022165669A (ja) 2022-11-01
JP7626657B2 true JP7626657B2 (ja) 2025-02-04

Family

ID=83601435

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021071101A Active JP7626657B2 (ja) 2021-04-20 2021-04-20 異常検出装置、異常検出方法、および異常検出プログラム

Country Status (2)

Country Link
US (1) US11829226B2 (ja)
JP (1) JP7626657B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025173134A1 (ja) * 2024-02-14 2025-08-21 Ntt株式会社 異常判定装置、方法、及びプログラム
WO2025177515A1 (ja) * 2024-02-22 2025-08-28 Ntt株式会社 ドリフト検出装置及びドリフト検出方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169959A (ja) 2009-02-18 2009-07-30 Rakuten Inc 情報提供システム、情報提供装置、適正判定情報生成方法及び適正判定情報生成処理プログラム
JP2015090691A (ja) 2013-11-07 2015-05-11 株式会社エヌ・ティ・ティ・データ 予測装置、予測方法、及びプログラム
JP2019135451A (ja) 2018-02-05 2019-08-15 株式会社日立製作所 気象予測補正手法および気象予測システム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11125449A (ja) * 1997-10-22 1999-05-11 Ntt Power And Building Facilities Inc 熱負荷予測装置
US6785836B2 (en) * 2001-04-11 2004-08-31 Broadcom Corporation In-place data transformation for fault-tolerant disk storage systems
US20040148047A1 (en) 2001-12-18 2004-07-29 Dismukes John P Hierarchical methodology for productivity measurement and improvement of productions systems
US7190847B2 (en) * 2002-02-12 2007-03-13 International Business Machines Corporation Method, system, and program for fractionally shifting data subject to a previous transformation
US7203878B2 (en) * 2002-07-19 2007-04-10 Sun Microsystems, Inc. System and method for performing predictable signature analysis in the presence of multiple data streams
US7464294B2 (en) * 2004-09-20 2008-12-09 International Business Machines Corporation Monitoring method with trusted corrective actions
JP4836608B2 (ja) * 2006-02-27 2011-12-14 株式会社東芝 半導体記憶装置
US20140298097A1 (en) * 2013-03-28 2014-10-02 General Electric Company System and method for correcting operational data
JP2018014000A (ja) * 2016-07-21 2018-01-25 富士通株式会社 テスト支援プログラム、テスト支援装置、及びテスト支援方法
TWI602188B (zh) * 2017-01-03 2017-10-11 慧榮科技股份有限公司 用來於記憶裝置中進行資料管理之方法以及記憶裝置及其控制器
JP7491049B2 (ja) * 2020-05-19 2024-05-28 富士通株式会社 異常検出方法、及び異常検出プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169959A (ja) 2009-02-18 2009-07-30 Rakuten Inc 情報提供システム、情報提供装置、適正判定情報生成方法及び適正判定情報生成処理プログラム
JP2015090691A (ja) 2013-11-07 2015-05-11 株式会社エヌ・ティ・ティ・データ 予測装置、予測方法、及びプログラム
JP2019135451A (ja) 2018-02-05 2019-08-15 株式会社日立製作所 気象予測補正手法および気象予測システム

Also Published As

Publication number Publication date
JP2022165669A (ja) 2022-11-01
US20220334909A1 (en) 2022-10-20
US11829226B2 (en) 2023-11-28

Similar Documents

Publication Publication Date Title
JP6354755B2 (ja) システム分析装置、システム分析方法、及びシステム分析プログラム
JP6875179B2 (ja) システム分析装置、及びシステム分析方法
US10747188B2 (en) Information processing apparatus, information processing method, and, recording medium
US9753801B2 (en) Detection method and information processing device
CN114528934A (zh) 时序数据异常检测方法、装置、设备及介质
CN111045894A (zh) 数据库异常检测方法、装置、计算机设备和存储介质
JP6521096B2 (ja) 表示方法、表示装置、および、プログラム
JP6183450B2 (ja) システム分析装置、及び、システム分析方法
CN114169604A (zh) 性能指标的异常检测方法、异常检测装置、电子设备和存储介质
JP6183449B2 (ja) システム分析装置、及び、システム分析方法
JP5771317B1 (ja) 異常診断装置及び異常診断方法
JP5387779B2 (ja) 運用管理装置、運用管理方法、及びプログラム
JP7632613B2 (ja) 異常原因推定装置、異常原因推定方法、及びプログラム
JP7626657B2 (ja) 異常検出装置、異常検出方法、および異常検出プログラム
CN108664603A (zh) 一种修复时序数据的异常聚合值的方法及装置
JP6915693B2 (ja) システム分析方法、システム分析装置、および、プログラム
JP6777142B2 (ja) システム分析装置、システム分析方法、及び、プログラム
EP3999983B1 (en) Time-series data condensation and graphical signature analysis
WO2021074995A1 (ja) 閾値取得装置、その方法、およびプログラム
JP2014153736A (ja) 障害予兆検出方法、プログラムおよび装置
JP6973445B2 (ja) 表示方法、表示装置、および、プログラム
US10157113B2 (en) Information processing device, analysis method, and recording medium
JP6405851B2 (ja) 予兆検知支援プログラム、方法、装置、及び予兆検知プログラム、
US20250085703A1 (en) Fault diagnosis in multi-component systems
JP2024003329A (ja) 異常検知装置、異常検知方法、及び異常検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250123

R150 Certificate of patent or registration of utility model

Ref document number: 7626657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150