ホーム > 特許ランキング > 日本電信電話株式会社
知財求人 - 知財ポータルサイト「IP Force」
▶ 日本電信電話株式会社の特許一覧 ▶ 国立大学法人大阪大学の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6675608
(24)【登録日】2020年3月13日
(45)【発行日】2020年4月1日
(54)【発明の名称】異常検出装置、異常検出方法及び異常検出プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20200323BHJP
【FI】
G06F21/55
【請求項の数】5
【全頁数】10
(21)【出願番号】特願2016-112486(P2016-112486)
(22)【出願日】2016年6月6日
(65)【公開番号】特開2017-219947(P2017-219947A)
(43)【公開日】2017年12月14日
【審査請求日】2018年7月20日
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(73)【特許権者】
【識別番号】504176911
【氏名又は名称】国立大学法人大阪大学
(74)【代理人】
【識別番号】100119677
【弁理士】
【氏名又は名称】岡田 賢治
(74)【代理人】
【識別番号】100115794
【弁理士】
【氏名又は名称】今下 勝博
(72)【発明者】
【氏名】明石 修
(72)【発明者】
【氏名】間野 暢
(72)【発明者】
【氏名】松岡 茂登
【審査官】
平井 誠
(56)【参考文献】
【文献】
特開2010−244543(JP,A)
【文献】
特開2013−143126(JP,A)
【文献】
北田 和将 Kazumasa KITADA,数値流体解析と消費電力モデルを連携させたデータセンタの消費電力シミュレータの構築 Dynamic power simulator utilizing computational fluid dynamics and power consumption model for data center,電子情報通信学会技術研究報告 Vol.115 No.483 IEICE Technical Report,日本,一般社団法人電子情報通信学会 The Institute of Electronics,Information and Communication Engineers,2016年 2月25日,第115巻,p.291-296
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55−56
(57)【特許請求の範囲】
【請求項1】
熱源機器の稼働量に対する消費電力の変化を示す熱源機器消費電力モデルを保持し、熱源機器の稼働量及び第1の消費電力測定値を取得すると、前記熱源機器消費電力モデルを用いて導出した前記稼働量における前記熱源機器の消費電力の第1の予測値と前記第1の消費電力測定値の差を求め、当該差が設定値以上である状態が設定時間を経過した場合に前記熱源機器の異常を検出する検出部を備える、
異常検出装置。
異常検出装置。
【請求項2】
前記検出部は、熱源機器の配置されている空間における消費電力及び温度変化を示す空間消費電力モデルを保持し、前記空間における設定温度及び第2の消費電力測定値を取得すると、前記空間消費電力モデルを用いて導出した前記設定温度に設定時の前記空間の消費電力の第2の予測値と前記第2の消費電力測定値の差を求め、当該差を用いて前記空間の異常を検出する、
請求項1に記載の異常検出装置。
請求項1に記載の異常検出装置。
【請求項3】
異常検出装置が、熱源機器の稼働量に対する消費電力の変化を示す熱源機器消費電力モデルを保持し、熱源機器の稼働量及び第1の消費電力測定値を取得すると、前記熱源機器消費電力モデルを用いて導出した前記稼働量における前記熱源機器の消費電力の第1の予測値と前記第1の消費電力測定値の差を求め、当該差が設定値以上である状態が設定時間を経過した場合に前記熱源機器の異常を検出する検出手順を備える、
異常検出方法。
異常検出方法。
【請求項4】
前記検出手順において、前記異常検出装置が、さらに熱源機器の配置されている空間における消費電力及び温度変化を示す空間消費電力モデルを保持し、前記空間における設定温度及び第2の消費電力測定値を取得すると、前記空間消費電力モデルを用いて導出した前記設定温度に設定時の前記空間の消費電力の第2の予測値と前記第2の消費電力測定値の差を求め、当該差を用いて前記空間の異常を検出する、
請求項3に記載の異常検出方法。
請求項3に記載の異常検出方法。
【請求項5】
請求項3又は4に記載の異常検出方法が備える手順をコンピュータに実行させるための異常検出プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、異常検出装置、方法及びプログラムに関する。
【背景技術】
【0002】
データセンタや通信設備、あるいは企業等の種々のサーバへのネットワークを経由したDDoS(Distributed Denial of Service attack)などの情報セキュリティに対する攻撃が大きな社会的な問題となっている。複数のネットワークに分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまうDDoS攻撃(Distributed Denial of Service attack)をはじめとする攻撃は、公開しているサーバであればどんなサーバであっても標的に成り得るため、社会的な損失は莫大である。そのため、外部とのネットワークログ管理やトラヒック監視によって大規模なトラヒックや挙動が不審な通信を検出して防護する事や、攻撃側の情報を事前に登録してその攻撃者からの通信を受付けない設定を行っておく、などの種々の対策がとられているところである(非特許文献1)。
【0003】
一方、一旦何らかの方法で、例えば、事前に攻撃者の情報がなく素通りさせてしまう場合や、ユーザがネットワークでなくメモリなどを接続することによってサーバ等を感染させてしまい、ネットワーク上の通信を発生させないで、サーバ内部の処理を異常に発生させてしまう結果、電源ダウンを発生させるパラサイトアタックが社会問題化している。この電源ダウンを発生させるパラサイトアタックは、通信を伴わない攻撃であることから、消費電力を監視することが必要であるが、この場合、あるタスク(正規の負荷)に対してどの電力値が正しい値なのか、アタックをかけられた電力なのか、異常として検知・判断することは不可能である。つまり、非特許文献1の方法では、パラサイトアタックは、通常のネットワークの監視や分析手法では検出できにくい、あるいは電力を監視しても検知できないという本質的な問題があった。
【0004】
通信機器やサーバなどへの通信を伴った攻撃は、通信を直接検出したり、あるいはログを解析したりすることで分析が可能である。これに対して、一旦侵入したウィルスなどが、外部との通信を伴わないで、機器の内部の稼働を異常に増大させることで電力ダウンさせるなどのパラサイトアタックの場合、外部との通信を伴わないため、通信の直接監視やログ分析では検出できないという問題ある。
【0005】
当然、ウィルス検知で一定の効果はあるものの、複数のデータセンタにまたがったマイグレーションの際などに乗じて侵入される場合があり、通常の検出では難しい場合が多い。そのため、機器ごとの電力の変化を高精度に分析することで、本来期待される以上の稼働が機器内部で実行されている状態を検出することが必要となる。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】http://www.cisco.com/web/JP/product/hs/security/tad/prodlit/xt5600_ds.html
【非特許文献2】北田和将,中村泰,松田和浩,松岡茂登,“数値流体解析と消費電力モデルを連携させたデータセンタの消費電力シミュレータの構築”,信学会NS・IN研究会,2016年2月25日
【発明の概要】
【発明が解決しようとする課題】
【0007】
本開示は、ネットワークログ管理やトラヒック監視によって検出することができないパラサイトアタックを検出可能にすることを目的とする。
【課題を解決するための手段】
【0008】
本開示では、正常時の電力消費パターンを事前に学習しておき、消費電力を監視して比較することにより、「パラサイト」の有無を検出する。
【0009】
具体的には、本開示に係る異常検出装置は、熱源機器の稼働量に対する消費電力の変化を示す熱源機器消費電力モデルを保持し、熱源機器の稼働量及び第1の消費電力測定値を取得すると、前記熱源機器消費電力モデルを用いて導出した前記稼働量における前記熱源機器の消費電力の第1の予測値と前記第1の消費電力測定値の差を求め、当該差が設定値以上である状態が設定時間を経過した場合に前記熱源機器の異常を検出する検出部を備える。
【0010】
前記検出部は、熱源機器の配置されている空間における消費電力及び温度変化を示す空間消費電力モデルを保持し、前記空間における設定温度及び第2の消費電力測定値を取得すると、前記空間消費電力モデルを用いて導出した前記設定温度に設定時の前記空間の消費電力の第2の予測値と前記第2の消費電力測定値の差を求め、当該差を用いて前記空間の異常を検出してもよい。
【0011】
具体的には、本開示に係る異常検出方法は、異常検出装置が、熱源機器の稼働量に対する消費電力の変化を示す熱源機器消費電力モデルを保持し、熱源機器の稼働量及び第1の消費電力測定値を取得すると、前記熱源機器消費電力モデルを用いて導出した前記稼働量における前記熱源機器の消費電力の第1の予測値と前記第1の消費電力測定値の差を求め、当該差が設定値以上である状態が設定時間を経過した場合に前記熱源機器の異常を検出する検出手順を備える。
【0012】
前記検出手順において、熱源機器の配置されている空間における消費電力及び温度変化を示す空間消費電力モデルを保持し、前記空間における設定温度及び第2の消費電力測定値を取得すると、前記空間消費電力モデルを用いて導出した前記設定温度に設定時の前記空間の消費電力の第2の予測値と前記第2の消費電力測定値の差を求め、当該差を用いて前記空間の異常を検出してもよい。
【0013】
具体的には、本開示に係る異常検出プログラムは、本開示に係る異常検出装置に備わる各機能をコンピュータに実現させるためのプログラムであり、本開示に係る異常検出方法に備わる各手順をコンピュータに実行させるためのプログラムである。異常検出プログラムは、コンピュータ読み取り可能な記録媒体に記録されていてもよい。
【発明の効果】
【0014】
本開示によれば、正常時の電力消費パターンを事前に学習しておき、消費電力を監視して比較することにより、容易に「パラサイト」の有無を検出することができる。
【図面の簡単な説明】
【0015】
【図1】データセンタの構成例である。
【図2】実施形態に係る異常検出方法の一例を示す。
【図3】サーバ単体の電力モデルの一例を示す。
【図4】空調機器単体の電力モデルの一例を示す。
【図5】タスクを変化させた場合の全サーバの消費電力の推移の一例を示す。
【図6】タスクを変化させた場合の空調機器の消費電力の推移の一例を示す。
【図7】タスクを変化させない場合のデータセンタ全体及びサーバの消費電力の推移の一例を示す。
【図8】データセンタ全体の電力モデルの一例を示す。
【図9】正常時と異常時のデータセンタ全体の消費電力の推移の一例を示す。
【図10】正常時と異常時のサーバの消費電力の推移の一例を示す。
【図11】実施形態に係る異常検出装置の構成例を示す。
【図12】検出手順の具体例を示す。
【図13】検出手順の別形態の一例を示す。
【発明を実施するための形態】
【0016】
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
【0017】
実施形態に係る異常検出装置は、各構成要素(サーバ)毎の個別の電力モデルを事前に作っておき、あるタスクが与えられた際の消費電力を予測し、その予測値を上回る場合に、パラサイトアタックのような異常な稼働が機器内部に発生していると判断する。
【0018】
また、個別の電力モデルだけでなく、データセンタ全体の電力モデルを構築しておけば、タスクがデータセンタ内に分散された場合であっても、その予測値を大きく上回る場合に、パラサイトアタックのような異常な稼働が機器内部に発生していると判断することができる。
【0019】
図1にデータセンタの構成例を示す。データセンタ81は、サーバやルータ等の熱源となるICT(Information and Communication Technology)機器の部分と、それを冷却する空調機器82と、を備える。以下の実施形態においては、理解の容易のため、ICT機器などの熱源機器がサーバ83である場合について説明する。これに伴い、熱源機器消費電力モデルをサーバ消費電力モデルと称する。
【0020】
データセンタ81全体の消費電力は、主に全サーバ83の消費電力と空調機器82の消費電力の和である。ただし、それぞれの構成要素の消費電力は、サーバ83においてはCPU(Central Processing Unit)の稼働率や吸い込み温度や風量(空調の設定条件)、一方空調機器82においては、設定温度や風量、あるいはサーバ83が消費する電力(処理する熱量)や還帰温度等に大きく依存する。したがって、与えられたタスク量(処理量)におけるデータセンタ81全体の消費電力を正確に予測するには、それらの動作条件を明確にして学習によって把握することが必要である(例えば、非特許文献2参照)。
【0021】
図2に、実施形態に係る異常検出方法の一例を示す。検出の手順は以下の通りである。学習手順S101:異常検出装置が、機械学習を用いて、あるタスク(処理)が正常に与えられた際のデータセンタ81全体の空間消費電力モデルを事前に把握する。
監視手順S102:異常検出装置が、運用時の消費電力の推移を常時監視し、処理が行われる際に、事前に把握した消費電力との違いを分析する。
検出手順S103:異常検出装置が、分析によって得られた違いを用いて、パラサイトアタックの有無を判定する。
【0022】
学習手順S101における把握は、以下の点を考慮することが好ましい。・サーバ83の消費電力は、サーバ83の処理量及び空調による給気の温度や風量によって大きく変化する。サーバ83の処理量は、例えば、CPUやメモリの動作状況である。
・空調機器82の消費電力は、サーバ83の消費電力(空調が処理する電力)、還帰温度又は給気温度、及び、風量によって大きく変化する。
・これらに基づき、サーバ83単体のサーバ消費電力モデル、空調機器82単体の空調消費電力モデル、データセンタ81全体の空間消費電力モデルを、個別に把握する。
【0023】
学習手順S101では、異常検出装置に、事前にサーバ83及び空調機器82の稼働データが入力される。サーバの稼働データは、データセンタ81に配置されるサーバ83の消費電力に関する情報をサーバ83ごとに収集したデータである。異常検出装置は、サーバ83の稼働データを用いた機械学習によって、機種毎の消費電力モデル(サーバ消費電力モデル)を作成する。空調機器の稼働データは、データセンタ81に配置される空調機器82の消費電力に関する情報を空調機器82ごとに収集したデータである。異常検出装置は、空調機器82の稼働データを用いた機械学習によって、空調機器82の機種毎の消費電力モデルである空調消費電力モデルを作成する。これらのモデルは、種々の条件で事前に動作させて電力を測定することによって得られる。
【0024】
図3に、サーバ83単体のサーバ消費電力モデルの一例を示す。これは、サーバ消費電力モデルの一例であり、サーバ83単体での、各種動作条件(CPU利用率(%)、吸気温度(℃))における消費電力(W)の変化の例である。サーバ消費電力モデルは、サーバ83を単体で動作させて構築する。サーバ83の機種毎にサーバ消費電力モデルを作成すればよく、実際にデータセンタ81に配置するサーバ83を用いてモデルを作成する必要はない。
【0025】
図4に空調機器82単体の空調消費電力モデルの一例を示す。これは、空調機器82単体での、各種動作条件(設定風量(%)、設定温度(℃))における消費電力(kW)の変化の例である。ここで、図4では、空調機器82の設定風量の一例として、ファンの最大回転数に対する割合(%)で示した。また温度は、空調機器82がデータセンタ81に供給する空気の給気温度である。空調機器82の機種ごとに空調消費電力モデルを作成すればよく、実際にデータセンタ81に配置する空調機器82を用いてモデルを作成する必要はない。
【0026】
図5及び図6に、タスク(処理)を変化させた際の全サーバ及び空調機器の消費電力の一例を示す。これはタスク(処理の量)を変化させた場合の、消費電力(全サーバ、空調機器)の測定値と、機械学習によって予測した消費電力(全サーバ、空調機)の予測値の比較である。サーバ全体の消費電力については平均で5%の精度で予測できていることが分かる。
【0027】
図7に、タスクを一定とし、空調の吹き出し温度を変化させた場合のデータセンタの全消費電力の一例を示す。これは、図5及び図6とは違い、タスク(処理量)を一定にして、各種動作条件(空調の吹き出し温度)を変化させた場合のサーバ83とデータセンタ81全体の消費電力の推移の例である。同じ処理量でも、データセンタ81全体の消費電力が変化していくことが分かる。
【0028】
図8に、データセンタ81全体の消費電力モデルの一例を示す。これは、空間消費電力モデルの一例であり、種々の動作条件に対するデータセンタ81の消費電力の変化の例である。wind−max、wind−minは空調機器82の風量である。このように、すべての動作条件に対する消費電力を事前に学習によって把握することで、アタックを受けた場合の消費電力の増加に対して、アタックの有無を検出することが可能である。
【0029】
図9と図10に、それぞれ、正常な消費電力の推移LNとアタック時の消費電力の推移LAの比較を示す。図9はデータセンタ81の全体を示し、図10はサーバ83個別を示す。あるタスク(処理量)が与えられた際の消費電力LNは、これまでの図に示した通り、事前に学習した電力モデル(サーバ単体、あるいはデータセンタ全電力)を基準に、正確に(サーバ単体では7%、データセンタ全体の電力では5%の精度で)予測することができる。このため、図10に示す消費電力の推移LA1及びLA2、図9に示す消費電力の推移LAのような、その値から増加した消費電力については、パラサイトアタックと判断することができる。
【0030】
通常のパラサイトアタックにおいては、図10に示す消費電力の推移LA1とLA2に示す通り、定常的な負荷を与え続ける事が多いため、事前に学習した電力消費パターンを用いて、バースト的に発生する負荷(電力増大)を無視し、定常的に増大した消費電力値をもとにパラサイトアタックを容易に検出可能である。実施形態では、20%以上の定常的な消費電力増の状態をパラサイトアタックと判断してそのサーバの消費電力を落としてネットワークから切り離す対応とした。
【0031】
図11に、実施形態の異常検出装置の構成図を示す。異常検出装置は、検出部11、情報処理部12及び記憶部13を備える。記憶部13は、学習手順S101において学習した各電力モデルを記憶する。情報処理部12は、サーバ83及び空調機器82の処理情報を取得して検出部11に通知する。検出部11は、情報処理部12から得られる処理情報、各サーバ83から得られるサーバ83単体の電力情報、並びに、サーバ83及び空調機器82から得られるデータセンタ81全体の電力情報を、記憶部13に記憶されている電力モデルと比較し、パラサイトアタックを検出する。
【0032】
サーバ83単体の電力情報は、サーバ消費電力モデルのパラメータであり、例えば、CPU利用率及び吸気温度である。データセンタ81全体の電力情報は、空間消費電力モデルのパラメータであり、例えば、サーバ数、空調機器82の設定温度である。
【0033】
図12に、検出手順S103における異常検出装置の動作を示す。監視手順S102において、検出部11は、運用時の消費電力の推移を監視し、各サーバ83において計算処理(タスク)が行われる際に、事前に把握した消費電力との違いを分析する。
【0034】
検出部11は、データセンタ81全体の消費電力の予測値と消費電力の測定値を比較し(S111)、予測値と測定値の違いが設定値を超えた場合(S111においてYes)、ステップS112に移行する。
【0035】
検出部11は、各サーバ83の消費電力の予測値と消費電力の測定値を比較し(S112)、予測値と測定値の違いが設定値を超えた場合(S112においてYes)、ステップS113に移行する。
【0036】
検出部11は、各サーバ83の消費電力の測定値の推移とサーバ消費電力モデルとを比較し、パラサイトアタックを検出する(S113)。例えば、あるサーバ83の消費電力が設定値以上でありその状態が設定時間を経過した場合、当該サーバ83がパラサイトアタックを受けていると判定する。検出部11は、パラサイトアタックを検出した場合(ステップS113においてYes)、パラサイトアタックを検出したサーバ83の消費電力を落とす旨の制御情報を情報処理部12に通知する。情報処理部12は、この通知を受信すると、通知のあったサーバ83の消費電力を落としてネットワークから切り離す(S114)。
【0037】
なお、図13に示すように、検出手順S103において、ステップS111を省略してもよい。また、実施形態に係る異常検出装置は、コンピュータを検出部11及び情報処理部12として機能させることで自右舷してもよい。この場合、コンピュータが、記憶部13に記憶されたコンピュータプログラムを実行することで、各構成を実現する。このように、実施形態の装置は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
【0038】
(実施形態の効果)本実施形態では、外部とのネットワークログ管理やトラヒック監視によって大規模なトラヒックや挙動が不審な通信を検出することができない内部の「パラサイトアタック」に対して、データセンタや通信設備、あるいは企業などのサーバ等の機器毎の消費電力のパターンを事前に学習によって求めてさえおけば、容易に検出することができる。この手法では、消費電力の監視を行うだけで、「パラサイト」攻撃を検出でき、通信の詳細に関わる検出や分析が不要なため、運用セキュリティやプライバシー上もメリットがある。
【産業上の利用可能性】
【0039】
本開示は情報通信産業に適用することができる。
【符号の説明】
【0040】
11:検出部12:情報処理部
13:記憶部
81:データセンタ
82:空調機器
83:サーバ