知財求人 - 知財ポータルサイト「IP Force」
▶ 三菱電機株式会社の特許一覧 ▶ 三菱電機インフォメーションネットワーク株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024120197
(43)【公開日】2024-09-05
(54)【発明の名称】データ分析装置及びデータ分析方法
(51)【国際特許分類】
G06F 11/07 20060101AFI20240829BHJP
【FI】
G06F11/07 166
【審査請求】未請求
【請求項の数】18
【出願形態】OL
(21)【出願番号】P 2023026823
(22)【出願日】2023-02-24
(71)【出願人】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(71)【出願人】
【識別番号】501158538
【氏名又は名称】三菱電機インフォメーションネットワーク株式会社
(74)【代理人】
【識別番号】110003166
【氏名又は名称】弁理士法人山王内外特許事務所
(72)【発明者】
【氏名】三塚 由浩
(72)【発明者】
【氏名】志鎌 圭芳
(72)【発明者】
【氏名】橋本 美樹
(72)【発明者】
【氏名】吉村 玄太
(72)【発明者】
【氏名】酒井 亮佑
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042MA14
5B042MC40
(57)【要約】 (修正有)
【課題】システムに生じた複数の事象の中で、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして特定するデータ分析装置及び方法を提供する。
【解決手段】データ分析装置において、照合パターン抽出部は、システムが正常であるときに生じた複数の事象における夫々の発生時刻を示す第1の時系列データを取得する第1の時系列データ取得部21と、第1の時系列データ取得部が取得した第1の時系列データが示す発生時刻に基づいて、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第1のトランザクション特定部22と、を備え、システムに生じた複数の事象の中で、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして特定する。
【選択図】図2
【解決手段】データ分析装置において、照合パターン抽出部は、システムが正常であるときに生じた複数の事象における夫々の発生時刻を示す第1の時系列データを取得する第1の時系列データ取得部21と、第1の時系列データ取得部が取得した第1の時系列データが示す発生時刻に基づいて、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第1のトランザクション特定部22と、を備え、システムに生じた複数の事象の中で、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして特定する。
【選択図】図2
【特許請求の範囲】
【請求項1】
動作中に複数の事象が生じるシステムが正常であるときに、前記システムに生じた複数の事象におけるそれぞれの発生時刻を示す第1の時系列データを取得する第1の時系列データ取得部と、
前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第1のトランザクション特定部と、
前記システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、前記2つ以上の事象が共起している確率である共起確率を算出し、前記第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、前記共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する照合パターン選択部と
を備えたデータ分析装置。
前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第1のトランザクション特定部と、
前記システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、前記2つ以上の事象が共起している確率である共起確率を算出し、前記第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、前記共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する照合パターン選択部と
を備えたデータ分析装置。
【請求項2】
前記第1のトランザクション特定部は、
前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定することを特徴とする請求項1記載のデータ分析装置。
前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定することを特徴とする請求項1記載のデータ分析装置。
【請求項3】
前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記照合パターン選択部により選択された照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔を推定する正常範囲推定部を備えたことを特徴とする請求項1記載のデータ分析装置。
【請求項4】
前記正常範囲推定部は、
前記照合パターン選択部により選択された照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔として、前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記照合パターンに含まれている2つ以上の事象間の発生間隔を算出することを特徴とする請求項3記載のデータ分析装置。
前記照合パターン選択部により選択された照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔として、前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記照合パターンに含まれている2つ以上の事象間の発生間隔を算出することを特徴とする請求項3記載のデータ分析装置。
【請求項5】
前記正常範囲推定部は、
前記照合パターン選択部により同じ照合パターンが複数選択された場合、前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔を算出し、前記正常な範囲の発生間隔として、前記複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔の統計量を算出することを特徴とする請求項3記載のデータ分析装置。
前記照合パターン選択部により同じ照合パターンが複数選択された場合、前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔を算出し、前記正常な範囲の発生間隔として、前記複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔の統計量を算出することを特徴とする請求項3記載のデータ分析装置。
【請求項6】
2つ以上の事象に対する重み付けの指定を受け付ける指定受付部を備え、
前記照合パターン選択部は、
前記第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、前記共起確率と前記指定受付部により指定が受け付けられた重み付けとに基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択することを特徴とする請求項1記載のデータ分析装置。
前記照合パターン選択部は、
前記第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、前記共起確率と前記指定受付部により指定が受け付けられた重み付けとに基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択することを特徴とする請求項1記載のデータ分析装置。
【請求項7】
前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象におけるそれぞれの発生時刻を示す第2の時系列データを取得する第2の時系列データ取得部と、
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第2のトランザクション特定部と、
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターン選択部により選択された照合パターンが含まれているか否かを判定する判定部と
を備えていることを特徴とする請求項1記載のデータ分析装置。
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第2のトランザクション特定部と、
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターン選択部により選択された照合パターンが含まれているか否かを判定する判定部と
を備えていることを特徴とする請求項1記載のデータ分析装置。
【請求項8】
前記第2のトランザクション特定部は、
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定することを特徴とする請求項7記載のデータ分析装置。
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定することを特徴とする請求項7記載のデータ分析装置。
【請求項9】
前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象におけるそれぞれの発生時刻を示す第2の時系列データを取得する第2の時系列データ取得部と、
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第2のトランザクション特定部と、
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターン選択部により選択された照合パターンが含まれているか否かを判定する判定部とを備え、
前記判定部は、
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターンに含まれている一方の事象のみが含まれており、前記照合パターンに含まれている他方の事象が、前記一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれているとき、前記一方の事象と前記他方の事象との間の発生間隔が、前記正常範囲推定部により推定された正常な範囲の発生間隔以内であれば、前記一方の事象と前記他方の事象とが同じトランザクションに含まれているとみなすことを特徴とする請求項3記載のデータ分析装置。
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第2のトランザクション特定部と、
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターン選択部により選択された照合パターンが含まれているか否かを判定する判定部とを備え、
前記判定部は、
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターンに含まれている一方の事象のみが含まれており、前記照合パターンに含まれている他方の事象が、前記一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれているとき、前記一方の事象と前記他方の事象との間の発生間隔が、前記正常範囲推定部により推定された正常な範囲の発生間隔以内であれば、前記一方の事象と前記他方の事象とが同じトランザクションに含まれているとみなすことを特徴とする請求項3記載のデータ分析装置。
【請求項10】
前記第2のトランザクション特定部は、
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定することを特徴とする請求項9記載のデータ分析装置。
前記第2の時系列データ取得部により取得された第2の時系列データが示す発生時刻に基づいて、前記システムの異常の判定が行われるに際して、前記システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定することを特徴とする請求項9記載のデータ分析装置。
【請求項11】
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターンに含まれている一方の事象のみが含まれており、前記照合パターンに含まれている他方の事象が、前記一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていれば、前記一方の事象と前記他方の事象との間の発生間隔が、前記正常範囲推定部により推定された正常な範囲の発生間隔以内であるか否かを示す情報を出力する情報出力部を備えたことを特徴とする請求項9記載のデータ分析装置。
【請求項12】
前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションのうち、前記照合パターン選択部により選択された照合パターンが含まれているトランザクションの中で、前記照合パターン以外の2つの事象間の発生間隔が、正常な範囲の発生間隔以内であるか否かを示す情報を出力する情報出力部を備えたことを特徴とする請求項9記載のデータ分析装置。
【請求項13】
前記判定部によって、前記一方の事象と前記他方の事象との間の発生間隔が、前記正常範囲推定部により推定された正常な範囲の発生間隔以内ではないと判定されれば、前記他方の事象が欠損している確信度を算出する確信度算出部を備えたことを特徴とする請求項9記載のデータ分析装置。
【請求項14】
前記判定部によって、前記第2のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中に、前記照合パターン選択部により選択された照合パターンが含まれていると判定されれば、前記照合パターンが含まれているトランザクションの中で、前記照合パターン以外の2つの事象間の発生間隔の正常度を算出する正常度算出部を備えたことを特徴とする請求項9記載のデータ分析装置。
【請求項15】
前記判定部によって、前記一方の事象と前記他方の事象との間の発生間隔が、前記正常範囲推定部により推定された正常な範囲の発生間隔以内であると判定されれば、前記一方の事象が含まれているトランザクションの中で前記一方の事象と異なる事象と、前記他方の事象が含まれているトランザクションの中で前記他方の事象と異なる事象との発生間隔の正常度を算出する正常度算出部を備えたことを特徴とする請求項9記載のデータ分析装置。
【請求項16】
前記第1の時系列データ取得部は、
前記第1の時系列データの代わりに、前記システムが正常であるときに、前記システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、前記システムに生じた時系列の事象のそれぞれを示す数値データを取得し、前記文字列データ、又は、前記数値データから、前記第1の時系列データを生成し、前記第1の時系列データを前記第1のトランザクション特定部に出力することを特徴とする請求項1記載のデータ分析装置。
前記第1の時系列データの代わりに、前記システムが正常であるときに、前記システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、前記システムに生じた時系列の事象のそれぞれを示す数値データを取得し、前記文字列データ、又は、前記数値データから、前記第1の時系列データを生成し、前記第1の時系列データを前記第1のトランザクション特定部に出力することを特徴とする請求項1記載のデータ分析装置。
【請求項17】
前記第2の時系列データ取得部は、
前記第2の時系列データの代わりに、前記システムの異常の判定が行われるに際して、前記システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、前記システムに生じた時系列の事象のそれぞれを示す数値データを取得し、前記文字列データ、又は、前記数値データから、前記第2の時系列データを生成し、前記第2の時系列データを前記第2のトランザクション特定部に出力することを特徴とする請求項7記載のデータ分析装置。
前記第2の時系列データの代わりに、前記システムの異常の判定が行われるに際して、前記システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、前記システムに生じた時系列の事象のそれぞれを示す数値データを取得し、前記文字列データ、又は、前記数値データから、前記第2の時系列データを生成し、前記第2の時系列データを前記第2のトランザクション特定部に出力することを特徴とする請求項7記載のデータ分析装置。
【請求項18】
第1の時系列データ取得部が、動作中に複数の事象が生じるシステムが正常であるときに、前記システムに生じた複数の事象におけるそれぞれの発生時刻を示す第1の時系列データを取得し、
第1のトランザクション特定部が、前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定し、
照合パターン選択部が、前記システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、前記2つ以上の事象が共起している確率である共起確率を算出し、前記第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、前記共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する
データ分析方法。
第1のトランザクション特定部が、前記第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、前記システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定し、
照合パターン選択部が、前記システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、前記2つ以上の事象が共起している確率である共起確率を算出し、前記第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、前記共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する
データ分析方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、データ分析装置及びデータ分析方法に関するものである。
【背景技術】
【0002】
動作中に複数の事象が生じるシステムが正常であるときに、システムに生じた複数の事象におけるそれぞれの発生時刻を示す時系列データに基づいて、同一の起源によって生じた可能性のある複数の事象の組み合わせを照合パターンとして特定するデータ分析装置がある。データ分析装置は、システムの異常の判定が行われるに際して、システムに生じた複数の事象の中に、照合パターンが含まれているか否かを判定する。
このようなデータ分析装置として、例えば、特許文献1には、ソート処理部と頻度処理部とを備える装置が開示されている。
当該ソート処理部は、時系列データが示す発生時刻に基づいて、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。複数の期間の長さは、同じ長さであり、それぞれの期間は、他の期間と重なっていない。当該頻度処理部は、ソート処理部により特定された複数のトランザクションの中で、共起関係の有るトランザクションの組を特定する。共起関係の有るトランザクションのそれぞれは、同一の起源によって生じた可能性のある複数の事象を含んでいる。
このようなデータ分析装置として、例えば、特許文献1には、ソート処理部と頻度処理部とを備える装置が開示されている。
当該ソート処理部は、時系列データが示す発生時刻に基づいて、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。複数の期間の長さは、同じ長さであり、それぞれの期間は、他の期間と重なっていない。当該頻度処理部は、ソート処理部により特定された複数のトランザクションの中で、共起関係の有るトランザクションの組を特定する。共起関係の有るトランザクションのそれぞれは、同一の起源によって生じた可能性のある複数の事象を含んでいる。
【先行技術文献】
【非特許文献】
【0003】
【特許文献1】特開平10-134086号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1に開示されている装置では、それぞれの事象の発生時刻とそれぞれの期間との関係によっては、ソート処理部が、同一の起源によって生じた可能性のある複数の事象の全てを含むトランザクションと、同一の起源によって生じた可能性のある複数の事象の一部のみを含むトランザクションとを特定することがある。このような2つのトランザクションの組は、頻度処理部によって、共起関係の有るトランザクションの組として特定されないという課題があった。頻度処理部が、共起関係の有るトランザクションの組を特定できなければ、同一の起源によって生じた可能性のある複数の事象の組み合わせが照合パターンとして特定されない。
【0005】
本開示は、上記のような課題を解決するためになされたもので、システムに生じた複数の事象の中で、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして特定することができるデータ分析装置を得ることを目的とする。
【課題を解決するための手段】
【0006】
本開示に係るデータ分析装置は、動作中に複数の事象が生じるシステムが正常であるときに、システムに生じた複数の事象におけるそれぞれの発生時刻を示す第1の時系列データを取得する第1の時系列データ取得部と、第1の時系列データ取得部により取得された第1の時系列データが示す発生時刻に基づいて、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第1のトランザクション特定部とを備えている。また、データ分析装置は、システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、2つ以上の事象が共起している確率である共起確率を算出し、第1のトランザクション特定部により特定されたそれぞれの期間のトランザクションの中から、共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する照合パターン選択部を備えている。
【発明の効果】
【0007】
本開示によれば、システムに生じた複数の事象の中で、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして特定することができる。
【図面の簡単な説明】
【0008】
【図1】実施の形態1に係るデータ分析装置1を示す構成図である。
【図2】実施の形態1に係るデータ分析装置1の照合パターン抽出部11を示す構成図である。
【図3】照合パターン抽出部11のハードウェアを示すハードウェア構成図である。
【図4】照合パターン抽出部11が、ソフトウェア又はファームウェア等によって実現される場合のコンピュータのハードウェア構成図である。
【図5】実施の形態1に係るデータ分析装置1の分析処理部12を示す構成図である。
【図6】分析処理部12のハードウェアを示すハードウェア構成図である。
【図7】分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合のコンピュータのハードウェア構成図である。
【図8】照合パターン抽出部11の処理内容を示すフローチャートである。
【図9】第1のトランザクション特定部22により特定されるトランザクションの一例を示す説明図である。
【図11】分析処理部12の処理内容を示すフローチャートである。
【図12】第2のトランザクション特定部52により特定されるトランザクションの一例を示す説明図である。
【図13】完全パターン発生情報及び不完全パターン発生情報のそれぞれを示す説明図である。
【図14】修正後の完全パターン発生情報及び修正後の不完全パターン発生情報のそれぞれを示す説明図である。
【図15】実施の形態2に係るデータ分析装置1の照合パターン抽出部11を示す構成図である。
【図16】照合パターン抽出部11のハードウェアを示すハードウェア構成図である。
【図17】実施の形態3に係るデータ分析装置1の分析処理部12を示す構成図である。
【図18】分析処理部12のハードウェアを示すハードウェア構成図である。
【図19】実施の形態4に係るデータ分析装置1の分析処理部12を示す構成図である。
【図20】分析処理部12のハードウェアを示すハードウェア構成図である。
【図21】実施の形態5に係るデータ分析装置1の分析処理部12を示す構成図である。
【図22】分析処理部12のハードウェアを示すハードウェア構成図である。
【発明を実施するための形態】
【0009】
以下、本開示をより詳細に説明するために、本開示を実施するための形態について、添付の図面に従って説明する。
【0010】
実施の形態1.
図1は、実施の形態1に係るデータ分析装置1を示す構成図である。
図1に示すデータ分析装置1は、照合パターン抽出部11及び分析処理部12を備えている。
データ分析装置1は、動作中に複数の事象が生じるシステムが正常であるときに、同一の起源によって生じた可能性のある複数の事象の組み合わせを照合パターンとして特定するための装置である。
また、データ分析装置1は、システムの異常の判定が行われるに際して、システムに生じた複数の事象の中に、照合パターンが含まれているか否かを判定するための装置である。
当該システムは、動作中に複数の事象が生じるものであれば、どのようなシステムでもよい。
ここでは、説明の便宜上、当該システムが、情報の受信、又は、情報の送信等を行う情報システムであるとして説明する。
図1は、実施の形態1に係るデータ分析装置1を示す構成図である。
図1に示すデータ分析装置1は、照合パターン抽出部11及び分析処理部12を備えている。
データ分析装置1は、動作中に複数の事象が生じるシステムが正常であるときに、同一の起源によって生じた可能性のある複数の事象の組み合わせを照合パターンとして特定するための装置である。
また、データ分析装置1は、システムの異常の判定が行われるに際して、システムに生じた複数の事象の中に、照合パターンが含まれているか否かを判定するための装置である。
当該システムは、動作中に複数の事象が生じるものであれば、どのようなシステムでもよい。
ここでは、説明の便宜上、当該システムが、情報の受信、又は、情報の送信等を行う情報システムであるとして説明する。
【0011】
照合パターン抽出部11には、情報システムが正常であるときに、外部から、学習用データが与えられる。学習用データは、情報システムが正常であるときに、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
分析処理部12には、システムの異常の判定が行われるに際して、外部から、推論用データが与えられる。推論用データは、例えば、図示せぬ外部装置によって、情報システムの異常の判定が行われるに際して、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
分析処理部12には、システムの異常の判定が行われるに際して、外部から、推論用データが与えられる。推論用データは、例えば、図示せぬ外部装置によって、情報システムの異常の判定が行われるに際して、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
【0012】
照合パターン抽出部11は、学習用データに基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせである照合パターンを生成し、照合パターンを照合パターン記憶部2に記憶させる。
分析処理部12は、推論用データから時系列データを生成し、時系列データと照合パターン記憶部2に記憶されている照合パターンとを照合することによって、時系列データの中に、照合パターンが含まれているか否かを判定する。
分析処理部12は、照合パターンが含まれているか否かを示すパターン発生情報を、例えば、図示せぬ外部装置に出力する。
分析処理部12は、推論用データから時系列データを生成し、時系列データと照合パターン記憶部2に記憶されている照合パターンとを照合することによって、時系列データの中に、照合パターンが含まれているか否かを判定する。
分析処理部12は、照合パターンが含まれているか否かを示すパターン発生情報を、例えば、図示せぬ外部装置に出力する。
【0013】
照合パターン記憶部2は、データ分析装置1から出力された照合パターンを記憶する記憶媒体である。
図1では、照合パターン記憶部2がデータ分析装置1の外部に設けられている。しかし、これは一例に過ぎず、照合パターン記憶部2がデータ分析装置1の内部に設けられているものであってもよい。
図1では、照合パターン記憶部2がデータ分析装置1の外部に設けられている。しかし、これは一例に過ぎず、照合パターン記憶部2がデータ分析装置1の内部に設けられているものであってもよい。
【0014】
図2は、実施の形態1に係るデータ分析装置1の照合パターン抽出部11を示す構成図である。
図3は、照合パターン抽出部11のハードウェアを示すハードウェア構成図である。
図2に示す照合パターン抽出部11は、第1の時系列データ取得部21、第1のトランザクション特定部22、照合パターン選択部23及び正常範囲推定部24を備えている。
図3は、照合パターン抽出部11のハードウェアを示すハードウェア構成図である。
図2に示す照合パターン抽出部11は、第1の時系列データ取得部21、第1のトランザクション特定部22、照合パターン選択部23及び正常範囲推定部24を備えている。
【0015】
第1の時系列データ取得部21は、例えば、図3に示す時系列データ取得回路31によって実現される。
第1の時系列データ取得部21は、外部から学習用データが与えられる。
第1の時系列データ取得部21は、学習用データから、情報システムに生じた複数の事象におけるそれぞれの発生時刻を示す第1の時系列データを生成する。
第1の時系列データ取得部21は、第1の時系列データを第1のトランザクション特定部22及び正常範囲推定部24のそれぞれに出力する。
図2に示す照合パターン抽出部11では、外部から学習用データが第1の時系列データ取得部21に与えられている。しかし、これは一例に過ぎず、外部から第1の時系列データが第1の時系列データ取得部21に与えられるものであってもよい。
第1の時系列データ取得部21は、外部から学習用データが与えられる。
第1の時系列データ取得部21は、学習用データから、情報システムに生じた複数の事象におけるそれぞれの発生時刻を示す第1の時系列データを生成する。
第1の時系列データ取得部21は、第1の時系列データを第1のトランザクション特定部22及び正常範囲推定部24のそれぞれに出力する。
図2に示す照合パターン抽出部11では、外部から学習用データが第1の時系列データ取得部21に与えられている。しかし、これは一例に過ぎず、外部から第1の時系列データが第1の時系列データ取得部21に与えられるものであってもよい。
【0016】
第1のトランザクション特定部22は、例えば、図3に示すトランザクション特定回路32によって実現される。
第1のトランザクション特定部22は、第1の時系列データ取得部21から、第1の時系列データを取得する。
第1のトランザクション特定部22は、第1の時系列データが示す発生時刻に基づいて、情報システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
具体的には、第1のトランザクション特定部22は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
第1のトランザクション特定部22は、それぞれの期間のトランザクションを照合パターン選択部23に出力する。
図2に示す照合パターン抽出部11では、第1のトランザクション特定部22が、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定している。しかし、これは一例に過ぎず、第1のトランザクション特定部22は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっていない複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定するようにしてもよい。
第1のトランザクション特定部22は、第1の時系列データ取得部21から、第1の時系列データを取得する。
第1のトランザクション特定部22は、第1の時系列データが示す発生時刻に基づいて、情報システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
具体的には、第1のトランザクション特定部22は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
第1のトランザクション特定部22は、それぞれの期間のトランザクションを照合パターン選択部23に出力する。
図2に示す照合パターン抽出部11では、第1のトランザクション特定部22が、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定している。しかし、これは一例に過ぎず、第1のトランザクション特定部22は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっていない複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定するようにしてもよい。
【0017】
照合パターン選択部23は、例えば、図3に示す照合パターン選択回路33によって実現される。
照合パターン選択部23は、第1のトランザクション特定部22から、それぞれの期間のトランザクションを取得する。
照合パターン選択部23は、情報システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、2つ以上の事象が共起している確率である共起確率を算出する。
照合パターン選択部23は、第1のトランザクション特定部22により特定されたそれぞれの期間のトランザクションの中から、共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する。
照合パターン選択部23は、選択した1つ以上の照合パターンのそれぞれを正常範囲推定部24に出力する。
照合パターン選択部23は、第1のトランザクション特定部22から、それぞれの期間のトランザクションを取得する。
照合パターン選択部23は、情報システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、2つ以上の事象が共起している確率である共起確率を算出する。
照合パターン選択部23は、第1のトランザクション特定部22により特定されたそれぞれの期間のトランザクションの中から、共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する。
照合パターン選択部23は、選択した1つ以上の照合パターンのそれぞれを正常範囲推定部24に出力する。
【0018】
正常範囲推定部24は、例えば、図3に示す正常範囲推定回路34によって実現される。
正常範囲推定部24は、第1の時系列データ取得部21から、第1の時系列データを取得し、照合パターン選択部23から、それぞれの照合パターンを取得する。
正常範囲推定部24は、第1の時系列データに基づいて、それぞれの照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔を推定する。
正常範囲推定部24は、正常な範囲の発生間隔を示す時間情報付きの照合パターンを照合パターン記憶部2に記憶させる。
正常範囲推定部24は、第1の時系列データ取得部21から、第1の時系列データを取得し、照合パターン選択部23から、それぞれの照合パターンを取得する。
正常範囲推定部24は、第1の時系列データに基づいて、それぞれの照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔を推定する。
正常範囲推定部24は、正常な範囲の発生間隔を示す時間情報付きの照合パターンを照合パターン記憶部2に記憶させる。
【0019】
具体的には、正常範囲推定部24は、照合パターン選択部23により同じ照合パターンが複数選択されていない場合、照合パターン選択部23により選択された照合パターン毎に、当該照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔として、第1の時系列データが示す発生時刻に基づいて、照合パターンに含まれている2つ以上の事象間の発生間隔を算出する。
正常範囲推定部24は、照合パターン選択部23により同じ照合パターンが複数選択された場合、第1の時系列データが示す発生時刻に基づいて、複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔を算出する。そして、正常範囲推定部24は、正常な範囲の発生間隔として、複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔の統計量を算出する。
図2に示す照合パターン抽出部11では、正常範囲推定部24が、照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔として、第1の時系列データが示す発生時刻に基づいて、照合パターンに含まれている2つ以上の事象間の発生間隔を算出している。しかし、これは一例に過ぎず、正常範囲推定部24は、第1の時系列データに含まれている複数の事象の中から、共起関係のある2つ以上の事象のうちの1つの事象を探索する。そして、正常範囲推定部24は、第1の時系列データに含まれている複数の事象のうち、探索した1つの事象の周辺に存在している複数の事象の中から、共起関係のある2つ以上の事象の残りの事象を探索する。そして、正常範囲推定部24は、第1の時系列データが示す発生時刻に基づいて、これらの探索した2つ以上の事象間の発生間隔を算出するようにしてもよい。
正常範囲推定部24は、照合パターン選択部23により同じ照合パターンが複数選択された場合、第1の時系列データが示す発生時刻に基づいて、複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔を算出する。そして、正常範囲推定部24は、正常な範囲の発生間隔として、複数選択された照合パターンのそれぞれに含まれている2つ以上の事象間の発生間隔の統計量を算出する。
図2に示す照合パターン抽出部11では、正常範囲推定部24が、照合パターンに含まれている2つ以上の事象間の正常な範囲の発生間隔として、第1の時系列データが示す発生時刻に基づいて、照合パターンに含まれている2つ以上の事象間の発生間隔を算出している。しかし、これは一例に過ぎず、正常範囲推定部24は、第1の時系列データに含まれている複数の事象の中から、共起関係のある2つ以上の事象のうちの1つの事象を探索する。そして、正常範囲推定部24は、第1の時系列データに含まれている複数の事象のうち、探索した1つの事象の周辺に存在している複数の事象の中から、共起関係のある2つ以上の事象の残りの事象を探索する。そして、正常範囲推定部24は、第1の時系列データが示す発生時刻に基づいて、これらの探索した2つ以上の事象間の発生間隔を算出するようにしてもよい。
【0020】
図2では、照合パターン抽出部11の構成要素である第1の時系列データ取得部21、第1のトランザクション特定部22、照合パターン選択部23及び正常範囲推定部24のそれぞれが、図3に示すような専用のハードウェアによって実現されるものを想定している。即ち、照合パターン抽出部11が、時系列データ取得回路31、トランザクション特定回路32、照合パターン選択回路33及び正常範囲推定回路34によって実現されるものを想定している。
時系列データ取得回路31、トランザクション特定回路32、照合パターン選択回路33及び正常範囲推定回路34のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、又は、これらを組み合わせたものが該当する。
時系列データ取得回路31、トランザクション特定回路32、照合パターン選択回路33及び正常範囲推定回路34のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC(Application Specific Integrated Circuit)、FPGA(Field-Programmable Gate Array)、又は、これらを組み合わせたものが該当する。
【0021】
照合パターン抽出部11の構成要素は、専用のハードウェアによって実現されるものに限るものではなく、照合パターン抽出部11が、ソフトウェア、ファームウェア、又は、ソフトウェアとファームウェアとの組み合わせによって実現されるものであってもよい。
ソフトウェア又はファームウェアは、プログラムとして、コンピュータのメモリに格納される。コンピュータは、プログラムを実行するハードウェアを意味し、例えば、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサ、あるいは、DSP(Digital Signal Processor)が該当する。
ソフトウェア又はファームウェアは、プログラムとして、コンピュータのメモリに格納される。コンピュータは、プログラムを実行するハードウェアを意味し、例えば、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサ、あるいは、DSP(Digital Signal Processor)が該当する。
【0022】
図4は、照合パターン抽出部11が、ソフトウェア又はファームウェア等によって実現される場合のコンピュータのハードウェア構成図である。
照合パターン抽出部11が、ソフトウェア又はファームウェア等によって実現される場合、第1の時系列データ取得部21、第1のトランザクション特定部22、照合パターン選択部23及び正常範囲推定部24におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムがメモリ41に格納される。そして、コンピュータのプロセッサ42がメモリ41に格納されているプログラムを実行する。
照合パターン抽出部11が、ソフトウェア又はファームウェア等によって実現される場合、第1の時系列データ取得部21、第1のトランザクション特定部22、照合パターン選択部23及び正常範囲推定部24におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムがメモリ41に格納される。そして、コンピュータのプロセッサ42がメモリ41に格納されているプログラムを実行する。
【0023】
また、図3では、照合パターン抽出部11の構成要素のそれぞれが専用のハードウェアによって実現される例を示し、図4では、照合パターン抽出部11がソフトウェア又はファームウェア等によって実現される例を示している。しかし、これは一例に過ぎず、照合パターン抽出部11における一部の構成要素が専用のハードウェアによって実現され、残りの構成要素がソフトウェア又はファームウェア等によって実現されるものであってもよい。
【0024】
図5は、実施の形態1に係るデータ分析装置1の分析処理部12を示す構成図である。
図6は、分析処理部12のハードウェアを示すハードウェア構成図である。
図5に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52及び判定部53を備えている。
図6は、分析処理部12のハードウェアを示すハードウェア構成図である。
図5に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52及び判定部53を備えている。
【0025】
第2の時系列データ取得部51は、例えば、図6に示す時系列データ取得回路61によって実現される。
第2の時系列データ取得部51は、例えば、外部装置によって、情報システムの異常の判定が行われるに際して、外部から推論用データが与えられる。
第2の時系列データ取得部51は、推論用データから、情報システムに生じた複数の事象におけるそれぞれの発生時刻を示す第2の時系列データを生成する。
第2の時系列データ取得部51は、第2の時系列データを第2のトランザクション特定部52に出力する。
図5に示す分析処理部12では、外部から推論用データが第2の時系列データ取得部51に与えられている。しかし、これは一例に過ぎず、外部から第2の時系列データが第2の時系列データ取得部51に与えられるものであってもよい。
第2の時系列データ取得部51は、例えば、外部装置によって、情報システムの異常の判定が行われるに際して、外部から推論用データが与えられる。
第2の時系列データ取得部51は、推論用データから、情報システムに生じた複数の事象におけるそれぞれの発生時刻を示す第2の時系列データを生成する。
第2の時系列データ取得部51は、第2の時系列データを第2のトランザクション特定部52に出力する。
図5に示す分析処理部12では、外部から推論用データが第2の時系列データ取得部51に与えられている。しかし、これは一例に過ぎず、外部から第2の時系列データが第2の時系列データ取得部51に与えられるものであってもよい。
【0026】
第2のトランザクション特定部52は、例えば、図6に示すトランザクション特定回路62によって実現される。
第2のトランザクション特定部52は、第2の時系列データ取得部51から、第2の時系列データを取得する。
第2のトランザクション特定部52は、第2の時系列データが示す発生時刻に基づいて、情報システムの異常の判定が行われるに際して、情報システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
具体的には、第2のトランザクション特定部52は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
第2のトランザクション特定部52は、それぞれの期間のトランザクションを判定部53に出力する。
図5に示す分析処理部12では、第2のトランザクション特定部52が、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定している。しかし、これは一例に過ぎず、第2のトランザクション特定部52は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっていない複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定するようにしてもよい。
第2のトランザクション特定部52は、第2の時系列データ取得部51から、第2の時系列データを取得する。
第2のトランザクション特定部52は、第2の時系列データが示す発生時刻に基づいて、情報システムの異常の判定が行われるに際して、情報システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
具体的には、第2のトランザクション特定部52は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する。
第2のトランザクション特定部52は、それぞれの期間のトランザクションを判定部53に出力する。
図5に示す分析処理部12では、第2のトランザクション特定部52が、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定している。しかし、これは一例に過ぎず、第2のトランザクション特定部52は、情報システムに生じた複数の事象の中で、互いに異なる複数の期間であって、他の期間と一部が重なっていない複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定するようにしてもよい。
【0027】
判定部53は、例えば、図6に示す判定回路63によって実現される。
判定部53は、第2のトランザクション特定部52から、それぞれの期間のトランザクションを取得し、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
判定部53は、それぞれの期間のトランザクションの中に、それぞれの照合パターンが含まれているか否かを判定する。
また、判定部53は、それぞれの期間のトランザクションの中に、いずれかの照合パターンに含まれている一方の事象のみが含まれているか否かを判定する。判定部53は、一方の事象のみが含まれていれば、一方の事象を含んでいる照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
判定部53は、一方の事象が含まれているトランザクションと異なる期間のトランザクションに他方の事象が含まれていれば、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であれば、一方の事象と他方の事象とが同じトランザクションに含まれているとみなす。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔よりも長ければ、他方の事象が欠損していると判定する。
判定部53は、第2のトランザクション特定部52から、それぞれの期間のトランザクションを取得し、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
判定部53は、それぞれの期間のトランザクションの中に、それぞれの照合パターンが含まれているか否かを判定する。
また、判定部53は、それぞれの期間のトランザクションの中に、いずれかの照合パターンに含まれている一方の事象のみが含まれているか否かを判定する。判定部53は、一方の事象のみが含まれていれば、一方の事象を含んでいる照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
判定部53は、一方の事象が含まれているトランザクションと異なる期間のトランザクションに他方の事象が含まれていれば、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であれば、一方の事象と他方の事象とが同じトランザクションに含まれているとみなす。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔よりも長ければ、他方の事象が欠損していると判定する。
【0028】
図5では、分析処理部12の構成要素である第2の時系列データ取得部51、第2のトランザクション特定部52及び判定部53のそれぞれが、図6に示すような専用のハードウェアによって実現されるものを想定している。即ち、分析処理部12が、時系列データ取得回路61、トランザクション特定回路62及び判定回路63によって実現されるものを想定している。
時系列データ取得回路61、トランザクション特定回路62及び判定回路63のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
時系列データ取得回路61、トランザクション特定回路62及び判定回路63のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
【0029】
分析処理部12の構成要素は、専用のハードウェアによって実現されるものに限るものではなく、分析処理部12が、ソフトウェア、ファームウェア、又は、ソフトウェアとファームウェアとの組み合わせによって実現されるものであってもよい。
図7は、分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合のコンピュータのハードウェア構成図である。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52及び判定部53におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムがメモリ71に格納される。そして、コンピュータのプロセッサ72がメモリ71に格納されているプログラムを実行する。
図7は、分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合のコンピュータのハードウェア構成図である。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52及び判定部53におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムがメモリ71に格納される。そして、コンピュータのプロセッサ72がメモリ71に格納されているプログラムを実行する。
【0030】
また、図6では、分析処理部12の構成要素のそれぞれが専用のハードウェアによって実現される例を示し、図7では、分析処理部12がソフトウェア又はファームウェア等によって実現される例を示している。しかし、これは一例に過ぎず、分析処理部12における一部の構成要素が専用のハードウェアによって実現され、残りの構成要素がソフトウェア又はファームウェア等によって実現されるものであってもよい。
【0031】
次に、図1に示すデータ分析装置1の動作について説明する。
最初に、照合パターン抽出部11の動作について説明する。
照合パターン抽出部11は、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせである照合パターンを生成するものである。以下では、説明の簡単化のため、照合パターン抽出部11が、同一の起源によって生じた可能性のある2つの事象の組み合わせである照合パターンを生成する例を説明する。
図8は、照合パターン抽出部11の処理内容を示すフローチャートである。
照合パターン抽出部11の第1の時系列データ取得部21には、外部から学習用データが与えられる。
学習用データは、情報システムが正常であるときに、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
最初に、照合パターン抽出部11の動作について説明する。
照合パターン抽出部11は、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせである照合パターンを生成するものである。以下では、説明の簡単化のため、照合パターン抽出部11が、同一の起源によって生じた可能性のある2つの事象の組み合わせである照合パターンを生成する例を説明する。
図8は、照合パターン抽出部11の処理内容を示すフローチャートである。
照合パターン抽出部11の第1の時系列データ取得部21には、外部から学習用データが与えられる。
学習用データは、情報システムが正常であるときに、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
【0032】
このような文字列データとしては、例えば、以下に示すようなデータがある。
<文字列データ>
発生時刻 文字列データ
Oct 10 0:00:00 received from xxx
Oct 10 0:00:01 error
Oct 10 0:00:02 sent to abc
Oct 10 0:00:03 connected to z
Oct 10 0:00:04 received from yyy
Oct 10 0:00:05 sent to abd
Oct 10 0:00:06 resent to qqq
Oct 10 0:00:07 error
Oct 10 0:00:08 connected to z
<文字列データ>
発生時刻 文字列データ
Oct 10 0:00:00 received from xxx
Oct 10 0:00:01 error
Oct 10 0:00:02 sent to abc
Oct 10 0:00:03 connected to z
Oct 10 0:00:04 received from yyy
Oct 10 0:00:05 sent to abd
Oct 10 0:00:06 resent to qqq
Oct 10 0:00:07 error
Oct 10 0:00:08 connected to z
【0033】
このような数値データとしては、例えば、以下に示すようなデータがある。
<数値データ>
発生時刻 数値データ
Oct 10 0:00:00 12345 67
Oct 10 0:00:01 678
Oct 10 0:00:02 98765 74
Oct 10 0:00:03 13579 53
Oct 10 0:00:04 12345 18
Oct 10 0:00:05 98765 79
Oct 10 0:00:06 2468 62
Oct 10 0:00:07 678
Oct 10 0:00:08 13579 31
<数値データ>
発生時刻 数値データ
Oct 10 0:00:00 12345 67
Oct 10 0:00:01 678
Oct 10 0:00:02 98765 74
Oct 10 0:00:03 13579 53
Oct 10 0:00:04 12345 18
Oct 10 0:00:05 98765 79
Oct 10 0:00:06 2468 62
Oct 10 0:00:07 678
Oct 10 0:00:08 13579 31
【0034】
例えば、第1の時系列データ取得部21の内部メモリには、以下に示すように、事象と文字列データとの対応関係を示す対応表Aが記憶されている。以下の<*>は、任意の文字列である。
<対応表A>
事象 文字列データ
L1 ⇔ connected to <*>
L2 ⇔ error
L3 ⇔ received from <*>
L4 ⇔ resent to <*>
L5 ⇔ sent to <*>
L6 ⇔ sum <*>
<対応表A>
事象 文字列データ
L1 ⇔ connected to <*>
L2 ⇔ error
L3 ⇔ received from <*>
L4 ⇔ resent to <*>
L5 ⇔ sent to <*>
L6 ⇔ sum <*>
【0035】
また、例えば、第1の時系列データ取得部21の内部メモリには、以下に示すように、事象と数値データとの対応関係を示す対応表Bが記憶されている。以下の<*>は、任意の数値である。
<対応表B>
事象 数値データ
L1 ⇔ 13579 <*>
L2 ⇔ 678
L3 ⇔ 12345 <*>
L4 ⇔ 2468 <*>
L5 ⇔ 98765 <*>
L6 ⇔ 723 <*>
<対応表B>
事象 数値データ
L1 ⇔ 13579 <*>
L2 ⇔ 678
L3 ⇔ 12345 <*>
L4 ⇔ 2468 <*>
L5 ⇔ 98765 <*>
L6 ⇔ 723 <*>
【0036】
第1の時系列データ取得部21は、学習用データが、上記のような文字列データであれば、対応表Aを参照して、文字列データから、以下に示すような第1の時系列データを生成する(図8のステップST1)。
第1の時系列データ取得部21は、学習用データが、上記のような数値データであれば、対応表Bを参照して、数値データから、以下に示すような第1の時系列データを生成する(図8のステップST1)。
第1の時系列データ取得部21は、第1の時系列データを第1のトランザクション特定部22及び正常範囲推定部24のそれぞれに出力する。
第1の時系列データ取得部21は、学習用データが、上記のような数値データであれば、対応表Bを参照して、数値データから、以下に示すような第1の時系列データを生成する(図8のステップST1)。
第1の時系列データ取得部21は、第1の時系列データを第1のトランザクション特定部22及び正常範囲推定部24のそれぞれに出力する。
【0037】
<第1の時系列データ>
発生時刻 事象
Oct 10 0:00:00 L3
Oct 10 0:00:01 L2
Oct 10 0:00:02 L5
Oct 10 0:00:03 L1
Oct 10 0:00:04 L3
Oct 10 0:00:05 L5
Oct 10 0:00:06 L4
Oct 10 0:00:07 L2
Oct 10 0:00:08 L1
発生時刻 事象
Oct 10 0:00:00 L3
Oct 10 0:00:01 L2
Oct 10 0:00:02 L5
Oct 10 0:00:03 L1
Oct 10 0:00:04 L3
Oct 10 0:00:05 L5
Oct 10 0:00:06 L4
Oct 10 0:00:07 L2
Oct 10 0:00:08 L1
【0038】
図2に示す照合パターン抽出部11では、第1の時系列データ取得部21が、対応表を参照して、学習用データから第1の時系列データを生成している。しかし、これは一例に過ぎず、第1の時系列データ取得部21が、学習用データと第1の時系列データとの対応関係を学習している学習モデルに対して学習用データを与えて、学習モデルから、第1の時系列データを取得するものであってもよい。
【0039】
第1のトランザクション特定部22は、第1の時系列データ取得部21から、第1の時系列データを取得する。
第1のトランザクション特定部22は、第1の時系列データに対するスライディングウィンドウ処理を実施することによって、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間におけるそれぞれのトランザクションを特定する。
即ち、第1のトランザクション特定部22は、第1の時系列データが示すそれぞれの事象の発生時刻に基づいて、例えば、図9に示すように、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する(図8のステップST2)。
それぞれの期間に含まれている1つ以上の事象の中に、同じ事象が重複していれば、重複が除かれている事象がトランザクションとして特定される。しかし、これは一例に過ぎず、同じ事象が重複していても、重複が除かれていなくてもよい。
第1のトランザクション特定部22は、それぞれの期間のトランザクションを照合パターン選択部23に出力する。
第1のトランザクション特定部22は、第1の時系列データに対するスライディングウィンドウ処理を実施することによって、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間におけるそれぞれのトランザクションを特定する。
即ち、第1のトランザクション特定部22は、第1の時系列データが示すそれぞれの事象の発生時刻に基づいて、例えば、図9に示すように、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する(図8のステップST2)。
それぞれの期間に含まれている1つ以上の事象の中に、同じ事象が重複していれば、重複が除かれている事象がトランザクションとして特定される。しかし、これは一例に過ぎず、同じ事象が重複していても、重複が除かれていなくてもよい。
第1のトランザクション特定部22は、それぞれの期間のトランザクションを照合パターン選択部23に出力する。
【0040】
図9は、第1のトランザクション特定部22により特定されるトランザクションの一例を示す説明図である。
それぞれの期間の長さは、スライディングウィンドウ処理における任意のウィンドウ幅以内の長さである。ウィンドウ幅は、例えば、第1のトランザクション特定部22の内部メモリに格納されていてもよいし、外部から第1のトランザクション特定部22に与えられるものであってもよい。
例えば、ウィンドウ幅が“5”であれば、それぞれの期間の長さは、最大で“05”秒であり、図9の例では、全ての事象の発生間隔が1秒間隔であるため、それぞれの期間の長さが、“05”秒である。
具体的には、1つ目の期間は、“Oct 10 0:00:00”~“Oct 10 0:00:04”、2つ目の期間は、“Oct 10 0:00:01”~“Oct 10 0:00:05”、3つ目の期間は、“Oct 10 0:00:02”~“Oct 10 0:00:06”である。
また、4つ目の期間は、“Oct 10 0:00:03”~“Oct 10 0:00:07”、5つ目の期間は、“Oct 10 0:00:04”~“Oct 10 0:00:08”である。
図9の例では、全ての事象の発生間隔が1秒間隔であって、全ての事象の発生間隔が均一である。しかし、これは一例に過ぎず、事象の発生間隔が不均一であってもよい。
例えば、最後に生じている事象L1の発生時刻が、“Oct 10 0:00:08”ではなく、“Oct 10 0:00:09”である場合、5つ目の期間が、“Oct 10 0:00:04”~“Oct 10 0:00:09”であるとすれば、5つ目の期間の長さが“06”秒になり、5つ目の期間の長さがウィンドウ幅以内でなくなる。このため、5つ目の期間は、“Oct 10 0:00:04”~“Oct 10 0:00:07”になる。
それぞれの期間の長さは、スライディングウィンドウ処理における任意のウィンドウ幅以内の長さである。ウィンドウ幅は、例えば、第1のトランザクション特定部22の内部メモリに格納されていてもよいし、外部から第1のトランザクション特定部22に与えられるものであってもよい。
例えば、ウィンドウ幅が“5”であれば、それぞれの期間の長さは、最大で“05”秒であり、図9の例では、全ての事象の発生間隔が1秒間隔であるため、それぞれの期間の長さが、“05”秒である。
具体的には、1つ目の期間は、“Oct 10 0:00:00”~“Oct 10 0:00:04”、2つ目の期間は、“Oct 10 0:00:01”~“Oct 10 0:00:05”、3つ目の期間は、“Oct 10 0:00:02”~“Oct 10 0:00:06”である。
また、4つ目の期間は、“Oct 10 0:00:03”~“Oct 10 0:00:07”、5つ目の期間は、“Oct 10 0:00:04”~“Oct 10 0:00:08”である。
図9の例では、全ての事象の発生間隔が1秒間隔であって、全ての事象の発生間隔が均一である。しかし、これは一例に過ぎず、事象の発生間隔が不均一であってもよい。
例えば、最後に生じている事象L1の発生時刻が、“Oct 10 0:00:08”ではなく、“Oct 10 0:00:09”である場合、5つ目の期間が、“Oct 10 0:00:04”~“Oct 10 0:00:09”であるとすれば、5つ目の期間の長さが“06”秒になり、5つ目の期間の長さがウィンドウ幅以内でなくなる。このため、5つ目の期間は、“Oct 10 0:00:04”~“Oct 10 0:00:07”になる。
【0041】
1つ目の期間には、{L3,L2,L5,L1,L3}の事象が発生している。1つ目の期間では、事象L3が重複しているので、第1のトランザクション特定部22は、事象L3の重複を解消し、1つ目の期間のトランザクションとして、{L3,L2,L5,L1}の事象の集まりを特定する。
2つ目の期間には、{L2,L5,L1,L3,L5}の事象が発生している。2つ目の期間では、事象L5が重複しているので、第1のトランザクション特定部22は、事象L5の重複を解消し、2つ目の期間のトランザクションとして、{L2,L5,L1,L3}の事象の集まりを特定する。
3つ目の期間には、{L5,L1,L3,L5,L4}の事象が発生している。3つ目の期間では、事象L5が重複しているので、第1のトランザクション特定部22は、事象L5の重複を解消し、3つ目の期間のトランザクションとして、{L5,L1,L3,L4}の事象の集まりを特定する。
4つ目の期間には、{L1,L3,L5,L4,L2}の事象が発生している。4つ目の期間では、重複している事象がない。このため、第1のトランザクション特定部22は、4つ目の期間のトランザクションとして、{L1,L3,L5,L4,L2}の事象の集まりを特定する。
5つ目の期間には、{L3,L5,L4,L2,L1}の事象が発生している。5つ目の期間では、重複している事象がない。このため、第1のトランザクション特定部22は、5つ目の期間のトランザクションとして、{L3,L5,L4,L2,L1}の事象の集まりを特定する。
2つ目の期間には、{L2,L5,L1,L3,L5}の事象が発生している。2つ目の期間では、事象L5が重複しているので、第1のトランザクション特定部22は、事象L5の重複を解消し、2つ目の期間のトランザクションとして、{L2,L5,L1,L3}の事象の集まりを特定する。
3つ目の期間には、{L5,L1,L3,L5,L4}の事象が発生している。3つ目の期間では、事象L5が重複しているので、第1のトランザクション特定部22は、事象L5の重複を解消し、3つ目の期間のトランザクションとして、{L5,L1,L3,L4}の事象の集まりを特定する。
4つ目の期間には、{L1,L3,L5,L4,L2}の事象が発生している。4つ目の期間では、重複している事象がない。このため、第1のトランザクション特定部22は、4つ目の期間のトランザクションとして、{L1,L3,L5,L4,L2}の事象の集まりを特定する。
5つ目の期間には、{L3,L5,L4,L2,L1}の事象が発生している。5つ目の期間では、重複している事象がない。このため、第1のトランザクション特定部22は、5つ目の期間のトランザクションとして、{L3,L5,L4,L2,L1}の事象の集まりを特定する。
【0042】
照合パターン選択部23は、第1のトランザクション特定部22から、それぞれの期間のトランザクションを取得する。
照合パターン選択部23は、いずれかのトランザクションに含まれている複数の事象の中の、2つの事象の組み合わせ毎に、2つの事象の共起確率を算出する。
具体的には、照合パターン選択部23は、事象L1,L2の順番で生じるときの事象L1と事象L2との共起確率を算出し、事象L2,L1の順番で生じるときの事象L2と事象L1との共起確率を算出する。
照合パターン選択部23は、事象L1,L3の順番で生じるときの事象L1と事象L3との共起確率を算出し、事象L3,L1の順番で生じるときの事象L3と事象L1との共起確率を算出する。
照合パターン選択部23は、事象L1,L4の順番で生じるときの事象L1と事象L4との共起確率を算出し、事象L4,L1の順番で生じるときの事象L4と事象L1との共起確率を算出する。
照合パターン選択部23は、事象L1,L5の順番で生じるときの事象L1と事象L5との共起確率を算出し、事象L5,L1の順番で生じるときの事象L5と事象L1との共起確率を算出する。
照合パターン選択部23は、いずれかのトランザクションに含まれている複数の事象の中の、2つの事象の組み合わせ毎に、2つの事象の共起確率を算出する。
具体的には、照合パターン選択部23は、事象L1,L2の順番で生じるときの事象L1と事象L2との共起確率を算出し、事象L2,L1の順番で生じるときの事象L2と事象L1との共起確率を算出する。
照合パターン選択部23は、事象L1,L3の順番で生じるときの事象L1と事象L3との共起確率を算出し、事象L3,L1の順番で生じるときの事象L3と事象L1との共起確率を算出する。
照合パターン選択部23は、事象L1,L4の順番で生じるときの事象L1と事象L4との共起確率を算出し、事象L4,L1の順番で生じるときの事象L4と事象L1との共起確率を算出する。
照合パターン選択部23は、事象L1,L5の順番で生じるときの事象L1と事象L5との共起確率を算出し、事象L5,L1の順番で生じるときの事象L5と事象L1との共起確率を算出する。
【0043】
また、照合パターン選択部23は、事象L2,L4の順番で生じるときの事象L2と事象L4との共起確率を算出し、事象L4,L2の順番で生じるときの事象L4と事象L2との共起確率を算出する。
照合パターン選択部23は、事象L2,L5の順番で生じるときの事象L2と事象L5との共起確率を算出し、事象L5,L2の順番で生じるときの事象L5と事象L2との共起確率を算出する。
照合パターン選択部23は、事象L2,L5の順番で生じるときの事象L2と事象L5との共起確率を算出し、事象L5,L2の順番で生じるときの事象L5と事象L2との共起確率を算出する。
【0044】
また、照合パターン選択部23は、事象L3,L4の順番で生じるときの事象L3と事象L4との共起確率を算出し、事象L4,L3の順番で生じるときの事象L4と事象L3との共起確率を算出する。
照合パターン選択部23は、事象L3,L5の順番で生じるときの事象L3と事象L5との共起確率を算出し、事象L5,L3の順番で生じるときの事象L5と事象L3との共起確率を算出する。
また、照合パターン選択部23は、事象L4,L5の順番で生じるときの事象L4と事象L5との共起確率を算出し、事象L5,L4の順番で生じるときの事象L5と事象L4との共起確率を算出する。
照合パターン選択部23は、事象L3,L5の順番で生じるときの事象L3と事象L5との共起確率を算出し、事象L5,L3の順番で生じるときの事象L5と事象L3との共起確率を算出する。
また、照合パターン選択部23は、事象L4,L5の順番で生じるときの事象L4と事象L5との共起確率を算出し、事象L5,L4の順番で生じるときの事象L5と事象L4との共起確率を算出する。
【0045】
2つの事象の共起確率の算出方法として、以下の算出方法を用いることができる。
ここでは、2つの事象の共起確率として、事象L3と事象L5との共起確率を算出する例を説明する。
照合パターン選択部23は、第1のトランザクション特定部22により特定された複数の期間のトランザクションの中で、事象L3と事象L5とを含んでいるトランザクションの数を計数する。そして、照合パターン選択部23は、以下の式(1)に示すように、計数したトランザクションの数を、第1のトランザクション特定部22により特定された全てのトランザクションの数で除算することで、事象L3と事象L5との共起確率を算出する。
共起確率
=(計数したトランザクションの数/全てのトランザクションの数)×100
(1)
ここでは、2つの事象の共起確率として、事象L3と事象L5との共起確率を算出する例を説明する。
照合パターン選択部23は、第1のトランザクション特定部22により特定された複数の期間のトランザクションの中で、事象L3と事象L5とを含んでいるトランザクションの数を計数する。そして、照合パターン選択部23は、以下の式(1)に示すように、計数したトランザクションの数を、第1のトランザクション特定部22により特定された全てのトランザクションの数で除算することで、事象L3と事象L5との共起確率を算出する。
共起確率
=(計数したトランザクションの数/全てのトランザクションの数)×100
(1)
【0046】
ここでは、照合パターン選択部23が、式(1)によって、2つの事象の共起確率を算出している。しかし、これは一例に過ぎず、照合パターン選択部23が、例えば、第1のトランザクション特定部22により特定された複数の期間のトランザクションに対するアソシエーション分析、又は、複数の期間のトランザクションに対するシーケンシャルパターンマイニングを行うことで、複数の期間のトランザクションに含まれている、2つの事象の共起確率を算出するようにしてもよい。アソシエーション分析、又は、シーケンシャルパターンマイニングを行うことで、2つの事象の共起確率を算出する処理自体は、公知の技術であるため詳細な説明を省略する。
因みに、照合パターン抽出部11が、同一の起源によって生じた可能性のある3つの事象の組み合わせである照合パターンを生成する場合、照合パターン選択部23は、3つの事象の共起確率を算出する。また、照合パターン抽出部11が、同一の起源によって生じた可能性のある4つの事象の組み合わせである照合パターンを生成する場合、照合パターン選択部23は、4つの事象の共起確率を算出する。
照合パターン選択部23は、3つの事象の共起確率として、例えば、事象L3と事象L5と事象L2との共起確率を算出する場合、第1のトランザクション特定部22により特定された複数の期間のトランザクションの中で、事象L3と事象L5と事象L2とを含んでいるトランザクションの数を計数する。そして、照合パターン選択部23は、式(1)に示すように、計数したトランザクションの数を、第1のトランザクション特定部22により特定された全てのトランザクションの数で除算することで、事象L3と事象L5と事象L2との共起確率を算出する。
因みに、照合パターン抽出部11が、同一の起源によって生じた可能性のある3つの事象の組み合わせである照合パターンを生成する場合、照合パターン選択部23は、3つの事象の共起確率を算出する。また、照合パターン抽出部11が、同一の起源によって生じた可能性のある4つの事象の組み合わせである照合パターンを生成する場合、照合パターン選択部23は、4つの事象の共起確率を算出する。
照合パターン選択部23は、3つの事象の共起確率として、例えば、事象L3と事象L5と事象L2との共起確率を算出する場合、第1のトランザクション特定部22により特定された複数の期間のトランザクションの中で、事象L3と事象L5と事象L2とを含んでいるトランザクションの数を計数する。そして、照合パターン選択部23は、式(1)に示すように、計数したトランザクションの数を、第1のトランザクション特定部22により特定された全てのトランザクションの数で除算することで、事象L3と事象L5と事象L2との共起確率を算出する。
【0047】
照合パターン選択部23は、算出したこれらの共起確率を互いに比較し、この比較の結果に基づいて、これらの共起確率の中で、上位N個の共起確率を特定する。Nは、1以上の整数である。
ここでは、説明の便宜上、N=2であるものとする。このとき、例えば、最も高い共起確率が、事象L3と事象L5との共起確率であり、2番目に高い共起確率が、事象L2と事象L1との共起確率であるものとする。
図9の例では、事象L3と事象L5との組み合わせが、複数のトランザクションに含まれている。具体的には、1つ目の期間のトランザクション、4つ目の期間のトランザクション及び5つ目の期間のトランザクションにおいて、L3,L5の順番で事象が発生している。
図9の例では、事象L2と事象L1との組み合わせが、複数のトランザクションに含まれている。具体的には、1つ目の期間のトランザクション、2つ目の期間のトランザクション及び5つ目の期間のトランザクションにおいて、L2,L1の順番で事象が発生している。
ここでは、説明の便宜上、N=2であるものとする。このとき、例えば、最も高い共起確率が、事象L3と事象L5との共起確率であり、2番目に高い共起確率が、事象L2と事象L1との共起確率であるものとする。
図9の例では、事象L3と事象L5との組み合わせが、複数のトランザクションに含まれている。具体的には、1つ目の期間のトランザクション、4つ目の期間のトランザクション及び5つ目の期間のトランザクションにおいて、L3,L5の順番で事象が発生している。
図9の例では、事象L2と事象L1との組み合わせが、複数のトランザクションに含まれている。具体的には、1つ目の期間のトランザクション、2つ目の期間のトランザクション及び5つ目の期間のトランザクションにおいて、L2,L1の順番で事象が発生している。
【0048】
照合パターン選択部23は、いずれかのトランザクションに含まれている2つの事象の組み合わせの中から、共起確率が1番目からN番目までの、2つの事象の組み合わせを照合パターンとして選択する(図8のステップST3)。
具体的には、N=2であって、最も高い共起確率が、事象L3と事象L5との共起確率であれば、照合パターン選択部23は、照合パターン(Pattern1)として、{L3 L5}を選択する。
N=2であって、2番目に高い共起確率が、事象L2と事象L1との共起確率であれば、照合パターン選択部23は、照合パターン(Pattern2)として、{L2 L1}を選択する。
照合パターン選択部23は、照合パターン(Pattern1)及び照合パターン(Pattern2)のそれぞれを正常範囲推定部24に出力する。
具体的には、N=2であって、最も高い共起確率が、事象L3と事象L5との共起確率であれば、照合パターン選択部23は、照合パターン(Pattern1)として、{L3 L5}を選択する。
N=2であって、2番目に高い共起確率が、事象L2と事象L1との共起確率であれば、照合パターン選択部23は、照合パターン(Pattern2)として、{L2 L1}を選択する。
照合パターン選択部23は、照合パターン(Pattern1)及び照合パターン(Pattern2)のそれぞれを正常範囲推定部24に出力する。
【0049】
正常範囲推定部24は、第1の時系列データ取得部21から、第1の時系列データを取得する。
正常範囲推定部24は、照合パターン選択部23から、照合パターン(Pattern1)及び照合パターン(Pattern2)のそれぞれを取得する。
正常範囲推定部24は、第1の時系列データに基づいて、照合パターン(Pattern1)に含まれている2つの事象間の正常な範囲の発生間隔を推定する。
また、正常範囲推定部24は、第1の時系列データに基づいて、照合パターン(Pattern2)に含まれている2つの事象間の正常な範囲の発生間隔を推定する。
正常範囲推定部24は、照合パターン選択部23から、照合パターン(Pattern1)及び照合パターン(Pattern2)のそれぞれを取得する。
正常範囲推定部24は、第1の時系列データに基づいて、照合パターン(Pattern1)に含まれている2つの事象間の正常な範囲の発生間隔を推定する。
また、正常範囲推定部24は、第1の時系列データに基づいて、照合パターン(Pattern2)に含まれている2つの事象間の正常な範囲の発生間隔を推定する。
【0050】
図9の例では、照合パターン(Pattern1)である{L3 L5}が、1つ目の期間のトランザクション、4つ目の期間のトランザクション及び5つ目の期間のトランザクションに含まれている。
このため、正常範囲推定部24は、1つ目の期間のトランザクションに含まれている、事象L3の発生時刻である“Oct 10 0:00:00”と、事象L5の発生時刻である“Oct 10 0:00:02”との時間差=02(秒)を算出する。
また、正常範囲推定部24は、4つ目の期間のトランザクションに含まれている、事象L3の発生時刻である“Oct 10 0:00:04”と、事象L5の発生時刻である“Oct 10 0:00:05”との時間差=01(秒)を算出する。
また、正常範囲推定部24は、5つ目の期間のトランザクションに含まれている、事象L3の発生時刻である“Oct 10 0:00:04”と、事象L5の発生時刻である“Oct 10 0:00:05”との時間差=01(秒)を算出する。
正常範囲推定部24は、事象L3と事象L5との正常な範囲の発生間隔として、算出した3つの時刻差から、当該時間差の統計量を算出する。
このため、正常範囲推定部24は、1つ目の期間のトランザクションに含まれている、事象L3の発生時刻である“Oct 10 0:00:00”と、事象L5の発生時刻である“Oct 10 0:00:02”との時間差=02(秒)を算出する。
また、正常範囲推定部24は、4つ目の期間のトランザクションに含まれている、事象L3の発生時刻である“Oct 10 0:00:04”と、事象L5の発生時刻である“Oct 10 0:00:05”との時間差=01(秒)を算出する。
また、正常範囲推定部24は、5つ目の期間のトランザクションに含まれている、事象L3の発生時刻である“Oct 10 0:00:04”と、事象L5の発生時刻である“Oct 10 0:00:05”との時間差=01(秒)を算出する。
正常範囲推定部24は、事象L3と事象L5との正常な範囲の発生間隔として、算出した3つの時刻差から、当該時間差の統計量を算出する。
【0051】
図9の例では、照合パターン(Pattern2)である{L2 L1}が、1つ目の期間のトランザクション、2つ目の期間のトランザクション及び5つ目の期間のトランザクションに含まれている。
このため、正常範囲推定部24は、1つ目の期間のトランザクションに含まれている、事象L2の発生時刻である“Oct 10 0:00:01”と、事象L1の発生時刻である“Oct 10 0:00:03”との時間差=02(秒)を算出する。
また、正常範囲推定部24は、2つ目の期間のトランザクションに含まれている、事象L2の発生時刻である“Oct 10 0:00:01”と、事象L1の発生時刻である“Oct 10 0:00:03”との時間差=02(秒)を算出する。
また、正常範囲推定部24は、5つ目の期間のトランザクションに含まれている、事象L2の発生時刻である“Oct 10 0:00:07”と、事象L1の発生時刻である“Oct 10 0:00:08”との時間差=01(秒)を算出する。
正常範囲推定部24は、事象L2と事象L1との正常な範囲の発生間隔として、算出した3つの時刻差から、当該時間差の統計量を算出する。
このため、正常範囲推定部24は、1つ目の期間のトランザクションに含まれている、事象L2の発生時刻である“Oct 10 0:00:01”と、事象L1の発生時刻である“Oct 10 0:00:03”との時間差=02(秒)を算出する。
また、正常範囲推定部24は、2つ目の期間のトランザクションに含まれている、事象L2の発生時刻である“Oct 10 0:00:01”と、事象L1の発生時刻である“Oct 10 0:00:03”との時間差=02(秒)を算出する。
また、正常範囲推定部24は、5つ目の期間のトランザクションに含まれている、事象L2の発生時刻である“Oct 10 0:00:07”と、事象L1の発生時刻である“Oct 10 0:00:08”との時間差=01(秒)を算出する。
正常範囲推定部24は、事象L2と事象L1との正常な範囲の発生間隔として、算出した3つの時刻差から、当該時間差の統計量を算出する。
【0052】
2つの事象間の時間差の統計量を示す統計分布(図10A、図10Bを参照)を特徴づけるパラメータの算出においては、正常範囲推定部24は、正規分布、又は、ガンマ分布等の分布関数を仮定した上で、それぞれの時間差の分布と分布関数とが合致するように、分布関数のパラメータを決定する。分布関数のパラメータとしては、分布が例えば正規分布であれば、例えば、正規分布の平均値μと標準偏差σとがある。
図10Aは、事象L3と事象L5との時間差の統計量を示す統計分布の説明図であり、図10Bは、事象L2と事象L1との時間差の統計量を示す統計分布の説明図である。
それぞれの時間差の分布にノイズが含まれている可能性がある場合、正常範囲推定部24は、それぞれの時間差のヒストグラムのカウント値の最小値が0になるように、全体をオフセットするなどしてノイズの影響を除去することができる。
図10Aは、事象L3と事象L5との時間差の統計量を示す統計分布の説明図であり、図10Bは、事象L2と事象L1との時間差の統計量を示す統計分布の説明図である。
それぞれの時間差の分布にノイズが含まれている可能性がある場合、正常範囲推定部24は、それぞれの時間差のヒストグラムのカウント値の最小値が0になるように、全体をオフセットするなどしてノイズの影響を除去することができる。
【0053】
正常範囲推定部24は、正常な範囲の発生間隔を示す時間情報を照合パターンに付加し、時間情報付きの照合パターンを照合パターン記憶部2に記憶させる。
具体的には、正常範囲推定部24は、事象L3と事象L5との正常な範囲の発生間隔を示す時間情報を照合パターン(Pattern1)に付加し、時間情報付きの照合パターン(Pattern1)を照合パターン記憶部2に記憶させる。
また、正常範囲推定部24は、事象L2と事象L1との正常な範囲の発生間隔を示す時間情報を照合パターン(Pattern2)に付加し、時間情報付きの照合パターン(Pattern2)を照合パターン記憶部2に記憶させる。
具体的には、正常範囲推定部24は、事象L3と事象L5との正常な範囲の発生間隔を示す時間情報を照合パターン(Pattern1)に付加し、時間情報付きの照合パターン(Pattern1)を照合パターン記憶部2に記憶させる。
また、正常範囲推定部24は、事象L2と事象L1との正常な範囲の発生間隔を示す時間情報を照合パターン(Pattern2)に付加し、時間情報付きの照合パターン(Pattern2)を照合パターン記憶部2に記憶させる。
【0054】
事象L3と事象L5とについての正規分布の平均値μが例えば1.5秒、正規分布の標準偏差σが例えば0.15秒であれば、正常範囲推定部24は、以下に示すような時間情報付きのPattern1を照合パターン記憶部2に記憶させる。
<時間情報付きのPattern1>
{L3 L5}μ:1.5sec σ:0.15sec
事象L2と事象L1とについての正規分布の平均値μが例えば2秒、正規分布の標準偏差σが例えば0.1秒であれば、正常範囲推定部24は、以下に示すような時間情報付きのPattern2を照合パターン記憶部2に記憶させる。
<時間情報付きのPattern2>
{L2 L1}μ:2sec σ:0.1sec
<時間情報付きのPattern1>
{L3 L5}μ:1.5sec σ:0.15sec
事象L2と事象L1とについての正規分布の平均値μが例えば2秒、正規分布の標準偏差σが例えば0.1秒であれば、正常範囲推定部24は、以下に示すような時間情報付きのPattern2を照合パターン記憶部2に記憶させる。
<時間情報付きのPattern2>
{L2 L1}μ:2sec σ:0.1sec
【0055】
図9の例では、事象L3と事象L5とが、3つの期間のトランザクションに含まれている。事象L3と事象L5とが、1つの期間のトランザクションのみに含まれている場合、正常範囲推定部24は、1つの期間のトランザクションに含まれている、事象L3の発生時刻と事象L5の発生時刻との時間差が、正常な範囲の発生間隔であるとしてもよい。
また、図9の例では、事象L2と事象L1とが、3つの期間のトランザクションに含まれている。事象L2と事象L1とが、1つの期間のトランザクションのみに含まれている場合、正常範囲推定部24は、1つの期間のトランザクションに含まれている、事象L2の発生時刻と事象L1の発生時刻との時間差が、正常な範囲の発生間隔であるとしてもよい。
また、図9の例では、事象L2と事象L1とが、3つの期間のトランザクションに含まれている。事象L2と事象L1とが、1つの期間のトランザクションのみに含まれている場合、正常範囲推定部24は、1つの期間のトランザクションに含まれている、事象L2の発生時刻と事象L1の発生時刻との時間差が、正常な範囲の発生間隔であるとしてもよい。
【0056】
次に、分析処理部12の動作について説明する。
図11は、分析処理部12の処理内容を示すフローチャートである。
分析処理部12の第2の時系列データ取得部51には、外部から推論用データが与えられる。
推論用データは、例えば、図示せぬ外部装置によって、情報システムの異常の判定が行われるに際して、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
推論用データに係る文字列データは、学習用データに係る文字列データと同様の表現形式の文字列データである。
推論用データに係る数値データは、学習用データに係る数値データと同様の表現形式の数値データである。
図11は、分析処理部12の処理内容を示すフローチャートである。
分析処理部12の第2の時系列データ取得部51には、外部から推論用データが与えられる。
推論用データは、例えば、図示せぬ外部装置によって、情報システムの異常の判定が行われるに際して、情報システムに生じた時系列の事象のそれぞれを示す文字列データ、又は、情報システムに生じた時系列の事象のそれぞれを示す数値データである。
推論用データに係る文字列データは、学習用データに係る文字列データと同様の表現形式の文字列データである。
推論用データに係る数値データは、学習用データに係る数値データと同様の表現形式の数値データである。
【0057】
推論用データに係る文字列データとしては、例えば、以下に示すようなデータがある。
<文字列データ>
発生時刻 文字列データ
Nov 15 0:00:00 received from xxx
Nov 15 0:00:01 error
Nov 15 0:00:02 sent to abc
Nov 15 0:00:03 connected to z
Nov 15 0:00:06 sum aaa bbb
Nov 15 0:00:07 received from xxx
Nov 15 0:00:08 error
Nov 15 0:00:50 sent to abc
<文字列データ>
発生時刻 文字列データ
Nov 15 0:00:00 received from xxx
Nov 15 0:00:01 error
Nov 15 0:00:02 sent to abc
Nov 15 0:00:03 connected to z
Nov 15 0:00:06 sum aaa bbb
Nov 15 0:00:07 received from xxx
Nov 15 0:00:08 error
Nov 15 0:00:50 sent to abc
【0058】
推論用データに係る数値データとしては、例えば、以下に示すようなデータがある。
<数値データ>
発生時刻 数値データ
Nov 15 0:00:00 12345 67
Nov 15 0:00:01 678
Nov 15 0:00:02 98765 74
Nov 15 0:00:03 13579 53
Nov 15 0:00:06 723 54 78
Nov 15 0:00:07 12345 67
Nov 15 0:00:08 678
Nov 15 0:00:50 98765 74
<数値データ>
発生時刻 数値データ
Nov 15 0:00:00 12345 67
Nov 15 0:00:01 678
Nov 15 0:00:02 98765 74
Nov 15 0:00:03 13579 53
Nov 15 0:00:06 723 54 78
Nov 15 0:00:07 12345 67
Nov 15 0:00:08 678
Nov 15 0:00:50 98765 74
【0059】
例えば、第2の時系列データ取得部51の内部メモリには、事象と文字列データとの対応関係を示す上記の対応表A及び事象と数値データとの対応関係を示す上記の対応表Bのそれぞれが記憶されている。
【0060】
第2の時系列データ取得部51は、推論用データが、上記のような文字列データであれば、対応表Aを参照して、文字列データから、以下に示すような第2の時系列データを生成する(図11のステップST11)。
第2の時系列データ取得部51は、推論用データが、上記のような数値データであれば、対応表Bを参照して、数値データから、以下に示すような第2の時系列データを生成する(図11のステップST11)。
第2の時系列データ取得部51は、第2の時系列データを第2のトランザクション特定部52に出力する。
第2の時系列データ取得部51は、推論用データが、上記のような数値データであれば、対応表Bを参照して、数値データから、以下に示すような第2の時系列データを生成する(図11のステップST11)。
第2の時系列データ取得部51は、第2の時系列データを第2のトランザクション特定部52に出力する。
【0061】
<第2の時系列データ>
発生時刻 事象
Nov 15 0:00:00 L3
Nov 15 0:00:01 L2
Nov 15 0:00:02 L5
Nov 15 0:00:03 L1
Nov 15 0:00:06 L6
Nov 15 0:00:07 L3
Nov 15 0:00:08 L2
Nov 15 0:00:50 L5
発生時刻 事象
Nov 15 0:00:00 L3
Nov 15 0:00:01 L2
Nov 15 0:00:02 L5
Nov 15 0:00:03 L1
Nov 15 0:00:06 L6
Nov 15 0:00:07 L3
Nov 15 0:00:08 L2
Nov 15 0:00:50 L5
【0062】
図5に示す分析処理部12では、第2の時系列データ取得部51が、対応表を参照して、推論用データから第2の時系列データを生成している。しかし、これは一例に過ぎず、第2の時系列データ取得部51が、推論用データと第2の時系列データとの対応関係を学習している学習モデルに対して推論用データを与えて、学習モデルから、第2の時系列データを取得するものであってもよい。
【0063】
第2のトランザクション特定部52は、第2の時系列データ取得部51から、第2の時系列データを取得する。
第2のトランザクション特定部52は、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、例えば、図12に示すように、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間におけるそれぞれのトランザクションを特定する(図11のステップST12)。
それぞれの期間に含まれている1つ以上の事象の中に、同じ事象が重複していれば、重複が除かれている事象がトランザクションとして特定される。しかし、これは一例に過ぎず、同じ事象が重複していても、重複が除かれていなくてもよい。
第2のトランザクション特定部52は、それぞれの期間のトランザクションを判定部53に出力する。
第2のトランザクション特定部52は、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、例えば、図12に示すように、互いに異なる複数の期間であって、他の期間と一部が重なっている複数の期間におけるそれぞれのトランザクションを特定する(図11のステップST12)。
それぞれの期間に含まれている1つ以上の事象の中に、同じ事象が重複していれば、重複が除かれている事象がトランザクションとして特定される。しかし、これは一例に過ぎず、同じ事象が重複していても、重複が除かれていなくてもよい。
第2のトランザクション特定部52は、それぞれの期間のトランザクションを判定部53に出力する。
【0064】
図12は、第2のトランザクション特定部52により特定されるトランザクションの一例を示す説明図である。
それぞれの期間の長さは、スライディングウィンドウ処理における任意のウィンドウ幅以内の長さである。ウィンドウ幅は、例えば、第2のトランザクション特定部52の内部メモリに格納されていてもよいし、外部から第2のトランザクション特定部52に与えられるものであってもよい。
例えば、ウィンドウ幅が“5”であれば、それぞれの期間の長さは、最大で“05”秒である。
具体的には、1つ目の期間は、“Nov 15 0:00:00”~“Nov 15 0:00:03”、2つ目の期間は、“Nov 15 0:00:01”~“Nov 15 0:00:03”、3つ目の期間は、“Nov 15 0:00:02”~“Nov 15 0:00:06”である。
また、4つ目の期間は、“Nov 15 0:00:03”~“Nov 15 0:00:07”、5つ目の期間は、“Nov 15 0:00:06”~“Nov 15 0:00:08”、6つ目の期間は、“Nov 15 0:00:50”~“Nov 15 0:00:50”である。
それぞれの期間の長さは、スライディングウィンドウ処理における任意のウィンドウ幅以内の長さである。ウィンドウ幅は、例えば、第2のトランザクション特定部52の内部メモリに格納されていてもよいし、外部から第2のトランザクション特定部52に与えられるものであってもよい。
例えば、ウィンドウ幅が“5”であれば、それぞれの期間の長さは、最大で“05”秒である。
具体的には、1つ目の期間は、“Nov 15 0:00:00”~“Nov 15 0:00:03”、2つ目の期間は、“Nov 15 0:00:01”~“Nov 15 0:00:03”、3つ目の期間は、“Nov 15 0:00:02”~“Nov 15 0:00:06”である。
また、4つ目の期間は、“Nov 15 0:00:03”~“Nov 15 0:00:07”、5つ目の期間は、“Nov 15 0:00:06”~“Nov 15 0:00:08”、6つ目の期間は、“Nov 15 0:00:50”~“Nov 15 0:00:50”である。
【0065】
1つ目の期間には、{L3,L2,L5,L1}の事象が発生している。1つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、1つ目の期間のトランザクションとして、{L3,L2,L5,L1}の事象の集まりを特定する。
2つ目の期間には、{L2,L5,L1}の事象が発生している。2つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、2つ目の期間のトランザクションとして、{L2,L5,L1}の事象の集まりを特定する。
3つ目の期間には、{L5,L1,L6}の事象が発生している。3つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、3つ目の期間のトランザクションとして、{L5,L1,L6}の事象の集まりを特定する。
4つ目の期間には、{L1,L6,L3}の事象が発生している。4つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、4つ目の期間のトランザクションとして、{L1,L6,L3}の事象の集まりを特定する。
5つ目の期間には、{L6,L3,L2}の事象が発生している。5つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、5つ目の期間のトランザクションとして、{L6,L3,L2}の事象の集まりを特定する。
6つ目の期間には、{L5}の事象が発生している。6つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、6つ目の期間のトランザクションとして、{L5}の事象の集まりを特定する。なお、6つ目の期間で生じている事象L5の前後には、事象L5との発生間隔がウィンドウ幅以内の事象がないため、6つ目の期間は、他の期間と重なりがない。
2つ目の期間には、{L2,L5,L1}の事象が発生している。2つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、2つ目の期間のトランザクションとして、{L2,L5,L1}の事象の集まりを特定する。
3つ目の期間には、{L5,L1,L6}の事象が発生している。3つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、3つ目の期間のトランザクションとして、{L5,L1,L6}の事象の集まりを特定する。
4つ目の期間には、{L1,L6,L3}の事象が発生している。4つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、4つ目の期間のトランザクションとして、{L1,L6,L3}の事象の集まりを特定する。
5つ目の期間には、{L6,L3,L2}の事象が発生している。5つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、5つ目の期間のトランザクションとして、{L6,L3,L2}の事象の集まりを特定する。
6つ目の期間には、{L5}の事象が発生している。6つ目の期間では、重複している事象がない。このため、第2のトランザクション特定部52は、6つ目の期間のトランザクションとして、{L5}の事象の集まりを特定する。なお、6つ目の期間で生じている事象L5の前後には、事象L5との発生間隔がウィンドウ幅以内の事象がないため、6つ目の期間は、他の期間と重なりがない。
【0066】
判定部53は、第2のトランザクション特定部52から、それぞれの期間のトランザクションを取得する。図12の例では、判定部53は、1つ目の期間~6つ目の期間におけるそれぞれのトランザクションを取得する。
判定部53は、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
具体的には、判定部53は、時間情報付きの照合パターン(Pattern1)と時間情報付きの照合パターン(Pattern2)とを取得する。
判定部53は、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
具体的には、判定部53は、時間情報付きの照合パターン(Pattern1)と時間情報付きの照合パターン(Pattern2)とを取得する。
【0067】
判定部53は、それぞれの期間のトランザクションの中に、それぞれの照合パターンが含まれているか否かを判定する(図11のステップST13)。
図12の例では、1つ目の期間のトランザクションである{L3,L2,L5,L1}の中に、時間情報付きのPattern1である{L3 L5}が含まれており、また、時間情報付きのPattern2である{L2 L1}が含まれている。
2つ目の期間のトランザクションである{L2,L5,L1}の中に、時間情報付きのPattern2である{L2 L1}が含まれている。{L2,L5,L1}の中には、時間情報付きのPattern1である{L3 L5}が含まれていない。
3つ目の期間~6つ目の期間におけるそれぞれのトランザクションの中には、時間情報付きのPattern1である{L3 L5}が含まれておらず、また、時間情報付きのPattern2である{L2 L1}も含まれていない。
図12の例では、1つ目の期間のトランザクションである{L3,L2,L5,L1}の中に、時間情報付きのPattern1である{L3 L5}が含まれており、また、時間情報付きのPattern2である{L2 L1}が含まれている。
2つ目の期間のトランザクションである{L2,L5,L1}の中に、時間情報付きのPattern2である{L2 L1}が含まれている。{L2,L5,L1}の中には、時間情報付きのPattern1である{L3 L5}が含まれていない。
3つ目の期間~6つ目の期間におけるそれぞれのトランザクションの中には、時間情報付きのPattern1である{L3 L5}が含まれておらず、また、時間情報付きのPattern2である{L2 L1}も含まれていない。
【0068】
また、判定部53は、それぞれの期間のトランザクションの中に、いずれかの照合パターンに含まれている一方の事象のみが含まれているか否かを判定する。
判定部53は、一方の事象のみが含まれていれば、一方の事象を含んでいる照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
判定部53は、一方の事象のみが含まれていれば、一方の事象を含んでいる照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
【0069】
判定部53は、照合パターンに含まれている全ての事象を含んでいるトランザクションを示す情報である完全パターン発生情報として、図13に示すような完全パターン発生情報を、例えば、図示せぬ外部装置に出力する。
また、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が含まれていないトランザクションを示す情報である不完全パターン発生情報として、図13に示すような不完全パターン発生情報を、例えば、図示せぬ外部装置に出力する。
図13は、完全パターン発生情報及び不完全パターン発生情報のそれぞれを示す説明図である。
図13の例では、完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:00”である、1つ目の期間のトランザクションの中に、Pattern1とPattern2とが含まれていることを示している。
図13の例では、完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:01”である、2つ目の期間のトランザクションの中に、Pattern2のみが含まれていることを示している。
また、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が含まれていないトランザクションを示す情報である不完全パターン発生情報として、図13に示すような不完全パターン発生情報を、例えば、図示せぬ外部装置に出力する。
図13は、完全パターン発生情報及び不完全パターン発生情報のそれぞれを示す説明図である。
図13の例では、完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:00”である、1つ目の期間のトランザクションの中に、Pattern1とPattern2とが含まれていることを示している。
図13の例では、完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:01”である、2つ目の期間のトランザクションの中に、Pattern2のみが含まれていることを示している。
【0070】
図13の例では、不完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:01”である、2つ目の期間のトランザクションの中に、Pattern1における一方の事象として、事象L5のみが含まれていることを示している。図13では、Pattern1(L5)のように表記されている。
図13の例では、不完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:02”である、3つ目の期間のトランザクションの中に、Pattern1における一方の事象として、事象L5のみが含まれており、また、Pattern2における一方の事象として、事象L1のみが含まれていることを示している。図13では、Pattern1(L5)、Pattern2(L1)のように表記されている。
図13の例では、不完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:03”である、4つ目の期間のトランザクションの中に、Pattern1における一方の事象として、事象L3のみが含まれており、また、Pattern2における一方の事象として、事象L1のみが含まれていることを示している。図13では、Pattern1(L3)、Pattern2(L1)のように表記されている。
図13の例では、不完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:02”である、3つ目の期間のトランザクションの中に、Pattern1における一方の事象として、事象L5のみが含まれており、また、Pattern2における一方の事象として、事象L1のみが含まれていることを示している。図13では、Pattern1(L5)、Pattern2(L1)のように表記されている。
図13の例では、不完全パターン発生情報として、開始の発生時刻が“Nov 15 0:00:03”である、4つ目の期間のトランザクションの中に、Pattern1における一方の事象として、事象L3のみが含まれており、また、Pattern2における一方の事象として、事象L1のみが含まれていることを示している。図13では、Pattern1(L3)、Pattern2(L1)のように表記されている。
【0071】
判定部53は、一方の事象が含まれているトランザクションと異なる期間のトランザクションに他方の事象が含まれていれば、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であれば、一方の事象と他方の事象とが同じトランザクションに含まれているとみなす。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔よりも長ければ、他方の事象が欠損していると判定する。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であれば、一方の事象と他方の事象とが同じトランザクションに含まれているとみなす。
判定部53は、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔よりも長ければ、他方の事象が欠損していると判定する。
【0072】
具体的には、例えば、2つ目の期間のトランザクションに係るPattern1(L5)の場合、事象L5と一緒にPattern1に含まれている事象L3が、1つ目の期間のトランザクションに含まれている。このため、判定部53は、1つ目の期間のトランザクションに含まれている事象L3の発生時刻“Nov 15 0:00:00”と2つ目の期間のトランザクションに含まれている事象L5の発生時刻“Nov 15 0:00:02”との時間差である発生間隔を算出する。この場合の発生間隔は、02(秒)である。
判定部53は、事象L3と事象L5との間の発生間隔である02(秒)と、事象L3と事象L5との間の正常な範囲の発生間隔とを比較する。この場合、事象L3と事象L5との間の正常な範囲の発生間隔が02(秒)以上であれば、判定部53は、事象L3と事象L5とが同じトランザクションに含まれているとみなす。
判定部53は、事象L3と事象L5とが同じトランザクションに含まれているとみなす場合、図14に示すように、2つ目の期間のトランザクションに表記されている不完全パターン発生情報であるPattern1(L5)を削除する修正を行う。そして、判定部53は、2つ目の期間のトランザクションの中に、事象L3と事象L5とが含まれていることを示す完全パターン発生情報を含める修正を行う。
図14は、修正後の完全パターン発生情報及び修正後の不完全パターン発生情報のそれぞれを示す説明図である。
判定部53は、事象L3と事象L5との間の発生間隔である02(秒)と、事象L3と事象L5との間の正常な範囲の発生間隔とを比較する。この場合、事象L3と事象L5との間の正常な範囲の発生間隔が02(秒)以上であれば、判定部53は、事象L3と事象L5とが同じトランザクションに含まれているとみなす。
判定部53は、事象L3と事象L5とが同じトランザクションに含まれているとみなす場合、図14に示すように、2つ目の期間のトランザクションに表記されている不完全パターン発生情報であるPattern1(L5)を削除する修正を行う。そして、判定部53は、2つ目の期間のトランザクションの中に、事象L3と事象L5とが含まれていることを示す完全パターン発生情報を含める修正を行う。
図14は、修正後の完全パターン発生情報及び修正後の不完全パターン発生情報のそれぞれを示す説明図である。
【0073】
例えば、4つ目の期間のトランザクションに係るPattern1(L3)の場合、事象L3と一緒にPattern1に含まれている事象L5が、6つ目の期間のトランザクションに含まれている。このため、判定部53は、4つ目の期間のトランザクションに含まれている事象L3の発生時刻“Nov 15 0:00:07”と6つ目の期間のトランザクションに含まれている事象L5の発生時刻“Nov 15 0:00:50”との時間差である発生間隔を算出する。この場合の発生間隔は、43(秒)である。
判定部53は、事象L3と事象L5との間の発生間隔である43(秒)と、事象L3と事象L5との間の正常な範囲の発生間隔とを比較する。この場合、事象L3と事象L5との間の正常な範囲の発生間隔が43(秒)未満であれば、判定部53は、事象L3と事象L5とが同じトランザクションに含まれているとみなさずに、他方の事象が欠損していると判定する。
判定部53は、他方の事象が欠損していると判定する場合、図14に示すように、4つ目の期間のトランザクションに表記されている不完全パターン発生情報であるPattern1(L3)を残すようにする。
判定部53は、事象L3と事象L5との間の発生間隔である43(秒)と、事象L3と事象L5との間の正常な範囲の発生間隔とを比較する。この場合、事象L3と事象L5との間の正常な範囲の発生間隔が43(秒)未満であれば、判定部53は、事象L3と事象L5とが同じトランザクションに含まれているとみなさずに、他方の事象が欠損していると判定する。
判定部53は、他方の事象が欠損していると判定する場合、図14に示すように、4つ目の期間のトランザクションに表記されている不完全パターン発生情報であるPattern1(L3)を残すようにする。
【0074】
例えば、4つ目の期間のトランザクションに係るPattern2(L1)の場合、事象L1と一緒にPattern2に含まれている事象L2が、2つ目の期間のトランザクションに含まれている。このため、判定部53は、4つ目の期間のトランザクションに含まれている事象L1の発生時刻“Nov 15 0:00:03”と2つ目の期間のトランザクションに含まれている事象L2の発生時刻“Nov 15 0:00:01”との時間差である発生間隔を算出する。この場合の発生間隔は、02(秒)である。
判定部53は、事象L2と事象L1との間の発生間隔である02(秒)と、事象L2と事象L1との間の正常な範囲の発生間隔とを比較する。この場合、事象L2と事象L1との間の正常な範囲の発生間隔が02(秒)以上であれば、判定部53は、事象L2と事象L1とが同じトランザクションに含まれているとみなす。
判定部53は、事象L2と事象L1とが同じトランザクションに含まれているとみなす場合、図14に示すように、4つ目の期間のトランザクションに表記されている不完全パターン発生情報であるPattern2(L1)を削除する修正を行う。そして、判定部53は、4つ目の期間のトランザクションの中に、事象L2と事象L1とが含まれていることを示す完全パターン発生情報を含める修正を行う。
判定部53は、修正後の完全パターン発生情報及び修正後の不完全パターン発生情報のそれぞれを、例えば、図示せぬ外部装置に出力する。
判定部53は、事象L2と事象L1との間の発生間隔である02(秒)と、事象L2と事象L1との間の正常な範囲の発生間隔とを比較する。この場合、事象L2と事象L1との間の正常な範囲の発生間隔が02(秒)以上であれば、判定部53は、事象L2と事象L1とが同じトランザクションに含まれているとみなす。
判定部53は、事象L2と事象L1とが同じトランザクションに含まれているとみなす場合、図14に示すように、4つ目の期間のトランザクションに表記されている不完全パターン発生情報であるPattern2(L1)を削除する修正を行う。そして、判定部53は、4つ目の期間のトランザクションの中に、事象L2と事象L1とが含まれていることを示す完全パターン発生情報を含める修正を行う。
判定部53は、修正後の完全パターン発生情報及び修正後の不完全パターン発生情報のそれぞれを、例えば、図示せぬ外部装置に出力する。
【0075】
以上の実施の形態1では、システムが正常であるときに、システムに生じた複数の事象におけるそれぞれの発生時刻を示す第1の時系列データを取得する第1の時系列データ取得部21と、第1の時系列データ取得部21により取得された第1の時系列データが示す発生時刻に基づいて、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第1のトランザクション特定部22とを備えるように、データ分析装置1を構成した。また、データ分析装置1は、システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、2つ以上の事象が共起している確率である共起確率を算出し、第1のトランザクション特定部22により特定されたそれぞれの期間のトランザクションの中から、共起確率に基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する照合パターン選択部23を備えている。したがって、データ分析装置1は、システムに生じた複数の事象の中で、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして特定することができる。
【0076】
また、実施の形態1では、システムの異常の判定が行われるに際して、システムに生じた複数の事象におけるそれぞれの発生時刻を示す第2の時系列データを取得する第2の時系列データ取得部51と、第2の時系列データ取得部51により取得された第2の時系列データが示す発生時刻に基づいて、異常の判定が行われるに際して、システムに生じた複数の事象の中で、互いに異なる複数の期間のそれぞれにおいて発生した事象の集まりであるトランザクションを特定する第2のトランザクション特定部52とを備えるように、データ分析装置1を構成した。また、データ分析装置1は、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターン選択部23により選択された照合パターンが含まれているか否かを判定する判定部53を備えている。したがって、データ分析装置1は、それぞれの期間で発生した異常の検出を可能にすることができる。
【0077】
また、実施の形態1では、判定部53が、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれているとき、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内であれば、一方の事象と他方の事象とが同じトランザクションに含まれているとみなすように、データ分析装置1を構成した。したがって、データ分析装置1は、一方の事象と他方の事象との間の発生間隔が、正常な範囲の発生間隔以内であれば、それぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれている状況が、異常の生じている状況として誤検出してしまうことを防止することができる。
【0078】
実施の形態2.
実施の形態2では、2つ以上の事象に対する重み付けの指定を受け付ける指定受付部25を備えるデータ分析装置1について説明する。
図15は、実施の形態2に係るデータ分析装置1の照合パターン抽出部11を示す構成図である。図15において、図2と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図16は、照合パターン抽出部11のハードウェアを示すハードウェア構成図である。図16において、図3と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図15に示す照合パターン抽出部11は、第1の時系列データ取得部21、第1のトランザクション特定部22、指定受付部25、照合パターン選択部26及び正常範囲推定部24を備えている。
実施の形態2では、2つ以上の事象に対する重み付けの指定を受け付ける指定受付部25を備えるデータ分析装置1について説明する。
図15は、実施の形態2に係るデータ分析装置1の照合パターン抽出部11を示す構成図である。図15において、図2と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図16は、照合パターン抽出部11のハードウェアを示すハードウェア構成図である。図16において、図3と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図15に示す照合パターン抽出部11は、第1の時系列データ取得部21、第1のトランザクション特定部22、指定受付部25、照合パターン選択部26及び正常範囲推定部24を備えている。
【0079】
指定受付部25は、例えば、図16に示す指定受付回路35によって実現される。
指定受付部25は、例えば、ユーザが、マウス、又は、タッチパネル等のマンマシンインタフェースを操作したとき、マンマシンインタフェースから、ユーザの操作情報を取得する。
指定受付部25は、ユーザの操作情報が2つ以上の事象に対する重み付けを示していれば、2つ以上の事象に対する重み付けの指定を受け付ける。
指定受付部25は、2つ以上の事象に対する重み付けを示す指定情報を照合パターン選択部26に出力する。
指定受付部25は、例えば、ユーザが、マウス、又は、タッチパネル等のマンマシンインタフェースを操作したとき、マンマシンインタフェースから、ユーザの操作情報を取得する。
指定受付部25は、ユーザの操作情報が2つ以上の事象に対する重み付けを示していれば、2つ以上の事象に対する重み付けの指定を受け付ける。
指定受付部25は、2つ以上の事象に対する重み付けを示す指定情報を照合パターン選択部26に出力する。
【0080】
照合パターン選択部26は、例えば、図16に示す照合パターン選択回路36によって実現される。
照合パターン選択部26は、第1のトランザクション特定部22から、それぞれの期間のトランザクションを取得し、指定受付部25から、指定情報を取得する。
照合パターン選択部26は、図2に示す照合パターン選択部23と同様に、情報システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、2つ以上の事象が共起している確率である共起確率を算出する。
照合パターン選択部26は、それぞれの期間のトランザクションの中から、2つ以上の事象の共起確率と指定情報が示す重み付けとに基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する。
照合パターン選択部26は、選択した1つ以上の照合パターンのそれぞれを正常範囲推定部24に出力する。
照合パターン選択部26は、第1のトランザクション特定部22から、それぞれの期間のトランザクションを取得し、指定受付部25から、指定情報を取得する。
照合パターン選択部26は、図2に示す照合パターン選択部23と同様に、情報システムに生じた複数の事象に含まれている2つ以上の事象の組み合わせ毎に、2つ以上の事象が共起している確率である共起確率を算出する。
照合パターン選択部26は、それぞれの期間のトランザクションの中から、2つ以上の事象の共起確率と指定情報が示す重み付けとに基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択する。
照合パターン選択部26は、選択した1つ以上の照合パターンのそれぞれを正常範囲推定部24に出力する。
【0081】
図15では、照合パターン抽出部11の構成要素である第1の時系列データ取得部21、第1のトランザクション特定部22、指定受付部25、照合パターン選択部26及び正常範囲推定部24のそれぞれが、図16に示すような専用のハードウェアによって実現されるものを想定している。即ち、照合パターン抽出部11が、時系列データ取得回路31、トランザクション特定回路32、指定受付回路35、照合パターン選択回路36及び正常範囲推定回路34によって実現されるものを想定している。
時系列データ取得回路31、トランザクション特定回路32、指定受付回路35、照合パターン選択回路36及び正常範囲推定回路34のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
時系列データ取得回路31、トランザクション特定回路32、指定受付回路35、照合パターン選択回路36及び正常範囲推定回路34のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
【0082】
照合パターン抽出部11の構成要素は、専用のハードウェアによって実現されるものに限るものではなく、照合パターン抽出部11が、ソフトウェア、ファームウェア、又は、ソフトウェアとファームウェアとの組み合わせによって実現されるものであってもよい。
照合パターン抽出部11が、ソフトウェア又はファームウェア等によって実現される場合、第1の時系列データ取得部21、第1のトランザクション特定部22、指定受付部25、照合パターン選択部26及び正常範囲推定部24におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図4に示すメモリ41に格納される。そして、図4に示すプロセッサ42がメモリ41に格納されているプログラムを実行する。
照合パターン抽出部11が、ソフトウェア又はファームウェア等によって実現される場合、第1の時系列データ取得部21、第1のトランザクション特定部22、指定受付部25、照合パターン選択部26及び正常範囲推定部24におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図4に示すメモリ41に格納される。そして、図4に示すプロセッサ42がメモリ41に格納されているプログラムを実行する。
【0083】
また、図16では、照合パターン抽出部11の構成要素のそれぞれが専用のハードウェアによって実現される例を示し、図4では、照合パターン抽出部11がソフトウェア又はファームウェア等によって実現される例を示している。しかし、これは一例に過ぎず、照合パターン抽出部11における一部の構成要素が専用のハードウェアによって実現され、残りの構成要素がソフトウェア又はファームウェア等によって実現されるものであってもよい。
【0084】
次に、図15に示す照合パターン抽出部11の動作について説明する。指定受付部25及び照合パターン選択部26以外は、図2に示す照合パターン抽出部11と同様である。このため、ここでは、指定受付部25及び照合パターン選択部26の動作のみを説明する。
図15に示す照合パターン抽出部11においても、説明の簡単化のため、照合パターン抽出部11が、同一の起源によって生じた可能性のある2つの事象の組み合わせである照合パターンを生成する例を説明する。
図15に示す照合パターン抽出部11においても、説明の簡単化のため、照合パターン抽出部11が、同一の起源によって生じた可能性のある2つの事象の組み合わせである照合パターンを生成する例を説明する。
【0085】
ユーザが、マンマシンインタフェースを操作することによって、任意の2つの事象に対する重み付けを行えば、指定受付部25は、マンマシンインタフェースから、2つの事象に対する重み付けを示す操作情報を取得する。
指定受付部25は、操作情報が示す2つの事象に対する重み付けの指定を受け付ける。
指定受付部25は、2つの事象に対する重み付けを示す指定情報を照合パターン選択部26に出力する。
指定受付部25によって、例えば、事象L3と事象L2とに対する重み付けとして、1よりも大きな値の重み係数w3,2の指定が受け付けられた場合、事象L3と事象L2との共起確率に重み係数w3,2が乗算される。この結果、照合パターン選択部26によって、事象L3と事象L2との組み合わせが照合パターンとして選択される可能性が高まる。
指定受付部25によって、例えば、事象L2と事象L1とに対する重み付けとして、1よりも小さな値の重み係数w2,1の指定が受け付けられた場合、事象L2と事象L1との共起確率に重み係数w2,1が乗算される。この結果、照合パターン選択部26によって、事象L2と事象L1との組み合わせが照合パターンとして選択される可能性が低下する。
指定受付部25は、操作情報が示す2つの事象に対する重み付けの指定を受け付ける。
指定受付部25は、2つの事象に対する重み付けを示す指定情報を照合パターン選択部26に出力する。
指定受付部25によって、例えば、事象L3と事象L2とに対する重み付けとして、1よりも大きな値の重み係数w3,2の指定が受け付けられた場合、事象L3と事象L2との共起確率に重み係数w3,2が乗算される。この結果、照合パターン選択部26によって、事象L3と事象L2との組み合わせが照合パターンとして選択される可能性が高まる。
指定受付部25によって、例えば、事象L2と事象L1とに対する重み付けとして、1よりも小さな値の重み係数w2,1の指定が受け付けられた場合、事象L2と事象L1との共起確率に重み係数w2,1が乗算される。この結果、照合パターン選択部26によって、事象L2と事象L1との組み合わせが照合パターンとして選択される可能性が低下する。
【0086】
照合パターン選択部26は、第1のトランザクション特定部22から、それぞれの期間のトランザクションを取得し、指定受付部25から、指定情報を取得する。
照合パターン選択部26は、図2に示す照合パターン選択部23と同様に、2つの事象の共起確率を算出する。
照合パターン選択部26は、それぞれの2つの事象の共起確率に対して、指定情報が示す重み係数wを乗算する。
ここでは、便宜上、指定受付部25から、例えば、事象L3と事象L2とに対する重み係数w3,2と、事象L2と事象L1とに対する重み係数w2,1とが照合パターン選択部26に与えられている場合を想定する。この場合、照合パターン選択部26は、事象L3と事象L2との共起確率に重み係数w3,2を乗算し、事象L2と事象L1との共起確率に重み係数w2,1を乗算する。
この場合、指定受付部25から、例えば、事象L3と事象L5とに対する重み係数w3,5が照合パターン選択部26に与えられていないため、照合パターン選択部26は、事象L3と事象L5との共起確率に重み係数w3,5を乗算する処理を行わない。
照合パターン選択部26は、図2に示す照合パターン選択部23と同様に、2つの事象の共起確率を算出する。
照合パターン選択部26は、それぞれの2つの事象の共起確率に対して、指定情報が示す重み係数wを乗算する。
ここでは、便宜上、指定受付部25から、例えば、事象L3と事象L2とに対する重み係数w3,2と、事象L2と事象L1とに対する重み係数w2,1とが照合パターン選択部26に与えられている場合を想定する。この場合、照合パターン選択部26は、事象L3と事象L2との共起確率に重み係数w3,2を乗算し、事象L2と事象L1との共起確率に重み係数w2,1を乗算する。
この場合、指定受付部25から、例えば、事象L3と事象L5とに対する重み係数w3,5が照合パターン選択部26に与えられていないため、照合パターン選択部26は、事象L3と事象L5との共起確率に重み係数w3,5を乗算する処理を行わない。
【0087】
照合パターン選択部26は、上記の重み付け処理を実施したのち、複数の共起確率を互いに比較し、この比較の結果に基づいて、複数の共起確率の中から、上位N個の共起確率を特定する。Nは、1以上の整数である。
ここでは、説明の便宜上、N=2であるものとする。実施の形態1では、2番目に高い共起確率が、事象L2と事象L1との共起確率であるとしていたが、上記の重み付け処理を実施することで、2番目に高い共起確率が、例えば、事象L3と事象L2との共起確率になることがある。
これにより、ユーザが所望する2つの事象L3,L2の組み合わせが照合パターンとして選択される可能性が高まる。
照合パターン選択部26は、それぞれの期間のトランザクションの中から、重み付け処理後の2つの事象の共起確率に基づいて、同一の起源によって生じた可能性のある2つの事象の組み合わせを照合パターンとして選択する。
照合パターン選択部26は、選択した1つ以上の照合パターンのそれぞれを正常範囲推定部24に出力する。
ここでは、説明の便宜上、N=2であるものとする。実施の形態1では、2番目に高い共起確率が、事象L2と事象L1との共起確率であるとしていたが、上記の重み付け処理を実施することで、2番目に高い共起確率が、例えば、事象L3と事象L2との共起確率になることがある。
これにより、ユーザが所望する2つの事象L3,L2の組み合わせが照合パターンとして選択される可能性が高まる。
照合パターン選択部26は、それぞれの期間のトランザクションの中から、重み付け処理後の2つの事象の共起確率に基づいて、同一の起源によって生じた可能性のある2つの事象の組み合わせを照合パターンとして選択する。
照合パターン選択部26は、選択した1つ以上の照合パターンのそれぞれを正常範囲推定部24に出力する。
【0088】
以上の実施の形態2では、2つ以上の事象に対する重み付けの指定を受け付ける指定受付部25を備え、照合パターン選択部26が、第1のトランザクション特定部22により特定されたそれぞれの期間のトランザクションの中から、共起確率と指定受付部25により指定が受け付けられた重み付けとに基づいて、同一の起源によって生じた可能性のある2つ以上の事象の組み合わせを照合パターンとして選択するように、データ分析装置1を構成した。したがって、データ分析装置1は、ユーザが所望する2つ以上の事象の組み合わせを照合パターンとして選択することができる。
【0089】
実施の形態3.
実施の形態3では、照合パターンに含まれている一方の事象と照合パターンに含まれている他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内であるか否かを示す情報を出力する情報出力部54を備えるデータ分析装置1について説明する。
実施の形態3では、照合パターンに含まれている一方の事象と照合パターンに含まれている他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内であるか否かを示す情報を出力する情報出力部54を備えるデータ分析装置1について説明する。
【0090】
図17は、実施の形態3に係るデータ分析装置1の分析処理部12を示す構成図である。図17において、図5と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図18は、分析処理部12のハードウェアを示すハードウェア構成図である。図18において、図6と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図17に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び情報出力部54を備えている。
図18は、分析処理部12のハードウェアを示すハードウェア構成図である。図18において、図6と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図17に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び情報出力部54を備えている。
【0091】
情報出力部54は、例えば、図18に示す情報出力回路64によって実現される。
情報出力部54は、第2のトランザクション特定部52から、それぞれの期間のトランザクションを取得し、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
また、情報出力部54は、第2の時系列データ取得部51から、第2の時系列データを取得する。
情報出力部54は、判定部53と同様に、それぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
情報出力部54は、他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていれば、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、一方の事象と他方の事象との間の発生間隔を算出する。
情報出力部54は、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
情報出力部54は、一方の事象と他方の事象との間の発生間隔と正常な範囲の発生間隔との比較結果を示す情報として、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であるか否かを示す比較結果情報を例えば外部装置に出力する。
情報出力部54は、第2のトランザクション特定部52から、それぞれの期間のトランザクションを取得し、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
また、情報出力部54は、第2の時系列データ取得部51から、第2の時系列データを取得する。
情報出力部54は、判定部53と同様に、それぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
情報出力部54は、他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていれば、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、一方の事象と他方の事象との間の発生間隔を算出する。
情報出力部54は、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
情報出力部54は、一方の事象と他方の事象との間の発生間隔と正常な範囲の発生間隔との比較結果を示す情報として、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であるか否かを示す比較結果情報を例えば外部装置に出力する。
【0092】
図17に示す分析処理部12では、情報出力部54が、それぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定している。しかし、これは一例に過ぎず、情報出力部54は、上記の判定を行う代わりに、判定部53の判定結果を取得するようにしてもよい。
【0093】
図17では、分析処理部12の構成要素である第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び情報出力部54のそれぞれが、図18に示すような専用のハードウェアによって実現されるものを想定している。即ち、分析処理部12が、時系列データ取得回路61、トランザクション特定回路62、判定回路63及び情報出力回路64によって実現されるものを想定している。
時系列データ取得回路61、トランザクション特定回路62、判定回路63及び情報出力回路64のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
時系列データ取得回路61、トランザクション特定回路62、判定回路63及び情報出力回路64のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
【0094】
分析処理部12の構成要素は、専用のハードウェアによって実現されるものに限るものではなく、分析処理部12が、ソフトウェア、ファームウェア、又は、ソフトウェアとファームウェアとの組み合わせによって実現されるものであってもよい。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び情報出力部54におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図7に示すメモリ71に格納される。そして、図7に示すプロセッサ72がメモリ71に格納されているプログラムを実行する。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び情報出力部54におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図7に示すメモリ71に格納される。そして、図7に示すプロセッサ72がメモリ71に格納されているプログラムを実行する。
【0095】
また、図18では、分析処理部12の構成要素のそれぞれが専用のハードウェアによって実現される例を示し、図7では、分析処理部12がソフトウェア又はファームウェア等によって実現される例を示している。しかし、これは一例に過ぎず、分析処理部12における一部の構成要素が専用のハードウェアによって実現され、残りの構成要素がソフトウェア又はファームウェア等によって実現されるものであってもよい。
【0096】
【0097】
情報出力部54は、第2のトランザクション特定部52から、それぞれの期間のトランザクションを取得し、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
また、情報出力部54は、第2の時系列データ取得部51から、第2の時系列データを取得する。
情報出力部54は、それぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
例えば、時間情報付きの照合パターンが<時間情報付きのPattern1>であるとき、図12に示す2つ目の期間のトランザクションを着目すると、2つ目の期間のトランザクションには、Pattern1に含まれている事象L5が含まれている。しかし、Pattern1に含まれている事象L3は、2つ目の期間のトランザクションに含まれておらず、1つ目の期間のトランザクションに含まれている。したがって、この例では、Pattern1に含まれている事象L5とPattern1に含まれている事象L3とは、互いに異なる期間のトランザクションに含まれている。
また、情報出力部54は、第2の時系列データ取得部51から、第2の時系列データを取得する。
情報出力部54は、それぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていか否かを判定する。
例えば、時間情報付きの照合パターンが<時間情報付きのPattern1>であるとき、図12に示す2つ目の期間のトランザクションを着目すると、2つ目の期間のトランザクションには、Pattern1に含まれている事象L5が含まれている。しかし、Pattern1に含まれている事象L3は、2つ目の期間のトランザクションに含まれておらず、1つ目の期間のトランザクションに含まれている。したがって、この例では、Pattern1に含まれている事象L5とPattern1に含まれている事象L3とは、互いに異なる期間のトランザクションに含まれている。
【0098】
情報出力部54は、他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていれば、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、一方の事象と他方の事象との間の発生間隔を算出する。
具体的には、情報出力部54は、例えば、1つ目の期間のトランザクションに含まれている事象L3の発生時刻と、2つ目の期間のトランザクションに含まれている事象L5の発生時刻との時刻差である発生間隔を算出する。
情報出力部54は、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
具体的には、情報出力部54は、例えば、事象L3と事象L5との間の発生間隔と、Pattern1に付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
情報出力部54は、この比較の結果を示す情報として、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であるか否かを示す比較結果情報を例えば外部装置に出力する。
これにより、例えば、外部装置は、一方の事象と他方の事象との間の発生間隔の定量的な分析が可能になる。
具体的には、情報出力部54は、例えば、1つ目の期間のトランザクションに含まれている事象L3の発生時刻と、2つ目の期間のトランザクションに含まれている事象L5の発生時刻との時刻差である発生間隔を算出する。
情報出力部54は、一方の事象と他方の事象との間の発生間隔と、照合パターンに付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
具体的には、情報出力部54は、例えば、事象L3と事象L5との間の発生間隔と、Pattern1に付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
情報出力部54は、この比較の結果を示す情報として、一方の事象と他方の事象との間の発生間隔が正常な範囲の発生間隔以内であるか否かを示す比較結果情報を例えば外部装置に出力する。
これにより、例えば、外部装置は、一方の事象と他方の事象との間の発生間隔の定量的な分析が可能になる。
【0099】
以上の実施の形態3では、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターンに含まれている一方の事象のみが含まれており、照合パターンに含まれている他方の事象が、一方の事象が含まれているトランザクションと異なる期間のトランザクションに含まれていれば、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内であるか否かを示す情報を出力する情報出力部54を備えるように、データ分析装置1を構成した。したがって、データ分析装置1は、一方の事象と他方の事象との間の発生間隔の定量的な分析を可能にすることができる。
【0100】
図17に示す分析処理部12では、情報出力部54が、照合パターンに含まれている一方の事象と照合パターンに含まれている他方の事象との間の発生間隔が正常な範囲の発生間隔以内であるか否かを示す比較結果情報を出力している。しかし、これは一例に過ぎず、情報出力部54は、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションのうち、照合パターンが含まれているトランザクションの中で、照合パターン以外の2つの事象間の発生間隔が、正常な範囲の発生間隔以内であるか否かを示す情報を出力するようにしてもよい。
【0101】
具体的には、以下の通りである。
第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションのうち、照合パターンが含まれているトランザクションが、例えば、{L3,L5,L4,L1}であるとする。
この例では、トランザクション{L3,L5,L4,L1}には、照合パターンであるPattern1が含まれている。また、トランザクション{L3,L5,L4,L1}には、Pattern1以外の2つの事象L4,L1が含まれている。
情報出力部54は、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、事象L4の発生時刻と事象L1の発生時刻との時刻差である発生間隔を算出する。
情報出力部54は、事象L4と事象L1との間の発生間隔と、事象L4と事象L1との間の正常な範囲の発生間隔とを比較する。
情報出力部54は、この比較の結果を示す情報として、事象L4と事象L1との間の発生間隔が、事象L4と事象L1との間の正常な範囲の発生間隔以内であるか否かを示す比較結果情報を例えば外部装置に出力する。正常な範囲の発生間隔は、例えば、情報出力部54の内部メモリに格納されていてもよいし、分析処理部12の外部から与えられるものであってもよい。また、正常な範囲の発生間隔は、第1の時系列データが示す発生時刻、又は、第2の時系列データが示す発生時刻に基づいて算出されたものであってもよい。
これにより、例えば、外部装置は、照合パターン以外の2つの事象間の発生間隔の定量的な分析が可能になる。
第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションのうち、照合パターンが含まれているトランザクションが、例えば、{L3,L5,L4,L1}であるとする。
この例では、トランザクション{L3,L5,L4,L1}には、照合パターンであるPattern1が含まれている。また、トランザクション{L3,L5,L4,L1}には、Pattern1以外の2つの事象L4,L1が含まれている。
情報出力部54は、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、事象L4の発生時刻と事象L1の発生時刻との時刻差である発生間隔を算出する。
情報出力部54は、事象L4と事象L1との間の発生間隔と、事象L4と事象L1との間の正常な範囲の発生間隔とを比較する。
情報出力部54は、この比較の結果を示す情報として、事象L4と事象L1との間の発生間隔が、事象L4と事象L1との間の正常な範囲の発生間隔以内であるか否かを示す比較結果情報を例えば外部装置に出力する。正常な範囲の発生間隔は、例えば、情報出力部54の内部メモリに格納されていてもよいし、分析処理部12の外部から与えられるものであってもよい。また、正常な範囲の発生間隔は、第1の時系列データが示す発生時刻、又は、第2の時系列データが示す発生時刻に基づいて算出されたものであってもよい。
これにより、例えば、外部装置は、照合パターン以外の2つの事象間の発生間隔の定量的な分析が可能になる。
【0102】
実施の形態4.
実施の形態4では、判定部53によって、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内ではないと判定されれば、他方の事象が欠損している確信度を算出する確信度算出部55を備えるデータ分析装置1について説明する。
実施の形態4では、判定部53によって、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内ではないと判定されれば、他方の事象が欠損している確信度を算出する確信度算出部55を備えるデータ分析装置1について説明する。
【0103】
図19は、実施の形態4に係るデータ分析装置1の分析処理部12を示す構成図である。図19において、図5及び図17と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図20は、分析処理部12のハードウェアを示すハードウェア構成図である。図20において、図6及び図18と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図19に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び確信度算出部55を備えている。
図20は、分析処理部12のハードウェアを示すハードウェア構成図である。図20において、図6及び図18と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図19に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び確信度算出部55を備えている。
【0104】
確信度算出部55は、例えば、図20に示す確信度算出回路65によって実現される。
確信度算出部55は、判定部53から、判定結果を取得し、第2の時系列データ取得部51から、第2の時系列データを取得する。
確信度算出部55は、判定部53によって、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内ではないと判定されれば、他方の事象が欠損している確信度を算出する。
確信度算出部55は、判定部53から、判定結果を取得し、第2の時系列データ取得部51から、第2の時系列データを取得する。
確信度算出部55は、判定部53によって、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内ではないと判定されれば、他方の事象が欠損している確信度を算出する。
【0105】
図19に示す分析処理部12は、確信度算出部55が図5に示す分析処理部12に適用されたものである。しかし、これは一例に過ぎず、確信度算出部55が図17に示す分析処理部12に適用されたものであってもよい。
【0106】
図19では、分析処理部12の構成要素である第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び確信度算出部55のそれぞれが、図20に示すような専用のハードウェアによって実現されるものを想定している。即ち、分析処理部12が、時系列データ取得回路61、トランザクション特定回路62、判定回路63及び確信度算出回路65によって実現されるものを想定している。
時系列データ取得回路61、トランザクション特定回路62、判定回路63及び確信度算出回路65のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
時系列データ取得回路61、トランザクション特定回路62、判定回路63及び確信度算出回路65のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
【0107】
分析処理部12の構成要素は、専用のハードウェアによって実現されるものに限るものではなく、分析処理部12が、ソフトウェア、ファームウェア、又は、ソフトウェアとファームウェアとの組み合わせによって実現されるものであってもよい。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び確信度算出部55におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図7に示すメモリ71に格納される。そして、図7に示すプロセッサ72がメモリ71に格納されているプログラムを実行する。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び確信度算出部55におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図7に示すメモリ71に格納される。そして、図7に示すプロセッサ72がメモリ71に格納されているプログラムを実行する。
【0108】
また、図20では、分析処理部12の構成要素のそれぞれが専用のハードウェアによって実現される例を示し、図7では、分析処理部12がソフトウェア又はファームウェア等によって実現される例を示している。しかし、これは一例に過ぎず、分析処理部12における一部の構成要素が専用のハードウェアによって実現され、残りの構成要素がソフトウェア又はファームウェア等によって実現されるものであってもよい。
【0109】
【0110】
確信度算出部55は、判定部53から、判定結果を取得し、照合パターン記憶部2から、1つ以上の時間情報付きの照合パターンを取得する。
また、確信度算出部55は、第2の時系列データ取得部51から、第2の時系列データを取得する。
例えば、照合パターンがPattern1であれば、Pattern1に付加されている時間情報は、事象L3と事象L5との間の正常な範囲の発生間隔を示している。照合パターンがPattern2であれば、Pattern2に付加されている時間情報は、事象L2と事象L1との間の正常な範囲の発生間隔を示している。
また、確信度算出部55は、第2の時系列データ取得部51から、第2の時系列データを取得する。
例えば、照合パターンがPattern1であれば、Pattern1に付加されている時間情報は、事象L3と事象L5との間の正常な範囲の発生間隔を示している。照合パターンがPattern2であれば、Pattern2に付加されている時間情報は、事象L2と事象L1との間の正常な範囲の発生間隔を示している。
【0111】
確信度算出部55は、判定部53によって、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内ではないと判定されれば、他方の事象が欠損している確信度を算出する。
具体的には、以下の通りである。
例えば、時間情報付きの照合パターンがPattern1であるとき、図12に示す2つ目の期間のトランザクションを着目すると、2つ目の期間のトランザクションには、Pattern1に含まれている事象L5が含まれている。しかし、Pattern1に含まれている事象L3は、2つ目の期間のトランザクションに含まれておらず、1つ目の期間のトランザクションに含まれている。したがって、この例では、Pattern1に含まれている事象L5とPattern1に含まれている事象L3とは、互いに異なる期間のトランザクションに含まれている。
具体的には、以下の通りである。
例えば、時間情報付きの照合パターンがPattern1であるとき、図12に示す2つ目の期間のトランザクションを着目すると、2つ目の期間のトランザクションには、Pattern1に含まれている事象L5が含まれている。しかし、Pattern1に含まれている事象L3は、2つ目の期間のトランザクションに含まれておらず、1つ目の期間のトランザクションに含まれている。したがって、この例では、Pattern1に含まれている事象L5とPattern1に含まれている事象L3とは、互いに異なる期間のトランザクションに含まれている。
【0112】
確信度算出部55は、第2の時系列データが示すそれぞれの事象の発生時刻に基づいて、1つ目の期間のトランザクションに含まれている事象L3の発生時刻と、2つ目の期間のトランザクションに含まれている事象L5の発生時刻との時刻差である発生間隔を算出する。
確信度算出部55は、事象L3と事象L5との間の発生間隔と、Pattern1に付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
確信度算出部55は、事象L3と事象L5との間の発生間隔と、Pattern1に付加されている時間情報が示す正常な範囲の発生間隔とを比較する。
【0113】
確信度算出部55は、事象L3と事象L5との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。
確信度算出部55は、事象L3と事象L5との間の発生間隔について、正常時の分布によって示される該当の発生間隔が生じる確率を、事象L3と事象L5とが正常に共起している確信度であるとする。
確信度算出部55は、事象L3と事象L5との間の発生間隔が、正常な範囲の発生間隔よりも長ければ、事象L3と事象L5との間の発生間隔の範囲で正常時の分布を積分する。そして、確信度算出部55は、積分した値が、他方の事象である事象L3が欠損している確信度であるとする。
確信度算出部55は、確信度を例えば外部装置に出力する。
これにより、例えば、外部装置は、2つの事象間の発生間隔の定量的な分析が可能になる。
確信度算出部55は、事象L3と事象L5との間の発生間隔について、正常時の分布によって示される該当の発生間隔が生じる確率を、事象L3と事象L5とが正常に共起している確信度であるとする。
確信度算出部55は、事象L3と事象L5との間の発生間隔が、正常な範囲の発生間隔よりも長ければ、事象L3と事象L5との間の発生間隔の範囲で正常時の分布を積分する。そして、確信度算出部55は、積分した値が、他方の事象である事象L3が欠損している確信度であるとする。
確信度算出部55は、確信度を例えば外部装置に出力する。
これにより、例えば、外部装置は、2つの事象間の発生間隔の定量的な分析が可能になる。
【0114】
実施の形態5.
実施の形態5では、2つの事象間の発生間隔の正常度を算出する正常度算出部56を備えるデータ分析装置1について説明する。
実施の形態5では、2つの事象間の発生間隔の正常度を算出する正常度算出部56を備えるデータ分析装置1について説明する。
【0115】
図21は、実施の形態5に係るデータ分析装置1の分析処理部12を示す構成図である。図21において、図5、図17及び図19と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図22は、分析処理部12のハードウェアを示すハードウェア構成図である。図22において、図6、図18及び図20と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図21に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び正常度算出部56を備えている。
図22は、分析処理部12のハードウェアを示すハードウェア構成図である。図22において、図6、図18及び図20と同一符号は、同一又は相当部分を示すので、詳細な説明を省略する。
図21に示す分析処理部12は、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び正常度算出部56を備えている。
【0116】
正常度算出部56は、例えば、図22に示す正常度算出回路66によって実現される。
正常度算出部56は、判定部53によって、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターン選択部23により選択された照合パターンが含まれていると判定されれば、照合パターンが含まれているトランザクションの中で、照合パターン以外の2つの事象間の発生間隔の正常度を算出する。
また、正常度算出部56は、一方の事象が含まれているトランザクションと他方の事象が含まれているトランザクションとが異なるとき、以下に示す正常度を算出する。
正常度算出部56により算出される正常度は、一方の事象が含まれているトランザクションの中で一方の事象と異なる事象と、他方の事象が含まれているトランザクションの中で他方の事象と異なる事象との発生間隔の正常度である。
正常度算出部56は、判定部53によって、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターン選択部23により選択された照合パターンが含まれていると判定されれば、照合パターンが含まれているトランザクションの中で、照合パターン以外の2つの事象間の発生間隔の正常度を算出する。
また、正常度算出部56は、一方の事象が含まれているトランザクションと他方の事象が含まれているトランザクションとが異なるとき、以下に示す正常度を算出する。
正常度算出部56により算出される正常度は、一方の事象が含まれているトランザクションの中で一方の事象と異なる事象と、他方の事象が含まれているトランザクションの中で他方の事象と異なる事象との発生間隔の正常度である。
【0117】
図21に示す分析処理部12は、正常度算出部56が図5に示す分析処理部12に適用されたものである。しかし、これは一例に過ぎず、正常度算出部56が、図17に示す分析処理部12、又は、図19に示す分析処理部12に適用されたものであってもよい。
【0118】
図21では、分析処理部12の構成要素である第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び正常度算出部56のそれぞれが、図22に示すような専用のハードウェアによって実現されるものを想定している。即ち、分析処理部12が、時系列データ取得回路61、トランザクション特定回路62、判定回路63及び正常度算出回路66によって実現されるものを想定している。
時系列データ取得回路61、トランザクション特定回路62、判定回路63及び正常度算出回路66のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
時系列データ取得回路61、トランザクション特定回路62、判定回路63及び正常度算出回路66のそれぞれは、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGA、又は、これらを組み合わせたものが該当する。
【0119】
分析処理部12の構成要素は、専用のハードウェアによって実現されるものに限るものではなく、分析処理部12が、ソフトウェア、ファームウェア、又は、ソフトウェアとファームウェアとの組み合わせによって実現されるものであってもよい。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び正常度算出部56におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図7に示すメモリ71に格納される。そして、図7に示すプロセッサ72がメモリ71に格納されているプログラムを実行する。
分析処理部12が、ソフトウェア又はファームウェア等によって実現される場合、第2の時系列データ取得部51、第2のトランザクション特定部52、判定部53及び正常度算出部56におけるそれぞれの処理手順をコンピュータに実行させるためのプログラムが図7に示すメモリ71に格納される。そして、図7に示すプロセッサ72がメモリ71に格納されているプログラムを実行する。
【0120】
また、図22では、分析処理部12の構成要素のそれぞれが専用のハードウェアによって実現される例を示し、図7では、分析処理部12がソフトウェア又はファームウェア等によって実現される例を示している。しかし、これは一例に過ぎず、分析処理部12における一部の構成要素が専用のハードウェアによって実現され、残りの構成要素がソフトウェア又はファームウェア等によって実現されるものであってもよい。
【0121】
【0122】
正常度算出部56は、判定部53から、判定結果を取得する。
正常度算出部56は、判定部53の判定結果が、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターン選択部23により選択された照合パターンが含まれている旨を示しているか否かを確認する。
正常度算出部56は、それぞれの期間のトランザクションの中に、照合パターンが含まれていることを確認した場合、照合パターンが含まれているトランザクションの中で、照合パターン以外の2つの事象間の発生間隔の正常度を算出する。
正常度算出部56は、判定部53の判定結果が、第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションの中に、照合パターン選択部23により選択された照合パターンが含まれている旨を示しているか否かを確認する。
正常度算出部56は、それぞれの期間のトランザクションの中に、照合パターンが含まれていることを確認した場合、照合パターンが含まれているトランザクションの中で、照合パターン以外の2つの事象間の発生間隔の正常度を算出する。
【0123】
具体的には、以下の通りである。
第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションのうち、照合パターンが含まれているトランザクションが、例えば、{L3,L5,L4,L1}であるとする。
この例では、トランザクション{L3,L5,L4,L1}には、照合パターンであるPattern1が含まれている。また、トランザクション{L3,L5,L4,L1}には、Pattern1以外の2つの事象L4,L1が含まれている。
正常度算出部56は、事象L4と事象L1との間の発生間隔の正常度を算出する。
具体的には、正常度算出部56は、事象L4と事象L1との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。そして、正常度算出部56は、正常時の分布において、事象L4と事象L1とが発生する確率が、事象L4と事象L1との間の発生間隔の正常度であるとする。事象L4と事象L1との間の時間差の統計量を示す統計分布は、例えば、正常度算出部56の内部メモリに格納されていてもよいし、分析処理部12の外部から与えられるものであってもよい。また、統計分布は、第1の時系列データが示す発生時刻、又は、第2の時系列データが示す発生時刻に基づいて算出されたものであってもよい。
第2のトランザクション特定部52により特定されたそれぞれの期間のトランザクションのうち、照合パターンが含まれているトランザクションが、例えば、{L3,L5,L4,L1}であるとする。
この例では、トランザクション{L3,L5,L4,L1}には、照合パターンであるPattern1が含まれている。また、トランザクション{L3,L5,L4,L1}には、Pattern1以外の2つの事象L4,L1が含まれている。
正常度算出部56は、事象L4と事象L1との間の発生間隔の正常度を算出する。
具体的には、正常度算出部56は、事象L4と事象L1との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。そして、正常度算出部56は、正常時の分布において、事象L4と事象L1とが発生する確率が、事象L4と事象L1との間の発生間隔の正常度であるとする。事象L4と事象L1との間の時間差の統計量を示す統計分布は、例えば、正常度算出部56の内部メモリに格納されていてもよいし、分析処理部12の外部から与えられるものであってもよい。また、統計分布は、第1の時系列データが示す発生時刻、又は、第2の時系列データが示す発生時刻に基づいて算出されたものであってもよい。
【0124】
正常度算出部56は、一方の事象が含まれているトランザクションと他方の事象が含まれているトランザクションとが異なるとき、判定部53の判定結果が、一方の事象と他方の事象との間の発生間隔が、正常範囲推定部24により推定された正常な範囲の発生間隔以内である旨を示しているか否かを確認する。
正常度算出部56は、上記のことを確認した場合、一方の事象が含まれているトランザクションの中で一方の事象と異なる事象と、他方の事象が含まれているトランザクションの中で他方の事象と異なる事象との発生間隔の正常度を算出する。
正常度算出部56は、上記のことを確認した場合、一方の事象が含まれているトランザクションの中で一方の事象と異なる事象と、他方の事象が含まれているトランザクションの中で他方の事象と異なる事象との発生間隔の正常度を算出する。
【0125】
具体的には、以下の通りである。
例えば、照合パターンがPattern1であるとき、Pattern1に含まれている一方の事象である事象L3が、例えばトランザクション{L3,L2,L4}に含まれており、Pattern1に含まれている他方の事象である事象L5が、例えばトランザクション{L1,L5}に含まれているものとする。
そして、トランザクション{L3,L2,L4}に含まれている事象L3と、トランザクション{L1,L5}に含まれている事象L5との発生間隔が、事象L3と事象L5との間の正常な範囲の発生間隔以内であるとする。
例えば、照合パターンがPattern1であるとき、Pattern1に含まれている一方の事象である事象L3が、例えばトランザクション{L3,L2,L4}に含まれており、Pattern1に含まれている他方の事象である事象L5が、例えばトランザクション{L1,L5}に含まれているものとする。
そして、トランザクション{L3,L2,L4}に含まれている事象L3と、トランザクション{L1,L5}に含まれている事象L5との発生間隔が、事象L3と事象L5との間の正常な範囲の発生間隔以内であるとする。
【0126】
この例では、正常度算出部56は、トランザクション{L3,L2,L4}に含まれている事象L2と、トランザクション{L1,L5}に含まれている事象L1との発生間隔の正常度を算出する。
即ち、正常度算出部56は、事象L2と事象L1との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。そして、正常度算出部56は、正常時の分布により示される事象L2と事象L1の該当の発生間隔が生じる確率が、その正常度であるとする。事象L2と事象L1との間の時間差の統計量を示す統計分布は、例えば、正常度算出部56の内部メモリに格納されていてもよいし、分析処理部12の外部から与えられるものであってもよい。また、統計分布は、第1の時系列データが示す発生時刻、又は、第2の時系列データが示す発生時刻に基づいて算出されたものであってもよい。
即ち、正常度算出部56は、事象L2と事象L1との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。そして、正常度算出部56は、正常時の分布により示される事象L2と事象L1の該当の発生間隔が生じる確率が、その正常度であるとする。事象L2と事象L1との間の時間差の統計量を示す統計分布は、例えば、正常度算出部56の内部メモリに格納されていてもよいし、分析処理部12の外部から与えられるものであってもよい。また、統計分布は、第1の時系列データが示す発生時刻、又は、第2の時系列データが示す発生時刻に基づいて算出されたものであってもよい。
【0127】
また、正常度算出部56は、トランザクション{L3,L2,L4}に含まれている事象L4と、トランザクション{L1,L5}に含まれている事象L1との発生間隔の正常度を算出する。
即ち、正常度算出部56は、事象L4と事象L1との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。そして、正常度算出部56は、正常時の分布により示される事象L4と事象L1の該当の発生間隔が生じる確率が、その正常度であるとする。
即ち、正常度算出部56は、事象L4と事象L1との間の時間差の統計量を示す統計分布が、正常時の分布であると仮定する。そして、正常度算出部56は、正常時の分布により示される事象L4と事象L1の該当の発生間隔が生じる確率が、その正常度であるとする。
【0128】
正常度算出部56は、算出した正常度を、例えば外部装置に出力する。これにより、例えば、外部装置は、2つの事象間の発生間隔の定量的な分析が可能になる。
【0129】
なお、本開示は、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
【符号の説明】
【0130】
1 データ分析装置、2 照合パターン記憶部、11 照合パターン抽出部、12 分析処理部、21 第1の時系列データ取得部、22 第1のトランザクション特定部、23 照合パターン選択部、24 正常範囲推定部、25 指定受付部、26 照合パターン選択部、31 時系列データ取得回路、32 トランザクション特定回路、33 照合パターン選択回路、34 正常範囲推定回路、35 指定受付回路、36 照合パターン選択回路、41 メモリ、42 プロセッサ、51 第2の時系列データ取得部、52 第2のトランザクション特定部、53 判定部、54 情報出力部、55 確信度算出部、56 正常度算出部、61 時系列データ取得回路、62 トランザクション特定回路、63 判定回路、64 情報出力回路、65 確信度算出回路、66 正常度算出回路、71 メモリ、72 プロセッサ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図11】
【図12】
【図10】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】