ホーム > 特許ランキング > ソフトバンク株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2022-12-09
(45)【発行日】2022-12-19
(54)【発明の名称】異常検知サーバ、異常検知システム、及び異常検知方法
(51)【国際特許分類】
H04L 43/02 20220101AFI20221212BHJP
【FI】
H04L43/02
【請求項の数】
9
(21)【出願番号】P 2022041894
(22)【出願日】2022-03-16
【審査請求日】2022-03-16
(73)【特許権者】
【識別番号】501440684
【氏名又は名称】ソフトバンク株式会社
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100114018
【弁理士】
【氏名又は名称】南山 知広
(74)【代理人】
【識別番号】100180806
【弁理士】
【氏名又は名称】三浦 剛
(74)【代理人】
【識別番号】100151459
【弁理士】
【氏名又は名称】中村 健一
(72)【発明者】
【氏名】廉 キン
(72)【発明者】
【氏名】董 祺晟
【審査官】浦口 幸宏
(56)【参考文献】
【文献】特開2019-168869(JP,A)
【文献】特開2014-146197(JP,A)
【文献】飯田巨樹,ネットワーク/セキュリティ/ストレージ 3つの視点で見るリモート管理のポイント 第1部 ネットワークの管理/監視,N+I NETWORK Guide 2004年1月号,ソフトバンクパブリッシング株式会社,2004年01月01日,第4巻,第1号,通巻32号,pp.84~92
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/02
(57)【特許請求の範囲】
【請求項1】
ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、
前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、
計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、
前記異常判断部の判断結果を出力する出力部と、
を有することを特徴とする異常検知サーバ。
【請求項2】
前記除外処理部は、通信機器が起動された原因が予め判明している起動ログ情報を異常検知の対象から除外する、請求項1に記載の異常検知サーバ。
【請求項3】
前記除外処理部は、少なくとも、通信機器が強制的に起動された場合、通信機器のファームウエアが変更された場合、あるいは通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報を異常検知の対象から除外する、請求項1または2に記載の異常検知サーバ。
【請求項4】
前記除外処理部は、通信機器のユーザの生活習慣に基づいて作成された起動ログ情報を異常検知の対象から除外する、請求項1乃至3のいずれか一項に記載の異常検知サーバ。
【請求項5】
前記除外処理部は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習する、請求項4に記載の異常検知サーバ。
【請求項6】
前記異常判断部は、平均的な値からの乖離度に基づいて異常の有無を判断する、請求項1乃至5のいずれか一項に記載の異常検知サーバ。
【請求項7】
停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部をさらに有する、請求項1乃至6のいずれか一項に記載の異常検知サーバ。
【請求項8】
複数の通信機器、及び該複数の通信機器とネットワークを介して接続されたサーバを有する異常検知システムであって、前記複数の通信機器は、それぞれ、
起動時に起動ログ情報を作成する起動ログ情報作成部と、
前記起動ログ情報を送信する送受信部と、を有し、
前記サーバは、
前記複数の通信機器のそれぞれから、前記起動ログ情報を取得する取得部と、
取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、
前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、
計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、
前記異常判断部の判断結果を出力する出力部と、を有する、
ことを特徴とする異常検知システム。
【請求項9】
取得部が、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得し、除外処理部が、取得した前記起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外し、
計数部が、前記除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数し、
異常判断部が、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断し、
出力部が、前記異常判断部の判断結果を出力する、
ことを特徴とする異常検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異常検知サーバ、異常検知システム、及び異常検知方法に関する。
【背景技術】
【0002】
これまでに、ネットワーク上の異常を検知した際に、その異常の内容について判定可能な通信解析方法が知られている(例えば、特許文献1)。特許文献1に記載された通信解析方法は、ネットワーク装置で発生した情報から、異常検知の対象となる条件情報に該当する解析対象情報を抽出し、抽出した解析対象情報に基づいて特徴量を生成し、特徴量に基づいて検知した検知結果に基づき、ネットワークで発生した異常の内容を判定するものである。
【0003】
しかしながら、特許文献1に記載の通信解析方法においては、ネットワークの異常を検知するための特徴量を新たに生成する必要があり、ネットワークの異常を検知するための工数が増加し、ネットワークで発生した異常を迅速に検知することが難しいという問題があった。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2019-80201号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法は、ネットワークまたは通信機器の異常を迅速に検知することを目的とする。
【課題を解決するための手段】
【0006】
本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。
【0007】
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、通信機器が起動された原因が予め判明している起動ログ情報を異常検知の対象から除外してよい。
【0008】
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、少なくとも、通信機器が強制的に起動された場合、通信機器のファームウエアが変更された場合、あるいは通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報を異常検知の対象から除外してよい。
【0009】
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、通信機器のユーザの生活習慣に基づいて作成された起動ログ情報を異常検知の対象から除外してよい。
【0010】
本開示の一実施形態に係る異常検知サーバにおいて、除外処理部は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習することが好ましい。
【0011】
本開示の一実施形態に係る異常検知サーバにおいて、異常判断部は、平均的な値からの乖離度に基づいて異常の有無を判断してよい。
【0012】
本開示の一実施形態に係る異常検知サーバにおいて、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部をさらに有してよい。
【0013】
本開示の一実施形態に係る異常検知システムは、複数の通信機器、及び該複数の通信機器とネットワークを介して接続されたサーバを有する異常検知システムであって、複数の通信機器は、それぞれ、起動時に起動ログ情報を作成する起動ログ情報作成部と、起動ログ情報を送信する送受信部と、を有し、サーバは、複数の通信機器のそれぞれから、起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。
【0014】
本開示の一実施形態に係る異常検知方法は、取得部が、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得し、除外処理部が、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外し、計数部が、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数し、異常判断部が、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断し、出力部が、異常判断部の判断結果を出力することを特徴とする。
【発明の効果】
【0015】
本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法によれば、ネットワークまたは通信機器の異常を迅速に検知することができる。
【図面の簡単な説明】
【0016】
【図1】本開示の一実施形態に係る異常検知システムの構成概略図である。
【図2】本開示の一実施形態に係る異常検知システムを用いて検出された起動ログ情報の数の経時的変化の例を示すグラフである。
【図3】本開示の一実施形態に係る異常検知システムを構成する通信機器の構成ブロック図である。
【図4】本開示の一実施形態に係る異常検知システムにおいて、サーバが通信機器から取得した起動ログ情報の一覧表の例である。
【図5】本開示の一実施形態に係る異常検知システムにおいて、サーバが通信機器から取得する起動ログ情報のうち、ユーザの生活習慣に基づく起動ログ情報の数と時間との関係を表すグラフの例である。
【図6】本開示の一実施形態に係る異常検知システムにおいて、取得した起動ログ情報の数を正規分布に当てはめた場合の例を示すグラフである。
【図7】本開示の一実施形態に係る異常検知システムを用いて検出された各通信機器ごとの異常検知結果の出力例である。
【図8】本開示の一実施形態に係る異常検知システムの動作手順を説明するためのフローチャートである。
【図9】本開示の一実施形態に係る異常検知システムを用いて検出された複数の地域及び機種についての異常と判断された起動ログ情報の数の一覧表を示し、(a)は、特定のある日における検出結果であり、(b)は、特定のある日とは異なる別の日における検出結果である。
【発明を実施するための形態】
【0017】
以下、図面を参照して、本発明に係る異常検知サーバ、異常検知システム、及び異常検知方法について説明する。ただし、本発明の技術的範囲はそれらの実施の形態には限定されず、特許請求の範囲に記載された発明とその均等物に及ぶ点に留意されたい。
【0018】
まず、本開示の実施例1に係る異常検知システムの概要について説明する。図1に本開示の一実施形態に係る異常検知システム1000の構成概略図を示す。異常検知システム1000は、複数の通信機器20、及び複数の通信機器20とネットワーク30を介して接続された異常検知サーバ(以下、単に「サーバ」という。)10を有する。
【0019】
複数の通信機器20は、例えば、WiFiルータ20a、固定電話用通信機器20b、及びブロードバンドルータ20cである。ただし、通信機器20は、これらの例には限定されない。
【0020】
複数の通信機器20は、複数の端末40との間で通信を行う。端末40は、例えば、スマートフォン等の携帯端末、デスクトップパソコンやノートパソコン等のコンピュータ、及び固定電話等である。
【0021】
通信機器20が起動(再起動)すると、起動が行われたことを示す情報である「起動ログ情報」が作成され、サーバ10へ送信される。サーバ10は、起動ログ情報を収集することにより、いつ、どの通信機器が再起動されたのかを認識することができる。
【0022】
図2に、本開示の一実施形態に係る異常検知システム1000を用いて検出された起動ログ情報の数の経時的変化の例を示す。図2に示した例では、2月2日の12時頃に起動ログ情報の数が急増しており、何らかの異常が生じていることが推測される。しかしながら、通信機器20の再起動がサーバ10側からの遠隔操作により行われた場合等、通信機器20が再起動された原因が判明している場合は、異常検知の対象ではないものとして、その件数を検出された起動ログ情報の数から除外する必要がある。本開示の一実施形態に係る異常検知システム1000は、起動ログ情報の数を解析することにより、ネットワーク30または通信機器20の異常の有無を判断するものである。
【0023】
通信機器20が再起動されるケースとして、再起動の原因が判明しているケースと、再起動の原因が判明していないケースがある。再起動の原因が判明しているケースとしては、通信機器を駆動するためのアプリケーションソフトの更新等のために遠隔操作により意図的に再起動させる場合や、ファームウエアの更新後に、ユーザが操作して通信機器20を再起動させる場合等がある。また、通信のモードやバンドが変更された場合にも、ユーザが通信機器20を再起動させる場合がある。これらの場合においては、アプリケーションソフトの更新やファームウエアの更新等は、サーバ10側等で管理しているため、通信機器20が再起動する原因は予め判明していることになる。
【0024】
通信機器20の再起動の原因が判明していないケースには、ネットワークや通信機器の異常に基づいて再起動が行われるケースと、ネットワークや通信機器は正常に動作していても再起動が行われるケース、即ち、通信機器が起動された原因が異常に基づくものではないものと推定されるケースがある。なお、再起動の原因が判明していないケースには、ネットワーク管理者にとって再起動の原因の把握が困難なケースを含む。例えば、通信機器内に何らかの異常が発生して、内蔵されたウォッチドッグタイマの動作により通信機器が自動停止した場合、通常、ウォッチドッグタイマが動作したことを示す信号は通信機器の外部には出力されず、かつネットワーク管理者がすべての通信機器のウォッチドッグタイマの仕様を事前に詳細に把握しておくことは困難なため、再起動の原因が判明していないケースに該当する。
【0025】
ネットワークや通信機器は正常に動作していても再起動が行われるケースとして、ユーザが、端末40を使用していない場合には通信機器20の電源をOFFして、端末40の使用時に電源をONするケースがある。このように、ユーザが通信機器20の電源をONさせた場合に起動ログが作成され、起動ログ情報がサーバ10に送信される。例えば、ユーザは朝9時ごろに職務で使用する端末40を使用するために通信機器20の電源をONする場合が考えられる。また、ユーザは帰宅後に自宅の端末40を使用するために自宅の通信機器20の端末の電源をONする場合が考えられる。そのため、これらの場合にサーバ10が通信機器20から取得する起動ログ情報の数の時間的変化は、ユーザの生活リズムを反映したパターンとなることが推定される。このようにユーザの生活パターンに基づいて作成された起動ログ情報は、ネットワークや通信機器の異常が原因で作成されたものではないため、異常検知の対象とはならないものとして、サーバ10が通信機器20から取得した起動ログ情報から除外する必要がある。
【0026】
以上の起動ログ情報は、予め通信機器20の起動の原因が判明しているもの、あるいは、通信機器20が起動された原因が異常に基づくものではないものと推定されるものである。このような起動ログ情報とは別に所定数以上の起動ログ情報をサーバ10が通信機器20から受信した場合は、ネットワーク30または通信機器20に何らかの異常が生じていることが推定される。
【0027】
ネットワーク30または通信機器20に何らかの異常が生じると、ユーザ自身が通信機器20の再起動を行うと考えられる。例えば、ネットワークにおいて遅延が生じたり、通信速度が低下したりした場合には、通信機器20を再起動させることで解消する場合もあるため、ユーザは再起動を試みると考えられる。
【0028】
その他、通信機器20は、一般的に、端末40とは異なり、コンセントから電源を取っている場合が多い。そのため、例えば、停電等により電力の供給が停止した場合、通信機器20は動作を停止し、その後、電力が復帰すると、通信機器20は起動(再起動)される。
【0029】
本開示の実施形態に係る異常検知システム1000は、このような原因不明の起動ログ情報を検知し、通信機器20の異常を検出するものである。サーバ10は通信機器20から起動ログ情報を取得し、取得した起動ログ情報から通信機器20が起動された原因が異常に基づくものではない起動ログ情報を除外した残りの起動ログ情報の数を所定の基準値と比較することにより、ネットワーク30または通信機器20の異常の有無を迅速に判断することができる。
【0030】
(通信機器)
次に、本開示の実施例1に係る異常検知システムを構成する通信機器20について説明する。図3に、通信機器20の構成ブロック図を示す。通信機器20は、送受信部21と、制御部22と、起動ログ情報作成部23と、記憶部24と、を有する。
次に、本開示の実施例1に係る異常検知システムを構成する通信機器20について説明する。図3に、通信機器20の構成ブロック図を示す。通信機器20は、送受信部21と、制御部22と、起動ログ情報作成部23と、記憶部24と、を有する。
【0031】
送受信部21は、ネットワーク30を介してサーバ10との間でデータの送受信を行うとともに、端末40との間で通信を行う。特に、送受信部21は、サーバ10に対して起動ログ情報を送信する。
【0032】
制御部22は、CPU等のプロセッサにより記憶部24に記憶されたプログラムを実行することにより、通信機器20の動作を制御する。
【0033】
起動ログ情報作成部23は、通信機器20の起動時に起動ログ情報を作成する。起動ログ情報の詳細については後述する。
【0034】
記憶部24は、半導体メモリ等の記憶装置である。記憶部24は、通信機器20を制御するためのプログラムを記憶している。
【0035】
(異常検知サーバ)
次に、本開示の実施形態に係る異常検知サーバについて説明する。図1に示すように、異常検知サーバ10は、制御部11と、送受信部6と、記憶部7と、計時部8と、表示部9と、出力部5と、を有し、これらはバス12により接続されている。
次に、本開示の実施形態に係る異常検知サーバについて説明する。図1に示すように、異常検知サーバ10は、制御部11と、送受信部6と、記憶部7と、計時部8と、表示部9と、出力部5と、を有し、これらはバス12により接続されている。
【0036】
送受信部6は、ネットワーク30を介して通信機器20との間でデータの送受信を行う。特に、送受信部6は、通信機器20から起動ログ情報を取得する。
【0037】
記憶部7は、半導体メモリやハードディスク等の記憶装置である。記憶部7は、通信機器20から受信した起動ログ情報を記憶する。さらに、記憶部7は、サーバ10を制御するためのプログラムを記憶している。
【0038】
計時部8は、現在時刻を出力するモジュールである。送受信部6が通信機器20から起動ログ情報を受信した日時は、計時部8から取得された現在時刻に基づいて設定され、起動ログ情報と共に記憶部7に記憶されてよい。
【0039】
表示部9は、液晶表示装置や有機EL表示装置等の表示装置である。表示部9は、出力部5から出力された通信機器20及びネットワーク30の異常検知結果を表示する。
【0040】
出力部5は、通信機器20またはネットワーク30の異常検知結果を、送受信部6を介して、通信機器20、又はネットワーク管理者等に異常検知を通知するための機器に出力するようにしてよい。
【0041】
制御部11は、取得部1と、除外処理部2と、計数部3と、異常判断部4と、を有し、これらは、サーバ10に設けられたCPU等のプロセッサにより記憶部7に記憶されたプログラムを実行することにより実現される。
【0042】
取得部1は、ネットワーク30を介して、複数の通信機器20のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する。起動ログ情報には、起動ログ情報を送信した通信機器の識別番号、及び通信機器20が再起動された原因が判明している場合には、その原因に関する情報が含まれてよい。例えば、アプリケーションソフトの更新等のために遠隔操作により再起動する場合、及びファームウエアの更新後や通信のモードやバンドが変更された場合等において、通信機器20が再起動されたときに、その原因に関する情報が起動ログ情報に含まれてよい。
【0043】
図4に、本開示の一実施形態に係る異常検知システム1000において、サーバ10が通信機器20から取得した起動ログ情報の一覧表100の例を示す。起動ログ情報の一覧表100には、区間101、ID102、通信機器の種別103、取得時刻104、再起動の原因105、除外対象フラグ106、積算値107のそれぞれの情報が含まれてよい。
【0044】
区間101は、例えば、起動ログ情報の取得を30分ごとに集計する場合に、1日の何番目の区間に相当するかを示すものである。図4に示した例では、ある日の0時0分0秒(00:00:00)から30分間の区間101を「区間1」とし、その次の30分間の区間101を「区間2」とする例を示している。ただし、起動ログ情報を集計する期間は、30分間には限定されず、任意の期間に設定してよい。
【0045】
ID102は、取得した起動ログ情報の識別番号である。例えば、時刻「00:00:05」に最初の起動ログ情報を取得した場合は、その起動ログ情報のID102を「0001」としてよい。その後に取得した起動ログ情報のID102には連続した番号を付してよい。例えば、図4に示した例では区間101が「1」の区間では、合計210個の起動ログ情報を取得したことを示している。
【0046】
通信機器の種別103は、起動ログ情報を送信した通信機器の種別を示してよい。例えば、図4に示した例では、最初(ID「0001」)にWiFiルータ20aから起動ログ情報を取得し、2番目(ID「0002」)に固定電話用通信機器20bから起動ログ情報を取得し、3番目(ID「0003」)にブロードバンド(BB)ルータ20cから起動ログ情報を取得した例を示している、ただし、このような例には限られず、通信機器の種別だけでなく、固有の機種識別番号や通信機器20が設置された位置に関する情報等を起動ログ情報に含めて取得するようにしてよい。
【0047】
取得時刻104は、送受信部6が通信機器20から起動ログ情報を受信した際に、計時部8から取得された現在時刻に基づいて設定されてよい。
【0048】
再起動の原因105は、再起動の原因が予め判明している場合はその原因を記録し、予め判明している原因に該当しない場合は、空欄(図4では「---」と表示)としてよい。例えば、ID「0001」の起動ログ情報をWiFiルータ20aから取得する直前に、リモート操作でWiFiルータ20aを再起動させた場合には、再起動の原因105を「リモート操作による再起動」としてよい。また、ID「0003」の起動ログ情報をBBルータ20cから取得する前に、ファームウエアの更新がなされた場合には、ユーザがBBルータ20cを再起動させたものと推定されるため、再起動の原因105を「ファームウエアの更新後の再起動」としてよい。再起動の原因が予め判明していない場合には、ユーザの通常の生活習慣に基づいて通信機器が再起動された場合(通信機器20が起動された原因が異常に基づくものではないものと推定される場合)と、通信機器に異常が生じて再起動された場合が含まれると推定される。
【0049】
(異常検知の対象外の起動ログ情報の除外方法)
除外処理部2は、取得した起動ログ情報が、通信機器20が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する。除外処理部2は、通信機器20が起動された原因が予め判明している起動ログ情報を除外してよい。図1に示すように、除外処理部2は、第1除外処理部2aと、第2除外処理部2bと、を備えてよい。
除外処理部2は、取得した起動ログ情報が、通信機器20が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する。除外処理部2は、通信機器20が起動された原因が予め判明している起動ログ情報を除外してよい。図1に示すように、除外処理部2は、第1除外処理部2aと、第2除外処理部2bと、を備えてよい。
【0050】
第1除外処理部2aは、少なくとも、通信機器20が強制的に起動された場合、通信機器20のファームウエアが変更された場合、あるいは通信機器20のモードまたはバンドが変更された場合に作成された起動ログ情報を除外してよい。上述したように、これらの起動ログ情報は、作成された原因が判明しているため、ネットワークの異常に起因したものではないものと判断することができるため、異常検知の対象とする起動ログ情報から除外するものである。ただし、これらに限られず、作成された原因が判明している起動ログ情報であれば、異常検知の対象から除外してよい。
【0051】
このように、除外処理部2は、取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報である場合は、異常検知の対象から除外する。例えば、図4に示すように、IDが「0001」及び「0003」の起動ログ情報は、再起動の原因が判明してため、除外対象フラグ106を立てて、除外する起動ログ情報であることを明示してよい。
【0052】
上記のようにして所定期間内に集計された起動ログ情報から、作成された原因が判明している起動ログ情報が除外されたものには、ネットワークまたは通信機器の異常に基づいて再起動された際に作成された起動ログ情報と、ユーザの生活習慣に基づいて通信機器が再起動された際に作成された起動ログ情報(通信機器20が起動された原因が異常に基づくものではないものと推定される起動ログ情報)とが含まれる。
【0053】
そこで、第2除外処理部2bは、通信機器20のユーザの生活習慣に基づいて作成された起動ログ情報を除外してよい。
【0054】
図5に、本開示の一実施形態に係る異常検知システムにおいて、サーバ10が通信機器20から取得する起動ログ情報のうち、ユーザの生活習慣に基づく起動ログ情報の数と時間との関係を表すグラフの例を示す。曲線Lwは平日における起動ログ情報の数の時間的変化を表し、曲線Lhは休日における起動ログ情報の数の時間的変化を表している。
【0055】
平日においては、曲線Lwで示すように、ユーザは午前9時ごろに職務で使用する端末40を使用するために通信機器20の電源をONする場合が多いと考えられるため、起動ログ情報の数が午前9時ごろに第1のピークP1を示す。また、ユーザは帰宅後に自宅の端末40を使用するために自宅の通信機器20の端末の電源をONする場合が多いと考えられるため、起動ログ情報の数が18時ごろに第2のピークP2を示す。
【0056】
一方、休日においては、曲線Lhで示すように、ユーザは平日より遅い時間帯に端末40の操作を行うために通信機器20を起動させ、曲線Lwよりなだらかに起動ログ情報の数が増加する。このように、ユーザの生活習慣に基づいて作成される起動ログ情報は、平日と休日とでは異なった変化を呈すると考えられる。
【0057】
除外処理部2は、所定の期間に渡って取得した起動ログ情報に基づいて、ユーザの生活習慣に基づいて作成された起動ログ情報の時間的なパターンを機械学習により学習してよい。このような構成とすることにより、平日及び休日のそれぞれにおける起動ログ情報の数を所定の期間に渡って収集し、機械学習や統計処理によって、通常作成されると予想される起動ログ情報の数を推定することができる。
【0058】
以上のようにして、所定の期間に渡って取得した起動ログ情報から、第1除外処理部2a及び第2除外処理部2bによって除外された残り(残渣)の起動ログ情報がネットワークまたは通信機器の異常に起因して作成された起動ログ情報であると判断することができる。
【0059】
計数部3は、除外処理部2の第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数を所定期間毎に計数する。例えば、図4において、区間「1」において、ID「0001」の起動ログ情報は、再起動された原因が予め判明している起動ログ情報であるため、異常検知の対象からは除外され、積算値には含めず、積算値107は「0」となる。一方、ID「0002」の起動ログ情報は、再起動された原因が予め判明していない起動ログ情報であるため、異常検知の対象に含めるため、積算されて積算値107は「1」となる。また、ID「0003」の起動ログ情報は、再起動された原因が予め判明している起動ログ情報であるため、異常検知の対象からは除外され、積算値には含めず、積算値107は「1」のままとなる。
【0060】
以下、同様にして、異常検知の対象となる起動ログ情報の積算を所定期間毎に行う。図4に示した例では、区間「1」において、210個の起動ログ情報を取得し、第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数が、異常検知の対象となる起動ログ情報の数であり、図4においては38個であった例を示している。なお、次の区間「2」は、積算値の初期値を「0」にリセットしてから積算を開始してよい。なお、積算値は、所定期間における通信機器の種別ごとに積算して求めてもよい。
【0061】
サーバ10が、所定期間において、複数の通信機器20から取得した起動ログ情報の総数をSt、第1除外処理部2a及び第2除外処理部2bが除外する起動ログ情報をそれぞれS1、S2とすると、異常検知の対象とする起動ログ情報の数Saは、Sa=St-S1-S2により算出される。
【0062】
異常判断部4は、上記のようにして計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークまたは通信機器の異常の有無を判断する。
【0063】
例えば、図4に示した例では、区間「1」において集計された異常検知の対象となる起動ログ情報の数は38個であるが、これは、区間「1」において取得した全ての起動ログ情報の数である210個の中から、第1除外処理部2a及び第2除外処理部2bにより、通信機器が起動された原因が異常に基づくものではない起動ログ情報を除外したものである。
【0064】
図6に、本開示の一実施形態に係る異常検知システムにおいて、取得した起動ログ情報の数を正規分布に当てはめた場合の例を示すグラフを示す。横軸は異常検知の対象となる起動ログ情報の数であり、縦軸は確率分布である。図6は平均値が20、標準偏差σが5である例を示している。上記の例では、異常検知の対象となる起動ログ情報の数が38個であり、平均値から3σの範囲の上限である35個を閾値とすると、38個という数値は閾値を超えているために異常と判断することができる。このように、異常判断部4は、平均的な値からの乖離度に基づいて異常の有無を判断してよい。
【0065】
出力部5は、異常判断部4の判断結果を出力する。例えば、出力部5は、表示部9に異常判断部4の判断結果を出力する。図7に、本開示の一実施形態に係る異常検知システムを用いて検出された各通信機器ごとの異常検知結果の出力例を示す。一例として、2022年3月11日11:00現在におけるサービス異常発生件数の累計を示す。サービス異常発生件数を示す表200には、サービス名201、WiFiルータでの異常発生件数202、固定電話用通信機器での異常発生件数203、BBルータでの異常発生件数204が示されている。
【0066】
ネットワーク30の管理者は、表200を参照することにより、どの通信機器において異常が発生しているかを迅速に把握することができる。
【0067】
次に、本開示の実施形態に係る異常検知方法について説明する。図8に、本開示の一実施形態に係る異常検知システムの動作手順を説明するためのフローチャートを示す。
【0068】
まず、ステップS101において、取得部1(図1参照)が、ネットワーク30を介して、複数の通信機器20のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する。
【0069】
次に、ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報であるか否かを判断する。ここで、起動された原因が予め判明している起動ログ情報は、例えば、(1)通信機器が強制的に起動された場合に作成された起動ログ情報、(2)通信機器のファームウエアが変更された場合に作成された起動ログ情報、(3)通信機器のモードまたはバンドが変更された場合に作成された起動ログ情報である。
【0070】
ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報であると判断した場合は、ステップS103において、第1除外処理部2aが異常検知の対象から除外する。
【0071】
一方、ステップS102において、除外処理部2が、取得部1が取得した起動ログ情報が、起動された原因が予め判明している起動ログ情報ではないと判断した場合は、ステップS103における除外処理は行われない。
【0072】
次に、ステップS104において、第2除外処理部2bが生活習慣に基づく起動ログ情報を除外する。
【0073】
次に、ステップS105において、計数部3が、第1除外処理部2a及び第2除外処理部2bにより除外されなかった残りの起動ログ情報の数を所定期間毎に計数する。
【0074】
次に、ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値より大きいか否かを判断する。
【0075】
ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値より大きいと判断した場合は、ステップS107において、異常有りと判断する。
【0076】
一方、ステップS106において、異常判断部4が、計数された起動ログ情報の数が所定の閾値未満であると判断した場合は、ステップS108において、異常無しと判断する
【0077】
次に、ステップS109において、出力部5が、異常判断部4の判断結果を出力する。
【0078】
(停電に基づく起動ログ情報の分析)
通信機器20が設置された地域において停電が発生すると、通信機器20は動作を停止し、停電復帰後に再起動される。従って、停電が発生した地域において、停電に伴って起動ログ情報の数が増加することが考えられる。そこで、サーバ10は、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部13(図1参照)をさらに有してよい。
通信機器20が設置された地域において停電が発生すると、通信機器20は動作を停止し、停電復帰後に再起動される。従って、停電が発生した地域において、停電に伴って起動ログ情報の数が増加することが考えられる。そこで、サーバ10は、停電が発生した場合に取得した起動ログ情報に基づいて、停電に基づく異常の有無を推定する停電異常推定部13(図1参照)をさらに有してよい。
【0079】
停電により通信機器20が再起動された場合、ネットワーク30や通信機器20には異常が発生しないとも考えられる。しかしながら、停電の発生により、通信機器20のユーザは何らかの影響を受けることが想定される。そこで停電異常推定部13は、起動ログ情報の増加が停電を原因とするものであるか否かを推定し、停電が原因である場合は、その旨を出力部5に出力させることが好ましい。このような構成とすることにより、ユーザは通信機器20の再起動が停電に基づくものであることを把握することができる。
【0080】
停電による起動ログ情報の数の変化に特徴がある場合には、停電異常推定部13は、過去の起動ログ情報の時間的変化のデータから、今回の起動ログ情報の増加は停電によるものであると判断してよい。このような構成とすることで、サーバ10の外部から停電に関する情報を受信する前に、起動ログ情報の増加が停電に基づくものであるか否かを迅速に判断することができる。
【0081】
一方、停電に関する情報が、電力会社等からリアルタイムに取得可能である場合は、停電異常推定部13は、取得した停電関する情報に基づいて、起動ログ情報の増加が停電に基づくものであるか否かを判断してよい。例えば、起動ログ情報の増加が発生した地域と、停電が発生した地域とを照らし合わせて、両地域が一致した場合には、起動ログ情報の増加が停電に基づくものであると判断することができる。
【0082】
(異常が生じた地域及び機種の特定方法)
上述した例では、所定の地域における複数の通信機器を設置したネットワークにおける異常の判断方法について説明した。しかしながら、ネットワーク障害の原因にはネットワーク自体に異常が生じている場合と、特定の機種の通信機器に異常が生じている場合が考えられ、両者を切り分けることが好ましい。そこで、複数の地域に渡って複数の通信機器を設置したネットワークにおける異常を検知することにより、異常の原因が特定の地域のネットワークによるものであるのか、特定の機種の通信機器によるものであるのかを判別する方法について説明する。
上述した例では、所定の地域における複数の通信機器を設置したネットワークにおける異常の判断方法について説明した。しかしながら、ネットワーク障害の原因にはネットワーク自体に異常が生じている場合と、特定の機種の通信機器に異常が生じている場合が考えられ、両者を切り分けることが好ましい。そこで、複数の地域に渡って複数の通信機器を設置したネットワークにおける異常を検知することにより、異常の原因が特定の地域のネットワークによるものであるのか、特定の機種の通信機器によるものであるのかを判別する方法について説明する。
【0083】
図9(a)及び(b)に、本開示の一実施形態に係る異常検知システム1000を用いて検出された複数の地域及び機種についての異常と判断された起動ログ情報の数の一覧表を示す。図9(a)は、特定のある日における検出結果を示し、図9(b)は、特定のある日とは異なる別の日における検出結果を示す。図9(a)及び(b)においては、複数の地域が、東京、大阪、北海道であり、複数の機種が、WiFiルータ、固定電話用通信機器、BBルータである場合を例にとって説明する。
【0084】
図9(a)においては、異常と判断された起動ログ情報の数が多いのは、ネットワークが存在する地域に関わらず、WiFiルータである。従って、この場合は、WiFiルータに異常が発生していることが推測される。
【0085】
一方、図9(b)においては、異常と判断された起動ログ情報の数が多いのは、通信機器の機種に関わらず、大阪である。従って、この場合は、大阪に設置されたネットワークに異常が発生していることが推測される。
【0086】
以上、本発明によれば、上述した作用により、ネットワーク又は通信機器の異常を迅速に検知することができるため、信頼できる持続可能なインフラの構築に寄与し、SDGs目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。
【符号の説明】
【0087】
1 取得部
2 除外処理部
2a 第1除外処理部
2b 第2除外処理部
3 計数部
4 異常判断部
5 出力部
6 送受信部
7 記憶部
8 計時部
9 表示部
10 サーバ
11 制御部
12 バス
13 停電異常推定部
20 通信機器
30 ネットワーク
40 端末
1000 異常検知システム
2 除外処理部
2a 第1除外処理部
2b 第2除外処理部
3 計数部
4 異常判断部
5 出力部
6 送受信部
7 記憶部
8 計時部
9 表示部
10 サーバ
11 制御部
12 バス
13 停電異常推定部
20 通信機器
30 ネットワーク
40 端末
1000 異常検知システム
【要約】
【課題】本開示の一実施形態に係る異常検知サーバ、異常検知システム、及び異常検知方法は、ネットワークの異常を迅速に検知することを目的とする。
【解決手段】本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。
【選択図】図1
【解決手段】本開示の一実施形態に係る異常検知サーバは、ネットワークを介して、複数の通信機器のそれぞれから、起動時に作成されるログ情報である起動ログ情報を取得する取得部と、取得した起動ログ情報が、通信機器が起動された原因が異常に基づくものではない場合は、異常検知の対象から除外する除外処理部と、除外処理部により除外されなかった残りの起動ログ情報の数を所定期間毎に計数する計数部と、計数された起動ログ情報の数を所定の閾値と比較することにより、ネットワークの異常の有無を判断する異常判断部と、異常判断部の判断結果を出力する出力部と、を有することを特徴とする。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】