(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-07
(45)【発行日】2024-06-17
(54)【発明の名称】情報処理装置、情報処理方法及び情報処理プログラム
(51)【国際特許分類】
G06F 11/07 20060101AFI20240610BHJP
H04L 43/08 20220101ALI20240610BHJP
【FI】
G06F11/07 181
H04L43/08
(21)【出願番号】P 2023069677
(22)【出願日】2023-04-20
(62)【分割の表示】P 2022092249の分割
【原出願日】2022-06-07
【審査請求日】2023-05-09
【早期審査対象出願】
(73)【特許権者】
【識別番号】501440684
【氏名又は名称】ソフトバンク株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】石井 一成
(72)【発明者】
【氏名】平野 泰平
【審査官】福西 章人
(56)【参考文献】
【文献】特開2014-56509(JP,A)
【文献】米国特許出願公開第2005/0289219(US,A1)
【文献】国際公開第2022/054542(WO,A1)
【文献】特開2003-330758(JP,A)
【文献】特開2007-30444(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/07
11-28/11-36
H04L 43/08
(57)【特許請求の範囲】
【請求項1】
同一の機能を提供し、並列して処理を行うよう構成された複数の監視対象装置のグループであるバンドルグループからなる分散型ネットワークを構成する前記複数の監視対象装置それぞれに関するトラフィック量を前記バンドルグループ単位で合算したバンドルトラフィック量を算出する算出部と、
前記バンドルトラフィック量の周期的な傾向に基づいて、前記バンドルグループ単位での異常検知通知であるバンドル異常検知通知の出力を抑制する出力制御部と、
を備える情報処理装置。
【請求項2】
同一の機能を提供し、並列して処理を行うよう構成された複数の監視対象装置のグループであるバンドルグループからなる分散型ネットワークを構成する前記複数の監視対象装置それぞれに関するトラフィック量の値の全てが所定の閾値を下回っている場合、前記バンドルグループ単位での異常検知通知であるバンドル異常検知通知の出力を抑制する出力制御部を備える情報処理装置。
【請求項3】
前記トラフィック量は、前記複数の監視対象装置それぞれの出力ポートから出力される出力トラフィック量である、
請求項1または2に記載の情報処理装置。
【請求項4】
前記トラフィック量は、前記複数の監視対象装置それぞれの入力ポートに入力する入力トラフィック量である、
請求項1または2に記載の情報処理装置。
【請求項5】
情報処理装置が実行するプログラムにより実現される情報処理方法であって、
同一の機能を提供し、並列して処理を行うよう構成された複数の監視対象装置のグループであるバンドルグループからなる分散型ネットワークを構成する前記複数の監視対象装置それぞれに関するトラフィック量を前記バンドルグループ単位で合算したバンドルトラフィック量を算出する算出工程と、
前記バンドルトラフィック量の周期的な傾向に基づいて、前記バンドルグループ単位での異常検知通知であるバンドル異常検知通知の出力を抑制する出力制御工程と、
を含む情報処理方法。
【請求項6】
情報処理装置が実行するプログラムにより実現される情報処理方法であって
同一の機能を提供し、並列して処理を行うよう構成された複数の監視対象装置のグループであるバンドルグループからなる分散型ネットワークを構成する前記複数の監視対象装置それぞれに関するトラフィック量の値の全てが所定の閾値を下回っている場合、前記バンドルグループ単位での異常検知通知であるバンドル異常検知通知の出力を抑制する出力制御工程を含む情報処理方法。
【請求項7】
同一の機能を提供し、並列して処理を行うよう構成された複数の監視対象装置のグループであるバンドルグループからなる分散型ネットワークを構成する前記複数の監視対象装置それぞれに関するトラフィック量を前記バンドルグループ単位で合算したバンドルトラフィック量を算出する算出手順と、
前記バンドルトラフィック量の周期的な傾向に基づいて、前記バンドルグループ単位での異常検知通知であるバンドル異常検知通知の出力を抑制する出力制御手順と、
をコンピュータに実行させる情報処理プログラム。
【請求項8】
同一の機能を提供し、並列して処理を行うよう構成された複数の監視対象装置のグループであるバンドルグループからなる分散型ネットワークを構成する前記複数の監視対象装置それぞれに関するトラフィック量の値の全てが所定の閾値を下回っている場合、前記バンドルグループ単位での異常検知通知であるバンドル異常検知通知の出力を抑制する出力制御手順をコンピュータに実行させる情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。
【背景技術】
【0002】
従来、情報処理装置が監視対象の異常を検知し、監視対象の管理者に通知する技術が知られている。例えば、監視対象の異常が検出されるまでの監視対象の監視結果値を基に、監視対象の異常が瞬間的な異常か否かを判断する。そして、監視対象の異常が瞬間的な異常ではなかった場合に、障害メッセージを通知する技術が知られている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2009-258955号公報
【文献】特許第3634544号公報
【文献】特開2005-132021号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
監視対象の監視に係る管理者の負担を低減することを可能とする技術が求められている。
【0005】
本願は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる情報処理装置、情報処理方法及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御部と、を備える。前記出力制御部は、前記第1の時刻を開始時刻とする前記第1の抑制時間内に前記第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制する。
【0007】
前記出力制御部は、前記第2の異常検知通知を受け付けた第2の時刻を開始時刻とする前記第1の抑制時間内に前記第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、前記第3の異常検知通知の出力を抑制し、前記第2の時刻を開始時刻とする前記第1の抑制時間内に前記回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第3の異常検知通知を受け付けないことを条件として、前記第2の時刻を開始時刻とする前記第1の抑制時間の経過後に前記回復検知通知を出力する。
【0008】
前記出力制御部は、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、第4の異常検知通知を受け付けた場合は、前記第1の抑制時間よりも長い第2の抑制時間にわたって、前記第4の異常検知通知の出力を抑制し、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記回復検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けないことを条件として、前記第2の抑制時間の経過後に前記回復検知通知を出力する。
【0009】
前記出力制御部は、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了後に前記第4の異常検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間にわたって前記第4の異常検知通知の出力を抑制し、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了後に、前記第4の異常検知通知を受け付け、更に前記回復検知通知を受け付けた場合は、前記第4の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。
【0010】
前記出力制御部は、前記第2の時刻を開始時刻とする前記第1の抑制時間の終了時刻が前記所定時間を超え、かつ、前記第2の時刻を開始時刻とする前記第1の抑制時間に前記第3の異常検知通知を受け付け、更に前記回復検知通知を受け付けた場合は、前記第3の異常検知通知を受け付けた時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。
【0011】
本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御部と、を備える。
【0012】
前記出力制御部は、前記監視対象の状態を示す状態情報から、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を推定するよう学習された機械学習モデルを用いて、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を推定する。
【0013】
前記出力制御部は、前記受付部が前記異常検知通知を受け付けた時刻から一定の時間内に受け付けた前記異常検知通知の履歴に基づいて、統計的手法を用いて、前記異常検知通知を受け付けてから、前記異常検知通知を受け付けなくなるまでの期間を推定し、推定した期間に基づいて、前記第1の抑制時間、前記所定時間または前記第2の抑制時間を決定する。
【0014】
本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付部と、第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御部と、を備える。前記出力制御部は、前記第1の抑制時間内に複数の異常検知通知を受け付けた場合は、前記複数の異常検知通知の出力を抑制する。
【0015】
前記出力制御部は、前記監視対象の状態が異常から回復したことを示す回復検知通知を前記第1の抑制時間内に受け付けた場合は、前記回復検知通知の出力を抑制する。
【0016】
前記出力制御部は、前記第1の異常検知通知を出力した第1の時刻を開始時刻とする第2の抑制時間であって、前記第1の抑制時間よりも短い前記第2の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、前記第1の時刻を開始時刻とする前記第2の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記回復検知通知を受け付けた第2の時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。
【0017】
前記出力制御部は、前記第2の異常検知通知を受け付けた第3の時刻を開始時刻とする前記第2の抑制時間内に前記第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、前記第3の異常検知通知の出力を抑制し、前記第3の時刻を開始時刻とする前記第2の抑制時間内に前記回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第3の異常検知通知を受け付けないことを条件として、前記第2の時刻を開始時刻とする前記第2の抑制時間の経過後に前記回復検知通知を出力する。
【0018】
前記出力制御部は、前記監視対象の状態を示す状態情報から、前記第1の抑制時間、前記累積閾値時間または前記第2の抑制時間を推定するよう学習された機械学習モデルを用いて、前記第1の抑制時間、前記累積閾値時間または前記第2の抑制時間を推定する。
【0019】
本願に係る情報処理方法は、情報処理装置が実行するプログラムにより実現される情報処理方法であって、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、前記第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御工程と、を含む。
【0020】
本願に係る情報処理方法は、情報処理装置が実行するプログラムにより実現される情報処理方法であって、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、第1の抑制時間内に複数の異常検知通知を受け付けた場合は、前記複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御工程と、を含む。
【0021】
本願に係る情報処理方法は、情報処理装置が実行するプログラムにより実現される情報処理方法であって、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付工程と、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御工程と、を含む。
【0022】
本願に係る情報処理プログラムは、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付手順と、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に前記第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、前記第2の異常検知通知の出力を抑制し、前記第1の抑制時間内に前記監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、前記回復検知通知を受け付けた後に前記第2の異常検知通知を受け付けないことを条件として、前記第1の抑制時間の経過後に前記回復検知通知を出力する出力制御手順と、をコンピュータに実行させる。
【0023】
本願に係る情報処理プログラムは、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付手順と、第1の抑制時間内に複数の異常検知通知を受け付けた場合は、前記複数の異常検知通知の出力を抑制し、前記複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、前記第1の抑制時間の経過後に第1の異常検知通知を出力する出力制御手順と、をコンピュータに実行させる。
【0024】
本願に係る情報処理プログラムは、監視対象の状態が異常であることを示す異常検知通知を受け付ける受付手段と、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に前記第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、前記他の異常検知通知の出力を抑制し、前記第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、前記第1の抑制時間よりも長い第2の抑制時間の経過後、または、前記第1の抑制時間に前記異常検知通知を抑制する処理を前記所定時間継続した後に、前記監視対象の状態が異常から回復したことを示す回復検知通知を出力する出力制御手段と、をコンピュータに実行させる。
【発明の効果】
【0025】
実施形態の一態様によれば、監視対象の監視に係る負荷を低減することを可能とすることができる。
【図面の簡単な説明】
【0026】
【
図1】
図1は、実施形態に係る情報処理システムの構成例を示す図である。
【
図2】
図2は、実施形態に係るフィルタ装置の構成例を示す図である。
【
図3】
図3は、実施形態に係る通知の抑制処理について説明するための図である。
【
図4】
図4は、実施形態に係る通知の抑制処理について説明するための図である。
【
図5】
図5は、実施形態に係る通知の抑制処理について説明するための図である。
【
図6】
図6は、実施形態に係る通知の抑制処理について説明するための図である。
【
図7】
図7は、変形例に係る通知の抑制処理について説明するための図である。
【
図8】
図8は、変形例に係る通知の抑制処理について説明するための図である。
【
図9】
図9は、変形例に係る通知の抑制処理について説明するための図である。
【
図10】
図10は、変形例に係る通知の抑制処理について説明するための図である。
【
図11】
図11は、変形例に係る通知の抑制処理について説明するための図である。
【
図12】
図12は、変形例に係る通知の抑制処理について説明するための図である。
【
図13】
図13は、情報処理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。
【発明を実施するための形態】
【0027】
以下に、本願に係る情報処理装置、情報処理方法及び情報処理プログラムを実施するための形態(以下、「実施形態」と呼ぶ)について図面を参照しつつ詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法及び情報処理プログラムが限定されるものではない。また、以下の各実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。
【0028】
(実施形態)
〔1.ばたつき抑制モード〕
従来、監視対象の状態を検知する検知装置が知られている。検知装置は、例えば、送受信したパケット量、CPU(Central Processing Unit)もしくは、メモリ等のハードウェアリソースの使用量、または、インターフェイスもしくは、電源ユニットなどのハードウェアの状態等の監視対象の状態を示す状態情報に基づいて、監視対象の状態が異常であるか否かを検知する。監視対象の状態が異常であるか否は、例えば、予め定められた閾値に基づいて検知する、または、監視対象の状態が異常であるか否を検知するよう学習された機械学習モデルを用いて、監視対象の状態を検知する等の手法によって行われてよい。検知装置は、監視対象の状態が異常であることを検知した場合、監視対象を管理する管理者に対して、監視対象の状態が異常であることを示す異常検知通知を行う。
【0029】
また、検知装置によって検知される異常の中には、管理者に対して通知を行う必要のないものが含まれる。例えば、検知装置は、監視対象の状態が異常であることを検知した場合に、監視対象の状態が異常から回復するまでの間、異常を検知し続け、連続して異常検知通知を行う場合がある。このような場合、管理者は最初の異常検知通知を以って異常の発生を認識することができるにも関わらず、検知装置から繰り返し同一の異常検知通知を受けることになる。管理者は、繰り返し通知される異常検知通知のそれぞれについて、監視対象の状態を確認するまたは、内容が最初の異常検知と同一であるかを確認するなどの確認作業を行う必要がある。通常、管理者は、このような確認作業と並行して、最初の異常検知通知で認識した異常の復旧作業を行う必要があるため、管理者に対して過度な負担を強いることになっていた。
【0030】
そこで、検知装置から管理者に対して異常検知通知を行う前に、検知装置から異常検知通知を受け付けて、受け付けた異常検知通知のうち、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制するフィルタ装置が知られている。例えば、フィルタ装置は、検知装置から連続して異常検知通知を受け付けた場合、初回の異常検知通知を行った後は、監視対象の状態が異常から回復したことを示す回復検知通知を受け付けるまで、次回以降の異常検知通知を行わないよう抑制する。
【0031】
しかしながら、上述したフィルタ装置は、例えば、短時間の間に、異常検知通知と回復検知通知を繰り返す場合であって、管理者に対して何度も通知を行う必要のない異常検知通知を行わないよう抑制することができなかった。したがって、上述したフィルタ装置は、監視対象の監視に係る管理者の負担を低減することが困難な場合があった。
【0032】
これに対し、本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付け、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制してよい。また、抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、抑制時間の経過後に回復検知通知を出力してよい。
【0033】
これにより、情報処理装置は、例えば、管理者に対して、初回の異常検知通知を行った後、一定時間の間、散発的に発生する異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。
【0034】
また、本願に係る情報処理装置は、監視対象の状態が異常であることを示す異常検知通知を受け付け、累積測定時間内に複数の異常検知通知を受け付けた場合は、複数の異常検知通知の出力を抑制し、複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であることを条件として、累積測定時間の経過後に第1の異常検知通知を出力してよい。
【0035】
これにより、情報処理装置は、例えば、管理者に対して、一定時間の間、異常検知通知と回復検知通知を繰り返す場合の異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。
【0036】
〔2.情報処理システムの構成〕
以下では、実施形態に係る情報処理装置がフィルタ装置100である場合について説明する。また、以下では、実施形態に係る監視対象が対象装置10である場合について説明する。
【0037】
図1は、実施形態に係る情報処理システム1の構成例を示す図である。
図1に示すように、情報処理システム1には、対象装置10と、検知装置20と、フィルタ装置100と、監視装置200とが含まれる。対象装置10と、検知装置20と、フィルタ装置100と、監視装置200とは所定のネットワークNを介して、有線または無線により通信可能に接続される。なお、
図1に示した情報処理システム1には、複数台の対象装置10や、複数台の検知装置20や、複数台のフィルタ装置100や、複数台の監視装置200が含まれてもよい。
【0038】
対象装置10は、監視対象のネットワークを構成する装置または機器である。対象装置10は、例えば、送受信したパケット量、CPU(Central Processing Unit)もしくは、メモリ等のハードウェアリソースの使用量、または、インターフェイスもしくは、電源ユニットなどのハードウェアの状態等の対象装置10の状態を示す状態情報を検知装置20に対して送信する。
【0039】
検知装置20は、対象装置10の状態を検知する情報処理装置である。検知装置20は、対象装置10から状態情報を取得する。また、検知装置20は、対象装置10の状態情報に基づいて、対象装置10の状態が異常であるか否かを検知する。監視対象の状態が異常であるか否は、例えば、予め定められた閾値に基づいて検知する、または、監視対象の状態が異常であるか否を検知するよう学習された機械学習モデルを用いて、対象装置10の状態を検知するなどの手法を用いてよい。検知装置20は、対象装置10の状態が異常であることを検知した場合、対象装置10の状態が異常であることを示す異常検知通知をフィルタ装置100に送信する。また、検知装置20は、対象装置10の状態が異常から回復したことを検知した場合、対象装置10の状態が異常から回復したことを示す回復検知通知をフィルタ装置100に送信する。なお、検知装置20の各機能は、2以上の機器に分離して用意されてよい。
【0040】
フィルタ装置100は、管理者に対して通知を行う必要のない通知(異常検知通知または回復検知通知)の出力を抑制する情報処理装置である。管理者に対して通知を行う必要のない通知とは、例えば、管理者が既に認識した異常と同一の異常を反復的に通知するものであってよい。フィルタ装置100は、検知装置20から異常検知通知を受け付ける。フィルタ装置100は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。また、フィルタ装置100は、検知装置20から回復検知通知を受け付ける。また、フィルタ装置100は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、抑制時間の経過後に回復検知通知を出力する。
【0041】
監視装置200は、対象装置10の管理者によって使用される情報処理装置である。監視装置200は、フィルタ装置100から出力された異常検知通知または回復検知通知を受信する。監視装置200は、異常検知通知または回復検知通知を受信した場合、異常検知通知または回復検知通知を出力する。
【0042】
〔3.フィルタ装置の構成〕
図2は、実施形態に係るフィルタ装置100の構成例を示す図である。フィルタ装置100は、通信部110と、記憶部120と、制御部130とを有する。
【0043】
(通信部110)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。そして、通信部110は、ネットワークと有線または無線で接続され、例えば、対象装置10や検知装置20や監視装置200との間で情報の送受信を行う。
【0044】
(記憶部120)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。具体的には、記憶部120は、各種プログラム(情報処理プログラムの一例)を記憶する。
【0045】
(制御部130)
制御部130は、コントローラ(controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、フィルタ装置100内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
【0046】
制御部130は、受付部131と、出力制御部132を機能部として有し、以下に説明する情報処理の作用を実現または実行してよい。なお、制御部130の内部構成は、
図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。また、各機能部は、制御部130の機能を示したものであり、必ずしも物理的に区別されるものでなくともよい。
【0047】
受付部131は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。また、受付部131は、受け付けた異常検知通知を、異常検知通知を受け付けた時刻と関連付けた履歴を、記憶部120に記憶させてもよい。
【0048】
出力制御部132は、管理者に対して通知を行う必要のない通知(異常検知通知または回復検知通知)の出力を抑制する。具体的には、出力制御部132は、受付部131によって受け付けられた異常検知通知または回復検知通知の出力を抑制する。ここで、管理者に対して通知を行う必要のない通知とは、例えば、管理者が既に認識した異常と同一の異常を反復的に知らせる通知であってよい。
【0049】
より具体的には、出力制御部132は、受付部131が複数の異常検知通知を連続して受け付けた場合、1回目に受け付けた異常検知通知を出力した後、短期抑制時間(例えば、60分)内で安定するまで、2回目以降に受け付けた異常検知通知の出力を抑制する。以下では、N(Nは自然数)回目に受け付けた異常検知通知のことを、第Nの異常検知通知と記載する。また、出力制御部132は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする短期抑制時間内に第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。また、出力制御部132は、第2の異常検知通知を受け付けた第2の時刻を開始時刻とする短期抑制時間内に第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制する。このように、出力制御部132は、第Nの異常検知通知を受け付けた第Nの時刻を開始時刻とする短期抑制時間内に第(N+1)の異常検知通知を受け付けた場合は、第(N+1)の異常検知通知の出力を抑制する。以降、第Nの時刻を開始時刻とする短期抑制時間を、第Nの短期抑制時間と記載する場合がある。
【0050】
また、出力制御部132は、短期抑制時間に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に新たな異常検知通知を受け付けないことを条件として、短期抑制時間の経過後に回復検知通知を出力する。
【0051】
ここで、対象装置10の用途または、検出したい障害の種類によっては、短期抑制時間内の異常検知を抑制する手法では適切に通知を抑制することができない場合があった。具体的には、例えば、送受信したデータ量を監視し、予め定められたデータ量(以降、閾値と記載する場合がある)よりも少なくなったときに異常を検知する場合である。このような場合、対象装置10が送受信するデータ量は、一定の周期(例えば、1日)で概ね同じような傾向を示す。そのため、閾値を下回った場合、異常が発生したことを管理者に通知する必要がある。一方、対象装置10自身または、対象装置10と相互に接続され協調的に機能する他の対象装置10などが、障害あるいは作業によって一時的にデータの送受信を停止した後、データの送受信を再開したような場合には、通常稼動時のデータ送受信量に戻るまでに上述した一定の周期よりも長い時間を要する場合がある。このようなケースでは、通常稼動時のデータ送受信量に戻るまでの期間において、異常検知通知が繰り返される場合があるため、従来の監視装置においては、閾値を一時的に変更する対応が必要であり、管理者の負担となっていた。
【0052】
これに対して、出力制御部132は、短期抑制時間内に異常検知通知を抑制する処理を繰り返した場合に、最初の短期抑制時間の開始時刻からの経過時間が、長期抑制移行時間(例えば、100分)に達した場合、短期抑制時間よりも長い長期抑制時間(例えば、300分)にわたって異常検知通知の出力を抑制する。より具体的には、出力制御部132は、短期抑制時間内に異常検知通知を抑制する処理を繰り返し、第Nの短期抑制時間の終了時刻が、第1の時刻を開始時刻とする長期抑制移行時間を超過した場合、短期抑制時間よりも長い長期抑制時間にわたって、新たな異常検知通知の出力を抑制する。ここで、長期抑制時間の開始時刻は、例えば、第(N+1)の異常検知通知を受け付けた時刻であってよい。また、長期抑制時間の開始時刻は、第Nの短期抑制時間の終了時刻または開始時刻と同じ時刻であってもよい。また、長期抑制時間の開始時刻は、第1の時刻を開始時刻とする長期抑制移行時間の終了時刻と同じ時刻であってもよい。以降、第Nの時刻を開始時刻とする長期抑制移行時間を、第Nの長期抑制移行時間、第Nの時刻を開始時刻とする長期抑制時間を第Nの長期抑制時間と記載する場合がある。
【0053】
また、出力制御部132は、短期抑制時間に異常検知通知を抑制する処理を第1の長期抑制移行時間にわたって継続した後に、回復検知通知を受け付けた場合は、新たな異常検知通知を受け付けないことを条件として、長期抑制時間の経過後に回復検知通知を出力する。
【0054】
図3は、実施形態に係る通知の抑制処理について説明するための図である。
図3では、受付部131は、時刻t1~t11までの各時刻に15分おきに連続して第1~第11の異常検知通知E1-1~E1-11を受け付ける。また、また、受付部131は、時刻t12に回復検知通知R1-12を受け付ける。
【0055】
図3では、出力制御部132は、時刻t1に受け付けた第1の異常検知通知E1-1を出力する。また、出力制御部132は、時刻t1を開始時刻とする短期抑制時間#11に受け付けた第2~第5の異常検知通知E1-2~E1-5の出力を抑制する。また、出力制御部132は、短期抑制時間#11内に第2の異常検知通知E1-2を受け付けたので、時刻t2を開始時刻とする短期抑制時間(図示略)に受け付けた第3~第6の異常検知通知E1-3~E1-6の出力を抑制する。同様にして、出力制御部132は、時刻tk(k=3~6)を開始時刻とする短期抑制時間(図示略)に受け付けた第k~第(k+3)の異常検知通知E1-k~E1-(k+3)の出力を抑制する。すなわち、出力制御部132は、第Nの短期抑制時間内に第(N+1)の異常検知通知を受けた場合、第(N+1)の時刻を開始時刻とする短期抑制時間内の異常検知通知を抑制する。
【0056】
また、出力制御部132は、時刻t6を開始時刻とする短期抑制時間#12の終了時刻が長期抑制移行時間(長期抑制移行契機時間ともいう)を超え、かつ、受付部131が時刻t6を開始時刻とする短期抑制時間#12の終了後に第11の異常検知通知E1-11を受け付けたので、時刻t11を開始時刻とする長期抑制時間#13にわたって第11の異常検知通知E1-11の出力を抑制する。また、出力制御部132は、時刻t6を開始時刻とする短期抑制時間#12の終了時刻が長期抑制移行時間を超え、かつ、受付部131が時刻t6を開始時刻とする短期抑制時間#12の終了後に第11の異常検知通知E1-11を受け付け、更に回復検知通知R1-12を受け付けたので、長期抑制時間#13の経過後に回復検知通知R1-12を出力する。
【0057】
図4は、実施形態に係る通知の抑制処理について説明するための図である。
図4では、受付部131は、時刻t1~t8までの各時刻に15分おきに、第1の異常検知通知E2-1、回復検知通知R2-2、第2~第4の異常検知通知E2-3~E2-5、回復検知通知R2-6、第5の異常検知通知E2-7、および、回復検知通知R2-8を受け付ける。
【0058】
図4では、
図3と同様に、出力制御部132は、時刻t1に受け付けた第1の異常検知通知E2-1を出力する。また、出力制御部132は、時刻t1を開始時刻とする短期抑制時間#21内に受け付けた第2~第4の異常検知通知E2-3~E2-5の出力を抑制する。また、出力制御部132は、短期抑制時間#21内に受け付けた回復検知通知R2-2の後に第2の異常検知通知E2-3を受け付けたので、回復検知通知R2-2の出力を抑制する。また、出力制御部132は、短期抑制時間#21内に第2の異常検知通知E2-3を受け付けたので、時刻t3を開始時刻とする短期抑制時間(図示略)内に受け付けた第3~第4の異常検知通知E2-4~E2-5、および、第5の異常検知通知E2-7の出力を抑制する。また、出力制御部132は、時刻t3を開始時刻とする短期抑制時間(図示略)内に受け付けた回復検知通知R2-6の後に第5の異常検知通知E2-7を受け付けたので、回復検知通知R2-6の出力を抑制する。また、出力制御部132は、時刻t4を開始時刻とする短期抑制時間(図示略)内に受け付けた第4の異常検知通知E2-5、および、第5の異常検知通知E2-7の出力を抑制する。また、出力制御部132は、時刻t4を開始時刻とする短期抑制時間(図示略)内に受け付けた回復検知通知R2-6の後に第5の異常検知通知E2-7を受け付けたので、回復検知通知R2-6の出力を抑制する。また、出力制御部132は、時刻t5を開始時刻とする短期抑制時間(図示略)内に受け付けた第5の異常検知通知E2-7の出力を抑制する。また、出力制御部132は、時刻t5を開始時刻とする短期抑制時間(図示略)内に受け付けた回復検知通知R2-6の後に第5の異常検知通知E2-7を受け付けたので、回復検知通知R2-6の出力を抑制する。すなわち、出力制御部132は、第Nの短期抑制時間内に第(N+1)の異常検知通知を受けた場合、第(N+1)の時刻を開始時刻とする短期抑制時間内の異常検知通知及び回復検知通知を抑制する。
【0059】
また、出力制御部132は、時刻t7を開始時刻とする短期抑制時間#22の終了時刻が長期抑制移行時間を超えたので、時刻t7を開始時刻とする長期抑制時間#23の経過後に回復検知通知R2-8を出力する。
【0060】
図5は、実施形態に係る通知の抑制処理について説明するための図である。
図5では、単発の異常検知通知と安定を繰り返すため、長期抑制に移行しないパターンを示す。
図5では、受付部131は、第1の異常検知通知E3-1を受け付けてから15分後に、回復検知通知R3-2を受け付ける。出力制御部132は、第1の異常検知通知E3-1を出力する。また、出力制御部132は、第1の異常検知通知E3-1を受け付けた時刻を開始時刻とする短期抑制時間(
図5では、60分)内に回復検知通知R3-2を受け付けた後に新たな異常検知通知を受け付けなかったので、短期抑制時間の経過後に回復検知通知R3-2を出力する。また、受付部131は、出力制御部132が回復検知通知R3-2を出力した後、新たな異常検知通知E3-3を受け付けてから15分後に、回復検知通知R3-4を受け付ける。出力制御部132は、新たな異常検知通知E3-3を出力する。また、出力制御部132は、新たな異常検知通知E3-3を受け付けた時刻を開始時刻とする短期抑制時間(
図5では、60分)内に回復検知通知R3-4を受け付けた後、更に新たな異常検知通知を受け付けなかったので、短期抑制時間の経過後に回復検知通知R3-4を出力する。
【0061】
図6は、実施形態に係る通知の抑制処理について説明するための図である。
図6では、最終の異常検知通知を受け付けた時刻を開始時刻とする短期抑制時間が、長期抑制移行時間に達しないため、長期抑制に移行しないパターンを示す。
図6では、受付部131は、第1の異常検知通知E4-1を受け付けてから15分後に、回復検知通知R4-2を受け付ける。また、受付部131は、回復検知通知R4-2を受け付けから15分おきに、第2の異常検知通知E4-3、第3の異常検知通知E4-4、および、回復検知通知R4-5を受け付ける。出力制御部132は、第1の異常検知通知E4-1を出力する。また、出力制御部132は、第1の異常検知通知E4-1を受け付けた時刻を開始時刻とする短期抑制時間(
図6では、60分)内に受け付けた第2~第3の異常検知通知E4-3~E4-4の出力を抑制する。また、出力制御部132は、第1の異常検知通知E4-1を受け付けた時刻を開始時刻とする短期抑制時間に受け付けた回復検知通知R4-2の後に第2の異常検知通知E4-3を受け付けたので、回復検知通知R4-2の出力を抑制する。また、出力制御部132は、第3の異常検知通知E4-4を受け付けた時刻を開始時刻とする短期抑制時間内に回復検知通知R4-5を受け付けた後に新たな異常検知通知を受け付けなかったので、短期抑制時間の経過後に回復検知通知R4-5を出力する。
【0062】
ここで、対象装置10または、監視する障害の内容などによっては、異常検知通知のみを行い、回復検知通知を行わない場合がある。具体的には、例えば、サーバ機器へのログインに失敗したことを異常として検出し、通知する場合、パスワードの入力ミスあるいは、誤操作などの原因でユーザがサーバ機器へのログインに失敗したときに異常検知通知を出力する。このような異常は、例えば、ハードウェアの故障のように、何らかの状態変化を伴うものではないため、異常発生前の状態に回復する(すなわち、サーバ機器へのログインが失敗した事実がなくなる)ことは起こらない。そのため、このような異常においては、回復検知通知が行われない場合がある。このような異常を以降、異常イベントとも記載する。
【0063】
発生した異常イベントの種類によっては、検出頻度が変化した場合にのみ管理者への通知が必要になる場合がある。具体的には、例えば、サーバ機器へのログインに失敗したという異常イベントの異常検知通知については、正規のユーザによるパスワードの入力ミスあるいは、誤操作などを原因として、例えば、2~3日間に1回のように低い頻度で定常的に発生する。そのため、低い頻度での発生であれば、ユーザによるミスとして、管理者への通知は不要である。一方で、例えば、1分間に60回のように高い頻度で発生した場合には、ブルートフォースアタックのような手法で、不正なアクセスが行われている可能性が高く、管理者に通知する必要がある。
【0064】
上述したフィルタ装置では、回復検知通知を受けた後、抑制時間内に再度異常検知通知を受けないことを条件として、回復検知通知を出力していたが、異常検知通知が異常イベントに関するものである場合、回復検知通知を出力できず、管理者は異常イベントの発生が継続しているのか沈静化したのかを把握することができなかった。
【0065】
これに対し、出力制御部132は、第Nの異常検知通知を受けた後、第Nの時刻を開始時刻とする短期抑制時間内あるいは、第Nの時刻を開始時刻とする長期抑制時間内に、第(N+1)の異常検知通知を受けなかった場合に、異常イベントが沈静化したとして、回復検知通知を出力してよい。このように、出力制御部132は、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、長期抑制時間の経過後、または、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、回復検知通知を出力してよい。すなわち、出力制御部132は、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする短期抑制時間内に第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、他の異常検知通知の出力を抑制し、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、長期抑制時間の経過後、または、短期抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、回復検知通知を出力してよい。
【0066】
なお、出力制御部132は、監視対象の状態を示す状態情報から、短期抑制時間、長期抑制移行時間または長期抑制時間を推定するよう学習された機械学習モデルを用いて、短期抑制時間、長期抑制移行時間または長期抑制時間を推定してよい。具体的には、例えば、出力制御部132は、異常検知通知の内容と、受付部131が異常検知通知を受け付けた時刻から一定の時間内に受け付けた異常検知通知及び回復検知通知の履歴とを学習データとし、受付部131が受け付けた異常検知通知に基づいて、短期抑制時間、長期抑制移行時間または長期抑制時間を推定するように学習された学習モデルに基づいて、短期抑制時間、長期抑制移行時間または長期抑制時間を推定してよい。
【0067】
一実施形態に係る出力制御部132は、統計的手法を用いて、監視対象の状態を示す状態情報から、短期抑制時間、長期抑制移行時間または長期抑制時間を決定してよい。具体的には、例えば、出力制御部132は、記憶部120に記憶されている異常検知通知の履歴に基づいて、異常検知通知を受け付けてから、異常検知通知を受け付けなくなるまでの期間を統計的手法を用いて推定してよい。また、出力制御部132は、統計的手法を用いて推定した期間に基づいて、短期抑制時間、長期抑制移行時間または長期抑制時間を決定してよい。
【0068】
(変形例)
〔4.累積検知モード〕
上述した実施形態に係る処理は、上記実施形態以外にも種々の異なる形態にて実施されてよい。
【0069】
上述した実施形態では、フィルタ装置100が、複数の異常検知通知を連続して受け付けた場合、1回目に受け付けた異常検知通知を出力した後、短期抑制時間(例えば、60分)内で安定するまで、2回目以降に受け付けた異常検知通知の出力を抑制する場合について説明した。変形例では、フィルタ装置100が、累積測定時間(例えば、60分)内に累積閾値時間(例えば、20分)以上、異常検知通知の通知を受け付けた場合、累積測定時間の経過後に第1の異常検知通知を出力する場合について説明する。また、変形例では、フィルタ装置100が、第1の異常検知通知を出力した後、通知抑制時間(例えば、30分)内で安定した場合、回復検知通知を出力する場合について説明する。
【0070】
上述した実施形態では、異常の発生をなるべく早期に管理者に対して通知するため、初めて検知した異常検知通知(以降、初回検知と記載される場合もある)をすぐに出力し、2回目以降の異常検知通知を抑止する手法を取る。しかし、対象装置10の用途または、検知したい障害の内容によっては、異常の発生を早期に通知することが適切でない場合がある。具体的には、例えば、定常的に発生する異常であり、発生頻度が変化しなければ問題ないと考えられる異常の通知を抑制したい場合がある。このような場合に、初回検知のみを通知し、2回目以降を抑止する方法とすると、管理者は当該異常に発生頻度の変化が生じたか否かを認識できなくなる。
【0071】
これに対し、出力制御部132は、累積測定時間に複数の異常検知通知を受け付けた場合は、複数の異常検知通知の出力を抑制し、複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であるか否かを判定する。出力制御部132は、複数の異常検知通知それぞれの通知時間の合計が累積閾値時間以上であると判定した場合、累積測定時間の経過後に第1の異常検知通知を出力してよい。また、出力制御部132は、回復検知通知を累積測定時間に受け付けた場合は、回復検知通知の出力を抑制してよい。なお、所定の時間(例えば15分)間隔で機器の状態を確認し、異常があった場合に異常検知通知を行うよう設計されたシステムの場合であっても、一の異常検知通知を以って、所定の時間(例えば15分)の間、異常が継続したものとして扱ってもよい。
【0072】
また、出力制御部132は、第1の異常検知通知を出力した第1の時刻を開始時刻とする通知抑制時間であって、累積測定時間よりも短い通知抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。また、出力制御部132は、第1の通知抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、回復検知通知を受け付けた第2の通知抑制時間の経過後に回復検知通知を出力する。また、出力制御部132は、第1の通知抑制時間内に異常検知通知を受け付けないことを条件として、第1の通知抑制時間の経過後に回復検知通知を出力する。
【0073】
また、出力制御部132は、第2の異常検知通知を受け付けた第3の時刻を開始時刻とする通知抑制時間内に第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制する。また、出力制御部132は、第3の通知抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第3の異常検知通知を受け付けないことを条件として、第2通知抑制時間の経過後に回復検知通知を出力する。
【0074】
図7は、変形例に係る通知の抑制処理について説明するための図である。
図7では、各異常検知通知の通知時間は5分である。受付部131は、累積測定時間に、5つの異常検知通知E5-1~E5-4、および、E5-6を受け付ける。また、受付部131は、累積測定時間に、回復検知通知R5-5、および、回復検知通知R5-7を受け付ける。出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E5-1~E5-4、および、E5-6の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた回復検知通知R5-5、および、回復検知通知R5-7の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E5-1~E5-4、および、E5-6の通知時間の合計が25分であり、累積閾値時間(
図7では、20分)以上であると判定したので、累積測定時間の経過後に第1の異常検知通知E5-8を出力する。また、出力制御部132は、第1の異常検知通知E5-8を出力した第1の時刻を開始時刻とする通知抑制時間(
図7では、30分)に異常検知通知を受け付けなかったので、第1の時刻を開始時刻とする通知抑制時間の経過後に回復検知通知R5-9を出力する。
【0075】
図8は、変形例に係る通知の抑制処理について説明するための図である。
図8では、
図7と同様に、受付部131は、累積測定時間に、5つの異常検知通知E6-1~E6-4、および、E6-6を受け付ける。また、受付部131は、累積測定時間に、回復検知通知R6-5、および、回復検知通知R6-7を受け付ける。また、
図7と同様に、出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E6-1~E6-4、および、E6-6の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた回復検知通知R6-5、および、回復検知通知R6-7の出力を抑制する。また、
図7と同様に、出力制御部132は、累積測定時間に受け付けた5つの異常検知通知E6-1~E6-4、および、E6-6の通知時間の合計が25分であり、累積閾値時間(
図8では、20分)以上であると判定したので、累積測定時間の経過後に第1の異常検知通知E6-8を出力する。
【0076】
また、
図8では、出力制御部132は、第1の異常検知通知E6-8を出力した第1の時刻を開始時刻とする通知抑制時間に第2~第3の異常検知通知E6-9~E6-10を受け付けたので、第2~第3の異常検知通知E6-9~E6-10の出力を抑制する。また、出力制御部132は、第1の異常検知通知E6-8を出力した第1の時刻を開始時刻とする通知抑制時間に回復検知通知R6-11を受け付けたので、回復検知通知R6-11の出力を抑制する。また、出力制御部132は、第1の異常検知通知E6-8を出力した第1の時刻を開始時刻とする通知抑制時間に回復検知通知R6-11を受け付けた後に新たな異常検知通知を受け付けなかったので、回復検知通知R6-11を受け付けた第2の時刻を開始時刻とする通知抑制時間(
図8では、30分)の経過後に回復検知通知R6-12を出力する。
【0077】
図9は、変形例に係る通知の抑制処理について説明するための図である。
図9では、受付部131は、累積測定時間に、10個の異常検知通知E7-1~E7-10を受け付ける。出力制御部132は、累積測定時間に受け付けた10個の異常検知通知E7-1~E7-10の出力を抑制する。また、出力制御部132は、累積測定時間に受け付けた10個の異常検知通知E7-1~E7-10の通知時間の合計が60分であり、累積閾値時間(
図9では、60分)以上であると判定したので、累積測定時間の経過後に第1の異常検知通知E7-10を出力する。
【0078】
また、
図9では、受付部131は、第1の異常検知通知E7-10を出力した第1の時刻を開始時刻とする通知抑制時間に第2~第3の異常検知通知E7-11~E7-12を受け付ける。出力制御部132は、通知抑制時間に受け付けた第2~第3の異常検知通知E7-11~E7-12の出力を抑制する。また、受付部131は、第1の異常検知通知E7-10を出力した第1の時刻を開始時刻とする通知抑制時間に回復検知通知R7-13を受け付ける。出力制御部132は、通知抑制時間に受け付けた回復検知通知R7-13の出力を抑制する。また、出力制御部132は、回復検知通知R7-13を受け付けた後に新たな異常検知通知を受け付けなかったので、回復検知通知R7-13を受け付けた第2の時刻を開始時刻とする通知抑制時間の経過後に回復検知通知R7-13を出力する。
【0079】
検知する異常の種類または、異常の発生原因等によっては、時間帯によって発生の頻度または、傾向が変化する場合がある。具体的には、例えば、ネットワーク装置が送受信したパケット量の異常を検出する場合、深夜帯と日中帯では、検出する異常の頻度が異なるため、深夜帯においては、通知抑制時間を長く設定したい場合があった。
【0080】
図10は、変形例に係る通知の抑制処理について説明するための図である。
図10では、午前6:00~午前0:00(日中の時間帯)と午前0:00~午前6:00(夜間の時間帯)とで、累積閾値時間、累積測定時間、および、通知抑制時間を変化させる。
図10では、日中の時間帯における累積閾値時間、累積測定時間、および、通知抑制時間を、それぞれ20分、60分、および、30分とする。一方、夜間の時間帯における累積閾値時間、累積測定時間、および、通知抑制時間を、それぞれ60分、100分、および、50分とする。
【0081】
検知する異常の種類または、異常の発生原因、監視対象の機器の構成等によっては、複数の機器の異常が連動して発生する場合がある。具体的には、例えば、同一の機能を有し、並列で処理を行う2つのネットワーク装置が送受信したパケット量の異常を検出する場合、一方の装置が故障して送受信したパケット量に異常が生じたとしても、他方の装置が2台分の処理を行えていればネットワーク全体としては正常であるため、通知を抑制したい場合があった。
【0082】
図11は、変形例に係る通知の抑制処理について説明するための図である。
図11では、フィルタ装置100が、分散型ネットワークを構成する4つの対象装置#1~対象装置#4それぞれの入力ポートに入力する入力トラフィック量の合算、および、4つの対象装置#1~対象装置#4それぞれの出力ポートから出力される出力トラフィック量の合算を算出する。そして、フィルタ装置100は、入力トラフィック量の合算、および、出力トラフィック量の合算の周期的な傾向に基づいて、バンドルグループ全体における異常検知通知の出力を抑制する。
【0083】
検知する異常の種類または、異常の発生原因、監視対象の機器の構成等によっては、複数の機器の異常が連動して発生する場合がある。具体的には、例えば、同一の機能を有し、並列で処理を行う2つのネットワーク装置のそれぞれが送受信したパケット量の異常を検出する場合、一方の装置の入力ポートが故障し、送受信したパケットの量に異常が生じると、他方の装置にパケットが集中し、異常を検出する場合があり、一方の異常のみを通知し、他方の異常は抑制したい場合があった。
【0084】
図12は、変形例に係る通知の抑制処理について説明するための図である。
図12では、出力制御部132が、分散型ネットワークを構成する複数の対象装置それぞれのトラフィック量に基づいて、異常検知通知の出力を抑制する。なお、分散型ネットワークを構成する複数の対象装置のグループをバンドルグループともいう。例えば、出力制御部132は、バンドルグループのすべての対象装置のトラフィック量が下限閾値を下回っている場合、メンテナンス作業中であるとみなして、異常検知通知の出力を抑制する。
【0085】
なお、出力制御部132は、監視対象の状態を示す状態情報から、累積測定時間、累積閾値時間または通知抑制時間を推定するよう学習された機械学習モデルを用いて、累積測定時間、累積閾値時間または通知抑制時間を推定してよい。
【0086】
〔5.効果〕
(ばたつき抑制モード)
上述したように、実施形態に係る情報処理装置(実施形態ではフィルタ装置100)は、受付部(実施形態では受付部131)と出力制御部(実施形態では出力制御部132)を備える。受付部は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。出力制御部は、第1の異常検知通知を受け付けた第1の時刻を開始時刻とする第1の抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第1の異常検知通知とは異なる第2の異常検知通知を受け付けないことを条件として、第1の抑制時間の経過後に回復検知通知を出力する。また、出力制御部は、第1の時刻を開始時刻とする第1の抑制時間内に第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制する。
【0087】
これにより、情報処理装置は、例えば、管理者に対して、初回の異常検知通知を行った後、一定時間の間、散発的に発生する異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。また、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができるため、持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。
【0088】
また、出力制御部は、第2の異常検知通知を受け付けた第2の時刻を開始時刻とする第1の抑制時間内に第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制し、第2の時刻を開始時刻とする第1の抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第3の異常検知通知を受け付けないことを条件として、第2の時刻を開始時刻とする第1の抑制時間の経過後に回復検知通知を出力する。
【0089】
これにより、情報処理装置は、管理者に対して通知を行う必要のない異常検知通知を受け付ける度に、一定時間の間、管理者に対して通知を行う必要のない異常検知通知を行わないよう繰り返し抑制することができる。
【0090】
また、出力制御部は、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、第4の異常検知通知を受け付けた場合は、第1の抑制時間よりも長い第2の抑制時間にわたって、第4の異常検知通知の出力を抑制し、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、回復検知通知を受け付けた場合は、第4の異常検知通知を受け付けないことを条件として、第2の抑制時間の経過後に回復検知通知を出力する。
【0091】
これにより、情報処理装置は、例えば、管理者に対して通知を行う必要のない異常検知通知を受け付けなくなるまで長時間を要する場合、管理者に対して通知を行う必要のない異常検知通知を長時間にわたって行わないよう抑制することができる。
【0092】
また、出力制御部は、第2の時刻を開始時刻とする第1の抑制時間の終了時刻が所定時間を超え、かつ、第2の時刻を開始時刻とする第1の抑制時間の終了後に第4の異常検知通知を受け付けた場合は、第4の異常検知通知を受け付けた時刻を開始時刻とする第2の抑制時間にわたって第4の異常検知通知の出力を抑制し、第2の時刻を開始時刻とする第1の抑制時間の終了時刻が所定時間を超え、かつ、第2の時刻を開始時刻とする第1の抑制時間の終了後に、第4の異常検知通知を受け付け、更に回復検知通知を受け付けた場合は、第4の異常検知通知を受け付けた時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。
【0093】
これにより、情報処理装置は、例えば、異常検知通知を短時間にわたって行わないよう所定時間継続して抑制した後に、管理者に対して通知を行う必要のない異常検知通知を新たに受け付けた場合、新たに受け付けた異常検知通知を長時間にわたって行わないよう抑制することができる。
【0094】
また、出力制御部は、第2の時刻を開始時刻とする第1の抑制時間の終了時刻が所定時間を超え、かつ、第2の時刻を開始時刻とする第1の抑制時間に第3の異常検知通知を受け付け、更に回復検知通知を受け付けた場合は、第3の異常検知通知を受け付けた時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。
【0095】
これにより、情報処理装置は、例えば、短期抑制から長期抑制へと移行する直前に管理者に対して通知を行う必要のない異常検知通知を受け付けた場合であっても、短期抑制から長期抑制へと移行する直前に受け付けた異常検知通知を長期抑制することができる。
【0096】
また、受付部は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。出力制御部は、N(Nは自然数)回目に受け付けた異常検知通知である第Nの異常検知通知を受け付けた時刻である第Nの時刻を開始時刻とする第1の抑制時間内に第Nの異常検知通知とは異なる他の異常検知通知を受け付けた場合は、他の異常検知通知の出力を抑制し、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、新たな異常検知通知を受け付けなかった場合は、第1の抑制時間よりも長い第2の抑制時間の経過後、または、第1の抑制時間に異常検知通知を抑制する処理を所定時間継続した後に、監視対象の状態が異常から回復したことを示す回復検知通知を出力する。
【0097】
これにより、情報処理装置は、例えば、異常検知通知が異常イベントに関するものである場合であっても、回復検知通知を出力することができる。
【0098】
また、出力制御部は、監視対象の状態を示す状態情報から、第1の抑制時間、所定時間または第2の抑制時間を推定するよう学習された機械学習モデルを用いて、第1の抑制時間、所定時間または第2の抑制時間を推定する。
【0099】
これにより、情報処理装置は、抑制時間を制御するパラメータを自動で設定することができる。
【0100】
また、出力制御部は、受付部が異常検知通知を受け付けた時刻から一定の時間内に受け付けた異常検知通知の履歴に基づいて、統計的手法を用いて、異常検知通知を受け付けてから、異常検知通知を受け付けなくなるまでの期間を推定し、推定した期間に基づいて、第1の抑制時間、所定時間または第2の抑制時間を決定する。
【0101】
これにより、情報処理装置は、抑制時間を制御するパラメータを統計的手法により決定することができる。
【0102】
(累積検知モード)
また、受付部は、監視対象の状態が異常であることを示す異常検知通知を受け付ける。出力制御部は、第1の抑制時間内に受け付けた異常検知通知の出力を抑制し、異常検知通知の通知時間の合計が累積閾値時間以上であることを条件として、第1の抑制時間の経過後に第1の異常検知通知を出力する。また、出力制御部は、第1の抑制時間内に複数の異常検知通知を受け付けた場合は、複数の異常検知通知の出力を抑制する。
【0103】
これにより、情報処理装置は、例えば、管理者に対して、一定時間の間、異常検知通知と回復検知通知を繰り返す場合の異常検知通知であって、管理者に対して通知を行う必要のない異常検知通知を行わないよう抑制することができる。したがって、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができる。また、情報処理装置は、監視対象の監視に係る管理者の負担を低減することを可能とすることができるため、持続可能な開発目標(SDGs)の目標9「産業と技術革新の基盤をつくろう」の達成に貢献できる。
【0104】
また、出力制御部は、監視対象の状態が異常から回復したことを示す回復検知通知を第1の抑制時間内に受け付けた場合は、回復検知通知の出力を抑制する。
【0105】
これにより、情報処理装置は、例えば、管理者に対して、一定時間の間、異常検知通知と回復検知通知を繰り返す場合の回復検知通知であって、管理者に対して通知を行う必要のない回復検知通知を行わないよう抑制することができる。
【0106】
また、出力制御部は、第1の異常検知通知を出力した第1の時刻を開始時刻とする第2の抑制時間であって、第1の抑制時間よりも短い第2の抑制時間内に第1の異常検知通知とは異なる第2の異常検知通知を受け付けた場合は、第2の異常検知通知の出力を抑制し、第1の時刻を開始時刻とする第2の抑制時間内に監視対象の状態が異常から回復したことを示す回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第2の異常検知通知を受け付けないことを条件として、回復検知通知を受け付けた第2の時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。
【0107】
これにより、情報処理装置は、一定時間の間、異常検知通知と回復検知通知を繰り返した後に、管理者に対して通知を行う必要のない異常検知通知を新たに受け付けた場合、新たに受け付けた異常検知通知を行わないよう抑制することができる。
【0108】
また、出力制御部は、第2の異常検知通知を受け付けた第3の時刻を開始時刻とする第2の抑制時間内に第2の異常検知通知とは異なる第3の異常検知通知を受け付けた場合は、第3の異常検知通知の出力を抑制し、第3の時刻を開始時刻とする第2の抑制時間内に回復検知通知を受け付けた場合は、回復検知通知を受け付けた後に第3の異常検知通知を受け付けないことを条件として、第2の時刻を開始時刻とする第2の抑制時間の経過後に回復検知通知を出力する。
【0109】
これにより、情報処理装置は、一定時間の間、異常検知通知と回復検知通知を繰り返した後に、管理者に対して通知を行う必要のない異常検知通知を受け付ける度に、一定時間の間、管理者に対して通知を行う必要のない異常検知通知を行わないよう繰り返し抑制することができる。
【0110】
また、出力制御部は、監視対象の状態を示す状態情報から、第1の抑制時間、累積閾値時間または第2の抑制時間を推定するよう学習された機械学習モデルを用いて、第1の抑制時間、累積閾値時間または第2の抑制時間を推定する。
【0111】
これにより、情報処理装置は、抑制時間を制御するパラメータを自動で設定することができる。
【0112】
〔6.ハードウェア構成〕
また、上述してきた実施形態に係るフィルタ装置100等の情報処理装置は、例えば
図13に示すような構成のコンピュータ1000によって実現される。
図13は、実施形態に係るフィルタ装置100等の情報処理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。以下、実施形態に係るフィルタ装置100を例に挙げて説明する。コンピュータ1000は、CPU1100、RAM1200、ROM1300、HDD1400、通信インターフェイス(I/F)1500、入出力インターフェイス(I/F)1600、及びメディアインターフェイス(I/F)1700を備える。
【0113】
CPU1100は、ROM1300またはHDD1400に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM1300は、コンピュータ1000の起動時にCPU1100によって実行されるブートプログラムや、コンピュータ1000のハードウェアに依存するプログラム等を格納する。
【0114】
HDD1400は、CPU1100によって実行されるプログラム、及び、かかるプログラムによって使用されるデータ等を格納する。通信インターフェイス1500は、所定の通信網を介して他の機器からデータを受信してCPU1100へ送り、CPU1100が生成したデータを所定の通信網を介して他の機器へ送信する。
【0115】
CPU1100は、入出力インターフェイス1600を介して、ディスプレイやプリンタ等の出力装置、及び、キーボードやマウス等の入力装置を制御する。CPU1100は、入出力インターフェイス1600を介して、入力装置からデータを取得する。また、CPU1100は、生成したデータを入出力インターフェイス1600を介して出力装置へ出力する。
【0116】
メディアインターフェイス1700は、記録媒体1800に格納されたプログラムまたはデータを読み取り、RAM1200を介してCPU1100に提供する。CPU1100は、かかるプログラムを、メディアインターフェイス1700を介して記録媒体1800からRAM1200上にロードし、ロードしたプログラムを実行する。記録媒体1800は、例えばDVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
【0117】
例えば、コンピュータ1000が実施形態に係るフィルタ装置100として機能する場合、コンピュータ1000のCPU1100は、RAM1200上にロードされたプログラムを実行することにより、制御部130の機能を実現する。コンピュータ1000のCPU1100は、これらのプログラムを記録媒体1800から読み取って実行するが、他の例として、他の装置から所定の通信網を介してこれらのプログラムを取得してもよい。
【0118】
以上、本願の実施形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
【0119】
〔7.その他〕
また、上記実施形態及び変形例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。
【0120】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
【0121】
また、上述してきた実施形態及び変形例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
【符号の説明】
【0122】
1 情報処理システム
10 対象装置
20 検知装置
100 フィルタ装置
110 通信部
120 記憶部
130 制御部
131 受付部
132 出力制御部
200 監視装置