IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電信電話株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電信電話株式会社の特許一覧

特許7602181警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム
<>
  • 特許-警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム 図1
  • 特許-警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム 図2
  • 特許-警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム 図3
  • 特許-警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム 図4
  • 特許-警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム 図5
  • 特許-警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム 図6
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-10
(45)【発行日】2024-12-18
(54)【発明の名称】警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラム
(51)【国際特許分類】
   G08B 31/00 20060101AFI20241211BHJP
   G08B 25/00 20060101ALI20241211BHJP
【FI】
G08B31/00 A
G08B25/00 510H
【請求項の数】 7
(21)【出願番号】P 2023527151
(86)(22)【出願日】2021-06-07
(86)【国際出願番号】 JP2021021559
(87)【国際公開番号】W WO2022259307
(87)【国際公開日】2022-12-15
【審査請求日】2023-11-28
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100129230
【弁理士】
【氏名又は名称】工藤 理恵
(72)【発明者】
【氏名】高田 篤
(72)【発明者】
【氏名】林 直輝
(72)【発明者】
【氏名】佐藤 亮介
(72)【発明者】
【氏名】関 登志彦
(72)【発明者】
【氏名】山越 恭子
【審査官】村山 禎恒
(56)【参考文献】
【文献】特開平9-307550(JP,A)
【文献】特開2019-114992(JP,A)
【文献】特開2000-48277(JP,A)
【文献】特開平1-106112(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G08B 25/00-31/00
(57)【特許請求の範囲】
【請求項1】
ベイジアンネットワークモデルと、
複数の警報の第1関連度を、前記ベイジアンネットワークモデルを用いて推定する推定部と、
前記第1関連度を用いて、同じ事象で発生した警報群をグルーピングする判定部と、を備え、
前記ベイジアンネットワークモデルは、警報種別を示す複数の種別ノードと、各種別ノードにリンクされた時刻ノードおよび場所ノードとを有し、
前記時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた第2関連度が設定され、前記場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた第3関連度が設定される
警報解析装置。
【請求項2】
前記種別ノードには、当該種別ノードの子ノードまたは親ノードの警報の発生時刻との差分および発生場所との差分に応じた発生確率が設定される
請求項1に記載の警報解析装置。
【請求項3】
前記時刻ノードには、発生時刻の差分が小さいほど高い第2関連度が設定され、前記場所ノードには、発生場所の差分が小さいほど高い第3関連度が設定される
請求項1または2に記載の警報解析装置。
【請求項4】
前記発生場所の差分は、警報を出力した装置の物理的位置の差分、または、前記装置の論理的位置の差分である
請求項1から3のいずれか1項に記載の警報解析装置。
【請求項5】
警報解析装置が行う警報解析方法であって、
複数の警報の第1関連度を、ベイジアンネットワークモデルを用いて推定するステップと、
前記第1関連度を用いて、同じ事象で発生した警報群をグルーピングするステップと、を行い、
前記ベイジアンネットワークモデルは、警報種別を示す複数の種別ノードと、各種別ノードにリンクされた時刻ノードおよび場所ノードとを有し、
前記時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた第2関連度が設定され、前記場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた第3関連度が設定される
警報解析方法。
【請求項6】
警報種別を示す複数の種別ノードと、
各種別ノードにリンクされた時刻ノードおよび場所ノードと、を有し、
前記時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた関連度が設定され、前記場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた関連度が設定される
ベイジアンネットワークモデル。
【請求項7】
請求項1から4のいずれか1項に記載の警報解析装置として、コンピュータを機能させる警報解析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラムに関する。
【背景技術】
【0002】
ネットワーク監視運用業務には、常時監視により装置の状態変化および警報を検出し、故障や工事等の事象の把握、故障要因の切り分け等を分析・判断し、故障回復を実施(対処)するプロセスが存在する。
【0003】
当該プロセスは、ネットワーク全体を管理する保守者(リモート作業者)が、現地での故障装置の修理・交換等の物理作業が必要になった場合に、現地作業者を現地に派遣することで実現している。保守者は、全国に配置される装置の管理を、集約拠点からリモートで実施する。
【0004】
ネットワークで発生した事象に対処するために、保守者は、検出した警報群がどのような事象(工事や故障)によって発生したかを把握することが重要である。
【0005】
非特許文献1には、ネットワーク接続構成情報と事前定義したルールを組み合わせることで、一つの事象で発生する複数の警報をコリレーションする技術が記載されている。
【先行技術文献】
【非特許文献】
【0006】
【文献】"ネットワーク構成情報を用いたアラームコリレション及び主要因分析手法の提案",電子情報通信学会情報通信マネジメント研究会(ICM),2020/3/2
【発明の概要】
【発明が解決しようとする課題】
【0007】
警報は一つの事象によって複数の装置から発生し、かつ、全国のネットワークでは同時に複数の事象が発生するため、警報は大量に発生する。保守者は、この警報群を事象毎にコリレーション(関連付け)を行っている。
【0008】
通信事業者ネットワークは、伝送装置で構成される伝送レイヤや、NGNマス装置で構成されるIPレイヤといった、複数のレイヤによって構成されるマルチレイヤであるため、多様な装置が大量に存在し、警報も様々な種類が大量に混在している。このようなネットワークにおいて発生する警報の関連付けは、保守者に高度な知識や経験が求められ、負担も大きい。このため、警報の関連性を見極める保守者の負荷軽減やスキルレス化が求められている。
【0009】
非特許文献1では、保守者が事前にルールを定義する必要があり、このルール定義には保守者の高度な知識や経験が求められ、全て自動化できるわけではない。
【0010】
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、警報の相関付けを容易に行うための警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の一態様は警報解析装置であって、ベイジアンネットワークモデルと、複数の警報の第1関連度を、前記ベイジアンネットワークモデルを用いて推定する推定部と、前記第1関連度を用いて、同じ事象で発生した警報群をグルーピングする判定部と、を備え、前記ベイジアンネットワークモデルは、警報種別を示す複数の種別ノードと、各種別ノードにリンクされた時刻ノードおよび場所ノードとを有し、前記時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた第2関連度が設定され、前記場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた第3関連度が設定される。
【0012】
本発明の一態様は、警報解析装置が行う警報解析方法であって、複数の警報の第1関連度を、ベイジアンネットワークモデルを用いて推定するステップと、前記第1関連度を用いて、同じ事象で発生した警報群をグルーピングするステップと、を行い、前記ベイジアンネットワークモデルは、警報種別を示す複数の種別ノードと、各種別ノードにリンクされた時刻ノードおよび場所ノードとを有し、前記時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた第2関連度が設定され、前記場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた第3関連度が設定される。
【0013】
本発明の一態様は、上記警報解析装置として、コンピュータを機能させる警報解析プログラムである。
【発明の効果】
【0014】
本発明によれば、警報の相関付けを容易に行うための警報解析装置、警報解析方法、ベイジアンネットワークモデルおよび警報解析プログラムを提供することができる。
【図面の簡単な説明】
【0015】
図1】本発明の本実施形態の警報解析装置の構成を示す構成図である。
図2】ベイジアンNWモデルの一例を示す図である。
図3】警報情報の一例を示す図である。
図4】判定結果の一例を示す図である。
図5】警報解析装置の動作を示すフローチャートである。
図6】ハードウェア構成例である。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について、図面を参照して説明する。
【0017】
図1は、本実施形態の警報解析装置1の構成を示す構成図である。同一事象で発生する警報群は、ほぼ同時に、物理的接続または論理的接続をもつ複数の装置から発生する。したがって、警報の発生時刻及び警報の発生場所(発生エリア)が近ければ、同一事象で発生した警報である可能性が高いと推定できる。本実施形態では、新たに発生した複数の警報の中で、警報の発生時刻と発生場所、および、1つの事象で発生する警報の種類が、ベイジアンNWモデルと近い場合に、同一事象で発生した警報群であると判定する。
【0018】
図示する警報解析装置1は、取得部11と、推定部12と、判定部13と、警報情報DB14と、モデル記憶部15と、構成情報DB16とを備える。
【0019】
取得部11は、複数の装置から発出される警報情報101(警報リスト)を取得し、警報情報DB15に記憶する。警報情報101には、複数の警報が含まれる。警報には、警報種別、発生時刻、発生場所、装置識別子等を有する。
【0020】
例えば、取得部11は、少なくとも1つのOpS(Operation Support System)から、警報情報を取得する。一般的な通信事業者の装置(例えば、ネットワーク装置)は、OpSで監視されている。OpSは、装置からの警報情報の収集、警報の画面表示などの機能を保守者向けに提供する。取得部11は、OpSが保存する警報情報を所定のタイミングで取得し、当該警報情報を警報情報DB15に格納するとともに、推定部12に送出する。
【0021】
推定部12は、警報情報に含まれる複数の警報の関連度を、ベイジアンNWモデルを用いて推定する。
【0022】
判定部13は、関連度を用いて、同じ事象で発生した警報群をグルーピングする。具体的には、判定部13は、関連度に基づいてある警報(第1警報)と他の警報(第2警報)とが同じ事象で発生した警報か否かを判定し、事象毎に警報をグルーピングする。
【0023】
モデル記憶部15には、ベイジアンネットワークモデル(以下、「ベイジアンNWモデル」)が、あらかじめ記憶されている。
【0024】
図2は、本実施形態のベイジアンNWモデルの一例を示す図である。ベイジアンNWモデルは、グラフ構造をもつ確率モデルの一つである。ベイジアンNWモデルでは、各イベントがノードで示され、ノード同士が依存関係を示す一方向のリンク(矢印)で接続されている。各ノードには、条件付確率(CPT:Conditional Probability Table)が付されている。
【0025】
図示するベイジアンNWモデルは、警報種別(ALM種別)を示す複数の種別ノードA、B、Cと、各種別ノードにリンクされた時刻ノードA1、B1、B3、C1および場所ノードA2、B2、B4、C2とを有する。種別ノードは、メインノードで、時刻ノードおよび場所ノードはサブノードである。なお、図2のベイジアンNWモデルは一例であって、図2のモデルに限定されるものではない。例えばベイジアンNWモデルは、種別ノードが2つでも、4以上でもよい。
【0026】
各時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた関連度(第2関連度)が設定される。各場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた関連度(第3関連度)が設定される。
【0027】
具体的には、種別ノードAは、警報種別Aの警報の発生を示すイベントであり、種別ノードBは、警報種別Bの警報の発生を示すイベントであり、種別ノードCは警報種別Cの警報の発生を示すイベントである。種別ノードA、B、Cの依存関係は、種別ノードA→種別ノードB→種別ノードCと表すことができる。
【0028】
リンクの先に来るノードを子ノード、リンクの元にあるノードを親ノードとする。種別ノードA→種別ノードBでは、種別ノードAが親ノードで、種別ノードBが子ノードとなる。各種別ノードA、B、Cには、条件付確率が設定される。条件付確率には、種別ノードの子ノードまたは親ノードの警報の発生時刻との差分および発生場所との差分に応じた発生確率が設定される。
【0029】
図2には、始点となる種別ノードAの条件付確率201を示す。ここでは省略するが、種別ノードBの条件付確率には、親ノードの警報の発生時刻および発生場所との差分、および、子ノードの警報の発生時刻および発生場所との差分に応じた発生確率が設定される。種別ノードCの条件付確率には、親ノードの警報の発生時刻および発生場所との差分に応じた発生確率が設定される。
【0030】
図示する条件付確率201には、種別ノードAの子ノード(種別ノードB)の警報の発生時刻との差分および発生場所との差分に応じた発生確率が設定される。例えば、発生場所の差分が無い場合(すなわち、警報が同一装置で発生した場合)で、発生時刻の差分が±5秒未満の場合に、警報種別Aの警報が発生する確率を「0.9」とし、未発生の確率を「0.1」と定義している。また、発生場所の差が無い場合で、発生時刻の差分が±5秒以上の場合に、警報種別Aの警報が発生する確率を「0.8」とし、未発生の確率を「0.2」と定義している。
【0031】
また、発生場所の差分が同一ビル内の場合で、発生時刻の差分が±5秒未満の場合に、警報種別Aの警報が発生する確率を「0.8」とし、未発生の確率を「0.2」と定義している。また、発生場所の差分が同一ビルの場合で、発生時刻の差分が±5秒以上の場合に、警報種別Aの警報が発生する確率を「0.7」とし、未発生の確率を「0.3」と定義している。
【0032】
なお、図示する条件付確率201では、発生時刻の差分を、5秒未満と5秒以上に分けて2つの確率を設定しているが、3つ以上に分けて発生時刻の差分が小さいほど、高い確率となるように設定してもよい。
【0033】
また、図示する条件付確率201では、発生場所の差分を、差分なしの同一装置、同一ビル内、同一都道府県内、それ以外(異なる都道府県)に分けて発生場所の差分が小さいほど、高い確率となるように設定しているが、これ以外の方法で発生場所の差分を分類してしてもよい。
【0034】
本実施形態のベイジアンNWモデルでは、各種別ノードA、B、Cにリンクする時刻ノードおよび場所ノードを定義する。例えば、種別ノードBには、時刻ノードB1、B3と、場所ノードB2、B4とが定義されている。時刻ノードB1は親ノード(ここでは、種別ノードA)との発生時刻の差分に関するノードであり、時刻ノードB3は子ノード(ここでは、種別ノードC)との発生時刻の差分に関するノードである。場所ノードB2は親ノードとの発生場所の差分に関するノードであり、場所ノードB4は子ノードとの発生場所の差分に関するノードである。これらのノードB1~B4には、それぞれ条件付確率が付されている。
【0035】
例えば、時刻ノードB1の条件付確率202には、親ノード(種別ノードA)の警報との発生時刻の差分が±5秒未満の場合の関連度を「0.9」とし、発生時刻の差分が±5秒以上の場合の関連度を「0.1」とする。
【0036】
場所ノードB2の条件付確率203には、親ノード(種別ノードA)の警報と同一装置で発生していた場合の関連度を「0.5」とし、親ノードの警報の装置と同一ビルの装置で発生していた場合の関連度を「0.3」とし、親ノードの警報の装置と同一都道府県の装置で発生していた場合の関連度を「0.15」とし、それ以外(親ノードの警報の装置と異なる都道府県の装置で発生した場合)の関連度を「0.05」とする。
【0037】
このように、時刻ノードには、発生時刻の差分が小さいほど高い関連度(第2関連度)が設定され、場所ノードには、発生場所の差分が小さいほど高い関連度(第3関連度)が設定される。
【0038】
他の時刻ノードA1、B3、C1および他の場所ノードA2、B4、C2は、図2では省略されているが同様の条件付確率が定義されている。
【0039】
本実施形態では、発生時刻及び発生場所が近い警報については、高い関連度(第1関連度)が算出されるベイジアンNWモデルを用いて、同一事象で発生した警報群をグルーピングする。
【0040】
以下に、推定部12および判定部13が、ベイジアンNWモデルを用いて、警報をグルーピングする処理を具体的に説明する。
【0041】
図3は、警報解析装置1に入力される警報情報(警報リスト)の一例を示す。警報情報には、複数の警報が含まれる。図示する各警報は、警報識別子と、発生時刻(発生日時)と、警告種別(ALM種別)と、都道府県と、ビルと、装置識別子とを有する。この警報情報では、警報識別子1の警報から順に各警報が発生したことを示している。
【0042】
警報種別には、例えば、装置故障を示す種別(例:Eqp故障警報)、装置のインタフェース関連の異常を示す種別(例:Link down警報)などがある。都道府県と、ビルと、装置識別子は、警報の発生場所を示す情報である。
【0043】
図4は、図3に示す警報情報の各警報に対する判定結果の一例を示す。判定結果には、各警報(警報識別情報)にグループ番号が設定されている。
【0044】
推定部12は、警報情報の各警報を順次読み出し、当該警報の前に読み出した警報との関連度を推定し、判定部13は、関連度を用いて同じ事象で発生した警報群をグルーピングする。
【0045】
(1)警報識別子1[ALM種別B]の警報
推定部12は、図3に示す警報情報101から警報識別子1の[ALM種別B]の警報を読み出す。推定部12は、 警報識別子1より前に発生した警報は存在しないため、警報識別子1の関連度の推定を行わず、判定部13は、当該警報に対し、所定のグループ番号を設定する。図4に示す判定結果では、判定部13は、グループ番号として「1」を設定する。
【0046】
(2)警報識別子2[ALM種別A]の警報
次に、推定部12は、警報識別子2の[ALM種別A]の警報を読み出し、当該警報より前に発生した子ノード側の警報(警報識別子1[ALM種別B])との関連度を推定する。すなわち、推定部12は、警報識別子2-1間の関連度を、ベイジアンNWモデルを用いて推定する。
【0047】
図3に示すように、警報識別子1、2の警報間の発生時刻の差分は5秒であり、発生場所の差分はそれ以外(異なる都道府県)である。そのため、推定部12は、図2の条件付確率201の発生場所の差分がその他で、発生時刻の差分が5秒以上で発生する確率「0.3」を、関連度として推定する。
【0048】
P(ALM種別A =発生 | 時刻差= ±5s以上, 場所差= それ以外)=0.3
判定部13は、関連度「0.3」が所定の閾値(例えば0.5)未満であるため、警報識別子2と警報識別子1の警報は、別のグループと判定する。判定部13は、警報識別子1のグループ番号「1」とは異なるグループ番号「2」を、警報識別子2の警報に設定する。
【0049】
なお、警報の一部の情報が欠損している場合に、推定部12は、時刻ノードA1と場所ノードA2の条件付確率を使用する。例えば、警報識別子2の[ALM種別A]の発生時刻が取得できずに欠損している場合、「発生時刻の差分」というエビデンス(条件)が存在しない。この場合、以下の式となり、推定部12は、場所ノードA2の条件付確率を用いて「発生場所の差分」というエビデンスのみを用いた確率推論の計算を行う。
【0050】
P(ALM種別A =発生 | 場所差= それ以外)=0.48
ベイジアンNWモデルでは、全てのエビデンスが分からなくても、得られたエビデンスを元に確率推論により、着目したい状態の発生確率を算出することができる。
【0051】
(3)警報識別子3[ALM種別B]の警報
次に、推定部12は、警報識別子3の[ALM種別B]の警報を読み出し、当該警報より前に発生した警報のうち、警報識別子1はALM種別が同一のため関連度の推定は行わず、親ノード側の警報(警報識別子2[ALM種別A])との関連度を推定する。すなわち、推定部12は、警報識別子3-2間の関連度を、ベイジアンNWモデルを用いて推定する。
【0052】
図3に示すように、警報識別子3、2の警報間の発生時刻の差分は1秒であり、発生場所の差分は同一都道府県である。推定部12は、図2の時刻ノードB1の条件付確率202と、場所ノードB2および203と、図示しない種別ノードBの条件付確率とを用いて、警報識別子3-2間の関連度を算出する。
【0053】
例えば、推定部12は、条件付確率202の「0.9」と、条件付確率203の「0.15」と、図示しない種別ノードBの条件付確率の対応する確率から、ALM種別Bが発生する確率を、確率推論により求めることで、警報識別子3-2間の関連度を算出する。算出される関連度は、ここでは「0.8」とする。
【0054】
P(ALM種別B =発生 | 時刻差= ±5s未満, 場所差= 同一都道府県)=0.8
判定部13は、関連度「0.8」が所定の閾値(例えば0.5)以上であるため、警報識別子3と警報識別子2の警報は、同一グループと判定する。すなわち、判定部13は、警報識別子3と警報識別子2の警報を、同じ事象で発生した警報群として関連付ける。したがって、判定部13は、警報識別子2のグループ番号「2」と同じグループ番号「2」を、警報識別子3の警報に設定する。
【0055】
(4)警報識別子4[ALM種別A]の警報
次に、推定部12は、警報識別子4の[ALM種別A]の警報を読み出し、当該警報より前に発生した警報のうち、子ノード側の警報(警報識別子1[ALM種別B]、警報識別子3[ALM種別B])との関連度を推定する。
【0056】
まず、推定部12は、警報識別子4-1間の関連度を、ベイジアンNWモデルを用いて推定する。図3に示すように、警報識別子4、1の警報間の発生時刻の差分は5秒以上であり、発生場所の差分は同一ビルである。そのため、推定部12は、図2の種別ノードAの条件付確率201の発生場所の差分が同一ビルで、子ノードAとの差分が5秒以上で発生する確率「0.7」を、関連度として推定する。
【0057】
P(ALM種別A =発生 | 時刻差= ±5s以上, 場所差= 同一ビル)=0.7
そして、推定部12は、警報識別子4-3間の関連度を、ベイジアンNWモデルを用いて推定する。図3に示すように、警報識別子4、3の警報間の発生時刻の差分は5未満であり、発生場所の差分はそれ以外である。そのため、推定部12は、図2の種別ノードAの条件付確率201の発生場所の差分がそれ以外で、子ノードAとの差分が5秒未満で発生する確率「0.5」を、関連度として推定する。
【0058】
P(ALM種別A =発生 | 時刻差= ±5s未満, 場所差= それ以外)=0.5
判定部13は、どちらも関連度は0.5以上であるが、より関連度の高い警報識別子1と4の警報を同一グループと判定し、警報識別子1のグループ番号「1」と同じグループ番号「1」を、警報識別子4の警報に設定する。
【0059】
推定部12および判定部13は、警報識別子5以降の警報についても同様にグループ番号を設定し、警報をグルーピングする。
【0060】
例えば、ALM種別CとALM種別Bとの関連度を算出する場合、読み出した警報がALM種別C の場合、推定部12は、種別ノードC、時刻ノードC1および場所ノードC2の条件付確率を用いる。なお、発生時刻の差分および発生場所の差分が分かる場合は、推定部12は、種別ノードCの条件付確率のみで関連度を算出する。一方、読み出した警報がALM種別Bの場合は、種別ノードB、時刻ノードB3および場所ノードB4の条件付確率を用いる。ALM種別CとALM種別Aとの関連度については、種別ノードCと種別ノードAとはノードが2つ以上離れているため、推定部12は、関連度を算出しない。
【0061】
このように、本実施形態の警報解析装置1は、発生時刻及び発生場所が近い警報については算出される関連度を高くするベイジアンNWモデルを用いて、新たに発生した複数の警報の中で、警報の発生時刻、発生場所および警報種類が、ベイジアンNWモデルと近い場合に、同一事象で発生した警報群である判定することができる。
【0062】
なお、本実施形態の推定部12は、各警報の発生場所を、図3に示す警報情報から取得するが、発生場所を構成情報DB16から取得してもよい。構成情報DB16は、各装置のネットワーク構成に関する情報が格納されたデータベースである。ネットワーク構成に関する情報には、各装置の装置ID、物理的場所(ビル名、都道府県など)、論理的場所(AS番号、IPアドレス、IPアドレスのサブネットワークなど)、ポート(IF)、ポートの接続先情報などが含まれる。この場合、推定部12は、警報に含まれる装置識別子などをキーとして、各警報の発生場所を構成情報DB16から取得してもよい。
【0063】
また、本実施形態では、警報の発生場所の差分として、物理的な場所の差分(距離)を用いたが、発生場所の差分は、AS番号、IPアドレスのサブネットワークなどの論理的な場所の差分を用いることとしてもよい。この場合、推定部12は、各警報に含まれる論理的な発生場所を取得してもよく、あるいは、警報に含まれる装置識別子などをキーとして、各警報の論理的な発生場所を構成情報DB16から取得してもよい。
【0064】
図5は、警報解析装置1の動作を示すフローチャートである。取得部11は、所定のタイミング(時間間隔)で、例えばOpSなどから各装置が発出した警報情報を取得する(S11)。推定部12は、警報情報に含まれる第1警報を読み出し、第1警報の前に読み出した第2警報との関連度(第1関連度)を、ベイジアンNWモデルを用いて推定する(S12)。
【0065】
判定部13は、第1警報と第2警報とが、同じ事象で発生した、同じグループの警報であるか否かを、関連度と所定の閾値とを比較することで判定する(S13)。同じグループの警報と判定した場合(S13:YES)、判定部13は、第1警報に第2警報と同じグループ番号を設定してグルーピングする(S14)。一方、異なるグループと判定した場合(S13:NO)、判定部13は、第1警報に第2警報とは異なるグループ番号を設定する(S15)。
【0066】
推定部12は、警報情報に未処理の次の警報がある場合は(S16:YES)、S12に戻り以降の処理を行い、警報情報に次の警報がない場合は(S16:NO)、図4に示すような判定結果を出力し(S17)、処理を終了する。
【0067】
以上説明した本実施形態の警報解析装置1は、ベイジアンネットワークモデルと、複数の警報の第1関連度を、前記ベイジアンネットワークモデルを用いて推定する推定部12と、前記第1関連度を用いて、同じ事象で発生した警報群をグルーピングする判定部13と、を備え、前記ベイジアンネットワークモデルは、警報種別を示す複数の種別ノードと、各種別ノードにリンクされた時刻ノードおよび場所ノードとを有し、前記時刻ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生時刻との差分に応じた第2関連度が設定され、前記場所ノードには、リンクされた種別ノードの子ノードまたは親ノードの警報の発生場所との差分に応じた第3関連度が設定される。
【0068】
これにより、本実施形態では、警報の相関付け(コリレーション)を容易に行うことができる。具体的には、保守者の負担が大きい警報の相関付けを自動化し、新たに発生した警報情報を入力するだけで効率よく警報をグルーピングすることができる。
【0069】
上記説明した警報解析装置1は、例えば、図6に示すような汎用的なコンピュータシステムを用いることができる。図示するコンピュータシステムは、CPU(Central Processing Unit、プロセッサ)901と、メモリ902と、ストレージ903(HDD:Hard Disk Drive、SSD:Solid State Drive)と、通信装置904と、入力装置905と、出力装置906とを備える。メモリ902およびストレージ903は、記憶装置である。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、警報解析装置1の各機能が実現される。
【0070】
また、警報解析装置1は、1つのコンピュータで実装されてもよく、あるいは複数のコンピュータで実装されても良い。また、警報解析装置1は、コンピュータに実装される仮想マシンであっても良い。
【0071】
警報解析装置1用のプログラムは、HDD、SSD、USB(Universal Serial Bus)メモリ、CD (Compact Disc)、DVD (Digital Versatile Disc)などのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
【0072】
なお、本発明は上記実施形態および変形例に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【符号の説明】
【0073】
1 :警報解析装置
11:取得部
12:推定部
13:判定部
14:警報情報DB
15:モデル記憶部
16:構成情報DB
図1
図2
図3
図4
図5
図6
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.