特許
J-GLOBAL ID:201603008305274862

ログ生起異常検知装置及び方法

発明者:
出願人/特許権者:
代理人 (3件): 伊東 忠重 ,  伊東 忠彦 ,  石原 隆治
公報種別:特許公報
出願番号(国際出願番号):特願2013-019825
公開番号(公開出願番号):特開2014-153723
特許番号:特許第5933463号
出願日: 2013年02月04日
公開日(公表日): 2014年08月25日
請求項(抜粋):
【請求項1】 多種多様な機器から出力されるログ情報から異常な状態を検出するログ生起異常検知装置であって、 過去に蓄積されたログメッセージ内の重要とされる部分(以下、「ログテンプレート」と記す)、該ログテンプレートをグループ化したロググループとを格納したログテンプレート・ロググループ記憶手段と、 監視対象機器情報と監視対象機器のラベルを格納した監視対象機器情報・ラベル記憶手段と、 利用者端末からの指定情報に基づいて、前記ログテンプレート・ロググループ記憶手段と前記監視対象機器情報・ラベル記憶手段からロググループまたはテンプレートラベル、監視対象機器情報の集合をログタプルとして取得し、所定の条件に基づいて異常性スコアを算出し、該異常性スコアが所定の閾値を超えたものを異常として検出する異常性検出手段と、 を有し、 前記異常性検出手段は、 所定の時間幅における生起を計数し、ログ時系列の全時間幅合計で除し、観測時間のうち生起した時間幅割合を頻度として計算する頻度計算手段、 前記ログタプルの生起回数を所定の時間区切り毎に計算し、該生起回数の要素の変動係数を算出し、該時間区切りでの該生起回数の分布を計算する周期性計算手段、 前記ログタプルに含まれるメッセージのスコアを異常スコアとして用いるスコア利用手段、 予め登録された文字列ごとの重みを設定しておき、前記ログタプルに含まれるメッセージ内の文字列と比較して、異常性の高さを前記ログタプルのロググループへ割り振る単語異常性抽出手段、 前記ログタプルのログの所定の生起パターンに基づいて異常性のあるログタプルを抽出する生起パターン判定手段、 以前に同一ログテンプレート及びロググループが生起した場合の時間と、監視対象時点で発生したログタプルと発生時間との時間差を求める直前発生時間時間差算出手段、 のいずれかまたは全ての異常性またはスコアを纏めて前記異常性スコアとする手段を含む ことを特徴とするログ生起異常検知装置。
IPC (1件):
G06F 11/34 ( 200 6.01)
FI (1件):
G06F 11/34 S
引用特許:
出願人引用 (2件) 審査官引用 (2件)

前のページに戻る