CN1196984C - 异常检测系统及其教导方法 - Google Patents
异常检测系统及其教导方法 Download PDFInfo
- Publication number
- CN1196984C CN1196984C CNB018154476A CN01815447A CN1196984C CN 1196984 C CN1196984 C CN 1196984C CN B018154476 A CNB018154476 A CN B018154476A CN 01815447 A CN01815447 A CN 01815447A CN 1196984 C CN1196984 C CN 1196984C
- Authority
- CN
- China
- Prior art keywords
- time
- input data
- behavior
- designator
- data component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Abstract
一种用于指导系统中的异常检测机制的方法,所述系统包括可观测元件(302),所述可观测元件中的至少一个具有周期性、与时间相关的行为,该异常检测机制包括一个计算机化学习机制(314)。该方法包括:组合指示可观测元件(302)的行为的指示符(304),并安排所述组合的指示符以使每个可观测元件的指示符被分配给相同的输入数据分量;指导学习机制(314)以使学习机制的输入数据包括基于被组合的指示符(304)的输入数据分量;以及在输入空间中放置逼近输入数据的点(14)。将时间的表示(420-424)并入至少一个输入数据分量(11,12)中,其中时间的表示(420-424)在具有周期性、与时间相关行为的至少一个元件的周期(L)中是周期性的、连续的和明确的。
Description
技术领域
本发明涉及计算机和电信网络中的异常检测,在所述计算机和电信网络中正常行为的概念会随着时间改变。更特别地,本发明尤其涉及指导异常检测机制。这种异常检测机制的一个示例基于自组织图(SOM)。
背景技术
用于检测异常情形的机制属于两种主要类别(即,基于规则的检测机制和异常检测机制)之一。基于规则的检测机制尝试识别已知是不正常的特定行为模式。因此,基于规则的检测机制有两个严重限制:它们只能检测以前发生过以及已明确教给检测系统或编程于其中的问题。异常检测系统(ADS),如在本申请中使用的,改变了该检测问题:它们被指导以正常行为是什么,任何显著(以预定的容限)偏离标准的都被认为是异常的。ADS机制能够检测可能出问题的情况,而无须明确训练此种情形。ADS的一种示例在参考文献1中公开。因此,ADS被定义为用目标系统的正常行为进行训练的机制。相应的,ADS将与正常行为的每个显著偏离都标记为潜在的异常。相比之下,基于规则的检测系统使用异常行为的已知模式进行训练,而且只能够检测其已被指导过的问题。
参考文献1公开了一种用于基于Unix计算机系统的ADS。该系统包括一个数据收集组件,一个用户行为可视化组件,一个自动异常检测组件以及一个用户界面。该系统通过选择对系统中的用户行为进行表征的一组特性来减少异常检测所需的数据量。自动异常检测组件用自组织图(SOM)逼近用户的日常简档,自组织图最初由TeuvoKohonen创建。SOM的关键参数是最佳映射单元(BMU)距离。SOM的BMU被用于检测与日常简档的偏离。这种偏离的测量由一个异常P值来表示。根据参考文献1,已测试ADS并发现它能够检测大范围的异常行为。
已知的基于SOM的ADS机制的问题是它们只限于检测具有已经定义好的正常行为的系统中的问题。在多数电信网络中,“正常行为”的概念最多也就是:模糊。网络元件在高峰时刻的行为与其在黎明前的平静时期的行为十分不同。更准确的说,在多数情况下,是用户导致了所谓正常行为的各种变化。换言之,已知的ADS机制不能容易地帮助检测在其中正常行为随时间改变的系统或元件中的问题。
发明内容
因此,本发明的目的是提供一种用于指导ADS机制的机制,所述ADS机制依赖于在其中正常行为随时间发生显著变化的系统中的正常行为的概念。在此,“显著”表示在特定时间上正常的行为在其他时间被认为是异常的。
该目的通过本发明提供的方法和设备实现。
本发明提供一种用于教导系统中的异常检测机制的方法,所述系统包括可观测元件(observable element),至少一个所述可观测元件具有周期性、与时间相关的行为,该异常检测机制包括一个计算机化学习机制,所述计算机化学习机制具有用于定义包括输入数据分量的输入数据的输入空间:该方法包括:组合指示可观测元件的行为的指示符,并安排被组合的指示符以使每个可观测元件的指示符被分配给相同的输入数据分量;教导学习机制,以使学习机制的输入数据包括基于被组合的指示符的输入数据分量;以及在输入空间中放置逼近输入数据的点;其特征在于:将时间的表示并入至少一个输入数据分量中;其中时间的表示在具有周期性、与时间相关行为的至少一个元件的周期中是周期性的、连续的和明确的。
本发明还提供一种用于检测系统中的异常的设备,所述系统包括可观测元件,至少一个所述可观测元件具有周期性的、与时间相关的行为,该设备包括:一个计算机化学习装置,具有用于定义包括输入数据分量的输入数据的输入空间,用于组合指示可观测元件的行为的指示符并安排被组合的指示符以使每个可观测元件的指示符被分配给相同的输入数据分量的装置;用于教导学习装置,以使学习装置的输入数据包括基于被组合的指示符的输入数据分量的装置;用于在输入空间中放置逼近输入数据的点的装置;该装置的特征在于:至少一个输入数据分量包括时间的表示;其中时间的表示在具有周期性的、与时间相关行为的至少一个元件的周期中是周期性的、连续的和明确的。
此外,还公开了本发明的优选实施例。
本发明部分地基于将时间用作对ADS的输入数据的分量(component)的思想。但是,如果时间被表示为从一个固定起点线性增加的量,则只在输入数据中包括时间是不够的。这是因为,这种时间的表示(presentation of time)是不重复的,并且ADS无法知道一个特定行为何时正常、何时异常。因为每天从23:59到00:00的跳变将在输入数据中引入严重的不连续性,因此将时间作为周期量(如24小时制时钟)引入也是不够的。
因此,本发明还基于用公式描述时间的表示,这适用于解决由诸如电信网络之类的系统的随时间变化的正常行为导致的问题。根据本发明,被用作输入数据的分量的时间的表示是1)周期的,2)连续的以及3)不模糊的(在输入数据的周期内)。这种时间(t)的表示的一个优选示例是对x和y分量的投影,以便x=sin(2πt/L),y=cos(2πt/L),其中L是变化周期的长度,典型的为24小时或一周。乍一看,这种二维时间表示会使用二维SOM图的两个维度,但这样的SOM图只为看起来清楚,在计算机存储器中,一个SOM图可以有任何多个维度。
然而,时间表示的连续性要求应当在考虑到现实约束的情况下进行解释。所有数字系统都有一个有限的分辨率,也就是说没有哪个时间表示可以精确地连续。此外,当通过忽略观测的某些最低有效位,即通过均衡,来存储观测时,可以节约一些存储器。为了本发明的目的,如果时间的表示不包含足以影响正常与异常行为的判决的不连续性,该时间的表示就是足够连续的(=“大规模连续”)。例如,在具有24小时使用周期的电信网络中,如果不出现用户行为改变如此之快,以至于一种特定的行为类型在某个时间点被认为正常而在10或15分钟后就变为异常的情况,那么大约10或15分钟的不连续性(量化)被认为是可接受的。相比之下,在规定好的时间打开和关闭(或以其他方式彻底改变其行为)的系统的时间的表示必须具有小很多的不连续性。
如果事先知道可观测元件的行为的变化较小和/或在该周期的某些部分(如夜晚)变化缓慢而在其他部分(如白天)变化显著,则可以节省一些存储器。在这种情况下,时间的表示可以使得分辨率在该周期中可变。这意味着,一个比特可以代表,例如该周期中平静部分的30分钟和该周期中较活跃部分的5-15分钟。
在某些情况下,一个单个周期(典型的为24小时)就足够了,但有时可能需要二或三个周期。例如,时间的表示可能包括一个周期为24小时的分量以及另一个周期为一周的分量。对于受季节变化影响强烈的位置或情况,可能需要一个周期为一年的第三分量。
本发明不局限于自组织图,而是可以与正如k装置(k-means)以及学习向量量化之类的其他簇(clustering)技术一同使用。
根据本发明的优选实施例,所有变量(输入数据的分量),包括时间的表示,都被缩放(scale)以便每个变量的变化都相同,最好为一。
本发明可以实现为可以访问要观测的元件的计算机系统中的软件例程。理想情况下,本发明的机制包含在一个单个网络元件中,如操作和维护中心。
附图说明
以下将结合附图通过优选实施例描述本发明:
图1显示了自组织图;
图2是图1的变形,其中在SOM的神经元周围有圆圈;
图3是显示本发明优选实施例的过程图;以及
图4A-4C显示不同的时间表示。
具体实施方式
将参照自组织图(SOM)技术描述本发明的优选实施例。图1显示了一个自组织图。用SOM测试异常的目的在于测试对象当前的行为是否异常。要测试的假设是:
H0:最新近的观测不异常。
H1:最新近的观测异常。
一个对象的行为可以是非常一致的,也就是说,它集中在特性空间的一个或几个区域中。另一方面,所述行为也可以散步在特性空间中,这则表示比较不规则的行为。用SOM测试异常的思想是用一个小的对象特定SOM(object-specific SOM)来逼近对象的正常行为。假定先前行为代表对象的正常行为。在训练SOM时,可从先前行为中忽略异常观测。
图1所示的SOM是有200点人工数据的一维(8*1)SOM,通常由参考数字13表示。图2显示该相同的SOM,但带有以该SOM的神经元14作为中心绘制的圆或椭圆21。为清楚起见,图1和2只显示了两个特性11和12,但在实际情况中,可观测特性的数量可以远大于二。
在平面中,绘制了用于两个特性的200点人工数据以及用数据训练的8*1大小的图的神经元。一维SOM可以很好地逼近两个簇(每个簇都有四个椭圆21)的数据。注意,图1中的数据是二维的,以使人们清楚地看到。在计算机系统中,维度的数量可以远大于二。
SOM中一个数据点fk的最佳匹配单元(BMU)是与数据点距离最短的神经元wi。这表示为公式(1),其中dist表示距离。
这里,假定使用到BMU的欧几里德距离来测量一个观测与正常的对象特定行为偏离多少,但也可以使用其他类型的距离测量。异常P值是一个观测的异常的程度的测量。基于该值,假设H0被接受或被拒绝。将结合基于SOM的ADS的使用阶段介绍异常P值的计算。
ADS涉及三个主要阶段,设计、指导和使用。设计阶段通常涉及人类决策并包括下述步骤:
1.选择一组描述目标对象的特性。描述对象的特性向量由f表示。(目标对象是要观测的对象,如网络元件。)在参考文件1中有对这一步骤的详细描述。为本发明的目的,说这些特性是可以用来区分正常和异常行为的参数就足够了。
2.用公式表示用于检测异常行为的假设。目标是测试最新近的观测fn+1是否异常。要测试的假设是H0:最新近的观测fn+1没有异常。替代的假设是H1:最新近的观测fn+1异常。(将结合使用阶段介绍后缀n。)
指导阶段通常包括下列步骤:
1.观测目标对象的正常行为。例如,收集特性向量的n次测量(f1,f2,...,fn)。
2.使用测量(f1,f2,...,fn)作为训练数据,用m个神经元训练SOM。在图中选择神经元的数量m远小于n,例如为n/10。
使用阶段通常包括下列步骤:
1.在SOM中忽略不是任何数据点(f1,f2,...,fn)的最佳映射单元(BMU)的神经元。
2.计算(f1,f2,...,fn)与受训SOM的BMU距离。这些距离表示为(D1,D2,…,Dn)。
3.计算观测fn+1的BMU距离。这个距离表示为Dn+1。
4.计算异常P值。使B为大于Dn+1的最佳映射单元距离(D1,D2,...,Dn)的数量。一个特定对象的异常P值可由下式得到
5.基于异常P值接受或拒绝零假设(null hypothesis)。如果异常P值大于异常P值阈值,接受零假设H0:(最新近的观测fn+1被认为正常)。另一方面,如果异常P值小于异常P值阈值,则拒绝零假设H0,并且最新近的观测fn+1被认为异常。
如果测试表明对象行为异常(H0被拒绝),则可以确定k个偏离最显著的特性。具有对BMU距离的最大绝对贡献的k个特性(特性向量的分量)就是k个最为偏离的特性。等式(3)表示如何计算最为偏离的特性。在等式(3)中,将次标md赋予特性向量的这一分量。在等式(3)中,BMU表示特性向量fn+1的最佳匹配单元,j的取值从零到特性的数目。其他k-1个最为偏离的特性也以相应方式计算。
图1所示的情形可作为一个例子。图1显示了两种异常,通常表示为参考数字15。异常1的异常P值为0/200=0。由于没有哪个数据点的BMU距离大于异常1的BMU距离,分子值为零。相应的,异常2的异常P值为7/200=0.035。
如果异常P值小于异常P值阈值,则拒绝零假设并且触发一个告警。异常P值阈值可以被解释为在被监视对象的行为不偏离在指导阶段使用的该对象的较早期行为的情况下,将被拒绝的观测的比例。即,如果零假设为真:
告警数目=P值阈值*观测 (4)
另一方面,如果零假设不为真(新数据异常),拒绝的数目(告警)会较高。
图2表示如何使用以对象特定的图的神经元为中心的d维球体(d球体)展示对象j的选定P值阈值。对于二维输入数据,d球体是圆形。这里,d表示输入数据(f1,f2,...,fn+1)的维度数。换言之,每个输入数据元件f1到fn本身是一个具有d维的向量。对象i的落在球体之外的观测数对应于等式(2)中的分子B。图2中的二维示例表示这样的情形。此处,B为13,对应于大约6.50的相当高的P值阈值。
图3是表示本发明优选实施例的流程图。参考数字302指向诸如电信网络(不同于神经网络)的物理系统的一个元件。一个物理元件可以包括几个可观测的元件。例如,如果物理系统元件302是电信交换机,它的可观测元件可以包括吞吐量、等待时间,失败呼叫的数量(百分比)等。对于每个时间单位,一个指示符收集器306收集一个指示符元组(tuple)304。各元组存储在一个指示符数据库310中。参考数字312指向用于训练神经网络(或另一种学习机制)314的数据组。数据组312应当指示物理元件302的正常行为。存储器318包含受训的神经网络。当物理元件302要被观测时,对应的受训神经网络320从存储器318中检索出来并作为一个输入加到异常检测机制322中。异常检测机制的其他输入是要测试其异常行为的指示符集324。如果异常检测机制322确定由指示器集324描述的行为是异常的,异常P值和最为偏离的指示符326存储在异常历史数据块328中。同时,将告警330给予监视装置332,如计算机屏幕。
图4A到4C代表不同的时间表示,其中一些是可接受的,一些是不可接受的。在图4A中,水平轴表示以L为单元的时间,其中L是输入数据的周期(假定为24小时)。线400表示时间的直线表示。参考数字401到403指向以24小时间隔出现的重复事件的三个实例。这种时间表示的一个问题是,时间的各个表示不相同,并且ADS无法将事件401到403识别为循环事件。
锯齿线405是时间的24小时表示,或者说,是时间的模函数。在此表示中,每天在相同时间发生的事件具有相同的表示,但是天的交替在输入数据中引入了不连续性。
在图4B中,正弦波410是周期的,连续的,但它不是模糊的。事件411和412出现在不同的时间上,但是有相同的时间表示。假定事件411在早晨是正常的,如果类似事件在晚上发生,ADS不会将该事件识别为异常。
图4C表示三个可接受的时间表示。它们都基于将时间表示为坐标对x,y的思想。圆420将时间表示为{x=sin(2πt/L);y=cos(2πt/L)},其中L是可变周期的长度,2πt/L是与x轴的夹角。只要椭圆422不是太扁以至于引入了不知一个点是在该椭圆的上半部还是下半部的模糊性,该椭圆422也是可接受的。甚至还可以使用矩形424。尽管几个点具有相同的x或y坐标,矩形的任一两点的x/y坐标对都不同。
圆420的正弦/余弦组合被认为是优选的时间表示,因为在时间上等距离的事件在时间的表示上也是等距离的。然而,正弦/余弦组合可能需要大量计算,可以使用某些近似,如具有90度相移的三角波函数对。如前所述,在某些情况下,时间的表示可能要求多个分量。例如,对于周期为24小时,一周和一年,可能需要多达三个正弦/余弦对。
尽管结合神经网络和自组织图介绍了本发明的优选实施例,但本发明不限于这些示例。作为一种替换,本发明可以一般化为如k装置和学习向量量化之类的其他簇技术,这时神经元被电波密码本向量取代。
参考文件:
1.Hglund,Albert:An Anomaly Detection System forComputer Networks,Master of Science thesis,Helsinki University ofTechnology 1997
参考文件1通过参考被引入此处。
Claims (10)
1.一种用于教导系统中的异常检测机制的方法,所述系统包括可观测元件,至少一个所述可观测元件具有周期性、与时间相关的行为,该异常检测机制包括一个计算机化学习机制,所述计算机化学习机制具有用于定义包括输入数据分量的输入数据的输入空间:
该方法包括:
组合指示可观测元件的行为的指示符,并安排被组合的指示符以使每个可观测元件的指示符被分配给相同的输入数据分量;
教导学习机制,以使学习机制的输入数据包括基于被组合的指示符的输入数据分量;以及
在输入空间中放置逼近输入数据的点;
其特征在于:
将时间的表示并入至少一个输入数据分量中;
其中时间的表示在具有周期性、与时间相关行为的至少一个元件的周期中是周期性的、连续的和明确的。
2.根据权利要求1所述的方法,其特征在于所述学习机制是自组织图或者包括自组织图。
3.根据权利要求1或2所述的方法,其特征在于所述时间的表示有一个第一周期和是所述第一周期的倍数的至少一个第二周期。
4.根据前述任一权利要求所述的方法,其特征在于缩放数据分量,使得每个数据分量具有相同的变化。
5.根据权利要求4所述的方法,其特征在于所述相同的变化为一。
6.根据权利要求1或2所述的方法,其特征在于时间的表示具有可变的分辨率,使得根据与时间相关的行为中的变化,一个比特对应于时间的不同单元。
7.一种用于检测系统中的异常的设备,所述系统包括可观测元件,至少一个所述可观测元件具有周期性的、与时间相关的行为,
该设备包括:
一个计算机化学习装置,具有用于定义包括输入数据分量的输入数据的输入空间,
用于组合指示可观测元件的行为的指示符并安排被组合的指示符以使每个可观测元件的指示符被分配给相同的输入数据分量的装置;
用于教导学习装置,以使学习装置的输入数据包括基于被组合的指示符的输入数据分量的装置;
用于在输入空间中放置逼近输入数据的点的装置;
该设备的特征在于:
至少一个输入数据分量包括时间的表示;
其中时间的表示在具有周期性的、与时间相关行为的至少一个元件的周期中是周期性的、连续的和明确的。
8.根据权利要求7所述的设备,其特征在于所述学习装置是自组织图或者包括自组织图。
9.根据权利要求7所述的设备,其特征在于所述时间的表示有一个第一周期和是所述第一周期的倍数的至少一个第二周期。
10.根据权利要求7所述的设备,其特征在于所述设备包括在单个网络元件中。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20001997 | 2000-09-11 | ||
| FI20001997A FI114749B (fi) | 2000-09-11 | 2000-09-11 | Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1455890A CN1455890A (zh) | 2003-11-12 |
| CN1196984C true CN1196984C (zh) | 2005-04-13 |
Family
ID=8559059
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB018154476A Expired - Fee Related CN1196984C (zh) | 2000-09-11 | 2001-09-10 | 异常检测系统及其教导方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US7519860B2 (zh) |
| EP (2) | EP1325588A1 (zh) |
| JP (1) | JP4436042B2 (zh) |
| CN (1) | CN1196984C (zh) |
| AU (2) | AU2001269056A1 (zh) |
| CA (1) | CA2421928C (zh) |
| FI (1) | FI114749B (zh) |
| WO (2) | WO2002021774A1 (zh) |
Families Citing this family (106)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI114749B (fi) | 2000-09-11 | 2004-12-15 | Nokia Corp | Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi |
| US6862698B1 (en) | 2002-01-22 | 2005-03-01 | Cisco Technology, Inc. | Method of labeling alarms to facilitate correlating alarms in a telecommunications network |
| TW200507556A (en) * | 2003-01-16 | 2005-02-16 | Koninkl Philips Electronics Nv | Preventing distribution of modified or corrupted files |
| US7016806B2 (en) * | 2003-03-31 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for event monitoring in an information processing system |
| US9143393B1 (en) | 2004-05-25 | 2015-09-22 | Red Lambda, Inc. | System, method and apparatus for classifying digital data |
| US7631222B2 (en) * | 2004-08-23 | 2009-12-08 | Cisco Technology, Inc. | Method and apparatus for correlating events in a network |
| US20070028220A1 (en) * | 2004-10-15 | 2007-02-01 | Xerox Corporation | Fault detection and root cause identification in complex systems |
| EP1817648B1 (en) * | 2004-11-26 | 2020-09-16 | Telecom Italia S.p.A. | Instrusion detection method and system, related network and computer program product therefor |
| CN100440796C (zh) * | 2004-12-04 | 2008-12-03 | 华为技术有限公司 | 一种获取网络关键性能指标的方法及关键性能指标组件 |
| US8001527B1 (en) * | 2004-12-21 | 2011-08-16 | Zenprise, Inc. | Automated root cause analysis of problems associated with software application deployments |
| US7937197B2 (en) * | 2005-01-07 | 2011-05-03 | GM Global Technology Operations LLC | Apparatus and methods for evaluating a dynamic system |
| US9129226B2 (en) * | 2011-12-04 | 2015-09-08 | Beyondcore, Inc. | Analyzing data sets with the help of inexpert humans to find patterns |
| US10127130B2 (en) | 2005-03-18 | 2018-11-13 | Salesforce.Com | Identifying contributors that explain differences between a data set and a subset of the data set |
| GB0513294D0 (en) * | 2005-06-29 | 2005-08-03 | Nokia Corp | Quality assessment for telecommunications network |
| JP4626852B2 (ja) * | 2005-07-11 | 2011-02-09 | 日本電気株式会社 | 通信網の障害検出システム、通信網の障害検出方法及び障害検出プログラム |
| JP2008134705A (ja) * | 2006-11-27 | 2008-06-12 | Hitachi Ltd | データ処理方法及びデータ分析装置 |
| US20080229153A1 (en) * | 2007-03-13 | 2008-09-18 | At&T Knowledge Ventures, Lp | System and method of network error analysis |
| EP2003604B1 (en) * | 2007-05-23 | 2018-10-24 | Deutsche Telekom AG | Self-organizing map with virtual map units |
| US20090030752A1 (en) * | 2007-07-27 | 2009-01-29 | General Electric Company | Fleet anomaly detection method |
| US8151292B2 (en) | 2007-10-02 | 2012-04-03 | Emsense Corporation | System for remote access to media, and reaction and survey data from viewers of the media |
| US7941382B2 (en) * | 2007-10-12 | 2011-05-10 | Microsoft Corporation | Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior |
| SG152081A1 (en) * | 2007-10-18 | 2009-05-29 | Yokogawa Electric Corp | Metric based performance monitoring method and system |
| EP2214550A1 (en) | 2007-10-31 | 2010-08-11 | Emsense Corporation | Systems and methods providing distributed collection and centralized processing of physiological responses from viewers |
| US8793363B2 (en) * | 2008-01-15 | 2014-07-29 | At&T Mobility Ii Llc | Systems and methods for real-time service assurance |
| JP4984162B2 (ja) * | 2008-01-17 | 2012-07-25 | 日本電気株式会社 | 監視制御方法および監視制御装置 |
| US8472328B2 (en) * | 2008-07-31 | 2013-06-25 | Riverbed Technology, Inc. | Impact scoring and reducing false positives |
| US8218442B2 (en) | 2008-09-11 | 2012-07-10 | Juniper Networks, Inc. | Methods and apparatus for flow-controllable multi-staged queues |
| US8325749B2 (en) * | 2008-12-24 | 2012-12-04 | Juniper Networks, Inc. | Methods and apparatus for transmission of groups of cells via a switch fabric |
| US8213308B2 (en) * | 2008-09-11 | 2012-07-03 | Juniper Networks, Inc. | Methods and apparatus for defining a flow control signal related to a transmit queue |
| US8254255B2 (en) | 2008-12-29 | 2012-08-28 | Juniper Networks, Inc. | Flow-control in a switch fabric |
| US20100169169A1 (en) * | 2008-12-31 | 2010-07-01 | International Business Machines Corporation | System and method for using transaction statistics to facilitate checkout variance investigation |
| US8023513B2 (en) * | 2009-02-24 | 2011-09-20 | Fujitsu Limited | System and method for reducing overhead in a wireless network |
| US7962797B2 (en) * | 2009-03-20 | 2011-06-14 | Microsoft Corporation | Automated health model generation and refinement |
| US8522085B2 (en) * | 2010-01-27 | 2013-08-27 | Tt Government Solutions, Inc. | Learning program behavior for anomaly detection |
| WO2011008198A1 (en) * | 2009-07-14 | 2011-01-20 | Hewlett-Packard Development Company, L.P. | Determining a seasonal effect in temporal data |
| US8516471B2 (en) * | 2009-10-06 | 2013-08-20 | International Business Machines Corporation | Detecting impact of operating system upgrades |
| US20110090820A1 (en) | 2009-10-16 | 2011-04-21 | Osama Hussein | Self-optimizing wireless network |
| US9264321B2 (en) | 2009-12-23 | 2016-02-16 | Juniper Networks, Inc. | Methods and apparatus for tracking data flow based on flow state values |
| WO2011119137A1 (en) | 2010-03-22 | 2011-09-29 | Lrdc Systems, Llc | A method of identifying and protecting the integrity of a set of source data |
| US8805839B2 (en) | 2010-04-07 | 2014-08-12 | Microsoft Corporation | Analysis of computer network activity by successively removing accepted types of access events |
| US9602439B2 (en) | 2010-04-30 | 2017-03-21 | Juniper Networks, Inc. | Methods and apparatus for flow control associated with a switch fabric |
| US9065773B2 (en) | 2010-06-22 | 2015-06-23 | Juniper Networks, Inc. | Methods and apparatus for virtual channel flow control associated with a switch fabric |
| US8584241B1 (en) * | 2010-08-11 | 2013-11-12 | Lockheed Martin Corporation | Computer forensic system |
| US8553710B1 (en) | 2010-08-18 | 2013-10-08 | Juniper Networks, Inc. | Fibre channel credit-based link flow control overlay onto fibre channel over ethernet |
| US8719930B2 (en) * | 2010-10-12 | 2014-05-06 | Sonus Networks, Inc. | Real-time network attack detection and mitigation infrastructure |
| US8595556B2 (en) | 2010-10-14 | 2013-11-26 | International Business Machines Corporation | Soft failure detection |
| US8683591B2 (en) | 2010-11-18 | 2014-03-25 | Nant Holdings Ip, Llc | Vector-based anomaly detection |
| US9660940B2 (en) | 2010-12-01 | 2017-05-23 | Juniper Networks, Inc. | Methods and apparatus for flow control associated with a switch fabric |
| US9032089B2 (en) | 2011-03-09 | 2015-05-12 | Juniper Networks, Inc. | Methods and apparatus for path selection within a network based on flow duration |
| US8806645B2 (en) * | 2011-04-01 | 2014-08-12 | Mcafee, Inc. | Identifying relationships between security metrics |
| US8509762B2 (en) | 2011-05-20 | 2013-08-13 | ReVerb Networks, Inc. | Methods and apparatus for underperforming cell detection and recovery in a wireless network |
| WO2013016244A1 (en) * | 2011-07-22 | 2013-01-31 | Sergey Eidelman | Systems and methods for network monitoring and testing using self-adaptive triggers based on kpi values |
| US9369886B2 (en) | 2011-09-09 | 2016-06-14 | Viavi Solutions Inc. | Methods and apparatus for implementing a self optimizing-organizing network manager |
| US8811183B1 (en) | 2011-10-04 | 2014-08-19 | Juniper Networks, Inc. | Methods and apparatus for multi-path flow control within a multi-stage switch fabric |
| US9258719B2 (en) | 2011-11-08 | 2016-02-09 | Viavi Solutions Inc. | Methods and apparatus for partitioning wireless network cells into time-based clusters |
| US10802687B2 (en) | 2011-12-04 | 2020-10-13 | Salesforce.Com, Inc. | Displaying differences between different data sets of a process |
| US10796232B2 (en) | 2011-12-04 | 2020-10-06 | Salesforce.Com, Inc. | Explaining differences between predicted outcomes and actual outcomes of a process |
| US9008722B2 (en) | 2012-02-17 | 2015-04-14 | ReVerb Networks, Inc. | Methods and apparatus for coordination in multi-mode networks |
| US10268974B2 (en) * | 2012-09-28 | 2019-04-23 | Rex Wiig | System and method of a requirement, compliance and resource management |
| US9953281B2 (en) * | 2012-09-28 | 2018-04-24 | Rex Wiig | System and method of a requirement, compliance and resource management |
| US9246747B2 (en) * | 2012-11-15 | 2016-01-26 | Hong Kong Applied Science and Technology Research Co., Ltd. | Adaptive unified performance management (AUPM) with root cause and/or severity analysis for broadband wireless access networks |
| US10135698B2 (en) * | 2013-05-14 | 2018-11-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Resource budget determination for communications network |
| US9218570B2 (en) * | 2013-05-29 | 2015-12-22 | International Business Machines Corporation | Determining an anomalous state of a system at a future point in time |
| WO2014205421A1 (en) * | 2013-06-21 | 2014-12-24 | Arizona Board Of Regents For The University Of Arizona | Automated detection of insider threats |
| US9414244B2 (en) * | 2013-07-22 | 2016-08-09 | Motorola Solutions, Inc. | Apparatus and method for determining context-aware and adaptive thresholds in a communications system |
| GB2517147A (en) | 2013-08-12 | 2015-02-18 | Ibm | Performance metrics of a computer system |
| US9727821B2 (en) | 2013-08-16 | 2017-08-08 | International Business Machines Corporation | Sequential anomaly detection |
| JP6002849B2 (ja) * | 2013-08-21 | 2016-10-05 | 株式会社日立製作所 | 監視装置、監視方法、および記録媒体 |
| TWI510109B (zh) * | 2013-09-25 | 2015-11-21 | Chunghwa Telecom Co Ltd | 遞迴式異常網路流量偵測方法 |
| WO2015077917A1 (en) * | 2013-11-26 | 2015-06-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for anomaly detection in a network |
| US10122747B2 (en) * | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
| FR3015757B1 (fr) * | 2013-12-23 | 2019-05-31 | Electricite De France | Procede d'estimation quantitative du colmatage des plaques d'un generateur de vapeur |
| CN103869053B (zh) * | 2014-03-24 | 2015-07-15 | 焦振志 | 区域地球化学调查样品分析异常点抽检方法 |
| EP3221793B1 (en) * | 2014-11-18 | 2018-10-17 | Vectra Networks, Inc. | Method and system for detecting threats using passive cluster mapping |
| WO2016093836A1 (en) | 2014-12-11 | 2016-06-16 | Hewlett Packard Enterprise Development Lp | Interactive detection of system anomalies |
| US10320824B2 (en) * | 2015-01-22 | 2019-06-11 | Cisco Technology, Inc. | Anomaly detection using network traffic data |
| US9113353B1 (en) | 2015-02-27 | 2015-08-18 | ReVerb Networks, Inc. | Methods and apparatus for improving coverage and capacity in a wireless network |
| WO2016188571A1 (en) | 2015-05-27 | 2016-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for analysing performance of a network by managing network data relating to operation of the network |
| US20170034720A1 (en) * | 2015-07-28 | 2017-02-02 | Futurewei Technologies, Inc. | Predicting Network Performance |
| WO2017027003A1 (en) | 2015-08-10 | 2017-02-16 | Hewlett Packard Enterprise Development Lp | Evaluating system behaviour |
| US10861031B2 (en) | 2015-11-25 | 2020-12-08 | The Nielsen Company (Us), Llc | Methods and apparatus to facilitate dynamic classification for market research |
| US20170167890A1 (en) * | 2015-12-09 | 2017-06-15 | Watersmart Software, Inc. | System and method for providing a platform for detecting pattern based irrigation |
| WO2017108106A1 (en) | 2015-12-22 | 2017-06-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and network node for identifiying specific area of wireless communication system |
| US10609587B2 (en) | 2016-05-01 | 2020-03-31 | Teoco Corporation | System, method, and computer program product for location-based detection of indicator anomalies |
| WO2018011742A1 (en) * | 2016-07-13 | 2018-01-18 | Incelligent P.C. | Early warning and recommendation system for the proactive management of wireless broadband networks |
| US10694487B2 (en) * | 2016-09-15 | 2020-06-23 | Cisco Technology, Inc. | Distributed network black box using crowd-based cooperation and attestation |
| WO2018130284A1 (en) * | 2017-01-12 | 2018-07-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Anomaly detection of media event sequences |
| US10419269B2 (en) | 2017-02-21 | 2019-09-17 | Entit Software Llc | Anomaly detection |
| US11055631B2 (en) * | 2017-03-27 | 2021-07-06 | Nec Corporation | Automated meta parameter search for invariant based anomaly detectors in log analytics |
| US10931696B2 (en) | 2018-07-13 | 2021-02-23 | Ribbon Communications Operating Company, Inc. | Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies |
| US11271960B2 (en) * | 2017-12-06 | 2022-03-08 | Ribbon Communications Operating Company, Inc. | Communications methods and apparatus for dynamic detection and/or mitigation of anomalies |
| US10548032B2 (en) * | 2018-01-26 | 2020-01-28 | Verizon Patent And Licensing Inc. | Network anomaly detection and network performance status determination |
| US10685652B1 (en) * | 2018-03-22 | 2020-06-16 | Amazon Technologies, Inc. | Determining device groups |
| US11188865B2 (en) * | 2018-07-13 | 2021-11-30 | Dimensional Insight Incorporated | Assisted analytics |
| US11012421B2 (en) | 2018-08-28 | 2021-05-18 | Box, Inc. | Predicting user-file interactions |
| US11921612B2 (en) * | 2018-08-29 | 2024-03-05 | Oracle International Corporation | Identification of computer performance anomalies based on computer key performance indicators |
| US11228506B2 (en) | 2018-09-06 | 2022-01-18 | Hewlett Packard Enterprise Development Lp | Systems and methods for detecting anomalies in performance indicators of network devices |
| US10834106B2 (en) | 2018-10-03 | 2020-11-10 | At&T Intellectual Property I, L.P. | Network security event detection via normalized distance based clustering |
| KR102424694B1 (ko) * | 2018-12-26 | 2022-07-25 | 삼성전자주식회사 | 무선 통신 시스템에서 네트워크 장치의 성능을 모니터링 하기 위한 장치 및 방법 |
| CN111949496B (zh) * | 2019-05-15 | 2022-06-07 | 华为技术有限公司 | 一种数据检测方法及装置 |
| US11799890B2 (en) * | 2019-10-01 | 2023-10-24 | Box, Inc. | Detecting anomalous downloads |
| US11216666B2 (en) | 2019-12-11 | 2022-01-04 | Fujifilm Business Innovation Corp. | Understanding normality of an environment using semantic information from images |
| WO2022019728A1 (en) * | 2020-07-24 | 2022-01-27 | Samsung Electronics Co., Ltd. | Method and system for dynamic threshold detection for key performance indicators in communication networks |
| US11499892B2 (en) * | 2020-11-30 | 2022-11-15 | Kcf Technologies, Inc. | Optimization for anomaly detection |
| US20220214948A1 (en) * | 2021-01-06 | 2022-07-07 | Kyndryl, Inc. | Unsupervised log data anomaly detection |
| US11558238B1 (en) | 2022-01-08 | 2023-01-17 | Bank Of America Corporation | Electronic system for dynamic latency reduction through edge computation based on a multi-layered mechanism |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI910512A (fi) * | 1991-02-01 | 1992-08-02 | Esko Antero Hirvonen | Kontrollsystem. |
| US5317725A (en) * | 1991-03-12 | 1994-05-31 | Hewlett-Packard Company | Landmark data abstraction paradigm to diagnose data communication networks |
| US5819226A (en) * | 1992-09-08 | 1998-10-06 | Hnc Software Inc. | Fraud detection using predictive modeling |
| US5365514A (en) * | 1993-03-01 | 1994-11-15 | International Business Machines Corporation | Event driven interface for a system for monitoring and controlling a data communications network |
| US5446874A (en) * | 1993-12-23 | 1995-08-29 | International Business Machines Corp. | Automated benchmarking with self customization |
| US6006016A (en) * | 1994-11-10 | 1999-12-21 | Bay Networks, Inc. | Network fault correlation |
| WO1996024210A2 (en) * | 1995-02-02 | 1996-08-08 | Cabletron Systems, Inc. | Method and apparatus for learning network behavior trends and predicting future behavior of communications networks |
| GB2303275B (en) * | 1995-07-13 | 1997-06-25 | Northern Telecom Ltd | Detecting mobile telephone misuse |
| EP0849910A3 (en) * | 1996-12-18 | 1999-02-10 | Nortel Networks Corporation | Communications network monitoring |
| GB2321362A (en) * | 1997-01-21 | 1998-07-22 | Northern Telecom Ltd | Generic processing capability |
| US6105149A (en) * | 1998-03-30 | 2000-08-15 | General Electric Company | System and method for diagnosing and validating a machine using waveform data |
| US6609217B1 (en) * | 1998-03-30 | 2003-08-19 | General Electric Company | System and method for diagnosing and validating a machine over a network using waveform data |
| US6442542B1 (en) * | 1999-10-08 | 2002-08-27 | General Electric Company | Diagnostic system with learning capabilities |
| US6609036B1 (en) * | 2000-06-09 | 2003-08-19 | Randall L. Bickford | Surveillance system and method having parameter estimation and operating mode partitioning |
| FI114749B (fi) * | 2000-09-11 | 2004-12-15 | Nokia Corp | Poikkeamien ilmaisujärjestelmä ja menetelmä sen opettamiseksi |
-
2000
- 2000-09-11 FI FI20001997A patent/FI114749B/fi active
-
2001
- 2001-06-06 WO PCT/EP2001/006405 patent/WO2002021774A1/en not_active Application Discontinuation
- 2001-06-06 AU AU2001269056A patent/AU2001269056A1/en not_active Abandoned
- 2001-06-06 EP EP01947345A patent/EP1325588A1/en not_active Withdrawn
- 2001-06-06 US US10/363,745 patent/US7519860B2/en not_active Expired - Fee Related
- 2001-09-10 AU AU2001287759A patent/AU2001287759A1/en not_active Abandoned
- 2001-09-10 JP JP2002524792A patent/JP4436042B2/ja not_active Expired - Fee Related
- 2001-09-10 WO PCT/FI2001/000783 patent/WO2002021242A1/en active Application Filing
- 2001-09-10 CN CNB018154476A patent/CN1196984C/zh not_active Expired - Fee Related
- 2001-09-10 CA CA2421928A patent/CA2421928C/en not_active Expired - Fee Related
- 2001-09-10 EP EP01967371A patent/EP1334417A1/en not_active Withdrawn
-
2003
- 2003-03-07 US US10/383,224 patent/US7613668B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| AU2001287759A1 (en) | 2002-03-22 |
| US7519860B2 (en) | 2009-04-14 |
| WO2002021242A1 (en) | 2002-03-14 |
| CA2421928A1 (en) | 2002-03-14 |
| AU2001269056A1 (en) | 2002-03-22 |
| US7613668B2 (en) | 2009-11-03 |
| EP1325588A1 (en) | 2003-07-09 |
| JP2004508631A (ja) | 2004-03-18 |
| CA2421928C (en) | 2011-11-15 |
| FI20001997A0 (fi) | 2000-09-11 |
| US20030225520A1 (en) | 2003-12-04 |
| US20040039968A1 (en) | 2004-02-26 |
| FI20001997A (fi) | 2002-03-12 |
| EP1334417A1 (en) | 2003-08-13 |
| FI114749B (fi) | 2004-12-15 |
| CN1455890A (zh) | 2003-11-12 |
| JP4436042B2 (ja) | 2010-03-24 |
| WO2002021774A1 (en) | 2002-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1196984C (zh) | 异常检测系统及其教导方法 | |
| CN111459700B (zh) | 设备故障的诊断方法、诊断装置、诊断设备及存储介质 | |
| CN115578015B (zh) | 基于物联网的污水处理全过程监管方法、系统及存储介质 | |
| EP3292672A1 (en) | Anomaly detection for context-dependent data | |
| CN108985380B (zh) | 一种基于聚类集成的转辙机故障识别方法 | |
| CN116129366B (zh) | 基于数字孪生的园区监测方法及相关装置 | |
| CN107561997A (zh) | 一种基于大数据决策树的电力设备状态监测方法 | |
| CN107679089A (zh) | 一种用于电力传感数据的清洗方法、装置和系统 | |
| CN112688431A (zh) | 一种基于大数据的配电网负荷过载可视化方法及系统 | |
| CN105574593A (zh) | 基于云计算和大数据的轨道状态静态检控系统及方法 | |
| CN110543907A (zh) | 一种基于微机监测功率曲线的故障分类方法 | |
| CN114386538A (zh) | 一种标记监测指标的kpi曲线的波段特征的方法 | |
| CN111813644A (zh) | 系统性能的评价方法、装置、电子设备和计算机可读介质 | |
| CN110110339A (zh) | 一种日前水文预报误差校正方法及系统 | |
| Hajgató et al. | PredMaX: Predictive maintenance with explainable deep convolutional autoencoders | |
| CN117220441A (zh) | 基于全景监控下的信息监测智能预警方法 | |
| CN115936680B (zh) | 一种设备运维的智能派单方法及系统 | |
| CN115902615A (zh) | 电力断路器缺陷分析方法及装置 | |
| TWI639908B (zh) | 製程偵錯與診斷方法 | |
| CN110320802A (zh) | 基于数据可视化的复杂系统信号时序识别方法 | |
| CN113778042B (zh) | 基于信息化建模的工控设备指令模拟运行通信系统 | |
| CN116108198A (zh) | 基于大数据ai构建知识图谱的水质诊断方法及存储介质 | |
| CN115758561A (zh) | 一种飞机飞行模拟参数数据的生成方法 | |
| CN112345972B (zh) | 基于停电事件的配电网线变关系异常诊断方法、装置及系统 | |
| CN112632469A (zh) | 业务交易数据的异常检测方法、装置及计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NOKIA AND SIEMENS NETWORKS CO., LTD. Free format text: FORMER OWNER: NOKIA NETWORKS OY Effective date: 20080725 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20080725 Address after: Espoo, Finland Patentee after: Nokia Siemens Network Co., Ltd. Address before: Espoo, Finland Patentee before: Nokia Oyj |
|
| C56 | Change in the name or address of the patentee |
Owner name: NOKIA SIEMENS NETWORKS OY Free format text: FORMER NAME: NOKIA SIEMENS NETWORK CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Espoo, Finland Patentee after: Nokia Siemens Networks OY Address before: Espoo, Finland Patentee before: Nokia Siemens Network Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050413 Termination date: 20150910 |
|
| EXPY | Termination of patent right or utility model |