JP7552895B2 - Process information analysis device, process information analysis method, and program - Google Patents
Process information analysis device, process information analysis method, and program Download PDFInfo
- Publication number
- JP7552895B2 JP7552895B2 JP2023523840A JP2023523840A JP7552895B2 JP 7552895 B2 JP7552895 B2 JP 7552895B2 JP 2023523840 A JP2023523840 A JP 2023523840A JP 2023523840 A JP2023523840 A JP 2023523840A JP 7552895 B2 JP7552895 B2 JP 7552895B2
- Authority
- JP
- Japan
- Prior art keywords
- index value
- process information
- information analysis
- analysis device
- bipartite graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、プロセス情報解析装置、プロセス情報解析方法およびプログラムに関する。 The present invention relates to a process information analysis device, a process information analysis method, and a program.
ICT(Information and Communication Technology)システムは生活や社会・経済基盤を支える重要インフラとなっている。一方で、様々な機能が関連して動作しているシステムの障害は、事前検知が難しく要因も分かりにくい傾向にあるため、復旧までに半日から1日程度かかるケースもある。このため、ユーザへの影響時間も長期に渡ってしまい、事業的な損失が大きくなる。そこで、障害が顕在化する前に異常を検知し、要因を特定することでユーザへの影響を最小限に抑える技術が必要となる。 ICT (Information and Communication Technology) systems have become a critical infrastructure that supports our lives and the social and economic foundations of our society. However, because various functions operate in a connected manner, system failures tend to be difficult to detect in advance and the causes are hard to understand, so in some cases it can take anywhere from half a day to a day to restore the system. This means that the impact on users is prolonged, resulting in significant business losses. Therefore, technology is needed that can detect abnormalities before a failure becomes apparent and identify the causes, thereby minimizing the impact on users.
現在、ICTシステムの障害対応自動化という観点で異常検知・要因推定技術が検討されている。障害の発生を検知する異常検知技術については、Autoencoderによる複数の数値データの相関関係を解析する方法(非特許文献1)や、数学モデルを用いて数値データの時間的変化を表現し、観測値のモデルからの乖離を解析する方法(非特許文献2)などがある。障害の主要因を推定する要因推定技術は、各機器の異常と観測データの因果関係を表す因果グラフを作成し異常箇所を推定する方法(非特許文献3)や、障害時に発生する複数のアラームの因果関係を表す因果グラフを作成し主要因となるアラームを推定する方法(非特許文献4)、syslogなどのログデータからイベントを抽出しイベント間の因果関係を表す因果グラフを作成、分析する方法(非特許文献3)などがある。Currently, anomaly detection and cause estimation technologies are being considered from the perspective of automating responses to ICT system failures. Anomaly detection technologies that detect the occurrence of failures include a method of analyzing the correlation between multiple numerical data using an autoencoder (Non-Patent Document 1), and a method of expressing temporal changes in numerical data using a mathematical model and analyzing the deviation of observed values from the model (Non-Patent Document 2). Cause estimation technologies that estimate the main cause of a failure include a method of creating a causal graph that shows the causal relationship between anomalies in each device and observed data and estimating the location of the anomaly (Non-Patent Document 3), a method of creating a causal graph that shows the causal relationship between multiple alarms generated at the time of a failure and estimating the alarm that is the main cause (Non-Patent Document 4), and a method of extracting events from log data such as syslog and creating and analyzing a causal graph that shows the causal relationship between events (Non-Patent Document 3).
また、システムの内部状態、つまり、プロセスの生成やファイルの参照を、グラフを用いて表現し、それを用いて異常検知や要因推定を達成する方法が知られている。グラフを用いた既存の異常検知法として、固定された頂点に対して、頂点同士の関係性の変化を解析するものが提案されている(非特許文献5)。 There is also a method of representing the internal state of a system, i.e., process generation and file references, using a graph to detect anomalies and estimate their causes. One existing method of detecting anomalies using a graph is to analyze changes in the relationships between fixed vertices (Non-Patent Document 5).
様々な機能が関連して動作しているシステムにおいて事前検知が難しく要因が分かりにくくなる理由はシステムの内部状態が影響するためである。システムはプロセス(システムが実行するコマンド)群の動作により実現する。プロセスの動作として、新たなプロセスの生成・別プロセスへのアクセス・ファイルの参照などがあるため、システムの「内部状態」とは、プロセスの親子関係やプロセス/ファイル間の参照関係に該当する。 In a system where various functions operate in a linked manner, it is difficult to detect problems in advance and the causes are hard to understand because of the influence of the system's internal state. A system is realized by the operation of a group of processes (commands executed by the system). Process operations include the creation of a new process, access to another process, and reference to a file, so the "internal state" of a system corresponds to the parent-child relationships between processes and the reference relationships between processes and files.
そこで、プロセス/ファイルの関係性を解析することで、複雑な障害に対する異常検知・要因推定が達成できると期待される。しかし、現在検討されている技術は、トラヒック量やCPU使用率、ログなどの顕在的なデータを用いる。これらのデータはプロセスの動作により生成される場合もあるが、プロセス自身の詳細な動作を表しているわけではなく、内部状態の解析には不十分である。このため、内部状態が関係する複雑な障害に対する異常検知・要因推定を達成するには、既存技術では不十分である。 It is therefore hoped that analyzing the relationships between processes and files will enable anomaly detection and cause inference for complex failures. However, the technologies currently under consideration use explicit data such as traffic volume, CPU usage, and logs. Although this data may be generated by the operation of a process, it does not represent the detailed operation of the process itself, and is therefore insufficient for analyzing internal states. For this reason, existing technologies are insufficient for anomaly detection and cause inference for complex failures involving internal states.
生成されるプロセスの数や参照されるファイル数が時間とともに変化するような頂点が固定されず、また、あるプロセスに起因するプロセスが無くなるといった、親子関係の変化に着目する必要がある。しかし、上述した従来の技術では、固定されていない頂点のグラフを扱うことが困難であり、また親子関係の変化に着目したグラフを生成することができない。 It is necessary to focus on changes in parent-child relationships, such as vertices that are not fixed, where the number of processes generated or the number of files referenced change over time, and where a process disappears due to a certain process. However, with the conventional technology described above, it is difficult to handle graphs with unfixed vertices, and it is not possible to generate graphs that focus on changes in parent-child relationships.
また、グラフの形状の細かい変化ではなく、あるプロセスに起因するプロセスが無くなるといった、親子関係の変化に着目し、異常かどうかを判断することが必要である。これは、プロセスの異常な振る舞いはその子プロセスへ影響し、親子関係が変化するためである。これらのことを考慮すると、既存のグラフに対する異常検知法では、複雑な障害に対する異常検知または要因推定を行うことができない。 In addition, rather than focusing on minute changes in the shape of the graph, it is necessary to focus on changes in parent-child relationships, such as the disappearance of a process caused by a certain process, in order to determine whether an abnormality exists. This is because abnormal behavior of a process affects its child processes, causing changes in parent-child relationships. Considering these factors, existing anomaly detection methods for graphs are unable to detect anomalies or infer the causes of complex failures.
開示の技術は、複雑な障害に対する異常検知または要因推定を行うための指標値を算出することを目的とする。 The disclosed technology aims to calculate index values for detecting anomalies or estimating the causes of complex faults.
開示の技術は、対象のプロセス群の情報を示すプロセス情報を取得するプロセス情報取得部と、前記対象のプロセス群と、前記プロセス群に含まれるプロセスの子プロセスとの間の関係性を推定し、2部グラフを生成するプロセス間関係性推定部と、前記2部グラフに基づいて指標値を算出する指標値算出部と、を備えるプロセス情報解析装置である。 The disclosed technology is a process information analysis device that includes a process information acquisition unit that acquires process information indicating information about a target process group, an inter-process relationship estimation unit that estimates the relationship between the target process group and child processes of a process included in the process group and generates a bipartite graph, and an index value calculation unit that calculates an index value based on the bipartite graph.
複雑な障害に対する異常検知または要因推定を行うための指標値を算出することができる。 It is possible to calculate index values to detect anomalies or estimate the causes of complex failures.
以下、図面を参照して本発明の実施の形態(本実施の形態)について説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。Hereinafter, an embodiment of the present invention (the present embodiment) will be described with reference to the drawings. The embodiment described below is merely an example, and the embodiment to which the present invention is applicable is not limited to the following embodiment.
(本実施の形態の概要)
本実施の形態に係るプロセス情報解析装置は、プロセス情報を解析してプロセス間の類似関係を示す2部グラフを生成し、生成した2部グラフに基づいて、監視対象のプロセス群の指標値を算出する装置である。
(Outline of the present embodiment)
The process information analysis device according to this embodiment is a device that analyzes process information to generate a bipartite graph showing similarity relationships between processes, and calculates index values for a group of processes to be monitored based on the generated bipartite graph.
プロセスとは、情報処理装置のOS(Operating System)上で動作中のプログラムである。監視対象のプロセス群には、複数のプロセスが含まれる。 A process is a program running on the OS (Operating System) of an information processing device. The process group to be monitored includes multiple processes.
(プロセス情報解析装置の機能構成)
プロセス情報解析装置10は、プロセス情報取得部11と、プロセス間関係性推定部12と、指標値算出部13と、出力部14と、を備える。
(Functional configuration of the process information analysis device)
The process
プロセス情報取得部11は、対象のプロセス群の情報を示すプロセス情報を取得する。プロセス情報には、対象のプロセス群を親プロセスとする子プロセスの情報が含まれる。子プロセスは、親プロセスによって生成されるプロセスである。親プロセスの異常な振る舞いはその子プロセスへ影響するため、プロセス情報解析装置10は、子プロセスの情報を親プロセスの監視に用いる。
The process
具体的には、プロセス情報取得部11は、UNIX(登録商標)系OSにおけるpsコマンドによって、コマンドを用いて定期的にプロセスのCPU(Central Processing Unit)使用率とメモリ使用率の情報を取得する。また、プロセス情報取得部11は、straceコマンドを実行し、プロセスのファイル参照、別プロセス参照および子プロセス生成に関する情報を取得する。Specifically, the process
プロセス間関係性推定部12は、プロセス間の関係性を推定し、2部グラフを生成する。具体的には、プロセス間関係性推定部12は、時間幅をΔtとし、プロセス情報のうち時刻tからt+Δtにおけるstraceコマンドによる情報とm時刻tにおけるpsコマンドによる情報とを用いて、時刻tにおけるグラフを生成する。The inter-process
生成される2部グラフは、監視対象のプロセス(親プロセス)の集合である頂点集合V1、それ以外のプロセス(監視対象のプロセスの子プロセス)の集合である頂点集合V2に対する2部グラフである。また、2部グラフは、各プロセス(頂点)が参照したファイル名の類似度とプロセス間のアクセス回数の和とを辺の重みにもつ。 The generated bipartite graph is a bipartite graph for a vertex set V1 , which is a set of processes to be monitored (parent processes), and a vertex set V2, which is a set of other processes (child processes of the processes to be monitored). The weights of the edges of the bipartite graph are the similarity of the file names referenced by each process (vertex) and the sum of the number of accesses between the processes.
参照ファイルの類似度は、各プロセスが参照したファイルのパスのうち、ルートディレクトリから数えてn番目のディレクトリまでに、各文字(0-9、a-z)が何回現れたかを数値ベクトル化したもの同士の内積によって表される。 The similarity of referenced files is expressed by the dot product of the numerical vectors of how many times each character (0-9, a-z) appears in the paths of files referenced by each process, counting from the root directory to the nth directory.
類似度の計算方法は上記以外でも良く、例えば、同じ単語が現れた個数やファイルの拡張子が一致した回数などであっても良い。自然数nは、あらかじめ任意に設定されている。 The method of calculating the similarity may be other than the above, for example, the number of times the same word appears or the number of times file extensions match. The natural number n is set arbitrarily in advance.
指標値算出部13は、生成された2部グラフに基づいて指標値を算出する。具体的には、指標値算出部13は、2部グラフの隣接行列の固有値wtを算出する。
The index
また、指標値算出部13は、V1、V2の各プロセスに対して、ファイル参照数を計算する。また、指標値算出部13は、各親プロセスPに対して、辺の重みがβ以上になるV2のプロセスpは関係性が強いと判断し、pのファイル参照数をPのファイル参照数に足し込み、各親プロセスのファイル参照数を計算する。これをベクトル化したものをu(t,FILE)とする。なお、βはあらかじめ設定された閾値である。
The index
さらに、指標値算出部13は、各親プロセスのCPU使用率とメモリ使用率を取得しベクトル化したものを、それぞれu(t,CPU)、u(t,MEM)とする。
Furthermore, the index
そして、指標値算出部13は、各時刻tにおける指標値として、算出した値の重み付き和
Then, the index
図2は、2部グラフの一例を示す図である。プロセス間関係性推定部12によって生成される2部グラフは、各プロセス(頂点)が参照したファイル名の類似度とプロセス間のアクセス回数の和を辺の重みにもつ。
Figure 2 shows an example of a bipartite graph. The bipartite graph generated by the inter-process
(プロセス情報解析装置の動作)
次に、プロセス情報解析装置10の動作について、図面を参照して説明する。プロセス情報解析装置10は、ユーザの操作等を受けて、指標値算出処理を開始する。
(Operation of the process information analyzer)
Next, a description will be given with reference to the drawings of the operation of the process
図3は、指標値算出処理の流れの一例を示すフローチャートである。プロセス情報取得部11は、プロセス情報を取得する(ステップS11)。次に、プロセス間関係性推定部12は、親プロセスと子プロセスの組み合わせごとに、参照ファイルの類似度を計算する(ステップS12)。続いて、プロセス間関係性推定部12は、親プロセス全体V1と子プロセス全体V2を頂点とする2部グラフを生成する(ステップS13)。
3 is a flowchart showing an example of the flow of the index value calculation process. The process
続いて、指標値算出部13は、2部グラフの隣接行列の固有値wtを計算する(ステップS14)。そして、指標値算出部13は、各プロセスのファイル参照数を計算する(ステップS15)。ここで、指標値算出部13は、各親プロセスPに対して、辺の重みがβ以上になるV2のプロセスpである場合、pのファイル参照数をPのファイル参照数に足し込み、各親プロセスのファイル参照数を計算する。
Next, the index
そして、指標値算出部13は、各親プロセスのCPU使用率とメモリ使用率をベクトル化する(ステップS16)。そして、指標値算出部13は、ステップS14からステップS16までに算出した値の重み付き和である指標値を算出する(ステップS17)。出力部14は、算出された指標値を示す情報を出力する。Then, the index
(実証実験の結果)
研究用に使用している計算サーバで、Kibana,elasticsarch,nginx,cronに関連するプロセス10個とその子プロセスを、以下の3つの擬似障害を起こし、1日程度監視した。
(Results of demonstration experiment)
On a computing server used for research, we generated the following three pseudo-failures in 10 processes related to Kibana, elasticsearch, nginx, and cron, and their child processes, and monitored them for about a day.
実験1:何もしない→CPUに負荷をかけるプログラムを2時間回し、障害を再現→プログラムを止める(正常に戻す)。 Experiment 1: Do nothing → Run a program that puts a load on the CPU for 2 hours to reproduce the problem → Stop the program (return to normal).
実験2:何もしない→一定間隔(1分おき)でファイルを生成するプログラムを2時間回し、障害を再現→プログラムを止める(正常に戻す)。 Experiment 2: Do nothing → Run a program that generates files at regular intervals (every minute) for 2 hours and reproduce the problem → Stop the program (return it to normal).
実験3:何もしない→子プロセスにアクセスを繰り返すプログラムを2時間回し、障害を再現→プログラムを止める(正常に戻す)。 Experiment 3: Do nothing → Run the program that repeatedly accesses the child process for 2 hours to reproduce the error → Stop the program (return to normal).
図4は、実験結果を示す第一の図である。図4(1)は、実験1に関して、本実施の形態に係るプロセス情報解析方法により数値化した結果を示している。図4(2)は、2部グラフを用いずに単純に参照ファイル数、CPU使用率およびメモリ使用率の和により数値化した結果を示している。なお、疑似障害の他、実験中にcronの稼働とKibanaのCPU負荷増大が発生した。実験の結果、疑似障害、cronの稼働およびKibanaのCPU負荷増大の発生に対して、本実施の形態の方が指標値の上昇が起こっていることがわかる。これにより、本実施形態の方がプロセスの変化を捉えた指標値となっていると言える。
Figure 4 is the first diagram showing the experimental results. Figure 4 (1) shows the results of
図5は、実験結果を示す第二の図である。図5(1)は、実験2に関して、本実施の形態に係るプロセス情報解析方法により数値化した結果を示している。図5(2)は、実験3に関して、本実施の形態に係るプロセス情報解析方法により数値化した結果を示している。いずれの場合も実験中にcronの稼働が発生した。いずれの場合も本実施の形態に係る指標値は、疑似障害およびcronの稼働に対して値が上昇した。したがって、本実施形態に係る指標値は、プロセスの変化を捉えた指標値となっていると言える。
Figure 5 is a second diagram showing the experimental results. Figure 5 (1) shows the results of
(コンピュータのハードウェア構成例)
上述したプロセス情報解析装置10の各機能部は、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。なお、この「コンピュータ」は、物理マシンであってもよいし、クラウド上の仮想マシンであってもよい。仮想マシンを使用する場合、ここで説明する「ハードウェア」は仮想的なハードウェアである。
(Example of computer hardware configuration)
Each of the functional units of the process
上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。The above program can be recorded on a computer-readable recording medium (such as a portable memory) and stored or distributed. The above program can also be provided via a network such as the Internet or e-mail.
図6は、上記コンピュータのハードウェア構成例を示す図である。図6のコンピュータは、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。
Figure 6 is a diagram showing an example of the hardware configuration of the computer. The computer in Figure 6 has a
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
The program that realizes the processing on the computer is provided by a
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。なお、上記コンピュータは、CPU1004の代わりにGPU(Graphics Processing Unit)またはTPU(Tensor processing unit)を備えていても良く、CPU1004に加えて、GPUまたはTPUを備えていても良い。その場合、例えば特殊な演算が必要な処理をGPUまたはTPUが実行し、その他の処理をCPU1004が実行する、というように処理を分担して実行しても良い。When a program start instruction is received, the
(本実施の形態の使用方法)
本実施の形態に係るプロセス情報解析装置10によって出力された指標値を監視装置による監視対象とすることによって、プロセスの異常監視装置の精度を向上させることができる。また、要因を推定する装置に、指標値と、2部グラフとを入力させることによって、要因推定の精度を向上させることができる。
(How to use this embodiment)
The accuracy of the process abnormality monitoring device can be improved by monitoring the index value output by the process
(本実施の形態の効果)
本実施の形態に係るプロセス情報解析装置10によれば、プロセス情報に基づいて、プロセスの類似度を示す2部グラフを生成し、生成された2部グラフに基づく指標値を算出する。これによって、各プロセスが互いに関連し合うような複雑な障害に対する異常検知または要因推定を行うための指標値を算出することができる。
(Effects of this embodiment)
According to the process
(実施の形態のまとめ)
本明細書には、少なくとも下記の各項に記載したプロセス情報解析装置、プロセス情報解析方法およびプログラムが記載されている。
(第1項)
対象のプロセス群の情報を示すプロセス情報を取得するプロセス情報取得部と、
前記対象のプロセス群と、前記プロセス群に含まれるプロセスの子プロセスとの間の関係性を推定し、2部グラフを生成するプロセス間関係性推定部と、
前記2部グラフに基づいて指標値を算出する指標値算出部と、を備える、
プロセス情報解析装置。
(第2項)
前記プロセス情報は、プロセスのファイル参照、別プロセス参照および子プロセス生成に関する情報を含む、
前記2部グラフは、各プロセスが参照したファイル名の類似度とプロセス間のアクセス回数の和とを辺の重みにもつ、
第1項に記載のプロセス情報解析装置。
(第3項)
前記指標値算出部は、前記2部グラフの隣接行列の固有値を算出し、算出された固有値に基づく前記指標値を算出する、
第2項に記載のプロセス情報解析装置。
(第4項)
前記指標値算出部は、前記各プロセスに対して、ファイル参照数を計算し、前記ファイル参照数に基づく前記指標値を算出する、
第3項に記載のプロセス情報解析装置。
(第5項)
前記指標値算出部は、各親プロセスの前記ファイル参照数は、前記辺の重みが閾値以上になる子プロセスのファイル参照数を足し込まれたファイル参照数とする、
第4項に記載のプロセス情報解析装置。
(第6項)
コンピュータが実行するプロセス情報解析方法であって、
対象のプロセス群の情報を示すプロセス情報を取得するステップと、
前記対象のプロセス群と、前記プロセス群に含まれるプロセスの子プロセスとの間の関係性を推定し、2部グラフを生成するステップと、
前記2部グラフに基づいて指標値を算出するステップと、を備える、
プロセス情報解析方法。
(第7項)
コンピュータを第1項から第5項のいずれか1項に記載のプロセス情報解析装置における各部として機能させるためのプログラム。
(Summary of the embodiment)
This specification describes at least the process information analysis apparatus, the process information analysis method, and the program described in the following sections.
(Section 1)
a process information acquisition unit for acquiring process information indicating information on a target process group;
an inter-process relationship estimation unit that estimates a relationship between the target process group and a child process of a process included in the process group, and generates a bipartite graph;
An index value calculation unit that calculates an index value based on the bipartite graph.
Process information analysis device.
(Section 2)
The process information includes file references, other process references, and child process creation information for the process.
The bipartite graph has edges weighted by the similarity of file names referenced by each process and the sum of the number of accesses between the processes.
2. The process information analysis apparatus according to
(Section 3)
the index value calculation unit calculates an eigenvalue of an adjacency matrix of the bipartite graph, and calculates the index value based on the calculated eigenvalue;
3. The process information analysis device according to
(Section 4)
the index value calculation unit calculates the number of file references for each of the processes, and calculates the index value based on the number of file references.
4. The process information analysis device according to claim 3.
(Section 5)
the index value calculation unit determines, as the number of file references of each parent process, the number of file references obtained by adding the number of file references of child processes whose edge weights are equal to or greater than a threshold value.
5. The process information analysis device according to claim 4.
(Section 6)
1. A computer-implemented method for analyzing process information, comprising:
acquiring process information indicating information on a target process group;
estimating a relationship between the target process group and a child process of a process included in the process group, and generating a bipartite graph;
and calculating an index value based on the bipartite graph.
Methods for analyzing process information.
(Section 7)
A program for causing a computer to function as each unit in the process information analysis device according to any one of
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the present embodiment has been described above, the present invention is not limited to such a specific embodiment, and various modifications and variations are possible within the scope of the gist of the present invention as described in the claims.
10 プロセス情報解析装置
11 プロセス情報取得部
12 プロセス間関係性推定部
13 指標値算出部
14 出力部
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置
10 Process
1005
Claims (7)
前記対象のプロセス群と、前記プロセス群に含まれるプロセスの子プロセスとの間の関係性を推定し、2部グラフを生成するプロセス間関係性推定部と、
前記2部グラフに基づいて指標値を算出する指標値算出部と、を備える、
プロセス情報解析装置。 a process information acquisition unit for acquiring process information indicating information on a target process group;
an inter-process relationship estimation unit that estimates a relationship between the target process group and a child process of a process included in the process group, and generates a bipartite graph;
An index value calculation unit that calculates an index value based on the bipartite graph.
Process information analysis device.
前記2部グラフは、各プロセスが参照したファイル名の類似度とプロセス間のアクセス回数の和とを辺の重みにもつ、
請求項1に記載のプロセス情報解析装置。 The process information includes file references, other process references, and child process creation information for the process.
The bipartite graph has edges weighted by the similarity of file names referenced by each process and the sum of the number of accesses between the processes.
The process information analysis device according to claim 1 .
請求項2に記載のプロセス情報解析装置。 the index value calculation unit calculates an eigenvalue of an adjacency matrix of the bipartite graph, and calculates the index value based on the calculated eigenvalue;
The process information analysis device according to claim 2 .
請求項3に記載のプロセス情報解析装置。 the index value calculation unit calculates the number of file references for each of the processes, and calculates the index value based on the number of file references.
The process information analysis device according to claim 3 .
請求項4に記載のプロセス情報解析装置。 the index value calculation unit determines, as the number of file references of each parent process, the number of file references obtained by adding the number of file references of child processes whose edge weights are equal to or greater than a threshold value.
The process information analysis device according to claim 4.
対象のプロセス群の情報を示すプロセス情報を取得するステップと、
前記対象のプロセス群と、前記プロセス群に含まれるプロセスの子プロセスとの間の関係性を推定し、2部グラフを生成するステップと、
前記2部グラフに基づいて指標値を算出するステップと、を備える、
プロセス情報解析方法。 1. A computer-implemented method for analyzing process information, comprising:
acquiring process information indicating information on a target process group;
estimating a relationship between the target process group and a child process of a process included in the process group, and generating a bipartite graph;
and calculating an index value based on the bipartite graph.
Methods for analyzing process information.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/020091 WO2022249369A1 (en) | 2021-05-26 | 2021-05-26 | Process information analysis device, process information analysis method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022249369A1 JPWO2022249369A1 (en) | 2022-12-01 |
| JP7552895B2 true JP7552895B2 (en) | 2024-09-18 |
Family
ID=84229778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023523840A Active JP7552895B2 (en) | 2021-05-26 | 2021-05-26 | Process information analysis device, process information analysis method, and program |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7552895B2 (en) |
| WO (1) | WO2022249369A1 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015141220A1 (en) | 2014-03-20 | 2015-09-24 | 日本電気株式会社 | Information processing device and monitoring method |
| JP2018124829A (en) | 2017-02-01 | 2018-08-09 | 日本電信電話株式会社 | State determination device, state determination method, and program |
| JP2019502195A (en) | 2015-11-18 | 2019-01-24 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | Anomalous fusion in temporal causal graphs |
| US20190158520A1 (en) | 2017-11-17 | 2019-05-23 | Accenture Global Solutions Limited | Malicious Domain Scoping Recommendation System |
-
2021
- 2021-05-26 JP JP2023523840A patent/JP7552895B2/en active Active
- 2021-05-26 WO PCT/JP2021/020091 patent/WO2022249369A1/en not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015141220A1 (en) | 2014-03-20 | 2015-09-24 | 日本電気株式会社 | Information processing device and monitoring method |
| JP2019502195A (en) | 2015-11-18 | 2019-01-24 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | Anomalous fusion in temporal causal graphs |
| JP2018124829A (en) | 2017-02-01 | 2018-08-09 | 日本電信電話株式会社 | State determination device, state determination method, and program |
| US20190158520A1 (en) | 2017-11-17 | 2019-05-23 | Accenture Global Solutions Limited | Malicious Domain Scoping Recommendation System |
Non-Patent Citations (1)
| Title |
|---|
| Youngser Park et al.,Anomaly Detection in Time Series of Graphs using Fusion of Graph Invariants,Anomaly Detection in Time Series of Graphs using Fusion of Graph Invariants,2013年02月,VOL. 7, NO. 1,pp.67-75 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022249369A1 (en) | 2022-12-01 |
| JPWO2022249369A1 (en) | 2022-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Notaro et al. | A survey of aiops methods for failure management | |
| JP3922375B2 (en) | Anomaly detection system and method | |
| US10599506B2 (en) | Methods and systems for identifying action for responding to anomaly in cloud computing system | |
| US10462027B2 (en) | Cloud network stability | |
| US10373065B2 (en) | Generating database cluster health alerts using machine learning | |
| JP5880866B2 (en) | Method, system, and program for failure tree analysis of runtime system | |
| US11410049B2 (en) | Cognitive methods and systems for responding to computing system incidents | |
| CN102713862A (en) | Failure cause extraction device, failure cause extraction method, and program recording medium | |
| WO2010032701A1 (en) | Operation management device, operation management method, and operation management program | |
| Pannu et al. | A self-evolving anomaly detection framework for developing highly dependable utility clouds | |
| JP7632613B2 (en) | Anomaly cause estimation device, anomaly cause estimation method, and program | |
| US10977108B2 (en) | Influence range specifying method, influence range specifying apparatus, and storage medium | |
| EP4722924A2 (en) | Computer performance prediction using search technologies | |
| Smith et al. | An anomaly detection framework for autonomic management of compute cloud systems | |
| JP2019049802A (en) | Failure analysis supporting device, incident managing system, failure analysis supporting method, and program | |
| US12254097B2 (en) | Evaluation apparatus, evaluation method, and program | |
| Kong et al. | Enhancing fault localization in microservices systems through span-level using graph convolutional networks | |
| CN114096959A (en) | Time series data compression and graphical signature analysis | |
| JP7552895B2 (en) | Process information analysis device, process information analysis method, and program | |
| JPWO2014188638A1 (en) | Shared risk group management system, shared risk group management method, and shared risk group management program | |
| CN119829421B (en) | Distributed system load balancing test method and device based on load difference degree guidance | |
| Mdhaffar et al. | CEP4Cloud: complex event processing for self-healing clouds | |
| CN119621386A (en) | Fault diagnosis method, device, electronic equipment and storage medium | |
| Qi et al. | Beyond window-based detection: A graph-centric framework for discrete log anomaly detection | |
| Tarak et al. | DIA4M: A tool to streamline DevOps processes of distributed cloud-native systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230821 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20240701 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240806 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240819 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7552895 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |