目視モニタリングの時系列圧縮性による機械化方式に関する研究

利用者がネットワークをどの様に使用しているのかを知るため，ネットワーク管理者（以下，管理者と略記）は観測されたトラヒック時系列のグラフを日常的に目視している．そして，グラフに描かれるトラヒックパターンと過去に経験したパターンを比較する事により，ネットワークの正常性や異常性を把握するとともに，トラヒックパターンに関する新たな経験知識も獲得する．目視モニタリングから得られる経験知識は自動モニタリング手法の設計にも必要であり，まさしくモニタリングの基盤的知識である．それ故に目視モニタリングはインターネットの初期から広く利用されており，今後も非常に重要である．しかし，管理者の経験知識は日々のモニタリング作業で更新されるため，維持管理が非常に困難である．更に，目視モニタリングの大半は人の作業であるため，管理者の負担は大きい．それにもかかわらず，モニタリング基盤である経験知識の獲得と維持管理について管理者を支援する機械的手段は殆ど存在しない．現状の自動モニタリング手法は，ウイルスやP2P 等による既知の異常トラヒックの検出手法であり，経験知識の獲得を対象としない．よって，本研究は目視モニタリングの機械化によりこれらの困難な問題の解決を目指す．提案手法は目視モニタリングを管理者とシステムの相互作用に基づくマンマシンシステムとして機械化する．特に，1 回のモニタリングを次の2 ステップで構成し，それらを交互に繰り返す事により経験知識の獲得と維持管理について管理者を支援する． 1) システムは観測されたトラヒックパターンを分類し，その分類結果を管理者が想定する分類結果と比較する事によりネットワークの状態を把握し，管理者に通知する． 2) システムからの通知をきっかけに，管理者は分類結果が想定と一致しないトラヒックについてネットワークを調査し，判明した正しい分類結果をシステムに学習させ，以降の自動状態把握に反映させる．この過程において，管理者の経験知識は管理者が教示した分類事例としてシステムに蓄積される．その結果として，管理者の経験知識は忘却の恐れなくシステムに完全に保存される．また，システムは事例データベースにない新パターンを管理者に通知し調査を促す．そして，この通知に基づいてネットワークを調査する事で，管理者は新たな経験知識を獲得できる．よって，提案手法は経験知識の獲得と維持管理について管理者を支援する．提案手法は多様なネットワークにおいて多目的モニタリングを実現する下記の2 種類の適応能力を持つ． a) 観測する地点や時点により多様に変化するトラヒックに対し自律的に適応する能力． b) モニタリング目的に応じて多様に変化するトラヒック分類基準に対し管理者の教示により適応する能力．提案手法では，まず，システムは観測されたトラヒック時系列を観測データの分布に対して適応的なラベル時系列として表現し，基準トラヒックが張る圧縮性特徴空間によりパラメータフリーで低次元の圧縮性特徴ベクトルへと変換する．これにより，上の a)を実現する．次に，システムは管理者から教示されたトラヒック分類事例を基準として学習し，蓄積された事例に基づいて圧縮性特徴ベクトルとして表現されたトラヒックを分類する．これにより，上の b)を実現する．シミュレーション生成した多様なトラヒックを用いた実験により，提案手法が研究目標を達成する事を示す．電気通信大学201

On-line failure prediction in safety-critical systems

In safety-critical systems such as Air Traffic Control system, SCADA systems, Railways Control Systems, there has been a rapid transition from monolithic systems to highly modular ones, using off-the-shelf hardware and software applications possibly developed by different manufactures. This shift increased the probability that a fault occurring in an application propagates to others with the risk of a failure of the entire safety-critical system. This calls for new tools for the on-line detection of anomalous behaviors of the system, predicting thus a system failure before it happens, allowing the deployment of appropriate mitigation policies. The paper proposes a novel architecture, namely CASPER, for online failure prediction that has the distinctive features to be (i) black-box: no knowledge of applications internals and logic of the system is required (ii) non-intrusive: no status information of the components is used such as CPU or memory usage; The architecture has been implemented to predict failures in a real Air Traffic Control System. CASPER exhibits high degree of accuracy in predicting failures with low false positive rate. The experimental validation shows how operators are provided with predictions issued a few hundred of seconds before the occurrence of the failure

Volume anomaly detection in data networks : an optimal detection algorithm vs. the PCA approach

The crucial future role of Internet in society makes of network monitoring a critical issue for network operators in future network scenarios. The Future Internet will have to cope with new and different anomalies, motivating the development of accurate detection algorithms. This paper presents a novel approach to detect unexpected and large traffic variations in data networks. We introduce an optimal volume anomaly detection algorithm in which the anomaly-free traffic is treated as a nuisance parameter. The algorithm relies on an original parsimonious model for traffic demands which allows detecting anomalies from link traffic measurements, reducing the overhead of data collection. The performance of the method is compared to that obtained with the Principal Components Analysis (PCA) approach. We choose this method as benchmark given its relevance in the anomaly detection literature. Our proposal is validated using data from an operational network, showing how the method outperforms the PCA approac