CN100533399C - 用于检测异常的自学习方法和*** - Google Patents

用于检测异常的自学习方法和*** Download PDF

Info

Publication number
CN100533399C
CN100533399C CNB2004100456294A CN200410045629A CN100533399C CN 100533399 C CN100533399 C CN 100533399C CN B2004100456294 A CNB2004100456294 A CN B2004100456294A CN 200410045629 A CN200410045629 A CN 200410045629A CN 100533399 C CN100533399 C CN 100533399C
Authority
CN
China
Prior art keywords
feature
time
value
data
unusual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2004100456294A
Other languages
English (en)
Other versions
CN1573709A (zh
Inventor
A·J·杉格维
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN1573709A publication Critical patent/CN1573709A/zh
Application granted granted Critical
Publication of CN100533399C publication Critical patent/CN100533399C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3017Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/83Indexing scheme relating to error detection, to error correction, and to monitoring the solution involving signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/88Monitoring involving counting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Alarm Systems (AREA)

Abstract

本发明提出了一种用于在一个计算环境中监测参数和检测异常的方法和***。一种用于监视一个处理过程的监视***可以包括一个用于创建一个表示处理过程的特征创建模块,一个用于不断更新所创建特征的特征更新模块,以及一个用于根据与所更新信号的偏差来检测异常的异常检测模块。该***可以执行根据表示处理过程的不断更新特征来检测在该处理过程中所发生异常的方法。该方法可以包括不断监视一个***参数以及根据不断更新的特征来计算用于***参数的值的正常范围。该方法另外可以包括确定所监视的***参数是否在正常范围之内以及如果所监视的***参数是在正常范围之外就指示一个异常的存在。

Description

用于检测异常的自学习方法和***
技术领域
本发明的实施例涉及一种适用于检测在一个循环或另一种处理过程中的异常以便于简化***管理的自动化技术,尤其是,本发明的实施例提出了检测在一个计算***或处理中行为的异常并适用于跟踪商务关键性能的指示器。
背景技术
随着网络化计算设备和***应用的增多,检测这些***中的难点就变得非常必要了,因为这些难点会带来一个大范围的影响。应用传统的方法来手工监测***已是不切实际的,且在很多例子中是不可能的。
熟练的专家可以通过在工厂中听一个引擎或上百个机器的嗡嗡声来决定机器是否正常运行。但这种技术并不能有效地运用在服务器或数据中心上。一台服务器或数据中心的分析需要一位相关的专家,他非常熟悉商务周期的正常涨落的变化以及服务器在帮助专家在得出结论之前进行数百次测量问题中的特殊效果。在一个数据中的上百台服务器或者在整个企业中采用手工方式来进行这种分析往往是难以承担的、也许是不可能的。
因而,已经发展了一些适用于检测计算机***异常的技术。一种技术是识别取样中的参数并将取样的结果与一个固定阈值相比较。如果超过固定的阈值,这种技术就识别出一个异常。然而,这种技术时常会产生一些错误的结果。因为两个***不可能具有完全相同的结构、条件和模式,并且阈值也很难设置。如果阈值设置得过高,则相当多比例的异常都不能被检测出,反之,如果极值设置得过低,则这样技术会导致在正常状况下都会有过多的警报。因而,不论花费和复杂性,这种技术都会导致一些区域的过度报警、另一些区域的过低报警,即使这些区域是随着一天中的时间变化的。
目前,从代理处所收集到的大部分数据都是数值数据。这部分数据会随着变量跟踪的数量和所需精度的增加而增加10至100和几倍。该数据最终可以集合、趋势和容积图的方式来使用和报告。在大多数的情况下,并不会使用所收集到的原始数据。因此,这些数据收集的负担严重限制了可量测性。
这些难点导致了客户为了获得精细的阈值而寻求咨询服务。客户还需要额外增加对所创建环境的了解,以便于***管理者可以改变原先对客户所制定的规则,这些规则包括在组和服务器层次上对冲突解决的政策。例外,客户还必须对各种实际情况就其个性加深对属性的了解。
不幸地,这些需求往往都很难实现。大部分***管理者并不理解在这些***中变化,也并不理解这些***本身的内部安装,尽管已经设置在十分理想的阈值上。此外,即使对专家来说,要了解大量服务器的个体特性也是件十分繁重的任务。基于单一***的咨询往往难以解决循环事件的节奏而只适合检测多数的异常。最终,即使咨询最初能适合一个特殊***的需要,但随着商务循环和设置的变化,该阈值也很快就会失效。
当前,使用咨询代理的现有技术必须涉及到大量的数据收集和贮存。而根据跟踪变量随着时间的变化,这些数据的数量会迅速增加。大量的数据并不会被采用,并且保持过多的数据会限制***的规模可变性。
所以,我们需要一项既能提供自动异常检测又能避免上述的难点的技术。这一技术应该避免保持过多的数据并且应该适用于在各种环境和处理中发挥作用。
发明内容
一方面,本发明提出了一种适用于检测过程的方法。这种方法包括了建立一个表示过程的特征,使用一组当前采样数据和先前特征的值之间的加权平均来不断地更新所建立的特征,以及在一个不断更新的特征的基础上检测异常,其中所述处理过程与一数据中心中的联网计算设备的使用率相关;其中所述特征包括与时间敏感平均有关的信息,所述时间敏感平均考虑了在商务周期中的变量。
另一方面,本发明包含了一种适用于根据一个表示过程的且不断更新的信号来检测异常发生的方法。该方法包括了持续监测***的参数,根据不断更新信号来计算***参数的正常范围,确定所检测到的***参数是否在正常的范围内,以及当所检测的***参数超出了正常范围时指示所存在的异常,其中所述不断更新的特征是通过使用一组当前采样数据和先前特征的值之间的加权平均来创建的;其中所述处理过程与一数据中心中的联网计算设备的使用率相关。
另一方面,本发明包含了一种用于创建在计算***环境中检测异常的特征的方法的在处理***环境中检测异常的建立信号的方法。该方法包含了设定一个学***均值和每个时间间隔的标准偏移常数,以及学***均来不断地更新所创建的特征;其中所述计算***环境中的异常与一数据中心中的联网计算设备的使用率相关;其中所述特征包括与时间敏感平均有关的信息,所述时间敏感平均考虑了在商务周期中的变量。
还有一个方面,本发明包含了一个适用于检测在计算环境中的异常活动的***。该***包括了持续监测***参数,和不断更新表示***参数正常值的特征的检测工具,所述不断更新的特征通过使用一组当前采样数据和先前特征的值之间的加权平均被创建,以及基于不断更新的特征进行计算的异常指示器,其中,该异常指示器还包含着表示***参数的正常值的区域,其中所述异常活动与一数据中心中的联网计算设备的异常使用率相关;其中所述特征包括与时间敏感平均有关的信息,所述时间敏感平均考虑了在商务周期中的变量。
另一方面,本发明包含了一个适用于检测过程的监测***。该监测***包含了一个适用于创建表示过程的特征的特征创建模块,一个适用于使用一组当前采样数据和先前特征的值之间的加权平均来不断更新特征的特征更新模块,和一个适用于基于更新的特征偏移常数来检测异常的异常检测模块,其中所述处理过程与一数据中心中的联网计算设备的使用率相关;其中所述特征包括与时间敏感平均有关的信息,所述时间敏感平均考虑了在商务周期中的变量。
附图说明
以下将结合附图详细讨论本发明,附图包括:
图1是一个可以实现本发明的示例性计算环境;
图2是说明本发明一个实施例的***结构的示意图;
图3是说明根据本发明实施例方法的流程图。
图4A是说明适用于根据本发明实施例创建特征的方法的部分流程图;
图4B是说明适用于根据本发明实施例创建特征的方法的另一过程的流程图;
图5是说明适用于根据本发明实施例更新特征的方法的流程图;
图6是说明适用于根据本发明实施例获得特征组件的方法的流程图;
图7是说明适用于根据本发明实施例获得另一特征组件的方法的流程图;
图8是说明适用于根据本发明实施例检测异常的方法的流程图;
图9A包含了特征更新过程的示意图;
图9B说明采用一个简单信号进行比较的预先计算的信号。用
具体实施方式
本发明的实施例显示了适用于检测在一个计算机化的***或事务过程中的异常的一种***和方法。本发明的实施例具有持续检测计算***或事务处理过程,创建和不断更新描述***或过程的特征,和基于更新的信号来诊断计算***或事件过程中所出现异常的能力。
本发明中的***和方法构建并持续更新一个包含跟随一定的商务周期的时变信号的特征。该特征至少包含了两个用途:(1)当异常发生时,能够识别出该异常;和(2)从最后的商务周期的取样中计算一个更新的特征。该***不再需要存贮原始的历史数据。
已经简要地介绍了本发明,以下将参考图1—9来讨论本发明的实施例。以下将讨论一个适用于本发明的示例性操作环境。
操作环境的实例
图1说明了一个能够实现本发明的适用的计算***环境100的实例。计算***环境100只是一个适用的计算环境的实例,并不试图对本发明的使用范围或功能形成任何限制。无需将计算环境100解释为具有依赖性,或者要求如典型的操作***100中所描述的一种元件或元件的组合。
本发明可以采用诸如计算机可执行程序模块的计算机可执行指令的一般背景来讨论。一般来说,程序模块可以包括例程、程序、对象、元件、数据结构等等,它们可以执行特殊的任务或实现特殊的抽象数据结构。此外,本领域熟练技术认识应该意识到,本发明也可以采用其它计算机***结构来实现,包括,手持设备、多处理器***、基于微处理器或者可编程消费电子设备、小型计算机、大型计算机,以及其它等等。本发明也可以分布计式算环境来实现,在分布式计算环境中,任务是由通过通讯网络相连接的远程处理设备来执行。在分布计算环境中,程序模块都可以被放置在包括存储器存储设备的本机或远程计算机存储介质。
参考图1,实现本发明的示例性***100包括一台采用计算机110结构的通用计算设备,它包括一个处理单元120、一个***存储器130、以及一个将包括***存储器的各种***组件与处理单元120相耦合的***总线121。
计算机110一般包括多种计算机可读介质。作为一个实例,但并不限制于,计算机可读介质可以包括计算机存储介质和通讯介质。***存储器130包括采用易失性和/或非易失性存储器形式的计算机存储介质,例如,只读存储器(ROM)131和随机存储器(RAM)132。基本输入/输出***133(BIOS)包含着有助于在启动期间在计算机110中的各个元件之间传递信息的基本例程,它一般存储于ROM 131。RAM 132一般包含着由处理单元120即时存取和/或当前已***作的数据和/或程序模块。作为一个实例,但并不限制于,图1图示了操作***134、应用程序135、其它程序模块136,以及程序数据137。
计算机110也可以包括其它可移动/不可移动性、易失性/非易失性计算机存储介质。作为一个实例,图1图示了一个可读写、不可移动、非易失性的磁性介质的硬盘驱动器141,一个可读写、可移动、非易失性的磁盘152的磁盘驱动器151,以及一个可读写、可移动、非易失性的光盘156(例如,CD ROM或其它光介质)的光盘驱动器155。在示例性操作环境中还可以使用其它可移动/不可移动性、易失性/非易失性的计算机存储介质,这些计算机存储介质可以包括,但并不限制于,磁带盒、闪存存储卡、数字通用盘、数字视频带、固态RAM、固态ROM、以及其它等等。硬盘驱动器141一般通过一个不可移动性存储器接口(例如,接口140)与***总线121相耦合;磁盘驱动器151和光盘驱动器155一般可采用一个可移动性存储器接口(例如,接口150)与***总线121相耦合。
以上所讨论的且如图1所示的驱动器以及它们相关的计算机存储介质提供了适用于计算机110的计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,所说明的硬盘驱动器141用于存储操作***144、应用程序145、其它程序模块146,以及程序数据147。值得注意的是,这些元件既可以是相同于也可以不同于操作***134、应用程序135、其它程序模块136、以及程序数据137。操作***144、应用程序145、其它程序模块146,以及程序数据147在本文中采用不同的数值只是为了说明,起码它们是不同的拷贝。用户可以提供输入设备向计算机110输入命令和信息,这些输入设备可包括:键盘162和指点设备161,通常也称之为鼠标器、跟踪球或触摸垫。其它输入设备(未显示)可以包括麦克风、操纵杆、游戏垫、卫星式圆盘、扫描仪、以及其它等等。这些和其它输入设备通常都通过一个与***总线相耦合的用户输入接口160连接着处理单元120,但是也可以采用其它接口和***总线来连接处理单元,例如,并行端口、游戏端口或者通用串行总线(USB)。监视器191或其它类型显示设备也可以通过一个接口,例如,视频接口,与***总线121相连接。除了监视器以外,计算机也可以包括其它***输出设备,例如,扬声器197和打印机196,这些***输出设备可以通过一个输出***接口195相连接。
在本发明中,计算机110可以一个网络环境来操作,它可使用逻辑连接的方式来连接一个或多个远程计算机,例如,远程计算机180。远程计算机180可以是个人计算机,并且一般包括上述许多或所有的与计算机110有关的组件,尽管在图1中只是讨论了存储器存储设备181。图1所说明的逻辑连接可包括一种局域网(LAN)171和一种广域网(WAN)173,但也可以包括其它网络。
在LAN网络环境中使用时,计算机110可通过一个网络接口或适配器170来连接LAN171。在WAN网络环境中使用时,计算机110一般包括一个调制解调器172或者其它用于建立与WAN 173(例如,因特网)通讯的装置。调制解调器172可以是内置的或外置的,它可以通过用户输入接口160或者其它合适的机制来连接***总线121。在一个网络环境中,与计算机110有关的所述程序模块,或者其部分程序模块,都可以存储于远程存储器存储设备。作为一个实例,但并不限制于,图1所说明的远程应用程序185可驻留于存储器设备181。应该意识到的是,所示的网络连接只是示例性的,也可以使用其它建立在计算机之间通讯链路的部件。
尽管没有显示很多计算机110的其它内部组件,但本领域的熟练技术人士应该意识到,这类组件和互连方式都是众所周知的。因此,并不需要在与本发明的相关披露中给出与计算机110的内部连接有关的其它细节。
***实施例
图2是说明本发明一个实施例的***组件的方框图。监视***10连接着***40,用于监视所选择参数。监视***10可以包括:一个处理器12、一个网络接口14、一个操作接口16、和一个存储器20。处理器12、网络接口14和存储器20可以基本类似于以上参考图1所讨论的。存储器20可以包括一个特征创建模块22、一个特征更新模块24,以及一个异常检测模块26。
上述所标识的组件可进行测量多个***相关变量的操作。这些变量中的一些变量可以是时变的数值变量。也许要测量的一个变量是一个用于测量同时对话或事务处理数量的使用变量。使用变量提供了一种从它的消费者施加到***的强度的指示。使用变量的实例包括:(1)用户同时注册的数量;(2)每秒事务请求的数量;(3)请求到达的速率;(4)每秒接受到的数据包;和(5)每秒的Web网页点击数量。在最产品化的环境中,使用可遵循在营业时间中上升而在非营业时间中和周末下降等等的商务周期模式。一周为周期的模式通常都具有非常一致的模式。一般来说,大大超过或低于正常数值的使用测量是故障或一个异常的标志器。
另一组***标量与利用率有关。这些变量表示了在施加任务时***的应变能力。这些变量的实例包括:(1)CPU的利用率;(2)队列的长度;(3)每秒所切换的任务;(4)存储器的利用率,等等。利用率通常是使用的函数,因此,它也遵循着以上所讨论的商务周期。然而,这些变量并不能以同样方式来管理所有方面的使用。例如,在一簇内的所有结点上的队列长度或CPU利用的总和是没有意义的。通常,大大超过或者低于正常的利用率都是一种故障和异常的反映。
另一组***变量包含着出错和警告。在大多数情况下,这些出错或警告都是故障或错误配置的结果。出错或警告的实例可包括:(1)不正常形成的请求;(2)一致校验错误;(3)404错误;(4)临界的时间;(5)登录上网的错误,等等。某些出错是“正常”的。“正常”储出错的实例包括:(1)在过载时,由设计作出的路由器丢失数据包;(2)一个可接受的WAN的比特差错率;(3)由于持续变换完Web内容所引起的给出404出错的页面;以及(4)某些用户在登录时输入错误的用户名/口令。因此,即有规则的出错具有一个“正常”的模式。
上述提及的变量可以是对服务请求的翻转时间的测量。这类服务和请求的实例可以包括:(1)发出响应的时间;(2)处理事务的响应时间;(3)硬盘的写入响应时间,等等。客户可以输入与服务器提供者达成的操作层的协议(OLA),以将翻转的时间保持在一个可接受的水平上。整个响应时间是与使用有关的,这一关系是非线性的。响应时间也随着差错率而迅速增加。
图3是说明根据本发明一个实施例的方法的流程图。在过程A中,监测***10创建了一个特征。在过程B中,监测***10更新该特征。在过程C中,监测***10检测和报告异常。
在以上所提及的特征中涉及到一种比所公知的阈值技术能够一些组件成为更加精确地检测异常机制的组件。特征的一个组成分量是“平均”数值。使用平均数值的技术可以包含着简单地取样所有相关变量并且保持着它们以平均值进行运算。如果新的取样不在该平均值的“合理范围”内,则该新的取样将显露为一个相关的异常。然而,由于在峰值使用期间相对于非工作时间,平均值中会存在着大的差异,所以***使用了更精细的平均值概念,以便于获得所需的精度。
特征将因此而使用随时间平均的概念。随时间平均的概念包含着周期性取样变量和以不同的时间间隔来计算平均值。例如,监测***可以每间隔三分钟取样变量,并且以十五分钟的时间间隔来计算一周的平均值。该***可以信号的方式来存储和使用该特征。
当***要求新的取样时,它就计算十五分钟的平均值,且将该数值与“特征”相比较。该比较可以使***产生一个标志异常。时间敏感的变量考虑了在商务周期中的变量。然而,***还应该确定围绕平均值的合理范围,在该合理范围中,相信是不会发生任何异常的。
尽管也许可以使用一个恒定的数值作为一个“合理的”范围,但是一个恒定数值的使用可能会引起一些困难。例如,银行可以在每天的下午7点钟打烊。但是银行职员在离开之前必须进行夜间处理。某些天可能会涉及到比其它天更多的存单。因此,在7:30—8:00之间的处理速率是非常难以预测的。这时,使用一个恒定数值作为一个合理范围会在这一不稳定的时间周期中产生大量变化,并且增加该数量具有失去在其它位置上的合理区别。对这种情况来说,在平均值附近的恒定包络将是不准确的。
因此,特征使用标准偏差来测量一个合理的范围。该特征使用适用于每一时间间隔的标准偏差,并以一个倍数来表示包络或合理的范围。因此,该包络或合理范围可以是在每周的商务周期中在偏移时间附近的更大的范围内,并且更紧密围绕正常的时间。标准偏差可以采用以下表达式来表示:
(1)σ2=1/N((Xi—Xavg)2的和)
式中:N是取样的数量,Xi是当前的平均值,Xavg是计算的平均值。
在这种情况下,信号可表示成一个平均和标准偏差的各个事件的时间间隔的矩阵。该包络可以表示为:
(2)包络=Xavg+/-F*σ2
式中,F是容差。
方法实施例
图4A和图4B还说明了在图3流程A中所执行的特征的创建。信号的创建是使用两种同时应用的方法来完成的。这两种方法包括一种加速学习的组件和一种假装重复的组件。图4A说明了一种促进学习的元件,而图4B说明了一种假装重复的元件。
图4A是说明根据本发明一个实施例创建一个特征的方法的流程图。在步骤A10,监测***10设置学习响应的比率。在步骤A12,以一个预先设置的时间间隔来增加学习响应比率。如果在步骤A14达到了所希望的学习响应比率的所希望数值,则该处理就结束。如果还没有达到所希望的数值,则在步骤A12以所设置的时间间隔来重复增加学习响应比率。当学习响应比率达到一个所需的数值时,就结束该处理过程。例如,在一个第一学习周的期间,监测***可将“1/学习响应常数”设置成0。在下一周,监测响应***可将该比率设置成1,随后2以及其它等等,直至达到一个所需的设置比率。该处理过程将在没有充分的历史的情况下加速了学习。但当建立的足够的历史时,该比率可自动调整到所需要的目标。
图4B是说明根据本发明一个实施例创建一个特征的方法的另一流程图。在步骤A20,监测***10的征创建模块22选择数据并计算适用于设置时间间隔的平均数据数值。在步骤A22,特征创建模块22计算适用于设置时间间隔的标准偏差。在步骤A24,特征创建模块22使用所计算的平均值和标准偏差来创建特征。在步骤A26,特征创建模块22使用适用于一个学习周期的已创建的特征。
初始时运行的平均值和偏差值可以在第一天之后的每一天的所有特征中重复,使得这一天的信号在一周中重复,从这时开始就继续正常的特征的更新。在第一周,该特征的出现接近于一天的直接带宽,重复每一天来包络第二天,并且在一周的周末来产生一个典型的特征。早期的特征可能会产生一些假的正面结论,但是这将以它包含的方式提供更加正确的信息。
图5是说明根据本发明一个实施例更新特征的流程图。在步骤B02,特征更新模块24以一个设置的时间间隔来取样所选择的变量。在步骤B04,征更新模块24计算适用于所设置时间间隔的平均值。在步骤B06,特征更新模块24计算用于设置时间间隔的标准偏差。在步骤B08,特征更新模块24基于老的特征、所计算的平均值和标准偏差来创建一个新的特征。
上述所讨论的随时间而变化的学习处理过程将考虑随时间而增加的商务量的变化。但是,这必须确保某些时间在某些情况下可以具有比其它时间更强的加权。例如,每间隔三个月的一个周五所发生的,被称之为“三倍魅力的时间”的大量安全佣金的经历。在另一实例中,以较低的商务容量开始最新打开的存储。然而,随着该词的扩展到它的第一年,就可以存储更多的商务。该特征应该确保最后所产生的数据比早期所产生的数据更具有影响。因此,***应该可以在一个长的时间周期中自动学习和自身调整。
***可以使用在当前数据和特征数值之间的加权平均来实现这一目标。如果周三在4:00和4:15之间的平均和标准偏差分别为XCavg和σC,而周三在4:00和4:15之间的信号分别是XSavg和σS,则新的信号数值可以由下列表达式来表示:
(3)新的XSavg=W1*(XSavg)+W2*(XCavg)
(4)新的σS2=W1*(σS2+XSavg 2)+W2(σC2+XCavg 2)—(新的XSavg 2)
该模式设置W1+W2=1,式中W1是特征的加权,而W2是当前数据的加权。W2/W1是以上所讨论的学习响应常数比率。该数值越大,则所产生的学习越快,且过去所使用的存储器就变得越模糊。例如,如果W1=2/3和W2=1/3,则当天数据的影响将是当天的三分之一,下一周的九分之二,以及再下一周的二十七分之四,等等。
以上所讨论的技术计算上是非常有效的,因为它只允许使用一个当前的数据来更新该特征。***并不需要保留大量的老的数据。
图6是说明根据本发明一个实施例适用于获得特征分量的上述方法的流程图。在步骤B10,监测***10将一个特征平均值与一个第一加权因子相乘。在步骤B12,监测***将新计算的平均值与一个第二加权因子相乘。在步骤B14,监测***10将步骤B12和步骤B10所得到的结果相加。
图7是说明根据本发明一个实施例适用于获得另一特征分量的方法的流程图。在步骤B20,监测***将平方根特征平均值和平方根标准偏差值相加。在步骤B22,监测***10将步骤B20的和与第一加权因子相乘。在步骤B22,测***10将当前的平方根平均值和当前的平方根标准偏差相加。在步骤B26,监测***将B24的和与一个第二加权因子相乘。在步骤B28,监测***将B24的因子与特征因子相加。在步骤B20,监测***减去新的特征平均的平方根。
以上所讨论的因子有助于精细调整特征,以考虑在幅值上的变化。另一性能可以提供确保该特征可以精确反映在发生时间上的变化。事件的发生往往是比所希望的时间早些或晚些,例如,如果暴风雪延迟了半小时到来,就会注册登记大量的警报。该***可通过计算在一个间隔时间上的运动平均值和偏差值,并且根据在一个跨越当前时间的较宽时间间隔上所计算的信号进行比较。
例如,如果***在4:15是每隔3分钟取样一个数据,则可以从过去10个样本中(从3:45至4:15)计算运动平均值,并且与在4:30计算20个样本中(从3:30计算到4:30)的信号数值进行比较。这样,可以标志在当前和既往之间的唯一差别,同时在时间间隔中的向后或向前的任何偏移都不会得到假的确定。两个常数,抖动扩展和抖动偏差都可以作为控制来介绍。在这种情况下,扩展是30分钟,而偏移是15分钟。在这种情况下的时间容差可以选择为1小时(抖动扩展+两个时间偏移)。因此,比由特征所期望的时间早或晚半小时所产生的一大的尖峰并不会引起假的确定异常。在严格的管辖事务中,时间上的容差可能是很紧的。
图8是说明根据本发明一个实施例适用于检测异常的方法的流程图。在步骤C10,异常监测模块26计算正常数值的范围。在步骤C12,异常监测模块26将所计算的范围与一个运动平均值相比较。在步骤C14,异常监测模块确定运动平均值是否在正常范围之外。如果平均值是在步骤C14的正常范围之外,则异常监测模块就中止。如果平均值是在步骤C14的正常范围之外,则异常监测模块26就标志异常,并且重复该处理过程。如果平均值不在步骤C14的正常范围之外,则重复该处理过程。
正常和异常都是主观的判断。客户希望有一个衰减控制能标志异常数值只能直到客户可以管理的程度上。正如主动和学习监测成功之后,客户可以从校正后现有异常中获取更多的***管理资源,以便于主动监测。
本发明的***和方法可以在从统计上确保客户能及时获得他们所要的警报。例如,一个具有1,000台计算机的安装,每间隔15分钟的100个计时器的取样在一天中的警报接近于10,000,000(1千万)个机会。如果客户要将警报限制于每天100个,客户就需要适当地设置容差F。
某些客户也许喜欢使用F1、F2和F3来乘以包络,以适用于诸如信息、警告和临界的不同包络。某些其它客户也许会选择具有不同过冲和下冲的包络。
由大多数设备所产生的原始变量都具有它们各自的特性。这种特性可分为以下几类:(1)运行滚动翻转的计数器;(2)突发脉冲串式取样数据;以及(3)单调性增加/减小绝对数据。
在运行滚动翻转的计数的第一种情况下,计数器只能提供运行的计数。需要数据的客户希望能随着时间产生两个瞬态图,并且计算其差异和速率。由于计数器会从一个最大数值翻转至零,所以这样的计算就会变得有点复杂。
在突发脉冲式取样数据的第二种情况下,所采集到的数据可能都是一些尖峰信号。使用这种数据的唯一方法是计算在固定时间周期之间的曲线下的面积。
在单调性增加/减小绝对数据的情况下,某些变量趋向于恒定的增加和减小,使得每周的事务周期失去了意义。在这种情况下,预处理应该报告随着时间变化的速率,例如,便于检测失控的程序是否会突然填满磁盘空间。
基于以上所讨论的变量和方法,一种特征模式可以采用等式5和6来讨论:
(5)NewXS(t)=(L/1+L)*XS(t)+(1/1+L)*(XCmovingavg(t,时间容差))
(6)(NewσS(t))2=(L/1+L)*(σS(t)2+XS(t)2)+(1/1+L)*((σC(t,时间容差))2+(XCmovingavg(t,时间容差))2)—NewXS(t)2
在以上提供的特征中,XC(t)是时间变量数值的变量。XS(t)和σS(t)是变量XC(t)的预先计算特征的分量。XCmovingavg(t,ΔT)是XC(t)在t-ΔT和t之间的时间周期中的移动平均值。SigmaC(t,ΔT)是XC(t)在t-ΔT和t之间的时间周期中的标准偏差。1/L是以下所讨论的学习响应速率。
可基于以下与特征有关的表达式来计算异常。XC(t)是异常的条件:
(7)XCmovingavg(t,抖动展开)<[XS(t+抖动偏置)—F*σS(t+抖动偏置)]
(8)XCmovingavg(t,抖动展开)<[XS(t+抖动偏置)+F*σS(t+抖动偏置)]
由上述表达式(7)所描述的第一背离情况可称之为下冲,而由上述表达式(8)所描述的第二背离情况可称之为过冲。抖动扩展是以上所讨论的抖动的扩展,而抖动偏置是以上所讨论的抖动的偏差。时间容差等于(2*抖动偏置+抖动展开),而F是其容差。
图9A图示了特征更新处理过程。图9A包括取样读取2。该经取样的读取2包括了表示经取样的数值XC(t)。图9A也包括一个特征4。中间曲线204表示XS(t),平均特征数值。上曲线206表示了最上面的正常数值,下曲线208表示了最下面的正常数值。图9A也包括一个更新特征6。该更新特征6包括了表示在考虑取样数值XS(t)后的XS(t)的曲线210,以及有曲线212表示的上正常限制和由曲线214表示的下正常限制。
图9B说明了原先计算的信号216和取样信号218的比较。取样信号218在两点上超过了上正常限制以及在一点上超过了下正常限制。由此可见,该比较有助于辨别过冲和下冲。
确定异常的源
正如以上所讨论的,本发明的方法和***的实施例监测***的异常参数。***和方法将数值数据码流转换成表示适用于任何处理过程的正常或异常行为的状态。此外,正如以下表1所示,根据跟踪的处理变量的类型,可以发现四个子状态。
监测方法也便于根原因的分析,从而在检测的过程中,可以通过确定和校正根原因来消除异常。根原因分析取决于以下从一个***或子***到其它子***或***的故障/异常检测链。根原因分析所具有的规则类型:(1)在类型1***中的类型F1的异常可以是由相同***中的类型F2的异常引起;以及(2)在类型1***中的类型F1的异常可以是由类型2***中的类型F2的异常引起,只要***1和***2具有类型R1的关系。
根原因分析取决于识别那一个***的那一个方面是异常的。特别是,在一个***中,如果适用于检测异常的***检测包括在一个特殊状态中的使用、利用率、差错以及响应的参数,则单纯知识规则就可以解释根原因。这些单纯的知识规则可以以下表1所阐述。
 
使用 利用率 差错 响应 解释
N N N N 各种情况都是正常的或者容差设置得过于宽松。                                  
N N N A 如果只有响应时间是异常高的话,同时其它各种情况都是正常的,则响应延迟可能是由外部***所引起的,例如,因为外部数据库的响应过慢而使得应用程序的运行也慢。  
N N A N 异常差错是由下游的异常差错、不合适的配置或者误触发/非法的请求所引起的。     
 
N N A A 引起重试的差错也引起响应的延迟。
N A N N 异常低的利用率同时其它各种情况正常可以表征为“干运行”,在这种情况下,事务处理可以在不需要作任何重负载的条件下完成异常高的利用率同时其它各种情况正常则表示在资源管理配置中存在着错误,例如设置了一个10Meg的以太网而不是100。          
N A N A 超过“拐点”的利用率会引起非线性响应下降。在这种情况下,根原因是错误配置的资源管理而不是使用所引起的。            
N A A N 异常差错率会增加利用率,即使该使用是正常的,特别是,如果嵌入机制的重试。异常内部差错率可能是由异常高的利用率所引起的,特别是在处理应力的内部机制引起差错从而停止请求时。                  
N A A A 因为重试逻辑,异常差错率会增加利用率和响应时间                              
A N N N ***中的异常使用可以由异常外部条件所引起的最终上游异常使用所引起的。异常低使用也是有问题的症状;可能上游节点已死去。                            
A N N A 可能没有连接好。
A N A N 一个异常高的使用和差错率可能是一个滥用/擅自存取的指示符                 
A N A A 如果利用率是异常或者如果差错是异常的话,响应可能是一个异常。              
A A N N 异常使用会引起异常利用率。这仍是在拐点之前,并因此不在影响响应时间或差错。  
A A N A 如果利用率是异常的话,则响应时间可能是异常的。超过“拐点”的利用率会引起非线性响应下降。                          
 
A A A N 异常使用引起异常利用率和差错。这仍是在雷达的检测之下,并且还不会影响响应,但是会引起对以后响应的影响。            
A A A A 各种情况都是异常的。这可能是特征并不是初始的或者容差设置过小。              
表1
在本文详细说明和讨论本发明的特殊实施例的同时,应该理解的是,可以在不背离本发明的范围和目的的条件下,对本发明进行各种变化和改进。本文所讨论的实施例旨在以各个方面进行说明,并不是限制。很显然,对本领域的熟练技术人士来说,其它实施例也都属于本发明且不背离本发明的范围。
从以上的讨论中,可以看到,本发明可以较好地获得以上所讨论的各种结果和目的,以及其它优点,这些对***和方法来说都是显而易见的和固有的。应该理解的是,某些性能和子组合都是有用的,并且可以无需参考其它性能和子组合来采用。这是所预期的且在附加权利要求的范围之内。

Claims (41)

1.一种适用于监视处理过程的方法,该方法包括:
创建一个表示处理过程的特征;
使用一组当前采样数据和先前特征的值之间的加权平均来不断地更新所创建的特征;以及
根据所不断更新的特征来检测异常;
其中所述处理过程与一数据中心中的联网计算设备的使用率相关;
其中所述特征包括与一组当前采样数据和先前特征的值之间的时间敏感平均有关的信息。
2.如权利要求1所述方法,其特征在于,创建一个特征包括计算设定时间间隔内所采样的数据的一个平均值和一个标准偏差。
3.如权利要求2所述方法,其特征在于,更新特征包括通过增量增加一个学习响应比率来加速学习。
4.如权利要求2所述方法,其特征在于,更新特征包括通过多个时间间隔来初始重复所述平均值和标准偏差的计算。
5.如权利要求1所述方法,其特征在于,更新所创建的特征包括使用一个加权因子来确保最近所记录的数据比老数据具有更大的影响。
6.如权利要求1所述方法,其特征在于,更新所创建的特征包括利用一个随时间而变化的移动平均值来考虑在不希望时间上所产生的事件。
7.如权利要求1所述方法,其特征在于,检测异常包括确定所测量的数值是否在上阈值以上还是在下阈值之下。
8.如权利要求1所述方法,其特征在于,还包括:根据抖动偏置来计算特征的上和下阈值限制。
9.一种适用于根据一个表示处理过程的不断更新的特征来检测在处理过程中所发生异常的方法,该方法包括:
连续监视一个***参数;
根据该不断更新的特征来计算一个适用于该***参数的数值的正常范围;
确定所监视的***参数是否在该正常的范围之内;以及
如果所监视到的***参数是在该正常范围之外,就指示一个异常存在;
其中所述不断更新的特征是通过使用一组当前采样数据和先前特征的值之间的加权平均来创建的;
其中所述处理过程与一数据中心中的联网计算设备的使用率相关。
10.如权利要求9所述方法,其特征在于,还包括:通过计算设定时间间隔内所采样的数据的一个平均值和一个标准偏差来创建一个特征。
11.如权利要求10所述方法,其特征在于,更新特征包括通过增量增加一个学习响应比率的值来加速学习。
12.如权利要求10所述方法,其特征在于,更新特征包括通过多个时间间隔来初始重复所述平均值和标准偏差的计算。
13.如权利要求9所述方法,其特征在于,计算值的正常范围包括使用一个加权因子来确保最近所记录的数据具有比老数据更大的影响。
14.如权利要求9所述方法,其特征在于,计算值的正常范围包括利用一个随时间而变化的移动平均值来考虑在不希望时间上所产生的事件。
15.如权利要求移9所述方法,其特征在于,确定所监视***参数是否在一个值的正常范围之内包括确定所监视***的参数是在一个上阈值以上还是在一个下阈值之下。
16.如权利要求15所述方法,其特征在于,还包括:根据抖动偏置来计算特征的上和下阈值限制。
17.如权利要求9所述的方法,其特征在于,进一步包括:将一个表示被监测的***参数的数值数据流转换成用于处理过程的状态;以及根据该状态在正常和异常行为之间进行区别。
18.如权利要求17所述方法,其特征在于,还包括:将数值数据流转换成多个子状态。
19.如权利要求17所述方法,其特征在于,还包括:根据所述状态来确定一个异常的根原因。
20.一种适用于创建一个对检测在一个计算***环境中的异常有用的特征的方法,该方法包括:
设置一个学习响应速率;
监视一个***参数;
以一个固定的时间间隔来调整学习响应速率,直至达到一个所需的数值;
计算各个时间间隔内所采样的数据的平均值和标准偏差;
使用平均值、标准偏差和学习响应速率来创建特征;
使用一组当前采样数据和先前特征的值之间的加权平均来不断地更新所创建的特征;
其中所述计算***环境中的异常与一数据中心中的联网计算设备的使用率相关;
其中所述特征包括与一组当前采样数据和先前特征的值之间的时间敏感平均有关的信息。
21.如权利要求20所述方法,其特征在于,还包括:根据在连续间隔中所述平均值和标准偏差的计算,不断更新所创建的特征。
22.如权利要求21所述方法,其特征在于,还包括:根据所更新的特征来检测异常。
23.如权利要求20所述方法,其特征在于,创建特征包括初始重复与多个时间间隔关联的所述平均值和标准偏差的计算。
24.如权利要求21所述方法,其特征在于,更新所创建的特征包括使用一个加权因子来确保最近所记录的数据具有比老数据更大的影响。
25.如权利要求21所述方法,其特征在于,更新所创建的特征包括利用一个随时间而变化的移动平均值来考虑在不希望时间上所产生的事件。
26.如权利要求22所述方法,其特征在于,确定异常包括确定所测量的值是在一个上阈值以上还是在一个下阈值之下。
27.如权利要求22所述方法,其特征在于,还包括:根据抖动偏置来计算特征的上和下阈值限制。
28.一种用于检测在计算化环境中的异常活动的***,该***包括:
用于连续监视一个***参数的监视工具;
一个表示该***参数的正常数值的不断更新的特征,所述不断更新的特征通过使用一组当前采样数据和先前特征的值之间的加权平均被创建;以及
一个根据所述不断更新的特征进行计算的异常指示符;该异常指示符包括一个用于该***参数的正常值范围,
其中所述异常活动与一数据中心中的联网计算设备的异常使用率相关;
其中所述特征包括与一组当前采样数据和先前特征的值之间的时间敏感平均有关的信息。
29.如权利要求28所述***,其特征在于,所述不断更新的特征包括设定时间间隔内所采样的数据的一个平均值和标准偏差。
30.如权利要求28所述***,其特征在于,所述不断更新的特征包括使用一个加权因子来确保最近所记录的数据具有比老数据更大的影响。
31.如权利要求28所述***,其特征在于,所述不断更新的特征包括利用一个随时间而变化的移动平均值来考虑在不希望时间上所产生的事件。
32.如权利要求28所述***,其特征在于,所述异常指示符确定一个监视***参数是否在一个值的正常范围之内以及所监视的***参数是在一个上阈值以上还是在一个下阈值之下。
33.如权利要求28所述***,其特征在于,所述异常指示符根据抖动偏置来计算特征的上和下阈值限制。
34.一种适用于监视一个处理过程的监视***,该监视***包括:
一个用于创建一个表示该处理过程的特征的特征创建模块;
一个用于使用一组当前采样数据和先前特征的值之间的加权平均来不断更新所创建特征的特征更新模块;以及
一个用于根据更新特征的偏差来检测异常的异常检测模块,
其中所述处理过程与一数据中心中的联网计算设备的使用率相关;
其中所述特征包括与一组当前采样数据和先前特征的值之间的时间敏感平均有关的信息。
35.如权利要求34所述***,其特征在于,所述特征创建模块包括用于计算设定时间间隔内所采样的数据的一个平均值和一个标准偏差的工具。
36.如权利要求35所述***,其特征在于,所述特征创建模块包括用于通过增量增加一个学习响应比率而执行加速学习的工具。
37.如权利要求35所述***,其特征在于,更新特征包括初始重复与多个时间间隔关联的所述平均值和标准偏差的计算。
38.如权利要求35所述***,其特征在于,所述特征更新模块包括使用一个加权因子来确保最近所记录的数据具有比老数据更大的影响。
39.如权利要求34所述***,其特征在于,所述特征更新模块包括用于计算随时间变化的移动平均值来考虑在不希望时间上所产生的事件的工具。
40.如权利要求34所述***,其特征在于,所述异常检测模块确定所监视的***参数是在一个上阈值以上还是在一个下阈值之下。
41.如权利要求34所述***,其特征在于,所述异常检测模块包括一种适用于根据抖动偏置来计算特征的上和下阈值限制的机制。
CNB2004100456294A 2003-05-22 2004-05-21 用于检测异常的自学习方法和*** Expired - Fee Related CN100533399C (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US47251203P 2003-05-22 2003-05-22
US60/472,512 2003-05-22
US10/685,472 US7624174B2 (en) 2003-05-22 2003-10-16 Self-learning method and system for detecting abnormalities
US10/685,472 2003-10-16

Publications (2)

Publication Number Publication Date
CN1573709A CN1573709A (zh) 2005-02-02
CN100533399C true CN100533399C (zh) 2009-08-26

Family

ID=33101527

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100456294A Expired - Fee Related CN100533399C (zh) 2003-05-22 2004-05-21 用于检测异常的自学习方法和***

Country Status (5)

Country Link
US (1) US7624174B2 (zh)
EP (1) EP1480126B1 (zh)
JP (1) JP4965064B2 (zh)
KR (1) KR101021411B1 (zh)
CN (1) CN100533399C (zh)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8082349B1 (en) * 2005-10-21 2011-12-20 Entrust, Inc. Fraud protection using business process-based customer intent analysis
US7324922B2 (en) * 2005-10-26 2008-01-29 International Business Machines Corporation Run-time performance verification system
US7577888B2 (en) * 2006-02-01 2009-08-18 Microsoft Corporation Self learning signatures
US8655623B2 (en) 2007-02-13 2014-02-18 International Business Machines Corporation Diagnostic system and method
US8260622B2 (en) * 2007-02-13 2012-09-04 International Business Machines Corporation Compliant-based service level objectives
US20080198754A1 (en) * 2007-02-20 2008-08-21 At&T Knowledge Ventures, Lp Method and system for testing a communication network
JP4369961B2 (ja) * 2007-03-23 2009-11-25 株式会社日立製作所 異常検知装置及び異常検知プログラム
FR2916879A1 (fr) * 2007-05-30 2008-12-05 France Telecom Dispositif et methode de traitement d'images pour determiner une signature d'un film.
US7903746B2 (en) * 2007-07-26 2011-03-08 International Business Machines Corporation Calibrating parameters in a storage subsystem with wide ports
US7949489B2 (en) * 2007-07-26 2011-05-24 International Business Machines Corporation Detecting cable length in a storage subsystem with wide ports
US20090031180A1 (en) * 2007-07-26 2009-01-29 Ibm Corporation Method for Discovering and Isolating Failure of High Speed Traces in a Manufacturing Environment
JP5277667B2 (ja) * 2008-03-07 2013-08-28 日本電気株式会社 障害分析システム、障害分析方法、障害分析サーバおよび障害分析プログラム
JP5155909B2 (ja) * 2009-03-06 2013-03-06 Sky株式会社 操作監視システム及び操作監視プログラム
US7962797B2 (en) * 2009-03-20 2011-06-14 Microsoft Corporation Automated health model generation and refinement
TWI416313B (zh) * 2009-07-31 2013-11-21 Via Tech Inc 可省電之電腦系統及其省電方法、可省電之電源管理單元
US20110098973A1 (en) * 2009-10-23 2011-04-28 Computer Associates Think, Inc. Automatic Baselining Of Metrics For Application Performance Management
JP5388122B2 (ja) * 2009-12-16 2014-01-15 Kddi株式会社 サーバ監視装置およびそのサーバ障害判定方法
US8471700B1 (en) 2010-04-16 2013-06-25 Kontek Industries, Inc. Global positioning systems and methods for asset and infrastructure protection
MX2013011129A (es) * 2011-03-28 2013-10-30 Ibm Sistema de deteccion de anomalias, metodo de deteccion de anomalias y programa para los mismos.
KR101491844B1 (ko) * 2011-11-14 2015-02-11 엔에이치엔엔터테인먼트 주식회사 신속한 장애 처리를 위한 동시 접속자 급감 인지 시스템 및 그 방법
US20130282331A1 (en) * 2012-04-24 2013-10-24 Ira Cohen Detecting abnormal behavior
US9038043B1 (en) * 2012-06-21 2015-05-19 Row Sham Bow, Inc. Systems and methods of information processing involving activity processing and/or optimization features
US10185582B2 (en) * 2012-11-28 2019-01-22 Red Hat Israel, Ltd. Monitoring the progress of the processes executing in a virtualization environment
CN103678090A (zh) * 2013-12-11 2014-03-26 北京国双科技有限公司 数据处理的监控方法和装置
JP6417742B2 (ja) * 2014-06-18 2018-11-07 富士通株式会社 データ管理プログラム、データ管理装置及びデータ管理方法
US10003497B2 (en) * 2014-11-21 2018-06-19 Belkin International Inc. System for utility usage triggering action
US11190400B2 (en) 2014-08-06 2021-11-30 Belkin International, Inc. Identifying and automating a device type using image data
CN104318435A (zh) * 2014-09-25 2015-01-28 同济大学 电子交易过程用户行为模式检测的免疫方法
JP6405851B2 (ja) 2014-09-30 2018-10-17 富士通株式会社 予兆検知支援プログラム、方法、装置、及び予兆検知プログラム、
JP7023113B2 (ja) * 2014-10-08 2022-02-21 スプランク インコーポレイテッド ソフトウェアの計測に基づいたリアルタイム報告
US9846632B2 (en) * 2014-10-08 2017-12-19 Signalfx, Inc. Real-time reporting based on instrumentation of software
US20160110277A1 (en) * 2014-10-16 2016-04-21 Siemens Aktiengesellshaft Method for Computer-Aided Analysis of an Automation System
WO2016100534A1 (en) * 2014-12-19 2016-06-23 Signalfx, Inc. Data stream processing language for analyzing instrumented software
US9760353B2 (en) * 2014-12-19 2017-09-12 Signalfx, Inc. Dynamically changing input data streams processed by data stream language programs
US10394692B2 (en) * 2015-01-29 2019-08-27 Signalfx, Inc. Real-time processing of data streams received from instrumented software
US10387988B2 (en) * 2016-02-26 2019-08-20 Google Llc Compiler techniques for mapping program code to a high performance, power efficient, programmable image processing hardware platform
US10771369B2 (en) * 2017-03-20 2020-09-08 International Business Machines Corporation Analyzing performance and capacity of a complex storage environment for predicting expected incident of resource exhaustion on a data path of interest by analyzing maximum values of resource usage over time
DE102017108496B4 (de) * 2017-04-21 2023-06-29 Windmöller & Hölscher Kg Verfahren und Vorrichtungen sowie System zum Auf- und Abwickeln eines Wickels
US10425345B2 (en) 2017-09-29 2019-09-24 Juniper Networks, Inc. Methods and apparatus for detecting a signal degradation using the pre-forward error correction bit error rate at an optical transponder
US20210191372A1 (en) * 2017-11-08 2021-06-24 Siemens Mobility GmbH Analysis of additive manufacturing processes
GB2582953B (en) * 2019-04-10 2022-12-21 Siemens Ind Software Inc Performance profiling
US10977075B2 (en) 2019-04-10 2021-04-13 Mentor Graphics Corporation Performance profiling for a multithreaded processor
US11526422B2 (en) 2019-11-18 2022-12-13 Bmc Software, Inc. System and method for troubleshooting abnormal behavior of an application
JP7333748B2 (ja) 2019-12-13 2023-08-25 株式会社日立製作所 電子機器および電子機器の攻撃検知方法
EP4068724A1 (fr) * 2021-04-01 2022-10-05 Bull SAS Procédé de détection d'anomalies dans un système d'information, programme informatique et système de détection d'anomalies mettant en oeuvre un tel procédé
US11762371B1 (en) * 2022-05-02 2023-09-19 Rockwell Automation Technologies, Inc. Device control using processed sensor data corresponding to unexpected operations

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5602761A (en) * 1993-12-30 1997-02-11 Caterpillar Inc. Machine performance monitoring and fault classification using an exponentially weighted moving average scheme
US5835902A (en) 1994-11-02 1998-11-10 Jannarone; Robert J. Concurrent learning and performance information processing system
US6216119B1 (en) 1997-11-19 2001-04-10 Netuitive, Inc. Multi-kernel neural network concurrent learning, monitoring, and forecasting system
US6182022B1 (en) 1998-01-26 2001-01-30 Hewlett-Packard Company Automated adaptive baselining and thresholding method and system
JP2000041039A (ja) * 1998-07-24 2000-02-08 Hitachi Electronics Service Co Ltd ネットワーク監視装置および方法
US6591255B1 (en) 1999-04-05 2003-07-08 Netuitive, Inc. Automatic data extraction, error correction and forecasting system
US6597777B1 (en) * 1999-06-29 2003-07-22 Lucent Technologies Inc. Method and apparatus for detecting service anomalies in transaction-oriented networks
JP3506068B2 (ja) * 1999-09-29 2004-03-15 日本電気株式会社 外れ値度計算装置
JP2002098672A (ja) * 2000-09-27 2002-04-05 Mitsubishi Electric Corp 電力用機器内部の異常過熱診断方法
US6876988B2 (en) 2000-10-23 2005-04-05 Netuitive, Inc. Enhanced computer performance forecasting system
WO2002044901A2 (en) 2000-11-29 2002-06-06 Netuitive Inc. Computer performance forecasting system
US20020087679A1 (en) * 2001-01-04 2002-07-04 Visual Insights Systems and methods for monitoring website activity in real time
EP1410325A2 (en) 2001-06-08 2004-04-21 Netuitive, Inc. Automated analyzers for estimation systems
WO2003009140A2 (en) 2001-07-20 2003-01-30 Altaworks Corporation System and method for adaptive threshold determination for performance metrics
WO2003054704A1 (en) 2001-12-19 2003-07-03 Netuitive Inc. Method and system for analyzing and predicting the behavior of systems
EP1683022A2 (en) 2003-10-27 2006-07-26 Netuitive, Inc. Computer performance estimation system configured to take expected events into consideration

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
基于抽样测量的高速网络实时异常检测模型. 程光,龚俭,丁伟.软件学报,第14卷第3期. 2003
基于抽样测量的高速网络实时异常检测模型. 程光,龚俭,丁伟.软件学报,第14卷第3期. 2003 *
液体火箭发动机地面试车故障检测的自适应阈值算法. 朱恒伟,王克昌,陈启智.推进技术,第21卷第1期. 2000
液体火箭发动机地面试车故障检测的自适应阈值算法. 朱恒伟,王克昌,陈启智.推进技术,第21卷第1期. 2000 *

Also Published As

Publication number Publication date
JP4965064B2 (ja) 2012-07-04
EP1480126B1 (en) 2013-10-23
KR101021411B1 (ko) 2011-03-14
US20050125710A1 (en) 2005-06-09
EP1480126A2 (en) 2004-11-24
JP2004348740A (ja) 2004-12-09
CN1573709A (zh) 2005-02-02
US7624174B2 (en) 2009-11-24
EP1480126A3 (en) 2007-08-22
KR20040101058A (ko) 2004-12-02

Similar Documents

Publication Publication Date Title
CN100533399C (zh) 用于检测异常的自学习方法和***
US7412509B2 (en) Control system computer, method, and program for monitoring the operational state of a system
JP4756675B2 (ja) コンピュータ資源のキャパシティを予測するためのシステム、方法およびプログラム
US7076397B2 (en) System and method for statistical performance monitoring
US20070088816A1 (en) System and method for monitoring the status of a bus in a server environment
US7769562B2 (en) Method and apparatus for detecting degradation in a remote storage device
US7702485B2 (en) Method and apparatus for predicting remaining useful life for a computer system
US9093841B2 (en) Power distribution network event correlation and analysis
US9811445B2 (en) Methods and systems for the use of synthetic users to performance test cloud applications
US20120046999A1 (en) Managing and Monitoring Continuous Improvement in Information Technology Services
CN111459700A (zh) 设备故障的诊断方法、诊断装置、诊断设备及存储介质
US20180082059A1 (en) Security for devices connected to a network
AU2005222564A1 (en) Method to Chain Events in a System Event Log
US20180121275A1 (en) Method and apparatus for detecting and managing faults
CN109510842A (zh) 一种工控网络文件强制访问控制策略配置的方法及装置
CN104572795A (zh) 规则的自动生成和动态更新
CN111061588A (zh) 一种定位数据库异常来源的方法及装置
US5559726A (en) Method and system for detecting whether a parameter is set appropriately in a computer system
US11418411B1 (en) Data center issue resolution prioritization
US10929363B2 (en) Assisted problem identification in a computing system
US7870370B2 (en) Determining thermal characteristics of instruction sets
CN101894119B (zh) 用于监控的海量数据的储存
US20240187321A1 (en) Predicting network anomaly events
US11677621B2 (en) System for generating data center asset configuration recommendations
US20080232263A1 (en) System and method for correlating a network packet exchange with a period of a transaction

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150508

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150508

Address after: Washington State

Patentee after: Micro soft technique license Co., Ltd

Address before: Washington State

Patentee before: Microsoft Corp.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090826

Termination date: 20200521