CN112084056A - 异常检测方法、装置、设备及存储介质 - Google Patents

异常检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN112084056A
CN112084056A CN202010862378.8A CN202010862378A CN112084056A CN 112084056 A CN112084056 A CN 112084056A CN 202010862378 A CN202010862378 A CN 202010862378A CN 112084056 A CN112084056 A CN 112084056A
Authority
CN
China
Prior art keywords
time sequence
sequence data
data
anomaly detection
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010862378.8A
Other languages
English (en)
Inventor
董善东
张加浪
黄荣庚
李雄政
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010862378.8A priority Critical patent/CN112084056A/zh
Publication of CN112084056A publication Critical patent/CN112084056A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请涉及一种异常检测方法、装置、设备及存储介质。该方法包括:获取至少一个待检测时序数据;从所述至少一个待检测时序数据中提取基础特征信息;确定与基础特征信息对应的异常检测模型;将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果;获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型;基于目标时序数据对应的业务类型,对目标时序数据进行验证,确定目标时序数据对应的目标异常检测结果。本申请的异常检测处理,人力成本低、耗时低、异常检测模型通用性更高且异常检测更加精细化。

Description

异常检测方法、装置、设备及存储介质
技术领域
本申请涉及人工智能技术领域,尤其涉及一种异常检测方法、装置、设备及存储介质。
背景技术
现有对指标数据的时间序列的检测,一般为人工阈值检测方式或者基于特征工程的机器学习方式。而人工阈值检测方式中,通过业务运维人员的经验,来给每条时间序列的指标数据进行一个静态阈值的设定,当时间序列的指标数据超出该静态阈值,即会被认定为异常并发送告警。并且,在真实的监控应用场景中,监控指标往往都是百万级别的,这时候对每一条指标数据,都需要维护一个静态阈值的监控方案,维护成本太高。以及随着业务的发展和演进,最初设置的静态阈值可能会不再合适,静态阈值的调整将跟不上发展速度。
基于特征工程的机器学习方式虽然解决了传统方案的一些问题,但是仍然存在一些不足,比如检测耗时高,模型通用化能力弱,即模型在不同业务场景泛化能力弱,数据标注和模型业务特性加载在指标数据的标注中,导致在业务a训练的模型,到业务b中不再适用。而且在不同的业务中进行各自业务数据的标注和模型的训练,工作量大。
发明内容
有鉴于上述存在的技术问题,本申请提出了一种异常检测方法、装置、设备及存储介质。
根据本申请的一方面,提供了一种异常检测方法,所述方法包括:
获取至少一个待检测时序数据;
从所述至少一个待检测时序数据中提取基础特征信息;
确定与所述基础特征信息对应的异常检测模型;
将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果;
获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型;
基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果。
根据本申请的另一方面,提供了一种异常检测装置,包括:
待检测时序数据获取模块,用于获取至少一个待检测时序数据;
基础特征信息提取模块,用于从所述至少一个待检测时序数据中提取基础特征信息;
异常检测模型确定模块,用于确定与所述基础特征信息对应的异常检测模型;
异常检测结果获取模块,用于将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果;
目标时序数据和业务类型获取模块,用于获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型;
目标异常检测结果确定模块,用于基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果。
根据本申请的另一方面,提供了一种异常检测设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行上述方法。
根据本申请的另一方面,提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其中,所述计算机程序指令被处理器执行时实现上述方法。
通过从待检测时序数据中提取基础特征信息、将待检测时序数据输入对应的异常检测模型中,进行异常检测处理,以及基于目标时序数据对应的业务类型,对目标时序数据进行验证,确定目标时序数据对应的目标异常检测结果。使得本申请的异常检测处理,不需要人为的设定和维护检测阈值,人力成本低;也不需要计算大量的特征,只需要提取基础特征信息,避免了大量特征工程的计算工作,异常检测处理更加扁平化,耗时低,可以达到毫秒级;并且,本申请的异常检测模型从业务类型中抽离出来,使得异常检测模型泛化能力强,可以只对时序数据的本身形态进行检测,通用性更高,更易进行异常检测模型的拓展。另外,通过将待检测时序数据输入对应的异常检测模型,进行异常检测处理,可以实现异常检测的并行处理,进一步地提高了异常检测的高效性,并且实现了异常检测的精细化。
根据下面参考附图对示例性实施例的详细说明,本申请的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本申请的示例性实施例、特征和方面,并且用于解释本申请的原理。
图1示出根据本申请一实施例提供的一种应用***的示意图。
图2示出根据本申请一实施例的时序数据的示意图。
图3示出根据本申请一实施例的异常检测模型的训练方法的流程图。
图4示出根据本申请一实施例的异常检测方法的流程图。
图5示出根据本申请一实施例的所述基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果的方法流程图。
图6示出根据本申请一实施例的异常检测方法的流程图。
图7a和7b示出根据本申请一实施例的异常时序数据的告警示意图。
图8示出根据本申请一实施例的异常检测方法的流程图。
图9示出根据本申请一实施例的异常检测技术架构的示意图。
图10示出根据本申请一实施例的异常检测方法的流程图。
图11示出根据本申请一实施例的图像的异常检测装置的框图。
图12是根据一示例性实施例示出的一种用于异常检测装置1200的框图。
具体实施方式
以下将参考附图详细说明本申请的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本申请,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本申请同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本申请的主旨。
人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
近年来,随着人工智能技术研究和进步,人工智能技术在多个领域得到广泛应用,本申请实施例提供的方案涉及计算机视觉等技术,具体通过如下实施例进行说明:
请参阅图1,图1示出根据本申请一实施例提供的一种应用***的示意图。所述应用***可以用于本申请的异常检测方法。如图1所示,该应用***至少可以包括服务器01和终端02。
本申请实施例中,所述服务器01可以包括独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content DeliveryNetwork,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
本申请实施例中,所述终端02可以包括智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、增强现实(augmented reality,AR)/虚拟现实(virtualreality,VR)设备、智能可穿戴设备等类型的实体设备。实体设备,也可以包括运行于实体设备中的软体,例如应用程序等。本申请实施例中终端02上运行的操作***可以包括但不限于安卓***、IOS***、linux、windows等。
本说明书实施例中,上述终端02以及服务器01可以通过有线或无线通信方式进行直接或间接地连接,本申请对此不作限定。
所述终端02可以用于提供面向用户的异常检测处理。用户可以在终端02上传待检测时序数据。终端02可以接收并显示告警信息、异常时序数据对应的时间序列图以及异常时序数据的基础特征信息。用户还可以在终端02上对该告警信息进行反馈,即可以对异常时序数据进行反馈。终端02提供面向用户的异常检测处理的方式可以包括但不限于应用程序方式、网页方式等。
需要说明的是,本申请实施例中,可以由服务器01执行异常检测方法,优选地,在服务器01中实现所述异常检测方法。以便减轻终端的数据处理压力,改善面向用户的终端的设备性能。
在一个具体的实施例中,服务器02为分布式***时,该分布式***可以为区块链***,分布式***为区块链***时,可以由多个节点(接入网络中的任意形式的计算设备,如服务器、用户终端)形成,节点之间形成的点对点(P2P,Peer To Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission Control Protocol)协议之上的应用层协议。在分布式***中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作***层和应用层。具体的,区块链***中各节点的功能,涉及的功能可以包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链***中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
需要说明的是,以下图中示出的是一种可能的步骤顺序,实际上并不限定必须严格按照此顺序。有些步骤可以在互不依赖的情况下并行执行。
本说明书实施例中,由于异常检测过程和异常检测模型训练过程中均会使用基础特征信息、特征类型、异常检测模型的对应关系,选择先介绍基础特征信息、特征类型、异常检测模型的对应关系。该对应关系可以是根据实际需求设置的,本申请不作限定。
其中,基础特征信息可以用于反映时序数据的分布信息,用于选择异常检测模型。例如,基础特征信息可以包括时序数据的波动信息、趋势(单调)信息和周期性信息等。特征类型可以包括平稳类型和非平稳类型。对于平稳类型的时序数据,西格玛sigma模型进行异常检测的效果就可以很好,例如N-sigma模型,N可以为3。但是对于非平稳类型的时序数据,sigma模型不能得到很好的异常检测效果。为了更好的处理非平稳类型时序数据的异常检测,本申请引入趋势信息和周期性信息,对非平稳类型进行细分。在一个示例中,非平稳类型可以包括第一非平稳类型、第二非平稳类型、第三非平稳类型。具体地,第一非平稳类型可以包括时序数据为波动大、无趋势、无周期差异类型或时序数据为波动大、有趋势、无周期差异类型;第二非平稳类型可以包括时序数据为波动大、有趋势、有周期差异类型;第三非平稳类型可以包括时序数据为包括波动大、无趋势、有周期差异类型。其中,时序数据可以参见下面相应部分的介绍。
本说明书实施例中,可以基于基础特征信息与对应的波动阈值,确定特征类型。例如,若基础特征信息中的波动信息小于或等于波动阈值,可以确定特征类型为平稳类型;若基础特征信息中的波动信息大于波动阈值,可以确定特征类型为非平稳类型。在基础特征信息包括时序数据的波动信息、趋势信息和周期性信息时,在一个示例中,对非平稳类型进行进一步划分,可以包括:将波动信息大于波动阈值、无趋势、有周期性、周期之间不存在差异以及波动信息大于波动阈值、趋势上升或趋势下降、有周期性、周期之间不存在差异,划分为对应的第一非平稳类型;将波动信息大于波动阈值、趋势上升或趋势下降、有周期性、周期之间存在差异,划分为对应的第二非平稳类型;将波动信息大于波动阈值、无趋势、有周期性、周期之间存在差异,划分为对应的第三非平稳类型。
其中,波动信息可以是指时序数据的波动程度信息;趋势信息可以是指时序数据中、检测数据点之前预设时间至检测数据点的上升、下降或平稳的信息,其中,预设时间可以是半小时,本申请对此不作限定;周期性信息可以是指时序数据是否具有周期性以及周期之间数据的差异性;周期之间的数据差异性包括周期之间存在差异(有周期差异)、周期之间不存在差异(无周期差异),有周期差异可以是指检测数据点与历史数据点中与检测时间点对应的数据点不同;无周期差异可以是指检测数据点与历史数据点中与检测时间点对应的数据点相同。比如检测数据点为当前10:00,与该检测点对应的数据点可以是指历史数据点中历史检测点为10:00对应数据点。其中,时序数据、检测数据点和历史数据点可以参见下面相应介绍。历史时间点可以与历史数据点对应。作为一个示例,可以利用时间序列分解算法,例如STL(Seasonal-Trend decomposition procedure based on Loess)算法(基于局部回归平滑的时间序列分解算法),获取时序数据的周期性信息。
可选地,异常检测模型可以分为非深度学习模型和深度学习模型。异常检测模型可以是有监督学习模型或者无监督学习模型,本申请对此不作限定。
作为一个示例,该基础特征信息、特征类型、异常检测模型的对应关系可以如下表1所示:
表1
Figure BDA0002648571290000081
需要说明的是,上述表1仅仅是一个示例,不对本申请进行限定。其中,对于波动大、周期之间不存在差异的,利用决策树模型进行异常检测可以得到较好的效果,例如,决策树模型可以包括GBDT(Gradient Boosting Decison Tree,梯度提升决策树)模型或者xgboost(Extreme Gradient Boosting)模型。其中,GBDT是把所有树的结论累加起来作最终结论的,GBDT中的树都是回归树,GBDT可以用来做回归预测和分类。XGBoost是一种高效的梯度提升算法,能自动利用cpu的多线程,可以提高异常检测的效率,比较适合数据量大的场景。对于波动大、有趋势、有周期差异类型,利用移动平均类算法模型可以有效评估检测数据点附近多个数据点的拟合情况,以用于有效检测出异常。例如,移动平均类算法模型可以包括EWMA(Exponentially Weighted Moving Average,指数加权移动平均)算法模型或者ARIMA(Autoregressive Integrated Moving Average model,差分整合移动平均自回归模型)算法模型。对于波动大,无趋势,有周期差异类型,由于检测数据点临近的数据点没有明显趋势,使用EWMA算法模型不能够检测出异常,因此可以选择多项式拟合算法模型和变点检测算法模型结合,进行异常检测。其中,多项式拟合算法模型本质也是一个线性模型,只是变量可以是2次幂或更高次幂。多项式拟合算法模型可以是用一个多项式展开去拟合时序数据,其中,展开系数可以用最小二乘拟合来确定。变点检测算法模型主要是利用差分的方法,检测时间序列变化的幅度,幅度大于幅度阈值,则可以认为存在变点,即异常检测结果为异常。
在异常检测模型的训练阶段,可以获取与特征类型对应的子样本时序数据集,利用子样本时序数据集,对预设机器学习模型进行机器学习训练,得到表1中对应的非深度学习模型。还可以利用子样本时序数据集对预设深度学习模型进行训练,得到表1中对应的深度学习模型:第一异常检测模型、第二异常检测模型、第三异常检测模型和第四异常检测模型。
需要说明的是,时序数据的基础特征也可以是无周期性的,相应地,也可以设置对应的异常检测模型,并可以获取无周期性的子样本时序数据,基于该子样本时序数据,对预设机器学习模型进行机器学习训练,得到对应的异常检测模型。后续也可以对无周期性的时序数据进行异常检测。
在异常检测的应用中,可以将待检测时序数据输入对应的异常检测模型,这里由于待检测时序数据对应的异常检测模型包括两种类型:非深度学习模型和深度学习模型,可以由用户选择异常检测模型的类型;或者可以自动选择异常检测模型的类型;或者也可以同时输入对应的非深度学习模型和深度学习模型,基于两个模型的输出对应的权重,确定异常检测结果。本申请对此不作限定。
另外,这里先介绍本说明书实施例中的时序数据。该时序数据可以是监控设备上报的,时序数据可以是指按照上报的时间先后顺序排列的数据,可以用一维数组表示,该一维数组中可以包括从左至右的数据,该从左至右的数据对应上报的时间先后顺序排列的数据。该时序数据可以看作时间序列,是一组按照时间发生先后顺序进行排列的数据点序列。其中,一维数组中每个元素可以是一个数据点(对应一次上报的数据),一维数组中的最右(最后)一个数据点可以是检测数据点;其它数据点可以是历史数据点。其中,数据点的间隔可以是恒定的,因为上报的间隔可以是恒定的,比如10秒、1分钟、5分钟等。这里的时间序列可以是指监控类的时间序列,比如云监控的时间序列。
本申请的异常检测是针对检测数据点的异常检测,比如数据点的突发上升或下降、偏离正常值的波动等。在将当前上报数据作为检测数据点时,即是对当前上报数据的异常检测。
本说明书实施例中,时序数据可以是历史数据点和检测数据点组成的。在一个示例中,可以如图2所示,时序数据的一维数组为[第一历史数据点;第二历史数据点;第三历史数据点;检测数据点]。其中,检测数据点为当前的20180810的10:00点对应的检测数据点,该10:00为检测时间点xt;第三历史数据点可以包括检测数据点之前的预设时长k内的历史数据点:[xt-k,xt)内的数据点;第二历史数据点可以包括前一天(例如20180809)中在检测时间点相同的时间(yt)之前和之后的预设时长k内的历史数据点:[yt-k,yt+k]内的数据点;第一历史数据点可以包括上周某一天中在检测时间点相同的时间(zt)之前和之后的预设时长k内的历史数据点:[zt-k,zt+k]内的数据点。该上周某一天的日期可以是与检测数据点对应的日期相差7天,例如20180803。其中,k可以为3个小时,本申请对此不作限定。
需要说明的是,图2仅仅是一个示例,检测数据点可以是当前时间点对应的当前上报数据,也可以是需要检测的数据点。本申请对此不作限定,只要是时序数据的最后一个数据点,该最后一个数据点即为检测数据点。历史数据点可以仅包括第三历史数据点,或者历史数据点可以包括第三历史数据点和第一历史数据点或第三历史数据点和第二历史数据点。或者历史数据点也可以基于检测数据点对应的检测时间点,选择其它的历史数据点,本申请对此不作限定,只要选择的历史数据点结合检测数据点能够表征时序数据的基本特征信息即可。
本说明书实施例中,时序数据可以包括不同指标类型的数据。总体可以分为基础监控指标类型和业务监控指标类型。基础指标类型可以是指对基础机器、数据库等偏低层服务的监控指标类型,基础监控指标类型的数据,例如CPU使用率、内存使用率、网络带宽等;业务监控指标类型可以是指对高层级服务的监控指标类型,业务监控指标类型的数据,例如接口的成功率、访问网页的成功率、直播视频的卡顿率、APP(Application,应用程序)的在线用户数等。对于每一个时序数据来说,每一个时刻,对应唯一值。
通过云监控***提供的时序数据,对时序数据进行异常检测,可以及时的对不同指标类型的数据对应的服务状态进行快速且准确的检测,并可以触发告警以通知给机器运维人员去进行核查、处理和修复,从而能保证提供稳定的服务。
具体地,图3示出根据本申请一实施例的异常检测模型的训练方法的流程图。如图3所示,所述方法可以包括:
S301,获取样本时序数据集,所述样本时序数据集包括样本时序数据和对应的标签。
本说明书实施例中,可以获取大量的时序数据,并可以对该大量的时序数据进行预处理,比如清洗、插值处理,从而得到样本时序数据集。一个样本时序数据即为一个一维数组;标签可以包括正常和异常。
在一个示例中,对该大量的时序数据进行预处理,可以包括:
对该大量的时序数据进行数据校验。比如对时序数据中的数据进行大小校验、缺失值校验、NAN(Not a Number,非数)值校验、非法值校验等。
对时序数据进行数据清洗。例如,若时序数据存在缺失值的,可以通过插值处理进行缺失值的补充;若时序数据具有NAN值,可以通过插值处理或者均值处理以去掉NAN值。若时序数据具有非法值(比如字符等),可以直接返回检测失败码。
可以对数据清洗后的时序数据进行标准化处理。比如,对数据清洗后的时序数据进行归一化处理,使得时序数据中的数据可以统一到[0,1]之间。
S303,从每一样本时序数据中提取样本基础特征信息。
在一个可能的实现方式中,该S303可以通过下面方式实现,即该S303可以包括:
将样本时序数据集输入基础特征提取模型中进行基础特征提取处理,获取样本时序数据集中每一样本时序数据的基础特征信息。该基础特征提取模型可以是预先训练好的机器学习模型。例如,机器学习模型可以是N-sigma模型,N的值可以根据实际需要设置。
或者,可以对每一样本时序数据进行统计处理或拟合处理,提取出每一样本时序数据的基础特征信息。对于统计处理和拟合处理的具体方法,本申请不作限定。例如,对于统计处理的方式,可以对每一样本时序数据进行统计,将统计得到的方差作为波动信息;可以基于检测时间点之前半小时内的检测数据点的上升或下降趋势,提取出趋势信息;并可以根据统计分析得到每一样本时序数据的周期性信息,该周期性信息可以包括是否有周期性信息、周期之间是否存在差异的信息。
S305,确定所述样本基础特征信息对应的特征类型。
本说明书实施例中,可以获取基础特征信息与特征类型的对应关系,然后通过查找到样本基础特征信息匹配的基础特征信息,从而可以确定样本基础特征信息对应的特征类型。例如,可以根据样本基础特征信息,查找上述表1,通过匹配的方式,确定样本基础特征信息对应的特征类型。
S307,基于每一样本时序数据对应的特征类型,将所述样本时序数据集划分为与特征类型对应的子样本时序数据集。也就是说,可以将样本时序数据集中具有相同特征类型的样本时序数据划分到同一个子样本时序数据集中,从而将样本时序数据集划分为与特征类型对应的子样本时序数据集。
可选地,也可以直接从大量的时序数据中,获取与特征类型对应的子样本时序数据集,即可以直接从大量的时序数据中,逐一的获取每一特征类型对应的子样本时序数据集。
S309,基于所述与特征类型对应的子样本时序数据集,对预设机器学习模型进行机器学习训练,至满足预设条件,得到与特征类型对应的异常检测模型。
本说明书实施例中,特征类型可以包括如表1所示的5种特征类型,由于异常检测模型包括非深度学***稳类型不需要深度学习模型,因此5种特征类型可以对应9个异常检测模型。可以基于特征类型对应的子样本时序数据集,分别对对预设机器学习模型进行机器学习训练,至满足预设条件,得到与特征类型对应的异常检测模型。该预设条件可以是预设迭代次数或预设误差阈值等。
可选地,对于决策树模型,S309可以包括:
从子样本时序数据集中的子样本时序数据中提取样本检测特征信息。这里可以基于特征工程,从子样本时序数据集中的子样本时序数据中提取样本检测特征信息。样本检测特征信息可以是用于异常检测分类的特征信息。作为一个示例,样本检测特征信息可以包括子样本时序数据中的最小值、最大值等,本申请对此不作限定。
基于特征类型对应的子样本时序数据集的样本检测特征信息,对预设决策树模型进行机器学习训练,至满足预设条件,得到与特征类型对应的异常检测模型。作为一个示例,预设决策树模型可以包括GBDT模型或者xgboost模型。本申请对此不作限定。
图4示出根据本申请一实施例的异常检测方法的流程图。如图4所示,该方法可以包括:
S401,获取至少一个待检测时序数据。
本说明书实施例中,待检测时序数据可以是指需要进行异常检测的时序数据。例如,可以获取监控设备上报的当前数据点,将当前数据点结合选择的历史数据点作为待检测时序数据。基于这种方式,可以获取至少一个待检测时序数据。
S403,从所述至少一个待检测时序数据中提取基础特征信息;
S405,确定与所述基础特征信息对应的异常检测模型。
上述步骤S403、S405的实现方式可以参见步骤S303、S305,在此不再赘述。
S407,将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果。
本说明书实施例中,是通过待检测数据的基础特征信息对应的异常检测模型对该待检测数据进行异常检测处理,从而可以得到待检测时序数据对应的异常检测结果,比如正常或异常。该异常检测模型可以包括上述表1中的异常检测模型。
S409,获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型。
本说明书实施例中,经过异常检测模型的筛选,可以筛选出异常检测结果为异常的待检测时序数据,并可以将该筛选出的异常检测结果为异常的待检测时序数据作为目标时序数据。
可选地,由于异常检测模型的异常检测仅针对待检测时序数据本身,即异常检测模型对待检测时序数据的异常检测是从业务场景中抽离的,待检测时序数据本身的异常检测和待检测数据在业务场景中的异常检测是分离的。这样提高了异常检测模型的泛化能力,但待检测时序数据是否异常还与业务类型有关。例如:对于成功率指标的待检测数据,业务场景中的异常可以是指检测数据点为趋势下降。对于失败率指标的待检测数据,业务场景中的异常可以是指检测数据点为趋势上升。因此选择获取目标时序数据对应的业务类型,从而能够基于业务类型对异常检测结果进行再次验证(检测),以保证异常检测的准确性。
S411,基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果。
本说明书实施例中,业务类型可以是指时序数据的指标类型。
在一个示例中,可以设置业务类型对应的异常阈值,比如,接口成功率的异常阈值为30%,若低于该30%,认为异常。若目标时序数据的业务类型为接口成功率业务类型,可以获取目标时序数据中检测数据点的值是否低于该接口成功率的异常阈值,若是,可以确定目标时序数据对应的目标异常检测结果为异常;若否,可以确定目标时序数据对应的目标异常检测结果为正常。其中,本申请对每一业务类型对应的异常阈值不作限定,可以根据实际需求设置。
通过从待检测时序数据中提取基础特征信息、将待检测时序数据输入对应的异常检测模型中,进行异常检测处理,以及基于目标时序数据对应的业务类型,对目标时序数据进行验证,确定目标时序数据对应的目标异常检测结果。使得本申请的异常检测处理,不需要人为的设定和维护检测阈值,人力成本低;也不需要技术大量的特征,只需要提取基础特征信息,避免了大量特征工程的工作,异常检测处理更加扁平化,耗时低,可以达到毫秒级;并且,本申请的异常检测模型从业务类型中抽离出来,使得异常检测模型泛化能力强,可以只对时序数据的本身形态进行检测,通用性更高,更易进行异常检测模型的拓展。另外,通过将待检测时序数据输入对应的异常检测模型,进行异常检测处理,可以实现异常检测的并行处理,进一步地提高了异常检测的高效性,并且实现了异常检测的精细化。
图5示出根据本申请一实施例的所述基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果的方法流程图。如图5所示,可以包括:
S501,获取所述目标时序数据的基础特征信息以及所述目标时序数据对应的业务类型的预设异常信息。
本说明书实施例中,该S501中“获取所述目标时序数据的基础特征信息”的具体实现方式可以参见S303,在此不再赘述。或者可以从S403中获取,S403中已经提取了至少一个待检测时序数据的基础特征信息,可以确定目标时序数据对应的待检测时序数据,从而可以获取目标时序数据的基础特征信息。
本说明书实施例中,预设异常信息可以与业务类型对应的、能够表征时序数据是否异常的指标信息。比如,预设异常信息可以包括异常阈值、异常趋势信息等。本申请对此不作限定,可以根据实际需要或业务经验进行设置。可以基于目标时序数据对应的业务类型以及业务类型对应的预设异常信息,获取对应的预设异常信息。
S503,根据所述目标时序数据的基础特征信息和所述目标时序数据对应的业务类型的预设异常信息,确定所述目标时序数据对应的目标异常检测结果。
在一个示例中,比如是成功率业务类型,该成功率业务类型对应的预设异常信息可以是趋势下降。从而可以验证目标时序数据的基础特征信息中的趋势信息是否为趋势下降,如果是趋势下降,可以确定目标时序数据对应的目标异常检测结果为异常;如果是趋势上升,可以确定目标时序数据对应的目标异常检测结果为正常。从而可以基于业务类型来对异常检测结果进行进一步验证。
本说明书实施例中,在得到目标异常检测结果为异常时,可以触发异常告警。在一种可能的实现方式中,可以参见图6,图6示出根据本申请一实施例的异常检测方法的流程图。该方法还可以包括:
S601,从所述目标时序数据中,获取目标异常检测结果为异常的目标时序数据作为异常时序数据以及获取所述异常时序数据对应的基础特征信息。该步骤可以参见S409以及S403,在此不再赘述。
S603,生成所述异常时序数据对应的告警信息以及所述异常时序数据对应的时间序列图。
本说明书实施例中,告警信息可以包括检测数据点对应的检测时间点(即发生异常的时间点)。可以基于异常时序数据,生成对应的时间序列图,如图7a和7b所示,以图的形式直观的呈现异常时序数据。
S605,发送所述告警信息、所述异常时序数据对应的时间序列图以及所述异常时序数据的基础特征信息至终端。
本说明书实施例中,可以发送告警信息、异常时序数据对应的时间序列图以及异常时序数据的基础特征信息至终端,以使终端可以显示这些信息,从而可以展示给用户,使得用户不仅可以直观的获知异常时序数据,还可以通过基础特征信息,很好的辅助用户了解异常的原因。提升了异常检测的可解释性。
本说明书实施例中,在上述将异常时序数据展现给用户时,用户可以进行反馈操作,如图7b所示的ping不可达事件的时序数据的异常检测中,在发送告警信息、异常时序数据对应的时间序列图以及异常时序数据对应的基础特征信息至终端时,还可以发送用于反馈的操作信息,比如可以包括标注为异常、标注为正常、更多反馈等操作信息,以使用户可以进行相应的反馈操作,从而可以基于反馈操作进行异常检测的优化和提升。基于此,可以增加反馈机制,在一种可能的实现方式中,如图8所示,图8示出根据本申请一实施例的异常检测方法的流程图。异常检测方法还可以包括:
S801,获取对所述异常时序数据的反馈信息。
本说明书实施例中,如图7b所示,如果用户进行了反馈操作,可以获取对异常时序数据的反馈信息。该反馈信息中可以包括异常时序数据的标识、异常信息或正常信息等。
S803,根据所述反馈信息,将所述异常时序数据添加到样本时序数据集。
本说明书实施例中,可以将反馈信息中包括异常信息对应的异常时序数据添加到样本时序数据集,即将用户反馈确认的异常时序数据添加到样本时序数据集,以丰富样本时序数据集,用于后续异常检测模型的优化,并且可以节省对样本时序数据的标注过程,就能够获取更多的样本时序数据。从而可以形成本说明书实施例的异常检测技术架构,如图9所示,可以包括样本时序数据集、待检测时序数据的获取、异常检测模型的选择、基于业务类型的验证、告警触发和用户反馈。
可选地,在获取异常数据的反馈信息时,还可以获取该异常时序数据对应的目标特征类型;根据所述反馈信息,将所述异常时序数据添加到所述目标特征类型对应的样本时序数据集。也就是说,可以直接将异常时序数据添加到对应的子样本时序数据集。
在一种可能的实现方式中,所述确定与所述基础特征信息对应的异常检测模型,可以包括:
确定所述基础特征信息对应的特征类型;
若所述特征类型为平稳型,确定与所述基础特征信息对应的异常检测模型为西格玛模型;
若特征类型为第一非平稳类型,确定与所述基础特征信息对应的异常检测模型为决策树模型;
若特征类型为第二非平稳类型,确定与所述基础特征信息对应的异常检测模型为移动平均类算法模型;
若特征类型为第三非平稳类型,确定与所述基础特征信息对应的异常检测模型为多项式拟合算法模型和变点检测算法模型。
本说明书实施例中,可以基于表1中特征类型与异常检测模型的对应关系确定对应的异常检测模型。
在一种可能的实现方式中,图10示出根据本申请一实施例的异常检测方法的流程图。如图10所示,所述异常检测模型为决策树模型时,在将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果之前,所述方法还可以包括:
S1001,从所述至少一个待检测时序数据中提取目标检测特征信息;
S1003,所述将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果,包括:将所述目标检测特征信息输入决策树模型,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果。
该步骤S1001和S1003的实现方式可以参见S309中决策树模型的相应部分,在此不再赘述。
在一种可能的实现方式中,所述从所述至少一个待检测时序数据中提取基础特征信息,可以包括:
将所述至少一个待检测时序数据输入基础特征提取模型中进行基础特征提取处理,获取所述至少一个待检测时序数据的基础特征信息;
或者,
对所述至少一个待检测时序数据进行统计处理或拟合处理,提取出所述至少一个待检测时序数据的基础特征信息。
这里的实现方式具体可以参见步骤S303,在此不再赘述。
图11示出根据本申请一实施例的异常检测装置的框图。如图11所示,该装置可以包括:
待检测时序数据获取模块1101,用于获取至少一个待检测时序数据;
基础特征信息提取模块1103,用于从所述至少一个待检测时序数据中提取基础特征信息;
异常检测模型确定模块1105,用于确定与所述基础特征信息对应的异常检测模型;
异常检测结果获取模块1107,用于将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果;
目标时序数据和业务类型获取模块1109,用于获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型;
目标异常检测结果确定模块1111,用于基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果。
通过从待检测时序数据中提取基础特征信息、将待检测时序数据输入对应的异常检测模型中,进行异常检测处理,以及基于目标时序数据对应的业务类型,对目标时序数据进行验证,确定目标时序数据对应的目标异常检测结果。使得本申请的异常检测处理,不需要人为的设定和维护检测阈值,人力成本低;也不需要技术大量的特征,只需要提取基础特征信息,避免了大量特征工程的工作,异常检测处理更加扁平化,耗时低,可以达到毫秒级;并且,本申请的异常检测模型从业务类型中抽离出来,使得异常检测模型泛化能力强,可以只对时序数据的本身形态进行检测,通用性更高,更易进行异常检测模型的拓展。另外,通过将待检测时序数据输入对应的异常检测模型,进行异常检测处理,可以实现异常检测的并行处理,进一步地提高了异常检测的高效性,并且实现了异常检测的精细化。
在一种可能的实现方式中,目标异常检测结果确定模块1111可以包括:
基础特征信息和预设异常信息获取单元,用于获取所述目标时序数据的基础特征信息以及所述目标时序数据对应的业务类型的预设异常信息;
目标异常检测结果确定单元,用于根据所述目标时序数据的基础特征信息和所述目标时序数据对应的预设异常信息,确定所述目标时序数据对应的目标异常检测结果。
在一种可能的实现方式中,该装置还可以包括:
异常时序数据的基础特征信息获取模块,用于从所述目标时序数据中,获取目标异常检测结果为异常的目标时序数据作为异常时序数据以及获取所述异常时序数据的基础特征信息;
时间序列图生成模块,用于生成所述异常时序数据对应的告警信息以及所述异常时序数据对应的时间序列图;
告警发送模块,用于发送所述告警信息、所述异常时序数据对应的时间序列图以及所述异常时序数据的基础特征信息至终端。
在一种可能的实现方式中,异常检测模型确定模块1105可以包括:
特征类型确定单元,用于确定所述基础特征信息对应的特征类型;
异常检测模型确定单元,用于若所述特征类型为平稳型,确定与所述基础特征信息对应的异常检测模型为西格玛模型;若特征类型为第一非平稳类型,确定与所述基础特征信息对应的异常检测模型为决策树模型;若特征类型为第二非平稳类型,确定与所述基础特征信息对应的异常检测模型为移动平均类算法模型;若特征类型为第三非平稳类型,确定与所述基础特征信息对应的异常检测模型为多项式拟合算法模型和变点检测算法模型。
在一种可能的实现方式中,所述异常检测模型为决策树模型时;所述装置还可以包括:
目标检测特征信息提取模块,用于从所述至少一个待检测时序数据中提取目标检测特征信息;
异常检测结果获取模块1107还可以用于将所述目标检测特征信息输入决策树模型,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果。
在一种可能的实现方式中,基础特征信息提取模块1103可以包括:
基础特征信息提取单元,用于将所述至少一个待检测时序数据输入基础特征提取模型中进行基础特征提取处理,获取所述至少一个待检测时序数据的基础特征信息;或者,
对所述至少一个待检测时序数据进行统计处理或拟合处理,提取出所述至少一个待检测时序数据的基础特征信息。
在一种可能的实现方式中,该装置还可以包括:
样本时序数据集获取模块,用于获取样本时序数据集,所述样本时序数据集包括样本时序数据和对应的标签;
样本基础特征信息提取模块,用于从每一样本时序数据中提取样本基础特征信息;
特征类型确定模块,用于确定所述样本基础特征信息对应的特征类型;
子样本时序数据集划分模块,用于基于每一样本时序数据对应的特征类型,将所述样本时序数据集划分为与特征类型对应的子样本时序数据集;
异常检测模型获取模块,用于基于所述与特征类型对应的子样本时序数据集,对预设机器学习模型进行机器学习训练,至满足预设条件,得到与特征类型对应的异常检测模型。
在一种可能的实现方式中,该装置还可以包括:
反馈信息获取模块,用于获取对所述异常时序数据的反馈信息;
样本时序数据集更新模块,用于根据所述反馈信息,将所述异常时序数据添加到样本时序数据集。
关于上述实施例中的装置,其中各个模块和单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
另一方面,本申请提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述的各种可选实现方式中提供的异常检测方法。
图12是根据一示例性实施例示出的一种用于异常检测装置1200的框图。例如,装置1200可以被提供为一服务器。参照图12,装置1200包括处理组件1222,其进一步包括一个或多个处理器,以及由存储器1232所代表的存储器资源,用于存储可由处理组件1222的执行的指令,例如应用程序。存储器1232中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1222被配置为执行指令,以执行上述方法。
装置1200还可以包括一个电源组件1226被配置为执行装置1200的电源管理,一个有线或无线网络接口1250被配置为将装置1200连接到网络,和一个输入输出(I/O)接口1258。装置1200可以操作基于存储在存储器1232的操作***,例如Windows ServerTM,MacOS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1232,上述计算机程序指令可由装置1200的处理组件1222执行以完成上述方法。
本申请可以是***、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本申请的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本申请操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本申请的各个方面。
这里参照根据本申请实施例的方法、装置(***)和计算机程序产品的流程图和/或框图描述了本申请的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本申请的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (10)

1.一种异常检测方法,其特征在于,所述方法包括:
获取至少一个待检测时序数据;
从所述至少一个待检测时序数据中提取基础特征信息;
确定与所述基础特征信息对应的异常检测模型;
将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果;
获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型;
基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果。
2.根据权利要求1所述的方法,其特征在于,所述基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果,包括:
获取所述目标时序数据的基础特征信息以及所述目标时序数据对应的业务类型的预设异常信息;
根据所述目标时序数据的基础特征信息和所述目标时序数据对应的业务类型的预设异常信息,确定所述目标时序数据对应的目标异常检测结果。
3.根据权利要求1所述的方法,其特征在于,还包括:
从所述目标时序数据中,获取目标异常检测结果为异常的目标时序数据作为异常时序数据以及获取所述异常时序数据的基础特征信息;
生成所述异常时序数据对应的告警信息以及所述异常时序数据对应的时间序列图;
发送所述告警信息、所述异常时序数据对应的时间序列图以及所述异常时序数据的基础特征信息至终端。
4.根据权利要求1所述的方法,其特征在于,所述确定与所述基础特征信息对应的异常检测模型,包括:
确定所述基础特征信息对应的特征类型;
若所述特征类型为平稳型,确定与所述基础特征信息对应的异常检测模型为西格玛模型;
若特征类型为第一非平稳类型,确定与所述基础特征信息对应的异常检测模型为决策树模型;
若特征类型为第二非平稳类型,确定与所述基础特征信息对应的异常检测模型为移动平均类算法模型;
若特征类型为第三非平稳类型,确定与所述基础特征信息对应的异常检测模型为多项式拟合算法模型和变点检测算法模型。
5.根据权利要求4所述的方法,其特征在于,所述异常检测模型为决策树模型时;在将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果之前,所述方法还包括:
从所述至少一个待检测时序数据中提取目标检测特征信息;
所述将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果,包括:将所述目标检测特征信息输入决策树模型,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果。
6.根据权利要求1所述的方法,其特征在于,所述从所述至少一个待检测时序数据中提取基础特征信息,包括:
将所述至少一个待检测时序数据输入基础特征提取模型中进行基础特征提取处理,获取所述至少一个待检测时序数据的基础特征信息;或者,
对所述至少一个待检测时序数据进行统计处理或拟合处理,提取出所述至少一个待检测时序数据的基础特征信息。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取样本时序数据集,所述样本时序数据集包括样本时序数据和对应的标签;
从每一样本时序数据中提取样本基础特征信息;
确定所述样本基础特征信息对应的特征类型;
基于每一样本时序数据对应的特征类型,将所述样本时序数据集划分为与特征类型对应的子样本时序数据集;
基于所述与特征类型对应的子样本时序数据集,对预设机器学习模型进行机器学习训练,至满足预设条件,得到与特征类型对应的异常检测模型。
8.根据权利要求3所述的方法,其特征在于,还包括:
获取对所述异常时序数据的反馈信息;
根据所述反馈信息,将所述异常时序数据添加到样本时序数据集。
9.一种异常检测装置,其特征在于,包括:
待检测时序数据获取模块,用于获取至少一个待检测时序数据;
基础特征信息提取模块,用于从所述至少一个待检测时序数据中提取基础特征信息;
异常检测模型确定模块,用于确定与所述基础特征信息对应的异常检测模型;
异常检测结果获取模块,用于将所述至少一个待检测时序数据输入对应的异常检测模型中,进行异常检测处理,得到所述至少一个待检测时序数据对应的异常检测结果;
目标时序数据和业务类型获取模块,用于获取异常检测结果为异常的待检测时序数据作为目标时序数据以及获取所述目标时序数据对应的业务类型;
目标异常检测结果确定模块,用于基于所述目标时序数据对应的业务类型,对所述目标时序数据进行验证,确定所述目标时序数据对应的目标异常检测结果。
10.一种异常检测设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令以实现权利要求1至8中任意一项所述的方法。
CN202010862378.8A 2020-08-25 2020-08-25 异常检测方法、装置、设备及存储介质 Pending CN112084056A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010862378.8A CN112084056A (zh) 2020-08-25 2020-08-25 异常检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010862378.8A CN112084056A (zh) 2020-08-25 2020-08-25 异常检测方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN112084056A true CN112084056A (zh) 2020-12-15

Family

ID=73728600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010862378.8A Pending CN112084056A (zh) 2020-08-25 2020-08-25 异常检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112084056A (zh)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112712113A (zh) * 2020-12-29 2021-04-27 广州品唯软件有限公司 一种基于指标的告警方法、装置及计算机***
CN112783972A (zh) * 2020-12-31 2021-05-11 武汉工程大学 图像特征值数据的同步方法及***
CN112817955A (zh) * 2021-02-02 2021-05-18 中国人民解放军海军航空大学青岛校区 基于回归模型的数据清洗方法
CN112860524A (zh) * 2021-03-31 2021-05-28 中国工商银行股份有限公司 异常行为检测方法、装置及设备
CN112905671A (zh) * 2021-03-24 2021-06-04 北京必示科技有限公司 时间序列异常处理方法、装置、电子设备及存储介质
CN112988443A (zh) * 2021-03-16 2021-06-18 上海哔哩哔哩科技有限公司 业务异常的处理方法及装置
CN113064796A (zh) * 2021-04-13 2021-07-02 上海浦东发展银行股份有限公司 一种无监督指标异常检测方法
CN113127305A (zh) * 2021-04-22 2021-07-16 北京百度网讯科技有限公司 异常检测方法及装置
CN113342610A (zh) * 2021-06-11 2021-09-03 北京奇艺世纪科技有限公司 一种时序数据异常检测方法、装置、电子设备及存储介质
CN113434498A (zh) * 2021-05-14 2021-09-24 国网河北省电力有限公司衡水供电分公司 电力***数据库数据异常监测方法、装置及电子设备
CN113536066A (zh) * 2021-07-16 2021-10-22 全球能源互联网研究院有限公司 一种数据异常检测算法确定方法、装置及计算机设备
CN113568950A (zh) * 2021-07-29 2021-10-29 北京字节跳动网络技术有限公司 一种指标检测方法、装置、设备及介质
CN113595240A (zh) * 2021-06-21 2021-11-02 深圳供电局有限公司 电力数据的检测方法、装置、设备及存储介质
CN114338284A (zh) * 2021-12-24 2022-04-12 深圳尊悦智能科技有限公司 物联网5g智能网关
CN115858633A (zh) * 2023-02-27 2023-03-28 广州汇通国信科技有限公司 一种基于数据湖的时序数据分析方法及装置
CN116108086A (zh) * 2023-02-27 2023-05-12 广州汇通国信科技有限公司 一种时序数据的评估方法、装置、电子设备及存储介质
CN117520410A (zh) * 2023-11-03 2024-02-06 华青融天(北京)软件股份有限公司 业务数据处理方法、装置、电子设备和计算机可读介质
CN117807545A (zh) * 2024-02-28 2024-04-02 广东优信无限网络股份有限公司 一种基于数据挖掘的异常检测方法及***

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112712113B (zh) * 2020-12-29 2024-04-09 广州品唯软件有限公司 一种基于指标的告警方法、装置及计算机***
CN112712113A (zh) * 2020-12-29 2021-04-27 广州品唯软件有限公司 一种基于指标的告警方法、装置及计算机***
CN112783972A (zh) * 2020-12-31 2021-05-11 武汉工程大学 图像特征值数据的同步方法及***
CN112817955A (zh) * 2021-02-02 2021-05-18 中国人民解放军海军航空大学青岛校区 基于回归模型的数据清洗方法
CN112817955B (zh) * 2021-02-02 2022-07-01 中国人民解放军海军航空大学青岛校区 基于回归模型的数据清洗方法
CN112988443A (zh) * 2021-03-16 2021-06-18 上海哔哩哔哩科技有限公司 业务异常的处理方法及装置
CN112905671A (zh) * 2021-03-24 2021-06-04 北京必示科技有限公司 时间序列异常处理方法、装置、电子设备及存储介质
CN112860524A (zh) * 2021-03-31 2021-05-28 中国工商银行股份有限公司 异常行为检测方法、装置及设备
CN113064796A (zh) * 2021-04-13 2021-07-02 上海浦东发展银行股份有限公司 一种无监督指标异常检测方法
CN113064796B (zh) * 2021-04-13 2022-08-12 上海浦东发展银行股份有限公司 一种无监督指标异常检测方法
CN113127305B (zh) * 2021-04-22 2024-02-13 北京百度网讯科技有限公司 异常检测方法及装置
CN113127305A (zh) * 2021-04-22 2021-07-16 北京百度网讯科技有限公司 异常检测方法及装置
CN113434498A (zh) * 2021-05-14 2021-09-24 国网河北省电力有限公司衡水供电分公司 电力***数据库数据异常监测方法、装置及电子设备
CN113342610A (zh) * 2021-06-11 2021-09-03 北京奇艺世纪科技有限公司 一种时序数据异常检测方法、装置、电子设备及存储介质
CN113342610B (zh) * 2021-06-11 2023-10-13 北京奇艺世纪科技有限公司 一种时序数据异常检测方法、装置、电子设备及存储介质
CN113595240A (zh) * 2021-06-21 2021-11-02 深圳供电局有限公司 电力数据的检测方法、装置、设备及存储介质
CN113595240B (zh) * 2021-06-21 2024-01-19 深圳供电局有限公司 电力数据的检测方法、装置、设备及存储介质
CN113536066A (zh) * 2021-07-16 2021-10-22 全球能源互联网研究院有限公司 一种数据异常检测算法确定方法、装置及计算机设备
CN113568950A (zh) * 2021-07-29 2021-10-29 北京字节跳动网络技术有限公司 一种指标检测方法、装置、设备及介质
CN114338284A (zh) * 2021-12-24 2022-04-12 深圳尊悦智能科技有限公司 物联网5g智能网关
CN115858633A (zh) * 2023-02-27 2023-03-28 广州汇通国信科技有限公司 一种基于数据湖的时序数据分析方法及装置
CN116108086A (zh) * 2023-02-27 2023-05-12 广州汇通国信科技有限公司 一种时序数据的评估方法、装置、电子设备及存储介质
CN116108086B (zh) * 2023-02-27 2023-09-26 广州汇通国信科技有限公司 一种时序数据的评估方法、装置、电子设备及存储介质
CN115858633B (zh) * 2023-02-27 2023-10-20 广州汇通国信科技有限公司 一种基于数据湖的时序数据分析方法及装置
CN117520410A (zh) * 2023-11-03 2024-02-06 华青融天(北京)软件股份有限公司 业务数据处理方法、装置、电子设备和计算机可读介质
CN117807545A (zh) * 2024-02-28 2024-04-02 广东优信无限网络股份有限公司 一种基于数据挖掘的异常检测方法及***
CN117807545B (zh) * 2024-02-28 2024-05-31 广东优信无限网络股份有限公司 一种基于数据挖掘的异常检测方法及***

Similar Documents

Publication Publication Date Title
CN112084056A (zh) 异常检测方法、装置、设备及存储介质
US11522881B2 (en) Structural graph neural networks for suspicious event detection
CN110865929B (zh) 异常检测预警方法及***
US11294754B2 (en) System and method for contextual event sequence analysis
CN111178523B (zh) 一种行为检测方法、装置、电子设备及存储介质
CN107809331B (zh) 识别异常流量的方法和装置
US11176206B2 (en) Incremental generation of models with dynamic clustering
CN108011782B (zh) 用于推送告警信息的方法和装置
US11675641B2 (en) Failure prediction
US10832150B2 (en) Optimized re-training for analytic models
JP6355683B2 (ja) リスク早期警報方法、装置、記憶媒体およびコンピュータプログラム
US11816586B2 (en) Event identification through machine learning
US11157380B2 (en) Device temperature impact management using machine learning techniques
CN110309193B (zh) 使用基于上下文的相似性来比较时间序列数据
US10664765B2 (en) Labelling intervals using system data to identify unusual activity in information technology systems
US10737904B2 (en) Elevator condition monitoring using heterogeneous sources
CN110401567B (zh) 告警数据的处理方法、装置、计算设备、介质
CN111666187B (zh) 用于检测异常响应时间的方法和装置
CN111756706A (zh) 一种异常流量检测方法、装置及存储介质
CN109815085B (zh) 告警数据的分类方法、装置和电子设备及存储介质
CN113223121B (zh) 视频生成方法、装置、电子设备及存储介质
US11736363B2 (en) Techniques for analyzing a network and increasing network availability
US20220214948A1 (en) Unsupervised log data anomaly detection
CN116010187A (zh) 一种日志检测方法以及相关装置
CN111651652B (zh) 基于人工智能的情感倾向识别方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination