CN112508316A - 实时异常检测***中的自适应异常判定方法和装置 - Google Patents

实时异常检测***中的自适应异常判定方法和装置 Download PDF

Info

Publication number
CN112508316A
CN112508316A CN201910872258.3A CN201910872258A CN112508316A CN 112508316 A CN112508316 A CN 112508316A CN 201910872258 A CN201910872258 A CN 201910872258A CN 112508316 A CN112508316 A CN 112508316A
Authority
CN
China
Prior art keywords
real
residual
sequence
reference value
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910872258.3A
Other languages
English (en)
Other versions
CN112508316B (zh
Inventor
孙继燕
孔令山
杨健
房晶
代良
刘志磊
林涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
Institute of Information Engineering of CAS
Original Assignee
China Mobile Communications Group Co Ltd
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, Institute of Information Engineering of CAS filed Critical China Mobile Communications Group Co Ltd
Priority to CN201910872258.3A priority Critical patent/CN112508316B/zh
Publication of CN112508316A publication Critical patent/CN112508316A/zh
Application granted granted Critical
Publication of CN112508316B publication Critical patent/CN112508316B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/20Administration of product repair or maintenance

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明实施例提供一种实时异常检测***中的自适应异常判定方法和装置。所述方法包括:根据历史KPI数据的残差指标确定阈值基准值;根据当前KPI数据的残差指标确定实时调整基准值;根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;根据所述异常判定阈值自动进行异常判定。本发明实施例能够自动设定KPI动态阈值,有效反映***实时动态变化引起的异常阈值动态变化,提高异常判定的准确性。

Description

实时异常检测***中的自适应异常判定方法和装置
技术领域
本发明涉及***运维技术领域,尤其涉及一种实时异常检测***中的自适应异常判定方法和装置。
背景技术
数字化、信息化时代,各行各业均需要一些复杂多样的大型软硬件***支撑。与此同时,这些***的部署、运行和维护都需要专业的运维人员,但是传统的运维手段难以高效的支撑规模庞大的***运维场景。近年来,在学术界和工业界的推动下,智能运维(Artificial Intelligence for IT Operations,AIOps)飞速发展,其通过将人工智能技术应用于运维领域,结合大数据分析***以及机器学习算法从海量的运维数据(***日志、监控信息、应用信息等)中不断的挖掘学习,提炼和总结规则,为当前的一些复杂多样的大型软硬件***运维提供了新的解决方案。其中关键性能指标(Key PerformanceIndicator,KPI)异常检测是智能运维的一个底层核心技术。当***的某个KPI呈现出异常(如突增、突降、抖动)时,往往意味着与其相关的应用发生了一些潜在的故障,比如网络故障、服务器故障、配置错误等。然而对于一个实际的大型软硬件***来说,通常包含众多子模块,每个子模块都有多种不同类型的KPI反应其运行状态。例如目前被广泛商用的CDN(Content Delivery Network,内容分发网络)***,其主要包含CDN边缘服务器、负载均衡、调度等功能模块。对于CDN边缘服务器,就有多种不同类型反映其性能的KPI,如命中率、命中时首包响应时间、命中时异常状态码占比等。KPI异常检测的目标就是要监控反映一个实际的大型软硬件***运行状态的所有的KPI。当KPI指标出现异常(如突增、突降、抖动)时,往往意味着发生了潜在的故障。对于KPI的异常判定,目前业界常用的方法主要为基于历史数据的异常判定方法,包括基于经验的固定阈值法、基于正太分布的拉依达准则以及基于打标样本学习的分类方法。
固定阈值法因为其算法简单开销小易实施的优势而被工业界初级异常检测***广泛使用。一般运维人员按照自身经验,为不同的KPI设定异常阈值,如CPU使用率,运维人员根据自己的主观经验将90%设置为异常判定阈值,一旦其大于90%,即显示异常。
拉依达准则同样因为其算法简单开销小易实施的优势而被工业界初级异常检测***广泛使用。拉依达准则又称为3σ准则,它是先假设一组检测数据只含有随机误差,对其进行计算处理得到标准偏差,按一定概率确定一个区间,认为凡超过这个区间的误差,就不属于随机误差而是粗大误差,含有该误差的数据应予以剔除。且3σ适用于有较多组数据的时候。3σ原则为数值分布在(μ-σ,μ+σ)中的概率为0.6827,数值分布在(μ-2σ,μ+2σ)中的概率为0.9545,数值分布在(μ-3σ,μ+3σ)中的概率为0.9973可以认为,Y的取值几乎全部集中在(μ-3σ,μ+3σ)区间内,超出这个范围的可能性仅占不到0.3%,所以可以将这部分数据判定为异常。
基于打标样本学习的分类方法通过人工将一部分历史KPI打标成异常与正常两类数据,然后再利用监督类机器学习方法如支持向量机(SVM)算法、人工神经网络算法等进行分类学习,再将学习到的模型应用于实时数据进行异常判定。
以上三类方法严重依赖历史数据,不能有效反映KPI的实时动态变化引起的异常阈值动态变化,从而造成了监控性能差强人意,误报漏报较多的问题。具体来说,固定阈值法严重依赖专家经验,监控性能差强人意,误报漏报较多。拉依达准则法只针对KPI符合正太分布的曲线,难以适应KPI曲线特征多样化,异常概率实时变化的特点,从而造成了大量的漏报误报。通常来说,对于一个线上运行的大型软硬件***,这样的KPI量级可达到百万级。基于打标样本学习的分类方法一方面增大了人工打标开销,另一方面不能有效反映KPI的实时动态变化引起的异常阈值动态变化。
发明内容
针对现有技术问题,本发明实施例提供一种实时异常检测***中的自适应异常判定方法和装置。
本发明实施例提供一种实时异常检测***中的自适应异常判定方法,所述方法包括:
根据历史KPI数据的残差指标确定阈值基准值;
根据当前KPI数据的残差指标确定实时调整基准值;
根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;
根据所述异常判定阈值自动进行异常判定。
本发明实施例提供一种实时异常检测***中的自适应异常判定装置,所述装置包括:
第一确定单元,用于根据历史KPI数据的残差指标确定阈值基准值;
第二确定单元,用于根据当前KPI数据的残差指标确定实时调整基准值;
调整单元,用于根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;
判定单元,用于根据所述异常判定阈值自动进行异常判定。
本发明实施例还提供一种电子设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述实时异常检测***中的自适应异常判定方法。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述实时异常检测***中的自适应异常判定方法。
本发明实施例提供的实时异常检测***中的自适应异常判定方法和装置,通过根据KPI历史数据阈值基准值与实时数据动态阈值调整基准值计算得到异常判定阈值,在异常检测过程中,根据***动态变化自适应调整异常判定阈值,能够自动设定KPI动态阈值,有效反映***实时动态变化引起的异常阈值动态变化,提高异常判定的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的实时异常检测***中的自适应异常判定方法的流程示意图;
图2为本发明又一实施例提供的实时异常检测***中的自适应异常判定方法的流程示意图;
图3为本发明一实施例提供的KPI阈值异常判定示意图;
图4为本发明一实施例提供的实时异常检测***中的自适应异常判定装置的结构示意图;
图5为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明一实施例提供的实时异常检测***中的自适应异常判定方法的流程示意图。
如图1所示,具体包括以下步骤:
S11、根据历史KPI数据的残差指标确定阈值基准值;
具体地,本发明实施例应可用于CDN***实时异常检测***,CDN***主要包含CDN边缘服务器、负载均衡、调度等功能模块。对于CDN边缘服务器,就有多种不同类型反映其性能的KPI,如命中率、命中时首包响应时间、命中时异常状态码占比等。
所述历史KPI数据包括历史KPI的实际值和预测值,按照时间组成历史KPI时间序列,所述残差指标包括根据历史KPI的实际值和预测值自动计算的平均绝对误差、平均绝对百分比误差、对称平均绝对误差等,不同残差指标从不同角度捕获KPI时间序列实际值和预测值之差。本发明实施例根据历史KPI的残差指标确定的阈值基准值为从历史数据中自动学习得到的合适的阈值,能够反映KPI指标的历史数据信息。
S12、根据当前KPI数据的残差指标确定实时调整基准值;
具体地,所述当前KPI数据包括当前指定时段的KPI的实际值和预测值,按照时间组成当前KPI时间序列,同样地,所述残差指标包括根据当前KPI的实际值和预测值自动计算的平均绝对误差、平均绝对百分比误差、对称平均绝对误差等,不同残差指标从不同角度捕获当前KPI时间序列实际值和预测值之差。考虑到CDN***的动态性导致一些关键性能指标有时会发生波动,本发明实施例根据当前KPI的残差指标确定的调整基准值为实时KPI阈值调整基准值,能够反映KPI的实时动态变化引起的异常阈值动态变化。
S13、根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;
具体地,本发明实施例将KPI历史数据阈值基准值与实时数据动态阈值调整基准值相结合得到最终的自适应异常判定阈值,该异常判定阈值作为在线异常检测的阈值。异常检测过程中,根据***的实时动态信息,动态调整阈值调整基准值,最终在线阈值自适应进行调整。
本发明实施例提供的实时异常检测***中的自适应异常判定方法,通过根据KPI历史数据阈值基准值与实时数据动态阈值调整基准值计算得到异常判定阈值,在异常检测过程中,根据***动态变化自适应调整异常判定阈值,能够自动设定KPI动态阈值,有效反映***实时动态变化引起的异常阈值动态变化,提高异常判定的准确性。
在上述实施例的基础上,步骤S11具体包括:
根据历史KPI时间序列的实际值和预测值计算各残差指标的残差序列;
不断将所述残差序列中的最大值移到异常集合中,直至所述异常集合和剩余残差集合的中心距离大于第一阈值,且所述剩余残差集合对应的异常比例小于第二阈值;其中,所述异常集合和所述剩余残差集合的合集为所述残差序列;
确定所述剩余残差集合中的最大值为所述阈值基准值。
具体地,根据历史KPI时间序列的实际值和预测值,计算平均绝对误差、平均绝对百分比误差、对称平均绝对误差、平均绝对比例误差、期望平均绝对百分比误差等各残差指标,生成不同指标的残差序列,能够从不同角度捕获KPI时间序列实际值和预测值之差。
针对各残差指标的残差序列分别进行如下阈值基准值自动获取算法:
不断的将当前残差序列中最大值移到异常集合中,当异常集合和余下残差集合的中心距离足够远,且余下残差集合满足发生异常的比例小于一定的阈值,则认为当前残差指标能够用于异常判定,此时余下残差集合则为正常集合,自动获取正常集合中的最大值,即为确定的阈值基准值。
进一步地,五种残差指标的残差序列分别得到五种阈值基准值,从不同角度确定阈值基准值。
在上述实施例的基础上,步骤S12具体包括:
根据当前KPI时间序列的实际值和预测值计算各残差指标的残差序列;
根据所述残差序列的均值和方差确定所述实时调整基准值,其中,所述实时调整基准值满足:
将所述残差序列中的所有大于所述实时调整基准值的残差从所述残差序列中移出,使得所述残差序列的均值和方差的变化量最大。
具体地,根据当前KPI时间序列的实际值和预测值,计算平均绝对误差、平均绝对百分比误差、对称平均绝对误差、平均绝对比例误差、期望平均绝对百分比误差等各残差指标,生成不同指标的残差序列,能够从不同角度捕获KPI时间序列实际值和预测值之差。
针对各残差指标的残差序列分别计算残差序列的均值和方差,根据均值和方差进行阈值实时调整基准值的启发式算法,该启发式算法的含义为:如果将残差序列中所有大于某一个阈值的残差从该序列中移除,将使得残差序列的均值和方差将发生相对较大的变化,那么该阈值即是最合理的阈值。
进一步地,五种残差指标的残差序列分别得到五种阈值实时调整基准值,从不同角度确定实时调整基准值。
在上述实施例的基础上,所述根据所述残差序列的均值和方差确定所述实时调整基准值包括:
根据所述残差序列的均值和方差确定候选实时调整基准值;
根据所述残差序列的均值和方差的变化量构建目标函数,确定使所述目标函数最大的候选实时调整基准值为最终的实时调整基准值;
所述目标函数为:
Figure BDA0002203188480000071
s.t.
Figure BDA0002203188480000072
Figure BDA0002203188480000073
Figure BDA0002203188480000074
Figure BDA0002203188480000075
其中,
Figure BDA0002203188480000076
为候选实时调整基准值向量,
Figure BDA0002203188480000077
μ为所述残差序列的均值,σ为所述残差序列的方差,
Figure BDA0002203188480000078
为选取实时调整基准值的步长向量;ε为使所述目标函数最大的实时调整基准值;
Figure BDA0002203188480000079
为进行平滑处理后的残差序列,
Figure BDA00022031884800000710
l为计算残差的时间序列窗口长度,t为当前时刻;
所述残差序列
Figure BDA00022031884800000711
中大于所述实时调整基准值的残差组成异常点序列
Figure BDA00022031884800000712
所述异常点序列
Figure BDA00022031884800000713
中连续的异常点组成异常区间序列
Figure BDA00022031884800000714
Figure BDA00022031884800000715
为所述异常点序列
Figure BDA00022031884800000716
中的元素数量,
Figure BDA00022031884800000717
为所述异常区间序列
Figure BDA00022031884800000718
中的元素数量。
具体地,KPI时间序列残差记为
Figure BDA00022031884800000719
采用指数加权移动平均对该残差做平滑,得到平滑后的残差
Figure BDA00022031884800000720
根据残差序列的均值和方差选取一组候选实时调整基准值向量
Figure BDA00022031884800000721
Figure BDA00022031884800000722
Figure BDA00022031884800000723
为选取的步长,取值可为
Figure BDA00022031884800000724
Figure BDA00022031884800000725
中的多个候选实时调整基准值,计算使得上述目标函数最大的候选实时调整基准值即为确定的实时调整基准值。
进一步地,所述目标函数是根据启发式算法的含义,将残差序列中的所有大于所述实时调整基准值的残差从所述残差序列中移出,使得残差序列的均值和方差的变化量最大为目标构建的。
进一步地,
Figure BDA0002203188480000081
表示在将残差序列中所有大于
Figure BDA0002203188480000082
中某一个阈值的残差从该序列中移除后,该残差序列的均值的变化量;
Figure BDA0002203188480000083
表示在将残差序列中所有大于
Figure BDA0002203188480000084
中某一个阈值的残差从该序列中移除后,该残差序列的方差的变化量。
在上述实施例的基础上,所述异常判定阈值的调整公式为:
ths=pε+(1-p)thsem
其中,ths为所述异常判定阈值,ε为所述实时调整基准值,p为ε的权重,thsem为所述阈值基准值。
具体地,其中thsem是依据历史数据集自动计算出来的一个较为稳定的阈值,更具一般性;ε则是依据当前数据,采用启发式算法实时计算出来的调整基准值,更能反映***动态特性。将两者通过一定的权重组合到一起得到最终的异常判定阈值,因而具有更高的准确性。
进一步地,五种残差指标的残差序列分别得到五种异常判定阈值,从不同角度判定异常。
图2示出了本发明又一实施例提供的实时异常检测***中的自适应异常判定方法的流程示意图。
如图2所示,具体包括以下步骤:
根据历史KPI数据计算阈值基准值thsem
根据实时KPI数据计算实时调整基准值ε;
根据阈值基准值thsem和实时调整基准值ε计算最终在线阈值;
根据最终在线阈值进行异常判定。
图3示出了本发明实施例提供的KPI阈值异常判定示意图。
如图3所示,threshold为设定的KPI阈值,超过threshold的区域为异常区域。
图4示出了本发明实施例提供的实时异常检测***中的自适应异常判定装置的结构示意图。
如图4所示,所述装置包括:第一确定单元41、第二确定单元42、调整单元43和判定单元44,其中:
所述第一确定单元41,用于根据历史KPI数据的残差指标确定阈值基准值;
所述第二确定单元42,用于根据当前KPI数据的残差指标确定实时调整基准值;
所述调整单元43,用于根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;
所述判定单元44,用于根据所述异常判定阈值自动进行异常判定。
本发明实施例提供的实时异常检测***中的自适应异常判定装置,通过根据KPI历史数据阈值基准值与实时数据动态阈值调整基准值计算得到异常判定阈值,在异常检测过程中,根据***动态变化自适应调整异常判定阈值,能够自动设定KPI动态阈值,有效反映***实时动态变化引起的异常阈值动态变化,提高异常判定的准确性。
在上述实施例的基础上,所述第一确定单元41包括:
第一计算模块,用于根据历史KPI时间序列的实际值和预测值计算各残差指标的残差序列;
处理模块,用于不断将所述残差序列中的最大值移到异常集合中,直至所述异常集合和剩余残差集合的中心距离大于第一阈值,且所述剩余残差集合对应的异常比例小于第二阈值;其中,所述异常集合和所述剩余残差集合的合集为所述残差序列;
第一确定模块,用于确定所述剩余残差集合中的最大值为所述阈值基准值。
在上述实施例的基础上,所述第一确定单元42包括:
第二计算模块,用于根据当前KPI时间序列的实际值和预测值计算各残差指标的残差序列;
第二确定模块,用于根据所述残差序列的均值和方差确定所述实时调整基准值,其中,所述实时调整基准值满足:
将所述残差序列中的所有大于所述实时调整基准值的残差从所述残差序列中移出,使得所述残差序列的均值和方差的变化量最大。
在上述实施例的基础上,所述第二确定模块包括:
第一确定子模块,用于根据所述残差序列的均值和方差确定候选实时调整基准值;
第二确定子模块,用于根据所述残差序列的均值和方差的变化量构建目标函数,确定使所述目标函数最大的候选实时调整基准值为最终的实时调整基准值;
所述目标函数为:
Figure BDA0002203188480000101
s.t.
Figure BDA0002203188480000102
Figure BDA0002203188480000103
Figure BDA0002203188480000104
Figure BDA0002203188480000105
其中,
Figure BDA0002203188480000106
为候选实时调整基准值向量,
Figure BDA0002203188480000107
μ为所述残差序列的均值,σ为所述残差序列的方差,
Figure BDA0002203188480000108
为选取实时调整基准值的步长向量;ε为使所述目标函数最大的实时调整基准值;
Figure BDA0002203188480000109
为进行平滑处理后的残差序列,
Figure BDA00022031884800001010
l为计算残差的时间序列窗口长度,t为当前时刻;
所述残差序列
Figure BDA00022031884800001011
中大于所述实时调整基准值的残差组成异常点序列
Figure BDA00022031884800001012
所述异常点序列
Figure BDA00022031884800001013
中连续的异常点组成异常区间序列
Figure BDA00022031884800001014
Figure BDA00022031884800001019
为所述异常点序列
Figure BDA00022031884800001016
中的元素数量,
Figure BDA00022031884800001017
为所述异常区间序列
Figure BDA00022031884800001018
中的元素数量。
在上述实施例的基础上,所述异常判定阈值的调整公式为:
ths=pε+(1-p)thsem
其中,ths为所述异常判定阈值,ε为所述实时调整基准值,p为ε的权重,thsem为所述阈值基准值。
本实施例所述的实时异常检测***中的自适应异常判定装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)51、通信接口(Communications Interface)52、存储器(memory)53和通信总线54,其中,处理器51,通信接口52,存储器53通过通信总线54完成相互间的通信。处理器51可以调用存储器53中的逻辑指令,以执行上述各实施例提供的方法。
此外,上述的存储器53中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种实时异常检测***中的自适应异常判定方法,其特征在于,所述方法包括:
根据历史KPI数据的残差指标确定阈值基准值;
根据当前KPI数据的残差指标确定实时调整基准值;
根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;
根据所述异常判定阈值自动进行异常判定。
2.根据权利要求1所述的实时异常检测***中的自适应异常判定方法,其特征在于,所述根据历史KPI数据的残差指标确定阈值基准值包括:
根据历史KPI时间序列的实际值和预测值计算各残差指标的残差序列;
不断将所述残差序列中的最大值移到异常集合中,直至所述异常集合和剩余残差集合的中心距离大于第一阈值,且所述剩余残差集合对应的异常比例小于第二阈值;其中,所述异常集合和所述剩余残差集合的合集为所述残差序列;
确定所述剩余残差集合中的最大值为所述阈值基准值。
3.根据权利要求1所述的实时异常检测***中的自适应异常判定方法,其特征在于,所述根据当前KPI数据的残差指标确定实时调整基准值包括:
根据当前KPI时间序列的实际值和预测值计算各残差指标的残差序列;
根据所述残差序列的均值和方差确定所述实时调整基准值,其中,所述实时调整基准值满足:
将所述残差序列中的所有大于所述实时调整基准值的残差从所述残差序列中移出,使得所述残差序列的均值和方差的变化量最大。
4.根据权利要求3所述的实时异常检测***中的自适应异常判定方法,其特征在于,所述根据所述残差序列的均值和方差确定所述实时调整基准值包括:
根据所述残差序列的均值和方差确定候选实时调整基准值;
根据所述残差序列的均值和方差的变化量构建目标函数,确定使所述目标函数最大的候选实时调整基准值为最终的实时调整基准值;
所述目标函数为:
Figure FDA0002203188470000021
s.t.
Figure FDA0002203188470000022
Figure FDA0002203188470000023
Figure FDA0002203188470000024
Figure FDA0002203188470000025
其中,
Figure FDA0002203188470000026
为候选实时调整基准值向量,
Figure FDA0002203188470000027
μ为所述残差序列的均值,σ为所述残差序列的方差,
Figure FDA0002203188470000028
为选取实时调整基准值的步长向量;ε为使所述目标函数最大的实时调整基准值;
Figure FDA0002203188470000029
为进行平滑处理后的残差序列,
Figure FDA00022031884700000210
l为计算残差的时间序列窗口长度,t为当前时刻;
所述残差序列
Figure FDA00022031884700000211
中大于所述实时调整基准值的残差组成异常点序列
Figure FDA00022031884700000212
所述异常点序列
Figure FDA00022031884700000213
中连续的异常点组成异常区间序列
Figure FDA00022031884700000214
Figure FDA00022031884700000215
为所述异常点序列
Figure FDA00022031884700000216
中的元素数量,
Figure FDA00022031884700000217
为所述异常区间序列
Figure FDA00022031884700000218
中的元素数量。
5.根据权利要求1所述的实时异常检测***中的自适应异常判定方法,其特征在于,所述异常判定阈值的调整公式为:
ths=pε+(1-p)thsem
其中,ths为所述异常判定阈值,ε为所述实时调整基准值,p为ε的权重,thsem为所述阈值基准值。
6.根据权利要求1所述的实时异常检测***中的自适应异常判定方法,其特征在于,所述残差指标包括:
平均绝对误差、平均绝对百分比误差、对称平均绝对误差、平均绝对比例误差和期望平均绝对百分比误差中的一个或至少两个的任意组合。
7.根据权利要求2-4任一项所述的实时异常检测***中的自适应异常判定方法,其特征在于,所述残差序列包括:平均绝对误差序列、平均绝对百分比误差序列、对称平均绝对误差序列、平均绝对比例误差序列和期望平均绝对百分比误差序列中的一个或至少两个的任意组合。
8.一种实时异常检测***中的自适应异常判定装置,其特征在于,所述装置包括:
第一确定单元,用于根据历史KPI数据的残差指标确定阈值基准值;
第二确定单元,用于根据当前KPI数据的残差指标确定实时调整基准值;
调整单元,用于根据所述阈值基准值和所述实时调整基准值自适应调整异常判定阈值;
判定单元,用于根据所述异常判定阈值自动进行异常判定。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述实时异常检测***中的自适应异常判定方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述实时异常检测***中的自适应异常判定方法的步骤。
CN201910872258.3A 2019-09-16 2019-09-16 实时异常检测***中的自适应异常判定方法和装置 Active CN112508316B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910872258.3A CN112508316B (zh) 2019-09-16 2019-09-16 实时异常检测***中的自适应异常判定方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910872258.3A CN112508316B (zh) 2019-09-16 2019-09-16 实时异常检测***中的自适应异常判定方法和装置

Publications (2)

Publication Number Publication Date
CN112508316A true CN112508316A (zh) 2021-03-16
CN112508316B CN112508316B (zh) 2023-08-08

Family

ID=74923872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910872258.3A Active CN112508316B (zh) 2019-09-16 2019-09-16 实时异常检测***中的自适应异常判定方法和装置

Country Status (1)

Country Link
CN (1) CN112508316B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113099476A (zh) * 2021-05-13 2021-07-09 中国联合网络通信集团有限公司 网络质量检测方法、装置、设备及存储介质
CN113380008A (zh) * 2021-05-12 2021-09-10 四川新网银行股份有限公司 一种基于命中数和命中率的动态阈值调整方法
CN114978956A (zh) * 2022-04-11 2022-08-30 北京邮电大学 智慧城市网络设备性能异常突变点检测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014001947A1 (en) * 2012-06-28 2014-01-03 Koninklijke Philips N.V. A method of estimating the position of a device and an apparatus implementing the same
CN107832855A (zh) * 2017-09-14 2018-03-23 北京中恒博瑞数字电力科技有限公司 基于相关性分析的线损多源诊断方法及***
CN108460144A (zh) * 2018-03-14 2018-08-28 西安华光信息技术有限责任公司 一种基于机器学习的煤炭设备故障预警***及方法
CN109213654A (zh) * 2018-07-05 2019-01-15 北京奇艺世纪科技有限公司 一种异常检测方法及装置
WO2019012726A1 (en) * 2017-07-14 2019-01-17 Kabushiki Kaisha Toshiba ANOMALY DETECTION DEVICE, ANOMALY DETECTION METHOD, AND NON-TRANSIENT COMPUTER READABLE MEDIUM

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014001947A1 (en) * 2012-06-28 2014-01-03 Koninklijke Philips N.V. A method of estimating the position of a device and an apparatus implementing the same
WO2019012726A1 (en) * 2017-07-14 2019-01-17 Kabushiki Kaisha Toshiba ANOMALY DETECTION DEVICE, ANOMALY DETECTION METHOD, AND NON-TRANSIENT COMPUTER READABLE MEDIUM
CN107832855A (zh) * 2017-09-14 2018-03-23 北京中恒博瑞数字电力科技有限公司 基于相关性分析的线损多源诊断方法及***
CN108460144A (zh) * 2018-03-14 2018-08-28 西安华光信息技术有限责任公司 一种基于机器学习的煤炭设备故障预警***及方法
CN109213654A (zh) * 2018-07-05 2019-01-15 北京奇艺世纪科技有限公司 一种异常检测方法及装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113380008A (zh) * 2021-05-12 2021-09-10 四川新网银行股份有限公司 一种基于命中数和命中率的动态阈值调整方法
CN113380008B (zh) * 2021-05-12 2022-07-08 四川新网银行股份有限公司 一种基于命中数和命中率的动态阈值调整方法
CN113099476A (zh) * 2021-05-13 2021-07-09 中国联合网络通信集团有限公司 网络质量检测方法、装置、设备及存储介质
CN114978956A (zh) * 2022-04-11 2022-08-30 北京邮电大学 智慧城市网络设备性能异常突变点检测方法及装置
CN114978956B (zh) * 2022-04-11 2024-04-09 北京邮电大学 智慧城市网络设备性能异常突变点检测方法及装置

Also Published As

Publication number Publication date
CN112508316B (zh) 2023-08-08

Similar Documents

Publication Publication Date Title
CN111652496B (zh) 基于网络安全态势感知***的运行风险评估方法及装置
CN112508316A (zh) 实时异常检测***中的自适应异常判定方法和装置
CN112162878B (zh) 数据库故障发现方法、装置、电子设备及存储介质
CN109544399B (zh) 基于多源异构数据的输电设备状态评价方法及装置
CN111342988B (zh) 一种基于态势感知的网络安全预警方法及装置
CN109617868B (zh) 一种ddos攻击的检测方法、装置及检测服务器
CN114978956B (zh) 智慧城市网络设备性能异常突变点检测方法及装置
CN111126631A (zh) 网络健康判定方法及装置
CN115878171A (zh) 中间件配置的优化方法、装置、设备及计算机存储介质
CN114301803B (zh) 网络质量检测方法、装置、电子设备及存储介质
CN106228280A (zh) 电网运行监控信息辨识分类***
CN114363212B (zh) 一种设备检测方法、装置、设备和存储介质
CN110532485B (zh) 基于多源数据融合的用户行为检测方法及装置
CN109894475B (zh) 一种冷轧连退设备劣化趋势预警方法及装置
CN111431937A (zh) 工业网络异常流量的检测方法及***
Elnour et al. A Machine Learning Based Framework for Real-Time Detection and Mitigation of Sensor False Data Injection Cyber-Physical Attacks in Industrial Control Systems
CN108073464A (zh) 一种基于速度和加速度的时序数据异常点检测方法及装置
CN117097541A (zh) Api服务攻击检测方法、装置、设备和存储介质
CN116755974A (zh) 云计算平台运维方法、装置、电子设备及存储介质
KR20210046423A (ko) 머신러닝 기반 보안관제 장치 및 방법
CN111158338A (zh) 一种基于主成分分析的化工风险监测方法
CN116545867A (zh) 一种监控通信网络网元性能指标异常的方法及装置
CN115796582A (zh) 基于多维数据的运行风险评估方法及装置
CN113656452A (zh) 调用链指标异常的检测方法、装置、电子设备及存储介质
CN111866924B (zh) 性能指标监控方法、装置、计算设备及计算机存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant