CN115080292A - 一种异常检测的方法及装置 - Google Patents

一种异常检测的方法及装置 Download PDF

Info

Publication number
CN115080292A
CN115080292A CN202210705571.XA CN202210705571A CN115080292A CN 115080292 A CN115080292 A CN 115080292A CN 202210705571 A CN202210705571 A CN 202210705571A CN 115080292 A CN115080292 A CN 115080292A
Authority
CN
China
Prior art keywords
data
data set
historical
detected
historical data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210705571.XA
Other languages
English (en)
Inventor
王美娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinhuasan Artificial Intelligence Technology Co ltd
Original Assignee
Xinhuasan Artificial Intelligence Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinhuasan Artificial Intelligence Technology Co ltd filed Critical Xinhuasan Artificial Intelligence Technology Co ltd
Priority to CN202210705571.XA priority Critical patent/CN115080292A/zh
Publication of CN115080292A publication Critical patent/CN115080292A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2462Approximate or statistical queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Probability & Statistics with Applications (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本说明书公开了一种异常检测的方法及装置,该异常检测的方法包括:获取待检测数据,将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有所述历史数据集中至少部分的历史数据,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数,根据所述目标分布参数,对所述待检测数据进行异常检测。

Description

一种异常检测的方法及装置
技术领域
本说明书涉及异常检测技术领域,尤其涉及一种异常检测的方法及装置。
背景技术
诸如路由器、路由交换机等边缘设备通常用于向核心网络提供入口点,而为了保证边缘设备能够提供稳定的入口点,在其运行的过程中通常需要根据自身产生的数据进行异常检测,而由于边缘设备自身的配置有限,无法像服务器一样提供大量的算力,因此就需要结合边缘设备自身的性能来进行异常检测。
然而目前所采用的边缘设备的异常检测方法中,每采集到一个新的数据,都需要对包含有该数据的数据集中所有数据对应的分布参数进行计算,这样在每次对新的数据进行异常检测时都需要较大的计算量,尤其是当数据集对应的数据量较大时,这种计算方法的计算量也会随之增长,严重影响了异常检测的效率。
因此,如何降低异常检测时的计算量,提高异常检测的效率,是一个亟待解决的问题。
发明内容
本说明书提供一种异常检测的方法及装置,以部分的解决现有技术存在的上述问题。
本说明书采用下述技术方案:
本说明书提供了一种异常检测的方法,所述方法应用于边缘设备,包括:
获取待检测数据;
将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有所述历史数据集中至少部分的历史数据;
根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数;
根据所述目标分布参数,对所述待检测数据进行异常检测。
可选地,将所述待检测数据填加至历史数据集中,得到更新后数据集,具体包括:
当获取到N个待检测数据时,将N个待检测数据填加至所述历史数据集的同时,按照历史数据对应采样时刻从前到后的顺序,从所述历史数据集中删除前N个的历史数据,得到更新后数据集,N为正整数;
根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,具体包括:
根据所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史分布参数进行调整。
可选地,所述历史分布参数包括:所述历史数据集中包含的各历史数据的平均值,所述历史数据集中包含的各历史数据的标准差中的至少一种;
所述目标分布参数包括:所述更新后数据集中包含的各数据的平均值,所述更新后数据集中包含的各数据的标准差中的至少一种;
可选地,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,具体包括:
根据所述历史数据集中包含的各历史数据的平均值、所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史数据集中包含的各历史数据的平均值进行调整,得到所述更新后数据集中包含的各数据的平均值。
可选地,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,具体包括:
根据所述更新后数据集中包含的各数据的平均值、所述历史数据集中包含的各历史数据的平均值、所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史数据集中包含的各历史数据的标准差进行调整,得到所述更新后数据集中包含的各数据的标准差;
根据所述目标分布参数,对所述待检测数据进行异常检测,具体包括:
根据所述更新后数据集中包含的各数据的平均值以及所述更新后数据集中包含的各数据的标准差,对所述待检测数据进行异常检测。
可选地,根据所述目标分布参数,对所述待检测数据进行异常检测,具体包括:
确定所述待检测数据与所述更新后数据集中包含的各数据的平均值之间的偏差;
若所述偏差在基于更新后数据集对应的标准差所确定出的正常数据范围外,则确定所述待检测数据为异常数据。
本说明书提供了一种异常检测的装置,包括:
获取模块,获取待检测数据;
填加模块,将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有所述历史数据集中至少部分的历史数据;
调整模块,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数;
检测模块,根据所述目标分布参数,对所述待检测数据进行异常检测。
可选地,所述填加模块具体用于,当获取到N个待检测数据时,将N个待检测数据填加至所述历史数据集的同时,按照历史数据对应采样时刻从前到后的顺序,从所述历史数据集中删除前N个的历史数据,得到更新后数据集,N为正整数;
所述调整模块具体用于,根据所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史分布参数进行调整。
本说明书提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述异常检测的方法。
本说明书提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述异常检测的方法。
本说明书采用的上述至少一个技术方案能够达到以下有益效果:
在本说明书提供的异常检测的方法中,会将获取到的待检测数据,填加到历史数据集中,而后通过该待检测数据对预先存储的该历史数据集对应的历史分布参数进行调整,从而得到目标分布参数,并将该分布参数作为,更新后数据集对应的分布参数,进而根据该目标分布参数,对待检测数据进行异常检测。
从上述方法可以看出,本方案在确定目标数据集的分布参数时,会根据历史数据集的分布参数以及待检测数据来进行确定,在此过程中,历史数据集和目标数据集中存在一部分共有的数据,由于在计算历史数据集的分布参数时已经对这部分共有的数据进行了计算,所以在确定目标数据集对应的分布参数时,并不会对这一部分共有的数据进行重复的计算,相比于现有方案每次获得新的待检测数据时都会对数据集中包含的所有数据进行计算才能获得分布参数,本方案显著的降低了异常检测过程中的计算量,进一步提高了异常检测的效率。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本说明书中提供的一种异常检测的方法的流程示意图;
图2为本说明书中提供的一种历史数据集的更新方法示意图;
图3为本说明书中提供的一种异常检测的流程示意图;
图4为本说明书中提供的一种异常检测的装置的示意图;
图5为本说明书中提供的一种对应于图1的电子设备示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书中提供的一种异常检测的方法的流程示意图,包括以下步骤:
S101:获取待检测数据。
在诸如路由器、路由交换机等用于向核心网络提供入口点的边缘设备,对自身产生的数据进行异常检测时,由于这些设备自身的配置(如内存、处理器等)有限,无法像服务器一样通过各种异常检测算法或者异常检测模型来确定出异常数据,因此,就需要这些设备结合自身的性能,来对生成的数据进行异常检测。
在实际应用中,由于上述设备的数据在数值上的分布方式通常会服从正态分布,而异常数据的数值通常会与其他大部分数据存在明显的差异,因此,在上述设备进行异常检测的过程中,该设备可以通过计算一定时间内采集到的各数据的分布参数(如数据的平均值、标准差、相关系数等)来确定出这段时间内数据的分布情况,进而判断待检测数据是否为异常数据。
基于此,本说明书提供了一种异常检测的方法,其中,需要获取待检测数据,该待检测数据可以为设备本身的处理器利用率、网络延迟大小、数据吞吐量、带宽利用率等数据,当然也可以为其他类型的数据,本说明书对此不做具体限定。
另外,本说明书中用于异常检测的执行主体可以为诸如路由器、路由交换机、集成接入设备((Integrated Access Device,IAD)、多路复用器等边缘设备,当然,也可以为服务器或者其他设备,为了便于描述,本说明仅以上述边缘设备是执行主体为例,对本说明书提供的异常检测的方法进行说明。
S102:将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有至少部分所述历史数据集中的历史数据。
由于设备进行异常检测的过程中,需要充足的数据才能提取到更多有效信息从而进行异常检测,用于异常检测的数据越多,数据的分布形式也就会越明显,这样根据该分布形式确定出的异常数据也就会越准确。而每当采集到新的数据时,都会将该数据作为待检测数据,填加至对历史采样时刻的数据进行异常检测时对应的历史数据集中,以对该历史数据集进行更新,从而得到更新后数据集。
此外,在实际应用中,由于历史数据集中的每一个历史数据都对应有相应的采样时刻,所以该历史数据集中的历史数据也可以通过带有时间戳的数据序列的方式进行存储。
为了防止由于数据的不断增加使异常检测的数据集不断增大,进而导致异常检测时的数据量过大从而占用较多的设备资源(如内存容量、处理器占用量等),在实际应用中,每次异常检测时的数据集都会对应有一个固定的周期,也就是说,每次生成的目标数据集中都会包含有固定周期内各采样时刻对应的数据,这样就能使每次进行异常检测时,数据序列的长度固定,相应的,数据集中数据的个数也是固定的。其中,该周期的大小可以根据实际情况进行设定,本说明书对此不做具体限定。
以上述周期是一天(即24小时)为例,则每个数据集中都会包含有24小时内各采样时刻对应的数据,若该数据集中最后一个采样时刻对应的数据是当天的23时采集到的,且每一个小时进行一次采样,则该数据集中包含的数据即为0时、1时、2时……23时共24个小时对应的数据。
在该设备获取到待检测数据后,可以将该待检测数据填加到上一采样时刻对应的历史数据集中,由于每一个数据集的长度相同,因此,当在上述历史数据集中加入待检测数据后,该设备可以根据该历史数据集中各历史数据对应采样时刻的先后顺序,从历史数据集的起始采样时刻开始,删除与待检测数据相同数量的历史数据,从而对历史数据集进行更新,得到更新后数据集。
当获取到N个待检测数据时,将N个待检测数据填加至该历史数据集的同时,按照历史数据对应采样时刻从前到后的顺序,从历史数据集中删除前N个的历史数据,从而得到更新后数据集,其中,这里的N为正整数。
需要说明的是,得到更新后数据集的过程实际是通过待检测数据对历史数据集中起始采样时刻开始的部分历史数据进行替换,但是在此过程中,历史数据集中会存在有一部分未被替换数据,作为共有数据在更新后数据集中出现,也就是说,更新后数据集中会包含有至少部分历史数据集中的历史数据。
其中,这部分历史数据集中的历史数据的数量,会远多于待检测数据的数量,使得待检测数据的数量与从历史数据集中删除的历史数据的数量之和少于历史数据集与更新后数据集中这部分共有历史数据的数量,这样在计算目标分布参数的过程中,才能够减小计算量。
还以指定周期为24小时为例,若历史数据集中的历史数据为前一天0时~23时对应的历史数据,当该设备获取到当天0时对应的待检测数据后,该设备可以将当天0时对应的待检测数据填加至上述历史数据集中,并将该历史数据集中前一天0时对应的历史数据进行删除,从而得到包含有前一天1时~当天0时共24小时对应数据的数据集,作为更新后数据集。
为了便于理解,本说明书还提供了一种历史数据集的更新方法示意图,如图2所示。
图2为本说明书中提供的一种历史数据集的更新方法示意图。
从图中可以看出,历史数据集与更新后数据集中会存在有一部分共有数据(即图中B部分对应的数据),当加入待检测数据C时,会删除与该待检测数据C相同数量的历史数据A,以保证历史数据集与更新后数据集的大小相同,其中,共有数据B的数量要大于待检测数据C与历史数据A之和。
在实际应用中,进行异常检测时的待检测数据可以为在一个采样时刻采集到的一个数据,当然,也可以为在多个采样时刻采集到的多个数据,待检测数据的数量可以根据实际情况进行设定,本说明书对此不做具体限定。
例如,当数据序列的长度(即数据集中数据点的个数)为H时,若待检测数据C的数量为N时,相应的,被删除的历史数据A的数量也为N,则历史数据集与更新后数据集中共有数据的数量为H-N。
S103:根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数。
通常情况下,当设备第一次启动并运行时,由于此时生成的数据量较少,无法通过这些数据准确的判断出数据的整体分布形式,所以也就无法确定出异常数据,因此在这种情况下,为了防止对异常数据进行误判断,该设备往往不会立即对数据进行异常检测,而是会先对数据进行采集并存储,直至采集到一个完整的周期内的数据后(即第一个数据序列达到指定长度后),当设备采集到新的数据时,才会将该新的数据作为待检测数据,并根据存储的这一个指定周期内的历史数据确定出相应的分布参数,进而对新生成的待检测数据进行异常检测。
当然,该设备也可以先采集并存储多个指定周期内的历史数据,而后根据这多个周期内的历史数据对应的历史分布参数对新生成的待检测数据进行异常检测。
在本说明书中,该分布参数可以包含有历史数据集中包含的各历史数据的平均值以及历史数据集中包含的各历史数据的标准差中的至少一种,相应的,目标分布参数也会包括:更新后数据集中包含的各数据的平均值,更新后数据集中包含的各数据的标准差中的至少一种,关于目标分布参数将在下文进行详细描述,在此处不做过多赘述。
当然,历史分布参数中也可以包括诸如各历史数据集中包含的各历史数据的中位数、众数、相关系数等,本说明书对此不做具体限定。
当历史数据集恰好是设备第一次启动时存储的第一个周期对应的历史数据集,该历史数据集中各历史数据的平均值可以通过如下公式进行计算:
Figure BDA0003705174550000091
其中,xmean_0为该历史数据集中包含的各历史数据的平均值,N为该历史数据集中历史数据的个数(即历史数据序列的长度),
Figure BDA0003705174550000092
为该历史数据集中各历史数据的总和。
确定出该历史数据集对应的平均值后,该设备还可以根据该平均值确定出该历史数据集中包含的各历史数据的标准差,该标准差可以通过如下公式进行计算:
Figure BDA0003705174550000093
其中,xstd_0为该历史数据集中包含的各历史数据的标准差,
Figure BDA0003705174550000094
表示历史数据xi与该历史数据集中各历史数据的平均值xmean_0之间的差值。
确定出上述历史数据集中各历史数据的平均值以及各历史数据的标准差后,该设备可以将该历史数据集中各历史数据的平均值以及该历史数据集中各历史数据的标准差进行存储,以用于对下一采样时刻对应的待检测数据进行异常检测。
由于在根据待检测数据对历史数据集的历史分布参数进行调整时,会通过该待检测数据替换掉相同数量的历史数据,在此过程中,历史数据集和更新后数据集中还会存在有一部分共有数据(如图2中B部分对应的数据),因此,该设备可以通过这部分共有数据,以及从历史数据集中删除的历史数据,来对历史数据集对应的平均值(即历史数据集中包含的各历史数据的平均值)进行拆分,则历史数据集对应的平均值可以通过如下公式进行表示:
Figure BDA0003705174550000101
其中,∑A为从历史数据集中删除的历史数据(如图2中A部分对应的数据),∑B则为历史数据集与更新后数据集中的共有数据。
需要说明的是,这里的历史数据集中包含的各历史数据的平均值的拆分方式适用于包括第一个周期对应历史数据集以内的任意一个历史数据集。
此外,该设备也可以通过上述共有数据以及待检测数据,对更新后数据集中包含的各数据的平均值进行拆分,则该更新后数据集对应的平均值可以通过如下公式进行表示:
Figure BDA0003705174550000102
其中,xmean_1为更新后数据集对应的平均值,∑C为待检测数据(即图2中C部分对应的数据)。
通过上述拆分后的公式可以看出,计算更新后数据集中包含的各数据的平均值时,还需要对共有数据B再一次的进行计算,在实际应用中,共有数据B的数量通常较大,如果重新对这部分共有数据进行计算,则每次异常检测时都需要较大的计算量。
因此,该设备可以通过将上述两个公式进行合并,从而根据待检测数据以及从历史数据集中删除的历史数据,对历史数据集对应的平均值进行调整,从而得到更新后数据集中包含的各数据的平均值,以降低计算量,优选地,更新后数据集中包含的各数据的平均值可以通过如下公式进行计算:
Figure BDA0003705174550000103
从该公式中可以看出,在计算更新后数据集中包含的各数据的平均值,并不会对之前已经计算过的共有数据再一次进行计算,当待检测数据的数量为1时,无论更新后数据集中包含有多少个数据,通过该公式都只需要进行一次加法以及一次减法的运算,极大地减小了异常检测时的计算量。
相应的,在计算历史数据集对应的标准差(即历史数据集中包含的各历史数据的标准差)时,也可以对该标准差公式进行拆分,该标准差可以通过如下公式进行表示:
Figure BDA0003705174550000111
需要说明的是,这里的标准差的拆分方式适用于包括第一个周期对应历史数据集以内的任意一个历史数据集。
同样的,更新后数据集中包含的各数据的标准差也可以通过如下公式进行拆分:
Figure BDA0003705174550000112
其中,xstd_1为更新后数据集中包含的各数据的标准差。
从上述公式可以看出,在计算更新后数据集中包含的各数据的标准差过程中也会对之前已经计算过的共有数据B再一次进行计算,并且在计算标准差时涉及到的平方运算会进一步增大计算量。
因此,该设备可以将上述两个公式进行合并,根据历史数据集中包含的各历史数据的标准差、更新后数据集中包含的各数据的标准差、待检测数据以及从历史数据集中删除的历史数据,对该历史数据集集中包含的各历史数据的标准差进行调整,从而得到更新后数据集中包含的各数据的标注差,以避免对共有数据B的重复计算,进而降低计算量,优选地,将上述两个公式合并后的更新后数据集中包含的各数据的标准差的计算公式可以为:
Figure BDA0003705174550000113
从该公式中可以看出,在通过该公式计算更新后数据集对应的标准差时,并不会对已经计算过的共有数据进行重复的计算,进一步的简化了计算步骤,极大的缩减了计算量。
并且,除了对第一个周期对应的数据集的分布参数进行计算以外,每次对更新后数据集的分布参数进行计算时,不管更新后数据集的长度N有多大,计算次数都是固定的。
需要说明的是,上述仅是以第一个周期对应的数据集作为历史数据集为例,对本说明书提供的异常检测的方法进行说明,而在积累满第一个周期对应的历史数据之后,每一次确定待检测数据对应更新后数据集的分布参数时,都可以通过上一采样时刻对应的历史数据集的历史分布参数来进行确定,而由于并不会对第一个周期对应的数据进行异常检测,所以在异常检测的过程中时,都可以通过上述方法来对新生成的待检测数据进行异常检测。
当然,在本说明书中,该设备将待检测数据填加至历史数据集后,也可以不在历史数据集中删除对应数量的历史数据,从而得到更新后数据集,并根据该待检测数据,对预先存储的上述历史数据集对应的历史分布参数进行调整,从而得到目标分布参数,需要说明的是,由于这里没有在历史数据中删除对应数量的历史数据,所以历史分布参数对应历史数据的数量度会随着待检测数据数量的增加而不断增加。
S104:根据所述目标分布参数,对所述待检测数据进行异常检测。
确定更新后数据集对应的目标分布参数后,该设备可以根据该目标分布参数,对待检测数据进行异常检测。
具体的,当目标分布参数为更新后数据集中各数据的平均值以及标准差时,该设备可以先确定待检测数据与该平均值之间的偏差,而后根据该偏差与更新后数据集中包含的各数据的标准差进行比较,若该偏差在基于更新后数据集对应的标准差所确定出的正常数据范围外,则说明该待检测数据为异常数据。
在实际应用中,通常会有68.2%的数据与更新后数据集对应的平均值之间的偏差在1倍的标准差范围内,有95.4%的数据与更新后数据集对应的平均值之间的偏差在2倍的标准差范围内,而有99.7%的数据与更新后数据集对应的平均值之间的偏差在3倍的标准差范围内,这就说明了与更新后数据集对应的平均值之间的偏差在3倍的标准差范围外的数据出现的概率较小,仅为0.3%,因此与更新后数据集对应的平均值之间的偏差在3倍的标准差范围外的数据通常会为异常数据,因此,当待检测数据与更新后数据集对应的平均值之间的偏差大于3倍的更新后数据集中包含的各数据的标准差时,则可以认为该待检测数据为异常数据。
当然,在本说明书中,该设备也可以将与更新后数据集对应的平均值之间的偏差在其他倍数更新后数据集中包含的各数据的标准差范围之外的待检测数据,确定为异常数据,本说明书对此不做具体限定。
此外,该设备还可以确定待检测数据与诸如中位数、众数等其他分布参数之间的偏差,并根据该偏差与更新后数据集中包含的各数据的标准差,对该待检测数据进行异常检测。
为了便于理解,本说明书还提供了一种异常检测的流程示意图,如图3所示。
图3为本说明书提供的一种异常检测的流程示意图。
其中,当历史数据集中的数据以数据序列的形式进行存储时,该设备会预先存储对上一个待检测数据进行异常检测时该采样时刻对应历史数据序列的平均值以及标准差(即历史数据集中包含的各历史数据的平均值及标准差),当获取到待检测数据以后,会通过待检测数据对上述历史数据序列进行更新,从而得到更新后数据序列,而后该设备会根据预先存储的上述历史数据序列对应的平均值和标准差,以及待检测数据,确定更新后数据序列对应的平均值以及标准差,当待检测数据与上述更新后数据序列对应的平均值之间的偏差大于3倍的更新后数据序列对应的标准差时,则确定待检测数据为异常数据,而当待检测数据与更新后数据集对应的平均值之间的偏差小于3倍的更新后数据序列对应的标准差时,则确定待检测数据为非异常数据。
此外,当该设备确定出当前采样时刻采集到的待检测数据为异常数据时,可以向用户发送异常通知,如发出相应的提示音、开启相应的指示灯等,当然,该设备也可以将该异常通知反馈给服务器,并通过服务器,将该异常通知以诸如短信、即时通讯(InstantMessaging,IM)等形式,发送给用户。
现有方案在确定待检测数据对应数据集的分布参数时,每次对数据集进行更新后都会对该数据集中包含的所有数据进行计算,不管这些数据是否在上次异常检测时已经被计算过,以该分布参数为数据的平均值为例,当使用一周的数据进行检测时,假设每5分钟对数据进行一次采样,则一周内就会生成包含有2016个数据点的数据集,而每次进行对数据集对应的平均值进行计算时,则共需要进行2015次加法运算以及1次除法的运算。
而本方案中由于已经对上一采样时刻对应历史数据集的平均值进行了存储,所以并不会再对之间已经计算过的数据进行再一次计算,也就是说,当生成一个新的数据时,在对该新的数据进行异常检测过程中只需要对从上一个历史数据集中删除的数据、该新的待检测数据,以及预先存储的上一个历史数据集对应的平均值进行计算,该过程中只会涉及到1次加法、1次减法以及2次除法,并不需要重复之前已经对共有数据进行的2014次加法运算,在计算标准差以及其他分布参数的情况下,本方案能够进一步降低设备的运算量,提高异常检测的效率。
以上为本说明书的一个或多个实施异常检测的方法,基于同样的思路,本说明书还提供了相应的异常检测的装置,如图4所示。
图4为本说明书提供的一种异常检测的装置的示意图,包括:
获取模块401,获取待检测数据;
填加模块402,将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有所述历史数据集中至少部分的历史数据;
调整模块403,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数;
检测模块404,根据所述目标分布参数,对所述待检测数据进行异常检测。
可选地,所述填加模块402具体用于,当获取到N个待检测数据时,将N个待检测数据填加至所述历史数据集的同时,按照历史数据对应采样时刻从前到后的顺序,从所述历史数据集中删除前N个的历史数据,得到更新后数据集,N为正整数;
所述调整模块403具体用于,根据所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史分布参数进行调整。
可选地,所述历史分布参数包括:所述历史数据集中包含的各历史数据的平均值,所述历史数据集中包含的各历史数据的标准差中的至少一种;所述目标分布参数包括:所述更新后数据集中包含的各数据的平均值,所述更新后数据集中包含的各数据的标准差中的至少一种;
可选地,所述调整模块403具体用于,根据所述历史数据集中包含的各历史数据的平均值、所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史数据集中包含的各历史数据的平均值进行调整,得到所述更新后数据集中包含的各数据的平均值。
可选地,所述调整模块403具体用于,根据所述更新后数据集中包含的各数据的平均值、所述历史数据集中包含的各历史数据的平均值、所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史数据集中包含的各历史数据的标准差进行调整,得到所述更新后数据集中包含的各数据的标准差;
所述检测模块404具体用于,根据所述更新后数据集中包含的各数据的平均值以及所述更新后数据集中包含的各数据的标准差,对所述待检测数据进行异常检测。
可选地,所述检测模块404具体用于,确定所述待检测数据与所述更新后数据集中包含的各数据的平均值之间的偏差;若所述偏差在基于更新后数据集对应的标准差所确定出的正常数据范围外,则确定所述待检测数据为异常数据。
本说明书还提供了一种计算机可读存储介质,该存储介质存储有计算机程序,计算机程序可用于执行上述图1提供的一种异常检测的方法。
本说明书还提供了图5所示的一种对应于图1的电子设备的示意结构图。如图5所述,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1所述的异常检测的方法。当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字***“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、***、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、***或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (10)

1.一种异常检测的方法,其特征在于,所述方法应用于边缘设备,包括:
获取待检测数据;
将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有所述历史数据集中至少部分的历史数据;
根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数;
根据所述目标分布参数,对所述待检测数据进行异常检测。
2.如权利要求1所述的方法,其特征在于,将所述待检测数据填加至历史数据集中,得到更新后数据集,具体包括:
当获取到N个待检测数据时,将N个待检测数据填加至所述历史数据集的同时,按照历史数据对应采样时刻从前到后的顺序,从所述历史数据集中删除前N个的历史数据,得到更新后数据集,N为正整数;
根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,具体包括:
根据所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史分布参数进行调整。
3.如权利要求1所述的方法,其特征在于,所述历史分布参数包括:所述历史数据集中包含的各历史数据的平均值,所述历史数据集中包含的各历史数据的标准差中的至少一种;
所述目标分布参数包括:所述更新后数据集中包含的各数据的平均值,所述更新后数据集中包含的各数据的标准差中的至少一种。
4.如权利要求3所述的方法,其特征在于,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,具体包括:
根据所述历史数据集中包含的各历史数据的平均值、所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史数据集中包含的各历史数据的平均值进行调整,得到所述更新后数据集中包含的各数据的平均值。
5.如权利要求3或4所述的方法,其特征在于,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,具体包括:
根据所述更新后数据集中包含的各数据的平均值、所述历史数据集中包含的各历史数据的平均值、所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史数据集中包含的各历史数据的标准差进行调整,得到所述更新后数据集中包含的各数据的标准差;
根据所述目标分布参数,对所述待检测数据进行异常检测,具体包括:
根据所述更新后数据集中包含的各数据的平均值以及所述更新后数据集中包含的各数据的标准差,对所述待检测数据进行异常检测。
6.如权利要求3所述的方法,其特征在于,根据所述目标分布参数,对所述待检测数据进行异常检测,具体包括:
确定所述待检测数据与所述更新后数据集中包含的各数据的平均值之间的偏差;
若所述偏差在基于更新后数据集对应的标准差所确定出的正常数据范围外,则确定所述待检测数据为异常数据。
7.一种异常检测的装置,其特征在于,包括:
获取模块,获取待检测数据;
填加模块,将所述待检测数据填加至历史数据集中,得到更新后数据集,其中,所述更新后数据集中包含有所述历史数据集中至少部分的历史数据;
调整模块,根据所述待检测数据,对预先存储的所述历史数据集对应的历史分布参数进行调整,得到目标分布参数,并将所述目标分布参数作为所述更新后数据集对应的分布参数;
检测模块,根据所述目标分布参数,对所述待检测数据进行异常检测。
8.如权利要求7所述的装置,其特征在于,所述填加模块具体用于,当获取到N个待检测数据时,将N个待检测数据填加至所述历史数据集的同时,按照历史数据对应采样时刻从前到后的顺序,从所述历史数据集中删除前N个的历史数据,得到更新后数据集,N为正整数;
所述调整模块具体用于,根据所述待检测数据,以及从所述历史数据集中删除的历史数据,对所述历史分布参数进行调整。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1~6任一项所述的方法。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述权利要求1~6任一项所述的方法。
CN202210705571.XA 2022-06-21 2022-06-21 一种异常检测的方法及装置 Pending CN115080292A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210705571.XA CN115080292A (zh) 2022-06-21 2022-06-21 一种异常检测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210705571.XA CN115080292A (zh) 2022-06-21 2022-06-21 一种异常检测的方法及装置

Publications (1)

Publication Number Publication Date
CN115080292A true CN115080292A (zh) 2022-09-20

Family

ID=83254563

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210705571.XA Pending CN115080292A (zh) 2022-06-21 2022-06-21 一种异常检测的方法及装置

Country Status (1)

Country Link
CN (1) CN115080292A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117930742A (zh) * 2024-03-21 2024-04-26 山西坚科控制技术有限公司 一种基于plc的自动控制***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117930742A (zh) * 2024-03-21 2024-04-26 山西坚科控制技术有限公司 一种基于plc的自动控制***
CN117930742B (zh) * 2024-03-21 2024-05-31 山西坚科控制技术有限公司 一种基于plc的自动控制***

Similar Documents

Publication Publication Date Title
CN107391526B (zh) 一种基于区块链的数据处理方法及设备
CN107577694B (zh) 一种基于区块链的数据处理方法及设备
US10860453B2 (en) Index anomaly detection method and apparatus, and electronic device
CN107577697B (zh) 一种数据处理方法、装置及设备
CN108243032B (zh) 一种服务等级信息的获取方法、装置及设备
CN110635962B (zh) 用于分布式***的异常分析方法及装置
CN110378400B (zh) 一种用于图像识别的模型训练方法及装置
CN111461775B (zh) 事件对业务量的影响的确定方法及装置
CN112860968A (zh) 一种异常检测的方法以及装置
CN110263050B (zh) 数据处理方法、装置、设备及存储介质
CN113992525A (zh) 一种应用的容器数量调节方法及装置
CN115080292A (zh) 一种异常检测的方法及装置
CN109922212B (zh) 一种时段话务量占比的预测方法及装置
CN110134219B (zh) 应用程序后台耗电处理方法及装置
CN109582388B (zh) 一种参数配置方法、装置及设备
CN116048977B (zh) 一种基于数据还原的测试方法及装置
CN110780820A (zh) 一种连续存储空间确定方法、装置及电子设备和存储介质
CN113902356B (zh) 区域流量数据分析方法及装置
CN111918315A (zh) 基站退服原因分析方法及装置、设备、存储介质
CN107368281B (zh) 一种数据处理方法及装置
CN114722972A (zh) 一种异常检测的方法及装置
CN110633321B (zh) 一种数据的同步方法、装置及设备
CN114676132A (zh) 一种数据表关联方法、装置、存储介质及电子设备
CN109345300B (zh) 数据统计方法及装置
CN110209746B (zh) 一种数据仓库的数据处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination