針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法及檢測(cè)系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法及檢測(cè)系統(tǒng),通過(guò)監(jiān)控系統(tǒng)以時(shí)間序列的形式采集被檢查機(jī)器的歷史性能指標(biāo)數(shù)據(jù)和實(shí)時(shí)性能指標(biāo)數(shù)據(jù),由時(shí)間序列預(yù)處理算法進(jìn)行數(shù)據(jù)分段,去噪,尖峰點(diǎn)提取以及時(shí)間序列重建步驟,通過(guò)時(shí)間序列動(dòng)態(tài)對(duì)齊算法進(jìn)行各段時(shí)間序列之間的行為相似性進(jìn)行計(jì)算從而構(gòu)建時(shí)間序列相似性矩陣,最后由馬爾科夫隨機(jī)游走排序算法從相似性矩陣當(dāng)中計(jì)算出各個(gè)時(shí)間段的行為異常指數(shù)。本發(fā)明針對(duì)計(jì)算機(jī)系統(tǒng)中的行為異常檢測(cè)問(wèn)題,全面考慮一段時(shí)間內(nèi)的機(jī)器行為特征,通過(guò)各時(shí)段行為相互之間的相似性,采用馬爾科夫隨機(jī)游走排序進(jìn)行全面的排序和異常評(píng)分,獲得高自動(dòng)化高檢出率,無(wú)需訓(xùn)練的智能化行為異常檢測(cè)。
【專利說(shuō)明】針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法及檢測(cè)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種行為異常自動(dòng)檢測(cè)方法及檢測(cè)系統(tǒng),尤其涉及一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法及檢測(cè)系統(tǒng)。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)硬件軟件的技術(shù)不斷提高,網(wǎng)絡(luò)技術(shù)不斷進(jìn)步,計(jì)算機(jī)成為目前人們生產(chǎn)生活當(dāng)中必不可少的部分。特別是在近幾年來(lái)高速互聯(lián)網(wǎng)絡(luò)普及和計(jì)算機(jī)處理性能飛躍性提升,以及虛擬化技術(shù)的不斷完善的推動(dòng)下,計(jì)算機(jī)作為一種計(jì)算資源在當(dāng)前社會(huì)的使用中往往承擔(dān)著非常重要的任務(wù)諸如重要信息的存取,關(guān)鍵工作的計(jì)算等等。許多的企業(yè)系統(tǒng)和政府部門(mén)服務(wù)現(xiàn)在都有大型的計(jì)算機(jī)系統(tǒng)來(lái)進(jìn)行支撐。因此計(jì)算機(jī)系統(tǒng)的穩(wěn)定性和可靠性是目前的使用環(huán)境下必須要保證的重要方面。隨著目前計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展,軟件硬件復(fù)雜性持續(xù)提高,同時(shí)計(jì)算機(jī)系統(tǒng)特別是云計(jì)算平臺(tái)這類大型系統(tǒng)的使用方式也日益復(fù)雜。有研究表明由于系統(tǒng)本身結(jié)構(gòu)的復(fù)雜化和使用模式的復(fù)雜化,我們所面對(duì)的系統(tǒng)異常無(wú)論是在數(shù)量上還是種類上也是隨之而不斷增加的。計(jì)算機(jī)系統(tǒng)當(dāng)中的異常會(huì)直接影響到運(yùn)行在其上的程序的性能甚至結(jié)果,可能對(duì)于承載在計(jì)算機(jī)上的各種任務(wù)造成不可估量的負(fù)面影響,直接損害到企業(yè)和部門(mén)的正常工作程序甚至于造成經(jīng)濟(jì)損失。如果能夠自動(dòng)化發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)當(dāng)中存在的異常,那么就可以縮短異常發(fā)現(xiàn)和異常應(yīng)對(duì)時(shí)間,減少異常持續(xù)時(shí)間從而減小異常造成的損害,同時(shí)給異常自動(dòng)化應(yīng)對(duì)打下基礎(chǔ)。
[0003]系統(tǒng)行為異常是指在系統(tǒng)運(yùn)行期間,在一定時(shí)間段內(nèi)出現(xiàn)的系統(tǒng)行為模式,包括系統(tǒng)計(jì)算負(fù)載,系統(tǒng)網(wǎng)絡(luò)流量,系統(tǒng)存儲(chǔ)利用率,系統(tǒng)承擔(dān)的具體任務(wù)等方面,與歷史正常情況出現(xiàn)明顯的差別。當(dāng)前的異常自動(dòng)檢測(cè)系統(tǒng)主要采用以下幾種模式,第一是閾值報(bào)警,第二是基于統(tǒng)計(jì)函數(shù),第三是基于機(jī)器學(xué)習(xí),但是這些方法主要針對(duì)于時(shí)間點(diǎn)或者小時(shí)間段進(jìn)行精測(cè)。系統(tǒng)行為異常定義在較長(zhǎng)的一段時(shí)間段上,難以通過(guò)普通的閾值報(bào)警方法進(jìn)行檢測(cè),而且可能對(duì)于整個(gè)系統(tǒng)的功能,效率以及安全性造成直接或者間接的影響。而其他針對(duì)時(shí)間點(diǎn)或者小時(shí)間段的智能檢測(cè)技術(shù),包括基于機(jī)器學(xué)習(xí)和統(tǒng)計(jì)學(xué)的方法,存在著需要人工對(duì)歷史數(shù)據(jù)分配標(biāo)識(shí),自動(dòng)化程度不高,無(wú)法全面識(shí)別較長(zhǎng)時(shí)間段數(shù)據(jù)特征等缺陷,造成檢出率低而誤報(bào)率高的不足之處。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常預(yù)測(cè)方法,解決了針對(duì)計(jì)算機(jī)系統(tǒng)行為異常檢測(cè)自動(dòng)化程度不高,無(wú)法有效利用監(jiān)控?cái)?shù)據(jù)中的行為信息造成檢出率低下而誤報(bào)率過(guò)高的問(wèn)題。
[0005]為了解決上述問(wèn)題,本發(fā)明涉及了一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法,包括以下步驟:
[0006]S1:將從所述計(jì)算機(jī)系統(tǒng)的監(jiān)控系統(tǒng)或后臺(tái)數(shù)據(jù)庫(kù)中獲得的歷史監(jiān)控?cái)?shù)據(jù)和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流構(gòu)成監(jiān)控時(shí)間序列;
[0007]S2:將監(jiān)控時(shí)間序列按照所述計(jì)算機(jī)系統(tǒng)的使用率的變化周期分段為若干數(shù)據(jù)段,按照所有數(shù)據(jù)段當(dāng)中的最長(zhǎng)采樣點(diǎn)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行重采樣;對(duì)所述若干采樣后的數(shù)據(jù)段分段去噪得到平滑時(shí)間序列段,計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值,遍歷每個(gè)采樣點(diǎn),采樣點(diǎn)和所述平均值的歐幾里得距離小于預(yù)定倍數(shù)標(biāo)準(zhǔn)差則偏差值設(shè)為0,否則偏差值設(shè)為絕對(duì)偏差距離,由每段時(shí)間序列段采用點(diǎn)的偏差值構(gòu)成若干尖峰時(shí)間序列段;將尖峰時(shí)間序列段和去噪后的平滑時(shí)間序列段相加構(gòu)成新的監(jiān)控時(shí)間序列段;
[0008]S3:將新的監(jiān)控時(shí)間序列段動(dòng)態(tài)對(duì)齊,并計(jì)算每段時(shí)間段中的所述計(jì)算機(jī)系統(tǒng)的機(jī)器行為相似性指數(shù);
[0009]S4:將S3中得到的相似性指數(shù)構(gòu)成一個(gè)相似性矩陣,通過(guò)相似性矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣,使得圖中,相似性指數(shù)作為邊權(quán),時(shí)間段本身作為節(jié)點(diǎn);
[0010]S5:利用馬爾科夫隨機(jī)游走算法在S3中得到的圖上進(jìn)行游走得到各新的監(jiān)控時(shí)間序列段的連接度,作為每個(gè)被檢測(cè)時(shí)間段的異常指數(shù)。
[0011]較佳地,原始時(shí)間序列中包括常規(guī)序列段和非常規(guī)特性段,所述常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間一致,所述非常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間不一致,按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得監(jiān)控時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
[0012]較佳地,S3中進(jìn)一步包括,根據(jù)實(shí)際負(fù)載情況進(jìn)行預(yù)定范圍以內(nèi)的新的時(shí)間序列段對(duì)齊,同時(shí)用歐幾里得距離函數(shù)計(jì)算對(duì)齊后的新的時(shí)間序列段的相似度。
[0013]較佳地,對(duì)于任意的兩個(gè)監(jiān)控時(shí)間序列Fi和Fj組成的監(jiān)控時(shí)間序列對(duì),用以下的方程來(lái)獲得Fi和Fj的相似性指數(shù):
[0014]dist_up = f [ i 1-1 ] [ j j _k]+Euc I i dean (F i [ i i ],F(xiàn) j [ j j _k +1 ] ) + …+Euclidean(Fi[ii], Fj[jj-k]),
[0015]di st_down = f [ i i _k] [ j j -1 ]+Euc I i dean (F j [ i i ],F(xiàn)i [ j j _k+1 ] )+...+Euclidean(Fj[ii], Fi[jj-k]),
[0016]f[ii, jj] = min(dist_up, dist_down, f[ii] [jj])?
[0017]similarity = f [L, L],
[0018]其中,L為監(jiān)控時(shí)間序列段長(zhǎng)度Euclidean為歐幾里得距離函數(shù);Fi為第i段監(jiān)控時(shí)間序列,i = 1,2…m ;Fj為第j段監(jiān)控時(shí)間序列,i = 1,2…m !Similarity為第i段監(jiān)控時(shí)間序列與第j段監(jiān)控時(shí)間序列的相似性指數(shù);ii,jj, k為循環(huán)變量,其中ii為監(jiān)控時(shí)間序列Fi中的任一采樣點(diǎn),jj為監(jiān)控時(shí)間序列Fj中的一任意采樣點(diǎn),k為移動(dòng)步數(shù),ii=O, 1-^-L ;jj = O, 1...? ;k = O, 1...η, f [ii] [jj]為計(jì)算需要的中間結(jié)果。
[0019]較佳地,還包括S6:設(shè)定判斷閾值Threshold,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
[0020]為了解決上述問(wèn)題,本發(fā)明還涉及了一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng),包括:
[0021]數(shù)據(jù)采集裝置,將從所述計(jì)算機(jī)系統(tǒng)的監(jiān)控系統(tǒng)或后臺(tái)數(shù)據(jù)庫(kù)中獲得的歷史監(jiān)控?cái)?shù)據(jù)和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流構(gòu)成監(jiān)控時(shí)間序列;
[0022]監(jiān)控時(shí)間序列重建裝置,將監(jiān)控時(shí)間序列按照所述計(jì)算機(jī)系統(tǒng)的使用率的變化周期分段為若干數(shù)據(jù)段,按照所有數(shù)據(jù)段當(dāng)中的最長(zhǎng)采樣點(diǎn)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行重采樣;對(duì)所述若干采樣后的數(shù)據(jù)段分段去噪得到平滑時(shí)間序列段,計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值,遍歷每個(gè)采樣點(diǎn),采樣點(diǎn)和所述平均值的歐幾里得距離小于預(yù)定倍數(shù)標(biāo)準(zhǔn)差則偏差值設(shè)為O,否則偏差值設(shè)為絕對(duì)偏差距離,由每段時(shí)間序列段采用點(diǎn)的偏差值構(gòu)成若干尖峰時(shí)間序列段;將尖峰時(shí)間序列段和去噪后的平滑時(shí)間序列段相加構(gòu)成新的監(jiān)控時(shí)間序列段;
[0023]相似性指數(shù)計(jì)算裝置,將新的監(jiān)控時(shí)間序列段動(dòng)態(tài)對(duì)齊,并計(jì)算每段時(shí)間段中的所述計(jì)算機(jī)系統(tǒng)的機(jī)器行為相似性指數(shù);
[0024]鄰接矩陣建立裝置,將相似性指數(shù)計(jì)算裝置中得到的相似性指數(shù)構(gòu)成一個(gè)相似性矩陣,通過(guò)相似性矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣,使得圖中,相似性指數(shù)作為邊權(quán),時(shí)間段本身作為節(jié)點(diǎn);
[0025]異常指數(shù)評(píng)定裝置,利用馬爾科夫隨機(jī)游走算法在鄰接矩陣建立裝置中得到的圖上進(jìn)行游走得到各新的監(jiān)控時(shí)間序列段的連接度,作為每個(gè)被檢測(cè)時(shí)間段的異常指數(shù)。
[0026]較佳地,原始時(shí)間序列中包括常規(guī)序列段和非常規(guī)特性段,所述常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間一致,所述非常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間不一致,按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得監(jiān)控時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
[0027]較佳地,監(jiān)控時(shí)間序列重建裝置中進(jìn)一步包括,根據(jù)實(shí)際負(fù)載情況進(jìn)行預(yù)定范圍以內(nèi)的新的時(shí)間序列段對(duì)齊,同時(shí)用歐幾里得距離函數(shù)計(jì)算對(duì)齊后的新的時(shí)間序列段的相似度。
[0028]較佳地,對(duì)于任意的兩個(gè)監(jiān)控時(shí)間序列Fi和Fj組成的監(jiān)控時(shí)間序列對(duì),用以下的方程來(lái)獲得Fi和Fj的相似性指數(shù):
[0029]dist_up = f[ii_l][jj-k]+Euclidean(Fi[ii],F(xiàn)j[jj-k + l]) +…+Euclidean(Fi[ii], Fj[jj-k]),
[0030]di st_down = f [ i i _k] [ j j -1 ]+Euc I i dean (F j [ i i ],F(xiàn)i [ j j _k +1 ])+...+Euclidean(Fj[ii], Fi[jj-k]),
[0031]f[ii, jj] = min(dist_up, dist_down, f[ii] [jj])?
[0032]similarity = f [L, L],
[0033]其中,L為監(jiān)控時(shí)間序列段長(zhǎng)度Euclidean為歐幾里得距離函數(shù);Fi為第i段監(jiān)控時(shí)間序列,i = l, 2…m ;Fj為第j段監(jiān)控時(shí)間序列,i = l, 2…m !Similarity為第i段監(jiān)控時(shí)間序列與第j段監(jiān)控時(shí)間序列的相似性指數(shù);ii,jj, k為循環(huán)變量,其中ii為監(jiān)控時(shí)間序列Fi中的任一采樣點(diǎn),jj為監(jiān)控時(shí)間序列Fj中的一任意采樣點(diǎn),k為移動(dòng)步數(shù),ii=O, 1-^-L ;jj = O, 1...? ;k = O, 1...η, f [ii] [jj]為計(jì)算需要的中間結(jié)果。
[0034]較佳地,還包括行為異常標(biāo)記裝置,設(shè)定判斷閾值Threshold,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正堂巾O
[0035]本發(fā)明由于采用以上技術(shù)方案,與現(xiàn)有技術(shù)相比,具有以下的優(yōu)點(diǎn)和積極效果:
[0036]I)本發(fā)明利用易于收集的底層性能數(shù)據(jù)來(lái)識(shí)別系統(tǒng)行為,而無(wú)需高層的操作系統(tǒng)或者軟件運(yùn)行記錄,可以直接架設(shè)在現(xiàn)有的監(jiān)控系統(tǒng)上,降低了部署難度;
[0037]2)本發(fā)明采用時(shí)間序列動(dòng)態(tài)對(duì)齊算法,將不同時(shí)間段內(nèi)的時(shí)間序列監(jiān)控?cái)?shù)據(jù)按照行為模式對(duì)齊,從而減少可容忍行為變化帶來(lái)的誤差,從而降低誤報(bào)率;
[0038]3)本發(fā)明利用行為模式之間的關(guān)系而不是對(duì)行為模式本身進(jìn)行建模,因此不需要人工對(duì)歷史數(shù)據(jù)分配標(biāo)識(shí),大大提高自動(dòng)化程度,同時(shí)極大的提高在多變環(huán)境下的檢測(cè)能力;
[0039]4)本發(fā)明通過(guò)馬爾科夫隨機(jī)游走算法對(duì)時(shí)間段行為進(jìn)行異常指數(shù)計(jì)算,全面利用行為模式之間的相互關(guān)系信息,提高了識(shí)別率,并允許管理員選擇閾值來(lái)做最終的異常和正常分類,提供靈活性。
【專利附圖】
【附圖說(shuō)明】
[0040]圖1為本發(fā)明一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法的流程圖;
[0041]圖2為本發(fā)明一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng)的結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0042]以下將結(jié)合本發(fā)明的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整的描述,顯然,這里所描述的僅僅是本發(fā)明的一部分實(shí)例,并不是全部的實(shí)例,基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明的保護(hù)范圍。
[0043]為了便于對(duì)本發(fā)明實(shí)施例的理解,下面將結(jié)合附圖以具體實(shí)施例為例作進(jìn)一步的解釋說(shuō)明,且各個(gè)實(shí)施例不構(gòu)成對(duì)本發(fā)明實(shí)施例的限定。
[0044]實(shí)施例一
[0045]請(qǐng)參考圖1,本發(fā)明提供了針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法,主要包括以下步驟:
[0046]S1:將從所述計(jì)算機(jī)系統(tǒng)的監(jiān)控系統(tǒng)或后臺(tái)數(shù)據(jù)庫(kù)中獲得的歷史監(jiān)控?cái)?shù)據(jù)和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流構(gòu)成監(jiān)控時(shí)間序列;
[0047]本實(shí)施例中,選擇從前端監(jiān)控系統(tǒng)中直接獲得一臺(tái)受監(jiān)控機(jī)器的中央處理器使用率值(CPU Usage Rate, y)和相應(yīng)的時(shí)間戳(Timestamp, t)。并將其構(gòu)成監(jiān)控時(shí)間序列Y—[(Υι ? ti),(5^2,七2),...,(yn?tn),...]。
[0048]其中,Y——最終的完整時(shí)間序列;
[0049]Yi—時(shí)間序列當(dāng)中第i個(gè)元素的CPU占用率,i = O, 1...η,η為時(shí)間序列的元素個(gè)數(shù);
[0050]\—時(shí)間序列當(dāng)中第i個(gè)的時(shí)間戳,i = O, 1...η,η為時(shí)間序列的元素個(gè)數(shù);S2:將監(jiān)控時(shí)間序列按照所述計(jì)算機(jī)系統(tǒng)的使用率的變化周期分段為若干數(shù)據(jù)段,按照所有數(shù)據(jù)段當(dāng)中的最長(zhǎng)采樣點(diǎn)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行重采樣;對(duì)所述若干采樣后的數(shù)據(jù)段分段去噪得到平滑時(shí)間序列段,計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值,遍歷每個(gè)采樣點(diǎn),采樣點(diǎn)和所述平均值的歐幾里得距離小于預(yù)定倍數(shù)標(biāo)準(zhǔn)差則偏差值設(shè)為0,否則偏差值設(shè)為絕對(duì)偏差距離,由每段時(shí)間序列段采用點(diǎn)的偏差值構(gòu)成若干尖峰時(shí)間序列段;將尖峰時(shí)間序列段和去噪后的平滑時(shí)間序列段相加構(gòu)成新的監(jiān)控時(shí)間序列段。其中,原始時(shí)間序列中包括常規(guī)序列段和非常規(guī)特性段,所述常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間一致,所述非常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間不一致,按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得監(jiān)控時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
[0051]本實(shí)施例中,根據(jù)經(jīng)驗(yàn)得到CPU使用率的變化周期為T(mén),經(jīng)過(guò)自回歸分析檢驗(yàn)周期的有效性后,將SI中得到的時(shí)間序列Y根據(jù)變化周期T分為若干數(shù)據(jù)段UfYmt5其中檢驗(yàn)周期有效性一般為=CPU歷史記錄序列在選擇周期為T(mén)的條件下,計(jì)算序列的自相關(guān)系數(shù),其絕對(duì)值高于0.5即為周期有效。其中m= tn/T,m為數(shù)據(jù)段的總數(shù)。原始時(shí)間序列中存在非常規(guī)特性,即時(shí)間戳之間的間隔時(shí)間不統(tǒng)一的情況,則按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
[0052]用sym6為基底的小波變換和sqtwolog閾值控制進(jìn)行分段去噪,得到去噪后的結(jié)果為 R11RfRmtj 其中 m= tn/T。
[0053]從分段后的數(shù)據(jù)段中提取尖峰數(shù)據(jù)點(diǎn)。方法為首先計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值。之后遍歷每個(gè)采樣點(diǎn),若數(shù)據(jù)點(diǎn)和平均值的歐氏距離超過(guò)三倍標(biāo)準(zhǔn)差,則判斷此數(shù)據(jù)點(diǎn)為尖峰數(shù)據(jù)點(diǎn)。將尖峰數(shù)據(jù)點(diǎn)對(duì)應(yīng)的偏差距離(若與平均值的歐氏距離小于三倍標(biāo)準(zhǔn)差,則為0,否則即為絕對(duì)偏差值)構(gòu)成的時(shí)間序列記為PpP^Pm。其中m=tn/T。
[0054]將尖峰時(shí)間序列和去噪后的平滑時(shí)間序列相加重構(gòu)成新的時(shí)間序列段F1, F^Fm。其中 Fi = P^Ri, m = tn/T。
[0055]S3:根據(jù)實(shí)際負(fù)載情況進(jìn)行預(yù)定范圍以內(nèi)的新的時(shí)間序列段對(duì)齊,同時(shí)用歐幾里得距離函數(shù)計(jì)算對(duì)齊后的新的時(shí)間序列段的相似度。
[0056]本實(shí)施例中,對(duì)于任意的兩個(gè)經(jīng)過(guò)以上處理后的監(jiān)控時(shí)間序列段,組成監(jiān)控時(shí)間序列段對(duì),記為Fi, Fj,記它們的長(zhǎng)度均為L(zhǎng),用以下的方程來(lái)獲得這對(duì)監(jiān)控時(shí)間序列的行為相似性。
[0057]dist_up = f [ i 1-1 ] [ j j _k]+Eu c I i de an (Fi [ i i ],F(xiàn)』[j j _k +I ] ) + …+Euclidean(Fi[ii], Fj[jj-k])
[0058]di st_down = f [ i i _k] [ j j -1 ]+Euc I i dean (F j [ i i ],F(xiàn)i [ j j _k+1 ] )+...+Euclidean(Fj[ii], Fi[jj-k])
[0059]f[ii][jj] = min(dist_up, dist_down, f[ii] [jj])
[0060]similarity = f [L, L] (L 為序列 Fi, Fj 的長(zhǎng)度)
[0061]其中,L—監(jiān)控時(shí)間序列段長(zhǎng)度;
[0062]Euclidean-歐幾里得距離函數(shù);
[0063]Fi——第i段監(jiān)控時(shí)間序列,i = I, 2-m;
[0064]Fj—第j段監(jiān)控時(shí)間序列,j = I, 2-m;
[0065]Similarity——為第i段監(jiān)控時(shí)間序列段與第j段監(jiān)控時(shí)間序列段的相似性指數(shù);
[0066]ii, jj, k—循環(huán)變量,ii為其中一個(gè)監(jiān)控時(shí)間序列Fi中的任一采樣點(diǎn),jj為另一個(gè)監(jiān)控時(shí)間序列Fj中的任意采樣點(diǎn),k為移動(dòng)步數(shù),ii = O, I...L ; jj = O, I...L ;k =O, I...η ; (L為監(jiān)控時(shí)間序列段長(zhǎng)度,η為最大允許的偏移步數(shù))
[0067]f [ii] [jj]-計(jì)算需要的中間結(jié)果;
[0068]S4:將S3中得到的相似性指數(shù)構(gòu)成一個(gè)相似性矩陣,通過(guò)相似性矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣,使得圖中,相似性指數(shù)作為邊權(quán),時(shí)間段本身作為節(jié)點(diǎn)。
[0069]本實(shí)施例中,
[0070]使用以下方程將S3中得到的相似性指數(shù)矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣。
[0071]T(i,j) = j IltL1M(Lf) 1 ■
(■ O ' if ι = /
[0072]其中,T(i,j)—鄰接矩陣中第i行,第j列的元素,其中i ==1,2-m ;
[0073]M(i, j)—相似性矩陣中第i行,第j列的元素,等于S3中Fi, Fj得到的similarity ;
[0074]更具體的說(shuō),G =〈V,E>是鄰接矩陣代表的圖,V表示一個(gè)圖中的點(diǎn)集合,這里一個(gè)時(shí)間序列段映射到一個(gè)點(diǎn),所以V就代表所有的時(shí)間序列段,也就是Fl..Fm5VXV代表這些點(diǎn)組成的一個(gè)圖,E是圖上點(diǎn)之間的邊的集合,每一條邊有一個(gè)權(quán)值C,是邊上兩個(gè)點(diǎn)之間的距離,在這里距離就是相似性指數(shù),E e VXV是圖中的邊集合,代表監(jiān)控時(shí)間序列段之間的關(guān)系,邊權(quán)值Gm代表Vi和Ni之間的相似性指數(shù),Vi和Ni分別為序列Fi和Fy在圖中映射的點(diǎn),即S3中計(jì)算得到的similarity。
[0075]S5:利用馬爾科夫隨機(jī)游走算法在S3中得到的圖上進(jìn)行游走得到各新的監(jiān)控時(shí)間序列段的連接度,作為每個(gè)被檢測(cè)時(shí)間段的異常指數(shù)。
[0076]本實(shí)施例中,根據(jù)S4中得到的鄰接矩陣T,帶入以下方程中進(jìn)行迭代計(jì)算,本實(shí)施例中以I (常見(jiàn)值1000)次迭代作為參數(shù),即連續(xù)進(jìn)行I次以下方程的迭代來(lái)獲得最后的結(jié)果,而阻尼系數(shù)damp設(shè)為d(常見(jiàn)值0.01到0.2)。
「 ?damp
[0077]conn =-+ (1- damp) x T x conn
m
[0078]其中,conn——每個(gè)監(jiān)控時(shí)間序列段的連接度;
[0079]damp——阻尼系數(shù),控制方程的收斂速度;
[0080]T——S3中得到的鄰接矩陣;
[0081]m——監(jiān)控時(shí)間序列段數(shù)。
[0082]經(jīng)過(guò)足夠多次數(shù)的迭代計(jì)算之后,conn將會(huì)趨向于一個(gè)恒定的向量值,而其中每一個(gè)值代表對(duì)應(yīng)的監(jiān)控時(shí)間段所的行為異??赡苄裕B接度越大表示該監(jiān)控時(shí)間序列段表現(xiàn)出的行為特征越常見(jiàn),發(fā)生行為異常的可能性越小,而連接度越小表示該監(jiān)控時(shí)間序列段表現(xiàn)出的行為特征越罕見(jiàn),發(fā)生行為異常的可能性越大。
[0083]S6:設(shè)定判斷閾值Threshold,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
[0084]本實(shí)施例中,設(shè)定判斷閾值Threshold,將S5中得到的連接度向量conn按從小到大的方式進(jìn)行排序,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
[0085]除了直接的標(biāo)號(hào)之外,也可以根據(jù)實(shí)際的連接度大小值來(lái)判斷行為異常的程度,判斷依據(jù)如S5中提到:連接度越大表示該監(jiān)控時(shí)間序列段發(fā)生行為異常的可能性越小,而連接度越小表示該監(jiān)控時(shí)間序列段發(fā)生行為異常的可能性越大。
[0086]實(shí)施例二
[0087]請(qǐng)參考圖2,本發(fā)明提供了針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng),包括數(shù)據(jù)采集裝置、監(jiān)控時(shí)間序列重建裝置、相似性指數(shù)計(jì)算裝置、鄰接矩陣建立裝置、異常指數(shù)評(píng)定裝置以及行為異常標(biāo)記裝置,其中各裝置具體如下。
[0088]數(shù)據(jù)采集裝置,與計(jì)算機(jī)系統(tǒng)相連接或設(shè)置于計(jì)算機(jī)系統(tǒng)內(nèi)部,將從所述計(jì)算機(jī)系統(tǒng)的監(jiān)控系統(tǒng)或后臺(tái)數(shù)據(jù)庫(kù)中獲得的歷史監(jiān)控?cái)?shù)據(jù)和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流構(gòu)成監(jiān)控時(shí)間序列。
[0089]本實(shí)施例中,選擇從前端監(jiān)控系統(tǒng)中直接獲得一臺(tái)受監(jiān)控機(jī)器的中央處理器使用率值(CPU Usage Rate, y)和相應(yīng)的時(shí)間戳(Timestamp, t)。并將其構(gòu)成監(jiān)控時(shí)間序列Y—[(Υι ? ti),(5^2,七2),...,(yn?tn),...]。
[0090]其中,Y——最終的完整時(shí)間序列;
[0091]Yi—時(shí)間序列當(dāng)中第i個(gè)元素的CPU占用率,i = O, 1...η,η為時(shí)間序列的元素個(gè)數(shù);
[0092]\—時(shí)間序列當(dāng)中第i個(gè)的時(shí)間戳,i = O, Ρ..η,η為時(shí)間序列的元素個(gè)數(shù)。
[0093]監(jiān)控時(shí)間序列重建裝置,與數(shù)據(jù)采集裝置相連接將監(jiān)控時(shí)間序列按照計(jì)算機(jī)系統(tǒng)的使用率的變化周期分段為若干數(shù)據(jù)段,按照所有數(shù)據(jù)段當(dāng)中的最長(zhǎng)采樣點(diǎn)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行重采樣;對(duì)所述若干采樣后的數(shù)據(jù)段分段去噪得到平滑時(shí)間序列段,計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值,遍歷每個(gè)采樣點(diǎn),采樣點(diǎn)和所述平均值的歐幾里得距離小于預(yù)定倍數(shù)標(biāo)準(zhǔn)差則偏差值設(shè)為0,否則偏差值設(shè)為絕對(duì)偏差距離,由每段時(shí)間序列段采用點(diǎn)的偏差值構(gòu)成若干尖峰時(shí)間序列段;將尖峰時(shí)間序列段和去噪后的平滑時(shí)間序列段相加構(gòu)成新的監(jiān)控時(shí)間序列段。其中,原始時(shí)間序列中包括常規(guī)序列段和非常規(guī)特性段,常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間一致,非常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間不一致,按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得監(jiān)控時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
[0094]本實(shí)施例中,根據(jù)經(jīng)驗(yàn)得到CPU使用率的變化周期為Τ,經(jīng)過(guò)自回歸分析檢驗(yàn)周期的有效性后,將SI中得到的時(shí)間序列Y根據(jù)變化周期T分為若干數(shù)據(jù)段YpYfYmtj其中m=tn/T,m為數(shù)據(jù)段的總數(shù)。原始時(shí)間序列中存在非常規(guī)特性,即時(shí)間戳之間的間隔時(shí)間不統(tǒng)一的情況,則按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
[0095]用sym6為基底的小波變換和sqtwolog閾值控制進(jìn)行分段去噪,得到去噪后的結(jié)果為!^民…^其中!!!=、/!'。
[0096]從分段后的數(shù)據(jù)段中提取尖峰數(shù)據(jù)點(diǎn)。方法為首先計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值。之后遍歷每個(gè)采樣點(diǎn),若數(shù)據(jù)點(diǎn)和平均值的歐氏距離超過(guò)三倍標(biāo)準(zhǔn)差,則判斷此數(shù)據(jù)點(diǎn)為尖峰數(shù)據(jù)點(diǎn)。將尖峰數(shù)據(jù)點(diǎn)對(duì)應(yīng)的偏差距離(若與平均值的歐氏距離小于三倍標(biāo)準(zhǔn)差,則為0,否則即為絕對(duì)偏差值)構(gòu)成的時(shí)間序列記為PpP^Pm。其中m=tn/T。
[0097]將尖峰時(shí)間序列和去噪后的平滑時(shí)間序列相加重構(gòu)成新的時(shí)間序列段F1, F^Fm。其中 Fi = P^Ri, m = tn/T。
[0098]相似性指數(shù)計(jì)算裝置,根據(jù)實(shí)際負(fù)載情況(相同的使用模式下的兩個(gè)監(jiān)控時(shí)間序列由于計(jì)算機(jī)的隨機(jī)性會(huì)出現(xiàn)一定的時(shí)間偏移)進(jìn)行預(yù)定范圍以內(nèi)的新的時(shí)間序列段對(duì)齊,即在一定的允許的調(diào)整范圍內(nèi),將兩個(gè)時(shí)間序列以距離最小為目標(biāo)進(jìn)行時(shí)間戳對(duì)齊。用歐幾里得距離函數(shù)計(jì)算對(duì)齊后的新的時(shí)間序列段的相似度。
[0099]本實(shí)施例中,對(duì)于任意的兩個(gè)經(jīng)過(guò)以上處理后的監(jiān)控時(shí)間序列段,組成監(jiān)控時(shí)間序列段對(duì),記為Fi, Fj,記它們的長(zhǎng)度均為L(zhǎng),用以下的方程來(lái)獲得這對(duì)監(jiān)控時(shí)間序列的行為相似性。
[0100]dist_up = f [ i 1-1 ] [ j j _k]+Eu c I i de an (Fi [ i i ],F(xiàn) j [ j j _k +I ] ) + …+Euclidean(Fi[ii], Fj[jj-k])
[0101]di st_down = f [ i i _k] [ j j -1 ]+Euc I i dean (F j [ i i ],F(xiàn)i [ j j _k+1 ])+...+Euclidean(Fj[ii], Fi[jj-k])
[0102]f [ii, jj] = min(dist_up, dist_down, f [ii] [jj])
[0103]similarity = f [L, L] (L 為序列 Fi, Fj 的長(zhǎng)度)
[0104]其中,L—監(jiān)控時(shí)間序列段長(zhǎng)度;
[0105]Euclidean-歐幾里得距離函數(shù);
[0106]Fi——第i段監(jiān)控時(shí)間序列,i = I, 2-m;
[0107]Fj—第j段監(jiān)控時(shí)間序列,j = I, 2-m;
[0108]Similarity——為第i段監(jiān)控時(shí)間序列段與第j段監(jiān)控時(shí)間序列段的相似性指數(shù);
[0109]ii, jj, k—循環(huán)變量,ii為其中一個(gè)監(jiān)控時(shí)間序列Fi中的任一采樣點(diǎn),jj為另一個(gè)監(jiān)控時(shí)間序列Fj中的任意采樣點(diǎn),k為移動(dòng)步數(shù),ii = O, I...L ; jj = O, I...L ;k =
O,I...η ; (L為監(jiān)控時(shí)間序列段長(zhǎng)度,η為最大允許的偏移步數(shù))
[0110]f[ii] [jj]——計(jì)算需要的中間結(jié)果;
[0111]鄰接矩陣建立,連接相似性指數(shù)計(jì)算裝置,將相似性指數(shù)計(jì)算裝置中得到的相似性指數(shù)構(gòu)成一個(gè)相似性矩陣,通過(guò)相似性矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣,使得圖中,相似性指數(shù)作為邊權(quán),時(shí)間段本身作為節(jié)點(diǎn)。
[0112]本實(shí)施例中,
[0113]使用以下方程將相似性指數(shù)計(jì)算裝置中得到的相似性指數(shù)矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣。
?—墜)—
[0114]T(Q) = M(U) 1 '
I Oι — j
[0115]其中,T(i, j)-鄰接矩陣的第i行,第j列,其中i = l, 2…m, j = I, 2…m ;
[0116]M(i, j)—相似性矩陣的第i行,第j列,等于相似性指數(shù)計(jì)算裝置中Fi,F(xiàn)j得到的 similarity ;
[0117]V表示一個(gè)圖中的點(diǎn)集合,這里一個(gè)時(shí)間序列段映射到一個(gè)點(diǎn),所以V就代表所有的時(shí)間序列段,也就是Fl..Fm ;VX V代表這些點(diǎn)組成的一個(gè)圖,E是圖上點(diǎn)之間的邊的集合,每一條邊有一個(gè)權(quán)值C,是邊上兩個(gè)點(diǎn)之間的距離,在這里距離就是相似性指數(shù),EeVXV是圖中的邊集合,代表監(jiān)控時(shí)間序列段之間的關(guān)系,邊權(quán)值Cm代表Vi和 ' 之間的相似性指數(shù),Vi和'分別為序列FJP Fy在圖中映射的點(diǎn),即S3中計(jì)算得到的similarity。
[0118]異常指數(shù)評(píng)定裝置,連接鄰接矩陣建立裝置,利用馬爾科夫隨機(jī)游走算法在鄰接矩陣建立裝置中得到的圖上進(jìn)行游走得到各新的監(jiān)控時(shí)間序列段的連接度,作為每個(gè)被檢測(cè)時(shí)間段的異常指數(shù)。
[0119]本實(shí)施例中,根據(jù)鄰接矩陣建立裝置中得到的鄰接矩陣T,帶入以下方程中進(jìn)行迭代計(jì)算,本實(shí)施例中以1(常見(jiàn)值1000)次迭代作為參數(shù),即連續(xù)進(jìn)行I次以下方程的迭代來(lái)獲得最后的結(jié)果,而阻尼系數(shù)damp設(shè)為d(常見(jiàn)值0.01到0.2)。
damp, ,
[0120]comi =-+ (1- damp) χτχ conn
m
[0121]其中,conn——每個(gè)監(jiān)控時(shí)間序列段的連接度;
[0122]damp——阻尼系數(shù),控制方程的收斂速度;
[0123]T——S3中得到的鄰接矩陣;
[0124]m——監(jiān)控時(shí)間序列段數(shù)。
[0125]經(jīng)過(guò)足夠多次數(shù)的迭代計(jì)算之后,conn將會(huì)趨向于一個(gè)恒定的向量值,而其中每一個(gè)值代表對(duì)應(yīng)的監(jiān)控時(shí)間段所的行為異常可能性,連接度越大表示該監(jiān)控時(shí)間序列段表現(xiàn)出的行為特征越常見(jiàn),發(fā)生行為異常的可能性越小,而連接度越小表示該監(jiān)控時(shí)間序列段表現(xiàn)出的行為特征越罕見(jiàn),發(fā)生行為異常的可能性越大。
[0126]行為異常標(biāo)記裝置,連接異常指數(shù)評(píng)定裝置,設(shè)定判斷閾值Threshold,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
[0127]本實(shí)施例中,設(shè)定判斷閾值Threshold,將鄰接矩陣建立裝置中得到的連接度向量conn按從小到大的方式進(jìn)行排序,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
[0128]除了直接的標(biāo)號(hào)之外,也可以根據(jù)實(shí)際的連接度大小值來(lái)判斷行為異常的程度,判斷依據(jù)如上提到:連接度越大表示該監(jiān)控時(shí)間序列段發(fā)生行為異常的可能性越小,而連接度越小表示該監(jiān)控時(shí)間序列段發(fā)生行為異常的可能性越大。
[0129]以上所述,僅為本發(fā)明較佳的【具體實(shí)施方式】,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
【權(quán)利要求】
1.一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法,其特征在于,包括以下步驟: Si:將從所述計(jì)算機(jī)系統(tǒng)的監(jiān)控系統(tǒng)或后臺(tái)數(shù)據(jù)庫(kù)中獲得的歷史監(jiān)控?cái)?shù)據(jù)和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流構(gòu)成監(jiān)控時(shí)間序列; S2:將監(jiān)控時(shí)間序列按照所述計(jì)算機(jī)系統(tǒng)的使用率的變化周期分段為若干數(shù)據(jù)段,按照所有數(shù)據(jù)段當(dāng)中的最長(zhǎng)采樣點(diǎn)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行重采樣;對(duì)所述若干采樣后的數(shù)據(jù)段分段去噪得到平滑時(shí)間序列段,計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值,遍歷每個(gè)采樣點(diǎn),采樣點(diǎn)和所述平均值的歐幾里得距離小于預(yù)定倍數(shù)標(biāo)準(zhǔn)差則偏差值設(shè)為O,否則偏差值設(shè)為絕對(duì)偏差距離,由每段時(shí)間序列段采用點(diǎn)的偏差值構(gòu)成若干尖峰時(shí)間序列段;將尖峰時(shí)間序列段和去噪后的平滑時(shí)間序列段相加構(gòu)成新的監(jiān)控時(shí)間序列段; S3:將新的監(jiān)控時(shí)間序列段動(dòng)態(tài)對(duì)齊,并計(jì)算每段時(shí)間段中的所述計(jì)算機(jī)系統(tǒng)的機(jī)器行為相似性指數(shù); S4:將S3中得到的相似性指數(shù)構(gòu)成一個(gè)相似性矩陣,通過(guò)相似性矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣,使得圖中,相似性指數(shù)作為邊權(quán),時(shí)間段本身作為節(jié)點(diǎn); S5:利用馬爾科夫隨機(jī)游走算法在S3中得到的圖上進(jìn)行游走得到各新的監(jiān)控時(shí)間序列段的連接度,作為每個(gè)被檢測(cè)時(shí)間段的異常指數(shù)。
2.如權(quán)利要求1所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法,其特征在于,原始時(shí)間序列中包括常規(guī)序列段和非常規(guī)特性段,所述常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間一致,所述非常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間不一致,按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得監(jiān)控時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
3.如權(quán)利要求1所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法,其特征在于,S3中進(jìn)一步包括,根據(jù)實(shí)際負(fù)載情況進(jìn)行預(yù)定范圍以內(nèi)的新的時(shí)間序列段對(duì)齊,同時(shí)用歐幾里得距離函數(shù)計(jì)算對(duì)齊后的新的時(shí)間序列段的相似度。
4.如權(quán)利要求1或3所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)識(shí)別算法,其特征在于,對(duì)于任意的兩個(gè)監(jiān)控時(shí)間序列Fi和Fj組成的監(jiān)控時(shí)間序列對(duì),用以下的方程來(lái)獲得Fi和Fj的相似性指數(shù): dist_up = f[i1-l] [jj~k] +Euclidean (Fi [ii] , Fj [jj-k + 1] ) +...+Euclidean(Fi[ii], Fj[jj-k]), dist_down = f[ii~k] [jj~l] +Euclidean (Fj [ii] , Fi [jj-k+1] ) +...+Euclidean(Fj[ii], Fi[jj-k]),
f[ii, jj] = min(dist_up, dist_down, f[ii][jj]),
similarity = f[L, L], 其中,L為監(jiān)控時(shí)間序列段長(zhǎng)度;EUClidean為歐幾里得距離函數(shù);Fi為第i段監(jiān)控時(shí)間序列,i = l, 2…m ;Fj為第j段監(jiān)控時(shí)間序列,i = l, 2…m !Similarity為第i段監(jiān)控時(shí)間序列與第j段監(jiān)控時(shí)間序列的相似性指數(shù);ii,jj, k為循環(huán)變量,其中ii為監(jiān)控時(shí)間序列Fi中的任一采樣點(diǎn),jj為監(jiān)控時(shí)間序列Fj中的一任意采樣點(diǎn),k為移動(dòng)步數(shù),ii =O,I...L ; jj = O, I...L ;k = O, 1...η, f [ii] [jj]為計(jì)算需要的中間結(jié)果。
5.如權(quán)利要求1所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)方法,其特征在于,還包括S6:設(shè)定判斷閾值Threshold,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
6.一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng),其特征在于,包括 數(shù)據(jù)采集裝置,將從所述計(jì)算機(jī)系統(tǒng)的監(jiān)控系統(tǒng)或后臺(tái)數(shù)據(jù)庫(kù)中獲得的歷史監(jiān)控?cái)?shù)據(jù)和實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)流構(gòu)成監(jiān)控時(shí)間序列; 監(jiān)控時(shí)間序列重建裝置,將監(jiān)控時(shí)間序列按照所述計(jì)算機(jī)系統(tǒng)的使用率的變化周期分段為若干數(shù)據(jù)段,按照所有數(shù)據(jù)段當(dāng)中的最長(zhǎng)采樣點(diǎn)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行重采樣;對(duì)所述若干采樣后的數(shù)據(jù)段分段去噪得到平滑時(shí)間序列段,計(jì)算采樣前數(shù)據(jù)段的標(biāo)準(zhǔn)差和平均值,遍歷每個(gè)采樣點(diǎn),采樣點(diǎn)和所述平均值的歐幾里得距離小于預(yù)定倍數(shù)標(biāo)準(zhǔn)差則偏差值設(shè)為O,否則偏差值設(shè)為絕對(duì)偏差距離,由每段時(shí)間序列段采用點(diǎn)的偏差值構(gòu)成若干尖峰時(shí)間序列段;將尖峰時(shí)間序列段和去噪后的平滑時(shí)間序列段相加構(gòu)成新的監(jiān)控時(shí)間序列段;相似性指數(shù)計(jì)算裝置,將新的監(jiān)控時(shí)間序列段動(dòng)態(tài)對(duì)齊,并計(jì)算每段時(shí)間段中的所述計(jì)算機(jī)系統(tǒng)的機(jī)器行為相似性指數(shù); 鄰接矩陣建立裝置,將相似性指數(shù)計(jì)算裝置中得到的相似性指數(shù)構(gòu)成一個(gè)相似性矩陣,通過(guò)相似性矩陣轉(zhuǎn)化為一個(gè)圖的鄰接矩陣,使得圖中,相似性指數(shù)作為邊權(quán),時(shí)間段本身作為節(jié)點(diǎn); 異常指數(shù)評(píng)定裝置,利用馬爾科夫隨機(jī)游走算法在鄰接矩陣建立裝置中得到的圖上進(jìn)行游走得到各新的監(jiān)控時(shí)間序列段的連接度,作為每個(gè)被檢測(cè)時(shí)間段的異常指數(shù)。
7.如權(quán)利要求6所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng),其特征在于,原始時(shí)間序列中包括常規(guī)序列段和非常規(guī)特性段,所述常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間一致,所述非常規(guī)序列段的時(shí)間戳之間的間隔時(shí)間不一致,按照所有分段當(dāng)中最長(zhǎng)采樣個(gè)數(shù)對(duì)所有數(shù)據(jù)段進(jìn)行線性重采樣,使得監(jiān)控時(shí)間序列獲得相同的采樣間隔和采樣次數(shù)。
8.如權(quán)利要求6所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng),其特征在于,監(jiān)控時(shí)間序列重建裝置中進(jìn)一步包括,根據(jù)實(shí)際負(fù)載情況進(jìn)行預(yù)定范圍以內(nèi)的新的時(shí)間序列段對(duì)齊,同時(shí)用歐幾里得距離函數(shù)計(jì)算對(duì)齊后的新的時(shí)間序列段的相似度。
9.如權(quán)利要求6或8所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)檢測(cè)系統(tǒng),其特征在于,對(duì)于任意的兩個(gè)監(jiān)控時(shí)間序列Fi和Fj組成的監(jiān)控時(shí)間序列對(duì),用以下的方程來(lái)獲得Fi和Fj的相似性指數(shù): dist_up = f[i1-l] [jj-k]+Euclidean (Fi [ii], Fj [jj-k + 1]) +...+Euclidean(Fi[ii], Fj[jj-k]), dist_down = f[ii~k] [jj~l] +Euclidean (Fj [ii] , Fi [jj-k+1] ) +...+Euclidean(Fj[ii], Fi[jj-k]),
f[ii, jj] = min(dist_up, dist_down, f[ii][jj]),
similarity = f[L, L], 其中,L為監(jiān)控時(shí)間序列段長(zhǎng)度;EUClidean為歐幾里得距離函數(shù);Fi為第i段監(jiān)控時(shí)間序列,i = l, 2…m ;Fj為第j段監(jiān)控時(shí)間序列,i = l, 2…m !Similarity為第i段監(jiān)控時(shí)間序列與第j段監(jiān)控時(shí)間序列的相似性指數(shù);ii,jj, k為循環(huán)變量,其中ii為監(jiān)控時(shí)間序列Fi中的任一采樣點(diǎn),jj為監(jiān)控時(shí)間序列Fj中的一任意采樣點(diǎn),k為移動(dòng)步數(shù),ii =O, I...L ; jj = O, I...L ;k = O, 1...η, f [ii] [jj]為計(jì)算需要的中間結(jié)果。
10.如權(quán)利要求6所述的一種針對(duì)計(jì)算機(jī)系統(tǒng)的行為異常自動(dòng)識(shí)別系統(tǒng),其特征在于,還包括行為異常標(biāo)記裝置,設(shè)定判斷閾值Threshold,連接度小于閾值Threshold的時(shí)間段標(biāo)記為行為異常,連接度大于閾值Threshold的時(shí)間段標(biāo)記為行為正常。
【文檔編號(hào)】G06F11/22GK104317681SQ201410443322
【公開(kāi)日】2015年1月28日 申請(qǐng)日期:2014年9月2日 優(yōu)先權(quán)日:2014年9月2日
【發(fā)明者】曹健, 沈琪駿, 顧驊 申請(qǐng)人:上海交通大學(xué)