CN105637432A - 识别被监控实体的异常行为 - Google Patents

识别被监控实体的异常行为 Download PDF

Info

Publication number
CN105637432A
CN105637432A CN201380079913.0A CN201380079913A CN105637432A CN 105637432 A CN105637432 A CN 105637432A CN 201380079913 A CN201380079913 A CN 201380079913A CN 105637432 A CN105637432 A CN 105637432A
Authority
CN
China
Prior art keywords
entity
tolerance
state
data
desired value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201380079913.0A
Other languages
English (en)
Inventor
戈瑟姆·贝拉拉
玛尼西·马尔瓦
马丁·阿利特
阿米普·J·沙阿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of CN105637432A publication Critical patent/CN105637432A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/024Quantitative history assessment, e.g. mathematical relationships between available data; Functions therefor; Principal component analysis [PCA]; Partial least square [PLS]; Statistical classifiers, e.g. Bayesian networks, linear regression or correlation analysis; Neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Computational Linguistics (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

在此描述了用于识别被监控实体的异常行为的技术。可以从与实体工作有关的数据提取特征。特征可以映射至多个状态以产生状态序列。可以将度量的观测值与基于状态序列的度量的预期值比较。

Description

识别被监控实体的异常行为
背景技术
诸如建筑物的信息物理系统包含消耗大量资源(例如电力、水等)的实体(例如装置、电器等)。这些实体的高效工作对于减小操作成本并改进这些系统的环境足迹是重要的。例如,已经报道了商业建筑物每年在能源成本上花费超$1000亿,由于设备、故障设备、或需要维护的设备的低效工作,能源成本的15%至30%可以构成不必要的浪费。
附图说明
以下详细说明书参考附图,其中:
图1图示了根据示例的识别被监控实体的异常行为的方法。
图2图示了根据示例的产生状态机模型的方法。
图3图示了根据示例的用于识别被监控实体的异常行为的计算系统。
图4(a)至图4(f)图示了根据示例的对冷却器系统进行异常检测的使用情形示例。
图5图示了根据示例的用于识别被监控实体的异常行为的计算机可读介质。
具体实施方式
根据在此所述的技术,可以监控一个或多个实体以识别异常行为。在一个示例中,与实体(例如装置、电器)相关联的各个传感器可以在时间周期之内采集关于实体的各个工作参数的数据。可以从该数据提取特征并映射为多个状态。该映射可以导致状态序列在时间周期之内特征化实体的工作。随后可以基于状态序列确定度量(例如性能度量、可维持性度量)的预期值。可以使用代表实体的正常工作的状态机模型并外推被给定实体的映射状态序列的度量的预期值而确定预期值。所确定的度量的预期值随后可以与度量的所观测值比较。所观测值可以从所采集数据得到,或者备选地可以外部地确定(例如可以通过查看电费帐单而确定在一个月期间之内电能使用)。如果所观测值与预期值相差阈值量,则这可以指示被监控实体的异常行为。在一些示例中,实体可以是包括多个部件的更大的系统,每个部件自身是实体。
使用这些技术,可以在时间之内监控设备以识别低效操作或性能退化(例如漂移),或者前摄地识别需要维护的设备,以便于最小化在不合适时的中断。这些技术可以高效地包括外部因素对于信息物理系统在确定异常行为方面的工作行为的影响。此外,这些技术包括来自各个传感器的在时间周期之内的多个测试点,而不是仅仅单点异常检测。因此,这些技术可以是更准确和有效的,因为它们能够在被监控设备的工作的更长周期之内考虑跨越更多数据量的异常。结果是,可以更能检测设备的性能的稍微偏移或漂移,其定时检测可以导致显著的成本和资源节省。此外,当一起监控并分析多个实体时,所公开的技术可以捕捉实体之间的交互和它们的相关性,当那些交互/相关性改变时导致异常警报。这可以有助于防止主系统故障或崩溃。以下参照附图描述额外的示例、优点、特征、修改和类似物。
图1图示了根据示例的识别被监控实体的异常行为的方法。方法100可以由诸如图3的处理系统300或者图5的计算系统500的计算装置、系统或计算机执行。用于实施方法100的计算机可读指令可以存储在计算机可读存储介质上。如存储在介质上的这些指令可以在此称作“模块”并且可以由计算机执行。
将在此参照图3的示例性处理系统300描述方法100。系统300可以包括一个或多个计算机和/或由一个或多个计算机实施。例如,计算机可以是服务器计算机、工作站计算机、台式计算机、膝上型计算机、移动装置或类似物,并且可以是分布式系统的一部分。计算机可以包括一个或多个控制器以及一个或多个机器可读存储介质。
控制器可以包括用于实施机器可读指令的处理器和存储器。处理器可以包括至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、诸如数字图像处理单元的至少一个数字信号处理器(DSP)、适用于检索并执行存储在存储器中的指令的其他硬件装置或处理元件,或它们的组合。处理器可以包括在芯片上的单个或多个内核,跨越多个芯片的多个内核,跨越多个装置的多个内核,或它们组合。处理器可以从存储器取得、解码并执行指令以执行各个功能。作为检索并执行指令的备选或者除此之外,处理器可以包括包含用于执行各种任务或功能的许多电子部件的至少一个集成电路(IC)、其他控制逻辑、其他电子电路或它们的组合,
控制器可以包括诸如机器可读存储介质的存储器。机器可读存储介质可以是包含或存储可执行指令的任何电子、磁性、光学或其他物理存储装置。因此,机器可读存储介质可以包括例如各种随机存取存储器(RAM)、只读存储器(ROM)、闪存及它们的组合。例如,机器可读介质可以包括非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(RRPROM)、存储驱动器、NAND闪存、以及类似物。此外,机器可读存储介质可以是计算机可读的并且是非暂时性的。此外,系统300可以包括与一个或多个控制器分离的一个或多个机器可读存储介质,诸如用于存储模块310-340和状态机模型352。
方法100可以开始于110,在此可以使用特征提取模块310从与实体360的工作有关的数据提取特征。实体360可以是装置、电器或系统,并且可以是诸如建筑物的信息物理系统的一部分。实体360可以消耗一种或多种资源,诸如电力、燃气、水或类似物。
在一些示例中,实体360可以是包括多个部件的更大系统,每个部件自身是实体。例如,实体360可以是HVAC系统,其自身可以由诸如泵、鼓风机、空气处理单元和冷却塔的若干个其他实体构成。当一起监控并分析多个实体时,所公开的技术可以捕捉实体之间的交互以及它们的相关性,当那些交互/相关性改变时导致异常警报。这可以有助于防止主系统故障或崩溃。
可以由传感器362或其他装置(称作“源”)报告在实体360的工作期间所记录的数据。传感器362可以位于被监控实体的不同部分处以监控实体360的一个或多个参数。例如,可以被监控的一些参数是空气流速、水流速、温度、压力、功率、每个风扇时间周期的转数、以及其他参数。一些传感器可以位于远离被监控实体362的其他区域处,诸如在建筑物的房间中的温度传感器。可以被监控的其他参数是诸如恒温器设置的设置,或外部天气。传感器和装置可以是建筑物管理系统(BMS)的一部分。可以在所记录数据中反映所有被监控参数。所记录数据可以覆盖在时间周期之内的实体的工作参数。时间周期可以是各种时间周期中的任意一种,范围从几分钟至几年,包括如日、周、月或年的周期。
在特征提取之前,可以预处理所采集的数据。例如,可以通过数据熔合操作、数据清除操作等来预处理所采集数据。数据熔合操作可以包括例如合并(或联接)来自多个源的数据。可以熔合来自多个源的数据,因为多个源可以具有不同的时间戳,可以在不同频率下采集数据,可以具有不同的数据质量水平等。数据清除操作可以包括例如移除数据异常值、移除无效值、输入遗漏值等。可以通过任何合适的预处理技术的实施而预处理所采集数据。
数据的特征选择(不论是否被预处理)可以包括对影响实体的工作行为的特征的识别。如果实体是首次被建模的新实体,则可以“新鲜”地执行特征选择,意味着可以执行以下特征选择和维度缩减技术中的一个或多个以选择最相关特征(也即被确定为影响了实体的工作行为的那些特征)。在该情形中,可以在训练阶段期间产生状态机模型352。
例如,训练模块340可以用于基于在实体(或相同类型的另一实体)的工作期间所记录的数据而构建状态机模型。参照图2,训练模块340可以通过在210处获得与实体工作有关的数据并且在220处基于数据产生状态机模型而执行方法200。数据可以与在诸如三个月或更长时间的扩展时间周期之内的实体的工作有关。通常,用于训练的数据越多,状态机模型将越准确。
预处理数据的特征选择可以包括从所有特征的集合选择最相关特征的子集。可以基于在实体的特征与性能度量之间的相关性或其他所确定的关系而选择最相关特征的子集。为此目的,可以使用多个已知的自动化特征选择方法中的任意一种,例如,使用子集选择,使用诸如相关性、互信息的度量,使用诸如卡方测试的统计测试,使用基于包装的特征选择方法,等等,除了以上列出的自动化特征选择方法之外,领域专家还可以选择、丢弃或转换特征或变量。
除了特征选择之外,可以将维度缩减应用于数据。预处理数据的维度缩减可以包括将所有特征或者所有特征的子集从较高维度空间映射至较低维度空间。维度缩减可以通过使用例如主成分分析(PCA)、多维度缩放(MDS)、拉普拉斯特征映射等而实施。因此,根据示例,预处理数据的转换可以导致特征化了实体工作的相对较少数目的特征。特别地,可以丢弃可以不影响实体的那些特征。作为另一示例,可以通过维度缩减来丢弃影响实体但是可以具有其他变量冗余的特征。
所产生的状态机模型352可以包括特征化了实体的不同工作行为并且将不同状态与一个或多个度量(例如性能度量、可维持性度量)相关联的多个状态。状态可以视作在时间周期之内的实体的工作的抽象化。例如,所记录的数据可以表示在时间周期之内的实体的所观测/感测行为和其他参数(例如天气)的时间序列。每个状态表示在时间周期的一些部分期间实体的一类工作行为的抽象化。例如,为冷却器而产生的状态机模型可以包括在训练过程之内特征化了冷却器的不同操作行为的五个状态(例如特征化了冷却器的不同维持水平的“关”状态和各种“开”状态-例如在与不同周围温度组合的不同恒温器设置下)。用于冷却器的该状态机模型也可以与用于所定义五个状态中的每个状态的各种度量相关联,诸如与在每个状态期间的平均能耗有关的性能度量。此外,状态机模型可以与多个特征模式相关联,多个特征模式将各种特征值与不同的状态以及与状态之间的转换相映射。关于根据这些技术的特征选择、维度缩减、以及构建状态机模型的额外信息可以在共同未决的2013年1月31日提交的美国专利申请号13/755,768中找到,在此通过引用的方式并入本文。
另一方面,如果使用该架构早先已经特征化(训练)了给定实体或相同类型的另一实体,则可以选择早先(也即在训练期间)所使用的特征。通过使用相同的特征选择和维度缩减技术,可以提取相同的特征以用于映射至状态机模型的状态中。
在120处,所提取的特征可以映射至多个状态以使用状态序列模块320产生状态序列。至少一些状态可以与其他区分。所提取的特征可以根据存储在存储器350中的状态机模型352而被映射。
所提取的特征可以使用与状态机模型352相关联的特征模式而映射至多个状态中。结果是,可以产生了在被监控时间周期期间特征化了实体360的工作的状态序列。在一些情形中,一系列所提取的特征可以并非基于特征模式而良好地映射至状态中。在该情形中,可以如潜在地指示了新状态而标记所提取的特征。这可以由状态序列模块320的新状态检测模块322所处理。所提取的特征可以在当前处理期间被忽略,并且可以产生最可能的状态序列以用于方法100。然后可以在稍后训练阶段期间再访问已标记的特征。例如,可以在后续训练阶段中考虑所有数据或所提取的特征以便于识别并添加新状态和/或特征模式至状态机模型352。特别地,可以由训练模块340通过周期性地(例如每1个月、3个月等)再训练实体或者通过每当由新状态检测模块322检测到新状态时再训练而周期性地更新状态机模型352。
在130和140处,可以基于状态序列并且使用异常检测模块330与度量的所观测值比较而确定度量的预期值。度量可以是各种度量中的任意一种,诸如性能度量或可维持性度量。这种度量可以包括对资源消耗(例如电力、水、燃气等)、工作效率(例如性能系数(COP))、故障率、环境影响(例如碳足迹、毒性等)的测量,或者其他任何感兴趣的测量,包括例如维护成本、实体所展现的任何使用模式(例如每天使用周期)等。此外,可以检查多个度量,以使得在任意一个度量或度量的组合的预期值与观测值之间的发散性可以指示异常行为。
可以从所记录数据或所提取特征得到度量的观测值。备选地,可以外部地确定度量的观测值,诸如参考指示了电能消耗的物业帐单。可以参考状态机模型基于状态序列而确定度量的预期值。例如,如在训练阶段期间观测到的、在对应状态中的度量值的特征可以用于对于状态序列中的每个状态而确定度量的预期值。各种技术可以用于计算度量的预期值并且将其与度量的观测值比较。例如,可以使用平均值比较技术、分布比较技术、或可能性比较技术。
在平均值比较中,可以基于对于每个状态的该度量的平均值而计算度量的预期平均值。给定状态序列,假设wi指示处于状态i的实体的实例的小部分,以及假设ui是处于该状态的可维持性度量的平均值。则,对于给定状态序列的可维持性度量的预期值可以计算为(∑wi*ui)/(∑wi)。该值与所观测平均值之间的绝对差值可以与阈值比较以确定测试序列是否异常。该阈值可以取决于测试序列的长度,也即测试点的数目。如果序列是时间序列,则随着其持续时间增长,阈值减小。例如,阈值T可以如下确定:
p=λ·exp(-Δt2/B)
T=mre/p
其中Δt是序列的持续时间,B是带宽参数,λ是缩放参数,并且mref是如上计算的度量的预期值。
在分布比较中,可以比较度量的整个分布而不仅是它们的平均值。使用如上的相同符号,可维持性度量的预期分布由(∑wi*fi)/(∑wi)给出,其中fi是处于状态i的可维持性度量的分布。该分布随后与观测到的分布(在测试周期期间从观测到值而计算得到)比较以识别任何异常活动。两个分布可以使用诸如重叠的程度、Kullback-Leibler发散性的许多技术而比较,或者通过使用诸如Kolmogorov-Smirnoff测试的统计测试而比较。
在可能性比较中,可以给定下层状态而计算所观测度量序列的可能性。此外,可以给定相同的潜在状态序列而计算用于若干个随机产生的独立序列的可能性值。所观测的可能性值可以随后与从随机序列产生的可能性值的分布比较以确定状态序列的异常。
在150处,如果度量的观测值与度量的预期值相差阈值量,则可以诸如经由用户界面呈现异常行为的通知。可以根据如上所述的比较技术而测量阈值量。可以根据不同异常的重要性级别而以有序或排序的方式呈现异常。例如,对于给定的异常类型,可以从最大违规行为至最小违规行为(而不是以违规行为所发生的顺序)而列出发生情况。最大违规行为可以由观测值从度量的预期值偏离的幅度、可以通过解决异常所实现的潜在成本节省而确定,或者由用户定义成本函数、异常的严重性(例如将导致实体故障,将仅引起占有人不适)以及商业影响而确定。类似地,一些异常类型可以比其他具有更严重的后果(例如过热的电机可能需要立即关注以防止机械故障,而比正常稍微较温热的会议室可能不需要来自设备职员的任何关注)。因此,用户界面可以配置为以能够使设备职员首先对最高优先级项目做出行动的方式而呈现异常。
图4(a)至图4(f)图示了根据示例的对冷却器系统异常检测的使用情况示例。图4(a)图示了具有多个实体的建筑物400。建筑物400包括HVAC系统401,其包括两个冷却器,冷却器1402和冷却器2403。在该示例中,冷却器1和冷却器2是水冷冷却器。HVAC系统401可以也包括许多其他实体,诸如泵、鼓风机、空气处理单元和冷却塔。建筑物400还包括计算机网络404,其包括多个计算机和其他装置、以及照明设备405。建筑物400还可以包括其他实体406。在此所述的异常检测技术可以用于监控所有这些实体的行为并检测异常行为。在此,通过图4(b)至图4(f)图示了监控并分析冷却器1的行为的示例。
图4(b)描绘了示出在一周周期之内的冷却器1和冷却器2的负载的曲线图410。冷却器负载对应于由建筑物的操作所产生(并且因此需要被散发)的热量。其以吨(Ton)为单位。在该示例中,冷却器负载是可维持性度量中的一个。
图4(c)描绘了列出与由传感器测量并报告的冷却器1的工作对应的示例性参数的子集的图表420。在时间周期之内的这些参数的测量值(因此对于每个参数创建时间序列)可以构成遍布以上说明书而参考的所记录数据。例如,可以在时间周期之内维护这些测得参数的日志。在该示例中,在五个月的时间周期内每隔五分钟对参数取样。每个单独参数可以是通过特征选择和维度缩减技术选择的潜在的特征。一些特征可以不直接映射至单个参数,但是可以是基于参数的组合或者是基于用于单个参数或参数组合的部分数据。
在此,特征提取技术是基于控制体量方案,其中冷却器被视作黑盒子并且初始选择的特征对应于对该黑盒子的输入和输出参数。这些参数对应于冷却水供应温度(TCHWS)、冷却水返回温度(TCHWR)、冷却水供应流速(fCHWS)、冷凝器水供应温度(TCWS)、冷凝器水返回温度(TCWR)以及冷凝器水供应流速(fCWS)。
随后将初始选择的特征相关联。通过将数据投射至低维空间上而移除冗余特征。在两个阶段中执行维度缩减。在第一阶段中,域知识用于减少特征维度,接下来使用主成分分析(PCA)而投射。也可以使用其他维度缩减技术,诸如多维度缩放或拉普拉斯特征映射。
域知识用于将特征空间从初始六个特征减少至以下四个特征:TCHWR、(TCHWR-TCHWS)*fCHWS(正比于从冷却水回路也即冷却器负载移除的热量)、TCWS、以及(TCWR-TCWS)*fCWS(正比于从冷凝器水回路移除的热量)。使用PCA进一步减小获得的特征空间,其中选择第一两个主要维度,其捕捉了特征数据中的差异的约95%。
随后,投影的数据划分为集群,其中每个集群代表装置的潜在工作状态。使用k-平均算法基于欧几里德距离度量而确定集群。该算法的输出对应于状态序列s[n],n=1,…N,其中s[n]∈{1,…k},其中k表示集群(或状态)的数目。使用该状态序列,可以估算工作处于状态i的装置的先验概率,以及装置从状态i转换至状态j的概率。
图4(d)图示了基于三个月训练数据的对于冷却器1的状态转换图430。特征数据已经划分为导致五个不同状态的五个集群。在该图中的节点对应于冷却器的工作状态,其中节点的大小确定其发生的频率。边缘指示状态转换。发生从状态1至状态2以及从状态2至状态3的单向转换。剩余的边缘指示了在状态之间的双向转换。并未示出自我转换(也即在相同状态内的转换)。边缘的厚度对应于转换发生的频率。
在这些状态中的每个中冷却器的工作行为可以根据其功耗和如由性能系数(COP)测量的工作效率而被特征化。图4(e)示出了在5个状态中的每个中冷却器能耗和COP的概率密度函数(pdf)。在该示例中,采用高斯内核使用内核密度估算值而估算密度函数。
图4(e)的曲线图440示出了与其平均COP值分别是6.12、6.26和6.09的状态1、2和4相比,工作在较低效率下的处于具有4.74和5.43的平均COP值的状态3和状态5的冷却器。使用这些效率值,状态可以特征化为“良”(较高效率)和“差”(较低效率)状态。理想地,冷却器应该仅工作在“良”状态下。可以经由转换参数而识别从“良”状态转换至“差”状态的起因。状态转换捕捉了装置工作的动态。每个转换根据负责转换的输入特征而展现独特参数。
状态机模型现在将用于评估冷却器1相对于其过去性能以及相对于其对等体-冷却器2的性能。在每个状态内的评估冷却器性能的优点在于,其确保了在类似的输入/外部条件下的比较,由此允许更公平的性能评估。
在此,所记录的冷却器数据划分为两个集合。基于包含三个月数据(训练数据)的第一集合而训练状态机模型,并且剩余的两个月冷却器数据用于在每个状态内的性能评估(测试数据)。该数据的第二集合进一步划分为六个不同测试样本,其中每个样本由十个连续日的冷却器数据而构成
对于每个样本,特征数据被投射至在训练阶段期间获知的主要维度上,并且每个被投射数据点被分配至其最近的状态(或集群)。随后对于每个状态,将冷却器COP在训练数据中的分布与测试数据的分布比较。如果这两个分布显著不同则提出异常标记,如由Kullback-Leibler发散性或重叠测量所量化。
图4(f)图示了对于四个不同测试样本的性能评估结果,其中对于每个情形在一个状态下示出性能评估结果。虚曲线对应于在训练数据中的冷却器COP或特征分布,实曲线对应于测试数据的冷却器COP或特征分布。
曲线图450图示了异常情形,其中在测试阶段中的冷却器COP行为类似于在训练阶段期间的冷却器COP行为。曲线图460图示了在测试阶段中的冷却器COP分布显著不同于训练阶段的冷却器COP行为的情形。为了识别该异常行为的起因,检查输入特征的分布以查找与训练数据相比在测试数据中具有显著不同分布的特征。在该情形中,冷却器负载被识别为具有显著不同的分布,如曲线图465中所示。
对于其他检查,负载分布中的该改变的起因被识别为是传感器误差,其中监控了冷却器负载的传感器临时地停止刷新其读数,导致在约300吨处的尖峰。然而,在该周期期间的真实负载可以已经不同,并且因此分配至状态5的时间点可以对应于其他状态。该示例是临时异常的实例,并且其可以进一步归类为“传感器故障”或“硬件问题”异常类别。
曲线图470图示了第二异常情形,其中与训练周期的性能相比在测试样本中改进了冷却器的性能。为了识别该异常行为的起因,将训练数据中的特征分布与测试样本的特征分布比较。在该情形中,如曲线图475中所示,冷却水供应温度TCHWS(用作对于设置点温度的代理)被识别为在该周期之内已经增大,导致改进性能。
这三个示例对应于相对于冷却器的过去性能而评估冷却器的性能的情形。冷却器的性能评估可以在类似条件下相对于其对等体而做出。在此,冷却器1和冷却器2是等同的(相同的品牌、型号和性能)。因此,可以在每个状态下也即在虚拟等同的输入条件下比较这两个冷却器的性能。曲线图480图示了处于状态2的冷却器1(虚曲线)和冷却器2(实曲线)的COP行为。该曲线图揭示了冷却器2比冷却器1具有明显更高的COP。在剩余的四个状态下观测到冷却器的COP行为中的类似差异。
可以由于诸如冷却器内的不同内部设置的原因、或者由于冷却器1在长时间周期内持续工作而导致其性能退化,而已经引起该异常行为。识别与冷却器性能退化对应的异常可以是非常有用的,因为该异常的定时检测可以导致大量功耗节省。例如,识别由曲线图480所揭示的异常的原因并且随后对于冷却器2的COP而改进冷却器1的COP(例如通过维护、改变设置等)可以导致功耗节省。
图5图示了根据示例的用于识别被监控实体中的异常行为的系统。系统500可以包括一个或多个计算机和/或由一个或多个计算机实施。例如,计算机可以是服务器计算机、工作站计算机、台式计算机、膝上型计算机、移动装置或类似物,并且可以是分布式系统的一部分。如例如参照处理系统300所述,计算机可以包括一个或多个控制器以及一个或多个机器可读存储介质。
此外,系统500的用户可以通过可以视作是或不被视作系统500的一部分的一个或多个其他计算机与系统500交互。作为示例,用户可以经由驻留在系统500上或在另一计算机上的计算机应用程序而与系统500交互,所述另一计算机为诸如台式计算机、工作站计算机、平板计算机、智能电话或类似物。计算机应用程序可以包括用户接口(例如触摸界面、鼠标、键盘、手势输入装置)。
系统500可以执行方法100和200及其变形。此外,系统500可以是更大的软件平台、系统、应用程序或类似物的一部分。例如,这些部件可以是建筑物管理系统(BMS)的一部分。
计算机510可以经由网络连接至实体550。网络可以是任意类型的通信网络,包括但不限于基于有线的网络(例如铜电缆、光纤电缆等)、无线网络(诸如蜂窝、卫星)、蜂窝通信网络、以及基于IP的远程通信网络(例如在互联网协议网络之上的语音)。网络还可以包括传统的固网电信或公用交换电话网络(PSTN)、或者前述的组合。
处理器520可以是至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、适用于检索并执行存储在机器可读存储介质530中的指令的其他硬件装置或处理元件,或它们的组合。处理器520可以包括在芯片上的单个或多个内核、跨越多个芯片的多个内核、跨越多个装置的多个内核、或它们的组合。除此之外,处理器520可以取得、解码并执行指令532-540以实施各种处理。作为检索并执行指令的备选或者除此之外,处理器520可以包括包含用于执行指令532-540的功能的多个电子部件的至少一个集成电路(IC)、其他控制逻辑、其他电子电路或其组合。因此,处理器520可以跨越多个处理单元而实施,并且指令532-540可以由在计算机510中的不同区域中的不同处理单元而实施。
机器可读存储介质530可以是包含或存储可执行指令的任何电子、磁性、光学或其他物理存储装置。因此,机器可读存储介质可以包括例如各种随机存取存储器(RAM)、只读存储器(ROM)、闪存及其组合。例如,机器可读介质可以包括非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、NAND闪存以及类似物。此外,机器可读存储介质530可以是计算机可读并且是非暂时性的。机器可读存储介质530可以采用用于管控处理元件的一系列可执行指令而被编码。
当由处理器520执行(例如经由处理器的一个处理元件或者多个处理元件)时指令532-450可以使得处理器520执行进程(例如方法100和200)和/或其变形和一部分。
例如,提取指令532可以使得处理器520从特征化了实体550的工作的数据提取特征。数据可以从传感器552接收并且可以在时间周期之内已经被记录。映射指令534可以使得处理器520将所提取的特征映射至状态以产生状态序列。预期值指令536可以使得处理器520基于状态序列和用于实体的状态机模型而确定度量的预期值。比较指令538可以使得处理器520将度量的所确定预期值与度量的观测值比较。如果度量的预期值不同于度量的观测值,识别指令540可以使得处理器520识别异常行为。
在之前的说明书中,阐述了许多细节以提供对在此所公开主题的理解。然而,实施方式可以不采用这些细节中的一些或全部而实施。其他实施方式可以包括来自以上所讨论细节的修改和变形。旨在所附权利要求覆盖这些修改和变形。

Claims (19)

1.一种用于识别被监控实体的异常行为的方法,所述方法包括由处理系统:
从与实体的工作有关的数据提取特征;
将所述提取的特征映射至状态以产生状态序列;
基于所述状态序列确定度量的预期值;以及
将所确定的所述度量的预期值与所述度量的观测值比较。
2.根据权利要求1所述的方法,进一步包括:
如果所述度量的所述观测值与所述度量的所述预期值相差阈值量,则经由用户界面呈现所述实体的异常行为的通知。
3.根据权利要求1所述的方法,其中,所述度量是性能度量或可维持性度量。
4.根据权利要求1所述的方法,其中,所述数据由监控所述实体的各个性能参数的传感器来报告。
5.根据权利要求4所述的方法,其中,所述数据在所述实体的工作的至少24小时的过程之内被记录,并且所述状态序列包括多个不同的状态。
6.根据权利要求1所述的方法,其中,使用对与和所述实体相同类型的一个或多个其他实体的工作有关的数据预先训练的状态机模型来确定所述度量的所述预期值。
7.根据权利要求1所述的方法,其中,使用平均值比较技术、分布比较技术、或可能性比较技术来确定所述度量的所述预期值。
8.一种用于识别被监控实体的异常行为的系统,所述系统包括:
传感器,用于在工作期间报告关于实体的至少两个参数的数据;
特征提取模块,用于从所报告的数据提取特征;
状态序列模块,用于通过将所提取的特征映射至多个状态而产生状态序列;以及
异常检测模块,用于将基于所述状态序列的度量的预期值与所述度量的观测值比较。
9.根据权利要求8所述的系统,进一步包括:
用户界面,如果所述度量的所述预期值与所述度量的所述观测值相差阈值量,则所述用户界面向用户警报所述实体的异常行为。
10.根据权利要求9所述的系统,其中,所述用户界面被配置为呈现按重要性级别排序的被检测异常的列表。
11.根据权利要求8所述的系统,进一步包括:
训练模块,用于基于与所述实体相同类型的一个或多个其他实体的所观测工作参数而构建状态机模型。
12.根据权利要求8所述的系统,进一步包括:
存储器,存储与所述实体对应的状态机模型,
其中所述异常检测模块被配置为使用来自所述状态机模型的信息而确定所述度量的所述预期值。
13.根据权利要求12所述的系统,其中,所提取特征映射至的所述多个状态基于所述状态机模型中的状态模式而被预先确定。
14.根据权利要求13所述的系统,其中,所述状态序列模块包括新状态检测模块,所述新状态检测模块被配置为检测由所提取特征的一部分所呈现的潜在新状态,其中所述潜在新状态与在所述状态机模型中不存在的模式对应。
15.根据权利要求8所述的系统,其中,所述系统被配置为识别在多个被监控实体中的异常行为。
16.根据权利要求15所述的系统,其中,由所述传感器报告的所述数据包括来自所述被监控实体中的每个的测量参数,所述状态序列模块被配置为对于所述被监控实体中的每个产生状态序列,并且所述异常检测模块被配置为检测在所述被监控实体的任意一个或组合中的异常行为。
17.根据权利要求15所述的系统,其中,所述多个被监控实体是HVAC系统。
18.一种非暂时性计算机可读存储介质,存储有用于由计算机执行以识别被监控实体的异常行为的指令,所述指令在被执行时使得所述计算机:
在时间周期期间从特征化实体的工作的数据提取特征;
将所提取的特征映射至状态以产生状态序列;
基于所述状态序列和用于所述实体的状态机模型而确定度量的预期值;
将所确定的所述度量的预期值与度量的观测值比较;并且
如果所述度量的所述预期值不同于所述度量的所述观测值,则识别异常行为。
19.根据权利要求18所述的计算机可读存储介质,所述指令在被执行时使得所述计算机从监控所述实体的性能参数的多个传感器接收所述数据。
CN201380079913.0A 2013-08-30 2013-08-30 识别被监控实体的异常行为 Pending CN105637432A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2013/057612 WO2015030804A1 (en) 2013-08-30 2013-08-30 Identifying anomalous behavior of a monitored entity

Publications (1)

Publication Number Publication Date
CN105637432A true CN105637432A (zh) 2016-06-01

Family

ID=52587150

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380079913.0A Pending CN105637432A (zh) 2013-08-30 2013-08-30 识别被监控实体的异常行为

Country Status (4)

Country Link
US (1) US20160217378A1 (zh)
EP (1) EP3039587A1 (zh)
CN (1) CN105637432A (zh)
WO (1) WO2015030804A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107690660A (zh) * 2016-12-21 2018-02-13 深圳前海达闼云端智能科技有限公司 图像识别方法及装置
CN111541640A (zh) * 2018-12-28 2020-08-14 卡巴斯基实验室股份公司 在具有确定特性的网络物理系统中检测异常的系统和方法

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9477936B2 (en) 2012-02-09 2016-10-25 Rockwell Automation Technologies, Inc. Cloud-based operator interface for industrial automation
US9438648B2 (en) 2013-05-09 2016-09-06 Rockwell Automation Technologies, Inc. Industrial data analytics in a cloud platform
US9786197B2 (en) 2013-05-09 2017-10-10 Rockwell Automation Technologies, Inc. Using cloud-based data to facilitate enhancing performance in connection with an industrial automation system
US9709978B2 (en) 2013-05-09 2017-07-18 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial automation environment with information overlays
US9703902B2 (en) 2013-05-09 2017-07-11 Rockwell Automation Technologies, Inc. Using cloud-based data for industrial simulation
US9989958B2 (en) 2013-05-09 2018-06-05 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial automation environment
US10103960B2 (en) 2013-12-27 2018-10-16 Splunk Inc. Spatial and temporal anomaly detection in a multiple server environment
US9614743B2 (en) * 2014-08-20 2017-04-04 Ciena Corporation Systems and methods to compute carbon footprint of network services with network function virtualization (NFV) and software defined networking (SDN)
US11513477B2 (en) 2015-03-16 2022-11-29 Rockwell Automation Technologies, Inc. Cloud-based industrial controller
US11243505B2 (en) * 2015-03-16 2022-02-08 Rockwell Automation Technologies, Inc. Cloud-based analytics for industrial automation
US11042131B2 (en) 2015-03-16 2021-06-22 Rockwell Automation Technologies, Inc. Backup of an industrial automation plant in the cloud
US10496061B2 (en) 2015-03-16 2019-12-03 Rockwell Automation Technologies, Inc. Modeling of an industrial automation environment in the cloud
US10528533B2 (en) * 2017-02-09 2020-01-07 Adobe Inc. Anomaly detection at coarser granularity of data
US11777963B2 (en) * 2017-02-24 2023-10-03 LogRhythm Inc. Analytics for processing information system data
JP6903976B2 (ja) 2017-03-22 2021-07-14 オムロン株式会社 制御システム
US10878102B2 (en) * 2017-05-16 2020-12-29 Micro Focus Llc Risk scores for entities
CN110119862A (zh) * 2018-02-07 2019-08-13 中国石油化工股份有限公司 基于企业外来入厂人员吸烟危险等级的诊断方法
JP6930503B2 (ja) * 2018-07-20 2021-09-01 日本電信電話株式会社 異常検知装置、異常検知方法、およびプログラム
US20210182296A1 (en) * 2018-08-24 2021-06-17 Siemens Aktiengesellschaft Anomaly localization denoising autoencoder for machine condition monitoring
US11604934B2 (en) * 2019-05-29 2023-03-14 Nec Corporation Failure prediction using gradient-based sensor identification
US11526790B2 (en) 2019-09-27 2022-12-13 Oracle International Corporation Univariate anomaly detection in a sensor network
US11060885B2 (en) * 2019-09-30 2021-07-13 Oracle International Corporation Univariate anomaly detection in a sensor network
US11651627B2 (en) 2019-11-28 2023-05-16 Oracle International Corporation Sensor network for optimized maintenance schedule
CN111241208B (zh) * 2019-12-31 2024-03-29 合肥城市云数据中心股份有限公司 一种周期性时序数据的异常监测方法及装置
US11216247B2 (en) 2020-03-02 2022-01-04 Oracle International Corporation Automatic asset anomaly detection in a multi-sensor network
US20210342441A1 (en) * 2020-05-01 2021-11-04 Forcepoint, LLC Progressive Trigger Data and Detection Model
JP2022021203A (ja) * 2020-07-21 2022-02-02 富士通株式会社 学習プログラム,学習装置及び学習方法
US11762956B2 (en) 2021-02-05 2023-09-19 Oracle International Corporation Adaptive pattern recognition for a sensor network
US11949701B2 (en) * 2021-08-04 2024-04-02 Microsoft Technology Licensing, Llc Network access anomaly detection via graph embedding

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003084122A1 (en) * 2002-03-26 2003-10-09 Bellsouth Intellectual Property Corporation System and method of intrusion detection employing broad-scope monitoring
US20070289013A1 (en) * 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
CN101303589A (zh) * 2008-06-20 2008-11-12 中南大学 基于有限状态自动机的多艾真体动态多目标协作跟踪方法
US20100324741A1 (en) * 2009-06-18 2010-12-23 Johnson Controls Technology Company Systems and methods for fault detection of air handling units
CN102436376A (zh) * 2010-10-20 2012-05-02 微软公司 用于分布式应用确认的模型检查

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6625589B1 (en) * 1999-10-28 2003-09-23 General Electric Company Method for adaptive threshold computation for time and frequency based anomalous feature identification in fault log data
JP4782727B2 (ja) * 2007-05-17 2011-09-28 株式会社東芝 機器状態監視装置並びに機器状態監視のための方法およびプログラム
US20100332373A1 (en) * 2009-02-26 2010-12-30 Jason Crabtree System and method for participation in energy-related markets
US8600556B2 (en) * 2009-06-22 2013-12-03 Johnson Controls Technology Company Smart building manager
US8731724B2 (en) * 2009-06-22 2014-05-20 Johnson Controls Technology Company Automated fault detection and diagnostics in a building management system
US8423637B2 (en) * 2010-08-06 2013-04-16 Silver Spring Networks, Inc. System, method and program for detecting anomalous events in a utility network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003084122A1 (en) * 2002-03-26 2003-10-09 Bellsouth Intellectual Property Corporation System and method of intrusion detection employing broad-scope monitoring
US20070289013A1 (en) * 2006-06-08 2007-12-13 Keng Leng Albert Lim Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
CN101303589A (zh) * 2008-06-20 2008-11-12 中南大学 基于有限状态自动机的多艾真体动态多目标协作跟踪方法
US20100324741A1 (en) * 2009-06-18 2010-12-23 Johnson Controls Technology Company Systems and methods for fault detection of air handling units
CN102436376A (zh) * 2010-10-20 2012-05-02 微软公司 用于分布式应用确认的模型检查

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107690660A (zh) * 2016-12-21 2018-02-13 深圳前海达闼云端智能科技有限公司 图像识别方法及装置
CN107690660B (zh) * 2016-12-21 2021-03-23 达闼机器人有限公司 图像识别方法及装置
CN111541640A (zh) * 2018-12-28 2020-08-14 卡巴斯基实验室股份公司 在具有确定特性的网络物理系统中检测异常的系统和方法

Also Published As

Publication number Publication date
US20160217378A1 (en) 2016-07-28
EP3039587A1 (en) 2016-07-06
WO2015030804A1 (en) 2015-03-05

Similar Documents

Publication Publication Date Title
CN105637432A (zh) 识别被监控实体的异常行为
Gaur et al. Performance evaluation of techniques for identifying abnormal energy consumption in buildings
JP6079243B2 (ja) 障害分析支援装置、障害分析支援方法、及びプログラム
US20210263511A1 (en) Devices, methods, and systems for a distributed rule based automated fault detection
JP5387779B2 (ja) 運用管理装置、運用管理方法、及びプログラム
CN117572159B (zh) 基于大数据分析的电力故障检测方法及系统
CN114254879B (zh) 多传感器信息融合的电力设备安全诊断方法和装置
US20180225779A1 (en) System and method for determining power production in an electrical power grid
US20230388202A1 (en) Methods and systems for inferred information propagation for aircraft prognostics
CN110858072B (zh) 设备运行状态的确定方法及装置
CN110763952A (zh) 地下电缆故障监测方法和装置
CN111415107A (zh) 配电网台区画像生成方法、装置、计算机设备和存储介质
CN113835918A (zh) 一种服务器故障分析方法及装置
CN117235664A (zh) 配电通信设备的故障诊断方法、系统和计算机设备
CN115713038A (zh) 一种基于深度循环神经网络的配用电故障检测方法及系统
CN117933549A (zh) 基于电量阈值计算算法的企业用电电量数据处理方法及系统
CN113946983A (zh) 产品可靠性薄弱环节评估方法、装置和计算机设备
US9172552B2 (en) Managing an entity using a state machine abstract
US10372719B2 (en) Episode mining device, method and non-transitory computer readable medium of the same
Ardebili et al. Prediction of thermal hazards in a real datacenter room using temporal convolutional networks
CN115293265A (zh) 楼宇用电非入侵式监测方法及其系统
CN115061872A (zh) 告警记录生成方法、装置、告警设备及存储介质
CN115829543B (zh) 基于故障需检区间的电力设备预防性试验有效性确定方法
CN118278921B (zh) 设备维修性能检测方法、装置、计算机设备和存储介质
JP6556297B1 (ja) データ分析支援装置およびデータ分析支援プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160601