CN112188534B - 一种异常检测方法和装置 - Google Patents

Abstract

本发明实施例公开了一种异常检测方法和装置，所述方法包括：对于每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测；其中，N为大于或等于1的整数；当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果。本发明实施例基于多种异常检测算法的检测结果以及可靠性的校验结果确定最终检测结果，由于可靠性的校验是基于专家业务经验、领域知识所做的可靠性校验，提高了检测结果的可靠性。

Description

一种异常检测方法和装置

技术领域

本发明实施例涉及但不限于通讯运维领域，尤指一种异常检测方法和装置。

背景技术

在通讯运维领域中，检测电信运营服务的一些关键绩效指标(KPI，KeyPerformance Index)，比如无线接通率、丢包率、当前用户数、上下流量等等。当KPI出现异常(或劣化)时，很可能由于通讯环境发生了变化或者软硬件等发生故障造成的。运维人员及时发现问题、解决问题，能有效提升用户满意度，维护公司的声誉。然而，通讯网络中KPI数目繁多，种类成千上万，同时，即将到来的5G通讯技术，将成倍增加KPI数目，使得依靠运维人员人工实时对全网KPI数据监测维护越来越难，所以对于通讯网络KPI异常检测维护的智能化也越来越迫切。

相关的智能化异常检测系统大多基于机器学习技术，对于通讯运维领域而言，在引入机器学习初期，基本上很难积累足够的标注样本，用以训练出可靠的模型进行检测。原因是标注成本高，也就是说KPI数目繁多，同时，人工手动标注门槛较高，需要依赖大量的业务知识。然而，依赖无监督学习算法，或者用数量较少的样本来训练监督学习算法，很难保证检测结果的可靠性。

发明内容

本发明实施例提供了一种异常检测方法和装置，能够提高检测结果的可靠性。

本发明实施例提供了一种异常检测方法，包括：

对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于或等于1的整数；

当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果。

本发明实施例提供了一种异常检测装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一种异常检测方法。

本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一种异常检测方法的步骤。

本发明实施例提供了一种异常检测装置，包括：

检测模块，用于对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于或等于1的整数；当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

确定模块，用于根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果。

本发明实施例包括：对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于或等于1的整数；当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果。本发明实施例基于多种异常检测算法的检测结果以及可靠性的校验结果确定最终检测结果，由于可靠性的校验是基于专家业务经验、领域知识所做的可靠性校验，提高了检测结果的可靠性。

本发明实施例的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明实施例技术方案的进一步理解，并且构成说明书的一部分，与本发明实施例的实施例一起用于解释本发明实施例的技术方案，并不构成对本发明实施例技术方案的限制。

图1为本发明一个实施例提出的异常检测方法的流程图；

图2为本发明另一个实施例提出的异常检测装置的结构组成示意图。

具体实施方式

下文中将结合附图对本发明实施例进行详细说明。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

参见图1，本发明一个实施例提出了一种异常检测方法，包括：

步骤100、对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于或等于1的整数。

在本发明实施例中，第一数据可以是任意需要进行异常检测的数据，例如KPI数据等。

例如，对于小区1的无线资源控制(RRC，Radio Resource Control)建立连接成功率指标，第一数据包括时间序列数data1和相关数据data2。

其中，data1记为{(t₁,x₁),...,(t_w,x_w)}，t_w为待检测的时刻，x_w为t_w对应的RRC建立连接成功率的值，采样时间粒度为T，即t_w-t_w-1＝T，data2记为[x_eff，x_ref，pre_res，obj_id，KPI_id]，x_eff为t_w时刻对应的RRC建立连接请求数、x_ref为RRC建立连接失败次数、pre_res为t_w-1时刻是否异常，obj_id为小区id，KPI_id为待检测KPI的id。

在本发明实施例中，可以在采集第一数据后，一次性从第一数据中提取N种异常检测算法所需要的所有第一特征数据，在采用每一种异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果时，从提取的特征数据中选择该种异常检测算法所需要的第一特征数据；

或者，在采用每一种异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果时，从采集的第一数据中提取该种异常检测算法所需要的第一特征数据。

当然，也不是所有的第一数据都需要进行特征提取，对于不需要进行特征提取的第一数据，直接将第一数据作为第一特征数据即可。

在一个示例性实例中，在提取第一数据的特征数据之前，首先对第一数据进行清洗，再从清洗后的第一数据中提取特征数据。当然，也不是所有的第一数据均需要进行清洗，可以对部分第一数据进行清洗，本发明实施例对此不作限定。

例如，对于上述data1和data2，对data1进行清洗，不对data2进行清洗。例如，当data1有缺失值时，采用例如线性插值、均值等方法对缺失的数据进行填充。

对data1进行清洗后，从清洗后的data1中提取第一特征数据，例如，对清洗后的data1进行特征统计(例如最大值x_max、最小值x_min、平均值x_mean、中位数x_median、标准差x_std等)、周期性判断、分类特征构造(例如对t_w进行独热(one-hot)编码，包括小时，星期几等)、计算x_w的同比环比，一阶差分，二阶差分等。

直接将data2加入第一特征数据中，最终得到第一特征数据，记作feature data＝[f₁,f₂,...,f_n]。

在本发明实施例中，异常检测算法可以是基于统计学习算法(例如3-sigma，指数加权移动平均法(EWMA，Exponentially Weighted Moving-Average)，差分整合移动平均自回归模型(ARIMA，Autoregressive Integrated Moving Average Model)等)、无监督分类算法(例如孤立森林(Isolation Forest)，单分类支持向量机(SVM，Support VectorMachine)(one-class SVM)，变分自编码(Variational Auto-Encode)等)、监督学习算法(例如逻辑回归，极端梯度提升(XGBoost，eXtreme Gradient Boosting)，深度神经网络(DNN，Deep Neural Network)等等)。本发明实施例采用多种异常检测算法进行异常检测，目的是将可能的异常数据都检测出来。例如，对于从上述data1和data2提取的第一特征数据，采用3-sigma，EWMA，Holt-Winters，以及XGBoost算法进行检测得到的第一检测结果分别为：res1＝1、res2＝0、res3＝0、res4＝1，其中，0表示正常，1表示异常。

步骤101、当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果。

在本发明实施例中，用户可以通过界面设置可靠性校验的校验条件、选择可靠性评估方法以及设置相关参数，也可以通过编写配置文件的形式导入校验条件、可靠性评估方法以及相关参数。具体的实现方式本发明实施例不作限定。

在一个示例性实例中，对第一数据的第一特征数据进行可靠性校验包括：对所述第一数据的第一特征数据进行以下至少之一：

数据有效性检验、安全区间检验、全网贡献度检验、异常持续性检验。

上述进行可靠性校验的具体规则由专家根据业务经验、领域知识给出，可以由用户在页面进行相关设置或者导入可配置文件。

例如，对于上述从data1和data2提取的第一特征数据，对第一特征数据进行数据有效性校验也就是检测RRC建立连接请求数x_eff是否大于第二预设阈值x_eff_threshold，当RRC建立连接请求数大于第二预设阈值时，认为第一数据有效，继续对第一特征数据进行安全区间检验；当RRC建立连接请求数小于或等于第二预设阈值时，认为第一数据无效，那么第一数据正常(即第一校验结果为正常)，检验结束。其中，x_eff_threshold由专家根据业务经验、领域知识给出，具体可以由用户在页面进行相关设置或者导入可配置文件。

对第一特征数据进行安全区间检验也就是检测RRC建立连接成功率x_w是否在安全区间[x_min,x_max]内，当RRC建立连接成功率在安全区间内时，认为第一数据正常(即第一校验结果为正常)，检验结束；当RRC建立连接成功率不在安全区间内时，继续对第一特征数据进行全网贡献度检验。其中，安全区间[x_min,x_max]由专家根据业务经验、领域知识给出，具体可以由用户在页面进行相关设置或者导入可配置文件。

对第一特征数据进行全网贡献度检验也就是检测RRC建立连接失败次数x_ref是否大于第三预设阈值x_ref_threshold，当RRC建立连接失败次数大于第三预设阈值时，确定第一校验结果为异常；当RRC建立连接失败次数小于或等于第三预设阈值时，继续对第一特征数据进行持续性检验。其中，x_ref_threshold由专家根据业务经验、领域知识给出，具体可以由用户在页面进行相关设置或者导入可配置文件。

对第一特征进行持续性检验也就是对t_w之前的一段时间的检验结果pre_res是否为异常，以及通过二阶差分的值判断是否有持续变坏的趋势，当t_w之前的一段时间的检验结果均为异常，且有变坏的趋势时，确定第一校验结果为异常；当t_w之前的一段时间的检验结果中的至少一个检验结果为正常，或者有变好的趋势时，确定第一校验结果为正常，检验结束。

步骤102、根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果。

在一个示例性实例中，根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果包括以下任意一种或多种：

当所述第一检测结果为异常的异常检测算法中的一种或一种以上异常检测算法的可靠性大于或等于所述第一预设阈值时，确定所述第二检测结果为异常；

当所述第一检测结果为异常的异常检测算法的可靠性均小于所述第一预设阈值时，将所述第一校验结果作为所述第二检测结果。

例如，上述对从data1和data2提取的第一特殊数据的检测中，当异常检测算法XGBoost的可靠性大于或等于第一预设阈值，且异常检测算法3-sigma的可靠性小于第一预设阈值时，确定第二检测结果为异常；

当异常检测算法XGBoost和3-sigma的可靠性均小于第一预设阈值时，将第一校验结果作为第二检测结果。

在一个示例性实例中，异常检测算法的可靠性包括：异常检测算法的相似度比对、统计检验等。例如，所述异常检测算法的重合率。

在另一个示例性实例中，根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果之前，该方法还包括：

对于每一种所述异常检测算法，计算所述异常检测算法的重合率。

在一个示例性实例中，计算异常检测算法的重合率包括：

确定第一数量和第二数量的比值为所述重合率；

其中，所述第一数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对第二数据的第二特征数据进行检测得到的第三检测结果和对所述第二数据的第二特征数据进行可靠性校验得到的第二校验结果相同的第二数据的数量；

所述第二数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对第二数据的第二特征数据进行检测得到的第三检测结果为异常的第二数据的数量。

例如，最近一个月，所有小区，RRC建立连接成功率指标的检测结果。即依据过去一个月，所有小区，RRC建立连接成功率指标的所有样本中，采用异常检测算法进行检测得到的检测结果为异常的样本，假设一共有m个，并且记录各个异常检测算法在每个样本上的检测结果，以及对采集的数据进行的可靠性校验得到的检验结果，在此基础上，计算异常检测算法i的与检验结果一致的样本数量c_i，则重合率为c_i/m。

在本发明另一个实施例中，该方法还包括以下任意一个或多个：

当所述第二检测结果为异常，且接收到用户的异常取消信息时，将所述第一数据作为标注为正常的样本加入标注样本库；

当所述第二检测结果为异常，且接收到用户的异常确认信息时，将所述第一数据作为标注为异常的样本加入标注样本库中；

其中，所述标注样本库中的标注为正常或异常的样本用于训练所述异常检测算法的监督学习模型，所述异常检测算法基于所述监督学习模型对所述第一数据的第一特征数据进行检测得到第一检测结果。将第一数据作为标注样本加入标注样本库中，随着时间的推移，标注样本库中积累的标注样本数目越来越多，使得基于监督学习或半监督学习的异常检测算法应用新增标注样本进行增量学习或周期性地重新训练监督学习模型，提高了监督学习模型的可靠性，从而提高了异常检测算法的检测准确率。

也就是说，当第二检测结果为异常时，显示异常信息，例如，异常信息包括异常数据(即第一数据)对应的对象名称“小区1”、发生时间t_w、KPI名称“RRC建立连接成功率”、KPI值x_w等。用户可以选择输入异常确认信息对异常进行确认，或者输入异常取消信息对异常进行取消；或者不进行任何操作。当用户输入异常确认信息时，将第一数据作为标注为异常的样本加入标注样本库中；当用户输入异常取消信息时，将第一数据作为标注为正常的样本加入样本库中。

本发明实施例基于多种异常检测算法的检测结果以及可靠性的校验结果确定最终检测结果，由于可靠性的校验是基于专家业务经验、领域知识所做的可靠性校验，提高了检测结果的可靠性。

本发明另一个实施例提出了一种异常检测装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任一种异常检测方法。

本发明另一个实施例提出了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一种异常检测方法的步骤。

参见图2，本发明另一个实施例提出了一种异常检测装置，包括：

检测模块201，用于对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于或等于1的整数；当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

确定模块202，用于根据第一检测结果为异常的异常检测算法的可靠性是否大于或等于第一预设阈值和第一校验结果确定第二检测结果。

在本发明实施例中，第一数据可以是任意需要进行异常检测的数据，例如KPI数据等。

例如，对于小区1的无线资源控制(RRC，Radio Resource Control)建立连接成功率指标，第一数据包括时间序列数data1和相关数据data2。

其中，data1记为{(t₁,x₁),...,(t_w,x_w)}，t_w为待检测的时刻，x_w为t_w对应的RRC建立连接成功率的值，采样时间粒度为T，即t_w-t_w-1＝T，data2记为[x_eff，x_ref，pre_res，obj_id，KPI_id]，x_eff为t_w时刻对应的RRC建立连接请求数、x_ref为RRC建立连接失败次数、pre_res为t_w-1时刻是否异常，obj_id为小区id，KPI_id为待检测KPI的id。

在本发明实施例中，检测模块201可以在采集第一数据后，一次性从第一数据中提取N种异常检测算法所需要的所有第一特征数据，在采用每一种异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果时，从提取的特征数据中选择该种异常检测算法所需要的第一特征数据；

或者，检测模块201在采用每一种异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果时，从采集的第一数据中提取该种异常检测算法所需要的第一特征数据。

当然，也不是所有的第一数据都需要进行特征提取，对于不需要进行特征提取的第一数据，直接将第一数据作为第一特征数据即可。

在一个示例性实例中，检测模块201在提取第一数据的特征数据之前，首先对第一数据进行清洗，再从清洗后的第一数据中提取特征数据。当然，也不是所有的第一数据均需要进行清洗，可以对部分第一数据进行清洗，本发明实施例对此不作限定。

例如，对于上述data1和data2，对data1进行清洗，不对data2进行清洗。例如，当data1有缺失值时，采用例如线性插值、均值等方法对缺失的数据进行填充。

对data1进行清洗后，从清洗后的data1中提取第一特征数据，例如，对清洗后的data1进行特征统计(例如最大值x_max、最小值x_min、平均值x_mean、中位数x_median、标准差x_std等)、周期性判断、分类特征构造(例如对t_w进行独热(one-hot)编码，包括小时，星期几等)、计算x_w的同比环比，一阶差分，二阶差分等。

直接将data2加入第一特征数据中，最终得到第一特征数据，记作feature data＝[f₁,f₂,...,f_n]。

在本发明实施例中，异常检测算法可以是基于统计学习算法(例如3-sigma，指数加权移动平均法(EWMA，Exponentially Weighted Moving-Average)，差分整合移动平均自回归模型(ARIMA，Autoregressive Integrated Moving Average Model)等)、无监督分类算法(例如孤立森林(Isolation Forest)，单分类支持向量机(SVM，Support VectorMachine)(one-class SVM)，变分自编码(Variational Auto-Encode)等)、监督学习算法(例如逻辑回归，极端梯度提升(XGBoost，eXtreme Gradient Boosting)，深度神经网络(DNN，Deep Neural Network)等等)。本发明实施例采用多种异常检测算法进行异常检测，目的是将可能的异常数据都检测出来。例如，对于从上述data1和data2提取的第一特征数据，采用3-sigma，EWMA，Holt-Winters，以及XGBoost算法进行检测得到的第一检测结果分别为：res1＝1、res2＝0、res3＝0、res4＝1，其中，0表示正常，1表示异常。

在本发明实施例中，用户可以通过界面设置可靠性校验的校验条件、选择可靠性评估方法以及设置相关参数，也可以通过编写配置文件的形式导入校验条件、可靠性评估方法以及相关参数。具体的实现方式本发明实施例不作限定。

在一个示例性实例中，检测模块201具体用于采用以下方式实现对第一数据的第一特征数据进行可靠性校验：对所述第一数据的第一特征数据进行以下至少之一：数据有效性检验、安全区间检验、全网贡献度检验、异常持续性检验。

上述进行可靠性校验的具体规则由专家根据业务经验、领域知识给出，可以由用户在页面进行相关设置或者导入可配置文件。

例如，对于上述从data1和data2提取的第一特征数据，对第一特征数据进行数据有效性校验也就是检测RRC建立连接请求数x_eff是否大于第二预设阈值x_eff_threshold，当RRC建立连接请求数大于第二预设阈值时，认为第一数据有效，继续对第一特征数据进行安全区间检验；当RRC建立连接请求数小于或等于第二预设阈值时，认为第一数据无效，那么第一数据正常(即第一校验结果为正常)，检验结束。其中，x_eff_threshold由专家根据业务经验、领域知识给出，具体可以由用户在页面进行相关设置或者导入可配置文件。

对第一特征数据进行安全区间检验也就是检测RRC建立连接成功率x_w是否在安全区间[x_min,x_max]内，当RRC建立连接成功率在安全区间内时，认为第一数据正常(即第一校验结果为正常)，检验结束；当RRC建立连接成功率不在安全区间内时，继续对第一特征数据进行全网贡献度检验。其中，安全区间[x_min,x_max]由专家根据业务经验、领域知识给出，具体可以由用户在页面进行相关设置或者导入可配置文件。

对第一特征数据进行全网贡献度检验也就是检测RRC建立连接失败次数x_ref是否大于第三预设阈值x_ref_threshold，当RRC建立连接失败次数大于第三预设阈值时，确定第一校验结果为异常；当RRC建立连接失败次数小于或等于第三预设阈值时，继续对第一特征数据进行持续性检验。其中，x_ref_threshold由专家根据业务经验、领域知识给出，具体可以由用户在页面进行相关设置或者导入可配置文件。

对第一特征进行持续性检验也就是对t_w之前的一段时间的检验结果pre_res是否为异常，以及通过二阶差分的值判断是否有持续变坏的趋势，当t_w之前的一段时间的检验结果均为异常，且有变坏的趋势时，确定第一校验结果为异常；当t_w之前的一段时间的检验结果中的至少一个检验结果为正常，或者有变好的趋势时，确定第一校验结果为正常，检验结束。

在一个示例性实例中，确定模块202具体用于执行以下任意一种或多种：

当所述第一检测结果为异常的异常检测算法中的一种或一种以上异常检测算法的可靠性大于或等于所述第一预设阈值时，确定所述第二检测结果为异常；

当所述第一检测结果为异常的异常检测算法的可靠性均小于所述第一预设阈值时，将所述第一校验结果作为所述第二检测结果。

例如，上述对从data1和data2提取的第一特殊数据的检测中，当异常检测算法XGBoost的可靠性大于或等于第一预设阈值，且异常检测算法3-sigma的可靠性小于第一预设阈值时，确定第二检测结果为异常；

当异常检测算法XGBoost和3-sigma的可靠性均小于第一预设阈值时，将第一校验结果作为第二检测结果。

在一个示例性实例中，异常检测算法的可靠性包括：异常检测算法的相似度比对、统计检验等。例如，所述异常检测算法的重合率。

在另一个示例性实例中，确定模块202还用于：

对于每一种所述异常检测算法，计算所述异常检测算法的重合率。

在一个示例性实例中，确定模块202具体用于采用以下方式实现计算异常检测算法的重合率：确定第一数量和第二数量的比值为所述重合率；

其中，所述第一数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对第二数据的第二特征数据进行检测得到的第三检测结果和对所述第二数据的第二特征数据进行可靠性校验得到的第二校验结果相同的第二数据的数量；

所述第二数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对第二数据的第二特征数据进行检测得到的第三检测结果为异常的第二数据的数量。

例如，最近一个月，所有小区，RRC建立连接成功率指标的检测结果。即依据过去一个月，所有小区，RRC建立连接成功率指标的所有样本中，采用异常检测算法进行检测得到的检测结果为异常的样本，假设一共有m个，并且记录各个异常检测算法在每个样本上的检测结果，以及对采集的数据进行的可靠性校验得到的检验结果，在此基础上，计算异常检测算法i的与检验结果一致的样本数量c_i，则重合率为c_i/m。

在本发明另一个实施例中，确定模块202还用于执行以下任意一个或多个：

当所述第二检测结果为异常，且接收到用户的异常取消信息时，将所述第一数据作为标注为正常的样本加入标注样本库；

当所述第二检测结果为异常，且接收到用户的异常确认信息时，将所述第一数据作为标注为异常的样本加入标注样本库中；

其中，所述标注样本库中的标注为正常或异常的样本用于训练所述异常检测算法的监督学习模型，所述异常检测算法基于所述监督学习模型对所述第一数据的第一特征数据进行检测得到第一检测结果。将第一数据作为标注样本加入标注样本库中，随着时间的推移，标注样本库中积累的标注样本数目越来越多，使得基于监督学习或半监督学习的异常检测算法应用新增标注样本进行增量学习或周期性地重新训练监督学习模型，提高了监督学习模型的可靠性，从而提高了异常检测算法的检测准确率。

也就是说，当第二检测结果为异常时，显示异常信息，例如，异常信息包括异常数据(即第一数据)对应的对象名称“小区1”、发生时间t_w、KPI名称“RRC建立连接成功率”、KPI值x_w等。用户可以选择输入异常确认信息对异常进行确认，或者输入异常取消信息对异常进行取消；或者不进行任何操作。当用户输入异常确认信息时，将第一数据作为标注为异常的样本加入标注样本库中；当用户输入异常取消信息时，将第一数据作为标注为正常的样本加入样本库中。

本发明实施例基于多种异常检测算法的检测结果以及可靠性的校验结果确定最终检测结果，由于可靠性的校验是基于专家业务经验、领域知识所做的可靠性校验，提高了检测结果的可靠性。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

虽然本发明实施例所揭露的实施方式如上，但所述的内容仅为便于理解本发明实施例而采用的实施方式，并非用以限定本发明实施例。任何本发明实施例所属领域内的技术人员，在不脱离本发明实施例所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明实施例的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims (10)

1.一种异常检测方法，包括：

对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于1的整数；

当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

根据第一检测结果为异常的异常检测算法的重合率是否大于或等于第一预设阈值和第一校验结果确定第二检测结果；

当所述第二检测结果为异常，且接收到用户的异常确认信息时，将所述第一数据作为标注为异常的样本加入标注样本库中；

其中，所述标注样本库中的标注为正常或异常的样本用于训练所述异常检测算法的监督学习模型，所述异常检测算法基于所述监督学习模型对所述第一数据的第一特征数据进行检测得到所述第一检测结果；

所述异常检测算法的重合率基于以下步骤得到：

确定第一数量和第二数量的比值为所述重合率；

其中，所述第一数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果和对所述第二数据的第二特征数据进行可靠性校验得到的第二校验结果相同的第二数据的数量；

所述第二数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果为异常的第二数据的数量。

2.根据权利要求1所述的方法，其特征在于，该方法还包括：

当所述第二检测结果为异常，且接收到用户的异常取消信息时，将所述第一数据作为标注为正常的样本加入标注样本库。

3.根据权利要求1或2所述的方法，其特征在于，其中，所述对所述第一数据的第一特征数据进行可靠性校验包括：对所述第一数据的第一特征数据进行以下至少之一：

数据有效性检验、安全区间检验、全网贡献度检验、异常持续性检验。

4.根据权利要求1或2所述的方法，其特征在于，其中，所述根据第一检测结果为异常的异常检测算法的重合率是否大于或等于第一预设阈值和第一校验结果确定第二检测结果包括以下任意一种或多种：

当所述第一检测结果为异常的异常检测算法中的一种或一种以上异常检测算法的重合率大于或等于所述第一预设阈值时，确定所述第二检测结果为异常；

当所述第一检测结果为异常的异常检测算法的重合率均小于所述第一预设阈值时，将所述第一校验结果作为所述第二检测结果。

5.根据权利要求1所述的方法，其特征在于，所述根据第一检测结果为异常的异常检测算法的重合率是否大于或等于第一预设阈值和第一校验结果确定第二检测结果之前，该方法还包括：

对于每一种所述异常检测算法，计算所述异常检测算法的重合率。

6.一种异常检测方法，包括：

对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于1的整数；

当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

根据第一检测结果为异常的异常检测算法的重合率是否大于或等于第一预设阈值和第一校验结果确定第二检测结果；

当所述第二检测结果为异常，且接收到用户的异常取消信息时，将所述第一数据作为标注为正常的样本加入标注样本库；

其中，所述标注样本库中的标注为正常或异常的样本用于训练所述异常检测算法的监督学习模型，所述异常检测算法基于所述监督学习模型对所述第一数据的第一特征数据进行检测得到所述第一检测结果；

所述异常检测算法的重合率基于以下步骤得到：

确定第一数量和第二数量的比值为所述重合率；

其中，所述第一数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果和对所述第二数据的第二特征数据进行可靠性校验得到的第二校验结果相同的第二数据的数量；

所述第二数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果为异常的第二数据的数量。

7.一种异常检测装置，包括处理器和计算机可读存储介质，所述计算机可读存储介质中存储有指令，其特征在于，当所述指令被所述处理器执行时，实现如权利要求1~6任一项所述的异常检测方法。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1~6任一项所述的异常检测方法的步骤。

9.一种异常检测装置，包括：

检测模块，用于对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于1的整数；当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

确定模块，用于根据第一检测结果为异常的异常检测算法的重合率是否大于或等于第一预设阈值和第一校验结果确定第二检测结果；当所述第二检测结果为异常，且接收到用户的异常确认信息时，将所述第一数据作为标注为异常的样本加入标注样本库中；其中，所述标注样本库中的标注为正常或异常的样本用于训练所述异常检测算法的监督学习模型，所述异常检测算法基于所述监督学习模型对所述第一数据的第一特征数据进行检测得到所述第一检测结果；

所述异常检测算法的重合率基于以下步骤得到：

确定第一数量和第二数量的比值为所述重合率；

其中，所述第一数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果和对所述第二数据的第二特征数据进行可靠性校验得到的第二校验结果相同的第二数据的数量；

所述第二数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果为异常的第二数据的数量。

10.一种异常检测装置，包括：

检测模块，用于对于N种异常检测算法中的每一种异常检测算法，采用所述异常检测算法对采集的第一数据的第一特征数据进行检测得到第一检测结果；其中，N为大于1的整数；当一种或一种以上异常检测算法的第一检测结果为异常时，对所述第一数据的第一特征数据进行可靠性校验得到第一校验结果；

确定模块，用于根据第一检测结果为异常的异常检测算法的重合率是否大于或等于第一预设阈值和第一校验结果确定第二检测结果；当所述第二检测结果为异常，且接收到用户的异常取消信息时，将所述第一数据作为标注为正常的样本加入标注样本库；其中，所述标注样本库中的标注为正常或异常的样本用于训练所述异常检测算法的监督学习模型，所述异常检测算法基于所述监督学习模型对所述第一数据的第一特征数据进行检测得到所述第一检测结果；

所述异常检测算法的重合率基于以下步骤得到：

确定第一数量和第二数量的比值为所述重合率；

其中，所述第一数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果和对所述第二数据的第二特征数据进行可靠性校验得到的第二校验结果相同的第二数据的数量；

所述第二数量为在预设时间内采集的所有第二数据中，采用所述异常检测算法对所述第二数据的第二特征数据进行检测得到的第三检测结果为异常的第二数据的数量。