CN112363891A - 一种基于细粒度事件和KPIs分析的异常原因获得方法 - Google Patents

Abstract

本发明公开了一种基于细粒度事件和KPIs分析的计算机异常原因获得方法。首先，输入的是原始的时间序列和细粒度事件序列。在有了输入之后，首先对KPIs特征进行提取组成新的时间序列数据。与此同时，将众多的原始的KPIs进行聚类，这样做的目的是将相似的KPIs找出来，为后续分析相关性节约处理时间做准备。没有必要对所有的时间序列和事件进行相关分析，而是根据快速聚类结果来处理部分数据即可，这样可以提高处理效率。最后，所有的结果进行关系分析生成直观的异常因果图，为相关人员异常排查提供有力保障。本方案异常识别中的F1‑score值可以达到0.79左右。此外，此方案法可以将细粒度事件与KPIs异常关联起来，并最终能分析异常背后的多种原因。

Description

一种基于细粒度事件和KPIs分析的异常原因获得方法

技术领域

本发明属于计算机异常检测领域，一种基于细粒度事件和KPIs分析的异常原因分析方法。

背景技术

目前，大型internet的服务公司通过数千台服务器提供大量的服务和应用程序。然而，服务由于某种原因中断是不可避免的，例如，断网、服务器停机、攻击、误操作等等。为了保持竞争力，这些公司的经营者努力保持他们的服务可靠。他们不断地监视KPIs(KeyPerformance Indicators)，这基本上都是一些时间序列的数据，例如服务质量度量、成功率和请求数量等。实际中，一个异常往往会导致某些KPIs数据异常，而这些异常的KPIs又会导致别的KPIs异常波动，这就造成大面积数据异常报警。每当突发事件发生之后，系统人员第一要务就是分析异常的根本原因，在最短的时间内使系统恢复正常，将损失降到最低。实际根因分析过程漫长且复杂，由于涉及到多组人员，由于彼此互相不了解，最终分析的过程可能演变成不同组的人员互相责怪。

以往大多数的研究得到的异常仅仅是数学统计意义上的异常，并不是实际中用户所关心的异常。用户想被告知可能是由于某些具体细粒度操作事件(例如，登录，更新配置文件，删除等操作)导致了现状而不是仅仅数学统计的异常报警。所以如何在纷繁交错的异常报警中，如何清晰的呈报导致异常的多种原因或者根本原因是非常具有挑战性的。

大量的研究分析了不同类型数据的相关性，这些相关性可以分为三类：KPIs之间的相关性分析、事件之间相关性分析和KPIs和事件之间相关性分析。

这些关联算法主要分析原始KPIs之间的相关性，或者将KPIs转化为事件，利用事件分析相关性。这些方法大多粒度比较粗或者不能很好地展示识别因果关系。

发明内容

本发明的目的在于提供一种基于细粒度事件和KPIs分析的异常原因获得方法，以解决上述问题。

为实现上述目的，本发明采用以下技术方案：

一种基于细粒度事件和KPIs分析的异常原因获得方法，包括以下步骤：

步骤1：读取细粒度事件数据和原始KPIs数据；

步骤2：对输入的原始KPIs数据进行特征提取获得新的KPIs数据；

步骤3：将原始的KPIs数据进行快速聚类，将相似的KPIs归类成簇，先只对事件序列和簇“中心点”进行初步分析，为后续进一步相关性分析节约处理时间做准备；

步骤4：将细粒度事件数据和步骤3得到的每一类簇中心的特征提取后新的KPIs数据进行相关分析得出结果；相关分析具体包括：这两者是否相关，如果相关，是谁先发生，是正相关还是负相关；

步骤5：所有的结果进行关系因果分析；

步骤6：生成异常因果图时，给出相关KPIs类中相似度前N项的KPIs数据之间的关联关系，就可反向进行关系分析生成多因异常因果图。

进一步的，步骤2的特征提取是通过时间序列提取不同异常波动的特征。

进一步的，步骤2的特征提取是把原始KPIs数据中孤立点、转折点和异常区域三种不同的异常进行识别和有机的加权组合。

进一步的，三类异常的提取方法：

(1)捕获孤立点异常方法：给定一个时间序列

根据计算预测出t时刻的s_t的预测值期望值，用p_t表示；用s_t-p_t的值表示预测偏差Pe，即Pe_t＝s_t-p_t；如果偏差超出某个固定阈值，异常则被捕获；偏差数据在固定阈值内时，利用相对误差进行优化，相对误差

(2)捕获转折点异常方法；使用核密度估计误差的分布，然后用K-L散度来计算差异TP_e；

(3)捕获异常区域的方法：异常区域是与其他时间序列的平均偏差相比，偏差大于某个固定阈值的时间序列，计算时间序列的平均偏差相对于其他时间序列的大小。

进一步的，步骤3中，先对原始数据进行取样，根据时序数列特点，选取L1距离作为相似性度量，采用修改后的DBSCAN算法进行聚类。

进一步的，步骤4中，将相关性的判断转化为两样本问题，两样本假设检验的核心是判断两个样本是否来自相同的分布；首先选取事件发生前或者后对应的N段长为k的时序样本数据，用A1表示；样本组A2则是在时间序列上随机选取一系列长度为k的样本数据；样本集为A1并上A2；如果细粒度事件和时间序列相关，则A1和A2的分布不同，否则分布相同。

进一步的，步骤6中，进行生成异常因果图时，根据快速聚类的结果，首先判断事件序列和聚类结果集合中的“中心点”是否相关，如果相关，则将考察次事件序列和此聚类集合中的所有时间序列进行相关分析；否则，不再考察此聚类结果集合中的数据与事件序列之间的相关性；考虑每个簇中的前N项相关KPIs从而得到不同KPIs之间的波动的关联关系，反向推出导致这样的波动的细粒度的事件，每个细粒度事件和不同的KPIs会得到相关性数值；对于每个细粒度事件本文选择前k个相关度最高的KPIs组成集合，然后再根据KPIs聚类的结果进一步处理；将各自的相关性按照事件关联顺序组织起来，形如，

表示：细粒度事件FE发生后使得时间序列数据S_i降低的变化进而影响时间序列数据S_j增加的变化；最终对多因进行可能性大小判断生成异常因果图。

与现有技术相比，本发明有以下技术效果：

本发明首先输入的是原始的时间序列和细粒度事件序列。在有了输入之后，首先对KPIs特征进行提取组成新的时间序列数据。与此同时，将众多的原始的KPIs进行聚类，这样做的目的是将相似的KPIs找出来，为后续分析相关性节约处理时间做准备，因为没有必要对所有的时间序列和事件进行相关分析，而是根据快速聚类结果来处理部分数据即可，这样可以提高处理效率。其次，考虑到一个事件发生的原因并不一定只有一个原因，对相关性靠前的N个KPIs都进行处理，解决以往方案很少关注的异常多因问题。最后，所有的结果进行关系分析生成异常因果图，便于异常追踪，为相关人员异常排查提供有力保障。

本发明通过时间序列模型提取捕获KPI波动的特征，并专注于特征而不是原始的KPIs，将KPIs的特征数据和具体的细粒度事件相结合，试图揭示异常背后的真正原因而不是仅仅的统计上的数据异常。试图解决大面积异常报警后快速寻找根因或者多因的挑战，试图在最短的时间内使系统恢复正常，将损失降到最低。

附图说明

图1为具体方案的架构示意图；

图2不同类型异常示意图；

图3细粒度事件和时间序列相关示意图；

图4异常根因发掘举例示意图1。

图5异常根因发掘举例示意图2。

图6场景举例示意图。

具体实施方式

以下结合附图，对本发明进一步说明：

提出的具体方案架构如图1所示，输入的是原始的时间序列和细粒度事件序列。在有了输入之后，首先对KPIs特征进行提取组成新的时间序列数据。与此同时，将众多的原始的KPIs进行聚类，这样做的目的是将相似的KPIs分成一簇，因为没有必要对所有的时间序列和事件进行相关分析，而是根据快速聚类结果来处理部分数据即可，为后续分析节约处理时间从而提高处理效率。其次，先只对事件序列和簇“中心点”进行初步相关性分析，最后，给出相关KPIs类中相似度前N项的KPIs数据之间的关联关系，就可反向进行关系分析生成多因异常因果图，为相关人员异常排查提供有力保障。

请参阅图1至图5，基于细粒度事件和KPIs相关分析的异常原因探索方法，包括以下步骤：

步骤一：读取细粒度事件数据和原始KPIs数据；

步骤二：对原始的KPIs数据进行特征提取，是将孤立点、转折点和异常区域三种不同的异常进行识别和组合，如图2所示。(1)捕获孤立点异常方法：给定一个时间序列

限据计算可以预测出t时刻的s_t的预测值期望值，用p_t表示。我们用s_t-p_t的值表示预测偏差Pe，即Pe_t＝s_t-p_t。如果偏差超出某个固定阈值，异常则被捕获。有时候数据变化并不明显，我们利用相对误差进行优化。相对误差

这样就是在数据归一化时候发现异常。

(2)捕获转折点异常方法：使用核密度估计误差的分布，然后用K-L散度来计算差异TP_e。

(3)捕获异常区域的方法：异常区域就是与其他时间序列的平均偏差显著的时间序列。那么就可以简单地计算时间序列的平均偏差AA_e相对于其他时间序列。把三类异常作为特征提取后进行加权放大，所以新的时间序列为S_feature＝(Re_i+2TP_e_i+3AA_e_i|i＝t)。

步骤三：将原始的KPIs数据进行快速聚类。由于现实中KPIs数据可能非常多，为了减少计算量提高前期数据分析速度，我们不直接处理每个原始数据，先进行取样。根据时序数列特点，选取L1距离作为相似性度量，并且基于密度的聚类方法是一种很好的选择。采用修改后的DBSCAN算法进行聚类。当聚类完成后，可能还有未分类的时序数据曲线。对于一个未分类实例，找出与它相似性距离最近的已分类实例A。若二者的距离小于A所在聚类簇的密度半径，则将该实例划分至与A相同的类别中。如果不满足条件就舍去不处理。

步骤四：将细粒度事件和特征提取的新的KPIs数据进行相关分析，将相关性的判断转化为两样本问题(two-sample problem)，两样本假设检验的核心是判断两个样本是否来自相同的分布。细粒度事件和KPIs数据之间的相关，有两层含义：第一，这两者是否相关？第二，如果相关，到底是谁先发生，是正相关还是负相关。

步骤五：所有的结果进行关系分析生成异常因果图。每个细粒度事件和不同的KPIs会得到相关性数值。对于每个细粒度事件本文选择前N个相关度最高的KPIs组成集合，然后再根据KPIs聚类的结果进一步处理。将各自的相关性按照事件关联顺序组织起来。具体关系分析算法过程如下：

关系分析

参照附图1、2、3和4对本发明整体给出具体实施方式。

本发明总体实施方案架构如图1所示，整个架构分为四部分。首先我们先看一个应用场景，如图5所示，图5给出了一个企业网络部署图。其中，S1-S3是三个Web服务的集群……。当S2由于磁盘错误无法正常相应Web请求了，但是其网络服务和其他硬件都是正常的。由于S2无法进行Web服务，其CPU占用率KPI一直是最低的。这时，负载均衡N会将请求都分发给S2。这就造成了整个Web服务的崩溃。在传统的KPI分析时候，只有当Web服务崩溃后，才去花大量的人力去排查事故，利用各种算法才可以发现S2停机事件和相关KPI的关联线索。如果我们利用本专利方法，我们就能根据细粒度事件和KPIs之间的相关性提前发现发给S2的请求并未得到响应，从而其排除集群确保整个服务的正常运行。

整个流程之间的协作过程说明如下：

首先，细粒度事件数据和原始KPIs数据。

其次，假设时间序列表示为S＝(s₁，s₂，...，s_m)，其中，s_m为某时候的观察值。时间序列的时间戳表示为T_S，其中Tx＝(t₁，t₂，...，t_m)，其中t_m＝t(s_m)，并且t(s_i)＝t(s_i-1)+Δt，Δt表示取样时间间隔。给定KPI时间序列后，预测的相应KPI时间序列预测模型产生的预测值序列，记为P(T_S)＝(E(t₁)，E(t₂)，...，E(t_m))，其中E(x)是在x时刻的期望值。给定事件序列/细粒度事件序列表示为E/FE，事件的时间戳表示为T_E/T_FE，T_E/T_FE＝(t₁，t₂，...，t_n)，其中n表示时间发生的次数。这里，我们假设每个时间序列都有一个均匀的采样间隔。在我们的分析中，还假设事件对时间序列的影响只持续一定的时间间隔，与时间序列的总持续时间相比，这个时间间隔非常小。如果事件类型E/FE与时间序列S具有相关关系，那么每次事件E发生时，时间序列都会发生相应的变化，记做作：

一个FE和一个时间序列S是相关的，S经常发生在EF变化之后，可以记作：FE→S，如果他们同时发生波动，我们表示

如果

且FE→S，并且随着FE发生，S值增长，可记作：

如果

且FE→S，并且随着FE发生，S值减少，可记作：

以上定义的关系符号是具有传递性的，例如，

表示：细粒度事件FE发生后使得时间序列数据S_i变化(降低)进而影响时间序列数据S_j变化(增加)。

最终，要解决的问题可以阐述为：有时间序列KPIs数据S_i和细粒度事件FE_j，最终要找到所有相关的异常关系，例如之前提到的

如图4所示，将KPI进行聚类后，和细粒度事件进行关联分析，给出Top N相关KPIs。这样做的好处是可以发现多因。如图5所示，实验结果中，当网络服务中出现异常时，首先根据最近的异常情况计算回退。首先，在web服务崩溃后，建立一组反向可达的细粒度事件{FE7}。由于只有FE7，将继续执行从FE7开始的反推。然后构造反向可达集{FE2，FE3，FE4}。磁盘错误异常的变化有三个原因。根据解决策略，选择变化最相关的FE2，得到根因，我们发现KPIs异常和细粒度事件数据库配合文件更新有相关性，并且事件序列在先发生。如果我们利用Top N相关KPIs就会发现某个细粒度频繁操作事也是相关的。再根据各种KPI之间的关系后就能构建异常链。我们就会发现，由于工作人员数据库文件更新时候有问题导致了数据部不响应，然后主机上无法处理请求，所以中间件中的CPU利用率很低，导致了负载平衡将大量的业务导入CPU使用率低的主机造成了系统瘫痪。另外还能看出由于某个用户频繁操作某功能，也加剧了KPIs的异常，所以要进行多方面干预恢复。所以，本方法得出的结果能直观准确地分析出是什么具体的操作或事件导致的了数据波动。

本方法不限于仅在网络系统异常根因查找方面使用，也可根据具体情况在各个领域异常检测时候使用。

尽管为说明目的公开了本发明的具体实施方案和附图，其目的在于帮助理解本发明的内容并据以实施，但那是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书实施方案和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (7)

1.一种基于细粒度事件和KPIs分析的异常原因获得方法，其特征在于，包括以下步骤：

步骤1：读取细粒度事件数据和原始KPIs数据；

步骤2：对输入的原始KPIs数据进行特征提取获得新的KPIs数据；

步骤3：将原始的KPIs数据进行快速聚类，将相似的KPIs归类成簇，先只对事件序列和簇“中心点”进行初步分析，为后续进一步相关性分析节约处理时间做准备；

步骤4：将细粒度事件数据和步骤3得到的每一类簇中心的特征提取后新的KPIs数据进行相关分析得出结果；相关分析具体包括：这两者是否相关，如果相关，是正相关还是负相关；

步骤5：所有的结果进行关系因果分析；

步骤6：生成异常因果图时，给出相关KPIs类中相似度前N项的KPIs数据之间的关联关系，就可反向进行关系分析生成多因异常因果图。

2.根据权利要求1所述的一种基于细粒度事件和KPIs分析的计算机异常原因获得方法，其特征在于，步骤2的特征提取是通过时间序列提取不同异常波动的特征。

3.根据权利要求1所述的一种基于细粒度事件和KPIs分析的计算机异常原因获得方法，其特征在于，步骤2的特征提取是把原始KPIs数据中孤立点、转折点和异常区域三种不同的异常进行识别和有机的加权组合。

4.根据权利要求3所述的一种基于细粒度事件和KPIs分析的计算机异常原因获得方法，其特征在于，三类异常的提取方法：

(1)捕获孤立点异常方法：给定一个时间序列

根据计算预测出t时刻的s_t的预测值期望值，用p_t表示；用s_t-p_t的值表示预测偏差Pe，即Pe_t＝s_t-p_t；如果偏差超出某个固定阈值，异常则被捕获；偏差数据在固定阈值内时，利用相对误差进行优化，相对误差

(2)捕获转折点异常方法；使用核密度估计误差的分布，然后用K-L散度来计算差异TP_e；

(3)捕获异常区域的方法：异常区域是与其他时间序列的平均偏差相比，偏差大于某个固定阈值的时间序列，计算时间序列的平均偏差相对于其他时间序列的大小。

5.根据权利要求1所述的一种基于细粒度事件和KPIs分析的计算机异常原因获得方法，其特征在于，步骤3中，先对原始数据进行取样，根据时序数列特点，选取L1距离作为相似性度量，采用修改后的DBSCAN算法进行聚类。

6.根据权利要求1所述的一种基于细粒度事件和KPIs分析的计算机异常原因获得方法，其特征在于，步骤4中，将相关性的判断转化为两样本问题，两样本假设检验的核心是判断两个样本是否来自相同的分布；首先选取事件发生前或者后对应的N段长为k的时序样本数据，用A1表示；样本组A2则是在时间序列上随机选取一系列长度为k的样本数据；样本集为A1并上A2；如果细粒度事件和时间序列相关，则A1和A2的分布不同，否则分布相同。

7.根据权利要求1所述的一种基于细粒度事件和KPIs相关分析的异常原因探索方法，其特征在于，步骤6中，进行生成异常因果图时，根据快速聚类的结果，首先判断事件序列和聚类结果集合中的“中心点”是否相关，如果相关，则将考察次事件序列和此聚类集合中的所有时间序列进行相关分析；否则，不再考察此聚类结果集合中的数据与事件序列之间的相关性；考虑每个簇中的前N项相关KPIs从而得到不同KPIs之间的波动的关联关系，反向推出导致这样的波动的细粒度的事件，每个细粒度事件和不同的KPIs会得到相关性数值；对于每个细粒度事件本文选择前k个相关度最高的KPIs组成集合，然后再根据KPIs聚类的结果处理；将各自的相关性按照事件关联顺序组织起来，形如，

表示：细粒度事件FE发生后使得时间序列数据S_i降低的变化进而影响时间序列数据S_j增加的变化；最终对多因进行可能性大小判断生成异常因果图。

Images