CN115022083B - 一种异常定界方法和装置 - Google Patents
一种异常定界方法和装置 Download PDFInfo
- Publication number
- CN115022083B CN115022083B CN202210814673.5A CN202210814673A CN115022083B CN 115022083 B CN115022083 B CN 115022083B CN 202210814673 A CN202210814673 A CN 202210814673A CN 115022083 B CN115022083 B CN 115022083B
- Authority
- CN
- China
- Prior art keywords
- data
- time sequence
- message
- feature
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 110
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000001514 detection method Methods 0.000 claims abstract description 184
- 230000002776 aggregation Effects 0.000 claims abstract description 56
- 238000004220 aggregation Methods 0.000 claims abstract description 56
- 230000005856 abnormality Effects 0.000 claims abstract description 40
- 238000004458 analytical method Methods 0.000 claims abstract description 34
- 238000004422 calculation algorithm Methods 0.000 claims description 91
- 238000000605 extraction Methods 0.000 claims description 31
- 238000004364 calculation method Methods 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 16
- 238000013138 pruning Methods 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 6
- 238000010606 normalization Methods 0.000 claims description 6
- 230000004931 aggregating effect Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000003860 storage Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明实施例提供了一种异常定界方法和装置,所述方法包括:对获取的原始报文数据进行数据聚合,得到聚合报文数据;通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果,针对不同的细分场景,自适应进行异常检测和异常定界,极大提高了异常定界结果的准确度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种异常定界方法和装置。
背景技术
在业务系统的运维过程中,业务原始报文数据是异常检测和定界的重要依据。不同的细分场景有不同的异常检测需求,由于业务原始报文数据中数据量庞大,对异常检测和定界的准确度带来了挑战。相关技术中,运维平台当检测到指标异常时,对指定字段进行聚合,找出异常字段及其取值作为异常定界结果,对不同异常检测需求的的场景采用统一的异常定界方式,导致异常定界结果准确性较低。
发明内容
本发明的一个目的在于提供一种异常定界方法,针对不同的细分场景,自适应进行异常检测和异常定界,极大提高了异常定界结果的准确度。本发明的另一个目的在于提供一种异常定界装置。本发明的再一个目的在于提供一种计算机可读介质。本发明的还一个目的在于提供一种计算机设备。
为了达到以上目的,本发明一方面公开了一种异常定界方法,包括:
对获取的原始报文数据进行数据聚合,得到聚合报文数据;
通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;
若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果。
优选的,对获取的原始报文数据进行数据聚合,得到聚合报文数据,包括:
按照预设的聚合字段,对原始报文数据的预设的关键指标字段进行聚合,得到聚合报文数据。
优选的,在通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果之前,还包括:
通过特征提取算法,对聚合报文数据进行特征提取,得到报文特征数据;
对聚合报文数据中的报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据。
优选的,通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果,包括:
将聚合报文数据进行时序转换,得到关键指标字段的时序数据;
通过特征提取算法,对关键指标字段的时序数据进行特征提取,得到时序数据的关键指标特征数据;
通过细分场景的配置信息,对时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果。
优选的,细分场景的配置信息包括样本数据集和异常检测算法配置对,时序数据的关键指标特征数据为时序数据单值化特征;
通过细分场景的配置信息,对时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果,包括:
对时序数据单值化特征和样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度;
对指标关联度进行相似度计算,得到时序数据单值化特征和样本数据集之间的指标相似度;
若指标相似度大于预设的相似度阈值,通过异常检测算法配置对,根据时序数据单值化特征匹配出对应的异常检测算法;
通过异常检测算法,对时序数据单值化特征进行细分场景异常检测,得到细分场景检测结果;
若指标相似度小于或等于相似度阈值,得到细分场景异常的细分场景检测结果。
优选的,细分场景的配置信息包括样本数据集和异常检测算法配置对,时序数据的关键指标特征数据为时序数据向量化特征;
通过细分场景的配置信息,对时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果,包括:
对时序数据向量化特征进行归一化计算,得到归一化后的时序数据向量化特征;
通过动态时间规整算法,对归一化后的时序数据向量化特征进行计算,得到向量化特征间距离;
对向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度;
对指标关联度进行相似度计算,得到时序数据向量化特征和样本数据集之间的指标相似度;
若指标相似度大于预设的相似度阈值,通过异常检测算法配置对,根据时序数据向量化特征匹配出对应的异常检测算法;
通过异常检测算法,对时序数据向量化特征进行细分场景异常检测,得到细分场景检测结果;
若指标相似度小于或等于相似度阈值,得到细分场景异常的细分场景检测结果。
优选的,聚合报文数据包括多个报文字段;
对聚合报文数据进行下钻分析,生成异常定界结果,包括:
通过异常定界算法,对聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,异常定界结果包括至少一个报文字段。
优选的,通过异常定界算法,对聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,包括:
通过字段代价函数,对聚合报文数据按照不同的报文字段进行代价计算,得到不同报文字段的字段代价;通过剪枝策略,对不同报文字段的字段代价进行损失计算并剪枝,得到报文字段的关键特征组合;对关键特征组合中的各报文字段进行计算,得到各报文字段的信息增益;对各报文字段的信息增益进行下钻分析,得到异常定界结果。
优选的,在对聚合报文数据进行下钻分析,生成异常定界结果之后,还包括:
根据异常定界结果,生成并发送异常消息。
本发明还公开了一种异常定界装置,包括:
数据聚合单元,用于对获取的原始报文数据进行数据聚合,得到聚合报文数据;
异常检测单元,用于通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;
异常定界单元,用于若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果。
优选的,数据聚合单元,具体用于按照预设的聚合字段,对原始报文数据的预设的关键指标字段进行聚合,得到聚合报文数据。
优选的,装置还包括:
特征提取单元,用于通过特征提取算法,对聚合报文数据进行特征提取,得到报文特征数据;
二次聚合单元,用于对聚合报文数据中的报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据。
优选的,异常检测单元,具体用于将聚合报文数据进行时序转换,得到关键指标字段的时序数据;通过特征提取算法,对关键指标字段的时序数据进行特征提取,得到时序数据的关键指标特征数据;通过细分场景的配置信息,对时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果。
优选的,细分场景的配置信息包括样本数据集和异常检测算法配置对,时序数据的关键指标特征数据为时序数据单值化特征;
异常检测单元,具体用于对时序数据单值化特征和样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度;对指标关联度进行相似度计算,得到时序数据单值化特征和样本数据集之间的指标相似度;若指标相似度大于预设的相似度阈值,通过异常检测算法配置对,根据时序数据单值化特征匹配出对应的异常检测算法;通过异常检测算法,对时序数据单值化特征进行细分场景异常检测,得到细分场景检测结果;若指标相似度小于或等于相似度阈值,得到细分场景异常的细分场景检测结果。
优选的,细分场景的配置信息包括样本数据集和异常检测算法配置对,时序数据的关键指标特征数据为时序数据向量化特征;
异常检测单元,具体用于对时序数据向量化特征进行归一化计算,得到归一化后的时序数据向量化特征;通过动态时间规整算法,对归一化后的时序数据向量化特征进行计算,得到向量化特征间距离;对向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度;对指标关联度进行相似度计算,得到时序数据向量化特征和样本数据集之间的指标相似度;若指标相似度大于预设的相似度阈值,通过异常检测算法配置对,根据时序数据向量化特征匹配出对应的异常检测算法;通过异常检测算法,对时序数据向量化特征进行细分场景异常检测,得到细分场景检测结果;若指标相似度小于或等于相似度阈值,得到细分场景异常的细分场景检测结果。
优选的,聚合报文数据包括多个报文字段;
异常定界单元,具体用于通过异常定界算法,对聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,异常定界结果包括至少一个报文字段。
优选的,异常定界单元,具体用于通过字段代价函数,对聚合报文数据按照不同的报文字段进行代价计算,得到不同报文字段的字段代价;通过剪枝策略,对不同报文字段的字段代价进行损失计算并剪枝,得到报文字段的关键特征组合;对关键特征组合中的各报文字段进行计算,得到各报文字段的信息增益;对各报文字段的信息增益进行下钻分析,得到异常定界结果。
优选的,装置还包括:
生成单元,用于根据异常定界结果,生成并发送异常消息。
本发明还公开了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述方法。
本发明还公开了一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,所述处理器执行所述程序时实现如上所述方法。
本发明还公开了一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现如上所述方法。
本发明对获取的原始报文数据进行数据聚合,得到聚合报文数据;通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果,针对不同的细分场景,自适应进行异常检测和异常定界,极大提高了异常定界结果的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种异常定界方法的流程图;
图2为本发明实施例提供的又一种异常定界方法的流程图;
图3为本发明实施例提供的一种数据聚合的示意图;
图4为本发明实施例提供的一种二次聚合的示意图;
图5为本发明实施例提供的一种异常定界装置的结构示意图;
图6为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于理解本申请提供的技术方案,下面先对本申请技术方案的相关内容进行说明。原始报文数据记录了从交易发起者发起交易直至交易结果发送至交易接受者的整个过程中的相关信息(例如:发起时长、所属应用、交易所所在服务器等)。根据交易内容、交易应用系统、交易报文信息等内容的不同,业务报文可以按不同的字段维度和指标拆分成多种不同的细分场景,例如:按照交易的参与者聚合业务的响应时间、响应率,或是按照服务器聚合业务报文的传输和处理时长。本发明针对每个细分场景,自适应匹配异常检测算法,并通过异常定界算法生成异常定界结果,以实现各细分场景的自适应异常定界。
下面以异常定界装置作为执行主体为例,说明本发明实施例提供的异常定界方法的实现过程。可理解的是,本发明实施例提供的异常定界方法的执行主体包括但不限于异常定界装置。
图1为本发明实施例提供的一种异常定界方法的流程图,如图1所示,该方法包括:
步骤101、对获取的原始报文数据进行数据聚合,得到聚合报文数据。
步骤102、通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果。
步骤103、若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果。
本发明实施例提供的技术方案中,对获取的原始报文数据进行数据聚合,得到聚合报文数据;通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果,针对不同的细分场景,自适应进行异常检测和异常定界,极大提高了异常定界结果的准确度。
图2为本发明实施例提供的又一种异常定界方法的流程图,如图2所示,该方法包括:
步骤201、对获取的原始报文数据进行数据聚合,得到聚合报文数据。
本发明实施例中,各步骤由异常定界装置执行。
具体地,按照预设的聚合字段,对原始报文数据的预设的关键指标字段进行聚合,得到聚合报文数据。其中,聚合字段和关键指标字段均可以根据实际需求进行设置,例如:关键指标字段为响应时间、请求量和中央处理器(CPU)使用率等等,本发明实施例对此不作限定。聚合字段和关键指标字段存储于细分场景的配置信息中。作为一种可选方案,图3为本发明实施例提供的一种数据聚合的示意图,如图3所示,原始报文数据包括处理时长、原报文类型、原报文标识码(ID)、报文ID、发起节点、所属应用、交易所属节点、交易标志号、所属应用系统、接收节点、所在服务器、接收报文时间和所属应用;关键指标字段为处理时长和接收报文时间,聚合字段为所属应用,按照所属应用为应用1,对各原始报文数据的处理时长和接收报文时间进行聚合,将处理时长聚合为平均处理时长,将接收报文时间聚合为平均接收报文时间,得到聚合报文数据,聚合报文数据包括平均处理时长、原报文类型、原报文标识码(ID)、报文ID、发起节点、所属应用为应用1、交易所属节点、交易标志号、所属应用系统、接收节点、所在服务器、平均接收报文时间和所属应用。
步骤202、通过特征提取算法,对聚合报文数据进行特征提取,得到报文特征数据。
本发明实施例中,聚合报文数据包括多个报文字段。具体地,将聚合报文数据输入特征提取算法,输出报文特征数据,报文特征数据包括但不限于字段不同取值的数量、字段的取值范围和字段取值的聚合结果。
值得说明的是,不同类型的字段对应有各自的特征提取方法,每一种数据类型也可以提取出多个特征,例如:数字类型包括但不限于最大值、最小值、方差、分布系数等;一个特征的取值会有单个取值或者多个取值,例如:主要交易标志号。
步骤203、对聚合报文数据中的报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据。
本发明实施例中,报文特征数据可以根据实际需求进行设置,本发明实施例对此不作限定,报文特征数据存储于细分场景的配置信息中。作为一种可选方案,图4为本发明实施例提供的一种二次聚合的示意图,如图4所示,聚合报文数据包括平均处理时长、原报文类型、原报文标识码(ID)、报文ID、发起节点、所属应用为应用1、交易所属节点、交易标志号、所属应用系统、接收节点、所在服务器、平均接收报文时间和所属应用;报文特征数据包括所在服务器的网段为10.0.*.*,按照报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据,二次聚合后的聚合报文数据包括平均处理时长、原报文类型、原报文标识码(ID)、报文ID、发起节点、所属应用为应用1、交易所属节点、交易标志号、所属应用系统、接收节点、所在服务器的网段为的网段为10.0.*.*、平均接收报文时间和所属应用。
本发明实施例中,二次聚合的原因是需要根据第一次聚合后提取出的报文特征数据作为二次聚合的依据。例如:网段需要通过实际IP地址才能得到,在统计得到报文的主要IP网段后,再根据各个网段进行IP地址匹配进行二次聚合。
进一步地,细分场景的配置信息中还存储有细分场景的异常检测用字段和细分场景的异常定界用字段,由于聚合的细分场景报文数据不能完全包含异常检测或异常定界中的必要信息(如明细信息中的支行信息通常只有行号不会提供支行名),为了补全这部分信息,将从与原始报文数据关联的系统中获取对应信息(如支行行号和支行名的映射关系),并将信息补全至业务场景。
步骤204、将聚合报文数据进行时序转换,得到关键指标字段的时序数据。
本发明实施例中,对聚合报文数据的关键指标字段进行时间维度聚合,得到关键指标字段的时序数据。时序数据的横坐标为时间,纵坐标为细分场景关键指标字段,时间单位由时间粒度决定。
本发明实施例中,时序数据可以分析得到多种时间序列特征,例如:周期性和趋势性。
步骤205、通过特征提取算法,对关键指标字段的时序数据进行特征提取,得到时序数据的关键指标特征数据。
具体地,将关键指标字段的时序数据输入特征提取算法,输出关键指标特征数据,关键指标特征数据包括但不限于关键指标经验熵。
步骤206、通过细分场景的配置信息,对时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果,若细分场景检测结果为正常,流程结束;若细分场景检测结果为异常,继续执行步骤207。
本发明实施例中,细分场景的配置信息包括样本数据集和异常检测算法配置对。其中,样本数据集为细分场景中预设的指标特征数据的样本集合;异常检测算法配置对包括细分场景的关键指标特征数据和异常检测算法之间的对应关系,不同的关键指标特征数据对应于不同的异常检测算法。异常检测算法配置对根据不同的细分场景的聚合指标在周期性、趋势性以及异常模式上的不同性进行配置。
本发明实施例中,时序数据的关键指标特征数据包括时序数据单值化特征或时序数据向量化特征。若关键指标特征数据为时序数据单值化特征,步骤206具体包括:
步骤2061、对时序数据单值化特征和样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度。
具体地,通过对时序数据单值化特征和样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度。其中,corr(fi',fij)为时序数据单值化特征与样本指标特征数据之间的指标关联度,fi'为第i个时序数据单值化特征,fij为样本数据集S中第j个指标的第i个样本指标特征数据,σ为样本数据集S中所有指标特征fi的方差。
步骤2062、对指标关联度进行相似度计算,得到时序数据单值化特征和样本数据集之间的指标相似度。
具体地,通过对指标关联度进行相似度计算,得到时序数据单值化特征和样本数据集之间的指标相似度,Similarity(s',S)为时序数据单值化特征和样本数据集之间的指标相似度,corr(fi',fij)为时序数据单值化特征与样本指标特征数据之间的指标关联度。
步骤2063、判断指标相似度是否大于预设的相似度阈值,若是,执行步骤2064;若否,执行步骤2066。
本发明实施例中,相似度阈值是根据实际情况预先设置的,本发明实施例对此不作限定。
具体地,若指标相似度大于预设的相似度阈值,表明该关键指标特征数据与样本数据集细分场景匹配,继续执行步骤2064;若指标相似度小于或等于相似度阈值,表明该关键指标特征数据与样本数据集细分场景不匹配,继续执行步骤2066。
步骤2064、通过异常检测算法配置对,根据时序数据单值化特征匹配出对应的异常检测算法。
本发明实施例中,异常检测算法配置对包括细分场景的关键指标特征数据和异常检测算法之间的对应关系,根据时序数据单值化特征匹配出对应的异常检测算法。
步骤2065、通过异常检测算法,对时序数据单值化特征进行细分场景异常检测,得到细分场景检测结果,本步骤结束。
具体地,将时序数据单值化特征输入异常检测算法,调用该异常检测算法检测指标数据中是否存在系统异常,输出细分场景检测结果,细分场景检测结果包括细分场景正常或细分场景异常,若细分场景异常,进一步进行根因定界,继续执行步骤207;若细分场景正常,流程结束。
步骤2066、得到细分场景异常的细分场景检测结果。
具体地,若关键指标特征数据与样本数据集细分场景不匹配,生成细分场景异常的细分场景检测结果。
本发明实施例中,若时序数据的关键指标特征数据为时序数据向量化特征,步骤206具体包括:
步骤3061、对时序数据向量化特征进行归一化计算,得到归一化后的时序数据向量化特征。
具体地,通过z分数(z-score)方法,对时序数据向量化特征进行归一化,得到归一化后的时序数据向量化特征。
步骤3062、通过动态时间规整(DTW)算法,对归一化后的时序数据向量化特征进行计算,得到向量化特征间距离。
具体地,通过d(f′ik,fijk)=(f′ik-fijk)+min{d(f′ik-1,fijk),d(f′ik,fijk-1),d(f′ik-1,fijk-1))},对归一化后的时序数据向量化特征进行计算,得到向量化特征间距离。其中,f′ik为归一化后的第i个时序数据向量化特征,fijk为归一化后的样本数据集S中第j个指标的第i个样本指标特征数据,d(f′ik,fijk)为向量化特征间距离。
步骤3063、对向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度。
具体地,通过对向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度。其中,/>为时序数据向量化特征与样本指标特征数据之间的指标关联度,d(f′ik,fijk)为向量化特征间距离,K为时序数据向量化特征的长度。
步骤3064、对指标关联度进行相似度计算,得到时序数据向量化特征和样本数据集之间的指标相似度。
具体地,通过对指标关联度进行相似度计算,得到时序数据向量化特征和样本数据集之间的指标相似度,Similarity(s',S)为时序数据向量化特征和样本数据集之间的指标相似度,/>为时序数据向量化特征与样本指标特征数据之间的指标关联度。
步骤3065、判断指标相似度是否大于预设的相似度阈值,若是,执行步骤3066;若否,执行步骤3068。
本发明实施例中,相似度阈值是根据实际情况预先设置的,本发明实施例对此不作限定。
具体地,若指标相似度大于预设的相似度阈值,表明该关键指标特征数据与样本数据集细分场景匹配,继续执行步骤3066;若指标相似度小于或等于相似度阈值,表明该关键指标特征数据与样本数据集细分场景不匹配,继续执行步骤3068。
步骤3066、通过异常检测算法配置对,根据时序数据向量化特征匹配出对应的异常检测算法
本发明实施例中,异常检测算法配置对包括细分场景的关键指标特征数据和异常检测算法之间的对应关系,根据时序数据向量化特征匹配出对应的异常检测算法。
步骤3067、通过异常检测算法,对时序数据向量化特征进行细分场景异常检测,得到细分场景检测结果。
具体地,将时序数据向量化特征输入异常检测算法,调用该异常检测算法检测指标数据中是否存在系统异常,输出细分场景检测结果,细分场景检测结果包括细分场景正常或细分场景异常,若细分场景异常,进一步进行根因定界,继续执行步骤207;若细分场景正常,流程结束。
步骤3068、得到细分场景异常的细分场景检测结果。
具体地,若关键指标特征数据与样本数据集细分场景不匹配,生成细分场景异常的细分场景检测结果。
步骤207、对聚合报文数据进行下钻分析,生成异常定界结果。
本发明实施例中,聚合报文数据包括多个报文字段,对于识别到的细分场景异常,异常定界算法需要对聚合报文数据按照不同的字段组合进行聚合分析,寻找细分场景聚合报文数据中变化最为明显的字段和字段取值。例如:某一个交易发起方的平均交易处理时间大于设置的交易处理时间阈值。
本发明实施例中,通过异常定界算法,对聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,异常定界结果包括至少一个报文字段。具体地,通过字段代价函数,对聚合报文数据按照不同的报文字段进行代价计算,得到不同报文字段的字段代价;通过剪枝策略,对不同报文字段的字段代价进行损失计算并剪枝,得到报文字段的关键特征组合;对关键特征组合中的各报文字段进行计算,得到各报文字段的信息增益;对各报文字段的信息增益进行下钻分析,得到异常定界结果。
具体地,针对细分场景中的报文字段集合F,定义字段代价函数Cost(f)=∑NiHi(f),对数据条数和经验熵进行计算,得到字段f的字段代价。其中,Cost(f)为字段f的字段代价,Ni为字段f取值为i的数据条数,Hi(f)为字段f取值为i的数据在关键指标上的经验熵。
为优化维度组合版本剪枝策略,定义损失函数Loss=Cost(F')-Cost(F),s.t.||F'||≤||F||,以得到关键特征组合F’,使得损失函数得到最小值。其中,Loss为损失函数,Cost(F')为关键特征组合的字段代价,Cost(F)为报文字段集合的字段代价。
基于得到的关键特征组合F’,对报文字段集合F中不在关键特征组合F’内的字段进行剪枝的策略,提高定界分析字段组合的效率。
进一步地,通过对关键特征组合F’中的各报文字段进行计算,得到各报文字段的信息增益。其中,IG(F'|f)为关键特征组合F’中字段f的信息增益,H(F'|f)为关键特征组合F’中字段f的经验熵,H(F')为关键特征组合F’的经验熵,p(x)为字段f取值为x的概率,H(F'|f=x)为关键特征组合F’中字段f取值为x的经验熵。
对按照信息增益的大小对各字段组合进行降序排序,选取出排序后的前N个字段组合优先进行下钻分析,得到异常定界结果,异常定界结果包括至少一个字段及其取值,异常定界结果表明该字段及其取值的组合造成的异常影响最大。其中,N可以根据实际需求在异常定界算法中进行设置。
本发明实施例中,根据分析得到的细分场景特征进行字段组合的策略匹配,能够优化异常定级算法的准确性和计算效率。
步骤208、根据异常定界结果,生成并发送异常消息。
本发明实施例中,不同的异常定界结果对应不同的异常处理方式,本发明对异常处理方式的具体处理方法和异常定界结果和异常处理方式之间的对应关系不作限定。作为一种可选方案,若异常定界结果包括特定的行号字段,生成异常消息,异常消息包括行号字段,将异常消息发送至行号对应的业务端。作为另一种可选方案,若异常定界结果包括不同的状态码,生成异常消息,异常消息包括状态码,将异常消息发送至对应的研发部门,以通知研发部门排查状态码对应错误。作为另一种可选方案,若异常定界结果包括特定的报文流经节点,生成异常消息,异常消息包括报文流经节点,将异常消息发送至对应的地域和级别的维护管理对象。
本发明实施例提供的异常定界方法的技术方案中,对获取的原始报文数据进行数据聚合,得到聚合报文数据;通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果,针对不同的细分场景,自适应进行异常检测和异常定界,极大提高了异常定界结果的准确度。
图5为本发明实施例提供的一种异常定界装置的结构示意图,该装置用于执行上述异常定界方法,如图5所示,该装置包括:数据聚合单元11、异常检测单元12和异常定界单元13。
数据聚合单元11用于对获取的原始报文数据进行数据聚合,得到聚合报文数据。
异常检测单元12用于通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果。
异常定界单元13用于若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果。
本发明实施例中,数据聚合单元11具体用于按照预设的聚合字段,对原始报文数据的预设的关键指标字段进行聚合,得到聚合报文数据。
本发明实施例中,该装置还包括:特征提取单元14和二次聚合单元15。
特征提取单元14用于通过特征提取算法,对聚合报文数据进行特征提取,得到报文特征数据。
二次聚合单元15用于对聚合报文数据中的报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据。
本发明实施例中,异常检测单元12具体用于将聚合报文数据进行时序转换,得到关键指标字段的时序数据;通过特征提取算法,对关键指标字段的时序数据进行特征提取,得到时序数据的关键指标特征数据;通过细分场景的配置信息,对时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果。
本发明实施例中,细分场景的配置信息包括样本数据集和异常检测算法配置对,时序数据的关键指标特征数据为时序数据单值化特征。异常检测单元12具体用于对时序数据单值化特征和样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度;对指标关联度进行相似度计算,得到时序数据单值化特征和样本数据集之间的指标相似度;若指标相似度大于预设的相似度阈值,通过异常检测算法配置对,根据时序数据单值化特征匹配出对应的异常检测算法;通过异常检测算法,对时序数据单值化特征进行细分场景异常检测,得到细分场景检测结果;若指标相似度小于或等于相似度阈值,得到细分场景异常的细分场景检测结果。
本发明实施例中,细分场景的配置信息包括样本数据集和异常检测算法配置对,时序数据的关键指标特征数据为时序数据向量化特征。异常检测单元12具体用于对时序数据向量化特征进行归一化计算,得到归一化后的时序数据向量化特征;通过动态时间规整算法,对归一化后的时序数据向量化特征进行计算,得到向量化特征间距离;对向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度;对指标关联度进行相似度计算,得到时序数据向量化特征和样本数据集之间的指标相似度;若指标相似度大于预设的相似度阈值,通过异常检测算法配置对,根据时序数据向量化特征匹配出对应的异常检测算法;通过异常检测算法,对时序数据向量化特征进行细分场景异常检测,得到细分场景检测结果;若指标相似度小于或等于相似度阈值,得到细分场景异常的细分场景检测结果。
本发明实施例中,聚合报文数据包括多个报文字段。异常定界单元13具体用于通过异常定界算法,对聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,异常定界结果包括至少一个报文字段。
本发明实施例中,异常定界单元13具体用于通过字段代价函数,对聚合报文数据按照不同的报文字段进行代价计算,得到不同报文字段的字段代价;通过剪枝策略,对不同报文字段的字段代价进行损失计算并剪枝,得到报文字段的关键特征组合;对关键特征组合中的各报文字段进行计算,得到各报文字段的信息增益;对各报文字段的信息增益进行下钻分析,得到异常定界结果。
本发明实施例中,该装置还包括:生成单元16。
生成单元16用于根据异常定界结果,生成并发送异常消息。
本发明实施例的方案中,对获取的原始报文数据进行数据聚合,得到聚合报文数据;通过预设的细分场景的配置信息,对聚合报文数据进行细分场景异常检测,得到细分场景检测结果;若细分场景检测结果为异常,对聚合报文数据进行下钻分析,生成异常定界结果,针对不同的细分场景,自适应进行异常检测和异常定界,极大提高了异常定界结果的准确度。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机设备,具体的,计算机设备例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
本发明实施例提供了一种计算机设备,包括存储器和处理器,存储器用于存储包括程序指令的信息,处理器用于控制程序指令的执行,程序指令被处理器加载并执行时实现上述异常定界方法的实施例的各步骤,具体描述可参见上述异常定界方法的实施例。
下面参考图6,其示出了适于用来实现本申请实施例的计算机设备600的结构示意图。
如图6所示,计算机设备600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的工作和处理。在RAM603中,还存储有计算机设备600操作所需的各种程序和数据。CPU601、ROM602、以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶反馈器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡,调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装如存储部分608。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,所述计算机程序包括用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种异常定界方法,其特征在于,所述方法包括:
对获取的原始报文数据进行数据聚合,得到聚合报文数据;
通过预设的细分场景的配置信息,对所述聚合报文数据进行细分场景异常检测,得到细分场景检测结果;
若所述细分场景检测结果为异常,对所述聚合报文数据进行下钻分析,生成异常定界结果;
所述通过预设的细分场景的配置信息,对所述聚合报文数据进行细分场景异常检测,得到细分场景检测结果,包括:
将所述聚合报文数据进行时序转换,得到关键指标字段的时序数据;
通过特征提取算法,对所述关键指标字段的时序数据进行特征提取,得到时序数据的关键指标特征数据;
通过所述细分场景的配置信息,对所述时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果;
所述细分场景的配置信息包括样本数据集和异常检测算法配置对,所述时序数据的关键指标特征数据包括时序数据单值化特征或时序数据向量化特征;
若所述时序数据的关键指标特征数据为时序数据单值化特征,所述通过所述细分场景的配置信息,对所述时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果,包括:
对所述时序数据单值化特征和所述样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度;
对所述指标关联度进行相似度计算,得到所述时序数据单值化特征和样本数据集之间的指标相似度;
若所述指标相似度大于预设的相似度阈值,通过所述异常检测算法配置对,根据所述时序数据单值化特征匹配出对应的异常检测算法;
通过所述异常检测算法,对所述时序数据单值化特征进行细分场景异常检测,得到细分场景检测结果;
若所述指标相似度小于或等于所述相似度阈值,得到细分场景异常的细分场景检测结果;
若所述时序数据的关键指标特征数据为时序数据向量化特征,所述通过所述细分场景的配置信息,对所述时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果,包括:
对所述时序数据向量化特征进行归一化计算,得到归一化后的时序数据向量化特征;
通过动态时间规整算法,对归一化后的时序数据向量化特征进行计算,得到向量化特征间距离;
对所述向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度;
对所述指标关联度进行相似度计算,得到所述时序数据向量化特征和样本数据集之间的指标相似度;
若所述指标相似度大于预设的相似度阈值,通过所述异常检测算法配置对,根据所述时序数据向量化特征匹配出对应的异常检测算法;
通过所述异常检测算法,对所述时序数据向量化特征进行细分场景异常检测,得到细分场景检测结果;
若所述指标相似度小于或等于所述相似度阈值,得到细分场景异常的细分场景检测结果。
2.根据权利要求1所述的异常定界方法,其特征在于,所述对获取的原始报文数据进行数据聚合,得到聚合报文数据,包括:
按照预设的聚合字段,对所述原始报文数据的预设的关键指标字段进行聚合,得到所述聚合报文数据。
3.根据权利要求1所述的异常定界方法,其特征在于,在所述通过预设的细分场景的配置信息,对所述聚合报文数据进行细分场景异常检测,得到细分场景检测结果之前,还包括:
通过特征提取算法,对所述聚合报文数据进行特征提取,得到报文特征数据;
对所述聚合报文数据中的所述报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据。
4.根据权利要求1所述的异常定界方法,其特征在于,所述聚合报文数据包括多个报文字段;
所述对所述聚合报文数据进行下钻分析,生成异常定界结果,包括:
通过异常定界算法,对所述聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,所述异常定界结果包括至少一个报文字段。
5.根据权利要求4所述的异常定界方法,其特征在于,所述通过异常定界算法,对所述聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,包括:
通过字段代价函数,对所述聚合报文数据按照不同的报文字段进行代价计算,得到不同报文字段的字段代价;
通过剪枝策略,对所述不同报文字段的字段代价进行损失计算并剪枝,得到报文字段的关键特征组合;
对所述关键特征组合中的各报文字段进行计算,得到各报文字段的信息增益;
对所述各报文字段的信息增益进行下钻分析,得到异常定界结果。
6.根据权利要求1所述的异常定界方法,其特征在于,在所述对所述聚合报文数据进行下钻分析,生成异常定界结果之后,还包括:
根据所述异常定界结果,生成并发送异常消息。
7.一种异常定界装置,其特征在于,所述装置包括:
数据聚合单元,用于对获取的原始报文数据进行数据聚合,得到聚合报文数据;
异常检测单元,用于通过预设的细分场景的配置信息,对所述聚合报文数据进行细分场景异常检测,得到细分场景检测结果;
异常定界单元,用于若所述细分场景检测结果为异常,对所述聚合报文数据进行下钻分析,生成异常定界结果;
所述异常检测单元,具体用于将所述聚合报文数据进行时序转换,得到关键指标字段的时序数据;通过特征提取算法,对所述关键指标字段的时序数据进行特征提取,得到时序数据的关键指标特征数据;通过所述细分场景的配置信息,对所述时序数据的关键指标特征数据进行细分场景异常检测,得到细分场景检测结果;
所述细分场景的配置信息包括样本数据集和异常检测算法配置对,所述时序数据的关键指标特征数据包括时序数据单值化特征或时序数据向量化特征;
若所述时序数据的关键指标特征数据为时序数据单值化特征,所述异常检测单元,具体用于对所述时序数据单值化特征和所述样本数据集中的样本指标特征数据进行计算,得到时序数据单值化特征与样本指标特征数据之间的指标关联度;对所述指标关联度进行相似度计算,得到所述时序数据单值化特征和样本数据集之间的指标相似度;若所述指标相似度大于预设的相似度阈值,通过所述异常检测算法配置对,根据所述时序数据单值化特征匹配出对应的异常检测算法;通过所述异常检测算法,对所述时序数据单值化特征进行细分场景异常检测,得到细分场景检测结果;若所述指标相似度小于或等于所述相似度阈值,得到细分场景异常的细分场景检测结果;
若所述时序数据的关键指标特征数据为时序数据向量化特征,所述异常检测单元,具体用于对所述时序数据向量化特征进行归一化计算,得到归一化后的时序数据向量化特征;通过动态时间规整算法,对归一化后的向量化特征进行计算,得到向量化特征间距离;对所述向量化特征间距离和时序数据向量化特征的长度进行计算,得到时序数据向量化特征与样本指标特征数据之间的指标关联度;对所述指标关联度进行相似度计算,得到所述时序数据向量化特征和样本数据集之间的指标相似度;若所述指标相似度大于预设的相似度阈值,通过所述异常检测算法配置对,根据所述时序数据向量化特征匹配出对应的异常检测算法;通过所述异常检测算法,对所述时序数据向量化特征进行细分场景异常检测,得到细分场景检测结果;若所述指标相似度小于或等于所述相似度阈值,得到细分场景异常的细分场景检测结果。
8.根据权利要求7所述的异常定界装置,其特征在于,
数据聚合单元,具体用于按照预设的聚合字段,对所述原始报文数据的预设的关键指标字段进行聚合,得到所述聚合报文数据。
9.根据权利要求7所述的异常定界装置,其特征在于,所述装置还包括:
特征提取单元,用于通过特征提取算法,对所述聚合报文数据进行特征提取,得到报文特征数据;
二次聚合单元,用于对所述聚合报文数据中的所述报文特征数据进行二次聚合,得到二次聚合后的聚合报文数据。
10.根据权利要求7所述的异常定界装置,其特征在于,所述聚合报文数据包括多个报文字段;
异常定界单元,具体用于通过异常定界算法,对所述聚合报文数据按照不同的报文字段进行下钻分析,得到异常定界结果,所述异常定界结果包括至少一个报文字段。
11.根据权利要求10所述的异常定界装置,其特征在于,所述异常定界单元,具体用于通过字段代价函数,对所述聚合报文数据按照不同的报文字段进行代价计算,得到不同报文字段的字段代价;通过剪枝策略,对所述不同报文字段的字段代价进行损失计算并剪枝,得到报文字段的关键特征组合;对所述关键特征组合中的各报文字段进行计算,得到各报文字段的信息增益;对所述各报文字段的信息增益进行下钻分析,得到异常定界结果。
12.根据权利要求7所述的异常定界装置,其特征在于,所述装置还包括:
生成单元,用于根据所述异常定界结果,生成并发送异常消息。
13.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6任一项所述的异常定界方法。
14.一种计算机设备,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于,所述程序指令被处理器加载并执行时实现权利要求1至6任一项所述的异常定界方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210814673.5A CN115022083B (zh) | 2022-07-12 | 2022-07-12 | 一种异常定界方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210814673.5A CN115022083B (zh) | 2022-07-12 | 2022-07-12 | 一种异常定界方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115022083A CN115022083A (zh) | 2022-09-06 |
CN115022083B true CN115022083B (zh) | 2024-05-10 |
Family
ID=83082717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210814673.5A Active CN115022083B (zh) | 2022-07-12 | 2022-07-12 | 一种异常定界方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115022083B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110188793A (zh) * | 2019-04-18 | 2019-08-30 | 阿里巴巴集团控股有限公司 | 数据异常分析方法及装置 |
CN111913860A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
JP2021018813A (ja) * | 2019-07-18 | 2021-02-15 | 株式会社日立製作所 | データセットにおける異常の根本原因を検出する方法およびシステム |
CN114186626A (zh) * | 2021-12-09 | 2022-03-15 | 中国建设银行股份有限公司 | 一种异常检测方法、装置、电子设备及计算机可读介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11250343B2 (en) * | 2017-06-08 | 2022-02-15 | Sap Se | Machine learning anomaly detection |
US11587101B2 (en) * | 2019-05-28 | 2023-02-21 | DeepRisk.ai, LLC | Platform for detecting abnormal entities and activities using machine learning algorithms |
-
2022
- 2022-07-12 CN CN202210814673.5A patent/CN115022083B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110188793A (zh) * | 2019-04-18 | 2019-08-30 | 阿里巴巴集团控股有限公司 | 数据异常分析方法及装置 |
JP2021018813A (ja) * | 2019-07-18 | 2021-02-15 | 株式会社日立製作所 | データセットにおける異常の根本原因を検出する方法およびシステム |
CN111913860A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
CN114186626A (zh) * | 2021-12-09 | 2022-03-15 | 中国建设银行股份有限公司 | 一种异常检测方法、装置、电子设备及计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115022083A (zh) | 2022-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109522304B (zh) | 异常对象识别方法及装置、存储介质 | |
CN110851321B (zh) | 一种业务告警方法、设备及存储介质 | |
US20180248879A1 (en) | Method and apparatus for setting access privilege, server and storage medium | |
CN110347888B (zh) | 订单数据的处理方法、装置及存储介质 | |
US10554701B1 (en) | Real-time call tracing in a service-oriented system | |
CN112636957A (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
CN114186626A (zh) | 一种异常检测方法、装置、电子设备及计算机可读介质 | |
CN113392919A (zh) | 基于客户端选择的联邦注意力dbn协同检测系统 | |
CN111338888B (zh) | 一种数据统计方法、装置、电子设备及存储介质 | |
CN109218211B (zh) | 数据流的控制策略中阈值的调整方法、装置和设备 | |
CN115022083B (zh) | 一种异常定界方法和装置 | |
CN111162945B (zh) | 一种告警关联关系的确定方法、装置、设备及存储介质 | |
CN110677271B (zh) | 基于elk的大数据告警方法、装置、设备及存储介质 | |
CN113127878A (zh) | 威胁事件的风险评估方法及装置 | |
CN112765236B (zh) | 自适应异常设备挖掘方法、存储介质、设备及系统 | |
CN105718767B (zh) | 一种基于风险识别的信息处理方法及装置 | |
CN113704566A (zh) | 识别号主体识别方法、存储介质和电子设备 | |
CN113762313A (zh) | 请求识别的方法、装置、电子设备和存储介质 | |
CN113779335A (zh) | 信息生成方法、装置、电子设备和计算机可读介质 | |
CN111429257A (zh) | 一种交易监控方法和装置 | |
Lu et al. | Massive data MapReduce fingerprint discriminant algorithm based on hadoop | |
CN115953221A (zh) | 一种基于tf-idf算法的电信订单拦截方法、系统、设备及存储介质 | |
CN112819018A (zh) | 生成样本的方法、装置、电子设备和存储介质 | |
CN116956064A (zh) | 账号处理方法、装置及计算机设备、存储介质、程序产品 | |
CN116150225A (zh) | 数据字段处理方法、装置、设备、介质和程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |