CN116719683A - 异常检测方法、异常检测装置、电子设备及存储介质 - Google Patents
异常检测方法、异常检测装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116719683A CN116719683A CN202310722471.2A CN202310722471A CN116719683A CN 116719683 A CN116719683 A CN 116719683A CN 202310722471 A CN202310722471 A CN 202310722471A CN 116719683 A CN116719683 A CN 116719683A
- Authority
- CN
- China
- Prior art keywords
- data
- time sequence
- original
- target
- anomaly detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 228
- 230000005856 abnormality Effects 0.000 title claims abstract description 98
- 238000012549 training Methods 0.000 claims abstract description 121
- 238000000034 method Methods 0.000 claims abstract description 42
- 230000002159 abnormal effect Effects 0.000 claims description 76
- 238000011156 evaluation Methods 0.000 claims description 39
- 238000000605 extraction Methods 0.000 claims description 21
- 238000005457 optimization Methods 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 18
- 238000002372 labelling Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 238000011835 investigation Methods 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 19
- 238000013473 artificial intelligence Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 11
- 238000003058 natural language processing Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000002547 anomalous effect Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2273—Test methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/10—Pre-processing; Data cleansing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Hardware Design (AREA)
- Evolutionary Biology (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供了一种异常检测方法、异常检测装置、电子设备及存储介质,属于金融科技技术领域。该方法包括:获取原始训练数据,其中,原始训练数据为多维时序数据;对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;获取目标时段的目标时序数据;对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常。本申请实施例能够提高异常检测的准确性,该异常检测方法可以用于对金融平台的服务器检测等场景。
Description
技术领域
本申请涉及金融科技技术领域,尤其涉及一种异常检测方法、异常检测装置、电子设备及存储介质。
背景技术
云服务平台是一个开放的公共平台,为大量用户提供各种不同的应用服务。这些应用服务的可靠性对其消费者而言至关重要。云服务平台中存在异常会使其可靠性受到质疑。由于规模和复杂性,云服务平台会产生大量的系统异常,这些异常主要由云平台管理员操作错误、资源过度/欠配置、硬件/软件故障和网络攻击等引起的。因此,对云服务平台的系统运行状态进行实时的异常检测具有十分重要的意义。
随着人工智能技术和云计算的快速发展,云服务平台被广泛应用于银行、证券、保险业务的金融交易场景中。具体地,采用金融云平台来实现各种金融业务的办理、金融交易。该金融云平台的服务器可以上传下载业务数据、交易数据、支付数据。当金融云平台的服务器发生异常检测时,常常会造成各个对象的交易数据、支付数据、对象基本数据等数据的泄露,也容易使各个对象的交易数据、支付数据被篡改的风险增加,会影响云平台上的数据安全性。
目前,针对云服务系统的异常检测大多数依赖于神经网络模型来实现,而模型的训练往往需要大量的样本数据,而大量的异常样本数据的获取难度较大,会使得训练的模型的异常检测性能不佳,会导致对云服务的异常检测的准确性较差。
发明内容
本申请实施例的主要目的在于提出一种异常检测方法、异常检测装置、电子设备及存储介质,旨在提高异常检测的准确性。
为实现上述目的,本申请实施例的第一方面提出了一种异常检测方法,所述方法包括:
获取原始训练数据,其中,所述原始训练数据为多维时序数据;
对所述原始训练数据进行特征提取,得到原始统计特征和原始时序特征;
基于所述原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;
获取目标时段的目标时序数据;
对所述目标时序数据进行特征提取,得到目标统计特征和目标时序特征;
将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据,其中,所述异常检测数据用于表征所述目标时序数据是否存在异常。
在一些实施例,所述基于所述原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型,包括:
基于所述原始模型对所述原始统计特征和原始时序特征进行异常检测,得到预测标签数据;
基于所述预测标签数据和所述原始训练数据的原始标签数据,构建目标损失函数;
基于所述目标损失函数对所述原始模型进行参数优化,得到所述异常检测模型。
在一些实施例,所述将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据,包括:
基于所述异常检测模型对所述目标统计特征和所述目标时序特征进行异常评分,得到特征评分数据;
若所述特征评分数据大于预设阈值,则将所述异常检测数据确定为所述目标时序数据正常;
若所述特征评分数据不大于预设阈值,则将所述异常检测数据确定为所述目标时序数据存在异常。
在一些实施例,在所述将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据之后,所述方法还包括:
若所述异常检测数据为所述目标时序数据存在异常,则提取所述目标时序数据的特征评分数据;
根据所述特征评分数据对所述目标时序数据进行不确定性评估,得到评估结果;
基于所述评估结果,对所述目标时序数据进行异常排查。
在一些实施例,在所述基于所述评估结果,对所述目标时序数据进行异常排查之后,所述方法还包括:
若所述评估结果大于预设评估阈值,则获取预设集合的参考时序数据的所在时段,得到参考时间数据;
根据所述参考时间数据和当前时段,得到所述目标时序数据和所述参考时序数据之间的时间差数据;
若所述时间差数据大于预设时间阈值,则将所述目标时序数据加入所述预设集合,得到目标集合;
基于所述目标集合和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型。
在一些实施例,所述基于所述目标集合和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型,包括:
对所述目标集合进行标注处理,得到标签集合,其中,所述标签集合包括标签时序数据;
基于所述标签时序数据和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型。
在一些实施例,所述基于所述标签时序数据和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型,包括:
对所述标签集合进行集合重置,得到新的预设集合;
对所述新的预设集合进行数据清洗。
为实现上述目的,本申请实施例的第二方面提出了一种异常检测装置,所述装置包括:
训练数据获取模块,用于获取原始训练数据,其中,所述原始训练数据为多维时序数据;
原始特征提取模块,用于对所述原始训练数据进行特征提取,得到原始统计特征和原始时序特征;
模型训练模块,用于基于所述原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;
时序数据获取模块,用于获取目标时段的目标时序数据;
目标特征提取模块,用于对所述目标时序数据进行特征提取,得到目标统计特征和目标时序特征;
异常检测模块,用于将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据,其中,所述异常检测数据用于表征所述目标时序数据是否存在异常。
为实现上述目的,本申请实施例的第三方面提出了一种电子设备,所述电子设备包括存储器、处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法。
为实现上述目的,本申请实施例的第四方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法。
本申请提出的异常检测方法、异常检测装置、电子设备及存储介质,其通过获取原始训练数据,其中,原始训练数据为多维时序数据;对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型,能够较为方便地实现模型的训练,得到异常检测模型。进一步地,获取目标时段的目标时序数据;对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常,这一方式能够较为方便地对每个时段的目标时序数据进行异常检测,得到异常检测数据,并根据异常检测数据将确定为异常的目标时序数据再用于异常检测模型的优化,提高模型对异常检测的准确性,进而减小由于金融云平台的服务器发生异常检测造成的交易数据、支付数据的泄露,也能减小交易数据、支付数据被篡改的风险,提高金融交易云平台的数据安全性。
附图说明
图1是本申请实施例提供的异常检测方法的流程图;
图2是图1中的步骤S103的流程图;
图3是图1中的步骤S106的流程图;
图4是本申请实施例提供的异常检测方法的另一流程图;
图5是本申请实施例提供的异常检测方法的另一流程图;
图6是图5中的步骤S504的流程图;
图7是图6中的步骤S602的流程图;
图8是本申请实施例提供的异常检测装置的结构示意图;
图9是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
人工智能(artificial intelligence,AI):是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学;人工智能是计算机科学的一个分支,人工智能企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能可以对人的意识、思维的信息过程的模拟。人工智能还是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
自然语言处理(natural language processing,NLP):NLP用计算机来处理、理解以及运用人类语言(如中文、英文等),NLP属于人工智能的一个分支,是计算机科学与语言学的交叉学科,又常被称为计算语言学。自然语言处理包括语法分析、语义分析、篇章理解等。自然语言处理常用于机器翻译、手写体和印刷体字符识别、语音识别及文语转换、信息意图识别、信息抽取与过滤、文本分类与聚类、舆情分析和观点挖掘等技术领域,它涉及与语言处理相关的数据挖掘、机器学习、知识获取、知识工程、人工智能研究和与语言计算相关的语言学研究等。
信息抽取(Information Extraction,NER):从自然语言文本中抽取指定类型的实体、关系、事件等事实信息,并形成结构化数据输出的文本处理技术。信息抽取是从文本数据中抽取特定信息的一种技术。文本数据是由一些具体的单位构成的,例如句子、段落、篇章,文本信息正是由一些小的具体的单位构成的,例如字、词、词组、句子、段落或是这些具体的单位的组合。抽取文本数据中的名词短语、人名、地名等都是文本信息抽取,当然,文本信息抽取技术所抽取的信息可以是各种类型的信息。
云服务平台是一个开放的公共平台,为大量用户提供各种不同的应用服务。这些应用服务的可靠性对其消费者而言至关重要。云服务平台中存在异常会使其可靠性受到质疑。由于规模和复杂性,云服务平台会产生大量的系统异常,这些异常主要由云平台管理员操作错误、资源过度/欠配置、硬件/软件故障和网络攻击等引起的。因此,对云服务平台的系统运行状态进行实时的异常检测具有十分重要的意义。
随着人工智能技术和云计算的快速发展,云服务平台被广泛应用于银行、证券、保险业务的金融交易场景中。具体地,采用金融云平台来实现各种金融业务的办理、金融交易。该金融云平台的服务器可以上传下载业务数据、交易数据、支付数据。
例如,当金融云平台的服务器发生异常检测时,常常会造成各个对象的交易数据、支付数据、对象基本数据等数据的泄露,也容易使各个对象的交易数据、支付数据被篡改的风险增加,会影响云平台上的数据安全性。
目前,针对云服务系统的异常检测大多数依赖于神经网络模型来实现,而模型的训练往往需要大量的样本数据,而大量的异常样本数据的获取难度较大,会使得训练的模型的异常检测性能不佳,会导致对云服务的异常检测的准确性较差。
基于此,本申请实施例提供了一种异常检测方法、异常检测装置、电子设备及存储介质,旨在提高异常检测的准确性。
本申请实施例提供的异常检测方法和装置、电子设备及存储介质,具体通过如下实施例进行说明,首先描述本申请实施例中的异常检测方法。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本申请实施例提供的异常检测方法,涉及人工智能技术领域。本申请实施例提供的异常检测方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现异常检测方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
针对云服务系统的异常样本不足的问题,常用的异常检测模型在推断过程中,可以持续自动收集所有的异常样本,然后通过人工打标签的方式制作更大的训练集,进而使用该训练集来提升异常检测模型的精度。
然而,收集所有的“疑似异常样本”会消耗大量的人力成本和时间成本。因为在收集异常样本过程中,很多异常样本的类型是重复的,数据质量低,本申请提出了通过主动学习找出“难识别的新型异常样本”,制作质量更高的训练集,实现耗费最小的人力成本来最大幅度提升模型的精度,从而改善模型对异常检测的准确性。本申请实施例的实现思路包括两个阶段:(1)原始模型的训练阶段,(2)模型推断和主动学习阶段。
需要说明的是,本申请实施例中的金融云平台可以包括保险系统、银行系统、交易系统、订单系统等等,不做限制。
图1是本申请实施例提供的异常检测方法的一个可选的流程图,应用于云服务器,图1中的方法可以包括但不限于包括步骤S101至步骤S106。
步骤S101,获取原始训练数据,其中,原始训练数据为多维时序数据;
步骤S102,对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;
步骤S103,基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;
步骤S104,获取目标时段的目标时序数据;
步骤S105,对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;
步骤S106,将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常。
本申请实施例所示意的步骤S101至步骤S106,通过获取原始训练数据,其中,原始训练数据为多维时序数据;对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型,能够较为方便地实现模型的训练,得到异常检测模型。进一步地,获取目标时段的目标时序数据;对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常,这一方式能够较为方便地对每个时段的目标时序数据进行异常检测,得到异常检测数据,并根据异常检测数据将确定为异常的目标时序数据再用于异常检测模型的优化,提高模型对异常检测的准确性。
在一些实施例的步骤S101中,可以通过网络爬虫等方式从预设的数据源上爬取数据,得到原始训练数据;也可以是通过调用云服务器的后台数据,得到原始训练数据,还可以是通过其他方式提取原始训练数据,不做限制。其中,原始训练数据为多维时序数据,原始训练数据主要是云服务器在过去某些时段产生的时序数据,该时序数据包括某一时段的CPU利用率、性能计数、使用总次数、系统指标、日志数据等等。例如,原始训练数据集为其中,xi是第i个原始训练数据,yi是第i个原始训练数据对应的原始标签数据,该原始标签数据用于表示该原始训练数据是正常或者是异常的,例如,当原始训练数据为正常数据时,原始标签数据为0,原始训练数据时异常时,原始标签数据为1。
例如,在金融领域中,原始训练数据可以是各种金融业务的业务数据、交易数据以及支付数据等等,原始标签数据则用于表示各种金融业务的业务数据、交易数据以及支付数据是否存在异常。
在一些实施例的步骤S102中,可以利用命名实体算法或者卷积神经网络模型等等对原始训练数据进行特征提取,得到每个原始训练数据的原始统计特征和原始时序特征。具体地,第t时段的原始统计特征和原始时序特征可以表示为
其中,表示第t时段的原始训练数据的S个原始统计特征,例如:均值、方差、相关系数、趋势强度等,/>表示第t时段的原始训练数据的T个原始时序特征,例如:两个连续时间窗口的最大均值差值,两个连续时间窗口的最大方差差值等。这一方式能够较为方便地提取到每个时段的原始训练数据的时序特征和统计特征,能够提高特征全面性,丰富训练数据的数据量,提高模型训练效果。
请参阅图2,在一些实施例中,步骤S103可以包括但不限于包括步骤S201至步骤S203:
步骤S201,基于原始模型对原始统计特征和原始时序特征进行异常检测,得到预测标签数据;
步骤S202,基于预测标签数据和原始训练数据的原始标签数据,构建目标损失函数;
步骤S203,基于目标损失函数对原始模型进行参数优化,得到异常检测模型。
在一些实施例的步骤S201中,原始模型是一个随机森林模型,基于随机森林算法构建而成,基于原始模型对原始统计特征和原始时序特征进行异常检测时,首先将每个原始训练数据对应的原始统计特征和原始时序特征进行特征拼接,得到原始拼接特征,再利用原始模型对原始拼接特征进行特征检测,提取该原始拼接特征中的统计信息和时序信息,基于提取到的信息来检测该原始训练数据是否存在异常,输出一个概率向量,该概率向量的大小能够用来表征该原始训练数据存在异常的可能性,即概率向量越小,原始训练数据存在异常的概率越大,因此,可以直接将该概率向量作为该原始训练数据的预测标签数据。
在一些实施例的步骤S202中,基于预测标签数据和原始训练数据的原始标签数据,构建目标损失函数时,目标损失函数的训练目标为最小化原始标签数据和预测标签数据之间的差异,因此,构建的目标损失函数可以表示为
其中,L是目标损失函数的损失值,F(·)是目标损失函数,θ是原始模型的模型参数,Model表示原始模型,Model(xi)表示原始模型对第i个原始训练数据进行异常检测得到的预测标签数据,yi为第i个原始训练数据的原始标签数据。
在一些实施例的步骤S203中,将目标损失函数的损失值与预设的损失阈值比较,不断地调整原始模型的模型参数θ,使得损失值不大于损失阈值,停止对原始模型的模型参数进行调整,完成模型训练,得到异常检测模型。
通过步骤S201至步骤S203能够较为方便地基于原始训练数据对原始模型进行训练,得到符合要求的异常检测模型,能够提高模型的构建和训练效率,同时设置了以最小化原始标签数据和预测标签数据为训练目标的损失函数,能够提高模型的异常检测性能。
步骤在一些实施例的S104,可以通过网络爬虫等方式从预设的数据源上爬取数据,得到目标时段的目标时序数据;也可以是通过调用云服务器的后台数据,得到目标时段的目标时序数据,还可以是通过其他方式提取目标时段的目标时序数据,不做限制。其中,目标时段的目标时序数据主要是云服务器当前时段产生的时序数据,该时序数据包括当前时段的CPU利用率、性能计数、使用总次数、系统指标、日志数据等等。例如,获取t时段的目标时序数据Xt。
在一些实施例的步骤S105中,在对目标时序数据进行特征提取,得到目标统计特征和目标时序特征时,可以利用命名实体算法或者卷积神经网络模型等等对目标时序数据进行特征提取,得到目标统计特征和目标时序特征。该过程与上述步骤S102的具体过程基本一致,此处不再赘述。例如,针对目标时序数据Xt,其目标统计特征和目标时序特征为
请参阅图3,在一些实施例中,步骤S106可以包括但不限于包括步骤S301至步骤S303:
步骤S301,基于异常检测模型对目标统计特征和目标时序特征进行异常评分,得到特征评分数据;
步骤S302,若特征评分数据大于预设阈值,则将异常检测数据确定为目标时序数据正常;
步骤S303,若特征评分数据不大于预设阈值,则将异常检测数据确定为目标时序数据存在异常。
在一些实施例的步骤S301中,在基于异常检测模型对目标统计特征和目标时序特征进行异常评分时,首先将目标统计特征和目标时序特征进行特征拼接,得到目标拼接特征,再利用异常检测模型对目标拼接特征进行特征评分,提取该目标拼接特征中的统计信息和时序信息,基于提取到的信息来检测该目标时序数据是否存在异常,输出一个概率向量,该概率向量的大小能够用来表征该目标时序数据存在异常的可能性,即概率向量越大,目标时序数据存在异常的概率越小,因此,将概率向量转换为数值形式,将该数值作为目标时序数据的特征评分数据,其中特征评分数据指的是目标时序数据为正常的概率值Pnormal(Xt),目标时序数据为异常的概率值为Pabnormal(Xt),Pabnormal(Xt)=1-Pnormal(Xt)。
在一些实施例的步骤S302中,预设阈值可以根据实际业务需求设置,不做限制,例如,预设阈值为0.7。若特征评分数据大于预设阈值,则表明目标时序数据是正常的,即将异常检测数据确定为目标时序数据正常。
在一些实施例的步骤S303中,若特征评分数据不大于预设阈值,则表明目标时序数据是异常的,即将异常检测数据确定为目标时序数据存在异常。因此,异常检测数据能够表征目标时序数据是否存在异常。
通过步骤S301至步骤S203能够较为方便地通过异常检测模型来检测目标时段的目标时序数据为正常的概率值以及目标时序数据为异常的概率值,能够以数值量化的形式来判断目标时序数据是否存在异常,能够提高异常检测的合理性和准确性。
需要说明的是,基于异常检测模型对目标时序数据进行异常检测的过程即为模型推断过程,当异常检测数据为目标时序数据为正常时,则结束当前轮次的推断,当异常检测数据为目标时序数据为异常时,则表明该目标时序数据可以作为新的异常样本数据来用于模型训练,因此,需要进一步地进入模型的主动学习阶段,即利用被确定为异常的目标时序数据来对异常检测模型进行模型更新。
请参阅图4,在一些实施例的步骤S106之后,异常检测方法可以包括但不限于包括步骤S401至步骤S403:
步骤S401,若异常检测数据为目标时序数据存在异常,则提取目标时序数据的特征评分数据;
步骤S402,根据特征评分数据对目标时序数据进行不确定性评估,得到评估结果;
步骤S403,基于评估结果,对目标时序数据进行异常排查。
在一些实施例的步骤S401中,若异常检测数据为目标时序数据存在异常,则提取目标时序数据的特征评分数据,特征评分数据指的是目标时序数据为正常的概率值Pnormal(Xt),目标时序数据为异常的概率值为Pabnormal(Xt),Pabnormal(Xt)=1-Pnormal(Xt)。基于特征评分数据能够获取到目标时序数据为正常的概率值和目标时序数据为异常的概率值。
在一些实施例的步骤S402中,在根据特征评分数据对目标时序数据进行不确定性评估,得到评估结果时,先将目标时序数据为正常的概率值和目标时序数据为异常的概率值进行求绝对差,再将该绝对差值求相反数,得到评估结果,即评估结果ut可以表示为
ut=-|Pnormal(Xt)-PabnormalP(Xt)|
在一些实施例的步骤S403中,该评估结果能够较为清楚地表征出目标时序数据的不确定性高低,若评估结果大于预设评估阈值,则表明目标时序数据的不确定性较高,该目标时序数据能够作为新型的异常样本来用于模型更新;若评估结果不大于预设评估阈值,则表明目标时序数据的不确定性较低,该目标时序数据在原始训练数据中已经存在,不必重复采集,该目标时序数据是冗余异常数据,则不收集该目标时序数据。
通过步骤S401至步骤S403能够基于主动学习的方式较为方便地对目标时序数据进行不确定性评估,得到评估结果,并根据评估结果来确定是否将目标时序数据作为新型异常样本用于模型更新,能够提高模型的主动学习能力,提高用于模型更新的异常样本的样本数量和样本质量,有利于改善模型的异常检测性能。
请参阅图5,在一些实施例的步骤S403之后,异常检测方法可以包括但不限于包括步骤S501至步骤S504:
步骤S501,若评估结果大于预设评估阈值,则获取预设集合的参考时序数据的所在时段,得到参考时间数据;
步骤S502,根据参考时间数据和当前时段,得到目标时序数据和参考时序数据之间的时间差数据;
步骤S503,若时间差数据大于预设时间阈值,则将目标时序数据加入预设集合,得到目标集合;
步骤S504,基于目标集合和原始训练数据对异常检测模型进行参数优化,以更新异常检测模型。
在一些实施例的步骤S501中,若评估结果大于预设评估阈值,则获取预设集合的参考时序数据的所在时段,将该时段作为参考时间数据。
在一些实施例的步骤S502中,在根据参考时间数据和当前时段,得到目标时序数据和参考时序数据之间的时间差数据时,对参考时间数据和当前时段进行求差处理,得到目标时序数据和参考时序数据之间的时间差数据。
在一些实施例的步骤S503中,预设时间阈值可以根据实际的业务需求设置,不做限制。若时间差数据不大于预设时间阈值,则表明预设集合已经存在与目标时序数据较为相似的数据,不必将目标时序数据纳入预设集合;当时间差数据大于预设时间阈值,则表明预设集合不存在与目标时序数据相似的数据,则将目标时序数据加入预设集合,得到目标集合。
需要说明的是,当目标时序数据的不确定性较高时,目标时序数据为新型异常样本,而新型异常样本中很多是重复模式的异常,由于异常数据是渐进式出现,而不是崩塌式出现,所以很多异常样本的特征都是非常相似。假如一个硬盘坏了,持续很长的时间,数据都会显示异常,这种情况下,这些异常的规律模式非常相似,则这一系列的时序数据都属于相似样本,没有必要全部采集,即预设集合存在相似的时序数据,不必将其他时序数据再次存储,这一方式能够减小数据冗余,提高数据质量。
在一些实施例的步骤S504中,在基于目标集合和原始训练数据对异常检测模型进行参数优化时,首先对目标集合中的所有时序数据进行标注,再将标签时序数据与原始训练数据输入至异常检测模型进行模型的参数优化,其参数优化过程与上述的步骤S201至步骤S203的具体过程基本一致,此处不再赘述。
通过步骤S501至步骤S504能够较为方便地确定出目标时序数据是否与预设集合的数据是相似数据,能够减小目标集合中的数据冗余,提高数据质量,从而使得利用目标集合进行模型更新时达到更好地参数优化效果,提高模型对异常检测的准确性。
请参阅图6,在一些实施例,步骤S504包括但不限于包括步骤S601至步骤S602:
步骤S601,对目标集合进行标注处理,得到标签集合,其中,标签集合包括标签时序数据;
步骤S602,基于标签时序数据和原始训练数据对异常检测模型进行参数优化,以更新异常检测模型。
在一些实施例的步骤S601中,采用人工标注或者机器标注等方式对目标集合中的所有时序数据进行标注处理,将所有时序数据赋予异常标签,将每个时序数据转换为标签时序数据,得到标签集合,该标签集合实质上是一个异常样本集合。
在一些实施例的步骤S602中,对标签集合的标签时序数据和原始训练数据进行数据汇总,得到新的训练数据集,该新的训练数据集相较于原始训练数据构建的训练数据集,含有更多的异常样本数据,利用该新的训练数据集对异常检测模型进行参数优化,更新异常检测模型,其具体的模型参数优化过程与上述步骤S201至步骤S203的具体过程基本一致,此处不再赘述。
通过步骤S601至步骤S602能够扩大训练数据集中的异常样本的数据量,利用新的训练数据集对异常检测模型进行更新,使得模型能够进一步地挖掘异常样本中的时序信息和统计信息,提高模型对异常样本信息的学习能力,从而提高模型的异常检测性能,利用主动学习的方式,增加了训练数量总量,解决了传统技术中由于异常样本数据的获取难度大而导致的模型训练效果不佳的问题,提高了模型对异常检测的准确性。
请参阅图7,在一些实施例中,步骤S602可以包括但不限于包括步骤S701至步骤S702:
步骤S701,对标签集合进行集合重置,得到新的预设集合;
步骤S702,对新的预设集合进行数据清洗。
在一些实施例的步骤S701中,利用预设的脚本程序对标签集合进行集合重置,仅保留该标签集合的集合名称,删除集合的其他集合信息,得到新的预设集合。
在一些实施例的步骤S702中,对新的预设集合进行数据清洗,将预设集合的所有数据进行删除,使得预设集合为空集。
通过步骤S701至步骤S702能够较为方便地对标签集合进行重置和数据清空,能够利用该预设集合进行多轮次的数据异常检测和模型更新,提高了预设集合的复用性。
本申请实施例的异常检测方法,其通过获取原始训练数据,其中,原始训练数据为多维时序数据;对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型,能够较为方便地实现模型的训练,得到异常检测模型。进一步地,获取目标时段的目标时序数据;对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常,这一方式能够较为方便地对每个时段的目标时序数据进行异常检测,得到异常检测数据,并根据异常检测数据将确定为异常的目标时序数据再用于异常检测模型的优化,提高模型对异常检测的准确性。本申请实施例引入了模型推断和主动学习的方式来筛选用于模型更新的异常的目标时序数据,通过计算目标时序数据的不确定性评估结果以及与预设集合进行时间比较,能够在筛选用于模型更新的异常的目标时序数据时,剔除冗余数据(包含不确定性较低的目标时序数据以及相似度较高的目标时序数据),提高用于模型更新的异常样本数据的数据量和数量质量,能够较好地改善模型的训练效果,解决了传统技术中异常样本数据的获取难度大的问题,提高了模型对异常检测的准确性,进而减小由于金融云平台的服务器发生异常检测造成的交易数据、支付数据的泄露,也能减小交易数据、支付数据被篡改的风险,提高金融交易云平台的数据安全性。
请参阅图8,本申请实施例还提供一种异常检测装置,可以实现上述异常检测方法,该装置包括:
训练数据获取模块801,用于获取原始训练数据,其中,原始训练数据为多维时序数据;
原始特征提取模块802,用于对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;
模型训练模块803,用于基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;
时序数据获取模块804,用于获取目标时段的目标时序数据;
目标特征提取模块805,用于对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;
异常检测模块806,用于将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常。
在一些实施例中,模型训练模块803包括:
检测单元,用于基于原始模型对原始统计特征和原始时序特征进行异常检测,得到预测标签数据;
损失函数构建单元,用于基于预测标签数据和原始训练数据的原始标签数据,构建目标损失函数;
参数优化单元,用于基于目标损失函数对原始模型进行参数优化,得到异常检测模型。
在一些实施例中,异常检测模块806包括:
异常评分单元,用于基于异常检测模型对目标统计特征和目标时序特征进行异常评分,得到特征评分数据;
第一确定单元,用于若特征评分数据大于预设阈值,则将异常检测数据确定为目标时序数据正常;
第二确定单元,用于若特征评分数据不大于预设阈值,则将异常检测数据确定为目标时序数据存在异常。
在一些实施例中,异常检测装置还包括异常评估模块,包括:
数据提取单元,用于若异常检测数据为目标时序数据存在异常,则提取目标时序数据的特征评分数据;
评估单元,用于根据特征评分数据对目标时序数据进行不确定性评估,得到评估结果;
异常排查单元,用于基于评估结果,对目标时序数据进行异常排查。
在一些实施例中,异常检测装置还包括模型更新模块,具体包括:
时间数据获取单元,用于若评估结果大于预设评估阈值,则获取预设集合的参考时序数据的所在时段,得到参考时间数据;
时间差计算单元,用于根据参考时间数据和当前时段,得到目标时序数据和参考时序数据之间的时间差数据;
数据添加单元,用于若时间差数据大于预设时间阈值,则将目标时序数据加入预设集合,得到目标集合;
模型更新单元,用于基于目标集合和原始训练数据对异常检测模型进行参数优化,以更新异常检测模型。
在一些实施例中,模型更新单元包括:
标注子单元,用于对目标集合进行标注处理,得到标签集合,其中,标签集合包括标签时序数据;
参数优化子单元,用于基于标签时序数据和原始训练数据对异常检测模型进行参数优化,以更新异常检测模型。
在一些实施例中,参数优化子单元包括:
集合重置子单元,用于对标签集合进行集合重置,得到新的预设集合;
数据清洗子单元,用于对新的预设集合进行数据清洗。
该异常检测装置的具体实施方式与上述异常检测方法的具体实施例基本相同,在此不再赘述。
本申请实施例还提供了一种电子设备,电子设备包括:存储器、处理器、存储在存储器上并可在处理器上运行的程序以及用于实现处理器和存储器之间的连接通信的数据总线,程序被处理器执行时实现上述异常检测方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图9,图9示意了另一实施例的电子设备的硬件结构,电子设备包括:
处理器901,可以采用通用的CPU(CentralProcessingUnit,中央处理器)、微处理器、应用专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器902,可以采用只读存储器(ReadOnlyMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器902可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器902中,并由处理器901来调用执行本申请实施例的异常检测方法;
输入/输出接口903,用于实现信息输入及输出;
通信接口904,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;
总线905,在设备的各个组件(例如处理器901、存储器902、输入/输出接口903和通信接口904)之间传输信息;
其中处理器901、存储器902、输入/输出接口903和通信接口904通过总线905实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现上述异常检测方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例提供的异常检测方法、异常检测装置、电子设备及计算机可读存储介质,其通过获取原始训练数据,其中,原始训练数据为多维时序数据;对原始训练数据进行特征提取,得到原始统计特征和原始时序特征;基于原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型,能够较为方便地实现模型的训练,得到异常检测模型。进一步地,获取目标时段的目标时序数据;对目标时序数据进行特征提取,得到目标统计特征和目标时序特征;将目标统计特征和目标时序特征输入至异常检测模型进行异常检测,得到异常检测数据,其中,异常检测数据用于表征目标时序数据是否存在异常,这一方式能够较为方便地对每个时段的目标时序数据进行异常检测,得到异常检测数据,并根据异常检测数据将确定为异常的目标时序数据再用于异常检测模型的优化,提高模型对异常检测的准确性。本申请实施例引入了模型推断和主动学习的方式来筛选用于模型更新的异常的目标时序数据,通过计算目标时序数据的不确定性评估结果以及与预设集合进行时间比较,能够在筛选用于模型更新的异常的目标时序数据时,剔除冗余数据(包含不确定性较低的目标时序数据以及相似度较高的目标时序数据),提高用于模型更新的异常样本数据的数据量和数量质量,能够较好地改善模型的训练效果,解决了传统技术中异常样本数据的获取难度大的问题,提高了模型对异常检测的准确性,进而减小由于金融云平台的服务器发生异常检测造成的交易数据、支付数据的泄露,也能减小交易数据、支付数据被篡改的风险,提高金融交易云平台的数据安全性。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图1-7中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。
Claims (10)
1.一种异常检测方法,其特征在于,所述方法包括:
获取原始训练数据,其中,所述原始训练数据为多维时序数据;
对所述原始训练数据进行特征提取,得到原始统计特征和原始时序特征;
基于所述原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;
获取目标时段的目标时序数据;
对所述目标时序数据进行特征提取,得到目标统计特征和目标时序特征;
将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据,其中,所述异常检测数据用于表征所述目标时序数据是否存在异常。
2.根据权利要求1所述的异常检测方法,其特征在于,所述基于所述原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型,包括:
基于所述原始模型对所述原始统计特征和原始时序特征进行异常检测,得到预测标签数据;
基于所述预测标签数据和所述原始训练数据的原始标签数据,构建目标损失函数;
基于所述目标损失函数对所述原始模型进行参数优化,得到所述异常检测模型。
3.根据权利要求1所述的异常检测方法,其特征在于,所述将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据,包括:
基于所述异常检测模型对所述目标统计特征和所述目标时序特征进行异常评分,得到特征评分数据;
若所述特征评分数据大于预设阈值,则将所述异常检测数据确定为所述目标时序数据正常;
若所述特征评分数据不大于预设阈值,则将所述异常检测数据确定为所述目标时序数据存在异常。
4.根据权利要求1至3任一项所述的异常检测方法,其特征在于,在所述将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据之后,所述方法还包括:
若所述异常检测数据为所述目标时序数据存在异常,则提取所述目标时序数据的特征评分数据;
根据所述特征评分数据对所述目标时序数据进行不确定性评估,得到评估结果;
基于所述评估结果,对所述目标时序数据进行异常排查。
5.根据权利要求4所述的异常检测方法,其特征在于,在所述基于所述评估结果,对所述目标时序数据进行异常排查之后,所述方法还包括:
若所述评估结果大于预设评估阈值,则获取预设集合的参考时序数据的所在时段,得到参考时间数据;
根据所述参考时间数据和当前时段,得到所述目标时序数据和所述参考时序数据之间的时间差数据;
若所述时间差数据大于预设时间阈值,则将所述目标时序数据加入所述预设集合,得到目标集合;
基于所述目标集合和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型。
6.根据权利要求5所述的异常检测方法,其特征在于,所述基于所述目标集合和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型,包括:
对所述目标集合进行标注处理,得到标签集合,其中,所述标签集合包括标签时序数据;
基于所述标签时序数据和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型。
7.根据权利要求6所述的异常检测方法,其特征在于,所述基于所述标签时序数据和所述原始训练数据对所述异常检测模型进行参数优化,以更新所述异常检测模型,包括:
对所述标签集合进行集合重置,得到新的预设集合;
对所述新的预设集合进行数据清洗。
8.一种异常检测装置,其特征在于,所述装置包括:
训练数据获取模块,用于获取原始训练数据,其中,所述原始训练数据为多维时序数据;
原始特征提取模块,用于对所述原始训练数据进行特征提取,得到原始统计特征和原始时序特征;
模型训练模块,用于基于所述原始统计特征和原始时序特征对原始模型进行训练,得到异常检测模型;
时序数据获取模块,用于获取目标时段的目标时序数据;
目标特征提取模块,用于对所述目标时序数据进行特征提取,得到目标统计特征和目标时序特征;
异常检测模块,用于将所述目标统计特征和所述目标时序特征输入至所述异常检测模型进行异常检测,得到异常检测数据,其中,所述异常检测数据用于表征所述目标时序数据是否存在异常。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的异常检测方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310722471.2A CN116719683A (zh) | 2023-06-16 | 2023-06-16 | 异常检测方法、异常检测装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310722471.2A CN116719683A (zh) | 2023-06-16 | 2023-06-16 | 异常检测方法、异常检测装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116719683A true CN116719683A (zh) | 2023-09-08 |
Family
ID=87871281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310722471.2A Pending CN116719683A (zh) | 2023-06-16 | 2023-06-16 | 异常检测方法、异常检测装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116719683A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117573480A (zh) * | 2023-12-14 | 2024-02-20 | 杭州丽冠科技有限公司 | 基于人工智能的数据安全监控方法与装置 |
-
2023
- 2023-06-16 CN CN202310722471.2A patent/CN116719683A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117573480A (zh) * | 2023-12-14 | 2024-02-20 | 杭州丽冠科技有限公司 | 基于人工智能的数据安全监控方法与装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111897970B (zh) | 基于知识图谱的文本比对方法、装置、设备及存储介质 | |
| US20190155918A1 (en) | Real-time classification of evolving dictionaries | |
| CN111538842A (zh) | 网络空间态势的智能感知和预测方法、装置和计算机设备 | |
| CN113095080B (zh) | 基于主题的语义识别方法、装置、电子设备和存储介质 | |
| CN111309910A (zh) | 文本信息挖掘方法及装置 | |
| CN113378970B (zh) | 语句相似性检测方法、装置、电子设备及存储介质 | |
| CN113704410B (zh) | 情绪波动检测方法、装置、电子设备及存储介质 | |
| CN112528677A (zh) | 一种语义向量提取模型的训练方法、装置及电子设备 | |
| CN116258137A (zh) | 文本纠错方法、装置、设备和存储介质 | |
| CN116719683A (zh) | 异常检测方法、异常检测装置、电子设备及存储介质 | |
| CN116050352A (zh) | 文本编码方法和装置、计算机设备及存储介质 | |
| CN112052424B (zh) | 一种内容审核方法及装置 | |
| CN113704420A (zh) | 文本中的角色识别方法、装置、电子设备及存储介质 | |
| CN113342944A (zh) | 一种语料泛化方法、装置、设备及存储介质 | |
| CN116719999A (zh) | 文本相似度检测方法和装置、电子设备及存储介质 | |
| CN116701604A (zh) | 问答语料库的构建方法和装置、问答方法、设备及介质 | |
| CN114492437B (zh) | 关键词识别方法、装置、电子设备及存储介质 | |
| CN114398903B (zh) | 意图识别方法、装置、电子设备及存储介质 | |
| CN115687651A (zh) | 知识图谱构建方法、装置、电子设备及存储介质 | |
| CN113392220B (zh) | 一种知识图谱生成方法、装置、计算机设备及存储介质 | |
| CN115098687A (zh) | 面向电力sdh光传输系统调度运行的告警排查方法及装置 | |
| CN115270746A (zh) | 问题样本生成方法和装置、电子设备及存储介质 | |
| CN113204962A (zh) | 基于图扩展结构的词义消歧方法、装置、设备及介质 | |
| Lai et al. | An unsupervised approach to discover media frames | |
| KR20220068462A (ko) | 지식 그래프 생성 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |