WO2019020094A1

WO2019020094A1 - 一种指标异常检测方法、装置以及电子设备

Info

Publication number: WO2019020094A1
Application number: PCT/CN2018/097338
Authority: WO
Inventors: 李龙飞
Original assignee: 阿里巴巴集团控股有限公司; 李龙飞
Priority date: 2017-07-28
Filing date: 2018-07-27
Publication date: 2019-01-31
Also published as: EP3644186A1; CN107526667A; US10860453B2; EP3644186A4; TWI709931B; CN107526667B; TW201911173A; US20200159637A1

Abstract

一种指标异常检测方法、装置以及电子设备。所述方法包括：基于高斯模型和包含指标的多个监控点的窗口，对该指标进行异常检测。

Description

一种指标异常检测方法、装置以及电子设备

技术领域

本说明书涉及计算机软件技术领域，尤其涉及一种指标异常检测方法、装置以及电子设备。

背景技术

随着计算机和互联网技术的迅速发展，很多业务都可以在网上进行，这给用户带来了便利，也对相应的各种业务系统的可靠性提出了较高的要求。

一般地，可以对业务系统中的一些比较重要的指标进行监控。以第三方支付系统为例，被监控指标比如可以是：每分钟触发的支付账户盗用事件数量、每分钟的支付请求时延等。进而，可以基于监控数据，对被监控指标进行异常检测，若检测出异常，则可以由运营人员或者研发人员及时处理，以保证业务系统的可靠性。

在现有技术中，通常针对单个监控点，使用被监控指标的历史均值和方差，以及抖动来检测异常。

基于现有技术，需要更准确的指标异常检测方案。

发明内容

本说明书实施例提供一种指标异常检测方法、装置以及电子设备，用以解决如下技术问题：需要更准确的指标异常检测方案。

为解决上述技术问题，本说明书实施例是这样实现的：

本说明书实施例提供的一种指标异常检测方法，包括：

获取被监控指标在一段时间包含的各监控点的数据；

使用高斯模型提取所述监控点的数据的均值和方差；

根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率；

根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率；

根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。

本说明书实施例提供的一种指标异常检测装置，包括：

获取模块，获取被监控指标在一段时间包含的各监控点的数据；

提取模块，使用高斯模型提取所述监控点的数据的均值和方差；

第一计算模块，根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率；

第二计算模块，根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率；

检测模块，根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。

本说明书实施例提供的一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

获取被监控指标在一段时间包含的各监控点的数据；

使用高斯模型提取所述监控点的数据的均值和方差；

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：由于基于高斯模型和包含指标的多个监控点的窗口，对该指标进行异常检测，因此，有利于防止单个监控点的抖动误导异常检测，进而有利于更准确地进行指标异常检测。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书的方案在一种实际应用场景下涉及的一种整体架构示意图；

图2为本说明书实施例提供的一种指标异常检测方法的流程示意图；

图3为本说明书实施例提供的一种实际应用场景下，上述指标异常检测方法的一种具体实施方案的原理示意图；

图4本说明书实施例提供的一种实际应用场景下，上述指标异常检测方法的一种具体实施方案的流程示意图；

图5为本说明书实施例提供的对应于图1的一种指标异常检测装置的结构示意图。

具体实施方式

本说明书实施例提供一种指标异常检测方法、装置以及电子设备。

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本说明书实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图1为本说明书的方案在一种实际应用场景下涉及的整体架构示意图。在整体架构(a)中，主要涉及两部分：监控数据所在设备、高斯模型所在设备。监控数据所在设备通过网络，将被监控指标的监控数据发送给高斯模型所在设备，高斯模型所在设备可以基于窗口和高斯模型对监控数据进行处理，进而可以根据处理结果进行指标异常检测。需要说明的是，在实际应用中，监控数据和高斯模型可能处于同一设备上，在这种情况下，可以采用整体架构(b)。

基于以上整体架构，下面对本说明书的方案进行详细说明。

图2为本说明书实施例提供的一种指标异常检测方法的流程示意图，可以针对一个或多个被监控指标中的每个被监控指标分别执行该流程。该流程可能的执行主体包括但不限于可作为服务器或者终端的以下设备：手机、平板电脑、智能可穿戴设备、车机、个人计算机、中型计算机、计算机集群等。

图2中的流程可以包括以下步骤：

S202：获取被监控指标在一段时间包含的各监控点的数据。

在本说明书实施例中，一段时间可以包含多个监控点。

以被监控指标是每分钟触发的支付账户盗用事件数量为例。假定所述一段时间具体为最近的一天，且每个整点的第一分钟分别为一个监控点，则该一段时间可以包含24个监控点；假定所述一段时间具体为最近的一小时，每分钟分别为一个监控点，则该一段时间可以包含60个监控点。

另外，在实际应用中，监控点未必要均匀分布，比如，可能白天相对密集，半夜相对稀疏。

在本说明书实施例中，被监控指标在监控点的数据可以指针对被监控指标的原始监控数据，也即，在监控点获取的被监控指标的取值，比如，假定支付账户盗用事件数量这个被监控指标在一段时间包含的其中三个监控点获取的取值分别为2件、8件、1件，则可以将2件、8件、1件作为对应的所述监控点的数据；被监控指标在监控点的数据也可以指对原始监控数据进行特定处理得到的数据，所述特定处理可以是为了更有效地实施本说明书的方案。

例如，所述特定处理可以是取对数处理，通过取对数处理，可以将原始监控数据转化到一个更小的变化中，有利于降低单个监控点抖动给指标异常检测带来的不利影响；比如，可以将上述的2件、8件、1件取对数后作为对应的所述监控点的数据。

又例如，所述特定处理可以是均匀化处理，可以通过在原始监控数据中删除或增加一部分数据，以使处理得到的数据比处理前的原始监控数据更加均匀。

S204：使用高斯模型提取所述监控点的数据的均值和方差。

在本说明书实施例中，可以假定各监控点对应数据服从高斯分布，并基于这样的假定，使用高斯模型提取监控点的数据的均值和方差，具体可以高斯模型对监控点的数据进行估计，再根据估计后的高斯模型得到监控点的数据的均值和方差。所述高斯模型具体可以包括高斯混合模型。

S206：根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率。

在本说明书实施例中，利用监控点的数据的均值和方差，以及提取监控点的数据的均值和方差所使用的高斯模型，可以分别计算各监控点对应数据出现的概率。

S208：根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率。

在本说明书实施例中，可以不针对单个监控点进行指标异常检测，而是可以针对包含多个监控点的窗口进行指标异常检测。具体地，可以针对步骤S202中的一段时间划分出多个窗口，对于划分出的窗口，将该窗口包含的各监控点视为一个整体，进而以所述整体为单位，检测被监控指标是否异常。

在本说明书实施例中，基于已分别计算出的各监控点对应数据出现的概率，可以进一步地计算划分出的窗口内的各监控点对应数据出现的联合概率，该联合概率可以反映其对应的窗口内被监控指标相对于其他窗口的水平。

S210：根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。

在本发明实施例中，根据各所述窗口对应的联合概率，可以进一步地计算各窗口对应的联合概率出现的概率，以作为被监控指标的异常检测依据。

通过图2的方法，由于基于高斯模型和包含指标的多个监控点的窗口，对该指标进行异常检测，因此，有利于防止单个监控点的抖动误导异常检测，进而有利于更准确地进行指标异常检测。

基于图2的方法，本说明书实施例还提供了该方法的一些具体实施方案，以及扩展方案，下面进行说明。

在本说明书实施例中，假定预先对原始监控数据进行了取对数处理后，得到被监控指标在相应的监控点的数据，则对于步骤S202，所述获取被监控指标一段时间内的监控数据前，可以执行：获取所述被监控指标在一段时间包含的各监控点的原始监控数据；对所述原始监控数据进行取对数处理后，作为所述被监控指标在所述一段时间包含的各监控点的数据，以用于所述指标异常检测。

在本说明书实施例中，可以先划分好各窗口，再分别计算对应的联合概率，也可以一边划分窗口，一边计算当前划分出的窗口对应的联合概率。

以上一段中的前一种方式为例，对于步骤S208，所述根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率，具体可以包括：确定由所述一段时间划分出的多个不同的窗口；分别针对每个窗口，根据所述分别计算的概率中对应于该窗口包含的各所述监控点的数据的概率，计算该窗口包含的各所述监控点的数据出现的联合概率。

其中，所述多个不同的窗口优选地可以完整覆盖所述一段时间。

在本说明书实施例中，窗口划分的具体方式可以有多种。比如，可以按照设定的时间间隔划分窗口，也可以按照业务特性(比如，账户等级、地域等)划分窗口。

以按照设定的时间间隔划分窗口为例。由所述一段时间划分出多个不同的窗口比如可以包括：根据设定的时间间隔和窗口长度，由所述一段时间划分出多个不同的窗口，其中，相邻窗口的起始时刻相差所述时间间隔。

更具体地，例如，假定所述一段时间为1000分钟，设定的时间间隔为5分钟，窗口长度为10分钟。则将第1～10分钟划分为一个窗口，将第5～15分钟划分为一个窗口，将第10～20分钟划分为一个窗口，将第15～25分钟划分为一个窗口，等等，以此类推，可以划分出199个窗口。在该例中，相邻的窗口有重叠，在实际应用中，这并不是必须的，而且，时间间隔和窗口长度也可以不固定。

在本说明书实施例中，对于步骤S210，所述根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常，具体可以包括：对所述各所述窗口对应的所述联合概率使用高斯模型提取所述联合概率的均值和方差；根据所述联合概率的均值和方差，分别计算各所述窗口对应的所述联合概率出现的概率；根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常。

可以看到，这里可以又一次使用高斯模型，两次使用主要的不同之处在于：这里使用的高斯模型是针对窗口的，而步骤S204中使用的高斯模型是针对监控点的。

在本说明书实施例中，根据联合概率出现的概率的高低程度，可以检测被监控指标在该联合概率对应的窗口内是否异常。

例如，所述根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常，具体可以包括：根据所述联合概率的均值和方差，以及所述根据所述窗口对应的所述联合概率出现的概率，利用3σ准则检测所述被监控指标在所述窗口内是否异常。

更具体地，根据3σ准则，若联合概率出现的概率偏离上面计算出的联合概率的均值上下3个标准差(该标准差为上面计算出的联合概率的方差的算数平方根)，则可以认为对应的被监控指标在对应窗口内存在异常。

需要说明的是，在实际应用中，也可以人为设定联合概率的阈值和/或联合概率出现的概率的阈值，用以检测异常的窗口，而未必要利用3σ准则。

在检测出异常的窗口后，还可以采取特定措施，进一步地分析该窗口中的主要由哪些监控点导致该异常，如此，有利于后续更精准和有效地解决相关的业务系统问题。

基于上面的说明，本说明书实施例还提供了一种实际应用场景下，上述指标异常检测方法的一种具体实施方案，结合图3、图4进行说明。

图3为该具体实施方案的原理示意图。图4为对照图3的该具体实施方案的流程示意图。

图3中的方框表示当前窗口，方框中的圆圈表示监控点，对照图3，图4中的流程可以包括以下步骤：

S402：获取某被监控指标的原始监控数据，并进行取对数处理，得到监控数据；

S404：对监控数据使用高斯模型提取各监控点的数据的均值μ ₁和方差Δ ₁；

S406：根据μ ₁和Δ ₁，分别计算各监控点的数据出现的概率；

S408：根据分别计算的各监控点的数据出现的概率，计算窗口包含的各监控点的数据出现的联合概率；

S410：计算联合概率的均值μ ₂和方差Δ ₂；

S412：根据μ ₂和Δ ₂，计算窗口对应的联合概率出现的概率；

S414：利用3σ准则计算窗口对应的联合概率出现的概率是否偏离μ ₂上下三个

，若是，则检测出该被监控指标在该窗口内存在异常。

为了便于理解，可以用以下公式计算当前窗口对应的联合概率出现的概率p(X)：

其中，σ ₁表示Δ ₁的算数平方根，σ ₂表示Δ ₂的算数平方根，k表示当前窗口包含的监控点数量，p(x _i|μ ₁,σ ₁)表示当前窗口包含的第i个监控点的数据出现的概率，

表示当前窗口包含的k个监控点的数据出现的联合概率。

若p(X)偏离μ ₂上下三个σ ₂，则可以认为该被监控指标在当前窗口内存在异常。

仍以被监控指标是每分钟触发的支付账户盗用事件数量为例。将一段时间内的每6分钟划分为一个窗口，每个窗口里包含6个监控点，正如图3所示。

假定当前窗口的对应于各监控点的原始监控数据分别为：2件、8件、1件、20件、1件、1件；对当前窗口的原始监控数据进行取对数(假定采用自然对数)处理，得到被监控指标在当前窗口包含的各监控点的数据，分别为：In2、In8、0、In20、0、0。

类似地，可以通过取对数处理，得到被监控指标在该段时间包含的各监控点的数据；进而，可以使用高斯模型提取监控点的数据的均值和方差，以及利用上述的公式一计算当前窗口对应的联合概率出现的概率，并利用3σ准则检测被监控指标在当前窗口是否存在异常。按照这种方案可以分别检查出被监控指标在由该段时间划分出的任一窗口是否存在异常。

通过基于窗口和高斯模型的指标异常检测方案，有利于减少误报，提高检测结果的准确性。

基于同样的思路，本说明书实施例还提供了对应的装置，如图5所示。

图5为本说明书实施例提供的对应于图2的一种指标异常检测装置的结构示意图，虚线方框表示可选的模块，该装置可以位于图2中流程的执行主体上，包括：

获取模块501，获取被监控指标在一段时间包含的各监控点的数据，所述一段时间内包含多个监控点；

提取模块502，使用高斯模型提取所述监控点的数据的均值和方差；

第一计算模块503，根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率；

第二计算模块504，根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率；

检测模块505，根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。

可选地，所述装置还包括：

取对数模块506，在所述获取模块501获取被监控指标在一段时间包含的各监控点的数据前，获取所述被监控指标在一段时间包含的各监控点的原始监控数据，对所述原始监控数据进行取对数处理后，作为所述被监控指标在所述一段时间包含的各监控点的数据，以用于所述指标异常检测。

可选地，所述第二计算模块504根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率，具体包括：

所述第二计算模块504确定由所述一段时间划分出的多个不同的窗口；

分别针对每个窗口，根据所述分别计算的概率中对应于该窗口包含的各所述监控点的数据的概率，计算该窗口包含的各所述监控点的数据出现的联合概率。

可选地，由所述一段时间划分出多个不同的窗口包括：

根据设定的时间间隔和窗口长度，由所述一段时间划分出多个不同的窗口，其中，相邻窗口的起始时刻相差所述时间间隔。

可选地，所述检测模块505根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常，具体包括：

所述检测模块505对所述各所述窗口对应的所述联合概率使用高斯模型提取所述联合概率的均值和方差；

根据所述联合概率的均值和方差，分别计算各所述窗口对应的所述联合概率出现的概率；

根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常。

可选地，所述检测模块505根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常，具体包括：

所述检测模块505根据所述联合概率的均值和方差，以及所述根据所述窗口对应的所述联合概率出现的概率，利用3σ准则检测所述被监控指标在所述窗口内是否异常。

可选地，所述高斯模型包括高斯混合模型。

基于同样的思路，本说明书实施例还提供了对应的一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

获取被监控指标在一段时间包含的各监控点的数据；

使用高斯模型提取所述监控点的数据的均值和方差；

基于同样的思路，本说明书实施例还提供了对应的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

获取被监控指标在一段时间包含的各监控点的数据；

使用高斯模型提取所述监控点的数据的均值和方差；

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、非易失性计算机存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书实施例提供的装置、电子设备、非易失性计算机存储介质与方法是对应的，因此，装置、电子设备、非易失性计算机存储介质也具有与对应方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述对应装置、电子设备、非易失性计算机存储介质的有益技术效果。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable Gate Array，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等，目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书实施例可提供为方法、系统、或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本说明书实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

一种指标异常检测方法，包括：

获取被监控指标在一段时间包含的各监控点的数据；

使用高斯模型提取所述监控点的数据的均值和方差；

根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率；

根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率；

根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。
如权利要求1所述的方法，所述获取被监控指标在一段时间包含的各监控点的数据前，所述方法还包括：

获取所述被监控指标在一段时间包含的各监控点的原始监控数据；

对所述原始监控数据进行取对数处理后，作为所述被监控指标在所述一段时间包含的各监控点的数据，以用于所述指标异常检测。
如权利要求1所述的方法，所述根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率，具体包括：

确定由所述一段时间划分出的多个不同的窗口；

分别针对每个窗口，根据所述分别计算的概率中对应于该窗口包含的各所述监控点的数据的概率，计算该窗口包含的各所述监控点的数据出现的联合概率。
如权利要求3所述的方法，由所述一段时间划分出多个不同的窗口包括：

根据设定的时间间隔和窗口长度，由所述一段时间划分出多个不同的窗口，其中，相邻窗口的起始时刻相差所述时间间隔。
如权利要求1所述的方法，所述根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常，具体包括：

对所述各所述窗口对应的所述联合概率使用高斯模型提取所述联合概率的均值和方差；

根据所述联合概率的均值和方差，分别计算各所述窗口对应的所述联合概率出现的概率；

根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常。
如权利要求5所述的方法，所述根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常，具体包括：

根据所述联合概率的均值和方差，以及所述根据所述窗口对应的所述联合概率出现的概率，利用3σ准则检测所述被监控指标在所述窗口内是否异常。
如权利要求1～6任一项所述的方法，所述高斯模型包括高斯混合模型。
一种指标异常检测装置，包括：

获取模块，获取被监控指标在一段时间包含的各监控点的数据；

提取模块，使用高斯模型提取所述监控点的数据的均值和方差；

第一计算模块，根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率；

第二计算模块，根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率；

检测模块，根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。
如权利要求8所述的装置，所述装置还包括：

取对数模块，在所述获取模块获取被监控指标在一段时间包含的各监控点的数据前，获取所述被监控指标在一段时间包含的各监控点的原始监控数据，对所述原始监控数据进行取对数处理后，作为所述被监控指标在所述一段时间包含的各监控点的数据，以用于所述指标异常检测。
如权利要求8所述的装置，所述第二计算模块根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率，具体包括：

所述第二计算模块确定由所述一段时间划分出的多个不同的窗口；

分别针对每个窗口，根据所述分别计算的概率中对应于该窗口包含的各所述监控点的数据的概率，计算该窗口包含的各所述监控点的数据出现的联合概率。
如权利要求10所述的装置，由所述一段时间划分出多个不同的窗口包括：

根据设定的时间间隔和窗口长度，由所述一段时间划分出多个不同的窗口，其中，相邻窗口的起始时刻相差所述时间间隔。
如权利要求8所述的装置，所述检测模块根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常，具体包括：

所述检测模块对所述各所述窗口对应的所述联合概率使用高斯模型提取所述联合概率的均值和方差；

根据所述联合概率的均值和方差，分别计算各所述窗口对应的所述联合概率出现的概率；

根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常。
如权利要求12所述的装置，所述检测模块根据所述窗口对应的所述联合概率出现的概率，检测所述被监控指标是否异常，具体包括：

所述检测模块根据所述联合概率的均值和方差，以及所述根据所述窗口对应的所述联合概率出现的概率，利用3σ准则检测所述被监控指标在所述窗口内是否异常。
如权利要求8～13任一项所述的装置，所述高斯模型包括高斯混合模型。
一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

获取被监控指标在一段时间包含的各监控点的数据；

使用高斯模型提取所述监控点的数据的均值和方差；

根据所述监控点的数据的均值和方差，分别计算各所述监控点的数据出现的概率；

根据所述分别计算的概率，计算由所述一段时间划分出的窗口包含的各所述监控点的数据出现的联合概率；

根据各所述窗口对应的所述联合概率，检测所述被监控指标是否异常。