[发明专利]针对计算机系统的行为异常自动检测方法及检测系统

权利要求书

1.一种针对计算机系统的行为异常自动检测方法，其特征在于，包括以下步骤：

S1:将从所述计算机系统的监控系统或后台数据库中获得的历史监控数据和实时监控数据流构成监控时间序列；

S2:将监控时间序列按照所述计算机系统的使用率的变化周期分段为若干数据段，按照所有数据段当中的最大采样点数对所有数据段进行重采样；对所述若干采样后的数据段分段去噪得到平滑时间序列段，计算采样前数据段的标准差和平均值，遍历每个采样点，采样点和所述平均值的欧几里得距离小于预定倍数标准差则偏差值设为0，否则偏差值设为绝对偏差距离，由每段时间序列段采样点的偏差值构成若干尖峰时间序列段；将尖峰时间序列段和去噪后的平滑时间序列段相加构成新的监控时间序列段；

S3:将新的监控时间序列段动态对齐，并计算每段时间段中的所述计算机系统的机器行为相似性指数；

S4:将S3中得到的相似性指数构成一个相似性矩阵，通过相似性矩阵转化为一个图对应的邻接矩阵，使得图中，相似性指数作为边权，时间段本身作为节点；

S5:利用马尔科夫随机游走算法在S3中得到的图上进行游走得到各新的监控时间序列段的连接度，作为每个被检测时间段的异常指数。

2.如权利要求1所述的一种针对计算机系统的行为异常自动检测方法，其特征在于，原始时间序列中包括常规序列段和非常规序列段，所述常规序列段的时间戳之间的间隔时间一致，所述非常规序列段的时间戳之间的间隔时间不一致，按照所有分段当中最长采样个数对所有数据段进行线性重采样，使得监控时间序列获得相同的采样间隔和采样次数。

3.如权利要求1所述的一种针对计算机系统的行为异常自动检测方法，其特征在于，S3中进一步包括，根据实际负载情况进行预定范围以内的新的时间序列段对齐，同时用欧几里得距离函数计算对齐后的新的时间序列段的相似度。

4.如权利要求1或3所述的一种针对计算机系统的行为异常自动检测算法，其特征在于，对于任意的两个监控时间序列Fi和Fj组成的监控时间序列对，用以下的方程来获得Fi和Fj的相似性指数：

dist_up＝f[ii-1][jj-k]+Euclidean(Fi[ii],Fj[jj-k+1])+…+Euclidean(Fi[ii],Fj[jj-k])，

dist_down＝f[ii-k][jj-1]+Euclidean(Fj[ii],Fi[jj-k+1])+…+Euclidean(Fj[ii],Fi[jj-k])，

f[ii,jj]＝min(dist_up,dist_down,f[ii][jj])，

similarity＝f[L,L]，

其中，L为监控时间序列段长度；Euclidean为欧几里得距离函数；Fi为第i段监控时间序列，i＝1,2…m；Fj为第j段监控时间序列，j＝1,2…m；m为监控的时间序列总的段数；Similarity为第i段监控时间序列与第j段监控时间序列的相似性指数；ii,jj,k为循环变量，其中ii为监控时间序列Fi中的任一采样点，jj为监控时间序列Fj中的一任意采样点，k为移动步数，ii＝0,1…L；jj＝0,1…L；k＝0,1…n,n为预设的最大对齐步数，f[ii][jj]为计算需要的中间结果。

5.如权利要求1所述的一种针对计算机系统的行为异常自动检测方法，其特征在于，还包括S6：设定判断阈值Threshold，连接度小于阈值Threshold的时间段标记为行为异常，连接度大于阈值Threshold的时间段标记为行为正常。