[发明专利]针对计算机系统的行为异常自动检测方法及检测系统

说明书

技术领域

本发明涉及一种行为异常自动检测方法及检测系统，尤其涉及一种针对计算机系统的行为异常自动检测方法及检测系统。

背景技术

随着计算机硬件软件的技术不断提高，网络技术不断进步，计算机成为目前人们生产生活当中必不可少的部分。特别是在近几年来高速互联网络普及和计算机处理性能飞跃性提升，以及虚拟化技术的不断完善的推动下，计算机作为一种计算资源在当前社会的使用中往往承担着非常重要的任务诸如重要信息的存取，关键工作的计算等等。许多的企业系统和政府部门服务现在都有大型的计算机系统来进行支撑。因此计算机系统的稳定性和可靠性是目前的使用环境下必须要保证的重要方面。随着目前计算机科学技术的不断发展，软件硬件复杂性持续提高，同时计算机系统特别是云计算平台这类大型系统的使用方式也日益复杂。有研究表明由于系统本身结构的复杂化和使用模式的复杂化，我们所面对的系统异常无论是在数量上还是种类上也是随之而不断增加的。计算机系统当中的异常会直接影响到运行在其上的程序的性能甚至结果，可能对于承载在计算机上的各种任务造成不可估量的负面影响，直接损害到企业和部门的正常工作程序甚至于造成经济损失。如果能够自动化发现计算机系统当中存在的异常，那么就可以缩短异常发现和异常应对时间，减少异常持续时间从而减小异常造成的损害，同时给异常自动化应对打下基础。

系统行为异常是指在系统运行期间，在一定时间段内出现的系统行为模式，包括系统计算负载，系统网络流量，系统存储利用率，系统承担的具体任务等方面，与历史正常情况出现明显的差别。当前的异常自动检测系统主要采用以下几种模式，第一是阈值报警，第二是基于统计函数，第三是基于机器学习，但是这些方法主要针对于时间点或者小时间段进行精测。系统行为异常定义在较长的一段时间段上，难以通过普通的阈值报警方法进行检测，而且可能对于整个系统的功能，效率以及安全性造成直接或者间接的影响。而其他针对时间点或者小时间段的智能检测技术，包括基于机器学习和统计学的方法，存在着需要人工对历史数据分配标识，自动化程度不高，无法全面识别较长时间段数据特征等缺陷，造成检出率低而误报率高的不足之处。

发明内容

本发明的目的在于提供一种针对计算机系统的行为异常预测方法，解决了针对计算机系统行为异常检测自动化程度不高，无法有效利用监控数据中的行为信息造成检出率低下而误报率过高的问题。

为了解决上述问题，本发明涉及了一种针对计算机系统的行为异常自动检测方法，包括以下步骤：

S1:将从所述计算机系统的监控系统或后台数据库中获得的历史监控数据和实时监控数据流构成监控时间序列；

S2:将监控时间序列按照所述计算机系统的使用率的变化周期分段为若干数据段，按照所有数据段当中的最长采样点数对所有数据段进行重采样；对所述若干采样后的数据段分段去噪得到平滑时间序列段，计算采样前数据段的标准差和平均值，遍历每个采样点，采样点和所述平均值的欧几里得距离小于预定倍数标准差则偏差值设为0，否则偏差值设为绝对偏差距离，由每段时间序列段采样点的偏差值构成若干尖峰时间序列段；将尖峰时间序列段和去噪后的平滑时间序列段相加构成新的监控时间序列段；

S3:将新的监控时间序列段动态对齐，并计算每段时间段中的所述计算机系统的机器行为相似性指数；

S4:将S3中得到的相似性指数构成一个相似性矩阵，通过相似性矩阵转化为一个图的邻接矩阵，使得图中，相似性指数作为边权，时间段本身作为节点；

S5:利用马尔科夫随机游走算法在S3中得到的图上进行游走得到各新的监控时间序列段的连接度，作为每个被检测时间段的异常指数。

较佳地，原始时间序列中包括常规序列段和非常规序列段，所述常规序列段的时间戳之间的间隔时间一致，所述非常规序列段的时间戳之间的间隔时间不一致，按照所有分段当中最长采样个数对所有数据段进行线性重采样，使得监控时间序列获得相同的采样间隔和采样次数。

较佳地，S3中进一步包括，根据实际负载情况进行预定范围以内的新的时间序列段对齐，同时用欧几里得距离函数计算对齐后的新的时间序列段的相似度。

较佳地，对于任意的两个监控时间序列Fi和Fj组成的监控时间序列对，用以下的方程来获得Fi和Fj的相似性指数：

dist_up＝f[ii-1][jj-k]+Euclidean(Fi[ii],Fj[jj-k+1])+…+Euclidean(Fi[ii],Fj[jj-k])，