一種異常事件檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種異常事件檢測方法及系統(tǒng)�����,該方法包括:根據(jù)調(diào)度時間表讀取事件信息��;對事件信息對應(yīng)的事件進(jìn)行匯總分類����,將同一類事件匯總成一個事件集合�����;對各個事件集合進(jìn)行字段采集����,生成采集結(jié)果;對采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理、換算處理及均方差計(jì)算處理,生成均方差計(jì)算結(jié)果�����;根據(jù)基線數(shù)據(jù)從均方差計(jì)算結(jié)果中篩選出均方差計(jì)算結(jié)果小于基線數(shù)據(jù)的事件集合�;根據(jù)報(bào)警閾值判斷篩選出的事件集合中的事件是否為非偶發(fā)性事件;如果是�,提取非偶發(fā)性事件的集中發(fā)生時間區(qū)間��,并將非偶發(fā)性事件進(jìn)行封裝���。通過本發(fā)明��,能夠快速����、高效地對異常事件進(jìn)行檢測����,提高了對數(shù)據(jù)中心的異常事件檢測的效率及準(zhǔn)確性�,提高了數(shù)據(jù)中心系統(tǒng)運(yùn)行的穩(wěn)定性。
【專利說明】一種異常事件檢測方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明是關(guān)于數(shù)據(jù)中心數(shù)據(jù)處理技術(shù)����,具體地,是關(guān)于一種異常事件檢測方法及 系統(tǒng)���。
【背景技術(shù)】
[0002] 在數(shù)據(jù)中心的日常生產(chǎn)�、維護(hù)過程中��,經(jīng)常出現(xiàn)各類異常事件,這些事件會嚴(yán)重影 響數(shù)據(jù)中心各個系統(tǒng)的穩(wěn)定運(yùn)行����,使得數(shù)據(jù)中心無法對各類事件加以預(yù)測。在數(shù)據(jù)中心運(yùn) 行過程中出現(xiàn)的大量異常事件之間�,利用統(tǒng)計(jì)原理和方法數(shù)據(jù)進(jìn)行分析,所得出的數(shù)據(jù)結(jié) 果有時帶有一定的規(guī)律性���。在分析時�,由于數(shù)據(jù)量龐大���,一般可能只是通過樣本進(jìn)行分析��。 一個總體可以抽取出多個樣本�����,所抽取的樣本越多��,其樣本均值就越接近總體數(shù)據(jù)的平均 值����,也就是說樣本量越大越能反映真實(shí)的情況�。因此�,要得到比較精確的數(shù)據(jù)�,需要統(tǒng)計(jì)的 異常事件數(shù)量非常多���。但是���,目前一般采用的人工統(tǒng)計(jì)異常事件的方式,效率低下���,不能進(jìn) 行較大數(shù)據(jù)的處理�����,不能及時的監(jiān)控異常事件��。往往當(dāng)系統(tǒng)故障發(fā)生�����,嚴(yán)重影響了系統(tǒng)的穩(wěn) 定性���,會造成了重大損失。因此����,如何提高對數(shù)據(jù)中心異常事件檢測的效率及準(zhǔn)確性�����,是亟 待解決的問題�。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明實(shí)施例的主要目的在于提供一種異常事件檢測方法及系統(tǒng)��,以提高對數(shù)據(jù) 中心的異常事件進(jìn)行檢測的效率及準(zhǔn)確性���。
[0004] 為了實(shí)現(xiàn)上述目的����,本發(fā)明實(shí)施例提供一種異常事件檢測方法��,所述異常事件檢 測方法包括:根據(jù)調(diào)度時間表讀取事件信息��;對所述事件信息對應(yīng)的事件進(jìn)行匯總分類���, 將同一類事件匯總成一個事件集合��;對各個所述的事件集合進(jìn)行字段采集�����,生成采集結(jié)果�����; 對所述采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理�����、換算處理及均方差計(jì)算處理��,生成均方差計(jì)算結(jié) 果���;根據(jù)預(yù)先存儲的基線數(shù)據(jù)從所述均方差計(jì)算結(jié)果中篩選出均方差計(jì)算結(jié)果小于所述基 線數(shù)據(jù)的事件集合;根據(jù)一報(bào)警閾值判斷篩選出的所述事件集合中的事件是否為非偶發(fā)性 事件���;如果是��,提取所述非偶發(fā)性事件的集中發(fā)生時間區(qū)間�����,并將所述非偶發(fā)性事件進(jìn)行封 裝�����。
[0005] 在一實(shí)施例中�,上述的異常事件檢測方法還包括:根據(jù)歷史數(shù)據(jù)判斷篩選出的所 述事件集合是否為第一次出現(xiàn);如果是�����,則將篩選出的所述事件集合的均方差計(jì)算結(jié)果設(shè) 置為篩選出的事件集合對應(yīng)的基線數(shù)據(jù)�,否則根據(jù)篩選出的所述事件集合的均方差計(jì)算結(jié) 果更新篩選出的所述事件集合對應(yīng)的基線數(shù)據(jù)。
[0006] 在一實(shí)施例中�����,上述的異常事件檢測方法還包括:如果篩選出的所述事件集合中 的事件是偶發(fā)性事件��,則將所述偶發(fā)性事件存儲到歷史數(shù)據(jù)中���。
[0007] 在一實(shí)施例中�����,上述的異常事件檢測方法還包括:判斷所述采集結(jié)果是否符合預(yù) 先存儲的事件指標(biāo)信息所規(guī)定的表達(dá)式�����;如果是��,對所述采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理�、 換算處理及均方差計(jì)算處理,生成均方差計(jì)算結(jié)果�,否則存儲所述采集結(jié)果至異常作業(yè)列 表。
[0008] 具體地�����,上述的采集結(jié)果包括:所述事件集合對應(yīng)的IP地址��、對象名稱���、對象位置 及發(fā)生時間點(diǎn);上述的事件指標(biāo)信息為所述IP地址���、對象名稱��、對象位置及發(fā)生時間點(diǎn)分 別對應(yīng)的標(biāo)準(zhǔn)表達(dá)式�����。
[0009] 在一實(shí)施例中�����,上述的對所述事件信息對應(yīng)的事件進(jìn)行匯總分類�,將同一類事件 匯總成一個事件集合,包括:獲取所述事件信息中的事件標(biāo)記���,所述事件標(biāo)記包括:所述事 件對應(yīng)的IP地址��、主機(jī)名����,所述事件標(biāo)記用于標(biāo)記不同類型的事件��;根據(jù)所述事件標(biāo)記對 所述事件進(jìn)行匯總分類��,將所述事件標(biāo)記相同的事件匯總成一個所述事件集合�。
[0010] 在一實(shí)施例中,上述的時間斷點(diǎn)處理包括:判斷所述事件集合中的事件發(fā)生的時 間點(diǎn)是否大于12點(diǎn)����;如果是,用24點(diǎn)減去所述時間點(diǎn)所得的差值替換所述時間點(diǎn)���,否則保 留所述時間點(diǎn)�。
[0011] 進(jìn)一步地����,上述的換算處理包括:將經(jīng)過所述時間斷點(diǎn)處理的事件發(fā)生的時間點(diǎn) 進(jìn)行單位換算����,生成單位統(tǒng)一的時間數(shù)據(jù)�����。
[0012] 進(jìn)一步地�����,上述的均方差計(jì)算處理包括:根據(jù)所述時間數(shù)據(jù)進(jìn)行均方差計(jì)算��,生成 所述均方差結(jié)果����。
[0013] 在一實(shí)施例中����,上述的根據(jù)一報(bào)警閾值判斷所述事件集合中的事件是否為非偶發(fā) 性事件,包括:判斷所述事件集合的均方差計(jì)算結(jié)果是否小于所述報(bào)警閾值��;如果是����,所述 事件集合中的事件為非偶發(fā)性事件��;否則所述事件集合中的事件為偶發(fā)性事件���。
[0014] 本發(fā)明實(shí)施例還提供一種異常事件檢測系統(tǒng),所述異常事件檢測系統(tǒng)包括:事件 信息讀取單元���,用于根據(jù)調(diào)度時間表讀取事件信息����;事件集合生成單元�,用于對所述事件信 息對應(yīng)的事件進(jìn)行匯總分類,將同一類事件匯總成一個事件集合���;采集結(jié)果生成單元��,用于 對各個所述的事件集合進(jìn)行字段采集����,生成采集結(jié)果��;均方差計(jì)算單元,用于對所述采集結(jié) 果依次進(jìn)行時間斷點(diǎn)處理�����、換算處理及均方差計(jì)算處理�,生成均方差計(jì)算結(jié)果;篩選單元��, 用于根據(jù)預(yù)先存儲的基線數(shù)據(jù)從所述均方差計(jì)算結(jié)果中篩選出均方差計(jì)算結(jié)果小于所述 基線數(shù)據(jù)的事件集合���;非偶發(fā)性事件判斷單元��,根據(jù)一報(bào)警閾值判斷篩選出的所述事件集 合中的事件是否為非偶發(fā)性事件�;非偶發(fā)性事件封裝單元�,用于提取所述非偶發(fā)性事件的 集中發(fā)生時間區(qū)間,并將所述非偶發(fā)性事件進(jìn)行封裝���。
[0015] 在一實(shí)施例中���,上述的異常事件檢測系統(tǒng)還包括:事件判斷單元���,用于根據(jù)歷史數(shù) 據(jù)判斷篩選出的所述事件集合是否為第一次出現(xiàn);基線數(shù)據(jù)設(shè)置單元,用于將篩選出的所 述事件集合的均方差計(jì)算結(jié)果設(shè)置為篩選出的事件集合對應(yīng)的基線數(shù)據(jù)�����;基線數(shù)據(jù)更新單 元����,用于根據(jù)篩選出的所述事件集合的均方差計(jì)算結(jié)果更新篩選出的所述事件集合對應(yīng)的 基線數(shù)據(jù)。
[0016] 在一實(shí)施例中�,上述的異常事件檢測系統(tǒng)還包括:歷史數(shù)據(jù)存儲單元,如果篩選出 的所述事件集合中的事件是偶發(fā)性事件�,所述歷史數(shù)據(jù)存儲單元用于將所述偶發(fā)性事件存 儲到歷史數(shù)據(jù)中。
[0017] 在一實(shí)施例中����,上述的異常事件檢測系統(tǒng)還包括:采集結(jié)果判斷單元,用于判斷所 述采集結(jié)果是否符合預(yù)先存儲的事件指標(biāo)信息所規(guī)定的表達(dá)式�;異常結(jié)果存儲單元,用于 將所述采集結(jié)果存儲至異常作業(yè)列表�。
[0018] 具體地,上述的采集結(jié)果包括:所述事件集合對應(yīng)的IP地址���、對象名稱��、對象位置 及發(fā)生時間點(diǎn)���;事件指標(biāo)信息為所述IP地址���、對象名稱、對象位置及發(fā)生時間點(diǎn)分別對應(yīng) 的標(biāo)準(zhǔn)表達(dá)式���。
[0019] 在一實(shí)施例中�,上述的事件集合生成單元包括:事件標(biāo)記獲取模塊��,用于獲取所述 事件信息中的事件標(biāo)記�,所述事件標(biāo)記包括:所述事件對應(yīng)的IP地址、主機(jī)名���,所述事件標(biāo) 記分別標(biāo)記對應(yīng)不同類型的事件��;事件分類模塊��,用于根據(jù)所述事件標(biāo)記對所述事件進(jìn)行 匯總分類�,將所述事件標(biāo)記相同的事件匯總成一個所述事件集合�����。
[0020] 在一實(shí)施例中����,上述的均方差計(jì)算單元包括:時間斷點(diǎn)處理模塊、換算處理模塊及 均方差計(jì)算處理模塊���,其中���,所述時間斷點(diǎn)處理模塊具體用于:判斷所述事件集合中的事件 發(fā)生的時間點(diǎn)是否大于12點(diǎn);如果是����,用24點(diǎn)減去所述時間點(diǎn)所得的差值替換所述時間 點(diǎn)�,否則保留所述時間點(diǎn)。
[0021] 進(jìn)一步地���,上述的換算處理模塊具體用于:將經(jīng)過所述時間斷點(diǎn)處理的事件發(fā)生 的時間點(diǎn)進(jìn)行單位換算��,生成單位統(tǒng)一的時間數(shù)據(jù)。
[0022] 進(jìn)一步地�,上述的均方差計(jì)算處理模塊具體用于:根據(jù)所述時間數(shù)據(jù)進(jìn)行均方差 計(jì)算,生成所述均方差結(jié)果����。
[0023] 在一實(shí)施例中,上述的非偶發(fā)性事件判斷單元具體用于:判斷所述事件集合的均 方差計(jì)算結(jié)果是否小于所述報(bào)警閾值����;如果是��,所述事件集合中的事件為非偶發(fā)性事件���; 否則所述事件集合中的事件為偶發(fā)性事件。
[0024] 本發(fā)明的有益效果在于����,能夠快速、高效地對較大數(shù)據(jù)的事件進(jìn)行處理�,提高了對 數(shù)據(jù)中心的異常事件檢測的效率及準(zhǔn)確性����,能夠及時對異常事件進(jìn)行監(jiān)控并進(jìn)行報(bào)警,提 示相關(guān)工作人員進(jìn)行處理�,從而提高數(shù)據(jù)中心系統(tǒng)運(yùn)行的穩(wěn)定性�����。
【專利附圖】
【附圖說明】
[0025] 為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例描述 中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些 實(shí)施例�,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下�����,還可以根據(jù)這些 附圖獲得其他的附圖��。
[0026] 圖1為根據(jù)本發(fā)明實(shí)施例的異常事件檢測方法的流程圖�����;
[0027] 圖2為根據(jù)本發(fā)明實(shí)施例的異常事件檢測方法的另一流程圖�;
[0028] 圖3為根據(jù)本發(fā)明實(shí)施例的表盤刻度示意圖���;
[0029] 圖4為根據(jù)本發(fā)明實(shí)施例的異常事件檢測系統(tǒng)的結(jié)構(gòu)示意圖�����;
[0030] 圖5為據(jù)本發(fā)明實(shí)施例的事件集合生成單元2的結(jié)構(gòu)示意圖��;
[0031] 圖6為據(jù)本發(fā)明實(shí)施例的異常事件檢測系統(tǒng)的另一結(jié)構(gòu)示意圖�����;
[0032] 圖7為據(jù)本發(fā)明實(shí)施例的均方差計(jì)算單元4的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0033] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述�����,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例���?;?本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍���。
[0034] 本發(fā)明實(shí)施例提供一種異常事件檢測方法和系統(tǒng)����。以下結(jié)合附圖對本發(fā)明進(jìn)行詳 細(xì)說明�����。
[0035] 本發(fā)明實(shí)施例提供一種異常事件檢測方法����,如圖1所示�����,該異常事件檢測方法主 要包括以下幾個步驟:
[0036] 步驟101 :根據(jù)調(diào)度時間表讀取事件信息����;
[0037] 步驟102 :對事件信息對應(yīng)的事件進(jìn)行匯總分類,將同一類事件匯總成一個事件 集合����;
[0038] 步驟103 :對各個上述的事件集合進(jìn)行字段采集�,生成采集結(jié)果�����;
[0039] 步驟104 :對上述的采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理����、換算處理及均方差計(jì)算處 理,生成均方差計(jì)算結(jié)果����;
[0040] 步驟105 :根據(jù)預(yù)先存儲的基線數(shù)據(jù)從上述均方差計(jì)算結(jié)果中篩選出均方差計(jì)算 結(jié)果小于該基線數(shù)據(jù)的事件集合;
[0041] 步驟106 :根據(jù)一報(bào)警閾值判斷篩選出的上述的事件集合中的事件是否為非偶發(fā) 性事件�;
[0042] 步驟107 :如果上述事件集合中的事件為非偶發(fā)性事件,提取該非偶發(fā)性事件的 集中發(fā)生時間區(qū)間���,并將該非偶發(fā)性事件進(jìn)行封裝�。
[0043]由圖1所示的流程可知����,本申請根據(jù)調(diào)度時間表讀取事件信息并采集事件的集 合;然后對采集的結(jié)果通過時間斷點(diǎn)處理、換算處理及均方差計(jì)算處理��,生成均方差計(jì)算結(jié) 果�;進(jìn)一步根據(jù)基線數(shù)據(jù)篩選出均方差計(jì)算結(jié)果小于該基線數(shù)據(jù)的事件集合;最后根據(jù)一 報(bào)警閾值判斷篩選出的上述的事件集合中的事件是否為非偶發(fā)性事件��,如果上述事件集合 中的事件為非偶發(fā)性事件����,提取該非偶發(fā)性事件的集中發(fā)生時間區(qū)間,并將該非偶發(fā)性事 件進(jìn)行封裝�����。由此可知�����,利用本發(fā)明實(shí)施例的異常事件的檢測方法�����,能夠快速���、高效地對較 大數(shù)據(jù)的事件進(jìn)行處理,提高了對數(shù)據(jù)中心的異常事件檢測的效率及準(zhǔn)確性,能夠及時對 異常事件進(jìn)行監(jiān)控并進(jìn)行報(bào)警����,提示相關(guān)工作人員進(jìn)行處理,從而提高數(shù)據(jù)中心系統(tǒng)運(yùn)行 的穩(wěn)定性����。
[0044] 在經(jīng)過上述步驟103生成采集結(jié)果后,本發(fā)明實(shí)施例的異常事件檢測方法還可包 括對該采集結(jié)果進(jìn)行篩選處理的步驟�����,如圖2所示��,具體的篩選步驟如下�����;
[0045] 步驟111 :判斷采集結(jié)果是否符合預(yù)先存儲的事件指標(biāo)信息所規(guī)定的表達(dá)式�;
[0046] 步驟112 :如果采集結(jié)果符合預(yù)先存儲的事件指標(biāo)信息所規(guī)定的表達(dá)式,則可執(zhí) 行步驟104,否則存儲不符合預(yù)先存儲的事件指標(biāo)信息所規(guī)定的表達(dá)式的采集結(jié)果至異常 作業(yè)列表���。
[0047] 以下結(jié)合具體的示例��,對上述的異常事件檢測方法的各個步驟進(jìn)行詳細(xì)說明�����。
[0048] 上述步驟101中���,調(diào)度時間表中存儲有針對數(shù)據(jù)中心運(yùn)行過程中發(fā)生的各個事件 所對應(yīng)的運(yùn)行時間����,結(jié)合該運(yùn)行時間來獲取在數(shù)據(jù)中心運(yùn)行過程中發(fā)生的事件的事件信 息���,該事件信息中主要包括的信息例如是發(fā)生該事件的服務(wù)器的IP地址��、主機(jī)名等信息��。 通過步驟101����,將上述的事件信息與事件發(fā)生的時間點(diǎn)相結(jié)合�����。
[0049] 本發(fā)明實(shí)施例的異常事件檢測方法�����,主要是針對同一類事件進(jìn)行的檢測�����,因此�����,需 要執(zhí)行上述的步驟102,對發(fā)生的各種事件進(jìn)行分類����,具體地,可根據(jù)事件的標(biāo)記來進(jìn)行歸 類��。例如���,可根據(jù)多個事件所對應(yīng)的IP地址�、主機(jī)名稱來劃分事件的類別�����,由此對各個事件 進(jìn)行匯總分類���,從而將同一類的事件匯總成一個事件集合���。
[0050] 在對各種事件進(jìn)行匯總分類后���,可執(zhí)行上述步驟103,對各個事件集合進(jìn)行字段采 集,從而獲得采集結(jié)果�����。具體地���,該采集結(jié)果包括:采集該事件集合所對應(yīng)的IP地址�����、對象 名稱����、對象特征(如對象位置���、事件發(fā)生的時間點(diǎn)等)等信息。并且���,在具體實(shí)施時���,可加入 對采集的上述信息進(jìn)行初步篩選的過程(即上述步驟110?步驟111)���。首先明確對采集到 的結(jié)果進(jìn)行初步篩選的標(biāo)準(zhǔn),該標(biāo)準(zhǔn)又稱為事件指標(biāo)信息�,該事件指標(biāo)信息中包含了與事 件相對應(yīng)的IP地址、對象名稱���、對象位置及發(fā)生時間點(diǎn)等信息的一個標(biāo)準(zhǔn)表達(dá)式�,舉例來 說�,IP地址一般分為四個字段(如192. 168. 0. XXX),在事件指標(biāo)信息中即為一標(biāo)準(zhǔn)的四個 字段的IP地址格式表達(dá)式����,從而根據(jù)該事件指標(biāo)信息中的IP地址格式表達(dá)式來判斷所采 集到的IP地址是否是符合標(biāo)準(zhǔn)的信息。由此�����,基于事件指標(biāo)信息即可對采集到的結(jié)果進(jìn)行 初步篩選���,如果采集結(jié)果符合事件指標(biāo)信息所規(guī)定的表達(dá)式(標(biāo)準(zhǔn))����,則根據(jù)該采集結(jié)果執(zhí) 行步驟104,對上述的采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理、換算處理及均方差計(jì)算處理�����,生成 均方差計(jì)算結(jié)果�;如果采集結(jié)果不符合事件指標(biāo)信息所規(guī)定的表達(dá)式(標(biāo)準(zhǔn)),則將采集結(jié) 果存儲到異常作業(yè)列表�。
[0051] 在經(jīng)過上述步驟103獲取采集結(jié)果后,為得到更加準(zhǔn)確的檢測結(jié)果�����,需執(zhí)行上述 步驟104,對采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理���、換算處理及均方差計(jì)算處理����,生成均方差計(jì) 算結(jié)果����。以下對執(zhí)行步驟104的必要性和具體過程進(jìn)行詳細(xì)說明。
[0052] 在表一中�����,列出了四組樣本事件的時間數(shù)據(jù)���,每組時間數(shù)據(jù)對應(yīng)事件發(fā)生的各個 時間點(diǎn):
[0053] 表一
[0054]
【權(quán)利要求】
1. 一種異常事件檢測方法����,其特征在于��,所述異常事件檢測方法包括: 根據(jù)調(diào)度時間表讀取事件信息���; 對所述事件信息對應(yīng)的事件進(jìn)行匯總分類���,將同一類事件匯總成一個事件集合; 對各個所述的事件集合進(jìn)行字段采集�,生成采集結(jié)果; 對所述采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理���、換算處理及均方差計(jì)算處理���,生成均方差計(jì) 算結(jié)果; 根據(jù)預(yù)先存儲的基線數(shù)據(jù)從所述均方差計(jì)算結(jié)果中篩選出均方差計(jì)算結(jié)果小于所述 基線數(shù)據(jù)的事件集合��; 根據(jù)一報(bào)警閾值判斷篩選出的所述事件集合中的事件是否為非偶發(fā)性事件; 如果是�����,提取所述非偶發(fā)性事件的集中發(fā)生時間區(qū)間����,并將所述非偶發(fā)性事件進(jìn)行封 裝。
2. 根據(jù)權(quán)利要求1所述的異常事件檢測方法�,其特征在于,所述異常事件檢測方法還 包括: 根據(jù)歷史數(shù)據(jù)判斷篩選出的所述事件集合是否為第一次出現(xiàn)�����; 如果是�,則將篩選出的所述事件集合的均方差計(jì)算結(jié)果設(shè)置為篩選出的事件集合對應(yīng) 的基線數(shù)據(jù),否則根據(jù)篩選出的所述事件集合的均方差計(jì)算結(jié)果更新篩選出的所述事件集 合對應(yīng)的基線數(shù)據(jù)��。
3. 根據(jù)權(quán)利要求2所述的異常事件檢測方法�,其特征在于,所述異常事件檢測方法還 包括: 如果篩選出的所述事件集合中的事件是偶發(fā)性事件�,則將所述偶發(fā)性事件存儲到所述 歷史數(shù)據(jù)中。
4. 根據(jù)權(quán)利要求3所述的異常事件檢測方法�,其特征在于,所述異常事件檢測方法還 包括: 判斷所述采集結(jié)果是否符合預(yù)先存儲的事件指標(biāo)信息所規(guī)定的表達(dá)式����; 如果是��,對所述采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理���、換算處理及均方差計(jì)算處理���,生成均 方差計(jì)算結(jié)果����,否則存儲所述采集結(jié)果至異常作業(yè)列表�����。
5. 根據(jù)權(quán)利要求4所述的異常事件檢測方法�,其特征在于,所述的采集結(jié)果包括:所述 事件集合對應(yīng)的IP地址�、對象名稱、對象位置及發(fā)生時間點(diǎn)�;所述的事件指標(biāo)信息為所述 IP地址、對象名稱�、對象位置及發(fā)生時間點(diǎn)分別對應(yīng)的標(biāo)準(zhǔn)表達(dá)式。
6. 根據(jù)權(quán)利要求5所述的異常事件檢測方法��,其特征在于,對所述事件信息對應(yīng)的事 件進(jìn)行匯總分類�,將同一類事件匯總成一個事件集合,包括: 獲取所述事件信息中的事件標(biāo)記�,所述事件標(biāo)記包括:所述事件對應(yīng)的IP地址、主機(jī) 名����,所述事件標(biāo)記用于標(biāo)記不同類型的事件; 根據(jù)所述事件標(biāo)記對所述事件進(jìn)行匯總分類���,將所述事件標(biāo)記相同的事件匯總成一個 所述事件集合�。
7. 根據(jù)權(quán)利要求5所述的異常事件檢測方法���,其特征在于�����,所述時間斷點(diǎn)處理包括: 判斷所述事件集合中的事件發(fā)生的時間點(diǎn)是否大于12點(diǎn)���; 如果是,用24點(diǎn)減去所述時間點(diǎn)所得的差值替換所述時間點(diǎn)����,否則保留所述時間點(diǎn)�����。
8. 根據(jù)權(quán)利要求7所述的異常事件檢測方法��,其特征在于����,所述換算處理包括: 將經(jīng)過所述時間斷點(diǎn)處理的事件發(fā)生的時間點(diǎn)進(jìn)行單位換算���,生成單位統(tǒng)一的時間數(shù) 據(jù)。
9. 根據(jù)權(quán)利要求8所述的異常事件檢測方法���,其特征在于��,所述均方差計(jì)算處理包括: 根據(jù)所述時間數(shù)據(jù)進(jìn)行均方差計(jì)算�,生成所述均方差結(jié)果���。
10. 根據(jù)權(quán)利要求5所述的異常事件檢測方法�,其特征在于�����,根據(jù)一報(bào)警閾值判斷所述 事件集合中的事件是否為非偶發(fā)性事件,包括: 判斷所述事件集合的均方差計(jì)算結(jié)果是否小于所述報(bào)警閾值���; 如果是���,所述事件集合中的事件為非偶發(fā)性事件;否則所述事件集合中的事件為偶發(fā) 性事件���。
11. 一種異常事件檢測系統(tǒng)�,其特征在于�,所述異常事件檢測系統(tǒng)包括: 事件信息讀取單元,用于根據(jù)調(diào)度時間表讀取事件信息�����; 事件集合生成單元�����,用于對所述事件信息對應(yīng)的事件進(jìn)行匯總分類��,將同一類事件匯 總成一個事件集合��; 采集結(jié)果生成單元�����,用于對各個所述的事件集合進(jìn)行字段采集,生成采集結(jié)果����; 均方差計(jì)算單元,用于對所述采集結(jié)果依次進(jìn)行時間斷點(diǎn)處理��、換算處理及均方差計(jì) 算處理����,生成均方差計(jì)算結(jié)果; 篩選單元��,用于根據(jù)預(yù)先存儲的基線數(shù)據(jù)從所述均方差計(jì)算結(jié)果中篩選出均方差計(jì)算 結(jié)果小于所述基線數(shù)據(jù)的事件集合���; 非偶發(fā)性事件判斷單元,根據(jù)一報(bào)警閾值判斷篩選出的所述事件集合中的事件是否為 非偶發(fā)性事件���; 非偶發(fā)性事件封裝單元�,用于提取所述非偶發(fā)性事件的集中發(fā)生時間區(qū)間��,并將所述 非偶發(fā)性事件進(jìn)行封裝�����。
12. 根據(jù)權(quán)利要求11所述的異常事件檢測系統(tǒng),其特征在于�,所述異常事件檢測系統(tǒng) 還包括: 事件判斷單元,用于根據(jù)歷史數(shù)據(jù)判斷篩選出的所述事件集合是否為第一次出現(xiàn)�; 基線數(shù)據(jù)設(shè)置單元,用于將篩選出的所述事件集合的均方差計(jì)算結(jié)果設(shè)置為篩選出的 事件集合對應(yīng)的基線數(shù)據(jù)���; 基線數(shù)據(jù)更新單元���,用于根據(jù)篩選出的所述事件集合的均方差計(jì)算結(jié)果更新篩選出的 所述事件集合對應(yīng)的基線數(shù)據(jù)。
13. 根據(jù)權(quán)利要求12所述的異常事件檢測系統(tǒng)���,其特征在于�,所述異常事件檢測系統(tǒng) 還包括: 歷史數(shù)據(jù)存儲單元�,如果篩選出的所述事件集合中的事件是偶發(fā)性事件,所述歷史數(shù) 據(jù)存儲單元用于將所述偶發(fā)性事件存儲到所述歷史數(shù)據(jù)中����。
14. 根據(jù)權(quán)利要求13所述的異常事件檢測系統(tǒng),其特征在于��,所述的異常事件檢測系 統(tǒng)還包括: 采集結(jié)果判斷單元���,用于判斷所述采集結(jié)果是否符合預(yù)先存儲的事件指標(biāo)信息所規(guī)定 的表達(dá)式���; 異常結(jié)果存儲單元����,用于將所述采集結(jié)果存儲至異常作業(yè)列表�。
15. 根據(jù)權(quán)利要求14所述的異常事件檢測系統(tǒng),其特征在于����,所述的采集結(jié)果包括:所 述事件集合對應(yīng)的IP地址、對象名稱����、對象位置及發(fā)生時間點(diǎn);所述的事件指標(biāo)信息為所 述IP地址���、對象名稱、對象位置及發(fā)生時間點(diǎn)分別對應(yīng)的標(biāo)準(zhǔn)表達(dá)式�。
16. 根據(jù)權(quán)利要求15所述的異常事件檢測系統(tǒng),其特征在于��,所述事件集合生成單元 包括: 事件標(biāo)記獲取模塊�����,用于獲取所述事件信息中的事件標(biāo)記,所述事件標(biāo)記包括:所述事 件對應(yīng)的IP地址�����、主機(jī)名���,所述事件標(biāo)記分別標(biāo)記對應(yīng)不同類型的事件��; 事件分類模塊���,用于根據(jù)所述事件標(biāo)記對所述事件進(jìn)行匯總分類,將所述事件標(biāo)記相 同的事件匯總成一個所述事件集合�����。
17. 根據(jù)權(quán)利要求15所述的異常事件檢測系統(tǒng)��,其特征在于����,所述均方差計(jì)算單元包 括:時間斷點(diǎn)處理模塊、換算處理模塊及均方差計(jì)算處理模塊,其中�����,所述時間斷點(diǎn)處理模 塊具體用于: 判斷所述事件集合中的事件發(fā)生的時間點(diǎn)是否大于12點(diǎn)���; 如果是�����,用24點(diǎn)減去所述時間點(diǎn)所得的差值替換所述時間點(diǎn)��,否則保留所述時間點(diǎn)����。
18. 根據(jù)權(quán)利要求17所述的異常事件檢測系統(tǒng)���,其特征在于���,所述換算處理模塊具體 用于: 將經(jīng)過所述時間斷點(diǎn)處理的事件發(fā)生的時間點(diǎn)進(jìn)行單位換算,生成單位統(tǒng)一的時間數(shù) 據(jù)�。
19. 根據(jù)權(quán)利要求18所述的異常事件檢測系統(tǒng)��,其特征在于,所述均方差計(jì)算處理模 塊具體用于: 根據(jù)所述時間數(shù)據(jù)進(jìn)行均方差計(jì)算�����,生成所述均方差結(jié)果���。
20. 根據(jù)權(quán)利要求15所述的異常事件檢測系統(tǒng)���,其特征在于,所述非偶發(fā)性事件判斷 單元具體用于: 判斷所述事件集合的均方差計(jì)算結(jié)果是否小于所述報(bào)警閾值����; 如果是,所述事件集合中的事件為非偶發(fā)性事件��;否則所述事件集合中的事件為偶發(fā) 性事件����。
【文檔編號】G06F17/30GK104050289SQ201410305671
【公開日】2014年9月17日 申請日期:2014年6月30日 優(yōu)先權(quán)日:2014年6月30日
【發(fā)明者】葛崢, 劉立著, 王樂 申請人:中國工商銀行股份有限公司