本申请涉及计算机,具体涉及一种大数据集成主机的异常检测方法及装置。
背景技术:
1、目前,大型主机(mainframe)系统凭借其高可靠性、高可用性的特点,在企业it架构中仍然发挥基础作用,承载着企业it核心业务,因此,对主机整体运行情况进行监测十分重要。
2、相关技术中,通常采用专家经验或者单一指标对主机整体运行情况进行评估,但仅凭专家经验无法提供准确结果,容易引起评估偏差,而使用单一的指标进行检测时的结果可靠性低,不能准确反映主机整体运行的实际情况。
技术实现思路
1、本申请实施例提供一种大数据集成主机的异常检测方法及装置,用以解决采用专家经验或者单一指标对主机整体运行情况进行评估时,无法提供准确结果,评估结果可靠性低,不能准确反映主机整体运行的实际情况的技术问题。
2、第一方面,本申请实施例提供一种大数据集成主机的异常检测方法,包括:
3、获取大数据集群主机的多指标数据;
4、对所述多指标数据分别进行异常值检测,得到指标异常信息;其中,所述指标异常信息包括多个指标异常值,每个指标数据对应不同的指标异常值;
5、基于非参数核密度估计模型对所述多个指标异常值分别对应的大数据集群主机运行状态进行估计,得到多个运行状态估计结果;其中,每个指标异常值对应一个运行状态估计结果;所述非参数核密度估计模型以大数据集群主机在不同时刻的指标异常采样值为训练样本,并结合非参数核密度估计公式训练得到,所述非参数核密度估计公式基于带宽矩阵、所述指标异常采样值和多项式核函数确定;
6、基于所述多个运行状态估计结果和主机状态划分阈值,确定所述大数据集群主机的异常状态信息;其中,所述主机状态划分阈值基于密度聚类算法对所述非参数核密度估计模型的预训练结果进行聚类划分得到。
7、在一个实施例中,在所述获取大数据集群主机的多指标数据之后,所述方法还包括:
8、基于flink流处理组件将多指标数据的格式进行转换,得到格式统一的多指标数据。
9、在一个实施例中,所述对所述多指标数据分别进行异常值检测,得到指标异常信息,包括:
10、基于孤立森林模型对所述转换后的多指标数据中的每个指标数据分别进行异常检测,得到指标异常信息;所述孤立森林模型以指标滑动窗口数据中随机选择的样本集作为树模型的根节点,以基于随机选择的指标特征确定的超平面进行节点分割得到。
11、在一个实施例中,所述非参数核密度估计模型应用如下公式得到:
12、
13、其中,为非参数核密度估计值,n为采样时刻,h为所述带宽矩阵,|h|为带宽矩阵的模,k为所述多项式核函数,x为指标数据的随机变化量,xi为i个时刻对应的指标异常值集合。
14、在一个实施例中,所述主机状态划分阈值通过如下步骤得到:
15、基于dbscan密度聚类算法对所述非参数核密度估计模型的预训练结果进行聚类,得到所述大数据集群主机的不同运行状态的分界值;
16、基于所述不同运行状态的分界值确定所述主机状态划分阈值。
17、在一个实施例中,在所述确定所述大数据集群主机的异常状态信息之后,所述方法还包括:
18、将所述异常状态信息发送至告警模块,所述告警模块用于根据所述异常状态信息生成对应的告警信息。
19、第二方面,本申请实施例提供一种大数据集成主机的异常检测装置,包括:
20、数据获取模块,用于获取大数据集群主机的多指标数据;
21、指标处理模块,用于对所述多指标数据分别进行异常值检测,得到指标异常信息;其中,所述指标异常信息包括多个指标异常值,每个指标数据对应不同的指标异常值;
22、运行状态估计模块,用于基于非参数核密度估计模型对所述多个指标异常值分别对应的大数据集群主机运行状态进行估计,得到多个运行状态估计结果;其中,每个指标异常值对应一个运行状态估计结果;所述非参数核密度估计模型以大数据集群主机在不同时刻的指标异常采样值为训练样本,并结合非参数核密度估计公式训练得到,所述非参数核密度估计公式基于带宽矩阵、所述指标异常采样值和多项式核函数确定;
23、主机状态确定模块,用于基于所述多个运行状态估计结果和主机状态划分阈值,确定所述大数据集群主机的异常状态信息;其中,所述主机状态划分阈值基于密度聚类算法对所述非参数核密度估计模型的预训练结果进行聚类划分得到。
24、第三方面,本申请还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的大数据集成主机的异常检测方法的步骤。
25、第四方面,本申请还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现第一方面所述的大数据集成主机的异常检测方法的步骤。
26、第五方面,本申请还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面所述的大数据集成主机的异常检测方法的步骤。
27、本申请实施例提供的大数据集成主机的异常检测方法及装置,通过对多指标数据分别进行异常值检测,得到指标异常信息,并通过非参数核密度估计模型对多个指标异常值分别对应的大数据集群主机运行状态进行估计,得到多个运行状态估计结果,最后根据多个运行状态估计结果和主机状态划分阈值,确定大数据集群主机的异常状态信息,能够通过实时检测多种不同类型的指标状态实时检测集群主机系统的异常状态,提高了运行状态检测结果的准确性,以准确反映主机整体运行的实际情况。
1.一种大数据集成主机的异常检测方法,其特征在于,包括:
2.根据权利要求1所述的大数据集成主机的异常检测方法,其特征在于,在所述获取大数据集群主机的多指标数据之后,所述方法还包括:
3.根据权利要求1所述的大数据集成主机的异常检测方法,其特征在于,所述对所述多指标数据分别进行异常值检测,得到指标异常信息,包括:
4.根据权利要求1所述的大数据集成主机的异常检测方法,其特征在于,所述非参数核密度估计模型应用如下公式得到:
5.根据权利要求1所述的大数据集成主机的异常检测方法,其特征在于,所述主机状态划分阈值通过如下步骤得到:
6.根据权利要求1所述的大数据集成主机的异常检测方法,其特征在于,在所述确定所述大数据集群主机的异常状态信息之后,所述方法还包括:
7.一种大数据集成主机的异常检测装置,其特征在于,包括:
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述大数据集成主机的异常检测方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述大数据集成主机的异常检测方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述大数据集成主机的异常检测方法的步骤。
