[发明专利]基于多级模式预测的软件系统行为异常检测方法

权利要求书

1.一种基于多级模式预测的软件系统行为异常检测方法，其特征在于，包括如下步骤：

步骤1：对检测窗口内的系统行为模式进行建模，从而构建对应窗口内的系统行为模型；

步骤2：对系统行为模型中的系统行为模式之间的转移规律进行建模，得到行为模式转移概率模型；

步骤3：构建窗口状态转移概率模型，并根据行为模式转移概率模型增加新的窗口状态转移概率模型；

步骤4：当有新的监控数据时，移动窗口并获得新的窗口状态，并利用行为模式转移概率模型从窗口状态转移概率模型中找到预测模型，根据预测模型判断当前窗口状态是否属于异常状态；

若符合预测模型的预测，则说明该预测模型有效，根据新的窗口状态来更新窗口状态转移概率模型；

若预测模型的预测与实际的窗口状态之间的差值大于设定的阈值T，则判定是窗口状态出现异常情况还是出现新的行为模式；

当异常情况只出现一次，表示系统行为出现异常；

当连续出现异常情况时，表示出现新的窗口状态转移规律，需构建新的窗口状态转移概率模型；

步骤5：窗口状态转移概率模型完成检测和更新后，行为模式转移概率模型通过检测预测模型预测的准确性以及是否发生窗口状态转移概率模型的新建进行自身的更新。

2.根据权利要求1所述的基于多级模式预测的软件系统行为异常检测方法，其特征在于，所述步骤3包括：

A：构建窗口状态转移概率模型，包括如下步骤：

步骤A1：记滑动窗口大小为W，监控数据维度D，监控数据为[S₁,S₂,S₃,…S_D]，S_i＝[(y₁,t₁),(y₂,t₂),…,(y_n,t_n),…]表示第i个监控时间序列流，t_n表示采样时刻点，y_n表示在t_n时刻采样的指标值，则一个滑动窗口中的有效数据为：

式中：S_i,1…S_i,w表示第i个监控时间序列中一个滑动窗口内的W个数据采样点，1≤i≤D；

步骤A2：将数据采样点进行状态离散化，离散化函数如下：

式中：M_i,j表示第i个监控时间序列j时刻采样值离散化后的数值，M_i,j∈[1,2,…,U]，1≤i≤D，1≤j≤W，U表示离散化区间个数，minimum表示最小采样值，maximum表示最大采样值；

步骤A3：得到离散化的当前滑动窗口的状态M：

式中：M_i,j的取值由步骤A2中的公式算出，1≤i≤D，1≤j≤W；

步骤A4：窗口状态之间的转移过程用窗口状态转移概率模型P表述，其计算公式如下：

P(M_i|M_j)＝从M_j状态转移到M_i状态的概率；

其中，M_j和M_i表示两种不同的窗口状态；

B：构建行为模式转移概率模型，包括如下步骤：

步骤B1：标记所有的窗口状态转移概率模型集合为且N为集合中模型的个数；P_i表示某个的窗口状态转移概率模型，1≤i≤N；

步骤B2：建立行为模式转移概率模型R：

R(P_i|P_j,M)＝出现窗口状态M时，从P_j模型换用P_i模型的概率；

式中：P_j和P_i表示两个不同的窗口状态转移概率模型，M表示当前滑动窗口状态；

C：当要增加新的窗口状态转移概率模型时，包括如下步骤：

设此时共有N个窗口状态转移概率模型，标记新的窗口状态转移概率模型为P_N，则新的行为模式转移概率模型为R_e，建立的公式如下：

式中：2^W×D表示状态空间中状态总数，β表示行为模式转移状态模型的更新参数，且0≤β≤1，W表示滑动窗口大小，D表示监控数据维度，P_i和P_j表示两个不同的窗口状态转移概率模型，M表示当前滑动窗口状态；其中，等式右边的R_e(P_i|P_j,M)表示当前的行为模式转移概率模型，等式左边的R_e(P_i|P_j,M)表示更新的行为模式转移概率模型；

D:当滑动窗口移动时，包括如下处理步骤：

设当前窗口的状态为M，窗口状态从M转移为M_i的概率为P_e(M_i|M)，下一时刻的滑动窗口中状态为M_e，则窗口状态转移概率的计算公式如下：

式中：α表示窗口状态转移概率模型的更新参数，且0≤α≤1；其中等式右边的P_e(M_i|M)表示当前窗口的状态转移概率模型，等式左边的P_e(M_i|M)表示更新的窗口的状态转移概率模型；P_e(M_e|M)表示从当前窗口状态转移到M_e状态的概率；

更新行为模式转移状态模型R_e，计算公式如下：

式中：γ表示行为模式转移状态模型的更新参数，其中，0≤γ≤1，P_e(P_i|P_j,M)表示当前窗口的状态为M，窗口状态P_j模型换用P_i模型的概率，P_e(P_i|P_N,M)表示当前窗口的状态为M，窗口状态P_N模型换用P_i模型的概率。