基于深度學(xué)習(xí)對運維時序指標進行異常檢測，快速發(fā)現(xiàn)線上業(yè)務(wù)問題

時間序列的異常檢測是實際應(yīng)用中的一個關(guān)鍵問題，尤其是在 IT 行業(yè)。我們沒有采用傳統(tǒng)的基于閾值的方法來實現(xiàn)異常檢測，而是通過深度學(xué)習(xí)提出了一種無閾值方法：基于 LSTM 網(wǎng)絡(luò)的基線（一個 LSTM 框架輔助幾個優(yōu)化步驟）和無監(jiān)督檢測（神經(jīng)網(wǎng)絡(luò)和多種機器學(xué)習(xí)算法的組合）協(xié)同綜合分析時間序列。當時間序列顯示出清晰的周期性形態(tài)的情況下基線表現(xiàn)良好，而無監(jiān)督檢測在效率要求高且周期性不太清晰的情況下表現(xiàn)出色。通過兩個并行模塊的互補設(shè)計，可以在不依賴閾值設(shè)定和調(diào)整的情況下實現(xiàn)無閾值異常檢測。京東云內(nèi)部實踐證明，我們所提出的無閾值方法獲得了準確的預(yù)測和可靠的檢測。

在過去的幾年中，aiops業(yè)界提出了各種解決異常檢測問題的方法。機器學(xué)習(xí) (ML) 和深度學(xué)習(xí) (DL) 頗受歡迎。在傳統(tǒng)的 ML 中，通常采用 K-means、基于密度的空間聚類和隔離森林 (IForest)等聚類方法。除了 ML，由于其強大的逼近能力，使用深度神經(jīng)網(wǎng)絡(luò) (DNN) 進行時間序列預(yù)測和異常檢測被越來越多的算法同學(xué)使用。多層感知器 (MLP) 是一種基本的 DNN 架構(gòu)，用于評估時間序列上異常檢測的性能。此外，循環(huán)神經(jīng)網(wǎng)絡(luò) (RNN) 及其變體，如長短期記憶 (LSTM) 網(wǎng)絡(luò)和門控循環(huán)單元 (GRU) 是解決與時間序列相關(guān)的問題的常用方法。

對于大多數(shù)上述用于解決異常檢測的方法，一般是時間序列是否超出預(yù)定義的上限和下限。然而，固定閾值無法表征具有內(nèi)在動態(tài)趨勢變化的時間序列，從而導(dǎo)致異常分析不準確。此外，由于單個閾值無法涵蓋所有異常情況，因此該方法也容易遺漏異常。此外，設(shè)置上限和下限的過程是一項復(fù)雜且重要的任務(wù)，總是需要為各種情況定義新的閾值，耗時長且遷移性差。

為了解決上述問題，我們介紹一種新方法，即通過 DL 進行無閾值異常檢測。我們的方法不需要預(yù)定義上限和下限，而是通過抽取一些易于調(diào)整的參數(shù)，在小范圍內(nèi)自動搜索適配不同場景的監(jiān)控數(shù)據(jù)，進而實現(xiàn)無閾值異常檢測：基于 LSTM 網(wǎng)絡(luò)的基線模塊（LnB）和無監(jiān)督檢測模塊（UnD）。具體來說，LnB 生成基線，該基線能夠以自適應(yīng)和自動的方式表征時間序列的動態(tài)特征。 LnB 的框架是用 LSTM 網(wǎng)絡(luò)構(gòu)建的，長短周期識別方法是此框架的貢獻之一，它引入了一種糾正機制，可以實現(xiàn)更準確的擬合，生成的基線描述了檢測到的時間序列的主要特征，提供了替代傳統(tǒng)閾值的限制。 UnD是一種DL和多種ML算法的合并模型，基于投票機制從各個角度檢測到的時間序列是否正常。兩個模塊中的任何一個檢測到異常表明發(fā)生了異常。兩個模塊的融合使我們所提出的方法能夠以互補和全面的方式有效地分析具有不確定性或各種周期性的時間序列。

時間序列X=(x1, x2, ..., xt),我們的目標是確定下一步 xt+1 的值是否異常。歷史值有助于模型學(xué)習(xí)指標當前和未來的狀態(tài)，但與預(yù)測值距離越近的點對模型預(yù)測的影響越大。因此，我們選擇使用時間序列 Xt-T:t 的序列，而不是取時間序列的單個步長或整個歷史序列來進行異常檢測。 T 是選擇作為模型訓(xùn)練輸入的序列長度。下圖1為無閾值異常檢測的總體框架包括兩個階段，即訓(xùn)練過程和在線檢測。

LnB 和 UnD兩個模塊都可以單獨完成異常檢測。但是兩個模塊有不同的擅長方面，每個模塊的結(jié)構(gòu)差異為檢測到的時間序列提供了不同維度的檢測結(jié)果。其中，LnB將更長時期的歷史數(shù)據(jù)輸入到模塊中，它可以很好地說明特定時間序列的長期行為，但是 LnB 對那些周期性不明確的指標的異常檢測能力較弱。相反，UnD 從一個 DL 模型和多個 ML 模型中獲得投票結(jié)果，對具有不確定性或各種周期性的時間序列具有更強的魯棒性。此外，UnD 在輸入的檢測指標的歷史數(shù)據(jù)不足的情況下提供了更合理的檢測。

圖 1 中的實線箭頭表示前向流，而虛線箭頭表示反向傳播訓(xùn)練。在得到每個模塊的檢測結(jié)果后，根據(jù)為每個模塊設(shè)置的損失函數(shù)分別對LnB和UnD進行反向傳播訓(xùn)練，LnB和UnD都進行更新，即模型訓(xùn)練。在模型訓(xùn)練之后，LnB 學(xué)習(xí)生成一個自適應(yīng)基線，同時，LnB為UnD賦予 基于無監(jiān)督學(xué)習(xí)預(yù)測未來異常狀態(tài)的能力。

在線檢測不需要訓(xùn)練步驟，所以按入?yún)⒏袷捷斎霑r間序列，可直接得到檢測結(jié)果。這訓(xùn)練和在線檢測兩個模塊的詳細介紹如下：

其中 f 表示模型學(xué)習(xí)所采用的網(wǎng)絡(luò)，Ti 表示第 i 天的數(shù)據(jù)。 在訓(xùn)練階段，a 和 b 會及時隨著傳入的指標數(shù)據(jù)自動更新，形成可適應(yīng)的基線。在測試狀態(tài)下，y ' final 是我們的最終預(yù)測。長短周期識別的重點是引入校正項，為歷史上最有價值的“記憶”賦予更多的權(quán)重。

如上所述，有兩種方法用于識別長短周期，即峰值檢測和 SBD距離計算。每天的峰值數(shù)量、每天的峰值最大值以及每天第一和第二個最大值的殘差是用于識別長短周期，除了這種峰值檢查，SBD 是識別長短周期的替代方法。假設(shè)我們有兩個輸入序列 X 和 Y（在我們的例子中，14 天的數(shù)據(jù)被平均分成兩部分）。兩個序列的SBD結(jié)果可以根據(jù)以下等式計算，

其中 SBD 的范圍從 0 到 2，在我們的案例中 s=0。 SBD 越小，說明兩個序列屬于同一周期的相似度越高。

最佳開始時間通過尋找不同時間粒度（如10s 和 1min）下的最佳開始時間來關(guān)注擬合精度。待檢測的時間序列總是遵循一定的周期性，但根據(jù)我們的實驗驗證，在不同位置選擇的開始時間可能會導(dǎo)致擬合精度不同。我們選取均方根誤差 (RMSE) 用作優(yōu)化搜索過程的目標函數(shù)：

其中 y' 代表預(yù)測結(jié)果，而 y 代表基本事實。 k 表示檢測到的序列中的第 k 個起始位置。采用L-BFGS通過最小化目標函數(shù)實現(xiàn)自動搜索。

基線生成 LnB 的核心過程是基線生成。與RNN相比，LSTM包含了三個門，即遺忘門、輸入門和輸出門，這種門設(shè)計在識別歷史中的重要信息方面表現(xiàn)出更好的性能，減輕了對遠程歷史的依賴和梯度消失。輸入數(shù)據(jù)經(jīng) LSTM，輸出理論上暗示了正常數(shù)據(jù)的期望。因此，我們將損失函數(shù)訓(xùn)練為：

通過減少實際值和預(yù)測值之間的誤差，網(wǎng)絡(luò)可以學(xué)習(xí)預(yù)測時間序列的正常行為。

我們選擇 95% 置信區(qū)間，計算基線的上限和下限：

LnB 的最后一步是自適應(yīng)調(diào)整，這是實現(xiàn)“自適應(yīng)”的關(guān)鍵步驟。通過 LSTM 獲得的上限和下限是初始基線。然后通過極值點平滑和插值修改初始基線。即初始基線中的所有峰點和谷點都形成了初始上限和下限。然后采用拉格朗日插值進行細粒度數(shù)據(jù)填充以形成平滑的基線。

DL (GRU) 和 ML（IForest、基于角度的異常值檢測-ABOD 和基于集群的局部異常值因子-CBLOF）從多個級別檢測異常，不需要標簽信息或閾值定義。作為回歸任務(wù)，GRU 學(xué)習(xí)給定時間序列的正態(tài)分布并輸出對未來的預(yù)測。與 LSTM 從長期歷史中捕捉內(nèi)在特征的能力相比，GRU 在數(shù)據(jù)量不足且需要效率的情況下理論上表現(xiàn)良好。與 LnB 不同，UnD 將較短的序列作為輸入。因此，UnD 中的 GRU 單元是 LnB 的補充。另一方面，IForest、ABOD 和 CBLOF 是用于異常檢測的三種基于 ML 的聚類算法。 UnD的最終檢測是GRU、IForest、ABOD和CBLOF通過投票方案的合并結(jié)果。

對于 GRU，我們采用與 LnB 相同的損失函數(shù)。區(qū)別在于輸入長度（在下一節(jié)中解釋）。訓(xùn)練有素的 GRU 會給出預(yù)測的準確值 y'。在這里，定義異常權(quán)重 (AW) 以確定預(yù)測是否異常。

AW 是異常識別的關(guān)鍵決定因素，并且根據(jù)經(jīng)驗知識自動學(xué)習(xí)以滿足在我們的案例中檢測到的異常百分比應(yīng)在 1%-3% 以內(nèi)的條件。當涉及到不同的領(lǐng)域或數(shù)據(jù)集時，也可以根據(jù)經(jīng)驗知識確定 AW。 IForest、ABOD和CBLOF是常用的異常值檢測方法，它們的輸出結(jié)果可以看作是一個描述異常概率的分數(shù)。然后將所有 GRU、IForest、ABOD 和 CBLOF 的檢測結(jié)果編碼并拼接成一個 one-hot 矩陣，其中 0 表示正常，1 表示異常，如圖 3 所示的示例。接下來，我們得到每個時間步對應(yīng)的“1”的總數(shù)。通過與投票數(shù) n （在我們的例子中 n = 2）的比較，如果“1”的總數(shù)不小于 n ，則合并結(jié)果被檢測為異常，反之亦然。 n 是一個參數(shù)，需要通過幾個簡單的試驗來確定，例如逐漸增加值或縮小范圍。

通過投票方案的合并結(jié)果可以從不同方面揭示內(nèi)在特征，因為 GRU 的回歸結(jié)果包含顯示增加或減少趨勢的精確值，而 ML 結(jié)果呈現(xiàn) 0 或 1 僅表示異常與否，但具有更準確的決策，因為這些模型可以利用從附加維度或測量中捕獲的信息（例如，基于角度視角的 ABOD 和基于概率視角的 CBLOF）。因此，多個高級算法的合并結(jié)果可以充分利用給定的數(shù)據(jù)進行全面的預(yù)測。

我們的模型主要有三個步驟，詳細介紹如下：

第一步：數(shù)據(jù)預(yù)處理

LnB和UnD對數(shù)據(jù)拆分和連接有不同的要求，兩個模塊的輸入數(shù)據(jù)是不同的。例如，當前時間為 t，時間序列的周期性為 T（如 7 天）。我們的目標是檢測 t+1 時刻的值是否異常。在這種情況下，LnB 的輸入是過去 2*T 周期（即 14 天）收集的歷史數(shù)據(jù)。選擇 2*T 周期的原因是 14 天之前的歷史數(shù)據(jù)重要性較低，如果只收集一個周期的數(shù)據(jù)，可能會受到異常事件的影響。相反，UnD采用最相關(guān)的信息而不是使用長歷史，并且選擇三個滑動窗口覆蓋的序列作為輸入數(shù)據(jù)。三個窗口的長度分別為 30 分鐘、60 分鐘和 60 分鐘。從圖4可以看出，UnD輸入中有3個段串聯(lián)，即[Xt-30min:t, Xt+1-1day-30min:t+1- 1day+30min, Xt+1-7days-30min: t+1-7 天+30 分鐘]。這種連接提供了一種新的輸入結(jié)構(gòu)設(shè)計，為特征學(xué)習(xí)和未來預(yù)測提供了最相關(guān)的信息。總之，LnB 將過去 14 天的序列作為輸入，而 UnD 將過去 30 分鐘、1 天前的 60 分鐘和 7 天前的 60 分鐘作為輸入。

數(shù)據(jù)填充采用 K-NN 作為數(shù)據(jù)填充方法，以確保所有輸入樣本的長度相同且可讀。數(shù)據(jù)過濾為保證輸入數(shù)據(jù)的有效性，對輸入數(shù)據(jù)進行平滑過濾，以消除因噪聲引起的毛刺。數(shù)據(jù)轉(zhuǎn)換對訓(xùn)練結(jié)果和快速收斂非常重要。在輸入訓(xùn)練過程之前，原始數(shù)據(jù)還需要一個轉(zhuǎn)換過程，包括歸一化和對數(shù)轉(zhuǎn)換，如（7）所示。

歸一化避免了不同維度的副作用，有利于模型快速收斂。此外，它還確保輸出不會超過輸入的最小值和最大值，因為在輸出上實施了指數(shù)變換。同時，對數(shù)變換可以在不改變數(shù)據(jù)特征和數(shù)據(jù)相關(guān)性的情況下，減輕方差，平滑變化。

第二步：模型訓(xùn)練

如圖 1 中的流程圖所示，LnB 和 UnD 都是根據(jù)訓(xùn)練數(shù)據(jù)分別訓(xùn)練的。但是，如上所述，兩個模塊的輸入是不同的。 LnB 將較長的歷史數(shù)據(jù)作為輸入，并嘗試捕獲檢測到的時間序列的豐富信息，而 UnD 將最相關(guān)但較短的序列部署為訓(xùn)練數(shù)據(jù)。 UnD 中的GRU和 LnB通過減少第二部分中介紹的損失函數(shù)來學(xué)習(xí)檢測到的序列的正常行為。同時，IForest、ABOD 和 CBLOF 學(xué)習(xí)了無監(jiān)督聚類模型。上述單元的所有輸出都是一步超前的異常檢測。

第三步：在線異常檢測

在運行時，傳入的數(shù)據(jù)首先進入預(yù)處理模塊，然后同時進入LnB和UnD。輸入數(shù)據(jù)的格式應(yīng)與訓(xùn)練階段一致。如果兩個模塊的任一結(jié)果異常，則提示待檢測數(shù)據(jù)異常。LnB和UnD的融合機制對時間序列進行了全面的檢測，降低了潛在異常遺漏的概率。另一方面，LnB 中較長的歷史輸入和 UnD 中的多模型投票方案有效地避免了將正常的誤認為是異常的。

經(jīng)過京東內(nèi)部多場景多組數(shù)據(jù)驗證，模型在線上運行的效果評估如下表所示：

此外，可以靈活選擇“and”或“or”來整合LnB和UnD的結(jié)果。沒有統(tǒng)一的規(guī)則，要看實際場景的需求。在我們的落地實踐場景中，這兩個數(shù)據(jù)集都需要保證召回率，因此我們采取“或”操作，這意味著無論哪個檢測到異常都會報警。如果需要較低的警告級別，我們可以選擇“和”作為積分運算。選擇三個流行的基線 IForest、ABOD 和 CBLOF 進行比較。此外。我們還比較了我們的方法和單獨使用 LnB 或 UnD 的方法的結(jié)果，如上表所示。從定量比較中，很明顯，所提出的方法，即 LnB+UnD 在兩者中都獲得了最高的 F1 分數(shù)數(shù)據(jù)集。 LnB+UnD 的組合比單獨采用 LnB 或 UnD 效果更好。而且我們的模型優(yōu)于其他三個基線，這也證明了我們并行機制的有效性和必要性。

我們提出的一種用于時間序列分析的無閾值異常檢測方法，即 LSTM 構(gòu)建的 LnB和DL、ML 模型融合機制構(gòu)建的 UnD，以互補和智能的方式實現(xiàn)異常檢測。在具有不同長短周期和變化趨勢的真實實踐場景的兩個數(shù)據(jù)集上進行了實驗，比較結(jié)果證明了我們方法的有效性和準確性。

?Threshold-free Anomaly Detection for Streaming Time Series through Deep Learning. ICMLA.

?ieeexplore檢索：https://ieeexplore.ieee.org/abstract/document/9680175

?團隊介紹：

京東科技從2017年開始建設(shè)智能運維，基于京東多年一線運維經(jīng)驗，以大數(shù)據(jù)和人工智能技術(shù)為抓手，形成以應(yīng)用為中心的一體化智能運維解決方案。利用京東內(nèi)部歷年大促場景的數(shù)據(jù)積累，對算法進行不斷的優(yōu)化訓(xùn)練，在監(jiān)控、數(shù)據(jù)庫、網(wǎng)絡(luò)、資源調(diào)度等多個縱向場景取得突破，可移植性強，自研通用化智能基線算法學(xué)件10+，自研通用化異常檢測算法學(xué)件10+，場景化異常檢測算法方案5+，具備多種自研通用化根因定位算法學(xué)件，可以自動觸發(fā)多維實時根因定位 ，從上萬維度屬性值中定位到根因維度，自研5種以上增量式學(xué)習(xí)模板提取與相關(guān)分析算法學(xué)件，運維知識圖譜內(nèi)涵蓋節(jié)點30W+，以應(yīng)用為中心向外延伸出的圖譜關(guān)系達90W+，賦能根因分析快速精準查詢調(diào)用。發(fā)表IEEE國際會議論文（AIOps方向）6篇，申請40余項智能運維專利。

審核編輯 黃宇