基于深度學習對運維時序指標進行異常檢測，快速發現線上業務問題

時間序列的異常檢測是實際應用中的一個關鍵問題，尤其是在 IT 行業。我們沒有采用傳統的基于閾值的方法來實現異常檢測，而是通過深度學習提出了一種無閾值方法：基于 LSTM 網絡的基線（一個 LSTM 框架輔助幾個優化步驟）和無監督檢測（神經網絡和多種機器學習算法的組合）協同綜合分析時間序列。當時間序列顯示出清晰的周期性形態的情況下基線表現良好，而無監督檢測在效率要求高且周期性不太清晰的情況下表現出色。通過兩個并行模塊的互補設計，可以在不依賴閾值設定和調整的情況下實現無閾值異常檢測。京東云內部實踐證明，我們所提出的無閾值方法獲得了準確的預測和可靠的檢測。

在過去的幾年中，aiops業界提出了各種解決異常檢測問題的方法。機器學習 (ML) 和深度學習 (DL) 頗受歡迎。在傳統的 ML 中，通常采用 K-means、基于密度的空間聚類和隔離森林 (IForest)等聚類方法。除了 ML，由于其強大的逼近能力，使用深度神經網絡 (DNN) 進行時間序列預測和異常檢測被越來越多的算法同學使用。多層感知器 (MLP) 是一種基本的 DNN 架構，用于評估時間序列上異常檢測的性能。此外，循環神經網絡 (RNN) 及其變體，如長短期記憶 (LSTM) 網絡和門控循環單元 (GRU) 是解決與時間序列相關的問題的常用方法。

對于大多數上述用于解決異常檢測的方法，一般是時間序列是否超出預定義的上限和下限。然而，固定閾值無法表征具有內在動態趨勢變化的時間序列，從而導致異常分析不準確。此外，由于單個閾值無法涵蓋所有異常情況，因此該方法也容易遺漏異常。此外，設置上限和下限的過程是一項復雜且重要的任務，總是需要為各種情況定義新的閾值，耗時長且遷移性差。

為了解決上述問題，我們介紹一種新方法，即通過 DL 進行無閾值異常檢測。我們的方法不需要預定義上限和下限，而是通過抽取一些易于調整的參數，在小范圍內自動搜索適配不同場景的監控數據，進而實現無閾值異常檢測：基于 LSTM 網絡的基線模塊（LnB）和無監督檢測模塊（UnD）。具體來說，LnB 生成基線，該基線能夠以自適應和自動的方式表征時間序列的動態特征。 LnB 的框架是用 LSTM 網絡構建的，長短周期識別方法是此框架的貢獻之一，它引入了一種糾正機制，可以實現更準確的擬合，生成的基線描述了檢測到的時間序列的主要特征，提供了替代傳統閾值的限制。 UnD是一種DL和多種ML算法的合并模型，基于投票機制從各個角度檢測到的時間序列是否正常。兩個模塊中的任何一個檢測到異常表明發生了異常。兩個模塊的融合使我們所提出的方法能夠以互補和全面的方式有效地分析具有不確定性或各種周期性的時間序列。

時間序列X=(x1, x2, ..., xt),我們的目標是確定下一步 xt+1 的值是否異常。歷史值有助于模型學習指標當前和未來的狀態，但與預測值距離越近的點對模型預測的影響越大。因此，我們選擇使用時間序列 Xt-T:t 的序列，而不是取時間序列的單個步長或整個歷史序列來進行異常檢測。 T 是選擇作為模型訓練輸入的序列長度。下圖1為無閾值異常檢測的總體框架包括兩個階段，即訓練過程和在線檢測。

LnB 和 UnD兩個模塊都可以單獨完成異常檢測。但是兩個模塊有不同的擅長方面，每個模塊的結構差異為檢測到的時間序列提供了不同維度的檢測結果。其中，LnB將更長時期的歷史數據輸入到模塊中，它可以很好地說明特定時間序列的長期行為，但是 LnB 對那些周期性不明確的指標的異常檢測能力較弱。相反，UnD 從一個 DL 模型和多個 ML 模型中獲得投票結果，對具有不確定性或各種周期性的時間序列具有更強的魯棒性。此外，UnD 在輸入的檢測指標的歷史數據不足的情況下提供了更合理的檢測。

圖 1 中的實線箭頭表示前向流，而虛線箭頭表示反向傳播訓練。在得到每個模塊的檢測結果后，根據為每個模塊設置的損失函數分別對LnB和UnD進行反向傳播訓練，LnB和UnD都進行更新，即模型訓練。在模型訓練之后，LnB 學習生成一個自適應基線，同時，LnB為UnD賦予 基于無監督學習預測未來異常狀態的能力。

在線檢測不需要訓練步驟，所以按入參格式輸入時間序列，可直接得到檢測結果。這訓練和在線檢測兩個模塊的詳細介紹如下：

其中 f 表示模型學習所采用的網絡，Ti 表示第 i 天的數據。 在訓練階段，a 和 b 會及時隨著傳入的指標數據自動更新，形成可適應的基線。在測試狀態下，y ' final 是我們的最終預測。長短周期識別的重點是引入校正項，為歷史上最有價值的“記憶”賦予更多的權重。

如上所述，有兩種方法用于識別長短周期，即峰值檢測和 SBD距離計算。每天的峰值數量、每天的峰值最大值以及每天第一和第二個最大值的殘差是用于識別長短周期，除了這種峰值檢查，SBD 是識別長短周期的替代方法。假設我們有兩個輸入序列 X 和 Y（在我們的例子中，14 天的數據被平均分成兩部分）。兩個序列的SBD結果可以根據以下等式計算，

其中 SBD 的范圍從 0 到 2，在我們的案例中 s=0。 SBD 越小，說明兩個序列屬于同一周期的相似度越高。

最佳開始時間通過尋找不同時間粒度（如10s 和 1min）下的最佳開始時間來關注擬合精度。待檢測的時間序列總是遵循一定的周期性，但根據我們的實驗驗證，在不同位置選擇的開始時間可能會導致擬合精度不同。我們選取均方根誤差 (RMSE) 用作優化搜索過程的目標函數：

其中 y' 代表預測結果，而 y 代表基本事實。 k 表示檢測到的序列中的第 k 個起始位置。采用L-BFGS通過最小化目標函數實現自動搜索。

基線生成 LnB 的核心過程是基線生成。與RNN相比，LSTM包含了三個門，即遺忘門、輸入門和輸出門，這種門設計在識別歷史中的重要信息方面表現出更好的性能，減輕了對遠程歷史的依賴和梯度消失。輸入數據經 LSTM，輸出理論上暗示了正常數據的期望。因此，我們將損失函數訓練為：

通過減少實際值和預測值之間的誤差，網絡可以學習預測時間序列的正常行為。

我們選擇 95% 置信區間，計算基線的上限和下限：

LnB 的最后一步是自適應調整，這是實現“自適應”的關鍵步驟。通過 LSTM 獲得的上限和下限是初始基線。然后通過極值點平滑和插值修改初始基線。即初始基線中的所有峰點和谷點都形成了初始上限和下限。然后采用拉格朗日插值進行細粒度數據填充以形成平滑的基線。

DL (GRU) 和 ML（IForest、基于角度的異常值檢測-ABOD 和基于集群的局部異常值因子-CBLOF）從多個級別檢測異常，不需要標簽信息或閾值定義。作為回歸任務，GRU 學習給定時間序列的正態分布并輸出對未來的預測。與 LSTM 從長期歷史中捕捉內在特征的能力相比，GRU 在數據量不足且需要效率的情況下理論上表現良好。與 LnB 不同，UnD 將較短的序列作為輸入。因此，UnD 中的 GRU 單元是 LnB 的補充。另一方面，IForest、ABOD 和 CBLOF 是用于異常檢測的三種基于 ML 的聚類算法。 UnD的最終檢測是GRU、IForest、ABOD和CBLOF通過投票方案的合并結果。

對于 GRU，我們采用與 LnB 相同的損失函數。區別在于輸入長度（在下一節中解釋）。訓練有素的 GRU 會給出預測的準確值 y'。在這里，定義異常權重 (AW) 以確定預測是否異常。

AW 是異常識別的關鍵決定因素，并且根據經驗知識自動學習以滿足在我們的案例中檢測到的異常百分比應在 1%-3% 以內的條件。當涉及到不同的領域或數據集時，也可以根據經驗知識確定 AW。 IForest、ABOD和CBLOF是常用的異常值檢測方法，它們的輸出結果可以看作是一個描述異常概率的分數。然后將所有 GRU、IForest、ABOD 和 CBLOF 的檢測結果編碼并拼接成一個 one-hot 矩陣，其中 0 表示正常，1 表示異常，如圖 3 所示的示例。接下來，我們得到每個時間步對應的“1”的總數。通過與投票數 n （在我們的例子中 n = 2）的比較，如果“1”的總數不小于 n ，則合并結果被檢測為異常，反之亦然。 n 是一個參數，需要通過幾個簡單的試驗來確定，例如逐漸增加值或縮小范圍。

通過投票方案的合并結果可以從不同方面揭示內在特征，因為 GRU 的回歸結果包含顯示增加或減少趨勢的精確值，而 ML 結果呈現 0 或 1 僅表示異常與否，但具有更準確的決策，因為這些模型可以利用從附加維度或測量中捕獲的信息（例如，基于角度視角的 ABOD 和基于概率視角的 CBLOF）。因此，多個高級算法的合并結果可以充分利用給定的數據進行全面的預測。

我們的模型主要有三個步驟，詳細介紹如下：

第一步：數據預處理

LnB和UnD對數據拆分和連接有不同的要求，兩個模塊的輸入數據是不同的。例如，當前時間為 t，時間序列的周期性為 T（如 7 天）。我們的目標是檢測 t+1 時刻的值是否異常。在這種情況下，LnB 的輸入是過去 2*T 周期（即 14 天）收集的歷史數據。選擇 2*T 周期的原因是 14 天之前的歷史數據重要性較低，如果只收集一個周期的數據，可能會受到異常事件的影響。相反，UnD采用最相關的信息而不是使用長歷史，并且選擇三個滑動窗口覆蓋的序列作為輸入數據。三個窗口的長度分別為 30 分鐘、60 分鐘和 60 分鐘。從圖4可以看出，UnD輸入中有3個段串聯，即[Xt-30min:t, Xt+1-1day-30min:t+1- 1day+30min, Xt+1-7days-30min: t+1-7 天+30 分鐘]。這種連接提供了一種新的輸入結構設計，為特征學習和未來預測提供了最相關的信息。總之，LnB 將過去 14 天的序列作為輸入，而 UnD 將過去 30 分鐘、1 天前的 60 分鐘和 7 天前的 60 分鐘作為輸入。

數據填充采用 K-NN 作為數據填充方法，以確保所有輸入樣本的長度相同且可讀。數據過濾為保證輸入數據的有效性，對輸入數據進行平滑過濾，以消除因噪聲引起的毛刺。數據轉換對訓練結果和快速收斂非常重要。在輸入訓練過程之前，原始數據還需要一個轉換過程，包括歸一化和對數轉換，如（7）所示。

歸一化避免了不同維度的副作用，有利于模型快速收斂。此外，它還確保輸出不會超過輸入的最小值和最大值，因為在輸出上實施了指數變換。同時，對數變換可以在不改變數據特征和數據相關性的情況下，減輕方差，平滑變化。

第二步：模型訓練

如圖 1 中的流程圖所示，LnB 和 UnD 都是根據訓練數據分別訓練的。但是，如上所述，兩個模塊的輸入是不同的。 LnB 將較長的歷史數據作為輸入，并嘗試捕獲檢測到的時間序列的豐富信息，而 UnD 將最相關但較短的序列部署為訓練數據。 UnD 中的GRU和 LnB通過減少第二部分中介紹的損失函數來學習檢測到的序列的正常行為。同時，IForest、ABOD 和 CBLOF 學習了無監督聚類模型。上述單元的所有輸出都是一步超前的異常檢測。

第三步：在線異常檢測

在運行時，傳入的數據首先進入預處理模塊，然后同時進入LnB和UnD。輸入數據的格式應與訓練階段一致。如果兩個模塊的任一結果異常，則提示待檢測數據異常。LnB和UnD的融合機制對時間序列進行了全面的檢測，降低了潛在異常遺漏的概率。另一方面，LnB 中較長的歷史輸入和 UnD 中的多模型投票方案有效地避免了將正常的誤認為是異常的。

經過京東內部多場景多組數據驗證，模型在線上運行的效果評估如下表所示：

此外，可以靈活選擇“and”或“or”來整合LnB和UnD的結果。沒有統一的規則，要看實際場景的需求。在我們的落地實踐場景中，這兩個數據集都需要保證召回率，因此我們采取“或”操作，這意味著無論哪個檢測到異常都會報警。如果需要較低的警告級別，我們可以選擇“和”作為積分運算。選擇三個流行的基線 IForest、ABOD 和 CBLOF 進行比較。此外。我們還比較了我們的方法和單獨使用 LnB 或 UnD 的方法的結果，如上表所示。從定量比較中，很明顯，所提出的方法，即 LnB+UnD 在兩者中都獲得了最高的 F1 分數數據集。 LnB+UnD 的組合比單獨采用 LnB 或 UnD 效果更好。而且我們的模型優于其他三個基線，這也證明了我們并行機制的有效性和必要性。

我們提出的一種用于時間序列分析的無閾值異常檢測方法，即 LSTM 構建的 LnB和DL、ML 模型融合機制構建的 UnD，以互補和智能的方式實現異常檢測。在具有不同長短周期和變化趨勢的真實實踐場景的兩個數據集上進行了實驗，比較結果證明了我們方法的有效性和準確性。

?Threshold-free Anomaly Detection for Streaming Time Series through Deep Learning. ICMLA.

?ieeexplore檢索：https://ieeexplore.ieee.org/abstract/document/9680175

?團隊介紹：

京東科技從2017年開始建設智能運維，基于京東多年一線運維經驗，以大數據和人工智能技術為抓手，形成以應用為中心的一體化智能運維解決方案。利用京東內部歷年大促場景的數據積累，對算法進行不斷的優化訓練，在監控、數據庫、網絡、資源調度等多個縱向場景取得突破，可移植性強，自研通用化智能基線算法學件10+，自研通用化異常檢測算法學件10+，場景化異常檢測算法方案5+，具備多種自研通用化根因定位算法學件，可以自動觸發多維實時根因定位 ，從上萬維度屬性值中定位到根因維度，自研5種以上增量式學習模板提取與相關分析算法學件，運維知識圖譜內涵蓋節點30W+，以應用為中心向外延伸出的圖譜關系達90W+，賦能根因分析快速精準查詢調用。發表IEEE國際會議論文（AIOps方向）6篇，申請40余項智能運維專利。

審核編輯 黃宇