1.本发明属于数据诊断领域,尤其涉及一种基于流程挖掘的异常事件自动诊断方法和系统。
背景技术:
2.日志对于理解系统状态和定位性能故障十分重要,是大型系统在线监控和异常检测的重要信息源。然而,日志数据的激增导致人工分析异常十分困难,基于智能网络模型来自动化检测异常已成为公认的解决方案。但调查显示,目前已有的检测方案大多只能提供粗粒度的异常检测结果,并不能直接定位具体的异常所在。也就是说,异常的精准定位还需分析师进行更深层次的剖析与溯源,这就对异常诊断技术提出了新的需求。一个优秀的异常诊断方案能够帮助分析师快速定位故障的具体所在,并给出该异常偏离正常行为模式的可能性解释,对于保障系统的平稳运行具有十分重要的现实意义。然而,业界大多仅关注如何检测异常,而对如何理解异常(即异常诊断)缺乏研究,因而迫切需要提出一种有效的异常诊断方案。
3.业界关于异常诊断的研究相对较少,大多数从业者都只注重如何检测异常,而忽视了如何理解异常这一同样重要的问题。而现有的异常诊断方案大多基于工作流模型来诊断异常,即通过比较当前执行路径与历史执行路径的区别来解释异常,这里以deeplog方案为代表。简单来说,deeplog会为每个任务构建相应的工作流模型,并基于对未来事件的正确预测来达到异常诊断的目标。但这一方案的准确性一方面极易受到日志事件键数的影响,另一方面则建立在预测正确的前提下,而这一前提并不总是成立,因而导致实际应用效果较差。此外,由于异常检测通常在事件序列上执行,大多涉及多个交叉的任务工作流,而deeplog等诊断方案在对异常进行解释时只能以单个任务为中心,无法在交叉的任务序列间有效运行。这就导致任务间的异常无法顺利得到诊断,从而增加了后续的人工审查负担。
技术实现要素:
4.本技术提出一种基于流程挖掘的异常事件自动诊断方案。本发明要解决的技术问题是:在给定一组离散事件日志序列以及粗粒度的异常审查结果时,如何自动、准确的对异常进行诊断,以给出便于理解的可能性解释。这一问题的难点又可进一步分解为两个部分:1)如何进一步缩小异常范围即异常的精准定位;2)如何合理的解释异常。
5.本发明第一方面公开了一种基于流程挖掘的异常事件自动诊断方法。所述方法包括:步骤s1、基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列;步骤s2、获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工
作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列;步骤s3、基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。
6.根据本发明第一方面的方法,所述步骤s1具体包括:聚合若干所述历史正常离散事件序列以形成数据集,并调用所述无监督聚类算法对所述数据集进行聚类处理,将所述数据集划分为多个类别簇,所述多个类别簇中的每一个形成对应的训练数据子集;基于多个所述训练数据子集,利用所述流程发现技术为每个所述类别簇构建对应的工作流模型,汇总各个所述工作流模型以进一步构建所述工作流模型库;其中,在调用所述无监督聚类算法对所述数据集进行所述聚类处理的过程中,同步对所述无监督聚类算法进行训练以获得所述经训练的无监督聚类算法。
7.根据本发明第一方面的方法,以顺序抽取的方式获取所述异常事件序列,基于所述经训练的无监督聚类算法对所述异常事件序列进行聚类处理,并根据所述聚类处理的结果来预测所述异常事件序列的所属类别。
8.根据本发明第一方面的方法,所述步骤s3具体包括:对齐所述异常事件序列和选取的所述工作流模型以进行比对,基于比对结果确定所述异常事件序列中的缺失事件和额外事件,所述缺失事件为选取的所述工作流模型中发生的事件但所述异常事件序列中并未发生的事件,所述额外事件为选取的所述工作流模型中未发生的事件但所述异常事件序列中实际发生的事件;获取所述缺失事件和所述额外事件分别在所述异常事件序列中的位置,并对所述缺失事件和所述额外事件所处的应用场景和一般性解释做出说明,以形成对所述异常事件序列的诊断结果。
9.本发明第二方面公开了一种基于流程挖掘的异常事件自动诊断系统。所述系统包括:第一处理单元,被配置为,基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列;第二处理单元,被配置为,获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列;第三处理单元,被配置为,基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。
10.根据本发明第二方面的系统,所述第一处理单元具体被配置为:聚合若干所述历史正常离散事件序列以形成数据集,并调用所述无监督聚类算法对所述数据集进行聚类处理,将所述数据集划分为多个类别簇,所述多个类别簇中的每一
个形成对应的训练数据子集;基于多个所述训练数据子集,利用所述流程发现技术为每个所述类别簇构建对应的工作流模型,汇总各个所述工作流模型以进一步构建所述工作流模型库;其中,在调用所述无监督聚类算法对所述数据集进行所述聚类处理的过程中,同步对所述无监督聚类算法进行训练以获得所述经训练的无监督聚类算法。
11.根据本发明第二方面的系统,所述第二处理单元具体被配置为:以顺序抽取的方式获取所述异常事件序列,基于所述经训练的无监督聚类算法对所述异常事件序列进行聚类处理,并根据所述聚类处理的结果来预测所述异常事件序列的所属类别。
12.根据本发明第二方面的系统,所述第三处理单元具体被配置为:对齐所述异常事件序列和选取的所述工作流模型以进行比对,基于比对结果确定所述异常事件序列中的缺失事件和额外事件,所述缺失事件为选取的所述工作流模型中发生的事件但所述异常事件序列中并未发生的事件,所述额外事件为选取的所述工作流模型中未发生的事件但所述异常事件序列中实际发生的事件;获取所述缺失事件和所述额外事件分别在所述异常事件序列中的位置,并对所述缺失事件和所述额外事件所处的应用场景和一般性解释做出说明,以形成对所述异常事件序列的诊断结果。
13.本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种基于流程挖掘的异常事件自动诊断方法中的步骤。
14.本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种基于流程挖掘的异常事件自动诊断方法中的步骤。
15.综上,本发明提供的技术方案能够利用流程挖掘技术对交叉环境下的多个任务进行整体工作流建模,并通过聚类、筛选、对比的方式来准确定位异常并给出易于理解的可能性解释,以便为后期的异常纠正和系统改进提供有效参考。
附图说明
16.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
17.图1为根据本发明实施例的一种基于流程挖掘的异常事件自动诊断方法的流程图;图2a为根据本发明实施例的异常事件自动诊断流程的示意图;图2b为根据本发明实施例的通过序列对齐将检测到的异常事件序列与选取的工作流模型进行比对的示意图;图3为根据本发明实施例一种基于流程挖掘的异常事件自动诊断系统的结构图;图4为根据本发明实施例的一种电子设备的结构图。
具体实施方式
18.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
19.本发明第一方面公开了一种基于流程挖掘的异常事件自动诊断方法。图1为根据本发明实施例的一种基于流程挖掘的异常事件自动诊断方法的流程图;如图1所示,所述方法包括:步骤s1、基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列;步骤s2、获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列;步骤s3、基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。
20.图2a为根据本发明实施例的异常事件自动诊断流程的示意图;如图2a所示,主要包含工作流模型生成过程(s1)和异常诊断过程(s2-s3)两个部分,其中工作流模型生成模块(过程)主要负责多任务交叉情况下离散事件序列的工作流模型构建工作,而异常诊断模块(过程)则着重于异常序列的诊断与解释工作。
21.具体地,工作流模型生成模块以历史离散事件序列为输入,并通过无监督聚类的方法将事件序列划分为多个类别簇,以代表不同任务组合下的典型过程模式,随后借助过程发现技术为每个类别构建相应的工作流模型,进而形成工作流模型库。而异常诊断模块则依据预定义的模型选取策略为每个待诊断异常序列分配合适的工作流模型,并通过序列比对等一致性检查方法来精准定位异常,以给出易于理解的可能性解释,从而为后续的异常纠正和系统改进提供参考。
22.在步骤s1,基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列。
23.在一些实施例中,所述步骤s1具体包括:聚合若干所述历史正常离散事件序列以形成数据集,并调用所述无监督聚类算法对所述数据集进行聚类处理,将所述数据集划分为多个类别簇,所述多个类别簇中的每一个形成对应的训练数据子集;基于多个所述训练数据子集,利用所述流程发现技术为每个所述类别簇构建对应的工作流模型,汇总各个所述工作流模型以进一步构建所述工作流模型库;其中,在调用所述无监督聚类算法对所述数据集进行所述聚类处理的过程中,同步对所述无监督聚类算法进行训练以获得所述经训练的无监督聚类算法。
24.具体地,调用工作流模型生成模块,首先聚合历史正常离散事件序列形成数据集,并调用hdbscan无监督聚类算法将所述数据集划分为多个类别簇,以代表不同任务组合下的典型流程模式。随后借助流程发现技术为所述每个类别构建相应的工作流模型,即利用直接跟踪图dfg算法获取训练数据集中典型的流程模式,并加以记录形成工作流模型库。过程发现技术(模型)的输入是正常序列,模型本身同样有很多参数,模型训练完毕后能够得到典型的序列模式,例如输出[a,b,c,d]则表明这个序列在正常序列中具有典型性,将该类别的异常序列与该序列[a,b,c, d]进行对齐比对,来确定具体的异常事件位置。
[0025]
具体地,所述无监督聚类算法并非特指,可以采用hdbscan、mdca和canopy+knn等典型无监督聚类算法,所述流程发现技术同样可以为α挖掘、直接跟踪图dfg和感应式挖掘等典型流程挖掘算法。
[0026]
在步骤s2,获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列。
[0027]
在一些实施例中,在所述步骤s2中,以顺序抽取的方式获取所述异常事件序列,基于所述经训练的无监督聚类算法对所述异常事件序列进行聚类处理,并根据所述聚类处理的结果来预测所述异常事件序列的所属类别。
[0028]
具体地,首先以顺序抽取的方式获取待检测的异常序列,随后根据预定义的模型选取策略,即借助工作流模型生成模块中所使用的聚类算法来预测所述待检测异常序列所属类别,来选取相对应的工作流模型,并以此作为一致性检测组件的输入。
[0029]
在步骤s3,基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。
[0030]
在一些实施例中,所述步骤s3具体包括:对齐所述异常事件序列和选取的所述工作流模型以进行比对,基于比对结果确定所述异常事件序列中的缺失事件和额外事件,所述缺失事件为选取的所述工作流模型中发生的事件但所述异常事件序列中并未发生的事件,所述额外事件为选取的所述工作流模型中未发生的事件但所述异常事件序列中实际发生的事件;获取所述缺失事件和所述额外事件分别在所述异常事件序列中的位置,并对所述缺失事件和所述额外事件所处的应用场景和一般性解释做出说明,以形成对所述异常事件序列的诊断结果。
[0031]
具体地,使用序列对齐方法将检测到的异常事件序列与选取的工作流模型进行比对,从而直观地获取异常事件序列中的缺失事件和额外事件,并将缺失事件和额外事件作为异常的具体位置。随后,基于缺失事件或额外事件的具体场景,给出上述异常的可能性解释。 这里,缺失事件表示先前建立的流程模型期望但实际并未发生的事件,而额外事件则指的是实际发生但却并不是模型期望的事件。如图2b所示,上面一行为类别s的正常序列模式,而下面一行则为预测类别为s的待诊断异常序列s1,两者对齐后,可迅速诊断出s1中额外事件c以及缺失事件a的位置,随后即可利用事件模板还原出所述的异常事件在真实应用场景下所对应的具体情况(例如因遭遇dos攻击而多出大量额外的服务请求事件),并由所述
诊断结果制定合适的应对策略(关闭部分服务端口等)。
[0032]
本发明第二方面公开了一种基于流程挖掘的异常事件自动诊断系统。图3为根据本发明实施例一种基于流程挖掘的异常事件自动诊断系统的结构图;如图3所示,所述系统300包括:第一处理单元301,被配置为,基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列;第二处理单元302,被配置为,获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列;第三处理单元303,被配置为,基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。
[0033]
根据本发明第二方面的系统,所述第一处理单元301具体被配置为:聚合若干所述历史正常离散事件序列以形成数据集,并调用所述无监督聚类算法对所述数据集进行聚类处理,将所述数据集划分为多个类别簇,所述多个类别簇中的每一个形成对应的训练数据子集;基于多个所述训练数据子集,利用所述流程发现技术为每个所述类别簇构建对应的工作流模型,汇总各个所述工作流模型以进一步构建所述工作流模型库;其中,在调用所述无监督聚类算法对所述数据集进行所述聚类处理的过程中,同步对所述无监督聚类算法进行训练以获得所述经训练的无监督聚类算法。
[0034]
根据本发明第二方面的系统,所述第二处理单元302具体被配置为:以顺序抽取的方式获取所述异常事件序列,基于所述经训练的无监督聚类算法对所述异常事件序列进行聚类处理,并根据所述聚类处理的结果来预测所述异常事件序列的所属类别。
[0035]
根据本发明第二方面的系统,所述第三处理单元303具体被配置为:对齐所述异常事件序列和选取的所述工作流模型以进行比对,基于比对结果确定所述异常事件序列中的缺失事件和额外事件,所述缺失事件为选取的所述工作流模型中发生的事件但所述异常事件序列中并未发生的事件,所述额外事件为选取的所述工作流模型中未发生的事件但所述异常事件序列中实际发生的事件;获取所述缺失事件和所述额外事件分别在所述异常事件序列中的位置,并对所述缺失事件和所述额外事件所处的应用场景和一般性解释做出说明,以形成对所述异常事件序列的诊断结果。
[0036]
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面中任一项所述的一种基于流程挖掘的异常事件自动诊断方法中的步骤。
[0037]
图4为根据本发明实施例的一种电子设备的结构图,如图4所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非
易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过wifi、运营商网络、近场通信(nfc)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
[0038]
本领域技术人员可以理解,图4中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本技术方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
[0039]
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面中任一项所述的一种基于流程挖掘的异常事件自动诊断方法中的步骤。
[0040]
综上,本发明提供的技术方案能够利用流程挖掘技术对交叉环境下的多个任务进行整体工作流建模,并通过聚类、筛选、对比的方式来准确定位异常并给出易于理解的可能性解释,以便为后期的异常纠正和系统改进提供有效参考。本发明的技术特点和显著效果为:首先,本发明提出了一种基于无监督聚类和过程发现的工作流模型构建方法,它能够充分利用相似离散事件序列中存在的同构关系,为每个序列聚类生成一个符合预期的正常工作流模型,从而解决了多任务交叉情况下工作流模型难以构建的难题。其次,本发明提出了一种基于一致性检查的异常诊断方法,其给出的序列对齐结果能够有效帮助用户理解检测到的异常,并为下一步的故障纠正和系统改进提供重要参考。
[0041]
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本技术的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本技术构思的前提下,还可以做出若干变形和改进,这些都属于本技术的保护范围。因此,本技术专利的保护范围应以所附权利要求为准。
技术特征:
1.一种基于流程挖掘的异常事件自动诊断方法,其特征在于,所述方法包括:步骤s1、基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列;步骤s2、获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列;步骤s3、基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。2.根据权利要求1所述的一种基于流程挖掘的异常事件自动诊断方法,其特征在于,所述步骤s1具体包括:聚合若干所述历史正常离散事件序列以形成数据集,并调用所述无监督聚类算法对所述数据集进行聚类处理,将所述数据集划分为多个类别簇,所述多个类别簇中的每一个形成对应的训练数据子集;基于多个所述训练数据子集,利用所述流程发现技术为每个所述类别簇构建对应的工作流模型,汇总各个所述工作流模型以进一步构建所述工作流模型库;其中,在调用所述无监督聚类算法对所述数据集进行所述聚类处理的过程中,同步对所述无监督聚类算法进行训练以获得所述经训练的无监督聚类算法。3.根据权利要求2所述的一种基于流程挖掘的异常事件自动诊断方法,其特征在于,在所述步骤s2中,以顺序抽取的方式获取所述异常事件序列,基于所述经训练的无监督聚类算法对所述异常事件序列进行聚类处理,并根据所述聚类处理的结果来预测所述异常事件序列的所属类别。4.根据权利要求3所述的一种基于流程挖掘的异常事件自动诊断方法,其特征在于,所述步骤s3具体包括:对齐所述异常事件序列和选取的所述工作流模型以进行比对,基于比对结果确定所述异常事件序列中的缺失事件和额外事件,所述缺失事件为选取的所述工作流模型中发生的事件但所述异常事件序列中并未发生的事件,所述额外事件为选取的所述工作流模型中未发生的事件但所述异常事件序列中实际发生的事件;获取所述缺失事件和所述额外事件分别在所述异常事件序列中的位置,并对所述缺失事件和所述额外事件所处的应用场景和一般性解释做出说明,以形成对所述异常事件序列的诊断结果。5.一种基于流程挖掘的异常事件自动诊断系统,其特征在于,所述系统包括:第一处理单元,被配置为,基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库,所述工作流模型库中包含不同任务组合下的工作流模型,所述历史正常离散事件序列为历史数据中被判别为非异常状态的离散事件构成的序列;第二处理单元,被配置为,获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类
别对应的工作流模型,所述异常事件序列为被判别为包含所述异常事件但尚未对所述异常事件做出诊断的序列;第三处理单元,被配置为,基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。6.根据权利要求5所述的一种基于流程挖掘的异常事件自动诊断系统,其特征在于,所述第一处理单元具体被配置为:聚合若干所述历史正常离散事件序列以形成数据集,并调用所述无监督聚类算法对所述数据集进行聚类处理,将所述数据集划分为多个类别簇,所述多个类别簇中的每一个形成对应的训练数据子集;基于多个所述训练数据子集,利用所述流程发现技术为每个所述类别簇构建对应的工作流模型,汇总各个所述工作流模型以进一步构建所述工作流模型库;其中,在调用所述无监督聚类算法对所述数据集进行所述聚类处理的过程中,同步对所述无监督聚类算法进行训练以获得所述经训练的无监督聚类算法。7.根据权利要求6所述的一种基于流程挖掘的异常事件自动诊断系统,其特征在于,所述第二处理单元具体被配置为:以顺序抽取的方式获取所述异常事件序列,基于所述经训练的无监督聚类算法对所述异常事件序列进行聚类处理,并根据所述聚类处理的结果来预测所述异常事件序列的所属类别。8.根据权利要求7所述的一种基于流程挖掘的异常事件自动诊断系统,其特征在于,所述第三处理单元具体被配置为:对齐所述异常事件序列和选取的所述工作流模型以进行比对,基于比对结果确定所述异常事件序列中的缺失事件和额外事件,所述缺失事件为选取的所述工作流模型中发生的事件但所述异常事件序列中并未发生的事件,所述额外事件为选取的所述工作流模型中未发生的事件但所述异常事件序列中实际发生的事件;获取所述缺失事件和所述额外事件分别在所述异常事件序列中的位置,并对所述缺失事件和所述额外事件所处的应用场景和一般性解释做出说明,以形成对所述异常事件序列的诊断结果。9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1至4中任一项所述的一种基于流程挖掘的异常事件自动诊断方法中的步骤。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1至4中任一项所述的一种基于流程挖掘的异常事件自动诊断方法中的步骤。
技术总结
本发明提出一种基于流程挖掘的异常事件自动诊断方法和系统。所述方法包括:步骤S1、基于历史正常离散事件序列,利用流程发现技术来构建工作流模型库;步骤S2、获取异常事件序列,利用经训练的无监督聚类算法预测所述异常事件序列的所属类别,并基于所述所属类别从所述工作流模型库中选取与所述所属类别对应的工作流模型;步骤S3、基于所述异常事件序列和选取的所述工作流模型,利用一致性检查方法确定所述异常事件序列中的缺失事件、额外事件、以及所述缺失事件和所述额外事件在所述异常事件序列中的位置,作为对所述异常事件序列的诊断结果。断结果。断结果。
技术研发人员:杨林 李东阳 马琳茹 王晓磊 张洪广
受保护的技术使用者:军事科学院系统工程研究院网络信息研究所
技术研发日:2022.03.11
技术公布日:2022/4/15
转载请注明原文地址:https://win.8miu.com/read-1143879.html
