[发明专利]一种基于动态基线的主机监控报警系统及方法

权利要求书

1.一种基于动态基线的主机监控报警系统，包括：基线生成模块和报警模块，其特征在于，

所述基线生成模块包括数据预处理单元和通过数据预处理单元生成动态基线模型，以及通过数据预处理单元与动态基线模型对比生成二次判断模型；

所述报警模块包括第一判断单元和第二判断单元，所述第一判断单元将待检测数据输入到动态基线模型中，若待检测数据位于第一超出范围或第二超出范围，则认为该数据非法，并输出报警信息，否则进入第二判断单元，所述第二判断单元根据待检测数据连续超过上基线或下基线的次数，若当前次数连续超过上基线或下基线的次数的最大值，则更新二次判断模型并输出报警信息，否则只更新二次判断模型。

2.根据权利要求1所述的一种基于动态基线的主机监控报警系统，其特征在于，所述第一判断单元还包括根据动态基线模型的正常范围，判断待检测数据是否合法，合法则把当前数据输入到二次判断模型并更新该模型。

3.根据权利要求1所述的一种基于动态基线的主机监控报警系统，所述数据预处理单元为按照时间先后顺序，根据采集频率和数据周期进行分组。

4.根据权利要求2所述的一种基于动态基线的主机监控报警系统，其特征在于，所述动态基线模型包括将分组后的每一组数据聚为三类，提取每一组聚类后的中心值，并把每一组的中心值由小到大排序，取每一组的中心值的最大值和最小值分别作为上基线和下基线，取每一组数据的最大值和最小值分别作为上容忍线和下容忍线，获得动态基线模型。

5.根据权利要求1所述的一种基于动态基线的主机监控报警系统，其特征在于，所述二次判断模型将分组后的每一个数据分别与上基线、下基线、上容忍线和下容忍线进行比较，若位于第一容忍范围或第二容忍范围则记为1，否则记为0；统计每一组数据连续位于第一容忍范围或第二容忍范围的次数，同时保存每一组的最后一个数据是否连续超过上基线、下基线的情况，生成二次判断模型。

6.根据权利要求2所述的一种基于动态基线的主机监控报警系统，其特征在于，所述正常范围是指位于上基线和下基线之间的数据；所述第一超出范围为大于上容忍线，所述第二超出范围为小于下容忍线。

7.根据权利要求1所述的一种基于动态基线的主机监控报警系统，其特征在于，所述基线生成模块还包括数据清洗单元，所述数据清洗单元设有删除空数据及无效数据项、异常数据处理项和去重处理项。

8.根据权利要求5所述的一种基于动态基线的主机监控报警系统，其特征在于，所述第一容忍范围为大于上基线但不大于上容忍线，所述第二容忍范围为小于下基线但不小于下容忍线。

9.一种基于动态基线的主机监控报警方法，用于实现权利要求1-8的一种基于动态基线的主机监控报警系统，其特征在于，包括以下步骤：

第一步，清洗设备中的历史数据；

第二步，预处理清洗后的数据，按照时间先后顺序，根据采集频率及数据周期进行分组；

第三步，生成动态基线模型，根据分组将每一组数据聚为三类，提取每一组聚类后的中心值，并把每一组的中心值由小到大排序，取每一组的中心值的最大值和最小值分别作为上基线和下基线，取每一组数据的最大值和最小值分别作为上容忍线和下容忍线，得到动态基线模型；

第四步，生成二次判断模型，将分组后的每一个数据分别与上基线、下基线、上容忍线和下容忍线进行比较，若位于第一容忍范围或第二容忍范围则记为1，否则记为0；统计每一组数据连续位于第一容忍范围或第二容忍范围的次数，同时保存每一组的最后一个数据是否连续超过上基线、下基线的情况，生成二次判断模型；

第五步，待检测数据报警，将待检测数据输入到动态基线模型中，根据动态基线模型的正常范围，判断待检测数据是否合法，合法则把当前数据输入到二次判断模型并更新该模型，若待检测数据位于第一超出范围或第二超出范围，则认为该数据非法，并输出报警信息，否则进入第二判断单元，所述第二判断单元根据待检测数据连续超过上基线或下基线的次数，若当前次数连续超过上基线或下基线的次数的最大值，则更新二次判断模型并输出报警信息，否则只更新二次判断模型。