[发明专利]一种基于无监督学习的时间序列异常检测方法及系统

说明书

本发明提供一种基于无监督学习的时间序列异常检测方法，包括：S01.获取服务访问记录，构建用于比较的时间序列；S02.构建时间序列，选择设定的时间段，对用户访问服务的次数做统计，形成时间序列；S03.异常操作时间序列检测，采用局部异常因子算法对步骤S02中的时间序列表做局部异常因子检测，采用动态时间规整距离计算序列间的距离，并根据距离计算局部异常因子；S04.异常操作筛选。本发明通过将DTW距离替代局部异常因子算法中的距离算法来对运营商或类似企业内部服务器访问行为进行异常检测，可以只应用一个模型，在没有对用户进行分类的情况下做时间序列的无监督异常检测，不需要区分类型，不需要根据序列的周期性、季节性等特征管理多个模型。

技术领域

本发明涉及计算机数据安全技术领域，具体来说是一种基于无监督学习的时间序列 异常检测方法及系统。

背景技术

运营商内部有大量的服务器，不同的服务器有各自的作用域，涉及到敏感信息的服 务需要更严格的监控，以防止可能存在的攻击或者数据泄露。操作员在访问系统的行为具有时间上的关联性和周期性，可以通过构建时间序列，利用局部异常因子算法，结合DTW，做用户行为时间序列和自己类似的群体之间的比较，达到对敏感信息的访问进行 监控和异常检测的目的。

如申请号为202011012234.X公开的一种时间序列数据异常检测方法和装置，所述方 法包括：获多个时间序列数据，并对多个时间序列数据进行预处理；通过Tsfresh对预处理后的多个时间序列数据进行特征提取，并获取所提取的时间序列特征的贡献度信息； 根据贡献度信息对时间序列特征进行PCA降维；通过IForest对降维后的时间序列特征进 行标注，以构成样本集，其中，样本集包括训练集和测试集；通过训练集训练得到多种 分类模型；通过测试集测试每种分类模型的异常检测准确率；获取待检测时间序列数据， 并将待检测时间序列数据分别输入每种分类模型，以得到相应的异常检测结果；根据每 种分类模型的异常检测准确率和异常检测结果对多种分类模型进行投票融合，以确定最 终的异常检测结果。该方法为有标注的监督学习，通过提取时间序列的统计特征，结合 标注进行监督学习训练，

现有的时间序列的异常检测主要有：基于历史数据的统计检测，这种方法会有过多 的点被识别成异常点；利用预测加统计的方法，在现实场景中，用户操作可能存在的周期很长，而数据量相对较少，利用这种方法无法准确预测；通过计算时间序列的周期性 特征来挖掘机器行为的，但很多场景中本就存在机器行为，适用范围受限；通过抽取时 间序列统计特征，利用有监督算法进行分类，这种方法需要更多的人工干预和较多里历 史专家经验积累。由于各个岗位的操作行为必然有所不同，岗位内部也可能有着不同的 分工，操作员也可能有调岗的情况存在，所以对某一特定岗位做时间序列异常检测也很 容易造成过多的异常误报，而且大量的时间序列异常检测模型也存在管理困难，应用不 便的问题。

发明内容

本发明所要解决的技术问题在于提供一种有效解决标签样本缺失、准确率低、误报 率高问题的基于无监督学习的时间序列异常检测方法。

本发明通过以下技术手段实现解决上述技术问题的：

一种基于无监督学习的时间序列异常检测方法，包括以下步骤：

S01.获取服务访问记录，构建用于比较的时间序列；

S02.构建时间序列，选择设定的时间段，对用户访问服务的次数做统计，形成时间序列；

S03.异常操作时间序列检测，采用局部异常因子算法对步骤S02中的时间序列表做 局部异常因子检测，采用动态时间规整距离计算序列间的距离，并根据距离计算局部异常因子；

S04.根据步骤S03中计算出的局部异常因子进行筛选，超过阈值的操作为异常操作。