分布式支付系统安全处理方法及装置
阅读说明:本技术 分布式支付系统安全处理方法及装置 (Distributed payment system security processing method and device ) 是由 杨晨 谭新培 张照胜 张悦 于 2021-07-22 设计创作,主要内容包括:本申请实施例提供一种分布式支付系统安全处理方法及装置,方法包括:对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列;确定所述系统级重构序列和所述指标级重构序列的告警阈值;根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态;本申请能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。(The embodiment of the application provides a distributed payment system security processing method and a device, wherein the method comprises the following steps: modeling a plurality of performance indexes of a payment system, and performing aggregation processing through a logic dependency relationship among the performance indexes based on a preset variational self-encoder to obtain a system-level reconstruction sequence, an index-level reconstruction sequence and a component-level reconstruction sequence of the corresponding payment system; determining alarm thresholds of the system-level reconstruction sequence and the index-level reconstruction sequence; sequentially determining a system-level health state, an index-level health state and a component-level health state corresponding to the index-level health state of the payment system according to the alarm threshold of the system-level reconstruction sequence, the alarm threshold of the index-level reconstruction sequence and a preset abnormal propagation rule; the method and the device can accurately determine the respective health degree of the distributed payment system at a system level, a component level and an index level in real time, and ensure the information safety and the stable operation of the payment system.)
技术领域
本申请涉及信息安全领域,具体涉及一种分布式支付系统安全处理方法及装置。
背景技术
由于处理的业务种类和业务规模不同,支付系统内部从逻辑层面和物理实现层面呈现分布化,如业务种类可以有大额支付业务、小额支付业务和网银支付业务等,且不同的业务可以由一个或多个物理服务器支撑其计算服务,这些可以统称为组件。为了保证支付系统的稳定运行,监控并分析支付系统不同侧面的性能指标是必须,如某个业务的成功率和某台服务器的CPU利用率等。因此从支付系统运行时健康量化的角度而言,整个分析体系需要得到“系统-组件-指标”三层的运行时健康程度并对健康程度分级,如健康、警告和告警三级,可以进一步理解为需要分级量化出支付系统“宏观-中观-微观”的运行时健康程度。衡量系统的健康程度本质上可以等价为衡量系统的异常程度,而目前关于指标异常评估的方法主要集中在:(1)单指标异常检测和(2)多指标异常检测,但是它们都不能度量支付系统三层运行时健康度。
其中,对于单指标异常检测方法,针对大型系统监控为目的收集的时序性能指标类数据,已有单指标异常检测算法针对单一指标学习其历史规律并比较当前点与预测或重构点的异同判断指标健康(异常)程度。该类方法有很多,如基于回归的方法、基于3-sigma原则的方法等,但本质上都只能度量单一指标的偏离程度,而系统级和组件的健康程度描述都需要通过监控很多指标实现,因此单指标异常检测方法并不能实现系统级和组件级的健康度评估。
对于多指标异常检测方法,该类方法将多个指标作为矩阵数据,通过同时学习其历史规律并比较当前向量与预测或重构向量的异同判断它们整体的健康(异常)程度,如基于LSTM的方法等。虽然该类方法能够通过整体性地分析多个指标来刻画这些指标宿主的健康程度(健康和告警),但是它们只是实现了“宿主-指标”两层健康程度评估且并不能对健康程度进行有效的分级。
支付系统作为支持我国国计民生平稳运行的金融基础设施,对其的运行状态进行分级的多尺度评价是非常必要的。
发明内容
针对现有技术中的问题,本申请提供一种分布式支付系统安全处理方法及装置,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
为了解决上述问题中的至少一个,本申请提供以下技术方案:
第一方面,本申请提供一种分布式支付系统安全处理方法,包括:
对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列;
确定所述系统级重构序列的告警阈值,并根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值;
根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态。
进一步地,所述根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值,包括:
根据所述指标级重构序列量纲占所述系统级重构序列量纲的比重以及所述指标级重构序列在所述系统级重构序列中的告警位置和与所述系统级重构序列的相似度,确定所述指标级重构序列的系统告警贡献度;
根据所述系统告警贡献度将所述指标级重构序列向所述系统级重构序列进行数据对齐操作,确定所述指标级重构序列的告警阈值。
进一步地,所述根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态,包括:
根据所述述系统级重构序列和对应的告警阈值确定所述支付系统的系统级健康状态;
根据所述系统级健康状态、所述指标级重构序列和对应的告警阈值确定所述支付系统的指标级健康状态;
根据所述支付系统的指标级健康状态确定对应的组件级健康状态。
进一步地,在所述依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态之后,包括:
根据所述指标级重构序列的数据特征值与预设阈值的数值比较关系,确定对应的指标级健康度数值;
根据预设健康度映射规则、所述系统级健康状态和所述组件级健康状态归一化处理后的重构序列,确定对应的系统级健康度数值和组件级健康度数值。
第二方面,本申请提供一种分布式支付系统安全处理装置,包括:
指标序列重构模块,用于对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列;
告警阈值确定模块,用于确定所述系统级重构序列的告警阈值,并根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值;
健康状态确定模块,用于根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态。
进一步地,所述告警阈值确定模块包括:
系统告警贡献度确定单元,用于根据所述指标级重构序列量纲占所述系统级重构序列量纲的比重以及所述指标级重构序列在所述系统级重构序列中的告警位置和与所述系统级重构序列的相似度,确定所述指标级重构序列的系统告警贡献度;
指标级告警阈值确定单元,用于根据所述系统告警贡献度将所述指标级重构序列向所述系统级重构序列进行数据对齐操作,确定所述指标级重构序列的告警阈值。
进一步地,所述健康状态确定模块包括:
系统级健康状态确定单元,用于根据所述述系统级重构序列和对应的告警阈值确定所述支付系统的系统级健康状态;
指标级健康状态确定单元,用于根据所述系统级健康状态、所述指标级重构序列和对应的告警阈值确定所述支付系统的指标级健康状态;
组件级健康状态确定单元,用于根据所述支付系统的指标级健康状态确定对应的组件级健康状态。
进一步地,所述健康状态确定模块包括:
指标级健康度数值确定单元,用于根据所述指标级重构序列的数据特征值与预设阈值的数值比较关系,确定对应的指标级健康度数值;
系统级健康度数值和组件级健康度数值确定单元,用于根据预设健康度映射规则、所述系统级健康状态和所述组件级健康状态归一化处理后的重构序列,确定对应的系统级健康度数值和组件级健康度数值。
第三方面,本申请提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述的分布式支付系统安全处理方法的步骤。
第四方面,本申请提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的分布式支付系统安全处理方法的步骤。
由上述技术方案可知,本申请提供一种分布式支付系统安全处理方法及装置,通过构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例中的分布式支付系统安全处理方法的流程示意图之一;
图2为本申请实施例中的分布式支付系统安全处理方法的流程示意图之二;
图3为本申请实施例中的分布式支付系统安全处理方法的流程示意图之三;
图4为本申请实施例中的分布式支付系统安全处理方法的流程示意图之四;
图5为本申请实施例中的分布式支付系统安全处理装置的结构图之一;
图6为本申请实施例中的分布式支付系统安全处理装置的结构图之二;
图7为本申请实施例中的分布式支付系统安全处理装置的结构图之三;
图8为本申请实施例中的分布式支付系统安全处理装置的结构图之四;
图9为本申请一具体实施例中的异常传播规则示意图;
图10为本申请实施例中的电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
考虑到现有技术中对于单指标异常检测方法,针对大型系统监控为目的收集的时序性能指标类数据,已有单指标异常检测算法针对单一指标学习其历史规律并比较当前点与预测或重构点的异同判断指标健康(异常)程度。该类方法有很多,如基于回归的方法、基于3-sigma原则的方法等,但本质上都只能度量单一指标的偏离程度,而系统级和组件的健康程度描述都需要通过监控很多指标实现,因此单指标异常检测方法并不能实现系统级和组件级的健康度评估;以及现有技术中对于多指标异常检测方法,该类方法将多个指标作为矩阵数据,通过同时学习其历史规律并比较当前向量与预测或重构向量的异同判断它们整体的健康(异常)程度,如基于LSTM的方法等。虽然该类方法能够通过整体性地分析多个指标来刻画这些指标宿主的健康程度(健康和告警),但是它们只是实现了“宿主-指标”两层健康程度评估且并不能对健康程度进行有效的分级的问题,本申请提供一种分布式支付系统安全处理方法及装置,通过构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
为了能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定,本申请提供一种分布式支付系统安全处理方法的实施例,参见图1,所述分布式支付系统安全处理方法具体包含有如下内容:
步骤S101:对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列。
具体的,设多指标数据为是由高维随机变量X={x1,x2,...,xn}产生的且独立同分布,变量xi表示指标i。变分自编码器(Variational Auto-Encoder,VAE)是一类深度概率图模型的统称,通过神经网络拟合的方式将X编码为低维随机变量Z,再将Z通过神经网络θ解码为X,迭代过程中尽量保证解码后的X与原始值相似,VAE最终可输出RX为:
RX=log(pθ(X|Z))=∑i∈[1,n]log(pθ(xi|Z)) (1)
其中,pθ(X|Z)表示通过神经网络将X的信息编码进Z后再生成X的条件概率,定义RX为系统级重构序列,且指标xi的重构序列定义为log(pθ(xi|Z))。由于和θ可以用户自定义,因此本专利的方法可以适用于其他变种VAE算法。
假设存在用户自定义配置集合C={c1,c2,...,cm},其中m表示组件的个数,其中cj∈C都是[1,n]的一个子集,且表示用户根据指标与组件间的隶属关系构建的指标划分方式,那么可定义组件级ck的重构序列为:
由此,系统、组件和指标级别的重构序列都可以通过变分自编码器获取,重构序列的值域范围为且序列中的值越小代表对应宿主(系统、组件或指标)越异常。
步骤S102:确定所述系统级重构序列的告警阈值,并根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值。
具体的,为了识别从重构序列出识别出异常,需要为重构序列设置告警阈值,由于监控指标众多,为系统级、组件级和指标级的重构序列分别手动设置阈值识别异常,会带来大量的人力开销,因此本节提出一种阈值设置方法,仅需要对系统级和指标级重构序列设置阈值,无需设置组件级告警阈值。通过使指标重构序列向系统级重构序列对齐的方式,一次性地为所有指标级重构序列设置阈值。
设向量RX=(r1,r2,...,rT)为根据公式(11)计算得出系统级重构序列,时间范围为[1,T],那么系统级阈值定义为:
thX=μX-λXσX (3)
其中μX为RX的均值,σX为RX的方差,λX为用户自定义参数,一般设置为2。如果rt≤thX,则认为系统在t时刻告警。
为了一次性地为所有指标设置阈值,需要量化不同指标对系统告警的贡献度,贡献度越高则认为其对系统级告警越重要,其阈值设置就应该更严格,反之应该更宽松。贡献度的衡量分为两部分,一部分为指标级重构序列量纲占系统级重构序列量纲的比重α,另一部分为指标级重构序列在系统级重构序列告警位置与系统级重构序列的相似度β。系统级重构序列的总量纲为LX=∑t∈[1,T]rt。类似地,可定义指标i的重构序列的量纲为其中表示指标i在t时刻的重构序列的值,Li为指标i的重构序列的量纲,那么指标i的αi可定义为:
其中,αi∈(0,1]。进一步,本专利使用系统级告警作为指标告警的真实标签,尽可能地在指标i的重构序列上选择一个阈值使的其告警与真实标签相似,而相似度可以使用F1度量。
形式化上述描述,给定阈值thX,根据公式(13)计算得到系统告警的标签向量aT∈{0,1},0表示t时刻系统告警,1表示正常。对于指标i,给定某一阈值thi后,如果则指标i在t时刻的告警标签否则同样可以构造指标i告警的标签向量定义指标i的βi为:
其中,和分别指标i重构序列的最小值和最大值,为标签向量相对于标签向量的精度,而为召回率,且βi∈[0,1]。由于是实数域,为了减少搜索空间,可以通过均匀采样的方式降低搜索的复杂度。
由此,可以定义指标i的贡献度wi为:
wi=τ1αi+τ2βi (6)
其中,τ1+τ2=1,用于调节αi和βi的权重,一般设置τ1=0.6,τ2=0.4。进一步,指标i重构序列的阈值可以设置为:
thi=μi-λxwiσi (7)
其中,其中μi为指标i重构序列的均值,σi为方差,λx为用户自定义参数,所有指标级重构序列阈值设定共用一个λx。如果则认为指标i在t时刻告警。
步骤S103:根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态。
可选的,如果存在指标i使得t时刻且rt>thX,表明系统是正常的,但有指标告警,则定义此时刻系统处于警告状态。进一步,设置系统处于警告状态时,发出告警的指标个数为Wt。
具体的,本申请还设计有“系统-组件-指标”的异常传播规则,用于消除不同层级的告警可能出现的歧义。如图9所示,系统健康分为正常、警告和告警三级,组件健康分为正常和告警两级,指标分为正常和告警两级。具体的异常传播规则如下:
策略1:系统正常则必然导致,指标正常和组件正常。
策略2:系统警告,一定引起指标告警,进一步引起该指标宿主组件告警。
策略3:系统告警,一定引起指标告警,进一步引起该指标宿主组件告警。
从上述策略可以发现,异常传播策略首先根据阈值λX和系统警告级定义确定系统级健康状态,然而触发指标级健康状态计算,最后触发组件级健康状态计算,而不是由逻辑关系逐级向下的,这样可以有效避免多级触发健康状态计算时可能引起的歧义,并且不需要对组件级重构序列设置阈值。
从上述描述可知,本申请实施例提供的分布式支付系统安全处理方法,能够通过构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
为了能够准确确定所述指标级重构序列的告警阈值,在本申请的分布式支付系统安全处理方法的一实施例中,参见图2,还可以具体包含如下内容:
步骤S201:根据所述指标级重构序列量纲占所述系统级重构序列量纲的比重以及所述指标级重构序列在所述系统级重构序列中的告警位置和与所述系统级重构序列的相似度,确定所述指标级重构序列的系统告警贡献度。
步骤S202:根据所述系统告警贡献度将所述指标级重构序列向所述系统级重构序列进行数据对齐操作,确定所述指标级重构序列的告警阈值。
具体的,为了一次性地为所有指标设置阈值,需要量化不同指标对系统告警的贡献度,贡献度越高则认为其对系统级告警越重要,其阈值设置就应该更严格,反之应该更宽松。贡献度的衡量分为两部分,一部分为指标级重构序列量纲占系统级重构序列量纲的比重α,另一部分为指标级重构序列在系统级重构序列告警位置与系统级重构序列的相似度β。系统级重构序列的总量纲为LX=∑t∈[1,T]rt。类似地,可定义指标i的重构序列的量纲为其中表示指标i在t时刻的重构序列的值,Li为指标i的重构序列的量纲,那么指标i的αi可定义为:
其中,αi∈(0,1]。进一步,本专利使用系统级告警作为指标告警的真实标签,尽可能地在指标i的重构序列上选择一个阈值使的其告警与真实标签相似,而相似度可以使用F1度量。
具体的,通过使指标重构序列向系统级重构序列对齐的方式,一次性地为所有指标级重构序列设置阈值。
为了能够准确确定支付系统各层级的健康状态,在本申请的分布式支付系统安全处理方法的一实施例中,参见图3,还可以具体包含如下内容:
步骤S301:根据所述述系统级重构序列和对应的告警阈值确定所述支付系统的系统级健康状态。
步骤S302:根据所述系统级健康状态、所述指标级重构序列和对应的告警阈值确定所述支付系统的指标级健康状态。
步骤S303:根据所述支付系统的指标级健康状态确定对应的组件级健康状态。
可选的,异常传播规则首先根据阈值λX和系统警告级定义确定系统级健康状态,然而触发指标级健康状态计算,最后触发组件级健康状态计算,而不是由逻辑关系逐级向下的,这样可以有效避免多级触发健康状态计算时可能引起的歧义,并且不需要对组件级重构序列设置阈值。
为了能够准确确定支付系统各层级的健康度数值,在本申请的分布式支付系统安全处理方法的一实施例中,参见图4,还可以具体包含如下内容:
步骤S401:根据所述指标级重构序列的数据特征值与预设阈值的数值比较关系,确定对应的指标级健康度数值。
步骤S402:根据预设健康度映射规则、所述系统级健康状态和所述组件级健康状态归一化处理后的重构序列,确定对应的系统级健康度数值和组件级健康度数值。
具体的,重构序列虽然可以区分宿主的正常和异常,但缺少警告级别,此外由于其值域为不具备良好的可读性,因此需要将其进一步映射。
具体的,因为指标本身有数据值(如CPU利用率),因此无需定义健康度。设集合为RX和阈值thX归一化后的值,设时刻t的系统级健康度为SysHSt,其定义如下:
其中,Sa∈(0,100]为系统为健康状态的分数下界,Sb∈(0,100]为系统为警告状态的分数下界,且Sa>Sb,一般设置Sa=80,Sb=60。该分段函数第一段表示将归一化后的系统正常状态的重构序列映射到[Sa,100];第二段表示将归一化后的系统警告状态的重构序列映射到[Sb,Sa),且带有惩罚项以保证告警指标越多,健康度越低;该分段函数第三段表示将归一化后的系统告警状态的重构序列映射到[0,Sb)。以上保证最终的健康度序列在0到100之间,且以Sa和Sb分割系统的三种状态。
对于组件ck而言,设为该组件重构序列归一化后的序列,那么组件正常状态下的重构序列的值来自于表示为因此时刻t的组件级健康度为其计算方式如下:
其中,Ca∈(0,100]为组件为健康状态的分数下界,一般设置Ca∈(0,100],该分段函数第一段表示将归一化后的组件正常状态的重构序列映射到[Ca,100];第二段表示将归一化后的组件告警状态的重构序列映射到[0,Ca)。为了防止运行时未知的归一化的重构值可能存在的越界情况,因此公式(20)的两段均需要和边界Ca比较修正最终的健康度。
为了能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定,本申请提供一种用于实现所述分布式支付系统安全处理方法的全部或部分内容的分布式支付系统安全处理装置的实施例,参见图5,所述分布式支付系统安全处理装置具体包含有如下内容:
指标序列重构模块10,用于对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列。
告警阈值确定模块20,用于确定所述系统级重构序列的告警阈值,并根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值。
健康状态确定模块30,用于根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态。
从上述描述可知,本申请实施例提供的分布式支付系统安全处理装置,能够通过构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
为了能够准确确定所述指标级重构序列的告警阈值,在本申请的分布式支付系统安全处理装置的一实施例中,参见图6,所述告警阈值确定模块20包括:
系统告警贡献度确定单元21,用于根据所述指标级重构序列量纲占所述系统级重构序列量纲的比重以及所述指标级重构序列在所述系统级重构序列中的告警位置和与所述系统级重构序列的相似度,确定所述指标级重构序列的系统告警贡献度。
指标级告警阈值确定单元22,用于根据所述系统告警贡献度将所述指标级重构序列向所述系统级重构序列进行数据对齐操作,确定所述指标级重构序列的告警阈值。
为了能够准确确定支付系统各层级的健康状态,在本申请的分布式支付系统安全处理装置的一实施例中,参见图7,所述健康状态确定模块30包括:
系统级健康状态确定单元31,用于根据所述述系统级重构序列和对应的告警阈值确定所述支付系统的系统级健康状态;
指标级健康状态确定单元32,用于根据所述系统级健康状态、所述指标级重构序列和对应的告警阈值确定所述支付系统的指标级健康状态;
组件级健康状态确定单元33,用于根据所述支付系统的指标级健康状态确定对应的组件级健康状态。
为了能够准确确定支付系统各层级的健康度数值,在本申请的分布式支付系统安全处理装置的一实施例中,参见图8,所述健康状态确定模块30包括:
指标级健康度数值确定单元34,用于根据所述指标级重构序列的数据特征值与预设阈值的数值比较关系,确定对应的指标级健康度数值;
系统级健康度数值和组件级健康度数值确定单元35,用于根据预设健康度映射规则、所述系统级健康状态和所述组件级健康状态归一化处理后的重构序列,确定对应的系统级健康度数值和组件级健康度数值。
为了更进一步说明本方案,本申请还提供一种应用上述分布式支付系统安全处理装置实现分布式支付系统安全处理方法的具体应用实例,具体包含有如下内容:
(1)生成指标级、组件级和系统级的重构序列用于量化不同层级的当前状态可还原性。
(2)划定系统级和指标级重构序列上告警阈值,区分异常和正常。
(3)构造异常传播策略识别组件告警和系统警告,并将重构序列映射为健康度。其包括以下步骤:
1)重构序列生成
设多指标数据为是由高维随机变量X={x1,x2,...,xn}产生的且独立同分布,变量xi表示指标i。变分自编码器(Variational Auto-Encoder,VAE)是一类深度概率图模型的统称,通过神经网络拟合的方式将X编码为低维随机变量Z,再将Z通过神经网络θ解码为X,迭代过程中尽量保证解码后的X与原始值相似,VAE最终可输出RX为:
RX=log(pθ(X|Z))=∑i∈[1,n]log(pθ(xi|Z)) (11)
其中,pθ(X|Z)表示通过神经网络将X的信息编码进Z后再生成X的条件概率,定义RX为系统级重构序列,且指标xi的重构序列定义为log(pθ(xi|Z))。由于和θ可以用户自定义,因此本专利的方法可以适用于其他变种VAE算法。
假设存在用户自定义配置集合C={c1,c2,...,cm},其中m表示组件的个数,其中cj∈C都是[1,n]的一个子集,且表示用户根据指标与组件间的隶属关系构建的指标划分方式,那么可定义组件级ck的重构序列为:
由此,系统、组件和指标级别的重构序列都可以通过变分自编码器获取,重构序列的值域范围为且序列中的值越小代表对应宿主(系统、组件或指标)越异常。为了识别从重构序列出识别出异常,需要为重构序列设置告警阈值。
2)阈值设置方法
由于监控指标众多,为系统级、组件级和指标级的重构序列分别手动设置阈值识别异常,会带来大量的人力开销,因此本节提出一种阈值设置方法,仅需要对系统级和指标级重构序列设置阈值,无需设置组件级告警阈值。通过使指标重构序列向系统级重构序列对齐的方式,一次性地为所有指标级重构序列设置阈值。
设向量RX=(r1,r2,...,rT)为根据公式(11)计算得出系统级重构序列,时间范围为[1,T],那么系统级阈值定义为:
thX=μX-λXσX (13)
其中μX为RX的均值,σX为RX的方差,λX为用户自定义参数,一般设置为2。如果rt≤thX,则认为系统在t时刻告警。
为了一次性地为所有指标设置阈值,需要量化不同指标对系统告警的贡献度,贡献度越高则认为其对系统级告警越重要,其阈值设置就应该更严格,反之应该更宽松。贡献度的衡量分为两部分,一部分为指标级重构序列量纲占系统级重构序列量纲的比重α,另一部分为指标级重构序列在系统级重构序列告警位置与系统级重构序列的相似度β。系统级重构序列的总量纲为LX=∑t∈[1,T]rt。类似地,可定义指标i的重构序列的量纲为其中表示指标i在t时刻的重构序列的值,Li为指标i的重构序列的量纲,那么指标i的αi可定义为:
其中,αi∈(0,1]。进一步,本专利使用系统级告警作为指标告警的真实标签,尽可能地在指标i的重构序列上选择一个阈值使的其告警与真实标签相似,而相似度可以使用F1度量。
形式化上述描述,给定阈值thX,根据公式(13)计算得到系统告警的标签向量aT∈{0,1},0表示t时刻系统告警,1表示正常。对于指标i,给定某一阈值thi后,如果则指标i在t时刻的告警标签否则同样可以构造指标i告警的标签向量定义指标i的βi为:
其中,和分别指标i重构序列的最小值和最大值,为标签向量相对于标签向量的精度,而为召回率,且βi∈[0,1]。由于是实数域,为了减少搜索空间,可以通过均匀采样的方式降低搜索的复杂度。
由此,可以定义指标i的贡献度wi为:
wi=τ1αi+τ2βi (16)
其中,τ1+τ2=T,用于调节αi和βi的权重,一般设置τ1=0.6,τ2=0.4。进一步,指标i重构序列的阈值可以设置为:
thi=μi-λxwiσi (17)
其中,其中μi为指标i重构序列的均值,σi为方差,λx为用户自定义参数,所有指标级重构序列阈值设定共用一个λx。如果则认为指标i在t时刻告警。
3)异常传播策略与健康度分级
上节解决了系统级正常和告警和指标级正常和告警,本节主要解决组件级正常和告警问题。此外,重构序列虽然可以区分宿主的正常和异常,但缺少警告级别,此外由于其值域为不具备良好的可读性,因此需要将其进一步映射。由此,本节内容分为3部分:(1)系统级警告定义,(2)异常传播策略设计,(3)健康度映射。
系统级警告定义:如果存在指标i使得t时刻且rt>thX,表明系统是正常的,但有指标告警,则定义此时刻系统处于警告状态。进一步,设置系统处于警告状态时,发出告警的指标个数为Wt。
异常传播策略设计:本节设计了“系统-组件-指标”的异常传播策略,用于消除不同层级的告警可能出现的歧义。如图9所示,系统健康分为正常、警告和告警三级,组件健康分为正常和告警两级,指标分为正常和告警两级。异常传播策略如下:
策略1:系统正常则必然导致,指标正常和组件正常;
策略2:系统警告,一定引起指标告警,进一步引起该指标宿主组件告警;
策略3:系统告警,一定引起指标告警,进一步引起该指标宿主组件告警;
从上述策略可以发现,异常传播策略首先根据阈值λX和系统警告级定义确定系统级健康状态,然而触发指标级健康状态计算,最后触发组件级健康状态计算,而不是由逻辑关系逐级向下的,这样可以有效避免多级触发健康状态计算时可能引起的歧义,并且不需要对组件级重构序列设置阈值。
组件标签向量:由异常传播策略可得,当给定组件ck∈C,系统级阈值thX和任意指标i的告警阈值thi时,组件标签向量定义为其计算方式如下:
健康度映射:本节主要定义系统级健康度和组件级健康度,因为指标本身有数据值(如CPU利用率),因此无需定义健康度。设集合为RX和阈值thX归一化后的值,设时刻t的系统级健康度为SysHSt,其定义如下:
其中,Sa∈(0,100]为系统为健康状态的分数下界,Sb∈(0,100]为系统为警告状态的分数下界,且Sa>Sb,一般设置Sa=80,Sb=60。该分段函数第一段表示将归一化后的系统正常状态的重构序列映射到[Sa,100];第二段表示将归一化后的系统警告状态的重构序列映射到[Sb,Sa),且带有惩罚项以保证告警指标越多,健康度越低;该分段函数第三段表示将归一化后的系统告警状态的重构序列映射到[0,Sb)。以上保证最终的健康度序列在0到100之间,且以Sa和Sb分割系统的三种状态。
对于组件ck而言,设为该组件重构序列归一化后的序列,那么组件正常状态下的重构序列的值来自于表示为因此时刻t的组件级健康度为其计算方式如下:
其中,Ca∈(0,100]为组件为健康状态的分数下界,一般设置Ca∈(0,100],该分段函数第一段表示将归一化后的组件正常状态的重构序列映射到[Ca,100];第二段表示将归一化后的组件告警状态的重构序列映射到[0,Ca)。为了防止运行时未知的归一化的重构值可能存在的越界情况,因此公式(20)的两段均需要和边界Ca比较修正最终的健康度。
有上述内容可知,本申请还可以实现以下技术效果:
(1)提出一种基于变分自编码器的多尺度重构序列构造方法,建模多个性能指标数据的可重构性,并通过指标间的逻辑依赖关系聚合描述系统级和组件级的重构序列。
(2)提出一种面向系统级重构序列对齐的指标重构序列自适应告警阈值选择方法,通过自动地使指标级重构序列对齐系统级的告警状态,动态识别指标对整体告警的贡献度,选择指标重构序列告警阈值。
(3)提出一种面向三级监控架构的异常传播策略及其健康度分级机制,构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,并结合重构序列和告警阈值映射出系统级和组件级健康度。
从硬件层面来说,为了能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定,本申请提供一种用于实现所述分布式支付系统安全处理方法中的全部或部分内容的电子设备的实施例,所述电子设备具体包含有如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现分布式支付系统安全处理装置与核心业务系统、用户终端以及相关数据库等相关设备之间的信息传输;该逻辑控制器可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该逻辑控制器可以参照实施例中的分布式支付系统安全处理方法的实施例,以及分布式支付系统安全处理装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
可以理解的是,所述用户终端可以包括智能手机、平板电子设备、网络机顶盒、便携式计算机、台式电脑、个人数字助理(PDA)、车载设备、智能穿戴设备等。其中,所述智能穿戴设备可以包括智能眼镜、智能手表、智能手环等。
在实际应用中,分布式支付系统安全处理方法的部分可以在如上述内容所述的电子设备侧执行,也可以所有的操作都在所述客户端设备中完成。具体可以根据所述客户端设备的处理能力,以及用户使用场景的限制等进行选择。本申请对此不作限定。若所有的操作都在所述客户端设备中完成,所述客户端设备还可以包括处理器。
上述的客户端设备可以具有通信模块(即通信单元),可以与远程的服务器进行通信连接,实现与所述服务器的数据传输。所述服务器可以包括任务调度中心一侧的服务器,其他的实施场景中也可以包括中间平台的服务器,例如与任务调度中心服务器有通信链接的第三方服务器平台的服务器。所述的服务器可以包括单台计算机设备,也可以包括多个服务器组成的服务器集群,或者分布式装置的服务器结构。
图10为本申请实施例的电子设备9600的系统构成的示意框图。如图10所示,该电子设备9600可以包括中央处理器9100和存储器9140;存储器9140耦合到中央处理器9100。值得注意的是,该图10是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,分布式支付系统安全处理方法功能可以被集成到中央处理器9100中。其中,中央处理器9100可以被配置为进行如下控制:
步骤S101:对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列。
步骤S102:确定所述系统级重构序列的告警阈值,并根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值。
步骤S103:根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态。
从上述描述可知,本申请实施例提供的电子设备,通过构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
在另一个实施方式中,分布式支付系统安全处理装置可以与中央处理器9100分开配置,例如可以将分布式支付系统安全处理装置配置为与中央处理器9100连接的芯片,通过中央处理器的控制来实现分布式支付系统安全处理方法功能。
如图10所示,该电子设备9600还可以包括:通信模块9110、输入单元9120、音频处理器9130、显示器9160、电源9170。值得注意的是,电子设备9600也并不是必须要包括图10中所示的所有部件;此外,电子设备9600还可以包括图10中没有示出的部件,可以参考现有技术。
如图10所示,中央处理器9100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器9100接收输入并控制电子设备9600的各个部件的操作。
其中,存储器9140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器9100可执行该存储器9140存储的该程序,以实现信息存储或处理等。
输入单元9120向中央处理器9100提供输入。该输入单元9120例如为按键或触摸输入装置。电源9170用于向电子设备9600提供电力。显示器9160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器9140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器9140还可以是某种其它类型的装置。存储器9140包括缓冲存储器9141(有时被称为缓冲器)。存储器9140可以包括应用/功能存储部9142,该应用/功能存储部9142用于存储应用程序和功能程序或用于通过中央处理器9100执行电子设备9600的操作的流程。
存储器9140还可以包括数据存储部9143,该数据存储部9143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器9140的驱动程序存储部9144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块9110即为经由天线9111发送和接收信号的发送机/接收机9110。通信模块(发送机/接收机)9110耦合到中央处理器9100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块9110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)9110还经由音频处理器9130耦合到扬声器9131和麦克风9132,以经由扬声器9131提供音频输出,并接收来自麦克风9132的音频输入,从而实现通常的电信功能。音频处理器9130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器9130还耦合到中央处理器9100,从而使得可以通过麦克风9132能够在本机上录音,且使得可以通过扬声器9131来播放本机上存储的声音。
本申请的实施例还提供能够实现上述实施例中的执行主体为服务器或客户端的分布式支付系统安全处理方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的执行主体为服务器或客户端的分布式支付系统安全处理方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
步骤S101:对支付系统的多个性能指标进行建模,并基于预设变分自编码器通过各所述性能指标之间的逻辑依赖关系进行聚合处理,得到对应的所述支付系统的系统级重构序列、指标级重构序列和组件级重构序列。
步骤S102:确定所述系统级重构序列的告警阈值,并根据所述指标级重构序列的系统告警贡献度,确定所述指标级重构序列的告警阈值。
步骤S103:根据所述述系统级重构序列的告警阈值、所述指标级重构序列的告警阈值以及预设异常传播规则,依次确定所述支付系统的系统级健康状态、指标级健康状态以及与所述指标级健康状态对应的组件级健康状态。
从上述描述可知,本申请实施例提供的计算机可读存储介质,通过构建“系统-组件-指标”无歧义的异常传播方式实现三层的一致化告警,能够准确、实时得确定分布式支付系统在系统级、组件级和指标级各自的健康程度,保障支付系统信息安全和运行稳定。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:一种身份认证方法、装置及系统