准实时异常检测系统

本文涉及的产品
实时计算 Flink 版,5000CU*H 3个月
简介: 本文为您介绍利用实时计算设计准实时(延迟在100ms以内)异常检测系统。 背景介绍 比如一家银行要做一个实时的交易检测,判断每笔交易是否是正常交易:如果用户的用户名和密码被盗取,系统能够在盗取者发起交易的瞬间检测到风险来决定是否冻结这笔交易。

案例与解决方案汇总页:
阿里云实时计算产品案例&解决方案汇总

本文为您介绍利用实时计算设计准实时(延迟在100ms以内)异常检测系统。

背景介绍

比如一家银行要做一个实时的交易检测,判断每笔交易是否是正常交易:如果用户的用户名和密码被盗取,系统能够在盗取者发起交易的瞬间检测到风险来决定是否冻结这笔交易。这种场景对实时性的要求非常高,否则会阻碍用户正常交易,所以叫做准实时系统。

由于行动者可能会根据系统的结果进行调整,所以规则也会更新,实时计算和离线的处理用来研究规则是否需要更新以及规则如何更新。

准实时异常检测系统架构与模块综述

准实时异常检测系统架构: 
系统架构
  • 在线系统:完成在线检测功能,可以是Web服务的形式:
    • 针对单条事件进行检测。
    • 根据全局上下文进行检测,比如全局黑名单。
    • 根据用户画像或近期一段时间的信息进行检测,比如最近20次交易时间与地点。
  • Kafka:把事件与检测的结果及其原因发送到下游。
  • 实时计算近实时处理
    • 汇总统计全局的检测状态,并做同期对比,比如某条规则的拦截率突然发生较大变化、全局通过率突然增高或降低等等。
    • 近实时的更新用户的属性,比如最近的交易时间和地点。
  • Maxcompute/Hadoop存储与离线分析:用于保留历史记录,并由业务&开发人员探索性的研究有没有新的模式。
  • HBase:保存用户画像。

关键模板

  • 在线检测系统

    以Web服务器为例,它的主要任务就是检阅到来的事件并反馈同意或拒绝。

    针对每一个进入的事件,可以进行三个层次的检测:

    • 事件级检测

      只用该事件本身就能完成检测,比如格式判断或基本规则验证(a属性必须大于10小于30,b属性不能为空等等)。

    • 全局上下文检测

      在全局信息中的上下文中,比如存在一个全局的黑名单,判断该用户是否在黑名单中。或者某属性大于或小雨全局的平均值等。

    • 画像内容检测

      针对该行动者本身的跨多条记录分析,比如该用户前100次交易都发生在杭州,而本次交易发生在北京且距上次交易只有10分钟,那就有理由发出异常信号。

    所以这个系统至少要保存三方面的信息,

    • 整个检测的过程
    • 进行判断的规则
    • 所需的全局数据

    除此之外,根据需要决定是否把用户画像在本地做缓存。

  • Kafka

    Kafka主要用来把检测的事件、检测的结果、拒绝或通过的原因等数据发送到下游,供实时计算和离线计算进行处理。

  • 实时计算近实时处理

    使用Kafka处理后的数据针对当前的策略进行新一轮的防御性检测。

    系统应该关注一些宏观指标,比如总量,平均值,某个群体的行为等等。这些指标发生了变化往往表示某些规则已经失效。

    举例如下:

    • 某条规则之前的拦截率是20%,突然降低到了5%;
    • 某天规则上线后,大量的正常用户均被拦截掉了;
    • 某个人在电子产品上的花费突然增长了100倍,但同时其他人也有很多类似的行为,这可能具有某种说得通的解释(比如iphone上市);
    • 某人连续几次行为,单次都正常,但不应该有这么多次,比如一天内连续买了100次同一产品;
    • 识别某种组合多条正常行为的组合,这种组合是异常的,比如用户买菜刀是正常的,买车票是正常的,买绳子也是正常的,去加油站加油也是正常的,但短时间内同时做这些事情就不是正常的。通过全局分析能够发现这种行为的模式。

    业务人员根据实时计算产生的近实时结果能够及时发现规则有没有问题,进而对规则作出调整。

  • Maxcompute/Hadoop离线存储于探索性分析

    通过脚本、SQL或机器学习算法来进行探索性分析,发现新的模型,比如通过聚类算法把用户进行聚类、对行为打标后进行模型的训练等等。

  • HBase用户画像

    HBase保存着实时计算&离线计算产生的用户画像,供检测系统使用。之所以选择HBase主要是为了满足实时查询的需求。

总结

上面给出了一个准实时异常检测系统的概念性设计,业务逻辑虽然简单,但整个系统本身是非常完整且具有良好扩展性的,您可以在这个基础上进一步去完善。

目录
相关文章
|
消息中间件 自然语言处理 容灾
实时或者准实时的说法
假期重新把之前在新浪博客里面的文字梳理了下,搬到这里。本文从个人理解出发,探探实时或者准实时搜索。
1885 0
|
2月前
|
数据采集 存储 监控
如何进行数据收集和分析
如何进行数据收集和分析
136 1
|
2月前
|
机器学习/深度学习 存储 数据挖掘
Hologres 与机器学习的融合:为实时分析添加预测性分析功能
【9月更文第1天】随着数据科学的发展,企业越来越依赖于从数据中获取洞察力来指导决策。传统的数据仓库主要用于存储和查询历史数据,而现代的数据仓库如 Hologres 不仅提供了高性能的查询能力,还能够支持实时数据分析。将 Hologres 与机器学习技术相结合,可以在实时数据流中引入预测性分析,为企业提供更深入的数据洞见。本文将探讨如何将 Hologres 与机器学习集成,以便实现实时的预测性分析。
84 4
|
5月前
|
人工智能 运维 监控
实现全景化应用监控的基础:关联分析
【6月更文挑战第16天】应用运维智能化应对复杂度挑战,借助AI算法分析数据、做决策。智能运维需统一监控视图,关联分析如CMDB信息、网络流量和代码链路。此外,利用AI计算关联关系,通过时间序列分析和概率图模型挖掘隐藏的故障模式,提升故障定位和决策效率。
|
6月前
|
人工智能 运维 监控
实现全景化应用监控——关联分析
【2月更文挑战第29天】智能化应用运维借助AI算法处理复杂系统问题,需要数据治理平台整合分散的监控系统,形成统一的全景监控视图。关键方法包括:1) 读取CMDB信息以理解IT组件关系;2) 监控网络流量解析服务交互;3) 使用APM追踪代码链路;4) 应用AI算法挖掘隐藏关联关系,通过时间序列分析和因果推理模型识别异常和故障原因。
|
6月前
|
SQL C++
数仓之归因分析
数仓之归因分析
|
SQL 分布式计算 调度
开源大数据分析实验(1)——简单用户画像分析之采集数据
本场景主要介绍基于海量日志数据进行简单用户画像分析为背景,如何通过使用DataWorks完成数据采集 、加工数据、配置数据质量监控和数据可视化展现等任务。
|
运维
《百度大规模时序指标自动异常检测实战》电子版地址
百度大规模时序指标自动异常检测实战
91 0
《百度大规模时序指标自动异常检测实战》电子版地址
|
监控 开发者
网站流量日志分析—分析指标和分析模型—漏斗分析模型|学习笔记
快速学习网站流量日志分析—分析指标和分析模型—漏斗分析模型
139 0
网站流量日志分析—分析指标和分析模型—漏斗分析模型|学习笔记
|
监控 搜索推荐 数据挖掘
网站流量日志分析—分析指标和分析模型—基础、来源分析模型|学习笔记
快速学习网站流量日志分析—分析指标和分析模型—基础、来源分析模型
194 0
网站流量日志分析—分析指标和分析模型—基础、来源分析模型|学习笔记