背景

告警系統(tǒng)是運維人員的“眼”，是維護生產(chǎn)安全的第一層保障。傳統(tǒng)基于規(guī)則的告警系統(tǒng)是通過同比、環(huán)比、差分、設置閥值等手段來判斷當前指標是否存在異常，但往往不盡人意，存在維護成本高、準確率低等問題。隨著人工智能的興起，大數(shù)據(jù)運維也迎來了新的契機，同時也對自身告警系統(tǒng)的實時性提出了更高的需求。

于是我們結(jié)合Tensorflow深度學習算法，基于大數(shù)據(jù)平臺天然原生的分布式流處理框架Spark，打造了一套高覆蓋性與強實時性的告警系統(tǒng)，有效的減少了人工規(guī)則的參與，并降低了維護成本。

本文主要從“基于深度學習的時序預測算法”和“算法結(jié)合Spark流處理的實時告警”兩個方面對本套告警系統(tǒng)進行介紹?？蚣軋D如下圖所示：

一、基于深度學習的時序預測算法

使用算法監(jiān)控時序數(shù)據(jù)的常規(guī)思路，是通過本時刻實時值與用前幾個時間點的時序數(shù)據(jù)對本時刻的預測值進行比較。因此，告警的第一步是做好時序預測工作，即時序分析。

引用一段百度文庫對時序分析原理的介紹：“承認事物發(fā)展的延續(xù)性, 事物的現(xiàn)實是歷史發(fā)展的結(jié)果，而事物的未來又是現(xiàn)實的延伸，事物的過去和未來是有聯(lián)系的。時間序列分析預測法的哲學依據(jù)，是唯物辯證法中的基本觀點，即認為一切事物都是發(fā)展變化的，事物的發(fā)展變化在時間上具有連續(xù)性。”

時序分析的過程分為以下三個操作步驟：

• 第一步：數(shù)據(jù)預處理;
• 第二步：核心指標分類;
• 第三步：選擇算法訓練模型。

下面對以上步驟展開敘述。

1、數(shù)據(jù)預處理

利用好數(shù)據(jù)的前提是數(shù)據(jù)是好用的，因此所有的數(shù)據(jù)分析工作第一步一定要先經(jīng)過數(shù)據(jù)預處理，主要包括數(shù)據(jù)清洗和特征提取。

時序預測基于歷史數(shù)據(jù)預測未來，歷史數(shù)據(jù)中的“空值”、“異常值”將會極大的影響到預測的質(zhì)量，因此在訓練預測模型前需要對訓練集時序數(shù)據(jù)進行清洗?？梢韵葘?shù)據(jù)繪圖直觀的看一下是否有周期性，然后對于空值采取補齊的方式，具體補齊方式可以根據(jù)原序列有明顯周期性則可以用歷史多個周期在這一個時間點的平均值，無明顯周期性則可以用前后兩點的均值代替，對于異常值同理。

時序分析的特征提取，業(yè)界多采用滑動窗口時序特性分析的方法，也即多個時間窗口之間數(shù)據(jù)做統(tǒng)計上的均值、方差、協(xié)方差等對比，分解出時間序列的成分。時間序列的成分則分為3種：

• 長期趨勢(T)：一段時間后序列總體呈現(xiàn)的上升或下降的趨勢;
• 季節(jié)性(S)：周期性固定的變化;
• 余項(I)：時間序列除去趨勢、季節(jié)性后的偶然性波動，稱為隨機性(random)，也稱不規(guī)則波動，是常態(tài)。

長期趨勢(T)

季節(jié)波動(S)

余項(I)

不同于分類場景中將提取的特征用于模型訓練，這里特征提取的季節(jié)波動和余項都將服務于下一步的指標分類。

2、核心指標分類

對核心指標的時序預測，則需要事先分解時序數(shù)據(jù)的成分并進行預分類。參照業(yè)界時序預測指標分類的方式，用是否具有周期性和是否穩(wěn)定兩個標準可分為以下四類，以集群環(huán)境真實指標圖解說明：

(1)周期性穩(wěn)定

(2)周期性非穩(wěn)定

(3)非周期性穩(wěn)定

(4)非周期性非穩(wěn)定

從算法角度上，我們提出了一種基于時序分解，對周期分量進行觀察并對余項進行方差分析的指標類型判定方式：

Step 1：時序分解算法將時序數(shù)據(jù)分解出“趨勢分量”、“周期分量”和“余項”

通過觀察周期分量，上述第三張圖(Seasonality)具有明顯規(guī)律性波動才被認為具有周期性。

Step 2：對時序分解法分解出的“余項”做方差分析

首先對“余項”進行預處理，采用“歸一化”的處理方式將“余項”歸一化到[0,1]區(qū)間。再計算出“歸一化余項”的方差，只有方差在一定閾值以內(nèi)才被認定為穩(wěn)定。具體閾值的大小沒有一個統(tǒng)一標準，在對多達近百個指標進行如上分析，最終閾值取了0.2。

至此，完成黃金指標的類型分類。對于非周期性指標的監(jiān)控，業(yè)界內(nèi)暫時也沒有一個好的方案，主要還是采用同比環(huán)比、差分、設置閥值等經(jīng)典規(guī)則方法。同一種方法，不可能解決所有類型指標的監(jiān)控，使用新算法并不意味著完全摒棄一些舊方式，這里不做進一步探討。對于周期性非平穩(wěn)序列，則可以通過粗粒度時窗，比如原本1分鐘一個的點，現(xiàn)統(tǒng)計每5分鐘的值進行求和或者求均，都可以處理成周期平穩(wěn)序列。因此，本文主要針對通過以上方式分類和處理得到的周期性平穩(wěn)數(shù)據(jù)。

3、基于LSTM算法的時序預測

時序預測的算法整體上有兩大類：基于統(tǒng)計學的傳統(tǒng)機器學習算法(注：簡稱機器學習算法，下同);基于神經(jīng)網(wǎng)絡的深度學習算法。常用的機器學習算法，如指數(shù)平滑法(holt-winters)、移動平均自回歸模型(ARIMA)以及添加了周期性成分的季節(jié)性移動平均自回歸模型(SARIMAX);常用的深度學習算法，如深度神經(jīng)網(wǎng)絡(DNN)、循環(huán)神經(jīng)網(wǎng)絡(RNN)以及解決了RNN存在長期依賴問題的長短時記憶網(wǎng)絡(LSTM)。

考慮到平臺部署、穩(wěn)定性等實用性因素，并對統(tǒng)計學模型兩種算法ARIMA、SARIMAX跟深度學習模型LSTM算法的實時性進行對比，在真實環(huán)境下，進行多次對比取均值，得出以下結(jié)論：

可以看到，LSTM模型不僅在訓練跟預測上所花費的時間均遠低于其他兩個模型，其他兩個模型的實時性無法滿足需求;同時在資源消耗以及丟失值敏感問題上也要優(yōu)于其他。因此，最終選擇的是深度學習算法——LSTM。

1)LSTM簡介

近幾年，隨著計算能力的迅猛提升，上個世紀末研究到一半的深度學習(Deep Learning，簡稱DL)在今天重新“翻熱”，并在各個領域大放異彩。深度學習模仿大腦的神經(jīng)元之間傳遞，處理信息的模式，對其算法思想的理解需要有一定機器學習的基礎，下面只做簡要介紹。

深度學習隸屬于機器學習，與基于人工規(guī)則定義特征的傳統(tǒng)機器學習相比，DL明確了特征學習的重要性。簡單的深度學習算法有深度神經(jīng)網(wǎng)絡DNN，它通過逐層特征變換，將樣本在原空間的特征表示變換到一個新特征空間，通過組合低層特征形成更加抽象的高層表示屬性類別或特征。

隨著深度學習的進一步研究，除了DNN以外還有較多應用于圖像識別的卷積神經(jīng)網(wǎng)絡CNN以及自然語言處理NLP常用到的循環(huán)神經(jīng)網(wǎng)絡RNN等等。RNN又因為其輸入是同一事物的多個時間點的數(shù)據(jù)，通過不停的將信息循環(huán)操作，保證信息持續(xù)存在，從而可以利用前面的事件信息的特性被應用于時序分析。本文中的LSTM是一種特殊的循環(huán)神經(jīng)網(wǎng)絡RNN，它既有RNN保存歷史信息的功能，還解決了普通RNN存在的梯度消失跟梯度爆炸問題。LSTM也有很多變種，這里只給出樸素LSTM的網(wǎng)絡結(jié)構(gòu)圖。

2)LSTM模型訓練操作過程

LSTM 算法的時序預測方式是先基于指標的歷史數(shù)據(jù)訓練出模型，再根據(jù)當前數(shù)據(jù)預測指標未來。以下具體的操作使用的是Tensorflow框架，Tensorflow是Tensor(張量：可類比多維數(shù)組)以數(shù)據(jù)流圖的形式進行數(shù)值計算。

Step 1：已經(jīng)預處理過的數(shù)據(jù)轉(zhuǎn)換為Tensorflow可接受的張量形式

• A:數(shù)據(jù)歸一化(方便模型訓練快速收斂);
• B:訓練數(shù)據(jù)轉(zhuǎn)換格式(X：x(1)，……，x(n);Y：x(n+1));
• C:Reshape成指定形狀的張量。

以上過程舉例說明，假設有時序數(shù)據(jù)(1，2，3，4，5，6，7，8，9)，設n為3。那么對這個序列進行處理得到(1，2，3;4)，(2，3，4;5)，……，(7，8，9;10)共7個訓練樣本。然后再轉(zhuǎn)換為張量格式類似下圖所示：

兩個6維三階張量X

兩個1維二階張量Y

Step2：定義網(wǎng)絡結(jié)構(gòu)

• A:選擇網(wǎng)絡：這里使用的是LSTM網(wǎng)絡;
• B:設置參數(shù)：輸入層(層數(shù)，隱層神經(jīng)元個數(shù))、輸出層、timestep;
• C:初始化各個神經(jīng)元之間的連接(權(quán)重)跟偏置。

Step3：網(wǎng)絡訓練

• A:設置優(yōu)化器、損失函數(shù)、學習率、激活函數(shù)…;
• B:設置訓練方式(epoch，batch_size)。

Step4：生產(chǎn)預測

• A:保存模型;
• B:復用模型進行預測，注意需要反歸一化。

經(jīng)過以上過程，即完成了LSTM模型的訓練，此時得到的網(wǎng)絡結(jié)構(gòu)格式如下(這里以一個簡單的單隱藏層的LSTM網(wǎng)絡進行圖解，非集群使用真實模型)：

二、算法結(jié)合Spark流處理的實時告警

上一章節(jié)中，通過深度學習算法有效的對指標進行預測，本章節(jié)則將其通過與Spark流處理框架的結(jié)合應用到告警系統(tǒng)的生產(chǎn)部署中。限于Spark已有的機器學習庫MLlib里沒有深度學習算法，以及大數(shù)據(jù)組件跟深度學習算法之間的語言兼容問題。因此嘗試在Spark中調(diào)用訓練好的Tensorflow模型，即“Tensorflow離線訓練，Spark實時預測“的AI生產(chǎn)部署模式。

具體分為以下幾步：模型上傳至HDFS;Yarn調(diào)度Spark Streaming加載PB模型;數(shù)據(jù)的實時消費與告警。涉及到以下引擎層和Hadoop底層：

1、模型上傳至HDFS

把一章節(jié)中的深度學習算法模型輸出為可上傳至HDFS文件系統(tǒng)格式的文件并上傳至集群HDFS。首先對深度學習模型的保存方式做了簡單對比分析：

通過以上對比分析，根據(jù)場景適用性、接口豐富性、開發(fā)語言兼容性等優(yōu)勢，最終選用PB格式的保存方式。PB模型實質(zhì)是一個PB文件，是深度學習算法最終生成的一個二進制文件，需要Tensorflow框架進行讀取、編譯，最后在程序中形成一個預測模型。對其上傳則通過crontab定期執(zhí)行上傳即可，上傳周期可調(diào)。

2、Spark加載PB模型

首先將PB文件存儲在HDFS上，通過Spark Streaming程序可以直接讀取到HDFS上的PB文件，然后利用Tensorflow框架將所有讀取到的PB文件，還原成之前訓練好的神經(jīng)網(wǎng)絡模型，用于深度學習的預測。因為在生產(chǎn)環(huán)境中，程序是On Yarn模式，以此來保證程序的高可用和高性能，所以所有的PB模型都是通過Spark程序的Driver組件統(tǒng)一生成，然后在向下分發(fā)至各個Executor，預測過程將在各個Job中執(zhí)行。

此外，因為選用的是Spark Streaming框架，所以支持動態(tài)PB模型加載，即如果想更新PB模型，可以直接替換HDFS上的PB文件，程序即可識別新的PB文件，生成新的PB模型為后面的數(shù)據(jù)進行預測。動態(tài)更新PB模型遍于調(diào)整預測規(guī)則，根據(jù)指標數(shù)據(jù)的實時變動，更加有效的更改調(diào)節(jié)算法策略，使得預測結(jié)果更加精準。

整套程序上基于Spark Streaming框架開發(fā)的，所以在實時性能夠得以保證，在數(shù)據(jù)平臺搭建完善的基礎上，所有的實時數(shù)據(jù)指標信息都會存放在Kafka消息隊列中。程序在實時消費Kafka獲取當前指標數(shù)據(jù)，每一次預測都會根據(jù)當前的指標數(shù)據(jù)計算，得到的預測結(jié)果會更加貼合真實值。

上圖為Spark Streaming基本內(nèi)部原理，SparkStreaming從實時數(shù)據(jù)流接入數(shù)據(jù)，再將其劃分為一個個小批量供后續(xù)Spark engine處理，所以實際上，Spark是按一個個小批量來處理數(shù)據(jù)流的。這正是符合我們的實際應用場景，數(shù)據(jù)實時接收，一批批處理，再結(jié)合深度學習算法，實現(xiàn)了智能AI實時預測的功能。

3、數(shù)據(jù)的實時消費與告警

為防止瞬時異常導致的模型失真問題，因此需要有個替換邏輯來保證模型的穩(wěn)定。我們利用了外部應用Redis，因Redis是內(nèi)存數(shù)據(jù)庫，其速度快、多類型存儲以及其他豐富特性，能夠完全支持我們的存儲需求。

對每一個需要預測的指標數(shù)據(jù)設計了三個不同的數(shù)據(jù)集，分別為forecast隊列、real隊列和pb隊列：

• forecast隊列即為預測值隊列，此隊列中存放的是根據(jù)深度學習算法生成的預測值;
• real隊列即為真實值隊列，此隊列中存放的是從Kafka消息隊列中消費得來的真實數(shù)據(jù);
• pb隊列即為模型輸入隊列，此隊列是用來灌輸?shù)絇B模型中的數(shù)據(jù)隊列。

三個隊列互相協(xié)作，保證模型的穩(wěn)定。首先在程序第一次啟動時，需要先積累足夠多的原始數(shù)據(jù)，填入到real隊列和pb隊列中，當積累了t分鐘后，有了足夠多的數(shù)據(jù)可以預測時，將pb隊列中的數(shù)據(jù)填入PB模型中，預測t+1分鐘的數(shù)據(jù)，將t+1分鐘的預測值填入到forecast隊列中。

在t+1分鐘時，拿到了t+1分鐘的真實值，用t+1分鐘的真實值與t分鐘預測出來的t+1分鐘的預測值根據(jù)特定的比對規(guī)則比對，如果真實值與預測值符合比對要求，那么將t+1分鐘的真實值填入到pb隊列中，反之則用t+1分鐘的預測值填入到pb隊列中，并且保持pb模型要求的長度，去掉pb隊列中時間最早的數(shù)據(jù)，用替換更改過后的pb隊列填入到PB模型中，預測t+2分鐘的預測值。

當以上步驟進行了足夠多的時候，那么real隊列與forecast隊列都已經(jīng)積累的足夠多的數(shù)據(jù)，并且時間都會互相匹配，即real隊列的數(shù)據(jù)為t分鐘至t+n分鐘的真實值，forecast隊列的數(shù)據(jù)為t+1分鐘至t+n+1分鐘的預測值，那么在t+n+1分鐘時，拿到了t+n+1分鐘的真實數(shù)據(jù)，即可按照每個時間的真實值和預測值互相對比，判斷此指標數(shù)據(jù)是否出現(xiàn)異常，如果比對結(jié)果中的異常時間點超過既定個數(shù)，那么此指標則被判定有異常發(fā)生，立刻會發(fā)出告警，提醒運維人員檢查修復。

對于每個隊列的長度和應用都做成可隨時更改的配置項，里面有詳細的要求和規(guī)則來規(guī)定和約束每個不同的預測模型的數(shù)據(jù)隊列便于模型定制化調(diào)整，真正的實現(xiàn)了特定預測，特殊預測和準確預測。

三、總結(jié)

整個告警系統(tǒng)平臺，采用深度學習算法提高了預測的準確性，再結(jié)合Spark Streaming流處理框架保障了告警的實時性，減少了人為規(guī)則的參與，降低運維人員維護的時間投入。

從2019年年底正式上線，現(xiàn)已穩(wěn)定支撐某運營商包括Kafka、HBase等多個大數(shù)據(jù)技術(shù)棧的核心指標業(yè)務的實時監(jiān)控。從平臺正式運行至今，總的查全率能達到98%以上;由于核心業(yè)務更注重查全率，因此查準率稍低，查準率大約維持在90%的水平;同時集群環(huán)境提供的容錯性，以及Spark Streaming流處理提供的實時消費能力極大的降低了告警的時間延遲，理論上可以達到與指標采集頻率相差毫秒級的延遲。