[發明專利]基于日志的復雜軟件系統異常行為檢測方法有效
| 申請號: | 201710553032.8 | 申請日: | 2017-07-07 |
| 公開(公告)號: | CN107391353B | 公開(公告)日: | 2020-07-28 |
| 發明(設計)人: | 鮑亮;魯沛瑤;栗殷;路杰;陳平 | 申請(專利權)人: | 西安電子科技大學 |
| 主分類號: | G06F11/34 | 分類號: | G06F11/34;G06F11/30;G06F11/36 |
| 代理公司: | 陜西電子工業專利中心 61205 | 代理人: | 程曉霞;王品華 |
| 地址: | 710071 陜*** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 日志 復雜 軟件 系統 異常 行為 檢測 方法 | ||
1.一種基于日志的復雜軟件系統異常行為檢測方法,其特征在于,包含有如下步驟:
步驟1:分析系統源碼:將被檢測的復雜軟件系統的源碼作為輸入,使用抽象語法樹提取源碼中可用信息,獲得源碼的控制流圖和日志模板集,其中日志模板為日志打印語句的結構化定義;根據源碼的控制流圖,可得日志模板間的可達關系;
步驟2:解析日志語句:對標準化的日志消息進行建模,其信息包括日志行號、級別、時間戳和日志模板信息等;采集被檢測的復雜軟件系統產生的日志語句,進行有效信息提取,并匹配相應的日志模板,得到完整的日志消息;
步驟3:抽取執行軌跡:結合解析得到的日志消息集合,基于日志模板間的可達關系進行日志執行軌跡提取,并做相應的處理,得到執行軌跡集合;
步驟4:異常檢測:采用異常概率樹的方法分析執行軌跡集合,將執行軌跡當作數據序列,根據序列與整個網絡之間的相似度來判斷序列數據中是否存在異常,結合日志執行軌跡的拓撲結構和出現的次數進行異常指數的計算。
2.根據權利要求1所述的一種基于日志的復雜軟件系統異常行為檢測方法,其特征在于,步驟1所述分析系統源碼,獲取日志打印語句間的可達關系,具體包括有如下步驟:
1.1定義控制流圖、可達關系圖和日志模板的表示形式
帶有函數調用信息的控制流圖,定義為GF=(VF,EF)表示;
日志模板可達關系圖,定義為GL=(VL,EL)表示;
日志模板:日志模板為系統源代碼中日志輸出語句通用的抽象結構,定義為四元組ls=(id,loc,cons,vars)表示;
1.2使用控制流分析實現源碼S向GL的轉換具體包括有如下步驟:
1.2.1以文件為單位,使用抽象語法樹將系統源碼轉換為AST節點;
1.2.2以函數入口為起點,遞歸遍歷源碼S中的所有函數,獲得以函數為單位的控制流圖Gc=(Vc,Ec),重復執行該步驟獲得源碼S的控制流圖集合CFGs{G1,G2,...,Gn};
1.2.3創建包含函數調用的控制流圖GF=(VF,EF),其中VF={G1.VC∪G2.VC∪…∪Gn.VC},EF={G1.EC∪G2.EC∪…∪Gn.EC};
1.2.4給定任意兩個和如果存在從節點到另一節點的函數調用,為GF.EF添加邊重復該步驟至所有函數被處理完;
1.2.5為日志模板創建可達關系圖GL=(VL,EL),其中GL.VL=LS,LS={ls1,ls2,…,lsm}是日志模板集合;
1.2.6為任意兩個節點在圖GF上使用Floyd-Warshall算法檢測節點和節點是否可達;如果可達,為GL.EL添加邊重復該步驟至圖GL上的所有節點被處理。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西安電子科技大學,未經西安電子科技大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710553032.8/1.html,轉載請聲明來源鉆瓜專利網。
