[發(fā)明專利]一種基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法在審
| 申請(qǐng)?zhí)枺?/td> | 202110592113.5 | 申請(qǐng)日: | 2021-05-28 |
| 公開(公告)號(hào): | CN113326244A | 公開(公告)日: | 2021-08-31 |
| 發(fā)明(設(shè)計(jì))人: | 陳雙武;李江明;楊堅(jiān);楊鋒;徐正歡;吳楓 | 申請(qǐng)(專利權(quán))人: | 中國科學(xué)技術(shù)大學(xué) |
| 主分類號(hào): | G06F16/18 | 分類號(hào): | G06F16/18;G06F16/2458;G06F11/30;G06N3/04 |
| 代理公司: | 北京科迪生專利代理有限責(zé)任公司 11251 | 代理人: | 安麗 |
| 地址: | 230026 安*** | 國省代碼: | 安徽;34 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 日志 事件 關(guān)聯(lián) 關(guān)系 挖掘 異常 檢測(cè) 方法 | ||
1.一種基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法,其特征在于,包括以下步驟:
步驟1、收集系統(tǒng)的原始日志,得到日志事件;按照設(shè)定時(shí)間跨度或者任務(wù)號(hào)將日志事件分割成不同的組,每個(gè)組內(nèi)的日志事件按照生成的時(shí)間組成日志事件序列;
步驟2、根據(jù)關(guān)聯(lián)關(guān)系挖掘,挖掘出與每一種異常具有相關(guān)關(guān)系的日志事件,將日志事件序列中與該異常無關(guān)的日志事件剔除;
步驟3、提取每個(gè)日志事件的語義向量作為該日志事件的特征向量,并在步驟5中作為門控圖神經(jīng)網(wǎng)絡(luò)的輸入;
步驟4、根據(jù)日志事件序列生成雙向的全連接日志事件圖,即每一個(gè)日志事件作為圖中的一個(gè)節(jié)點(diǎn),且每兩個(gè)節(jié)點(diǎn)均相連;
步驟5、使用門控圖神經(jīng)網(wǎng)絡(luò)更新每個(gè)節(jié)點(diǎn)的特征向量,然后使用注意力網(wǎng)絡(luò)對(duì)所有節(jié)點(diǎn)更新后的特征向量進(jìn)行加權(quán)求和,計(jì)算出日志事件圖的全局特征向量,最終通過全連接網(wǎng)絡(luò)進(jìn)行分類檢測(cè),得出系統(tǒng)正常或異常的種類。
2.根據(jù)權(quán)利要求1所述的基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法,其特征在于:所述步驟1中,對(duì)于日志中的每個(gè)日志信息,首先使用Drain日志解析器對(duì)其進(jìn)行模板提取,得到日志模板,也稱日志事件,相同日志模板作為同一日志事件。
3.根據(jù)權(quán)利要求1所述的基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法,其特征在于:所述步驟2,采用FP-tree算法進(jìn)行關(guān)聯(lián)關(guān)系挖掘。
4.根據(jù)權(quán)利要求1所述的基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法,其特征在于:所述步驟4中,根據(jù)日志事件序列生成雙向的全連接日志事件圖具體實(shí)現(xiàn)為:
日志事件作為圖中的節(jié)點(diǎn),每個(gè)日志事件序列S2都建模成一個(gè)日志事件圖Gs=(Vs,Ls)的形式,其中Vs表示圖中日志事件節(jié)點(diǎn)的集合;Ls是邊的集合,即節(jié)點(diǎn)(vs,i-1,vs,i)之間連接關(guān)系的集合,將日志事件的頻率特征加在邊上,為每條邊賦值一個(gè)歸一化加權(quán)值,邊L(vs,i-1,vs,i)加權(quán)值計(jì)算為節(jié)點(diǎn)vs,i的頻率/節(jié)點(diǎn)vs,i-1的頻率,所有邊的加權(quán)值構(gòu)成了日志事件圖的鄰接矩陣As。
5.根據(jù)權(quán)利要求1所述的基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法,其特征在于:所述步驟5中,利用門控圖神經(jīng)網(wǎng)絡(luò)計(jì)算迭代更新節(jié)點(diǎn)的特征向量,直至收斂,得到節(jié)點(diǎn)更新之后的特征向量,更新函數(shù)為:
其中,各自表示t-1時(shí)刻、t時(shí)刻節(jié)點(diǎn)v(s,i)的特征向量,表示t時(shí)刻節(jié)點(diǎn)vs,i的候選特征向量,向量維數(shù)為d,i=1,…,n,n為節(jié)點(diǎn)數(shù)目;As,i表示日志事件圖的鄰接矩陣As中與節(jié)點(diǎn)vs,i對(duì)應(yīng)的兩列包含出邊與入邊,As∈Rn×2n,H∈Rd×2d為控制權(quán)重,zs,i和rs,i分別表示門控圖神經(jīng)網(wǎng)絡(luò)中的重置門和更新門,公式中所有帶有腳標(biāo)的W,U均為神經(jīng)網(wǎng)絡(luò)的權(quán)重參數(shù)。
6.根據(jù)權(quán)利要求1所述的基于日志事件圖和關(guān)聯(lián)關(guān)系挖掘的異常檢測(cè)方法,其特征在于:所述步驟5中,通過全連接網(wǎng)絡(luò)進(jìn)行分類檢測(cè),得出系統(tǒng)正常或異常的種類具體實(shí)現(xiàn)為:
在圖神經(jīng)網(wǎng)絡(luò)的輸出節(jié)點(diǎn)后再加上一個(gè)注意力網(wǎng)絡(luò),輸入為圖神經(jīng)網(wǎng)絡(luò)的輸出向量,經(jīng)過注意力網(wǎng)絡(luò)后,輸出一個(gè)與輸入向量大小相同的輸出向量,作為權(quán)值向量,最后用權(quán)值向量與圖神經(jīng)網(wǎng)絡(luò)的輸出向量做點(diǎn)乘后,即得到全局特征向量,即正常和異常日志事件序列的特征表示,注意力網(wǎng)絡(luò)計(jì)算最終特征向量的公式為:
其中,αi是日志事件Ei的權(quán)重,s是全局特征向量,為圖神經(jīng)網(wǎng)絡(luò)的輸出,qT,W1,c均為神經(jīng)網(wǎng)絡(luò)參數(shù);
最后使用全連接網(wǎng)絡(luò)對(duì)系統(tǒng)狀態(tài)進(jìn)行分類。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國科學(xué)技術(shù)大學(xué),未經(jīng)中國科學(xué)技術(shù)大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110592113.5/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 一種事件通訊裝置及方法
- 動(dòng)態(tài)權(quán)重事件處理系統(tǒng)和方法
- 攻擊檢測(cè)裝置和攻擊檢測(cè)方法
- 基于Unity的事件管理方法及系統(tǒng)
- 事件解析裝置、事件解析系統(tǒng)、事件解析方法及事件解析程序
- 事件解析裝置、事件解析系統(tǒng)、事件解析方法及事件解析程序
- 事件解析裝置、事件解析系統(tǒng)、事件解析方法及事件解析程序
- 熱點(diǎn)事件確定方法及裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 一種樹狀模型中節(jié)點(diǎn)的連接方法及其模型、計(jì)算機(jī)裝置和可讀存儲(chǔ)介質(zhì)
- 一種事件處理方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 關(guān)聯(lián)裝置
- 數(shù)據(jù)關(guān)聯(lián)裝置和數(shù)據(jù)關(guān)聯(lián)方法
- 安全關(guān)聯(lián)
- 設(shè)備關(guān)聯(lián)
- 終端關(guān)聯(lián)裝置和終端關(guān)聯(lián)方法
- 關(guān)聯(lián)方法和關(guān)聯(lián)設(shè)備
- 關(guān)聯(lián)方法和關(guān)聯(lián)設(shè)備
- 關(guān)聯(lián)方法和關(guān)聯(lián)設(shè)備
- 關(guān)聯(lián)分析方法和關(guān)聯(lián)分析系統(tǒng)
- 報(bào)文關(guān)聯(lián)方法、報(bào)文關(guān)聯(lián)裝置及報(bào)文關(guān)聯(lián)系統(tǒng)
