CN111104383B - 一种检测事件日志突发漂移变化的方法及装置 - Google Patents

一种检测事件日志突发漂移变化的方法及装置 Download PDF

Info

Publication number
CN111104383B
CN111104383B CN201910390569.6A CN201910390569A CN111104383B CN 111104383 B CN111104383 B CN 111104383B CN 201910390569 A CN201910390569 A CN 201910390569A CN 111104383 B CN111104383 B CN 111104383B
Authority
CN
China
Prior art keywords
direct successor
log
event log
window
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910390569.6A
Other languages
English (en)
Other versions
CN111104383A (zh
Inventor
闻立杰
林雷蕾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN201910390569.6A priority Critical patent/CN111104383B/zh
Publication of CN111104383A publication Critical patent/CN111104383A/zh
Application granted granted Critical
Publication of CN111104383B publication Critical patent/CN111104383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/03Credit; Loans; Processing thereof
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本发明实施例提供一种检测事件日志突发漂移变化的方法及装置,所述方法包括:分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定事件日志发生突发漂移变化。所述装置执行上述方法。该方法及装置,能够准确、高效地检测突发漂移变化。

Description

一种检测事件日志突发漂移变化的方法及装置
技术领域
本发明涉及日志处理技术领域,尤其涉及一种检测事件日志突发漂移变化的方法及装置。
背景技术
随着信息技术的发展,业务模型(例如贷款申请业务的流程模型)涉及较多的事件日志,需要准确地检测这些事件日志突发漂移变化的时间点,从而尽早发现事件日志中是否存在某些异常状况。
现有技术利用假设检验的方法来检测事件日志中突发漂移变化。该技术的步骤是:首先,人为设定两个窗口的大小;然后,分别读取两个窗口中的日志轨迹、并抽取出Run特征;最后,利用假设检验的方法判定两个窗口中Run特征的分布是否发生了变化。如果是,则两个窗口的交叉点就是突发漂移变化的变化点(两个窗口是前后紧挨着的)。如果不是,则两个窗口同时往后移动一步(在日志中,用一条轨迹的距离代表一步)。该方法的缺陷是:1、耗时,由于要连续抽取轨迹的Run特征,并且计算特征的分布,所以耗时较多;2、准确率不高,由于Run特征是需要提取轨迹中的四种变化量,因此容易导致特征过于冗余,不敏感。
因此,如何避免上述缺陷,准确、高效地检测事件日志突发漂移变化,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种检测事件日志突发漂移变化的方法及装置。
本发明实施例提供一种检测事件日志突发漂移变化的方法,包括:
分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;
通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;
若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本发明实施例提供一种检测事件日志突发漂移变化的装置,包括:
获取单元,用于分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;
检测单元,用于通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;
确定单元,用于若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本发明实施例提供一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,
所述处理器执行所述程序时实现如下方法步骤:
分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;
通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;
若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法步骤:
分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;
通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;
若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本发明实施例提供的检测事件日志突发漂移变化的方法及装置,通过检测窗口检测参照窗口中的所有日志轨迹的突发漂移特征,如果检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定事件日志发生突发漂移变化,能够准确、高效地检测事件日志突发漂移变化。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明检测事件日志突发漂移变化的方法实施例流程图;
图2为本发明实施例跳跃式移动参照窗口至变化点的示意图;
图3为本发明检测事件日志突发漂移变化的装置实施例结构示意图;
图4为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明检测事件日志突发漂移变化的方法实施例流程图,如图1所示,本发明实施例提供的一种检测事件日志突发漂移变化的方法,包括以下步骤:
S101:分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹。
具体的,装置分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹。参照窗口RW(Reference window)的大小代表窗口里面日志轨迹的数量(如果RW=100,则代表窗口里面有100条日志轨迹)、预设数量的具体数值可根据实际情况自主设置。检测窗口DW(Detection window)可以理解为紧挨在参照窗口RW之后,用于检测参照窗口RW中日志轨迹的窗口。检测窗口DW的大小可根据实际情况自主设置。
S102:通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系。
具体的,装置通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系。对于新的直接后继关系举例说明如下:
参照窗口RW中的日志轨迹1包含有10个直接后继关系、日志轨迹2包含有20个直接后继关系,以此类推,并对所有直接后继关系取并集处理(去重)得到100条日志轨迹对应的50个直接后继关系。如果检测窗口DW中出现一个直接后继关系(例如日志轨迹4中的某个直接后继关系)不在上述RW中的50个直接后继关系之内,则该日志轨迹4中的某个直接后继关系为新的直接后继关系。
对于消失的直接后继关系举例说明如下:
参照上述举例,如果检测窗口DW中出现了49个直接后继关系(例如日志轨迹14中的某个直接后继关系在参照窗口RW中出现过、在检测窗口DW中没有出现),则该日志轨迹14中的某个直接后继关系为消失的直接后继关系。
需要说明的是:新的直接后继关系和消失的直接后继关系可以在检测窗口DW对参照窗口RW的检测中同时发生。对于新的直接后继关系和消失的直接后继关系的判定没有先后顺序,只要出现至少其一,都可认为发生了突发漂移现象。
S103:若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
具体的,装置若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。可以逐步移动检测窗口DW,判断是否存在新的直接后继关系或消失的直接后继关系。如果不存在,继续移动检测窗口DW。如果存在,则判定发生了突发漂移变化。两种特征(即新的直接后继关系和消失的直接后继关系)的判定没有先后顺序,只要出现一种,都认为发生了突发漂移变化。
本发明实施例提供的检测事件日志突发漂移变化的方法,通过检测窗口检测参照窗口中的所有日志轨迹的突发漂移特征,如果检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定事件日志发生突发漂移变化,能够准确、高效地检测事件日志突发漂移变化。
在上述实施例的基础上,所述确定所述事件日志发生突发漂移变化的步骤之后,所述方法还包括:
获取确定发生突发漂移变化时的变化点,抛弃所述变化点之前的所有存储信息,并跳跃式移动所述参照窗口至所述变化点。
具体的,装置获取确定发生突发漂移变化时的变化点,抛弃所述变化点之前的所有存储信息,并跳跃式移动所述参照窗口至所述变化点。图2为本发明实施例跳跃式移动参照窗口至变化点的示意图,如图2所示,对于发生突发漂移变化为存在新的直接后继关系的情况,对应图2中“基于new发现漂移点i”,参照图2,DW中的第4条日志轨迹包含有新的直接后继关系,该变化的时间点为i,则将图2中的RW(对应参照窗口RW)跳跃式移动至i,同理,然后检测窗口DW也会跳跃式移动到RW后面,紧挨着RW。
对于发生突发漂移变化为存在消失的直接后继关系的情况,对应图2中“基于disappeared发现漂移点j”如果存在消失的直接后继关系(图2未示出),如图2所示,DW检测第一条日志轨迹对应的时间点为j,则将图2中的RW跳跃式移动至j,同理,然后检测窗口DW也会跳跃式移动到RW后面,紧挨着RW。检测到变化点后,本发明实施例确定业务过程已经发生了变化,因此,原有信息都不能反映现有业务内容,为了节约存储空间,利用遗忘机制抛弃原有存储信息,以发生突发漂移变化为存在新的直接后继关系的情况为例,即抛弃掉的原有存储信息为i时刻之前的所有时间点的信息;对于发生突发漂移变化为存在消失的直接后继关系的情况不再赘述。
需要说明的是:为了使本发明实施例适用于在线检测场景(事件日志是源源不断产生),在执行完该步骤后,可以跳转到执行上述S102的步骤,即重新检测突发漂移特征,重新移动检测窗口DW继续检测。如果是离线场景的突发漂移检测,执行完成S103后即可终止该方法。
本发明实施例提供的检测事件日志突发漂移变化的方法,通过跳跃式移动参照窗口至发生突发漂移变化时的变化点,能够快速检测事件日志突发漂移变化。
在上述实施例的基础上,所述获取确定发生突发漂移变化时的变化点,包括:
若判断获知发生突发漂移变化为存在新的直接后继关系,则将所述检测窗口中发生新的直接后继关系对应的日志轨迹的时间点作为所述变化点。
具体的,装置若判断获知发生突发漂移变化为存在新的直接后继关系,则将所述检测窗口中发生新的直接后继关系对应的日志轨迹的时间点作为所述变化点。可参照上述说明,不再赘述。
若判断获知发生突发漂移变化为存在消失的直接后继关系,则将所述检测窗口中的第一条日志轨迹的时间点作为所述变化点。
具体的,装置若判断获知发生突发漂移变化为存在消失的直接后继关系,则将所述检测窗口中的第一条日志轨迹的时间点作为所述变化点。可参照上述说明,不再赘述。
本发明实施例提供的检测事件日志突发漂移变化的方法,进一步能够快速检测事件日志突发漂移变化。
在上述实施例的基础上,所述分别获取检测事件日志的参照窗口和检测窗口的步骤之前,所述方法还包括:
确定用于估计事件日志的指标参数。
具体的,装置确定用于估计事件日志的指标参数。指标参数可以包括第一指标参数FL;所述FL用于估计事件日志至少需要多少条日志轨迹才能满足局部完备性,具体计算可以包括:
Figure BDA0002056348430000071
其中,K为置信度,表示对FL结果的相信程度,可选为K=0.9;ε为最大误差值,表示允许FL结果与实际结果存在的误差,可选为:
Figure BDA0002056348430000072
其中,n代表目前一共观察了n条日志轨迹,min(frequent)代表在n条日志轨迹中,直接后继关系出现的最小频率。
所述指标参数还可以包括第二指标参数PL;所述PL用于估计事件日志在当前已经出现的所有直接后继关系与业务模型中所有直接后继关系的占比。业务模型中所有直接后继关系可以理解为该业务模型所涉及的业务全流程的所有直接后继关系,事件日志当前已经出现的所有直接后继关系可以理解为有日志记录的所有直接后继关系,即该部分直接后继关系是业务模型中所有直接后继关系的子集。具体内容是:
Figure BDA0002056348430000081
其中,K为置信度,表示对PL结果的相信程度,可选为K=0.9;n代表目前一共观察了n条日志轨迹。
根据所述指标参数的数值、所述事件日志在满足局部完备性需要的最小下界对应的所述指标参数的目标数值,确定所述预设数量。
具体的,装置根据所述指标参数的数值、所述事件日志在满足局部完备性需要的最小下界对应的所述指标参数的目标数值,确定所述预设数量。
参照上述举例,以FL一个指标参数为例,FL表达的是需要观察的轨迹数量。如果需要观察的轨迹数量较少,而且,趋向于稳定,这时候,才能说明用FL值来确定完备性达到目的了。举个例子,观察100条轨迹的时候,发现FL的值是10,从101到199时候,发现FL的值永远保持在10左右,趋向于稳定,所以就认为达到完备了。对于PL单独作为指标参数的情况、FL和PL作为两个指标参数的情况,不再赘述。
本发明实施例提供的检测事件日志突发漂移变化的方法,通过合理设置参照窗口中所包含的日志轨迹的预设数量,进一步能够准确、高效地检测事件日志突发漂移变化。
在上述实施例的基础上,所述指标参数包括第一指标参数FL;所述FL用于估计事件日志至少需要多少条日志轨迹才能满足局部完备性。
具体的,装置中的所述指标参数包括第一指标参数FL;所述FL用于估计事件日志至少需要多少条日志轨迹才能满足局部完备性。可参照上述说明,不再赘述。
本发明实施例提供的检测事件日志突发漂移变化的方法,通过将第一指标参数FL作为指标参数,进一步能够准确、高效地检测事件日志突发漂移变化。
在上述实施例的基础上,所述指标参数还包括第二指标参数PL;所述PL用于估计事件日志在当前已经出现的所有直接后继关系与业务模型中所有直接后继关系的占比。
具体的,装置中的,所述指标参数还包括第二指标参数PL;所述PL用于估计事件日志在当前已经出现的所有直接后继关系与业务模型中所有直接后继关系的占比。可参照上述说明,不再赘述。
本发明实施例提供的检测事件日志突发漂移变化的方法,通过将第二指标参数PL作为指标参数,进一步能够准确、高效地检测事件日志突发漂移变化。
图3为本发明检测事件日志突发漂移变化的装置实施例结构示意图,如图3所示,本发明实施例提供了一种检测事件日志突发漂移变化的装置,包括获取单元301、检测单元302和确定单元303,其中:
获取单元301用于分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;检测单元302用于通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;确定单元303用于若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
具体的,获取单元301用于分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;检测单元302用于通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;确定单元303用于若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本发明实施例提供的检测事件日志突发漂移变化的装置,通过检测窗口检测参照窗口中的所有日志轨迹的突发漂移特征,如果检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定事件日志发生突发漂移变化,能够准确、高效地检测事件日志突发漂移变化。
本发明实施例提供的检测事件日志突发漂移变化的装置具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图4为本发明实施例提供的电子设备实体结构示意图,如图4所示,所述电子设备包括:处理器(processor)401、存储器(memory)402和总线403;
其中,所述处理器401、存储器402通过总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种检测事件日志突发漂移变化的方法,其特征在于,包括:
分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;
通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;
若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化;
所述分别获取检测事件日志的参照窗口和检测窗口的步骤之前,所述方法还包括:
确定用于估计事件日志的指标参数;
根据所述指标参数的数值、所述事件日志在满足局部完备性需要的最小下界对应的所述指标参数的目标数值,确定所述预设数量;
所述指标参数包括第一指标参数FL;所述FL用于估计事件日志至少需要多少条日志轨迹才能满足局部完备性;
所述指标参数还包括第二指标参数PL;所述PL用于估计事件日志在当前已经出现的所有直接后继关系与业务模型中所有直接后继关系的占比;所述第二指标参数PL通过如下公式获取:
Figure FDA0004186656070000011
其中,n表示日志轨迹的数量,K表示置信度。
2.根据权利要求1所述的检测事件日志突发漂移变化的方法,其特征在于,所述确定所述事件日志发生突发漂移变化的步骤之后,所述方法还包括:
获取确定发生突发漂移变化时的变化点,抛弃所述变化点之前的所有存储信息,并跳跃式移动所述参照窗口至所述变化点。
3.根据权利要求2所述的检测事件日志突发漂移变化的方法,其特征在于,所述获取确定发生突发漂移变化时的变化点,包括:
若判断获知发生突发漂移变化为存在新的直接后继关系,则将所述检测窗口中发生新的直接后继关系对应的日志轨迹的时间点作为所述变化点;
若判断获知发生突发漂移变化为存在消失的直接后继关系,则将所述检测窗口中的第一条日志轨迹的时间点作为所述变化点。
4.一种检测事件日志突发漂移变化的装置,其特征在于,包括:
获取单元,用于分别获取检测事件日志的参照窗口和检测窗口;所述参照窗口包含有预设数量的日志轨迹;
检测单元,用于通过所述检测窗口检测所有日志轨迹的突发漂移特征;所述突发漂移特征包括新的直接后继关系和消失的直接后继关系;其中,新的直接后继关系是在所述参照窗口中没有出现过、且在所述检测窗口中出现的直接后继关系;消失的直接后继关系是在所述参照窗口中出现过、且在所述检测窗口中没有出现的直接后继关系;
确定单元,用于若检测到存在新的直接后继关系和消失的直接后继关系中的至少其一,则确定所述事件日志发生突发漂移变化;
分别获取检测事件日志的参照窗口和检测窗口之前,还包括:
确定用于估计事件日志的指标参数;
根据所述指标参数的数值、所述事件日志在满足局部完备性需要的最小下界对应的所述指标参数的目标数值,确定所述预设数量;
所述指标参数包括第一指标参数FL;所述FL用于估计事件日志至少需要多少条日志轨迹才能满足局部完备性;
所述指标参数还包括第二指标参数PL;所述PL用于估计事件日志在当前已经出现的所有直接后继关系与业务模型中所有直接后继关系的占比;
所述第二指标参数PL通过如下公式获取:
Figure FDA0004186656070000031
其中,n表示日志轨迹的数量,K表示置信度。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述方法的步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至3任一项所述方法的步骤。
CN201910390569.6A 2019-05-10 2019-05-10 一种检测事件日志突发漂移变化的方法及装置 Active CN111104383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910390569.6A CN111104383B (zh) 2019-05-10 2019-05-10 一种检测事件日志突发漂移变化的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910390569.6A CN111104383B (zh) 2019-05-10 2019-05-10 一种检测事件日志突发漂移变化的方法及装置

Publications (2)

Publication Number Publication Date
CN111104383A CN111104383A (zh) 2020-05-05
CN111104383B true CN111104383B (zh) 2023-06-20

Family

ID=70420358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910390569.6A Active CN111104383B (zh) 2019-05-10 2019-05-10 一种检测事件日志突发漂移变化的方法及装置

Country Status (1)

Country Link
CN (1) CN111104383B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112612765A (zh) * 2020-12-21 2021-04-06 山东理工大学 一种基于漂移检测的流程变体差异分析方法与系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10133614B2 (en) * 2015-03-24 2018-11-20 Ca, Inc. Anomaly classification, analytics and resolution based on annotated event logs
CN107562947B (zh) * 2017-09-26 2021-07-02 宿州学院 一种移动时空感知下动态即时推荐服务模型建立方法
CN109543739A (zh) * 2018-11-15 2019-03-29 杭州安恒信息技术股份有限公司 一种日志分类方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN111104383A (zh) 2020-05-05

Similar Documents

Publication Publication Date Title
US8516499B2 (en) Assistance in performing action responsive to detected event
US11915311B2 (en) User score model training and calculation
CN109697247B (zh) 一种数据准确性的检测方法及装置
CN111104383B (zh) 一种检测事件日志突发漂移变化的方法及装置
CN110058996B (zh) 程序调试方法、装置、设备和存储介质
US11914466B2 (en) Systems and methods for pause-correct-replay workflow customization
CN110727602A (zh) 覆盖率数据的处理方法、装置及存储介质
CN111159169A (zh) 数据治理方法及设备
CN108021464B (zh) 一种应用程序响应数据的兜底处理的方法以及装置
CN117763024A (zh) 一种数据分片抽取方法及装置
CN110174865B (zh) 一种控制目标信息采集率的方法及装置
WO2019099929A1 (en) Using a machine learning model in quantized steps for malware detection
CN114987515A (zh) 驾驶策略的确定方法、装置及自动驾驶车辆
CN110765303A (zh) 一种更新数据库的方法及系统
CN110704461A (zh) 一种数据校验方法、装置、计算机设备及可读存储介质
CN113613063B (zh) 应用异常还原方法、设备及存储介质
CN113407411B (zh) 一种直播场景中线上数据的准确性监测装置及方法
CN110597703A (zh) 一种回归测试方法及装置
CN117114141B (zh) 模型训练的方法、评估方法、计算机设备及存储介质
CN117290113B (zh) 一种任务处理方法、装置、系统和存储介质
CN110674447B (zh) 资讯重要性判断方法、装置、计算机终端及存储介质
CN106465240B (zh) 一种接入处理方法及装置
CN114154108A (zh) 一种基于计算层次的嵌套公式计算方法
CN113312218A (zh) 磁盘的检测方法和装置
WO2020113563A1 (zh) 人脸图像质量评估方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant