CN114968633A - 异常日志的检测方法及装置 - Google Patents
异常日志的检测方法及装置 Download PDFInfo
- Publication number
- CN114968633A CN114968633A CN202210394218.4A CN202210394218A CN114968633A CN 114968633 A CN114968633 A CN 114968633A CN 202210394218 A CN202210394218 A CN 202210394218A CN 114968633 A CN114968633 A CN 114968633A
- Authority
- CN
- China
- Prior art keywords
- log
- abnormal log
- suspected
- abnormal
- suspected abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0781—Error filtering or prioritizing based on a policy defined by the user or on a policy defined by a hardware/software module, e.g. according to a severity level
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本说明书提供一种异常日志的检测方法及装置,所述方法包括:获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;确定所述疑似异常日志对应的目标特征向量;将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
Description
技术领域
本说明书涉及数据处理技术领域,尤其涉及一种检测方法及装置。
背景技术
随着计算机技术的日益发展,安全容器作为一种为应用提供完整的操作系统执行环境的软件,使得开发测试人员能够更加高效地搭建系统环境。因此,上述开发测试人员也有必要保证安全容器自身的安全稳定性。
在相关技术中,通常是基于规则的方式来检测安全容器的异常日志,然后再通过人工复查以处理上述异常日志所反映的问题。然而,基于规则的检测方式误报率过高,存在大量无意义的疑似异常日志,进而导致人力成本增加。
发明内容
有鉴于此,本说明书提供一种异常日志的检测方法及装置,以解决相关技术中存在的不足。
具体地,本说明书是通过如下技术方案实现的:
根据本说明书实施例的第一方面,提供了一种异常日志的检测方法,所述方法包括:
获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
确定所述疑似异常日志对应的目标特征向量;
将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
根据本说明书实施例的第二方面,提供了一种异常日志的检测装置,所述装置包括:
疑似异常日志获取单元,用于获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
目标特征向量确定单元,用于确定所述疑似异常日志对应的目标特征向量;
异常日志检测单元,用于将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
根据本说明书实施例的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面所述的方法的步骤。
根据本说明书实施例的第四方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法的步骤。
在本说明书所提供的技术方案中,通过引入神经网络技术,使得相关技术中基于规则的方式检测出的疑似异常日志通过异常日志检测模型进行二次检测,从而降低了异常日志的误报率,减少了人工确认过程中的工作量,降低了人力成本。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书一示例性实施例示出的一种异常日志检测系统的架构示意图;
图2是本说明书一示例性实施例示出的一种异常日志的检测方法的流程示意图;
图3是本说明书一示例性实施例示出的另一种异常日志的检测方法的流程示意图;
图4是本说明书一示例性实施例示出的一种电子设备的示意结构图;
图5是本说明书一示例性实施例示出的一种异常日志的检测装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是本说明书一示例性实施例示出的一种异常日志检测系统的架构示意图。如图1所示,可以包括安全容器11、预设告警规则12以及异常日志检测模型13。
安全容器11为容器应用提供一个完整的操作系统执行环境的软件。在所述系统运行过程中,安全容器11中的容器应用作为应用程序根据程序运行情况,可以生成对应的日志信息。且可以将该日志信息作为待检测日志发送预设告警规则12所在的电子设备。
预设告警规则12为相关技术中用于判断来自安全容器11的待检测日志的异常情况,在所述系统运行过程中,预设告警规则12可以根据预先定义的规则判断上述待检测日志是下文的正常日志、异常日志还是疑似异常日志。当确定上述待检测日志为疑似异常日志时,可以将该疑似异常日志发送至异常日志检测模型13所在的设备进行进一步处理。
异常日志检测模型13为支持神经网络的数据检测模型,在所述系统运行过程中,异常日志检测模型13接收来自预设告警规则12的疑似异常日志后,可以通过数据检测模型进一步确定该疑似异常日志是否属于异常日志,并将确定为异常日志的疑似异常日志提供给用户,以便于用户展开针对性的异常处理操作。
其中,安全容器11、预设告警规则12以及异常日志检测模型13均可以设置于同一电子设备,或者其中任一者设置于第一电子设备,其余二者设置于第二电子设备,又或者三者均设置于不同的电子设备中。当上述电子设备为网络设备时,上述电子设备可以为包含一独立主机的物理服务器,又或者异常日志检测设备12可以为主机集群承载的虚拟服务器。当上述电子设备为用户使用的本地设备时,用户可以使用诸如下述类型的电子设备:手机、平板设备、笔记本电脑、掌上电脑(PDAs,Personal Digital Assistants)、可穿戴设备(如智能眼镜、智能手表等),本说明书的一个或多个实施例并不对此进行限制。
此外,安全容器11、预设告警规则12以及异常日志检测模型13之间进行的连接方式,可以包括多种类型的有线或无线连接,本说明书并不对此进行限制。
下面结合图2所示实施例对本说明书的技术方案进行阐述。图2是本说明书一示例性实施例示出的一种异常日志的检测方法的流程示意图,如图2所示,该方法可以包括以下步骤:
S201,获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志。
例如上文所述,搭载于上述安全容器中的应用程序在运行过程中可以产生各种类型的日志信息并输出为上述待检测日志。通过相关技术中基于规则的异常日志检测方式,可以根据上述预设告警规则对上述待检测日志进行过滤,并得到以下三种日志类型:正常日志、异常日志与疑似异常日志。
本领域技术人员可以理解的是,对于任一应用程序发生的错误,可以根据该错误的发生原因划分为预期错误与非预期错误。其中,上述预期错误可以表示为相关开发测试人员可以预料且无需关注的程序错误,上述非预期错误可以表示为相关开发测试人员无法预料且必须进行排查处理的程序错误。所以,对于仅包含预期错误的异常日志最终可以被定义为非异常日志(即正常日志),而对于包含非预期错误的异常日志最终可以被定义为异常日志。然而,在上述待检测日志中,预期错误与非预期错误通常呈现出相同的错误信息,导致需要将该待检测日志为疑似异常日志已进行后续处理。例如:存在一安全容器A与告警规则Y,当用户在关闭安全容器A后,对安全容器A中的应用程序进行读取操作,则安全容器A会输出内容为“读取操作失败”的待检测日志。显然,读取已关闭的安全容器中的应用程序属于预期错误。但当用户在对安全容器A中的应用程序进行读取操作后,关闭安全容器A时由于非预期错误导致读取操作失败,安全容器A会同样会输出内容为“读取操作失败”的待检测日志,故根据告警规则Y仅可以将内容为“读取操作失败”的待检测日志确定为疑似异常日志。
换言之,上述正常日志可以表征上述安全容器中的应用程序未发生任一由上述预设告警规则定义的错误;上述异常日志可以表征上述安全容器中的应用程序已发生任一由上述预设告警规则定义的错误,且该错误必定属于非预期错误;上述疑似异常日志可以表征上述安全容器中的应用程序已发生任一由上述预设告警规则定义的错误,且该错误可能属于预期错误或非预期错误。
此外,上述预设告警规则的内容可以根据实际需求进行修改,例如将关于安全容器内存不足的错误设置为非预期错误,或者将关于操作超时的错误设置为预期错误或非预期错误,本说明书中并不对此进行限制。
S202,确定所述疑似异常日志对应的目标特征向量。
获取上述疑似异常日志后,为进一步判断上述疑似异常日志属于异常日志还是正常日志,可以将其转换为对应的目标特征向量,并输入下文的异常日志检测模型进行检测。
由于疑似异常日志携带的信息量较为庞大,可以针对上述疑似异常日志的部分内容进行转换,以获取对应的目标特征向量。
在一实施例中,可以提取上述疑似异常日志的预设信息,并将该预设信息进行特征化,以得到上述目标特征向量。其中,上述预设信息可以为根据本领域的先验知识从上述疑似异常日志中提取出的信息。从一方面来看,相较于直接提取上述疑似异常日志的预设信息进行特征化,本实施中在基于先验知识的前提下提取上述疑似异常日志的预设信息,可以减少提取过程中涉及的无关数据,进而有效地提高提取预设信息的效率。从另一方面来看,相较于将上述疑似异常日志直接进行特征化以获取对应的目标特征向量,本实施中在对上述疑似异常日志进行预处理并获取上述预设信息后,再通过对该预设信息进行特征化,可以减少特征化过程中涉及的无关数据,进而有效地提高特征化的效率。
上述目标特征向量可以被预先存储,并在预先存储的特征向量与上述疑似异常日志相匹配时被直接使用,以避免额外的特征化操作。
在一实施例中,可以提取上述疑似异常日志的预设信息,并将所提取的信息与日志库中预先建立的预设信息与特征向量之间的映射关系进行匹配,以确定所提取的信息对应的特征向量。其中,上述预设信息与特征向量之间的映射关系是唯一确定,即一预设信息唯一对应一特征向量,当上述所提取的信息与上述日志库中预先建立的预设信息与特征向量之间的映射关系存在匹配关系时,可以将该映射关系中的特征向量直接作为上述目标特征向量。此外,上述日志库可以通过文本、数据库等形式存储于上述的异常日志检测设备或其他存储位置中,本说明书中并不对此进行限制。
当上述匹配失败时,可以将未匹配成功的上述疑似异常日志的预设信息与上述目标特征向量进行存储。
在一实施例中,在匹配失败的情况下,可以对上述预设信息进行特征化以生成对应上述疑似异常日志的目标特征向量,并将上述疑似异常日志的预设信息与上述目标特征向量之间的映射关系更新至上述日志库中。在该实施例中,虽然该疑似异常日志的预设信息未匹配到日志库中预先建立的预设信息与特征向量之间的映射关系,但此次匹配失败后,与该疑似异常日志的预设信息相同的其他预设信息与上述映射关系进行匹配时,可以直接获取与该疑似异常日志对应的特征向量,以作为上述其他预设信息对应的特征向量。从而实现了未匹配成功的上述疑似异常日志的预设信息与上述目标特征向量在上述日志库中的复用。
上述预设信息可以包括下述至少之一:上述疑似异常日志的日志模板,或上述疑似异常日志的日志模板与日志参数。其中,上述日志模板为上述预设信息中的必要内容,至于上述日志参数或其他用户自定义的数据可以根据实际情况添加至上述预设信息,本说明书中并不对此进行限制。
在一实施例中,在所述预设信息包括日志模板的情况下,所述方法还包括下述优化操作中至少之一:1、清除上述疑似异常日志中符合预设结构特征的无效内容;2、将上述疑似异常日志中匹配预设关键字段的内容替换为对应的通配符。其中,上述预设结构特征与上述预设关键字段均可以作为上述先验知识中有关于安全容器日志的知识。同时,可以通过清除上述疑似异常日志中符合预设结构特征的无效内容,可以降低安全容器日志的嵌套性。此外,通过上述通配符的替换操作,可以提升后续模版提取的速度。
例如前文所述,在确定上述疑似异常日志对应的目标特征向量时,可以采用诸如基于固定深度树的在线日志解析技术(depth tree based online log parsing,Drain)、基于最长公共子序列(The longest common subsequence,LCS)的结构化流式事件日志解析器(Spell)或频率模板树(Frequent Template Tree,FT-Tree)等日志解析技术提取上述疑似异常日志的日志模版,并记录上述疑似异常日志中的日志参数,最后将上述日志模版与上述日志参数作为上述目标特征向量。
同时,在针对包含有上述日志模版或与上述日志参数的目标特征向量进行特征化时,可以采用诸如基于Transformer的双向编码器表示技术摸(Bidirectional EncoderRepresentations from Transformers,BERT)模型或Word2vec(word to vector)等自然语言处理技术中的预训练模型,以提取上述日志模版中的语义特征,并将上述日志模版按照日志序列转化为日志模板矩阵。此外,还可以采用诸如一位有效编码(one-hot)、哑变量编码等编码技术,根据上述日志参数与上述日志模板的模版序号建立日志参数矩阵。其中,上述日志模板矩阵与上述日志参数矩阵相似均可以作为向量矩阵,并以上述目标特征向量的形式输入至下文的异常日志检测模型。
S203,将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
确定上述目标特征向量后,可以将其输入至预先训练生成的上述异常日志检测模型。其中,上述异常日志检测模型可以为类似于长短期记忆(Long Short-Term Memory,LSTM)、使用/不使用注意力(Attention)机制的双向长短期记忆力(Bidirectional LongShort-Term Memory,BiLSTM)的深度学习模型。本说明书中并不对此进行限制。
上述预测结果除了确定所述疑似异常日志是否为异常日志,还可以对上述疑似异常日志的进行分类。
在一实施例中,上述预测结果包括上述疑似异常日志的错误类型,上述错误类型包含预期错误与非预期错误。其中,上述非预期错误对应的日志为异常日志。在该实施例中,用户可以仅查看上述异常日志检测模型输出的错误类型为非预期错误的疑似异常日志,以及上述用户无需确认由上述预期错误引起的疑似异常日志,进而减少了人工确认过程中的消耗的人力成本。
通过上述实施例可知,本说明书中异常日志的检测方法,在相关技术的基础上,将规则过滤方法同数据驱动方法进行结合,在不影响原有异常日志检测方式的情况下,通过异常日志检测模型最大程度上地发挥历史异常日志的作用。同时,本说明书的方案在提取上述疑似异常日志的预设信息的过程中,通过先验知识能更快地提取获得上述预设信息,从而提升了整体的异常日志检测效率。此外,本说明书提出了使用基于注意力机制的异常日志检测模型对上述目标特征向量进行学习,最终得到的预测结果不但能够判断日志是否异常,还能给出对应的异常日志的参考类型,从而更好地辅助人工进行确认。
图3是本说明书一示例性实施例示出的另一种异常日志的检测方法的流程示意图。如图3所示,该方法可以包括以下步骤:
S301,获取安全容器输出的待检测日志。
S302,基于预设告警规则过滤待检测日志。
在一实施例中,假设存在一安全容器A输出的待检测日志X以及一预设的告警规则Y。其中,待检测日志X的内容为“RunPodSandbox for&PodSandboxMetadata{Name:11e95542fa254b0ba633d12386a67cf3,Uid:11e95542fa254b0ba633d12386a67cf3,Namespace:test_default,Attempt:1,}failed”,告警规则Y定义了内容包含“RunPodSandbox for&PodSan dboxMetadata……failed”的日志为疑似异常日志。即在该实施例中,可以根据告警规则Y确定待检测日志X为疑似异常日志Z。
S303,提取疑似异常日志的日志模板与日志参数。
在一实施例中,可以通过Drain技术对提取疑似异常日志Z得到日志模板“RunPodSand box for&PodSandboxMetadata<*>failed”以及日志参数“{Name:11e95542fa254b0ba633d12386a67cf3,Uid:11e95542fa254b0ba633d12386a67cf3,Namespace:test_default,Attempt:1,}”。其中,可以根据先验知识中有关安全容器的日志的预设关键字段“Name”、“Uid”、“Namespace”以及“Attempt”,将疑似异常日志Z中的“{Name:11e95542fa254b0ba633d12386a67cf3,Uid:11e95542fa254b0ba633d12386a67cf3,Namespace:test_default,Attempt:1,}”替换为通配符“<*>”。
S304,将日志模板与日志参数进行特征化。
在一实施例中,可以提取疑似异常日志Z的前后日志,并组成日志序列,然后基于BERT模型与独热编码,获取对应日志模板和日志参数的目标特征向量"[e1,e2,e3,……ei]"和"[p1,p2,p3……pi]",其中ei和pi都为向量。
S305,基于异常日志检测模型检测目标特征向量。
在一实施例中,可以将上述目标特征向量输入预先训练好的BiLSTM模型中,并获取该BiLSTM模型最终输出的表征该疑似异常日志Z属于为非预期错误的预测结果,从而判断该疑似异常日志Z为需要人工确认的异常日志。
S306,人工确认异常日志。
当用户接收到由上述BiLSTM模型输出的预测结果后,针对该异常日志发送的地址与原因进行排查。
图4是一示例性实施例中的一种电子设备的示意结构图。请参考图4,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成异常日志的检测装置。当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
与前述异常日志的检测方法的实施例相对应,本说明书还提供了异常日志的检测装置的实施例。
请参考图5,图5是一示例性实施例示出的一种异常日志的检测装置的结构示意图。如图5所示,在软件实施方式中,该装置可以包括:
疑似异常日志获取单元501,用于获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
目标特征向量确定单元502,用于确定所述疑似异常日志对应的目标特征向量;
异常日志检测单元503,用于将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
可选的,所述目标特征向量确定单元502具体用于:
提取所述疑似异常日志的预设信息;
将所述预设信息进行特征化,得到所述目标特征向量。
可选的,所述装置还包括:
日志库管理单元504,用于提取所述疑似异常日志的预设信息;
将所提取的信息与日志库中预先建立的预设信息与特征向量之间的映射关系进行匹配,以确定所提取的信息对应的特征向量。
可选的,所述日志库管理单元504具体用于:
在匹配失败的情况下,对所述预设信息进行特征化以生成对应所述疑似异常日志的目标特征向量,并将所述疑似异常日志的预设信息与所述目标特征向量之间的映射关系更新至所述日志库中。
可选的,所述预设信息包括下述至少之一:所述疑似异常日志的日志模板,或所述疑似异常日志的日志模板与日志参数。
可选的,在所述预设信息包括日志模板的情况下,所述方法还包括下述优化操作中至少之一:
清除所述疑似异常日志中符合预设结构特征的无效内容;
将所述疑似异常日志中匹配预设关键字段的内容替换为对应的通配符。
可选的,所述预测结果包括所述疑似异常日志的错误类型,所述错误类型包含预期错误与非预期错误;
其中,所述非预期错误对应的日志为异常日志。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种异常日志的检测方法,其特征在于,所述方法包括:
获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
确定所述疑似异常日志对应的目标特征向量;
将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
2.根据权利要求1所述的方法,其特征在于,所述确定所述疑似异常日志对应的目标特征向量,包括:
提取所述疑似异常日志的预设信息;
将所述预设信息进行特征化,得到所述目标特征向量。
3.根据权利要求1所述的方法,其特征在于,所述确定所述疑似异常日志对应的目标特征向量,包括:
提取所述疑似异常日志的预设信息;
将所提取的信息与日志库中预先建立的预设信息与特征向量之间的映射关系进行匹配,以确定所提取的信息对应的特征向量。
4.根据权利要求3所述的方法,其特征在于,还包括:
在匹配失败的情况下,对所述预设信息进行特征化以生成对应所述疑似异常日志的目标特征向量,并将所述疑似异常日志的预设信息与所述目标特征向量之间的映射关系更新至所述日志库中。
5.根据权利要求2至4任一项所述的方法,其特征在于,所述预设信息包括下述至少之一:所述疑似异常日志的日志模板,或所述疑似异常日志的日志模板与日志参数。
6.根据权利要求5所述的方法,其特征在于,在所述预设信息包括日志模板的情况下,所述方法还包括下述优化操作中至少之一:
清除所述疑似异常日志中符合预设结构特征的无效内容;
将所述疑似异常日志中匹配预设关键字段的内容替换为对应的通配符。
7.根据权利要求1所述的方法,其特征在于,所述预测结果包括所述疑似异常日志的错误类型,所述错误类型包含预期错误与非预期错误;
其中,所述非预期错误对应的日志为异常日志。
8.一种异常日志的检测装置,其特征在于,所述装置包括:
疑似异常日志获取单元,用于获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
目标特征向量确定单元,用于确定所述疑似异常日志对应的目标特征向量;
异常日志检测单元,用于将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~7任一所述方法的步骤。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~7任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210394218.4A CN114968633A (zh) | 2022-04-14 | 2022-04-14 | 异常日志的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210394218.4A CN114968633A (zh) | 2022-04-14 | 2022-04-14 | 异常日志的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114968633A true CN114968633A (zh) | 2022-08-30 |
Family
ID=82978379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210394218.4A Pending CN114968633A (zh) | 2022-04-14 | 2022-04-14 | 异常日志的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114968633A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115687031A (zh) * | 2022-11-15 | 2023-02-03 | 北京优特捷信息技术有限公司 | 一种告警描述文本的生成方法、装置、设备及介质 |
| CN116049757A (zh) * | 2023-04-03 | 2023-05-02 | 湖南工商大学 | 基于概念漂移的流程异常行为检测方法 |
| CN116089231A (zh) * | 2023-02-13 | 2023-05-09 | 北京优特捷信息技术有限公司 | 一种故障告警方法、装置、电子设备及存储介质 |
| CN117827620A (zh) * | 2024-03-05 | 2024-04-05 | 云账户技术(天津)有限公司 | 异常诊断方法、模型的训练方法、装置、设备及存储介质 |
| CN117857182A (zh) * | 2024-01-10 | 2024-04-09 | 江苏金融租赁股份有限公司 | 一种服务器异常访问的处理方法及装置 |
-
2022
- 2022-04-14 CN CN202210394218.4A patent/CN114968633A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115687031A (zh) * | 2022-11-15 | 2023-02-03 | 北京优特捷信息技术有限公司 | 一种告警描述文本的生成方法、装置、设备及介质 |
| CN116089231A (zh) * | 2023-02-13 | 2023-05-09 | 北京优特捷信息技术有限公司 | 一种故障告警方法、装置、电子设备及存储介质 |
| CN116089231B (zh) * | 2023-02-13 | 2023-09-15 | 北京优特捷信息技术有限公司 | 一种故障告警方法、装置、电子设备及存储介质 |
| CN116049757A (zh) * | 2023-04-03 | 2023-05-02 | 湖南工商大学 | 基于概念漂移的流程异常行为检测方法 |
| CN117857182A (zh) * | 2024-01-10 | 2024-04-09 | 江苏金融租赁股份有限公司 | 一种服务器异常访问的处理方法及装置 |
| CN117857182B (zh) * | 2024-01-10 | 2024-07-30 | 江苏金融租赁股份有限公司 | 一种服务器异常访问的处理方法及装置 |
| CN117827620A (zh) * | 2024-03-05 | 2024-04-05 | 云账户技术(天津)有限公司 | 异常诊断方法、模型的训练方法、装置、设备及存储介质 |
| CN117827620B (zh) * | 2024-03-05 | 2024-05-10 | 云账户技术(天津)有限公司 | 异常诊断方法、模型的训练方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114968633A (zh) | 异常日志的检测方法及装置 | |
| US11132248B2 (en) | Automated information technology system failure recommendation and mitigation | |
| CN105518656A (zh) | 用于多传感器数据融合的认知神经语言学行为辨识系统 | |
| CN110933104B (zh) | 恶意命令检测方法、装置、设备及介质 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN111177367B (zh) | 案件分类方法、分类模型训练方法及相关产品 | |
| CN109034140A (zh) | 基于深度学习结构的工业控制网络信号异常检测方法 | |
| CN114218403A (zh) | 基于知识图谱的故障根因定位方法、装置、设备及介质 | |
| CN114021582B (zh) | 结合语音信息的口语理解方法、装置、设备及存储介质 | |
| CN116414948A (zh) | 基于云数据和人工智能的异常数据挖掘方法及软件产品 | |
| CN116720184A (zh) | 一种基于生成式ai的恶意代码分析方法及系统 | |
| CN112799722A (zh) | 命令识别方法、装置、设备和存储介质 | |
| CN115913710A (zh) | 异常检测方法、装置、设备及存储介质 | |
| CN114386046A (zh) | 一种未知漏洞检测方法、装置、电子设备及存储介质 | |
| CN111738290B (zh) | 图像检测方法、模型构建和训练方法、装置、设备和介质 | |
| US20190318223A1 (en) | Methods and Systems for Data Analysis by Text Embeddings | |
| CN111860554A (zh) | 风险监控方法、装置、存储介质及电子设备 | |
| CN115659232A (zh) | 一种挖掘异常规则的方法及装置 | |
| CN115422352A (zh) | 基于相似度和要素知识模型融合的事件标签检测方法 | |
| CN114816821A (zh) | 内核崩溃报告的分类方法及装置 | |
| CN112860652B (zh) | 作业状态预测方法、装置和电子设备 | |
| CN114706856A (zh) | 故障处理方法及装置、电子设备和计算机可读存储介质 | |
| CN115587358A (zh) | 一种二进制代码相似性检测方法、装置及存储介质 | |
| CN112686762A (zh) | 保单数据违规检测方法、装置、计算机设备及存储介质 | |
| CN110659501A (zh) | 漏洞处理跟踪方法、装置、计算机系统及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |