CN116910682B - 事件的检测方法及装置、电子设备和存储介质 - Google Patents

事件的检测方法及装置、电子设备和存储介质 Download PDF

Info

Publication number
CN116910682B
CN116910682B CN202311183690.4A CN202311183690A CN116910682B CN 116910682 B CN116910682 B CN 116910682B CN 202311183690 A CN202311183690 A CN 202311183690A CN 116910682 B CN116910682 B CN 116910682B
Authority
CN
China
Prior art keywords
preset
training
log
feature matrix
processed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311183690.4A
Other languages
English (en)
Other versions
CN116910682A (zh
Inventor
李�浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Suzhou Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Suzhou Software Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202311183690.4A priority Critical patent/CN116910682B/zh
Publication of CN116910682A publication Critical patent/CN116910682A/zh
Application granted granted Critical
Publication of CN116910682B publication Critical patent/CN116910682B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • G06N3/0442Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computational Linguistics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Image Analysis (AREA)

Abstract

本公开公开了事件的检测方法及装置、电子设备和存储介质,将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量;将当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到n维向量对应的特征矩阵,将特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;调用预设分类函数对空间局部特征矩阵进行分类,以得到待处理日志中正常事件及异常事件的检测结果。根据输入向量的位置,对计算得到的自注意力权重参数进行重新分配,降低了位置比较靠前的权重值,增强特征的表达能力,提升了检测的准确率。此外,预设残差网络模型提取了待处理日志中多元空间局部特征,进一步提高了异常事件检测的准确率。

Description

事件的检测方法及装置、电子设备和存储介质
技术领域
本公开涉及云安全技术领域,尤其涉及一种事件的检测方法及装置、电子设备和存储介质。
背景技术
随着互联网技术的不断进步,云计算也得以快速发展,但是由于网络信息的共享,导致出现很多安全入侵问题,这正是阻碍云计算发展的主要原因。
因此如何更快的、更精确的检测到异常的云安全事件显得至关重要。目前,在云安全事件检测中常用的方法就是使用日志分析,常见的日志分析技术包括:直接把收集到的日志与预先创建好的规则相匹配,从而对异常事件进行告警;通过判断处理后的日志数据通过机器学习模型后的值是否在正常范围内,来确定异常事件。
相关技术中使用了传统的机器学习算法作为训练和测试模型,但实际日志量很大,该种方式大大限制了云安全事件检测的精确度。
发明内容
本公开提供了一种事件的检测方法、装置、电子设备和存储介质。其主要目的在于解决相关技术中使用了传统的机器学习算法作为训练和测试模型,但实际日志量很大,该种方式大大限制了云安全事件检测的精确度的问题。
根据本公开的第一方面,提供了一种事件的检测方法,其中,包括:
将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;
将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;
将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;
调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。
在一些实施例中,将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量包括:
在预设循环神经网络中调用第一预设函数、对更新门对应的第一权重矩阵及更新门对应的第一偏置向量进行计算,得到更新门对应第一计算结果;其中,所述预设循环神经网络通过门控单元实现对所述待处理日志计算,所述门控单元包括所述更新门及所述重置门;
调用第二预设函数、对重置门对应的第二权重矩阵及重置门对应的第二偏置向量进行计算,得到重置门对应第二计算结果;
调用第三预设函数、对隐藏层对应的第三权重矩阵、所述重置门对应第二计算结果及隐藏层对应的第三偏置向量进行计算,得到隐藏层对应第三计算结果;
调用第四预设函数,对所述更新门对应第一计算结果及隐藏层对应第三计算结果进行计算,得到当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
在一些实施例中,所述将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型包括:
在所述预设注意力模型中确定所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态输入所述预设注意力模型的位置信息,位置信息与位置权重参数对应;
根据所述位置信息及对应的权重参数计算得到所述n维向量对应的所述特征矩阵。
在一些实施例中,所述将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵包括:
在所述预设残差网络模型中,基于预设权重矩阵将所述特征矩阵的通道数据进行更新,得到所述空间局部特征矩阵。
在一些实施例中,在将待处理日志输入预设循环神经网络,得到n维向量之前,所述方法还包括:
基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型。
在一些实施例中,所述基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型包括:
调用基于密度的聚类算法进行训练用日志进行聚类,得到训练用正常事件和训练用异常事件;
将所述训练用正常事件和训练用异常事件输入所述预设循环神经网络进行训练,得到当前隐藏节点的训练用输出信息以及传递给下一个节点的训练用隐藏状态;
将所述训练用输出信息以及所述训练用隐藏状态输入所述预设注意力模型进行训练,得到对应的训练用特征矩阵;
将所述训练用特征矩阵输入所述预设残差网络模型进行训练,得到训练用空间局部特征矩阵;
调用预设分类函数对所述训练用空间局部特征矩阵进行分类训练,以得到训练好的所述预设分类模型。
在一些实施例中,在基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型之前,所述方法还包括:
获取原始日志,并在所述原始日志中添加日志属性信息;
对所述原始日志进行格式化处理,得到所述待处理日志;
将所述待处理日志与预设异常事件库中的异常事件进行匹配;
若匹配成功,则确定所述待处理日志中存在异常事件。
在一些实施例中,所述将待处理日志输入预设循环神经网络还包括:
若匹配失败,则将待处理日志输入预设循环神经网络,以得到n维向量。
在一些实施例中,在调用预设分类函数对所述空间局部特征矩阵进行分类,以得到正常事件及异常事件之后,所述方法还包括:
根据检测得到的异常事件,对所述预设异常事件库进行更新。
在一些实施例中,所述将所述待处理日志与预设异常事件库中的异常事件进行匹配包括:
对所述待处理日志进行解析,得到所述待处理日志对应的日志属性信息;
根据所述日志属性信息匹配对应的目标预设异常事件库;
将所述待处理日志与所述目标预设异常事件库中的异常事件进行匹配。
根据本公开的第二方面,提供了一种事件的检测装置,包括:
第一输入单元,用于将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;
第二输入单元,用于将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;
第三输入单元,用于将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;
检测单元,用于调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。
在一些实施例中,所述第一输入单元,还用于:
在预设循环神经网络中调用第一预设函数、对更新门对应的第一权重矩阵及更新门对应的第一偏置向量进行计算,得到更新门对应第一计算结果;其中,所述预设循环神经网络通过门控单元实现对所述待处理日志计算,所述门控单元包括所述更新门及所述重置门;
调用第二预设函数、对重置门对应的第二权重矩阵及重置门对应的第二偏置向量进行计算,得到重置门对应第二计算结果;
调用第三预设函数、对隐藏层对应的第三权重矩阵、所述重置门对应第二计算结果及隐藏层对应的第三偏置向量进行计算,得到隐藏层对应第三计算结果;
调用第四预设函数,对所述更新门对应第一计算结果及隐藏层对应第三计算结果进行计算,得到当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
在一些实施例中,所述第二输入单元还用于:
在所述预设注意力模型中确定所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态输入所述预设注意力模型的位置信息,位置信息与位置权重参数对应;
根据所述位置信息及对应的权重参数计算得到所述n维向量对应的所述特征矩阵。
在一些实施例中,所述第三输入单元还用于:
在所述预设残差网络模型中,基于预设权重矩阵将所述特征矩阵的通道数据进行更新,得到所述空间局部特征矩阵。
在一些实施例中,所述装置还包括:
训练单元,用于在所述第一输入单元将待处理日志输入预设循环神经网络,得到n维向量之前,基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型。
在一些实施例中,所述训练单元包括:
调用基于密度的聚类算法进行训练用日志进行聚类,得到训练用正常事件和训练用异常事件;
将所述训练用正常事件和训练用异常事件输入所述预设循环神经网络进行训练,得到当前隐藏节点的训练用输出信息以及传递给下一个节点的训练用隐藏状态;
将所述训练用输出信息以及所述训练用隐藏状态输入所述预设注意力模型进行训练,得到对应的训练用特征矩阵;
将所述训练用特征矩阵输入所述预设残差网络模型进行训练,得到训练用空间局部特征矩阵;
调用预设分类函数对所述训练用空间局部特征矩阵进行分类训练,以得到训练好的所述预设分类模型。
在一些实施例中,所述装置还包括:
获取单元,用于在所述训练单元基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型之前,获取原始日志;
添加单元,用于在所述原始日志中添加日志属性信息;
处理单元,用于对所述原始日志进行格式化处理,得到所述待处理日志;
匹配单元,用于将所述待处理日志与预设异常事件库中的异常事件进行匹配;
确定单元,用于当匹配成功时,确定所述待处理日志中存在异常事件。
在一些实施例中,所述第一输入单元,还用于当匹配失败时,将待处理日志输入预设循环神经网络,以得到n维向量。
在一些实施例中,所述装置还包括:
更新单元,用于在所述检测单元调用预设分类函数对所述空间局部特征矩阵进行分类,以得到正常事件及异常事件之后,根据检测得到的异常事件,对所述预设异常事件库进行更新。
在一些实施例中,所述匹配单元,还用于:
对所述待处理日志进行解析,得到所述待处理日志对应的日志属性信息;
根据所述日志属性信息匹配对应的目标预设异常事件库;
将所述待处理日志与所述目标预设异常事件库中的异常事件进行匹配。
根据本公开的第三方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行前述第一方面所述的方法。
根据本公开的第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行前述第一方面所述的方法。
根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如前述第一方面所述的方法。
本公开提供的事件的检测方法、装置、电子设备和存储介质,将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。基于预设注意力模型的双向门控循环单元,引入了不同位置信息的权重参数对自注意力机制进行了改进,根据输入向量的位置,对计算得到的自注意力权重参数进行重新分配,降低了位置比较靠前的权重值,使得提取到的特征向量更具解释性,增强特征的表达能力,提升了检测的准确率。此外,预设残差网络模型提取了待处理日志中多元空间局部特征,进一步提高了异常事件检测的准确率。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1为本公开实施例所提供的一种事件的检测方法的流程示意图;
图2为本申请实施例提供的一种预设分类模型的结构示意图;
图3为本申请实施例提供的一种预设注意力模型示意图;
图4示出了本申请实施例提供的一种预设残差网络模型的示意图;
图5示出了本申请实施例提供的一种GRU单元的示意图;
图6示出了本申请实施例提供的一种的元的示意图;
图7示出了本申请实施例提供的一种预设分类模型进行训练的流程示意图;
图8为本公开实施例所提供的另一种事件的检测方法的流程示意图;
图9为本公开实施例提供的一种事件的检测装置的结构示意图;
图10为本公开实施例提供的另一种事件的检测装置的结构示意图;
图11为本公开实施例提供的示例电子设备的示意性框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
下面参考附图描述本公开实施例的事件的检测方法、装置、电子设备和存储介质。
图1为本公开实施例所提供的一种事件的检测方法的流程示意图。
如图1所示,该方法包含以下步骤:
步骤101,将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数。
本申请实施采集的待处理日志是复杂的时序数据,具有时间相关性,为了建立前后文之间的关联,提高分类的精准度,采用本申请实施例所述的预设分类模型,该预设分类模型输入层、预设循环神经网络(BiGRU层)、预设注意力模型(Attention层)、全连接层和输出层;其中, BiGRU由两个GRUGate Recurrent Unit)上下叠加在一起构成,其输出由正向和反向的GRU共同影响,可以更精准地进行分类。为了便于对预设分类模型进行更好的理解,如图2所示,图2示出了本申请实施例提供的一种预设分类模型的结构示意图。
在将待处理日志输入预设循环神经网络(BiGRU层)之后,由预设循环神经网络(BiGRU层)计算当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
步骤102,将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵。
考虑输入的当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态不同的位置向量对输出结果的影响程度也各不相同,例如位置信息靠前的向量,由于模型训练的过程中获取的有效信息也有限,这可能会导致得到的自注意力权重值会偏大。为了解决这一问题,本申请实施例在自注意力机制的基础上,引入了位置权重参数weight对自注意力机制进行了改进,根据输入向量的位置信息,对得到的自注意力权重参数进行重新分配,适当的去降低训练位置比较靠前的权重值,使得提取到的特征向量更具解释性,增强特征的表达能力。
在实际应用过程中权重参数weight实际上是Tensor的一个子类,是一个parameter迭代器,其初始值为1,在模型训练的过程中会不断进行优化,从而获得更为合理的权重分配,获取到更为准确的特征描述。
如图3所示,图3示出了本申请实施例提供的一种预设注意力模型示意图,在预设注意力模型执行计算过程中,代表的就是模型训练后的不同位置的权重系数,/>为经过BiGRU层输出后的向量,最终通过分别与权重系数相乘然后通过shortcut连接直接相加得到最终特征矩阵。
步骤103,将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵。
为了更进一步的提高检测准确率,对预设注意力模型(Attention层)所提取的特征矩阵进一步特征整合,本申请实施例添加了预设残差网络模型,该预设残差网络模型采用了2个卷积核大小不同的ResCNN并行的结构,2个通道的参数相互独立。如图4所示,图4示出了本申请实施例提供的一种预设残差网络模型的示意图,由图4可看出在每一次卷积后都引入了批标准化处理,加强了模型的学习能力,提高了模型的训练速度,同时又能够获取更具解释性的特征,为后续分类提供了基础。
步骤104,调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。
将全连接层的输出1维向量输入到预设分类函数(如Softmax函数)中从而完成分类,具体过程可由y=Softmax(c*w+b) 表示。其中c代表全连接层的输出;w和b分别代表输出层的权重和偏置。最终的输出为a=[a0,a1],分别代表着正常事件和异常事件。
本公开提供的事件的检测方法,将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。基于预设注意力模型的双向门控循环单元,引入了不同位置信息的权重参数对自注意力机制进行了改进,根据输入向量的位置,对计算得到的自注意力权重参数进行重新分配,降低了位置比较靠前的权重值,使得提取到的特征向量更具解释性,增强特征的表达能力,提升了检测的准确率。此外,预设残差网络模型提取了待处理日志中多元空间局部特征,进一步提高了异常事件检测的准确率。
请继续参阅图2,由图中可以看出BiGRU网络由GRU单元组 GRU cell组成,每一个GRU cell都包括重置门、更新门/>,图2中以2个单元组为例进行的说明,但是应当明确的是,该种说明方式仅用于举例说明,而不是对具体数量的限定。GRU对信息的更新和保存都是通过门控单元来实现的。/>为t时刻的输入信号,代表不同时刻的信息;t时刻的短期状态为隐藏层状态记为/>。每一个GRU单元的具体结构图5所示。
作为对将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量的细化说明,可以采用但不局限于以下方式实现:
在预设循环神经网络中调用第一预设函数、对更新门对应的第一权重矩阵及更新门对应的第一偏置向量进行计算,得到更新门对应第一计算结果;其中,所述预设循环神经网络通过门控单元实现对所述待处理日志计算,所述门控单元包括所述更新门及所述重置门;
调用第二预设函数、对重置门对应的第二权重矩阵及重置门对应的第二偏置向量进行计算,得到重置门对应第二计算结果;
调用第三预设函数、对隐藏层对应的第三权重矩阵、所述重置门对应第二计算结果及隐藏层对应的第三偏置向量进行计算,得到隐藏层对应第三计算结果;
调用第四预设函数,对所述更新门对应第一计算结果及隐藏层对应第三计算结果进行计算,得到当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
GRU重置门的第一预设函数为:(1)
更新门的第二预设函数为:(2)
候选信息的第三预设函数为:(3)
隐藏层状态输出的第四预设函数为:(4)
上式中的、/>重置门的第一权重矩阵、/>、/>为更新门的第二权重矩阵和为隐藏层的权重矩阵,/>、/>和/>分别代表重置门、更新门和隐藏层的偏置向量;/>为Sigmoid函数。
假设某个时刻t的输入向量为,它的前一时刻t-1时刻的隐藏层状态信息为/>,那么通过公式(1)获得重置门的第一计算结果/>,通过公式(2)更新门的第二计算结果;得到/>后再使用公式(3)使用双曲正切函数可以得到候选信息/>,最终通过式(4)得到此时刻的隐藏层状态信息/>
注意力机制被提出,是受到人类视觉系统的影响,通过引入注意力机制,神经网络可以通过信息的重要程度从而过滤掉大量无关紧要的信息,重点去关注一些重要的特征,通过引入注意力机制可以更好的减少参数,提高检测准确率。
而传统的注意力机制在训练过程中需要参考部分外部元素,而自注意力机制的计算只依赖自身内部。考虑输入的数据集不同的位置向量对输出结果的影响程度也各不相同,例如位置靠前的训练向量,由于模型训练的过程中获取的有效信息也有限,这可能会导致训练得到的自注意力权重值会偏大。
为了解决这一问题,本申请实施例在自注意力机制的基础上,引入了位置权重参数weight对自注意力机制进行了改进,根据输入向量训练的位置,对模型训练后计算得到的自注意力权重系数进行重新分配,去降低训练位置比较靠前的权重值,来让提取到的特征向量更具解释性,增强特征的表达能力。
作为本申请实施例的一种实现方式,该处引入的weight实际上是Tensor的一个子类,是一个parameter迭代器,其初始值为1,在模型训练的过程中会不断进行优化,从而获得更为合理的权重分配,获取到更为准确的特征描述。具体的计算公式如下:
自注意力机制表达式:(5)
③位置权重参数表达式:(6)
其中:m为处理后数据集的长度;X为通过BiGRU层输出的n维向量;为函数的调节因子,通常表示输入向量的维度,其可以对/>的内积进行调节,避免函数得到的值误差太大导致结果分布不均匀。
在上述实施例详细说明预设注意力模型的基础上,在将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型之后,在所述预设注意力模型中确定所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态输入所述预设注意力模型的位置信息,位置信息与位置权重参数对应;根据所述位置信息及对应的权重参数计算得到所述n维向量对应的所述特征矩阵。即通过分别与位置权重参数相乘,然后通过shortcut连接直接相加得到特征矩阵。
为了更进一步的提高检测准确率,对上文经过改进后的Attention层所提取的特征矩阵进一步特征整合,本申请实施例在CNN的基础上添加了残差结构,并通过改进优化构建了预设残差网络模型MResCNN用来进行空间局部特征的提取。
本申请实施例首先在残差结构中的激活函数作了改变,相关技术中采用的是ReLU函数,该ReLU函数存在缺陷,即当一个负数输入经过ReLU后输出为0,可能会导致经过一个神经元的梯度永久为0,也就是说该神经元处于非激活状态,如此一来网络就没有办法正常学习,可能会导致有效特征的遗漏。
因此本申请实施例对该ReLU函数进行了改进采用了SELU函数,使用指数函数计算负值,不会再出现神经元死亡的情况,也尽可能的保留了有效的信息;在每次卷积操作后都进行了批标准化处理,可以消除不同变量之间单位不同,而造成的数据的值之间差距较大,从而使算法的收敛速度更快,模型检测出异常事件更加准确。
为了在提取空间局部特征时获取到更加多元的特征,本申请实施例提供的预设残差网络模型MResCNN采用了2个卷积核大小不同的ResCNN并行的结构,2个通道的参数相互独立。预设残差网络模型MResCNN的具体结构如图6所示,具体的参数结构在途中可以清楚的看到,需要注意的是,在每一次卷积后都引入了批标准化处理,加强了模型的学习能力,提高了模型的训练速度,同时又能够获取更具解释性的特征,为后续分类提供了基础。
同时为了获得更具辨识度的特征,还作了其他改进策略:在将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵时,在所述预设残差网络模型中,基于预设权重矩阵将所述特征矩阵的通道数据进行更新,得到所述空间局部特征矩阵。本申请实施例通过特征维度匹配策略改进,对于残差网络来说,维度匹配的shortcut直接连接相加即可,对于维度不匹配时,需要将数据映射为相同的维度,相关技术中的残差网络直接通过0进行填充,而本申请实施例采用将特征矩阵乘以W权重矩阵投影到新的空间,实际实现的是通过1×1卷积操作,直接改变1×1卷积通道数据,从而实现通道数增加。
在将待处理日志输入预设循环神经网络,得到n维向量之前,基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型,本申请实施例还提供一种预设分类模型进行训练的方法,如图7所示,包括:
步骤201,调用基于密度的聚类算法进行训练用日志进行聚类,得到训练用正常事件和训练用异常事件;
在实际应用中,本申请实施例采用的聚类算法使用为基于密度的聚类算法,OPTICS(Ordering points to identify the clustering structure)聚类算法,对输入的数据进行聚类得到对应的训练用正常数据和训练用异常数据。本申请实施例对聚类算法不进行限定。
步骤202,将所述训练用正常事件和训练用异常事件输入所述预设循环神经网络进行训练,得到当前隐藏节点的训练用输出信息以及传递给下一个节点的训练用隐藏状态。
步骤203,将所述训练用输出信息以及所述训练用隐藏状态输入所述预设注意力模型进行训练,得到对应的训练用特征矩阵。
步骤204,将所述训练用特征矩阵输入所述预设残差网络模型进行训练,得到训练用空间局部特征矩阵。
步骤205,调用预设分类函数对所述训练用空间局部特征矩阵进行分类训练,以得到训练好的所述预设分类模型。
有关步骤202至步骤205的实现原理,与图1所示的方法原理相同,可参阅图1的详细说明,本申请实施例在此不再进行赘述。
进一步的,本申请实施例还提供一种事件的检测方法,如图8所示,所述方法还包括:
步骤301,获取原始日志,并在所述原始日志中添加日志属性信息。
作为本申请实施例的可实现方式,通过使用Flume工具实时收集所有云平台中固定时间间隔的原始日志;同时采集时对收集工具作拦截器配置,在收到原始日志时为每一个日志文件头部添加日志属性信息。
本申请实施例配置的拦截器是为了在收集到每个日志头部添加日志属性信息,所述日志属性信息包含但不限于设备类型、设备名称、设备ip以及文件名称。添加日志属性信息的目的在于为了更精确更快的匹配对应的预设异常事件库,从而提高后续分析工作的效率;同时如果发现异常事件还可以根据该日志属性信息精准定位发生节点,查看更详细日志信息。
步骤302,对所述原始日志进行格式化处理,得到所述待处理日志。
实际收集到的原始日志可能来自于不同设备、不同服务,这些都会导致原始日志有不同格式,为了避免符号间的干扰,因此本申请实施例对原始日志进行格式化处理,格式化时可使用空格作为分隔符,来分开所有单词和特殊的符号,或者使用任意字符、数字、字母等来分开所有单词和特殊的符号,从而提升后续云安全事件检测的准确率。具体的,本申请实施例对分隔符的使用不进行限定。
步骤303,将所述待处理日志与预设异常事件库中的异常事件进行匹配。
对所述待处理日志进行解析,得到所述待处理日志对应的日志属性信息;根据所述日志属性信息匹配对应的目标预设异常事件库;将所述待处理日志与所述目标预设异常事件库中的异常事件进行匹配。
本申请实施例所述的预设异常事件库根据当前已知云安全异常事件,按照不同日志属性信息(如设备类型、不同文件名称)创建对应的预设异常事件库。将获取的待处理日志与预设异常事件库进行匹配,从而去精准快速判断是否为异常事件。若匹配成功,则执行步骤304;若匹配失败,则执行步骤305。
步骤304,确定所述待处理日志中存在异常事件。
步骤305,将待处理日志输入预设循环神经网络,以得到n维向量。
步骤306,将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵。
步骤307,将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵。
步骤308,调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。
步骤305至步骤308的实现原理,与图1所示的方法原理相同,可参阅图1的详细说明,本申请实施例在此不再进行赘述。
步骤309,根据检测得到的异常事件,对所述预设异常事件库进行更新。
综上所述,本申请实施例包括以下有益效果:
1、收集原始日志数据及处理时,在每个原始日志头部添加了日志属性信息:设备类型、设备名称、设备ip以及文件名称,添加日志属性信息可以更精确更快的对应预设异常事件库,从而提高后续分析工作的效率,精准定位异常事件发生节点,查看更详细日志信息;
2、同时进行统一格式化处理和聚类操作,减少了原始日志的数量以及噪声的干扰,提升了检测的精度和速度;
3、使用了更适合于具有上下文相关性数据的BiGRU网络模型,可以更好的提取到实时日志信息的时间相关特征,同时在其后引入了改进的自注意力机制,引入了位置权重参数weight对自注意力机制进行了改进,根据输入向量训练的位置,对模型训练后计算得到的自注意力权重系数进行重新分配,适当的去降低训练位置比较靠前的权重值,最终提取到了更具解释性的特征,且计算量更小、检测效果也得到了提升。
4、在预设分类模型选择了更适合数据量大的深度学习模型,同时考虑到日志信息的前后文相关性以及局部特征相关性,进行了特征融合,最终使用了改进的ABiGRU-MResCNN模型对待处理数据进行分析处理,在对待处理数据进行全局信息捕捉后,又获取了数据的空间局部特征,同时由于自注意力机制以及残差卷积神经网络作出的改进,最终使得预设分类模型的学习能力得到了增强,提高了预设分类模型的训练速度,同时又能够获取更具解释性的特征,可更大程度的提高检测异常事件的准确率,同时可保证模型的鲁棒性和泛化能力;
5、对当前异常事件的规则库进行实时的动态更新,当导致遇到同一种未知的异常事件时,就可以直接与异常事件规则库进行匹配,这大大提高了日志分析的精确度和效率,快速准确的进行告警,并定位发现具体的异常事件所发生位置,降低被攻击风险。
与上述的事件的检测方法相对应,本发明还提出一种事件的检测装置。由于本发明的装置实施例与上述的方法实施例相对应,对于装置实施例中未披露的细节可参照上述的方法实施例,本发明中不再进行赘述。
图9为本公开实施例提供的一种事件的检测装置的结构示意图,如图9所示,包括:
第一输入单元41,用于将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;
第二输入单元42,用于将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;
第三输入单元43,用于将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;
检测单元44,用于调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述第一输入单元41,还用于:
在预设循环神经网络中调用第一预设函数、对更新门对应的第一权重矩阵及更新门对应的第一偏置向量进行计算,得到更新门对应第一计算结果;其中,所述预设循环神经网络通过门控单元实现对所述待处理日志计算,所述门控单元包括所述更新门及所述重置门;
调用第二预设函数、对重置门对应的第二权重矩阵及重置门对应的第二偏置向量进行计算,得到重置门对应第二计算结果;
调用第三预设函数、对隐藏层对应的第三权重矩阵、所述重置门对应第二计算结果及隐藏层对应的第三偏置向量进行计算,得到隐藏层对应第三计算结果;
调用第四预设函数,对所述更新门对应第一计算结果及隐藏层对应第三计算结果进行计算,得到当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述第二输入单元42还用于:
在所述预设注意力模型中确定所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态输入所述预设注意力模型的位置信息,位置信息与位置权重参数对应;
根据所述位置信息及对应的权重参数计算得到所述n维向量对应的所述特征矩阵。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述第三输入单元43还用于:
在所述预设残差网络模型中,基于预设权重矩阵将所述特征矩阵的通道数据进行更新,得到所述空间局部特征矩阵。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述装置还包括:
训练单元45,用于在所述第一输入单元将待处理日志输入预设循环神经网络,得到n维向量之前,基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述训练单元45包括:
调用基于密度的聚类算法进行训练用日志进行聚类,得到训练用正常事件和训练用异常事件;
将所述训练用正常事件和训练用异常事件输入所述预设循环神经网络进行训练,得到当前隐藏节点的训练用输出信息以及传递给下一个节点的训练用隐藏状态;
将所述训练用输出信息以及所述训练用隐藏状态输入所述预设注意力模型进行训练,得到对应的训练用特征矩阵;
将所述训练用特征矩阵输入所述预设残差网络模型进行训练,得到训练用空间局部特征矩阵;
调用预设分类函数对所述训练用空间局部特征矩阵进行分类训练,以得到训练好的所述预设分类模型。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述装置还包括:
获取单元46,用于在所述训练单元45基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型之前,获取原始日志;
添加单元47,用于在所述原始日志中添加日志属性信息;
处理单元48,用于对所述原始日志进行格式化处理,得到所述待处理日志;
匹配单元49,用于将所述待处理日志与预设异常事件库中的异常事件进行匹配;
确定单元410,用于当匹配成功时,确定所述待处理日志中存在异常事件。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述第一输入单元41,还用于当匹配失败时,将待处理日志输入预设循环神经网络,以得到n维向量。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述装置还包括:
更新单元411,用于在所述检测单元调用预设分类函数对所述空间局部特征矩阵进行分类,以得到正常事件及异常事件之后,根据检测得到的异常事件,对所述预设异常事件库进行更新。
进一步地,在本实施例一种可能的实现方式中,如图10所示,所述匹配单元49,还用于:
对所述待处理日志进行解析,得到所述待处理日志对应的日志属性信息;
根据所述日志属性信息匹配对应的目标预设异常事件库;
将所述待处理日志与所述目标预设异常事件库中的异常事件进行匹配。
需要说明的是,前述对方法实施例的解释说明,也适用于本实施例的装置,原理相同,本实施例中不再限定。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图11示出了可以用来实施本公开的实施例的示例电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图11所示,设备500包括计算单元501,其可以根据存储在ROM(Read-OnlyMemory,只读存储器)502中的计算机程序或者从存储单元508加载到RAM(Random AccessMemory,随机访问/存取存储器) 503中的计算机程序,来执行各种适当的动作和处理。在RAM 503中,还可存储设备500操作所需的各种程序和数据。计算单元501、ROM 502以及RAM503通过总线504彼此相连。I/O(Input/Output,输入/输出) 接口505也连接至总线504。
设备500中的多个部件连接至I/O接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于CPU(Central Processing Unit,中央处理单元)、GPU(Graphic Processing Units,图形处理单元) 、各种专用的AI(ArtificialIntelligence,人工智能) 计算芯片、各种运行机器学习模型算法的计算单元、DSP(Digital Signal Processor,数字信号处理器) 、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如事件的检测方法。例如,在一些实施例中,事件的检测方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到RAM 503并由计算单元501执行时,可以执行上文描述的方法的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行前述事件的检测方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、FPGA(Field Programmable Gate Array,现场可编程门阵列)、ASIC(Application-Specific Integrated Circuit,专用集成电路)、ASSP(Application Specific StandardProduct,专用标准产品)、SOC(System On Chip,芯片上系统的系统)、CPLD(ComplexProgrammable Logic Device,复杂可编程逻辑设备) 、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、RAM、ROM、EPROM(Electrically Programmable Read-Only-Memory,可擦除可编程只读存储器) 或快闪存储器、光纤、CD-ROM(Compact Disc Read-Only Memory,便捷式紧凑盘只读存储器) 、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(Cathode-Ray Tube, 阴极射线管)或者LCD(Liquid Crystal Display, 液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:LAN(LocalArea Network,局域网)、WAN(Wide Area Network,广域网) 、互联网和区块链网络。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务("Virtual Private Server",或简称 "VPS")中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
其中,需要说明的是,人工智能是研究使计算机来模拟人的某些思维过程和智能行为(如学习、推理、思考、规划等)的学科,既有硬件层面的技术也有软件层面的技术。人工智能硬件技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理等技术;人工智能软件技术主要包括计算机视觉技术、语音识别技术、自然语言处理技术以及机器学习/深度学习、大数据处理技术、知识图谱技术等几大方向。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (20)

1.一种事件的检测方法,其特征在于,包括:
将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;
将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;
将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;
调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果;
将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量包括:
在预设循环神经网络中调用第一预设函数、对更新门对应的第一权重矩阵及更新门对应的第一偏置向量进行计算,得到更新门对应第一计算结果;其中,所述预设循环神经网络通过门控单元实现对所述待处理日志计算,所述门控单元包括所述更新门及重置门;
调用第二预设函数、对重置门对应的第二权重矩阵及重置门对应的第二偏置向量进行计算,得到重置门对应第二计算结果;
调用第三预设函数、对隐藏层对应的第三权重矩阵、所述重置门对应第二计算结果及隐藏层对应的第三偏置向量进行计算,得到隐藏层对应第三计算结果;
调用第四预设函数,对所述更新门对应第一计算结果及隐藏层对应第三计算结果进行计算,得到当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
2.根据权利要求1所述的方法,其特征在于,所述将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型包括:
在所述预设注意力模型中确定所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态输入所述预设注意力模型的位置信息,位置信息与位置权重参数对应;
根据所述位置信息及对应的权重参数计算得到所述n维向量对应的所述特征矩阵。
3.根据权利要求1所述的方法,其特征在于,所述将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵包括:
在所述预设残差网络模型中,基于预设权重矩阵将所述特征矩阵的通道数据进行更新,得到所述空间局部特征矩阵。
4.根据权利要求1所述的方法,其特征在于,在将待处理日志输入预设循环神经网络,得到n维向量之前,所述方法还包括:
基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型。
5.根据权利要求4所述的方法,其特征在于,所述基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型包括:
调用基于密度的聚类算法进行训练用日志进行聚类,得到训练用正常事件和训练用异常事件;
将所述训练用正常事件和训练用异常事件输入所述预设循环神经网络进行训练,得到当前隐藏节点的训练用输出信息以及传递给下一个节点的训练用隐藏状态;
将所述训练用输出信息以及所述训练用隐藏状态输入所述预设注意力模型进行训练,得到对应的训练用特征矩阵;
将所述训练用特征矩阵输入所述预设残差网络模型进行训练,得到训练用空间局部特征矩阵;
调用预设分类函数对所述训练用空间局部特征矩阵进行分类训练,以得到训练好的所述预设分类模型。
6.根据权利要求4所述的方法,其特征在于,在基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型之前,所述方法还包括:
获取原始日志,并在所述原始日志中添加日志属性信息;
对所述原始日志进行格式化处理,得到所述待处理日志;
将所述待处理日志与预设异常事件库中的异常事件进行匹配;
若匹配成功,则确定所述待处理日志中存在异常事件。
7.根据权利要求6所述的方法,其特征在于,所述将待处理日志输入预设循环神经网络还包括:
若匹配失败,则将待处理日志输入预设循环神经网络,以得到n维向量。
8.根据权利要求6所述的方法,其特征在于,在调用预设分类函数对所述空间局部特征矩阵进行分类,以得到正常事件及异常事件之后,所述方法还包括:
根据检测得到的异常事件,对所述预设异常事件库进行更新。
9.根据权利要求6所述的方法,其特征在于,所述将所述待处理日志与预设异常事件库中的异常事件进行匹配包括:
对所述待处理日志进行解析,得到所述待处理日志对应的日志属性信息;
根据所述日志属性信息匹配对应的目标预设异常事件库;
将所述待处理日志与所述目标预设异常事件库中的异常事件进行匹配。
10.一种事件的检测装置,其特征在于,包括:
第一输入单元,用于将待处理日志输入预设分类模型中的预设循环神经网络中,得到n维向量,n维向量包括当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,其中,所述预设分类模型包括预设循环神经网络、预设注意力模型、预设残差网络模型及预设分类函数;
第二输入单元,用于将所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态,输入预设注意力模型,得到所述n维向量对应的特征矩阵,其中,所述预设注意力模型根据不同位置信息的权重参数得到所述特征矩阵;
第三输入单元,用于将所述特征矩阵输入预设残差网络模型,得到空间局部特征矩阵;
检测单元,用于调用预设分类函数对所述空间局部特征矩阵进行分类,以得到所述待处理日志中正常事件及异常事件的检测结果;
所述第一输入单元,还用于:
在预设循环神经网络中调用第一预设函数、对更新门对应的第一权重矩阵及更新门对应的第一偏置向量进行计算,得到更新门对应第一计算结果;其中,所述预设循环神经网络通过门控单元实现对所述待处理日志计算,所述门控单元包括所述更新门及重置门;
调用第二预设函数、对重置门对应的第二权重矩阵及重置门对应的第二偏置向量进行计算,得到重置门对应第二计算结果;
调用第三预设函数、对隐藏层对应的第三权重矩阵、所述重置门对应第二计算结果及隐藏层对应的第三偏置向量进行计算,得到隐藏层对应第三计算结果;
调用第四预设函数,对所述更新门对应第一计算结果及隐藏层对应第三计算结果进行计算,得到当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态。
11.根据权利要求10所述的装置,其特征在于,所述第二输入单元还用于:
在所述预设注意力模型中确定所述当前隐藏节点的输出信息以及传递给下一个节点的隐藏状态输入所述预设注意力模型的位置信息,位置信息与位置权重参数对应;
根据所述位置信息及对应的权重参数计算得到所述n维向量对应的所述特征矩阵。
12.根据权利要求10所述的装置,其特征在于,所述第三输入单元还用于:
在所述预设残差网络模型中,基于预设权重矩阵将所述特征矩阵的通道数据进行更新,得到所述空间局部特征矩阵。
13.根据权利要求10所述的装置,其特征在于,所述装置还包括:
训练单元,用于在所述第一输入单元将待处理日志输入预设循环神经网络,得到n维向量之前,基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型。
14.根据权利要求13所述的装置,其特征在于,所述训练单元包括:
调用基于密度的聚类算法进行训练用日志进行聚类,得到训练用正常事件和训练用异常事件;
将所述训练用正常事件和训练用异常事件输入所述预设循环神经网络进行训练,得到当前隐藏节点的训练用输出信息以及传递给下一个节点的训练用隐藏状态;
将所述训练用输出信息以及所述训练用隐藏状态输入所述预设注意力模型进行训练,得到对应的训练用特征矩阵;
将所述训练用特征矩阵输入所述预设残差网络模型进行训练,得到训练用空间局部特征矩阵;
调用预设分类函数对所述训练用空间局部特征矩阵进行分类训练,以得到训练好的所述预设分类模型。
15.根据权利要求13所述的装置,其特征在于,所述装置还包括:
获取单元,用于在所述训练单元基于训练用日志对预设分类模型进行训练,以得到训练好的所述预设分类模型之前,获取原始日志;
添加单元,用于在所述原始日志中添加日志属性信息;
处理单元,用于对所述原始日志进行格式化处理,得到所述待处理日志;
匹配单元,用于将所述待处理日志与预设异常事件库中的异常事件进行匹配;
确定单元,用于当匹配成功时,确定所述待处理日志中存在异常事件。
16.根据权利要求15所述的装置,其特征在于,所述第一输入单元,还用于当匹配失败时,将待处理日志输入预设循环神经网络,以得到n维向量。
17.根据权利要求15所述的装置,其特征在于,所述装置还包括:
更新单元,用于在所述检测单元调用预设分类函数对所述空间局部特征矩阵进行分类,以得到正常事件及异常事件之后,根据检测得到的异常事件,对所述预设异常事件库进行更新。
18.根据权利要求15所述的装置,其特征在于,所述匹配单元,还用于:
对所述待处理日志进行解析,得到所述待处理日志对应的日志属性信息;
根据所述日志属性信息匹配对应的目标预设异常事件库;
将所述待处理日志与所述目标预设异常事件库中的异常事件进行匹配。
19. 一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-9中任一项所述的方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行根据权利要求1-9中任一项所述的方法。
CN202311183690.4A 2023-09-14 2023-09-14 事件的检测方法及装置、电子设备和存储介质 Active CN116910682B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311183690.4A CN116910682B (zh) 2023-09-14 2023-09-14 事件的检测方法及装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311183690.4A CN116910682B (zh) 2023-09-14 2023-09-14 事件的检测方法及装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN116910682A CN116910682A (zh) 2023-10-20
CN116910682B true CN116910682B (zh) 2023-12-05

Family

ID=88351511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311183690.4A Active CN116910682B (zh) 2023-09-14 2023-09-14 事件的检测方法及装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN116910682B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109858244A (zh) * 2019-01-16 2019-06-07 四川大学 一种容器内进程异常行为检测方法与系统
CN113312447A (zh) * 2021-03-10 2021-08-27 天津大学 基于概率标签估计的半监督日志异常检测方法
JP2022046177A (ja) * 2020-09-10 2022-03-23 日本電信電話株式会社 学習装置、異常検知装置、学習方法、異常検知方法、及びプログラム
CN116028315A (zh) * 2022-12-26 2023-04-28 中国电信股份有限公司 作业运行预警方法、装置、介质及电子设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3979080A1 (en) * 2020-09-30 2022-04-06 Mastercard International Incorporated Methods and systems for predicting time of server failure using server logs and time-series data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109858244A (zh) * 2019-01-16 2019-06-07 四川大学 一种容器内进程异常行为检测方法与系统
JP2022046177A (ja) * 2020-09-10 2022-03-23 日本電信電話株式会社 学習装置、異常検知装置、学習方法、異常検知方法、及びプログラム
CN113312447A (zh) * 2021-03-10 2021-08-27 天津大学 基于概率标签估计的半监督日志异常检测方法
CN116028315A (zh) * 2022-12-26 2023-04-28 中国电信股份有限公司 作业运行预警方法、装置、介质及电子设备

Also Published As

Publication number Publication date
CN116910682A (zh) 2023-10-20

Similar Documents

Publication Publication Date Title
CN110070141B (zh) 一种网络入侵检测方法
CN113657465B (zh) 预训练模型的生成方法、装置、电子设备和存储介质
WO2021155706A1 (zh) 利用不平衡正负样本对业务预测模型训练的方法及装置
EP4075395A2 (en) Method and apparatus of training anti-spoofing model, method and apparatus of performing anti-spoofing, and device
US20120173465A1 (en) Automatic Variable Creation For Adaptive Analytical Models
CN110348437B (zh) 一种基于弱监督学习与遮挡感知的目标检测方法
CN115082740B (zh) 目标检测模型训练方法、目标检测方法、装置、电子设备
CN113628059A (zh) 一种基于多层图注意力网络的关联用户识别方法及装置
CN113221104A (zh) 用户异常行为的检测方法及用户行为重构模型的训练方法
Karanam et al. Intrusion detection mechanism for large scale networks using CNN-LSTM
CN115719294A (zh) 一种室内行人流疏散控制方法、系统、电子设备及介质
CN115062779A (zh) 基于动态知识图谱的事件预测方法及装置
CN113590774B (zh) 事件查询方法、装置以及存储介质
CN113343123B (zh) 一种生成对抗多关系图网络的训练方法和检测方法
CN114692778A (zh) 用于智能巡检的多模态样本集生成方法、训练方法及装置
CN112613032B (zh) 基于系统调用序列的主机入侵检测方法及装置
CN112053386B (zh) 基于深度卷积特征自适应集成的目标跟踪方法
CN116910682B (zh) 事件的检测方法及装置、电子设备和存储介质
CN113408564A (zh) 图处理方法、网络训练方法、装置、设备以及存储介质
CN115687764A (zh) 车辆轨迹评估模型的训练方法、车辆轨迹评估方法和装置
CN113066537B (zh) 基于图神经网络的化合物分类方法
CN112541557B (zh) 生成式对抗网络的训练方法、装置及电子设备
Solanke et al. Intrusion detection using deep learning approach with different optimization
CN114860945A (zh) 基于规则信息的高质量噪音检测方法与装置
CN114139805A (zh) 温度预测及模型训练方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant