WO2021109874A1

WO2021109874A1 - 拓扑图生成方法、异常检测方法、装置、设备及存储介质

Info

Publication number: WO2021109874A1
Application number: PCT/CN2020/130033
Authority: WO
Inventors: 韩静; 刘建伟; 董辛酉; 刘峥
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-12-03
Filing date: 2020-11-19
Publication date: 2021-06-10
Also published as: US11797360B2; EP4071616A4; EP4071616A1; US20230004451A1; CN112905370A

Abstract

本申请提出拓扑图生成方法、异常检测方法、装置、设备及存储介质。其中，拓扑图生成方法包括：获取预设事件流，其中，预设事件流对应于正常的日志执行路径，确定预设事件流中的依赖事件对，确定依赖事件对对应的转移间隔范围，其中，所述转移间隔表示依赖事件对中的两个事件相邻发生的时间差，根据依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，其中，转移概率表示依赖事件对中的两个事件之间的条件概率。

Description

拓扑图生成方法、异常检测方法、装置、设备及存储介质

本申请要求在2019年12月3日提交中国专利局、申请号为201911222482.4的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，例如涉及一种拓扑图生成方法、异常检测方法、装置、设备及存储介质。

背景技术

为了满足用户日渐丰富的需求，现代软件系统变得越来越庞大和复杂，当软件系统出现异常时，能够检测出问题并找到原因至关重要。系统日志记录系统重要事件以及系统状态，帮助系统运维人员调试系统性能问题和异常，是理解系统状态的宝贵资源。然而，系统日志是非结构化的，通过运维人员的经验从错综复杂的系统日志中准确而高效地定位出系统异常事件是非常困难的。相关技术中的相关方案难以准确地进行日志异常检测，需要改进。

发明内容

本申请提供拓扑图生成方法、异常检测方法、装置、设备及存储介质。

本申请实施例提供一种拓扑图生成方法，包括：获取预设事件流，其中，所述预设事件流对应于正常的日志执行路径；确定所述预设事件流中的依赖事件对；确定所述依赖事件对对应的转移间隔范围，其中，所述转移间隔表示所述依赖事件对中的两个事件相邻发生的时间差；根据所述依赖事件对对应的转移概率和所述转移间隔范围生成事件拓扑图，其中，所述转移概率表示所述依赖事件对中的两个事件之间的条件概率。

本申请实施例提供一种异常检测方法，包括：获取待检测事件流，其中，所述待检测事件流对应于待检测的日志执行路径；将所述待检测事件流与事件拓扑图进行比对，其中，所述事件拓扑图采用本申请实施例提供的拓扑图生成方法生成；根据比对结果确定所述待检测事件流是否存在异常。

本申请实施例提供一种拓扑图生成装置，包括：预设事件流获取模块，设置为获取预设事件流，其中，所述预设事件流对应于正常的日志执行路径；依赖事件对确定模块，设置为确定所述预设事件流中的依赖事件对；转移间隔范围确定模块，设置为确定所述依赖事件对对应的转移间隔范围，其中，所述转移间隔表示所述依赖事件对中的两个事件发生时间的时间差；拓扑图生成模块，设置为根据所述依赖事件对对应的转移概率和所述转移间隔范围生成事件拓扑图，其中，所述转移概率表示所述依赖事件对中的两个事件之间的条件概率。

本申请实施例提供一种异常检测装置，包括：待检测事件流获取模块，设置为获取待检测事件流，其中，所述待检测事件流对应于待检测的日志执行路径；比对模块，设置为将所述待检测事件流与事件拓扑图进行比对，其中，所述事件拓扑图采用本申请实施例提供的拓扑图生成方法生成；异常检测模块，设置为根据比对结果确定所述待检测事件流是否存在异常。

本申请实施例提供一种计算机设备，包括：处理器以及存储器；所述处理器设置为执行存储器中存储的程序，以本申请实施例中的任意一种方法。

本申请实施例提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本申请实施例中的任意一种方法。

关于本申请的以上实施例和其他方面以及其实现方式，在附图说明、实施方式和权利要求中提供更多说明。

附图说明

图1为本申请实施例提供的一种拓扑图生成方法的流程示意图；

图2为本申请实施例提供的又一种拓扑图生成方法的流程示意图；

图3为本申请实施例提供的一种异常检测方法的流程示意图；

图4为本申请实施例提供的又一种异常检测方法的流程示意图；

图5为本申请实施例提供的一种拓扑图生成装置的结构框图；

图6为本申请实施例提供的一种异常检测装置的结构框图；

图7为本申请实施例提供的一种计算机设备的结构框图。

具体实施方式

下文中将结合附图对本申请的实施例进行说明。

图1为本申请实施例提供的一种拓扑图生成方法的流程示意图，该方法可以由拓扑图生成装置执行，其中该装置可由软件和/或硬件实现，一般可集成在计算机设备中。如图1所示，该方法包括以下步骤。

步骤101、获取预设事件流，其中，所述预设事件流对应于正常的日志执行路径。

系统日志是非结构化的，在不同的系统中，日志结构也往往不一样，且软件系统可以并行地执行多项任务，造成了输出的系统日志常常交错在一起，系统操作人员在日志运维的过程中，往往对该领域的专业知识不具有全面的了解，难以准确设置该领域的参数，其次系统日志数据错综复杂且庞大，因此，往往难以达到令人满意的准确率。相关技术中存在一种基于工作流的方案，但是缺乏能够准确地从大量错综复杂的日志信息中挖掘出表示系统正常执行流程的工作流图的方案。

本申请实施例中，先获取对应于正常的日志执行路径的预设事件流(也称预设事务流)，然后基于预设事件流进行分析和挖掘，最终生成用于日志异常分析的事件拓扑图，能够准确地表示系统正常执行流程。

示例性的，可以先获取到对应于正常的日志执行路径的预设日志流(相当于原始日志流)，然后依据日志模板将预设日志流转化为对应的预设事件流。系统日志可以分为两部分：固定部分和变量。固定部分是原始日志条目的固定部分，不随系统状态的改变而改变，变量部分是会随着系统状态的改变而改变，日志模板由原始日志抽象而来，例如可以将变量部分用如占位符*代替，每一个日志模板可以尽可能地对应一个日志输出语句，也即每个日志模板对应一个事件，或者说，对应一个事件类型。对于预设日志流中的两个以上的日志可能对应同样的日志模板，也就是说，在预设日志流中同一个事件可能发生两次以上。为了便于说明，本申请实施例中所提到的事件可以认为是一个事件类型，如事件A，预设事件流中每次出现的事件A可认为是事件A的一个实例。

日志模板可以是预先配置好的，也可以是通过日志解析的方式将非结构化的预设日志流中的日志解析为结构化的日志模板。

步骤102、确定预设事件流中的依赖事件对。

本步骤中，挖掘出预设事件流中的依赖事件对。事件对是构成事件流图的基本单元，对于一个事件对，两个事件的依赖关系的特征为所述两个事件之间的时间关系，例如事件对(A，B)，表示在事件A发生之后往往有事件B发生。依赖事件对可以认为是满足设定依赖关系的事件对。依赖事件对中发生在前的事件可称为前驱事件，发生在后的事件可称为后继事件。

可选的，可以根据两个事件的条件概率来确定预设事件流中的依赖事件对。

可选的，可以将所确定的依赖事件对添加至依赖事件对集合。

步骤103、确定所述依赖事件对对应的转移间隔范围，其中，所述转移间隔表示所述依赖事件对中的两个事件相邻发生的时间差。

示例性的，转移间隔也即转移时间的间隔，可以有效地反映系统事件转移时间的波动性，可以分析预设事件流中每个依赖事件对对应的所有实例发生的时间差来确定转移间隔范围，转移间隔范围可以表示依赖事件对中的两个事件相邻发生的时间差所处于的正常范围，转移间隔范围的确定方式不做限定。

步骤104、根据所述依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，其中，所述转移概率表示所述依赖事件对中的两个事件之间的条件概率。

示例性的，可以根据依赖事件对对应的转移概率和转移间隔范围这两个维度生成设定结构的事件拓扑图(Event Topology Graph，ETG)，该设定结构例如可以是树结构。

在一实施例中，所述事件拓扑图中包含多个节点，所述多个节点中的节点表示所述依赖事件对中的事件，所述多个节点中的两个节点之间的连接关系中包含所述两个节点所代表的依赖事件对对应的转移概率和转移间隔范围。也即，在事件拓扑图中，节点可以为依赖事件对中的事件，在两个节点之间的连接线上可以标注两个节点所代表的依赖事件对对应的转移概率和转移间隔范围。

这样所生成的事件拓扑图包含了正常的日志事件流在事件发生的条件概率以及发生的时间间隔两个维度上的标准信息，在用于日志异常检测时，就能够在这两个维度进行检测，提高检测的准确度。

本申请实施例提供的拓扑图生成方法，获取对应于正常的日志执行路径的预设事件流，确定预设事件流中的依赖事件对，以及确定依赖事件对对应的转移间隔范围，根据所述依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，其中，所述转移概率表示两个事件之间的条件概率。通过采用上述技术方案，所生成的事件拓扑图包含了正常的日志事件流在事件发生的条件概率以及发生的时间间隔两个维度上的标准信息，在用于日志异常检测时，就能够在这两个维度进行检测，提高检测的准确度。

在一个示例性实施方式中，所述根据所述依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，包括：以所述依赖事件对中包含的事件为节点，以所述依赖事件对对应的转移概率为节点之间的边的权重，生成最大生成树；在所述最大生成树中的边上添加所述依赖事件对对应的转移间隔范围，得到事件拓扑图。这样设置的好处在于，能够生成高效合理的事件拓扑图结构，有利于提升日志异常检测的准确度。示例性的，在图论中，一个图的生成树是包含所有节点的一个子图，通常表示为一棵树，最大生成树是有权值图的有着最大权值的生成树。本申请实施例中，可以路径之间的转移概率最大为目标函数来生成最大生成树，并在最大生成树的边上添加对应的转移间隔范围，也即，对于两个节点之间的边，将该两个节点对应的依赖事件对对应的转移间隔范围标记到该边上。

在一个示例性实施方式中，所述获取预设事件流，包括：获取预设日志流，其中，所述预设日志流对应于正常的日志执行路径；利用预设日志解析算法对所述预设日志流中的日志进行解析，得到多个日志模板，其中，每个日志模板对应一个事件；依据所述多个日志模板将所述预设日志流转化为所述预设日志流对应的预设事件流。这样设置的好处在于，基于预设日志流生成日志模板，使得日志模板与预设日志流中的日志匹配度更好，从而更准确地得到对应的事件流。预设日志解析算法例如可以是基础签名生成(Basic Signature Generation，BSG)、LKE以及迭代日志划分挖掘(Iterative Partitioning Log Mining，IPLoM)等。

示例性的，预设日志流可以表示为<l ₁,l ₂,…l _n>，假设如表1所示：

表1预设日志流

利用预设日志解析算法对预设日志流进行解析，可以得到对应的日志模板<e ₁,e ₂,…e _m>,m<n，每个日志模板代表一种事件类型，比如表1的预设日志流经过日志解析后得到的日志模板如表2所示：

template表示日志模板，Event_id表示对应的事件类型。

根据日志模板将预设日志流转化为预设事件流。如上述举例，预设日志流l ₁,l ₂,l ₃,l ₄,l ₅,l ₆对应的事务流为e ₁,e ₂,e ₂,e ₃,e ₄,e ₄。

在一个示例性实施方式中，所述确定所述预设事件流中的依赖事件对，包括：对于所述预设事件流中出现的每个事件，确定当前事件对应的候选后继事件集合，并判断所述当前事件与所述当前事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，将满足所述第一预设依赖关系的候选后继事件确定为后继事件并将后继事件加入后继事件集合，其中，所述当前事件与一个后继事件形成一个依赖事件对。这样设置的好处在于，对于每个事件，可将所述每个事件作为前驱事件，并初步确定对应的候选后继事件集合，然后再判断候选后继事件集合中的事件是否能够成为对应的后继事件，可以提升确定依赖事件对的效率。

在一个示例性实施方式中，所述确定当前事件对应的候选后继事件集合，包括：将在所述预设事件流中所述当前事件每两次相邻出现之间存在的第一事件加入初始候选后继事件集合；计算所述当前事件和每个第一事件的条件概率；将第二事件从所述初始候选后继事件集合中去除，得到所述当前事件对应的候选后继事件集合，其中，所述当前事件和所述第二事件的条件概率小于预设条件概率阈值。其中，条件概率又可称为相关概率，预设条件概率阈值可以根据实际情况进行设置。这样设置的好处在于，可以利用条件概率过滤出噪音事件，尽可能地去除前驱事件的间接的后继事件，保留前驱事件的直接后继事件，提高确定依赖事件对的准确性。

可选的，可采用如下公式计算所述当前事件和每个第一事件的条件概率：

SUP _(A|B)＝N _(A|B)/min(p _A,p _B)*sigmoid(min(p _A,p _B))

A表示当前事件，即前驱事件，B表示A对应的初始候选后继事件集合的第一事件，p _A是事件A发生的概率，p _B是事件B发生的概率，N _(A|B)是事件B在事件A对应的初始候选后继事件集合的发生次数，也即第一事件在当前事件每两次相邻出现之间发生的次数。

在一个示例性实施方式中，所述判断所述当前事件与所述当前事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，包括：对于与所述当前事件对应的候选后继事件集合中的每个候选后继事件，计算当前候选后继事件的等待时间的无条件分布，计算所述当前候选后继事件相对于所述当前事件的等待时间的条件分布，根据所述无条件分布和所述条件分布确定所述当前事件与所述当前候选后继事件之间是否满足第一预设依赖关系，其中，所述等待时间表示所述当前事件的发生时间与所述当前候选后继事件的发生时间的时间差。这样设置的好处在于，可以更加准确地确定依赖事件对。

示例性的，抽取事件所对应的时间序列，将事件A发生的时间序列表示为：S _A＝<a ₁,a ₂,…,a _m>，其中，a _i,1≤i≤m为事件类型为A的日志条目的时间戳。假设S _A的范围在[0,T]之间，给定一个时间点z，z和S _A之间的最小正距离即等待时间为d(z,S _A)＝min||x-z||,x∈S _A,x≥z，事件B的等待时间的无条件分布为F _B(r)＝P(d(z,S _B))≤r，其中r是时间间隔的阈值参数，这里的z对应任意一个事件。事件B相对于事件A的等待时间的条件分布为：F _B|A(r)＝P(d(z,S _B))≤r,z∈S _A，x为序列S _A中任意一点，这里的z对应S _A中任意一点，F _B|A描述了事件A在任意一时间点x的条件概率。

在一个示例性实施方式中，所述根据所述无条件分布和所述条件分布确定所述当前事件与所述当前候选后继事件之间是否满足第一预设依赖关系，包括：在所述无条件分布和所述条件分布符合正态分布的情况下，确定所述当前事件与所述当前候选后继事件之间满足第一预设依赖关系。这样设置的好处在于，可以快速准确地确定两个事件是否为依赖事件对。可选的，还可以依据正态分布以外的其他分布来衡量当前事件与当前候选后继事件之间是否满足第一预设依赖关系。

在一个示例性实施方式中，所述确定所述依赖事件对对应的转移间隔范围，包括：针对每个依赖事件对，获取在所述预设事件流中当前依赖事件对对应的时间差序列，对所述时间差序列进行聚类，根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围，其中，所述时间差序列中包含所述当前依赖事件对中的两个事件相邻发生的时间差。这样设置的好处在于，通过聚类的方式可以快速有效地去除冗余事件，提高确定转移间隔范围的准确性。对于依赖事件对中的两个事件C和D，在预设事件流中一般会多次出现，当C和D第一次相邻发生时，计算两者发生的第一时间差，成为时间差序列中的第一个元素，当C和D第二次相邻发生时，计算两者发生的第二时间差，成为时间差序列中的第二个元素，依次类推，得到该依赖事件对对应的时间差序列。

在一个示例性实施方式中，所述根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围，包括：根据簇类中的最大值和最小值确定所述当前依赖事件对对应的转移间隔范围；或者，根据簇类中的时间分布的置信区间确定所述当前依赖事件对对应的转移间隔范围。这样设置的好处在于，可以快速确定每个依赖事件对应的转移间隔范围。

示例性的，获取依赖事件对之间的转移间隔序列。例如，对于挖掘到的每一个依赖事件对<T _i,T _j>，找出预设事件流中所有相邻的T _i和T _j，记录所有相邻的T _i和T _j之间的时间差为序列<t ₁,t ₂,…,t _m>。对时间差序列采用聚类算法，通过聚类的方法可以去除冗余事件，可以采用的聚类算法有凝聚的层次聚类算法(AGglomerative NESting，AGNES)、分裂的层次聚类(DIvisive ANAlysis，DIANA)、以及具有噪声的基于密度的聚类方法(Density-Based Spatial Clustering of Applications with Noise，DBSCAN)等，取每一个簇最大值和最小值，作为属于该簇的事件对的时间间隔范围。

在一个示例性实施方式中，所述根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围，包括：利用预设统计检验方法对所述当前依赖事件对进行检验，若检验通过，则根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围。这样设置的好处在于，可以对依赖事件对的依赖关系在时间上进行验证。预设统计检验方法可包括卡方检验、z检验以及t检验等。示例性的，用卡方检验检验每一个簇，如果所述每一个簇通过卡方检验，则证明事件对之间有依赖关系，并将前述步骤中计算出的时间间隔作为事件对的转移时间间隔范围。

在一个示例性实施方式中，在所述生成最大生成树之后，还包括：对于所述最大生成树中的任意依赖事件对对应的两个节点，计算当前两个节点存在绕行路径的绕行概率，若所述绕行概率大于预设绕行概率阈值，则补全所述当前两个节点之间的边。这样设置的好处在于，可以完善所生成的最大生成树，提高事件拓扑图的准确性。

示例性的，计算生成树节点之间的路径长度，生成树任意两点(起点和终点)分别记为E ₁,E ₂，之间的路径长度为path(E ₂,E ₂)，在E ₁,E ₂之间存在绕行路径的概率为：d(E ₁,E ₂)＝log 1+path(E ₁,E ₂))，根据日志序列设置合适的预设绕行概率阈值来决定是否补上从E ₁到E ₂的路径。

在一个示例性实施方式中，所述补全所述当前两个节点之间的边，包括：将所述当前两个节点之间的目标绕行路径经过的所有边上的权重之和作为所述当前两个节点之间的边的权重进行边补全，其中，所述目标绕行路径为所经过的所有边的权重之和最大的路径。这样设置的好处在于，可以快速准确地补全生成树中存在依赖关系却没有边的节点之间的缺失路径。

图2为本申请实施例提供的又一种拓扑图生成方法的流程示意图，如图2所示，该方法包括以下步骤。

步骤201、获取预设日志流，并将预设日志流转化为对应的预设事件流。

步骤202、对于预设事件流中出现的每个事件，确定当前事件对应的候选后继事件集合，并判断当前事件与当前事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，根据判断结果确定依赖事件对。

若判断出当前事件与一个候选后继事件之间满足第一预设依赖关系，则确定当前事件与所述一个候选后继事件为依赖事件对。

可选的，将在预设事件流中当前事件每两次相邻出现之间存在的第一事件加入初始候选后继事件集合，计算当前事件和每个第一事件的条件概率，将条件概率小于预设条件概率阈值的第二事件从初始候选后继事件集合中去除，得到当前事件对应的候选后继事件集合。

可选的，对于与当前事件对应的候选后继事件集合中的每个候选后继事件，计算当前候选后继事件的等待时间的无条件分布，计算当前候选后继事件相对于当前事件的等待时间的条件分布，在所述无条件分布和所述条件分布符合正态分布的情况下，确定当前事件与当前候选后继事件之间满足第一预设依赖关系，也即当前事件和当前候选后继事件为一个依赖事件对。

步骤203、针对每个依赖事件对，获取在预设事件流中当前依赖事件对对应的时间差序列，对时间差序列进行聚类，根据簇类中的最大值和最小值确定当前依赖事件对对应的转移间隔范围。

在对时间差序列进行聚类之后，还可包括利用卡方检验检验当前依赖事件对对应的簇，若检验通过，则根据当前依赖事件对应的簇中的最大值和最小值确定当前依赖事件对对应的转移间隔范围。可选的，若检验未通过，可认为当前依赖事件对在时间上不具备依赖关系，从依赖事件对集合中删除当前依赖事件对。

步骤204、以所述依赖事件对中包含的事件为节点，以所述依赖事件对对应的转移概率为节点之间的边的权重，生成最大生成树。

示例性的，树中节点代表一个事件，边上的权重代表连接的前驱事件和后继事件之间的转移概率，生成树作为整个工作流的骨架。可用的生成生成树的算法有普里姆算法(Prim)和克鲁斯卡尔算法(Kruskal)，可以对这些算法进行变形，如以路径之间的转移概率最大为目标函数来生成最大生成树。

步骤205、对于最大生成树中的任意依赖事件对对应的两个节点，计算当前两个节点存在绕行路径的绕行概率，若绕行概率大于预设绕行概率阈值，则将当前两个节点之间的目标绕行路径经过的所有边上的权重之和作为当前两个节点之间的边的权重进行边补全。

步骤206、在经过边补全处理的最大生成树中的边上添加对应的转移间隔范围，得到用于日志异常检测的事件拓扑图。

本申请实施例提供的拓扑图生成方法，获取对应于正常的日志执行路径预设日志流，并将预设日志流转化为预设事件流，挖掘预设事件流中的依赖事件对，并通过聚类的方式确定依赖事件对对应的转移间隔范围，以依赖事件对中包含的事件为节点，以依赖事件对对应的转移概率为节点之间的边的权重，生成最大生成树，在对缺失路径进行补全后，在树的边上添加对应的转移间隔范围，得到用于日志异常检测的事件拓扑图。通过采用上述技术方案，所生成的树状的事件拓扑图包含了正常的日志事件流在事件发生的条件概率以及发生的时间间隔两个维度上的标准信息，在用于日志异常检测时，能够提高检测的准确度以及提升检测效率。

图3为本申请实施例提供的一种异常检测方法的流程示意图，该方法可以由异常检测装置执行，其中该装置可由软件和/或硬件实现，一般可集成在计算机设备中。如图3所示，该方法包括以下步骤。

步骤301、获取待检测事件流，其中，待检测事件流对应于待检测的日志执行路径。

示例性的，待检测事件流可以是系统新产生的日志流转化而来的，也可以是历史产生的需要进行异常检测的日志流转化而来的。可以采用与生成事件拓扑图时采用的日志模板将待检测日志流转化为对应的待检测事件流。

步骤302、将待检测事件流与事件拓扑图进行比对。

所述事件拓扑图采用本申请实施例提供的拓扑图生成方法生成。事件拓扑图的生成过程可视为异常检测的离线阶段，生成高质量的事件拓扑图后，可以用事件拓扑图代表系统的正常执行路径，在在线阶段，比较待检测事件流与事件拓扑图，来分析异常。

步骤303、根据比对结果确定所述待检测事件流是否存在异常。

示例性的，通过比对待检测事件流与事件拓扑图之间的差别，可以发现当前待检测的日志执行路径是否与正常的日志执行路径存在差异，进而确定是否存在异常。

本申请实施例提供的异常检测方法，将对应于待检测的日志执行路径的待检测事件流与采用本申请实施例提供的拓扑图生成方法所生成的事件拓扑图进行比对，根据比对结果可以快速准确地检测出待检测事件流是否存在异常，可以提高日志异常检测的准确性和效率。

在一个示例性实施方式中，所述事件拓扑图中包含多个节点，所述多个节点中的节点表示所述依赖事件对中的事件，所述多个节点中的两个节点之间的连接关系中包含所述两个节点所代表的依赖事件对对应的转移概率和转移间隔范围。将所述待检测事件流与事件拓扑图进行比对，根据比对结果确定所述待检测事件流是否存在异常，包括：对于所述待检测事件流中的当前事件，在所述事件拓扑图中查找对应的目标事件；在所述当前事件的下一个事件未对应于所述目标事件的子节点的情况下，确定所述待检测事件流存在异常。目标事件可以理解为存在于事件拓扑图中的与当前事件类型相同的事件。若当前事件的下一个事件与目标事件的任意一个子节点上的事件类型相同，则认为当前事件的下一个事件对应于目标事件的子节点。一个节点的子节点可以理解为与该节点相连且处于该节点之后的节点。以树结构为例，一个节点的子节点为该节点的分支节点。这样设置的好处在于，可以先基于两个连续发生的事件的条件概率来验证待检测事件流中在事件发生顺序层面是否存在异常，从而进一步快速准确地进行异常检测。

在一个示例性实施方式中，该方法还包括：在所述当前事件的下一个事件对应于所述目标事件的第一子节点的情况下，获取所述当前事件与所述下一个事件之间的第一时间间隔；获取所述目标事件与所述第一子节点对应的转移间隔范围；在所述第一时间间隔未处于所述转移间隔范围内的情况下，确定所述待检测事件流存在异常。这样设置的好处在于，在基于两个连续发生的事件的条件概率的验证通过后，检测两个事件发生的时间间隔是否处于合理范围内，从而提高异常检测的准确性。

图4为本申请实施例提供的一种异常检测方法的流程示意图，如图4所示，在日志检测的在线阶段，读入事务流e1,e2,...en，也即获取待检测事件流。对于当前事件ei，判断ei是否存在于事件拓扑图中，若ei未在事件拓扑图中，则将事务流中下一个事件作为新的当前事件重新判断，若ei在事件拓扑图中，则继续判断ei的下一个事件ei+1是否在事件拓扑图中的ei的子节点中。若ei+1未在事件拓扑图中的ei的子节点中，则输出执行路径异常；若ei+1在事件拓扑图中的ei的子节点中，则继续判断ei和ei+1之间的间隔是否在指定时间间隔内，也即判断ei和ei+1之间的间隔是否处于对应的转移间隔范围内。ei和ei+1之间的间隔未在指定时间间隔内，则输出执行路径异常；ei和ei+1之间的间隔在指定时间间隔内，则判断事务流中是否还有其他事件。若仍存在其他事件，则将ei+1作为新的ei重复进行判断；若不存在其他事件，则结束流程。

图5为本申请实施例提供的一种拓扑图生成装置的结构框图，该装置可由软件和/或硬件实现，一般可集成在计算机设备中，可通过执行拓扑图生成方法来生成事件拓扑图。如图5所示，该装置包括：预设事件流获取模块501，设置为获取预设事件流，其中，所述预设事件流对应于正常的日志执行路径；依赖事件对确定模块502，设置为确定所述预设事件流中的依赖事件对；转移间隔范围确定模块503，设置为确定所述依赖事件对对应的转移间隔范围，其中，所述转移间隔表示所述依赖事件对中的两个事件发生时间的时间差；拓扑图生成模块504，设置为根据所述依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，其中，所述转移概率表示所述依赖事件对中的两个事件之间的条件概率。

本申请实施例提供的拓扑图生成装置，获取对应于正常的日志执行路径预设事件流，确定预设事件流中的依赖事件对，以及确定依赖事件对对应的转移间隔范围，根据所述依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，其中，所述转移概率表示两个事件之间的条件概率，其中，所述转移概率表示两个事件之间的条件概率。通过采用上述技术方案，所生成的事件拓扑图包含了正常的日志事件流在事件发生的条件概率以及发生的时间间隔两个维度上的标准信息，在用于日志异常检测时，就能够在这两个维度进行检测，提高检测的准确度。

在一个示例性实施方式中，所述事件拓扑图中包含多个节点，所述多个节点中的节点表示所述依赖事件对中的事件，所述多个节点中的两个节点之间的连接关系中包含所述两个节点所代表的依赖事件对对应的转移概率和转移间隔范围。

在一个示例性实施方式中，所述根据所述依赖事件对对应的转移概率和转移间隔范围生成事件拓扑图，包括：以所述依赖事件对中包含的事件为节点，以所述依赖事件对对应的转移概率为节点之间的边的权重，生成最大生成树；在所述最大生成树中的边上添加所述依赖事件对应的转移间隔范围，得到事件拓扑图。

在一个示例性实施方式中，所述获取预设事件流，包括：获取预设日志流，其中，所述预设日志流对应于正常的日志执行路径；利用预设日志解析算法对所述预设日志流中的日志进行解析，得到多个日志模板，其中，每个日志模板对应一个事件；依据所述多个日志模板将所述预设日志流转化为所述预设日志流对应的预设事件流。

在一个示例性实施方式中，所述确定所述预设事件流中的依赖事件对，包括：对于所述预设事件流中出现的每个事件，确定当前事件对应的候选后继事件集合，并判断所述当前事件与所述当前事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，将满足所述第一预设依赖关系的候选后继事件确定为后继事件并将后继事件加入后继事件集合，其中，所述当前事件与一个后继事件形成一个依赖事件对。

在一个示例性实施方式中，所述确定当前事件对应的候选后继事件集合，包括：将在所述预设事件流中所述当前事件每两次相邻出现之间存在的第一事件加入初始候选后继事件集合；计算所述当前事件和每个第一事件的条件概率；将第二事件从所述初始候选后继事件集合中去除，得到所述当前事件对应的候选后继事件集合，其中，所述当前事件和所述第二事件的条件概率小于预设条件概率阈值。

在一个示例性实施方式中，所述判断所述当前事件与所述当前事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，包括：对于与所述当前事件对应的候选后继事件集合中的每个候选后继事件，计算当前候选后继事件的等待时间的无条件分布，计算所述当前候选后继事件相对于所述当前事件的等待时间的条件分布，根据所述无条件分布和所述条件分布确定所述当前事件与所述当前候选后继事件之间是否满足第一预设依赖关系，其中，所述等待时间表示所述当前事件的发生时间与所述当前候选后继事件的发生时间的时间差。

在一个示例性实施方式中，所述根据所述无条件分布和所述条件分布确定所述当前事件与所述当前候选后继事件之间是否满足第一预设依赖关系，包括：在所述无条件分布和所述条件分布符合正态分布的情况下，确定所述当前事件与所述当前候选后继事件之间满足第一预设依赖关系。

在一个示例性实施方式中，所述确定所述依赖事件对对应的转移间隔范围，包括：针对每个依赖事件对，获取在所述预设事件流中当前依赖事件对对应的时间差序列，对所述时间差序列进行聚类，根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围，其中，所述时间差序列中包含所述当前依赖事件对中的两个事件相邻发生的时间差。

在一个示例性实施方式中，所述根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围，包括：根据簇类中的最大值和最小值作为所述当前依赖事件对对应的转移间隔范围；或者，根据簇类中的时间分布的置信区间确定所述当前依赖事件对对应的转移间隔范围。

在一个示例性实施方式中，所述根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围，包括：利用预设统计检验方法对所述当前依赖事件对进行检验，若检验通过，则根据簇类中的时间分布确定所述当前依赖事件对对应的转移间隔范围。

在一个示例性实施方式中，该装置还包括：边补全模块，设置为在所述生成最大生成树之后，对于所述最大生成树中的任意依赖事件对对应的两个节点，计算当前两个节点存在绕行路径的绕行概率，若所述绕行概率大于预设绕行概率阈值，则补全所述当前两个节点之间的边。

在一个示例性实施方式中，所述补全所述当前两个节点之间的边，包括：将所述当前两个节点之间的目标绕行路径经过的所有边上的权重之和作为所述当前两个节点之间的边的权重进行边补全，其中，所述目标绕行路径为所经过的所有边的权重之和最大的路径。

图6为本申请实施例提供的一种异常检测装置的结构框图，该装置可由软件和/或硬件实现，一般可集成在服务器中，可通过执行异常检测方法来进行日志异常检测。如图6所示，该装置包括：待检测事件流获取模块601，设置为获取待检测事件流，其中，所述待检测事件流对应于待检测的日志执行路径；比对模块602，设置为将所述待检测事件流与事件拓扑图进行比对，其中，所述事件拓扑图采用本申请实施例提供的拓扑图生成方法生成；异常检测模块603，设置为根据比对结果确定所述待检测事件流是否存在异常。

本申请实施例提供的异常检测装置，将对应于待检测的日志执行路径的待检测事件流与采用本申请实施例提供的拓扑图生成方法所生成的事件拓扑图进行比对，根据比对结果可以快速准确地检测出待检测事件流是否存在异常，可以提高日志异常检测的准确性和效率。

在一个示例性实施方式中，所述事件拓扑图中包含多个节点，所述多个节点中的节点表示所述依赖事件对中的事件，所述多个节点中的两个节点之间的连接关系中包含所述两个节点所代表的依赖事件对对应的转移概率和转移间隔范围；将所述待检测事件流与事件拓扑图进行比对，根据比对结果确定所述待检测事件流是否存在异常，包括：对于所述待检测事件流中的当前事件，在所述事件拓扑图中查找对应的目标事件；在所述当前事件的下一个事件未对应于所述目标事件的子节点的情况下，确定所述待检测事件流存在异常。

在一个示例性实施方式中，异常检测模块603还设置为：在所述当前事件的下一个事件对应于所述目标事件的第一子节点的情况下，获取所述当前事件与所述下一个事件之间的第一时间间隔；获取所述目标事件与所述第一子节点对应的转移间隔范围；在所述第一时间间隔未处于所述转移间隔范围内的情况下，确定所述待检测事件流存在异常。

本申请实施例提供了一种计算机设备，该计算机设备中可集成本申请实施例提供的拓扑图生成装置和/或异常检测装置。图7为本申请实施例提供的一种计算机设备的结构框图。计算机设备700可以包括：存储器701，处理器702及存储在存储器701上并可在处理器702运行的计算机程序，所述处理器702执行所述计算机程序时实现如本申请实施例所述的拓扑图生成方法和/或异常检测方法。

本申请实施例还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行本申请任意实施例所提供的拓扑图生成方法和/或异常检测方法。

上述实施例中提供的拓扑图生成装置、异常检测装置、计算机设备以及存储介质可执行本申请相应实施例所提供的方法，具备执行方法相应的功能模块。未在上述实施例中描述的技术细节，可参见本申请相应实施例所提供的方法。

本领域内的技术人员应明白，术语计算机设备涵盖任何适合类型的能够执行计算机程序的设备，例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。

一般来说，本申请的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如，一些方面可以被实现在硬件中，而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中，尽管本申请不限于此。

本申请的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现，例如在处理器实体中，或者通过硬件，或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture，ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。

本申请附图中的任何逻辑流程的框图可以表示程序步骤，或者可以表示相互连接的逻辑电路、模块和功能，或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现，例如但不限于只读存储器(Read-Only Memory，ROM)、随机访问存储器(Random Access Memory，RAM)、光存储器装置和系统(数码多功能光碟(Digital Video Disk，DVD)或光盘(Compact Disc，CD))等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型，例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑器件(Field Programmable Gate Array，FPGA)以及基于多核处理器架构的处理器。

Claims

一种拓扑图生成方法，包括：

获取预设事件流，其中，所述预设事件流对应于正常的日志执行路径；

确定所述预设事件流中的依赖事件对；

确定所述依赖事件对对应的转移间隔范围，其中，所述转移间隔表示所述依赖事件对中的两个事件相邻发生的时间差；

根据所述依赖事件对对应的转移概率和所述转移间隔范围生成事件拓扑图，其中，所述转移概率表示所述依赖事件对中的两个事件之间的条件概率。
根据权利要求1所述的方法，其中，所述事件拓扑图中包含多个节点，所述多个节点中的节点表示所述依赖事件对中的事件，所述多个节点中的两个节点之间的连接关系中包含所述两个节点所代表的依赖事件对对应的转移概率和转移间隔范围。
根据权利要求2所述的方法，其中，所述根据所述依赖事件对对应的转移概率和所述转移间隔范围生成事件拓扑图，包括：

以所述依赖事件对中包含的事件为节点，以所述依赖事件对对应的转移概率为节点之间的边的权重，生成最大生成树；

在所述最大生成树中的边上添加所述依赖事件对对应的转移间隔范围，得到事件拓扑图。
根据权利要求1所述的方法，其中，所述获取预设事件流，包括：

获取预设日志流，其中，所述预设日志流对应于所述正常的日志执行路径；

利用预设日志解析算法对所述预设日志流中的日志进行解析，得到多个日志模板，其中，每个日志模板对应一个事件；

依据所述多个日志模板将所述预设日志流转化为所述预设日志流对应的预设事件流。
根据权利要求1所述的方法，其中，所述确定所述预设事件流中的依赖事件对，包括：

确定所述预设事件流中的每个事件对应的候选后继事件集合，并判断所述每个事件与所述每个事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，将满足所述第一预设依赖关系的候选后继事件确定为后继事件并将所述后继事件加入后继事件集合，其中，所述每个事件与一个后继事件形成一个依赖事件对。
根据权利要求5所述的方法，其中，所述确定所述预设事件流中的每个事件对应的候选后继事件集合，包括：

将在所述预设事件流中每个事件每两次相邻出现之间存在的第一事件加入初始候选后继事件集合；

计算所述每个事件和每个第一事件的条件概率；

将第二事件从所述初始候选后继事件集合中去除，得到所述每个事件对应的候选后继事件集合，其中，所述每个事件和所述第二事件的条件概率小于预设条件概率阈值。
根据权利要求5所述的方法，其中，所述判断每个事件与所述每个事件所对应的候选后继事件集合中的每个候选后继事件之间是否满足第一预设依赖关系，包括：

计算每个事件对应的候选后继事件集合中的每个候选后继事件的等待时间的无条件分布，计算所述每个候选后继事件相对于所述每个事件的等待时间的条件分布，根据所述无条件分布和所述条件分布确定所述每个事件与所述每个候选后继事件之间是否满足所述第一预设依赖关系，其中，所述等待时间表示所述每个事件的发生时间与所述每个候选后继事件的发生时间的时间差。
根据权利要求7所述的方法，其中，所述根据所述无条件分布和所述条件分布确定所述每个事件与所述每个候选后继事件之间是否满足所述第一预设依赖关系，包括：

在所述无条件分布和所述条件分布符合正态分布的情况下，确定所述每个事件与所述每个候选后继事件之间满足所述第一预设依赖关系。
根据权利要求1所述的方法，其中，所述依赖事件对的数量为多个，所述确定所述依赖事件对对应的转移间隔范围，包括：

获取在所述预设事件流中每个依赖事件对对应的时间差序列，对所述时间差序列进行聚类，根据簇类中的时间分布确定所述每个依赖事件对对应的转移间隔范围，其中，所述时间差序列中包含所述每个依赖事件对中的两个事件相邻发生的时间差。
根据权利要求9所述的方法，其中，所述根据簇类中的时间分布确定所述每个依赖事件对对应的转移间隔范围，包括：

根据所述簇类中的最大值和最小值确定所述每个依赖事件对对应的转移间隔范围；或者，

根据所述簇类中的时间分布的置信区间确定所述每个依赖事件对对应的转移间隔范围。
根据权利要求9所述的方法，其中，所述根据簇类中的时间分布确定所述每个依赖事件对对应的转移间隔范围，包括：

利用预设统计检验方法对所述每个依赖事件对进行检验，在检验通过的情况下，根据所述簇类中的时间分布确定所述每个依赖事件对对应的转移间隔范围。
根据权利要求3所述的方法，在所述生成最大生成树之后，还包括：

计算所述最大生成树中的任意依赖事件对对应的两个节点存在绕行路径的绕行概率，在所述绕行概率大于预设绕行概率阈值的情况下，补全所述两个节点之间的边。
根据权利要求12所述的方法，其中，所述补全所述两个节点之间的边，包括：

将所述两个节点之间的目标绕行路径经过的所有边上的权重之和作为所述两个节点之间的边的权重进行边补全，其中，所述目标绕行路径为所经过的所有边的权重之和最大的路径。
一种异常检测方法，包括：

获取待检测事件流，其中，所述待检测事件流对应于待检测的日志执行路径；

将所述待检测事件流与事件拓扑图进行比对，其中，所述事件拓扑图采用如权利要求1-13任一所述的拓扑图生成方法生成；

根据比对结果确定所述待检测事件流是否存在异常。
根据权利要求14所述的方法，其中，所述事件拓扑图中包含多个节点，所述多个节点中的节点表示依赖事件对中的事件，所述多个节点中的两个节点之间的连接关系中包含所述两个节点所代表的依赖事件对对应的转移概率和转移间隔范围；

所述将所述待检测事件流与事件拓扑图进行比对，根据比对结果确定所述待检测事件流是否存在异常，包括：

在所述事件拓扑图中查找所述待检测事件流中的每个事件对应的目标事件；

在所述每个事件的下一个事件未对应于所述目标事件的子节点的情况下，确定所述待检测事件流存在异常。
根据权利要求15所述的方法，还包括：

在所述每个事件的下一个事件对应于所述目标事件的第一子节点的情况下，获取所述每个事件与所述下一个事件之间的第一时间间隔；

获取所述目标事件与所述第一子节点对应的转移间隔范围；

在所述第一时间间隔未处于所述转移间隔范围内的情况下，确定所述待检测事件流存在异常。
一种拓扑图生成装置，包括：

预设事件流获取模块，设置为获取预设事件流，其中，所述预设事件流对应于正常的日志执行路径；

依赖事件对确定模块，设置为确定所述预设事件流中的依赖事件对；

转移间隔范围确定模块，设置为确定所述依赖事件对对应的转移间隔范围，其中，所述转移间隔表示所述依赖事件对中的两个事件发生时间的时间差；

拓扑图生成模块，设置为根据所述依赖事件对对应的转移概率和所述转移间隔范围生成事件拓扑图，其中，所述转移概率表示所述依赖事件对中的两个事件之间的条件概率。
一种异常检测装置，包括：

待检测事件流获取模块，设置为获取待检测事件流，其中，所述待检测事件流对应于待检测的日志执行路径；

比对模块，设置为将所述待检测事件流与事件拓扑图进行比对，其中，所述事件拓扑图采用如权利要求1-13任一所述的拓扑图生成方法生成；

异常检测模块，设置为根据比对结果确定所述待检测事件流是否存在异常。
一种计算机设备，所述设备包括处理器以及存储器；

所述处理器设置为执行存储器中存储的程序，以实现权利要求1-16任一项所述的方法。
一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-16任一项所述的方法。