异常连接检测装置及方法制造方法及图纸

本发明专利技术公开一种异常连接检测装置及方法。根据示例性实施例的异常连接检测装置包括：日志模式化单元，构成为由关于系统连接的日志数据(log data)识别分别表示连接步骤的多个连接模式；日志分析单元，构成为执行第一日志分析和第二日志分析中的至少一种日志分析，所述第一日志分析用于检测所述多个连接模式中特定连接模式所表示的异常连接步骤对(pair)，所述第二日志分析用于从所述多个连接模式中检测出表示特定连接步骤对的异常连接模式。

【技术实现步骤摘要】

公开的实施例涉及一种异常连接检测装置及方法，尤其涉及一种基于有关系统连接的日志数据(logdata)而检测系统连接中发生问题的原因的技术方法。
技术介绍
通常，利用信息通信技术而提供服务或对策(solution)的系统将包含启动信息、连接信息、性能信息、出错信息等多种多样的信息的日志(log)进行记录。这样的日志可用于监控系统的操作并跟踪系统的误操作原因。如果是系统留下为数不多的件数的日志的情形，则系统的开发者或运营者也许可以凭借经验而轻易掌握存在问题的日志(例如，不符合预先定义的服务级别协议(ServiceLevelAgreement；SLA)的非正常日志)。然而，当系统留下件数庞大的日志(例如，关于系统连接的日志)时，事实上无法一一通过手动作业寻找非正常日志或者确认其原因，不仅如此，还难以确定要在哪个方面改善系统的性能。因此，需要一种新的逼近法，用来基于日志数据而更加准确地掌握需要与系统相关联而进行改善的事项。
技术实现思路
公开的实施例的目的在于提供一种异常连接检测装置及方法。根据示例性实施例，提供一种异常连接检测装置，包括：日志模式化单元，构成为由关于系统连接的日志数据(logdata)识别分别表示连接步骤的多个连接模式；日志分析单元，构成为执行用于检测所述多个连接模式中特定连接模式所表示的异常连接步骤对(pair)的日志分析。所述日志分析可包括：识别所述特定连接模式所表示的连接步骤对；判定所述特定连接模式的日志件数的针对所识别的所述连接步骤对的两个连接步骤之间的耗用时间的分布是否正常。所述判定可包括：将表示所述分布的图表与预先设定的正常分布图表以及预先设定的非正常分布图表中的至少一个图表进行比较，从而判定所述分布是否正常。所述日志分析单元还可以构成为显示用于表示所述分布的图表。所述两个连接步骤可在所述系统连接中依次执行。所述日志模式化单元可构成为利用所述日志数据而按关于所述系统连接的每一日志分别生成记录，并利用所述记录而识别所述多个连接模式，其中所述记录表示用于表示各个连接步骤的代码、所述各个连接步骤的开始时间以及所述各个连接步骤的结束时间。所述特定连接模式可表示在所述系统连接中依次执行的两个连接步骤，所述日志分析单元可识别所述两个连接步骤的对，并利用所述记录而确认所述特定连接模式的日志件数的针对所述两个连接步骤之间的耗用时间的分布，并基于所述分布而判定所识别的所述对是否为所述异常连接步骤对，从而执行所述日志分析。根据另一示例性实施例，提供一种异常连接检测装置，包括：日志模式化单元，构成为由关于系统连接的日志数据识别分别表示连接步骤的多个连接模式；日志分析单元，构成为执行用于从所述多个连接模式中检测出表示特定连接步骤对的异常连接模式的日志分析。所述日志分析可包括：从所述多个连接模式中识别出表示所述特定连接步骤对的连接模式；判定所识别的所述连接模式的日志件数的针对所述特定连接步骤对的两个连接步骤之间的耗用时间的分布是否正常。所述判定可包括：将表示所述分布的图表与预先设定的正常分布图表以及预先设定的非正常分布图表中的至少一个图表进行比较，从而判定所述分布是否正常。所述日志分析单元还可以构成为显示用于表示所述分布的图表。所述两个连接步骤可在所述系统连接中依次执行。所述日志模式化单元可构成为利用所述日志数据而按关于所述系统连接的每一日志分别生成记录，并利用所述记录而识别所述多个连接模式，其中所述记录表示用于表示各个连接步骤的代码、所述各个连接步骤的开始时间以及所述各个连接步骤的结束时间。所述特定连接步骤对可以是在所述系统连接中依次执行的两个连接步骤的对，所述日志分析单元可从所述多个连接模式中识别出表示所述特定连接步骤对的连接模式，并利用所述记录而确认所识别的所述连接模式的日志件数的针对所述两个连接步骤之间的耗用时间的分布，并基于所述分布而判定所识别的所述连接模式是否为所述异常连接模式，从而执行所述日志分析。根据又一示例性实施例，提供一种异常连接检测装置，包括：日志模式化单元，构成为由关于系统连接的日志数据识别分别表示连接步骤的多个连接模式；日志分析单元，构成为执行第一日志分析和第二日志分析，所述第一日志分析用于检测所述多个连接模式中特定连接模式所表示的异常连接步骤对，所述第二日志分析用于从所述多个连接模式中检测出表示特定连接步骤对的异常连接模式。根据本专利技术的另一方面的示例性实施例，提供一种异常连接检测方法，包括如下步骤：由关于系统连接的日志数据识别分别表示连接步骤的多个连接模式；执行用于检测所述多个连接模式中特定连接模式所表示的异常连接步骤对的日志分析。所述日志分析可包括：识别所述特定连接模式所表示的连接步骤对；判定所述特定连接模式的日志件数的针对所识别的所述连接步骤对的两个连接步骤之间的耗用时间的分布是否正常。所述判定可包括：将表示所述分布的图表与预先设定的正常分布图表以及预先设定的非正常分布图表中的至少一个图表进行比较，从而判定所述分布是否正常。所述异常连接检测方法还可以包括显示用于表示所述分布的图表的步骤。所述两个连接步骤可在所述系统连接中依次执行。所述识别的步骤可包括如下步骤：利用所述日志数据而按关于所述系统连接的每一日志分别生成记录，其中所述记录表示用于表示各个连接步骤的代码、所述各个连接步骤的开始时间以及所述各个连接步骤的结束时间；利用所述记录而识别所述多个连接模式。所述特定连接模式可表示在所述系统连接中依次执行的两个连接步骤，执行所述日志分析的步骤可包括如下步骤：识别所述两个连接步骤的对；利用所述记录而确认所述特定连接模式的日志件数的针对所述两个连接步骤之间的耗用时间的分布；基于所述分布而判定所识别的所述对是否为所述异常连接步骤对，从而执行所述日志分析。根据另一示例性实施例，提供一种异常连接检测方法，包括如下步骤：由关于系统连接的日志数据识别分别表示连接步骤的多个连接模式；执行用于从所述多个连接模式中检测出表示特定连接步骤对的异常连接模式的日志分析。所述日志分析可包括：从所述多个连接模式中识别表示所述特定连接步骤对的连接模式；判定所识别的所述连接模式的日志件数的针对所述特定连接步骤对的两个连接步骤之间的耗用时间的分布是否正常。所述判定可包括：将表示所述分布的图表与预先设定的正常分布图表以及预先设定的非正常分布图表本文档来自技高网...

【技术保护点】
一种异常连接检测装置，包括：日志模式化单元，构成为由关于系统连接的日志数据识别分别表示连接步骤的多个连接模式；日志分析单元，构成为执行用于检测所述多个连接模式中特定连接模式所表示的异常连接步骤对的日志分析。

【技术特征摘要】
2014.10.20 KR 10-2014-01418771.一种异常连接检测装置，包括：
日志模式化单元，构成为由关于系统连接的日志数据识别分别表示连接
步骤的多个连接模式；
日志分析单元，构成为执行用于检测所述多个连接模式中特定连接模式
所表示的异常连接步骤对的日志分析。
2.如权利要求1所述的异常连接检测装置，其中，所述日志分析包括：
识别所述特定连接模式所表示的连接步骤对；
判定针对所识别的所述连接步骤对的两个连接步骤之间的耗用时间的、
所述特定连接模式的日志件数的分布是否正常。
3.如权利要求2所述的异常连接检测装置，其中，所述判定包括：
将表示所述分布的图表与预先设定的正常分布图表以及预先设定的非正
常分布图表中的至少一个图表进行比较，从而判定所述分布是否正常。
4.如权利要求2所述的异常连接检测装置，其中，所述日志分析单元还
构成为显示用于表示所述分布的图表。
5.如权利要求2所述的异常连接检测装置，其中，所述两个连接步骤在
所述系统连接中依次执行。
6.如权利要求1所述的异常连接检测装置，其中，所述日志模式化单元
构成为利用所述日志数据而按关于所述系统连接的每一日志分别生成记录，
并利用所述记录而识别所述多个连接模式，其中所述记录表示用于表示各个
连接步骤的代码、所述各个连接步骤的开始时间以及所述各个连接步骤的结
束时间。
7.如权利要求6所述的异常连接检测装置，其中，所述特定连接模式表
示在所述系统连接中依次执行的两个连接步骤，所述日志分析单元识别所述
两个连接步骤的对，并利用所述记录而确认针对所述两个连接步骤之间的耗
用时间的所述特定连接模式的日志件数的分布，并基于所述分布而判定所识
别的所述对是否为所述异常连接步骤对，从而执行所述日志分析。
8.一种异常连接检测装置，包括：
日志模式化单元，构成为由关于系统连接的日志数据识别分别表示连接
步骤的多个连接模式；
日志分析单元，构成为执行用于从所述多个连接模式中检测出表示特定
连接步骤对的异常连接模式的日志分析。
9.如权利要求8所述的异常连接检测装置，其中，所述日志分析包括：
从所述多个连接模式中识别出表示所述特定连接步骤对的连接模式；
判定针对所述特定连接步骤对的两个连接步骤之间的耗用时间的、所识
别的所述连接模式的日志件数的分布是否正常。
10.如权利要求9所述的异常连接检测装置，其中，所述判定包括：
将表示所述分布的图表与预先设定的正常分布图表以及预先设定的非正
常分布图表中的至少一个图表进行比较，从而判定所述分布是否正常。
11.如权利要求9所述的异常连接检测装置，其中，所述日志分析单元
还构成为显示用于表示所述分布的图表。
12.如权利要求9所述的异常连接检测装置，其中，所述两个连接步骤
在所述系统连接中依次执行。
13.如权利要求8所述的异常连接检测装置，其中，所述日志模式化单
元构成为利用所述日志数据而按关于所述系统连接的每一日志分别生成记
录，并利用所述记录而识别所述多个连接模式，其中所述记录表示用于表示
各个连接步骤的代码、所述各个连接步骤的开始时间以及所述各个连接步骤
的结束时间。
14.如权利要求13所述的异常连接检测装置，其中，所述特定连接步骤
对是在所述系统连接中依次执行的两个连接步骤的对，所述日志分析单元从
所述多个连接模式中识别出表示所述特定连接步骤对的连接模式，并利用所
述记录而确认针对所述两个连接步骤之间的耗用时间的所识别的所述连接模
式的日志件数的分布，并基于所述分布而判定所识别的所述连接模式是否为
所述异常连接模式，从而执行所述日志分析。
15.一种异常连接检测装置，包括：
日志模式化单元，构成为由关于系统连接的日志数据识别分别表示连接
步骤的多个连接模式；
日志分析单元，构成为执行第一日志分析和第二日志分析，所述第一日
志分析用于检测所述多个连接模式中特定连接模式所表示的异常连接步骤
对，所述第二日志分析用于从所述多...

【专利技术属性】
技术研发人员：金成德，金成镒，朴起德，
申请(专利权)人：三星SDS株式会社，
类型：发明
国别省市：韩国;KR