【技术实现步骤摘要】
一种高召回率的日志异常检测方法
本专利技术涉及日志异常检测
,尤其是涉及一种高召回率的日志异常检测方法。
技术介绍
随着软件系统向大规模,复杂的分布式系统发展,这些系统经常遭受错误和漏洞的困扰。当发生系统故障(例如服务故障和服务中断)时,多个服务可能会受到故障的影响,这可能会导致系统的重大损失。系统异常检测技术旨在定位这些系统故障。这种技术在系统维护中起着至关重要的作用。对于工程师来说,及时准确地发现异常是必要的,以便及时查明原因。系统中有许多类型的数据可用于异常检测和故障排除。在大多数大型系统中普遍可用的日志数据具有大量信息,并且包含关键系统状态,事件和运行时消息的记录。目前业界把日志异常分为以下三种类型:i.单条日志就能反映的异常,如“shutdown”日志;ii.不变量异常,又称为数量关系异常,如一段时间内的connect相关的日志数量与endconnect相关的日志数量不相等;iii.序列异常,又称为任务流异常,即多条日志序列反映出来的异常,例如程序中某个任务的某个部分发生了异常,导致这个部分不能正常执行,其它部分正常执行,表现在日志中就是在这个任务流日志数据中少了某些日志。现有的日志异常检测方法一般分为三个部分:a.日志解析:算法较多,各有优劣,目的都是将非结构化的日志数据转换为结构化的数据。单条日志可以粗略的分为三个部分,打印时间、其它信息(层级(INFO,WARNING等)等)、日志内容。日志解析算法的难点在于如何确定日志内容中的固定部分和变量部分,...
【技术保护点】
1.一种高召回率的日志异常检测方法,其特征在于,遍历每一个已知日志模式,对每一个已知日志模式做相同的判断,提取日志模式数量序列,在提取的统一的日志模式数量序列下,基于单条日志异常、日志序列异常和不变量异常三者之间的关系,同时检测单条日志异常、日志序列异常和不变量异常。/n
【技术特征摘要】
1.一种高召回率的日志异常检测方法,其特征在于,遍历每一个已知日志模式,对每一个已知日志模式做相同的判断,提取日志模式数量序列,在提取的统一的日志模式数量序列下,基于单条日志异常、日志序列异常和不变量异常三者之间的关系,同时检测单条日志异常、日志序列异常和不变量异常。
2.根据权利要求1所述的高召回率的日志异常检测方法,其特征在于,采用并行方式遍历每一个已知日志模式。
3.根据权利要求1所述的高召回率的日志异常检测方法,其特征在于,对每一个已知日志模式做相同的判断,提取日志模式数量序列的具体内容为:
获取指定时间窗口的日志序列,引入一个未知日志模式和异常日志模式,利用时间滑动窗口提取日志模式数量序列。
4.根据权利要求3所述的高召回率的日志异常检测方法,其特征在于,引入一个未知日志模式和异常日志模式,利用时间滑动窗口提取日志模式数量序列的具体内容为:
获取指定时间窗口的日志序列,并对该指定时间窗口的日志序列进行训练,通过训练过程中保存的总日志模式序列和日志解析算法,将其转换为日志模式数量序列,假设训练过程中保存的总日志模式序列的大小为N,则日志模式数量序列的长度为N+2,将日志模式数量序列中前N个元素与总日志模式序列中的模式通过下标一一对应,将最后一个元素对应为未知模式,即未在训练数据中出现的模式,将倒数第二个元素对应为异常日志模式。
5.根据权利要求4所述的高召回率的日志异常检测方法,其特征在于,基于单条日志异常、日志序列异常和不变量异常三者之间的关系,对单条日志异常进行检测的具体内容为:
创建并维持一个异常日志模式库,将初始时的异常日志模式库设定为空,在检测时,若日志模式数量的倒数第二个元素不为0,反馈单条日志模式错误信号,并将对应的异常日志模式和对应的数量反映在检测结果中;若日志模式数量的最后一个元素不为空,反馈模式新增的异常信号,并将对应的新增日志模式和数量反映在检测结果中,再结合用户核实反馈进行确定,若用户核实反馈为检测无误,即新增的日志模式为异常日志模式,则将新增的日志模式更新至异常日志模式库中,若用户核实反馈为检测错误,即新增的日志模式为引入的正常日志模式,则将新增的日志模式更新到总日志模式序列中。
6.根据权利要求4所述的高召回率的日志异常检测方法,其特征在于,基于单条日志异常、日志序列异常和不变量异常三者之间的关系,采用同比环比的方式对日志序列异常进行检测。
7.根据权利要求6所述的高召回率的日志异常检测方法,其特征在于,采用同比环比的方式对日志序列异常进行检测的具体内容为...
【专利技术属性】
技术研发人员:李虎,曾毅峰,路进锋,吴霄林,
申请(专利权)人:上海浦东发展银行股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。