【技术实现步骤摘要】
【国外来华专利技术】计算环境中增强的异常检测
技术介绍
[0001]现代信息服务处理大量数据,并且在该处理中生成大量日志数据。日志数据由运行时的代码产生,以提供对服务的一个或多个组件的状态的记录。在故障排除或以其它方式维护服务时,日志数据可以是有用的。日志数据的示例包括日志语句和操作度量,两者都可以被分析,以预测异常状况或事件,诸如处理故障、服务器故障和计算机硬件故障。
[0002]可以通过分析语句或度量中与过去的异常相关的模式的大量日志数据来检测和预测异常。然后可以针对数据部署模式,使得数据中给定模式的存在触发减轻动作或警报。遗憾的是,这种模式提取需要大量的日志数据,这对于运输和处理来说都是非常昂贵的。
[0003]事实上,为了成功提取有用的模式,需要从边缘发送到中央服务器的日志数据的量可以容易地接近以相同方向发送的正常操作数据的量
‑
假设存在带宽这样做。此外,在合理的时间范围内查找模式所需的计算量可能超过首先分配给正常操作的计算量。迄今为止,这些限制阻碍了有效异常分析的开发和部署。
技术实现思路
[0004]本文公开了改进计算环境中的异常状况检测和预测的技术。在各种实施方式中,异常服务从计算环境中的边缘节点接收日志数据,其包括指示由节点产生的日志消息的信息序列。异常服务识别代表日志消息的非异常块的信息序列中的主导模式。在识别出主导模式后,服务能够从日志数据中提取非异常块以揭示不符合主导模式的异常块。然后,服务可以基于异常块生成异常向量,异常块可以被分发到边缘节点以检测异常。
[0005]在相同或其它实 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算装置,包括:一个或多个计算机可读存储介质;与所述一个或多个计算机可读存储介质可操作地耦合的一个或多个处理器;以及用于检测异常的程序指令,所述程序指令在由所述一个或多个处理器执行时,指示所述计算装置至少:至少基于与计算环境中的事件相关联的日志消息序列生成散列值序列;基于散列值生成序列向量,其中所述序列向量包括通过位置与可能散列值集合对应的一串数字;以及执行所述序列向量与异常向量集合的比较,以确定散列值的至少一部分是否指示一个或多个异常事件的发生。2.如权利要求1所述的计算装置,其中,为了基于所述散列值序列生成所述序列向量,所述程序指令指示所述计算装置为所述一串数字中的每个数字计算加权值。3.如权利要求2所述的计算装置,其中,为了为所述一串数字中的每个数字计算加权值,所述程序指令指示所述计算装置将加权因子乘以二进制值以获得加权值。4.如权利要求3所述的计算装置,其中,所述二进制值指示所述散列值序列是否包括与给定数字在所述串中的位置对应的散列值。5.如权利要求4所述的计算装置,其中,所述加权因子指示所述日志消息对于检测所述一个或多个异常事件的相对重要性。6.如权利要求5所述的计算装置,其中,为了执行所述序列向量与所述异常向量集合的比较,所述程序指令指示所述计算装置将余弦相似度函数应用于所述序列向量与所述异常向量集合中的每个异常向量的内点积。7.一种用于检测异常的方法,包括:识别与计算环境中的事件相关联的日志消息序列;将散列函数应用于所述日志消息序列以产生散列值序列;基于散列值生成序列向量,其中所述序列向量包括通过位置与可能散列值集合对应的一串数字;以及执行所述序列向量与异常向量集合的比较,以确定散列值的至少一部分是否指示一个或多个异常事件的发生。8.如权利要求7所述的方法,其中,基于所述散列值序列生成所述序列向量包括为所述一串数字中的每个数字计算加权值。9.如权利要求8所述的方法,其中,为所述一串数字中的每个数字计算加权值包括将加权因子乘以二进制值以获得加权值。10.如权利要求9所述的方法,其中,所述二进制值指示所述散列值序列是否包括与给定数字在所述串中的位置对应的散列值。11.如权利要求10所述的方法,其中,所述加权因子指示所述日志消息对于检测所述一个或多个异常事件的相对重要性。12.如权利要求11所述的方法,其中,执行所述序列向量与所述异常向量集合的比较包括将余弦相似度函数应用于所述序列向量与所述异常向量集合中的每个异常向量的内点积。
13.一种计算装置,包括:一个或多个计算机可读存储介质;与所述一个或多个计算机可读存储介质可操作地耦合的一个或多个处理器;以及用于检测异常的程序指令,所述程序指令在由所述一个或多个处理器执行时,指示所述计算装置至少:识别与计算环境中的事件相关联的日志消息序列;生成与所述日志消息序列对应的压缩消息序列;基于所述压缩消息序列生成序列向量,其中所述序列向量包括通过位置与可能压缩消息集合对应的一串数字;以及执行所述序列向量与异常向量集合的比较,以确定所述日志消息序列的至少一部分是否指示一个或多个异常事件的发生。14.如权利要求13所述的计算装置,其中,所述压缩消息序列包括散列值序列,并且所述可能压缩消息集合包括可能散列值集合。15.如权利要求14所述的计算装置,其中,为了生成所述压缩消息序列,所述程序指令指示所述计算系统将散列函数应用于所述日志消息序列以产生所述散列值序列。16.如权利要求15所述的计算装置,其中,为了基于所述散列值序列生成所述序列向量,所述程序指令指示所述计算装置为所述一串数字中的每个数字计算加权值。17.如权利要求16所述的计算装置,其中,为了为所述一串数字中的每个数字计算加权值,所述程序指令指示所述计算装置将加权因子乘以二进制值以获得加权值。18.如权利要求17所述的计算装置,其中,所述二进制值指示所述散列值序列是否包括与给定数字在所述串中的位置对应的散列值。19.如权利要求18所述的计算装置,其中,所述加权因子指示所述日志消息对于检测所述一个或多个异常事件的相对重要性。20.如权利要求19所述的计算装置,其中,为了执行所述序列向量与所述异常向量集合的比较,所述程序指令指示所述计算装置将余弦相似度函数应用于所述序列向量与所述异常向量集合中的每个异常向量的内点积。21.一种用于识别计算环境中的异常的方法,所述方法包括:从计算环境中的多个节点接收日志数据,其中所述日志数据包括指示由所述多个节点产生的日志消息的信息序列;在所述信息序列中识别代表日志消息的非异常块的主导模式;基于主导模式从所述日志数据中提取非异常块,以揭示不符合主导模式的异常块;至少基于异常块生成异常向量;以及将异常数据分发到所述多个节点中的至少一个节点以检测异常,其中所述异常数据包括异常向量。22.如权利要求21所述的方法,其中,识别所述信息序列内的主导模式包括:识别所述信息序列内的潜在模式;以及至少基于应用于所述潜在模式中的一个或多个潜在模式的评分函数从所述潜在模式中选择主导模...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。