【技术实现步骤摘要】
基于流程不变式的日志异常检测系统
[0001]本专利技术属于日志异常检测
,尤其涉及一种基于流程不变式的日志异常检测系统。
技术介绍
[0002]与本专利技术相近的工作是文献[1][Lou J G,Qiang F,Yang S,et al.Mining invariants from console logs for system problem detection[J].Proc of Usenix Atc,2010.]和文献[3][Du M,Li F,Zheng G,et al.DeepLog:Anomaly Detection and Diagnosis from System Logs through Deep Learning[C]//Computer and Communications Security.ACM,2017.]。它承接文献[2][Xu W,Huang L,Fox A,et al.Detecting large
‑
scale system problems by mining...
【技术保护点】
【技术特征摘要】
1.一种基于流程不变式的日志异常检测系统,其特征在于,该系统包括流程不变式挖掘子系统和日志异常检测子系统;流程不变式挖掘子系统包括事件关联关系挖掘模块、软件工作流程还原模块以及事件变量关联分析模块;事件关联关系挖掘模块用于从日志事件中提取出有价值的事件序列片段;软件工作流程还原模块用于从事件序列片段中部分还原软件工作流;事件变量关联分析模块用于依据还原的软件工作流,分析事件变量可能与软件工作流存在的关联关系,从而形成最终的流程不变式;日志异常检测子系统包括待检测事件序列维护模块、当前检测事件序列维护模块以及异常检测模块;待检测事件序列维护模块用于维护待检测事件序列;当前检测事件序列维护模块用于维护当前检测事件序列;异常检测模块用于在待检测事件序列和当前检测事件序列的支持下,读取流程不变式以发现日志异常。2.根据权利要求1所述的基于流程不变式的日志异常检测系统,其特征在于,所述事件关联关系挖掘模块具体用于:滑动窗口处理:采用滑动窗口,统计窗口内事件的频繁程度,挖掘事件与事件之间的关联程度,从而发现有规律的事件序列片段;对于窗口大小和窗口重叠大小的设计,采用时间作为度量单位;单窗口处理:从长度为1的事件序列开始,统计某个时间窗口内长度为1的所有事件序列片段的事件关联支持度以及事件关联可信度,并将小于事件关联支持度以及事件关联可信度的事件序列去除;然后以长度为1的事件序列为基础,在其后增加后序事件,逐渐增加事件序列的长度,并按照上述方式对某个时间窗口内事件关联关系进行挖掘;多窗口处理:将不同窗口所产生的事件序列,根据实际情况进行合并,形成统一的结果:当不同窗口所产生的事件序列不存在交叉和重叠时,将同窗口所产生的事件序列直接纳入到最终的结果集中;当不同窗口所产生的事件序列存在重叠时,不改变事件序列的内容,但是将存在重叠的两个序列所对应的事件关联支持度和事件关联可信度累加;当不同窗口所产生的事件序列存在交叉时,保留原有序列,将公共交叉部分提取形成新的事件序列,将存在交叉的两个原始序列的事件关联支持度和事件关联可信度累加,分别作为新的事件序列的事件关联支持度和事件关联可信度。3.根据权利要求2所述的基于流程不变式的日志异常检测系统,其特征在于,所述软件工作流程还原模块具体用于:分支结构挖掘:将顺序的事件序列event_A中所有序列片段分拆成若干二元关系,即所有事件序列片段的长度都为2,统计event_A内所有事件的先导和后续关系,并根据共同先导和共同后续的情况,生成选择、汇集和循环分支结构,并尝试延长事件序列的长度,在此过程进一步发现循环结构;对于过长的多跳循环结构,将其视为顺序结构;对于复杂循环,关注循环结构的局部,以单循环和少量多步循环为主;对得到的选择分支结构进行优化:降低频率的最低要求,对日志相关事件序列再进行一次搜索,以选择分支结构的选择条件所在事件为起点,构造一个时间窗口,时间窗口的大小为1分钟;降低事件关联支持度阈值和事件关联可信度阈值,按照类似单窗口事件关联关系挖掘方法,再进行一次事件关联关系挖掘;对得到的循环结构进行优化:降低频率的最低要求,对日志相关事件序列再进行一次
搜索,立足通过分支结构挖掘得到的循环结构,以其中最先发生的事件为时间起点,构造一个时间窗口,时间窗口的大小为2分钟;降低事件关联支持度阈值和事件关联可信度阈值,按照类似单窗口事件关联关系的...
【专利技术属性】
技术研发人员:周洪伟,潘媛媛,张玉臣,胡浩,袁哲宇,董书琴,田博文,汤海霖,冯凯,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。