申请/专利权人：中国科学技术大学

申请日：2021-05-28

公开（公告）日：2024-04-02

公开（公告）号：CN113326244B

主分类号：G06F16/18

分类号：G06F16/18;G06F16/2458;G06F11/30;G06N3/042;G06N3/0442

优先权：

专利状态码：有效-授权

法律状态：2024.04.02#授权;2021.09.17#实质审查的生效;2021.08.31#公开

摘要：本发明涉及一种基于日志事件图和关联关系挖掘的异常检测方法，收集系统的原始日志，得到日志事件；按照设定时间跨度或者任务号将日志事件分割成不同的组，每个组内的日志事件按照生成的时间组成日志事件序列；根据关联关系挖掘，挖掘出与每一种异常具有相关关系的系统日志事件，将日志事件序列中与该异常无关的日志事件剔除；提取每个日志事件的语义向量作为该日志事件的特征向量；根据日志事件序列生成双向的全连接日志事件图，使用门控图神经网络更新每个节点的特征向量，使用注意力网络对所有节点更新后的特征向量进行加权求和，计算出日志事件图的全局特征向量，最终通过全连接网络进行分类检测，得出系统正常或异常的种类。

主权项：1.一种基于日志事件图和关联关系挖掘的异常检测方法，其特征在于，包括以下步骤：步骤1、收集系统的原始日志，得到日志事件；按照设定时间跨度或者任务号将日志事件分割成不同的组，每个组内的日志事件按照生成的时间组成日志事件序列；步骤2、根据关联关系挖掘，挖掘出与每一种异常具有相关关系的日志事件，将日志事件序列中与该异常无关的日志事件剔除；步骤3、提取每个日志事件的语义向量作为该日志事件的特征向量，并在步骤5中作为门控图神经网络的输入；步骤4、根据日志事件序列生成双向的全连接日志事件图，即每一个日志事件作为图中的一个节点，且每两个节点均相连；步骤5、使用门控图神经网络更新每个节点的特征向量，然后使用注意力网络对所有节点更新后的特征向量进行加权求和，计算出日志事件图的全局特征向量，最终通过全连接网络进行分类检测，得出系统正常或异常的种类；所述步骤5中，利用门控图神经网络计算迭代更新节点的特征向量，直至收敛，得到节点更新之后的特征向量，更新函数为： 其中，各自表示t-1时刻、t时刻节点vs,i的特征向量，表示t时刻节点vs,i的候选特征向量，向量维数为d，i＝1,…,n，n为节点数目；As,i表示日志事件图的邻接矩阵As中与节点vs,i对应的两列包含出边与入边，As∈Rn×2n，H∈Rd×2d为控制权重，zs,i和rs,i分别表示门控图神经网络中的重置门和更新门，公式中所有带有脚标的W,U均为神经网络的权重参数。所述步骤5中，通过全连接网络进行分类检测，得出系统正常或异常的种类具体实现为：在图神经网络的输出节点后再加上一个注意力网络,输入为图神经网络的输出向量，经过注意力网络后，输出一个与输入向量大小相同的输出向量，作为权值向量,最后用权值向量与图神经网络的输出向量做点乘后，即得到全局特征向量，即正常和异常日志事件序列的特征表示,注意力网络计算最终特征向量的公式为： 其中，αi是日志事件Ei的权重，s是全局特征向量，为图神经网络的输出，qT,W1,c均为神经网络参数；最后使用全连接网络对系统状态进行分类。

全文数据：

权利要求：

百度查询： 中国科学技术大学 一种基于日志事件图和关联关系挖掘的异常检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD