公开(公告)号：CN114969761B

公开(公告)日：2024-11-15

申请号：CN202210689100.4

申请日：2022-06-17

Applicant: 南京邮电大学

Inventor： 戴华 ,  孙雪奎 ,  周建国 ,  周倩 ,  杨庚 ,  陈燕俐

IPC: G06F21/57 ,  G06F21/55 ,  G06F21/56 ,  G06N3/0442 ,  G06N3/088

Abstract: 本发明是一种基于LDA主题特征的日志异常检测方法。该方法包含模型训练和异常检测两个阶段。在模型训练阶段，利用日志解析器将系统日志解析为日志模板集合和日志三元组集合，日志模板集合用以训练LDA模型，得到日志模板主题分类模型；利用LDA‑CM模型将日志三元组转换为进程日志模板主题，进而利用滑动窗口机制构造训练样本，最后将训练样本输入LSTM模型，训练生成日志异常检测模型。在异常检测阶段，将待检测的进程日志转换为对应的模板主题序列，然后输入LSTM‑ADM模型，实现针对进程日志的异常检测，本发明能够更加准确的学习日志间的语义关系特征以及更有效地通过非结构化的日志记录检测出进程或系统的异常行为。

公开(公告)号：CN114969761A

公开(公告)日：2022-08-30

申请号：CN202210689100.4

申请日：2022-06-17

Applicant: 南京邮电大学

Inventor： 戴华 ,  孙雪奎 ,  周建国 ,  周倩 ,  杨庚 ,  陈燕俐

IPC: G06F21/57 ,  G06F21/55 ,  G06F21/56 ,  G06N3/04

Abstract: 本发明是一种基于LDA主题特征的日志异常检测方法。该方法包含模型训练和异常检测两个阶段。在模型训练阶段，利用日志解析器将系统日志解析为日志模板集合和日志三元组集合，日志模板集合用以训练LDA模型，得到日志模板主题分类模型；利用LDA‑CM模型将日志三元组转换为进程日志模板主题，进而利用滑动窗口机制构造训练样本，最后将训练样本输入LSTM模型，训练生成日志异常检测模型。在异常检测阶段，将待检测的进程日志转换为对应的模板主题序列，然后输入LSTM‑ADM模型，实现针对进程日志的异常检测，本发明能够更加准确的学习日志间的语义关系特征以及更有效地通过非结构化的日志记录检测出进程或系统的异常行为。