[发明专利]日志异常检测方法、装置、训练方法、装置及电子设备

说明书

本发明涉及一种日志异常检测方法、装置、训练方法、装置及电子设备，属于检测领域。当需要对当前的日志Rsubgt;N/subgt;进行异常检测时，是通过比较第一向量序列与第二向量序列来实现的。其中，第二向量序列是与当前实际所出现的日志Rsubgt;N/subgt;对应的实际向量序列，第一向量序列是针对前一个日志Rsubgt;N‑1/subgt;进行预测所得到的当前应该出现的日志对应的预测向量序列。通过上述方法可以检测日志的序列异常以及定量异常，有助于降低遗漏异常日志的概率。

技术领域

本申请属于检测领域，具体涉及一种日志异常检测方法、装置、训练方法、装置及电子设备。

背景技术

在运维过程中，需要涉及到电子设备所产生的日志的异常检测。

由于程序在执行过程中的一些逻辑顺序，那么与之对应的日志也具有序列特性以及定量特性。

其中，序列特性是指：一段程序在执行的过程中存在一定的逻辑顺序，与此对应的日志也具有先后顺序，如ABCD。若实际日志为ADCB，则为序列异常。

定量特性是指：一个正常的日志序列应该存在一种确定的关系。例如日志中存在打开文件的操作日志信息，则必然对应着关闭文件的操作日志信息，两者的数量大致应该对等，否则视为定量异常。

在现有技术中，一般基于已有的正常日志信息中的词频构造模板树，然后再结合深度学习的方式来对当前的日志进行异常检测。

但是上述日志异常检测方法只考虑了日志的词频类信息，而没有使用其他信息，因此，现有技术无法揭示日志之间的语义关系，进而不能对日志的序列异常以及定量异常进行检测，容易遗漏出现了异常的日志。

发明内容

有鉴于此，本申请的目的在于提供一种日志异常检测方法、装置、训练方法、装置及电子设备，可以检测日志的序列异常以及定量异常，有助于降低遗漏异常日志的概率。

本申请的实施例是这样实现的：

第一方面，本申请实施例提供一种日志异常检测方法，获取针对第N-1次检测所对应的日志R_N-1进行预测后所得到的第一向量序列；所述第一向量序列用于表征所述日志R_N-1之后最大概率产生的第一个日志的向量表示；获取第N次检测所对应的日志R_N；生成与所述日志R_N对应的第二向量序列；根据所述第一向量序列及所述第二向量序列，判断所述日志R_N是否出现异常；其中，第N次检测的检测对象为第N-1次检测的检测对象的后一个日志，且N大于1。

在本申请实施例中，当在判断当前的日志R_N是否异常时，不仅考虑到了当前日志R_N的日志内容，还考虑到了当前日志R_N与前一个日志R_N-1之间的相关性，因此，通过本申请实施例中的日志异常检测方法，可以检测日志的序列异常以及定量异常，因此，本申请实施例所提供的日志异常检测方法，从整体上来说，有利于降低遗漏异常日志的概率。

结合第一方面实施例，在一种可能的实施方式中，所述获取针对第N-1次检测所对应的日志R_N-1进行预测后所得到的第一向量序列，包括：获取针对第N-1次检测所对应的日志R_N-1的日志模板进行预测后所得到的第一向量序列；

相应的，所述生成与所述日志R_N对应的第二向量序列，包括：将所述日志R_N与日志模板库进行匹配，得到所述日志R_N的日志模板；生成与所述日志R_N的日志模板对应的第二向量序列。