本说明书提供一种异常日志的检测方法及装置,所述方法包括:获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;确定所述疑似异常日志对应的目标特征向量;将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。似异常日志是否为异常日志。似异常日志是否为异常日志。
【技术实现步骤摘要】
异常日志的检测方法及装置
[0001]本说明书涉及数据处理
,尤其涉及一种检测方法及装置。
技术介绍
[0002]随着计算机技术的日益发展,安全容器作为一种为应用提供完整的操作系统执行环境的软件,使得开发测试人员能够更加高效地搭建系统环境。因此,上述开发测试人员也有必要保证安全容器自身的安全稳定性。
[0003]在相关技术中,通常是基于规则的方式来检测安全容器的异常日志,然后再通过人工复查以处理上述异常日志所反映的问题。然而,基于规则的检测方式误报率过高,存在大量无意义的疑似异常日志,进而导致人力成本增加。
技术实现思路
[0004]有鉴于此,本说明书提供一种异常日志的检测方法及装置,以解决相关技术中存在的不足。
[0005]具体地,本说明书是通过如下技术方案实现的:
[0006]根据本说明书实施例的第一方面,提供了一种异常日志的检测方法,所述方法包括:
[0007]获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
[0008]确定所述疑似异常日志对应的目标特征向量;
[0009]将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
[0010]根据本说明书实施例的第二方面,提供了一种异常日志的检测装置,所述装置包括:
[0011]疑似异常日志获取单元,用于获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;
[0012]目标特征向量确定单元,用于确定所述疑似异常日志对应的目标特征向量;
[0013]异常日志检测单元,用于将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。
[0014]根据本说明书实施例的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面所述的方法的步骤。
[0015]根据本说明书实施例的第四方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法的步骤。
[0016]在本说明书所提供的技术方案中,通过引入神经网络技术,使得相关技术中基于
规则的方式检测出的疑似异常日志通过异常日志检测模型进行二次检测,从而降低了异常日志的误报率,减少了人工确认过程中的工作量,降低了人力成本。
[0017]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
[0018]为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0019]图1是本说明书一示例性实施例示出的一种异常日志检测系统的架构示意图;
[0020]图2是本说明书一示例性实施例示出的一种异常日志的检测方法的流程示意图;
[0021]图3是本说明书一示例性实施例示出的另一种异常日志的检测方法的流程示意图;
[0022]图4是本说明书一示例性实施例示出的一种电子设备的示意结构图;
[0023]图5是本说明书一示例性实施例示出的一种异常日志的检测装置的结构示意图。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
[0025]在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0026]应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0027]图1是本说明书一示例性实施例示出的一种异常日志检测系统的架构示意图。如图1所示,可以包括安全容器11、预设告警规则12以及异常日志检测模型13。
[0028]安全容器11为容器应用提供一个完整的操作系统执行环境的软件。在所述系统运行过程中,安全容器11中的容器应用作为应用程序根据程序运行情况,可以生成对应的日志信息。且可以将该日志信息作为待检测日志发送预设告警规则12所在的电子设备。
[0029]预设告警规则12为相关技术中用于判断来自安全容器11的待检测日志的异常情况,在所述系统运行过程中,预设告警规则12可以根据预先定义的规则判断上述待检测日志是下文的正常日志、异常日志还是疑似异常日志。当确定上述待检测日志为疑似异常日
志时,可以将该疑似异常日志发送至异常日志检测模型13所在的设备进行进一步处理。
[0030]异常日志检测模型13为支持神经网络的数据检测模型,在所述系统运行过程中,异常日志检测模型13接收来自预设告警规则12的疑似异常日志后,可以通过数据检测模型进一步确定该疑似异常日志是否属于异常日志,并将确定为异常日志的疑似异常日志提供给用户,以便于用户展开针对性的异常处理操作。
[0031]其中,安全容器11、预设告警规则12以及异常日志检测模型13均可以设置于同一电子设备,或者其中任一者设置于第一电子设备,其余二者设置于第二电子设备,又或者三者均设置于不同的电子设备中。当上述电子设备为网络设备时,上述电子设备可以为包含一独立主机的物理服务器,又或者异常日志检测设备12可以为主机集群承载的虚拟服务器。当上述电子设备为用户使用的本地设备时,用户可以使用诸如下述类型的电子设备:手机、平板设备、笔记本电脑、掌上电脑(PDAs,Personal Digital Assistants)、可穿戴设备(如智能眼镜、智能手表等),本说明书的一个或多个实施例并不对此进行限制。
[0032]此外,安全容器11、预设告警规则12以及异常日志检测模型13之间进行的连接方式,可以包括多种类型的有线或无线连接,本说明书并不对此进行限制。
[0033]下面结合图2所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常日志的检测方法,其特征在于,所述方法包括:获取安全容器输出的待检测日志,并基于预设告警规则过滤所述待检测日志以获取疑似异常日志;确定所述疑似异常日志对应的目标特征向量;将所述目标特征向量输入预先训练生成的异常日志检测模型,并根据所述异常日志检测模型输出的预测结果确定所述疑似异常日志是否为异常日志。2.根据权利要求1所述的方法,其特征在于,所述确定所述疑似异常日志对应的目标特征向量,包括:提取所述疑似异常日志的预设信息;将所述预设信息进行特征化,得到所述目标特征向量。3.根据权利要求1所述的方法,其特征在于,所述确定所述疑似异常日志对应的目标特征向量,包括:提取所述疑似异常日志的预设信息;将所提取的信息与日志库中预先建立的预设信息与特征向量之间的映射关系进行匹配,以确定所提取的信息对应的特征向量。4.根据权利要求3所述的方法,其特征在于,还包括:在匹配失败的情况下,对所述预设信息进行特征化以生成对应所述疑似异常日志的目标特征向量,并将所述疑似异常日志的预设信息与所述目标特征向量之间的映射关系更新至所述日志库中。5.根据权利要求2至4任一项所述的方法,其特征在于,所述预设信息包括下述至少之一:所述疑似异常日志的日志模板,或所述疑似异常日志的日志模板与日志参...
【专利技术属性】
技术研发人员:施鹤远,王谷雨,冷益群,
申请(专利权)人:阿里巴巴中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。