【技术实现步骤摘要】
一种基于知识图谱和强化学习的日志异常检测辅助决策方法及系统
[0001]本专利技术涉及日志异常检测
,尤其涉及一种基于知识图谱和强化学习的日志异常检测辅助决策方法及系统
。
技术介绍
[0002]现有大多数的日志异检测方案都是尝试通过引入新的算法
、
优化现有算法
、
调整算法输入等措施来优化日志异常检测的指标
。
尚没有明确针对日志异常检测的辅助决策解决方案
。Multi
‑
CAD[Xie X,Jin Z,Wang J,et al.Confidence guided anomaly detection model for anti
‑
concept drift in dynamic logs[J].Journal of Network and Computer Applications,2020,162:102659]针对概念漂移的问题,通过多算法结果的综合分析来考察日志中概念漂移情况,从而决定哪类算法更适应当前日志的处理
。[Li G,Zhu P,Chen Z.Accelerating System Log Processing by Semi
‑
supervised Learning:A Technical Report[J].2018][He S,Zhu J,He P,et al.Experience Report:System Log Analysis for Anomaly ...
【技术保护点】
【技术特征摘要】
1.
一种基于知识图谱和强化学习的日志异常检测辅助决策方法,其特征在于,包括:基于知识图谱构建日志异常检测知识库,集合现有日志异常检测知识;包括:从现有文献和案例中提取知识,初步构建日志异常检测知识库;通过相似实体合并方法优化日志异常检测知识库;基于强化学习构建推理引擎,推理引擎以日志异常检测知识库为数据支持,以强化学习算法为核心,通过生成推荐策略
、
实施策略以及策略反馈的过程中,不断调整和优化推荐结果,同时也反馈给日志异常检测知识库,驱动日志异常检测库的演化,以不断优化和适应检测需求
。2.
根据权利要求1所述的一种基于知识图谱和强化学习的日志异常检测辅助决策方法,其特征在于,所述从现有文献和案例中提取知识,初步构建日志异常检测知识库包括:基于正则表达式对不同日志的处理习惯以及处理效果,抽取形成预处理阶段的策略实体;将常用日志模板挖掘算法列为日志模板挖掘算法实体,围绕日志模板挖掘结果,统计常见日志的日志模板,并据此构造日志模板挖掘实体;同时建立日志模板与日志模板挖掘算法实体之间的关系;将常见类型日志列为实体,并用属性来记录日志模板挖掘算法处理不同日志的指标;利用不同日志异常检测算法发现日志中可能存在的异常信息:构建常用日志异常检测算法实体,并使用属性记录实体的特征,并存储于图数据库
Neo4j
中;基于异常检测算法评判指标构造相应的关系和属性
。3.
根据权利要求1所述的一种基于知识图谱和强化学习的日志异常检测辅助决策方法,其特征在于,所述通过相似实体合并方法优化日志异常检测知识库包括:首先基于实体相似度,按照预定设定的阈值,筛选出相似的实体;然后从筛选出的相似实体集合,进行结构相似度判断,确定实体间是否相似;在确认相似实体的基础上,基于关系对齐的原则,对相似实体进行知识融合
。4.
根据权利要求3所述的一种基于知识图谱和强化学习的日志异常检测辅助决策方法,其特征在于,实体相似度判定方法包括:将知识库实体集,基于
BERT
模型在通用词语中的训练模型下进行分词编码处理,使用余弦相似度来计算实体之间的相似程度,通过逐个两两匹配,遍历所有实体,当两个实体相似度超过阈值,则视其为相似实体,将其加入相似实体集合
。5.
根据权利要求4所述的一种基于知识图谱和强化学习的日志异常检测辅助决策方法,其特征在于,结构相似度的判定方法包括:以相似实体集合为输入,抽取相似实体集合,对其反映在知识图谱内的拓扑结构进行相似性判定,其中拓扑结构的特征包含预处理方法数量
、
模板数量
、
正则表达式数量
、
异常检测方法数量
、
指标评价均值,通过查询知识图谱,将实体的拓扑结构转化为特征向量,然后基于余弦相似度原则计算得到相似度;如果高于阈值则判断两实体相似,进行后续的知识融合
。6.
根据权利要...
【专利技术属性】
技术研发人员:周洪伟,赖国平,胡浩,张玉臣,汤海霖,汪永伟,刘鹏程,袁哲宇,李亮辉,马雪琪,马辰阳,王梅,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。