申请/专利权人：广东电网有限责任公司;广东电网有限责任公司信息中心

申请日：2024-04-22

公开（公告）日：2024-07-05

公开（公告）号：CN118296532A

主分类号：G06F18/2433

分类号：G06F18/2433;G06F18/2431;G06F18/24;G06F18/213;G06F18/22;G06F18/231;G06F16/22;G06F16/2455;G06F16/2458;G06N3/042;G06N3/0464

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.07.23#实质审查的生效;2024.07.05#公开

摘要：本发明公开了一种基于混合驱动的多源异构日志异常检测方法及系统，方法包括：收集日志数据，进行预处理后生成规范化的日志；利用基于正则表达式构建的日志模板分离和识别日志条目中的固定字段与变量字段，提取关键信息；采用基于词频统计的相似度度量方法，对日志模板执行层次聚类分析；结合多级索引结构和布隆过滤器技术，对规范化日志实施快速的规则匹配，识别已知模式和异常行为；运用图神经网络技术，基于构建的用户关联特征图进行深入分析，探测未知模式中的异常行为。本发明通过规则匹配和图神经网络技术的混合驱动，实现了对多源异构日志数据的高效处理及精准的异常检测，可显著增强安全管理和风险预防能力，适合多种应用环境。

主权项：1.一种基于混合驱动的多源异构日志异常检测方法，其特征在于，包括以下步骤：从多种设备和应用中收集日志数据，并对这些数据进行预处理操作，生成规范化的日志输出；分析经过预处理的日志数据，识别出日志条目之间的共通模式或结构，以确定日志条目的通用框架，使用正则表达式构建日志模板，以分离和识别日志条目中的固定字段和变量字段；利用基于词频统计的距离度量函数计算日志模板相似度，采用自底向上的策略对日志模板进行层次聚类分析；根据层次聚类后的日志数据，令L为日志条目集合，R为规则集合，每个日志条目l∈L和规则r∈R均具有一组特征F，建立多级索引I，其中每一级索引Ik基于规则和日志条目的特征子集进行划分，结合布隆过滤器执行基于规则的快速匹配，以识别特定的模式或异常行为；在日志条目集合L的基础上构建用户关联特征图G＝V,E，其中图的节点集合V代表系统中的用户或实体，边集合E代表用户或实体之间的关联关系，利用图神经网络GNNG,X来处理上述构建的特征图G，其中X是图G中所有节点的特征向量集合，GNN的目标是学习一个表示函数映射每个节点到一个d维的特征空间，这些特征能够有效地表示节点的聚合邻域信息，基于节点表示H进行模式和异常行为的识别。

全文数据：

权利要求：

百度查询： 广东电网有限责任公司 广东电网有限责任公司信息中心 基于混合驱动的多源异构日志异常检测方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD