2. 技术
  3. 异常检测方法、装置、设备、存储介质及程序产品与流程

异常检测方法、装置、设备、存储介质及程序产品与流程

xiaoxiao6天前  24

本申请涉及数据安全,尤其涉及一种异常检测方法、装置、设备、存储介质及程序产品。


背景技术:

1、随着信息技术的不断发展,数据安全的重要性日益凸显。

2、目前,现有技术中维护数据安全的方式通常采用获取日志数据并进行分布式轨迹追踪,通过设定告警规则,对异常的日志和异常的分布式轨迹进行警告。

3、但是,发明人发现现有技术至少存在如下技术问题:当前异常检测的准确程度较低。


技术实现思路

1、本申请提供一种异常检测方法、装置、设备、存储介质及程序产品,用以解决异常检测的准确程度较低的问题。

2、第一方面,本申请提供一种异常检测方法,包括:获取历史日志、待检测轨迹及历史轨迹;将历史日志及历史轨迹标准化,得到日志模板及轨迹模板;将日志模板及轨迹模板输入预测模型,得到预测日志和预测轨迹;根据预测日志及历史日志,确定日志状态;根据预测轨迹及待检测轨迹,确定轨迹错误率;根据日志状态及轨迹错误率,确定系统状态;若系统状态为异常,则输出警告信息。

3、在一种可能的实现方式中,根据预测日志及历史日志,确定日志状态,包括:若任一历史日志包括预测日志的所有字段,则将正常确定为日志状态,否则将异常确定为日志状态。

4、在一种可能的实现方式中,预测轨迹包括至少一个预测区间,待检测轨迹包括至少一个待检测区间;相应地,根据预测轨迹及待检测轨迹,确定轨迹错误率,包括:计算待检测区间与预测区间的区间相似度;将区间相似度小于预设值的预测区间,确定为错误区间;将错误区间的数量除以预测区间的总量,得到轨迹错误率。

5、在一种可能的实现方式中,根据预测轨迹及待检测轨迹,确定轨迹错误率,包括:计算预测轨迹和待检测轨迹的轨迹相似度;采用预设值减去轨迹相似度,得到轨迹错误率。

6、在一种可能的实现方式中,在将标准日志及标准轨迹输入预测模型,得到预测日志和预测轨迹之前,还包括:获取训练检测日志、历史训练日志、训练检测轨迹、历史训练轨迹、标准日志模板及标准轨迹模板;将历史训练日志及历史训练轨迹标准化,得到标准训练日志及标准训练轨迹;将标准训练日志及标准训练轨迹输入待训练预测模型,得到待训练预测模型输出的训练预测日志和训练预测轨迹;在标准日志模板中,确定训练检测日志对应的目标标准日志模板;在标准轨迹模板中,确定训练检测轨迹对应的目标标准轨迹模板;采用目标标准日志模板、目标标准轨迹模板、训练预测日志和训练预测轨迹,确定联合损失;若联合损失大于或等于预设误差阈值,则采用联合损失优化待训练预测模型,并重复执行获取训练数据至确定联合损失的步骤,直至联合损失小于预设误差阈值,将待训练预测模型确定为预测模型。

7、在一种可能的实现方式中,在标准日志模板中,确定训练检测日志对应的目标标准日志模板,包括:将训练检测日志分词,得到至少一个训练词;将训练词与标准日志模板进行匹配,若匹配成功,则将匹配成功的标注日志模板确定为目标标准日志模板,若匹配失败,则采用最长公共子序列算法,确定训练词与标准日志模板匹配的目标标准日志模板。

8、第二方面,本申请提供一种异常检测装置,包括:数据获取模块,用于获取历史日志、历史日志、待检测轨迹及历史轨迹;标准化模块,用于将历史日志及历史轨迹标准化,得到日志模板及轨迹模板;预测模块,用于将日志模板及轨迹模板输入预测模型,得到预测日志和预测轨迹;第一确定模块,用于根据预测日志及历史日志,确定日志状态;第二确定模块,用于根据预测轨迹及待检测轨迹,确定轨迹错误率;第三确定模块,用于根据日志状态及轨迹错误率,确定系统状态;信息输出模块,用于若系统状态为异常,则输出警告信息。

9、第三方面,本申请提供一种电子设备,包括:处理器,以及与处理器通信连接的存储器;存储器存储计算机执行指令;处理器执行存储器存储的计算机执行指令,使得处理器执行如第一方面描述的异常检测方法。

10、第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如第一方面描述的异常检测方法。

11、第五方面,本申请提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如第一方面描述的异常检测方法。

12、本申请提供的异常检测方法、装置、设备、存储介质及程序产品,通过获取历史日志、待检测轨迹及历史轨迹,将历史日志及历史轨迹标准化,得到日志模板及轨迹模板,由日志模板及轨迹模板结合预测模型得到预测日志和预测轨迹,结合预测日志和历史日志确定日志状态,结合预测轨迹及待检测轨迹,确定轨迹错误率,在根据日志状态及轨迹错误率,确定系统状态为异常的情况下,输出告警信息,实现准确的确定系统状态,并在系统状态异常的情况下进行告警。



技术特征:

1.一种异常检测方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述根据所述预测日志及所述历史日志,确定日志状态,包括:

3.根据权利要求1所述的方法,其特征在于,所述预测轨迹包括至少一个预测区间,所述待检测轨迹包括至少一个待检测区间;

4.根据权利要求1所述的方法,其特征在于,所述根据所述预测轨迹及所述待检测轨迹,确定轨迹错误率,包括:

5.根据权利要求1至4任一项所述的方法,其特征在于,在所述将所述标准日志及所述标准轨迹输入预测模型,得到预测日志和预测轨迹之前,还包括:

6.根据权利要求5所述的方法,其特征在于,所述在所述标准日志模板中,确定所述训练检测日志对应的目标标准日志模板,包括:

7.一种异常检测装置,其特征在于,包括:

8.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;

9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至6中任一项所述的异常检测方法。

10.一种计算机程序产品,其特征在于,包括计算机程序,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的异常检测方法。


技术总结
本申请提供一种异常检测方法、装置、设备、存储介质及程序产品,属于数据安全技术领域。该方法包括:获取历史日志、待检测轨迹及历史轨迹;将所述历史日志及所述历史轨迹标准化,得到日志模板及轨迹模板;将所述日志模板及所述轨迹模板输入预测模型,得到预测日志和预测轨迹;根据所述预测日志及所述历史日志,确定日志状态;根据所述预测轨迹及所述待检测轨迹,确定轨迹错误率;根据所述日志状态及所述轨迹错误率,确定系统状态;若所述系统状态为异常,则输出警告信息。本申请的方法,解决了异常检测的准确程度较低的问题。

技术研发人员:梁惠勇,张小帅,徐秀云
受保护的技术使用者:人保信息科技有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)