[发明专利]基于日志的复杂软件系统异常行为检测方法

权利要求书

1.一种基于日志的复杂软件系统异常行为检测方法，其特征在于，包含有如下步骤：

步骤1：分析系统源码：将被检测的复杂软件系统的源码作为输入，使用抽象语法树提取源码中可用信息，获得源码的控制流图和日志模板集，其中日志模板为日志打印语句的结构化定义；根据源码的控制流图，可得日志模板间的可达关系；

步骤2：解析日志语句：对标准化的日志消息进行建模，其信息包括日志行号、级别、时间戳和日志模板信息等；采集被检测的复杂软件系统产生的日志语句，进行有效信息提取，并匹配相应的日志模板，得到完整的日志消息；

步骤3：抽取执行轨迹：结合解析得到的日志消息集合，基于日志模板间的可达关系进行日志执行轨迹提取，并做相应的处理，得到执行轨迹集合；

步骤4：异常检测：采用异常概率树的方法分析执行轨迹集合，将执行轨迹当作数据序列，根据序列与整个网络之间的相似度来判断序列数据中是否存在异常，结合日志执行轨迹的拓扑结构和出现的次数进行异常指数的计算。

2.根据权利要求1所述的一种基于日志的复杂软件系统异常行为检测方法，其特征在于，步骤1所述分析系统源码，获取日志打印语句间的可达关系，具体包括有如下步骤：

1.1定义控制流图、可达关系图和日志模板的表示形式

带有函数调用信息的控制流图，定义为G_F＝(V_F,E_F)表示；

日志模板可达关系图，定义为G_L＝(V_L,E_L)表示；

日志模板：日志模板为系统源代码中日志输出语句通用的抽象结构，定义为四元组ls＝(id,loc,cons,vars)表示；

1.2使用控制流分析实现源码S向G_L的转换具体包括有如下步骤：

1.2.1以文件为单位，使用抽象语法树将系统源码转换为AST节点；

1.2.2以函数入口为起点，递归遍历源码S中的所有函数，获得以函数为单位的控制流图G_c＝(V_c,E_c)，重复执行该步骤获得源码S的控制流图集合CFGs{G₁,G₂,...,G_n}；

1.2.3创建包含函数调用的控制流图G_F＝(V_F,E_F)，其中V_F＝{G₁.V_C∪G₂.V_C∪…∪G_n.V_C}，E_F＝{G₁.E_C∪G₂.E_C∪…∪G_n.E_C}；

1.2.4给定任意两个和如果存在从节点到另一节点的函数调用，为G_F.E_F添加边重复该步骤至所有函数被处理完；

1.2.5为日志模板创建可达关系图G_L＝(V_L,E_L)，其中G_L.V_L＝LS，LS＝{ls₁,ls₂,…,ls_m}是日志模板集合；

1.2.6为任意两个节点在图G_F上使用Floyd-Warshall算法检测节点和节点是否可达；如果可达，为G_L.E_L添加边重复该步骤至图G_L上的所有节点被处理。