[发明专利]用于网络运行安全监测的异常日志数据识别方法

权利要求书

1.一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，该方法包括以下步骤：

获取网络运行管理系统的历史数据中不同时间节点的正常日志和异常日志，根据异常日志中词汇出现的概率提取异常日志中的高频异常词汇；

根据高频异常词汇在异常日志中出现的概率和分布情况得到高频异常词汇的异常特征值，根据所有高频异常词汇的异常特征值得到标准异常特征值；

获取当前时间节点的目标日志，根据目标日志和历史数据中相同时间节点的正常日志之间的相似度得到第一评价指标；根据历史数据中与当前时间节点相同时间节点的异常日志的数量得到第二评价指标；根据目标日志中存在的高频异常词汇的异常特征值和标准异常特征值得到第三评价指标；

根据第一评价指标、第二评价指标和第三评价指标得到目标日志的全局评价指标，根据全局评价指标判断目标日志是否属于异常日志数据；

所述第一评价指标的获取方法具体为：

提取目标日志的日志模板，将历史数据中正常日志的日志模板中，与目标日志的日志模板相同词汇最多的正常日志的日志模板，记为最佳匹配模板；获取目标日志的日志模板与最佳匹配模板相同的词汇的数量，以所述数量与目标日志的日志模板中所有词汇的总数量之间的比值作为第一评价指标；

所述第二评价指标的获取方法具体为：

将历史数据中与当前时间节点相同时间节点异常日志的数量记为第一数量，将历史数据中与当前时间节点相同时间节点的所有日志的数量记为第二数量，以第一数量和第二数量的比值作为第二评价指标；

所述第三评价指标的获取方法具体为：

将目标日志中存在的所有高频异常词汇的异常特征值之和记为目标日志的异常特征参数，以标准异常特征值与所述异常特征参数之间的差值的绝对值作为第三评价指标。

2.根据权利要求1所述的一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，所述根据高频异常词汇在异常日志中出现的概率和分布情况得到高频异常词汇的异常特征值具体为：

将任意一个高频异常词汇记为选定词汇，对于历史数据中的任意一条异常日志，获取选定词汇在该异常日志中出现的总次数记为第一系数，计算选定词汇在所有异常日志中的第一系数的均值；将选定词汇在所有异常日志中出现的日志条数与所有异常日志的总条数之间的比值记为特征比值；以所述均值、特征比值以及选定词汇对应出现的概率之间的乘积作为选定词汇的异常特征值。

3.根据权利要求1所述的一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，所述根据第一评价指标、第二评价指标和第三评价指标得到目标日志的全局评价指标具体为：

对第三评价指标进行负相关映射；计算预设的第一数值与第二评价指标之间的差值，以预设的第二数值与所述差值的和值作为第三系数；计算第三评价指标的负相关映射值与第三系数之间的比值，以第二评价指标和所述比值的乘积作为全局评价指标。

4.根据权利要求1所述的一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，所述根据所有高频异常词汇的异常特征值得到标准异常特征值具体为：

对于历史数据中任意一条异常日志，以该异常日志中所有高频异常词汇的异常特征之和作为该异常日志的第二系数；以历史数据中所有异常日志的第二系数的均值作为标准异常特征值。

5.根据权利要求1所述的一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，所述根据异常日志中词汇出现的概率提取异常日志中的高频异常词汇具体为：

对于历史数据中的异常日志的任意一个词汇，当该词汇在所有异常日志中出现的概率大于或等于预设的高频阈值时，该词汇为高频异常词汇。

6.根据权利要求5所述的一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，所述高频阈值的获取方法具体为：

根据历史数据中的异常日志中的词汇对应出现的概率对异常日志中的词汇进行聚类得到至少两个类别；对于任意一个类别，将该类别内所有词汇对应出现的概率的均值与该类别内词汇数量占所有词汇数量的比值之间的乘积即为类别概率特征值，以所有类别的类别概率特征值的平均数作为高频阈值。

7.根据权利要求1所述的一种用于网络运行安全监测的异常日志数据识别方法，其特征在于，所述根据全局评价指标判断目标日志是否属于异常日志数据具体为：

当目标日志的全局评价指标大于或等于预设的评价阈值时，目标日志为异常的日志数据；当目标日志的全局评价指标小于评价阈值时，目标日志为正常的日志数据。