日志异常检测方法及装置与流程

1.本发明涉及信息安全技术领域，尤指一种日志异常检测方法及装置。


背景技术：

2.本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
3.随着互联网的发展，各大社区和信息共享平台上的不良行为日趋增多，包括账号密码泄露和滥用、垃圾邮件和邮件钓鱼攻击，而这些不良行为严重影响了计算机系统的安全性，由于这些不良行为都是通过计算机底层操作来实现的，因此日志数据可以反应出计算机事件的执行逻辑，可以通过日志数据检测来确保计算机系统的安全，传统日志异常检测需要凭借人工经验分析日志数据中是否存在异常，导致检测效率和准确率都较低，并且容易出现漏检，因此不能保障计算机系统的安全性。


技术实现要素：

4.在本发明实施例提出了一种日志异常检测方法，用以避免日志数据漏检，提高日志数据检测的效率和准确率，确保计算机系统安全稳定运行，包括：
5.在预设时间窗内，采集日志数据；
6.对日志数据进行聚类分析，将日志数据划分为多个簇；
7.将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；
8.将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；
9.对检测结果异常的日志数据发出警报。
10.在本发明实施例提出了一种日志异常检测装置，用以避免日志数据漏检，提高日志数据检测的效率和准确率，确保计算机系统安全稳定运行，包括：
11.数据采集模块，用于在预设时间窗内，采集日志数据；
12.聚类分析模块，用于对日志数据进行聚类分析，将日志数据划分为多个簇；
13.模板填充模块，用于将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；
14.异常监测模块，用于将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；
15.异常警报模块，用于对检测结果异常的日志数据发出警报。
16.在本发明实施例提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现日志异常检测方法。
17.在本发明实施例提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现日志异常检测方法。
18.在本发明实施例提出了一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现日志异常检测方法。
19.本发明实施例提出的日志异常检测方法及装置可以解决现有技术中日志数据检测效率和准确率较低，并且容易出现漏检，计算机系统的安全性无法得到保障的问题；本发明实施例通过在预设时间窗内，采集日志数据；对日志数据进行聚类分析，将日志数据划分为多个簇；将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；对检测结果异常的日志数据发出警报。本发明实施例将同一簇日志数据填充进同一日志数据模板，用户可以自定义日志数据模板的参数，使得日志数据模板扩展性更高，利用日志数据检测模型检测日志数据是否存在异常，可以避免日志数据漏检，提高日志数据检测的效率和准确率，确保计算机系统安全稳定运行。
附图说明
20.为了更清楚地说明本技术实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
21.图1是本发明实施例中日志异常检测方法的流程示意图；
22.图2是本发明实施例中日志异常检测方法的具体实例图；
23.图3是本发明实施例中日志异常检测方法的具体实例图；
24.图4是本发明实施例中日志异常检测方法的具体实例图；
25.图5是本发明实施例中日志异常检测装置的示意图；
26.图6是本发明实施例中日志异常检测装置的具体实例图；
27.图7是本发明实施例中日志异常检测装置的具体实例图；
28.图8是本发明实施例中日志异常检测装置的具体实例图；
29.图9是本发明实施例中计算机设备的示意图。
具体实施方式
30.为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。
31.本文中术语“和/或”，仅仅是描述一种关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中术语“至
少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括a、b、c中的至少一种，可以表示包括从a、b和c构成的集合中选择的任意一个或多个元素。
32.在本说明书的描述中，所使用的“包含”、“包括”、“具有”、“含有”等，均为开放性的用语，即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本技术的实施，其中的步骤顺序不作限定，可根据需要作适当调整。
33.下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。
34.图1是本发明实施例中日志异常检测方法的流程示意图。如图1所示，该方法包括：
35.步骤101，在预设时间窗内，采集日志数据；
36.步骤102，对日志数据进行聚类分析，将日志数据划分为多个簇；
37.步骤103，将同一簇日志数据填充进日志数据模板，得到多个包含同一簇日志数据的日志数据模板；
38.步骤104，将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；
39.步骤105，对检测结果中异常的日志数据发出警报。
40.由图1所示流程可以得知，本发明实施例通过在预设时间窗内，采集日志数据，对日志数据进行聚类分析，将日志数据划分为多个簇，将同一簇日志数据填充进日志数据模板，得到多个包含同一簇日志数据的日志数据模板；将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果，对检测结果中异常的日志数据发出警报。本发明实施例将同一簇日志数据填充进日志数据模板，用户可以自定义日志数据模板的参数，使得日志数据模板扩展性更高，利用日志数据检测模型检测日志数据是否存在异常，可以避免日志数据漏检，提高日志数据检测的效率和准确率，确保计算机系统安全稳定运行。
41.为了对上述日志异常检测方法进行更为清楚的解释，下面结合每一步骤来进行详细说明。
42.本发明一实施例中，针对步骤101，采用logback工具在预设时间窗内进行日志数据采集，将采集的日志数据存放在指定路径下的指定格式文件中。
43.本发明一实施例中，在对日志数据进行聚类分析之前，利用正则表达式对日志数据进行清洗，剔除日志数据中的无用内容、重复内容、多余空格。
44.图2是本发明实施例中日志异常检测方法的具体实例图。参考图2，对日志数据进行聚类分析，将日志数据划分为多个簇的详细流程为：
45.步骤201，将日志数据的事件序列转换为词向量；
46.步骤202，根据词向量对日志数据进行聚类分析，将日志数据划分为多个簇。
47.具体实施时，根据日志数据的事件序列{k1,k2,...,kn}，确定日志数据中每一事
件的词向量，得到日志数据的事件序列词向量序列(c1,c2,
…
,cn)，计算每一词向量的模长之和：|c1|+|c2|+
…
+|cn|，根据每一词向量的模长之和对日志数据进行聚类，得到日志数据的多个簇，不同的簇代表着不同的候选事件。
48.本发明一实施例中，针对步骤103，根据日志数据模板的参数，将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；其中，日志数据模板的参数包括：事件名称、事件信息、频率、事件参数其中一种或任意组合。
49.本发明一实施例中，日志数据模板参考表1，将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；例如：在一个日志数据的事件序列中，事件名称包含：zookeeperserver、nioserver、zookeeperserver；事件信息包含：服务器环境、port绑定、socket连接、客户端新会话、已建立的会话，需要将事件名称和事件信息填充日志数据模板，并对应填充频率与事件参数。
50.表1
51.事件编号事件名称事件信息频率事件参数1zookeeperserver服务器环境3hostname＝localhost2nioserverport绑定20.0.0.03nioserversocket连接2192.168.31.154：88014zookeeperserver客户端新会话1192.168.31.154:88015zookeeperserver已建立的会话10x62123231a0000
52.图3是本发明实施例中日志异常检测方法的具体实例图。
53.本发明一实施例中，参考图3，日志数据检测模型按如下方式进行训练和测试：
54.步骤301，获取历史日志数据、历史日志数据检测结果，建立样本集；从样本集中确定训练集和测试集；
55.步骤302，利用训练集对胶囊网络模型进行训练，利用测试集对训练的胶囊网络模型进行测试；
56.步骤303，将测试通过的胶囊网络模型确定为日志数据检测模型。
57.具体实施时，根据历史日志数据、历史日志数据检测结果，建立样本集；从样本集中确定训练集和测试集；对训练集和测试集中的历史日志数据进行聚类分析，将历史日志数据划分为多个簇，将同一簇历史日志数据填充进同一日志数据模板，得到多个包含同一簇历史日志数据的日志数据模板，利用训练集的历史日志数据对应的，包含同一簇历史日志数据的日志数据模板对胶囊网络模型进行训练，利用测试集的历史日志数据对应的，包含同一簇历史日志数据的日志数据模板对胶囊网络模型进行测试，将测试通过的胶囊网络模型确定为日志数据检测模型。
58.本发明一实施例中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；在读取日志数据的过程中，使用滑动窗口在日志数据模板上获取事件，通过获取的事件得到日志数据；使用n-gram卷积提取滑动窗口中的日志数据的特征；其中，日志数据的特征维度为(l-k+1)
×
b，其中，l为一条日志数据的文本长度；k为滑动窗口的尺寸；b为n-gram卷积使用滤波器的数量；在主胶囊层中，使用维度为b
×
d的滤波器将滑动窗口中的日志数据的特征转换为d维初始胶囊ui，将初始胶囊ui乘上参数矩阵w
ij
，得到特征向量其中，d为初
始胶囊的维度；采用squash非线性压缩函数将主胶囊层输出的特征向量的长度压缩至0和1之间；在主胶囊层和数字胶囊层之间采用动态路由算法更新数字胶囊层的日志数据异常度矩阵，用以学习主胶囊层和数字胶囊层之间的层次关系，并得到日志数据的全局特征；将在数字胶囊层输出的向量输入到全连接层，输出日志数据的二分类(正常、异常)结果和概率。
59.本发明一实施例中，在利用训练集对胶囊网络模型进行训练的过程中，利用动态路由算法更新数字胶囊层的日志数据异常度矩阵；其中，日志数据异常度矩阵是数字胶囊层的权重参数。
60.具体实施时，利用动态路由算法(tc-routing)更新数字胶囊层的日志数据异常度矩阵的详细流程如下：
61.(1)动态路由算法的输入是主胶囊层输出的特征向量将维度为w
×
h的日志数据异常度矩阵b
ij
，初始值为0；当前输入的数字胶囊层在胶囊网络的第l层；
62.(2)迭代更新日志数据异常度矩阵b
ij
，迭代次数为n，在本发明一个实施例中，n取50；采用softmax函数对维度为w
×
h的日志数据异常度矩阵b
ij
进行计算，得到路由权值c
ij
；其中，路由权值c
ij
之和为1；第一次迭代时路由权值中的数据都相同；确定路由权值c
ij
的公式表示为：
63.c
ij
＝softmax(b
ij
)；
64.(3)利用路由权值c
ij
对主胶囊层输出的特征向量进行加权求和、再与日志数据异常度矩阵b
ij
进行求和，可以在迭代计算的过程中更好学习正常日志数据与异常日志数据的差异，得到的向量sj表示日志数据的高层特征；确定日志数据的高层特征向量sj的公式表示为：
[0065][0066]
(4)采用squash非线性函数对日志数据的高层特征向量sj进行压缩，使得特征向量长度控制在0到1之间，压缩后的特征向量vj即为数字胶囊层的输出向量，包含了日志数据的异常度信息；确定数字胶囊层的输出向量vj的公式表示为：
[0067]
vj＝squash(sj)；
[0068]
(5)将数字胶囊层的输出向量vj与主胶囊层输出的特征向量进行点积运算，再与日志数据异常度矩阵b
ij
进行求和，将求和得到的数据重新赋值给b
ij
，更新日志数据异常度矩阵，完成权重参数更新，公式表示如下：
[0069][0070]
(6)经过n次迭代后，数字胶囊层输出向量vj，动态路由算法结束。
[0071]
图4是本发明实施例中日志异常检测方法的具体实例图。
[0072]
本发明一实施例中，参考图4，采集日志数据，并对日志数据进行预处理，预处理包括：利用正则表达式对日志数据进行清洗；将清洗后的日志数据进行聚类分析，将日志数据划分为多个簇；将同一簇日志数据填充进同一日志数据模板，将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果。
[0073]
需要说明的是，尽管在上述实施例及附图中以特定顺序描述了本发明方法的操
作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0074]
日志异常检测装置的实施可以参见上述方法的实施，重复之处不再赘述。以下所使用的术语“模块”或者“单元”，可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0075]
基于同一发明构思，本发明还提出了一种日志异常检测装置，如图5所示，该装置包括：
[0076]
数据采集模块501，用于在预设时间窗内，采集日志数据；
[0077]
聚类分析模块502，用于对日志数据进行聚类分析，将日志数据划分为多个簇；
[0078]
模板填充模块503，用于将同一簇日志数据填充进日志数据模板，得到多个包含同一簇日志数据的日志数据模板；
[0079]
异常检测模块504，用于将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；
[0080]
异常警报模块505，用于对检测结果中异常的日志数据发出警报。
[0081]
图6是本发明实施例中日志异常检测装置的具体实例图。如图6所示，本发明一实施例中，图5所示日志异常检测装置还包括：
[0082]
数据清洗模块601，用于在聚类分析模块对日志数据进行聚类分析之前，利用正则表达式对日志数据进行清洗。
[0083]
本发明一实施例中，聚类分析模块502具体用于：
[0084]
将日志数据的事件序列转换为词向量；
[0085]
根据词向量对日志数据进行聚类分析，将日志数据划分为多个簇。
[0086]
本发明一实施例中，模板填充模块503具体用于：
[0087]
根据日志数据模板的参数，将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；其中，日志数据模板的参数包括：事件名称、事件信息、频率、事件参数其中一种或任意组合。
[0088]
图7是本发明实施例中日志异常检测装置的具体实例图。如图7所示，本发明一实施例中，图5所示日志异常检测装置还包括：
[0089]
模型训练模块701，用于获取历史日志数据、历史日志数据检测结果，建立样本集；从样本集中确定训练集和测试集；利用训练集对胶囊网络模型进行训练，利用测试集对训练的胶囊网络模型进行测试；将测试通过的胶囊网络模型确定为日志数据检测模型。
[0090]
图8是本发明实施例中日志异常检测装置的具体实例图。如图8所示，本发明一实施例中，图7所示日志异常检测装置还包括：
[0091]
动态路由模块801，用于在利用训练集对胶囊网络模型进行训练的过程中，利用动态路由算法更新数字胶囊层的日志数据异常度矩阵；其中，日志数据异常度矩阵是数字胶囊层的权重参数。
[0092]
应当注意，尽管在上文详细描述中提及了日志异常检测装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
[0093]
基于前述发明构思，如图9所示，本发明还提出了一种计算机设备900，包括存储器901、处理器902及存储在存储器901上并可在处理器902上运行的计算机程序903，所述处理器902执行所述计算机程序903时实现前述日志异常检测方法。
[0094]
基于前述发明构思，本发明提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现前述日志异常检测方法。
[0095]
基于前述发明构思，本发明提出了一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现日志异常检测方法。
[0096]
本发明实施例提出的日志异常检测方法及装置可以解决现有技术中日志数据检测效率和准确率较低，并且容易出现漏检，计算机系统的安全性无法得到保障的问题；本发明实施例通过在预设时间窗内，采集日志数据；对日志数据进行聚类分析，将日志数据划分为多个簇；将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；对检测结果异常的日志数据发出警报。本发明实施例将同一簇日志数据填充进日志数据模板，用户可以自定义日志数据模板的参数，使得日志数据模板扩展性更高，利用日志数据检测模型检测日志数据是否存在异常，可以避免日志数据漏检，提高日志数据检测的效率和准确率，确保计算机系统安全稳定运行。
[0097]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0098]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0099]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0100]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或
其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0101]
以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种日志异常检测方法，其特征在于，包括：在预设时间窗内，采集日志数据；对日志数据进行聚类分析，将日志数据划分为多个簇；将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；对检测结果异常的日志数据发出警报。2.根据权利要求1所述的方法，其特征在于，在对日志数据进行聚类分析之前，还包括：利用正则表达式对日志数据进行清洗。3.根据权利要求1所述的方法，其特征在于，对日志数据进行聚类分析，将日志数据划分为多个簇，包括：将日志数据的事件序列转换为词向量；根据词向量对日志数据进行聚类分析，将日志数据划分为多个簇。4.根据权利要求1所述的方法，其特征在于，将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板，包括：根据日志数据模板的参数，将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；其中，日志数据模板的参数包括：事件名称、事件信息、频率、事件参数其中一种或任意组合。5.根据权利要求1所述的方法，其特征在于，所述日志数据检测模型按如下方式进行训练和测试：获取历史日志数据、历史日志数据检测结果，建立样本集；从样本集中确定训练集和测试集；利用训练集对胶囊网络模型进行训练，利用测试集对训练的胶囊网络模型进行测试；将测试通过的胶囊网络模型确定为日志数据检测模型。6.根据权利要求5所述的方法，其特征在于，还包括：在利用训练集对胶囊网络模型进行训练的过程中，利用动态路由算法更新数字胶囊层的日志数据异常度矩阵；其中，日志数据异常度矩阵是数字胶囊层的权重参数。7.一种日志异常检测装置，其特征在于，包括：数据采集模块，用于在预设时间窗内，采集日志数据；聚类分析模块，用于对日志数据进行聚类分析，将日志数据划分为多个簇；模板填充模块，用于将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；异常监测模块，用于将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；异常警报模块，用于对检测结果异常的日志数据发出警报。
8.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6任一所述方法。9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1至6任一所述方法。10.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现权利要求1至6任一所述方法。

技术总结
本发明提供了日志异常检测方法及装置，涉及信息安全技术领域，该方法包括：在预设时间窗内，采集日志数据；对日志数据进行聚类分析，将日志数据划分为多个簇；将同一簇日志数据填充进同一日志数据模板，得到多个包含同一簇日志数据的日志数据模板；将多个包含同一簇日志数据的日志数据模板输入日志数据检测模型，输出日志数据的检测结果；所述日志数据检测模型根据历史日志数据、历史日志数据检测结果，对胶囊网络模型进行训练得到；其中，胶囊网络模型包括卷积层、主胶囊层、数字胶囊层、全连接层；对检测结果异常的日志数据发出警报。本发明可以避免日志数据漏检，提高日志数据检测的效率和准确率，确保计算机系统安全稳定运行。确保计算机系统安全稳定运行。确保计算机系统安全稳定运行。


技术研发人员：唐震宇 陈悦 马浩钦 宁光辉
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.05.23
技术公布日：2023/8/21