《表3 基于日志数据的异常检测方法对比分析》
表3总结了基于日志数据的异常检测技术.基于图模型的异常检测方法的输入是已挖掘的日志模板,其优点在于充分利用日志序列的上下文关系,构建请求执行逻辑图,具备强大的异常检测能力,能够有效细粒度地探测包括分支异常、性能异常等在内的多种类型的复杂系统异常;缺点在于忽略了日志的文本特征和统计特征,特别是变量信息,无法探测日志中变量值变化表征的系统异常,同时,该方法对日志序列进行建模往往需要日志文本中包含一定的关联信息,具备一定的限制;另外,刻画系统多线程和并发的复杂情形十分困难,难以保障精确度,需要大量的离线日志建模过程.基于概率分析方法的输入是日志模板频率向量,执行效率很高,能够在线快速找到系统运行时的异常,无需离线训练过程;缺点在于其仅仅关注日志数据在时间轴上的表征,异常检测的范围和质量受限.基于机器学习的方法则需要将日志转化为可以计算的数字化的特征向量,该方法关注于日志特征的处理和使用,屏蔽了日志的异构性,适用范围广,可以反映出与异常相关的关键特征,进而帮助理解系统行为;缺点在于其十分依赖日志数据特征的选取和质量,可能需要大量的标注日志数据用于离线的异常检测模型训练,异常检测的范围和质量受限,难以适用于复杂异构多变的大规模分布式系统.
图表编号 | XD00168937300 严禁用于非法目的 |
---|---|
绘制时间 | 2020.07.01 |
作者 | 贾统、李影、吴中海 |
绘制单位 | 北京大学信息科学技术学院、北京大学软件工程国家工程研究中心、北京大学软件工程国家工程研究中心 |
更多格式 | 高清、无水印(增值服务) |