《表1 日志模板示例:基于日志的异常检测技术综述》
提示:宽带有限、当前游客访问压缩模式
其次,对处理后的数据进行解析,分析日志结构与信息,获取日志针对每个事件的模板。日志解析是从无结构的日志中提取相应的事件模板,每个模板由多个指定参数构成,作为后续特征提取的基础。由于日志数量庞大,当前主要采用固定时间窗口、滑动时间窗口、会话窗口等为日志分割的方式[7],将庞大的日志划分为多个部分进行检测,或者通过采样的方式进行检测。在数据采样过程中,采样方式、样本尺寸与检测正确率关系密切,因此,在该方向进一步探索,对提高所提方案的实用性有重要推动作用。本文通过设定固定的时间范围作为窗口,对窗口内日志内容进行解析,提炼其中的事件模板,将日志切分成一组日志事件序列Log={e1,e2,…,en},进而从提取信息中选择合适的变量和分组来表示相关内容,并进行数字化向量表示,构建成特征向量,方便后续进行机器学习。例如,对一段时间窗口内的信息组成一个日志序列(图2中的内容为一个时间窗口),根据日志解析后的事件模板进行分析(如表1所示)。
| 图表编号 | XD00197574500 严禁用于非法目的 |
|---|---|
| 绘制时间 | 2020.12.15 |
| 作者 | 张颖君、刘尚奇、杨牧、张海霞、黄克振 |
| 绘制单位 | 中国科学院软件研究所可信计算与信息保障实验室、北京市公安局网络安全保卫总队、北京市公安局网络安全保卫总队、中国科学院软件研究所可信计算与信息保障实验室、中国科学院软件研究所可信计算与信息保障实验室 |
| 更多格式 | 高清、无水印(增值服务) |
