[发明专利]一种基于nLSTM-self attention的日志序列异常检测框架

说明书

本发明涉及一种基于nLSTM‑self attention的日志序列异常检测框架，其中，包括：训练模型和异常检测模型；训练模型包括：假设一个日志文件中包含k个日志模板E＝{e₁,e₂L e_k}，训练模型的输入为日志模板的序列，一个长度为h的日志序列l_t‑h,…l_t‑2,l_t‑1中包含的日志模板l_i∈E,t‑h≤i≤t‑1，且一个序列中的日志模板数|l_t‑h,...l_t‑2,l_t‑1|＝m≤h，把每个日志模板对应一个模板号，并生成日志模板词典，然后把正常的日志模板序列生成输入序列和目标数据喂入异常检测模型进行训练；检测阶段包括：数据输入的方法同训练阶段，用训练阶段生成的模型进行异常检测，模型输出为一个概率向量P＝(p₁，p₂L p_k)，p_i表示目标日志模板为e_i的概率，如果实际目标数据在预测值内，判定为该日志序列正常，否则判定为异常。

技术领域

本发明涉及网络安全技术，特别涉及一种基于nLSTM-self attention的日志序列异常检测框架。

背景技术

网络环境日益复杂，针对网络应用和系统的攻击不断涌现，且往往是多种攻击手段的组合运用，这使得现有的异常检测方法对新型的攻击不再适用。而一旦攻击得手或者网络应用自身出现异常，将给应用的所有者及用户带来不可估量的损失。攻击和错误发现的越早，造成的损失就会越少。

网络、系统和应用程序在运行过程中都会产生日志，用于记录运行状态以及重要事件，因此日志包含极为丰富的动态信息，日志分析对于维护各种任务至关重要。这些任务包括安全任务，如入侵检测，内部威胁检测和恶意软件检测，以及更常见的维护任务，如检测硬件故障等。通过分析日志，我们可以检测异常行为和挖掘潜在安全威胁。