(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210950614.0 (22)申请日 2022.08.09 (71)申请人 长沙理工大 学 地址 410000 湖南省长 沙市天心区赤岭路 45号 (72)发明人 王进　邓拓　何施茗　曹敦　 张建明　 (74)专利代理 机构 北京和信华成知识产权代理 事务所(普通 合伙) 11390 专利代理师 胡阔雷 (51)Int.Cl. G06F 11/34(2006.01) G06F 40/237(2020.01) G06F 40/12(2020.01) G06F 40/30(2020.01)G06F 40/284(2020.01) G06K 9/62(2022.01) (54)发明名称 一种日志异常检测方法、 装置、 设备及存储 介质 (57)摘要 本申请提供一种日志异常检测方法， 包括以 下步骤： S1、 获取待检测日志消息的第一时间戳 和第一日志内容； S2、 对所述第一时间戳和所述 第一日志内容进行预处理， 得到第二时间戳和第 二日志内容； S3、 对所述第二时间戳和第二日志 内容进行特征提取处理， 得到日志向量序列； S4、 将所述日志向量序列输入训练好的TRANSFORMER 模型， 得到日志序列向量； S5、 将所述日志序列向 量输入训练好的超球面模型， 得到异常检测结 果。 本申请涉及的技术方案， 其能够充分利用日 志消息中的信息构建多特征表 示， 处理多种异常 模式， 提高日志异常检测过程中的准确性和实用 性。 权利要求书2页 说明书12页 附图6页 CN 115454788 A 2022.12.09 CN 115454788 A 1.一种日志 异常检测方法， 其特 征在于， 包括以下步骤： S1、 获取待检测日志消息的第一时间戳和第一日志内容； S2、 对所述第一时间戳和所述第一日志内容进行预处理， 得到第二时间戳和第二日志 内容； S3、 对所述第二时间戳和第二日志内容进行 特征提取处 理， 得到日志向量序列； S4、 将所述日志向量序列输入训练好的TRANSFORM ER模型， 得到日志序列向量； S5、 将所述日志序列向量输入训练好的超球面模型， 得到异常检测结果。 2.根据权利要求1所述的方法， 其特 征在于， 对所述第一时间戳进行 预处理， 包括以下步骤： 通过最大最小值归一 化将所述第一时间戳进行缩放处 理， 得到第二时间戳； 和/或， 对所述第一日志内容进行 预处理， 包括以下步骤： S201、 将所述第一日志内容中的大写字母转换为小 写字母， 得到更新日志内容； S202、 将所述更新日志内容分隔为符号标记， 并删除所述符号标记中的非字符标记， 得 到第二日志内容。 3.根据权利要求1所述的方法， 其特 征在于， 所述特 征提取处 理包括： S301、 对所述第二日志内容进行子词标记化处 理， 得到所述第二日志内容的基础词汇； S302、 对所述基础词汇进行编码处 理， 得到语义向量； S303、 将所述第二时间戳扩展至高维时间嵌入表示， 得到时间向量； S304、 连接所述时间向量和所述语义向量， 得到串联向量； S305、 采用窗口划分技术处理所述串联向量， 得到所述日志向量序列， 所述日志向量序 列用于异常检测。 4.根据权利要求1所述的方法， 其特征在于， 所述超球面模型通过获取正常日志序列和 异常日志序列之间的差异， 得到异常检测结果。 5.根据权利要求 4所述的方法， 其特 征在于， 所述S5， 包括： S501、 计算所述待检测日志消息的异常分数， 所述异常分数为所述日志序列向量至所 述超球面模型的球心的距离； S502、 设置检测阈值， 所述检测阈值 为所述超球面模型的半径； S503、 比较所述异常 分数与所述检测阈值的大小， 得到比较结果； S504、 根据所述比较结果， 得到异常检测结果。 6.根据权利要求5所述的方法， 其特 征在于， 所述S5 04， 包括： 当所述异常 分数大于所述检测阈值时， 则所述待检测日志消息的序列为异常序列； 当所述异常分数小于或等于所述检测阈值 时， 则所述待检测日志消息的序列为正常序 列。 7.根据权利要求1 ‑6任一项所述的方法， 其特征在于， 所述TRANSFORMER模型和所述超 球面模型的训练过程， 包括以下步骤： S11、 获取历史日志消息的所述第一时间戳和所述第一日志内容； S12、 对所述第一时间戳和所述第一日志内容进行预处理， 得到所述第 二时间戳和所述 第二日志内容； S13、 对所述第二时间戳和第二日志内容进行 特征提取处 理， 得到所述日志向量序列；权　利　要　求　书 1/2 页 2 CN 115454788 A 2S14、 根据所述日志向量序列， 进行模型训练， 得到所述TRANSFORMER模型和所述超球面 模型。 8.一种日志 异常检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取待检测日志消息的第一时间戳和第一日志内容； 处理模块， 用于对所述第一时间戳和所述第一日志内容进行预处理， 得到第二时间戳 和第二日志内容； 对所述第二时间戳和第二日志内容进行特征提取处理， 得到日志向量序 列； 检测模块， 用于将所述日志向量序列输入训练好的TRANSFORMER模型， 得到日志序列向 量； 将所述日志序列向量输入训练好的超球面模型， 得到异常检测结果。 9.一种终端设备， 其特 征在于， 包括存 储器、 处理器； 所述存储器， 用于存 储计算机程序； 所述处理器， 用于读取所述存储器中的计算机程序并执行如权利要求1 ‑7任一项所述 的方法对应的操作。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 执行指令， 所述计算机执行指令被处理器执行时用于实现如权利要求1 ‑7任一项所述的日 志异常检测方法。权　利　要　求　书 2/2 页 3 CN 115454788 A 3