(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211106624.2 (22)申请日 2022.09.13 (71)申请人 云智慧 （北京） 科技有限公司 地址 100096 北京市海淀区清河西三 旗东 路6幢2层210室 (72)发明人 郭玉慧　郑铁樵　张博　 (74)专利代理 机构 北京华桐专利代理事务所 (特殊普通 合伙) 16111 专利代理师 王华兴 (51)Int.Cl. G06F 16/18(2019.01) G06F 16/35(2019.01) G06F 16/36(2019.01) G06F 40/216(2020.01) G06F 40/284(2020.01)G06N 3/04(2006.01) (54)发明名称 一种日志类型的检测方法、 装置及设备 (57)摘要 本发明公开了一种日志类型的检测方法、 装 置及设备， 方法包括： 获取待检测日志数据； 根据 所述待检测日志数据中的待检测关键词之间的 语义关联关系， 构建待检测日志事件子图； 根据 所述待检测日志事件子图， 在训练好的日志类型 标注器的日志事件图中的相对应顶 点的类型， 对 所述待检测日志事件子图中的顶点进行类型标 注， 得到所述待检测日志事件子图的各顶点的类 型； 根据所述待检测日志事件子图的各顶点的类 型， 输出所述待检测日志数据的类型。 本发明的 方案可以提高日志类型检测的准确性。 权利要求书3页 说明书15页 附图3页 CN 115185920 A 2022.10.14 CN 115185920 A 1.一种日志类型的检测方法， 其特 征在于， 包括： 获取待检测日志数据； 根据所述待检测日志数据中的待检测关键词之间的语义关联关系， 构建待检测日志事 件子图； 根据所述待检测日志事件子图， 在训练好的日志类型标注器的日志事件图中的相对应 顶点的类型， 对所述待检测日志事件子图中的顶点进行类型标注， 得到所述待检测日志事 件子图的各顶点的类型； 根据所述待检测日志事 件子图的各顶点的类型， 输出 所述待检测日志数据的类型。 2.根据权利要求1所述的日志类型的检测方法， 其特征在于， 所述日志类型标注器通过 以下过程进行训练： 获得关键词序列集合和 原始日志数据集， 所述关键词序列集合包括标注了日志类型的 至少一种类型的关键词， 所述原 始日志数据集包括至少一条原 始日志数据； 根据所述关键词序列集合中每一种类型的关键词之间的语义关联关系构建训练日志 事件图， 所述训练日志事件图中， 所述关键词为所述训练日志事件图的顶点， 所述关键词之 间的共现为所述训练日志事 件图的边； 根据所述原 始日志数据中的关键词之间的语义关联关系， 构建训练日志事 件子图； 根据所述训练日志事件子图在所述训练日志事件图中的相对应顶点的类型， 对所述训 练日志事 件子图中的顶点进行类型 标注， 得到所述训练日志事 件子图的各顶点的类型； 将所述训练日志事件子图的各顶点对应的关键词进行分类， 得到至少一种类型的训练 目标关键词； 根据所述至少一种类型的训练目标关键词， 更新所述关键词序列集 合。 3.根据权利要求2所述的日志类型的检测方法， 其特征在于， 根据 所述原始日志数据中 的关键词之间的语义关联关系， 构建训练日志事 件子图， 包括： 将所述原始日志数据对应的日志模板中的私有变量， 作为所述原始日志数据的关键 词； 根据所述关键词之间的语义关联关系， 构建训练日志事件子 图， 所述训练日志事件子 图中， 所述原始日志数据的关键词为所述训练日志事件子图的顶点， 所述关键词之间的共 现为所述训练日志事 件子图的边。 4.根据权利要求2所述的日志类型的检测方法， 其特征在于， 根据 所述训练日志事件子 图在所述训练日志事件图中的相对应顶点的类型， 对所述训练日志事件子图中的顶点进 行 类型标注， 得到所述训练日志事 件子图的各顶点的类型， 包括： 遍历所述训练日志事件图中的各顶点， 获得与所述训练日志事件子图相同的诱导子 图； 将所述诱导子图的各顶点的类型， 确定为所述训练日志事件子图的相对应的各顶点的 类型， 对所述训练日志事件子图中的顶点进行类型标注， 得到所述训练日志事件子图的各 顶点的类型。 5.根据权利要求4所述的日志类型的检测方法， 其特征在于， 遍历所述训练日志事件图 中的各顶点， 获得与所述训练日志事 件子图相同的诱 导子图， 包括：权　利　要　求　书 1/3 页 2 CN 115185920 A 2随机采样一个 类型 ； 随机从类型为 的关键词中采样一个关键词 ； 从高斯分布 采样步长L； 以关键词 作为起始节点， 作为游走的概率， L作为游走步长， 在所述训练日志事 件图上执行随机游走， 获得与所述训练日志事 件子图相同的目标子图。 6.根据权利要求5所述的日志类型的检测方法， 其特 征在于， 高斯分布 的参数如下： ； ； 其中， 表示原始日志数据 中的关键词的个数， f为 关键词个 数统计函数， k 为整数， n 为日志数量， m为高斯分布的序号， i 为第i个日志数据； 通过高斯分布 对长度L的随机游走进行采样， 从节点 到 游走的 概率如下： ； 其中， 是顶点 和 的共现频率， 是 的邻居顶点集合， j为图节点序号； 所述日志事件子图的关键词属于日志事件图的一组顶点， 关键词之 间的边属于日志事件图 的一组边， k=1， 2， 3， …， j。 7.根据权利要求2所述的日志类型的检测方法， 其特征在于， 将所述训练日志事件子图 的各顶点对应的关键词进行分类， 得到 至少一种类型的训练目标关键词， 包括： 将所述训练日志事 件子图的各顶点对应的关键词， 输入目标分类 器； 通过所述目标分类器， 对所述训练日志事件子图的各顶点对应的关键词重新提取关键 词， 得到至少一种类型的训练目标关键词。 8.一种日志类型的检测装置， 其特 征在于， 包括： 获取模块， 用于获取待检测日志数据； 处理模块， 用于根据所述待检测日志数据中的待检测关键词之间的语义关联关系， 构 建待检测日志事件子图； 根据所述待检测日志事件子图， 在训练好的日志类型标注器的日 志事件图中的相对应顶点的类型， 对所述待检测日志事件子图中的顶点进行类型标注， 得 到所述待检测日志事件子图的各顶点的类型； 根据所述待检测日志事件子图的各顶点的类权　利　要　求　书 2/3 页 3 CN 115185920 A 3