(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113890821A(43)申请公布日2022.01.04(21)申请号202111123943.X(22)申请日2021.09.24(71)申请人绿盟科技集团股份有限公司地址100089北京市海淀区北洼路4号益泰大厦5层申请人北京神州绿盟科技有限公司(72)发明人张润滋吴复迪王星凯刘文懋顾杜娟(74)专利代理机构北京同达信恒知识产权代理有限公司11291代理人周秀珍(51)Int.Cl.H04L41/069(2022.01)H04L41/0631(2022.01)权利要求书3页说明书12页附图3页(54)发明名称一种日志关联的方法、装置及电子设备(57)摘要本申请公开一种日志关联的方法、装置及电子设备，该方法包括基于机器学习模型，获取预设时间窗口长度的多个序列对，并基于机器学习模型对序列对进行检测，当检测到序列对中的第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据第一预测结果得到与第一向量序列关联的目标日志，当检测到序列对中的第二向量序列存在异常时，获取第二向量序列对应的第二预测结果，并根据第二预测结果得到与第二向量序列关联的目标日志。基于上述方法又可以根据网络侧的网络告警，关联定位到终端侧的行为日志，同时可以根据终端侧的行为日志，关联到一种可能的网络侧的网络告警。解决难以完整准确定位与溯源对应的关联日志的问题。CN113890821ACN113890821A权利要求书1/3页1.一种日志关联的方法，其特征在于，所述方法包括：获取预设时间窗口长度的多个序列对，其中，每个序列对表征第一向量序列与第二向量序列之间一对一的对应关系，所述第一向量序列表征具有同一IP地址的多个经过向量化处理的网络告警的序列，所述第二向量序列表征具有同一主机序号的多个经过向量化处理的终端实体的序列；当检测到所述序列对中的所述第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据所述第一预测结果得到与所述第一向量序列关联的目标日志；当检测到所述序列对中的所述第二向量序列存在异常时，获取所述第二向量序列对应的第二预测结果，并根据所述第二预测结果得到与所述第二向量序列关联的目标日志。2.如权利要求1所述的方法，其特征在于，在所述获取预设时间窗口长度的多个序列对之前，还包括：获取多个第一向量序列以及多个第二向量序列；根据所述第二向量序列中的第一主机序号，得到与所述第一主机序号对应的第一IP地址，并提取所有具有所述第一IP地址的第一向量序列；将所述第一主机序号对应的第二向量序列与所述第一IP地址对应的第一向量序列进行聚合，得到序列对数据集，其中，所述序列对数据集表征由序列对组成的集合，所述序列对表征第一向量序列与第二向量序列之间一对一的对应关系；根据预设时间窗口长度切分所述序列对数据集，得到多个预设时间窗口长度的多个序列对。3.如权利要求2所述的方法，其特征在于，在所述获取多个第一向量序列以及多个第二向量序列之前，还包括：获取第一数据以及第二数据，其中，所述第一数据表征网络侧设备采集的多个网络告警，所述第二数据表征终端侧采集的多个行为日志；将所述第一数据中具有相同IP地址的网络告警分为一个序列，得到多个第一序列，其中，所述第一序列表征具有相同IP地址的多个网络告警；将所述第二数据中具有相同主机标识的行为日志分为一个序列，得到多个第二序列，其中，所述第二序列表征具有相同主机标识的多个行为日志；对多个第一序列进行向量化处理，得到多个第一向量序列；对多个第二序列进行向量化处理，得到多个第二向量序列。4.如权利要求1所述的方法，其特征在于，所述当检测到所述序列对中的所述第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，并根据所述第一预测结果得到与所述第一向量序列关联的目标日志，包括：当检测到所述序列对中的所述第一向量序列存在异常时，获取所述第一向量序列对应的第一预测结果，其中，所述第一预测结果表征根据所述第一向量序列预测的第二向量序列；根据所述第一向量序列，在所述序列对中提取与所述第一向量序列对应的N个第二向量序列，其中,N为大于等于1的正整数；将N个第二向量序列分别与所述第一预测结果进行相似性比较，得到N个相似值；按照所述相似值的大小，将N个相似值进行排序，并在N个相似值中，提取前M个相似值，2CN113890821A权利要求书2/3页其中，M为大于等于1的正整数；根据前M个相似值，得到M个对应的第二向量序列作为与所述第一向量序列关联的目标日志。5.如权利要求1所述的方法，其特征在于，所述当检测到所述序列对中的所述第二向量序列存在异常时，获取所述第二向量序列对应的第二预测结果，并根据所述第二预测结果得到与所述第二向量序列关联的目标日志，包括