(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113836300A(43)申请公布日2021.12.24(21)申请号202111121626.4(22)申请日2021.09.24(71)申请人中国电信股份有限公司地址100033北京市西城区金融大街31号(72)发明人钟良志游丽娜(74)专利代理机构北京律智知识产权代理有限公司11438代理人孙宝海袁礼君(51)Int.Cl.G06F16/35(2019.01)G06F16/17(2019.01)G06F40/30(2020.01)G06K9/62(2006.01)G06N3/02(2006.01)权利要求书3页说明书10页附图8页(54)发明名称日志分析方法、系统、设备及存储介质(57)摘要本发明提供了一种日志分析方法、系统、设备及存储介质，所述方法包括步骤：获取多条带有少量预设标签的历史日志数据，并提取每条日志数据的特征向量，形成与每一条日志数据对应的向量参数；基于向量参数和预设聚类算法，对日志数据进行聚类，得到初始聚类结果；基于模长窗口筛选算法对初始聚类结果进行筛选，获得友好聚类日志；基于友好聚类日志和预设神经网络算法，对日志数据再次提取特征向量，对向量参数进行更新；以及将更新后的向量参数作为预设聚类算法的输入参数，再次对日志数据进行聚类，循环迭代多轮得到目标聚类结果，将目标聚类结果推送至管理平台；本申请利于提高网络防护安全日志的审核分析效率。CN113836300ACN113836300A权利要求书1/3页1.一种日志分析方法，其特征在于，包括以下步骤：获取多条带有预设标签的日志数据，并提取每条日志数据的特征向量，形成与每一条日志数据对应的向量参数；基于所述向量参数和预设聚类算法，对所述日志数据进行聚类，得到初始聚类结果；基于模长窗口筛选算法对所述初始聚类结果进行筛选，获得友好聚类日志；基于所述友好聚类日志和预设神经网络算法，对所述日志数据再次提取特征向量，对所述向量参数进行更新；以及将更新后的向量参数作为所述预设聚类算法的输入参数，再次对所述日志数据进行聚类，得到目标聚类结果，将目标聚类结果推送至管理平台。2.如权利要求1所述的日志分析方法，其特征在于，所述将更新后的向量参数作为所述预设聚类算法的输入参数，再次对所述日志数据进行聚类，得到目标聚类结果，包括：将更新后的向量参数作为所述预设聚类算法的输入参数，重复执行步骤：对所述日志数据进行聚类，得到第二聚类结果，基于模长窗口筛选算法对第二聚类结果进行筛选，获得友好聚类日志，基于所述友好聚类日志和预设神经网络算法，对所述日志数据再次提取特征向量，对所述向量参数进行更新；直至达到预设停止条件，得到目标聚类结果。3.如权利要求1所述的日志分析方法，其特征在于，所述基于模长窗口筛选算法对所述初始聚类结果进行筛选，获得友好聚类日志，和基于所述友好聚类日志和预设神经网络算法，对所述日志数据再次提取特征向量，对所述向量参数进行更新之间，还包括：基于迭代过程中的前一轮聚类结果，对当前轮聚类结果中每一类簇下与前一轮聚类结果重复数量最多的日志数据进行对齐映射，得到第三聚类结果；所述前一轮聚类结果表征有日志数据和类簇的第二映射关系，所述当前轮聚类结果表征有日志数据和类簇的第三映射关系；所述基于所述友好聚类日志和预设神经网络算法，对所述日志数据再次提取特征向量，对所述向量参数进行更新包括：基于所述友好聚类日志、第三聚类结果和所述预设神经网络算法，对所述日志数据再次提取特征向量，对所述向量参数进行更新。4.如权利要求3所述的日志分析方法，其特征在于，所述对当前轮聚类结果中每一类簇下与前一轮聚类结果重复数量最多的日志数据进行对齐映射，得到第三聚类结果，包括：对当前轮聚类结果中每一类簇下与前一轮聚类结果重复数量最多的日志数据进行对齐映射；将每一类簇下未完成对齐映射的日志数据，依据第一预设相似度算法和前一轮聚类结果中各个簇心对应的向量参数，重新进行分类，确定每一条未完成对齐映射的日志数据对应的类簇，得到第三聚类结果。5.如权利要求1所述的日志分析方法，其特征在于，所述初始聚类结果表征有日志数据和类簇的第一映射关系；所述模长窗口筛选算法是将对应的向量参数的模长与一类簇簇心对应向量参数的模长的差值在一区间内的日志数据，作为友好聚类日志；所述区间为[di‑2δi，di+2δi]，其中di＝xio‑‖ci‖，2CN113836300A权利要求书2/3页其中，xio表示第i个类簇中包含的所有日志数据对应的向量参数的模长的平均值，i是正整数；n表示第i个类簇中包含的日志数据的数量；δi表示第i个类簇中包含的所有日志数据对应的向量参数的模长的标准差，xi表示第i个类簇中第n条日志数据对应的模长，‖ci‖表示第i个类簇对应的簇心的向