系统日志被用作系统异常检测的主要数据源.现有的日志异常检测方法主要利用从历史日志中提取的日志事件数据构建检测模型,即假设日志数据随时间的推移其分布规律具有稳定性.然而,在实践中,日志数据往往包含以前未出现过的事件或序列.这种不稳定性有两种来源:1)日志发生了概念漂移;2)日志处理过程中引入了噪声.为缓解日志中出现的不稳定问题,设计了基于置信度协同多种算法的异常检测模型EBCAD(Ensemble-Based Confor-mal Anomaly Detection).首先,用统计量p值度量日志之间的不一致性,选择多个合适的集成算法作为不一致性度量函数计算不一致性得分进行协同检测;然后,设计了基于置信度的更新机制来缓解日志不稳定问题,将新日志的不一致性得分添加到已有得分集,更新日志异常检测的经验;最后,根据协同检测得到的置信度与预设置信水平大小来判断不稳定日志是否异常.实验结果表明,在HDFS日志数据集中,当不稳定数据注入率从5％增加到20％时,EBCAD模型的F1值仅从0.996降低到0.985;在BGL_100K日志数据集中,当不稳定数据注入率从5％增加到20％时,EBCAD的F1值仅从0.71降低到0.613.证明EBCAD在不稳定日志中可以有效检测到异常.

异常检测;日志分析;不稳定日志;置信度;不一致性度量;更新

刘春波;梁孟孟;侯晶雯;顾兆军;王志

中国民航大学信息安全测评中心,天津300300;中国民航大学计算机科学与技术学院,天津300300;南开大学网络空间安全学院,天津300350

湖南大学学报（自然科学版）

[1]刘春波;梁孟孟;侯晶雯;顾兆军;王志-.面向不稳定日志的一致性异常检测方法)[J].湖南大学学报（自然科学版）,2022(04):89-99

不稳定日志,EBCAD,Confor,不一致性度量

异常检测方法,系统日志,要数,数据源,日志异常检测,历史日,志事,件数,检测模型,日志数据,概念漂移,日志处理,稳定问题,置信度,Ensemble,Based,Anomaly,Detection,统计量,集成算法,度量函数,协同检测,更新机制,新日,分集,置信水平,HDFS,BGL,100K,有效检测,日志分析

0.245121