(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210999336.8 (22)申请日 2022.08.19 (71)申请人 南京邮电大 学 地址 210003 江苏省南京市 鼓楼区新模范 马路66号 (72)发明人 徐小龙　孙雷　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 刘艳艳 (51)Int.Cl. H04L 41/0631(2022.01) H04L 41/069(2022.01) H04L 41/16(2022.01) G06F 40/30(2020.01) G06N 3/04(2006.01)G06N 3/08(2006.01) (54)发明名称 基于孪生神经网络和固定解析树的网络日 志解析方法及装置 (57)摘要 本发明公开了一种基于孪生神经网络和固 定解析树的网络日志解析方法及装置， 方法包 括： 首先将通过基于领域知识的简单正则表达式 对其进行预处理； 按照编码在树内部节点中通过 孪生神经网络确定合适的日志事件列表(即树的 叶子节点)； 如果找到合适的日志事件， 则该日志 消息将与存储在该日志事件列表中的日志事件 相匹配； 否则， 将根据该日志消息创建一个新的 日志事件并添加到日志事件列表中； 当所有日志 消息匹配完成， 最后根据日志事件情况合并相似 日志事件； 本发 明中的解析方法能够准确提取网 络日志中的日志事件， 在精确性、 实时性要求较 高的日志解析任务中具有良好的实用性。 权利要求书2页 说明书8页 附图3页 CN 115442211 A 2022.12.06 CN 115442211 A 1.基于孪生神经网络和固定解析树的网络日志解析 方法， 其特 征在于， 包括： 获取原始日志消息； 对原始日志消息通过简单正则表达式进行预处理， 得到预处理后的日志消息及对应的 日志消息 长度： 根据日志消息长度来将原始日志消息划分日志 组， 其中每个日志 组存储的日志消息长 度相同； 对于当前日志消息， 基于划分的日志组选择到第二层节点的路径， 搜寻中间节点最终 搜索到最相似叶子节点； 基于搜索到的最相似叶子节点， 采用训练好的孪生神经网络模型确定当前 日志消息与 这个叶子节点 最相似日志消息的相似度， 得到日志消息相似度结果； 根据日志消息相似度结果， 通过固定深度解析树 来更新日志消息模板情况； 当所有日志消息解析完成， 得到解析树。 2.根据权利要求1所述的基于孪生神经网络和固定解析树的网络日志解析方法， 其特 征在于， 根据日志消息长度来将原始日志消息划分日志组， 包括： 基于具有相同日志事件的 日志消息具有相同的日志消息长度的假设， 根据预 处理过后日志消息的长度不同将原始日 志分为不同的日志组， 每个日志组存储的日志消息长度相同， 其中日志消息长度定义为日 志消息中令牌的数量。 3.根据权利要求1所述的基于孪生神经网络和固定解析树的网络日志解析方法， 其特 征在于， 基于划分的日志组选择到第二层节点的路径， 搜寻中间节点最终搜索到最相似叶 子节点， 包括： 从解析树的根开始向下搜索， 当达到解析树中表示日志消息长度的层次， 即第 二层， 继 续向下搜索， 通过日志消息开始位置的标记选择下一个内部节点； 根据预设的解析树的深 度参数， 搜寻到固定深度的叶子节点， 其中叶子节点包 含日志事 件组列表。 4.根据权利要求1所述的基于孪生神经网络和固定解析树的网络日志解析方法， 其特 征在于， 采用训练好的孪生神经网络模型确定 当前日志消息与这个叶子节点最相似日志消 息的相似度， 包括： 所述孪生神经网络包括两个孪生神经网络LSTMa和LSTMb， 每个 网络处理给定的一对句 子； 一个LSTM从可变长度的二维向量序列空间学习映射到 每个日志消息表示为一个令牌序列x1， ...， xt， 被传递给LSTM， 对 于每个t∈{1， ...， T}， 一个 LSTM更新过程 通过权重矩阵Wi， Wf， Wc， Wo， Ui， Uf， Uc， Uo和偏移量bi， bf， bc， bo来参数化： it＝sigmoid(Wixt+Uiht‑1+bi) ft＝sigmoid(Wfxt+Ufht‑1+bf) ot＝sigmoid(Woxt+Uoht‑1+bo) ht＝ot⊙tanh(ct) 其中Wi， Ui对应输入门的两个权重矩阵， Wf， Uf对应遗忘门的两个权重矩阵， Wc， Uc对应候权　利　要　求　书 1/2 页 2 CN 115442211 A 2选细胞的两个权重矩阵， Wo， Uo对应输出门的两个权重矩阵， 而bi， bf， bc， bo分别对应输入门， 遗忘门， 候选细胞和输入门的偏移量； ht‑1为t‑1时序的隐藏信息， it为t时序的输入信息， ft 为t时序的遗忘信息， ot为t时序的输出信息， 为t时序的候选细胞信息， ct为t时序的细胞 信息， ct‑1为t‑1时序的细胞信息， ht为t时序的隐藏信息， sigmoid和tanh为激活函数， ⊙为 Hadamard乘积； 通过上述方程更新在每个序列索引上的隐藏状态； 日志消息的最后表示由模型的最后 一个隐藏状态 编码； 对于给定的一对日志消息， 将预定义的相似度函数 应用于它们的LSTM表示； 表示空间中的相似性随后被用来推断 句子的潜在语义相似性； 在训练过程中反向传播的唯一错误信号来自于日志消息表示 之间的相似 性， 将限制在 简单的相似性函数 其 中 分别表示日志消息a和日志消息b在时序T的隐藏信息， ||  ||1为曼哈顿距离， exp为指数函数。 5.根据权利要求1所述的基于孪生神经网络和固定解析树的网络日志解析方法， 其特 征在于， 根据日志消息相似度结果， 通过固定深度解析树 来更新日志消息模板情况， 包括： 如果在最相似叶子节点的日志事件组中搜寻到相似的日志事件， 把当前 日志消息的日 志ID添加到相似日志组中的Log  IDs中， 其中Log  IDs只包含日志消息的ID， 而日志事件正 是日志消息； 此外， 还将更新返回的日志组中的日志事 件； 如果在最相似叶子节点的日志事件组中无法找到相似的日志事件， 根据当前 日志消息 创建一个新的日志事件添加到这个叶子节点的日志事件组列 表中， 用新的日志事件更新解 析树。 6.根据权利要求1所述的基于孪生神经网络和固定解析树的网络日志解析方法， 其特 征在于， 还 包括合并解析树叶子节点中相似的日志事 件。 7.根据权利要求6所述的基于孪生神经网络和固定解析树的网络日志解析方法， 其特 征在于， 合并解析树叶子节点中相似的日志事件， 包括： 在同一个长度划分的子树的所有叶 子节点里， 对于出现次数较少的日志事件， 如果存在日志事件的相似度大于 设定的阈值， 其 中相似度计算采用孪生神经网络模型， 按照更新 解析树中的步骤合并更新日志事 件。 8.一种基于孪生神经网络和固定解析树的网络日志解析装置， 其特征在于， 包括处理 器及存储介质； 所述存储介质用于存 储指令； 所述处理器用于根据所述指令进行操作以执行根据权利要求1至7任一项所述方法的 步骤。 9.一种存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处理器执行 时实现权利要求1至7任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115442211 A 3