用于設(shè)備類型確定的方法和系統(tǒng)的制作方法
【專利摘要】本公開(kāi)涉及用于設(shè)備類型確定的方法和系統(tǒng)。方法包括識(shí)別來(lái)自第一設(shè)備的日志流����,其中第一設(shè)備具有未知設(shè)備類型。所述方法還包括識(shí)別來(lái)自第一設(shè)備的日志流中的特征��。所述方法還包括根據(jù)識(shí)別的來(lái)自第一設(shè)備的日志流的特征和來(lái)自多個(gè)已知設(shè)備類型的日志流中的特征的匹配���,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率����。
【專利說(shuō)明】
用于設(shè)備類型確定的方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及日志流��,更具體地,涉及根據(jù)日志流確定設(shè)備類型�����。
【背景技術(shù)】
[0002]在計(jì)算技術(shù)中�����,日志文件是記錄在操作系統(tǒng)或其它軟件運(yùn)行中發(fā)生的事件或者通信軟件的不同用戶之間的消息的文件��。日志記錄(logging)是記錄日志的動(dòng)作�。在最簡(jiǎn)單的情況下,消息由計(jì)算設(shè)備寫(xiě)入單個(gè)日志文件中��。
[0003]事件日志記錄在系統(tǒng)的執(zhí)行中發(fā)生的事件�,以便提供可用于了解系統(tǒng)的活動(dòng)和診斷問(wèn)題的審計(jì)線索。事件日志是了解復(fù)雜系統(tǒng)的活動(dòng)所必需的����,尤其是對(duì)用戶交互很少的應(yīng)用(比如服務(wù)器應(yīng)用)來(lái)說(shuō)更是如此����。
[0004]多數(shù)數(shù)據(jù)庫(kù)系統(tǒng)保持某種類型的事務(wù)日志,所述事務(wù)日志并不主要意在作為供以后分析之用的審計(jì)線索���,也并不意在為人類可讀�����。事務(wù)日志記錄對(duì)于所保存的數(shù)據(jù)的變化�����,以允許數(shù)據(jù)庫(kù)從崩潰或其它數(shù)據(jù)錯(cuò)誤進(jìn)行恢復(fù)����,并按一致的狀態(tài)保持所保存的數(shù)據(jù)。從而����,數(shù)據(jù)庫(kù)系統(tǒng)通常既具有一般的事件日志,又具有事務(wù)日志��。
[0005]依據(jù)Srinivasan等的US 8,589,436 B2���,已知在數(shù)據(jù)流中進(jìn)行基于正則表達(dá)式的模式匹配��,該專利教導(dǎo)用于在一個(gè)或多個(gè)數(shù)據(jù)流中檢測(cè)模式的技術(shù)�����?�?衫谜齽t表達(dá)式指定待檢測(cè)的模式�����。在運(yùn)行時(shí)期間����,處理在數(shù)據(jù)流中接收的事件,以檢測(cè)數(shù)據(jù)流中的指定模式的發(fā)生��。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的實(shí)施例公開(kāi)一種用于設(shè)備類型確定的方法����。在一個(gè)實(shí)施例中,按照本發(fā)明�����,計(jì)算機(jī)實(shí)現(xiàn)的方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自第一設(shè)備的日志流��,其中第一設(shè)備具有未知設(shè)備類型�。所述方法還包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自第一設(shè)備的日志流中的特征�����。所述方法還包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器,根據(jù)識(shí)別的來(lái)自第一設(shè)備的日志流的特征與來(lái)自多個(gè)已知設(shè)備類型的日志流中的特征的匹配�,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率。
[0007]在又一個(gè)實(shí)施例中����,計(jì)算機(jī)程序產(chǎn)品包括識(shí)別來(lái)自第一設(shè)備的日志流的程序指令,其中第一設(shè)備具有未知設(shè)備類型�。所述計(jì)算機(jī)程序產(chǎn)品包括識(shí)別來(lái)自第一設(shè)備的日志流中的特征的程序指令。所述計(jì)算機(jī)程序產(chǎn)品包括根據(jù)識(shí)別的來(lái)自第一設(shè)備的日志流的特征與來(lái)自多個(gè)已知設(shè)備類型的日志流中的特征的匹配�,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率的程序指令。
[0008]在另一個(gè)實(shí)施例中�����,計(jì)算機(jī)系統(tǒng)包括識(shí)別來(lái)自第一設(shè)備的日志流的程序指令�,其中第一設(shè)備具有未知設(shè)備類型。所述計(jì)算機(jī)系統(tǒng)包括識(shí)別來(lái)自第一設(shè)備的日志流中的特征的程序指令���。所述計(jì)算機(jī)系統(tǒng)包括根據(jù)識(shí)別的來(lái)自第一設(shè)備的日志流的特征與來(lái)自多個(gè)已知設(shè)備類型的日志流中的特征的匹配���,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率的程序指令。
[0009]在另一個(gè)實(shí)施例中����,所述方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自已知設(shè)備類型的各設(shè)備的一個(gè)或多個(gè)日志流���。所述方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自已知設(shè)備類型的各設(shè)備的一個(gè)或多個(gè)日志流中的一個(gè)或多個(gè)特征。所述方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器���,根據(jù)來(lái)自已知設(shè)備類型的一個(gè)或多個(gè)日志流中的一個(gè)或多個(gè)特征����,生成用于確定來(lái)自未知設(shè)備類型的日志流對(duì)應(yīng)于來(lái)自已知設(shè)備類型的日志流的概率的矩陣��。
[0010]在另一個(gè)實(shí)施例中����,其中在確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率時(shí),所述方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�����,根據(jù)生成的加權(quán)日志流特征的矩陣����,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率。
[0011 ]在另一個(gè)實(shí)施例中��,其中在識(shí)別來(lái)自第一設(shè)備的日志流中的特征時(shí)�����,所述方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別日志流中的一個(gè)或多個(gè)元素�,其中所述一個(gè)或多個(gè)元素包含日志流的功能部分。所述方法包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別下述至少之一:日志流中的一個(gè)或多個(gè)變量���、日志流中的元素的位置��、日志流中的元素之間的距離和日志流中的特征的模式���。
[0012]在另一個(gè)實(shí)施例中,其中在生成矩陣時(shí)���,所述方法還包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器��,根據(jù)來(lái)自未知客戶端設(shè)備類型的日志流中的識(shí)別特征與來(lái)自已知客戶端設(shè)備類型的一個(gè)或多個(gè)日志流的一個(gè)或多個(gè)特征的共性���,對(duì)來(lái)自未知客戶端設(shè)備類型的日志流中的一個(gè)或多個(gè)識(shí)別特征加權(quán)。所述方法還包括通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�����,生成包含來(lái)自已知設(shè)備類型的日志流的一個(gè)或多個(gè)加權(quán)特征以及來(lái)自第一設(shè)備類型的日志流的一個(gè)或多個(gè)加權(quán)特征的矩陣。
【附圖說(shuō)明】
[0013]圖1是按照本發(fā)明的實(shí)施例圖解說(shuō)明分布式數(shù)據(jù)處理環(huán)境的功能方框圖�;
[0014]圖2是按照本發(fā)明的實(shí)施例描述在圖1的分布式數(shù)據(jù)處理環(huán)境內(nèi),生成日志指紋圖譜數(shù)據(jù)庫(kù)的程序的操作步驟的流程圖�����;
[0015]圖3是按照本發(fā)明的實(shí)施例描述在圖1的分布式數(shù)據(jù)處理環(huán)境內(nèi)�����,根據(jù)日志流確定設(shè)備類型的程序的操作步驟的流程圖���;
[0016]圖4按照本發(fā)明的實(shí)施例描述通用設(shè)備日志���;
[0017]圖5按照本發(fā)明的實(shí)施例描述已被標(biāo)記化(tokenized)的通用設(shè)備日志;
[0018]圖6按照本發(fā)明的實(shí)施例描述來(lái)自標(biāo)記化的設(shè)備日志的特性��;
[0019]圖7按照本發(fā)明的實(shí)施例描述從標(biāo)記化的設(shè)備日志的特性生成的初始的指紋圖譜矩陣�;
[0020]圖8按照本發(fā)明的實(shí)施例描述例證的日志特征權(quán)向量;
[0021]圖9按照本發(fā)明的實(shí)施例描述從標(biāo)記化的設(shè)備日志的特性生成的歸一化的指紋圖譜矩陣���;
[0022]圖10按照本發(fā)明的實(shí)施例描述利用日志特征權(quán)向量確定設(shè)備類型的概率的例證等式;
[0023]圖11按照本發(fā)明的實(shí)施例描述利用日志特征權(quán)向量����,確定設(shè)備類型的概率的等式的例證應(yīng)用形式;
[0024]圖12按照本發(fā)明的實(shí)施例描述表示設(shè)備特征的相互關(guān)系的例證示圖�����;
[0025]圖13按照本發(fā)明的實(shí)施例描述表示日志流源于特定設(shè)備的概率的歐拉圖����;和
[0026]圖14按照本發(fā)明的實(shí)施例描述圖1的客戶端設(shè)備�����、服務(wù)器和web服務(wù)器的組件的方框圖����。
【具體實(shí)施方式】
[0027]本發(fā)明的實(shí)施例認(rèn)識(shí)到可能理想的是確定正在創(chuàng)建日志流的設(shè)備的類型。一旦從日志流確定了設(shè)備類型���,可以運(yùn)行進(jìn)一步的測(cè)試���,以確定創(chuàng)建日志流的實(shí)際設(shè)備。本發(fā)明的實(shí)施例認(rèn)識(shí)到隨著日志流的數(shù)量增大��,利用解析器識(shí)別日志流需要大量的資源。
[0028]本發(fā)明的實(shí)施例的實(shí)現(xiàn)可以采取各種形式����,下面參考附圖,討論例證實(shí)現(xiàn)的細(xì)節(jié)�。
[0029]圖1是按照本發(fā)明的一個(gè)實(shí)施例,圖解說(shuō)明分布式數(shù)據(jù)處理環(huán)境(一般地表示為100)的功能方框圖�����。圖1只提供一種實(shí)現(xiàn)的例示���,但不意味對(duì)其中可實(shí)現(xiàn)不同實(shí)施例的環(huán)境的任何限制�。本領(lǐng)域的技術(shù)人員可以作出對(duì)于所描述環(huán)境的許多修改���,而不脫離權(quán)利要求書(shū)所記載的本發(fā)明的范圍���。
[0030]分布式數(shù)據(jù)處理環(huán)境100包括通過(guò)網(wǎng)絡(luò)112互連的服務(wù)器102和客戶端設(shè)備104、106和108�����。網(wǎng)絡(luò)112例如代表電信網(wǎng)絡(luò)���、局域網(wǎng)(LAN)�、諸如因特網(wǎng)之類的廣域網(wǎng)(WAN)或者這三者的組合,并包括有線����、無(wú)線和/或光纖連接。網(wǎng)絡(luò)112包括能夠接收和傳送數(shù)據(jù)�����、語(yǔ)音和/或視頻信號(hào)(包括包含語(yǔ)音����、數(shù)據(jù)和視頻信息的多媒體信號(hào))的一個(gè)或多個(gè)有線和/或無(wú)線網(wǎng)絡(luò)����。
[0031]在描述的實(shí)施例中,服務(wù)器102是管理服務(wù)器��、web服務(wù)器���、或者能夠接收����、分析和發(fā)送數(shù)據(jù)的任意其它電子設(shè)備或計(jì)算系統(tǒng)中的一個(gè)或多個(gè)。在這個(gè)實(shí)施例中�����,服務(wù)器102接收日志流����,并確定正在創(chuàng)建該日志流的設(shè)備類型的概率。在其它實(shí)施例中��,服務(wù)器102代表比如在云計(jì)算環(huán)境中利用多個(gè)計(jì)算機(jī)作為服務(wù)器系統(tǒng)的服務(wù)器計(jì)算系統(tǒng)��。在另一個(gè)實(shí)施例中�,服務(wù)器102代表膝上型計(jì)算機(jī)、平板計(jì)算機(jī)���、上網(wǎng)本計(jì)算機(jī)�、個(gè)人計(jì)算機(jī)(PC)����、桌上型計(jì)算機(jī)、個(gè)人數(shù)字助手(PDA)���、智能電話機(jī)或者能夠經(jīng)網(wǎng)絡(luò)112與客戶端設(shè)備通信的任何可編程電子設(shè)備����。在另一個(gè)實(shí)施例中,服務(wù)器102代表利用群集的計(jì)算機(jī)和組件充當(dāng)單一的無(wú)縫資源池的計(jì)算系統(tǒng)�����。服務(wù)器102包括按照本發(fā)明的實(shí)施例�,如參考圖14進(jìn)一步詳細(xì)描述和說(shuō)明的組件。服務(wù)器102包括日志程序120和數(shù)據(jù)庫(kù)140�����。
[0032]在描述的分布式數(shù)據(jù)處理環(huán)境100中���,日志程序120駐留于服務(wù)器102上,并根據(jù)接收的日志流確定設(shè)備類型的概率���。在各個(gè)實(shí)施例中�����,日志程序120接收來(lái)自客戶端設(shè)備(例如�����,客戶端設(shè)備104)的包含日志流的信息���,日志程序120確定創(chuàng)建所述日志流的客戶端設(shè)備的設(shè)備類型的概率��。在一個(gè)例子中����,日志程序120可確定接收的日志流中的特性產(chǎn)生該日志流源于移動(dòng)電話機(jī)的高概率����。在另一個(gè)例子中,日志程序120可通過(guò)顯示多種設(shè)備類型(例如���,移動(dòng)電話機(jī)�����、膝上型計(jì)算機(jī)�、平板計(jì)算機(jī)�����、桌上型計(jì)算機(jī)等)的概率���,確定日志流源于特定類型的設(shè)備的概率�。在一些實(shí)施例中,日志程序120可根據(jù)實(shí)時(shí)日志流或保存的日志流����,確定設(shè)備類型的概率。下面參考圖2和3��,進(jìn)一步詳細(xì)地描述和說(shuō)明日志程序120��。
[0033]在描述的實(shí)施例中�,數(shù)據(jù)庫(kù)140駐留于服務(wù)器102上。在另一個(gè)實(shí)施例中��,數(shù)據(jù)庫(kù)140可駐留于分布式數(shù)據(jù)處理環(huán)境100中的其他地方���,比如駐留于服務(wù)器102、客戶端設(shè)備104��、106��、108內(nèi)�,或者獨(dú)立地作為能夠經(jīng)網(wǎng)絡(luò)112與服務(wù)器102和/或客戶端設(shè)備104、106和108通信的單獨(dú)數(shù)據(jù)庫(kù)��。數(shù)據(jù)庫(kù)是數(shù)據(jù)的有組織集合。數(shù)據(jù)庫(kù)140是利用能夠保存由服務(wù)器102和客戶端設(shè)備104�、106和108訪問(wèn)和利用的數(shù)據(jù)的任意種類的存儲(chǔ)設(shè)備(比如數(shù)據(jù)庫(kù)服務(wù)器、硬盤(pán)驅(qū)動(dòng)器或閃存)實(shí)現(xiàn)的��。在其它實(shí)施例中����,數(shù)據(jù)庫(kù)140代表服務(wù)器102內(nèi)的多個(gè)存儲(chǔ)設(shè)備。數(shù)據(jù)庫(kù)140保存諸如訓(xùn)練日志�����、日志流�����、預(yù)定標(biāo)記����、日志特性、初始的指紋圖譜矩陣�、歸一化的指紋圖譜矩陣、設(shè)備類型指紋等之類的信息�。數(shù)據(jù)庫(kù)140包括標(biāo)記142、訓(xùn)練日志流144�����、初始的指紋圖譜矩陣146、歸一化的指紋圖譜矩陣148和新日志流150��。
[0034]在描述的分布式數(shù)據(jù)處理環(huán)境100中�����,標(biāo)記142駐留于數(shù)據(jù)庫(kù)140上�����,是與日志流的元素���、串或數(shù)值相關(guān)的標(biāo)記項(xiàng)�。在各個(gè)實(shí)施例中�,標(biāo)記可由替換日志流中的元素的日志程序120的管理員預(yù)置。訓(xùn)練日志流144也駐留于數(shù)據(jù)庫(kù)140中�,是日志程序120用于創(chuàng)建設(shè)備類型的指紋的日志流。初始的指紋圖譜矩陣146駐留于數(shù)據(jù)庫(kù)140上����,用于輸入日志流指紋�。歸一化的指紋圖譜矩陣148位于數(shù)據(jù)庫(kù)140上��,是日志程序120已把所有指紋信息輸入矩陣中之后的指紋圖譜矩陣�����。
[0035]在描述的實(shí)施例中����,客戶端設(shè)備104���、106和108是桌上型計(jì)算機(jī)�����、膝上型計(jì)算機(jī)�����、平板計(jì)算機(jī)��、專用計(jì)算機(jī)服務(wù)器���、智能電話機(jī)、或者能夠經(jīng)網(wǎng)絡(luò)112與服務(wù)器102通信和與分布式數(shù)據(jù)處理環(huán)境100內(nèi)的各個(gè)組件和設(shè)備通信的任意可編程電子設(shè)備中的一個(gè)或多個(gè)。通常�,客戶端設(shè)備104、106和108代表能夠執(zhí)行機(jī)器可讀程序指令并且能夠經(jīng)網(wǎng)絡(luò)(比如網(wǎng)絡(luò)112)與其它計(jì)算設(shè)備通信的任意可編程電子設(shè)備或者可編程電子設(shè)備的組合��??蛻舳嗽O(shè)備104、106和108可包括按照本發(fā)明的實(shí)施例�,如參考圖14進(jìn)一步詳細(xì)描述和說(shuō)明的組件。在實(shí)施例中�,客戶端設(shè)備104經(jīng)網(wǎng)絡(luò)112,把日志流發(fā)送給服務(wù)器102和/或日志程序120����。
[0036]圖2是按照本發(fā)明的實(shí)施例描述作為日志程序120的功能的程序200的操作步驟的流程圖。程序200在服務(wù)器102上工作��,并生成日志指紋圖譜數(shù)據(jù)庫(kù)�����。在各個(gè)實(shí)施例中�����,日志程序120的管理員可向數(shù)據(jù)庫(kù)添加訓(xùn)練日志�,以改進(jìn)或創(chuàng)建指紋圖譜�,比如歸一化的指紋圖譜矩陣148�。在一些實(shí)施例中����,程序200可在新的訓(xùn)練日志被添加到數(shù)據(jù)庫(kù)中之后,開(kāi)始圖2的操作步驟�。在一些實(shí)施例中,可在程序300發(fā)現(xiàn)日志流的低匹配概率(例如1%)之后���,開(kāi)始圖2的操作步驟�����。在一個(gè)實(shí)施例中����,程序200可在預(yù)置時(shí)間開(kāi)始圖2的操作步驟����。
[0037]程序200接收訓(xùn)練日志流(步驟202)。在各個(gè)實(shí)施例中�����,程序200可從日志程序120的管理員接收訓(xùn)練日志流。在一個(gè)例子中�����,日志程序120的管理員把訓(xùn)練日志流(例如��,訓(xùn)練日志流144)輸入程序200中���。在另一個(gè)例子中����,日志程序120的管理員把訓(xùn)練日志流輸入數(shù)據(jù)庫(kù)(例如����,數(shù)據(jù)庫(kù)140)中。在一些實(shí)施例中���,程序可從客戶端設(shè)備(比如客戶端設(shè)備104)接收訓(xùn)練日志流���。在其它實(shí)施例中,在程序300已確定日志流與已知類型的設(shè)備的匹配的概率較低之后�,程序200可從程序300接收訓(xùn)練日志流。
[0038]程序200用預(yù)定元素替換訓(xùn)練設(shè)備日志中的元素(步驟204)���。程序200用與訓(xùn)練日志流中的原始元素相關(guān)的預(yù)定元素(也稱為標(biāo)記(例如���,標(biāo)記142))�����,替換訓(xùn)練日志流(例如,訓(xùn)練日志流144)中的元素�。每個(gè)標(biāo)記代表訓(xùn)練設(shè)備日志的串、數(shù)值和/或元素�。圖4描述未讓標(biāo)記替換設(shè)備日志內(nèi)的元素的日志流。圖5描述在程序200用也稱為標(biāo)記的預(yù)定元素替換訓(xùn)練設(shè)備日志中的元素之后的相同日志流��。用預(yù)定元素替換日志流中的元素被稱為使日志流標(biāo)記化�。在各個(gè)實(shí)施例中,標(biāo)記由管理員預(yù)置���,以與特定的元素���、數(shù)值和/或串相關(guān)。
[0039]在一些實(shí)施例中�����,日志流可能包含預(yù)先未知的相當(dāng)大量的計(jì)算機(jī)名稱、時(shí)間戳�����、代碼等�。自然語(yǔ)言處理器可能不能辨別某些符號(hào)。程序200用易于理解的標(biāo)記替換元素����。在一個(gè)例子中,每一行是流中的單獨(dú)的獨(dú)立事件�����。在流中的行的開(kāi)始處����,程序200生成[start_I ine ]標(biāo)記,并在結(jié)尾處生成[end_l ine ]標(biāo)記���。隨后����,程序200在空格和標(biāo)點(diǎn)符號(hào)處拆分行�����,并順序地生成各個(gè)部分的對(duì)應(yīng)標(biāo)記。串的將對(duì)應(yīng)于串的代碼中的常數(shù)的任意部分對(duì)檢測(cè)來(lái)說(shuō)非常有用����,因?yàn)榇浅绦虻妮敵觥3绦?00從諸如的符號(hào)以及符號(hào)的組合�,生成標(biāo)記。在一些實(shí)施例中�,程序200改變?nèi)罩玖鞯闹T如因特網(wǎng)協(xié)議(IP)地址和時(shí)間戳等之類的部分�����。在一個(gè)例子中��,程序200為在特定位置遇到的數(shù)字生成特殊的標(biāo)記(例如����,[number]標(biāo)記),因?yàn)閿?shù)字不可能在稍后的步驟中相互匹配���。類似地����,代替流中的IP地址,程序200生成[ip_address]標(biāo)記以及[month]標(biāo)記��。用標(biāo)記替換元素是有利的�,因?yàn)樗试S相似特征的生成。
[0040]程序200識(shí)別日志特性(步驟206)��。在一些實(shí)施例中�,程序200從標(biāo)記化的日志流(例如,在訓(xùn)練日志流144已被標(biāo)記化之后的訓(xùn)練日志流144)中識(shí)別日志特性��。在一個(gè)例子中�����,程序200識(shí)別標(biāo)記位置���、標(biāo)記的相互關(guān)系����、標(biāo)記的數(shù)目�����、標(biāo)記的類型等。圖6是程序200從圖5中的標(biāo)記化日志流的第一行中識(shí)別的特性的例子���。在一些實(shí)施例中�,程序200可識(shí)別標(biāo)記化的特性��,比如日期�����、時(shí)間��、對(duì)(pair)��、位置數(shù)據(jù)���、IP地址、端口號(hào)等�。在一個(gè)例子中,程序200的算法可識(shí)別諸如日期和時(shí)間�����、標(biāo)記��、標(biāo)記位置�、標(biāo)記之間的相對(duì)距離等之類的變量��。在各個(gè)實(shí)施例中��,程序200對(duì)日志流中的每一行重復(fù)識(shí)別變量的處理�����,從而為日志流中的每一行創(chuàng)建諸如圖6之類的圖表��。在另外的實(shí)施例中�,程序200對(duì)所有的設(shè)備日志重復(fù)步驟206�����。識(shí)別日志特性是有利的�����,因?yàn)樘匦钥杀挥糜趧?chuàng)建指紋矩陣�。
[0041]程序200生成訓(xùn)練設(shè)備日志的初始的指紋圖譜矩陣(步驟208)。在各個(gè)實(shí)施例中��,程序200為來(lái)自已知設(shè)備的每個(gè)訓(xùn)練設(shè)備日志生成訓(xùn)練設(shè)備日志的指紋圖譜矩陣��。例如,10個(gè)訓(xùn)練設(shè)備日志已知來(lái)自于特定設(shè)備��。程序200生成每個(gè)已知設(shè)備的指紋圖譜矩陣�。在一些實(shí)施例中,程序200提取日志特性(例如�����,在mXn維的指紋圖譜矩陣(例如�,圖7)中編譯的所有已知設(shè)備(例如,Dl��,D2���,D3�����,…��,Dm)和各個(gè)設(shè)備的對(duì)應(yīng)曰志(例如,LI���,L2���,L3���,…,Lm)的特|iEFl,F2,F3,---,Fn)o
[0042]程序200從一批訓(xùn)練設(shè)備日志生成歸一化的日志指紋圖譜(步驟210)��。在各個(gè)實(shí)施例中��,程序200根據(jù)初始的指紋圖譜矩陣���,生成歸一化的日志指紋圖譜��。在一些實(shí)施例中���,程序200除去初始的指紋圖譜矩陣中為所有設(shè)備所共有的日志特性。在一個(gè)例子中�,程序200從初始的指紋圖譜矩陣(例如,圖7中描述的初始的指紋圖譜矩陣146)中除去某一特性����。在這個(gè)例子中,F(xiàn)3的值為I����,對(duì)于所有日志流Ll-Lm來(lái)說(shuō)都相同�����。
[0043]在一些實(shí)施例中��,程序200可向日志特性賦予加權(quán)值�����。在一個(gè)例子中���,程序200向指示設(shè)備的類型的特性賦予較高的加權(quán)值,而向?yàn)槎鄠€(gè)設(shè)備類型所共有的特性賦予較低的加權(quán)值�。在另一個(gè)例子中,標(biāo)記對(duì)(比如[Device] { =>} [WindowsDHCP])具有相對(duì)于單個(gè)標(biāo)記(比如[WindowsDHCPDeviceReader])關(guān)聯(lián)的較高的加權(quán)值�。在另一個(gè)例子中,與較罕見(jiàn)的標(biāo)記對(duì)(例如�����,檢測(cè)到的特洛伊木馬)相比�����,程序200較低地加權(quán)常見(jiàn)的標(biāo)記對(duì)(例如���,用戶)��。圖8是其中O SWfi < I的日志特性權(quán)向量的例子�。在各個(gè)實(shí)施例中�����,程序200把各個(gè)日志流(例如�����,初始的指紋圖譜矩陣146日志流Ll-Lm)乘以特性的加權(quán)值���。在一個(gè)例子中�����,在圖9中描述了把日志流乘以特性的加權(quán)值的初始的指紋圖譜矩陣�。生成歸一化的日志指紋圖譜是有利的����,因?yàn)樗峁?duì)照未知日志流的特征進(jìn)行比較的基礎(chǔ)。
[0044]圖3是按照本發(fā)明的實(shí)施例描述作為日志程序120的功能的程序300的操作步驟的流程圖����。程序300在服務(wù)器102上工作�,并根據(jù)日志流確定設(shè)備類型的概率�����。在各個(gè)實(shí)施例中���,在日志程序120收到新日志流(例如���,新日志流150)之后,可開(kāi)始程序300的操作步驟��。在其它實(shí)施例中�,當(dāng)日志程序120的管理員提示日志程序120確定保存在數(shù)據(jù)庫(kù)中的新日志流(例如,保存在數(shù)據(jù)庫(kù)140中的新日志流150)的設(shè)備類型時(shí)�,可開(kāi)始程序300的操作步驟。在其它實(shí)施例中��,在觸發(fā)程序300確定創(chuàng)建日志流的各個(gè)設(shè)備類型的概率的預(yù)置時(shí)間之后��,可開(kāi)始程序300的操作步驟���。
[0045]程序300接收日志流(步驟302)�����。在各個(gè)實(shí)施例中���,程序300從經(jīng)網(wǎng)絡(luò)(例如,網(wǎng)絡(luò)112)連接到服務(wù)器(例如��,服務(wù)器102)的客戶端設(shè)備接收日志流�。在一些實(shí)施例中,日志流可被保存在數(shù)據(jù)庫(kù)(例如�,數(shù)據(jù)庫(kù)140)中,程序300可識(shí)別日志流(例如���,新日志流150)�。在一個(gè)例子中�,程序(未圖示)可把連接到服務(wù)器(例如,服務(wù)器102)的客戶端設(shè)備的日志流保存在數(shù)據(jù)庫(kù)(例如���,數(shù)據(jù)庫(kù)140)中����,程序300識(shí)別還未被程序300處理的新日志流(例如����,新日志流 150)ο
[0046]程序300用預(yù)定元素替換日志流中的元素(步驟304)����。程序300用與日志流中的原始元素相關(guān)的也稱為標(biāo)記(例如���,標(biāo)記142)的預(yù)定元素���,替換日志流(例如,新日志流150)中的元素����。每個(gè)標(biāo)記代表日志流的串、數(shù)值或元素�。圖4描述未讓標(biāo)記替換設(shè)備日志內(nèi)的元素的日志流。圖5描述在程序300用也稱為標(biāo)記的預(yù)定元素替換日志流中的元素之后的相同日志流��。用預(yù)定元素替換日志流中的元素被稱為使日志流標(biāo)記化��。在各個(gè)實(shí)施例中�����,標(biāo)記由管理員預(yù)置,以與特定的元素�、數(shù)值或串相關(guān)。
[0047]在一些實(shí)施例中�,日志流可能包含預(yù)先未知的相當(dāng)大量的計(jì)算機(jī)名稱、時(shí)間戳����、代碼等��。自然語(yǔ)言處理器可能不能辨別某些符號(hào)��。程序300用易于理解的標(biāo)記替換元素���。在一個(gè)例子中��,每一行是流中的單獨(dú)的獨(dú)立事件�����。在流中的行的開(kāi)始處�����,程序300生成[start_I ine ]標(biāo)記���,并在結(jié)尾處生成[end_l ine ]標(biāo)記�。隨后�����,程序300在空格和標(biāo)點(diǎn)符號(hào)處拆分行��,并順序地生成各個(gè)部分的對(duì)應(yīng)標(biāo)記���。串的將對(duì)應(yīng)于串的代碼中的常數(shù)的任意部分對(duì)檢測(cè)來(lái)說(shuō)非常有用����,因?yàn)榇浅绦虻妮敵?���。程?00從諸如的符號(hào)以及符號(hào)的組合,生成標(biāo)記�,這是有利的。在一些實(shí)施例中����,程序300改變?nèi)罩玖鞯闹T如因特網(wǎng)協(xié)議(IP)地址和時(shí)間戳之類的部分。在一個(gè)例子中�����,程序300為在特定位置遇到的數(shù)字生成特殊的標(biāo)記:[number]標(biāo)記,因?yàn)閿?shù)字不可能在稍后的步驟中相互匹配�����。類似地����,代替流中的IP地址,程序300生成[ip_address]標(biāo)記以及[month ]標(biāo)記�����。
[0048]程序300識(shí)別日志特性(步驟306)�����。在一些實(shí)施例中��,程序300從標(biāo)記化的日志流(例如��,在新日志流150已被標(biāo)記化之后的新日志流150)中識(shí)別日志流特性����。在一個(gè)例子中,程序300識(shí)別標(biāo)記位置���、標(biāo)記的相互關(guān)系���、標(biāo)記的數(shù)目、標(biāo)記的類型等�����。圖6是程序300從圖5中的標(biāo)記化日志流的第一行中識(shí)別的特性的例子�。在一些實(shí)施例中,程序300可識(shí)別標(biāo)記化的特性���,比如日期���、時(shí)間、對(duì)�����、位置數(shù)據(jù)����、IP地址���、端口號(hào)等。在一個(gè)例子中��,程序300的算法可識(shí)別諸如日期和時(shí)間����、標(biāo)記、標(biāo)記位置�����、標(biāo)記之間的相對(duì)距離等之類的變量���。在各個(gè)實(shí)施例中���,程序300對(duì)日志流中的每一行重復(fù)識(shí)別變量的處理����,從而為日志流中的每一行創(chuàng)建諸如圖6之類的圖表。在另外的實(shí)施例中���,程序300對(duì)于所有日志流重復(fù)步驟306��。
[0049]程序300根據(jù)與指紋圖譜相關(guān)的識(shí)別的日志特性��,確定設(shè)備類型的概率(步驟308)�。在各個(gè)實(shí)施例中,程序300確定設(shè)備類型(例如�����,移動(dòng)電話機(jī)����、膝上型計(jì)算機(jī)、桌上型計(jì)算機(jī)等)的概率(例如�,100 %、90 %�、5 %等)。在一些實(shí)施例中���,當(dāng)比較日志流特性和歸一化的指紋圖譜矩陣(例如����,歸一化的指紋圖譜矩陣148)時(shí)�,程序300根據(jù)日志流特性確定設(shè)備類型的概率。
[0050]在一個(gè)例子中��,程序300對(duì)于接收的日志流(例如,圖11的流1/S1��、流2/S2�����、流3/S3����、流4/S4、流5/S5����、流6/S6),確定匹配和不匹配的特性的總數(shù)��。在這個(gè)例子中�,Sdevice」表示還未被檢測(cè)的設(shè)備流。Sdevice」可與S1�����、S2��、S3等相關(guān)����。程序300利用歸一化的指紋圖譜矩陣(例如,歸一化的指紋圖譜矩陣148��、圖9中描述的Fmap)��,確定Sdevice_i的概率����。程序300確定日志流SI的條件概率,已知日志流Sde vi ce_i����,其中i = l、2���、3�����、"_�����、m�。條件概率可被描述成P(S1 I Sdevice_i) =P(SI Π Sdevice_i )/Ρ(Sdevice_i)。為了程序300確定有利于SI和Sdevice」兩者的特征命中的數(shù)目(例如�,PSl Π Sdevice」),程序300可重新整理等式����,以讀取P( SI Π Sdevic e_i)=P(Sl| Sdevic e_i)x P( Sdevic e_i)。上述等式可被讀為P( SI ΠSdevice_i ) = ( ( SI中的特征(F)命中的數(shù)目)/( SI中的特征命中+錯(cuò)失的總數(shù)))χ((SdeVice_i中的特征命中的數(shù)目)/ (SdeVice_i中的特征命中+錯(cuò)失的總數(shù)))�����,其中P(S11Sdevice_i)計(jì)算自日志流特征提取算法�����。P(Sdevice_i)可從歸一化的指紋圖譜矩陣(例如�,如圖9中所示的歸一化的指紋圖譜矩陣148)得到。通過(guò)圖10的等式�����,可得到P(Sdevice_i)的例子�����。在另一個(gè)例子中���,如圖11中所示���,程序300利用圖9中的Fmap的行2,計(jì)算設(shè)備(例如�����,未圖示的設(shè)備2)的概率����。在各個(gè)實(shí)施例中,程序300通過(guò)利用相同的特性的數(shù)目以及不同的特性的數(shù)目��,確定日志流源于某一類型的設(shè)備的概率�。
[0051 ]在另一個(gè)例子中,程序300利用圖13的歐拉圖確定概率�,其中日志流S1-S6產(chǎn)生自具有設(shè)備指紋(例如,DFI)的設(shè)備(例如�,設(shè)備I)來(lái)確定概率。在圖13中�,流SI具有為I的概率,指示SI來(lái)自于設(shè)備I�����。S2具有為0.6的概率,指示S2產(chǎn)生自設(shè)備I的概率為60 %�。S3具有為
0.95的概率,指示S3產(chǎn)生自設(shè)備I的概率為95% ο S4具有為0.05的概率���,指示S4產(chǎn)生自設(shè)備I的概率為5 % ο S5具有為0.8的概率���,指示S5產(chǎn)生自設(shè)備I的概率為80 %。S6具有為O的概率��,指示S6產(chǎn)生自設(shè)備I的概率為0%�����。根據(jù)與指紋圖譜相關(guān)的識(shí)別的日志特性確定設(shè)備類型的概率是有利的�,因?yàn)樗峁?duì)于大量設(shè)備日志的設(shè)備類型的概率的確定。
[0052]在一些實(shí)施例中�����,程序300根據(jù)歐拉圖中與來(lái)自未知設(shè)備類型的日志流相比的已知設(shè)備類型的日志流中的特征的變化�����,確定設(shè)備類型是已知設(shè)備類型的概率。例如�����,來(lái)自于第一已知設(shè)備類型的一個(gè)日志流包含特定的特征���。來(lái)自第二已知設(shè)備類型的另一個(gè)日志流包含一些相同的特征,但也包含一些獨(dú)特的特征���。在這個(gè)例子中�����,程序300比較未知設(shè)備日志流特征與第一和第二已知設(shè)備特征�����,并根據(jù)日志流共同具有的各個(gè)特征來(lái)確定該日志流源于第一或第二已知設(shè)備的概率����。
[0053]程序300更新歸一化的指紋圖譜(步驟310)���。在各個(gè)實(shí)施例中�,程序300用新日志流、特性和設(shè)備類型����,更新歸一化的指紋圖譜。在一個(gè)例子中��,程序300確定該日志流由任意已知設(shè)備類型生成的概率較低(例如��,5%)��。在這個(gè)例子中�����,程序300可發(fā)送提示日志程序120的管理員確定創(chuàng)建該低概率日志流的設(shè)備的類型的數(shù)據(jù)�。程序300可隨后把附加信息添加到數(shù)據(jù)庫(kù)(例如,數(shù)據(jù)庫(kù)140)和歸一化的指紋圖譜矩陣(例如��,歸一化的指紋圖譜矩陣148)中���,以便允許未來(lái)的類似日志流指示設(shè)備的類型�����。在一些實(shí)施例中��,程序300把所有的日志流添加到歸一化的指紋圖譜矩陣中��。
[0054]圖4描述由日志程序120收集的例證日志流�。在一些實(shí)施例中,日志程序120可把諸如原始設(shè)備日志LI之類的日志流保存在數(shù)據(jù)庫(kù)140中����。圖4還描述新日志流150或訓(xùn)練日志流144的一次迭代。在一個(gè)例子中�����,圖4描述可在步驟202或302中接收的日志流���。
[0055]圖5描述已被標(biāo)記化的例證日志流,比如圖4中描述的日志流�����。在一些實(shí)施例中���,日志程序120可把標(biāo)記化的日志流保存在數(shù)據(jù)庫(kù)(比如數(shù)據(jù)庫(kù)140)中����。在一個(gè)例子中,圖5描述已在步驟204或304中生成的日志流��。
[0056]圖6描述來(lái)自標(biāo)記化的日志流(比如圖5中的標(biāo)記化的日志流)的特性���。來(lái)自圖5的特性用F1-F17描述和標(biāo)注���。特性也被稱為特征。在一個(gè)例子中����,圖6描述在步驟206或306中的識(shí)別的特征。
[0057]圖7描述從標(biāo)記化的設(shè)備日志的特性生成的初始指紋圖譜矩陣�。特性也可被稱為特征和/或元素。在一個(gè)例子中�,圖7描述初始的指紋圖譜矩陣,比如在步驟208中生成的初始的指紋圖譜矩陣����。
[0058]圖8描述例證的日志特征權(quán)向量。在一個(gè)例子中�����,作為確定日志流由特定類型的設(shè)備創(chuàng)建的概率的一部分�,日志程序120把日志流的特征乘以權(quán)向量���。在一個(gè)例子中,圖8描述在步驟210中使用的日志特征權(quán)向量��。
[0059]圖9描述從標(biāo)記化的設(shè)備日志的特性生成的歸一化的指紋圖譜矩陣�����。在一個(gè)例子中���,在對(duì)于多個(gè)日志流把權(quán)向量乘以日志流的特征之后��,日志程序120創(chuàng)建歸一化的指紋圖譜矩陣,比如圖9中描述的指紋圖譜矩陣���。在一個(gè)例子中����,圖9描述歸一化的指紋圖譜矩陣����,比如在步驟210中生成的指紋圖譜矩陣。
[0060]圖10描述用于利用日志特征權(quán)向量確定設(shè)備類型的概率的例證等式���。圖10中的等式圖解說(shuō)明確定創(chuàng)建日志流的設(shè)備的類型的概率的一種例證方式�����。在一個(gè)例子中�,圖10描述用于確定設(shè)備類型的概率的例證等式,比如在步驟308中使用的等式����。
[0061]圖11描述利用日志特征權(quán)向量確定設(shè)備類型的概率的等式的例證應(yīng)用形式。圖11是來(lái)自圖10的輸入了日志權(quán)向量的等式�。在一個(gè)例子中,圖11描述用于確定設(shè)備類型的概率的例證等式�,比如在步驟308中使用的等式。
[0062]圖12描述表示設(shè)備特征的相互關(guān)系的例證示圖��。所述例證示圖描述特征重疊的多個(gè)設(shè)備�。例如,屬于D2的設(shè)備的特性和屬于Dl和D8的設(shè)備的特性重疊����。圖12圖解說(shuō)明共享概率,例如����,源于D2的日志流可具有源于D8的高概率(例如��,80 % )和源于D2的更高概率(例如����,90%)����。圖12描述包括基于來(lái)自日志流的數(shù)據(jù)的例證表現(xiàn)設(shè)備(比如01、02��、03��、04�、05、06����、
07�、08、09�����、010���、01��、0111和0111-1)的設(shè)備空間����。在一個(gè)例子中,圖12描述如在步驟308中討論的設(shè)備特征的關(guān)系���。
[0063]圖13描述表示日志流源于特定設(shè)備的概率的歐拉圖��。圖13表示與單一設(shè)備類型相比的日志流的表現(xiàn)���。在一個(gè)例子中,圖13描述如在步驟308中討論的日志流源于某個(gè)設(shè)備的概率���。
[0064]圖14按照本發(fā)明的例證實(shí)施例描述代表服務(wù)器102和客戶端設(shè)備104���、106及108的計(jì)算機(jī)1400的各個(gè)組件的方框圖。應(yīng)理解圖14只提供一種實(shí)現(xiàn)的例示����,并不意味對(duì)于其中可實(shí)現(xiàn)不同實(shí)施例的環(huán)境的任何限制。可作出對(duì)于描述的實(shí)施例的許多修改����。
[0065]計(jì)算機(jī)1400包括提供計(jì)算機(jī)處理器1404、存儲(chǔ)器1406���、永久存儲(chǔ)設(shè)備1408��、通信單元1410和輸入/輸出(I/O)接口 1412之間的通信的通信架構(gòu)1402�。通信架構(gòu)1402可用為在處理器(比如�����,微處理器�����、通信設(shè)備和網(wǎng)絡(luò)處理器等)�����、系統(tǒng)存儲(chǔ)器�����、外設(shè)和系統(tǒng)內(nèi)的任何其它硬件組件之間傳送數(shù)據(jù)和/或控制信息而設(shè)計(jì)的任意體系結(jié)構(gòu)實(shí)現(xiàn)��。例如��,可用一條或多條總線實(shí)現(xiàn)通信架構(gòu)1402���。
[0066]存儲(chǔ)器1406和永久存儲(chǔ)設(shè)備1408是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�。在這個(gè)實(shí)施例中�����,存儲(chǔ)器1406包括隨機(jī)存取存儲(chǔ)器(RAM)1414和高速緩沖存儲(chǔ)器1416����。通常,存儲(chǔ)器1406可包括任何適當(dāng)?shù)囊资曰蚍且资杂?jì)算機(jī)可讀存儲(chǔ)介質(zhì)���。軟件和數(shù)據(jù)1422被保存在永久存儲(chǔ)設(shè)備1408中���,供處理器1404借助存儲(chǔ)器1406中的一個(gè)或多個(gè)存儲(chǔ)器訪問(wèn)和/或執(zhí)行。就服務(wù)器102而論��,軟件和數(shù)據(jù)1422代表日志程序120和數(shù)據(jù)庫(kù)140�。
[0067]在本實(shí)施例中�����,永久存儲(chǔ)設(shè)備1408包括磁硬盤(pán)驅(qū)動(dòng)器���。另一方面,或者除了磁硬盤(pán)驅(qū)動(dòng)器之外�,永久存儲(chǔ)設(shè)備1408可包括固態(tài)硬驅(qū)動(dòng)器、半導(dǎo)體存儲(chǔ)器件�����、只讀存儲(chǔ)器(R0M)���、可擦可編程只讀存儲(chǔ)器(EPROM)���、閃存或者能夠保存程序指令或數(shù)字信息的任何其它計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。
[0068]永久存儲(chǔ)設(shè)備1408使用的介質(zhì)也可以是可拆卸的����。例如,可拆卸的硬驅(qū)動(dòng)器可用于永久存儲(chǔ)設(shè)備1408���。其它例子包括插入驅(qū)動(dòng)器中以便轉(zhuǎn)移到也是永久存儲(chǔ)設(shè)備1408的一部分的另一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的光盤(pán)和磁盤(pán)���、拇指驅(qū)動(dòng)器和智能卡。
[0069]在這些例子中�����,通信單元1410提供與其它數(shù)據(jù)處理系統(tǒng)或設(shè)備的通信�。在這些例子中,通信單元1410包括一個(gè)或多個(gè)網(wǎng)絡(luò)接口卡����。通信單元1410可通過(guò)利用物理和/或無(wú)線通信鏈路提供通信。軟件和數(shù)據(jù)1422可通過(guò)通信單元1410下載到永久存儲(chǔ)設(shè)備1408��。
[0070]I/0接口 1412允許與可連接到計(jì)算機(jī)1400的其它設(shè)備的數(shù)據(jù)輸入和輸出�。例如,I/O接口 1412可提供與外部設(shè)備1418(比如鍵盤(pán)���、小鍵盤(pán)��、觸摸屏和/或某種其它的適當(dāng)輸入設(shè)備)的連接�����。外部設(shè)備1418還可包括便攜式計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)���,比如拇指驅(qū)動(dòng)器�、便攜式光盤(pán)或磁盤(pán)和存儲(chǔ)卡����。軟件和數(shù)據(jù)1422可被保存在這樣的便攜式計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上,并可經(jīng)I/O接口 1412被加載到永久存儲(chǔ)設(shè)備1408上����。I/O接口 1412也連接到顯示器1420。
[0071]顯示器1420提供向用戶顯示數(shù)據(jù)的機(jī)構(gòu)��,例如可以是計(jì)算機(jī)監(jiān)視器����。
[0072]這里說(shuō)明的程序是基于為其在本發(fā)明的具體實(shí)施例中實(shí)現(xiàn)所述程序的應(yīng)用識(shí)別的。不過(guò)��,應(yīng)理解僅僅為了方便起見(jiàn)���,使用了這里的任何特定的程序命名���,從而,本發(fā)明不應(yīng)局限于僅僅用在由這樣的命名識(shí)別和/或暗示的任何特定應(yīng)用中�����。
[0073]本發(fā)明可以是系統(tǒng)、方法和/或計(jì)算機(jī)程序產(chǎn)品��。計(jì)算機(jī)程序產(chǎn)品可包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�����,其上載有用于使處理器實(shí)現(xiàn)本發(fā)明的各個(gè)方面的計(jì)算機(jī)可讀程序指令�。
[0074]計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是可保持和保存供指令執(zhí)行設(shè)備使用的指令的有形設(shè)備�。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如可以是(但不限于)電子存儲(chǔ)設(shè)備、磁存儲(chǔ)設(shè)備�、光存儲(chǔ)設(shè)備、電磁存儲(chǔ)設(shè)備���、半導(dǎo)體存儲(chǔ)設(shè)備或者上述的任意適當(dāng)組合�。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的更具體例子(非窮舉列表)包括:便攜式計(jì)算機(jī)盤(pán)��、硬盤(pán)��、隨機(jī)存取存儲(chǔ)器(RAM)�����、只讀存儲(chǔ)器(R0M)、可擦可編程只讀存儲(chǔ)器(EPROM或閃存)�、靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)、便攜式壓縮盤(pán)只讀存儲(chǔ)器(CD-ROM)�、數(shù)字通用光盤(pán)(DVD)、記憶棒�、軟盤(pán)、機(jī)械編碼設(shè)備(例如其上記錄有指令的打孔卡或凹槽內(nèi)凸起結(jié)構(gòu))以及上述的任意適當(dāng)組合�����。這里所使用的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)不被解釋成瞬時(shí)信號(hào)本身���,諸如無(wú)線電波或者其他自由傳播的電磁波����、通過(guò)波導(dǎo)或其他傳輸媒介傳播的電磁波(例如�����,通過(guò)光纜的光脈沖)或者通過(guò)電線傳輸?shù)碾娦盘?hào)����。
[0075]這里所描述的計(jì)算機(jī)可讀程序指令可從計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)下載到各個(gè)計(jì)算/處理設(shè)備,或者通過(guò)網(wǎng)絡(luò)(例如因特網(wǎng)、局域網(wǎng)���、廣域網(wǎng)和/或無(wú)線網(wǎng))下載到外部計(jì)算機(jī)或外部存儲(chǔ)設(shè)備���。網(wǎng)絡(luò)可以包括銅傳輸電纜、光纖傳輸��、無(wú)線傳輸����、路由器��、防火墻����、交換機(jī)��、網(wǎng)關(guān)計(jì)算機(jī)和/或邊緣服務(wù)器���。每個(gè)計(jì)算/處理設(shè)備中的網(wǎng)絡(luò)適配卡或者網(wǎng)絡(luò)接口從網(wǎng)絡(luò)接收計(jì)算機(jī)可讀程序指令,并轉(zhuǎn)發(fā)所述計(jì)算機(jī)可讀程序指令���,以便保存在各個(gè)計(jì)算/處理設(shè)備內(nèi)的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中���。
[0076]用于執(zhí)行本發(fā)明操作的計(jì)算機(jī)可讀程序指令可以是匯編指令��、指令集架構(gòu)(ISA)指令���、機(jī)器指令、機(jī)器相關(guān)指令、微代碼、固件指令、狀態(tài)設(shè)置數(shù)據(jù)���、或者用一種或多種編程語(yǔ)言的任意組合編寫(xiě)的源代碼或目標(biāo)代碼�,所述編程語(yǔ)言包括面向?qū)ο蟮木幊陶Z(yǔ)言(諸如Smal I talk����、C++等)以及常規(guī)的過(guò)程式編程語(yǔ)言(諸如“C”編程語(yǔ)言或類似的編程語(yǔ)言)。計(jì)算機(jī)可讀程序指令可以完全在用戶計(jì)算機(jī)上執(zhí)行�����、部分在用戶計(jì)算機(jī)上執(zhí)行、作為獨(dú)立的軟件包執(zhí)行����、部分在用戶計(jì)算機(jī)上部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行�、或者完全在遠(yuǎn)程計(jì)算機(jī)或服務(wù)器上執(zhí)行�。在后一種情形中,遠(yuǎn)程計(jì)算機(jī)可通過(guò)任意種類的網(wǎng)絡(luò)一包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)—連接到用戶計(jì)算機(jī)�,或者,可以連接到外部計(jì)算機(jī)(例如利用因特網(wǎng)服務(wù)提供商來(lái)通過(guò)因特網(wǎng)連接)���。在一些實(shí)施例中��,通過(guò)利用計(jì)算機(jī)可讀程序指令的狀態(tài)信息使電子電路(例如包括可編程邏輯電路��、現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)或可編程邏輯陣列(PLA))個(gè)性化��,所述電子電路可以執(zhí)行計(jì)算機(jī)可讀程序指令�����,從而實(shí)現(xiàn)本發(fā)明的各個(gè)方面���。
[0077]這里參考按照本發(fā)明實(shí)施例的方法�、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或框圖��,描述了本發(fā)明的各個(gè)方面��。應(yīng)當(dāng)理解��,流程圖和/或框圖的每個(gè)方框以及流程圖和/或框圖中各方框的組合,都可以由計(jì)算機(jī)可讀程序指令實(shí)現(xiàn)�����。
[0078]這些計(jì)算機(jī)可讀程序指令可被提供給通用計(jì)算機(jī)���、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備的處理器���,從而生產(chǎn)出一種機(jī)器,使得通過(guò)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的這些指令產(chǎn)生用于實(shí)現(xiàn)在流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置�。也可以把這些計(jì)算機(jī)可讀程序指令保存在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,這些指令使得計(jì)算機(jī)���、可編程數(shù)據(jù)處理設(shè)備和/或其他設(shè)備以特定方式工作��,從而����,存儲(chǔ)有指令的計(jì)算機(jī)可讀介質(zhì)包括一個(gè)制造品�����,所述制造品包括實(shí)現(xiàn)在流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的各個(gè)方面的指令��。
[0079]也可把計(jì)算機(jī)可讀程序指令加載到計(jì)算機(jī)�����、其它可編程數(shù)據(jù)處理設(shè)備或其它設(shè)備上,使得在計(jì)算機(jī)�、其它可編程裝置或其它設(shè)備上執(zhí)行一系列操作步驟,以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理�,從而在計(jì)算機(jī)、其它可編程裝置或其它設(shè)備上執(zhí)行的指令實(shí)現(xiàn)在流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作�����。
[0080]附圖中的流程圖和框圖圖解說(shuō)明按照本發(fā)明的各個(gè)實(shí)施例的系統(tǒng)���、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)��、功能和操作����。在這點(diǎn)上�����,流程圖或框圖中的每個(gè)方框可以代表模塊���、程序段或指令的一部分���,所述模塊�����、程序段或指令的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。在一些作為替換的實(shí)現(xiàn)中���,方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生��。例如�,連續(xù)表示的兩個(gè)方框?qū)嶋H上可以基本并行地執(zhí)行�,或者有時(shí)也可以按相反的順序執(zhí)行各個(gè)方框,這依所涉及的功能而定����。還要注意的是,框圖和/或流程圖中的每個(gè)方框���、以及框圖和/或流程圖中的方框的組合可以用執(zhí)行規(guī)定的功能或動(dòng)作的專用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn)����,或者可以用專用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)�。為了舉例說(shuō)明,給出了本發(fā)明的各個(gè)實(shí)施例的說(shuō)明,不過(guò)�����,所述說(shuō)明不是詳盡的或者局限于公開(kāi)的實(shí)施例�。對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),許多修改和變化是顯而易見(jiàn)的��,而不脫離本發(fā)明的精神和范圍���。選擇了這里使用的術(shù)語(yǔ)���,以最好地解釋實(shí)施例的原理、實(shí)際應(yīng)用或者比起在市場(chǎng)中見(jiàn)到的各種技術(shù)的技術(shù)改進(jìn)�,或者使本領(lǐng)域的其他普通技術(shù)人員能夠理解這里公開(kāi)的實(shí)施例。
【主權(quán)項(xiàng)】
1.一種用于設(shè)備類型確定的方法�����,所述方法包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自第一設(shè)備的日志流�����,其中第一設(shè)備具有未知設(shè)備類型���; 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自第一設(shè)備的日志流中的特征;和通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�,根據(jù)識(shí)別的來(lái)自第一設(shè)備的日志流的特征與來(lái)自多個(gè)已知設(shè)備類型的日志流中的特征的匹配,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率���。2.按照權(quán)利要求1所述的方法�����,還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自已知設(shè)備類型的各設(shè)備的一個(gè)或多個(gè)日志流;通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別來(lái)自已知設(shè)備類型的各設(shè)備的一個(gè)或多個(gè)日志流中的一個(gè)或多個(gè)特征;和 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�,根據(jù)來(lái)自已知設(shè)備類型的一個(gè)或多個(gè)日志流中的一個(gè)或多個(gè)特征,生成用于確定來(lái)自未知設(shè)備類型的日志流對(duì)應(yīng)于來(lái)自已知設(shè)備類型的日志流的概率的矩陣���。3.按照權(quán)利要求2所述的方法����,其中確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�,根據(jù)生成的加權(quán)日志流特征的矩陣,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率����。4.按照權(quán)利要求1所述的方法,其中識(shí)別來(lái)自第一設(shè)備的日志流中的特征還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別日志流中的一個(gè)或多個(gè)元素����,其中所述一個(gè)或多個(gè)元素包含日志流的功能部分;和 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別下述至少之一:日志流中的一個(gè)或多個(gè)變量��、日志流中的元素的位置�����、日志流中的元素之間的距離和日志流中的特征的模式��。5.按照權(quán)利要求1所述的方法����,其中確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別隨設(shè)備類型而變的日志流的一個(gè)或多個(gè)特征;和通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�,根據(jù)識(shí)別的隨設(shè)備類型而變的日志流的一個(gè)或多個(gè)特征,生成歐拉圖����。6.按照權(quán)利要求1所述的方法,還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別源于第一設(shè)備的多個(gè)日志流;和通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器����,確定源于第一設(shè)備的多個(gè)日志流對(duì)應(yīng)于已知設(shè)備類型的概率。7.按照權(quán)利要求6所述的方法���,其中確定源于第一設(shè)備的多個(gè)日志流對(duì)應(yīng)于已知設(shè)備的概率還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別所述多個(gè)日志流中的對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流����; 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器識(shí)別所述多個(gè)日志流中的不對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流;和 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器,根據(jù)識(shí)別的所述多個(gè)日志流中的對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流與識(shí)別的所述多個(gè)日志流中的不對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流�����,確定源于第一設(shè)備的多個(gè)日志流對(duì)應(yīng)于特定已知設(shè)備類型的概率��。8.按照權(quán)利要求2所述的方法����,其中生成矩陣還包括: 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器���,根據(jù)來(lái)自未知客戶端設(shè)備類型的日志流中的識(shí)別特征與來(lái)自已知客戶端設(shè)備類型的一個(gè)或多個(gè)日志流的一個(gè)或多個(gè)特征的共性�,對(duì)來(lái)自未知客戶端設(shè)備類型的日志流中的一個(gè)或多個(gè)識(shí)別特征加權(quán);和 通過(guò)一個(gè)或多個(gè)計(jì)算機(jī)處理器�,生成包含來(lái)自已知設(shè)備類型的日志流的一個(gè)或多個(gè)加權(quán)特征以及來(lái)自第一設(shè)備類型的日志流的一個(gè)或多個(gè)加權(quán)特征的矩陣。9.一種用于設(shè)備類型確定的計(jì)算機(jī)系統(tǒng)�����,所述計(jì)算機(jī)系統(tǒng)包括: 一個(gè)或多個(gè)計(jì)算機(jī)處理器���; 一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)���; 保存在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上供所述一個(gè)或多個(gè)計(jì)算機(jī)處理器中的至少一個(gè)處理器執(zhí)行的程序指令�,所述程序指令包括: 識(shí)別來(lái)自第一設(shè)備的日志流的程序指令���,其中第一設(shè)備具有未知設(shè)備類型��; 識(shí)別來(lái)自第一設(shè)備的日志流中的特征的程序指令;和 根據(jù)識(shí)別的來(lái)自第一設(shè)備的日志流的特征與來(lái)自多個(gè)已知設(shè)備類型的日志流中的特征的匹配���,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率的程序指令。10.按照權(quán)利要求9所述的計(jì)算機(jī)系統(tǒng)���,還包括程序指令�����,用于: 識(shí)別來(lái)自已知設(shè)備類型的各設(shè)備的一個(gè)或多個(gè)日志流��; 識(shí)別來(lái)自已知設(shè)備類型的各設(shè)備的一個(gè)或多個(gè)日志流中的一個(gè)或多個(gè)特征;和根據(jù)來(lái)自已知設(shè)備類型的一個(gè)或多個(gè)日志流中的一個(gè)或多個(gè)特征�,生成用于確定來(lái)自未知設(shè)備類型的日志流對(duì)應(yīng)于來(lái)自已知設(shè)備類型的日志流的概率的矩陣��。11.按照權(quán)利要求10所述的計(jì)算機(jī)系統(tǒng)�����,其中確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率的程序指令還包括程序指令,用于: 根據(jù)生成的加權(quán)日志流特征的矩陣����,確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率。12.按照權(quán)利要求9所述的計(jì)算機(jī)系統(tǒng)����,其中識(shí)別來(lái)自第一設(shè)備的日志流中的特征的程序指令還包括程序指令,用于: 識(shí)別日志流中的一個(gè)或多個(gè)元素�,其中所述一個(gè)或多個(gè)元素包含日志流的功能部分;和 識(shí)別下述至少之一:日志流中的一個(gè)或多個(gè)變量�、日志流中的元素的位置、日志流中的元素之間的距離和日志流中的特征的模式�����。13.按照權(quán)利要求9所述的計(jì)算機(jī)系統(tǒng)�����,其中確定來(lái)自第一設(shè)備的日志流是由特定設(shè)備類型創(chuàng)建的概率的程序指令還包括程序指令����,用于: 識(shí)別隨設(shè)備類型而變的日志流的一個(gè)或多個(gè)特征;和 根據(jù)識(shí)別的隨設(shè)備類型而變的日志流的一個(gè)或多個(gè)特征��,生成歐拉圖。14.按照權(quán)利要求9述的計(jì)算機(jī)系統(tǒng)�����,還包括程序指令�,用于: 識(shí)別源于第一設(shè)備的多個(gè)日志流;和 確定源于第一設(shè)備的多個(gè)日志流對(duì)應(yīng)于已知設(shè)備類型的概率。15.按照權(quán)利要求14所述的計(jì)算機(jī)系統(tǒng)�,其中確定源于第一設(shè)備的多個(gè)日志流對(duì)應(yīng)于已知設(shè)備的概率的程序指令還包括程序指令,用于: 識(shí)別所述多個(gè)日志流中的對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流���; 識(shí)別所述多個(gè)日志流中的不對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流;和根據(jù)識(shí)別的所述多個(gè)日志流中的對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流與識(shí)別的所述多個(gè)日志流中的不對(duì)應(yīng)于特定已知設(shè)備類型的一個(gè)或多個(gè)日志流����,確定源于第一設(shè)備的多個(gè)日志流對(duì)應(yīng)于特定已知設(shè)備類型的概率�����。16.按照權(quán)利要求10所述的計(jì)算機(jī)系統(tǒng)�,其中生成矩陣的程序指令還包括程序指令,用于: 根據(jù)來(lái)自未知客戶端設(shè)備類型的日志流中的識(shí)別特征與來(lái)自已知客戶端設(shè)備類型的一個(gè)或多個(gè)日志流的一個(gè)或多個(gè)特征的共性�����,對(duì)來(lái)自未知客戶端設(shè)備類型的日志流中的一個(gè)或多個(gè)識(shí)別特征加權(quán);和 生成包含來(lái)自已知設(shè)備類型的日志流的一個(gè)或多個(gè)加權(quán)特征以及來(lái)自第一設(shè)備類型的日志流的一個(gè)或多個(gè)加權(quán)特征的矩陣��。
【文檔編號(hào)】G06K9/62GK106022349SQ201610177921
【公開(kāi)日】2016年10月12日
【申請(qǐng)日】2016年3月25日
【發(fā)明人】李展雄, K·萊文斯基, H·辛格, 鄧永昇
【申請(qǐng)人】國(guó)際商業(yè)機(jī)器公司