标题：基于系统日志混合特征的在线异常检测方法
作者：严军 范鹏 王天 杨林峰
作者单位：上海大学通信与信息工程学院，上海 200444
关键字：异常检测；日志分析；统计特征；序列特征；在线检测
摘要：系统日志是记录系统运行情况的重要信息载体，通过分析日志可以检测出系统中发生的异常。传统基于系统日志的自动化异常检测方法往往仅根据系统日志的单一特征进行分析，异常漏检率较高，且大多为批处理方法，无法对运行中系统产生的日志流进行在线检测。针对上述问题，提出了基于日志混合特征的在线异常检测方法，即MFAD（online anomaly detection method based on mixed features of system logs）。该方法使用层次聚类提取日志的统计特征，并通过高斯混合模型提取日志的序列特征，最后关联统计特征和序列特征构建混合特征检测模型以对日志进行异常检测。实验结果表明，MFAD能够通过日志流对系统进行在线异常检测，响应迅速，并且具有较高的准确性。