技术特征:
1.一种日志检测方法,其特征在于,所述方法包括:获取待检测的日志文件;根据所述日志文件获得至少一个有向数据结构,所述至少一个有向数据结构中的每个有向数据结构与一个事件序列对应,所述事件序列包括来自于所述日志文件的多个事件;根据所述至少一个有向数据结构,利用日志检测模型确定所述日志文件是否异常。2.根据权利要求1所述的方法,其特征在于,所述有向数据结构携带所述多个事件的时间顺序信息。3.根据权利要求1或2所述的方法,其特征在于,所述有向数据结构包括有向序列图、有向序列表或有向序列文本。4.根据权利要求1至3任一项所述的方法,其特征在于,所述有向数据结构为有向序列图,所述有向序列图包括多个节点,所述多个节点中的至少一个节点包括先验特征。5.根据权利要求1至4任一项所述的方法,其特征在于,所述有向数据结构为有向序列图,所述根据所述至少一个有向数据结构,利用日志检测模型确定所述日志文件是否异常,包括:根据日志检测模型获得至少一个有向序列图的下一连接节点集合,所述下一连接节点集合包括所述日志检测模型预测的、下一连接节点的至少一个候选项;根据所述至少一个有向序列图的下一连接节点集合确定所述日志文件是否异常。6.根据权利要求1至4任一项所述的方法,其特征在于,所述有向数据结构为有向序列图,所述根据所述至少一个有向数据结构,利用日志检测模型确定所述日志文件是否异常,包括:通过日志检测模型获取至少一个有向序列图的全局特征和局部特征;根据所述全局特征和所述局部特征,确定所述日志文件是否异常。7.根据权利要求6所述的方法,其特征在于,所述日志检测模型包括图神经网络和基于注意力机制的序列嵌入网络,所述图神经网络用于提取所述至少一个有向序列图中节点的特征,所述序列嵌入网络用于确定所述节点的权重。8.根据权利要求1至7任一项所述的方法,其特征在于,所述日志检测模型根据历史日志文件采用自监督方式训练得到。9.根据权利要求8所述的方法,其特征在于,所述日志检测模型为图模型,所述日志检测模型的训练样本包括历史有向序列图和自监督信息,所述历史有向序列图与所述历史日志文件的一个历史事件序列对应,所述自监督信息为所述历史事件序列的最后一个事件,所述历史有向序列图的每个节点分别对应所述最后一个事件之前的多个不重复事件。10.根据权利要求1至9任一项所述的方法,其特征在于,所述方法还包括:输出异常的事件序列,所述异常的事件序列包括所述日志检测模型的预测结果与真实结果不匹配的事件序列。11.根据权利要求1至10任一项所述的方法,其特征在于,所述待检测的日志文件包括经过脱敏或加密处理的日志文件。12.一种日志检测方法,其特征在于,所述方法包括:获取待检测的日志文件;当所述日志文件异常时,呈现异常的事件序列,所述异常的事件序列是根据至少一个
有向数据结构利用日志检测模型确定的,所述至少一个有向数据结构中的每个有向数据结构与所述日志文件的一个事件序列对应,所述日志文件的一个事件序列包括来自于所述日志文件的多个事件,所述异常的事件序列包括所述日志检测模的预测结果与真实结果不匹配的事件序列。13.根据权利要求11所述的方法,其特征在于,所述有向数据结构包括有向序列图、有向序列表或有向序列文本。14.根据权利要求11或12所述的方法,其特征在于,所述日志检测模型根据历史日志文件采用自监督方式训练得到。15.一种日志检测系统,其特征在于,所述系统包括:通信模块,用于获取待检测的日志文件;构建模块,用于根据所述日志文件获得至少一个有向数据结构,所述至少一个有向数据结构中的每个有向数据结构与一个事件序列对应,所述事件序列包括来自于所述日志文件的多个事件;检测模块,用于根据所述至少一个有向数据结构,利用日志检测模型确定所述日志文件是否异常。16.根据权利要求15所述的系统,其特征在于,所述有向数据结构携带所述多个事件的时间顺序信息。17.根据权利要求15或16所述的系统,其特征在于,所述有向数据结构包括有向序列图、有向序列表或有向序列文本。18.根据权利要求15至17任一项所述的系统,其特征在于,所述有向数据结构为有向序列图,所述有向序列图包括多个节点,所述多个节点中的至少一个节点包括先验特征。19.根据权利要求15至18任一项所述的系统,其特征在于,所述有向数据结构为有向序列图,所述检测模块具体用于:根据日志检测模型获得至少一个有向序列图的下一连接节点集合,所述下一连接节点集合包括所述日志检测模型预测的、下一连接节点的至少一个候选项;根据所述至少一个有向序列图的下一连接节点集合确定所述日志文件是否异常。20.根据权利要求15至18任一项所述的系统,其特征在于,所述有向数据结构为有向序列图,所述检测模块具体用于:通过日志检测模型获取至少一个有向序列图的全局特征和局部特征;根据所述全局特征和所述局部特征,确定所述日志文件是否异常。21.根据权利要求20所述的系统,其特征在于,所述日志检测模型包括图神经网络和基于注意力机制的序列嵌入网络,所述图神经网络用于提取所述至少一个有向序列图中节点的特征,所述序列嵌入网络用于确定所述节点的权重。22.根据权利要求15至21任一项所述的系统,其特征在于,所述日志检测模型根据历史日志文件采用自监督方式训练得到。23.根据权利要求22所述的系统,其特征在于,所述日志检测模型为图模型,所述日志检测模型的训练样本包括历史有向序列图和自监督信息,所述历史有向序列图与所述历史日志文件的一个历史事件序列对应,所述自监督信息为所述历史事件序列的最后一个事件,所述历史有向序列图的每个节点分别对应所述最后一个事件之前的多个不重复事件。
24.根据权利要求15至23任一项所述的系统,其特征在于,所述通信模块还用于:输出异常的事件序列,所述异常的事件序列包括所述日志检测模型的预测结果与真实结果不匹配的事件序列。25.根据权利要求24所述的系统,其特征在于,所述待检测的日志文件包括经过脱敏或加密处理的日志文件。26.一种日志检测系统,其特征在于,所述系统包括:通信模块,用于获取待检测的日志文件;显示模块,用于当所述日志文件异常时,呈现异常的事件序列,所述异常的事件序列是根据至少一个有向数据结构利用日志检测模型确定的,所述至少一个有向数据结构中的每个有向数据结构与所述日志文件的一个事件序列对应,所述日志文件的一个事件序列包括来自于所述日志文件的多个事件,所述异常的事件序列包括所述日志检测模的预测结果与真实结果不匹配的事件序列。27.一种设备,其特征在于,所述设备包括处理器和存储器;所述处理器用于执行所述存储器中存储的指令,以使得所述设备执行如权利要求1至11或12至14中任一项所述的方法。28.一种计算机可读存储介质,其特征在于,包括指令,所述指令指示设备执行如权利要求1至11或12至14中任一项所述的方法。