基于随机游走模型的系统运行日志分布式查询方法

张晓慧，张千福，张才俊，林鸿，余锦河

（1.国家电网有限公司客户服务中心，天津 300300；2.北京中电普华信息技术有限公司，北京 100085）

系统运行日志既是一个存储盘，也是一个监测器件，因为系统运行日志一方面可以记录系统硬件区域和软件区域的重要数据信息，另一方面系统运行日志可以根据用户的执行命令，查询到一定时间内系统中的网络攻击信息和痕迹信息，受到广泛的应用。根据系统日志的类型将系统运行日志主要分为三个方面，分别为系统日志、应用程序日志以及安全日志，系统运行日志分布式查询方法主要针对这三种不同类型的系统运行日志进行功能分类设计[1-2]。

为了提高系统运行日志的查询效率，该文以随机游走模型为基础，设计一个全新的系统运行日志分布式查询方法。该文根据需求，分析出系统运行日志组件的功能，然后分析系统运行日志的数据节点流量，根据随机游走模型理论基础，总结出系统运行日志分布式查询方法的工作流程。最后通过对比实验验证了基于随机游走模型的系统运行日志分布式查询方法具有意义。

1 随机游走模型分析

随机游走模型的查询原理是对需要查询的数据库数据进行特征相似性游走路线加权处理，该路径涵盖数据库内的所有信息，然后将具有待查询特征的数据与路径上的所有数据进行聚类处理，最终查询出待检测数据集合。为了使待查询数据重构路径内的数据具有唯一性，成功编入随机游走路径后，该文将对每一个数据向量分配一个m维向量。

特征数据向量与数据路径内的其他数据相似度的计算公式如下所示：

其中，x、y分别表示不同的向量数据量[3-5]。

计算数据库内数据之间的关联度后，将数据向量之间关联度的数值带入关联矩阵中，计算出数据待查的特征向量，计算矩阵如下所示：

其中，dj表示联合梯度算子；wij表示对角线映射的加权值。

如果关联矩阵之间不存在差值，则Aij=0 表示数据库内的所有数据信息相同，立即输出向量作为特征向量即可。

完成数据特征输出后，根据调和函数和特征向量的标记点，计算出非特征数据向量与特征向量之间的直接连接概率。计算完成后，概率值最大的就可以相互连接，构成一个新的数据游走路径，多次重复此计算，就可以得出数据特征的游走路径[6-7]。计算公式如下所示：

积极开展水土保持知识进校园活动，针对中小学生开展了新一轮水土保持知识教育活动。在西宁市教委的支持下，2013年4月19日西宁市黄河路小学组织200余名师生在长岭水土保持科技示范园区开展了“携手保护生态，共建绿色家园”的主题活动。5月31日西宁市南川西路小学近1400名少年儿童到西宁长岭水土保持科技示范园开展水土保持科普教育户外实践活动。同时编印了中小学《水土保持科普教育知识读本》，在西宁市、海东市、黄南州等地中小学发放5000余册。面向生产建设单位、水土保持重点地区印发了《水土保持科普读本》1000余册。同时制作了《青海小流域综合治理纪实》《生态公园、绿色长岭》等两部专题宣传片。

其中，L表示拉普拉斯变换参数；XI、XJ均表示连接路径[8]。建立的随机游走模型如图1 所示。

图1 随机游走模型

2 基于随机游走模型的系统运行日志分布式查询分析

正常的系统运行日志组件由P2P 网络插件、搜索引擎插件、日志文件交换插件、日志数据定位插件以及通信插件共同组成，以维持系统日志的运行[9-10]。

P2P 网络插件主要依靠C/S 网络结构运行，处于系统的服务器和客户端之间，主要的工作任务是维护系统硬件之间网络数据正常的传输。P2P 网络插件的优势在于系统运行日志的加载量越多，那么网络会对所有运行的日志进行限制，并且减少排队的进程，减轻系统的负载量。插件为系统的查询提供了有力的计算协助和较大的存储能力，保证系统日志的正常运行。搜索引擎插件是系统运行日志组件的重要组成部件，插件的作用一方面是满足系统日志内部的查询需求，另一方面是与系统运行日志分布式查询方法的插件进行感应连接，以提高分布式查询的速度和准确率[11-12]。

搜索引擎插件的特点是只需要提供P2P 网络即可驱动搜索引擎插件，不需要通过传感器进行设置，不受系统日志格式的约束。日志文件交换插件的工作任务是将系统内部的有效日志在不扰乱系统正常运行的基础上进行合理的对换处理。通信插件作为系统运行日志组件之一，其作用是利用P2P 网络技术记录系统日志与外界日志之间的通信记录，在必要时可以通过语句命令，查询到日志通信的数据信息以及系统运行日志的交换地址等信息。以上各个功能的插件共同维护一个系统日志运行的正常工作[13]。

随着设备运行的变化，日志的内容通过网络节点的传递，也会发生变化。为了保证系统运行日志分布式查询过程中查询数据库信息的时效性，需要通过对日志数据节点流量的分析来完成。因为互联网的连通性，每台设备处于开机状态一分钟主动运行和被动运行的次数就会达到几十次，导致计算互联网的点击记录量的工作十分复杂，所以该方法不是查询方法中最佳的途径[14-15]。系统实时运行日志的网络点击路径是最短的，该文对系统运行日志实时状态的确定通过分析日志节点流量的路径长度实现。一个系统运行日志网络中存在多个网络节点，日志跳转概率如下所示：

其中，fi表示日志数据节点之间每个流量跳转的概率；fk表示日志数据在节点之间多次跳转的概率。点击流示意图如图2 所示。

图2 点击流示意图

在完成系统内运行日志的节点跳转结算后，形成许多不同长度的日志节点段，然后衡量每段节点相对于日志特征节点的影响度，在一定范围内影响度最大的节点映射运行IP 地址就是系统实时运行的日志地址[16]。节点之间的影响度计算公式如下所示：

流量推测公式如下所示：

其中，K表示系统运行日志的相对流量系数。

经过以上对系统运行日志组件、随机游走模型以及系统运行日志节点流量的分析，初步完成了基于随机游走模型的系统运行日志分布式查询方法研究。该文为了使查询方法的应用效果更佳，总结出系统运行日志分布式查询方法流程，具体流程如图3所示。

图3 系统运行日志分布式查询方法流程

首先，查询方法需要采集查询日志所属的系统信息，为接下来分布式查询奠定数据基础；

其次，查询方法驱动系统运行日志的各个相关组件，通过随机游走模型锁定系统运行日志的基本信息，根据模型计算出系统运行日志的关键路径；

最后，通过对系统运行日志信息的节点流量分析，验证数据是否具有时效性，如果信息是最新更新的日志信息，就保留信息，如果不是，则存储更新后的日志信息。随机游走模型将系统运行日志内部需要查询的数据信息按照规定的查询顺序汇总为文件的形式输出，完成系统运行日志的分布式查询。

3 实验研究

通过以上论述完成了基于随机游走模型的系统运行日志分布式查询方法的研究，为了检验该方法是否具有效果，是否达到查询规范，该文进行对比实验完成验证。对比实验方法采用基于人工智能分类的系统运行日志分布式查询方法和基于数据流查询的系统运行分布式查询方法，另外为了保证对比实验结论的精度，在实验过程中，同时采用专业的软件对系统运行日志进行查询，将不同方法的查询结果与标准结果进行对照。

为了保证实验的公平性，对比实验的测试样本是一个具有工作痕迹的计算机，三种查询方法分别连入计算机设备内，完成测试。在实验过程中，待测的计算机设备还会连入一个数据监测仪，方便实验结束后对测试数据进行复盘，避免实验数据出现误差。将三个系统的运行触发时间作为实验的开始时间，在运行日志数据采集过程中，工作人员需要实时观察数据监测仪，一旦出现危险情况，立即关闭电源，停止实验，保证安全。当三个查询方法全部提交了系统运行日志的查询信息报告，则立即结束实验，整理实验器材，分析实验数据，得出实验结论。

得到的采集数据匹配度实验结果如表1 所示。

表1 采集数据匹配度实验结果

查询精度实验结果如图4 所示。

图4 查询精度实验结果

实验操作结束后得出基于随机游走模型的系统运行日志分布式查询方法查询出的数据结果与专业软件查询出的数据结果匹配度达到了98.54%的结论，且查询精度最高。三种查询方法所耗用的时间由短到长分别是基于人工智能分类的系统运行日志分布式查询方法、基于随机游走模型的系统运行日志分布式查询方法、基于数据流查询的系统运行分布式查询方法。另外，三种查询方法只有基于数据流查询的系统运行分布式查询方法在查询过程中破坏了系统运行日志的数据信息，因此该方法不是最佳的查询方法。因为系统运行日志分布式查询方法的性能评价在于查询的精度，查询所耗用的时间只是一个辅助因素，综上各种数据参数，可以得出基于随机游走模型的系统运行日志分布式查询方法具有查询功能，达到了查询规范。

得到基于随机游走模型的系统运行日志分布式查询方法是最佳方法的关键在于基于随机游走模型的系统运行日志分布式查询方法借鉴了随机游走模型的理论核心，将一个系统内部的所有运行日志进行随机游走加权处理，按照一定的规律进行关联分类和聚类，在分布式查询命名被触发时，该方法可以快速地完成日志查询，保证查询结果的效率。另外，基于随机游走模型的系统运行日志分布式查询方法还融入了日志数据节点流量分析和系统日志组件的分析，可以保证系统运行日志分布式查询的精度。

4 结束语

通过以上的对比实验分析，证明了基于随机游走模型的系统运行日志分布式查询方法，可以准确地查询到系统的相关信息。该文研究的查询方法，通过随机游走模型对系统运行日志的相似数据进行游走加权处理，实现系统运行日志的快速聚类和关联，为日志的分类查询奠定分类基础，提高系统运行日志的查询准确率。以该文研究的方法作为实践基础，接下来需进一步分析系统内部信息的分布式查询方法，完善系统的查询功能。