제3항에 있어서,상기 인코더 모듈은 BERT(bidirectional encoder representations from transformers) 모델을 포함하는,로그 이상 감지 시스템.

제1항에 있어서, 상기 인코더 모듈은 하나의 자연어 처리(natural language processing) 모델을 포함하는,로그 이상 감지 시스템.

컴퓨팅 시스템의 로그 이상 감지 시스템에 있어서,상기 컴퓨팅 시스템의 로그 메시지에 포함된 적어도 하나의 로그 키(log key)로부터 획득되는 입력 시퀀스를 처리하여 제1 은닉 표현(hidden representation)을 제공하는 인코더 모듈;상기 입력 시퀀스의 제1 은닉 표현에 대한 제1 임베딩(embedding)과, 정상 로그를 포함하는 기준 시퀀스의 제2 은닉 표현에 대한 제2 임베딩을 포함하는 임베딩 쌍을 획득하고, 획득된 임베딩 쌍 간의 거리를 계산하는 시퀀스 비교 모듈; 및계산된 거리에 기초하여 상기 입력 시퀀스에 대한 로그 이상 여부를 감지하는 로그 이상 감지 모듈을 포함하고,상기 시퀀스 비교 모듈은 동일한 파라미터를 공유하는 제1 인공신경망과 제2 인공신경망으로 구성되는 샴 네트워크(Siamese network)를 포함하되,상기 시퀀스 비교 모듈은 한 개의 상기 인코더 모듈과 연결되고,한 개의 상기 인코더 모듈은 상기 기준 시퀀스와 상기 입력 시퀀스를 순차적으로 입력 받고, 상기 입력 시퀀스와 상기 기준 시퀀스를 순차적으로 처리하여 상기 제1 은닉 표현 및 상기 제2 은닉 표현을 순차적으로 제공하고,상기 인코더 모듈과 상기 시퀀스 비교 모듈 사이에 멀티플렉서가 형성되고,상기 멀티플렉서는 상기 인코더 모듈로부터 제공되는 상기 제1 은닉 표현을 상기 제1 인공신경망으로 전송하고, 상기 인코더 모듈로부터 제공되는 상기 제2 은닉 표현을 상기 제2 인공신경망으로 전송하고,상기 제1 인공신경망은 상기 제1 은닉 표현을 처리하여 상기 제1 임베딩을 제공하고, 상기 제2 인공신경망은 상기 제2 은닉 표현을 처리하여 상기 제2 임베딩을 제공하는,로그 이상 감지 시스템.

삭제

제1항에 있어서, 상기 로그 이상 감지 모듈은,상기 임베딩 쌍 간의 거리가 기 설정된 기준 거리 이하인 경우, 상기 입력 시퀀스에 대응하는 적어도 하나의 로그 키에 이상 로그가 포함되지 않은 것으로 감지하고,상기 임베딩 쌍 간의 거리가 상기 기준 거리를 초과하는 경우, 상기 적어도 하나의 로그 키에 이상 로그가 포함된 것으로 감지하는,로그 이상 감지 시스템.

제1항에 있어서, 상기 로그 메시지를 전처리하여 상기 입력 시퀀스를 획득하는 전처리부를 더 포함하고,상기 전처리부는,상기 로그 메시지로부터 상기 적어도 하나의 로그 키를 파싱하는 파싱 모듈; 및상기 파싱된 적어도 하나의 로그 키에 대한 그룹핑을 통해 상기 입력 시퀀스를 획득하는 그룹핑 모듈을 포함하는,로그 이상 감지 시스템.

제1항에 있어서,상기 로그 이상 감지 시스템은 상기 컴퓨팅 시스템과 통신 연결되는 별개의 시스템에 해당하는,로그 이상 감지 시스템.

제1항에 있어서,상기 로그 이상 감지 시스템은 상기 컴퓨팅 시스템에 포함되는,로그 이상 감지 시스템.

컴퓨팅 시스템의 로그 이상 감지 방법에 있어서,상기 컴퓨팅 시스템의 로그 메시지를 획득하는 단계;상기 획득된 로그 메시지에 포함된 적어도 하나의 로그 키에 기초한 입력 시퀀스 및 정상 로그를 포함하는 기준 시퀀스를 순차적으로 획득하는 단계;한 개의 인코더 모듈을 통해 상기 입력 시퀀스와 상기 기준 시퀀스가 순차적으로 처리되어, 상기 입력 시퀀스로부터 제1 은닉 표현을, 상기 기준 시퀀스로부터 제2 은닉 표현을 순차적으로 획득하는 단계;상기 제1 은닉 표현이 제1 인공신경망으로 제공되도록 멀티플렉서를 제어하는 단계;상기 제2 은닉 표현이 제2 인공신경망으로 제공되도록 상기 멀티플렉서를 제어하는 단계;상기 제1 인공신경망을 이용하여 상기 제1 은닉 표현에 대한 제1 임베딩을 획득하고, 상기 제2 인공신경망을 이용하여 상기 정상 로그를 포함하는 상기 기준 시퀀스의 상기 제2 은닉 표현에 대한 제2 임베딩을 획득하는 단계;획득된 상기 제1 임베딩과 상기 제2 임베딩 사이의 거리를 계산하는 단계; 및계산된 거리에 기초하여 상기 입력 시퀀스에 대한 로그 이상 여부를 감지하는 단계를 포함하고,상기 제1 인공신경망과 상기 제2 인공신경망은 동일한 파라미터를 갖는,로그 이상 감지 방법.

삭제

제9항에 있어서, 상기 인코더 모듈은 BERT(bidirectional encoder representations from transformers) 모델을 포함하는,로그 이상 감지 방법.

제9항에 있어서,상기 로그 이상 여부를 감지하는 단계는,상기 제1 임베딩과 제2 임베딩 간의 거리가 기 설정된 기준 거리 이하인 경우, 상기 입력 시퀀스에 대응하는 적어도 하나의 로그 키에 이상 로그가 포함되지 않은 것으로 감지하는 단계; 및상기 임베딩 쌍 간의 거리가 상기 기준 거리를 초과하는 경우, 상기 적어도 하나의 로그 키에 이상 로그가 포함된 것으로 감지하는 단계를 포함하는,로그 이상 감지 방법.

제9항에 있어서,상기 획득된 로그 메시지에 포함된 적어도 하나의 로그 키에 기초한 입력 시퀀스를 획득하는 단계는,파싱 모듈을 통해, 상기 로그 메시지로부터 상기 적어도 하나의 로그 키를 파싱하는 단계; 및파싱된 적어도 하나의 로그 키에 대한 그룹핑을 통해 상기 입력 시퀀스를 획득하는 단계를 포함하는,로그 이상 감지 방법.

컴퓨팅 장치의 프로세서에 의해 실행되는 경우 상기 컴퓨팅 장치가 로그 이상 감지 방법을 수행하도록 하는 컴퓨터 프로그램이 저장된 비일시적 컴퓨터 판독 가능 기록매체에 있어서, 상기 방법은,로그 메시지에 포함된 적어도 하나의 로그 키에 기초한 입력 시퀀스 및 정상 로그를 포함하는 기준 시퀀스를 순차적으로 획득하는 단계;한 개의 인코더 모듈을 이용하여, 상기 입력 시퀀스와 상기 기준 시퀀스를 순차적으로 처리하여, 상기 입력 시퀀스로부터 제1 은닉 표현을, 상기 기준 시퀀스로부터 제2 은닉 표현을 순차적으로 획득하는 단계;상기 제1 은닉 표현이 제1 인공신경망으로 제공되도록 멀티플렉서를 제어하는 단계;상기 제2 은닉 표현이 제2 인공신경망으로 제공되도록 상기 멀티플렉서를 제어하는 단계;상기 제1 인공신경망을 이용하여 상기 제1 은닉 표현에 대한 제1 임베딩을 획득하고, 상기 제2 인공신경망을 이용하여 상기 정상 로그를 포함하는 상기 기준 시퀀스의 상기 제2 은닉 표현에 대한 제2 임베딩을 획득하는 단계;획득된 상기 제1 임베딩과 상기 제2 임베딩 사이의 거리를 계산하는 단계; 및계산된 거리에 기초하여 상기 입력 시퀀스에 대한 로그 이상 여부를 감지하는 단계를 포함하고,상기 제1 인공신경망과 상기 제2 인공신경망은 동일한 파라미터를 갖는,비일시적 컴퓨터 판독 가능 기록매체

삭제