事件的檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言,涉及一種事件的檢測方法及裝置。
【背景技術(shù)】
[0002] 隨著計(jì)算機(jī)、智能終端的普及,網(wǎng)絡(luò)得到飛速發(fā)展,導(dǎo)致網(wǎng)絡(luò)環(huán)境變的越來越復(fù) 雜。當(dāng)今的企業(yè)和組織在IT信息安全領(lǐng)域所面臨的局面也越來越嚴(yán)峻。網(wǎng)絡(luò)中的各種網(wǎng)絡(luò) 設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用和業(yè)務(wù)系統(tǒng)在工作中也將會(huì)產(chǎn)生越來越多的安全事件和日志。 大量的日志數(shù)據(jù)背后隱藏著豐富有用的信息,因此對(duì)日志數(shù)據(jù)進(jìn)行挖掘分析,發(fā)現(xiàn)蘊(yùn)含在 大量日志數(shù)據(jù)背后的有用知識(shí)顯得非常有必要。
[0003] 目前,傳統(tǒng)的日志相關(guān)產(chǎn)品對(duì)日志數(shù)據(jù)的處理大多數(shù)偏重于審計(jì),對(duì)日志的分析 往往集中在單維單屬性值上,從而發(fā)現(xiàn)不了日志數(shù)據(jù)在多維多屬性上蘊(yùn)含的信息,往往日 志數(shù)據(jù)在多維多屬性值上隱含有更多有用的知識(shí),要想發(fā)掘日志數(shù)據(jù)在多維多屬性值上隱 含的知識(shí),例如,分析某一事件是否頻繁發(fā)生,需要用到數(shù)據(jù)挖掘的方法。
[0004] 現(xiàn)有技術(shù)中,通常是對(duì)用戶的原始日志數(shù)據(jù)進(jìn)行分析,這種基于簡單計(jì)數(shù)的審計(jì) 類日志產(chǎn)品很難提供向用戶提供事件發(fā)生的規(guī)律,這使得數(shù)據(jù)挖掘很難取得進(jìn)展。
[0005] 針對(duì)上述的問題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實(shí)施例提供了一種事件的檢測方法及裝置,以至少解決由于現(xiàn)有技術(shù)僅是 對(duì)用戶的原始日志數(shù)據(jù)進(jìn)行簡單計(jì)數(shù)分析造成無法提供事件發(fā)生規(guī)律的技術(shù)問題。
[0007] 根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種事件的檢測方法,包括:獲取待檢測數(shù) 據(jù),其中,所述待檢測數(shù)據(jù)至少包括事件和事件的發(fā)生時(shí)間;按照預(yù)先劃分的時(shí)間段,依據(jù) 所述事件的發(fā)生時(shí)間確定所述事件所屬的第一時(shí)間段,并得到所述事件的第一時(shí)間段集 合,其中,所述第一時(shí)間段集合中包含所述第一時(shí)間段;根據(jù)所述第一時(shí)間段集合,計(jì)算所 述第一時(shí)間段的支持度,其中,所述支持度用于表示在所述第一時(shí)間段發(fā)生所述事件的頻 繁程度;若所述支持度大于預(yù)設(shè)閾值,確定所述第一時(shí)間段為所述事件的頻繁發(fā)生時(shí)間段。
[0008] 進(jìn)一步地,所述獲取待檢測數(shù)據(jù)包括:提取用戶的原始日志數(shù)據(jù);將所述原始日志 數(shù)據(jù)進(jìn)行歸一化,得到多個(gè)對(duì)象,其中,所述多個(gè)對(duì)象包含用于表示事件類型的字段;根據(jù) 所述字段,將所述多個(gè)對(duì)象分為不同類型的所述待檢測數(shù)據(jù)。
[0009] 進(jìn)一步地,在所述按照預(yù)先劃分的時(shí)間段,依據(jù)所述發(fā)生時(shí)間確定所述事件所屬 的第一時(shí)間段之前,所述方法還包括:根據(jù)預(yù)定的時(shí)間周期的長度以及所述時(shí)間段的長度, 將各個(gè)所述時(shí)間周期劃分為多個(gè)所述時(shí)間段。
[0010] 進(jìn)一步地,所述根據(jù)所述第一時(shí)間段集合,計(jì)算所述第一時(shí)間段的支持度包括:統(tǒng) 計(jì)各個(gè)所述時(shí)間周期內(nèi)的所述第一時(shí)間段集合的數(shù)量,以及統(tǒng)計(jì)各個(gè)所述時(shí)間周期內(nèi)的時(shí) 間段集合的總數(shù);計(jì)算所述第一時(shí)間段集合的數(shù)量與所述時(shí)間段集合的總數(shù)的比值,得到 所述第一時(shí)間段的所述支持度。
[0011] 進(jìn)一步地,在所述確定所述第一時(shí)間段為所述事件的頻繁發(fā)生時(shí)間段之后,所述 方法還包括:更新統(tǒng)計(jì)結(jié)果表,其中,更新后的所述統(tǒng)計(jì)結(jié)果表中包含所述事件以及所述事 件對(duì)應(yīng)的所述第一時(shí)間段;在接收到請(qǐng)求裝置發(fā)送的挖掘分析請(qǐng)求的情況下,將更新后的 所述統(tǒng)計(jì)結(jié)果表返回給所述請(qǐng)求裝置。
[0012] 根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種事件的檢測裝置,包括:獲取單元, 用于獲取待檢測數(shù)據(jù),其中,所述待檢測數(shù)據(jù)至少包括事件和事件的發(fā)生時(shí)間;確定單元, 用于按照預(yù)先劃分的時(shí)間段,依據(jù)所述事件的發(fā)生時(shí)間確定所述事件所屬的第一時(shí)間段, 并得到所述事件的第一時(shí)間段集合,其中,所述第一時(shí)間段集合中包含所述第一時(shí)間段;計(jì) 算單元,用于根據(jù)所述第一時(shí)間段集合,計(jì)算所述第一時(shí)間段的支持度,其中,所述支持度 用于表示在所述第一時(shí)間段發(fā)生所述事件的頻繁程度;檢測單元,用于若所述支持度大于 預(yù)設(shè)閾值,確定所述第一時(shí)間段為所述事件的頻繁發(fā)生時(shí)間段。
[0013] 進(jìn)一步地,所述獲取單元包括:提取模塊,用于提取用戶的原始日志數(shù)據(jù);歸一化 模塊,用于將所述原始日志數(shù)據(jù)進(jìn)行歸一化,得到多個(gè)對(duì)象,其中,所述多個(gè)對(duì)象包含用于 表示事件類型的字段;分類模塊,用于根據(jù)所述字段,將所述多個(gè)對(duì)象分為不同類型的所述 待檢測數(shù)據(jù)。
[0014] 進(jìn)一步地,所述裝置還包括:劃分單元,用于根據(jù)預(yù)定的時(shí)間周期的長度以及所述 時(shí)間段的長度,將各個(gè)所述時(shí)間周期劃分為多個(gè)所述時(shí)間段。
[0015] 進(jìn)一步地,所述計(jì)算單元包括:統(tǒng)計(jì)模塊,用于統(tǒng)計(jì)各個(gè)所述時(shí)間周期內(nèi)的所述第 一時(shí)間段集合的數(shù)量,以及統(tǒng)計(jì)各個(gè)所述時(shí)間周期內(nèi)的時(shí)間段集合的總數(shù);計(jì)算模塊,用于 計(jì)算所述第一時(shí)間段集合的數(shù)量與所述時(shí)間段集合的總數(shù)的比值,得到所述第一時(shí)間段的 所述支持度。
[0016] 進(jìn)一步地,所述裝置還包括:更新單元,用于更新統(tǒng)計(jì)結(jié)果表,其中,更新后的所述 統(tǒng)計(jì)結(jié)果表中包含所述事件以及所述事件對(duì)應(yīng)的所述第一時(shí)間段;信息交互單元,用于在 接收到請(qǐng)求裝置發(fā)送的挖掘分析請(qǐng)求的情況下,將更新后的所述統(tǒng)計(jì)結(jié)果表返回給所述請(qǐng) 求裝置。
[0017] 在本發(fā)明實(shí)施例中,采用獲取待檢測數(shù)據(jù),其中,待檢測數(shù)據(jù)至少包括事件和事件 的發(fā)生時(shí)間;按照預(yù)先劃分的時(shí)間段,依據(jù)事件的發(fā)生時(shí)間確定事件所屬的第一時(shí)間段,并 得到事件的第一時(shí)間段集合,其中,第一時(shí)間段集合中包含第一時(shí)間段;根據(jù)第一時(shí)間段集 合,計(jì)算第一時(shí)間段的支持度,其中,支持度用于表示在第一時(shí)間段發(fā)生事件的頻繁程度; 若支持度大于預(yù)設(shè)閾值,確定第一時(shí)間段為事件的頻繁發(fā)生時(shí)間段的方式,通過按照預(yù)先 劃分的時(shí)間段來分析事件發(fā)生的頻繁程度,達(dá)到了基于過去一段時(shí)間內(nèi)用待檢測數(shù)據(jù),得 到各種事件在各個(gè)時(shí)間段內(nèi)的頻繁發(fā)生的時(shí)間段集合,以幫助用戶尋找事件的發(fā)生規(guī)律的 目的,從而實(shí)現(xiàn)了幫助用戶尋找各種類型事件的發(fā)生規(guī)律的技術(shù)效果,進(jìn)而解決了由于現(xiàn) 有技術(shù)僅是對(duì)用戶的原始日志數(shù)據(jù)進(jìn)行簡單計(jì)數(shù)分析造成無法提供事件發(fā)生規(guī)律的技術(shù) 問題。
【附圖說明】
[0018] 此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0019] 圖1是根據(jù)本發(fā)明實(shí)施例的一種可選的事件的檢測方法的流程示示意圖;
[0020] 圖2是根據(jù)本發(fā)明實(shí)施例的另一種可選的事件的檢測方法的流程示意圖;
[0021] 圖3是根據(jù)本發(fā)明實(shí)施例的一種可選的事件的檢測裝置的結(jié)構(gòu)示意圖;
[0022] 圖4是根據(jù)本發(fā)明實(shí)施例的一種可選的獲取單元的結(jié)構(gòu)示意圖;
[0023] 圖5是根據(jù)本發(fā)明實(shí)施例的另一種可選的事件的檢測裝置的結(jié)構(gòu)示意圖;
[0024] 圖6是根據(jù)本發(fā)明實(shí)施例的一種可選的計(jì)算單元的結(jié)構(gòu)示意圖;
[0025] 圖7是根據(jù)本發(fā)明實(shí)施例的又一種可選的事件的檢測裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0026] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的 附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是 本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人 員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范 圍。
[0027] 需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"、"第 二"等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤4送?,術(shù)語"包括"和"具有"以及他們的任何變形,意圖在于覆 蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于 清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品 或設(shè)備固有的其它步驟或單元。
[0028] 實(shí)施例1
[0029] 根據(jù)本發(fā)明實(shí)施例,提供了一種事件的檢測方法的方法實(shí)施例,需要說明的是,在 附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且, 雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示 出或描述的步驟。
[0030] 圖1是根據(jù)本發(fā)明實(shí)施例的事件的檢測方法,如圖1所示,該方法包括如下步驟:
[0031] 步驟S102,獲取待檢測數(shù)據(jù),其中,待檢測數(shù)據(jù)至少包括事件和事件的發(fā)生時(shí)間。
[0032] 可選地,