獲取待檢測數(shù)據(jù)可以包括:提取用戶的原始日志數(shù)據(jù);將原始日志數(shù)據(jù)進 行歸一化��,得到多個對象��,其中�,多個對象包含用于表示事件類型的字段;根據(jù)字段,將多個 對象分為不同類型的待檢測數(shù)據(jù)��。
[0033] 其中��,將原始日志數(shù)據(jù)進行歸一化后����,得到統(tǒng)一的PO jo(Plain Ordinary Java Object,簡單的Java對象)對象。每一個pojo對象都包含一個用于表示事件類型的字段����,根 據(jù)這個字段,將Pojo對象進行分類��,分為各種不同類型的待檢測數(shù)據(jù)�����。具體地�����,待檢測數(shù)據(jù) 的類型可以包括木馬�����、網(wǎng)絡(luò)蠕蟲�、網(wǎng)絡(luò)掃描以及拒絕服務(wù)攻擊等�。
[0034] 步驟S104,按照預(yù)先劃分的時間段,依據(jù)事件的發(fā)生時間確定事件所屬的第一時 間段�,并得到事件的第一時間段集合,其中���,第一時間段集合中包含第一時間段���。
[0035] 可選地�����,在按照預(yù)先劃分的時間段�,依據(jù)發(fā)生時間確定事件所屬的第一時間段之 前����,方法還包括:
[0036] 步驟S10,根據(jù)預(yù)定的時間周期的長度以及時間段的長度,將各個時間周期劃分為 多個時間段�����。
[0037] 其中���,為了統(tǒng)計每一類時間在每個時間周期內(nèi)的哪些時間段發(fā)生����?��?梢愿鶕?jù)用戶 預(yù)定的時間周期的長度以及時間段的長度�,將時間周期劃分為多個時間段,對于每一類事 件���,根據(jù)事件的發(fā)生時間�����,統(tǒng)計該類事件在每個時間周期內(nèi)的分布情況�����,即事件都在每個時 間周期內(nèi)的哪些時間段發(fā)生��。當所有事件都被統(tǒng)計完成后���,會得到每種類型事件在每個時 間周期內(nèi)的分布時間段集合(例如上述的第一時間段集合)。
[0038]例如�����,已知某天上午9:15���、14:45出現(xiàn)了拒絕服務(wù)攻擊。假定預(yù)定的時間周期的長 度為一天����,時間段的長度為一小時�����,那么一天就被分為24個時間段����,分別為0:00-1:00���、1: 00-2:00�、…���、23:00-0:00��。因為該拒絕服務(wù)攻擊的事件發(fā)生時間分別落在該天中9:00-10: 00與14:00-15:00這兩個時間段內(nèi)��,所以該拒絕服務(wù)的事件的第一時間段集合為{9:00-10: 00�����,14 :00-15:00}〇
[0039]步驟S106,根據(jù)第一時間段集合��,計算第一時間段的支持度����,其中,支持度用于表 示在第一時間段發(fā)生事件的頻繁程度���。
[0040] 可選地����,根據(jù)第一時間段集合����,計算第一時間段的支持度包括:統(tǒng)計各個時間周期 內(nèi)的第一時間段集合的數(shù)量,以及統(tǒng)計各個時間周期內(nèi)的時間段集合的總數(shù);計算第一時 間段集合的數(shù)量與時間段集合的總數(shù)的比值���,得到第一時間段的支持度�����。
[0041] 例如���,假設(shè)有三個時間段集合,分別為:03���,(:}���、{8,(:����,〇}、{4,〇}��,其中厶����,8,(:���,〇分 別表示一個時間段����,每個時間段集合表示的是由時間段組成的集合����,例如時間段集合{ABC} 表不的是由時間段A、B����、C組成的一個集合��。
[0042]從上述三個時間段集合中可以看出����,時間段A出現(xiàn)在第一個時間段集合和第三個 時間段集合中�,且出現(xiàn)的次數(shù)為兩次,或者說包含時間段A的時間段集合有兩個�����,時間段A的 支持度等于包含它的時間段集合的數(shù)量除以時間段集合的總數(shù)���,即2/3����。同理可計算出�����,時 間段B�、時間段C的支持度也為2/3。
[0043]步驟S108,若支持度大于預(yù)設(shè)閾值��,確定第一時間段為事件的頻繁發(fā)生時間段。 [0044]在計算出第一時間段的支持度后�,若支持度大于預(yù)設(shè)閾值,則確定第一時間段為 事件的頻繁發(fā)生時間段�。進一步地,還可以將大于預(yù)設(shè)閾值且時間段數(shù)目最多的時間段集 合返回給用戶�����,本實施例對此不作限定��。
[0045] 本實施例的事件的檢測方法��,基于過去一段時間內(nèi)用戶的原始日志數(shù)據(jù)����,為用戶 提供其系統(tǒng)內(nèi)各種事件在時間周期內(nèi)的頻繁發(fā)生時間段��,以幫助用戶尋找各種類型事件的 發(fā)生規(guī)律����。同時,采用分天的數(shù)據(jù)預(yù)處理方式�,縮短用戶等待檢測結(jié)果的時間。
[0046] 通過上述步驟�����,可以實現(xiàn)按照預(yù)先劃分的時間段來分析事件發(fā)生的頻繁程度,達 到了基于過去一段時間內(nèi)用待檢測數(shù)據(jù)���,得到各種事件在各個時間段內(nèi)的頻繁發(fā)生的時間 段集合�����,以幫助用戶尋找事件的發(fā)生規(guī)律的目的�����,從而實現(xiàn)了幫助用戶尋找各種類型事件 的發(fā)生規(guī)律的技術(shù)效果���,進而解決了由于現(xiàn)有技術(shù)僅是對用戶的原始日志數(shù)據(jù)進行簡單計 數(shù)分析造成無法提供事件發(fā)生規(guī)律的技術(shù)問題。
[0047] 可選地��,在確定第一時間段為事件的頻繁發(fā)生時間段之后����,方法還包括:
[0048] 步驟S20,更新統(tǒng)計結(jié)果表,其中�,更新后的統(tǒng)計結(jié)果表中包含事件以及事件對應(yīng) 的第一時間段。
[0049] 步驟S22,在接收到請求裝置發(fā)送的挖掘分析請求的情況下���,將更新后的統(tǒng)計結(jié)果 表返回給請求裝置���。
[0050] 其中���,在統(tǒng)計各類事件在每個時間周期內(nèi)各個時間段分布情況之后,可以統(tǒng)計結(jié) 果存入數(shù)據(jù)庫�����,即將事件以及事件對應(yīng)的第一時間段更新至統(tǒng)計結(jié)果表中����。當接收到請求 裝置發(fā)送的挖掘分析請求時���,可以將更新后的統(tǒng)計結(jié)果表返回給請求裝置��。
[0051] 需要補充的是���,該統(tǒng)計結(jié)果表中可以僅存儲被確定為頻繁發(fā)生時間段的時間段 (即只存儲用戶感興趣的分析結(jié)果),也可以將各個時間段都更新至統(tǒng)計結(jié)果表中�����,并對頻 繁發(fā)生時間段進行標記,其均應(yīng)在本申請的保護范圍之內(nèi)��。
[0052] 下面��,如圖2所示�����,對本申請的如何確定事件的頻繁發(fā)生時間段的過程進行示例性 描述:
[0053] 步驟A��,獲取事件發(fā)生的時間段集合���。
[0054] 其中�,如何獲取時間發(fā)生的時間段集合�,上述實施例中已進行詳細描述,此處不再 贅述����。
[0055] 步驟B,掃描各個時間段集合�����,找出支持度大于預(yù)設(shè)閾值的時間段集合U��。
[0056] 其中,對于支持度小于預(yù)設(shè)閾值的時間段集合���,直接忽略掉;對于支持度大于預(yù)設(shè) 閾值的時間段集合���,挑選出來組成下一步的候選集,即時間段集合Lu
[0057] 步驟C�����,K = 2�����。
[0058] 其中����,K表示一個計數(shù)的變量�����,值為自然數(shù)����,初始值為2�。
[0059] 步驟D ,Liw是否為空�����。
[0060]其中���,Lk表示由元素個數(shù)為K的集合組成的集合���,也就是Lk是一個集合,其元素也是 一個集合(該集合元素個數(shù)為K)��。
[0061 ]步驟E���,由Liw中的元素兩兩組合���,生成集合Tk。
[0062] 其中�����,Tk表示由元素個數(shù)為K的集合組成的集合����,也就是Tk是一個集合�����,其元素也是 一個集合(該集合元素個數(shù)為K)��。
[0063] 可選地�,Uw中的元素兩兩組合是指對于元素個數(shù)為η的集合�����,兩兩組合就是從該 集合中任取兩個元素組合�����,總共有η (η-1) /2種組合�。
[0064 ]步驟F,將集合Tk中包含的不在Lim中的元素剔除���,生成集合Ck。
[0065]其中�,Ck表示由元素個數(shù)為K的集合組成的集合,也就是Ck是一個集合����,其元素也是 一個集合(該集合元素個數(shù)為Κ)���。
[0066 ]步驟G,從Ck中選出支持度大于預(yù)設(shè)閾值的時間段集合��,生成Lk����。
[0067] 其中,如果生成的Lk不為空�����,則返回結(jié)果Lk��。
[0068] 步驟 H����,K++。
[0069] 其中�����,執(zhí)行步驟H之后返回步驟D�����。
[0070] 步驟I,返回結(jié)果Lk�。
[0071] 步驟J,結(jié)束�����。
[0072] 在本發(fā)明實施例中�����,通過按照預(yù)先劃分的時間段來分析事件發(fā)生的頻繁程度�,達 到了基于過去一段時間內(nèi)用待檢測數(shù)據(jù),得到各種事件在各個時間段內(nèi)的頻繁發(fā)生的時間 段集合��,以幫助用戶尋找事件的發(fā)生規(guī)律的目的�,從而實現(xiàn)了幫助用戶尋找各種類型事件 的發(fā)生規(guī)律的技術(shù)效果,進而解決了由于現(xiàn)有技術(shù)僅是對用戶的原始日志數(shù)據(jù)進行簡單計 數(shù)分析造成無法提供事件發(fā)生規(guī)律的技術(shù)問題��。
[0073] 實施例2
[0074] 根據(jù)本發(fā)明實施例�����,還提供了一種事件的檢測裝置�����,如圖3所示����,該事件的檢測裝 置包括:獲取單元302、確定單元304�、計算單元306以及檢測單元308。
[0075] 其中�����,獲取單元302,用于獲取待檢測數(shù)據(jù)����,其中,所述待檢測數(shù)據(jù)至少包括事件和 事件的發(fā)生時間���;確定單元304,用于按照預(yù)先劃分的時間段�����,依據(jù)所述事件的發(fā)生時間確 定所述事件所屬的第一時間段���,并得到所述事件的第一時間段集合,其中,所述第一時間段 集合中包含所述第一時間段;計算單元306,用于根據(jù)所述第一時間段集合����,計算所述第一 時間段的支持度,其中�,所述支持度用于表示在所述第一時間段發(fā)生所述事件的頻繁程度; 檢測單元308�,用于若所述支持度大于預(yù)設(shè)閾值,確定所述第一時間段為所述事件的頻繁發(fā) 生時間段��。
[0076]可選地����,如圖4所示,所述獲取單元3