攻击事件的过滤方法和系统与流程

本发明涉及计算机软件技术领域，特别涉及一种攻击事件的过滤方法和系统。

背景技术：

实时攻击消息包含各种目的IP和源IP对应的攻击事件，在实时攻击消息展示的过程中，往往出现部分相同的目的IP和源IP对应的实时攻击事件占有较高的比重，出现频率较高，导致展示攻击事件的效果过于集中，且由于展示界面的性能瓶颈，在一定时间内无法展示更多的攻击事件，比如每秒钟只能展示10条攻击事件。

因此，如果按照单一的每秒展示10条攻击事件方法，则展示界面往往展示出现重复的攻击消息和频率较高的攻击消息，造成展现界面的展示效果过于单一，不利于展现丰富的攻击内容。

技术实现要素：

本发明提供一种攻击事件的过滤方法和系统，用于提高展示界面展示内容的丰富性。

为实现上述目的，本发明提供了一种攻击事件的过滤方法，该方法包括：

接收攻击事件，所述攻击事件包括事件信息；

判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，具有相同的事件信息的攻击事件对应于一个引用计数；

若判断出接收到的攻击事件的事件信息对应的引用计数小于设定数量时，将接收到的攻击事件的事件信息对应的引用计数加1以及存储接收到的攻击事件；

若判断出接收到的攻击事件的事件信息对应的引用计数等于设定数量时，删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件，存储接收到的攻击事件。

可选地，所述事件信息包括目的信息、源信息和事件类型。

可选地，所述目的信息包括目的客户，所述源信息包括源国家。

可选地，所述判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量之前还包括：

判断接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于或等于第一设定阈值；若判断出接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量等于第一设定阈值时，将一个具有与接收到的攻击事件的目的信息相同的目的信息的攻击事件的事件信息对应的引用计数减1以及删除该具有与接收到的攻击事件的目的信息相同的目的信息的攻击事件，并执行所述判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤；若判断出接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于第一设定阈值时，执行所述判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤。

可选地，所述存储接收到的攻击事件包括：将接收到的攻击事件存储入该攻击事件的事件信息的目的信息对应的攻击事件列表中，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

可选地，所述删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件包括：删除接收到的攻击事件的目的信息对应的攻击事件列表中的具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件中第一个存储的攻击事件，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

可选地，所述删除一个具有与接收到的攻击事件的目的信息相同的目的信息的攻击事件包括：删除接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件，具有相同的目的信息的攻击事件存储于一个攻击事件列表；

可选地，所述方法还包括：将接收到的攻击事件的事件信息对应的引用计数减1。

可选地，该方法还包括：

在当前定时时间段，依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件，当读取的攻击事件的数量等于第二设定阈值时保存当前读取的攻击事件的指针并停止读取攻击事件；

在下一定时时间段，根据保存的当前读取的攻击事件的指针，从该当前读取的攻击事件的目的信息的下一个目的信息开始依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件。

可选地，该方法还包括：

根据建立的内存存储模型设置事件信息与引用计数的对应关系；所述内存存储模型包括第一级存储结构、位于所述第一级存储结构下的第二级存储结构和位于所述第二级存储结构下的第三级存储结构，所述第一级存储结构表示目的信息，所述第二级存储结构表示源信息，所述第三级存储结构表示事件类型。

为了实现上述目的，本发明还提供一种攻击事件的过滤系统，包括：

接收模块，用于接收攻击事件，所述攻击事件包括事件信息；

第一判断模块，用于判断所述接收模块接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，具有相同的事件信息的攻击事件对应于一个引用计数，若判断出所述接收模块接收到的攻击事件的事件信息对应的引用计数小于设定数量时触发存储模块；

存储模块，用于存储接收到的攻击事件；

第一删除模块，用于若所述第一判断模块判断出所述接收模块接收到的攻击事件的事件信息对应的引用计数小于设定数量时，删除一个具有与所述接收模块接收到的攻击事件的事件信息相同的事件信息的攻击事件，并触发所述存储模块；

计数模块，用于若所述第一判断模块判断出所述接收模块接收到的攻击事件的事件信息对应的引用计数小于设定数量时，将所述接收模块接收到的攻击事件的事件信息对应的引用计数加1。

可选地，所述事件信息包括目的信息、源信息和事件类型。

可选地，所述目的信息包括目的客户，所述源信息包括源国家。

可选地，该系统还包括：

第二判断模块，用于判断所述接收模块接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于或等于第一设定阈值，若所述第二判断模块判断出所述接收模块接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于第一设定阈值时触发所述第一判断模块执行所述判断所述接收模块接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤；

第二删除模块，用于若所述第二判断模块判断出所述接收模块接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量等于第一设定阈值时，删除一个具有与所述接收模块接收到的攻击事件的目的信息相同的目的信息的攻击事件，并触发所述第一判断模块执行所述判断所述接收模块接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤；

可选地，所述计数模块还用于将一个具有与所述接收模块接收到的攻击事件的目的信息相同的目的信息的攻击事件的事件信息对应的引用计数减1。

可选地，所述存储模块具体用于将所述接收模块接收到的攻击事件存储入该攻击事件的事件信息的目的信息对应的攻击事件列表中，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

可选地，所述第一删除模块具体用于删除所述接收模块接收到的攻击事件的目的信息对应的攻击事件列表中的具有与所述接收模块接收到的攻击事件的事件信息相同的事件信息的攻击事件中第一个存储的攻击事件，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

可选地，所述第二删除模块具体用于删除所述接收模块接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件，具有相同的目的信息的攻击事件存储于一个攻击事件列表；

可选地，所述计数模块还用于将所述接收模块接收到的攻击事件的事件信息对应的引用计数减1。

可选地，该系统还包括：

展示模块，用于在当前定时时间段，依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件，当读取的攻击事件的数量等于第二设定阈值时保存当前读取的攻击事件的指针并停止读取攻击事件；或者用于在下一定时时间段，根据保存的当前读取的攻击事件的指针，从该当前读取的攻击事件的目的信息的下一个目的信息开始依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件。

可选地，该系统还包括：

预设模块，用于根据建立的内存存储模型设置事件信息与引用计数的对应关系；所述内存存储模型包括第一级存储结构、位于所述第一级存储结构下的第二级存储结构和位于所述第二级存储结构下的第三级存储结构，所述第一级存储结构表示目的信息，所述第二级存储结构表示源信息，所述第三级存储结构表示事件类型。

本发明具有以下有益效果：

本发明提供的攻击事件的过滤方法和系统中，通过判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，实现对具有相同事件信息的攻击事件进行数量的配置，从而可展示出现频率较高和出现频率较低的攻击事件，以避免在对攻击事件进行展示时展示效果过于单一，从而提高了展示界面展示内容的丰富性。

附图说明

图1为本发明实施例一提供的一种攻击事件的过滤方法的流程示意图；

图2为本发明实施例二提供的一种攻击事件的过滤方法流程示意图；

图3为本发明实施例三提供的一种攻击事件的过滤系统的结构示意图；

图4为本发明实施例四提供的一种攻击事件的过滤系统的结构示意图。

具体实施方式

为使本领域的技术人员更好地理解本发明的技术方案，下面结合附图对本发明提供的攻击事件的过滤方法和系统进行详细描述。

图1为本发明实施例一提供的一种攻击事件的过滤方法的流程示意图，如图1所示，该方法包括：

步骤S11、接收攻击事件，攻击事件包括事件信息。

步骤S12、判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，具有相同的事件信息的攻击事件对应于一个引用计数，若小于则执行步骤S13；若等于则执行步骤S14。

步骤S13、将接收到的攻击事件的事件信息对应的引用计数加1以及存储接收到的攻击事件。

需要说明的是，在执行步骤S13之后，可继续从步骤S11开始执行，以等待新的攻击事件的到来。

步骤S14、删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件，存储接收到的攻击事件。

需要说明的是，在执行步骤S14之后，可继续从步骤S11开始执行，以等待新的攻击事件的到来。

本实施例提供的攻击事件的过滤方法中，通过判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，实现对具有相同事件信息的攻击事件进行数量的配置，从而可展示出现频率较高和出现频率较低的攻击事件，以避免在对攻击事件进行展示时展示效果过于单一，从而提高了展示界面展示内容的丰富性。

图2为本发明实施例二提供的一种攻击事件的过滤方法的流程示意图。如图2所示，该方法包括：

步骤S21、接收攻击事件，攻击事件包括事件信息。

攻击事件指源IP对目的IP的资产所造成的一些非法和恶意的行为。本实施例中的攻击事件为实时攻击事件，实时攻击事件是指利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击行为，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信心等的目的。

本实施例中，事件信息包括目的信息、源信息和事件类型，优选地，目的信息包括目的客户，源信息包括源国家。需要说明的是，客户是指根据不同的源IP或目的IP，按照配置选项和预先建立的IP段与客户的映射关系确定出的IP段所属的客户，则目的客户指目的IP所属的客户。源国家指根据源IP，通过查询地址库查询出的该源IP所属的国家。

表1为常见的攻击事件类型的名称和id列表，如下表1所示：

表1

但本实例中的事件类型不仅限于表1中的事件类型，此处不再一一列举。

步骤S22、判断接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于或等于第一设定阈值，若等于则执行步骤S23，若小于则执行步骤S24。

其中，接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量指的是已存储的攻击事件中与当前接收到的攻击事件具有相同目的信息的攻击事件的总数量。换言之，此处攻击事件的数量为已存储的所有具有同一目的信息的攻击事件的数量。

其中，第一设定阈值可根据需要进行设置。第一设定阈值限定了能够存储的具备同一目的信息的攻击事件的上限数量，换言之，能够存储的同一目的信息的攻击事件的数量不能超过该第一设定阈值。

本步骤中，若判断出接收到的攻击事件的事件信息中目的信息对应的攻击事件的数量小于第一设定阈值时，表明已存储的具备该目的信息的攻击事件的数量未达到上限值；若判断出接收到的攻击事件的事件信息中目的信息对应的攻击事件的数量等于第一设定阈值时，表明已存储的具备该目的信息的攻击事件的数量已达到上限值。

步骤S23、将一个具有与接收到的攻击事件的目的信息相同的目的信息的攻击事件的事件信息对应的引用计数减1以及删除该具有与接收到的攻击事件的目的信息相同的目的信息的攻击事件，并执行步骤S24。

本实施例中，具有相同的目的信息的攻击事件可存储于一个攻击事件列表中，该攻击事件列表对应于一个目的信息。该攻击事件列表中存储的均是具有相同的目的信息的攻击事件。且每个攻击事件列表中允许存储的攻击事件的数量的上限值为第一设定阈值。

优选地，步骤S23包括：将接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件的事件信息对应的引用计数减1以及删除接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件。本实施例中，优选地，在执行步骤S23时，先执行将接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件的事件信息对应的引用计数减1的步骤，而后再执行删除接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件的步骤。

攻击事件列表中存储的攻击事件是按接收的时间顺序进行存储，接收时间最早的攻击事件存储在队列的队首，后续以此类推。本步骤中优选地删除位于队首的攻击事件，即：删除攻击事件列表中接收时间最早的攻击事件。

此种情况下，由于已存储的与接收到的攻击事件的目的信息相同的攻击事件的数量已达到上限值，因此若想要继续存储具有与该目的信息相同的目的信息的攻击事件，则首先需要将该目的信息对应的攻击事件列表中位于队首的攻击事件删除，以使新的攻击事件能够进行存储。

本实施例中，可根据预先建立的内存存储模型预先设置事件信息与引用计数的对应关系。

其中，内存存储模型包括第一级存储结构、位于第一级存储结构下的第二级存储结构和位于第二级存储结构下的第三级存储结构。优选地，内存存储模型包括多个第一级存储结构、位于每个第一级存储结构下的多个第二级存储结构和位于每个第二级存储结构下的多个第三级存储结构。第一级存储结构可以为目的信息，第二级存储结构可以为源信息，第三级存储结构就可以为事件类型。

表2中示出了一种内存存储模型，如下表2所示：

表2

如上表2所示，某个目的信息下包括两个源信息，每个源信息下均包括两个事件类型，表2仅示出了内存存储模型的一个示例，本发明中的存储结构并不仅限于此，本发明对于每一级存储结构所表示事件信息的数量不作任何限制，可根据需要进行设置。

本实施例中，每个攻击事件的事件信息均有一个引用计数与之对应，而具有相同事件信息的攻击事件对应一个相同的引用计数。此处需要建立事件信息与引用计数的对应关系。

本实施例中，一个目的信息和位于该目的信息下的一个源信息以及位于该源信息下的一个事件类型构成一个三个维度的容器。优选地，每个三个维度的容器均与一个引用计数存在对应关系。

本实施例中，当接收到一条攻击事件时，可根据事件信息与引用计数的对应关系查询出该攻击事件的事件信息对应的引用计数。

步骤S24、判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，具有相同的事件信息的攻击事件对应于一个引用计数，若小于则执行步骤S25，若等于则执行步骤S26。

本步骤中，若判断出接收到的攻击事件的事件信息对应的引用计数小于设定数量时，表明已存储的具备该事件信息的攻击事件的数量未达到上限值；若判断出接收到的攻击事件的事件信息对应的引用计数等于设定数量时，表明已存储的具备该事件信息的攻击事件的数量已达到上限值。

步骤S25、将接收到的攻击事件的事件信息对应的引用计数加1以及存储接收到的攻击事件，并继续执行步骤27。

本实施例中，优选地，若判断接收到的攻击事件的事件信息对应的引用计数小于设定数量时，先执行将接收到的攻击事件的事件信息对应的引用计数加1的步骤，后执行存储接收到的攻击事件的步骤。

步骤S26、删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件，存储接收到的攻击事件，并继续执行步骤27。

可以理解的是，若判断出接收到的攻击事件的事件信息对应的引用计数等于设定数量时，表明已存储的具备该事件信息的攻击事件的数量已达到上限值，则当接收到一条具有与该事件信息相同的事件信息的攻击事件时，需要将已存储的攻击事件中与接收到的攻击事件的事件信息相同的攻击事件中的一条攻击事件删除，以使新接收到的攻击事件能够存储于对应的攻击事件列表中。

需要说明的是，具有相同事件信息的攻击事件是指目的信息、源信息和事件类型均相同的攻击事件。

具体地，步骤S26包括：删除接收到的攻击事件的目的信息对应的攻击事件列表中的具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件中第一个存储的攻击事件。其中，第一个存储的攻击事件是指在攻击事件列表中具有相同事件信息的攻击事件中存储时间最早的攻击事件。

本实施例中，优选地，在删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件之前还包括：将接收到的攻击事件的事件信息对应的引用计数减1。在存储接收到的攻击事件之前还包括：将接收到的攻击事件的事件信息对应的引用计数加1。因此在执行步骤S26之后引用计数不变。也就是说，若判断出接收到的攻击事件的事件信息对应的引用计数等于设定数量时，先执行将接收到的攻击事件的事件信息对应的引用计数减1的步骤，而后执行删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件步骤，再执行将接收到的攻击事件的事件信息对应的引用计数加1的步骤，最后执行存储接收到的攻击事件的步骤。

在步骤S25和步骤S26中，存储接收到的攻击事件包括：将接收到的攻击事件存储入该攻击事件的事件信息的目的信息对应的攻击事件列表中。其中，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

本实施例中，假定每个目的信息对应的攻击事件列表中存储的攻击事件的数量为M个，而存储的攻击事件中不同的目的信息的总数量为N个，则在所有的攻击事件列表中只允许缓存N*M条攻击事件。

步骤S27、展示攻击事件。

本实施例中，通过定时器设置定时时间段。

步骤S271、在当前定时时间段，依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件，当读取的攻击事件的数量等于第二设定阈值时保存当前读取的攻击事件的指针并停止读取攻击事件。

例如，在当前定时时间段内，以某个目的信息为读取攻击事件的起点，从该目的信息对应的攻击事件中读取一条攻击事件并展示该攻击事件，从该目的信息的下一个目的信息对应的攻击事件中读取一条攻击事件并展示该攻击事件，以此类推，遍历所有目的信息依次读取和展示。在遍历所有目的信息过程中，当读取的攻击事件数量达到第二设定阈值时，保存当前读取的目的信息对应的攻击事件的指针并停止读取攻击事件。在遍历所有目的信息过程中，在遍历一次所有目的信息之后，当读取的攻击事件数量还未达到第二设定阈值时继续从遍历的第一个目的信息进行读取和展示操作，此处可从读取并展示第一个目的信息中的另一条攻击事件开始。

当前定时时间结束时，若读取和展示的攻击事件的数量并未达到第二设定阈值，则保存当前读取的攻击事件的指针并停止读取攻击事件，执行步骤S272。

需要说明的是，第二设定阈值只是为确定读取攻击事件的数量的周期上限而设置，本实施例对此不作任何限定。

步骤S272、在下一定时时间段，根据保存的当前读取的攻击事件的指针，从该当前读取的攻击事件的目的信息的下一个目的信息开始依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件。

例如，在下一个定时时间段内，以上一个定时时间段内读取的最后一个目的信息的下一个目的信息开始读取，从该目的信息对应的攻击事件中读取一条攻击事件并展示该攻击事件，从该目的信息的下一个目的信息对应的攻击事件中继续读取一条攻击事件并展示该攻击事件，以此类推，遍历所有目的信息依次读取和展示，若读取的攻击事件数量达到第二设定阈值，保存当前读取的目的信息对应的攻击事件的指针并停止读取攻击事件。在遍历所有目的信息过程中，在遍历一次所有目的信息之后，当读取的攻击事件数量还未达到第二设定阈值时，继续从第一个目的信息进行读取和展示操作，此处可从读取并展示第一个目的信息中的另一条攻击事件开始。本实施例中，第二设定阈值可根据实际需要进行配置，本发明对此不作任何限定。

本实施例中，优选地，在遍历一次所有目的信息之后，当读取的攻击事件数量还未达到第二设定阈值时，从第一个目的信息对应的攻击事件中按照先后顺序进行攻击事件的读取。例如，假设第一个目的信息对应的攻击事件有10条，分别标记为第一条攻击事件、第二条攻击事件、第三条攻击事件、…、第十条攻击事件，若在第一次遍历所有目的信息并分别从每个目的信息对应的攻击事件中各读取一条攻击事件时，从第一个目的信息对应的攻击事件中的第一条攻击事件开始读取，则在第一次遍历完所有目的信息之后，若读取的攻击事件的数量还未达到第二设定阈值，则从第一个目的信息对应的攻击事件中的第二条攻击事件开始读取，进行第二次遍历目的信息读取攻击事件，以此类推，对于其他目的信息对应的攻击事件亦按照先后顺序原则进行读取，直至读取的攻击事件的数量达到第二设定阈值。

需要说明的是，在某个定时时间段内，如果遍历读取完所有的目的信息，而所读取的攻击事件的数量并未达到第二设定阈值，则可根据目的信息并参照上述相同的读取方法进行循环读取和展示，此处不再赘述。

本实施例中，展示攻击事件为实时攻击展示，实时攻击展示是指在世界地图上以经度和纬度作为坐标点，从攻击源头坐标点到攻击目标坐标点之间画一条带有方向的线条，使用动画的形式进行展示。

步骤S28、删除已展示的攻击事件。

在本步骤中，具体地，每读取并展示一条攻击事件，则将该攻击事件的事件信息对应的引用计数减1。若该攻击事件的事件信息对应的引用计数减至0时，则将所有具备该事件信息的攻击事件删除，从而释放其所占用的攻击事件列表空间，以使释放的攻击事件列表空间可以被再次使用。

本实施例中，步骤S21至步骤S28均可多次循环执行，以实现持续展示攻击事件。

本实施例提供的攻击事件的过滤方法中，通过判断判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，以实现对具有相同的事件信息的攻击事件进行数量的配置，从而展示出现频率较高和出现频率较低的攻击事件，以避免在对攻击事件进行展示时展示效果过于单一，从而提高了展示界面展示内容的丰富性；本实施例还通过根据建立的内存存储模型设置事件信息与引用计数的对应关系，在将攻击事件离散化的前提下，更好的保证攻击事件的连续性；并通过攻击事件列表，使得存储攻击事件的层次分明，进一步提高了实时攻击事件展示界面内容的丰富性；本实施例还通过在一定定时时间段内对攻击事件进行读取并展示，从而保证了攻击事件的展示时效性；本实施例提供的攻击事件的过滤方法，构建了一个展示效果友好、层次分明的实时攻击事件的过滤框架，有效提高了实时攻击消息展示界面的丰富性。

图3为本发明实施例三提供的一种攻击事件的过滤系统的结构示意图，如图3所示，该系统包括：接收模块31、第一判断模块32、存储模块33、第一删除模块34和计数模块35。

接收模块31用于接收攻击事件，攻击事件包括事件信息；第一判断模块32用于判断接收模块31接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，具有相同的事件信息的攻击事件对应于一个引用计数，若所述第一判断模块32判断出所述接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时触发存储模块33；存储模块33用于存储接收到的攻击事件；第一删除模块34用于若第一判断模块32判断出接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时，删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件，并触发存储模块33；计数模块35用于若第一判断模块32判断出接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时，将接收到的攻击事件的事件信息对应的引用计数加1。

本实施例提供的攻击事件的过滤系统，用于实现本发明实施例一提供攻击事件的过滤方法，具体实现过程和详细说明可参见本发明实施例一提供攻击事件的过滤方法，此处不再赘述。

本实施例提供的攻击事件的过滤系统中，通过判断判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，以实现对具有相同的事件信息的攻击事件进行数量的配置，从而展示出现频率较高和出现频率较低的攻击事件，以避免在对攻击事件进行展示时展示效果过于单一，从而提高了展示界面展示内容的丰富性。

图4为本发明实施例四提供的一种攻击事件的过滤系统的结构示意图，如图4所示，该系统包括：接收模块31、第一判断模块32、存储模块33、第一删除模块34和计数模块35。

接收模块31用于接收攻击事件，攻击事件包括事件信息；第一判断模块32用于判断接收模块31接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，具有相同的事件信息的攻击事件对应于一个引用计数，若所述第一判断模块32判断出所述接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时触发存储模块33；存储模块33用于存储接收到的攻击事件；第一删除模块34用于若第一判断模块32判断出接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时，删除一个具有与接收到的攻击事件的事件信息相同的事件信息的攻击事件，并触发存储模块33；计数模块35用于若第一判断模块32判断出接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时，将接收模块31接收到的攻击事件的事件信息对应的引用计数加1。

本实施例中，优选地，若所述第一判断模块32判断出所述接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时，先由计数模块35执行将接收到的攻击事件的事件信息对应的引用计数加1的步骤，再由存储模块33执行存储接收到的攻击事件的步骤。

本实施例中，优选地，计数模块35还用于将接收模块31接收到的攻击事件的事件信息对应的引用计数减1。

本实施例中，优选地，若第一判断模块32判断出接收模块31接收到的攻击事件的事件信息对应的引用计数小于设定数量时，先由计数模块35执行将接收模块31接收到的攻击事件的事件信息对应的引用计数减1的步骤，而后由第一删除模块34执行删除一个具有与接收模块31接收到的攻击事件的事件信息相同的事件信息的攻击事件的步骤。

优选地，事件信息包括目的信息、源信息和事件类型。

优选地，目的信息包括目的客户，源信息包括源国家。

优选地，该系统还包括：第二判断模块36和第二删除模块37。第二判断模块36用于判断接收模块31接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于或等于第一设定阈值，若第二判断模块36判断出接收模块31接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量小于第一设定阈值时触发第一判断模块32执行判断接收模块31接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤；第二删除模块37用于若第二判断模块36判断出接收模块31接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量等于第一设定阈值时，删除一个具有与接收模块31接收到的攻击事件的目的信息相同的目的信息的攻击事件，并触发第一判断模块32执行判断接收模块31接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤。

优选地，计数模块35还用于将将一个具有与接收模块31接收到的攻击事件的目的信息相同的目的信息的攻击事件的事件信息对应的引用计数减1。

本实施例中，优选地，若第二判断模块36判断出接收模块31接收到的攻击事件的事件信息中的目的信息对应的攻击事件的数量等于第一设定阈值时，先由计数模块35执行将一个具有与接收模块31接收到的攻击事件的目的信息相同的目的信息的攻击事件的事件信息对应的引用计数减1的步骤，而后由第二删除模块37执行删除一个具有与接收模块31接收到的攻击事件的目的信息相同的目的信息的攻击事件的步骤。

具体地，存储模块33具体用于将接收模块31接收到的攻击事件存储入该攻击事件的事件信息的目的信息对应的攻击事件列表中，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

具体地，第一删除模块34具体用于删除接收模块31接收到的攻击事件的目的信息对应的攻击事件列表中的具有与接收模块31接收到的攻击事件的事件信息相同的事件信息的攻击事件中第一个存储的攻击事件，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

具体地，第二删除模块37具体用于删除接收模块31接收到的攻击事件的目的信息对应的攻击事件列表中位于队首的攻击事件，具有相同的目的信息的攻击事件存储于一个攻击事件列表。

优选地，该系统还包括：展示模块38。展示模块38用于在当前定时时间段，依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件，当读取的攻击事件的数量等于第二设定阈值时保存当前读取的攻击事件的指针并停止读取攻击事件；或者用于在下一定时时间段，根据保存的当前读取的攻击事件的指针，从该当前读取的攻击事件的目的信息的下一个目的信息开始依次读取并展示每个目的信息对应的攻击事件列表中的攻击事件。

优选地，该系统还包括：预设模块39。预设模块39用于根据建立的内存存储模型设置事件信息与引用计数的对应关系；内存存储模型包括第一级存储结构、位于第一级存储结构下的第二级存储结构和位于第二级存储结构下的第三级存储结构，第一级存储结构可以为目的信息，第二级存储结构可以为源信息，第三级存储结构可以为事件类型。

本实施例中，当接收到一条攻击事件时，可根据预设模块39中设置的事件信息与引用计数的对应关系查询出接收模块31接收到的攻击事件的事件信息对应的引用计数，从而触发第一判断模块32执行判断接收模块31接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量的步骤。

本实施例中，攻击事件的过滤系统用于实现本发明实施例二提供的攻击事件的过滤方法，具体实现过程和详细说明可参见本发明实施例二提供的攻击事件的过滤方法，此处不在赘述。

本实施例提供的攻击事件的过滤系统中，通过判断判断接收到的攻击事件的事件信息对应的引用计数小于或等于设定数量，以实现对具有相同的事件信息的攻击事件进行数量的配置，从而展示出现频率较高和出现频率较低的攻击事件，以避免在对攻击事件进行展示时展示效果过于单一，从而提高了展示界面展示内容的丰富性；本实施例还通过根据建立的内存存储模型设置事件信息与引用计数的对应关系，在将攻击事件离散化的前提下，更好的保证攻击事件的连续性；并通过攻击事件列表，使得存储攻击事件的层次分明，进一步提高了实时攻击事件展示界面内容的丰富性；本实施例还通过在一定定时时间段内对攻击事件进行读取并展示，从而保证了攻击事件的展示时效性；本实施例提供的攻击事件的过滤系统，构建了一个展示效果友好、层次分明的实时攻击事件的过滤框架，有效提高了实时攻击消息展示界面的丰富性。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。