,本文描述的方法可在发现模式的同时避免数据和计算集中的瓶颈。
[0050] 通信网络112可使用有线通信、无线通信、或其结合。此外,通信网络112可包括多 个子通信网络,例如,数据网络、无线网络、电话网络,等。运样的网络可包括例如:公共数据 网络,例如,互联网、局域网(LAN)、广域网(WAN)、城域网(MAN)、有线电视网络、光纤网络、其 结合,等等。在某些示例中,无线网络可包括蜂窝网络、卫星通信、无线LAN,等。此外,通信网 络112可采用各设备之间的直接网络链接的形式。各种通信结构和基础设施可用于实现通 信网络。
[0051] 通过示例的方式,各节点和/或其他设备通过经由通信协议或多个协议接入通信 网络112来与彼此和其他组件通信。协议可为定义通信网络112的节点如何与其它节点交互 的一组规则。此外,网络节点之间的通信可通过交换离散的数据包或发送消息来实现。包可 包括与协议关联的头信息(例如,关于要联系的网络节点的位置的信息)W及有效载荷信 息。在一些示例中,节点可经由独立于其他设备的网络通信。
[0052] 诸如适合于获取和执行指令的中央处理单元(CPU)或微处理器、和/或电子电路之 类的处理器,可被配置为实施本文描述的模块132、134、142、144、146、152、154、156、162、 164、166、172、174中的任意模块的功能。在某些场景下,指令和/或其他信息(例如,模式、事 件、和/或项信息)可包括在存储器中。此外,可由各节点提供输入/输出接口。例如,像键盘、 传感器、触摸界面、鼠标、麦克风等运样的输入设备可用于接收来自节点周围环境的输入。 此外,像显示器运样的输出设备可用于为用户呈现信息。输出设备的示例包括扬声器、显示 设备、放大器,等等。此外,在某些实施例中,一些组件可用于实现本文描述的其他组件的功 能。
[0053] 例如,各模块中的每个可包括包含用于实现本文描述的功能的电子电路的硬件设 备。此外或作为替代,每个模块可被实现为编码在计算设备的机器可读存储介质上且可由 至少一个处理器执行的一系列指令。应注意,在一些实施例中,一些模块被实现为硬件设 备,而其他模块被实现为可执行指令。
[0054] 图3是根据一个示例的用于基于分布式模式发现的规则来生成单项项集的方法的 流程图。一个或多个计算设备可用于实现方法300。此外,用于执行方法300的组件可分布于 多个设备中。方法300可W W存储在机器可读存储介质上的可执行指令的形式、和/或W电 子电路的形式来实现。
[0055] 事务项节点102接收来自收集器的事务数据。如上所述的,事务项节点102的项对 模块134根据事务数据确定多个单项和事务标识符对(302)。在304处,事务项节点102向第 二节点(例如,单项计数节点104)集输出单项和事务标识符对。
[0056] 单项计数节点104接收单项和事务标识符对。单项计数节点104确定单项的事务集 的事务大小是否大于阔值。如果是,则对应的单项被标记为对应的频繁单项,且生成对应的 单项项集(306),如上面进一步详述的。向第=节点(例如,事务项集生成器节点106)集发送 对应的单项项集和对应的事务集。
[0057] 图4是根据一个示例的用于确定分布式模式发现的新候选项集的方法的流程图。 系统100的节点可用于实现方法400。此外,用于执行方法400的组件可分布于多个设备中。 方法400可W W存储在机器可读存储介质上的可执行指令的形式、和/或W电子电路的形式 来实现。
[0058] 事务项集生成器节点106可从一个或多个单项计数节点104接收单项项集。各节点 中的一个可基于负载均衡接收特定的项集。在402处,事务项集生成器节点106可维护事务-频繁项集表。每个节点可维护其自身的表,和/或可使用公共资源(例如,数据库)。
[0059] 事务项集生成器节点106可确定对应的单项项集是否是新的单项项集、或是否具 有小于阔值的对应事务集的事务集大小。如果是,则在404处,事务项集生成器节点106可建 立新的候选项集,如上面详述的。在406处,(例如,向项集计数器节点108)输出新的候选项 集和对应的事务标识符。
[0060] 图5是根据一个示例的用于输出包括频繁项集的元组的方法的流程图。系统100的 节点可用于实现方法500。此外,用于执行方法500的组件可分布于多个设备中。方法500可 WW存储在机器可读存储介质上的可执行指令的形式、和/或W电子电路的形式来实现。 [0061 ]在502处,项集计数器节点108可从方法400接收新的候选项集。可使用STORM或映 射/归约负载均衡方案来确定接收新的候选项集的节点。在504处,合并模块164将新的候选 项集事务标识符与候选项集的对应事务集合并,W生成新的元组,如之前详述的。频繁项集 模块166检查新的元组,W基于一组规则确定新的元组是否使候选项集成为频繁项集。在一 个示例中,规则可为:如果对应的事务集大小大于Cl,则项集是频繁项集。在506处,如果存 在频繁项集,则例如向一组模式输出节点110输出元组和频繁项集。
[0062] 图6是根据一个示例的用于根据包括频繁项集的元组来确定所发现的模式的方法 的流程图。系统100的节点可用于实现方法600。此外,用于执行方法600的组件可分布于多 个设备中。方法600可W W存储在机器可读存储介质上的可执行指令的形式、和/或W电子 电路的形式来实现。
[0063] 在602处,一组模式输出节点110接收从方法500输出的元组和频繁项集。单独的节 点可基于像SORTM架构或映射/归约方法运样的负载均衡系统接收元组和频繁项集。
[0064] 在一个示例中,对于所有进入的[项集]-[事务集]对,如果项集的大小大于且 其对应的事务集大小大于Cl,则其被认为是将输出的所发现的模式。模式模块174可生成与 所发现的模式关联的模式数据供输出。在604处,输出所发现的模式。输出可为向一个或多 个SIEM、一个或多个其他的安全设备(例如,入侵保护系统)、数据库等输出。在一些示例中, 模式数据被格式化为对应的输出类型。
[0065] 图7是根据一个示例的能够建立新候选项集的计算设备的框图。计算设备700包括 例如处理器710、和包括用于建立新候选项集的指令722、724、726的机器可读存储介质720。 计算设备700可为例如笔记本电脑、服务器、工作站、台式机、或其他计算设备。
[0066] 处理器710可为至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、 至少一个图形处理单元(GPU)、适用于获取和执行存储在机器可读存储介质720中的指令的 其他硬件设备、或其结合。例如,处理器710可包括一个忍片上的多个核,包括跨多个忍片的 多个核、(例如,如果计算设备700包括多个节点设备)跨多个设备的多个核、或其结合。处理 器710可获取、解码、W及执行指令722、724、726,^实现诸如方法400之