事件的检测方法及装置的制造方法
【技术领域】
[0001] 本发明涉及互联网领域,具体而言,涉及一种事件的检测方法及装置。
【背景技术】
[0002] 随着计算机、智能终端的普及,网络得到飞速发展,导致网络环境变的越来越复 杂。当今的企业和组织在IT信息安全领域所面临的局面也越来越严峻。网络中的各种网络 设备、安全设备、主机、应用和业务系统在工作中也将会产生越来越多的安全事件和日志。 大量的日志数据背后隐藏着丰富有用的信息,因此对日志数据进行挖掘分析,发现蕴含在 大量日志数据背后的有用知识显得非常有必要。
[0003] 目前,传统的日志相关产品对日志数据的处理大多数偏重于审计,对日志的分析 往往集中在单维单属性值上,从而发现不了日志数据在多维多属性上蕴含的信息,往往日 志数据在多维多属性值上隐含有更多有用的知识,要想发掘日志数据在多维多属性值上隐 含的知识,例如,分析某一事件是否频繁发生,需要用到数据挖掘的方法。
[0004] 现有技术中,通常是对用户的原始日志数据进行分析,这种基于简单计数的审计 类日志产品很难提供向用户提供事件发生的规律,这使得数据挖掘很难取得进展。
[0005] 针对上述的问题,目前尚未提出有效的解决方案。
【发明内容】
[0006] 本发明实施例提供了一种事件的检测方法及装置,以至少解决由于现有技术仅是 对用户的原始日志数据进行简单计数分析造成无法提供事件发生规律的技术问题。
[0007] 根据本发明实施例的一个方面,提供了一种事件的检测方法,包括:获取待检测数 据,其中,所述待检测数据至少包括事件和事件的发生时间;按照预先划分的时间段,依据 所述事件的发生时间确定所述事件所属的第一时间段,并得到所述事件的第一时间段集 合,其中,所述第一时间段集合中包含所述第一时间段;根据所述第一时间段集合,计算所 述第一时间段的支持度,其中,所述支持度用于表示在所述第一时间段发生所述事件的频 繁程度;若所述支持度大于预设阈值,确定所述第一时间段为所述事件的频繁发生时间段。
[0008] 进一步地,所述获取待检测数据包括:提取用户的原始日志数据;将所述原始日志 数据进行归一化,得到多个对象,其中,所述多个对象包含用于表示事件类型的字段;根据 所述字段,将所述多个对象分为不同类型的所述待检测数据。
[0009] 进一步地,在所述按照预先划分的时间段,依据所述发生时间确定所述事件所属 的第一时间段之前,所述方法还包括:根据预定的时间周期的长度以及所述时间段的长度, 将各个所述时间周期划分为多个所述时间段。
[0010] 进一步地,所述根据所述第一时间段集合,计算所述第一时间段的支持度包括:统 计各个所述时间周期内的所述第一时间段集合的数量,以及统计各个所述时间周期内的时 间段集合的总数;计算所述第一时间段集合的数量与所述时间段集合的总数的比值,得到 所述第一时间段的所述支持度。
[0011] 进一步地,在所述确定所述第一时间段为所述事件的频繁发生时间段之后,所述 方法还包括:更新统计结果表,其中,更新后的所述统计结果表中包含所述事件以及所述事 件对应的所述第一时间段;在接收到请求装置发送的挖掘分析请求的情况下,将更新后的 所述统计结果表返回给所述请求装置。
[0012] 根据本发明实施例的另一方面,还提供了一种事件的检测装置,包括:获取单元, 用于获取待检测数据,其中,所述待检测数据至少包括事件和事件的发生时间;确定单元, 用于按照预先划分的时间段,依据所述事件的发生时间确定所述事件所属的第一时间段, 并得到所述事件的第一时间段集合,其中,所述第一时间段集合中包含所述第一时间段;计 算单元,用于根据所述第一时间段集合,计算所述第一时间段的支持度,其中,所述支持度 用于表示在所述第一时间段发生所述事件的频繁程度;检测单元,用于若所述支持度大于 预设阈值,确定所述第一时间段为所述事件的频繁发生时间段。
[0013] 进一步地,所述获取单元包括:提取模块,用于提取用户的原始日志数据;归一化 模块,用于将所述原始日志数据进行归一化,得到多个对象,其中,所述多个对象包含用于 表示事件类型的字段;分类模块,用于根据所述字段,将所述多个对象分为不同类型的所述 待检测数据。
[0014] 进一步地,所述装置还包括:划分单元,用于根据预定的时间周期的长度以及所述 时间段的长度,将各个所述时间周期划分为多个所述时间段。
[0015] 进一步地,所述计算单元包括:统计模块,用于统计各个所述时间周期内的所述第 一时间段集合的数量,以及统计各个所述时间周期内的时间段集合的总数;计算模块,用于 计算所述第一时间段集合的数量与所述时间段集合的总数的比值,得到所述第一时间段的 所述支持度。
[0016] 进一步地,所述装置还包括:更新单元,用于更新统计结果表,其中,更新后的所述 统计结果表中包含所述事件以及所述事件对应的所述第一时间段;信息交互单元,用于在 接收到请求装置发送的挖掘分析请求的情况下,将更新后的所述统计结果表返回给所述请 求装置。
[0017] 在本发明实施例中,采用获取待检测数据,其中,待检测数据至少包括事件和事件 的发生时间;按照预先划分的时间段,依据事件的发生时间确定事件所属的第一时间段,并 得到事件的第一时间段集合,其中,第一时间段集合中包含第一时间段;根据第一时间段集 合,计算第一时间段的支持度,其中,支持度用于表示在第一时间段发生事件的频繁程度; 若支持度大于预设阈值,确定第一时间段为事件的频繁发生时间段的方式,通过按照预先 划分的时间段来分析事件发生的频繁程度,达到了基于过去一段时间内用待检测数据,得 到各种事件在各个时间段内的频繁发生的时间段集合,以帮助用户寻找事件的发生规律的 目的,从而实现了帮助用户寻找各种类型事件的发生规律的技术效果,进而解决了由于现 有技术仅是对用户的原始日志数据进行简单计数分析造成无法提供事件发生规律的技术 问题。
【附图说明】
[0018] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0019] 图1是根据本发明实施例的一种可选的事件的检测方法的流程示示意图;
[0020] 图2是根据本发明实施例的另一种可选的事件的检测方法的流程示意图;
[0021] 图3是根据本发明实施例的一种可选的事件的检测装置的结构示意图;
[0022] 图4是根据本发明实施例的一种可选的获取单元的结构示意图;
[0023] 图5是根据本发明实施例的另一种可选的事件的检测装置的结构示意图;
[0024] 图6是根据本发明实施例的一种可选的计算单元的结构示意图;
[0025] 图7是根据本发明实施例的又一种可选的事件的检测装置的结构示意图。
【具体实施方式】
[0026] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的 附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人 员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范 围。
[0027] 需要说明的是,本发明的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用 的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或 描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于覆 盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于 清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品 或设备固有的其它步骤或单元。
[0028] 实施例1
[0029] 根据本发明实施例,提供了一种事件的检测方法的方法实施例,需要说明的是,在 附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且, 虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤。
[0030] 图1是根据本发明实施例的事件的检测方法,如图1所示,该方法包括如下步骤:
[0031] 步骤S102,获取待检测数据,其中,待检测数据至少包括事件和事件的发生时间。
[0032] 可选地,