获取待检测数据可以包括:提取用户的原始日志数据;将原始日志数据进 行归一化,得到多个对象,其中,多个对象包含用于表示事件类型的字段;根据字段,将多个 对象分为不同类型的待检测数据。
[0033] 其中,将原始日志数据进行归一化后,得到统一的PO jo(Plain Ordinary Java Object,简单的Java对象)对象。每一个pojo对象都包含一个用于表示事件类型的字段,根 据这个字段,将Pojo对象进行分类,分为各种不同类型的待检测数据。具体地,待检测数据 的类型可以包括木马、网络蠕虫、网络扫描以及拒绝服务攻击等。
[0034] 步骤S104,按照预先划分的时间段,依据事件的发生时间确定事件所属的第一时 间段,并得到事件的第一时间段集合,其中,第一时间段集合中包含第一时间段。
[0035] 可选地,在按照预先划分的时间段,依据发生时间确定事件所属的第一时间段之 前,方法还包括:
[0036] 步骤S10,根据预定的时间周期的长度以及时间段的长度,将各个时间周期划分为 多个时间段。
[0037] 其中,为了统计每一类时间在每个时间周期内的哪些时间段发生。可以根据用户 预定的时间周期的长度以及时间段的长度,将时间周期划分为多个时间段,对于每一类事 件,根据事件的发生时间,统计该类事件在每个时间周期内的分布情况,即事件都在每个时 间周期内的哪些时间段发生。当所有事件都被统计完成后,会得到每种类型事件在每个时 间周期内的分布时间段集合(例如上述的第一时间段集合)。
[0038]例如,已知某天上午9:15、14:45出现了拒绝服务攻击。假定预定的时间周期的长 度为一天,时间段的长度为一小时,那么一天就被分为24个时间段,分别为0:00-1:00、1: 00-2:00、…、23:00-0:00。因为该拒绝服务攻击的事件发生时间分别落在该天中9:00-10: 00与14:00-15:00这两个时间段内,所以该拒绝服务的事件的第一时间段集合为{9:00-10: 00,14 :00-15:00}〇
[0039]步骤S106,根据第一时间段集合,计算第一时间段的支持度,其中,支持度用于表 示在第一时间段发生事件的频繁程度。
[0040] 可选地,根据第一时间段集合,计算第一时间段的支持度包括:统计各个时间周期 内的第一时间段集合的数量,以及统计各个时间周期内的时间段集合的总数;计算第一时 间段集合的数量与时间段集合的总数的比值,得到第一时间段的支持度。
[0041] 例如,假设有三个时间段集合,分别为:03,(:}、{8,(:,〇}、{4,〇},其中厶,8,(:,〇分 别表示一个时间段,每个时间段集合表示的是由时间段组成的集合,例如时间段集合{ABC} 表不的是由时间段A、B、C组成的一个集合。
[0042]从上述三个时间段集合中可以看出,时间段A出现在第一个时间段集合和第三个 时间段集合中,且出现的次数为两次,或者说包含时间段A的时间段集合有两个,时间段A的 支持度等于包含它的时间段集合的数量除以时间段集合的总数,即2/3。同理可计算出,时 间段B、时间段C的支持度也为2/3。
[0043]步骤S108,若支持度大于预设阈值,确定第一时间段为事件的频繁发生时间段。 [0044]在计算出第一时间段的支持度后,若支持度大于预设阈值,则确定第一时间段为 事件的频繁发生时间段。进一步地,还可以将大于预设阈值且时间段数目最多的时间段集 合返回给用户,本实施例对此不作限定。
[0045] 本实施例的事件的检测方法,基于过去一段时间内用户的原始日志数据,为用户 提供其系统内各种事件在时间周期内的频繁发生时间段,以帮助用户寻找各种类型事件的 发生规律。同时,采用分天的数据预处理方式,缩短用户等待检测结果的时间。
[0046] 通过上述步骤,可以实现按照预先划分的时间段来分析事件发生的频繁程度,达 到了基于过去一段时间内用待检测数据,得到各种事件在各个时间段内的频繁发生的时间 段集合,以帮助用户寻找事件的发生规律的目的,从而实现了帮助用户寻找各种类型事件 的发生规律的技术效果,进而解决了由于现有技术仅是对用户的原始日志数据进行简单计 数分析造成无法提供事件发生规律的技术问题。
[0047] 可选地,在确定第一时间段为事件的频繁发生时间段之后,方法还包括:
[0048] 步骤S20,更新统计结果表,其中,更新后的统计结果表中包含事件以及事件对应 的第一时间段。
[0049] 步骤S22,在接收到请求装置发送的挖掘分析请求的情况下,将更新后的统计结果 表返回给请求装置。
[0050] 其中,在统计各类事件在每个时间周期内各个时间段分布情况之后,可以统计结 果存入数据库,即将事件以及事件对应的第一时间段更新至统计结果表中。当接收到请求 装置发送的挖掘分析请求时,可以将更新后的统计结果表返回给请求装置。
[0051] 需要补充的是,该统计结果表中可以仅存储被确定为频繁发生时间段的时间段 (即只存储用户感兴趣的分析结果),也可以将各个时间段都更新至统计结果表中,并对频 繁发生时间段进行标记,其均应在本申请的保护范围之内。
[0052] 下面,如图2所示,对本申请的如何确定事件的频繁发生时间段的过程进行示例性 描述:
[0053] 步骤A,获取事件发生的时间段集合。
[0054] 其中,如何获取时间发生的时间段集合,上述实施例中已进行详细描述,此处不再 赘述。
[0055] 步骤B,扫描各个时间段集合,找出支持度大于预设阈值的时间段集合U。
[0056] 其中,对于支持度小于预设阈值的时间段集合,直接忽略掉;对于支持度大于预设 阈值的时间段集合,挑选出来组成下一步的候选集,即时间段集合Lu
[0057] 步骤C,K = 2。
[0058] 其中,K表示一个计数的变量,值为自然数,初始值为2。
[0059] 步骤D ,Liw是否为空。
[0060]其中,Lk表示由元素个数为K的集合组成的集合,也就是Lk是一个集合,其元素也是 一个集合(该集合元素个数为K)。
[0061 ]步骤E,由Liw中的元素两两组合,生成集合Tk。
[0062] 其中,Tk表示由元素个数为K的集合组成的集合,也就是Tk是一个集合,其元素也是 一个集合(该集合元素个数为K)。
[0063] 可选地,Uw中的元素两两组合是指对于元素个数为η的集合,两两组合就是从该 集合中任取两个元素组合,总共有η (η-1) /2种组合。
[0064 ]步骤F,将集合Tk中包含的不在Lim中的元素剔除,生成集合Ck。
[0065]其中,Ck表示由元素个数为K的集合组成的集合,也就是Ck是一个集合,其元素也是 一个集合(该集合元素个数为Κ)。
[0066 ]步骤G,从Ck中选出支持度大于预设阈值的时间段集合,生成Lk。
[0067] 其中,如果生成的Lk不为空,则返回结果Lk。
[0068] 步骤 H,K++。
[0069] 其中,执行步骤H之后返回步骤D。
[0070] 步骤I,返回结果Lk。
[0071] 步骤J,结束。
[0072] 在本发明实施例中,通过按照预先划分的时间段来分析事件发生的频繁程度,达 到了基于过去一段时间内用待检测数据,得到各种事件在各个时间段内的频繁发生的时间 段集合,以帮助用户寻找事件的发生规律的目的,从而实现了帮助用户寻找各种类型事件 的发生规律的技术效果,进而解决了由于现有技术仅是对用户的原始日志数据进行简单计 数分析造成无法提供事件发生规律的技术问题。
[0073] 实施例2
[0074] 根据本发明实施例,还提供了一种事件的检测装置,如图3所示,该事件的检测装 置包括:获取单元302、确定单元304、计算单元306以及检测单元308。
[0075] 其中,获取单元302,用于获取待检测数据,其中,所述待检测数据至少包括事件和 事件的发生时间;确定单元304,用于按照预先划分的时间段,依据所述事件的发生时间确 定所述事件所属的第一时间段,并得到所述事件的第一时间段集合,其中,所述第一时间段 集合中包含所述第一时间段;计算单元306,用于根据所述第一时间段集合,计算所述第一 时间段的支持度,其中,所述支持度用于表示在所述第一时间段发生所述事件的频繁程度; 检测单元308,用于若所述支持度大于预设阈值,确定所述第一时间段为所述事件的频繁发 生时间段。
[0076]可选地,如图4所示,所述获取单元3