[发明专利]事件的检测方法及装置

说明书

本发明公开了一种事件的检测方法及装置。其中，该方法包括：获取待检测数据，其中，所述待检测数据至少包括事件和事件的发生时间；按照预先划分的时间段，依据所述事件的发生时间确定所述事件所属的第一时间段，并得到所述事件的第一时间段集合，其中，所述第一时间段集合中包含所述第一时间段；根据所述第一时间段集合，计算所述第一时间段的支持度，其中，所述支持度用于表示在所述第一时间段发生所述事件的频繁程度；若所述支持度大于预设阈值，确定所述第一时间段为所述事件的频繁发生时间段。本发明解决了由于现有技术仅是对用户的原始日志数据进行简单计数分析造成无法提供事件发生规律的技术问题。

技术领域

本发明涉及互联网领域，具体而言，涉及一种事件的检测方法及装置。

背景技术

随着计算机、智能终端的普及，网络得到飞速发展，导致网络环境变的越来越复杂。当今的企业和组织在IT信息安全领域所面临的局面也越来越严峻。网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中也将会产生越来越多的安全事件和日志。大量的日志数据背后隐藏着丰富有用的信息，因此对日志数据进行挖掘分析，发现蕴含在大量日志数据背后的有用知识显得非常有必要。

目前，传统的日志相关产品对日志数据的处理大多数偏重于审计，对日志的分析往往集中在单维单属性值上，从而发现不了日志数据在多维多属性上蕴含的信息，往往日志数据在多维多属性值上隐含有更多有用的知识，要想发掘日志数据在多维多属性值上隐含的知识，例如，分析某一事件是否频繁发生，需要用到数据挖掘的方法。

现有技术中，通常是对用户的原始日志数据进行分析，这种基于简单计数的审计类日志产品很难提供向用户提供事件发生的规律，这使得数据挖掘很难取得进展。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种事件的检测方法及装置，以至少解决由于现有技术仅是对用户的原始日志数据进行简单计数分析造成无法提供事件发生规律的技术问题。

根据本发明实施例的一个方面，提供了一种事件的检测方法，包括：获取待检测数据，其中，所述待检测数据至少包括事件和事件的发生时间；按照预先划分的时间段，依据所述事件的发生时间确定所述事件所属的第一时间段，并得到所述事件的第一时间段集合，其中，所述第一时间段集合中包含所述第一时间段；根据所述第一时间段集合，计算所述第一时间段的支持度，其中，所述支持度用于表示在所述第一时间段发生所述事件的频繁程度；若所述支持度大于预设阈值，确定所述第一时间段为所述事件的频繁发生时间段。

进一步地，所述获取待检测数据包括：提取用户的原始日志数据；将所述原始日志数据进行归一化，得到多个对象，其中，所述多个对象包含用于表示事件类型的字段；根据所述字段，将所述多个对象分为不同类型的所述待检测数据。

进一步地，在所述按照预先划分的时间段，依据所述发生时间确定所述事件所属的第一时间段之前，所述方法还包括：根据预定的时间周期的长度以及所述时间段的长度，将各个所述时间周期划分为多个所述时间段。

进一步地，所述根据所述第一时间段集合，计算所述第一时间段的支持度包括：统计各个所述时间周期内的所述第一时间段集合的数量，以及统计各个所述时间周期内的时间段集合的总数；计算所述第一时间段集合的数量与所述时间段集合的总数的比值，得到所述第一时间段的所述支持度。

进一步地，在所述确定所述第一时间段为所述事件的频繁发生时间段之后，所述方法还包括：更新统计结果表，其中，更新后的所述统计结果表中包含所述事件以及所述事件对应的所述第一时间段；在接收到请求装置发送的挖掘分析请求的情况下，将更新后的所述统计结果表返回给所述请求装置。