[发明专利]一种确定冗余离散原始警报的方法和系统

权利要求书

1.一种用于从非结构化传输中数据中确定冗余离散原始警报的方法，所述方法由计算机系统执行，所述方法包括：

生成可移动大小可变时间窗口并使用所述可移动大小可变时间窗口来涵盖所述非结构化传输中数据中的第一组离散原始警报，其中所述传输中数据按时间顺序排列，并且其中每一个离散原始警报包括数据分量和时间分量；

使用所述大小可变时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名；

处理所生成的数字签名，对所生成的每一个数字签名的处理包括：

将所生成的数字签名与存储在元定义数据库中的数字签名相匹配，如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配，则将匹配的数字签名添加到严重性阈值数据库，而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名，则将不匹配的数字签名添加到所述元定义数据库，

其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名，将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报；以及

将具有不匹配的数字签名的原始警报标记为非冗余原始警报，并且聚合、压缩并加密非冗余原始警报，

其中生成所述可移动大小可变时间窗口包括：动态地改变所述可移动大小可变时间窗口的大小，其中所述可移动大小可变时间窗口的大小在非冗余原始警报与冗余原始警报之比高于预定比率的情况下增大。

2.根据权利要求1所述的方法，其特征在于，进一步包括：

生成所述可移动大小可变时间窗口并移动所述可移动大小可变时间窗口以涵盖所述非结构化传输中数据中的第二组离散原始警报，其中所述第二组离散原始警报在时间顺序中晚于所述第一组离散原始警报；

使用所述大小可变时间窗口内所涵盖的每一个离散原始警报中所包含的所述数据分量来为每一个离散原始警报生成数字签名；

处理所生成的数字签名，对所生成的每一个数字签名的处理包括：

将所生成的数字签名与存储在元定义数据库中的数字签名相匹配，如果所生成的数字签名与存储在所述元定义数据库中的数字签名匹配，则将匹配的数字签名添加到严重性阈值数据库，而如果所生成的数字签名不匹配存储在所述元定义数据库中的数字签名，则将不匹配的数字签名添加到所述元定义数据库，

其中对于所述严重性阈值数据库中的具有超过预定发生计数阈值的发生计数的数字签名，将此类数字签名标记为冗余数字签名并将与冗余数字签名相关联的原始警报标记为冗余原始警报；以及

将具有不匹配的数字签名的原始警报标记为非冗余原始警报，并且聚合、压缩并加密非冗余原始警报。

3.如权利要求1或2中的任一项所述的方法，其特征在于，被标记为冗余数字签名的数字签名用指示所述数字签名何时已被标记为冗余的时间戳来进一步标记，其中在从所述时间戳开始的时间段后，将冗余数字签名从所述严重性阈值数据库中移除。

4.根据权利要求1或2中的任一项所述的方法，其特征在于，进一步包括：

将冗余原始警报从所述非结构化传输中数据中移除。

5.根据权利要求1或2中的任一项所述的方法，其特征在于，为每一个离散原始警报生成所述数字签名包括：

使用密码散列函数来生成所述数字签名，其中所述数字签名包括散列值。

6.如权利要求5所述的方法，其特征在于，所述密码散列函数包括256位安全散列算法(SHA)。