[发明专利]一种事件识别方法及装置

说明书

本发明实施例提供了一种事件识别方法及装置，应用于数据处理技术领域，上述方法包括：在未被确定为危险事件的事件中，确定待识别事件。根据待识别事件发生的总次数、首次发生时间与最近一次发生时间，计算单位时长内发生待识别事件的第一平均次数。基于第二平均次数，预测待识别事件在单位时长内实际发生第一平均次数的概率，若概率小于基准概率，且第一平均次数大于第二平均次数，则确定待识别事件为危险事件，其中，第二平均次数为：对应不同目标地址与不同事件类型的事件在单位时长内发生的平均次数的平均值。应用本发明实施例可以提高事件识别的效率。

技术领域

本发明涉及数据处理技术领域，特别是涉及一种事件识别方法及装置。

背景技术

在网络运行过程中，会发生大量与网络安全相关的事件。上述事件中可能包含实际上对网络安全造成影响的危险事件，如僵尸网络攻击、木马程序攻击等，以及并未对网络安全造成影响的误报事件。为了保障网络的安全性，网络管理员可以对所发生的事件进行处理，识别其中包含的危险事件与误报事件，并对危险事件进行杀毒、故障排除等操作。

但在网络中发生的与网络安全相关的事件数量较多的情况下，网络管理员需要依次对各个事件进行处理，识别其中的危险事件需要花费较长的时间，导致事件识别的效率较低。

发明内容

本发明实施例的目的在于提供一种事件识别方法及装置，以提高事件识别的效率。具体技术方案如下：

第一方面，本发明实施例提供了一种事件识别方法，所述方法包括：

在未被确定为危险事件的事件中，确定待识别事件，其中，所述待识别事件为：对应同一目标地址、且属于同一事件类型的事件，所述目标地址为：预设的目的地址或预设的源地址；

根据所述待识别事件发生的总次数、首次发生时间与最近一次发生时间，计算单位时长内发生所述待识别事件的第一平均次数；

基于第二平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第二平均次数，则确定所述待识别事件为危险事件，其中，所述第二平均次数为：对应不同目标地址与不同事件类型的事件在所述单位时长内发生的平均次数的平均值。

本发明的一个实施例中，所述在未被确定为危险事件的事件中，确定待识别事件，包括：

在未被确定为危险事件的事件中，确定所对应的源地址属于预设网段的待识别事件，其中，所述预设网段为：预设的外网网段或预设的内网网段；

所述基于第二平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第二平均次数，则确定所述待识别事件为危险事件，包括：

在所述预设网段为预设的外网网段的情况下，基于第三平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第三平均次数，则确定所述待识别事件为危险事件，其中，所述第三平均次数为：对应不同目标地址与不同事件类型的、属于所述外网网段的事件在所述单位时长内发生的平均次数的平均值；

在所述预设网段为预设的内网网段的情况下，基于第四平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第四平均次数，则确定所述待识别事件为危险事件，其中，所述第四平均次数为：对应不同目标地址与不同事件类型的、属于所述内网网段的事件在所述单位时长内发生的平均次数的平均值。

本发明的一个实施例中，在所述预设网段为预设的内网网段，且所述目标地址为预设的目的地址的情况下，在所述在未被确定为危险事件的事件中，确定所对应的源地址属于预设网段的待识别事件之后，还包括：