CN110109957B - 流式事件关联匹配方法及装置 - Google Patents

流式事件关联匹配方法及装置 Download PDF

Info

Publication number
CN110109957B
CN110109957B CN201910252111.4A CN201910252111A CN110109957B CN 110109957 B CN110109957 B CN 110109957B CN 201910252111 A CN201910252111 A CN 201910252111A CN 110109957 B CN110109957 B CN 110109957B
Authority
CN
China
Prior art keywords
expression
event
expressions
sub
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910252111.4A
Other languages
English (en)
Other versions
CN110109957A (zh
Inventor
覃永靖
程诗尧
王彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN201910252111.4A priority Critical patent/CN110109957B/zh
Publication of CN110109957A publication Critical patent/CN110109957A/zh
Application granted granted Critical
Publication of CN110109957B publication Critical patent/CN110109957B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24568Data stream processing; Continuous queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2457Query processing with adaptation to user needs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例提供的一种流式事件关联匹配方法及装置,所述方法包括:获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。

Description

流式事件关联匹配方法及装置
技术领域
本发明实施例涉及信息处理技术领域,尤其涉及一种流式事件关联匹配方法及装置。
背景技术
在计算机信息处理领域,流式事件为采用流式传输的控制数据流中的事件。每个事件是可以被控件识别的操作日志。在流式事件处理过程中,有时需要从存储的数据流中筛选出所需或所去除的事件。
筛选时采用关联表达式作为匹配条件,但当关联表达式过于复杂且数据流的量过大时,会影响匹配效率,导致不能快速筛选出所需的事件。
发明内容
针对现有技术存在的问题,本发明实施例提供一种流式事件关联匹配方法及装置。
本发明实施例提供一种流式事件关联匹配方法,包括:
获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
本发明实施例提供一种流式事件关联匹配装置,包括:
获取模块,用于获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
调用模块,用于获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
匹配模块,用于根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述流式事件关联匹配方法的步骤。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述流式事件关联匹配方法的步骤。
本发明实施例提供的流式事件关联匹配方法及装置,通过获取关联表达式,根据关联表达式确定关键子表达式,并在确定新事件是关联表达式中一个事件时,调用已构建的对应于关联表达式中另一事件在关键子表达式中属性所有值的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明流式事件关联匹配方法实施例流程图;
图2为本发明两类事件在关键子表达式下的哈希表示意图;
图3为本发明两类事件在无关键子表达式的哈希表示意图;
图4为本发明新获取的A类事件与B类事件集的匹配示意图;
图5为本发明新获取的A类事件与B类事件集的成功匹配示意图;
图6为本发明新获取的A类事件与B类事件集的未成功匹配示意图;
图7为本发明流式事件关联匹配方法实施例流程图;
图8为本发明流式事件关联匹配方法实施例流程图;
图9为本发明关键路径的示意图;
图10为本发明流式事件特征关联装置实施例结构图;
图11为本发明流式事件特征关联装置实施例结构图;
图12为本发明电子设备实施例结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明一实施例提供的一种流式事件关联匹配方法,包括:
S11、获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式。
针对步骤S11,需要说明的是,在本发明实施例中,流式事件为采用流式传输的数据流中的事件。事件关联匹配是判断两个事件是否满足指定的关联表达式。如“A类事件的源IP等于B类事件的目的IP,且A类事件的源端口等于80,或者B类事件的目的端口等于22,且A类事件发生时间小于B类事件发生时间”为一个关联表达式。所述关联表达式为包含至少两个子表达式的表达式。其中,A和B是关联表达式中的两个事件。源IP、目的IP、源端口、目的端口、发生时间均为属性。“A类事件的源IP等于B类事件的目的IP”、“A类事件的源端口等于80,或者B类事件的目的端口等于22”和“A类事件发生时间小于B类事件发生时间”均为所述两个事件中相同或不同属性之间的关系。
S12、获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表。
针对步骤S12,需要说明的是,在本发明实施例中,当获取新事件之前,由于已经获取到了关键(key)子表达式,而关键子表达式是逻辑关系“==”的表达式。每个子表达式都存在两个事件的属性。由此需要从已获取的事件中构建对应于所述关联表达式中两个事件在所述关键子表达式中属性所有值的数据集哈希表。
如图2所示,存在关键子表达式“A.m==B.n”,则取A类事件中m属性作为key构建存储A类事件的哈希表,取B类事件中n属性作为key构建存储B类事件的哈希表。
另外,当未确定到关键子表达式时,如图3所示,构建两个列表中分别存储A类事件和B类事件的数据集。
在本发明实施例中,所述新事件为以当前为起点获取到的新的事件。每个事件具有对应的基本属性。在这里,基本属性如端口号、IP地址等设备信息。通过基本属性可以确定事件本身。如满足端口为G11的事件为事件A。故当获取到新事件后,可通过事件的基本属性确定新事件是否为所述关联表达式中其中一个事件。
若新事件不是关联表达式中任何一个事件时,则无需对新事件在数据集中进行特征匹配。
若新事件是关联表达式中其中一个事件,则调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表。此时调用到的数据集哈希表便为数据量较小的数据集。
S13、根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
针对步骤S13,需要说明的是,在本发明实施例中,获得数据量较小的数据集后,根据所述关联表达式在所述数据集中完成其他子表达式对所述新事件的匹配。
如图4所示,设关联表达式为“A.m==B.n”,设新事件属于A类事件,取新事件的m属性值去存储B类事件的哈希表中匹配B类事件的n属性值,找出与之相等的B类事件子集,以该子集为基础做关联匹配。
根据所述关联表达式在B类事件子集中完成其他子表达式的匹配。如图5所示,若匹配成功后,则将新事件和与之关联的事件发送至下一个处理节点,并从对应的存储结构中哈希表删除该关联事件。如图6所示,若不匹配,则将此事件存入对应的事件存储结构的哈希表中。
本发明实施例提供的流式事件关联匹配方法,获取关联表达式,根据关联表达式确定关键子表达式,并在确定新事件是关联表达式中一个事件时,调用已构建的对应于关联表达式中另一事件在关键子表达式中属性所有值的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
图7示出了本发明一实施例提供的一种流式事件关联匹配方法,包括:
S21、获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
S22、根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性所有值的数据集哈希表;
S23、获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
S24、根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
针对步骤S22,需要说明的是,在本发明实施例中,由于所接收到的事件会包括很多不同类型的事件。如A类事件、B类事件、C类事件、D类事件……。故在根据关联表达式得知需要匹配的两个事件后,系统根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性所有值的数据集哈希表。
针对本实施例中的其他步骤与上述实施例的步骤S11-步骤S13对应,在原理上相同,在此不再赘述。
本发明实施例提供的流式事件关联匹配方法,获取关联表达式,根据关联表达式确定关键子表达式,并根据关键子表达式对事件进行分类得到对应于关联表达式中两个事件在关键子表达式中属性所有值的数据集哈希表,避免不相关的类型事件参与匹配,并在确定新事件是关联表达式中一个事件时,调用对应的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
图8示出了本发明一实施例提供的一种流式事件关联匹配方法,包括:
S31、获取用户输入的有关两个事件的关联表达式,根据所述关联表达式生成对应的逻辑表达式,根据所述逻辑表达式生成对应的逻辑关系树,根据预设第一判断规则和所述逻辑关系树确定关键路径,所述逻辑关系树中每个叶子节点对应一个子表达式;根据预设第二判断规则和所述关键路径确定一子表达式作为关键子表达式;
S32、根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性所有值的数据集哈希表;
S33、获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
S34、根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
针对步骤S31,需要说明的是,在本发明实施例中,事件关联匹配是判断两个事件是否满足指定的关联表达式。如“A类事件的源IP等于B类事件的目的IP,且A类事件的源端口等于80,或者B类事件的目的端口等于22,且A类事件发生时间小于B类事件发生时间”为一个关联表达式。
在本实施例中,系统获取关联表达式后,可将其转换为逻辑表达式。逻辑表达式是按照“not、and和or”对关联表达式进行转换。
如关联表达式为“A类事件的源IP等于B类事件的目的IP,且A类事件的源端口等于80,或者B类事件的目的端口等于22,且A类事件发生时间小于B类事件发生时间”。
其经由系统转换成逻辑表达式为:“A类事件的源IP=B类事件的目的IP,and A类事件的源端口等于80,or B类事件的目的端口等于22,and A类事件发生时间<B类事件发生时间”。
获得逻辑表达式后,系统按not>and>or的优先级将逻辑表达式映射生成逻辑关系树(逻辑二叉树)。
如图9所示为根据逻辑表达式为:“A类事件的源IP=B类事件的目的IP,and A类事件的源端口等于80,or B类事件的目的端口等于22,and A类事件发生时间<B类事件发生时间”生成的逻辑关系树。
从图9中可以看出,所述逻辑关系树中每个叶子节点对应一个子表达式。因此,系统需要从子表达式中确定关键子表达式。确定关键子表达式,需要确定关键子表达式所属的一条关键路径。在本发明实施例中,根据第一判断规则和所述逻辑关系树确定关键路径。
所述第一判断规则包括:
满足从叶子节点到根节点的路径中所有的逻辑关系均为and的路径为关键路径;
然后从确定的关键路径中,根据第二判断规则确定关键子表达式。
所述第二判断规则包括:满足逻辑关系==的子表达式为关键子表达式。
从上述判断规则来看,关联表达式中至少包含一个逻辑关系==的子表达式。
参照图9,关键路径为“A类事件的源IP=B类事件的目的IP”所在的路径和“A类事件发生时间<B类事件发生时间”所在的路径。那么“A类事件的源IP=B类事件的目的IP”为关键子表达式。
针对步骤S32-步骤34,需要说明的是,这些步骤与上述实施例步骤S22-步骤S24在原理上相同,在此不再赘述。
本发明实施例提供的流式事件关联匹配方法,能够根据关联表达式采用逻辑关系数快速确定关键子表达式,并根据关键子表达式对事件进行分类得到对应于关联表达式中两个事件在关键子表达式中属性所有值的数据集哈希表,避免不相关的类型事件参与匹配,并在确定新事件是关联表达式中一个事件时,调用对应的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
图10示出了本发明一实施例提供的一种流式事件关联匹配装置,包括获取模块41、调用模块42和匹配模块43,其中:
获取模块41,用于获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
调用模块42,用于获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
匹配模块43,用于根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
需要说明的是,本发明实施例中可以通过硬件处理器(hardwareprocessor)来实现相关功能模块。
本发明实施例提供的流式事件关联匹配装置,获取关联表达式,根据关联表达式确定关键子表达式,并在确定新事件是关联表达式中一个事件时,调用已构建的对应于关联表达式中另一事件在关键子表达式中属性所有值的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
图11示出了本发明一实施例提供的一种流式事件关联匹配装置,包括获取模块41、构建模块51、调用模块42和匹配模块43,其中:
获取模块41,用于获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
构建模块51,用于根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性所有值的数据集哈希表;
调用模块42,用于获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
匹配模块43,用于根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
需要说明的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。
本发明实施例提供的流式事件关联匹配装置,获取关联表达式,根据关联表达式确定关键子表达式,并根据关键子表达式对事件进行分类得到对应于关联表达式中两个事件在关键子表达式中属性所有值的数据集哈希表,避免不相关的类型事件参与匹配,并在确定新事件是关联表达式中一个事件时,调用对应的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
本发明一实施例提供的一种流式事件关联匹配装置,包括获取模块、构建模块、调用模块和匹配模块,其中:
获取模块,用于获取用户输入的有关两个事件的关联表达式,根据所述关联表达式生成对应的逻辑表达式,根据所述逻辑表达式生成对应的逻辑关系树,根据预设第一判断规则和所述逻辑关系树确定关键路径,所述逻辑关系树中每个叶子节点对应一个子表达式;根据预设第二判断规则和所述关键路径确定一子表达式作为关键子表达式;
构建模块,用于根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性所有值的数据集哈希表;
调用模块,用于获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;
匹配模块,用于根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
由于本发明实施例所述装置与上述实施例所述方法的原理相同,对于更加详细的解释内容在此不再赘述。
需要说明的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。
本发明实施例提供的流式事件关联匹配装置,能够根据关联表达式采用逻辑关系数快速确定关键子表达式,并根据关键子表达式对事件进行分类得到对应于关联表达式中两个事件在关键子表达式中属性所有值的数据集哈希表,避免不相关的类型事件参与匹配,并在确定新事件是关联表达式中一个事件时,调用对应的数据集哈希表,从数据集哈希表中确定满足对应属性的数据集,从而使进行匹配的数据集的数据量变小,实现在数据量较小数据集中完成对新事件的匹配,提高处理效率。
图12示例了一种服务器的实体结构示意图,如图12所示,该服务器可以包括:处理器(processor)710、通信接口(Communications Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行如下方法:获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性所有值的数据集哈希表;根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种流式事件关联匹配方法,其特征在于,包括:
获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性的所有值的数据集哈希表;
根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
2.根据权利要求1所述的方法,其特征在于,在获取新事件之前,还包括:根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性的所有值的数据集哈希表。
3.根据权利要求1所述的方法,其特征在于,所述获取用户输入的有关两个事件的关联表达式,根据所述关联表达式确定关键子表达式,包括:
获取用户输入的有关两个事件的关联表达式,根据所述关联表达式生成对应的逻辑表达式;
根据所述逻辑表达式生成对应的逻辑关系树,根据预设第一判断规则和所述逻辑关系树确定关键路径,所述逻辑关系树中每个叶子节点对应一个子表达式;
根据预设第二判断规则和所述关键路径确定一子表达式作为关键子表达式。
4.根据权利要求3所述的方法,其特征在于,所述第一判断规则包括:
满足从叶子节点到根节点的路径中所有的逻辑关系均为and的路径为关键路径;
所述第二判断规则包括:满足逻辑关系==的子表达式为关键子表达式。
5.一种流式事件关联匹配装置,其特征在于,包括:
获取模块,用于获取用户输入的有关两个事件关联表达式,根据所述关联表达式确定关键子表达式,所述关联表达式为包含至少两个子表达式的表达式;
调用模块,用于获取新事件,当确定新事件是所述关联表达式中一个事件时,调用已构建的对应于所述关联表达式中另一事件在所述关键子表达式中属性的所有值的数据集哈希表;
匹配模块,用于根据所述关联表达式在所述数据集哈希表中完成对所述新事件的关联匹配。
6.根据权利要求5所述的装置,其特征在于,还包括构建模块,用于:
在获取新事件之前,根据所述关键子表达式对已获取的事件进行划分,构建对应于所述关联表达式中两个事件分别在所述关键子表达式中属性的所有值的数据集哈希表。
7.根据权利要求5所述的装置,其特征在于,所述获取模块具体用于:
获取用户输入的有关两个事件的关联表达式,根据所述关联表达式生成对应的逻辑表达式;
根据所述逻辑表达式生成对应的逻辑关系树,根据预设第一判断规则和所述逻辑关系树确定关键路径,所述逻辑关系树中每个叶子节点对应一个子表达式;
根据预设第二判断规则和所述关键路径确定一子表达式作为关键子表达式。
8.根据权利要求7所述的装置,其特征在于,所述第一判断规则包括:
满足从叶子节点到根节点的路径中所有的逻辑关系均为and的路径为关键路径;
所述第二判断规则包括:满足逻辑关系==的子表达式为关键子表达式。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述流式事件关联匹配方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述流式事件关联匹配方法的步骤。
CN201910252111.4A 2019-03-29 2019-03-29 流式事件关联匹配方法及装置 Active CN110109957B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910252111.4A CN110109957B (zh) 2019-03-29 2019-03-29 流式事件关联匹配方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910252111.4A CN110109957B (zh) 2019-03-29 2019-03-29 流式事件关联匹配方法及装置

Publications (2)

Publication Number Publication Date
CN110109957A CN110109957A (zh) 2019-08-09
CN110109957B true CN110109957B (zh) 2021-10-01

Family

ID=67484858

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910252111.4A Active CN110109957B (zh) 2019-03-29 2019-03-29 流式事件关联匹配方法及装置

Country Status (1)

Country Link
CN (1) CN110109957B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1346464A (zh) * 1998-12-31 2002-04-24 联合想象计算机公司 动态过滤和路由事件的方法和装置
CN1653452A (zh) * 2002-05-10 2005-08-10 甲骨文国际公司 管理数据库系统中的表达式
CN102164050A (zh) * 2011-05-16 2011-08-24 北京星网锐捷网络技术有限公司 日志解析方法及日志解析节点设备
CN103580900A (zh) * 2012-08-01 2014-02-12 上海宝信软件股份有限公司 一种基于事件链的关联分析系统
CN104394149A (zh) * 2014-11-26 2015-03-04 中国航天科工集团第二研究院七〇六所 一种基于并行分布式架构的复杂事件处理的方法
CN105740337A (zh) * 2016-01-22 2016-07-06 东南大学 一种基于内容的发布订阅系统中的事件快速匹配方法
CN105843878A (zh) * 2016-03-17 2016-08-10 杭州优云软件有限公司 一种it系统事件标准化实现方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653636B2 (en) * 2003-02-28 2010-01-26 Bea Systems, Inc. Systems and methods for streaming XPath query
US10185645B2 (en) * 2017-03-08 2019-01-22 Microsoft Technology Licensing, Llc Resource lifetime analysis using a time-travel trace

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1346464A (zh) * 1998-12-31 2002-04-24 联合想象计算机公司 动态过滤和路由事件的方法和装置
CN1653452A (zh) * 2002-05-10 2005-08-10 甲骨文国际公司 管理数据库系统中的表达式
CN102164050A (zh) * 2011-05-16 2011-08-24 北京星网锐捷网络技术有限公司 日志解析方法及日志解析节点设备
CN103580900A (zh) * 2012-08-01 2014-02-12 上海宝信软件股份有限公司 一种基于事件链的关联分析系统
CN104394149A (zh) * 2014-11-26 2015-03-04 中国航天科工集团第二研究院七〇六所 一种基于并行分布式架构的复杂事件处理的方法
CN105740337A (zh) * 2016-01-22 2016-07-06 东南大学 一种基于内容的发布订阅系统中的事件快速匹配方法
CN105843878A (zh) * 2016-03-17 2016-08-10 杭州优云软件有限公司 一种it系统事件标准化实现方法

Also Published As

Publication number Publication date
CN110109957A (zh) 2019-08-09

Similar Documents

Publication Publication Date Title
US10915822B2 (en) Complex event processing method, apparatus, and system
US20210304071A1 (en) Systems and methods for generating machine learning applications
US9544355B2 (en) Methods and apparatus for realizing short URL service
US11520995B2 (en) Systems and methods for dynamically expanding natural language processing agent capacity
JP2013536492A (ja) 複数のシステムを用いたデータ解析
US11068457B2 (en) Creating index in blockchain-type ledger
WO2021238796A1 (zh) 下载任务异步处理方法、装置、系统和存储介质
US20160328445A1 (en) Data Query Method and Apparatus
CN110738577A (zh) 社区发现方法、装置、计算机设备和存储介质
EP3179687A1 (en) Network flow information statistics method and apparatus
CN109582289B (zh) 规则引擎中规则流的处理方法、系统、存储介质和处理器
CN110888672B (zh) 一种基于元数据架构的表达式引擎实现方法及系统
WO2023273218A1 (zh) Json报文的核对方法和json报文的核对装置
WO2020173043A1 (zh) 用户群的优化方法及装置、计算机非易失性可读存储介质
US10205813B2 (en) Method and system for detecting abnormal contact information and server
CN112860691A (zh) 分库分表的方法、装置、电子设备及存储介质
CN110784358A (zh) 网络调用关系拓扑图的构建方法及装置
CN111625561A (zh) 一种数据查询方法及装置
CN110109957B (zh) 流式事件关联匹配方法及装置
CN110083583B (zh) 流式事件处理方法及装置
CN110096504B (zh) 流式事件特征匹配方法及装置
CN108959584A (zh) 一种基于社区结构的处理图数据的方法及装置
WO2019153546A1 (zh) 万级维度数据生成方法、装置、设备以及存储介质
US10445080B2 (en) Methods for adaptive placement of applications and devices thereof
CN113691403A (zh) 拓扑节点配置方法、相关装置及计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: Beijing Qi'anxin Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant