CN115037791A - 事件推送方法、装置、系统、电子设备及存储介质 - Google Patents

事件推送方法、装置、系统、电子设备及存储介质 Download PDF

Info

Publication number
CN115037791A
CN115037791A CN202210388402.8A CN202210388402A CN115037791A CN 115037791 A CN115037791 A CN 115037791A CN 202210388402 A CN202210388402 A CN 202210388402A CN 115037791 A CN115037791 A CN 115037791A
Authority
CN
China
Prior art keywords
event
pushed
vector
time window
event vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210388402.8A
Other languages
English (en)
Inventor
马浩翔
陆晨晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210388402.8A priority Critical patent/CN115037791A/zh
Publication of CN115037791A publication Critical patent/CN115037791A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9537Spatial or temporal dependent retrieval, e.g. spatiotemporal queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开提供了一种事件推送方法、装置、系统、电子设备及存储介质,其中,事件推送方法包括:获取每个时间窗口内的多个待推送事件;根据待推送事件的属性信息,得到每个待推送事件的事件向量;基于改进的Rocchio算法,计算每个时间窗口内优先事件向量;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。本公开能够保证在安全分析人员处置能力不足的情况下,根据安全分析人员的处置兴趣实时推荐与迁移事件,提高安全分析人员处理事件的效率。

Description

事件推送方法、装置、系统、电子设备及存储介质
技术领域
本公开涉及网络与信息安全技术领域,尤其涉及一种事件推送方法、装置、系统、电子设备及存储介质。
背景技术
随着现代信息化的快速发展,全球已进入互联网+、大数据和人工智能时代。网络在带给我们生活便利的同时,各种网络安全威胁也层出不穷,特别是数据泄露、DdoS(Distributed Denial of Service,分布式拒绝服务)攻击以及感染物联网设备僵尸网络等网络攻击事件日益严峻,传统的安全防护手段已经很难应对。
现有利用安全编排与自动化响应系统的大数据分析能力处理各种设备产生的事件,而该系统在将多个突发事件推送给安全分析人员进行处理的过程中,均是按照时间到达顺序依次推送,或按照人工定义的优先级标签依次推送,导致维护人员无法按照个人处理事件的习惯优先处理感兴趣的事件。
基于此,如何提高事件推送的效率成为了亟需解决的技术问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种事件推送方法、装置、系统、电子设备及存储介质,至少在一定程度上克服相关技术中事件推送效率低的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种事件推送方法,包括:获取每个时间窗口内的多个待推送事件;根据所述待推送事件的属性信息,得到每个所述待推送事件的事件向量;基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,所述改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
在本公开的一个实施例中,获取每个时间窗口内的多个待推送事件,包括:采集网络设备在每个时间窗口内产生的日志数据;对网络设备在每个时间窗口内产生的日志数据进行聚合处理,得到每个时间窗口内的多个待推送事件。
在本公开的一个实施例中,根据所述待推送事件的属性信息,得到每个所述待推送事件的事件向量,包括:根据所述待推送事件的属性信息,生成每个属性对应的元素值;统计所述待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
在本公开的一个实施例中,根据所述待推送事件的属性信息,生成每个属性对应的元素值,包括:根据所述待推送事件的第一属性,生成所述待推送事件的事件向量的第一元素值;根据所述待推送事件的第二属性,生成所述待推送事件的事件向量的第二元素值;根据所述待推送事件的第三属性,生成所述待推送事件的事件向量的第三元素值。
在本公开的一个实施例中,基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,包括:通过以下公式计算计算每个时间窗口内优先事件向量:
Figure BDA0003594649570000021
其中,
Figure BDA0003594649570000022
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure BDA0003594649570000023
表示为特征向量,m为采集过程中切分的时间段的个数。
在本公开的一个实施例中,通过以下公式计算所述待推送事件的事件向量与所述优先事件向量的余弦相似度:
Figure BDA0003594649570000031
其中,
Figure BDA0003594649570000032
为待推送事件的事件向量,
Figure BDA0003594649570000033
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
根据本公开的另一个方面,提供一种事件推送装置,包括:待推送事件获取模块、事件向量得到模块、事件向量确定模块、相似度计算模块和事件推送模块;所述待推送事件获取模块,用于获取每个时间窗口内的多个待推送事件;所述事件向量得到模块,用于根据所述待推送事件的属性信息,得到每个所述待推送事件的事件向量;所述事件向量确定模块,用于基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,所述改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;所述相似度计算模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件与优先事件向量的相似度;所述事件推送模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
在本公开的一个实施例中,上述待推送事件获取模块还用于采集网络设备在每个时间窗口内产生的日志数据;对网络设备在每个时间窗口内产生的日志数据进行聚合处理,得到每个时间窗口内的多个待推送事件。
在本公开的一个实施例中,上述事件向量得到模块还用于根据所述待推送事件的属性信息,生成每个属性对应的元素值;统计所述待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
在本公开的一个实施例中,上述事件向量得到模块还用于根据所述待推送事件的第一属性,生成所述待推送事件的事件向量的第一元素值;根据所述待推送事件的第二属性,生成所述待推送事件的事件向量的第二元素值;根据所述待推送事件的第三属性,生成所述待推送事件的事件向量的第三元素值。
在本公开的一个实施例中,上述事件向量确定模块通过以下公式计算计算每个时间窗口内优先事件向量:
Figure BDA0003594649570000041
其中,
Figure BDA0003594649570000042
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure BDA0003594649570000043
表示为特征向量,m为采集过程中切分的时间段的个数。
在本公开的一个实施例中,上述相似度计算模块通过以下公式计算所述待推送事件的事件向量与所述优先事件向量的余弦相似度:
Figure BDA0003594649570000044
其中,
Figure BDA0003594649570000045
为待推送事件的事件向量,
Figure BDA0003594649570000046
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
根据本公开的再一个方面,提供一种事件推送系统,包括:日志采集模块、聚合模块、事件向量获取模块、事件向量计算模块、相关性计算模块和事件处置模块;所述日志采集模块,用于从设备或系统中采集每个时间窗口内的多个日志;所述聚合模块,用于将采集到的每个时间窗口内的多个日志分别聚合成待推送事件;所述事件向量获取模块,用于根据待推送事件的属性信息,获取每个所述待推送事件的事件向量;所述事件向量计算模块,用于基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,所述改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;所述相关性计算模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;所述事件处置模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
在本公开的一个实施例中,上述事件向量获取模块还用于根据所述待推送事件的属性信息,生成每个属性对应的元素值;统计所述待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
在本公开的一个实施例中,上述事件向量获取模块还用于根据所述待推送事件的第一属性,生成所述待推送事件的事件向量的第一元素值;根据所述待推送事件的第二属性,生成所述待推送事件的事件向量的第二元素值;根据所述待推送事件的第三属性,生成所述待推送事件的事件向量的第三元素值。
在本公开的一个实施例中,上述事件向量计算模块通过以下公式计算计算每个时间窗口内优先事件向量:
Figure BDA0003594649570000051
其中,
Figure BDA0003594649570000052
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure BDA0003594649570000053
表示为特征向量,m为采集过程中切分的时间段的个数。
在本公开的一个实施例中,上述相关性计算模块通过以下公式计算所述待推送事件的事件向量与所述优先事件向量的余弦相似度:
Figure BDA0003594649570000054
其中,
Figure BDA0003594649570000055
为待推送事件的事件向量,
Figure BDA0003594649570000056
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
在本公开的一个实施例中,上述事件推送系统还包括动态评分模块,该动态评分模块用于根据待推送事件对应的攻击者或资产,对攻击者或资产进行评分。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的事件推送方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的事件推送方法。
本公开的实施例所提供的事件推送方法、装置、系统、电子设备及存储介质,其中,事件推送方法包括:获取每个时间窗口内的多个待推送事件;根据待推送事件的属性信息,得到每个待推送事件的事件向量;基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。本公开能够保证在安全分析人员处置能力不足的情况下,根据安全分析人员的处置兴趣实时推荐与迁移事件,提高安全分析人员处理事件的效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种事件推送方法流程图;
图2示出本公开实施例中另一种事件推送方法流程图;
图3示出本公开实施例中另一种事件推送方法流程图;
图4示出本公开实施例中另一种事件推送方法流程图;
图5示出本公开实施例中一种事件推送方法示意图;
图6示出本公开实施例中一种时间窗口划分方式示意图;
图7示出本公开实施例中一种事件向量转化与计算示意图;
图8示出本公开实施例中一种事件推送装置示意图;
图9示出本公开实施例中一种事件推送系统示意图;和
图10示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
正如背景技术中所提到的,现有利用安全编排与自动化响应系统的大数据分析能力处理各种设备产生的事件,而该系统在将多个突发事件推送给安全分析人员进行处理的过程中,均是按照时间到达顺序依次推送,或按照人工定义的优先级标签依次推送,导致维护人员无法按照个人处理事件的习惯优先处理感兴趣的事件。
基于此,本公开提供了一种事件推送方法、装置、系统、电子设备及存储介质,通过基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,根据待推送事件的事件向量与优先事件向量的相关性,按顺序将待推送事件推送给安全分析人员,能够保证在安全分析人员处置能力不足的情况下,根据安全分析人员的处置兴趣实时推荐与迁移事件,提高安全分析人员处理事件的效率。
下面结合附图及实施例对本示例实施方式进行详细说明。
首先,本公开实施例中提供了一种事件推送方法,该方法可以由任意具备计算处理能力的电子设备执行。
图1示出本公开实施例中一种事件推送方法流程图,如图1所示,本公开实施例中提供的事件推送方法包括如下步骤:
S102,获取每个时间窗口内的多个待推送事件。
需要说明的是,待推送事件是由网络设备或系统产生的日志聚合成的事件;在采集网络设备或系统产生的日志过程中,将采集时间划分为多个时间窗口,将每个时间窗口内的多个日志聚合成事件,得到每个时间窗口内的多个待推送事件。其中,网络设备或系统产生的日志可以是操作系统日志、网络守护进程日志、应用程序日志、网络基础设施日志和安全主机日志等,例如采集网络设备受到恶意攻击后产生的操作系统日志,将该操作系统日志聚合成待推送事件。
S104,根据待推送事件的属性信息,得到每个待推送事件的事件向量。
需要说明的是,待推送事件的属性信息为表征该待推送事件的特征信息或所属类别信息,属性信息可以包括待推送事件的攻击类型、产生时间、攻击源归属地、发生次数、所属级别和攻击资源的重要性等等;可以根据待推送事件的每个属性,确定待推送事件的事件向量的相应元素值;例如,将待推送事件的所属级别分为四个等级,分别是一级类型、二级类型、三级类型和四级类型;其中,可以将一级类型对应的元素值定为00,二级类型对应的元素值定为01,三级类型对应的元素值定为10,四级类型对应的元素值定为11,这里根据待推送事件的其他属性,确定该属性对应的元素值的方式与此相似,此处不在一一论述了。根据待推送事件对应的级别,确定该待推送事件的事件向量的相应元素值,再统计待推送事件的所有属性对应的元素值,这一过程可以将待推送事件的相关特征转换为one-hot向量的形式,从而得到待推送事件的事件向量。
S106,基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量。
需要说明的是,优先事件向量指的是安全分析人员优先处理的事件,人机交互数据指的是安全分析人员在某时间窗口内对事件提权与降权的数量,本公开应用的改进的Rocchio算法是基于长时记忆部分和人机交互部分,计算每个时间窗口内的优先事件向量,其中,长时记忆部分由跨时间窗口的衰减累加得到,人机交互部分与安全分析人员在每个时间段内对事件的提权与降权操作数量相关。这里,可以将事件按照时间划分时间窗口,记录每个时间窗口内安全分析人员的提权与降权操作。本公开通过添加目标事件的时间迭代累积,将原有的提权方法优化为时间窗口的长时记忆性事件提权方法,并考虑了安全分析人员的人机交互过程。
S108,根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度。
需要说明的是,在得到每个待推送事件的事件向量和优先事件向量之后,计算每个待推送事件的事件向量和优先事件向量之间的相似度。其中,这里的相似度可以是余弦相似度,根据余弦定理计算每个待推送事件的事件向量和优先事件向量之间的余弦相似度,其中,余弦相似度是通过两个向量夹角的余弦值来衡量两者之间的相似性,0度角的余弦值是1,而其他任何角度的余弦值都不大于1,并且其最小值是-1,从而两个向量之间的角度的余弦值确定两个向量是否大致指向相同的方向。两个向量有相同的指向时,余弦相似度的值为1,两个向量夹角为90°时,余弦相似度的值为0;两个向量指向完全相反的方向时,余弦相似度的值为-1。
S110,根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
需要说明的是,根据每个时间窗口内的各个待推送事件的事件向量与其对应的优先事件向量之间的相似度,按照相似度由大到小的顺序排列待推送事件,并将排好顺序的待推送事件按顺序推送给安全分析人员进行处理,实现按照安全分析人员的兴趣实时推荐与迁移事件,提高安全分析人员处理事件的效率。
本实施例中公开的事件推送方法,获取每个时间窗口内的多个待推送事件;根据待推送事件的属性信息,得到每个待推送事件的事件向量;基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。本公开能够保证在安全分析人员处置能力不足的情况下,根据安全分析人员的处置兴趣实时推荐与迁移事件,提高安全分析人员处理事件的效率。
在本公开的一个实施例中,可以通过图2中公开的步骤实现获取每个事件窗口内的多个待推送事件,参见图2公开的另一种事件推送方法流程图,该步骤可以包括:
S202,采集网络设备在每个时间窗口内产生的日志数据。
该步骤中,上述网络设备为受安全分析人员监控的设备,网络设备是与网络连接的物理实体,可以是计算机、交换机、路由器、网桥、网关、打印机和调制解调器等等;上述日志数据可以是网络设备产生的系统日志数据,系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。安全分析人员可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹,系统日志可细分包括系统日志、应用程序日志和安全日志。
需要说明的是,在本公开的一个实施例中,可以部署文件服务器,每个网络设备在产生日志数据后,可以将日志数据发送给文件服务器,文件服务器可以存储这些日志数据,如持久化存储这些日志数据。可以通过HTTP(Hyper Text Transfer Protocol,超文本传输协议)方式从文件服务器获取日志数据,以实现采集网络设备在每个时间窗口内产生的日志数据。
S204,对网络设备在每个时间窗口内产生的日志数据进行聚合处理,得到每个时间窗口内的多个待推送事件。
需要说明的是,这里可以根据日志数据的安全特征或行为特征,将该日志数据聚合成待推送事件,例如,从日志数据中获取该日志的安全特征信息,包括但不限于攻击类型、攻击产生时间、攻击源归属地、攻击发生次数、攻击所属级别和攻击资源的重要性等等,将这些安全特征信息聚合成事件,得到待推送事件。
在本公开的一个实施例中,可以通过图3中公开的步骤实现根据待推送事件的属性信息,得到每个待推送事件的事件向量,参见图3公开的另一种事件推送方法流程图,该步骤可以包括:
S302,根据待推送事件的属性信息,生成每个属性对应的元素值。
S304,统计待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
需要说明的是,这里可以对每种属性信息划分几个类别或等级,不同种的属性信息对应事件向量中不同位置的元素,同种属性信息不同的级别或等级对应不同的元素值大小,在确定待推送事件的每个属性信息对应的元素值后,统计所有元素值,得到待推送事件的事件向量。
在本公开的一个实施例中,可以通过图4中公开的步骤实现根据待推送事件的属性信息,生成每个属性对应的元素值,参见图4公开的另一种事件推送方法流程图,该步骤可以包括:
S402,根据待推送事件的第一属性,生成待推送事件的事件向量的第一元素值。
需要说明的是,第一属性可以是待推送事件的攻击类型,这里可以将攻击类型分为两种,主动攻击或被动攻击,其中,主动攻击会导致某些数据流的篡改和虚假数据流的产生,主动攻击一般可分为篡改、伪造消息数据和拒绝服务;被动攻击中攻击者不对数据信息做任何修改,被动攻击通常包括窃听、流量分析、破解弱加密的数据流等攻击方式,截取或窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。可以将主动攻击对应的第一元素值定为00,被动攻击对应的第一元素值定为01,通过判断待推送事件的攻击类型属于主动攻击或是被动攻击,确定待推送事件的事件向量的第一元素值。
S404,根据待推送事件的第二属性,生成待推送事件的事件向量的第二元素值。
需要说明的是,第二属性可以是待推送事件的产生事件,这里可以将时间划分为四个时间段,依次是第一时间段、第二时间段、第三时间段和第四时间段,其中,第一时间段对应事件向量的第二元素值为00,第二时间段对应事件向量的第二元素值为01,第三时间段对应事件向量的第二元素值为10,第四时间段对应事件向量的第二元素值为11。通过判断待推送事件的产生时间所属时间段,确定待推送事件的事件向量的第二元素值。
S406,根据待推送事件的第三属性,生成待推送事件的事件向量的第三元素值。
需要说明的是,第三属性可以是待推送事件的攻击源归属地,这里可以设置不同攻击源归属地对应事件向量的不同第三元素值,可以对攻击源归属地IP地址划分网络段,当该攻击源归属地的IP(Internet Protocol,互联网协议)地址属于第一个网络段时,对应待推送事件向量的第三元素值为00;当该攻击源归属地的IP地址属于第二个网络段时,对应待推送事件向量的第三元素值为01;当该攻击源归属地的IP地址属于第三个网络段时,对应待推送事件向量的第三元素值为10;当该攻击源归属地的IP地址属于第四个网络段时,对应待推送事件向量的第三元素值为11。通过判断待推送事件的攻击源归属地IP地址所属网络段,确定待推送事件的事件向量的第三元素值。
在本公开的一个实施例中,还可以根据待推送事件的第四属性,生成待推送事件的第四元素值。第四属性可以是待推送事件的发生次数,这里可以设定当待推送事件的发生次数为1次时,对应的事件向量的第四元素值为00;当待推送事件的发生次数为2次时,对应的事件向量的第四元素值为01;当待推送事件的发生次数为3次时,对应的事件向量的第四元素值为10;当待推送事件的发生次数为4次时,对应的事件向量的第四元素值为11,以此类推,通过判断待推送事件的发生次数,确定待推送事件的事件向量的第四元素值。
在本公开的一个实施例中,还可以根据待推送事件的第五属性,生成待推送事件的第五元素值。第五属性可以是待推送事件的所属级别,这里可以将待推送事件的所属级别分为四个等级,分别是一级类型、二级类型、三级类型和四级类型;其中,可以将一级类型对应的元素值定为00,二级类型对应的元素值定为01,三级类型对应的元素值定为10,四级类型对应的元素值定为11。通过判断待推送事件的所属级别,确定待推送事件的事件向量的第五元素值。
在本公开的一个实施例中,还可以根据待推送事件的第六属性,生成待推送事件的第六元素值。第六属性可以是待推送事件攻击资源的重要性,这里可以将攻击资源的重要性分为四个等级,分别是一星、二星、三星和四星;其中,可以将一星对应的元素值定为00,二星对应的元素值定为01,三星对应的元素值定为10,四星对应的元素值定为11。通过判断待推送事件攻击资源的重要性,确定待推送事件的事件向量的第六元素值。这里还可以根据待推送事件的其他属性,获取事件向量的更多元素值,在此对待推送事件的属性的个数不做限定。
在本公开的一个实施例中,基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,包括:
通过以下公式计算计算每个时间窗口内优先事件向量:
Figure BDA0003594649570000131
其中,
Figure BDA0003594649570000132
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure BDA0003594649570000133
表示为特征向量,m为采集过程中切分的时间段的个数。
在本公开的一个实施例中,通过以下公式计算待推送事件的事件向量与优先事件向量的余弦相似度:
Figure BDA0003594649570000134
其中,
Figure BDA0003594649570000135
为待推送事件的事件向量,
Figure BDA0003594649570000136
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
例如,待推送事件的事件向量
Figure BDA0003594649570000137
优先事件向量
Figure BDA0003594649570000138
利用上述公式计算待推送事件的事件向量和优先事件向量的余弦相似度,n=12,得到:
Figure BDA0003594649570000139
Figure BDA0003594649570000141
similar(P,Q)=0.76
通过计算得到示例待推送事件的事件向量和优先事件向量的余弦相似度为0.76。
在本公开的一个实施例中,本公开还提供了另一种事件推送方法,参见图5所示的又一种事件推送方法示意图,该事件推送方法包括:
对网络设备或系统的日志采集;
将采集的日志上传到分析系统进行聚合,得到待推送事件;
获取安全分析人员历史提权和降权操作信息;
将待推送事件发送至攻击者或资产动态评估模块,攻击者或资产动态评估模块根据待推送事件对应攻击者或资产,对攻击者或资产进行风险评估;
根据待推送事件的属性信息,确定待推送事件的事件向量;
根据每个时间窗口内的人机交互部分与长时记忆部分,基于基于改进的Rocchio算法,计算每个时间窗口内的优先事件向量,其中,时间窗口包括时间窗口1、时间窗口2和时间窗口3等,长时记忆部分包括长时记忆部分1、长时记忆部分2和长时记忆部分3等,优先事件向量包括优先事件向量1、优先事件向量2和优先事件向量3等;
计算每个待推送事件的事件向量与优先事件向量之间的相关性;
根据待推送事件的事件向量与优先事件向量之间的相关性,确定待推送事件的推送顺序,并按顺序将待推送事件推送给安全分析人员,以便安全分析人员对待推送事件进行分析与处理。
在本公开的一个实施例中,参见图6所示的一种事件窗口划分方式示意图,可以将采集过程划分为多个时间段,每个时间段内包含一个优先事件向量,这里的优先事件向量与上述优先事件向量的含义相同,基于改进的Rocchio算法,计算每个时间窗口内的优先事件向量,改进的Rocchio算法包括长时记忆部分和人机交互部分,人机交互部分受安全分析人员在该时间窗口内对事件手动提权与降权的数量相关。
在本公开的一个实施例中,参见图7所示的一种事件向量转化与计算示意图,如图所示,可以通过判断事件的属性信息,属性信息包括对应资产重要性、事件发生时间段、攻击源归属地、事件所属类型、事件发生次数、事件被利用漏洞等等,将事件的相关特征转化为one-hot向量。
基于同一发明构思,本公开实施例中还提供了一种事件推送装置,如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图8示出本公开实施例中一种事件推送装置示意图,如图8所示,该装置包括:待推送事件获取模块810、事件向量得到模块820、事件向量确定模块830、相似度计算模块840和事件推送模块850;
待推送事件获取模块810,用于获取每个时间窗口内的多个待推送事件;
事件向量得到模块820,用于根据待推送事件的属性信息,得到每个待推送事件的事件向量;
事件向量确定模块830,用于基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;
相似度计算模块840,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;
事件推送模块850,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
在本公开的一个实施例中,上述待推送事件获取模块810还用于采集网络设备在每个时间窗口内产生的日志数据;对网络设备在每个时间窗口内产生的日志数据进行聚合处理,得到每个时间窗口内的多个待推送事件。
在本公开的一个实施例中,上述事件向量得到模块820还用于根据待推送事件的属性信息,生成每个属性对应的元素值;统计待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
在本公开的一个实施例中,上述事件向量得到模块820还用于根据待推送事件的第一属性,生成待推送事件的事件向量的第一元素值;根据待推送事件的第二属性,生成待推送事件的事件向量的第二元素值;根据待推送事件的第三属性,生成待推送事件的事件向量的第三元素值。
在本公开的一个实施例中,上述事件向量确定模块830通过以下公式计算计算每个时间窗口内优先事件向量:
Figure BDA0003594649570000161
其中,
Figure BDA0003594649570000162
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure BDA0003594649570000163
表示为特征向量,m为采集过程中切分的时间段的个数。
在本公开的一个实施例中,上述相似度计算模块840通过以下公式计算待推送事件的事件向量与优先事件向量的余弦相似度:
Figure BDA0003594649570000164
其中,
Figure BDA0003594649570000165
为待推送事件的事件向量,
Figure BDA0003594649570000166
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
基于同一发明构思,本公开实施例中还提供了一种事件推送系统,如下面的实施例。由于该系统实施例解决问题的原理与上述方法实施例相似,因此该系统实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图9示出本公开实施例中一种事件推送系统示意图,如图9所示,该系统包括:日志采集模块910、聚合模块920、事件向量获取模块930、事件向量计算模块940、相关性计算模块950和事件处置模块960;
日志采集模块910,用于从设备或系统中采集每个时间窗口内的多个日志;
聚合模块920,用于将采集到的每个时间窗口内的多个日志分别聚合成待推送事件;
事件向量获取模块930,用于根据待推送事件的属性信息,获取每个待推送事件的事件向量;
事件向量计算模块940,用于基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;
相关性计算模块950,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;
事件处置模块960,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
在本公开的一个实施例中,上述事件向量获取模块930还用于根据待推送事件的属性信息,生成每个属性对应的元素值;统计待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
在本公开的一个实施例中,上述事件向量获取模块930还用于根据待推送事件的第一属性,生成待推送事件的事件向量的第一元素值;根据待推送事件的第二属性,生成待推送事件的事件向量的第二元素值;根据待推送事件的第三属性,生成待推送事件的事件向量的第三元素值。
在本公开的一个实施例中,上述事件向量计算模块940通过以下公式计算计算每个时间窗口内优先事件向量:
Figure BDA0003594649570000171
其中,
Figure BDA0003594649570000172
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure BDA0003594649570000173
表示为特征向量,m为采集过程中切分的时间段的个数。
在本公开的一个实施例中,上述相关性计算模块通过950以下公式计算待推送事件的事件向量与优先事件向量的余弦相似度:
Figure BDA0003594649570000174
其中,
Figure BDA0003594649570000181
为待推送事件的事件向量,
Figure BDA0003594649570000182
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
在本公开的一个实施例中,上述事件推送系统还包括动态评分模块,该动态评分模块用于根据待推送事件对应的攻击者或资产,对攻击者或资产进行评分。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图10来描述根据本公开的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于:上述至少一个处理单元1010、上述至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030。
其中,存储单元存储有程序代码,程序代码可以被处理单元1010执行,使得处理单元1010执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,处理单元1010可以执行上述方法实施例的如下步骤:获取每个时间窗口内的多个待推送事件;根据待推送事件的属性信息,得到每个待推送事件的事件向量;基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
存储单元1020可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202,还可以进一步包括只读存储单元(ROM)10203。
存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204,这样的程序模块10205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1030可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1000也可以与一个或多个外部设备1040(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1000交互的设备通信,和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且,电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1060通过总线1030与电子设备1000的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1000使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。

Claims (10)

1.一种事件推送方法,其特征在于,包括:
获取每个时间窗口内的多个待推送事件;
根据所述待推送事件的属性信息,得到每个所述待推送事件的事件向量;
基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,所述改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;
根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;
根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
2.根据权利要求1所述的事件推送方法,其特征在于,获取每个时间窗口内的多个待推送事件,包括:
采集网络设备在每个时间窗口内产生的日志数据;
对网络设备在每个时间窗口内产生的日志数据进行聚合处理,得到每个时间窗口内的多个待推送事件。
3.根据权利要求1所述的事件推送方法,其特征在于,根据所述待推送事件的属性信息,得到每个所述待推送事件的事件向量,包括:
根据所述待推送事件的属性信息,生成每个属性对应的元素值;
统计所述待推送事件的每个属性对应的元素值,得到待推送事件的事件向量。
4.根据权利要求3所述的事件推送方法,其特征在于,根据所述待推送事件的属性信息,生成每个属性对应的元素值,包括:
根据所述待推送事件的第一属性,生成所述待推送事件的事件向量的第一元素值;
根据所述待推送事件的第二属性,生成所述待推送事件的事件向量的第二元素值;
根据所述待推送事件的第三属性,生成所述待推送事件的事件向量的第三元素值。
5.根据权利要求1中任意一项所述的事件推送方法,其特征在于,基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,包括:
通过以下公式计算计算每个时间窗口内优先事件向量:
Figure FDA0003594649560000021
其中,
Figure FDA0003594649560000022
表示为优先事件向量,α、β和γ表示为权重系数,t表示为第t个时间窗口,Dt,up表示用户在第t个时间窗口提权的事件的个数,Dt,down表示用户在第t个时间窗口降权的事件的个数,
Figure FDA0003594649560000023
表示为特征向量,m为采集过程中切分的时间段的个数。
6.根据权利要求1所述的事件推送方法,其特征在于,通过以下公式计算所述待推送事件的事件向量与所述优先事件向量的余弦相似度:
Figure FDA0003594649560000024
其中,
Figure FDA0003594649560000025
为待推送事件的事件向量,
Figure FDA0003594649560000026
为优先事件向量,n为待推送事件的事件向量和优先事件向量中元素的个数,为正整数,similar(P,Q)为待推送事件的事件向量和优先事件向量的余弦相似度,i为元素序号。
7.一种事件推送装置,其特征在于,包括:待推送事件获取模块、事件向量得到模块、事件向量确定模块、相似度计算模块和事件推送模块;
所述待推送事件获取模块,用于获取每个时间窗口内的多个待推送事件;
所述事件向量得到模块,用于根据所述待推送事件的属性信息,得到每个所述待推送事件的事件向量;
所述事件向量确定模块,用于基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,所述改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;
所述相似度计算模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;
所述事件推送模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
8.一种事件推送系统,其特征在于,包括:日志采集模块、聚合模块、事件向量获取模块、事件向量计算模块、相关性计算模块和事件处置模块;
所述日志采集模块,用于从设备或系统中采集每个时间窗口内的多个日志;
所述聚合模块,用于将采集到的每个时间窗口内的多个日志分别聚合成待推送事件;
所述事件向量获取模块,用于根据待推送事件的属性信息,获取每个所述待推送事件的事件向量;
所述事件向量计算模块,用于基于改进的Rocchio算法,计算每个时间窗口内优先事件向量,其中,所述改进的Rocchio算法用于根据上一时间窗口内优先事件向量和人机交互数据确定当前时间窗口内优先事件向量;
所述相关性计算模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量,计算每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度;
所述事件处置模块,用于根据每个时间窗口内各个待推送事件的事件向量与优先事件向量的相似度,推送每个时间窗口内的各个待推送事件。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~6中任意一项所述事件推送方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~6中任意一项所述的事件推送方法。
CN202210388402.8A 2022-04-13 2022-04-13 事件推送方法、装置、系统、电子设备及存储介质 Pending CN115037791A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210388402.8A CN115037791A (zh) 2022-04-13 2022-04-13 事件推送方法、装置、系统、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210388402.8A CN115037791A (zh) 2022-04-13 2022-04-13 事件推送方法、装置、系统、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115037791A true CN115037791A (zh) 2022-09-09

Family

ID=83119094

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210388402.8A Pending CN115037791A (zh) 2022-04-13 2022-04-13 事件推送方法、装置、系统、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115037791A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102637170A (zh) * 2011-02-10 2012-08-15 北京百度网讯科技有限公司 一种问题推送方法及系统
CN103455485A (zh) * 2012-05-28 2013-12-18 中兴通讯股份有限公司 自动更新用户兴趣模型方法及装置
CN107818183A (zh) * 2017-12-05 2018-03-20 云南大学 一种基于三阶段组合推荐技术的党建视频推送方法
US20190279231A1 (en) * 2018-03-06 2019-09-12 Oath Inc. Analytical precursor mining for personalized recommendation
CN114186121A (zh) * 2021-02-02 2022-03-15 寿带鸟信息科技(苏州)有限公司 一种基于服务记录的混合型推荐算法系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102637170A (zh) * 2011-02-10 2012-08-15 北京百度网讯科技有限公司 一种问题推送方法及系统
CN103455485A (zh) * 2012-05-28 2013-12-18 中兴通讯股份有限公司 自动更新用户兴趣模型方法及装置
CN107818183A (zh) * 2017-12-05 2018-03-20 云南大学 一种基于三阶段组合推荐技术的党建视频推送方法
US20190279231A1 (en) * 2018-03-06 2019-09-12 Oath Inc. Analytical precursor mining for personalized recommendation
CN114186121A (zh) * 2021-02-02 2022-03-15 寿带鸟信息科技(苏州)有限公司 一种基于服务记录的混合型推荐算法系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张燕: "用户兴趣模型在RSS网络信息服务中的研究", 中国优秀硕士学位论文全文数据库 (信息科技辑), pages 25 - 57 *

Similar Documents

Publication Publication Date Title
US20220124108A1 (en) System and method for monitoring security attack chains
CN112953933B (zh) 异常攻击行为检测方法、装置、设备及存储介质
CN113015167B (zh) 加密流量数据的检测方法、系统、电子装置和存储介质
CN112003834B (zh) 异常行为检测方法和装置
CN111526136A (zh) 基于云waf的恶意攻击检测方法、系统、设备和介质
CN113162794A (zh) 下一步攻击事件预测方法及相关设备
Wang et al. An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol
CN117240632B (zh) 一种基于知识图谱的攻击检测方法和系统
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN114780810A (zh) 数据处理方法、装置、存储介质及电子设备
CN114338195A (zh) 基于改进孤立森林算法的web流量异常检测方法及装置
CN113132393A (zh) 异常检测方法、装置、电子设备以及存储介质
CN116846612A (zh) 攻击链补全方法、装置、电子设备及存储介质
EP4102772A1 (en) Method and apparatus of processing security information, device and storage medium
CN115037791A (zh) 事件推送方法、装置、系统、电子设备及存储介质
CN114500075B (zh) 用户异常行为检测方法、装置、电子设备及存储介质
CN115913710A (zh) 异常检测方法、装置、设备及存储介质
CN114925365A (zh) 一种文件处理方法、装置、电子设备及存储介质
Lee et al. Malicious Traffic Compression and Classification Technique for Secure Internet of Things
Zhao et al. Quantitative evaluation model of network security situation based on DS evidence theory
CN112333155A (zh) 一种异常流量的检测方法、系统、电子设备及存储介质
CN112003833A (zh) 异常行为检测方法和装置
Wang et al. Security situational awareness of power information networks based on machine learning algorithms
CN115412358B (zh) 网络安全风险评估方法、装置、电子设备及存储介质
CN115600216B (zh) 检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination