CN117034260A

CN117034260A - 一种事件判定信息的生成方法、装置、介质及电子设备

Info

Publication number: CN117034260A
Application number: CN202311290888.2A
Authority: CN
Inventors: 陈伟胜; 孙洪伟; 肖新光
Original assignee: Shenzhen Antan Network Security Technology Co ltd
Current assignee: Shenzhen Antan Network Security Technology Co ltd
Priority date: 2023-10-08
Filing date: 2023-10-08
Publication date: 2023-11-10
Anticipated expiration: 2043-10-08
Also published as: CN117034260B

Abstract

本发明涉及数据处理领域，特别是涉及一种事件判定信息的生成方法、装置、介质及电子设备。包括：获取判定规则对应的规则命中路径。获取多个预设的画像信息，画像信息包括画像命中路径、事件画像标签及标记判定信息。将规则命中路径与每一画像命中路径进行比对处理，生成判定值命中判定规则时，目标事件对应的目标画像信息。将目标画像信息对应的事件画像标签及标记判定信息，作为目标事件在事件画像中的标记信息。本发明中，通过增加标记判定信息，可以在标记判定信息中设置更多的有效信息。由此，本发明中最终生成的事件画像信息包含更多的有效信息，便于安全分析人员更加及时准确的对目标事件的状态进行进一步的判定。

Description

一种事件判定信息的生成方法、装置、介质及电子设备

技术领域

本发明涉及数据处理领域，特别是涉及一种事件判定信息的生成方法、装置、介质及电子设备。

背景技术

由于当前终端设备中的各类事件信息的属性和行为特征，不仅种类多、变更迭代快，而且还存在安全状态与威胁状态互相转换的特征变化的场景。为了能让安全分析人员可以在第一时间全局观测网内终端各类事件信息的当前标签状态和威胁标签的分布状态，掌握网内的安全态势，以便进行响应处置，一般会对各类事件进行画像描述。

但是，现有技术中，对目标事件输出的画像描述信息中，通常仅是根据目标事件具有特征来判定其对应的画像标签，并进行标签的标注并输出对应的判定信息。但是，由于同一画像标签可能会对应多个判定信息，且不同的判定信息对于下游目标用户（如安全分析人员）可使用程度不同，存在很多无用判定信息。现有的事件判定信息的生成方法，无法选择更加适合下游目标用户（如安全分析人员）需要的判定信息，不利于安全分析人员更加及时准确的对目标事件的状态进行判定。

发明内容

针对上述无法选择更加适合下游目标用户（如安全分析人员）需要的判定信息，不利于安全分析人员更加及时准确的对目标事件的状态进行判定的技术问题，本发明采用的技术方案为：

根据本发明的一个方面，提供了一种事件判定信息的生成方法，该方法包括如下步骤：

响应于接收到判定规则被目标事件对应的判定值命中的信息，获取判定规则对应的规则命中路径。规则命中路径为判定值的取值路径。

获取多个预设的画像信息，画像信息包括画像命中路径、事件画像标签及标记判定信息。画像命中路径为预先被标记的一个或多个规则命中路径。

将规则命中路径与每一画像命中路径进行比对处理，生成判定值命中判定规则时，目标事件对应的目标画像信息。目标画像信息对应的目标画像命中路径与判定值命中的判定规则中的规则命中路径存在交集。规则命中路径与每一画像命中路径均由多个对应的路径节点构成。

将目标画像信息对应的事件画像标签及标记判定信息，作为目标事件在事件画像中的标记信息。

进一步的，比对处理，包括：

若规则命中路径与画像命中路径存在交集，且交集中的路径节点大于或等于第一节点阈值，则确定画像命中路径为目标画像命中路径。

将目标画像命中路径对应的画像信息，作为判定值命中判定规则时对应的目标画像信息。

进一步的，判定规则包括多个一级判定规则及多个二级判定规则，每一一级判定规则对应至少一个二级判定规则。

在响应于接收到判定规则被目标事件对应的判定值命中的信息之前，方法还包括：

将目标事件的每一判定值先与对应的二级判定规则中的判定信息进行初级匹配处理，生成每一二级判定规则对应的初级判定结果。

若任一一级判定规则对应的至少一个二级判定规则的初级判定结果符合对应的第一预设条件，则将对应的初级判定结果与一级判定规则进行次级匹配处理，生成一级判定规则对应的次级判定结果。一级判定规则对应的多个二级判定规则之间符合预设逻辑关系，逻辑关系包括逻辑或关系和/或逻辑与关系。

若一级判定规则对应的次级判定结果符合对应的第二预设条件，则确定一级判定规则被目标事件对应的判定值命中。

进一步的，判定值具有对应的取值索引。

将目标事件的每一判定值先与对应的二级判定规则进行初级匹配处理，包括：

根据每一判定值对应的取值索引，从多个二级判定规则中确定出每一判定值对应的目标二级判定规则，目标二级判定规则的规则命中路径与对应判定值的取值索引相同。

将每一判定值分别与对应目标二级判定规则中的判定信息进行匹配处理。

进一步的，根据每一判定值对应的取值索引，从多个二级判定规则中确定出判定值对应的目标二级判定规则，包括：

若任一二级判定规则中的规则命中路径与判定值对应的取值索引相同，则确定二级判定规则为判定值对应的目标二级判定规则。

进一步的，在将目标事件的每一判定值先与对应的二级判定规则中的判定信息进行初级匹配处理之前，该方法还包括：

获取目标事件的事件类型标识。

根据事件类型标识，确定目标事件对应的前缀信息集及预制规则集。

对前缀信息集及预制规则集进行规则生成处理，得到目标事件对应的判定规则集。规则生成处理包括按照预设规则将前缀信息集中的前缀信息与预制规则集中的预制规则进行组合，以生成目标事件对应的判定规则。判定规则集中包括的判定规则的总数量大于或等于预制规则集中包括的预制规则的总数量。

根据目标事件对应的判定规则集，生成目标事件对应的判定值集。

进一步的，根据目标事件对应的判定规则集，生成目标事件对应的判定值集，包括：

将判定规则集中每一判定规则对应的规则命中路径，作为每一判定规则对应的取值索引。

根据每一取值索引从目标事件对应的日志中获取到对应的判定值，生成目标事件对应的判定值集。

根据本发明的第二个方面，提供了一种事件判定信息的生成装置，该装置包括：

响应模块，用于响应于接收到判定规则被目标事件对应的判定值命中的信息，获取判定规则对应的规则命中路径。规则命中路径为判定值的取值路径。

获取模块，用于获取多个预设的画像信息，画像信息包括画像命中路径、事件画像标签及标记判定信息。画像命中路径为预先被标记的一个或多个规则命中路径。

比对模块，用于将规则命中路径与每一画像命中路径进行比对处理，生成判定值命中判定规则时，目标事件对应的目标画像信息。目标画像信息对应的目标画像命中路径与判定值命中的判定规则中的规则命中路径存在交集。规则命中路径与每一画像命中路径均由多个对应的路径节点构成。

画像生成模块，用于将目标画像信息对应的事件画像标签及标记判定信息，作为目标事件在事件画像中的标记信息。

根据本发明的第三个方面，提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如上述的一种事件判定信息的生成方法。

根据本发明的第四个方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述的一种事件判定信息的生成方法。

本发明至少具有以下有益效果：

通常由于判定规则被目标事件对应的判定值命中之后，最终输出的信息为对目标事件的描述信息，如仅标记一个对应的事件画像标签。但是，对于安全分析人员而言，其通常需要根据输出的描述信息进一步确定目标事件的状态。所以，需要最终输出的事件画像信息中能够提供更多的有效信息。本发明中，在判定规则被目标事件对应的判定值命中之后，将规则命中路径与每一画像命中路径进行比对处理，进而生成目标事件对应的目标画像信息。该画像信息中不仅包括提前设置好的事件画像标签，还包括标记判定信息。通过增加标记判定信息，可以在标记判定信息中设置更多的有效信息。由此，本发明中最终生成的事件画像信息包含更多的有效信息，可以选择更加适合下游目标用户（如安全分析人员）需要的判定信息，便于安全分析人员更加及时准确的对目标事件的状态进行进一步的判定。

另外，通常不同的子特征可以表示目标事件的同一特点，而本发明中的判定规则即为根据各个子特征进行转化的。所以，会存在不同的判定规则被命中时，会输出同一个事件画像标签的情况。但是，发明中最终生成的标记判定信息，是为了便于下游人员使用的，所以同一个事件画像标签，仅会输出一个最合适的标记判定信息。

同时，又由于各个判定规则均确定目标事件的同一特点，所以各个判定规则对应的判定值，会出现在目标事件对应日志存放该特点的数据部分中，由此，会使得各个判定值的存放路径（由多个路径节点组成）存在重叠的部分。在本发明中规则命中路径即为对应判定值的存放路径。所以同一个事件画像标签对应的各个规则命中路径会存在交集。依据该特点，将规则命中路径与每一画像命中路径进行比对处理，可以使任意子特征对应的判定规则被命中时，均可以输出同一个便于下游人员使用的标记判定信息。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种事件判定信息的生成方法的流程图；

图2为本发明实施例提供的某一目标事件的Json日志中对应的树结构的结构示意图；

图3为本发明实施例提供的一种事件判定信息的生成装置的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

作为本发明的一种可能的实施例，如图1所示，提供了一种事件判定信息的生成方法，该方法包括如下步骤：

S1：响应于接收到判定规则被目标事件对应的判定值命中的信息，获取判定规则对应的规则命中路径。规则命中路径为判定值的取值路径。

具体的，判定值具有对应的取值索引（取值路径），判定规则具有对应的规则命中路径。判定规则可以根据目标事件的特点进行提前配置。判定值可以为从目标事件的json日志中获取到的。在进行判定值与判定规则的匹配时，可以通过取值索引与规则命中路径之间的对应关系进行匹配。当判定值与判定规则的匹配成功时，生成判定规则被目标事件对应的判定值命中的信息。

在进行匹配时，首先通过规则命中路径来寻找至少一个对应的目标判定值，目标判定值为取值索引与规则命中路径相同的判定值。

然后，将每一个目标判定值分别与规则命中路径对应的判定规则中的具体判定信息，进行匹配。

具体的，判定规则可以根据实际的使用场景进行人为配置，通常可以包括如下形式：

如对字段中具体字符串的匹配：

如对文件名字符串中的固定形式后缀进行的匹配，其判定规则可以为：若目标字符串中包含.exe或.xml的后缀字符串，则匹配成功。若判定值对应的文件名为1111.exe，则该判定值与上述对应的判定规则匹配成功，也即判定值命中该判定规则。

S2：获取多个预设的画像信息，画像信息包括画像命中路径、事件画像标签及标记判定信息。画像命中路径为预先被标记的一个或多个规则命中路径。具体的，画像信息中包括画像命中路径及标记判定信息，即为预先被标记的判定规则中的规则命中路径及该规则命中路径对应的判定值。

S3：将规则命中路径与每一画像命中路径进行比对处理，生成判定值命中判定规则时，目标事件对应的目标画像信息。目标画像信息对应的目标画像命中路径与判定值命中的判定规则中的规则命中路径存在交集。规则命中路径与每一画像命中路径均由多个对应的路径节点构成。

进一步的，上述步骤S3中的比对处理，包括：

S31：若规则命中路径与画像命中路径存在交集，且交集中的路径节点大于或等于第一节点阈值，则确定画像命中路径为目标画像命中路径。本实施例中第一节点阈值可以为大于或等于2的正整数。由此可与排除Json日志中根节点对比对处理的影响。

S32：将目标画像命中路径对应的画像信息，作为判定值命中判定规则时对应的目标画像信息。

如图2所示，为某一目标事件的Json日志中对应的树结构。每一个叶子节点可以生成多个对应的叶子节点，上一层的叶子节点为相邻的下一层叶子节点的父级节点。其中，每一个圆圈表示一个叶子节点，圆圈中的字母表示该节点的节点名。

若目标画像信息为规则命中路径为a.b.d.h.j对应的画像信息，也即画像命中路径为a.b.d.h.j。画像信息对应的标记判定信息为a.b.d.h.j路径下的md5值。

若当前的判定值命中的判定规则对应的规则命中路径为a.b.c，则其与画像命中路径a.b.d.h.j，之间的交集为a.b.，交集中具有的路径节点为a与b，数量为2，符合条件。所以会将画像命中路径为a.b.d.h.j对应的画像信息进行输出，而不再输出a.b.c本身对应的画像信息。

同理，若还预设了规则命中路径为a.b.c的画像信息，则上述当前的判定值还命中了画像命中路径为a.b.c的画像信息，会同时将画像命中路径为a.b.c的画像信息进行输出。

若判定值还同时命中了规则命中路径为a.p.q对应的判定规则，则还会将画像命中路径为a.p.r.s和/或a.p.r.t对应的画像信息进行输出。

通常不同的子特征可以表示目标事件的同一特点，而本发明中的判定规则即为根据各个子特征进行转化的。所以，会存在不同的判定规则被命中时，会输出同一个事件画像标签的情况。但是，本发明中最终生成的标记判定信息，是为了便于下游人员使用的，所以同一个事件画像标签，仅会输出一个最合适下游人员使用的标记判定信息。

同时，又由于各个判定规则均为从不同角度确定目标事件的同一特点的判定规则，而这些不同角度的判定值，也会出现在目标事件在运行过程中的各个阶段，同时基于Json日志的数据存放规则，这些不同角度的判定值会按照对应的出现顺序，存放在目标事件对应的Json日志的各父子节点中。由此，会使得各个判定值的存放路径（取值索引）存在重叠的部分。在本发明中规则命中路径即为对应判定值的存放路径。所以同一个事件画像标签对应的各个规则命中路径会存在交集。依据该特点，将规则命中路径与每一画像命中路径进行比对处理，可以使任意子特征对应的判定规则被命中时，均可以输出同一个便于下游人员使用的标记判定信息。

S4：将目标画像信息对应的事件画像标签及标记判定信息，作为目标事件在事件画像中的标记信息。

通常由于匹配成功之后，最终输出的信息为对目标事件的描述信息。安全分析人员通常需要根据该描述信息判定目标事件的状态。所以最终输出的标记判定信息需要提供更多的有效信息。本实施例中通过比对处理可以准确定出每一个命中的判定规则对应的标记判定信息，并将该标记判定信息进行最终输出，可以排除规则命中路径的根节点对最终输出的标记判定信息的影响，可以保证最终输出信息包含更多的有效信息。

作为本发明的另一个实施例，在S1：响应于接收到判定规则被目标事件对应的判定值命中的信息之前，本实施例还提供了对判定值及判定规则之间的判定方法，通过该方法来确定判定规则被目标事件对应的判定值命中的信息：

在本实施例中，判定规则包括多个一级判定规则及多个二级判定规则，每一一级判定规则对应至少一个二级判定规则。一级判定规则对应的多个二级判定规则之间符合预设逻辑关系，逻辑关系包括逻辑或关系和/或逻辑与关系。

S10：将目标事件的每一判定值先与对应的二级判定规则中的判定信息进行初级匹配处理，生成每一二级判定规则对应的初级判定结果。

具体的，判定值具有对应的取值索引。S10具体包括：

S100：根据每一判定值对应的取值索引，从多个二级判定规则中确定出每一判定值对应的目标二级判定规则，目标二级判定规则的规则命中路径与对应判定值的取值索引相同。

具体的，每一级的判定规则均具有对应的规则命中路径。该规则命中路径实际为该判定规则对应的判定值的取值索引。如rule1对应的规则命中路径为：process_info_parent.file_info.md5。也即说明rule1是用来对该路径process_info_parent.file_info.md5下的md5值进行的判定。

具体的，S100包括：

S110：若任一二级判定规则中的规则命中路径与判定值对应的取值索引相同，则确定二级判定规则为判定值对应的目标二级判定规则。

S101：将每一判定值分别与对应目标二级判定规则中的判定信息进行匹配处理。

S11：若任一一级判定规则对应的初级判定结果符合对应的第一预设条件，则将对应初级判定结果与一级判定规则进行次级匹配处理，生成一级判定规则对应的次级判定结果。

具体的，以如下示例进行说明：一级判定规则为Rule1，该一级判定规则对应有3个二级判定规则分别为rule1、rule2及rule3。且3个二级判定规则之间的逻辑关系如下：rule1与rule2之间为逻辑与关系、rule2与rule3之间为逻辑或关系。由此，只有在3个二级判定规则均符合的情况下，才可以在对其对应的一级判定规则为Rule1进行匹配判定。

S12：若一级判定规则对应的次级判定结果符合对应的第二预设条件，则确定一级判定规则被目标事件对应的判定值命中。

具体的，第一预设条件及第二预设条件可以根据实际使用场景的需要进行配置，也即使用现有的逻辑关系进行连接。如第一预设条件可以为初级判定结果1与初级判定结果2均为匹配成功，也即判定值命中了判定规则。第二预设条件可以为次级判定结果1或次级判定结果2任一匹配成功。

由于本发明中的事件判定信息的生成方法，可以适用于多种类型的目标事件。由此，不同类型事件对应的判定规则的复杂度也存在较大差异。而在本实施例中，判定规则可以设置为多个层级，由此可以配置更加复杂到的检测规则，以适应更多的上述使用场景。同时，进行规则匹配时，为由低层级判定规则到高层级判定规则的顺序进行，由此在低层级判定规则不符合预设条件时，便不再进行下一层级的规则匹配处理，由此可以节省计算资源。

作为本发明的另一个实施例，在S10：将目标事件的每一判定值先与对应的二级判定规则中的判定信息进行初级匹配处理之前，该方法还包括：

S01：获取目标事件的事件类型标识。

具体的，本实施例中可以根据目标事件的json日志中的事件类型字段值，生成目标事件的事件类型标识。

S02：根据事件类型标识，确定目标事件对应的前缀信息集及预制规则集。

前缀信息集及预制规则集均可以根据实际的使用场景进行提前配置。并且在配置完成后会分别赋予对应的事件类型标识，以便在后期的使用过程中进行筛选使用。如前缀信息库中可以包括如下前缀信息集：

process_behavior: process_info_parent.file_info，process_info_self.file_info。

file_behavior: process_info.file_info，file_info。

其中，process_behavior及file_behavior分别为两个前缀信息集对应的事件类型标识。同理，预制规则集也可以按照上方式设置对应的事件类型标识。

由于在json日志中数据符合树结构的数据形式。所以如果多个字段均处于同一个叶子节点中，由于同一叶子节点对应的父级节点路径相同，那么该多个字段对应的父级节点路径也相同。本实施例中的父级节点路径也即前缀信息集中的前缀信息。在实际的使用场景中，父级节点路径由每一个父级节点的名称构成。其具体的形式如下xxx.xxx.xxx.xxx，如process_info_parent.file_info.md5。其中，md5字段所在的叶子节点的名称为file_info。且file_info对应的父级节点的名称为process_info_parent。实质上每一个前缀信息为对应的字段的存放路径信息。由此，根据不同事件中各个待检测字段的实际存放路径，可以将其提前设置为该字段对应的前缀信息。

S03：对前缀信息集及预制规则集进行规则生成处理，得到目标事件对应的判定规则集。规则生成处理包括按照预设规则将前缀信息集中的前缀信息与预制规则集中的预制规则进行组合，以生成目标事件对应的判定规则。判定规则集中包括的判定规则的总数量大于或等于预制规则集中包括的预制规则的总数量。

具体的，每一预制规则包括对应的组合标识、判定信息及命中字段名。前缀信息集中包括至少一个前缀信息。前缀信息由目标事件对应的josn日志中预设层级节点的节点名构成，预设层级节点也即为josn日志中树结构的数据中各个层级对应的叶子节点。

其中，目标事件对应的预制规则集中的第i个预制规则A_i=(A_i ¹，A_i ²，A_i ³)；A_i ¹为A_i对应的组合标识，A_i ²为A_i对应的判定信息，A_i ³为A_i对应的命中字段名。目标事件对应的前缀信息集中的第n个前缀信息B_m ⁿ。

当A_i ¹=1时，按照如下形式，将预制规则与每一前缀信息进行拼接，以生成更多新的规则命中路径。具体的，B_m ⁿ与A_i ³拼接后生成的规则命中路径C_i ⁿ=B_m ⁿ.A_i ³。其中，“.”为预设的连接符。

然后再将新生成规则命中路径与对应的判定信息组合成更多新的判定规则。

以如下示例进行说明：命中字段名A_i ³=md5，其对应的前缀信息分别为process_info_parent.file_info及process_info_self.file_info。当A_i ¹=1时，最终会生成两个规则命中路径分别为process_info_parent.file_info.md5及process_info_self.file_info.md5。由此，对应的判定规则最终也可以为两个，由此可以根据实际需要进行判定规则的扩充。

S04：根据目标事件对应的判定规则集，生成目标事件对应的判定值集。

具体的，S04包括：

S041：将判定规则集中每一判定规则对应的规则命中路径，作为每一判定规则对应的取值索引。

S042：根据每一取值索引从目标事件对应的日志中获取到对应的判定值，生成目标事件对应的判定值集。

本实施例中通过在预设规则中设置A_i ¹来作为规则生成处理的触发标识，由此用户可以根据实际使用需求在需要进行复用的预制规则中设置对应的A_i ¹。而在后期的实际使用中，经过规则生成处理后会生成多个对应的判定规则。进而可以满足对不同取值索引下同一字段值的判定规则配置，可以减少开发人员的开发工作量。同时，若在后期使用过程中字段值的存放路径发生改变，则维护人员仅需要根据改变后的存放路径形成对应的前缀信息，并用更新后的前缀信息，替换对应的原始前缀信息就可以使该字段值对应的判定规则依然维持有效。而不需要重新开发新的对应的判定规则，由此也可以提高开发效率及降低后期维护难度。

根据本发明的第二个方面，如图3所示，提供了一种事件判定信息的生成装置，该装置包括：

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、移动终端、或者网络设备等）执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件（包括储存器和处理器）的总线。

其中，储存器存储有程序代码，程序代码可以被处理器执行，使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器（RAM）和/或高速缓存储存器，还可以进一步包括只读储存器（ROM）。

储存器还可以包括具有一组（至少一个）程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。

电子设备也可以与一个或多个外部设备（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（m/O）接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络（例如局域网（LAN），广域网（WAN）和/或公共网络，例如因特网）通信。网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAmD系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（RAM）、只读存储器（ROM）、可擦式可编程只读存储器（EPROM或闪存）、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（LAN）或广域网（WAN），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种事件判定信息的生成方法，其特征在于，所述方法包括如下步骤：

响应于接收到判定规则被目标事件对应的判定值命中的信息，获取所述判定规则对应的规则命中路径；所述规则命中路径为所述判定值的取值路径；

获取多个预设的画像信息，所述画像信息包括画像命中路径、事件画像标签及标记判定信息；所述画像命中路径为预先被标记的一个或多个规则命中路径；

将所述规则命中路径与每一画像命中路径进行比对处理，生成所述判定值命中判定规则时，所述目标事件对应的目标画像信息；所述目标画像信息对应的目标画像命中路径与所述判定值命中的判定规则中的规则命中路径存在交集；所述规则命中路径与每一画像命中路径均由多个对应的路径节点构成；

将所述目标画像信息对应的事件画像标签及标记判定信息，作为所述目标事件在事件画像中的标记信息。

2.根据权利要求1所述的方法，其特征在于，所述比对处理，包括：

若所述规则命中路径与画像命中路径存在交集，且交集中的路径节点大于或等于第一节点阈值，则确定所述画像命中路径为目标画像命中路径；

将所述目标画像命中路径对应的画像信息，作为所述判定值命中判定规则时对应的目标画像信息。

3.根据权利要求2所述的方法，其特征在于，所述判定规则包括多个一级判定规则及多个二级判定规则，每一所述一级判定规则对应至少一个二级判定规则；

在响应于接收到判定规则被目标事件对应的判定值命中的信息之前，所述方法还包括：

将所述目标事件的每一判定值先与对应的二级判定规则中的判定信息进行初级匹配处理，生成每一二级判定规则对应的初级判定结果；

若任一所述一级判定规则对应的至少一个二级判定规则的初级判定结果符合对应的第一预设条件，则将对应初级判定结果与所述一级判定规则进行次级匹配处理，生成所述一级判定规则对应的次级判定结果；所述一级判定规则对应的多个所述二级判定规则之间符合预设逻辑关系，所述逻辑关系包括逻辑或关系和/或逻辑与关系；

若所述一级判定规则对应的次级判定结果符合对应的第二预设条件，则确定所述一级判定规则被目标事件对应的判定值命中。

4.根据权利要求3所述的方法，其特征在于，所述判定值具有对应的取值索引；

将所述目标事件的每一判定值先与对应的二级判定规则进行初级匹配处理，包括：

根据每一所述判定值对应的取值索引，从多个二级判定规则中确定出每一所述判定值对应的目标二级判定规则，所述目标二级判定规则的规则命中路径与对应判定值的取值索引相同；

将每一所述判定值分别与对应目标二级判定规则中的判定信息进行匹配处理。

5.根据权利要求4所述的方法，其特征在于，根据每一所述判定值对应的取值索引，从多个二级判定规则中确定出所述判定值对应的目标二级判定规则，包括：

若任一二级判定规则中的规则命中路径与判定值对应的取值索引相同，则确定所述二级判定规则为所述判定值对应的目标二级判定规则。

6.根据权利要求3所述的方法，其特征在于，在将所述目标事件的每一判定值先与对应的二级判定规则中的判定信息进行初级匹配处理之前，所述方法还包括：

获取目标事件的事件类型标识；

根据所述事件类型标识，确定目标事件对应的前缀信息集及预制规则集；

对所述前缀信息集及预制规则集进行规则生成处理，得到所述目标事件对应的判定规则集；所述规则生成处理包括按照预设规则将前缀信息集中的前缀信息与预制规则集中的预制规则进行组合，以生成所述目标事件对应的判定规则；所述判定规则集中包括的判定规则的总数量大于或等于所述预制规则集中包括的预制规则的总数量；

根据所述目标事件对应的判定规则集，生成所述目标事件对应的判定值集。

7.根据权利要求6所述的方法，其特征在于，根据所述目标事件对应的判定规则集，生成所述目标事件对应的判定值集，包括：

将判定规则集中每一判定规则对应的规则命中路径，作为每一判定规则对应的取值索引；

根据每一所述取值索引从目标事件对应的日志中获取到对应的判定值，生成所述目标事件对应的判定值集。

8.一种事件判定信息的生成装置，其特征在于，包括：

响应模块，用于响应于接收到判定规则被目标事件对应的判定值命中的信息，获取所述判定规则对应的规则命中路径；所述规则命中路径为所述判定值的取值路径；

获取模块，用于获取多个预设的画像信息，所述画像信息包括画像命中路径、事件画像标签及标记判定信息；所述画像命中路径为预先被标记的一个或多个规则命中路径；

比对模块，用于将所述规则命中路径与每一画像命中路径进行比对处理，生成所述判定值命中判定规则时，所述目标事件对应的目标画像信息；所述目标画像信息对应的目标画像命中路径与所述判定值命中的判定规则中的规则命中路径存在交集；所述规则命中路径与每一画像命中路径均由多个对应的路径节点构成；

画像生成模块，用于将所述目标画像信息对应的事件画像标签及标记判定信息，作为所述目标事件在事件画像中的标记信息。

9.一种非瞬时性计算机可读存储介质，所述非瞬时性计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种事件判定信息的生成方法。

10.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种事件判定信息的生成方法。