国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種數(shù)據(jù)處理方法及裝置與流程

      文檔序號:12477631閱讀:418來源:國知局
      一種數(shù)據(jù)處理方法及裝置與流程

      本發(fā)明屬于互聯(lián)網(wǎng)技術領域,具體而言,涉及一種數(shù)據(jù)處理方法及裝置。



      背景技術:

      安全事件管理平臺是數(shù)據(jù)收集與分析系統(tǒng)的統(tǒng)稱,主要用于收集數(shù)據(jù)(以采集系統(tǒng)日志文件為主),將這些數(shù)據(jù)創(chuàng)建索引,最終按照用戶的需求對數(shù)據(jù)進行搜索,獲得有價值的信息,并通過表格或圖表的方式展示給用戶。目前的安全事件管理平臺中,用于展示數(shù)據(jù)的圖表有柱狀圖、餅圖、折線圖等,都是用于展示數(shù)據(jù)的基本信息,例如,同種類型的安全事件的數(shù)量統(tǒng)計,或者對安全事件的基本信息做簡單的數(shù)學計算或統(tǒng)計(如平均值,最大值等)的結果進行展示,無法對每一條數(shù)據(jù)進行可視化的展示,不利于用戶對數(shù)據(jù)的進一步分析。



      技術實現(xiàn)要素:

      本發(fā)明的目的在于提供一種數(shù)據(jù)處理方法及裝置,能夠?qū)Λ@取到的每個事件進行圖形化顯示,有效地改善了上述問題。

      為了實現(xiàn)上述目的,本發(fā)明采用的技術方案如下:

      第一方面,本發(fā)明實施例提供了一種數(shù)據(jù)處理方法,所述方法包括:獲取多個事件;獲取每個所述事件的特征信息,其中,所述特征信息包括源信息、動作信息和目的信息;將每個所述事件的所述源信息及所述目的信息標記為端節(jié)點,將所述動作信息標記為動作節(jié)點;將每個所述事件對應的端節(jié)點及動作節(jié)點關聯(lián),并記錄每個事件對應的端節(jié)點及動作節(jié)點的指向關系;根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示。

      第二方面,本發(fā)明實施例還提供了一種數(shù)據(jù)處理裝置,所述裝置包括:第一獲取模塊、第二獲取模塊、標記模塊、關聯(lián)模塊及顯示模塊。第一獲取模塊用于獲取多個事件。第二獲取模塊用于獲取每個所述事件的特征信息,其中,所述特征信息包括源信息、動作信息和目的信息。標記模塊用于將每個所述事件的所述源信息及所述目的信息標記為端節(jié)點,將所述動作信息標記為動作節(jié)點。關聯(lián)模塊用于將每個所述事件對應的端節(jié)點及動作節(jié)點關聯(lián),并記錄每個事件對應的端節(jié)點及動作節(jié)點的指向關系。顯示模塊用于根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示。

      相比于現(xiàn)有采用柱狀圖、餅圖、折線圖等圖表展示方式,本發(fā)明實施例提供的數(shù)據(jù)處理方法及裝置通過獲取每個事件的源信息、動作信息和目的信息,將每個事件的源信息及目的信息標記為端節(jié)點,將所述動作信息標記為動作節(jié)點,將每個事件對應的端節(jié)點及動作節(jié)點關聯(lián),并記錄每個事件對應的端節(jié)點及動作節(jié)點的指向關系,根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示,有效地實現(xiàn)了所獲取到的事件的可視化圖形展示,方便了用戶對事件進行進一步調(diào)查。

      為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂,下文特舉較佳實施例,并配合所附附圖,作詳細說明如下。

      附圖說明

      為了更清楚地說明本發(fā)明實施例的技術方案,下面將對實施例中所需要使用的附圖作簡單地介紹,應當理解,以下附圖僅示出了本發(fā)明的某些實施例,因此不應被看作是對范圍的限定,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他相關的附圖。

      圖1為本發(fā)明較佳的實施例提供的計算機的方框示意圖;

      圖2為本發(fā)明較佳的實施例提供的一種數(shù)據(jù)處理方法的方法流程圖;

      圖3為本發(fā)明較佳的實施例提供的一種數(shù)據(jù)處理方法中步驟203的方法流程圖;

      圖4為本發(fā)明較佳的實施例提供的另一種數(shù)據(jù)處理方法的方法流程圖;

      圖5為本發(fā)明較佳的實施例提供的另一種數(shù)據(jù)處理方法的方法流程圖;

      圖6為本發(fā)明較佳的實施例提供的一種應用場景中生成的第一事件圖的示意圖;

      圖7為本發(fā)明較佳的實施例提供的一種應用場景中生成的第二事件圖的示意圖;

      圖8為本發(fā)明較佳的實施例提供的一種應用場景中生成的第三事件圖的示意圖;

      圖9為本發(fā)明較佳的實施例提供的一種應用場景中生成的第四事件圖的示意圖;

      圖10為本發(fā)明較佳的實施例提供的一種數(shù)據(jù)處理裝置的結構框圖;

      圖11為本發(fā)明較佳的實施例提供的另一種數(shù)據(jù)處理裝置的結構框圖;

      圖12為本發(fā)明較佳的實施例提供的另一種數(shù)據(jù)處理裝置的結構框圖。

      具體實施方式

      下面將結合本發(fā)明實施例中附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。通常在此處附圖中描述和示出的本發(fā)明實施例的組件可以以各種不同的配置來布置和設計。因此,以下對在附圖中提供的本發(fā)明的實施例的詳細描述并非旨在限制要求保護的本發(fā)明的范圍,而是僅僅表示本發(fā)明的選定實施例。基于本發(fā)明的實施例,本領域技術人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。

      應注意到:相似的標號和字母在下面的附圖中表示類似項,因此,一旦某一項在一個附圖中被定義,則在隨后的附圖中不需要對其進行進一步定義和解釋。同時,在本發(fā)明的描述中,術語“第一”、“第二”等僅用于區(qū)分描述,而不能理解為指示或暗示相對重要性。

      如圖1所示,是本發(fā)明提供的計算機100的方框示意圖。所述計算機100包括數(shù)據(jù)處理裝置110、存儲器120、存儲控制器130、處理器140、外設接口150、輸入輸出裝置160及顯示裝置170。

      所述存儲器120、存儲控制器130、處理器140、外設接口150、輸入輸出裝置160、顯示裝置170之間直接或間接地電性連接,以實現(xiàn)數(shù)據(jù)的傳輸或交互。例如,這些元件相互之間可通過一條或多條通訊總線或信號線實現(xiàn)電性連接。所述數(shù)據(jù)處理裝置110包括至少一個可以軟件或固件(firmware)的形式存儲于所述存儲器120中或固化在所述計算機100的操作系統(tǒng)(operating system,OS)中的軟件功能模塊。所述處理器140用于執(zhí)行存儲器120中存儲的可執(zhí)行模塊,例如所述數(shù)據(jù)處理裝置110包括的軟件功能模塊或計算機100程序。

      其中,存儲器120可以是,但不限于,隨機存取存儲器(Random Access Memory,RAM),只讀存儲器(Read Only Memory,ROM),可編程只讀存儲器(Programmable Read-Only Memory,PROM),可擦除只讀存儲器(Erasable Programmable Read-Only Memory,EPROM),電可擦除只讀存儲器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存儲器120用于存儲程序,所述處理器140在接收到執(zhí)行指令后,執(zhí)行所述程序,前述本發(fā)明實施例任一實施例揭示的流過程定義的服務器所執(zhí)行的方法可以應用于處理器140中,或者由處理器140實現(xiàn)。

      處理器140可能是一種集成電路芯片,具有信號的處理能力。上述的處理器140可以是通用處理器,包括中央處理器(Central Processing Unit,簡稱CPU)、網(wǎng)絡處理器(Network Processor,簡稱NP)等;還可以是數(shù)字信號處理器(DSP)、專用集成電路(ASIC)、現(xiàn)成可編程門陣列(FPGA)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件??梢詫崿F(xiàn)或者執(zhí)行本發(fā)明實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器140也可以是任何常規(guī)的處理器140等。

      所述外設接口150將各種輸入/輸出裝置耦合至處理器140以及存儲器120。在一些實施例中,外設接口150,處理器140以及存儲控制器130可以在單個芯片中實現(xiàn)。在其他一些實例中,他們可以分別由獨立的芯片實現(xiàn)。

      輸入輸出裝置160用于提供給用戶輸入數(shù)據(jù)實現(xiàn)用戶與所述計算機100的交互。所述輸入輸出裝置160可以是,但不限于,鼠標和鍵盤等。

      顯示裝置170在所述計算機100與用戶之間提供一個交互界面(例如用戶操作界面)或用于顯示圖像數(shù)據(jù)給用戶參考。在本實施例中,所述顯示裝置170可以是液晶顯示器或觸控顯示器。若為觸控顯示器,其可為支持單點和多點觸控操作的電容式觸控屏或電阻式觸控屏等。支持單點和多點觸控操作是指觸控顯示器能感應到來自該觸控顯示器上一個或多個位置處同時產(chǎn)生的觸控操作,并將該感應到的觸控操作交由處理器140進行計算和處理。

      如圖2所示,本發(fā)明實施例提供了一種數(shù)據(jù)處理方法,所述方法至少包括以下步驟S201至步驟S205。

      步驟S201,獲取多個事件。

      其中,所述事件即為網(wǎng)絡安全事件,是指違反明顯的或隱含的安全政策的一次活動,也就是指對網(wǎng)絡信息系統(tǒng)的正常運作有負面影響的相關活動。例如,“偵測21.4.220.9繞過堡壘機訪問了服務器1.1.1.2”即為一個事件。獲取多個事件的具體方式可以為:通過計算機中安裝的安全事件管理平臺采集網(wǎng)絡日志文件中包括的網(wǎng)絡安全事件。

      步驟S202,獲取每個所述事件的特征信息,其中,所述特征信息包括源信息、動作信息和目的信息。

      在安全運維領域中,每一個事件均包含源地址IP、動作和目的地址IP。將事件的原地址IP定義為源信息,事件的動作定義為動作信息,目的地址IP定義為目的信息。例如,安全事件管理平臺有一條告警:“偵測21.4.220.9繞過堡壘機訪問了服務器1.1.1.2”。在這個告警事件中,“21.4.220.9”就是事件的源信息,“繞過堡壘機訪問”是動作信息,“1.1.1.2”則是目的信息。

      步驟S203,將每個所述事件的所述源信息及所述目的信息標記為端節(jié)點,將所述動作信息標記為動作節(jié)點。

      將獲取到的當前事件的源信息和目的信息均標記為端節(jié)點,將獲取到的動作信息標記為動作節(jié)點。

      由于網(wǎng)絡安全事件很多都并不是獨立的,通常是具有關聯(lián)性的。因此,為了能夠進一步展示事件之間的關聯(lián)性,如圖3所示,本實施例中,將每個所述事件的所述源信息及所述目的信息標記為端節(jié)點,將所述動作信息標記為動作節(jié)點的步驟具體可以包括以下步驟S301至步驟S310。

      步驟S301,判斷預設的數(shù)據(jù)庫中是否存在與當前事件的源信息匹配的端節(jié)點?

      當所述數(shù)據(jù)庫中存在與所述當前事件的源信息匹配的端節(jié)點時,執(zhí)行步驟S302,當所述數(shù)據(jù)庫中不存在與所述當前事件的源信息匹配的端節(jié)點時,執(zhí)行步驟S303。

      其中,所述數(shù)據(jù)庫用于存儲獲取到的多個事件的源信息、目的信息及動作信息,以及每一個事件的源信息、目的信息及動作信息的指向關系。

      步驟S302,增加與當前事件的源信息匹配的端節(jié)點的第一權重值。

      也就是說,源信息與該端節(jié)點表示的信息相同的事件越多,該端節(jié)點的第二權重值就越大。

      步驟S303,將當前事件的源信息添加到所述數(shù)據(jù)庫中并將所述源信息標記為端節(jié)點。

      步驟S304,判斷預設的數(shù)據(jù)庫中是否存在與當前事件的目的信息匹配的端節(jié)點?

      當所述數(shù)據(jù)庫中存在與所述當前事件的目的信息匹配的端節(jié)點時,執(zhí)行步驟S305,當所述數(shù)據(jù)庫中不存在與所述當前事件的目的信息匹配的端節(jié)點時,執(zhí)行步驟S306。

      步驟S305,增加與當前事件的目的信息匹配的端節(jié)點的第二權重值。

      也就是說,目的信息與該端節(jié)點表示的信息相同的事件越多,該端節(jié)點的第二權重值就越大。

      步驟S306,將當前事件的目的信息添加到所述數(shù)據(jù)庫中并將所述目的信息標記為端節(jié)點。

      步驟S307,判斷預設的數(shù)據(jù)庫中是否存在與當前事件的動作信息匹配的動作節(jié)點?

      當所述數(shù)據(jù)庫中存在與所述當前事件的動作信息匹配的動作節(jié)點時,執(zhí)行步驟S308,當所述數(shù)據(jù)庫中不存在與所述當前事件的動作信息匹配的動作節(jié)點時,執(zhí)行步驟S310。

      步驟S308,判斷與所述動作節(jié)點關聯(lián)的源信息是否與所述當前事件的源信息相同?

      若與所述動作節(jié)點關聯(lián)的源信息與所述當前事件的源信息相同時,執(zhí)行步驟S309;若與所述動作節(jié)點關聯(lián)的源信息與所述當前事件的源信息不相同時執(zhí)行步驟S310。

      步驟S309,增加與當前事件的動作信息匹配的動作節(jié)點的第三權重值。

      也就是說,包含該動作節(jié)點表示的動作信息的事件越多,該動作節(jié)點的第三權重值就越大。

      步驟S310,將所述當前事件的動作信息添加到所述數(shù)據(jù)庫中并標記為動作節(jié)點。

      在本實施例的一種優(yōu)選的實施方式中,不同事件中相同的源信息和目的信息不能重復在數(shù)據(jù)庫中添加,即保證數(shù)據(jù)庫中每個端節(jié)點都是唯一的。

      例如,數(shù)據(jù)庫中已經(jīng)存儲有事件A的源信息a1、動作信息b1及目的信息c1,其中,源信息a1被標記為端節(jié)點E1,目的信息c1被標記為一個端節(jié)點E2,動作信息b1被標記為動作節(jié)點D1。獲取到事件B的源信息a2、動作信息b2及目的信息c2。根據(jù)上述步驟S301至步驟S310對事件B進行處理,判斷數(shù)據(jù)庫中是否存在與源信息a2匹配的端節(jié)點,即將源信息a2分別與源信息a1和目的信息c1進行匹配。當源信息a1與源信息a2相同時,增加端節(jié)點E1的第一權重值;當目的信息c1與源信息a2相同時,增加端節(jié)點E2的第一權重值。當源信息a1和目的信息c1跟源信息a2均不相同時,將源信息a2添加到數(shù)據(jù)庫中,并將源信息a2標記為端節(jié)點E3。同理,判斷數(shù)據(jù)庫中是否存在與目的信息c2匹配的端節(jié)點,即將目的信息c2分別與源信息a1和目的信息c1進行匹配。當源信息a1與目的信息c2相同時,增加端節(jié)點E1的第二權重值;當目的信息c1與目的信息c2相同時,增加端節(jié)點E2的第二權重值。當源信息a1和目的信息c1跟目的信息c2均不相同時,將目的信息c2添加到數(shù)據(jù)庫中,并將目的信息c2標記為端節(jié)點E4。

      進一步,判斷數(shù)據(jù)庫中是否存在與動作信息b2匹配的動作節(jié)點。即將動作信息b1與動作信息b2進行匹配。當動作信息b2與動作信息b1不同時,將動作信息b2添加到數(shù)據(jù)庫中,并將動作信息b2標記為動作節(jié)點D2;當動作信息b2與動作信息b1相同時,判斷源信息a2與源信息a1是否相同,當源信息a2與源信息a1相同時,增加動作節(jié)點D1的第三權重值,當源信息a2與源信息a1不相同時,將動作信息b2添加到數(shù)據(jù)庫中,并將動作信息b2標記為動作節(jié)點D2。

      步驟S204,將每個所述事件對應的端節(jié)點及動作節(jié)點關聯(lián),并記錄每個事件對應的端節(jié)點及動作節(jié)點的指向關系。

      經(jīng)過上述步驟S203后,每一個事件均對應于兩個端節(jié)點及一個動作節(jié)點。將每一個事件對應的兩個端節(jié)點及一個動作節(jié)點關聯(lián)的具體方式可以為:數(shù)據(jù)庫中設置有對應表,對應表中包括每一個事件所包括的兩個端節(jié)點及動作節(jié)點的對應關系。記錄每個事件對應的端節(jié)點及動作節(jié)點的指向關系的具體方式可以為:每一個事件對應的構建一個節(jié)點序列,所述節(jié)點序列包括每一個事件對應的兩個端節(jié)點和動作節(jié)點。其中,端節(jié)點在節(jié)點序列中的排列位置代表該端節(jié)點作為該事件的源節(jié)點還是目的節(jié)點。需要說明的是,當端節(jié)點表示的信息為事件的源信息時,說明該端節(jié)點為該事件的源節(jié)點,當端節(jié)點表示的信息為事件的目的信息時,說明該端節(jié)點為該事件的目的節(jié)點,每一個端節(jié)點既可以作為某某事件的源節(jié)點,也可以作為其他事件的目的節(jié)點。每個事件對應的端節(jié)點及動作節(jié)點的指向關系為:源節(jié)點指向動作節(jié)點,動作節(jié)點指向目的節(jié)點。

      例如,第一事件包括的兩個端節(jié)點分別為E1和E2,動作節(jié)點為D1,當E1為該第一事件的源節(jié)點、E2為該第一事件的目的節(jié)點時,該第一事件的指向關系可以表示為(E1,D1,E2),表示該第一事件由E1指向D1,D1指向E2。當?shù)诙录ǖ膬蓚€端節(jié)點分別為E2和E3,動作節(jié)點為D2,且E2為所述第二事件的源節(jié)點,E3為所述第二事件的目的節(jié)點時,所述第二事件的指向關系可以表示為(E2,D2,E3),表示該第二事件由E2指向D2,D2指向E3。其中,端節(jié)點E2既作為第一事件的目的節(jié)點,又作為第二事件的源節(jié)點。

      步驟S205,根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示。

      預先設置有圖形構建模型,圖形構建模型中,端節(jié)點對應于第一圖形,動作節(jié)點對應于第二圖形,根據(jù)相關聯(lián)的端節(jié)點及動作節(jié)點對應的第一圖形、第二圖形以及相關聯(lián)的端節(jié)點及動作節(jié)點的指向關系可以生成第三圖形。

      例如,第一圖形可以為方形,第二圖形可以為圓形,第三圖形為由第一圖形、第二圖形以及單向箭頭構成,其中,單向箭頭用于表示相關聯(lián)的端節(jié)點及動作節(jié)點的指向關系。需要說明的是,任意兩個關聯(lián)的端節(jié)點和動作節(jié)點之間只有一個單向箭頭。

      按照上述圖形構建模型,將所標記的所有端節(jié)點、動作節(jié)點以及上述步驟S204中的指向關系生成第一事件圖,在顯示裝置170中進行顯示。將獲取到的多個事件轉(zhuǎn)化為第一事件圖進行顯示,有利于直觀地展示多個事件的關聯(lián)性,也有利于用戶對這些事件的進一步調(diào)查。

      當然,為了明確所生成的第一事件圖中每一個端節(jié)點及每一個動作節(jié)點所代表的信息,將每一個端節(jié)點所表示的信息也對應的顯示在該端節(jié)點對應的第一圖形處,將每一個動作節(jié)點所表示的動作信息也對應的顯示在該動作節(jié)點對應的第二圖形處。例如,可以將每一個節(jié)點包括端節(jié)點與動作節(jié)點對應的信息顯示在對應的圖形內(nèi),也可以顯示在對應的圖形附近的預設距離處,該預設距離可以根據(jù)需要設置。

      具體的,本實施例中,第一事件圖主要包括兩種展示模式,兩種展示模式分別為:不體現(xiàn)權重值的模式和體現(xiàn)權重值的模式。

      在不體現(xiàn)權重值的模式下,如圖4所示,上述步驟205中,根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示的方法可以包括步驟S401至步驟S403。

      步驟S401,將數(shù)據(jù)庫中存儲的每個端節(jié)點對應的第一圖形進行顯示,并在所述第一圖形處顯示該端節(jié)點對應的特征信息。

      步驟S402,將所述數(shù)據(jù)庫中存儲的每個動作節(jié)點對應的第二圖形進行顯示,并在所述第二圖形處顯示該動作節(jié)點對應的特征信息。

      步驟S403,根據(jù)所顯示的第一圖形、所顯示的第二圖形及所述指向關系將第三圖形進行顯示。

      此時,每一個端節(jié)點對應的第一圖形的面積與預先設置的面積相等,每一個動作節(jié)點對應的第二圖形的面積與預先設置的面積相等。優(yōu)選的,每一個端節(jié)點對應的第一圖形的面積相等,每一個動作節(jié)點對應的第二圖形的面積也相等。

      在體現(xiàn)權重值的模式下,如圖5所示,上述步驟205中,根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示的方法可以包括步驟S501至步驟S503。

      步驟S501,將所述數(shù)據(jù)庫中存儲的每個端節(jié)點對應的第一圖形進行顯示,并在所述第一圖形處顯示該端節(jié)點對應的特征信息,其中,每個端節(jié)點對應的第一圖形的面積與該端節(jié)點的權重值成第一預設關系。

      步驟S501中,端節(jié)點的權重值為該端節(jié)點的第一權重值與第二權重值之和。需要說明的是,第一權重值表示該端節(jié)點作為源節(jié)點的權重值,第二權重值表示該端節(jié)點作為目的節(jié)點的權重值。

      步驟S502,將所述數(shù)據(jù)庫中存儲的每個動作節(jié)點對應的第二圖形進行顯示,并在所述第二圖形處顯示該動作節(jié)點對應的特征信息,其中,每個動作節(jié)點對應的第二圖形的尺寸與該動作節(jié)點的第三權重值成第二預設關系。

      步驟S503,根據(jù)所顯示的第一圖形、所顯示的第二圖形及所述指向關系將第三圖形進行顯示。

      其中,第一預設關系和第二預設關系均為正比例關系,即端節(jié)點的權重值越大,其對應的第一圖形的面積也就越大,同理,動作節(jié)點的權重值越大,其對應的第二圖形的面積也就越大。

      此時,用戶通過對比第一事件圖中每一個端節(jié)點對應的圖形的面積,可以直觀的得到一些出現(xiàn)次數(shù)較多的端節(jié)點,有利于用戶在短時間內(nèi)在大量數(shù)據(jù)中發(fā)現(xiàn)可疑的事件。

      進一步的,第一事件圖構建完成后,用戶可以在所構建的第一事件圖上直接選擇需要進一步調(diào)查的事件來進行過濾操作。執(zhí)行過濾操作后的事件圖只展示用戶選擇了的那部分事件。上述過濾操作主要包括初步過濾模式、源過濾模式和目的過濾模式。

      其中,初步過濾模式的具體實現(xiàn)方式可以為:將步驟S205所生成的第一事件圖更新為第二事件圖,所述第二事件圖包括與該第一圖形對應的端節(jié)點關聯(lián)的其他端節(jié)點、動作節(jié)點及相應的指向關系對應的圖形及特征信息。其中,第一觸發(fā)指令可以通過鼠標點擊、鍵盤或者是觸摸屏等輸入輸出裝置160輸入。

      也就是說,僅將與該第一圖形對應的端節(jié)點相關的事件添加到第二事件圖中進行顯示,以便于用戶可以對與該第一圖形對應的端節(jié)點相關的事件進行進一步調(diào)查。

      另外,除了上述方式外,初步過濾模式也可以是在第一事件圖的基礎上,將與該第一圖形對應的端節(jié)點相關聯(lián)的端節(jié)點和動作節(jié)點分別對應的圖形及特征信息、以及相應的指向關系對應的圖形進行高亮顯示。或者是,將與該第一圖形對應的端節(jié)點不相關聯(lián)的端節(jié)點和動作節(jié)點分別對應的圖形及特征信息、以及相應的指向關系對應的圖形進行灰顯。

      源過濾模式的具體實現(xiàn)方式可以為:當獲取到用戶對任一第一圖形的第二觸發(fā)指令時,將步驟S205所生成的第一事件圖更新為第三事件圖。所述第三事件圖包括當該第一圖形對應的端節(jié)點作為源節(jié)點時,與所述源節(jié)點關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息。同理,第二觸發(fā)指令可以通過鼠標點擊、鍵盤或者是觸摸屏等輸入輸出裝置160輸入。

      也就是說,僅將與該第一圖形對應的端節(jié)點作為源節(jié)點的事件添加到第三事件圖中進行顯示,以便于用戶可以調(diào)查該源節(jié)點對哪些目的節(jié)點做了什么動作。

      同理,除了上述方式外,源過濾模式也可以是在整個事件圖的基礎上,將當該第一圖形對應的端節(jié)點作為源節(jié)點時,與所述源節(jié)點關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息進行高亮顯示?;蛘呤?,將當該第一圖形對應的端節(jié)點作為源節(jié)點時,與所述源節(jié)點不關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息進行灰顯。

      目的過濾模式的具體實現(xiàn)方式可以為:當獲取到用戶對任一第一圖形的第三觸發(fā)指令時,將步驟S205所生成的第一事件圖更新為第四事件圖,所述第四事件圖包括當該第一圖形對應的端節(jié)點作為目的節(jié)點時,與所述目的節(jié)點關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息。第三觸發(fā)指令可以通過鼠標點擊、鍵盤或者是觸摸屏等輸入輸出裝置160輸入。

      也就是說,僅將與該第一圖形對應的端節(jié)點作為目的節(jié)點的事件添加到第四事件圖中進行顯示,以便于用戶可以調(diào)查該目的節(jié)點被哪些源節(jié)點做了什么動作。

      同理,除了上述方式外,目的過濾模式也可以是在整個事件圖的基礎上,將當該第一圖形對應的端節(jié)點作為目的節(jié)點時,與所述目的節(jié)點關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息進行高亮顯示?;蛘?,將當該第一圖形對應的端節(jié)點作為目的節(jié)點時,與所述目的節(jié)點不關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息進行灰顯。

      上述三種過濾模式有利于幫助用戶在發(fā)現(xiàn)可疑事件后,能夠快速調(diào)查可疑事件發(fā)生前后還對哪些事件的發(fā)生起到影響,使得事件調(diào)查的過程得以簡化,省去大量人工操作。

      在本發(fā)明實施例的一種具體應用場景中,例如,所獲取到的事件包括事件A、事件B、事件C、事件D、事件E及事件F。其中,事件A的源信息為a1,動作信息為b1,目的信息為c1;事件B的源信息為a2,動作信息為b2,目的信息為c2;事件C的源信息為a3,動作信息為b3,目的信息為c3;事件D的源信息為a4,動作信息為b4,目的信息為c4;事件E的源信息為a5,動作信息為b5,目的信息為c5;事件F的源信息為a6,動作信息為b6,目的信息為c6。

      假設事件A最先存入數(shù)據(jù)庫中,其源信息a1被標記為端節(jié)點E1,事件A的目的信息c1被標記為端節(jié)點E2,事件A的動作信息b1被標記為動作節(jié)點D1。事件A對應的指向關系為(E1,D1,E2)。

      事件B的源信息a2等于目的信息c1,端節(jié)點E2的第一權重值增加為1,事件B的目的信息c2被添加到數(shù)據(jù)庫中,標記為端節(jié)點E3,事件B的動作信息b2被添加到數(shù)據(jù)庫中,標記為動作節(jié)點D2。事件B對應的指向關系為(E2,D2,E3)。

      事件C的源信息a3被添加到數(shù)據(jù)庫中,標記為端節(jié)點E4,事件C的動作信息b3被添加到數(shù)據(jù)庫中,標記為動作節(jié)點D3,事件C的目的信息c3與事件B的目的信息c2相同,端節(jié)點E3的第二權重值增加為2。事件C對應的指向關系為(E4,D3,E3)。

      事件D的源信息a4與事件A的目的信息c1相同,即與端節(jié)點E2表示的信息相同,端節(jié)點E2的第一權重值增加為2;事件D的動作信息b4被添加到數(shù)據(jù)庫中,標記為動作節(jié)點D4;事件D的目的信息c4被添加到數(shù)據(jù)庫中,標記為端節(jié)點E5。事件D對應的指向關系為(E2,D4,E5)。

      事件E的源信息a5被添加到數(shù)據(jù)庫中,標記為端節(jié)點E6;事件E的動作信息b5被添加到數(shù)據(jù)庫中,標記為動作節(jié)點D5;事件E的目的信息c5被添加到數(shù)據(jù)庫中,標記為端節(jié)點E7。事件D對應的指向關系為(E6,D5,E7)。

      事件F的源信息a6與事件E的源信息a5相同,即與端節(jié)點E6表示的信息相同,端節(jié)點E6的第一權重值增加為2;事件F的動作信息b6與事件E的動作信息b5相同,且源信息a6與源信息a5也相同,動作節(jié)點D5的第三權重值增加為2;事件F的目的信息c6被添加到數(shù)據(jù)庫中,標記為端節(jié)點E8。事件F對應的指向關系為(E6,D5,E8)。

      此時,假設第一圖形為方形,第二圖形為圓形,第三圖形由第一圖形、第二圖形以及表示端節(jié)點與動作節(jié)點的指向關系的單向箭頭構成。根據(jù)上述端節(jié)點E1~E8,動作節(jié)點D1~D5以及指向關系(E1,D1,E2)、(E2,D2,E3)、(E4,D3,E3)、(E2,D4,E5)、(E6,D5,E7)及(E6,D5,E8)生成的第一事件圖如圖6所示。

      當接收到用戶對端節(jié)點E2對應的第一圖形的第一觸發(fā)指令時,即進入初步過濾模式時,生成的第二事件圖如圖7所示。當接收到用戶對端節(jié)點E2對應的第一圖形的第二觸發(fā)指令時,即進入源過濾模式時,生成的第三事件圖如圖8所示。當接收到用戶對端節(jié)點E2對應的第一圖形的第三觸發(fā)指令時,即進入目的過濾模式時,生成的第四事件圖如圖9所示。

      另外,本發(fā)明實施例還提供了一種數(shù)據(jù)處理裝置,如圖10所示,所述數(shù)據(jù)處理裝置110包括:第一獲取模塊111、第二獲取模塊112、標記模塊113、關聯(lián)模塊114及顯示模塊115。

      其中,第一獲取模塊111,用于獲取多個事件;

      第二獲取模塊112,用于獲取每個所述事件的特征信息,其中,所述特征信息包括源信息、動作信息和目的信息;

      標記模塊113,用于將每個所述事件的所述源信息及所述目的信息標記為端節(jié)點,將所述動作信息標記為動作節(jié)點;

      關聯(lián)模塊114,用于將每個所述事件對應的端節(jié)點及動作節(jié)點關聯(lián),并記錄每個事件對應的端節(jié)點及動作節(jié)點的指向關系;

      顯示模塊115,用于根據(jù)預設規(guī)則將所標記的所有端節(jié)點、動作節(jié)點及所述指向關系轉(zhuǎn)換為第一事件圖進行顯示。

      進一步的,如圖11所示,所述標記模塊113包括:第一判斷單元1131和第二判斷單元1132。其中,第一判斷單元1131用于判斷預設的數(shù)據(jù)庫中是否存在與當前事件的源信息及目的信息匹配的端節(jié)點,當所述數(shù)據(jù)庫中不存在與所述當前事件的源信息及目的信息匹配的端節(jié)點時,將所述當前事件的源信息及所述目的信息均添加到所述數(shù)據(jù)庫中并將所述源信息及所述目的信息均標記為端節(jié)點;當所述數(shù)據(jù)庫中存在與所述當前事件的源信息匹配的端節(jié)點時,增加與所述當前事件的源信息匹配的端節(jié)點的第一權重值;當所述數(shù)據(jù)庫中存在與所述當前事件的目的信息匹配的端節(jié)點時,增加與所述當前事件的目的信息匹配的端節(jié)點的第二權重值。

      第二判斷單元1132,用于判斷預設的數(shù)據(jù)庫中是否存在與當前事件的動作信息匹配的動作節(jié)點,當所述數(shù)據(jù)庫中不存在與所述當前事件的動作信息匹配的動作節(jié)點時,將所述當前事件的動作信息添加到所述數(shù)據(jù)庫中并標記為動作節(jié)點;當所述數(shù)據(jù)庫中存在與所述當前事件的動作信息匹配的動作節(jié)點時,判斷與所述動作節(jié)點關聯(lián)的源信息是否與所述當前事件的源信息相同,若與所述動作節(jié)點關聯(lián)的源信息與所述當前事件的源信息相同時,增加所述動作節(jié)點的第三權重值,若與所述動作節(jié)點關聯(lián)的源信息與所述當前事件的源信息不相同時,將所述動作信息添加到所述數(shù)據(jù)庫中并標記為動作節(jié)點。

      具體的,如圖11所示,所述顯示模塊115包括:第一顯示單元1151、第二顯示單元1152和第三顯示單元1153。其中,第一顯示單元1151用于將所述數(shù)據(jù)庫中存儲的每個端節(jié)點對應的第一圖形進行顯示,并在所述第一圖形處顯示該端節(jié)點對應的特征信息。第二顯示單元1152用于將所述數(shù)據(jù)庫中存儲的每個動作節(jié)點對應的第二圖形進行顯示,并在所述第二圖形處顯示該動作節(jié)點對應的特征信息。第三顯示單元1153用于根據(jù)所顯示的第一圖形、所顯示的第二圖形及所述指向關系將第三圖形進行顯示。

      具體的,第一顯示單元1151具體用于將所述數(shù)據(jù)庫中存儲的每個端節(jié)點對應的第一圖形進行顯示,并在所述第一圖形處顯示該端節(jié)點對應的特征信息,其中,每個端節(jié)點對應的第一圖形的面積與該端節(jié)點的權重值成第一預設關系,所述權重值為第一權重值與第二權重值之和。第二顯示單元1152具體用于將所述數(shù)據(jù)庫中存儲的每個動作節(jié)點對應的第二圖形進行顯示,并在所述第二圖形處顯示該動作節(jié)點對應的特征信息,其中,每個動作節(jié)點對應的第二圖形的尺寸與該動作節(jié)點的第三權重值成第二預設關系。

      進一步地,如圖12所示,所述數(shù)據(jù)處理裝置110還包括第一過濾模塊116。所述第一過濾模塊116用于當獲取到用戶對任一第一圖形的第一觸發(fā)指令時,將所述第一事件圖更新為第二事件圖,所述第二事件圖包括與該第一圖形對應的端節(jié)點關聯(lián)的其他端節(jié)點、動作節(jié)點及相應的指向關系對應的圖形及特征信息。

      進一步的,如圖12所示,所述數(shù)據(jù)處理裝置110還包括第二過濾模塊117。所述第二過濾模塊117用于當獲取到用戶對任一第一圖形的第二觸發(fā)指令時,將所述第一事件圖更新為第三事件圖,所述第三事件圖包括當該第一圖形對應的端節(jié)點作為源節(jié)點時,與所述源節(jié)點關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息

      進一步的,如圖12所示,所述數(shù)據(jù)處理裝置110還包括第三過濾模塊118。所述第三過濾模塊118用于當獲取到用戶對任一第一圖形的第三觸發(fā)指令時,將所述第一事件圖更新為第四事件圖,所述第四事件圖包括當該第一圖形對應的端節(jié)點作為目的節(jié)點時,與所述目的節(jié)點關聯(lián)的動作節(jié)點、端節(jié)點及相應的指向關系對應的圖形及特征信息。

      綜上所述,相比于現(xiàn)有采用柱狀圖、餅圖、折線圖等圖表展示方式,本發(fā)明實施例提供的數(shù)據(jù)處理方法及裝置能夠?qū)@取到的多個事件轉(zhuǎn)化為能夠直觀地展示每一個事件的源信息、動作信息和目的信息的第一事件圖,方便了用戶對事件進行進一步調(diào)查。此外,本發(fā)明實施例提供的數(shù)據(jù)處理方法及裝置通過構建第一事件圖還能夠直觀地展示出多個事件之間的關聯(lián)關系,有利于幫助用戶在短時間內(nèi)在大量數(shù)據(jù)中發(fā)現(xiàn)異可疑的事件,使得事件調(diào)查的過程得以簡化,省去大量人工操作。

      在本申請所提供的幾個實施例中,應該理解到,所揭露的裝置和方法,也可以通過其它的方式實現(xiàn)。以上所描述的裝置實施例僅僅是示意性的,例如,附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個實施例的裝置、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構、功能和操作。在這點上,流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分,所述模塊、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應當注意,在有些作為替換的實現(xiàn)方式中,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生。例如,兩個連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行,它們有時也可以按相反的順序執(zhí)行,這依所涉及的功能而定。也要注意的是,框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn),或者可以用專用硬件與計算機指令的組合來實現(xiàn)。

      另外,在本發(fā)明各個實施例中的各功能模塊可以集成在一起形成一個獨立的部分,也可以是各個模塊單獨存在,也可以兩個或兩個以上模塊集成形成一個獨立的部分。

      所述功能如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個計算機可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括:U盤、移動硬盤、只讀存儲器(ROM,Read-Only Memory)、隨機存取存儲器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。需要說明的是,在本文中,諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

      以上所述,僅為本發(fā)明的具體實施方式,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi),可輕易想到變化或替換,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應所述以權利要求的保護范圍為準。

      當前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1