一种事件画像的生成方法、装置、存储介质及电子设备转让专利
申请号 : CN202311290890.X
文献号 : CN117034210B
文献日 : 2024-01-26
发明人 : 陈伟胜 , 孙洪伟 , 肖新光
申请人 : 深圳安天网络安全技术有限公司
摘要 :
本发明涉及数据处理领域,特别是涉及一种事件画像的生成方法、装置、存储介质及电子设备。包括:获取目标事件对应的判定规则集及判定值集;将判定值集中的判定值与判定规则的判定信息进行匹配处理;若判定值符合任一判定规则中判定信息的限定条件,则确定判定值命中判定规则;根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息;将画像信息中的预设事件画像标签,作为目标事件的画像信息;将画像信息中的画像判定信息,作为目标事件的画像判定信息。通过本发明的画像信息生成方法,可以生成更多对事件的描述信息,可以便于后续对异常情况做出更加具有针对性的处理。
权利要求 :
1.一种事件画像的生成方法,其特征在于,所述方法包括如下步骤:获取目标事件对应的判定规则集及判定值集;所述判定规则集中包括多个判定规则,每一判定规则均具有对应的判定信息及唯一对应的规则命中路径;所述判定值集包括多个用于表示所述目标事件至少部分特征的参数值;
将所述判定值集中的判定值与判定规则的判定信息进行匹配处理;
若判定值符合任一判定规则中判定信息的限定条件,则确定所述判定值命中所述判定规则;
根据判定规则与预设画像信息的映射关系,获取被命中的所述判定规则的画像信息;
所述画像信息包括预设的事件画像标签及预设的画像判定信息;
将被命中的所述判定规则的画像信息中的事件画像标签,作为所述目标事件的画像标签信息;
将被命中的所述判定规则的画像信息中的画像判定信息,作为所述目标事件的画像判定信息;
获取目标事件对应的判定规则集,包括:
获取目标事件的json日志;
根据json日志中事件类型字段的值,生成目标事件的事件类型标识;
从预设的多个判定规则中,选取具有所述事件类型标识的判定规则,生成所述目标事件对应的判定规则集;
在生成所述目标事件对应的判定规则集之后,所述方法还包括:将判定规则集中每一判定规则中的规则命中路径,作为对应的取值索引;
根据每一取值索引从目标事件的json日志中,获取对应的判定值,以生成所述目标事件对应的判定值集;
所述规则命中路径由字段文件存放路径及命中字段名构成;所述命中字段名对应至少一个字段文件存放路径;所述字段文件存放路径为命中字段名在json日志中的存放位置。
2.根据权利要求1所述的方法,其特征在于,将所述判定值集中的判定值与判定规则的判定信息进行匹配处理,包括:根据判定规则集中每一判定规则中的规则命中路径,获取每一判定规则对应的目标判定值;所述目标判定值的取值索引与对应的判定规则的规则命中路径相同;
使用每一判定规则中的判定信息,对每一判定规则对应的目标判定值进行匹配处理。
3.根据权利要求1所述的方法,其特征在于,所述画像判定信息包括多个辅助确认信息,每一所述辅助确认信息具有一个唯一对应的用户类别标识;
在根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息之后,所述方法还包括:根据被命中的判定规则的画像信息查看用户对应的用户类别标识,确定具有相同用户类别标识的辅助确认信息为目标显示信息。
4.根据权利要求1所述的方法,其特征在于,根据每一取值索引从目标事件的json日志中,获取对应的判定值,包括:对每一命中字段名对应的所有取值索引进行统一取值处理,生成每一命中字段名对应的三维判定数组;
所述统一取值处理包括:
根据每一所述取值索引在json日志中的数据形式,确定每一所述取值索引中数组节点的数量F1、F2、…、Fp、…、Fr;其中,Fp为同一命中字段名对应的第p个取值索引的数组节点的数量,所述数组节点为json日志中以数组形式存在的节点;r为同一命中字段名对应的取值索引的总数量,p=1、2、…、r;
根据每一所述取值索引从目标事件的json日志中获取对应的至少一个判定值;
根据每一所述取值索引中数组节点的数量,生成每一取值索引对应的初级取值数组及一个补充数组;所述初级取值数组的数组维数WC=Max(F1、F2、…、Fp、…、Fr);所述补充数组的数组维数Wb=Hp‑WC;Hp为数组维数阈值,Hp=2或Hp=3;
将所有的初级取值数组均加入所述补充数组中,生成命中字段名对应的初始三维数组;
将每一所述取值索引对应的判定值分别放入对应的初级取值数组中,生成所述命中字段名对应的三维判定数组。
5.根据权利要求4所述的方法,其特征在于,Hp满足如下条件:当命中字段名仅对应一个取值索引时,Hp为2;
当命中字段名对应多个取值索引时,Hp为3。
6.一种事件画像的生成装置,其特征在于,所述装置包括:获取模块,用于获取目标事件对应的判定规则集及判定值集;所述判定规则集中包括多个判定规则,每一判定规则均具有对应的判定信息及唯一对应的规则命中路径;所述判定值集包括多个用于表示所述目标事件至少部分特征的参数值;
匹配模块,用于将所述判定值集中的判定值与判定规则的判定信息进行匹配处理;
命中模块,用于若判定值符合任一判定规则中判定信息的限定条件,则确定所述判定值命中所述判定规则;
画像信息获取模块,用于根据判定规则与预设画像信息的映射关系,获取被命中的所述判定规则的画像信息;所述画像信息包括预设的事件画像标签及预设的画像判定信息;
生成模块,用于将被命中的所述判定规则的画像信息中的事件画像标签,作为所述目标事件的画像标签信息;
生成模块,还用于将被命中的所述判定规则的画像信息中的画像判定信息,作为所述目标事件的画像判定信息;
获取模块,用于获取目标事件对应的判定规则集;包括:获取目标事件的json日志;
根据json日志中事件类型字段的值,生成目标事件的事件类型标识;
从预设的多个判定规则中,选取具有所述事件类型标识的判定规则,生成所述目标事件对应的判定规则集;
在生成所述目标事件对应的判定规则集之后,获取模块,还用于:将判定规则集中每一判定规则中的规则命中路径,作为对应的取值索引;
根据每一取值索引从目标事件的json日志中,获取对应的判定值,以生成所述目标事件对应的判定值集;
所述规则命中路径由字段文件存放路径及命中字段名构成;所述命中字段名对应至少一个字段文件存放路径;所述字段文件存放路径为命中字段名在json日志中的存放位置。
7.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的一种事件画像的生成方法。
8.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的一种事件画像的生成方法。
说明书 :
一种事件画像的生成方法、装置、存储介质及电子设备
技术领域
[0001] 本发明涉及数据处理领域,特别是涉及一种事件画像的生成方法、装置、存储介质及电子设备。
背景技术
[0002] 由于当前终端设备中的各类事件信息的属性和行为特征,不仅种类多、变更迭代快,而且还存在安全状态与威胁状态互相转换的特征变化的场景。为了能让安全分析人员可以在第一时间全局观测网内终端各类事件信息的当前标签状态和威胁标签的分布状态,掌握网内的安全态势,以便进行响应处置,一般会对各类事件进行画像描述。
[0003] 但是,现有技术中,对目标事件输出的画像描述信息中,通常仅是根据目标事件具有的特征来判定其对应的画像标签,并使用对应的标签进行标注。由此,最终输出的事件的画像信息中只有画像标签。而该种仅通过标注画像标签的方式,存在输出标记信息单一的问题,无法提供更多有效信息。
发明内容
[0004] 针对上述仅通过标注画像标签的方式,存在输出标记信息单一的问题,无法提供更多有效信息的技术问题,本发明采用的技术方案为:
[0005] 根据本发明的一个方面,提供了一种事件画像的生成方法,方法包括如下步骤:
[0006] 获取目标事件对应的判定规则集及判定值集;判定规则集中包括多个判定规则,每一判定规则均具有对应的判定信息及唯一对应的规则命中路径;判定值集包括多个用于表示目标事件至少部分特征的参数值;
[0007] 将判定值集中的判定值与判定规则的判定信息进行匹配处理;
[0008] 若判定值符合任一判定规则中判定信息的限定条件,则确定判定值命中判定规则;
[0009] 根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息;画像信息包括预设的事件画像标签及预设的画像判定信息;
[0010] 将被命中的判定规则的画像信息中的预设事件画像标签,作为目标事件的画像标签信息;
[0011] 将被命中的判定规则的画像信息中的画像判定信息,作为目标事件的画像判定信息。
[0012] 进一步的,获取目标事件对应的判定规则集,包括:
[0013] 获取目标事件的json日志;
[0014] 根据json日志中事件类型字段的值,生成目标事件的事件类型标识;
[0015] 从预设的多个判定规则中,选取具有事件类型标识的判定规则,生成目标事件对应的判定规则集。
[0016] 进一步的,在生成目标事件对应的判定规则集之后,方法还包括:
[0017] 将判定规则集中每一判定规则中的规则命中路径,作为对应的取值索引;
[0018] 根据每一取值索引从目标事件的json日志中,获取对应的判定值,以生成目标事件对应的判定值集。
[0019] 进一步的,将判定值集中的判定值与判定规则的判定信息进行匹配处理,包括:
[0020] 根据判定规则集中每一判定规则中的规则命中路径,获取每一判定规则对应的目标判定值;目标判定值的取值索引与对应的判定规则的规则命中路径相同;
[0021] 使用每一判定规则中的判定信息,对每一判定规则对应的目标判定值进行匹配处理。
[0022] 进一步的,画像判定信息包括多个辅助确认信息,每一辅助确认信息具有一个唯一对应的用户类别标识;
[0023] 在根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息之后,方法还包括:
[0024] 根据被命中的判定规则的画像信息查看用户对应的用户类别标识,确定具有相同用户类别标识的辅助确认信息为目标显示信息。
[0025] 进一步的,规则命中路径由字段文件存放路径及命中字段名构成;命中字段名对应至少一个字段文件存放路径;字段文件存放路径为命中字段名在json日志中的存放位置;
[0026] 根据每一取值索引从目标事件的json日志中,获取对应的判定值,包括:
[0027] 对每一命中字段名对应的所有取值索引进行统一取值处理,生成每一命中字段名对应的三维判定数组;
[0028] 统一取值处理包括:
[0029] 根据每一取值索引在json日志中的数据形式,确定每一取值索引中数组节点的数量F1、F2、…、Fp、…、Fr;其中,Fp为同一命中字段名对应的第p个取值索引的数组节点的数量,数组节点为json中以数组形式存在的节点;r为同一命中字段名对应的取值索引的总数量,p=1、2、…、r;
[0030] 根据每一取值索引从目标事件的json日志中获取对应的至少一个判定值;
[0031] 根据每一取值索引中数组节点的数量,生成每一取值索引对应的初级取值数组及一个补充数组;初级取值数组的数组维数WC=Max(F1、F2、…、Fp、…、Fr);补充数组的数组维数Wb=Hp‑WC;Hp为数组维数阈值,Hp=2或Hp=3;
[0032] 将所有的初级取值数组均加入补充数组中,生成命中字段名对应的初始三维数组;
[0033] 将每一取值索引对应的判定值分别放入对应的初级取值数组中,生成命中字段名对应的三维判定数组。
[0034] 进一步的,Hp满足如下条件:
[0035] 当命中字段名仅对应一个取值索引时,Hp为2;
[0036] 当命中字段名对应多个取值索引时,Hp为3。
[0037] 根据本发明的第二个方面,提供了一种事件画像的生成装置,装置包括:
[0038] 获取模块,用于获取目标事件对应的判定规则集及判定值集;判定规则集中包括多个判定规则,每一判定规则均具有对应的判定信息及唯一对应的规则命中路径;判定值集包括多个用于表示目标事件至少部分特征的参数值;
[0039] 匹配模块,用于将判定值集中的判定值与判定规则的判定信息进行匹配处理;
[0040] 命中模块,用于若判定值符合任一判定规则中判定信息的限定条件,则确定判定值命中判定规则;
[0041] 画像信息获取模块,用于根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息;画像信息包括预设的事件画像标签及预设的画像判定信息;
[0042] 生成模块,用于将被命中的判定规则的画像信息中的预设事件画像标签,作为目标事件的画像标签信息;
[0043] 生成模块,还用于将被命中的判定规则的画像信息中的画像判定信息,作为目标事件的画像判定信息。
[0044] 根据本发明的第三个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种检测规则的生成方法。
[0045] 根据本发明的第四个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种检测规则的生成方法。
[0046] 本发明至少具有以下有益效果:
[0047] 通常一个异常事件的发生,可能是由多种不同的情况导致的。如:目标文件中的保密文件被修改,或目标文件中的保密文件在非正常时段被查看或目标文件中的读写权限被修等行为,均是针对于文件资源的同一种类型的异常,最终对应的事件画像标签也会一样。所以在事件画像标记的过程中,会出现多种判定规则最终命中同一个异常标签的情况。若仅输出事件画像标签,则无法更加准确的判定是哪一种具体的行为导致的该异常。本发明中当任一判定规则被命中后,均会根据该判定规则与预设画像信息的映射关系,获取被命中的所述判定规则的画像信息。由此每一个被命中的判定规则均会对应一个预设的事件画像标签及预设的画像判定信息。而在设置不同的画像判定信息时,可以分别配置与该判定规则更加贴近的画像判定信息,以提供更多有效信息。如对于对目标文件中的保密文件被修改进行判定的规则,配置的画像判定信息可以为保密文件修改前后两个哈希值。对于对目标文件中的保密文件在非正常时段被查看进行判定的规则,配置的画像判定信息可以为查看时间及正常时段对应的时间。
[0048] 通过本发明的画像信息生成方法,可以生成更多对事件的描述信息,可以便于后续对异常情况做出更加具有针对性的处理。
附图说明
[0049] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0050] 图1为本发明实施例提供的一种事件画像的生成方法的流程图;
[0051] 图2为本发明实施例提供的一种事件画像的生成装置的结构框图。
具体实施方式
[0052] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0053] 作为本发明的一种可能的实施例,如图1所示,提供了一种事件画像的生成方法,该方法包括如下步骤:
[0054] S100:获取目标事件对应的判定规则集及判定值集。判定规则集中包括多个判定规则,每一判定规则均具有对应的判定信息及唯一对应的规则命中路径。判定值集包括多个用于表示目标事件至少部分特征的参数值。
[0055] 进一步的,S100中获取目标事件对应的判定规则集包括如下步骤:
[0056] S101:获取目标事件的json日志。
[0057] S102:根据json日志中事件类型字段的值,生成目标事件的事件类型标识。
[0058] 通常根据实际的使用场景,会提前确定什么类型的事件需要进行规则判定。并且为每一种事件的日志配置对应的事件类型字段的值。如进程事件日志对应的事件类型字段的值为process_behavior。文件事件日志对应的事件类型字段的值为file_behavior。
[0059] S103:从预设的多个判定规则中,选取具有事件类型标识的判定规则,生成目标事件对应的判定规则集。
[0060] 本发明中,还会根据同一类型的事件通常需要进行异常检测的位置,提前配置对应的多条判定规则。后期可以通过事件类型标识,来选择不同类型事件的json日志所对应的判定规则。
[0061] 另外,S100中获取目标事件对应的判定值集包括如下步骤:
[0062] 在生成目标事件对应的判定规则集之后,S104:将判定规则集中每一判定规则中的规则命中路径,作为对应的取值索引。
[0063] S105:根据每一取值索引从目标事件的json日志中,获取对应的判定值,以生成目标事件对应的判定值集。
[0064] 具体以如下示例进行说明:判定规则对应的规则命中路径为process_info_parent.file_info.md5。则说明该判定规则用于对该路径process_info_parent.file_info下的md5值进行判定。所以将process_info_parent.file_info.md5作为取值索引,从目标事件的json日志中获取对应的判定值。
[0065] S200:将判定值集中的判定值与判定规则的判定信息进行匹配处理。
[0066] 具体的,S200包括:
[0067] S201:根据判定规则集中每一判定规则中的规则命中路径,获取每一判定规则对应的目标判定值。目标判定值的取值索引与对应的判定规则的规则命中路径相同。
[0068] S202:使用每一判定规则中的判定信息,对每一判定规则对应的目标判定值进行匹配处理。
[0069] S300:若判定值符合任一判定规则中判定信息的限定条件,则确定判定值命中判定规则。
[0070] 限定条件为根据每一判定值所需要符合的实际条件提前配置的。
[0071] S400:根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息。画像信息包括预设的事件画像标签及预设的画像判定信息。
[0072] 该映射关系可以根据实际的使用场景中的情况进行配置,具体为用于确定每一判定规则被命中后,对应输出的预设画像信息为哪一个,或哪一类信息。
[0073] 进一步的,画像判定信息包括多个辅助确认信息,每一辅助确认信息具有一个唯一对应的用户类别标识。具体的,根据预设的用户类别,设置每一用户类别对应的用户类别标识。并根据具体的用户类别的不同,将对应的画像判定信息中不同部分的内容,作为不同的辅助确认信息,以满足不同类别的户用关注的重点。
[0074] 如画像判定信息为异常可执行文件的安装位置信息、可执行文件名以及对应的可执行文件的哈希值。
[0075] 对于安全分析人员而言,异常可执行文件的安装位置信息及可执行文件的哈希值更为受关注。
[0076] 对于普通用户而言,由于专业性较低不清楚哈希值的具体使用价值,所以更为通俗的异常可执行文件的安装位置信息及可执行文件名更为受关注。
[0077] 在S400:根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息之后,所述方法还包括:
[0078] S700:根据被命中的判定规则的画像信息查看用户对应的用户类别标识,确定具有相同用户类别标识的辅助确认信息为目标显示信息。
[0079] 通常输出的画像信息会面对不同的用户群体,如有安全分析人员、开发人员或普通用户。由于不同的用户群体所具体需要的画像判定信息是存在差异的。本步骤中通过为不同的信息查看用户设置对应的用户类别标识,可以作为匹配的标识,并从画像判定信息中所有的辅助确认信息中,选取更加适用于每一类用户群体的辅助确认信息。由此,可以提高最终输出的信息对不同类型用户群体的有效性。
[0080] S500:将被命中的判定规则的画像信息中的预设事件画像标签,作为目标事件的画像标签信息;
[0081] S600:将被命中的判定规则的画像信息中的画像判定信息,作为目标事件的画像判定信息。
[0082] 本发明中当任一判定规则被命中后,均会根据该判定规则与预设画像信息的映射关系,获取被命中的所述判定规则的画像信息。由此每一个被命中的判定规则均会对应一个预设的事件画像标签及预设的画像判定信息。而在设置不同的画像判定信息时,可以分别配置与该判定规则更加贴近的画像判定信息。如对于对目标文件中的保密文件被修改进行判定的规则,配置的画像判定信息可以为保密文件修改前后两个哈希值。对于对目标文件中的保密文件在非正常时段被查看进行判定的规则,配置的画像判定信息可以为查看时间及正常时段对应的时间。通过本发明的画像信息生成方法,可以生成更多对事件的描述信息,可以便于后续对异常情况做出更加具有针对性的处理。
[0083] 作为本发明的另一个实施例,规则命中路径由字段文件存放路径及命中字段名构成。命中字段名对应至少一个字段文件存放路径。字段文件存放路径为命中字段名在json日志中存放的位置。
[0084] 由于,本发明可用于对多种业务场景下的日志数据进行取值。不同类型的事件日志可能来自不同的业务场景,由此,同一个命中字段在不同的事件日志中对应的取值路径不同,也即对应的规则命中路径不同。所以,每一判定规则均包括唯一对应的命中字段名及至少一个对应的规则命中路径。并且通过命中字段名和至少一个对应的规则命中路径进行组合,可以生成多个取值索引,每一取值索引用于对一个对应类型的事件日志中命中字段进行取值。
[0085] S105:根据每一取值索引从目标事件的json日志中,获取对应的判定值,包括:
[0086] S115:对每一命中字段名对应的所有取值索引进行统一取值处理,生成每一命中字段名对应的三维判定数组。
[0087] 统一取值处理包括:
[0088] S125:根据每一取值索引在json日志中的数据形式,确定每一取值索引中数组节点的数量F1、F2、…、Fp、…、Fr。其中,Fp为同一命中字段名对应的第p个取值索引的数组节点的数量,数组节点为对应的取值索引在json中以数组形式存在的节点。r为同一命中字段名对应的取值索引的总数量,p=1、2、…、r。
[0089] 具体的以如下示例进行说明:
[0090] 取值索引process_info_parent.file_info.md5中的节点分别为process_info_parent及file_info,当节点在Json日志中对应的数据内容以数组的形式存在时,会在节点之后出现部分数组标识符“[”。如节点在Json日志中对应的数据内容为:“process_info_parent:[”,由此,遍历对应的Json日志中每一节点所在命令行的数据内容,每当发现“[”时,确定该节点为数组节点。通常一个取值索引中的数组节点小于或等于2。
[0091] S135:根据每一取值索引从目标事件的json日志中获取对应的至少一个判定值。
[0092] 如同一命中字段名对应的两个取值索引分别为:process_info_parent.file_info.md5及process_info_self.file_info.md5。process_info_parent.file_info.md5获取到的判定值为995,55664。process_info_self.file_info.md5获取到的判定值为325,55354,6665。
[0093] S145:根据每一取值索引中数组节点的数量,生成每一取值索引对应的初级取值数组及一个补充数组。初级取值数组的数组维数WC=Max(F1、F2、…、Fp、…、Fr)。补充数组的数组维数Wb=Hp‑WC。Hp为数组维数阈值,Hp=2或Hp=3。
[0094] 进一步的,Hp满足如下条件:
[0095] 当命中字段名仅对应一个取值索引时,Hp为2。
[0096] 当命中字段名对应多个取值索引时,Hp为3。
[0097] S155:将所有的初级取值数组均加入补充数组中,生成命中字段名对应的初始三维数组。
[0098] S165:将每一取值索引对应的判定值分别放入对应的初级取值数组中,生成命中字段名对应的三维判定数组。
[0099] 若process_info_parent.file_info.md5及process_info_self.file_info.md5。process_info_parent.file_info.md5中的数组节点的数量分别为1和2。则对应生成的初级取值数组为[[ ]];补充数组为[ ]。组合生成的初始三维数组为[[[ ]],[[ ]]],最终每一取值索引对应的判定值分别放入对应的初级取值数组中,生成命中字段名对应的三维判定数组为[[[995,55664]],[[325,55354,6665]]]。
[0100] 由此根据本实施例中的统一取值处理之后,可以将不同业务场景中不同形式的待提取数据,最终均生成标准三维数组格式,进而实现统一数据形式的目的。具体的,生成的标准三维数组格式有如下几种形式:[[[xxx,xxx,xx]]]、[[[xxxx,xxx],[xx],[ ]]]及[[[xx,xx]],[[xxx,xx]]]。由此,可以对获取到的目标数据的数据结构形式进行统一,进而便于后续使用同一种数据分析方法,对多个判定值进行处理。提高了获取的待测数据的适用性,提高了后期数据处理的便利性。
[0101] 根据本发明的第二个方面,如图2所示,提供了一种事件画像的生成装置,装置包括:
[0102] 获取模块,用于获取目标事件对应的判定规则集及判定值集。判定规则集中包括多个预设的判定规则,每一判定规则均具有对应的判定信息及唯一对应的规则命中路径。判定值集包括多个用于表示目标事件至少部分特征的参数值。
[0103] 匹配模块,用于将判定值集中的判定值与判定规则的判定信息进行匹配处理。
[0104] 命中模块,用于若判定值符合任一判定规则中判定信息的限定条件,则确定判定值命中判定规则。
[0105] 画像信息获取模块,用于根据判定规则与预设画像信息的映射关系,获取被命中的判定规则的画像信息。画像信息包括预设的事件画像标签及预设的画像判定信息。
[0106] 生成模块,用于将画像信息中的预设事件画像标签,作为目标事件的画像信息。
[0107] 生成模块,还用于将画像信息中的画像判定信息,作为目标事件的画像判定信息。
[0108] 此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
[0109] 通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
[0110] 在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
[0111] 所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
[0112] 根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
[0113] 电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
[0114] 其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
[0115] 储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
[0116] 储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
[0117] 总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
[0118] 电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(m/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAmD系统、磁带驱动器以及数据备份存储系统等。
[0119] 通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
[0120] 在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
[0121] 程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0122] 计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0123] 可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
[0124] 可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0125] 此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
[0126] 应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0127] 以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。