[发明专利]一种事件识别方法及装置

权利要求书

1.一种事件识别方法，其特征在于，所述方法包括：

在未被确定为危险事件的事件中，确定待识别事件，其中，所述待识别事件为：对应同一目标地址、且属于同一事件类型的事件，所述目标地址为：预设的目的地址或预设的源地址；

根据所述待识别事件发生的总次数、首次发生时间与最近一次发生时间，计算单位时长内发生所述待识别事件的第一平均次数；

基于第二平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第二平均次数，则确定所述待识别事件为危险事件，其中，所述第二平均次数为：对应不同目标地址与不同事件类型的事件在所述单位时长内发生的平均次数的平均值。

2.根据权利要求1所述的方法，其特征在于，所述在未被确定为危险事件的事件中，确定待识别事件，包括：

在未被确定为危险事件的事件中，确定所对应的源地址属于预设网段的待识别事件，其中，所述预设网段为：预设的外网网段或预设的内网网段；

所述基于第二平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第二平均次数，则确定所述待识别事件为危险事件，包括：

在所述预设网段为预设的外网网段的情况下，基于第三平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第三平均次数，则确定所述待识别事件为危险事件，其中，所述第三平均次数为：对应不同目标地址与不同事件类型的、属于所述外网网段的事件在所述单位时长内发生的平均次数的平均值；

在所述预设网段为预设的内网网段的情况下，基于第四平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第四平均次数，则确定所述待识别事件为危险事件，其中，所述第四平均次数为：对应不同目标地址与不同事件类型的、属于所述内网网段的事件在所述单位时长内发生的平均次数的平均值。

3.根据权利要求2所述的方法，其特征在于，在所述预设网段为预设的内网网段，且所述目标地址为预设的目的地址的情况下，在所述在未被确定为危险事件的事件中，确定所对应的源地址属于预设网段的待识别事件之后，还包括：

若所确定的待识别事件的源地址相同，则将所确定的待识别事件确定为同源事件，否则，将所确定的待识别事件确定为多源事件；

所述基于第四平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述第四平均次数，则确定所述待识别事件为危险事件，包括：

在所述待识别事件为同源事件的情况下，基于同源平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述同源平均次数，则确定所述待识别事件为危险事件，其中，所述同源平均次数为：对应不同目标地址与不同事件类型的同源事件在所述单位时长内发生的平均次数；

在所述待识别事件为多源事件的情况下，基于多源平均次数，预测所述待识别事件在所述单位时长内实际发生第一平均次数的概率，若所述概率小于基准概率，且所述第一平均次数大于所述多源平均次数，则确定所述待识别事件为危险事件，其中，所述多源平均次数为：对应不同目标地址与不同事件类型的多源事件在所述单位时长内发生的平均次数。

4.根据权利要求3所述的方法，其特征在于，在所述待识别事件为多源事件的情况下，所述若所述概率小于基准概率，且所述第一平均次数大于所述多源平均次数，则确定所述待识别事件为危险事件，包括：

若所述多源事件所对应的源地址中，属于C段网段的源地址的比例小于预设比例、所述概率小于基准概率、且所述第一平均次数大于所述同源平均次数，则确定所述待识别事件为危险事件。