[发明专利]案件相似度计算方法、系统、可读存储介质及计算机设备

权利要求书

1.一种案件相似度计算方法，其特征在于，包括：

根据接入的安全设备的事件告警数据，挑选出具有指标价值的关键字段，并根据所述关键字段创建指标项、指标值提取方法以及权重系数；

当接收到新的事件告警数据时，根据所述指标值提取方法计算得到所述新的事件告警数据的指标结果，并将所述指标结果与所述新的事件告警数据建立关联关系；

将所述新的事件告警数据归为案件，并将所述指标结果通过所述新的事件告警数据与所述案件关联；

提取所述案件的指标项和指标值，根据所述指标值的数量计算出所有的所述指标值的案件总权重得分；

查找出与所述指标项和所述指标值相同的相似案件，根据所述相似案件计算出所述相似案件的总权重得分，根据所述相似案件的总权重得分与所述案件总权重得分计算出所述相似案件与所述案件的相似度结果。

2.根据权利要求1所述的案件相似度计算方法，其特征在于，所述根据接入的安全设备的事件告警数据，挑选出具有指标价值的关键字段的步骤包括：

根据接入的安全设备的事件告警数据的配置信息获取到所述事件告警数据的所有字段，并在所述所有字段中挑选出具有指标价值的关键字段，所述配置信息至少包括所述事件告警数据的来源、所述事件告警数据的类型、所述事件告警数据的解析规则、所述事件告警数据的字段映射以及所述事件告警数据的过滤条件。

3.根据权利要求1所述的案件相似度计算方法，其特征在于，所述提取所述案件的指标项和指标值，根据所述指标值的数量计算出所有的所述指标值的案件总权重得分的步骤包括：

提取所述案件的指标项和指标值，根据所述指标值的数量初始化一个最优的布隆过滤器；

将{指标项：指标值}作为一个元素，把所有的元素插入到所述布隆过滤器中，累加得到所有的所述指标值的案件总权重得分。

4.根据权利要求1所述的案件相似度计算方法，其特征在于，所述查找出与所述指标项和所述指标值相同的相似案件，根据所述相似案件计算出所述相似案件的总权重得分的步骤包括：

标记所述案件的编号，判断所述案件的相似度是否已经计算；

若所述案件的相似度未计算，则查找与所述指标项和所述指标值相同的相似案件，并提取出所述相似案件的指标项和指标值，将{指标项:指标值}作为一个元素，计算布隆过滤器中是否存在相同元素；

若所述布隆过滤器中存在相同元素，则累加该指标项的权重得分作为所述相似案件的总权重得分。

5.根据权利要求4所述的案件相似度计算方法，其特征在于，所述根据所述相似案件的总权重得分与所述案件总权重得分计算出所述相似案件与所述案件的相似度结果的步骤包括：

将所述相似案件的总权重得分除以所述案件总权重得分作为所述相似案件与所述案件的相似度结果。

6.根据权利要求1所述的案件相似度计算方法，其特征在于，在所述根据所述相似案件的总权重得分与所述案件总权重得分计算出所述相似案件与所述案件的相似度结果的步骤之后，所述方法还包括：

校验及调整指标项的权重系数，优化所述相似案件与所述案件的相似度结果。

7.一种案件相似度计算系统，其特征在于，包括：

接入模块，用于根据接入的安全设备的事件告警数据，挑选出具有指标价值的关键字段，并根据所述关键字段创建指标项、指标值提取方法以及权重系数；

第一管理模块，用于当接收到新的事件告警数据时，根据所述指标值提取方法计算得到所述新的事件告警数据的指标结果，并将所述指标结果与所述新的事件告警数据建立关联关系；

关联模块，用于将所述新的事件告警数据归为案件，并将所述指标结果通过所述新的事件告警数据与所述案件关联；

第二管理模块，用于提取所述案件的指标项和指标值，根据所述指标值的数量计算出所有的所述指标值的案件总权重得分；

计算模块，用于查找出与所述指标项和所述指标值相同的相似案件，根据所述相似案件计算出所述相似案件的总权重得分，根据所述相似案件的总权重得分与所述案件总权重得分计算出所述相似案件与所述案件的相似度结果。