事件分析方法、装置、电子设备及存储介质与流程

1.本发明涉及数据分析技术领域，尤其涉及一种事件分析方法、装置、电子设备及存储介质。


背景技术：

2.随着无处不在的传感器网络和智能设备不断收集越来越多的数据，我们面临着以近实时的方式分析不断增长的数据流的挑战。能够快速响应不断变化的趋势或提供最新的商业智能可能是公司成功或失败的决定性因素。实时处理中的关键问题是检测数据流中的事件模式。
3.目前传统数据处理主要以关系型数据库为基础，在面对海量数据的情况下，处理能力有限，在面对异构数据，多维数据的情况下，采集，分析，处理方面存在高延迟，低吞吐的情况，存在性能上面的瓶颈，无法满足新环境下客户对数据的分析，关联和加工整理的需要。
4.目前，传统形式数据关联分析存在的不足有以下几点：
5.1、数据来源单一化，传统数据关联分析数据来源主要以静态存储数据为主，但目前随着互联网业务的发展，越来越多需求要求对实时数据进行快速的分析和加工。
6.2、缺乏大数据处理能力，在面对海量数据，异构数据，多维数据的情况下，数据的采集，分析，处理，存储将遇到巨大挑战。
7.3、目前关联分析能力主要以单一事件为主，缺乏对多个连续传入的不同事件进行时序性模式匹配的分析能力。
8.4、目前常规事件分析手段有限(仅限于过滤，转换，聚合，连接等)常规操作，缺乏对一系列复杂事件的分析能力。


技术实现要素：

9.本发明提供一种事件分析方法、装置、电子设备及存储介质，用以解决现有技术中数据来源单一且事件分析能力不足的缺陷，实现对多种数据进行准确分析的目的。
10.本发明提供一种事件分析方法，包括：
11.获取模式规则，并将所述模式规则进行关联，生成模式匹配链路；
12.获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配；
13.若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路；
14.基于所述模式匹配状态链路，得到所述输入事件流的事件链路分析结果。
15.根据本发明提供的一种事件分析方法，所述将所述输入事件流中的事件源与所述模式匹配链路进行匹配，包括：
16.获取所述模式规则的配置条件；
17.基于所述配置条件，将所述输入事件流中的事件源与所述模式匹配链路进行匹
配。
18.根据本发明提供的一种事件分析方法，所述将所述输入事件流中的事件源与所述模式匹配链路进行匹配，包括：
19.获取所述模式规则的配置条件和配置量词；
20.基于所述配置条件和所述配置量词，将所述输入事件流中的事件源与所述模式匹配链路进行匹配。
21.根据本发明提供的一种事件分析方法，所述将所述模式规则进行关联，生成模式匹配链路，包括：
22.创建所述模式匹配链路的起始节点；
23.将存在业务逻辑关系的所述模式规则进行关联，生成初始模式匹配链路；
24.基于所述起始节点和所述初始模式匹配链路生成模式匹配链路。
25.根据本发明提供的一种事件分析方法，所述将存在业务逻辑关系的所述模式规则进行关联，生成初始模式匹配链路，包括：
26.根据第一链路触发策略、第二链路触发策略和第三链路触发策略中的至少一个，将所述模式规则进行关联，并生成初始模式匹配链路；
27.其中，所述第一链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第一对应事件源之后，每一所述模式规则与所述输入事件流中的每一对应事件源相匹配；
28.所述第二链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第二对应事件源之后忽略不对应事件源，直至与另一个所述对应事件源匹配成功；
29.所述第三链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第三对应事件源之后忽略所述不对应事件源，并获取所有匹配成功的所述对应事件源。
30.根据本发明提供的一种事件分析方法，所述将所述输入事件流中的事件源与所述模式匹配链路进行匹配，包括：
31.根据非确定有限自动对象，对所述模式匹配链路进行状态转换，生成初始模式匹配状态链路；
32.将所述输入事件流中的事件源与所述初始模式匹配状态链路进行匹配。
33.本发明还提供一种事件分析装置，包括：
34.规则关联模块，用于获取模式规则，将所述模式规则进行关联，生成模式匹配链路；
35.数据输入模块，用于获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配；
36.事件匹配模块，用于若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路；
37.结果输出模块，用于基于所述模式匹配状态链路，得到所述输入事件流的事件链路输出结果。
38.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一种所述事件分
析方法的步骤。
39.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述事件分析方法的步骤。
40.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述事件分析方法的步骤。
41.本发明提供的事件分析方法、装置、电子设备及存储介质，通过获取模式规则，再将获取到的模式规则进行时序性的关联，生成模式匹配链路；再通过将待分析的输入事件流中的事件源与模式匹配链路进行匹配，在输入事件流中的事件源与模式匹配链路匹配成功时获取模式匹配状态链路；通过分析模式匹配状态链路，可完整准确地回溯事件，并做出准确分析。
附图说明
42.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
43.图1是本发明提供的事件分析方法的流程示意图；
44.图2是本发明提供的事件分析方法的模式规则的结构示意图；
45.图3是本发明提供的模式匹配状态链路示意图；
46.图4是本发明提供的事件分析装置的结构示意图；
47.图5是本发明提供的电子设备的结构示意图。
具体实施方式
48.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.本发明的说明书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，说明书中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。
50.下面结合图1-图5描述本发明提供的事件分析方法、装置、电子设备及存储介质。
51.图1是本发明提供的事件分析方法的流程示意图。如图1所示，本发明提供了一种事件分析方法，其中执行主体可以为终端或服务器，终端例如：计算机、车载终端等，该方法包括如下步骤：
52.步骤101、获取模式规则，并将所述模式规则进行关联，生成模式匹配链路。
53.可以理解为，在本发明中以大数据实时流分析引擎(flink流式分析引擎)为技术基础，flink流式分析引擎具有高吞吐，低延迟相关的特性，非常适合处理流式数据。
54.具体地，一个具体的事件通常由多个事件组成，即通过多个具有时序性的事件源
可组成一个事件流。在对事件进行分析之前，会根据待分析事件的场景，预先采集目标数据，获取到目标事件流，并获取到组成该目标事件流的目标事件源，并根据获取到的多个目标事件源创建对应的模式规则。
55.其中，模式规则在本发明中指对事件源进行识别的规则。
56.例如，公司发生一个网络泄密的事件，可先根据网络泄密的场景，预先通过网络日志记载等方式采集相关的网络安全事件流，在一个网络安全事件中，管理员的涉密文件被盗取，在该网络安全事件中涉及到三个不同的事件源：管理员涉密机登录事件、管理员涉密机涉密文件拷贝事件和管理员涉密机登出事件。
57.可根据三个不同的事件源创建三个模式规则：登陆匹配模式、涉密文件拷贝模式和登出匹配模式。其中，登陆匹配模式用于检测获取到的事件源是否包含登陆涉密机的行为动作；涉密文件拷贝模式用于检测获取到的事件源是否包含异常的涉密文件拷贝动作；登出匹配模式用于检测获取到的事件源是否包含登出涉密机的行为动作。
58.图2是本发明提供的事件分析方法的模式规则的结构示意图，如图2所示，在创建了多个模式规则之后，可将多个模式规则按照时序性、逻辑性等关系进行关联并连接，生成模式匹配链路。
59.例如，在上述的网络安全事件中，创建了登陆匹配模式、涉密文件拷贝模式和登出匹配模式等三个模式规则之后，按照事件发生的先后顺序，将登陆匹配模式、涉密文件拷贝模式和登出匹配模式顺序关联起来，形成模式匹配链路。
60.步骤102、获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配。
61.可以理解为，在生成了模式匹配链路之后，获取待分析的输入事件流，该输入事件流中包括了多个事件源。将输入事件流输入到模式匹配链路中，判断输入事件流中事件源是否符合模式匹配链路中的模式规则，即能否和模式匹配链路中的模式规则进行匹配。
62.步骤103、若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路。
63.可以理解为，当待分析的输入事件流中的每个事件源都能匹配上对应的模式匹配链路中的模式规则时，生成模式匹配状态链路。当输入的事件流中的每个事件源不能匹配上对应的模式匹配链路中的模式规则时，则认为该输入事件流不满足条件，并舍弃信息。
64.步骤104、基于所述模式匹配状态链路，得到所述输入事件流的事件链路分析结果。
65.可以理解为，在获取到模式匹配状态链路之后，模式匹配状态链路中包括了输入事件流的完整信息，可根据输入事件流的完整信息进行追溯和分析。
66.本发明提供的事件分析方法，通过获取模式规则，再将获取到的模式规则进行时序性的关联，生成模式匹配链路；再通过将待分析的输入事件流中的事件源与模式匹配链路进行匹配，在输入事件流中的事件源与模式匹配链路匹配成功时获取模式匹配状态链路；通过分析模式匹配状态链路，可完整准确地回溯事件，并做出准确分析。
67.进一步地，所述将所述输入事件流中的事件源与所述模式匹配链路进行匹配，包括：
68.获取所述模式规则的配置条件；
69.基于所述配置条件，将所述输入事件流中的事件源与所述模式匹配链路进行匹
配。
70.可以理解为，在本实施例中，对于模式匹配链路中的每一个模式规则都设置有配置条件，只有输入的事件源达到配置条件的要求，该事件源才可以和模式规则进行匹配。在输入事件流中的事件源和模式匹配链路中的模式规则初次匹配成功之后，进而将所述输入事件流中的其他事件源与模式匹配链路继续进行匹配。
71.例如，配置条件可包括以下几点：
72.第一、在获取事件源时通过判断事件源是否包含特定条件，从而进行匹配。
73.第二，在获取事件源时通过判断事件源是否包含多个特定条件中的任意一个，从而进行匹配。
74.第三，在获取事件源时，指定一个停止条件，即满足给定的条件出现后，就不会再有对应的事件源进行匹配。
75.本发明通过获取模式规则的配置条件，对输入事件流中的事件源进行匹配，进一步提高事件分析的准确性。
76.进一步地，所述将所述输入事件流中的事件源与所述模式匹配链路进行匹配，包括：
77.获取所述模式规则的配置条件和配置量词；
78.基于所述配置条件和所述配置量词，将所述输入事件流中的事件源与所述模式匹配链路进行匹配。
79.可以理解为，在本实施例中，对于模式匹配链路中的每一个模式规则都设置有配置条件和配置量词，只有输入的事件源达到配置条件和配置量词的要求，该事件源才可以和模式规则进行匹配。在输入事件流中的事件源和模式匹配链路中的模式规则初次匹配成功之后，进而将所述输入事件流的其他事件源与模式匹配链路继续进行匹配。
80.例如，配置条件可包括以下几点：
81.第一、在获取事件源时通过判断事件源是否包含特定条件，从而进行匹配。
82.第二，在获取事件源时通过判断事件源是否包含多个特定条件中的任意一个，从而进行匹配。
83.第三，在获取事件源时，指定一个停止条件，即满足给定的条件出现后，就不会再有对应的事件源进行匹配。
84.再例如，配置量词可包括以下几点：
85.第一，获取事件源时，模式规则匹配中4次该事件源。
86.第二，获取事件源时，模式规则匹配中4次或4次以上该事件源。
87.第三，获取事件源时，模式规则匹配中2、3或4次该事件源。
88.第四，获取事件源时，设置一个限制时间，在限制时间的范围以外，事件源不进行匹配。
89.例如，在一个网络安全事件中，创建了登陆匹配模式、涉密文件拷贝模式和登出匹配模式等三个模式规则之后，登陆匹配模式检测管理员涉密机登录事件，当检测到管理员涉密机登录事件的触发的次数达到四次，并且时间在十分钟内，则认为该事件与模式规则相匹配。
90.本发明通过获取模式规则的配置条件和配置量词，对输入事件流中的事件源进行
匹配，进一步提高事件分析的准确性。
91.进一步地，所述将所述模式规则进行关联，生成模式匹配链路，包括：
92.创建所述模式匹配链路的起始节点；
93.将存在业务逻辑关系的所述模式规则进行关联，生成初始模式匹配链路；
94.基于所述起始节点和所述初始模式匹配链路生成模式匹配链路。
95.可以理解为，在创建事件源对应的模式规则之后，会对事件源进行匹配动作，并创建一个起始节点，顺序地进将存在业务逻辑关系的模式规则进行关联，生成初始模式匹配链路。
96.其中，业务逻辑关系可以是针对不同的业务进行理解。例如，在一个网络安全事件中，根据三个不同的事件源：管理员涉密机登录事件、管理员涉密机涉密文件拷贝事件和管理员涉密机登出事件，创建三个模式规则：登陆匹配模式、涉密文件拷贝模式和登出匹配模式。三个模式规则按照业务逻辑关系顺序先是登陆匹配模式，然后是涉密文件拷贝模式和登出匹配模式。将相关联的模式规则关联起来后，可组成模式匹配链路。
97.本发明通过将存在业务逻辑关系的模式规则进行关联，将多个事件源进行关联，可进一步提高事件分析的准确性。
98.进一步地，所述将存在业务逻辑关系的所述模式规则进行关联，生成初始模式匹配链路，包括：
99.根据第一链路触发策略、第二链路触发策略和第三链路触发策略中的至少一个，将所述模式规则进行关联，并生成初始模式匹配链路；
100.其中，所述第一链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第一对应事件源之后，每一所述模式规则与所述输入事件流中的每一对应事件源相匹配；
101.所述第二链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第二对应事件源之后忽略不对应事件源，直至与另一个所述对应事件源匹配成功；
102.所述第三链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第三对应事件源之后忽略所述不对应事件源，并获取所有匹配成功的所述对应事件源。
103.可以理解为，在创建事件源对应的模式规则之后，具体可通过第一链路触发策略、第二链路触发策略和第三链路触发策略中的至少一个，将模式规则进行关联。
104.其中，第一链路触发策略包括：初始模式匹配链路中的模式规则在初次匹配到第一对应事件源之后，初始模式匹配链路中的模式规则与输入事件流中的每一对应事件源相匹配，直至初始模式匹配链路中的模式规则匹配完成，则停止匹配。
105.例如，预先设置模式规则为“a紧跟bn”，在a事件源进行匹配成功之后，事件流[a,b1,b2]可以匹配成功，事件流[a,c,b1,b2]不能匹配成功。
[0106]
第二链路触发策略包括：初始模式匹配链路中的模式规则在初次匹配到第二对应事件源之后忽略不对应事件源，直至匹配到另一个对应事件源。
[0107]
例如，预先设置模式规则为“a跟随bn”，在a事件源进行匹配成功之后，事件流[a,c,b1,b2]可以匹配成功，并且匹配为事件流[a,b1]，即忽略掉不对应事件源c，直至成功匹配到下一个符合bn的事件源。
[0108]
第三链路触发策略包括：初始模式匹配链路中的模式规则在初次匹配到第三对应事件源之后忽略所述不对应事件源，并获取所有匹配的对应事件源。
[0109]
例如，预先设置模式规则为“包含a和bn”，在a事件源进行匹配成功之后，事件流[a,c,b1,b2]可以匹配，即忽略掉不对应事件源c，并获取到每一个符合bn的事件源，如b1、b2，并且匹配为事件流[a,b1]和事件流[a,b2]。
[0110]
本发明通过第一链路触发策略、第二链路触发策略和第三链路触发策略中的至少一个，将模式规则进行关联，并生成初始模式匹配链路，可增加事件分析的范围，有利于分析复杂的事件。
[0111]
进一步地，所述将所述输入事件流中的事件源与所述模式匹配链路进行匹配，包括：
[0112]
根据非确定有限自动对象，对所述模式匹配链路进行状态转换，生成初始模式匹配状态链路；
[0113]
将所述输入事件流中的事件源与所述初始模式匹配状态链路进行匹配。
[0114]
可以理解为，图3是本发明提供的模式匹配状态链路示意图。如图3所示，在运行过程中，模式匹配链路上面链路上下节点之间关系通过非确定有限自动对象，完成该次模式匹配链路中各模式规则间，各个状态和状态转换的表达式，生成初始模式匹配状态链路。
[0115]
然后再将输入事件流中的事件源与初始模式匹配状态链路进行匹配，若输入事件流中的事件源与初始模式匹配状态链路匹配成功，即输入事件流中的事件源都能与初始模式匹配状态链路中的模式规则匹配成功，则生成模式匹配状态链路。若输入事件流中的事件源与初始模式匹配状态链路匹配失败，即输入事件流中的事件源与初始模式匹配状态链路中的模式规则匹配不成功，则舍弃输入事件流。
[0116]
其中，状态迁移存在三种方式：
[0117]
第一，更新方式：表示事件流当中某一个事件源与模式规则匹配成功，将当前模式规则的状态更新到新的状态，并推进到下一个模式规则进行匹配。
[0118]
第二，直接推进方式：当事件源与模式规则进行匹配的时候，当前模式规则状态不发生变化，并将事件源直接前进到与下一个模式规则进行匹配。
[0119]
第三，忽略方式：当事件源与模式规则进行匹配的时候，如果匹配不成功，忽略当前事件源，当前模式规则状态不发生任何变化。
[0120]
例如，在一个网络安全事件中，在将多个模式规则关联，并进行状态转换，生成初始模式匹配状态链路之后，得到一个顺序为登陆匹配模式、涉密文件拷贝模式和登出匹配模式的初始模式匹配状态链路。
[0121]
再将包含管理员涉密机登录事件，管理员涉密机涉密文件拷贝事件，管理员涉密机登出事件的事件流输入到初始模式匹配状态链路，初始模式匹配状态链路中的模式规则进行识别匹配，生成模式匹配状态链路。
[0122]
本发明通过将输入事件流中的事件源与初始模式匹配链路进行匹配，获取模式匹配状态链路，可准确对输入事件进行分析，获取事件的高阶特征。
[0123]
下面对本发明提供的事件分析装置进行描述，下文描述的事件分析装置与上文描述的事件分析方法可相互对应参照。
[0124]
图4是本发明提供的事件分析装置的结构示意图，如图4所示，本发明提供了一种
事件分析装置，包括规则关联模块401、数据输入模块402、事件匹配模块403和结果输出模块404，其中：
[0125]
规则关联模块401，用于获取模式规则，并将所述模式规则进行关联，生成模式匹配链路；数据输入模块402，用于获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配；事件匹配模块403，用于若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路；结果输出模块404，用于基于所述模式匹配状态链路，得到所述输入事件流的事件链路输出结果。
[0126]
本发明提供的事件分析装置，通过获取模式规则，再将获取到的模式规则进行时序性的关联，生成模式匹配链路；再通过将待分析的输入事件流中的事件源与模式匹配链路进行匹配，在输入事件流中的事件源与模式匹配链路匹配成功时获取模式匹配状态链路；通过分析模式匹配状态链路，可完整准确地回溯事件，并做出准确分析。
[0127]
可选地，所述事件匹配模块，还用于：
[0128]
获取所述模式规则的配置条件；
[0129]
基于所述配置条件，将所述输入事件流中的事件源与所述模式匹配链路进行匹配，获取模式匹配状态链路。
[0130]
可选地，所述事件匹配模块，还用于：
[0131]
获取所述模式规则的配置条件和配置量词；
[0132]
基于所述配置条件和所述配置量词，将所述输入事件流中的事件源与所述模式匹配链路进行匹配，获取模式匹配状态链路。
[0133]
可选地，所述规则关联模块，还用于：
[0134]
创建所述模式匹配链路的起始节点；
[0135]
将存在业务逻辑关系的所述模式规则进行关联，生成初始模式匹配链路；
[0136]
基于所述起始节点和所述初始模式匹配链路生成模式匹配链路。
[0137]
可选地，所述规则关联模块，还用于：
[0138]
根据第一链路触发策略、第二链路触发策略和第三链路触发策略中的至少一个，将所述模式规则进行关联，并生成初始模式匹配链路；
[0139]
其中，所述第一链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第一对应事件源之后，每一所述模式规则与所述输入事件流中的每一对应事件源相匹配；
[0140]
所述第二链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第二对应事件源之后忽略不对应事件源，直至与另一个所述对应事件源匹配成功；
[0141]
所述第三链路触发策略包括：所述初始模式匹配链路中的所述模式规则在初次匹配到第三对应事件源之后忽略所述不对应事件源，并获取所有匹配成功的所述对应事件源。
[0142]
可选地，所述事件匹配模块，还用于：
[0143]
根据非确定有限自动对象，对所述模式匹配链路进行状态转换，生成初始模式匹配状态链路；
[0144]
将所述输入事件流中的事件源与所述初始模式匹配状态链路进行匹配。
[0145]
图5是本发明提供的电子设备的结构示意图，如图5所示，该电子设备可以包括：处
理器(processor)501、通信接口(communications interface)502、存储器(memory)503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信。处理器501可以调用存储器503中的逻辑指令，以执行上述各方法实施例提供的事件分析方法，该方法例如包括：获取模式规则，并将所述模式规则进行关联，生成模式匹配链路；获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配；若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路；基于所述模式匹配状态链路，得到所述输入事件流的事件链路分析结果。
[0146]
此外，上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0147]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法实施例提供的事件分析方法，该方法例如包括：获取模式规则，并将所述模式规则进行关联，生成模式匹配链路；获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配；若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路；基于所述模式匹配状态链路，得到所述输入事件流的事件链路分析结果。
[0148]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法实施例提供的事件分析方法，该方法例如包括：获取模式规则，并将所述模式规则进行关联，生成模式匹配链路；获取输入事件流，并将所述输入事件流中的事件源与所述模式匹配链路进行匹配；若所述事件源与所述模式匹配链路匹配成功，获取模式匹配状态链路；基于所述模式匹配状态链路，得到所述输入事件流的事件链路分析结果。
[0149]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0150]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0151]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。