CN110855497B - 一种基于大数据环境的告警排序方法及装置 - Google Patents
一种基于大数据环境的告警排序方法及装置 Download PDFInfo
- Publication number
- CN110855497B CN110855497B CN201911138194.0A CN201911138194A CN110855497B CN 110855497 B CN110855497 B CN 110855497B CN 201911138194 A CN201911138194 A CN 201911138194A CN 110855497 B CN110855497 B CN 110855497B
- Authority
- CN
- China
- Prior art keywords
- alarm
- alarm information
- information
- value
- calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种基于大数据环境的告警排序方法及装置,涉及网络安全的技术领域,包括:获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;基于层次分析法,确定出所述告警信息所对应告警类型的权重值;基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;对所述告警评分进行排序,得到所述告警信息的评分序列,解决了现有技术中重要的告警信息的处理效率较低技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于大数据环境的告警排序方法及装置。
背景技术
在态势感知平台中或者一般系统中,技术人员在对最新的告警信息的排序时,首先对所有告警信息按照时间倒序,然后再按照告警级别从高到低排序。
由于态势感知平台,是一种大数据分析平台,收集告警信息的来源多,渠道广,告警信息量大。基于这几个原因,如果简单的按照时间倒序加上告警级别从高到低排列,这样导致的问题是,体现不出关键告警。这里关键告警是指,重要资产上产生的告警,或者重要资产上产生的告警且是高危和中危的。如果不重要资产告警信息量巨大,且每天产生很多,那么很有可能会把重要资产的告警信息淹没,信息一旦淹没,分析人员不能很好的发现并处理,从而导致网络安全事故的发生。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供种基于大数据环境的告警排序方法及装置,以缓解了现有技术中重要的告警信息的处理效率较低技术问题。
第一方面,本发明实施例提供了一种基于大数据环境的告警排序方法,包括:获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;基于层次分析法,确定出所述告警信息所对应告警类型的权重值;基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;对所述告警评分进行排序,得到所述告警信息的评分序列。
进一步地,基于层次分析法,确定出所述告警信息所对应告警类型的权重值,包括:基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,其中,aij为所述判断矩阵中第i行第j列的元素,aij用于表征所述告警信息的告警类型i与告警类型j之间重要性差异的赋值;基于所述判断矩阵,计算出所述告警类型的权重值。
进一步地,基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,包括:将所述告警类型的权重值代入Hacker news算式Y=A*wk/(T+2)G中,计算出所述告警评分,其中,A为所述告警信息所对应的资产设备的权重值,wk为第k类告警类型的权重值,n为所述告警类型的数量,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,G为常数。
进一步地,基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,包括:获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述告警信息的各个告警类型之间重要性差异的赋值;基于所述层次分析法和所述目标赋值,构建所述预设数量个判断矩阵,并将所述预设数量个判断矩阵作为所述告警信息所对应告警类型的判断矩阵。
进一步地,基于所述判断矩阵,计算出所述告警类型的权重值,包括:
基于一致性检验算法,计算所述预设数量个判断矩阵中每个判断矩阵的一致性CR值;
基于所述一致性CR值,确定出目标判断矩阵,其中,所述目标判断矩阵为所述预设数量个判断矩阵中一致性CR值小于预设阈值的矩阵;基于权重值计算公式
和所述目标判断矩阵,计算出所述目标判断矩阵对应的各个告警类型的权重值,其中,akj∈aij;基于所述目标判断矩阵对应的各个告警类型的权重值,计算出告警类型的权重值的均值,并将所述告警类型的权重值的均值确定为所述告警类型的权重值。
第二方面,本发明实施例还提供了一种基于大数据环境的告警排序装置,包括:获取单元,确定单元,计算单元和排序单元,其中,所述获取单元用于获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;所述确定单元用于基于层次分析法,确定出所述告警信息所对应告警类型的权重值;所述计算单元用于基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;所述排序单元用于对所述告警评分进行排序,得到所述告警信息的评分序列。
进一步地,所述确定单元还用于:基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,其中,aij为所述判断矩阵中第i行第j列的元素,aij用于表征所述告警信息的告警类型i与告警类型j之间重要性差异的赋值;基于所述判断矩阵,计算出所述告警类型的权重值。
进一步地,所述计算单元还用于:将所述告警类型的权重值代入Hacker news算式Y=A*wk/(T+2)G中,计算出所述告警评分,其中,A为所述告警信息所对应的资产设备的权重值,wk为第k类告警类型的权重值,n为所述告警类型的数量,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,G为常数。
第三方面,本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行第一方面所述的基于大数据环境的告警排序方法。
第四方面,本发明实施例还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面中所述的基于大数据环境的告警排序方法。
在本发明实施例中,首先,通过层次分析法确定出告警信息所对应告警类型的权重值,然后根据Hacker news算法和告警信息所对应告警类型的权重值,计算出告警信息的告警评分,最后,对告警评分进行排序,得到告警信息的评分序列,以使重要的告警信息能够突出显示在评分序列中,达到了工作人员能够及时处理重要的告警信息的目的,进而解决了现有技术中重要的告警信息的处理效率较低技术问题,从而实现了提高重要的告警信息的处理效率的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于大数据环境的告警排序方法的流程图;
图2为本发明实施例提供的一种计算告警类型权重的方法的流程图;
图3为本发明实施例提供的一种基于大数据环境的告警排序装置的示意图;
图4为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在态势感知平台中,技术人员在对最新的告警信息的排序时,先对所有告警信息按照时间倒序,然后再按照告警级别从高到低排序。由于态势感知平台,收集告警信息的来源多,渠道广,告警信息量大,这几个原因会导致数据量巨大。如果简单的按照时间倒序加上告警级别从高到低排列,这样导致的问题是,体现不出重要资产的告警,如果不重要资产告警信息量巨大,且每天产生很多,那么很有可能会把重要资产的告警信息淹没,从而导致网络安全事故的发生。
针对以上缺点,本申请提取出告警信息的三个维度:告警信息所对应的资产设备的权重,告警信息最近发现时间,告警信息等级。在传统告警信息时间倒序和告警级别从高到低两个维度的基础上(发现时间和告警级别),增加一个维度所在资产权重,并结合hacker news排序算法,来优化传统排序算法,得到告警信息排序分值,从高到低排列。最终,得到相同时间区间内,重要资产的告警信息在非重要资产告警之前。相同资产的告警级别越高,则排名越靠前。下面将结合具体实施例介绍本申请中的基于大数据环境的告警排序方法。
实施例一:
根据本发明实施例,提供了一种基于大数据环境的告警排序方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于大数据环境的告警排序方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;
步骤S104,基于层次分析法,确定出所述告警信息所对应告警类型的权重值;
具体的,层次分析法是指将一个复杂的多目标决策问题作为一个系统,将目标分解为多个目标或准则,进而分解为多指标(或准则、约束)的若干层次,通过定性指标模糊量化方法算出层次单排序(权数)和总排序,以作为目标(多指标)、多方案优化决策的系统方法。
层次分析法是将决策问题按总目标、各层子目标、评价准则直至具体的备投方案的顺序分解为不同的层次结构,然后用求解判断矩阵特征向量的办法,求得每一层次的各元素对上一层次某元素的优先权重,最后再加权和的方法递阶归并各备择方案对总目标的最终权重,此最终权重最大者即为最优方案。
层次分析法比较适合于具有分层交错评价指标的目标系统,而且目标值又难于定量描述的决策问题。
步骤S106,基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;
具体的,本申请采用hacker news的排名算法,只是对变量的定义不同。
Hacker News采用的排名算法的工作原理如下:
Score(即,文章评分)=(P-1)/(T+2)^G,其中,P=文章获得的票数(-1是去掉文章提交人的票),T=从文章提交至今的时间(小时),G=比重,在news.arc里的缺省值是1.8。
步骤S108,对所述告警评分进行排序,得到所述告警信息的评分序列。
需要说明的是,上述的排序方式可以为从高到低或从低到高的方式对告警评分进行排序,具体排序方式可以由工作人员根据实际情况自行设定,在本发明实施例中不做具体限定。
在本发明实施例中,首先,通过层次分析法确定出告警信息所对应告警类型的权重值,然后根据Hacker news算法和告警信息所对应告警类型的权重值,计算出告警信息的告警评分,最后,对告警评分进行排序,得到告警信息的评分序列,以使重要的告警信息能够突出显示在评分序列中,达到了工作人员能够及时处理重要的告警信息的目的,进而解决了现有技术中重要的告警信息的处理效率较低技术问题,从而实现了提高重要的告警信息的处理效率的技术效果。
在本发明实施例中,如图2所示,步骤S104还包括如下步骤:
步骤S11,基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,其中,aij为所述判断矩阵中第i行第j列的元素,aij用于表征所述告警信息的告警类型i与告警类型j之间重要性差异的赋值;
步骤S12,基于所述判断矩阵,计算出所述告警类型的权重值。
在本发明实施例中,为了计算出告警信息对应的权重值,首先,获取预设数量个专业人员对告警信息的各个攻击性为之间重要性的差异进行赋值(即,目标赋值)。
需要说明的是,上述的专业人员的数量可以根据情况自行设定,在本发明实施例中不做具体限定,一般情况下专业人员的数量不低于6人。
然后,通过层次分析法和目标赋值,构建出预设数量个判断矩阵。
最后,根据预设数量个判断矩阵,分别计算出每个判断矩阵对应的权重值。
需要说明的是,根据实际经验,一个告警信息一般情况下可能对应12个告警类型,具体包括:拒绝服务,DNS(Domain Name System,即域名系统)污染,WIFI劫持,BGP(BorderGateway Protocol,即边界网关协议)劫持,广播欺诈,扫描探测,有害程序,高级威胁,信息破坏,安全隐患,访问异常和流量异常。
构建出的判断矩阵如下所示:
其中,aij为所述判断矩阵中第i行第j列的元素,用于表征告警类型i与告警类型j之间的重要性差异的赋值,aij的取值范围为1至9的整数。
aij=1:告警类型i和告警类型j重要性相同。
aij=3:告警类型i比告警类型j略重要。
aij=7:告警类型i比告警类型j重要的多。
aij=9:告警类型i相较与告警类型j极其重要。
aij=2,4,6,8,告警类型i相较与告警类型j重要性介于奇数之间。
构建判断矩阵的具体方式如下:
首先,获取预设数量个专业人员对所述样本告警类型的各个攻击阶段之间重要性差异的赋值。
需要说明的是,上述的预设数量可以由用户根据实际情况自行设定,一般情况下,预设数量大于6。
然后,根据预设数量个专业人员对所述样本告警类型的各个攻击阶段之间重要性差异的赋值,构建预设数量个判断矩阵,即,若专业人员的数量为6,则得到6个判断矩阵。
首先,基于一致性检验算法,计算每个判断矩阵的一致性CR值;
基于一致性CR值,确定出目标判断矩阵,其中,目标判断矩阵为一致性CR值小于预设阈值的判断矩阵。
需要说明的是,上述的预设阈值为0.1,一致性CR值用于表征判断矩阵是否合理。
然后,基于权重计算公式和目标判断矩阵,计算出每个目标判断矩阵对应的各个告警类型的权重值,其中,权重计算公式为
其中,akj∈aij。
最后,基于每个目标判断矩阵对应的各个告警类型的权重值,计算出各个告警类型的权重值的均值,将各个告警类型的权重值的均值确定为每个告警类型的权重值。
通过层次分析法计算出告警信息的各个告警类型的权重值,能够有效的确定各个告警类型中对待检测系统影响最大的告警类型,进而能够准确的计算出告警信息的告警评分,确定出告警信息的重要程度。
在本发明实施例中,步骤S106还包括如下步骤:
步骤S21,将所述告警类型的权重值代入Hacker news算式Y=A*wk/(T+2)G中,计算出所述告警评分,其中,A为所述告警信息所对应的资产设备的权重值,wk为第k类告警类型的权重值,n为所述告警类型的数量,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,G为常数。
在本发明实施例中,参考hacker news算法,在此算法基础上对P扩展了维度,由原来的一个维度P(文章获得的票数),扩展到了两个维度:资产权重和告警等级。详细说明如下:
Y=A*wk/(T+2)G,其中,G为常数,可以由用户根据实际情况自行设定,在本发明实施例中不做具体限定,一般情况下G=1.8。
A为资产权重,wk为第k类告警类型的权重值。
资产权重A的取值范围可以设定为1-5的整数,1至5逐级提高。其取值的依据是《信息安全等级保护管理办法》,详细介绍如下:
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
另外,还需要说明的是,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,单位默认为小时),但也不限定为小时,可以自己定义。以小时数为例,对应的告警类型的时间点为2019-09-23 23:00:00,当前查看系统的时间为2019-09-25 12:00:00,那么T的取值为37小时。
基于hacker news的新闻排序算法进行演化而来的告警排序算法,使其在大数据量的情况下,能够将人们关心的3个维度:评价资产重要与否的权重(越重要权重越高),层次分析法获得更客观的告警信息对应的告警类型权重,告警信息发生时间距离当前的小时数(也可以是别的单位,天,秒等)进行综合利用和算法计算,得到排序分值,按照此分值从高到低排列,有助于决策者决策。
实施例二:
本发明还提供了一种基于大数据环境的告警排序装置的实施例,该装置用于执行本发明实施例上述内容所提供的基于大数据环境的告警排序方法,以下是本发明实施例提供的基于大数据环境的告警排序装置的具体介绍。
如图3所示,上述的基于大数据环境的告警排序装置包括:获取单元10,确定单元20,计算单元30和排序单元40。
所述获取单元用于获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;
所述确定单元用于基于层次分析法,确定出所述告警信息所对应告警类型的权重值;
所述计算单元用于基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;
所述排序单元用于对所述告警评分进行排序,得到所述告警信息的评分序列。
在本发明实施例中,首先,通过层次分析法确定出告警信息所对应告警类型的权重值,然后根据Hacker news算法和告警信息所对应告警类型的权重值,计算出告警信息的告警评分,最后,对告警评分进行排序,得到告警信息的评分序列,以使重要的告警信息能够突出显示在评分序列中,达到了工作人员能够及时处理重要的告警信息的目的,进而解决了现有技术中重要的告警信息的处理效率较低技术问题,从而实现了提高重要的告警信息的处理效率的技术效果。
优选地,所述确定单元还用于:基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,其中,aij为所述判断矩阵中第i行第j列的元素,aij用于表征所述告警信息的告警类型i与告警类型j之间重要性差异的赋值;基于所述判断矩阵,计算出所述告警类型的权重值。
优选地,所述计算单元还用于:将所述告警类型的权重值代入Hacker news算式Y=A*wk/(T+2)G中,计算出所述告警评分,其中,A为所述告警信息所对应的资产设备的权重值,A的取值范围为1至5的整数,wk为第k类告警类型的权重值,n为所述告警类型的数量,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,G为常数。
优选地,所述确定单元还用于:获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述告警信息的各个告警类型之间重要性差异的赋值;基于所述层次分析法和所述目标赋值,构建所述预设数量个判断矩阵,并将所述预设数量个判断矩阵作为所述告警信息所对应告警类型的判断矩阵。
优选地,所述确定单元还用于:基于一致性检验算法,计算所述预设数量个判断矩阵中每个判断矩阵的一致性CR值;
基于所述一致性CR值,确定出目标判断矩阵,其中,所述目标判断矩阵为所述预设数量个判断矩阵中一致性CR值小于预设阈值的矩阵;基于权重值计算公式
和所述目标判断矩阵,计算出所述目标判断矩阵对应的各个告警类型的权重值,其中,akj∈aij;基于所述目标判断矩阵对应的各个告警类型的权重值,计算出告警类型的权重值的均值,并将所述告警类型的权重值的均值确定为所述告警类型的权重值。
本发明实施例提供的一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述实施例一中的基于大数据环境的告警排序方法。
本发明实施例提供的一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例一中的基于大数据环境的告警排序方法。
参见图4,本发明实施例还提供一种服务器100,包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种基于大数据环境的告警排序方法,其特征在于,包括:
获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;
基于层次分析法,确定出所述告警信息所对应告警类型的权重值;
基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;
对所述告警评分进行排序,得到所述告警信息的评分序列;
其中,基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,包括:
将所述告警类型的权重值代入Hacker news算式Y=A*wk/(T+2)G中,计算出所述告警评分,其中,A为所述告警信息所对应的资产设备的权重值,wk为第k类告警类型的权重值,n为所述告警类型的数量,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,G为常数,A的取值范围为1至5的整数,k和n的取值范围为1至9的整数。
2.根据权利要求1所述的方法,其特征在于,基于层次分析法,确定出所述告警信息所对应告警类型的权重值,包括:
基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,aij为所述判断矩阵中第i行第j列的元素,用于表征所述告警信息的告警类型i与告警类型j之间重要性差异的赋值,i和j的取值范围为1至9的整数;
基于所述判断矩阵,计算出所述告警类型的权重值。
3.根据权利要求2所述的方法,其特征在于,基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,包括:
获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述告警信息的各个告警类型之间重要性差异的赋值;
基于所述层次分析法和所述目标赋值,构建所述预设数量个判断矩阵,并将所述预设数量个判断矩阵作为所述告警信息所对应告警类型的判断矩阵。
4.根据权利要求3所述的方法,其特征在于,基于所述判断矩阵,计算出所述告警类型的权重值,包括:
基于一致性检验算法,计算所述预设数量个判断矩阵中每个判断矩阵的一致性CR值;
基于所述一致性CR值,确定出目标判断矩阵,其中,所述目标判断矩阵为所述预设数量个判断矩阵中一致性CR值小于预设阈值的矩阵;
基于权重值计算公式
和所述目标判断矩阵,计算出所述目标判断矩阵对应的各个告警类型的权重值,其中,akj∈aij,wi为第i个告警类型的权重值,aij为1至9的整数;
基于所述目标判断矩阵对应的各个告警类型的权重值,计算出告警类型的权重值的均值,并将所述告警类型的权重值的均值确定为所述告警类型的权重值。
5.一种基于大数据环境的告警排序装置,其特征在于,包括:获取单元,确定单元,计算单元和排序单元,其中,
所述获取单元用于获取待检测系统的告警信息,其中,所述告警信息为对所述待检测系统进行攻击时生成的信息;
所述确定单元用于基于层次分析法,确定出所述告警信息所对应告警类型的权重值;
所述计算单元用于基于Hacker news算法和所述告警信息所对应告警类型的权重值,计算出所述告警信息的告警评分,其中,所述告警评分用于表征所述告警信息的重要性;
所述排序单元用于对所述告警评分进行排序,得到所述告警信息的评分序列;
其中,所述计算单元还用于:
将所述告警类型的权重值代入Hacker news算式Y=A*wk/(T+2)G中,计算出所述告警评分,其中,A为所述告警信息所对应的资产设备的权重值,wk为第k类告警类型的权重值,n为所述告警类型的数量,T为发现所述告警信息对应的告警类型的时间点到当前时间点之间的时长,G为常数,A的取值范围为1至5的整数,k和n的取值范围为1至9的整数。
6.根据权利要求5所述的装置,其特征在于,所述确定单元还用于:
基于层次分析法,构建所述告警信息所对应告警类型的判断矩阵,其中,aij为所述判断矩阵中第i行第j列的元素,用于表征所述告警信息的告警类型i与告警类型j之间重要性差异的赋值,i和j的取值范围为1至9的整数;
基于所述判断矩阵,计算出所述告警类型的权重值。
7.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行上述权利要求1至4中任一项所述的基于大数据环境的告警排序方法。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4中任一项所述的基于大数据环境的告警排序方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911138194.0A CN110855497B (zh) | 2019-11-19 | 2019-11-19 | 一种基于大数据环境的告警排序方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911138194.0A CN110855497B (zh) | 2019-11-19 | 2019-11-19 | 一种基于大数据环境的告警排序方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110855497A CN110855497A (zh) | 2020-02-28 |
| CN110855497B true CN110855497B (zh) | 2022-09-27 |
Family
ID=69602568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911138194.0A Active CN110855497B (zh) | 2019-11-19 | 2019-11-19 | 一种基于大数据环境的告警排序方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110855497B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022000430A1 (zh) * | 2020-07-02 | 2022-01-06 | 深圳市欢太科技有限公司 | 服务器威胁评定方法及相关产品 |
| CN111815799B (zh) * | 2020-08-31 | 2021-02-19 | 国网山东省电力公司高密市供电公司 | 一种基于电力杆塔及电力线路的飞行巡检监控系统 |
| CN114430360B (zh) * | 2020-10-14 | 2024-03-12 | 中国移动通信集团山东有限公司 | 一种互联网安全监控方法、电子设备和存储介质 |
| CN112511568A (zh) * | 2021-02-06 | 2021-03-16 | 北京安帝科技有限公司 | 一种网络安全事件的关联分析方法、装置及存储介质 |
| CN115086139B (zh) * | 2021-03-12 | 2023-08-15 | 中国移动通信集团四川有限公司 | 通信网络告警故障处理优先级调整方法及装置 |
| CN113079047B (zh) * | 2021-03-29 | 2022-10-14 | 北京奇艺世纪科技有限公司 | 一种告警处理方法及装置 |
| CN114095332A (zh) * | 2021-11-11 | 2022-02-25 | 建信金融科技有限责任公司 | 信息处理方法、装置、设备及计算机存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095312A (zh) * | 2014-05-22 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 网页前端性能的评估方法和系统 |
| CN106327071A (zh) * | 2016-08-19 | 2017-01-11 | 广东电网有限责任公司佛山供电局 | 电力通信风险分析方法和系统 |
| CN107949038A (zh) * | 2017-10-31 | 2018-04-20 | 南京邮电大学 | 一种基于ahp和相似度的网络选择方法 |
| US10019892B1 (en) * | 2017-04-25 | 2018-07-10 | Hongfujin Precision Electronics (Tianjin) Co., Ltd. | Risk assessing and managing system and related method |
| CN109547230A (zh) * | 2017-09-22 | 2019-03-29 | 中国移动通信集团浙江有限公司 | 一种基于权重的互联网缓存资源服务质量评价方法及系统 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
-
2019
- 2019-11-19 CN CN201911138194.0A patent/CN110855497B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095312A (zh) * | 2014-05-22 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 网页前端性能的评估方法和系统 |
| CN106327071A (zh) * | 2016-08-19 | 2017-01-11 | 广东电网有限责任公司佛山供电局 | 电力通信风险分析方法和系统 |
| US10019892B1 (en) * | 2017-04-25 | 2018-07-10 | Hongfujin Precision Electronics (Tianjin) Co., Ltd. | Risk assessing and managing system and related method |
| CN109547230A (zh) * | 2017-09-22 | 2019-03-29 | 中国移动通信集团浙江有限公司 | 一种基于权重的互联网缓存资源服务质量评价方法及系统 |
| CN107949038A (zh) * | 2017-10-31 | 2018-04-20 | 南京邮电大学 | 一种基于ahp和相似度的网络选择方法 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Hacker News与Reddit的算法比较;郑昀;《CSDN》;20101215;全文 * |
| 面向新浪微博的信息溯源技术研究;刘荣叁等;《智能计算机与应用》;20170428(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110855497A (zh) | 2020-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110855497B (zh) | 一种基于大数据环境的告警排序方法及装置 | |
| CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
| CN110380896B (zh) | 基于攻击图的网络安全态势感知系统和方法 | |
| Hao et al. | PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| KR101781450B1 (ko) | 사이버 공격에 대한 위험도 산출 방법 및 장치 | |
| CN107239707B (zh) | 一种用于信息系统的威胁数据处理方法 | |
| CN111859393B (zh) | 基于态势感知告警的风险评估系统及方法 | |
| CN110149327B (zh) | 网络安全威胁的告警方法、装置、计算机设备和存储介质 | |
| KR100892415B1 (ko) | 사이버위협 예보 시스템 및 방법 | |
| CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
| CN111865982B (zh) | 基于态势感知告警的威胁评估系统及方法 | |
| CN110620696A (zh) | 针对企业网络安全态势感知的评分方法和装置 | |
| CN113839817A (zh) | 一种网络资产风险评估方法、装置及系统 | |
| CN113098828B (zh) | 网络安全报警方法及装置 | |
| CN110011976B (zh) | 一种网络攻击破坏能力量化评估方法及系统 | |
| CN111600897A (zh) | 一种网络安全事件等级评估方法、设备及其相关设备 | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN113778806A (zh) | 一种安全告警事件的处理方法、装置、设备和存储介质 | |
| CN112733893A (zh) | 一种通信网络安全态势感知防护处置技术及方法 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN111901329A (zh) | 一种识别网络安全事件方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |