CN112613576A

CN112613576A - 确定告警的方法、装置、电子设备和存储介质

Info

Publication number: CN112613576A
Application number: CN202011612726.2A
Authority: CN
Inventors: 吴子建; 吴复迪; 刘文懋; 薛见新; 张润滋
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2021-04-06
Anticipated expiration: 2040-12-30
Also published as: CN112613576B

Abstract

本申请提供一种确定告警的方法、装置、电子设备和存储介质，涉及网络安全技术领域。由于真正有威胁的告警信息中的攻击行为与安全的告警信息中的攻击行为有明显的区别，因此，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而确定目标告警信息，可以减轻安全运维人员的排查告警的压力。

Description

确定告警的方法、装置、电子设备和存储介质

技术领域

本申请涉及网络安全技术领域，更具体地说，涉及一种确定告警的方法、装置、电子设备和存储介质。

背景技术

海量告警的筛选问题多年来一直困扰着安全行业。企业侧的安全设备，例如入侵预防系统(Intrusion Prevention System，IPS)、Web应用防火墙(Web ApplicationFirewall，WAF)等每天产生大量的告警。在这些大量的告警中，真正有威胁(即代表系统真正被黑客攻击)的告警所占的比例却非常小，安全运维人员需要从大量的告警中排查出少量的真正有威胁的告警。这给安全运维人员造成很大的排查告警的压力。

发明内容

为解决相关技术存在的技术问题，本申请实施例提供一种确定告警的方法、装置、电子设备和存储介质，通过对安全设备产生的大量告警进行分析，筛选出具有高威胁度的告警，可以减轻安全运维人员的排查告警的压力。

为达到上述目的，本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供一种确定告警的方法，包括：

分别提取目标安全设备的多个告警信息中的每个告警信息中用于描述攻击行为的特征信息；

将所述多个告警信息进行分类，得到多个告警信息序列；其中，同一告警信息序列中的告警信息的类别相同，不同告警信息序列中的告警信息的类别不同；

根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；

根据任意两个告警信息序列的相似度，确定目标告警信息。

在一种可选的实施例中，所述将所述多个告警信息进行分类，得到多个告警信息序列，包括：

将所述多个告警信息按照地址信息进行分类，得到多个告警信息序列。

在一种可选的实施例中，所述根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度，包括：

对于第一告警信息序列和第二告警信息序列，确定所述第一告警信息序列中的任一告警信息的特征信息与所述第二告警信息序列中的任一告警信息的特征信息的第一相似度测度；

根据得到的所有第一相似度测度，确定所述第一告警信息序列和所述第二告警信息序列的第二相似度测度。

在一种可选的实施例中，所述根据得到的所有第一相似度测度，确定所述第一告警信息序列和所述第二告警信息序列的第二相似度测度，包括：

将所有第一相似度测度中最小的第一相似度测度作为所述第一告警信息序列和所述第二告警信息序列的第二相似度测度；或者，

将所有第一相似度测度的平均相似度测度作为所述第一告警信息序列和所述第二告警信息序列的第二相似度测度。

在一种可选的实施例中，所述根据任意两个告警信息序列的相似度，确定目标告警信息，包括：

对于任意两个告警信息序列，若所述两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将所述两个告警信息序列进行关联；

将未关联的告警信息序列中的告警信息作为所述目标告警信息。

在一种可选的实施例中，所述对于任意两个告警信息序列，若所述两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将所述两个告警信息序列进行关联之后，还包括：

将所述多个告警信息序列中已关联的告警信息序列作为候选告警信息序列；

对于分别属于任意两个候选告警信息序列的任一第一告警信息和任一第二告警信息，若所述第一告警信息的特征信息与所述第二告警信息的特征信息的第一相似度测度小于等于所述相似度测度阈值，则将所述第一告警信息和所述第二告警信息剔除；

对于任一候选告警信息序列，将所述候选告警信息序列中剩余的告警信息作为所述目标告警信息。

在一种可选的实施例中，所述对于任意两个告警信息序列，若所述两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将所述两个告警信息序列进行关联，包括：

将所述多个告警信息序列中的每个告警信息序列作为一个顶点；

对于任意两个告警信息序列，若所述两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将所述两个告警信息序列对应的两个顶点进行连接，构建相似度关联图；其中，所述相似度关联图中未与其他顶点连接的顶点所对应的告警信息序列为未关联的告警信息序列。

第二方面，本申请实施例提供一种确定告警的装置，包括：

提取模块，用于分别提取目标安全设备的多个告警信息中的每个告警信息中用于描述攻击行为的特征信息；

分类模块，用于将所述多个告警信息进行分类，得到多个告警信息序列；其中，同一告警信息序列中的告警信息的类别相同，不同告警信息序列中的告警信息的类别不同；

相似度确定模块，用于根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；

第一目标告警确定模块，用于根据任意两个告警信息序列的相似度，确定目标告警信息。

在一种可选的实施例中，所述分类模块，具体用于：

在一种可选的实施例中，所述相似度确定模块，具体用于：

在一种可选的实施例中，所述相似度确定模块，具体还用于：

在一种可选的实施例中，所述第一目标告警确定模块，具体用于：

在一种可选的实施例中，所述装置还包括：

筛选模块，用于将所述多个告警信息序列中已关联的告警信息序列作为候选告警信息序列；

剔除模块，用于对于分别属于任意两个候选告警信息序列的任一第一告警信息和任一第二告警信息，若所述第一告警信息的特征信息与所述第二告警信息的特征信息的第一相似度测度小于等于所述相似度测度阈值，则将所述第一告警信息和所述第二告警信息剔除；

第二目标告警确定模块，用于对于任一候选告警信息序列，将所述候选告警信息序列中剩余的告警信息作为所述目标告警信息。

在一种可选的实施例中，所述第一目标告警确定模块，具体还用于：

第三方面，本申请实施例还提供一种电子设备，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，使得所述处理器实现第一方面的确定告警的方法。

第四方面，本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时，实现第一方面的确定告警的方法。

本申请的实施例提供的技术方案至少带来以下有益效果：

本申请实施例提供一种确定告警的方法、装置、电子设备和存储介质，由于真正有威胁的告警信息中的攻击行为与安全的告警信息中的攻击行为有明显的区别，因此，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；然后根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；进而根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而确定目标告警信息，可以减轻安全运维人员的排查告警的压力。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种确定告警的方法的应用场景示意图；

图2为本申请实施例提供的一种确定告警的方法的流程图；

图3为本申请实施例提供的一种相似度关联图的示意图；

图4为本申请实施例提供的一种确定告警的装置的结构示意图；

图5为本申请实施例提供的一种电子设备的结构示意图；

图6为本申请实施例提供的另一种电子设备的结构示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

下文中所用的词语“示例性”的意思为“用作例子、实施例或说明性”。作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

文中的术语“第一”、“第二”仅用于描述目的，而不能理解为明示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征，在本申请实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

下面对本申请实施例的设计思路进行说明。

目前，安全设备产生的告警信息分为多种，其中大部分的告警信息是由于网络扫描产生的，这些告警信息的威胁性比较小，可以认为是安全告警信息，而真正有威胁的网络攻击导致的告警信息占较少的部分。大部分的安全告警信息通常是由攻击者采用各种自动化扫描工具对大量资产进行扫描产生的，由于这些自动化扫描工具是比较相似的，因此，扫描过程所产生的告警信息中会包含很多相似的特征，例如扫描工具特征，扫描技术特征，探测的文件和目录特征等。因此，在安全告警信息中，即使其中的源IP地址(即攻击设备的地址)或者目的IP地址(即被攻击设备的地址)不同，告警信息之间也会由于采用了相似的扫描工具或者攻击手段而在特征上较为相似。而对于真正的网络攻击，攻击者为了达到攻陷资产的目的，往往会使用特定的攻击手段对目标主机进行攻击，或者访问特定的文件等。由于是有针对性的攻击，所以真正的网络攻击对应的告警信息的特征往往较为独特，与大部分由于网络扫描产生的告警信息的特征区别较大，因此，这类告警信息往往与其他大部分告警信息的相似度较小。

有鉴于此，本申请实施例提出一种确定告警的方法、装置、电子设备和存储介质，对于目标安全设备中的多个告警信息，分别提取每个告警信息中用于描述攻击行为的特征信息；将多个告警信息进行分类，得到多个告警信息序列；然后根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；进而根据任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而得到真正有威胁的目标告警信息，可以解决现有技术中由于需要从大量的告警中排查出少量的真正有威胁的告警，导致安全运维人员的排查压力较大的技术问题。下面结合附图，对本申请进行详细的说明。

如图1所示，为一种确定告警的方法的应用场景，该应用场景中包括多个安全设备110和服务器120，图1中是以三个安全设备110为例，实际上不限制安全设备110的数量。安全设备110例如可以是防火墙(Firewall)、IDS(Intrusion Detection System，入侵检测系统)、IPS(Intrusion Prevention System，入侵预防系统)、WAF(Web ApplicationFirewall，Web应用防火墙)等。服务器120可以通过单个服务器实现，也可以通过多个服务器实现。服务器120可以通过实体服务器实现，也可以通过虚拟服务器实现。安全设备110和服务器120之间可以通过通信网络进行通信，该通信网络可以是无线网络，也可以是有线网络，本申请实施例对此不作限制。

本申请实施例中，安全设备110可以检测和防御攻击设备对被攻击设备的入侵，同时产生告警信息，以供安全运维人员查看。安全设备110在一定时间内可以产生大量的告警信息，其可以将这些告警信息发送给服务器120，服务器120也可以从安全设备110中获取这些告警信息。服务器120通过对这些告警信息进行进一步分析，可以筛选出真正有威胁的目标告警信息。

上述图1的应用场景只是实现本申请实施例的一个应用场景的示例，本申请实施例并不限于上述图1所述的应用场景。

图2为本申请实施例提供放入一种确定告警的方法的流程示意图。如图2所示，该确定告警的方法可以包括以下步骤：

步骤S201，分别提取目标安全设备的多个告警信息中的每个告警信息中用于描述攻击行为的特征信息。

通过告警信息可以获取攻击者的攻击行为信息，例如攻击行为信息可以包含在告警信息的payload(有效载荷)中，其中，payload可以理解为告警信息中的关键信息。对于每个告警信息，在对该告警信息进行特征提取时，可以对告警信息的payload进行特征提取。

在一些实施例中，可以通过正则表达式(即记录文本规则的代码)的匹配规则提取告警信息中用于描述攻击行为的特征信息，具体可以设定特征信息的文本规则，根据文本规则从告警信息中匹配特征信息。例如，特征信息可以包括文件路径、源IP地址、目的IP地址、域名、URL(Uniform Resource Locator，统一资源定位系统)、操作系统命令、脚本函数、SQL(Structured Query Language，结构化查询语言)语句、系统表名称等。这些特征信息能够有效地描述攻击者的攻击行为，例如攻击者所使用的攻击技术、攻击工具，以及有效地描述被攻击设备中的资产的特征，例如文件路径，操作系统信息等。上述特征提取方式只是示例性的，本申请实施例对此并不作限制。

在一种可选的实施方式中，在提取每个告警信息的特征信息以后，为了便于后续处理，可以将每个告警信息的特征信息根据预设的编码规则进行编码，得到一个特征向量。因此，每条告警信息对应一个特征向量。

其中，上述编码规则可以根据具体需要进行设置，本申请实施例对此不作限制。示例性的，特征信息可以是字符串的形式，将字符串按照预设的编码规则编码为数字，得到特征信息对应的一个特征向量。

步骤S202，将多个告警信息进行分类，得到多个告警信息序列；其中，同一告警信息序列中的告警信息的类别相同，不同告警信息序列中的告警信息的类别不同。

本申请实施例中，由于告警信息的数量比较大，为了便于对多个告警信息进行分析，可以按照告警信息中的特定信息对多个告警信息进行分类，将具有相同的特定信息的告警信息作为同一类别，进而将同一类别的告警信息组成一个告警信息序列，可以得到多个告警信息序列，后续可以对多个告警信息序列进行分析。

在一些实施例中，上述特定信息可以是地址信息，因此，步骤S202可以通过以下方式实现：

将多个告警信息按照地址信息进行分类，得到多个告警信息序列。

具体地，地址信息可以包括源IP地址、目的IP地址和目的端口中的至少一个，其中，目的端口可以表示被攻击设备中的一个服务的端口。

在一种可选的实施方式中，可以将源IP、目的IP和目的端口相同的告警信息作为一个类别的告警信息，并组成一个告警信息序列，得到多个告警信息序列。可以将多个告警信息序列的集合记为Set(alert)＝{S₁,S₂,…,S_K}。其中，每个序列S_i,i＝1,2,…,K，K为正整数，可以表示同一个攻击者对同一个被攻击设备上的同一个服务所采取的攻击行为。

步骤S203，根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度。

由于每个告警信息序列可以包括多个告警信息，每个告警信息对应一个特征信息，这里，特征信息可以通过特征向量来表示。因此，对于任意两个告警信息序列S_i,S_j，i,j＝1,2,…,K，可以将S_i中的任一告警信息对应的特征向量与S_j中的任一告警信息对应的特征向量进行比较，确定任意两个特征向量的相似度，即对于任意特征向量u，u∈S_i，和任意特征向量v，v∈S_j，计算u和v的相似度，可以得到多个相似度。根据得到的多个相似度，可以确定任意两个告警信息序列的相似度。

步骤S204，根据任意两个告警信息序列的相似度，确定目标告警信息。

本申请实施例的确定告警的方法，通过确定的任意两个告警信息序列的相似度，可以确定与其他告警信息序列相似度较低的目标告警信息序列，该目标告警信息序列中的告警信息为真正有威胁的告警信息，从而得到真正有威胁的目标告警信息，可以减轻安全运维人员的排查告警的压力。

在一些实施例中，上述步骤S203中，根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度，具体可以通过以下步骤实现：

(1)对于第一告警信息序列和第二告警信息序列，确定第一告警信息序列中的任一告警信息的特征信息与第二告警信息序列中的任一告警信息的特征信息的第一相似度测度。

例如，第一告警信息序列为S₁，第二告警信息序列为S₂，S₁和S₂可以分别包括多个告警信息，每个告警信息的特征信息可以表示为一个特征向量，即对于任意特征向量u，u∈S₁，和任意特征向量v，v∈S₂，计算u和v的相似度测度，即上述第一相似度测度，例如可以表示为d′(u,v)，该相似度测度用于比较u和v的相似度。

在一些实施例中，相似度测度d′(u,v)可以采用u和v的欧式距离、余弦相似度或者编辑距离等。此时，d′(u,v)的值越小，说明u和v的相似度越高。其中，余弦相似度是指计算两个特征向量的夹角余弦值来评估他们的相似度。编辑距离是指，针对两个特征向量的差异程度的量化量测，量测方式是看至少需要多少次的处理才能将一个特征向量变成另一个特征向量。另外，还可以采用其他方式确定u和v的相似度，本申请实施例对此不作限制。

(2)根据得到的所有第一相似度测度，确定第一告警信息序列和第二告警信息序列的第二相似度测度。具体可以通过以下两种方式确定：

在一种可选的实施方式中，如果第一告警信息序列中的一个特征向量与第二告警信息序列中的另一个特征向量的相似度较高，则可以认为第一告警信息序列和第二告警信息序列的相似度也较高。因此，可以将所有第一相似度测度中最小的第一相似度测度作为第一告警信息序列和第二告警信息序列的第二相似度测度。

由上述可知，第一告警信息序列S₁和第二告警信息序列S₂的第二相似度测度可以表示为d(S₁,S₂),则d(S₁,S₂)＝mind′(u,v)。

在另一种可选的实施方式中，可以将所有第一相似度测度的平均相似度测度作为第一告警信息序列和第二告警信息序列的第二相似度测度。

例如，第一告警信息序列S₁包括3个告警信息，第二告警信息序列S₂包括4个告警信息，则最终可以得到12个第一相似度测度，将这12个第一相似度测度的平均值作为第一告警信息序列S₁和第二告警信息序列S₂的第二相似度测度。

在一些实施例中，上述步骤S204中，根据任意两个告警信息序列的相似度，确定目标告警信息，具体可以通过以下步骤实现：

a.对于任意两个告警信息序列，若两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将两个告警信息序列进行关联。

具体地，相似度测度阈值可以根据需要进行设定，本申请实施例对此不作限制。例如，任意两个告警信息序列的第二相似度测度为d(S_i,S_j)，i,j＝1,2,…,K，相似度测度阈值为d^*，如果d(S_i,S_j)≤d^*，则将S_i和S_j进行关联。

b.将未关联的告警信息序列中的告警信息作为目标告警信息。

其中，未关联的告警信息序列可以是未与其他告警信息序列进行关联的告警信息序列，即未关联的告警信息序列与其他任一告警信息序列的第二相似度测度大于相似度阈值。

在一种可选的实施例中，为了比较直观地表示各个告警信息序列的关联关系，本申请实施例可以引入基于图的方法，即通过关联图来表示各个告警信息序列的关联关系。上述步骤a中，对于任意两个告警信息序列，若两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将两个告警信息序列进行关联，具体可以通过以下步骤实现：

1)将多个告警信息序列中的每个告警信息序列作为一个顶点。

2)对于任意两个告警信息序列，若两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将两个告警信息序列对应的两个顶点进行连接，构建相似度关联图；其中，相似度关联图中未与其他顶点连接的顶点所对应的告警信息序列为未关联的告警信息序列。

示例性的，对于任意两个顶点S_i,S_j，如果d(S_i,S_j)≤d^*，那么在这两个顶点之间建立一条边，从而构建得到相似度关联图。例如图3所示，5个告警信息序列可以构成一个具有5个顶点的图，顶点S₁、S₂、S₃、S₄两两之间分别进行连接，表示这4个顶点对应的告警信息序列两两之间关联，顶点S₅未与其他顶点连接，表示顶点S₅对应的告警信息序列为未关联的告警信息序列。

在一种可选的实施方式中，通过上述相似度关联图确定未关联的告警信息序列时，具体可以计算图中每个顶点的度，这个度表示顶点连接的其他顶点的数量，例如，顶点S₁分别连接S₂、S₃、S₄，那么顶点S₁的度为3。在计算得到每个顶点的度后，将度为0的顶点对应的告警信息序列作为未关联的告警信息序列，其包含的告警信息可以作为目标告警信息。

在另一些实施例中，确定出未关联的告警信息序列之后，可以将其中包含的告警信息作为目标告警信息。但是，除去未关联的告警信息序列之外，剩下的已关联的告警信息序列中，还可能存在目标告警信息。对于已关联的告警信息序列，还可以通过以下步骤进行进一步处理：

a)将多个告警信息序列中已关联的告警信息序列作为候选告警信息序列。

该步骤中，可以将上述未关联的告警信息序列从多个告警信息序列中剔除，得到剩余的已关联的告警信息序列，也可以从多个告警信息序列中获取已关联的告警信息序列。

b)对于分别属于任意两个候选告警信息序列的任一第一告警信息和任一第二告警信息，若第一告警信息的特征信息与第二告警信息的特征信息的第一相似度测度小于等于相似度测度阈值，则将第一告警信息和第二告警信息剔除。

例如，对于任意两个候选告警信息序列S_i和S_j，任一第一告警信息的特征信息通过任意特征向量u表示，任一第二告警信息的特征信息通过任意特征向量v表示，对于u∈S_i和v∈S_j，如果第一相似度测度d′(u,v)≤d^*，则剔除掉告u对应的第一告警信息和v对应的第二告警信息。

c)对于任一候选告警信息序列，将候选告警信息序列中剩余的告警信息作为目标告警信息。

在一种可选的实施方式中，上述相似度关联图可以表示为图G，在计算出图G中的各个顶点的度后，可以确定出图G中度为0的顶点，将图G中度为0的顶点去掉后，可以得到相似度关联图的子图G′，对于该子图G′中的任意两个顶点对应的任意两个告警信息序列，即S_i,S_j∈G′,i≠j，确定任意特征向量u∈S_i和任意特征向量v∈S_j的相似度测度d′(u,v)，如果d′(u,v)≤d^*，则剔除掉u对应的第一告警信息和v对应的第二告警信息。对于所有的S_i∈G′，如果S_i不为空，则可以将S_i中剩余的告警信息作为目标告警信息。

基于相同的发明构思，本申请实施例如上的确定告警的方法还可以由一种确定告警的装置实现。该装置的效果与前述方法的效果相似，在此不再赘述。

图4为本申请实施例提供的一种确定告警的装置的结构示意图。如图4所示，确定告警的装置包括提取模块41、分类模块42、相似度确定模块43和第一目标告警确定模块；其中，

提取模块41，用于分别提取目标安全设备的多个告警信息中的每个告警信息中用于描述攻击行为的特征信息；

分类模块42，用于将多个告警信息进行分类，得到多个告警信息序列；其中，同一告警信息序列中的告警信息的类别相同，不同告警信息序列中的告警信息的类别不同；

相似度确定模块43，用于根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度；

第一目标告警确定模块44，用于根据任意两个告警信息序列的相似度，确定目标告警信息。

在一种可选的实施例中，分类模块42，具体可以用于：

在一种可选的实施例中，相似度确定模块43，具体可以用于：

对于第一告警信息序列和第二告警信息序列，确定第一告警信息序列中的任一告警信息的特征信息与第二告警信息序列中的任一告警信息的特征信息的第一相似度测度；

根据得到的所有第一相似度测度，确定第一告警信息序列和第二告警信息序列的第二相似度测度。

在一种可选的实施例中，相似度确定模块43，具体还可以用于：

将所有第一相似度测度中最小的第一相似度测度作为第一告警信息序列和第二告警信息序列的第二相似度测度；或者，

将所有第一相似度测度的平均相似度测度作为第一告警信息序列和第二告警信息序列的第二相似度测度。

在一种可选的实施例中，第一目标告警确定模块44，具体可以用于：

对于任意两个告警信息序列，若两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将两个告警信息序列进行关联；

将未关联的告警信息序列中的告警信息作为目标告警信息。

在一种可选的实施例中，装置还可以包括：

筛选模块，用于将多个告警信息序列中已关联的告警信息序列作为候选告警信息序列；

剔除模块，用于对于分别属于任意两个候选告警信息序列的任一第一告警信息和任一第二告警信息，若第一告警信息的特征信息与第二告警信息的特征信息的第一相似度测度小于等于相似度测度阈值，则将第一告警信息和第二告警信息剔除；

第二目标告警确定模块，用于对于任一候选告警信息序列，将候选告警信息序列中剩余的告警信息作为目标告警信息。

在一种可选的实施例中，第一目标告警确定模块44，具体还可以用于：

将多个告警信息序列中的每个告警信息序列作为一个顶点；

对于任意两个告警信息序列，若两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将两个告警信息序列对应的两个顶点进行连接，构建相似度关联图；其中，相似度关联图中未与其他顶点连接的顶点所对应的告警信息序列为未关联的告警信息序列。

在介绍了本申请示例性实施方式的一种确定告警的方法和装置之后，接下来，介绍根据本申请的另一示例性实施方式的电子设备。

本申请实施例提供了一种电子设备500，结合图5所示，包括：存储器520和处理器510：

存储器520用于存储电子设备运行时所使用的程序代码；

处理器510用于执行程序代码，以实现如下过程：

将多个告警信息进行分类，得到多个告警信息序列；其中，同一告警信息序列中的告警信息的类别相同，不同告警信息序列中的告警信息的类别不同；

根据任意两个告警信息序列的相似度，确定目标告警信息。

在一种可选的实施例中，处理器510，具体还可以用于：

将未关联的告警信息序列中的告警信息作为目标告警信息。

在一种可选的实施例中，处理器510，具体还可以用于：

将多个告警信息序列中已关联的告警信息序列作为候选告警信息序列；

对于分别属于任意两个候选告警信息序列的任一第一告警信息和任一第二告警信息，若第一告警信息的特征信息与第二告警信息的特征信息的第一相似度测度小于等于相似度测度阈值，则将第一告警信息和第二告警信息剔除；

对于任一候选告警信息序列，将候选告警信息序列中剩余的告警信息作为目标告警信息。

在一种可选的实施例中，处理器510，具体还可以用于：

将多个告警信息序列中的每个告警信息序列作为一个顶点；

上述电子设备还可以为具有通信功能的电子设备，所以，该电子设备除了上述介绍的处理器以及存储器外，还可以包括其他部件。本申请实施例提供了另一种电子设备，结合图6所示，电子设备600可以包括：射频(Radio Frequency，RF)电路610、无线保真(Wireless Fidelity，Wi-Fi)模块620、通信接口630、显示单元640、电源650、处理器660、存储器670等部件。本领域技术人员可以理解，图6中示出的电子设备的结构并不构成对电子设备的限定，本申请实施例提供的电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图6对电子设备600的各个构成部件进行具体的介绍：

电子设备600中可以通过RF电路610、Wi-Fi模块620、通信接口630的通信模块，获取预设时间段内安全设备产生的告警信息。

RF电路610可用于通信过程中，数据的接收和发送。特别地，RF电路610在接收到基站的下行数据后，发送给处理器660处理；另外，将待发送的上行数据发送给基站。通常，RF电路610包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier，LNA)、双工器等。

此外，RF电路610还可以通过无线通信与网络和其他电子设备通信。无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(Global System of Mobilecommunication，GSM)、通用分组无线服务(General Packet Radio Service，GPRS)、码分多址(Code Division MultIP地址le Access，CDMA)、宽带码分多址(Wideband CodeDivision MultIP地址le Access，WCDMA)、长期演进(Long Term Evolution，LTE)、电子邮件、短消息服务(Short Messaging Service，SMS)等。

Wi-Fi技术属于短距离无线传输技术，电子设备600通过Wi-Fi模块620可以连接接入点(Access Point，AP)，从而实现数据网络的访问。Wi-Fi模块620可用于通信过程中，数据的接收和发送。

电子设备600可以通过通信接口630与其他电子设备实现物理连接。可选的，通信接口630与其他电子设备的通信接口通过电缆连接，实现电子设备600和其他电子设备之间的数据传输。

由于在本申请实施例中，电子设备600能够实现通信业务，向其他联系人发送信息，因此电子设备600需要具有数据传输功能，即电子设备600内部需要包含通信模块。虽然图6示出了RF电路610、Wi-Fi模块620、和通信接口630等通信模块，但是可以理解的是，电子设备600中存在上述部件中的至少一个或者其他用于实现通信的通信模块(如蓝牙模块)，以进行数据传输。

例如，当电子设备600为计算机时，电子设备600可以包含通信接口630，还可以包含Wi-Fi模块620；当电子设备600为平板电脑时，电子设备600可以包含Wi-Fi模块。

显示单元640可用于显示源IP地址的威胁程度值。显示单元640即为电子设备600的显示系统，用于呈现界面，实现人机交互。

显示单元640可以包括显示面板641。可选的，显示面板641可以采用液晶显示屏(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode，OLED)等形式来配置。

存储器660可用于存储软件程序以及模块。处理器660通过运行存储在存储器660的软件程序以及模块，从而执行电子设备600的各种功能应用以及数据处理，其中，存储器660包括图6中的存储器620的功能。可选的，存储器660可以主要包括存储程序区和存储数据区。其中，存储程序区可存储操作系统、各种应用程序(比如通信应用)以及人脸识别模块等；存储数据区可存储根据电子设备的使用所创建的数据(比如各种图片、视频文件等多媒体文件，以及人脸信息模板)等。此外，存储器660可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器660是电子设备600的控制中心，利用各种接口和线路连接各个部件，通过运行或执行存储在存储器660内的软件程序和/或模块，以及调用存储在存储器660内的数据，执行电子设备600的各种功能和处理数据，从而实现基于电子设备的多种业务。其中，处理器660包括图6中的处理器610的功能。可选的，处理器660可包括一个或多个处理单元。可选的，处理器660可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器660中。

电子设备600还包括用于给各个部件供电的电源650(比如电池)。可选的，电源650可以通过电源管理系统与处理器660逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗等功能。

在示例性实施例中，还提供了一种包括指令的存储介质，例如包括指令的存储器，上述指令可由处理器执行以完成上述网络安全评估方法。可选地，存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在一些可能的实施方式中，本申请提供的一种确定告警的方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种确定告警的方法中的步骤，例如，程序代码可以使计算机设备执行如图2中所示的步骤201-204。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取计算机存储介质(RAM)、只读计算机存储介质(ROM)、可擦式可编程只读计算机存储介质(EPROM或闪存)、光纤、便携式紧凑盘只读计算机存储介质(CD-ROM)、光计算机存储介质件、磁计算机存储介质件、或者上述的任意合适的组合。

本申请的实施方式的用于确定告警的程序产品可以采用便携式紧凑盘只读计算机存储介质(CD-ROM)并包括程序代码，并可以在电子设备上运行。然而，本申请的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了装置的若干模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。

此外，尽管在附图中以特定顺序描述了本申请方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种确定告警的方法，其特征在于，包括：

根据任意两个告警信息序列的相似度，确定目标告警信息。

2.根据权利要求1所述的方法，其特征在于，所述将所述多个告警信息进行分类，得到多个告警信息序列，包括：

3.根据权利要求1所述的方法，其特征在于，所述根据任意两个告警信息序列中的告警信息的特征信息的相似度，确定任意两个告警信息序列的相似度，包括：

4.根据权利要求3所述的方法，其特征在于，所述根据得到的所有第一相似度测度，确定所述第一告警信息序列和所述第二告警信息序列的第二相似度测度，包括：

5.根据权利要求3或4所述的方法，其特征在于，所述根据任意两个告警信息序列的相似度，确定目标告警信息，包括：

6.根据权利要求5所述的方法，其特征在于，所述对于任意两个告警信息序列，若所述两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将所述两个告警信息序列进行关联之后，还包括：

7.根据权利要求5所述的方法，其特征在于，所述对于任意两个告警信息序列，若所述两个告警信息序列的第二相似度测度小于等于相似度测度阈值，则将所述两个告警信息序列进行关联，包括：

8.一种确定告警的装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，当所述计算机程序被所述处理器执行时，使得所述处理器实现权利要求1～7任一项所述的方法。

10.一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，其特征在于：所述计算机程序被处理器执行时，实现权利要求1～7任一项所述的方法。