CN112769612A - 一种告警事件去误报方法及装置 - Google Patents
一种告警事件去误报方法及装置 Download PDFInfo
- Publication number
- CN112769612A CN112769612A CN202011643838.4A CN202011643838A CN112769612A CN 112769612 A CN112769612 A CN 112769612A CN 202011643838 A CN202011643838 A CN 202011643838A CN 112769612 A CN112769612 A CN 112769612A
- Authority
- CN
- China
- Prior art keywords
- event
- alarm
- number sequence
- information
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000004458 analytical method Methods 0.000 claims abstract description 66
- 238000010586 diagram Methods 0.000 claims description 14
- 230000000737 periodic effect Effects 0.000 claims description 12
- 238000000605 extraction Methods 0.000 claims description 2
- 230000008030 elimination Effects 0.000 claims 1
- 238000003379 elimination reaction Methods 0.000 claims 1
- 230000008859 change Effects 0.000 abstract description 21
- 238000004891 communication Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0622—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本申请提供一种告警事件去误报方法及装置,应用于网络安全领域,方法包括:获取多个原始告警事件;提取每一原始告警事件对应的特征数据;其中,特征数据包括IP信息以及事件时间,IP信息为源IP信息或者目的IP信息,事件时间为原始告警事件发生的时间;针对IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;对事件数量序列进行趋势性分析,以确定原始告警事件中误报的告警事件。在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种告警事件去误报方法及装置。
背景技术
各类安全产品所产生的告警中往往存在大量的错误报警,这些错误的告警会给网络安全分析人员带来严重的干扰。例如,一些正常的设备由于配置或操作失误导致生成大量的安全事件,造成误报,使网络安全分析人员无法正确分析该设备的工作状态。
现有技术中,一般是基于统计分析的方法对大规模和大数量的警报进行分析。其中,采用统计分析的方法首先是找出符合误报特征的警报集,然后提取过滤规则(过滤规则一般是以警报集的具体特征为基础),以利用过滤规则识别出错误的告警,从而实现告警事件的去误报。但是,由于不同安全设备产生的告警的特征并不相同,因此采用上述统计分析的方式进行去误报,准确率较低。
发明内容
本申请实施例的目的在于提供一种告警事件去误报方法及装置,用以解决告警事件去误报的准确率较低的技术问题。
为了实现上述目的,本申请实施例所提供的技术方案如下所示:
第一方面,本申请实施例提供一种告警事件去误报方法,包括:获取多个原始告警事件;提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件,包括:计算第二预设时间段内事件数量序列的方差;判断所述方差是否大于第一预设阈值;若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的方差,从而实现对告警事件进行趋势性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述计算第二预设时间段内事件数量序列的方差,包括:利用如下公式计算所述方差:
在本申请的可选实施例中,在所述判断所述方差是否大于第一预设阈值之后,所述方法还包括:若所述方差大于所述第一预设阈值,表征所述事件数量序列不存在稳定的趋势性,则对所述事件数量序列进行周期性分析。在上述方案中,在对告警事件进行趋势性分析的基础上进一步对告警事件进行周期性分析,以确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述对所述事件数量序列进行周期性分析,包括:对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期;计算所述第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度;判断所述相似度是否大于第二预设阈值;若所述相似度大于所述第二预设阈值,表征所述事件数量序列存在周期性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的告警周期,并计算两个连续告警周期分别对应的事件数量序列之间的相似度,从而实现对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期,包括:利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图;确定所述频率图中峰值对应的频率点;根据所述频率点确定所述告警周期。在上述方案中,可以通过快速傅里叶变换确定告警周期,以根据告警周期对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图,包括:利用如下公式将所述事件数量序列对应的时序图转换为频率图:
在本申请的可选实施例中,所述告警周期为p,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述两个连续告警周期分别对应的时间周期数量序列为:
yi={x(1),x(2),……,x(p)}以及zi={x(p+1),x(p+22),……,x(2p)};
所述计算所述第二预设时间段内,两个连续告警周期分别对应的时间周期数量序列之间的相似度,包括:利用如下公式计算所述相似度:
第二方面,本申请实施例提供一种告警事件去误报装置,包括:获取模块,用于获取多个原始告警事件;提取模块,用于提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;确定模块,用于针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;趋势性分析模块,用于对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述趋势性分析模块还用于:计算第二预设时间段内事件数量序列的方差;判断所述方差是否大于第一预设阈值;若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的方差,从而实现对告警事件进行趋势性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述趋势性分析模块还用于:利用如下公式计算所述方差:
在本申请的可选实施例中,所述装置还包括:周期性分析模块,用于若所述方差大于所述第一预设阈值,表征所述事件数量序列不存在稳定的趋势性,则对所述事件数量序列进行周期性分析。在上述方案中,在对告警事件进行趋势性分析的基础上进一步对告警事件进行周期性分析,以确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述周期性分析模块还用于:对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期;计算所述第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度;判断所述相似度是否大于第二预设阈值;若所述相似度大于所述第二预设阈值,表征所述事件数量序列存在周期性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的告警周期,并计算两个连续告警周期分别对应的事件数量序列之间的相似度,从而实现对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述周期性分析模块还用于:利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图;确定所述频率图中峰值对应的频率点;根据所述频率点确定所述告警周期。在上述方案中,可以通过快速傅里叶变换确定告警周期,以根据告警周期对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述周期性分析模块还用于:利用如下公式将所述事件数量序列对应的时序图转换为频率图:
在本申请的可选实施例中,所述告警周期为p,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述两个连续告警周期分别对应的时间周期数量序列为:
yi={x(1),x(2),……,x(p)}以及zi={x(p+1),x(p+22),……,x(2p)};
所述周期性分析模块还用于:利用如下公式计算所述相似度:
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第一方面中的告警事件去误报方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如第一方面中的告警事件去误报方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种告警事件去误报方法的流程图;
图2为本申请实施例提供的趋势性分析的流程图;
图3为本申请实施例提供的周期性分析的流程图;
图4为本申请实施例提供的步骤S301实施方式的流程图;
图5为本申请实施例提供的事件数量序列经过FFT变换后的频谱示意图;
图6为本申请实施例提供的一种告警事件去误报装置的结构框图;
图7为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
在当今的大数据环境下,网络安全事件数据量规模巨大且各类事件错综复杂。本申请的发明人通过对多个监管企业大量真实告警事件的分析发现告警事件存在以下规律:第一,个别的安全事件占据全部告警事件的绝大多数;第二,个别的网际互连协议(Internet Protocol,IP)占全部告警IP的绝大多数,且一直增加,越来越多;第三,某些告警在单位时间内的告警数量几乎不变;第四,某些告警在单位时间内的告警数量不同,但在一段时间内告警数量几乎相同。
其中,前两点表明误报的告警事件有一定的趋势性,后两点表明误报的告警事件数量符合一定的周期性规律。因此,基于上述分析,本申请实施例提供一种告警事件去误报方法,根据真实安全事件在时间上的变化规律,对告警事件进行趋势性分析以及周期性分析,实现了适用于大规模安全事件的去误报方法。由于该方法能够将海量的告警数据进行大幅度的降低,从而发现真正有价值的攻击,从而可以减少安服人员的需要进行分析的告警数量。此外,越早地发现误报信息,越有利于节约检测资源。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,图1为本申请实施例提供的一种告警事件去误报方法的流程图,该告警事件去误报方法可以包括如下步骤:
步骤S101:获取多个原始告警事件。
步骤S102:提取每一原始告警事件对应的特征数据。
步骤S103:针对IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列。
步骤S104:对事件数量序列进行趋势性分析,以确定原始告警事件中误报的告警事件。
在可选的实施方式中,首先,电子设备可以获取不同安全产品所产生的告警、日志、审计等安全事件数据,作为原始告警事件。其中,电子设备获取原始告警事件的方式有多种,例如:读取云端存储的告警事件、接收其他设备发送的告警事件等,本申请实施例对此不作具体的限定。
然后,电子设备可以提取每一个告警事件的特征作为特征数据。其中,在不同的应用场景中,告警事件的特征有多种,例如:告警事件的IP信息(包括:源IP信息、目的IP信息等)、告警事件的端口信息(包括:源端口、目的端口等、告警事件的协议类型、事件时间(原始告警事件发生的时间)、事件名称、事件编号(特征数据可以通过事件编号对原始告警事件进行映射)、设备类型(原始告警事件发生的设备的类型)等,本申请实施例对此不作具体的限定,本领域技术人员可以根据实际情况进行合适的选择。
可以理解的是,电子设备提取告警事件的特征的方式有多种,例如:直接提取告警事件中的特征、对告警事件进行格式化处理等,本申请实施例对此同样不作具体的限定。
作为一种实施方式,电子设备可以仅提取告警事件中的事件时间以及IP信息,以执行后续步骤。
作为另一种实施方式,由于不同安全产品产生的告警事件的格式不统一,因此,为了便于处理,电子设备可以对获取到的告警事件进行格式化处理,以使每一告警事件的格式统一。举例来说,对原始告警事件进行格式化处理后的格式可以如下表一所示。
表一
在获取到告警事件的特征数据之后,可以对告警事件进行分组统计。其中,分组的依据可以为:相同源IP的为一组或者相同目的IP的为一组。然后,可以确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列。其中,第一预设时间段可以为一分钟、一小时等,本申请实施例对此不作具体的限定。
以相同目的IP为一组且第一预设时间段为一分钟为例,假设分组后的原始告警事件序列可以表示为:
Ai(i=1,2,……)={A1,A2,……},
则每隔一分钟内原始告警事件的数量序列可以表示为:
xi(i=1,2,……)={x1,x2,……}。
最后,针对上述实施例得到的事件数量序列,可以对其进行趋势性分析,以确定原始告警事件中误报的告警事件。
在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
下面介绍对事件数量序列进行趋势性分析,以确定原始告警事件中误报的告警事件的实施方式。
请参照图2,图2为本申请实施例提供的趋势性分析的流程图,趋势性分析的过程可以包括如下步骤:
步骤S201:计算第二预设时间段内事件数量序列的方差。
步骤S202:判断方差是否大于第一预设阈值。
步骤S203:若方差小于第一预设阈值,表征事件数量序列存在稳定的趋势性,则确定IP信息对应的原始告警事件为误报的告警事件。
具体的,为了便于计算,可以取上述实施例中得到的事件数量序列中在第二预设时间段内的序列,进行后续的计算。其中,第二预设时间段可以为一分钟、一小时等,本申请实施例对此不作具体的限定。
计算第二预设时间段内事件数量序列的方差,并判断计算得到的方差是否大于第一预设阈值。判断结果存在两种情况:第一种,计算得到的方差小于第一预设阈值,此时表征事件数量序列存在稳定的趋势性(即某一分组对应的第一预设时间段内的告警事件的数量保持恒定),因此可以确定IP信息对应的原始告警事件为误报的告警事件;第二种,计算得到的方差大于第一预设阈值,此时表征事件数量序列不存在稳定的趋势性,因此需要对事件数量序列进行进一步的计算(计算的过程将在后续的实施例中进行详细的说明,此处暂不介绍)。
需要说明的是,本申请实施例对第一预设阈值的大小不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。
针对上述第一种情况,以相同目的IP为一组、第一预设时间段为一分钟以及第二预设时间段为一小时为例,一小时内事件数量序列可以表示为:
xi(i=1,2,……,n)={x1,x2,……,xn},
此时,上述步骤S201可以包括如下步骤:
利用如下公式计算方差:
需要说明的是,在对告警事件进行趋势性分析之后,可以将具备趋势性的事件数量序列对应的目的IP产生的告警事件均确定为误报的事件;也可以认为具备趋势性的事件数量序列对应的目的IP产生的告警事件为误报的事件的概率较大,然后进行进一步的处理等,本申请实施例对此不作具体的限定。
在上述方案中,通过计算IP信息相同的告警事件的数量序列的方差,从而实现对告警事件进行趋势性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
下面针对上述第二种情况进行介绍,在计算得到的方差大于第一预设阈值时,表征事件数量序列不存在稳定的趋势性,可以进一步的对事件数量序列进行周期性分析。
请参照图3,图3为本申请实施例提供的周期性分析的流程图,周期性分析可以包括如下步骤:
步骤S301:对第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期。
步骤S302:计算第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度。
步骤S303:判断相似度是否大于第二预设阈值。
步骤S304:若相似度大于第二预设阈值,表征事件数量序列存在周期性,则确定IP信息对应的原始告警事件为误报的告警事件。
具体的,在上述实施例中,对事件数量序列进行趋势性分析可以确定告警数量在一定事件内是否存在恒定的趋势性规律,而对事件数量序列进行周期性分析则可以在更长时间范围内分析告警数量是否符合同一分布、具有周期性的规律。
可以理解的是,对于一份周期性的数据,其组成存在一个正弦波,该正弦波的周期即为该数据的周期。作为一种实施方式,上述正弦波可以通过傅里叶变换找到。傅里叶变换可以将时序数据展开成三角函数的线性组合,得到每个展开项的系数,也就是傅里叶系数。而得到的傅里叶系数越大,表明它所对应的正弦波的周期就越有可能是这份数据的周期。
基于上述分析,在本申请实施例中,可以通过对第二预设时间段内事件数量序列进行快速傅里叶变换,从而得到告警周期。
请参照图4,图4为本申请实施例提供的步骤S301实施方式的流程图,上述步骤S301可以包括如下步骤:
步骤S401:利用快速傅里叶变换将事件数量序列对应的时序图转换为频率图。
步骤S402:确定频率图中峰值对应的频率点。
步骤S403:根据频率点确定告警周期。
也就是说,电子设备首先可以对事件数量序列进行快速傅里叶变换(FastFourier Transform,FFT),以将事件数列对应的时序图转换为频率图,并根据频率图确定事件数量序列对应的告警周期。
以相同目的IP为一组、第一预设时间段为一分钟以及第二预设时间段为一小时为例,可以利用如下公式将事件数量序列对应的时序图转换为频率图:
然后请参照图5,图5为本申请实施例提供的事件数量序列经过FFT变换后的频谱示意图。通过找到图5中的峰值对应的频率点,可以确定告警周期为:
其中,p为告警周期,f为图5中的峰值对应的频率点的最大频率点。
因此,可以通过快速傅里叶变换确定告警周期,以根据告警周期对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
在得到上述告警周期之后,可以判断该告警周期是否是准确的。作为一种实施方式,可以采用自相关系数对FFT后计算出的告警周期的正确性进行检验。
其中,自相关系数度量的是同一事件不同时间的相关程度,不同相位差序列间的自相关系数可以用自相关系数计算。当序列存在周期性时,遍历足够多的相位差,一定可以找到至少一个足够大的自相关系数,而它对应的相位差就是周期。因此,对于检测时序周期来说,只需要将计算得到的周期,通过计算周期序列间的相关系数即可对周期值的正确性进行检测。
基于上述分析,可以计算两个连续告警周期分别对应的事件周期数量序列之间的相似度,然后判断上述相似度是否大于第二预设阈值。判断结果同样存在两种情况:第一种,相似度大于第二预设阈值,此时表征事件数量序列存在周期性,因此可以确定IP信息对应的原始告警事件为误报的告警事件;第二种情况,相似度小于第二预设阈值,此时表征事件数量序列不存在周期性,因此IP信息对应的原始告警事件不为误报的告警事件。
需要说明的是,本申请实施例对第二预设阈值的大小不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。
以相同目的IP为一组、第一预设时间段为一分钟以及第二预设时间段为一小时为例,假设计算得到的告警周期为p,则两个连续告警周期分别对应的时间周期数量序列可以表示为:
yi={x(1),x(2),……,x(p)},
zi={x(p+1),x(p+22),……,x(2p)}。
然后,可以利用如下公式计算相似度:
需要说明的是,在对告警事件进行趋势性分析之后,可以将具备周期性的事件数量序列对应的目的IP产生的告警事件均确定为误报的事件;也可以认为具备周期性的事件数量序列对应的目的IP产生的告警事件为误报的事件的概率较大,然后进行进一步的处理等,本申请实施例对此不作具体的限定。
在上述方案中,在对告警事件进行趋势性分析的基础上进一步对告警事件进行周期性分析,通过计算IP信息相同的告警事件的数量序列的告警周期,并计算两个连续告警周期分别对应的事件数量序列之间的相似度,从而实现对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
请参照图6,图6为本申请实施例提供的一种告警事件去误报装置的结构框图,该告警事件去误报装置可以包括:获取模块601,用于获取多个原始告警事件;提取模块602,用于提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;确定模块603,用于针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;趋势性分析模块604,用于对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。
在本申请实施例中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
进一步的,所述趋势性分析模块604还用于:计算第二预设时间段内事件数量序列的方差;判断所述方差是否大于第一预设阈值;若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。
在本申请实施例中,通过计算IP信息相同的告警事件的数量序列的方差,从而实现对告警事件进行趋势性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
进一步的,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述趋势性分析模块604还用于:利用如下公式计算所述方差:
进一步的,所述告警事件去误报装置600还包括:周期性分析模块,用于若所述方差大于所述第一预设阈值,表征所述事件数量序列不存在稳定的趋势性,则对所述事件数量序列进行周期性分析。
在本申请实施例中,在对告警事件进行趋势性分析的基础上进一步对告警事件进行周期性分析,以确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
进一步的,所述周期性分析模块还用于:对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期;计算所述第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度;判断所述相似度是否大于第二预设阈值;若所述相似度大于所述第二预设阈值,表征所述事件数量序列存在周期性,则确定所述IP信息对应的原始告警事件为误报的告警事件。
在本申请实施例中,通过计算IP信息相同的告警事件的数量序列的告警周期,并计算两个连续告警周期分别对应的事件数量序列之间的相似度,从而实现对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
进一步的,所述周期性分析模块还用于:利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图;确定所述频率图中峰值对应的频率点;根据所述频率点确定所述告警周期。
在本申请实施例中,可以通过快速傅里叶变换确定告警周期,以根据告警周期对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
进一步的,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述周期性分析模块还用于:利用如下公式将所述事件数量序列对应的时序图转换为频率图:
进一步的,所述告警周期为p,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述两个连续告警周期分别对应的时间周期数量序列为:
yi={x(1),x(2),……,x(p)}以及zi={x(p+1),x(p+22),……,x(2p)};
所述周期性分析模块还用于:利用如下公式计算所述相似度:
请参照图7,图7为本申请实施例提供的一种电子设备的结构框图,该电子设备700包括:至少一个处理器701,至少一个通信接口702,至少一个存储器703和至少一个通信总线704。其中,通信总线704用于实现这些组件直接的连接通信,通信接口702用于与其他节点设备进行信令或数据的通信,存储器703存储有处理器701可执行的机器可读指令。当电子设备700运行时,处理器701与存储器703之间通过通信总线704通信,机器可读指令被处理器701调用时执行上述告警事件去误报方法。
例如,本申请实施例的处理器701通过通信总线704从存储器703读取计算机程序并执行该计算机程序可以实现如下方法:步骤S101:获取多个原始告警事件。步骤S102:提取每一原始告警事件对应的特征数据。步骤S103:针对IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列。步骤S104:对事件数量序列进行趋势性分析,以确定原始告警事件中误报的告警事件。在一些示例中,处理器701还可以执行如下步骤:步骤S301:对第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期。步骤S302:计算第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度。步骤S303:判断相似度是否大于第二预设阈值。步骤S304:若相似度大于第二预设阈值,表征事件数量序列存在周期性,则确定IP信息对应的原始告警事件为误报的告警事件。
处理器701可以是一种集成电路芯片,具有信号处理能力。上述处理器701可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器703可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
可以理解,图7所示的结构仅为示意,电子设备700还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备700可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备700也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在非暂态计算机可读存储介质上的计算机程序,计算机程序包括程序指令,当程序指令被计算机执行时,计算机能够执行上述实施例中告警事件去误报方法的步骤,例如包括:获取多个原始告警事件;提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种告警事件去误报方法,其特征在于,包括:
获取多个原始告警事件;
提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;
针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;
对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。
2.根据权利要求1所述的告警事件去误报方法,其特征在于,所述对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件,包括:
计算第二预设时间段内事件数量序列的方差;
判断所述方差是否大于第一预设阈值;
若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。
4.根据权利要求2所述的告警事件去误报方法,其特征在于,在所述判断所述方差是否大于第一预设阈值之后,所述方法还包括:
若所述方差大于所述第一预设阈值,表征所述事件数量序列不存在稳定的趋势性,则对所述事件数量序列进行周期性分析。
5.根据权利要求4所述的告警事件去误报方法,其特征在于,所述对所述事件数量序列进行周期性分析,包括:
对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期;
计算所述第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度;
判断所述相似度是否大于第二预设阈值;
若所述相似度大于所述第二预设阈值,表征所述事件数量序列存在周期性,则确定所述IP信息对应的原始告警事件为误报的告警事件。
6.根据权利要求5所述的告警事件去误报方法,其特征在于,所述对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期,包括:
利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图;
确定所述频率图中峰值对应的频率点;
根据所述频率点确定所述告警周期。
8.一种告警事件去误报装置,其特征在于,包括:
获取模块,用于获取多个原始告警事件;
提取模块,用于提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;
确定模块,用于针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;
趋势性分析模块,用于对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-7任一项所述的告警事件去误报方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-7任一项所述的告警事件去误报方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011643838.4A CN112769612A (zh) | 2020-12-30 | 2020-12-30 | 一种告警事件去误报方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011643838.4A CN112769612A (zh) | 2020-12-30 | 2020-12-30 | 一种告警事件去误报方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112769612A true CN112769612A (zh) | 2021-05-07 |
Family
ID=75699686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011643838.4A Pending CN112769612A (zh) | 2020-12-30 | 2020-12-30 | 一种告警事件去误报方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112769612A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113672913A (zh) * | 2021-08-20 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种安全事件处理方法、装置及电子设备 |
CN113783891A (zh) * | 2021-09-26 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种事件识别方法及装置 |
CN114664062A (zh) * | 2022-03-30 | 2022-06-24 | 中国农业银行股份有限公司 | 一种基于事件时间和水位线的告警压制方法和相关装置 |
CN115359641A (zh) * | 2022-06-29 | 2022-11-18 | 杭州拓深科技有限公司 | 一种面向光电传感设备的规律型误报判断方法 |
CN115473789A (zh) * | 2022-09-16 | 2022-12-13 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227331A (zh) * | 2008-01-25 | 2008-07-23 | 华中科技大学 | 一种减少网络入侵检测系统误告警方法 |
WO2019080918A1 (zh) * | 2017-10-26 | 2019-05-02 | 中兴通讯股份有限公司 | 压减冗余告警的方法、网管设备及存储介质 |
CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
CN111898647A (zh) * | 2020-07-07 | 2020-11-06 | 贵州电网有限责任公司 | 一种基于聚类分析的低压配电设备误告警识别方法 |
-
2020
- 2020-12-30 CN CN202011643838.4A patent/CN112769612A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227331A (zh) * | 2008-01-25 | 2008-07-23 | 华中科技大学 | 一种减少网络入侵检测系统误告警方法 |
WO2019080918A1 (zh) * | 2017-10-26 | 2019-05-02 | 中兴通讯股份有限公司 | 压减冗余告警的方法、网管设备及存储介质 |
CN109714180A (zh) * | 2017-10-26 | 2019-05-03 | 中兴通讯股份有限公司 | 压减冗余告警的方法、相应设备及存储介质 |
CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
CN111541661A (zh) * | 2020-04-15 | 2020-08-14 | 全球能源互联网研究院有限公司 | 基于因果知识的电力信息网络攻击场景重构方法及系统 |
CN111898647A (zh) * | 2020-07-07 | 2020-11-06 | 贵州电网有限责任公司 | 一种基于聚类分析的低压配电设备误告警识别方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113672913A (zh) * | 2021-08-20 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种安全事件处理方法、装置及电子设备 |
CN113783891A (zh) * | 2021-09-26 | 2021-12-10 | 新华三信息安全技术有限公司 | 一种事件识别方法及装置 |
CN114664062A (zh) * | 2022-03-30 | 2022-06-24 | 中国农业银行股份有限公司 | 一种基于事件时间和水位线的告警压制方法和相关装置 |
CN114664062B (zh) * | 2022-03-30 | 2024-06-11 | 中国农业银行股份有限公司 | 基于事件时间和水位线时间的告警压制方法和相关装置 |
CN115359641A (zh) * | 2022-06-29 | 2022-11-18 | 杭州拓深科技有限公司 | 一种面向光电传感设备的规律型误报判断方法 |
CN115359641B (zh) * | 2022-06-29 | 2024-02-27 | 杭州拓深科技有限公司 | 一种面向光电传感设备的规律型误报判断方法 |
CN115473789A (zh) * | 2022-09-16 | 2022-12-13 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
CN115473789B (zh) * | 2022-09-16 | 2024-02-27 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112769612A (zh) | 一种告警事件去误报方法及装置 | |
WO2021212756A1 (zh) | 指标异常分析方法、装置、电子设备及存储介质 | |
CN110839016B (zh) | 异常流量监测方法、装置、设备及存储介质 | |
CN110535702B (zh) | 一种告警信息处理方法及装置 | |
CN110928718A (zh) | 一种基于关联分析的异常处理方法、系统、终端及介质 | |
TW202215243A (zh) | 異常告警方法、裝置、設備及存儲介質 | |
CN112765324B (zh) | 一种概念漂移检测方法及装置 | |
CN106850511B (zh) | 识别访问攻击的方法及装置 | |
CN111813845A (zh) | 基于etl任务的增量数据抽取方法、装置、设备及介质 | |
CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
CN111158926A (zh) | 业务请求分析方法、装置及设备 | |
CN114595765A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN109919180B (zh) | 电子装置、用户操作记录数据的处理方法和存储介质 | |
CN108763053B (zh) | 埋点名称的生成方法及终端设备 | |
US20200210305A1 (en) | System, device and method for frozen period detection in sensor datasets | |
US11288161B2 (en) | Anomaly detection method, system, and program | |
Makanju et al. | An evaluation of entropy based approaches to alert detection in high performance cluster logs | |
CN109446051A (zh) | 一种告警分析方法和装置 | |
CN111581044A (zh) | 集群优化方法、装置、服务器及介质 | |
CN118037472B (zh) | 财务数据处理方法及相关装置 | |
CN117395071B (zh) | 一种异常检测方法、装置、设备及存储介质 | |
CN113992436B (zh) | 本地情报产生方法、装置、设备及存储介质 | |
CN112398794B (zh) | 网络异常行为的检测方法、装置、设备及存储介质 | |
CN109063206B (zh) | 文章监控方法及装置 | |
CN115643182A (zh) | 流量检测方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210507 |