CN112988501A - 一种告警信息生成方法、装置、电子设备及存储介质 - Google Patents

一种告警信息生成方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN112988501A
CN112988501A CN201911304633.0A CN201911304633A CN112988501A CN 112988501 A CN112988501 A CN 112988501A CN 201911304633 A CN201911304633 A CN 201911304633A CN 112988501 A CN112988501 A CN 112988501A
Authority
CN
China
Prior art keywords
event
behavior
graph
alarm information
specified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911304633.0A
Other languages
English (en)
Other versions
CN112988501B (zh
Inventor
马长春
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201911304633.0A priority Critical patent/CN112988501B/zh
Priority to PCT/CN2020/136704 priority patent/WO2021121244A1/zh
Priority to EP20903246.5A priority patent/EP4080368A4/en
Publication of CN112988501A publication Critical patent/CN112988501A/zh
Application granted granted Critical
Publication of CN112988501B publication Critical patent/CN112988501B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3075Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved in order to maintain consistency among the monitored data, e.g. ensuring that the monitored data belong to the same timeframe, to the same system or component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/86Event-based monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/865Monitoring of software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种告警信息生成方法、装置、电子设备及存储介质,该方法包括:提取终端中的行为数据;根据行为数据构建事件异构图;事件异构图中的边表示行为事件;确定事件异构图中指定行为事件的异常值;将满足告警条件的异常值对应的指定行为事件作为告警信息;该方法利用异常值提高生成的告警信息的准确性和可靠性;且由于该方法通过异常值就可以直接提高告警信息的准确性,因此,可以避免相关技术中通过增加告警日志中的数据量来保证恶意事件检测率,所造成的告警日志数据量巨大,且恶意事件误报率高的情况,即,避免由于告警日志中行为事件数量过多而淹没真正的需要告警的恶意事件的情况。

Description

一种告警信息生成方法、装置、电子设备及存储介质
技术领域
本发明涉及数据处理技术领域,特别涉及一种告警信息生成方法、装置、电子设备及存储介质。
背景技术
终端在使用的过程中会存在大量的行为事件。在这些行为事件中有些行为事件是符合用户的预期,有些行为事件则是在用户的预期之外执行的恶意事件。恶意事件的发生会对终端造成不同程度的危害,甚至能够破坏终端的可用性。因此,需要在终端中存在恶意事件时,提醒用户对终端进行防护。
目前提醒的方式是,采用指示器模型在观测到预定行为事件发生时,记录相关行为事件,并生成告警日志,通过该告警日志提醒用户对终端进行防护。但是,采用指示器模型生成的告警日志存在数据量巨大,且恶意事件误报率高的问题。
发明内容
本发明的目的是提供一种告警信息生成方法、装置、电子设备及存储介质,通过事件异构图来生成告警信息,进而提高生成的告警信息的准确性和可靠性,避免由于告警日志中日志信息数量过多而遗漏真正的恶意事件。
为解决上述技术问题,本发明提供一种告警信息生成方法,包括:
提取终端中的行为数据;
根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
确定所述事件异构图中指定行为事件的异常值;
将满足告警条件的异常值对应的指定行为事件作为告警信息。
可选地,所述根据所述行为数据构建事件异构图,包括:
将所述行为数据按照行为发生时间,划分到对应时间段中;
根据每个时间段对应的行为数据,构建时间段事件异构图;
将各个时间段事件异构图组成事件异构图。
可选地,所述指定行为事件为所述事件异构图中全部的行为事件;或者,所述指定行为事件为获取的初始告警信息对应的全部的行为事件。
可选地,所述将满足告警条件的异常值对应的指定行为事件作为告警信息,包括:
将所述异常值按照降序排列,并将前预设数量的异常值对应的指定行为事件作为告警信息。
可选地,所述确定所述事件异构图中指定行为事件的异常值,包括:
根据所述事件异构图,获取指定行为事件发生的概率值;
根据所述概率值,确定所述指定行为事件的异常值。
可选地,所述根据所述事件异构图,获取指定行为事件发生的概率值,包括:
根据所述事件异构图,获取指定行为事件的源顶点的活跃度、目的顶点的活跃度、以及所述指定行为事件在所述事件异构图中出现的第一频次;
获取所述指定行为事件对应的类似行为事件在所述事件异构图中出现的第二频次;其中,所述类似行为事件的源顶点与所述指定行为事件的源顶点的标签相同,所述类似行为事件的目的顶点与所述指定行为事件的目的顶点的标签相同;
根据所述源顶点的活跃度、所述目的顶点的活跃度、所述第一频次以及所述第二频次,获取所述指定行为事件发生的概率值。
可选地,所述根据所述概率值,确定所述指定行为事件的异常值,包括:
根据所述概率值,以及概率值与异常值的负相关关系,确定所述指定行为事件的异常值。
可选地,所述提取终端中的行为数据,包括:
从第三方日志以及API日志中提取终端中的行为数据。
另一方面,本发明还提供一种告警信息生成装置,包括:
提取模块,用于提取终端中的行为数据;
异构图生成模块,用于根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
异常值确定模块,用于确定所述事件异构图中指定行为事件的异常值;
告警信息确定模块,用于将满足告警条件的异常值对应的指定行为事件作为告警信息。
又一方面,本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的告警信息生成方法。
又一方面,本发明还提供一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的告警信息生成方法。
可见,该方法利用提取到的终端中的行为数据构建事件异构图,并利用该事件异构图来确定对应的行为事件的异常值,根据该异常值可以确定最终需要的告警信息。即,该方法通过事件异构图可以确定行为事件的异常值,通过该异常值可以明确对应的行为事件是恶意事件的可能性,最后根据异常值选择所需要告警的行为事件生成告警信息。进而,该方法通过异常值提高生成的告警信息的准确性和可靠性;且由于该方法直接通过异常值就可以提高告警信息的准确性,因此,可以避免相关技术中通过增加告警日志中数据量来保证恶意事件检测率,所造成的告警日志中数据量巨大,且恶意事件误报率高的情况,也就避免由于告警日志中行为事件数量过多而淹没真正的需要告警的恶意事件的情况。可见,该方法与相关技术相比能够提高告警日志的可靠性和准确性,并减少告警日志的数据量。
相应的,本发明还提供了一种告警信息生成装置、电子设备及存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种告警信息生成方法的流程图;
图2为本发明实施例所提供的一种构建事件异构图的流程图;
图3为本发明实施例所提供的一种确定指定行为事件的异常值的流程图;
图4为本发明实施例所提供的一种告警信息生成装置的结构框图;
图5为本发明实施例所提供的一种电子设备的结构框图;
图6为本发明实施例所提供的一种电子设备的具体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,由于防护措施的缺陷,以及使用人员安全意识薄弱等,使得恶意事件时有发生。其中,恶意事件是指黑客通过非法手段入侵终端,在用户的预期之外执行的行为事件。恶意事件的发生会对终端造成不成程度的危害,例如:数据泄露(泄露关键数据,商业机密,员工信息,客户资料等),这些数据的泄露会对用户造成难以估量的损失;加密终端数据(如勒索软件),即,黑客通过加密终端中的数据,使终端无法使用,破坏了终端的可用性。且通常黑客会使用非对称加密,在没有私钥的情况下难以解密,为了恢复终端的可用性,用户不得不向黑客支付大笔的赎金;另外黑客还可以通过账号爆破,漏洞利用等等控制终端成为肉鸡(也称傀儡机,可以指被黑客远程控制的机器),使终端参与DDOS(Distributed denialof service attack,分布式拒绝服务攻击)等其他网络攻击行为。因此,需要在终端中存在恶意事件时,提醒用户对终端进行防护。
相关技术中,生成与恶意事件相关的告警日志的方式为:采用指示器模型在观测到预定行为事件发生时,记录相关行为事件,并生成告警日志。其中,预定行为事件为用户定义的可能是恶意事件的行为事件。一般情况下,用户定义的预定行为事件比较宽泛,以此来减少恶意事件的漏检情况。可见,由于预定行为事件中包含了较多的非恶意事件的行为事件,因此,采用该方式生成的告警日志中数据量巨大,告警日志中真正的恶意事件对应的日志数据占比很小,其存在误报率高的问题,这也会导致真正的恶意事件对应的日志数据淹没在大量的正常行为对应的日志数据中。进而,当前在获取到告警日志后,仍旧需要大量的人力物力对告警日志进行维护,例如用户需要构建强大的安全运营中心(SecurityOperations Center,简写SOC)等维护告警日志。
本发明实施例通过事件异构图来提高告警日志的准确性,进而解决上述问题。具体请参考图1,图1为本发明实施例所提供的一种告警信息生成方法的流程图;该方法可以包括:
S101、提取终端中的行为数据。
本发明实施例需要对终端中发生的行为数据进行审计,进而确定终端中是否存在恶意事件。因此,本发明实施例在生成告警信息时,需要首先提取出终端中的行为数据。需要说明的是,本发明实施例中并不对行为数据的来源进行限定。例如,可以是将API(Application Programming Interface,应用程序接口)调用序列作为行为数据;也可以是将第三方日志中的相关数据作为行为数据;当然,也可以是同时将API调用序列以及第三方日志中的相关数据作为需要提取的行为数据。
可以理解的是,本发明实施例是对提取的行为数据进行分析,进而从中确定需要作为告警信息的行为事件。因此,提取的行为数据越全面,得到的告警信息就会越准确,也可以避免出现恶意事件的漏检情况。即,为了进一步提高生成的告警信息的准确性和可靠性,本发明实施例可以同时将API调用序列以及第三方日志中的相关数据作为需要提取的行为数据。相应的,提取终端中的行为数据的过程可以包括:从第三方日志以及API日志中提取终端中的行为数据。当然,本发明实施例并不限定终端对应的第三方日志以及API日志的获取方式,只要可以得到终端对应的第三方日志以及API日志即可。
其中,本发明实施例所说的行为数据可以指终端运行过程中执行的底层行为动作。例如,文件的读写,进程的创建,进程的执行等。本发明实施例并不对该行为数据的具体内容进行限定。
需要说明的是,本发明实施例并不对终端进行限定,该终端可以是用于用户信息的输入以及处理结果的输出的设备,例如,终端可以是个人电脑,笔记本电脑,手机,服务器等。
S102、根据行为数据构建事件异构图;其中,事件异构图中的边表示行为事件。
本发明实施例通过构建行为数据对应的事件异构图,可以快速确定事件异构图中指定行为事件的异常值。即,本发明实施例将提取的所有行为数据转化为事件异构图进行展示,以便在事件异构图中计算各个事件的指定行为事件的异常值,进而根据异常值生成告警信息。且由于事件异构图本身由于可以结合多种数据源,能够直观表现出各个行为事件之间的关系,因此,可以提高得到的异常值的可靠性和准确性。
可以理解的是,事件异构图属于异构图(Heterogeneous Graph,简写HG),其中,图(Graph),图论术语,例如,图G可以指一个三元组(V,E,I),其中V称为顶点集,E称为边集,E与V不相交;I称为关联函数,I可以将E中的每一个元素映射到。如果边e被映射到(u,v),那么称边e连接顶点u,v,而u,v则称作边e的端点,u,v此时关于边e相邻。同时,若两条边i,j有一个公共顶点u,则称i,j关于u相邻。异构图,图论术语,一般情况下,图中顶点和顶点之间具有相同的类型,边和边之间具有相同的类型,但是在现实生活中,往往存在不同类型间的联系,因此,在图的基础上,为每个顶点添加辅助信息,以支持不同类型的顶点,形成异构图。常见的辅助信息可以包含:标签(用于标记类别信息),属性(用于标记具体的属性信息),顶点特性(用于标记顶点特有属性),信息传播(用于标记信息传播路径),知识库(用于标记关于顶点的额外知识)等。而本发明实施例中事件异构图可以是有向图(digraph),也可以是无向图(undirected graph)。这两者均为图论术语,在图中,若边具有方向性,也就是说一个边的两个顶点,有源顶点和目的顶点的区分,可以称其为有向图,若边不具有方向性,也就是说一个边的两个顶点,不存在源顶点和目的顶点的区分,可以称其为无向图。当然,本发明实施例并不限定构建得到事件异构图是有向图还是无向图,其可以根据行为数据的实际情况进行确定。例如,如果行为数据对应的行为事件具有方向性,则构建得到事件异构图是有向图。
需要说明的是,本发明实施例并不限定根据行为数据构建事件异构图的方式。例如,可以是遍历行为数据,将行为数据转化为两个顶点以及一条边的形式,如果当前顶点已经在顶点集中,则将边添加到边集,如果当前顶点不在顶点集中,则在顶点集中添加新的顶点,并将边添加到边集中。其中,事件异构图中的边表示行为事件,每个行为数据可以对应一个行为事件。
S103、确定事件异构图中指定行为事件的异常值。
需要说明的是,本发明实施例中异常值用于表征事件异构图中行为事件属于恶意事件的可能性。即,通过该异常值可以明确对应的行为事件是恶意事件的可能性。可见,本发明实施例可以直接根据事件异构图中各个指定行为事件对应的异常值,来确定其属于恶意事件的可能性,进而将满足告警条件的异常值对应的指定行为事件作为告警信息。当然,本发明实施例并不限定指定行为事件的数量,例如,指定行为事件可以是事件异构图中部分的行为事件,如,可以是事件异构图中任一个行为事件,也可以是事件异构图中任意多个行为事件。当然,也可以是事件异构图中全部的行为事件,用户可以根据实际需求对指定行为事件进行设置。
可见,由于本发明实施例直接通过异常值来提高告警信息的准确性,因此,可以避免相关技术中通过增加告警日志中数据量(即,为指示器模型设置范围广,条件宽松的预定行为事件)来保证恶意事件检测率,所造成的告警日志中数据量巨大,且恶意事件误报率高的问题。因此,本发明实施例与相关技术相比能够提高告警信息的可靠性和准确性,并减少告警信息的数据量;即,本发明实施例通过异常值使得生成的告警信息具有告警信息数据量可控,告警信息准确性高,可溯源(可以通过事件异构图获取到与指定行为事件相关的各个行为事件,以及它们之间的内在关系)的优点。
需要说明的是,本发明实施例并不限定指定行为事件的确定方式,用户可以根据实际应用场景设置指定行为事件的确定方式。例如,应用场景为当用户需要获取终端对应的告警信息时,为了保证得到的告警信息的准确性和全面性,避免漏检恶意事件,可以直接将事件异构图中全部的行为事件均作为指定行为事件。应用场景为当用户需要对当前告警系统得到的告警信息进行分析,确认当前告警系统得到的告警信息是否存在虚假警告,进而精简当前告警系统得到的告警信息,以便优化SOC的效率时,即,当需要判断当前告警系统得到的告警信息中的行为事件是否存在正常的行为事件,通过剔除当前告警系统得到的告警信息中正常的行为事件对应的告警信息,来减少其告警信息的数量,进而减轻SOC工作量,提高SOC的效率时,为了保证剔除效果,可以将输入的初始告警信息对应的全部的行为事件作为指定行为事件。其中,本发明实施例并不对初始告警信息进行限定,可以是获取的需要判断告警信息准确性的告警信息,如,初始告警信息可以是当前告警系统得到的告警信息。
本发明实施例并不对确定事件异构图中指定行为事件的异常值的方式进行限定。例如,可以直接通过事件异构图中指定行为事件发生的概率值,确认各个指定行为事件是否为恶意事件。也可以是根据事件异构图获取指定行为事件发生的概率值;再根据概率值确定各个指定行为事件的异常值,进而根据得到的异常值确认各个指定行为事件是否为恶意事件。当然,本发明实施例并不限定根据事件异构图获取指定行为事件发生的概率值的方式。例如,可以是统计事件异构图中指定行为事件出现的次数,以及事件异构图中总的行为事件数量,两者相除得到指定行为事件在事件异构图中出现的概率值。每个指定行为事件均按照该方式计算得到对应的概率值。也可以是统计事件异构图中指定行为事件出现的次数,以及指定行为事件对应的类似行为事件在事件异构图中出现的次数,两者相除得到指定行为事件发生的概率值。每个指定行为事件均按照该方式计算得到对应的概率值;其中,类似行为事件的源顶点与指定行为事件的源顶点的标签相同,类似行为事件的目的顶点与指定行为事件的目的顶点的标签相同。也可以是统计事件异构图中指定行为事件出现的次数以及活跃度,以及指定行为事件对应的类似行为事件在事件异构图中出现的次数,并根据统计的数据计算得到指定行为事件发生的概率值。每个指定行为事件均按照该方式计算得到对应的概率值。当然,本发明实施例并不限定事件异构图中指定行为事件对应的活跃度的获取方式,例如,可以是根据指定行为事件对应的源顶点的出度和目的顶点的入度确定。其中,出度(Out Degree,可以简写为OD):指有向图中以某个顶点为源顶点的边的数量。入度(In Degree,可以简写为ID):指有向图中,以某个顶点为目的顶点的边的数量。
当然,本发明实施例并不限定根据概率值确定各个指定行为事件的异常值的方式。例如,可以根据概率值与异常值的负相关关系,确定指定行为事件的异常值,每个指定行为事件均按照该方式计算得到对应的异常值。需要说明的是,本发明实施例并不对该概率值与异常值的负相关关系进行限定。用户可以根据实际情况对该负相关关系进行设定和修改。
S104、将满足告警条件的异常值对应的指定行为事件作为告警信息。
本发明实施例并不对告警条件的内容进行限定,用户可以根据实际应用场景设置对应的告警条件。例如,告警条件可以是设定的告警阈值;也可以是需要的告警信息的数量等。当然,本发明实施例并不限定该告警阈值以及需要的告警信息的数量的具体数值,由用户根据实际应用场景进行设置和修改。相应的,本发明实施例并不对将满足告警条件的异常值对应的指定行为事件作为告警信息的执行过程进行限定。例如,当告警条件是设定的告警阈值时,对应的,将满足告警条件的异常值对应的指定行为事件作为告警信息的过程可以包括:将异常值与该告警阈值进行比较,若异常值大于该告警阈值,则将该异常值对应的指定行为事件作为告警信息。可以理解的是,当指定行为事件为多个时,每个指定行为事件都会存在一个对应的异常值,因此,针对异常值均需要执行上述比较过程。当告警条件是将前预设数量的异常值对应的指定行为事件作为告警信息时,对应的,将满足告警条件的异常值对应的指定行为事件作为告警信息的过程可以包括:将异常值按照降序排列,并将前预设数量的异常值对应的指定行为事件作为告警信息。例如,将步骤S103中得到的异常值按照从大到小排序,相应的将前N1个指定行为事件作为告警信息,当然,本发明实施例并不限定前预设数量的具体数值,即,不限定N1的具体数值。
需要说明的是,本发明实施例并不对告警信息的具体形式进行限定,用户可以根据实际需求进行设置和修改。例如,告警信息可以是日志形式,即告警日志,告警信息也可以是表格形式等。
进一步,为了使得用户可以及时获取到该告警信息,还可以将告警信息输出给用户。当然,本发明实施例并不对输出告警信息的具体方式进行限定。例如,可以通过IM系统输出该告警信息;也可以通过邮件系统输出该告警信息;也可以通过短信系统输出该告警信息;也可以通过日志系统输出该告警信息;当然,也可以是上述至少两种方法的叠加使用向用户传达潜在的威胁信息。
基于上述技术方案,本发明实施例提供了一种简洁、高效的告警信息生成方法,该实施例利用提取到的终端中的行为数据构建事件异构图,并利用该事件异构图来确定对应的行为事件的异常值,根据该异常值可以确定最终需要的告警信息。即,通过事件异构图可以确定行为事件的异常值,通过该异常值可以明确对应的行为事件是恶意事件的可能性,最后根据异常值选择所需要告警的行为事件生成告警信息。可见,该实施例通过异常值提高生成的告警信息的准确性和可靠性;且由于该实施例可以直接通过异常值提高告警信息的准确性,因此,可以避免相关技术中通过增加告警日志中数据量来保证恶意事件检测率,所造成的告警日志中数据量巨大,且恶意事件误报率高的问题,也就避免了由于告警日志中行为事件数量过多而淹没真正的需要告警的恶意事件的情况。可见,本实施例与相关技术相比能够提高告警日志的可靠性和准确性,并减少告警日志的数据量。
基于上述实施例,由于事件异构图可以确定行为事件的异常值,而该异常值可以明确对应的行为事件是恶意事件的可能性,且需要依赖该异常值生成告警信息。因此,构建的事件异构图的准确性是后续得到准确性高的异常值的保证,且构建的事件异构图的效率也直接影响到生成的告警信息的效率。为了提高构建的事件异构图的准确性和构建效率。请参考图2,图2为本发明实施例所提供的一种构建事件异构图的流程图;该构建过程可以包括:
S201、将行为数据按照行为发生时间,划分到对应时间段中。
本发明实施例并不限定时间段的数量,该时间段的数量与提取的终端的行为数据对应的时间范围以及划分的每个时间段的长度相关。例如,当提取的终端的行为数据对应的时间范围为一天,每个时间段的长度均为一小时,那么得到的时间段的数量就是24个。当然,本发明实施例并不限定提取的终端的行为数据对应的时间范围的数值,以及划分的每个时间段的长度的数值,可以由用户根据实际应用场景进行设置和修改。
需要说明的是,本发明实施例中每个时间段对应的长度可以是相同的,也可以不同。当每个时间段对应的长度相同时,获取时间段的方式可以是:将提取的终端的行为数据对应的时间范围按照预设的时间段长度划分为若干个时间段,如通过预设的时间段长度对应的观测窗口,将提取的终端的行为数据划分到对应时间段中;当然,本发明实施例并不限定预设的时间段长度的数值。当每个时间段对应的长度不相同时,获取时间段的方式可以是:将提取的终端的行为数据对应的时间范围依次按照预设的各个时间段长度划分为若干个时间段。本发明实施例并不限定设置预设的各个时间段长度的方式,例如,可以将提取的终端的行为数据对应的时间范围,首先区分出空闲时间范围和繁忙时间范围,然后针对空闲时间范围可以划分为第一预设长度的若干个时间段,针对繁忙时间范围可以划分为第二预设长度的若干个时间段;其中,第一预设长度大于第二预设长度;当然,本发明实施例并不限定第一预设长度以及第二预设长度的数值。
S202、根据每个时间段对应的行为数据,构建时间段事件异构图,并将各个时间段事件异构图组成事件异构图。
本发明实施例将提取的全部的行为数据按照行为发生时间,确定每个行为数据所属的时间段,并划分到对应时间段中。也就是将提取的全部的行为数据按照设置的时间段进行分块,将每个时间段内提取到的所有的行为数据对应的行为事件放在一起,生成每个时间段对应的时间段事件异构图,得到的各个时间段事件异构图可以组成事件异构图。即,本发明实施例中得到的事件异构图包含了各个时间段对应的时间段事件异构图。当然,本发明实施例并不限定根据每个时间段对应的行为数据,构建各个时间段对应的时间段事件异构图的方式。例如,可以是遍历行为数据,将行为数据转化为两个顶点以及一条边的形式,如果当前顶点已经在顶点集中,则将边添加到边集,如果当前顶点不在顶点集中,则在顶点集中添加新的顶点,并将边添加到边集中。可以理解的是,本发明实施例通过将提取到的全部的行为数据划分为多个时间段对应的部分行为数据的方式,避免出现针对提取到的全部的行为数据构建事件异构图的过程,即通过将整体行为数据的划分,提高了构建各个时间段事件异构图的效率,进而提升了最终得到的事件异构图的构建效率。
进一步,由于各个时间段对应的时间具有先后顺序,且多个先后发生的行为事件也可能具有因果关系。因此,各个时间段中对应的行为事件可能存在关联。本发明实施例为了提高构建的时间段事件异构图的准确性,可以按照时间段的先后顺序,依次生成各个时间段对应的时间段事件异构图,并在根据当前的时间段对应的行为数据,构建当前的时间段对应的时间段事件异构图的过程中,增加之前时间段中与当前的时间段相关的行为数据对应的内容。例如,在第一个时间段对应的行为事件中存在创建第一文件的行为数据,在第二个时间段对应的行为事件中存在创建好的第一文件中写入第一数据的行为数据,此时,在构建第二个时间段对应的时间段事件异构图时,可以将第一个时间段发生了创建第一文件的内容添加至第二个时间段。当然,本发明实施例并不限定增加之前时间段中与当前的时间段相关的行为数据对应的内容的方式,例如,可以是在当前的时间段对应的时间段事件异构图中相应行为事件的位置增加属性信息。进而避免生成的当前的时间段对应的时间段事件异构图漏掉之前时间段中的行为事件对当前的时间段对应的行为事件的影响。
进一步,为了更加清楚的表征多个先后发生的行为事件之间的因果关系,本发明实施例还可以在当前的时间段对应的时间段事件异构图中标记相关行为事件发生时对应的时间段。例如,在第一个时间段对应的行为事件中存在创建第一文件的行为数据,在第二个时间段对应的行为事件中存在创建好的第一文件中写入第一数据的行为数据,此时,在构建第二个时间段对应的时间段事件异构图时,可以将第一个时间段发生了创建第一文件的内容添加至第二个时间段对应的时间段事件异构图中,并标记创建第一文件发生在第一时间段中。
基于上述技术方案,本发明实施例提供了一种告警信息生成方法,该实施例利用构建时间段事件异构图的方式形成事件异构图,通过将提取到的全部的行为数据划分为多个时间段对应的部分行为数据的方式,避免出现针对提取到的全部的行为数据构建事件异构图的过程,即通过将整体行为数据的划分,提高了构建各个时间段事件异构图的效率。且通过在各个时间段事件异构图中增加不同时间段对应的行为数据的因果关系,提高了构建的事件异构图的准确性。进而通过本发明实施例提供的构建事件异构图的方式,能够提高构建的事件异构图的准确性和构建效率。
基于上述任意实施例,请参考图3,图3为本发明实施例所提供的一种确定指定行为事件的异常值的流程图;本发明实施例能够进一步提高指定行为事件的异常值的准确性,该过程可以包括:
S301、根据事件异构图,获取指定行为事件的源顶点的活跃度、目的顶点的活跃度、以及指定行为事件在事件异构图中出现的第一频次。
需要说明的是,本发明实施例中构建的事件异构图为有向图,例如,使用源顶点(subject)和目的顶点(object)构造事件异构图中的顶点,使用行为事件(action)构建事件异构图中的边,得到的边为有向边,从源顶点(subject)指向目的顶点(object)。
本发明实施例中并不限定获取指定行为事件的源顶点的活跃度、以及目的顶点的活跃度的方式。例如,可以根据指定行为事件的源顶点的出度来确定其对应的活跃度,根据指定行为事件的目的顶点的入度来确定其对应的活跃度。本发明实施例中并不限定根据指定行为事件的源顶点的出度来确定其对应的活跃度的方式。例如,本发明实施例中根据指定行为事件的源顶点的出度来确定其对应的活跃度的方式可以是:在全部的时间段对应的时间段事件异构图中,确定存在指定行为事件的源顶点的出度大于0的时间段的数量,并将存在指定行为事件的源顶点的出度大于0的时间段的数量,与时间段的总数量的比值,作为指定行为事件的源顶点的活跃度,可以记为act_out;每个指定行为事件的源顶点的活跃度均可以按照上述过程确定。本发明实施例中并不限定根据指定行为事件的目的顶点的入度来确定其对应的活跃度的方式。例如,本发明实施例中根据指定行为事件的目的顶点的入度来确定其对应的活跃度的方式可以是:在全部的时间段对应的时间段事件异构图中,确定存在指定行为事件的源顶点的出度大于0的时间段的数量,并将存在指定行为事件的目的顶点的入度大于0的时间段的数量,与时间段的总数量的比值,作为指定行为事件的目的顶点的活跃度,可以记为act_in;每个指定行为事件的目的顶点的活跃度均可以按照上述过程确定。当然,本发明实施例中并不对上述0这一数值进行限定,其还可以是其他数值,例如,1。
本发明实施例中指定行为事件在事件异构图中出现的第一频次的过程可以是:从构建的事件异构图中统计源顶点相同,且目的顶点相同,对应的行为事件相同的边的数量作为第一频次。例如,在全部的时间段对应的时间段事件异构图中,统计源顶点相同,且目的顶点相同,对应的行为事件相同的边的数量第一频次,可以记为freq。其中,每个指定行为事件的第一频次均可以按照上述过程统计。
S302、获取指定行为事件对应的类似行为事件在事件异构图中出现的第二频次;其中,类似行为事件的源顶点与指定行为事件的源顶点的标签相同,类似行为事件的目的顶点与指定行为事件的目的顶点的标签相同。
本发明实施例中步骤S302中的目的是为了统计类似行为事件在事件异构图中出现的第二频次。其中,类似行为事件和对应的指定行为事件,具有相同标签的源顶点、相同标签的目的顶点以及相同标签的边。因此,获取指定行为事件对应的类似行为事件在事件异构图中出现的第二频次的过程可以是:从构建的事件异构图中统计与指定行为事件,具有相同标签的源顶点、相同标签的目的顶点以及相同标签的边的类似行为事件的数量作为第二频次。例如,在全部的时间段对应的时间段事件异构图中,统计与指定行为事件,具有相同标签的源顶点、相同标签的目的顶点以及相同标签的边的数量作为第二频次,可以记为freq_sim。其中,每个指定行为事件对应的类似行为事件的第二频次均可以按照上述过程统计。
S303、根据源顶点的活跃度、目的顶点的活跃度、第一频次以及第二频次,获取指定行为事件发生的概率值。
本发明实施例中获取指定行为事件发生的概率值的方式可以是:act_out*act_in*(freq/freq_sim)。其中,每个指定行为事件发生的概率值均可以按照上述过程计算。
S304、根据概率值,以及概率值与异常值的负相关关系,确定指定行为事件的异常值。
需要说明的是,本发明实施例并不对该概率值与异常值的负相关关系进行限定,用户可以根据实际情况对该负相关关系进行设置和修改,只要可以确定两者之间的关系为负相关关系即可。例如,可以根据1-act_out*act_in*(freq/freq_sim)来确定指定行为事件的异常值,即用1减去步骤S303获取的概率值得到指定行为事件的异常值。其中,每个指定行为事件的异常值均可以按照上述过程计算。当然,也可以使用其他输入参数与输出参数具备负相关关系的函数,将指定行为事件的概率值作为输入参数输入到该函数中,将得到的输出参数作为指定行为事件的异常值。其中,每个指定行为事件的异常值均可以按照上述过程计算。
本发明实施例提供了一种告警信息生成方法,本发明实施例通过事件异构图可以确定行为事件的异常值,通过该异常值可以明确对应的行为事件是恶意事件的可能性,最后根据异常值选择所需要告警的行为事件生成告警信息,即,本发明实施例将审计到的行为数据嵌入到事件异构图中,通过事件异构图进行恶意事件鉴定,生成告警信息。可见,该实施例通过异常值提高生成的告警信息的准确性和可靠性;且利用上述异常值确定方式能够进一步提高指定行为事件的异常值的准确性。
需要说明的是,本发明中各个实施例中的不相互矛盾的特征均可以任意组合,形成新的实施例,并不限制于上述几个实施例。本申请实施例并不对上述各个实施例的执行主体进行限定,其可以是电子设备,当然,该电子设备可以是该终端自身。
下面对本发明实施例提供的告警信息生成装置、电子设备及存储介质进行介绍,下文描述的告警信息生成装置、电子设备及存储介质与上文描述的告警信息生成方法可相互对应参照。
请参考图4,图4为本发明实施例所提供的告警信息生成装置的结构框图;该装置可以包括:
提取模块110,用于提取终端中的行为数据;
异构图生成模块120,用于根据行为数据构建事件异构图;其中,事件异构图中的边表示行为事件;
异常值确定模块130,用于确定事件异构图中指定行为事件的异常值;
告警信息确定模块140,用于将满足告警条件的异常值对应的指定行为事件作为告警信息。
基于上述实施例,异构图生成模块120可以包括:
数据划分单元,用于将行为数据按照行为发生时间,划分到对应时间段中;
异构图生成单元,用于根据每个时间段对应的行为数据,构建时间段事件异构图,并将各个时间段事件异构图组成事件异构图。
基于上述任意实施例,告警信息确定模块140可以包括:
告警信息确定单元,用于将异常值按照降序排列,并将前预设数量的异常值对应的指定行为事件作为告警信息。
基于上述任意实施例,该指定行为事件可以为事件异构图中全部的行为事件;或者,该指定行为事件可以为获取的初始告警信息对应的全部的行为事件。
基于上述任意实施例,异常值确定模块130可以包括:
概率获取单元,用于根据事件异构图,获取指定行为事件发生的概率值;
异常值确定单元,用于根据概率值,确定指定行为事件的异常值。
基于上述实施例,概率获取单元可以包括:
第一计算子单元,用于根据事件异构图,获取指定行为事件的源顶点的活跃度、目的顶点的活跃度、以及指定行为事件在事件异构图中出现的第一频次;
第二计算子单元,用于获取指定行为事件对应的类似行为事件在事件异构图中出现的第二频次;其中,类似行为事件的源顶点与指定行为事件的源顶点的标签相同,类似行为事件的目的顶点与指定行为事件的目的顶点的标签相同;
概率获取子单元,用于根据源顶点的活跃度、目的顶点的活跃度、第一频次以及第二频次,获取指定行为事件发生的概率值。
基于上述实施例,异常值确定单元可以包括:
异常值确定子单元,用于根据概率值,以及概率值与异常值的负相关关系,确定指定行为事件的异常值。
基于上述任意实施例,提取模块110可以包括:
提取单元,用于从第三方日志以及API日志中提取终端中的行为数据。
需要说明的是,基于上述任意实施例,装置可以是基于可编程逻辑器件实现的,可编程逻辑器件包括FPGA,CPLD,单片机、处理器等。这些可编程逻辑器件可以设置在电子设备中。
相应于上面的方法实施例,本发明实施例还提供了一种电子设备。可以参见图5所示,该电子设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的告警信息生成方法。
具体的,请参考图6,为本实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储介质330通信,在电子设备301上执行存储介质330中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的告警信息生成方法中的步骤可以由电子设备的结构实现。该电子设备可以是终端(如,计算机,服务器等),本发明实施例对此并不进行限定。
相应于上面的方法实施例,本发明实施例还提供了一种存储介质。该存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的告警信息生成方法的步骤。
该存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的存储介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种告警信息生成方法、装置、电子设备及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (11)

1.一种告警信息生成方法,其特征在于,包括:
提取终端中的行为数据;
根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
确定所述事件异构图中指定行为事件的异常值;
将满足告警条件的异常值对应的指定行为事件作为告警信息。
2.根据权利要求1所述的告警信息生成方法,其特征在于,所述根据所述行为数据构建事件异构图,包括:
将所述行为数据按照行为发生时间,划分到对应时间段中;
根据每个时间段对应的行为数据,构建时间段事件异构图;
将各个时间段事件异构图组成事件异构图。
3.根据权利要求1所述的告警信息生成方法,其特征在于,所述将满足告警条件的异常值对应的指定行为事件作为告警信息,包括:
将所述异常值按照降序排列,并将前预设数量的异常值对应的指定行为事件作为告警信息。
4.根据权利要求1所述的告警信息生成方法,其特征在于,所述指定行为事件为所述事件异构图中全部的行为事件;或者,所述指定行为事件为获取的初始告警信息对应的全部的行为事件。
5.根据权利要求1至4任一项所述的告警信息生成方法,其特征在于,所述确定所述事件异构图中指定行为事件的异常值,包括:
根据所述事件异构图,获取指定行为事件发生的概率值;
根据所述概率值,确定所述指定行为事件的异常值。
6.根据权利要求5所述的告警信息生成方法,其特征在于,所述根据所述事件异构图,获取指定行为事件发生的概率值,包括:
根据所述事件异构图,获取指定行为事件的源顶点的活跃度、目的顶点的活跃度、以及所述指定行为事件在所述事件异构图中出现的第一频次;
获取所述指定行为事件对应的类似行为事件在所述事件异构图中出现的第二频次;其中,所述类似行为事件的源顶点与所述指定行为事件的源顶点的标签相同,所述类似行为事件的目的顶点与所述指定行为事件的目的顶点的标签相同;
根据所述源顶点的活跃度、所述目的顶点的活跃度、所述第一频次以及所述第二频次,获取所述指定行为事件发生的概率值。
7.根据权利要求5所述的告警信息生成方法,其特征在于,所述根据所述概率值,确定所述指定行为事件的异常值,包括:
根据所述概率值,以及概率值与异常值的负相关关系,确定所述指定行为事件的异常值。
8.根据权利要求1所述的告警信息生成方法,其特征在于,所述提取终端中的行为数据,包括:
从第三方日志以及API日志中提取终端中的行为数据。
9.一种告警信息生成装置,其特征在于,包括:
提取模块,用于提取终端中的行为数据;
异构图生成模块,用于根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
异常值确定模块,用于确定所述事件异构图中指定行为事件的异常值;
告警信息确定模块,用于将满足告警条件的异常值对应的指定行为事件作为告警信息。
10.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述的告警信息生成方法。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至8任一项所述的告警信息生成方法。
CN201911304633.0A 2019-12-17 2019-12-17 一种告警信息生成方法、装置、电子设备及存储介质 Active CN112988501B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201911304633.0A CN112988501B (zh) 2019-12-17 2019-12-17 一种告警信息生成方法、装置、电子设备及存储介质
PCT/CN2020/136704 WO2021121244A1 (zh) 2019-12-17 2020-12-16 一种告警信息生成方法、装置、电子设备及存储介质
EP20903246.5A EP4080368A4 (en) 2019-12-17 2020-12-16 ALARM INFORMATION GENERATING METHOD AND APPARATUS, ELECTRONIC DEVICE AND STORAGE MEDIUM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911304633.0A CN112988501B (zh) 2019-12-17 2019-12-17 一种告警信息生成方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN112988501A true CN112988501A (zh) 2021-06-18
CN112988501B CN112988501B (zh) 2023-02-03

Family

ID=76343624

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911304633.0A Active CN112988501B (zh) 2019-12-17 2019-12-17 一种告警信息生成方法、装置、电子设备及存储介质

Country Status (3)

Country Link
EP (1) EP4080368A4 (zh)
CN (1) CN112988501B (zh)
WO (1) WO2021121244A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760113A (zh) * 2022-03-30 2022-07-15 深信服科技股份有限公司 一种异常告警检测方法、装置及电子设备和存储介质
TWI789075B (zh) * 2021-10-26 2023-01-01 中華電信股份有限公司 偵測應用程式的異常執行的電子裝置及方法
CN115733724A (zh) * 2021-08-27 2023-03-03 中移动信息技术有限公司 业务故障根因定位方法、装置、电子设备及存储介质
CN116089231A (zh) * 2023-02-13 2023-05-09 北京优特捷信息技术有限公司 一种故障告警方法、装置、电子设备及存储介质

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205011A (zh) * 2021-12-15 2022-03-18 浙江华云信息科技有限公司 一种无线信号质量预警方法、装置及介质
CN114363148B (zh) * 2021-12-20 2023-05-26 绿盟科技集团股份有限公司 一种检测攻击告警的方法、装置、检测设备及存储介质
CN114329455B (zh) * 2022-03-08 2022-07-29 北京大学 基于异构图嵌入的用户异常行为检测方法及装置
CN114844770B (zh) * 2022-04-30 2023-07-14 苏州浪潮智能科技有限公司 一种告警事件处理方法、装置、设备及介质
CN115118580B (zh) * 2022-05-20 2023-10-31 阿里巴巴(中国)有限公司 告警分析方法以及装置
CN115174251B (zh) * 2022-07-19 2023-09-05 深信服科技股份有限公司 一种安全告警的误报识别方法、装置以及存储介质
CN115277368A (zh) * 2022-08-02 2022-11-01 上海宏时数据系统有限公司 多平台告警方法、装置、电子设备和存储介质
CN115033463B (zh) * 2022-08-12 2022-11-22 北京优特捷信息技术有限公司 一种系统异常类型确定方法、装置、设备和存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103180793A (zh) * 2010-10-28 2013-06-26 株式会社日立制作所 异常诊断装置以及工业机械
CN104123368A (zh) * 2014-07-24 2014-10-29 中国软件与技术服务股份有限公司 基于聚类的大数据属性重要性和辨识度的预警方法及系统
CN106104495A (zh) * 2014-03-20 2016-11-09 日本电气株式会社 信息处理装置和监视方法
CN107066365A (zh) * 2017-02-20 2017-08-18 阿里巴巴集团控股有限公司 一种系统异常的监测方法及装置
US20180024901A1 (en) * 2015-09-18 2018-01-25 Splunk Inc. Automatic entity control in a machine data driven service monitoring system
CN110134542A (zh) * 2015-05-28 2019-08-16 甲骨文国际公司 自动异常检测和解决系统
CN110189167A (zh) * 2019-05-20 2019-08-30 华南理工大学 一种基于异构图嵌入的移动广告欺诈检测方法
CN110321268A (zh) * 2019-06-12 2019-10-11 平安科技(深圳)有限公司 一种告警信息处理方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225730B1 (en) * 2014-03-19 2015-12-29 Amazon Technologies, Inc. Graph based detection of anomalous activity
US10505954B2 (en) * 2017-06-14 2019-12-10 Microsoft Technology Licensing, Llc Detecting malicious lateral movement across a computer network
US11816586B2 (en) * 2017-11-13 2023-11-14 International Business Machines Corporation Event identification through machine learning
CA3041871A1 (en) * 2018-05-01 2019-11-01 Royal Bank Of Canada System and method for monitoring security attack chains
CN110223106B (zh) * 2019-05-20 2021-09-21 华南理工大学 一种基于深度学习的欺诈应用检测方法
CN110322153A (zh) * 2019-07-09 2019-10-11 中国工商银行股份有限公司 监控事件处理方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103180793A (zh) * 2010-10-28 2013-06-26 株式会社日立制作所 异常诊断装置以及工业机械
CN106104495A (zh) * 2014-03-20 2016-11-09 日本电气株式会社 信息处理装置和监视方法
CN104123368A (zh) * 2014-07-24 2014-10-29 中国软件与技术服务股份有限公司 基于聚类的大数据属性重要性和辨识度的预警方法及系统
CN110134542A (zh) * 2015-05-28 2019-08-16 甲骨文国际公司 自动异常检测和解决系统
US20180024901A1 (en) * 2015-09-18 2018-01-25 Splunk Inc. Automatic entity control in a machine data driven service monitoring system
CN107066365A (zh) * 2017-02-20 2017-08-18 阿里巴巴集团控股有限公司 一种系统异常的监测方法及装置
CN110189167A (zh) * 2019-05-20 2019-08-30 华南理工大学 一种基于异构图嵌入的移动广告欺诈检测方法
CN110321268A (zh) * 2019-06-12 2019-10-11 平安科技(深圳)有限公司 一种告警信息处理方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
高永昌: "医疗保险大数据中的欺诈检测关键问题研究", 《中国优秀博硕士学位论文全文数据库(博士)》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115733724A (zh) * 2021-08-27 2023-03-03 中移动信息技术有限公司 业务故障根因定位方法、装置、电子设备及存储介质
TWI789075B (zh) * 2021-10-26 2023-01-01 中華電信股份有限公司 偵測應用程式的異常執行的電子裝置及方法
CN114760113A (zh) * 2022-03-30 2022-07-15 深信服科技股份有限公司 一种异常告警检测方法、装置及电子设备和存储介质
CN114760113B (zh) * 2022-03-30 2024-02-23 深信服科技股份有限公司 一种异常告警检测方法、装置及电子设备和存储介质
CN116089231A (zh) * 2023-02-13 2023-05-09 北京优特捷信息技术有限公司 一种故障告警方法、装置、电子设备及存储介质
CN116089231B (zh) * 2023-02-13 2023-09-15 北京优特捷信息技术有限公司 一种故障告警方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
EP4080368A1 (en) 2022-10-26
WO2021121244A1 (zh) 2021-06-24
EP4080368A4 (en) 2023-12-06
CN112988501B (zh) 2023-02-03

Similar Documents

Publication Publication Date Title
CN112988501B (zh) 一种告警信息生成方法、装置、电子设备及存储介质
US9357397B2 (en) Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device
EP3954145A1 (en) Adaptive severity functions for alerts
EP3772004B1 (en) Malicious incident visualization
WO2021121199A1 (zh) 一种恶意事件信息的获取方法、装置及电子设备
CN114363044B (zh) 一种分层告警方法、系统、存储介质和终端
CN105512562B (zh) 一种漏洞挖掘方法、装置及电子设备
EP4091084A1 (en) Endpoint security using an action prediction model
WO2023235408A1 (en) Adaptive system for network and security management
WO2019005401A1 (en) DETECTION OF CLOUD ATTACKS BY OPEN EXTERNALIZATION OF SECURITY SOLUTIONS
WO2024125108A1 (zh) 移动端安全切面的按需开启方法及装置
CN113591096A (zh) 综合检测大数据漏洞和不安全配置的脆弱性扫描系统
CN113098852A (zh) 一种日志处理方法及装置
CN115600261A (zh) 一种数据安全防护方法、装置、设备及介质
Kumar Quantitative safety-security risk analysis of interconnected cyber-infrastructures
US20220182260A1 (en) Detecting anomalies on a controller area network bus
CN111147497B (zh) 一种基于知识不对等的入侵检测方法、装置以及设备
CN112668034B (zh) 数据的混淆方法、数据的切分方法、装置及设备
US20240106838A1 (en) Systems and methods for detecting malicious events
CN118467300A (zh) 告警信息的过滤方法、装置、存储介质及电子设备
US20230412637A1 (en) Hardware detection and prevention of cryptojacking
CN110324150B (zh) 数据存储方法、装置、计算机可读存储介质及电子设备
Dixon Exploring low profile techniques for malicious code detection on smartphones
CN117150577A (zh) 电子设备的硬件检测方法、装置、电子设备及存储介质
CN116010165A (zh) 一种数据还原的方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant