CN113259176B - 一种告警事件分析方法和装置 - Google Patents
一种告警事件分析方法和装置 Download PDFInfo
- Publication number
- CN113259176B CN113259176B CN202110650367.8A CN202110650367A CN113259176B CN 113259176 B CN113259176 B CN 113259176B CN 202110650367 A CN202110650367 A CN 202110650367A CN 113259176 B CN113259176 B CN 113259176B
- Authority
- CN
- China
- Prior art keywords
- alarm
- nodes
- community
- node
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000012545 processing Methods 0.000 claims description 17
- 238000011084 recovery Methods 0.000 claims description 14
- 238000013138 pruning Methods 0.000 claims description 13
- 230000011218 segmentation Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000009467 reduction Effects 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/01—Social networking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Health & Medical Sciences (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种告警事件分析方法和装置,该方法包括:获取网络拓扑结构图中多个节点产生的告警事件;其中,所述告警事件包括告警类型和各节点之间的关联关系,所述关联关系是基于告警类型确定的;基于获取到的多个节点产生的告警事件,构建异构网络图;其中,所述异构网络图包括所述多个节点;基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络;利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合;其中,所述威胁告警集合包括多个威胁告警事件。本发明的方案能够在大量告警事件中识别出威胁告警事件。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及告警事件分析方法和装置。
背景技术
随着网络环境规模的日益扩大,网络拓扑结构图中的节点(例如包括终端设备、交换机、路由器等)的数量也急剧增加。在监测过程中,如果发现某些操作是针对一个节点中的文件或者进程等数据对象具有攻击性的违规操作时,则可以将该操作确定为告警事件。
现有技术中,由于在一个网络拓扑结构图中产生可能较大量的告警事件,而这些告警事件中的一部分为正常设备故障告警,而如果由黑客攻陷产生的告警则属于威胁告警事件,如果不对这部分威胁告警事件识别出来,则会严重威胁到网络拓扑结构图中的其它节点的安全性。
因此,针对以上不足,需要提供一种告警事件分析方法和装置。
发明内容
本发明要解决的技术问题在于如何在大量告警事件中识别出威胁告警事件,针对现有技术中的缺陷,提供一种告警事件分析方法和装置。
为了解决上述技术问题,第一方面,本发明提供了一种告警事件分析方法,包括:
获取网络拓扑结构图中多个节点产生的告警事件;其中,所述告警事件包括告警类型和各节点之间的关联关系,所述关联关系是基于告警类型确定的;
基于获取到的多个节点产生的告警事件,构建异构网络图;其中,所述异构网络图包括所述多个节点;
基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络;
利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合;其中,所述威胁告警集合包括多个威胁告警事件。
在一种可能的实现方式中,所述告警事件还包括告警发生时间、告警恢复时间和告警级别;
所述关联关系进一步是通过如下方式确定的:
针对告警类型和告警级别均相同的节点,执行:
计算两个不同节点之间的告警发生时间的第一时间差值和告警恢复时间的第二时间差值;
如果所述第一时间差值不大于第一预设时间阈值且所述第二时间差值不大于第二预设时间阈值,则该两个不同节点之间具有关联关系。
在一种可能的实现方式中,所述基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络,包括:
基于所述告警事件包括的告警类型,将各不同的告警类型标记为不同的告警标签,以将所述告警标签存储在对应的节点中;
基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对所述异构网络图进行社区划分,得到多个社区网络。
在一种可能的实现方式中,所述社区发现算法包括:提供方-接收方标签传播算法;
所述基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对所述异构网络图进行社区划分,得到多个社区网络,包括:
遍历所述异构网络图中的各节点,将当前遍历到的节点作为接收节点,该接收节点的邻居节点作为发送节点,并执行:将发送节点存储的告警标签中数量最多的告警标签发送给该接收节点,将该接收节点接收到的数量占比最多的告警标签添加至该接收节点存储的告警标签中;
若遍历次数达到预设的最大遍历次数,统计各节点存储的告警标签,将告警标签出现次数满足预设次数要求的告警标签作为该节点的社区标签;
将社区标签相同的节点构成同一个社区网络。
在一种可能的实现方式中,所述利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,包括:
针对每一个社区网络,执行:
将该社区网络的图结构特征和节点特征作为输入,输入到预先训练好的威胁告警识别模型,输出该社区网络中的告警事件是否为威胁告警集合的识别结果;
其中,所述图结构特征包括社区网络所包含各节点的度中心性、中介中心性、紧密中心性、特征向量中心性和PageRank值中的至少一种;
所述节点特征包括在预设时长内的告警事件产生次数。
在一种可能的实现方式中,在所述得到多个社区网络之后和在所述利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别之前,还包括:
对社区网络进行子图分割,得到至少两个第一子图;
对得到的第一子图进行剪枝处理,得到第二子图;
对得到的第二子图进行去重处理,得到目标社区网络;
所述利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,包括:
利用预先训练好的威胁告警识别模型对得到的多个目标社区网络进行识别。
在一种可能的实现方式中,所述对社区网络进行子图分割,得到至少两个第一子图,包括:
将社区网络中的各节点分别作为种子节点,执行:确定与种子节点之间的跳数不大于预设跳数的节点,将确定出的节点和该种子节点构成第一子图;
和/或,
所述对得到的第一子图进行剪枝处理,得到第二子图,包括:
将第一子图中节点度数小于预设度数节点去除,得到第二子图。
第二方面,本发明还提供了一种告警事件分析装置,包括:
获取模块,用于获取网络拓扑结构图中多个节点产生的告警事件;其中,所述告警事件包括告警类型和各节点之间的关联关系,所述关联关系是基于告警类型确定的;
构建模块,用于基于获取到的多个节点产生的告警事件,构建异构网络图;其中,所述异构网络图包括所述多个节点;
划分模块,用于基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络;
识别模块,用于利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合;其中,所述威胁告警集合包括多个威胁告警事件。
第三方面,本发明还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现上述任一项所述的方法。
第四方面,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行上述任一项所述的方法。
实施本发明的告警事件分析方法和装置,具有以下有益效果:
本发明所提供的技术方案,通过基于获取到的网络拓扑结构图中多个节点产生的告警事件,构建异构网络图;并基于告警事件包括的告警类型和各节点之间的关联关系,由异构网络图进行社区划分得到多个社区网络;最后利用威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合。上述方案对获取到的告警事件进行社区划分,有利于分析出由威胁告警事件构成的威胁告警集合,如此可以在大量告警事件中确定出威胁告警事件,从而可以提高网络拓扑结构图中的其它节点的安全性。
附图说明
图1是本发明一个实施例提供的告警事件分析方法的流程图;
图2是本发明一个实施例提供的告警事件分析装置所在设备的结构示意图;
图3是本发明一个实施例提供的告警事件分析装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出根据一个实施例的告警事件分析方法的流程图。可以理解,该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。
参见图1,该方法包括:
步骤101:获取网络拓扑结构图中多个节点产生的告警事件。
在步骤101中,告警事件包括告警类型和各节点之间的关联关系,关联关系是基于告警类型确定的。
需要说明的是,当多个节点产生告警后,该方法的执行主体可以解析节点产生的告警,并提取告警中的关键信息,例如告警名称、节点唯一标识、告警发生时间、告警恢复时间、告警级别等,提取的规则已被本领域技术人员所熟知,在此不进行赘述。其中,具有相同告警名称的告警事件为同类型告警,同类型告警会多次发生,将每个类型告警的一次发生称为一个告警事件。
在一些实施方式中,节点可以是终端设备、交换机、路由器和其它工控设备,该方法的执行主体可以是服务器。
在一些实施方式中,告警事件还包括告警发生时间、告警恢复时间和告警级别;
关联关系进一步是通过如下方式确定的:
针对告警类型和告警级别均相同的节点,执行:
计算两个不同节点之间的告警发生时间的第一时间差值和告警恢复时间的第二时间差值;
如果第一时间差值不大于第一预设时间阈值且第二时间差值不大于第二预设时间阈值,则该两个不同节点之间具有关联关系。
举例来说,一个节点为A,该A节点具有告警a,告警a的告警发生时间为Ta1,告警恢复时间Ta2,告警级别为S1,一个与节点A相连节点为B,该B节点具有告警b,其告警发生时间为Tb1,告警恢复时间为Tb2,告警级别为S2,若0<Tb1-Ta1≤m,0<Tb2-Ta2≤n(m为第一预设时间阈值,n为第二预设时间阈值),且S1=S2,则认为节点A和节点B之间具有关联关系,即可以认为告警b是伴随着告警a的产生而产生,恢复而恢复。
在该实施例中,节点之间具有一定的关联关系,例如如果节点A和节点B具有关联关系,则可以称之为节点A是节点B的邻居节点,或节点B是节点A的邻居节点。借助关联关系有助于对多个节点产生的告警事件进行分析,例如可以利用社区发现算法来得到威胁告警集合。
步骤102:基于获取到的多个节点产生的告警事件,构建异构网络图。
在步骤102中,其中,异构网络图包括多个节点。
需要说明的是,异构网络图指的是网络图中节点的类型至少包括两种,或者节点之间边关系(即关联关系)的类型至少包括两种。而本发明中的异构网络图包括多个节点,节点的告警类型存在不同,通常认为至少包括两种。
此外,一个节点还可能产生多种类型的告警事件,因此通过构建异构网络图,有助于对威胁告警集合更为准确地识别。
步骤103:基于告警事件包括的告警类型和各节点之间的关联关系,对异构网络图进行社区划分,得到多个社区网络。
在得到异构网络图之后,步骤103可以将具有相同告警类型的节点划分到同一社区网络。在本步骤中,根据异构网络图中的每一个节点的告警类型和各节点在异构网络图中的关联关系,可以对异构网络图进行社区划分,将具有相同类型的节点划分到同一社区。
在一些实施方式中,可以利用社区发现算法来对异构网络图进行社区划分,为了适应该社区发现算法,需要对各告警事件的告警类型进行打标签处理。具体地,步骤103包括如下步骤:
基于告警事件包括的告警类型,将各不同的告警类型标记为不同的告警标签,以将告警标签存储在对应的节点中;
基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对异构网络图进行社区划分,得到多个社区网络。
在该实施例中,通过将各不同的告警类型标记为不同的告警标签,以将告警标签存储在对应的节点中,利用社区发现算法划分得到多个社区网络。其中,社区发现的目的是在复杂的网络结构中发现连接紧密的节点簇,这些节点簇构成的网络就是社区网络。
由于威胁告警集合(即不仅仅包括一种告警类型)的特点更贴近重叠社区,因此步骤103优选采用SLPA(即提供方-接收方标签传播算法)的方式。SLPA模仿了人类的交流模式,对于两个节点而言,一个节点作为speaker(即接收节点),另一个节点作为listener(即发送节点),并且每个节点均具有记忆功能,即会存储标签。
具体而言,步骤103采用SLPA对异构网络图进行社区划分的具体可以包括如下步骤:
步骤A1、遍历异构网络图中的各节点,将当前遍历到的节点作为接收节点,该接收节点的邻居节点作为发送节点,并执行:将发送节点存储的告警标签中数量最多的告警标签发送给该接收节点,将该接收节点接收到的数量占比最多的告警标签添加至该接收节点存储的告警标签中。
在步骤A1中,各节点初始时仅存储有自身的告警标签。每个节点依次作为接收节点,其邻居节点作为发送节点。每一个发送节点都将自身存储的告警标签中数量最多的告警标签发送给接收节点。接收节点会统计接收到的告警标签,将接收到数量占比最多的告警标签进行存储,即添加至自身存储的告警标签中(如果自身已经存储有该告警标签,则增加存储的该告警标签的次数,例如将该告警标签的次数加1)。然后再遍历下一个节点,将下一个节点作为接收节点,重复执行A1,直至遍历完异构网络图中的所有节点。
步骤A2、若遍历次数达到预设的最大遍历次数,统计各节点存储的告警标签,将告警标签出现次数满足预设次数要求的告警标签作为该节点的社区标签。
在步骤A2中,遍历结束后,各节点将自身存储的告警标签中出现次数超过预设次数阈值的告警标签作为该节点的社区标签。
或者,遍历结束后,各节点将自身存储的告警标签中出现次数最多的告警标签作为该节点的社区标签。
步骤A3、将社区标签相同的节点构成同一个社区网络。
在该实施例中,通过上述流程,异构网络图中的一个节点可能属于一个以上的社区网络(即一个节点可能产生多种类型的告警事件),最终得到的各社区网络可能是重叠社区,这更加威胁告警事件所产生威胁的实际场景的特点。
步骤104:利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合。
在步骤104中,威胁告警集合包括多个威胁告警事件,其中,该威胁告警集合中的威胁告警事件的告警类型不唯一,即包括至少两种告警类型。
在一些实施方式中,针对每一个社区网络,执行:
将该社区网络的图结构特征和节点特征作为输入,输入到预先训练好的威胁告警识别模型,输出该社区网络中的告警事件是否为威胁告警集合的识别结果;
其中,图结构特征包括社区网络所包含各节点的度中心性、中介中心性、紧密中心性、特征向量中心性和PageRank(即网页排名)值中的至少一种;
节点特征包括在预设时长内的告警事件产生次数。
需要说明的是,节点的度中心性衡量社区网络中一个节点与所有其他节点相联系的程度,一个节点的度越大就意味着这个节点的度中心性越高,在网络中越重要。中介中心性(Between Centrality)是以经过一个节点的最短路径数目来刻画节点重要性的指标。紧密中心性(Closeness Centrality)反映网络中一个节点与其他节点之间的接近程度,将一个节点到所有其他节点的最短路径距离的和的倒数表示紧密中心性。特征向量中心性(Eigenvector Centrality)认为一个节点的重要性取决于其邻居节点的数量以及每个邻居节点的重要性,一个节点的特征向量中心性由该节点的所有邻居节点的重要性特征的加权之和得到。一个节点的PageRank值由所有链向它的节点的重要性经过递归算法得到。上述各特征均是目前已有的特征且具有成熟的技术方法,在此不做详述。
在该实施例中,社区网络的图结构特征和节点特征可以构成一个向量表示后输入威胁告警识别模型,由威胁告警识别模型基于该向量表示对社区网络进行识别。上述威胁告警识别模型也是二分类模型,该二分类模型可以是GBDT(Gradient Boosting DecisonTree,梯度提升树),也可以采用诸如逻辑回归等其他二分类模型。其中,威胁告警识别模型的训练过程和普通的识别模型的训练过程类似,均是包括利用已知样本训练和测试,然后调整模型参数,具体的训练过程在此不进行赘述。
在一些实施方式中,在步骤103和步骤104之间,上述方法还可以包括对社区网络进行降噪处理的步骤。具体而言,可以包括以下步骤:
步骤B1、对社区网络进行子图分割,得到至少两个第一子图。
在步骤B1中,在进行子图分割时,可以将社区网络中的各节点分别作为种子节点,执行:确定与种子节点之间的跳数(hops,即代表网络的成熟)不大于预设跳数的节点,将确定出的节点和该种子节点构成第一子图。例如,可以将距离种子节点一跳和二跳的节点与种子节点一起构成第一子图。采用这种方式,可以将社区网络划分为至少两个第一子图。
步骤B2、对得到的第一子图进行剪枝处理,得到第二子图。
在步骤B2中,可以将第一子图中节点度数小于预设度数的节点去除,得到第二子图。其中,节点度数指的是和该节点相关联的边的条数,又称为关联度。这种剪枝处理方式相当于将各第一子图中与其他节点的关联度较低的节点去除。除了这种剪枝方式之外,也可以采用其他剪枝方式,在此不进行赘述。
步骤B3、对得到的第二子图进行去重处理,得到目标社区网络;
至此,对各社区网络进行的降噪处理完毕。这样,在经过对社区网络进行降噪处理的步骤之后,得到目标社区网络,此时步骤104具体包括:
利用预先训练好的威胁告警识别模型对得到的多个目标社区网络进行识别。
可见,在上述图1所示过程中,通过基于获取到的网络拓扑结构图中多个节点产生的告警事件,构建异构网络图;并基于告警事件包括的告警类型和各节点之间的关联关系,由异构网络图进行社区划分得到多个社区网络;最后利用威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合。上述方案对获取到的告警事件进行社区划分,有利于分析出由威胁告警事件构成的威胁告警集合,如此可以在大量告警事件中确定出威胁告警事件,从而可以提高网络拓扑结构图中的其它节点的安全性。
如图2和图3所示,本发明实施例提供了一种告警事件分析装置所在设备和告警事件分析装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的告警事件分析装置所在设备的一种硬件结构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。
如图3所示,本实施例提供的告警事件分析装置,包括:
获取模块301,用于获取网络拓扑结构图中多个节点产生的告警事件;其中,所述告警事件包括告警类型和各节点之间的关联关系,所述关联关系是基于告警类型确定的;
构建模块302,用于基于获取到的多个节点产生的告警事件,构建异构网络图;其中,所述异构网络图包括所述多个节点;
划分模块303,用于基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络;
识别模块304,用于利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合;其中,所述威胁告警集合包括多个威胁告警事件。
在本发明实施例中,获取模块301可用于执行上述方法实施例中的步骤101,构建模块302可用于执行上述方法实施例中的步骤102,划分模块303可用于执行上述方法实施例中的步骤103,识别模块304可用于执行上述方法实施例中的步骤104。
在本发明的一个实施例中,所述告警事件还包括告警发生时间、告警恢复时间和告警级别;
所述关联关系进一步是通过如下方式确定的:
针对告警类型和告警级别均相同的节点,执行:
计算两个不同节点之间的告警发生时间的第一时间差值和告警恢复时间的第二时间差值;
如果所述第一时间差值不大于第一预设时间阈值且所述第二时间差值不大于第二预设时间阈值,则该两个不同节点之间具有关联关系。
在本发明的一个实施例中,所述划分模块303,用于执行如下操作:
基于所述告警事件包括的告警类型,将各不同的告警类型标记为不同的告警标签,以将所述告警标签存储在对应的节点中;
基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对所述异构网络图进行社区划分,得到多个社区网络。
在本发明的一个实施例中,所述社区发现算法包括:提供方-接收方标签传播算法;
所述划分模块303在执行所述基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对所述异构网络图进行社区划分,得到多个社区网络时,用于执行如下操作:
遍历所述异构网络图中的各节点,将当前遍历到的节点作为接收节点,该接收节点的邻居节点作为发送节点,并执行:将发送节点存储的告警标签中数量最多的告警标签发送给该接收节点,将该接收节点接收到的数量占比最多的告警标签添加至该接收节点存储的告警标签中;
若遍历次数达到预设的最大遍历次数,统计各节点存储的告警标签,将告警标签出现次数满足预设次数要求的告警标签作为该节点的社区标签;
将社区标签相同的节点构成同一个社区网络。
在本发明的一个实施例中,所述识别模块304,用于执行如下操作:
针对每一个社区网络,执行:
将该社区网络的图结构特征和节点特征作为输入,输入到预先训练好的威胁告警识别模型,输出该社区网络中的告警事件是否为威胁告警集合的识别结果;
其中,所述图结构特征包括社区网络所包含各节点的度中心性、中介中心性、紧密中心性、特征向量中心性和PageRank值中的至少一种;
所述节点特征包括在预设时长内的告警事件产生次数。
在本发明的一个实施例中,还包括:
子图分割模块,用于对社区网络进行子图分割,得到至少两个第一子图;
剪枝处理模块,用于对得到的第一子图进行剪枝处理,得到第二子图;
去重处理模块,用于对得到的第二子图进行去重处理,得到目标社区网络;
所述识别模块304,用于执行如下操作:
利用预先训练好的威胁告警识别模型对得到的多个目标社区网络进行识别。
在本发明的一个实施例中,所述子图分割模块,用于执行如下操作:
将社区网络中的各节点分别作为种子节点,执行:确定与种子节点之间的跳数不大于预设跳数的节点,将确定出的节点和该种子节点构成第一子图。
在本发明的一个实施例中,所述剪枝处理模块,用于执行如下操作:
将第一子图中节点度数小于预设度数节点去除,得到第二子图。
可以理解的是,本发明实施例示意的结构并不构成对告警事件分析装置的具体限定。在本发明的另一些实施例中,告警事件分析装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括:至少一个存储器和至少一个处理器;
至少一个存储器,用于存储机器可读程序;
至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的告警事件分析方法。
本发明实施例还提供了一种计算机可读存储介质,存储用于使一计算机执行如本文的告警事件分析方法的指令。具体地,可以提供配有存储介质的方法或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修复,或者对其中部分技术特征进行等同替换;而这些修复或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种告警事件分析方法,其特征在于,包括:
获取网络拓扑结构图中多个节点产生的告警事件;其中,所述告警事件包括告警类型和各节点之间的关联关系,所述关联关系是基于告警类型确定的;
基于获取到的多个节点产生的告警事件,构建异构网络图;其中,所述异构网络图包括所述多个节点;
基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络;
利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合;其中,所述威胁告警集合包括多个威胁告警事件;
所述告警事件还包括告警发生时间、告警恢复时间和告警级别;
所述关联关系进一步是通过如下方式确定的:
针对告警类型和告警级别均相同的节点,执行:
计算两个不同节点之间的告警发生时间的第一时间差值和告警恢复时间的第二时间差值;
如果所述第一时间差值不大于第一预设时间阈值且所述第二时间差值不大于第二预设时间阈值,则该两个不同节点之间具有关联关系。
2.根据权利要求1所述的方法,其特征在于,所述基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络,包括:
基于所述告警事件包括的告警类型,将各不同的告警类型标记为不同的告警标签,以将所述告警标签存储在对应的节点中;
基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对所述异构网络图进行社区划分,得到多个社区网络。
3.根据权利要求2所述的方法,其特征在于,所述社区发现算法包括:提供方-接收方标签传播算法;
所述基于各节点之间的关联关系和各节点存储的告警标签,利用社区发现算法对所述异构网络图进行社区划分,得到多个社区网络,包括:
遍历所述异构网络图中的各节点,将当前遍历到的节点作为接收节点,该接收节点的邻居节点作为发送节点,并执行:将发送节点存储的告警标签中数量最多的告警标签发送给该接收节点,将该接收节点接收到的数量占比最多的告警标签添加至该接收节点存储的告警标签中;
若遍历次数达到预设的最大遍历次数,统计各节点存储的告警标签,将告警标签出现次数满足预设次数要求的告警标签作为该节点的社区标签;
将社区标签相同的节点构成同一个社区网络。
4.根据权利要求2所述的方法,其特征在于,所述利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,包括:
针对每一个社区网络,执行:
将该社区网络的图结构特征和节点特征作为输入,输入到预先训练好的威胁告警识别模型,输出该社区网络中的告警事件是否为威胁告警集合的识别结果;
其中,所述图结构特征包括社区网络所包含各节点的度中心性、中介中心性、紧密中心性、特征向量中心性和PageRank值中的至少一种;
所述节点特征包括在预设时长内的告警事件产生次数。
5.根据权利要求1-4中任一项所述的方法,其特征在于,在所述得到多个社区网络之后和在所述利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别之前,还包括:
对社区网络进行子图分割,得到至少两个第一子图;
对得到的第一子图进行剪枝处理,得到第二子图;
对得到的第二子图进行去重处理,得到目标社区网络;
所述利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,包括:
利用预先训练好的威胁告警识别模型对得到的多个目标社区网络进行识别。
6.根据权利要求5所述的方法,其特征在于,
所述对社区网络进行子图分割,得到至少两个第一子图,包括:
将社区网络中的各节点分别作为种子节点,执行:确定与种子节点之间的跳数不大于预设跳数的节点,将确定出的节点和该种子节点构成第一子图;
和/或,
所述对得到的第一子图进行剪枝处理,得到第二子图,包括:
将第一子图中节点度数小于预设度数节点去除,得到第二子图。
7.一种告警事件分析装置,其特征在于,包括:
获取模块,用于获取网络拓扑结构图中多个节点产生的告警事件;其中,所述告警事件包括告警类型和各节点之间的关联关系,所述关联关系是基于告警类型确定的;
构建模块,用于基于获取到的多个节点产生的告警事件,构建异构网络图;其中,所述异构网络图包括所述多个节点;
划分模块,用于基于所述告警事件包括的告警类型和各节点之间的关联关系,对所述异构网络图进行社区划分,得到多个社区网络;
识别模块,用于利用预先训练好的威胁告警识别模型对得到的多个社区网络进行识别,得到威胁告警集合;其中,所述威胁告警集合包括多个威胁告警事件;
所述告警事件还包括告警发生时间、告警恢复时间和告警级别;
所述关联关系进一步是通过如下方式确定的:
针对告警类型和告警级别均相同的节点,执行:
计算两个不同节点之间的告警发生时间的第一时间差值和告警恢复时间的第二时间差值;
如果所述第一时间差值不大于第一预设时间阈值且所述第二时间差值不大于第二预设时间阈值,则该两个不同节点之间具有关联关系。
8.一种计算设备,其特征在于,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110650367.8A CN113259176B (zh) | 2021-06-11 | 2021-06-11 | 一种告警事件分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110650367.8A CN113259176B (zh) | 2021-06-11 | 2021-06-11 | 一种告警事件分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113259176A CN113259176A (zh) | 2021-08-13 |
| CN113259176B true CN113259176B (zh) | 2021-10-08 |
Family
ID=77187560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110650367.8A Active CN113259176B (zh) | 2021-06-11 | 2021-06-11 | 一种告警事件分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113259176B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114760113B (zh) * | 2022-03-30 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常告警检测方法、装置及电子设备和存储介质 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN115426246B (zh) * | 2022-09-01 | 2024-05-14 | 中国农业银行股份有限公司 | 告警处理方法、装置、服务器及存储介质 |
| CN115514580B (zh) * | 2022-11-11 | 2023-04-07 | 华中科技大学 | 一种自编码器溯源入侵检测方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189736A (zh) * | 2018-08-01 | 2019-01-11 | 中国联合网络通信集团有限公司 | 一种告警关联规则的生成方法和装置 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN110572364A (zh) * | 2019-08-06 | 2019-12-13 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中威胁告警的实现方法 |
| CN110598180A (zh) * | 2019-08-30 | 2019-12-20 | 国家电网有限公司 | 一种基于统计分析的事件检测方法、装置及系统 |
| CN111935074A (zh) * | 2020-06-22 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种一体化网络安全检测方法及装置 |
| CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控系统网络威胁的量化方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
| CN112612669A (zh) * | 2020-11-25 | 2021-04-06 | 中国大唐集团科学技术研究院有限公司 | 一种基于态势感知的基础设施监测预警方法及系统 |
-
2021
- 2021-06-11 CN CN202110650367.8A patent/CN113259176B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109189736A (zh) * | 2018-08-01 | 2019-01-11 | 中国联合网络通信集团有限公司 | 一种告警关联规则的生成方法和装置 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN110572364A (zh) * | 2019-08-06 | 2019-12-13 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中威胁告警的实现方法 |
| CN110598180A (zh) * | 2019-08-30 | 2019-12-20 | 国家电网有限公司 | 一种基于统计分析的事件检测方法、装置及系统 |
| CN111935074A (zh) * | 2020-06-22 | 2020-11-13 | 国网电力科学研究院有限公司 | 一种一体化网络安全检测方法及装置 |
| CN112819336A (zh) * | 2021-02-03 | 2021-05-18 | 国家电网有限公司 | 一种基于电力监控系统网络威胁的量化方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113259176A (zh) | 2021-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113259176B (zh) | 一种告警事件分析方法和装置 | |
| US11438212B2 (en) | Fault root cause analysis method and apparatus | |
| CN110147387B (zh) | 一种根因分析方法、装置、设备及存储介质 | |
| US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN111726248A (zh) | 一种告警根因定位方法及装置 | |
| CN109818961B (zh) | 一种网络入侵检测方法、装置和设备 | |
| CN112148772A (zh) | 告警根因识别方法、装置、设备和存储介质 | |
| US20200021511A1 (en) | Performance analysis for transport networks using frequent log sequence discovery | |
| CN112926990A (zh) | 欺诈识别的方法和装置 | |
| CN111090807B (zh) | 一种基于知识图谱的用户识别方法及装置 | |
| CN112487033A (zh) | 一种面向数据流及构建网络拓扑的业务可视化方法及系统 | |
| CN112615888B (zh) | 一种网络攻击行为的威胁评估方法及装置 | |
| CN111669281B (zh) | 告警分析方法、装置、设备及存储介质 | |
| US10884805B2 (en) | Dynamically configurable operation information collection | |
| CN111431819A (zh) | 一种基于序列化的协议流特征的网络流量分类方法和装置 | |
| CN113572719B (zh) | 一种域名检测方法、装置、设备及可读存储介质 | |
| CN116756327A (zh) | 基于知识推断的威胁情报关系抽取方法、装置和电子设备 | |
| CN113240139B (zh) | 告警因果评估方法、故障根因定位方法及电子设备 | |
| CN111159577A (zh) | 一种社群划分方法、装置、存储介质及电子装置 | |
| CN111224984A (zh) | 一种基于数据挖掘算法的Snort改进方法 | |
| CN111162945B (zh) | 一种告警关联关系的确定方法、装置、设备及存储介质 | |
| CN112070161A (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
| CN116668264A (zh) | 一种告警聚类的根因分析方法、装置、设备及存储介质 | |
| CN116094850A (zh) | 基于系统状态追踪图引导的网络协议漏洞检测方法及系统 | |
| CN114760113B (zh) | 一种异常告警检测方法、装置及电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195 Patentee after: Changyang Technology (Beijing) Co.,Ltd. Address before: 100195 room 01, 2 / F, building 103, 3 minzhuang Road, Haidian District, Beijing Patentee before: CHANGYANG TECH (BEIJING) Co.,Ltd. |
|
| CP03 | Change of name, title or address |