CN113315785B - 一种告警消减方法、装置、设备和计算机可读存储介质 - Google Patents
一种告警消减方法、装置、设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN113315785B CN113315785B CN202110700500.6A CN202110700500A CN113315785B CN 113315785 B CN113315785 B CN 113315785B CN 202110700500 A CN202110700500 A CN 202110700500A CN 113315785 B CN113315785 B CN 113315785B
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- traffic
- alarm information
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种告警消减方法、装置、设备和介质,获取初始的攻击流量;提取攻击流量的特征参数;其中,特征参数可以用于表征攻击流量的分布特征。不同分布特征有其对应的消减方式,因此可以依据不同分布特征对应的消减方式设置攻击行为筛选条件。在提取得到攻击流量的特征参数后,可以将特征参数与攻击行为筛选条件进行比较,从而基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减,以降低误报。在该技术方案中,在传统检测攻击行为得到攻击流量的基础上,进一步对攻击流量的分布特征进行分析,可以有效的识别出并非包含真正的攻击行为的攻击流量,通过对告警信息进行消减可以降低错误告警的产生。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种告警消减方法、装置、设备和计算机可读存储介质。
背景技术
网络安全是指通过采用各种技术和管理措施,使网络系统正常运行,确保网络数据的可用性、完整性和保密性。为了保证网络系统的安全性,基于设定的关键字词对网络系统的网络流量进行匹配,通过告警的方式及时向用户或管理人员反馈网络中存在的攻击行为。
但是目前存在正常业务的网络流量与真实攻击本身的表现形态相仿的场景,这类场景下会导致将正常业务的网络流量误判为存在攻击行为,从而造成大量错误告警。在实际应用中,也会存在出现频率高且有效攻击少的场景,按照目前的攻击行为检测方式每检测到一次攻击行为就会进行一次告警,从而产生大量无意义的告警。并且对于一些特定场景,如用户自身业务开发不规范,导致网络流量中存在攻击特征,该类网络流量是正常的用户行为而非攻击行为,但是通过设定的关键字词匹配无法识别该类场景为正常的业务流程,容易造成连续大量的错误告警。
可见,如何减少错误告警的数量,是本领域技术人员需要解决的问题。
发明内容
本申请实施例的目的是提供一种告警消减方法、装置、设备和计算机可读存储介质,可以减少错误告警的数量。
为解决上述技术问题,本申请实施例提供一种告警消减方法,包括:
获取初始的攻击流量;
提取所述攻击流量的特征参数;其中,所述特征参数用于表征所述攻击流量的分布特征;
基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减;其中,所述攻击行为筛选条件包含不同分布特征对应的消减方式。
可选地,所述特征参数包括攻击方向和攻击阶段;相应的,所述攻击行为筛选条件包含各攻击方向及其匹配的攻击阶段;
所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括:
基于所述攻击行为筛选条件选取出攻击方向和攻击阶段不匹配的目标攻击流量;删除所述目标攻击流量对应的告警信息。
可选地,所述特征参数包括攻击类型和攻击内容;相应的,所述攻击行为筛选条件包含基于攻击类型和攻击内容设置的聚合方式;
所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括:
利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式,对所述特征参数对应的告警信息进行消减。
可选地,所述攻击内容包括有效攻击载荷、攻击结果和攻击时间;所述利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式,对所述特征参数对应的告警信息进行消减包括:
依据所述攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总;
将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。
可选地,在所述依据所述攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总之后还包括:
将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为成功的攻击流量各自生成相应的告警信息。
可选地,所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括:
将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除。
可选地,所述业务流量特征包括业务流量的产生时间、流量来源和流量类型;相应的,所述将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除包括:
将预设时间段内同一目的地址对应的具有不同流量来源且流量类型相同的攻击流量对应的告警信息进行删除。
可选地,所述将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除包括:
将所述攻击流量中满足服务器访问关系的攻击流量对应的告警信息进行删除。
本申请实施例提供了一种告警消减装置,包括获取单元、提取单元和消减单元;
所述获取单元,用于获取初始的攻击流量;
所述提取单元,用于提取所述攻击流量的特征参数;其中,所述特征参数用于表征所述攻击流量的分布特征;
所述消减单元,用于基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减;其中,所述攻击行为筛选条件包含不同分布特征对应的消减方式。
可选地,所述特征参数包括攻击方向和攻击阶段;相应的,所述攻击行为筛选条件包含各攻击方向及其匹配的攻击阶段;
所述消减单元包括选取子单元和删除子单元;
所述选取子单元,用于基于所述攻击行为筛选条件选取出攻击方向和攻击阶段不匹配的目标攻击流量;
所述删除子单元,用于删除所述目标攻击流量对应的告警信息。
可选地,所述特征参数包括攻击类型和攻击内容;相应的,所述攻击行为筛选条件包含基于攻击类型和攻击内容设置的聚合方式;
所述消减单元用于利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式,对所述特征参数对应的告警信息进行消减。
可选地,所述攻击内容包括有效攻击载荷、攻击结果和攻击时间;所述消减单元包括汇总子单元和生成子单元;
所述汇总子单元,用于依据所述攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总;
所述生成子单元,用于将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。
可选地,所述生成子单元还用于将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为成功的攻击流量各自生成相应的告警信息。
可选地,所述消减单元用于将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除。
可选地,所述业务流量特征包括业务流量的产生时间、流量来源和流量类型;相应的,所述消减单元用于将预设时间段内同一目的地址对应的具有不同流量来源且流量类型相同的攻击流量对应的告警信息进行删除。
可选地,所述消减单元用于将所述攻击流量中满足服务器访问关系的攻击流量对应的告警信息进行删除。
本申请实施例还提供了一种告警消减设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述任意一项所述告警消减方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述告警消减方法的步骤。
由上述技术方案可以看出,获取初始的攻击流量;提取攻击流量的特征参数;其中,特征参数可以用于表征攻击流量的分布特征。不同分布特征有其对应的消减方式,因此在该技术方案中,可以依据不同分布特征对应的消减方式设置攻击行为筛选条件。在提取得到攻击流量的特征参数后,可以将特征参数与攻击行为筛选条件进行比较,从而基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减,以降低误报。在该技术方案中,在传统检测攻击行为得到攻击流量的基础上,进一步对攻击流量的分布特征进行分析,可以有效的识别出并非包含真正的攻击行为的攻击流量,通过对告警信息进行消减可以降低错误告警的产生。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种告警消减的场景示意图;
图2为本申请实施例提供的一种告警消减方法的流程图;
图3为本申请实施例提供的一种告警消减装置的结构示意图;
图4为本申请实施例提供的一种告警消减设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
目前对于攻击行为的检测采用关键字词匹配的方式,在检测网络流量存在攻击行为的情况下生成告警信息。但是目前存在正常业务的网络流量与真实攻击本身的表现形态相仿的场景,这类场景下会导致将正常业务的网络流量误判为存在攻击行为,从而造成大量错误告警。对于一些出现频率高但有效攻击少的场景,会产生大量无意义的告警。此外对于一些特定场景,如用户自身业务开发不规范,导致网络流量中存在攻击特征,通过设定的关键字词匹配无法识别该类场景为正常的业务流程,容易生成连续大量的错误告警。
故此,本申请实施例提供了一种告警消减方法、装置、设备和计算机可读存储介质,用于消减错误告警的数量。图1为本申请实施例提供的一种告警消减的场景示意图,在获取到初始的攻击流量之后,可以提取攻击流量的特征参数。攻击流量可以基于目前的攻击行为检测方式从网络流量中筛选得到。特征参数用于表征攻击流量的分布特征,不同分布特征有其对应的消减方式。在本申请实施例中,为了实现对特征参数的分析,可以基于不同分布特征对应的消减方式设置攻击行为筛选条件。基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减,以此降低错误告警的产生。
接下来,详细介绍本申请实施例所提供的一种告警消减方法。图2为本申请实施例提供的一种告警消减方法的流程图,该方法包括:
S201:获取初始的攻击流量。
攻击流量可以基于目前的攻击行为检测方式从网络流量中筛选得到。目前常用的攻击行为检测方式可以包括特征规则匹配、算法模型识别和异常流量分析等,各检测方式的实现原理可以参见现有技术,在此不再赘述。
S202:提取攻击流量的特征参数。
特征参数可以用于表征攻击流量的分布特征。在传统检测攻击行为得到攻击流量的基础上,进一步对攻击流量的分布特征进行分析,可以有效的识别出并非包含真正的攻击行为的攻击流量。
攻击流量的分布特征可以从多个层面考虑。在本申请实施例中,可以从攻击方向和攻击阶段;攻击类型和攻击内容;业务流量的分布特性这三个方面对攻击流量的分布特征进行分析。
S203:基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减。
其中,攻击行为筛选条件可以包含不同分布特征对应的消减方式。
在本申请实施例中,可以将各攻击流量的特征参数与设定的攻击行为筛选条件进行比较,从而有效的识别出并非包含真正的攻击行为的目标攻击流量,通过对目标攻击流量对应的告警信息进行消减可以降低错误告警的产生。
由上述技术方案可以看出,获取初始的攻击流量;提取攻击流量的特征参数;其中,特征参数可以用于表征攻击流量的分布特征。不同分布特征有其对应的消减方式,因此在该技术方案中,可以依据不同分布特征对应的消减方式设置攻击行为筛选条件。在提取得到攻击流量的特征参数后,可以将特征参数与攻击行为筛选条件进行比较,从而基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减,以降低误报。在该技术方案中,在传统检测攻击行为得到攻击流量的基础上,进一步对攻击流量的分布特征进行分析,可以有效的识别出并非包含真正的攻击行为的攻击流量,通过对告警信息进行消减可以降低错误告警的产生。
不同的分布特征对应的消减方式不同,接下来将从攻击方向和攻击阶段;攻击类型和攻击内容;业务流量的分布特性这三个方面各自对应的消减方式为例展开介绍。
以攻击方向和攻击阶段为例,考虑到不同的攻击阶段有其对应的攻击方向,当攻击流量中存在攻击行为时其攻击方向和攻击阶段必然匹配。因此在本申请实施例中,提取的特征参数可以包括攻击方向和攻击阶段,相应的,可以预先依据各攻击方向及其相匹配的攻击阶段设置攻击行为筛选条件。基于攻击行为筛选条件可以选取出攻击流量中攻击方向和攻击阶段不匹配的目标攻击流量,从而删除目标攻击流量对应的告警信息。
攻击方向可以包括外网向内网攻击,内网向外网攻击、或者内网之间的攻击。
攻击阶段可以包括遭受攻击、权限控制、内网扩散、黑产牟利这四个大的阶段。遭受攻击为攻击者获取用户边界服务器权限前的攻击行为;权限控制为攻击者已经获取服务器控制权限后的攻击行为;内网扩散为攻击者进入用户内网,横向攻击其他内网服务器资产的攻击行为;黑产牟利为攻击者已获取目标核心服务器后向外传输数据或进行僵尸网络类型攻击的行为。
不同的攻击阶段有其对应的攻击方向,在攻击流量中存在攻击行为的情况下其攻击方向和攻击阶段必然匹配。在攻击流量中存在攻击方向和攻击阶段不匹配的目标攻击流量的情况下,说明存在攻击行为的误报,此时可以将目标攻击流量对应的告警信息进行删除。
举例说明,若一个攻击行为属于遭受攻击阶段,该阶段往往发生在外网对内网,或者内网对外网的攻击场景,其中,外网指的是属于用户资产的外网。若实际攻击方向为内网到外网,且外网不属于用户资产,则大概率为误报告警,可以将该类告警信息直接删除。
在本申请实施例中,为了便于管理人员及时发现网络系统中存在的攻击行为,可以将特征参数不满足攻击行为筛选条件的目标攻击流量对应的告警信息进行删除,可以对特征参数满足攻击行为筛选条件的攻击流量生成告警信息。
在本申请实施例中,依据攻击方向及其相匹配的攻击阶段设置攻击行为筛选条件。在提取得到攻击流量的特征参数后,可以将特征参数与攻击行为筛选条件进行比较,在特征参数中存在不满足攻击行为筛选条件的目标攻击流量的情况下,说明该目标攻击流量可能属于正常的业务流量,并非包含真正的攻击行为,为了降低误报可以将目标攻击流量对应的告警信息进行删除。在该技术方案中,通过对攻击流量中攻击方向和攻击阶段进行分析,可以有效的识别出并非包含真正的攻击行为的目标攻击流量,删除目标攻击流量的告警信息可以降低错误告警的产生。
以攻击类型和攻击内容为例,提取的特征参数可以包括攻击类型和攻击内容;相应的,攻击行为筛选条件可以包含基于攻击类型和攻击内容设置的聚合方式。在实际应用中,可以利用攻击行为筛选条件中与特征参数匹配的目标聚合方式,对特征参数对应的告警信息进行消减。
在本申请实施例中,为了更加全面的检测误报情况,提取的攻击内容可以包括有效攻击载荷和攻击结果。在实际应用中,可以将具有相同源地址和相同目的地址的攻击流量进行汇总;将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。
考虑到攻击行为具有偶发性,同一个源地址往往不会在短时间内对同一个目的地址产生大量同类型的攻击,因此可以依据攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总。为了提升检测的准确性,攻击内容除了包括有效攻击载荷和攻击结果外,还可以包括攻击时间。
攻击类型多种多样,可以包括浏览器攻击、暴力破解、拒绝服务攻击、恶意软件攻击等,在此对于攻击类型不做限定。
有效攻击载荷(PAYLOAD)指攻击流量中,对攻击行为起到决定性作用的数据片段。通常该数据片段具备破坏系统完整性,获取系统权限等功能。
攻击结果可以分为攻击成功和攻击失败。
时间范围可以基于实际需求设置,在此不做限定。
攻击流量中包含有源地址和目的地址,地址可以为互联网协议地址(InternetProtocol Address,IP地址)。
攻击结果为失败,说明该攻击行为对网络系统造成的威胁较低,因此可以将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。
攻击结果为成功,说明该攻击行为对网络系统会造成较高的威胁,因此可以将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为成功的攻击流量各自生成相应的告警信息。
在本申请实施例中,通过对具有相同源地址和相同目的地址的攻击流量进行汇总,并且基于攻击类型、有效攻击载荷以及攻击结果的分析,可以将大量无意义的告警信息聚合为一条告警性,有效的减少了无意义告警信息产生的数量。对于攻击成功的各攻击流量则生成各自对应的告警信息,以免遗漏对网络系统安全威胁较高的攻击行为。
以业务流量的分布特性为例,考虑到实际应用中,可能会存在由于系统自身业务不规范导致产生与攻击行为相似的特征,为了减少误报,可以预先设置正常的业务流量对应的业务流量特征,从而可以将攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除。
在本申请实施例中,业务流量特征可以包括业务流量的产生时间、流量来源和流量类型。
流量来源可以是发起请求的来源,可以采用发起请求的源地址区分不同的流量来源。流量类型可以是系统执行的操作类型。
考虑到不同的攻击行为存在独立性,不同的攻击者一般不会对同一个设备进行同类型的攻击,因此,在本申请实施例中,可以将预设时间段内同一目的地址对应的具有不同流量来源且流量类型相同的攻击流量对应的告警信息进行删除。
预设时间段可以依据实际需求设置,例如,可以设置为一周或一个月等,此在不做限定。
举例说明,若检测到某资产连续的遭受不同流量来源的攻击行为,且所有攻击行为的攻击类型都为同一类型,则说明攻击流量极有可能是系统业务不规范所产生的业务流量,并非属于攻击行为,此时可以将该攻击流量对应的告警信息删除。
在本申请实施例中,除了基于业务流量的产生时间、流量来源和流量类型设置业务流量特征外,还可以基于服务器访问关系设置业务流量特征。
服务器访问关系可以是网络系统中各服务器之间的连接关系。正常的业务流量所涉及的访问关系必然符合服务器访问关系。在实际应用中,可以将攻击流量中包含的访问关系与服务器访问关系进行比较,对于满足服务器访问关系的攻击流量,说明该攻击流量属于正常的业务流量,无需执行告警,因此可以将攻击流量中满足服务器访问关系的攻击流量对应的告警信息进行删除。
在本申请实施例中,通过将攻击流量与业务流量特征进行比较,可以有效的识别业务不规范产生的告警信息,将该告警信息删除,从而降低系统的误报。
需要说明的是,上述实施例中从攻击方向和攻击阶段;攻击类型和攻击内容;业务流量的分布特性这三个方面对攻击流量的分布特征进行分析,从而实现告警信息的消减。在实际应用中,可以对这三个方面单独进行分析,也可以相互配合。
相互配合的方式可以有多种,可以对三个方面综合分析,也可以对任意两个方面综合分析。对三个方面综合分析和对任意两个方面综合分析的实现方式类似,以三个方面综合分析为例,可以依次对攻击流量的特征参数进行攻击方向和攻击阶段;攻击类型和攻击内容;业务流量的分布特性这三方面的分析。也可以同时对攻击流量的特征参数进行攻击方向和攻击阶段;攻击类型和攻击内容;业务流量的分布特性这三方面的分析。
以依次对攻击流量的特征参数进行攻击方向和攻击阶段;攻击类型和攻击内容;业务流量的分布特性这三方面的分析为例,可以先将攻击方向和攻击阶段不匹配的目标攻击流量对应的告警信息进行删除。对于剩余的攻击流量,可以依据攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总;将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为成功的攻击流量各自生成相应的告警信息。在进行了告警信息的删除和聚合之后,可以进一步对剩余的攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除。
在本申请实施例中,对攻击流量的分布特征进行分析的方式可以灵活设置,既可以从某一方面进行分析如攻击方向和攻击阶段,攻击类型和攻击内容或者业务流量的分布特性等。也可以从任意多个方面对攻击流量的分布特征进行分析,从而更加全面的识别出并非包含真正的攻击行为的攻击流量,通过对告警信息进行消减可以降低错误告警的产生。
图3为本申请实施例提供的一种告警消减装置的结构示意图,包括获取单元31、提取单元32和消减单元33;
获取单元31,用于获取初始的攻击流量;
提取单元32,用于提取攻击流量的特征参数;其中,特征参数用于表征攻击流量的分布特征;
消减单元33,用于基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减;其中,攻击行为筛选条件包含不同分布特征对应的消减方式。
可选地,特征参数包括攻击方向和攻击阶段;相应的,攻击行为筛选条件包含各攻击方向及其匹配的攻击阶段;消减单元包括选取子单元和删除子单元;
选取子单元,用于基于攻击行为筛选条件选取出攻击方向和攻击阶段不匹配的目标攻击流量;
删除子单元,用于删除目标攻击流量对应的告警信息。
可选地,特征参数包括攻击类型和攻击内容;相应的,攻击行为筛选条件包含基于攻击类型和攻击内容设置的聚合方式;
消减单元用于利用攻击行为筛选条件中与特征参数匹配的目标聚合方式,对特征参数对应的告警信息进行消减。
可选地,攻击内容包括有效攻击载荷、攻击结果和攻击时间;消减单元包括汇总子单元和生成子单元;
汇总子单元,用于依据攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总;
生成子单元,用于将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。
可选地,生成子单元还用于将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为成功的攻击流量各自生成相应的告警信息。
可选地,消减单元,用于将攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除。
可选地,业务流量特征包括业务流量的产生时间、流量来源和流量类型;相应的,消减单元用于将预设时间段内同一目的地址对应的具有不同流量来源且流量类型相同的攻击流量对应的告警信息进行删除。
可选地,消减单元用于将攻击流量中满足服务器访问关系的攻击流量对应的告警信息进行删除。
图3所对应实施例中特征的说明可以参见图2所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,获取初始的攻击流量;提取攻击流量的特征参数;其中,特征参数可以用于表征攻击流量的分布特征。不同分布特征有其对应的消减方式,因此在该技术方案中,可以依据不同分布特征对应的消减方式设置攻击行为筛选条件。在提取得到攻击流量的特征参数后,可以将特征参数与攻击行为筛选条件进行比较,从而基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减,以降低误报。在该技术方案中,在传统检测攻击行为得到攻击流量的基础上,进一步对攻击流量的分布特征进行分析,可以有效的识别出并非包含真正的攻击行为的攻击流量,通过对告警信息进行消减可以降低错误告警的产生。
图4为本申请实施例提供的一种告警消减设备40的结构示意图,包括:
存储器41,用于存储计算机程序;
处理器42,用于执行计算机程序以实现如上述任意一项告警消减方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述任意一项告警消减方法的步骤。
以上对本申请实施例所提供的一种告警消减方法、装置、设备和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
Claims (11)
1.一种告警消减方法,其特征在于,包括:
获取初始的攻击流量;
提取所述攻击流量的特征参数;其中,所述特征参数用于表征所述攻击流量的分布特征;
基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减,以消减掉非攻击行为的攻击流量对应的告警信息;其中,所述攻击行为筛选条件包含不同分布特征对应的消减方式。
2.根据权利要求1所述的告警消减方法,其特征在于,所述特征参数包括攻击方向和攻击阶段;相应的,所述攻击行为筛选条件包含各攻击方向及其匹配的攻击阶段;
所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括:
基于所述攻击行为筛选条件选取出攻击方向和攻击阶段不匹配的目标攻击流量;删除所述目标攻击流量对应的告警信息。
3.根据权利要求1所述的告警消减方法,其特征在于,所述特征参数包括攻击类型和攻击内容;相应的,所述攻击行为筛选条件包含基于攻击类型和攻击内容设置的聚合方式;
所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括:
利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式,对所述特征参数对应的告警信息进行消减。
4.根据权利要求3所述的告警消减方法,其特征在于,所述攻击内容包括有效攻击载荷、攻击结果和攻击时间;所述利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式,对所述特征参数对应的告警信息进行消减包括:
依据所述攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总;
将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。
5.根据权利要求4所述的告警消减方法,其特征在于,在所述依据所述攻击流量对应的攻击时间,将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总之后还包括:
将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为成功的攻击流量各自生成相应的告警信息。
6.根据权利要求1所述的告警消减方法,其特征在于,所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括:
将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除。
7.根据权利要求6所述的告警消减方法,其特征在于,所述业务流量特征包括业务流量的产生时间、流量来源和流量类型;相应的,所述将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除包括:
将预设时间段内同一目的地址对应的具有不同流量来源且流量类型相同的攻击流量对应的告警信息进行删除。
8.根据权利要求6所述的告警消减方法,其特征在于,所述将所述攻击流量中满足设定的业务流量特征的攻击流量对应的告警信息进行删除包括:
将所述攻击流量中满足服务器访问关系的攻击流量对应的告警信息进行删除。
9.一种告警消减装置,其特征在于,包括获取单元、提取单元和消减单元;
所述获取单元,用于获取初始的攻击流量;
所述提取单元,用于提取所述攻击流量的特征参数;其中,所述特征参数用于表征所述攻击流量的分布特征;
所述消减单元,用于基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减,以消减掉非攻击行为的攻击流量对应的告警信息;其中,所述攻击行为筛选条件包含不同分布特征对应的消减方式。
10.一种告警消减设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至8任意一项所述告警消减方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任意一项所述告警消减方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110700500.6A CN113315785B (zh) | 2021-06-23 | 2021-06-23 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110700500.6A CN113315785B (zh) | 2021-06-23 | 2021-06-23 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113315785A CN113315785A (zh) | 2021-08-27 |
| CN113315785B true CN113315785B (zh) | 2023-05-12 |
Family
ID=77380359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110700500.6A Active CN113315785B (zh) | 2021-06-23 | 2021-06-23 | 一种告警消减方法、装置、设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113315785B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904815B (zh) * | 2021-09-22 | 2024-05-28 | 深信服科技股份有限公司 | 一种告警聚合方法、装置、设备及计算机存储介质 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209829A (zh) * | 2016-07-05 | 2016-12-07 | 杨林 | 一种基于告警策略的网络安全管理系统 |
| CN107181604A (zh) * | 2016-03-09 | 2017-09-19 | 华为技术有限公司 | 一种告警关联规则的生成方法、告警压缩方法以及装置 |
| CN111756720A (zh) * | 2020-06-16 | 2020-10-09 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7543190B2 (en) * | 2006-06-28 | 2009-06-02 | Walker Don H | System and method for detecting false positive information handling system device connection errors |
| CN107562720B (zh) * | 2017-08-08 | 2020-09-25 | 国网浙江桐庐县供电公司 | 一种电力信息网络安全联动防御的告警数据匹配方法 |
| CN109992484B (zh) * | 2018-01-02 | 2023-09-19 | 中国移动通信有限公司研究院 | 一种网络告警相关性分析方法、装置和介质 |
| CN110149350B (zh) * | 2019-06-24 | 2021-11-05 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110661659B (zh) * | 2019-09-23 | 2022-06-21 | 上海艾融软件股份有限公司 | 一种告警方法、装置、系统及电子设备 |
| CN110855648B (zh) * | 2019-11-04 | 2021-11-19 | 腾讯科技(深圳)有限公司 | 一种网络攻击的预警控制方法及装置 |
| CN111262730B (zh) * | 2020-01-10 | 2022-08-30 | 中国银联股份有限公司 | 一种告警信息的处理方法及装置 |
-
2021
- 2021-06-23 CN CN202110700500.6A patent/CN113315785B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181604A (zh) * | 2016-03-09 | 2017-09-19 | 华为技术有限公司 | 一种告警关联规则的生成方法、告警压缩方法以及装置 |
| CN106209829A (zh) * | 2016-07-05 | 2016-12-07 | 杨林 | 一种基于告警策略的网络安全管理系统 |
| CN111756720A (zh) * | 2020-06-16 | 2020-10-09 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113315785A (zh) | 2021-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| US20160226893A1 (en) | Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof | |
| US20120311562A1 (en) | Extendable event processing | |
| CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN111756759A (zh) | 一种网络攻击溯源方法、装置及设备 | |
| CN105678193B (zh) | 一种防篡改的处理方法和装置 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| US10951645B2 (en) | System and method for prevention of threat | |
| CN115361235B (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN113132316A (zh) | 一种Web攻击检测方法、装置、电子设备及存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN112953895A (zh) | 一种攻击行为检测方法、装置、设备及可读存储介质 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN114826727B (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN115967633A (zh) | 面向动态数据的网络行为分析及态势感知系统和方法 | |
| CN114124453B (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| US20220014501A1 (en) | Method and device for monitoring data output by a server | |
| CN111147497B (zh) | 一种基于知识不对等的入侵检测方法、装置以及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |