CN113377624A - 信息安全告警方法、装置和电子设备 - Google Patents
信息安全告警方法、装置和电子设备 Download PDFInfo
- Publication number
- CN113377624A CN113377624A CN202110748658.0A CN202110748658A CN113377624A CN 113377624 A CN113377624 A CN 113377624A CN 202110748658 A CN202110748658 A CN 202110748658A CN 113377624 A CN113377624 A CN 113377624A
- Authority
- CN
- China
- Prior art keywords
- statistical
- data
- target
- preset
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000012545 processing Methods 0.000 claims abstract description 71
- 238000001914 filtration Methods 0.000 claims description 7
- 230000002776 aggregation Effects 0.000 claims description 5
- 238000004220 aggregation Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 10
- 241000700605 Viruses Species 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Alarm Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种信息安全告警方法、装置和电子设备,获取预先配置的统计指标;统计指标配置有一个或多个数据源;根据数据源对应的初始数据,确定统计指标对应的目标数据;根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;如果统计结果满足预设的告警条件,按照预设内容进行告警处理。该方式中,通过配置有一个或多个数据源的统计指标,可以对多个数据源之间的数据进行比较计算,实现了复杂的告警需求的安全检测,提高了信息安全检测的准确性。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其是涉及一种信息安全告警方法、装置和电子设备。
背景技术
目前互联网中各种信息安全问题日益突出,网络安全事件频发,造成的影响和损失也越来越大,因此需要对互联网中的上网数据进行安全检测,以及时规避或降低由于安全事件未能及时处理带来的风险和损失。相关技术中,通常利用规则告警引擎技术,通过多样化的规则,针对一种数据源中的数据进行分析,并根据分析结果,进行告警处理,以使相关人员能够提前预警。但是这种方式,只适用于简单的告警需求,无法解决多数据源或多场景之间的比较计算,导致复杂的告警需求无法检测,降低了信息安全检测的准确性。
发明内容
有鉴于此,本发明的目的在于提供一种信息安全告警方法、装置和电子设备,可以对多数据源和多场景之间的安全信息的进行告警,提高了信息安全检测的准确性。
第一方面,本发明实施例提供了一种信息安全告警方法,包括:获取预先配置的统计指标;统计指标配置有一个或多个数据源;根据数据源对应的初始数据,确定统计指标对应的目标数据;根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;如果统计结果满足预设的告警条件,按照预设内容进行告警处理。
进一步的,根据数据源对应的初始数据,确定统计指标对应的目标数据的步骤,包括:根据预先设置的过滤条件,从指定数据库中,获取数据源对应的初始数据;如果统计指标配置有一个数据源,将数据源对应的初始数据,确定为统计指标对应的目标数据;如果统计指标配置有多个数据源,根据预先配置的关联运算方式,在多个初始数据中的指定数据之间进行关联运算,得到关联数据源对应的目标数据。
进一步的,根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果的步骤,包括:如果目标数据包括日志数据,根据预先配置的日志数据对应的统计方式,每隔指定时间,对指定时间内的日志数据进行统计处理,得到统计指标的统计结果;其中,日志数据对应的统计方式至少包括:聚合统计、以及计数统计中的一种。
进一步的,根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果的步骤,包括:如果目标数据包括数据报表,根据预先配置的数据报表对应的统计方式,每隔指定时间,对指定时间内的数据报表中的字段进行统计处理,得到统计指标的统计结果;其中,数据报表对应的统计方式至少包括:聚合统计、计数统计、计算平均值、求和、计算最大值、计算最小值中的一种。
进一步的,如果统计指标配置有一个数据源,根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果步骤之后,上述方法还包括:根据预先配置的分组方式,对统计结果进行分组处理,得到统计结果中目标字段的值。
进一步的,统计指标包括一个或多个;如果统计结果满足预设的告警条件,按照预设内容进行告警处理的步骤,包括:根据预先配置的指标条件,从统计指标中确定目标统计指标;目标统计指标包括一个或多个;根据目标统计指标,确定目标统计指标对应的目标统计结果;如果在预设统计时间内,目标统计结果满足预设的告警条件,按照预设内容进行告警处理。
进一步的,上述告警条件包括第一预设阈值;如果在预设统计时间内,目标统计结果满足预设的告警条件,按照预设内容进行告警处理的步骤,包括:如果目标统计指标包括一个,统计在预设统计时间内,目标统计指标对应的最终统计结果;如果最终统计结果,满足第一预设阈值,按照第一预设内容进行告警处理;其中,第一预设内容包括:目标统计指标对应的最终统计结果中的目标字段,或目标统计指标的指标名称。
进一步的,上述告警条件包括第二预设阈值;如果在预设统计时间内,目标统计结果满足预设的告警条件,按照预设内容进行告警处理的步骤,包括:如果目标统计指标包括多个,统计在预设统计时间内,每个目标统计指标对应的中间统计结果;按照预先配置的规则运算方式,在多个中间统计结果之间进行规则运算,得到多个目标统计指标对应的最终统计结果;如果最终统计结果,满足第二预设阈值,按照第二预设内容进行告警处理;第二预设内容包括规则运算值。
第二方面,本发明实施例提供了一种信息安全告警装置,包括:获取模块,用于获取预先配置的统计指标;统计指标配置有一个或多个数据源;确定模块,用于根据数据源对应的初始数据,确定统计指标对应的目标数据;统计模块,用于根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;告警模块,用于如果统计结果满足预设的告警条件,按照预设内容进行告警处理。
第三方面,本发明实施例提供了一种电子设备,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现第一方面任一项的信息安全告警方法。
本发明实施例带来了以下有益效果:
本发明提供了一种信息安全告警方法、装置和电子设备,获取预先配置的统计指标;统计指标配置有一个或多个数据源;根据数据源对应的初始数据,确定统计指标对应的目标数据;根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;如果统计结果满足预设的告警条件,按照预设内容进行告警处理。该方式中,通过配置有一个或多个数据源的统计指标,可以对多个数据源之间的数据进行比较计算,实现了复杂的告警需求的安全检测,提高了信息安全检测的准确性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种信息安全告警方法的流程图;
图2为本发明实施例提供的一种部分信息的配置界面示意图;
图3为本发明实施例提供的另一种部分信息的配置界面示意图;
图4为本发明实施例提供的一种过滤条件的设置界面示意图;
图5为本发明实施例提供的另一种过滤条件的设置界面示意图;
图6为本发明实施例提供的一种告警条件的配置界面示意图;
图7为本发明实施例提供的一种具体的信息安全告警方法的流程图;
图8为本发明实施例提供的一种信息安全告警装置的结构示意图;
图9为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前互联网技术发展迅速,人类的生活深受互联网的影响。5G、4G网络、Wi-Fi等技术也伴随着移动无线的发展被广泛应用到各个领域,方便了人们日常工作和生活所需。在享受互联网技术带来的方便的同时,各种西信息技术安全问题也日益突出,随着网络安全事件的次数日益增加,网络中信息技术安全问题也日益突出网络安全事件频发,造成的影响和损失也越来越大,因此需要对互联网中的上网数据进行安全检测,以及时规避或降低由于安全事件未能及时处理带来的风险和损失。
相关技术中,通常利用规则告警引擎技术,通过多样化的规则,针对一种数据源中的数据进行分析,并根据分析结果,进行告警处理,以使相关人员能够提前预警。但是这种方式,只适用于简单场景,只能满足针对一种数据源的简单告警需求,无法解决多数据源或多场景之间的比较计算,例如,在一段时间内,根据多个数据源之间的比较计算,或者多个数据源之间计算结果之间的比较计算,产生告警。导致复杂的告警需求无法检测,降低了信息安全检测的准确性。
基于上述问题,本发明提供的一种信息安全告警方法、装置和电子设备,该技术可以应用于具有网络信息安全检测的功能的电子设备,尤其可以应用于服务器、计算机等设备。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种信息安全告警方法进行详细介绍,如图1所示,该方法包括如下步骤:
步骤S102,获取预先配置的统计指标;统计指标配置有一个或多个数据源;
上述统计指标可以根据实际的告警需求进行设置;上述数据源通常是指原始日志数据,其中,日志数据可以分为硬件设备状态日志和应用系统日志两大类。本实施例是指应用系统日志,通常包括操作系统的日志数据,数据库日志数据,中间件日志数据,还有业务系统的日志数据,比如银行网银、财务等交易业务系统的日志数据,记录网络系统产生的过程性事件记录数据。
举例说明,如果告警需求为“一段时间(比如5分钟)内,指定系统中被病毒感染的数据总数达到100条”产生告警,此时可以预先配置一个指标名称为“被病毒感染”的统计指标,该统计指标通常会预先根据告警需求或统计指标配置有一个或多个数据源,在该例子中,统计指标配置的数据源为被病毒感染的数据源。如果告警需求为“一段时间(比如5分钟)内,来往账时间差大于20秒的数据的总数达到10条时产生告警”;如图2所示,为部分信息的配置界面,此时可以预先配置一个指标名称为“来往账时间差大于20秒”的统计指标;在该例子中,统计指标配置有两个数据源,分别为来账的数据源和往账的数据源,当有统计指标配置有多个数据源时,通常会根据统计指标预先配置参照数据源和对比数据源,在该例子中,参照数据源配置为来账的数据源,对比数据源配置为往账数据源。
再如,如果告警需求为“来帐与往账时间大于20秒的数据,和来账数据的占比小于0.99”产生告警;此时可以预先配置的统计指标包括两个,其中一个配置指标名称“来往账时间差大于20秒”的统计指标,该配置方式与前述的第二个例子的配置方式相同,在此不再赘述;然后,如图3所示,为部分信息配置界面,配置名称为“来账统计”的统计指标,该统计指标配置有一个数据源,为来账的数据源。
步骤S104,根据数据源对应的初始数据,确定统计指标对应的目标数据;
上述数据源可以是一个统计指标中配置的一个数据源,也可以是一个统计指标中配置的多个数据源,还可以是多个统计指标中配置的多个数据源。具体的,首先需要从数据源所在的数据库或者业务系统的存储空间等,获取数据源对应的初始数据,得到每个数据源对应的初始数据;然后,可以根据统计指标中配置的数据源的数量,确定如何根据统计指标对应的初始数据,确定统计指标对应的目标数据。
上述目标数据为统计指标对应的数据,即一个统计指标对应一个目标数据。如果统计指标配置有多个数据源,可以根据预先配置的多个数据源之间的关系,确定统计指标对应的目标数据。如果统计指标配置有一个数据源,可以根据直接根据初始数据确定统计指标对应的目标数据。当然,如果上述统计指标包括多个,可以根据上述方式分别确定每个统计指标对应的目标数据。
步骤S106,根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;
上述统计方式可以预先根据实际的告警需求或者统计指标,以及数据源的数据类型进行配置,比如,告警需求包括统计目标数据或指定字段的数据的数量,或指定字段的字段值,则上述统计方式通常包括计算目标数据的数量,或目标数据中指定字段的数据的数量,或目标数据中指定字段的字段值。
举例说明,如果统计指标为来账统计,预先配置的统计方式为统计一段时间(比如5分钟)内来账的数量,则可以将获取到的来账数据,即上述目标数据进行计数统计,得到目标数据的数量,即上述统计结果。比如该统计结果可以是5分钟内,来账的数量有100条,也可以是其中的“100”条。如果来账数据为日志数据,可以直接统计获取到的日志数据的数量即可得到统计指标的统计结果。如果来账数据为数据报表,可以根据目标字段,统计来账的数量,也可以得到统计指标的统计结果。
再如,统计指标为来往账时间差大于20秒,预先配置的统计方式为统计一段时间内(比如5分钟),往账时间差大于20秒的数据的数量,可以理解,通常来往账的时间差都不超过20秒,一旦超过20秒则可能会发生信息安全事件,因此可以统计往账时间差大于20秒的数据的数量,来判断信息安全。则可以将确定的来往账时间差大于20秒的数据,进行数量统计,得到统计指标的统计结果,比如统计结果可以是5分钟内,来往账时间差大于20秒的数据有6条,也可以是“6”条。
步骤S108,如果统计结果满足预设的告警条件,按照预设内容进行告警处理。
上述预设的告警条件也是根据告警需求或统计指标预先设置的,比如,如果告警需求为5分钟内,被病毒感染的数据大于100条时进行告警,则上述预设的告警条件为统计结果大于“100”。再如,告警需求为5分钟内,来往账时间差大于20秒的数据的总数大于10条,则上述预设的告警条件为统计结果大于“10”。当然,如果上述统计指标包括多个,则统计结果也包括多个时,上述预设的告警条件通常包括多个统计结果之间的计算结果满足指定条件。比如,如果告警需求为,5分钟内,来往账时间差大于20秒的数据,与来账数据的占比小于0.99,则上述预设的告警条件为“来往账时间差大于20秒”的统计指标的统计结果,与“来账统计”的统计指标的统计结果的比值小于0.99。
上述预设内容通常根据告警需求确定,比如,如果告警需求为5分钟内,被病毒感染的数据大于100条时告警,统计结果为120满足预设的告警条件100,则按照“被病毒感染的数据:120条”的内容进行告警处理,该告警处理可以是将“被病毒感染的数据:120条”的内容以提示的方式、短信的方式、邮件方式、或其他通信方式发送给相关人员,以达到及时响应预警或提前预警的目的,有效规避或降低漏洞扫描出来的安全事件未能及时处理带来的风险和损失。
本发明提供了一种信息安全告警方法,获取预先配置的统计指标;统计指标配置有一个或多个数据源;根据数据源对应的初始数据,确定统计指标对应的目标数据;根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;如果统计结果满足预设的告警条件,按照预设内容进行告警处理。该方式中,通过配置有一个或多个数据源的统计指标,可以对多个数据源之间的数据进行比较计算,实现了复杂的告警需求的安全检测,提高了信息安全检测的准确性。
本发明实施例还提供了另一种信息安全告警方法,本实施例在上述实施例的基础上实现,本实施例主要描述根据数据源对应的初始数据,确定统计指标对应的目标数据的步骤的具体实现方式(通过步骤202-204实现),以及根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果的步骤的具体实现方式(通过步骤205-206实现)。具体包括如下步骤:
步骤201,获取预先配置的统计指标;统计指标配置有一个或多个数据源;
步骤202,根据预先设置的过滤条件,从指定数据库中,获取数据源对应的初始数据;
上述预先设置的过滤条件通常是根据实际场景需要自定义设置的,例如:源端口=8080,且目的地址=127.0.0.1等过滤条件;具体可以参见图4所示的,过滤条件的设置界面,如果数据源为来账的数据源,即图中的过滤器名称“来账”,则可以根据需求设置过滤器的过滤条件为目的端口=69,且目的地址=59.40.185.105,根据该条件可以直接从指定数据库中,或者原始日志数据中,获取来账数据,即上述初始数据。
再如,图5所示的,过滤条件的设置页面,如果数据源为往账的数据源,即图中的过滤器名称“往账”,则可以根据需求设置过滤器的过滤条件为目的端口=69,且目的地址=59.40.185.121,根据该条件可以直接从指定数据库中,或者原始日志数据中,获取往账数据,即上述初始数据。
由于统计指标配置有一个或多个数据源,所以一个统计指标可能会获得多种不同的数据,所以需要根据统计指标配置的数据源的个数,确定统计指标对应的目标数据,具有不同的确定方式,具体如下:
步骤203,如果统计指标配置有一个数据源,将数据源对应的初始数据,确定为统计指标对应的目标数据;
比如,统计指标为来账统计,则数据源为来账的数据源,对应的初始数据为来账数据,则可以直接将来账数据确定为统计指标对应的目标数据。
步骤204,如果统计指标配置有多个数据源,根据预先配置的关联运算方式,在多个初始数据中的指定数据之间进行关联运算,得到关联数据源对应的目标数据;
举例说明,统计指标为来往账时间差大于20秒,此时该统计指标通常配置有两个数据源;可以参见图2,还包括这两个数据源之间的配置,即关联数据源的配置,包括,关联数据源条件,以及多个关联数据源条件之间的关系,比如,“且”的关系、“或”的关系等。该关联数据源主要用于,根据统计指标建立多个数据源之间的比较方式,例如图2中示出的,关联数据源条件包括:对比数据源.应用协议名称=参照数据源.应用协议名称,和对比数据源.交易开始时间-参照数据源.交易开始时间>20秒,这两个关联数据源的关系是“且”。
在该例子中,统计指标配置有两个数据源,参照数据源为来账的数据源,对比数据源为往账的数据源,为了使这两个数据源能够进行关联,根据预先配置的关联运算方式,可以在多个初始数据中的指定数据之间进行关联运算,比如,预先配置的关联运算方式为,计算往账数据中开始交易时间减去来账数据中开始交易时间的时间差大于20秒的数据,即可得到关联数据源对应的目标数据,也即上述统计指标对应的目标数据。
上述步骤S106中,预先配置的统计方式通常预先根据目标数据的数据类型确定的,上述目标数据的数据类型包括日志数据和报表数据。因此,上述步骤S106中,如果目标数据包括日志数据,一种可能的实施方式:
步骤205,如果目标数据包括日志数据,根据预先配置的日志数据对应的统计方式,每隔指定时间,对指定时间内的日志数据进行统计处理,得到统计指标的统计结果;其中,日志数据对应的统计方式至少包括:聚合统计、以及计数统计中的一种。
上述预先配置的日志数据对应的统计方式,预先根据实际的告警需求设置的,比如,如果告警需求为一段时间内,被病毒感染的数据的总数达到100条时告警,且被病毒感染的数据为日志数据,则预先配置的日志数据对应的统计方式为聚合统计或计数统计,用于计算被病毒感染的数据的总数。上述指定时间可以设置为一分钟,即每隔一分钟,对获取到的目标数据进行统计处理,得到统计指标的统计结果。
上述步骤S106中,如果目标数据包括数据报表,一种可能的实施方式:
步骤206,如果目标数据包括数据报表,根据预先配置的数据报表对应的统计方式,每隔指定时间,对指定时间内的数据报表中的字段进行统计处理,得到统计指标的统计结果;其中,数据报表对应的统计方式至少包括:聚合统计、计数统计、计算平均值、求和、计算最大值、计算最小值中的一种。
上述数据报表对应的统计方式与日志数据对应的统计方式可以相同,也可以不同。举例说明,如果告警需求为一段时间内,被病毒感染的数据的总数达到100条时告警,且感染的数据为数据报表,每隔一分钟,对获取到的数据报表中指示是否被病毒感染的字段进行统计处理,得到被病毒感染的数据的总条数。
另外,如果统计指标配置有一个数据源,且预先配置有分组方式,上述步骤之后还包括如下步骤:根据预先配置的分组方式,对统计结果进行分组处理,得到统计结果中目标字段的值。
上述预先配置的分组方式,可以根据实际需要自定义灵活配置分组字段,如果需要统计单个数据源中某个字段的值,可以通过分组的方式,对统计结果进行分组处理,得到统计结果中目标字段的值。也可以通过分组的方式,对目标数据进行分组处理,得到目标字段的值。
步骤207,如果统计结果满足预设的告警条件,按照预设内容进行告警处理。
上述方式中,如果统计指标配置有多个数据源,可以根据预先配置的关联运算方式,将多个数据源对应的初始数据进行关联运算,得到关联数据源,即统计指标对应的目标数据,进而对目标数据进行统计处理,得到统计结果,如果统计结果满足预设的告警条件,则进行告警处理,该方式中,通过配置有一个或多个数据源的统计指标,可以对多个数据源之间的数据进行比较计算,实现了复杂的告警需求的安全检测,提高了信息安全检测的准确性。
本发明实施例提供了另一种信息安全告警方法,本实施例在上述实施例的基础上实现,本实施例主要描述如果统计结果满足预设的告警条件,按照预设内容进行告警处理的步骤的具体实现过程(通过步骤304-306实现),上述统计指标包括一个或多个;具体包括如下步骤:
步骤301,获取预先配置的统计指标;统计指标配置有一个或多个数据源;
步骤302,根据数据源对应的初始数据,确定统计指标对应的目标数据;
步骤303,根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;
步骤304,根据预先配置的指标条件,从统计指标中确定目标统计指标;目标统计指标包括一个或多个;
步骤305,根据目标统计指标,确定目标统计指标对应的目标统计结果;
上述指标条件用于指示目标统计指标,比如,预先配置有多个统计指标,通过上述步骤计算得到每个统计指标的统计结果后,需要根据告警需求确定需要将哪个统计指标的统计结果与预设的告警条件进行比较。
举例说明,如果统计指标包括“来往账时间差大于20秒”,还包括“来账统计”,还可以包括其他的统计指标。得到每个统计指标的统计结果后,根据预先配置的指标条件,从统计指标中确定目标统计指标为“来往账时间差大于20秒”,和“来账统计”,然后根据目标统计指标,确定目标统计指标对应的目标统计结果。
步骤306,如果在预设统计时间内,目标统计结果满足预设的告警条件,按照预设内容进行告警处理。
上述预设统计时间通常可以根据实际需要进行设置,比如,5分钟、10分钟等。具体的,可以根据目标统计结果的个数进行告警处理。
上述步骤306中一种可能的实施方式:
(1)如果目标统计指标包括一个,统计在预设统计时间内,目标统计指标对应的最终统计结果;
(2)如果最终统计结果,满足第一预设阈值,按照第一预设内容进行告警处理;其中,第一预设内容包括:目标统计指标对应的最终统计结果中的目标字段,或目标统计指标的指标名称。
由于前述确定的统计指标的统计结果都是指定时间内的统计结果,所以需要按照告警需求,统计预设统计时间内的最终统计结果。通常预设统计时间大于指定时间。上述第一预设阈值通常根据实际的告警需求进行设置。举例说明,如果目标统计指标为“来往账时间相差大于20秒”,预设统计时间为5分钟,最终统计结果为“20”,告警条件包括的第一预设阈值为“10”,即,5分钟内来往账时间相差大于20秒的数据总数为20条,20大于10,即满足上述第一预设阈值,则按照“来往账时间相差大于20秒的数量:20条”的内容以预先设置的通信方式,发送至相关人员进行告警。
上述步骤306中另一种可能的实施方式:
(1)如果目标统计指标包括多个,统计在预设统计时间内,每个目标统计指标对应的中间统计结果;
(2)按照预先配置的规则运算方式,在多个中间统计结果之间进行规则运算,得到多个目标统计指标对应的最终统计结果;
(3)如果最终统计结果,满足第二预设阈值,按照第二预设内容进行告警处理;第二预设内容包括规则运算值。
上述预设统计时间根据实际需要进行设置;同样的,先根据实际的告警需求,统计在预设统计时间内,每个目标统计指标对应的中间统计结果;由于每个目标统计指标的中间统计结果之间需要根据告警条件的需求进行运算,所以按照预先配置的规则运算方式,在多个中间统计结果之间进行规则运算,得到多个目标统计指标对应的最终统计结果。上述规则运算值为最终统计结果。
比如,如果告警需求为,5分钟内,来往账时间差大于20秒的数据,与来账数据的占比小于0.99,则告警条件包括的第二预设阈值为0.99。按照预先配置的规则运算方式,即,将来往账时间差大于20秒的数据总数除以来账数据总数,得到最终统计结果,比如最终统计结果为0.8;0.8小于0.99,满足第二预设阈值,按照来往账时间差大于20秒÷来账=0.8的内容进行警告处理。
参见图6所示的配置界面,规则名称即告警需求,默认时间范围对应前述的预设统计时间,告警内容对应前述预设内容。
上述方式中,对于基于指标的统计告警实现,可在多重复杂场景下产生告警,可以在使用关联规则中的规则条件进行告警时,灵活通过数量特征产生告警,为监控告警功能提供解决方案。
本实施例还提供了一种具体的信息安全告警方法,如图7所示,首先是创建指标,其中的指标对应前述的统计指标;具体分为一个数据源可两个数据源的情况,当指标配置有一个数据源时,首先进行主体配置,即根据数据源对应的初始数据,确定指标对应的目标数据,然后根据预先配置的统计方式,对目标数据进行统计处理,得到指标的统计结果。图中的count对应前述的日志数据对应的统计方式,avg、sum、max、min、distinct count对应前述的数据报表对应的统计方式。图中的group by对应前述预先配置的分组方式,如果预先配置有分组方式,对上述统计结果进行分组处理,得到统计结果中目标字段的值。
当指标配置有两个数据源时,首先配置数据源,即参照数据源和对比数据源,其中对比数据源中有一个增加获取时间的配置,由于实际生产情况下,客户端发起请求,服务器接收请求并响应需要一定的时间,因此需要增加获取时间,来保证完成请求与响应的过程。配置完成两个数据源后,对两个数据源进行关联处理,即数据源字段间的运算,对应前述根据预先配置的关联运算方式,在多个初始数据中的指定数据之间进行关联运算,得到关联数据源对应的目标数据。然后进行主体配置,该过程与前述一个数据源的实现过程相同,在此不再赘述。
然后根据统计规则进行统计处理,期中的默认时间范围对应前述的预设统计时间,指标的数量为前述的指标条件;创建一个或多个条件,对应前述预设的告警条件。具体的,针对一个数据源的情况,如果经过了分组,则直接根据统计规则中创建的条件,对该指标对应的统计结果进行比较,如果统计结果满足创建的条件,则按照变量名称.group by字段的内容进行告警处理,其中的动作定义可以是邮件、短信、或其他通信方式。
针对一个数据源的情况,如果没有经过分组,则直接根据统计规则中创建的条件,对该指标对应的统计结果进行比较,如果统计结果满足创建的条件,则按照指标名称的内容进行告警处理。针对多个数据源的情况,需要根据指标条件,获取目标指标,如果是一个指标,则与前述没有经过分组的过程相同;如果是两个指标,则需要根据统计规则中创建的条件,对该这两个指标对应的统计结果进行比较计算,如果计算结果满足创建的条件,则按规则运算值的内容进行告警处理。
对应上述的方法实施例,本发明实施例提供了一种信息安全告警装置,如图8所示,该装置包括:
获取模块81,用于获取预先配置的统计指标;统计指标配置有一个或多个数据源;
确定模块82,用于根据数据源对应的初始数据,确定统计指标对应的目标数据;
统计模块83,用于根据预先配置的统计方式,对目标数据进行统计处理,得到统计指标的统计结果;
告警模块,用于如果统计结果满足预设的告警条件,按照预设内容进行告警处理。
进一步的,上述确定模块还用于:根据预先设置的过滤条件,从指定数据库中,获取数据源对应的初始数据;如果统计指标配置有一个数据源,将数据源对应的初始数据,确定为统计指标对应的目标数据;如果统计指标配置有多个数据源,根据预先配置的关联运算方式,在多个初始数据中的指定数据之间进行关联运算,得到关联数据源对应的目标数据。
进一步的,上述统计模块还用于:如果目标数据包括日志数据,根据预先配置的日志数据对应的统计方式,每隔指定时间,对指定时间内的日志数据进行统计处理,得到统计指标的统计结果;其中,日志数据对应的统计方式至少包括:聚合统计、以及计数统计中的一种。
进一步的,上述统计模块还用于:如果目标数据包括数据报表,根据预先配置的数据报表对应的统计方式,每隔指定时间,对指定时间内的数据报表中的字段进行统计处理,得到统计指标的统计结果;其中,数据报表对应的统计方式至少包括:聚合统计、计数统计、计算平均值、求和、计算最大值、计算最小值中的一种。
进一步的,上述装置还包括分组模块,用于:根据预先配置的分组方式,对统计结果进行分组处理,得到统计结果中目标字段的值。
进一步的,上述统计指标包括一个或多个;上述告警模块还用于:根据预先配置的指标条件,从统计指标中确定目标统计指标;目标统计指标包括一个或多个;根据目标统计指标,确定目标统计指标对应的目标统计结果;如果在预设统计时间内,目标统计结果满足预设的告警条件,按照预设内容进行告警处理。
进一步的,上述告警条件包括第一预设阈值;的上述告警模块还用于:如果目标统计指标包括一个,统计在预设统计时间内,目标统计指标对应的最终统计结果;如果最终统计结果,满足第一预设阈值,按照第一预设内容进行告警处理;其中,第一预设内容包括:目标统计指标对应的最终统计结果中的目标字段,或目标统计指标的指标名称。
进一步的,,上述告警条件包括第二预设阈值;上述告警模块还用于:如果目标统计指标包括多个,统计在预设统计时间内,每个目标统计指标对应的中间统计结果;按照预先配置的规则运算方式,在多个中间统计结果之间进行规则运算,得到多个目标统计指标对应的最终统计结果;如果最终统计结果,满足第二预设阈值,按照第二预设内容进行告警处理;第二预设内容包括规则运算值。
本发明实施例提供的信息安全告警装置,与上述实施例提供的信息安全告警方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本实施例还提供一种电子设备,包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述信息安全告警方法。
参见图9所示,该电子设备包括处理器100和存储器101,该存储器101存储有能够被处理器100执行的机器可执行指令,该处理器100执行机器可执行指令以实现上述信息安全告警方法。
进一步地,图9所示的电子设备还包括总线102和通信接口103,处理器100、通信接口103和存储器101通过总线102连接。
其中,存储器101可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成前述实施例的方法的步骤。
本实施例还提供一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述信息安全告警方法。
本发明实施例所提供的信息安全告警方法、装置和电子设备以及系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种信息安全告警方法,其特征在于,包括:
获取预先配置的统计指标;所述统计指标配置有一个或多个数据源;
根据所述数据源对应的初始数据,确定所述统计指标对应的目标数据;
根据预先配置的统计方式,对所述目标数据进行统计处理,得到所述统计指标的统计结果;
如果所述统计结果满足预设的告警条件,按照预设内容进行告警处理。
2.根据权利要求1所述的方法,其特征在于,根据所述数据源对应的初始数据,确定所述统计指标对应的目标数据的步骤,包括:
根据预先设置的过滤条件,从指定数据库中,获取所述初始数据;
如果所述统计指标配置有一个数据源,将所述数据源对应的初始数据,确定为所述统计指标对应的目标数据;
如果所述统计指标配置有多个数据源,根据预先配置的关联运算方式,在多个所述初始数据中的指定数据之间进行关联运算,得到关联数据源对应的目标数据。
3.根据权利要求1所述的方法,其特征在于,根据预先配置的统计方式,对所述目标数据进行统计处理,得到所述统计指标的统计结果的步骤,包括:
如果所述目标数据包括日志数据,根据预先配置的所述日志数据对应的统计方式,每隔指定时间,对所述指定时间内的日志数据进行统计处理,得到所述统计指标的统计结果;其中,所述日志数据对应的统计方式至少包括:聚合统计、以及计数统计中的一种。
4.根据权利要求1所述的方法,其特征在于,根据预先配置的统计方式,对所述目标数据进行统计处理,得到所述统计指标的统计结果的步骤,包括:
如果所述目标数据包括数据报表,根据预先配置的所述数据报表对应的统计方式,每隔指定时间,对所述指定时间内的数据报表中的字段进行统计处理,得到所述统计指标的统计结果;其中,所述数据报表对应的统计方式至少包括:聚合统计、计数统计、计算平均值、求和、计算最大值、计算最小值中的一种。
5.根据权利要求3或4所述的方法,其特征在于,如果所述统计指标配置有一个数据源,所述根据预先配置的统计方式,对所述目标数据进行统计处理,得到所述统计指标的统计结果的步骤之后,所述方法还包括:
根据预先配置的分组方式,对所述统计结果进行分组处理,得到所述统计结果中目标字段的值。
6.根据权利要求1所述的方法,其特征在于,所述统计指标包括一个或多个;如果所述统计结果满足预设的告警条件,按照预设内容进行告警处理的步骤,包括:
根据预先配置的指标条件,从所述统计指标中确定目标统计指标;所述目标统计指标包括一个或多个;
根据所述目标统计指标,确定所述目标统计指标对应的目标统计结果;
如果在预设统计时间内,所述目标统计结果满足所述预设的告警条件,按照预设内容进行告警处理。
7.根据权利要求6所述的方法,其特征在于,所述告警条件包括第一预设阈值;所述如果在预设统计时间内,所述目标统计结果满足所述预设的告警条件,按照预设内容进行告警处理的步骤,包括:
如果所述目标统计指标包括一个,统计在所述预设统计时间内,所述目标统计指标对应的最终统计结果;
如果所述最终统计结果,满足所述第一预设阈值,按照第一预设内容进行告警处理;其中,所述第一预设内容包括:所述目标统计指标对应的最终统计结果中的目标字段,或所述目标统计指标的指标名称。
8.根据权利要求6所述的方法,其特征在于,所述告警条件包括第二预设阈值;如果在预设统计时间内,所述目标统计结果满足所述预设的告警条件,按照预设内容进行告警处理的步骤,包括:
如果所述目标统计指标包括多个,统计在所述预设统计时间内,每个所述目标统计指标对应的中间统计结果;
按照预先配置的规则运算方式,在多个所述中间统计结果之间进行规则运算,得到多个所述目标统计指标对应的最终统计结果;
如果所述最终统计结果,满足所述第二预设阈值,按照第二预设内容进行告警处理;所述第二预设内容包括所述规则运算值。
9.一种信息安全告警装置,其特征在于,包括:
获取模块,用于获取预先配置的统计指标;所述统计指标配置有一个或多个数据源;
确定模块,用于根据数据源对应的初始数据,确定统计指标对应的目标数据;
统计模块,用于根据预先配置的统计方式,对所述目标数据进行统计处理,得到所述统计指标的统计结果;
告警模块,用于如果所述统计结果满足预设的告警条件,按照预设内容进行告警处理。
10.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1-8任一项所述的信息安全告警方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110748658.0A CN113377624B (zh) | 2021-07-02 | 2021-07-02 | 信息安全告警方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110748658.0A CN113377624B (zh) | 2021-07-02 | 2021-07-02 | 信息安全告警方法、装置和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113377624A true CN113377624A (zh) | 2021-09-10 |
CN113377624B CN113377624B (zh) | 2024-05-28 |
Family
ID=77580560
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110748658.0A Active CN113377624B (zh) | 2021-07-02 | 2021-07-02 | 信息安全告警方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113377624B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115080366A (zh) * | 2022-08-22 | 2022-09-20 | 深圳依时货拉拉科技有限公司 | 告警方法、装置、计算机设备和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106407298A (zh) * | 2016-08-30 | 2017-02-15 | 广东讯飞启明科技发展有限公司 | 一种基于大数据分析的教育评价数据处理方法及系统 |
US20180285433A1 (en) * | 2017-03-31 | 2018-10-04 | Bmc Software, Inc. | Behavioral analytics in information technology infrasturcture incident management systems |
CN110362453A (zh) * | 2019-05-27 | 2019-10-22 | 中国平安人寿保险股份有限公司 | 日志统计告警方法及装置、终端及存储介质 |
CN112906373A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 告警计算方法、装置、电子设备及存储介质 |
-
2021
- 2021-07-02 CN CN202110748658.0A patent/CN113377624B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106407298A (zh) * | 2016-08-30 | 2017-02-15 | 广东讯飞启明科技发展有限公司 | 一种基于大数据分析的教育评价数据处理方法及系统 |
US20180285433A1 (en) * | 2017-03-31 | 2018-10-04 | Bmc Software, Inc. | Behavioral analytics in information technology infrasturcture incident management systems |
CN110362453A (zh) * | 2019-05-27 | 2019-10-22 | 中国平安人寿保险股份有限公司 | 日志统计告警方法及装置、终端及存储介质 |
CN112906373A (zh) * | 2021-02-20 | 2021-06-04 | 成都新希望金融信息有限公司 | 告警计算方法、装置、电子设备及存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115080366A (zh) * | 2022-08-22 | 2022-09-20 | 深圳依时货拉拉科技有限公司 | 告警方法、装置、计算机设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113377624B (zh) | 2024-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112311617A (zh) | 一种配置化数据监控告警方法及系统 | |
CN108923972B (zh) | 一种去重流量提示方法、装置、服务器及存储介质 | |
US11314789B2 (en) | System and method for improved anomaly detection using relationship graphs | |
CN112291107B (zh) | 网络分析程序、网络分析装置以及网络分析方法 | |
CN111782462A (zh) | 告警方法、装置和电子设备 | |
CN113377624B (zh) | 信息安全告警方法、装置和电子设备 | |
CN112152833B (zh) | 一种网络异常报警方法、装置及电子设备 | |
CN116737765A (zh) | 业务告警信息处理方法、装置、电子设备及存储介质 | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN111756745B (zh) | 告警方法、告警装置、终端设备及计算机可读存储介质 | |
CN113590427A (zh) | 一种监控指标异常的告警方法、装置、存储介质和设备 | |
CN111526109A (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
US7367055B2 (en) | Communication systems automated security detection based on protocol cause codes | |
CN116668264A (zh) | 一种告警聚类的根因分析方法、装置、设备及存储介质 | |
CN110866831A (zh) | 资产活跃度等级的确定方法、装置及服务器 | |
CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
CN112654004B (zh) | 短信的下发方法、装置、系统及电子设备 | |
CN107957915B (zh) | 一种被调用方系统的心跳检测方法、存储介质和服务器 | |
CN106485147A (zh) | 基于智能移动终端界面图像变化的安全保护方法 | |
CN110971575B (zh) | 恶意请求的识别方法、装置、电子设备和计算机存储介质 | |
CN113961414A (zh) | 一种日志数据的处理方法、装置、设备及存储介质 | |
CN111510443A (zh) | 基于设备画像的终端监测方法和终端监测装置 | |
CN117290192A (zh) | 告警处理方法、装置及电子设备 | |
CN116489655B (zh) | 基于5gs的恶意应用程序监测方法 | |
CN117294578B (zh) | 一种通信方法、系统、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |