CN114006727B - 告警关联分析方法、装置、设备及存储介质 - Google Patents

Abstract

本发明公开了一种告警关联分析方法、装置、设备及存储介质，该方法包括：获取预设时间段的告警事件；基于所述告警事件生成告警连通图和告警事件集；从所述告警事件集中筛选出支持度达到第一预设阈值的目标告警事件集；针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；筛选出所述置信度值达到第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。本发明通过计算各告警事件之间的置信度来判断其中的关联性，筛选出其中的强关联关系，便于对攻击事件的溯源，从而为用户提供更有价值的信息。

Description

告警关联分析方法、装置、设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种告警关联分析方法、装置、设备及存储介质。

背景技术

相关技术中，传统的网络入侵检测集中于检测底层的入侵或异常，对网络上海量安全告警事件的安全检测不够全面，只能检测到一次完整入侵的一部分，导致检测结果太过局限，不便于对攻击事件的溯源。

发明内容

本发明实施例通过提供一种告警关联分析方法、装置、设备及存储介质，解决了现有技术中进行网络入侵检测时检测结果太过局限，难以进行攻击溯源的问题。

根据本发明的第一方面，提供了一种告警关联分析方法，包括：

获取预设时间段的日志数据，所述日志数据包括至少一个告警事件；

基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集；其中，所述告警事件集包括任意N个所述告警事件，N为大于或者等于1的整数；

从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集；所述支持度为所述告警事件集在至少一个所述告警连通图中的出现次数与所述告警事件集总数的比值；

针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；所述第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址；

筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。

可选地，所述基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集，包括：

将至少一个所述告警事件作为所述告警连通图的节点；

针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图。

可选地，所述针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图之后，包括：

删除所述告警连通图中重复获取的所述告警事件，得到去重后的告警连通图；所述去重后的告警连通图包括多个告警连通子图；

将每个连通子图包含的至少一个所述告警事件构成的集合作为所述告警事件集。

可选地，所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前，所述方法还包括：

根据所述告警事件集的历史出现次数、新增次数、遗忘系数和预设公式，对所述告警事件集的出现次数进行更新，得到更新后的出现次数；其中，所述预设公式为：

c＝a*α+b*(1-α)；

其中，c为所述更新后的出现次数，a为所述历史出现次数，b为所述新增次数，α为所述遗忘系数；

将所述告警事件集的所述更新后的出现次数与所述告警事件集总数的比值作为所述支持度。

可选地，所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前，所述方法还包括：

获取所述告警事件集中任一所述告警事件发生时的历史时间与当前时间的时间间隔；

删除所述时间间隔超过预设时间间隔的告警事件，并更新所述告警事件集。

可选地，所述针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值，包括：

计算所述目标告警事件集的支持度和所述目标告警事件集中任一告警事件的支持度；

根据所述目标告警事件集的支持度和所述目标告警事件集中任一告警事件的支持度，得到所述置信度值。

可选地，所述筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果之后，包括：

计算所述目标告警事件集中任一告警事件与所述目标告警事件集中剩余告警事件满足第二预设条件时的反向置信度值；所述第二预设条件为所述任一告警事件的源IP地址是所述剩余告警事件的目的IP地址；

计算所述目标告警事件集的所述置信度值和所述反向置信度值的平均值；

根据所述平均值，验证所述目标告警事件与所述剩余告警事件之间的关联性。

根据本发明的第二方面，提供了一种告警关联分析装置，包括：

数据获取模块，用于获取预设时间段的日志数据，所述日志数据包括至少一个告警事件；

连通图生成模块，用于基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集；其中，所述告警事件集包括任意N个所述告警事件，N为大于或者等于1的整数；

事件集筛选模块，用于从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集；所述支持度为所述告警事件集在至少一个所述告警连通图中的出现次数与所述告警事件集总数的比值；

参数计算模块，用于针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；所述第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址；

关联分析模块，用于筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。

根据本发明的第三方面，提供了一种告警关联分析设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的告警关联分析程序，所述告警关联分析程序被所诉处理器执行时实现第一方面或第二方面的实现方式中的任一种可能的实现方式中所述的各个步骤。

根据本发明的第四方面，提供了一种计算机可读存储介质，其上存储有告警关联分析程序，所述告警关联分析程序被处理器执行时实现第一方面或第二方面的实现方式中的任一种可能的实现方式中所述的各个步骤。

本发明实施例提出一种告警关联分析方法、装置、设备及计算机可读存储介质，通过告警关联分析设备获取预设时间段的告警事件；基于所述告警事件生成告警连通图和告警事件集；从所述告警事件集中筛选出支持度达到第一预设阈值的目标告警事件集；针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；筛选出所述置信度值达到第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。

本发明通过获取预设时间段的告警事件；基于告警事件生成告警连通图和告警事件集并从中筛选出目标告警事件集；针对目标告警事件集中任一告警事件，计算任一告警事件与目标告警事件集中剩余告警事件之间的置信度值；筛选出目标告警事件，得到各告警事件之间的关联性分析结果。本发明区别于现有技术中对网络安全告警事件没有进行关联分析导致安全检测结果太过局限和不够完整的情况，通过各告警事件之间的源IP地址和目的IP地址得到各个告警事件之间的连通关系，即连通图，从而通过对连通图进行支持度计算处理和置信度计算处理，判断出各告警事件之间的关联性，进而筛选出其中的强关联关系，便于对攻击事件的溯源，从而为用户提供更完整、更可信、可读性更高以及更有价值的信息。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例方案涉及的硬件运行环境的告警关联分析设备的结构示意图；

图2为本发明告警关联分析方法的第一实施例的流程示意图；

图3为图2中S202的步骤的具体实施方式的流程示意图；

图4为图3中S302的步骤之后的流程示意图；

图5为图2中S203的步骤之前的流程示意图；

图6为图2中S203的步骤之前的流程示意图；

图7为图2中S204的步骤的具体实施方式的流程示意图；

图8为图2中S205的步骤之后的流程示意图；

图9为本申请实施例方案涉及的总体运行流程示意图；

图10为本发明实施例涉及的告警关联分析装置的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：获取预设时间段的告警事件；基于所述告警事件生成告警连通图和告警事件集；从所述告警事件集中筛选出支持度达到第一预设阈值的目标告警事件集；针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；筛选出所述置信度值达到第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。

现有技术中，传统的网络入侵检测集中于检测底层的入侵或异常，对网络上海量的安全告警事件没有进行关联分析，导致安全检测结果太过局限，不够完整，不便于对攻击事件的溯源。

本发明提供一种解决方案，该方案用于告警关联分析设备，通过告警关联分析设备获取预设时间段的告警事件并基于告警事件生成告警连通图和告警事件集，然后通过对告警事件集和告警事件进行支持度和置信度等参数的计算，判断各告警事件之间的关联性，进而筛选出其中的强关联关系。本发明区别于现有技术中对网络安全告警事件没有进行关联分析导致安全检测结果太过局限和不够完整的情况，通过各告警事件之间的源IP地址和目的IP地址得到各个告警事件之间的连通关系，即连通图，从而通过对连通图进行支持度计算处理和置信度计算处理，判断出各告警事件之间的关联性，进而筛选出其中的强关联关系，便于对攻击事件的溯源，从而为用户提供更完整、更可信、可读性更高以及更有价值的信息。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例的说明书和权利要求书中的“第一”、“第二”用于区别类似的对象，而不必用于描述特定的顺序或者先后次序，应该理解这样的数据在适当的情况下可以互换，以便这里描述的实施例能够以除了这里图示或者描述的那些以外的顺序实施。

参照图1，图1为本申请实施例方案涉及的硬件运行环境的告警关联分析设备的结构示意图。

如图1所示，该告警关联分析设备可以包括：处理器1001，例如中央处理器(Central Processing Unit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory，RAM)存储器，也可以是稳定的非易失性存储器(Non-Volatile Memory，NVM)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对告警关联分析设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据获取模块、数据处理模块、关联分析模块以及告警关联分析程序，其中，数据处理模块又可细化为连通图生成模块、事件集筛选模块以及参数计算模块。

在图1所示的告警关联分析设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明告警关联分析设备中的处理器1001、存储器1005可以设置在告警关联分析设备中，告警关联分析设备通过处理器1001调用存储器1005中存储的告警关联分析程序，并执行本申请实施例提供的告警关联分析方法。

基于上述硬件结构但不限于上述硬件结构，本发明提供一种告警关联分析方法第一实施例。参照图2，图2为本发明告警关联分析方法第一实施例的流程示意图。

本实施例中，所述方法包括：

步骤S201，获取预设时间段的日志数据；

在本实施例中，执行主体为告警关联分析设备，告警关联分析设备可连接ES(ElasticSearch)数据库，ES数据库中存储有关于安全告警事件的日志数据，所述日志数据包括至少一个告警事件，告警关联分析设备可向ES数据库发出数据调用请求，从而从中获取这些数据，然后可在告警关联分析设备中对这些数据进行后续处理。本实施例中告警事件主要包括IPS告警事件、AI威胁告警事件以及威胁情报告警事件。其中，IPS(IntrusionPrevention System)是一种基于攻击特征检测入侵行为的安全机制，可以检测缓冲区溢出、木马病毒以及蠕虫病毒等多种网络攻击手段，并支持告警和阻断等响应方式。另外，ES数据库是一种高拓展和开源的全文搜索和分析引擎，可以准实时的存储、搜索和分析海量数据。

步骤S202，基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集；

每个告警事件都有自己的IP地址，即互联网协议地址，又可称为网际协议地址。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的对象分配一个逻辑地址，以此来屏蔽物理地址的差异。在本实施例中，当不同的告警事件之间存在相同的IP地址时，就可以通过该相同的IP地址将不同的告警事件连接起来生成告警连通图。

其中，IP地址包括源IP地址和目的IP地址。另外，一个告警连通图中包含有多个告警连通子图，根据告警连通子图可以获得由一个或多个告警事件构成的告警事件集，对于一个由N个告警事件构成的告警事件集又可称之为N-项集。其中，N为大于或者等于1的整数。

在一具体实施方式中，参照图3，图3为图2中S202的步骤的具体实施方式的流程示意图，所述基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集，包括：

步骤A10，将至少一个所述告警事件作为所述告警连通图的节点；

连通图是由点和边构成的，所以为了生成连通图，要先确定连通图的节点和边这两个要素。在本实施例中，前述获取的告警事件即作为告警连通图的节点，一个告警事件对应一个节点。

步骤A20，针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图。

对于前述获得的告警连通图中的各个节点，即各个告警事件，每个告警事件都有自己的源IP地址和目的IP地址，不同告警事件的IP地址可能相同也可能不同。在本实施例中，若任意两个不同告警事件的源IP地址或目的IP地址相同，那么这两个告警事件对应的节点就可以连接起来。具体的，对于任意两个告警事件A和B，若事件A的源IP地址与事件B的源IP地址相同或事件A的源IP地址与事件B的目的IP地址相同或事件A的目的IP地址与事件B的目的IP地址相同或事件A的目的IP地址与事件B的源IP地址相同，只要满足前述四中情况之一，A和B对应的节点都可以连接起来。而在完成所有节点的连接后，就得到了由至少一个告警事件构成的告警连通图。

步骤S203，从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集；

本实施例中，所述告警事件集的支持度指的是告警事件集在所有告警事件集中的出现概率，即任一告警事件集的出现次数与告警事件集总数的比值。另外，在本实施例中，第一预设阈值是指预设的最小支持度阈值，该阈值可根据实际需求自行设定。

步骤S204，针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；

前述目标告警事件集中包含至少一件告警事件，在本实施例中，置信度是指在任一目标告警事件集中某一告警事件已经发生的情况下，该目标告警事件集中剩余告警事件发生的概率，置信度可以反映前述目标告警事件集中某一告警事件和剩余告警事件之间的关联性，置信度越大它们之间的关联性越强。另外，在本实施例中，第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址。

在一具体实施方式中，进一步地，参照图7，图7为图2中S204的步骤的具体实施方式的流程示意图，所述针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值，包括：

步骤B10，计算所述目标告警事件集的支持度和所述目标告警事件集中任一告警事件的支持度；

为了分析各告警事件之间的关联性，首先要得到各告警事件之间的置信度，而置信度可由支持度通过相应的计算得到，故在计算置信度之前，首先计算目标告警事件集和目标告警事件集中任一告警事件的支持度。其中，置信度是指在任一目标告警事件集中某一告警事件已经发生的情况下，该目标告警事件集中剩余告警事件发生的概率，置信度可以反映前述目标告警事件集中某一告警事件和剩余告警事件之间的关联性，置信度越大它们之间的关联性越强。

步骤B20，根据所述目标告警事件集的支持度和所述目标告警事件集中任一告警事件的支持度，得到所述置信度值。

在得到前述目标告警事件集的支持度和目标告警事件集中任一告警事件的支持度后，将目标告警事件集的支持度除以目标告警事件集中任一告警事件的支持度，所得的比值即为对应的告警事件与该目标告警事件集中剩余告警事件之间的置信度。

步骤S205，筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。

本实施例中，第二预设阈值是指预设的最小置信度阈值，与前述第一预设阈值一样，该阈值也可根据实际需求自行设定。对于前述在目标告警事件集中筛选得到的目标告警事件，其置信度值达到了预设的最小置信度阈值，表明该目标告警事件与前述目标告警事件集中的剩余告警事件之间具有强关联性，即可据此输出关联分析结果。例如，对于一个由两个告警事件构成的目标告警事件集C，C中包含有告警事件X和告警事件Y，根据前述方法可以计算出X与C中剩余告警事件即Y之间的置信度，若该置信度大于或等于预设的最小置信度阈值，则将输出强关联规则：X→Y，该关联规则表明X和Y之间具有强关联性。

由此可以判断出各告警事件之间的关联性，进而筛选出其中的强关联关系，便于对攻击事件的溯源，从而为用户提供更完整、更可信、可读性更高以及更有价值的信息。

进一步地，参照图4，图4为图3中S302的步骤之后的流程示意图，所述针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图之后，包括：

步骤S401，删除所述告警连通图中重复获取的所述告警事件，得到去重后的告警连通图；

在获取告警事件的过程中，可能会出现对同一告警事件重复获取的情况，为了不影响后续的处理过程和最终的分析结果，同时为了节省存储空间，在后续处理之前还要对前述生成的告警连通图进行去重，常用的去重算法有Simhash算法和BloomFilter算法等。其中，Simhash算法的基本原理是给每个去重对象生成一个指纹，一个指纹可以理解为一个标签，然后利用该指纹进行去重；BloomFilter算法则是利用位数组和Hash函数即散列函数进行去重。

步骤S402，将每个连通子图包含的至少一个所述告警事件构成的集合作为所述告警事件集。

告警连通图当中包含有多个告警连通子图，在经过前述去重操作后，确保了每个告警连通子图中已经不存在重复的告警事件，故每个连通子图中包含的至少一个告警事件即构成了一个告警事件集，然后将得到的告警事件集记入Redis数据库。其中，Redis数据库是一种完全开源的高性能的数据库，支持数据的持久化和备份，还支持数据结构的存储。

经过去重后的告警连通图所占用的存储空间更少并且能保证其包含的每个告警连通子图中都不存在重复的告警事件，从而保证了后续处理过程的正常进行和最终分析结果的准确性。

进一步地，参照图5，图5为图2中S203的步骤之前的流程示意图，所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前，所述方法还包括：

步骤S501，根据所述告警事件集的历史出现次数、新增次数、遗忘系数和预设公式，对所述告警事件集的出现次数进行更新，得到更新后的出现次数；

在本实施例中，对于前述所得的告警事件集及其出现次数，定时使用Holt-Winters方法中的一次指数平滑法对告警事件集的出现次数进行了遗忘处理，即偶尔发生的告警事件的出现次数会随时间越来越少，而对于经常出现的告警事件由于得到了周期性的补充可以动态保留下来，由此可以避免偶发事件的影响。其中，Holt-Winters即霍尔特-温特方法，是一种时间序列分析和预报方法，包括一次指数平滑法、二次指数平滑法和三次指数平滑法，其中的一次指数平滑法主要针对没有趋势和季节性的序列。具体的遗忘方式为c＝a*α+b*(1-α)；其中，c为更新后的出现次数，a为历史出现次数，b为新增次数，α为遗忘系数，遗忘系数α可根据实际需求自行设定。

步骤S502，将所述告警事件集的所述更新后的出现次数与所述告警事件集总数的比值作为所述支持度。

为了筛选出满足要求的告警事件集，在得到前述各告警事件集更新后的出现次数后，要分别计算每个告警事件集的支持度，即将各个告警事件集的更新后的出现次数除以告警事件集总数，得到的比值即为每个告警事件集的支持度。其中，支持度表示一个告警事件集在总的数据集中出现的概率。

进一步地，参照图6，图6为图2中S203的步骤之前的流程示意图，所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前，所述方法还包括：

步骤S601，获取所述告警事件集中任一所述告警事件发生时的历史时间与当前时间的时间间隔；

本实施例中，对告警事件的关联分析主要针对近一个月的数据，而每个告警事件都对应并记录有自己在历史上发生的时间，获取各个告警事件发生的历史时间，然后计算出历史时间与当前时间的时间间隔。

步骤S602，删除所述时间间隔超过预设时间间隔的告警事件，并更新所述告警事件集。

得到前述时间间隔后，判断该时间间隔是否超过预设时间间隔，其中，预设时间间隔可根据实际需求自行设定。在本实施例中，预设时间间隔为一个月，故将删除发生时间距当前时间的时间间隔大于一个月的告警事件，完成删除操作后，更新告警事件集，然后将更新后的告警事件集记入Redis数据库中并更新Redis数据库。本实施例中，可用Redis中的hset指令对Redis数据库进行数据更新。

作为一个实施例，参照图8，图8为图2中S205的步骤之后的流程示意图，所述筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果之后，包括：

步骤S801，计算所述目标告警事件集中任一告警事件与所述目标告警事件集中剩余告警事件满足第二预设条件时的反向置信度值；

在本实施例中，对于一个包含告警事件X和告警事件Y的目标告警事件集C，前述已经计算出由X到Y的置信度，即X发生的情况下Y发生的概率，然后根据该置信度值判断X和Y之间是否具有强关联性，但这样得到的分析结果可能不够准确。比如对于以下这种情况：虽然X到Y的置信度确实满足要求，但Y到X的置信度却小于预设的最小置信度阈值，即在X已经发生的情况下Y大概率会发生，但在Y已经发生的情况下X大概率不会发生，这种情况下如果只计算由X到Y的置信度，最后得到的分析结果就可能出现问题，所以不能简单的通过单向置信度来判断关联性。那么为了更全面更合理的分析它们之间的关联性，本实施例中还需计算由Y到X的反向置信度，即在Y已经发生的情况下X发生的概率。其中，所述第二预设条件为所述任一告警事件的源IP地址是所述剩余告警事件的目的IP地址。

步骤S802，计算所述目标告警事件集的所述置信度值和所述反向置信度值的平均值；

得到前述反向置信度后，需要综合考虑X到Y的正向置信度和Y到X的反向置信度才能更加准确地判断X和Y之间的关联性。本实施例中，在得到前述置信度和反向置信度后，计算两者的平均值，即KULC值。

步骤S803，根据所述平均值，验证所述目标告警事件与所述剩余告警事件之间的关联性。

得到前述置信度和反向置信度的平均值即KULC值后，将KULC值与预设的最小置信度阈值进行比较，若该KULC值大于或等于预设的最小置信度阈值，则表明X和Y之间确实有强关联性。除此之外，为了进一步验证和合理的解释各告警事件之间的关联性，除了KULC值外，还可计算各告警事件之间的不平衡比，不平衡比可以解释关联分析中的不平衡情况：比如当X到Y的置信度很大而Y到X的置信度很小，且它们的KULC值大于或等于预设的最小置信度阈值时，表明X和Y之间虽然具有较强的关联性，但是这种关联关系却是非常不平衡的。其中，不平衡比为前述置信度与反向置信度的比值。

本实施例中，进行关联分析时，在置信度的基础上综合考虑KULC值和不平衡比等参数，可以更全面的分析告警事件之间的关联性，从而最大限度的提高关联分析的准确度。

参照图9，图9为本申请实施例方案涉及的总体运行流程图。

如图9所示，该方案用于告警关联分析设备，该告警关联分析设备运行相应程序，在预设时间段从ES数据库中定时读取包含有告警事件的防火墙数据，然后根据这些告警事件，通过相应的算法生成告警连通图和告警事件集并存入Redis数据库中。从Redis数据库中读取出这些告警事件集后，首先获取告警事件集中所有告警事件的发生时间，如果所有告警事件的发生时间距当前时间都没有超过一个月，则直接进行后续处理；如果存在发生时间距当前时间超过一个月的告警事件，则需删除一个月之前发生的告警事件，然后对剩余的告警事件进行后续处理。完成前述操作后，在后续的算法模块中完成对相应告警事件以及告警事件集的支持度、置信度以及其他相关参数的计算，最后得到各告警事件之间的关联性分析结果。

基于同一发明构思，本发明实施例还提供一种告警关联分析装置，参照图10所示，包括：

数据获取模块，用于获取预设时间段的日志数据，所述日志数据包括至少一个告警事件；

连通图生成模块，用于基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集；其中，所述告警事件集包括任意N个所述告警事件，N为大于或者等于1的整数；

事件集筛选模块，用于从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集；所述支持度为所述告警事件集在至少一个所述告警连通图中的出现次数与所述告警事件集总数的比值；

参数计算模块，用于针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；所述第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址；

关联分析模块，用于筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。

作为一种可选的实施例，告警关联分析装置还可包括：

连通图去重模块，用于删除所述告警连通图中重复获取的所述告警事件，得到去重后的告警连通图。

作为一种可选的实施例，告警关联分析装置还可包括：

遗忘处理模块，用于根据所述告警事件集的历史出现次数、新增次数、遗忘系数和预设公式，对所述告警事件集的出现次数进行更新，得到更新后的出现次数。

作为一种可选的实施例，告警关联分析装置还可包括：

事件删除模块，用于删除所述时间间隔超过预设时间间隔的告警事件，并更新所述告警事件集。

作为一种可选的实施例，告警关联分析装置还可包括：

结果验证模块，用于根据所述平均值，验证所述目标告警事件与所述剩余告警事件之间的关联性。

此外，在一实施例中，本申请还提供一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器运行时实现前述第一实施例中方法的步骤。

在一些实施例中，计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器；也可以是包括上述存储器之一或任意组合的各种设备。计算机可以是包括智能终端和服务器在内的各种计算设备。

在一些实施例中，可执行指令可以采用程序、软件、软件模块、脚本或代码的形式，按任意形式的编程语言(包括编译或解释语言，或者声明性或过程性语言)来编写，并且其可按任意形式部署，包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。

作为示例，可执行指令可以但不一定对应于文件系统中的文件，可被存储在保存其它程序或数据的文件的一部分，例如，存储在超文本标记语言(HTML，Hyper Text MarkupLanguage)文档中的一个或多个脚本中，存储在专用于所讨论的程序的单个文件中，或者，存储在多个协同文件(例如，存储一个或多个模块、子程序或代码部分的文件)中。

作为示例，可执行指令可被部署为在一个计算设备上执行，或者在位于一个地点的多个计算设备上执行，又或者，在分布在多个地点且通过通信网络互连的多个计算设备上执行。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种告警关联分析方法，其特征在于，所述方法包括以下步骤：

获取预设时间段的日志数据，所述日志数据包括至少一个告警事件；

基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集；其中，所述告警事件集包括任意N个所述告警事件，N为大于或者等于1的整数；

从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集；所述支持度为所述告警事件集在至少一个所述告警连通图中的出现次数与所述告警事件集总数的比值；

针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；所述第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址；

筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果；

所述基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集，包括：

将至少一个所述告警事件作为所述告警连通图的节点；

针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图；

所述针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图之后，包括：

删除所述告警连通图中重复获取的所述告警事件，得到去重后的告警连通图；所述去重后的告警连通图包括多个告警连通子图；

将每个连通子图包含的至少一个所述告警事件构成的集合作为所述告警事件集。

2.根据权利要求1所述的方法，其特征在于，所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前，所述方法还包括：

根据所述告警事件集的历史出现次数、新增次数、遗忘系数和预设公式，对所述告警事件集的出现次数进行更新，得到更新后的出现次数；其中，所述预设公式为：

c＝a*α+b*(1-α)；

其中，c为所述更新后的出现次数，a为所述历史出现次数，b为所述新增次数，α为所述遗忘系数；

将所述告警事件集的所述更新后的出现次数与所述告警事件集总数的比值作为所述支持度。

3.根据权利要求1所述的方法，其特征在于，所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前，所述方法还包括：

获取所述告警事件集中任一所述告警事件发生时的历史时间与当前时间的时间间隔；

删除所述时间间隔超过预设时间间隔的告警事件，并更新所述告警事件集。

4.根据权利要求1所述的方法，其特征在于，所述针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值，包括：

计算所述目标告警事件集的支持度和所述目标告警事件集中任一告警事件的支持度；

根据所述目标告警事件集的支持度和所述目标告警事件集中任一告警事件的支持度，得到所述置信度值。

5.根据权利要求1所述的方法，其特征在于，所述筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果之后，包括：

计算所述目标告警事件集中任一告警事件与所述目标告警事件集中剩余告警事件满足第二预设条件时的反向置信度值；所述第二预设条件为所述任一告警事件的源IP地址是所述剩余告警事件的目的IP地址；

计算所述目标告警事件集的所述置信度值和所述反向置信度值的平均值；

根据所述平均值，验证所述目标告警事件与所述剩余告警事件之间的关联性。

6.一种告警关联分析装置，其特征在于，所述装置包括：

数据获取模块，用于获取预设时间段的日志数据，所述日志数据包括至少一个告警事件；

连通图生成模块，用于基于至少一个所述告警事件的源IP地址和目的IP地址，生成至少一个告警连通图，并基于至少一个所述告警事件，生成至少一个告警事件集；其中，所述告警事件集包括任意N个所述告警事件，N为大于或者等于1的整数；

事件集筛选模块，用于从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集；所述支持度为所述告警事件集在至少一个所述告警连通图中的出现次数与所述告警事件集总数的比值；

参数计算模块，用于针对所述目标告警事件集中任一告警事件，计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值；所述第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址；

关联分析模块，用于筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件，以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果；

所述连通图生成模块，还用于将至少一个所述告警事件作为所述告警连通图的节点；针对任一所述告警事件，若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同，则将所述告警事件对应的节点与所述另一告警事件对应的节点相连，以生成至少一个所述告警连通图；删除所述告警连通图中重复获取的所述告警事件，得到去重后的告警连通图；所述去重后的告警连通图包括多个告警连通子图；将每个连通子图包含的至少一个所述告警事件构成的集合作为所述告警事件集。

7.一种告警关联分析设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的告警关联分析程序，所述告警关联分析程序被所述处理器执行时实现如权利要求1至5中任一项所述的告警关联分析方法的步骤。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有告警关联分析程序，所述告警关联分析程序被处理器执行时实现如权利要求1至5中任一项所述的告警关联分析方法的步骤。

Images