CN114679342B - 一种网络安全告警信息展示方法、装置、设备和介质 - Google Patents

一种网络安全告警信息展示方法、装置、设备和介质 Download PDF

Info

Publication number
CN114679342B
CN114679342B CN202210596061.3A CN202210596061A CN114679342B CN 114679342 B CN114679342 B CN 114679342B CN 202210596061 A CN202210596061 A CN 202210596061A CN 114679342 B CN114679342 B CN 114679342B
Authority
CN
China
Prior art keywords
alarm information
alarm
importance
network
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210596061.3A
Other languages
English (en)
Other versions
CN114679342A (zh
Inventor
朱延廷
曾晓丹
张文骏
欧阳卫年
李高明
谭振鹏
岳朝辉
陈锦荣
李响
彭飞进
吴树鸿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Foshan Power Supply Bureau of Guangdong Power Grid Corp
Original Assignee
Foshan Power Supply Bureau of Guangdong Power Grid Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Foshan Power Supply Bureau of Guangdong Power Grid Corp filed Critical Foshan Power Supply Bureau of Guangdong Power Grid Corp
Priority to CN202210596061.3A priority Critical patent/CN114679342B/zh
Publication of CN114679342A publication Critical patent/CN114679342A/zh
Application granted granted Critical
Publication of CN114679342B publication Critical patent/CN114679342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]

Abstract

本申请公开了一种网络安全告警信息展示方法、装置、设备和介质,获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;根据网络流量情况计算各告警信息的重要度;根据正确告警次数和告警总次数计算各告警信息的准确度;根据当前时间和各告警信息的生成时间计算各告警信息的时效性值;根据各告警信息的重要度、准确度和时效性值计算各告警信息的优先级;根据各告警信息的优先级对当前告警信息进行降序排序和展示,改善了现有技术按照时间顺序展示告警信息,需要用户对告警进行分析,提取重要的告警信息进行优先处理,存在效率低,可能导致无法及时处理重要告警,进而影响网络安全的技术问题。

Description

一种网络安全告警信息展示方法、装置、设备和介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络安全告警信息展示方法、装置、设备和介质。
背景技术
随着网络安全技术的发展,各类网络安全防护设备层出不穷,使用的病毒、威胁、攻击特征库千差万别,因此网络安全技术人员需要面对各种各样的网络安防设备告警,并及时对其进行分析和应对处置,人员分析能力的要求较高。
现有技术对集中监控的网络安全告警信息通常是按照时间顺序进行展示,需要用户对告警进行分析,提取重要的告警信息进行优先处理,存在效率低,可能导致无法及时处理重要告警,进而影响网络安全的技术问题。
发明内容
本申请提供了一种网络安全告警信息展示方法、装置、设备和介质,用于改善现有技术按照时间顺序展示告警信息,需要用户对告警进行分析,提取重要的告警信息进行优先处理,存在效率低,可能导致无法及时处理重要告警,进而影响网络安全的技术问题。
有鉴于此,本申请第一方面提供了一种网络安全告警信息展示方法,包括:
获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;
根据各网络安全设备在所述预置时间段内的网络流量最大值和网络流量平均值计算各所述告警信息的重要度;
计算各所述告警信息对应的网络安全设备在所述预置时间段内的正确告警次数与该网络安全设备在所述预置时间段内的告警总次数的比值,得到各所述告警信息的准确度;
根据当前时间和各所述告警信息的生成时间计算各所述告警信息的时效性值;
根据各所述告警信息的重要度、准确度和时效性值计算各所述告警信息的优先级;
根据各所述告警信息的优先级对所有所述告警信息进行降序排序,并根据排序后的顺序对所有告警信息进行展示。
可选的,所述告警信息合并处理的过程为:
计算不同网络安全设备生成的针对同一访问对象和访问来源的相同类别的告警信息之间的时间差;
将小于预置时间差阈值的所述时间差对应的相同类别的告警信息合并为同一告警信息,并保存合并后的各所述告警信息与网络安全设备的对应关系。
可选的,所述告警信息的重要度的计算过程为:
获取各网络安全设备在所述预置时间段内的网络流量最大值和网络流量平均值,通过重要度计算公式计算各网络安全设备的重要度,所述重要度计算公式为:
Figure 888990DEST_PATH_IMAGE001
式中,E i 为网络安全设备i的重要度,Q imax 为网络安全设备i在预置时间段内的网络流量最大值,Q iavg 为网络安全设备i在预置时间段内的网络流量平均值,
Figure 50982DEST_PATH_IMAGE002
为所有安全设备在预置时间段内的网络流量最大值之和,
Figure 299429DEST_PATH_IMAGE003
为所有安全设备在预置时间段内的网络流量平均值之和;
若所述告警信息对应的网络安全设备数量为1个,则将该告警信息对应的网络安全设备的重要度作为该告警信息的重要度,若所述告警信息对应的网络安全设备数量为2个以上,则将该告警信息对应的所有网络安全设备的重要度之和作为该告警信息的重要度。
可选的,所述告警信息的时效性值的计算过程为:
根据当前时间和各所述告警信息的生成时间,通过时效性值计算公式计算各所述告警信息的时效性值,所述时效性值计算公式为:
Figure 583780DEST_PATH_IMAGE004
式中,P j 为告警信息j的时效性值,D为当前时间,N j 为告警信息j的生成时间。
可选的,所述根据各所述告警信息的重要度、准确度和时效性值计算各所述告警信息的优先级,包括:
计算各所述告警信息的重要度、准确度和时效性值的乘积或对各所述告警信息的重要度、准确度和时效性值进行线性组合,得到各所述告警信息的优先级。
本申请第二方面提供了一种网络安全告警信息展示装置,包括:
获取单元,用于获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;
重要度计算单元,用于根据各网络安全设备在所述预置时间段内的网络流量最大值和网络流量平均值计算各所述告警信息的重要度;
准确度计算单元,用于计算各所述告警信息对应的网络安全设备在所述预置时间段内的正确告警次数与该网络安全设备在所述预置时间段内的告警总次数的比值,得到各所述告警信息的准确度;
时效性值计算单元,用于根据当前时间和各所述告警信息的生成时间计算各所述告警信息的时效性值;
优先级计算单元,用于根据各所述告警信息的重要度、准确度和时效性值计算各所述告警信息的优先级;
展示单元,用于根据各所述告警信息的优先级对所有所述告警信息进行降序排序,并根据排序后的顺序对所有告警信息进行展示。
可选的,所述获取单元具体用于:
获取预置时间段内所有网络安全设备生成的告警信息;
计算不同网络安全设备生成的针对同一访问对象和访问来源的相同类别的告警信息之间的时间差;
将小于预置时间差阈值的所述时间差对应的相同类别的告警信息合并为同一告警信息,并保存合并后的各所述告警信息与网络安全设备的对应关系。
可选的,所述优先级计算单元具体用于:
计算各所述告警信息的重要度、准确度和时效性值的乘积或对各所述告警信息的重要度、准确度和时效性值进行线性组合,得到各所述告警信息的优先级。
本申请第三方面提供了一种网络安全告警信息展示设备,所述设备包括处理器以及存储器;
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面任一种所述的网络安全告警信息展示方法。
本申请第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码被处理器执行时实现第一方面任一种所述的网络安全告警信息展示方法。
从以上技术方案可以看出,本申请具有以下优点:
本申请提供了一种网络安全告警信息展示方法,包括:获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;根据各网络安全设备在预置时间段内的网络流量最大值和网络流量平均值计算各告警信息的重要度;计算各告警信息对应的网络安全设备在预置时间段内的正确告警次数与该网络安全设备在预置时间段内的告警总次数的比值,得到各告警信息的准确度;根据当前时间和各告警信息的生成时间计算各告警信息的时效性值;根据各告警信息的重要度、准确度和时效性值计算各告警信息的优先级;根据各告警信息的优先级对当前告警信息进行降序排序,并根据排序后的顺序对当前告警信息进行展示。
本申请中,通过计算预置时间段内的告警信息的重要度、准确度和时效性值来计算各告警信息的优先级,从而根据优先级对当前告警信息进行排序和展示,充分考虑了告警的时效性、准确性和重要性,优先展示近期准确发生的重要告警,在告警量大、网络复杂的情况下,方便用户快速抓住主要问题、重点问题,方便优先处理,从而改善了现有技术按照时间顺序展示告警信息,需要用户对告警信息进行分析,提取重要的告警信息进行优先处理,存在效率低,可能导致无法及时处理重要告警,进而影响网络安全的技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种网络安全告警信息展示方法的一个流程示意图;
图2为本申请实施例提供的一种网络安全告警信息展示装置的一个结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于理解,请参阅图1,本申请实施例提供了一种网络安全告警信息展示方法,包括:
步骤101、获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理。
可以获取时间D-T到当前时间D(如过去一个月)之间的所有网络安全设备生成的告警信息组成一个样本集,当前时间D的单位为秒。
进一步,考虑到不同设备会产生相同的告警信息,因此,本申请实施例对告警信息进行合并。具体的,计算不同网络安全设备生成的针对同一访问对象和访问来源的相同类别的告警信息之间的时间差;将小于预置时间差阈值(如1秒)的时间差对应的相同类别的告警信息合并为同一告警信息,并保存合并后的各告警信息与网络安全设备的对应关系。
若不同的设备在预置时间差阈值内生成了相同的告警信息,则将这相同的告警信息合并为一条告警信息,合并后的告警信息的生成时间为合并前相同的告警信息的最晚生成时间。例如,假设预置时间差阈值为1秒,网络安全设备1和网络安全设备2在间隔1秒内先后生成了告警信息A、告警信息B,并且告警信息B的生成时间晚于告警信息1,经过比较发现告警信息A和告警信息B为相同的告警信息,此时可以将告警信息A和告警信息B合并为一条告警信息,并且合并后的告警信息的生成时间为告警信息B的生成时间。
步骤102、根据各网络安全设备在预置时间段内的网络流量最大值和网络流量平均值计算各告警信息的重要度。
可以根据产生告警信息的网络安全设备的网络流量情况来计算告警信息的重要度,告警信息的重要度的计算过程可以为:
获取各网络安全设备在预置时间段内的网络流量最大值和网络流量平均值,通过重要度计算公式计算各网络安全设备的重要度,重要度计算公式为:
Figure 933990DEST_PATH_IMAGE001
式中,E i 为网络安全设备i的重要度,Q imax 为网络安全设备i在预置时间段内(D-TD时间段内)的网络流量最大值,Q iavg 为网络安全设备i在预置时间段内的网络流量平均值,
Figure 650404DEST_PATH_IMAGE002
为所有安全设备在预置时间段内的网络流量最大值之和,
Figure 769670DEST_PATH_IMAGE003
为所有安全设备在预置时间段内的网络流量平均值之和;
若告警信息对应的网络安全设备数量为1个,则将该告警信息对应的网络安全设备的重要度作为该告警信息的重要度,若告警信息对应的网络安全设备数量为2个以上,则将该告警信息对应的所有网络安全设备的重要度之和作为该告警信息的重要度,如网络安全设备1、2和3在预置时间差阈值内都生成了某告警信息j,此时,该告警信息j的重要度E j =E 1+E 2+E 3
步骤103、计算各告警信息对应的网络安全设备在预置时间段内的正确告警次数与该网络安全设备在预置时间段内的告警总次数的比值,得到各告警信息的准确度。
计算各告警信息对应的网络安全设备在预置时间段内的正确告警次数m与该网络安全设备在预置时间段内的告警总次数M的比值,得到各告警信息的准确度,即告警信息j的准确度A j =m j /M。若告警信息j为首次发生,则设置该告警信息j的准确度为1。
步骤104、根据当前时间和各告警信息的生成时间计算各告警信息的时效性值。
告警信息的时效性值的计算过程可以为:
根据当前时间和各告警信息的生成时间,通过时效性值计算公式计算各告警信息的时效性值,时效性值计算公式为:
Figure 959343DEST_PATH_IMAGE004
式中,P j 为告警信息j的时效性值,D为当前时间(单位为秒),N j 为告警信息j的生成时间(单位为秒)。通过上述公式即可计算得到各告警信息在D-TD时间段内的时效性值。
步骤105、根据各告警信息的重要度、准确度和时效性值计算各告警信息的优先级。
可以计算各告警信息的重要度、准确度和时效性值的乘积,将该乘积作为各告警信息的优先级,即告警信息j的优先级为V j =E j ·A j ·P j 。也可以对各告警信息的重要度、准确度和时效性值进行线性组合,来获取告警信息的优先级。
步骤106、根据各告警信息的优先级对当前告警信息进行降序排序,并根据排序后的顺序对当前告警信息进行展示。
计算得到的优先级V j 的值越大,说明优先级越高,根据优先级V j 对当前告警信息进行降序排序,再根据排序后的顺序对当前告警信息进行展示,即优先级高的优先展示,从而方便用户优先处理重要告警信息,提高网络安全性。
本申请实施例中,通过计算预置时间段内的告警信息的重要度、准确度和时效性值来计算各告警信息的优先级,从而根据优先级对当前告警信息进行排序和展示,充分考虑了告警的时效性、准确性和重要性,优先展示近期准确发生的重要告警,在告警量大、网络复杂的情况下,方便用户快速抓住主要问题、重点问题,方便优先处理,从而改善了现有技术按照时间顺序展示告警信息,需要用户对告警信息进行分析,提取重要的告警信息进行优先处理,存在效率低,可能导致无法及时处理重要告警,进而影响网络安全的技术问题。
以上为本申请提供的一种网络安全告警信息展示方法的一个实施例,以下为本申请提供的一种网络安全告警信息展示装置的一个实施例。
请参考图2,本申请实施例提供的一种网络安全告警信息展示装置,包括:
获取单元,用于获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;
重要度计算单元,用于根据各网络安全设备在预置时间段内的网络流量最大值和网络流量平均值计算各告警信息的重要度;
准确度计算单元,用于计算各告警信息对应的网络安全设备在预置时间段内的正确告警次数与该网络安全设备在预置时间段内的告警总次数的比值,得到各告警信息的准确度;
时效性值计算单元,用于根据当前时间和各告警信息的生成时间计算各告警信息的时效性值;
优先级计算单元,用于根据各告警信息的重要度、准确度和时效性值计算各告警信息的优先级;
展示单元,用于根据各告警信息的优先级对当前告警信息进行降序排序,并根据排序后的顺序对当前告警信息进行展示。
作为进一步地改进,获取单元,具体用于:
获取预置时间段内所有网络安全设备生成的告警信息;
计算不同网络安全设备生成的针对同一访问对象和访问来源的相同类别的告警信息之间的时间差;
将小于预置时间差阈值的时间差对应的相同类别的告警信息合并为同一告警信息,并保存合并后的各告警信息与网络安全设备的对应关系。
作为进一步地改进,重要度计算单元,具体用于:
获取各网络安全设备在预置时间段内的网络流量最大值和网络流量平均值,通过重要度计算公式计算各网络安全设备的重要度,重要度计算公式为:
Figure 46116DEST_PATH_IMAGE001
式中,E i 为网络安全设备i的重要度,Q imax 为网络安全设备i在预置时间段内的网络流量最大值,Q iavg 为网络安全设备i在预置时间段内的网络流量平均值,
Figure 549910DEST_PATH_IMAGE002
为所有安全设备在预置时间段内的网络流量最大值之和,
Figure 851578DEST_PATH_IMAGE003
为所有安全设备在预置时间段内的网络流量平均值之和;
若告警信息对应的网络安全设备数量为1个,则将该告警信息对应的网络安全设备的重要度作为该告警信息的重要度,若告警信息对应的网络安全设备数量为2个以上,则将该告警信息对应的所有网络安全设备的重要度之和作为该告警信息的重要度。
时效性值计算单元,具体用于:
根据当前时间和各告警信息的生成时间,通过时效性值计算公式计算各告警信息的时效性值,时效性值计算公式为:
Figure 900568DEST_PATH_IMAGE004
;
式中,P j 为告警信息j的时效性值,D为当前时间,N j 为告警信息j的生成时间。
作为进一步地改进,优先级计算单元,具体用于:
计算各告警信息的重要度、准确度和时效性值的乘积或对各告警信息的重要度、准确度和时效性值进行线性组合,得到各告警信息的优先级。
本申请实施例中,通过计算预置时间段内的告警信息的重要度、准确度和时效性值来计算各告警信息的优先级,从而根据优先级对当前告警信息进行排序和展示,充分考虑了告警的时效性、准确性和重要性,优先展示近期准确发生的重要告警,在告警量大、网络复杂的情况下,方便用户快速抓住主要问题、重点问题,方便优先处理,从而改善了现有技术按照时间顺序展示告警信息,需要用户对告警信息进行分析,提取重要的告警信息进行优先处理,存在效率低,可能导致无法及时处理重要告警,进而影响网络安全的技术问题。
本申请实施例还提供了一种网络安全告警信息展示设备,设备包括处理器以及存储器;
存储器用于存储程序代码,并将程序代码传输给处理器;
处理器用于根据程序代码中的指令执行前述方法实施例中的网络安全告警信息展示方法。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质用于存储程序代码,程序代码被处理器执行时实现前述方法实施例中的网络安全告警信息展示方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以通过一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种网络安全告警信息展示方法,其特征在于,包括:
获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;
根据各网络安全设备在所述预置时间段内的网络流量最大值和网络流量平均值计算各所述告警信息的重要度;
计算各所述告警信息对应的网络安全设备在所述预置时间段内的正确告警次数与该网络安全设备在所述预置时间段内的告警总次数的比值,得到各所述告警信息的准确度;
根据当前时间和各所述告警信息的生成时间计算各所述告警信息的时效性值;
根据各所述告警信息的重要度、准确度和时效性值计算各所述告警信息的优先级;
根据各所述告警信息的优先级对当前告警信息进行降序排序,并根据排序后的顺序对当前告警信息进行展示。
2.根据权利要求1所述的网络安全告警信息展示方法,其特征在于,所述告警信息合并处理的过程为:
计算不同网络安全设备生成的针对同一访问对象和访问来源的相同类别的告警信息之间的时间差;
将小于预置时间差阈值的所述时间差对应的相同类别的告警信息合并为同一告警信息,并保存合并后的各所述告警信息与网络安全设备的对应关系。
3.根据权利要求2所述的网络安全告警信息展示方法,其特征在于,所述告警信息的重要度的计算过程为:
获取各网络安全设备在所述预置时间段内的网络流量最大值和网络流量平均值,通过重要度计算公式计算各网络安全设备的重要度,所述重要度计算公式为:
Figure 725057DEST_PATH_IMAGE001
式中,E i 为网络安全设备i的重要度,Q imax 为网络安全设备i在预置时间段内的网络流量最大值,Q iavg 为网络安全设备i在预置时间段内的网络流量平均值,
Figure 808682DEST_PATH_IMAGE002
为所有安全设备在预置时间段内的网络流量最大值之和,
Figure 560737DEST_PATH_IMAGE003
为所有安全设备在预置时间段内的网络流量平均值之和;
若所述告警信息对应的网络安全设备数量为1个,则将该告警信息对应的网络安全设备的重要度作为该告警信息的重要度,若所述告警信息对应的网络安全设备数量为2个以上,则将该告警信息对应的所有网络安全设备的重要度之和作为该告警信息的重要度。
4.根据权利要求2所述的网络安全告警信息展示方法,其特征在于,所述告警信息的时效性值的计算过程为:
根据当前时间和各所述告警信息的生成时间,通过时效性值计算公式计算各所述告警信息的时效性值,所述时效性值计算公式为:
Figure 570150DEST_PATH_IMAGE004
式中,P j 为告警信息j的时效性值,D为当前时间,N j 为告警信息j的生成时间。
5.根据权利要求1所述的网络安全告警信息展示方法,其特征在于,所述根据各所述告警信息的重要度、准确度和时效性值计算各所述告警信息的优先级,包括:
计算各所述告警信息的重要度、准确度和时效性值的乘积或对各所述告警信息的重要度、准确度和时效性值进行线性组合,得到各所述告警信息的优先级。
6.一种网络安全告警信息展示装置,其特征在于,包括:
获取单元,用于获取预置时间段内所有网络安全设备生成的告警信息并进行告警信息合并处理;
重要度计算单元,用于根据各网络安全设备在所述预置时间段内的网络流量最大值和网络流量平均值计算各所述告警信息的重要度;
准确度计算单元,用于计算各所述告警信息对应的网络安全设备在所述预置时间段内的正确告警次数与该网络安全设备在所述预置时间段内的告警总次数的比值,得到各所述告警信息的准确度;
时效性值计算单元,用于根据当前时间和各所述告警信息的生成时间计算各所述告警信息的时效性值;
优先级计算单元,用于根据各所述告警信息的重要度、准确度和时效性值计算各所述告警信息的优先级;
展示单元,用于根据各所述告警信息的优先级对当前告警信息进行降序排序,并根据排序后的顺序对当前告警信息进行展示。
7.根据权利要求6所述的网络安全告警信息展示装置,其特征在于,所述获取单元具体用于:
获取预置时间段内所有网络安全设备生成的告警信息;
计算不同网络安全设备生成的针对同一访问对象和访问来源的相同类别的告警信息之间的时间差;
将小于预置时间差阈值的所述时间差对应的相同类别的告警信息合并为同一告警信息,并保存合并后的各所述告警信息与网络安全设备的对应关系。
8.根据权利要求6所述的网络安全告警信息展示装置,其特征在于,所述优先级计算单元具体用于:
计算各所述告警信息的重要度、准确度和时效性值的乘积或对各所述告警信息的重要度、准确度和时效性值进行线性组合,得到各所述告警信息的优先级。
9.一种网络安全告警信息展示设备,其特征在于,所述设备包括处理器以及存储器;
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-5任一项所述的网络安全告警信息展示方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码被处理器执行时实现权利要求1-5任一项所述的网络安全告警信息展示方法。
CN202210596061.3A 2022-05-30 2022-05-30 一种网络安全告警信息展示方法、装置、设备和介质 Active CN114679342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210596061.3A CN114679342B (zh) 2022-05-30 2022-05-30 一种网络安全告警信息展示方法、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210596061.3A CN114679342B (zh) 2022-05-30 2022-05-30 一种网络安全告警信息展示方法、装置、设备和介质

Publications (2)

Publication Number Publication Date
CN114679342A CN114679342A (zh) 2022-06-28
CN114679342B true CN114679342B (zh) 2022-08-09

Family

ID=82080826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210596061.3A Active CN114679342B (zh) 2022-05-30 2022-05-30 一种网络安全告警信息展示方法、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN114679342B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834221A (zh) * 2022-11-28 2023-03-21 国网山东省电力公司信息通信公司 一种网络安全智能分析方法、系统、设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471808A (zh) * 2007-12-26 2009-07-01 英业达股份有限公司 一种群集储存系统的报警显示系统及方法
CN109191023A (zh) * 2018-11-07 2019-01-11 广东电网有限责任公司 一种电网告警信息快速处理方法及装置
CN114143054A (zh) * 2021-11-24 2022-03-04 杭州安恒信息安全技术有限公司 一种安全告警显示方法、系统、装置及服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160182274A1 (en) * 2014-12-17 2016-06-23 Alcatel-Lucent Canada Inc. System and method of prioritizing alarms within a network or data center

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471808A (zh) * 2007-12-26 2009-07-01 英业达股份有限公司 一种群集储存系统的报警显示系统及方法
CN109191023A (zh) * 2018-11-07 2019-01-11 广东电网有限责任公司 一种电网告警信息快速处理方法及装置
CN114143054A (zh) * 2021-11-24 2022-03-04 杭州安恒信息安全技术有限公司 一种安全告警显示方法、系统、装置及服务器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络安全管理系统中告警融合技术的研究设计;闫斌;《中国优秀硕士学位论文 信息科技辑 2011年》;20110315(第3期);全文 *

Also Published As

Publication number Publication date
CN114679342A (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
CN106936781B (zh) 一种用户操作行为的判定方法及装置
CN111352808A (zh) 告警数据处理方法、装置、设备及存储介质
CN110175549A (zh) 人脸图像处理方法、装置、设备及存储介质
CN111010291B (zh) 业务流程异常告警方法、装置、电子设备及存储介质
US20150205956A1 (en) Information processing apparatus, information processing method, and program
CN106415507A (zh) 日志分析装置、攻击检测装置、攻击检测方法以及程序
CN111314173B (zh) 监控信息异常的定位方法、装置、计算机设备及存储介质
CN105608517B (zh) 基于流的业务交易性能管理及可视化方法和装置
CN114679342B (zh) 一种网络安全告警信息展示方法、装置、设备和介质
CN107592236A (zh) 一种推广信息相关的业务数据的监控方法和装置
JP2014153721A (ja) ログ可視化装置及び方法及びプログラム
CN110704750A (zh) 基于用户标签的文章推送方法、装置、设备及存储介质
US10055460B2 (en) Analysis of parallel processing systems
CN106909492B (zh) 业务数据的追踪方法及装置
CN104809109B (zh) 一种社交信息展示方法、装置及服务器
CN112464818B (zh) 后厨监管方法、装置、设备及存储介质
CN109687999A (zh) 一种告警故障的关联分析方法、装置及设备
CN110322153A (zh) 监控事件处理方法及系统
KR20200019741A (ko) 데이터 분석 지원 시스템 및 데이터 분석 지원 방법
CN109639456A (zh) 一种自动化告警的改进方法及告警数据的自动化处理平台
CN113515606A (zh) 基于智慧医疗安全的大数据处理方法及智慧医疗ai系统
CN109254892A (zh) 一种生成报告的方法及装置
Fairbanks et al. A statistical framework for streaming graph analysis
CN112579833B (zh) 基于用户操作数据的业务关联关系获取方法及装置
CN115935237A (zh) 业务流量数据的异常检测方法、装置、电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant