CN114760185A - 告警信息处理方法、装置、电子设备及存储介质 - Google Patents
告警信息处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114760185A CN114760185A CN202210255821.4A CN202210255821A CN114760185A CN 114760185 A CN114760185 A CN 114760185A CN 202210255821 A CN202210255821 A CN 202210255821A CN 114760185 A CN114760185 A CN 114760185A
- Authority
- CN
- China
- Prior art keywords
- alarm information
- merging
- alarm
- pieces
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 29
- 238000003672 processing method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 52
- 238000012545 processing Methods 0.000 claims abstract description 43
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 abstract description 19
- 238000012544 monitoring process Methods 0.000 description 12
- 230000001680 brushing effect Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000011010 flushing procedure Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0609—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本申请公开了一种告警信息处理方法、装置、电子设备及存储介质。其中,方法包括:基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理;告警信息表征触发对应的告警规则产生的信息;输出归并处理的告警信息。这样,将在告警规则、攻击者标识和/或受害者标识上相关的至少两条告警信息归并为一条告警信息,无须逐条处理产生的所有告警信息,提高了处理告警信息的效率。并且,上述方案可以将误报、扫描类攻击等多种原因产生的告警信息一并处理,无须为每个应用场景下可能出现的各种原因针对性地设置归并策略,因而普遍适用于各种应用场景。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种告警信息处理方法、装置、电子设备及存储介质。
背景技术
由于误报、扫描类攻击过多等原因,监控平台在短时间内生成海量的告警信息,造成告警信息刷屏。相关技术在面对告警信息时,处理效率低。
发明内容
有鉴于此,本申请实施例提供一种告警信息处理方法、装置、电子设备及存储介质,以至少解决相关技术在处理告警信息时效率低的问题。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种告警信息处理方法,所述方法包括:
基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理;告警信息表征触发对应的告警规则产生的信息;
输出归并处理的告警信息。
其中,上述方案中,所述基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,包括:
将对应的告警规则相同且攻击者标识相同的至少两条告警信息进行归并处理;和/或,
将对应的告警规则相同且受害者标识相同的至少两条告警信息进行归并处理。
上述方案中,所述对至少两条告警信息进行归并处理,包括:
在满足设定归并条件的情况下,对至少两条告警信息进行归并处理。
上述方案中,所述设定归并条件表征为对应的至少两条告警信息的风险指标大于第一设定阈值;所述风险指标基于对应的至少两条告警信息的告警信息数量、每条告警信息的确信度和/或每条告警信息的威胁程度确定。
上述方案中,所述设定归并条件包括以下至少之一:
对应的至少两条告警信息中每条告警信息的威胁程度均低于第二设定阈值;
对应的至少两条告警信息中每条告警信息的确信度均大于第三设定阈值。
上述方案中,所述设定归并条件表征为设定时间段内产生的告警信息的数量大于第四设定阈值。
上述方案中,在所述对至少两条告警信息进行归并处理之后,所述方法还包括:
基于进行归并处理的至少两条告警信息对应的告警规则及攻击者标识和/或受害者标识,生成第一归并策略;
将满足所述第一归并策略的告警信息进行归并处理。
本申请实施例还提供了一种告警信息处理装置,包括:
第一归并单元,用于基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理;告警信息表征触发对应的告警规则产生的信息;
输出单元,用于输出归并处理的告警信息。
本申请实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述告警信息处理方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述告警信息处理方法的步骤。
本申请实施例提供的一种告警信息处理方法、装置、电子设备及存储介质中,告警信息表征触发对应的告警规则产生的信息,基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,再输出归并处理的告警信息。在上述方案中,基于对应的告警规则,根据每条告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,这样,将在告警规则、攻击者标识和/或受害者标识上相关的至少两条告警信息归并为一条告警信息,无须逐条处理产生的所有告警信息,提高了处理告警信息的效率。并且,上述方案可以将误报、扫描类攻击等多种原因产生的告警信息一并处理,无须为每个应用场景下可能出现的各种原因针对性地设置归并策略,因而普遍适用于各种应用场景。
附图说明
图1为本申请实施例提供的告警信息处理方法实现流程示意图;
图2为本申请另一实施例提供的告警信息处理方法实现流程示意图;
图3为本申请实施例提供的一种告警信息处理装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
由于误报、扫描类攻击过多等原因,监控平台在短时间内生成海量的告警信息,造成告警信息刷屏。相关技术在面对告警信息时,处理效率低。
基于此,本申请实施例提供的一种告警信息处理方法、装置、电子设备及存储介质中,告警信息表征触发对应的告警规则产生的信息,基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,再输出归并处理的告警信息。在上述方案中,基于对应的告警规则,根据每条告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,这样,将在告警规则、攻击者标识和/或受害者标识上相关的至少两条告警信息归并为一条告警信息,无须逐条处理产生的所有告警信息,提高了处理告警信息的效率。并且,上述方案可以将误报、扫描类攻击等多种原因产生的告警信息一并处理,无须为每个应用场景下可能出现的各种原因针对性地设置归并策略,因而普遍适用于各种应用场景。
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1为本申请实施例提供的告警信息处理方法的实现流程示意图,本申请实施例提供了一种告警信息处理方法,应用于电子设备,其中,电子设备包括但不限于服务器、终端等电子设备。包括:
步骤101:基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理。
其中,告警信息表征触发对应的告警规则产生的信息。
监控平台设置有一些告警规则,在业务触发告警规则时监控平台会对应产生至少一条告警信息,并生成对应的安全日志。其中,告警信息用于描述业务对应的告警,包括以下至少之一:业务所触发的告警规则标识、攻击者标识、受害者标识、确信度和/或威胁程度。告警规则标识,即业务触发的告警规则的标识。攻击者标识、受害者标识分别为告警信息对应的安全事件的攻击者、受害者的标识。确信度表征告警信息的可靠程度,告警信息的确信度越高,则越有可能存在真实攻击者的攻击。威胁程度用于描述告警信息对应的安全事件的可能造成危害的严重程度,威胁程度越高的告警信息越有可能造成严重后果,可以通过严重等级描述威胁程度。
在监控平台运行过程中,判断产生的告警信息中是否存在第一数量的告警信息满足第一设定条件,且第一数量大于或等于设定数量;第一数量的告警信息满足第一设定条件则说明这些告警信息之间存在设定关系,例如,这些告警信息对应有相同或关联的告警规则。在存在第一数量的告警信息满足第一设定条件的情况下,将这第一数量的告警信息进行归并处理。其中,归并处理可以是在设定页面中显示的至少两条记录进行合并,告警信息归并处理后所对应的记录数量少于归并处理前的记录数量。设定数量可以设置为两个或以上;以设置为两个为例,判断产生的告警信息中是否存在至少两个告警信息满足第一设定条件,将这至少两个满足设定条件的告警信息进行归并处理。
这里,第一设定条件至少可以采用以下任一种方式设置:可以根据告警信息的告警规则标识和攻击者标识设定;可以根据告警信息的告警规则标识和受害者标识设定;还可以根据告警信息的告警规则标识、攻击者标识和受害者标识设定。
步骤102:输出归并处理的告警信息。
将归并处理后的告警信息输出。这里,可以将告警信息通过电子设备本身的显示屏以设定页面的方式输出;可以将告警信息输出至显示器等外部设备,由外部设备显示设定页面的方式进行展示。在此不进行限定。
在本申请实施例中,基于对应的告警规则,根据每条告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,这样,将在告警规则、攻击者标识和/或受害者标识上相关的至少两条告警信息归并为一条告警信息,无须逐条处理产生的所有告警信息,提高了处理告警信息的效率。并且,上述方案可以将误报、扫描类攻击等多种原因产生的告警信息一并处理,无须为每个应用场景下可能出现的各种原因针对性地设置归并策略,因而普遍适用于各种应用场景。
前文提及,第一设定条件表征这些告警信息之间存在设定关系。作为本申请的一个实施例,所述基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,包括:
将对应的告警规则相同且攻击者标识相同的至少两条告警信息进行归并处理;和/或,
将对应的告警规则相同且受害者标识相同的至少两条告警信息进行归并处理。
判断产生的告警信息中是否存在第一数量的告警信息,这些告警信息之间满足设定关系(满足第一设定条件),且第一数量大于或等于设定数量。在存在第一数量的告警信息满足第一设定条件的情况下,将这第一数量的告警信息进行归并处理。
这里,第一设定条件可以设定为告警信息之间满足以下任一种设定关系:这些告警信息对应有相同的告警规则和相同的攻击者标识;这些告警信息对应有相同的告警规则和相同的受害者标识;这些告警信息对应有相同的告警规则、相同的攻击者标识和相同的受害者标识。在以上任一种关系的告警信息的数量大于或等于设定数量的情况下,将这些告警信息进行归并。设定数量可以设置为两个或以上。
实际应用中,以设定数量为两个为例,且假设产生的告警信息都对应相同的告警规则,在监控平台运行过程中,依次产生:告警信息Ⅰ的攻击者来自192.168.0.×、受害者为210.1.1.×,告警信息Ⅱ的攻击者来自192.168.2.×、受害者为192.168.8.×,告警信息Ⅲ的攻击者来自223.168.10.×、受害者为192.168.8.×,告警信息Ⅳ的攻击者来自192.168.0.×、受害者为223.168.1.×,告警信息Ⅴ的攻击者来自223.168.10.×、受害者为192.168.8.×,将攻击者标识为同一网段192.168.0.×的告警信息Ⅰ、告警信息Ⅳ进行归并处理,将受害者标识为同一网段192.168.8.×的告警信息Ⅱ、告警信息Ⅲ、告警信息Ⅳ进行归并处理。
在满足以下任一情况下,将对应的告警信息进行归并处理:
在相同告警规则和相同攻击者标识的告警信息的数量大于或等于设定数量时,将这些告警信息进行归并处理;
在相同告警规则和相同受害者标识的告警信息的数量大于或等于设定数量时,将这些告警信息进行归并处理。
作为本申请的一个实施例,所述对至少两条告警信息进行归并处理,包括:
在满足设定归并条件的情况下,对至少两条告警信息进行归并处理。
根据监控平台在应用场景的具体情况,判断是否需要归并处理告警信息,在应用场景满足设定归并条件的情况下,再对相应的告警信息进行归并处理。其中,设定归并条件可以理解为进行归并处理需要满足的前置条件,在满足设定归并条件之后,再进行归并处理。
根据当前实际情况判断是否需要归并处理,在满足归并处理的前置条件时再进行归并处理,这样,在判断为即使不归并处理也不影响使用体验的情况时,不处理这些告警信息,从而使用户获得更好的使用体验。
实际应用中,设定归并条件可以根据需要,设置为与监控平台的评估指标、告警信息相关的阈值,用以判断监控平台所处的状态是否满足设定归并条件。
作为本申请的一个实施例,所述设定归并条件包括以下至少之一:
对应的至少两条告警信息中每条告警信息的威胁程度均低于第二设定阈值;
对应的至少两条告警信息中每条告警信息的确信度均大于第三设定阈值。
前文提及,告警信息用于描述对应的业务,包括以下至少之一:所触发的告警规则标识、攻击者标识、受害者标识、确信度和/或威胁程度。
将归并处理的前置条件设置为每条告警信息的威胁程度均低于第二设定阈值,在至少两条告警信息中的每条告警信息的威胁程度低于第二设定阈值的情况下,再将对应的告警信息进行归并处理;也就是说,归并处理的前置条件是对应的告警信息威胁程度较低。
将归并处理的前置条件设置为每条告警信息的确信度均大于第三设定阈值,在至少两条告警信息中的每条告警信息的确信度大于第三设定阈值的情况下,再将对应的告警信息进行归并处理;也就是说,归并处理的前置条件是对应的告警信息确信度较高。
确信度高的告警信息通常是真实攻击,威胁程度高的告警信息可能造成严重后果,这些通常是需要重点关注的告警信息。这里,通过前置条件的判断,在归并处理海量的关注度低的告警信息的同时,保留关注度高的告警信息,避免用户因归并处理而遗漏重要告警信息,从而提升监控平台运行的安全性。
作为本申请的一个实施例,所述设定归并条件表征为对应的至少两条告警信息的风险指标大于第一设定阈值;所述风险指标基于对应的至少两条告警信息的告警信息数量、每条告警信息的确信度和/或每条告警信息的威胁程度确定。
根据对应的至少两条告警信息(也就是满足第一设定条件的告警信息)的数量、每条告警信息的确信度和/或每条告警信息的威胁程度,确定出风险指标。这里,设置第一设定条件与攻击者标识相关时,对应的至少两条告警信息的数量通常表示一个攻击者攻击多个受害者,告警信息的数量可以是受害者的数量,也就是说,是一对多的告警刷屏;同理,设置第一设定条件与受害者标识相关时,对应的至少两条告警信息的数量通常表示多个攻击者攻击一个受害者,告警信息的数量可以是攻击者的数量,换句话说,是多对一的告警刷屏。
风险指标可以描述对应告警信息在归并前后的影响,告警信息的确信度越低、威胁程度越低、数量越大,告警信息不是真实攻击的可能性越高、因归并这些告警信息而可能造成的危害越小、归并后的展示效果越好,此时确定出的风险指标越大,在风险指标大于第一设定阈值的情况下,判断监控平台存在可归并的告警信息刷屏风险,并进行归并处理;也就是说,在本实施例中归并处理的前置条件是表征刷屏风险的风险指标较高。
作为本申请的一个实施例,所述设定归并条件表征为设定时间段内产生的告警信息的数量大于第四设定阈值。
这里,设定时间段可以根据需要进行设置,例如设置为当天0点到24点。在当天产生的告警信息的数量小于或等于第四设定阈值时,不进行告警信息归并处理。
在设定时间段内产生的告警信息的数量大于第四设定阈值的情况下,进行归并处理;也就是说,归并处理的前置条件是在设定时间段内产生的告警信息的数量较多。
通常,通过前置条件的判断,在判断为即使不归并处理也不影响使用体验的情况时,不处理这些告警信息,从而使用户获得更好的使用体验。
图2为本申请另一实施例提供的告警信息处理方法的实现流程示意图,本申请实施例提供了一种告警信息处理方法,应用于电子设备,包括:
步骤201:基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理。
其中,步骤201与步骤101相同,实现过程请参照步骤101中的相关描述。
步骤202:基于进行归并处理的至少两条告警信息对应的告警规则及攻击者标识和/或受害者标识,生成第一归并策略。
根据在确定归并处理的告警信息时所依据的设定条件,生成第一归并策略。在依据对应的告警规则和攻击者标识确定出归并处理的告警信息时,基于对应的告警规则和攻击者标识生成一条第一归并策略;在依据对应的告警规则和受害者标识确定出归并处理的告警信息时,基于对应的告警规则和受害者标识生成一条第一归并策略;在依据对应的告警规则、攻击者标识和受害者标识确定出归并处理的告警信息时,基于对应的告警规则、攻击者标识和受害者标识生成一条第一归并策略。
步骤203:将满足所述第一归并策略的告警信息进行归并处理。
在监控平台运行过程中,在产生的告警信息满足归并策略时,对告警信息进行归并处理。这里,可以是将新产生的告警信息与已归并处理的告警信息进行归并,也可以将一定时间段内产生的告警信息进行归并处理,在此不进行限定。
这样,根据实际应用场景所产生的告警信息,在运行过程中实时新增对应的归并策略,从而实现动态调整归并策略。同时,无须为每个应用场景下可能出现的各种原因针对性地设置具体的归并策略,因而普遍适用于各种应用场景。
下面结合应用实施例对本申请再作进一步详细的描述。
许多安全设备都存在告警过量导致刷屏问题,通常造成刷屏主要有两种原因:
1)正常业务误报。如果客户正常业务触发了告警规则,会产生数量巨大的告警。
2)扫描类攻击太多。如果客户有很多外网业务,野外的扫描攻击会很多,这种情况也会产生很多告警。
已有的态势感知告警方案,由技术人员人工处理刷屏的告警信息时,通常难以及时处置。告警刷屏给运维人员造成很大的困扰,刷屏严重时甚至可能导致产品不能正常使用。
目前,可以为已知的刷屏类型(例如扫描类攻击)预设归并策略,以规避对应的刷屏现象,可以规避已知的刷屏类型的刷屏现象,但对于一些未知刷屏类型的告警信息效果不佳。
基于此,本应用实施例提出了一种自适应的告警归并方案,通过安全设备运行过程中动态识别刷屏告警,并且动态调整归并策略。告警信息处理方法,至少包括:
1)评估刷屏风险。
对于一些告警信息数量较少的情况,可以不使用自适应归并策略。通过评估告警信息数量,如果当天告警量不超过设定阈值,则不启用自适应的告警处理方法。
2)动态识别刷屏告警。
刷屏主要分为两种类型:一对多刷屏和多对一刷屏。
这里,一对多刷屏就是一个攻击者对多个受害者触发相同的规则ID,比如一个攻击者对10个受害者触发同一个规则ID,如果没有归并处理告警信息,就会产生10条告警信息刷屏。同理,多对一刷屏就是多个攻击者对一个受害者触发相同的规则ID,生成多条告警。
这里,识别告警刷屏分为以下几步:
告警类型筛选是指不处理一些严重等级(威胁程度)较高、确信度较高的告警信息,这类告警如果导致刷屏现象,通常表示存在真实攻击者在持续发出攻击,需要引起客户注意,不需要对这些告警信息归并。
刷屏统计是指每隔20分钟统计是否有告警信息出现一对多或者多对一现象,一旦刷屏风险评估的风险指标超过内置阈值,则判定为刷屏风险。
其中,刷屏风险评估的风险指标是结合多条告警信息的刷屏现象、告警信息本身的确信度以及威胁程度计算的刷屏风险评估结果,评估方式为:刷屏程度+确信度+威胁程度。
3)动态调整归并策略。
如果出现一对多刷屏,则动态调整归并策略为一对多归并,比如上述案例中原本10条的告警,经过一对多归并之后则只生成一条告警,并生成“攻击者标识+告警规则ID”构成的归并策略,在此后满足这个归并策略的告警会直接归并处理,从而减少告警信息。
这样,通过具体的刷屏现象(一对多或多对一),实现对告警信息的归并,并动态生成响应的归并策略,从而实现未知刷屏类型的告警信息的归并。
为实现本申请实施例的方法,本申请实施例还提供了一种告警信息处理装置,如图3所示,该装置包括:
第一归并单元301,用于用于基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理;告警信息表征触发对应的告警规则产生的信息;
输出单元302,用于输出归并处理的告警信息。
其中,在一个实施例中,所述第一归并单元301,用于:
将对应的告警规则相同且攻击者标识相同的至少两条告警信息进行归并处理;和/或,
将对应的告警规则相同且受害者标识相同的至少两条告警信息进行归并处理。
在一个实施例中,所述第一归并单元301,用于:
在满足设定归并条件的情况下,对至少两条告警信息进行归并处理。
在一个实施例中,所述设定归并条件表征为对应的至少两条告警信息的风险指标大于第一设定阈值;所述风险指标基于对应的至少两条告警信息的告警信息数量、每条告警信息的确信度和/或每条告警信息的威胁程度确定。
在一个实施例中,所述设定归并条件包括以下至少之一:
对应的至少两条告警信息中每条告警信息的威胁程度均低于第二设定阈值;
对应的至少两条告警信息中每条告警信息的确信度均大于第三设定阈值。
在一个实施例中,所述设定归并条件表征为设定时间段内产生的告警信息的数量大于第四设定阈值。
在一个实施例中,所述装置还包括:
第二归并单元,用于在所述第一归并单元301对至少两条告警信息进行归并处理之后,基于进行归并处理的至少两条告警信息对应的告警规则及攻击者标识和/或受害者标识,生成第一归并策略;将满足所述第一归并策略的告警信息进行归并处理。
实际应用时,所述第一归并单元301、所述输出单元单元302、所述第二归并单元可由基于告警信息处理装置中的处理器,比如中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,MicrocontrollerUnit)或可编程门阵列(FPGA,Field-Programmable Gate Array)等实现。
需要说明的是:上述实施例提供的告警信息处理装置在进行告警信息处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的告警信息处理装置与告警信息处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例告警信息处理方法,本申请实施例还提供了一种电子设备。图4为本申请实施例电子设备的硬件组成结构示意图,如图4所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、电子设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
可以理解的是,在本申请实施例中,涉及到用户信息的数据,当本申请实施例运用到具体产品或技术中时,需要获得用户许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。除非另有说明和限定,术语“连接”应做广义理解,例如,可以是电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
另外,在本申请实例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本申请的实施例可以除了在这里图示或描述的那些以外的顺序实施。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一个”表示多个中的任意一个或多个中的至少两个的任意组合,例如,包括A、B、C中的至少一个,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
在具体实施方式中所描述的各个实施例中的各个具体技术特征,在不矛盾的情况下,可以进行各种组合,例如通过不同的具体技术特征的组合可以形成不同的实施方式,为了避免不必要的重复,本申请中各个具体技术特征的各种可能的组合方式不再另行说明。
Claims (10)
1.一种告警信息处理方法,其特征在于,所述方法包括:
基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理;告警信息表征触发对应的告警规则产生的信息;
输出归并处理的告警信息。
2.根据权利要求1所述的方法,其特征在于,所述基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理,包括:
将对应的告警规则相同且攻击者标识相同的至少两条告警信息进行归并处理;和/或,
将对应的告警规则相同且受害者标识相同的至少两条告警信息进行归并处理。
3.根据权利要求1所述的方法,其特征在于,所述对至少两条告警信息进行归并处理,包括:
在满足设定归并条件的情况下,对至少两条告警信息进行归并处理。
4.根据权利要求3所述的方法,其特征在于,所述设定归并条件表征为对应的至少两条告警信息的风险指标大于第一设定阈值;所述风险指标基于对应的至少两条告警信息的告警信息数量、每条告警信息的确信度和/或每条告警信息的威胁程度确定。
5.根据权利要求3所述的方法,其特征在于,所述设定归并条件包括以下至少之一:
对应的至少两条告警信息中每条告警信息的威胁程度均低于第二设定阈值;
对应的至少两条告警信息中每条告警信息的确信度均大于第三设定阈值。
6.根据权利要求3所述的方法,其特征在于,所述设定归并条件表征为设定时间段内产生的告警信息的数量大于第四设定阈值。
7.根据权利要求1所述的方法,其特征在于,在所述对至少两条告警信息进行归并处理之后,所述方法还包括:
基于进行归并处理的至少两条告警信息对应的告警规则及攻击者标识和/或受害者标识,生成第一归并策略;
将满足所述第一归并策略的告警信息进行归并处理。
8.一种告警信息处理装置,其特征在于,包括:
第一归并单元,用于基于对应的告警规则,根据告警信息中的攻击者标识和/或受害者标识,对至少两条告警信息进行归并处理;告警信息表征触发对应的告警规则产生的信息;
输出单元,用于输出归并处理的告警信息。
9.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至7任一项所述方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210255821.4A CN114760185A (zh) | 2022-03-15 | 2022-03-15 | 告警信息处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210255821.4A CN114760185A (zh) | 2022-03-15 | 2022-03-15 | 告警信息处理方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114760185A true CN114760185A (zh) | 2022-07-15 |
Family
ID=82327873
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210255821.4A Pending CN114760185A (zh) | 2022-03-15 | 2022-03-15 | 告警信息处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114760185A (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019080918A1 (zh) * | 2017-10-26 | 2019-05-02 | 中兴通讯股份有限公司 | 压减冗余告警的方法、网管设备及存储介质 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
| CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
| CN112087331A (zh) * | 2020-09-03 | 2020-12-15 | 赵玉洁 | 基于大数据的告警管理系统及方法 |
| CA3161652A1 (en) * | 2019-11-14 | 2021-05-20 | Envision Digital International Pte. Ltd. | Method and apparatus for configuring alarm rule of iot device, device, and storage medium |
| WO2021136247A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 一种告警处理方法、装置以及存储介质 |
| WO2021174835A1 (zh) * | 2020-03-04 | 2021-09-10 | 平安科技(深圳)有限公司 | 告警信息处理方法、装置、计算机装置及存储介质 |
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
| CN113660115A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于告警的网络安全数据处理方法、装置及系统 |
| CN113691524A (zh) * | 2021-08-23 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种告警信息处理方法、系统、电子设备及存储介质 |
| CN113904815A (zh) * | 2021-09-22 | 2022-01-07 | 深信服科技股份有限公司 | 一种告警聚合方法、装置、设备及计算机存储介质 |
-
2022
- 2022-03-15 CN CN202210255821.4A patent/CN114760185A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019080918A1 (zh) * | 2017-10-26 | 2019-05-02 | 中兴通讯股份有限公司 | 压减冗余告警的方法、网管设备及存储介质 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
| CN110677287A (zh) * | 2019-09-24 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 基于体系化攻击的威胁告警生成方法和装置 |
| CA3161652A1 (en) * | 2019-11-14 | 2021-05-20 | Envision Digital International Pte. Ltd. | Method and apparatus for configuring alarm rule of iot device, device, and storage medium |
| WO2021136247A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 一种告警处理方法、装置以及存储介质 |
| WO2021174835A1 (zh) * | 2020-03-04 | 2021-09-10 | 平安科技(深圳)有限公司 | 告警信息处理方法、装置、计算机装置及存储介质 |
| CN112087331A (zh) * | 2020-09-03 | 2020-12-15 | 赵玉洁 | 基于大数据的告警管理系统及方法 |
| CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
| CN113660115A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于告警的网络安全数据处理方法、装置及系统 |
| CN113691524A (zh) * | 2021-08-23 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种告警信息处理方法、系统、电子设备及存储介质 |
| CN113904815A (zh) * | 2021-09-22 | 2022-01-07 | 深信服科技股份有限公司 | 一种告警聚合方法、装置、设备及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4080368A1 (en) | Alarm information generation method and apparatus, electronic device, and storage medium | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN114363044B (zh) | 一种分层告警方法、系统、存储介质和终端 | |
| CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
| CN105681274B (zh) | 一种原始告警信息处理的方法及装置 | |
| CN110602135A (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CN115225385B (zh) | 一种流量监控方法、系统、设备及计算机可读存储介质 | |
| CN110049028A (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
| CN114338372A (zh) | 网络信息安全监控方法及系统 | |
| CN114124587B (zh) | 一种攻击链的处理方法、系统及电子设备 | |
| KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
| CN114760185A (zh) | 告警信息处理方法、装置、电子设备及存储介质 | |
| CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| CN115567258B (zh) | 网络安全态势感知方法、系统、电子设备及存储介质 | |
| CN116248381A (zh) | 一种告警聚合方法、装置、电子设备及存储介质 | |
| CN113904815B (zh) | 一种告警聚合方法、装置、设备及计算机存储介质 | |
| CN115208601B (zh) | 一种主动防御恶意扫描的方法及系统 | |
| CN115550068A (zh) | 一种主机日志信息安全审计方法 | |
| CN113992355A (zh) | 一种攻击预测方法、装置、设备及机器可读存储介质 | |
| CN108804947B (zh) | 用于确定对数据库进行操作的白名单的方法和装置 | |
| CN113807697A (zh) | 基于告警关联的派单方法及装置 | |
| CN113315739A (zh) | 一种恶意域名的检测方法及系统 | |
| CN113377623B (zh) | 告警规则的自动生成方法、装置和电子设备 | |
| CN110730165A (zh) | 数据处理方法及装置 | |
| CN117560222B (zh) | 基于树形结构的设备管理方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |