CN114978757A - 一种告警聚合方法、装置、电子设备及存储介质 - Google Patents
一种告警聚合方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114978757A CN114978757A CN202210718674.XA CN202210718674A CN114978757A CN 114978757 A CN114978757 A CN 114978757A CN 202210718674 A CN202210718674 A CN 202210718674A CN 114978757 A CN114978757 A CN 114978757A
- Authority
- CN
- China
- Prior art keywords
- alarm
- information
- event information
- alarm information
- traffic data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 230000002776 aggregation Effects 0.000 title claims abstract description 52
- 238000004220 aggregation Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000003860 storage Methods 0.000 title claims abstract description 18
- 230000004931 aggregating effect Effects 0.000 claims abstract description 26
- 230000004048 modification Effects 0.000 claims description 16
- 238000012986 modification Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 10
- 238000005111 flow chemistry technique Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 abstract description 14
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种告警聚合方法、装置、电子设备及存储介质,涉及网络安全领域,方法包括:获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警;可基于告警信息的名称或网络流量数据的属性,对告警信息进行聚合,得到对应的安全事件信息,进而利用安全事件信息进行告警,不仅能够降低告警信息的数量,同时还能基于具体的安全事件进行告警,进而可提升相关人员处理网络安全事件的效率。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种告警聚合方法、装置、电子设备及存储介质。
背景技术
随着网络攻击的数量和复杂程度日益增加,许多公司都引入了网络安全技术或者网络安全检测防护系统以加强对网络威胁的检测能力。这些技术可对网络攻击进行检测,并生成告警信息以提示相关人员关注及处理。然而,由于网络攻击的数量较大,巨量的告警信息不仅难以帮助相关人员进行处理,甚至可能会淹没重要的危险告警并导致网络安全灾难。
发明内容
本发明的目的是提供一种告警聚合方法、装置、电子设备及存储介质,可基于告警信息的名称或网络流量数据的属性对告警信息进行聚合,并利用聚合后的安全事件信息进行告警,以降低告警数量并提升相关人员处理网络安全事件的效率。
为解决上述技术问题,本发明提供一种告警聚合方法,包括:
获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;
当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;
根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
可选地,所述根据所述告警信息的名称,将多条所述告警信息聚合为安全事件信息,包括:
将具有相同所述名称的告警信息聚合为所述安全事件信息,并在所述安全事件信息中添加所述相同所述名称的告警信息的数量及最后生成时间。
可选地,在利用所述网络流量数据生成与所述目标预设规则对应的告警信息之后,还包括:
将所述告警信息保存至卡夫卡流处理平台;
相应的,在将多条所述告警信息聚合为安全事件信息之前,还包括:
从所述卡夫卡流处理平台中提取所述告警信息。
可选地,所述利用所述安全事件信息进行告警,包括:
判断所述安全事件信息对应的预设安全等级是否高于预设告警等级;
若是,则将所述安全事件信息发送至指定设备。
可选地,在将多条所述告警信息聚合为安全事件信息之后,还包括:
对所述安全事件信息进行可视化输出。
可选地,还包括:
在接收到规则创建指令时,根据所述规则创建指令创建所述预设规则;
在接收到规则修改指令时,根据所述规则修改指令对与所述规则修改指令对应的预设规则进行修改。
可选地,所述根据所述告警信息的名称和所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,包括:
在确定所述告警信息具有线头标记时,判断预设数据库中是否保存有与所述名称对应的安全事件信息;
若是,则判断所述网络流量数据的属性是否与所述安全事件信息中的指定属性相同;若相同,则更新聚合所述安全事件信息的告警信息的数量及最后生成时间;若不相同,则利用所述告警信息在所述预设数据库中生成新安全事件信息;
若否,则利用所述告警信息在所述预设数据库中生成所述新安全事件信息。
本发明还提供一种告警聚合装置,包括:
匹配模块,用于获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;
告警生成模块,用于当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;
告警聚合模块,用于根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的告警聚合方法的步骤。
本发明还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的告警聚合方法的步骤。
本发明提供一种告警聚合方法,包括:获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
可见,本发明在获取到网络流量数据时,首先会将其与预设规则进行匹配,以确定这些流量数据是否包含网络攻击操作,并在确定与网络流量数据相匹配的目标预设规则时,利用网络流量数据生成对应的告警信息;随后,本发明将基于告警信息的名称或网络流量数据的属性,对告警信息进行聚合,得到对应的安全事件信息,进而利用安全事件信息进行告警,这样,不仅能够对告警信息进行降噪,大幅度地降低告警信息的数量,同时还能基于具体的安全事件进行告警,能够有效提升告警价值,进而可提升相关人员处理网络安全事件的效率。本发明还提供一种告警聚合装置、电子设备及存储介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种告警聚合方法的流程图;
图2为本发明实施例所提供的一种告警聚合装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着网络攻击的数量和复杂程度日益增加,许多公司都引入了网络安全技术或者网络安全检测防护系统以加强对网络威胁的检测能力。这些技术可对网络攻击进行检测,并生成告警信息以提示相关人员关注及处理。然而,由于网络攻击的数量较大,巨量的告警信息不仅难以帮助相关人员进行处理,甚至可能会淹没重要的危险告警并导致网络安全灾难。有鉴于此,本发明可提供一种告警聚合方法,可基于告警信息的名称或网络流量数据的属性对告警信息进行聚合,并利用聚合后的安全事件信息进行告警,以降低告警数量并提升相关人员处理网络安全事件的效率。请参考图1,图1为本发明实施例所提供的一种告警聚合方法的流程图,该方法可以包括:
S101、获取网络流量数据,并将网络流量数据与预设规则进行匹配。
在本发明实施例中,网络流量数据指外部设备对某一指定设备(如服务器)的访问流量数据,其可以由五元组(即源IP地址、源端口号、目的IP地址、目的端口号及传输层协议)组成。本发明实施例在获取到网络流量数据后,会将其与预设规则进行匹配。该预设规则用于确定网络流量数据对应的访问行为是否为网络攻击行为。当确定网络流量数据与某一预设规则匹配后,可根据该预设规则,利用网络流量数据生成对应的告警信息。需要说明的是,本发明实施例并不限定具体的预设规则,可根据网络流量数据可包含的具体内容,并结合实际应用需求进行设定。进一步,为提升对网络流量数据的监控效率,预设规则可自由创建及修改,执行本方法的装置可在接收到规则创建指令时,根据该指令创建对应的预设规则;还可在接收到规则修改指令时,根据该指令修改对应的预设规则。需要说明的是,本发明实施例并不限定规则创建指令及规则修改指令的具体形式,可根据实际应用需求进行设定。
在一种可能的情况中,还可以包括:
步骤11:在接收到规则创建指令时,根据规则创建指令创建预设规则;
步骤12:在接收到规则修改指令时,根据规则修改指令对与规则修改指令对应的预设规则进行修改。
S102、当确定与网络流量数据匹配的目标预设规则时,利用网络流量数据生成与目标预设规则对应的告警信息。
在确定与网络流量数据对应的目标预设规则之后,可利用网络流量数据生成与目标预设规则对应的告警信息。换而言之,告警信息中包含有网络流量信息的具体内容,例如当网络流量信息包含源IP地址、源端口号、目的IP地址、目的端口号及传输层协议时,告警信息中也可包含上述信息。此外,告警信息中还可包含其他内容,例如网络流量信息对应的发生时间、预设标签等,可根据实际应用需求进行设定。需要说明的是,本发明实施例并不限定特定告警信息对应的预设规则,可根据实际应用需求进行设定。
进一步,考虑到网络流量数据的数量巨大,为提升流处理效率,可在生成告警信息之后,将其保存至流处理平台;而在进行后续聚合操作时,可再次从流处理平台中提取出告警信息。本发明实施例并不限定具体的流处理平台,优选的,可采用卡夫卡流处理平台(Kafka)进行处理。
在一种可能的情况中,在利用网络流量数据生成与目标预设规则对应的告警信息之后,还可以包括:
步骤21:将告警信息保存至卡夫卡流处理平台。
S103、根据告警信息的名称和/或网络流量数据的属性,将多条告警信息聚合为安全事件信息,并利用安全事件信息进行告警。
在本发明实施例中,安全事件用于表示对系统安全造成威胁的攻击事件(例如暴力破解攻击事件、网络扫描窃听事件、漏洞攻击事件)等。将多条告警信息具体为安全事件信息,不仅能够减低告警量,更能够较好地帮助网络安全人员了解系统中正在发生的攻击事件,以便及时采取处理行动。对告警信息的聚合可根据告警信息的名称、网络流量数据的属性或这两种信息的组合进行。例如,可将具有相同告警信息名称的告警信息聚合为安全事件信息,并在安全事件信息中添加相同名称的告警信息的数量及最后生成时间,以便网络安全人员了解攻击状况。
在一种可能的情况中,根据告警信息的名称,将多条告警信息聚合为安全事件信息,可以包括:
步骤31:将具有相同名称的告警信息聚合为安全事件信息,并在安全事件信息中添加相同名称的告警信息的数量及最后生成时间。
当然,也可采取更加具有关联性的方式对告警信息进行聚合。具体的,告警信息中可带有线头标记,该标记用于表示此类告警信息具有相互关联性。当确定告警信息具有线头标记时,可在预设数据库中判断是否有与告警信息名称相对应的安全事件信息,若没有则可直接新建;若有,则可进一步判定告警信息中的属性是否与该安全事件信息中的指定属性相同,例如告警信息中的源IP地址是否与安全事件信息中的源IP地址相同,若相同则可进行聚合,并更新聚合数量及最后生成时间;若不相同,则可利用告警信息建立新的安全事件信息。
在一种可能的情况中,根据告警信息的名称和网络流量数据的属性,将多条告警信息聚合为安全事件信息,可以包括:
步骤41:在确定告警信息具有线头标记时,判断预设数据库中是否保存有与名称对应的安全事件信息;若是,则进入步骤42;若否,则进入步骤45;
步骤42:判断网络流量数据的属性是否与安全事件信息中的指定属性相同;若相同,则进入步骤43;若不相同,则进入步骤44;
步骤43:更新聚合安全事件信息的告警信息的数量及最后生成时间;
步骤44:利用告警信息在预设数据库中生成新安全事件信息;
步骤45:利用告警信息在预设数据库中生成新安全事件信息。
当然,若采用卡夫卡流处理平台处理告警信息,则在聚合之前还需从该平台中提取告警信息。
相应的,在将多条告警信息聚合为安全事件信息之前,还包括:
步骤51:从卡夫卡流处理平台中提取告警信息。
进一步,在得到安全事件信息之后,可采用可视化输出的方式展示这些信息,例如可采用表格的形式展示安全事件的具体内容,例如可视化图表(如饼图、折线图等)对安全事件信息中数据的分布及变化情况进行可视化展示,具体可根据实际应用需求进行选择。
在一种可能的情况中,在将多条告警信息聚合为安全事件信息之后,还可以包括:
步骤61:对安全事件信息进行可视化输出。
进一步,还可为各类安全事件信息设置对应的预设安全等级,并在确定某安全事件信息对应的预设安全等级以高于预设告警等级,将安全事件信息的具体内容推送至指定设备。本发明实施例并不限定预设安全等级、预设告警等级的具体设置方式,可根据实际应用需求进行设定,如设置低、中、高三个预设安全等级,并在确定某安全事件信息对应的预设安全等级以高于高等级时执行告警操作。本发明实施例也不限定向指定设备发送安全事件信息的具体方式,如通过短信或邮件的方式进行发送,可根据实际应用需求进行设定。
在一种可能的情况中,利用安全事件信息进行告警,可以包括:
步骤71:判断安全事件信息对应的预设安全等级是否高于预设告警等级;若是,则进入步骤72;若否,则不进行告警;
步骤72:将安全事件信息发送至指定设备。
基于上述实施例,本发明在获取到网络流量数据时,首先会将其与预设规则进行匹配,以确定这些流量数据是否包含网络攻击操作,并在确定与网络流量数据相匹配的目标预设规则时,利用网络流量数据生成对应的告警信息;随后,本发明将基于告警信息的名称或网络流量数据的属性,对告警信息进行聚合,得到对应的安全事件信息,进而利用安全事件信息进行告警,这样,不仅能够对告警信息进行降噪,大幅度地降低告警信息的数量,同时还能基于具体的安全事件进行告警,能够有效提升告警价值,进而可提升相关人员处理网络安全事件的效率。
下面对本发明实施例提供的告警聚合装置、电子设备及存储介质进行介绍,下文描述的告警聚合装置、电子设备及存储介质与上文描述的告警聚合方法可相互对应参照。
请参考图2,图2为本发明实施例所提供的一种告警聚合装置的结构框图,该装置可以包括:
匹配模块201,用于获取网络流量数据,并将网络流量数据与预设规则进行匹配;
告警生成模块202,用于当确定与网络流量数据匹配的目标预设规则时,利用网络流量数据生成与目标预设规则对应的告警信息;
告警聚合模块203,用于根据告警信息的名称和/或网络流量数据的属性,将多条告警信息聚合为安全事件信息,并利用安全事件信息进行告警。
可选地,告警聚合模块203,可以包括:
第一聚合子单元,用于将具有相同名称的告警信息聚合为安全事件信息,并在安全事件信息中添加相同名称的告警信息的数量及最后生成时间。
可选地,该装置还可以包括:
保存模块,用于在利用网络流量数据生成与目标预设规则对应的告警信息之后,将告警信息保存至卡夫卡流处理平台;
相应的,该装置还可以包括:
提取模块,用于在将多条告警信息聚合为安全事件信息之前,从卡夫卡流处理平台中提取告警信息。
可选地,告警聚合模块203,可以包括:
告警判断子模块,用于判断安全事件信息对应的预设安全等级是否高于预设告警等级;
发送子模块,用于若是,则将安全事件信息发送至指定设备。
可选地,在将多条告警信息聚合为安全事件信息之后,还包括:
可视化输出模块,用于对安全事件信息进行可视化输出。
可选地,还包括:
预设规则创建模块,用于在接收到规则创建指令时,根据规则创建指令创建预设规则;
预设规则修改模块,用于在接收到规则修改指令时,根据规则修改指令对与规则修改指令对应的预设规则进行修改。
可选地,告警聚合模块203,可以包括:
判断子模块,用于在确定告警信息具有线头标记时,判断预设数据库中是否保存有与名称对应的安全事件信息;
第一处理子模块,用于若是,则判断网络流量数据的属性是否与安全事件信息中的指定属性相同;若相同,则更新聚合安全事件信息的告警信息的数量及最后生成时间;若不相同,则利用告警信息在预设数据库中生成新安全事件信息;
第二处理子模块,用于若否,则利用告警信息在预设数据库中生成新安全事件信息。
本发明实施例还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的告警聚合方法的步骤。
由于电子设备部分的实施例与告警聚合方法部分的实施例相互对应,因此电子设备部分的实施例请参见告警聚合方法部分的实施例的描述,这里暂不赘述。
本发明实施例还提供一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述任意实施例的告警聚合方法的步骤。
由于存储介质部分的实施例与告警聚合方法部分的实施例相互对应,因此存储介质部分的实施例请参见告警聚合方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种告警聚合方法、装置、电子设备及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种告警聚合方法,其特征在于,包括:
获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;
当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;
根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
2.根据权利要求1所述的告警聚合方法,其特征在于,所述根据所述告警信息的名称,将多条所述告警信息聚合为安全事件信息,包括:
将具有相同所述名称的告警信息聚合为所述安全事件信息,并在所述安全事件信息中添加所述相同所述名称的告警信息的数量及最后生成时间。
3.根据权利要求1所述的告警聚合方法,其特征在于,在利用所述网络流量数据生成与所述目标预设规则对应的告警信息之后,还包括:
将所述告警信息保存至卡夫卡流处理平台;
相应的,在将多条所述告警信息聚合为安全事件信息之前,还包括:
从所述卡夫卡流处理平台中提取所述告警信息。
4.根据权利要求1所述的告警聚合方法,其特征在于,所述利用所述安全事件信息进行告警,包括:
判断所述安全事件信息对应的预设安全等级是否高于预设告警等级;
若是,则将所述安全事件信息发送至指定设备。
5.根据权利要求1所述的告警聚合方法,其特征在于,在将多条所述告警信息聚合为安全事件信息之后,还包括:
对所述安全事件信息进行可视化输出。
6.根据权利要求1所述的告警聚合方法,其特征在于,还包括:
在接收到规则创建指令时,根据所述规则创建指令创建所述预设规则;
在接收到规则修改指令时,根据所述规则修改指令对与所述规则修改指令对应的预设规则进行修改。
7.根据权利要求1至6任一项所述的告警聚合方法,其特征在于,所述根据所述告警信息的名称和所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,包括:
在确定所述告警信息具有线头标记时,判断预设数据库中是否保存有与所述名称对应的安全事件信息;
若是,则判断所述网络流量数据的属性是否与所述安全事件信息中的指定属性相同;若相同,则更新聚合所述安全事件信息的告警信息的数量及最后生成时间;若不相同,则利用所述告警信息在所述预设数据库中生成新安全事件信息;
若否,则利用所述告警信息在所述预设数据库中生成所述新安全事件信息。
8.一种告警聚合装置,其特征在于,包括:
匹配模块,用于获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;
告警生成模块,用于当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;
告警聚合模块,用于根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的告警聚合方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的告警聚合方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210718674.XA CN114978757A (zh) | 2022-06-23 | 2022-06-23 | 一种告警聚合方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210718674.XA CN114978757A (zh) | 2022-06-23 | 2022-06-23 | 一种告警聚合方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114978757A true CN114978757A (zh) | 2022-08-30 |
Family
ID=82964613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210718674.XA Withdrawn CN114978757A (zh) | 2022-06-23 | 2022-06-23 | 一种告警聚合方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978757A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664938A (zh) * | 2022-12-26 | 2023-01-31 | 北京天维信通科技有限公司 | 基于irc平台的非线性统计告警方法、装置和电子设备 |
CN116015873A (zh) * | 2022-12-27 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 网络安全告警处理方法、装置、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
CN112671767A (zh) * | 2020-12-23 | 2021-04-16 | 广东能源集团科学技术研究院有限公司 | 一种基于告警数据分析的安全事件预警方法及装置 |
CN114124453A (zh) * | 2021-10-20 | 2022-03-01 | 国能信息技术有限公司 | 网络安全信息的处理方法、装置、电子设备及储存介质 |
CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
-
2022
- 2022-06-23 CN CN202210718674.XA patent/CN114978757A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259202A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 一种ca监测预警方法和ca监测预警系统 |
CN112671767A (zh) * | 2020-12-23 | 2021-04-16 | 广东能源集团科学技术研究院有限公司 | 一种基于告警数据分析的安全事件预警方法及装置 |
CN114124453A (zh) * | 2021-10-20 | 2022-03-01 | 国能信息技术有限公司 | 网络安全信息的处理方法、装置、电子设备及储存介质 |
CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115664938A (zh) * | 2022-12-26 | 2023-01-31 | 北京天维信通科技有限公司 | 基于irc平台的非线性统计告警方法、装置和电子设备 |
CN115664938B (zh) * | 2022-12-26 | 2023-04-21 | 北京天维信通科技有限公司 | 基于irc平台的非线性统计告警方法、装置和电子设备 |
CN116015873A (zh) * | 2022-12-27 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 网络安全告警处理方法、装置、设备及存储介质 |
CN116015873B (zh) * | 2022-12-27 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 网络安全告警处理方法、装置、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114978757A (zh) | 一种告警聚合方法、装置、电子设备及存储介质 | |
CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
CN109766479B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN112636957B (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
CN110677287A (zh) | 基于体系化攻击的威胁告警生成方法和装置 | |
US10320815B2 (en) | Computer-implemented methods and systems for identifying visually similar text character strings | |
CN114172703A (zh) | 一种恶意软件识别方法、装置、介质 | |
CN111600897A (zh) | 一种网络安全事件等级评估方法、设备及其相关设备 | |
CN112822291A (zh) | 一种工控设备的监测方法与装置 | |
CN113468025A (zh) | 一种数据告警方法、系统、装置及存储介质 | |
CN113051573A (zh) | 一种基于大数据的主机安全实时监控警报系统 | |
CN110222484B (zh) | 一种用户身份识别方法、装置、电子设备及存储介质 | |
CN115174353A (zh) | 故障根因确定方法、装置、设备及介质 | |
CN108108618B (zh) | 伪造攻击的应用界面检测方法及装置 | |
CN113315785A (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
CN112836160A (zh) | 一种内容审核方法、装置和设备 | |
CN110471975B (zh) | 一种物联网态势感知调用方法和装置 | |
CN114760113B (zh) | 一种异常告警检测方法、装置及电子设备和存储介质 | |
CN111813811A (zh) | 电信诈骗预警方法、装置、电子设备及介质 | |
CN110737565A (zh) | 一种数据监控方法、装置、电子设备及存储介质 | |
CN113037578B (zh) | 设备捆绑口故障告警方法及装置 | |
CN113810351A (zh) | 网络攻击的攻击者确定方法及装置和计算机可读存储介质 | |
CN114363148B (zh) | 一种检测攻击告警的方法、装置、检测设备及存储介质 | |
CN116261139B (zh) | 基于5g消息的在线数据安全传输方法、系统及电子设备 | |
CN115801425A (zh) | 一种用于威胁情报匹配的方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220830 |