CN115001753B

CN115001753B - 一种关联告警的分析方法、装置、电子设备及存储介质

Info

Publication number: CN115001753B
Application number: CN202210512418.5A
Authority: CN
Inventors: 余丽辉; 王全; 章瑞康; 袁军; 袁帅; 黄�俊
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2022-05-11
Filing date: 2022-05-11
Publication date: 2023-06-09
Anticipated expiration: 2042-05-11
Also published as: CN115001753A

Abstract

本申请涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质，解决实现关联告警分析的方式复杂，无法实现有效防护的问题，方法为：确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，分析确定对应的关联告警事件，这样，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护。

Description

一种关联告警的分析方法、装置、电子设备及存储介质

技术领域

本公开涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质。

背景技术

随着网络技术的发展以及大数据技术的日趋成熟，为网络安全事件的关联分析带来了可能，挖掘出网络安全事件之间的关联关系。

目前，进行安全事件的关联告警分析通常借助于预先配置的关联告警规则，实现关联告警分析，使得在执行防护时通过加载关联告警规则实现防护，能够快速识别出与所述关联告警规则匹配的，危害程度较高的告警事件，并进行针对性防护。

然而，相关技术下配置的关联告警规则存在以下问题，一方面关联告警规则依赖于相关领域的技术人员的人工编写，关联告警规则的存在形式复杂，且维护难度很大，稍有改动就需要大范围的重新调整和更新，另一方面配置的关联告警规则主要针对已知安全事件的分析，因此，仅能够防护危害程度较高的告警事件，而且仅能够覆盖小范围的防护场景，无法实现全面的安全防护。

有鉴于此，需要一种新的关联告警的分析方法，以解决上述问题。

发明内容

本发明实施例提供一种关联告警的分析方法、装置、电子设备及存储介质，用以解决现有技术中存在的实现关联告警分析的方式复杂，难以维护，覆盖度较低，无法实现有效防护和运营效率低的问题。

本发明实施例提供的具体技术方案如下：

第一方面，提出一种关联告警的分析方法，包括：

根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；

确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；

针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

可选的，所述根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，还包括：

分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱；

遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列，其中，所述事理图谱中包括各个危机告警事件对应的各个节点，以及表征危机告警事件发生的先后关系的有向边。

可选的，所述遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，所述确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列之前，还包括：

针对所述各个危机告警序列，分别执行以下操作：

确定一个危机告警序列中包括的危机告警事件总量，并根据所述危机告警事件总量，生成滑动窗口内至少包括两个危机告警事件的各个滑动窗口；

分别采用所述各个滑动窗口，在所述一个危机告警序列中，按照设定的步长和方向滑动，并将对应的滑动窗口所覆盖的各个危机告警事件，确定为一个危机告警子序列。

可选的，所述分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱，包括：

分别获取各个溯源分析报告中的危机告警事件，并对应所述各个溯源分析报告中的各个第一被攻击对象，分别提取关联的各个危机告警事件各自对应的时间信息，其中，所述危机告警事件对应的攻击事件满足预设的筛选条件；

对应分别针对所述各个第一被攻击对象提取的，各个危机告警的标识信息，生成事理图谱中的各个节点；

分别根据攻击所述各个第一被攻击对象时产生的，各个危机告警事件的时间信息，在对应的各个节点间，建立表征危机告警事件发生时序的有向边。

可选的，包括：

确定所述最长公共子序列满足预设判定条件时，基于所述最长公共子序列触发危机示警。

可选的，基于历史告警集合中各个历史告警事件的发生时序，分别确定各个告警事件与各个其他告警事件间的告警关联度，包括：

分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件，以及将每组历史告警事件进行序列压缩后，得到相应的去除噪音数据的历史告警序列；

针对每个历史告警序列中，除末端历史告警事件外的每个目标历史告警事件，分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列；

针对每个关联告警序列，分别执行以下操作：根据所述关联告警序列在各个历史告警序列和所述各个危机告警序列中的包含情况、以及生成所述关联告警序的历史告警序列中，相应的目标历史告警事件与候选历史告警事件之间的时序顺序差异，确定所述关联告警序列包含的、所述目标历史告警事件与候选历史告警事件之间的告警关联度。

可选的，所述分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件，包括：

获得各个安全防护设备上报的历史告警集合，并将所述各个安全防护设备针对同种攻击触发的历史告警事件，进行标识信息的归一处理；

确定各个历史告警事件各自针对的第二被攻击对象，并按照时序顺序分别将所述各个历史告警事件中，针对相同第二被攻击对象的历史告警事件进行排列聚合。

可选的，所述分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列，包括：

针对每个目标历史告警事件，分别执行以下操作：

在所述目标历史告警事件归属的历史告警序列中，确定时序顺序在所述目标历史告警事件之后的各个候选历史告警事件；

分别将所述目标历史告警事件与所述各个候选历史告警事件，组合生成各个关联告警序列，其中，一个关联告警序列中包括所述目标历史告警事件和一个候选历史告警事件。

可选的，所述根据所述关联告警序列在各个历史告警序列和所述各个危机告警序列中的包含情况、以及生成所述关联告警序的历史告警序列中，相应的目标历史告警事件与候选历史告警事件之间的时序顺序差异，确定所述关联告警序列包含的、所述目标历史告警事件与候选历史告警事件之间的告警关联度，包括：

根据包括一个目标历史告警事件的各个关联告警序列，分别执行以下操作：

确定包括所述关联告警序列的各个目标历史告警序列，并根据所述各个目标历史告警序列中所述关联告警序列对应的、目标历史告警事件与候选历史告警事件之间的时序顺序差异，以及所述关联告警序列在所述各个危机告警序列中的出现情况，分别计算所述关联告警序列中的所述目标历史告警事件与候选历史告警事件，在所述各个目标历史告警序列中的关联值；

基于获得的各个关联值，以及所述各个目标历史告警序列在历史告警序列中的占比，计算所述目标历史告警事件与候选历史告警事件之间的告警关联度。

可选的，还包括：

确定所述关联告警分析结果中已发生的各个告警事件，并在确定所述已发生的各个告警事件中包括满足所述预设的筛选条件的危机告警事件时，针对确定的危机告警事件，在所述事理图谱中，在新增对应的节点和有向边。

第二方面，提出一种关联告警的分析装置，包括：

建立单元，用于根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；

确定单元，用于确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；

分析单元，用于针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

可选的，所述根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，所述建立单元还用于：

可选的，所述遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，所述确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列之前，所述建立单元还用于：

针对所述各个危机告警序列，分别执行以下操作：

可选的，所述分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱时，所述建立单元用于：

可选的，所述建立单元还用于：

可选的，基于历史告警集合中各个历史告警事件的发生时序，分别确定各个告警事件与各个其他告警事件间的告警关联度时，所述确定单元用于：

可选的，所述分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件时，所述确定单元用于：

可选的，所述分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列时，所述确定单元用于：

针对每个目标历史告警事件，分别执行以下操作：

可选的，所述根据所述关联告警序列在各个历史告警序列和所述各个危机告警序列中的包含情况、以及生成所述关联告警序的历史告警序列中，相应的目标历史告警事件与候选历史告警事件之间的时序顺序差异，确定所述关联告警序列包含的、所述目标历史告警事件与候选历史告警事件之间的告警关联度时，所述确定单元用于：

可选的，所述分析单元还用于：

第三方面，提出一种计算机可读的电子设备，包括：

存储器，用于存储可执行指令；

处理器，用于读取并执行所述存储器中存储的可执行指令，以实现上述第一方面中任一项所述的方法。

第四方面，提出一种存储介质，当所述存储介质中的指令由电子设备执行时，使得所述电子设备能够执行上述第一方面中任一项所述的方法。

本申请有益效果如下：

本申请针对性的提出一种关联告警的分析方法、装置、电子设备及存储介质，根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

这样，在进行告警分析时，借助于预先建立的各个危机告警序列，以及预先确定的告警事件之间的关联度，能够挖掘出告警事件对应的潜在攻击模式，使得基于已发生的告警事件，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护，一定程度上提升了网络的防攻击能力，能够极大地减少或提前识别并阻断安全威胁。

附图说明

图1a为本申请实施例中关联告警的分析流程示意图；

图1b为本申请实施例中将告警序列拆分为短序列的示意图；

图1c为本申请实施例中对告警事件进行压缩的示意图；

图2a为本申请实施例中生成危机告警序列的流程示意图；

图2b为本申请实施例中生成的事理谱图示意图；

图2c为本申请实施例中示意的待分析告警序列与一个危机告警序列的匹配矩阵示意图；

图2d为本申请实施例中针对一个危机告警序列生成各个危机告警子序列的流程示意图；

图2e为本申请实施例中滑动窗口的滑动示意图；

图3a为本申请实施例中分别确定各个告警事件与各个其他告警事件间的告警关联度的流程示意图；

图3b为本申请实施中不同位置的历史告警事件示意图；

图4为本申请实施例中进行关联分析的示意图；

图5为本申请实施例中包括的各功能模块示意图；

图6为本申请实施例中关联告警的分析装置的逻辑结构示意图；

图7为本公开实施例中关联告警的分析装置的实体结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请技术方案的一部分实施例，而不是全部的实施例。基于本申请文件中记载的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请技术方案保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够在除了这里图示或描述的那些以外的顺序实施。

相关技术下，随着网络技术发展，新型的网络攻击层出不穷，为了保障网络系统的正常运行，通常部署诸如防火墙、漏洞扫描系统、入侵检测系统、审计系统、防篡改系统在内的多类安全防护设备。相应的，各个安全防护设备会产生海量冗余的设备告警，从而引起“告警风暴”，使得运维人员难以对告警逐个分析，无法快速准确地找到真实有效的网络威胁和攻击事件。

相关技术下的实现方案中，通过预先人工编写关联告警规则，实现关联告警分析，使得在执行防护时通过加载关联告警规则实现防护，能够快速识别出固定模式下危害程度较高的安全事件，以及识别出与所述关联告警规则匹配的、危害程度较高的告警事件，进而进行针对性防护。

然而，相关技术下配置的关联告警规则存在以下问题，一方面关联告警规则依赖于相关领域的技术人员的人工编写，关联告警规则的存在形式复杂，且维护难度很大，稍有改动就需要大范围的重新调整和更新，另一方面配置的关联告警规则仅能够覆盖小范围的防护场景，仅覆盖了危害程度较高的告警事件，无法实现全面的安全防护。

针对现有技术中存在的实现关联告警分析的方式复杂，无法实现有效防护的问题，本申请针对性的提出一种关联告警的分析方法、装置、电子设备及存储介质，本申请所提出的技术方案中，根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

这样，在进行告警分析时，借助于预先建立的各个危机告警序列，以及预先确定的告警事件之间的关联度，能够挖掘出告警事件对应的潜在攻击模式，使得基于已发生的告警事件，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护，一定程度上提升了网络的防攻击能力，能够极大地减少或阻断安全威胁。

下面结合附图，对本申请优选的实施例进行进一步详细说明：

本申请实施例中，能够执行关联告警的分析方法的处理设备，可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器，还可以是桌面计算机、移动电话、移动电脑、平板电脑、安全防护设备(如安全防护平台)等电子设备。

参阅图1a所示，其为本申请实施例中关联告警的分析流程示意图，下面结合附图1a，对本申请实施例中关联告警的分析流程进行说明：

需要说明的是，本申请实施例中，处理设备可以针对各个对象进行告警监控，并能够根据所述各个对象各自关联的告警事件，分别分析对应的关联告警，以下的描述中，仅以对一个目标对象进行关联告警分析为例，进行示意性说明，其中，目标对象具体可以是被监控的终端、终端集群等设备：

步骤101：处理设备根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列。

具体的，处理设备根据目标对象关联的各个安全防护设备各自上报的告警事件，确定所述目标对象关联的各个待分析告警事件，并按照所述目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，其中，所述告警事件是指触发安全防护设备的防护操作后，由安全防护设备上报的事件，对应所述告警事件在相应的安全防护设备的告警日志中，通常记录有对应的时间戳信息(以下简称时间信息)、告警类型信息、触发防护操作的异常信息，以及告警消息内容中的至少一项或组合；所述接收时序是指接收各个待分析告警事件的时间顺序，也即，各个待分析告警事件被触发的时间顺序，其中，每个告警事件关联有时间信息。

本申请一些可能的实施例中，处理设备在获取各个安全防护设备上报的待分析告警事件后，可以直接按照针对目标对象的各个待分析告警事件的接收时序，建立对应的待分析告警序列。具体的，所述处理设备将所述目标对象的IP地址作为目的IP，进而将聚合得到的所述目的IP对应的告警事件，作为所述目标对应关联的待分析告警事件，其中，所述目的IP对应的告警事件是指所述目标对象受到攻击后，对所述目标对象进行防护的安全防护设备上报的告警事件。

本申请另一些可能的实施例中，所述处理设备获得各个安全防护设备上报的告警事件后，可以对各个告警事件进行预处理，得到目标对象对应的各个待分析告警事件，进而基于各个待分析告警事件的接收时序，建立对应的待分析告警序列，其中，获取目标对象关联的告警事件的过程，与上述描述的、确定目标对象的目的IP对应的告警事件过程相同，本申请在此不再赘述。

在预处理过程中，所述处理设备可以先统一对应相同告警事件的标识信息，这样可以明确不同安全防护设备针对相同攻击场景上报的相同告警事件，以便确定存在的告警事件的类型，实现告警事件的表示信息归一化；再按照目标对象的IP地址，对获得的各个告警事件进行分组，得到针对所述目标对象的各个告警事件；然后按照时序先后顺序排列所述目标对象的各个告警事件，得到告警序列后，针对所述告警序列进行序列压缩，完成预处理，其中，所述序列压缩过程包括对重复告警事件的删除、以及按照时间间隔对告警序列进行划分；所述统一对应相同告警事件的标识信息的过程，也可以在按照时序先后顺序对所述目标对象的各个告警事件进行排序得到告警时间序列之后执行，本申请对此不做具体限制。

具体的，在统一对应相同告警事件的标识信息时，考虑到得到的告警事件可能来自于不同的安全防护设备，因此，对于相同告警事件可能对应不同的标识信息，其中，标识信息可以理解为告警名称，一个标识信息用于指代唯一一个告警事件。因此，所述处理设备在基于当前获得的待分析告警事件进行分析时，或者，基于曾发生的历史告警事件进行分析时，可以将指代同一攻击场景中相同告警事件的各个标识信息进行名称统一处理。

例如，由于同厂商不同设备所产生的告警名称(标识信息)和数据结构存在差异，以“ssh登录”和“ssh登录认证”为例，虽然告警名称(标识信息)存在差异，但是实则指代同一个攻击场景(攻击事件)。

所述处理设备可以采用Leven编辑距离，计算获得的各个告警事件的标识信息之间的相似度，进将筛选出的相似度满足预设相似度阈值的各相似告警事件，确定为对应相同攻击场景的相同告警事件，并将所述各相似告警事件的标识信息转换为统一格式数据。

需要说明的是，Leven编辑距离，指的是在两个单词之间，由其中一个单词转换为另一个单词所需要的最少单字符编辑操作次数。在设置预设相似度阈值时，可以以0.1为间隔，依次计算不同厂商的安全防护设备的日志中，告警名称相似性大于该阈值的数量后，根据实际的处理需要进行实际判断后选取。

这样，借助于对告警事件的标识信息进行的相似度计算，能够在后续的分析过程中，提高数据的兼容性，避免由于标识信息不统一所带来的歧义，提高匹配准确率，使得本申请所提出的方案能够适配于多个不同厂商的安全防护设备同时参与防护的场景中。

在对按照时序排列的告警序列进行序列压缩时，所述处理设备可以按照预设的第一时间阈值，将告警序列拆分为若干个短序列，进而针对各短序列中连续重复出现的告警事件进行压缩，删除连续重复出现的告警事件中重复的部分，其中，对重复内容进行压缩处理是本领域的常规技术，本申请在此不做具体说明。

例如，参阅图1b所示，其为本申请实施例中将告警序列拆分为短序列的示意图；假设预设的第一时间阈值为12小时，那么可以从告警序列中的首个告警事件开始，将12个小时跨度内的告警事件，作为一个分段，以及针对切分后的告警序列中的首个告警事件，重复执行上述操作，直至切分完成。在图1b所示意的举例中，告警事件1作为首个告警事件，对应的时间信息为00:21:23，那么，12个小时的跨度对应的时间点为12:21:23，即可以确定截止至告警事件6，进而将告警事件1-6作为分段1；进一步的切分后的告警序列中，告警事件7作为首个告警事件，对应的时间信息为12:45:27，那么同理，12个小时的跨度对应的时间点为后一天的00:45:27。

又例如，参阅图1c所示，其为本申请实施例中对告警事件进行压缩的示意图，假设告警序列为a1、a2、a3、a1、a2、a3，那么经过压缩后，得到a1、a2、a3；假设告警序列为a1、a1、a2、a2、a3、a3，那么经过压缩后，得到a1、a2、a3。

这样，在减少重复的告警事件和乱序等噪音数据的影响的同时，能够保留关键信息，提高了处理效率。

本申请实施例中，在针对拆分后的各个短序列进行去重后，将各个短序列中的告警事件作为待分析告警事件，并按照时序顺序，重新组合处理后的各个短序列中的待分析告警事件，得到待分析告警序列。

本申请可能的实施例中，经过数据预处理步骤可以拆分得到包括多个较短待分析告警序列的非重复告警事件集合，在标记每个待分析告警事件时，可以借助于目标对象的IP地址和待分析告警事件的时间信息进行标识，具体可以记录为<目标对象的IP地址，起始位置处告警事件的时间信息，结束位置处告警事件的时间信息，待分析告警序列>。

另外，所述处理设备在针对目标对象进行针对性分析时，考虑到网络攻击过程是一个渐进的过程，且通常可以被划分为不同的攻击阶段，而先前的攻击阶段可能不会产生明显的异常，那么，所述处理设备可以根据实际的处理需要，得到所述目标对象关联的N个告警事件后，开始进行关联告警分析，其中，N的取值根据实际需要配置，本申请不做具体限制。

所述处理设备将各个告警事件按照对应的时间信息的先后顺序，排列为待分析告警序列后，进一步确定所述各个待分析告警序列与各个危机告警序列之间的最长公共子序列。

需要说明的是，为了判定待分析告警序列中包括的各个告警事件的危机程度，可以将所述待分析告警序列与各个危机告警序列进行匹配，确定所述待分析告警序列与所述各个危机告警序列之间的最长公共子序列，其中，筛选最长公共子序列的原因在于，最长公共子序列能够表征待分析告警序列与各个危机告警序列之间，包括最多的共有告警事件的子序列，能够更好的判断与危机告警序列之间的匹配情况。因此，基于所述最长公共子序列，来判定所述待分析告警序列中告警事件的异常情况更具处理意义。

本申请实施例中，所述处理设备获得的各个危机告警序列，可以是基于各个溯源分析报告分析确定的，其中，所述溯源分析报告中记录有溯源确定的，对被攻击对象造成不良影响的各个攻击事件，以及所述各个攻击事件各自对应的告警事件，所述各个溯源报告可以是不同安全防护设备上报的，或者，可以是同一安全防护设备上报的，本申请对此不做具体限制。

可选择地，本申请实施例中，可以在根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，预先生成各个危机告警序列。

参阅图2a所示，其为本申请实施例中生成危机告警序列的流程示意图，下面结合附图2a，对生成各个危机告警序列的流程进行说明：

步骤A1：处理设备分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱。

在执行步骤A1时，处理设备分别获取各个溯源分析报告中的危机告警事件，并对应所述各个溯源分析报告中的各个第一被攻击对象，分别提取关联的各个危机告警事件各自对应的时间信息，其中，所述危机告警事件对应的攻击事件满足预设的筛选条件；再对应分别针对所述各个第一被攻击对象提取的，各个危机告警的标识信息，生成事理图谱中的各个节点；然后分别根据攻击所述各个第一被攻击对象时产生的，各个危机告警事件的时间信息，在对应的各个节点间，建立表征危机告警事件发生时序的有向边。

可选择地，本申请实施例中，可以根据实际的处理需要，对危机告警事件进行定义，并从在溯源分析报告中筛选确定危机告警事件，具体的，可以通过对溯源报告中的攻击事件设置筛选条件，确定符合所述筛选条件的攻击事件之后，将筛选出的攻击事件对应的告警事件，确定为危机告警事件。

可以理解的是，告警事件与攻击事件是相互对应的，告警事件可以理解为基于攻击事件产生。

例如，可以根据溯源分析报告中，溯源确定的各个生命阶段的告警事件，并将处于指定网络攻击生命阶段的告警事件，确定为危机告警事件。

另外，所述处理设备获取溯源分析报告后，可以根据实际的处理需要，过滤无关告警事件，其中，所述无关告警事件可以是与外部设备的操作无关的告警事件，如，内存不同告警等。

需要说明的是，处理设备可以根据实际处理需要，依据对网络攻击生命阶段的不同定义，针对性的选择指定阶段内的告警事件，作为危机告警事件。

例如，假设网络攻击生命周期阶段包括：侦查、初步入侵、命令与控制、横向移动、目标达成，以及渗透、破坏与中断，这六个阶段，那么，可以在确定处于后三个阶段：横向移动、目标达成，以及渗透、破坏与中断中的攻击事件后，将确定的攻击事件所对应的告警事件，作为危机告警事件。

又例如，参阅表1所示，其为根据溯源分析报告的提取的时序关联告警示意表，在表1数据中，“MS-SQL数据库用户登录SQL服务器失败”和“MSSQL xp_cmdshell执行”分别是先后发生的两个告警事件，同理，可以从各个溯源分析报告中梳理出告警事件的时序关系，为事理图谱的生成提供处理依据。

表1

时间信息	日志消息内容
		2021/3/3 7:26:39	MS-SQL数据库用户登录SQL服务器失败
2021/3/3 7:27:15	MSSQL xp_cmdshell执行

另外，本申请中，根据实际的处理需要，在溯源分析过程中，对应告警事件得到的信息中还可能包括有防护类型和安全设备厂商，已提供更多可参考的依据，其中，所述日志防护类型具体可以为“入侵防护日志”等。根据表1所示意的，时间信息和日志消息内容，可以作为“键”，并根据在告警日志中对应提取的内容作为对应的“键值”。进一步的，通过对抽取各个告警事件之间的时序关系，确定各个告警事件发生的先后顺序，初步建立事理图谱。

本申请实施例中，为了保证生成的时序序列具有参考性，故需要对应各个溯源分析报告中的各个第一被攻击对象，分别提取关联的各个危机告警事件各自对应的时间信息，其中，一个第一被攻击对象关联的各个危机告警事件，具体是指，在对所述一个第一被攻击对象进行攻击的各个攻击事件中，针对满足预设的筛选条件的攻击事件所确定的告警事件。

进一步的，所述处理设备分别确定所述各个第一被攻击对象，各自对应的危机告警序列后，针对提取的各个危机告警序列中各自包括的，危机告警事件的标识信息，生成事理谱图中的各个节点，其中，危机告警序列中的各个危机告警事件按照发生时间的先后顺序排列，所述事理图谱中对应一个危机告警事件仅存在一个对应的节点，即，不同危机告警序列中包括相同危机告警事件时，仅会在所述事理图谱中生成一个对应的节点。

然后，所述处理设备按照所述各个危机告警序列中，各个危机告警事件的发生的先后顺序，在所述事理图谱中建立对应的节点之间的有向边，即，所述处理设备分别根据攻击所述各个第一被攻击对象时产生的，各个危机告警事件的时间信息，分别确定对应的各个危机告警事件之间的时序关系后，根据所述时序关系，建立危机告警事件对应的节点之间的有向边，其中，有向边由先发生的危机告警事件指向后发生的危机告警事件。

需要说明的是，本申请实施例中，针对不同危机告警事件分别配置对应的标识信息，以标识不同攻击对象针对被攻击对象发起的同种攻击。另外，考虑到事理图谱的生成是通过分析已有的告警事件生成的，故考虑到已有的告警事件可能不足以支撑危机告警事件之间关系的构建，故在生成的事理图谱的过程中，可以融合相关技术人员的分析经验，在确定存在先后发生次序的危机告警事件之间建立有向边。

例如，参阅图2b所示，其为本申请实施例中生成的事理谱图示意图，假设针对第一被攻击对象X，建立的危机告警序列包括：MS-SQL数据库用户登录SQL服务器失败(2021/3/26 13:26:39)->MSSQL xp_cmdshell执行(2021/3/26 13:27:36)->数据库执行dump操作(2021/3/26 13:28:03)；假设针对第一被攻击对象Y，建立的危机告警序列包括：MSSQL sp_start_job执行(2021/4/16 03:26:03)->MSSQL xp_cmdshell执行(2021/4/16 03:27:26)->数据库执行dump操作(2021/4/16 03:28:27)，那么，可以建立如图2b所示意的事理图谱示意图，在图2b所示意的事理图谱中，“节点”表征危机告警事件对应的标识信息(告警名称)，“边”表征危机告警事件之间的发生的时序关系，图2b中任意一条危机告警事件序列，表征针对攻击事件推理的逻辑序列，可作为识别攻击事件的关联规则。

这样，通过在事理图谱中对应危机告警事件建立对应的节点，以及根据各个第一被攻击对象关联的危机告警序列中，各个危机告警事件发生的先后顺序，在事理图谱中的节点间建立的有向边，能够直观的展示各个危机告警事件之间发生的先后顺序，为针对危机告警事件的分析提供了处理依据。另外，基于溯源分析报告来构建事理图谱，综合了先验知识和专家知识，能够揭示网络安全事件的时序和因果关系。

步骤A2：处理设备遍历事理图谱中的各个危机告警节点，生成各个危机告警序列。

处理设备可以基于事件图谱中具有时序关系的危机告警事件，生成危机告警序列，其中，所述事理图谱中包括各个危机告警事件对应的各个节点，以及表征危机告警事件发生的先后关系的有向边。

具体的，所述处理设备可以采用深度优先遍历算法，对事理图谱中的所有节点进行遍历，生成至少一条危机告警序列，其中，在遍历所述事理图谱中的各个节点时，按照连接各个节点的有向边的方向，实现节点的遍历，使得建立的危机告警序列中，相邻的危机告警事件之间存在发生的先后时序关系，采用所述深度优先遍历算法进行节点遍历是本领域的常规技术，本申请在此不做具体说明。

本申请实施例中，在确定待分析告警序列与各个危机告警序列之间的最长公共子序列时，可以采用以下两种方式：

方式一、处理设备直接比较确定待分析告警序列与各个危机告警序列之间的最长公共子序列。

具体的，处理设备可以针对所述各个危机告警序列，分别建立与待分析告警序列之间的矩阵关系，其中，一个危机告警序列中的各个危机告警事件分别作为一个矩阵中的各个列标签，待分析告警序列中包括的各个待分析告警事件，分别作为所述一个矩阵中的各个行标签。进而采用动态规划算法，分别确定待分析告警序列与各个危机告警序列之间的最长公共子序列。

下面以对一个危机告警序列与待分析告警序列进行分析为例，对采用动态规划算法确定最长公共子序列的过程进行说明：

假设待分析告警序列为：y1、y2、y3…ym；假设一个危机告警序列为：a1、a2、a3…an，那么，可知共有m个待分析告警事件，共有n个危机告警事件，进而参阅图2c所示，其为本申请实施例中建立的矩阵示意图，所述处理设备可以建立如图2c所示意的矩阵，所述矩阵用于存储按照告警事件发生的时序先后顺序，进行时的动态规划过程，其中，所述矩阵的第0行和第0列中的参数均为0，那么建立的矩阵具体为(m+1)×(n+1)的矩阵。

所述处理设备针对矩阵中行号为1至m行的告警事件，执行动态规划算法，具体采用以下公式实现：

其中，L(i，j)表征矩阵中i行对应的待分析告警事件，与j列对应危机告警事件之间的匹配情况，根据公式示意的内容可知，若匹配则取值为1，否则取值为0，i的取值范围为[0，m]，j的取值范围为[0，n]。

所述处理设备在采用所述动态规划算法进行处理的过程中，若确定当前比较的待分析告警序列中的告警事件，与危机告警事件中的告警事件匹配成功，则将匹配结果写入候选的最长公共子序列(Longest Common Subsequence，LCS)中，然后继续比较待分析告警序列和危机告警序列中，后续的告警事件的匹配情况，若确定当前比较的待分析告警序列和危机告警序列中的告警事件未匹配成功，则直接进行后续告警事件的匹配。最终将匹配确定的候选最长公共子序列存储在指定列表中，所述指定列表记为matchseq。

之后，所述处理设备在各个危机告警序列中，分别确定与待分析告警序列匹配的告警事件后，分别确定所述待分析告警序列与所述各个危机告警序列之间的最长公共子序列。

方式二、处理设备分别将各个危机告警序列拆分为各个危机告警子序列后，基于危机告警子序列与待分析告警事件的匹配情况，确定对应的最长公共子序列。

需要说明的是，本申请实施例中，考虑到可能存在部分危机告警序列较长，即，部分危机告警序列中包括的危机告警事件较多，而在真实的网络入侵场景下，可能获取不到完整的攻击链，因此无法与危机告警序列进行有效匹配。另外，考虑到危机告警事件通常对应危机程度高的攻击事件，即对应高置信度的攻击事件，且本申请意图对危机告警事件之间关联分析，故，可以将危机告警事件进行拆分，得到各个危机告警子序列，其中，为体现危机告警事件之间的关联性，故危机告警子序列中至少包括两个危机告警事件；所述高置信度的确定方式可以针对置信度设置置信度阈值，并将对应的置信度阈值高于所述置信度阈值的告警事件，称为高置信度的告警事件；所述置信度用于衡量告警事件对应的攻击事件的异常程度，置信度越高表征攻击事件带来的影响越大、异常程度越严重。

具体的，参阅图2d所示，其为本申请实施例中针对一个危机告警序列生成各个危机告警子序列的流程示意图，下面结合附图2d，对本申请实施例中，所述处理设备遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，针对所述各个危机告警序列，分别执行的操作进行说明：

步骤A2-1：处理设备确定一个危机告警序列中包括的危机告警事件总量，并根据所述危机告警事件总量，生成滑动窗口内至少包括两个危机告警事件的各个滑动窗口。

具体的，处理设备确定一个危机告警序列中包括的危机告警事件总量后，根据所述危机告警事件总量，生成各个滑动窗口，其中，滑动窗口的数目为N-1，N为所述一个危机告警序列中包括的危机告警事件总数，且N>＝2。

步骤A2-2：处理设备分别采用各个滑动窗口，在一个危机告警序列中，按照设定的步长和方向滑动，并将对应的滑动窗口所覆盖的各个危机告警事件，确定为一个危机告警子序列。

具体的，处理设备根据获得的各个危机告警序列，分别生成与所述各个危机告警序列各自对应的各个滑动窗口；进而针对每个危机告警序列，分别采用对应各个滑动窗口，在所述危机告警序列中，按照设定的步长和方向滑动，并将每次滑动后，滑动窗口所覆盖的各个危机告警事件，确定为一个危机告警子序列，其中，所述设定的步长和方向根据实际的处理需要设置，如，将步长设置为1，将方向设置为表征事件发生先后的时序方向。

例如，假设一个危机告警序列中包括的4个危机告警事件，且设定的步长为1，设定的方向为时序先后的方向，那么，能够确定的滑动窗口为3个，确定的各个滑动窗口中包括的危机告警事件分别为2个、3个，以及4个。

又例如，对于窗口范围内包括2个危机告警事件的滑动窗口来说，参阅图2e所示，其为本申请实施例中滑动窗口的滑动示意图，根据图2e所示意的内容可知，对于危机告警序列a1、a2、a3、a4来说，当以包括两个危机告警事件的滑动窗口在危机告警序列上滑动时，能够得到a1、a2；a2、a3。

又例如，参阅表2所示，其示意了基于危机告警序列a1、a2、a3、a4能够得到的危机告警子序列：

表2

这样，通过对危机告警序列进行拆分，能够得到拆分后的各个危机告警子序列，使得能够根据危机告警序列建立更多的匹配规则，为后续对待分析告警序列的分析提供处理依据。

另外，方式一和方式二的处理方式中，危机告警序列的产生相当于可以根据事理图谱自动化的产生了大量真实可靠的关联规则，并且便于维护和更新。

进一步的，所述处理设备建立待分析告警序列，并得到建立的各个危机告警子序列之后，确定所述待分析告警序列与危机告警子序列之间的匹配情况，并将匹配的包括最多危机告警事件的公共子序列作为最长公共子序列。

需要说明的是，本申请实施例中，确定最长公共子序列的原因在于，最大程度的确定待分析告警序列与各个危机告警序列的匹配情况，在基于最长公共子序列进行分析时，能够最大程度上的考量待分析告警序列与各个危机告警序列之间的匹配情况。

本申请实施例中，在存在有分别根据各个危机告警序列确定的各个危机告警子序列的情况下，所述处理设备在确定待分析告警序列与各个危机告警序列支架的最长公共子序列时，具体是确定出待分析告警序列中包括的最长的危机告警子序列。

具体实施时，所述处理设备针对待分析告警序列，基于动态规划算法确定与其匹配的危机告警子序列，其中，匹配标准是危机告警子序列中各个危机告警事件的排列顺序，与待分析告警序列中各个告警事件的排列顺序一致。

所述处理设备在采用所述动态规划算法确定匹配的危机告警子序列时，可以针对所述各个危机告警子序列，分别建立与所述待分析告警序列之间的矩阵关系，具体的，将确定的危机告警子序列中的各个危机告警事件分别作为矩阵的行标签，并将待分析告警序列中的各个危机告警事件作为对应的矩阵中的列标签。进而在建立矩阵关系后，继续采用方式一中示意的动态规划算法，在所述各个危机告警子序列中，确定所述待分析告警序列对应的最大公共子序列，其中，采用所述动态规划算法进行处理的过程和存储方式与方式一中相同，本申请在此不再赘述。

这样，通过将待分析告警序列与危机告警序列进行序列匹配，能够解决已知攻击行为的自动化关联告警，而且在构建待分析告警序列和危机告警序列时，由于在数据的预处理中对不同厂商的安全防护设备的、告警事件进行标识信息相似度的计算，使得构建的事理图谱兼容性更强，可完全匹配的概率更高；另外，通过对不同安全防护设备上报的告警事件的标识信息进行相似度计算，能够实现相同告警事件的标识信息的统一，一方面能够增大序列匹配模式下，待分析告警序列与危机告警序列匹配成功的概率，另一方面，能够提升不同设备关联分析威胁的分析能力。

步骤102：处理设备确定最长公共子序列不满足预设判定条件时，确定待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度。

具体的，处理设备获得根据待分析告警序列确定的最长公共子序列后，确定所述最长公共子序列满足预设判定条件时，则基于所述最长公共子序列触发危机示警，反之，确定所述最长公共子序列不满足预设判定条件时，继续执行后续的关联判定操作，其中，在直接比对待分析告警序列与各个危机告警事件的情况下，所述预设判定条件具体可以是，最长公共子序列中包括的告警事件数不小于2；在存在根据危机告警序列确定的各个危机告警子序列的情况下，所述预设判定条件具体可以是，最长公共子序列与一个危机告警子序列完全匹配。

需要说明的是，所述处理设备基于所述最长公共子序列进行示警时，具体可以基于确定的最长公共子序列中包括的各个危机告警事件，向预先关联的设备发送告警信息，其中，告警信息的存在方式包括但不限于短信、电话等形式。

这样，处理设备将基于事理图谱得到的各个危机告警序列作为先验知识，对待分析告警序列的异常情况进行初步判定，使得能够结合已有的危机告警事件，实现对已知的危险攻击行为的自动化关联告警，能够极大的提高对于攻击事件的告警分析能力，使得能够对存在危机的告警事件进行及时处理。

反之，处理设备在确定依据危机告警序列无法判定异常情况时，则可以借助于依据历史告警事件发生的先后顺序，实现对各个告警事件之间告警关联度的扩展分析。因此，为了实现扩展分析，故所述处理设备需要获取待分析告警序列中的末端待分析告警事件，并获取预先分别确定的各个告警事件与各个其他告警事件间的告警关联度。

本申请实施例中，基于上述的方案，可以基于事理图谱中直观的了解告警事件之间的因果关系或顺承关系，如，根据实际的处理经验，“webshell脚本上传”和“webshell后门访问控制”，这两个告警事件之间具有顺承关系。但是，由于事理图谱中告警节点和有向边的关系数量相对较少，不足以统计出告警事件之间的告警关联度，因此，本申请通过对由历史告警事件组成的历史告警序列集合进行分析，计算不同告警事件之间的告警关联度，然后通过告警关联度预测特定告警事件或告警序列的后续告警，从而挖掘出潜在的攻击模式。

本申请实施例中，基于各个历史告警事件发生的先后顺序，进行历史告警事件之间告警关联度分析的过程，相当于分析各个告警事件之间的关联程度，也就是确定各个告警事件先后发生的可能性。

下面首先结合附图，对分别确定各个告警事件与各个其他告警事件间的告警关联度的实现过程进行说明。

参阅图3a所示，其为本申请实施例中分别确定各个告警事件与各个其他告警事件间的告警关联度的流程示意图，下面结合附图3a对具体的实现过程进行说明：

步骤102-a:处理设备分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件，以及将每组历史告警事件进行序列压缩后，得到相应的去除噪音数据的历史告警序列。

本申请实施例中，处理设备针对历史事件集合中涉及到的各个第二被攻击对象，分别聚合将第二被攻击对象的IP地址，作为攻击的目的IP的历史告警事件，生成相应的第二被攻击对象关联的历史告警序列。

具体的，针对每个第二被攻击对象关联的各历史告警事件，先后进行序列压缩和时序编码的操作，得到每个第二被攻击对象对应的历史告警序列，其中，第二被攻击对象与前述描述的第一被攻击对象均是为了进行示意性说明而使用的概念，第二被攻击对象关联的历史告警事件是指安全防护设备确定第二被攻击对象被攻击时所触发的告警事件，第二被攻击对象和第一被攻击对象可以具体指代相同或者不同的对象。

需要说明的是，所述处理设备在去除历史告警事件中的噪音数据时，可以去除历史告警事件中重复、乱序，以及误报的告警事件，其中，可以依据告警事件的处理结果，确定是否存在误报，并可以根据已有的分析结果，衡量是否存在历史告警事件乱序的情况。

本申请实施例中，处理设备获得各个安全防护设备上报的历史告警集合，并将所述各个安全防护设备针对同种攻击触发的历史告警事件，进行标识信息的归一处理；再确定各个历史告警事件各自针对的第二被攻击对象，并按照时序顺序分别将所述各个历史告警事件中，针对相同第二被攻击对象的历史告警事件进行排列聚合。

需要说明的是，所述处理设备在针对历史告警事件的标识信息进行归一化处理时，具体的处理过程与步骤101中示意的内容相同，处理设备统一对应相同历史攻击事件的、历史告警事件的标识信息时，借助于Levean编辑距离算法，计算各历史告警事件的标识信息之间的相似度，相关的算法说明已经在步骤101中进行了详细说明，本申请在此不再赘述。

所述处理设备在对各个历史告警事件的标识信息进行归一化处理后，所述处理设备确定所述各个历史告警事件各自针对的第二被攻击对象，其中，所述处理设备可以延用步骤101中的处理方式，根据各个第二被攻击对象的IP地址，对关联有时间信息的历史告警事件进行聚合。

进一步的，针对每个第二被攻击对象对应的各历史告警事件，按照时间信息的先后顺序，将所述各历史告警事件进行排序，得到按照时序顺序排列的各历史告警事件，并针对排序后的各历史告警事件进行序列压缩，删除重复出现的历史告警事件，进而建立由时序顺序排列的各个历史告警事件组成的历史告警序列，其中，序列压缩技术为本领域的成熟技术，本申请在此不做具体说明。

另外，为了便于处理，处理设备可以对时序排列的各历史告警事件，按照设定的第二时间阈值进行划分，得到由时间跨度不超过所述第二时间阈值的历史告警事件组成的各个历史告警序列。

这样，能够减少重复的历史告警事件所带来的干扰，保留关键信息，一定程度上提高对于历史告警事件的处理效率，而且，通过对各历史告警事件进行切分，生成各个历史告警序列，使得历史告警序列中包括的历史告警事件之间的关联性更强，有助于分析各个历史告警事件之间的关联关系。

步骤102-b：处理设备针对每个历史告警序列中，除末端历史告警事件外的每个目标历史告警事件，分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列。

本申请实施例中，目标历史告警事件与对应的候选历史告警事件，是针对一个相同的历史告警序列而言的。处理设备针对每个历史告警序列，将所述历史告警序列中，除末端历史告警事件外的各个历史告警事件，分别作为目标历史告警事件。

所述处理设备确定各个目标历史告警事件后，针对所述各个目标历史告警事件，分别执行以下操作：在所述目标历史告警事件归属的历史告警序列中，确定时序顺序在所述目标历史告警事件之后的各个候选历史告警事件；再分别将所述目标历史告警事件与所述各个候选历史告警事件，组合生成各个关联告警序列，其中，一个关联告警序列中包括所述目标历史告警事件和一个候选历史告警事件。

例如，假设历史告警序列X中时序编码的各个历史告警事件分别为：历史告警事件1，15:19:22(时序顺序：1)、历史告警事件2，16:12:02(时序顺序：2)、历史告警事件3，17:21:13(时序顺序：3)、历史告警事件4，18:27:54(时序顺序：4)、历史告警事件5，20:18:22(时序顺序：5)、历史告警事件6，22:15:27(时序顺序：6)。那么，历史告警序列X中的历史告警事件1-5均可以目标历史告警事件。

又例如，继续上述举例进行说明，当历史告警事件1作为目标历史告警事件时，对应的关联告警序列包括：{历史告警事件1-历史告警事件2}、{历史告警事件1-历史告警事件3}、{历史告警事件1-历史告警事件4}、{历史告警事件1-历史告警事件5}、{历史告警事件1-历史告警事件6}。

需要说明的是，本申请实施例中，在确定关联告警序列的过程，可以在确定一个历史告警序列中的各个目标历史告警事件之后，针对该历史告警序列，确定对应的各个关联告警序列，或者，可以在确定各个历史告警序列中各自包括的目标历史告警事件后，针对每个目标历史告警事件，组合生成对应的各个关联告警序列。

这样，借助于对历史告警事件的分析，建立表征先后发生的历史告警事件之间时序关系的关联告警序列，为分析在前发生的历史告警事件与在后发生的历史告警事件之间的关系，提供了处理依据。

特殊的，考虑到在前的历史告警事件与在后的历史告警事件之间相距距离过大时，对于历史告警事件之间关联性的分析可能不再具有很强的参考性，因此，所述处理设备在生成关联告警序列时，可以以设置设定长度的滑窗，并基于设定长度的滑窗内在历史告警序列上以设定步长滑动，直至滑窗内包括的历史告警事件数小于2个。在滑动至一个位置处时，将滑窗中起始位置的历史告警事件作为目标历史告警事件，与该滑窗中的各个其他位置的历史告警事件，分别组成关联告警序列。

例如，参阅图3b，其为本申请实施中不同位置的历史告警事件示意图，根据图3b，假设窗口大小为4，那么滑窗从初始位置：历史告警事件a1处，以步长为1滑动，则初始时滑窗内的序列为：a1、a2、a3、a4，此时，生成的关联告警序列分别为：a1-a2、a1-a3、a1-a4；进一步的，经过一次滑动后，滑窗内的序列为：a2、a3、a4、a5，此时，生成的关联告警序列分别为：a2-a3、a2-a4、a2-a5。

另外，根据图3b所示意的内容可以清楚的确定，在历史告警序列中，a1关联的关联告警序列a1-a2比a1-a3的距离更小，换言之，基于该历史告警序列，能够确定a1与a2之间的关联性更强。

这样，生成的关联告警序列中，各个历史告警事件之间的关联性更强，更具有分析的价值，避免了由于历史告警事件之间间隔发生的其他告警事件过多，造成的无效分析。

步骤102-c：处理设备针对每个关联告警序列，分别执行以下操作：根据所述关联告警序列在各个历史告警序列和所述各个危机告警序列中的包含情况、以及生成所述关联告警序的历史告警序列中，相应的目标历史告警事件与候选历史告警事件之间的时序顺序差异，确定所述关联告警序列包含的、所述目标历史告警事件与候选历史告警事件之间的告警关联度。

本申请实施例中，处理设备针对各个目标历史告警事件，分别确定对应的各个关联告警序列之后，针对所述每个目标告警事件，分别确定所述目标告警事件与对应的各个候选历史告警事件之间的告警关联度，其中，候选历史告警事件包含在关联告警序列中。

具体的，所述处理设备根据每个关联告警序列，分别执行以下操作：确定包括所述关联告警序列的各个目标历史告警序列，并根据所述各个目标历史告警序列中所述关联告警序列对应的、目标历史告警事件与候选历史告警事件之间的时序顺序差异，以及所述关联告警序列在所述各个危机告警序列中的出现情况，分别计算所述关联告警序列中的所述目标历史告警事件与候选历史告警事件，在所述各个目标历史告警序列中的关联值；再基于获得的各个关联值，以及所述各个目标历史告警序列在历史告警序列中的占比，计算所述目标历史告警事件与候选历史告警事件之间的告警关联度。

本申请实施中，所述处理设备在确定告警关联度时，可以采用以下公式进行计算:

需要说明的是，本申请实施例中，基于相关技术下Zhang等人提出的后续影响因子算法假定序列中两个告警之间的关联性可以由距离来衡量，从告警序列中计算在先告警对后续告警的影响因子，也可视为关联性分数的处理思想。进一步地提出了结合事理谱图中的先验指示进行改进，借助于所述事理图谱中提供的危机告警事件之间先后发生的关联关系，进行本申请中告警关联度的计算。

在具体的计算过程中，假设由生成的各个历史告警序列组成的历史告警序列集合为：S＝{s₁,s₂,…,s_n}，其中，假设一个历史告警序列si可以表示为：s＝{a₁,a₂,…,a_j}，对于任意一个关联告警序列中包括的目标历史告警事件和候选历史告警事件而言，目标历史告警事件和候选历史告警事件之间的关联值定义如下:

其中，

表征目标历史告警事件ai与候选历史告警事件aj之间的关联值，α为预设的参数，θ为根据ai-aj这一关联告警序列在事理图谱中的存在情况而设置的强关联系数，其中，若a_i→a_j存在于告警事理图谱中，则说明a_i-a_j存在于针对危机告警事件配置的子序列中，即，能够作为识别攻击模式的子序列，故ai与aj之间具有紧密的时序因果关系，此时θ设置为2，使得能够提高(a_i→a_j)之间的关联值；反之，若ai-aj这一关联告警序列不存在于与事理图谱中，则将θ设置为1；j-i+1用于表征ai和aj之间的时序顺序差异。

进一步的，由于在不同的历史告警序列中，告警顺序也会发生变化，ai和aj之间的时序序号差异存在变化，故需要对ai-aj这一关联告警序列对应的关联值进行更新，具体更新过程如下公式所示，以下公式表征了预先针对历史告警序列x中的关联告警序列ai-aj，计算得到关联值后，确定历史告警序列y中也存在关联告警序列，则需要基于针对历史告警序列y计算得到的关联值，实现对ai-aj对应的关联值的更新：

其中，

表示根据历史告警序列y中的关联告警序列ai-aj计算得到的关联值，/>

表征更新后的关联值，/>

表征在计算历史告警序列y中ai-aj对应的关键值之前，对应ai-aj计算得到的关键值；β为设置的参数。此公式对应的处理原理为：假设/>

为对应历史告警序列x中的ai-aj计算得到的关联值，若相较于历史告警序列x，a_i-a_j在历史告警序列y中的时序序号差值增加，则更新后的关联值会降低，反之，更新后的关联值会增加，其中，时序序号用于标识顺序排列后的各个事件。

需要说明的是，当存在多个包括关联告警序列ai-aj的历史告警序列时，处理设备重复采用上述公式(2)，实现对ai-aj对应的关联值的更新。

进一步的，处理设备基于以下公式(3)，计算ai-aj对应的告警关联度：

其中，

表征ai-aj对应的告警关联度，/>

表征最新更新获得ai-aj对应的关联值，/>

表征ai-aj在各个历史告警序列中出现的频次；计算得到的告警关联度与ai-aj在各个历史告警序列中出现的频次正相关。

需要说明的是，

的具体计算过程如下公式(4)所示：

其中，

表征ai-aj在各个历史告警序列中出现的频次，/>

表征包括ai-aj的目标历史告警序列的总数，T_seq表征历史告警序列的总数。

基于上述公式，最终能够针对每个目标历史告警事件，确定包括所述目标历史告警事件的各个关联告警事件，再确定可能在所述目标历史告警事件之后出现的各个候选历史告警事件，进而基于计算得到的告警关联度，分别确定所述目标告警事件与对应的各个候选历史告警事件之间的告警关联度。

可选的，所述处理设备可以针对每个目标历史告警事件，维护有与对应的候选历史告警事件之间的告警关联度分析表，以直观的展示目标历史告警事件与候选历史告警事件之间的关联关系，其中，所述关联关系可以通过在目标历史告警事件之后，出现对应的候选历史告警事件的概率来表征。

需要说明的是，本申请计算得到的告警事件之间的告警关联度可以根据实际的处理需要实时更新或周期性更新。

这样，借助于关联告警序列中包括的历史告警事件之间的时序编码差异、以及关联告警序列在由事理图谱确定的危机告警序列中的出现情况，能够确定对应的两个历史告警事件之间的关联值，进而借助于最终更新确定的关联值、以及关联告警序列在各个历史告警序列中的出现频次，计算对应的两个历史告警事件之间的告警关联度，使得能够对历史告警事件之间相继发生的关联程度进行有效分析。

步骤103：处理设备针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

需要说明的是，第一预设条件具体可以是末端待分析告警事件与扩展确定的告警事件之间的告警关联度低于预设的告警关联度阈值，或者，扩展确定的告警事件的总数达到设定门限值。第二设定条件可以是，与末端待分析告警事件之间的告警关联度最高。

具体的，处理设备确定待分析告警序列的末端待分析告警事件后，获取所述末端待分析告警事件关联的各个候选告警事件，以及所述末端待分析告警事件分别与所述各个候选告警事件之间的告警关联度，其中，末端待分析告警事件对应的候选告警事件，以及所述末端告警事件与各个候选告警事件之间的告警关联度，是基于对历史告警事件进行分析后确定的，基于历史告警事件的分析过程已经在前述步骤102中进行详细说明，在此不再赘述。

下面以一个具体的举例，说明扩展分析告警事件的过程：

参阅图4所示，其为本申请实施例中进行关联分析的示意图，当给定一个告警，可根据关联分数表筛选出与之关联分数最高的下一步告警，判断当前告警序列后续潜在告警，从而辅助分析分员提前发现威胁事件假设待分析告警序列为：a1-a2-a3-a4-a5，经过模式匹配后发现与异常告警序列a2-a3-a5相匹配，则说明当前的待分析告警序列命中相应的安全事件。另外，在进行告警关联分析时，当前可以确定末端待分析告警事件为a5，则假设基于历史告警事件分析得到的，待分析告警事件a5关联的TOP5个告警事件为：a6、a10、a9、a21、以及a7，那么，将对应最大告警关联度的a6，作为确定的关联告警事件，写入所述待分析告警序列中，其中，a6为确定的最有可能在a5后面发生的告警事件。在得到当前的待分析告警序列：a1-a2-a3-a4-a5-a6后，进而将a6作为新的末端待分析告警事件，继续执行上述操作，直至满足第一预设条件。

可选择地，本申请实施例中，所述处理设备确定所述关联告警分析结果中已发生的各个告警事件，并在确定所述已发生的各个告警事件中包括满足所述预设的筛选条件的危机告警事件时，针对确定的危机告警事件，在所述事理图谱中，在新增对应的节点和有向边。

具体的，处理设备确定分析确定的关联告警事件在实际的攻击过程中发生时，则确定已发生的告警事件；并从已发生的告警事件中，筛选出满足预设的筛选条件的危机告警事件，其中，预设的筛选条件可能是告警事件发生在指定的攻击阶段。进而针对新确定的危机告警事件，在先前建立的事理图谱中新增对应的节点和有向边。

这样，能够极大的提高事理图谱的可参考性，使得能够基于新确定的告警事件进行及时更新和调整，使得事理图谱具有可维护性和可扩展性，能够协助实现对告警事件的有效监控。

综上，基于本申请提出的技术方案，在对待分析告警事件进行分析时，先基于事理图谱中的先验知识对待分析告警序列进行危机告警事件的分析和匹配，相当于基于现存的规则进行模式匹配；进一步的，考虑到真实的网络入侵场景下，常会出现新的攻击方式，这使得危机告警序列无法满足待分析告警序列的分析需要，因此，进一步提出了基于已发生的历史告警事件进行关联挖掘，使得能够有效地整合多源离散的告警事件，发掘告警事件之间的真实关联，识别高威胁安全事件，同时，能够根据关联确定的告警事件预测多步攻击模式，使得安全防护过程具备较好的可维护性和扩展性；另外，基于告警关联度能够预测特定告警事件或告警序列的后续告警事件，从而挖掘出潜在的攻击模式，一定程度上实现了预防、减少或者阻断安全威胁。

下面结合附图，对基于本申请提出的技术方案而建立的各个功能模块进行说明，参阅图5所示，其为本申请实施例中包括的各功能模块示意图，下面结合附图5进行详细说明：

参与实现功能的各功能模块可能包括：事理图谱构建模块、数据预处理模块、序列匹配模块、关联告警挖掘模块、以及关联告警预测模块，其中，

所述事理图谱构建模块，用于基于安全事件(如，攻击事件)之间存在的因果关系和时序关系，并根据安全领域专家积累的溯源分析报告，采用自然语言处理技术抽取出由告警事件构成的攻击链，进而将供给链映射到基于时序信息的事理图谱中，生成事理图谱知识库，为后续的模块的功能实现提供先验知识。

所述数据预处理模块，用于基于不同安全防护设备的告警日志，通过压缩剪枝降低告警事件数量，并将不同安全防护设备上报的告警事件中的告警名称(标识信息)、以及语料库中记录的告警名称进行相似度计算，统一针对相同告警事件的告警名称。

所述序列匹配模块，用于先通过深度优先算法遍历告警事理图谱，自动生成若干规则序列(危机告警序列)，然后与预处理后的告警序列(待分析告警序列)进行匹配，输出完全匹配规则序列的攻击事件，其中，所述关联告警模块是基于序列匹配进行功能实现的。

所述关联告警挖掘模块，用于基于序列(历史告警序列)中告警事件之间的距离间隔，计算不同告警事件之间的关联分数。

所述关联告警预测模块，用于在进行预测分析时，计算并输出与给定告警事件之间的告警关联度最高的K个告警事件，作为预测的在所述给定告警事件之后可能发生的告警事件。

基于同一发明构思，参阅图6所示，其为本申请实施例中关联告警的分析装置的逻辑结构示意图，提出一种关联告警的分析装置600，包括：建立单元601、确定单元602，以及分析单元603，其中，

建立单元601，用于根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；

确定单元602，用于确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；

分析单元603，用于针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

可选的，所述根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，所述建立单元601还用于：

可选的，所述遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，所述确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列之前，所述建立单元601还用于：

针对所述各个危机告警序列，分别执行以下操作：

可选的，所述分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱时，所述建立单元601用于：

可选的，所述建立单元601还用于：

可选的，基于历史告警集合中各个历史告警事件的发生时序，分别确定各个告警事件与各个其他告警事件间的告警关联度时，所述确定单元602用于：

可选的，所述分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件时，所述确定单元602用于：

可选的，所述分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列时，所述确定单元602用于：

针对每个目标历史告警事件，分别执行以下操作：

可选的，所述根据所述关联告警序列在各个历史告警序列和所述各个危机告警序列中的包含情况、以及生成所述关联告警序的历史告警序列中，相应的目标历史告警事件与候选历史告警事件之间的时序顺序差异，确定所述关联告警序列包含的、所述目标历史告警事件与候选历史告警事件之间的告警关联度时，所述确定单元602用于：

可选的，所述分析单元603还用于：

基于同一发明构思，参阅图7所示，其为本公开实施例中关联告警的分析装置的实体结构示意图，获取设备信息的装置700具体为承载浏览器的终端设备，包括处理组件722，其进一步包括一个或多个处理器，以及由存储器732所代表的存储器资源，用于存储可由处理组件722的执行的指令，例如应用程序。存储器732中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件722被配置为执行指令，以执行上述方法。

装置700还可以包括一个电源组件726被配置为执行装置700的电源管理，一个有线或无线网络接口750被配置为将装置700连接到网络，和一个输入输出(I/O)接口758。装置700可以操作基于存储在存储器732的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似系统。

基于同一发明构思，本公开实施例中基于关联告警的分析的实施例中提供一种存储介质，当所述存储介质中的指令由电子设备执行时，使得所述电子设备能够执行上述任一种方法。

综上所述，本申请针对性的提出一种关联告警的分析方法、装置、电子设备及存储介质，根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种关联告警的分析方法，其特征在于，包括：

针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件；

其中，基于历史告警集合中各个历史告警事件的发生时序，分别确定各个告警事件与各个其他告警事件间的告警关联度，包括：

针对每个关联告警序列，分别执行以下操作：确定包括所述关联告警序列的各个目标历史告警序列，并根据所述各个目标历史告警序列中所述关联告警序列对应的、目标历史告警事件与候选历史告警事件之间的时序顺序差异，以及所述关联告警序列在所述各个危机告警序列中的出现情况，分别计算所述关联告警序列中的所述目标历史告警事件与候选历史告警事件，在所述各个目标历史告警序列中的关联值；基于获得的各个关联值，以及所述各个目标历史告警序列在历史告警序列中的占比，计算所述目标历史告警事件与候选历史告警事件之间的告警关联度。

2.如权利要求1所述的方法，其特征在于，所述根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，还包括：

3.如权利要求2所述的方法，其特征在于，所述遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，所述确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列之前，还包括：

针对所述各个危机告警序列，分别执行以下操作：

4.如权利要求2或3所述的方法，其特征在于，所述分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱，包括：

5.如权利要求1所述的方法，其特征在于，所述分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件，包括：

6.如权利要求1所述的方法，其特征在于，所述分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列，包括：

针对每个目标历史告警事件，分别执行以下操作：

7.如权利要求2或3所述的方法，其特征在于，还包括：

8.一种关联告警的分析装置，其特征在于，包括：

分析单元，用于针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件；

其中，基于历史告警集合中各个历史告警事件的发生时序，分别确定各个告警事件与各个其他告警事件间的告警关联度时，所述确定单元用于：

9.一种计算机可读的电子设备，其特征在于，包括：

存储器，用于存储可执行指令；

处理器，用于读取并执行所述存储器中存储的可执行指令，以实现如权利要求1至7中任一项所述的方法。

10.一种存储介质，其特征在于，当所述存储介质中的指令由电子设备执行时，使得所述电子设备能够执行如权利要求1至7中任一项所述的方法。