CN115842711A - 一种生成告警事件的方法、装置、存储介质及电子设备 - Google Patents

一种生成告警事件的方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN115842711A
CN115842711A CN202211483999.0A CN202211483999A CN115842711A CN 115842711 A CN115842711 A CN 115842711A CN 202211483999 A CN202211483999 A CN 202211483999A CN 115842711 A CN115842711 A CN 115842711A
Authority
CN
China
Prior art keywords
field
event
hit
filter
audit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211483999.0A
Other languages
English (en)
Inventor
喻威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211483999.0A priority Critical patent/CN115842711A/zh
Publication of CN115842711A publication Critical patent/CN115842711A/zh
Pending legal-status Critical Current

Links

Images

Abstract

本申请的一些实施例提供了一种生成告警事件的方法、装置、存储介质及电子设备,该方法包括:确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。本申请的一些实施例可以实现对告警事件的高效检测和生成,适应性较好。

Description

一种生成告警事件的方法、装置、存储介质及电子设备
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种生成告警事件的方法、装置、存储介质及电子设备。
背景技术
随着工业互联网技术的快速发展,工业互联网技术在日常生活中应用越来越广泛,网络的日益复杂以及攻击手段的多样化,因此网络安全问题尤为重要。
在实际的网络环境中,根据一条事件就可以判断该事件是否是威胁事件的几率很小。而目前在对告警事件进行分析时,首先需要获取对应的标签规则,然后基于标签规则对事件进行标识,最后再去分析是否生成告警事件。一方面对告警事件分析时需要占用的设备资源较多,且需要经过多次判定才能确认是否为告警事件,过程繁琐。
因此,如何提供一种高效的生成告警事件的方法的技术方案成为亟需解决的技术问题。
发明内容
本申请的一些实施例的目的在于提供一种生成告警事件的方法、装置、存储介质及电子设备,通过本申请的实施例的技术方案可以实现对告警事件的快速关联分析,提升了生成告警事件的效率和准确率,为网络安全提供保障。
第一方面,本申请的一些实施例提供了一种生成告警事件的方法,包括:确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
本申请的一些实施例通过设定关联分析规则中的过滤器对审计事件中的字段内容进行命中统计,并基于命中次数和命中阈值确定是否生成告警事件,可以实现对审计事件的快速检测和快速关联分析,提升了生成告警事件的效率和准确率,为网络安全提供保障。
在一些实施例,所述字段内容和所述目标字段为相同字段或不同字段。
本申请的一些实施例通过灵活设定字段内容和目标字段,可以实现多种告警事件的检测,灵活性好。
在一些实施例,所述各个过滤器还配置有时间阈值,其中,所述统计所述审计事件的目标字段的各命中次数,包括:在所述时间阈值内,统计所述各命中次数。
本申请的一些实施例通过在时间阈值内统计命中次数,可以实现对审计事件的准确检测。
在一些实施例,所述审计事件是通过采集镜像流量生成的。
本申请的一些实施例通过镜像流量生成审计事件,可以不影响服务性能的情况下进行检测,实用性较高。
在一些实施例,所述在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数,包括:提取所述审计事件中的各字段内容;若所述各字段内容与所述各过滤字段相同,则确认所述各字段内容与所述各过滤字段相匹配,并且所述审计事件的目标字段的各命中次数增一。
本申请的一些实施例通过字段内容和过滤字段是否相同确定是否匹配,效率较高,准确度较好。
在一些实施例,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:若所述各命中次数均不小于所述各命中阈值,则确认生成告警事件;若所述各命中次数中存在至少一个命中次数小于对应的命中阈值,则确认不生成告警事件。
本申请的一些实施例通过各命中次数和各命中阈值进行对比,可以确定是否生成告警事件,效率较高,准确度较好。
在一些实施例,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:在所述时间阈值内,若所述各命中次数均不小于所述各命中阈值,则确定生成一条告警事件。
本申请的一些实施例通过在时间阈值内只生成一条告警事件,有效避免了重复告警。
在一些实施例,所述字段内容和所述过滤字段为目的端口号、目的地址和数据库名称中的至少一种,所述目标字段为源地址或所述目的地址。
在一些实施例,所述关联分析规则包括多个过滤器,其中,所述确认所述审计事件的字段内容与所述各过滤字段相匹配,包括:判断所述审计事件的字段内容是否与第i过滤器的过滤字段匹配;若匹配,则统计所述审计事件的目标字段的命中次数;若不匹配,则将所述审计事件的字段内容与第i+1过滤器的过滤字段进行下一次匹配。
本申请的一些实施例通过在第i过滤器未匹配成功的前提下进入第i+1过滤器进行下一次匹配,可以实现对审计事件的全面分析,准确度较高。
第二方面,本申请的一些实施例提供了一种生成告警事件的装置,包括:确定模块,用于确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;统计模块,用于在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;生成模块,用于根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
附图说明
为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请的一些实施例提供的生成告警事件的系统图;
图2为本申请的一些实施例提供的生成告警事件的方法流程图之一;
图3为本申请的一些实施例提供的生成告警事件的方法流程图之二;
图4为本申请的一些实施例提供的生成告警事件的装置组成框图;
图5为本申请的一些实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
相关技术中,为了做到威胁告警事件的及时发现并实现自动响应,实时关联检测技术已经成为安全设备必备的功能需求点之一。在实际的网络环境中,根据一条事件就判断出产生威胁事件的几率很小,往往是多条事件组合在一起,形成一个场景。比如连续的多条事件中,发现某个特定的源地址不断的访问某固定目的地址主机的所有端口,这就是一种多端口扫描的潜在危害事件,暗示着目的主机可能受到攻击。目前,在对告警事件进行分析时现有技术需要获得告警标签组,基于预设的告警关联分析规则对告警标签组中的告警标签进行匹配,获取匹配结果;根据匹配结果,确定告警标签集合;基于告警标签集合,生成告警标签组对应的提示告警事件。但是采用上述技术方案,需要首先生成实时告警事件,才能进行关联分析生成告警事件,造成生成告警事件占用设备资源较大;其次,对告警事件需要进行两次处理才能确认,效率较低。还有一种方法是采集代理对数据源进行日志采集、接收事件对象、根据规则对事件对象进行关联分析、告警响应。但是该方法同样需要对日志进行二次的范式处理,同时对日志进行了合并和过滤处理,减少了事件量的同时也隐藏了多类型事件联合扫描、攻击的潜在危害行为,同时使用TCP方式交互,一旦连接异常断开存在事件丢失的风险。
另一种现有技术中是接收告警消息,判断告警消息的告警标签是否与配置的告警标签匹配;根据配置的关联分析场景规划,创建告警标签对应的一个或多个告警分析场景实例;同时通过告警消息对其他存量的告警分析场景进行比对分析,将通过比对后的告警分析场景实例中的告警信息进行关联处置。但是,该方法只是对告警事件中重复度比较高的告警事件进行去重,从而达到减少告警事件量的目的,无法发现类似多端口扫描这种多场景组合的潜在攻击行为,检测能力有限。
由上述相关技术可知,现有技术中对告警事件的检测和生成的效率较低且准确度堪忧。
鉴于此,本申请的一些实施例提供了一种生成告警事件的方法,该方法通过设定至少一个过滤器,通过审计事件的字段内容和过滤器中的过滤字段进行匹配,将统计的目标字段的命中次数与命中阈值进行对比确认是否生成告警事件。本申请的一些实施例可以直接基于审计事件的目标字段的命中次数,可以快速确认是否生成告警事件,效率较高。而且过滤器可以根据设定任意过滤字段,实现对审计事件的全面检测,准确度较高。
下面结合附图1示例性阐述本申请的一些实施例提供的生成告警事件的系统组成结构。
如图1所示,本申请的一些实施例提供了一种生成告警事件的系统,生成告警事件的系统包括:终端100和安全检测端200。其中,相关管理人员登录安全检测端200后,可以配置需要监控的终端100的IP(网际互连协议,Internet Protocol)地址,以及端口号等信息。配置完成后,安全检测端200设置的至少一个过滤器可以对终端100的流量对应的审计事件进行字段内容和过滤字段进行匹配和统计,确认是否生成告警事件。
在本申请的一些实施例中,安全检测端200可以是预先安装有工控入侵检测与审计系统的设备,以此实现对终端100的流量的监控和分析。终端100可以是计算机终端设备也可以是服务器设备,本申请在此不作具体限定。
下面结合附图2示例性阐述本申请的一些实施例提供的由安全检测端200执行的生成告警事件的实现过程。
请参见附图2,图2为本申请的一些实施例提供的一种生成告警事件的方法流程图,生成告警事件的方法包括:S210,确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值。S220,在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数。S230,根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
在本申请的一些实施例中,所述审计事件是通过采集镜像流量生成的。
例如,在本申请的一些实施例中,关联分析规则可以由不同的过滤器中的过配置内容(过滤字段和命中阈值等等)组成。对不同事件进行监控,过滤器的配置内容不同,进而不同事件的关联分析规则也不同。例如,通过设定至少一个过滤器来构成关联分析规则,并且每个过滤器中设置有字段级的匹配规则,也就是设置有过滤字段。通过过滤字段和实时生成的审计事件进行匹配,可以避免现有技术中对审计事件进行多次处理的问题。而且直接利用审计事件进行匹配,可以避免生成告警事件带来的资源占用问题,不会影响服务性能。通过设置多个过滤器中的多条过滤字段的组合使用,可以发现多场景组合的潜在攻击行为,准确度较高。
需要说明的是,在本申请的一些实施例中,过滤器的数量可以根据检测的可能存在的告警事件的类型进行设定,也可以根据终端100的实际情况进行设定。例如,终端100有2个端口号,可以设定两个过滤器,有3个端口号则可以设定3个过滤器。也就是说,过滤器的数量可以根据实际应用场景进行按需确定,本申请在此不作具体限定。
在本申请的一些实施例中,所述字段内容和所述目标字段为相同字段或不同字段。
在本申请的一些实施例中,所述字段内容和所述过滤字段为目的端口号、目的地址和数据库名称中的至少一种,所述目标字段为源地址或所述目的地址。
例如,在本申请的一些实施例中,在对审计事件进行分析时,可以选择是否限制统计对象(作为目标字段的一个具体示例)。例如,以IP为例,字段内容可以是目的端口,目的IP或者源IP可以作为统计对象,即以源IP或者目的IP为主键来统计命中次数。在本申请的另一些实施例中,以多个源使用不同密码去登录数据库,尝试破解数据库密码的行为,此时字段内容和目标字段都可以是数据库用户名,相应的过滤器的过滤字段也是数据库用户名。
在本申请的一些实施例中,所述各个过滤器还配置有时间阈值,其中,S220可以包括:在所述时间阈值内,统计所述各命中次数。
例如,在本申请的一些实施例中,通过设置匹配时间周期(作为时间阈值的一个具体示例)来对审计事件进行监控,以此可以准确全面的对审计事件进行统计,安全系数较高。其中,匹配时间周期可以是30s、60s等等,本申请在此不作具体限定。
在本申请的一些实施例中,所述在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数,包括:提取所述审计事件中的各字段内容;若所述各字段内容与所述各过滤字段相同,则确认所述各字段内容与所述各过滤字段相匹配,并且所述审计事件的目标字段的各命中次数增一。
例如,在本申请的一些实施例中,通过确认提取的审计事件中的字段内容与过滤字段相同,可以确认审计事件命中了过滤器规则。此时,将统计审计事件的目标字段的命中次数的计数器加一。例如,以上述数据库为例,审计事件中的数据库用户名和过滤器中的过滤字段相同,则认为审计事件命中了过滤器规则,命中次数加一。
在本申请的一些实施例中,S230可以包括:若所述各命中次数均不小于所述各命中阈值,则确认生成告警事件;若所述各命中次数中存在至少一个命中次数小于对应的命中阈值,则确认不生成告警事件。
例如,在本申请的一些实施例中,若关联分析规则中确定设置有多个过滤器时,每个过滤器均设置有命中阈值(例如,命中阈值可以是5次、10次或15次等等)。若对审计事件统计的相关的命中次数均达到了每个过滤器设置的命中阈值,则表征该审计事件存在威胁,生成告警事件。若对审计事件统计的相关的命中次数中存在至少一个命中次数未达到命中阈值,则表征审计事件存在威胁的几率较低,此时不生成告警事件。
为了避免重复告警,在本申请的一些实施例中,S230可以包括:在所述时间阈值内,若所述各命中次数均不小于所述各命中阈值,则确定生成一条告警事件。
例如,在本申请的一些实施例中,一个审计事件命中过滤器的过滤规则后,生成了一条告警事件,匹配时间周期内就不再产生告警事件。例如,匹配时间周期为60s,假如15秒的时候过滤规则和命中次数全部满足产生一条告警事件后,那么剩下的45秒即使再次满足过滤规则和命中次数就不会再产生告警,避免了重复告警,减少告警事件数量,避免告警混乱,提升告警准确率。
在本申请的一些实施例中,所述关联分析规则包括多个过滤器,其中,所述确认所述审计事件的字段内容与所述各过滤字段相匹配,包括:判断所述审计事件的字段内容是否与第i过滤器的过滤字段匹配;若匹配,则统计所述审计事件的目标字段的命中次数;若不匹配,则将所述审计事件的字段内容与第i+1过滤器的过滤字段进行下一次匹配。
例如,在本申请的一些实施例中,i为过滤器的标号,为正整数。如过滤器的数量为3个,分别为第1过滤器、第2过滤器和第3过滤器。在实际应用中,审计事件的字段内容首先和第1过滤器的过滤字段进行匹配,如果匹配成功则将第1过滤器对应的统计命中次数的计数器加1。如果两者不匹配,则将审计事件的字段内容进行提取并与第2过滤器的过滤字段进行下一次匹配,以此类推。可以理解的是,本申请实施例的每个过滤器的过滤字段不同,以此实现对审计事件的全面准确检测。
另外在本申请的另一些实施例中,可以同时将审计事件的字段内容与3个过滤器的过滤字段进行同时匹配,匹配上的则对应的过滤器的计数器加1,本申请实施例并不局限于此。
下面结合附图3示例性阐述本申请的一些实施例提供的生成告警事件的具体过程。
请参见附图3,图3为本申请的一些实施例提供的一种生成告警事件的方法流程图。需要说明的是,下述实施例基于工控入侵检测与审计系统产品(作为安全检测设备200的一个具体示例),示例性阐述生成告警事件的具体过程。在执行下述方法步骤之前,首先介绍应用场景:下述实施例的目的是发现多端口扫描的潜在危害行为的审计事件进行告警。
下面示例性阐述上述过程。
S310,确定对审计事件分析的关联分析规则。
例如,作为本申请的一个具体示例,相关人员登录工控入侵检测与审计系统,配置需要重点关注的关联分析规则:以目的IP为192.168.1.254,目的端口为502以及目的端口为443,统计对象为源IP,统计周期(也就是匹配时间周期)60秒为例,设置两个过滤器,这两个过滤器构成一条关联分析规则。第一过滤器的过滤字段为目的端口为502,第二过滤器的过滤字段为目的端口为443,命中阈值均为10。
需要说明的是,在实际中可以根据目的主机(也就是终端100)实际开发的端口数量进行配置,本申请并不局限于此。
S320,生成实时审计事件。
例如,作为本申请的一个具体示例,工控入侵检测与审计系统接收到一条源地址为“192.168.1.254”的第1个审计事件,称之为事件1。
S330,判断审计事件的字段内容是否与第一过滤器的过滤字段匹配,若是则执行步骤S331,否则执行S340。
例如,作为本申请的一个具体示例,事件1的字段内容中的目的端口为502,与第一过滤器的过滤字段匹配。
S331,建立与第一过滤器相关的目标场景,并删除历史创建的场景。
例如,作为本申请的一个具体示例,建立一个名称为“192.168.1.254_0”的目标场景,这个场景的匹配时间周期是60秒。删除历史场景中名称为“192.168.1.254_1”的场景,并删除名称为“192.168.1.254_pub”的场景。
S332,将审计事件添加到目标场景中,并统计第一过滤器命中次数。
例如,作为本申请的一个具体示例,将事件1添加到名称为“192.168.1.254_0”的目标场景中,此时命中次数sum(192.168.1.254_0)=n+1。其中,n为上一次的命中次数,在未发生任何命中时,n的初始值0。
S340,判断审计事件的字段内容是否与第二过滤器的过滤字段匹配,若是则执行步骤S341,否则结束流程。
例如,作为本申请的一个具体示例,事件1的字段内容中的目的端口为433,与第二过滤器的过滤字段匹配。
S341,建立与第二过滤器对应的相关的目标场景。
例如,作为本申请的一个具体示例,建立一个名称为“192.168.1.254_1”的目标场景。在另一个示例中,若目标场景存在则不再创建。
S342,将审计事件添加到目标场景中,并统计第二过滤器命中次数。
例如,作为本申请的一个具体示例,将事件1添加到名称为“192.168.1.254_1”的目标场景中,此时命中次数sum(192.168.1.254_1)=m+1。其中,m为上一次的命中次数,在未发生任何命中时,m的初始值0,以此累加即可。
S350,在匹配时间周期内,判定并统计第一过滤器命中次数和第二过滤器命中次数是否均达到命中阈值,若达到则执行S360。
例如,作为本申请的一个具体示例,在60秒内,第一过滤器命中次数为11次,第二过滤器命中次数为10次,两者均达到了命中阈值10次。
另外,应理解若存在一个命中次数未达到命中阈值(图中未示出),则继续对下一审计事件执行上述步骤。
S360,生成告警事件。
例如,作为本申请的一个具体示例,生成包含审计事件的命中次数、目的端口、源IP地址和命中时间等信息的告警事件,通知相关人员存在的潜在风险。也就是说,在上述对审计事件分析的过程中可知,若在60秒之内主机开放的端口均被访问,且命中次数均达到命中阈值10次,则确认主机存在多端口扫描的潜在风险。应理解,虽然图3中未示出,但是应知晓在完成对事件1的处置后,继续对下一审计事件执行上述过程。
通过上述本申请的一些实施例可知,本申请通过设置匹配事件周期避免重复告警,达到减少告警事件量目的的同时,也提出来一种利用多个过滤器的多条关联规则发现类似多端口扫描这种多事件联合的潜在攻击行为的方法,提高了告警的准确度。与现有技术相比,本申请还可以在未产生告警事件的情况下对审计事件进行关联分析来确认是否生成告警事件,不需要对审计事件进行范式化的二次处理,减少了资源占用,提高了服务性能。
请参考图4,图4示出了本申请的一些实施例提供的生成告警事件的装置的组成框图。应理解,该生成告警事件的装置与上述方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该生成告警事件的装置的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
图4的生成告警事件的装置包括至少一个能以软件或固件的形式存储于存储器中或固化在生成告警事件的装置中的软件功能模块,该生成告警事件的装置包括:确定模块410,用于确定对审计事件分析的关联分析规则,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;统计模块420,用于在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;生成模块430,用于根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
在本申请的一些实施例中,所述字段内容和所述目标字段为相同字段或不同字段。
在本申请的一些实施例中,所述各个过滤器还配置有时间阈值,其中,统计模块420,用于:在所述时间阈值内,统计所述各命中次数。
在本申请的一些实施例中,所述审计事件是通过采集镜像流量生成的。
在本申请的一些实施例中,统计模块420,用于:提取所述审计事件中的各字段内容;若所述各字段内容与所述各过滤字段相同,则确认所述各字段内容与所述各过滤字段相匹配,并且所述审计事件的目标字段的各命中次数增一。
在本申请的一些实施例中,生成模块430,用于:若所述各命中次数均不小于所述各命中阈值,则确认生成告警事件;若所述各命中次数中存在至少一个命中次数小于对应的命中阈值,则确认不生成告警事件。
在本申请的一些实施例中,生成模块430,用于:在所述时间阈值内,若所述各命中次数均不小于所述各命中阈值,则确定生成一条告警事件。
在本申请的一些实施例中,所述字段内容和所述过滤字段为目的端口号、目的地址和数据库名称中的至少一种,所述目标字段为源地址或所述目的地址。
在本申请的一些实施例中,所述关联分析规则包括多个过滤器,其中,统计模块420,用于:判断所述审计事件的字段内容是否与第i过滤器的过滤字段匹配;若匹配,则统计所述审计事件的目标字段的命中次数;若不匹配,则将所述审计事件的字段内容与第i+1过滤器的过滤字段进行下一次匹配。
本申请的一些实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如上述实施例提供的上述方法中的任意实施例所对应方法的操作。
本申请的一些实施例还提供了一种计算机程序产品,所述的计算机程序产品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如上述实施例提供的上述方法中的任意实施例所对应方法的操作。
如图5所示,本申请的一些实施例提供一种电子设备500,该电子设备500包括:存储器510、处理器520以及存储在存储器510上并可在处理器520上运行的计算机程序,其中,处理器520通过总线530从存储器510读取程序并执行所述程序时可实现如上述任意实施例的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现上述所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (12)

1.一种生成告警事件的方法,其特征在于,包括:
确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;
在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;
根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
2.如权利要求1所述的方法,其特征在于,所述字段内容和所述目标字段为相同字段或不同字段。
3.如权利要求1或2所述的方法,其特征在于,所述各个过滤器还配置有时间阈值,其中,所述统计所述审计事件的目标字段的各命中次数,包括:
在所述时间阈值内,统计所述各命中次数。
4.如权利要求1或2所述的方法,其特征在于,所述审计事件是通过采集镜像流量生成的。
5.如权利要求1或2所述的方法,其特征在于,所述在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数,包括:
提取所述审计事件中的各字段内容;
若所述各字段内容与所述各过滤字段相同,则确认所述各字段内容与所述各过滤字段相匹配,并且所述审计事件的目标字段的各命中次数增一。
6.如权利要求1或2所述的方法,其特征在于,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:
若所述各命中次数均不小于所述各命中阈值,则确认生成告警事件;
若所述各命中次数中存在至少一个命中次数小于对应的命中阈值,则确认不生成告警事件。
7.如权利要求3所述的方法,其特征在于,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:
在所述时间阈值内,若所述各命中次数均不小于所述各命中阈值,则确定生成一条告警事件。
8.如权利要求1或2所述的方法,其特征在于,所述字段内容和所述过滤字段为目的端口号、目的地址和数据库名称中的至少一种,所述目标字段为源地址或所述目的地址。
9.如权利要求1或2所述的方法,其特征在于,所述关联分析规则包括多个过滤器,其中,所述确认所述审计事件的字段内容与所述各过滤字段相匹配,包括:
判断所述审计事件的字段内容是否与第i过滤器的过滤字段匹配;
若匹配,则统计所述审计事件的目标字段的命中次数;
若不匹配,则将所述审计事件的字段内容与第i+1过滤器的过滤字段进行下一次匹配。
10.一种生成告警事件的装置,其特征在于,包括:
确定模块,用于确定对审计事件分析的关联分析规则,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;
统计模块,用于在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;
生成模块,用于根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中,所述计算机程序被处理器运行时执行如权利要求1-9中任意一项权利要求所述的方法。
12.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并在所述处理器上运行的计算机程序,其中,所述计算机程序被所述处理器运行时执行如权利要求1-9中任意一项权利要求所述的方法。
CN202211483999.0A 2022-11-24 2022-11-24 一种生成告警事件的方法、装置、存储介质及电子设备 Pending CN115842711A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211483999.0A CN115842711A (zh) 2022-11-24 2022-11-24 一种生成告警事件的方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211483999.0A CN115842711A (zh) 2022-11-24 2022-11-24 一种生成告警事件的方法、装置、存储介质及电子设备

Publications (1)

Publication Number Publication Date
CN115842711A true CN115842711A (zh) 2023-03-24

Family

ID=85577240

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211483999.0A Pending CN115842711A (zh) 2022-11-24 2022-11-24 一种生成告警事件的方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN115842711A (zh)

Similar Documents

Publication Publication Date Title
CN110535702B (zh) 一种告警信息处理方法及装置
US9413773B2 (en) Method and apparatus for classifying and combining computer attack information
CN103026345B (zh) 用于事件监测优先级的动态多维模式
CN105009132A (zh) 基于置信因子的事件关联
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN114363044B (zh) 一种分层告警方法、系统、存储介质和终端
US20170155683A1 (en) Remedial action for release of threat data
CN112671767A (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN114338372A (zh) 网络信息安全监控方法及系统
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN115801307A (zh) 一种利用服务器日志进行端口扫描检测的方法和系统
CN115842711A (zh) 一种生成告警事件的方法、装置、存储介质及电子设备
CN115146263A (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
CN115706669A (zh) 网络安全态势预测方法及系统
CN113923039A (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN113806753A (zh) 一种基于标签计算的内网主机威胁预测方法及系统
CN111131248B (zh) 一种网站应用安全缺陷检测模型建模方法及缺陷检测方法
CN112989349B (zh) 病毒检测方法、装置、设备及存储介质
CN117093985A (zh) 一种api的安全检测方法、装置、电子设备和存储介质
CN117978513A (zh) 一种apt攻击检测的方法、装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination