CN115964256B - 一种资产管理场景下的告警方法及系统 - Google Patents
一种资产管理场景下的告警方法及系统 Download PDFInfo
- Publication number
- CN115964256B CN115964256B CN202310255650.XA CN202310255650A CN115964256B CN 115964256 B CN115964256 B CN 115964256B CN 202310255650 A CN202310255650 A CN 202310255650A CN 115964256 B CN115964256 B CN 115964256B
- Authority
- CN
- China
- Prior art keywords
- alarm
- data
- asset
- original data
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本申请涉及计算机技术领域,具体涉及一种资产管理场景下的告警方法及系统。所述方法可以包括响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据;响应于监听到执行完成所述扫描任务,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的告警条件;根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警。由此以任务为单元,解决了产生多条同一类型的告警导致的无效告警的问题,简化了告警,提升了告警效率,减少了资源浪费。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种资产管理场景下的告警方法及系统。
背景技术
随着经济和技术的发展,企业等机构规模越来越大,拥有的资产越来越多,管理也变得越来越复杂。所述资产包括硬件设备、软件装置、硬件和软件结合的产品。例如,所述资产可以包括服务器,PC(personal computer,个人计算机)设备,摄像头,打印机,防火墙、网关、OA系统、杀毒软件等等。
当进行资产管理场景中,会对现有资产进行数据扫描,扫描结果可能会产生大量的告警数据,这些告警数据非常复杂,需要有序进行告警。
发明内容
有鉴于此,本申请公开一种资产管理场景下的告警方法。所述方法可以包括:响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据;响应于监听到执行完成所述扫描任务,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的告警条件;根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警。
在一些实施例中,所述告警方式包括以下至少一种:第一告警方式,将资产唯一标识和各告警类型的数据分别组合进行告警;第二告警方式,将所述资产唯一标识和所述各告警类型的数据组合为一条告警数据进行告警;第三告警方式,针对所述各告警类型分别进行告警。
在一些实施例中,在告警方式为所述第一告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第一资产原始数据;对所述第一资产原始数据,生成与每一告警类型对应的第一信息;获取每一告警类型中,对应的所述第一信息满足所述告警匹配规则并且当前告警满足所述告警条件的目标告警类型;针对每一目标告警类型,基于与所述第一信息关联的第一数据,生成以所述资产唯一标识与所述目标告警类型进行组合告警的第一告警数据;
在告警方式为所述第二告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第二资产原始数据;对所述第二资产原始数据,生成与每一告警类型对应的第二信息;获取每一告警类型中,对应的所述第二信息满足所述告警匹配规则,并且当前告警满足所述告警条件的目标告警类型;基于与所述第二信息关联的第二数据,生成以所述资产唯一标识与全部所述目标告警类型进行组合告警的第二告警数据;
在告警方式为所述第三告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:针对每一告警类型,对所述原始数据进行分析得到与所述告警类型对应的第三信息获取每一所述告警类型中,对应的所述第三信息满足所述告警匹配规则,并且当前告警满足所述告警条件的目标告警类型;针对每一目标告警类型,基于与所述第三信息关联的第三数据,生成以所述目标告警类型进行告警的第三告警数据。
在一些实施例中,所述原始数据包括以下至少一种:资产存活数据,资产属性数据,资产风险数据。
在一些实施例中,所述完成所述扫描任务是指执行预设次数的所述扫描任务;或,所述扫描任务至少包括以下一种任务:资产存活扫描任务;资产属性扫描任务;漏洞扫描任务;弱口令扫描任务;高危端口扫描任务。
在一些实施例中,所述方法还包括:响应于生成告警数据,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中;响应于接收到针对目标告警数据详情信息的追溯查询请求,根据所述目标告警数据包括的目标告警数据ID,查询包含所述目标告警数据ID的目标原始数据;返回查询到的所述目标原始数据,以与当前数据进行比较。
在一些实施例中,在接收到告警任务之前,所述方法还包括:向用户提供窗口,以使所述用户自定义告警条件和选择告警方式。
在一些实施例中,所述告警条件包括以下至少一项:资产IP范围;其中,所述IP通过四个八进制数组合为三十二位进制数来表示;四个所述八进制数分别对应所述IP的网络类型位、网络范围位、网络位与主机位;端口协议;告警级别;服务组件类型;资产系统类型;漏洞类型或者等级;资产区域位置。
本申请还提出一种资产管理场景下的告警系统,所述系统包括任务引擎单元,任务监听单元,和告警单元;所述任务引擎单元,用于接收告警任务,响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据;所述任务监听单元,用于监听所述告警任务的执行情况,并且在监听到执行完成所述告警任务的情形下通知所述告警单元;所述告警单元,用于响应于接收到所述任务监听单元下发的通知消息,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的告警条件;根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警。
在一些实施例中,所述系统还包括追溯查询单元;所述追溯查询单元,用于响应于生成告警数据,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中;响应于接收到针对目标告警数据详情信息的追溯查询请求,根据所述目标告警数据包括的目标告警数据ID,查询包含所述目标告警数据ID的目标原始数据;返回查询到的所述目标原始数据,以与当前数据进行比较。
前述实施例记载的方案中,可以在执行扫描任务过程中,将中间结果以原始数据的方式存储,当监听到任务完成,根据与用户选择的告警方式相对应的告警匹配规则和用户自定义的通知条件,对本次任务所有的原始数据进行统一处理完成告警,从而以任务为单元,解决了产生多条同一类型的告警导致的无效告警的问题,简化了告警,提升了告警效率,减少了资源浪费。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。
图1为本申请实施例示出的一种资产管理场景下的告警方法的流程示意图。
图2为本申请示出的第一告警方式下的告警流程示意图。
图3为本申请示出的第二告警方式下的告警流程示意图。
图4为本申请示出的第三告警方式下的告警流程示意图。
图5为本申请提出的告警回溯方法的流程示意图。
图6为本申请示意的一种资产管理场景下的告警系统的结构示意图。
图7为本申请示意的告警流程图。
具体实施方式
下面将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的设备和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在可以包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。还应当理解,本文中所使用的词语“如果”,取决于语境,可以被解释成为“在……时”或“当……时”或“响应于确定”。
在一些相关技术中,采用逐条告警的方式进行告警。即,如果在扫描过程中发现需要告警的数据,会产生告警。如此的告警方式会导致重复告警,告警效率比较低,导致资源浪费。
例如,当对单个IP进行分片扫描(比如要扫描的端口比较多,对一个IP的扫描分为多次),返回多个分片扫描结果,或者一次扫描任务,多次返回扫描结果时,假设这些扫描结果均满足告警条件,则针对该IP会产生多次相同类型的告警,导致有较多的无效告警,告警效率比较低,导致资源浪费。
有鉴于此,本申请提出一种资产管理场景下的告警方法。所述方法可以在执行扫描任务过程中,将中间结果以原始数据的方式存储,当监听到任务完成,根据与用户选择的告警方式相对应的告警匹配规则和用户自定义的通知条件,对本次任务所有的原始数据进行统一处理完成告警,从而以任务为单元,解决了产生多条同一类型的告警导致的无效告警的问题,简化了告警,提升了告警效率,减少了资源浪费。
下结合附图进行实施例说明。请参见图1,图1为本申请实施例示出的一种资产管理场景下的告警方法的流程示意图。
图1示出的资产管理场景下的告警方法可以应用于电子设备中。其中,所述电子设备可以通过搭载与资产管理场景下的告警方法对应的软件逻辑执行该方法。所述电子设备的类型可以是笔记本电脑,计算机,服务器,手机,掌上电脑(Personal DigitalAssistant,PDA)等。在本申请中不特别限定所述电子设备的类型。所述电子设备也可以是客户端设备或服务端设备。
如图1所示,所述方法可以包括S102-S106。除特别说明外,本申请不特别限定这些步骤的执行顺序。
S102,响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据。
资产,是指由企业过去的交易或事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。所述资产包括硬件设备、软件装置、硬件和软件结合的产品。例如所述资产可以包括服务器,PC(personal computer,个人计算机)设备,摄像头,打印机,防火墙、网关、OA系统、杀毒软件等等。
风险是指资产可能产生的不安全事件,可以包括,主机漏洞,应用漏洞,弱口令,高危端口等。
所述资产具备一些资产数据。以服务器资产为例,该服务器可以具备设备名称,责任人,IP地址,开放端口,存放机房,系统版本等资产数据。这些资产数据可以分为资产存活数据、资产属性数据与资产风险数据。
其中,资产存活数据是指资产上线、下线数据。
资产属性数据可以是相对于资产风险数据而言的,资产具备的一些常规属性。比如设备名称,责任人,IP地址,开放端口,存放机房,系统版本等。可以根据需求设置资产属性数据的类型。可选地,在一些场景中资产的存活数据可以被包含在资产属性数据中。
资产风险数据是指可能导致一些不安全事件的数据。比如漏洞数据,弱口令数据,高危端口数据等。可以根据需求设置资产风险数据的字段。这些资产风险数据可以包括诸如ID,类型,状态等字段。
所述扫描任务用于对被管理的资产的所述资产数据进行扫描。在一些扫描任务中,可能不止进行一次扫描,例如,针对同一IP的端口的分片扫描等,每一次扫描得到的资产数据可以作为原始数据存储起来,便于进行后续的告警匹配。所述告警匹配是指利用原始数据和告警规则,用户自定义条件,确定告警数据的过程。
在一些实施例中,所述原始数据可以包括以下至少一种:
资产存活数据,资产属性数据,资产风险数据。
针对资产存活数据,资产属性数据,资产风险数据可以参照前面内容,在此不做叙述。
针对这些原始数据可以预设一些字段,用来记录这些数据。例如,资产属性数据可以包括任务ID,资产IP,端口信息,关联的告警ID等字段。资产风险数据可以包括任务ID,资产IP,风险描述信息,关联的告警ID等字段。其中部分字段是通过扫描任务扫描得到,关联的告警ID需要确定该数据需要被告警时,与告警数据进行关联。
每一次扫描后,可以将扫描的结果存储在这些字段中,从而完成原始数据的存储。
S104,响应于监听到执行完成所述扫描任务,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的通知条件。
本申请中可以在开启扫描任务之前,可以向用户提供告警方式和通知条件的配置窗口。用户可以在该窗口选择相应的告警方式,与通知条件。本申请可以提供至少一种告警方式和通知条件供用户选择,适用多种场景和用户需求。所述告警方式和通知条件可以根据需求进行设置,关于通知条件和告警方式的介绍在后续实施例。
可以预先维护与不同告警方式对应的告警匹配规则,本步骤中,在监听到完成扫描任务后,可以根据用户选择的告警方式获取相应的告警匹配规则,并且获取用户配置的通知条件。
S106,根据所述告警匹配规则和所述通知条件,基于所述原始数据生成告警数据进行告警。
本步骤中,对所述原始数据进行分析得到与告警类型相关的信息,并在所述信息满足所述告警匹配规则下,且当前告警满足所述通知条件的情形下,将所述关联的数据作为基础数据生成告警数据完成告警。
所述告警类型是可以根据业务需求进行设定的。例如,所述告警类型可以是资产风险告警,资产存活状态告警,资产新增端口告警,新增服务告警等等。所述资产风险告警可以包括资产弱口令告警,资产漏洞告警,资产高危端口告警等等。
所述告警类型相关的信息是指与告警匹配相关的用于判断是否需要进行告警的信息。所述信息的分析方法被写在与告警方式对应的逻辑代码中,通过运行逻辑代码即可对扫描得到的原始数据进行分析,可以得到所述信息。
例如,在资产存活告警场景中,所述信息是资产的当前存活状态,以及与上次扫描的存活状态相比是否发生变化。通过分析当前扫描得到的资产的资产存活数据与上次扫描缓存的资产存活数据,即可得到该信息。再例如,在风险告警场景中,所述信息可以是某一资产的风险数量。通过分析扫描得到的该资产的资产风险数据,即可得到所述信息。
所述告警匹配规则中预先配置了根据该告警类型相关的信息判断是否告警的规则,通过将所述信息与告警匹配规则匹配,即可判断是否告警。例如,在资产存活告警场景中,所述告警匹配规则可以包括在存活状态发生变化的情形下进行告警。通过分析所述信息如果发现某一资产存活状态发生变化,则可以判断需要对该资产进行告警。再例如,在风险告警场景中,所述告警匹配规则可以包括在资产的风险数量达到阈值的情形下进行告警。通过分析所述信息如果发现某一资产的风险数量达到阈值,则可以判断需要对该资产进行告警。
本申请中如果根据告警匹配规则确定需要进行告警,还需要根据用户自定义的通知条件进行对当前告警进一步过滤。判断所述当前告警是否满足通知条件的方法可以包括,将当前告警关联的原始数据和/或当前告警的告警内容、等级等信息与所述通知条件进行匹配,如果匹配成功,才需要告警。
例如,所述通知条件可以是限制对资产IP为A资产进行告警。如果通过告警匹配规则判断需要针对某一资产的存活状态数据进行告警,如果该资产的IP不是A则可以完成针对该资产的存活状态数据进行告警;如果该资产的IP是A,说明命中限制条件,则不进行告警。
通过S102-106记载的方案,可以在执行扫描任务过程中,将中间结果以原始数据的方式存储,当监听到任务完成,根据与用户选择的告警方式相对应的告警匹配规则和用户自定义的通知条件,对本次任务所有的原始数据进行统一处理完成告警,从而以任务为单元,解决了产生多条同一类型的告警导致的无效告警的问题,简化了告警,提升了告警效率,减少了资源浪费。
在一些场景中,资产设备各式各样,如打印机、摄像头、PC、服务器、门禁等,不同设备的性能不同,在资产扫描引擎设置的统一的扫描速率等参数情况下,性能较低的设备可能不能完全处理扫描请求,从而出现请求被丢弃,导致扫描结果不全,由此可能导致误报警。为了解决该问题,可以将所述完成所述扫描任务定义为执行预设次数的所述扫描任务(本申请称之为场景任务),以这一组任务为单元,在监听到场景任务完成之后,再针对扫描达到的原始数据进行处理,完成这一组的告警,处理的过程中会将所有相同任务的结果的合集进行处理,如果某次扫描因网络波动等不确定的因素导致扫描不全造成告警不准确的问题。
所述扫描任务(场景任务)至少包括以下一种任务:
资产存活扫描任务;
资产属性扫描任务;
漏洞扫描任务;
弱口令扫描任务;
高危端口扫描任务。
所述资产存活扫描任务是指扫描资产的存活数据。所述资产属性扫描任务是指扫描资产的属性数据。
所述漏洞扫描任务用于扫描资产漏洞数据,所述弱口令扫描任务用于扫描资产的弱口令数据,所述高危端口扫描任务用于扫描高危端口数据。
由此通过对各类扫描任务的单一执行或组合执行可以有针对性的完成各种场景下的资产数据的扫描。
在一些实施例中,所述告警方式包括以下至少一种:
第一告警方式,将资产唯一标识和各告警类型的数据分别组合进行告警;
第二告警方式,将所述资产唯一标识和所述各告警类型的数据组合为一条告警数据进行告警;
第三告警方式,针对所述各告警类型分别进行告警。
以上三种告警方式实现方式也不相同,告警效率也不相同,适用不同的告警场景。不过与相关技术中逐条数据告警的方式相比,三种告警方式均有不同程度的信息聚合,具有一定的告警效率的提升。其中,从告警效率由高到底排名为:第三告警方式、第二告警方式、第一告警方式。
针对第一告警方式,请参见图2,图2为本申请示出的第一告警方式下的告警流程示意图。图2为针对每一资产执行的告警步骤。如图2所示,所述方法可以包括S202-S208。
S202,根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第一资产原始数据。
所述资产唯一标识用于唯一标定资产。所述资产唯一标识可以是资产IP,资产ID,资产指纹等等。原始数据中会包含资产唯一标识字段,通过该字段即可筛选出资产原始数据。
S204,对所述第一资产原始数据,生成与每一告警类型对应的第一信息。
本申请为了区分不同告警方式下生成的信息和告警数据,采用第一信息和第一告警数据对应第一告警方式,第二信息和第二告警数据对应第二告警方式,第三信息和第三告警数据对应第三告警方式。
预先维护了每一告警类型对应的第一信息生成代码,通过运行该代码即可得到所述第一信息。
S206,获取每一告警类型中,对应的所述第一信息满足所述告警匹配规则并且当前告警满足所述通知条件的目标告警类型。
本步骤中,可以针对每一告警类型,分别利用对应的第一信息与告警匹配规则进行匹配,并在告警匹配通过之后,利用与第一信息关联的第一数据或者告警等级等与所述通知条件进行匹配,如果确定满足通知条件,则将该告警类型确定为目标告警类型。
所述第一数据是指所述原始数据中用于得到所述第一信息的数据。例如,所述第一信息为第一资产的漏洞数量,则所述第一数据为所述第一资产的漏洞数据。
S208,针对每一目标告警类型,基于与所述第一信息关联的第一数据,生成以所述资产唯一标识与所述目标告警类型进行组合告警的第一告警数据。
在一些实施例中,可以将所述第一告警数据的数据ID添加至所述第一数据的告警数据字段中,从而形成告警数据与原始数据的关联,便于后期追溯查询。关于追溯的实施例在后续实施例。
通过S202-S208即可实现利用资产唯一标识进行原始数据的聚集分析并以资产唯一标识加告警类型的方式进行告警。
以需要进行资产存活状态告警、资产新增服务、新增端口告警、资产漏洞告警的场景为例。资产上线、离线的数据存储于资产存活原始数据中,资产上一次被修改的状态存储在缓存中,将此次扫描任务的原始数据通过任务id查询出来,逐资产IP判断原始数据和缓存中上一次的历史数据是否相同,如果不相同,则判断此次修改存活状态发生变化,然后判断一下当前告警满不满足用户自定义通知条件,如果满足,则资产IP加当前存活状态的告警信息完成告警,然后将匹配的原始数据打上告警标记。
新增服务、新增端口告警数据存储于资产信息原始数据中,聚合资产IP字段分别统计此次任务中每一资产的新增服务、新增端口的数量,然后读取告警规则,获取新增端口、新增服务的告警阈值,最后使用新增端口、新增服务的原始数据数量匹配告警规则中的阈值,如果新增服务、新增端口的数量均大于阈值,且当前告警满足自定义单元的条件,则将匹配的原始数据打上告警标记,然后产生两条告警信息,分别是资产IP加新增服务告警和资产IP加新增端口告警。
新增漏洞告警数据存储于漏洞原始数据中,告警类型根据漏洞等级共分为4类:新增低危漏洞、新增中危漏洞、新增高危漏洞、新增超危漏洞。聚合IP字段分别统计此次任务中4类告警类型的数量,然后每个IP逐条匹配4类告警类型,读取新增漏洞的告警规则,获取新增漏洞告警规则中的阈值,使用4类告警的数量依次与阈值做比较,如果4类告警数量均大于相应阈值并且当前告警满足自定义单元的条件,则将这类告警匹配的原始数据打上告警标记,生成四条告警信息,分别是资产IP加新增低危漏洞,资产IP加新增中危漏洞,资产IP加新增高危漏洞,资产IP加新增超危漏洞。
前述场景中,可以资产IP加告警类型的方式进行告警。
针对第二告警方式,请参见图3,图3为本申请示出的第二告警方式下的告警流程示意图。图3为针对每一资产执行的告警步骤。如图3所示,所述方法可以包括S302-S308。
S302,根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第二资产原始数据。
S304,对所述第二资产原始数据,生成与每一告警类型对应的第二信息。
预先维护了每一告警类型对应的第二信息生成代码,通过运行该代码即可得到所述第二信息。
S306,获取每一告警类型中,对应的所述第二信息满足所述告警匹配规则,并且当前告警满足所述通知条件的目标告警类型。
本步骤中,可以针对每一告警类型,分别利用对应的第二信息与告警匹配规则进行匹配,并在告警匹配通过之后,利用与第二信息关联的第二数据或者告警等级等与所述通知条件进行匹配,如果确定满足告警类型,则将该告警类型确定为目标告警类型。
S308,基于与所述第二信息关联的第二数据,生成以所述资产唯一标识与全部所述目标告警类型进行组合告警的第二告警数据。
在一些实施例中,可以将所述第二告警数据的数据ID添加至所述第二数据的告警数据字段中,从而形成告警数据与原始数据的关联,便于后期追溯查询。关于追溯的实施例在后续实施例。
通过S302-S308即可实现利用资产唯一标识进行原始数据的聚集分析并以资产加全部告警类型的方式进行告警。
以需要进行资产存活状态告警、资产新增服务、新增端口告警、资产漏洞告警的场景为例。资产上线、离线的数据存储于资产存活原始数据中,资产上一次被修改的状态存储在缓存中,将此次扫描任务的原始数据通过任务id查询出来,逐资产IP判断原始数据和缓存中上一次的历史数据是否相同,如果不相同,则判断此次修改存活状态发生变化,然后判断一下当前告警满不满足用户自定义通知条件,如果满足,将匹配的原始数据打上告警标记。
新增服务、新增端口告警数据存储于资产信息原始数据中,聚合资产IP字段分别统计此次任务中每一资产的新增服务、新增端口的数量,然后读取告警规则,获取新增端口、新增服务的告警阈值,最后使用新增端口、新增服务的原始数据数量匹配告警规则中的阈值,如果新增服务、新增端口的数量均大于阈值并且当前告警满足自定义单元的条件,则将匹配的原始数据打上告警标记。
新增漏洞告警数据存储于漏洞原始数据中,告警类型根据漏洞等级共分为4类:新增低危漏洞、新增中危漏洞、新增高危漏洞、新增超危漏洞。聚合IP字段分别统计此次任务中4类告警类型的数量,然后每个IP逐条匹配4类告警类型,读取新增漏洞的告警规则,获取新增漏洞告警规则中的阈值,使用4类告警的数量依次与阈值做比较,如果4类告警数量均大于相应阈值并且当前告警满足自定义单元的条件,则将这类告警匹配的原始数据打上告警标记。
最后针对该资产生成一条告警信息,该告警信息以资产IP加全部告警类型(当前存活状态、新增服务、新增端口、新增低危漏洞、新增中危漏洞、新增高危漏洞、新增超危漏洞)进行告警。
前述场景中,可以资产IP加全部告警类型的方式进行告警。
针对第三告警方式,请参见图4,图4为本申请示出的第三告警方式下的告警流程示意图。如图4所示,所述方法可以包括S402-S406。
S402,针对每一告警类型,对所述原始数据进行分析得到与所述告警类型对应的第三信息。
预先维护了每一告警类型对应的第三信息生成代码,通过运行该代码即可得到所述第三信息。
S404,获取每一所述告警类型中,对应的所述第三信息满足所述告警匹配规则,并且当前告警满足所述通知条件的目标告警类型。
本步骤中,可以针对每一告警类型,分别利用对应的第三信息与告警匹配规则进行匹配,并在告警匹配通过之后,利用与第三信息关联的第三数据或者告警等级等与所述通知条件进行匹配,如果确定满足告警类型,则将该告警类型确定为目标告警类型。
S406,针对每一目标告警类型,基于与所述第三信息关联的第三数据,生成以所述目标告警类型进行告警的第三告警数据。
在一些实施例中,可以将所述第三告警数据的数据ID添加至所述第三数据的告警数据字段中,从而形成告警数据与原始数据的关联,便于后期追溯查询。关于追溯的实施例在后续实施例。
通过S402-S406即可实现利用告警类型进行告警,无需以资产唯一标识进行原始数据的聚集分析,任务完成后,仅根据不同的告警类型逐类型统一进行告警的匹配,避免产生一条告警原始数据就要匹配一次告警规则,因为任务完成后仅仅根据类型聚合一次,很大程度提升了告警效率。摒弃了传统的逐条匹配的方式,改用了集中匹配的方式,首先根据探测结果,做初步判断生成的告警事件原始数据通过数据库存储到磁盘中,打上此次任务的tag,不立即匹配告警规则,待任务完成时,先对数据库中所有的告警原始数据按分类进行统计,按分类批量去匹配告警规则,对匹配上的告警原始数据做上告警标记(用作告警回溯)并生成告警信息,原本要匹配很多次的告警,经过优化只需要匹配固定次数的分类,大大节省了性能开销,减少了对内存、CPU资源的浪费。
以需要进行资产存活状态告警、资产新增服务、新增端口告警、资产漏洞告警的场景为例。资产上线、离线的数据存储于资产存活原始数据中,资产上一次被修改的状态存储在缓存中,将此次扫描任务的原始数据通过任务id查询出来,逐资产IP判断原始数据和缓存中上一次的历史数据是否相同,如果不相同,则判断此次修改存活状态发生变化,然后判断一下当前告警满不满足用户自定义通知条件,如果满足,将匹配的原始数据打上告警标记,生成与资产存活状态相关的告警信息进行告警。
新增服务、新增端口告警数据存储于资产信息原始数据中,分别统计此次任务中新增服务、新增端口的数量,然后读取告警规则,获取新增端口、新增服务的告警阈值,最后使用新增端口、新增服务的原始数据数量匹配告警规则中的阈值,如果大于阈值并当前告警满足自定义单元的条件,则将匹配的原始数据打上告警标记,生成针对新增服务、新增端口的一条告警信息。
新增漏洞告警数据存储于漏洞原始数据中,告警类型根据漏洞等级共分为4类:新增低危漏洞、新增中危漏洞、新增高危漏洞、新增超危漏洞。分别统计此次任务中4类告警类型的数量,然后读取新增漏洞的告警规则,获取新增漏洞告警规则中的阈值,使用4类告警的数量依次与阈值做比较,如果4类告警数量均大于相应阈值并且当前告警满足自定义单元的条件,则将这类告警匹配的原始数据打上告警标记,生成针对新增漏洞的告警信息进行告警。
前述场景中,可以告警类型为维度进行告警,很大程度提升了告警效率。在一些实施例中,如果用户需要以某些维度进行告警信息的统计,则可以选择相应的统计规则。例如,针对新增漏洞告警维度,用户需要以资产IP进行统计,则可以选择资产IP维度,后台可将告警信息转换成资产IP加新增漏洞为组合的告警方式。
在一些实施例中,可以提供多种通知条件供用户选择,用户可以选择其中的一种或几种的组合,可以灵活设置自定义通知条件,摒弃用户不关心的告警信息。所述通知条件可以是过滤类型或筛选类型的条件。以下以过滤类型的条件为例。
所述通知条件包括以下至少一项:
资产IP范围;其中,所述IP通过四个八进制数组合为三十二位进制数来表示;四个所述八进制数分别对应所述IP的网络类型位、网络范围位、网络位与主机位;
端口协议;
告警级别;
服务组件类型;
资产系统类型;
漏洞类型或者等级;
资产区域位置。
其中,所述资产IP范围,可以是指用户认为无需告警的告警信息对应的资产所拥有的IP范围。
为了提升匹配效率,所述IP通过四个八进制数组合为三十二位进制数来表示;四个所述八进制数分别对应所述IP的网络类型位、网络范围位、网络位与主机位。
在一些方式中,可以将IP字段转换为long类型(即:将ip字段以“.”分隔为4个8进制数,最后将4个8进制数合并为1个32位二进制数,如:192.168.1.1->3232235777,将ip以“.”分隔为4份,分别以ip[0],ip[1],ip[2],ip[3]来表示,公式为:ip[0]<<24 + ip[1]<<16+ ip[2]<<8 + ip[3]),冗余存储在原始数据的long_ip字段中。在进行IP地址过滤时,将获取设置的IP范围的起始地址和结束地址,同样也将起始地址和结束地址转换为long类型,编辑筛选条件过滤出需要告警的原始数据(起始地址 >= 原始数据ip>= 结束地址),满足条件的原始数据打上无需告警的标签。在一些方式中,原始数据包括是否报警的字段is_warning,可以将该字段置为0,表示原始数据无需进行告警。
端口协议,可以是指用户认为无需告警的告警信息对应的资产所拥有的端口协议。在一些方式中,端口协议只支持过滤tcp协议和udp协议,在资产信息原始数据中筛选出端口协议为自定义通知条件的配置项,将结果原始数据打上无需告警的标签。
告警级别,可以是指用户认为无需告警的告警信息对应的级别。在一些实施例中,此过滤发生在生成告警之前,在告警生成之前检查告警的level字段,如果满足配置的告警级别,则告警,反之则忽略告警。
服务组件类型,可以是指用户认为无需告警的告警信息对应的资产所拥有的服务组件类型。在一些实施例中,在告警生成前,检查告警关联的原始数据,在资产筛选出原始数据组件类型为自定义通知条件的配置项,将结果原始数据打上无需告警的标签。
资产系统类型,可以是指用户认为无需告警的告警信息对应的资产所拥有的资产系统类型。在告警生成前,检查告警关联的原始数据,在资产筛选出原始数据资产系统类型为自定义通知条件的配置项,将结果原始数据打上无需告警的标签。
漏洞类型或者等级,可以是指用户认为无需告警的告警信息对应的资产所拥有的漏洞类型或者等级。在告警生成前,检查告警关联的原始数据,在资产筛选出原始数据漏洞类型或者等级为自定义通知条件的配置项,将结果原始数据打上无需告警的标签。
资产区域位置,可以是指用户认为无需告警的告警信息对应的资产所拥有的资产区域位置。在告警生成前,检查告警关联的原始数据,在资产筛选出原始数据资产的资产区域位置为自定义通知条件的配置项,将结果原始数据打上无需告警的标签。
最后生成告警的时候,在获取原始数据的时候,可以过滤掉无需告警(is_warning字段为0)的原始数据,此部分无需告警。需要说明的是,本申请提供的自定义条件可以支持原始数据中的所有字段,本申请中不进行穷举。
在一些场景中,产生的告警仅是一段文字描述,当处理告警的时候,无法清晰的了解到告警时的真实情况,且无法较为便利的实现告警时的情况和当前情况的清晰的对比分析,导致告警处置较为困难。
例如,告警内容为存在10个漏洞。过了一段时间后,如果用户想追溯哪些漏洞,并与当前漏洞情况进行比较的时候,目前相关技术没有解决方案。
本申请为了解决告警追溯的问题,在告警过程中,会对产生的原始数据做标记,记录告警当时的真实数据状态,当回溯告警的时候,通过查询算法关联原始数据,并对现在的状态进行左右对比,非常方便的进行处理决策。
请参见图5,图5为本申请提出的告警回溯方法的流程示意图。如图5所示,所述方法可以包括S502-S506。
S502,响应于生成告警数据,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中。
本步骤中,可以响应于S106生成告警数据之后,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中,从而将告警数据与原始数据关联起来。
S504,响应于接收到针对目标告警数据详情信息的追溯查询请求,根据所述目标告警数据包括的目标告警数据ID,查询包含所述目标告警数据ID的目标原始数据。
在有追溯需求时候,可以根据要追溯的目标告警数据ID,查询包含该ID 的目标原始数据。这些原始数据则是生成目标告警数据的基础数据。通过这些原始数据接口了解当时的告警情形。
S506,返回查询到的所述目标原始数据,以与当前数据进行比较。
通过S502-S506,在告警过程中,会对产生的原始数据做标记,记录告警当时的真实数据状态,形成告警数据的追溯,当回溯告警的时候,通过查询算法关联原始数据,并对现在的状态进行左右对比,非常方便的进行处理决策。
本申请还提出一种资产管理场景下的告警系统。以下结合附图对实施例进行说明。
请参见图6,图6为本申请示意的一种资产管理场景下的告警系统的结构示意图。如图6所示,所述系统可以包括任务引擎单元610,任务监听单元620,和告警单元630。
其中,所述任务引擎单元610,用于接收告警任务,响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据。
所述任务监听单元620,用于监听所述告警任务的执行情况,并且在监听到执行完成所述告警任务的情形下通知所述告警单元。
所述告警单元630,用于响应于接收到所述任务监听单元下发的通知消息,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的通知条件;
根据所述告警匹配规则和所述通知条件,基于所述原始数据生成告警数据进行告警。
关于所述任务引擎单元610,任务监听单元620,和告警单元630执行的步骤解释可以参照前述实施例,在此不做详述。
在一些实施例中,所述告警系统还包括追溯查询单元,用于响应于生成告警数据,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中;
响应于接收到针对目标告警数据详情信息的追溯查询请求,根据所述目标告警数据包括的目标告警数据ID,查询包含所述目标告警数据ID的目标原始数据;
返回查询到的所述目标原始数据,以与当前数据进行比较。
关于追溯查询单元执行的步骤的解释可以参照前述S502-S506,在此不做详述。
以下结合资产管理场景进行实施例说明。
本实施例中,可以预先设原始数据包括的字段。
存活原始数据(t_asset_alive):task_id,本次任务的id;ip,资产的ip;long_ip,ip地址的long类型表示;status,存活状态;is_warning,是否告警;warning_id,告警id。
资产信息原始数据(t_asset):task_id,本次任务的id;ip,资产的ip;long_ip,ip地址的long类型表示;mac,mac地址;os,操作系统;type,类型;location,区域位置;ports,资产开放的端口信息;name,端口名称;port,端口号;service,端口服务;protocol,端口协议;product,服务组件名称;is_warning,是否告警;warning_id,告警id。
漏洞原始数据(t_asset_vuln):task_id,本次任务的id;ip,资产的ip;long_ip,ip地址的long类型表示;name,漏洞名称;level,漏洞等级;cve,漏洞cve编号;cnvd,漏洞cnvd编号;advice,漏洞建议;description,漏洞描述;category,告警分类;vuln_number,告警编号;is_warning,是否告警;warning_id,告警id。
弱口令原始数据:task_id,本次任务的id;ip,资产的ip;long_ip,ip地址的long类型表示;username,弱口令用户名;password,弱口令密码;port,弱口令端口;service_name,弱口令服务名称;level,弱口令严重等级;is_warning,是否告警;warning_id,告警id。
告警数据(t_warning)可以包括预设字段:id,告警id;name,告警名称;content,告警内容;level,告警等级;type,告警类型。
请参见图7,图7为本申请示意的告警流程图。如图7所示,所述方法可以包括:
S701,用户自定义通知条件选择告警方式。
通知条件支持原始数据中的所有字段,并支持通过AND、OR等逻辑组合通知条件。关于告警方式和通知条件的介绍可参照前面实施例,在此不做详述。
S702,接收扫描任务。
所述扫描任务可以是普通任务,或多次执行的场景任务。关于扫描任务介绍可参照前面实施例,在此不做详述。
S703,任务开始后的扫描结果会作为原始数据存储到数据库中。
数据库中可以维护以下包含前面字段的数据表,扫描过程中得到的数据可以被填入数据表,完成原始数据存储。
S704,监听扫描任务。
本步骤可以通过SDK,监听扫描任务。
S705,响应于监听到任务结束后,针对本次任务的原始数据进行自定义通知条件的筛选,并且进行分类告警规则匹配。
本步骤中,可以在监听到任务结束后,通过用户自定义的通知条件,在原始数据中进行筛选或过滤,得到无需告警的原始数据,并将这部分原始数据的is_warning置为0,表示这部分数据不会告警。在告警匹配中,可以基于is_warning字段不是0的原始数据得到于告警维度对应的信息,根据用户选择的告警方式对应的匹配规则,完成匹配,具体说明可以参照S104。
S706,筛选出需要告警的原始数据,生成告警数据,并对匹配的告警原始数据打告警标记,用于告警回溯。
本步骤中,可以基于告警管理的原始数据,生成告警数据,并将告警数据的ID添加至关联的原始数据中,用于告警回溯。
通过S701-S706,第一,可以在执行扫描任务过程中,将中间结果以原始数据的方式存储,当监听到任务完成,根据与用户选择的告警方式相对应的告警匹配规则和用户自定义的通知条件,对本次任务所有的原始数据进行统一处理完成告警,从而以任务为单元,解决了产生多条同一类型的告警导致的无效告警的问题,简化了告警,提升了告警效率,减少了资源浪费。
第二,通过对各类扫描任务的单一执行或组合执行可以有针对性的完成各种场景下的资产数据的扫描。
第三,可以通过提供多种告警方式和通知条件,为用户提供多种组合,以适用不同的告警场景。
第四,摒弃了传统的逐条匹配的方式,改用了集中匹配的方式,首先根据探测结果,做初步判断生成的告警事件原始数据通过数据库存储到磁盘中,打上此次任务的tag,不立即匹配告警规则,待任务完成时,先对数据库中所有的告警原始数据按分类进行统计,按分类批量去匹配告警规则,对匹配上的告警原始数据做上告警标记(用作告警回溯)并生成告警信息,原本要匹配很多次的告警,经过优化只需要匹配固定次数的分类,大大节省了性能开销,减少了对内存、CPU资源的浪费。
第五,在告警过程中,会对产生的原始数据做标记,记录告警当时的真实数据状态,形成告警数据的追溯,当回溯告警的时候,通过查询算法关联原始数据,并对现在的状态进行左右对比,非常方便的进行处理决策。
本领域技术人员应明白,本申请一个或多个实施例可提供为方法、系统或计算机程序产品。因此,本申请一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请中的“和/或”表示至少具有两者中的其中一个。本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于数据处理设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然本申请包含许多具体实施细节,但是这些不应被解释为限制任何公开的范围或所要求保护的范围,而是主要用于描述特定公开的具体实施例的特征。本申请内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,所述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
以上仅为本申请一个或多个实施例的较佳实施例而已,并不用以限制本申请一个或多个实施例,凡在本申请一个或多个实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请一个或多个实施例保护的范围之内。
Claims (7)
1.一种资产管理场景下的告警方法,其特征在于,所述方法包括:
响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据;所述原始数据包括资产存活数据,资产属性数据,资产风险数据;
响应于监听到执行完成所述扫描任务,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的告警条件;所述告警方式包括第一告警方式,将资产唯一标识和各告警类型的数据分别组合进行告警;第二告警方式,将所述资产唯一标识和所述各告警类型的数据组合为一条告警数据进行告警;第三告警方式,针对所述各告警类型分别进行告警;
根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警;
其中,在告警方式为所述第一告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:
根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第一资产原始数据;
对所述第一资产原始数据,生成与每一告警类型对应的第一信息;
获取每一告警类型中,对应的所述第一信息满足所述告警匹配规则并且当前告警满足所述告警条件的目标告警类型;
针对每一目标告警类型,基于与所述第一信息关联的第一数据,生成以所述资产唯一标识与所述目标告警类型进行组合告警的第一告警数据;
在告警方式为所述第二告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:
根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第二资产原始数据;
对所述第二资产原始数据,生成与每一告警类型对应的第二信息;
获取每一告警类型中,对应的所述第二信息满足所述告警匹配规则,并且当前告警满足所述告警条件的目标告警类型;
基于与所述第二信息关联的第二数据,生成以所述资产唯一标识与全部所述目标告警类型进行组合告警的第二告警数据;
在告警方式为所述第三告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:
针对每一告警类型,对所述原始数据进行分析得到与所述告警类型对应的第三信息;
获取每一所述告警类型中,对应的所述第三信息满足所述告警匹配规则,并且当前告警满足所述告警条件的目标告警类型;
针对每一目标告警类型,基于与所述第三信息关联的第三数据,生成以所述目标告警类型进行告警的第三告警数据。
2.根据权利要求1所述的资产管理场景下的告警方法,其特征在于,所述完成所述扫描任务是指执行预设次数的所述扫描任务;
或,
所述扫描任务至少包括以下一种任务:
资产存活扫描任务;
资产属性扫描任务;
漏洞扫描任务;
弱口令扫描任务;
高危端口扫描任务。
3.据权利要求1所述的资产管理场景下的告警方法,其特征在于,所述方法还包括:
响应于生成告警数据,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中;
响应于接收到针对目标告警数据详情信息的追溯查询请求,根据所述目标告警数据包括的目标告警数据ID,查询包含所述目标告警数据ID的目标原始数据;
返回查询到的所述目标原始数据,以与当前数据进行比较。
4.根据权利要求1所述的资产管理场景下的告警方法,其特征在于,在接收到告警任务之前,所述方法还包括:
向用户提供窗口,以使所述用户自定义告警条件和选择告警方式。
5.根据权利要求4所述的资产管理场景下的告警方法,其特征在于,所述告警条件包括以下至少一项:
资产IP范围;其中,所述IP通过四个八进制数组合为三十二位进制数来表示;四个所述八进制数分别对应所述IP的网络类型位、网络范围位、网络位与主机位;
端口协议;
告警级别;
服务组件类型;
资产系统类型;
漏洞类型或者等级;
资产区域位置。
6.一种资产管理场景下的告警系统,其特征在于,所述系统包括任务引擎单元,任务监听单元,和告警单元;
所述任务引擎单元,用于接收告警任务,响应于接收到扫描任务,对被管理的各资产进行至少一次扫描,并在每次扫描之后存储扫描得到的原始数据;所述原始数据包括资产存活数据,资产属性数据,资产风险数据;
所述任务监听单元,用于监听所述告警任务的执行情况,并且在监听到执行完成所述告警任务的情形下通知所述告警单元;
所述告警单元,用于响应于接收到所述任务监听单元下发的通知消息,获取预先配置的与用户选择的告警方式相对应的告警匹配规则,以及用户自定义的告警条件;所述告警方式包括第一告警方式,将资产唯一标识和各告警类型的数据分别组合进行告警;第二告警方式,将所述资产唯一标识和所述各告警类型的数据组合为一条告警数据进行告警;第三告警方式,针对所述各告警类型分别进行告警;
根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警;
其中,在告警方式为所述第一告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:
根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第一资产原始数据;
对所述第一资产原始数据,生成与每一告警类型对应的第一信息;
获取每一告警类型中,对应的所述第一信息满足所述告警匹配规则并且当前告警满足所述告警条件的目标告警类型;
针对每一目标告警类型,基于与所述第一信息关联的第一数据,生成以所述资产唯一标识与所述目标告警类型进行组合告警的第一告警数据;
在告警方式为所述第二告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:
根据资产的资产唯一标识,从所述原始数据中筛选出与所述资产对应的第二资产原始数据;
对所述第二资产原始数据,生成与每一告警类型对应的第二信息;
获取每一告警类型中,对应的所述第二信息满足所述告警匹配规则,并且当前告警满足所述告警条件的目标告警类型;
基于与所述第二信息关联的第二数据,生成以所述资产唯一标识与全部所述目标告警类型进行组合告警的第二告警数据;
在告警方式为所述第三告警方式的情形下,所述根据所述告警匹配规则和所述告警条件,基于所述原始数据生成告警数据进行告警,包括:
针对每一告警类型,对所述原始数据进行分析得到与所述告警类型对应的第三信息;
获取每一所述告警类型中,对应的所述第三信息满足所述告警匹配规则,并且当前告警满足所述告警条件的目标告警类型;
针对每一目标告警类型,基于与所述第三信息关联的第三数据,生成以所述目标告警类型进行告警的第三告警数据。
7.根据权利要求6所述的资产管理场景下的告警系统,其特征在于,所述系统还包括追溯查询单元;
所述追溯查询单元,用于响应于生成告警数据,将所述告警数据的告警数据ID添加至与所述告警数据关联的原始数据中;
响应于接收到针对目标告警数据详情信息的追溯查询请求,根据所述目标告警数据包括的目标告警数据ID,查询包含所述目标告警数据ID的目标原始数据;
返回查询到的所述目标原始数据,以与当前数据进行比较。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310255650.XA CN115964256B (zh) | 2023-03-16 | 2023-03-16 | 一种资产管理场景下的告警方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310255650.XA CN115964256B (zh) | 2023-03-16 | 2023-03-16 | 一种资产管理场景下的告警方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115964256A CN115964256A (zh) | 2023-04-14 |
| CN115964256B true CN115964256B (zh) | 2023-06-16 |
Family
ID=85888220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310255650.XA Active CN115964256B (zh) | 2023-03-16 | 2023-03-16 | 一种资产管理场景下的告警方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115964256B (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9811667B2 (en) * | 2011-09-21 | 2017-11-07 | Mcafee, Inc. | System and method for grouping computer vulnerabilities |
| CN107426191A (zh) * | 2017-06-29 | 2017-12-01 | 上海凯岸信息科技有限公司 | 一种漏洞预警及应急响应自动告警系统 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
-
2023
- 2023-03-16 CN CN202310255650.XA patent/CN115964256B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115964256A (zh) | 2023-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3251010B1 (en) | Space and time efficient threat detection | |
| AU2016427778B2 (en) | Quantitative unified analytic neural networks | |
| CN111475804A (zh) | 一种告警预测方法及系统 | |
| CN111158977A (zh) | 一种异常事件根因定位方法及装置 | |
| JP2019521422A (ja) | 異常なユーザ行動関連アプリケーションデータを検出するための方法、装置、およびコンピュータ読み取り可能な媒体 | |
| WO2021003970A1 (zh) | 生产线监控方法、装置、电子设备及可读存储介质 | |
| CN113645232A (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN112528279B (zh) | 一种入侵检测模型的建立方法和装置 | |
| CN111258798A (zh) | 监控数据的故障定位方法、装置、计算机设备及存储介质 | |
| CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN115632821A (zh) | 基于多种技术的变电站威胁安全检测及防护方法及装置 | |
| CN112583847B (zh) | 一种面向中小企业网络安全事件复杂分析的方法 | |
| CN110099074A (zh) | 一种物联网设备的异常检测方法、系统及电子设备 | |
| CN111049839B (zh) | 一种异常检测方法、装置、存储介质及电子设备 | |
| CN115964256B (zh) | 一种资产管理场景下的告警方法及系统 | |
| CN115514581B (zh) | 一种用于工业互联网数据安全平台的数据分析方法及设备 | |
| CN114722037B (zh) | 工业互联网中间件数据处理方法、中间件和可读存储介质 | |
| Cortés et al. | A hybrid alarm management strategy in signature-based intrusion detection systems | |
| US20220263858A1 (en) | Systems and methods for automated threat detection | |
| CN117436073B (zh) | 一种基于智能标签的安全日志告警方法、介质和设备 | |
| CN114244618B (zh) | 一种异常访问检测方法、装置、电子设备及存储介质 | |
| Nguyen et al. | An Approach to Verify, Identify and Prioritize IDS Alerts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |