CN117640197A - 生成告警事件的方法及装置 - Google Patents
生成告警事件的方法及装置 Download PDFInfo
- Publication number
- CN117640197A CN117640197A CN202311608240.5A CN202311608240A CN117640197A CN 117640197 A CN117640197 A CN 117640197A CN 202311608240 A CN202311608240 A CN 202311608240A CN 117640197 A CN117640197 A CN 117640197A
- Authority
- CN
- China
- Prior art keywords
- target
- alarm
- illegal
- determining
- external network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000011156 evaluation Methods 0.000 claims abstract description 29
- 238000004590 computer program Methods 0.000 claims description 16
- 230000000694 effects Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 235000016936 Dendrocalamus strictus Nutrition 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 230000001550 time effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种生成告警事件的方法及装置,包括:获取告警日志,告警记录中包括多条告警记录;在告警日志中确定非法外联的目标告警记录,非法外联是指未通过准许的情况下连接外网;根据预设的可信评价表确定所述目标告警记录的非法置信度,可信评价表中记录了恶意地址、恶意地址的威胁等级;根据非法置信度生成目标告警事件。通过本发明,解决了人工对非法外联进行研判效率低的问题,进而达到了提高对非法外联的研判效率的效果。
Description
技术领域
本发明实施例涉及通信领域,具体而言,涉及一种生成告警事件的方法及装置。
背景技术
网络安全等级保护中要求对非法外联行为应具备检测能力,而对企业用户来说,内网主机出现外联恶意域名或网址的行为,很有可能代表主机已经感染木马病毒导致失陷被控,风险极高。
而在非法外联场景的传统处置方法上,安全运营人员需要手动筛选安全产品告警或日志,关联威胁情报进行研判,然后定位受害资产信息,再进行封禁IP、终端下线等应急响应处置,全流程依靠人工,缺乏自动化、批量化、智能化处置手段。
针对上述问题,目前尚未存在有效的解决方案。
发明内容
本发明实施例提供了一种生成告警事件的方法及装置,以至少解决相关技术中人工对非法外联进行研判效率低的问题。
根据本发明的一个实施例,提供了一种生成告警事件的方法,包括:获取告警日志,其中,所述告警日志中包括多条告警记录;在所述告警日志中确定非法外联的目标告警记录,其中,所述非法外联是指未通过准许的情况下连接外网;根据预设的可信评价表确定所述目标告警记录的非法置信度,其中,所述可信评价表中记录了恶意地址、所述恶意地址的威胁等级;根据所述非法置信度生成目标告警事件。
在一个示例性实施例中,在所述告警日志中确定非法外联的目标告警记录,包括:在所述告警记录中确定类型为所述非法外联的告警记录;
在目标主机的源地址对同一外网地址发送多次请求产生多个非法外联的告警记录的情况下,将其中一个告警记录确定为所述目标告警记录。
在一个示例性实施例中,根据预设的可信评价表确定所述目标告警记录的非法置信度,包括:在所述预设的可信评价表中查找是否存在所述外网地址;在存在所述外网地址的情况下,将所述外网地址确定为恶意地址;在所述外网地址为所述恶意地址的情况下,在所述预设的可信评价表中查找所述外网地址的威胁等级;根据所述外网地址的威胁等级确定所述目标告警记录的非法置信度。
在一个示例性实施例中,根据所述外网地址的威胁等级确定所述目标告警记录的非法置信度,包括:将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度;或者,将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度。
在一个示例性实施例中,所述根据所述非法置信度生成目标告警事件,包括:在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,生成所述目标告警事件。
在一个示例性实施例中,在生成所述目标告警事件之后,所述方法还包括:记录所述目标告警事件,并将所述目标告警事件发送至目标对象。
在一个示例性实施例中,在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,对目标主机的源地址进行封禁,所述目标主机是非法外联的主机。
根据本发明的另一个实施例,提供了一种生成告警事件的装置,包括:获取模块,用于获取告警日志,其中,所述告警日志中包括多条告警记录;第一确定模块,用于在所述告警日志中确定非法外联的目标告警记录,其中,所述非法外联是指未通过准许的情况下连接外网;第二确定模块,用于根据预设的可信评价表确定所述目标告警记录的非法置信度,其中,所述可信评价表中记录了恶意地址、所述恶意地址的威胁等级;生成模块,用于根据所述非法置信度生成目标告警事件。
根据本发明的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现上述任一项中所述的方法的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,通过获取告警日志,告警记录中包括多条告警记录;在告警记录中确定非法外联的目标告警记录,非法外联是指未通过准许的情况下连接外网;根据预设的可信评价表确定目标告警记录的非法置信度,可信评价表中记录了恶意地址、所述恶意地址的威胁等级;根据非法置信度生成目标告警事件。因此,可以解决人工对非法外联进行研判效率低的问题,达到提高对非法外联的研判效率的效果。
附图说明
图1是本发明实施例的一种生成告警事件的方法的移动终端的硬件结构框图;
图2是根据本发明实施例的生成告警事件的方法的流程图;
图3是根据本发明实施例的整体流程图;
图4是根据本发明实施例的生成告警事件的装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
下面对本申请中的术语进行解释:
SOAR:安全编排自动化与响应(Security Orchestration Automation andResponse),来源于Gartner定义。SOAR是将事件响应、编排与自动化,以及威胁情报管理整合到一个平台之下的解决方案,用于记录和实现过程(譬如剧本、工作流和流程)、支撑安全事件管理,为安全分析师和运营人员提供机器协助。工作流(譬如事件分诊、事件响应、威胁情报加工与管理、合规监测与管理)可以与其它技术的集成实现编排,并通过自动化去达成预期目标。
非法外联:内部网络中出现的内部用户未通过准许私自联到外部网络的行为,特指连接到外部恶意域名、地址。
SOAR以安全编排和自动化为核心,融合事件响应、编排与自动化、威胁情报管理三位一体,将人、流程、技术和工具整合到一起,辅助安全运营人员提升安全运营工作效率。基于SOAR平台,本申请实现了非法外联行为的自动化监测及响应方法,实现告警筛选、情报研判、资产匹配、自动建单、自动通知、自动处置、事前防护等。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种生成告警事件的方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的生成告警事件的方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的生成告警事件的方法,图2是根据本发明实施例的生成告警事件的方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,获取告警日志,其中,所述告警日志中包括多条告警记录;
通过数据采集装置采集终端安全、流量监测、主机安全等多类安全产品告警记录,并通过标准化格式进行解析转译。
步骤S204,在所述告警日志中确定非法外联的目标告警记录,其中,所述非法外联是指未通过准许的情况下连接外网;
如图3所示是整体流程图,基于SOAR平台,对告警记录中的告警进行筛选。从海量告警中筛选出目标告警记录,基于告警记录的类型(非法外联、违规外联、恶意挖矿等)和资产范围(源地址为内网终端或服务器网段)对告警记录进行筛选。
举例来说,在所述告警记录中确定类型为所述非法外联的告警记录,并且源地址为内网终端或服务器网段。
将筛选出的非法外联的告警记录进行去重,以对目标主机的非法外联的告警记录进行去重为例,目标主机可能对同一个恶意域名(或恶意地址)发送多次请求,产生多条告警记录。或者向不同恶意域名(或恶意地址)发送多次请求产生多条告警记录。但是对于目标主机是否进行了非法外联,无需对每条告警记录均进行处理,只选择一条告警记录对目标主机是否进行了非法外联进行研判即可。因此,在目标主机的源地址对同一外网地址发送多次请求产生的多个告警记录的情况下,将其中一个告警记录确定为所述目标告警记录,其中一个告警记录的选择方式可以是随机的。将筛选后的告警根据源地址进行告警归并及去重,以精简需处置的告警数量及不必要的重复处置动作。达到提高告警记录的处理效率的技术效果。
步骤S206,根据预设的可信评价表确定所述目标告警记录的非法置信度,其中,所述可信评价表中记录了恶意地址、所述恶意地址的威胁等级;
通过预设的可信评价表对目标告警记录进行研判。
威胁情报模块整合了多个情报源,通过预设可信评价表(综合来源可信度、威胁等级、历史记录等综合评估,记录了恶意地址、恶意地址的威胁等级)获取情报置信度。筛选后的告警记录通过目标IP(外网地址)、域名、URL等信息进行威胁情报综合研判,如置信度超过预设阈值,则研判为非法外联告警事件,需进行相应处置。
举例来说,在所述预设的可信评价表中查找是否存在所述外网地址;在存在所述外网地址的情况下,将所述外网地址确定为恶意地址;在所述外网地址为所述恶意地址的情况下,在所述预设的可信评价表中查找所述外网地址的威胁等级;根据所述外网地址的威胁等级确定所述目标告警记录的非法置信度。
可以通过如下方式确定所述目标告警记录的非法置信度:将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度;或者,将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度。
步骤S208,根据所述非法置信度生成目标告警事件。
在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,生成所述目标告警事件。记录所述目标告警事件,并将所述目标告警事件发送至目标对象。
对于非法外联的目标告警事件中的受害资产,自动进行资产匹配,通过资产库关联资产归属部门、资产类型、资产责任人及联系方式等信息。
对于非法外联的目标告警事件,通过工单管理模块进行自动建单,工单内容中引入源、目的、时间等告警详情以及资产匹配信息,下发至资产归属机构的安全部门处理并反馈,通过工单实现告警事件的线上化跟踪及流程闭环,并作为案例库存储。
对于非法外联的目标告警事件,调用短信分发平台,即时将告警情况及工单提醒通过短信、邮件等方式发送至相关责任人,提高告警处置效率。
对于非法外联的目标告警事件中的受害资产,采取自动化处置动作,包括但不限于:联动防火墙或交换机对受害资产IP、外联目标IP、域名、URL等进行封禁,联动终端安全管理平台强制终端及用户下线、开启全盘查杀及病毒木马文件隔离等。
在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,对目标主机的源地址进行封禁,所述目标主机是非法外联的主机。
对于威胁情报置信度超过预设阈值的,在防火墙或交换机上进行事前封禁,并定期更新,实现对外联恶意域名、地址等行为的事前阻断。
通过上述步骤,达到以下技术效果:提升非法外联监测及处置效率,能够实现自动化、批量化处置,突破人工响应时效及数量限制;降低非法外联告警误判率,减少主观经验依赖度;固化处置流程,实现线上化闭环跟踪,形成案例库;自动关联资产信息、秒级通知责任机构及责任人协同处置;提前封禁置信度高的威胁情报,实现事前防护。
可选地,上述步骤的执行主体可以是后台处理器,或者其他的具备类似处理能力的设备,还可以是至少集成有图像获取设备以及数据处理设备的机器,其中,图像获取设备可以包括摄像头等图形采集模块,数据处理设备可以包括计算机、手机等终端,但不限于此。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种生成告警事件的装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本发明实施例的生成告警事件的装置的结构框图,如图4所示,该装置包括:获取模块42,用于获取告警日志,其中,所述告警日志中包括多条告警记录;第一确定模块44,用于在所述告警日志中确定非法外联的目标告警记录,其中,所述非法外联是指未通过准许的情况下连接外网;第二确定模块46,用于根据预设的可信评价表确定所述目标告警记录的非法置信度,其中,所述可信评价表中记录了恶意地址、所述恶意地址的威胁等级;生成模块48,用于根据所述非法置信度生成目标告警事件。
在一个示例性实施例中,上述装置还用于在所述告警记录中确定类型为所述非法外联的告警记录;在目标主机的源地址对同一外网地址发送多次请求产生多个非法外联的告警记录的情况下,将其中一个告警记录确定为所述目标告警记录。
在一个示例性实施例中,上述装置还用于在所述预设的可信评价表中查找是否存在所述外网地址;在存在所述外网地址的情况下,将所述外网地址确定为恶意地址;在所述外网地址为所述恶意地址的情况下,在所述预设的可信评价表中查找所述外网地址的威胁等级;根据所述外网地址的威胁等级确定所述目标告警记录的非法置信度。
在一个示例性实施例中,上述装置还用于将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度;或者,将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度。
在一个示例性实施例中,上述装置还用于在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,生成所述目标告警事件。
在一个示例性实施例中,上述装置还用于在生成所述目标告警事件之后,记录所述目标告警事件,并将所述目标告警事件发送至目标对象。
在一个示例性实施例中,上述装置还用于在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,对目标主机的源地址进行封禁,所述目标主机是非法外联的主机。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现上述任一项中所述的方法的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种生成告警事件的方法,其特征在于,包括:
获取告警日志,其中,所述告警日志中包括多条告警记录;
在所述告警日志中确定非法外联的目标告警记录,其中,所述非法外联是指未通过准许的情况下连接外网;
根据预设的可信评价表确定所述目标告警记录的非法置信度,其中,所述可信评价表中记录了恶意地址、所述恶意地址的威胁等级;
根据所述非法置信度生成目标告警事件。
2.根据权利要求1所述的方法,其特征在于,在所述告警日志中确定非法外联的目标告警记录,包括:
在所述告警记录中确定类型为所述非法外联的告警记录;
在目标主机的源地址对同一外网地址发送多次请求产生多个非法外联的告警记录的情况下,将其中一个告警记录确定为所述目标告警记录。
3.根据权利要求2所述的方法,其特征在于,根据预设的可信评价表确定所述目标告警记录的非法置信度,包括:
在所述预设的可信评价表中查找是否存在所述外网地址;
在存在所述外网地址的情况下,将所述外网地址确定为恶意地址;
在所述外网地址为所述恶意地址的情况下,在所述预设的可信评价表中查找所述外网地址的威胁等级;
根据所述外网地址的威胁等级确定所述目标告警记录的非法置信度。
4.根据权利要求3所述的方法,其特征在于,根据所述外网地址的威胁等级确定所述目标告警记录的非法置信度,包括:
将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,
将所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度;或者,
将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的乘积确定为所述目标告警记录的非法置信度;或者,
将所述目标主机的源地址的等级、所述外网地址的威胁等级、所述目标主机的源地址向所述外网地址发送请求的次数的加权和确定为所述目标告警记录的非法置信度。
5.根据权利要求1所述的方法,其特征在于,所述根据所述非法置信度生成目标告警事件,包括:
在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,生成所述目标告警事件。
6.根据权利要求1所述的方法,其特征在于,在生成所述目标告警事件之后,所述方法还包括:
记录所述目标告警事件,并将所述目标告警事件发送至目标对象。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在所述所述目标告警记录的非法置信度大于或等于预设阈值的情况下,对目标主机的源地址进行封禁,其中,所述目标主机是非法外联的主机。
8.一种生成告警事件的装置,其特征在于,包括:
获取模块,用于获取告警日志,其中,所述告警日志中包括多条告警记录;
第一确定模块,用于在所述告警日志中确定非法外联的目标告警记录,其中,所述非法外联是指未通过准许的情况下连接外网;
第二确定模块,用于根据预设的可信评价表确定所述目标告警记录的非法置信度,其中,所述可信评价表中记录了恶意地址、所述恶意地址的威胁等级;
生成模块,用于根据所述非法置信度生成目标告警事件。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至7任一项中所述的方法的步骤。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311608240.5A CN117640197A (zh) | 2023-11-28 | 2023-11-28 | 生成告警事件的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311608240.5A CN117640197A (zh) | 2023-11-28 | 2023-11-28 | 生成告警事件的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117640197A true CN117640197A (zh) | 2024-03-01 |
Family
ID=90026455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311608240.5A Pending CN117640197A (zh) | 2023-11-28 | 2023-11-28 | 生成告警事件的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117640197A (zh) |
-
2023
- 2023-11-28 CN CN202311608240.5A patent/CN117640197A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110535855B (zh) | 一种网络事件监测分析方法和系统、信息数据处理终端 | |
| AU2017421179B2 (en) | Autonomic incident triage prioritization by performance modifier and temporal decay parameters | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| CN102687480B (zh) | 基于云的防火墙系统及服务 | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| Stirland et al. | Developing cyber forensics for SCADA industrial control systems | |
| CN103827810A (zh) | 资产模型导入连接器 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| EP2936772B1 (en) | Network security management | |
| US20220159043A1 (en) | Multi-perspective security context per actor | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN117640197A (zh) | 生成告警事件的方法及装置 | |
| US20190363925A1 (en) | Cybersecurity Alert Management System | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN111209171B (zh) | 安全风险的闭环处置方法、装置及存储介质 | |
| CN111092886A (zh) | 一种终端防御方法、系统、设备及计算机可读存储介质 | |
| CN116991680B (zh) | 一种日志降噪方法及电子设备 | |
| CN114157711B (zh) | 一种资产处置方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |