告警事件的数据处理方法、装置和告警事件的分类方法制造方法及图纸

本说明书提供了告警事件的数据处理方法、装置和告警事件的分类方法。在一个实施例中，告警事件的数据处理方法，通过先获取告警事件的命令字符串，根据上述命令字符串确定出能表征告警事件内部的字符串维度特征的特征字符段；再结合该特征字符段和该告警事件所命中的告警规则的名称，确定出告警事件的类型，并将该告警事件归并到对应的类型组中。进而后续在具体处理告警事件时，可以通过先对告警事件进行分类，以类型组为处理单位，对同一个类型组中所包含的多个告警事件进行批量处理，从而提高了告警事件的数据处理效率。

Data processing methods, devices and classification methods of alarm events

【技术实现步骤摘要】
告警事件的数据处理方法、装置和告警事件的分类方法
本说明书属于互联网
，尤其涉及告警事件的数据处理方法、装置和告警事件的分类方法。
技术介绍
网站平台常常会受到许多入侵攻击，为了保护网站平台的数据安全，通常会对针对该网站平台的操作进行监测。在监测过程中，根据告警规则，如果发现某些操作是针对网站平台的文件或者进程等数据对象存在攻击性的违规操作时，可以将该操作确定告警事件。进一步，再对上述告警事件逐一地进行具体的数据处理。目前，亟需一种能够高效地对告警事件进行数据处理的方法。
技术实现思路
本说明书提供了一种告警事件的数据处理方法、装置和告警事件的分类方法，以提高告警事件的数据处理效率。本说明书提供的告警事件的数据处理方法、装置和告警事件的分类方法是这样实现的：一种告警事件的数据处理方法，包括：获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中；批量处理属于同一类型组的告警事件。一种告警事件的分类方法，包括：获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的类型。一种告警事件的数据处理装置，包括：获取模块，用于获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；归一化处理模块，用于对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；确定模块，用于根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中；批量处理模块，用于批量处理属于同一类型组的告警事件。一种服务器，包括处理器以及用于存储处理器可执行指令的存储器，所述处理器执行所述指令时实现获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中；批量处理属于同一类型组的告警事件。一种计算机可读存储介质，其上存储有计算机指令，所述指令被执行时实现获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中；批量处理属于同一类型组的告警事件。本说明书提供的一种告警事件的数据处理方法、装置和告警事件的分类方法，利用告警事件的命令字符串信息丰富、与攻击关联性强的特点，通过先获取告警事件的命令字符串，根据上述命令字符串确定出能表征告警事件内部的字符串维度特征的特征字符段；再结合该特征字符段和该告警事件所命中的告警规则的名称，确定出告警事件的类型，并将该告警事件归并到对应的类型组中。进而在具体处理告警事件时，可以通过对大量告警事件进行分类，以类型组为处理单位，对同一个类型组中所包含的多个告警事件进行批量处理，从而提高了告警事件的数据处理效率。附图说明为了更清楚地说明本说明书实施例，下面将对实施例中所需要使用的附图作简单地介绍，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是应用本说明书实施例提供的告警事件的数据处理方法的系统结构组成的一个实施例的示意图；图2是在一个场景示例中，应用本说明书实施例提供的告警事件的数据处理方法的一种实施例的示意图；图3是在一个场景示例中，应用本说明书实施例提供的告警事件的数据处理方法的一种实施例的示意图；图4是在一个场景示例中，应用本说明书实施例提供的告警事件的数据处理方法的一种实施例的示意图；图5是本说明书的一个实施例提供的告警事件的数据处理方法的流程示意图；图6是本说明书的一个实施例提供的告警事件的分类方法的流程示意图；图7是本说明书的一个实施例提供的服务器的结构组成示意图；图8是本说明书的一个实施例提供的告警事件的数据处理装置的结构组成示意图。具体实施方式为了使本
的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通运维人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。本说明书实施例提供一种应用告警事件的数据处理方法系统。具体可以参阅图1所示，所述系统中具体可以包括监测服务器，和处理服务器。其中，上述监测服务器具体用于根据预设的告警规则对针对网站平台的进程、文件等操作数据进行监测，发现并将命中告警规则的操作数据确定为告警事件。进一步，监测服务将所监测到的告警事件发送至处理服务器。处理服务器具体用于获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中。进一步，处理服务器可以根据告警事件的类型，分类型组，批量处理属于同一类型组的告警事件。在本实施例中，所述服务器具体可以包括一种应用于业务平台一侧，能够实现数据传输、数据处理等功能的后台负责数据处理的服务器。具体的，所述服务器例如可以为一个具有数据运算、存储功能以及网络交互功能的电子设备。或者，所述服务器也可以为运行于该电子设备中，为数据处理、存储和网络交互提供支持的软件程序。在本实施例中，并不具体限定所述服务器的数量。所述服务器具体可以为一个服务器，也可以为几个服务器，或者，由若干服务器形成的服务器集群。在一个场景示例中，可以参阅图2所示，TB购物网站的服务器每天都会监测大量入侵、攻击等告警事件，可以应用本说明书实施例提供的告警事件的处理方法高效地大量告警事件进行批量处理，以提高处理效率。在本场景示例中，本文档来自技高网...

【技术保护点】
1.一种告警事件的数据处理方法，包括：/n获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；/n对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；/n根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中；/n批量处理属于同一类型组的告警事件。/n

【技术特征摘要】
1.一种告警事件的数据处理方法，包括：
获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；
对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；
根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，并将所述告警事件归并到与匹配类型对应的类型组中；
批量处理属于同一类型组的告警事件。


2.根据权利要求1所述的方法，所述特征字符段包括Shadow字符段。


3.根据权利要求2所述的方法，对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，包括：
根据所述命令字符串中的标点符号和空格符号，将所述命令字符串划分为多个字符串片段；
提取命令字符串的头部字符，以及所述多个字符串片段中各个字符串片段中的前第一预设个数个字符，以构建所述Shadow字符段。


4.根据权利要求2所述的方法，根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的匹配类型，包括：
查询第一预设列表，确定所述第一预设列表所记录的第一类组合中是否存在与所述告警事件的特征字符段，和所命中的告警规则的名称匹配的第一匹配组合；其中，所述第一类组合包括预设的Shadow字符段和预设的告警规则的名称的组合，所述第一类组合分别对应一种类型；所述第一匹配组合包括预设的Shadow字符段与告警事件的特征字符段的差异值小于等于预设的差异阈值，且预设的告警规则的名称与告警事件所命中的告警规则的名称相同的第一类组合；
在确定所述第一预设列表所记录的第一类组合中存在与所述告警事件的特征字符段，和所命中的告警规则的名称匹配的第一匹配组合的情况下，将所述第一匹配组合所对应的类型，确定为所述告警事件的匹配类型。


5.根据权利要求4所述的方法，所述第一预设列表包括存储在Hbase中的列表数据。


6.根据权利要求4所述的方法，所述第一类组合通过基于第一类组合中所包括的预设的Shadow字符段和预设的告警规则的名称所确定的MD5值记录在所述第一预设列表中。


7.根据权利要求4所述的方法，在确定所述第一预设列表所记录的第一类组合中不存在与所述告警事件的特征字符段，和所命中的告警规则的名称匹配的第一匹配组合的情况下，所述方法还包括：
根据所述告警事件的特征字符段，和所命中的告警规则的名称，生成第一更新组合；
将所述第一更新组合，写入所述第一预设列表；并将所述告警事件归并到与第一更新组合所对应的类型组中。


8.根据权利要求4所述的方法，在确定所述第一预设列表所记录的第一类组合中不存在与所述告警事件的特征字符段，和所命中的告警规则的名称匹配的第一匹配组合的情况下，所述方法还包括：
获取告警事件所对应的命令字符串中前第二预设个数个字符，作为告警事件的索引字符段；
查询第二预设列表，确定所述第二预设列表所记录的第二类组合中是否存在与所述告警事件的索引字符段，和所命中的告警规则的名称匹配的第二匹配组合；其中，所述第二类组合包括预设的索引字符段和预设的告警规则的名称的组合，所述第二类组合对应一种或多种类型；所述第二匹配组合包括预设的索引字符段与告警事件的索引字符的最短编辑距离小于等于第一预设的距离阈值，且预设的告警规则的名称与告警事件所命中的告警规则的名称相同的第二类组合；
在确定所述第二预设列表所记录的第二类组合中存在与所述告警事件的索引字符段，和所命中的告警规则的名称匹配的第二匹配组合的情况下，根据所述第二匹配组合，确定告警事件的匹配类型。


9.根据权利要求8所述的方法，根据所述第二匹配组合，确定告警事件的匹配类型，包括：
以所述第二匹配组合作为索引，查询第三预设列表中与所述第二匹配组合对应的列簇，确定与所述第二匹配组合对应的列簇中是否存在与所述告警事件的命令字符串匹配的匹配字符串；其中，所述第三预设列表记录有分别与各个第二匹配组合对应的列簇，所述列簇中包含一个或多个预设字符串，所述预设字符串对应一种类型；所述匹配字符串包括与第二匹配组合对应的列簇所包含的预设字符串中与告警事件的命令字符串的最小编辑距离小于等于第二预设的距离阈值的预设的字符串；
在确定与所述第二匹配组合对应的列簇中存在与所述告警事件的命令字符串匹配的匹配字符串的情况下，将所述匹配字符串所对应的类型，确定为告警事件的匹配类型。


10.根据权利要求9所述的方法，在确定与所述第二匹配组合对应的列簇中不存在与所述告警事件的命令字符串匹配的匹配字符串情况下，所述方法还包括：
在所述第三预设列表中与第二匹配组合对应的列簇中，写入告警事件的命令字符串作为第一更新字符串；并将所述告警事件归并到与所述第一更新字符串所对应的类型组中。


11.根据权利要求10所述的方法，在确定所述第二预设列表所记录的第二类组合中不存在与所述告警事件的索引字符段，和所命中的告警规则的名称匹配的第二匹配组合的情况下，所述方法还包括：
根据所述索引字符段，和所命中的告警规则的名称，生成第二更新组合；
将所述第二更新组合，写入所述第二预设列表；
以所述第二更新组合作为索引，在第三预设列表中，建立与第二更新组合对应的列簇；
在所述第三预设列表中与所述第二更新组合对应的列簇中，写入告警事件的命令字符串作为第二更新字符串；并将所述告警事件归并到与所述第二更新字符串对应的类型组中。


12.一种告警事件的分类方法，包括：
获取告警事件所对应的命令字符串，以及所述告警事件所命中的告警规则的名称；
对所述命令字符串进行预设的归一化处理，得到对应的特征字符段，其中，所述特征字符段用于表征告警事件的字符串维度特征；
根据所述告警事件的特征字符段，和所命中的告警规则的名称，确定所述告警事件的类型。


13.根据权利要求12所述的方法，在对所述命令字符串进行预设的归一化处理，得到对应的特征字符段后，所述方法还包括：
获取告警事件的外部特征，其中，所述外部特征包括以下至少之一：告警事件的关系特征、告警事件的设备特征、告警事...

【专利技术属性】
技术研发人员：张君涛，韩东旭，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33