【技术实现步骤摘要】
告警事件的数据处理方法、装置和告警事件的分类方法
本说明书属于互联网
,尤其涉及告警事件的数据处理方法、装置和告警事件的分类方法。
技术介绍
网站平台常常会受到许多入侵攻击,为了保护网站平台的数据安全,通常会对针对该网站平台的操作进行监测。在监测过程中,根据告警规则,如果发现某些操作是针对网站平台的文件或者进程等数据对象存在攻击性的违规操作时,可以将该操作确定告警事件。进一步,再对上述告警事件逐一地进行具体的数据处理。目前,亟需一种能够高效地对告警事件进行数据处理的方法。
技术实现思路
本说明书提供了一种告警事件的数据处理方法、装置和告警事件的分类方法,以提高告警事件的数据处理效率。本说明书提供的告警事件的数据处理方法、装置和告警事件的分类方法是这样实现的:一种告警事件的数据处理方法,包括:获取告警事件所对应的命令字符串,以及所述告警事件所命中的告警规则的名称;对所述命令字符串进行预设的归一化处理,得到对应的特征字符段,其中,所述特征字符段用于表征告警事件的字符串维度特征;根据所述告警事件的特征字符段,和所命中的告警规则的名称,确定所述告警事件的匹配类型,并将所述告警事件归并到与匹配类型对应的类型组中;批量处理属于同一类型组的告警事件。一种告警事件的分类方法,包括:获取告警事件所对应的命令字符串,以及所述告警事件所命中的告警规则的名称;对所述命令字符串进行预设的归一化处理,得到对应的特征字符段,其中,所述特征字符段用于表征告警事件的字符串维度特征;根据所述告警 ...
【技术保护点】
1.一种告警事件的数据处理方法,包括:/n获取告警事件所对应的命令字符串,以及所述告警事件所命中的告警规则的名称;/n对所述命令字符串进行预设的归一化处理,得到对应的特征字符段,其中,所述特征字符段用于表征告警事件的字符串维度特征;/n根据所述告警事件的特征字符段,和所命中的告警规则的名称,确定所述告警事件的匹配类型,并将所述告警事件归并到与匹配类型对应的类型组中;/n批量处理属于同一类型组的告警事件。/n
【技术特征摘要】
1.一种告警事件的数据处理方法,包括:
获取告警事件所对应的命令字符串,以及所述告警事件所命中的告警规则的名称;
对所述命令字符串进行预设的归一化处理,得到对应的特征字符段,其中,所述特征字符段用于表征告警事件的字符串维度特征;
根据所述告警事件的特征字符段,和所命中的告警规则的名称,确定所述告警事件的匹配类型,并将所述告警事件归并到与匹配类型对应的类型组中;
批量处理属于同一类型组的告警事件。
2.根据权利要求1所述的方法,所述特征字符段包括Shadow字符段。
3.根据权利要求2所述的方法,对所述命令字符串进行预设的归一化处理,得到对应的特征字符段,包括:
根据所述命令字符串中的标点符号和空格符号,将所述命令字符串划分为多个字符串片段;
提取命令字符串的头部字符,以及所述多个字符串片段中各个字符串片段中的前第一预设个数个字符,以构建所述Shadow字符段。
4.根据权利要求2所述的方法,根据所述告警事件的特征字符段,和所命中的告警规则的名称,确定所述告警事件的匹配类型,包括:
查询第一预设列表,确定所述第一预设列表所记录的第一类组合中是否存在与所述告警事件的特征字符段,和所命中的告警规则的名称匹配的第一匹配组合;其中,所述第一类组合包括预设的Shadow字符段和预设的告警规则的名称的组合,所述第一类组合分别对应一种类型;所述第一匹配组合包括预设的Shadow字符段与告警事件的特征字符段的差异值小于等于预设的差异阈值,且预设的告警规则的名称与告警事件所命中的告警规则的名称相同的第一类组合;
在确定所述第一预设列表所记录的第一类组合中存在与所述告警事件的特征字符段,和所命中的告警规则的名称匹配的第一匹配组合的情况下,将所述第一匹配组合所对应的类型,确定为所述告警事件的匹配类型。
5.根据权利要求4所述的方法,所述第一预设列表包括存储在Hbase中的列表数据。
6.根据权利要求4所述的方法,所述第一类组合通过基于第一类组合中所包括的预设的Shadow字符段和预设的告警规则的名称所确定的MD5值记录在所述第一预设列表中。
7.根据权利要求4所述的方法,在确定所述第一预设列表所记录的第一类组合中不存在与所述告警事件的特征字符段,和所命中的告警规则的名称匹配的第一匹配组合的情况下,所述方法还包括:
根据所述告警事件的特征字符段,和所命中的告警规则的名称,生成第一更新组合;
将所述第一更新组合,写入所述第一预设列表;并将所述告警事件归并到与第一更新组合所对应的类型组中。
8.根据权利要求4所述的方法,在确定所述第一预设列表所记录的第一类组合中不存在与所述告警事件的特征字符段,和所命中的告警规则的名称匹配的第一匹配组合的情况下,所述方法还包括:
获取告警事件所对应的命令字符串中前第二预设个数个字符,作为告警事件的索引字符段;
查询第二预设列表,确定所述第二预设列表所记录的第二类组合中是否存在与所述告警事件的索引字符段,和所命中的告警规则的名称匹配的第二匹配组合;其中,所述第二类组合包括预设的索引字符段和预设的告警规则的名称的组合,所述第二类组合对应一种或多种类型;所述第二匹配组合包括预设的索引字符段与告警事件的索引字符的最短编辑距离小于等于第一预设的距离阈值,且预设的告警规则的名称与告警事件所命中的告警规则的名称相同的第二类组合;
在确定所述第二预设列表所记录的第二类组合中存在与所述告警事件的索引字符段,和所命中的告警规则的名称匹配的第二匹配组合的情况下,根据所述第二匹配组合,确定告警事件的匹配类型。
9.根据权利要求8所述的方法,根据所述第二匹配组合,确定告警事件的匹配类型,包括:
以所述第二匹配组合作为索引,查询第三预设列表中与所述第二匹配组合对应的列簇,确定与所述第二匹配组合对应的列簇中是否存在与所述告警事件的命令字符串匹配的匹配字符串;其中,所述第三预设列表记录有分别与各个第二匹配组合对应的列簇,所述列簇中包含一个或多个预设字符串,所述预设字符串对应一种类型;所述匹配字符串包括与第二匹配组合对应的列簇所包含的预设字符串中与告警事件的命令字符串的最小编辑距离小于等于第二预设的距离阈值的预设的字符串;
在确定与所述第二匹配组合对应的列簇中存在与所述告警事件的命令字符串匹配的匹配字符串的情况下,将所述匹配字符串所对应的类型,确定为告警事件的匹配类型。
10.根据权利要求9所述的方法,在确定与所述第二匹配组合对应的列簇中不存在与所述告警事件的命令字符串匹配的匹配字符串情况下,所述方法还包括:
在所述第三预设列表中与第二匹配组合对应的列簇中,写入告警事件的命令字符串作为第一更新字符串;并将所述告警事件归并到与所述第一更新字符串所对应的类型组中。
11.根据权利要求10所述的方法,在确定所述第二预设列表所记录的第二类组合中不存在与所述告警事件的索引字符段,和所命中的告警规则的名称匹配的第二匹配组合的情况下,所述方法还包括:
根据所述索引字符段,和所命中的告警规则的名称,生成第二更新组合;
将所述第二更新组合,写入所述第二预设列表;
以所述第二更新组合作为索引,在第三预设列表中,建立与第二更新组合对应的列簇;
在所述第三预设列表中与所述第二更新组合对应的列簇中,写入告警事件的命令字符串作为第二更新字符串;并将所述告警事件归并到与所述第二更新字符串对应的类型组中。
12.一种告警事件的分类方法,包括:
获取告警事件所对应的命令字符串,以及所述告警事件所命中的告警规则的名称;
对所述命令字符串进行预设的归一化处理,得到对应的特征字符段,其中,所述特征字符段用于表征告警事件的字符串维度特征;
根据所述告警事件的特征字符段,和所命中的告警规则的名称,确定所述告警事件的类型。
13.根据权利要求12所述的方法,在对所述命令字符串进行预设的归一化处理,得到对应的特征字符段后,所述方法还包括:
获取告警事件的外部特征,其中,所述外部特征包括以下至少之一:告警事件的关系特征、告警事件的设备特征、告警事...
【专利技术属性】
技术研发人员:张君涛,韩东旭,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。