【技术实现步骤摘要】
告警关联分析方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种告警关联分析方法、装置、设备及存储介质。
技术介绍
[0002]相关技术中,传统的网络入侵检测集中于检测底层的入侵或异常,对网络上海量安全告警事件的安全检测不够全面,只能检测到一次完整入侵的一部分,导致检测结果太过局限,不便于对攻击事件的溯源。
技术实现思路
[0003]本专利技术实施例通过提供一种告警关联分析方法、装置、设备及存储介质,解决了现有技术中进行网络入侵检测时检测结果太过局限,难以进行攻击溯源的问题。
[0004]根据本专利技术的第一方面,提供了一种告警关联分析方法,包括:
[0005]获取预设时间段的日志数据,所述日志数据包括至少一个告警事件;
[0006]基于至少一个所述告警事件的源IP地址和目的IP地址,生成至少一个告警连通图,并基于至少一个所述告警事件,生成至少一个告警事件集;其中,所述告警事件集包括任意N个所述告警事件,N为大于或者等于1的整数;
[0007]从...
【技术保护点】
【技术特征摘要】
1.一种告警关联分析方法,其特征在于,所述方法包括以下步骤:获取预设时间段的日志数据,所述日志数据包括至少一个告警事件;基于至少一个所述告警事件的源IP地址和目的IP地址,生成至少一个告警连通图,并基于至少一个所述告警事件,生成至少一个告警事件集;其中,所述告警事件集包括任意N个所述告警事件,N为大于或者等于1的整数;从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集;所述支持度为所述告警事件集在至少一个所述告警连通图中的出现次数与所述告警事件集总数的比值;针对所述目标告警事件集中任一告警事件,计算所述任一告警事件与所述目标告警事件集中剩余告警事件满足第一预设条件时的置信度值;所述第一预设条件为所述任一告警事件的目的IP地址是所述剩余告警事件的源IP地址;筛选出所述置信度值大于或者等于第二预设阈值的目标告警事件,以得到任一所述目标告警事件集中所述目标告警事件与所述剩余告警事件之间具有强关联性的分析结果。2.根据权利要求1所述的方法,其特征在于,所述基于至少一个所述告警事件的源IP地址和目的IP地址,生成至少一个告警连通图,并基于至少一个所述告警事件,生成至少一个告警事件集,包括:将至少一个所述告警事件作为所述告警连通图的节点;针对任一所述告警事件,若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同,则将所述告警事件对应的节点与所述另一告警事件对应的节点相连,以生成至少一个所述告警连通图。3.根据权利要求2所述的方法,其特征在于,所述针对任一所述告警事件,若所述告警事件的源IP地址或目的IP地址与另一告警事件的源IP地址或目的IP地址相同,则将所述告警事件对应的节点与所述另一告警事件对应的节点相连,以生成至少一个所述告警连通图之后,包括:删除所述告警连通图中重复获取的所述告警事件,得到去重后的告警连通图;所述去重后的告警连通图包括多个告警连通子图;将每个连通子图包含的至少一个所述告警事件构成的集合作为所述告警事件集。4.根据权利要求1所述的方法,其特征在于,所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前,所述方法还包括:根据所述告警事件集的历史出现次数、新增次数、遗忘系数和预设公式,对所述告警事件集的出现次数进行更新,得到更新后的出现次数;其中,所述预设公式为:c=a*α+b*(1
‑
α);其中,c为所述更新后的出现次数,a为所述历史出现次数,b为所述新增次数,α为所述遗忘系数;将所述告警事件集的所述更新后的出现次数与所述告警事件集总数的比值作为所述支持度。5.根据权利要求1所述的方法,其特征在于,所述从至少一个所述告警事件集中筛选出支持度大于或者等于第一预设阈值的目标告警事件集之前,所述方法还...
【专利技术属性】
技术研发人员:卯路宁,于金龙,王智民,王高杰,
申请(专利权)人:北京六方云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。