一种分层告警方法、系统、存储介质和终端技术方案

本申请提供一种分层告警方法，包括：获取待检测流量；生成所述待检测流量对应的安全检测日志；过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志，按照日志归并规则对所述目标日志归并生成告警信息；归并存在关联的告警信息，得到安全事件；其中，所述安全检测日志应用于流量溯源场景，所述告警信息用于网络安全攻防场景，所述安全事件用于网络安全运维场景。本申请能够满足流量溯源、安全攻防和网络安全运维等三种不用的告警应用场景，能够有效覆盖态势感知在不同场景下的应用，提高网络态势感知的安全检测能力。本申请还提供一种分层告警系统、计算机可读存储介质和终端，具有上述有益效果。有上述有益效果。有上述有益效果。

【技术实现步骤摘要】
一种分层告警方法、系统、存储介质和终端


[0001]本申请涉及网络安全领域，特别涉及一种分层告警方法、系统、存储介质和终端。

技术介绍

[0002]目前网络安全态势感知产品越来越流行，已经成为各大企业、政府部门网络安全基础建设重要的一环，有些企业在条件允许的情况下甚至同时采购多个厂商的态势感知。
[0003]然而各大厂商在告警模式上相对单一，特别是一些刚起步的一些态势感知，往往只有基于WAF、IPS等规则库的数据进行单层告警，这两类日志往往产生成千万的告警，在平时的运维场景根本用不起来。稍微好一些的态势感知产品会分为两层告警，即安全日志、安全告警，安全告警在安全日志的基础上做了一些筛选已经归并，告警量能够降低至少一个数量级，但是单日告警量也非常容易达到万级(告警量与客户流量大小、种类、规则准确率有关)，在平时的运维场景难以应用。
[0004]因此，如何适配不同场景的告警是本领域技术人员亟需解决的技术问题。

技术实现思路

[0005]本申请的目的是提供一种分层告警方法、分层告警系统、存储介质和终端，能够对告警分层处理，满足不同应用场景需求。
[0006]为解决上述技术问题，本申请提供一种分层告警方法，具体技术方案如下：
[0007]获取待检测流量；
[0008]生成所述待检测流量对应的安全检测日志；
[0009]过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志，按照日志归并规则对所述目标日志归并生成告警信息；
[0010]归并存在关联的告警信息，得到安全事件；
[0011]其中，所述安全检测日志应用于流量溯源场景，所述告警信息用于网络安全攻防场景，所述安全事件用于网络安全运维场景。
[0012]可选的，生成所述待检测流量对应的安全检测日志包括：
[0013]采用预设规则对所述待检测流量进行规则匹配，得到安全检测日志；其中，所述预设规则包括入侵检测规则和/或入侵防御规则。
[0014]可选的，生成所述待检测流量对应的安全检测日志包括：
[0015]利用预设检测模型对所述待检测流量进行流量检测，得到所述安全检测日志。
[0016]可选的，过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志包括：
[0017]逐一过滤各所述安全检测日志，并确定各所述安全检测日志的威胁程度；
[0018]将所述威胁程序满足威胁阈值且准确率低于预设准确度的安全检测日志作为目标日志。
[0019]可选的，按照日志归并规则对所述目标日志归并生成告警信息包括：
[0020]按照源IP信息、目的IP信息和攻击类型中的任一种对所述目标日志归并生成告警
信息。
[0021]可选的，归并存在关联的告警信息，得到安全事件包括：
[0022]确定所述告警信息的告警特征；所述告警特征包括源IP、目的IP和攻击类型；
[0023]将存在相同告警特征的告警信息作为存在关联的告警信息；
[0024]统计存在关联的告警信息，归并相同的告警特征，得到安全事件。
[0025]可选的，生成所述待检测流量对应的安全检测日志之后，还包括：
[0026]根据所述安全检测日志确定攻击链，并将所述攻击链添加至所述安全事件。
[0027]本申请还提供一种分层告警系统，包括：
[0028]流量获取模块，用于获取待检测流量；
[0029]日志生成模块，用于生成所述待检测流量对应的安全检测日志；
[0030]告警生成模块，用于过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志，按照日志归并规则对所述目标日志归并生成告警信息；
[0031]安全事件统计模块，用于归并存在关联的告警信息，得到安全事件；
[0032]其中，所述安全检测日志应用于流量溯源场景，所述告警信息用于网络安全攻防场景，所述安全事件用于网络安全运维场景。
[0033]本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的方法的步骤。
[0034]本申请还提供一种终端，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。
[0035]本申请提供一种分层告警方法，包括：获取待检测流量；生成所述待检测流量对应的安全检测日志；过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志，按照日志归并规则对所述目标日志归并生成告警信息；归并存在关联的告警信息，得到安全事件；其中，所述安全检测日志应用于流量溯源场景，所述告警信息用于网络安全攻防场景，所述安全事件用于网络安全运维场景。
[0036]本申请在接收到待检测流量后，分别进行安全检测日志、告警信息和安全事件的归并和生成，从而满足流量溯源、安全攻防和网络安全运维等三种不用的告警应用场景，能够有效覆盖态势感知在不同场景下的应用，提高网络态势感知的安全检测能力。
[0037]本申请还提供一种分层告警系统、计算机可读存储介质和终端，具有上述有益效果，此处不再赘述。
附图说明
[0038]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0039]图1为本申请实施例所提供的一种分层告警方法的流程图；
[0040]图2为本申请实施例所提供的一种安全事件的归并过程流程图；
[0041]图3为本申请实施例所提供的一种分层告警系统的结构示意图：
[0042]图4为本申请实施例所提供的一种终端的结构示意图。
具体实施方式
[0043]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0044]参见图1，图1为本申请实施例所提供的一种分层告警方法的流程图，该方法包括：
[0045]S101：获取待检测流量；
[0046]本步骤旨在获取待检测流量，该待检测流量可以认为任何需要进行检测的网络流量，例如Web应用的应用流量、网络业务的业务流量等等，均可作为本步骤中的待检测流量。
[0047]S102：生成所述待检测流量对应的安全检测日志；
[0048]本步骤旨在生成待检测流量对应的安全检测日志。通常，待检测流量经过相应的检测规则或者检测模型后均会直接生成相应的安全检测日志。即本步骤一方面可以采用预设规则对待检测流量进行规则匹配，得到安全检测日志。该预设规则可以包括入侵检测规则本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分层告警方法，其特征在于，包括：获取待检测流量；生成所述待检测流量对应的安全检测日志；过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志，按照日志归并规则对所述目标日志归并生成告警信息；归并存在关联的告警信息，得到安全事件；其中，所述安全检测日志应用于流量溯源场景，所述告警信息用于网络安全攻防场景，所述安全事件用于网络安全运维场景。2.根据权利要求1所述的分层告警方法，其特征在于，生成所述待检测流量对应的安全检测日志包括：采用预设规则对所述待检测流量进行规则匹配，得到安全检测日志；其中，所述预设规则包括入侵检测规则和/或入侵防御规则。3.根据权利要求1所述的分层告警方法，其特征在于，生成所述待检测流量对应的安全检测日志包括：利用预设检测模型对所述待检测流量进行流量检测，得到所述安全检测日志。4.根据权利要求1所述的分层告警方法，其特征在于，过滤所述安全检测日志并确定威胁程度满足预设条件的目标日志包括：逐一过滤各所述安全检测日志，并确定各所述安全检测日志的威胁程度；将所述威胁程序满足威胁阈值且准确率低于预设准确度的安全检测日志作为目标日志。5.根据权利要求1所述的分层告警方法，其特征在于，按照日志归并规则对所述目标日志归并生成告警信息包括：按照源IP信息、目的IP信息和攻击类型中的任一种对所述目标日志归并生成告警信息。6.根据权利要求1所述的分层告警方法，其特征在于，归并...

【专利技术属性】
技术研发人员：周运金，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：