【技术实现步骤摘要】
一种信息分析方法、设备和计算机可读存储介质
[0001]本申请涉及计算机
,尤其涉及一种信息分析方法、设备和计算机可读存储介质。
技术介绍
[0002]网络安全事件频繁发生。一般,企业会通过安全设备对企业系统进行安全检测,以获知企业系统是否遭到外部攻击,并在遭到外部攻击的情况下发出告警。然而,不同设备产生的告警类型不同,企业维护人员在接收到大量告警信息的情况下,无法对这些告警信息进行有效辨别并及时处理,会导致企业系统遭到攻击,数据外泄。
技术实现思路
[0003]为解决上述技术问题,本申请实施例期望提供一种信息分析方法、设备和计算机可读存储介质,解决了相关技术中的维护人员无法快速对这些告警信息进行研判和处理的问题。
[0004]本申请的技术方案是这样实现的:
[0005]一种信息分析方法,所述方法包括:
[0006]获取目标资产的目标告警事件;其中,所述目标告警事件包括多个目标告警信息;
[0007]基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程;其中,所述目标标识表征发出所述目标告警信息的对象。
[0008]上述方案中,所述获取目标资产的目标告警事件,包括:
[0009]获取待处理资产的初始告警信息;其中,所述初始告警信息包括来自网络层、日志层和终端层的告警信息;
[0010]基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件;其中,所述告警事件包括每一所述待处理资产的资产标识和每一所 ...
【技术保护点】
【技术特征摘要】
1.一种信息分析方法,其特征在于,所述方法包括:获取目标资产的目标告警事件;其中,所述目标告警事件包括多个目标告警信息;基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程;其中,所述目标标识表征发出所述目标告警信息的对象。2.根据权利要求1所述的方法,其特征在于,所述获取目标资产的目标告警事件,包括:获取待处理资产的初始告警信息;其中,所述初始告警信息包括来自网络层、日志层和终端层的告警信息;基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件;其中,所述告警事件包括每一所述待处理资产的资产标识和每一所述待处理资产对应的告警信息;基于所述目标资产的目标资产标识,从所述告警事件中确定所述目标告警事件。3.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:确定所述初始告警信息之间的时序关联;其中,所述预设关联维度包括所述时序关联;基于所述时序关联,对所述初始告警信息进行划分得到所述待处理资产的告警事件。4.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:确定所述待处理资产的攻击场景;其中,所述预设关联维度包括所述攻击场景;基于攻击场景列表,获取所述攻击场景对应的攻击告警信息;基于所述攻击告警信息,对所述初始告警信息进行筛选得到所述待处理资产的告警事件。5.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:确定所述初始告警信息之间的因果关联;其中,所述预设关联维度包括所述因果关联;基于所述因果关联,对所述初始告警信息进行划分得到所述待处理资产的告警事件。6.根据权利要求2所述的方法,其特征在于,所述基于预设关联维度对所述初始告警信息进行处理,得到所述待处理资产的告警事件,包括:确定所述初始告警信息之间的进程链关联;其中,所述预设关联维度包括所述进程链关联;基于所述进程链关联,对所述初始告警信息进行划分得到所述待处理资产的告警事件。7.根据权利要求1所述的方法,其特征在于,所述基于每一所述目标告警事件的目标标识和目标告警信息,确定所述目标资产的被攻击过程,包括:确定所述告警信息之间的关联性;以所述目标标识为节点,并基于所述关联性设置节点之间的连接关系,得到图结构;其中,所述图结构表征所述目标资产的被攻击过程。8.根据权利要求7所述的方法,其特征在于,所述以所述目标标识为节点,并基于所述关联性设置节点之间的连接关系,得到图结构,包括:以所述目标标识为节点,并基于所述目标告警信息之间的关联程度和所述目标告警信
息发生时间的关联度,设置所述节点之间...
【专利技术属性】
技术研发人员:蒲大峰,许茂林,刘嘉怡,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。