本发明专利技术提供一种告警聚合方法、装置、电子设备及存储介质,涉及网络安全领域,方法包括:获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警;可基于告警信息的名称或网络流量数据的属性,对告警信息进行聚合,得到对应的安全事件信息,进而利用安全事件信息进行告警,不仅能够降低告警信息的数量,同时还能基于具体的安全事件进行告警,进而可提升相关人员处理网络安全事件的效率。率。率。
【技术实现步骤摘要】
一种告警聚合方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全领域,特别涉及一种告警聚合方法、装置、电子设备及存储介质。
技术介绍
[0002]随着网络攻击的数量和复杂程度日益增加,许多公司都引入了网络安全技术或者网络安全检测防护系统以加强对网络威胁的检测能力。这些技术可对网络攻击进行检测,并生成告警信息以提示相关人员关注及处理。然而,由于网络攻击的数量较大,巨量的告警信息不仅难以帮助相关人员进行处理,甚至可能会淹没重要的危险告警并导致网络安全灾难。
技术实现思路
[0003]本专利技术的目的是提供一种告警聚合方法、装置、电子设备及存储介质,可基于告警信息的名称或网络流量数据的属性对告警信息进行聚合,并利用聚合后的安全事件信息进行告警,以降低告警数量并提升相关人员处理网络安全事件的效率。
[0004]为解决上述技术问题,本专利技术提供一种告警聚合方法,包括:
[0005]获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;
[0006]当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;
[0007]根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
[0008]可选地,所述根据所述告警信息的名称,将多条所述告警信息聚合为安全事件信息,包括:
[0009]将具有相同所述名称的告警信息聚合为所述安全事件信息,并在所述安全事件信息中添加所述相同所述名称的告警信息的数量及最后生成时间。
[0010]可选地,在利用所述网络流量数据生成与所述目标预设规则对应的告警信息之后,还包括:
[0011]将所述告警信息保存至卡夫卡流处理平台;
[0012]相应的,在将多条所述告警信息聚合为安全事件信息之前,还包括:
[0013]从所述卡夫卡流处理平台中提取所述告警信息。
[0014]可选地,所述利用所述安全事件信息进行告警,包括:
[0015]判断所述安全事件信息对应的预设安全等级是否高于预设告警等级;
[0016]若是,则将所述安全事件信息发送至指定设备。
[0017]可选地,在将多条所述告警信息聚合为安全事件信息之后,还包括:
[0018]对所述安全事件信息进行可视化输出。
[0019]可选地,还包括:
[0020]在接收到规则创建指令时,根据所述规则创建指令创建所述预设规则;
[0021]在接收到规则修改指令时,根据所述规则修改指令对与所述规则修改指令对应的预设规则进行修改。
[0022]可选地,所述根据所述告警信息的名称和所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,包括:
[0023]在确定所述告警信息具有线头标记时,判断预设数据库中是否保存有与所述名称对应的安全事件信息;
[0024]若是,则判断所述网络流量数据的属性是否与所述安全事件信息中的指定属性相同;若相同,则更新聚合所述安全事件信息的告警信息的数量及最后生成时间;若不相同,则利用所述告警信息在所述预设数据库中生成新安全事件信息;
[0025]若否,则利用所述告警信息在所述预设数据库中生成所述新安全事件信息。
[0026]本专利技术还提供一种告警聚合装置,包括:
[0027]匹配模块,用于获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;
[0028]告警生成模块,用于当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;
[0029]告警聚合模块,用于根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
[0030]本专利技术还提供一种电子设备,包括:
[0031]存储器,用于存储计算机程序;
[0032]处理器,用于执行所述计算机程序时实现如上所述的告警聚合方法的步骤。
[0033]本专利技术还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的告警聚合方法的步骤。
[0034]本专利技术提供一种告警聚合方法,包括:获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。
[0035]可见,本专利技术在获取到网络流量数据时,首先会将其与预设规则进行匹配,以确定这些流量数据是否包含网络攻击操作,并在确定与网络流量数据相匹配的目标预设规则时,利用网络流量数据生成对应的告警信息;随后,本专利技术将基于告警信息的名称或网络流量数据的属性,对告警信息进行聚合,得到对应的安全事件信息,进而利用安全事件信息进行告警,这样,不仅能够对告警信息进行降噪,大幅度地降低告警信息的数量,同时还能基于具体的安全事件进行告警,能够有效提升告警价值,进而可提升相关人员处理网络安全事件的效率。本专利技术还提供一种告警聚合装置、电子设备及存储介质,具有上述有益效果。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图。
[0037]图1为本专利技术实施例所提供的一种告警聚合方法的流程图;
[0038]图2为本专利技术实施例所提供的一种告警聚合装置的结构框图。
具体实施方式
[0039]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0040]随着网络攻击的数量和复杂程度日益增加,许多公司都引入了网络安全技术或者网络安全检测防护系统以加强对网络威胁的检测能力。这些技术可对网络攻击进行检测,并生成告警信息以提示相关人员关注及处理。然而,由于网络攻击的数量较大,巨量的告警信息不仅难以帮助相关人员进行处理,甚至可能会淹没重要的危险告警并导致网络安全灾难。有鉴于此,本专利技术可提供一种告警聚合方法,可基于告警信息的名称或网络流量数据的属性对告警信息进行聚合,并利用聚合后的安全事件信息进行告警,以降低告警数量并提升相关人员处理网络安全事件的效率。请参考图1,图1为本专利技术实施例所提供的一种告警聚合方法的流程图,该方法可以包括:
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警聚合方法,其特征在于,包括:获取网络流量数据,并将所述网络流量数据与预设规则进行匹配;当确定与所述网络流量数据匹配的目标预设规则时,利用所述网络流量数据生成与所述目标预设规则对应的告警信息;根据所述告警信息的名称和/或所述网络流量数据的属性,将多条所述告警信息聚合为安全事件信息,并利用所述安全事件信息进行告警。2.根据权利要求1所述的告警聚合方法,其特征在于,所述根据所述告警信息的名称,将多条所述告警信息聚合为安全事件信息,包括:将具有相同所述名称的告警信息聚合为所述安全事件信息,并在所述安全事件信息中添加所述相同所述名称的告警信息的数量及最后生成时间。3.根据权利要求1所述的告警聚合方法,其特征在于,在利用所述网络流量数据生成与所述目标预设规则对应的告警信息之后,还包括:将所述告警信息保存至卡夫卡流处理平台;相应的,在将多条所述告警信息聚合为安全事件信息之前,还包括:从所述卡夫卡流处理平台中提取所述告警信息。4.根据权利要求1所述的告警聚合方法,其特征在于,所述利用所述安全事件信息进行告警,包括:判断所述安全事件信息对应的预设安全等级是否高于预设告警等级;若是,则将所述安全事件信息发送至指定设备。5.根据权利要求1所述的告警聚合方法,其特征在于,在将多条所述告警信息聚合为安全事件信息之后,还包括:对所述安全事件信息进行可视化输出。6.根据权利要求1所述的告警聚合方法,其特征在于,还包括:在接收到规则创建指令时,根据所述规则创建指令创建所述预设规则;在接收到...
【专利技术属性】
技术研发人员:何嘉豪,计东,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。