【技术实现步骤摘要】
一种告警事件的关联分析方法、装置和设备
[0001]本申请涉及网络安全
,特别是涉及一种告警事件的关联分析方法、装置和设备。
技术介绍
[0002]随着互联网技术的高速发展,网络攻击事件也越来越频繁,安全厂商推出了各类具有针对性的安全防护产品,以防御和发现网络攻击。但是,由于不同安全防护产品的出现,导致告警事件种类繁多、告警事件数量巨大,给工作人员在海量繁杂的告警事件中分辨对网络安全有影响的告警事件进行研判处置带来了巨大的挑战。
[0003]目前,通常通过结合业务特定场景添加一些告警加白条件来降低误报率,并且通过设定的时间窗口和聚合条件对告警事件进行聚合抑制,该方式一定程度上能够降低单一安全防护产品的告警事件的误报率和告警量。但是,对于未命中加白条件的告警事件,仍然无法降低告警事件的数量,而时间窗口和聚合抑制的方式虽然可以在指定的时间窗口内让具有相同属性的告警事件只生成一条提示告警事件,但是这对于提高告警事件的准确率没有实质性的提升。
[0004]基于此,亟待提供一种能够有效提高告警事件准确率技术方案,...
【技术保护点】
【技术特征摘要】
1.一种告警事件的关联分析方法,其特征在于,包括:获得告警标签组;基于预设的告警关联分析规则,对所述告警标签组中的告警标签进行匹配,获得匹配结果;根据所述匹配结果,确定告警标签集合;基于所述告警标签集合,生成所述告警标签组对应的提示告警事件。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收实时告警事件;确定与所述实时告警事件的标识匹配的标签生成规则;基于所述标签生成规则,生成所述实时告警事件的告警标签。3.根据权利要求2所述的方法,其特征在于,若所述标签生成规则包括持久化指示,则,所述方法还包括:将所述实时告警事件的告警标签保存到内存数据库,所述告警标签包括标签标识、实体名称和标签生成时间。4.根据权利要求2所述的方法,其特征在于,若所述标签生成规则对应的标签类型为单告警事件标签,则,所述基于所述标签生成规则,生成所述实时告警事件的告警标签,包括:确定所述实时告警事件满足所述标签生成规则对应的标签生成条件,则,按照所述标签生成规则的指示,生成所述实时告警事件的告警标签。5.根据权利要求2所述的方法,其特征在于,若所述标签生成规则对应的标签类型为聚合告警事件标签,则,所述基于所述标签生成规则,生成所述实时告警事件的告警标签,包括:基于所述标签生成规则的聚合条件,对多个所述实时告警事件进行聚合,获得聚合告警事件;确定聚合告警事件满足所述标签生成规则对应的标签生成条件,则,按照所述标签生成规则的指示,生成所述聚合告警事件的告警标签,作为多个所述实时告警事件的告警标签。6.根据权利要求1所述的方法,其特征在于,所述获得告警标签组,包括:响应于距离上次关联分析的时间达到预设时长,获得所述告警标签组。7.根据权利要求1所述的方法,其特征在于,所述获得告警标签组,包括:从内存数据库中获得历史标签组中的有效的历史告警标签,作为所述告警标签组中的标签。8.根据权利要求1所述的方法,其特征在于,所述获得告警标签组,包括:获得参与本次关联分析的实时告警事件所生成的告警标签中的第一告警标签组,所述第一告警标签组中的分组字段的值相同。9.根据权利要求8所述的方法,其特征在于,所述方法还包括:根据所述实时告警事件的告警标签的标签标识,对所述实时告警事件的告警标签进...
【专利技术属性】
技术研发人员:陈祚松,谭学士,李云龙,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。