一种告警事件的关联分析方法、装置和设备制造方法及图纸

本申请公开了一种告警事件的关联分析方法、装置和设备，该方法包括：基于预设的告警关联分析规则对所获得的告警标签组中的告警标签进行匹配，获得匹配结果；根据所述匹配结果，确定告警标签集合；基于所述告警标签集合，生成所述告警标签组对应的提示告警事件。可见，该方法中，将种类繁多的告警事件生成格式统一的告警标签，通过设置适用于该统一格式的告警标签的告警关联分析规则，实现对各种安全防护产品产生的告警事件的关联分析，输出对网络安全有影响的提示告警事件，有效的降低了告警数量，提高了告警的准确率，为工作人员对网络安全的分析和研究提供可靠的依据。全的分析和研究提供可靠的依据。全的分析和研究提供可靠的依据。

【技术实现步骤摘要】
一种告警事件的关联分析方法、装置和设备


[0001]本申请涉及网络安全
，特别是涉及一种告警事件的关联分析方法、装置和设备。

技术介绍

[0002]随着互联网技术的高速发展，网络攻击事件也越来越频繁，安全厂商推出了各类具有针对性的安全防护产品，以防御和发现网络攻击。但是，由于不同安全防护产品的出现，导致告警事件种类繁多、告警事件数量巨大，给工作人员在海量繁杂的告警事件中分辨对网络安全有影响的告警事件进行研判处置带来了巨大的挑战。
[0003]目前，通常通过结合业务特定场景添加一些告警加白条件来降低误报率，并且通过设定的时间窗口和聚合条件对告警事件进行聚合抑制，该方式一定程度上能够降低单一安全防护产品的告警事件的误报率和告警量。但是，对于未命中加白条件的告警事件，仍然无法降低告警事件的数量，而时间窗口和聚合抑制的方式虽然可以在指定的时间窗口内让具有相同属性的告警事件只生成一条提示告警事件，但是这对于提高告警事件的准确率没有实质性的提升。
[0004]基于此，亟待提供一种能够有效提高告警事件准确率技术方案，使得最终的告警提示不仅降低告警事件数量且能够输出众多告警事件中对网络安全有影响的提示告警事件，提高告警的准确性，为工作人员对网络安全的分析和研究提供可靠的依据。

技术实现思路

[0005]本申请实施例提供了一种告警事件的关联分析方法、装置和设备，能够有效降低告警事件的输出数量并提高告警事件输出提示告警事件的准确率，给工作人员对网络安全中告警事件的分析和研究工作提供可靠的依据，从而提高网络安全的效率和准确率。
[0006]第一方面，本申请实施例提供了一种告警事件的关联分析方法，包括：
[0007]获得告警标签组；
[0008]基于预设的告警关联分析规则，对所述告警标签组中的告警标签进行匹配，获得匹配结果；
[0009]根据所述匹配结果，确定告警标签集合；
[0010]基于所述告警标签集合，生成所述告警标签组对应的提示告警事件。
[0011]可选地，所述方法还包括：
[0012]接收实时告警事件；
[0013]确定与所述实时告警事件的标识匹配的标签生成规则；
[0014]基于所述标签生成规则，生成所述实时告警事件的告警标签。
[0015]可选地，若所述标签生成规则包括持久化指示，则，所述方法还包括：
[0016]将所述实时告警事件的告警标签保存到内存数据库，所述告警标签包括标签标识、实体名称和标签生成时间。
[0017]可选地，若所述标签生成规则对应的标签类型为单告警事件标签，则，所述基于所述标签生成规则，生成所述实时告警事件的告警标签，包括：
[0018]确定所述实时告警事件满足所述标签生成规则对应的标签生成条件，则，按照所述标签生成规则的指示，生成所述实时告警事件的告警标签。
[0019]可选地，若所述标签生成规则对应的标签类型为聚合告警事件标签，则，所述基于所述标签生成规则，生成所述实时告警事件的告警标签，包括：
[0020]基于所述标签生成规则的聚合条件，对多个所述实时告警事件进行聚合，获得聚合告警事件；
[0021]确定聚合告警事件满足所述标签生成规则对应的标签生成条件，则，按照所述标签生成规则的指示，生成所述聚合告警事件的告警标签，作为多个所述实时告警事件的告警标签。
[0022]可选地，所述获得告警标签组，包括：
[0023]响应于距离上次关联分析的时间达到预设时长，获得所述告警标签组。
[0024]可选地，所述获得告警标签组，包括：
[0025]从内存数据库中获得历史标签组中的有效的历史告警标签，作为所述告警标签组中的标签。
[0026]可选地，所述获得告警标签组，包括：
[0027]获得参与本次关联分析的实时告警事件所生成的告警标签中的第一告警标签组，所述第一告警标签组中的分组字段的值相同。
[0028]可选地，所述方法还包括：
[0029]根据所述实时告警事件的告警标签的标签标识，对所述实时告警事件的告警标签进行分组，所述实时告警事件的告警标签的分组结果包括所述第一告警标签组。
[0030]可选地，所述基于预设的告警关联分析规则，对所述告警标签组中的告警标签进行匹配，获得匹配结果，包括：
[0031]获得与告警标签组类型对应的告警关联分析规则，所述告警标签组类型包括历史标签组和实时标签组；
[0032]确定所述告警标签组中的告警标签是否符合所获得的告警关联分析规则。
[0033]可选地，所述根据所述匹配结果，确定告警标签集合，包括：
[0034]若确定所述告警标签组中的告警标签符合所获得的告警关联分析规则，则，将所述告警标签存入所述告警标签组对应的告警标签集合。
[0035]可选地，所述基于所述告警标签集合，生成所述告警标签组对应的提示告警事件，包括：
[0036]若基于预设的告警关联分析规则对所述告警标签组中的所有告警标签均完成匹配后，所述告警标签集合满足所获得的告警关联分析规则中命中条件，则，基于所述告警标签集合中的告警标签生成所述告警标签组对应的所述提示告警事件。
[0037]可选地，所述方法还包括：
[0038]若基于预设的告警关联分析规则对所述告警标签组中的所有告警标签均完成匹配后，所述告警标签集合不满足所获得的告警关联分析规则中命中条件，则，丢弃所述告警标签组，所述告警标签组不对应任何提示告警事件。
[0039]第二方面，本申请实施例还提供了一种告警事件的关联分析装置，包括：
[0040]获得单元，用于获得告警标签组；
[0041]匹配单元，用于基于预设的告警关联分析规则，对所述告警标签组中的告警标签进行匹配，获得匹配结果；
[0042]第一确定单元，用于根据所述匹配结果，确定告警标签集合；
[0043]第一生成单元，用于基于所述告警标签集合，生成所述告警标签组对应的提示告警事件。
[0044]可选地，所述装置还包括：
[0045]接收单元，用于接收实时告警事件；
[0046]第二确定单元，用于确定与所述实时告警事件的标识匹配的标签生成规则；
[0047]第二生成单元，用于基于所述标签生成规则，生成所述实时告警事件的告警标签。
[0048]可选地，若所述标签生成规则包括持久化指示，则，所述装置还包括：
[0049]保存单元，用于将所述实时告警事件的告警标签保存到内存数据库，所述告警标签包括标签标识、实体名称和标签生成时间。
[0050]可选地，若所述标签生成规则对应的标签类型为单告警事件标签，则，所述第二生成单元，具体用于：
[0051]确定所述实时告警事件满足所述标签生成规则对应的标签生成条件，则，按照所述标签生成规则的指示，生成所述实时告警事件的告警标签。
[0052]可选地，若所述标签生成规则对应的标签类型为聚本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种告警事件的关联分析方法，其特征在于，包括：获得告警标签组；基于预设的告警关联分析规则，对所述告警标签组中的告警标签进行匹配，获得匹配结果；根据所述匹配结果，确定告警标签集合；基于所述告警标签集合，生成所述告警标签组对应的提示告警事件。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收实时告警事件；确定与所述实时告警事件的标识匹配的标签生成规则；基于所述标签生成规则，生成所述实时告警事件的告警标签。3.根据权利要求2所述的方法，其特征在于，若所述标签生成规则包括持久化指示，则，所述方法还包括：将所述实时告警事件的告警标签保存到内存数据库，所述告警标签包括标签标识、实体名称和标签生成时间。4.根据权利要求2所述的方法，其特征在于，若所述标签生成规则对应的标签类型为单告警事件标签，则，所述基于所述标签生成规则，生成所述实时告警事件的告警标签，包括：确定所述实时告警事件满足所述标签生成规则对应的标签生成条件，则，按照所述标签生成规则的指示，生成所述实时告警事件的告警标签。5.根据权利要求2所述的方法，其特征在于，若所述标签生成规则对应的标签类型为聚合告警事件标签，则，所述基于所述标签生成规则，生成所述实时告警事件的告警标签，包括：基于所述标签生成规则的聚合条件，对多个所述实时告警事件进行聚合，获得聚合告警事件；确定聚合告警事件满足所述标签生成规则对应的标签生成条件，则，按照所述标签生成规则的指示，生成所述聚合告警事件的告警标签，作为多个所述实时告警事件的告警标签。6.根据权利要求1所述的方法，其特征在于，所述获得告警标签组，包括：响应于距离上次关联分析的时间达到预设时长，获得所述告警标签组。7.根据权利要求1所述的方法，其特征在于，所述获得告警标签组，包括：从内存数据库中获得历史标签组中的有效的历史告警标签，作为所述告警标签组中的标签。8.根据权利要求1所述的方法，其特征在于，所述获得告警标签组，包括：获得参与本次关联分析的实时告警事件所生成的告警标签中的第一告警标签组，所述第一告警标签组中的分组字段的值相同。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：根据所述实时告警事件的告警标签的标签标识，对所述实时告警事件的告警标签进...

【专利技术属性】
技术研发人员：陈祚松，谭学士，李云龙，
申请(专利权)人：奇安信网神信息技术北京股份有限公司，
类型：发明
国别省市：