本发明专利技术实施例适用于计算机技术领域,提供了一种告警归并方法、装置、电子设备及存储介质,其中,告警归并方法包括:获取待归并告警信息以及终端行为树数据;以待归并告警信息对应的节点为起点,对终端行为树数据向预设方向溯源;若在向预设方向溯源过程中,找到目标历史节点,则将待归并告警信息以及在向预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,目标历史节点为:对应有历史告警信息且该历史告警信息归属于目标历史事件。史事件。史事件。
【技术实现步骤摘要】
一种告警归并方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种告警归并方法、装置、电子设备及存储介质。
技术介绍
[0002]相关技术在进行告警行为分析时,需要人工对告警行为进行溯源和关联分析,且在告警归并时也仅仅只是进行同类型告警归并,威胁研判效率低,甚至无法进行溯源研判。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种告警归并方法、装置、电子设备及存储介质,以至少解决相关技术无法根据请求数据包的目的IP判断其所属的业务的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]第一方面,本专利技术实施例提供了一种告警归并方法,该方法包括:
[0006]获取待归并告警信息以及终端行为树数据;
[0007]以所述待归并告警信息对应的节点为起点,对所述终端行为树数据向预设方向溯源;
[0008]若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述目标历史事件。
[0009]上述方案中,所述预设方向包括向上以及向下;
[0010]相应地,若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述目标历史事件,包括:
[0011]若在向上溯源过程中,找到第一目标历史节点,则将所述待归并告警信息以及在向上溯源过程中相关的节点,均归并入第一目标历史事件,并停止继续向上溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述第一目标历史事件;
[0012]若在向下溯源过程中,找到第二目标历史节点,则将所述待归并告警信息以及在向下溯源过程中相关的节点,均归并入第二目标历史事件,并停止以所述第二目标历史节点为起点的向下溯源;其中,所述第二目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述第二目标历史事件。
[0013]上述方案中,若在向所述预设方向溯源过程中,溯源层数达到预设层数仍未遇到所述目标历史节点,则停止向所述预设方向溯源;
[0014]相应地,所述若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归
并告警信息以及在向所述预设方向溯源过程中经过的节点,均归并入目标历史事件,并停止继续溯源,包括:
[0015]若在向所述预设方向溯源过程中,在未达到所述预设层数时,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中经过的节点,均归并入目标历史事件,并停止继续溯源。
[0016]上述方案中,所述预设方向包括向下溯源;
[0017]相应地,所述若在向所述预设方向溯源过程中,溯源层数达到预设层数仍未遇到所述目标历史节点,则停止向所述预设方向溯源,包括:
[0018]若在向下溯源过程中,溯源层数达到预设向下层数仍未遇到第二目标历史节点,则停止向下溯源,同时将向下溯源相关的节点与所述待归并告警信息归并为同一事件。
[0019]上述方案中,所述预设方向包括向上以及向下;所述预设层数包括预设向上层数以及预设向下层数;所述预设向下层数小于所述预设向上层数。
[0020]上述方案中,在所述获取待归并告警信息的步骤之后,还包括:
[0021]判断是否存在与所述待归并告警信息相同的告警;
[0022]若存在,则对相同告警进行整合,而非溯源终端行为树数据进行告警归并。
[0023]上述方案中,所述各个步骤应用在服务侧;
[0024]相应地,在所述获取待归并告警信息以及终端行为树数据的步骤之前,还包括:
[0025]从目标终端接收告警信息,以及与该告警信息关联的终端行为树数据。
[0026]第二方面,本专利技术实施例提供了一种告警归并装置,该装置包括:
[0027]获取模块,用于获取待归并告警信息以及终端行为树数据;
[0028]溯源模块,用于以所述待归并告警信息对应的节点为起点,对所述终端行为树数据向预设方向溯源;
[0029]归并模块,用于若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述目标历史事件。
[0030]第三方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本专利技术实施例第一方面提供的告警归并方法的步骤。
[0031]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本专利技术实施例第一方面提供的告警归并方法的步骤。
[0032]本专利技术实施例通过获取待归并告警信息以及终端行为树数据,以待归并告警信息对应的节点为起点,对终端行为树数据向预设方向溯源。若在向预设方向溯源过程中,找到目标历史节点,则将待归并告警信息以及在向预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,目标历史节点为:对应有历史告警信息且该历史告警信息归属于目标历史事件。本专利技术实施例基于待归并告警信息对终端行为树数据向预设方向溯源,将待归并告警信息以及在向预设方向溯源过程中相关的节点均归并入目标历史
事件。目标历史事件对应的节点可以呈现终端内部的攻击过程,安全工程师基于目标历史事件对应的节点,可以清楚得知终端内部发生攻击的过程,方便进行威胁分析及问题定位。相比现有技术节省人工溯源分析的人力成本,提高了威胁研判效率。
附图说明
[0033]图1是本专利技术实施例提供的一种告警归并方法的实现流程示意图;
[0034]图2是本专利技术实施例提供的一种告警归并方法的系统结构示意图;
[0035]图3是本专利技术实施例提供的一种终端行为树数据的结构示意图;
[0036]图4是本专利技术实施例提供的一种终端行为树数据的存储结构示意图;
[0037]图5是本专利技术实施例提供的另一种终端行为树数据的结构示意图;
[0038]图6是本专利技术实施例提供的一种向上溯源结果的示意图;
[0039]图7是本专利技术实施例提供的另一种终端行为树数据的结构示意图;
[0040]图8是本专利技术实施例提供的一种向下溯源结果的示意图;
[0041]图9是本专利技术实施例提供的一种目标历史事件对应的终端行为树数据的结构示意图;
[0042]图10是本专利技术实施例提供的一种告警归并流程的示意图;...
【技术保护点】
【技术特征摘要】
1.一种告警归并方法,其特征在于,包括:获取待归并告警信息以及终端行为树数据;以所述待归并告警信息对应的节点为起点,对所述终端行为树数据向预设方向溯源;若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述目标历史事件。2.如权利要求1所述的告警归并方法,其特征在于,所述预设方向包括向上以及向下;相应地,若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中相关的节点,均归并入目标历史事件,并停止继续溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述目标历史事件,包括:若在向上溯源过程中,找到第一目标历史节点,则将所述待归并告警信息以及在向上溯源过程中相关的节点,均归并入第一目标历史事件,并停止继续向上溯源;其中,所述目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述第一目标历史事件;若在向下溯源过程中,找到第二目标历史节点,则将所述待归并告警信息以及在向下溯源过程中相关的节点,均归并入第二目标历史事件,并停止以所述第二目标历史节点为起点的向下溯源;其中,所述第二目标历史节点为:对应有历史告警信息且该历史告警信息归属于所述第二目标历史事件。3.如权利要求1所述的告警归并方法,其特征在于,还包括:若在向所述预设方向溯源过程中,溯源层数达到预设层数仍未遇到所述目标历史节点,则停止向所述预设方向溯源;相应地,所述若在向所述预设方向溯源过程中,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中经过的节点,均归并入目标历史事件,并停止继续溯源,包括:若在向所述预设方向溯源过程中,在未达到所述预设层数时,找到目标历史节点,则将所述待归并告警信息以及在向所述预设方向溯源过程中经过的节点,均归并入目标历史事件,并停止继续溯源。4.如权利要求3所述的告警归并方法,其特...
【专利技术属性】
技术研发人员:卢锡灿,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。