一种告警事件处理方法、系统、存储介质和终端技术方案

本申请提供一种告警事件处理方法，具体技术方案如下：基于告警事件日志，构建该告警事件日志所描述的告警有向图；将告警有向图转换为向量化告警特征；计算向量化告警特征与各告警日志簇的特征相似距离；若存在特征相似距离小于预设阈值的目标告警日志簇，将告警事件日志添加至目标告警日志簇，以对告警有向图进行告警聚合。本申请不仅能够将大量告警事件日志聚合，还能在计算特征相似距离的过程中，有效考虑告警有向图中的上下文信息，从而在保证告警事件类型不被掩盖的同时极大地减轻了运维分析的负担，提高告警事件日志的处置效率。本申请还提供一种告警事件处理系统、计算机可读存储介质和终端，具有上述有益效果。具有上述有益效果。具有上述有益效果。

【技术实现步骤摘要】
一种告警事件处理方法、系统、存储介质和终端


[0001]本申请涉及网络安全领域，特别涉及一种告警事件处理方法、系统、存储介质和终端。

技术介绍

[0002]随着企业规模的扩大以及用户数量的增加，网络攻击行为产生的告警事件的速度也在加快，人工已经无法完成对巨量告警事件的分析，更无法从海量的数据中识别出代表性的告警事件，使得告警事件的处置效率极其低下，严重影响了企业网络安全。

技术实现思路

[0003]本申请的目的是提供一种告警事件处理方法、告警事件处理系统、存储介质和终端，能够通过计算告警事件相似度实现对告警事件的聚合处理，提高告警事件的处理效率。
[0004]为解决上述技术问题，本申请提供一种告警事件处理方法，具体技术方案如下：
[0005]基于告警事件日志，构建该告警事件日志所描述的告警有向图；
[0006]将所述告警有向图转换为向量化告警特征；
[0007]计算所述向量化告警特征与各告警日志簇的特征相似距离；
[0008]若存在特征相似距离小于预设阈值的目标告警日志簇，将所述告警事件日志添加至所述目标告警日志簇，以对所述告警有向图进行告警聚合。
[0009]可选的，所述告警有向图具体为告警进程树；
[0010]相应地，所述将所述告警有向图转换为向量化告警特征包括：
[0011]利用特征向量化模型将所述告警有向图转换为向量化告警特征；
[0012]相应的，在将所述告警有向图转换为向量化告警特征之前，还包括：
[0013]获取告警日志数据集；
[0014]构建所述告警日志数据集中各告警日志对应的告警进程树；
[0015]遍历所述告警进程树的各个分支，得到告警特征；
[0016]将所述告警特征作为训练集，利用Graph2Vec算法进行模型训练，得到所述特征向量化模型。
[0017]可选的，构建告警事件日志对应的告警进程树包括：
[0018]确定所述告警事件日志中的进程树字段信息；
[0019]以所述进程树字段信息作为节点，根据各所述节点之间的连接关系构建有向图形式的告警进程树。
[0020]可选的，遍历所述告警进程树的各个分支，得到告警特征包括：
[0021]以所述告警进程树的根节点作为起点，以所述告警进程树的各末端作为终点确定若干分支；其中，所述告警进程树中的节点包含若干字符的字符串数据；
[0022]对于每个分支，设分支包含M个节点，拼接字符串的步进长度为1，确定拼接所述节点的拼接数量m，在每个所述分支中，第N个拼接字符串的拼接起始节点为N，字符串长度为
m，得到N个拼接字符串；且N＝M
‑
m+1；
[0023]对于每个拼接字符串，利用滑动窗口从所述拼接字符串的第一个字符开始进行滑动分割，得到所述拼接字符串包含的所有分割字符串，将所述分割字符串作为告警特征。
[0024]可选的，所述将所述告警事件日志添加至所述目标告警日志簇，以对所述告警有向图进行告警聚合之后，还包括：
[0025]生成每个所述告警日志簇对应的告警事件；所述告警事件被处置时，所述告警日志簇内的所有告警事件日志被同步处置。
[0026]可选的，若与各告警日志簇的特征相似距离均不小于预设阈值，还包括：
[0027]建立告警有向图对应的新告警日志簇。
[0028]可选的，还包括：
[0029]对所述告警事件日志进行字段处理，并以字符串格式保存至告警事件数据库。
[0030]本申请还提供一种告警事件处理系统，包括：
[0031]日志获取模块，用于基于告警事件日志，构建该告警事件日志所描述的告警有向图；
[0032]向量化处理模块，用于将所述告警有向图转换为向量化告警特征；
[0033]距离计算模块，用于计算所述向量化告警特征与各告警日志簇的特征相似距离；
[0034]告警事件处理模块，用于若存在特征相似距离小于预设阈值的目标告警日志簇，将所述告警事件日志添加至所述目标告警日志簇，以对所述告警有向图进行告警聚合。
[0035]本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的方法的步骤。
[0036]本申请还提供一种终端，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。
[0037]本申请提供一种告警事件处理方法，具体技术方案如下：基于告警事件日志，构建该告警事件日志所描述的告警有向图；将所述告警有向图转换为向量化告警特征；计算所述向量化告警特征与各告警日志簇的特征相似距离；若存在特征相似距离小于预设阈值的目标告警日志簇，将所述告警事件日志添加至所述目标告警日志簇，以对所述告警有向图进行告警聚合。
[0038]本申请通过将告警事件日志转换为相应的向量化告警特征，从而与已有的告警日志簇进行特征相似距离的计算，若存在特征相似距离小于预设阈值的目标告警日志簇，将其归类至该目标告警日志簇，如此不仅能够将大量告警事件日志聚合，还能在计算特征相似距离的过程中，有效考虑告警有向图中的上下文信息，从而在保证告警事件类型不被掩盖的同时极大地减轻了运维分析的负担，提高告警事件日志的处置效率。
[0039]本申请还提供一种告警事件处理系统、计算机可读存储介质和终端，具有上述有益效果，此处不再赘述。
附图说明
[0040]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据
提供的附图获得其他的附图。
[0041]图1为本申请实施例所提供的一种告警事件处理方法的流程图；
[0042]图2为本申请实施例所提供的另一种告警事件处理方法的流程图；
[0043]图3为本申请实施例所提供的一种特征向量化模型的生成过程流程图；
[0044]图4为本申请实施例所提供的一种告警事件处理系统结构示意图：
[0045]图5为本申请实施例所提供的一种终端的结构示意图。
具体实施方式
[0046]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0047]参见图1，图1为本申请实施例所提供的一种告警事件处理方法的流程图，该方法包括：
[0048]S101：基于告警事件日志，构建该告警事件日志所描述的告警有向图；
[0049]本步骤旨在获取告警事件日志，并构建相应的告警有向本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种告警事件处理方法，其特征在于，包括：基于告警事件日志，构建该告警事件日志所描述的告警有向图；将所述告警有向图转换为向量化告警特征；计算所述向量化告警特征与各告警日志簇的特征相似距离；若存在特征相似距离小于预设阈值的目标告警日志簇，将所述告警事件日志添加至所述目标告警日志簇，以对所述告警有向图进行告警聚合。2.根据权利要求1所述的告警事件处理方法，其特征在于，所述告警有向图具体为告警进程树；相应地，所述将所述告警有向图转换为向量化告警特征包括：利用特征向量化模型将所述告警有向图转换为向量化告警特征；相应的，在将所述告警有向图转换为向量化告警特征之前，还包括：获取告警日志数据集；构建所述告警日志数据集中各告警日志对应的告警进程树；遍历所述告警进程树的各个分支，得到告警特征；将所述告警特征作为训练集，利用Graph2Vec算法进行模型训练，得到所述特征向量化模型。3.根据权利要求2所述的告警事件处理方法，其特征在于，构建告警事件日志对应的告警进程树包括：确定所述告警事件日志中的进程树字段信息；以所述进程树字段信息作为节点，根据各所述节点之间的连接关系构建有向图形式的告警进程树。4.根据权利要求2所述的告警事件处理方法，其特征在于，遍历所述告警进程树的各个分支，得到告警特征包括：以所述告警进程树的根节点作为起点，以所述告警进程树的各末端作为终点确定若干分支；其中，所述告警进程树中的节点包含若干字符的字符串数据；对于每个分支，设分支包含M个节点，拼接字符串的步进长度为1，确定拼接所述节点的拼接数量m，在每个所述分支中，第N个拼接字符串的拼接起始节点为N，字符串长度为m，得到N个拼接字符串；且N＝M
‑
m+1；对于每个...

【专利技术属性】
技术研发人员：刘杨，董枫，林诗超，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：