本公开涉及互联网技术领域,涉及关联告警方法及系统、计算机可读存储介质和电子设备,包括:根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;基于所述关联告警事件执行关联告警。本公开实施例能挖掘离散的告警事件之间具有时序性和逻辑性的关联关系,以将低维度告警事件融合为高维度事件执行关联告警,降低入侵事件的告警误报率。率。率。
【技术实现步骤摘要】
关联告警方法及系统、存储介质和电子设备
[0001]本公开涉及互联网
,更具体地,涉及一种关联告警方法、关联告警系统、计算机可读存储介质和电子设备。
技术介绍
[0002]随着互联网
的发展,信息安全与用户隐私受到广泛关注,入侵检测系统(Intrusion Detection System,简称IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
[0003]然而,相关技术的入侵检测系统容易产生大量的误报告警事件,影响系统告警的精确度,降低入侵检测系统的可信度。
[0004]需要说明的是,在上述
技术介绍
部分专利技术的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]本公开的目的在于提供一种关联告警方法及系统、计算机存储介质和电子设备,进而至少在一定程度上克服由于相关技术的限制而导致的入侵检测系统的告警精确度低等技术问题。
[0006]本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
[0007]根据本公开的一个方面,提供一种关联告警方法,包括:
[0008]根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
[0009]对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
[0010]基于所述关联告警事件执行关联告警。
[0011]在本公开的一种示例性实施例中,在所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集之前,所述方法还包括:
[0012]提取所述告警事件的事件描述特征;
[0013]根据所述事件描述特征,对所述告警事件进行预过滤处理。
[0014]在本公开的一种示例性实施例中,所述根据所述事件描述特征,对所述告警事件进行预过滤处理,包括:
[0015]根据所述事件描述特征,按照预设的过滤规则从所述告警事件中确定错误事件和冗余事件;
[0016]对所述错误事件的事件描述特征进行调整或删除;
[0017]将所述冗余事件进行合并,根据得到的合并冗余事件更新所述告警事件。
[0018]在本公开的一种示例性实施例中,所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集,包括:
[0019]基于所述告警事件描述特征,按照预设的聚类策略对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类;
[0020]根据聚类结果将所述告警事件分为对应于不同告警类别的告警事件集。
[0021]在本公开的一种示例性实施例中,所述基于所述告警事件描述特征,按照预设的聚类策略,对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类,包括:
[0022]若存在至少两个目标告警事件的事件类型、源互联网协议地址和所属网段相同,并且所述至少两个目标告警事件对应子网段在预设时长内的受攻击主机数量和超过数量阈值,合并所述两个目标告警事件。
[0023]在本公开的一种示例性实施例中,所述对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件,包括:
[0024]针对任一所述告警事件,采用关联谓词标识所述告警事件的前提条件和事件结果,生成前提集和后果集;
[0025]根据所述前提集和后果集,确定各所述告警事件的因果关联关系;
[0026]将具有因果关联关系的告警事件进行融合,生成所述关联告警事件。
[0027]在本公开的一种示例性实施例中,所述因果关联关系包括直接关联和间接关联,所述根据所述前提集和后果集,确定各所述告警事件的因果关联关系,包括:
[0028]在满足预设的超报警关联限制条件时,若对应于同一告警事件集的不同告警事件之间,存在第一目标告警事件的后果集与第二目标告警事件的前提集相等,则所述第一目标告警事件与所述第二目标告警事件为直接关联;
[0029]若存在至少两个第三目标告警事件的前提集或后果集存在交集,且所述至少两个第三目标告警事件分别对应于不同的告警事件集,则确定所述至少两个第三目标告警事件为间接关联。
[0030]在本公开的一种示例性实施例中,所述基于所述关联告警事件执行关联告警,包括:
[0031]若所述关联告警事件对应的告警事件的数量大于预设数量阈值,则基于所述关联告警事件执行关联告警。
[0032]在本公开的一种示例性实施例中,所述方法还包括:保存设定周期内的历史关联告警事件;
[0033]所述基于所述关联告警事件执行关联告警,还包括:
[0034]若当前告警事件与所述历史关联告警事件中的部分告警事件存在关联关系,根据所述历史关联告警事件和所述当前告警事件生成预留告警事件;
[0035]对所述预留告警事件进行监控,若存在新的当前告警事件使得所述预留告警事件与所述历史关联告警事件的相似度高于预设相似度阈值,则基于所述历史关联告警事件执行关联告警。
[0036]根据本公开的一个方面,提供一种关联告警系统,所述系统包括:
[0037]过滤处理模块,用于根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;
[0038]分析模块,用于对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;
[0039]告警模块,用于基于所述关联告警事件执行关联告警。
[0040]根据本公开的一个方面,提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的方法。
[0041]根据本公开的一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的方法。
[0042]本公开的示例性实施例中的关联告警方法,基于不同的告警事件属于攻击策略的不同攻击阶段,从而根据事件描述特征先将告警事件按类别分为不同的告警事件集,进而针对告警事件集中的告警事件,以挖掘告警事件之间的关联关系为切入,寻求大量离散的单个告警事件的逻辑关联关系,以将单个告警事件融合为同一攻击策略下的不同步骤或阶段,生成关联告警事件,实现攻击过程的重建,以高维度的关联告警事件执行警告,避免产生大量离散的告警事件,从而降低告警误报率。
[0043]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
[0044]通过参考附图阅读下文的详细描述,本公开示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种关联告警方法,其特征在于,包括:根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集;对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件;基于所述关联告警事件执行关联告警。2.根据权利要求1所述的方法,其特征在于,在所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集之前,所述方法还包括:提取所述告警事件的事件描述特征;根据所述事件描述特征,对所述告警事件进行预过滤处理。3.根据权利要求2所述的方法,其特征在于,所述根据所述事件描述特征,对所述告警事件进行预过滤处理,包括:根据所述事件描述特征,按照预设的过滤规则从所述告警事件中确定错误事件和冗余事件;对所述错误事件的事件描述特征进行调整或删除;将所述冗余事件进行合并,根据得到的合并冗余事件更新所述告警事件。4.根据权利要求1所述的方法,其特征在于,所述根据告警事件的事件描述特征,将所述告警事件分为对应于不同告警类别的告警事件集,包括:基于所述告警事件描述特征,按照预设的聚类策略对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类;根据聚类结果将所述告警事件分为对应于不同告警类别的告警事件集。5.根据权利要求4所述的方法,其特征在于,所述基于所述告警事件描述特征,按照预设的聚类策略,对所述告警事件进行聚类处理,以将具有互相关联或协同关联的告警事件进行聚类,包括:若存在至少两个目标告警事件的事件类型、源互联网协议地址和所属网段相同,并且所述至少两个目标告警事件对应子网段在预设时长内的受攻击主机数量和超过数量阈值,合并所述两个目标告警事件。6.根据权利要求1所述的方法,其特征在于,所述对所述告警事件集中的告警事件进行关联关系分析,并根据分析结果对所述告警事件集中的告警事件进行融合处理,生成关联告警事件,包括:针对任一所述告警事件,采用关联...
【专利技术属性】
技术研发人员:李岳昆,汪来富,刘东鑫,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。