本申请提供了一种告警策略生成方法、装置和存储介质,涉及互联网技术领域,方法包括:获取多条安全事件的事件描述信息,事件描述信息包括安全事件的事件对象信息、事件属性信息和事件时间信息;从配置规则库中获取告警配置规则,告警配置规则包括过滤字段信息和事件聚合条件;根据过滤字段信息和事件属性信息,将配置规则库中的告警配置规则与多条安全事件进行匹配,得到目标配置规则和对应的安全事件;根据事件对象信息和事件时间信息,将对应的安全事件中的安全事件与目标配置规则的事件聚合条件进行匹配;若匹配到满足事件聚合条件的目标安全事件,基于目标配置规则生成对应的告警策略。本申请能够有效提高告警策略生成效率和策略质量。和策略质量。和策略质量。
【技术实现步骤摘要】
一种告警策略生成方法、装置和存储介质
[0001]本申请涉及互联网
,尤其涉及一种告警策略生成方法、装置和存储介质。
技术介绍
[0002]安全事件是指不同安全产品(包括软件或硬件)针对对应所检测的范围(如流量、终端或日志等)所发现的原始安全问题。对安全事件的数据进行监控和告警分析,能够及时生成告警结果并进行相应的告警处理,以规避安全风险。
[0003]而随网络技术的普及,安全事件的数量倍增,数据信息杂乱且庞大,因而在对安全事件数据进行告警分析时涉及大量的告警策略。现有的监控告警是人工根据软件或硬件系统及其所承载的业务、以及告警平台的类别进行告警策略配置,策略配置和维护的人力成本极高,且生成效率低下。因此,需要提供一种改进的告警策略生成方案,以解决上述现有问题。
技术实现思路
[0004]本申请提供了一种告警策略生成方法和装置,可以有效提高告警策略生成效率,降低人力成本。
[0005]一方面,本申请提供了一种告警策略生成方法,所述方法包括:
[0006]获取多条安全事件的事件描述信息,所述事件描述信息包括安全事件的事件对象信息、事件属性信息和事件时间信息;
[0007]从配置规则库中获取告警配置规则,所述告警配置规则包括过滤字段信息和事件聚合条件;
[0008]根据所述过滤字段信息和所述事件属性信息,将所述配置规则库中的告警配置规则与所述多条安全事件进行匹配,得到目标配置规则和对应的安全事件;
[0009]根据所述事件对象信息和所述事件时间信息,将所述对应的安全事件中的安全事件与所述目标配置规则的事件聚合条件进行匹配;
[0010]若匹配到满足所述事件聚合条件的目标安全事件,基于所述目标配置规则生成对应的告警策略,以用于安全事件的告警分析。
[0011]另一方面提供了一种告警策略生成装置,所述装置包括:
[0012]事件信息获取模块:用于获取多条安全事件的事件描述信息,所述事件描述信息包括安全事件的事件对象信息、事件属性信息和事件时间信息;
[0013]配置规则获取模块:用于从配置规则库中获取告警配置规则,所述告警配置规则包括过滤字段信息和事件聚合条件;
[0014]第一匹配模块:用于根据所述过滤字段信息和所述事件属性信息,将所述配置规则库中的告警配置规则与所述多条安全事件进行匹配,得到目标配置规则和对应的安全事件;
[0015]第二匹配模块:用于根据所述事件对象信息和所述事件时间信息,将所述对应的
安全事件中的安全事件与所述目标配置规则的事件聚合条件进行匹配;
[0016]告警策略生成模块:用于若匹配到满足所述事件聚合条件的目标安全事件,基于所述目标配置规则生成对应的告警策略,以用于安全事件的告警分析。
[0017]另一方面提供了一种告警策略生成设备,所述设备包括处理器和存储器,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的告警策略生成方法。
[0018]另一方面提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如上述的告警策略生成方法。
[0019]另一方面提供了一种服务器,所述服务器包括处理器和存储器,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的告警策略生成方法。
[0020]另一方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述的告警策略生成方法。
[0021]本申请提供的告警策略生成方法、装置、设备、存储介质、服务器和程序产品,具有如下技术效果:
[0022]本申请通过获取多条安全事件的事件描述信息,事件描述信息包括安全事件的事件对象信息、事件属性信息和事件时间信息;并从配置规则库中获取包括过滤字段信息和事件聚合条件告警配置规则;然后根据过滤字段信息和事件属性信息,将配置规则库中的告警配置规则与多条安全事件进行匹配,得到了目标配置规则和对应的安全事件;以及,根据事件对象信息和事件时间信息,将对应的安全事件中的安全事件与目标配置规则的事件聚合条件进行匹配;若匹配到满足事件聚合条件的目标安全事件,基于目标配置规则生成对应的告警策略。上述技术方案通过设置配置规则库和安全数据的匹配实现了告警策略的自动生成,无需人工配置告警策略,且能够应用于不同安全平台和业务系统,进行大幅减少告警策略配置的重复性劳动,有效提高告警策略生成效率。此外,基于安全事件数据从配置规则库中确定匹配的告警配置规则,进而生成告警策略,能够提高告警策略与待分析安全事件的相关性,减少无效告警策略数量,提高告警分析效率。
附图说明
[0023]为了更清楚地说明本申请实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
[0024]图1是本申请实施例提供的一种应用环境的示意图;
[0025]图2是本申请实施例提供的一种告警策略生成方法的流程示意图;
[0026]图3是本申请实施例提供的一种告警策略生成方法的流程示意图;
[0027]图4是本申请实施例提供的一种告警策略生成方法的流程示意图;
[0028]图5是本实施例提供的一组关联安全事件的示意图;
[0029]图6是本申请实施例提供的一种告警策略生成装置的结构示意图;
[0030]图7是本申请实施例提供的一种告警策略生成方法的服务器的硬件结构框图。
具体实施方式
[0031]云计算(cloud computing)指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。云计算是网格计算(Grid Computing)、分布式计算 (Distributed Computing)、并行计算(Parallel Computing)、效用计算(UtilityComputing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。
[0032]本申请实施例的技术方案可利用云计算和云存储技术提供告警策略生成的样式数据等资源数据服务。云存储(cloud s本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警策略生成方法,其特征在于,所述方法包括:获取多条安全事件的事件描述信息,所述事件描述信息包括安全事件的事件对象信息、事件属性信息和事件时间信息;从配置规则库中获取告警配置规则,所述告警配置规则包括过滤字段信息和事件聚合条件;根据所述过滤字段信息和所述事件属性信息,将所述配置规则库中的告警配置规则与所述多条安全事件进行匹配,得到目标配置规则和对应的安全事件;根据所述事件对象信息和所述事件时间信息,将所述对应的安全事件中的安全事件与所述目标配置规则的事件聚合条件进行匹配;若匹配到满足所述事件聚合条件的目标安全事件,基于所述目标配置规则生成对应的告警策略,以用于安全事件的告警分析。2.根据权利要求1所述的方法,其特征在于,所述告警配置规则包括归并类配置规则,所述归并类配置规则为将同一条件下发生的安全事件聚合为单一告警结果的告警策略对应的配置规则;所述事件聚合条件包括归并子条件、归并数量下限和聚合时长,所述归并子条件表征安全事件的事件对象相同;所述根据所述事件对象信息和所述事件时间信息,将所述对应的安全事件中的安全事件与所述目标配置规则的事件聚合条件进行匹配包括:根据所述事件对象信息和归并子条件,从所述对应的安全事件中确定事件对象相同的第一安全事件,得到第一安全事件集;根据所述事件时间信息,确定所述第一安全事件集中在所述聚合时长内发生的第一安全事件的目标事件数量;若所述目标事件数量大于等于预设数量下限,确定匹配到满足所述事件聚合条件的目标安全事件。3.根据权利要求1所述的方法,其特征在于,所述告警配置规则包括关联类配置规则,所述关联类配置规则为将关联的安全事件聚合为单一告警结果的告警策略对应的配置规则;所述事件聚合条件包括关联子条件、关联事件时序和聚合时长,所述关联子条件指示关联的安全事件的事件对象间所需满足的目标关联关系;所述根据所述事件对象信息和所述事件时间信息,将所述对应的安全事件中的安全事件与所述目标配置规则的事件聚合条件进行匹配包括:根据所述事件对象信息、事件时间信息和所述关联子条件,从所述对应的安全事件中,确定在所述聚合时长内发生且事件对象间存在所述目标关联关系的第二安全事件,得到第二安全事件集;基于所述事件时间信息,确定所述第二安全事件集中第二安全事件的时序;若所述第二安全事件的时序与所述关联事件时序一致,确定匹配到满足所述事件聚合条件的目标安全事件。4.根据权利要求1
‑
3中任一项所述的方法,其特征在于,在所述若匹配到满足所述事件聚合条件的目标安全事件,基于所述目标配置规则生成对应的目标告警策略,以用于安全事件的告警分析之后,所述方法还包括:获取所述目标告警策略对应的目标告警结果;
基于所述目标配置规则对所述...
【专利技术属性】
技术研发人员:梁广鹏,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。