本申请的一些实施例提供了一种生成告警事件的方法、装置、存储介质及电子设备,该方法包括:确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。本申请的一些实施例可以实现对告警事件的高效检测和生成,适应性较好。适应性较好。适应性较好。
【技术实现步骤摘要】
一种生成告警事件的方法、装置、存储介质及电子设备
[0001]本申请涉及网络安全
,具体而言,涉及一种生成告警事件的方法、装置、存储介质及电子设备。
技术介绍
[0002]随着工业互联网技术的快速发展,工业互联网技术在日常生活中应用越来越广泛,网络的日益复杂以及攻击手段的多样化,因此网络安全问题尤为重要。
[0003]在实际的网络环境中,根据一条事件就可以判断该事件是否是威胁事件的几率很小。而目前在对告警事件进行分析时,首先需要获取对应的标签规则,然后基于标签规则对事件进行标识,最后再去分析是否生成告警事件。一方面对告警事件分析时需要占用的设备资源较多,且需要经过多次判定才能确认是否为告警事件,过程繁琐。
[0004]因此,如何提供一种高效的生成告警事件的方法的技术方案成为亟需解决的技术问题。
技术实现思路
[0005]本申请的一些实施例的目的在于提供一种生成告警事件的方法、装置、存储介质及电子设备,通过本申请的实施例的技术方案可以实现对告警事件的快速关联分析,提升了生成告警事件的效率和准确率,为网络安全提供保障。
[0006]第一方面,本申请的一些实施例提供了一种生成告警事件的方法,包括:确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
[0007]本申请的一些实施例通过设定关联分析规则中的过滤器对审计事件中的字段内容进行命中统计,并基于命中次数和命中阈值确定是否生成告警事件,可以实现对审计事件的快速检测和快速关联分析,提升了生成告警事件的效率和准确率,为网络安全提供保障。
[0008]在一些实施例,所述字段内容和所述目标字段为相同字段或不同字段。
[0009]本申请的一些实施例通过灵活设定字段内容和目标字段,可以实现多种告警事件的检测,灵活性好。
[0010]在一些实施例,所述各个过滤器还配置有时间阈值,其中,所述统计所述审计事件的目标字段的各命中次数,包括:在所述时间阈值内,统计所述各命中次数。
[0011]本申请的一些实施例通过在时间阈值内统计命中次数,可以实现对审计事件的准确检测。
[0012]在一些实施例,所述审计事件是通过采集镜像流量生成的。
[0013]本申请的一些实施例通过镜像流量生成审计事件,可以不影响服务性能的情况下进行检测,实用性较高。
[0014]在一些实施例,所述在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数,包括:提取所述审计事件中的各字段内容;若所述各字段内容与所述各过滤字段相同,则确认所述各字段内容与所述各过滤字段相匹配,并且所述审计事件的目标字段的各命中次数增一。
[0015]本申请的一些实施例通过字段内容和过滤字段是否相同确定是否匹配,效率较高,准确度较好。
[0016]在一些实施例,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:若所述各命中次数均不小于所述各命中阈值,则确认生成告警事件;若所述各命中次数中存在至少一个命中次数小于对应的命中阈值,则确认不生成告警事件。
[0017]本申请的一些实施例通过各命中次数和各命中阈值进行对比,可以确定是否生成告警事件,效率较高,准确度较好。
[0018]在一些实施例,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:在所述时间阈值内,若所述各命中次数均不小于所述各命中阈值,则确定生成一条告警事件。
[0019]本申请的一些实施例通过在时间阈值内只生成一条告警事件,有效避免了重复告警。
[0020]在一些实施例,所述字段内容和所述过滤字段为目的端口号、目的地址和数据库名称中的至少一种,所述目标字段为源地址或所述目的地址。
[0021]在一些实施例,所述关联分析规则包括多个过滤器,其中,所述确认所述审计事件的字段内容与所述各过滤字段相匹配,包括:判断所述审计事件的字段内容是否与第i过滤器的过滤字段匹配;若匹配,则统计所述审计事件的目标字段的命中次数;若不匹配,则将所述审计事件的字段内容与第i+1过滤器的过滤字段进行下一次匹配。
[0022]本申请的一些实施例通过在第i过滤器未匹配成功的前提下进入第i+1过滤器进行下一次匹配,可以实现对审计事件的全面分析,准确度较高。
[0023]第二方面,本申请的一些实施例提供了一种生成告警事件的装置,包括:确定模块,用于确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,其中,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;统计模块,用于在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;生成模块,用于根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。
[0024]第三方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现如第一方面任一实施例所述的方法。
[0025]第四方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如第一方面任一实施例所述的方法。
[0026]第五方面,本申请的一些实施例提供一种计算机程序产品,所述的计算机程序产
品包括计算机程序,其中,所述的计算机程序被处理器执行时可实现如第一方面任一实施例所述的方法。
附图说明
[0027]为了更清楚地说明本申请的一些实施例的技术方案,下面将对本申请的一些实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0028]图1为本申请的一些实施例提供的生成告警事件的系统图;
[0029]图2为本申请的一些实施例提供的生成告警事件的方法流程图之一;
[0030]图3为本申请的一些实施例提供的生成告警事件的方法流程图之二;
[0031]图4为本申请的一些实施例提供的生成告警事件的装置组成框图;
[0032]图5为本申请的一些实施例提供的一种电子设备示意图。
具体实施方式
[0033]下面将结合本申请的一些实施例中的附图,对本申请的一些实施例中的技术方案进行描述。
[0034]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种生成告警事件的方法,其特征在于,包括:确定对审计事件分析的关联分析规则,其中,所述关联分析规则由至少一个过滤器组成,所述至少一个过滤器中各个过滤器配置有各过滤字段和目标字段的各命中阈值;在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数;根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件。2.如权利要求1所述的方法,其特征在于,所述字段内容和所述目标字段为相同字段或不同字段。3.如权利要求1或2所述的方法,其特征在于,所述各个过滤器还配置有时间阈值,其中,所述统计所述审计事件的目标字段的各命中次数,包括:在所述时间阈值内,统计所述各命中次数。4.如权利要求1或2所述的方法,其特征在于,所述审计事件是通过采集镜像流量生成的。5.如权利要求1或2所述的方法,其特征在于,所述在确认所述审计事件的字段内容与所述各过滤字段相匹配的情况下,统计所述审计事件的目标字段的各命中次数,包括:提取所述审计事件中的各字段内容;若所述各字段内容与所述各过滤字段相同,则确认所述各字段内容与所述各过滤字段相匹配,并且所述审计事件的目标字段的各命中次数增一。6.如权利要求1或2所述的方法,其特征在于,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:若所述各命中次数均不小于所述各命中阈值,则确认生成告警事件;若所述各命中次数中存在至少一个命中次数小于对应的命中阈值,则确认不生成告警事件。7.如权利要求3所述的方法,其特征在于,所述根据所述各命中次数和所述各命中阈值,确定是否对所述审计事件生成告警事件,包括:在所述...
【专利技术属性】
技术研发人员:喻威,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。