本申请公开一种告警数据的过滤方法、装置、设备及存储介质,涉及网络安全技术领域,能够从海量的告警数据中确定出真正有效的告警,进而可以提高网络攻击行为的处理效率。具体方案包括:获取预设周期内的多个告警数据,告警数据中包括攻击类型,攻击数据和源地址,攻击数据中包括请求数据和返回数据,源地址为发送请求数据的地址;根据攻击类型确定告警数据是否为告警误报,并得到第一确定结果,根据源地址确定告警数据是否为告警误报,并得到第二确定结果,根据攻击类型、请求数据和返回数据确定告警数据是否为告警误报,并得到第三确定结果;根据第一确定结果、第二确定结果和第三确定结果,确定告警数据是否为告警误报,并将告警误报进行过滤。警误报进行过滤。警误报进行过滤。
【技术实现步骤摘要】
一种告警数据的过滤方法、装置、设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种告警数据的过滤方法、装置、设备及存储介质。
技术介绍
[0002]随着网络安全行业的不断发展,攻防对抗技术也变得愈发激烈,新的攻击方式、攻击手法和攻击团队层出不穷。为了应对这些层出不穷的网络攻击,各种安全防御产品也应运而生,但同时也产生海量的告警数据。而由于目前安全产品对告警判断本身的技术缺陷,导致近90%的告警属于无效告警,这些无效告警被称为“告警噪音”,因此如何从海量的告警数据中筛选出真正有攻击行为的有效告警成为亟待解决的问题。
[0003]现有技术中,通常是在获取到一条告警数据后,根据人工经验来对告警数据进行分析,从而确定该告警数据为有效告警还是无效告警。然而网络攻击产生的告警数据一般数量较大,因此安全管理人员很难从海量的告警数据中筛选出有效告警数据,进而导致无法快速有效地进行安全响应处理。
技术实现思路
[0004]本申请提供一种告警数据的过滤方法、装置、车辆及存储介质,能够从海量的告警数据中确定出真正有效的告警,进而可以提高网络攻击行为的处理效率。
[0005]为达到上述目的,本申请采用如下技术方案:
[0006]本申请实施例第一方面,提供一种告警数据的过滤方法,该方法包括:
[0007]获取预设周期内的多个告警数据,告警数据中包括攻击类型,攻击数据和源地址,攻击数据中包括请求数据和返回数据,源地址为发送请求数据的地址;
[0008]根据攻击类型确定告警数据是否为告警误报,并得到第一确定结果,根据源地址确定告警数据是否为告警误报,并得到第二确定结果,根据攻击类型、请求数据和返回数据确定告警数据是否为告警误报,并得到第三确定结果;
[0009]根据第一确定结果、第二确定结果和第三确定结果,确定告警数据是否为告警误报,并将告警误报从多个告警数据中过滤。
[0010]在一个实施例中,获取预设周期内的多个告警数据之前,方法还包括:
[0011]获取电子设备中安全防护模块的历史告警数据;
[0012]根据历史告警数据确定出安全防护模块的错误告警数据,并根据错误告警数据得到安全防护模块的误检攻击类型。
[0013]在一个实施例中,根据攻击类型确定告警数据是否为告警误报,并得到第一确定结果,包括:
[0014]若攻击类型为误检攻击类型,则第一确定结果为告警数据为告警误报。
[0015]在一个实施例中,根据源地址确定告警数据是否为告警误报,并得到第二确定结果,包括:
[0016]若源地址属于预设的白名单地址,且源地址不属于预设的危险名单地址,则第二确定结果为告警数据为告警误报;其中,危险名单地址为威胁情报库标记的危险名单地址。
[0017]在一个实施例中,根据攻击类型、请求数据和返回数据确定告警数据是否为告警误报,并得到第三确定结果,包括:
[0018]若攻击类型为预设的参考攻击类型,则确定返回数据中是否包括请求数据期望的返回参数;
[0019]若返回数据中不包括请求数据期望的返回参数,则确定第三确定结果为告警数据为告警误报。
[0020]在一个实施例中,根据第一确定结果、第二确定结果和第三确定结果,确定告警数据是否为告警误报,包括:
[0021]若第一确定结果、第二确定结果和第三确定结果中存在任一确定结果指示告警数据为告警误报,则确定告警数据为告警误报。
[0022]在一个实施例中,根据第一确定结果、第二确定结果和第三确定结果,确定告警数据是否为告警误报之后,方法还包括:
[0023]若确定告警数据为告警误报,则将告警数据标记为第一标签;
[0024]若确定告警数据为有效告警,则将告警数据标记为第二标签,并向目标终端发送预警提示信息。
[0025]本申请实施例第二方面,提供一种告警数据的过滤装置,位于电子设备,装置包括:
[0026]获取模块,用于获取预设周期内的多个告警数据,告警数据中包括攻击类型,攻击数据和源地址,攻击数据中包括请求数据和返回数据,源地址为发送请求数据的地址;
[0027]第一确定模块,用于根据攻击类型确定告警数据是否为告警误报,并得到第一确定结果,根据源地址确定告警数据是否为告警误报,并得到第二确定结果,根据攻击类型、请求数据和返回数据确定告警数据是否为告警误报,并得到第三确定结果;
[0028]第二确定模块,用于根据第一确定结果、第二确定结果和第三确定结果,确定告警数据是否为告警误报,并将告警误报从多个告警数据中过滤。
[0029]本申请实施例第三方面,提供一种电子设备,该电子设备包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时实现本申请实施例第一方面任一告警数据的过滤方法。
[0030]本申请实施例第四方面,提供一种计算机可读存储介质,其特征在于,其上存储有计算机程序,计算机程序被处理器执行时实现本申请实施例第一方面任一告警数据的过滤方法。
[0031]本申请实施例提供的技术方案带来的有益效果至少包括:
[0032]本申请实施例提供的告警数据的过滤方法,通过获取预设周期内的多个告警数据,告警数据中包括攻击类型,攻击数据和源地址,攻击数据中包括请求数据和返回数据,源地址为发送请求数据的地址;根据攻击类型确定告警数据是否为告警误报,并得到第一确定结果,根据源地址确定告警数据是否为告警误报,并得到第二确定结果,根据攻击类型、请求数据和返回数据确定告警数据是否为告警误报,并得到第三确定结果;根据第一确定结果、第二确定结果和第三确定结果,确定告警数据是否为告警误报,并将告警误报从多
个告警数据中过滤。这样可以快速的从海量的告警数据中确定出真正有效的告警,并可以消除告警误报的告警噪音,进而可以提高对网络攻击行为的修复处理效率。
附图说明
[0033]图1为本申请实施例提供的一种服务器的内部结构示意图;
[0034]图2为本申请实施例提供的一种告警数据的过滤方法的流程图;
[0035]图3为本申请实施例提供的一种告警数据的过滤装置的结构图。
具体实施方式
[0036]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0037]以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
[0038]另外,“基于”或“根据”的使用意味着开放和包容性,因为“基于”或“根据”一个或多个条件或值的过程、步骤、计本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警数据的过滤方法,其特征在于,应用于电子设备,所述方法包括:获取预设周期内的多个告警数据,所述告警数据中包括攻击类型,攻击数据和源地址,所述攻击数据中包括请求数据和返回数据,所述源地址为发送所述请求数据的地址;根据所述攻击类型确定所述告警数据是否为告警误报,并得到第一确定结果,根据所述源地址确定所述告警数据是否为告警误报,并得到第二确定结果,根据所述攻击类型、所述请求数据和所述返回数据确定所述告警数据是否为告警误报,并得到第三确定结果;根据所述第一确定结果、所述第二确定结果和所述第三确定结果,确定所述告警数据是否为告警误报,并将确定出的告警误报从所述多个告警数据中过滤。2.根据权利要求1所述的方法,其特征在于,所述获取预设周期内的多个告警数据之前,所述方法还包括:获取所述电子设备中安全防护模块的历史告警数据;根据所述历史告警数据确定出所述安全防护模块的错误告警数据,并根据所述错误告警数据得到所述安全防护模块的误检攻击类型。3.根据权利要求2所述的方法,其特征在于,所述根据所述攻击类型确定所述告警数据是否为告警误报,并得到第一确定结果,包括:若所述攻击类型为所述误检攻击类型,则所述第一确定结果为所述告警数据为告警误报。4.根据权利要求1所述的方法,其特征在于,所述根据所述源地址确定所述告警数据是否为告警误报,并得到第二确定结果,包括:若所述源地址属于预设的白名单地址,且所述源地址不属于预设的危险名单地址,则所述第二确定结果为所述告警数据为告警误报;其中,所述危险名单地址为威胁情报库标记的危险名单地址。5.根据权利要求1所述的方法,其特征在于,所述根据所述攻击类型、所述请求数据和所述返回数据确定所述告警数据是否为告警误报,并得到第三确定结果,包括:若所述攻击类型为预设的参考攻击类型,则确定所述返回数据中是否包括所述请求数据期望的返回参数;若所述返回数据中不包括所述请求数据期望的返回参数,则确定所述第...
【专利技术属性】
技术研发人员:孙威,童小敏,郑玮,
申请(专利权)人:西安四叶草信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。