一种多源告警关联分析方法及装置制造方法及图纸

本申请涉及网络安全技术领域，尤其涉及一种多源告警关联分析方法及装置。根据关系三元组集合建立知识图谱。其中，知识图谱用于指示第一类型的告警信息和第二类型的告警信息之间的关系。根据接收到的第一类告警信息，确定第一向量和第二向量。根据第一向量和第二向量，确定目标向量。根据知识图谱的实体集合或关系集合获取多个潜在目标向量。确定目标向量和各个潜在目标向量之间的相似度。根据上述相似度，从多个潜在目标向量中确定关系三元组对应的第三向量。其中，第三向量与目标向量之间的相似度最高。上述方案，突破了传统告警分析方法仅适用于单一类型告警的局限性，在告警关联分析时避免了人工研判的效率问题，提高告警关联分析的效率。关联分析的效率。关联分析的效率。

【技术实现步骤摘要】
一种多源告警关联分析方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种多源告警关联分析方法及装置。

技术介绍

[0002]现有技术中，对于告警关联分析，一种是基于单一类型数据的统计挖掘，但是面对多源异构的告警信息，该方法无法确定多源异构的告警信息之间的关系，导致用户无法及时把控系统全局信息安全态势，制约了安全监测工作效率的提升。例如，在工业控制系统安全领域中，单一地基于网络状态数据进行异常分析无法满足安全分析的需要。另一种是基于人工分析得到告警信息之间的关系，但是面对海量的告警信息，人工分析的时间较长且效率低。
[0003]因此，在提高告警关联分析效率的基础上，如何对多源异构的告警信息进行关联分析是一种值得商榷的问题。

技术实现思路

[0004]本申请提供一种多源告警关联分析方法及装置，用以解决不同类型的告警信息关联分析的问题，提高告警关联分析效率。
[0005]第一方面，本申请提出了一种多源告警关联分析方法。该方法中，根据接收到的第一类告警信息，确定第一向量和第二向量。其中，第一类告警信息在关系三元组中实体的向量表示第一向量，关系三元组中实体或关系的向量表示第二向量。根据第一向量和第二向量，确定关系三元组中待推理的实体或关系的目标向量。根据知识图谱的实体集合或关系集合获取多个潜在目标向量。知识图谱用于指示第一类型的告警信息和第二类型的告警信息之间的关系。确定目标向量和各个潜在目标向量之间的相似度。根据相似度，从多个潜在目标向量中确定关系三元组对应的第三向量。其中，第三向量与目标向量之间的相似度最高。
[0006]上述方法中，由于第一向量对应的告警信息的类型，与目标第三向量或第二向量对应的告警信息的类型可以不同，因此，相较于现有技术从单一类型的告警信息中对告警进行关联分析，本申请突破了传统告警分析方法仅适用于单一类型告警的局限性，解决了对多源异构的告警信息的关联分析的问题。同时，相较于人工对告警进行关联分析，本申请通过已知的第一向量，以及第二向量进行关联分析，可以提高告警关联分析效率，较好地辅助用户决策安全防护策略，对后续的预防告警发生具有指导意义，具备良好应用推广价值。
[0007]可选的，根据第一向量和第二向量，确定目标向量，具体包括：将第一向量和第二向量做加法运算或减法运算，确定目标向量。
[0008]上述方法中，通过第一向量和第二向量确定目标向量。便于后续可以通过目标向量计算目标向量与第三向量之间的相似度，确定目标第三向量。
[0009]可选的，上述方法还包括：获取关系三元组集合。其中，关系三元组集合包含的任意一个关系三元组包括两个实体以及两个实体之间的关系。其中，两个实体分别用于指示
第一类型的告警信息和第二类型的告警信息。将关系三元组集合中包含的任意一个实体作为起始点，将关系三元组集合中包含的与起始点具有关系的实体作为下一个节点，连接起始点和下一个节点。将下一个节点作为新的起始点，返回执行连接起始点和下一个节点，直至关系三元组集合中不存在与起始点具有关系的实体，得到知识图谱。将知识图谱包含的实体进行向量化，得到实体集合。将知识图谱包含的关系进行向量化，得到关系集合。其中，在第二向量是向量化后的知识图谱中的实体的情况下，第三向量是向量化后的知识图谱中的关系，或，在第二向量是向量化后的知识图谱中的关系的情况下，第三向量是向量化后的知识图谱中的实体。
[0010]上述方法中，通过关系三元组集合构建知识图谱，可以直观的展现出不同类型的告警信息之间的关系，满足用户直观展示告警信息之间的关系的需求。将知识图谱向量化，便于后续根据向量化后的知识图谱，计算目标向量与第三向量之间的相似度，确定目标第三向量。
[0011]可选的，根据接收到的第一类告警信息，确定第一向量和第二向量，具体包括：根据第一类告警信息，从实体集合中确定第一类告警信息对应的第一向量。实体集合中包含第一类告警信息和第一向量之间的对应关系。接收用户设置的第二向量，第二向量是实体集合中包含的第二类型的告警信息所对应的第二向量。实体集合中还包含第二类告警信息和第二向量之间的对应关系。多个潜在目标向量是关系集合中包含的关系的子集。
[0012]上述方法中，通过表示第一类型告警信息的第一向量，以及表示第二类型的告警信息的第二向量，确定第一向量与第二向量之间的关系即目标第三向量，可以帮助用户精准定位告警信息之间的关系，便于后续依据分析结果进行相关防护决策和分析。通过对不同类型的告警信息进行关联分析，解决了海量的多源异构告警需要关联分析的问题。
[0013]可选的，根据接收到的第一类告警信息，确定第一向量和第二向量，还包括：根据第一类告警信息，从实体集合中确定第一类告警信息对应的第一向量。接收用户设置的第二向量，第二向量是关系集合中包含的关系所对应的第二向量。多个潜在目标向量是实体集合中包含的第二类型的告警信息的子集。
[0014]上述方法中，通过表示第一类型告警信息的第一向量，以及表示关系的第二向量，确定表示第二类型告警信息的目标第三向量，帮助用户精准定位与第一类型相关联的告警信息。便于根据已知情形，为用户提供有价值的信息，相较于人工推理告警信息之间的关系，可以缩短告警信息的处理时间。
[0015]第二方面，本申请实施例提供一种多源告警关联分析装置，包括：
[0016]确定单元，用于根据接收到的第一类告警信息，确定第一向量和第二向量；第一类告警信息在关系三元组中实体的向量表示第一向量，关系三元组中实体或关系的向量表示第二向量；
[0017]确定单元，还用于根据第一向量和第二向量，确定关系三元组中待推理的实体或关系的目标向量；
[0018]获取单元，用于根据知识图谱的实体集合或关系集合获取多个潜在目标向量，知识图谱用于指示第一类型的告警信息和第二类型的告警信息之间的关系；
[0019]处理单元，用于确定目标向量和各个潜在目标向量之间的相似度；
[0020]处理单元，还用于根据相似度，从多个潜在目标向量中确定关系三元组对应的第
三向量，第三向量与目标向量之间的相似度最高。
[0021]第三方面，本申请提供了一种电子设备，包括：
[0022]存储器，用于存放计算机程序；
[0023]处理器，用于执行存储器上所存放的计算机程序时，实现上述的一种多源告警关联分析方法步骤。
[0024]第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质内存储有计算机程序，计算机程序被处理器执行时实现上述的一种多源告警关联分析方法步骤。
[0025]上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。
附图说明
[0026]图1为本申请实施例一种可选的多源告警关联分析的应用场景示意图；
[0027]图2为本申请实施例提供的一种多源告警关联分析方法流程图；
[002本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多源告警关联分析方法，其特征在于，所述方法包括：根据接收到的第一类告警信息，确定第一向量和第二向量；所述第一类告警信息在关系三元组中实体的向量表示第一向量，所述关系三元组中实体或关系的向量表示所述第二向量；根据所述第一向量和所述第二向量，确定所述关系三元组中待推理的实体或关系的目标向量；根据知识图谱的实体集合或关系集合获取多个潜在目标向量，所述知识图谱用于指示第一类型的告警信息和第二类型的告警信息之间的关系；确定所述目标向量和各个潜在目标向量之间的相似度；根据所述相似度，从所述多个潜在目标向量中确定所述关系三元组对应的第三向量，所述第三向量与所述目标向量之间的相似度最高。2.如权利要求1所述的方法，其特征在于，所述根据所述第一向量和所述第二向量，确定所述关系三元组中待推理的实体或关系的目标向量，具体包括：将所述第一向量和所述第二向量做加法运算或减法运算，确定所述目标向量。3.如权利要求1所述的方法，其特征在于，所述方法还包括：获取关系三元组集合，所述关系三元组集合包含的任意一个关系三元组包括两个实体以及所述两个实体之间的关系，所述两个实体分别用于指示第一类型的告警信息和第二类型的告警信息；将所述关系三元组集合中包含的任意一个实体作为起始点，将所述关系三元组集合中包含的与所述起始点具有所述关系的实体作为下一个节点，连接所述起始点和所述下一个节点；将所述下一个节点作为新的起始点，返回执行所述连接所述起始点和所述下一个节点，直至所述关系三元组集合中不存在与所述起始点具有关系的实体，得到知识图谱；将所述知识图谱包含的实体进行向量化，得到所述实体集合；将所述知识图谱包含的关系进行向量化，得到所述关系集合；其中，在所述第二向量是向量化后的所述知识图谱中的实体的情况下，所述第三向量是向量化后的所述知识图谱中的关系，或，在所述第二向量是向量化后的所述知识图谱中的关系的情况下，所述第三向量是向量化后的所述知识图谱中的实体。4.如权利要求1所述的方法，其特征在于，所述根据接收到的第一类告警信息，确定第一向量和第二向量，具体包括：根据所述第一类告警信息，从所述实体集合中确定所述第一类告警信息对应的所述第一向量；所述实体集合中包含所述第一类告警信息和所述第一向量之间的对应关系；接收用户设置的所述第二向量，所述第二向量是所述实体集合中包含的第二类型的告警信息所对应的第二向量；所述实体集合中还包含所述第二类告警信息和所述第二向量之间的对应关系；所述多个潜在目标向量是所述关系集合中包含的关系的子集。5.如权利要求1所述的方法，其特征在于，所述根据接收到的第一类告警信息，确定第一向量和第二向量，还包括：根据所述第一类告警信息，从所述实体集合中确定所述第一类告警信息对应的所述第
一向量；接收用户设置的所述第二向量，所述第二向量是所述关系集合中包含的关系所对应的第二向量；所述多个潜在目标向量是所述实体集合中包含的第二类型的告警信息的子集。6.一种多源告警关联分析装置，其特征在于，所述装置包括：确定单元，用于根据接收到的第一类告警信息，确定第一向量和第二向量；所述第一类告警信息在关系三元组中实体的向量表示第一向量，所述关系三元组中实体或关系的向量表示所述第二向量；所述确定单元，还用于根据所述第一向量和所述第二向量，确定所述关系三元组中待推理的实体或关系的目标向量；获取单元，用于根据知识图谱的实...

【专利技术属性】
技术研发人员：敖麒，陈景妹，叶晓虎，李凯，
申请(专利权)人：神州绿盟成都科技有限公司，
类型：发明
国别省市：