【技术实现步骤摘要】
一种告警识别方法、装置及相关设备
[0001]本申请涉及网络安全
,特别涉及一种告警识别方法,还涉及一种告警识别装置、系统及计算机可读存储介质。
技术介绍
[0002]安全设备在运行过程中,其检测引擎每天都会产生海量告警,这些告警涉及大量实体,让安全运营人员无从下手,导致真实攻击被挖掘的难度大大增加,进而对客户造成安全隐患。因此,从海量告警日志中消除具有周期性的业务误报带来的安全告警是非常有价值的,能够有效降低后续环节检测失陷主机及黑客攻击链的误报率。
[0003]传统技术所采用的周期性告警消减技术大都使用欧氏距离,但是,该种实现方式要求用于计算欧氏距离的时间序列等长,即只能检出长度完全相同的时序数据,在实际应用中会造成很多漏检,例如,当具有周期性规律的时间序列中的某一个告警发生了偏移时,将无法计算其欧式距离造成漏检,而对于长度不相同的两个时序数据也无法计算其欧氏距离造成漏检。
[0004]因此,如何实现更为准确的告警识别,筛除误报告警以有效降低误报率是本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种告警识别方法,该告警识别方法可以实现更为准确的告警识别,筛除误报告警以有效降低误报率;本申请的另一目的是提供一种告警识别装置、系统及计算机可读存储介质,均具有上述有益效果。
[0006]第一方面,本申请提供了一种告警识别方法,包括:
[0007]获取目标告警类型对应的告警数据,所述告警数据包括第一时间维度序列和第二时间维度序列;>[0008]根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列;
[0009]对于每一所述划分参数对应的划分结果,利用动态时间规整算法计算处于相同顺序位的第一子序列和第二子序列之间的相似度;
[0010]根据所有所述划分参数对应的所有所述相似度确定告警识别结果
[0011]优选的,所述根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列之前,还包括:
[0012]获取所述第一时间维度序列和所述第二时间维度序列中各所述告警数据的攻击状态;
[0013]根据各所述攻击状态对所述第一时间维度序列和所述第二时间维度序列中的各所述告警数据进行标准化处理,获得第一标准化序列和第二标准化序列;
[0014]相应地,所述根据预设划分参数区间内的每一划分参数,将所述第一时间维度序
列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列,包括:
[0015]根据所述预设划分参数区间内的每一所述划分参数,将所述第一标准化序列划分为多个第一子序列,将所述第二标准化序列划分为多个第二子序列。
[0016]优选的,所述获取所述第一时间维度序列和所述第二时间维度序列中各所述告警数据的攻击状态,包括:
[0017]统计所述第一时间维度序列和所述第二时间维度序列中各所述告警数据对应的流量数据;
[0018]利用预设攻击识别规则对各所述流量数据进行识别,获得各所述告警数据的攻击状态。
[0019]优选的,所述根据各所述攻击状态对所述第一时间维度序列和所述第二时间维度序列中的各所述告警数据进行标准化处理,获得第一标准化序列和第二标准化序列,包括:
[0020]当所述攻击状态为发生攻击时,将所述攻击状态对应的告警数据置换为第一标志值;
[0021]当所述攻击状态为未发生攻击时,将所述攻击状态对应的告警数据置换为第二标志值;
[0022]根据所述第一标志值和所述第二标志值生成所述第一时间维度序列对应的第一标准化序列,和所述第二时间维度序列对应的第二标准化序列。
[0023]优选的,所述根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列,包括:
[0024]在所述预设划分参数区间内,按照由大到小的遍历顺序获取所述划分参数;
[0025]按照各所述划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列。
[0026]优选的,所述根据所有所述划分参数对应的所有所述相似度确定告警识别结果,包括:
[0027]当所有所述相似度均未超出预设阈值时,确定所述目标告警类型的告警为正常告警;
[0028]当存在任一所述相似度超出所述预设阈值时,确定所述目标告警类型的告警为误报告警。
[0029]优选的,所述获取目标告警类型对应的告警数据,包括:
[0030]获取预设采集规则;
[0031]根据所述预设采集规则确定目标设备和所述目标告警类型;
[0032]在所述目标设备中采集获得所述目标告警类型对应的所述告警数据。
[0033]第二方面,本申请还公开了一种告警识别装置,包括:
[0034]获取模块,用于获取目标告警类型对应的告警数据,所述告警数据包括第一时间维度序列和第二时间维度序列;
[0035]划分模块,用于根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列;
[0036]计算模块,用于对于每一所述划分参数对应的划分结果,利用动态时间规整算法计算处于相同顺序位的第一子序列和第二子序列之间的相似度;
[0037]识别模块,用于根据所有所述划分参数对应的所有所述相似度确定告警识别结果。
[0038]第三方面,本申请还公开了一种告警识别系统,包括:
[0039][0040]存储器,用于存储计算机程序;
[0041]处理器,用于执行所述计算机程序时实现如上所述的任一种告警识别方法的步骤。
[0042]第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种告警识别方法的步骤。
[0043]本申请所提供的一种告警识别方法,包括:获取目标告警类型对应的告警数据,所述告警数据包括第一时间维度序列和第二时间维度序列;根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列;对于每一所述划分参数对应的划分结果,利用动态时间规整算法计算处于相同顺序位的第一子序列和第二子序列之间的相似度;根据所有所述划分参数对应的所有所述相似度确定告警识别结果。
[0044]可见,本申请所提供的告警识别方法,先统计获取需要进行识别的告警类型(即目标告警类型)的告警数据,得到不同时间维度的数据序列,即第一时间维度序列和第二时间维度序列,然后按照不同的序列划分参数对二者进行划分,并利用动态时间规整算法依次计算每两个子序列之间的相似度,最后根据所有的相似度计算结果本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警识别方法,其特征在于,包括:获取目标告警类型对应的告警数据,所述告警数据包括第一时间维度序列和第二时间维度序列;根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列;对于每一所述划分参数对应的划分结果,利用动态时间规整算法计算处于相同顺序位的第一子序列和第二子序列之间的相似度;根据所有所述划分参数对应的所有所述相似度确定告警识别结果。2.根据权利要求1所述的告警识别方法,其特征在于,所述根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列之前,还包括:获取所述第一时间维度序列和所述第二时间维度序列中各所述告警数据的攻击状态;根据各所述攻击状态对所述第一时间维度序列和所述第二时间维度序列中的各所述告警数据进行标准化处理,获得第一标准化序列和第二标准化序列;相应地,所述根据预设划分参数区间内的每一划分参数,将所述第一时间维度序列划分为多个第一子序列,将所述第二时间维度序列划分为多个第二子序列,包括:根据所述预设划分参数区间内的每一所述划分参数,将所述第一标准化序列划分为多个第一子序列,将所述第二标准化序列划分为多个第二子序列。3.根据权利要求2所述的告警识别方法,其特征在于,所述获取所述第一时间维度序列和所述第二时间维度序列中各所述告警数据的攻击状态,包括:统计所述第一时间维度序列和所述第二时间维度序列中各所述告警数据对应的流量数据;利用预设攻击识别规则对各所述流量数据进行识别,获得各所述告警数据的攻击状态。4.根据权利要求2所述的告警识别方法,其特征在于,所述根据各所述攻击状态对所述第一时间维度序列和所述第二时间维度序列中的各所述告警数据进行标准化处理,获得第一标准化序列和第二标准化序列,包括:当所述攻击状态为发生攻击时,将所述攻击状态对应的告警数据置换为第一标志值;当所述攻击状态为未发生攻击时,将所述攻击状态对应的告警数据置换为第二标志值;根据所述第一标志值和所述第二标志值生...
【专利技术属性】
技术研发人员:宁阳,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。