本申请公开了一种告警消减方法、系统、设备及计算机可读存储介质,获取多个原始告警信息;对原始告警信息进行聚合,得到目标告警信息;对目标告警信息进行告警评价,得到评价结果。本申请中,在获取多个原始告警信息之后,需对原始告警信息进行聚合,得到目标告警信息,实现了通过聚合来对原始告警信息的数据进行缩减;这样,后续对目标告警信息进行告警评价,得到评价结果的话,可以快速对告警进行处理。本申请提供的一种告警消减系统、设备及计算机可读存储介质也解决了相应技术问题。可读存储介质也解决了相应技术问题。可读存储介质也解决了相应技术问题。
【技术实现步骤摘要】
一种告警消减方法、系统、设备及计算机可读存储介质
[0001]本申请涉及计算机
,更具体地说,涉及一种告警消减方法、系统、设备及计算机可读存储介质。
技术介绍
[0002]随着互联网+和信息化的发展,网络攻击越来越普遍,造成的威胁也来越严重。企业为了减少损失,也开始重视和大量投入安全建设。企业根据不同需求购买多种不同功能的安全软件,例如防火墙、上网行为管理、终端安全、数据库安全等等。这些系统及系统中的程序在运作时都会产生记录事件的日志或告警,每一条日志都记载着日期、时间、运行事件、事件发起方等相关信息的描述。此外,无论多么复杂的病毒,在入侵电脑或者系统的时候总归会在日志中留下蛛丝马迹,因此,运维人员对日志进行分析有利于发现攻击,保护网络上的设备。
[0003]但是,随着企业对微服务架构、云原生的运用日渐成熟,IT架构越来越复杂,日志产生速度加快、数据量巨大,无法靠人工分析如此巨量的数据,也不能靠人工直接识别日志数据中的大多数独特的内容。造成了对日志内容进行分析发现问题越来越困难。
[0004]综上所述,如何快速进行告警处理是目前本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种告警消减方法,其能在一定程度上解决如何快速进行告警处理的技术问题。本申请还提供了一种日志消减系统、设备及计算机可读存储介质。
[0006]为了实现上述目的,本申请提供如下技术方案:
[0007]一种告警消减方法,包括:
[0008]获取多个原始告警信息;
[0009]对所述原始告警信息进行聚合,得到目标告警信息;
[0010]对所述目标告警信息进行告警评价,得到评价结果。
[0011]优选的,所述对所述目标告警信息进行告警评价,得到评价结果,包括:
[0012]对所述目标告警信息进行误报识别,得到误报识别结果;
[0013]对所述目标告警信息进行攻击判定,得到攻击判定结果;
[0014]将所述误报识别结果及所述攻击判定结果作为所述评价结果。
[0015]优选的,所述对所述目标告警信息进行误报识别,得到误报识别结果,包括:
[0016]确定所述目标告警信息中的相似告警数量、相似告警频率、事件信息;
[0017]确定所述相似告警数量、相似告警频率各自的同比变化信息及环比变化信息;
[0018]基于所述同比变化信息、所述环比变化信息及所述事件信息进行误报识别,得到所述误报识别结果。
[0019]优选的,所述对所述原始告警信息进行聚合,得到目标告警信息,包括:
[0020]基于去重法对所述原始告警信息进行聚合,得到所述目标告警信息。
[0021]优选的,所述对所述原始告警信息进行聚合,得到目标告警信息,包括:
[0022]基于语义相似性聚合法对所述原始告警信息进行聚合,得到所述目标告警信息。
[0023]优选的,所述对所述原始告警信息进行聚合,得到目标告警信息,包括:
[0024]基于k
‑
mean法对所述原始告警信息进行聚合,得到所述目标告警信息。
[0025]优选,所述对所述原始告警信息进行聚合,得到目标告警信息,包括:
[0026]基于事件归并法对所述原始告警信息进行聚合,得到所述目标告警信息。
[0027]一种告警消减系统,包括:
[0028]第一获取模块,用于获取多个原始告警信息;
[0029]第一聚合模块,用于对所述原始告警信息进行聚合,得到目标告警信息;
[0030]第一评价模块,用于对所述目标告警信息进行告警评价,得到评价结果。
[0031]一种电子设备,其特征在于,包括:
[0032]存储器,用于存储计算机程序;
[0033]处理器,用于执行所述计算机程序时实现如上任一所述告警消减方法的步骤。
[0034]一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述告警消减方法的步骤。
[0035]本申请提供的一种告警消减方法,获取多个原始告警信息;对原始告警信息进行聚合,得到目标告警信息;对目标告警信息进行告警评价,得到评价结果。本申请中,在获取多个原始告警信息之后,需对原始告警信息进行聚合,得到目标告警信息,实现了通过聚合来对原始告警信息的数据进行缩减;这样,后续对目标告警信息进行告警评价,得到评价结果的话,可以快速对告警进行处理。本申请提供的一种告警消减系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
[0036]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0037]图1为本申请实施例提供的一种告警消减方法的流程图;
[0038]图2为本申请实施例提供的一种告警消减方法的另一流程图;
[0039]图3为本申请实施例提供的一种告警消减系统的流程图;
[0040]图4为本专利技术实施例电子设备的硬件组成结构示意图。
具体实施方式
[0041]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0042]随着互联网+和信息化的发展,网络攻击越来越普遍,造成的威胁也来越严重。企业为了减少损失,也开始重视和大量投入安全建设。企业根据不同需求购买多种不同功能
的安全软件,例如防火墙、上网行为管理、终端安全、数据库安全等等。这些系统及系统中的程序在运作时都会产生记录事件的日志或告警,每一条日志都记载着日期、时间、运行事件、事件发起方等相关信息的描述。此外,无论多么复杂的病毒,在入侵电脑或者系统的时候总归会在日志中留下蛛丝马迹,因此,运维人员对日志进行分析有利于发现攻击,保护网络上的设备。但是,随着企业对微服务架构、云原生的运用日渐成熟,IT架构越来越复杂,日志产生速度加快、数据量巨大,无法靠人工分析如此巨量的数据,也不能靠人工直接识别日志数据中的大多数独特的内容。造成了对日志内容进行分析发现问题越来越困难。因此,为了快速进行告警处理,本申请提供了一种告警消减方案。
[0043]请参阅图1,图1为本申请实施例提供的一种告警消减方法的流程图。
[0044]本申请实施例提供的一种告警消减方法,可以包括以下步骤:
[0045]步骤S101:获取多个原始告警信息。
[0046]实际应用中,可以先获取多个原始告警信息,原始告警信息的类型可以根据实际需要确定,本申请在此不做具体限定本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警消减方法,其特征在于,包括:获取多个原始告警信息;对所述原始告警信息进行聚合,得到目标告警信息;对所述目标告警信息进行告警评价,得到评价结果。2.根据权利要求1所述的方法,其特征在于,所述对所述目标告警信息进行告警评价,得到评价结果,包括:对所述目标告警信息进行误报识别,得到误报识别结果;对所述目标告警信息进行攻击判定,得攻击到判定结果;将所述误报识别结果及所述攻击判定结果作为所述评价结果。3.根据权利要求2所述的方法,其特征在于,所述对所述目标告警信息进行误报识别,得到误报识别结果,包括:确定所述目标告警信息中的相似告警数量、相似告警频率、事件信息;确定所述相似告警数量、相似告警频率各自的同比变化信息及环比变化信息;基于所述同比变化信息、所述环比变化信息及所述事件信息进行误报识别,得到所述误报识别结果。4.根据权利要求1所述的方法,其特征在于,所述对所述原始告警信息进行聚合,得到目标告警信息,包括:基于去重法对所述原始告警信息进行聚合,得到所述目标告警信息。5.根据权利要求1所述的方法,其特征在于,所述对所述原始告警信息进行聚合,得到目标告...
【专利技术属性】
技术研发人员:董枫,曹锦新,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。