【技术实现步骤摘要】
识别同源告警数据的方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种识别同源告警数据的方法、装置、电子设备及存储介质。
技术介绍
[0002]所谓告警关联分析,是指从告警数据库中提取出与当前告警同源的告警,进而将当前告警与同源告警聚合在一起进行研判。这样,能够更加全面的分析出攻击者的信息,从而对网络进行更为有效的保护。
[0003]目前,从告警数据库中提取出与当前告警同源的告警,主要使用单一维度的参数。这里的参数可以是以往发现的攻击者的特征,例如:攻击者的网际互连协议(Internet Protocol,IP)地址、攻击者的域名或者攻击者散布的恶意文件等。以使用某个攻击者的IP为例,假设当前接收到一条告警,首先分析出该告警中提供的攻击者的IP地址,然后将该IP地址与告警数据库中各告警中的IP地址进行匹配,当匹配成功时,说明数据库中匹配成功的IP地址对应的告警就是与当前接收的告警同源的告警。
[0004]但是,攻击者为了避免被发现,其IP地址往往每隔一段时间就会更换。这就导致对...
【技术保护点】
【技术特征摘要】
1.一种识别同源告警数据的方法,其特征在于,所述方法包括:接收当前告警数据;从所述当前告警数据中提取多个维度的特征,所述多个维度的特征为所述当前告警数据所归属数据源的不变特征;将提取的多个维度的特征与告警数据库中各个告警数据的所述多个维度的特征进行相似度计算,得到所述当前告警数据与所述告警数据库中各个告警数据的相似度;将相似度大于预设相似度的所述告警数据库中的告警数据作为与所述当前告警数据同源的告警数据。2.根据权利要求1所述的方法,其特征在于,所述将提取的多个维度的特征与告警数据库中各个告警数据的所述多个维度的特征进行相似度计算,得到所述当前告警数据与所述告警数据库中各个告警数据的相似度,包括:确定所述多个维度的特征在每个维度上的标准特征,所述标准特征为所述当前告警数据所归属数据源的标准数据特征;将提取的多个维度的特征按照相应维度的标准特征进行转换,得到当前告警数据的向量;将当前告警数据的向量与告警数据库中各个告警数据按照所述相应维度的标准特征转换成的向量进行相似度计算,得到所述当前告警数据与所述告警数据库中各个告警数据的相似度。3.根据权利要求2所述的方法,其特征在于,每个维度的特征通过特征值进行表征,所述将提取的多个维度的特征按照所述相应维度的标准特征进行转换,得到当前告警数据的向量,包括:判断提取的每个维度的特征与相应维度的标准特征是否一致;若是,则将当前维度特征对应的特征值设置为第一预设值;若否,则将当前维度特征对应的特征值设置为第二预设值,其中,所述第一预设值大于所述第二预设值;将每个维度特征对应的第一预设值或第二预设值所构成的向量,作为当前告警数据的向量。4.根据权利要求2所述的方法,其特征在于,所述将提取的多个维度的特征按照所述相应维度的标准特征进行转换,得到当前告警数据的向量,包括:确定提取的每个维度的特征与相应维度的标准特征的相似程度;基于每个维度的相似程度确定相应维度特征对应的特征值,其中,相似程度越高,相应维度的特征值越大;将每个维度特征对应的特征值所构成的向量,作为当前告警数据的向量。5.根据权利要求1所述的方法,其特征在于,所述从所述当前告警数据中提取多个维度的特征,包括:判断当前告警数据中是否存在每个维度上的标准特征,所述标准特征为所述当前告警...
【专利技术属性】
技术研发人员:高羽,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。