本申请提供了一种告警信息检测方法、装置、电子设备及存储介质,涉及技术领域为:网络安全技术领域,方法包括:通过获取告警信息,告警信息包括当前告警信息及历史告警信息;对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息;字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度;基于字段分析信息确定当前告警信息的误报检测结果。本申请可以较大程度的提高对告警误报的检测准确度,节省了对告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,提高了安全防护能力。提高了安全防护能力。提高了安全防护能力。
【技术实现步骤摘要】
告警信息检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种告警信息检测方法、装置、电子设备及存储介质。
技术介绍
[0002]相关技术中,告警检测平台中的网络安全产品针对不同的防护对象和部署位置,可以分为网络防火墙、应用防火墙和态势感知等。由于大多数的网络安全产品的内置规则的定义主要基于攻击者的入侵手法进行设定。一旦网络安全产品部署后,由于业务场景复杂多变,且存在着较多开发代码不规范的情况导致网络安全产品会命中海量的业务告警。由于现有的网络安全产品在面对海量的业务告警时检测业务误报的准确度较低,且会花费大量的计算资源导致忽略了真实的入侵行为告警使得安全防护功能减弱。所以技术问题是现有的告警检测平台无法精准的识别出告警误报,导致安全防护功能较弱。
技术实现思路
[0003]本申请实施例提供的一种告警信息检测方法、装置、电子设备及存储介质,可以提高识别出告警误报的精准度,进而提高了安全防护能力。
[0004]本申请的技术方案是这样实现的:
[0005]本申请实施例提供了一种告警信息检测方法,包括:
[0006]获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
[0007]对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
[0008]基于所述字段分析信息确定所述当前告警信息的误报检测结果。
[0009]本申请实施例还提供了一种告警信息检测装置,包括:
[0010]信息获取单元,用于获取告警信息,所述告警信息包括当前告警信息及历史告警信息;
[0011]分析单元,用于对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;
[0012]确定单元,用于基于所述字段分析信息确定所述当前告警信息的误报检测结果。
[0013]本申请实施例还提供了一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现告警信息检测装置一侧方法中的步骤。
[0014]本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现告警信息检测装置一侧所述方法中的步骤。
[0015]本申请实施例中,通过获取告警信息,告警信息包括当前告警信息及历史告警信
息;对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息;字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度;基于字段分析信息确定当前告警信息的误报检测结果。由于本申请中通过对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析的过程考虑到了特征字段中的各种元素,分析过程的颗粒度较细,可以很大程度的提高对告警误报的检测准确度,节省了对告警误报的资源投入量,进而投入更多的资源给真正的入侵行为告警,提高了安全防护能力。
附图说明
[0016]图1为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0017]图2为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0018]图3为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0019]图4为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0020]图5为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0021]图6为本申请实施例提供的告警信息检测方法的一个可选的效果示意图;
[0022]图7为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0023]图8为本申请实施例提供的告警信息检测方法的一个可选的流程示意图;
[0024]图9为本申请实施例提供的告警信息检测装置的结构示意图;
[0025]图10为本申请实施例提供的电子设备的一种硬件实体示意图。
具体实施方式
[0026]为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和实施例对本申请的技术方案进一步详细阐述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
[0027]在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
[0028]如果申请文件中出现“第一/第二”的类似描述则增加以下的说明,在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
[0029]除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的
的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
[0030]相关技术中,在检测业务告警误报的过程中通常采用如下两种方案:
[0031]1、通过网络安全产品检测误报:由于大多数的网络安全产品的内置规则的定义主要基于攻击者的入侵手法进行建立设定。一旦网络安全产品部署到实际的网络当中由于业务场景复杂多变、且存在着较多开发代码不规范的情况、会导致网络安全产品命中海量的
业务告警。迫使安全产品花费大量的资源在分析业务误报上从而忽略了真实的入侵行为、降低了安全防护功能。
[0032]2、通过规则加白检测误报:可通过网络安全产品的功能对当前的告警进行加白处理,由于网络安全产品设计原因,会导致部分真实攻击行为告警也被加白后从而忽略了真实的入侵的行为。且由于业务的调整变化,历史基于规则的告警加白可能会实效导致加白工作重复进行,在海量告警的现况下安全运营工作无法进行,使得网络安全产品的防护功能较低。
[0033]本申请实施例提供了一种告警信息检测方法,请参阅图1,为本申请实施例提供的告警信息检测方法的一个可选的流程示意图,将结合图1示出的步骤进行说明。
[0034]S101、获取告警信息,所述告警信息包括当前告警信息及历史告警信息。
[0035]本申请实施例中,告警信息检测装置接收从其他终端或者服务器发送的当前告警信息。告警信息检测装置可以利用当前告警信息中的通用字段在历史告警信息库中进行历史告警信息的查找。其中,可以从当前告警信息的通用字段中选择部分的查询条件在历史告警信息库中进行历史告警信息的查找,进而查找得本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警信息检测方法,其特征在于,包括:获取告警信息,所述告警信息包括当前告警信息及历史告警信息;对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息;所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度;基于所述字段分析信息确定所述当前告警信息的误报检测结果。2.根据权利要求1所述的告警信息检测方法,其特征在于,所述特征字段包括:通用字段和协议字段;所述对所述当前告警信息对应的特征字段和所述历史告警信息对应的特征字段进行分析得到字段分析信息,包括:基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性,以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性,确定所述字段分析信息。3.根据权利要求1所述的告警信息检测方法,其特征在于,所述基于所述字段分析信息确定所述当前告警信息的误报检测结果之前,所述方法还包括:基于各个所述历史告警信息对应的所述特征字段,确定各个所述历史告警信息的分布律;其中,所述分布律用于表征各个所述历史告警信息沿时间轴的分布规律;所述基于所述字段分析信息确定所述当前告警信息的误报检测结果,包括:基于所述分布律与所述字段分析信息确定所述误报检测结果。4.根据权利要求2所述的告警信息检测方法,其特征在于,所述基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性,以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性,确定所述字段分析信息,包括:基于所述历史告警信息对应的所述协议字段与所述当前告警信息对应的所述协议字段之间的相似性确定第一值;其中,所述第一值用于表征所述当前告警信息与所述历史告警信息之间的相似度;基于所述当前告警信息的所述通用字段反映的告警信息与所述历史告警信息的所述通用字段反映的告警信息,确定第二值;其中,所述第二值用于表征所述当前告警信息与所述历史告警信息的告警内容的一致性;基于所述当前告警信息的所述通用字段反映的业务属性信...
【专利技术属性】
技术研发人员:蒲大峰,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。