告警归并优化条件自生成方法技术

本发明专利技术提供了一种告警归并优化条件自生成方法

【技术实现步骤摘要】
告警归并优化条件自生成方法、装置及电子设备


[0001]本专利技术涉及数据处理的
，尤其是涉及一种告警归并优化条件自生成方法
、
装置及电子设备
。

技术介绍

[0002]当前企业内部部署了不同的安全设备后，会产生大量的安全告警
。
通常企业会将不同的安全设备告警通过标准化解析后接入到安全分析管理平台
。
而安全设备每日产生安全告警量极大，当前大部分厂商通常会通过内置告警归并条件将不同的告警基于不同的维度归并在一起合并成一条告警日志进行展现，但是实际安全分析人员因接触到的数据集较少以及理解偏差等影响，内置的告警归并条件很难做到适配不同环境的告警日志，部分现场安全设备在通过告警归并后仍会产生海量告警，进而导致企业内部安全分析人员的分析效率较低
。
[0003]对于这种状况当前方案为安全分析人员前往现场对当前场景下的数据进行实际分析后再根据运维经验对内置在产品中的告警归并条件进行优化，不仅需要耗费高昂的人力成本，而且还依赖于特定的应用场景
。

技术实现思路

[0004]本专利技术的目的在于提供一种告警归并优化条件自生成方法
、
装置及电子设备，可以自生成的方式提供更加适合现场分析的告警归并条件，从而降低人力成本，避免因应用场景与归并条件不适配而引发的海量告警
。
[0005]本专利技术提供的一种告警归并优化条件自生成方法，方法包括：基于预设的分析优化触发条件，从安全分析管理平台中内置的多个第一告警归并条件中，获取满足该分析优化触发条件的第二告警归并条件，并按照预设的内置顺序，对每个第二告警归并条件进行排序，得到预归并优化列表清单；其中，每个第二告警归并条件对应至少一个第一归并字段；针对每个第一归并字段，如果该第一归并字段中存在满足预设第一条件的异常数据项，将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件；基于预先设置的每个归并范围条件，得到每个第三告警归并条件对应的告警归并优化条件；针对每个告警归并优化条件，获取该告警归并优化条件对应的至少一个第一组合结果；其中，每个第一组合结果中包括该告警归并优化条件对应的每个必要归并字段和至少一个非必要归并字段；基于每个第一组合结果中缺少的非必要归并字段的预设系数，计算该第一组合结果对应的第一归并报警量；获取数值最小的第一归并报警量对应的目标第一组合结果，并将该目标第一组合结果，以及该目标第一组合结果对应的告警归并优化条件加入到预归并优化列表清单中，得到第一预归并优化列表清单
。
[0006]进一步的，每个归并范围条件包括：过滤条件；基于预先设置的每个归并范围条件，得到每个第三告警归并条件对应的告警归并优化条件的步骤包括：基于预先设置的每个归并范围条件，获取每个第三告警归并条件对应的目标归并范围条件；将每个第三告警
归并条件与对应的目标归并范围条件对应的目标过滤条件进行拼接，得到每个第三告警归并条件对应的告警归并优化条件
。
[0007]进一步的，每个归并范围条件还包括：第一必要归并字段；基于预先设置的每个归并范围条件，获取每个第三告警归并条件对应的目标归并范围条件的步骤包括：针对每个第三告警归并条件，获取该第三告警归并条件的至少一个第二归并字段；获取每个归并范围条件的第一必要归并字段；将每个第二归并字段与第一必要归并字段进行比较，得到比较结果，如果比较结果显示，至少有一个目标第二归并字段与第一必要归并字段相匹配，将该第一必要归并字段对应的归并范围条件确定为目标归并范围条件
。
[0008]进一步的，基于预设的分析优化触发条件，从安全分析管理平台中内置的多个第一告警归并条件中，获取满足该分析优化触发条件的第二告警归并条件的步骤包括：针对每个第一告警归并条件，获取当天该第一告警归并条件对应的告警总量和归并告警量，以及归并告警量中单条归并告警聚合量小于第一阈值的目标归并告警量；计算归并告警量与对应的告警总量的比值，得到第一告警归并条件对应的第一比值结果；计算目标归并告警量与对应的归并告警量的比值，得到第一告警归并条件对应的第二比值结果；如果第一比值结果大于第一预设阈值，或第二比值结果大于第二预设阈值，将该第一比值结果或该第二比值结果对应的第一告警归并条件确认为第二告警归并条件
。
[0009]进一步的，每个第一归并字段包括多个数据项，针对每个第一归并字段，如果该第一归并字段中存在满足预设第一条件的异常数据项，将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件的步骤包括：获取每个第二告警归并条件对应的第一报警；针对每个第一归并字段对应的每个数据项，确定第一报警中满足该数据项的目标第一报警的数量，并将该数量作为该数据项对应的数值；按照从大到小的顺序对每个数值进行排序，得到数值列表；从数值列表中获取前
n
个第一数值，并计算
n
个第一数值的平均值，得到平均结果；如果
n
个第一数值中存在大于平均结果，且与平均结果的差值的绝对值大于第三预设阈值的目标第一数值，将该目标第一数值对应的数据项认定为异常数据项；将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件
。
[0010]进一步的，基于每个第一组合结果中缺少的非必要归并字段的预设系数，计算该第一组合结果对应的第一归并报警量的步骤包括：基于获取到的每个告警归并优化条件对应的至少一个非必要归并字段，确定每个第一组合结果中缺少的非必要归并字段；获取每个第一组合结果对应的第二归并报警量；获取每个缺少的非必要归并字段对应的预设系数；计算每个预设系数与每个第二归并报警量的乘积，得到每个第一组合结果对应的第一归并报警量
。
[0011]进一步的，执行针对每个第一归并字段，如果该第一归并字段中存在满足预设第一条件的异常数据项，将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件之后的步骤还包括；针对每个第三告警归并条件，将下一个第一归并字段作为新的第一归并字段，重复执行针对每个第一归并字段，如果该第一归并字段中存在满足预设第一条件的异常数据项，将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件的步骤，直至每个第一归并字段中均不存在满足预设第一条件的异常数据项
。
[0012]进一步的，方法还包括：如果第一预归并优化列表清单中仍有满足分析优化触发条件的第二告警归并条件，从每个第二告警归并条件对应的告警总量中过滤掉符合目标第一组合结果对应的告警归并优化条件的第二告警，得到第一告警总量；基于预先设置的每个归并范围条件，获取每个第二告警归并条件对应的第一归并范围条件；将每个第二告警归并条件与对应的第一归并范围条件对应的第一过滤条件进行拼接，得到每个第二告警归并条件对应的第一告警归并优化条件；针对每个第一告警归并优化条件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种告警归并优化条件自生成方法，其特征在于，所述方法包括：基于预设的分析优化触发条件，从安全分析管理平台中内置的多个第一告警归并条件中，获取满足该分析优化触发条件的第二告警归并条件，并按照预设的内置顺序，对每个第二告警归并条件进行排序，得到预归并优化列表清单；其中，每个所述第二告警归并条件对应至少一个第一归并字段；针对每个第一归并字段，如果该第一归并字段中存在满足预设第一条件的异常数据项，将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件；基于预先设置的每个归并范围条件，得到每个第三告警归并条件对应的告警归并优化条件；针对每个告警归并优化条件，获取该告警归并优化条件对应的至少一个第一组合结果；其中，每个所述第一组合结果中包括该告警归并优化条件对应的每个必要归并字段和至少一个非必要归并字段；基于每个第一组合结果中缺少的非必要归并字段的预设系数，计算该第一组合结果对应的第一归并报警量；获取数值最小的第一归并报警量对应的目标第一组合结果，并将该目标第一组合结果，以及该目标第一组合结果对应的告警归并优化条件加入到所述预归并优化列表清单中，得到第一预归并优化列表清单
。2.
根据权利要求1所述的方法，其特征在于，每个所述归并范围条件包括：过滤条件；基于预先设置的每个归并范围条件，得到每个第三告警归并条件对应的告警归并优化条件的步骤包括：基于预先设置的每个归并范围条件，获取每个所述第三告警归并条件对应的目标归并范围条件；将每个所述第三告警归并条件与对应的目标归并范围条件对应的目标过滤条件进行拼接，得到每个第三告警归并条件对应的告警归并优化条件
。3.
根据权利要求2所述的方法，其特征在于，每个所述归并范围条件还包括：第一必要归并字段；基于预先设置的每个归并范围条件，获取每个所述第三告警归并条件对应的目标归并范围条件的步骤包括：针对每个第三告警归并条件，获取该第三告警归并条件的至少一个第二归并字段；获取每个所述归并范围条件的第一必要归并字段；将每个所述第二归并字段与第一必要归并字段进行比较，得到比较结果，如果所述比较结果显示，至少有一个目标第二归并字段与所述第一必要归并字段相匹配，将该第一必要归并字段对应的归并范围条件确定为目标归并范围条件
。4.
根据权利要求1所述的方法，其特征在于，基于预设的分析优化触发条件，从安全分析管理平台中内置的多个第一告警归并条件中，获取满足该分析优化触发条件的第二告警归并条件的步骤包括：针对每个所述第一告警归并条件，获取当天该第一告警归并条件对应的告警总量和归并告警量，以及所述归并告警量中单条归并告警聚合量小于第一阈值的目标归并告警量；计算所述归并告警量与对应的告警总量的比值，得到所述第一告警归并条件对应的第
一比值结果；计算所述目标归并告警量与对应的归并告警量的比值，得到所述第一告警归并条件对应的第二比值结果；如果所述第一比值结果大于第一预设阈值，或所述第二比值结果大于第二预设阈值，将该第一比值结果或该第二比值结果对应的第一告警归并条件确认为第二告警归并条件
。5.
根据权利要求1所述的方法，其特征在于，每个所述第一归并字段包括多个数据项，针对每个第一归并字段，如果该第一归并字段中存在满足预设第一条件的异常数据项，将该异常数据项和对应的第二告警归并条件进行拼接，得到每个第一归并字段对应的第三告警归并条件的步骤包括：获取每个所述第二告警归并条件对应的第一报警；针对每个第一归并字段对应的每个数据项，确定所述第一报警中满足该数据项的目标第一报警的数量，并将该数量作为该数据项对应的数值；按照从大到小的顺序对每个数值进行排序，得到数值列表；从所述数值列表中获取前
n
个第一数值，并计算
n
个所述第一数值的平均值，得到平均结果；如果
n
个所述第一数值中存在大于所述平均结果，且与所述平均...

【专利技术属性】
技术研发人员：赵贤哲，刘书航，王可圣，
申请(专利权)人：江苏安恒网络安全有限公司，
类型：发明
国别省市：