【技术实现步骤摘要】
告警处理方法、装置、电子设备和存储介质
[0001]本申请属于计算机
,特别涉及一种告警处理方法
、
装置
、
电子设备和存储介质
。
技术介绍
[0002]在相关技术中,可以根据告警进程的命令行字符串和告警所命中的规则名称,确定告警事件的匹配类型,然而,上述告警事件的分类方法仅仅是一种基于告警进程的行为的分类方法,在实际场景中,告警事件的行为信息不仅包括告警进程的行为信息,还包括网络连接
、
二进制加载以及恶意域名访问等行为信息,因此,单独的告警事件的行为无法全面准确地反映告警事件的类型,从而,上述告警事件的分类方法的分类准确性较低
。
技术实现思路
[0003]本申请实施例提供一种告警待处理方法
、
装置
、
电子设备和存储介质
。
[0004]本申请实施例提供了一种告警处理方法,所述方法应用于电子设备中,所述方法包括:
[0005]在生成当前告警事件后,确定当前告警事件的溯源信息...
【技术保护点】
【技术特征摘要】
1.
一种告警处理方法,其特征在于,所述方法包括:在生成当前告警事件后,确定当前告警事件的溯源信息,所述溯源信息包括用于对所述当前告警事件进行溯源的节点;根据所述当前告警事件的溯源信息的结构类型,对所述当前告警事件的溯源信息进行处理,得到告警特征;根据所述告警特征与预先建立的历史告警簇的代表特征的相似度,确定所述当前告警事件所在的告警簇;所述历史告警簇中的每个告警簇表示一类告警事件
。2.
根据权利要求1所述的方法,其特征在于,所述根据所述当前告警事件的溯源信息的结构类型,对所述当前告警事件的溯源信息进行处理,得到告警特征,包括:在所述当前告警事件的溯源信息的结构类型为进程树或单进程链时,对所述进程树或单进程链中至少一个节点的特征信息进行处理,得到所述告警特征;所述进程树包括至少两个进程链;在所述当前告警事件的溯源信息的结构类型为单节点时,在所述单节点的特征信息中提取出所述告警特征
。3.
根据权利要求2所述的方法,其特征在于,所述在在所述当前告警事件的溯源信息的结构类型为进程树或单进程链时,对所述进程树或单进程链中至少一个节点的特征信息进行处理,得到所述告警特征,包括:在所述当前告警事件的溯源信息的结构类型为进程树时,确定所述进程树中的告警边;对所述告警边连接的节点的特征信息进行处理,得到所述告警特征;所述进程链中相邻节点通过边连接,所述告警边表示用于触发所述当前告警事件的边;在所述当前告警事件的溯源信息的结构类型为单进程链时,对所述单进程链中各个节点的特征信息进行处理,得到所述告警特征
。4.
根据权利要求3所述的方法,其特征在于,所述对所述告警边连接的节点的特征信息进行处理,得到所述告警特征,包括:确定所述告警边连接的节点的特征信息中的随机字符串,在所述告警边连接的节点的特征信息中,对所述随机字符串进行正则替换,得到所述告警特征;所述对所述单进程链中各个节点的特征信息进行处理,得到所述告警特征,包括:确定所述单进程链中各个节点的特征信息的随机字符串;在所述单进程链的各个节点的特征信息中,对所述随机字符串进行正则替换,得到所述告警特征
。5.
根据权利要求1所述的方法,其特征在于...
【专利技术属性】
技术研发人员:刘杨,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。