System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 告警关联确定方法、设备以及计算机可读存储介质技术_技高网
当前位置: 首页 > 专利查询>深圳市深信服信息安全有限公司专利>正文

告警关联确定方法、设备以及计算机可读存储介质技术

技术编号:40133782 阅读:7 留言:0更新日期:2024-01-23 22:32
本申请实施例公开了一种告警关联确定方法、告警关联确定设备以及计算机可读存储介质,用于在提高对告警信息进行非法外连检测的分析的全面性,及对告警信息进行非法外连检测的分析的准确性的情况下,进行告警关联确定。本申请实施例方法包括:获得流量侧的告警和终端侧的告警,从流量侧的告警中提取网络连接信息,其中,网络连接信息包括外连地址,基于网络连接信息及终端侧的告警确定流量侧的告警和终端侧的告警是否关联。

全部详细技术资料下载

【技术实现步骤摘要】

本申请实施例涉及告警关联确定领域,更具体的,是告警关联确定方法、告警关联确定设备以及计算机可读存储介质。


技术介绍

1、在网络安全技术的快速发展,终端设备会对应存在越来越多的告警信息,为了保证终端设备的安全运行,需要对这些告警信息进行非法外连检测,以可以基于检测结果进行对应的处置。

2、现有的对告警信息进行非法外连检测方法是,针对每个终端设备,对终端设备的告警进行非法外连检测。但是,这种方法只是对终端设备的告警信息进行非法外连检测的分析,对告警信息进行非法外连检测的分析的全面性较低,对告警信息进行非法外连检测的分析的准确性较低。


技术实现思路

1、本申请实施例提供了一种告警关联确定方法、告警关联确定设备以及计算机可读存储介质,用于在提高对告警信息进行非法外连检测的分析的全面性,及对告警信息进行非法外连检测的分析的准确性的情况下,进行告警关联确定。

2、第一方面,本申请实施例提供了一种告警关联确定方法,包括:

3、获得流量侧的告警和终端侧的告警;

4、从所述流量侧的告警中提取网络连接信息;其中,所述网络连接信息包括外连地址;

5、基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联。

6、可选的,所述基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联包括:

7、确定所述终端侧告警中是否存在所述网络连接信息,若存在,则确定所述流量侧告警及所述终端侧告警关联。

8、可选的,在所述网络连接信息包括源ip的情况下,所述基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联包括:

9、通过所述源ip搜索所述终端侧的告警,以遍历所述终端侧告警中的网络行为;

10、根据所述终端侧告警中的网络行为,确定所述终端侧的告警是否存在所述流量侧的告警对应的网络连接信息;

11、若存在,则确定所述流量侧告警及所述终端侧告警关联。

12、可选的,在流量侧的告警与终端侧的告警关联成功之后还包括:

13、根据关联的流量侧的告警与终端侧的告警进行非法外连检测。

14、可选的,所述从所述流量侧的告警中提取网络连接信息,包括:

15、根据所述流量侧的告警对应的外连场景从所述流量侧的告警中提取网络连接信息;其中,不同外连场景对应的网络连接信息不同。

16、第二方面,本申请实施例提供了一种告警关联确定设备,包括:

17、获得单元,用于获得流量侧的告警和终端侧的告警;

18、提取单元,用于从所述流量侧的告警中提取网络连接信息;其中,所述网络连接信息包括外连地址;

19、确定单元,用于基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联。

20、第三方面,本申请实施例提供了一种告警关联确定设备,包括:

21、中央处理器,存储器,输入输出接口,有线或无线网络接口以及电源;

22、所述存储器为短暂存储存储器或持久存储存储器;

23、所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行前述告警关联确定方法。

24、第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质包括指令,当指令在计算机上运行时,使得计算机执行前述告警关联确定方法。

25、第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行前述告警关联确定方法。

26、从以上技术方案可以看出,本申请实施例具有以下优点:可以获得流量侧的告警和终端侧的告警,从所述流量侧的告警中提取网络连接信息,其中,所述网络连接信息包括外连地址,基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联,可以提供更全面的视角,帮助识别攻击者在网络流量和终端行为之间的关联性,对告警信息进行非法外连检测的分析的全面性较高,对告警信息进行非法外连检测的分析的准确性较高

本文档来自技高网...

【技术保护点】

1.一种告警关联确定方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述网络连接信息还包括源IP和/或源端口。

3.根据权利要求1所述的方法,其特征在于,所述基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联包括:

4.根据权利要求1所述的方法,其特征在于,所述外连地址包括外连的IP地址或外连的域名。

5.根据权利要求2所述的方法,其特征在于,在所述网络连接信息包括源IP的情况下,所述基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联包括:

6.根据权利要求1所述的方法,其特征在于,在流量侧的告警与终端侧的告警关联成功之后还包括:

7.根据权利要求1所述的方法,其特征在于,所述从所述流量侧的告警中提取网络连接信息,包括:

8.一种告警关联确定设备,其特征在于,包括:

9.一种告警关联确定设备,其特征在于,包括:

10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至7中任意一项所述的方法。

...

【技术特征摘要】

1.一种告警关联确定方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述网络连接信息还包括源ip和/或源端口。

3.根据权利要求1所述的方法,其特征在于,所述基于所述网络连接信息及所述终端侧的告警确定所述流量侧的告警和所述终端侧的告警是否关联包括:

4.根据权利要求1所述的方法,其特征在于,所述外连地址包括外连的ip地址或外连的域名。

5.根据权利要求2所述的方法,其特征在于,在所述网络连接信息包括源ip的情况下,所述基于所述网络连接信息及所述终端侧的告警确定所述...

【专利技术属性】
技术研发人员:周运金罗瑞
申请(专利权)人:深圳市深信服信息安全有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有