【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种告警事件的处理方法、装置、电子设备以及存储介质。
技术介绍
1、随着网络在生产生活中的不断深入,网络的安全性逐渐受到重视,需要对网络中传输的流量进行安全监测。
2、目前,对网络流量进行安全监测,主要通过安全设备与安全分析师结合的方式进行。具体来说,安全设备获取网络中传输的流量数据,将流量数据与预设告警规则进行匹配,如果匹配失败,说明流量数据不存在安全风险,使流量数据继续按照原路径流转即可,如果匹配成功,说明流量数据存在安全风险,则生成流量数据的告警事件,输出告警事件。安全分析师看到告警事件后,根据告警事件查找相应的流量日志,对流量日志进行分析,制定出告警事件的解决方案,即响应剧本。最后,通过执行响应剧本,对告警事件进行处置。这样,就实现了网络流量的安全监测,以及在发现网络流量存在安全问题时进行相应的处置。
3、然而,网络中会实时产生大量的流量数据,相应的,安全设备也会输出大量的告警事件。安全分析师针对每一个告警事件都进行一次分析,生成一个响应剧本,对于告警事件的处理,其工作量无疑是巨大的,进而降低了告警事件的处理效率。
技术实现思路
1、本申请实施例的目的是提供一种告警事件的处理方法、装置、电子设备以及存储介质,以提高告警事件的处理效率。
2、为解决上述技术问题,本申请实施例提供如下技术方案:
3、本申请第一方面提供一种告警事件的处理方法,所述方法包括:获取当前告警事件;从多个历史告警事件中,选择与所述
4、相较于现有技术,本申请第一方面提供的告警事件的处理方法,获取到当前告警事件后,并不通过安全分析师直接对当前告警事件进行分析、处理、生成响应流程,而是从多个历史告警事件中,选择一个与当前告警事件相似的历史告警事件,并根据该历史告警事件当时的响应流程处理当前告警事件。该历史告警事件与当前告警事件相似,相应的响应流程也适用于当前告警事件,在确保当前告警事件能够被正确处理的情况下,减少了人工对当前告警事件进行分析,生成响应流程的过程,提高了告警事件的处理效率。
5、在本申请第一方面的一些变更实施方式中,告警事件中包括多个属性,每个属性用于表征告警事件中的一项告警信息;所述根据所述目标告警事件的响应流程,确定所述当前告警事件对应的目标响应流程,包括:确定所述目标告警事件的原响应流程;确定所述当前告警事件与所述目标告警事件存在差异的目标属性;根据所述目标属性修改所述原响应流程,得到目标响应流程。
6、根据当前告警事件与目标告警事件存在差异的属性,对目标告警事件的响应流程进行调整,使得应用在当前告警事件上的响应流程能够更加适合当前告警事件,提高了告警事件处理的准确性。
7、在本申请第一方面的一些变更实施方式中,在得到目标响应流程之前,所述方法还包括:确定多个待选响应流程,所述多个待选响应流程基于所述原响应流程的修改得到;计算每个待选响应流程与所述原响应流程的相似度;从多个待选响应流程与所述原响应流程的相似度中,选择最高相似度对应的响应流程作为目标响应流程。
8、在对原响应流程进行修改的过程中,可以修改出多个响应流程,从修改后的多个响应流程中,选择一个与原响应流程最为接近的响应流程作为目标响应流程。由于当前告警事件与目标历史告警事件较为相似,两个告警事件对应的响应流程也会较为相似,因此,与原响应流程最为相似的修改后的响应流程,就是最适合当前告警事件的响应流程,进而采用最为相似的响应流程处理当前告警事件,能够提高告警事件处理的准确性。
9、在本申请第一方面的一些变更实施方式中,所述计算每个待选响应流程与所述原响应流程的相似度,包括:将每个待选响应流程以及原响应流程分别转换为bpmn图,得到每个待选响应流程的新bpmn图和原响应流程的原bpmn图,bpmn图中的节点用于表征响应流程中的响应动作,bpmn图中节点之间的连线用于表征响应动作之间的执行顺序;计算每个新bpmn图从原bpmn图修改为相应的新bpmn图中的图形编辑距离;计算每个新bpmn图与原bpmn图的图结构相似度;根据所述图结构相似度和所述图形编辑距离,确定每个新bpmn图与原bpmn图的相似度;将每个新bpmn图与原bpmn图的相似度,作为每个待选响应流程与原响应流程的相似度。
10、在计算各个待选响应流程与原响应流程的相似度时,通过将响应流程中的各动作转换为bpmn图,进而通过bpmn图之间的图结构相似度和图形编辑距离,确定各个新bpmn图与原bpmn图的相似度,进而确定各个待选响应流程与原响应流程的相似度。由于bpmn图能够对响应流程进行结构化的表征,因此,bpmn图之间的相似度能够更加精准的表征出两个响应流程之间的相似度,提高了计算各个待选响应流程与原响应流程的相似度的精准性。
11、在本申请第一方面的一些变更实施方式中,在根据所述图结构相似度和所述图形编辑距离,确定每个新bpmn图与原bpmn图的相似度之前,所述方法还包括:计算每个新bpmn图与原bpmn图的节点相似度;所述根据所述图结构相似度和所述图形编辑距离,确定每个新bpmn图与原bpmn图的相似度,包括:根据所述节点相似度、所述图结构相似度和所述图形编辑距离,确定每个新bpmn图与原bpmn图的相似度。
12、在确定各个新bpmn图与原bpmn图的相似度时,在图结构相似度和图形编辑距离的基础上,再结合节点相似度,能够对bpmn图中各元素之间的相似情况进行更加全面的考虑,提高各个新流程图与原流程图之间相似度确定的准确性。
13、在本申请第一方面的一些变更实施方式中,响应流程中包括针对不同属性的响应动作;所述根据所述属性差异修改所述原响应流程,得到目标响应流程,包括:在多个历史告警事件的响应流程中,查找针对目标属性的第一目标响应动作,所述目标属性为所述当前告警事件相对于所述目标告警事件存在差异的属性;确定所述原响应流程中针对所述目标属性的第二目标响应动作;将所述原响应流程中的所述第二目标响应动作修改为所述第一目标响应动作,得到所述目标响应流程。
14、通过历史告警事件的响应流程,查找当前告警事件相对于目标告警事件存在差异的属性对应的响应动作,该响应动作是在历史告警事件的处理过程中使用过的,准确性和有效性可以得到保证,进而将查找到的响应动作替换原响应流程中的相应动作,使得修改得到的目标响应流程更加适合对于当前告警事件的实际处理。
15、在本申请第一方面的一些变更实施方式中,在基于所述目标响应流程处理所述当前告警事件之前,所述方法还包括:确定所述当前告警事件的第一危害等级以及所述目标告警事件的第二危害等级;判断所述第一危害等级与所述第二危害等级是否相同,以及判断所述第一危害等级是否高于预设等级;若至少一个为是本文档来自技高网...
【技术保护点】
1.一种告警事件的处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,告警事件中包括多个属性,每个属性用于表征告警事件中的一项告警信息;所述根据所述目标告警事件的响应流程,确定所述当前告警事件对应的目标响应流程,包括:
3.根据权利要求2所述的方法,其特征在于,在得到目标响应流程之前,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述计算每个待选响应流程与所述原响应流程的相似度,包括:
5.根据权利要求4所述的方法,其特征在于,在根据所述图结构相似度和所述图形编辑距离,确定每个新BPMN图与原BPMN图的相似度之前,所述方法还包括:
6.根据权利要求2所述的方法,其特征在于,响应流程中包括针对不同属性的响应动作;所述根据所述属性差异修改所述原响应流程,得到目标响应流程,包括:
7.根据权利要求1至6中任一项所述的方法,其特征在于,在基于所述目标响应流程处理所述当前告警事件之前,所述方法还包括:
8.根据权利要求1至6中任一项所述的方法,其特征在于,告警事件
9.一种告警事件的处理装置,其特征在于,所述装置包括:
10.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求1至8中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行如权利要求1至8中任一项所述的方法。
...【技术特征摘要】
1.一种告警事件的处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,告警事件中包括多个属性,每个属性用于表征告警事件中的一项告警信息;所述根据所述目标告警事件的响应流程,确定所述当前告警事件对应的目标响应流程,包括:
3.根据权利要求2所述的方法,其特征在于,在得到目标响应流程之前,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述计算每个待选响应流程与所述原响应流程的相似度,包括:
5.根据权利要求4所述的方法,其特征在于,在根据所述图结构相似度和所述图形编辑距离,确定每个新bpmn图与原bpmn图的相似度之前,所述方法还包括:
6.根据权利要求2所述的方法,其特征在于,响应流程中包括针对不同属性的响应动作;所述根据所述属性差异修改所述原响应流程,得到目标响应流程,包括:
【专利技术属性】
技术研发人员:王宇辰,郜小亮,申永彬,史连朋,李勇,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。