告警数据处理方法、装置、介质及电子设备制造方法及图纸

技术编号：41238617 阅读：4 留言：0更新日期：2024-05-09 23:51

本公开涉及一种告警数据处理方法、装置、介质及电子设备。方法包括：获取待处理的多个告警数据；对于多个告警数据中的至少部分告警数据中的每一个，提取该告警数据中的威胁指标；对于提取到的威胁指标中的至少部分威胁指标中的每一个，对该威胁指标进行数据关联分析，以关联与该威胁指标相关的历史数据。这样，可以从告警数据中自动提取威胁指标，并能够自动进行威胁指标的数据关联分析，避免类似重复性的数据溯源人工查找造成的运营效率低下和告警准确性不高的问题，从而能够极大提高安全运营效率和告警的准确率，节省运营人力，可以让安全运营人员在保证运营覆盖的基础上，聚焦真正的风险事件，提高运营相同告警数量条件下真实风险的发现率。

全部详细技术资料下载

【技术实现步骤摘要】

本公开涉及网络安全，具体地，涉及一种告警数据处理方法、装置、介质及电子设备。

技术介绍

1、网络流量类产品在企业安全防护架构中处在第一道防线的关键位置，无时无刻都在面临着大量的安全攻击，不可避免会产生海量告警日志。传统网络流量安全告警运营方式为安全运营人员在告警归并去重之后对告警逐个分析，结合主机、业务等各类数据维度溯源取证来研判告警是否为真实安全风险。当设备存在海量告警时，如果要做到全量运营，会导致企业安全运营需要的人力和告警数量之间存在明显的差距，并且类似重复性的数据溯源人工查找会造成运营效率低下。另外，上述运营方式在真实复杂的网络和业务环境下，并不能真正解决相关高风险场景全量运营的问题，极容易造成漏报和误报。

技术实现思路

1、提供该
技术实现思路
部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该
技术实现思路
部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

2、第一方面，本公开提供一种告警数据处理方法，包括：

3、获取待处理的多个告警数据；

4、对于所述多个告警数据中的至少部分告警数据中的每一个，提取该告警数据中的威胁指标；

5、对于提取到的所述威胁指标中的至少部分威胁指标中的每一个，对该威胁指标进行数据关联分析，以关联与该威胁指标相关的历史数据。

6、第二方面，本公开提供一种告警数据处理装置，包括：

7、获取模块，用于获取待处理的多个告警数据；

8、提取模块，用于对于所述多个告警数据中的至少部分告警数据中的每一个，提取该告警数据中的威胁指标；

9、关联分析模块，用于对于提取到的所述威胁指标中的至少部分威胁指标中的每一个，对该威胁指标进行数据关联分析，以关联与该威胁指标相关的历史数据。

10、第三方面，本公开提供一种计算机可读介质，其上存储有计算机程序，该程序被处理装置执行时实现本公开第一方面提供的所述告警数据处理方法的步骤。

11、第四方面，本公开提供一种电子设备，包括：

12、存储装置，其上存储有计算机程序；

13、处理装置，用于执行所述存储装置中的所述计算机程序，以实现本公开第一方面提供的所述告警数据处理方法的步骤。

14、通过上述技术方案，可以从告警数据中自动提取威胁指标，并能够自动进行威胁指标的数据关联分析，避免类似重复性的数据溯源人工查找造成的运营效率低下和告警准确性不高的问题，从而能够极大提高安全运营效率和告警的准确率，节省运营人力，可以让安全运营人员在保证运营覆盖的基础上，聚焦真正的风险事件，提高运营相同告警数量条件下真实风险的发现率。

15、本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。

本文档来自技高网...

【技术保护点】

1.一种告警数据处理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，

3.根据权利要求2所述的方法，其特征在于，所述结构化威胁指标包括所述网络地址字段、所述端口字段、所述域名字段以及所述命令字段；

4.根据权利要求3所述的方法，其特征在于，所述根据所述网络地址字段的字段值和所述端口字段的字段值，获取与该威胁指标相关的会话数据，包括：

5.根据权利要求4所述的方法，其特征在于，所述根据所述网络地址字段的字段值和所述端口字段的字段值，获取与该威胁指标相关的会话数据，还包括：

6.根据权利要求3所述的方法，其特征在于，所述根据所述网络地址字段的字段值和所述域名字段的字段值，获取与该威胁指标相关的威胁情报数据，包括：

7.根据权利要求3所述的方法，其特征在于，所述根据所述结构化威胁指标的字段信息，获取与该威胁指标相关的历史数据，还包括：

8.根据权利要求2-7中任一项所述的方法，其特征在于，所述方法还包括：

9.根据权利要求8所述的方法，其特征在于，所述根据该疑似风险信息中

10.根据权利要求1-7中任一项所述的方法，其特征在于，在所述对于所述多个告警数据中的至少部分告警数据中的每一个，提取该告警数据中的威胁指标的步骤之前，所述方法还包括：

11.根据权利要求1-7中任一项所述的方法，其特征在于，在所述对于提取到的所述威胁指标中的至少部分威胁指标中的每一个，对该威胁指标进行数据关联分析的步骤之前，所述方法还包括：

12.根据权利要求1-7中任一项所述的方法，其特征在于，所述提取该告警数据中的威胁指标，包括：

13.一种告警数据处理装置，其特征在于，包括：

14.一种计算机可读介质，其上存储有计算机程序，其特征在于，该程序被处理装置执行时实现权利要求1-12中任一项所述方法的步骤。

15.一种电子设备，其特征在于，包括：

...

【技术特征摘要】

1.一种告警数据处理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，

3.根据权利要求2所述的方法，其特征在于，所述结构化威胁指标包括所述网络地址字段、所述端口字段、所述域名字段以及所述命令字段；

4.根据权利要求3所述的方法，其特征在于，所述根据所述网络地址字段的字段值和所述端口字段的字段值，获取与该威胁指标相关的会话数据，包括：

7.根据权利要求3所述的方法，其特征在于，所述根据所述结构化威胁指标的字段信息，获取与该威胁指标相关的历史数据，还包括：

8.根据权利要求2-7中任一项所述的方法，其特征在于...

【专利技术属性】
技术研发人员：曾巍，闻婧，蔡挺，关淞元，郭伟超，
申请(专利权)人：北京火山引擎科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人