一种告警聚合方法、装置、电子设备及存储介质与流程

电子通信装置的制造及其应用技术1.本发明涉及网络安全领域，特别涉及一种告警聚合方法、装置、电子设备及存储介质。背景技术：2.随着网络攻击的数量和复杂程度日益增加，许多公司都引入了网络安全技术或者网络安全检测防护系统以加强对网络威胁的检测能力。这些技术可对网络攻击进行检测，并生成告警信息以提示相关人员关注及处理。然而，由于网络攻击的数量较大，巨量的告警信息不仅难以帮助相关人员进行处理，甚至可能会淹没重要的危险告警并导致网络安全灾难。技术实现要素：3.本发明的目的是提供一种告警聚合方法、装置、电子设备及存储介质，可基于告警信息的名称或网络流量数据的属性对告警信息进行聚合，并利用聚合后的安全事件信息进行告警，以降低告警数量并提升相关人员处理网络安全事件的效率。4.为解决上述技术问题，本发明提供一种告警聚合方法，包括：5.获取网络流量数据，并将所述网络流量数据与预设规则进行匹配；6.当确定与所述网络流量数据匹配的目标预设规则时，利用所述网络流量数据生成与所述目标预设规则对应的告警信息；7.根据所述告警信息的名称和/或所述网络流量数据的属性，将多条所述告警信息聚合为安全事件信息，并利用所述安全事件信息进行告警。8.可选地，所述根据所述告警信息的名称，将多条所述告警信息聚合为安全事件信息，包括：9.将具有相同所述名称的告警信息聚合为所述安全事件信息，并在所述安全事件信息中添加所述相同所述名称的告警信息的数量及最后生成时间。10.可选地，在利用所述网络流量数据生成与所述目标预设规则对应的告警信息之后，还包括：11.将所述告警信息保存至卡夫卡流处理平台；12.相应的，在将多条所述告警信息聚合为安全事件信息之前，还包括：13.从所述卡夫卡流处理平台中提取所述告警信息。14.可选地，所述利用所述安全事件信息进行告警，包括：15.判断所述安全事件信息对应的预设安全等级是否高于预设告警等级；16.若是，则将所述安全事件信息发送至指定设备。17.可选地，在将多条所述告警信息聚合为安全事件信息之后，还包括：18.对所述安全事件信息进行可视化输出。19.可选地，还包括：20.在接收到规则创建指令时，根据所述规则创建指令创建所述预设规则；21.在接收到规则修改指令时，根据所述规则修改指令对与所述规则修改指令对应的预设规则进行修改。22.可选地，所述根据所述告警信息的名称和所述网络流量数据的属性，将多条所述告警信息聚合为安全事件信息，包括：23.在确定所述告警信息具有线头标记时，判断预设数据库中是否保存有与所述名称对应的安全事件信息；24.若是，则判断所述网络流量数据的属性是否与所述安全事件信息中的指定属性相同；若相同，则更新聚合所述安全事件信息的告警信息的数量及最后生成时间；若不相同，则利用所述告警信息在所述预设数据库中生成新安全事件信息；25.若否，则利用所述告警信息在所述预设数据库中生成所述新安全事件信息。26.本发明还提供一种告警聚合装置，包括：27.匹配模块，用于获取网络流量数据，并将所述网络流量数据与预设规则进行匹配；28.告警生成模块，用于当确定与所述网络流量数据匹配的目标预设规则时，利用所述网络流量数据生成与所述目标预设规则对应的告警信息；29.告警聚合模块，用于根据所述告警信息的名称和/或所述网络流量数据的属性，将多条所述告警信息聚合为安全事件信息，并利用所述安全事件信息进行告警。30.本发明还提供一种电子设备，包括：31.存储器，用于存储计算机程序；32.处理器，用于执行所述计算机程序时实现如上所述的告警聚合方法的步骤。33.本发明还提供一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的告警聚合方法的步骤。34.本发明提供一种告警聚合方法，包括：获取网络流量数据，并将所述网络流量数据与预设规则进行匹配；当确定与所述网络流量数据匹配的目标预设规则时，利用所述网络流量数据生成与所述目标预设规则对应的告警信息；根据所述告警信息的名称和/或所述网络流量数据的属性，将多条所述告警信息聚合为安全事件信息，并利用所述安全事件信息进行告警。35.可见，本发明在获取到网络流量数据时，首先会将其与预设规则进行匹配，以确定这些流量数据是否包含网络攻击操作，并在确定与网络流量数据相匹配的目标预设规则时，利用网络流量数据生成对应的告警信息；随后，本发明将基于告警信息的名称或网络流量数据的属性，对告警信息进行聚合，得到对应的安全事件信息，进而利用安全事件信息进行告警，这样，不仅能够对告警信息进行降噪，大幅度地降低告警信息的数量，同时还能基于具体的安全事件进行告警，能够有效提升告警价值，进而可提升相关人员处理网络安全事件的效率。本发明还提供一种告警聚合装置、电子设备及存储介质，具有上述有益效果。附图说明36.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。37.图1为本发明实施例所提供的一种告警聚合方法的流程图；38.图2为本发明实施例所提供的一种告警聚合装置的结构框图。具体实施方式39.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。40.随着网络攻击的数量和复杂程度日益增加，许多公司都引入了网络安全技术或者网络安全检测防护系统以加强对网络威胁的检测能力。这些技术可对网络攻击进行检测，并生成告警信息以提示相关人员关注及处理。然而，由于网络攻击的数量较大，巨量的告警信息不仅难以帮助相关人员进行处理，甚至可能会淹没重要的危险告警并导致网络安全灾难。有鉴于此，本发明可提供一种告警聚合方法，可基于告警信息的名称或网络流量数据的属性对告警信息进行聚合，并利用聚合后的安全事件信息进行告警，以降低告警数量并提升相关人员处理网络安全事件的效率。请参考图1，图1为本发明实施例所提供的一种告警聚合方法的流程图，该方法可以包括：41.s101、获取网络流量数据，并将网络流量数据与预设规则进行匹配。42.在本发明实施例中，网络流量数据指外部设备对某一指定设备(如服务器)的访问流量数据，其可以由五元组(即源ip地址、源端口号、目的ip地址、目的端口号及传输层协议)组成。本发明实施例在获取到网络流量数据后，会将其与预设规则进行匹配。该预设规则用于确定网络流量数据对应的访问行为是否为网络攻击行为。当确定网络流量数据与某一预设规则匹配后，可根据该预设规则，利用网络流量数据生成对应的告警信息。需要说明的是，本发明实施例并不限定具体的预设规则，可根据网络流量数据可包含的具体内容，并结合实际应用需求进行设定。进一步，为提升对网络流量数据的监控效率，预设规则可自由创建及修改，执行本方法的装置可在接收到规则创建指令时，根据该指令创建对应的预设规则；还可在接收到规则修改指令时，根据该指令修改对应的预设规则。需要说明的是，本发明实施例并不限定规则创建指令及规则修改指令的具体形式，可根据实际应用需求进行设定。43.在一种可能的情况中，还可以包括：44.步骤11：在接收到规则创建指令时，根据规则创建指令创建预设规则；45.步骤12：在接收到规则修改指令时，根据规则修改指令对与规则修改指令对应的预设规则进行修改。46.s102、当确定与网络流量数据匹配的目标预设规则时，利用网络流量数据生成与目标预设规则对应的告警信息。47.在确定与网络流量数据对应的目标预设规则之后，可利用网络流量数据生成与目标预设规则对应的告警信息。换而言之，告警信息中包含有网络流量信息的具体内容，例如当网络流量信息包含源ip地址、源端口号、目的ip地址、目的端口号及传输层协议时，告警信息中也可包含上述信息。此外，告警信息中还可包含其他内容，例如网络流量信息对应的发生时间、预设标签等，可根据实际应用需求进行设定。需要说明的是，本发明实施例并不限定特定告警信息对应的预设规则，可根据实际应用需求进行设定。48.进一步，考虑到网络流量数据的数量巨大，为提升流处理效率，可在生成告警信息之后，将其保存至流处理平台；而在进行后续聚合操作时，可再次从流处理平台中提取出告警信息。本发明实施例并不限定具体的流处理平台，优选的，可采用卡夫卡流处理平台(kafka)进行处理。49.在一种可能的情况中，在利用网络流量数据生成与目标预设规则对应的告警信息之后，还可以包括：50.步骤21：将告警信息保存至卡夫卡流处理平台。51.s103、根据告警信息的名称和/或网络流量数据的属性，将多条告警信息聚合为安全事件信息，并利用安全事件信息进行告警。52.在本发明实施例中，安全事件用于表示对系统安全造成威胁的攻击事件(例如暴力破解攻击事件、网络扫描窃听事件、漏洞攻击事件)等。将多条告警信息具体为安全事件信息，不仅能够减低告警量，更能够较好地帮助网络安全人员了解系统中正在发生的攻击事件，以便及时采取处理行动。对告警信息的聚合可根据告警信息的名称、网络流量数据的属性或这两种信息的组合进行。例如，可将具有相同告警信息名称的告警信息聚合为安全事件信息，并在安全事件信息中添加相同名称的告警信息的数量及最后生成时间，以便网络安全人员了解攻击状况。53.在一种可能的情况中，根据告警信息的名称，将多条告警信息聚合为安全事件信息，可以包括：54.步骤31：将具有相同名称的告警信息聚合为安全事件信息，并在安全事件信息中添加相同名称的告警信息的数量及最后生成时间。55.当然，也可采取更加具有关联性的方式对告警信息进行聚合。具体的，告警信息中可带有线头标记，该标记用于表示此类告警信息具有相互关联性。当确定告警信息具有线头标记时，可在预设数据库中判断是否有与告警信息名称相对应的安全事件信息，若没有则可直接新建；若有，则可进一步判定告警信息中的属性是否与该安全事件信息中的指定属性相同，例如告警信息中的源ip地址是否与安全事件信息中的源ip地址相同，若相同则可进行聚合，并更新聚合数量及最后生成时间；若不相同，则可利用告警信息建立新的安全事件信息。56.在一种可能的情况中，根据告警信息的名称和网络流量数据的属性，将多条告警信息聚合为安全事件信息，可以包括：57.步骤41：在确定告警信息具有线头标记时，判断预设数据库中是否保存有与名称对应的安全事件信息；若是，则进入步骤42；若否，则进入步骤45；58.步骤42：判断网络流量数据的属性是否与安全事件信息中的指定属性相同；若相同，则进入步骤43；若不相同，则进入步骤44；59.步骤43：更新聚合安全事件信息的告警信息的数量及最后生成时间；60.步骤44：利用告警信息在预设数据库中生成新安全事件信息；61.步骤45：利用告警信息在预设数据库中生成新安全事件信息。62.当然，若采用卡夫卡流处理平台处理告警信息，则在聚合之前还需从该平台中提取告警信息。63.相应的，在将多条告警信息聚合为安全事件信息之前，还包括：64.步骤51：从卡夫卡流处理平台中提取告警信息。65.进一步，在得到安全事件信息之后，可采用可视化输出的方式展示这些信息，例如可采用表格的形式展示安全事件的具体内容，例如可视化图表(如饼图、折线图等)对安全事件信息中数据的分布及变化情况进行可视化展示，具体可根据实际应用需求进行选择。66.在一种可能的情况中，在将多条告警信息聚合为安全事件信息之后，还可以包括：67.步骤61：对安全事件信息进行可视化输出。68.进一步，还可为各类安全事件信息设置对应的预设安全等级，并在确定某安全事件信息对应的预设安全等级以高于预设告警等级，将安全事件信息的具体内容推送至指定设备。本发明实施例并不限定预设安全等级、预设告警等级的具体设置方式，可根据实际应用需求进行设定，如设置低、中、高三个预设安全等级，并在确定某安全事件信息对应的预设安全等级以高于高等级时执行告警操作。本发明实施例也不限定向指定设备发送安全事件信息的具体方式，如通过短信或邮件的方式进行发送，可根据实际应用需求进行设定。69.在一种可能的情况中，利用安全事件信息进行告警，可以包括：70.步骤71：判断安全事件信息对应的预设安全等级是否高于预设告警等级；若是，则进入步骤72；若否，则不进行告警；71.步骤72：将安全事件信息发送至指定设备。72.基于上述实施例，本发明在获取到网络流量数据时，首先会将其与预设规则进行匹配，以确定这些流量数据是否包含网络攻击操作，并在确定与网络流量数据相匹配的目标预设规则时，利用网络流量数据生成对应的告警信息；随后，本发明将基于告警信息的名称或网络流量数据的属性，对告警信息进行聚合，得到对应的安全事件信息，进而利用安全事件信息进行告警，这样，不仅能够对告警信息进行降噪，大幅度地降低告警信息的数量，同时还能基于具体的安全事件进行告警，能够有效提升告警价值，进而可提升相关人员处理网络安全事件的效率。73.下面对本发明实施例提供的告警聚合装置、电子设备及存储介质进行介绍，下文描述的告警聚合装置、电子设备及存储介质与上文描述的告警聚合方法可相互对应参照。74.请参考图2，图2为本发明实施例所提供的一种告警聚合装置的结构框图，该装置可以包括：75.匹配模块201，用于获取网络流量数据，并将网络流量数据与预设规则进行匹配；76.告警生成模块202，用于当确定与网络流量数据匹配的目标预设规则时，利用网络流量数据生成与目标预设规则对应的告警信息；77.告警聚合模块203，用于根据告警信息的名称和/或网络流量数据的属性，将多条告警信息聚合为安全事件信息，并利用安全事件信息进行告警。78.可选地，告警聚合模块203，可以包括：79.第一聚合子单元，用于将具有相同名称的告警信息聚合为安全事件信息，并在安全事件信息中添加相同名称的告警信息的数量及最后生成时间。80.可选地，该装置还可以包括：81.保存模块，用于在利用网络流量数据生成与目标预设规则对应的告警信息之后，将告警信息保存至卡夫卡流处理平台；82.相应的，该装置还可以包括：83.提取模块，用于在将多条告警信息聚合为安全事件信息之前，从卡夫卡流处理平台中提取告警信息。84.可选地，告警聚合模块203，可以包括：85.告警判断子模块，用于判断安全事件信息对应的预设安全等级是否高于预设告警等级；86.发送子模块，用于若是，则将安全事件信息发送至指定设备。87.可选地，在将多条告警信息聚合为安全事件信息之后，还包括：88.可视化输出模块，用于对安全事件信息进行可视化输出。89.可选地，还包括：90.预设规则创建模块，用于在接收到规则创建指令时，根据规则创建指令创建预设规则；91.预设规则修改模块，用于在接收到规则修改指令时，根据规则修改指令对与规则修改指令对应的预设规则进行修改。92.可选地，告警聚合模块203，可以包括：93.判断子模块，用于在确定告警信息具有线头标记时，判断预设数据库中是否保存有与名称对应的安全事件信息；94.第一处理子模块，用于若是，则判断网络流量数据的属性是否与安全事件信息中的指定属性相同；若相同，则更新聚合安全事件信息的告警信息的数量及最后生成时间；若不相同，则利用告警信息在预设数据库中生成新安全事件信息；95.第二处理子模块，用于若否，则利用告警信息在预设数据库中生成新安全事件信息。96.本发明实施例还提供一种电子设备，包括：97.存储器，用于存储计算机程序；98.处理器，用于执行计算机程序时实现如上述的告警聚合方法的步骤。99.由于电子设备部分的实施例与告警聚合方法部分的实施例相互对应，因此电子设备部分的实施例请参见告警聚合方法部分的实施例的描述，这里暂不赘述。100.本发明实施例还提供一种存储介质，存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述任意实施例的告警聚合方法的步骤。101.由于存储介质部分的实施例与告警聚合方法部分的实施例相互对应，因此存储介质部分的实施例请参见告警聚合方法部分的实施例的描述，这里暂不赘述。102.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。103.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。104.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。105.以上对本发明所提供的一种告警聚合方法、装置、电子设备及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!