本申请提供一种告警事件去误报方法及装置,应用于网络安全领域,方法包括:获取多个原始告警事件;提取每一原始告警事件对应的特征数据;其中,特征数据包括IP信息以及事件时间,IP信息为源IP信息或者目的IP信息,事件时间为原始告警事件发生的时间;针对IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;对事件数量序列进行趋势性分析,以确定原始告警事件中误报的告警事件。在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。
【技术实现步骤摘要】
一种告警事件去误报方法及装置
本申请涉及网络安全领域,具体而言,涉及一种告警事件去误报方法及装置。
技术介绍
各类安全产品所产生的告警中往往存在大量的错误报警,这些错误的告警会给网络安全分析人员带来严重的干扰。例如,一些正常的设备由于配置或操作失误导致生成大量的安全事件,造成误报,使网络安全分析人员无法正确分析该设备的工作状态。现有技术中,一般是基于统计分析的方法对大规模和大数量的警报进行分析。其中,采用统计分析的方法首先是找出符合误报特征的警报集,然后提取过滤规则(过滤规则一般是以警报集的具体特征为基础),以利用过滤规则识别出错误的告警,从而实现告警事件的去误报。但是,由于不同安全设备产生的告警的特征并不相同,因此采用上述统计分析的方式进行去误报,准确率较低。
技术实现思路
本申请实施例的目的在于提供一种告警事件去误报方法及装置,用以解决告警事件去误报的准确率较低的技术问题。为了实现上述目的,本申请实施例所提供的技术方案如下所示:第一方面,本申请实施例提供一种告警事件去误报方法,包括:获取多个原始告警事件;提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件,包括:计算第二预设时间段内事件数量序列的方差;判断所述方差是否大于第一预设阈值;若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的方差,从而实现对告警事件进行趋势性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:xi(i=1,2,……,n)={x1,x2,……,xn};所述计算第二预设时间段内事件数量序列的方差,包括:利用如下公式计算所述方差:其中,s2为所述方差,为所述事件数量序列的平均值。在本申请的可选实施例中,在所述判断所述方差是否大于第一预设阈值之后,所述方法还包括:若所述方差大于所述第一预设阈值,表征所述事件数量序列不存在稳定的趋势性,则对所述事件数量序列进行周期性分析。在上述方案中,在对告警事件进行趋势性分析的基础上进一步对告警事件进行周期性分析,以确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述对所述事件数量序列进行周期性分析,包括:对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期;计算所述第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度;判断所述相似度是否大于第二预设阈值;若所述相似度大于所述第二预设阈值,表征所述事件数量序列存在周期性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的告警周期,并计算两个连续告警周期分别对应的事件数量序列之间的相似度,从而实现对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期,包括:利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图;确定所述频率图中峰值对应的频率点;根据所述频率点确定所述告警周期。在上述方案中,可以通过快速傅里叶变换确定告警周期,以根据告警周期对告警事件进行周期性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:xi(i=1,2,……,n)={x1,x2,……,xn};所述利用所述快速傅里叶变换将所述事件数量序列对应的时序图转换为频率图,包括:利用如下公式将所述事件数量序列对应的时序图转换为频率图:在本申请的可选实施例中,所述告警周期为p,所述第二预设时间段内事件数量序列为:xi(i=1,2,……,n)={x1,x2,……,xn};所述两个连续告警周期分别对应的时间周期数量序列为:yi={x(1),x(2),……,x(p)}以及zi={x(p+1),x(p+22),……,x(2p)};所述计算所述第二预设时间段内,两个连续告警周期分别对应的时间周期数量序列之间的相似度,包括:利用如下公式计算所述相似度:其中,r为所述相似度,以及分别为所述两个连续告警周期分别对应的时间周期数量序列的平均值。第二方面,本申请实施例提供一种告警事件去误报装置,包括:获取模块,用于获取多个原始告警事件;提取模块,用于提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;确定模块,用于针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;趋势性分析模块,用于对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。在上述方案中,通过对IP信息相同的告警事件进行趋势性分析,从而确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述趋势性分析模块还用于:计算第二预设时间段内事件数量序列的方差;判断所述方差是否大于第一预设阈值;若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。在上述方案中,通过计算IP信息相同的告警事件的数量序列的方差,从而实现对告警事件进行趋势性分析并确定其中误报的事件。由于本方案根据真实安全事件在时间上的变化规律以实现告警事件的去误报,因此,可以提高告警事件去误报的准确率。在本申请的可选实施例中,所述第二预设时间段内事件数量序列为:xi(i=1,2,……,n)={x1,x2,…本文档来自技高网...
【技术保护点】
1.一种告警事件去误报方法,其特征在于,包括:/n获取多个原始告警事件;/n提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;/n针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;/n对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。/n
【技术特征摘要】
1.一种告警事件去误报方法,其特征在于,包括:
获取多个原始告警事件;
提取每一原始告警事件对应的特征数据;其中,所述特征数据包括IP信息以及事件时间,所述IP信息为源IP信息或者目的IP信息,所述事件时间为所述原始告警事件发生的时间;
针对所述IP信息相同的多个原始告警事件,确定每隔第一预设时间段内原始告警事件的数量,得到事件数量序列;
对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件。
2.根据权利要求1所述的告警事件去误报方法,其特征在于,所述对所述事件数量序列进行趋势性分析,以确定所述原始告警事件中误报的告警事件,包括:
计算第二预设时间段内事件数量序列的方差;
判断所述方差是否大于第一预设阈值;
若所述方差小于所述第一预设阈值,表征所述事件数量序列存在稳定的趋势性,则确定所述IP信息对应的原始告警事件为误报的告警事件。
3.根据权利要求2所述的告警事件去误报方法,其特征在于,所述第二预设时间段内事件数量序列为:
xi(i=1,2,……,n)={x1,x2,……,xn};
所述计算第二预设时间段内事件数量序列的方差,包括:
利用如下公式计算所述方差:
其中,s2为所述方差,为所述事件数量序列的平均值。
4.根据权利要求2所述的告警事件去误报方法,其特征在于,在所述判断所述方差是否大于第一预设阈值之后,所述方法还包括:
若所述方差大于所述第一预设阈值,表征所述事件数量序列不存在稳定的趋势性,则对所述事件数量序列进行周期性分析。
5.根据权利要求4所述的告警事件去误报方法,其特征在于,所述对所述事件数量序列进行周期性分析,包括:
对所述第二预设时间段内事件数量序列进行快速傅里叶变换,得到告警周期;
计算所述第二预设时间段内,两个连续告警周期分别对应的事件周期数量序列之间的相似度;
判断所述相似度是否大于第二预设阈值;
若所述相似度大于所述第二预设阈值,表征所述事件数量序列存在周期性,则确定所述IP信息对应的原始告警事件为误报的告警事件。
6....
【专利技术属性】
技术研发人员:鲍青波,周晓阳,张楠,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。