本说明书实施例提供告警方法以及装置,其中所述告警方法包括:获取产生告警的多个攻击事件,将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系,根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创建关系,将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系,根据关联关系对多个攻击事件进行告警聚合,提高了告警聚合的效率和准确性。提高了告警聚合的效率和准确性。提高了告警聚合的效率和准确性。
Alarm method and device
【技术实现步骤摘要】
告警方法以及装置
[0001]本说明书实施例涉及计算机
,特别涉及一种告警方法。
技术介绍
[0002]随着计算机技术的发展,信息系统的链路越来越复杂,随之也会伴随大量攻击事件的发生。以网络攻击事件为例,网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
[0003]目前,通常在链路中布置危险探针,由危险探针对链路中发生的攻击事件进行告警。但随着访问链路越来越的复杂,告警事件也越来越多,导致人们难以直接通过告警事件确定当前系统潜在的危害,因此,亟需一种高效、准确的告警方案。
技术实现思路
[0004]有鉴于此,本说明书实施例提供了一种告警方法。本说明书一个或者多个实施例同时涉及一种告警装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
[0005]根据本说明书实施例的第一方面,提供了一种告警方法,包括:
[0006]获取产生告警的多个攻击事件;
[0007]将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系;
[0008]根据关联关系对多个攻击事件进行告警聚合。
[0009]可选地,在获取产生告警的多个攻击事件的步骤之前,还包括:
[0010]在数据链路上设置多个节点探针;
[0011]响应于节点探针识别到攻击事件的发生,对攻击事件进行告警。
[0012]可选地,对攻击事件进行告警的步骤,包括:
[0013]获取至少一个预设时间段内发生的攻击事件;
[0014]在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
[0015]可选地,在预设告警窗口中对预设时间段内发生的攻击事件进行告警的步骤,包括:
[0016]获取攻击事件对应的事件节点和攻击事件的攻击方向;
[0017]根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
[0018]可选地,将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系的步骤,包括:
[0019]针对多个攻击事件,在预先设置的事件关系图谱中查找攻击事件对应的局部关系图;
[0020]根据局部关系图,获得多个攻击事件之间的关联关系。
[0021]可选地,根据关联关系对多个攻击事件进行告警聚合的步骤,包括:
[0022]获取多个攻击事件对应的多个事件节点;
[0023]根据关联关系,连接多个事件节点,生成多个攻击事件的聚合告警路径。
[0024]可选地,在生成多个攻击事件的聚合告警路径的步骤之后,还包括:
[0025]在预设告警窗口中显示聚合告警路径。
[0026]根据本说明书实施例的第二方面,提供了一种告警装置,包括:
[0027]获取模块,被配置为获取产生告警的多个攻击事件;
[0028]匹配模块,被配置为将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系;
[0029]聚合模块,被配置为根据关联关系对多个攻击事件进行告警聚合。
[0030]可选地,该装置还包括:
[0031]告警模块,被配置为在数据链路上设置多个节点探针;响应于节点探针识别到攻击事件的发生,对攻击事件进行告警。
[0032]可选地,告警模块,进一步被配置为获取至少一个预设时间段内发生的攻击事件;在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
[0033]可选地,告警模块,进一步被配置为获取攻击事件对应的事件节点和攻击事件的攻击方向;根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
[0034]可选地,匹配模块,进一步被配置为针对多个攻击事件,在预先设置的事件关系图谱中查找攻击事件对应的局部关系图;根据局部关系图,获得多个攻击事件之间的关联关系。
[0035]可选地,聚合模块,进一步被配置为获取多个攻击事件对应的多个事件节点;根据关联关系,连接多个事件节点,生成多个攻击事件的聚合告警路径。
[0036]可选地,该装置还包括:
[0037]显示模块,被配置为在预设告警窗口中显示聚合告警路径。
[0038]根据本说明书实施例的第三方面,提供了一种计算设备,包括:
[0039]存储器和处理器;
[0040]所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令:
[0041]获取产生告警的多个攻击事件;
[0042]将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系;
[0043]根据关联关系对多个攻击事件进行告警聚合。
[0044]根据本说明书实施例的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述告警方法的步骤。
[0045]根据本说明书实施例的第五方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述告警方法的步骤。
[0046]本说明书一个实施例提供的告警方法,通过获取产生告警的多个攻击事件,将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系,根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创
建关系,将多个攻击事件与预先设置的事件关系图谱进行匹配,获得多个攻击事件之间的关联关系,根据关联关系对多个攻击事件进行告警聚合,提高了告警聚合的效率和准确性。
附图说明
[0047]图1是本说明书一个实施例提供的一种告警方法的流程图;
[0048]图2是本说明书一个实施例提供的一种预设告警窗口的示意图;
[0049]图3是本说明书一个实施例提供的一种事件关系图谱的示意图;
[0050]图4a是本说明书一个实施例提供的一种局部关系图a的示意图;
[0051]图4b是本说明书一个实施例提供的一种局部关系图b的示意图;
[0052]图4c是本说明书一个实施例提供的一种局部关系图c的示意图;
[0053]图5是本说明书一个实施例提供的一种聚合告警路径的示意图;
[0054]图6是本说明书一个实施例提供的一种告警方法的处理过程流程图;
[0055]图7是本说明书一个实施例提供的一种告警装置的结构示意图;
[0056]图8是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
[0057]在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
[0058]在本说明书一个或多个实本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种告警方法,包括:获取产生告警的多个攻击事件;将所述多个攻击事件与预先设置的事件关系图谱进行匹配,获得所述多个攻击事件之间的关联关系;根据所述关联关系对所述多个攻击事件进行告警聚合。2.根据权利要求1所述的方法,在所述获取产生告警的多个攻击事件的步骤之前,还包括:在数据链路上设置多个节点探针;响应于所述节点探针识别到攻击事件的发生,对所述攻击事件进行告警。3.根据权利要求2所述的方法,所述对所述攻击事件进行告警的步骤,包括:获取至少一个预设时间段内发生的攻击事件;在预设告警窗口中对所述预设时间段内发生的攻击事件进行告警。4.根据权利要求3所述的方法,所述在预设告警窗口中对所述预设时间段内发生的攻击事件进行告警的步骤,包括:获取所述攻击事件对应的事件节点和所述攻击事件的攻击方向;根据所述事件节点和所述攻击方向在所述预设告警窗口中对所述攻击事件进行告警。5.根据权利要求1所述的方法,所述将所述多个攻击事件与预先设置的事件关系图谱进行匹配,获得所述多个攻击事件之间的关联关系的步骤,包括:针对所述多个攻击事件,在所述预先设置的事件关系图谱中查找所述攻击事件对应的局部关系图;根...
【专利技术属性】
技术研发人员:陆奕言,
申请(专利权)人:浙江网商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。