【技术实现步骤摘要】
本申请涉及计算机,尤其涉及一种告警日志压缩方法、装置、设备以及存储介质。
技术介绍
1、随着信息化的发展,很多的门户网站以及业务系统一直遭受着持续的攻击,为了保护系统数据安全,门户网站一般会通过安全设备来进行网络攻击防护。
2、为了便于后期的统计更新,安全设备在进行攻击防护期间,会持续对系统所遭受到的攻击进行记录,并以告警日志的形式报告给运维人员。然而由于很多攻击都是同一类型的重复攻击,且攻击频次很高,这大大增加了运维人员的负担,并且在海量的告警日志中,运维人员容易忽略重要的告警。
3、针对上述问题,目前常用的告警日志处理手段主要是以下几种:
4、方法1,聚类:该方法主要通过提取指定字段特征,对提取后的数据使用算法聚类,以减少重复日志数量。
5、然而该种方法存在的问题在于,只有在数据量足够大,且数据种类较好的涵盖的情况下,才能训练好一个完整的聚类模型。除此之外,该方法由于是在已有的经验上进行训练得到模型的,当出现变种告警的时候,会有比较差的鲁棒性,也就是会漏报。
6、方法2,预设规则:该方法通过指定告警类型和压缩规则之间的关系,根据预设好的关系,对告警数据根据其告警类型,选择压缩规则,实现对告警的压缩。
7、该种方法存在的问题在于,预设规则需要人为经验来设定,而经验因人而异,且人的经验有时候是不完整的,无法完全发现告警之间的相似性,只能使用单类告警的规律,无法发现且也不可能发现不同告警类型组合之间的区别。除此之外,预设的规则只能匹配到符合规则的告警,这样属于
8、由此可见,目前亟需一种可以高效准确地实现告警数据压缩的方法。
技术实现思路
1、本申请实施例提供一种告警日志压缩方法,用以解决现有告警日志压缩方案存在鲁棒性较差,且在进行告警日志匹配时,主要依赖人为经验,导致无法完全发现告警之间的相似性,进而导致匹配结果不准确,压缩效率不高的问题。
2、本申请实施例还提供一种告警日志压缩装置,用以解决现有告警日志压缩方案存在鲁棒性较差,且在进行告警日志匹配时,主要依赖人为经验,导致无法完全发现告警之间的相似性,进而导致匹配结果不准确,压缩效率不高的问题。
3、本申请实施例还提供一种告警日志压缩设备,用以解决现有告警日志压缩方案存在鲁棒性较差,且在进行告警日志匹配时,主要依赖人为经验,导致无法完全发现告警之间的相似性,进而导致匹配结果不准确,压缩效率不高的问题。
4、本申请实施例还提供一种计算机可读存储介质,用以解决现有告警日志压缩方案存在鲁棒性较差,且在进行告警日志匹配时,主要依赖人为经验,导致无法完全发现告警之间的相似性,进而导致匹配结果不准确,压缩效率不高的问题。
5、本申请实施例采用下述技术方案:
6、一种告警日志压缩方法,包括:获取第一告警日志,其中,所述第一告警日志所携带的告警字段包括以下至少之一:告警时间、源ip地址、目的ip地址、目的端口以及请求头;获取告警分类列表,根据所述告警时间、所述源ip地址、所述目的ip地址以及所述目的端口,判断所述告警分类列表中是否存在与所述第一告警日志匹配的告警类型,其中,所述告警分类列表包括告警类型以及所述告警类型对应的至少一条第二告警数据;当判断结果为是时,根据所述第一告警日志以及与所述告警日志匹配的告警类型,构建预测矩阵;将所述预测矩阵输入预先训练得到的数据相似度匹配模型,得到所述孪生神经网络模型输出的、所述第一告警日志与所述第二告警数据的相似度值;根据所述相似度值,为所述第一告警日志添加告警类型标签,并根据所述告警类型标签,对所述第一告警日志进行压缩。
7、一种告警日志压缩装置,包括:告警日志获取单元,用于获取第一告警日志,其中,所述第一告警日志所携带的告警字段包括以下至少之一:告警时间、源ip地址、目的ip地址、目的端口以及请求头;告警类型匹配单元,用于获取告警分类列表,根据所述告警时间、所述源ip地址、所述目的ip地址以及所述目的端口,判断所述告警分类列表中是否存在与所述第一告警日志匹配的告警类型,其中,所述告警分类列表包括告警类型以及所述告警类型对应的至少一条第二告警数据;预测矩阵构建单元,用于当告警类型匹配单元得到的判断结果为是时,根据所述第一告警日志以及与所述告警日志匹配的告警类型,构建预测矩阵;相似度计算单元,用于将所述预测矩阵输入预先训练得到的数据相似度匹配模型,得到所述孪生神经网络模型输出的、所述第一告警日志与所述第二告警数据的相似度值;压缩单元,用于根据所述相似度值,为所述第一告警日志添加告警类型标签,并根据所述告警类型标签,对所述第一告警日志进行压缩。
8、一种告警日志压缩设备,包括:
9、处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:获取第一告警日志,其中,所述第一告警日志所携带的告警字段包括以下至少之一:告警时间、源ip地址、目的ip地址、目的端口以及请求头;获取告警分类列表,根据所述告警时间、所述源ip地址、所述目的ip地址以及所述目的端口,判断所述告警分类列表中是否存在与所述第一告警日志匹配的告警类型,其中,所述告警分类列表包括告警类型以及所述告警类型对应的至少一条第二告警数据;当判断结果为是时,根据所述第一告警日志以及与所述告警日志匹配的告警类型,构建预测矩阵;将所述预测矩阵输入预先训练得到的数据相似度匹配模型,得到所述孪生神经网络模型输出的、所述第一告警日志与所述第二告警数据的相似度值;根据所述相似度值,为所述第一告警日志添加告警类型标签,并根据所述告警类型标签,对所述第一告警日志进行压缩。
10、一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:获取第一告警日志,其中,所述第一告警日志所携带的告警字段包括以下至少之一:告警时间、源ip地址、目的ip地址、目的端口以及请求头;获取告警分类列表,根据所述告警时间、所述源ip地址、所述目的ip地址以及所述目的端口,判断所述告警分类列表中是否存在与所述第一告警日志匹配的告警类型,其中,所述告警分类列表包括告警类型以及所述告警类型对应的至少一条第二告警数据;当判断结果为是时,根据所述第一告警日志以及与所述告警日志匹配的告警类型,构建预测矩阵;将所述预测矩阵输入预先训练得到的数据相似度匹配模型,得到所述孪生神经网络模型输出的、所述第一告警日志与所述第二告警数据的相似度值;根据所述相似度值,为所述第一告警日志添加告警类型标签,并根据所述告警类型标签,对所述第一告警日志进行压缩。
11、本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
12、采用本申请实施例提供的告警日志压缩方法,针对系统安全设备产生的告警日志,首先可以根据告警日志的告警时间、源ip地址、目的ip地址以及目的端口,判断该条告警日本文档来自技高网...
【技术保护点】
1.一种告警日志压缩方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一告警日志以及与所述告警日志匹配的告警类型,构建预测矩阵,具体包括:
3.权利要求1所述的方法,其特征在于,获取告警分类列表,根据所述告警时间、所述源IP地址、所述目的IP地址以及所述目的端口,判断所述告警分类列表中是否存在与所述第一告警日志匹配的告警类型之前,还包括:
4.权利要求1所述的方法,其特征在于,所述数据相似度匹配模型是通过孪生神经网络模型构建的。
5.根据权利要求1所述的方法,其特征在于,预先训练所述数据相似度匹配模型,具体包括:
6.根据权利要求1所述的方法,其特征在于,还包括:
7.一种告警日志压缩装置,其特征在于,包括:
8.根据权利要求7所述的装置,其特征在于,预测矩阵构建单元,具体用于:
9.一种告警日志压缩设备,包括:
10.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使
...【技术特征摘要】
1.一种告警日志压缩方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一告警日志以及与所述告警日志匹配的告警类型,构建预测矩阵,具体包括:
3.权利要求1所述的方法,其特征在于,获取告警分类列表,根据所述告警时间、所述源ip地址、所述目的ip地址以及所述目的端口,判断所述告警分类列表中是否存在与所述第一告警日志匹配的告警类型之前,还包括:
4.权利要求1所述的方法,其特征在于,所述数据相似度匹配模型是通过孪生神经网络模型构建的。
5.根据权...
【专利技术属性】
技术研发人员:许律宾,尹宁旻,曾卓琳,杨果,颜兴建,刘娇琼,
申请(专利权)人:中国移动通信集团云南有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。