CN113595797A - 告警信息的处理方法、装置、电子设备及存储介质 - Google Patents

告警信息的处理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113595797A
CN113595797A CN202110881393.1A CN202110881393A CN113595797A CN 113595797 A CN113595797 A CN 113595797A CN 202110881393 A CN202110881393 A CN 202110881393A CN 113595797 A CN113595797 A CN 113595797A
Authority
CN
China
Prior art keywords
matching
rule
matching rule
target
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110881393.1A
Other languages
English (en)
Other versions
CN113595797B (zh
Inventor
谷然
杨洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huijun Technology Co ltd
Original Assignee
Beijing Huijun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huijun Technology Co ltd filed Critical Beijing Huijun Technology Co ltd
Priority to CN202110881393.1A priority Critical patent/CN113595797B/zh
Publication of CN113595797A publication Critical patent/CN113595797A/zh
Application granted granted Critical
Publication of CN113595797B publication Critical patent/CN113595797B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本公开涉及一种告警信息的处理方法、装置、电子设备及存储介质,上述方法包括:从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。

Description

告警信息的处理方法、装置、电子设备及存储介质
技术领域
本公开涉及通信领域,尤其涉及一种告警信息的处理方法、装置、电子设备及存储介质。
背景技术
随着云计算的快速发展,云主机被广泛应用,云主机的安全问题也越发引得用户重视。现有技术,在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式。因为不同的云主机常常会收到相同的安全告警通知,或者用户处理完告警后,如果下次有相同的安全告警产生时,用户仍然需要再处理一遍,这无疑会给用户带来很大的不便。
在实现本公开构思的过程中,发明人发现相关技术中至少存在如下技术问题:在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式等问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开的实施例提供了一种告警信息的处理方法、装置、电子设备及存储介质,以至少解决现有技术中,在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式等问题。
本公开的目的是通过以下技术方案实现的:
第一方面,本公开的实施例提供了一种告警信息的处理方法,包括:从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
在一个示范性实施例中,所述对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则,包括:将在所述多个第二匹配规则中存在的与所述第一匹配规则一样的匹配规则确定为所述目标第二匹配规则;或者将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则。
在一个示范性实施例中,所述将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则,包括:将所述第一匹配规则和所述多个第二匹配规则中的每个第二匹配规则依次输入多层卷积神经网络,以分别得到所述第一匹配规则对应的第一匹配规则特征和所述每个第二匹配规则对应的第二匹配规则特征;分别计算所述第一匹配规则特征与所述每个第二匹配规则特征的相似度;将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
在一个示范性实施例中,所述从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的之后,所述方法还包括:在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,向目标对象发送告警提醒,以从所述目标对象获取告警处理指令;根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
在一个示范性实施例中,所述根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息之后,所述方法还包括:从接收到的所述目标告警信息中提取所述第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的所述告警类型和所述行为特征;将所述第一匹配规则和所述告警处理方式存储在所述预处理数据库;在所述预处理数据库中增加关系指示信息,其中,所述关系指示信息用于指示所述第一匹配规则和所述告警处理方式的对应关系。
在一个示范性实施例中,所述从接收到的目标告警信息中提取第一匹配规则之后,所述方法还包括:接收目标对象发送的匹配规则编辑指令;通过中间件程序接口对所述目标对象的权限进行验证;在对所述目标对象的权限验证通过的情况下,根据所述匹配规则编辑指令对所述预处理数据库中的多个第二匹配规则进行编辑操作,其中,所述编辑操作包括:规则修改操作、规则删除操作和规则新增操作。
在一个示范性实施例中,包括:从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数;当第二目标告警信息在预设时间区间内出现的次数大于第一预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则删除操作,其中,所述多个告警信息包括所述第二目标告警信息。
在一个示范性实施例中,所述从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数之后,所述方法还包括:当所述第二目标告警信息在所述预设时间区间内出现的次数大于第二预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则优先级加强操作,其中,所述规则优先级加强操作用于提高在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作中的优先级。
第二方面,本公开的实施例提供了一种告警信息的处理装置,包括:提取模块,用于从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;获取模块,用于从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;执行模块,用于对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;处理模块,用于获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
第三方面,本公开的实施例提供了一种电子设备。上述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序时,实现如上所述的告警信息的处理方法或图像处理的方法。
第四方面,本公开的实施例提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现如上所述的告警信息的处理方法或图像处理的方法。
本公开实施例提供的上述技术方案与现有技术相比至少具有如下优点的部分或全部:从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。采用上述技术手段,解决了现有技术中,在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式等问题,从而提高云主机的安全性和处理云主机安全告警的效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出了本公开实施例一种告警信息的处理方法的计算机终端的硬件结构框图;
图2示意性示出了本公开实施例的一种告警信息的处理方法的流程图;
图3示意性示出了本公开实施例的一种告警信息的处理方法的流程示意图;
图4示意性示出了本公开实施例的一种匹配规则修改的流程图;
图5示意性示出了本公开实施例的一种告警信息的处理装置的结构框图;
图6示意性示出了本公开实施例提供的一种电子设备的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本公开。需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本公开实施例所提供的方法实施例可以在计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1示意性示出了本公开实施例的一种告警信息的处理方法的计算机终端的硬件结构框图。如图1所示,计算机终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器(Microprocessor Unit,简称是MPU)或可编程逻辑器件(Programmable logic device,简称是PLD)等处理装置和用于存储数据的存储器104,可选地,上述计算机终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机终端的结构造成限定。例如,计算机终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示等同功能或比图1所示功能更多的不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本公开实施例中的告警信息的处理方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本公开实施例中提供了一种告警信息的处理方法,图2示意性示出了本公开实施例的一种告警信息的处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;
步骤S204,从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;
步骤S206,对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;
步骤S208,获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
需要说明的是,处理过的多个告警信息可以是多台云主机收到的。
通过本公开,从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。采用上述技术手段,解决了现有技术中,在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式等问题,从而提高云主机的安全性和处理云主机安全告警的效率。
在云主机的安全问题中,恶意攻击者不只是攻击一台云主机,因此不同的云主机常常会收到相同的安全告警通知。考虑到业务的影响情况,用户如果选择手动处理,用户需要依次登录每台云主机去修复漏洞,当受攻击的云主机较多时,这无疑会给用户带来很大的不便;处理完告警后,如果下次有相同的安全告警产生时,用户仍然需要再处理一遍,这无疑会给用户带来很大的不便。
在步骤S206中有多种可选实施例,其中一种可选实施例:对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则,包括:将在所述多个第二匹配规则中存在的与所述第一匹配规则一样的匹配规则确定为所述目标第二匹配规则;或者将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则。
从所述多个第二匹配规则中确定目标第二匹配规则,目标第二匹配规则可以是在所述多个第二匹配规则中与所述第一匹配规则一样的匹配规则;目标第二匹配规则也可以是在所述多个第二匹配规则中与所述第一匹配规则的相似度大于预设阈值的匹配规则。其中,所述多个第二匹配规则包括目标第二匹配规则。
可选地,上述相似度可以替换为关联度等信息类似或者关联的表述形式。
需要说明的是,安全告警可以分为病毒木马、网页木马、***后门、可疑操作和敏感文件篡改等大类。实际上上述告警信息都是由于云主机安全中心检测到云主机的某些命令、进程或者文件的特征与预处理数据库中的匹配规则能够匹配而产生的告警。举例说明,一条告警信息为:“发现时间:2021-03-08 17:32:50主机ID/主机名称:i-ui1t32ns4d/EDR_容器安全告警子类:密码文件修改等级:严重状态:待处理详情与建议操作:忽略本次误报已线下处理”。本公开实施例对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,可以从预处理数据库中的多个第二匹配规则中确定目标第二匹配规则,其中,目标第二匹配规则为“^(vipw|\/usr\/sbin\/vipw)[]+-s”,那么根据目标第二匹配规则,告警信息的详情显示为“vipw–s,风险描述为:使用非法软件修改shadow文件”。本公开实施例通过在预处理数据库中保存多个第二匹配规则,在对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,根据确定的目标第二匹配规则,找到告警信息的详情显示或者详情描述,进而获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
在一个可选实施例中,将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则,包括:将所述第一匹配规则和所述多个第二匹配规则中的每个第二匹配规则依次输入多层卷积神经网络,以分别得到所述第一匹配规则对应的第一匹配规则特征和所述每个第二匹配规则对应的第二匹配规则特征;分别计算所述第一匹配规则特征与所述每个第二匹配规则特征的相似度;将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
确定所述目标第二匹配规则,可以将所述第一匹配规则和每个第二匹配规则依次输入多层卷积神经网络,各个匹配规则对应的匹配规则特征。计算所述第一匹配规则对应所述第一匹配规则特征和每个第二匹配规则对应的第二匹配规则特征的相似度。其中,所述第一匹配规则对应所述第一匹配规则特征的相似度,可以理解为所述第一匹配规则的相似度,所述第二匹配规则对应所述第二匹配规则特征的相似度,可以理解为所述第二匹配规则的相似度。将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
可选地,将在所述多个第二匹配规则中存在的与所述第一匹配规则的关联度大于预设阈值的匹配规则确定为所述目标第二匹配规则,包括:将所述第一匹配规则和所述多个第二匹配规则中的每个第二匹配规则依次输入多层卷积神经网络,以分别得到所述第一匹配规则对应的第一匹配规则特征和所述每个第二匹配规则对应的第二匹配规则特征;分别计算所述第一匹配规则特征与所述每个第二匹配规则特征的关联度;将在所述多个第二匹配规则中存在的与所述第一匹配规则的关联度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
在执行步骤S204之后,也就是所述从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的之后,所述方法还包括:在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,向目标对象发送告警提醒,以从所述目标对象获取告警处理指令;根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
处理目标告警信息可以是根据预处理数据库中的目标第二匹配规则对应的告警处理方式处理,如果预处理数据库中不存在目标第二匹配规则,那么向目标对象发送告警提醒,提醒目标对象根据所述告警提醒发送告警处理指令。在接收到所述告警提醒发送告警处理指令的情况下,根据所述告警处理指令确定所述告警处理方式,根据所述告警处理方式处理所述目标告警信息。其中,用户可以选择的处理方式有很多种,包括“忽略”、“线下处理”、“加白名单”或者“误报”,还有部分告警提供自动修复、批量修复等功能。告警是以主机为粒度提供,用户需要查看每条安全告警信息并根据业务情况选择处理方式。需要说明的是,用户选择的处理方式包含在目标对象发送告警处理指令中。
根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息之后,所述方法还包括:从接收到的所述目标告警信息中提取所述第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的所述告警类型和所述行为特征;将所述第一匹配规则和所述告警处理方式存储在所述预处理数据库;在所述预处理数据库中增加关系指示信息,其中,所述关系指示信息用于指示所述第一匹配规则和所述告警处理方式的对应关系。
因为根据所述告警处理指令确定所述告警处理方式,进而处理所述目标告警信息是在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,进行的操作,也就是说此时目标告警信息对应的第一匹配规则和告警处理方式没有保存在预处理数据库中,为了避免处理完告警后,如果下次有相同的安全告警产生时,用户仍然需要再处理一遍的问题,可以在处理所述目标告警信息之后,将提取到的所述第一匹配规则和根据所述告警处理指令确定所述告警处理方式存储在所述预处理数据库。同时,还应该在所述预处理数据库中增加用于指示所述第一匹配规则和所述告警处理方式的对应关系的关系指示信息,以便在预处理数据库中根据在所述第一匹配规则确定所述告警处理方式。
在执行步骤S202之后,也就是从接收到的目标告警信息中提取第一匹配规则之后,所述方法还包括:接收目标对象发送的匹配规则编辑指令;通过中间件程序接口对所述目标对象的权限进行验证;在对所述目标对象的权限验证通过的情况下,根据所述匹配规则编辑指令对所述预处理数据库中的多个第二匹配规则进行编辑操作,其中,所述编辑操作包括:规则修改操作、规则删除操作和规则新增操作。
为了处理告警信息,本公开实施例增加安全中心。在安全中心的用户设置界面,开发用户预处理模块展示界面,此界面将要查询的预处理数据库的数据通过前端接口,下发给中间件程序接口,通过中间件程序接口读取预处理数据库中保存的多个第二匹配规则,然后返回给用户预处理模块展示界面进行展示。多个第二匹配规则的删除和修改等操作设置有权限限制,当用户删除或者修改某条告警规则时,前端接口先对用户的权限属性进行判断,判断可以操作后,再将用户的操作下发给中间件程序接口,由中间件程序接口读写预处理数据库。最高权限的用户可以删除某条规则的数据或者给某条规则添加例外主机,由此,可以在下次该类告警上报时,重新处理该类规则,并将新的规则写到数据库。
也就是说前端接口将查询指令下发给中间层程序接口,中间层程序接口调用预处理数据库中保存的告警规则,预处理数据库将告警规则返回给中间层程序接口,中间层程序接口返回给前端接口。其中,中间层程序接口保存调用权限等信息,中间层程序接口可以对用户的权限就行校验。
在一个可选实施例中,包括:从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数;当第二目标告警信息在预设时间区间内出现的次数大于第一预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则删除操作,其中,所述多个告警信息包括所述第二目标告警信息。
需要说明的是,如果告警信息过于频繁,有可能告警信息对应的匹配规则存在问题,所以应该考虑修改或者删除告警信息对应的匹配规则。对历史数据库中的告警信息进行统计,告警信息超出第一预设数量则会从预处理数据库中删除该条告警信息对应的匹配规则,然后通知用户,建议用户重新处理该告警信息。
通过本公开实施例,可以在面对不同云主机的相同告警不需要重复处理,在匹配预处理数据库中的匹配规则时,不区分云主机;数据库有了初次处理记录后,***可以自动处理上报的同一告警;绝大多数告警都可以自动进行处理,不需要等待用户来处理,降低追加沦陷的风险;根据历史数据库统计告警出现的频率以及处理方式,保证处理方式的最优。
在一个可选实施例中,包括:从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数之后,所述方法还包括:当所述第二目标告警信息在所述预设时间区间内出现的次数大于第二预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则优先级加强操作,其中,所述规则优先级加强操作用于提高在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作中的优先级。
需要说明的是,如果告警信息过于频繁,也有可能告警信息比较常见,所以应该考虑增强告警信息对应的匹配规则的优先级。对历史数据库中的告警信息进行统计,告警信息超出第二预设数量则会从预处理数据库中增强告警信息对应的匹配规则的优先级,以在处理后续告警信息时,优先考虑增强优先级的匹配规则。
为了更好的理解上述技术方案,本公开实施例还提供了一种可选实施例,用于解释说明上述技术方案。
图3示意性示出了本公开实施例的一种告警信息的处理方法的流程示意图,如图3所示:
S302,从接收到的目标告警信息中提取第一匹配规则;
S304,判断在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中是否可以确定所述目标第二匹配规则;
S306,在所述多个第二匹配规则中可以确定所述目标第二匹配规则的情况下,获取预处理数据库中所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息;
S308,在所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,向目标对象发送告警提醒,其中,发送方式包括将告警提醒展示在用户界面上;
S310,从所述目标对象获取告警处理指令,根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息;
S312,将所述第一匹配规则和所述告警处理方式存储在所述预处理数据库。
图4示意性示出了本公开实施例的一种匹配规则修改的流程图,如图4所示:
S402,从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数;
S404,判断第二目标告警信息在预设时间区间内出现的次数是否大于第一预设数量;
S406,判断所述第二目标告警信息对应的第二匹配规则是否存储在所述预处理数据库中;
S408,对所述第二目标告警信息对应的第二匹配规则执行所述规则删除操作;
S410,将规则删除操作的结果发送给用户,其中,目标对象包括用户;
S412,结束操作。
通过本公开,从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。采用上述技术手段,解决了现有技术中,在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式等问题,从而提高云主机的安全性和处理云主机安全告警的效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(RandomAccessMemory,简称为RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本公开各个实施例的方法。
在本实施例中还提供了一种告警信息的处理装置,该告警信息的处理装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5示意性示出了本公开可选实施例的一种告警信息的处理装置的结构框图,如图5所示,该装置包括:
提取模块502,用于从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;
获取模块504,用于从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;
执行模块506,用于对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;
处理模块508,用于获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
需要说明的是,处理过的多个告警信息可以是多台云主机收到的。
通过本公开,从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。采用上述技术手段,解决了现有技术中,在收到云主机的安全告警时,只能通过用户去判断安全告警的类型,进而选择处理的方式等问题,从而提高云主机的安全性和处理云主机安全告警的效率。
可选地,执行模块506还用于将在所述多个第二匹配规则中存在的与所述第一匹配规则一样的匹配规则确定为所述目标第二匹配规则;或者将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则。
从所述多个第二匹配规则中确定目标第二匹配规则,目标第二匹配规则可以是在所述多个第二匹配规则中与所述第一匹配规则一样的匹配规则;目标第二匹配规则也可以是在所述多个第二匹配规则中与所述第一匹配规则的相似度大于预设阈值的匹配规则。其中,所述多个第二匹配规则包括目标第二匹配规则。
可选地,上述相似度可以替换为关联度等信息类似或者关联的表述形式。
需要说明的是,安全告警可以分为病毒木马、网页木马、***后门、可疑操作和敏感文件篡改等大类。实际上上述告警信息都是由于云主机安全中心检测到云主机的某些命令、进程或者文件的特征与预处理数据库中的匹配规则能够匹配而产生的告警。举例说明,一条告警信息为:“发现时间:2021-03-08 17:32:50主机ID/主机名称:i-ui1t32ns4d/EDR_容器安全告警子类:密码文件修改等级:严重状态:待处理详情与建议操作:忽略本次误报已线下处理”。本公开实施例对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,可以从预处理数据库中的多个第二匹配规则中确定目标第二匹配规则,其中,目标第二匹配规则为“^(vipw|\/usr\/sbin\/vipw)[]+-s”,那么根据目标第二匹配规则,告警信息的详情显示为“vipw–s,风险描述为:使用非法软件修改shadow文件”。本公开实施例通过在预处理数据库中保存多个第二匹配规则,在对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,根据确定的目标第二匹配规则,找到告警信息的详情显示或者详情描述,进而获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
可选地,执行模块506还用于将所述第一匹配规则和所述多个第二匹配规则中的每个第二匹配规则依次输入多层卷积神经网络,以分别得到所述第一匹配规则对应的第一匹配规则特征和所述每个第二匹配规则对应的第二匹配规则特征;分别计算所述第一匹配规则特征与所述每个第二匹配规则特征的相似度;将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
确定所述目标第二匹配规则,可以将所述第一匹配规则和每个第二匹配规则依次输入多层卷积神经网络,各个匹配规则对应的匹配规则特征。计算所述第一匹配规则对应所述第一匹配规则特征和每个第二匹配规则对应的第二匹配规则特征的相似度。其中,所述第一匹配规则对应所述第一匹配规则特征的相似度,可以理解为所述第一匹配规则的相似度,所述第二匹配规则对应所述第二匹配规则特征的相似度,可以理解为所述第二匹配规则的相似度。将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
可选地,执行模块506还用于将所述第一匹配规则和所述多个第二匹配规则中的每个第二匹配规则依次输入多层卷积神经网络,以分别得到所述第一匹配规则对应的第一匹配规则特征和所述每个第二匹配规则对应的第二匹配规则特征;分别计算所述第一匹配规则特征与所述每个第二匹配规则特征的关联度;将在所述多个第二匹配规则中存在的与所述第一匹配规则的关联度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
可选地,获取模块504还用于在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,向目标对象发送告警提醒,以从所述目标对象获取告警处理指令;根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
处理目标告警信息可以是根据预处理数据库中的目标第二匹配规则对应的告警处理方式处理,如果预处理数据库中不存在目标第二匹配规则,那么向目标对象发送告警提醒,提醒目标对象根据所述告警提醒发送告警处理指令。在接收到所述告警提醒发送告警处理指令的情况下,根据所述告警处理指令确定所述告警处理方式,根据所述告警处理方式处理所述目标告警信息。其中,用户可以选择的处理方式有很多种,包括“忽略”、“线下处理”、“加白名单”或者“误报”,还有部分告警提供自动修复、批量修复等功能。告警是以主机为粒度提供,用户需要查看每条安全告警信息并根据业务情况选择处理方式。需要说明的是,用户选择的处理方式包含在目标对象发送告警处理指令中。
可选地,获取模块504还用于从接收到的所述目标告警信息中提取所述第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的所述告警类型和所述行为特征;将所述第一匹配规则和所述告警处理方式存储在所述预处理数据库;在所述预处理数据库中增加关系指示信息,其中,所述关系指示信息用于指示所述第一匹配规则和所述告警处理方式的对应关系。
因为根据所述告警处理指令确定所述告警处理方式,进而处理所述目标告警信息是在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,进行的操作,也就是说此时目标告警信息对应的第一匹配规则和告警处理方式没有保存在预处理数据库中,为了避免处理完告警后,如果下次有相同的安全告警产生时,用户仍然需要再处理一遍的问题,可以在处理所述目标告警信息之后,将提取到的所述第一匹配规则和根据所述告警处理指令确定所述告警处理方式存储在所述预处理数据库。同时,还应该在所述预处理数据库中增加用于指示所述第一匹配规则和所述告警处理方式的对应关系的关系指示信息,以便在预处理数据库中根据在所述第一匹配规则确定所述告警处理方式。
可选地,获取模块504还用于接收目标对象发送的匹配规则编辑指令;通过中间件程序接口对所述目标对象的权限进行验证;在对所述目标对象的权限验证通过的情况下,根据所述匹配规则编辑指令对所述预处理数据库中的多个第二匹配规则进行编辑操作,其中,所述编辑操作包括:规则修改操作、规则删除操作和规则新增操作。
为了处理告警信息,本公开实施例增加安全中心。在安全中心的用户设置界面,开发用户预处理模块展示界面,此界面将要查询的预处理数据库的数据通过前端接口,下发给中间件程序接口,通过中间件程序接口读取预处理数据库中保存的多个第二匹配规则,然后返回给用户预处理模块展示界面进行展示。多个第二匹配规则的删除和修改等操作设置有权限限制,当用户删除或者修改某条告警规则时,前端接口先对用户的权限属性进行判断,判断可以操作后,再将用户的操作下发给中间件程序接口,由中间件程序接口读写预处理数据库。最高权限的用户可以删除某条规则的数据或者给某条规则添加例外主机,由此,可以在下次该类告警上报时,重新处理该类规则,并将新的规则写到数据库。
也就是说前端接口将查询指令下发给中间层程序接口,中间层程序接口调用预处理数据库中保存的告警规则,预处理数据库将告警规则返回给中间层程序接口,中间层程序接口返回给前端接口。其中,中间层程序接口保存调用权限等信息,中间层程序接口可以对用户的权限就行校验。
可选地,获取模块504还用于从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数;当第二目标告警信息在预设时间区间内出现的次数大于第一预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则删除操作,其中,所述多个告警信息包括所述第二目标告警信息。
需要说明的是,如果告警信息过于频繁,有可能告警信息对应的匹配规则存在问题,所以应该考虑修改或者删除告警信息对应的匹配规则。对历史数据库中的告警信息进行统计,告警信息超出第一预设数量则会从预处理数据库中删除该条告警信息对应的匹配规则,然后通知用户,建议用户重新处理该告警信息。
通过本公开实施例,可以在面对不同云主机的相同告警不需要重复处理,在匹配预处理数据库中的匹配规则时,不区分云主机;数据库有了初次处理记录后,***可以自动处理上报的同一告警;绝大多数告警都可以自动进行处理,不需要等待用户来处理,降低追加沦陷的风险;根据历史数据库统计告警出现的频率以及处理方式,保证处理方式的最优。
可选地,获取模块504还用于从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数之后,所述方法还包括:当所述第二目标告警信息在所述预设时间区间内出现的次数大于第二预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则优先级加强操作,其中,所述规则优先级加强操作用于提高在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作中的优先级。
需要说明的是,如果告警信息过于频繁,也有可能告警信息比较常见,所以应该考虑增强告警信息对应的匹配规则的优先级。对历史数据库中的告警信息进行统计,告警信息超出第二预设数量则会从预处理数据库中增强告警信息对应的匹配规则的优先级,以在处理后续告警信息时,优先考虑增强优先级的匹配规则。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本公开的实施例提供了一种电子设备。
图6示意性示出了本公开实施例提供的一种电子设备的结构框图。
参照图6所示,本公开实施例提供的电子设备600包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601、通信接口602和存储器603通过通信总线604完成相互间的通信;存储器603,用于存放计算机程序;处理器601,用于执行存储器上所存放的程序时,实现上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该输入输出设备与上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;
S2,从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;
S3,对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;
S4,获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
本公开的实施例还提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;
S2,从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;
S3,对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;
S4,获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
该计算机可读存储介质可以是上述实施例中描述的设备/装置中所包含的;也可以是单独存在,而未装配入该设备/装置中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本公开的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本公开不限制于任何特定的硬件和软件结合。
以上所述仅为本公开的优选实施例而已,并不用于限制于本公开,对于本领域的技术人员来说,本公开可以有各种更改和变化。凡在本公开的原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。

Claims (10)

1.一种告警信息的处理方法,其特征在于,包括:
从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;
从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;
对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;
获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
2.根据权利要求1所述的方法,其特征在于,所述对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则,包括:
将在所述多个第二匹配规则中存在的与所述第一匹配规则一样的匹配规则确定为所述目标第二匹配规则;或者
将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则。
3.根据权利要求2所述的方法,其特征在于,所述将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于预设阈值的匹配规则确定为所述目标第二匹配规则,包括:
将所述第一匹配规则和所述多个第二匹配规则中的每个第二匹配规则依次输入多层卷积神经网络,以分别得到所述第一匹配规则对应的第一匹配规则特征和所述每个第二匹配规则对应的第二匹配规则特征;
分别计算所述第一匹配规则特征与所述每个第二匹配规则特征的相似度;
将在所述多个第二匹配规则中存在的与所述第一匹配规则的相似度大于所述预设阈值的匹配规则确定为所述目标第二匹配规则。
4.根据权利要求1所述的方法,其特征在于,所述从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的之后,所述方法还包括:
在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作后,从所述多个第二匹配规则中无法确定所述目标第二匹配规则的情况下,向目标对象发送告警提醒,以从所述目标对象获取告警处理指令;
根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
5.根据权利要求4所述的方法,其特征在于,所述根据所述告警处理指令确定所述告警处理方式,以根据所述告警处理方式处理所述目标告警信息之后,所述方法还包括:
从接收到的所述目标告警信息中提取所述第一匹配规则,其中,所述第一匹配规则包括:
从接收到的所述目标告警信息中提取所述第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的所述告警类型和所述行为特征;
将所述第一匹配规则和所述告警处理方式存储在所述预处理数据库;
在所述预处理数据库中增加关系指示信息,其中,所述关系指示信息用于指示所述第一匹配规则和所述告警处理方式的对应关系。
6.根据权利要求1所述的方法,其特征在于,所述从接收到的目标告警信息中提取第一匹配规则之后,所述方法还包括:
接收目标对象发送的匹配规则编辑指令;
通过中间件程序接口对所述目标对象的权限进行验证;
在对所述目标对象的权限验证通过的情况下,根据所述匹配规则编辑指令对所述预处理数据库中的多个第二匹配规则进行编辑操作,其中,所述编辑操作包括:规则修改操作、规则删除操作和规则新增操作。
7.根据权利要求1所述的方法,其特征在于,包括:
从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数;
当第二目标告警信息在预设时间区间内出现的次数大于第一预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则删除操作,其中,所述多个告警信息包括所述第二目标告警信息。
8.根据权利要求7所述的方法,其特征在于,所述从历史数据库中分别获取所述多个告警信息中每个告警信息在预设时间区间内出现的次数之后,所述方法还包括:
当所述第二目标告警信息在所述预设时间区间内出现的次数大于第二预设数量,且所述第二目标告警信息对应的第二匹配规则存储在所述预处理数据库中的情况下,对所述第二目标告警信息对应的第二匹配规则执行所述规则优先级加强操作,其中,所述规则优先级加强操作用于提高在对所述第一匹配规则和所述多个第二匹配规则执行所述规则匹配操作中的优先级。
9.一种告警信息的处理装置,其特征在于,包括:
提取模块,用于从接收到的目标告警信息中提取第一匹配规则,其中,所述第一匹配规则包括:所述目标告警信息的告警类型和行为特征;
获取模块,用于从预处理数据库中获取多个第二匹配规则,其中,所述多个第二匹配规则是处理过的多个告警信息中分别提取出来的;
执行模块,用于对所述第一匹配规则和所述多个第二匹配规则执行规则匹配操作,以从所述多个第二匹配规则中确定目标第二匹配规则;
处理模块,用于获取所述目标第二匹配规则对应的告警处理方式,以根据所述告警处理方式处理所述目标告警信息。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法。
CN202110881393.1A 2021-08-02 2021-08-02 告警信息的处理方法、装置、电子设备及存储介质 Active CN113595797B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110881393.1A CN113595797B (zh) 2021-08-02 2021-08-02 告警信息的处理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110881393.1A CN113595797B (zh) 2021-08-02 2021-08-02 告警信息的处理方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113595797A true CN113595797A (zh) 2021-11-02
CN113595797B CN113595797B (zh) 2024-06-21

Family

ID=78253785

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110881393.1A Active CN113595797B (zh) 2021-08-02 2021-08-02 告警信息的处理方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113595797B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115396280A (zh) * 2022-08-29 2022-11-25 中国农业银行股份有限公司 告警数据的处理方法、装置、设备及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020111755A1 (en) * 2000-10-19 2002-08-15 Tti-Team Telecom International Ltd. Topology-based reasoning apparatus for root-cause analysis of network faults
CN102142983A (zh) * 2010-11-24 2011-08-03 华为技术有限公司 告警相关性分析方法和装置
CN110096410A (zh) * 2019-03-15 2019-08-06 中国平安人寿保险股份有限公司 告警信息处理方法、***、计算机装置及可读存储介质
CN110188099A (zh) * 2019-05-17 2019-08-30 深圳前海微众银行股份有限公司 一种数据管理方法及装置
CN110245056A (zh) * 2019-06-10 2019-09-17 中国工商银行股份有限公司 运维告警信息处理方法及装置
CN110321268A (zh) * 2019-06-12 2019-10-11 平安科技(深圳)有限公司 一种告警信息处理方法及装置
CN110784338A (zh) * 2019-09-29 2020-02-11 许昌许继软件技术有限公司 一种智能告警处理方法及配网主站***
CN111092758A (zh) * 2019-12-06 2020-05-01 上海上讯信息技术股份有限公司 降低告警及恢复误报的方法、装置及电子设备
CN112231185A (zh) * 2020-10-21 2021-01-15 中国银行股份有限公司 基于应用***告警信息的知识获取方法及装置
CN112988525A (zh) * 2021-03-22 2021-06-18 新华三技术有限公司 一种告警关联规则的匹配方法及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020111755A1 (en) * 2000-10-19 2002-08-15 Tti-Team Telecom International Ltd. Topology-based reasoning apparatus for root-cause analysis of network faults
CN102142983A (zh) * 2010-11-24 2011-08-03 华为技术有限公司 告警相关性分析方法和装置
CN110096410A (zh) * 2019-03-15 2019-08-06 中国平安人寿保险股份有限公司 告警信息处理方法、***、计算机装置及可读存储介质
CN110188099A (zh) * 2019-05-17 2019-08-30 深圳前海微众银行股份有限公司 一种数据管理方法及装置
CN110245056A (zh) * 2019-06-10 2019-09-17 中国工商银行股份有限公司 运维告警信息处理方法及装置
CN110321268A (zh) * 2019-06-12 2019-10-11 平安科技(深圳)有限公司 一种告警信息处理方法及装置
CN110784338A (zh) * 2019-09-29 2020-02-11 许昌许继软件技术有限公司 一种智能告警处理方法及配网主站***
CN111092758A (zh) * 2019-12-06 2020-05-01 上海上讯信息技术股份有限公司 降低告警及恢复误报的方法、装置及电子设备
CN112231185A (zh) * 2020-10-21 2021-01-15 中国银行股份有限公司 基于应用***告警信息的知识获取方法及装置
CN112988525A (zh) * 2021-03-22 2021-06-18 新华三技术有限公司 一种告警关联规则的匹配方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115396280A (zh) * 2022-08-29 2022-11-25 中国农业银行股份有限公司 告警数据的处理方法、装置、设备及存储介质
CN115396280B (zh) * 2022-08-29 2024-03-19 中国农业银行股份有限公司 告警数据的处理方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113595797B (zh) 2024-06-21

Similar Documents

Publication Publication Date Title
CN107566358B (zh) 一种风险预警提示方法、装置、介质及设备
CN110417778B (zh) 访问请求的处理方法和装置
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN105988836B (zh) 一种应用推荐方法及装置
KR101582601B1 (ko) 액티비티 문자열 분석에 의한 안드로이드 악성코드 검출 방법
CN109062667B (zh) 一种模拟器识别方法、识别设备及计算机可读介质
CN110084064B (zh) 基于终端的大数据分析处理方法及***
CN109714346B (zh) 后门文件的查杀方法及装置
CN111464513A (zh) 数据检测方法、装置、服务器及存储介质
CN106709341A (zh) 一种针对文件包的病毒处理方法及装置
CN109800571B (zh) 事件处理方法和装置、以及存储介质和电子装置
CN109727027A (zh) 账户识别方法、装置、设备及存储介质
KR102213460B1 (ko) 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법
CN113595797B (zh) 告警信息的处理方法、装置、电子设备及存储介质
CN113098852B (zh) 一种日志处理方法及装置
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN109547427A (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN113076112A (zh) 数据库部署的方法、装置及电子设备
CN111049838B (zh) 黑产设备识别方法、装置、服务器及存储介质
CN113225356B (zh) 一种基于ttp的网络安全威胁狩猎方法及网络设备
CN111949363A (zh) 业务访问的管理方法、计算机设备、存储介质及***
JP5851311B2 (ja) アプリケーション検査装置
CN112085590B (zh) 规则模型的安全性的确定方法、装置和服务器
CN109583453B (zh) 图像的识别方法和装置、数据的识别方法、终端
CN113256256A (zh) 一种工单预警方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant