2. 专利
  3. 一种告警信息的处理方法及装置与流程

一种告警信息的处理方法及装置与流程

专利2022-06-29  80

本申请涉及运维领域,尤其涉及一种告警信息的处理方法及装置。
背景技术
:随着计算机技术的普及,计算机已经逐渐深入到人们工作和生活的各个方面。而随着各种计算业务量的快速增长,计算机的规模也在呈几何倍数的扩大,同时网络安全也变得越来越重要,各种网络攻击也层出不穷。计算机每时每刻都可能面临着大量的网络攻击,尤其是一些重要的网络流量节点,如大型企业单位、政府机构、金融机构等,时刻面临着大量的网络攻击威胁。在这一场景下,网络安全设备检测出的网络攻击中,经常会出现无效告警信息,当无效告警信息过多,会对网络安全分析人员造成干扰。目前,通常是采用概率统计手段对告警信息中的无效告警信息进行过滤,但是这一方法的准确性较低。因此,亟需一种可以克服上述问题的告警信息的处理方法,以便准确过滤掉无效告警信息。技术实现要素:本发明实施例提供一种告警信息的处理方法及装置,用以准确地识别出无效告警信息,以便于过滤无效告警信息,提高运维工作效率。第一方面,本发明实施例提供一种告警信息的处理方法,包括:服务器获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息,进一步的,确定与攻击类型对应的n个攻击特征维度。然后服务器对攻击记录信息进行解析,确定与n个攻击特征维度对应的特征值。服务器针对n个攻击特征维度中的任意一个攻击特征维度的特征值,确定该特征值与攻击特征维度对应的参考特征值是否一致,其中,参考特征值对应的攻击目标标识与当前告警信息对应的攻击目标标识相同。当n个攻击特征维度中的至少一个攻击特征维度的特征值与所述攻击特征维度对应的参考特征值不一致时,确定当前告警信息为无效告警信息。在一种可能的实施例中,服务器获取网络入口的安全设备的告警信息并进行处理,将告警信息的格式进行整理,得到格式规范的告警信息。进一步地,服务器通过告警信息中的已知的告警信息的类型,确定n个攻击特征维度,其中,通过预设知识库对告警信息进行解析,得到上述n个攻击特征维度的具体内容,也就是标签信息。针对告警信息中的攻击目标标识,确定对应此目标标识的目标应用,比较该n个攻击特征维度的信息与目标应用中相同的特征维度的信息。进一步的,当n个攻击特征维度中的至少一个攻击特征维度的特征值与攻击特征维度对应的参考特征值不一致时,确定当前告警信息为无效告警信息。在一种可能的设计中,服务器在获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息之前,还包括:根据所述当前告警信息对应的攻击响应码,确定所述当前告警信息为有效告警信息。在一种可能的实施例中,服务器获取网络安全产品的告警信息后,根据其中的响应码筛选出无效告警,可选地,响应码为“4xx”的表示该告警信息为无效告警信息。在一种可能的设计中,服务器确定所述当前告警信息为无效告警信息之后,还包括:停止输出与所述当前告警信息对应的告警内容,将当前告警信息存储至数据库。在一种可能的实施例中,服务器在确定当前告警信息为无效告警后,停止输出对应的告警内容,并将该无效告警放入数据库中。进一步地,运维人员可以根据告警id从数据库中调出对应的告警信息并进行进一步分析。在一种可能的设计中,服务器利用预设的知识库中的攻击特征识别规则,对所述攻击记录信息进行解析,确定所述n个攻击特征维度对应的特征值,所述n个攻击特征维度对应的特征值包括操作系统类型、应用中间件标识、开发语言或数据库类型中的至少一个。在一种可能的设计中,n个攻击特征维度包括操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度中的至少一个。第二方面,本发明实施例提供一种告警信息的处理装置,包括:接收单元,用于获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息。处理单元,用于确定与所述攻击类型对应的n个攻击特征维度。处理单元,还用于对所述攻击记录信息进行解析,确定与所述n个攻击特征维度对应的特征值。处理单元,还用于针对所述n个攻击特征维度中的任意一个攻击特征维度的特征值,确定所述特征值与所述攻击特征维度对应的参考特征值是否一致;其中,所述参考特征值对应的攻击目标标识与所述当前告警信息对应的攻击目标标识相同。处理单元,还用于当n个攻击特征维度中的至少一个攻击特征维度的特征值与所述攻击特征维度对应的参考特征值不一致时,确定所述当前告警信息为无效告警信息。在一种可能的设计中,处理单元还用于根据所述当前告警信息对应的攻击响应码,确定所述当前告警信息为有效告警信息。在一种可能的设计中,处理单元还用于停止输出与所述当前告警信息对应的告警内容,并将所述当前告警信息存储至数据库。在一种可能的设计中,处理单元,具体用于利用预设的知识库中的攻击特征识别规则,对所述攻击记录信息进行解析,确定所述n个攻击特征维度对应的特征值,所述n个攻击特征维度对应的特征值包括操作系统类型、应用中间件标识、开发语言或数据库类型中的至少一个。在一种可能的设计中,n个攻击特征维度包括操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度中的至少一个。第三方面,本发明实施例提供的一种计算设备,包括至少一个处理单元以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行如上述第一方面任意所述的方法。第四方面,本发明实施例提供的一种计算机可读存储介质,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行如上述第一方面任意所述的方法。附图说明为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种告警信息处理装置架构示意图;图2为本申请实施例提供的一种告警信息的处理方法流程示意图;图3为本申请实施例提供的一种特征值示意图;图4为本申请实施例提供的一种特征值示意图;图5为本申请实施例提供的一种特征值比较示意图;图6为本申请实施例提供的一种告警信息处理方法流程示意图;图7为本申请实施例提供的一种告警信息处理装置示意图;图8为本申请实施例提供的一种计算设备示意图。具体实施方式为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。图1为一种告警信息处理装置架构示意图,包括服务器10、服务器20,还包括在服务器10上的应用一、应用二,服务器20上的告警获取单元101、特征收集单元102、无效告警过滤单元103。服务器20获取网络入口的网络攻击,生成原始告警信息,可选地,原始告警信息来自安装在网络入口处的网络安全产品。如图2为一种告警信息的处理方法流程示意图,具体如下:步骤201,服务器20中的告警获取单元101获取原始告警信息。例如,告警获取单元101获取web应用服务器的waf(webapplicationfirewall,web应用防火墙)产生的原始告警信息。步骤202,针对原始告警信息中的第一告警信息来说,告警获取单元101获取当前第一告警信息对应的攻击类型、攻击目标标识和攻击记录信息。第一告警信息的攻击类型可以是sql注入攻击或xss攻击等。其中,攻击目标标识可以为目标ip地址及端口号。攻击记录信息包括可以包括请求方式和攻击内容等。举例来说,告警获取单元101可以对原始告警信息进行统一格式处理,生成以告警id、攻击类型、攻击目标ip地址及端口号、请求方式及内容、响应码等信息组成的攻击记录信息。在一种可能的实施例中,无效告警过滤单元103可以根据处理得到的响应码确定当前告警信息是否是有效告警信息,若是,则继续执行如下步骤,若是无效告警信息,则将该告警信息存储至数据库中,且不输出与该告警信息对应的提示信息。步骤202,服务器20中的特征收集单元102确定与攻击类型对应的n个攻击特征维度。其中,特征收集单元102可以从告警获取单元101获取第一告警信息对应的攻击类型、攻击目标标识和攻击记录信息。特征收集单元102根据第一告警信息的攻击类型,通过预先构建的知识库,选择第一告警信息的n个攻击特征维度。其中,n个攻击特征维度包括操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度中的至少一个。示例性地,第一告警信息为sql注入攻击,根据预设知识库,选择的攻击特征维度包括:操作系统维度,中间件维度和开发语言维度。其中,预设的知识库中规定了各个攻击类型对应选择的n个攻击特征维度,还规定了对攻击记录信息进行解析的攻击特征识别规则,其中,该攻击特征识别规则可通过正则表达式或其他识别方法匹配攻击内容,得到告警信息的目标操作系统、中间件类型和开发语言等攻击特征维度信息,也就是对应的特征标签。例如操作系统维度sfd1的特征标签sftag1可为“ubuntu”、“centos”或“windows”等,应用中间件维度sfd2的特征标签sftag2可为“tomcat”、“apache”或“nginx”等,开发语言维度sfd3的特征标签sftag3可为“php”、“java”或“python”等。在一种可能的实施例中,n个攻击特征维度可以为对应应用的操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度等维度,也可以为其他的维度,不对特征维度的数量及内容等作出限制。进一步地,知识库还包括根据上述识别出的攻击特征维度信息,生成对应的特征值,也就是得到对应的上层标签。进一步地,服务器20中的无效告警过滤单元103还根据参考特征值对告警信息进行识别,其中参考特征值是根据各个服务器上各个应用的信息预先生成的。示例性地,服务器10上,应用一的各个维度的特征信息,如表1所示。表1地址操作系统应用中间件开发语言数据库172.0.0.1:8000centostomcatphporacle数据库其中,应用一的地址为172.0.0.1:8000,操作系统为“centos”,中间件为“tomcat”,开发语言为“php”,数据库为“oracle数据库”。进一步地,知识库对上述特征信息进行分层,得到参考特征值。示例性地,如图3所示,应用一的操作系统维度的特征信息是“centos”,其对应的参考特征值为“linux”。同样的,若应用一的操作系统维度的特征信息是“ubuntu”、“ubuntu16.04”或者“ubuntu18.04”,其对应的参考特征值也为“linux”。步骤203,服务器20上的特征收集单元102对攻击记录信息进行解析,确定与n个攻击特征维度对应的特征值。在一种可能的实施例中,特征收集单元102根据知识库中的攻击特征识别规则,选择第一告警信息的攻击类型对应的n个攻击特征维度。示例性,根据知识库对该第一告警信息进行解析,得到如表2所示的第一告警信息对应的攻击特征维度的信息。示例性的,知识库通过匹配第一告警信息中的攻击记录信息,也就是攻击内容中是否含有“eval()”等php特有的函数,进而判断第一告警信息是否为针对php的攻击。其中,特征收集单元102根据知识库解析告警信息,得到该第一告警信息的操作系统为“centos”,中间件为“tomcat”,开发语言为“java”,进一步地,该第一告警信息的id为“301”,其攻击目标地址为“172.0.0.1:8000”,其攻击类型为“sql注入攻击”。表2进一步地,服务器20通过知识库得到上述攻击特征信息对应的特征值。示例性地,如图4所示,第一告警信息中,操作系统维度的攻击特征信息对应的特征值为“linux”。步骤204,服务器20中的无效告警过滤单元103针对n个攻击特征维度中的任意一个攻击特征维度的特征值,确定该特征值与攻击特征维度对应的参考特征值是否一致,其中,参考特征值对应的攻击目标标识与第一告警信息对应的攻击目标标识相同。在一种可能的实施例中,服务器20中的无效告警过滤单元103根据第一告警信息中的攻击目标标识,也就是地址确定其对应的应用,及该应用的各个特征维度的信息。示例性地,将第一告警信息与应用一的相同维度的特征值进行比较。其中,服务器上各个应用的各个特征维度对应的参考特征值是预先生成的,可以存储在知识库中。并且由于应用对应的操作系统、应用中间件、开发语言,通常较为稳定,且常规更新一般不会导致系统特征的变化,特征更新的频率不高,所以可采用人工参与的方式构建或更新其特征维度信息,能够保证准确性与精确度。进一步地,可以通过手动的方式,生成各个应用的特征维度信息;也可以通过装置自动获取应用一、应用二的信息,生成各个应用的特征维度信息。步骤205,当n个攻击特征维度中的至少一个攻击特征维度的特征值与所述攻击特征维度对应的参考特征值不一致时,服务器20中的无效告警过滤单元103确定当前告警信息为无效告警信息。在一种可能的实施例中,服务器20中的无效告警过滤单元103比较应用和第一告警信息中相同特征维度的特征值,根据知识库确定出该第一告警信息是否为无效告警信息。示例性地,比较表1与表2中相同特征维度的特征值:其操作系统维度的特征值都为“linux”,中间件维度的特征值都为“tomcat”,但是第一告警信息中的开发语言维度的特征值为“java”,而应用的开发语言维度的特征值为“php”,所以不一致,确定第一告警信息为无效告警信息。进一步地,第一告警信息中无数据库维度信息,所以不比较数据库维度的特征值。在一种可能的实施例中,知识库中预先设置各个特征值之间的冲突规则,根据冲突规则,判断同一维度下的特征值是否一致;进一步地,当满足冲突规则时,判断特征值之间存在冲突,认为特征值不一致。可选地,在知识库中预先设置同一维度下的各个特征维度信息之间的冲突规则,当同一维度下的各个特征维度信息之间满足冲突规则时,判断为不一致,相应的告警信息为无效告警。在一种可能的实施例中,在步骤201之前,服务器20中的无效告警过滤单元103根据所述当前告警信息对应的攻击响应码,确定所述当前告警信息为有效告警信息还是无效告警信息。其中,攻击响应码为网络安全产品对接收到的网络攻击产生的响应码,若攻击响应为失败代码,则直接判定为无效攻击,并将攻击记录存入数据库,否则继续进行后续步骤。在一种可能的实施例中,服务器20中的无效告警过滤单元103对从网络安全产品,如防火墙获取的第一告警信息进行初步筛选,初步确定其为有效告警信息。可选地,当告警信息的响应码为“4xx”时,确定该告警信息为无效告警并将其放进无效告警备份库中。示例性地,第一告警信息的响应码不为“4xx”,所以初步判断其为有效告警,再根据后续步骤201、步骤202、步骤203、步骤204、步骤205对其进行进一步的识别。在一种可能的实施例中,在步骤205之后,还包括:服务器20停止输出与当前告警信息对应的告警内容,并将当前告警信息存储至数据库。在一种可能的实施例中,服务器20停止以语音或文字的方式输出当前告警信息并将其存储至数据库中,进一步地,运维人员可以根据告警id查找告警信息并进行分析。在另一种可能的实施例中,步骤205中包括:对得到的第一告警信息各个攻击特征维度的特征值和应用的各个参考特征值进行比较,示例性地,如图4所示,表2中的第一告警信息的操作系统维度信息为“centos”,则其特征值为“linux”;类似地,应用的操作系统维度信息为“windows”,其参考特征值为“windows”。根据知识库中预设的冲突规则,比较特征值“linux”和参考特征值“windows”,满足预设的冲突规则,所以认为不一致,该告警信息被识别为无效告警信息。在另一种可能的实施例中,如图5所示,第一告警信息的操作系统为“ubuntu16.04”,其上层标签,也就是特征值同样为“linux”;此时应对应用的操作系统为“centos”,比较该参考特征值“linux”和应用的操作系统维度的特征值“linux”,不满足预设冲突规则,所以该第一告警信息此时被初步判断为有效告警信息,继续根据其他维度的信息进行判断。在一种可能的实施例中,当第一告警信息中至少一个维度的信息满足冲突规则时,判断该告警信息为无效告警。进一步地,服务器20中的无效告警过滤单元103使用相同的方法比较剩余维度的特征值。当比较到开发语言维度信息时,发现该维度的特征值与参考特征值不一致,判断该第一告警信息为无效告警信息,并停止输出该第一告警信息,且将其存储至数据库中,以供运维人员后续分析。在一种可能的实施例中,服务器20中的无效告警过滤单元103关联第一告警信息的w个攻击特征维度,当上述w个攻击特征维度的特征值都与应用一的w个维度的特征值不一致时,判断该告警信息为无效告警信息,其中第一告警信息的攻击目标标识对应为应用一。在一种可能的实施例中,在制定知识库的特征值比较规则时,对于每个维度的特征信息,可根据其大类、小类、版本等信息确定上下层关系,并将每个维度的所有可能的特征标签根据上下级关系生成特征值比较库,然后自上而下分别规定两两相互冲突的特征标签,于是形成完整的特征值比较规则。若上层的特征标签不一致,则无需再进行下级标签之间的比较。示例性地,在进行特征标签比较时,对于某个特征维度fdi下的两个特征标签ftagi1和ftagi2,遍历ftagi1及其所有上级标签与ftagi2及其所有上级标签的两两冲突关系,若其中存在冲突标签对,判定ftagi1和ftagi2不一致,对应的告警信息被识别为无效告警。在一种可能的实施例中,服务器20中的无效告警过滤单元103根据告警信息的攻击类型和攻击记录信息对同一个特征维度赋予多个可能的特征值,在进行攻击有效性识别时,只有当某个特征维度的多个特征值同时与应用的对应维度的特征值不一致时,才将该告警信息识别为无效告警。示例性地,若第一告警信息的a维度的特征值可能为a1、a2、a3,而对应应用的a维度的特征值为a0,需要同时满足a0与a1、a2、a3不一致,才能判定为第一告警信息为无效告警。基于相同的技术构思,本发明实施例提供了一种告警信息的处理流程示意图,如图6所示,包括:步骤601,服务器20中的告警获取单元101获取网络入口的安全设备的第一告警信息并进行格式整理,得到格式规范的第一告警信息。步骤602,服务器20中的无效告警过滤单元103根据所述当前第一告警信息对应的攻击响应码,判断当前第一告警信息是否为有效告警。进一步地,当响应码为“4xx”,也就是无效响应码时,进入步骤603,无效告警过滤单元103识别第一告警信息为无效告警,并将其放入数据库。否则,初步确定第一告警信息为有效告警,并进入步骤604。步骤604,服务器20中的特征收集单元102获取当前第一告警信息对应的攻击类型、攻击目标标识和攻击记录信息,进一步的,确定与攻击类型对应的n个攻击特征维度。然后通过知识库对攻击记录信息进行解析和处理,确定与n个攻击特征维度对应的标签,也就是特征值。步骤605,特征收集单元102根据第一告警信息的攻击目标标识,选择对应的应用的参考特征值。其中,在步骤601之前,特征收集单元102在步骤600,生成各个应用的参考特征值。可选地,可以选择人工生成和更新,也可以由装置获取应用信息后自动生成。步骤606,无效告警过滤单元103判断第一告警信息与应用一中相同特征维度的特征值是否一致。其中第一告警信息的目标攻击标识对应应用一。其中,当不一致时,进入步骤603。否则,进入步骤607,识别第一告警信息为有效告警。进一步地,输出该第一告警信息。在一种可能的实施例中,服务器20在确定当前告警信息为无效告警后,停止输出对应的告警内容,并将该无效告警放入数据库中,也就是预设的无效告警备份库中。进一步地,运维人员可以根据告警id从数据库中调出对应的告警信息并进行进一步分析。基于相同的技术构思,本发明实施例提供了一种告警信息的处理装置,如图7所示,包括:接收单元701,用于接收告警信息。处理单元702,获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息。处理单元702,用于确定与攻击类型对应的n个攻击特征维度。处理单元702,还用于对攻击记录信息进行解析,确定与n个攻击特征维度对应的特征值。处理单元702,还用于针对n个攻击特征维度中的任意一个攻击特征维度的特征值,确定特征值与攻击特征维度对应的参考特征值是否一致;其中,参考特征值对应的攻击目标标识与当前告警信息对应的攻击目标标识相同。处理单元702,还用于当n个攻击特征维度中的至少一个攻击特征维度的特征值与攻击特征维度对应的参考特征值不一致时,确定当前告警信息为无效告警信息。在一种可能的设计中,处理单元702还用于根据当前告警信息对应的攻击响应码,确定当前告警信息为有效告警信息。在一种可能的设计中,处理单元702还用于停止输出与当前告警信息对应的告警内容,并将当前告警信息存储至数据库。在一种可能的设计中,处理单元702,具体用于利用预设的知识库中的攻击特征识别规则,对攻击记录信息进行解析,确定n个攻击特征维度对应的特征值,n个攻击特征维度对应的特征值包括操作系统类型、应用中间件标识、开发语言或数据库类型中的至少一个。在一种可能的设计中,n个攻击特征维度包括操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度中的至少一个。基于相同的技术构思,本发明实施例提供了一种计算设备,如图8所示,包括至少一个处理器801,以及与至少一个处理器连接的存储器802,本发明实施例中不限定处理器801与存储器802之间的具体连接介质,图8中处理器801和存储器802之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。在本发明实施例中,存储器802存储有可被至少一个处理器801执行的指令,至少一个处理器801通过执行存储器802存储的指令,可以执行前述的结算方法中所包括的步骤。其中,处理器801是终端设备的控制中心,可以利用各种接口和线路连接终端设备的各个部分,通过运行或执行存储在存储器802内的指令以及调用存储在存储器802内的数据,从而处理数据。可选的,处理器801可包括一个或多个处理单元,处理器801可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器801中。在一些实施例中,处理器801和存储器802可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。处理器801可以是通用处理器,例如中央处理器(cpu)、数字信号处理器、专用集成电路(applicationspecificintegratedcircuit,asic)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。存储器802作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器802可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(randomaccessmemory,ram)、静态随机访问存储器(staticrandomaccessmemory,sram)、可编程只读存储器(programmablereadonlymemory,prom)、只读存储器(readonlymemory,rom)、带电可擦除可编程只读存储器(electricallyerasableprogrammableread-onlymemory,eeprom)、磁性存储器、磁盘、光盘等等。存储器802是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本发明实施例中的存储器802还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。基于相同的技术构思,本发明实施例提供了一种计算机可读介质,其存储有可由终端设备执行的计算机程序,当所述程序在终端设备上运行时,使得所述终端设备执行结算方法的步骤。本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。当前第1页1 2 3 
技术特征:

1.一种告警信息的处理方法,其特征在于,包括:

获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息;

确定与所述攻击类型对应的n个攻击特征维度;

对所述攻击记录信息进行解析,确定与所述n个攻击特征维度对应的特征值;

针对所述n个攻击特征维度中的任意一个攻击特征维度的特征值,确定所述特征值与所述攻击特征维度对应的参考特征值是否一致;其中,所述参考特征值对应的攻击目标标识与所述当前告警信息对应的攻击目标标识相同;

当n个攻击特征维度中的至少一个攻击特征维度的特征值与所述攻击特征维度对应的参考特征值不一致时,确定所述当前告警信息为无效告警信息。

2.根据权利要求1所述的方法,其特征在于,在获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息之前,还包括:

根据所述当前告警信息对应的攻击响应码,确定所述当前告警信息为有效告警信息。

3.根据权利要求1或2任一项所述的方法,其特征在于,确定所述当前告警信息为无效告警信息之后,还包括:

停止输出与所述当前告警信息对应的告警内容;

将所述当前告警信息存储至数据库。

4.根据权利要求1或2任一项所述的方法,其特征在于,所述对所述攻击记录信息进行解析,确定与所述n个攻击特征维度对应的特征值,包括:

利用预设的知识库中的攻击特征识别规则,对所述攻击记录信息进行解析,确定所述n个攻击特征维度对应的特征值,所述n个攻击特征维度对应的特征值包括操作系统类型、应用中间件标识、开发语言或数据库类型中的至少一个。

5.根据权利要求1或2任一项所述的方法,其特征在于,所述n个攻击特征维度包括操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度中的至少一个。

6.一种告警信息的处理装置,其特征在于,包括:

处理单元,用于获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息;

所述处理单元,用于确定与所述攻击类型对应的n个攻击特征维度;

所述处理单元,还用于对所述攻击记录信息进行解析,确定与所述n个攻击特征维度对应的特征值;

所述处理单元,还用于针对所述n个攻击特征维度中的任意一个攻击特征维度的特征值,确定所述特征值与所述攻击特征维度对应的参考特征值是否一致;其中,所述参考特征值对应的攻击目标标识与所述当前告警信息对应的攻击目标标识相同;

所述处理单元,还用于当n个攻击特征维度中的至少一个攻击特征维度的特征值与所述攻击特征维度对应的参考特征值不一致时,确定所述当前告警信息为无效告警信息。

7.根据权利要求6所述的装置,其特征在于,所述处理单元在获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息之前,还用于:

根据所述当前告警信息对应的攻击响应码,确定所述当前告警信息为有效告警信息。

8.根据权利要求6或7任一项所述的装置,其特征在于,所述处理单元确定所述当前告警信息为无效告警信息之后,还用于:

停止输出与所述当前告警信息对应的告警内容;

将所述当前告警信息存储至数据库。

9.根据权利要求6或7任一项所述的装置,其特征在于,所述处理单元具体用于:

利用预设的知识库中的攻击特征识别规则,对所述攻击记录信息进行解析,确定所述n个攻击特征维度对应的特征值,所述n个攻击特征维度对应的特征值包括操作系统类型、应用中间件标识、开发语言或数据库类型中的至少一个。

10.根据权利要求6或7任一项所述的装置,其特征在于,所述n个攻击特征维度包括操作系统类型维度、应用中间件标识维度、开发语言维度或数据库类型维度中的至少一个。

11.一种计算设备,其特征在于,包括至少一个处理单元以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1-5任一权利要求所述的方法。

12.一种计算机可读存储介质,其特征在于,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行权利要求1-5任一权利要求所述的方法。

技术总结
本发明涉及运维领域,尤其涉及一种告警信息的处理方法及装置,服务器获取当前告警信息对应的攻击类型、攻击目标标识和攻击记录信息,然后确定该攻击类型对应的n个攻击特征维度,其次,对攻击记录信息进行解析,确定与上述特征维度对应的特征值。针对n个攻击特征维度中的任意一个攻击特征维度的特征值,确定该特征值与该攻击特征维度对应的参考特征值是否一致,当n个攻击特征维度中至少一个攻击特征维度的特征值与所述攻击特征维度对应参考特征值不一致时,服务器确定当前告警信息为无效告警信息。该方法可以较为准确地识别出无效告警信息,以便于过滤无效告警信息,提高运维工作效率。

技术研发人员:邱震尧;杨阳;陈舟;黄自力;熊璐;潘孝闻
受保护的技术使用者:中国银联股份有限公司
技术研发日:2020.01.10
技术公布日:2020.06.09

转载请注明原文地址: https://bbs.8miu.com/read-20536.html

专利

最新回复(0)