告警信息检测方法、装置、电子设备及存储介质与流程

本申请涉及网络安全，尤其涉及一种告警信息检测方法、装置、电子设备及存储介质。

背景技术：

1、相关技术中，告警检测平台中的网络安全产品针对不同的防护对象和部署位置，可以分为网络防火墙、应用防火墙和态势感知等。由于大多数的网络安全产品的内置规则的定义主要基于攻击者的入侵手法进行设定。一旦网络安全产品部署后，由于业务场景复杂多变，且存在着较多开发代码不规范的情况导致网络安全产品会命中海量的业务告警。由于现有的网络安全产品在面对海量的业务告警时检测业务误报的准确度较低，且会花费大量的计算资源导致忽略了真实的入侵行为告警使得安全防护功能减弱。所以技术问题是现有的告警检测平台无法精准的识别出告警误报，导致安全防护功能较弱。

技术实现思路

1、本申请实施例提供的一种告警信息检测方法、装置、电子设备及存储介质，可以提高识别出告警误报的精准度，进而提高了安全防护能力。

2、本申请的技术方案是这样实现的：

3、本申请实施例提供了一种告警信息检测方法，包括：

4、获取告警信息，所述告警信息包括当前告警信息及历史告警信息；

5、对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息；所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度；

6、基于所述字段分析信息确定所述当前告警信息的误报检测结果。

7、本申请实施例还提供了一种告警信息检测装置，包括：

8、信息获取单元，用于获取告警信息，所述告警信息包括当前告警信息及历史告警信息；

9、分析单元，用于对所述当前告警信息对应的特征字段和所述历史告警信息对应的所述特征字段进行分析得到字段分析信息；所述字段分析信息用于表征所述当前告警信息对应的所述特征字段和所述历史告警信息对应的所述特征字段之间的一致程度；

10、确定单元，用于基于所述字段分析信息确定所述当前告警信息的误报检测结果。

11、本申请实施例还提供了一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现告警信息检测装置一侧方法中的步骤。

12、本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现告警信息检测装置一侧所述方法中的步骤。

13、本申请实施例中，通过获取告警信息，告警信息包括当前告警信息及历史告警信息；对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息；字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度；基于字段分析信息确定当前告警信息的误报检测结果。由于本申请中通过对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析的过程考虑到了特征字段中的各种元素，分析过程的颗粒度较细，可以很大程度的提高对告警误报的检测准确度，节省了对告警误报的资源投入量，进而投入更多的资源给真正的入侵行为告警，提高了安全防护能力。

技术特征：

1.一种告警信息检测方法，其特征在于，包括：

2.根据权利要求1所述的告警信息检测方法，其特征在于，所述特征字段包括：通用字段和协议字段；所述对所述当前告警信息对应的特征字段和所述历史告警信息对应的特征字段进行分析得到字段分析信息，包括：

3.根据权利要求1所述的告警信息检测方法，其特征在于，所述基于所述字段分析信息确定所述当前告警信息的误报检测结果之前，所述方法还包括：

4.根据权利要求2所述的告警信息检测方法，其特征在于，所述基于所述当前告警信息对应的所述协议字段和所述历史告警信息对应的所述协议字段之间的相似性，以及所述当前告警信息对应的所述通用字段和所述历史告警信息对应的所述通用字段之间的一致性，确定所述字段分析信息，包括：

5.根据权利要求4所述的告警信息检测方法，其特征在于，所述基于所述历史告警信息对应的所述协议字段与所述当前告警信息对应的所述协议字段之间的相似性确定第一值，包括：

6.根据权利要求3所述的告警信息检测方法，其特征在于，所述基于各个所述历史告警信息对应的所述特征字段，确定各个所述历史告警信息的分布律，包括:

7.根据权利要求1至6任一项所述的告警信息检测方法，其特征在于，所述当前告警信息与所述历史告警信息源自于同一告警设备。

8.一种告警信息检测装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法中的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法中的步骤。

技术总结
本申请提供了一种告警信息检测方法、装置、电子设备及存储介质，涉及技术领域为：网络安全技术领域，方法包括：通过获取告警信息，告警信息包括当前告警信息及历史告警信息；对当前告警信息对应的特征字段和历史告警信息对应的特征字段进行分析得到字段分析信息；字段分析信息用于表征当前告警信息对应的特征字段和历史告警信息对应的特征字段之间的一致程度；基于字段分析信息确定当前告警信息的误报检测结果。本申请可以较大程度的提高对告警误报的检测准确度，节省了对告警误报的资源投入量，进而投入更多的资源给真正的入侵行为告警，提高了安全防护能力。

技术研发人员：蒲大峰
受保护的技术使用者：深圳市深信服信息安全有限公司
技术研发日：
技术公布日：2024/1/14