一种网络告警方法、装置、设备及介质与流程

本发明涉及信息处理领域，尤其涉及一种网络告警方法、装置、设备及介质。

背景技术：

1、在当今信息技术高速发展的时代，企业的网络环境日益复杂，网络安全威胁的态势愈发严峻，其数量和种类持续攀升。为了守护企业网络和数据的安全，企业纷纷采用诸如防火墙、ids(入侵检测系统)、waf(web应用防火墙)等多种安全设备。然而，这些设备在每日的运行过程中，会产生海量的安全告警信息。遗憾的是，这些告警信息不仅数量庞大，而且其中充斥着大量的重复以及冗余内容。

2、现代企业在网络安全领域普遍使用siem(安全信息和事件管理)设备对安全设备的安全告警信息进行统一处理，但siem设备在应对复杂多变的网络威胁时，却存在诸多局限性。其一，告警中重复与冗余的信息过多，大大增加了分析的复杂性，进而造成响应的延迟，使得企业在面对威胁时不能及时采取有效的应对措施。其二，siem设备往往侧重于对单一事件的处理，缺乏对告警之间关联性的有效分析，因而难以完整地重建攻击链路，导致无法全面洞悉威胁的全貌。其三，siem设备对告警优先级的判断不够精准，无法准确区分威胁的轻重缓急，严重影响了安全防护的实际效果，使得企业的网络安全防线存在诸多隐患。

3、综上，现有的网络告警方法存在告警信息的冗余率高，告警信息的显示效率低，进而导致相关人员对网络告警信息的利用效率低，告警效果差的问题。

技术实现思路

1、本发明提供了一种网络告警方法、装置、设备及介质，可以解决由于现有的网络告警方法的告警信息的冗余率高，告警信息的显示效率低而导致相关人员对网络告警信息的利用效率低，告警效果差的问题。

2、第一方面，本发明实施例提供了一种网络告警方法，该方法包括：

3、获取目标设备在预设的目标时间段内产生的各目标日志；

4、通过多维特征提取模型对各目标日志进行处理，得到与各目标日志分别匹配的目标特征集；

5、根据各目标日志对应的目标场景信息以及目标特征集，分别计算得到各目标日志的告警得分；

6、通过聚类分类算法对各目标日志基于各目标日志的告警得分进行聚合，得到告警聚合结果并对所述告警聚合结果进行显示。

7、第二方面，本发明实施例提供了一种网络告警装置。该装置包括：

8、日志获取模块，用于获取目标设备在预设的目标时间段内产生的各目标日志；

9、特征提取模块，用于通过多维特征提取模型对各目标日志进行处理，得到与各目标日志分别匹配的目标特征集；

10、得分计算模块，用于根据各目标日志对应的目标场景信息以及目标特征集，分别计算得到各目标日志的告警得分；

11、结果聚合模块，用于通过聚类分类算法对各目标日志基于各目标日志的告警得分进行聚合，得到告警聚合结果并对所述告警聚合结果进行显示。

12、第三方面，本发明实施例提供了一种电子设备，所述电子设备包括：

13、至少一个处理器；以及

14、与所述至少一个处理器通信连接的存储器；其中，

15、所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的一种网络告警方法。

16、第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的一种网络告警方法。

17、本发明实施例的技术方案，通过获取目标设备在预设的目标时间段内产生的各目标日志，之后通过多维特征提取模型对各目标日志进行处理，得到与各目标日志分别匹配的目标特征集，之后根据各目标日志对应的目标场景信息以及目标特征集，分别计算得到各目标日志的告警得分，最后通过聚类分类算法对各目标日志基于各目标日志的告警得分进行聚合，得到告警聚合结果并对所述告警聚合结果进行显示，解决了由于现有的网络告警方法的告警信息的冗余率高，告警信息的显示效率低而导致相关人员对网络告警信息的利用效率低，告警效果差的问题，实现了网络告警的聚合显示，减小了告警信息的冗余率，提高了告警信息的显示效率，进而提高了相关人员对网络告警信息的利用效率，改善了告警效果。

18、应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

技术特征：

1.一种网络告警方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，通过多维特征提取模型对各目标日志进行处理，得到与各目标日志分别匹配的目标特征集，包括：

3.根据权利要求2所述的方法，其特征在于，所述目标日志中包括：ip类信息，各分类信息以及其他信息，其中，所述各分类信息包括地理位置信息，告警名称以及告警分类中的至少一项，所述其他信息包括文件名，数据载荷以及受害对象属性中的至少一项；

4.根据权利要求1所述的方法，其特征在于，所述目标日志中包括：目标场景信息；

5.根据权利要求4所述的方法，其特征在于，基于各目标特征及其权重计算得到所述目标特征集的告警得分，包括：

6.根据权利要求5所述的方法，其特征在于，基于所述目标特征集中的目标特征的数据类型计算得到各目标特征的相似度，包括：

7.根据权利要求1所述的方法，其特征在于，通过聚类分类算法对各目标日志基于各目标日志的告警得分进行聚合，得到告警聚合结果，包括：

8.一种网络告警装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的一种网络告警方法。

技术总结
本发明公开了一种网络告警方法、装置、设备及介质。该方法包括：获取目标设备在预设的目标时间段内产生的各目标日志；通过多维特征提取模型对各目标日志进行处理，得到与各目标日志分别匹配的目标特征集；根据各目标日志对应的目标场景信息以及目标特征集，分别计算得到各目标日志的告警得分；通过聚类分类算法对各目标日志基于各目标日志的告警得分进行聚合，得到告警聚合结果并对所述告警聚合结果进行显示。通过本发明的技术方案，能够实现网络告警的聚合显示，减小了告警信息的冗余率，提高了告警信息的显示效率，进而提高了相关人员对网络告警信息的利用效率，改善了告警效果。

技术研发人员：吴澳焜,施泽寰
受保护的技术使用者：北京优特捷信息技术有限公司
技术研发日：
技术公布日：2025/1/13