一种告警消减方法、系统、设备及计算机可读存储介质与流程

本申请涉及计算机，更具体地说，涉及一种告警消减方法、系统、设备及计算机可读存储介质。

背景技术：

1、随着互联网+和信息化的发展，网络攻击越来越普遍，造成的威胁也来越严重。企业为了减少损失，也开始重视和大量投入安全建设。企业根据不同需求购买多种不同功能的安全软件，例如防火墙、上网行为管理、终端安全、数据库安全等等。这些系统及系统中的程序在运作时都会产生记录事件的日志或告警，每一条日志都记载着日期、时间、运行事件、事件发起方等相关信息的描述。此外，无论多么复杂的病毒，在入侵电脑或者系统的时候总归会在日志中留下蛛丝马迹，因此，运维人员对日志进行分析有利于发现攻击，保护网络上的设备。

2、但是，随着企业对微服务架构、云原生的运用日渐成熟，it架构越来越复杂，日志产生速度加快、数据量巨大，无法靠人工分析如此巨量的数据，也不能靠人工直接识别日志数据中的大多数独特的内容。造成了对日志内容进行分析发现问题越来越困难。

3、综上所述，如何快速进行告警处理是目前本领域技术人员亟待解决的问题。

技术实现思路

1、本申请的目的是提供一种告警消减方法，其能在一定程度上解决如何快速进行告警处理的技术问题。本申请还提供了一种日志消减系统、设备及计算机可读存储介质。

2、为了实现上述目的，本申请提供如下技术方案：

3、一种告警消减方法，包括：

4、获取多个原始告警信息；

5、对所述原始告警信息进行聚合，得到目标告警信息；

6、对所述目标告警信息进行告警评价，得到评价结果。

7、优选的，所述对所述目标告警信息进行告警评价，得到评价结果，包括：

8、对所述目标告警信息进行误报识别，得到误报识别结果；

9、对所述目标告警信息进行攻击判定，得到攻击判定结果；

10、将所述误报识别结果及所述攻击判定结果作为所述评价结果。

11、优选的，所述对所述目标告警信息进行误报识别，得到误报识别结果，包括：

12、确定所述目标告警信息中的相似告警数量、相似告警频率、事件信息；

13、确定所述相似告警数量、相似告警频率各自的同比变化信息及环比变化信息；

14、基于所述同比变化信息、所述环比变化信息及所述事件信息进行误报识别，得到所述误报识别结果。

15、优选的，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

16、基于去重法对所述原始告警信息进行聚合，得到所述目标告警信息。

17、优选的，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

18、基于语义相似性聚合法对所述原始告警信息进行聚合，得到所述目标告警信息。

19、优选的，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

20、基于k-mean法对所述原始告警信息进行聚合，得到所述目标告警信息。

21、优选，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

22、基于事件归并法对所述原始告警信息进行聚合，得到所述目标告警信息。

23、一种告警消减系统，包括：

24、第一获取模块，用于获取多个原始告警信息；

25、第一聚合模块，用于对所述原始告警信息进行聚合，得到目标告警信息；

26、第一评价模块，用于对所述目标告警信息进行告警评价，得到评价结果。

27、一种电子设备，其特征在于，包括：

28、存储器，用于存储计算机程序；

29、处理器，用于执行所述计算机程序时实现如上任一所述告警消减方法的步骤。

30、一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述告警消减方法的步骤。

31、本申请提供的一种告警消减方法，获取多个原始告警信息；对原始告警信息进行聚合，得到目标告警信息；对目标告警信息进行告警评价，得到评价结果。本申请中，在获取多个原始告警信息之后，需对原始告警信息进行聚合，得到目标告警信息，实现了通过聚合来对原始告警信息的数据进行缩减；这样，后续对目标告警信息进行告警评价，得到评价结果的话，可以快速对告警进行处理。本申请提供的一种告警消减系统、设备及计算机可读存储介质也解决了相应技术问题。

技术特征：

1.一种告警消减方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述对所述目标告警信息进行告警评价，得到评价结果，包括：

3.根据权利要求2所述的方法，其特征在于，所述对所述目标告警信息进行误报识别，得到误报识别结果，包括：

4.根据权利要求1所述的方法，其特征在于，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

5.根据权利要求1所述的方法，其特征在于，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

6.根据权利要求1所述的方法，其特征在于，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

7.根据权利要求1所述的方法，其特征在于，所述对所述原始告警信息进行聚合，得到目标告警信息，包括：

8.一种告警消减系统，其特征在于，包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述告警消减方法的步骤。

技术总结
本申请公开了一种告警消减方法、系统、设备及计算机可读存储介质，获取多个原始告警信息；对原始告警信息进行聚合，得到目标告警信息；对目标告警信息进行告警评价，得到评价结果。本申请中，在获取多个原始告警信息之后，需对原始告警信息进行聚合，得到目标告警信息，实现了通过聚合来对原始告警信息的数据进行缩减；这样，后续对目标告警信息进行告警评价，得到评价结果的话，可以快速对告警进行处理。本申请提供的一种告警消减系统、设备及计算机可读存储介质也解决了相应技术问题。

技术研发人员：董枫,曹锦新
受保护的技术使用者：深信服科技股份有限公司
技术研发日：
技术公布日：2024/1/13