基于自定义规则的告警装置及方法、电子设备和存储介质与流程

本公开涉及信息安全，尤其涉及一种基于自定义规则的告警装置及方法、电子设备和存储介质。

背景技术：

1、在信息安全领域，各大应用系统针对信息安全、数据泄露及用户异常行为操作都有基本的告警机制，但随着用户对自身的业务理解更深刻，需求递增，应用场景不断变化，数据量日益庞大，通过传统的研发形式支持太具局限性，可拓展性不强。

2、尤其是在进入大数据时代后，数据量的成倍增加，使得原有的告警机制无法应对大量的、复杂的源数据。

3、综上所述，如何对源数据进行处理，并实现根据不同场景自定义不同的告警规则是急需解决的问题。

技术实现思路

1、有鉴于此，本公开实施例提供了一种基于自定义规则的告警方法，解决现有技术中无法根据不同场景自定义不同的告警规则的问题。

2、第一方面，本公开实施例提供了一种基于自定义规则的告警装置，采用如下技术方案：

3、源数据管理单元，用于从数据源获取源数据，基于告警规则对所述源数据进行标准化处理，形成符合告警场景的数据格式的待处理数据；

4、告警单元，用于配置告警规则并根据所述告警规则对所述待处理数据进行处理，生成告警信息；

5、告警管理单元，用于对告警信息进行监控和管理。

6、在一个可选的实施方式中，所述数据源包括：mysql、elasticsearch和kafka中的一种或多种；所述符合告警场景的数据格式包括：elasticsearch模板或mysql表结构。

7、在一个可选的实施方式中，所述源数据管理单元还用于添加数据源。

8、在一个可选的实施方式中，所述告警单元包括：

9、规则创建模块，用于创建告警规则，并为所述告警规则配置告警级别；

10、处理方式预设模块，用于根据所述告警级别，预设处理方式；

11、告警处理模块，用于根据所述告警规则和所述告警级别，对所述待处理数据根据预设的处理方式进行处理，生成对应的告警信息。

12、在一个可选的实施方式中，所述创建告警规则包括：

13、确定告警规则所需字段；

14、确定字段的统计条件；

15、设定每一个统计条件对应的告警阈值。

16、在一个可选的实施方式中，所述根据所述告警规则和所述告警级别，对所述待处理数据根据预设的处理方式进行处理包括：

17、在所述待处理数据中提取所述告警规则所需字段；

18、根据字段的统计条件，对提取到的字段进行聚合计算，得到聚合计算结果；

19、根据所述聚合计算结果和所述告警阈值之间的关系，对所述待处理数据根据预设的处理方式进行处理。

20、在一个可选的实施方式中，所述在所述待处理数据中提取所述告警规则所需字段包括：

21、从所述待处理数据中初步提取告警规则相关字段，根据转换逻辑对相关字段进行数据转换，得到所述告警规则所需字段。

22、第二方面，本公开实施例的还提供了一种基于自定义规则的告警方法，包括：

23、源数据管理单元从数据源获取源数据，基于告警规则对所述源数据进行标准化处理，形成符合告警场景的数据格式的待处理数据；

24、告警单元配置告警规则并根据所述告警规则对所述待处理数据进行处理，生成告警信息；

25、告警管理单元对告警信息进行监控和管理。第三方面，本公开实施例还提供了一种电子设备，采用如下技术方案：

26、所述电子设备包括：

27、至少一个处理器；以及，

28、与所述至少一个处理器通信连接的存储器；其中，

29、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的基于自定义规则的告警方法。

30、第四方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行以上任一所述的基于自定义规则的告警方法。

31、综上所述，基于上述的源数据管理单元、告警单元和告警管理单元的配合，本发明提供的基于自定义规则的告警装置可以供使用者根据每个项目不同的数据情况，自定义告警规则，以满足需求递增，应用场景不断变化的情况，解决了现有技术中，传统的研发形式支持太具局限性，可拓展性不强的问题。

32、源数据管理单元支持设置任意的数据格式，使用者可以根据不同的数据单独设置，增加了使用的便利。

33、告警单元支持组织管理和维护告警规则，以确保系统能够实时地、准确地检测和响应安全事件。其功能涵盖了规则的创建、自定义配置、管理、验证、通知和集成等多个方面。

34、上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。

技术特征：

1.一种基于自定义规则的告警装置，其特征在于，包括：

2.根据权利要求1所述的基于自定义规则的告警装置，其特征在于，所述数据源包括：mysql、elasticsearch和kafka中的一种或多种；所述符合告警场景的数据格式包括：elasticsearch模板或mysql表结构。

3.根据权利要求2所述的基于自定义规则的告警装置，其特征在于，所述源数据管理单元还用于添加数据源。

4.根据权利要求1所述的基于自定义规则的告警装置，其特征在于，所述告警单元包括：

5.根据权利要求4所述的基于自定义规则的告警装置，其特征在于，所述创建告警规则包括：

6.根据权利要求5所述的基于自定义规则的告警装置，其特征在于，所述根据所述告警规则和所述告警级别，对所述待处理数据根据预设的处理方式进行处理包括：

7.根据权利要求6所述的基于自定义规则的告警装置，其特征在于，所述在所述待处理数据中提取所述告警规则所需字段包括：

8.一种基于自定义规则的告警方法，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：yy+231968p

10.一种计算机可读存储介质，其特征在于，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行权利要8所述的基于自定义规则的告警方法。

技术总结
本公开实施例公开了一种基于自定义规则的告警装置及方法、电子设备和存储介质，涉及信息安全技术领域，其中，装置包括：源数据管理单元，用于从数据源获取源数据，基于告警规则对所述源数据进行标准化处理，形成符合告警场景的数据格式的待处理数据；告警单元，用于配置告警规则并根据所述告警规则对所述待处理数据进行处理，生成告警信息；告警管理单元，用于对告警信息进行监控和管理。基于上述的源数据管理单元、告警单元和告警管理单元的配合，本发明提供的基于自定义规则的告警装置可以供使用者根据每个项目不同的数据情况自定义告警规则，以满足需求递增，应用场景不断变化的情况，解决了传统的研发形式支持太具局限性。

技术研发人员：林皓,王留芳,熊帅,邓智,王能
受保护的技术使用者：北京北信源软件股份有限公司
技术研发日：
技术公布日：2024/4/24