一种告警信息处理方法及装置与流程

本申请涉及网络安全技术领域，尤其涉及一种告警信息处理方法及装置。

背景技术：

在网络流量日益增长的趋势下，网络攻击也越来越复杂，现有技术中，为了应对各种日益复杂的网络攻击，一般使用如入侵检测设备、防火墙设备、终端检测与响应设备等网络安全检测设备对网络、终端等进行实时监测，将网络攻击等异常情况以告警信息的形式输出，提供给网络安全运维人员，然而，采用这种方式检测网络安全会由于检测设备误报，检测策略不同等原因，导致安全检测设备产生大量的告警信息，而在有限的时间内网络安全运维人员无法快速的从大量的包括有误报的告警信息中定位出真正的网络威胁事件，降低了威胁事件响应的效率。

技术实现要素：

本申请实施例提供了一种告警信息处理方法及装置，用于解决现有技术中当网络产生大量的告警信息时，网络安全运维人员、安全研究人员无法快速的基于大量的告警信息定位真实网络威胁事件的问题。

第一方面，提供一种告警信息处理方法，包括：

提取待评级告警信息的告警类型、源ip地址和目的ip地址；

获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映ip地址信息关联威胁程度的ip地址信息评级数值；其中，所述告警类型与所述源ip地址组合的信息对为所述威胁源；

基于所述告警类型评级数值、所述威胁源评级数值及所述ip地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。

通过本申请提供的告警信息处理方法可以实现一段时间内，产生大量告警信息时，按照告警信息威胁的严重程度进行排序，排序后展示出的有序告警信息能使运维安全人员快速定位出网络中的真实威胁事件，提高安全运维人员、安全研究人员的工作效率，降低威胁事件的响应周期。

可选的，获取所述告警信息类型分值包括：

基于提取的所述告警类型查找所述告警类型与告警类型评级数值的对应关系表确定所述告警类型评级数值；

所述告警类型与评级数值的对应关系表基于历史威胁源库中不同的源ip地址数目及所述告警类型关联的源ip地址数目计算出表示所述告警信息类型出现频率的告警类型的评级数值而确定；

其中，所述历史威胁源库为在预设时间段内的威胁源信息。

通过获取历史威胁源库中不同源ip地址数目及某一告警类型关联的源ip地址总数，确定出每种告警类型出现的频率，从每种告警类型出现的频率角度确定出指示告警信息关联威胁程度的评级数值。

可选的，所述获取所述ip地址信息评级数值包括：

基于所述源ip地址和所述目的ip地址及预设时间段内告警信息中的源ip地址和目的ip地址确定点集合与边集合，其中，所述点集合的元素为不同的所述源ip地址和所述目的ip地址，所述边集合的元素为不同的所述源ip地址与所述目的ip地址对；

基于所述点集合与所述边集合确定出表示所述源ip地址与所述目的ip地址对应关系的关联图谱；

基于所述关联图谱及初始化后所有ip地址等级评分值，并通过迭代方式计算出所有ip地址的等级评分值，确定所述源ip地址和所述目的ip地址等级评分值的平均值为所述ip地址信息的评级数值，所述ip地址信息的评级数值表征所述ip地址涉及告警事件的数量。

可选的，获取所述威胁源评级数值包括：

判断所述威胁源是否属于所述历史威胁源；

若所述威胁源属于所述历史威胁源，则设置所述威胁源评级数值为第一数值；若所述威胁源不属于所述历史威胁源，则设置所述威胁源评级数值为第二数值；

其中，所述第一数值大于所述第二数值。

第二方面，提供一种告警信息处理装置，所述装置包括：

提取模块：用于提取待评级告警信息的告警类型、源ip地址和目的ip地址；

获取模块：用于获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映ip地址信息关联威胁程度的ip地址信息评级数值；其中，所述告警类型与所述源ip地址组合的信息对为所述威胁源；

排序模块：用于基于所述告警类型评级数值、所述威胁源评级数值及所述ip地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。

可选的，所述获取模块具体用于：

基于提取的所述告警类型查找所述告警类型与告警类型评级数值的对应关系表确定所述告警类型评级数值；

所述告警类型与评级数值的对应关系表基于历史威胁源库中不同的源ip地址数目及所述告警类型关联的源ip地址数目计算出表示所述告警信息类型出现频率的告警类型的评级数值而确定；

其中，所述历史威胁源库为在预设时间段内的威胁源信息。

可选的，所述获取模块具体用于：

基于所述源ip地址和所述目的ip地址及预设时间段内告警信息中的源ip地址和目的ip地址确定点集合与边集合，其中，所述点集合的元素为不同的所述源ip地址和所述目的ip地址，所述边集合的元素为不同的所述源ip地址与所述目的ip地址对；

基于所述点集合与所述边集合确定出所述源ip地址与所述目的ip地址对应关系的关联图谱；

基于所述关联图谱及初始化后所有ip地址等级评分值，并通过迭代方式计算出所有ip地址的等级评分值，确定所述源ip地址和所述目的ip地址等级评分值的平均值为所述ip地址信息的评级数值，所述ip地址信息的评级数值表征所述ip地址涉及告警事件的数量。

可选的，所述获取模块具体用于：判断所述威胁源是否属于所述历史威胁源；若所述威胁源属于所述历史威胁源，则设置所述威胁源评级数值为第一数值；若所述威胁源不属于所述历史威胁源，则设置所述威胁源评级数值为第二数值；其中，所述第一数值大于所述第二数值。

第三方面，本申请实施例还提供了一种计算机存储介质，包括：

所述计算机可读存储介质包括计算机程序，当计算机程序在计算机上运行时，使得所述计算机执行上述方法中第一方面所述的方法。

第四方面，本申请实施例还提供了一种包含指令的计算机程序产品，包括：

当所述指令在计算机上运行时，使得所述计算机执行上述方法中第一方面所述的方法。

附图说明

图1为申请实施例所提供的一种告警信息处理方法流程示意图；

图2为申请实施例所提供的获取告警信息ip地址信息评级数值流程图；

图3为申请实施例所提供一种告警信息处理装置示意图。

具体实施方式

鉴于现有技术中检测设备众多、检测数据量大，会产生大量的告警信息，网络安全运维人员、安全研究人员无法快速的基于大量的告警信息定位出真实网络威胁事件。本申请实施例提供以下解决方案。

本发明实施例为解决上述问题，总体思路如下：

先提取产生的每条告警信息的告警类型信息、源ip地址信息及目的ip地址，接着将告警类型与源ip地址组合成信息对，也就是确定威胁源，再通过查表的方式确定告警类型评级数值，使用预设的规则确定威胁源评级数值及反映ip地址信息关联威胁程度的ip地址信息评级数值，最后基于确定的与告警信息威胁程度相关的三个评级数值确定告警信息的威胁等级，并按照确定的告警信息威胁等级对告警信息进行排序。

通过本申请提供的告警信息处理方法可以实现一段时间内，产生大量告警信息时，按照告警信息威胁的严重程度进行排序，排序后展示出的有序告警信息能使安全运维人员、安全研究人员快速定位出网络中真实的威胁事件，提高运维安全工作人员的工作效率。

如附图1所示，本申请实施例提供的一种告警信息处理方法具体实施步骤如下：

步骤101：提取待评级告警信息的告警类型、源ip地址和目的ip地址；

当网络出现异常、攻击时，安全检测设备会产生的对网络流量的分析结果，也就是告警信息，这里的安全检测设备可以是入侵检测设备、用户实体行为分析设备、防火墙设备、终端检测与响应设备等，产生的告警信息中会包含网络流量的时间戳、源ip地址、目的ip地址、告警类型等字段，在对告警信息排序时首先将待排序的每条告警信息中的源ip地址、目的ip地址、告警类型信息提取出来。

其中，待排序的告警信息为预设的时间段内产生的告警信息，此处的预设时间段可以是以分钟为单位，也可以小时为单位，具体的，系统运维安全人员可根据业务需要进行预设，时间段确定后，收集指定周期内的告警信息作为待排序告警信息。

确定待排序告警信息并提取相关所需信息后，进行如下步骤102。

步骤102：获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映ip地址信息关联威胁程度的ip地址信息评级数值；

其中，获取告警信息类型评级数值的步骤为：基于提取的告警信息类型查找告警信息类型与告警信息类型评级数值的对应关系表，基于表中的对应关系确定告警信息类型评级数值，本申请实施例中的告警信息类型与告警信息类型评级数值的对应关系表为预先确定的。

进一步的，确定告警信息类型与告警信息类型评级数值的对应关系表之前，需要确定历史威胁源，而威胁源定义为源ip地址和告警类型的信息对(sourceip,messagetype)。并且，如果两条告警的以上两个字段都相同，则这两条告警信息属于同一个威胁源；如果以上两个字段至少有一个字段不同，则认为两条告警信息为不同的威胁源。而历史威胁源的获取时，首先确定历史告警信息数据，在预设时间段内产生的告警信息为历史告警信息如预设时间段为7天，则以前7天的告警信息数据，作为历史告警信息库，基于历史告警信息库确定所需要的历史威胁源。

确定历史威胁源后，基于历史威胁源库中不同的源ip地址数目及提取的告警类型关联的源ip地址数目，利用逆ip关联频率算法((inverseipcorrelationfrequency,iicf))计算出每种告警信息类型的评级数值建立告警信息类型与评级数值的对应关系表；

确定告警信息类型评级数值，首先统计历史威胁源库中不同的ip总数nip；而对于每一种告警类型m，统计告警类型为m的威胁源个数，即该告警类型关联的源ip地址个数nm，计算频率的过程中，使用不同的ip总数nip作为分子，该告警类型关联的源ip地址个数nm作为分母。针对该告警类型关联的源ip地址个数nm可能为0的情况，将分母加1。同时，为防止当该告警类型关联的源ip地址个数nm与不同的ip总数nip相等时，分母数值超过分母数值，所以将分子数值加1。则该告警信息类型的评级数值为：

iicf(m)＝log((nip+1)/(nm+1))+1

以此计算方法确定出每种告警信息类型的评级数值，并建立对应关系表。在本申请实施例中每个告警信息类型评级数值反映了一个告警信息类型在所有ip中出现的频率，如果一个告警信息类型与数目较多的源ip地址关联出现，则表示此告警信息为信息说明类告警或者误报的可能性越大，其威胁程度越低，对应它的评级数值对应较低；而如果一个告警信息类型与比较少的源ip关联出现，则表示此告警信息威胁程度越高，对应它的评级数值对应较高。

使用此方法建立告警信息类型与告警信息类型评级数值的对应关系表，提取出告警信息类型后查找告警信息类型与告警信息类型评级数值的对应关系表，就可以确定出告警信息类型评级数值。

进一步的，如附图2所示，获取待排序告警信息中每个告警信息ip地址信息评级数值的步骤流程如下：

第一步：构建关联图谱。首先，基于提取的告警信息的源ip地址和目的ip地址及预设时间段内的告警信息的源ip地址和目的ip地址确定点集合与边集合，其中，本申请实施例中的点集合中的元素为不同的源ip地址和所述目的ip地址，而边集合的元素为源ip地址与目的ip地址对，其中一个源ip地址与一个目的ip地址构成一条边作为边集合的一个元素。其次，基于所述点集合与所述边集合确定出表示每个源ip地址与目的ip地址对应关系的关联图谱；在关联图谱中每一个边集合中的元素为一个源ip地址的点与对应目的ip地址之间的连线，连线的方向是由源ip地址指向目的ip地址。

基于上述ip关联图谱，给所有的ip地址点初始化一个ip地址等级评分值pri，使用pagerank算法迭代计算更新所有ip地址点最新pr值。当迭代计算轮次超过预设次数时或者pagerank算法自动收敛时，所得到的每个节点的pr值记为ip地址信息评级数值，最后将所有源ip地址和目的ip地址等级评分值的平均值为所述ip地址信息的评级数值。

通过pagerank算法，获取的告警信息关联的ip地址关联威胁程度的关键性评分值。并且评分值越高，则说明该告警信息所关联的ip地址近期关联的告警事件越多，也就是说该ip地址对应的告警信息更需要运维人员重点关注。

进一步，获取威胁源评级数值包括，具体步骤如下：

判断所述威胁源是否属于所述历史威胁源；以预先确定的历史威胁源库为基础，确定每个威胁源的评级数值。也就是确定威胁源为历史威胁源还是新增威胁源，其中新增威胁源，代表了网络环境中新增加的威胁事件源头，能够反映网络中的动态事件，例如，新增的被感染的网络主机，试图感染其他主机，新增的被攻击者攻陷的主机，攻击者就会以这些主机为跳板尝试攻击其他主机或网络设施，造成大量的网络故障。因此，新增威胁源能够快速定位网络威胁事件的动态变化。

因此，若威胁源属于所述历史威胁源，则设置威胁源评级数值为第一数值；若威胁源不属于所述历史威胁源，则设置威胁源评级数值为第二数值，其中，如果告警的威胁源为新增威胁源，确定出的威胁源评级数值第一数值为s1，如果告警的威胁源为历史威胁源，确定出的威胁源评级数值第二数值为s2；并且，在本申请实施例中，s1大于s2，例如，s1取值为2时，s2取值为0.1。

获取到告警类型评级数值、威胁源评级数值及ip地址信息评级数值后进行如下步骤103。

步骤103：基于告警类型评级数值、威胁源评级数值及ip地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于确定的告警信息威胁等级对所述告警信息进行排序。

在基于告警类型评级数值、威胁源评级数值及ip地址信息评级数值对告警信息进行排序之前，使用预设算法，将所有类型的评分数值分别归一化到0到1之间，该预设算法可以是min-max标准化方法(min-maxnormalization)，将所有评级数值归一化可以防止某个评级数值过大使最终计算等级分值产生大的偏差，可提高等级分值计算的精确度；对所有评级数值进行归一化后，基于归一化的告警类型评级数值、威胁源评级数值及ip地址信息评级数值确定使用加权相加的算法确定出一个等级分值，进而根据此等级分值确定告警信息威胁的等级，基于等级排序的规则可以是按照威胁程度从高到低进行排列，也可按照威胁程度从低到高进行排列，本申请实施例对排序的规则不做限制。

如附图3所示，基于上述方法，本申请实施例还提供一种告警信息处理装置，所述装置包括：

提取模块301：用于提取待评级告警信息的告警类型、源ip地址和目的ip地址；

获取模块302：用于获取反映所述告警类型出现频率的告警类型评级数值、反映所述告警信息的威胁源是否首次出现的威胁源评级数值及反映ip地址信息关联威胁程度的ip地址信息评级数值；其中，所述告警类型与所述源ip地址组合的信息对为所述威胁源；

排序模块303：用于基于所述告警类型评级数值、所述威胁源评级数值及所述ip地址信息评级数值进行加权求和确定表示所述告警信息威胁程度的告警信息威胁等级，并基于所述告警信息威胁等级对所述告警信息进行排序。

可选的，所述获取模块302具体用于：

基于提取的所述告警类型查找所述告警类型与告警类型评级数值的对应关系表确定所述告警类型评级数值；

所述告警类型与评级数值的对应关系表基于历史威胁源库中不同的源ip地址数目及所述告警类型关联的源ip地址数目计算出表示所述告警信息类型出现频率的告警类型的评级数值而确定；

其中，所述历史威胁源库为在预设时间段内的威胁源信息。

可选的，所述获取模块302具体用于：

基于所述源ip地址和所述目的ip地址及预设时间段内告警信息中的源ip地址和目的ip地址确定点集合与边集合，其中，所述点集合的元素为不同的所述源ip地址和所述目的ip地址，所述边集合的元素为不同的所述源ip地址与所述目的ip地址对；

基于所述点集合与所述边集合确定出所述源ip地址与所述目的ip地址对应关系的关联图谱；

基于所述关联图谱及初始化后所有ip地址等级评分值，并通过迭代方式计算出所有ip地址的等级评分值，确定所述源ip地址和所述目的ip地址等级评分值的平均值为所述ip地址信息的评级数值，所述ip地址信息的评级数值表征所述ip地址涉及告警事件的数量。

可选的，所述获取模块302具体用于：判断所述威胁源是否属于所述历史威胁源；若所述威胁源属于所述历史威胁源，则设置所述威胁源评级数值为第一数值；若所述威胁源不属于所述历史威胁源，则设置所述威胁源评级数值为第二数值；其中，所述第一数值大于所述第二数值。

本申请实施例还提供了一种计算机存储介质，包括：

所述计算机可读存储介质包括计算机程序，当计算机程序在计算机上运行时，使得所述计算机执行附图1所描述的方法。

本申请实施例还提供了一种包含指令的计算机程序产品，包括：

当所述指令在计算机上运行时，使得所述计算机执行附图1所描述的方法。本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。