安全告警自动化分析降噪方法、装置及服务器与流程

本发明涉及态势感知的，尤其是涉及一种安全告警自动化分析降噪方法、装置及服务器。

背景技术：

1、态势感知平台是一种安全监控系统，具有实时监测、预警、分析和响应等功能，态势感知平台在使用时会接入各种安全设备、业务系统的告警和日志数据，当部分威胁检测规则存在配置不当或业务行为不规范时，可能导致平台产生海量的错误或无效告警(即告警噪声)。目前，相关技术提出，可以通过人工分析确定态势感知平台中存在的告警问题，但人工分析过分依赖安全人员的经验水平，从而导致实际效果的差异性较大，且耗时较长。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种安全告警自动化分析降噪方法、装置及服务器，可以自动化检测告警噪声，从而提升安全告警分析结果的稳定性，并显著提升降噪效率。

2、第一方面，本发明实施例提供了一种安全告警自动化分析降噪方法，方法应用于态势感知平台，方法包括：获取分析维度集合、待处理告警信息和目标检测项；根据目标检测项和待处理告警信息中的关键词信息，对待处理告警信息进行维度采集处理，确定目标分析维度集合和目标告警信息，其中，目标告警信息为包括目标检测项的待处理告警信息；将历史分析经验数据固化为逻辑代码，并利用逻辑代码分别对各项目标分析维度中的目标告警信息进行数据分析处理，确定告警噪声信息，其中，告警噪声信息为误报告警信息。

3、在一种实施方式中，根据目标检测项和待处理告警信息中的关键词信息，对待处理告警信息进行维度采集处理，确定目标分析维度集合和目标告警信息的步骤，包括：利用目标检测项在分析维度集合中确定目标分析维度集合；根据各项目标分析维度对应的维度采集逻辑，分别对待处理告警信息进行维度采集处理，确定目标告警信息，其中，维度采集逻辑包括：条件过滤和逐层聚合。

4、在一种实施方式中，根据各项目标分析维度对应的维度采集逻辑，分别对待处理告警信息进行维度采集处理，确定目标告警信息的步骤，包括：根据目标检测项对待处理告警信息进行条件过滤处理，得到初步筛选结果；利用待处理告警信息中的关键词信息，对初步筛选结果进行逐层聚合处理，确定目标告警信息。

5、在一种实施方式中，在确定目标告警信息的步骤之后，包括：通过预设配置优化分析模型对目标告警信息进行反推处理，确定态势感知平台的平台配置问题。

6、在一种实施方式中，在分析维度集合、待处理告警信息和目标检测项的步骤之前，包括：获取态势感知平台的平台信息，并利用平台信息对态势感知平台进行性能检测处理，确定性能检测结果，其中，平台信息包括：平台规则版本、已接入的安全设备、平台运行状态和告警白名单配置，当性能检测结果为通过时，允许态势感知平台进行安全告警自动化分析。

7、在一种实施方式中，在确定告警噪声信息的步骤之后，包括：根据预设标准格式信息对告警噪声信息的格式进行调整，确定标准告警噪声信息，其中，在标准告警噪声信息中，目标分析维度与目标告警信息为一一对应关系；对标准告警噪声信息进行模板匹配处理，确定目标告警噪声信息；将目标告警噪声信息存储至报告文件中。

8、在一种实施方式中，对标准告警噪声信息进行模板匹配处理，确定目标告警噪声信息的步骤，包括：对目标告警噪声信息进行数据类型分析，确定输入数据类型和数据集；将预设描述模板集合与输入数据类型和数据集进行匹配，确定目标描述模板；将标准告警噪声信息与目标描述模板结合，生成目标告警噪声信息。

9、第二方面，本发明实施例还提供一种安全告警自动化分析降噪装置，装置应用于态势感知平台，装置包括：数据获取模块，获取分析维度集合、待处理告警信息和目标检测项；维度采集模块，根据目标检测项和待处理告警信息中的关键词信息，对待处理告警信息进行维度采集处理，确定目标分析维度集合和目标告警信息，其中，目标告警信息为包括目标检测项的待处理告警信息；数据分析模块，将历史分析经验数据固化为逻辑代码，并利用逻辑代码分别对各项目标分析维度中的目标告警信息进行数据分析处理，确定告警噪声信息，其中，告警噪声信息为误报告警信息。

10、第三方面，本发明实施例还提供一种服务器，包括处理器和存储器，存储器存储有能够被处理器执行的计算机可执行指令，处理器执行计算机可执行指令以实现第一方面提供的任一项的方法。

11、第四方面，本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机可执行指令，计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现第一方面提供的任一项的方法。

12、本发明实施例带来了以下有益效果：

13、本发明实施例提供的一种安全告警自动化分析降噪方法、装置及服务器，在获取分析维度集合、待处理告警信息和目标检测项后，根据目标检测项和待处理告警信息中的关键词信息，对待处理告警信息进行维度采集处理，确定目标分析维度集合和目标告警信息，并将历史分析经验数据固化为逻辑代码，并利用逻辑代码分别对各项目标分析维度中的目标告警信息进行数据分析处理，确定告警噪声信息，本发明实施例可以自动化检测告警噪声，从而提升安全告警分析结果的稳定性，并显著提升降噪效率。

14、本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

15、为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

技术特征：

1.一种安全告警自动化分析降噪方法，其特征在于，所述方法应用于态势感知平台，所述方法包括：

2.根据权利要求1所述的安全告警自动化分析降噪方法，其特征在于，所述根据所述目标检测项和所述待处理告警信息中的关键词信息，对所述待处理告警信息进行维度采集处理，确定目标分析维度集合和目标告警信息的步骤，包括：

3.根据权利要求2所述的安全告警自动化分析降噪方法，其特征在于，所述根据各项目标分析维度对应的维度采集逻辑，分别对所述待处理告警信息进行维度采集处理，确定所述目标告警信息的步骤，包括：

4.根据权利要求3所述的安全告警自动化分析降噪方法，其特征在于，在所述确定所述目标告警信息的步骤之后，包括：

5.根据权利要求1所述的安全告警自动化分析降噪方法，其特征在于，在所述分析维度集合、待处理告警信息和目标检测项的步骤之前，包括：

6.根据权利要求1所述的安全告警自动化分析降噪方法，其特征在于，在所述确定告警噪声信息的步骤之后，包括：

7.根据权利要求6所述的安全告警自动化分析降噪方法，其特征在于，所述对所述标准告警噪声信息进行模板匹配处理，确定目标告警噪声信息的步骤，包括：

8.一种安全告警自动化分析降噪装置，其特征在于，所述装置应用于态势感知平台，所述装置包括：

9.一种服务器，其特征在于，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的计算机可执行指令，所述处理器执行所述计算机可执行指令以实现权利要求1至7任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令在被处理器调用和执行时，计算机可执行指令促使处理器实现权利要求1至7任一项所述的方法。

技术总结
本发明提供了一种安全告警自动化分析降噪方法、装置及服务器，涉及态势感知的技术领域，包括：获取分析维度集合、待处理告警信息和目标检测项；根据目标检测项和待处理告警信息中的关键词信息，对待处理告警信息进行维度采集处理，确定目标分析维度集合和目标告警信息，其中，目标告警信息为包括目标检测项的待处理告警信息；将历史分析经验数据固化为逻辑代码，并利用逻辑代码分别对各项目标分析维度中的目标告警信息进行数据分析处理，确定告警噪声信息，其中，告警噪声信息为误报告警信息。本发明可以自动化检测告警噪声，从而提升安全告警分析结果的稳定性，并显著提升降噪效率。

技术研发人员：何颖华,刘书航,王可圣
受保护的技术使用者：江苏安恒网络安全有限公司
技术研发日：
技术公布日：2024/1/15