本发明涉及网络安全领域,特别涉及一种告警分类方法、装置、设备及存储介质。
背景技术:
1、随着互联网技术的快速发展,目前全球已经进入了信息化大数据时代,在给生活带来便利的同时,也带来了各种复杂的网络安全威胁攻击。各种政企单位也越来越重视自身安全能力的“建设”。所以不少政企单位为了提高自身“攻击威胁”分析能力,会部署各种安全设备资产在内部,为了检测到业务系统内的不同攻击,需要不同的维度去定义不同的告警事件,从而产生不同的告警类型,随着告警类型和告警数量的增多,形成了海量的告警,故需要分析处置的告警事件剧增,每日的告警日志量可达到十几万。但很多告警的产生并不是“真实有效”的攻击所触发,而是安全设备在检测过程中因为检测规则而产生的“攻击尝试”所造成的告警,而“真实有效”的攻击告警往往被大量的告警所遮盖。因此,如何对告警进行有效分离是目前亟待解决的问题。
技术实现思路
1、有鉴于此,本发明的目的在于提供一种告警分类方法、装置、设备及存储介质,能够通过初始知识库与经验数据不断地对告警进行区分,筛选出高可信的攻击成功告警,去除失败类告警,达到降噪的目的。其具体方案如下:
2、第一方面,本技术公开了一种告警分类方法,包括:
3、获取待检测流量,并基于预设的基础漏洞特征库对所述待检测流量进行扫描,以生成相应的攻击告警;
4、将所述攻击告警与当前成功告警知识库进行匹配,以得到相应的第一匹配结果,并基于所述第一匹配结果确定是否需要对所述当前成功告警知识库进行更新;
5、若不需要对所述当前成功告警知识库进行更新,则将所述攻击告警与当前失败告警知识库进行匹配,以得到相应的第二匹配结果,并基于所述第二匹配结果确定是否需要对所述当前失败告警知识库进行更新;
6、若不需要对所述当前失败告警知识库进行更新,则基于预设规则确定所述攻击告警对应的目标分值,将所述目标分值与预设经验数值进行对比,基于对比结果确定所述攻击告警对应的攻击状态,并输出相应的告警信息,以及对所述攻击状态对应的目标知识库进行更新;所述攻击状态包括成功、失败以及未知;所述目标知识库包括所述当前成功告警知识库以及所述当前失败告警知识库;
7、若需要对知识库进行更新,则输出相应的告警信息,并基于所述攻击告警对所述知识库进行相应的更新。
8、可选的,所述基于所述第一匹配结果确定是否需要对所述当前成功告警知识库进行更新,包括:
9、若所述攻击告警与所述当前成功告警知识库匹配成功,则判定需要对所述当前成功告警知识库进行更新;
10、若所述攻击告警与所述当前成功告警知识库匹配失败,则判定不需要对所述当前成功告警知识库进行更新。
11、可选的,所述基于所述第二匹配结果确定是否需要对所述当前失败告警知识库进行更新,包括:
12、若所述攻击告警与所述当前失败告警知识库匹配成功,则判定需要对所述当前失败告警知识库进行更新;
13、若所述攻击告警与所述当前失败告警知识库匹配失败,则判定不需要对所述当前失败告警知识库进行更新。
14、可选的,所述基于预设规则确定所述攻击告警对应的目标分值,包括:
15、确定训练集数据,利用所述训练集数据对初始分值计算模型进行训练,以得到目标分值计算模型;
16、利用所述目标分值计算模型确定所述攻击告警对应的目标分值。
17、可选的,所述基于对比结果确定所述攻击告警对应的攻击状态,并输出相应的告警信息,包括:
18、若所述目标分值大于或等于所述预设经验数值,则判定所述攻击告警对应的攻击状态为成功状态,并输出攻击成功的告警;
19、若所述目标分值小于所述预设经验数值,则基于预设的失败模型确定所述攻击告警对应的攻击状态,并输出相应的告警信息。
20、可选的,所述基于预设的失败模型确定所述攻击告警对应的攻击状态,并输出相应的告警信息,包括:
21、基于所述预设的失败模型判断所述攻击告警中是否存在目标参数组合;
22、若存在,则判定所述攻击告警对应的攻击状态为失败状态,并输出攻击失败的告警;
23、若不存在,则通过人工判断所述攻击告警对应的所述攻击状态;
24、若判定所述攻击状态为所述成功状态,则输出攻击成功的告警;
25、若判定所述攻击状态为所述失败状态,则输出攻击失败的告警;
26、若判定所述攻击状态为未知状态,则输出攻击尝试的告警。
27、可选的,所述若需要对知识库进行更新,则输出相应的告警信息,并基于所述攻击告警对所述知识库进行相应的更新,包括:
28、若判定需要对所述当前成功告警知识库进行更新,则输出攻击成功的告警,并基于所述攻击告警对所述当前成功告警知识库进行相应的更新;
29、若判定需要对所述当前失败告警知识库进行更新,则输出攻击状态失败的告警,并基于所述攻击告警对所述当前失败告警知识库进行相应的更新。
30、第二方面,本技术公开了一种告警分类装置,包括:
31、攻击告警生成模块,用于获取待检测流量,并基于预设的基础漏洞特征库对所述待检测流量进行扫描,以生成相应的攻击告警;
32、第一知识库更新判断模块,用于将所述攻击告警与当前成功告警知识库进行匹配,以得到相应的第一匹配结果,并基于所述第一匹配结果确定是否需要对所述当前成功告警知识库进行更新;
33、第二知识库更新判断模块,用于若不需要对所述当前成功告警知识库进行更新,则将所述攻击告警与当前失败告警知识库进行匹配,以得到相应的第二匹配结果,并基于所述第二匹配结果确定是否需要对所述当前失败告警知识库进行更新;
34、告警信息输出模块,用于若不需要对所述当前失败告警知识库进行更新,则基于预设规则确定所述攻击告警对应的目标分值,将所述目标分值与预设经验数值进行对比,基于对比结果确定所述攻击告警对应的攻击状态,并输出相应的告警信息,以及对所述攻击状态对应的目标知识库进行更新;所述攻击状态包括成功、失败以及未知;所述目标知识库包括所述当前成功告警知识库以及所述当前失败告警知识库;
35、知识库更新模块,用于若需要对知识库进行更新,则输出相应的告警信息,并基于所述攻击告警对知识库进行相应的更新。
36、第三方面,本技术公开了一种电子设备,包括:
37、存储器,用于保存计算机程序;
38、处理器,用于执行所述计算机程序以实现前述的告警分类方法。
39、第四方面,本技术公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的告警分类方法。
40、由上可知,本技术首先获取待检测流量,并基于预设的基础漏洞特征库对所述待检测流量进行扫描,以生成相应的攻击告警;将所述攻击告警与当前成功告警知识库进行匹配,以得到相应的第一匹配结果,并基于所述第一匹配结果确定是否需要对所述当前成功告警知识库进行更新;若不需要对所述当前成功告警知识库进行更新,则将所述攻击告警与当前失败告警知识库进行匹配,以得到相应的第二匹配结果,并基于所述第二匹配结果确定是否需要对所述当前失败告警知识库进行更新;若不需要对所述当前失败告警知识库进行更新,则基于预设规则确定所述攻击告警对应的目标分值,将所述目标分值与预设经验数值进行对比,基于对比结果确定所述攻击告警对应的攻击状态,并输出相应的告警信息,以及对所述攻击状态对应的目标知识库进行更新;所述攻击状态包括成功、失败以及未知;所述目标知识库包括所述当前成功告警知识库以及所述当前失败告警知识库;若需要对知识库进行更新,则输出相应的告警信息,并基于所述攻击告警对所述知识库进行相应的更新。可见,本技术能够通过初始知识库与经验数据不断地对告警进行区分,筛选出高可信的攻击成功告警,去除失败类告警,达到降噪的目的。这样一来,能够明显降低告警量,通过失败告警知识库与成功告警知识库的不断累积,定义为成功与失败的告警越来越多,可大大减少使用者查看高可信告警的时间。