告警数据的处理方法及装置与流程

本申请涉及安全防护，尤其涉及一种告警数据的处理方法及装置。

背景技术：

1、随着技术的发展，信息安全也逐步受到重视，为了保障企业内部数据不被恶意攻击，通常会按照一些安全运营人员对企业系统内检测到的告警数据进行处理，也就是对其进行分析研判，并从中确定攻击行为。

2、目前，现有的告警数据的处理过程中一般是通过多个安全运营团队对告警数据进行独立审核，但在其审核过程中，每个团队都会通过其端口给出当前告警数据的审核结果，但在实际应用中，由于多个审核团队所关注的告警数据中的内容很可能是不同的，这就会导致不同端口所反馈的审核结果之间可能存在偏差甚至出现矛盾，从而使得对告警数据的处理过程中需要花费较大的时间对多个不同审核结果进行复核，继而因繁重的复核工作严重影响告警数据的处理效率。

技术实现思路

1、本申请实施例提供一种告警数据的处理方法及装置，主要目的在于实现一种告警数据的处理方法，用于解决现有的告警数据处理过程中存在处理效率较低的问题。

2、为解决上述技术问题，本申请实施例提供如下技术方案：

3、第一方面，本申请提供了一种告警数据的处理方法，所述方法包括：

4、将多个告警数据按照至少一个目标字段信息进行提取，生成对应所述多个告警数据的告警工单，其中，所述目标字段信息为所述告警数据包含的字段信息；

5、将所述告警工单发送至审核端口进行审核，并获取审核结果，其中，所述审核端口至少包括第一端口和第二端口；其中，所述第一端口用于对告警工单进行汇总补全，所述第二端口用于对汇总补全后的告警工单进行攻击行为的审核；

6、基于所述审核结果确定所述多个告警数据的告警结果。

7、第二方面，本申请还提供一种告警数据的处理装置，包括：

8、生成单元，用于将多个告警数据按照至少一个目标字段信息进行提取，生成对应所述多个告警数据的告警工单，其中，所述目标字段信息为所述告警数据包含的字段信息；

9、审核单元，用于将所述告警工单发送至审核端口进行审核，并获取审核结果，其中，所述审核端口至少包括第一端口和第二端口；其中，所述第一端口用于对告警工单进行汇总补全，所述第二端口用于对汇总补全后的告警工单进行攻击行为的审核；

10、确定单元，用于基于所述审核结果确定所述多个告警数据的告警结果。

11、第三方面，本申请的实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面所述的终端设备的告警数据的处理方法。

12、第四方面，本申请的实施例提供了一种告警数据的处理装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行第一方面所述的终端设备的告警数据的处理方法。

13、借由上述技术方案，本申请提供的技术方案至少具有下列优点：

14、本申请提供一种告警数据的处理方法及装置，本申请能够首先将多个告警数据按照至少一个目标字段信息进行提取，生成对应所述多个告警数据的告警工单，其中，所述目标字段信息为所述告警数据包含的字段信息；然后，将所述告警工单发送至审核端口进行审核，并获取审核结果，其中，所述审核端口至少包括第一端口和第二端口；其中，所述第一端口用于对告警工单进行汇总补全，所述第二端口用于对汇总补全后的告警工单进行攻击行为的审核；最后，基于所述审核结果确定所述多个告警数据的告警结果，从而实现告警数据的处理功能。与现有技术相比，由于本申请在审核过程中是基于按照目标字段信息从告警数据中的生成的告警工单生成的，而该告警工单中仅包含目标字段信息所涉及的内容，这就保证了审核端口在进行审核的过程中能够确保审核的内容相对一致，相当于按照同一个角度对多个告警数据进行审核，那么在这种审核方式下就避免了各个端口在进行审核时因关注的告警数据的字段不同而导致生成不同的审核结果，也就避免了多个端口审核过程中出现审核偏差或相互矛盾的情况，这就避免了后续的复核过程，从而使的在对告警数据进行处理时，不用因繁重的复核工作而影响处理效率，可以提高告警数据的处理效率。另外，由于本申请中在进行审核的过程中，是分为两种不同的端口进行审核的，也就是第一端口和第二端口，其中第一端口只用来对告警工单进行汇总补全，而第二端口基于第一端口汇总补全后的审核结果进行攻击行为的分析，这就确保了在第一端口和第二端口进行审核时彼此都有明确的职责，不会因为两个端口之间的职责不明导致审核过程混乱的情况，使审核过程更为有序，从而在有序审核的情况下也可以提高整个告警数据的处理效率。同时，在本申请中进行审核时是通过告警工单进行的，该告警工单是基于告警数据的基础上通过目标字段信息进行提取得到的，也就是说一个告警工单可以涵盖多个告警数据涉及的信息，因此在对告警数据处理时减少了需要处理的数据量，从而当告警数据的数据量过大时，可以有效减少审核人员因此出现纰漏的概率，降低了出现纰漏的可能，继而可以提高告警数据的处理的准确性。

15、上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

技术特征：

1.一种告警数据的处理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，在所述将多个告警数据按照至少一个目标字段信息进行提取，生成对应所述多个告警数据的告警工单之前，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，所述流量数据包括实时流量和历史流量；所述目标流量数据包括：与所述预设告警规则相匹配的历史流量、与所述预设告警规则相匹配的实时流量、与所述新增告警规则相匹配的历史流量，以及与所述新增告警规则相匹配的实时流量；

4.根据权利要求1所述的方法，其特征在于，所述将多个告警数据按照至少一个目标字段信息进行提取，生成对应所述多个告警数据的告警工单包括：

5.根据权利要求4所述的方法，其特征在于，所述目标字段信息包括：威胁类型、威胁名称、处理优先级、告警置信度、攻击结果、攻击地址集合、受害地址集合、源头地址集合、目的地址集合、源头端口集合、目的端口集合以及时间信息中至少一个；所述数据类型包括集合类、统计类以及记录类；

6.根据权利要求1所述的方法，其特征在于，在所述将所述告警工单发送至审核端口进行审核，并获取审核结果之后，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，所述将所述告警工单发送至审核端口进行审核，并获取审核结果，包括：

8.根据权利要求7所述的方法，其特征在于，所述第二端口的审核结果还包括：攻击行为存疑；所述审核端口还包括第三端口，其中，所述第三端口用于基于所述第二端口的审核结果对所述告警工单进行二次审核；

9.根据权利要求7所述的方法，其特征在于，所述第一端口还用于当所述告警工单确定的威胁程度低于预设告警阈值，或者确定所述告警工单为误报时，将所述告警工单确定为所述无效工单；

10.根据权利要求1所述的方法，其特征在于，所述第一端口还用于监测流量数据日志，并当确定目标时段内的流量数据存在异常时生成告警工单生成指示；

11.一种告警数据的处理装置，其特征在于，包括：

12.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至10中任一项所述的告警数据的处理方法。

13.一种告警数据的处理装置，其特征在于，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行权利要求1至10中任一项所述的告警数据的处理方法。

技术总结
本申请公开一种告警数据的处理方法及装置，涉及安全防护技术领域。本申请的方法包括：将多个告警数据按照至少一个目标字段信息进行提取，生成对应所述多个告警数据的告警工单，其中，所述目标字段信息为所述告警数据包含的字段信息；将所述告警工单发送至审核端口进行审核，并获取审核结果，其中，所述审核端口至少包括第一端口和第二端口；其中，所述第一端口用于对告警工单进行汇总补全，所述第二端口用于对汇总补全后的告警工单进行攻击行为的审核；基于所述审核结果确定所述多个告警数据的告警结果。本申请用于实现告警数据的处理功能。

技术研发人员：刘一君,蔡玉光,郭超,李绣雯,王雷,何瑞,曹博新,崔强,覃征平,田子玉,孙军亮,符涵
受保护的技术使用者：中国电子产业工程有限公司
技术研发日：
技术公布日：2024/4/17