安全告警自動化分析降噪方法技術

本發明專利技術提供了一種安全告警自動化分析降噪方法

【技術實現步驟摘要】
安全告警自動化分析降噪方法、裝置及服務器


[0001]本專利技術涉及態勢感知的
，尤其是涉及一種安全告警自動化分析降噪方法
、
裝置及服務器
。

技術介紹

[0002]態勢感知平臺是一種安全監控系統，具有實時監測
、
預警
、
分析和響應等功能，態勢感知平臺在使用時會接入各種安全設備
、
業務系統的告警和日志數據，當部分威脅檢測規則存在配置不當或業務行為不規范時，可能導致平臺產生海量的錯誤或無效告警
(
即告警噪聲
)。
目前，相關技術提出，可以通過人工分析確定態勢感知平臺中存在的告警問題，但人工分析過分依賴安全人員的經驗水平，從而導致實際效果的差異性較大，且耗時較長
。

技術實現思路

[0003]有鑒于此，本專利技術的目的在于提供一種安全告警自動化分析降噪方法
、
裝置及服務器，可以自動化檢測告警噪聲，從而提升安全告警分析結果的穩定性，并顯著提升降噪效率
。
[0004]第一方面，本專利技術實施例提供了一種安全告警自動化分析降噪方法，方法應用于態勢感知平臺，方法包括：獲取分析維度集合
、
待處理告警信息和目標檢測項；根據目標檢測項和待處理告警信息中的關鍵詞信息，對待處理告警信息進行維度采集處理，確定目標分析維度集合和目標告警信息，其中，目標告警信息為包括目標檢測項的待處理告警信息；將歷史分析經驗數據固化為邏輯代碼，并利用邏輯代碼分別對各項目標分析維度中的目標告警信息進行數據分析處理，確定告警噪聲信息，其中，告警噪聲信息為誤報告警信息
。
[0005]在一種實施方式中，根據目標檢測項和待處理告警信息中的關鍵詞信息，對待處理告警信息進行維度采集處理，確定目標分析維度集合和目標告警信息的步驟，包括：利用目標檢測項在分析維度集合中確定目標分析維度集合；根據各項目標分析維度對應的維度采集邏輯，分別對待處理告警信息進行維度采集處理，確定目標告警信息，其中，維度采集邏輯包括：條件過濾和逐層聚合
。
[0006]在一種實施方式中，根據各項目標分析維度對應的維度采集邏輯，分別對待處理告警信息進行維度采集處理，確定目標告警信息的步驟，包括：根據目標檢測項對待處理告警信息進行條件過濾處理，得到初步篩選結果；利用待處理告警信息中的關鍵詞信息，對初步篩選結果進行逐層聚合處理，確定目標告警信息
。
[0007]在一種實施方式中，在確定目標告警信息的步驟之后，包括：通過預設配置優化分析模型對目標告警信息進行反推處理，確定態勢感知平臺的平臺配置問題
。
[0008]在一種實施方式中，在分析維度集合
、
待處理告警信息和目標檢測項的步驟之前，包括：獲取態勢感知平臺的平臺信息，并利用平臺信息對態勢感知平臺進行性能檢測處理，確定性能檢測結果，其中，平臺信息包括：平臺規則版本
、
已接入的安全設備
、
平臺運行狀態和告警白名單配置，當性能檢測結果為通過時，允許態勢感知平臺進行安全告警自動化分
析
。
[0009]在一種實施方式中，在確定告警噪聲信息的步驟之后，包括：根據預設標準格式信息對告警噪聲信息的格式進行調整，確定標準告警噪聲信息，其中，在標準告警噪聲信息中，目標分析維度與目標告警信息為一一對應關系；對標準告警噪聲信息進行模板匹配處理，確定目標告警噪聲信息；將目標告警噪聲信息存儲至報告文件中
。
[0010]在一種實施方式中，對標準告警噪聲信息進行模板匹配處理，確定目標告警噪聲信息的步驟，包括：對目標告警噪聲信息進行數據類型分析，確定輸入數據類型和數據集；將預設描述模板集合與輸入數據類型和數據集進行匹配，確定目標描述模板；將標準告警噪聲信息與目標描述模板結合，生成目標告警噪聲信息
。
[0011]第二方面，本專利技術實施例還提供一種安全告警自動化分析降噪裝置，裝置應用于態勢感知平臺，裝置包括：數據獲取模塊，獲取分析維度集合
、
待處理告警信息和目標檢測項；維度采集模塊，根據目標檢測項和待處理告警信息中的關鍵詞信息，對待處理告警信息進行維度采集處理，確定目標分析維度集合和目標告警信息，其中，目標告警信息為包括目標檢測項的待處理告警信息；數據分析模塊，將歷史分析經驗數據固化為邏輯代碼，并利用邏輯代碼分別對各項目標分析維度中的目標告警信息進行數據分析處理，確定告警噪聲信息，其中，告警噪聲信息為誤報告警信息
。
[0012]第三方面，本專利技術實施例還提供一種服務器，包括處理器和存儲器，存儲器存儲有能夠被處理器執行的計算機可執行指令，處理器執行計算機可執行指令以實現第一方面提供的任一項的方法
。
[0013]第四方面，本專利技術實施例還提供一種計算機可讀存儲介質，計算機可讀存儲介質存儲有計算機可執行指令，計算機可執行指令在被處理器調用和執行時，計算機可執行指令促使處理器實現第一方面提供的任一項的方法
。
[0014]本專利技術實施例帶來了以下有益效果：
[0015]本專利技術實施例提供的一種安全告警自動化分析降噪方法
、
裝置及服務器，在獲取分析維度集合
、
待處理告警信息和目標檢測項后，根據目標檢測項和待處理告警信息中的關鍵詞信息，對待處理告警信息進行維度采集處理，確定目標分析維度集合和目標告警信息，并將歷史分析經驗數據固化為邏輯代碼，并利用邏輯代碼分別對各項目標分析維度中的目標告警信息進行數據分析處理，確定告警噪聲信息，本專利技術實施例可以自動化檢測告警噪聲，從而提升安全告警分析結果的穩定性，并顯著提升降噪效率
。
[0016]本專利技術的其他特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本專利技術而了解
。
本專利技術的目的和其他優點在說明書
、
權利要求書以及附圖中所特別指出的結構來實現和獲得
。
[0017]為使本專利技術的上述目的
、
特征和優點能更明顯易懂，下文特舉較佳實施例，并配合所附附圖，作詳細說明如下
。
附圖說明
[0018]為了更清楚地說明本專利技術具體實施方式或現有技術中的技術方案，下面將對具體實施方式或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本專利技術的一些實施方式，對于本領域普通技術人員來講，在不付出創造性勞動的前
提下，還可以根據這些附圖獲得其他的附圖
。
[0019]圖1為本專利技術實施例提供的一種安全告警自動化分析降噪方法的流程示意圖；
[0020]圖2為本專利技術實施例提供的一種安全告警自動化分析降噪方法的示意圖；
[0021]圖3為本專利技術實施例提供的一種安全告警自動化分析降噪裝置的結構示意圖；
[0022]圖4為本專利技術實施例提供的一種電子設備的結構示意圖本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.
一種安全告警自動化分析降噪方法，其特征在于，所述方法應用于態勢感知平臺，所述方法包括：獲取分析維度集合
、
待處理告警信息和目標檢測項；根據所述目標檢測項和所述待處理告警信息中的關鍵詞信息，對所述待處理告警信息進行維度采集處理，確定目標分析維度集合和目標告警信息，其中，所述目標告警信息為包括所述目標檢測項的所述待處理告警信息；將歷史分析經驗數據固化為邏輯代碼，并利用所述邏輯代碼分別對各項目標分析維度中的所述目標告警信息進行數據分析處理，確定告警噪聲信息，其中，所述告警噪聲信息為誤報告警信息
。2.
根據權利要求1所述的安全告警自動化分析降噪方法，其特征在于，所述根據所述目標檢測項和所述待處理告警信息中的關鍵詞信息，對所述待處理告警信息進行維度采集處理，確定目標分析維度集合和目標告警信息的步驟，包括：利用所述目標檢測項在所述分析維度集合中確定所述目標分析維度集合；根據各項目標分析維度對應的維度采集邏輯，分別對所述待處理告警信息進行維度采集處理，確定所述目標告警信息，其中，所述維度采集邏輯包括：條件過濾和逐層聚合
。3.
根據權利要求2所述的安全告警自動化分析降噪方法，其特征在于，所述根據各項目標分析維度對應的維度采集邏輯，分別對所述待處理告警信息進行維度采集處理，確定所述目標告警信息的步驟，包括：根據所述目標檢測項對所述待處理告警信息進行條件過濾處理，得到初步篩選結果；利用所述待處理告警信息中的關鍵詞信息，對所述初步篩選結果進行逐層聚合處理，確定所述目標告警信息
。4.
根據權利要求3所述的安全告警自動化分析降噪方法，其特征在于，在所述確定所述目標告警信息的步驟之后，包括：通過預設配置優化分析模型對所述目標告警信息進行反推處理，確定所述態勢感知平臺的平臺配置問題
。5.
根據權利要求1所述的安全告警自動化分析降噪方法，其特征在于，在所述分析維度集合
、
待處理告警信息和目標檢測項的步驟之前，包括：獲取態勢感知平臺的平臺信息，并利用所述平臺信息對所述態勢感知平臺進行性能檢測處理，確定性能檢測結果，其中，所述平臺信息包括：平臺規則版本
、
已接入的安全設備<...

【專利技術屬性】
技術研發人員：何穎華，劉書航，王可圣，
申請(專利權)人：江蘇安恒網絡安全有限公司，
類型：發明
國別省市：