【技術實現步驟摘要】
本申請涉及網絡安全,特別是涉及一種告警事件的排序方法、裝置、設備及存儲介質。
技術介紹
1、隨著網絡攻擊的日益頻繁和復雜,安全設備每天都會產生海量的安全告警,這對安全運營人員提出了極大的挑戰。為了從大量告警中篩選出具有高威脅的告警,確保有限的安全團隊資源能夠優先集中在最關鍵和最緊急的告警上,進而高效資源分配,降低風險損失,需要對安全告警行優先級排序,提高告警事件的處理效率,保障組織的安全和業務的穩定運行。
2、在現有技術中通常采用根據告警事件的事件類型進行優先級排序,優先處理對安全設備產生更大影響或經濟損失的事件類型對應的告警事件。然而,網絡環境是不斷變化且復雜的,僅通過告警事件的事件類型進行優先級排序不符合實際運行需求,導致告警事件的處理效率低。
技術實現思路
1、基于上述問題,本申請提供了一種告警事件的排序方法、裝置、設備及存儲介質,目的是通過更加符合實際運行需求的告警事件優先級排序,提高告警事件的處理效率。
2、本申請實施例公開了如下技術方案:
3、第一方面,本申請提供一種告警事件的排序方法,包括:
4、根據獲取的告警事件中的地址信息,確定出告警事件對應的目標設備節點以及關聯設備節點;關聯設備節點為與目標設備節點存在關聯關系的設備節點;
5、根據目標設備節點的重要程度與關聯設備節點的重要程度,確定出目標重要程度;
6、根據告警事件確定出告警事件對應的嚴重程度以及置信度;
7、通過對目標重要程度
8、根據獲取的告警事件中的地址信息,確定出告警事件對應的目標設備節點以及關聯設備節點再根據目標設備節點的重要程度與關聯設備節點的重要程度,確定出目標重要程度,考慮了實際運營中目標設備節點所處網絡位置以及上下文聯通情況,提高重要程度評估維度賦值的準確度。再根據告警事件確定出告警事件對應的嚴重程度以及置信度,考慮了告警事件的實際處理情況以及告警事件實際發生的可能性,提高再告警事件影響維度與可能性維度賦值的準確性。最后,通過對目標重要程度、嚴重程度以及置信度進行加權計算,確定出告警事件對應的排序值,并根據排序值對告警事件進行排序,實現了更符合實際運行需求的告警事件優先級的排序,進而提高告警事件的處理效率。
9、可選的,如上所述的方法,根據獲取的告警事件中的地址信息,確定出告警事件對應的目標設備節點以及關聯設備節點,包括:
10、根據地址信息,確定告警事件對應的目標設備節點;
11、從網絡信息拓撲圖中確定出目標設備節點對應的關聯設備節點;網絡信息拓撲圖為不同設備節點之間的連通圖;關聯設備節點為目標設備節點的下游節點,通過精準識別與目標設備節點關聯的關聯設備節點,可以進一步分析目標設備節點在實際運營過程中的重要程度,提高告警事件排序的準確性。
12、可選的,如上所述的方法,從網絡信息拓撲圖中確定出目標設備節點對應的關聯設備節點,包括:
13、采用圖可達性算法對網絡信息拓撲圖進行分析,得到目標設備節點對應的間接影響子圖;間接影響子圖用于描述目標設備節點與關聯設備節點之間的關聯關系;
14、根據間接影響子圖,確定出與目標設備節點存在關聯關系的關聯設備節點,提高關聯設備節點確定的準確性。
15、可選的,如上所述的方法,關聯設備節點包括第一關聯設備節點和第二關聯設備節點,第一關聯設備節點與目標設備節點的關聯關系強于第二關聯設備節點與目標設備節點的關聯關系,根據目標設備節點的重要程度與關聯設備節點的重要程度,確定出目標重要程度,包括:
16、根據從配置管理信息庫中查詢到的地址信息對應的目標設備節點的設備分類信息,在設備分類映射庫中確定出目標設備節點對應的重要程度;配置管理信息庫中存儲不同設備節點對應的設備分類信息,設備分類映射庫中存儲不同設備分類對應的重要程度;
17、基于第一關聯設備節點對應的設備分類信息,在設備分類映射庫中確定出第一關聯設備節點對應的重要程度;
18、基于第二關聯設備節點對應的設備分類信息,在設備分類映射庫中確定出第二關聯設備節點對應的重要程度;
19、根據目標設備節點對應的重要程度、第一關聯設備節點對應的重要程度以及第二關聯設備節點對應的重要程度,計算出目標設備節點對應的目標重要程度,更準確地評估目標設備節點及其關聯設備節點的重要程度,進而提高告警事件排序的準確性。
20、可選的,如上所述的方法,根據告警事件確定出告警事件對應的嚴重程度以及置信度,包括:
21、根據告警事件中告警類型的嚴重級別、告警事件中的執行信息以及處置信息,確定出告警事件的嚴重程度;
22、根據告警事件中的初始告警置信度、告警事件中的依賴漏洞信息以及告警事件中的端口信息,確定出告警事件的置信度,從而能夠更全面、準確地評估告警事件的嚴重性和置信度,進而提高了告警事件排序結果的準確性和可靠性。
23、可選的,如上所述的方法,根據告警事件中告警類型的嚴重級別、告警事件中的執行信息以及處置信息,確定出告警事件的嚴重程度,包括:
24、根據告警類型的嚴重級別,從告警分類分級信息庫中確定出告警嚴重級別對應的基礎值;告警分類分級信息庫存儲不同告警類型對應的嚴重級別和相應的基礎值;
25、根據執行信息確定出告警事件的告警嚴重值;執行信息用于表述告警事件是否已經被執行成功;
26、根據處置信息確定出告警事件的告警影響值;處置信息用于表述告警事件是否已經被處置完成;
27、將基礎值、告警嚴重值以及告警影響值進行相乘運算,得到告警事件的嚴重程度,提高告警嚴重程度的評估準確度。
28、可選的,如上所述的方法,根據告警事件中的初始告警置信度、告警事件中的依賴漏洞信息以及告警事件中的端口信息,確定出告警事件的置信度,包括:
29、在確定告警事件對應預設時間范圍內存在關聯告警時,確定出告警事件對應的置信度增強系數;
30、根據告警事件依賴的漏洞信息以及告警事件對應的端口信息,確定出告警事件對應的置信度確認系數;
31、將初始告警置信度、置信度增強系數以及置信度確認系數進行相乘運算,得到告警事件的置信度,提高了置信度的準確性。
32、可選的,如上所述的方法,通過對目標重要程度、嚴重程度以及置信度進行加權計算,確定出告警事件對應的排序值,并根據排序值對告警事件進行排序,包括:
33、將目標重要程度、嚴重程度以及置信度分別進行歸一化處理,分別得到重要程度分值、嚴重程度分值以及所置信度分值;
34、將重要程度分值、嚴重程度分值以及置信度分值進行乘法運算,得到告警事件對應的排序值;
35、根據告警事件對應的排序值對告警事件進行排序,綜合考慮了告警事件的多個維度,從而更準確地評本文檔來自技高網...
【技術保護點】
1.一種告警事件的排序方法,其特征在于,包括:
2.根據權利要求1所述的方法,其特征在于,所述根據獲取的告警事件中的地址信息,確定出所述告警事件對應的目標設備節點以及關聯設備節點,包括:
3.根據權利要求2所述的方法,其特征在于,所述從網絡信息拓撲圖中確定出所述目標設備節點對應的所述關聯設備節點,包括:
4.根據權利要求3所述的方法,其特征在于,所述關聯設備節點包括第一關聯設備節點和第二關聯設備節點,所述第一關聯設備節點與所述目標設備節點的關聯關系強于所述第二關聯設備節點與所述目標設備節點的關聯關系,所述根據所述目標設備節點的重要程度與所述關聯設備節點的重要程度,確定出目標重要程度,包括:
5.根據權利要求1所述的方法,其特征在于,所述根據所述告警事件確定出所述告警事件對應的嚴重程度以及置信度,包括:
6.根據權利要求5所述的方法,其特征在于,所述根據所述告警事件中告警類型的嚴重級別、所述告警事件中的執行信息以及處置信息,確定出所述告警事件的嚴重程度,包括:
7.根據權利要求5所述的方法,其特征在于,所述根據
8.根據權利要求1-7任一項所述的方法,其特征在于,所述通過對所述目標重要程度、所述嚴重程度以及所述置信度進行加權計算,確定出所述告警事件對應的排序值,并根據所述排序值對所述告警事件進行排序,包括:
9.一種告警事件的排序裝置,其特征在于,包括:
10.一種電子設備,其特征在于,所述設備包括:處理器,以及與所述處理器通信連接的存儲器;
11.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質中存儲有計算機執行指令,所述計算機執行指令被處理器執行時用于實現如權利要求1至8任一項所述的方法。
...【技術特征摘要】
1.一種告警事件的排序方法,其特征在于,包括:
2.根據權利要求1所述的方法,其特征在于,所述根據獲取的告警事件中的地址信息,確定出所述告警事件對應的目標設備節點以及關聯設備節點,包括:
3.根據權利要求2所述的方法,其特征在于,所述從網絡信息拓撲圖中確定出所述目標設備節點對應的所述關聯設備節點,包括:
4.根據權利要求3所述的方法,其特征在于,所述關聯設備節點包括第一關聯設備節點和第二關聯設備節點,所述第一關聯設備節點與所述目標設備節點的關聯關系強于所述第二關聯設備節點與所述目標設備節點的關聯關系,所述根據所述目標設備節點的重要程度與所述關聯設備節點的重要程度,確定出目標重要程度,包括:
5.根據權利要求1所述的方法,其特征在于,所述根據所述告警事件確定出所述告警事件對應的嚴重程度以及置信度,包括:
6.根據權利要求5所述的方法,其特征在于,所述根據所述告警事件...
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。