[发明专利]一种原始告警信息处理的方法及装置

说明书

本发明涉及网络安全领域，尤其涉及一种原始告警信息处理的方法及装置。该方法为，将原始告警信息分类，确定原始告警信息的攻击类别；根据攻击类别，将原始告警信息分别和预设的正向推理状态机进行特征匹配操作，以及和预设的反向推理状态机进行关联事件匹配操作，在匹配成功后，生成相应的高威胁告警事件；其中，正向推理状态机表征预设的攻击事件特征规则，反向推理状态机表征预设的与攻击事件关联的其他事件，这样，通过正向推理状态机，及早发现受威胁度最高的目的IP及威胁度最高的源IP；通过反向推理状态机，对攻击事件进行行为推理，可以发现没有检测出的攻击甚至0day攻击，且在攻陷后，及早反查出攻击链，进行告警提醒。

技术领域

本发明涉及网络安全领域，尤其涉及一种原始告警信息处理的方法及装置。

背景技术

在现网中，网络安全设备，每天会产生海量告警日志，这样，运维人员需花费大量时间和精力来分析每条告警日志。重要的威胁和有价值的信息可能会被淹没。因此，亟需要基于大数据智能分析引擎处理海量告警日志，对告警日志进行提取、过滤或前后推理及提出决策建议，找到对用户威胁较大的事件甚至0day威胁事件。

目前，现有技术中，主要是对原始告警日志进行统计或加权，满足搜索查找，然后手动提取出重要的告警日志。

由此可见，现有技术下，提取出的告警事件仍是原始告警，客户难以理解或者很难发现安全设备未检测出的攻击，不能有效关联前后事件的关系及形成攻击链条展示。

发明内容

本发明实施例提供一种原始告警信息处理的方法及装置，用以通过归并统计及关联分析有效地提取出高威胁告警事件，并可以按照实际攻击步骤，以攻击链的形式展示攻击过程。

本发明实施例提供的具体技术方案如下：

一种原始告警信息处理的方法，包括：

获取原始告警信息，以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文，确定上述原始告警信息的攻击类别；

针对上述原始告警信息和预设的正向推理状态机，执行对应上述攻击类别设置的特征匹配操作，在确定匹配成功后，将上述原始告警信息中记载的攻击事件作为高威胁告警事件；其中，上述正向推理状态机表征预设的攻击事件特征规则；

针对上述原始告警信息和预设的反向推理状态机，执行对应上述攻击类型设置的关联事件匹配操作，在确定匹配成功后，将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件；其中，上述反向推理状态机表征预设的与攻击事件关联的其他事件。

本发明实施例中，获取原始告警信息，以及根据上述原始告警信息的类型标签字段和上述原始告警信息的上下文，确定上述原始告警信息的攻击类别；针对上述原始告警信息和预设的正向推理状态机，执行对应上述攻击类别设置的特征匹配操作，在确定匹配成功后，将上述原始告警信息中记载的攻击事件作为高威胁告警事件；其中，上述正向推理状态机表征预设的攻击事件特征规则；针对上述原始告警信息和预设的反向推理状态机，执行对应上述攻击类型设置的关联事件匹配操作，在确定匹配成功后，将上述原始告警信息中记载的攻击事件的关联事件作为高威胁告警事件；其中，上述反向推理状态机表征预设的与攻击事件关联的其他事件，这样，通过正向推理状态机，可以及早发现受威胁度最高的目的IP及威胁度最高的源IP；通过反向推理状态机，对攻击事件进行行为推理，可以发现没有检测出的攻击甚至0day攻击，且在攻陷后，可以及早反查出攻击链步骤，生成高威胁告警事件。

较佳的，针对上述原始告警信息和预设的正向推理状态机，执行对应上述攻击类别设置的特征匹配操作，在确定匹配成功后，将上述原始告警信息中记载的攻击事件作为高威胁告警事件，具体包括：

计算上述原始告警信息中记录的源IP攻击的目的IP个数，和上述正向推理状态机中记录的上述源IP攻击的多个不同目的IP个数的第一总和，以及，