[发明专利]告警信息分析方法、装置、计算机设备和存储介质

权利要求书

1.一种告警信息分析方法，其特征在于，包括：建立多维度分析模型；

所述建立多维度分析模型包括：基于时间维度建立分析模型；

获取第一时间段内的告警信息数量以及第二时间段内的告警信息数量；

将当前告警信息数量与第一时间段内的告警信息数量进行比较，得到同比变化；

将当前告警信息数量与第二时间段内的告警信息数量进行比较，得到环比变化；

若当前告警信息数量同比减少，则当前时间段的告警信息为同比隐性安全事件，若当前告警信息数量同比增加，则当前时间段的告警信息为同比显性安全事件；

若当前告警信息数量环比减少，则当前时间段的告警信息为环比隐性安全事件，若当前告警信息数量环比增加，则当前时间段的告警信息为环比显性安全事件；

接收检测到的告警信息；

将所述告警信息输入所述分析模型，得到安全事件，所述安全事件由多个维度标签组成；基于所述告警信息的数量及重复次数对所述告警信息进行分类，所述多维度分析模型的时间维度包括重复规则和时效规则。

2.根据权利要求1所述的告警信息分析方法，其特征在于，所述建立多维度分析模型包括：

基于时间维度、目的维度、类型维度以及等级维度中的至少两个维度建立多维度分析模型。

3.根据权利要求2所述的告警信息分析方法，其特征在于，所述基于时间维度建立分析模型包括：

获取同一条告警信息出现的次数；

若同一条告警信息重复出现，则该条告警信息对应的安全事件为重复安全事件。

4.根据权利要求1所述的告警信息分析方法，其特征在于，所述基于等级维度建立分析模型包括：

获取安全事件的时间维度的分类结果；

若所述安全事件为重复安全事件、同比显性安全事件、环比显性安全事件，则为紧急等级；

若所述安全事件为不重复安全事件、同比显性安全事件、环比显性安全事件，则为高危等级；

若所述安全事件为重复安全事件、同比显性安全事件、环比隐性安全事件，则为中危等级；

若所述安全事件为重复安全事件、同比隐性安全事件、环比显性安全事件，则为低危等级；

若所述安全事件为不重复安全事件、同比隐性安全事件、环比隐性安全事件，则为安全等级。

5.根据权利要求2所述的告警信息分析方法，其特征在于，所述基于目的维度建立分析模型包括：

获取告警信息的来源IP以及目的IP；

若告警信息的来源IP和目的IP均在安全域范围内，则此告警信息对应的安全事件为内部攻击事件；

若告警信息的来源IP和目的IP均在安全域范围外，则此告警信息对应的安全事件为外部攻击事件；

若告警信息的来源IP在安全域范围内，目的IP在安全域范围外，则此告警信息对应的安全事件为内穿外攻击事件；若告警信息的来源IP在安全域范围外，目的IP在安全域范围内，则此告警信息对应的安全事件为外穿内攻击事件。

6.根据权利要求2所述的告警信息分析方法，其特征在于，所述基于类型维度建立分析模型包括：

基于告警信息的告警类型、攻击意图以及攻击策略对告警信息进行分类。