[发明专利]一种告警日志处理方法及装置

说明书

本发明实施例提供了一种告警日志处理方法及装置，涉及数据处理技术领域，上述方法包括：根据告警日志，获得各个网络设备所发生告警事件的第一特征，并对所获得第一特征进行整合，获得用于表征各个网络设备所发生告警事件的第二特征；根据所获得第二特征，确定各网络设备所发生告警事件的事件类别数量；根据各网络设备所发生告警事件的第一特征，对各网络设备所发生告警事件进行聚类，根据事件类别数量以及聚类得到的聚类组对告警事件进行分类；根据分类得到事件组包含的告警事件，选择各事件组的表征性告警事件。应用本发明实施例提供的方案对告警日志进行处理后，能够使得工作人员有针对性的结合告警日志进行告警事件排查，进而提高排查效率。

技术领域

本发明涉及数据处理技术领域，特别是涉及一种告警日志处理方法及装置。

背景技术

随着网络技术的快速发展，网络的应用越来越广泛，网络安全也变得越来越重要。例如，对于企业网络而言，网络安全与企业内部稳定、企业在市场中的竞争力等息息相关。

鉴于上述情况，一些网络中一般在防火墙和网络设备之间设置IPS（Intrusion-prevention system，入侵防御系统）设备。IPS设备可以监控网络内各网络设备发生的告警事件，并在监控到告警事件的情况下生成告警日志。这样工作人员可以依据IPS设备生成的告警日志进行告警事件排查，保证网络安全。

然而，网络内网络设备的数量往往较多，IPS设备生成的告警日志数量也较多，一天可能会生成几万甚至几十万条告警日志。数量如此庞大的告警日志为工作人员排查安全事件带来了巨大困扰。

为此，需要提供一种告警日志处理方案，以使得工作人员能够有针对性的结合告警日志进行告警事件排查，进而提高排查效率。

发明内容

本发明实施例的目的在于提供一种告警日志处理方法及装置，以使得工作人员能够有针对性的结合告警日志进行告警事件排查，进而提高排查效率。具体技术方案如下：

第一方面，本发明实施例提供了一种告警日志处理方法，所述方法包括：

根据告警日志，获得各个网络设备所发生告警事件的第一特征，并对所获得的第一特征进行整合，获得用于表征各个网络设备所发生告警事件的第二特征；

根据所获得的第二特征，确定各网络设备所发生告警事件的事件类别数量；

根据各网络设备所发生告警事件的第一特征，对各网络设备所发生告警事件进行聚类，根据所述事件类别数量以及聚类得到的聚类组对告警事件进行分类；

从分类得到的事件组包含的告警事件中，选择各事件组的表征性告警事件；

将所述告警日志中发生所述表征性告警事件的网络设备对应的告警日志确定为待进行告警事件排查的日志。

本发明的一个实施例中，上述根据告警日志，获得各个网络设备所发生告警事件的第一特征，包括：

根据告警日志中记录的告警类型，统计各个网络设备所发生告警事件对应的各告警类型的告警次数，将多个告警事件对应的告警次数组成的序列作为各个网络设备所发生告警事件的第一特征。

本发明的一个实施例中，上述根据所获得的第二特征，确定各网络设备所发生告警事件的事件类别数量，包括：

对所获得的第二特征进行聚类，获得聚类组数量；

根据所述聚类组数量，确定各网络设备所发生告警事件的事件类别数量。

本发明的一个实施例中，上述对所获得的第一特征进行整合，获得用于表征各个网络设备所发生告警事件的第二特征，包括：