[发明专利]一种告警消减方法、装置、设备和计算机可读存储介质

说明书

本申请实施例公开了一种告警消减方法、装置、设备和介质，获取初始的攻击流量；提取攻击流量的特征参数；其中，特征参数可以用于表征攻击流量的分布特征。不同分布特征有其对应的消减方式，因此可以依据不同分布特征对应的消减方式设置攻击行为筛选条件。在提取得到攻击流量的特征参数后，可以将特征参数与攻击行为筛选条件进行比较，从而基于设定的攻击行为筛选条件对特征参数对应的告警信息进行消减，以降低误报。在该技术方案中，在传统检测攻击行为得到攻击流量的基础上，进一步对攻击流量的分布特征进行分析，可以有效的识别出并非包含真正的攻击行为的攻击流量，通过对告警信息进行消减可以降低错误告警的产生。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种告警消减方法、装置、设备和计算机可读存储介质。

背景技术

网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，确保网络数据的可用性、完整性和保密性。为了保证网络系统的安全性，基于设定的关键字词对网络系统的网络流量进行匹配，通过告警的方式及时向用户或管理人员反馈网络中存在的攻击行为。

但是目前存在正常业务的网络流量与真实攻击本身的表现形态相仿的场景，这类场景下会导致将正常业务的网络流量误判为存在攻击行为，从而造成大量错误告警。在实际应用中，也会存在出现频率高且有效攻击少的场景，按照目前的攻击行为检测方式每检测到一次攻击行为就会进行一次告警，从而产生大量无意义的告警。并且对于一些特定场景，如用户自身业务开发不规范，导致网络流量中存在攻击特征，该类网络流量是正常的用户行为而非攻击行为，但是通过设定的关键字词匹配无法识别该类场景为正常的业务流程，容易造成连续大量的错误告警。

可见，如何减少错误告警的数量，是本领域技术人员需要解决的问题。

发明内容

本申请实施例的目的是提供一种告警消减方法、装置、设备和计算机可读存储介质，可以减少错误告警的数量。

为解决上述技术问题，本申请实施例提供一种告警消减方法，包括：

获取初始的攻击流量；

提取所述攻击流量的特征参数；其中，所述特征参数用于表征所述攻击流量的分布特征；

基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减；其中，所述攻击行为筛选条件包含不同分布特征对应的消减方式。

可选地，所述特征参数包括攻击方向和攻击阶段；相应的，所述攻击行为筛选条件包含各攻击方向及其匹配的攻击阶段；

所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括：

基于所述攻击行为筛选条件选取出攻击方向和攻击阶段不匹配的目标攻击流量；删除所述目标攻击流量对应的告警信息。

可选地，所述特征参数包括攻击类型和攻击内容；相应的，所述攻击行为筛选条件包含基于攻击类型和攻击内容设置的聚合方式；

所述基于设定的攻击行为筛选条件对所述特征参数对应的告警信息进行消减包括：

利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式，对所述特征参数对应的告警信息进行消减。

可选地，所述攻击内容包括有效攻击载荷、攻击结果和攻击时间；所述利用所述攻击行为筛选条件中与所述特征参数匹配的目标聚合方式，对所述特征参数对应的告警信息进行消减包括：

依据所述攻击流量对应的攻击时间，将设定的时间范围内具有相同源地址和相同目的地址的攻击流量进行汇总；

将汇总得到的攻击流量中具有相同攻击类型、相同有效攻击载荷并且攻击结果为失败的攻击流量聚合生成一条告警信息。