[发明专利]案件相似度计算方法、系统、可读存储介质及计算机设备

说明书

本申请提供一种案件相似度计算方法、系统、可读存储介质及计算机设备，所述方法包括：根据接入的安全设备的事件告警数据，挑选出有指标价值的关键字段，根据关键字段创建指标项、指标值提取方法及权重系数；当接收到新的事件告警数据时，根据指标值提取方法计算出新的事件告警数据的指标结果，将指标结果与新的事件告警数据建立关联关系；将新的事件告警数据归为案件，将指标结果通过新的事件告警数据与案件关联；提取案件的指标项和指标值，根据指标值的数量计算出所有的指标值的案件总权重得分；查找出与指标项和指标值相同的相似案件，根据相似案件计算出相似案件的总权重得分，根据相似案件的总权重得分与案件总权重得分计算出相似度结果。

技术领域

本申请涉及计算机技术领域，特别是涉及案件相似度计算方法、系统、可 读存储介质及计算机设备。

背景技术

目前的SOAR案件，大部分都是由不同格式的事件告警数据，经对应的剧 本任务自动化运行生成。案件之间差异巨大，又有一部分相似性。

现有技术中，一般通过剧本为每一个案件单独处理。有些无法完全通过自 动化完成的案件，需要结合人工任务来判断和处置。由于不同类型和不同来源 的网络安全设备产生的事件告警存在巨大的数据差异，给案件分析带来了大量 的工作和精度要求；另外在面对海量的事件告警生成的案件，缺乏有效的工具 帮助归类分析无法给出最佳的处置手段。而使用传统的数据存储查询方式，计 算相似度会需要巨大的存储空间和计算资源，运算效率低下。

综上所述，现有技术中亟需一种高效的案件相似度计算方法。

发明内容

本申请实施例提供了一种案件相似度计算方法、系统、可读存储介质及计 算机设备，以至少解决上述相关技术中的不足。

第一方面，本申请实施例提供了一种案件相似度计算方法，所述方法包括：

根据接入的安全设备的事件告警数据，挑选出具有指标价值的关键字段， 并根据所述关键字段创建指标项、指标值提取方法以及权重系数；

当接收到新的事件告警数据时，根据所述指标值提取方法计算得到所述新 的事件告警数据的指标结果，并将所述指标结果与所述新的事件告警数据建立 关联关系；

将所述新的事件告警数据归为案件，并将所述指标结果通过所述新的事件 告警数据与所述案件关联；

提取所述案件的指标项和指标值，根据所述指标值的数量计算出所有的所 述指标值的案件总权重得分；

查找出与所述指标项和所述指标值相同的相似案件，根据所述相似案件计 算出所述相似案件的总权重得分，根据所述相似案件的总权重得分与所述案件 总权重得分计算出所述相似案件与所述案件的相似度结果。

在其中一些实施例中，所述根据接入的安全设备的事件告警数据，挑选出 具有指标价值的关键字段的步骤包括：

根据接入的安全设备的事件告警数据的配置信息获取到所述事件告警数据 的所有字段，并在所述所有字段中挑选出具有指标价值的关键字段，所述配置 信息至少包括所述事件告警数据的来源、所述事件告警数据的类型、所述事件 告警数据的解析规则、所述事件告警数据的字段映射以及所述事件告警数据的 过滤条件。

在其中一些实施例中，所述提取所述案件的指标项和指标值，根据所述指 标值的数量计算出所有的所述指标值的案件总权重得分的步骤包括：

提取所述案件的指标项和指标值，根据所述指标值的数量初始化一个最优 的布隆过滤器；

将{指标项：指标值}作为一个元素，把所有的元素插入到所述布隆过滤器 中，累加得到所有的所述指标值的案件总权重得分。

在其中一些实施例中，所述查找出与所述指标项和所述指标值相同的相似 案件，根据所述相似案件计算出所述相似案件的总权重得分的步骤包括：