[发明专利]告警处理方法、系统、设备及存储介质在审
| 申请号: | 202111587910.0 | 申请日: | 2021-12-23 |
| 公开(公告)号: | CN114301758A | 公开(公告)日: | 2022-04-08 |
| 发明(设计)人: | 马浩翔;陆晨晖 | 申请(专利权)人: | 中国电信股份有限公司 |
| 主分类号: | H04L41/0604 | 分类号: | H04L41/0604;H04L41/0631;H04L41/069 |
| 代理公司: | 北京律智知识产权代理有限公司 11438 | 代理人: | 孙宝海;阚梓瑄 |
| 地址: | 100033 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 告警 处理 方法 系统 设备 存储 介质 | ||
1.一种告警处理方法,其特征在于,包括:
获取对网络访问事件生成的原始告警;
对所述原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组,其中每个分组的IP对为一对一、一对多或多对一;
对每个分组中的原始告警计算信息熵,并根据所述信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警,所述信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。
2.根据权利要求1所述的告警处理方法,其特征在于,所述告警处理方法还包括:
对每个分组中的超告警计算多元信息熵,并根据所述多元信息熵对所述超告警配置处理优先级。
3.根据权利要求1所述的告警处理方法,其特征在于,在对每个分组中的原始告警计算信息熵之前,所述告警处理方法还包括:
对每个分组的原始告警按照告警时间信息聚合成多个时间簇;
所述对每个分组中的原始告警计算信息熵,并根据所述信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警,包括:
对每个分组中的每个时间簇计算信息熵,并根据所述时间簇之间的信息熵相似度将信息熵相似度大于阈值的时间簇聚合成超告警。
4.根据权利要求3所述的告警处理方法,其特征在于,所述对每个分组中的每个时间簇计算信息熵,包括:
对所述IP对为一对一的单源单目的属性分组,对每个时间簇计算所述内容熵、时间熵和端口熵。
5.根据权利要求3所述的告警处理方法,其特征在于,所述对每个分组中的每个时间簇计算信息熵,包括:
对所述IP对为一对多的单源多目的属性分组,对每个时间簇计算所述目的IP熵、时间熵和端口熵。
6.根据权利要求3所述的告警处理方法,其特征在于,所述对每个分组中的每个时间簇计算信息熵,包括:
对所述IP对为多对一的多源单目的属性分组,对每个时间簇计算所述源IP熵、时间熵和端口熵。
7.根据权利要求3所述的告警处理方法,其特征在于,所述对每个分组中的每个时间簇计算信息熵,并根据所述时间簇之间的信息熵相似度将信息熵相似度大于阈值的时间簇聚合成超告警,包括:
对每个分组,计算各所述时间簇的信息熵之间的均方误差,基于所述均方误差获得所述信息熵相似度,并将所述均方误差不大于设定阈值的时间簇聚合成超告警。
8.根据权利要求3所述的告警处理方法,其特征在于,所述计算各所述时间簇的信息熵之间的均方误差,包括:
对每个分组,计算时间差不大于时间阈值的各时间簇的信息熵之间的均方误差。
9.一种告警处理系统,其特征在于,包括:
原始告警获取模块,获取对网络访问事件生成的原始告警;
分组模块,对所述原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组,其中每个分组的IP对为一对一、一对多或多对一;
超告警聚合模块,对每个分组中的原始告警计算信息熵,并根据所述信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警,所述信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。
10.一种告警处理设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至8任意一项所述告警处理方法的步骤。
11.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至8任意一项所述告警处理方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电信股份有限公司,未经中国电信股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111587910.0/1.html,转载请声明来源钻瓜专利网。
