[发明专利]告警处理方法、系统、设备及存储介质

说明书

本发明提供了告警处理方法、系统、设备及存储介质，其中方法包括：通过对原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组，其中每个分组的IP对为一对一、一对多或多对一，对每个分组中的原始告警计算信息熵，并根据信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。本发明在根据源IP地址和目的IP地址所组成IP对进行分组的基础上，根据原始告警的信息熵对分组进行聚合，信息熵相似的原始告警被聚合成超告警，这显著降低了原始告警的数量，提升用户体验。

技术领域

本发明涉及网络安全领域，具体地说，涉及告警处理方法、系统、设备及存储介质。

背景技术

在电信网络中，网络攻击指的是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。因此，网络中部署大量网络安全防护设备应对网络攻击，并产生大量的冗余告警日志。

电信网络中，管理服务运维每天海量告警数据，传统的告警处理方式依赖人力，监控工作量大，人工负荷高。

需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

针对现有技术中的问题，本发明的目的在于提供告警处理方法、系统、设备及存储介质，克服了现有技术的困难，能够在根据源IP地址和目的IP地址所组成IP对进行分组的基础上，根据原始告警的信息熵对分组进行聚合，信息熵相似的原始告警被聚合成超告警，这显著降低了原始告警的数量，减轻了运维人员的工作量，而且聚合后的超告警对告警进行更精细聚合并提供处理优先级，这为后面运维人员对告警日志的精准响应提供可预期方案。本发明实施例能够提升用户体验。

本发明的实施例提供一种告警处理方法，包括以下步骤：

获取对网络访问事件生成的原始告警；

对原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组，其中每个分组的IP对为一对一、一对多或多对一；

对每个分组中的原始告警计算信息熵，并根据信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。

可选地，告警处理方法还包括：

对每个分组中的超告警计算多元信息熵，并根据多元信息熵对超告警配置处理优先级。

可选地，在对每个分组中的原始告警计算信息熵之前，告警处理方法还包括：

对每个分组的原始告警按照告警时间信息聚合成多个时间簇；

对每个分组中的原始告警计算信息熵，并根据信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，包括：

对每个分组中的每个时间簇计算信息熵，并根据时间簇之间的信息熵相似度将信息熵相似度大于阈值的时间簇聚合成超告警。

可选地，对每个分组中的每个时间簇计算信息熵，包括：

对IP对为一对一的单源单目的属性分组，对每个时间簇计算内容熵、时间熵和端口熵。

可选地，对每个分组中的每个时间簇计算信息熵，包括：

对IP对为一对多的单源多目的属性分组，对每个时间簇计算目的IP熵、时间熵和端口熵。

可选地，对每个分组中的每个时间簇计算信息熵，包括：

对IP对为多对一的多源单目的属性分组，对每个时间簇计算源IP熵、时间熵和端口熵。