[发明专利]一种关联告警的分析方法、装置、电子设备及存储介质

权利要求书

1.一种关联告警的分析方法，其特征在于，包括：

根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；

确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；

针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件；

其中，基于历史告警集合中各个历史告警事件的发生时序，分别确定各个告警事件与各个其他告警事件间的告警关联度，包括：

分别将各个第二被攻击对象关联的历史告警事件进行分组聚合，并按照时序排列每组历史告警事件，以及将每组历史告警事件进行序列压缩后，得到相应的去除噪音数据的历史告警序列；

针对每个历史告警序列中，除末端历史告警事件外的每个目标历史告警事件，分别将所述目标历史告警事件，与对应的时序顺序在所述目标历史告警事件之后的候选历史告警事件，组合生成相应的关联告警序列；

针对每个关联告警序列，分别执行以下操作：确定包括所述关联告警序列的各个目标历史告警序列，并根据所述各个目标历史告警序列中所述关联告警序列对应的、目标历史告警事件与候选历史告警事件之间的时序顺序差异，以及所述关联告警序列在所述各个危机告警序列中的出现情况，分别计算所述关联告警序列中的所述目标历史告警事件与候选历史告警事件，在所述各个目标历史告警序列中的关联值；基于获得的各个关联值，以及所述各个目标历史告警序列在历史告警序列中的占比，计算所述目标历史告警事件与候选历史告警事件之间的告警关联度。

2.如权利要求1所述的方法，其特征在于，所述根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，还包括：

分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱；

遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列，其中，所述事理图谱中包括各个危机告警事件对应的各个节点，以及表征危机告警事件发生的先后关系的有向边。

3.如权利要求2所述的方法，其特征在于，所述遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，所述确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列之前，还包括：

针对所述各个危机告警序列，分别执行以下操作：

确定一个危机告警序列中包括的危机告警事件总量，并根据所述危机告警事件总量，生成滑动窗口内至少包括两个危机告警事件的各个滑动窗口；

分别采用所述各个滑动窗口，在所述一个危机告警序列中，按照设定的步长和方向滑动，并将对应的滑动窗口所覆盖的各个危机告警事件，确定为一个危机告警子序列。

4.如权利要求2或3所述的方法，其特征在于，所述分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱，包括：

分别获取各个溯源分析报告中的危机告警事件，并对应所述各个溯源分析报告中的各个第一被攻击对象，分别提取关联的各个危机告警事件各自对应的时间信息，其中，所述危机告警事件对应的攻击事件满足预设的筛选条件；

对应分别针对所述各个第一被攻击对象提取的，各个危机告警的标识信息，生成事理图谱中的各个节点；

分别根据攻击所述各个第一被攻击对象时产生的，各个危机告警事件的时间信息，在对应的各个节点间，建立表征危机告警事件发生时序的有向边。