本發(fā)明實施例提供了一種威脅事件告警方法、裝置、告警設(shè)備及機(jī)器可讀存儲介質(zhì)，關(guān)聯(lián)模型定義了不同的指定子事件之間的關(guān)聯(lián)規(guī)則以及每個指定子事件的安全信息的匹配條件，反映了多個指定子事件導(dǎo)致一個威脅事件的過程，利用關(guān)聯(lián)模型對接收到的所有子事件進(jìn)行關(guān)聯(lián)分析，通過關(guān)聯(lián)模型對安全信息的匹配條件和關(guān)聯(lián)規(guī)則的匹配過程，能夠發(fā)現(xiàn)通過分析單個子事件難以發(fā)現(xiàn)的潛在威脅事件，將具有關(guān)聯(lián)關(guān)系的多個子事件關(guān)聯(lián)成一個威脅事件進(jìn)行告警，告警信息的數(shù)量得以明顯減少，因此，能夠減輕網(wǎng)絡(luò)管理員在處理告警信息時的負(fù)擔(dān)。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種威脅事件告警方法、裝置、告警設(shè)備及機(jī)器可讀存儲介質(zhì)。

背景技術(shù)

隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，網(wǎng)絡(luò)攻擊日益猖獗，為了保證網(wǎng)絡(luò)系統(tǒng)內(nèi)部終端的安全性，大型機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)通常會部署大量的防火墻、IPS(Intrusion PreventionSystem，入侵防御系統(tǒng))、交換機(jī)等網(wǎng)絡(luò)安全設(shè)備，用來對終端進(jìn)行安全監(jiān)控，不同的網(wǎng)絡(luò)安全設(shè)備會對針對于終端的不同安全事件進(jìn)行監(jiān)控。各網(wǎng)絡(luò)安全設(shè)備會將對終端進(jìn)行監(jiān)控得到的安全事件的告警信息發(fā)送給后臺告警設(shè)備，告警設(shè)備一旦識別出某一個網(wǎng)絡(luò)安全設(shè)備檢測到終端發(fā)生安全事件，則會產(chǎn)生事件告警信息，以提示網(wǎng)絡(luò)管理員，發(fā)生了針對終端的安全事件。

然而，每個網(wǎng)絡(luò)安全設(shè)備監(jiān)控的是針對于終端的不同安全事件，上述告警方法中，各網(wǎng)絡(luò)安全設(shè)備對終端的監(jiān)控是相互獨(dú)立的，各網(wǎng)絡(luò)安全設(shè)備會上報大量的告警信息，而網(wǎng)絡(luò)安全設(shè)備的數(shù)量也較多，告警信息會非常龐大，數(shù)量龐大的告警信息會給網(wǎng)絡(luò)管理員在處理告警信息時帶來繁重負(fù)擔(dān)。

發(fā)明內(nèi)容

本發(fā)明實施例的目的在于提供一種威脅事件告警方法、裝置、告警設(shè)備及機(jī)器可讀存儲介質(zhì)，以縮減告警信息的數(shù)量。具體技術(shù)方案如下：

第一方面，本發(fā)明實施例提供了一種威脅事件告警方法，該方法包括：

接收指定組網(wǎng)內(nèi)各設(shè)備上報的子事件的安全信息；

利用預(yù)先建立的關(guān)聯(lián)模型，對接收到的所有子事件的安全信息進(jìn)行關(guān)聯(lián)分析，得到關(guān)聯(lián)分析結(jié)果，其中，關(guān)聯(lián)模型為預(yù)先設(shè)置的包括多個指定子事件的安全信息的匹配條件及多個指定子事件之間關(guān)聯(lián)規(guī)則的模型；

基于關(guān)聯(lián)分析結(jié)果，生成威脅事件告警信息。

第二方面，本發(fā)明實施例提供了一種威脅事件告警裝置，該裝置包括：

接收模塊，用于接收指定組網(wǎng)內(nèi)各設(shè)備上報的子事件的安全信息；

分析模塊，用于利用預(yù)先建立的關(guān)聯(lián)模型，對接收到的所有子事件的安全信息進(jìn)行關(guān)聯(lián)分析，得到關(guān)聯(lián)分析結(jié)果，其中，關(guān)聯(lián)模型為預(yù)先設(shè)置的包括多個指定子事件的安全信息的匹配條件及多個指定子事件之間關(guān)聯(lián)規(guī)則的模型；

生成模塊，用于基于關(guān)聯(lián)分析結(jié)果，生成威脅事件告警信息。

第三方面，本發(fā)明實施例提供了一種告警設(shè)備，包括處理器和機(jī)器可讀存儲介質(zhì)，機(jī)器可讀存儲介質(zhì)存儲有能夠被處理器執(zhí)行的機(jī)器可執(zhí)行指令，處理器被機(jī)器可執(zhí)行指令促使執(zhí)行本發(fā)明實施例第一方面所提供的方法。

第四方面，本發(fā)明實施例提供了一種機(jī)器可讀存儲介質(zhì)，機(jī)器可讀存儲介質(zhì)存儲有機(jī)器可執(zhí)行指令，在被處理器調(diào)用和執(zhí)行時，機(jī)器可執(zhí)行指令促使處理器執(zhí)行本發(fā)明實施例第一方面所提供的方法。