本發(fā)明涉及運(yùn)維領(lǐng)域，尤其涉及一種告警信息的處理方法及裝置，服務(wù)器獲取當(dāng)前告警信息對應(yīng)的攻擊類型、攻擊目標(biāo)標(biāo)識和攻擊記錄信息，然后確定該攻擊類型對應(yīng)的n個攻擊特征維度，其次，對攻擊記錄信息進(jìn)行解析，確定與上述特征維度對應(yīng)的特征值。針對n個攻擊特征維度中的任意一個攻擊特征維度的特征值，確定該特征值與該攻擊特征維度對應(yīng)的參考特征值是否一致，當(dāng)n個攻擊特征維度中至少一個攻擊特征維度的特征值與所述攻擊特征維度對應(yīng)參考特征值不一致時，服務(wù)器確定當(dāng)前告警信息為無效告警信息。該方法可以較為準(zhǔn)確地識別出無效告警信息，以便于過濾無效告警信息，提高運(yùn)維工作效率。

技術(shù)領(lǐng)域

本申請涉及運(yùn)維領(lǐng)域，尤其涉及一種告警信息的處理方法及裝置。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的普及，計(jì)算機(jī)已經(jīng)逐漸深入到人們工作和生活的各個方面。而隨著各種計(jì)算業(yè)務(wù)量的快速增長，計(jì)算機(jī)的規(guī)模也在呈幾何倍數(shù)的擴(kuò)大，同時網(wǎng)絡(luò)安全也變得越來越重要，各種網(wǎng)絡(luò)攻擊也層出不窮。計(jì)算機(jī)每時每刻都可能面臨著大量的網(wǎng)絡(luò)攻擊，尤其是一些重要的網(wǎng)絡(luò)流量節(jié)點(diǎn)，如大型企業(yè)單位、政府機(jī)構(gòu)、金融機(jī)構(gòu)等，時刻面臨著大量的網(wǎng)絡(luò)攻擊威脅。在這一場景下，網(wǎng)絡(luò)安全設(shè)備檢測出的網(wǎng)絡(luò)攻擊中，經(jīng)常會出現(xiàn)無效告警信息，當(dāng)無效告警信息過多，會對網(wǎng)絡(luò)安全分析人員造成干擾。目前，通常是采用概率統(tǒng)計(jì)手段對告警信息中的無效告警信息進(jìn)行過濾，但是這一方法的準(zhǔn)確性較低。

因此，亟需一種可以克服上述問題的告警信息的處理方法，以便準(zhǔn)確過濾掉無效告警信息。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種告警信息的處理方法及裝置，用以準(zhǔn)確地識別出無效告警信息，以便于過濾無效告警信息，提高運(yùn)維工作效率。

第一方面，本發(fā)明實(shí)施例提供一種告警信息的處理方法，包括：

服務(wù)器獲取當(dāng)前告警信息對應(yīng)的攻擊類型、攻擊目標(biāo)標(biāo)識和攻擊記錄信息，進(jìn)一步的，確定與攻擊類型對應(yīng)的n個攻擊特征維度。然后服務(wù)器對攻擊記錄信息進(jìn)行解析，確定與n個攻擊特征維度對應(yīng)的特征值。服務(wù)器針對n個攻擊特征維度中的任意一個攻擊特征維度的特征值，確定該特征值與攻擊特征維度對應(yīng)的參考特征值是否一致，其中，參考特征值對應(yīng)的攻擊目標(biāo)標(biāo)識與當(dāng)前告警信息對應(yīng)的攻擊目標(biāo)標(biāo)識相同。當(dāng)n個攻擊特征維度中的至少一個攻擊特征維度的特征值與所述攻擊特征維度對應(yīng)的參考特征值不一致時，確定當(dāng)前告警信息為無效告警信息。

在一種可能的實(shí)施例中，服務(wù)器獲取網(wǎng)絡(luò)入口的安全設(shè)備的告警信息并進(jìn)行處理，將告警信息的格式進(jìn)行整理，得到格式規(guī)范的告警信息。進(jìn)一步地，服務(wù)器通過告警信息中的已知的告警信息的類型，確定n個攻擊特征維度，其中，通過預(yù)設(shè)知識庫對告警信息進(jìn)行解析，得到上述n個攻擊特征維度的具體內(nèi)容，也就是標(biāo)簽信息。針對告警信息中的攻擊目標(biāo)標(biāo)識，確定對應(yīng)此目標(biāo)標(biāo)識的目標(biāo)應(yīng)用，比較該n個攻擊特征維度的信息與目標(biāo)應(yīng)用中相同的特征維度的信息。進(jìn)一步的，當(dāng)n個攻擊特征維度中的至少一個攻擊特征維度的特征值與攻擊特征維度對應(yīng)的參考特征值不一致時，確定當(dāng)前告警信息為無效告警信息。

在一種可能的設(shè)計(jì)中，服務(wù)器在獲取當(dāng)前告警信息對應(yīng)的攻擊類型、攻擊目標(biāo)標(biāo)識和攻擊記錄信息之前，還包括：根據(jù)所述當(dāng)前告警信息對應(yīng)的攻擊響應(yīng)碼，確定所述當(dāng)前告警信息為有效告警信息。

在一種可能的實(shí)施例中，服務(wù)器獲取網(wǎng)絡(luò)安全產(chǎn)品的告警信息后，根據(jù)其中的響應(yīng)碼篩選出無效告警，可選地，響應(yīng)碼為“4XX”的表示該告警信息為無效告警信息。

在一種可能的設(shè)計(jì)中，服務(wù)器確定所述當(dāng)前告警信息為無效告警信息之后，還包括：停止輸出與所述當(dāng)前告警信息對應(yīng)的告警內(nèi)容，將當(dāng)前告警信息存儲至數(shù)據(jù)庫。

在一種可能的實(shí)施例中，服務(wù)器在確定當(dāng)前告警信息為無效告警后，停止輸出對應(yīng)的告警內(nèi)容，并將該無效告警放入數(shù)據(jù)庫中。進(jìn)一步地，運(yùn)維人員可以根據(jù)告警ID從數(shù)據(jù)庫中調(diào)出對應(yīng)的告警信息并進(jìn)行進(jìn)一步分析。