[發明專利]告警處理方法、系統、設備及存儲介質在審
| 申請號: | 202111587910.0 | 申請日: | 2021-12-23 |
| 公開(公告)號: | CN114301758A | 公開(公告)日: | 2022-04-08 |
| 發明(設計)人: | 馬浩翔;陸晨暉 | 申請(專利權)人: | 中國電信股份有限公司 |
| 主分類號: | H04L41/0604 | 分類號: | H04L41/0604;H04L41/0631;H04L41/069 |
| 代理公司: | 北京律智知識產權代理有限公司 11438 | 代理人: | 孫寶海;闞梓瑄 |
| 地址: | 100033 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 告警 處理 方法 系統 設備 存儲 介質 | ||
1.一種告警處理方法,其特征在于,包括:
獲取對網絡訪問事件生成的原始告警;
對所述原始告警按照所屬網絡訪問事件的源IP地址和目的IP地址組成的IP對進行分組,其中每個分組的IP對為一對一、一對多或多對一;
對每個分組中的原始告警計算信息熵,并根據所述信息熵之間的相似度將相似度大于目標值的原始告警聚合成超告警,所述信息熵包括內容熵、源IP地址熵、目的IP熵、時間熵和端口熵中的一種或多種。
2.根據權利要求1所述的告警處理方法,其特征在于,所述告警處理方法還包括:
對每個分組中的超告警計算多元信息熵,并根據所述多元信息熵對所述超告警配置處理優先級。
3.根據權利要求1所述的告警處理方法,其特征在于,在對每個分組中的原始告警計算信息熵之前,所述告警處理方法還包括:
對每個分組的原始告警按照告警時間信息聚合成多個時間簇;
所述對每個分組中的原始告警計算信息熵,并根據所述信息熵之間的相似度將相似度大于目標值的原始告警聚合成超告警,包括:
對每個分組中的每個時間簇計算信息熵,并根據所述時間簇之間的信息熵相似度將信息熵相似度大于閾值的時間簇聚合成超告警。
4.根據權利要求3所述的告警處理方法,其特征在于,所述對每個分組中的每個時間簇計算信息熵,包括:
對所述IP對為一對一的單源單目的屬性分組,對每個時間簇計算所述內容熵、時間熵和端口熵。
5.根據權利要求3所述的告警處理方法,其特征在于,所述對每個分組中的每個時間簇計算信息熵,包括:
對所述IP對為一對多的單源多目的屬性分組,對每個時間簇計算所述目的IP熵、時間熵和端口熵。
6.根據權利要求3所述的告警處理方法,其特征在于,所述對每個分組中的每個時間簇計算信息熵,包括:
對所述IP對為多對一的多源單目的屬性分組,對每個時間簇計算所述源IP熵、時間熵和端口熵。
7.根據權利要求3所述的告警處理方法,其特征在于,所述對每個分組中的每個時間簇計算信息熵,并根據所述時間簇之間的信息熵相似度將信息熵相似度大于閾值的時間簇聚合成超告警,包括:
對每個分組,計算各所述時間簇的信息熵之間的均方誤差,基于所述均方誤差獲得所述信息熵相似度,并將所述均方誤差不大于設定閾值的時間簇聚合成超告警。
8.根據權利要求3所述的告警處理方法,其特征在于,所述計算各所述時間簇的信息熵之間的均方誤差,包括:
對每個分組,計算時間差不大于時間閾值的各時間簇的信息熵之間的均方誤差。
9.一種告警處理系統,其特征在于,包括:
原始告警獲取模塊,獲取對網絡訪問事件生成的原始告警;
分組模塊,對所述原始告警按照所屬網絡訪問事件的源IP地址和目的IP地址組成的IP對進行分組,其中每個分組的IP對為一對一、一對多或多對一;
超告警聚合模塊,對每個分組中的原始告警計算信息熵,并根據所述信息熵之間的相似度將相似度大于目標值的原始告警聚合成超告警,所述信息熵包括內容熵、源IP地址熵、目的IP熵、時間熵和端口熵中的一種或多種。
10.一種告警處理設備,其特征在于,包括:
處理器;
存儲器,其中存儲有所述處理器的可執行指令;
其中,所述處理器配置為經由執行所述可執行指令來執行權利要求1至8任意一項所述告警處理方法的步驟。
11.一種計算機可讀存儲介質,用于存儲程序,其特征在于,所述程序被處理器執行時實現權利要求1至8任意一項所述告警處理方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國電信股份有限公司,未經中國電信股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202111587910.0/1.html,轉載請聲明來源鉆瓜專利網。
