本發明提供了告警處理方法、系統、設備及存儲介質，其中方法包括：通過對原始告警按照所屬網絡訪問事件的源IP地址和目的IP地址組成的IP對進行分組，其中每個分組的IP對為一對一、一對多或多對一，對每個分組中的原始告警計算信息熵，并根據信息熵之間的相似度將相似度大于目標值的原始告警聚合成超告警，信息熵包括內容熵、源IP地址熵、目的IP熵、時間熵和端口熵中的一種或多種。本發明在根據源IP地址和目的IP地址所組成IP對進行分組的基礎上，根據原始告警的信息熵對分組進行聚合，信息熵相似的原始告警被聚合成超告警，這顯著降低了原始告警的數量，提升用戶體驗。

技術領域

本發明涉及網絡安全領域，具體地說，涉及告警處理方法、系統、設備及存儲介質。

背景技術

在電信網絡中，網絡攻擊指的是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。因此，網絡中部署大量網絡安全防護設備應對網絡攻擊，并產生大量的冗余告警日志。

電信網絡中，管理服務運維每天海量告警數據，傳統的告警處理方式依賴人力，監控工作量大，人工負荷高。

需要說明的是，上述背景技術部分公開的信息僅用于加強對本發明的背景的理解，因此可以包括不構成對本領域普通技術人員已知的現有技術的信息。

發明內容

針對現有技術中的問題，本發明的目的在于提供告警處理方法、系統、設備及存儲介質，克服了現有技術的困難，能夠在根據源IP地址和目的IP地址所組成IP對進行分組的基礎上，根據原始告警的信息熵對分組進行聚合，信息熵相似的原始告警被聚合成超告警，這顯著降低了原始告警的數量，減輕了運維人員的工作量，而且聚合后的超告警對告警進行更精細聚合并提供處理優先級，這為后面運維人員對告警日志的精準響應提供可預期方案。本發明實施例能夠提升用戶體驗。

本發明的實施例提供一種告警處理方法，包括以下步驟：

獲取對網絡訪問事件生成的原始告警；

對原始告警按照所屬網絡訪問事件的源IP地址和目的IP地址組成的IP對進行分組，其中每個分組的IP對為一對一、一對多或多對一；

對每個分組中的原始告警計算信息熵，并根據信息熵之間的相似度將相似度大于目標值的原始告警聚合成超告警，信息熵包括內容熵、源IP地址熵、目的IP熵、時間熵和端口熵中的一種或多種。

可選地，告警處理方法還包括：

對每個分組中的超告警計算多元信息熵，并根據多元信息熵對超告警配置處理優先級。

可選地，在對每個分組中的原始告警計算信息熵之前，告警處理方法還包括：

對每個分組的原始告警按照告警時間信息聚合成多個時間簇；

對每個分組中的原始告警計算信息熵，并根據信息熵之間的相似度將相似度大于目標值的原始告警聚合成超告警，包括：

對每個分組中的每個時間簇計算信息熵，并根據時間簇之間的信息熵相似度將信息熵相似度大于閾值的時間簇聚合成超告警。

可選地，對每個分組中的每個時間簇計算信息熵，包括：

對IP對為一對一的單源單目的屬性分組，對每個時間簇計算內容熵、時間熵和端口熵。

可選地，對每個分組中的每個時間簇計算信息熵，包括：

對IP對為一對多的單源多目的屬性分組，對每個時間簇計算目的IP熵、時間熵和端口熵。

可選地，對每個分組中的每個時間簇計算信息熵，包括：

對IP對為多對一的多源單目的屬性分組，對每個時間簇計算源IP熵、時間熵和端口熵。