本發明提供一種告警聚合方法、裝置、電子設備及存儲介質，涉及網絡安全領域，方法包括：獲取網絡流量數據，并將所述網絡流量數據與預設規則進行匹配；當確定與所述網絡流量數據匹配的目標預設規則時，利用所述網絡流量數據生成與所述目標預設規則對應的告警信息；根據所述告警信息的名稱和/或所述網絡流量數據的屬性，將多條所述告警信息聚合為安全事件信息，并利用所述安全事件信息進行告警；可基于告警信息的名稱或網絡流量數據的屬性，對告警信息進行聚合，得到對應的安全事件信息，進而利用安全事件信息進行告警，不僅能夠降低告警信息的數量，同時還能基于具體的安全事件進行告警，進而可提升相關人員處理網絡安全事件的效率。

技術領域

本發明涉及網絡安全領域，特別涉及一種告警聚合方法、裝置、電子設備及存儲介質。

背景技術

隨著網絡攻擊的數量和復雜程度日益增加，許多公司都引入了網絡安全技術或者網絡安全檢測防護系統以加強對網絡威脅的檢測能力。這些技術可對網絡攻擊進行檢測，并生成告警信息以提示相關人員關注及處理。然而，由于網絡攻擊的數量較大，巨量的告警信息不僅難以幫助相關人員進行處理，甚至可能會淹沒重要的危險告警并導致網絡安全災難。

發明內容

本發明的目的是提供一種告警聚合方法、裝置、電子設備及存儲介質，可基于告警信息的名稱或網絡流量數據的屬性對告警信息進行聚合，并利用聚合后的安全事件信息進行告警，以降低告警數量并提升相關人員處理網絡安全事件的效率。

為解決上述技術問題，本發明提供一種告警聚合方法，包括：

獲取網絡流量數據，并將所述網絡流量數據與預設規則進行匹配；

當確定與所述網絡流量數據匹配的目標預設規則時，利用所述網絡流量數據生成與所述目標預設規則對應的告警信息；

根據所述告警信息的名稱和/或所述網絡流量數據的屬性，將多條所述告警信息聚合為安全事件信息，并利用所述安全事件信息進行告警。

可選地，所述根據所述告警信息的名稱，將多條所述告警信息聚合為安全事件信息，包括：

將具有相同所述名稱的告警信息聚合為所述安全事件信息，并在所述安全事件信息中添加所述相同所述名稱的告警信息的數量及最后生成時間。

可選地，在利用所述網絡流量數據生成與所述目標預設規則對應的告警信息之后，還包括：

將所述告警信息保存至卡夫卡流處理平臺；

相應的，在將多條所述告警信息聚合為安全事件信息之前，還包括：

從所述卡夫卡流處理平臺中提取所述告警信息。

可選地，所述利用所述安全事件信息進行告警，包括：

判斷所述安全事件信息對應的預設安全等級是否高于預設告警等級；

若是，則將所述安全事件信息發送至指定設備。

可選地，在將多條所述告警信息聚合為安全事件信息之后，還包括：

對所述安全事件信息進行可視化輸出。

可選地，還包括：

在接收到規則創建指令時，根據所述規則創建指令創建所述預設規則；

在接收到規則修改指令時，根據所述規則修改指令對與所述規則修改指令對應的預設規則進行修改。

可選地，所述根據所述告警信息的名稱和所述網絡流量數據的屬性，將多條所述告警信息聚合為安全事件信息，包括：

在確定所述告警信息具有線頭標記時，判斷預設數據庫中是否保存有與所述名稱對應的安全事件信息；