[发明专利]威胁事件告警方法、装置、告警设备及机器可读存储介质

说明书

本发明实施例提供了一种威胁事件告警方法、装置、告警设备及机器可读存储介质，关联模型定义了不同的指定子事件之间的关联规则以及每个指定子事件的安全信息的匹配条件，反映了多个指定子事件导致一个威胁事件的过程，利用关联模型对接收到的所有子事件进行关联分析，通过关联模型对安全信息的匹配条件和关联规则的匹配过程，能够发现通过分析单个子事件难以发现的潜在威胁事件，将具有关联关系的多个子事件关联成一个威胁事件进行告警，告警信息的数量得以明显减少，因此，能够减轻网络管理员在处理告警信息时的负担。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种威胁事件告警方法、装置、告警设备及机器可读存储介质。

背景技术

随着网络环境的日趋复杂，网络攻击日益猖獗，为了保证网络系统内部终端的安全性，大型机构的网络系统通常会部署大量的防火墙、IPS(Intrusion PreventionSystem，入侵防御系统)、交换机等网络安全设备，用来对终端进行安全监控，不同的网络安全设备会对针对于终端的不同安全事件进行监控。各网络安全设备会将对终端进行监控得到的安全事件的告警信息发送给后台告警设备，告警设备一旦识别出某一个网络安全设备检测到终端发生安全事件，则会产生事件告警信息，以提示网络管理员，发生了针对终端的安全事件。

然而，每个网络安全设备监控的是针对于终端的不同安全事件，上述告警方法中，各网络安全设备对终端的监控是相互独立的，各网络安全设备会上报大量的告警信息，而网络安全设备的数量也较多，告警信息会非常庞大，数量庞大的告警信息会给网络管理员在处理告警信息时带来繁重负担。

发明内容

本发明实施例的目的在于提供一种威胁事件告警方法、装置、告警设备及机器可读存储介质，以缩减告警信息的数量。具体技术方案如下：

第一方面，本发明实施例提供了一种威胁事件告警方法，该方法包括：

接收指定组网内各设备上报的子事件的安全信息；

利用预先建立的关联模型，对接收到的所有子事件的安全信息进行关联分析，得到关联分析结果，其中，关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型；

基于关联分析结果，生成威胁事件告警信息。

第二方面，本发明实施例提供了一种威胁事件告警装置，该装置包括：

接收模块，用于接收指定组网内各设备上报的子事件的安全信息；

分析模块，用于利用预先建立的关联模型，对接收到的所有子事件的安全信息进行关联分析，得到关联分析结果，其中，关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及多个指定子事件之间关联规则的模型；

生成模块，用于基于关联分析结果，生成威胁事件告警信息。

第三方面，本发明实施例提供了一种告警设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本发明实施例第一方面所提供的方法。

第四方面，本发明实施例提供了一种机器可读存储介质，机器可读存储介质存储有机器可执行指令，在被处理器调用和执行时，机器可执行指令促使处理器执行本发明实施例第一方面所提供的方法。