告警信息处理方法及装置与流程

1.本公开涉及信息安全技术领域，特别是涉及一种告警信息处理方法、系统及装置。


背景技术：

2.随着互联网技术的迅速发展，信息安全问题得以日益广泛关注。为实现快速发现及持续响应入侵活动，企业常引入例如入侵检测系统、入侵防御系统、防火墙、防病毒软件、防泄漏应用等安全防护设备或软件用于威胁监测、告警信息分析和安全事件响应。
3.在实现本公开技术方案过程中，发明人发现由于企业信息资产众多、安全防护面较广，利用多种安全防护设备或软件进行安全防护，存在告警信息量大、信息冗杂、信息关联性差的缺陷，这可能导致无法及时响应有效告警信息，影响安全防护效果。


技术实现要素：

4.本公开的一个方面提供了一种告警信息处理方法，包括：获取告警信息集合，所述告警信息集合中包含m条告警信息，其中，所述m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数；根据预设时间步长，以及根据与各所述告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于所述预设时间步长的时序依赖关系；针对具有时序依赖关系的n条目标告警信息，根据与各所述目标告警信息关联的类型属性特征，进行针对所述n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于所述处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
5.可选地，所述根据预设时间步长，以及根据与各所述告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于所述预设时间步长的时序依赖关系，包括：根据所述预设时间步长，以及根据与各所述告警信息关联的告警时间特征，将所述m条告警信息划入至少一个时间跨度集内；确定不同告警信息出现在相同时间跨度集内的频率，以得到与所述不同告警信息关联的同时间频率；判断所述同时间频率是否大于预设阈值，以及若是，确定对应的不同告警信息之间具有所述时序依赖关系，其中，位于同一时间跨度集内的任意两条告警信息的告警时间差值小于所述预设时间步长，位于不同时间跨度集内的任意两条告警信息的告警时间差值大于或等于所述预设时间步长。
6.可选地，所述类型属性特征指示对应告警信息的告警来源及告警类型；所述针对具有时序依赖关系的n条目标告警信息，根据与各所述目标告警信息关联的类型属性特征，进行针对所述n条目标告警信息的压缩处理，得到处理后的告警信息，包括：针对具有时序依赖关系的n条目标告警信息，根据与各所述目标告警信息关联的类型属性特征，判断所述n条目标告警信息的告警来源及告警类型是否相同；根据不同目标告警信息的告警来源及告警类型是否相同，进行针对所述n条目标告警信息的压缩处理，得到所述处理后的告警信息。
7.可选地，所述根据不同目标告警信息的告警来源及告警类型是否相同，进行针对所述n条目标告警信息的压缩处理，得到所述处理后的告警信息，包括：针对所述n条目标告
警信息中的告警来源相同的同类型目标告警信息，保留其中告警时间最早的目标告警信息，以及将最晚告警时间记录到附加字段，和记录被合并的目标告警信息的总数。
8.可选地，所述根据不同目标告警信息的告警来源及告警类型是否相同，进行针对所述n条目标告警信息的压缩处理，得到所述处理后的告警信息，包括：针对所述n条目标告警信息中的告警来源相同的不同类型目标告警信息，以及针对所述n条目标告警信息中的告警来源不同的目标告警信息，根据告警时间顺序将多条目标告警信息连接处理为单条告警信息。
9.可选地，本方法还包括：针对具有时序依赖关系的不同目标告警信息，根据与各所述目标告警信息关联的类型属性特征，建立所述类型属性特征之间的关联关系，形成告警压缩规则，其中，所述告警压缩规则用于在获取到告警信息集合的情况下，根据所述告警压缩规则初步筛选所述告警信息集合中待进行压缩处理的目标告警信息。
10.可选地，本方法还包括：根据与各所述告警信息关联的类型属性特征，判断不同告警信息之间是否具有内容依赖关系；针对具有内容依赖关系的p条目标告警信息，根据与各所述目标告警信息关联的类型属性特征和告警时间特征，进行针对所述p条目标告警信息的压缩处理，得到处理后的告警信息，其中，p为大于1的整数。
11.本公开的另一方面提供了一种告警信息处理系统，包括获取模块，用于获取告警信息集合，所述告警信息集合中包含m条告警信息，其中，所述m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数；第一处理模块，用于根据预设时间步长，以及根据与各所述告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于所述预设时间步长的时序依赖关系；第二处理模块，用于针对具有时序依赖关系的n条目标告警信息，根据与各所述目标告警信息关联的类型属性特征，进行针对所述n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于所述处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
12.可选地，所述第一处理模块包括：第一处理子模块，用于根据所述预设时间步长，以及根据与各所述告警信息关联的告警时间特征，将所述m条告警信息划入至少一个时间跨度集内；第二处理子模块，用于确定不同告警信息出现在相同时间跨度集内的频率，以得到与所述不同告警信息关联的同时间频率；第三处理子模块，用于判断所述同时间频率是否大于预设阈值，以及若是，确定对应的不同告警信息之间具有所述时序依赖关系，其中，位于同一时间跨度集内的任意两条告警信息的告警时间差值小于所述预设时间步长，位于不同时间跨度集内的任意两条告警信息的告警时间差值大于或等于所述预设时间步长。
13.可选地，所述第二处理模块包括：第四处理子模块，用于针对具有时序依赖关系的n条目标告警信息，根据与各所述目标告警信息关联的类型属性特征，判断所述n条目标告警信息的告警来源及告警类型是否相同；第五处理子模块，用于根据不同目标告警信息的告警来源及告警类型是否相同，进行针对所述n条目标告警信息的压缩处理，得到所述处理后的告警信息。
14.可选地，所述第五处理子模块包括：第一处理单元，用于针对所述n条目标告警信息中的告警来源相同的同类型目标告警信息，保留其中告警时间最早的目标告警信息，以及将最晚告警时间记录到附加字段，和记录被合并的目标告警信息的总数。
15.可选地，所述第五处理子模块还包括：第二处理单元，用于针对所述n条目标告警
信息中的告警来源相同的不同类型目标告警信息，以及针对所述n条目标告警信息中的告警来源不同的目标告警信息，根据告警时间顺序将多条目标告警信息连接处理为单条告警信息。
16.可选地，本装置还包括：第三处理模块，用于针对具有时序依赖关系的不同目标告警信息，根据与各所述目标告警信息关联的类型属性特征，建立所述类型属性特征之间的关联关系，形成告警压缩规则，其中，所述告警压缩规则用于在获取到告警信息集合的情况下，根据所述告警压缩规则初步筛选所述告警信息集合中待进行压缩处理的目标告警信息。
17.可选地，本装置还包括：第四处理模块，用于根据与各所述告警信息关联的类型属性特征，判断不同告警信息之间是否具有内容依赖关系；以及用于针对具有内容依赖关系的p条目标告警信息，根据与各所述目标告警信息关联的类型属性特征和告警时间特征，进行针对所述p条目标告警信息的压缩处理，得到处理后的告警信息，其中，p为大于1的整数。
18.本公开的另一方面提供了一种电子设备，包括：一个或多个处理器；以及存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本公开实施例的方法。
19.本公开的另一方面提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器实现本公开实施例的方法。
20.本公开的另一方面提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现本公开实施例的方法。
附图说明
21.为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中，
22.图1示意性示出了根据本公开实施例的告警信息处理方法及装置的系统架构；
23.图2示意性示出了根据本公开实施例的一种告警信息处理方法的流程图；
24.图3示意性示出了根据本公开实施例的另一告警信息处理方法的流程图；
25.图4示意性示出了根据本公开实施例的又一告警信息处理方法的流程图；
26.图5a～5b示意性示出了根据本公开实施例的对目标告警信息进行折叠压缩处理的示意图；
27.图6a～6b示意性示出了根据本公开实施例的对目标告警信息进行拼接压缩处理的示意图；
28.图7示意性示出了根据本公开实施例的再一告警信息处理方法的流程图；
29.图8示意性示出了根据本公开实施例的一种告警信息处理装置的框图；
30.图9示意性示出了根据本公开实施例的电子设备的框图。
具体实施方式
31.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性地，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免
不必要地混淆本公开的概念。
32.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了特征、操作、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、操作、操作或部件。
33.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
34.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
35.附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程告警信息处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
36.随着互联网技术的迅速发展，信息安全问题得以日益广泛关注。为实现快速发现及持续响应入侵活动，企业常引入例如入侵检测系统、入侵防御系统、防火墙、防病毒软件、防泄漏应用等安全防护设备或软件，利用安全防护设备或软件进行自动化威胁监测、告警信息分析和安全事件响应。
37.由于企业信息资产众多、安全防护面较广，利用多种安全防护设备或软件进行安全防护，存在告警信息量大、信息冗杂、信息关联性差的缺陷。具体地，由于不同安全防护设备或软件可能基于不同安全规则进行威胁监测，其产生的告警信息繁杂、告警信息量大，不利于快速准确过滤误报信息，不利于及时响应有效告警信息。
38.此外，由于不同安全防护设备或软件所监测的安全内容不同，其所遵循的安全规则及标准也可能不同，因此，其输出的告警信息五花八门，难以基于其中某条告警信息，通过数据分析探测其他安全隐患，告警信息关联性差，难以有效定位安全事件发生根源，影响安全防护效果。
39.为解决告警信息量大、信息关联性差的问题，本方案提出一种告警信息压缩处理方法，通过对由不同安全设备或软件产生的告警信息进行关联性分析，识别其中高度关联的多条告警信息，并对该类告警信息进行压缩处理，以此减少告警信息数量，提升告警信息关联性，这有利于改善安全防护效果，提升溯源分析效率。
40.本公开的实施例提供了一种告警信息处理方法以及能够应用该方法的处理装置。在本方法中，首先，获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数，接下来，根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系，然后，针对具有时序依赖关系的n条目标告警信息，根
据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
41.图1示意性示出了根据本公开实施例的告警信息处理方法及装置的系统架构。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
42.如图1所示，系统架构100可以包括安全防护设备或软件(图中示出了多个，如安全防护设备101、102、103、104)、告警信息缓存平台105、告警信息分析平台106、告警处理平台107和网络108，其中，网络108为用于在告警信息缓存平台105、告警信息分析平台106、告警处理平台107之间提供通信链路的介质。网络108可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。告警信息分析平台106可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或分布式系统，还可以是提供云服务、云计算、网络服务、中间件服务等基础云计算服务的云服务器。
43.告警信息缓存平台105用于获取由安全防护设备或软件(如安全防护设备101、1 02、103、104)生成的告警信息并汇总，形成告警信息统一数据库。此外，告警信息缓存平台105还用于对告警信息源进行标记，告警信息源例如可以包括入侵检测系统、入侵防御系统、防火墙、防病毒软件、防泄漏应用等。
44.告警信息分析平台106从告警信息缓存平台105中获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数，接下来，告警信息分析平台106根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系，然后，针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供告警处理平台107基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
45.需要说明的是，本公开实施例的告警信息处理方法和装置可用于金融领域，也可用于除金融领域之外的任意领域。以下将结合附图和具体实施例详细阐述本公开。
46.图2示意性示出了根据本公开实施例的一种告警信息处理方法的流程图，如图2所示，方法200可以包括操作s210～s230。
47.在操作s210，获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数。
48.接下来，在操作s220，根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系。
49.接下来，在操作s230，针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
50.下面详细说明本实施例的告警信息处理方法的各步骤的具体流程。
51.在操作s210，获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数。
52.在本实施例中，具体地，告警信息分析平台获取告警信息集合，告警信息集合中包
含m条告警信息，m为大于1的整数。告警信息集合中的各告警信息包含类型属性特征和告警时间特征，类型属性特征指示告警信息来源和告警信息类型。
53.具体地，告警信息的类型属性特征可以包括告警编码、告警大类、告警功能、告警级别、告警设备id、告警源地址、告警目标地址、告警源端口号、告警目标端口号等信息。告警源地址例如可以是发出告警信息的安全防护设备的ip地址，告警目标地址例如可以是预设的威胁管理系统的ip地址，告警源端口号例如可以是发出告警信息的应用程序端口号，告警目标端口号例如可以是威胁管理系统端口号。
54.告警时间特征具体可以是告警信息的时间戳，时间戳指示告警信息的生成时间，生成时间的格式具体可以是yyyy
‑
mm
‑
dd hh:mm:ss，例如可以是2021
‑
07
‑
20 11:16:01。由于时间戳具有纯递增特性，时间戳可用于后续时间跨度集(即时间窗口)的映射，有利于后续频繁项集的构建。
55.接下来，在操作s220，根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系。
56.在本实施例中，具体地，在获取到告警信息集合后，进行针对告警信息集合的关联分析，以发掘告警信息集合中隐藏的有意义的关联关系。作为一种可行的方式，计算不同告警信息的告警时间相同或者位于相同时间段内的频率，以此判断不同告警信息之间是否具有时序依赖关系。
57.根据预设的时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系。具体地，根据预设的时间步长，将m条告警信息划入至少一个时间跨度集内，即将m条告警信息映射到至少一个时间窗口内。确定不同告警信息出现在相同时间跨度集内的频率，以此得到不同告警信之间的同时间频率。在同时间频率大于预设阈值的情况下，判断对应的不同告警信息之间具有时序依赖关系。
58.接下来，在操作s230，针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
59.在本实施例中，具体地，类型属性特征指示对应告警信息的告警来源及告警类型，其中，告警来源例如可由类型属性特征中的告警设备id、告警源地址、告警源端口号等信息指示。告警类型例如可由类型属性特征中的告警编码、告警大类、告警功能、告警级别等信息指示。告警信息的告警类型例如可以包括通信告警、处理错误告警、设备告警、服务告警、完整性告警、可用性告警、物理攻击告警、安全攻击告警、时限告警等类型。
60.针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，判断n条目标告警信息的告警来源及告警类型是否相同。接下来，根据不同目标告警信息的告警来源及告警类型是否相同，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息。
61.作为一种可选的方式，还可以根据与各告警信息关联的类型属性特征，判断各告警信息中的至少一个任意属性是否为预设的无效告警信息属性。如果存在任意属性为预设的无效告警信息属性，判断对应的告警信息为无效告警信息。对无效告警信息进行过滤处理，以此达到压缩告警信息数量、提升告警信息有效性的目的。
62.通过本公开实施例，获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数；根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系；针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。对获取的告警信息集合进行关联分析，识别告警信息集合中具有时序依赖关系的不同告警信息，通过对具有时序依赖关系的不同告警信息进行压缩处理，以此实现对告警信息集合进行压缩处理的目的。
63.该种设计能够有效控制告警信息数量，减少“重复”无意义告警信息量，有利于及时响应有效告警信息，执行对应安全防护动作；通过分析不同告警信息间的时序依赖关系，实现将不同告警信息进行有效关联，关联处理后的告警信息在安全事件溯源分析方面有着显著优势，其有利于通过数据分析探测其他潜在隐患，能够有效提升溯源分析效率，改善安全防护效果。
64.图3示意性示出了根据本公开实施例的另一告警信息处理方法的流程图，如图3所示，操作s220可以包括操作s310～s330。
65.在操作s310，根据预设时间步长，以及根据与各告警信息关联的告警时间特征，将m条告警信息划入至少一个时间跨度集内。
66.接下来，在操作s320，确定不同告警信息出现在相同时间跨度集内的频率，以得到与不同告警信息关联的同时间频率。
67.接下来，在操作s330，判断同时间频率是否大于预设阈值，以及若是，确定对应的不同告警信息之间具有时序依赖关系。
68.下面详细说明本实施例的告警信息处理方法的各步骤的具体流程。
69.在操作s310，根据预设时间步长，以及根据与各告警信息关联的告警时间特征，将m条告警信息划入至少一个时间跨度集内。
70.在本实施例中，具体地，根据预设时间步长，以及结合各告警信息的告警时间特征，将告警信息集合中的m条告警信息映射到至少一个时间跨度集内。示例性地，预设时间步长为5s，基于预设时间步长划定的时间跨度集包括00:00:00
‑
00:05:00、00:05:01
‑
00:10:00、00:10:01
‑
00:15:00、...，将2021
‑
07
‑
20 00:01:12由攻击检测系统生成的告警信息，映射到时间跨度集00:00:00
‑
00:05:00内。
71.其中，位于同一时间跨度集内的任意两条告警信息的告警时间差值小于预设时间步长，位于不同时间跨度集内的任意两条告警信息的告警时间差值大于或等于预设时间步长。
72.接下来，在操作s320，确定不同告警信息出现在相同时间跨度集内的频率，以得到与不同告警信息关联的同时间频率。
73.在本实施例中，具体地，在至少一个时间跨度集内，确定不同告警信息出现在相同时间跨度集内的频数，计算频数与时间跨度集总数的比值，并将比值作为与不同告警信息关联的同时间频率。其中，不同告警信息可以是时间戳不同的相同告警来源的告警信息，也可以是不同告警来源的告警信息。
74.示例性地，通过关联分析得知，分别来源于入侵检测系统、终端安全管控软件和防泄漏软件的告警信息多次出现于相同时间跨度集内，并且其关联关系是先分别由入侵检测系统和终端安全管控软件生成告警信息，再由防泄漏软件生成告警信息，基于关联关系可以判断对应的安全事件为入侵终端后试图通过终端获取数据的恶意入侵行为，因此，可以对由入侵检测系统、终端安全管控软件和防泄漏软件生成的告警信息进行压缩处理。明显可知，对具有关联关系的告警信息进行压缩处理，一方面有利于控制告警信息数量，另一方面有利于改善安全事件溯源分析效率。
75.接下来，在操作s330，判断同时间频率是否大于预设阈值，以及若是，确定对应的不同告警信息之间具有时序依赖关系。
76.在本实施例中，具体地，判断不同告警信息间的同时间频率是否大于预设阈值，是则表征对应不同告警信息出现在相同时间跨度集内的频数高于预设阈值，因此，可判断其之间具有时序依赖关系。
77.针对具有时序依赖关系的不同目标告警信息，可以根据与各目标告警信息关联的类型属性特征，建立类型属性特征之间的关联关系，形成告警压缩规则。其中，告警压缩规则用于在获取到告警信息集合之后，根据告警压缩规则初步筛选告警信息集合中待进行压缩处理的目标告警信息。
78.作为一种可行的方式，可以通过apriori算法判断不同告警信息之间是否具有时序依赖关系，apriori算法是一种用于挖掘频繁项集和关联规则的数据挖掘算法。apriori算法中常用的技术术语包括：项集、支持度、置信度、支持度阈值、置信度阈值、频繁项集。其中，项集为项的集合，告警信息可认为是项，不同告警信息的集合即为项集。以项集a、b示例说明，支持度(即关联规则的支持度)为项集a、b同时发生的概率，置信度(即关联规则的置信度)为在项集a发生的情况下，项集b发生的概率。频繁项集为支持度大于预设支持度阈值的集合。
79.支持度阈值用于生成告警频繁项集，置信度阈值用于生成告警关联规则，支持度阈值影响关联规则结果集和运算运行时间，支持度阈值过低会导致偶然发生的关联行为被包含至最终输出的关联规则结果集中，置信度阈值过低会导致最终输出的关联规则结果集中包含无意义的关联规则。
80.实际应用中，可以将被标记信息来源的告警信息集合汇总在统一数据库中。通过读入统一数据库，生成一阶频繁项集，并将一阶频繁项集基于支持度进行排序。然后，再次扫描告警信息集合，从一阶频繁项集中生成二阶频繁项集，以此类推，以实现从(k
‑
1)
‑
项频繁项集中生成k
‑
项频繁项集，直至无法继续生成频繁项集，其中，k＝{3，4，...，n}，n为告警信息集合中的告警信息总数，k
‑
项集表示k条告警信息的集合。最后，基于预设的置信度阈值，在最大频繁项集中提取关联规则，最大频繁项集为包含项最多的频繁项集。
81.图4示意性示出了根据本公开实施例的又一告警信息处理方法的流程图，如图4所示，操作s230可以包括操作s410～s420。
82.在操作s410，针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，判断n条目标告警信息的告警来源及告警类型是否相同。
83.接下来，在操作s420，根据不同目标告警信息的告警来源及告警类型是否相同，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息。
84.下面详细说明本实施例的告警信息处理方法的各步骤的具体流程。
85.针对n条目标告警信息中的告警来源相同的同类型目标告警信息，保留其中告警时间最早的目标告警信息，以及将最晚告警时间记录到附加字段，和记录被合并的目标告警信息的总数。
86.对告警来源相同的同类型目标告警信息进行折叠压缩处理，其中，该类目标告警信息可以是由相同告警来源发出的多条内容重复的告警信息，也可以是由相同告警来源发出的多条内容高度相关的告警信息。图5a～5b示意性示出了根据本公开实施例的对目标告警信息进行折叠压缩处理的示意图，如图5a所示，由告警设备a发出的告警类型为连接告警的多条告警信息，根据关联分析结果得知，该多条告警信息之间具有时序依赖关系，属于待进行压缩处理的目标告警信息。如图5b所示，保留其中告警时间最早的目标告警信息，并将最晚告警时间及被合并的目标告警信息总数记录到附加字段中，得到压缩处理后的告警信息。
87.针对n条目标告警信息中的告警来源相同的不同类型目标告警信息，以及针对n条目标告警信息中的告警来源不同的目标告警信息，根据告警时间顺序将多条目标告警信息连接处理为单条告警信息。
88.对告警来源相同的不同类型目标告警信息进行拼接压缩处理，由于该类目标告警信息的告警来源相同，对该类目标告警信息进行拼接压缩处理，能够有效压缩告警信息数量。针对具有时序依赖关系的不同告警来源的多条目标告警信息，对该类目标告警信息同样可进行拼接压缩处理。图6a～6b示意性示出了根据本公开实施例的对目标告警信息进行拼接压缩处理的示意图，如图6a所示，分别由告警设备a、b、c、d生成的告警信息的告警类型分别为连接告警、通信告警、服务告警和可用性告警，根据关联分析结果得知，该4条告警信息之间具有时序依赖关系，属于待进行压缩处理的目标告警信息。如图6b所示，将该4条目标告警信息按告警时间顺序对该4条目标告警信息进行拼接，得到压缩处理后的单条告警信息。
89.通过对告警信息集合进行关联分析，对其中具有时序依赖关系的不同目标告警信息进行压缩处理，这能够有效压缩告警信息数量，提升告警信息的有效性，有利于快速响应关键告警信息。同时，压缩处理后的告警信息能够为安全事件原因定位提供支持，其有利于提升事件溯源分析效率，改善安全防护效果。
90.图7示意性示出了根据本公开实施例的再一告警信息处理方法的流程图，如图7所示，本方法包括操作s210、s720～s730。
91.在操作s210，获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数。
92.在操作s720，根据与各告警信息关联的类型属性特征，判断不同告警信息之间是否具有内容依赖关系。
93.接下来，在操作s730，针对具有内容依赖关系的p条目标告警信息，根据与各目标告警信息关联的类型属性特征和告警时间特征，进行针对p条目标告警信息的压缩处理，得到处理后的告警信息，其中，p为大于1的整数。
94.根据与各告警信息关联的类型属性特征，判断不同告警信息之间是否具有内容依赖关系，例如判断不同告警信息是否为针对同一安全事件所触发的信息。具有内容依赖关
系的不同告警信息之间可能同时具有时序依赖关系，也可能不具有时序依赖关系，本实施例对此不进行限定。
95.图8示意性示出了根据本公开实施例的一种告警信息处理装置的框图。
96.如图8所示，装置800包括获取模块801、第一处理模块802和第二处理模块803。
97.其中，获取模块801，用于获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数；第一处理模块802，用于根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系；第二处理模块803，用于针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。
98.通过本公开实施例，获取告警信息集合，告警信息集合中包含m条告警信息，其中，m条告警信息中的各告警信息包含类型属性特征和告警时间特征，m为大于1的整数；根据预设时间步长，以及根据与各告警信息关联的告警时间特征，判断不同告警信息之间是否具有基于预设时间步长的时序依赖关系；针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息，以供基于处理后的告警信息执行安全防护动作，其中，n为大于1的整数。对获取的告警信息集合进行关联分析，识别告警信息集合中具有时序依赖关系的不同告警信息，通过对具有时序依赖关系的不同告警信息进行压缩处理，以此实现对告警信息集合进行压缩处理的目的。
99.该种设计能够有效控制告警信息数量，减少“重复”无意义告警信息量，有利于及时响应有效告警信息，执行对应安全防护动作；通过分析不同告警信息间的时序依赖关系，实现将不同告警信息进行有效关联，关联处理后的告警信息在安全事件溯源分析方面有着显著优势，其有利于通过数据分析探测其他潜在隐患，能够有效提升溯源分析效率，改善安全防护效果。
100.作为一种可行的方式，第一处理模块包括：第一处理子模块，用于根据预设时间步长，以及根据与各告警信息关联的告警时间特征，将m条告警信息划入至少一个时间跨度集内；第二处理子模块，用于确定不同告警信息出现在相同时间跨度集内的频率，以得到与不同告警信息关联的同时间频率；第三处理子模块，用于判断同时间频率是否大于预设阈值，以及若是，确定对应的不同告警信息之间具有时序依赖关系，其中，位于同一时间跨度集内的任意两条告警信息的告警时间差值小于预设时间步长，位于不同时间跨度集内的任意两条告警信息的告警时间差值大于或等于预设时间步长。
101.作为一种可行的方式，第二处理模块包括：第四处理子模块，用于针对具有时序依赖关系的n条目标告警信息，根据与各目标告警信息关联的类型属性特征，判断n条目标告警信息的告警来源及告警类型是否相同；第五处理子模块，用于根据不同目标告警信息的告警来源及告警类型是否相同，进行针对n条目标告警信息的压缩处理，得到处理后的告警信息。
102.作为一种可行的方式，第五处理子模块包括：第一处理单元，用于针对n条目标告警信息中的告警来源相同的同类型目标告警信息，保留其中告警时间最早的目标告警信
息，以及将最晚告警时间记录到附加字段，和记录被合并的目标告警信息的总数。
103.作为一种可行的方式，第五处理子模块还包括：第二处理单元，用于针对n条目标告警信息中的告警来源相同的不同类型目标告警信息，以及针对n条目标告警信息中的告警来源不同的目标告警信息，根据告警时间顺序将多条目标告警信息连接处理为单条告警信息。
104.作为一种可行的方式，本装置还包括：第三处理模块，用于针对具有时序依赖关系的不同目标告警信息，根据与各目标告警信息关联的类型属性特征，建立类型属性特征之间的关联关系，形成告警压缩规则，其中，告警压缩规则用于在获取到告警信息集合的情况下，根据告警压缩规则初步筛选告警信息集合中待进行压缩处理的目标告警信息。
105.作为一种可行的方式，本装置还包括：第四处理模块，用于根据与各告警信息关联的类型属性特征，判断不同告警信息之间是否具有内容依赖关系；以及用于针对具有内容依赖关系的p条目标告警信息，根据与各目标告警信息关联的类型属性特征和告警时间特征，进行针对p条目标告警信息的压缩处理，得到处理后的告警信息，其中，p为大于1的整数。
106.需要说明的是，在本公开实施例中，装置部分的实施方式与方法部分的实施方式相同或类似，在此不再赘述。
107.根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者根据本公开实施例的模块中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
108.例如，获取模块801、第一处理模块802和第二处理模块803中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，获取模块801、第一处理模块802和第二处理模块803中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。获取模块801、第一处理模块802和第二处理模块803中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
109.图9示意性示出了适于实现根据本公开实施例的处理方法和处理装置的电子设备900的方框图。图9示出的电子设备900仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
110.如图9所示，根据本公开实施例的电子设备900包括处理器901，其可以根据存储在只读存储器(rom)902中的程序或者从存储部分908加载到随机访问存储器(ram)903中的程
序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
111.在ram 903中，存储有电子设备900操作所需的各种程序和数据。处理器901、rom 902以及ram 903通过总线904彼此相连。处理器901通过执行rom 902和/或ram 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，程序也可以存储在除rom 902和ram 903以外的一个或多个存储器中。处理器901也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
112.根据本公开的实施例，电子设备900还可以包括输入/输出(i/o)接口905，输入/输出(i/o)接口905也连接至总线904。电子设备900还可以包括连接至i/o接口905的以下部件中的一项或多项：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至i/o接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。
113.根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
114.本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。
115.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 902和/或ram 903和/或rom 902和ram 903以外的一个或多个存储器。
116.本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行本公开实施例所提供的方法的程序代码，当计算机程序产品在电子设备上运行时，该程序代码用于使电子设备实现本公开实施例所提供的用于文件上传漏洞的检测方法。
117.在该计算机程序被处理器901执行时，执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
118.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分909被下载和安装，和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
119.根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c ，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
120.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
121.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。