告警方法以及装置与流程

1.本说明书实施例涉及计算机技术领域，特别涉及一种告警方法。


背景技术：

2.随着计算机技术的发展，信息系统的链路越来越复杂，随之也会伴随大量攻击事件的发生。以网络攻击事件为例，网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
3.目前，通常在链路中布置危险探针，由危险探针对链路中发生的攻击事件进行告警。但随着访问链路越来越的复杂，告警事件也越来越多，导致人们难以直接通过告警事件确定当前系统潜在的危害，因此，亟需一种高效、准确的告警方案。


技术实现要素：

4.有鉴于此，本说明书实施例提供了一种告警方法。本说明书一个或者多个实施例同时涉及一种告警装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。
5.根据本说明书实施例的第一方面，提供了一种告警方法，包括：
6.获取产生告警的多个攻击事件；
7.将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
8.根据关联关系对多个攻击事件进行告警聚合。
9.可选地，在获取产生告警的多个攻击事件的步骤之前，还包括：
10.在数据链路上设置多个节点探针；
11.响应于节点探针识别到攻击事件的发生，对攻击事件进行告警。
12.可选地，对攻击事件进行告警的步骤，包括：
13.获取至少一个预设时间段内发生的攻击事件；
14.在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
15.可选地，在预设告警窗口中对预设时间段内发生的攻击事件进行告警的步骤，包括：
16.获取攻击事件对应的事件节点和攻击事件的攻击方向；
17.根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
18.可选地，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系的步骤，包括：
19.针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图；
20.根据局部关系图，获得多个攻击事件之间的关联关系。
21.可选地，根据关联关系对多个攻击事件进行告警聚合的步骤，包括：
22.获取多个攻击事件对应的多个事件节点；
23.根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径。
24.可选地，在生成多个攻击事件的聚合告警路径的步骤之后，还包括：
25.在预设告警窗口中显示聚合告警路径。
26.根据本说明书实施例的第二方面，提供了一种告警装置，包括：
27.获取模块，被配置为获取产生告警的多个攻击事件；
28.匹配模块，被配置为将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
29.聚合模块，被配置为根据关联关系对多个攻击事件进行告警聚合。
30.可选地，该装置还包括：
31.告警模块，被配置为在数据链路上设置多个节点探针；响应于节点探针识别到攻击事件的发生，对攻击事件进行告警。
32.可选地，告警模块，进一步被配置为获取至少一个预设时间段内发生的攻击事件；在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
33.可选地，告警模块，进一步被配置为获取攻击事件对应的事件节点和攻击事件的攻击方向；根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
34.可选地，匹配模块，进一步被配置为针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图；根据局部关系图，获得多个攻击事件之间的关联关系。
35.可选地，聚合模块，进一步被配置为获取多个攻击事件对应的多个事件节点；根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径。
36.可选地，该装置还包括：
37.显示模块，被配置为在预设告警窗口中显示聚合告警路径。
38.根据本说明书实施例的第三方面，提供了一种计算设备，包括：
39.存储器和处理器；
40.所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令：
41.获取产生告警的多个攻击事件；
42.将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
43.根据关联关系对多个攻击事件进行告警聚合。
44.根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述告警方法的步骤。
45.根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述告警方法的步骤。
46.本说明书一个实施例提供的告警方法，通过获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创
建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，提高了告警聚合的效率和准确性。
附图说明
47.图1是本说明书一个实施例提供的一种告警方法的流程图；
48.图2是本说明书一个实施例提供的一种预设告警窗口的示意图；
49.图3是本说明书一个实施例提供的一种事件关系图谱的示意图；
50.图4a是本说明书一个实施例提供的一种局部关系图a的示意图；
51.图4b是本说明书一个实施例提供的一种局部关系图b的示意图；
52.图4c是本说明书一个实施例提供的一种局部关系图c的示意图；
53.图5是本说明书一个实施例提供的一种聚合告警路径的示意图；
54.图6是本说明书一个实施例提供的一种告警方法的处理过程流程图；
55.图7是本说明书一个实施例提供的一种告警装置的结构示意图；
56.图8是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
57.在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。
58.在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
59.应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
60.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
61.网络攻击事件：网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
62.先验知识：先验知识(pr ior i knowledge)是先于经验的知识。举例说明：当人们看见一栋建筑时，因为人们事先知道“别墅”这个概念，以及关于别墅的一些属性，因此可以判断眼前的建筑是一栋别墅。而“别墅”这个概念就是人们对眼前建筑的先验知识。
63.告警：在网络管理领域，故障被定义为产生功能异常的原因，是产生告警事件的原因。告警是在特定事件发生时发出的通报构成的一种事件报告，用于传递告警信息。
64.告警聚合：告警聚合是将多条告警合并成为一条单一的告警。
65.知识图谱：知识图谱(knowledge graph)是指知识域可视化或知识领域映射地图，主要是用于描述现实世界中的实体、概念及事件间的客观关系，是显示知识发展进程与结构关系的一系列各种不同的图形，用可视化技术描述知识资源及其载体，挖掘、分析、构建、绘制和显示知识及它们之间的相互联系。知识图谱的构建过程即从非结构化数据(图像等)或半结构化数据(网页等)中抽取信息，构建结构化数据(三元组，实体-属性-关系)的过程。
66.图数据库：图数据库(graph database)是nosql数据库的一种类型，也可称为面向/基于图的数据库，应用图形理论存储实体之间的关系信息。图数据库的基本含义是以“图”这种数据结构作为逻辑结构存储和查询数据。
67.实体：实体是指具有可区别性且独立存在的某种事物。如某一个人、某一个城市、某一种植物、某一种商品等等，实体是知识图谱中的最基本元素，不同的实体间存在不同的关系。
68.语义类(概念)：语义类(概念)是具有同种特性的实体构成的集合，如国家、书籍、电脑等。概念主要指集合、类别、对象类型、事物的种类，例如人物、地理等。
69.内容：内容通常作为实体和语义类的名字、描述、解释等，可以由文本、图像、音视频等来表达。
70.属性(值)：从一个实体指向它的属性值。不同的属性类型对应于不同类型属性的边。属性值主要指对象指定属性的值。如“面积”、“人口”、“首都”是几种不同的属性。属性值主要指对象指定属性的值，例如960万平方公里等。
71.关系：在知识图谱上，关系则是一个把节点(实体、语义类、属性值)映射到布尔值的函数。
72.在本说明书中，提供了一种告警方法，本说明书同时涉及一种告警装置，一种计算设备，以及一种计算机可读存储介质，在下面的实施例中逐一进行详细说明。
73.随着计算机技术的发展，信息系统的链路越来越复杂，随之也会伴随大量攻击事件的发生。在具备复杂链路的系统中，常常会因为同一事件触发了链路中的多个监测器的告警，如果不对这些告警进行聚合处理，就容易形成告警风暴使运维人员遗漏掉重要的告警事件。因此，对告警事件进行聚合处理对用户来说非常有必要。
74.例如，实际应用中，可以基于先验知识，预先制定告警聚合规则，将链路中发生的攻击事件进行告警聚合。但随着访问链路越来越的复杂，类似的攻击触发的告警也会急速上升，先验知识的累积已不能满足告警的增长速度，同时先验知识也无法保证告警聚合的收敛度，导致出现聚合错误。所以，亟需一种不需要先验知识的自动化告警聚合方案。
75.为了提高告警聚合的效率以及告警聚合结果的准确性，本说明书提供了一种告警方法，通过在数据链路上设置多个节点探针，响应于节点探针识别到攻击事件的发生，获取至少一个预设时间段内发生的攻击事件，获取攻击事件对应的事件节点和攻击事件的攻击方向，根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警，获取产生告警的多个攻击事件，针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图，根据局部关系图，获得多个攻击事件之间的关联关系，获取多个攻击事件对应的多个事件节点，根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径，在预设告警窗口中显示聚合告警路径。本说明书提供的告警方案，通过在数据链路上设置多个节点探针，能准确识别到攻击事件的发生，对攻击事件产生告警，预先设置事件关系图谱
对各离散的事件创建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，解决了未知链路的告警聚合问题，提高了告警聚合的效率和准确性。
76.参见图1，图1示出了本说明书一个实施例提供的一种告警方法的流程图，具体包括以下步骤：
77.步骤102：获取产生告警的多个攻击事件。
78.本说明书实施例中，为了将多条告警合并成为一条单一的告警，首先可以获取产生告警的多个攻击事件，再对获取到的多个攻击事件进行处理，最后对处理后的多个攻击事件进行告警聚合，获得聚合后的告警路径。
79.具体地，攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
80.需要说明的是，本说明书实施例提供的告警方法，不仅可以应用于互联网场景中，也可以应用于其他非互联网场景中，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
81.实际应用中，获取的产生告警的多个攻击事件有多种，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
82.一种可能的实现方式中，可以直接获取正在告警的多个攻击事件。
83.示例性地，正在发生的攻击事件为“应用1异常扫描数据库1，并且强制登录应用2”，此时，系统对正在发生的这两个攻击事件进行告警，应用本说明书实施例提供的方案，直接获取正在告警的多个攻击事件即为“应用1正在异常扫描数据库1，并且强制登录应用2”。
84.另一种可能的实现方式中，可以获取正在告警的至少一个攻击事件和已经完成告警的至少一个攻击事件。
85.示例性地，预设时间内，已经结束的攻击事件为“攻击者越权访问应用1”，正在发生的攻击事件为“应用1异常扫描数据库1，并且强制登录应用2”，系统已经完成对攻击事件“攻击者越权访问应用1”的告警，正在对攻击事件“应用1异常扫描数据库1，并且强制登录应用2”进行告警，应用本说明书实施例提供的方案，获取产生告警的多个攻击事件即为“攻击者越权访问应用1，应用1正在异常扫描数据库1，并且强制登录应用2”。
86.又一种可能的实现方式中，可以获取已经完成告警的多个攻击事件。
87.示例性地，已经完成的攻击事件为“应用1异常扫描数据库1，并且强制登录应用2”，系统已经对这两个攻击事件进行告警，应用本说明书实施例提供的方案，直接获取已经完成告警的多个攻击事件即为“应用1正在异常扫描数据库1，并且强制登录应用2”。
88.应用本说明书实施例的方案，不仅可以对正在进行告警的攻击事件进行处理，还可以对已经结束告警的攻击事件进行告警，将正在进行告警的攻击事件和完成告警的攻击事件进行聚合，将多个攻击事件联系起来，便于相关人员进行处理，提高了告警聚合的效率和准确性。
89.实际应用中，可以在链路的不同位置中插入节点探针。在发生攻击事件时，链路上的多个节点探针被触发，节点探针识别到攻击事件的发生，对攻击事件进行告警。也即在上
述获取产生告警的多个攻击事件的步骤之前，可以包括以下步骤：
90.在数据链路上设置多个节点探针；
91.响应于节点探针识别到攻击事件的发生，对攻击事件进行告警。
92.本说明书实施例中，节点探针是指设置在数据链路上用于识别攻击事件的设备，在数据链路上发生攻击事件时，数据链路上的节点探针可以识别到攻击事件的发生，对攻击事件进行告警。
93.需要说明的是，在本说明书实施例中，节点探针的设置方式有多种，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
94.一种可能的实现方式中，可以为数据链路上的每个节点设置节点探针，各节点对应的节点探针可以识别该节点处发生的攻击事件。
95.示例性地，数据链路上包括四个节点，这四个节点分别为节点1、节点2、节点3和节点4。相应地，在数据链路上设置四个节点探针，这四个节点探针分别为节点探针1、节点探针2、节点探针3和节点探针4。需要说明的是，数据链路上的节点与节点探针是一一对应的关系，节点1处设置的节点探针为节点探针1，节点2处设置的节点探针为节点探针2，节点3处设置的节点探针为节点探针3，节点4处设置的节点探针为节点探针4。
96.应用本说明书实施例的方案，通过在数据链路上的每个节点处设置该节点对应的节点探针，可以对数据链路上的每个节点进行监测，实现了对数据链路上发生的每个攻击事件进行告警，提高了告警的准确性。
97.另一种可能的实现方式中，可以在数据链路上的关键节点处设置节点探针，其中，关键节点是指数据链路中关键工作两端的节点。
98.示例性地，数据链路上包括四个节点，这四个节点分别为节点1、节点2、节点3和节点4，其中，关键节点为节点2和节点4。相应地，在数据链路上设置两个节点探针，这两个节点探针分别为节点探针1和节点探针2。需要说明的是，数据链路上的节点与节点探针是一一对应的关系，节点2处设置的节点探针为节点探针1，节点4处设置的节点探针为节点探针2。
99.应用本说明书实施例的方案，通过在数据链路上的关键节点处设置节点探针，减少节点探针的设置，进一步提高了工作效率。
100.实际应用中，在数据链路上的节点探针识别到攻击事件的发生时，对攻击事件进行告警的方式有多种，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
101.一种可能的实现方式中，响应于节点探针识别到攻击事件的发生，同时对攻击事件进行告警。
102.示例性地，数据链路中存在三个节点，这三个节点分别为节点1、节点2和节点3，节点1处设置有节点探针1，节点2处设置有节点探针2，节点3处设置有节点探针3。节点探针1识别到攻击事件1发生时，对攻击事件1进行告警，节点探针2识别到攻击事件2发生时，对攻击事件2进行告警，节点探针3识别到攻击事件3发生时，对攻击事件3进行告警。
103.另一种可能的实现方式中，可以对预设时间段内发生的攻击事件进行告警，其中，预设时间段具体根据实际情况进行选择，本说明书实施例对此不做任何限定。也即，上述对攻击事件进行告警的步骤，可以包括以下步骤：
104.获取至少一个预设时间段内发生的攻击事件；
105.在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
106.具体地，预设告警窗口是指预先设置的，可以对攻击事件对应的告警信息进行显示的窗口，预设告警窗口可以有一个，也可以有多个，本说明书实施例的方案对预设告警窗口的数量不作限制，具体根据实际情况进行选择。
107.一种可能的实现方式中，只有一个预设告警窗口，获取到至少一个预设时间段内发生的攻击事件后，直接在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
108.示例性地，获取到第一预设时间段为12:00-12:10，第二预设时间段为12:30-12:40，在第一预设时间段内发生了三起攻击事件，这三起攻击事件分别为攻击事件1、攻击事件2和攻击事件3；在第二预设时间段内发生了一起攻击事件，这一起攻击事件为攻击事件4。在预设告警窗口中对攻击事件1、攻击事件2、攻击事件3和攻击事件4进行告警。
109.另一种可能的实现方式中，有多个预设告警窗口，每个预设告警窗口对应于一个预设时间段，获取到至少一个预设时间段内发生的攻击事件之后，在该预设时间段对应的预设告警窗口中对预设时间段内发生的攻击事件进行告警。
110.示例性地，获取到第一预设时间段为12:00-12:10，第二预设时间段为12:30-12:40，第一预设时间段对应预设告警窗口1，第二预设时间段对应预设告警窗口2，在第一预设时间段内发生了三起攻击事件，这三起攻击事件分别为攻击事件1、攻击事件2和攻击事件3；在第二预设时间段内发生了一起攻击事件，这一起攻击事件为攻击事件4。在预设告警窗口1中对攻击事件1、攻击事件2和攻击事件3进行告警，在预设告警窗口2中对攻击事件4进行告警。
111.应用本说明书实施例的方案，通过获取至少一个预设时间段内发生的攻击事件，在预设告警窗口中对预设时间段内发生的攻击事件进行告警，使得产生告警的攻击事件清楚明了，便于后续对攻击事件的处理。
112.实际应用中，在预设告警窗口中对预设时间段内发生的攻击事件进行告警时，可以在预设告警窗口中显示攻击事件对应的事件节点和攻击事件的攻击方向，也即，上述在预设告警窗口中对预设时间段内发生的攻击事件进行告警的步骤，包括：
113.获取攻击事件对应的事件节点和攻击事件的攻击方向；
114.根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
115.具体地，攻击事件对应的事件节点是指攻击事件中的攻击方和被攻击方，攻击事件的攻击方向是指攻击方攻击被攻击方的攻击方向。
116.示例性地，预设告警窗口中对预设时间段内发生的攻击事件1和攻击事件2进行告警，攻击事件1为“应用1异常扫描数据库1”，攻击事件2为“应用1强制登录应用2”，获取攻击事件1中的事件节点为应用1和数据库1，获取攻击事件2中的事件节点为应用1和应用2，攻击事件1中的攻击方向为应用1指向数据库1，攻击事件2中的攻击方向为应用1指向应用2。
117.具体地，如图2所示，图2示出了本说明书一个实施例提供的一种预设告警窗口的示意图，在图2中，获取第一预设时间发生的攻击事件1为“攻击者越权访问应用1”，根据攻击事件1的事件节点“攻击者和网关”和攻击方向“攻击者指向网关”在预设告警窗口中对攻击事件1进行告警；获取第二预设时间发生的攻击事件2为“应用1异常扫描数据库1”，根据攻击事件2的事件节点“应用1和数据库1”和攻击方向“应用1指向数据库1”在预设告警窗口中对攻击事件2进行告警；第三预设时间发生的攻击事件3为“应用1强制登录应用2”，根据
攻击事件3的事件节点“应用1和应用2”和攻击方向“应用1指向应用2”在预设告警窗口中对攻击事件3进行告警。
118.应用本说明书实施例的方案，通过获取攻击事件对应的事件节点和攻击事件的攻击方向，根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警，使得对攻击事件的告警清晰明了，便于后续对攻击事件进行处理。
119.步骤104：将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系。
120.本说明书实施例中，在获取产生告警的多个攻击事件之后，可以将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系。实际应用中，可以基于动态本体论和属性图模型构建包括“事件”、“关系”、“行为”、“资产”、“标签”的事件关系图谱，随着时间和经验的积累也可以往事件关系图谱中持续的补充新的内容，使事件关系图谱的覆盖范围越来越大。
121.具体地，预先设置的事件关系图谱可以理解为一种知识图谱。知识图谱旨在描述真实世界中存在的各种实体或概念及其关系，其构成一张巨大的语义网络图，节点表示实体或概念，边则由属性或关系构成。知识图谱中包含实体、语义类(概念)、内容、属性(值)以及关系。知识图谱在逻辑上可分为模式层与数据层两个层次，数据层主要是由一系列的事实组成，而知识将以事实为单位进行存储。如果用(实体1，关系，实体2)、(实体、属性，属性值)这样的三元组来表达事实，可选择图数据库作为存储介质。模式层构建在数据层之上，是知识图谱的核心，通常采用本体库来管理知识图谱的模式层。本体是结构化知识库的概念模板，通过本体库而形成的知识库不仅层次结构较强，并且冗余程度较小。
122.需要说明的是，设置一个知识图谱需要包括：知识建模、知识获取、知识融合、知识存储和知识应用五大部分。第一部分：知识建模，构建多层级知识体系，将抽象的知识、属性、关联关系等信息，进行定义、组织、管理，转化成现实的数据库。第二部分：知识获取，将不同来源、不同结构的数据转化成图谱数据，包括结构化数据、半结构化数据(解析)、知识标引、知识推理等，保障数据的有效性和完整性。第三部分：知识融合，将多个来源、重复的知识信息进行融合，包括融合计算、融合计算引擎、手动操作融合等。第四部分：知识存储，根据项目场景提供合理的知识存储方案，存储方案具备灵活、多样化、可拓展特性。第五部分：知识应用，为已构建知识图谱提供图谱检索、知识计算、图谱可视化等分析与应用能力，并提供各类知识计算的sdk，包含图谱基础应用类、图结构分析类、图谱语义应用类、自然语言处理类、图数据获取类、图谱统计类、数据集数据获取类、数据集统计类。
123.实际应用中，在获取产生告警的多个攻击事件之后，可以在预先设置的事件关系图谱中查找多个攻击事件对应的局部关系图，获得多个局部关系图，根据获得的多个局部关系图，分析获得多个局部关系图之间的关系，从而获得多个攻击事件之间的关联关系，也即，上述将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系的步骤，可以包括以下步骤：
124.针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图；
125.根据局部关系图，获得多个攻击事件之间的关联关系。
126.示例性地，如图3所示，图3示出了本说明书一个实施例提供的一种事件关系图谱
的示意图，在图3所示的预先设置的事件关系图谱中，用户可以通过网关访问应用1、应用2；应用1可以访问数据库1、应用2；应用2可以访问应用3、数据库2；应用3可以访问数据库2和数据库3。
127.引用附图2中的实施例，针对攻击事件1“攻击者越权访问应用1”，在预先设置的事件关系图谱中查找攻击事件1对应的局部关系图如图4a所示，图4a示出了本说明书一个实施例提供的一种局部关系图a的示意图；针对攻击事件2“应用1异常扫描数据库1”，在预先设置的事件关系图谱中查找攻击事件2对应的局部关系图如图4b所示，图4b示出了本说明书一个实施例提供的一种局部关系图b的示意图；针对攻击事件3“应用1强制登录应用2”，在预先设置的事件关系图谱中查找攻击事件3对应的局部关系图如图4c所示，图4c示出了本说明书一个实施例提供的一种局部关系图c的示意图，根据局部关系图a、局部关系图b和局部关系图c获得攻击事件1、攻击事件2和攻击事件3之间的关联关系为“网关访问应用1、应用1访问数据库1、应用1访问应用2”。
128.应用本说明书实施例的方案，通过在预先设置的事件关系图谱中查找攻击事件对应的局部关系图，使得根据局部关系图，获得的多个攻击事件之间的关联关系更为准确，进一步提高了告警聚合的效率和准确性。
129.步骤106：根据关联关系对多个攻击事件进行告警聚合。
130.本说明书实施例中，在获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系之后，可以根据关联关系对多个攻击事件进行告警聚合。
131.应用本说明书实施例的方案，获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，提高了告警聚合的效率和准确性。
132.实际应用中，在获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系之后，可以获得多个攻击事件的事件节点，根据关联关系，将多个攻击事件的事件节点相连接，生成多个攻击事件的聚合告警路径，也即，上述根据关联关系对多个攻击事件进行告警聚合的步骤，可以包括以下步骤：
133.获取多个攻击事件对应的多个事件节点；
134.根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径。
135.示例性地，引用上述实施例的方案，获得攻击事件1的事件节点为“攻击者和网关”，获得攻击事件2的事件节点为“应用1和数据库1”，获得攻击事件3的事件节点为“应用1和应用2”，根据局部关系图a、局部关系图b和局部关系图c获得攻击事件1、攻击事件2和攻击事件3之间的关联关系为“网关访问应用1、应用1访问数据库1、应用1访问应用2”。如图5所示，图5示出了本说明书一个实施例提供的一种聚合告警路径的示意图，根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径为“攻击者攻击网关，越权访问应用1，应用1异常扫描数据库1，应用1强制登录应用2”。
136.应用本说明书实施例的方案，通过获取多个攻击事件对应的多个事件节点，根据
关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径，提高了告警聚合的效率和准确性。
137.值得说明的是，在生成多个攻击事件的聚合告警路径之后，还可以将聚合告警路径显示正在预设告警窗口中，也即在上述生成多个攻击事件的聚合告警路径的步骤之后，还可以包括以下步骤：
138.在预设告警窗口中显示聚合告警路径。
139.本说明书实施例中，可以将预设告警窗口中进行告警的攻击事件更新为获得的聚合告警路径，使用户能够看到完整的聚合告警路径，便于用户后续对攻击事件进行处理。
140.需要说明的是，本说明书提供的告警方法，应用于多种场景下的告警过程，如通信场景、交易场景，当然还可以应用于其他场景下，本说明书中对告警方法的应用场景不进行限定。
141.下述结合图6，图6示出了本说明书一个实施例提供的一种告警方法的处理过程流程图，具体包括以下步骤。
142.步骤602：在数据链路上设置多个节点探针。
143.步骤604：响应于节点探针识别到攻击事件的发生，获取至少一个预设时间段内发生的攻击事件。
144.步骤606：获取攻击事件对应的事件节点和攻击事件的攻击方向。
145.步骤608：根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
146.步骤610：获取产生告警的多个攻击事件。
147.步骤612：针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图。
148.步骤614：根据局部关系图，获得多个攻击事件之间的关联关系。
149.步骤616：获取多个攻击事件对应的多个事件节点。
150.步骤618：根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径。
151.步骤620：在预设告警窗口中显示聚合告警路径。
152.应用本说明书实施例的方案，通过在数据链路上设置多个节点探针，响应于节点探针识别到攻击事件的发生，获取至少一个预设时间段内发生的攻击事件，获取攻击事件对应的事件节点和攻击事件的攻击方向，根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警，获取产生告警的多个攻击事件，针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图，根据局部关系图，获得多个攻击事件之间的关联关系，获取多个攻击事件对应的多个事件节点，根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径，在预设告警窗口中显示聚合告警路径。本说明书提供的告警方案，通过预先设置事件关系图谱对各离散的事件创建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，解决了未知链路的告警聚合问题，提高了告警聚合的效率和准确性。
153.上述为本实施例的一种告警方法的示意性方案。需要说明的是，该告警方法的技术方案与上述图1示出的告警方法的技术方案属于同一构思，告警方法的技术方案未详细描述的细节内容，均可以参见上述告警方法的技术方案的描述。
154.与上述方法实施例相对应，本说明书还提供了告警装置实施例，图7示出了本说明
书一个实施例提供的一种告警装置的结构示意图。如图7所示，该装置包括：
155.获取模块702，被配置为获取产生告警的多个攻击事件；
156.匹配模块704，被配置为将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
157.聚合模块706，被配置为根据关联关系对多个攻击事件进行告警聚合。
158.可选地，该装置还包括：
159.告警模块，被配置为在数据链路上设置多个节点探针；响应于节点探针识别到攻击事件的发生，对攻击事件进行告警。
160.可选地，告警模块，进一步被配置为获取至少一个预设时间段内发生的攻击事件；在预设告警窗口中对预设时间段内发生的攻击事件进行告警。
161.可选地，告警模块，进一步被配置为获取攻击事件对应的事件节点和攻击事件的攻击方向；根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警。
162.可选地，匹配模块704，进一步被配置为针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图；根据局部关系图，获得多个攻击事件之间的关联关系。
163.可选地，聚合模块706，进一步被配置为获取多个攻击事件对应的多个事件节点；根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径。
164.可选地，该装置还包括：
165.显示模块，被配置为在预设告警窗口中显示聚合告警路径。
166.应用本说明书实施例的方案，通过在数据链路上设置多个节点探针，响应于节点探针识别到攻击事件的发生，获取至少一个预设时间段内发生的攻击事件，获取攻击事件对应的事件节点和攻击事件的攻击方向，根据事件节点和攻击方向在预设告警窗口中对攻击事件进行告警，获取产生告警的多个攻击事件，针对多个攻击事件，在预先设置的事件关系图谱中查找攻击事件对应的局部关系图，根据局部关系图，获得多个攻击事件之间的关联关系，获取多个攻击事件对应的多个事件节点，根据关联关系，连接多个事件节点，生成多个攻击事件的聚合告警路径，在预设告警窗口中显示聚合告警路径。本说明书提供的告警方案，通过预先设置事件关系图谱对各离散的事件创建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，解决了未知链路的告警聚合问题，提高了告警聚合的效率和准确性。
167.上述为本实施例的一种告警装置的示意性方案。需要说明的是，该告警装置的技术方案与上述的告警方法的技术方案属于同一构思，告警装置的技术方案未详细描述的细节内容，均可以参见上述告警方法的技术方案的描述。
168.图8示出了根据本说明书一个实施例提供的一种计算设备800的结构框图。该计算设备800的部件包括但不限于存储器810和处理器820。处理器820与存储器810通过总线830相连接，数据库850用于保存数据。
169.计算设备800还包括接入设备840，接入设备840使得计算设备800能够经由一个或多个网络860通信。这些网络的示例包括公用交换电话网(pstn，public switched telephone network)、局域网(lan，local area network)、广域网(wan，wide area network)、个域网(pan，personal area network)或诸如因特网的通信网络的组合。接入设
备540可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(nic，network interface card))中的一个或多个，诸如ieee802.11无线局域网(wlan，wireless local area networks)无线接口、全球微波互联接入(wi-max，world interoperability for microwave access)接口、以太网接口、通用串行总线(usb，universal serial bus)接口、蜂窝网络接口、蓝牙接口、近场通信(nfc，near field communication)接口，等等。
170.在本说明书的一个实施例中，计算设备800的上述部件以及图8中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图8所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。
171.计算设备800可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或pc的静止计算设备。计算设备800还可以是移动式或静止式的服务器。
172.其中，处理器820用于执行如下计算机可执行指令：
173.获取产生告警的多个攻击事件；
174.将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
175.根据关联关系对多个攻击事件进行告警聚合。
176.上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的告警方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述告警方法的技术方案的描述。
177.应用本说明书实施例的方案，获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，提高了告警聚合的效率和准确性。
178.本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现：
179.获取产生告警的多个攻击事件；
180.将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
181.根据关联关系对多个攻击事件进行告警聚合。
182.上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的告警方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述告警方法的技术方案的描述。
183.应用本说明书实施例的方案，获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创建关系，将多
个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，提高了告警聚合的效率和准确性。
184.本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行：
185.获取产生告警的多个攻击事件；
186.将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系；
187.根据关联关系对多个攻击事件进行告警聚合。
188.上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的告警方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述告警方法的技术方案的描述。
189.应用本说明书实施例的方案，获取产生告警的多个攻击事件，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合。通过预先设置事件关系图谱对各离散的事件创建关系，将多个攻击事件与预先设置的事件关系图谱进行匹配，获得多个攻击事件之间的关联关系，根据关联关系对多个攻击事件进行告警聚合，提高了告警聚合的效率和准确性。
190.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
191.所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
192.需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。
193.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
194.以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用
本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。