(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111575902.4 (22)申请日 2021.12.2 2 (65)同一申请的已公布的文献号 申请公布号 CN 113949621 A (43)申请公布日 2022.01.18 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 陈杰　黄雅芳　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 毕翔宇 (51)Int.Cl. H04L 41/0631(2022.01) H04L 9/40(2022.01)(56)对比文件 CN 112887310 A,2021.0 6.01 CN 107547262 A,2018.01.0 5 CN 101272 286 A,20 08.09.24 CN 104021 195 A,2014.09.0 3 CN 108923993 A,2018.1 1.30 WO 2020194 449 A1,2020.10.01 审查员 宫磊 (54)发明名称 入侵事件的告警关联方法、 装置、 电子设备 及存储介质 (57)摘要 本申请实施例提供一种入侵事件的告警关 联方法、 装置、 电子设备及存储介质， 涉及网络安 全技术领域。 该方法包括获取入侵事件的告警信 息； 从所述告警信息中提取告警实体； 基于所述 告警实体， 根据关联规则将告警与告警或者将告 警与现有事件进行关联， 以获得关联事件； 根据 所述关联事件以及生成规则生 成事件信息， 将告 警进行关联， 形成关联事件， 展 示黑客攻击路线， 便于监管， 解决了现有 方法没有将入侵事件进行 关联的问题。 权利要求书3页 说明书8页 附图7页 CN 113949621 B 2022.03.29 CN 113949621 B 1.一种入侵事 件的告警关联 方法， 其特 征在于， 所述方法包括： 获取入侵事 件的告警信息； 从所述告警信息中提取告警 实体： 从所述告警信息中提取告警实体的实体名、 实体类型和实体值， 所述实体类型包括外 网IP、 进程信息、 黑 客组织、 告警类型、 文件信息和病毒家族名； 基于所述告警实体， 根据关联规则将告警与告警或者将告警与现有事件进行关联， 以 获得关联事 件： 根据告警 实体和实体 类型， 判断是否存在现有事 件； 若不存在， 则根据关联规则进行关联， 以生成新事 件； 若存在， 则根据所述关联规则判断所述告警是否属于现有事 件； 若所述告警不属于任意 一个现有事 件， 则根据所述关联规则生成新事 件； 若所述告警属于现有事 件中的一个， 则将所述告警添加至所述现有事 件中； 若所述告警属于现有事件中的多个， 则将多个现有事件按照合并规则合并成关联事 件； 所述若所述告警属于现有事件中的多个， 则将多个现有事件按照 合并规则合并成关联 事件， 包括： 若所述现有事件在同一个主机下， 且告警类型有且仅有webshell告警， 则将所述现有 事件合并成一个； 若所述现有事件在同一个主机下， 且告警类型为木马或者后门， 则将所述现有事件合 成一个； 若所述现有事 件在同一个主机下， 则合并成一个； 根据所述关联事 件以及生成规则生成事 件信息。 2.根据权利要求1所述的入侵事件的告警关联方法， 其特征在于， 所述根据关联规则进 行关联， 包括： 若所述实体类型为外网IP， 且所述告警实体指向同一个外网IP， 则将告警与对应的事 件或告警进行关联； 若所述实体类型为进程ID或父进程ID， 且第一告警的进程ID与第二告警的进程ID或父 进程ID相同， 则将第一告警和第二告警进行关联； 若所述实体类型为进程ID或父进程ID， 且第一告警的父进程ID与第二告警的进程ID或 父进程ID相同， 则将第一告警和第二告警进行关联； 若所述实体 类型是黑客组织， 且为同一个黑 客组织， 则进行关联； 若所述实体类型是告警类型， 且所述告警类型是后门或木马， 则指向所述后门或木马 的可疑文件下 载或执行告警都将会被关联； 若所述告警 实体的实体值相同， 则进行关联。 3.根据权利要求1所述的入侵事件的告警关联方法， 其特征在于， 所述事件信 息包括事 件名称、 威胁分类、 严重级别和置信度， 所述根据所述关联事件以及生成规则生成事件信 息， 包括： 根据所述关联事 件的告警类型 数量和主机数量， 生成事 件名称； 根据所述关联事件的告警类型判断威胁分类， 所述关联事件的威胁分类包括入侵执权　利　要　求　书 1/3 页 2 CN 113949621 B 2行、 巩固阵地、 提权横移、 躲避检测、 建立外连、 破坏窃取中的一个或多个； 根据所述关联事 件中的告警， 获取告警与严重级别、 威胁等级、 置信度的映射关系。 4.根据权利要求1所述的入侵事件的告警关联方法， 其特征在于， 所述告警类型的严重 级别包括信息、 低、 中、 高、 严重， 所述方法还包括： 根据严重级别生成规则获取关联事件的 严重级别： 若告警类型 具有高置信度， 则所述关联事 件的严重级别为高以上； 若所述告警类型包括特定组合事件， 则所述关联事件的严重级别根据 所述特定组合事 件进行打 分； 若所述告警类型满足特定时间序列， 所述关联事件的严重级别按照所述特定时间序列 进行打分； 若所述关联事 件按照告警类型和告警严重级别打 分， 则公式为： ； 其中， tlev el表示告警严重级别， ttype表 示告警类型， r为打分的结果； max()表 示取最 大值， exp()代 表以e为底的指数函数； 基于告警类型， 利用预设的机器学习模型判断关联事 件的严重级别。 5.一种入侵事 件的告警关联装置， 其特 征在于， 所述装置包括： 告警信息获取模块， 用于获取入侵事 件的告警信息； 提取模块， 用于从所述告警信息中提取告警 实体： 从所述告警信息中提取告警实体的实体名、 实体类型和实体值， 所述实体类型包括外 网IP、 进程信息、 黑 客组织、 告警类型、 文件信息和病毒家族名； 关联模块， 用于基于所述告警实体， 根据关联规则将告警与告警或者将告警与现有事 件进行关联， 以获得关联事 件： 根据告警 实体和实体 类型， 判断是否存在现有事 件； 若不存在， 则根据关联规则进行关联， 以生成新事 件； 若存在， 则根据所述关联规则判断所述告警是否属于现有事 件； 若所述告警不属于任意 一个现有事 件， 则根据所述关联规则生成新事 件； 若所述告警属于现有事 件中的一个， 则将所述告警添加至所述现有事 件中； 若所述告警属于现有事件中的多个， 则将多个现有事件按照合并规则合并成关联事 件： 若所述现有事件在同一个主机下， 且告警类型有且仅有webshell告警， 则将所述现有 事件合并成一个； 若所述现有事件在同一个主机下， 且告警类型为木马或者后门， 则将所述现有事件合 成一个； 若所述现有事 件在同一个主机下， 则合并成一个； 事件信息生成模块， 用于根据所述关联事 件以及生成规则生成事 件信息。 6.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1权　利　要　求　书 2/3 页 3 CN 113949621 B 3