(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211141187.8 (22)申请日 2022.09.20 (71)申请人 智网安云 （武汉） 信息技 术有限公司 地址 430000 湖北省武汉市东西湖区革 新 大道388-1号 (72)发明人 方波　周淼森　 (74)专利代理 机构 武汉知产时代知识产权代理 有限公司 42 238 专利代理师 康靖 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/04(2022.01) H04L 43/0876(2022.01) (54)发明名称 一种网络安全设备告警数据处理方法及系 统 (57)摘要 本发明公开了一种网络安全设备告警数据 处理方法及系统， 方法包括以下步骤： 获取不同 品牌网络安全设备告警数据， 并进行格式化处 理， 得到统一格式告警数据； 对统一格式告警数 据进行多样化聚合处理， 得到聚合后的数据； 根 据聚合后的数据生成告警事件， 并进行告警提 示。 系统用于实现方法。 本发明有益效果是： 实现 对不同品牌、 不同类型的安全设备告警数据进行 高效聚合， 极大降低了告警重复率， 提升了运维 工作效率。 权利要求书1页 说明书5页 附图3页 CN 115549997 A 2022.12.30 CN 115549997 A 1.一种网络安全设备告警数据处 理方法， 其特 征在于： 包括以下步骤： S1、 获取不同品牌网络安全设备告警数据， 并进行格式化处理， 得到统一格式告警数 据； S2、 对统一格式告警数据进行多样化聚合处 理， 得到聚合后的数据； S3、 根据聚合后的数据生成告警事 件， 并进行告警提 示。 2.如权利要求1所述的一种网络安全设备告警数据处理方法， 其特征在于： 步骤S1中统 一格式告警数据包括： 告警主体、 告警客体、 告警 内容、 告警动作和告警说明五个特征值； 每 个特征值又包括对应特 征值下不同的多个字段。 3.如权利要求2所述的一种网络安全设备告警数据处理方法， 其特征在于： 步骤S2中， 多样化聚合处 理包括： 模糊匹配模式、 精确匹配模式和混合匹配模式。 4.如权利要求3所述的一种网络安全设备告警数据处理方法， 其特征在于： 所述模糊匹 配模式具体指： 将统一告警数据中的一个或多个特征值组合， 得到模糊匹配条件， 满足模糊 匹配条件的告警数据被自动聚合 为同一告警类型。 5.如权利要求4所述的一种网络安全设备告警数据处理方法， 其特征在于： 所述精确匹 配模式具体指： 将统一告警数据中的一个或多个字段 组合， 得到精确匹配条件， 满足精确匹 配条件的告警数据被自动聚合 为同一告警类型。 6.如权利要求5所述的一种网络安全设备告警数据处理方法， 其特征在于： 所述混合匹 配模式为模糊匹配模式和精确匹配模式的组合， 具体为： 以精确匹配条件为优先， 满足精确 匹配条件的告警数据， 同时采用模糊匹配条件进行匹配。 7.如权利要求3所述的一种网络安全设备告警数据处理方法， 其特征在于： 所述多样化 聚合处理还包括自定义约束条件。 8.一种网络安全设备告警数据处 理系统， 其特 征在于： 包括： 告警数据采集模块： 获取不同品牌网络安全设备告警数据； 告警解析模块： 对告警数据进行格式化处 理， 得到统一格式告警数据； 告警聚合模块： 对统一格式告警数据进行多样化聚合处 理； 告警事件生成模块： 根据聚合后的数据生成告警事 件， 并进行告警提 示。权　利　要　求　书 1/1 页 2 CN 115549997 A 2一种网络安全设备告警数据处理 方法及系统 技术领域 [0001]本发明涉及数据处理领域， 尤其涉及一种网络安全设备告警数据处理方法及系 统。 背景技术 [0002]随着移动互联 网、 云计算、 物联网以及5G等技术的快速 发展， 网络边界也开始变得 模糊， 网络安全防护范围越来越大。 同时， 网络攻击者的攻击方式也越来越多。 近年来网络 安全事件频发， 安全形势日趋严峻。 于是企业内各种网络安全设备不断扩建， 如防火墙、 WAF、 IPS、 IDS、 网络审计、 流量检测、 防病毒系统等等， 而且随着网络规模的扩 大这些设备也 在不断的增多。 [0003]网络安全设备规模的不断扩大给企业带来了新的问题， 大量网络安全告警事件来 源于不同品牌、 类型的安全设备， 数据格式、 内容差异极大， 可读性差， 且同一攻击行为往往 容易被不同安全设备捕获造成重复告警以及误报等， 使得安全运 维人员往往将大量精力消 耗在处理重复及无效告警事件， 安全运维效率低下， 且容易忽视隐藏于大量告警数据中真 正的潜在威胁事 件。 [0004]当前对于网络安全设备告警数据的处 理方式主 要包括两种： [0005]1、 设置将一定时间范围内相同的告警数据聚合。 这种方案往往在同一品牌、 同一 类型下的安全设备中实践效果较佳， 而对于不同品牌、 类型的安全设备数据因为数据格式、 内容的定义 不同无法起到聚合效果。 [0006]2、 根据已知安全设备类型提前构建一些攻击行为的关联分析规则， 当攻击行为发 生时， 将这一攻击行为在不同安全设备触发的告警数据根据关联分析规则进行关联聚合。 这种方案效率较低， 需要非常了解不同安全设备 的告警规则和触发机制， 并提前针对不同 的安全设备告警规则进行大量的研判分析和规则制定工作。 仅适用于同一品牌下不同类型 安全设备之类， 而且缺乏通用性， 只能针对特定场景， 覆盖面 窄又难以维护。 发明内容 [0007]为了针对现有技术中仅能适用于同一品牌网络安全设备告警数据的处理， 缺乏通 用性的技术问题， 本发明提供一种网络安全设备告警数据 处理方法及系统,通过接 收各类 安全设备该方法满足一定通用性和灵活性， 可依据安全运维人员对告警事件的处置模式灵 活调配告警数据处 理规则。 [0008]本申请方法包括以下步骤： [0009]S1、 获取不同品牌网络安全设备告警数据， 并进行格式化处理， 得到统一格式告警 数据； [0010]S2、 对统一格式告警数据进行多样化聚合处 理， 得到聚合后的数据； [0011]S3、 根据聚合后的数据生成告警事 件， 并进行告警提 示。 [0012]一种网络安全设备告警数据处 理系统， 包括：说　明　书 1/5 页 3 CN 115549997 A 3