(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210975219.8 (22)申请日 2022.08.15 (71)申请人 国家管网集团北方管道有限责任公 司 地址 065099 河北省廊坊市广阳区新 开路 408号 (72)发明人 史威　张舒　贾立东　魏义昕　 张世斌　姜帅　张赫　王健　 潘志榆　刘雅　 (74)专利代理 机构 北京睿博行远知识产权代理 有限公司 1 1297 专利代理师 刘聪超 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全 告警方法及系统 (57)摘要 本发明涉及网络安全技术领域， 特别是涉及 一种网络安全告警方法及系统。 包括： 步骤S1： 实 时收集分布在网络上不同地方的告警信息和日 志信息， 并将告警信息和日志信息实时发送； 步 骤S2： 接收告警信息和日志信息， 并识别告警信 息和日志信息中的原始安全事件信息， 将原始安 全事件信息进行保存； 步骤S3： 对原始安全事件 信息进行聚合处理， 并得到高级安全事件信息， 将高级安全事件信息的告警进行输出显示给用 户。 本发明通过基于聚类分析的方法， 有效的对 大量的告警信息实行了滤除， 提高了对高级安全 事件的告警识别能力。 权利要求书3页 说明书12页 附图1页 CN 115549953 A 2022.12.30 CN 115549953 A 1.一种网络安全告警方法， 其特 征在于， 包括： 步骤S1： 实时收集分布在所述网络上不同地方的告警信息和日志信息， 并将所述告警 信息和所述日志信息实时发送； 步骤S2： 接收所述告警信息和所述日志信息， 并识别所述告警信息和所述日志信息中 的原始安全事件信息， 将所述原 始安全事件信息进行保存； 步骤S3： 对所述原始安全事件信息进行聚合处理， 并得到高级安全事件信息， 将所述高 级安全事件信息的告警进行输出显示给用户。 2.根据权利要求1所述的一种网络安全告警方法， 其特征在于， 对所述原始安全事件信 息进行聚合处 理,包括： 实时检测在100M的端口上每小时产生的所述告警信息， 并去除所述告警信息中误报的 误报告警信息， 并得到高级安全事件信息， 将所述高级安全事件信息转化为高级安全事件 标准格式， 其中， 所述高级安全 事件标准格式包括源IP信息和目的IP信息； 基于信息类型对所述高级安全 事件信息进行分类； 基于预设的ID S告警分析模型， 将各 所述高级安全 事件信息可能产生的告警进行聚类。 3.根据权利要求2所述的一种网络安全告警方法， 其特 征在于， 包括： 分别对所述源IP信息和所述目的IP信息进行告警聚类,根据各所述告警聚类 中产生的 告警的个数进行降序排列， 列出产生预设比例告警的所述源IP信息和所述目的IP信息， 以 对所述告警信息进行 幂率分析， 其中， 所述预设比例为90%； 基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性， 以对所述告警信 息进行趋势分析； 基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性， 以对所述告警信 息进行周期分析； 基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型， 基于所 述统计分析模型去除所述告警信息中误报的误报告警信息； 其中， 基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括： 当所述告警信 息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时， 去 除所述告警信息 。 4.根据权利要求2所述的一种网络安全告警方法， 其特征在于， 将各所述高级安全事件 信息可能产生的告警进行聚类， 包括： 步骤A： 初始化 一个告警链 表， 等待所述告警信息的到来; 步骤B： 将所述告警信息与所述告警链表中的各个结点相匹配， 当匹配成功时， 则添加 为该结点的一个子元素， 同时所述结点的长度加  1， 当匹配不 成功时， 重新初始 化一个告警 链表并重复执 行所述步骤A直至匹配成功 ; 步骤C： 检查各个结点的聚合长度， 当所述聚合长度超过第一阈值时， 产生超告警并输 出， 同时删除该 所述结点; 步骤E： 检查各个结点的聚合时差， 当所述聚合时差超过第二阈值时， 产生超告警并输 出， 同时删除该 所述结点； 其中， 所述超告警是由若干所述告警信息聚合而成， 所述第一阈值为所述告警信息的 个数， 所述第二阈值 为10s。权　利　要　求　书 1/3 页 2 CN 115549953 A 25.根据权利要求1所述的一种网络安全告警方法， 其特 征在于， 所述 步骤S1中还 包括： 基于所述日志信 息设定查询时间范围值， 并基于所述日志信 息中查询包含有预设关键 字信息的日志信息， 设置触发条件为包含有预设关键字信息， 当所述日志信息中出现所述 预设关键字信息时， 触发告警并输出显示给用户； 基于所述查询时间范围值， 统计所述查询时间范围值内出现所述预设关键字的次数， 设置触发条件为包含有预设关键字信息， 当所述查询时间范围值内所述日志信息中出现所 述预设关键字信息的次数 大于3次时， 触发告警并输出显示给用户； 基于当前所述查询时间范围值内出现预设关键字信息的次数与前一天的所述查询时 间范围值内出现预设关键字信息的次数的增长率， 设置触发条件为包含有预设关键字信 息， 当出现预设关键字信息的次数与前一天的所述查询时间范围值内出现预设关键字信息 的次数的增长率的比值大于10%时， 触发告警并输出显示给用户。 6.一种网络安全告警系统， 其特 征在于， 包括： 数据采集模块， 所述数据采集模块用于实时收集分布在所述网络上不同地方的告警信 息和日志信息， 并将所述告警信息和所述日志信息实时发送； 数据接收模块， 所述数据接收模块用于接收所述告警信息和所述日志信息， 并识别所 述告警信息和所述日志信息中的原 始安全事件信息， 将所述原 始安全事件信息进行保存； 数据处理模块， 所述数据处理模块用于对所述原始安全事件信息进行聚合处理， 并得 到高级安全 事件信息， 将所述高级安全 事件信息的告警进行输出显示给用户。 7.根据权利要求6所述的一种网络安全告警系统， 其特 征在于， 所述数据处理模块还用于实时检测在100M的端口上每小时产生的所述告警信息， 并去 除所述告警信息中误报的误报告警信息， 并得到高级安全事件信息， 将所述高级安全事件 信息转化为高级安全事件标准格式， 其中， 所述高级安全事件标准格式包括源IP信息和目 的IP信息； 基于信息类型对所述高级安全 事件信息进行分类； 基于预设的ID S告警分析模型， 将各 所述高级安全 事件信息可能产生的告警进行聚类。 8.根据权利要求7 所述的一种网络安全告警系统， 其特 征在于， 所述数据处理模块还用于分别对所述源IP信息和所述目的IP信息进行告警聚类,根据 各所述告警聚类中产生的告警的个数进 行降序排列， 列出产生预设比例告警的所述源IP信 息和所述目的IP信息， 以对所述告警信息进行 幂率分析， 其中， 所述预设比例为90%； 基于所述幂率分析的分析结果分析各主要告警类产生告警的趋势性， 以对所述告警信 息进行趋势分析； 基于所述幂率分析的分析结果分析各主要告警类产生告警的周期性， 以对所述告警信 息进行周期分析； 基于所述趋势分析的分析结果和所述周期分析的分析结果建立统计分析模型， 基于所 述统计分析模型去除所述告警信息中误报的误报告警信息； 其中， 基于所述统计分析模型去除所述告警信息中误报的误报告警信息包括： 当所述告警信 息与所述趋势分析的分析结果和所述周期分析的分析结果相匹配时， 去 除所述告警信息 。 9.根据权利要求7所述的一种网络安全告警系统， 其特征在于， 所述数据处理模块还用权　利　要　求　书 2/3 页 3 CN 115549953 A 3