(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114301758A(43)申请公布日2022.04.08(21)申请号202111587910.0(22)申请日2021.12.23(71)申请人中国电信股份有限公司地址100033北京市西城区金融大街31号(72)发明人马浩翔陆晨晖(74)专利代理机构北京律智知识产权代理有限公司11438代理人孙宝海阚梓瑄(51)Int.Cl.H04L41/0604(2022.01)H04L41/0631(2022.01)H04L41/069(2022.01)权利要求书2页说明书9页附图5页(54)发明名称告警处理方法、系统、设备及存储介质(57)摘要本发明提供了告警处理方法、系统、设备及存储介质，其中方法包括：通过对原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组，其中每个分组的IP对为一对一、一对多或多对一，对每个分组中的原始告警计算信息熵，并根据信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。本发明在根据源IP地址和目的IP地址所组成IP对进行分组的基础上，根据原始告警的信息熵对分组进行聚合，信息熵相似的原始告警被聚合成超告警，这显著降低了原始告警的数量，提升用户体验。CN114301758ACN114301758A权利要求书1/2页1.一种告警处理方法，其特征在于，包括：获取对网络访问事件生成的原始告警；对所述原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组，其中每个分组的IP对为一对一、一对多或多对一；对每个分组中的原始告警计算信息熵，并根据所述信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，所述信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。2.根据权利要求1所述的告警处理方法，其特征在于，所述告警处理方法还包括：对每个分组中的超告警计算多元信息熵，并根据所述多元信息熵对所述超告警配置处理优先级。3.根据权利要求1所述的告警处理方法，其特征在于，在对每个分组中的原始告警计算信息熵之前，所述告警处理方法还包括：对每个分组的原始告警按照告警时间信息聚合成多个时间簇；所述对每个分组中的原始告警计算信息熵，并根据所述信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，包括：对每个分组中的每个时间簇计算信息熵，并根据所述时间簇之间的信息熵相似度将信息熵相似度大于阈值的时间簇聚合成超告警。4.根据权利要求3所述的告警处理方法，其特征在于，所述对每个分组中的每个时间簇计算信息熵，包括：对所述IP对为一对一的单源单目的属性分组，对每个时间簇计算所述内容熵、时间熵和端口熵。5.根据权利要求3所述的告警处理方法，其特征在于，所述对每个分组中的每个时间簇计算信息熵，包括：对所述IP对为一对多的单源多目的属性分组，对每个时间簇计算所述目的IP熵、时间熵和端口熵。6.根据权利要求3所述的告警处理方法，其特征在于，所述对每个分组中的每个时间簇计算信息熵，包括：对所述IP对为多对一的多源单目的属性分组，对每个时间簇计算所述源IP熵、时间熵和端口熵。7.根据权利要求3所述的告警处理方法，其特征在于，所述对每个分组中的每个时间簇计算信息熵，并根据所述时间簇之间的信息熵相似度将信息熵相似度大于阈值的时间簇聚合成超告警，包括：对每个分组，计算各所述时间簇的信息熵之间的均方误差，基于所述均方误差获得所述信息熵相似度，并将所述均方误差不大于设定阈值的时间簇聚合成超告警。8.根据权利要求3所述的告警处理方法，其特征在于，所述计算各所述时间簇的信息熵之间的均方误差，包括：对每个分组，计算时间差不大于时间阈值的各时间簇的信息熵之间的均方误差。9.一种告警处理系统，其特征在于，包括：原始告警获取模块，获取对网络访问事件生成的原始告警；2CN114301758A权利要求书2/2页分组模块，对所述原始告警按照所属网络访问事件的源IP地址和目的IP地址组成的IP对进行分组，其中每个分组的IP对为一对一、一对多或多对一；超告警聚合模块，对每个分组中的原始告警计算信息熵，并根据所述信息熵之间的相似度将相似度大于目标值的原始告警聚合成超告警，所述信息熵包括内容熵、源IP地址熵、目的IP熵、时间熵和端口熵中的一种或多种。10.一种告警处理设备，其特征在于，包括：处理器；存储器，其中存储有所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1至8任意一项所述告警处理方法的步骤。11.一种计算机可读存储介质，用于存储程序，其特征在于，所述程序被处理器执行时实现权利要求1至8任意一项所述告警处理方法的步骤。3