一种安全事件告警关联聚合方法、装置及其介质

技术领域

本申请涉及安全事件告警技术领域，特别是涉及一种安全事件告警关联聚合方法、装置及其介质。

背景技术

安全运营工作一般需要借助各类安全设备产生的告警作为依据来开展，从海量告警中找出能对企业安全造成风险的关键告警是安全运营工作的核心。对于这一犹如大海捞针般的工作，一般依靠运营人员的长期积累的经验(包括对告警的认知程度、对企业资产的认知程度等)，来逐步靠近关键告警。另一方面，安全设备告警一般属于低层次告警，想要获取一次攻击行为完整的信息，往往需要对多个告警关联。仅是查看安全设备返回的一条条单独的攻击告警信息，运维人员很难找到关键告警信息。

目前常见的方法有如下两种：其一，通过告警的目标主机、攻击者、告警时间等单一或多个字段进行聚合关联，如将某一个时间段内来自于同一攻击者的告警聚合关联在一起；其二，将告警的攻击者或者目标主机作为有向图的节点，将一个时间段内所有告警生成一个有向图，将生成一个连通分量的所有告警聚合关联在一起。

对于上述两种常见的方法，第一种仅仅是简单地将告警通过某些特征筛选到一起，本质上是一种对数据的条件筛选方法，并不具备真正的聚合关联的业务意义，对安全运营工作的帮助很有限；第二种利用有向图的生成，将某个告警的目标主机可能是另一个告警的攻击者的情况表达了出来，但这里的时间范围选择必须折衷考虑，如果时间范围选择过大，则可能将多次攻击行为都聚合关联在了一起，且需要消耗较多的告警查询性能；如果时间范围选择过小，则可能无法将一次的攻击行为的多个步骤关联聚合起来，最终生成的有向图仅仅是多个不连通的节点，无法起到聚合关联的效果。

所以，现在本领域的技术人员亟需要一种安全事件告警关联聚合方法，解决目前在进行安全事件告警关联时，对于时间范围的取值不好把握，当选择过大时容易出现将多次攻击行为都聚合关联在一起的问题。

发明内容

本申请的目的是提供一种安全事件告警关联聚合方法、装置及其介质，以解决目前在进行安全事件告警关联时，对于时间范围的取值不好把握，当选择过大时容易出现将多次攻击行为都聚合关联在一起的问题。

为解决上述技术问题，本申请提供一种安全事件告警关联聚合方法，包括：

根据预设的时间范围从安全设备中查询时间范围内的所有告警信息；

遍历所有告警信息，以生成有向图；其中，对于每一告警信息：若告警信息的攻击者和目标主机均未出现在有向图中，则以攻击者和目标主机作为有向图的节点，在攻击者到目标主机之间生成有向图的边；若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段晚于攻击者其中的一个入度边，则将目标主机作为有向图的节点，并在攻击者与目标主机之间生成边；若仅目标主机出现在有向图中，且该告警信息对应的攻击阶段早于目标主机其中的一个出度边，则将攻击者作为有向图的节点，并在攻击者与目标主机之间生成边；

返回有向图。

优选的，在若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段晚于攻击者其中的一个入度边，以及若仅目标主机出现在有向图中，且该告警信息对应的攻击阶段早于目标主机其中的一个出度边之后，还包括：

扩大时间范围，并以新的时间范围返回至根据预设的时间范围从安全设备中查询时间范围内的所有告警信息。

优选的，遍历所有告警信息，以生成有向图还包括：

若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段早于攻击者其中的一个入度边，或仅目标主机出现在有向图中，且该告警信息对应的攻击阶段晚于目标主机其中的一个出度边，则该告警信息单独作为一个子有向图生成。

优选的，扩大时间范围，并以新的时间范围返回至根据预设的时间范围从安全设备中查询时间范围内的所有告警信息包括：

扩大时间范围，以时间范围的增量作为新的时间范围，返回至根据预设的时间范围从安全设备中查询时间范围内的所有告警信息。

优选的，扩大时间范围包括：

以指数级增长的方式扩大时间范围。

优选的，扩大时间范围包括：

以线性增长的方式扩大时间范围。

优选的，有向图中的边标注有攻击阶段。

为解决上述技术问题，本申请还提供一种安全事件告警关联聚合装置，包括：

告警信息获取模块，用于根据预设的时间范围从安全设备中查询时间范围内的所有告警信息；

有向图生成模块，用于遍历所有告警信息，以生成有向图；其中，对于每一告警信息：若告警信息的攻击者和目标主机均未出现在有向图中，则以攻击者和目标主机作为有向图的节点，在攻击者到目标主机之间生成有向图的边；若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段晚于攻击者其中的一个入度边，则将目标主机作为有向图的节点，并在攻击者与目标主机之间生成边；若仅目标主机出现在有向图中，且该告警信息对应的攻击阶段早于目标主机其中的一个出度边，则将攻击者作为有向图的节点，并在攻击者与目标主机之间生成边；

有向图返回模块，用于返回有向图。

为解决上述技术问题，本申请还提供一种安全事件告警关联聚合装置，包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现如上述的安全事件告警关联聚合方法的步骤。

为解决上述技术问题，本申请还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述的安全事件告警关联聚合方法的步骤。

本申请提供的一种安全事件告警关联聚合方法，通过遍历所有告警信息以生成对应的有向图，与现有的告警关联方法相比，本申请引入告警信息中的攻击阶段这一概念。对于各个安全设备而言，其不能直接将攻击告警进行归类分组，但是很多安全设备都可以根据攻击的特征，判断此次攻击在一组攻击中所处的阶段。容易知道的是，由于从资产到资产到资产的攻击告警有时并不独立，会涉及到多个资产的多个攻击告警共同构成一次完整的攻击行为，也即通过有向图各边表示的攻击行为应是根据攻击阶段顺次建立的有向图。若存在新的攻击者对于有向图中已有的目标主机的攻击阶段早于该目标主机的任一条入度边(即指向目标主机的边)，说明该攻击行为不必可能是当前有向图中所表示的一组攻击行为之一；同理，若存在已有攻击者向新的目标主机的攻击行为，若该攻击行为晚于该攻击者的任一条出度边(即从攻击者指出的边)，也说明该攻击行为不是当前有向图所表示的一组攻击行为中的一个。故本申请所提供的一种安全事件告警关联聚合方法可以有效地解决当时间范围过大时，有向图中可能出现其他组攻击行为的问题，有助于对运维人员掌握具体某一组攻击行为的攻击特征，以确定关键告警信息，而不会被其他组攻击行为干扰。

本申请提供的安全事件告警关联聚合装置、及计算机可读存储介质，与上述方法对应，效果同上。

附图说明

为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为安全事件告警关联聚合法的逻辑框图；

图2为告警信息生成有向图的示意图；

图3为告警信息生成有向图的另一种示意图；

图4为本发明提供的一种安全事件告警关联聚合方法的流程图；

图5为现有的关联聚合方法所生成的有向图；

图6为本发明提供的添加告警信息1对应的有向图；

图7为本发明提供的添加告警信息2对应的有向图；

图8为本发明提供的添加告警信息3对应的有向图；

图9为本发明提供的添加告警信息4对应的有向图；

图10为本发明提供的添加告警信息5对应的有向图；

图11为本发明提供的添加告警信息6对应的有向图；

图12为本发明提供的添加告警信息7对应的有向图；

图13为本发明提供的添加告警信息8对应的有向图；

图14为本发明提供的添加告警信息9对应的有向图；

图15为本发明提供的一种安全事件告警关联聚合装置的结构图；

图16为本发明提供的另一种安全事件告警关联聚合装置的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本申请保护范围。

本申请的核心是提供一种安全事件告警关联聚合方法、装置及其介质。

为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。

目前，在进行安全事件告警的关联聚合时，通常先通过告警时间进行筛选，获取指定时间范围内的告警信息，认为此部分告警信息为预期关联聚合的一组攻击行为。进一步的，再利用有向图的方法，将攻击行为的顺序、经过节点表示出来，从而实现安全事件告警的关联聚合，逻辑架构图如图1所示，从安全设备处获取原始未作处理的告警日志，通过有向图的方式进行聚合关联，最终获取聚合后的告警日志以便于运维人员分析关键告警信息。

具体的，如图2所示，为一条告警信息对应的有向图，在告警信息中至少包括本次攻击行为的攻击者A、被攻击的目标主机B，故用一条由节点A指向节点B的一条边表示该次攻击行为。

对于多条告警信息生成的有向图与上述同理，例如如图3所说的一种有向图，除去图2中对应的告警信息，还包括另一条告警信息——节点B指向节点C。

并且，还需要说明的是，虽然目前的安全设备无法直接将告警信息进行关联聚合，但很多安全设备都可以根据攻击行为的特征判断一次攻击在一组攻击中所处的攻击阶段，如图3所示，节点A指向节点B在其所属的一组攻击行为中所处的攻击阶段为1、节点B指向节点C在其所属的一组攻击行为中所处的攻击阶段为3；攻击阶段的值越小说明该该攻击行为进行的越早。

由于对于一组攻击行为不是每一次攻击都能检测到，故表示攻击阶段的数字并不一定连续。还需要说明的是，每一告警信息都应包含发生攻击行为时的时间，用于根据时间范围从众多的告警信息中进行筛选，但不代表攻击时间与攻击阶段有关，攻击阶段是通过攻击行为的特征分析出来的。

基于上述，本申请为解决目前在通过有向图关联聚合告警信息时对于时间范围的选取过于严格，取值过小则不能起到聚合关联的效果，取值过大则容易将多组攻击行为关联起来，浪费告警查询性能的同时也对分析关键告警信息产生一定干扰，提供一种安全事件告警关联聚合方法，如图4所示，包括：

S10：根据预设的时间范围从安全设备中查询时间范围内的所有告警信息。

有上述可知，安全设备返回的告警信息包括告警时间，则可通过时间作为条件对告警信息进行筛选，获取所需的告警信息。

S20：遍历所有告警信息，以生成有向图。其中，对于每一告警信息：若告警信息的攻击者和目标主机均未出现在有向图中，则以攻击者和目标主机作为有向图的节点，在攻击者到目标主机之间生成有向图的边；若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段晚于攻击者其中的一个入度边，则将目标主机作为有向图的节点，并在攻击者与目标主机之间生成边；若仅目标主机出现在有向图中，且该告警信息对应的攻击阶段早于目标主机其中的一个出度边，则将攻击者作为有向图的节点，并在攻击者与目标主机之间生成边。

具体的，步骤S20可看成由三个条件触发的子步骤实现的，包括：

S21：若告警信息的攻击者和目标主机均未出现在有向图中，则以攻击者和目标主机作为有向图的节点，在攻击者到目标主机之间生成有向图的边；

S22：若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段晚于攻击者其中的一个入度边，则将目标主机作为有向图的节点，并在攻击者与目标主机之间生成边；

S23：若仅目标主机出现在有向图中，且该告警信息对应的攻击阶段早于目标主机其中的一个出度边，则将攻击者作为有向图的节点，并在攻击者与目标主机之间生成边。

步骤S21至步骤S23之间无先后顺序关系，根据当前告警信息满足于上述某一种条件触发执行上述步骤的其中之一。对于不在上述任意一种情况中的告警信息，可认为其不是该组攻击行为中的一条攻击行为，可以丢弃或另作处理，本实施例对此不做限制。

S30：返回有向图。

对于不在步骤S21至步骤S23中的情形，除去丢弃该条告警信息之外，本实施例还提供一种优选的实施方案：

S24：若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段早于攻击者其中的一个入度边，或仅目标主机出现在有向图中，且该告警信息对应的攻击阶段晚于目标主机其中的一个出度边，则该告警信息单独作为一个子有向图生成。

由上述可知，对于不满足步骤S21至步骤S23中情形的告警信息，由上述可知该条告警信息不在当前组攻击行为之中，故未做区分防止干扰运维人员判断，将其另做有向图，可以是独立于本有向图之外的有向图，也可以如本实施例所示，是在本有向图之内的一子有向图。

进一步的，由上述可知，本申请是通过各告警信息所对应的攻击阶段对告警信息进行关联聚合，所以，本实施例基于此还提供一种优选的实施方案：

有向图中的边标注有攻击阶段。

标注了攻击阶段的有向图如图3所示，以方便运维人员得知有向图中各边对应的攻击阶段，从而有利于运维人员更好地掌握当前攻击行为的情况，为找到关键告警信息带来帮助。

本实施例所提供的一种安全事件告警关联聚合方法，利用同一组攻击行为的攻击阶段必然是顺次进行的这一特征，在根据告警信息生成对应的有向图时，仅将满足上述特征的告警信息进行关联聚合，从而实现了在有向图的生成中，仅会生成同一组攻击行为的有向图，避免了有向图中出现多组攻击行为对运维人员所带来的干扰，在时间范围的取值时也可以更加灵活，取值稍大也不会影响运维人员对关键告警信息的判断，实现更好的关联聚合效果。

进一步的，基于上述实施例的基础上，本实施例还提供一种优选的实施方案，在步骤S22和步骤S23之后，还包括：

S25：扩大时间范围，并以新的时间范围返回至根据预设的时间范围从安全设备中查询时间范围内的所有告警信息。

本实施例的目的在于，步骤S21所对应的情况通常发生在一组攻击行为的开始，或该组攻击行为就包含一条攻击行为，此时无需过大的时间范围；而步骤S22和步骤S23所对应的情况都是对当前组攻击行为的扩展，也即该组攻击行为包含多条攻击行为，需要稍大一些的时间范围来保证获取到足够的告警信息，故扩大时间范围重新进行告警信息的获取。在本实施例所提供的优选方案下，第一次设置的时间范围无需很大，稍小一些也不会出现仅有多个不连通节点的问题，使得时间范围的取值更加灵活。

需要说明的是，重新进行获取扩大后的时间范围内的告警信息时，可以对该时间范围内所有的告警信息进行获取(即上述已生成有向图的告警信息重复获取)，但本实施例优选仅获取时间范围增量的告警信息。示例性的，设原有时间范围为0-T，扩大后的时间范围为0-2T，则重新返回至步骤S10以获取告警信息时可以获取0-2T的告警信息，也可获取T-2T的告警信息，本实施例对此不做限制，但优选获取T-2T的告警信息，对此部分告警信息生成有向图时叠加在原有有向图中即可。

此外，对于时间范围的扩大方式，可以通过线性增长的方式进行扩大，也可通过指数级增长的方式进行扩大，又或者是其他形式的扩大方法，本实施例对此不做限制，同样以指数级增长的扩大方式为最佳，线性其次，这样的扩大方式更贴合实际一组攻击行为的行为习惯，对于实现不丢失攻击行为这一目的上有更好的表现。

需要说明的是，通过指数级增长的扩大方式，则对于时间T的扩大方式可如下式所示：

T＝T*2^n；

其中，n即为步骤S10的重复次数。

本实施例所提供的一种优选方案，通过在有向图中已有当前告警信息中的节点时，可认为该组攻击行为不仅包含一条攻击行为，对时间范围进行扩大处理，并重新获取新的时间范围内的告警信息，以在保证不丢失该组攻击行为的同时，使时间范围取值更灵活，时间范围取值可以取的稍小。若该组攻击行为仅包含一条攻击行为，则不会扩大时间范围，通过较小的时间范围可以有效地减少告警查询性能的消耗，而若该组攻击行为包含多条攻击行为，也会通过扩大时间范围并重新获取告警信息保证攻击行为不至于丢失，有效地解决时间范围取值要求苛刻的问题。

为清楚地说明上述实施例所提供的一种安全事件告警关联聚合方法，本实施例结合实例做出进一步说明：

设本次告警关联聚合的最初时间范围为0-T，共检测到了8次攻击：

1、由节点A指向节点B，攻击阶段为5；

2、由节点B指向节点C，攻击阶段为4；

3、由节点B指向节点D，攻击阶段为7；

4、由节点B指向节点E，攻击阶段为8；

5、由节点B指向节点F，攻击阶段为8；

6、由节点F指向节点G，攻击阶段为9；

7、由节点B指向节点F，攻击阶段为4；

8、由节点H指向节点F，攻击阶段为2；

对于当前这一应用场景，使用目前惯用的关联聚合方法得到的有向图如图5所示，容易看出，由目前惯用关联聚合方法生成的有向图中包含多组不同的攻击行为，为运维人员找到关键告警信息带来一定困难。

而对于本申请所提供的一种安全事件告警关联聚合方法，首先，对上述获取到的各个告警信息进行逐个分析：

对于告警信息1，此时有向图为空，符合上述实施例中步骤S21的情况，此时直接生成对应的节点和边，生成后的有向图如图6所示。

对于告警信息2，此时节点B已经在有向图中，且节点B的出度边的攻击阶段小于入度边的攻击阶段，符合上述实施例中步骤S24的情况，则此条告警信息另做一个子有向图生成，为作区分，该子有向图的节点B用B1表示，生成后的有向图如图7所示，以每一子有向图的起点节点名称为其命名，则当前有向图中包含两个子有向图，图A和图B1。

对于告警信息3，在子有向图A中，节点B已存在，且节点B的出度边对应的攻击阶段大于入度边，符合上述实施例中步骤S22的情况，则可以添加到子有向图A中，添加后的有向图如图8所示。

对于告警信息4，与上述告警信息3同理，符合步骤S22的情况，可添加至子有向图A中，添加后的有向图如图9所示。

对于告警信息5，也与上述告警信息3同理，符合步骤S22的情况，可添加至子有向图A中，添加后的有向图如图10所示。

对于告警信息6，在子有向图A中，节点F已存在，且节点F的出度边对应的攻击阶段大于入度边，符合上述实施例中步骤S22的情况，则可以添加到子有向图A中，添加后的有向图如图11所示。

对于告警信息7，此时节点B已存在，但对于任意子有向图而言，节点B都不满足出度边的攻击阶段晚于任一入度边的情况，所以仍符合上述实施例中步骤S24中的情况，另生成一子有向图，为作区分，节点B用B2表示，节点F用F1表示，该子有向图即为图B2，对应的有向图如图12所示。

对于告警信息8，此时现有的三个子有向图中无节点H，且该条告警信息对应的边为节点H的出度边(或者说对于节点F而言没有出度边)，所以符合上述实施例中的步骤S24所对应的情况，另生成一子有向图H，节点F用F2表示，对应的有向图如图13所示。

在上述过程中，于时间范围0-T内共生成4个子有向图(图A、图B1、图B2和图H)，也即，上述的8条告警信息根据有向图的划分，划分成4组攻击行为。

考虑到上述过程中存在触发步骤S22和步骤S23的情况，说明存在一组攻击行为包含多条告警信息，所以为保证尽可能全面的进行该组攻击行为的关联聚合，应扩大时间范围，根据指数级的增长，新得到的时间范围为0-2T，考虑到不在重复获取相同的告警信息，仅对时间范围T-2T的告警信息进行再获取，设获取到新的告警信息9：由节点H指向节点A，攻击阶段为2。

对于告警信息9，此时由于节点A为子有向图A中已有节点，且节点A满足入度边的攻击阶段小于任意出度边的攻击阶段，故该条告警信息可加入到子有向图A中，对应的有向图如图14所示。

此时，对于告警信息9，符合步骤S23的情况，应再次扩大时间范围到0-4T，并重新获取告警信息，由于后续流程与上述大同小异，本实施例在此不做赘述。

在上述实施例中，对于一种安全事件告警关联聚合方法进行了详细描述，本申请还提供一种安全事件告警关联聚合装置对应的实施例。需要说明的是，本申请从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。

基于功能模块的角度，如图15所示，本实施例提供一种安全事件告警关联聚合装置，包括：

告警信息获取模块11，用于根据预设的时间范围从安全设备中查询时间范围内的所有告警信息；

有向图生成模块12，用于遍历所有告警信息，以生成有向图；其中，对于每一告警信息：若告警信息的攻击者和目标主机均未出现在有向图中，则以攻击者和目标主机作为有向图的节点，在攻击者到目标主机之间生成有向图的边；若仅攻击者出现在有向图中，且该告警信息对应的攻击阶段晚于攻击者其中的一个入度边，则将目标主机作为有向图的节点，并在攻击者与目标主机之间生成边；若仅目标主机出现在有向图中，且该告警信息对应的攻击阶段早于目标主机其中的一个出度边，则将攻击者作为有向图的节点，并在攻击者与目标主机之间生成边；

有向图返回模块13，用于返回有向图。

由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。

图16为本申请另一实施例提供的一种安全事件告警关联聚合装置的结构图，如图16所示，一种安全事件告警关联聚合装置包括：存储器20，用于存储计算机程序；

处理器21，用于执行计算机程序时实现如上述实施例一种安全事件告警关联聚合方法的步骤。

本实施例提供的一种安全事件告警关联聚合装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。

其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理器(DigitalSignalProcessor，DSP)、现场可编程门阵列(Field－ProgrammableGateArray，FPGA)、可编程逻辑阵列(ProgrammableLogicArray，PLA)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(CentralProcessingUnit，CPU)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以集成有图像处理器(GraphicsProcessingUnit，GPU)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括人工智能(ArtificialIntelligence，AI)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的一种安全事件告警关联聚合方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于一种安全事件告警关联聚合方法等。

在一些实施例中，一种安全事件告警关联聚合装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。

本领域技术人员可以理解，图16中示出的结构并不构成对一种安全事件告警关联聚合装置的限定，可以包括比图示更多或更少的组件。

本申请实施例提供的一种安全事件告警关联聚合装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：一种安全事件告警关联聚合方法。

最后，本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。

可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(RandomAccessMemory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本申请所提供的一种安全事件告警关联聚合方法、装置及其介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。