(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111405422.3 (22)申请日 2021.11.24 (71)申请人 杭州安恒信息安全技 术有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号1幢5层 (72)发明人 龙文洁　林华明　梁向阳　边森超　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 王晓芬 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0604(2022.01) (54)发明名称 一种安全告警显示方法、 系统、 装置及服务 器 (57)摘要 本发明公开了一种安全告警显示方法、 系 统、 装置及服务器， 该方案并没有采用现有技术 中只依据告警级别随机选取预设展示条数的安 全告警的方法， 而是引入与安全告警的告警级 别、 告警时间和告警源中的至少两种相关的影 响 力， 首先按照告警级别的高低从所有的终端安全 告警和流量安全告警中确定安全告警数据源， 随 后确定该安全告警数据源中每条安全告警对应 的影响力， 根据所有的安全告警的影 响力确定可 供展示的安全告警， 并最终确定用于展示的安全 告警。 该方案减少了因仅依 靠告警级别随机选取 展示的安全告警而易导致的重要的安全告警被 淹没的概率， 展示效率更高， 有助于开发人员或 用户读取并掌握网络中出现的安全告警以维护 网络安全。 权利要求书3页 说明书11页 附图2页 CN 114143054 A 2022.03.04 CN 114143054 A 1.一种安全告警显示方法， 其特 征在于， 包括： 根据告警级别从高到低的顺序从所有的终端安全告警中选取m条所述终端安全告警， m ≥1； 根据告警级别从高到低的顺序从所有的流量安全告警中选取n条所述流量安全告警， 以构成由m条所述 终端安全告警及n条所述流量安全告警组成的包含N条安全告警的安全告 警数据源， m+n ＝N， n≥1； 根据所述安全告警源中每条安全告警的告警特征确定每条所述安全告警的表征所述 安全告警的重要程度的影响力， 所述告警特征包括告警级别、 告警时间和告警源中的至少 两个； 根据所有的安全告警的影响力确定所有的安全告警中的可 供展示的安全告警； 根据可供展示的安全告警的影响力及预设展示条 数确定用于展示的安全告警。 2.如权利要求1所述的安全告警显示方法， 其特征在于， 所述告警特征包括告警级别、 告警时间和告警源时， 根据所述安全告警源中每条安全告警的告警特征确定每条所述安全 告警的表征 所述安全告警的重要程度的影响力， 包括： 根据第i条所述安全告警的告警级别确定第i条所述安全告警对应的告警级别权重C， 其中， 1≤i≤N， N条安全告警对应的C的加 和为第一预设阈值或乘积为第二预设阈值； 根据第i条所述安全告警的告警时间确定第i条所述安全告警对应的告警时间权重D， 其中， N条安全告警对应的D的加 和为第三预设阈值或乘积为第四预设阈值； 根据第i条安全告警的告警源确定第i条所述安全告警对应的告警源权重E， 其中， N条 安全告警对应的E的加 和为第五预设阈值或乘积为第六 预设阈值； 对于第i条 所述安全告警， 执 行如下步骤： 基于预设影响力关系式确定第i条 所述安全告警的影响力； 所述预设影响力关系式为影响力＝告警级别* C+告警时间*D+告警源* E。 3.如权利要求1所述的安全告警显示方法， 其特征在于， 根据所有的安全告警的影响力 确定所有的安全告警中的可 供展示的安全告警， 包括： 在第i条所述安全告警的影响力不小于所述预设影响力阈值时， 确定第 i条所述安全告 警为可供展示的安全告警； 在第i条所述安全告警的影响力小于所述预设影响力阈值时， 确定第 i条所述安全告警 为非可供展示的安全告警。 4.如权利要求1所述的安全告警显示方法， 其特征在于， 根据可供展示的安全告警的影 响力及预设展示条 数确定用于展示的安全告警， 包括： 将所有的可 供展示的安全告警的影响力按照从高到低的顺序排序； 从与所述影响力排序最高的对应的可供展示的安全告警开始顺序选择所述预设展示 条数的用于展示的安全告警。 5.如权利要求1所述的安全告警显示方法， 其特征在于， 根据所有的安全告警的影响力 确定所有的安全告警中的可 供展示的安全告警之前， 还 包括： 以S条安全告警为单位对所述安全告警数据源进行分组， 若最后剩余的安全告警的条 数a小于S， 则将剩余的a条安全告警作为一组， 共 得到X组， 其中， (X ‑1)*S+a＝N， 1≤S≤N且S 为整数， 0＜a＜S且a为整数， X为 不小于1的整数；权　利　要　求　书 1/3 页 2 CN 114143054 A 2根据第j个所述安全告警组合中所有的安全告警的影响力的加和确定第j个所述安全 告警组合对应的组合权重， 所述组合权重与所述影响力的加和呈正相关； 其中， 1≤j≤X， 所 有的组合权 重的加和为第七预设阈值或乘积为第八预设阈值； 根据所有的安全告警的影响力确定所有的安全告警中的可 供展示的安全告警， 包括： 对于第j个所述 安全告警组合中的第z条 所述安全告警， 1≤ z≤S， 执行如下步骤： 在第z条所述安全告警的影响力不小于所述预设影响力阈值时， 确定第z条所述安全告 警为第j个所述 安全告警组合中可 供展示的安全告警； 在第z条所述安全告警的影响力小于所述预设影响力阈值时， 确定第z条所述安全告警 为第j个所述 安全告警组合中非可 供展示的安全告警； 根据可供展示的安全告警的影响力及预设展示条 数确定用于展示的安全告警， 包括： 将所有的安全告警组合对应的组合权 重按照从大到小的顺序排序； 根据所有的组合权重的排序从与最大的组合权重对应的安全告警组合中的可供展示 的安全告警开始 依次选择 所述预设展示条 数的用于展示的安全告警。 6.如权利要求5所述的安全告警显示方法， 其特征在于， 根据所有的组合权重的排序从 与最大的组合权重对应的安全告警组合中的可供展示的安全告警开始依 次选择所述预设 展示条数的用于展示的安全告警， 包括： S11： 确定最大的组合权 重为当前待选择组合权 重； S12： 判断与所述当前待选择组合权重对应的安全告警组合中可供展示的安全告警的 条数是否不大于所述预设展示条 数， 若是， 进入S13； 若否， 进入S16； S13： 确定与所述当前待选择组合权重对应的安全告警组合中可供展示的安全告警全 部作为用于展示的安全告警； S14： 将当前待选择组合权 重之后的最大的组合权 重作为当前待选择组合权 重； S15： 判断与所述当前待选择组合权重对应的安全告警组合中可供展示的安全告警的 条数是否不大于剩余的预设展示条 数， 若是， 返回S13； 若否， 进入S17； S16： 将与所述当前待选择组合权重对应的安全告警组合中的可供展示的安全告警的 影响力按照从高到低的顺序排序， 并从与所述影响力排序最高的对应的可供展示的安全告 警开始顺序选择 所述预设展示条 数的用于展示的安全告警； S17： 将与所述当前待选择组合权重对应的安全告警组合中的可供展示的安全告警的 影响力按照从高到低的顺序排序， 并从与所述影响力排序最高的对应的可供展示的安全告 警开始顺序选择剩余的预设展示条 数的用于展示的安全告警。 7.如权利要求1至6任一项所述的安全告警显示方法， 其特征在于， 根据可供展示的安 全告警的影响力及预设展示条 数确定用于展示的安全告警之后， 还 包括： 控制显示屏显示用于展示的安全告警。 8.一种安全告警显示系统， 其特 征在于， 包括： 第一选取单元， 用于根据告警级别从高到低的顺序从所有的终端安全告警中选取m条 所述终端安全告警； 第二选取单元， 用于根据告警级别从高到低的顺序从所有的流量安全告警中选取n条 所述流量安全告警， 以构成由m条所述终端安全告警及n条所述流量安全告警组成的包含N 条安全告警的安全告警数据源；权　利　要　求　书 2/3 页 3 CN 114143054 A 3