安全事件处理方法与流程

本发明涉及安全运营领域，具体而言，涉及一种安全事件处理方法。

背景技术：

对于SOC平台多客户端处理事件，服务器端必须实时将不同过滤器的事件发送到每个客户端的活动频道，以便每个客户端显示并响应事件，这样就必然大幅增加服务器的资源占用。如果客户端过多，每个客户端都实时从服务器段获取事件，这样就会影响平台维护用户进行其他的配置操作，也会大大影响系统的运行速度，甚至影响日志关联分析引擎的正常工作。再者，对于SOC平台多客户端处理事件，由于数据量巨大，且原始日志和事件以文件方式混合存储，较容易触发数据归档条件，因此，无法对事件进行跟进和回溯。

技术实现要素：

有鉴于此，本发明实施例的目的在于提供一种安全事件处理方法，以解决上述问题。

第一方面，本发明实施例提供一种安全事件处理方法，所述方法包括：定时获取安全运营中心生成的安全事件；将所述安全事件映射为对应的安全事件记录，其中，每个所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号；接收浏览器发送的第一调查请求，所述第一调查请求中包括用户帐号，将所述用户帐号对应的安全事件记录发送到所述浏览器。

第二方面，本发明实施例提供一种安全事件处理方法，所述方法包括：向服务器发送第一调查请求，所述第一调查请求中包括用户帐号；接收所述服务器返回的第一响应信息，所述第一响应信息中包括所述用户帐号对应的安全事件记录，其中，每个所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号。

与现有技术相比，本发明实施例提供的一种安全事件处理方法，通过将定时获取安全运营中心采集的安全事件映射为对应的安全事件记录，解决了SOC平台上将原始日志和事件混合存储导致的无法对事件进行跟进和回溯的问题；用户可以使用浏览器进行访问，并可以根据预设字段，简单快捷的搜索到自己需要调查的事件；采用B/S结构模式(Browser/Server，浏览器/服务器模式)，使得用户终端不需要安装客户端，可以直接通过浏览器来访问服务端，由于不需要使用客户端连接服务端进行多频道事件监控，大大降低了服务器端的内存资源占用和性能影响。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明实施例提供的一种服务器与用户终端交互的示意图。

图2是本发明实施例提供的服务器的结构示意图。

图3是本发明第一实施例提供的一种安全事件处理方法的流程图。

图4是本发明第一实施例提供的一种安全事件处理方法中步骤S400的流程图。

图5是本发明第一实施例提供的一种安全事件处理方法中步骤S500的流程图。

图6是本发明第一实施例提供的一种安全事件处理方法中步骤S530的流程图。

图7是本发明第一实施例提供的一种安全事件处理方法中步骤S700的流程图。

图8是本发明第二实施例提供的一种安全事件处理方法的流程图。

图9是本发明第二实施例提供的一种安全事件处理方法中步骤S900的流程图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性或时间先后。

如图1所示，是本发明实施例提供的服务器200与用户终端100进行交互的示意图。所述服务器200通过网络300与一个或多个用户终端100进行通信连接，以进行数据通信或交互。所述服务器200可以是网络服务端、数据库服务端等。所述用户终端100可以是个人电脑(personal computer，PC)、平板电脑、智能手机、个人数字助理(personal digital assistant，PDA)等。

于本发明实施例中，所述服务器200中安装有服务端，所述用户终端中安装有浏览器，用户可以通过浏览器登录不同的帐号，获得不同的服务。

如图2所示，是所述服务器200的方框示意图。所述服务器200包括存储器201、处理器202以及网络模块203。

存储器201可用于存储软件程序以及模块，如本发明实施例中的应用专题推荐方法及装置对应的程序指令/模块，处理器202通过运行存储在存储器201内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现本发明实施例中的安全事件处理方法。存储器201可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。进一步地，上述存储器201内的软件程序以及模块还可包括：操作系统221以及服务模块222。其中操作系统221，例如可为LINUX、UNIX、WINDOWS，其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动，并可与各种硬件或软件组件相互通讯，从而提供其他软件组件的运行环境。服务模块222运行在操作系统221的基础上，并通过操作系统221的网络服务监听来自网络的请求，根据请求完成相应的数据处理，并返回处理结果给客户端。也就是说，服务模块222用于向客户端提供网络服务。

网络模块203用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。

可以理解，图2所示的结构仅为示意，所述服务器200还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。另外，本发明实施例中的服务器还可以包括多个具体不同功能的服务器。

于本发明实施例中，用户终端100中安装有客户端，该客户端可以是第三方应用软件，例如应用商店，与服务器(Server)端相对应，共同遵循同一套数据协议，使得服务端跟客户端能够互相解析出对方的数据，为用户提供应用专题推荐服务。

图3示出了本发明第一实施例提供的一种安全事件处理方法的流程图，请参阅图3，本实施例描述的是服务端的处理流程，所述方法包括：

步骤S400，定时获取安全运营中心生成的安全事件。

请参阅图4，作为一种实施方式，所述步骤S400可以包括：

步骤S410，设置安全事件过滤规则。

其中，所述安全事件过滤规则可以设置为动态时间事件过滤器，即增加一个过滤器，开始时间和结束时间设置为动态时间，方式设置为滚动展示。

步骤S420，根据所述安全事件过滤规则，定时获取安全运营中心生成的安全事件。

当SOC(Security Operation Center，安全运营中心)调用该过滤器时，动态获取指定时间区间的事件。

步骤S500，将所述安全事件映射为对应的安全事件记录，其中，所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号。

其中，所述多个预设字段的实施方式有多种，根据所述多个预设字段的不同实施方式，所述步骤S500的实施方式也不同。

作为一种实施方式，请参阅图5，所述步骤S500可以包括：

步骤S510，将所述安全事件根据事件编号字段进行去重处理，获得剩余的安全事件。

可以理解的是，从SOC平台获取到的安全事件中可能会有重复的安全事件，首先根据事件编号字段进行去重处理，保证事件唯一性，并且能够节省后续生成安全事件记录的运算时间，减轻运算量。

步骤S520，将所述剩余的安全事件进行解析，提取所述预设字段对应的值，生成对应的安全事件记录。

从SOC平台获取到的安全事件的是以XML格式组织的，可以采用Dom4j进行解析，并根据预设字段，提前对应预设字段对应的值。

优选的，所述预设字段设置的实施方式有多种，可以还包括事件编号字段，事件攻击源地址字段，目标地址字段，设备地址字段，事件详情字段，事件归属字段，事件来源字段以及区域字段等。

解析时，将各个安全事件的区域字段的值都设置为默认值，例如，设置为总部的识别号。

步骤S530，将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值分别与预设资源表进行匹配，根据匹配结果，确定所述区域字段的值，其中，所述预设资源表中存储有总部及各组织对应的网段或IP地址。

优选的，可以将总部及各组织对应的网段或IP地址分别与其对应的组织，应用描述、责任人、物理位置等多种信息一一映射并存储在所述预设资源表，这样根据预设字段与预设资源表进行匹配的方式将更多，也进一步使得匹配的结果更准确。

作为一种实施方式，请参照图6，步骤S530可以包括：

步骤S531，将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值分别与所述总部对应的网段或IP地址进行匹配，若其中一个匹配成功，则所述区域字段的值为所述总部的识别号。

可以理解的是，总部是具有更高优先级的组织，因此，首先将所述三个字段的值分别与总部对应的网段或IP地址，若这三个字段的值中有一个字段的值与总部对应的网段或IP地址匹配成功，则所述区域字段的值为所述总部的识别号，此时匹配结束。若解析时，将各个安全事件的区域字段的值都设置为默认值，其中默认值为总部对应的网段或IP地址时，此时就不需要修改区域字段的值。

步骤S532，若均匹配失败，将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值依次分别与所述各组织对应的网段或IP地址进行匹配，若能匹配成功，则所述区域字段的值为所述匹配成功的网段或IP地址对应的组织的识别号。

通过步骤S532的处理，若能匹配成功，则所述区域字段的值为所述匹配成功的网段或网址对应的组织的识别号，这种方式使得服务器能够根据区域字段对安全事件进行自动分单。

当然，可以理解的是，步骤S532只是其中一种实施方式，所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值与所述各组织对应的网段或IP地址匹配的顺序可以交换，并不局限于此。

作为另一种实施方式，可以预先将各个安全事件的区域字段的值都设置为默认值，其中默认值为总部对应的网段或IP地址时。此时，将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值依次分别与所述各组织对应的网段或IP地址进行匹配，若能匹配成功，则所述区域字段的值为所述匹配成功的网段或IP地址对应的组织的识别号，若匹配失败，则所述区域字段的值为默认值。

对于所述总部对应的网段或IP地址较多或者杂乱无章，不易匹配时，这种实施方式能够提高匹配的速度。

步骤S540，根据所述区域字段的值以及预设分单规则，确定所述归属字段的值。

其中，所述预设分单规则中可以预先将区域字段的值，即总部及各组织的识别号分别与其事件负责人帐号的账户映射管理起来。

根据所述区域字段的值，查找所述预设分单规则中对应的事件负责人帐号，将所述归属字段的值设置为所述对应的事件负责人帐号。

进一步的，服务可以对用户及权限进行管理，对安全事件调查用户和权限进行定义，每个组织可以定义一个或多个用户，支持多用户同时登录并在线处理事件。

步骤S600，接收浏览器发送的第一调查请求，所述第一调查请求中包括用户帐号，将所述用户帐号对应的安全事件记录发送到所述浏览器。

优选的，当所述多个预设字段还包括事件状态字段时，所述方法还可以包括步骤S700。其中，所述事件状态字段的值包括待响应状态、待跟进状态、待审核状态或者已关闭状态。

请参阅图7，所述步骤S700可以包括：

步骤S710，接收浏览器发送的第二调查请求，所述调查请求中包括用户帐号及预设字段及所述预设字段对应的值。

步骤S720，向所述浏览器返回第二响应，所述第二响应中包括所述用户帐号下满足所述预设字段的值的安全事件记录。

步骤S730，接收所述浏览器发送的修改状态指令，所述修改状态指令包括待修改安全事件记录识别号及所述事件状态字段的值。

步骤S740，将待修改安全事件记录识别号对应的安全事件记录的事件状态字段的值修改为所述事件状态字段的值。

本发明实施例提供的安全事件处理方法，通过将定时获取安全运营中心生成的安全事件映射为对应的安全事件记录，解决了SOC平台上将原始日志和事件混合存储导致的无法对事件进行跟进和回溯的问题；用户可以使用浏览器进行访问，并可以根据预设字段，简单快捷的搜索到自己需要调查的事件；采用B/S结构模式(Browser/Server，浏览器/服务器模式)，使得用户终端不需要安装客户端，可以直接通过浏览器来访问服务端，由于不需要使用客户端连接服务端进行多频道事件监控，大大降低了服务器端的内存资源占用和性能影响。进一步的，预设了多个字段，完善了安全事件属性，使得用户能够通过浏览器简单快捷的掌握更多安全事件调查所需的信息；并且将安全事件集中化保存，并且保存期限长，有利于历史安全事件回溯及大数据的分析；且增加了事件调查流程处理，实现事件调查状态的流转。

图8示出了本发明第二实施例提供的一种安全事件处理方法的流程图，请参阅图8，本实施例描述的是服务端的处理流程，所述方法包括：

步骤S810，向服务器发送第一调查请求，所述第一调查请求中包括用户帐号。

步骤S820，接收所述服务器返回的第一响应信息，所述第一响应信息中包括所述用户帐号对应的安全事件记录，其中，每个所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号。

优选的，当所述多个预设字段包括事件状态字段时，所述方法还包括步骤S900。

其中，所述事件状态字段的值包括待响应状态、待跟进状态、待审核状态或者已关闭状态。

请参阅图9，所述步骤S900可以包括：

步骤S910，向服务器发送第二调查请求，所述调查请求中包括用户帐号及预设字段的值；

步骤S920，接收服务器返回的第二响应信息，所述第二响应信息中包括所述用户帐号下满足所述预设字段的值的安全事件记录；

步骤S930，发送修改状态指令，所述修改状态指令包括待修改安全事件记录识别号及所述事件状态字段的值，以使所述服务器接收到所述修改指令后，将所述待修改安全事件记录识别号对应的安全事件记录的事件状态字段的值修改为所述事件状态字段的值。

其中，安全事件映射为安全事件记录，并存储于数据库时，此时安全事件对应的状态为待响应状态，用户可以用自己的帐号通过浏览器登录到服务器，并根据事件状态字段的值，例如，查询待响应状态的安全事件，此时服务器根据所述事件状态字段的值，将所述用户帐号下满足预设字段为待响应状态的安全事件发送给对应的帐号。

当调查人员根据返回的安全事件进行响应后，表示已经有人再调查该事件，其它人无需重复调查。调查人员对事件响应后，可以通过浏览器发送事件参考查询请求，查看以前是否存在该类型该ip的类似事件的调查结果，能够更多的获取信息提高调查效率。

当用户通过浏览器对事件调查完成后，可以通过浏览器对调查结果进行填报，并将调查结果发送给服务器进行存储。如果未最终完成调查，此时用户可以通过浏览器将调查结果发送给服务器进行存储，并且发送修改状态指令，将所述事件状态字段的值修改为待跟进状态，直到最终完成调查后，用户可以通过浏览器将调查结果发送给服务器进行存储，并且发送修改状态指令，将所述事件状态字段的值修改为已关闭状态。如果在调查过程中，将所述安全事件与预设的审核规则进匹配，如果符合审核规则，则发送修改状态指令，将所述事件状态字段的值修改为待审核状态，如果通过审核，则发送修改状态指令，将所述事件状态字段的值修改为已关闭状态。

审核人员也可以用自己的审核员账号通过浏览器登录到服务器，查看对应的待审核状态的安全事件，如果通过审核，则发送修改状态指令，将所述事件状态字段的值修改为为已关闭状态。

通过这种方式，使得整个数据处理过程中内嵌了事件调查流程，实现事件调查状态的流转，更加方便用户对安全事件的查看和管理，提高了用户体验。

本发明实施例提供的安全事件处理方法，通过将定时获取安全运营中心生成的安全事件映射为对应的安全事件记录，解决了SOC平台上将原始日志和事件混合存储导致的无法对事件进行跟进和回溯的问题；用户可以使用浏览器进行访问，并可以根据预设字段，简单快捷的搜索到自己需要调查的事件；采用B/S结构模式(Browser/Server，浏览器/服务器模式)，使得用户终端不需要安装客户端，可以直接通过浏览器来访问服务端，由于不需要使用客户端连接服务端进行多频道事件监控，大大降低了服务器端的内存资源占用和性能影响。进一步的，预设了多个字段，完善了安全事件属性，使得用户能够通过浏览器简单快捷的掌握更多安全事件调查所需的信息进一步的，在整个数据处理过程中内嵌了事件调查流程，实现事件调查状态的流转，更加方便用户对安全事件的查看和管理，提高了用户体验。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

在本申请所提供的几个实施例中，应该理解到，所揭露的方法，也可以通过其它的方式实现。流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read－Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。