一种安全事件处理方法、装置、电子设备及存储介质与流程

所属的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。与上述方法实施例基于同一发明构思，本发明实施例中还提供了一种电子设备。在该实施例中，电子设备的结构可以如图4所示，该电子设备例如为前述图1中的服务器102，如图4所示，本发明实施例中的电子设备包括至少一个处理器401，以及与至少一个处理器401连接的存储器402和通信接口403，本发明实施例中不限定处理器401与存储器402之间的具体连接介质，图4中是以处理器401和存储器402之间通过系统总线400连接为例，系统总线400在图4中以粗线用于表征，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。系统总线400可以分为地址总线、数据总线、控制总线等，为便于用于表征，图4中仅用一条粗线用于表征，但并不用于表征仅有一根总线或一种类型的总线。在本发明实施例中，存储器402存储有可被至少一个处理器401执行的指令，至少一个处理器401通过执行存储器402存储的指令，可以执行前述的安全事件处理方法中所包括的步骤。其中，处理器401是电子设备的控制中心，可以利用各种接口和线路连接整个故障检测设备的各个部分，通过运行或执行存储在存储器402内的指令以及调用存储在存储器402内的数据，可以实现电子设备的各种功能。可选的，处理器401可包括一个或多个处理单元，处理器401可集成应用处理器和调制解调处理器，其中，处理器401主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器401中。在一些实施例中，处理器401和存储器402可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。处理器401可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。存储器402作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器402可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random accessmemory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器402是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器402还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。通信接口403是能够用于进行通信的传输接口，可以通过通信接口403接收数据或者发送数据。此外，该电子设备还包括帮助电子设备内的各个器件之间传输信息的基本输入/输出系统(i/o系统)404、用于存储操作系统405、应用程序406和其他程序模块407的大容量存储设备408。基本输入/输出系统404包括有用于显示信息的显示器409和用于用户输入信息的诸如鼠标、键盘之类的输入设备410。其中显示器409和输入设备410都通过连接到系统总线400的基本输入/输出系统404连接到处理器401。其中，基本输入/输出系统404还可以包括输入输出控制器以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器还提供输出到显示屏、打印机或其他类型的输出设备。具体的，大容量存储设备408通过连接到系统总线400的大容量存储控制器(未示出)连接到处理器401。其中，大容量存储设备408及其相关联的计算机可读介质为该服务器包提供非易失性存储。也就是说，大容量存储设备408可以包括诸如硬盘或者cd-rom驱动器之类的计算机可读介质(未示出)。根据本发明的各种实施例，该电子设备还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即该电子设备可以通过连接在系统总线400上的通信接口403连接到网络411，或者说，也可以使用通信接口403来连接到其他类型的网络或远程计算机系统(未示出)。本发明实施例还提供一种计算机存储介质，其中，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行上述实施例安全事件处理方法的技术方案。本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行计算机程序时可实现上述实施例中安全事件处理方法的技术方案。本领域所属的技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序指令属于计算机程序，计算机程序可以存储于一计算机可读存储介质中，该计算机程序在执行时，执行包括上述方法实施例的步骤；可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。本发明的实施方式的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在计算装置上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中，远程计算装置可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算装置，或者，可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

背景技术：

1、目前，随着网络技术的不断发展，网络安全问题也不断增加。在各类网络安全保障活动中，安全事件的处理至关重要。

2、然而，相关技术中在进行安全事件的处理时，需要网络安全管理人员结合自身经验分析后确定将安全事件派发给哪个网络安全人员处理，导致对安全事件的处理效率较低。

技术实现思路

1、本发明实施例的目的是提供一种安全事件处理方法、装置、电子设备及存储介质，用于提高处理安全事件的效率。

2、第一方面，本发明实施例提供一种安全事件处理方法，应用于安全事件处理平台，所述方法包括：

3、接收与所述安全事件处理平台连接的各个业务平台发送的各个安全事件，并确定所述各个安全事件分别对应的事件类型；

4、根据所述各个事件类型，分别确定每个所述安全事件对应的流程处理文件；

5、确定执行每个所述流程处理文件中节点对应的子事件的目标参数；其中，所述目标参数包括执行对应的子事件所需的技能；

6、确定注册于所述安全事件处理平台中的各个网络安全人员对应的技能参数；

7、根据所述各个网络安全人员对应的技能参数和所述目标参数，确定执行每个所述子事件的目标网络安全人员。

8、在一种可能的实施方式中，确定注册于所述安全事件处理平台中的各个网络安全人员对应的技能参数，包括：

9、确定注册于所述安全事件处理平台中各个网络安全人员的注册信息；每个注册信息包括对应的网络安全人员已掌握技能对应的第一评分值和项目经验中使用过的技能对应的第二评分值；

10、根据所述第一评分值以及所述第二评分值，确定所述各个网络安全人员对应的初始评分值，将确定的所述初始评分值作为对应的网络安全人员的技能参数；或者，

11、确定注册于所述安全事件处理平台中各个网络安全人员，在所述安全处理平台中处理安全事件使用过的技能对应的动态评分值；

12、将确定的所述动态评分值，作为各个网络安全人员对应的技能参数。

13、在一种可能的实施方式中，根据所述各个网络安全人员对应的技能参数和所述目标参数，确定执行每个所述子事件的目标网络安全人员，包括：

14、针对每个子事件，分别执行以下操作：

15、根据预设处理方式，对各个所述网络安全人员对应的技能参数和所述子事件的目标参数，执行技能覆盖率计算处理，获得各个所述网络安全人员对应的技能覆盖率；

16、根据获得的所述技能覆盖率，以及各个所述网络安全人员对应的历史评价值和工作饱和度，确定各个所述网络安全人员与所述子事件的匹配率；

17、根据预设筛选条件和各个所述网络安全人员对应的匹配率，确定目标网络安全人员。

18、在一种可能的实施方式中，如果网络安全人员未执行过安全事件，则基于以下公式获得技能覆盖率：

19、

20、其中，cover用于表征网络安全人员对应的技能覆盖率；m用于表征执行子事件所需技能与网络安全人员已掌握技能相同的数量；用于表征网络安全人员对应的初始评分值；pi用于表征安全事件所需技能的权重；n用于表征安全事件所需技能的数量；q用于表征网络安全人员已掌握技能的数量。

21、在一种可能的实施方式中，如果网络安全人员执行过安全事件，则基于以下公式获得技能覆盖率；

22、

23、其中，cover用于表征网络安全人员对应的技能覆盖率；m用于表征执行子事件所需技能与网络安全人员已掌握技能相同的数量；用于表征对网络安全人员对应的动态评分值；pi用于表征安全事件所需技能的权重；n用于表征安全事件所需技能的数量；q用于表征网络安全人员已掌握技能的数量。

24、在一种可能的实施方式中，每个所述网络安全人员与所述子事件的匹配率基于以下公式确定：

25、m＝cover*a/sat

26、其中，m用于表征网络安全人员与子事件的匹配率，cover用于表征网络安全人员对应的技能覆盖率，a用于表征网络安全人员对应的历史评价值，sat用于表征网络安全人员对应的工作饱和值；所述工作饱和值用于表征网络安全人员可执行子事件的程度。

27、在一种可能的实施方式中，在确定执行每个所述子事件的目标网络安全人员后，所述方法还包括：

28、更新执行每个所述子事件的目标网络安全人员的动态评分值。

29、第二方面，本发明实施例提供一种安全事件处理装置，应用于安全事件处理平台，所述装置包括：

30、第一处理单元，用于接收与所述安全事件处理平台连接的各个业务平台发送的各个安全事件，并确定所述各个安全事件分别对应的事件类型；

31、第一确定单元，用于根据所述各个事件类型，分别确定每个所述安全事件对应的流程处理文件；

32、第二确定单元，用于确定执行每个所述流程处理文件中节点对应的子事件的目标参数；其中，所述目标参数包括执行对应的子事件所需的技能；

33、第三确定单元，用于确定注册于所述安全事件处理平台中的各个网络安全人员对应的技能参数；

34、第二处理单元，用于根据所述各个网络安全人员对应的技能参数和所述目标参数，确定执行每个所述子事件的目标网络安全人员。

35、在一种可能的实施方式中，所述第三确定单元，具体用于：

36、确定注册于所述安全事件处理平台中各个网络安全人员的注册信息；每个注册信息包括对应的网络安全人员已掌握技能对应的第一评分值和项目经验中使用过的技能对应的第二评分值；

37、根据所述第一评分值以及所述第二评分值，确定所述各个网络安全人员对应的初始评分值，将确定的所述初始评分值作为对应的网络安全人员的技能参数；或者，

38、确定注册于所述安全事件处理平台中各个网络安全人员，在所述安全处理平台中处理安全事件使用过的技能对应的动态评分值；

39、将确定的所述动态评分值，作为各个网络安全人员对应的技能参数。

40、在一种可能的实施方式中，所述第二处理单元，具体用于：

41、针对每个子事件，分别执行以下操作：

42、根据预设处理方式，对各个所述网络安全人员对应的技能参数和所述子事件的目标参数，执行技能覆盖率计算处理，获得各个所述网络安全人员对应的技能覆盖率；

43、根据获得的所述技能覆盖率，以及各个所述网络安全人员对应的历史评价值和工作饱和度，确定各个所述网络安全人员与所述子事件的匹配率；

44、根据预设筛选条件和各个所述网络安全人员对应的匹配率，确定目标网络安全人员。

45、在一种可能的实施方式中，如果网络安全人员未执行过安全事件，则基于以下公式获得技能覆盖率：

46、

47、其中，cover用于表征网络安全人员对应的技能覆盖率；m用于表征执行子事件所需技能与网络安全人员已掌握技能相同的数量；用于表征网络安全人员对应的初始评分值；pi用于表征安全事件所需技能的权重；n用于表征安全事件所需技能的数量；q用于表征网络安全人员已掌握技能的数量。

48、在一种可能的实施方式中，如果网络安全人员执行过安全事件，则基于以下公式获得技能覆盖率；

49、

50、其中，cover用于表征网络安全人员对应的技能覆盖率；m用于表征执行子事件所需技能与网络安全人员已掌握技能相同的数量；用于表征对网络安全人员对应的动态评分值；pi用于表征安全事件所需技能的权重；n用于表征安全事件所需技能的数量；q用于表征网络安全人员已掌握技能的数量。

51、在一种可能的实施方式中，每个所述网络安全人员与所述子事件的匹配率基于以下公式确定：

52、m＝cover*a/sat

53、其中，m用于表征网络安全人员与子事件的匹配率，cover用于表征网络安全人员对应的技能覆盖率，a用于表征网络安全人员对应的历史评价值，sat用于表征网络安全人员对应的工作饱和值；所述工作饱和值用于表征网络安全人员可执行子事件的程度。

54、在一种可能的实施方式中，所述装置还包括更新单元，用于：

55、更新执行每个所述子事件的目标网络安全人员的动态评分值。

56、第三方面，本发明实施例提供了一种电子设备，包括至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面实施例提供的任一方法。

57、第四方面，本发明实施例提供了一种计算机存储介质，其中，所述计算机可读存储介质存储有计算机程序，所述计算机程序用于使计算机执行本发明第一方面实施例提供的任一方法。

58、第五方面，本发明实施例提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行第一方面实施例提供的任一方法。

59、本发明有益效果如下：

60、在本发明实施例中，电子设备可以接收与安全事件处理平台连接的各个业务平台发送的各个安全事件，并确定各个安全事件分别对应的事件类型；然后根据各个事件类型，分别确定每个安全事件对应的流程处理文件；以及，确定执行每个流程处理文件中节点对应的子事件的目标参数；其中，目标参数包括执行对应的子事件所需的技能；确定注册于安全事件处理平台中的各个网络安全人员对应的技能参数。进一步地，可以根据各个网络安全人员对应的技能参数和目标参数，确定执行每个子事件的目标网络安全人员。

61、也就是说，在本发明实施例中，电子设备可以对安全事件进行分析，确定安全事件对应的事件类型，并自动匹配其对应的流程处理文件，再确定执行流程处理文件中每个节点对应的子事件的目标网络安全人员，提升安全事件处置的处理效率。

62、本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。