安全事件生成方法、装置、设备及计算机可读存储介质与流程

本申请实施例涉及安全事件生成领域，更具体的，是安全事件生成方法、装置、设备及计算机可读存储介质。

背景技术：

1、在网络安全技术的快速发展，终端设备会存在越来越多的告警信息，为了保证终端设备的安全运行，因此，需要将告警信息生成安全事件，以可以对安全事件进行处置。其中，安全事件是用来描述网络中同一设备或不同设备产生对客户具有危害的行为日志的组合，通过更抽象的方式描述黑客或者不法分子等进行的一系列的网络活动。

2、现有的生成安全事件的方法是，获得终端设备的告警信息之后，安全防御设备可以通过预设检测查杀方式生成该终端设备的告警信息的安全事件，以对安全事件进行处置，其中，安全防御设备可以是网关出入口防火墙、af，ids，ips，漏洞扫描设备，网闸等，预设检测查杀方式比如是通过网络链接信息进行检测查杀，或通过本地文件进行检测查杀等，并且，在不同的攻击阶段可以有不同的检测查杀方式。

3、但是，现有的生成安全事件的方法只是通过预设检测查杀方式对告警信息进行简单的检测，从而简单确定告警信息对应的安全事件，安全事件生成的准确性较低。

技术实现思路

1、本申请实施例提供了一种安全事件生成方法、装置、设备及计算机可读存储介质，用于在提高安全事件生成的准确性的情况下，生成安全事件。

2、第一方面，本申请实施例提供了一种安全事件生成方法，包括：

3、获得多个告警信息，其中，所述告警信息是待检测数据触发预设规则后产生的；

4、基于所述规则的属性信息，对所述告警信息进行分析以确定是否满足生成安全事件的条件；

5、若满足生成安全事件的条件，则根据预设方式将所述告警信息生成安全事件。

6、可选的，所述属性信息包括规则置信度，所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度，所述多个告警信息对应的待检测数据触发了多个规则；所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括：

7、确定所述多个规则各自对应的规则置信度；

8、根据所述多个规则的规则置信度对所述告警信息进行分析以确定是否满足生成安全事件的条件。

9、可选的，所述属性信息包括规则标识，所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括：

10、基于所述规则标识将所述多个告警信息各自映射到对应的攻击阶段；

11、基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。

12、可选的，所述基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件，包括：

13、基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型；

14、基于所述每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型，对所述多个告警信息进行关联以确定是否生成安全事件。

15、可选的，所述根据预设方式将所述告警信息生成安全事件，包括：

16、确定所述告警信息所属于的目标安全事件；

17、若所述目标安全事件为历史的安全事件，则将所述告警信息加入所述历史的安全事件；

18、若确定所述告警信息不属于历史的安全事件，则将所述告警信息生成新的安全事件，所述新的安全事件为所述目标安全事件。

19、可选的，所述根据预设方式将所述告警信息生成安全事件，包括：

20、将所述告警信息输入预先训练的模型，由所述模型对所述告警信息的特征进行识别和分析，得到所述预设模型输出的所述告警信息所属于的预测安全事件，并将所述预测安全事件作为所述目标安全事件；其中，所述特征包括攻击的类型、攻击的目标、攻击的资产、攻击者信息、攻击者的方法、受害者的信息、攻击的影响、攻击的频次和/或攻击的时间；和/或

21、根据预设安全基线对所述告警信息进行检测，得到检测结果，若所述检测结果与预设安全基线之间的差距大于预设差距阈值，则根据所述检测结果确定所述告警信息所属于的目标安全事件。

22、可选的，基于所述规则的属性信息，对所述告警信息进行分析以确定是否生成安全事件之后，所述方法还包括：

23、若生成多个安全事件，则根据多个安全事件之间的时间相似性和/或会话关联性和/或设备关联信息来生成事件链。

24、第二方面，本申请实施例提供了一种安全事件生成装置，包括：

25、获得单元，用于获得多个告警信息，其中，所述告警信息是待检测数据触发预设规则后产生的；

26、分析单元，用于基于所述规则的属性信息，对所述告警信息进行分析以确定是否满足生成安全事件的条件；

27、生成单元，用于若满足生成安全事件的条件，则根据预设方式将所述告警信息生成安全事件。

28、第三方面，本申请实施例提供了一种安全事件生成设备，包括：

29、中央处理器，存储器，输入输出接口，有线或无线网络接口以及电源；

30、所述存储器为短暂存储存储器或持久存储存储器；

31、所述中央处理器配置为与所述存储器通信，并执行所述存储器中的指令操作以执行前述安全事件处置方法。

32、第四方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质包括指令，当指令在计算机上运行时，使得计算机执行前述安全事件生成方法。

33、第五方面，本申请实施例提供了一种包含指令的计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行前述安全事件生成方法。

34、从以上技术方案可以看出，本申请实施例具有以下优点：可以获得多个告警信息，其中，告警信息是待检测数据触发预设规则后产生的，可以基于规则的属性信息，对告警信息进行分析以确定是否满足生成安全事件的条件，若满足生成安全事件的条件，则根据预设方式将告警信息生成安全事件，可以基于规则的多维度的属性信对告警信息进行分析，提高了分析告警信息属于哪种安全事件的准确性，提高了安全事件生成的准确性。

技术特征：

1.一种安全事件生成方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述属性信息包括规则置信度，所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度，所述多个告警信息对应的待检测数据触发了多个规则；所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括：

3.根据权利要求1所述的方法，其特征在于，所述属性信息包括规则标识，所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括：

4.根据权利要求3所述的方法，其特征在于，所述基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件，包括：

5.根据权利要求1所述的方法，其特征在于，所述根据预设方式将所述告警信息生成安全事件，包括：

6.根据权利要求1所述的方法，其特征在于，所述根据预设方式将所述告警信息生成安全事件，包括：

7.根据权利要求1所述的方法，其特征在于，基于所述规则的属性信息，对所述告警信息进行分析以确定是否生成安全事件之后，所述方法还包括：

8.一种安全事件生成装置，其特征在于，包括：

9.一种安全事件生成设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1至7中任意一项所述的方法。

技术总结
本申请实施例公开了一种安全事件生成方法、装置、设备及计算机可读存储介质，用于在提高安全事件生成的准确性的情况下，生成安全事件。本申请实施例方法包括：获得多个告警信息，其中，告警信息是待检测数据触发预设规则后产生的，基于规则的属性信息，对告警信息进行分析以确定是否满足生成安全事件的条件，若满足生成安全事件的条件，则根据预设方式将告警信息生成安全事件。

技术研发人员：刘送智
受保护的技术使用者：深圳市深信服信息安全有限公司
技术研发日：
技术公布日：2024/1/13