本申请涉及网络安全,特别是涉及一种安全事件的处理方法、装置及可读存储介质。
背景技术:
1、网络安全越来越受到重视,随着互联网的高速发展,互联网站点已经进步全面普及覆盖,但是政府、教育行业、医疗行业等单位的站点安全面临着高危态势,面临了暗链、外链、篡改、信息泄露、敏感内容等多种安全事件威胁,给社会政治和经济产生极大的影响。
2、现有的事件扫描方法,更多注重扫描速度与扫描规则优化,但未考虑到在行业内安全研判中,大量扫描规则优化导致的误报或大量重复的非误报告警,需要逐条确认研判事件是否时候真实存在,需要投入较大的人力成本和时间成本;而传统的扫描规则优化虽增加扫描速度,但原理是策略匹配,导致误报策略较难修改,扫描次数累计增加,带来的重复研判次数也随之增长,无法准确根据研判数据的分析去准备去除误报;难以第一时间内将扫描出来的有效事件研判出来,增加了给网络空间带来不良影响的可能性。传统事件监测扫描方法虽可以找出可能隐藏威胁,但是需要较大的安全专家的人工成本,且规则优化速度较慢,当多站点大规模扫描时,将存在大量待审核事件,无法及时审核完毕提供准确存在事件信息,而此类事件未及时发现处理,可能给社会造成较大的负面影响。
3、针对相关技术中存在现有的安全事件扫描方法产生大量误报,且无法准确根据研判数据去除误报的问题,目前还没有提出有效的解决方案。
技术实现思路
1、在本实施例中提供了一种安全事件的处理方法、装置及可读存储介质,以解决相关技术中相关技术中存在现有的安全事件扫描方法产生大量误报,且无法准确根据研判数据去除误报的问题。
2、第一个方面,在本实施例中提供了一种安全事件的处理方法,所述方法包括:
3、按照预设的第一扫描规则对所述安全事件进行扫描,生成多个第一扫描结果;
4、根据多个所述第一扫描结果生成标记结果;
5、根据所述标记结果,将所述第一扫描规则修改为第二扫描规则;
6、根据所述标记结果或者所述第二扫描规则,对所述安全事件进行处理。
7、在其中的一些实施例中,所述按照预设的第一扫描规则对所述安全事件进行扫描,生成多个第一扫描结果包括:
8、通过所述第一扫描规则对所述安全事件进行扫描,获取所述安全事件的多个事件特征;
9、对所述多个事件特征分别进行标记,生成多个所述第一扫描结果。
10、在其中一些实施例中,所述根据多个所述第一扫描结果生成标记结果包括:
11、对多个所述第一扫描结果进行分类和标记,生成所述标记结果;所述标记结果包括第一标记结果和第二标记结果;所述第一标记结果,用于标记所述第一扫描结果为有效;所述第二标记结果,用于标记所述第二扫描结果为误报。
12、在其中一些实施例中,所述根据所述标记结果,将所述第一扫描规则修改为第二扫描规则包括:
13、设定所述第一标记结果的阈值和所述第二标记结果的阈值;
14、统计所述安全事件中所述第一标记结果的数量;
15、统计所述安全事件中所述第二标记结果的数量;
16、根据所述第一标记结果的数量和所述第一标记结果的阈值,生成第一审核规则;
17、根据所述第二标记结果的数量和所述第二标记结果的阈值,生成第二审核规则;
18、根据所述第一审核规则和所述第二审核规则将所述第一扫描规则修改为所述第二扫描规则。
19、在其中一些实施例中,所述根据所述标记结果或者所述第二扫描规则,对所述安全事件进行处理包括:
20、根据所述第二扫描规则,对所述安全事件进行扫描,生成第二扫描结果。
21、在其中一些实施例中,所述根据所述标记结果或者所述第二扫描规则,对所述安全事件进行处理包括:
22、根据所述第一标记结果和所述第二标记结果,对所述安全事件进行判定,得到判定结果;
23、根据所述判定结果,确定所述安全事件是否进行扫描。
24、在其中一些实施例中,在通过所述第一扫描规则对所述安全事件进行扫描,获取所述安全事件的多个事件特征之前,所述处理方法还包括:
25、对待处理的安全事件进行分析,确定不完整的安全事件,以及确定来源不明确的安全事件;从多个所述待处理的安全事件中去除所述不完整的安全事件,以及去除所述来源不明确的安全事件。
26、第二个方面,在本实施例中提供了一种安全事件的处理装置,所述装置包括:
27、第一生成模块,用于按照预设的第一扫描规则对所述安全事件进行扫描,生成多个第一扫描结果;
28、第二生成模块,用于根据多个所述第一扫描结果生成标记结果;
29、修改模块,用于根据所述标记结果,将所述第一扫描规则修改为第二扫描规则;
30、处理模块,用于根据所述标记结果或者所述第二扫描规则,对所述安全事件进行处理。
31、第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的安全事件的处理方法。
32、第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的安全事件的处理方法。
33、与相关技术相比,在本实施例中提供的一种安全事件的处理方法及装置、可读存储介质,通过按照预设的第一扫描规则对安全事件进行扫描,生成多个第一扫描结果;根据多个第一扫描结果生成标记结果;根据标记结果,将第一扫描规则修改为第二扫描规则;根据标记结果或者第二扫描规则,对安全事件进行处理,解决了相关技术中存在现有的安全事件扫描方法产生大量误报,且无法准确根据研判数据去除误报的问题,实现了对误报url、有效url进行合理资源分配,较强的提高了扫描速度和准确率。
34、本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
1.一种安全事件的处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的处理方法,其特征在于,所述按照预设的第一扫描规则对所述安全事件进行扫描,生成多个第一扫描结果包括:
3.根据权利要求1所述的处理方法,其特征在于,所述根据多个所述第一扫描结果生成标记结果包括:
4.根据权利要求3所述的处理方法,其特征在于,所述根据所述标记结果,将所述第一扫描规则修改为第二扫描规则包括:
5.根据权利要求4所述的处理方法,其特征在于,所述根据所述标记结果或者所述第二扫描规则,对所述安全事件进行处理包括:
6.根据权利要求3所述的处理方法,其特征在于,所述根据所述标记结果或者所述第二扫描规则,对所述安全事件进行处理包括:
7.根据权利要求2所述的处理方法,其特征在于,在通过所述第一扫描规则对所述安全事件进行扫描,获取所述安全事件的多个事件特征之前,所述处理方法还包括:
8.一种安全事件的处理装置,其特征在于,所述装置包括:
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至权利要求7中任一项所述的安全事件的处理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至权利要求7中任一项所述的安全事件的处理方法的步骤。