一种安全事件生成方法、装置、电子设备及存储介质与流程

本申请涉及计算机，尤其涉及一种安全事件生成方法、装置、电子设备及存储介质。

背景技术：

1、目前，需要采用人工操作的方式定期检查设备或系统内是否存在勒索病毒，并且在勒索病毒发生之后由人工对勒索病毒事件进行处置。

2、但是，上述方法中，采用人工的方式工作量大，而且容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置。

技术实现思路

1、本申请提供一种安全事件生成方法、装置、电子设备及存储介质，解决了相关技术中采用人工的方式检查勒索病毒并且处置勒索病毒事件，容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置的技术问题。

2、第一方面，本申请提供一种安全事件生成方法，包括：获取多个告警信息；基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同；在按照该第一关联规则表征的执行顺序执行该至少一个告警信息之后，生成并处理目标安全事件。

3、可选地，上述从该多个告警信息中确定至少一个告警信息具体包括：对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息，该m个告警信息的告警类型与该第一关联规则的规则类型相同，m为大于或等于1的整数。

4、可选地，上述对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息具体包括：在不存在第一告警信息对应的文件的情况下，从该m个告警信息中删除第一告警信息，该第一告警信息为该m个告警信息中的一个。

5、可选地，该安全事件生成方法还包括：获取多个对象中每个对象的日志；从该每个对象的日志中确定与该至少一个告警信息对应的日志；基于与该至少一个告警信息对应的日志，得到异常文本对应的传播路径。

6、可选地，一个告警信息对应的维度信息包括该告警信息对应的时间信息、该告警信息对应的身份信息以及该告警信息对应的攻击方式，该安全事件生成方法还包括：基于该至少一个告警信息中每个告警信息对应的维度信息，确定该每个告警信息对应的可信度；将该至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。

7、第二方面，本申请提供一种安全事件生成装置，包括：获取模块、确定模块以及处理模块；该获取模块，用于获取多个告警信息；该确定模块，用于基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同；该处理模块，用于在按照该第一关联规则表征的执行顺序执行该至少一个告警信息之后，生成并处理目标安全事件。

8、可选地，该处理模块，还用于对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息，该m个告警信息的告警类型与该第一关联规则的规则类型相同，m为大于或等于1的整数。

9、可选地，该安全事件生成装置还包括删除模块；该删除模块，用于在不存在第一告警信息对应的文件的情况下，从该m个告警信息中删除第一告警信息，该第一告警信息为该m个告警信息中的一个。

10、可选地，该获取模块，还用于获取多个对象中每个对象的日志；该确定模块，还用于从该每个对象的日志中确定与该至少一个告警信息对应的日志；该处理模块，还用于基于与该至少一个告警信息对应的日志，得到异常文本对应的传播路径。

11、可选地，一个告警信息对应的维度信息包括该告警信息对应的时间信息、该告警信息对应的身份信息以及该告警信息对应的攻击方式；该确定模块，还用于基于该至少一个告警信息中每个告警信息对应的维度信息，确定该每个告警信息对应的可信度；该确定模块，还用于将该至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。

12、第三方面，本申请提供一种电子设备，包括：处理器和被配置为存储处理器可执行指令的存储器；其中，处理器被配置为执行该指令，以实现上述第一方面中任一种可选地安全事件生成方法。

13、第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质上存储有指令，当该计算机可读存储介质中的指令由电子设备执行时，使得该电子设备能够执行上述第一方面中任一种可选地安全事件生成方法。

14、本申请提供的安全事件生成方法、装置、电子设备及存储介质，电子设备可以获取多个告警信息，并且基于第一关联规则从该多个告警信息中确定至少一个告警信息。由于该至少一个告警信息的告警类型与该第一关联规则的规则类型相同，即电子设备可以基于该第一关联规则确定出告警信息相同的告警信息。又由于该至少一个告警信息在分析完成(或执行完成)之后可以生成目标安全事件，即可以准确、有效地生成安全事件，即会避免对告警信息和安全事件出现错误或遗漏的情况。之后电子设备对该目标安全事件进行处理(或处置)，能够准确、有效地对目标安全事件进行处置，提升了事件处置的有效性。

技术特征：

1.一种安全事件生成方法，其特征在于，所述方法包括：

2.根据权利要求1所述的安全事件生成方法，其特征在于，所述从所述多个告警信息中确定至少一个告警信息，包括：

3.根据权利要求2所述的安全事件生成方法，其特征在于，所述对所述多个告警信息中的m个告警信息进行降噪处理，得到所述至少一个告警信息，包括：

4.根据权利要求1所述的安全事件生成方法，其特征在于，所述方法还包括：

5.根据权利要求1-4中任一项所述的安全事件生成方法，其特征在于，一个告警信息对应的维度信息包括所述告警信息对应的时间信息、所述告警信息对应的身份信息以及所述告警信息对应的攻击方式，所述方法还包括：

6.一种安全事件生成装置，其特征在于，包括：获取模块、确定模块以及处理模块；

7.根据权利要求6所述的安全事件生成装置，其特征在于，

8.根据权利要求7所述的安全事件生成装置，其特征在于，所述安全事件生成装置还包括删除模块；

9.根据权利要求6所述的安全事件生成装置，其特征在于，

10.根据权利要求6-9中任一项所述的安全事件生成装置，其特征在于，一个告警信息对应的维度信息包括所述告警信息对应的时间信息、所述告警信息对应的身份信息以及所述告警信息对应的攻击方式；

11.一种电子设备，其特征在于，所述电子设备包括：

12.一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，其特征在于，当所述计算机可读存储介质中的指令由电子设备执行时，使得所述电子设备能够执行如权利要求1-5中任一项所述的安全事件生成方法。

技术总结
本申请提供一种安全事件生成方法、装置、电子设备及存储介质，涉及计算机技术领域，解决了相关技术中采用人工的方式检查勒索病毒并且处置勒索病毒事件，容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置的技术问题。该方法包括：获取多个告警信息；基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同；在按照该第一关联规则表征的执行顺序执行该至少一个告警信息之后，生成并处理目标安全事件。

技术研发人员：张安清,田建勇,付廷升,顾阳,季芸梦
受保护的技术使用者：亚信科技（成都）有限公司
技术研发日：
技术公布日：2024/1/15