安全事件的处理方法及装置与流程

本申请涉及计算机，具体而言，涉及一种安全事件的处理方法及装置。

背景技术：

1、随着网络安全环境的日益严峻，越来越多的企业开始部署soar(securityorchestration,automation and response，安全自动化与响应)系统进行安全应急响应。通过安全编排和自动化响应的技术，提升安全事件的处置速度和处置效率，解决在安全事件在处置、分析中过度依赖人工的问题。随着网络攻击手段日新月异，网络安全事件层出不穷，网络安全事件的种类也越来越多，企业为了应对网络安全部署的各类设备也越来越多，来自不同厂商、不同技术路线的设备每天都会产生海量的告警，这使得企业的网络安全面临着更加巨大的挑战，而在相关技术中对于不同技术路线、不同设备的告警事件只能依靠人工进行分析，但不同技术路线的设备对于安全事件的事件类型和事件等级评判标准难以统一，导致对网络安全事件的处置方法准确性较低。

2、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本申请实施例提供了一种安全事件的处理方法及装置，以至少解决网络安全事件处理方法准确性较低的技术问题。

2、根据本申请实施例的一个方面，提供了一种安全事件的处理方法，包括：获取多种网络设备日志，并将多种网络设备日志进行范式化处理，得到目标格式日志，目标格式日志中至少包含用于指示目标事件类别的目标字段；获取目标字段的目标值，并根据目标字段的目标值确定目标事件的类别；根据目标事件的多维度信息确定目标事件的威胁分数值，多维度信息至少包括目标事件的类别，并根据目标事件的威胁分数值确定目标事件的事件等级，事件等级用于指示事件的危险程度；根据目标事件的类别和目标事件的事件等级确定目标事件的处理策略，并按照处理策略处理目标事件。

3、可选地，将多种网络设备日志进行范式化处理，得到目标格式日志，包括：获取目标格式日志中包含的关键字段，其中，关键字段包括：用于指示目标事件源地址的第一字段、用于指示目标事件目的地址的第二字段、用于指示目标事件类别的第三字段，第三字段为目标字段；从多种网络设备日志中提取目标事件的源地址、目的地址和事件类别，并根据预先确定的事件类别与目标值的映射关系确定目标值；依次将目标事件的源地址、目的地址和目标值填入第一字段、第二字段和第三字段中，得到目标格式日志。

4、可选地，根据目标字段的目标值确定目标事件的类别，包括：在目标值属于预设集合中数值的情况下，确定目标事件通过验证；在目标事件通过验证的情况下，将目标值依次与多个特征值集合中的特征值进行对比，根据目标值与多个特征值集合中的特征值的对比结果确定目标事件的类别。

5、可选地，根据目标事件的多维度信息确定目标事件的威胁分数值，包括：获取每个维度对应的威胁分数值，其中，多维度信息至少包括以下之一：攻击路径维度、攻击来源维度、事件类别维度和情报信誉维度，攻击路径维度根据目标事件对应的攻击行为的源地址和目的地址确定，攻击来源维度根据目标事件对应的攻击行为的源地址确定，事件类别维度根据目标事件的类别确定，情报信誉维度根据目标事件对应的攻击行为的攻击源确定；将多维度信息对应的威胁分数值的和确定为目标事件的威胁分数值。

6、可选地，根据目标事件的威胁分数值确定目标事件的事件等级，包括：获取每个事件等级对应的威胁分数值区间，其中，第一事件等级对应第一区间，第二事件等级对应第二区间，第三事件等级对应第三区间，第一事件等级、第二事件等级和第三事件等级对应的事件危险程度依次增高，第一区间的最大值小于第二区间的最小值，第二区间的最大值小于第三区间的最小值；根据目标事件的威胁分数值所处的威胁分数值区间确定目标事件的事件等级。

7、可选地，根据目标事件的类别和目标事件的事件等级确定目标事件的处理策略，包括：获取目标事件的类别和目标事件的事件等级；从多个预设策略中选择与目标事件的类别和目标事件的事件等级均相匹配的处理策略。

8、可选地，方法还包括：在目标事件的类别或目标事件的事件等级与多个预设策略不匹配的情况下，根据目标事件的类别和目标事件的事件等级新建目标处理策略；将目标处理策略加入到多个预设策略中。

9、根据本申请实施例的另一方面，还提供了一种安全事件的处理装置，包括：获取模块，用于获取多种网络设备日志，并将多种网络设备日志进行范式化处理，得到目标格式日志，目标格式日志中至少包含用于指示目标事件类别的目标字段；分类模块，用于获取目标字段的目标值，并根据目标字段的目标值确定目标事件的类别；分级模块，用于根据目标事件的多维度信息确定目标事件的威胁分数值，多维度信息至少包括目标事件的类别，并根据目标事件的威胁分数值确定目标事件的事件等级，事件等级用于指示事件的危险程度；处理模块，用于根据目标事件的类别和目标事件的事件等级确定目标事件的处理策略，并按照处理策略处理目标事件。

10、根据本申请实施例的再一方面，还提供了一种非易失性存储介质，非易失性存储介质包括存储的程序，其中，在程序运行时控制非易失性存储介质所在设备执行上述安全事件的处理方法。

11、根据本申请实施例的再一方面，还提供了一种计算机设备，包括存储器和处理器，处理器用于运行程序，其中，程序运行时执行上述安全事件的处理方法。

12、在本申请实施例中，采用获取多种网络设备日志，并将多种网络设备日志进行范式化处理，得到目标格式日志，目标格式日志中至少包含用于指示目标事件类别的目标字段；获取目标字段的目标值，并根据目标字段的目标值确定目标事件的类别；根据目标事件的多维度信息确定目标事件的威胁分数值，多维度信息至少包括目标事件的类别，并根据目标事件的威胁分数值确定目标事件的事件等级，事件等级用于指示事件的危险程度；根据目标事件的类别和目标事件的事件等级确定目标事件的处理策略，并按照处理策略处理目标事件的方式，通过将多种网络设备日志进行范式处理，得到目标格式日志，达到了将不同网络设备统一识别，进而准确识别安全事件目的，从而实现了提高安全事件处理方法准确性的技术效果，进而解决了网络安全事件处理方法准确性较低技术问题。

技术特征：

1.一种安全事件的处理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，将所述多种网络设备日志进行范式化处理，得到目标格式日志，包括：

3.根据权利要求2所述的方法，其特征在于，根据所述目标字段的目标值确定所述目标事件的类别，包括：

4.根据权利要求1所述的方法，其特征在于，根据所述目标事件的多维度信息确定所述目标事件的威胁分数值，包括：

5.根据权利要求4所述的方法，其特征在于，根据所述目标事件的威胁分数值确定所述目标事件的事件等级，包括：

6.根据权利要求1所述的方法，其特征在于，根据所述目标事件的类别和所述目标事件的事件等级确定所述目标事件的处理策略，包括：

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

8.一种安全事件的处理装置，其特征在于，包括：

9.一种非易失性存储介质，其特征在于，所述非易失性存储介质包括存储的程序，其中，在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述安全事件的处理方法。

10.一种计算机设备，其特征在于，包括存储器和处理器，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至7中任意一项所述安全事件的处理方法。

技术总结
本申请公开了一种安全事件的处理方法及装置。其中，该方法包括：获取多种网络设备日志，并将多种网络设备日志进行范式化处理，得到目标格式日志，目标格式日志中至少包含用于指示目标事件类别的目标字段；获取目标字段的目标值，并根据目标字段的目标值确定目标事件的类别；根据目标事件的多维度信息确定目标事件的威胁分数值，多维度信息至少包括目标事件的类别，并根据目标事件的威胁分数值确定目标事件的事件等级，事件等级用于指示事件的危险程度；根据目标事件的类别和目标事件的事件等级确定目标事件的处理策略，并按照处理策略处理目标事件。本申请解决了网络安全事件处理方法准确性较低的技术问题。

技术研发人员：王琪强,邹照旭,邢学锋
受保护的技术使用者：中国电信股份有限公司
技术研发日：
技术公布日：2024/3/24