一种安全事件处理方法、装置、设备及存储介质与流程

本申请涉及网络安全，尤其涉及一种安全事件处理方法、装置、设备及存储介质。

背景技术：

1、随着互联网的发展，网络已经成为社会生活方方面面不可或缺的一部分。与此同时，网络病毒攻击、网络后台入侵、数据泄露、恶意文件传播等安全事件层出不穷。因此，一般需要对网络系统产生的日志进行处理，然后将处理后的数据与预定义的安全事件规则进行匹配，从而生成可以给于用户了解网络安全状况或提供处置建议的数据。由于安全事件不断发展变化，因此，需要及时更新安全事件规则并对匹配的安全事件进行相应的处理。但是，在现有的网络安全防护系统中，需要开发人员编写大量代码实现策略规则的更新，导致安全事件规则的更新效率低且成本高，且无法及时地对安全事件进行处理。

技术实现思路

1、本申请的主要目的在于提供一种安全事件处理方法、装置、设备及存储介质，可以实时地调整安全事件规则，更能适应动态变化的安全事件匹配规则，且安全事件规则的更新效率高，能及时地基于与日志数据匹配的目标安全事件规则，对生成的安全事件进行处理。

2、第一方面，本申请提供了一种安全事件处理方法，包括：

3、采集预设网络系统在运行过程中产生的日志数据；

4、根据所述日志数据，在预设数据库中查找与所述日志数据相匹配的至少一个目标安全事件规则，其中，所述预设数据库包括通过flink-cdc监听的若干个安全事件规则；

5、根据所述目标安全事件规则，生成所述日志数据对应的安全事件；

6、根据所述安全事件对应的规则，执行所述规则对应的处理操作。

7、第二方面，本申请提供了一种安全事件处理装置，包括：

8、采集模块，用于采集预设网络系统在运行过程中产生的日志数据；

9、查找模块，用于根据所述日志数据，在预设数据库中查找与所述日志数据相匹配的至少一个目标安全事件规则，其中，所述预设数据库包括通过flink-cdc监听的若干个安全事件规则；

10、生成模块，用于根据所述目标安全事件规则，生成所述日志数据对应的安全事件；

11、处理模块，用于根据所述安全事件对应的规则，执行所述规则对应的处理操作。

12、第三方面，本申请提供了一种计算机设备，计算机设备包括存储器和处理器；

13、存储器，用于存储计算机程序；

14、处理器，用于执行计算机程序并在执行计算机程序时实现如上述的安全事件处理方法。

15、第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现如上述的安全事件处理方法的步骤。

16、本申请提供了一种安全事件处理方法、装置、设备及存储介质，其中，方法包括：采集预设网络系统在运行过程中产生的日志数据；根据所述日志数据，在预设数据库中查找与所述日志数据相匹配的至少一个目标安全事件规则，其中，所述预设数据库包括通过flink-cdc监听的若干个安全事件规则；根据所述目标安全事件规则，生成所述日志数据对应的安全事件；根据所述安全事件对应的规则，执行所述规则对应的处理操作。本申请通过flink-cdc实时监控预设数据库中的安全事件规则的变化，可以实时地调整安全事件规则，提高对预设数据库中全量和增量数据同步的支持性，更能适应动态变化的安全事件匹配规则，因此，预设数据库中的安全事件规则的更新效率高，且能及时地基于与日志数据匹配的目标安全事件规则，对生成的安全事件进行处理。

技术特征：

1.一种安全事件处理方法，其特征在于，包括：

2.根据权利要求1所述的安全事件处理方法，其特征在于，所述规则包括告警规则和/或防护规则。

3.根据权利要求2所述的安全事件处理方法，其特征在于，所述根据所述安全事件对应的规则，执行所述规则对应的处理操作，包括：

4.根据权利要求2所述的安全事件处理方法，其特征在于，所述根据所述安全事件对应的规则，执行所述规则对应的处理操作，包括：

5.根据权利要求1所述的安全事件处理方法，其特征在于，根据所述目标安全事件规则，生成所述日志数据对应的安全事件，包括：

6.根据权利要求1所述的安全事件处理方法，其特征在于，所述采集预设网络系统在运行过程中产生的日志数据，包括：

7.根据权利要求1所述的安全事件处理方法，其特征在于，在所述根据所述日志数据，在预设数据库中查找与所述日志数据相匹配的至少一个目标安全事件规则之前，包括：

8.一种安全事件处理装置，其特征在于，包括：

9.一种计算机设备，其特征在于，计算机设备包括存储器和处理器；

10.一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，其特征在于，计算机程序被处理器执行时，实现如权利要求1至7中任意一项所述的安全事件处理方法的步骤。

技术总结
本申请涉及网络安全技术领域，提供一种安全事件处理方法、装置、设备及存储介质，方法包括：采集预设网络系统在运行过程中产生的日志数据；根据日志数据，在预设数据库中查找与日志数据相匹配的至少一个目标安全事件规则，其中，预设数据库包括通过Flink‑CDC监听的若干个安全事件规则；根据目标安全事件规则，生成日志数据对应的安全事件；根据安全事件对应的规则，执行规则对应的处理操作。本申请通过Flink‑CDC实时监控预设数据库中的安全事件规则的变化，可以实时地调整安全事件规则，更能适应动态变化的安全事件匹配规则，因此，预设数据库中的安全事件规则的更新效率高，且能及时地基于与日志数据匹配的目标安全事件规则，对生成的安全事件进行处理。

技术研发人员：王模勇,刘鸿顺,罗开达
受保护的技术使用者：广东亿迅科技有限公司
技术研发日：
技术公布日：2024/4/17