安全事件处理方法技术

本发明专利技术实施例提供一种安全事件处理方法，所述方法包括：定时获取安全运营中心生成的安全事件；将所述安全事件映射为对应的安全事件记录；接收浏览器发送的第一调查请求，所述第一调查请求中包括用户帐号，将所述用户帐号对应的安全事件记录发送到所述浏览器。所述方法使得用户终端不需要安装客户端，可以直接通过浏览器来访问服务端的安全事件，由于不需要使用客户端连接服务端进行多频道事件监控，大大降低了服务器端的内存资源占用和性能影响，并解决了SOC平台上将原始日志和事件混合存储导致的无法对事件进行跟进和回溯的问题。

【技术实现步骤摘要】

本专利技术涉及安全运营领域，具体而言，涉及一种安全事件处理方法。
技术介绍
对于SOC平台多客户端处理事件，服务器端必须实时将不同过滤器的事件发送到每个客户端的活动频道，以便每个客户端显示并响应事件，这样就必然大幅增加服务器的资源占用。如果客户端过多，每个客户端都实时从服务器段获取事件，这样就会影响平台维护用户进行其他的配置操作，也会大大影响系统的运行速度，甚至影响日志关联分析引擎的正常工作。再者，对于SOC平台多客户端处理事件，由于数据量巨大，且原始日志和事件以文件方式混合存储，较容易触发数据归档条件，因此，无法对事件进行跟进和回溯。
技术实现思路
有鉴于此，本专利技术实施例的目的在于提供一种安全事件处理方法，以解决上述问题。第一方面，本专利技术实施例提供一种安全事件处理方法，所述方法包括：定时获取安全运营中心生成的安全事件；将所述安全事件映射为对应的安全事件记录，其中，每个所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号；接收浏览器发送的第一调查请求，所述第一调查请求中包括用户帐号，将所述用户帐号对应的安全事件记录发送到所述浏览器。第二方面，本专利技术实施例提供一种安全事件处理方法，所述方法包括：向服务器发送第一调查请求，所述第一调查请求中包括用户帐号；接收所述服务器返回的第一响应信息，所述第一响应信息中包括所述用户帐号对应的安全事件记录，其中，每个所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号。与现有技术相比，本专利技术实施例提供的一种安全事件处理方法，通过将定时获取安全运营中心采集的安全事件映射为对应的安全事件记录，解决了SOC平台上将原始日志和事件混合存储导致的无法对事件进行跟进和回溯的问题；用户可以使用浏览器进行访问，并可以根据预设字段，简单快捷的搜索到自己需要调查的事件；采用B/S结构模式(Browser/Server，浏览器/服务器模式)，使得用户终端不需要安装客户端，可以直接通过浏览器来访问服务端，由于不需要使用客户端连接服务端进行多频道事件监控，大大降低了服务器端的内存资源占用和性能影响。为使本专利技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1是本专利技术实施例提供的一种服务器与用户终端交互的示意图。图2是本专利技术实施例提供的服务器的结构示意图。图3是本专利技术第一实施例提供的一种安全事件处理方法的流程图。图4是本专利技术第一实施例提供的一种安全事件处理方法中步骤S400的流程图。图5是本专利技术第一实施例提供的一种安全事件处理方法中步骤S500的流程图。图6是本专利技术第一实施例提供的一种安全事件处理方法中步骤S530的流程图。图7是本专利技术第一实施例提供的一种安全事件处理方法中步骤S700的流程图。图8是本专利技术第二实施例提供的一种安全事件处理方法的流程图。图9是本专利技术第二实施例提供的一种安全事件处理方法中步骤S900的流程图。具体实施方式下面将结合本专利技术实施例中附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围，而是仅仅表示本专利技术的选定实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本专利技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性或时间先后。如图1所示，是本专利技术实施例提供的服务器200与用户终端100进行交互的示意图。所述服务器200通过网络300与一个或多个用户终端100进行通信连接，以进行数据通信或交互。所述服务器200可以是网络服务端、数据库服务端等。所述用户终端100可以是个人电脑(personalcomputer，PC)、平板电脑、智能手机、个人数字助理(personaldigitalassistant，PDA)等。于本专利技术实施例中，所述服务器200中安装有服务端，所述用户终端中安装有浏览器，用户可以通过浏览器登录不同的帐号，获得不同的服务。如图2所示，是所述服务器200的方框示意图。所述服务器200包括存储器201、处理器202以及网络模块203。存储器201可用于存储软件程序以及模块，如本专利技术实施例中的应用专题推荐方法及装置对应的程序指令/模块，处理器202通过运行存储在存储器201内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现本专利技术实施例中的安全事件处理方法。存储器201可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。进一步地，上述存储器201内的软件程序以及模块还可包括：操作系统221以及服务模块222。其中操作系统221，例如可为LINUX、UNIX、WINDOWS，其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动，并可与各种硬件或软件组件相互通讯，从而提供其他软件组件的运行环境。服务模块222运行在操作系统221的基础上，并通过操作系统221的网络服务监听来自网络的请求，根据请求完成相应的数据处理，并返回处理结果给客户端。也就是说，服务模块222用于向客户端提供网络服务。网络模块203用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。可以理解，图2所示的结构仅为示意，所述服务器200还可包括比图2中所示更多或者更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。另外，本专利技术实施例中的服务器还可以包括多个具体不同功能的服务器。于本专利技术实施例中，用户终端100中安装有客户端，该客户端可以是第三方应用软件，例如应用商店，与服务器(Server)端相对应，共同遵循同一套数据协议，使得服务端跟客户端能够互相解析出对方的数据，为用户提供应用专题推荐服务。图3示出了本专利技术第一实施例提供的一种安全事件处理方法的流程图，请参阅图3，本实施例描述的是服务端的处理流程，所述方法包括：步骤S400，定时获取安全运营中心生成的安全事件。请参阅图4，作为一种实施方式，所述步骤S400可以包括：步骤S410，设置安全事件过滤规则。其中，所述安全事件过滤规则可以设置为动态时间事件过滤器，即增加一个过滤器，开始时间和结束时间设置为动态时间，方式设置为滚动展示。步骤S420，根据所述安全事件过滤规则，定时获取安全运营中心生成的安全事件。当S本文档来自技高网...

【技术保护点】
一种安全事件处理方法，其特征在于，所述方法包括：定时获取安全运营中心生成的安全事件；将所述安全事件映射为对应的安全事件记录，其中，所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号；接收浏览器发送的第一调查请求，所述第一调查请求中包括用户帐号，将所述用户帐号对应的安全事件记录发送到所述浏览器。

【技术特征摘要】
1.一种安全事件处理方法，其特征在于，所述方法包括：定时获取安全运营中心生成的安全事件；将所述安全事件映射为对应的安全事件记录，其中，所述安全事件记录包括多个预设字段，所述多个预设字段包括归属字段，所述归属字段的值为所述安全事件对应的用户帐号；接收浏览器发送的第一调查请求，所述第一调查请求中包括用户帐号，将所述用户帐号对应的安全事件记录发送到所述浏览器。2.根据权利要求1所述的方法，其特征在于，所述定时获取安全运营中心生成的安全事件，包括：设置安全事件过滤规则；根据所述安全事件过滤规则，定时获取安全运营中心生成的安全事件。3.根据权利要求1所述的方法，其特征在于，所述预设字段还包括事件编号字段，事件攻击源地址字段，目标地址字段，设备地址字段以及区域字段，所述将所述安全事件映射为对应的安全事件记录，包括：将所述安全事件根据所述事件编号字段进行去重处理，获得剩余的安全事件；将所述剩余的安全事件进行解析，提取所述预设字段对应的值，生成对应的安全事件记录；将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值分别与预设资源表进行匹配，根据匹配结果，确定所述区域字段的值，其中，所述预设资源表中存储有总部及各组织对应的网段或IP地址；根据所述区域字段的值以及预设分单规则，确定所述归属字段的值。4.根据权利要求3所述的方法，其特征在于，所述区域字段的值的初始值设置为默认值，所述将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值分别与预设资源表进行匹配，根据匹配结果，确定所述区域字段的值，包括：将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值分别与所述总部对应的网段或IP地址进行匹配，若其中一个匹配成功，则所述区域字段的值为所述总部的识别号；若均匹配失败，将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值依次分别与所述各组织对应的网段或IP地址进行匹配，若能匹配成功，则所述区域字段的值为所述匹配成功的网段或IP地址对应的组织的识别号。5.根据权利要求3所述的方法，其特征在于，所述区域字段的值的初始值设置为默认值，所述将所述事件攻击源地址字段的值，所述目标地址字段的值及所述设备地址字段的值分别与预设资源表进行匹配，根据匹配结果，确定所述...

【专利技术属性】
技术研发人员：林晓东，
申请(专利权)人：华青融天北京技术股份有限公司，
类型：发明
国别省市：北京;11