本申请提供了一种安全事件处理方法、装置及电子设备,通过该方法可以在设规则场景库确定安全事件的噪声标识,并根据噪声标识提取出对应的属性字段的属性字段信息,并最终根据属性字段信息来判定安全事件是否为噪声事件,在是噪声事件的情况下,丢弃该噪声事件,从而减少了系统的误报,节约了系统资源,提升了安全事件的告警准确性。事件的告警准确性。事件的告警准确性。
【技术实现步骤摘要】
一种安全事件处理方法、装置及电子设备
[0001]本申请涉及网络安全
,尤其涉及一种安全事件处理方法、装置及电子设备。
技术介绍
[0002]随着数字化的发展,信息技术的快速更新迭代,云计算、大数据、物联网、移动物联网等新兴IT技术为各个行业带来了新的生产力,也给企业网络基础设施带来了极大的复杂性,尤其是云计算新技术的快速发展,企业IT资产呈现几何级增长,企业的资产越多,面临的攻击面也越大,产生的安全事件、告警事件就越多。
[0003]一般来说,很多安全事件、告警事件为系统误报,比如漏洞扫描与网络入侵,漏洞扫描本身是对服务器漏洞的扫描,但是漏洞扫描的同时会被入侵防御系统(Intrusion Prevention System,IPS)检测为异常行为,这样的安全事件或者告警事件也就造成系统误报。
[0004]大量的误报不仅消耗了大量的资源,并且使得安全事件的告警准确性也降低。
技术实现思路
[0005]本发申请提供了一种安全事件处理方法、装置及电子设备,用以在安全事件中筛选出噪声事件,避免对噪声事件进行告警,降低了系统的安全事件误报概率,提升安全事件的告警准确性。
[0006]第一方面,本申请提供了一种安全事件处理方法,所述方法包括:
[0007]在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时,获取所述第一安全事件对应的第一属性字段信息;
[0008]在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识;
[0009]在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件,并获取所述第二安全事件对应第二属性字段信息;
[0010]判定所述第一属性字段信息与所述第二属性字段信息是否一致;
[0011]若一致,则将所述第二安全事件作为噪声事件,并丢弃所述噪声事件;
[0012]若不一致,则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。
[0013]通过该方式,可以预设规则场景库确定安全事件的噪声标识,并根据噪声标识提取出对应的属性字段的属性字段信息,并最终根据属性字段信息来判定安全事件是否为噪声事件,在是噪声事件的情况下,丢弃该噪声事件,从而减少了系统的误报,节约了系统资源,提升了安全事件的告警准确性。
[0014]在一种可能设计中,在获取所述第一安全事件对应的第一属性字段信息之前,所述方法还包括:
[0015]确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识;
[0016]将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。
[0017]在一种可能的设计中,所述获取所述第一安全事件对应的第一属性字段信息,包括:
[0018]在所述预设规则场景库中确定出事件属性字段;
[0019]在所述第一安全事件中提取出所述事件属性字段对应的第一属性字段信息。
[0020]在一种可能的设计中,所述根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件,包括:
[0021]在所述第一安全事件中提取出第一执行操作信息,其中,所述第一执行操作信息表征了所述第一安全事件执行的操作;
[0022]在所述第二安全事件中提取出第二执行操作信息,其中,所述第二执行操作信息表征了所述第二安全事件执行的操作;
[0023]根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。
[0024]在一种可能的设计中,所述根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件,包括:
[0025]通过哈希算法,计算所述第一执行操作信息对应的第一哈希值以及计算所述第二执行操作信息对应的第二哈希值;
[0026]计算所述第一哈希值与所述第二哈希值之间的海明距离;
[0027]判定所述海明距离是否小于预设阈值;
[0028]若是,则将所述第二安全事件作为所述噪声事件;
[0029]若否,则保留并输出所述第二安全事件。
[0030]通过上述的方式,可以通过算法确定第一安全事件以及第二安全事件的行为动作的相似度,从而根据相似度确定第二事件是否为噪声事件,由此可以更加精确的对噪声事件进行识别,降低了噪声事件的数据量,减少系统资源消耗和浪费,提升了安全事件的告警准确性。
[0031]第二方面,本申请提供了一种安全事件处理装置,所述装置包括:
[0032]获取单元,用于在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时,获取所述第一安全事件对应的第一属性字段信息;
[0033]筛选单元,用于在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识;在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件,并获取所述第二安全事件对应第二属性字段信息;
[0034]处理单元,用于判定所述第一属性字段信息与所述第二属性字段信息是否一致;若一致,则将所述第二安全事件作为噪声事件,并丢弃所述噪声事件;若不一致,则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。
[0035]在一种可能的设计中,所述处理单元,还用于确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识;将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。
[0036]在一种可能的设计中,所述处理单元,具体用于否作为所述噪声事件,包括:在所述第一安全事件中提取出第一执行操作信息,其中,所述第一执行操作信息表征了所述第一安全事件执行的操作;在所述第二安全事件中提取出第二执行操作信息,其中,所述第二执行操作信息表征了所述第二安全事件执行的操作;根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。
[0037]第三方面,本申请提供了一种电子设备,包括:
[0038]存储器,用于存放计算机程序;
[0039]处理器,用于执行所述存储器上所存放的计算机程序时,实现上述安全事件处理方法步骤。
[0040]第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述安全事件处理方法步骤。
[0041]上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
[0042]图1为本申请提供的一种安全事件处理方法的流程图;
[0043]图2为本申请提供的互斥规则场景库的结构示意图;
...
【技术保护点】
【技术特征摘要】
1.一种安全事件处理方法,其特征在于,所述方法包括:在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时,获取所述第一安全事件对应的第一属性字段信息;在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识;在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件,并获取所述第二安全事件对应第二属性字段信息;判定所述第一属性字段信息与所述第二属性字段信息是否一致;若一致,则将所述第二安全事件作为噪声事件,并丢弃所述噪声事件;若不一致,则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。2.如权利要求1所述的方法,其特征在于,在获取所述第一安全事件对应的第一属性字段信息之前,所述方法还包括:确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识;将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。3.如权利要求1所述的方法,其特征在于,所述获取所述第一安全事件对应的第一属性字段信息,包括:在所述预设规则场景库中确定出事件属性字段;在所述第一安全事件中提取出所述事件属性字段对应的第一属性字段信息。4.如权利要求1所述的方法,其特征在于,所述根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件,包括:在所述第一安全事件中提取出第一执行操作信息,其中,所述第一执行操作信息表征了所述第一安全事件执行的操作;在所述第二安全事件中提取出第二执行操作信息,其中,所述第二执行操作信息表征了所述第二安全事件执行的操作;根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。5.如权利要求4所述的方法,其特征在于,所述根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件,包括:通过哈希算法,计算所述第一执行操作信息对应的第一哈希值以及计算所述第二执行操作信息对应的第二哈希值;计算所述第一哈希值...
【专利技术属性】
技术研发人员:张起辉,曹诗文,陈龙如,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。