安全告警转化为安全事件的方法、装置及存储介质制造方法及图纸

本发明专利技术公开一种安全告警转化为安全事件的方法、装置及存储介质，所述方法包括：获取第一告警数据；利用告警归并策略提取或创建第一告警数据的事件ID，以将属于同一事件ID的所述第一告警数据进行归类，得到第二告警数据；利用事件输出策略对第二告警数据进行自定义赋值，得到第三告警数据；利用事件信息策略对与第三告警数据进行分组，得到安全事件。本发明专利技术可灵活配置事件策略流程，利用事件策略提取或创建告警数据的事件ID，将属于同一所述事件ID的第一告警数据进行归类，并对归类后的告警数据进行自定义赋值和分组，生成相关安全事件。通过对告警数据入库归并方式，消除了告警风暴，降低了对威胁的分析与响应成本。降低了对威胁的分析与响应成本。降低了对威胁的分析与响应成本。

【技术实现步骤摘要】
安全告警转化为安全事件的方法、装置及存储介质


[0001]本专利技术涉及网络安全
，具体涉及一种安全告警转化为安全事件的方法、装置及存储介质。

技术介绍

[0002]当前，在安全防护体系中，企业和单位大多使用堆叠安全设备的方式，在日常的安全运营过程中，完全依赖安全设备告警。但是在实际的运营中，虽然安全设备名称不同或产生的告警名称不同，但实际大都是基于特征、行为的检测而产生的数据。所以，通常会在在实际的环境中，看到同一个资产，包含大量的、重复的告警。
[0003]由于资产繁多，会产生大量的告警，特性是间隔短，数量多，单凭人工手段，无法判别这些告警，到底是属于一个或多个攻击者的重复行为，还是由多个安全设备的产生的同一类的重复的告警。
[0004]当前安全运营平台存在一定的局限性，只能对同源地址、同目的地址、同名称、同威胁级别等四种或四种以上相同特征的告警进行归并，其他的告警信息只能分散读取。在面对大量的告警时，分析人员很难抓住重点，只能花费大量时间与精力去做调查分析研判，造成大量的重复性工作与时间成本浪费。
[0005]由于平台无法快速的为分析人员提供所需所求，人工也无法快速识别出资产受到攻击的数量和种类，目前采取的处理方式是关注高威胁级别的告警，舍去中低威胁级别的告警。但这种处理方式，会给系统预留大量隐患，在系统发生异常时，才发觉自身被攻击。
[0006]相关技术中，申请号为200910091833.2的专利技术专利申请公开了一种用于集群监控的告警通知系统和方法，该系统设置有告警接收装置，用于接收来自集群系统的告警信息；发送策略管理装置，用于维护发送策略，并将所接收的告警信息与所维护的发送策略进行匹配，找到与告警信息匹配的发送策略；以及告警信息发送装置，用于根据与告警信息匹配的发送策略发送告警信息。通过将所接收的告警信息与所维护的发送策略进行匹配，找到与告警信息匹配的发送策略，并根据与告警信息匹配的发送策略发送告警信息，能够很好地控制何种告警以何种方式发送给何人的逻辑。但该告警通知系统并未对告警进行归并，其实质上未消除告警风暴。

技术实现思路

[0007]本专利技术所要解决的技术问题在于如何消除告警风暴，降低对威胁的分析与响应成本。
[0008]本专利技术通过以下技术手段实现解决上述技术问题的：
[0009]一方面，本专利技术实施例提供了一种安全告警转化为安全事件的方法，用于采用预置的至少一个事件策略将告警转化为安全事件，所述事件策略包括告警归并策略、事件输出策略和事件信息策略，所述方法包括：
[0010]获取第一告警数据；
[0011]利用告警归并策略提取或创建所述第一告警数据的事件ID，以将属于同一所述事件ID的所述第一告警数据进行归类，得到第二告警数据；
[0012]利用事件输出策略对所述第二告警数据进行自定义赋值，得到第三告警数据；
[0013]利用事件信息策略对与所述第三告警数据进行分组，得到安全事件。
[0014]本专利技术可灵活配置事件策略流程，利用事件策略提取或创建告警数据的事件ID，将属于同一所述事件ID的所述第一告警数据进行归类，并对归类后的告警数据进行自定义赋值和分组，生成相关安全事件。通过对告警数据入库归并方式，消除了告警风暴，降低了对威胁的分析与响应成本。
[0015]进一步地，所述利用告警归并策略提取或创建所述第一告警数据的事件ID，包括：
[0016]基于所述第一告警数据中告警字段值，确定是否存在目标事件ID，所述目标事件ID基于所述告警字段值相同的告警数据所产生；
[0017]若是，则提取所述目标事件ID作为所述第一告警数据的事件ID；
[0018]若否，则创建新的事件ID作为所述第一告警数据的事件ID。
[0019]进一步地，所述基于所述第一告警数据中告警字段值，确定是否存在目标事件ID，包括：
[0020]根据所述第一告警数据中告警字段值，在预定义的分组条件中确定与所述第一告警数据属于同一类别的自定义告警字段；
[0021]根据所述自定义告警字段，查找处于时间窗口内的历史告警数据；
[0022]判断所述历史告警数据是否产生历史事件ID；
[0023]若是，则确定所述历史事件ID为所述目标事件ID；
[0024]若否，则确定不存在所述目标事件ID。
[0025]进一步地，所述创建新的事件ID作为所述第一告警数据的事件ID，包括：
[0026]判断所述第一告警数据中告警字段值与统计字段的次数是否匹配；
[0027]若是，则创建所述新的事件ID作为所述第一告警数据的事件ID；
[0028]若否，则确定流程结束。
[0029]进一步地，所述利用事件输出策略对所述第二告警数据进行自定义赋值，得到第三告警数据，包括：
[0030]对所述第二告警数据中各数据的告警字段值取样，得到取样字段；
[0031]基于所述取样字段中包含的信息，对所述第二告警数据进行自定义赋值，得到所述第三告警数据。
[0032]进一步地，所述方法还包括：
[0033]按照设定的展示格式，将所述第三告警数据进行展示。
[0034]进一步地，在所述获取第一告警数据之后，还包括：
[0035]判断所述第一告警数据是否满足所述事件策略的必要条件；
[0036]若是，则利用与所述第一告警数据匹配的所述事件策略对所述第一告警数据进行处理；
[0037]若否，则确定流程结束。
[0038]进一步地，所述方法还包括：
[0039]判断所述第一告警数据中是否存在与过滤名单中匹配一致的告警字段值；
[0040]若是，则确定流程结束；
[0041]若否，则确定所述低第一告警数据为有效告警数据；
[0042]利用所述告警归并策略提取或创建所述有效告警数据的事件ID。
[0043]第二方面，本专利技术实施例提供了一种安全告警转化为安全事件的装置，所述装置包括：
[0044]获取模块，用于获取第一告警数据；
[0045]以及至少一个策略模块，包括：
[0046]告警归并单元，用于提取或创建所述第一告警数据的事件ID，以将属于同一所述事件ID的所述第一告警数据进行归类，得到第二告警数据；
[0047]事件输出单元，用于对所述第二告警数据进行自定义赋值，得到第三告警数据；
[0048]事件信息单元，用于对所述第三告警数据进行分组，得到安全事件。
[0049]第三方面，本专利技术实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如上所述的方法。
[0050]本专利技术的优点在于：
[0051](1)可灵活配置事件策略流程，利用事件策略提取或创建告警数据的事件ID，将属于同一所述事件ID的第一告警数据进行归类，并对归类后的告警数据进行自定义赋值和分组，生成相关安全事件。通过对告警数据入库本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全告警转化为安全事件的方法，其特征在于，用于采用预置的至少一个事件策略将告警转化为安全事件，所述事件策略包括告警归并策略、事件输出策略和事件信息策略，所述方法包括：获取第一告警数据；利用告警归并策略提取或创建所述第一告警数据的事件ID，以将属于同一所述事件ID的所述第一告警数据进行归类，得到第二告警数据；利用事件输出策略对所述第二告警数据进行自定义赋值，得到第三告警数据；利用事件信息策略对所述第三告警数据进行分组，得到安全事件。2.如权利要求1所述的安全告警转化为安全事件的方法，其特征在于，所述利用告警归并策略提取或创建所述第一告警数据的事件ID，包括：基于所述第一告警数据中告警字段值，确定是否存在目标事件ID，所述目标事件ID基于所述告警字段值相同的告警数据所产生；若是，则提取所述目标事件ID作为所述第一告警数据的事件ID；若否，则创建新的事件ID作为所述第一告警数据的事件ID。3.如权利要求2所述的安全告警转化为安全事件的方法，其特征在于，所述基于所述第一告警数据中告警字段值，确定是否存在目标事件ID，包括：根据所述第一告警数据中告警字段值，在预定义的分组条件中确定与所述第一告警数据属于同一类别的自定义告警字段；根据所述自定义告警字段，查找处于时间窗口内的历史告警数据；判断所述历史告警数据是否产生历史事件ID；若是，则确定所述历史事件ID为所述目标事件ID；若否，则确定不存在所述目标事件ID。4.如权利要求2所述的安全告警转化为安全事件的方法，其特征在于，所述创建新的事件ID作为所述第一告警数据的事件ID，包括：判断所述第一告警数据中告警字段值与统计字段的次数是否匹配；若是，则创建所述新的事件ID作为所述第一告警数据的事件ID；若否，则确定流程结束。5.如权...

【专利技术属性】
技术研发人员：陆海涛，陈宇耀，张瀚之，胡绍勇，
申请(专利权)人：上海观安信息技术股份有限公司，
类型：发明
国别省市：