终端设备的安全告警方法及安全告警系统技术方案

本申请公开一种终端设备的安全告警方法及安全告警系统，涉及安全告警技术领域。本申请的方法包括：接收目标终端设备发送的目标操作日志和所述目标终端设备对应的唯一标识；根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，其中，所述告警信息数据表中包含当前监控周期内每个已触发安全问题终端设备对应的唯一标识和每个所述已触发安全问题终端设备对应的触发安全问题次数；基于所述告警信息数据表包含的数据判断是否满足告警规则，其中，所述告警规则中包含多个告警条件；若满足，则将所述告警信息数据表发送至终端安全管理系统。据表发送至终端安全管理系统。据表发送至终端安全管理系统。

【技术实现步骤摘要】
终端设备的安全告警方法及安全告警系统


[0001]本申请涉及安全告警
，尤其涉及一种终端设备的安全告警方法及安全告警系统。

技术介绍

[0002]用户在使用终端设备的过程中，会对终端设备进行大量的操作，每一个操作都有可能与终端设备的安全性相关，因此，监控用户的操作是否触发安全问题，并在确定用户的操作触发安全问题时，合理的进行安全告警，便是终端设备安全管理需要完成的重要工作。
[0003]目前，企业或政府等组织通常通过终端安全管理系统监控自身内部包含的多个终端设备是否触发安全问题，并根据多个终端设备触发安全问题的情况和预先制定的告警规则进行安全告警。然而，终端安全管理系统除了需要监控多个终端设备是否触发安全问题，并根据多个终端设备触发安全问题的情况进行安全告警外，还需要执行对多个终端设备的操作系统进行检查、修复等其他任务，因此，当制定的告警规则中包含多样化的告警条件，需要终端安全管理系统实现较为复杂的业务逻辑时，可能会影响终端安全管理系统的正常运行。

技术实现思路

[0004]本申请实施例提供一种终端设备的安全告警方法及安全告警系统，主要目的在于当需要根据包含多样化告警条件的告警规则进行安全告警时，保证终端安全管理系统的正常运行。
[0005]为解决上述技术问题，本申请实施例提供如下技术方案：
[0006]第一方面，本申请提供了一种终端设备的安全告警方法，所述方法应用于安全告警系统，包括：
[0007]接收目标终端设备发送的目标操作日志和所述目标终端设备对应的唯一标识；
[0008]根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，其中，所述告警信息数据表中包含当前监控周期内每个已触发安全问题终端设备对应的唯一标识和每个所述已触发安全问题终端设备对应的触发安全问题次数；
[0009]基于所述告警信息数据表包含的数据判断是否满足告警规则，其中，所述告警规则中包含多个告警条件；
[0010]若满足，则将所述告警信息数据表发送至终端安全管理系统。
[0011]可选的，所述目标操作日志具体为未知操作日志；所述根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，包括：
[0012]根据违规操作规则确定所述未知操作日志是否为违规操作日志，其中，所述违规操作规则中包含多个能够触发安全问题的违规操作；
[0013]若是，则判断所述告警信息数据表中是否存在所述目标终端设备对应的唯一标识；
[0014]若存在，则更新所述目标终端设备对应的触发安全问题次数；
[0015]若不存在，则将所述目标终端设备对应的唯一标识添加至所述告警信息数据表中，并将所述目标终端设备对应的触发安全问题次数设置为1。
[0016]可选的，所述目标操作日志具体为违规操作日志；所述根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，包括：
[0017]判断所述告警信息数据表中是否存在所述目标终端设备对应的唯一标识；
[0018]若存在，则更新所述目标终端设备对应的触发安全问题次数；
[0019]若不存在，则将所述目标终端设备对应的唯一标识添加至所述告警信息数据表中，并将所述目标终端设备对应的触发安全问题次数设置为1。
[0020]可选的，所述告警规则还包含监控周期；所述方法还包括：
[0021]根据所述监控周期清空所述告警信息数据表包含的数据。
[0022]可选的，所述方法还包括：
[0023]将所述目标操作日志和所述目标终端设备对应的唯一标识发送至第三方告警平台；
[0024]当接收到所述第三方告警平台基于所述目标操作日志和所述目标终端设备对应的唯一标识发送的告警信息时，将所述告警信息发送至所述终端安全管理系统。
[0025]可选的，所述将所述告警信息数据表发送至终端安全管理系统，包括：
[0026]向所述终端安全管理系统发送携带有所述告警信息数据表的告警邮件；和/或
[0027]将所述告警信息数据表发送至所述终端安全管理系统对应的数据库中。
[0028]可选的，所述基于所述告警信息数据表包含的数据判断是否满足告警规则，包括：
[0029]按照预置规则对所述告警信息数据表包含的数据进行多维度统计处理，以获得多个统计结果；
[0030]根据多个所述统计结果判断是否满足多个所述告警条件。
[0031]可选的，多个所述告警条件包括：当前监控周期内N个终端设备触发安全问题、所述当前监控周期内任意一个终端设备触发安全问题的次数大于M次、所述当前监控周期内目标分组中P个终端设备触发安全问题、所述当前监控周期内目标分组中任意一个终端设备触发安全问题的次数大于Q次中的任意多个，其中，N、M、P、Q均为正整数。
[0032]第二方面，本申请还提供一种安全告警系统，包括：
[0033]接收单元，用于接收目标终端设备发送的目标操作日志和所述目标终端设备对应的唯一标识；
[0034]更新单元，用于根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，其中，所述告警信息数据表中包含当前监控周期内每个已触发安全问题终端设备对应的唯一标识和每个所述已触发安全问题终端设备对应的触发安全问题次数；
[0035]判断单元，用于基于所述告警信息数据表包含的数据判断是否满足告警规则，其中，所述告警规则中包含多个告警条件；
[0036]第一发送单元，用于当所述判断单元判定满足所述告警规则时，将所述告警信息数据表发送至终端安全管理系统。
[0037]可选的，所述目标操作日志具体为未知操作日志；所述更新单元包括：
[0038]确定模块，用于根据违规操作规则确定所述未知操作日志是否为违规操作日志，
其中，所述违规操作规则中包含多个能够触发安全问题的违规操作；
[0039]第一判断模块，用于当所述确定模块确定所述未知操作日志为违规操作日志时，判断所述告警信息数据表中是否存在所述目标终端设备对应的唯一标识；
[0040]第一更新模块，用于当所述第一判断模块判定所述告警信息数据表中存在所述目标终端设备对应的唯一标识时，更新所述目标终端设备对应的触发安全问题次数；
[0041]第一添加模块，用于当所述第一判断模块判定所述告警信息数据表中不存在所述目标终端设备对应的唯一标识时，将所述目标终端设备对应的唯一标识添加至所述告警信息数据表中，并将所述目标终端设备对应的触发安全问题次数设置为1。
[0042]可选的，所述目标操作日志具体为违规操作日志；所述更新单元包括：
[0043]第二判断模块，用于判断所述告警信息数据表中是否存在所述目标终端设备对应的唯一标识；
[0044]第二更新模块，用于当所述第二判断模块判定所述告警信息数据表中存在所述目标终端设备对应的唯一标识时，更新所述目标终端设备对应的触发安全问题次数；
[00本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种终端设备的安全告警方法，其特征在于，所述方法应用于安全告警系统，包括：接收目标终端设备发送的目标操作日志和所述目标终端设备对应的唯一标识；根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，其中，所述告警信息数据表中包含当前监控周期内每个已触发安全问题终端设备对应的唯一标识和每个所述已触发安全问题终端设备对应的触发安全问题次数；基于所述告警信息数据表包含的数据判断是否满足告警规则，其中，所述告警规则中包含多个告警条件；若满足，则将所述告警信息数据表发送至终端安全管理系统。2.根据权利要求1所述的方法，其特征在于，所述目标操作日志具体为未知操作日志；所述根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，包括：根据违规操作规则确定所述未知操作日志是否为违规操作日志，其中，所述违规操作规则中包含多个能够触发安全问题的违规操作；若是，则判断所述告警信息数据表中是否存在所述目标终端设备对应的唯一标识；若存在，则更新所述目标终端设备对应的触发安全问题次数；若不存在，则将所述目标终端设备对应的唯一标识添加至所述告警信息数据表中，并将所述目标终端设备对应的触发安全问题次数设置为1。3.根据权利要求1所述的方法，其特征在于，所述目标操作日志具体为违规操作日志；所述根据所述目标操作日志和所述目标终端设备对应的唯一标识更新告警信息数据表，包括：判断所述告警信息数据表中是否存在所述目标终端设备对应的唯一标识；若存在，则更新所述目标终端设备对应的触发安全问题次数；若不存在，则将所述目标终端设备对应的唯一标识添加至所述告警信息数据表中，并将所述目标终端设备对应的触发安全问题次数设置为1。4.根据权利要求1所述的方法，其特征在于，所述告警规则还包含监控周期；所述方法还包括：根据所述监控周期清空所述告警信息数据表包含的数据。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述目标操作日志和所述目标终端设备对应的唯一标识发送至第三方告警平台；当接收到所述第三方告警平台基于所述目标操作日志和所述目标终端设备对应的唯一标识发送的告警信息时，将所述告警信息发送至所述终端安全管理系...

【专利技术属性】
技术研发人员：董洪伟，
申请(专利权)人：网神信息技术北京股份有限公司，
类型：发明
国别省市：