本申请涉及一种安全事件状态的标记方法、系统、装置、设备及存储介质。该方法包括:获取安全事件平台上未处理安全事件在不同时刻的发生次数;基于发生次数,从不同时刻中确定未处理安全事件对应的断点时刻,从断点时刻开始,当确定不存在有效攻击事件时,标记未处理事件的状态为已处理。本申请实施例在自动化不足或者不信任的情况下,自动识别实际上已处理过的安全事件,自动标记为已处理,减轻了运营人员的手工人力,进一步提升了客户处理安全问题的工作效率,以及保持安全事件管理平台数据的及时有效。的及时有效。的及时有效。
【技术实现步骤摘要】
安全事件状态的标记方法、系统、装置、设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种安全事件状态的标记方法、系统、装置、设备及存储介质。
技术介绍
[0002]安全事件管理平台作为集中式的网络安全运营中心,担负着监控整网安全态势。安全事件作为一个核心的环节,围绕着安全事件的全生命周期,形成企业对网络安全的持续运营。在网络安全事件管理平台中,每一条安全事件都描述了一次攻击,一次异常行为。需要持续不断的对出现的安全事件进行处理,把安全事件的状态按照流程走下去,进行闭环。
[0003]而安全事件管理平台会根据事件的状态进而识别风险资产,统计相关的报告,这就要求客户运营人员持续不断的对安全事件的状态进行闭环标记。在实际局点中,发现很多客户并没有持续运营的能力,安全事件长期得不到处理。即使有对安全事件进行实地处理,也不会再到安全事件管理平台进行标记,导致安全事件长期停留在错误的状态上,进而导致风险资产识别出现误差,统计报表失去意义。
[0004]当前能自动标记安全事件的功能是联动处置,即实际部署环境中,安全事件管理平台与设备进行了联动,全部自动化处置后,对安全事件进行自动标记。但是在实际的使用中,自动化的联动应用非常小,很多客户几乎都没有进行联动,一方面部分局点不具备联动条件,另一方面也是担心出现不可预料的问题。因此导致客户实际环境中仍有相当部分的安全事件是未处理的状态。
技术实现思路
[0005]本申请提供了一种安全事件状态的标记方法、系统、装置、设备及存储介质,用以解决现有技术中,自动化不足或者不信任的情况下,安全事件长期得不到处理及标记的问题。
[0006]第一方面,本申请实施例提供了一种安全事件状态的标记方法,包括:
[0007]获取安全事件平台上未处理安全事件在不同时刻的发生次数;
[0008]基于所述发生次数,从所述不同时刻中确定所述未处理安全事件对应的断点时刻,所述断点时刻对应的发生次数小于次数阈值;
[0009]从所述断点时刻开始,当确定不存在有效攻击事件时,标记所述未处理事件的状态为已处理;所述有效攻击事件为与所述未处理事件相关的主机对其他主机发起的攻击事件。
[0010]可选的,所述基于所述发生次数,从所述不同时刻中确定所述未处理安全事件对应的断点时刻之前,还包括:
[0011]基于所述发生次数,获取所述未处理安全事件的发生次数小于所述次数阈值的M个时刻;
[0012]确定所述M个时刻的个数不小于个数阈值。
[0013]可选的,确定不存在所述有效攻击事件,包括:
[0014]获取所述未处理安全事件的事件类型;
[0015]获取与所述事件类型匹配的事件类型确定策略;
[0016]按照所述事件类型确定策略,确定不存在所述有效攻击事件。
[0017]可选的,所述事件类型包括以下至少一种:
[0018]扫描入侵类;
[0019]横向扩充类;
[0020]远控外联类;
[0021]破坏类。
[0022]可选的,所述获取安全事件平台上未处理安全事件在不同时刻的发生次数,包括:
[0023]获取所述安全事件平台在每个时刻发生的未处理安全事件;
[0024]基于安全事件标识,从所述每个时刻发生的未处理安全事件中,统计得到所述未处理安全事件在不同时刻的发生次数。
[0025]可选的,所述安全事件标识包括以下至少一种:
[0026]源IP;
[0027]源端口;
[0028]目的IP;
[0029]目的端口。
[0030]第二方面,本申请实施例提供了一种安全事件状态的标记系统,包括:
[0031]安全事件平台和主机;
[0032]所述安全事件平台用于获取安全事件平台上未处理安全事件在不同时刻的发生次数;
[0033]基于所述发生次数,从所述不同时刻中确定所述未处理安全事件对应的断点时刻,所述断点时刻对应的发生次数小于次数阈值;
[0034]从所述断点时刻开始,当确定不存在有效攻击事件时,标记所述未处理事件的状态为已处理;所述有效攻击事件为与所述未处理事件相关的主机对其他主机发起的攻击事件。
[0035]第三方面,本申请实施例提供了一种安全事件状态的标记装置,包括:
[0036]获取模块,用于获取安全事件平台上未处理安全事件在不同时刻的发生次数;
[0037]确定模块,用于基于所述发生次数,从所述不同时刻中确定所述未处理安全事件对应的断点时刻,所述断点时刻对应的发生次数小于次数阈值;
[0038]标记模块,用于从所述断点时刻开始,当确定不存在有效攻击事件时,标记所述未处理事件的状态为已处理;所述有效攻击事件为与所述未处理事件相关的主机对其他主机发起的攻击事件。
[0039]第四方面,本申请实施例提供了一种电子设备,包括:
[0040]处理器、存储器和通信总线,其中,处理器和存储器通过通信总线完成相互间的通信;
[0041]所述存储器,用于存储计算机程序;
[0042]所述处理器,用于执行所述存储器中所存储的程序,实现第一方面所述的安全事件状态的标记方法。
[0043]第五方面,本申请实施例提供了一种计算机可读存储介质,存储有计算机程序,实现第一方面所述的安全事件状态的标记方法。
[0044]本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请实施例提供的该方法,获取安全事件平台上未处理安全事件在不同时刻的发生次数;基于发生次数,从不同时刻中确定未处理安全事件对应的断点时刻,从断点时刻开始,当确定不存在有效攻击事件时,标记未处理事件的状态为已处理。本申请实施例在自动化不足或者不信任的情况下,自动识别实际上已处理过的安全事件,自动标记为已处理,减轻了运营人员的手工人力,进一步提升了客户处理安全问题的工作效率,以及保持安全事件管理平台数据的及时有效。
附图说明
[0045]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本专利技术的实施例,并与说明书一起用于解释本专利技术的原理。
[0046]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0047]图1为本申请实施例中一种安全事件状态的标记方法的流程示意图;
[0048]图2为本身申请实施例中一种安全事件状态的标记系统的结构示意图;
[0049]图3为本申请实施例中一种安全事件状态的标记装置的结构示意图;
[0050]图4为本申请实施例提供的电子设备的结构示意图。
具体实施方式
[0051]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全事件状态的标记方法,其特征在于,包括:获取安全事件平台上未处理安全事件在不同时刻的发生次数;基于所述发生次数,从所述不同时刻中确定所述未处理安全事件对应的断点时刻,所述断点时刻对应的发生次数小于次数阈值;从所述断点时刻开始,当确定不存在有效攻击事件时,标记所述未处理事件的状态为已处理;所述有效攻击事件为与所述未处理事件相关的主机对其他主机发起的攻击事件。2.根据权利要求1所述的方法,其特征在于,所述基于所述发生次数,从所述不同时刻中确定所述未处理安全事件对应的断点时刻之前,还包括:基于所述发生次数,获取所述未处理安全事件的发生次数小于所述次数阈值的M个时刻;确定所述M个时刻的个数不小于个数阈值。3.根据权利要求1所述的方法,其特征在于,确定不存在所述有效攻击事件,包括:获取所述未处理安全事件的事件类型;获取与所述事件类型匹配的事件类型确定策略;按照所述事件类型确定策略,确定不存在所述有效攻击事件。4.根据权利要求3所述的方法,其特征在于,所述事件类型包括以下至少一种:扫描入侵类;横向扩充类;远控外联类;破坏类。5.根据权利要求1所述的方法,其特征在于,所述获取安全事件平台上未处理安全事件在不同时刻的发生次数,包括:获取所述安全事件平台在每个时刻发生的未处理安全事件;基于安全事件标识,从所述每个时刻发生的未处理安全事件中,统计得到所述未处理安全事件在不同时刻的发生次数。6.根据权利要求5所述的方法,其特征在于,所述安全事件标识包括以下至少一种:源IP;源端口;目的IP;...
【专利技术属性】
技术研发人员:胡丽苗,
申请(专利权)人:上海金电网安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。