【技术实现步骤摘要】
安全事件生成方法、装置、设备及计算机可读存储介质
[0001]本申请实施例涉及安全事件生成领域,更具体的,是安全事件生成方法、装置、设备及计算机可读存储介质。
技术介绍
[0002]在网络安全技术的快速发展,终端设备会存在越来越多的告警信息,为了保证终端设备的安全运行,因此,需要将告警信息生成安全事件,以可以对安全事件进行处置。其中,安全事件是用来描述网络中同一设备或不同设备产生对客户具有危害的行为日志的组合,通过更抽象的方式描述黑客或者不法分子等进行的一系列的网络活动。
[0003]现有的生成安全事件的方法是,获得终端设备的告警信息之后,安全防御设备可以通过预设检测查杀方式生成该终端设备的告警信息的安全事件,以对安全事件进行处置,其中,安全防御设备可以是网关出入口防火墙、AF,IDS,IPS,漏洞扫描设备,网闸等,预设检测查杀方式比如是通过网络链接信息进行检测查杀,或通过本地文件进行检测查杀等,并且,在不同的攻击阶段可以有不同的检测查杀方式。
[0004]但是,现有的生成安全事件的方法只是通过预设检测查杀方...
【技术保护点】
【技术特征摘要】
1.一种安全事件生成方法,其特征在于,包括:获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。2.根据权利要求1所述的方法,其特征在于,所述属性信息包括规则置信度,所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度,所述多个告警信息对应的待检测数据触发了多个规则;所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括:确定所述多个规则各自对应的规则置信度;根据所述多个规则的规则置信度对所述告警信息进行分析以确定是否满足生成安全事件的条件。3.根据权利要求1所述的方法,其特征在于,所述属性信息包括规则标识,所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括:基于所述规则标识将所述多个告警信息各自映射到对应的攻击阶段;基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。4.根据权利要求3所述的方法,其特征在于,所述基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件,包括:基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型;基于所述每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。5.根据权利要求1所述的方法,其特征在于,所述根据预设方式将所述告警信息生成安全事件,包括:确定所述告警信息所属于的目标安全事件;若所述目标安全事件为历史的安全事件,则将所述告警信息加入所述历史的安全事件;若确定所述告警信息不属于历史的安全事件,则将所述告...
【专利技术属性】
技术研发人员:刘送智,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。