一种安全告警降噪的方法技术

本发明专利技术公开了一种安全告警降噪的方法，包括：S1：接收告警；S2：匹配安全告警降噪规则；S3：如果安全告警未匹配成功，新创建1条安全告警降噪规则；S4：如果安全告警匹配成功，计算告警时间是否在预设时间周期内：如果在预设时间周期内，不允许新呈现安全告警，继续判断安全降噪规则上是否存在安全研判方案；如果不在预设时间周期内，不对安全告警降噪，直接入库到安全研判列表。本发明专利技术对已有研判方案的告警实现自动化处置降噪，以减少安全运营人员的工作量；实现自动生成降噪规则，增加动态多次多人确认机制、风险资产告警确认机制，降低安全运营人员工作难度及规则配置过程中的不确定性和带来的潜在安全隐患；提升安全降噪规则匹配效率。

【技术实现步骤摘要】

本专利技术涉及安全告警降噪，具体涉及一种安全告警降噪的方法。

技术介绍

1、安全告警降噪是指对接收到的安全告警进行筛选和优化，减少误报告警和低价值告警，以提高安全团队的研判效率和准确性。

2、随着新一代信息技术加速迭代和数字经济的发展，企业、医院、教育、政府、金融等各行各业的安全建设逐渐成熟，采购和投入使用的安全设备越来越多，如防火墙、ips/ids、威胁情报、邮件安全、云安全、edr、态势感知、waf、apt、安全沙箱等，由于不同安全设备同时检测相同的网络流量、安全设备检测规则比较宽泛等多种原因，导致安全设备每天产生海量的安全告警，导致安全运营人员的工作量呈数倍增长，且呈现出日益加剧的趋势。

3、现有的技术方案主要采用的降噪方案如下：

4、1）对不同安全设备对同一份网络流量检测到的相同的攻击类型告警去重或聚合在一起，只保留一条呈现给安全运营人员。

5、2）按照不同的维度，如攻击者、攻击者+受害者等，将告警归类合并，只保留一条呈现给安全运营人员。

6、3）预设安全降噪规则，将匹配到安全降噪规则的告本文档来自技高网...

【技术保护点】

1.一种安全告警降噪的方法，其特征在于，包括：

2.根据权利要求1所述的安全告警降噪的方法，其特征在于，S4中继续判断安全降噪规则上是否存在安全研判方案具体如下：

3.根据权利要求1所述的安全告警降噪的方法，其特征在于，S2中所述安全告警降噪规则的内容包括如下字段：

4.根据权利要求1所述的安全告警降噪的方法，其特征在于，S2中自动生成安全告警去重降噪规则具体为：

5.根据权利要求4所述的安全告警降噪的方法，其特征在于，生成所述规则优先级的算法如下：

6.根据权利要求1所述的安全告警降噪的方法，其特征在于，S2中所述根据安全研判...

【技术特征摘要】

1.一种安全告警降噪的方法，其特征在于，包括：

2.根据权利要求1所述的安全告警降噪的方法，其特征在于，s4中继续判断安全降噪规则上是否存在安全研判方案具体如下：

3.根据权利要求1所述的安全告警降噪的方法，其特征在于，s2中所述安全告警降噪规则的内容包括如下字段：

4.根据权利要求1所述的安全告警降噪的方法，其特征在于，s2中自动生成安全告警去重降噪规则具体为：

5.根据权利要求4所述的安全告警降噪的方法，其特征在于，生成所述规则优先级的算法如下：

6.根据权利要求1所述的安全告警降噪的方法，其特征在于，s2中所述根据安全研判方案自动生成的安全告警自动处置降噪规...

【专利技术属性】
技术研发人员：冯森，芮晨，高云峰，杨校林，
申请(专利权)人：中国交通信息科技集团有限公司，
类型：发明
国别省市：