CN108494727A - 一种用于网络安全管理的安全事件闭环处理方法 - Google Patents

Abstract

本发明公开了一种用于网络安全管理的安全事件闭环处理方法，包括：事件采集器从安全设备和系统中采集安全事件和预警日志，进行数据清洗/过滤、归并和规范化处理后，存储至数据库；系统调度扫描器对受保护的资产进行扫描，发现资产漏洞和获取资产信息，从数据库中读取所述安全事件和预警日志，将安全事件与资产漏洞进行关联分析，并对安全事件的风险性定级；对步骤S200中风险性定级为高风险的安全事件，发出告警；对告警进行记录并处理；再次采集安全设备和系统中的资产漏洞，确认已消除预警。安全事件闭环处理流程能整合和收集各种安全信息，并汇总到一起进行统一分析和检测。数据由离散变为集中，便于操作，提高工作效率。

Description

一种用于网络安全管理的安全事件闭环处理方法

技术领域

本发明涉及网络安全技术领域，具体的说，是一种用于网络安全管理的安全事件闭环处理方法。

背景技术

由于安全设备种类繁多、预警日志数量众多，安全防护设备与安全扫描设备间相互缺乏信息交互，无法对安全资源有效整合，各个安全设备形成安全孤岛，无法最大化发挥应有价值。企业安全管理人员难以结合网络安全威胁和资产脆弱性对网络安全态势进行全面的分析和掌控，无法形成各类告警事件的采集、分析、告警、响应和整改的流程化管理。负责信息安全的人员和部门往往不能将主要经历用于关键风险事件的处理上。企业通常会选择多种安全产品，例如防火墙、入侵检测系统、防病毒产品、VPN和漏洞扫描工具等，各种产品部署分散、相互割裂，每一种产品都有各自的控制台和数据库，导致独立分散的安全数据孤岛，管理员没有时间分别处理来自不同产品数以百万的安全事件，高优先级安全事件长时间得不到关注，消失在海量安全事件中。同时，安全设备在对网络进行保护时会产生大量的安全事件日志，包括系统攻击、网站攻击、病毒、木马、蠕虫等等，不同厂家的设备产生的事件类型都不一样。这些安全事件，不但种类繁多，并且误报率高，给安全管理人员在操作上带来了很大的不确定性。

发明内容

本发明的目的在于提供一种用于网络安全管理的安全事件闭环处理方法，用于解决现有技术中的安全设备产生的安全事件日志类型不统一导致管理员操作繁琐、处理效率不高的问题。

为了达到上述目的，本发明通过下述技术方案实现：

一种用于网络安全管理的安全事件闭环处理方法，包括：

步骤S100：事件采集器从安全设备和系统中采集安全事件和预警日志，进行数据清洗/过滤、归并和规范化处理后，存储至数据库；

步骤S200：系统调度扫描器对受保护的资产进行扫描，发现资产漏洞和获取资产信息，从数据库中读取所述安全事件和预警日志，将安全事件与资产漏洞进行关联分析，并对安全事件的风险性定级；

步骤S300：对步骤S200中风险性定级为高风险的安全事件，发出告警；

步骤S400：对告警进行记录并处理；

步骤S500：再次采集安全设备和系统中的资产漏洞，确认已消除预警。

工作原理：

系统的基础数据平台负责安全数据的集中采集，通过事件采集器集中地从各种安全设备采集安全事件和预警日志，从不同种类的安全设备采集的离散的事件类型，预警日志类型不一，首先需要进行统一过滤，丢弃掉符合过滤规则的数据，对其他数据进行标准格式化，然后在统一归档，存储至数据库，形成数据仓库，作为关联分析和风险评估的基础。系统调度扫描器对受保护的资产包括主机和网站进行定期或者不定期的扫描，对扫描发现的资产漏洞和获取的资产信息进行归并。这些资产漏洞构成了资产的脆弱性，为了获得更完整、全面的漏洞检测，系统可以调度不同厂家、不同型号的扫描器进行交叉扫描，并对扫面结果进行合并。将扫描到的资产漏洞与采集的安全事件融合在一起，并采用关联分析引擎进行多种方式的时间关联，包括逻辑关联、交叉关联、清单关联和资产关联，判断安全时间为外部入侵或内部违规，并结合资产漏洞进行风险评估分析，判断为高风险、中风险或者一般风险。系统对定义为高风险的安全事件进行告警。根绝预设的告警策略，告警策略包括可执行邮件、短信、Syslog等方式，通知负责人。系统对事件的告警进行记录，并记录处理过程。负责人执行紧急事件处理流程，对存在漏洞的资产进行整改。整改完成后调用扫描器再次进行资产漏洞扫描，确认资产漏洞已被修复，安全事件隐患已消除。采用集中采集、统一过滤、标准格式化、统一归档和关联分析，结合多种扫描工具的接入与调度，来进行资产脆弱性管理和安全事件验证，并根据预定义规则发起安全事件的应急与预警流程、资产漏洞的整改流程，实现对安全事件进行事件采集、漏洞检测、关联分析、风险预警、应急响应和安全整改的闭环处理流程。

进一步地，所述步骤S100具体包括：

步骤S110：定义安全事件的采集范围、采集能力、数据处理和数据存储；

步骤S120：事件采集器进行安全事件和预警日志采集；

步骤S130：将所述安全事件和预警日志进行备份；

步骤S140：将所述安全事件和预警日志进行数据标准化处理；

步骤S150： 将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。

工作原理：

数据采集集中化：明确安全数据采集对象，列出用于分析的数据来源，集中存储；数据标准化：采集后的原始数据经过清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据，规范数据在各个阶段的数据格式；规范、标准化后的数据存储至分布式检索系统以支持对原始数据、标准化数据的全文检索，并存储至分布式文件系统，已支持安全数据共享。

进一步地，所述采集范围包括内部因素，外部因素和情报，所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问，所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问；所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。

工作原理：

通过定义数据采集的范围、采集频率和采集方式，全面采集安全威胁要素，实现安全数据的集中采集、存储、检索及对外接口。采集方式包括主动采集：采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据；被动采集：采集节点通过Syslog、Webservice、Flow等协议被动接收数据；代理采集：在数据源上安装代理进行日志采集，如操作系统日志，应用系统日志等；上传数据：将本地文件系统的文件或文件压缩包上传到系统中。

进一步地，所述步骤S140具体包括：

步骤S141：数据清洗/过滤，将采集的数据与匹配规则进行对比，匹配过滤规则的日志直接丢弃；

步骤S142：数据标准化，根据每种类型数据的标准库规则，实现字段的标准化；

步骤S143：在标准化的数据之后增加资产信息，完成关联补齐；

步骤S144：在关联补齐后的数据增加标记信息，完成数据标签化。

工作原理：

数据的清洗/过滤中过滤掉的数据包括：不属于数据源中的数据；重复数据；噪音数据；数据不完整或不合理性的数据；低于业务需求的最低级别以下的数据。数据标准化：对异构原始数据进行统一格式化处理，以满足存储层数据格式定义的要求。对于被标准化的数据应保存原始日志。数据标准化的原则包括但不限于：在保证基本扩展能力的基础上，根据每种类型数据的标准库规则，实现相关字段的标准化；对于常用的字段，保证字段内容的一致性，消除不同事件对于相似问题描述的不一致性，满足依赖于这些字段的规则的可移植性。未被标准化的数据应保存原始日志。可用于事后为该特定数据再定义标准化规则。关联补齐：采集到的数据之间存在关联性，通过关联补齐后形成完整的数据，能够丰富数据本身，以便于后期的统计分析，数据关联补齐的对象包括但不限于：用户信息、资产信息和威胁情报。数据标签化：基于关联补齐后的数据，结合数据所属业务系统、设备类型等信息，在原数据基础上进行标记。数据标签化的原则包括但不限于：根据业务系统打标签；根据设备类型打标签；根据时间来打标签；根据责任人来打标签；根据数据自身逻辑的分类打标签；根据数据的使用目的打标签。

进一步地，所述步骤S141具体包括：

清洗：采用数据转换组件进行字段提取、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分；

修改：修改错误数据；

删除：删除重复性数据。

工作原理：

清洗：针对数据格式的不一致、数据输入错误、数据不完整等问题，支持对数据进行转换和加工；修改：修改由于业务系统不够健全，在接收输入后没有进行判断直接写入后台数据库造成的错误数据，比如数值数据输成全角数字字符、字符串数据后面有一个回车、日期格式不正确、日期越界等；删除：重复性数据。

进一步地，所述步骤S120具体包括：

步骤S121：制定数据采集的采集频率、采集协议、采集方式和采集部署；

步骤S122：为事件采集器配置不同的数据采集策略，所述数据采集策略包括动态配置采集周期、清洗过滤策略；

步骤S123：事件采集器从安全设备和系统采集安全事件和预警日志采集。

工作原理：

采集方式：采集模块原则上以主动采集为主，被动收集为辅，除了采集对象自身无存储功能，如防火墙，IDS等等设备，可以采用被动采集外，其他的数据优先以主动的方式获取数据。需要支持的数据采集方式如下：主动采集：支持采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据。被动采集：支持采集节点通过Syslog、Webservice、Flow等协议被动接收数据。代理采集：支持在数据源上安装代理进行日志采集，如操作系统日志，应用系统日志等。上传数据：上载数据可以将本地文件系统的文件或文件压缩包上传到系统中。采集部署：支持分布式多节点部署；支持多采集节点存活、健康状态监控，发现节点异常后，及时告警；支持对采集节点性能监控，保证采集性能与数据量匹配，防止数据丢失。采集策略管理：采集策略管理是指对设备的采集策略的管理，包括采集频率、采集协议、采集目标、过滤策略等。平台为每个数据采集器配置不同的采集策略，保证每个数据采集器有针对性的采集数据，如动态配置采集周期，清洗过滤策略等。

进一步地，所述步骤S200中的关联分析包括逻辑关联、交叉关联、资产关联和清单关联；具体步骤包括：

步骤S210：制定安全事件执行策略；

步骤S220：将采集到的安全事件与安全事件执行策略进行匹配；

步骤S230：采用关联分析引擎进行资产关联、清单关联和交叉关联，挖掘安全事件与设备、应用或系统之间的关系；

步骤S240：确定安全事件的风险级别。

工作原理：

逻辑关联，根据安全事件发生的因果关系，进行逻辑上关联分析，支持逻辑的比较和嵌套，支持前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理等；资产关联，将安全事件关联到资产，过滤掉相关程度较低的事件；清单关联，将安全事件与被攻击目标的操作系统、提供的服务等信息进行关联，进一步过滤没有造成安全威胁的事件。清单关联用来实现安全事件攻击类型与受保护资产类型进行关联。系统会对每一个受保护资产建立一份清单，清单内容包括操作系统类型、所提供的服务、开放的端口等信息，如果安全事件的攻击类型与目的主机的清单不匹配，则该安全事件风险值降低；否则，该安全事件的风险值提高；交叉关联用来实现安全事件与资产脆弱性关联分析，是将安全事件与导致安全事件的安全漏洞进行映射，如果该安全事件所依赖的脆弱性在受攻击的主机系统中不存在，则该安全事件风险值降低；否则，该安全事件的风险值提高。为确保交叉关联的完整性和准确性，会采用不同的漏洞扫描工具对目的系统进行漏洞扫描，并对检测结果进行对比与并合，提高脆弱性检测的可信度。通过安全事件与扫描结果的交叉验证，以及不同扫描器扫描结果之间的交叉验证，提高威胁识别准确性，大幅减少需管理员关注的安全事件数量，减轻管理员负担，根据资产、安全事件、漏洞三者之间的关系，智能分析多源海量数据，快速识别高危风险事件，根据预定义策略及时做出响应。

进一步地，所述步骤S400具体包括：

步骤S410：执行预设的应急响应策略，将待执行任务通过短信、邮件下发给负责人；

步骤S420：进行漏洞修复，进行阻断攻击。

响应风险告警，修复资产漏洞，消除了安全隐患。

本发明与现有技术相比，具有以下优点及有益效果：

安全事件闭环处理流程能收集、监视和报告企业中的防火墙、入侵防御系统、防病毒产品、数据防泄漏产品、VPN、访问控制审计产品等发生的行为，用于整合和收集各种安全信息，并汇总到一起进行统一分析和检测。数据由离散变为集中，便于操作，提高工作效率。对漏洞扫描工具进行统一调度和集中管理，能屏蔽不同产品之间的差异，实现企业级安全漏洞的集中标识和管理，同时安全漏洞会与安全事件分析相结合，实现全面的安全风险评估。

附图说明

图1为本发明的架构图；

图2为本发明中数据采集存储的流程图。

具体实施方式

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例1：

结合图1所示，一种用于网络安全管理的安全事件闭环处理方法，包括：

步骤S100：事件采集器从安全设备和系统中采集安全事件和预警日志，进行数据清洗/过滤、归并和规范化处理后，存储至数据库；

步骤S200：系统调度扫描器对受保护的资产进行扫描，发现资产漏洞和获取资产信息，从数据库中读取所述安全事件和预警日志，将安全事件与资产漏洞进行关联分析，并对安全事件的风险性定级；

步骤S300：对步骤S200中风险性定级为高风险的安全事件，发出告警；

步骤S400：对告警进行记录并处理；

步骤S500：再次采集安全设备和系统中的资产漏洞，确认已消除预警。

工作原理：

系统的基础数据平台负责安全数据的集中采集，通过事件采集器集中地从各种安全设备采集安全事件和预警日志，从不同种类的安全设备采集的离散的事件类型，预警日志类型不一，首先需要进行统一过滤，丢弃掉符合过滤规则的数据，对其他数据进行标准格式化，然后在统一归档，存储至数据库，形成数据仓库，作为关联分析和风险评估的基础。系统调度扫描器对受保护的资产包括主机和网站进行定期或者不定期的扫描，对扫描发现的资产漏洞和获取的资产信息进行归并。这些资产漏洞构成了资产的脆弱性，为了获得更完整、全面的漏洞检测，系统可以调度不同厂家、不同型号的扫描器进行交叉扫描，并对扫面结果进行合并。将扫描到的资产漏洞与采集的安全事件融合在一起，并采用关联分析引擎进行多种方式的时间关联，包括逻辑关联、交叉关联、清单关联和资产关联，判断安全时间为外部入侵或内部违规，并结合资产漏洞进行风险评估分析，判断为高风险、中风险或者一般风险。系统对定义为高风险的安全事件进行告警。根绝预设的告警策略，告警策略包括可执行邮件、短信、Syslog等方式，通知负责人。系统对事件的告警进行记录，并记录处理过程。负责人执行紧急事件处理流程，对存在漏洞的资产进行整改。整改完成后调用扫描器再次进行资产漏洞扫描，确认资产漏洞已被修复，安全事件隐患已消除。采用集中采集、统一过滤、标准格式化、统一归档和关联分析，结合多种扫描工具的接入与调度，来进行资产脆弱性管理和安全事件验证，并根据预定义规则发起安全事件的应急与预警流程、资产漏洞的整改流程，实现对安全事件进行事件采集、漏洞检测、关联分析、风险预警、应急响应和安全整改的闭环处理流程。安全事件闭环处理流程能收集、监视和报告企业中的防火墙、入侵防御系统、防病毒产品、数据防泄漏产品、VPN、访问控制审计产品等发生的行为，用于整合和收集各种安全信息，并汇总到一起进行统一分析和检测。数据由离散变为集中，便于操作，提高工作效率。

实施例2：

在实施例1的基础上，结合图1所示，所述步骤S100具体包括：

步骤S110：定义安全事件的采集范围、采集能力、数据处理和数据存储；

步骤S120：事件采集器进行安全事件和预警日志采集；

步骤S130：将所述安全事件和预警日志进行备份；

步骤S140：将所述安全事件和预警日志进行数据标准化处理；

步骤S150： 将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。

工作原理：

数据采集集中化：明确安全数据采集对象，列出用于分析的数据来源，集中存储；数据标准化：采集后的原始数据经过清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据，规范数据在各个阶段的数据格式；规范、标准化后的数据存储至分布式检索系统以支持对原始数据、标准化数据的全文检索，并存储至分布式文件系统，已支持安全数据共享。

进一步地，所述采集范围包括内部因素，外部因素和情报，所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问，所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问；所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。

工作原理：

通过定义数据采集的范围、采集频率和采集方式，全面采集安全威胁要素，实现安全数据的集中采集、存储、检索及对外接口。采集方式包括主动采集：采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据；被动采集：采集节点通过Syslog、Webservice、Flow等协议被动接收数据；代理采集：在数据源上安装代理进行日志采集，如操作系统日志，应用系统日志等；上传数据：将本地文件系统的文件或文件压缩包上传到系统中。

实施例3：

在实施例2的基础上，结合附图1和图所示，所述步骤S140具体包括：

步骤S141：数据清洗/过滤，将采集的数据与匹配规则进行对比，匹配过滤规则的日志直接丢弃；

步骤S142：数据标准化，根据每种类型数据的标准库规则，实现字段的标准化；

步骤S143：在标准化的数据之后增加资产信息，完成关联补齐；

步骤S144：在关联补齐后的数据增加标记信息，完成数据标签化。

工作原理：

数据的清洗/过滤中过滤掉的数据包括：不属于数据源中的数据；重复数据；噪音数据；数据不完整或不合理性的数据；低于业务需求的最低级别以下的数据。以防火墙日志为例：%PIX-7-710005: UDP request discarded from 192.168.24.181/26917 to inside:192.168.24.212/137%，防火墙日志标准化后如表1所示：

表1 防火墙日志标准化信息表

数据标准化：对异构原始数据进行统一格式化处理，以满足存储层数据格式定义的要求。对于被标准化的数据应保存原始日志。数据标准化的原则包括但不限于：在保证基本扩展能力的基础上，根据每种类型数据的标准库规则，实现相关字段的标准化；对于常用的字段，保证字段内容的一致性，消除不同事件对于相似问题描述的不一致性，满足依赖于这些字段的规则的可移植性。未被标准化的数据应保存原始日志。可用于事后为该特定数据再定义标准化规则。关联补齐：采集到的数据之间存在关联性，通过关联补齐后形成完整的数据，能够丰富数据本身，以便于后期的统计分析，数据关联补齐的对象包括但不限于：用户信息、资产信息和威胁情报。数据标签化：基于关联补齐后的数据，结合数据所属业务系统、设备类型等信息，在原数据基础上进行标记。数据标签化的原则包括但不限于：根据业务系统打标签；根据设备类型打标签；根据时间来打标签；根据责任人来打标签；根据数据自身逻辑的分类打标签；根据数据的使用目的打标签。

进一步地，所述步骤S141具体包括：

清洗：采用数据转换组件进行字段提取、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分；

修改：修改错误数据；

删除：删除重复性数据。

工作原理：

清洗：针对数据格式的不一致、数据输入错误、数据不完整等问题，支持对数据进行转换和加工；修改：修改由于业务系统不够健全，在接收输入后没有进行判断直接写入后台数据库造成的错误数据，比如数值数据输成全角数字字符、字符串数据后面有一个回车、日期格式不正确、日期越界等；删除：重复性数据。

实施例4：

在实施例3的基础上，结合附图1和2所示，所述步骤S120具体包括：

步骤S121：制定数据采集的采集频率、采集协议、采集方式和采集部署；

步骤S122：为事件采集器配置不同的数据采集策略，所述数据采集策略包括动态配置采集周期、清洗过滤策略；

步骤S123：事件采集器从安全设备和系统采集安全事件和预警日志采集。

工作原理：

采集方式：采集模块原则上以主动采集为主，被动收集为辅，除了采集对象自身无存储功能，如防火墙，IDS等等设备，可以采用被动采集外，其他的数据优先以主动的方式获取数据。需要支持的数据采集方式如下：主动采集：支持采集节点通过Ftp/Sftp、webservice、SNMP、file、JDBC/ODBC等协议主动采集数据。被动采集：支持采集节点通过Syslog、Webservice、Flow等协议被动接收数据。代理采集：支持在数据源上安装代理进行日志采集，如操作系统日志，应用系统日志等。上传数据：上载数据可以将本地文件系统的文件或文件压缩包上传到系统中。采集部署：支持分布式多节点部署；支持多采集节点存活、健康状态监控，发现节点异常后，及时告警；支持对采集节点性能监控，保证采集性能与数据量匹配，防止数据丢失。采集策略管理：采集策略管理是指对设备的采集策略的管理，包括采集频率、采集协议、采集目标、过滤策略等。平台为每个数据采集器配置不同的采集策略，保证每个数据采集器有针对性的采集数据，如动态配置采集周期，清洗过滤策略等。

实施例5：

在实施例4的基础上，结合附图1和2所示，所述步骤S200中的关联分析包括逻辑关联、交叉关联、资产关联和清单关联；具体步骤包括：

步骤S210：制定安全事件执行策略；

步骤S220：将采集到的安全事件与安全事件执行策略进行匹配；

步骤S230：采用关联分析引擎进行资产关联、清单关联和交叉关联，挖掘安全事件与设备、应用或系统之间的关系；

步骤S240：确定安全事件的风险级别。

工作原理：

逻辑关联，根据安全事件发生的因果关系，进行逻辑上关联分析，支持逻辑的比较和嵌套，支持前一规则输出作为后一规则的输入，以及规则之间的并集和交集处理等；资产关联，将安全事件关联到资产，过滤掉相关程度较低的事件；清单关联，将安全事件与被攻击目标的操作系统、提供的服务等信息进行关联，进一步过滤没有造成安全威胁的事件。清单关联用来实现安全事件攻击类型与受保护资产类型进行关联。系统会对每一个受保护资产建立一份清单，清单内容包括操作系统类型、所提供的服务、开放的端口等信息，如果安全事件的攻击类型与目的主机的清单不匹配，则该安全事件风险值降低；否则，该安全事件的风险值提高；交叉关联用来实现安全事件与资产脆弱性关联分析，是将安全事件与导致安全事件的安全漏洞进行映射，如果该安全事件所依赖的脆弱性在受攻击的主机系统中不存在，则该安全事件风险值降低；否则，该安全事件的风险值提高。为确保交叉关联的完整性和准确性，会采用不同的漏洞扫描工具对目的系统进行漏洞扫描，并对检测结果进行对比与并合，提高脆弱性检测的可信度。通过安全事件与扫描结果的交叉验证，以及不同扫描器扫描结果之间的交叉验证，提高威胁识别准确性，大幅减少需管理员关注的安全事件数量，减轻管理员负担，根据资产、安全事件、漏洞三者之间的关系，智能分析多源海量数据，快速识别高危风险事件，根据预定义策略及时做出响应。

进一步地，所述步骤S400具体包括：

步骤S410：执行预设的应急响应策略，将待执行任务通过短信、邮件下发给负责人；

步骤S420：进行漏洞修复，进行阻断攻击。

响应风险告警，修复资产漏洞，消除了安全隐患。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (8)

1.一种用于网络安全管理的安全事件闭环处理方法，其特征在于，包括：

步骤S100：事件采集器从安全设备和系统中采集安全事件和预警日志，进行数据清洗/过滤、归并和规范化处理后，存储至数据库；

步骤S200：系统调度扫描器对受保护的资产进行扫描，发现资产漏洞和获取资产信息，从数据库中读取所述安全事件和预警日志，将安全事件与资产漏洞进行关联分析，并对安全事件的风险性定级；

步骤S300：对步骤S200中风险性定级为高风险的安全事件，发出告警；

步骤S400：对告警进行记录并处理；

步骤S500：再次采集安全设备和系统中的资产漏洞，确认已消除预警。

2.根据权利要求1所述的一种用于网络安全管理的安全时间闭环处理方法，其特征在于，所述步骤S100具体包括：

步骤S110：定义安全事件的采集范围、采集能力、数据处理和数据存储；

步骤S120：事件采集器进行安全事件和预警日志采集；

步骤S130：将所述安全事件和预警日志进行备份；

步骤S140：将所述安全事件和预警日志进行数据标准化处理；

步骤S150： 将标准化处理后的安全事件和预警日志存储至分布式文件系统和分布式检索系统。

3.根据权利要求2所述的一种用于网络安全管理的安全时间闭环处理方法，其特征在于，所述采集范围包括内部因素，外部因素和情报，所述内部因素包括资产信息、网络拓扑、安全配置、安全漏洞、系统指纹、身份认证、点对点访问、DLP和内网资源访问，所述外部因素包括安全攻击、恶意扫描、拒绝服务、异常流量、外网访问、远程访问和云服务访问；所述情报要素包括战略安全情报、战术安全威胁情报、通告和预警。

4.根据权利要求3所述的一种用于网络安全管理的安全时间闭环处理方法，其特征在于，所述步骤S140具体包括：

步骤S141：数据清洗/过滤，将采集的数据与匹配规则进行对比，匹配过滤规则的日志直接丢弃；

步骤S142：数据标准化，根据每种类型数据的标准库规则，实现字段的标准化；

步骤S143：在标准化的数据之后增加资产信息，完成关联补齐；

步骤S144：在关联补齐后的数据增加标记信息，完成数据标签化。

5.根据权利要求4所述的一种用于网络安全管理的安全时间闭环处理方法，其特征在于，所述步骤S141具体包括：

清洗：采用数据转换组件进行字段提取、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分；

修改：修改错误数据；

删除：删除重复性数据。

6.根据权利要求5所述的一种用于网络安全管理的安全时间闭环处理方法，其特征在于，所述步骤S120具体包括：

步骤S121：制定数据采集的采集频率、采集协议、采集方式和采集部署；

步骤S122：为事件采集器配置不同的数据采集策略，所述数据采集策略包括动态配置采集周期、清洗过滤策略；

步骤S123：事件采集器从安全设备和系统采集安全事件和预警日志采集。

7.根据权利要求6所述的一种用于网络安全管理的安全时间闭环处理方法，其特征在于，所述步骤S200中的关联分析包括逻辑关联、交叉关联、资产关联和清单关联；具体步骤包括：

步骤S210：制定安全事件执行策略；

步骤S220：将采集到的安全事件与安全事件执行策略进行匹配；

步骤S230：采用关联分析引擎进行资产关联、清单关联和交叉关联，挖掘安全事件与设备、应用或系统之间的关系；

步骤S240：确定安全事件的风险级别。

8.根据权利要求7所述的一种用于网络安全管理的安全事件闭环处理方法，其特征在于，所述步骤S400具体包括：

步骤S410：执行预设的应急响应策略，将待执行任务通过短信、邮件下发给负责人；

步骤S420：进行漏洞修复，进行阻断攻击。