CN113434855A - 一种安全事件的处理方法及装置、可读存储介质 - Google Patents
一种安全事件的处理方法及装置、可读存储介质 Download PDFInfo
- Publication number
- CN113434855A CN113434855A CN202110736433.3A CN202110736433A CN113434855A CN 113434855 A CN113434855 A CN 113434855A CN 202110736433 A CN202110736433 A CN 202110736433A CN 113434855 A CN113434855 A CN 113434855A
- Authority
- CN
- China
- Prior art keywords
- event
- security
- processed
- preset
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Alarm Systems (AREA)
Abstract
本申请提供一种安全事件的处理方法及装置、可读存储介质。安全事件的处理方法,包括:获取待处理的安全事件;提取所述待处理的安全事件的事件特征;根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果;根据所述事件特征和预设的历史处置经验库确定所述待处理的安全事件对应的解决方案;根据所述事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定用于对所述待处理的安全事件进行应急处理的指定安全研究专家。该处理方法用以实现安全事件的有效处理。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种安全事件的处理方法及装置、可读存储介质。
背景技术
随着网络技术的发展,网络安全问题也随之增加。在发生与网络安全有关的安全事件之后,需要及时有效地对安全事件进行处理,以保证网络的正常运行,或者避免更严重的网络安全事件的发生。
现有技术中,在进行安全事件的处理(处置)时,采用对网络安全事件进行录入、审核、派发、处置、反馈、归档等全生命周期管理的处理方式。
这种全生命周期管理的处理方式虽然可以对安全事件进行处置,但是,仅是从形式上对安全事件完成了处理,并不能实现安全事件的有效处理。
发明内容
本申请实施例的目的在于提供一种安全事件的处理方法及装置、可读存储介质,用以实现安全事件的有效处理。
第一方面,本申请实施例提供一种安全事件的处理方法,包括:获取待处理的安全事件;提取所述待处理的安全事件的事件特征;根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果;根据所述事件特征和预设的历史处置经验库确定所述待处理的安全事件对应的解决方案;根据所述事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定用于对所述待处理的安全事件进行应急处理的指定安全研究专家。
在本申请实施例中,与现有技术相比,基于待处理的安全事件,提取对应的事件特征,通过事件特征和预设的安全知识库确定待处理的安全事件的评估结果;通过事件特征和预设的历史处理经验库确定待处理的安全事件的解决方案;以及通过事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定指定安全研究专家。评估结果、解决方案以及指定安全研究专家可以作为安全事件的完善的处理策略,通过确定完善的处理策略,可以实现安全事件的有效处理。
作为一种可能的实现方式,所述处理方法还包括:确定所述评估结果、所述解决方案以及所述指定安全研究专家对应的反馈对象;所述反馈对象包括:检测到所述待处理的安全事件的安全检测设备和/或所述待处理的安全事件对应的被攻击方;将所述评估结果、所述解决方案以及所述指定安全研究专家反馈给所述反馈对象。
在本申请实施例中,通过确定评估结果、解决方案以及指定安全研究专家对应的反馈对象,将其反馈给反馈对象,以使反馈对象基于这些信息对安全事件进行处置。
作为一种可能的实现方式,所述待处理的安全事件的数量为多个,所述反馈对象为所述安全检测设备,所述将所述评估结果、所述解决方案以及所述指定安全研究专家反馈给所述反馈对象,包括:对多个所述待处理的安全事件分别对应的评估结果、解决方案以及指定安全研究专家进行分类处理,获得反馈结果;将所述反馈结果反馈给所述反馈对象。
在本申请实施例中,基于多个待处理的安全事件的评估结果、解决方案以及指定安全研究专家,将其分类处理后获得反馈结果,以使反馈结果的可应用性更高,便于反馈对象基于反馈结果对安全事件进行处理。
作为一种可能的实现方式,所述待处理的安全事件的数量为多个;在所述提取所述待处理的安全事件的事件特征之前,所述处理方法还包括:根据预设的字段映射表对多个所述待处理的安全事件进行标准化处理,以使多个所述待处理的安全事件的描述术语统一。
在本申请实施例中,通过对多个待处理的安全事件进行标准化处理,标准化处理后的安全事件的描述术语统一,可以实现更有效且更高效的特征提取。
作为一种可能的实现方式,所述待处理的安全事件的数量为多个;在所述提取所述待处理的安全事件的事件特征之前,所述处理方法还包括:对多个所述待处理的安全事件进行分析,确定不完整的安全事件,以及确定来源不明确的安全事件;从多个所述待处理的安全事件中去除所述不完整的安全事件,以及去除所述来源不明确的安全事件。
在本申请实施例中,通过去除多个待处理的安全事件中的不完整的安全事件,以及去除来源不明确的安全事件,实现安全事件的初步处理。
作为一种可能的实现方式,所述待处理的安全事件的数量为多个;在所述提取所述待处理的安全事件的事件特征之前,所述处理方法还包括:对所述多个待处理的安全事件进行分析,确定重复的安全事件;对所述重复的安全事件进行去重处理。
在本申请实施例中,通过对多个待处理的安全事件进行去重处理,减少待处理的安全事件的处理量,提高处理效率。
作为一种可能的实现方式,所述预设的安全事件知识库中包括预设的事件特征与事件评估信息的对应关系,所述事件评估信息包括:事件的重要性、事件的危害性以及事件的影响范围;所述根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果,包括:将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征;根据所述预设事件特征对应的事件评估信息确定所述待处理的安全事件的评估结果。
在本申请实施例中,通过将待处理的安全事件的事件特征与预设的安全事件特征库中的预设特征事件进行匹配,有效且准确地确定出安全事件的评估结果。
作为一种可能的实现方式,将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征,包括:基于KMP(The Knuth-Morris-Pratt Algorithm,提出该算法的人名)算法将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征。
在本申请实施例中,基于KMP算法,实现待处理的安全事件的事件特征与预设事件特征的有效匹配。
第二方面,本申请实施例提供一种安全事件的处理装置,包括用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的安全事件的处理方法的各个功能模块。
第三方面,本申请实施例提供一种可读存储介质,该可读存储介质上存储有计算机程序,计算机程序被计算机运行时,执行如第一方面以及第一方面的任意一种可能的实现方式中所述的安全事件的处理方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的安全事件处理系统的结构示意图;
图2为本申请实施例提供的安全事件的处理方法的流程图;
图3为本申请实施例提供安全事件的处理装置的结构示意图。
图标:100-安全事件处理系统;110-服务器;120-安全检测设备;300-安全事件的处理装置;310-获取模块;320-处理模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,为本申请实施例提供的安全事件处理系统100的结构示意图,安全事件处理系统100包括:服务器110和安全检测设备120,服务器110和网络安全检测设备120通信连接。
该安全事件处理系统100可以应用于各种网络安全防护的应用场景,例如:作为某互联网公司的安全保护系统;作为网络平台的安全监测系统等。
其中,安全检测设备120用于检测预设对象的安全事件,预设对象例如为:互联网公司的网络设备;网络平台的网络设备。
安全检测设备120的数量可以是一个或者多个。如果需要检测安全事件的对象较多,则其数量可以设置多个;如果需要检测安全事件的对象较少,则其数量可以设置一个。
服务器110作为安全事件处理系统100的数据处理平台,用于对安全检测设备120检测到的安全事件进行处理,并反馈相应的处理结果。
在一种实施例中,安全检测设备120可以是独立于服务器110的设备,即安全检测设备120作为外部检测设备,将检测到的安全事件传输给服务器110。在另一种实施例中,安全检测设备120也可以是与服务器110一体的设备,即服务器110依靠安全检测设备120实现安全事件的检测。
基于上述应用场景的介绍,接下来请参照图2,为本申请实施例提供的安全事件的处理方法,该处理方法可以应用于服务器110。该处理方法包括:
步骤210:获取待处理的安全事件。
步骤220:提取待处理的安全事件的事件特征。
步骤230:根据事件特征和预设的安全事件知识库确定待处理的安全事件的评估结果。
步骤240:根据事件特征和预设的历史处置经验库确定待处理的安全事件对应的解决方案。
步骤250:根据事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定用于对待处理的安全事件进行应急处理的指定安全研究专家。
在本申请实施例中,与现有技术相比,基于待处理的安全事件,提取对应的事件特征,通过事件特征和预设的安全知识库确定待处理的安全事件的评估结果;通过事件特征和预设的历史处理经验库确定待处理的安全事件的解决方案;以及通过事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定指定安全研究专家。评估结果、解决方案以及指定安全研究专家可以作为安全事件的完善的处理策略,通过确定完善的处理策略,可以实现安全事件的有效处理。
接下来对步骤210-步骤250的详细实施方式进行介绍。
在步骤210中,待处理的安全事件为安全检测设备120所检测到的安全事件。
安全事件,可以理解为对网络发生的异常进行描述的数据。例如:当互联网中出现A设备攻击B设备时,则该攻击对应的安全事件中,包括:攻击方、被攻击方、攻击类型、攻击数据等。
安全检测设备120,可以采用对网络流量和应用进行扫描以及流量检测分析的方式。实现安全事件的检测。在进行扫描或者检测分析时,可以基于固定的扫描或者检测规则确定安全事件,比如:当某网络设备针对特定对象的访问次数超过预设的访问次数时,则此时可确定当前的访问事件为安全事件。还可以基于行为识别的方式确定安全事件,例如:某网络设备所传输的数据为预设的安全行为数据,则确定当时的传输的数据或者该数据传输行为为安全事件。还可以基于预设的知识库中的异常网络行为确定安全事件,例如:某网络设备当前的网络行为为预设的知识库中的网络行为,则该网络行为为安全事件。
安全检测设备120还可以采用其他可行的实施方式对安全事件进行检测,本申请实施例中仅作示例性的介绍。
安全检测设备120所检测到的安全事件的数量可以是一个或者多个,对应的,待处理的安全事件也可以是一个或者多个。通常情况下,为了便于对数据进行处理,服务器110所获取的待处理的安全事件的数量为多个,即服务器110批量的对安全事件进行处理。如果当前安全检测设备120所检测到的安全事件的数量不符合服务器110的处理需求,则服务器110可以等待安全检测设备120继续检测安全事件,直至数量符合处理需求后,再获取对应的安全事件作为待处理的安全事件。
在步骤210中获取到待处理的安全事件之后,在待处理的安全事件的数量为多个的情况下,服务器110可以先对多个待处理的安全事件进行预处理之后,再进行事件特征的提取。因此,在步骤220之前,该处理方法还包括:根据预设的字段映射表对多个待处理的安全事件进行标准化处理,以使多个待处理的安全事件的描述术语统一。
在这种实施方式中,考虑到待处理的安全事件可能来自于不同的安全检测设备120,安全事件的描述术语可能存在着不一致。或者虽然来自于同一个安全检测设备120,但由于检测规则的不同,描述术语也有不一致的情况。例如:针对同一个数据或者行为,在不同的待处理的安全事件中,其名称不同,可视为不同的描述术语。
基于这种情况,可以预设字段映射表,该字段映射表中包括:标准描述术语和标准描述术语对应的各种可能的描述术语。其中,标准描述术语可以由专家确定,标准描述术语对应的各种可能的描述术语可以通过对现有的多个安全事件进行分析确定。例如:从不同的渠道搜集多个安全事件,然后针对同一含义的描述术语,统计在这多个安全事件中的不同描述术语,然后将这些描述术语划分到对应的标准描述术语下。
在进行标准化处理时,将每个安全事件中的描述术语与预设字段映射表中的标准描述术语和标准描述术语对应的各种可能的描述术语进行匹配。针对当前待处理的描述术语,如果在预设字段映射表中查找到与之匹配的标准描述术语,则该待处理的描述术语无需进行替换。如果在预设字段映射表中未查找到与之匹配的标准描述术语,与之匹配的描述术语是某一个标准描述术语对应的描述术语,则将该待处理的描述术语替换为该标准描述术语。
在本申请实施例中,通过对多个待处理的安全事件进行标准化处理,标准化处理后的安全事件的描述术语统一,可以实现更有效且更高效的特征提取。
除了对多个待处理的安全事件进行标准化处理,考虑到多个待处理的安全事件中还存在着一些特定的不符合规范的安全事件,还可以对安全事件作去除处理。
因此,作为一种可选的实施方式,在步骤220之前,该处理方法还包括:对多个待处理的安全事件进行分析,确定不完整的安全事件,以及确定来源不明确的安全事件;从多个待处理的安全事件中去除不完整的安全事件,以及去除来源不明确的安全事件。
在这种实施方式中,对不完整的安全事件和来源不明确的安全事件进行数据。
对于不完整的安全事件,以攻击安全事件为例,如果在攻击安全事件中仅涉及到攻击源,而没有被攻击对象,则可确定该攻击安全事件为不完整的安全事件。当然,在某些情况下,攻击安全事件也可以不具有被攻击对象,需要结合不同的应用场景和具体的攻击行为进行分析。
针对不完整的安全事件的分析,可以预设不同的应用场景下,各种安全事件中所需要包括的必需信息,在分析时,基于每个待处理的安全事件对应的应用场景下的必需信息对待处理的安全事件中的信息进行分析,如果包括了全部的必需信息,则可确定其为完整的安全事件。如果缺少了任一个必需信息,则可确定其为不完整的安全事件。
其中,不同的应用场景下,各种安全事件中所需要包括的必需信息,可以通过对已有的不同应用场景下,完整的安全事件中的所有信息分析确定。
来源不明确的安全事件,可以为不属于预设的数据来源的安全事件,预设的数据来源可以理解为与服务器110信任的安全检测设备120,可以以信任列表的形式体现。如果提供待处理的安全事件的安全检测设备120并不是服务器110的信任列表中的安全检测设备120,则该待处理的安全事件为来源不明确的安全事件。
在本申请实施例中,通过去除多个待处理的安全事件中的不完整的安全事件,以及去除来源不明确的安全事件,实现安全事件的初步处理。
除了不完整的安全事件,以及来源不明确的安全事件,在多个待处理的安全事件中,可能还包括重复的安全事件。因此,在步骤220之前,该处理方法还包括:对多个待处理的安全事件进行分析,确定重复的安全事件;对重复的安全事件进行去重处理。
在这种实施方式中,重复的安全事件为相同的安全事件,因此,所分析的待处理的安全事件可以是经过标准化处理后的安全事件,以便于对多个待处理的安全事件进行比对,判断是否存在着相同的安全事件。所分析的待处理的安全事件也可以是经过标准化处理,且筛选掉不完整的安全事件和来源不明确后的安全事件后的安全事件。
当然,所分析的待处理的安全事件也可以是没有经过标准化处理,以及没有筛选掉不完整的安全事件和来源不明确后的安全事件的安全事件,在本申请实施例中不作限定。
在确定重复的安全事件时,将各个安全事件的描述信息进行比对,如果描述信息完全一致或者大于预设相似度,则说明比对的对象为重复的安全事件。如果描述信息不一致或者小于预设相似度,则说明比对的对象不是重复的安全事件。
在确定重复的安全事件之后,仅保留重复的安全事件中的一个安全事件,其他的去除。例如:假设待处理的安全事件1和待处理的安全事件3为重复的安全事件,则可以保留待处理的安全事件1,去除待处理的安全事件3,或者保留待处理的安全事件3,去除待处理的安全事件1。
在本申请实施例中,通过对多个待处理的安全事件进行去重处理,减少待处理的安全事件的处理量,提高处理效率。
此外,上述的标准化处理、去除不完整安全事件、去除来源不明确安全事件以及去重处理,可以均执行,其执行顺序可以是:先进行标准化处理,再去除不完整安全事件和来源不明确安全事件,最后再进行去重处理。或者其他可实施的执行顺序。也可以仅执行其中的一个,比如:仅作标准化处理,或者仅作标准化处理和去重处理。具体的处理方式,可以结合实际的应用场景灵活选择,在本申请实施例中不作限定。
通过各种处理之后,服务器执行步骤220,提取处理后的待处理的安全事件的事件特征。作为一种可选的实施方式,该步骤包括:基于预设的事件特征库对提取事件特征。
其中,事件特征包括:事件关键词、事件类型等。预设的事件特征库中包括不同的应用场景下,各种事件对应的事件特征。
基于预设的事件特征库,将待处理的安全事件的描述信息与预设的事件特征库中的事件特征进行匹配,若查找到与之匹配的事件特征,则当前的描述信息作为待处理事件的事件特征。预设的事件特征库可以是本领域的先验事件特征库,即已有的数据库。
在提取出事件特征之后,基于事件特征,在步骤230中,确定评估结果;在步骤240中,确定解决方案;以及在步骤250中,确定指定安全研究专家。对于这三个步骤,其执行顺序不限,可以按照步骤230-步骤250的顺序依次执行,也可以同时执行,在本申请实施例中不作限定。
这三个步骤的执行也可以是具有关联的,例如:在步骤230中,确定评估结果之后,基于评估结果确定是否需要执行步骤240,如果需要执行步骤240,再确定对应的解决方案。基于解决方案,可以确定是否需要执行步骤250,如果需要执行步骤250,再确定执行安全研究专家。由于步骤之间的关联性,与各个步骤的详细实施方式有关,因此,接下来先对各个步骤的详细实施方式进行介绍,再介绍三个步骤之间的关联性。
作为一种可选的实施方式,预设的安全事件知识库中包括预设的事件特征与事件评估信息的对应关系,事件评估信息包括:事件的重要性、事件的危害性以及事件的影响范围。对应的,步骤230包括:将待处理的安全事件的事件特征与预设的安全事件库中的预设事件特征进行匹配,确定待处理的安全事件的事件特征对应的预设事件特征;根据预设事件特征对应的事件评估信息确定待处理的安全事件的评估结果。
在这种实施方式中,将待处理的安全事件的事件特征与预设事件特征进行匹配,如果查找到与待处理的安全事件的事件特征匹配的预设事件特征,则该匹配的预设事件特征为待处理的安全事件的事件特征对应的预设的事件特征。对应的,预设的事件特征对应的事件评估信息可作为待处理的安全事件的评估结果。
在本申请实施例中,通过将待处理的安全事件的事件特征与预设的安全事件特征库中的预设特征事件进行匹配,有效且准确地确定出安全事件的评估结果。
作为一种可选的实施方式,在进行事件特征的匹配时,基于KMP算法将事件特征进行匹配。除了在此处可以采用KMP算法,本申请实施例中所涉及到的其他事件特征之间的匹配,也可以采用该算法。
KMP算法是一种改进的字符串匹配算法,在进行事件特征对应的字符串的匹配时,假设事件特征1对应的字符串为模式串,事件特征2对应的字符串为主串,则先将主串的第一位与模式串的第一位进行比较,如果两者匹配,则比较主串与模式串的下一位字符。如果两者不匹配,则将主串的第一位与模式串的第二位进行比较,如果仍然不匹配,则继续移动,直至主串有一个字符与模式串的第一个字符相同为止。接着比较主串和模式串的下一个字符,直至主串与模式串对应字符不同为止。由于匹配到不相同的字符,接下来模式串从不相同的字符后的空位置开始移动,逐位比较,直至模式串与主串的最后一位匹配,则确定各个字符为匹配的字符。
在本申请实施例中,基于KMP算法,实现待处理的安全事件的事件特征与预设事件特征的有效匹配。
结合步骤230的实施方式,作为一种可选的实施方式,基于评估结果确定是否需要执行步骤240包括:基于评估结果确定安全事件的异常级别,若异常级别大于预设的异常级别,则执行步骤240。
具体的,在安全事件的评估结果中,包括:事件的重要性、事件的危害性和事件的影响范围,基于各项信息,可以确定事件的异常评估值。例如:异常评估值=权重1*事件的重要性+权重2*事件的危害性+权重3*事件的影响范围。其中,事件的重要性、危害性和影响范围均为量化的值,例如:事件的重要性对应的分值为100分,得分越高,代表重要性越高,得分越低,代表重要性越低。事件的危害性对应的分值为5,得分越高,代表危害性越高,得分越低,代表危害性越低。事件的影响范围对应的分值为0-1,得分越高,代表影响范围越大,得分越低,代表影响范围越小。
此外,权重1-3可以结合实际应用场景中,不同的评估信息对于最终的异常评估值的影响程度进行设置,在本申请实施例中不作限定。
在确定出异常评估值之后,可以根据预设的异常评估值与异常等级之间的对应关系确定对应的异常等级。以及,预设的异常等级可以结合实际应用场景中,不同的异常等级对于解决方案的需求程度进行设置。比如:当异常等级较低时,不需要提供相应的解决方案,也可以保证网络的安全。当异常等级较高时,必须提供相应的解决方案才可以网络的安全。
在步骤240中,预设的历史处理经验库中可以包括:预设事件特征和预设事件特征对应的历史解决方案、以及历史解决方案的解决效果。
进而,先将事件特征与预设事件特征进行匹配,在匹配到对应的指定事件特征之后,从指定事件特征对应的历史解决方案中确定出待处理的安全事件对应的解决方案。具体的,可以将历史解决方案的解决效果进行比较,将解决效果最好的历史解决方案作为待处理的安全事件对应的解决方案。
此外,对于事件特征之间的匹配的实施方式,参照前述实施例中的介绍,在此不再重复介绍。
基于步骤240的实施方式,作为一种可选的实施方式,基于解决方案确定是否需要执行步骤250包括:判断解决方案的解决效果是否满足预设的解决效果要求,如果满足预设的解决效果要求,则不执行步骤250;如果不满足预设的解决效果要求,则执行步骤250。
其中,预设的解决效果可以结合实际应用场景中,对待处理的安全事件的解决效果的要求进行设置,比如:如果待处理的安全事件的解决效果是百分之90,则预设的解决效果为百分之90。
在步骤250中,判断安全研究专家擅长处置的事件中是否包括待处理的安全事件的事件特征,如果包括,则该安全研究专家可作为指定安全研究专家的可选项。如果符合要求的安全研究专家有多个,则指定安全研究专家可以包括这多个安全研究专家。除了确定指定安全研究专家,还可以将指定安全研究专家的信息作为指定安全研究专家的参考信息,参考信息可以包括:处理过的安全事件数量、专业程度等信息。
在步骤230-步骤250中分别确定出评估结果、解决方案以及指定安全研究专家之后,作为一种可选的实施方式,服务器110直接基于评估结果、解决方案以及指定安全研究专家对安全事件进行处理。例如:先根据评估结果判断是否需要按照解决方案对安全事件进行解决,如果需要,则按照解决方案对安全事件进行解决。在获得解决结果之后,判断解决结果是否达到预设解决效果,如果达到,则无需告知指定安全研究专家进行处理。如果未达到,告知指定安全研究专家对该安全事件进行处理或者给出解决方案。
其中,如果指定安全研究专家有多个,则在告知指定安全研究专家时,根据多个指定安全研究专家的参考信息从中确定出一个指定安全研究专家,并告知该一个指定安全研究专家。当然,如果解决效果十分差,可以同时告知这多个指定安全研究专家,由这多个指定安全研究专家共同给出解决方案。
作为另一种可选的实施方式,在步骤250后,该处理方法还包括:确定评估结果、解决方案以及指定安全研究专家对应的反馈对象;反馈对象包括:检测到待处理的安全事件的安全检测设备120和/或待处理的安全事件对应的被攻击方;将评估结果、解决方案以及指定安全研究专家反馈给反馈对象。
在这种实施方式中,安全事件的处理方可以是待处理的安全事件的对应的安全检测设备120和/或安全事件中的被攻击方,进而,将这些信息反馈给处理方,由处理方基于这些信息对安全事件进行处置。其中,处理方式对安全事件进行处置的实施方式参照服务器110基于这些信息进行处置的实施方式,在此不再重复介绍。
在本申请实施例中,通过确定评估结果、解决方案以及指定安全研究专家对应的反馈对象,将其反馈给反馈对象,以使反馈对象基于这些信息对安全事件进行处置。
可以理解,在待处理的安全事件有多个的情况下,每个待处理的安全事件都会对应有评估结果、解决方案和指定安全研究专家,此时,为了反馈结果的应用性更强,反馈信息的过程可以包括:对多个待处理的安全事件分别对应的评估结果、解决方案以及指定安全研究专家进行分类处理,获得反馈结果;将反馈结果反馈给反馈对象。
在进行分类处理时,可以将解决方案相同的安全事件分为一类,也可以将指定安全研究专家相同的安全事件分为一类,还可以根据评估结果确定安全事件的异常等级(参照前述实施例的实施方式),然后将异常等级相同的安全事件分为一类。或者采用其他的分类方式,在本申请实施例中不作限定。
在本申请实施例中,基于多个待处理的安全事件的评估结果、解决方案以及指定安全研究专家,将其分类处理后获得反馈结果,以使反馈结果的可应用性更高,便于反馈对象基于反馈结果对安全事件进行处理。
在分类的情况下,如果反馈对象仅为安全检测设备120或者被攻击方,则将分类处理结果均反馈给安全检测设备120或者被攻击方。如果反馈对象为安全检测设备120和被攻击方,则可以将不同类别的安全事件反馈给不同的对象。比如:将异常级别较高类别下的安全事件反馈给安全检测设备120处理,以提高处理效果。
基于同一发明构思,请参照图3,本申请实施例中还提供一种安全事件的处理装置300,包括获取模块310和处理模块320。
获取模块310用于:获取待处理的安全事件。处理模块320用于:提取所述待处理的安全事件的事件特征;根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果;根据所述事件特征和预设的历史处置经验库确定所述待处理的安全事件对应的解决方案;根据所述事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定用于对所述待处理的安全事件进行应急处理的指定安全研究专家。
在本申请实施例中,处理模块320还用于:确定所述评估结果、所述解决方案以及所述指定安全研究专家对应的反馈对象;所述反馈对象包括:检测到所述待处理的安全事件的安全检测设备和/或所述待处理的安全事件对应的被攻击方;将所述评估结果、所述解决方案以及所述指定安全研究专家反馈给所述反馈对象。
在本申请实施例中,处理模块320具体用于:对多个所述待处理的安全事件分别对应的评估结果、解决方案以及指定安全研究专家进行分类处理,获得反馈结果;将所述反馈结果反馈给所述反馈对象。
在本申请实施例中,处理模块320还用于:根据预设的字段映射表对多个所述待处理的安全事件进行标准化处理,以使多个所述待处理的安全事件的描述术语统一。
在本申请实施例中,处理模块320还用于:对多个所述待处理的安全事件进行分析,确定不完整的安全事件,以及确定来源不明确的安全事件;从多个所述待处理的安全事件中去除所述不完整的安全事件,以及去除所述来源不明确的安全事件。
在本申请实施例中,处理模块320还用于:对所述多个待处理的安全事件进行分析,确定重复的安全事件;对所述重复的安全事件进行去重处理。
在本申请实施例中,处理模块320具体用于:将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征;根据所述预设事件特征对应的事件评估信息确定所述待处理的安全事件的评估结果。
在本申请实施例中,处理模块320具体用于:基于KMP算法将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征。
安全事件的处理装置300与前述实施例的安全事件的处理方法对应,各个功能模块与处理方法的各个步骤对应,因此,各个功能模块的实施方式参照前述实施例中的介绍,在此不再重复介绍。
基于同一发明构思,本申请实施例还提供一种可读存储介质,该可读存储介质上存储有计算机程序,计算机程序被计算机运行时,执行前述实施例中的安全事件的处理方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种安全事件的处理方法,其特征在于,包括:
获取待处理的安全事件;
提取所述待处理的安全事件的事件特征;
根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果;
根据所述事件特征和预设的历史处置经验库确定所述待处理的安全事件对应的解决方案;
根据所述事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定用于对所述待处理的安全事件进行应急处理的指定安全研究专家。
2.根据权利要求1所述的处理方法,其特征在于,所述处理方法还包括:
确定所述评估结果、所述解决方案以及所述指定安全研究专家对应的反馈对象;所述反馈对象包括:检测到所述待处理的安全事件的安全检测设备和/或所述待处理的安全事件对应的被攻击方;
将所述评估结果、所述解决方案以及所述指定安全研究专家反馈给所述反馈对象。
3.根据权利要求2所述的处理方法,其特征在于,所述待处理的安全事件的数量为多个,所述反馈对象为所述安全检测设备,所述将所述评估结果、所述解决方案以及所述指定安全研究专家反馈给所述反馈对象,包括:
对多个所述待处理的安全事件分别对应的评估结果、解决方案以及指定安全研究专家进行分类处理,获得反馈结果;
将所述反馈结果反馈给所述反馈对象。
4.根据权利要求1所述的处理方法,其特征在于,所述待处理的安全事件的数量为多个;在所述提取所述待处理的安全事件的事件特征之前,所述处理方法还包括:
根据预设的字段映射表对多个所述待处理的安全事件进行标准化处理,以使多个所述待处理的安全事件的描述术语统一。
5.根据权利要求1所述的处理方法,其特征在于,所述待处理的安全事件的数量为多个;在所述提取所述待处理的安全事件的事件特征之前,所述处理方法还包括:
对多个所述待处理的安全事件进行分析,确定不完整的安全事件,以及确定来源不明确的安全事件;
从多个所述待处理的安全事件中去除所述不完整的安全事件,以及去除所述来源不明确的安全事件。
6.根据权利要求1所述的处理方法,其特征在于,所述待处理的安全事件的数量为多个;在所述提取所述待处理的安全事件的事件特征之前,所述处理方法还包括:
对所述多个待处理的安全事件进行分析,确定重复的安全事件;
对所述重复的安全事件进行去重处理。
7.根据权利要求1所述的处理方法,其特征在于,所述预设的安全事件知识库中包括预设的事件特征与事件评估信息的对应关系,所述事件评估信息包括:事件的重要性、事件的危害性以及事件的影响范围;所述根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果,包括:
将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征;
根据所述预设事件特征对应的事件评估信息确定所述待处理的安全事件的评估结果。
8.根据权利要求7所述的处理方法,其特征在于,将所述待处理的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征,包括:
基于KMP算法将所述待处理的安全事件的事件特征与所述预设的安全事件库中的预设事件特征进行匹配,确定所述待处理的安全事件的事件特征对应的预设事件特征。
9.一种安全事件的处理装置,其特征在于,包括:
获取模块,用于获取待处理的安全事件;
处理模块,用于:
提取所述待处理的安全事件的事件特征;
根据所述事件特征和预设的安全事件知识库确定所述待处理的安全事件的评估结果;
根据所述事件特征和预设的历史处置经验库确定所述待处理的安全事件对应的解决方案;
根据所述事件特征和预设的安全研究专家和安全研究专家擅长处置的事件确定用于对所述待处理的安全事件进行应急处理的指定安全研究专家。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1-8任一项所述的安全事件的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110736433.3A CN113434855A (zh) | 2021-06-30 | 2021-06-30 | 一种安全事件的处理方法及装置、可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110736433.3A CN113434855A (zh) | 2021-06-30 | 2021-06-30 | 一种安全事件的处理方法及装置、可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113434855A true CN113434855A (zh) | 2021-09-24 |
Family
ID=77758269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110736433.3A Pending CN113434855A (zh) | 2021-06-30 | 2021-06-30 | 一种安全事件的处理方法及装置、可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113434855A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114048856A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
CN116599690A (zh) * | 2023-03-28 | 2023-08-15 | 中国船舶集团有限公司综合技术经济研究院 | 一种船舶信息安全事件处理方法、装置以及计算机设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
CN110009541A (zh) * | 2019-03-21 | 2019-07-12 | 北京博图纵横科技有限责任公司 | 公共安全事件的处理方法、装置、计算机设备和存储介质 |
CN111600897A (zh) * | 2020-05-21 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 一种网络安全事件等级评估方法、设备及其相关设备 |
CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
CN113011788A (zh) * | 2021-04-23 | 2021-06-22 | 集美大学 | 一种海上交通事故应急决策方法、终端设备及存储介质 |
-
2021
- 2021-06-30 CN CN202110736433.3A patent/CN113434855A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
CN107483472A (zh) * | 2017-09-05 | 2017-12-15 | 中国科学院计算机网络信息中心 | 一种网络安全监控的方法、装置、存储介质及服务器 |
CN110009541A (zh) * | 2019-03-21 | 2019-07-12 | 北京博图纵横科技有限责任公司 | 公共安全事件的处理方法、装置、计算机设备和存储介质 |
CN111600897A (zh) * | 2020-05-21 | 2020-08-28 | 杭州安恒信息技术股份有限公司 | 一种网络安全事件等级评估方法、设备及其相关设备 |
CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
CN113011788A (zh) * | 2021-04-23 | 2021-06-22 | 集美大学 | 一种海上交通事故应急决策方法、终端设备及存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114048856A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
CN114048856B (zh) * | 2022-01-11 | 2022-05-03 | 中孚信息股份有限公司 | 基于知识推理的安全事件自动处置方法及系统 |
CN116599690A (zh) * | 2023-03-28 | 2023-08-15 | 中国船舶集团有限公司综合技术经济研究院 | 一种船舶信息安全事件处理方法、装置以及计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110912890B (zh) | 一种面向内网的漏洞攻击检测系统 | |
US11941491B2 (en) | Methods and apparatus for identifying an impact of a portion of a file on machine learning classification of malicious content | |
CN110417772B (zh) | 攻击行为的分析方法及装置、存储介质、电子装置 | |
US20170063893A1 (en) | Learning detector of malicious network traffic from weak labels | |
CN113434855A (zh) | 一种安全事件的处理方法及装置、可读存储介质 | |
CN113687972B (zh) | 业务系统异常数据的处理方法、装置、设备及存储介质 | |
CN112131249A (zh) | 一种攻击意图识别方法及装置 | |
CN111400435B (zh) | 邮件告警收敛方法、装置、计算机设备及存储介质 | |
CN114297661A (zh) | 一种漏洞的去重处理方法、装置、设备及存储介质 | |
US20220405184A1 (en) | Method, electronic device, and computer program product for data processing | |
CN112765660A (zh) | 一种基于MapReduce并行聚类技术的终端安全性分析方法和系统 | |
CN112600828B (zh) | 基于数据报文的电力控制系统攻击检测防护方法及装置 | |
CN107911232B (zh) | 一种确定业务操作规则的方法及装置 | |
CN116383742B (zh) | 基于特征分类的规则链设置处理方法、系统及介质 | |
CN113517998B (zh) | 预警配置数据的处理方法、装置、设备及存储介质 | |
CN114579809A (zh) | 事件分析方法、装置、电子设备及存储介质 | |
CN113535458A (zh) | 异常误报的处理方法及装置、存储介质、终端 | |
CN111859896B (zh) | 配方文档检测方法、装置、计算机可读介质及电子设备 | |
CN115048345A (zh) | 异常日志检测方法、装置、电子设备和存储介质 | |
CN114547590A (zh) | 代码检测方法、装置及非瞬时性计算机可读存储介质 | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 | |
CN113296831B (zh) | 应用标识的提取方法、装置、计算机设备及存储介质 | |
CN116432208B (zh) | 工业互联网数据的安全管理方法、装置、服务器及系统 | |
CN108881159B (zh) | 一种安全控制方法 | |
CN116383031A (zh) | 一种基于场景数据的源代码安全漏洞自动化审计方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |