CN113778806A - 一种安全告警事件的处理方法、装置、设备和存储介质 - Google Patents

一种安全告警事件的处理方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN113778806A
CN113778806A CN202111088543.XA CN202111088543A CN113778806A CN 113778806 A CN113778806 A CN 113778806A CN 202111088543 A CN202111088543 A CN 202111088543A CN 113778806 A CN113778806 A CN 113778806A
Authority
CN
China
Prior art keywords
target
importance
asset
hazard
safety alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111088543.XA
Other languages
English (en)
Inventor
张羽
尚程
王方圆
姜福利
李忠
傅强
蔡琳
梁彧
田野
王杰
杨满智
金红
陈晓光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN202111088543.XA priority Critical patent/CN113778806A/zh
Publication of CN113778806A publication Critical patent/CN113778806A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Alarm Systems (AREA)

Abstract

本发明实施例公开了一种安全告警事件的处理方法、装置、设备及存储介质。该方法包括:获取在设定时长内产生的多个安全告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;获取与各目标告警硬件对应的目标资产类型,并查询资产类型与资产重要性指数间的映射关系,获取目标资产重要性指数;获取与各安全告警事件对应的目标危害级别,并查询危害级别与危害重要性指数间的映射关系,获取目标危害重要性指数;根据各目标资产重要性指数以及各目标危害重要性指数,确定各安全告警事件的处理顺序,对其进行处理。本发明实施例,解决了数以万计的信息技术资产有效防护的问题,实现了安全事件处置效率的提高,并将安全加固的成本效益最大化。

Description

一种安全告警事件的处理方法、装置、设备和存储介质
技术领域
本发明实施例涉及计算机数据处理技术,尤其涉及一种安全告警事件的处 理方法、装置、设备和存储介质。
背景技术
伴随着数字化转型趋势的加速演进,企业上云激增,信息技术(InformationTechnology,IT)资产越来越多,由此形成的漏洞也与日俱增。面对着越来越复 杂的攻击,网络安全问题日益凸显,依靠有限的人力投入以及数十种监测和防 护工具堆叠的传统模式并不能满足当前的需求。
发明人在发明过程中,发现现有技术的缺陷为:面对数以万计需要防护的 资产,很多关键的安全警报可能被淹没,极有可能错过最佳防护时间,带来不 可想象的后果,核心数据可能被修改和泄露、生产系统可能中断运行,影响企 业健康发展,甚至影响国家网络空间主权、安全和发展利益。
发明内容
本发明实施例提供一种安全告警事件的处理方法、装置、设备和存储介质, 可以在发生多项硬件资产同时告警的场景中,科学、高效的确定各告警硬件资 产的防御顺序。
第一方面,本发明实施例提供了一种安全告警事件的处理方法,其中,包 括:
获取在设定时长内产生的多个安全告警事件,并识别与每个安全告警事件 分别对应的目标告警硬件;
获取与各所述目标告警硬件对应的目标资产类型,并查询资产类型与资产 重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标资产重 要性指数;
获取与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害 重要性指数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重 要性指数;
根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各 所述安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件 进行处理。
第二方面,本发明实施例还提供了一种安全告警事件的处理装置,该安全 告警事件的处理装置包括:
安全告警事件获取模块,用于获取在设定时长内产生的多个安全告警事件, 并识别与每个安全告警事件分别对应的目标告警硬件;
目标资产重要性指数获取模块,用于获取与各所述目标告警硬件对应的目 标资产类型,并查询资产类型与资产重要性指数间的映射关系,获取与各所述 目标告警硬件分别对应的目标资产重要性指数;
目标危害重要性指数获取模块,用于获取与各所述安全告警事件对应的目 标危害级别,并查询危害级别与危害重要性指数间的映射关系,获取与各所述 目标危害级别分别对应的目标危害重要性指数;
处理顺序确定模块,用于根据各所述目标资产重要性指数以及各所述目标 危害重要性指数,确定各所述安全告警事件的处理顺序,并按照所述处理顺序, 对各所述安全告警事件进行处理。
第三方面,本发明实施例还提供了一种计算机设备,包括存储器、处理器 及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行 所述计算机程序时实现如本发明任意实施例所述的安全告警事件的处理方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质, 其上存储有计算机程序,其中,该程序被处理器执行时实现如本发明任意实施 例所述的安全告警事件的处理方法。
本发明实施例所提供的技术方案,通过获取在设定时长内产生的多个安全 告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;获取与各所 述目标告警硬件对应的目标资产类型,并查询资产类型与资产重要性指数间的 映射关系,获取与各所述目标告警硬件分别对应的目标资产重要性指数;获取 与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害重要性指 数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重要性指数; 根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各所述 安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件进行 处理。解决了数以万计的信息技术资产有效防护的问题,实现了安全事件处置效率的提高,能够科学的网络安全防御和高质量、高效率地降低网络攻击对IT 资产造成的严重影响,并将安全加固的成本效益最大化。
附图说明
图1a为本发明实施例一提供的一种安全告警事件的处理方法的流程图;
图1b为本发明实施例一提供的一种安全告警事件的处理方法中的一种层 次分析法的资产重要性评估结果模型的结构示意图;
图1c为本发明实施例一提供的一种安全告警事件的处理方法中的一种加权 分析法的安全告警事件优先级评估结果模型的结构示意图;
图2是本发明实施例二提供的一种安全告警事件的处理装置的结构示意图;
图3是本发明实施例三提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此 处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需 要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结 构。
实施例一
图1a为本发明实施例一提供的一种安全告警事件的处理方法的流程图。本 实施例可适用于在发生多项硬件资产同时告警的场景中,确定多个告警硬件资 产的防御顺序的情况。本实施例的方法可以由安全告警事件的处理装置执行, 该装置可以通过软件和/或硬件的方式实现,该装置可配置于服务器或终端设备 等计算机设备中。
相应的,该方法具体包括如下步骤:
S110、获取在设定时长内产生的多个安全告警事件,并识别与每个安全告 警事件分别对应的目标告警硬件。
其中,安全告警事件可以是云安全中心检测到的服务器或者云产品中存在 的威胁,这些威胁可以是某个恶意IP对IT资产进行的攻击,也可以是资产中 已被入侵的异常情况。安全告警事件信息包括发生时间、受害资产IP、受害资 产类型、攻击者IP、攻击事件类型、攻击状态以及危害级别等。目标告警硬件 可以是安全告警事件相对应属于的告警硬件。
可选的,获取在设定时长内产生的多个安全告警事件,包括:
每隔设定时长,从安全告警事件监控平台中获取所述时长内所产生的多个 安全告警事件。
其中,设定时长可以是根据以前经验或者所运用的领域而设置的时长,系 统可以根据设定的时长,定期从安全告警事件监控平台中获取在该段时间内所 产生的多个安全告警事件,设定时长可以是5min或者10min,这里对设定时长 不做限定。其中,安全告警事件监控平台可以结合现代音、视频压缩技术、网 络通讯技术、计算机控制技术、流媒体传输技术,采用模块化的软件设计理念, 将不同需求以组件模块的方式实现,以网络集中管理和网络传输为核心,完成 信息采集、传输、控制、管理和储存的全过程,能够架构在各种专网、局域网、 城域网或者广域网之上,实现了监控联网、集中管理,授权用户可在网络的任何计算机上对监控现场实时监控,提供了强大的、灵活的网络集中监控综合解 决方案。
在本实施例中,通过每隔设定时长,从安全告警事件监控平台中获取该时 长内所产生的多个安全告警事件,并识别与每个安全告警事件分别对应的目标 告警硬件,可以从安全告警事件监控平台得到多个安全告警事件,实现了对攻 击IT资产的安全告警事件的实时监测,并及时反馈给监测平台,确保工作人员 能够及时收到安全告警事件,并且能够及时处理。
S120、获取与各所述目标告警硬件对应的目标资产类型,并查询资产类型 与资产重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标 资产重要性指数。
其中,资产类型可以是目标告警硬件相对应的资产所属于的类型,可以具 体包括:网络设备(路由器或者交换机等)、安全设备、终端计算机、主机终 端、应用系统、中间件和数据库等。资产重要性指数可以是资产的重要程度以 具体数据的方式表示出来,比如说,网络设备的资产重要性指数可以是0.2和 安全设备的资产重要性指数可以是0.4等。映射关系可以是指两个元素的集之 间元素相互对应的关系,可以是资产类型与资产重要性指数间的相互对应关系。
在本实施例中,系统在设定时长内从安全告警事件监控平台中获取该时长 内所产生的多个安全告警事件,并且每个安全告警事件分别对应的目标告警硬 件,根据目标告警硬件可以得到对应的目标资产类型,并查询资产类型与资产 重要性指数间的映射关系,可以计算得到资产重要性指数。
具体的,对于资产类型与资产重要性指数间的映射关系的确定,可以采用 层次分析法或者其他分析法,这里不做限定。因此,通过计算得到资产重要性 指数。
可选的,在查询资产类型与资产重要性指数间的映射关系,获取与各所述 目标告警硬件分别对应的目标资产重要性指数之前,还可以包括:
获取与所述资产重要性指数匹配的多个参考因素;
根据同一资产类型中各参考因素的第一分配权重,以及不同资产类型针对 同一参考因素的第二分配权重,生成资产类型与资产重要性指数间的映射关系。
可选的,根据同一资产类型中各参考因素的第一分配权重,以及不同资产 类型针对同一参考因素的第二分配权重,生成资产类型与资产重要性指数间的 映射关系,包括:
依次获取一个目标资产类型;
将与所述目标资产类型的每个参考因素分别对应的第一分配权重和第二分 配权重进行加权求和,得到与所述目标资产类型对应的资产重要性指数;
返回执行依次获取一个目标资产类型的操作,直至完成对全部资产类型的 处理,以形成所述资产类型与资产重要性指数间的映射关系。
在本实施例中,通过获取与资产重要性指数匹配的多个参考因素,并且根 据同一资产类型中各参考因素的第一分配权重,以及不同资产类型针对同一参 考因素的第二分配权重,将与目标资产类型的每个参考因素分别对应的第一分 配权重和第二分配权重进行加权求和,最后生成资产类型与资产重要性指数间 的映射关系。因此,可以更加准确的计算得出资产重要性指数,并且可以确定 安全告警事件的优先级,从而进行处理。
比如说,采用层次分析法进行计算。首先,需要对资产基本情况进行统计。 主要通过人工调研结合主动探测技术,对资产的基本信息进行梳理,包括有资 产类型、资产的IP或域名、所属的类别和版本、可利用的漏洞严重程度、资产 的价值、相关性影响等,打好安全防御的基础。其次,需要对资产重要性指数 进行确定。这里采用层次分析法。
具体的,层次分析法是一种定性与定量相结合的决策分析方法。将目标分 解为多个目标或准则,进而分解为多指标(或准则、约束)的若干层次,通过 定性指标模糊量化方法算出层次单排序(权数)和总排序,以作为目标(多指 标)、多方案优化决策的系统方法。层次分析法适用于存在主观信息的情况,还 允许以合乎逻辑的方式运用经验、洞察力,所以非常适合资产重要性指数的评 估。具体评估的步骤如下:
如图1b为一种安全告警事件的处理方法中层次分析法的资产重要性指数 评估结果模型的结构示意图。首先将资产重要性指数作为目标;其次确定考虑 的因素,这里把资产价值(或重要程度)、漏洞严重程度、对业务的相关性影响、 攻击适宜性等元素作为准则;最后明确待防护的资产对象。一般信息系统包括 的资产对象有网络设备、安全设备、终端计算机、主机终端、应用系统、中间 件、数据库等,这里以数据库、网络设备、主机终端作为资产重要性指数的赋 值选项。因此,根据层次分析法,可以构造判别矩阵为:
Figure BDA0003266677780000081
其中,其中,对于矩阵的取值按照:
aij=1,元素i与元素j重要性相同;
aij=3,元素i比元素j稍重要;
aij=5,元素i比元素j明显重要;
aij=7,元素i比元素强烈重要;
aij=9,元素i比元素j极端重要;
aij=2、4、6、8,表示上述相同判断的中间值;
aij=1/aji,元素j与元素i重要性之比。
接着,需要进行一致性校验,经过计算可以得到,λA=4.193CIA=0.061 CRA=0.0734<0.10,满足一致性要求,因此可以确定评估元素的权重值。经过 计算可以得到,元素对目标的权向量,即第一分配权重为: w0=[0.5820,0.2786,0.0899,0.0495]。
因此,在得到元素对目标的权向量之后,在相应权向量的为目标的情况下, 通过使用层次分析法,计算资产相应的权重。比如说,在资产价值为目标,数 据库、网络设备和主机终端为准则,可以构造矩阵为:
Figure BDA0003266677780000091
同理,进行一致性验证,满足一致性要求,可以得到评估元素的权重值。 在资产价值为目标的情况下,计算得出数据库、网络设备和主机终端的权重值 分别为0.5396、0.2970和0.1634,也即第二分配权重。
同理,在漏洞严重影响程度、相关性影响和攻击适应性为目标,数据库、 网络设备和主机终端为准则,可以采用层次分析法相应的得到数据库、网络设 备和主机终端的权重值。如表1所示:
表1
Figure BDA0003266677780000092
Figure BDA0003266677780000101
因此,根据资产类型与资产重要性指数间的映射关系,可以计算得到数据 库的重要性指数为:
0.5820*0.5396+0.2786*0.3575+0.0899*0.2608+0.0495*0.4638=0.4601
同理,可以计算得到网络设备、主机终端的重要性指数分别为0.3421和 0.1978。因此可以计算得到资产类型对应的资产重要性指数。
这样设置的好处在于:通过获取与资产重要性指数匹配的多个参考因素, 并且根据同一资产类型中各参考因素的第一分配权重,以及不同资产类型针对 同一参考因素的第二分配权重,将与目标资产类型的每个参考因素分别对应的 第一分配权重和第二分配权重进行加权求和,最后生成资产类型与资产重要性 指数间的映射关系。因此,可以使得得到资产重要性指数更加准确,并且可以 更加准确的确定安全告警事件的优先级,从而能够高质量地降低网络攻击对目 标单位造成的严重影响,科学的进行网络安全防御。
S130、获取与各所述安全告警事件对应的目标危害级别,并查询危害级别 与危害重要性指数间的映射关系,获取与各所述目标危害级别分别对应的目标 危害重要性指数。
其中,目标危害级别可以是对于攻击IT资产的病毒的危害程度,可以包括 高危、中危和低危。危害重要性指数可以是危害IT资产的病毒的重要程度以具 体数据的方式表示出来。
具体的,根据危害级别与危害重要性指数间的映射关系,可以得到高危级 别的危害重要性指数、中危级别的危害重要性指数和低危级别的危害重要性指 数。
S140、根据各所述目标资产重要性指数以及各所述目标危害重要性指数, 确定各所述安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告 警事件进行处理。
其中,安全告警事件的处理顺序是通过各目标资产重要性指数以及各目标 危害重要性指数,计算得出安全告警事件的优先级,优先级越高,处理顺序越 靠前。
在本实施例中,通过每隔设定时长,从安全告警事件监控平台中获取该时 长内所产生的多个安全告警事件,并且查询资产类型与资产重要性指数间的映 射关系以及查询危害级别与危害重要性指数间的映射关系,根据各目标资产重 要性指数以及各目标危害重要性指数,经过计算得到多个安全告警事件的优先 级顺序,按照优先级来确定各安全告警事件的处理顺序,并反馈给工作人员进 行处理。
可选的,根据各所述目标资产重要性指数以及各所述目标危害重要性指数, 确定各所述安全告警事件的处理顺序,包括:
获取与资产重要性指数和危害重要性指数分别对应的第一重要性权重和第 二重要性权重;
根据所述第一重要性权重、所述第二重要性权重、对与每个安全告警事件 分别对应的目标资产重要性指数以及目标危害重要性指数进行加权求和,得到 与每个安全告警事件分别对应的标准重要性指数;
按照所述标准重要性指数由大到小的顺序,确定各所述安全告警事件的处 理顺序。
其中,第一重要性权重用w1表示,第二重要性权重用w2表示。
在本实施例中,图1c是基于加权分析法的安全告警事件优先级评估结果模 型结构示意图。其中,安全告警事件的优先级通过公式(1)计算得到:
P=w1L1+w2L2 (1)
式中,P为安全告警事件的优先级,L1为资产重要性指数,L2为危害重要 性指数,w1为第一重要性权重,w2为第二重要性权重。
其中,当第一重要性权重w1和第二重要性权重w2分别为0.5和0.5时,暂认 定受害资产重要性程度和攻击事件危害重要性程度是一样的;当第一重要性权 重w1和第二重要性权重w2分别为0.6和0.4时,暂认定受害资产重要性程度比攻 击事件危害重要性程度高;当第一重要性权重w1和第二重要性权重w2分别为0.4 和0.6时,暂认定受害资产重要性程度比攻击事件危害重要性程度低。
相应的,根据上式可以计算得到标准重要性指数由大到小的顺序,即安全 告警事件的优先级,按照优先级的顺序,确定各安全告警事件的处理顺序。
比如说,对安全告警事件的危害重要性指数可以确定为:高危的危害重要 性指数为0.5;中危的危害重要性指数为0.3;低危的危害重要性指数为0.2。同 时,第一重要性权重w1和第二重要性权重w2分别为0.5和0.5时,暂认定受害资 产重要性程度和攻击事件危害重要性程度是一样的。如下表2为某单位安全监 测系统告警事件示例。
表2
Figure BDA0003266677780000121
Figure BDA0003266677780000131
基于层次分析法计算本单位数据库、网络设备、主机终端等资产重要性指 数为:xi=[0.4601,0.3421,0.1978],则本环境的资产重要性指数由高到低为: 数据库、网络设备、主机终端,其中数据库的重要性指数最高。
另外,这里对安全报警事件危害级别,包括高危、中危、低危重要性指数 的赋值情况可以是yi=[0.5∶0.3∶0.2]。
综上得到,事件1、事件2优先级评估的关键因素矩阵为:
Figure BDA0003266677780000132
事件1的优先程度为:
P1=0.5*L11+0.5*L12=0.5*0.4601+0.5*0.3=0.38005
事件2的优先程度为:
P2=0.5*L21+0.5*L22=0.5*0.1978+0.5*0.5=0.3489
因此,安全告警事件1的优先程度高于安全告警事件2的,需要被优先处 理。
这样设置的好处在于:通过第一重要性权重、第二重要性权重、对与每个 安全告警事件分别对应的目标资产重要性指数以及目标危害重要性指数进行加 权求和,可以得到与每个安全告警事件分别对应的标准重要性指数。通过公式 计算得到标准重要性指数,这样使得计算得到的标准重要性指数更加准确,因 此,能够更好的确定安全告警事件的优先级顺序。
可选的,获取与资产重要性指数和危害重要性指数分别对应的第一重要性 权重和第二重要性权重,包括:
预先获取多个安全告警样本事件,并获取与各所述安全告警样本事件分别 对应的标准重要性指数标注结果;
根据与各所述安全告警样本事件分别对应的资产重要性指数、危害重要性 指数,以及与各所述安全告警样本事件分别对应的标准重要性指数标注结果, 拟合得到所述第一重要性权重和第二重要性权重。
在本实施例中,需要预先获取多个安全告警样本事件,并且可以获取与各 安全告警样本事件分别对应的标准重要性指数标注结果,通过资产重要性指数、 危害重要性指数和标准重要性指数标注结果,可以进一步拟合得到第一重要性 权重和第二重要性权重。
这样设置的好处在于:通过与各安全告警样本事件分别对应的资产重要性 指数、危害重要性指数,以及与各安全告警样本事件分别对应的标准重要性指 数标注结果,可以拟合得到第一重要性权重和第二重要性权重。因此,可以使 得计算得出的安全告警事件的优先级更加准确,进一步地使得对资产的保护更 加合理化和准确程度提高,实现高质量、高效率地降低网络攻击对目标单位造 成的严重影响。
可选的,其特征在于,所述资产类型包括下述至少一项:数据库、网路设 备和主机终端;
所述危害级别包括下述至少一项:高危、中危和低危。
本发明实施例所提供的技术方案,通过获取在设定时长内产生的多个安全 告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;获取与各所 述目标告警硬件对应的目标资产类型,并查询资产类型与资产重要性指数间的 映射关系,获取与各所述目标告警硬件分别对应的目标资产重要性指数;获取 与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害重要性指 数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重要性指数; 根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各所述 安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件进行 处理。解决了数以万计的信息技术资产有效防护的问题,实现了安全事件处置效率的提高,能够科学的网络安全防御和高质量、高效率地降低网络攻击对IT 资产造成的严重影响,并将安全加固的成本效益最大化。
实施例二
图2是本发明实施例二提供的一种安全告警事件的处理装置的结构示意 图,本实施例所提供的一种安全告警事件的处理装置可以通过软件和/或硬件来 实现,可配置于服务器或者终端设备中来实现本发明实施例中的一种安全告警 事件的处理方法。如图2所示,该装置具体可包括:安全告警事件获取模块210、 目标资产重要性指数获取模块220、目标危害重要性指数获取模块230和处理 顺序确定模块240。
其中,安全告警事件获取模块210,用于获取在设定时长内产生的多个安 全告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;
目标资产重要性指数获取模块220,用于获取与各所述目标告警硬件对应 的目标资产类型,并查询资产类型与资产重要性指数间的映射关系,获取与各 所述目标告警硬件分别对应的目标资产重要性指数;
目标危害重要性指数获取模块230,用于获取与各所述安全告警事件对应 的目标危害级别,并查询危害级别与危害重要性指数间的映射关系,获取与各 所述目标危害级别分别对应的目标危害重要性指数;
处理顺序确定模块240,用于根据各所述目标资产重要性指数以及各所述 目标危害重要性指数,确定各所述安全告警事件的处理顺序,并按照所述处理 顺序,对各所述安全告警事件进行处理。
本发明实施例所提供的技术方案,通过获取在设定时长内产生的多个安全 告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;获取与各所 述目标告警硬件对应的目标资产类型,并查询资产类型与资产重要性指数间的 映射关系,获取与各所述目标告警硬件分别对应的目标资产重要性指数;获取 与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害重要性指 数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重要性指数; 根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各所述 安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件进行 处理。解决了数以万计的信息技术资产有效防护的问题,实现了安全事件处置效率的提高,能够科学的网络安全防御和高质量、高效率地降低网络攻击对IT 资产造成的严重影响,并将安全加固的成本效益最大化。
在上述各实施例的基础上,安全告警事件获取模块210可以具体用于:
每隔设定时长,从安全告警事件监控平台中获取所述时长内所产生的多个 安全告警事件。
在上述各实施例的基础上,还可以包括,参考因素获取模块,用于:
在查询资产类型与资产重要性指数间的映射关系,获取与各所述目标告警 硬件分别对应的目标资产重要性指数之前,还包括:
参考因素获取子单元,用于获取与所述资产重要性指数匹配的多个参考因 素;
映射关系生成子单元,用于根据同一资产类型中各参考因素的第一分配权 重,以及不同资产类型针对同一参考因素的第二分配权重,生成资产类型与资 产重要性指数间的映射关系。
在上述各实施例的基础上,映射关系生成子单元,可以具体用于:
依次获取一个目标资产类型;
将与所述目标资产类型的每个参考因素分别对应的第一分配权重和第二分 配权重进行加权求和,得到与所述目标资产类型对应的资产重要性指数;
返回执行依次获取一个目标资产类型的操作,直至完成对全部资产类型的 处理,以形成所述资产类型与资产重要性指数间的映射关系。
在上述各实施例的基础上,处理顺序确定模块240可以具体用于:
重要性权重获取子单元,用于获取与资产重要性指数和危害重要性指数分 别对应的第一重要性权重和第二重要性权重;
标准重要性指数得到子单元,用于根据所述第一重要性权重、所述第二重 要性权重、对与每个安全告警事件分别对应的目标资产重要性指数以及目标危 害重要性指数进行加权求和,得到与每个安全告警事件分别对应的标准重要性 指数;
处理顺序确定子单元,用于按照所述标准重要性指数由大到小的顺序,确 定各所述安全告警事件的处理顺序。
在上述各实施例的基础上,重要性权重获取子单元可以具体用于:
预先获取多个安全告警样本事件,并获取与各所述安全告警样本事件分别 对应的标准重要性指数标注结果;
根据与各所述安全告警样本事件分别对应的资产重要性指数、危害重要性 指数,以及与各所述安全告警样本事件分别对应的标准重要性指数标注结果, 拟合得到所述第一重要性权重和第二重要性权重。
在上述各实施例的基础上,所述资产类型包括下述至少一项:数据库、网 路设备和主机终端;
所述危害级别包括下述至少一项:高危、中危和低危。
上述安全告警事件的处理装置可执行本发明任意实施例所提供的安全告警 事件的处理方法,具备执行方法相应的功能模块和有益效果。
实施例三
图3是本发明实施例三提供的一种计算机设备的结构图。如图3所示,该 设备包括处理器310、存储器320、输入装置330和输出装置340;设备中处理 器310的数量可以是一个或多个,图3中以一个处理器310为例;设备中的处 理器310、存储器320、输入装置330和输出装置340可以通过总线或其他方式 连接,图3中以通过总线连接为例。
存储器320作为一种计算机可读存储介质,可用于存储软件程序、计算机 可执行程序以及模块,如本发明实施例中的安全告警事件的处理方法对应的程 序指令/模块(例如,安全告警事件获取模块210、目标资产重要性指数获取模 块220、目标危害重要性指数获取模块230和处理顺序确定模块240)。处理器 310通过运行存储在存储器320中的软件程序、指令以及模块,从而执行设备 的各种功能应用以及数据处理,即实现上述的安全告警事件的处理方法,该方 法包括:
获取在设定时长内产生的多个安全告警事件,并识别与每个安全告警事件 分别对应的目标告警硬件;
获取与各所述目标告警硬件对应的目标资产类型,并查询资产类型与资产 重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标资产重 要性指数;
获取与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害 重要性指数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重 要性指数;
根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各 所述安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件 进行处理。
存储器320可主要包括存储程序区和存储数据区,其中,存储程序区可存 储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使 用所创建的数据等。此外,存储器320可以包括高速随机存取存储器,还可以 包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失 性固态存储器件。在一些实例中,存储器320可进一步包括相对于处理器310 远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实 例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置330可用于接收输入的数字或字符信息,以及产生与设备的用户 设置以及功能控制有关的键信号输入。输出装置340可包括显示屏等显示设备。
实施例四
本发明实施例四还提供一种包含计算机可执行指令的存储介质,所述计算 机可执行指令在由计算机处理器执行时用于执行一种安全告警事件的处理方 法,该方法包括:
获取在设定时长内产生的多个安全告警事件,并识别与每个安全告警事件 分别对应的目标告警硬件;
获取与各所述目标告警硬件对应的目标资产类型,并查询资产类型与资产 重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标资产重 要性指数;
获取与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害 重要性指数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重 要性指数;
根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各 所述安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件 进行处理。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其 计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例 所提供的安全告警事件的处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到, 本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很 多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上 或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机 软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器 (Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory, RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所 述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是 按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功 能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限 制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员 会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进 行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽 然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以 上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例, 而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种安全告警事件的处理方法,其特征在于,
获取在设定时长内产生的多个安全告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;
获取与各所述目标告警硬件对应的目标资产类型,并查询资产类型与资产重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标资产重要性指数;
获取与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害重要性指数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重要性指数;
根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各所述安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件进行处理。
2.根据权利要求1所述的方法,其特征在于,获取在设定时长内产生的多个安全告警事件,包括:
每隔设定时长,从安全告警事件监控平台中获取所述时长内所产生的多个安全告警事件。
3.根据权利要求1所述的方法,其特征在于,在查询资产类型与资产重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标资产重要性指数之前,还包括:
获取与所述资产重要性指数匹配的多个参考因素;
根据同一资产类型中各参考因素的第一分配权重,以及不同资产类型针对同一参考因素的第二分配权重,生成资产类型与资产重要性指数间的映射关系。
4.根据权利要求3所述的方法,其特征在于,根据同一资产类型中各参考因素的第一分配权重,以及不同资产类型针对同一参考因素的第二分配权重,生成资产类型与资产重要性指数间的映射关系,包括:
依次获取一个目标资产类型;
将与所述目标资产类型的每个参考因素分别对应的第一分配权重和第二分配权重进行加权求和,得到与所述目标资产类型对应的资产重要性指数;
返回执行依次获取一个目标资产类型的操作,直至完成对全部资产类型的处理,以形成所述资产类型与资产重要性指数间的映射关系。
5.根据权利要求1所述的方法,其特征在于,根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各所述安全告警事件的处理顺序,包括:
获取与资产重要性指数和危害重要性指数分别对应的第一重要性权重和第二重要性权重;
根据所述第一重要性权重、所述第二重要性权重、对与每个安全告警事件分别对应的目标资产重要性指数以及目标危害重要性指数进行加权求和,得到与每个安全告警事件分别对应的标准重要性指数;
按照所述标准重要性指数由大到小的顺序,确定各所述安全告警事件的处理顺序。
6.根据权利要求5所述的方法,其特征在于,获取与资产重要性指数和危害重要性指数分别对应的第一重要性权重和第二重要性权重,包括:
预先获取多个安全告警样本事件,并获取与各所述安全告警样本事件分别对应的标准重要性指数标注结果;
根据与各所述安全告警样本事件分别对应的资产重要性指数、危害重要性指数,以及与各所述安全告警样本事件分别对应的标准重要性指数标注结果,拟合得到所述第一重要性权重和第二重要性权重。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述资产类型包括下述至少一项:数据库、网路设备、主机终端、中间件和安全设备;
所述危害级别包括下述至少一项:高危、中危和低危。
8.一种安全告警事件的处理装置,其特征在于,
安全告警事件获取模块,用于获取在设定时长内产生的多个安全告警事件,并识别与每个安全告警事件分别对应的目标告警硬件;
目标资产重要性指数获取模块,用于获取与各所述目标告警硬件对应的目标资产类型,并查询资产类型与资产重要性指数间的映射关系,获取与各所述目标告警硬件分别对应的目标资产重要性指数;
目标危害重要性指数获取模块,用于获取与各所述安全告警事件对应的目标危害级别,并查询危害级别与危害重要性指数间的映射关系,获取与各所述目标危害级别分别对应的目标危害重要性指数;
处理顺序确定模块,用于根据各所述目标资产重要性指数以及各所述目标危害重要性指数,确定各所述安全告警事件的处理顺序,并按照所述处理顺序,对各所述安全告警事件进行处理。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的安全告警事件的处理方法。
10.一种计算机可执行指令的存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的安全告警事件的处理方法。
CN202111088543.XA 2021-09-16 2021-09-16 一种安全告警事件的处理方法、装置、设备和存储介质 Pending CN113778806A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111088543.XA CN113778806A (zh) 2021-09-16 2021-09-16 一种安全告警事件的处理方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111088543.XA CN113778806A (zh) 2021-09-16 2021-09-16 一种安全告警事件的处理方法、装置、设备和存储介质

Publications (1)

Publication Number Publication Date
CN113778806A true CN113778806A (zh) 2021-12-10

Family

ID=78851610

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111088543.XA Pending CN113778806A (zh) 2021-09-16 2021-09-16 一种安全告警事件的处理方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN113778806A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115292310A (zh) * 2022-07-11 2022-11-04 北京天融信网络安全技术有限公司 告警事件数据处理方法、装置、电子设备及存储介质
CN116527853A (zh) * 2023-06-20 2023-08-01 深圳比特微电子科技有限公司 电子设备、云端设备、客户端设备及其操作方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115292310A (zh) * 2022-07-11 2022-11-04 北京天融信网络安全技术有限公司 告警事件数据处理方法、装置、电子设备及存储介质
CN115292310B (zh) * 2022-07-11 2023-03-10 北京天融信网络安全技术有限公司 告警事件数据处理方法、装置、电子设备及存储介质
CN116527853A (zh) * 2023-06-20 2023-08-01 深圳比特微电子科技有限公司 电子设备、云端设备、客户端设备及其操作方法
CN116527853B (zh) * 2023-06-20 2023-10-13 深圳比特微电子科技有限公司 电子设备、云端设备、客户端设备及其操作方法

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
US11025674B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
CN110380896B (zh) 基于攻击图的网络安全态势感知系统和方法
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US20180137288A1 (en) System and method for modeling security threats to prioritize threat remediation scheduling
CN108833416B (zh) 一种scada系统信息安全风险评估方法及系统
CN112637159A (zh) 一种基于主动探测技术的网络资产扫描方法、装置及设备
US20140172495A1 (en) System and method for automated brand protection
US20130067582A1 (en) Systems, methods and devices for providing device authentication, mitigation and risk analysis in the internet and cloud
CN111680863A (zh) 基于层次分析法的网络环境安全状况评估方法
CN105009132A (zh) 基于置信因子的事件关联
CN108924084B (zh) 一种网络设备安全评估方法及装置
CN104509034A (zh) 模式合并以识别恶意行为
CN113778806A (zh) 一种安全告警事件的处理方法、装置、设备和存储介质
US9692779B2 (en) Device for quantifying vulnerability of system and method therefor
CN105516130A (zh) 一种数据处理方法和装置
US20220014561A1 (en) System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
CN114205143A (zh) 一种面向异构安全设备的智能化协同防御的方法及系统
CN115378712A (zh) 一种基于政务区块链底座的威胁情报共享方法
CN112702366B (zh) 网络系统安全评估方法、装置、电子设备及介质
CN108566392B (zh) 基于机器学习的防御cc攻击系统与方法
CN112925805A (zh) 基于网络安全的大数据智能分析应用方法
CN116846612A (zh) 攻击链补全方法、装置、电子设备及存储介质
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination