[发明专利]安全事件处理方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种安全事件处理方法和装置。

背景技术

随着互联网的快速发展，各类网络安全问题层出不穷，安全设备、安全系统呈指数型增长。各类安全设备实时产生的大量告警信息中夹杂着误报和无关告警，真正的入侵意图淹没在大量低质量的数据中，导致难以对这些告警信息进行正确地分析和理解，同时孤立的告警信息不能准确地反映网络当前的安全状态。

设备告警全盘接受式的处理方案不仅给设备带来严重的负荷，也给企业管理人员面对海量的安全事件如何处置带来困扰。因此，如何从各类安全设备、安全系统的海量数据源中有效地提取出用户所关心的网络安全事件成为亟待解决的一大难题。

发明内容

本发明实施例所要解决的一个技术问题是：海量安全事件的有效处理问题。

根据本发明实施例的一个方面，提出一种安全事件处理方法，包括：采集原始安全事件，原始安全事件的属性信息包括以下至少一项：事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别；根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并。

在一个实施例中，在采集原始安全事件之后，该方法还包括：重新设置原始安全事件的部分属性信息，其中，可重新设置的部分属性信息包括：事件名称、事件级别。

在一个实施例中，根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括：根据事件发生时间属性，对同时发生的原始安全事件的事件名称属性进行模糊匹配，得到相同或相似的原始安全事件；根据预先设置的事件压制规则和事件级别属性，将不同优先级的相同或相似的原始安全事件归并为一个较高优先级的安全事件。

在一个实施例中，根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括：根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件；根据预先设置的事件包含规则，将具有包含关系的至少两个原始安全事件归并为一个事件类型较大的安全事件。

在一个实施例中，根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括：根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件；根据预先设置的事件替换规则，将具有包含关系的至少两个原始安全事件归并为一个事件类型较小的安全事件。

在一个实施例中，根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括：根据源地址属性和目的地址属性查找到事件发生源或事件针对目标相同的原始安全事件；根据事件名称属性从事件发生源或事件针对目标相同的原始安全事件中查找到相同或具有顺序关系的原始安全事件；根据预先设置的事件顺序关联规则和事件发生时间属性，将一定时间段内发生的相同或具有顺序关系的原始安全事件归并为一个新的安全事件。

在一个实施例中，在对原始安全事件进行归并之前，该方法还包括：根据原始安全事件至少一项属性信息，采用预先设定的匹配方式对原始安全事件进行过滤。

根据本发明实施例的再一个方面，提出一种安全事件处理装置，包括：采集单元，用于采集原始安全事件，原始安全事件的属性信息包括以下至少一项：事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别；归并单元，用于根据原始安全事件的属性信息和预先设置的归并规则对采集单元采集的原始安全事件进行归并。

在一个实施例中，该装置还包括：设置单元，用于在采集原始安全事件之后，重新设置原始安全事件的部分属性信息，其中，可重新设置的部分属性信息包括：事件名称、事件级别。

在一个实施例中，归并单元包括压制子单元，用于：根据事件发生时间属性，对同时发生的原始安全事件的事件名称属性进行模糊匹配，得到相同或相似的原始安全事件；根据预先设置的事件压制规则和事件级别属性，将不同优先级的相同或相似的原始安全事件归并为一个较高优先级的安全事件。

在一个实施例中，归并单元包括包含子单元，用于：根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件；根据预先设置的事件包含规则，将具有包含关系的至少两个原始安全事件归并为一个事件类型较大的安全事件。

在一个实施例中，归并单元包括替换子单元，用于：根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件；根据预先设置的事件替换规则，将具有包含关系的至少两个原始安全事件归并为一个事件类型较小的安全事件。