[发明专利]安全防护系统及方法

权利要求书

1.一种安全防护系统，其包括：

威胁事件检测模块，适于对待防护对象进行威胁检测，以获取在所述威胁检测过程中产生的多个威胁事件；

聚合模块，适于对产生的多个威胁事件进行聚合处理，以生成与多个威胁事件相对应的至少一个安全事件；其中，一个安全事件由若干威胁事件聚合而成；

告警模块，适于生成与所述安全事件对应的告警信息。

2.根据权利要求1所述的系统，其中，所述系统还包括：

关联模块，适于对所述威胁事件进行数据关联，以获取所述威胁事件的威胁事件信息；

则所述聚合模块进一步适于：基于多个威胁事件的威胁事件信息，对多个威胁事件进行聚合处理。

3.根据权利要求2所述的系统，其中，所述威胁事件信息包括以下信息中的至少一种：

资产信息、终端进程信息、以及情报信息。

4.根据权利要求2或3所述的系统，其中，所述聚合模块进一步适于：

根据所述多个威胁事件的威胁事件信息，识别出对应于同一攻击节点的威胁事件；针对于任一攻击节点，将对应于该攻击节点的威胁事件进行聚合处理，以生成与该攻击节点对应的安全事件；

和/或，根据所述多个威胁事件的威胁事件信息，识别出对应于同一攻击节点的威胁事件；获取具有关联性的多个攻击节点；将对应于所述多个攻击节点的威胁事件进行聚合处理，以生成与所述多个攻击节点对应的安全事件；其中，所述具有关联性的多个攻击节点对应于同一攻击场景。

5.根据权利要求1-4中任一项所述的系统，其中，所述威胁事件检测模块进一步适于：

根据检测规则集中包含的至少一条威胁检测规则对待防护对象进行威胁检测。

6.根据权利要求1-5中任一项所述的系统，其中，所述系统还包括：

风险评级模块，适于从多个评价维度，确定所述威胁事件的风险级别。

7.根据权利要求1-6中任一项所述的系统，其中，所述告警模块进一步适于：生成包含至少一条告警信息的告警工单列表页面；

则所述系统还包括：监控模块，适于根据在所述告警工单列表页面触发的对任一告警信息的告警处理操作，启动对该告警信息的告警处理监控流程。

8.一种安全防护方法，其包括：

对待防护对象进行威胁检测，以获取在所述威胁检测过程中产生的多个威胁事件；

对产生的多个威胁事件进行聚合处理，以生成与多个威胁事件相对应的至少一个安全事件；其中，一个安全事件由若干威胁事件聚合而成；

生成与所述安全事件对应的告警信息。

9.一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行如权利要求8所述的安全防护方法对应的操作。

10.一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如权利要求8所述的安全防护方法对应的操作。