[发明专利]一种安全事件处理方法、装置及电子设备

权利要求书

1.一种安全事件处理方法，其特征在于，所述方法包括：

在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；

在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识；

在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件，并获取所述第二安全事件对应第二属性字段信息；

判定所述第一属性字段信息与所述第二属性字段信息是否一致；

若一致，则将所述第二安全事件作为噪声事件，并丢弃所述噪声事件；

若不一致，则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。

2.如权利要求1所述的方法，其特征在于，在获取所述第一安全事件对应的第一属性字段信息之前，所述方法还包括：

确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识；

将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。

3.如权利要求1所述的方法，其特征在于，所述获取所述第一安全事件对应的第一属性字段信息，包括：

在所述预设规则场景库中确定出事件属性字段；

在所述第一安全事件中提取出所述事件属性字段对应的第一属性字段信息。

4.如权利要求1所述的方法，其特征在于，所述根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件，包括：

在所述第一安全事件中提取出第一执行操作信息，其中，所述第一执行操作信息表征了所述第一安全事件执行的操作；

在所述第二安全事件中提取出第二执行操作信息，其中，所述第二执行操作信息表征了所述第二安全事件执行的操作；

根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。

5.如权利要求4所述的方法，其特征在于，所述根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件，包括：

通过哈希算法，计算所述第一执行操作信息对应的第一哈希值以及计算所述第二执行操作信息对应的第二哈希值；

计算所述第一哈希值与所述第二哈希值之间的海明距离；

判定所述海明距离是否小于预设阈值；

若是，则将所述第二安全事件作为所述噪声事件；

若否，则保留并输出所述第二安全事件。

6.一种安全事件处理装置，其特征在于，所述装置包括：

获取单元，用于在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；

筛选单元，用于在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识；在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件，并获取所述第二安全事件对应第二属性字段信息；

处理单元，用于判定所述第一属性字段信息与所述第二属性字段信息是否一致；若一致，则将所述第二安全事件作为噪声事件，并丢弃所述噪声事件；若不一致，则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。

7.如权利要求6所述的装置，其特征在于，所述处理单元，还用于确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识；将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。