[发明专利]一种安全事件处理方法、装置及电子设备

说明书

本申请提供了一种安全事件处理方法、装置及电子设备，通过该方法可以在设规则场景库确定安全事件的噪声标识，并根据噪声标识提取出对应的属性字段的属性字段信息，并最终根据属性字段信息来判定安全事件是否为噪声事件，在是噪声事件的情况下，丢弃该噪声事件，从而减少了系统的误报，节约了系统资源，提升了安全事件的告警准确性。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种安全事件处理方法、装置及电子设备。

背景技术

随着数字化的发展，信息技术的快速更新迭代，云计算、大数据、物联网、移动物联网等新兴IT技术为各个行业带来了新的生产力，也给企业网络基础设施带来了极大的复杂性，尤其是云计算新技术的快速发展，企业IT资产呈现几何级增长，企业的资产越多，面临的攻击面也越大，产生的安全事件、告警事件就越多。

一般来说，很多安全事件、告警事件为系统误报，比如漏洞扫描与网络入侵，漏洞扫描本身是对服务器漏洞的扫描，但是漏洞扫描的同时会被入侵防御系统(IntrusionPrevention System，IPS)检测为异常行为，这样的安全事件或者告警事件也就造成系统误报。

大量的误报不仅消耗了大量的资源，并且使得安全事件的告警准确性也降低。

发明内容

本发申请提供了一种安全事件处理方法、装置及电子设备，用以在安全事件中筛选出噪声事件，避免对噪声事件进行告警，降低了系统的安全事件误报概率，提升安全事件的告警准确性。

第一方面，本申请提供了一种安全事件处理方法，所述方法包括：

在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；

在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识；

在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件，并获取所述第二安全事件对应第二属性字段信息；

判定所述第一属性字段信息与所述第二属性字段信息是否一致；

若一致，则将所述第二安全事件作为噪声事件，并丢弃所述噪声事件；

若不一致，则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。

通过该方式，可以预设规则场景库确定安全事件的噪声标识，并根据噪声标识提取出对应的属性字段的属性字段信息，并最终根据属性字段信息来判定安全事件是否为噪声事件，在是噪声事件的情况下，丢弃该噪声事件，从而减少了系统的误报，节约了系统资源，提升了安全事件的告警准确性。

在一种可能设计中，在获取所述第一安全事件对应的第一属性字段信息之前，所述方法还包括：

确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识；

将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。

在一种可能的设计中，所述获取所述第一安全事件对应的第一属性字段信息，包括：

在所述预设规则场景库中确定出事件属性字段；

在所述第一安全事件中提取出所述事件属性字段对应的第一属性字段信息。

在一种可能的设计中，所述根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件，包括：

在所述第一安全事件中提取出第一执行操作信息，其中，所述第一执行操作信息表征了所述第一安全事件执行的操作；