[发明专利]安全事件生成方法、装置、设备及计算机可读存储介质

说明书

本申请实施例公开了一种安全事件生成方法、装置、设备及计算机可读存储介质，用于在提高安全事件生成的准确性的情况下，生成安全事件。本申请实施例方法包括：获得多个告警信息，其中，告警信息是待检测数据触发预设规则后产生的，基于规则的属性信息，对告警信息进行分析以确定是否满足生成安全事件的条件，若满足生成安全事件的条件，则根据预设方式将告警信息生成安全事件。

技术领域

本申请实施例涉及安全事件生成领域，更具体的，是安全事件生成方法、装置、设备及计算机可读存储介质。

背景技术

在网络安全技术的快速发展，终端设备会存在越来越多的告警信息，为了保证终端设备的安全运行，因此，需要将告警信息生成安全事件，以可以对安全事件进行处置。其中，安全事件是用来描述网络中同一设备或不同设备产生对客户具有危害的行为日志的组合，通过更抽象的方式描述黑客或者不法分子等进行的一系列的网络活动。

现有的生成安全事件的方法是，获得终端设备的告警信息之后，安全防御设备可以通过预设检测查杀方式生成该终端设备的告警信息的安全事件，以对安全事件进行处置，其中，安全防御设备可以是网关出入口防火墙、AF，IDS，IPS，漏洞扫描设备，网闸等，预设检测查杀方式比如是通过网络链接信息进行检测查杀，或通过本地文件进行检测查杀等，并且，在不同的攻击阶段可以有不同的检测查杀方式。

但是，现有的生成安全事件的方法只是通过预设检测查杀方式对告警信息进行简单的检测，从而简单确定告警信息对应的安全事件，安全事件生成的准确性较低。

发明内容

本申请实施例提供了一种安全事件生成方法、装置、设备及计算机可读存储介质，用于在提高安全事件生成的准确性的情况下，生成安全事件。

第一方面，本申请实施例提供了一种安全事件生成方法，包括：

获得多个告警信息，其中，所述告警信息是待检测数据触发预设规则后产生的；

基于所述规则的属性信息，对所述告警信息进行分析以确定是否满足生成安全事件的条件；

若满足生成安全事件的条件，则根据预设方式将所述告警信息生成安全事件。

可选的，所述属性信息包括规则置信度，所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度，所述多个告警信息对应的待检测数据触发了多个规则；所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括：

确定所述多个规则各自对应的规则置信度；

根据所述多个规则的规则置信度对所述告警信息进行分析以确定是否满足生成安全事件的条件。

可选的，所述属性信息包括规则标识，所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括：

基于所述规则标识将所述多个告警信息各自映射到对应的攻击阶段；

基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。

可选的，所述基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件，包括：

基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型；

基于所述每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型，对所述多个告警信息进行关联以确定是否生成安全事件。

可选的，所述根据预设方式将所述告警信息生成安全事件，包括：

确定所述告警信息所属于的目标安全事件；