安全事件处理方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,特别涉及一种安全事件处理方法和装置。
【背景技术】
[0002]随着互联网的快速发展,各类网络安全问题层出不穷,安全设备、安全系统呈指数型增长。各类安全设备实时产生的大量告警信息中夹杂着误报和无关告警,真正的入侵意图淹没在大量低质量的数据中,导致难以对这些告警信息进行正确地分析和理解,同时孤立的告警信息不能准确地反映网络当前的安全状态。
[0003]设备告警全盘接受式的处理方案不仅给设备带来严重的负荷,也给企业管理人员面对海量的安全事件如何处置带来困扰。因此,如何从各类安全设备、安全系统的海量数据源中有效地提取出用户所关心的网络安全事件成为亟待解决的一大难题。
【发明内容】
[0004]本发明实施例所要解决的一个技术问题是:海量安全事件的有效处理问题。
[0005]根据本发明实施例的一个方面,提出一种安全事件处理方法,包括:采集原始安全事件,原始安全事件的属性信息包括以下至少一项:事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别;根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并。
[0006]在一个实施例中,在采集原始安全事件之后,该方法还包括:重新设置原始安全事件的部分属性信息,其中,可重新设置的部分属性信息包括:事件名称、事件级别。
[0007]在一个实施例中,根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括:根据事件发生时间属性,对同时发生的原始安全事件的事件名称属性进行模糊匹配,得到相同或相似的原始安全事件;根据预先设置的事件压制规则和事件级别属性,将不同优先级的相同或相似的原始安全事件归并为一个较高优先级的安全事件。
[0008]在一个实施例中,根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括:根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件;根据预先设置的事件包含规则,将具有包含关系的至少两个原始安全事件归并为一个事件类型较大的安全事件。
[0009]在一个实施例中,根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括:根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件;根据预先设置的事件替换规则,将具有包含关系的至少两个原始安全事件归并为一个事件类型较小的安全事件。
[0010]在一个实施例中,根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并包括:根据源地址属性和目的地址属性查找到事件发生源或事件针对目标相同的原始安全事件;根据事件名称属性从事件发生源或事件针对目标相同的原始安全事件中查找到相同或具有顺序关系的原始安全事件;根据预先设置的事件顺序关联规则和事件发生时间属性,将一定时间段内发生的相同或具有顺序关系的原始安全事件归并为一个新的安全事件。
[0011]在一个实施例中,在对原始安全事件进行归并之前,该方法还包括:根据原始安全事件至少一项属性信息,采用预先设定的匹配方式对原始安全事件进行过滤。
[0012]根据本发明实施例的再一个方面,提出一种安全事件处理装置,包括:采集单元,用于采集原始安全事件,原始安全事件的属性信息包括以下至少一项:事件编号、事件名称、事件类型、事件发生时间、源地址、目的地址、事件级别;归并单元,用于根据原始安全事件的属性信息和预先设置的归并规则对采集单元采集的原始安全事件进行归并。
[0013]在一个实施例中,该装置还包括:设置单元,用于在采集原始安全事件之后,重新设置原始安全事件的部分属性信息,其中,可重新设置的部分属性信息包括:事件名称、事件级别。
[0014]在一个实施例中,归并单元包括压制子单元,用于:根据事件发生时间属性,对同时发生的原始安全事件的事件名称属性进行模糊匹配,得到相同或相似的原始安全事件;根据预先设置的事件压制规则和事件级别属性,将不同优先级的相同或相似的原始安全事件归并为一个较高优先级的安全事件。
[0015]在一个实施例中,归并单元包括包含子单元,用于:根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件;根据预先设置的事件包含规则,将具有包含关系的至少两个原始安全事件归并为一个事件类型较大的安全事件。
[0016]在一个实施例中,归并单元包括替换子单元,用于:根据事件类型属性和事件发生时间属性查找到同时发生的具有包含关系的至少两个原始安全事件;根据预先设置的事件替换规则,将具有包含关系的至少两个原始安全事件归并为一个事件类型较小的安全事件。
[0017]在一个实施例中,归并单元包括顺序关联子单元,用于:根据源地址属性和目的地址属性查找到事件发生源或事件针对目标相同的原始安全事件;根据事件名称属性从事件发生源或事件针对目标相同的原始安全事件中查找到相同或具有顺序关系的原始安全事件;根据预先设置的事件顺序关联规则和事件发生时间属性,将一定时间段内发生的相同或具有顺序关系的原始安全事件归并为一个新的安全事件。
[0018]在一个实施例中,该装置还包括:过滤单元,用于在对原始安全事件进行归并之前,根据原始安全事件至少一项属性信息,采用预先设定的匹配方式对原始安全事件进行过滤。
[0019]本发明至少具有以下优点:
[0020]首先,通过采集原始安全事件,根据原始安全事件的属性信息和预先设置的归并规则对原始安全事件进行归并,可以形成高质量的更能够反映网络当前安全状况的安全事件,并且可以大大压缩安全事件的数量,降低对安全事件的处理负荷。
[0021]并且,本发明示例性的提出了例如事件压制、事件包含、事件替换、事件顺序关联等归并策略,通过归并后的一个安全事件可以更加真实准确地反映多条原始安全事件所代表的含义,并且大大压缩了安全事件的数量。
[0022]其次,根据原始安全事件至少一项属性信息,采用预先设定的匹配方式对原始安全事件进行过滤,可以去除冗余数据,减轻后续工作的处理工作量。
[0023]再次,在采集原始安全事件之后,可以根据需要重新设置原始安全事件的部分属性信息,例如事件名称、事件级别等,可以消除事件来源的差异性,为上层应用提供统一的安全支持。
[0024]通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
【附图说明】
[0025]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0026]图1为本发明一个实施例的分层式协同安全事件处理架构示