[发明专利]用于网络安全风险事件的自动处置的装置和方法

权利要求书

1.一种用于网络安全风险事件的自动处置的方法，包括：

通过监视系统（154）检测（205）与计算系统中的设备相关联的第一事件；

响应于检测到事件，通过监视系统（154）初始化（215）对应于第一事件的风险项，并且将风险项设置到全风险值，所述全风险值是表示新事件的全风险的值；

通过监视系统（154）确定（220）是否已经检测到对应于第一事件的第二事件，第二事件可以通过作为第一事件的重复、具有与第一事件相同的事件类型、或者由与第一事件相同的过程、系统或设备生成而对应于第一事件；

通过监视系统（154），响应于确定没有检测到第二事件，随时间更改（225）风险值；

通过监视系统（154），响应于确定检测到对应于第一事件的多个第二事件，系统可以将风险值更改成高于全风险值的值；

通过监视系统（154）确定（230）针对风险项的风险值是否已经超过阈值；

通过监视系统（154）响应于风险值超过阈值而清除（235）第一事件；以及

其中通过监视系统（154）更改风险值包括根据衰减函数来降低风险值，其中衰减函数被定义为

对于t＜P：Risk =R*(1-(t/P))

对于t＞=P：Risk=0

其中Risk表示经调节的风险值，R表示全风险值，P表示衰减时间段，并且t表示自从检测到发生的第一事件以来已经经过的时间量。

2.根据权利要求1所述的方法，其中监视系统（154）还存储（210）针对第一事件的事件详情。

3.根据权利要求1所述的方法，其中，响应于确定（220）已经检测到多个第二事件，监视系统将风险值更改成指示显著的进行中的风险的值。

4.根据权利要求1所述的方法，其中监视系统（154）显示指示风险项和风险值的警报。

5.一种监视系统（154），包括：

处理设备（156）；

存储器（158）；以及

网络接口（160），监视系统被配置成：

检测（205）与计算系统中的设备相关联的第一事件；

响应于检测到事件，初始化（215）对应于第一事件的风险项，并且将风险项设置到全风险值，所述全风险值是表示新事件的全风险的值；

确定（220）是否已经检测到对应于第一事件的第二事件，第二事件可以通过作为第一事件的重复、具有与第一事件相同的事件类型、或者由与第一事件相同的过程、系统或设备生成而对应于第一事件；

响应于确定没有检测到第二事件，随时间更改（225）风险值；

通过监视系统（154），响应于确定检测到对应于第一事件的多个第二事件，系统可以将风险值更改成高于全风险值的值；

确定（230）针对风险项的风险值是否已经超过阈值；

响应于风险值超过阈值而清除（235）第一事件；以及

其中通过监视系统（154）来更改风险值包括根据衰减函数来降低风险值，其中衰减函数被定义为

对于t＜P：Risk =R*(1-(t/P))

对于t＞=P：Risk=0

其中Risk表示经调节的风险值，R表示全风险值，P表示衰减时间段，并且t表示自从检测到发生的第一事件以来已经经过的时间量。

6.根据权利要求5所述的监视系统，其中监视系统（154）还存储（210）针对第一事件的事件详情。

7.根据权利要求5所述的监视系统，被配置成响应于确定（220）已经检测到多个第二事件，使得监视系统（154）将风险值更改成指示显著的进行中的风险的值。