[发明专利]安全事件处理方法、装置、设备及存储介质

说明书

本发明公开了一种安全事件处理方法、装置、设备及存储介质。该方法包括：获取各待打分安全事件的字段信息；将各待打分安全事件作为构图节点，根据字段信息通过预设构图规则将构图节点构成有权无向图；根据构图节点对有权无向图进行社区划分，得到目标有权无向图；通过预设传播算法确定目标有权无向图中各构图节点的得分，并将各构图节点的得分作为对应的待打分安全事件的目标得分。通过将海量可信度低的安全事件构成有权无向图，对有权无向图进行社区划分，根据预设传播算法挖掘可信度高的安全事件，解决了如何从海量可信度较低的安全事件中挖掘可信度高安全事件的技术问题，从而减少误报，消除错误告警，帮助客户快速筛选出高可疑的安全事件。

技术领域

本发明涉及计算机技术领域，尤其涉及一种安全事件处理方法、装置、设备及存储介质。

背景技术

当前有一部分安全检测模型往往是异常检测类型的弱指示器，在线上实际部署过程中，会生成大量告警事件，这些告警事件中存在大量误判事件，造成客户难以分析识别，真正检测出的问题往往淹没在了大量无关的告警中。

针对此问题，主流厂商的做法是引入组合强规则或打分技术，目前主流厂商采用的打分方案如下：

1、通过简单的预设值累加的方式实现，直观上将所有安全事件累积叠加，没有分值上限，不便于评价。

2、基于会话的打分，会话的主体是用户，针对会话开始和会话结束期间，用户所进行的所有操作进行规则预设与分值累积，最后该会话得分超过一定的阈值，则认为是异常。该方法仍然是预设阈值的累积过程，同一事件多次出现，使用累积叠加的方案显然是不合理

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种安全事件处理方法、装置、设备及存储介质，旨在解决如何从海量可信度较低的安全事件中挖掘可信度高安全事件的技术问题。

为实现上述目的，本发明提供了一种安全事件处理方法，所述方法包括以下步骤：

获取各待打分安全事件的字段信息；

将所述各待打分安全事件作为构图节点，根据所述字段信息通过预设构图规则将所述构图节点构成有权无向图；

根据所述构图节点对所述有权无向图进行社区划分，得到目标有权无向图；

通过预设传播算法确定所述目标有权无向图中各构图节点的得分，并将所述各构图节点的得分作为对应的待打分安全事件的目标得分。

可选地，所述根据所述字段信息通过预设构图规则将所述构图节点构成有权无向图，包括：

根据所述字段信息通过预设构图规则计算各构图节点之间的边权值；

根据所述边权值将所述构图节点构成有权无向图。

可选地，所述根据所述字段信息通过预设构图规则计算各构图节点之间的边权值，包括：

根据所述字段信息确定各构图节点的用户名、源地址以及目的地址；

根据所述用户名、所述源地址以及所述目的地址计算各构图节点之间的边权值。

可选地，所述根据所述构图节点对所述有权无向图进行社区划分，得到目标有权无向图，包括：

根据预设社区检测算法将所述有权无向图中的各构图节点划分至各节点群；

将各节点群聚合为社区节点，根据所述社区节点构成节点网络；

根据预设赋值策略对所述社区节点进行权重赋予，得到各社区节点对应的权重值；

根据所述权重值和所述节点网络构成目标有权无向图。