[发明专利]事件可信度分析方法、装置、电子设备及可读存储介质

说明书

本申请提供一种事件可信度分析方法、装置、电子设备及可读存储介质，涉及网络安全技术领域。该方法在对目标安全事件进行分析时，从历史事件可信度分析结果中查找与其相似的目标历史事件，然后获取与目标历史事件相似的事件结合，并利用关联分析算法计算获得目标安全事件与事件集合之间的可信度，以获得目标安全事件的可信度，无需通过人工识别，效率更高。并且，通过结合历史事件可信度分析结果，对安全事件的可信度分析提供一定程度上的数据支撑，使得分析结果更准确。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种事件可信度分析方法、装置、电子设备及可读存储介质。

背景技术

随着计算机技术和网络技术的发展，网络安全问题也越来越受到重视。为了保证网络系统的安全，通常需要对威胁网络安全的任何一个行为进行报警，即产生安全事件。安全事件由安全系统生成，如防火墙、漏洞扫描系统、防病毒系统等，这些安全系统都会产生大量的安全事件。而安全系统通常是通过简单的规则匹配来识别这些攻击行为，进而产生安全事件，所以，安全系统产生的安全事件可能存在一些误报，可信度并不高，而安全管理员仅仅通过人为经验来识别这些安全事件的可信度，效率低下且准确度不高，使得安全管理工作变得越来越困难。

发明内容

本申请实施例的目的在于提供一种事件可信度分析方法、装置、电子设备及可读存储介质，用以改善现有技术中通过人工识别安全事件的可信度的方式导致的效率低下且准确度不高的问题。

第一方面，本申请实施例提供了一种件可信度分析方法，所述方法包括：获取多个安全事件；针对所述多个安全事件中的目标安全事件，在获得的历史事件可信度分析结果中查找与所述目标安全事件相似的目标历史事件；从所述多个安全事件中获取与所述目标历史事件相似的事件集合，所述事件集合包含至少一个安全事件；采用关联分析算法计算获得所述目标安全事件与所述事件集合之间的可信度。

在上述实现过程中，在对目标安全事件进行分析时，可以从历史事件可信度分析结果中查找与其相似的目标历史事件，然后获取与目标历史事件相似的事件结合，并利用关联分析算法计算获得目标安全事件与事件集合之间的可信度，以获得目标安全事件的可信度，无需通过人工识别，效率更高。并且，通过结合历史事件可信度分析结果，对安全事件的可信度分析提供一定程度上的数据支撑，使得分析结果更准确。

可选地，所述从所述多个安全事件中获取与所述目标历史事件相似的事件集合，包括：

对所述多个安全事件进行分类，获得每个安全事件对应的类别；

对所述多个安全事件按照时间顺序进行排序，获得事件序列；

根据每个安全事件对应的类别以及所述事件序列获取与所述目标历史事件相似的事件集合，其中，所述事件集合中的安全事件与所述目标历史事件的类别相同，和/或与所述目标历史事件发生的时间相近。

在上述实现过程中，通过根据安全事件对应的类别以及事件序列来获取与目标历史事件相似的安全事件，从而可以找到一些相似的安全事件来对目标安全事件的可信度进行支撑，进而获得更准确的可信度。

可选地，所述对所述多个安全事件进行分类，获得每个安全事件对应的类别，包括：

按照以下至少一个分类维度对所述多个安全事件进行分类，获得每个安全事件对应的类别，所述至少一个分类维度包括：来源、目的、协议类型、端口、事件性质。这样可以有效根据安全事件的类别查找到相似的安全事件。

可选地，所述采用关联分析算法计算获得所述目标安全事件与所述事件集合之间的可信度，包括：

采用Apriori算法计算获得所述目标安全事件的第一支持度以及所述目标安全事件与所述事件集合的第二支持度；

根据所述第一支持度以及所述第二支持度计算获得所述目标安全事件与所述事件集合之间的可信度。