[发明专利]安全告警转化为安全事件的方法、装置及存储介质

说明书

本发明公开一种安全告警转化为安全事件的方法、装置及存储介质，所述方法包括：获取第一告警数据；利用告警归并策略提取或创建第一告警数据的事件ID，以将属于同一事件ID的所述第一告警数据进行归类，得到第二告警数据；利用事件输出策略对第二告警数据进行自定义赋值，得到第三告警数据；利用事件信息策略对与第三告警数据进行分组，得到安全事件。本发明可灵活配置事件策略流程，利用事件策略提取或创建告警数据的事件ID，将属于同一所述事件ID的第一告警数据进行归类，并对归类后的告警数据进行自定义赋值和分组，生成相关安全事件。通过对告警数据入库归并方式，消除了告警风暴，降低了对威胁的分析与响应成本。

技术领域

本发明涉及网络安全技术领域，具体涉及一种安全告警转化为安全事件的方法、装置及存储介质。

背景技术

当前，在安全防护体系中，企业和单位大多使用堆叠安全设备的方式，在日常的安全运营过程中，完全依赖安全设备告警。但是在实际的运营中，虽然安全设备名称不同或产生的告警名称不同，但实际大都是基于特征、行为的检测而产生的数据。所以，通常会在在实际的环境中，看到同一个资产，包含大量的、重复的告警。

由于资产繁多，会产生大量的告警，特性是间隔短，数量多，单凭人工手段，无法判别这些告警，到底是属于一个或多个攻击者的重复行为，还是由多个安全设备的产生的同一类的重复的告警。

当前安全运营平台存在一定的局限性，只能对同源地址、同目的地址、同名称、同威胁级别等四种或四种以上相同特征的告警进行归并，其他的告警信息只能分散读取。在面对大量的告警时，分析人员很难抓住重点，只能花费大量时间与精力去做调查分析研判，造成大量的重复性工作与时间成本浪费。

由于平台无法快速的为分析人员提供所需所求，人工也无法快速识别出资产受到攻击的数量和种类，目前采取的处理方式是关注高威胁级别的告警，舍去中低威胁级别的告警。但这种处理方式，会给系统预留大量隐患，在系统发生异常时，才发觉自身被攻击。

相关技术中，申请号为200910091833.2的发明专利申请公开了一种用于集群监控的告警通知系统和方法，该系统设置有告警接收装置，用于接收来自集群系统的告警信息；发送策略管理装置，用于维护发送策略，并将所接收的告警信息与所维护的发送策略进行匹配，找到与告警信息匹配的发送策略；以及告警信息发送装置，用于根据与告警信息匹配的发送策略发送告警信息。通过将所接收的告警信息与所维护的发送策略进行匹配，找到与告警信息匹配的发送策略，并根据与告警信息匹配的发送策略发送告警信息，能够很好地控制何种告警以何种方式发送给何人的逻辑。但该告警通知系统并未对告警进行归并，其实质上未消除告警风暴。

发明内容

本发明所要解决的技术问题在于如何消除告警风暴，降低对威胁的分析与响应成本。

本发明通过以下技术手段实现解决上述技术问题的：

一方面，本发明实施例提供了一种安全告警转化为安全事件的方法，用于采用预置的至少一个事件策略将告警转化为安全事件，所述事件策略包括告警归并策略、事件输出策略和事件信息策略，所述方法包括：

获取第一告警数据；

利用告警归并策略提取或创建所述第一告警数据的事件ID，以将属于同一所述事件ID的所述第一告警数据进行归类，得到第二告警数据；

利用事件输出策略对所述第二告警数据进行自定义赋值，得到第三告警数据；

利用事件信息策略对与所述第三告警数据进行分组，得到安全事件。

本发明可灵活配置事件策略流程，利用事件策略提取或创建告警数据的事件ID，将属于同一所述事件ID的所述第一告警数据进行归类，并对归类后的告警数据进行自定义赋值和分组，生成相关安全事件。通过对告警数据入库归并方式，消除了告警风暴，降低了对威胁的分析与响应成本。