[发明专利]一种终端安全事件联动处理方法、装置和设备

说明书

本发明提供了一种终端安全事件联动处理方法、装置和设备，包括：对各防护系统的防护应用和防护系统的属性信息进行整合，构建信息资源库；对信息资源库中防护应用的性能和属性信息的状态参数进行实时监测，获取防护应用和/或防护系统发出的告警信息；启用和告警信息的告警等级相对应的处理流程，对告警信息所表征的异常事件进行处理；对告警信息和包含属性信息的安全事件进行关联分析，确定告警信息的触发源头；基于属性信息的状态参数的变动，对终端所存在的风险进行量化评定。本发明能够对各防护系统的数据进行统一的采集监控，然后调用相应防护系统对告警信息进行处理、溯源和风险评估，提高了系统间的协同处理能力和对终端的防护能力。

技术领域

本发明涉及安全防护技术领域，具体涉及一种终端安全事件联动处理方法、装置和设备。

背景技术

面对越来越严峻的网络安全态势，传统的围墙式防御策略已经无法应对不断变化的安全形式。现有技术中通常采用叠加新的基于终端安全持续检测和实时响应处置的防护系统来解除对网络安全带来的威胁。

目前所采用的安全防护系统包括有桌管系统、防病毒系统、准入系统等。各个系统相互独立，无法进行统筹联动，降低了对终端的防护能力。

发明内容

为了解决现有技术存在的防护相互独立、防护能力低的问题，本发明提供了一种终端安全事件联动处理方法、装置和设备，其具有统筹各个防护系统、防护能力更强等特点

根据本发明具体实施方式提供的一种终端安全事件联动处理方法，包括：

对各防护系统的防护应用和防护系统的属性信息进行整合，构建信息资源库；

对所述信息资源库中防护应用的性能和所述属性信息的状态参数进行实时监测，获取所述防护应用和/或所述防护系统发出的告警信息；

启用和所述告警信息的告警等级相对应的处理流程，对所述告警信息所表征的异常事件进行处理；

对所述告警信息和包含所述属性信息的安全事件进行关联分析，确定所述告警信息的触发源头；

基于所述属性信息的状态参数的变动，对终端所存在的风险进行量化评定。

进一步地，所述信息资源库包括：资产信息库、策略信息库、补丁信息库、病毒信息库和软件信息库，所述对各防护系统的防护应用和防护系统的属性信息进行整合，构建信息资源库，包括：

对所述防护应用和所述防护系统的资产库进行整合，并对所述资产库所包含的资产的相关属性进行维护，得到所述资产信息库，所述相关属性包括所述资产的基本属性、安全属性和管理属性；

对所述防护应用和所述防护系统的策略库、补丁信息、病毒信息和软件信息分别进行整合，对应得到所述策略信息库、补丁信息库、病毒信息库和软件信息库。

进一步地，在所述启用和所述告警信息的告警等级相对应的处理流程，对所述告警信息所表征的异常事件进行处理之前，还包括：

对所述告警信息进行解析，基于解析得到的告警内容对所述告警信息的告警等级进行划分。

进一步地，所述终端安全事件联动处理方法，还包括：

对所述告警信息进行展示，所述告警信息包括系统关键运行指标的告警信息、终端资产的告警信息和终端资产的威胁监控信息。

进一步地，所述对所述告警信息和包含所述属性信息的安全事件分别进行关联分析，确定所述告警信息的触发源头，包括：

获取更新后的威胁情报，基于所述威胁情报对终端产生的所述告警信息和所述安全事件分别进行比对检测分析，确定所述告警信息的触发源头，所述触发源头包括：终端外部入侵和终端内部威胁。