一种安全事件处理方法、装置及电子设备与流程

1.本技术涉及网络安全技术领域，尤其涉及一种安全事件处理方法、装置及电子设备。


背景技术：

2.随着数字化的发展，信息技术的快速更新迭代，云计算、大数据、物联网、移动物联网等新兴it技术为各个行业带来了新的生产力，也给企业网络基础设施带来了极大的复杂性，尤其是云计算新技术的快速发展，企业it资产呈现几何级增长，企业的资产越多，面临的攻击面也越大，产生的安全事件、告警事件就越多。
3.一般来说，很多安全事件、告警事件为系统误报，比如漏洞扫描与网络入侵，漏洞扫描本身是对服务器漏洞的扫描，但是漏洞扫描的同时会被入侵防御系统(intrusion prevention system，ips)检测为异常行为，这样的安全事件或者告警事件也就造成系统误报。
4.大量的误报不仅消耗了大量的资源，并且使得安全事件的告警准确性也降低。


技术实现要素：

5.本发申请提供了一种安全事件处理方法、装置及电子设备，用以在安全事件中筛选出噪声事件，避免对噪声事件进行告警，降低了系统的安全事件误报概率，提升安全事件的告警准确性。
6.第一方面，本技术提供了一种安全事件处理方法，所述方法包括：
7.在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；
8.在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识；
9.在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件，并获取所述第二安全事件对应第二属性字段信息；
10.判定所述第一属性字段信息与所述第二属性字段信息是否一致；
11.若一致，则将所述第二安全事件作为噪声事件，并丢弃所述噪声事件；
12.若不一致，则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。
13.通过该方式，可以预设规则场景库确定安全事件的噪声标识，并根据噪声标识提取出对应的属性字段的属性字段信息，并最终根据属性字段信息来判定安全事件是否为噪声事件，在是噪声事件的情况下，丢弃该噪声事件，从而减少了系统的误报，节约了系统资源，提升了安全事件的告警准确性。
14.在一种可能设计中，在获取所述第一安全事件对应的第一属性字段信息之前，所述方法还包括：
15.确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识；
16.将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。
17.在一种可能的设计中，所述获取所述第一安全事件对应的第一属性字段信息，包括：
18.在所述预设规则场景库中确定出事件属性字段；
19.在所述第一安全事件中提取出所述事件属性字段对应的第一属性字段信息。
20.在一种可能的设计中，所述根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件，包括：
21.在所述第一安全事件中提取出第一执行操作信息，其中，所述第一执行操作信息表征了所述第一安全事件执行的操作；
22.在所述第二安全事件中提取出第二执行操作信息，其中，所述第二执行操作信息表征了所述第二安全事件执行的操作；
23.根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。
24.在一种可能的设计中，所述根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件，包括：
25.通过哈希算法，计算所述第一执行操作信息对应的第一哈希值以及计算所述第二执行操作信息对应的第二哈希值；
26.计算所述第一哈希值与所述第二哈希值之间的海明距离；
27.判定所述海明距离是否小于预设阈值；
28.若是，则将所述第二安全事件作为所述噪声事件；
29.若否，则保留并输出所述第二安全事件。
30.通过上述的方式，可以通过算法确定第一安全事件以及第二安全事件的行为动作的相似度，从而根据相似度确定第二事件是否为噪声事件，由此可以更加精确的对噪声事件进行识别，降低了噪声事件的数据量，减少系统资源消耗和浪费，提升了安全事件的告警准确性。
31.第二方面，本技术提供了一种安全事件处理装置，所述装置包括：
32.获取单元，用于在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；
33.筛选单元，用于在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识；在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件，并获取所述第二安全事件对应第二属性字段信息；
34.处理单元，用于判定所述第一属性字段信息与所述第二属性字段信息是否一致；若一致，则将所述第二安全事件作为噪声事件，并丢弃所述噪声事件；若不一致，则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。
35.在一种可能的设计中，所述处理单元，还用于确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识；将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。
36.在一种可能的设计中，所述处理单元，具体用于否作为所述噪声事件，包括：在所述第一安全事件中提取出第一执行操作信息，其中，所述第一执行操作信息表征了所述第一安全事件执行的操作；在所述第二安全事件中提取出第二执行操作信息，其中，所述第二执行操作信息表征了所述第二安全事件执行的操作；根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。
37.第三方面，本技术提供了一种电子设备，包括：
38.存储器，用于存放计算机程序；
39.处理器，用于执行所述存储器上所存放的计算机程序时，实现上述安全事件处理方法步骤。
40.第四方面，本技术提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述安全事件处理方法步骤。
41.上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。
附图说明
42.图1为本技术提供的一种安全事件处理方法的流程图；
43.图2为本技术提供的互斥规则场景库的结构示意图；
44.图3为本技术提供的一种安全事件处理装置的结构示意图；
45.图4为本技术提供的一种电子设备的结构示意图。
具体实施方式
46.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是，在本技术的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。a与b连接，可以表示：a与b直接连接和a与b通过c连接这两种情况。另外，在本技术的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。
47.目前，在网络安全被逐渐重视的情况下，数据采集完成并通过攻击识别规则输出安全事件时，由于攻击识别规则的原因会同时输出a安全事件以及b安全事件，而实际应该是输出a安全事件或者是b安全事件，比如，漏洞扫描与网络入侵，漏洞扫描本身是对服务器漏洞的扫描，但是漏洞扫描的同时会被ips检测为异常行为。也就是a安全事件与b安全事件为互斥事件。若是同时输出，则会造成安全事件的误报，导致系统资源的浪费，也使得安全事件的告警准确性降低。
48.为了解决上述的问题，本技术提供了一种安全事件处理方法，用以在安全事件中筛选出噪声事件，避免对噪声事件进行告警，从而降低了系统的安全事件误报概率，进而使得安全事件的告警准确性提升。其中，本技术实施例所述方法和装置基于同一技术构思，由于方法及装置所解决问题的原理相似，因此装置与方法的实施例可以相互参见，重复之处
不再赘述。
49.下面结合附图，对本技术实施例进行详细描述。
50.如图1所示为本技术实施例提供的一种安全事件处理方法的流程图，该方法包括：
51.s10，在安全事件库中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；
52.在执行步骤s10之前，为了避免互斥事件对安全事件告警的影响，因此在本技术实施例中将创建预设规则场景库，即图2所示的互斥规则场景库，在图2所示的互斥规则场景库中包含了主规则id、安全事件属性字段、噪声规则id。
53.所述主规则id表征了安全事件的标识，因此在互斥规则场景库中包含了各种类安全事件对应的标识。
54.所述安全事件属性字段表征了安全事件所包含了各类属性字段，比如sip和dip，其中，sip表征来源ip地址，dip表征目的ip地址，当然，在本技术实施例中该属性字段还可以是安全事件类型event_type，以及协议类型protocol，其他属性字段就不在一一例举。
55.所述噪声规则id表征了噪声事件标识，在噪声事件为安全事件的互斥事件，由于安全事件对应的噪声事件可以是一件，也可以是多件，因此一个安全事件会对应一个或者多个噪声事件。在图2中一个主规则id对应多个噪声规则id。
56.在本技术实施例中该预设规则场景库中场景示例如下：
57.{'main_ruleid':11005,'field':'sip,dip,log_type','noise_ruleid':'10001,11006,10002'}
58.基于上述的预设规则场景库，系统首先在安全事件中提取出攻击识别标识，在本技术实施例中，该安全事件的示例如下：
59.{"rule_id":11005,"event_type":"网络入侵","sip":"172.16.33.2","dip":"172.16.33.23","sport":5599,"dport":6666,"protocol":"https","result":1,"occurrence":5,"action":"uninstall"....}
60.系统在安全事件集中获取到第一安全事件的攻击识别标识之后，将该攻击识别标识与预设规则场景库中的主规则标识进行匹配，确定是否存在与攻击识别标识一致的主规则标识。
61.另外，在预设规则场景库中存在与攻击识别标识一致的主规则标识时，根据主规则标识与安全事件属性字段之间的对应关系，确定出该主规则标识对应的安全事件属性字段。在图2中，该主规则id为“11005”对应的安全事件属性字段为“sip、dip”，基于该安全事件属性字段在第一安全事件中提出该安全事件属性字段对应的值。将获取到的值作为第一属性字段信息。比如sip为2.2.2.2，dip为3.3.3.3，则第一属性字段信息为(ip＝2.2.2.2’,dip＝’3.3.3.3’)。
62.s11，在主规则标识对应的噪声规则标识集中筛选出第一噪声标识；
63.若是存在与攻击识别标识一致的主规则标识，则确定出该主规则标识对应噪声规则标识集，在图2中，每个主规则标识都对应一个噪声规则标识集，比如主规则id为“11005”，那么对应的噪声规则id集为“10001、10002、10003”。在噪声规则id集中筛选出第一噪声标识。也就是在“10001、10002、10003”中筛选出10001。
64.s12，在安全事件集中筛选出攻击识别标识与第一噪声标识相同的第二安全事件，
并获取第二安全事件对应的第二属性字段信息；
65.在预设规则场景库中确定出攻击识别标识对应的第一噪声标识之后，根据第一噪声标识在安全事件集中进行匹配，也就是筛选出与第一噪声标识一致的攻击识别标识，并确定该攻击识别标识对应的第二安全事件。
66.在确定出第二安全事件之后，根据步骤s10确定出的安全事件属性字段，在第二安全事件中提取出安全事件属性字段对应的值，比如，安全事件属性字段为sip和dip，sip为2.2.2.2，dip为3.3.3.3，则第二属性字段信息为(ip＝2.2.2.2’,dip＝’3.3.3.3’)。
67.s13，判定第一属性字段信息与第二属性字段信息是否一致；
68.在得到第一安全事件的第一属性字段信息以及第二安全事件对应的第二属性字段信息之后，将第一属性字段信息与第二属性字段信息进行匹配，此处的匹配为确定第一属性字段信息与第二属性字段信息是否完全一致。
69.若是第一属性字段信息与第二属性字段信息不一致时，则执行步骤s15，若是第一属性字段信息与第二属性字段信息一致时，则执行步骤s14。
70.s14，将第二安全事件作为噪声事件，并丢弃该噪声事件；
71.在第一属性字段信息与第二属性字段信息一致的情况下，说明第二安全事件为第一安全事件的互斥事件，因此第二安全事件没必要作为真正的安全事件来进行告警，因此就将第二安全事件作为噪声事件，并丢弃该噪声事件。
72.通过该方式，可以预设规则场景库确定安全事件的噪声标识，并根据噪声标识提取出对应的属性字段的属性字段信息，并最终根据属性字段信息来判定安全事件是否为噪声事件，在是噪声事件的情况下，丢弃该噪声事件，从而减少了系统的误报，节约了系统资源，提升了安全事件的告警准确性。
73.s15，根据第一安全事件的第一参数信息以及第二安全事件的第二参数信息判断第二安全事件是否为噪声事件。
74.具体来讲，在第一属性字段信息与第二属性字段信息不一致的情况下，需要进一步的确认第二安全事件为直接攻击方式的安全事件还是间接攻击方式的安全事件，因此在本技术实施例中将通过安全事件的行为动作确定第二安全事件是否为噪声事件。
75.首先提取出第一安全事件的源目信息，以及提取第二安全事件的源目信息，这里的源目信息是指安全事件的源信息以及目的信息，比如sip和dip，sip就作为源信息，dip作为目的信息。
76.根据第一安全事件的源目信息可以在威胁前提行为集中提取出第一执行操作信息，这里需要说明是，该威胁前提行为集基于实时收集终端环境变化的行为信息得到，该威胁前提行为集中包含了ip信息、终端设备hash、行为动作、环境感知信息的时间，具体示例如下：
77.{'ip':'2.2.2.2','dev_hash':'aaaa
‑
aaaa
‑
aaaa
‑
aaad','action':'操作了c:\\windows\\system32\\lsass.exe','timestamp':1589944276}
78.其中，示例中的ip表征了源目信息，“action”表征了具体的行为动作。
79.因此，在确定第一安全信息的源目信息之后，就可以根据该源目信息在威胁前提行为集中提取出对应的第一执行操作信息。同理，可以得到第二安全信息对应的第二执行操作信息，根据第一执行操作信息以及第二执行操作信息就可以判定第二安全事件是否作
为噪声事件。
80.进一步，在本技术实施例中，为了提升对噪声事件判定的准确性，在得到第一执行操作信息以及第二执行操作信息之后，通过哈希算法，计算所述第一执行操作信息对应的第一哈希值以及计算所述第二执行操作信息对应的第二哈希值。
81.具体来讲，在本技术实施例中，将通过simhash算法对第一执行操作信息以及第二执行操作进行simhash签名计算，从而得到两个签名之间的海明距离，判定该海明距离是否大于预设阈值。若是该海明距离小于预设阈值，则将第二安全事件作为噪声事件，并将该噪声事件丢弃。若是该海明距离大于阈值时，则保留该在第二安全事件，并对第二安全事件进行输出。
82.通过上述的方式，可以通过算法确定第一安全事件以及第二安全事件的行为动作的相似度，从而根据相似度确定第二事件是否为噪声事件，由此可以更加精确的对噪声事件进行识别，降低了噪声事件的数据量，减少系统资源消耗和浪费，提升了安全事件的告警准确性。
83.基于同一发明构思，本技术还提供了一种安全事件处理装置，该安全事件处理装置用以在安全事件中筛选出噪声事件，避免对噪声事件进行告警，从而降低了系统的安全事件误报概率，进而使得安全事件的告警准确性提升。参照图3所示，该装置包括：
84.获取单元301，用于在安全事件集中获取到的第一安全事件的攻击识别标识与预设规则场景库中的主规则标识一致时，获取所述第一安全事件对应的第一属性字段信息；
85.筛选单元302，用于在所述主规则标识对应的噪声规则标识集中筛选出第一噪声标识；在所述安全事件集中筛选出攻击识别标识与所述第一噪声标识相同的第二安全事件，并获取所述第二安全事件对应第二属性字段信息；
86.处理单元303，用于判定所述第一属性字段信息与所述第二属性字段信息是否一致；若一致，则将所述第二安全事件作为噪声事件，并丢弃所述噪声事件；若不一致，则根据所述第一安全事件的第一参数信息以及所述第二安全事件的第二参数信息判定所述第二安全事件是否作为所述噪声事件。
87.通过该装置，可以预设规则场景库确定安全事件的噪声标识，并根据噪声标识提取出对应的属性字段的属性字段信息，并最终根据属性字段信息来判定安全事件是否为噪声事件，在是噪声事件的情况下，丢弃该噪声事件，从而减少了系统的误报，节约了系统资源，提升了安全事件的告警准确性。
88.在一种可能的设计中，所述处理单元303，还用于确定各个安全事件对应的攻击识别标识与属性字段信息以及对应的噪声标识；将所述攻击识别标识对应所述属性字段信息以及对应的噪声标识存入所述预设规则场景库中。
89.在一种可能的设计中，所述处理单元303，具体用于否作为所述噪声事件，包括：在所述第一安全事件中提取出第一执行操作信息，其中，所述第一执行操作信息表征了所述第一安全事件执行的操作；在所述第二安全事件中提取出第二执行操作信息，其中，所述第二执行操作信息表征了所述第二安全事件执行的操作；根据所述第一执行操作信息以及所述第二执行操作信息判定所述第二安全事件是否作为所述噪声事件。
90.基于同一发明构思，本技术实施例中还提供了一种电子设备，所述电子设备可以实现前述安全事件处理装置的功能，参考图4，所述电子设备包括：
91.至少一个处理器401，以及与至少一个处理器401连接的存储器402，本技术实施例中不限定处理器401与存储器402之间的具体连接介质，图4中是以处理器401和存储器402之间通过总线400连接为例。总线400在图4中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线400可以分为地址总线、数据总线、控制总线等，为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器401也可以称为控制器，对于名称不做限制。
92.在本技术实施例中，存储器402存储有可被至少一个处理器401执行的指令，至少一个处理器401通过执行存储器402存储的指令，可以执行前文论述的安全事件处理方法。处理器401可以实现图4所示的装置中各个模块的功能。
93.其中，处理器401是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器402内的指令以及调用存储在存储器402内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。
94.在一种可能的设计中，处理器401可包括一个或多个处理单元，处理器401可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器401中。在一些实施例中，处理器401和存储器402可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
95.处理器401可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的安全事件处理方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
96.存储器402作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器402可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read
‑
only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器402是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实施例中的存储器402还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
97.通过对处理器401进行设计编程，可以将前述实施例中介绍的安全事件处理方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图3所示的实施例的安全事件处理方法的步骤。如何对处理器401进行设计编程为本领域技术人员所公知的技术，这里不再赘述。
98.基于同一发明构思，本技术实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述安全事件处理方法。
99.在一些可能的实施方式中，本技术提供的安全事件处理方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在装置上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本技术各种示例性实施方式的安全事件处理方法中的步骤。
100.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
101.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
102.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
103.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
104.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。