[发明专利]威胁事件告警方法、装置、告警设备及机器可读存储介质

权利要求书

1.一种威胁事件告警方法，其特征在于，所述方法应用于告警设备，所述告警设备用于对指定组网进行安全事件告警，所述指定组网包括安全设备、网络设备、终端设备、业务系统，所述方法包括：

接收指定组网内各设备上报的子事件的安全信息；

利用预先建立的关联模型，对接收到的所有子事件的安全信息进行关联分析，得到关联分析结果，其中，所述关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及所述多个指定子事件之间关联规则的模型；

基于所述关联分析结果，生成威胁事件告警信息；

所述匹配条件包括统计匹配条件、情报匹配条件、漏洞匹配条件和状态匹配条件中的至少一种；

所述统计匹配条件包括预设时段内发生子事件的次数不少于预设次数的匹配条件；所述情报匹配条件包括存在被攻击终端的设备信息的匹配条件；所述漏洞匹配条件包括存在漏洞的软件信息的匹配条件；所述状态匹配条件包括终端的中央处理器CPU利用率超过预设阈值的匹配条件；

所述关联规则至少包括：或逻辑关联、与逻辑关联、顺序关联中的至少一种。

2.根据权利要求1所述的方法，其特征在于，在所述接收指定组网内各设备上报的子事件的安全信息之后，所述方法还包括：

对接收到的各子事件的安全信息进行归一化处理，得到数据格式统一的所述各子事件的安全信息。

3.根据权利要求1所述的方法，其特征在于，所述利用预先建立的关联模型，对接收到的所有子事件的安全信息进行关联分析，得到关联分析结果，包括：

依次针对接收到的各子事件，判断该子事件的安全信息是否匹配所述关联模型中任一指定子事件的安全信息的匹配条件、以及该子事件是否匹配所述关联模型中所述任一指定子事件对应的关联规则，得到关联分析结果；

所述基于所述关联分析结果，生成威胁事件告警信息，包括：

针对所述各子事件，若该子事件的安全信息匹配所述关联模型中任一指定子事件对应的匹配条件、且该子事件匹配所述关联模型中所述任一指定子事件对应的关联规则，则生成该子事件相关的威胁事件告警信息。

4.根据权利要求1所述的方法，其特征在于，在所述基于所述关联分析结果，生成威胁事件告警信息之后，所述方法还包括：

利用威胁事件列表，记录所述威胁事件告警信息及所有子事件之间的关联规则，并将所述威胁事件列表呈现至事件页面；

和/或，

利用子事件列表，记录所有子事件的安全信息及匹配条件，并将所述子事件列表呈现至所述事件页面。

5.一种威胁事件告警装置，其特征在于，所述装置应用于告警设备，所述告警设备用于对指定组网进行安全事件告警，所述指定组网包括安全设备、网络设备、终端设备、业务系统，所述装置包括：

接收模块，用于接收指定组网内各设备上报的子事件的安全信息；

分析模块，用于利用预先建立的关联模型，对接收到的所有子事件的安全信息进行关联分析，得到关联分析结果，其中，所述关联模型为预先设置的包括多个指定子事件的安全信息的匹配条件及所述多个指定子事件之间关联规则的模型；

生成模块，用于基于所述关联分析结果，生成威胁事件告警信息；

所述匹配条件包括统计匹配条件、情报匹配条件、漏洞匹配条件和状态匹配条件中的至少一种；

所述统计匹配条件包括预设时段内发生子事件的次数不少于预设次数的匹配条件；所述情报匹配条件包括存在被攻击终端的设备信息的匹配条件；所述漏洞匹配条件包括存在漏洞的软件信息的匹配条件；所述状态匹配条件包括终端的中央处理器CPU利用率超过预设阈值的匹配条件；

所述关联规则至少包括：或逻辑关联、与逻辑关联、顺序关联中的至少一种。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括：

归一化处理模块，用于对接收到的各子事件的安全信息进行归一化处理，得到数据格式统一的所述各子事件的安全信息。