[发明专利]一种安全告警事件等级确定方法、系统及终端

权利要求书

1.一种安全告警事件等级确定方法，其特征在于，所述方法包括：

根据系统研判确定安全告警事件的初始告警等级；

按照预设顺序将安全告警事件通过识别规则集合进行告警研判，包括：

确定所述安全告警事件的初始告警等级和告警发现时间；第一安全告警事件的初始告警等级高于第二安全告警事件的初始告警等级时，则将所述第一安全告警事件优先输入识别规则集合进行告警研判；或者，所述第一安全告警事件和所述第二安全告警事件的初始告警等级相同时，则将发现时间早的安全告警事件输入识别规则集合进行告警研判；所述识别规则集合内包含不同的告警研判单体，不同所述告警研判单体设置不同的研判机制；

根据所述识别规则集合研判后获得安全告警事件的告警计算等级，包括：

将安全告警事件分别同时输入所述识别规则集合中的研判单体中进行告警等级研判；所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值；将所述告警等级加权值累加计算获得所述安全告警事件的告警计算等级；

根据所述告警计算等级和所述初始告警等级确定所述安全告警事件的告警等级。

2.根据权利要求1所述的安全告警事件等级确定方法，其特征在于，所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值，包括：

确定系统历史告警类型属性、告警发生IP地址清单和告警详情中定义的关键字清单；

将所述安全告警事件的字段进行匹配验证，不同字段设置不同级别的匹配等级加权值。

3.根据权利要求1所述的安全告警事件等级确定方法，其特征在于，所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值，包括：

通过接口对接获取威胁情报数据；

确定威胁情报中的IP、域名和hash的告警字段；

将所述安全告警事件的字段进行匹配，如匹配成功，则累加等级加权值，不同的情报类型可设置不同的等级加权值。

4.根据权利要求1所述的安全告警事件等级确定方法，其特征在于，所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值，包括：

在预设时间段内统计相同告警重复出现次数、不同告警中IP地址出现的次数和/或告警详情中关键字的出现次数；

计算不同时间维度内所有不同告警各自的总量；

每类告警在任一时间维度中的数量达到预设数量则将告警计算等级加1，其中，同一告警同时匹配多个条件则累加。

5.一种安全告警事件等级确定系统，其特征在于，所述系统包括：

确定模块，用于根据系统研判确定安全告警事件的初始告警等级；

研判模块，用于按照预设顺序将安全告警事件通过识别规则集合进行告警研判，所述识别规则集合内包含不同的告警研判单体，不同所述告警研判单体设置不同的研判机制；所述研判模块包括：确定单元和研判处理单元，确定单元，用于确定所述安全告警事件的初始告警等级和告警发现时间；研判处理单元，用于第一安全告警事件的初始告警等级高于第二安全告警事件的初始告警等级时，则将所述第一安全告警事件优先输入识别规则集合进行告警研判；或者，所述第一安全告警事件和所述第二安全告警事件的初始告警等级相同时，则将发现时间早的安全告警事件输入识别规则集合进行告警研判；

处理模块，用于根据所述识别规则集合研判后获得安全告警事件的告警计算等级；所述处理模块包括：输入单元，用于将安全告警事件分别同时输入所述识别规则集合中的研判单体中进行告警等级研判；确定单元，用于所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值；计算单元，用于将所述告警等级加权值累加计算获得所述安全告警事件的告警计算等级；

计算模块，用于根据所述告警计算等级和所述初始告警等级确定所述安全告警事件的告警等级。

6.一种终端，其特征在于，包括：

处理器；

存储器，用于存储计算机可执行指令；

当所述处理器执行所述计算机可执行指令时，所述处理器执行权利要求1-4任一项所述的方法，实现安全告警事件等级的确定。