[发明专利]一种安全告警事件等级确定方法、系统及终端

说明书

本申请公开了一种安全告警事件等级确定方法、系统及终端，涉及数据安全技术领域，根据系统研判确定安全告警事件的初始告警等级；按照预设顺序将安全告警事件通过识别规则集合进行告警研判，包括：确定安全告警事件的初始告警等级和告警发现时间；初始告警等级高的安全告警事件优先输入识别规则集合进行告警研判；告警等级相同时，则将发现时间早的安全告警事件进行告警研判，识别规则集合内包含不同的告警研判单体，不同告警研判单体研判机制不同；根据识别规则集合研判后获得安全告警事件的告警计算等级；根据告警计算等级和初始告警等级确定安全告警事件的告警等级。上述研判方式，避免了人工判断的主观因素，提高了安全告警的识别速度和精度。

技术领域

本申请涉及数据安全技术领域，具体涉及一种安全告警事件等级确定方法、系统及终端。

背景技术

在日常的信息安全攻击的分析过程，会通过安全监测引擎或其它安全数据来源收集攻击过程的蛛丝马迹。但由于攻击过程在网络流量中的痕迹往往掺杂在正常的网络访问过程，因此导致安全监测引擎或其它安全数据来源上报的安全告警会存在误报。

传统技术中确定安全告警是否为误报往往需要专业人员进行逐一研判，将其中误报的安全告警进行标记，以后再次出现相同告警时则会被过滤掉，从而降低了安全告警的误报率。

但是通过人员对安全告警进行分析一方面耗时耗力，另一方面人为判断存在一定的主观因素，进而会导致安全告警的判断不准确。因此如何实现对安全告警的有效判断是本领域亟待解决的技术问题。

发明内容

本申请为了解决上述技术问题，提出了如下技术方案：

第一方面，本申请实施例提供了一种安全告警事件等级确定方法，所述方法包括：根据系统研判确定安全告警事件的初始告警等级；按照预设顺序将安全告警事件通过识别规则集合进行告警研判，包括：确定所述安全告警事件的初始告警等级和告警发现时间；第一安全告警事件的初始告警等级高于第二安全告警事件的初始告警等级时，则将所述第一安全告警事件优先输入识别规则集合进行告警研判；或者，所述第一安全告警事件和所述第二安全告警事件的初始告警等级相同时，则将发现时间早的安全告警事件输入识别规则集合进行告警研判；所述识别规则集合内包含不同的告警研判单体，不同所述告警研判单体设置不同的研判机制；根据所述识别规则集合研判后获得安全告警事件的告警计算等级；根据所述告警计算等级和所述初始告警等级确定所述安全告警事件的告警等级。

结合第一方面，在第一方面第一种可能的实现方式中，根据所述识别规则集合研判后获得安全告警事件的告警计算等级，包括：将安全告警事件分别同时输入所述识别规则集合中的研判单体中进行告警等级研判；所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值；将所述告警等级加权值累加计算获得所述安全告警事件的告警计算等级。

结合第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值，包括：确定系统历史告警类型属性、告警发生IP地址清单和告警详情中定义的关键字清单；将所述安全告警事件的字段进行匹配验证，不同字段设置不同级别的匹配等级加权值。

结合第一方面第一种可能的实现方式，在第一方面第三种可能的实现方式中，所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值，包括：通过接口对接获取威胁情报数据；确定威胁情报中的IP、域名和hash的告警字段；将所述安全告警事件的字段进行匹配，如匹配成功，则累加等级加权值，不同的情报类型可设置不同的等级加权值。

结合第一方面第一种可能的实现方式，在第一方面第四种可能的实现方式中，所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值，包括：在预设时间段内统计相同告警重复出现次数、不同告警中IP地址出现的次数和/或告警详情中关键字的出现次数；计算不同时间维度内所有不同告警各自的总量；如果每类告警在任一时间维度中的数量达到预设数量则将告警计算等级加1，其中，同一告警如果同时匹配多个条件则累加。