一种网络安全事件处理方法及装置与流程

本发明涉及网络安全，尤其涉及一种网络安全事件处理方法及装置。

背景技术：

1、网络安全事件分析主要是对各种威胁检测设备、蜜罐设备、防火墙设备等产生的网络安全告警进行处理，实现从底层的网络安全告警到上层网络安全事件的映射。网络安全事件分析是对网络安全告警进行威胁类型、告警时间、攻击源信息、被攻击者信息等多个维度分析，将网络安全告警聚合形成相对独立的网络安全事件。目前，针对网络安全事件分析的方法主要以网络安全告警聚类/分类、知识图谱关联分析等方式进行分析，采用先验知识对网络安全告警的多维特征进行分析，实现威胁浓度稠化，综合形成网络安全事件。这种方法需要人工定义聚类模型、分类模型或知识图谱，当出现新的网络安全告警威胁类型、威胁特征时，往往需要重新构建并训练相关模型，在网络空间攻防博弈动态多变的时代，难以达到预期效果。因此，提供一种网络安全事件处理方法及装置，以提高网络安全事件的分类分析准确性和效率，进而提高网络安全事件分析能力的适应性。

技术实现思路

1、本发明所要解决的技术问题在于，提供一种网络安全事件处理方法及装置有利于提高网络安全事件的分类分析准确性和效率，进而提高网络安全事件分析能力的适应性。

2、为了解决上述技术问题，本发明实施例第一方面公开了一种网络安全事件处理方法，所述方法包括：

3、获取待处理网络安全事件信息；所述待处理网络安全事件信息包括m个网络安全警告信息；所述网络安全警告信息包括事件类型、事件时间、事件编号；

4、基于所述事件类型和事件映射关系信息对所述待处理网络安全事件信息进行分类处理，得到第一安全事件信息；所述第一安全事件信息包括n个网络安全警告信息类；所述n为不大于所述m的正整数；

5、基于所述事件时间的顺序关系，对所述第一安全事件信息进行拆分排序处理，得到目标安全事件信息。

6、作为一种可选的实施方式，在本发明实施例第一方面中，所述基于所述事件类型和事件映射关系信息对所述待处理网络安全事件信息进行分类处理，得到第一安全事件信息，包括：

7、基于所述事件类型，对所述待处理网络安全事件信息进行分类，得到第一待用事件信息；所述第一待用事件信息包括l个待用事件信息；所述l为不小于所述n的正整数；每个所述待用事件信息对应于一个类编号；所述待用事件信息包括若干个所述网络安全警告信息；

8、基于事件映射关系信息，确定出第一安全事件信息。

9、作为一种可选的实施方式，在本发明实施例第一方面中，所述基于事件映射关系信息，确定出第一安全事件信息，包括：

10、对于任一所述待用事件信息，基于事件映射关系信息中事件类型与技术类型的事件技术对应关系，确定出该待用事件信息对应的目标技术信息；

11、基于所述待用事件信息对应的目标技术信息的相一致情况，对所述待用事件信息和所述待用事件信息对应的目标技术信息进行归类和关联整合处理，得到该待用事件信息对应的网络安全警告信息类。

12、作为一种可选的实施方式，在本发明实施例第一方面中，所述基于所述事件类型，对所述待处理网络安全事件信息进行分类，得到第一待用事件信息，包括：

13、基于所述事件编号，依序确定所述待处理网络安全事件信息中的所述网络安全警告信息为待分类网络安全警告信息；

14、确定所述待分类网络安全警告信息对应的类编号；

15、从所述待处理网络安全事件信息中选取出与所述待分类网络安全警告信息对应的事件类型相一致的所述网络安全警告信息作为目标分类网络安全警告信息；所述目标分类网络安全警告信息对应的事件编号与所述待分类网络安全警告信息对应的事件编号是不相一致的；

16、基于所述事件时间的顺序关系对所述待分类网络安全警告信息对应的所述网络安全警告信息和所述目标分类网络安全警告信息对应的所述网络安全警告信息进行排序处理，得到一个所述待用事件信息；

17、将所述待用事件信息对应的所有所述网络安全警告信息从所述待处理网络安全事件信息中删除，得到新的所述待处理网络安全事件信息；

18、判断所述待处理网络安全事件信息是否存在所述网络安全警告信息，得到第一存在判断结果；

19、当所述第一存在判断结果为是时，触发执行所述基于所述事件编号，依序确定所述待处理网络安全事件信息中的所述网络安全警告信息为待分类网络安全警告信息；

20、当所述第一存在判断结果为否时，触发执行所述基于事件映射关系信息，确定出第一安全事件信息。

21、作为一种可选的实施方式，在本发明实施例第一方面中，在所述基于所述事件类型和事件映射关系信息对所述待处理网络安全事件信息进行分类处理，得到第一安全事件信息之前，所述方法还包括：

22、获取初始映射关系信息；所述初始映射关系信息包括若干个事件技术对应关系；

23、对于任一所述事件技术对应关系，判断该事件技术对应关系对应的使用状态是否为有效状态，得到状态判断结果；

24、当所述状态判断结果为否时，将该事件技术对应关系从所述初始映射关系信息中删除；

25、当所述状态判断结果为是时，结束该事件技术对应关系对应的判断流程；

26、判断所述初始映射关系信息中是否包含所述待处理网络安全事件信息中的所有所述事件类型，得到第一包含判断结果；

27、当所述第一包含判断结果为否时，对于任一所述网络安全警告信息，判断该网络安全警告信息对应的事件类型是否包含于所述初始映射关系信息，得到第二包含判断结果；

28、当所述第二包含判断结果为否时，响应于用户对该网络安全警告信息对应的技术类型选定操作，得到目标技术类型；

29、将该网络安全警告信息对应的事件类型和所述目标技术类型对应的事件技术对应关系填充至所述初始映射关系信息，得到新的所述初始映射关系信息；

30、当所述第二包含判断结果为是时，结束该网络安全警告信息对应的判断流程；

31、当所述第一包含判断结果为是时，确定所述初始映射关系信息为所述事件映射关系信息。

32、作为一种可选的实施方式，在本发明实施例第一方面中，所述基于所述事件时间的顺序关系，对所述第一安全事件信息进行拆分排序处理，得到目标安全事件信息，包括：

33、基于所述事件时间的顺序关系，对所述第一安全事件信息中的所述网络安全警告信息类进行时间冲突消解，得到第二安全事件信息；所述第二安全事件信息包括k个时间事件信息类；所述k为不小于所述n的正整数；

34、对所述第二安全事件信息进行整合排序处理，得到目标安全事件信息。

35、作为一种可选的实施方式，在本发明实施例第一方面中，所述基于所述事件时间的顺序关系，对所述第一安全事件信息中的所述网络安全警告信息类进行时间冲突消解，得到第二安全事件信息，包括：

36、对于任一所述网络安全警告信息类中的任一待用事件信息，根据所述待用事件信息中所述网络安全警告信息的顺序确定出待消解网络安全警告信息；

37、根据所述待消解网络安全警告信息对应的事件时间和所述待消解网络安全警告信息对应的下一个所述网络安全警告信息对应的事件时间，确定出时间间隔；

38、判断该待用事件信息以外的其他所述待用事件信息中的所述网络安全警告信息对应的事件时间是否与所述时间间隔存在交集，得到时间判断结果；

39、当所述时间判断结果为否时，确定所述待消解网络安全警告信息为一个历史待消解网络安全警告信息；

40、确定所述待消解网络安全警告信息对应的下一个所述网络安全警告信息对应的事件时间为一个新的所述待消解网络安全警告信息，并触发执行所述根据所述待消解网络安全警告信息对应的事件时间和所述待消解网络安全警告信息对应的下一个所述网络安全警告信息对应的事件时间，确定出时间间隔；

41、当所述时间判断结果为是时，将该待用事件信息对应的目标技术信息、所有所述历史待消解网络安全警告信息和所述待消解网络安全警告信息进行整合为一个所述时间事件信息类；

42、删除所有所述历史待消解网络安全警告信息；

43、将所述时间信息类对应的所述网络安全警告信息从该待用事件信息删除；

44、判断该待用事件信息是否存在所述网络安全警告信息，得到第二存在判断结果；

45、当所述第二存在判断结果为是时，触发执行所述根据所述待用事件信息中所述网络安全警告信息的顺序确定出待消解网络安全警告信息；

46、当所述第二存在判断结果为否时，结束该待用事件信息对应的时间冲突消解流程。

47、本发明实施例第二方面公开了一种网络安全事件处理装置，装置包括：

48、获取模块，用于获取待处理网络安全事件信息；所述待处理网络安全事件信息包括m个网络安全警告信息；所述网络安全警告信息包括事件类型、事件时间、事件编号；

49、第一处理模块，用于基于所述事件类型和事件映射关系信息对所述待处理网络安全事件信息进行分类处理，得到第一安全事件信息；所述第一安全事件信息包括n个网络安全警告信息类；所述n为不大于所述m的正整数；

50、第二处理模块，用于基于所述事件时间的顺序关系，对所述第一安全事件信息进行拆分排序处理，得到目标安全事件信息。

51、本发明第三方面公开了另一种网络安全事件处理装置，所述装置包括：

52、存储有可执行程序代码的存储器；

53、与所述存储器耦合的处理器；

54、所述处理器调用所述存储器中存储的所述可执行程序代码，执行本发明实施例第一方面公开的网络安全事件处理方法中的部分或全部步骤。

55、本发明第四方面公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令被调用时，用于执行本发明实施例第一方面公开的网络安全事件处理方法中的部分或全部步骤。

56、与现有技术相比，本发明实施例具有以下有益效果：

57、本发明实施例中，获取待处理网络安全事件信息；待处理网络安全事件信息包括m个网络安全警告信息；网络安全警告信息包括事件类型、事件时间、事件编号；基于事件类型和事件映射关系信息对待处理网络安全事件信息进行分类处理，得到第一安全事件信息；第一安全事件信息包括n个网络安全警告信息类；n为不大于m的正整数；基于事件时间的顺序关系，对第一安全事件信息进行拆分排序处理，得到目标安全事件信息。可见，本技术有利于提高网络安全事件的分类分析准确性和效率，进而提高网络安全事件分析能力的适应性。