本申請公開了一種安全告警事件等級確定方法、系統及終端，涉及數據安全技術領域，根據系統研判確定安全告警事件的初始告警等級；按照預設順序將安全告警事件通過識別規(guī)則集合進行告警研判，包括：確定安全告警事件的初始告警等級和告警發(fā)現時間；初始告警等級高的安全告警事件優(yōu)先輸入識別規(guī)則集合進行告警研判；告警等級相同時，則將發(fā)現時間早的安全告警事件進行告警研判，識別規(guī)則集合內包含不同的告警研判單體，不同告警研判單體研判機制不同；根據識別規(guī)則集合研判后獲得安全告警事件的告警計算等級；根據告警計算等級和初始告警等級確定安全告警事件的告警等級。上述研判方式，避免了人工判斷的主觀因素，提高了安全告警的識別速度和精度。

技術領域

本申請涉及數據安全技術領域，具體涉及一種安全告警事件等級確定方法、系統及終端。

背景技術

在日常的信息安全攻擊的分析過程，會通過安全監(jiān)測引擎或其它安全數據來源收集攻擊過程的蛛絲馬跡。但由于攻擊過程在網絡流量中的痕跡往往摻雜在正常的網絡訪問過程，因此導致安全監(jiān)測引擎或其它安全數據來源上報的安全告警會存在誤報。

傳統技術中確定安全告警是否為誤報往往需要專業(yè)人員進行逐一研判，將其中誤報的安全告警進行標記，以后再次出現相同告警時則會被過濾掉，從而降低了安全告警的誤報率。

但是通過人員對安全告警進行分析一方面耗時耗力，另一方面人為判斷存在一定的主觀因素，進而會導致安全告警的判斷不準確。因此如何實現對安全告警的有效判斷是本領域亟待解決的技術問題。

發(fā)明內容

本申請為了解決上述技術問題，提出了如下技術方案：

第一方面，本申請實施例提供了一種安全告警事件等級確定方法，所述方法包括：根據系統研判確定安全告警事件的初始告警等級；按照預設順序將安全告警事件通過識別規(guī)則集合進行告警研判，包括：確定所述安全告警事件的初始告警等級和告警發(fā)現時間；第一安全告警事件的初始告警等級高于第二安全告警事件的初始告警等級時，則將所述第一安全告警事件優(yōu)先輸入識別規(guī)則集合進行告警研判；或者，所述第一安全告警事件和所述第二安全告警事件的初始告警等級相同時，則將發(fā)現時間早的安全告警事件輸入識別規(guī)則集合進行告警研判；所述識別規(guī)則集合內包含不同的告警研判單體，不同所述告警研判單體設置不同的研判機制；根據所述識別規(guī)則集合研判后獲得安全告警事件的告警計算等級；根據所述告警計算等級和所述初始告警等級確定所述安全告警事件的告警等級。

結合第一方面，在第一方面第一種可能的實現方式中，根據所述識別規(guī)則集合研判后獲得安全告警事件的告警計算等級，包括：將安全告警事件分別同時輸入所述識別規(guī)則集合中的研判單體中進行告警等級研判；所述研判單體根據研判機制給出所述安全告警事件的告警等級加權值；將所述告警等級加權值累加計算獲得所述安全告警事件的告警計算等級。

結合第一方面第一種可能的實現方式，在第一方面第二種可能的實現方式中，所述研判單體根據研判機制給出所述安全告警事件的告警等級加權值，包括：確定系統歷史告警類型屬性、告警發(fā)生IP地址清單和告警詳情中定義的關鍵字清單；將所述安全告警事件的字段進行匹配驗證，不同字段設置不同級別的匹配等級加權值。

結合第一方面第一種可能的實現方式，在第一方面第三種可能的實現方式中，所述研判單體根據研判機制給出所述安全告警事件的告警等級加權值，包括：通過接口對接獲取威脅情報數據；確定威脅情報中的IP、域名和hash的告警字段；將所述安全告警事件的字段進行匹配，如匹配成功，則累加等級加權值，不同的情報類型可設置不同的等級加權值。

結合第一方面第一種可能的實現方式，在第一方面第四種可能的實現方式中，所述研判單體根據研判機制給出所述安全告警事件的告警等級加權值，包括：在預設時間段內統計相同告警重復出現次數、不同告警中IP地址出現的次數和/或告警詳情中關鍵字的出現次數；計算不同時間維度內所有不同告警各自的總量；如果每類告警在任一時間維度中的數量達到預設數量則將告警計算等級加1，其中，同一告警如果同時匹配多個條件則累加。