本發明提供了一種基于知識推理的安全事件自動處置方法及系統，其屬于智能運維處置預測技術領域，所述方案包括：獲取待處置安全事件；基于預先構建好的知識推理系統，對所述安全事件進行分級研判處理，獲得處置結果；其中，所述知識推理系統基于產生式規則推理方法，利用預先存儲的安全事件集合和處置規則集合，通過推理引擎對安全事件進行分級處理，確定安全事件對應的處置規則；將獲得的處置結果進行轉化，并錄入到所述知識推理系統中。

技術領域

本發明屬于智能運維處置預測技術領域，尤其涉及一種基于知識推理的安全事件自動處置方法及系統。

背景技術

本部分的陳述僅僅是提供了與本發明相關的背景技術信息，不必然構成在先技術。

SIEM（安全信息和事件管理）、SOC（安全運營中心）類安全產品日漸普及（以下統稱為安全事件管理系統），采用安全事件管理系統保護核心資產的機構產生并積累了海量的安全事件，受限于相關技術發展水平，安全事件管理系統仍然需要安全運維專家的參與，對系統運行產生的安全事件進行研判處置。但面對海量的安全事件、有限的面向安全領域資源，安全運維專家缺乏有效的方法與工具應對，這就導致了安全事件成為沉睡數據，未能發揮其應有的作用。

業界通常采用分類模型解決這個問題。比如，根據緊急程度和影響力安全事件可以分為特別嚴重、嚴重、一般、輕微四個級別。安全運維專家根據安全事件的級別、類型等進行過濾，篩選出其關注的安全事件，進行分析研判及調查取證，以確定安全事件危害程度及其影響范圍，但是，我們 發現，該方法在實際應用中存在方法固化、無法動態擴展、處置效率低，從而導致安全事件持續積壓，安全運維專家處置經驗無法復用，無法從根本上解決積壓的安全事件成為沉睡數據的問題。

發明內容

本發明為了解決上述問題，提供了一種基于知識推理的安全事件自動處置方法及系統，所述方案提出一種基于產生式規則的知識推理系統的多層處置模型，相比傳統的單一分類模型，所述方案具有自動化程度高，處置效率高的特點，通過所述多層處置模型可以將安全運維專家經驗轉化為知識，實現復用，達到喚醒安全事件數據，發揮其應有價值的效果。

根據本發明實施例的第一個方面，提供了一種基于知識推理的安全事件自動處置方法，包括：

獲取待處置安全事件；

基于預先構建好的知識推理系統，對所述安全事件進行分級研判處理，獲得處置結果；其中，所述知識推理系統基于產生式規則推理方法，利用預先存儲的安全事件集合和處置規則集合，通過推理引擎對安全事件進行分級處理，確定安全事件對應的處置規則；

將獲得的處置結果進行轉化，并錄入到所述知識推理系統中。

進一步的，所述知識推理系統包括事實集合、處置規則集合以及推理引擎，所述事實集合存儲有預先存儲的歷史安全事件集合，所述處置規則集合存儲有與所述事實集合中歷史安全事件對應的安全事件處置規則，所述推理引擎用于基于事實集合和處置規則集合，通過模式匹配方法對待處置安全事件的處置規則進行預測。

進一步的，所述模式匹配方法采用語義相似度計算方法，計算待處置安全事件與所述知識推理系統預先存儲的安全事件集合中相似度最高的安全事件，將其對應的處置規則作為待處置安全事件的處置規則，其對應的處置重要程度標簽和緊急程度標簽作為待處置安全事件的重要程度和緊急程度。

進一步的，所述分級研判處理，具體為：

對于每個安全事件，通過所述知識推理系統進行處置規則及處置緊急程度預測；

若為簡單安全事件，則基于預測的處置規則直接生成結論；

對于非簡單安全事件，基于安全事件間的相似度計算進行歸并處理，對于單獨的安全事件以及對于歸并處理的安全事件中的重要且緊急的安全事件，直接推送給安全運維專家進行處理規則的判定，生成處置結論；