一种安全事件生成方法、装置、电子设备及存储介质与流程

1.本技术涉及计算机技术领域，尤其涉及一种安全事件生成方法、装置、电子设备及存储介质。


背景技术：

2.目前，需要采用人工操作的方式定期检查设备或系统内是否存在勒索病毒，并且在勒索病毒发生之后由人工对勒索病毒事件进行处置。
3.但是，上述方法中，采用人工的方式工作量大，而且容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置。


技术实现要素：

4.本技术提供一种安全事件生成方法、装置、电子设备及存储介质，解决了相关技术中采用人工的方式检查勒索病毒并且处置勒索病毒事件，容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置的技术问题。
5.第一方面，本技术提供一种安全事件生成方法，包括：获取多个告警信息；基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同；在按照该第一关联规则表征的执行顺序执行该至少一个告警信息之后，生成并处理目标安全事件。
6.可选地，上述从该多个告警信息中确定至少一个告警信息具体包括：对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息，该m个告警信息的告警类型与该第一关联规则的规则类型相同，m为大于或等于1的整数。
7.可选地，上述对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息具体包括：在不存在第一告警信息对应的文件的情况下，从该m个告警信息中删除第一告警信息，该第一告警信息为该m个告警信息中的一个。
8.可选地，该安全事件生成方法还包括：获取多个对象中每个对象的日志；从该每个对象的日志中确定与该至少一个告警信息对应的日志；基于与该至少一个告警信息对应的日志，得到异常文本对应的传播路径。
9.可选地，一个告警信息对应的维度信息包括该告警信息对应的时间信息、该告警信息对应的身份信息以及该告警信息对应的攻击方式，该安全事件生成方法还包括：基于该至少一个告警信息中每个告警信息对应的维度信息，确定该每个告警信息对应的可信度；将该至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。
10.第二方面，本技术提供一种安全事件生成装置，包括：获取模块、确定模块以及处理模块；该获取模块，用于获取多个告警信息；该确定模块，用于基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同；该处理模块，用于在按照该第一关联规则表征的执行顺序执行该至少一
个告警信息之后，生成并处理目标安全事件。
11.可选地，该处理模块，还用于对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息，该m个告警信息的告警类型与该第一关联规则的规则类型相同，m为大于或等于1的整数。
12.可选地，该安全事件生成装置还包括删除模块；该删除模块，用于在不存在第一告警信息对应的文件的情况下，从该m个告警信息中删除第一告警信息，该第一告警信息为该m个告警信息中的一个。
13.可选地，该获取模块，还用于获取多个对象中每个对象的日志；该确定模块，还用于从该每个对象的日志中确定与该至少一个告警信息对应的日志；该处理模块，还用于基于与该至少一个告警信息对应的日志，得到异常文本对应的传播路径。
14.可选地，一个告警信息对应的维度信息包括该告警信息对应的时间信息、该告警信息对应的身份信息以及该告警信息对应的攻击方式；该确定模块，还用于基于该至少一个告警信息中每个告警信息对应的维度信息，确定该每个告警信息对应的可信度；该确定模块，还用于将该至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。
15.第三方面，本技术提供一种电子设备，包括：处理器和被配置为存储处理器可执行指令的存储器；其中，处理器被配置为执行该指令，以实现上述第一方面中任一种可选地安全事件生成方法。
16.第四方面，本技术提供一种计算机可读存储介质，计算机可读存储介质上存储有指令，当该计算机可读存储介质中的指令由电子设备执行时，使得该电子设备能够执行上述第一方面中任一种可选地安全事件生成方法。
17.本技术提供的安全事件生成方法、装置、电子设备及存储介质，电子设备可以获取多个告警信息，并且基于第一关联规则从该多个告警信息中确定至少一个告警信息。由于该至少一个告警信息的告警类型与该第一关联规则的规则类型相同，即电子设备可以基于该第一关联规则确定出告警信息相同的告警信息。又由于该至少一个告警信息在分析完成(或执行完成)之后可以生成目标安全事件，即可以准确、有效地生成安全事件，即会避免对告警信息和安全事件出现错误或遗漏的情况。之后电子设备对该目标安全事件进行处理(或处置)，能够准确、有效地对目标安全事件进行处置，提升了事件处置的有效性。
附图说明
18.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
19.图1为本技术实施例提供的一种安全事件生成方法的流程示意图；
20.图2为本技术实施例提供的另一种安全事件生成方法的流程示意图；
21.图3为本技术实施例提供的另一种安全事件生成方法的流程示意图；
22.图4为本技术实施例提供的一种案例管理及系统处理过程示意图；
23.图5为本技术实施例提供的一种威胁情报与告警信息进行比对分析和印证的示意图；
24.图6为本技术实施例提供的另一种安全事件生成方法的流程示意图；
25.图7为本技术实施例提供的一种剧本、应用、动作和被调用设备/系统之间的关系示意图；
26.图8为本技术实施例提供的另一种安全事件生成方法的流程示意图；
27.图9为本技术实施例提供的一种安全事件生成装置的结构示意图；
28.图10为本技术实施例提供的另一种安全事件生成装置的结构示意图。
具体实施方式
29.下面将结合附图对本技术实施例提供的安全事件生成方法、装置、电子设备及存储介质进行详细的描述。
30.本技术的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序。
31.此外，本技术的描述中所提到的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
32.需要说明的是，本技术实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本技术实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
33.本技术中所述“和/或”，包括用两种方法中的任意一种或者同时使用两种方法。
34.在本技术的描述中，除非另有说明，“多个”的含义是指两个或两个以上。
35.基于背景技术中所描述，由于相关技术中，需要采用人工操作的方式定期检查设备或系统内是否存在勒索病毒，并且在勒索病毒发生之后由人工对勒索病毒事件进行处置。但是采用人工的方式工作量大，而且容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置。基于此，本技术实施例提供一种安全事件生成方法、装置、电子设备及存储介质，电子设备可以获取多个告警信息，并且基于第一关联规则从该多个告警信息中确定至少一个告警信息。由于该至少一个告警信息的告警类型与该第一关联规则的规则类型相同，即电子设备可以基于该第一关联规则确定出告警信息相同的告警信息。又由于该至少一个告警信息在分析完成(或执行完成)之后可以生成目标安全事件，即可以准确、有效地生成安全事件，即会避免对告警信息和安全事件出现错误或遗漏的情况。之后电子设备对该目标安全事件进行处理(或处置)，能够准确、有效地对目标安全事件进行处置，提升了事件处置的有效性。
36.示例性的，执行本技术实施例提供的安全事件生成方法的电子设备可以是手机、平板电脑、桌面型、膝上型、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，umpc)、上网本，以及蜂窝电话、个人数字助理(personal digital assistant，pda)、增强现实(augmented reality，ar)\虚拟现实(virtual reality，vr)设备，本技术实施例对电子设备的具体形态不作特殊限制。其可以与用户通过键盘、触摸板、触摸屏、遥控器、语音交互或手写设备等一种或多种方式进行人机交互。
37.可选地，上述电子设备可以是独立的物理服务器，也可以是多个物理服务器构成
的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。
38.如图1所示，本技术实施例提供的安全事件生成方法可以包括s101-s103。
39.s101、电子设备获取多个告警信息。
40.应理解，电子设备可以获取多个对象中每个对象的日志，然后对该每个对象的日志进行分析，以得到该多个告警信息。
41.可选地，上述多个对象可以包括设备(例如安全设备)以及应用程序(例如防护软件)。电子设备可以定期对安全设备及防护软件的日志进行梳理分析，通过此类日志的分析结果，基于部署的代理(agent)进行相应的捕获，对内网高危客户端进行定位，检测客户端的使用情况，加固操作系统，提早发现威胁源头，降低安全事件的发生概率。
42.在一种可选的实现方式中，还可以采用深度威胁发现设备(tda)对已知威胁和未知威胁进行检测，及时发现勒索病毒感染行为。自动监控告警，同时通过邮件、手机短信、大屏幕显示等方式的结合，对运维人员、管理者、监控人员全面覆盖威胁通知，准确判断影响范围。
43.s102、电子设备基于第一关联规则，从多个告警信息中确定至少一个告警信息。
44.其中，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同。
45.应理解，一个关联规则(例如该第一关联规则)用于将该关联规则对应的告警信息关联(或串联)起来。
46.结合图1，如图2所示，在本技术实施例的一种实现方式中，上述从多个告警信息中确定至少一个告警信息，具体可以包括s1021。
47.s1021、电子设备对多个告警信息中的m个告警信息进行降噪处理，得到至少一个告警信息。
48.其中，该m个告警信息的告警类型与上述第一告警规则的规则类型相同，m为大于或等于1的整数。
49.应理解，上述多个告警信息(具体为m个告警信息)中，可能不是所有的告警信息都是有效的，或者可以被电子设备使用的。电子设备通过对该m个告警信息进行降噪处理，能够得到完整、有效地告警信息。即可以准确地确定出与上述第一关联规则对应的告警信息。
50.结合图2，如图3所示，在本技术实施例的一种实现方式中，上述对多个告警信息中的m个告警信息进行降噪处理，得到至少一个告警信息，具体可以包括s1021a。
51.s1021a、在不存在第一告警信息对应的文件的情况下，电子设备从m个告警信息中删除第一告警信息。
52.应理解，对于上述多个告警信息中的每个告警信息而言，该每个告警信息均对应有相关文件。在不存在第一告警信息对应的文件的情况下，说明该第一告警信息对应的文件可能之前已经删除了，或者根本不存在，该第一告警信息可以理解为误报或虚警。此时电子设备可以删除该第一告警信息，即可以得到质量较高的、较为有效的至少一个告警信息。
53.在一种可选的实现方式中，若电子设备在一段时间内获取到大量相同的告警信息，则电子设备可以对该大量相同的(或冗余的)告警信息进行合并处理，得到一个告警信息，并且删除其他相同的告警信息。相当于电子设备做了一个去冗的过程。
54.s103、在按照第一关联规则表征的执行顺序执行至少一个告警信息之后，电子设备生成并处理目标安全事件。
55.应理解，电子设备在确定出上述至少一个告警信息之后，可以对该至少一个告警信息进行分析，在该至少一个告警信息中的每个告警信息分析完成(也可以理解为执行完成、或执行成功)之后即可以生成上述目标安全事件，该至少一个告警信息为该目标安全事件对应的告警信息。
56.可选地，在该目标安全事件处理(或处置)之后，电子设备可以生成(或形成)一个案例。
57.本技术实施例中，当某一个安全事件(incident)生成之后，可以自动触发响应剧本(playbook)，或者自动添加到相关的案例中，也可以提醒分析师进行人工响应。
58.示例性的，如图4所示，电子设备可以对上述多个告警信息进行告警管理。其中，该告警管理过程可以包括告警分诊、告警调查以及告警响应。之后电子设备可以创建案例，即根据当前告警启动一个新的案例；并且更新案例，即将当前告警作为已有案例的新线索。案例管理的过程具体可以包括应对措施管理、工件/附件管理以及活动记录，具体包括不同性质的案例遵循不同的应对措施(任务)、对案例中涉及的痕迹物证进行管理以及记录针对该案例的所有操作行为及其结果。之后，电子设备可以关闭案例，具体为结案、复盘、总结经验，优化预案及剧本。再然后可以联合运营团队，将案例加入作战室，进行协作化事件处置以及聊天机器人；并且进行事件调查，具体为基于剧本/应用的自动调查以及基于人机交互的手动调查。最终进行编排自动化，即为基于剧本的通告、遏制、消除、修复。
59.上述实施例提供的技术方案至少能够带来以下有益效果：由s101-s103可知：电子设备可以获取多个告警信息，并且基于第一关联规则从该多个告警信息中确定至少一个告警信息。由于该至少一个告警信息的告警类型与该第一关联规则的规则类型相同，即电子设备可以基于该第一关联规则确定出告警信息相同的告警信息。又由于该至少一个告警信息在分析完成(或执行完成)之后可以生成目标安全事件，即可以准确、有效地生成安全事件，即会避免对告警信息和安全事件出现错误或遗漏的情况。之后电子设备对该目标安全事件进行处理(或处置)，能够准确、有效地对目标安全事件进行处置，提升了事件处置的有效性。
60.在本技术实施例的一种实现方式中，当告警信息不够完整(例如该告警信息中仅包括/仅对应一个ip地址)时，电子设备可以基于威胁情报管理系统中的数据填充告警信息。
61.具体的，威胁情报管理系统中可以包括多个ip地址以及该多个ip地址各自对应的相关信息。在电子设备获取到某一个ip地址时，可以从该威胁情报管理系统中确定出该ip地址对应的相关信息，并且将该ip地址对应的相关信息作为该ip地址对应的告警信息中包括(或对应)的信息。
62.示例性的，如图5所示，电子设备可以基于目标网络进行日志采集与预处理，日志的类型包括传统日志、flow日志以及流量日志，并且将采集或处理后的日志数据存储。之后进行智能日志分析，包括实时关联分析、历史关联分析以及交互式安全分析，其中，实时关联分析包括实时情报比对，历史关联分析包括历史情报溯源，交互式安全分析包括情报调查。
63.与此同时，电子设备可以采集外部威胁情报源和内部威胁情报源，其中，外部威胁情报源包括开源情报、商业情报以及社区情报，内部威胁情报源包括atd/沙箱、人工情报以及内部共享情报。威胁情报摄取的方式包括主动抓取、被动接收以及调度管理。之后电子设备可以进行威胁情报融合，包括情报数据清洗(范化)，并且进行威胁情报管理，包括威胁情报库管理和威胁情报分析。
64.之后可以进行威胁情报利用，具体可以包括威胁情报预警及威胁情报增强。最终，可以进行情报生成与共享过程，包括内部情报生成以及内部情报共享。
65.本技术实施例中，可以利用网络监控设备，快速定位攻击源头，定制合理解决方案，达到降低影响范围，快速恢复业务的目的。能够对遭受影响的系统进行隔离，避免病毒再次扩散，产生更大影响，同时进行业务恢复，将损失将为最低。
66.另外，采用网络调查取证设备tra，主机调查取证edr系统，留存关键网络和主机所有网络及程序执行、文件操作等数据。当勒索病毒进行传播和加密时，通过调查取证数据、网络威胁检测设备、网络阻断设备、防病毒系统、日志审计等多种信息组合追溯到勒索病毒传播源头、相关设备，可帮助判断影响范围及程度。根据发生事件涉及的ip、端口、协议、文件、进程、注册表、配置文件等可参考信息，对网络传输和主机操作进行取证，查证其运行途径、方式、方法、破坏情况、数据丢失情况等。
67.示例性的，假设有一台主机已经遭受到勒索病毒的攻击，那么电子设备会反过来，从终端层面去查这个攻击的源头是在什么地方，比如说是一个ip地址，或者有些甚至是来自于外网。之后在网络层面里面，勒索软件在攻击的时候是会有一些特征的，可以网络层面监测流量，最后也会去反向追溯这个源头，比如攻击源是哪个ip地址，或者对应了端口号是多少。
68.结合图1，如图6所示，本技术实施例提供的安全事件生成方法还可以包括s104-s106。
69.s104、电子设备获取多个对象中每个对象的日志。
70.s105、电子设备从每个对象的日志中确定与至少一个告警信息对应的日志。
71.s106、电子设备基于与至少一个告警信息对应的日志，得到异常文本对应的传播路径。
72.应理解，该异常文本可以为勒索病毒。
73.值得注意的是，取证的系统是可以通过日志的方式记录下来，然后会把这些日志串联起来，最后形成这个攻击的一个整个路径的回放。例如它的源头是什么，是通过什么渠道，攻击到内部的一台或多台主机，达到什么效果，攻击成功或失败，可以形成一个完整的攻击链。并且，电子设备可以采用安全编排和自动化响应技术，根据预设的勒索病毒事件响应剧本，运行自动化处置动作，包括对攻击者ip进行封堵，对失陷资产进行隔离，对终端设备漏洞修复，对重要数据进行备份等。
74.本技术实施例中，安全编排与安全自动化是两个不同的概念。其中，安全编排(orchestration)是指将客户不同的系统或者一个系统内部不同组件的安全能力通过可编程接口(api)和人工检查点，按照一定的逻辑关系组合到一起，用以完成某个特定安全操作的过程。譬如用户针对一封收到的可疑邮件进行深入检测与响应(操作)的过程可以分解为根据拆解出来的发件人、url链接和ip地址等信息查询威胁情报系统，将附件送入沙箱系统
进行分析，并根据情报系统和沙箱系统返回的信息进一步决定是否要通知邮件系统删除该邮件或者附件，是否要通过edr获取收件人终端上的进一步信息做分析，等等。上述这个可疑邮件分析的过程就是一个将邮件系统、威胁情报系统、沙箱系统、edr等等系统通过一定的逻辑编排到一起的实例。
75.具体的，不同的系统可以包括三个维度的系统，即网络层面的系统、终端层面的系统以及应用系统。其中，网络层面的系统包括ids、ips以及安全网关等；终端层面的系统可以包括桌面管理系统、主机防病毒系统以及虚拟化的终端类防护系统；应用系统包括针对操作的系统以及针对应用的中间件的监控等。
76.可选地，上述提到的组件可以为开源组件，例如数据库类的组件和/或操作系统类的组件等。
77.安全自动化(automation)特指自动化的编排过程，也就是一种特殊的编排。如果编排的过程完全都是依赖各个相关系统的api实现的，那么它就是可以自动化执行的。
78.无论自动化的编排，还是人工的编排，都可以通过剧本来进行表述。而支撑剧本执行的引擎通常是工作流引擎。为了方便管理人员维护剧本，soar通常还提供一套可视化的剧本编辑器。
79.剧本是面向编排管理员的，让其聚焦于编排安全操作的逻辑本身，而隐藏了具体连接各个系统的编程接口及其指令实现。soar通常通过应用(app)和动作(action)机制来实现可编排指令与实际系统的对接。应用和动作的实现是面向编排指令开发者的。
80.示例性的，如图7所示，电子设备首先可以进行安全分析、告警管理以及案例管理。其中，安全分析包括交互式分析，告警管理包括告警调查和告警响应，案例管理包括基于编排的案例调查与响应。
81.应理解，电子设备可以针对安全事件和/或告警信息提供多种方式的分析，包括设备自动层面的分析可以基于规则或模型实现。也可以由人员参与分析，进行人机协同。从广义上讲，还会涉及到一些外部资源的调用分析，例如增加外部专家团队。告警调查与告警响应具体为对告警信息进行溯源，查找到告警信息发生的源头，并且对告警信息进行处置。案例调查及响应即为对案例进行溯源，并且处置该案例。
82.与此同时，电子设备可以从外部设备/系统中选取app，并且获取多个app(包括app1、app2以及appn)各自对应的n个动作(包括动作1、动作2以及动作n)；之后基于该多个app各自对应的相关动作，生成并运行剧本。
83.具体的，该剧本可以指示电子设备首先基于执行app1的动作1，然后执行app2的动作1、app2的动作2，最终执行appn的动作1。
84.可以理解的是，一个剧本的基础是工作流，该剧本对应着每一个流程当中的每一个环节，每一个环节对应一个脚本，该工作流对应了一系列脚本的执行过程。
85.示例性的，假设电子设备需要执行一个远程的防火墙封堵的策略，此时电子设备可以先通过预设方式(包括api的方式或命令行的方式)一个脚本打通与防火墙之间的联系。之后第一步通过这个脚本建立连接，第二步通过这个剧本上的另一个脚本去创建一个策略；第三步电子设备将这个策略下发到防火墙上面；第四步电子设备可以将将防火墙执行后的结果通过一个脚本再反馈到电子设备(或平台)上面来。
86.在本技术实施例的一种实现方式中，一个告警信息对应的维度信息包括该告警信
息对应的时间信息、该告警信息对应的身份信息以及该告警信息对应的攻击方式。结合图1，如图8所示，本技术实施例提供的安全事件生成方法还可以包括s107-s108。
87.s107、电子设备基于至少一个告警信息中每个告警信息对应的维度信息，确定每个告警信息对应的可信度。
88.应理解，对于每个告警信息对应的不同维度信息而言，电子设备可以为该不同的纬度信息分配权重参数，进而基于该权重参数以及该每个告警信息对应的维度信息，确定出该每个告警信息对应的可信度。
89.s108、电子设备将至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。
90.应理解，告警管理包括告警分诊、告警调查、告警响应和告警库四个功能。其中最核心的是告警分诊和告警调查，这也是区别于传统siem/soc平台的告警管理功能的关键之处。告警分诊一方面能够自动化地聚合告警信息，减少管理员需要查看的告警数量，同时还能自动地计算告警的可信度和处置优先级，帮助管理员聚焦关键的告警。告警调查是指针对告警信息的补充调查分析，剔除虚警，并将模糊的、低质量的告警变成高质量、有价值的告警的过程。在进行告警调查的时候，运维管理员可以调用安全编排与自动化的剧本或者动作，对告警进行增强，并最终通过告警透视获得对告警信息全面的可见性，尽可能清晰、精准地将这个告警的相关信息呈现出来，方便管理员进行研判。
91.可以理解的是，案例管理过程综合应用了编排与自动化技术，体现了团队、工具和流程的融合。通过案例管理，实现对一系列安全事件的快速响应，相关痕迹物证的保留与关联，并通过“卷宗”(活动记录)对案例处置过程进行复盘、总结，以及应对措施、响应规程和技战术的持续改进。soar系统的案例管理可实现如下能力：基于案例的全生命周期响应处置、编排化案例协同调查分析与痕迹管理、案例处理全过程记录与复盘以及便于团队协作的实时作战室。
92.本技术实施例中，电子设备采用soar自动化响应技术，对于勒索病毒事件检测流程如下：
93.在事前和事中阶段，使用soar系统调用自动检测剧本，调用多种安全设备和系统，进行周期性检查，预防和及时发现勒索病毒事件信息。剧本包含下列动作：
94.(1)网络访问控制检查：向内网防火墙和终端管理系统下发任务，检查内网是否关闭不必要的网络端口：445、135、139等，对3389、5900等端口是否进行白名单配置，只允许白名单内的ip连接登陆。
95.(2)数据备份情况检查：对数据备份系统下发任务，检查重要文件和数据的备份情况，是否符合数据备份321原则(三份备份、两种不同形式、一份异地备份)。
96.(3)邮件防勒索检查：向邮件防护系统下发任务，检查是否打开防勒索检测功能开关。
97.(4)终端防病毒检查：向终端放病毒系统下发任务，检查是否打开防勒索查杀开关。
98.(5)网络防病毒检查：向网络防病毒系统下发任务，检查是否打开防勒索检测开关。
99.(6)网络流量系统检查：向网络流量系统下发任务，检查是否打开勒索病毒流量检
测开关。
100.剧本自动执行完毕后，返回执行结果，完成自动检测流程。该流程采用周期化执行策略，按设定的时间间隔(如每5分钟)定期执行。如果执行过程中发生错误或异常，会自动以消息、邮件、短信等方式，通知安全管理员，及时进行处置。
101.另外，电子设备soar智能化告警响应技术，对于勒索病毒事件响应流程如下：
102.勒索病毒事件相关多种原始告警数据由siem、soc、态势感知系统、bdsa、工单、邮件、告警导入等多个系统或外部途径，进入soar系统，系统采用告警预处理和智能告警调查，确认勒索病毒告警事件，并获取事件相关数据。一旦确认勒索病毒事件发生，系统自动触发事先定义好的勒索病毒事件处置剧本，该剧本包含下列动作：
103.(1)防火墙/防毒墙阻断：向边界防火墙/防毒墙下发阻断策略，封堵外部攻击ip和端口，对内网防火墙下发访问策略，阻断感染设备ip，封堵可疑端口。
104.(2)终端病毒查杀：向终端防病毒系统下发查杀指令，对勒索病毒进行查杀。
105.(3)失陷主机隔离：向主机防护系统下发策略，隔离被感染主机，关闭可疑端口。
106.(4)漏洞补丁修复：如果勒索病毒事件涉及漏洞利用，对网内主机和终端进行漏洞补丁修复。
107.(5)重要数据备份：向数据备份系统下发备份策略，进行零级备份。
108.系统按剧本自动执行完毕后，返回执行结果，完成处置流程。如果执行过程中发生错误或异常，会自动以消息、邮件、短信等方式，通知安全管理员，及时进行处置。
109.本技术实施例可以根据上述方法示例对电子设备等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
110.在采用对应各个功能划分各个功能模块的情况下，图9示出了上述实施例中所涉及的安全事件生成装置的一种可能的结构示意图，如图9所示，安全事件生成装置10可以包括：获取模块101、确定模块102以及处理模块103。
111.获取模块101，用于获取多个告警信息。
112.确定模块102，用于基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同。
113.处理模块103，用于在按照该第一关联规则表征的执行顺序执行该至少一个告警信息之后，生成并处理目标安全事件。
114.可选地，处理模块103，还用于对该多个告警信息中的m个告警信息进行降噪处理，得到该至少一个告警信息，该m个告警信息的告警类型与该第一关联规则的规则类型相同，m为大于或等于1的整数。
115.可选地，该安全事件生成装置10还包括删除模块104。
116.删除模块104，用于在不存在第一告警信息对应的文件的情况下，从该m个告警信息中删除第一告警信息，该第一告警信息为该m个告警信息中的一个。
117.可选地，获取模块101，还用于获取多个对象中每个对象的日志。
118.确定模块102，还用于从该每个对象的日志中确定与该至少一个告警信息对应的
日志。
119.处理模块103，还用于基于与该至少一个告警信息对应的日志，得到异常文本对应的传播路径。
120.可选地，一个告警信息对应的维度信息包括该告警信息对应的时间信息、该告警信息对应的身份信息以及该告警信息对应的攻击方式。
121.确定模块102，还用于基于该至少一个告警信息中每个告警信息对应的维度信息，确定该每个告警信息对应的可信度。
122.确定模块102，还用于将该至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。
123.在采用集成的单元的情况下，图10示出了上述实施例中所涉及的安全事件生成装置的一种可能的结构示意图。如图10所示，安全事件生成装置20可以包括：处理模块201和通信模块202。处理模块201可以用于对安全事件生成装置20的动作进行控制管理。通信模块202可以用于支持安全事件生成装置20与其他实体的通信。可选地，如图10所示，该安全事件生成装置20还可以包括存储模块203，用于存储安全事件生成装置20的程序代码和数据。
124.其中，处理模块201可以是处理器或控制器。通信模块202可以是收发器、收发电路或通信接口等。存储模块203可以是存储器。
125.其中，当处理模块201为处理器，通信模块202为收发器，存储模块203为存储器时，处理器、收发器和存储器可以通过总线连接。总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。
126.应理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
127.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
128.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
129.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
130.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计
算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户终端线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solid state disk，ssd))等。
131.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。

技术特征：
1.一种安全事件生成方法，其特征在于，所述方法包括：获取多个告警信息；基于第一关联规则，从所述多个告警信息中确定至少一个告警信息，所述至少一个告警信息的告警类型与所述第一关联规则的规则类型相同；在按照所述第一关联规则表征的执行顺序执行所述至少一个告警信息之后，生成并处理目标安全事件。2.根据权利要求1所述的安全事件生成方法，其特征在于，所述从所述多个告警信息中确定至少一个告警信息，包括：对所述多个告警信息中的m个告警信息进行降噪处理，得到所述至少一个告警信息，所述m个告警信息的告警类型与所述第一关联规则的规则类型相同，m为大于或等于1的整数。3.根据权利要求2所述的安全事件生成方法，其特征在于，所述对所述多个告警信息中的m个告警信息进行降噪处理，得到所述至少一个告警信息，包括：在不存在第一告警信息对应的文件的情况下，从所述m个告警信息中删除第一告警信息，所述第一告警信息为所述m个告警信息中的一个。4.根据权利要求1所述的安全事件生成方法，其特征在于，所述方法还包括：获取多个对象中每个对象的日志；从所述每个对象的日志中确定与所述至少一个告警信息对应的日志；基于与所述至少一个告警信息对应的日志，得到异常文本对应的传播路径。5.根据权利要求1-4中任一项所述的安全事件生成方法，其特征在于，一个告警信息对应的维度信息包括所述告警信息对应的时间信息、所述告警信息对应的身份信息以及所述告警信息对应的攻击方式，所述方法还包括：基于所述至少一个告警信息中每个告警信息对应的维度信息，确定所述每个告警信息对应的可信度；将所述至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。6.一种安全事件生成装置，其特征在于，包括：获取模块、确定模块以及处理模块；所述获取模块，用于获取多个告警信息；所述确定模块，用于基于第一关联规则，从所述多个告警信息中确定至少一个告警信息，所述至少一个告警信息的告警类型与所述第一关联规则的规则类型相同；所述处理模块，用于在按照所述第一关联规则表征的执行顺序执行所述至少一个告警信息之后，生成并处理目标安全事件。7.根据权利要求6所述的安全事件生成装置，其特征在于，所述处理模块，还用于对所述多个告警信息中的m个告警信息进行降噪处理，得到所述至少一个告警信息，所述m个告警信息的告警类型与所述第一关联规则的规则类型相同，m为大于或等于1的整数。8.根据权利要求7所述的安全事件生成装置，其特征在于，所述安全事件生成装置还包括删除模块；所述删除模块，用于在不存在第一告警信息对应的文件的情况下，从所述m个告警信息中删除第一告警信息，所述第一告警信息为所述m个告警信息中的一个。
9.根据权利要求6所述的安全事件生成装置，其特征在于，所述获取模块，还用于获取多个对象中每个对象的日志；所述确定模块，还用于从所述每个对象的日志中确定与所述至少一个告警信息对应的日志；所述处理模块，还用于基于与所述至少一个告警信息对应的日志，得到异常文本对应的传播路径。10.根据权利要求6-9中任一项所述的安全事件生成装置，其特征在于，一个告警信息对应的维度信息包括所述告警信息对应的时间信息、所述告警信息对应的身份信息以及所述告警信息对应的攻击方式；所述确定模块，还用于基于所述至少一个告警信息中每个告警信息对应的维度信息，确定所述每个告警信息对应的可信度；所述确定模块，还用于将所述至少一个告警信息中对应的可信度小于或等于可信度阈值的告警信息的优先级，确定为最高优先级。11.一种电子设备，其特征在于，所述电子设备包括：处理器；被配置为存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令，以实现如权利要求1-5中任一项所述的安全事件生成方法。12.一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，其特征在于，当所述计算机可读存储介质中的指令由电子设备执行时，使得所述电子设备能够执行如权利要求1-5中任一项所述的安全事件生成方法。

技术总结
本申请提供一种安全事件生成方法、装置、电子设备及存储介质，涉及计算机技术领域，解决了相关技术中采用人工的方式检查勒索病毒并且处置勒索病毒事件，容易出现错误和遗漏，可能无法准确、有效地对勒索病毒事件进行处置的技术问题。该方法包括：获取多个告警信息；基于第一关联规则，从该多个告警信息中确定至少一个告警信息，该至少一个告警信息的告警类型与该第一关联规则的规则类型相同；在按照该第一关联规则表征的执行顺序执行该至少一个告警信息之后，生成并处理目标安全事件。生成并处理目标安全事件。生成并处理目标安全事件。


技术研发人员：张安清 田建勇 付廷升 顾阳 季芸梦
受保护的技术使用者：亚信科技（成都）有限公司
技术研发日：2023.07.17
技术公布日：2023/10/20