PG麻将胡了-(股份有限公司)官方网站

安全防护系统及方法与流程
栏目:行业资讯 发布时间:2026-07-12
   导航:X技术最新专利计算;推算;计数设备的制造及其应用技术  2.目前,计算机及互联网技术已取得了飞速发展。然而,目前针对于终端及网络(如针对企业网络、

  

安全防护系统及方法与流程(图1)

  导航:X技术最新专利计算;推算;计数设备的制造及其应用技术

  2.目前,计算机及互联网技术已取得了飞速发展。然而,目前针对于终端及网络(如针对企业网络、用户网络等)的安全威胁问题也不断发生。为保障终端及网络安全,现有技术中通常通过相应的安全防护系统来实现网络或终端的安全防护。

  3.然而,发明人在实施过程中发现,现有技术中存在如下缺陷:现有技术中安全防护系统无法及时地对威胁事件进行快速处理,处理效率低下,安全防护性能差。

  4.鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的安全防护系统及方法。

  6.威胁事件检测模块,适于对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件;

  7.聚合模块,适于对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成;

  10.对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件;

  11.对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成;

  13.根据本发明的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线.所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述安全防护方法对应的操作。

  15.根据本发明的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述安全防护方法对应的操作。

  16.根据本发明提供的安全防护系统及方法,对待防护对象进行威胁检测,以获取在威胁检测过程中产生的多个威胁事件,并对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成,最终生成与安全事件对应的告警信息。采用本方案能够实现对威胁事件的闭环处理,提升处理效率,实现对安全防护对象的有效防护;并且,本方案通过对威胁事件的聚合处理能够

  大幅降低待处理事件量以及告警数量,在节约系统资源,提升处理效率的基础上,还进一步地提升处理精度。

  17.本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。

  18.通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:

  23.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。

  24.图1示出了本发明一个实施例提供的安全防护系统的结构示意图。其中,本实施例所提供的安全防护系统能够用于对多种待防护对象的安全防护,如企业网络、用户网络、以及各类终端设备等等。

  25.如图1所示,该系统包含有:威胁事件检测模块11、聚合模块12以及告警模块13。

  26.威胁事件检测模块11:适于对待防护对象进行威胁检测,以获取在威胁检测过程中产生的多个威胁事件。

  27.具体地,威胁事件检测模块11检测出的威胁事件可以为针对于网络侧或终端侧的威胁事件;还可以为针对于某类特定信息或应用的威胁事件,如针对于邮件、短信的威胁事件等等。

  28.可选的,可在待防护对象的相应位置(如网关中)部署流量监控设备(图中未示出),该流量监控设备可通过旁路镜像的方式还原待防护对象中的流量数据。其中,该流量数据中可以包括流量日志、文件传输日志、和/或邮件日志等等。从而能够根据镜像数据,对待防护对象进行威胁检测,以获取在威胁检测过程中产生的多个威胁事件。

  29.进一步可选的,在威胁检测过程中,为了降低威胁事件的漏检率,提升检测精度及检测效率,本实施例中预先构建有检测规则集,该检测规则集中包含有相应的威胁检测规则,从而威胁事件检测模块11可根据检测规则集中包含的至少一条威胁检测规则对待防护对象进行威胁检测。其中,本实施例能够对检测规则集进行动态的更新,从而提升检测规则集的可扩展性。该检测规则集中包含的威胁检测规则可以包括以下类别中的至少一种:扫描类别(如tcp/udp端口扫描,icmp扫描,系统指纹扫描等)、攻击类别(如系统漏洞攻击,网

  络设备漏洞攻击,web攻击,ddos攻击,以及其它第三方应用漏洞攻击等)、后门/木马类别(如webshell通讯监测,rootkit通讯监测,http/dns/icmp隧道通讯监测)、病毒/蠕虫类别(如病毒和蠕虫在网络中的传播行为监测规则等)、行为风险类(如明文传输密码,访问恶意域名/ip的监测规则等)、事件监测类别(如rdp、ssh、数据库会话监测规则等)、以及邮件攻击类别等。在一种可选的实施方式中,为了便于对检测规则集的管理,可在检测规则集中按照预设顺序对各个威胁检测规则进行排序(例如,可根据各条威胁检测规则所检测出的威胁事件的数量进行排序);又或者,可根据威胁检测规则的类型等对各个威胁检测规则进行分类管理。

  30.聚合模块12适于:对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成。

  31.当威胁事件检测模块11检测出的威胁事件数量较大时,若直接针对该威胁事件进行处理,不仅会使得待处理事件的数量大幅增加,从而增加系统计算量,影响处理效率;而且,仅根据单一的威胁事件信息进行威胁事件的处理,会因威胁事件信息的片面性而影响处理精度。从而本实施例中通过聚合模块12来对威胁事件检测模块11检测出的威胁事件进行聚合处理,从而将大数量级的威胁事件聚合为小数量的安全事件,其中,每个安全事件可以由若干个威胁事件聚合形成,每个安全事件能够体现其对应的若干个威胁事件的攻击特征。

  32.可选的,在聚合模块12对威胁事件进行聚合之前,可进一步对检测到的威胁事件进行数据清洗,以剔除威胁事件中的无效数据(如剔除信息不完全的威胁事件,或者在检测过程中报错的威胁事件等等)。

  34.在生成安全事件之后,可进一步通过告警模块13生成与该安全事件对应的告警信息,从而便于处理节点(该处理节点具体可以为相应的安全处理设备)快速响应,继而根据告警信息对安全事件进行及时处理,从而大幅提升系统的响应能力,并实现对威胁事件的闭环处理。

  35.由此可见,本系统通过对待防护对象的威胁检测来获取在威胁检测过程中产生的多个威胁事件,进而对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件,并生成与安全事件对应的告警信息以供快速地对威胁事件进行处理。通过本系统能够实现对威胁事件的闭环处理,提升处理效率,实现对安全防护对象的有效防护;并且,本系统通过对威胁事件的聚合处理能够大幅降低待处理事件量以及告警数量,在节约系统资源,提升处理效率的基础上,还进一步地提升处理精度。

  36.图2示出了本发明另一个实施例提供的安全防护系统的结构示意图。其中,本实施例所提供的安全防护系统具体是对图1所示系统的进一步优化。

  37.如图2所示,该系统还进一步包含有:关联模块21、风险评级模块22、以及监控模块23。

  38.关联模块21,适于对威胁事件进行数据关联,以获取威胁事件的威胁事件信息。

  39.在现有的实施过程中,通常在检测出威胁事件之后,直接根据检测出的威胁事件进行处理,从而不利于威胁事件的有效处理。本系统中通过关联21来对检测出的威胁事件进行数据关联,从而全方位地获得威胁事件的威胁事件信息。其中,威胁事件信息包括以下

  信息中的至少一种:资产信息(如具体业务信息、人员信息等等)、终端进程信息、以及情报信息(如情报接口信息)等等。

  41.为进一步地提升后续对威胁事件的聚合效果,以及便于对后续生成的安全事件的准确分析,本系统在检测出威胁事件之后,通过风险评级模块22确定威胁事件的风险级别。其中,评价维度包括以下维度中的至少一种:资产属性维度、终端进程维度、访问域名维度、攻击类型维度、以及攻击危害维度。

  42.在具体的实施过程中,风险评级模块22针对于多个评价维度中的每个评价维度,基于威胁事件对应的威胁事件信息,确定威胁事件对应的该评价维度的维度风险指标值;根据威胁事件对应的每个维度风险指标值,以及每个评价维度所对应的权重值,综合确定威胁事件的风险级别。其中,不同类别的威胁事件对应的评价维度以及各评价维度的权重值可能存在不同,不同类别的威胁事件对应的评价维度以及各评价维度的权重值可根据威胁事件的类型确定。可选的,本实施例中对威胁事件的风险级别具体为细粒度的风险级别,例如可以为从0-10的风险级别等等。

  43.可选的,在本系统中,聚合模块12进一步适于:基于多个威胁事件的威胁事件信息,对多个威胁事件进行聚合处理。又或者,可基于多个威胁事件的威胁事件信息以及威胁事件的风险评价级别,对多个威胁事件进行聚合处理。

  44.其中,在一种可选的实施方式中,聚合模块12具体是根据多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;进而针对于任一攻击节点,将对应于该攻击节点的威胁事件进行聚合处理,以生成与该攻击节点对应的安全事件;从而使得一个安全事件对应于一个攻击节点,进而能够通过该安全事件全方位定制化地获取该攻击节点的攻击信息,有利于针对各个攻击节点进行专项化处理。

  45.在又一种可选的实施方式中,聚合模块12根据多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;获取具有关联性的多个攻击节点;将对应于多个攻击节点的威胁事件进行聚合处理,以生成与多个攻击节点对应的安全事件;其中,具有关联性的多个攻击节点对应于同一攻击场景。采用该种实施方式,能够使得生成的安全事件充分体现对应的攻击场景的攻击特性,便于对不同的攻击场景的专项化分析及处理。

  46.其中,攻击节点包括以下节点中的至少一种:端口扫描节点、漏洞扫描节点、漏洞攻击节点、木马植入节点、密码爆破节点、关键信息篡改节点、以及高风险事件节点等等。其中,本实施例对具体的攻击节点类型等不作限定,本领域技术人员可根据实际业务情况设定相应的攻击节点。举例来说,威胁事件a及威胁事件b均为针对于高危端口x的扫描事件,则确定威胁事件a及威胁事件b对应于同一攻击节点。

  47.可选的,本实施例中的聚合模块12具体可通过相应的规则模型(包含至少一条识别规则以及至少一条聚合规则)和/或机器学习模型来实现。本实施例对此不作限定。

  48.进一步地,待聚合模块12生成与多个威胁事件相对应的至少一个安全事件之后,告警模块13进一步生成包含至少一条告警信息的告警工单列表页面,从而以可视化的方式展现告警信息,便于用户方便掌握告警的各维度信息。其中,告警信息包括:告警源设备信息、告警目标设备信息、告警类型、告警等级和/或告警详细信息等等。

  49.为便于对威胁事件的及时处理,本系统中还进一步包含有监控模块23。监控模块

  23用于根据在告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。从而便于用户实时获取威胁事件的处理进度。其中,告警处理监控流程可以包括告警事件确认、目标设备反馈、访问管控、通报处理、和/或告警状态处理等。

  50.由此可见,本系统在能够实现对威胁事件的闭环处理,提升处理效率,实现对安全防护对象的有效防护,以及节约系统资源,提升处理效率的基础上,还进一步地对威胁事件进行数据关联,从而提升后续的聚合精度;并且,通过对威胁事件进行风险评级,便于在威胁事件聚合过程中通过该风险评级维度进行聚合,又可以便于用户在后续的安全事件处理过程中根据告警信息准确获知事件的威胁程度,进而提升处理效率;再者,本系统通过监控模块来监控告警信息的处理过程中,进一步地提升了威胁事件的处理效率,从而便于对安全防护对象进行有效防护。

  51.图3示出了本发明一个实施例提供的安全防护方法的流程示意图。如图3所示,该方法包括:

  52.步骤s310:对待防护对象进行威胁检测,以获取在威胁检测过程中产生的多个威胁事件。

  53.步骤s320:对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成。

  55.可选的,该方法还包括:对所述威胁事件进行数据关联,以获取所述威胁事件的威胁事件信息;

  56.则所述对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件进一步包括:基于多个威胁事件的威胁事件信息,对多个威胁事件进行聚合处理。

  59.可选的,所述对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件进一步包括:

  60.根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;针对于任一攻击节点,将对应于该攻击节点的威胁事件进行聚合处理,以生成与该攻击节点对应的安全事件;

  61.和/或,根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;获取具有关联性的多个攻击节点;将对应于所述多个攻击节点的威胁事件进行聚合处理,以生成与所述多个攻击节点对应的安全事件;其中,所述具有关联性的多个攻击节点对应于同一攻击场景。

  62.可选的,所述对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件进一步包括:

  63.根据检测规则集中包含的至少一条威胁检测规则对待防护对象进行威胁检测。

  64.可选的,所述方法还包括:从多个评价维度,确定所述威胁事件的风险级别。

  65.可选的,所述生成与所述安全事件对应的告警信息进一步包括:生成包含至少一条告警信息的告警工单列表页面;

  66.则该方法还包括:根据在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。

  67.其中,本实施例中各步骤的具体实施过程可参照图1和/或图2系统实施例中相应部分的描述,本实施例在此不做赘述。

  68.由此可见,通过本方案能够实现对威胁事件的闭环处理,提升处理效率,实现对安全防护对象的有效防护;并且,本方案通过对威胁事件的聚合处理能够大幅降低待处理事件量以及告警数量,在节约系统资源,提升处理效率的基础上,还进一步地提升处理精度。

  69.根据本发明一个实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的安全防护方法。

  70.由此可见,通过本方案能够实现对威胁事件的闭环处理,提升处理效率,实现对安全防护对象的有效防护;并且,本方案通过对威胁事件的聚合处理能够大幅降低待处理事件量以及告警数量,在节约系统资源,提升处理效率的基础上,还进一步地提升处理精度。

  71.图4示出了根据本发明一个实施例提供的一种计算设备的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。

  72.如图4所示,该计算设备可以包括:处理器(processor)402、通信接口(communications interface)404、存储器(memory)406、以及通信总线通过通信总线完成相互间的通信。通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。处理器402,用于执行程序410,具体可以执行上述方法实施例中的相关步骤。

  74.具体地,程序410可以包括程序代码,该程序代码包括计算机操作指令。

  75.处理器402可能是中央处理器cpu,或者是特定集成电路asic(application specific integrated circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个cpu;也可以是不同类型的处理器,如一个或多个cpu以及一个或多个asic。

  76.存储器406,用于存放程序410。存储器406可能包含高速ram存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。

  78.对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件;

  79.对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成;

  81.在一种可选的实施方式中,程序410具体可以用于使得处理器402执行以下操作:

  83.则所述对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件进一步包括:基于多个威胁事件的威胁事件信息,对多个威胁事件进行聚合处理。

  84.在一种可选的实施方式中,所述威胁事件信息包括以下信息中的至少一种:

  86.在一种可选的实施方式中,程序410具体可以用于使得处理器402执行以下操作:

  87.根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;针对于任一攻击节点,将对应于该攻击节点的威胁事件进行聚合处理,以生成与该攻击节点对应的安全事件;

  88.和/或,根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;获取具有关联性的多个攻击节点;将对应于所述多个攻击节点的威胁事件进行聚合处理,以生成与所述多个攻击节点对应的安全事件;其中,所述具有关联性的多个攻击节点对应于同一攻击场景。

  89.在一种可选的实施方式中,程序410具体可以用于使得处理器402执行以下操作:

  90.根据检测规则集中包含的至少一条威胁检测规则对待防护对象进行威胁检测。

  91.在一种可选的实施方式中,程序410具体可以用于使得处理器402执行以下操作:

  93.在一种可选的实施方式中,程序410具体可以用于使得处理器402执行以下操作:

  95.根据在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。

  96.由此可见,通过本方案能够实现对威胁事件的闭环处理,提升处理效率,实现对安全防护对象的有效防护;并且,本方案通过对威胁事件的聚合处理能够大幅降低待处理事件量以及告警数量,在节约系统资源,提升处理效率的基础上,还进一步地提升处理精度。

  97.在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

  98.在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。

  99.类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。

  100.本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何

  组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

  101.此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

  102.本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。

  103.应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。

  105.威胁事件检测模块,适于对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件;

  106.聚合模块,适于对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成;

  109.关联模块,适于对所述威胁事件进行数据关联,以获取所述威胁事件的威胁事件信息;

  110.则所述聚合模块进一步适于:基于多个威胁事件的威胁事件信息,对多个威胁事件进行聚合处理。

  111.a3.根据a2所述的系统,其中,所述威胁事件信息包括以下信息中的至少一种:

  113.a4.根据a2或a3所述的系统,其中,所述聚合模块进一步适于:

  114.根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;针对于任一攻击节点,将对应于该攻击节点的威胁事件进行聚合处理,以生成与该攻击

  115.和/或,根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;获取具有关联性的多个攻击节点;将对应于所述多个攻击节点的威胁事件进行聚合处理,以生成与所述多个攻击节点对应的安全事件;其中,所述具有关联性的多个攻击节点对应于同一攻击场景。

  116.a5.根据a1-a4中任一项所述的系统,其中,所述威胁事件检测模块进一步适于:

  117.根据检测规则集中包含的至少一条威胁检测规则对待防护对象进行威胁检测。

  118.a6.根据a1-a5中任一项所述的系统,其中,所述系统还包括:

  119.风险评级模块,适于从多个评价维度,确定所述威胁事件的风险级别。

  120.a7.根据a1-a6中任一项所述的系统,其中,所述告警模块进一步适于:生成包含至少一条告警信息的告警工单列表页面;

  121.则所述系统还包括:监控模块,适于根据在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。

  123.对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件;

  124.对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件;其中,一个安全事件由若干威胁事件聚合而成;

  127.对所述威胁事件进行数据关联,以获取所述威胁事件的威胁事件信息;

  128.则所述对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件进一步包括:基于多个威胁事件的威胁事件信息,对多个威胁事件进行聚合处理。

  129.b10.根据b9所述的方法,其中,所述威胁事件信息包括以下信息中的至少一种:

  131.b11.根据b9或b10所述的方法,其中,所述对产生的多个威胁事件进行聚合处理,以生成与多个威胁事件相对应的至少一个安全事件进一步包括:

  132.根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;针对于任一攻击节点,将对应于该攻击节点的威胁事件进行聚合处理,以生成与该攻击节点对应的安全事件;

  133.和/或,根据所述多个威胁事件的威胁事件信息,识别出对应于同一攻击节点的威胁事件;获取具有关联性的多个攻击节点;将对应于所述多个攻击节点的威胁事件进行聚合处理,以生成与所述多个攻击节点对应的安全事件;其中,所述具有关联性的多个攻击节点对应于同一攻击场景。

  134.b12.根据b8-b11中任一项所述的方法,其中,所述对待防护对象进行威胁检测,以获取在所述威胁检测过程中产生的多个威胁事件进一步包括:

  135.根据检测规则集中包含的至少一条威胁检测规则对待防护对象进行威胁检测。

  136.b13.根据b8-b12中任一项所述的方法,其中,所述方法还包括:

  138.b14.根据b8-b13中任一项所述的方法,其中,所述生成与所述安全事件对应的告警信息进一步包括:生成包含至少一条告警信息的告警工单列表页面;

  139.则所述方法还包括:根据在所述告警工单列表页面触发的对任一告警信息的告警处理操作,启动对该告警信息的告警处理监控流程。

  140.本发明还公开了:c15.一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线.所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如b8-b14中任一项所述的安全防护方法对应的操作。

  142.本发明还公开了:d16.一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如b8-b14中任一项所述的安全防护方法对应的操作。

  1.计算机网络安全 2.计算机仿线.网络安全;物联网安全 、大数据安全 2.安全态势感知、舆情分析和控制 3.区块链及应用