一种图形化展示安全威胁事件的方法、装置及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种图形化展示安全威胁事件的方法、装置及存储介质。

背景技术：

目前，安全管理系统是很多信息安全企业的主营业务产品，其中比较为大众所知的产品包括安全信息和事件管理(siem)系统，其可以提供一个计算环境，可以实现与安全相关的事件的实时分析生成的计算活动。siem系统还可以提供一系列的分析工具功能包括趋势分析，事件识别和警报。

即使多数企业实现了siem系统，但是随着各种安全事件的增加，需要处理的数据量越来越大。那么如何在这么多的安全事件数据中排除没有相关性的事件数据，如何在这么多的安全事件数据中凸显出重要的值得关注的安全事件数据，是目前亟待解决的问题。

技术实现要素：

有鉴于此，本发明实施例提供了一种图形化展示安全威胁事件的方法、装置及存储介质，利用图形界面将具备相关性的安全威胁事件聚合后展示，同时用户可以根据可搜索事件的摘要信息对相关事件进行处置，进而提高了识别和过滤存在潜在安全威胁的事件的效率。

第一方面，本发明实施例提供一种图形化展示安全威胁事件的方法，包括：

获取待处理数据；

基于所述待处理数据生成带有时间戳的可搜索事件；所述可搜索事件包括与计算机安全或网络安全相关的信息；

基于预设模式从可搜索事件中提取至少一个字段值；

利用预设标准筛选相关字段值，提取包含相关字段值的可搜索事件生成安全事件组；

基于图形界面展示所述安全事件组。

根据本发明实施例的一种具体实现方式，所述预设模式为用于从可搜索事件中提取特定字段值的数据结构。

根据本发明实施例的一种具体实现方式，所述预设标准包括：字段值的长度满足预设阈值；字段值中包括已知安全威胁的相关源地址。

根据本发明实施例的一种具体实现方式，所述基于图形界面展示所述安全事件组，包括：

基于图形界面展示一个安全事件组的各个可搜索事件的摘要信息；

基于摘要信息利用图形控件进行处置操作；

其中，所述摘要信息至少包括：当前可搜索事件的数量、至少一个字段的简要描述。

根据本发明实施例的一种具体实现方式，所述基于摘要信息利用图形控件进行处置操作包括：点击白名单控件将所述可搜索事件加入白名单；点击黑名单控件将所述可搜索事件加入黑名单；点击修改控件修改所述可搜索事件的摘要信息；或者，点击删除控件将所述可搜索事件的摘要信息删除。

第二方面，本发明实施例提供一种图形化展示安全威胁事件的装置，包括：

数据获取模块，用于获取待处理数据；

可搜索事件生成模块，用于基于所述待处理数据生成带有时间戳的可搜索事件；所述可搜索事件包括与计算机安全或网络安全相关的信息；

字段值提取模块，用于基于预设模式从可搜索事件中提取至少一个字段值；

安全事件组生成模块，用于利用预设标准筛选相关字段值，提取包含相关字段值的可搜索事件生成安全事件组；

图形界面展示模块，用于基于图形界面展示所述安全事件组。

根据本发明实施例的一种具体实现方式，所述预设模式为用于从可搜索事件中提取特定字段值的数据结构。

根据本发明实施例的一种具体实现方式，所述预设标准包括：字段值的长度满足预设阈值；字段值中包括已知安全威胁的相关源地址。

根据本发明实施例的一种具体实现方式，所述图形界面展示模块，具体用于：

基于图形界面展示一个安全事件组的各个可搜索事件的摘要信息；

基于摘要信息利用图形控件进行处置操作；

其中，所述摘要信息至少包括：当前可搜索事件的数量、至少一个字段的简要描述。

根据本发明实施例的一种具体实现方式，所述基于摘要信息利用图形控件进行处置操作包括：点击白名单控件将所述可搜索事件加入白名单；点击黑名单控件将所述可搜索事件加入黑名单；点击修改控件修改所述可搜索事件的摘要信息；或者，点击删除控件将所述可搜索事件的摘要信息删除。

第三方面，本发明实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式所述的方法。

第四方面，本发明的实施例还提供计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的方法。

本发明实施例提供的一种图形化展示安全威胁事件的方法、装置及存储介质，通过对待处理数据进行处理，生成带有时间戳的可搜索事件，并基于预设模式从可搜索事件中提取至少一个字段值；同时，筛选满足预设标准的字段值，将包含相关字段值的可搜索事件生成安全事件组；最终利用图形界面将安全事件组进行聚合展示，便于用户进行分析处置。利用本发明实施例的技术方案，不仅实现将相关可搜索事件进行聚合展示，同时用户可以基于展示结果快速发现潜在的安全威胁事件，进而提升识别和处置安全威胁事件的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明的一种图形化展示安全威胁事件的方法的一实施例流程图；

图2为本发明的一种图形化展示安全威胁事件的方法的又一实施例流程图；

图3为本发明的一种图形化展示安全威胁事件的装置的一实施例结构示意图；

图4为本发明电子设备一个实施例的结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

第一方面，本发明实施例提供一种图形化展示安全威胁事件的方法，能够将具备关联性的安全威胁事件聚合展示，有效提高识别和处置安全威胁事件的效率。

图1为本发明一种图形化展示安全威胁事件的方法的一实施例流程图，包括：

s101：获取待处理数据。其中，所述待处理数据包括但不限于：机器数据、非结构化数据和/或网络日志等所有种类的信息安全相关数据。

s102：基于所述待处理数据生成带有时间戳的可搜索事件。所述可搜索事件至少为一个，具体包括与计算机安全或网络安全相关的信息。其中，所述时间戳可以作为搜索的索引，其中所述可搜索事件可以但不限于以时间序列的形式存储在数据库中。

其中，所述计算机安全或网络安全相关的信息，包括但不限于：网络信息、访问控制信息或者端点信息。所述网络信息至少包括：http代理字符串、网络流量相关数据、资源定位符、每个请求的字节数、域名或者源地址。所述访问控制信息至少包括：登录、注销信息或者访问失败信息。所述端点信息至少包括：恶意软件感染相关信息、系统配置信息或者系统状态信息等。

s103：基于预设模式从可搜索事件中提取至少一个字段值。

其中，所述预设模式为用于从可搜索事件中提取特定字段值的数据结构。

s104：利用预设标准筛选相关字段值，提取包含相关字段值的可搜索事件生成安全事件组。

其中，所述预设标准可以为，基于包含指示潜在安全威胁的一个或者多个字段值来生成预设标准。而包含这些字段值的可搜索事件则为一组相关联的安全威胁事件。具体地，所述预设标准包括但不限于：字段值的长度满足预设阈值；字段值中包括已知安全威胁的相关源地址。

s105：基于图形界面展示所述安全事件组。其中，所述图形界面可以是网页形式，包括至少如下交互元素：单选按钮、下拉菜单、交互元素、可选择和/或激活的可选控件。

本实施例通过将待处理数据划分为带有时间戳的可搜索事件，并将包含满足预设标准的字段值的可搜索事件生成安全事件组，完成对存在关联关系的安全威胁事件进行聚合分析，同时利用图形界面将安全事件组的各安全事件进行集中展示，方便安全分析人员分析和管理。不仅提升了挖掘潜在安全威胁事件的效率，同时降低了分析安全威胁事件的成本。

图2为本发明一种图形化展示安全威胁事件的方法的又一实施例流程图，包括：

s201：获取待处理数据。其中，所述待处理数据包括但不限于：机器数据、非结构化数据和/或网络日志等所有种类的信息安全相关数据。

s202：基于所述待处理数据生成带有时间戳的可搜索事件。所述可搜索事件包括与计算机安全或网络安全相关的信息。

s203：基于预设模式从可搜索事件中提取至少一个字段值。

其中，所述预设模式为用于从可搜索事件中提取特定字段值的数据结构。

s204：利用预设标准筛选相关字段值，提取包含相关字段值的可搜索事件生成安全事件组。

其中，所述预设标准可以为，基于包含指示潜在安全威胁的一个或者多个字段值来生成预设标准。而包含这些字段值的可搜索事件则为一组相关的安全事件。所述预设标准包括但不限于：字段值的长度满足预设阈值；字段值中包括已知安全威胁的相关源地址。

s205：基于图形界面展示一个安全事件组的各个可搜索事件的摘要信息。其中，所述摘要信息至少包括：当前可搜索事件的数量、至少一个字段的简要描述。

s206：基于摘要信息利用图形控件进行处置操作。其中，所述处置操作包括：点击白名单控件将所述可搜索事件加入白名单；点击黑名单控件将所述可搜索事件加入黑名单；点击修改控件修改所述可搜索事件的摘要信息；或者，点击删除控件将所述可搜索事件的摘要信息删除。

其中，所述图形界面可以是网页形式，包括至少如下交互元素：单选按钮、下拉菜单、交互元素、可选择和/或激活的可选控件。

本实施例将待处理的信息安全相关数据划分为带有时间戳的可搜索事件，并基于预设标准搜索在可搜索事件中定位满足标准的一个或者多个字段值，由相关可搜索事件生成安全事件组，并利用图形界面进行展示，展示内容至少包括各可搜索事件的摘要信息，安全分析人员可以基于摘要信息对相关事件进行处置，最终实现定位潜在安全威胁事件的目的，降低了分析网络安全威胁事件的成本。

第二方面，本发明实施例提供一种图形化展示安全威胁事件的装置，能够对相关可搜索事件进行聚合展示，提升了识别安全威胁事件的效率。

图3为本发明一种图形化展示安全威胁事件的装置的一实施例结构示意图，本实施例的装置可以包括：

数据获取模块301，用于获取待处理数据；

可搜索事件生成模块302，用于基于所述待处理数据生成带有时间戳的可搜索事件；所述可搜索事件包括与计算机安全或网络安全相关的信息；

字段值提取模块303，用于基于预设模式从可搜索事件中提取至少一个字段值；

安全事件组生成模块304，用于利用预设标准筛选相关字段值，提取包含相关字段值的可搜索事件生成安全事件组；

图形界面展示模块305，用于基于图形界面展示所述安全事件组。

优选地，所述预设模式为用于从可搜索事件中提取特定字段值的数据结构。

优选地，所述预设标准包括：字段值的长度满足预设阈值；字段值中包括已知安全威胁的相关源地址。

优选地，所述图形界面展示模块，具体用于：

基于图形界面展示一个安全事件组的各个可搜索事件的摘要信息；

基于摘要信息利用图形控件进行处置操作；

其中，所述摘要信息至少包括：当前可搜索事件的数量、至少一个字段的简要描述。

优选地，所述基于摘要信息利用图形控件进行处置操作包括：点击白名单控件将所述可搜索事件加入白名单；点击黑名单控件将所述可搜索事件加入黑名单；点击修改控件修改所述可搜索事件的摘要信息；或者，点击删除控件将所述可搜索事件的摘要信息删除。

本实施例通过将待处理数据划分为带有时间戳的可搜索事件，并将包含满足预设标准字段值的可搜索事件生成安全事件组，完成对存在关联关系的安全事件进行聚合分析，同时利用图形界面将安全事件组的各安全事件进行集中展示，方便安全分析人员分析和管理。不仅提升了挖掘潜在安全威胁事件的效率，同时降低了分析网络安全威胁事件的成本。

第三方面，本发明实施例还提供一种电子设备，能够有效提升安全威胁事件的识别及处置效率。

图4为本发明电子设备一个实施例的结构示意图，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的方法。

处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1-2所示实施例的描述，在此不再赘述。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

第四方面，本发明的实施例还提供计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实现方式所述的方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。