(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111565394.1 (22)申请日 2021.12.21 (65)同一申请的已公布的文献号 申请公布号 CN 113949590 A (43)申请公布日 2022.01.18 (73)专利权人 济南市康养事业发展中心 地址 250000 山东省济南市历下区利农庄 路33号 (72)发明人 肖斌　 (74)专利代理 机构 济南誉丰专利代理事务所 (普通合伙企业) 37240 专利代理师 李茜 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 US 10885759 B1,2021.01.0 5 CN 102201928 A,201 1.09.28 CN 104243184 A,2014.12.24 US 20172134 47 A1,2017.07.27 审查员 王黎明 (54)发明名称 一种安全告警事件等级确定方法、 系统及终 端 (57)摘要 本申请公开了一种安全告警事件等级确定 方法、 系统及终端， 涉及数据安全技术领域， 根据 系统研判确定安全告警事件的初始告警等级； 按 照预设顺序将安全告警事件通过识别规则集合 进行告警研判， 包括： 确定安全告警事件的初始 告警等级和告警发现时间； 初始告警等级高的安 全告警事件优先输入识别规则集合进行告警研 判； 告警等级相同时， 则将发现时间早的安全告 警事件进行告警研判， 识别规则集合内包含不同 的告警研判单体， 不同告警研判单体研判机制不 同； 根据识别规则集合研判后获得安全告警事件 的告警计算等级； 根据告警计算等级和初始告警 等级确定安全告警事件的告警等级。 上述研判方 式， 避免了人工判断的主观因素， 提高了安全告 警的识别速度和精度。 权利要求书2页 说明书6页 附图3页 CN 113949590 B 2022.07.01 CN 113949590 B 1.一种安全告警事 件等级确定方法， 其特 征在于， 所述方法包括： 根据系统研判确定安全告警事 件的初始告警等级； 按照预设顺序将安全告警事 件通过识别规则集 合进行告警研判， 包括： 确定所述安全告警事件的初始告警等级和告警发现时间； 第 一安全告警事件的初始告 警等级高于第二安全告警事件的初始告警等级时， 则将所述第一安全告警事件优先输入识 别规则集合进行告警研判； 或者， 所述第一安全告警事件和所述第二安全告警事件的初始 告警等级相同时， 则将发现时间早的安全告警事件输入识别规则集合进行告警研判； 所述 识别规则集 合内包含不同的告警研判单体， 不同所述告警研判单体设置不同的研判机制； 根据所述识别规则集 合研判后获得安全告警事 件的告警计算 等级， 包括： 将安全告警事件分别同时输入所述识别规则集合中的研判单体中进行告警等级研判； 所述研判单体根据研判机制给出所述安全告警事件的告警等级加权值； 将所述告警等级加 权值累加计算获得 所述安全告警事 件的告警计算 等级； 根据所述告警计算 等级和所述初始告警等级确定所述 安全告警事 件的告警等级。 2.根据权利要求1所述的安全告警事件等级确定方法， 其特征在于， 所述研判单体根据 研判机制给 出所述安全告警事 件的告警等级加权值， 包括： 确定系统历史告警类型属性、 告警 发生IP地址清单和告警详情中定义的关键 字清单； 将所述安全告警事件的字段进行匹配验证， 不同字段设置不同级别的匹配等级加权 值。 3.根据权利要求1所述的安全告警事件等级确定方法， 其特征在于， 所述研判单体根据 研判机制给 出所述安全告警事 件的告警等级加权值， 包括： 通过接口对接获取威胁情 报数据； 确定威胁情 报中的IP、 域名和hash的告警字段； 将所述安全告警事件的字段进行匹配， 如匹配成功， 则累加等级加权值， 不同的情报类 型可设置不同的等级加权值。 4.根据权利要求1所述的安全告警事件等级确定方法， 其特征在于， 所述研判单体根据 研判机制给 出所述安全告警事 件的告警等级加权值， 包括： 在预设时间段内统计相同告警重复出现次数、 不同告警中IP地址出现的次数和/或告 警详情中关键 字的出现次数； 计算不同时间维度内所有不同告警各自的总量； 每类告警在任一时间维度中的数量达到预设数量则将告警计算等级加1， 其中， 同一告 警同时匹配多个条件则累加。 5.一种安全告警事 件等级确定系统， 其特 征在于， 所述系统包括： 确定模块， 用于根据系统研判确定安全告警事 件的初始告警等级； 研判模块， 用于按照预设顺序将安全告警事件通过识别规则集合进行告警研判， 所述 识别规则集合内包含不同的告警研判 单体， 不同所述告警研判 单体设置不同的研判机制； 所述研判模块包括： 确定单元和研判处理单元， 确定单元， 用于确定所述安全告警事件的初 始告警等级和告警发现时间； 研判处理单元， 用于第一安全告警事件的初始告警等级高于 第二安全告警事件的初始告警等级时， 则将所述第一安全告警事件优先输入识别规则集合 进行告警研判； 或者， 所述第一安全告警事件和所述第二安全告警事件的初始告警等级相权　利　要　求　书 1/2 页 2 CN 113949590 B 2同时， 则将发现时间早的安全告警事 件输入识别规则集 合进行告警研判； 处理模块， 用于根据所述识别规则集合研判后获得安全告警事件的告警计算等级； 所 述处理模块包括： 输入单元， 用于将安全告警事件分别同时输入所述识别规则集合中的研 判单体中进行告警等级研判； 确定单元， 用于所述研判 单体根据研判机制给出所述安全告 警事件的告警等级加权值； 计算单元， 用于将所述告警等级加权值累加计算获得所述安全 告警事件的告警计算 等级； 计算模块， 用于根据 所述告警计算等级和所述初始告警等级确定所述安全告警事件的 告警等级。 6.一种终端， 其特 征在于， 包括： 处理器； 存储器， 用于存 储计算机可 执行指令； 当所述处理器执行所述计算机可执行指令时， 所述处理器执行权利要求1 ‑4任一项所 述的方法， 实现安全告警事 件等级的确定 。权　利　要　求　书 2/2 页 3 CN 113949590 B 3