本发明专利技术提供了一种基于复合事件处理的威胁检测方法及装置,其中方法包括:获取与至少一种威胁程序对应的配置文件;配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;确定终端设备上发生的任一待检测的行为事件;根据每一配置文件中的行为事件匹配规则对行为事件和该配置文件中的各个行为事件类型进行匹配;若命中与该行为事件匹配的目标事件类型,根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除。本方案,能够提高威胁检测结果的准确性。准确性。准确性。
【技术实现步骤摘要】
基于复合事件处理的威胁检测方法及装置
[0001]本专利技术实施例涉及计算机安全
,特别涉及一种基于复合事件处理的威胁检测方法及装置。
技术介绍
[0002]为保证终端设备的安全,需要对终端设备中是否存在威胁程序进行检测和告警。目前,对终端设备中是否存在威胁程序进行检测和告警,是由终端设备上报日志文件到服务端,由服务端基于终端设备的日志文件对终端设备产生的行为特征进行检测,每当检测到终端设备产生的行为特征命中威胁程序对应的行为特征,则进行命中次数的累加,当命中次数达到告警阈值时则对终端设备进行告警处理。但是,终端设备在上报日志文件时,经常存在行为特征的重报、多报等情况,影响检测结果的准确性。
技术实现思路
[0003]基于检测结果准确性较低的问题,本专利技术实施例提供了一种基于复合事件处理的威胁检测方法及装置,能够提高威胁检测结果的准确性。
[0004]第一方面,本专利技术实施例提供了一种基于复合事件处理的威胁检测方法,包括:
[0005]获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
[0006]确定终端设备上发生的任一待检测的行为事件;
[0007]根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配;
[0008]若命中与该行为事件匹配的目标事件类型,则根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,返回确定终端设备上发生的任一待检测的行为事件的步骤。
[0009]在一种可能的实现方式中,所述根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,包括:
[0010]确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,若是,则确定当前满足该配置文件对应的告警条件。
[0011]在一种可能的实现方式中,所述告警条件通过设置要求的命中次数以实现要求命中的行为事件类型的设置;
[0012]所述确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:
[0013]确定当前已命中的目标事件类型的数量是否达到该配置文件对应的告警条件中要求的命中次数,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
[0014]在一种可能的实现方式中,所述告警条件要求的命中次数是基于对应配置文件中行为事件类型的初始数量自动生成的。
[0015]在一种可能的实现方式中,所述告警条件通过设置每一个行为事件类型的威胁权值以实现要求命中的行为事件类型的设置;
[0016]所述确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:
[0017]确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
[0018]在一种可能的实现方式中,所述根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,包括:
[0019]基于所述行为事件匹配规则中对每一个行为事件类型设置的行为事件正则表达式,检测该行为事件是否匹配到该配置文件中的其中一个行为事件类型;
[0020]若匹配到,则确定该行为事件类型被匹配到的次数是否达到针对该行为事件类型设置的阈值匹配次数;若达到,则确定该行为事件命中该配置文件中的该行为事件类型。
[0021]在一种可能的实现方式中,还包括:预先对终端设备进行分组,以基于每一个分组内终端设备上发生的行为事件确定对应分组内是否存在威胁程序。
[0022]第二方面,本专利技术实施例还提供了一种基于复合事件处理的威胁检测装置,包括:
[0023]配置文件获取单元,用于获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
[0024]行为事件确定单元,用于确定终端设备上发生的任一待检测的行为事件;
[0025]匹配单元,用于根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,若命中与该行为事件匹配的目标事件类型,则触发告警单元执行相应操作;
[0026]所述告警单元,用于根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,并触发所述行为事件确定单元继续执行相应操作。
[0027]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0028]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0029]本专利技术实施例提供了一种基于复合事件处理的威胁检测方法及装置,针对每一个种类的威胁程序获取配置文件,以利用配置文件检测是否存在对应种类的威胁程序,针对终端设备上发生的任一待检测的行为事件,若配置文件中命中与该行为事件匹配的目标事件类型,根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,若不满足告警条件则排除该配置文件中的该目标事件类型,以利用剩余行为事件类型继续对后续行为事件进行匹配,直到已命中的目标事件类型满足告警条件时,则进行告警。本方案
中,如果存在某个行为事件的重报或多报情况,假设该某个行为事件在首次发生上报时命中了一个行为事件类型,则将该行为事件类型排除,当该某个行为事件再次发生并上报时是基于排除后的剩余行为事件类型进行检测的,可见,该重报或多报的行为事件不会影响威胁检测的结果,从而可以提高威胁检测结果的准确性。
附图说明
[0030]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0031]图1是本专利技术一实施例提供的一种基于复合事件处理的威胁检测方法流程图;
[0032]图2是本专利技术一实施例提供的一种电子设备的硬件架构图;
[0033]图3是本专利技术一实施例提供的一种基于复合事件处理的威胁检测装置结构图;
[0034]图4是本专利技术一实施例提供的另一种基于复合事件处理的威胁检测装置结构图。...
【技术保护点】
【技术特征摘要】
1.一种基于复合事件处理的威胁检测方法,其特征在于,包括:获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;确定终端设备上发生的任一待检测的行为事件;根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配;若命中与该行为事件匹配的目标事件类型,则根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,返回确定终端设备上发生的任一待检测的行为事件的步骤。2.根据权利要求1所述的方法,其特征在于,所述根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,包括:确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,若是,则确定当前满足该配置文件对应的告警条件。3.根据权利要求2所述的方法,其特征在于,所述告警条件通过设置要求的命中次数以实现要求命中的行为事件类型的设置;所述确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:确定当前已命中的目标事件类型的数量是否达到该配置文件对应的告警条件中要求的命中次数,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。4.根据权利要求3所述的方法,其特征在于,所述告警条件要求的命中次数是基于对应配置文件中行为事件类型的初始数量自动生成的。5.根据权利要求2所述的方法,其特征在于,所述告警条件通过设置每一个行为事件类型的威胁权值以实现要求命中的行为事件类型的设置;所述确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为...
【专利技术属性】
技术研发人员:陈伟胜,孙洪伟,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。