[发明专利]一种可自定义威胁检测规则的检测方法、装置及存储介质

权利要求书

1.一种可自定义威胁检测规则的检测方法，其特征在于，包括：

基于图形控件定制威胁检测规则，包括：新增、修改或删除；

存储定制成功的威胁检测规则；

基于威胁检测规则检测事件数据并判断是否存在异常。

2.如权利要求1所述的方法，其特征在于，所述威胁检测规则，包括：威胁检测规则名称、至少一个威胁类型、至少一条异常行为标准和威胁检测规则生成时间点。

3.如权利要求1所述的方法，其特征在于，还包括：基于图形控件定制异常处置规则，至少包括：至少一条异常处置行为、生成异常过滤器；

当所述基于威胁检测规则检测事件数据并判定存在异常后，利用所述异常处置规则对异常进行后续处置操作；

其中，所述异常处置行为包括：将异常添加到监视列表、删除异常、为异常程度打分。

4.如权利要求3所述的方法，其特征在于，所述异常处置规则可单独启用、禁用、修改或者删除。

5.如权利要求3所述的方法，其特征在于，还包括：设定异常处置规则应用的范围，包括：未来的异常，或者未来的和现有的异常。

6.如权利要求3所述的方法，其特征在于，还包括：设定异常处置规则中各异常处置行为的执行顺序。

7.如权利要求3所述的方法，其特征在于，所述为异常程度打分，具体为：若判定存在异常，则基于检测结果为异常程度打分，若超过设定阈值，则输出显示特定异常指示符；

其中，所述阈值基于情境因素动态可变，所述情境因素包括：事件数据量、用户配置和检测到的异常数据量。

8.一种可自定义威胁检测规则的检测装置，其特征在于，所述装置根据需要部署在网络的不同位置，包括：

检测规则定制模块，用于基于图形控件定制威胁检测规则，包括：新增、修改或删除；

检测规则存储模块，用于存储定制成功的威胁检测规则；

异常判定模块，用于基于威胁检测规则检测事件数据并判断是否存在异常。

9.如权利要求8所述的装置，其特征在于，所述威胁检测规则，包括：威胁检测规则名称、至少一个威胁类型、至少一条异常行为标准和威胁检测规则生成时间点。

10.如权利要求8所述的装置，其特征在于，还包括：处置规则定制模块，用于基于图形控件定制异常处置规则，至少包括：至少一条异常处置行为、生成异常过滤器；

异常处置模块，用于利用所述异常处置规则对异常进行后续处置操作；

其中，所述异常处置行为包括：将异常添加到监视列表、删除异常、为异常程度打分。

11.如权利要求10所述的装置，其特征在于，所述异常处置规则可单独启用、禁用、修改或者删除。

12.如权利要求10所述的装置，其特征在于，还包括：设定异常处置规则应用的范围，包括：未来的异常，或者未来的和现有的异常。

13.如权利要求10所述的装置，其特征在于，还包括：设定异常处置规则中各异常处置行为的执行顺序。

14.如权利要求10所述的装置，其特征在于，所述为异常程度打分，具体为：若判定存在异常，则基于检测结果为异常程度打分，若超过设定阈值，则输出显示特定异常指示符；

其中，所述阈值基于情境因素动态可变，所述情境因素包括：事件数据量、用户配置和检测到的异常数据量。