[发明专利]基于多源数据的安全事件分析方法、装置、电子装置和存储介质

说明书

本申请涉及一种基于多源数据的安全事件分析方法、装置、电子装置和存储介质，其中，该基于多源数据的安全事件分析方法包括：从计算机的多个数据源获取数据源信息；从数据源信息中提取与安全事件相关的特征信息；使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件；在从预先设定的安全事件模型中匹配到安全事件的情况下，根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间，确定安全事件的过程信息，并根据匹配到的所有安全事件的过程信息及安全事件的发生时间，确定攻击过程信息。通过本申请，解决了相关技术中计算机的网络安全性低的问题，实现了提高计算机的网络安全性的技术效果。

技术领域

本申请涉及信息安全技术领域，特别是涉及基于多源数据的安全事件分析方法、装置、电子装置和存储介质。

背景技术

网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

随着计算机技术以及网络技术的飞速发展，人们对于网络越来越依赖，网络安全问题已日渐成为成为当今社会关注的热点问题。在网络日渐发达的今天，网络安全事件愈演愈烈，网络安全事件发生的频率不断加大，网络攻击也变得越来越频繁。因此，研究网络安全事件分析技术对于维护网络安全具有很大的意义。只有精准识别安全事件的类型，分析其行为才能采取针对性的有效处置措施，制止安全事件的继续发生。

相关技术中的网络安全事件分析技术主要以日志文件分析为主，且一般通过单一数据源对安全事件的发生过程进行判断，然而，在有限数据源的基础上很难对全局情况下的安全事件发生过程进行分析与了解，难以推断存在的安全薄弱环节与攻击者的准确侵入点，因此计算机的网络安全性较低。

目前针对相关技术中因通过单一数据源对安全事件的发生过程进行判断导致的计算机的网络安全性低的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种基于多源数据的安全事件分析方法、装置、电子装置和存储介质，以至少解决相关技术中因通过单一数据源对安全事件的发生过程进行判断导致的计算机的网络安全性低的问题。

第一方面，本申请实施例提供了一种基于多源数据的安全事件分析方法，包括：从计算机的多个数据源获取数据源信息；从所述数据源信息中提取与安全事件相关的特征信息；使用提取到的特征信息在预先设定的安全事件模型中匹配安全事件，其中，所述预先设定的安全事件模型包括：预先设定的多种安全事件及分别与每种安全事件对应的特征信息；在从所述预先设定的安全事件模型中匹配到安全事件的情况下，根据提取到的特征信息中与安全事件对应的特征信息及特征信息的生成时间，确定安全事件的过程信息，并根据匹配到的所有安全事件的过程信息及安全事件的发生时间，确定攻击过程信息。

在其中一些实施例中，从计算机的多个数据源获取数据源信息包括：从所述计算机的操作系统提供的API接口中获取多个数据源的数据源信息；和/或分别从所述计算机的多个数据源位置和/或注册表的多个位置获取对应每个数据源位置和/或注册表的每个位置的数据源信息。

在其中一些实施例中，所述数据源信息包括以下至少之一：系统日志、应用程序日志、安全日志、网络日志、硬件事件日志。

在其中一些实施例中，在所述数据源信息为系统日志的情况下，提取到的特征信息包括相同IP的远程多次登录信息；在所述数据源信息为应用程序日志的情况下，提取到的特征信息包括以下至少之一：应用程序访问信息、应用程序打开记录；在所述数据源信息为安全日志的情况下，提取到的特征信息包括以下至少之一：登录IP地址、登录时间、登录用户、登录用户群组；在所述数据源信息为网络日志的情况下，提取到的特征信息包括以下至少之一：连接IP地址、本地端口、本地进程、文件路径；在所述数据源信息为硬件事件日志的情况下，提取到的特征信息包括以下至少之一：硬件设备受损信息、硬件维修信息。