[发明专利]一种主机系统安全预警方法、装置、设备及存储介质

说明书

本说明书一个或多个实施例提供一种主机系统安全预警方法、装置、设备及存储介质，包括：采集主机系统的多个事项的属性数据；对于任一事项，将该事项的属性数据与预先构建的原生数据库中该事项的原生属性数据进行对比，以得到该事项的属性数据的变化值；响应于确定该事项的属性数据的变化值超过预设的该事项的属性数据变化阈值，将该事项的属性数据作为异常属性数据；通过预先构建的安全分析模型对异常属性数据进行安全分析，得到安全分析结果，并在安全分析结果指示不安全时进行预警。本发明在将事项的属性数据作为异常属性数据后，再次对异常属性数据进行安全分析，提高了主机安全预警的准确性和针对性。

技术领域

本说明书一个或多个实施例涉及主机安全技术领域，尤其涉及一种主机系统安全预警方法、装置、设备及存储介质。

背景技术

在5G、人工智能、工业互联网和物联网高速发展的过程中，信息安全边界正在逐步扩大，与黑产的攻防对抗愈演愈烈，以数据为载体的企业数字资产面临极大威胁，主机作为企业数字资产最后也是最重要的一道门，其安全不容忽视。

目前，主机安全技术主要是通过对各类信息系统的信息资产配置合规性进行自动化检查，实时采集被监测范围内的各类信息系统的信息资产的相关配置，然后再通过将设备及系统的实时安全配置与安全基线库中的安全基线进行比对，进而发现和定位系统或设备存在的安全缺陷和风险。

但是，由于大多数信息系统的信息资产数量庞大且安全基线种类繁多，所以通过现有的这种方式发现的安全缺陷和风险数量庞大、种类繁多且没有针对性，这些将会耗费大量资源，而且如果对数量较多的信息都进行预警工作，那么预警工作的意义就不大了。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种主机系统安全预警方法、装置、设备及存储介质，以解决现有的主机安全预警不准确且没有针对性的问题。

基于上述目的，本说明书一个或多个实施例提供了一种主机系统安全预警方法，包括：

采集主机系统的多个事项的属性数据；

对于所述多个事项的属性数据中每个事项的属性数据，执行下列操作：

将该事项的属性数据与预先构建的原生数据库中该事项的原生属性数据进行对比，以得到该事项的属性数据的变化值；

响应于确定该事项的属性数据的变化值超过预设的该事项的属性数据变化阈值，将该事项的属性数据作为异常属性数据；

通过预先构建的安全分析模型对所述异常属性数据进行安全分析，得到安全分析结果，并在所述安全分析结果指示不安全时进行预警。

可选的，还包括：

在对所述主机系统进行初次安装部署时，采集所述主机系统的多个事项的属性数据，构建原生数据库；将所述原生数据库输入预先构建的阈值规则模型，得到所述原生数据库中每个事项的属性数据变化阈值。

可选的，所述采集主机系统的多个事项的属性数据，包括下列中至少一种：

从系统注册表中获取所述多个事项的属性数据；

从系统配置文件中获取所述多个事项的属性数据。

可选的，还包括：

构建包括若干第一样本的第一样本集；其中，所述第一样本包括：第一样本数据和第一标签数据；所述第一样本数据包括训练用原生数据库；所述第一标签数据包括所述训练用原生数据库对应的每个事项的属性数据变化阈值。

根据所述第一样本集，通过预定的机器学习算法，构建并训练得到所述阈值规则模型。

可选的，还包括：