[发明专利]一种基于HOOK技术的安全事件状态分析方法

权利要求书

1.一种基于HOOK技术的安全事件状态分析方法,其特征在于，包括以下步骤：

步骤一：事件发生，对事件发生的现状进行记录，无论事件是已经结束发生或是处于发生中，均可进行记录；

步骤二：初步判断，根据事件发生现状判断其是否存在违规，此事件可为结束事件或是发生中事件，事件存在违规行为则执行步骤三，否则执行步骤四；

步骤三：事件预警，把事件提升为违规状态，并通过报警系统进行预判警，通过事件预警把初判发生中的事件的损失降到最低，达到快速处理事件的目的使得发生中事件处于可控范围内，并可对结束事件进行善后处理；

步骤四：分布处理，根据事件的现状进行进一步的分化，把事件分为已发生事件与正发生中事件，此步骤中无论是已发生事件还是正发生事件均进行到步骤五中；

步骤五：匹配类似事件，根据已发生事件或正发生的事件在HOOK记忆库中匹配类似已发生事件的事后处理结果以及正发生事件的结束结果，以发生事件匹配后进入步骤六中，正发生事件匹配后进入到步骤七中；

步骤六：已发生事件处理，根据HOOK记忆库中的类似事件，对已发生事件的处理结果进行确定，随后已发生事件可进入到步骤八中；

步骤七：再次判断，根据HOOK内部的类似事件，分析正发生事件的结果进行预判，判断正发生事件是否存在违规行为，如果是，则执行步骤三，则对正发生事件进行预警，否则进入到步骤八中；

步骤八：处理意见判断，根据HOOK记忆库对已发生事件以及正发生事件的预判以及处理意见，对已发生事件进行处理或正发生事件进行预判防护。

2.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法，其特征在于：所述步骤三中预警系统可对工作人员发出预警信号，同时预警系统与报警系统进行对接，并预警系统可对报警系统传输事件发生地点。

3.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法，其特征在于：所述步骤四中HOOK记忆库对正发生事件可持续跟进，HOOK记忆库根据不断完善的正发生事件，寻找类似度高的事件，去提供更佳的事件分析与处理意见。

4.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法，其特征在于：所述HOOK记忆库中具有新事件储存模块，可对未匹配到类似案件的已发生事件或正发生事件进行储存，并人工对新型的已发生事件或正发生事件进行分析，把分析过程及结果输入到HOOK记忆库中。

5.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法，其特征在于：所述步骤八中根据提供的意见正发生事件的意见多与以生发生事件的意见，其中按照正发生事件的最坏意见对正发生意见进行防护。