[发明专利]一种入侵事件的检测方法及装置

权利要求书

1.一种入侵事件的检测方法，其特征在于，包括：

在服务器中优先接收主机日志和告警信息，并在服务器中根据所述主机日志和所述告警信息读取数据实体；

检测所述服务器中是否存在与所述数据实体相对应的实体标签；

当所述服务器中存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树；

根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数；

当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体和所述实体标签确定入侵事件，并生成入侵事件信息。

2.根据权利要求1所述的入侵事件的检测方法，其特征在于，所述方法还包括：

当所述服务器中不存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；

根据预设评分规则对所述更新进程树进行安全评分，得到安全分数；

当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体确定入侵事件，并生成入侵事件信息。

3.根据权利要求2所述的入侵事件的检测方法，其特征在于，所述方法还包括：

当所述服务器中不存在所述实体标签，且所述数据实体不属于所述现有进程树时，滤除所述数据实体。

4.根据权利要求1所述的入侵事件的检测方法，其特征在于，所述方法还包括：

当所述数据实体不属于所述现有进程树时，生成一个新进程树和新标签树；

将所述数据实体添加到所述新进程树，得到更新进程树；将所述实体标签传递到所述新标签树中，得到更新标签树；并触发执行所述根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数的步骤。

5.根据权利要求1所述的入侵事件的检测方法，其特征在于，所述当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树的步骤包括：

当所述数据实体属于所述现有进程树时，判断所述数据实体是否同时属于所述现有进程树中的多个子进程树；

当所述数据实体同时属于所述多个子进程树时，对所述多个子进程树进行合并，得到合并进程树；

获取所述多个子进程树的多个子标签树，并对所述多个子标签树进行合并，得到合并标签树；

将所述数据实体添加到所述合并进程树中，得到更新进程树；将所述实体标签传递到所述合并标签树中，得到更新标签树；并执行所述根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数的步骤。

6.一种入侵事件的检测装置，其特征在于，所述入侵事件的检测装置包括：

读取单元，用于根据在服务器中优先接收到的主机日志和告警信息读取数据实体；

检测单元，用于检测所述服务器中是否存在与所述数据实体相对应的实体标签；

判断单元，用于当所述服务器中存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

添加单元，用于当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树；

评分单元，用于根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数；

确定单元，用于当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体和所述实体标签确定入侵事件，并生成入侵事件信息。