[发明专利]一种入侵事件的检测方法及装置

说明书

本申请提供一种入侵事件的检测方法及装置，该入侵事件的检测方法包括：在服务器中读取数据实体；检测服务器中是否存在与数据实体相对应的实体标签；当服务器中存在实体标签时，根据预设的事件活动规则判断数据实体是否属于现有进程树；当数据实体属于现有进程树时，将数据实体添加到现有进程树中，得到更新进程树；并将实体标签传递到现有进程树的标签树中，得到更新标签树；根据预设评分规则和更新标签树对更新进程树进行安全评分，得到安全分数；当安全分数大于预设的入侵分数阈值时，根据数据实体和实体标签确定入侵事件，并生成入侵事件信息。可见，实施这种实施方式，能够提高入侵事件的检测效率和检测准确度。

技术领域

本申请涉及数据安全领域，具体而言，涉及一种入侵事件的检测方法及装置。

背景技术

现有的互联网主机集群在进行安全防护时，会生成大量的安全日志，以便于安全管理人员根据该些安全日志确定是否出现入侵事件。然而，在实践中发现，随着安全日志数量的增加，安全管理员越来越难快速有效地分析出入侵事件，从而导致了入侵事件的检测效率和准确度都有所降低。

发明内容

本申请实施例的目的在于提供一种入侵事件的检测方法及装置，能够提高入侵事件的检测效率和检测准确度。

本申请实施例第一方面提供了一种入侵事件的检测方法，包括：

在服务器中读取数据实体；

检测所述服务器中是否存在与所述数据实体相对应的实体标签；

当所述服务器中存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树；

根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数；

当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体和所述实体标签确定入侵事件，并生成入侵事件信息。

在上述实现过程中，服务器会优先接收主机日志和告警信息，该方法则可以在服务器中根据主机日志和告警信息读取出诸如进程、文件、用户、ip地址等数据实体，并判断是否具有相应的实体标签；当存在实体标签时，进一步判断数据实体是否属于现有进程树，并在数据实体属于现有进程树时添加数据实体和实体标签到现有进程树和对应的标签树，从而使得该方法可以通过更新后标签树对更新后的进程树进行快速地安全分析，从而得到安全分析得分，并根据该安全分析得分判断该数据实体是否对应于一个入侵事件；如果是，则生成入侵事件信息并发出相应通知。可见，实施这种实施方式，能够基于进程树中的数据实体更新实现实时入侵更新与分析的效果，从而能够避免数据统计延迟和重复计算的情况出现；同时，还能够基于进程树中的标签树实现快速分析的效果，从而提高入侵事件的检测效率和检测准确度。

进一步地，所述方法还包括：

当所述服务器中不存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；

根据预设评分规则对所述更新进程树进行安全评分，得到安全分数；并当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体确定入侵事件，并生成入侵事件信息。

进一步地，所述方法还包括：

当所述服务器中不存在所述实体标签，且所述数据实体不属于所述现有进程树时，滤除所述数据实体。

进一步地，所述方法还包括：

当所述数据实体不属于所述现有进程树时，生成一个新进程树和新标签树；