[发明专利]一种基于威胁行为的实时检测方法与系统

权利要求书

1.一种基于威胁行为的实时检测方法，其特征在于，包括：

根据威胁事件的发生场景选取多个应用语义，所述多个应用语义对应至少一个日志事件，所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个；

根据所述威胁事件的分析策略，将所述多个应用语义进行排序组合，得到用于分析所述威胁事件的语义规则模板；其中，通过预定义规则和/或页面自定义规则的方式得到用于分析所述威胁事件的语义规则模板；

所述语义规则模板对应有语义规则对象树，根据所述语义规则对象树建立用于日志分析的有向无环图，所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点；

将待分析的日志输入到所述有向无环图中，以通过所述有向无环图从所述待分析的日志中检查出所述威胁事件对应的目标行为特征日志；其中，在所述待分析的日志进入所述分析节点前，先流经所述有向无环图中的水印标记节点，进行日志数据标记，以确保有向无环图不对重复的待分析的日志进行筛选。

2.根据权利要求1所述的方法，其特征在于，所述根据所述语义规则对象树建立用于日志分析的有向无环图之前，还包括：

根据所述语义规则模板生成所述语义规则对象树；所述语义规则对象树中包含与所述语义规则模板中的多个所述应用语义的排序相对应的多个节点。

3.根据权利要求2所述的方法，其特征在于，所述根据所述语义规则模板生成语义规则对象树之后，还包括：

将所述语义规则对象树转换为语义规则配置文件，并将所述语义规则配置文件保存在规则库中。

4.根据权利要求2所述的方法，其特征在于，所述根据语义规则模板构建用于日志分析的有向无环图，包括：

根据所述语义规则对象树构建所述有向无环图。

5.根据权利要求3所述的方法，其特征在于，所述根据语义规则模板构建用于日志分析的有向无环图，包括：

将所述规则库中的所述语义规则配置文件解析成所述语义规则对象树；

根据所述语义规则对象树构建所述有向无环图。

6.根据权利要求1所述的方法，其特征在于，所述将待分析的日志输入到所述有向无环图中，以通过所述有向无环图从所述待分析的日志中检查出所属威胁事件对应的目标行为特征日志的步骤包括：

将所述待分析日志输入到所述有向无环图中的第一个节点，以使所述待分析日志从所述有向无环图中的第一个节点向所述有向无环图中的最后一个节点流动，并从所述有向无环图中的最后一个节点输出所述目标行为特征日志；其中，所述有向无环图中的各个分析节点分别根据其对应的所述应用语义对所述待分析日志进行筛选检查。

7.根据权利要求4所述的方法，其特征在于，所述分析节点包括并行节点和串行节点；其中，所述语义规则模板中的一个应用语义对应一个串行节点或多个并行节点；所述串行节点用于将前一个节点输出的待分析日志数据作为输入数据；所述并行节点用于对待分析日志数据进行分流处理。

8.根据权利要求2所述的方法，其特征在于，当目标威胁事件发生变更时，还包括：

根据变更后的所述目标威胁事件对多个应用语义进行重新排序组合，以更新所述语义规则模板；

根据更新后的所述语义规则模板更新所述规则库中的所述语义规则对象树；

根据更新后的所述语义规则对象树更新有向无环图。

9.根据权利要求3所述的方法，其特征在于，当目标威胁事件发生变更时，还包括：

根据变更后的所述目标威胁事件，更新所述规则库中的所述语义规则配置文件；

根据更新后的所述语义规则配置文件更新所述语义规则对象树；

根据更新后的所述语义规则对象树更新有向无环图。

10.一种基于威胁行为的实时检测系统，其特征在于，包括：规则添加模块、规则构建模块和分析模块；

所述规则添加模块用于根据威胁事件的发生场景选取多个应用语义，所述多个应用语义对应至少一个日志事件，所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个；

所述规则添加模块还用于根据所述威胁事件的分析策略，将所述多个应用语义进行排序组合，得到用于分析所述威胁事件的语义规则模板；其中，所述规则添加模块通过预定义规则和/或页面自定义规则的方式得到用于分析所述威胁事件的语义规则模板；

所述语义规则模板对应有语义规则对象树，所述规则构建模块用于根据所述语义规则对象树构建用于日志分析的有向无环图，所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点；

所述分析模块用于将待分析的日志输入到所述有向无环图中，以通过所述有向无环图从所述待分析的日志中筛选除所述威胁事件对应的目标行为特征日志；其中，在所述待分析的日志进入所述分析节点前，先流经所述有向无环图中的水印标记节点，进行日志数据标记，以确保有向无环图不对重复的所述待分析的日志进行筛选。