[发明专利]一种基于威胁行为的实时检测方法与系统

说明书

本申请实施例提供了一种基于威胁行为的实时检测方法与系统，应用于计算机安全管理技术领域。通过根据威胁事件的发生场景选取应用语义，按照威胁事件的分析策略，排序组合成语义规则模板或语义规则配置文件。再根据语义规则模板或语义规则配置文件生成语义规则对象树，语义规则对象树中包含了与语义规则模板中的应用语义对应的节点。最后根据语义规则对象树生成用于分步骤检查威胁事件对应的目标行为特征日志的有向无环图。在威胁事件发生变更时，也可以重新定义语义规则模板或语义规则配置文件进而生成新的语义规则对象树，更新有向无环图对变更后的威胁事件对应的目标行为特征日志进行实时检测，解决了静态网络分析威胁事件缺乏时效性的问题。

技术领域

本申请涉及计算机安全管理技术领域，尤其涉及一种基于威胁行为的实时检测方法与系统。

背景技术

随着云计算、大数据等新一代IT技术在各行业的深入应用，政企机构的IT规模和复杂程度不断提高，网络流量、日志等各类数据规模也随之提升。大量网络数据中夹杂着威胁数据，威胁政企网络的安全。因此需要对数据进行筛选以得到威胁事件的相关数据，并对威胁事件进行及时防护。

针对于网络安全防护，文件（CN108924084B）提到：相关技术主要分为“传统风险评估方法”和“现代风险评估方法”两类。传统风险评估方法包括故障树分析、故障模式影响与危害度分析、马尔科夫分析法。现代风险评估方法可以建立在目标风险分析系统的基础上对网络数据进行风险评估进而保护网络安全。但这两大类方法均是对数据进行静态评估，得出评估结果时网络设备可能已经受到安全威胁，缺乏时效性。因此需要一种动态网络威胁分析方法。

发明内容

本申请提供了一种基于威胁行为的实时检测方法与系统，以解决静态网络威胁分析方法缺乏时效性的问题。

第一方面，本申请实施例提供了一种基于威胁行为的实时检测方法，包括：

根据威胁事件的发生场景选取多个应用语义，所述多个应用语义对应至少一个日志事件，所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个；

根据所述威胁事件的分析策略，将所述多个应用语义进行排序组合，得到用于分析所述威胁事件的语义规则模板；

根据语义规则模板构建用于日志分析的有向无环图，所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点；

将待分析的日志输入到所述有向无环图中，以通过所述有向无环图从所述待分析的日志中筛选出所述威胁事件对应的目标行为特征日志。

第二方面，本申请实施例提供了一种基于威胁行为的实时检测系统，包括：规则添加模块、规则构建模块和分析模块；

所述规则添加模块用于根据威胁事件的发生场景选取多个应用语义，所述多个应用语义对应至少一个日志事件，所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个；

所述规则添加模块还用于根据所述威胁事件的分析策略，将所述多个应用语义进行排序组合，得到用于分析所述威胁事件的语义规则模板；

所述规则构建模块用于根据语义规则模板构建用于日志分析的有向无环图，所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点；

所述分析模块用于将待分析的日志输入到所述有向无环图中，以通过所述有向无环图从所述待分析的日志中检查出所述威胁事件对应的目标行为特征日志。