【技术实现步骤摘要】
一种检测方法、设备及计算机存储介质
本申请涉及检测技术,具体涉及一种关于网络安全事件的检测方法和设备、计算机存储介质。
技术介绍
相关技术中可通过检测设备识别出攻击设备如黑客主机对被攻击设备如网络主机或服务器的攻击而产生的网络安全事件(网络攻击事件)。就检测设备而言,其通常认为攻击设备对被攻击设备产生的各个网络安全事件是相互独立的,并基于相互独立的各个网络安全事件进行被攻击设备的被攻击风险的评估。一方面,这种基于各个网络安全事件进行风险评估的方式,可靠性欠佳。另一方面,将各个网络安全事件视为独立的事件,不利于网络安全维护人员对安全事件的追溯,进而可能无法准确地定位到攻击源,使得网络安全维护更为困难。
技术实现思路
为解决现有存在的技术问题,本申请实施例提供一种检测方法、设备及计算机存储介质,至少能够解决相关技术中的风险评估方式可靠性欠佳、以及无法准确地定位到攻击源的技术问题。本申请实施例的技术方案是这样实现的:本申请实施例提供一种检测方法,所述方法包括:获得每个目标设备的至少两个安全事件;...
【技术保护点】
1.一种检测方法,其特征在于,所述方法包括:/n获得每个目标设备的至少两个安全事件;/n获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;/n基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;/n基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。/n
【技术特征摘要】
1.一种检测方法,其特征在于,所述方法包括:
获得每个目标设备的至少两个安全事件;
获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
2.根据权利要求1所述的方法,其特征在于,在获得针对所述目标设备的各个安全事件的属性信息的情况下,所述方法还包括:
获得所述各个安全事件的多个标签属性;
相应的,所述基于各个安全事件的属性信息,生成针对所述目标设备的事件序列,包括:
基于安全事件的所述属性信息和所述多个标签属性,计算各个安全事件的风险参数;
依据各个安全事件的风险参数,确定各个安全事件的可疑级别;
依据各个安全事件的可疑级别,生成所述事件序列。
3.根据权利要求2所述的方法,其特征在于,所述依据各个安全事件的可疑级别,生成所述事件序列,包括:
提取可疑级别为相同的多个安全事件;
针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;
相应的,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,包括:
判断所述事件序列与所述匹配模型中的第一模型是否匹配;
判断为匹配时,确定所述目标设备的被攻击类别为第一类别,所述第一类别用于指示提升所述目标设备的可疑级别。
4.根据权利要求3所述的方法,其特征在于,所述第一模型至少记载有多个第一关联关系,第一关联关系表征为处于相同可疑级别的多个安全事件之间的关联性;
相应的,所述判断所述事件序列与所述匹配模型中的第一模型是否匹配,包括:
判断所述多个第一关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;
判断为存在时,确定为所述事件序列与所述第一模型匹配。
5.根据权利要求2所述的方法,其特征在于,所述依据各个安全事件的可疑级别,生成所述事件序列,包括:
提取可疑级别为至少部分不同的多个安全事件;
针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;
相应的,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的...
【专利技术属性】
技术研发人员:蒲大峰,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。