【技术实现步骤摘要】
一种可自定义威胁检测规则的检测方法、装置及存储介质
本专利技术涉及网络安全
,尤其涉及一种可自定义威胁检测规则的检测方法、装置及存储介质。
技术介绍
目前,信息安全设备需要处理的数据量越来越大,包括:服务器、路由器、移动设备、物联网设备等产生的数据,而及时分析并处理大量数据将非常耗时。同时,一般信息安全设备在威胁管控方面都存在一个缺陷,即无法及时检出未知威胁和内部威胁。而信息安全设备总是存在一定滞后性,各种恶意活动层出不穷,攻击者总能找到逃避传统安全检测设备的方法。同时,随着待处理数据量的增加,使用人工分析的方法不能及时有效的发现威胁并进行处置操作。而且,目前的网络威胁规则是固定不可更改的,针对不同的企业或者场景,其可能面临的威胁种类和行为规则不同,这将导致威胁识别变得不可靠,无法及时识别威胁并处置。
技术实现思路
有鉴于此,本专利技术实施例提供一种可自定义威胁检测规则的检测方法、装置及存储介质,允许用户根据特定的场景和需求定制威胁检测规则,甚至是异常处置规则,克服了传统威胁检测和处...
【技术保护点】
1.一种可自定义威胁检测规则的检测方法,其特征在于,包括:/n基于图形控件定制威胁检测规则,包括:新增、修改或删除;/n存储定制成功的威胁检测规则;/n基于威胁检测规则检测事件数据并判断是否存在异常。/n
【技术特征摘要】 【专利技术属性】
1.一种可自定义威胁检测规则的检测方法,其特征在于,包括:
基于图形控件定制威胁检测规则,包括:新增、修改或删除;
存储定制成功的威胁检测规则;
基于威胁检测规则检测事件数据并判断是否存在异常。
2.如权利要求1所述的方法,其特征在于,所述威胁检测规则,包括:威胁检测规则名称、至少一个威胁类型、至少一条异常行为标准和威胁检测规则生成时间点。
3.如权利要求1所述的方法,其特征在于,还包括:基于图形控件定制异常处置规则,至少包括:至少一条异常处置行为、生成异常过滤器;
当所述基于威胁检测规则检测事件数据并判定存在异常后,利用所述异常处置规则对异常进行后续处置操作;
其中,所述异常处置行为包括:将异常添加到监视列表、删除异常、为异常程度打分。
4.如权利要求3所述的方法,其特征在于,所述异常处置规则可单独启用、禁用、修改或者删除。
5.如权利要求3所述的方法,其特征在于,还包括:设定异常处置规则应用的范围,包括:未来的异常,或者未来的和现有的异常。
6.如权利要求3所述的方法,其特征在于,还包括:设定异常处置规则中各异常处置行为的执行顺序。
7.如权利要求3所述的方法,其特征在于,所述为异常程度打分,具体为:若判定存在异常,则基于检测结果为异常程度打分,若超过设定阈值,则输出显示特定异常指示符;
其中,所述阈值基于情境因素动态可变,所述情境因素包括:事件数据量、用户配置和检测到的异常数据量。
8.一种可自定义威胁检测规则的检测装置,其特征在于,所述装置根据需要部署在网络的不同位置,包括:
检测规则定制模块,用于基于图形控件定制威胁检测规则,包括:新增、修改或删除;
检测规则存储模块,用于存储定制成功的威胁检测规则;
异常判定模块,用于基于威胁检测规则检测事件数据并判断是否存在异常。
技术研发人员:王亮,丁雪梅,王小丰,肖新光,
申请(专利权)人:哈尔滨安天科技集团股份有限公司,
类型:发明
国别省市:黑龙;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。