【技术实现步骤摘要】
多维度的安全威胁事件分析方法、装置、设备及存储介质
本专利技术属于计算机
,具体涉及多维度的安全威胁事件分析方法、装置、设备及存储介质。
技术介绍
现有技术在对安全威胁进行告警处理时,通常采用的是基于固定规则探测的威胁方式,以及不经过多维度分析直接告警的方式。图1为现有技术中基于单一病毒库进行规制匹配的实时监控告警技术示意图。但图1中的告警信息仅仅展示可疑的文件名称与文件路径,没有对安全事件的其他线索进行展开分析,告警信息单一,导致安全威胁检出的准确率较低;此外,图1中的处理告警的方式仅包括两种(将信任的文件加入白名单以及将不信任文件在隔离沙箱中进行运行),但对于某些不能够在隔离沙箱中运行的文件,则无法对其威胁的性质进行判定,威胁事件分析渠道单一,误判率较高,从而进一步降低安全威胁检出的准确率。
技术实现思路
为了解决上述技术问题,本专利技术提出一种多维度的安全威胁事件分析方法、装置、设备及存储介质。一方面,本专利技术提出了一种多维度的安全威胁事件分析方法,所述方法包括:
【技术保护点】
1.一种多维度的安全威胁事件分析方法,其特征在于,所述方法包括:/n确定目标安全威胁事件,所述目标安全威胁事件与监测到的安全威胁事件的事件线索相关;/n生成所述目标安全威胁事件的多个目标分析任务;/n获取所述多个目标分析任务各自对应的预设安全事件分析模块;所述预设安全事件分析模块由多个安全分析性能进行组合得到;/n基于所述多个目标分析任务各自对应的预设安全事件分析模块,对相应的目标分析任务进行多维度的威胁分析,得到所述多个目标分析任务各自对应的威胁分析结果;/n基于所述多个目标分析任务各自对应的威胁分析结果,对所述目标安全威胁事件进行告警处理。/n
【技术特征摘要】
1.一种多维度的安全威胁事件分析方法,其特征在于,所述方法包括:
确定目标安全威胁事件,所述目标安全威胁事件与监测到的安全威胁事件的事件线索相关;
生成所述目标安全威胁事件的多个目标分析任务;
获取所述多个目标分析任务各自对应的预设安全事件分析模块;所述预设安全事件分析模块由多个安全分析性能进行组合得到;
基于所述多个目标分析任务各自对应的预设安全事件分析模块,对相应的目标分析任务进行多维度的威胁分析,得到所述多个目标分析任务各自对应的威胁分析结果;
基于所述多个目标分析任务各自对应的威胁分析结果,对所述目标安全威胁事件进行告警处理。
2.根据权利要求1所述的方法,其特征在于,所述确定目标安全威胁事件包括:
监测所述安全威胁事件的事件线索;
当所述事件线索出现异常时,将出现异常的事件线索对应的安全威胁事件作为所述目标安全威胁事件;
相应地,所述目标安全威胁事件对应的事件线索包括多个事件线索,则所述生成所述目标安全威胁事件的多个目标分析任务,包括:
对所述多个事件线索分别进行分析,得到所述多个事件线索各自对应的分析任务;
将所述多个事件线索各自对应的分析任务,作为所述目标安全威胁事件的多个目标分析任务。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括构建所述预设安全事件分析模块,所述构建所述预设安全事件分析模块包括:
获取多个安全分析性能;
确定所述多个安全分析性能之间的关联关系;
基于所述关联关系对所述多个安全分析性能进行组合,得到所述预设安全事件分析模块。
4.根据权利要求2所述的方法,其特征在于,所述基于所述多个目标分析任务各自对应的预设安全事件分析模块,对相应的目标分析任务进行多维度的威胁分析,得到所述多个目标分析任务各自对应的威胁分析结果,包括:
基于所述多个目标分析任务各自对应的预设安全事件分析模块,对相应的目标分析任务进行威胁定性分析,得到所述多个目标分析任务各自对应的威胁定性结果;
在所述多个目标分析任务各自对应的威胁定性结果与预设威胁信息不匹配时,确定所述多个目标分析任务各自对应的威胁分析结果为第一类型威胁。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:在所述多个目标分析任务各自对应的威胁定性结果与所述预设威胁信息相匹配时,获取所述多个目标分析任务各自对应的强相关样本,所述多个目标分析任务各自对应的强相关样本为与相应的事件线索的相关性大于预设阈值的样本;
在所述多个目标分析任务各自对应的强相关样本出现新变种时,确定所述多个目标分析任务各自对应的威胁分析结果为第二类型威胁;
在所述多个目标分析任务各自对应的强相关...
【专利技术属性】
技术研发人员:沈江波,彭宁,程虎,罗梦霞,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。