【技术实现步骤摘要】
一种安全事件检测方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全领域,特别涉及一种安全事件检测方法、装置、设备及存储介质。
技术介绍
[0002]现有技术中的安全事件检测流程通常是网络安全设备或软件将监测到的流量数据或者攻击数据上报到数据监测平台,安全分析人员通过对数据进行分析来确认此次行为是否存在潜在的安全事件。在这个检测过程中网络安全设备或者软件对于是否存在攻击行为的判断一般依赖于对数据的内容进行分析来做出判断结果。但是这种针对数据内容进行分析来判断攻击行为的方式会忽略掉事件的发生时序因素的影响,这种忽略时序因素来进行攻击分析的监测会产生过多的攻击误报,甚至对于一些将一个完整的攻击拆解成多个小步骤的攻击行为无法检测出来。
[0003]例如,一个攻击行为其包含了4个步骤:第一步:发送邮件,第二步:请求网络连接,第三步:下载文件,第四部:执行文件。上述四个步骤如果单独发生,可能都是正常行为,或者发生的时间顺序不是攻击要求的行为仍然是正常行为。因此对于这类与时间顺序有关系的攻击检测,在现有的技术下都无法有...
【技术保护点】
【技术特征摘要】
1.一种安全事件检测方法,其特征在于,包括:获取当前目标安全事件对应的时序关系逻辑表达式,并根据所述时序关系逻辑表达式生成所述目标安全事件对应的逻辑表达式和时序关系组;将所述逻辑表达式进行转换生成布尔逻辑范式,并将所述布尔逻辑范式中的各个逻辑单元与所述时序关系组中对应的时序关系进行绑定;根据所述逻辑单元和所述逻辑单元绑定的时序关系生成所述目标安全事件对应的有向无环图,并根据所述有向无环图进行针对待检测数据的安全事件检测。2.根据权利要求1所述的安全事件检测方法,其特征在于,所述获取当前目标安全事件对应的时序关系逻辑表达式,包括:获取安全事件检测请求,根据所述安全事件检测请求确定当前待检测的目标安全事件;根据所述目标安全事件的发生条件,确定所述目标安全事件对应的逻辑运算符和时序函数,并根据所述逻辑运算符和所述时序函数生成对应的时序关系逻辑表达式。3.根据权利要求1所述的安全事件检测方法,其特征在于,所述根据所述有向无环图进行针对待检测数据的安全事件检测,包括:基于深度优先搜索算法遍历所述有向无环图中的节点,以判断待检测数据是否满足与所述有向无环图中当前遍历节点对应的时序关系逻辑表达式,并根据判断结果确定所述目标安全事件是否发生。4.根据权利要求3所述的安全事件检测方法,其特征在于,所述判断待检测数据是否满足与所述有向无环图中当前遍历节点对应的时序关系逻辑表达式,并根据判断结果确定所述目标安全事件是否发生,包括:判断所述待检测数据中是否存在当前遍历节点对应的第一行为数据;若存在,则根据所述第一行为数据对应的第一行为的发生时间确定所述目标安全事件是否发生。5.根据权利要求4所述的安全事件检测方法,其特征在于,所述根据所述第一行为数据对应的第一行为的发生时间确定所述目标安全事件是否发生,包括:判断所述当前遍历节点是否存在对应的入度节点;所述入度节点为所述当前遍历节点的入度对应边的起点节点;若存在,则确定所述第一行为数据对应的第一行为的第一发生时间,以及确定所述入度节点...
【专利技术属性】
技术研发人员:郝从顺,郑云超,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。