一种入侵事件的检测方法及装置与流程

本申请涉及数据安全领域，具体而言，涉及一种入侵事件的检测方法及装置。

背景技术

现有的互联网主机集群在进行安全防护时，会生成大量的安全日志，以便于安全管理人员根据该些安全日志确定是否出现入侵事件。然而，在实践中发现，随着安全日志数量的增加，安全管理员越来越难快速有效地分析出入侵事件，从而导致了入侵事件的检测效率和准确度都有所降低。

技术实现要素：

本申请实施例的目的在于提供一种入侵事件的检测方法及装置，能够提高入侵事件的检测效率和检测准确度。

本申请实施例第一方面提供了一种入侵事件的检测方法，包括：

在服务器中读取数据实体；

检测所述服务器中是否存在与所述数据实体相对应的实体标签；

当所述服务器中存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树；

根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数；

当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体和所述实体标签确定入侵事件，并生成入侵事件信息。

在上述实现过程中，服务器会优先接收主机日志和告警信息，该方法则可以在服务器中根据主机日志和告警信息读取出诸如进程、文件、用户、ip地址等数据实体，并判断是否具有相应的实体标签；当存在实体标签时，进一步判断数据实体是否属于现有进程树，并在数据实体属于现有进程树时添加数据实体和实体标签到现有进程树和对应的标签树，从而使得该方法可以通过更新后标签树对更新后的进程树进行快速地安全分析，从而得到安全分析得分，并根据该安全分析得分判断该数据实体是否对应于一个入侵事件；如果是，则生成入侵事件信息并发出相应通知。可见，实施这种实施方式，能够基于进程树中的数据实体更新实现实时入侵更新与分析的效果，从而能够避免数据统计延迟和重复计算的情况出现；同时，还能够基于进程树中的标签树实现快速分析的效果，从而提高入侵事件的检测效率和检测准确度。

进一步地，所述方法还包括：

当所述服务器中不存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；

根据预设评分规则对所述更新进程树进行安全评分，得到安全分数；并当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体确定入侵事件，并生成入侵事件信息。

进一步地，所述方法还包括：

当所述服务器中不存在所述实体标签，且所述数据实体不属于所述现有进程树时，滤除所述数据实体。

进一步地，所述方法还包括：

当所述数据实体不属于所述现有进程树时，生成一个新进程树和新标签树；

将所述数据实体添加到所述新进程树，得到更新进程树；将所述实体标签传递到所述新标签树中，得到更新标签树；并触发执行所述根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数的步骤。

进一步地，所述当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树的步骤包括：

当所述数据实体属于所述现有进程树时，判断所述数据实体是否同时属于所述现有进程树中的多个子进程树；

当所述数据实体同时属于所述多个子进程树时，对所述多个子进程树进行合并，得到合并进程树；

获取所述多个子进程树的多个子标签树，并对所述多个子标签树进行合并，得到合并标签树；

将所述数据实体添加到所述合并进程树中，得到更新进程树；将所述实体标签传递到所述合并标签树中，得到更新标签树；并执行所述根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数的步骤。

本申请实施例第二方面提供了一种入侵事件的检测装置，所述入侵事件的检测装置包括：

读取单元，用于在服务器中读取数据实体；

检测单元，用于检测所述服务器中是否存在与所述数据实体相对应的实体标签；

判断单元，用于当所述服务器中存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

添加单元，用于当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；并将所述实体标签传递到所述现有进程树的标签树中，得到更新标签树；

评分单元，用于根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分，得到安全分数；

确定单元，用于当所述安全分数大于预设的入侵分数阈值时，根据所述数据实体和所述实体标签确定入侵事件，并生成入侵事件信息。

在上述实现过程中，该装置能够基于进程树中的数据实体更新实现实时入侵更新与分析的效果，从而能够避免数据统计延迟和重复计算的情况出现；同时，还能够基于进程树中的标签树实现快速分析的效果，从而提高入侵事件的检测效率和检测准确度。

进一步地，所述判断单元，还用于当所述服务器中不存在所述实体标签时，根据预设的事件活动规则判断所述数据实体是否属于现有进程树；

所述添加单元，还用于当所述数据实体属于所述现有进程树时，将所述数据实体添加到所述现有进程树中，得到更新进程树；

所述评分单元，还用于根据预设评分规则对所述更新进程树进行安全评分，得到安全分数。

进一步地，所述检测装置还包括：

滤除单元，用于当所述服务器中不存在所述实体标签，且所述数据实体不属于所述现有进程树时，滤除所述数据实体。

本申请实施例第三方面提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的入侵事件的检测方法。

本申请实施例第四方面提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例第一方面中任一项所述的入侵事件的检测方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种入侵事件的检测方法的流程示意图；

图2为本申请实施例提供的一种入侵事件的检测装置的结构示意图；

图3为本申请实施例提供的一种入侵事件的检测方法的举例示意图；

图4为本申请实施例提供的一种入侵事件的检测方法的举例示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参看图1，图1为本申请实施例提供了一种入侵事件的检测方法的流程示意图。其中，该入侵事件的检测方法包括：

S101、在服务器中读取数据实体。

本实施例中，数据实体包括进程、线程、文件、服务、用户、ip地址等等。

本实施例中，该方法在服务器中读取数据实体之前，服务器需要优先接收所有主机产生的主机日志和告警信息。其中，告警信息是通过现有的入侵检测方法（即基于签名的入侵检测和基于异常的入侵检测）获取到的。此后，服务器将主机日志和告警信息按照时间顺序分发出去，并触发本方法对主机日志和告警信息进行识别和数据、标签提取。

作为一种可选的实施方式，在服务器中读取数据实体的步骤包括：

在服务器中读取主机日志和告警信息，并根据主机日志和告警信息提取出数据实体和实体标签。

本实施例中，如果没有实体标签则认为提取失败或不提取。

S102、检测服务器中是否存在与数据实体相对应的实体标签，若是，则执行步骤S103；若否，则执行步骤S107。

本实施例中，实体标签包括应用类型、告警标签、属性标签（比如文件来自网络）等等。

本实施例中，该方法可以根据不同的需求，不断地扩充数据实体和实体标签。

S103、根据预设的事件活动规则判断数据实体是否属于现有进程树，若是，则执行步骤S104~S106；若否，则执行步骤S112~S113。

本实施例中，事件活动包括但不限于：

假设该数据实体是进程，其父进程存在于其中一个标签树中的情况，则添加进去；

假设该数据实体是文件，其中一个标签树中的进程拉起并执行了该文件，则添加进去；

假设该数据实体是外网IP，其中一个标签树中的进程外联了该IP，则添加进去。

本实施例中，上述事件活动构成了事件活动规则。

本实施例中，数据实体属于现有进程树中的一个，则将该数据实体添加到现有进程树的相应位置，并且将对应的实体标签传递到该现有进程树的标签树中。

S104、将数据实体添加到现有进程树中，得到更新进程树；并将实体标签传递到现有进程树的标签树中，得到更新标签树。

作为一种可选的实施方式，将数据实体添加到现有进程树中，得到更新进程树；并将实体标签传递到现有进程树的标签树中，得到更新标签树的步骤包括：

判断数据实体是否同时属于现有进程树中的多个子进程树；

当数据实体同时属于多个子进程树时，对多个子进程树进行合并，得到合并进程树；

获取多个子进程树的多个子标签树，并对多个子标签树进行合并，得到合并标签树；

将数据实体添加到合并进程树中，得到更新进程树；将实体标签传递到合并标签树中，得到更新标签树；并执行步骤S105。

本实施例中，如果数据实体属于现有进程树中的多个，则将多个相关进程树合并成一个；将这多个进程树的标签树进行合并、更新，然后将该实体的标签传递到合并进程树的标签树中。

S105、根据预设评分规则和更新标签树对更新进程树进行安全评分，得到安全分数。

本实施例中，该方法可以读取该进程树中的更新标签树，根据一定的评分规则对该进程树进行评分，当分数超过了一定阈值，认为该进程树存在入侵风险，并根据指定规则实时生成入侵事件信息。

S106、当安全分数大于预设的入侵分数阈值时，根据数据实体和实体标签确定入侵事件，并生成入侵事件信息，并结束本流程。

S107、根据预设的事件活动规则判断数据实体是否属于现有进程树，若是，则执行步骤S108~S110；若否，则执行步骤S111。

本实施例中，当获取到的数据实体不带有实体标签，那么该方法可以根据事件活动规则判断数据实体是否属于现有进程树。

举例来说，如果该日志是现有一个进程树的一个进程的子进程，那么就认为该数据实体属于现有进程树。

S108、将数据实体添加到现有进程树中，得到更新进程树。

S109、根据预设评分规则对更新进程树进行安全评分，得到安全分数。

S110、当安全分数大于预设的入侵分数阈值时，根据数据实体确定入侵事件，并生成入侵事件信息，并结束本流程。

S111、滤除数据实体，并结束本流程。

S112、生成一个新进程树和新标签树。

本实施例中，如果数据实体不属于现有进程树中的任意一个，则生成新的进程树；并实时生成一个标签树。

S113、将数据实体添加到新进程树，得到更新进程树；将实体标签传递到新标签树中，得到更新标签树；并触发执行步骤S105。

举例来说，当该方法接收到一条告警数据时，可以从中提取出实体进程A，标签为漏洞利用告警，父进程为ID45；此时分析上述实体进程A和漏洞利用告警标签，根据事件活动规则确认其父进程ID45在现有进程树中，此时认为该实体进程A应属于该现有进程，此时状态图如图3所示。在此之后，该方法可以将该实体进程A添加到该现有进程树中，然后将标签传递到标签树中，此时状态图如图4所示。此时，对进程树进行安全评分，如果评分过高，则认为存在入侵事件，实时生成入侵事件信息。

可见，实施这种实施方式，能够实时从告警和日志中提取实体和标签，并实时更新、生成、合并进程树，实时进行入侵事件打分，及时产生告警。并且每次的数据分析只是在最新的数据和标签树上，没有重复计算大部分数据，提高了效率，解决了事件生成的数据延迟问题，实现了实时分析入侵事件的功能。

本申请实施例中，该方法的执行主体可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。

在本申请实施例中，该方法的执行主体还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。

可见，实施本实施例所描述的入侵事件的检测方法，能够在服务器中根据主机日志和告警信息读取出诸如进程、文件、用户、ip地址等数据实体，并判断是否具有相应的实体标签；当存在实体标签时，进一步判断数据实体是否属于现有进程树，并在数据实体属于现有进程树时添加数据实体和实体标签到现有进程树和对应的标签树，从而使得该方法可以通过更新后标签树对更新后的进程树进行快速地安全分析，从而得到安全分析得分，并根据该安全分析得分判断该数据实体是否对应于一个入侵事件；如果是，则生成入侵事件信息并发出相应通知。可见，实施这种实施方式，能够基于进程树中的数据实体更新实现实时入侵更新与分析的效果，从而能够避免数据统计延迟和重复计算的情况出现；同时，还能够基于进程树中的标签树实现快速分析的效果，从而提高入侵事件的检测效率和检测准确度。

实施例2

请参看图2，图2为本申请实施例提供的一种入侵事件的检测装置的结构示意图。如图2所示，该入侵事件的检测装置包括：

读取单元210，用于在服务器中读取数据实体；

检测单元220，用于检测服务器中是否存在与数据实体相对应的实体标签；

判断单元230，用于当服务器中存在实体标签时，根据预设的事件活动规则判断数据实体是否属于现有进程树；

添加单元240，用于当数据实体属于现有进程树时，将数据实体添加到现有进程树中，得到更新进程树；并将实体标签传递到现有进程树的标签树中，得到更新标签树；

评分单元250，用于根据预设评分规则和更新标签树对更新进程树进行安全评分，得到安全分数；

确定单元260，用于当安全分数大于预设的入侵分数阈值时，根据数据实体和实体标签确定入侵事件，并生成入侵事件信息。

作为一种可选的实施方式，判断单元230，还用于当服务器中不存在实体标签时，根据预设的事件活动规则判断数据实体是否属于现有进程树；

添加单元240，还用于当数据实体属于现有进程树时，将数据实体添加到现有进程树中，得到更新进程树；

评分单元250，还用于根据预设评分规则对更新进程树进行安全评分，得到安全分数；

确定单元260，还用于当安全分数大于预设的入侵分数阈值时，根据数据实体确定入侵事件，并生成入侵事件信息。

作为一种可选的实施方式，检测装置还包括：

滤除单元270，用于当判断单元230判断出服务器中不存在实体标签，且数据实体不属于现有进程树时，滤除数据实体。

作为一种可选的实施方式，检测装置还包括：

生成单元280，用于当判断单元230判断出数据实体不属于现有进程树时，生成一个新进程树和新标签树；

添加单元240，还用于将数据实体添加到新进程树，得到更新进程树；将实体标签传递到新标签树中，得到更新标签树；并触发评分单元250执行根据预设评分规则和更新标签树对更新进程树进行安全评分，得到安全分数的操作。

作为一种可选的实施方式，添加单元240包括：

判断子单元241，用于当数据实体属于现有进程树时，判断数据实体是否同时属于现有进程树中的多个子进程树；

合并子单元242，用于当数据实体同时属于多个子进程树时，对多个子进程树进行合并，得到合并进程树；

合并子单元242，还用于获取多个子进程树的多个子标签树，并对多个子标签树进行合并，得到合并标签树；

添加子单元243，用于将数据实体添加到合并进程树中，得到更新进程树；将实体标签传递到合并标签树中，得到更新标签树；并触发评分单元250执行根据预设评分规则和更新标签树对更新进程树进行安全评分，得到安全分数的操作。

本申请实施例中，对于入侵事件的检测装置的解释说明可以参照实施例1中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的入侵事件的检测装置，能够基于进程树中的数据实体更新实现实时入侵更新与分析的效果，从而能够避免数据统计延迟和重复计算的情况出现；同时，还能够基于进程树中的标签树实现快速分析的效果，从而提高入侵事件的检测效率和检测准确度。

本申请实施例提供了一种电子设备，包括存储器以及处理器，存储器用于存储计算机程序，处理器运行计算机程序以使电子设备执行本申请实施例1中的入侵事件的检测方法。

本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，计算机程序指令被一处理器读取并运行时，执行本申请实施例1中的入侵事件的检测方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。