本技術(shù)涉及網(wǎng)絡(luò)安全，具體而言，涉及一種網(wǎng)絡(luò)安全異常事件的檢測(cè)方法及裝置、電子設(shè)備。

背景技術(shù)：

1、網(wǎng)絡(luò)安全異常事件是指因用戶操作失誤、病毒程序或黑客攻擊導(dǎo)致的系統(tǒng)運(yùn)行異?；蚬收希粌H會(huì)影響到系統(tǒng)的正常運(yùn)行，也會(huì)造成用戶信息的泄露，甚至數(shù)據(jù)的丟失，對(duì)用戶造成經(jīng)濟(jì)損失，檢測(cè)網(wǎng)絡(luò)安全異常事件以及準(zhǔn)確的判斷事件的嚴(yán)重程度是網(wǎng)絡(luò)安全領(lǐng)域中的關(guān)鍵問(wèn)題。

2、現(xiàn)有技術(shù)中主要通過(guò)檢測(cè)特定事件的特征和異常行為來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)安全異常事件，例如，通過(guò)檢測(cè)黑客入侵的特征或者病毒的特征來(lái)發(fā)現(xiàn)黑客入侵事件或者病毒事件，但是，現(xiàn)有技術(shù)中的檢測(cè)方法存在檢測(cè)方法單一、檢測(cè)不準(zhǔn)確、檢測(cè)效率低等問(wèn)題，在處理遞進(jìn)事件關(guān)聯(lián)時(shí)面臨著顯著的局限性：一方面，基于狀態(tài)機(jī)的關(guān)聯(lián)分析方法雖然能夠?qū)崿F(xiàn)規(guī)則的有序匹配，但其在中間過(guò)程無(wú)法完成階段性結(jié)果輸出，資源占用方面也存在不足，無(wú)法滿足高頻率、大流量數(shù)據(jù)處理情況下的準(zhǔn)確度需求和效率需求；另一方面，時(shí)間窗口固定的技術(shù)方案雖能簡(jiǎn)化規(guī)則匹配流程，但在事件實(shí)時(shí)性上做出犧牲，導(dǎo)致安全響應(yīng)的延遲和誤判。

3、針對(duì)上述的問(wèn)題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)實(shí)施例提供了一種網(wǎng)絡(luò)安全異常事件的檢測(cè)方法及裝置、電子設(shè)備，以至少解決現(xiàn)有技術(shù)在處理遞進(jìn)關(guān)聯(lián)的復(fù)雜網(wǎng)絡(luò)安全事件時(shí)容易出現(xiàn)響應(yīng)延遲，導(dǎo)致網(wǎng)安告警不及時(shí)的技術(shù)問(wèn)題。

2、根據(jù)本技術(shù)實(shí)施例的一個(gè)方面，提供了一種網(wǎng)絡(luò)安全異常事件的檢測(cè)方法，包括：在目標(biāo)系統(tǒng)的實(shí)時(shí)運(yùn)行過(guò)程中連續(xù)采集系統(tǒng)數(shù)據(jù)流，并將所述系統(tǒng)數(shù)據(jù)流輸入至規(guī)則匹配引擎，其中，所述規(guī)則匹配引擎中預(yù)置的多個(gè)規(guī)則中包括n條預(yù)設(shè)關(guān)聯(lián)規(guī)則，n為正整數(shù)；在所述規(guī)則匹配引擎為所述系統(tǒng)數(shù)據(jù)流匹配到第一目標(biāo)關(guān)聯(lián)規(guī)則的情況下，生成所述第一目標(biāo)關(guān)聯(lián)規(guī)則對(duì)應(yīng)的網(wǎng)絡(luò)安全異常事件以及事件標(biāo)志，其中，所述事件標(biāo)志至少用于表征異常事件的有效期；在所述規(guī)則匹配引擎匹配到與所述第一目標(biāo)關(guān)聯(lián)規(guī)則具有邏輯遞進(jìn)關(guān)系的第二目標(biāo)關(guān)聯(lián)規(guī)則的情況下，查詢系統(tǒng)緩存中的所述事件標(biāo)志；確認(rèn)所述事件標(biāo)志處于有效期內(nèi)的情況下，對(duì)已生成的所述網(wǎng)絡(luò)安全異常事件進(jìn)行升級(jí)，并基于升級(jí)后的所述網(wǎng)絡(luò)安全異常事件更新事件標(biāo)志。

3、可選地，所述規(guī)則匹配引擎接收到所述系統(tǒng)數(shù)據(jù)流之后，執(zhí)行如下步驟：按照時(shí)序順序和數(shù)據(jù)時(shí)間戳對(duì)接收到的所述系統(tǒng)數(shù)據(jù)流進(jìn)行排序，得到待分析數(shù)據(jù)流；逐一調(diào)用由n個(gè)所述預(yù)設(shè)關(guān)聯(lián)規(guī)則形成的至少一個(gè)遞進(jìn)規(guī)則組，使用所述遞進(jìn)規(guī)則組中的預(yù)設(shè)關(guān)聯(lián)規(guī)則的關(guān)聯(lián)子規(guī)則對(duì)所述待分析數(shù)據(jù)流進(jìn)行匹配，其中，同一個(gè)所述遞進(jìn)規(guī)則組對(duì)應(yīng)的多個(gè)所述關(guān)聯(lián)子規(guī)則之間具有時(shí)序遞進(jìn)關(guān)系；在所述待分析數(shù)據(jù)流按所述時(shí)序遞進(jìn)關(guān)系命中t條關(guān)聯(lián)子規(guī)則的情況下，確定所述t條關(guān)聯(lián)子規(guī)則所屬的所述預(yù)設(shè)關(guān)聯(lián)規(guī)則為所述第一目標(biāo)關(guān)聯(lián)規(guī)則，其中，t為正整數(shù)。

4、可選地，在將所述系統(tǒng)數(shù)據(jù)流輸入至規(guī)則匹配引擎之前，還包括：分析所述規(guī)則匹配引擎中預(yù)置的n條所述預(yù)設(shè)關(guān)聯(lián)規(guī)則，得到m個(gè)遞進(jìn)規(guī)則組，其中，m為小于等于n的正整數(shù)；分析每個(gè)所述遞進(jìn)規(guī)則組中的所有預(yù)設(shè)關(guān)聯(lián)規(guī)則，確定每個(gè)所述遞進(jìn)規(guī)則組對(duì)應(yīng)的r條關(guān)聯(lián)子規(guī)則，其中，r為正整數(shù)。

5、可選地，生成所述第一目標(biāo)關(guān)聯(lián)規(guī)則對(duì)應(yīng)的網(wǎng)絡(luò)安全異常事件，包括：基于所述第一目標(biāo)關(guān)聯(lián)規(guī)則和命中所述第一目標(biāo)關(guān)聯(lián)規(guī)則的系統(tǒng)數(shù)據(jù)，確定所述網(wǎng)絡(luò)安全異常事件的細(xì)節(jié)數(shù)據(jù)，其中，所述細(xì)節(jié)數(shù)據(jù)包括：觸發(fā)所述關(guān)聯(lián)子規(guī)則的具體數(shù)據(jù)、觸發(fā)事件，以及該觸發(fā)事件的事件類別、事件級(jí)別；基于所述細(xì)節(jié)數(shù)據(jù)創(chuàng)建所述網(wǎng)絡(luò)安全異常事件的事件記錄，并將所述事件記錄存儲(chǔ)至所述目標(biāo)系統(tǒng)的系統(tǒng)內(nèi)存數(shù)據(jù)庫(kù)。

6、可選地，在將所述事件記錄存儲(chǔ)至所述目標(biāo)系統(tǒng)的系統(tǒng)內(nèi)存數(shù)據(jù)庫(kù)之后，生成事件標(biāo)志包括：基于所述第一目標(biāo)關(guān)聯(lián)規(guī)則確定所述網(wǎng)絡(luò)安全異常事件的有效期，并基于所述有效期創(chuàng)建所述事件標(biāo)志，其中，所述事件標(biāo)志至少包括生成時(shí)間戳、所述有效期以及所述網(wǎng)絡(luò)安全異常事件在所述系統(tǒng)內(nèi)存數(shù)據(jù)庫(kù)中的數(shù)據(jù)索引；將所述事件標(biāo)志存儲(chǔ)在所述目標(biāo)系統(tǒng)的系統(tǒng)緩存中。

7、可選地，所述規(guī)則匹配引擎為所述系統(tǒng)數(shù)據(jù)流匹配到第一目標(biāo)關(guān)聯(lián)規(guī)則之后執(zhí)行的步驟，還包括：在所述待分析數(shù)據(jù)流命中所述遞進(jìn)規(guī)則組中t條關(guān)聯(lián)子規(guī)則之后，在預(yù)設(shè)時(shí)間窗口內(nèi)按所述時(shí)序遞進(jìn)關(guān)系繼續(xù)對(duì)所述待分析數(shù)據(jù)流與該遞進(jìn)規(guī)則組中剩余的所述關(guān)聯(lián)子規(guī)則進(jìn)行匹配；在所述待分析數(shù)據(jù)流匹配到新增關(guān)聯(lián)子規(guī)則的情況下，基于已命中的t條關(guān)聯(lián)子規(guī)則和所述新增關(guān)聯(lián)子規(guī)則確定所述第二目標(biāo)關(guān)聯(lián)規(guī)則；或者，在超過(guò)所述預(yù)設(shè)時(shí)間窗口且未匹配到任何新增關(guān)聯(lián)子規(guī)則的情況下，停止當(dāng)前匹配流程中的所述遞進(jìn)規(guī)則組與所述待分析數(shù)據(jù)流的匹配操作，并刪除所述系統(tǒng)緩存中的所述事件標(biāo)志。

8、可選地，對(duì)已生成的所述網(wǎng)絡(luò)安全異常事件進(jìn)行升級(jí)，并基于升級(jí)后的所述網(wǎng)絡(luò)安全異常事件更新事件標(biāo)志，包括：基于所述第二目標(biāo)關(guān)聯(lián)規(guī)則和命中所述第二目標(biāo)關(guān)聯(lián)規(guī)則的系統(tǒng)數(shù)據(jù)確定所述網(wǎng)絡(luò)安全異常事件的升級(jí)補(bǔ)充數(shù)據(jù)，其中，所述升級(jí)補(bǔ)充數(shù)據(jù)包括：觸發(fā)所述新增關(guān)聯(lián)子規(guī)則的具體數(shù)據(jù)、觸發(fā)事件以及該觸發(fā)事件的事件類別、事件級(jí)別；在系統(tǒng)內(nèi)存數(shù)據(jù)庫(kù)中查找所述網(wǎng)絡(luò)安全異常事件的事件記錄，并使用所述升級(jí)補(bǔ)充數(shù)據(jù)對(duì)該事件記錄進(jìn)行補(bǔ)充，得到升級(jí)后的所述網(wǎng)絡(luò)安全異常事件；基于所述第二目標(biāo)關(guān)聯(lián)規(guī)則確定升級(jí)后的所述網(wǎng)絡(luò)安全異常事件的更新有效期，并基于所述更新有效期創(chuàng)建更新事件標(biāo)志，其中，所述更新事件標(biāo)志至少包括：更新時(shí)間戳、所述更新有效期以及升級(jí)后的所述網(wǎng)絡(luò)安全異常事件在所述系統(tǒng)內(nèi)存數(shù)據(jù)庫(kù)中的數(shù)據(jù)索引；使用所述更新事件標(biāo)志替換所述目標(biāo)系統(tǒng)的系統(tǒng)緩存中的所述事件標(biāo)志。

9、根據(jù)本技術(shù)實(shí)施例的另一方面，還提供了一種網(wǎng)絡(luò)安全異常事件的檢測(cè)裝置，包括：輸入模塊，用于在目標(biāo)系統(tǒng)的實(shí)時(shí)運(yùn)行過(guò)程中連續(xù)采集系統(tǒng)數(shù)據(jù)流，并將所述系統(tǒng)數(shù)據(jù)流輸入至規(guī)則匹配引擎，其中，所述規(guī)則匹配引擎中預(yù)置的多個(gè)規(guī)則中包括n條預(yù)設(shè)關(guān)聯(lián)規(guī)則，n為正整數(shù)；生成模塊，用于在所述規(guī)則匹配引擎為所述系統(tǒng)數(shù)據(jù)流匹配到第一目標(biāo)關(guān)聯(lián)規(guī)則的情況下，生成所述第一目標(biāo)關(guān)聯(lián)規(guī)則對(duì)應(yīng)的網(wǎng)絡(luò)安全異常事件以及事件標(biāo)志，其中，所述事件標(biāo)志至少用于表征異常事件的有效期；查詢模塊，用于在所述規(guī)則匹配引擎匹配到與所述第一目標(biāo)關(guān)聯(lián)規(guī)則具有邏輯遞進(jìn)關(guān)系的第二目標(biāo)關(guān)聯(lián)規(guī)則的情況下，查詢系統(tǒng)緩存中的所述事件標(biāo)志；升級(jí)模塊，用于確認(rèn)所述事件標(biāo)志處于有效期內(nèi)的情況下，對(duì)已生成的所述網(wǎng)絡(luò)安全異常事件進(jìn)行升級(jí)，并基于升級(jí)后的所述網(wǎng)絡(luò)安全異常事件更新事件標(biāo)志。

10、根據(jù)本技術(shù)實(shí)施例的另一方面，還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)包括存儲(chǔ)的計(jì)算機(jī)程序，其中，在所述計(jì)算機(jī)程序運(yùn)行時(shí)控制所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)所在設(shè)備執(zhí)行上述任意一項(xiàng)所述的網(wǎng)絡(luò)安全異常事件的檢測(cè)方法。

11、根據(jù)本技術(shù)實(shí)施例的另一方面，還提供了一種電子設(shè)備，包括一個(gè)或多個(gè)處理器和存儲(chǔ)器，所述存儲(chǔ)器用于存儲(chǔ)一個(gè)或多個(gè)程序，其中，當(dāng)所述一個(gè)或多個(gè)程序被所述一個(gè)或多個(gè)處理器執(zhí)行時(shí)，使得所述一個(gè)或多個(gè)處理器實(shí)現(xiàn)上述任意一項(xiàng)所述的網(wǎng)絡(luò)安全異常事件的檢測(cè)方法。

12、在本技術(shù)中，采取實(shí)時(shí)監(jiān)控與智能匹配的方式，先在目標(biāo)系統(tǒng)的實(shí)時(shí)運(yùn)行過(guò)程中連續(xù)采集系統(tǒng)數(shù)據(jù)流，并將所述系統(tǒng)數(shù)據(jù)流輸入至預(yù)置了多條預(yù)設(shè)關(guān)聯(lián)規(guī)則的規(guī)則匹配引擎，然后，在所述規(guī)則匹配引擎檢測(cè)并按時(shí)間順序匹配到第一目標(biāo)關(guān)聯(lián)規(guī)則時(shí)，即時(shí)生成對(duì)應(yīng)的網(wǎng)絡(luò)安全異常事件及用于標(biāo)識(shí)事件的有效期的事件標(biāo)志，最后，在后續(xù)數(shù)據(jù)流匹配到與第一目標(biāo)關(guān)聯(lián)規(guī)則有邏輯遞進(jìn)關(guān)系的第二目標(biāo)關(guān)聯(lián)規(guī)則時(shí)，本技術(shù)會(huì)查詢系統(tǒng)緩存中的事件標(biāo)志，確認(rèn)其處于有效期內(nèi)后，對(duì)已生成的網(wǎng)絡(luò)安全異常事件進(jìn)行升級(jí)，并更新事件標(biāo)志。

13、由上述內(nèi)容可知，本技術(shù)通過(guò)實(shí)時(shí)采集數(shù)據(jù)流并智能匹配遞進(jìn)關(guān)聯(lián)規(guī)則，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全異常事件的即時(shí)檢測(cè)與動(dòng)態(tài)升級(jí)。在此基礎(chǔ)上，與現(xiàn)有技術(shù)相比，本技術(shù)通過(guò)事件標(biāo)志的有效期內(nèi)查詢與即時(shí)升級(jí)機(jī)制，可以顯著減少事件響應(yīng)時(shí)間，從而提升了網(wǎng)絡(luò)安全事件檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性，保證了安全事件的及時(shí)告警與處理。

14、由此可見(jiàn)，本技術(shù)的技術(shù)方式達(dá)到了對(duì)網(wǎng)絡(luò)安全威脅的即時(shí)識(shí)別與智能升級(jí)的目的，從而實(shí)現(xiàn)了對(duì)遞進(jìn)關(guān)聯(lián)復(fù)雜事件的高效、準(zhǔn)確檢測(cè)與響應(yīng)效果，進(jìn)而解決了現(xiàn)有技術(shù)在處理遞進(jìn)關(guān)聯(lián)的復(fù)雜網(wǎng)絡(luò)安全事件時(shí)容易出現(xiàn)響應(yīng)延遲，導(dǎo)致網(wǎng)安告警不及時(shí)的技術(shù)問(wèn)題。不僅能夠快速捕捉到安全威脅的微小征兆，還能隨著威脅態(tài)勢(shì)的變化自動(dòng)調(diào)整告警級(jí)別，極大地增強(qiáng)了網(wǎng)絡(luò)安全防御體系的靈活性和效能。