[发明专利]与安全事件和参与者分类模型相关联的安全威胁检测

权利要求书

1.一种确定安全威胁的方法，其包括：

存储与网络设备相关联的安全事件（501）；

存储包括以分级结构布置的多个层级的参与者分类模型（503），并且每个层级与用于所述模型的分类的子分类相关联；

使安全事件（505）与所述参与者分类模型相关；以及

由计算机系统基于所述相关来确定是否存在所述安全威胁（506）。

2.根据权利要求1所述的方法，其中，使安全事件与所述参与者分类模型相关包括：

识别用于每个安全事件的参与者；以及

识别与所述参与者相关联的模型中的层级。

3.根据权利要求2所述的方法，其中，基于所述相关来确定是否存在安全威胁包括：

确定用于所述所识别层级的安全规则；以及

通过应用所述安全规则来确定是否存在所述安全威胁。

4.根据权利要求3所述的方法，包括；

基于所述相关将所述安全事件中的两个或更多个聚合成聚合事件，其中，所述安全事件中的两个或更多个共同地满足所识别规则中的条件。

5.根据权利要求1所述的方法，其中，所述参与者分类模型包括用于用户的属性，并且所述方法包括使所述参与者分类模型中的用于用户的属性与用户模型中的用户属性匹配以确定所述参与者分类模型是否可适用于与所述用户相关联的安全事件。

6.根据权利要求5所述的方法，其中，所述参与者分类模型包括各层级之间的父子关系，并且子层级从其父层级那里继承规则。

7.根据权利要求6所述的方法，还包括；

修改所述参与者分类模型中的属性或父子关系；以及

存储所述已修改的参与者分类模型。

8.根据权利要求1所述的方法，还包括：

如果进行了存在网络安全威胁的确定，则通知预定用户。

9.根据权利要求1所述的方法，包括；

存储包括用于每个用户的唯一用户ID（UUID）和用于关联UUID下的每个用户的帐户的用户数据模型；

在所述用户数据模型中存储指示每个用户帐户与各UUID相关联的时间段的历史；以及

基于所述历史来使用户与所述安全事件中的安全事件相关联。

10.根据权利要求1所述的方法，包括：

存储多个参与者分类模型；

针对每个参与者分类模型，基于与所述安全事件和所述参与者分类模型相关联的属性来确定所述参与者分类模型是否与所述安全事件相关联；以及

针对被确定为将与所述安全事件相关联的每个参与者分类模型，使用所述关联参与者分类模型来识别用以确定所述安全威胁是否存在的规则。

11.一种威胁检测系统（110），其包括：

数据存储器（111），其用以存储与网络设备相关联的安全事件，以及参与者分类模型，其包括以分级结构布置的多个层级且每个层级与用于所述模型的分类的子分类相关联；以及

处理器（602），其用以使安全事件与所述参与者分类模型相关，并基于所述相关来确定是否存在安全威胁。

12.根据权利要求11所述的威胁检测系统，其中，所述处理器（602）识别用于每个安全事件的参与者，识别与所述参与者相关联的模型中的层级以使所述安全事件与所述参与者分类模型相关，确定用于所识别层级的安全规则，并通过应用所述安全规则来确定是否存在所述安全威胁。

13.根据权利要求11所述的威胁检测系统，其中，所述数据存储器（111）存储包括用于每个用户的唯一用户ID（UUID）和用于在所述关联UUID下的每个用户的帐户ID的用户数据模型，在所述用户数据模型中存储指示每个用户帐户与所述各UUID相关联的时间段的历史，并基于所述历史来使用户与所述安全事件中的安全事件相关联。