[发明专利]一种安全检测方法和装置

权利要求书

1.一种安全检测方法，其特征在于，所述方法包括：

根据标记日志中异常行为对应的异常标识，确定所述标记日志对应终端的异常行为；其中，所述异常标识为根据预置规则库对源日志中的异常行为进行标记得到；

依据所述标记日志对应终端的异常行为，确定所述终端的安全参数值；

依据所述安全参数值，确定所述终端的安全检测结果。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

将源日志中记录的行为与所述预置规则库中记录的预置攻击行为进行匹配；

将所述源日志中记录的与所述预置攻击行为匹配成功的行为确定为异常行为；

对所述源日志中的异常行为进行标记，得到标记日志。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

根据攻击手段在攻击阶段所对应的攻击行为，建立预置规则库。

4.如权利要求3所述的方法，其特征在于，所述攻击手段包括：木马攻击、蠕虫攻击和手动入侵中的至少一种；所述攻击阶段包括：渗透进入、窃取信息和清理现场中的至少一种；所述攻击行为包括：创建进程、修改路径和卸载文件中的至少一种。

5.如权利要求1至4中任一所述的方法，其特征在于，所述依据所述标记日志对应终端的异常行为，确定所述终端的安全参数值，包括：

确定所述标记日志对应终端的异常行为对应的安全因子参数值；

根据所述安全因子参数值，确定所述终端的安全参数值。

6.如权利要求1至4中任一所述的方法，其特征在于，所述根据标记日志中异常行为对应的异常标识，确定所述标记日志对应终端的异常行为，包括：

查找所述标记日志中的异常标识；

将所述异常标识对应的行为，作为所述标记日志对应终端的异常行为。

7.如权利要求1至4中任一所述的方法，其特征在于，所述方法还包括：

将待检测终端对应的标记日志输入安全参数模型；

根据所述安全参数模型，得到所述待检测终端对应的安全参数值；其中，所述安全参数模型为依据所述标记日志及其对应的安全参数值训练得到。

8.一种安全检测装置，其特征在于，所述装置包括：

第一确定模块，用于根据标记日志中异常行为对应的异常标识，确定所述标记日志对应终端的异常行为；其中，所述异常标识为根据预置规则库对源日志中的异常行为进行标记得到；

第二确定模块，用于依据所述标记日志对应终端的异常行为，确定所述终端的安全参数值；

第三确定模块，用于依据所述安全参数值，确定所述终端的安全检测结果。

9.如权利要求8所述的装置，其特征在于，所述装置还包括：

匹配模块，用于将源日志中记录的行为与所述预置规则库中记录的预置攻击行为进行匹配；

第四确定模块，用于将所述源日志中记录的与所述预置攻击行为匹配成功的行为确定为异常行为；

标记模块，用于对所述源日志中的异常行为进行标记，得到标记日志。

10.如权利要求8所述的装置，其特征在于，所述装置还包括：

规则库建立模块，用于根据攻击手段在攻击阶段所对应的攻击行为，建立预置规则库。

11.如权利要求10所述的装置，其特征在于，所述攻击手段包括：木马攻击、蠕虫攻击和手动入侵中的至少一种；所述攻击阶段包括：渗透进入、窃取信息和清理现场中的至少一种；所述攻击行为包括：创建进程、修改路径和卸载文件中的至少一种。

12.如权利要求8至11中任一所述的装置，其特征在于，所述第二确定模块，包括：

第一确定子模块，用于确定所述标记日志对应终端的异常行为对应的安全因子参数值；

第二确定子模块，用于根据所述安全因子参数值，确定所述终端的安全参数值。

13.如权利要求8至11中任一所述的装置，其特征在于，所述第一确定模块，包括：

查找子模块，用于查找所述标记日志中的异常标识；

行为确定子模块，用于将所述异常标识对应的行为，作为所述标记日志对应终端的异常行为。

14.如权利要求8至11中任一所述的装置，其特征在于，所述装置还包括：

输入模块，用于将待检测终端对应的标记日志输入安全参数模型；

输出模块，用于根据所述安全参数模型，得到所述待检测终端对应的安全参数值；其中，所述安全参数模型为依据所述标记日志及其对应的安全参数值训练得到。