[发明专利]一种可自定义威胁检测规则的检测方法、装置及存储介质

说明书

本发明实施例公开了一种可自定义威胁检测规则的检测方法、装置及存储介质，涉及网络安全技术领域，能够有效识别已知和未知威胁。所述方法包括：基于图形控件定制威胁检测规则，包括：新增、修改或删除；存储定制成功的威胁检测规则；基于威胁检测规则检测事件数据并判断是否存在异常。本发明允许用户根据场景和设备属性定制威胁检测规则，进而提高威胁检出率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种可自定义威胁检测规则的检测方法、装置及存储介质。

背景技术

目前，信息安全设备需要处理的数据量越来越大，包括：服务器、路由器、移动设备、物联网设备等产生的数据，而及时分析并处理大量数据将非常耗时。

同时，一般信息安全设备在威胁管控方面都存在一个缺陷，即无法及时检出未知威胁和内部威胁。而信息安全设备总是存在一定滞后性，各种恶意活动层出不穷，攻击者总能找到逃避传统安全检测设备的方法。同时，随着待处理数据量的增加，使用人工分析的方法不能及时有效的发现威胁并进行处置操作。

而且，目前的网络威胁规则是固定不可更改的，针对不同的企业或者场景，其可能面临的威胁种类和行为规则不同，这将导致威胁识别变得不可靠，无法及时识别威胁并处置。

发明内容

有鉴于此，本发明实施例提供一种可自定义威胁检测规则的检测方法、装置及存储介质，允许用户根据特定的场景和需求定制威胁检测规则，甚至是异常处置规则，克服了传统威胁检测和处置预先定义后不可更改的问题。

第一方面，本发明实施例提供一种可自定义威胁检测规则的检测方法，包括：

基于图形控件定制威胁检测规则，包括：新增、修改或删除；

存储定制成功的威胁检测规则；

基于威胁检测规则检测事件数据并判断是否存在异常。

根据本发明实施例的一种具体实现方式，所述威胁检测规则，包括：威胁检测规则名称、至少一个威胁类型、至少一条异常行为标准和威胁检测规则生成时间点。

根据本发明实施例的一种具体实现方式，还包括：基于图形控件定制异常处置规则，至少包括：至少一条异常处置行为、生成异常过滤器；

当所述基于威胁检测规则检测事件数据并判定存在异常后，利用所述异常处置规则对异常进行后续处置操作；

其中，所述异常处置行为包括：将异常添加到监视列表、删除异常、为异常程度打分。

根据本发明实施例的一种具体实现方式，所述异常处置规则可单独启用、禁用、修改或者删除。

根据本发明实施例的一种具体实现方式，还包括：设定异常处置规则应用的范围，包括：未来的异常，或者未来的和现有的异常。

根据本发明实施例的一种具体实现方式，还包括：设定异常处置规则中各异常处置行为的执行顺序。

根据本发明实施例的一种具体实现方式，所述为异常程度打分，具体为：若判定存在异常，则基于检测结果为异常程度打分，若超过设定阈值，则输出显示特定异常指示符；

其中，所述阈值基于情境因素动态可变，所述情境因素包括：事件数据量、用户配置和检测到的异常数据量。

第二方面，本发明实施例提供一种可自定义威胁检测规则的检测装置，所述装置根据需要部署在网络的不同位置，包括：

检测规则定制模块，用于基于图形控件定制威胁检测规则，包括：新增、修改或删除；

检测规则存储模块，用于存储定制成功的威胁检测规则；

异常判定模块，用于基于威胁检测规则检测事件数据并判断是否存在异常。