[发明专利]一种审计信息处理方法及电子设备

权利要求书

1.一种审计信息处理方法，包括：

获得调用系统调用函数的事件记录信息；

对所述事件记录信息基于预设的第一处理策略进行第一过滤处理，得到第一事件记录信息；

对所述第一事件记录信息进行漏洞分析处理，得到满足威胁条件的分析结果；

基于所述分析结果确定第二处理策略，包括基于所述分析结果确定所述第一事件记录信息中记录的目标进程，所述目标进程为初步判断为恶意程序控制执行的进程，确定所述目标进程的进程号及进程名称，基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略；

基于所述第二处理策略对所述事件记录信息进行第二过滤处理，得到第二事件记录信息。

2.根据权利要求1所述的方法，其中，还包括：

基于所述第二事件记录信息对所述满足威胁条件的分析结果进行分析处理，得到威胁事件信息。

3.根据权利要求1所述的方法，其中，还包括：

基于具有安全漏洞的历史事件记录信息确定产生安全漏洞行为的频率满足预设阈值的第一系统调用函数；

基于所述第一系统调用函数形成用于过滤所述事件记录信息的第一过滤条件。

4.根据权利要求3所述的方法，其中，所述对所述事件记录信息基于预设的第一处理策略进行第一过滤处理，得到第一事件记录信息，包括：

基于所述第一过滤条件对所述事件记录信息进行第一过滤处理，得到调用了所述第一系统调用函数的第一事件记录信息。

5.根据权利要求1所述的方法，其中，所述对所述第一事件记录信息进行漏洞分析处理，得到满足威胁条件的分析结果，包括：

将所述第一事件记录信息发送至云端服务器；

获得由所述云端服务器基于用于检测安全漏洞的审计规则对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果。

6.根据权利要求3所述的方法，其中，还包括：

对所述第一系统调用函数建立键值对；

所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略，包括：

基于所述目标进程的进程号及进程名称确定记录有所述目标进程的第一事件记录信息；

基于所述记录有目标进程的第一事件记录信息确定对应的所述第一系统调用函数；

至少匹配调整对应的所述第一系统调用函数的键值对数值，以形成所述第二处理策略。

7.根据权利要求6所述的方法，其中，所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略，还包括：

基于所述目标进程确定目标行为；

基于所述目标行为确定执行所述目标行为所需调用的第二系统调用函数；

基于第二系统调用函数以及第一系统调用函数形成所述第二处理策略。

8.根据权利要求1所述的方法，其中，所述基于所述第二处理策略对所述事件记录信息进行第二过滤处理，得到第二事件记录信息，包括：

基于所述第二处理策略对所述事件记录信息进行第二过滤处理，得到包含有能够辅助精确判断所述目标进程是否由恶意程序控制执行信息的第二事件记录信息。

9.一种电子设备，包括：

处理模块，其用于获得调用系统调用函数的事件记录信息，对所述事件记录信息基于预设的第一处理策略进行第一过滤处理，得到第一事件记录信息；获得对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果；基于所述分析结果确定第二处理策略；基于所述第二处理策略对所述事件记录信息进行第二过滤处理，得到第二事件记录信息；

其中，基于所述分析结果确定第二处理策略包括：基于所述分析结果确定所述第一事件记录信息中记录的目标进程，所述目标进程为初步判断为恶意程序控制执行的进程，确定所述目标进程的进程号及进程名称，基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略。