[发明专利]一种基于聚合信息确定威胁事件的方法及装置

权利要求书

1.一种基于聚合信息确定威胁事件的方法，其特征在于，包括：

接收聚合告警信息的触发事件；其中，所述触发事件包括设备收到告警信息的条数大于预设阈值；

通过告警信息的预设指标对告警信息进行聚合；

通过聚合后的告警信息确定与告警信息相关的威胁事件；

其中，所述通过告警信息的预设指标对告警信息进行聚合，包括：

获取具备相同安全外壳协议的告警信息；

获取具备相同安全外壳协议的告警信息所对应的临时内存信息；

具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对，并确定具有相同临时内存的告警信息之间存在关联关系；

将存在关联关系的告警信息进行聚合。

2.如权利要求1所述的方法，其特征在于，还包括：

获取告警信息的以下至少一条预设指标：

所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。

3.如权利要求1或2所述的方法，其特征在于，所述通过告警信息的预设指标对告警信息进行聚合，包括：

获取威胁情报中记录的各个告警信息的基础信息；

确定具有至少一项相同基础信息的告警信息之间存在关联关系，其中，所述基础信息包括以下至少一项信息：

告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织；

将存在关联关系的告警信息进行聚合。

4.如权利要求1或2所述的方法，其特征在于，所述通过告警信息的预设指标对告警信息进行聚合，包括：

获取告警信息对应的木马文件中的MD5值；

通过对各告警信息对应的木马文件中的MD5值进行匹配以确定由同一木马文件引起的告警信息；

将由同一木马文件引起的告警信息进行聚合。

5.如权利要求1或2所述的方法，其特征在于，所述通过告警信息的预设指标对告警信息进行聚合，包括：

获取每条告警信息对应的进程；

对每条告警信息对应的进程进行至少一次回溯操作，以确定每条告警信息对应的进程所指向的父进程；

将指向同一父进程的进程所对应的告警信息进行聚合。

6.一种基于聚合信息确定威胁事件的装置，其特征在于，包括：

接收模块，用于接收聚合告警信息的触发事件；其中，所述触发事件包括设备收到告警信息的条数大于预设阈值；

聚合模块，用于通过告警信息的预设指标对告警信息进行聚合；

确定模块，用于通过聚合后的告警信息确定与告警信息相关的威胁事件；

其中，所述通过告警信息的预设指标对告警信息进行聚合，包括：

获取具备相同安全外壳协议的告警信息；

获取具备相同安全外壳协议的告警信息所对应的临时内存信息；

具备相同安全外壳协议的告警信息所对应的临时内存信息进行比对，并确定具有相同临时内存的告警信息之间存在关联关系；

将存在关联关系的告警信息进行聚合。

7.如权利要求6所述的装置，其特征在于，还包括：

获取模块，用于获取告警信息的以下至少一条预设指标：

所述告警信息的基础信息、所述告警信息的安全外壳协议、所述告警信息对应木马文件的MD5值以及告警信息对应进程的父进程。

8.如权利要求6或7所述的装置，其特征在于，所述聚合模块，包括：

第一获取子模块，用于获取威胁情报中记录的各个告警信息的基础信息；

第一确定子模块，用于确定具有至少一项相同基础信息的告警信息之间存在关联关系，其中，所述基础信息包括以下至少一项信息：

告警信息对应的告警名称、告警信息对应的病毒家族以及告警信息对应的黑客组织；

第一聚合子模块，用于将存在关联关系的告警信息进行聚合。