[发明专利]敏感文件的威胁事件处理方法、装置、设备和存储介质

权利要求书

1.一种敏感文件的威胁事件处理方法，其特征在于，包括：

获取敏感文件的行为日志，所述行为日志为包含当前时刻在内的预设时长内的行为日志，所述行为日志包含针对所述敏感文件的行为序列、所述行为序列中行为的操作系统以及所述敏感文件的出现次数，所述行为序列包含根据行为发生的时间顺序记录的行为特征；

根据所述操作系统和所述出现次数，确定所述敏感文件存在可能威胁事件的事件等级，所述事件等级包括计为事件和不计为事件，所述计为事件用于表征存在可能威胁事件；

若所述事件等级为计为事件，则根据所述行为序列确定所述敏感文件是否存在威胁事件；若所述事件等级为不计为事件，则确定所述敏感文件不存在威胁事件。

2.根据权利要求1所述的威胁事件处理方法，其特征在于，所述根据所述操作系统和所述出现次数，确定所述敏感文件存在可能威胁事件的事件等级，包括：

根据所述操作系统和所述出现次数，确定所述敏感文件存在可能威胁事件的事件等级系数；

根据所述事件等级系数，确定所述可能威胁事件的事件等级。

3.根据权利要求1所述的威胁事件处理方法，其特征在于，所述根据所述行为序列确定所述敏感文件是否存在威胁事件，包括：

将所述行为序列输入特征描绘检测模型，得到用于指示所述敏感文件是否存在威胁事件的检测结果，所述特征描绘检测模型用于判断行为序列是否与敏感文件的正常行为序列相同，若相同，则确定敏感文件不存在威胁事件；若不同，则确定敏感文件存在威胁事件。

4.根据权利要求3所述的威胁事件处理方法，其特征在于，所述操作系统的类别为多个，所述将所述行为序列输入特征描绘检测模型，得到用于指示所述敏感文件是否存在威胁事件的检测结果，包括：

根据所述类别对所述行为序列进行分类，得到不同类别分别对应的子行为序列；

针对所述不同类别中的每个类别，将所述类别对应的子行为序列输入适用于所述类别的特征描绘检测模型，得到所述类别下用于指示所述敏感文件是否存在威胁事件的检测结果。

5.根据权利要求4所述的威胁事件处理方法，其特征在于，所述获取敏感文件的行为日志之前，还包括：

获取多个主机的指纹信息，所述指纹信息包括操作系统；

根据所述多个主机的操作系统，对所述多个主机进行操作系统的类别聚类，得到不同类别操作系统的聚类结果；

针对所述不同类别操作系统中每一类别的操作系统，根据所述操作系统对应的主机的指纹信息，学习所述主机对应的敏感文件的行为日志，训练适用于所述类别的特征描绘检测模型。

6.根据权利要求4所述的威胁事件处理方法，其特征在于，所述计为事件包括多个威胁等级的可能威胁事件，所述根据所述行为序列确定所述敏感文件是否存在威胁事件，还包括：

按照威胁等级由高到低的顺序，根据所述行为序列确定所述敏感文件是否存在威胁事件。

7.根据权利要求1至6中任一项所述的威胁事件处理方法，其特征在于，还包括：

若确定所述敏感文件存在威胁事件，则根据预设策略下发策略脚本，所述策略脚本包括阻断模式脚本或监督模式脚本，所述阻断模式脚本用于针对所述敏感文件产生威胁事件告警并阻断威胁事件，所述监督模式脚本仅用于针对所述敏感文件产生威胁事件告警。

8.一种敏感文件的威胁事件处理装置，其特征在于，包括：

获取模块，用于获取敏感文件的行为日志，所述行为日志为包含当前时刻在内的预设时长内的行为日志，所述行为日志包含针对所述敏感文件的行为序列、所述行为序列中行为的操作系统以及所述敏感文件的出现次数，所述行为序列包含根据行为发生的时间顺序记录的行为特征；

第一确定模块，用于根据所述操作系统和所述出现次数，确定所述敏感文件存在可能威胁事件的事件等级，所述事件等级包括计为事件和不计为事件，所述计为事件用于表征存在可能威胁事件；

第二确定模块，用于若所述事件等级为计为事件，则根据所述行为序列确定所述敏感文件是否存在威胁事件；若所述事件等级为不计为事件，则确定所述敏感文件不存在威胁事件。