[发明专利]敏感文件的威胁事件处理方法、装置、设备和存储介质

说明书

本申请提供一种敏感文件的威胁事件处理方法、装置、设备和存储介质，涉及网络安全技术领域。获取敏感文件的行为日志，行为日志为包含当前时刻在内的预设时长内的行为日志，行为日志包含针对敏感文件的行为序列、行为序列的操作系统以及敏感文件的出现次数；根据操作系统和出现次数，确定敏感文件存在可能威胁事件的事件等级，事件等级包括计为事件和不计为事件，计为事件用于表征存在可能威胁事件；若事件等级为计为事件，则根据行为序列确定敏感文件是否存在威胁事件；若事件等级为不计为事件，则确定敏感文件不存在威胁事件，进而可以对造成敏感文件存在威胁事件的行为，如，威胁行为或异常行为，进行准确、快速高效的检测及防御。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种敏感文件的威胁事件处理方法、装置、设备和存储介质。

背景技术

随着互联网行业的蓬勃发展，网络已经成为人们快速获取信息的主要方式，但随之而来的网络安全问题也愈发严重，如，恶意软件可以通过网站或邮件链接等渠道安装在电脑上，导致电脑上的敏感文件发生异常行为。因此，如何检测敏感文件的异常行为并进行相应的防御成为当前的研究重点。

相关技术中，在对敏感文件进行异常行为(或威胁行为)检测时，通常是获取敏感文件的行为，然后在存储有异常行为的字典中匹配该行为，若能匹配到则表明该行为是异常行为，进而进行异常行为的防御。但该检测方式仅适用于检测已包含在字典中的异常行为，存在漏检问题。

发明内容

本申请提供一种敏感文件的威胁事件处理方法、装置、设备和存储介质，用以降低漏检的概率。

第一方面，本申请提供一种敏感文件的威胁事件处理方法，包括：

获取敏感文件的行为日志，行为日志为包含当前时刻在内的预设时长内的行为日志，行为日志包含针对敏感文件的行为序列、行为序列中行为的操作系统以及敏感文件的出现次数，行为序列包含根据行为发生的时间顺序记录的行为特征；

根据操作系统和出现次数，确定敏感文件存在可能威胁事件的事件等级，事件等级包括计为事件和不计为事件，计为事件用于表征存在可能威胁事件；

若事件等级为计为事件，则根据行为序列确定敏感文件是否存在威胁事件；若事件等级为不计为事件，则确定敏感文件不存在威胁事件。

一种可能的实施方式中，根据操作系统和出现次数，确定敏感文件存在可能威胁事件的事件等级，包括：根据操作系统和出现次数，确定敏感文件存在可能威胁事件的事件等级系数；根据事件等级系数，确定可能威胁事件的事件等级。

一种可能的实施方式中，根据行为序列确定敏感文件是否存在威胁事件，包括：将行为序列输入特征描绘检测模型，得到用于指示敏感文件是否存在威胁事件的检测结果，特征描绘检测模型用于判断行为序列是否与敏感文件的正常行为序列相同，若相同，则确定敏感文件不存在威胁事件；若不同，则确定敏感文件存在威胁事件。

一种可能的实施方式中，操作系统的类别为多个，将行为序列输入特征描绘检测模型，得到用于指示敏感文件是否存在威胁事件的检测结果，包括：

根据类别对行为序列进行分类，得到不同类别分别对应的子行为序列；

针对不同类别中的每个类别，将类别对应的子行为序列输入适用于类别的特征描绘检测模型，得到类别下用于指示敏感文件是否存在威胁事件的检测结果。

一种可能的实施方式中，获取敏感文件的行为日志之前，还包括：

获取多个主机的指纹信息，指纹信息包括操作系统；

根据多个主机的操作系统，对多个主机进行操作系统的类别聚类，得到不同类别操作系统的聚类结果；

针对不同类别操作系统中每一类别的操作系统，根据操作系统对应的主机的指纹信息，学习主机对应的敏感文件的行为日志，训练适用于类别的特征描绘检测模型。