本申請實施例公開了一種安全威脅事件的識別方法、裝置及設備，用于提高安全威脅事件的識別準確率。其中方法包括：獲取原始事件集包括的至少一個原始事件中每個原始事件的描述信息，原始事件的描述信息包括原始事件對應實體的標識以及其他描述信息；從原始事件集中選擇一個或多個原始事件，針對選擇出的原始事件執(zhí)行以下處理：根據選擇出的原始事件對應實體的標識獲取選擇出的原始事件對應的實體的描述信息；對選擇出的原始事件的描述信息和選擇出的原始事件對應的實體的描述信息進行關聯(lián)分析，從而得到選擇出的原始事件是否為安全威脅事件的識別結果，安全威脅事件為對網絡和/或系統(tǒng)的安全構成威脅的事件。

技術領域

本申請涉及計算機領域，特別是涉及一種安全威脅事件識別方法、裝置及設備。

背景技術

為了保證網絡或系統(tǒng)的安全，現有網絡中往往會采用多種威脅檢測工具(這些工具是獨立的硬件設備，或者是運行于通用計算機平臺上的軟件程序)，例如入侵檢測系統(tǒng)(intrusion detection system，IDS)、基于主機型入侵檢測系統(tǒng)(host-based intrusiondetection system，HIDS)、漏洞掃描(scanner)工具、沙箱(sandbox)、蜜罐(honeypot)或蜜網(honeynet)等。這些威脅檢測工具能夠輸出大量與安全有關的事件。

為了從大量的與安全有關的事件中識別出真正與攻擊或威脅相關的事件，達到只把真正與攻擊或威脅相關的事件上報用戶，避免把大量原始事件提交用戶處理，傳統(tǒng)技術采用以下手段提高事件檢測準確率、縮減無效告警。例如，傳統(tǒng)技術對上述威脅檢測技術產生的多種可能會產生安全隱患的異常事件(例如病毒事件、漏洞事件等)進行關聯(lián)分析，以確定異常事件的準確性，如果經過關聯(lián)分析，該異常事件是準確的，那么就將該異常事件作為真正與安全或威脅相關的事件進行上報。但是，這種傳統(tǒng)技術只能確定該異常事件本身是否誤報，難以判斷該異常事件是否真正對網絡或系統(tǒng)產生威脅，所以上述關聯(lián)分析后的誤報率仍然較高。

發(fā)明內容

本申請實施例提供了一種安全威脅事件的識別方法、裝置及設備，以提高安全威脅事件的識別準確率。

第一方面，本申請實施例提供了一種安全威脅事件的識別方法，可選的，該方法由安全設備或該方法中的實體執(zhí)行。所述方法包括如下步驟：獲取原始事件集包括的至少一個原始事件中每個原始事件的描述信息，所述原始事件是由至少一個威脅檢測工具輸出的，所述原始事件的描述信息包括所述原始事件對應實體的標識以及其他描述信息，所述其他描述信息包括以下其中一項或多項：所述原始事件的名稱、所述原始事件的類型、所述原始事件的詳細情況、所述原始事件的檢測依據和所述原始事件的檢測來源，其中，所述原始事件的類型包括網絡異常事件、系統(tǒng)異常事件和行為事件中的一種或多種。從所述原始事件集中選擇一個或多個原始事件，針對選擇出的原始事件執(zhí)行以下處理：根據所述選擇出的原始事件對應實體的標識獲取所述選擇出的原始事件對應的實體的描述信息，其中，所述實體的描述信息包括以下其中一項或多項：所述實體的屬性信息、所述實體的訪問權限信息和所述實體的訪問行為信息，所述實體的屬性信息用于描述實體的特征，所述實體的訪問權限信息用于描述所述實體訪問或被訪問的權限，所述實體的訪問行為信息用于描述所述實體的訪問行為特點；對所述選擇出的原始事件的描述信息和所述選擇出的原始事件對應的實體的描述信息進行關聯(lián)分析，從而得到所述選擇出的原始事件是否為安全威脅事件的識別結果，所述安全威脅事件為對網絡和/或系統(tǒng)的安全構成威脅的事件。由于實體的描述信息代表原始事件的場景，所以將原始事件的描述信息和實體的描述信息進行關聯(lián)分析，即在考慮了所處場景的情況下判定該原始事件是否屬于安全威脅事件的識別結果，相對于傳統(tǒng)僅憑原始事件本身識別安全威脅事件的方案，提高了安全威脅事件的識別準確率。

可選的，確定安全威脅事件不僅僅只執(zhí)行一次關聯(lián)分析的動作，而是執(zhí)行多次。在首次關聯(lián)分析得到分析結果之后，將該分析結果繼續(xù)與其他原始事件的描述信息進行關聯(lián)分析，或者，將該分析結果與其他實體的描述信息或者實體的其他描述信息進行關聯(lián)分析，或者將上述關聯(lián)分析方法進行疊加。以此類推，直到識別出安全威脅事件，以提高安全威脅事件的識別準確率。