本申請涉及一種基于多源數據的安全事件分析方法、裝置、電子裝置和存儲介質，其中，該基于多源數據的安全事件分析方法包括：從計算機的多個數據源獲取數據源信息；從數據源信息中提取與安全事件相關的特征信息；使用提取到的特征信息在預先設定的安全事件模型中匹配安全事件；在從預先設定的安全事件模型中匹配到安全事件的情況下，根據提取到的特征信息中與安全事件對應的特征信息及特征信息的生成時間，確定安全事件的過程信息，并根據匹配到的所有安全事件的過程信息及安全事件的發生時間，確定攻擊過程信息。通過本申請，解決了相關技術中計算機的網絡安全性低的問題，實現了提高計算機的網絡安全性的技術效果。

技術領域

本申請涉及信息安全技術領域，特別是涉及基于多源數據的安全事件分析方法、裝置、電子裝置和存儲介質。

背景技術

網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統或者其中的數據造成危害的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。

隨著計算機技術以及網絡技術的飛速發展，人們對于網絡越來越依賴，網絡安全問題已日漸成為成為當今社會關注的熱點問題。在網絡日漸發達的今天，網絡安全事件愈演愈烈，網絡安全事件發生的頻率不斷加大，網絡攻擊也變得越來越頻繁。因此，研究網絡安全事件分析技術對于維護網絡安全具有很大的意義。只有精準識別安全事件的類型，分析其行為才能采取針對性的有效處置措施，制止安全事件的繼續發生。

相關技術中的網絡安全事件分析技術主要以日志文件分析為主，且一般通過單一數據源對安全事件的發生過程進行判斷，然而，在有限數據源的基礎上很難對全局情況下的安全事件發生過程進行分析與了解，難以推斷存在的安全薄弱環節與攻擊者的準確侵入點，因此計算機的網絡安全性較低。

目前針對相關技術中因通過單一數據源對安全事件的發生過程進行判斷導致的計算機的網絡安全性低的問題，尚未提出有效的解決方案。

發明內容

本申請實施例提供了一種基于多源數據的安全事件分析方法、裝置、電子裝置和存儲介質，以至少解決相關技術中因通過單一數據源對安全事件的發生過程進行判斷導致的計算機的網絡安全性低的問題。

第一方面，本申請實施例提供了一種基于多源數據的安全事件分析方法，包括：從計算機的多個數據源獲取數據源信息；從所述數據源信息中提取與安全事件相關的特征信息；使用提取到的特征信息在預先設定的安全事件模型中匹配安全事件，其中，所述預先設定的安全事件模型包括：預先設定的多種安全事件及分別與每種安全事件對應的特征信息；在從所述預先設定的安全事件模型中匹配到安全事件的情況下，根據提取到的特征信息中與安全事件對應的特征信息及特征信息的生成時間，確定安全事件的過程信息，并根據匹配到的所有安全事件的過程信息及安全事件的發生時間，確定攻擊過程信息。

在其中一些實施例中，從計算機的多個數據源獲取數據源信息包括：從所述計算機的操作系統提供的API接口中獲取多個數據源的數據源信息；和/或分別從所述計算機的多個數據源位置和/或注冊表的多個位置獲取對應每個數據源位置和/或注冊表的每個位置的數據源信息。

在其中一些實施例中，所述數據源信息包括以下至少之一：系統日志、應用程序日志、安全日志、網絡日志、硬件事件日志。

在其中一些實施例中，在所述數據源信息為系統日志的情況下，提取到的特征信息包括相同IP的遠程多次登錄信息；在所述數據源信息為應用程序日志的情況下，提取到的特征信息包括以下至少之一：應用程序訪問信息、應用程序打開記錄；在所述數據源信息為安全日志的情況下，提取到的特征信息包括以下至少之一：登錄IP地址、登錄時間、登錄用戶、登錄用戶群組；在所述數據源信息為網絡日志的情況下，提取到的特征信息包括以下至少之一：連接IP地址、本地端口、本地進程、文件路徑；在所述數據源信息為硬件事件日志的情況下，提取到的特征信息包括以下至少之一：硬件設備受損信息、硬件維修信息。