[发明专利]一种检测方法、设备及计算机存储介质

说明书

本申请实施例公开了一种检测方法、设备及计算机存储介质，所述方法包括：获得每个目标设备的至少两个安全事件；获得针对所述目标设备的各个安全事件的属性信息，所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段；基于各个安全事件的属性信息，生成针对所述目标设备的事件序列；基于所述事件序列和获得的匹配模型，确定所述目标设备的被攻击属性信息，所述被攻击属性信息至少表征为所述目标设备的被攻击类别。

技术领域

本申请涉及检测技术，具体涉及一种关于网络安全事件的检测方法和设备、计算机存储介质。

背景技术

相关技术中可通过检测设备识别出攻击设备如黑客主机对被攻击设备如网络主机或服务器的攻击而产生的网络安全事件(网络攻击事件)。就检测设备而言，其通常认为攻击设备对被攻击设备产生的各个网络安全事件是相互独立的，并基于相互独立的各个网络安全事件进行被攻击设备的被攻击风险的评估。一方面，这种基于各个网络安全事件进行风险评估的方式，可靠性欠佳。另一方面，将各个网络安全事件视为独立的事件，不利于网络安全维护人员对安全事件的追溯，进而可能无法准确地定位到攻击源，使得网络安全维护更为困难。

发明内容

为解决现有存在的技术问题，本申请实施例提供一种检测方法、设备及计算机存储介质，至少能够解决相关技术中的风险评估方式可靠性欠佳、以及无法准确地定位到攻击源的技术问题。

本申请实施例的技术方案是这样实现的：

本申请实施例提供一种检测方法，所述方法包括：

获得每个目标设备的至少两个安全事件；

获得针对所述目标设备的各个安全事件的属性信息，所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段；

基于各个安全事件的属性信息，生成针对所述目标设备的事件序列；

基于所述事件序列和获得的匹配模型，确定所述目标设备的被攻击属性信息，所述被攻击属性信息至少表征为所述目标设备的被攻击类别。

上述方案中，在获得针对所述目标设备的各个安全事件的属性信息的情况下，所述方法还包括：

获得所述各个安全事件的多个标签属性；

相应的，所述基于各个安全事件的属性信息，生成针对所述目标设备的事件序列，包括：

基于安全事件的所述属性信息和所述多个标签属性，计算各个安全事件的风险参数；

依据各个安全事件的风险参数，确定各个安全事件的可疑级别；

依据各个安全事件的可疑级别，生成所述事件序列。

上述方案中，所述依据各个安全事件的可疑级别，生成所述事件序列，包括：

提取可疑级别为相同的多个安全事件；

针对所述多个安全事件中各个安全事件，按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列，得到所述事件序列；

相应的，所述基于所述事件序列和获得的匹配模型，确定所述目标设备的被攻击属性信息，包括：

判断所述事件序列与所述匹配模型中的第一模型是否匹配；

判断为匹配时，确定所述目标设备的被攻击类别为第一类别，所述第一类别用于指示提升所述目标设备的可疑级别。

上述方案中，所述第一模型至少记载有多个第一关联关系，第一关联关系表征为处于相同可疑级别的多个安全事件之间的关联性；

相应的，所述判断所述事件序列与所述匹配模型中的第一模型是否匹配，包括：