[发明专利]新出现实体的检测方法、装置、电子装置和存储介质

说明书

本申请涉及一种新出现实体的检测方法、装置、电子装置和存储介质，其中，该新出现实体的检测方法包括：获取从审计日志中提取到的目标字段信息；以第一时间段为统计周期，周期性的根据目标字段信息获取第一时间段内的多个实体并统计每一实体对应的统计特征；以第二时间段为检测周期，周期性的根据目标字段信息检测每一实体出现的时刻；第二时间段大于第一时间段；根据每一实体出现的时刻以及对应实体的统计特征，计算每一实体的新颖程度并排序。通过本申请，解决了无法确定多个实体的出现顺序的问题。

技术领域

本申请涉及信息安全领域，特别是涉及一种新出现实体的检测方法、装置、电子装置和存储介质。

背景技术

在信息安全场景中，实体常常作为被关注的对象，它可以是主机、端口、或者用户，也可以是请求或者服务。例如，探测敏感文件的攻击者在攻击之前会请求不存在的路径；被攻击的主机会在失陷前会与未访问过的其他主机建立连接关系。因此，通过对出现的实体进行分析，从而可以对物联网攻击事件进行溯源，还原出整个攻击事件的攻击过程。

在相关技术中，对实体的关注是只停留在实体是否出现过，当存在大量新出现实体时，无法确定多个新出现实体的先后顺序，导致实体的新颖程度这一重要的指标没有区分度。

目前针对相关技术中，无法确定多个实体的出现顺序的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种新出现实体的检测方法、装置、电子装置和存储介质，以至少解决相关技术中无法确定多个实体的出现顺序的问题。

第一方面，本申请实施例提供了一种新出现实体的检测方法，包括：

获取从审计日志中提取到的目标字段信息；

以第一时间段为统计周期，周期性的根据所述目标字段信息获取第一时间段内的多个实体并统计每一所述实体对应的统计特征；

以第二时间段为检测周期，周期性的根据所述目标字段信息检测每一所述实体出现的时刻；所述第二时间段大于所述第一时间段；

根据每一所述实体出现的时刻以及对应实体的统计特征，计算每一所述实体的新颖程度并排序。

在其中一些实施例中，所述目标字段信息包括目标字段以及所述目标字段对应的多个特征数值；每一特征数值对应一个实体；所述根据所述目标字段信息获取第一时间段内的多个实体并统计每一所述实体对应的统计特征包括：

根据特征数值获取多个实体，并统计每个特征数值出现的次数，将每个特征数值出现的次数作为每一实体对应的统计特征。

在其中一些实施例中，在所述以第二时间段为检测周期，周期性的根据所述目标字段信息检测每一所述实体出现的时刻之后，所述方法还包括：

根据所述实体出现的时刻生成统计表。

在其中一些实施例中，在所述根据所述实体出现的时刻生成统计表之后，所述方法还包括：

在每一所述检测周期结束之后，根据每一所述检测周期内出现的实体以及每一所述实体出现的最晚时刻更新所述统计表。

在其中一些实施例中，所述根据每一所述实体出现的时刻以及对应实体的统计特征，计算每一所述实体的新颖程度并排序包括：

根据每一所述实体出现的时刻以及预设时间间隔，确定当前新出现实体；

根据新出现实体的时刻以及对应新出现实体的统计特征，计算新出现实体的新颖程度并排序。

在其中一些实施例中，所述根据每一所述实体出现的时刻以及预设时间间隔，确定当前新出现实体包括：

若所述实体不在所述统计表中，则确定所述实体为当前新出现实体；