[发明专利]恶意事件的检测方法、装置、计算机设备以及存储介质

权利要求书

1.一种恶意事件的检测方法，其特征在于，所述方法包括：

基于静态情报信息以及动态行为信息，确定知识信息，所述静态情报信息包括多个威胁情报信息，所述动态行为信息包括攻击行为的至少一个特征行为信息；

根据所述知识信息对安全告警进行检测，以确定所述安全告警信息中存在的恶意事件。

2.根据权利要求1所述的方法，其特征在于，所述根据所述知识信息对安全告警进行检测，包括：

获取所述静态情报信息对应的第一权重，以及获取所述动态行为信息对应的第二权重；

基于所述第一权重、所述第二权重、以及所述知识信息，对所述安全告警信息进行检测。

3.根据权利要求2所述的方法，其特征在于，所述获取所述静态情报信息对应的第一权重包括：

获取所述静态情报信息对应的置信度，其中，所述置信度表征所述威胁情报信息的可信程度；

根据所述置信度确定每条所述知识信息中所述静态情报信息对应的所述第一权重。

4.根据权利要求2所述的方法，其特征在于，所述获取所述动态行为信息对应的第二权重，包括：

获取所述动态行为信息对应的变化度，所述变化度为所述动态行为信息对应的所述攻击行为在不同攻击过程中的差异；

基于所述变化度确定每条所述知识信息中所述动态行为信息对应的所述第二权重。

5.根据权利要求2所述的方法，其特征在于，所述基于所述第一权重、所述第二权重、以及所述知识信息，对所述安全告警信息进行检测，包括：

获取所述安全告警信息与每条所述知识信息中的所述静态情报信息之间的第一匹配度，以及所述安全告警信息与每条所述知识信息中的所述动态行为信息之间的第二匹配度；

基于所述第一匹配度、所述第一权重、所述第二匹配度以及所述第二权重，确定所述安全告警信息与每条所述知识信息之间的匹配度，得到匹配结果。

6.根据权利要求1所述的方法，其特征在于，每条所述知识信息对应的数据结构为序列、树或图。

7.根据权利要求1-6任一项所述的方法，其特征在于，在所述基于静态情报信息以及动态行为信息，确定多条知识信息之前，所述方法还包括：

从服务器获取公开的动态攻击信息以及所述静态情报信息；

基于自然语言处理技术，对所述动态攻击信息进行处理，得到所述动态行为信息。

8.一种恶意事件的检测装置，其特征在于，所述装置包括：

信息确定模块，用于基于静态情报信息以及动态行为信息，确定知识信息，所述静态情报信息包括多个威胁情报信息，所述动态行为信息包括攻击行为的至少一个特征行为信息；

事件确定模块，用于根据所述知识信息对安全告警进行检测，以确定所述安全告警信息中存在的恶意事件。

9.一种计算机设备，其特征在于，包括：

一个或多个处理器；

存储器；

一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行如权利要求1-7任一项所述的方法。

10.一种计算机可读取存储介质，其特征在于，所述计算机可读取存储介质中存储有程序代码，所述程序代码可被处理器调用执行如权利要求1-7任一项所述的方法。