(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211167953.8 (22)申请日 2022.09.23 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园 ·玉泉慧谷1号楼地上 一层西侧、 二层(地上两侧) (72)发明人 陈伟胜　孙洪伟　肖新光　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 专利代理师 王文雅 (51)Int.Cl. H04L 41/069(2022.01) H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 基于复合事 件处理的威胁 检测方法及装置 (57)摘要 本发明提供了一种基于复合事件处理的威 胁检测方法及装置， 其中方法包括： 获取与至少 一种威胁程序对应的配置文件； 配置文件中包括 对应种类威胁程序的若干个行为事件类型、 行为 事件匹配规则和告警条件； 确定终端设备上发生 的任一待检测的行为事件； 根据每一配置文件中 的行为事件匹配规则对行为事件和该配置文件 中的各个行为事件类型进行匹配； 若命中与该行 为事件匹配的目标事件类型， 根据已命中的目标 事件类型判断当前是否满足该配置文件对应的 告警条件； 若满足， 则进行对应的威胁程序的告 警， 若不满足， 则将目标事件类型从对应的配置 文件中排除。 本方案， 能够提高威胁检测结果的 准确性。 权利要求书2页 说明书10页 附图2页 CN 115484151 A 2022.12.16 CN 115484151 A 1.一种基于复合事 件处理的威胁 检测方法， 其特 征在于， 包括： 获取与至少一种威胁程序对应的配置文件； 所述配置文件中包括对应种类威胁程序的 若干个行为事 件类型、 行为事 件匹配规则和告警条件； 确定终端设备 上发生的任一待检测的行为事 件； 根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行 为事件类型进行匹配； 若命中与该行为事件匹配的目标事件类型， 则根据已命中的目标事件类型判断当前是 否满足该配置文件对应的告警条件； 若满足， 则确定所述终端设备上存在该配置文件对应 的威胁程序， 并进 行对应的威胁程序的告警， 若不满足， 则将目标事件类型从对应的配置文 件中排除， 返回确定终端设备 上发生的任一待检测的行为事 件的步骤。 2.根据权利要求1所述的方法， 其特征在于， 所述根据已命中的目标事件类型判断当前 是否满足该配置文件 对应的告警条件， 包括： 确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的 行为事件类型， 若是， 则确定当前满足该配置文件 对应的告警条件。 3.根据权利要求2所述的方法， 其特征在于， 所述告警条件通过设置要求的命中次数以 实现要求命中的行为事 件类型的设置； 所述确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的 行为事件类型， 包括： 确定当前已命中的目标事件类型的数量是否达到该配置文件对应的告警条件中要求 的命中次数， 若是， 则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求 命中的行为事 件类型。 4.根据权利要求3所述的方法， 其特征在于， 所述告警条件要求的命中次数是基于对应 配置文件中行为事 件类型的初始数量自动生成的。 5.根据权利要求2所述的方法， 其特征在于， 所述告警条件通过设置每一个行为事件类 型的威胁权值以实现要求命中的行为事 件类型的设置； 所述确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命 中的行为事 件类型， 包括： 确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值， 若是， 则确定 已命中的目标事 件类型满足该配置文件 对应的告警条件中要求命中的行为事 件类型。 6.根据权利要求1 ‑5中任一所述的方法， 其特征在于， 所述根据每一配置文件中的行为 事件匹配规则对所述行为事 件和该配置文件中的各个行为事 件类型进行匹配， 包括： 基于所述行为事件匹配规则中对每一个行为事件类型设置的行为事件正则表达 式， 检 测该行为事件是否匹配到该配置文件中的其中一个行为事 件类型； 若匹配到， 则确定该行为事件类型被匹配到的次数是否达到针对该行为事件类型设置 的阈值匹配次数； 若达 到， 则确定该 行为事件命中该配置文件中的该 行为事件类型。 7.根据权利要求1 ‑5中任一所述的方法， 其特征在于， 还包括： 预先对终端设备进行分 组， 以基于每一个分组内终端设备 上发生的行为事 件确定对应分组内是否存在威胁程序。 8.一种基于复合事 件处理的威胁 检测装置， 其特 征在于， 包括： 配置文件获取单元， 用于获取与至少一种威胁程序对应的配置文件； 所述配置文件中权　利　要　求　书 1/2 页 2 CN 115484151 A 2包括对应种类威胁程序的若干个行为事 件类型、 行为事 件匹配规则和告警条件； 行为事件确定单 元， 用于确定终端设备 上发生的任一待检测的行为事 件； 匹配单元， 用于根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文 件中的各个行为事件类型进行匹配， 若命中与该行为事件匹配的目标事件类型， 则触发告 警单元执行相应操作； 所述告警单元， 用于根据已命中的目标事件类型判断当前是否满足该配置文件对应的 告警条件； 若满足， 则确定所述 终端设备上存在该配置文件对应的威胁程序， 并进 行对应的 威胁程序的告警， 若不满足， 则将目标事件类型从对应的配置文件中排除， 并触发所述行为 事件确定单 元继续执 行相应操作。 9.一种电子设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 执行所述计算机程序时， 实现如权利要求1 ‑7中任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 当所述计算机程序在计算机中 执行时， 令计算机执 行权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115484151 A 3