(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111657270.6 (22)申请日 2021.12.31 (65)同一申请的已公布的文献号 申请公布号 CN 114006775 A (43)申请公布日 2022.02.01 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 郑波　陈杰　黄雅芳　童兆丰　 薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 113434859 A,2021.09.24 US 201513 5262 A1,2015.0 5.14 CN 107851 155 A,2018.0 3.27 US 2020213 338 A1,2020.07.02 CN 106961428 A,2017.07.18 CN 113779574 A,2021.12.10 US 2019098027 A1,2019.0 3.28 CN 112507265 A,2021.0 3.16 CN 112039879 A,2020.12.04 CN 112287339 A,2021.01.2 9 US 11075933 B1,2021.07.27 审查员 宁波 (54)发明名称 一种入侵事 件的检测方法及装置 (57)摘要 本申请提供一种入侵事件的检测方法及装 置， 该入侵事件的检测方法包括： 在服务器中读 取数据实体； 检测服务器中是否存在与数据实体 相对应的实体标签； 当服务器中存在实体标签 时， 根据预设的事件活动规则判断数据实体是否 属于现有进程树； 当数据实体属于现有进程树 时， 将数据实体添加到现有进程树中， 得到更新 进程树； 并将实体标签传递到 现有进程树的标签 树中， 得到更新标签树； 根据预设评分规则和更 新标签树对 更新进程树进行安全评分， 得到安全 分数； 当安全分数大于预设的入侵分数阈值时， 根据数据实体和实体标签确定入侵事件， 并生成 入侵事件信息。 可见， 实施这种实施方式， 能够提 高入侵事 件的检测效率和检测准确度。 权利要求书2页 说明书8页 附图3页 CN 114006775 B 2022.04.12 CN 114006775 B 1.一种入侵事 件的检测方法， 其特 征在于， 包括： 在服务器中优先接收主机日志和告警信 息， 并在服务器中根据 所述主机日志和所述告 警信息读取 数据实体； 检测所述 服务器中是否存在与所述数据实体相对应的实体标签； 当所述服务器 中存在所述实体标签时， 根据 预设的事件活动 规则判断所述数据实体是 否属于现有 进程树； 当所述数据实体属于所述现有进程树时， 将所述数据实体添加到所述现有进程树中， 得到更新进程 树； 并将所述实体标签传递到所述现有 进程树的标签树中， 得到更新标签树； 根据预设评分规则和所述更新标签树对所述更新进程树进行安全评分， 得到安全分 数； 当所述安全分数大于预设的入侵分数阈值 时， 根据所述数据实体和所述实体标签确定 入侵事件， 并生成入侵事 件信息。 2.根据权利要求1所述的入侵事 件的检测方法， 其特 征在于， 所述方法还 包括： 当所述服务器 中不存在所述实体标签时， 根据预设的事件活动规则判断所述数据实体 是否属于现有 进程树； 当所述数据实体属于所述现有进程树时， 将所述数据实体添加到所述现有进程树中， 得到更新进程 树； 根据预设评分规则对所述更新进程 树进行安全评分， 得到安全分数； 当所述安全分数大于预设的入侵分数阈值时， 根据所述数据实体确定入侵事件， 并生 成入侵事 件信息。 3.根据权利要求2所述的入侵事 件的检测方法， 其特 征在于， 所述方法还 包括： 当所述服务器中不存在所述实体标签， 且所述数据实体不属于所述现有进程树时， 滤 除所述数据实体。 4.根据权利要求1所述的入侵事 件的检测方法， 其特 征在于， 所述方法还 包括： 当所述数据实体不属于所述现有 进程树时， 生成一个新进程 树和新标签树； 将所述数据实体添加到所述新进程树， 得到更新进程树； 将所述实体标签传递到所述 新标签树中， 得到更新标签树； 并触发执行所述根据预设评分规则和所述更新标签树对所 述更新进程 树进行安全评分， 得到安全分数的步骤。 5.根据权利要求1所述的入侵事件的检测方法， 其特征在于， 所述当所述数据实体属于 所述现有进程树时， 将所述数据实体添加到所述现有进程树中， 得到更新进程树； 并将所述 实体标签传递到所述现有 进程树的标签树中， 得到更新标签树的步骤 包括： 当所述数据实体属于所述现有进程树 时， 判断所述数据实体是否同时属于所述现有进 程树中的多个子进程 树； 当所述数据实体同时属于所述多个子进程树时， 对所述多个子进程树进行合并， 得到 合并进程 树； 获取所述多个子进程树的多个子标签树， 并对所述多个子标签树进行合并， 得到合并 标签树； 将所述数据实体添加到所述合并进程树中， 得到更新进程树； 将所述实体标签传递到 所述合并标签树中， 得到更新标签树； 并执行所述根据预设评分规则和所述更新标签树对权　利　要　求　书 1/2 页 2 CN 114006775 B 2所述更新进程 树进行安全评分， 得到安全分数的步骤。 6.一种入侵事 件的检测装置， 其特 征在于， 所述入侵事 件的检测装置包括： 读取单元， 用于根据在服 务器中优先接收到的主机日志和告警信息读取 数据实体； 检测单元， 用于检测所述 服务器中是否存在与所述数据实体相对应的实体标签； 判断单元， 用于当所述服务器中存在所述实体标签时， 根据预设的事件活动规则判断 所述数据实体是否属于现有 进程树； 添加单元， 用于当所述数据实体属于所述现有进程树时， 将所述数据实体添加到所述 现有进程树中， 得到更新进程树； 并将所述 实体标签传递到所述现有进程树的标签树中， 得 到更新标签树； 评分单元， 用于根据预设评分规则和所述更新标签树对所述更新进程树进行安全评 分， 得到安全分数； 确定单元， 用于当所述安全分数大于预设的入侵分数阈值时， 根据所述数据实体和所 述实体标签确定入侵事 件， 并生成入侵事 件信息。 7.根据权利要求6所述的入侵事件的检测装置， 其特征在于， 所述判断单元， 还用于当 所述服务器中不存在所述 实体标签时， 根据预设的事件活动规则判断所述数据实体是否属 于现有进程树； 所述添加单元， 还用于当所述数据实体属于所述现有进程树时， 将所述数据实体添加 到所述现有 进程树中， 得到更新进程 树； 所述评分单元， 还用于根据预设评分规则对所述更新进程树进行安全评分， 得到安全 分数； 所述确定单元， 还用于当所述安全分数大于预设的入侵分数阈值时， 根据所述数据实 体确定入侵事 件， 并生成入侵事 件信息。 8.根据权利要求7 所述的入侵事 件的检测装置， 其特 征在于， 所述检测装置还 包括： 滤除单元， 用于当所述服务器中不存在所述实体标签， 且所述数据实体不属于所述现 有进程树时， 滤除所述数据实体。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至5中 任一项所述的入侵事 件的检测方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至5任一项 所述的入侵事件的 检测方法。权　利　要　求　书 2/2 页 3 CN 114006775 B 3