(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115085982A(43)申请公布日2022.09.20(21)申请号202210622037.2(22)申请日2022.06.01(71)申请人奇安信科技集团股份有限公司地址100088北京市西城区新街口外大街28号102号楼3层332号申请人奇安信安全技术（珠海）有限公司(72)发明人张斌斌卢嘉振(74)专利代理机构北京路浩知识产权代理有限公司11002专利代理师孟省(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书7页附图4页(54)发明名称攻击事件检测方法及装置(57)摘要本发明实施例提供一种攻击事件检测方法及装置，包括：获取目标事件的行为特征并将所述目标事件的行为特征与状态树进行匹配，若没有匹配成功，则目标事件为攻击事件，所述状态树根据安全行为特征规则库的规则的每类合法的安全行为特征构建，所述状态树具有至少一层，每层对应一类安全行为特征。提高了匹配效率。CN115085982ACN115085982A权利要求书1/2页1.一种攻击事件检测方法，其特征在于，包括：获取目标事件的行为特征，并将所述目标事件的行为特征与状态树进行匹配，若没有匹配成功，则目标事件为攻击事件，所述状态树根据安全行为特征规则库的规则的每类合法的安全行为特征构建，所述状态树具有至少一层，每层对应一类安全行为特征。2.根据权利要求1所述的攻击事件检测方法，其特征在于，该方法还包括：基于所述安全行为特征的规则库中的每条规则，构建对应的子状态树，其中，所述子状态树具有至少一个节点，每个节点对应所述规则中的一个合法的安全行为特征；将所述子状态树合并得到状态树，其中，属于同一类型的安全行为特征合并后位于所述状态树的同一层。3.根据权利要求1所述的攻击事件检测方法，其特征在于，所述获取目标事件的行为特征，并将所述目标事件的行为特征与状态树进行匹配，包括：获取目标事件的至少一个行为特征，将所述至少一个行为特征与状态树的至少一个层进行特征匹配。4.根据权利要求3所述的攻击事件检测方法，其特征在于，所述目标事件的行为特征为多个，所述状态树的每个层中具有至少一个节点，每个节点对应一个合法的安全行为特征，以及将所述至少一个行为特征与状态树的至少一个层进行特征匹配，包括：确定所述目标事件的多个行为特征中每个行为特征的所对应的安全行为特征类型；基于所述安全行为特征类型，确定每个所述行为特征对应所述状态树中的层；将每个所述行为特征与状态树相应层中的节点分别进行匹配；在任一行为特征与相应层中的节点均没有匹配成功的情况下，则确定所述目标事件为攻击事件；若所有的行为特征在相应层中都能够与至少一个节点匹配成功，则确定所述目标事件不是攻击事件。5.根据权利要求4所述的攻击事件检测方法，其特征在于，所述安全行为特征类型包括：栈类型、操作类型、主体路径和客体路径，所述获取目标事件的行为特征并将所述目标事件的行为特征与状态树进行匹配，包括：获取并根据目标事件的栈类型、操作类型、主体路径和客体路径依次匹配所述状态树。6.一种攻击事件检测装置，其特征在于，包括：第一处理模块，用于获取目标事件的行为特征并将所述目标事件的行为特征与状态树进行匹配，若没有匹配成功，则目标事件为攻击事件，所述状态树根据安全行为特征规则库的规则的每类合法的安全行为特征构建，所述状态树具有至少一层，每层对应一类安全行为特征。7.根据权利要求6所述的攻击事件检测装置，其特征在于，所述方法还包括第二处理模块，用于：基于所述安全行为特征的规则库中的每条规则，构建对应的子状态树，其中，所述子状态树具有至少一个节点，每个节点对应所述规则中的一个安全行为特征；将所述子状态树合并得到状态树，其中，属于同一类型的安全行为特征合并后位于所述状态树的同一层。2CN115085982A权利要求书2/2页8.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至5任一项所述的攻击事件检测方法的步骤。9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的攻击事件检测方法的步骤。10.一种计算机程序产品，其上存储有可执行指令，其特征在于，该指令被处理器执行时使处理器实现如权利要求1至5中任一项所述攻击事件检测方法的步骤。3CN115085982A说明书1/7页攻击事件检测方法及装置技术领域[0001]本发明涉及数据处理领域，尤其涉及一种攻击事件检测方法及装置。背景技术[0002]随着可疑进程检测技术的发展，为了保证检测攻击进程(或事件)的准确性，进程的安全行为特征的维度数据一般是多多益善，这导致了随着