一种安全检测方法、系统、电子设备及存储介质与流程

本发明涉及攻击识别，尤其涉及一种安全检测方法、系统、电子设备及存储介质。

背景技术：

1、随着数字化和信息化程度的提高，网络威胁变得更加复杂和普遍。黑客、恶意软件、勒索软件等攻击手段不断演进，企业组织面临的网络风险日益增加。大规模的数据泄露事件引起了全球范围内的关注。组织和个人隐私的保护成为重要议题。同时各个行业和地区的法规和合规要求对数据和信息安全提出了更高的要求。例如，gdpr(general dataprotection regulation，通用数据保护条例)和pcidss(payment card industry datasecurity standard,第三方支付行业数据安全标准)等法规要求组织采取适当的安全措施来保护用户数据和敏感信息。为了有效应对这些威胁，大力发展安全运营成为必要的举措。而在安全运营中，如何有效的挖掘安全事件，并有效的处置风险是一个重要且难度较大课题。

2、当前的众多的安全甲方企业购买以及自建了大量的安全产品，但这些安全产品目前无法实现有效的安全风险控制以及运营，具体的，目前的安全产品会产生大量告警，当这些告警的数量超过了相关人员能够处置的阈值，会导致这些告警得不到及时处理，从而成为无效告警。而相关人员在处理告警时，需要调用大量的原始数据进行分析，耗费较多时间成本，进一步增加无效告警数量。另外，当前安全产品对部分安全攻击场景无法进行有效感知，导致部分安全事件无法得到有效处置。

3、综上可见，目前的安全产品由于攻击行为检测准确性不足，极大影响企业的安全风险控制。

技术实现思路

1、有鉴于此，本发明实施例提供了一种安全检测方法、系统、电子设备及存储介质，以提高攻击行为识别准确性，进而提高攻击行为应对效率。

2、根据本发明的一方面，提供了一种安全检测方法，所述方法包括：

3、获取原始数据，所述原始数据包括报警数据以及运行数据；

4、基于预先编排的检测剧本基于所述原始数据进行攻击行为检测；所述检测剧本针对不同攻击场景预先设置，所述检测剧本中包括各安全模块以及各所述安全模块的调用顺序，各所述安全模块包括安全能力模块以及攻击有效性检测模块，述安全能力模块用于基于所述原始数据识别攻击行为，所述攻击有效性检测模块用于检测所述安全能力模块识别的攻击行为的攻击有效性；

5、针对有效攻击行为发出告警信息，其中，所述有效攻击行为是通过所述检测剧本检测到的产生有效攻击的行为。

6、在一种可能的实施例中，所述获取原始数据，包括：

7、获取各个终端以及业务系统的告警数据、流量数据以及日志数据作为原始数据；

8、所述方法还包括：

9、将各所述原始数据按照使用频率进行冷热存储，其中，使用频率高于预设频率阈值的原始数据存储至预设热存储介质中，使用频率低于所述预设频率阈值的原始数据存储至预设冷存储介质中；

10、在接收到数据查询请求的情况下，从所述数据查询请求中包含的目标数据所在的存储介质中检索所述目标数据，并返回至所述数据查询请求的发送方。

11、在一种可能的实施例中，所述安全模块中包括针对不同攻击行为预设的识别算法，所述识别算法通过不同预设功能模块实现，所述预设功能模块包括数据获取模块、指令检测模块；

12、所述安全模块通过以下步骤识别攻击行为：

13、获取针对所述安全模块预设的原始数据；

14、利用所述安全模块包含的各个预设功能模块对所述预设的原始数据进行处理，识别是否出现所述安全模块对应的攻击行为，各安全模块对应的攻击行为包括：sql注入规则攻击、webshell流量攻击以及终端反弹shell攻击。

15、在一种可能的实施例中，所述攻击有效性检测模块中包括针对预设攻击行为预设的有效性检测算法，所述有效性检测算法包括：

16、关联预设第一数据以及预设第二数据，确定预设攻击行为是否有效，其中，所述预设第一数据为对预设数据的请求数据，所述第二数据为对所述预设数据的响应数据；或，

17、关联预设第三数据以及预设第四数据，确定攻击行为是否有效，其中，所述预设第三数据以及所述预设第四数据为利用不同方式处理接收到的数据请求得到的不同处理结果。

18、在一种可能的实施例中，所述方法还包括：

19、将针对相同数据的有效攻击行为进行聚合、去重，得到各攻击事件；

20、所述针对有效攻击行为发出告警信息，包括：

21、针对各所述攻击事件发出告警信息。

22、根据本发明的另一方面，提供了一种安全检测系统，所述系统包括：

23、数据获取模块，用于获取原始数据，所述原始数据包括报警数据以及运行数据；

24、剧本执行模块，用于基于预先编排的检测剧本基于所述原始数据进行攻击行为检测；所述检测剧本针对不同攻击场景预先设置，所述检测剧本中包括各安全模块以及各所述安全模块的调用顺序，各所述安全模块包括安全能力模块以及攻击有效性检测模块，所述安全能力模块用于基于所述原始数据识别攻击行为，所述攻击有效性检测模块用于检测所述安全能力模块识别的攻击行为的攻击有效性；

25、事件告警模块，用于针对有效攻击行为发出告警信息，其中，所述有效攻击行为是通过所述检测剧本检测到的产生有效攻击的行为。

26、在一种可能的实施例中，所述安全模块中包括针对不同攻击行为预设的识别算法，所述识别算法通过不同预设功能模块实现，所述预设功能模块包括数据获取模块、指令检测模块；

27、所述安全模块通过以下步骤识别攻击行为：

28、获取针对所述安全模块预设的原始数据；

29、利用所述安全模块包含的各个预设功能模块对所述预设的原始数据进行处理，识别是否出现所述安全模块对应的攻击行为，各安全模块对应的攻击行为包括：sql注入规则攻击、webshell流量攻击以及终端反弹shell攻击。

30、在一种可能的实施例中，所述攻击有效性检测模块中包括针对预设攻击行为预设的有效性检测算法，所述有效性检测算法包括：

31、关联预设第一数据以及预设第二数据，确定预设攻击行为是否有效，其中，所述预设第一数据为对预设数据的请求数据，所述第二数据为对所述预设数据的响应数据；或，

32、关联预设第三数据以及预设第四数据，确定攻击行为是否有效，其中，所述预设第三数据以及所述预设第四数据为利用不同方式处理接收到的数据请求得到的不同处理结果。

33、根据本发明的另一方面，提供了一种电子设备，包括：

34、处理器；以及

35、存储程序的存储器，

36、其中，所述程序包括指令，所述指令在由所述处理器执行时使所述处理器执行上述任一项所述的安全检测方法。

37、根据本发明的另一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使计算机执行上述任一项所述的安全检测方法。

38、本发明实施例中提供的一个或多个技术方案，通过预先针对不同的攻击行为编排检测剧本，且该检测剧本用于识别攻击行为以及检测攻击行为的攻击有效性，并针对有效攻击行为进行告警，避免对不成功的攻击行为进行告警造成的大量无效告警影响有效攻击行为的处置，提高攻击行为告警准确性，提高攻击行为的处置效率，进而提高系统安全性。