【技术实现步骤摘要】
检测攻击行为的方法、介质、系统和计算设备
本专利技术的实施方式涉及计算机领域,更具体地,本专利技术的实施方式涉及一种检测攻击行为的方法、介质、系统和计算设备。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。在整个计算机领域,通过分析操作系统中用户的操作日志来检测攻击入侵,一直是主机安全防御中的重要一环。目前,已经出现一些检测攻击入侵的方法,这些检测方法着重于语法分析和关键字匹配。例如,攻击者获取命令解析器(shell)后通常会植入后门和rootkit等恶意程序,这两个动作用到的操作命令通常并不是系统自身提供的标准命令,或者命令引用到的文件是正常应用根本不会触碰的文件。这类攻击通过语法分析以及关键字匹配可以有效地被检测出来,并且这类检测方法简单,容易实现。
技术实现思路
但是,由于黑客入侵技术变化太快的原因,现有技术提供的攻击检测方法需要专门人员实时跟进最新的黑客入侵技术,针对不同的入侵方法,及时更新语法分析规则和特征关键字,并且该方法通常误报率较高,触发报警后,往往需要人工复查,对于现在动...
【技术保护点】
1.一种检测攻击行为的方法,包括:获取操作日志;基于获取的操作日志,提取用于表征目标用户的操作习惯的行为特征数据,和/或提取用于表征操作对象的特点的对象特征数据;以及基于提取的行为特征数据和/或对象特征数据,确定是否存在攻击行为。
【技术特征摘要】
1.一种检测攻击行为的方法,包括:获取操作日志;基于获取的操作日志,提取用于表征目标用户的操作习惯的行为特征数据,和/或提取用于表征操作对象的特点的对象特征数据;以及基于提取的行为特征数据和/或对象特征数据,确定是否存在攻击行为。2.根据权利要求1所述的方法,其中,所述基于获取的操作日志,提取用于表征目标用户的操作习惯的行为特征数据,包括:基于所述获取的操作日志,提取所述目标用户的命令执行序列;对所述命令执行序列中的每条命令进行数字化标号,得到第一映射序列,其中,所有标号在整体上表现为连续性数字;按照第一预设步长对所述第一映射序列进行截取,得到多个行为特征向量;以及将所述多个行为特征向量作为所述行为特征数据。3.根据权利要求2所述的方法,其中,所述方法还包括:获取包含有多个样本行为特征向量的第一训练样本;基于所述第一训练样本中包含的所述多个样本行为特征向量,训练一行为特征检测模型,其中,向所述行为特征检测模型输入所述多个行为特征向量时所输出的第一结果能够表征所述目标用户是否存在攻击行为。4.根据权利要求3所述的方法,其中,所述方法还包括:比较所述第一结果与通过人工分析所述多个行为特征向量得到的检测结果,以确定所述行为特征检测模型的第一正报率和第一误报率;以及基于所述第一正报率和所述第一误报率,调整所述行为特征检测模型的偏离系数。5.根据权利要求1所述的方法,其中,所述基于获取的操作日志,提取用于表征操作对象的特点的对象特征数据,包括:基于所述获取的操作日志,提取用户集群的命令执行集;针对所述命令执行集中的每条命令,确定一对应的命令参数序列;针对每个命...
【专利技术属性】
技术研发人员:李阳,陈启钧,张晓龙,陈谔,尧飘海,
申请(专利权)人:杭州朗和科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。