攻击行为检测方法、装置及攻击检测设备制造方法及图纸

本申请公开了一种攻击行为检测方法、装置及攻击检测设备，属于网络安全技术领域。所述方法包括：获取主机在参考时间段内传输的HTTP报文流数据，通过多个行为检测模型确定多个初始概率值，根据该多个初始概率值确定综合概率值，如果综合概率值大于预设概率阈值，则确定检测到EK的攻击行为。由于该多个行为检测模型分别用于描述EK的攻击行为轨迹中不同阶段，因此，本方案能够完整刻画EK的攻击行为轨迹，并综合各个阶段的初始概率值，更加准确地检测EK的攻击行为。另外，本方案也不会严重耗费主机本身的资源，且由于获取的数据仅包含网络协议规定的常规数据，因此，相比于获取脚本代码解析的方法，本方案存在的侵犯用户隐私的风险很低。

【技术实现步骤摘要】
攻击行为检测方法、装置及攻击检测设备
本申请涉及网络安全
，特别涉及一种攻击行为检测方法、装置及攻击检测设备。
技术介绍
当前，恶意分子可以使用漏洞利用工具包(exploitkit，EK)来传播恶意软件，达到对诸如用户终端等主机进行攻击的目的。EK是一套工具集，也可以认为是一种基于下载方式传播恶意软件的攻击手段。当主机访问含有EK的恶意网站时，EK会利用主机的上网环境中的漏洞信息，来选择对应的恶意软件对主机进行攻击。而如果能够及时地检测到EK的攻击行为，则可以提醒用户及时采取措施应对EK的攻击，最大程度地减少用户损失。在相关技术中，主机在访问一个网站的过程中，能够收集并检测该网站的脚本代码，并解析这些脚本代码，生成脚本代码的签名。之后，主机将生成的签名与存储的签名库中的签名进行对比，来确定主机访问网站的过程中是否存在EK的攻击行为。其中，存储的签名库中的签名是根据已知EK的恶意代码通过签名算法生成的。然而，收集的脚本代码中通常包含有用户的隐私数据，这样就会存在侵犯用户隐私的风险。并且，解析脚本代码所耗费的处理器资源以及内存资源很大，会造成主机的性能下降。
技术实现思路
本申请提供了一种攻击行为检测方法、装置及攻击检测设备，能够降低相关技术中存在的侵犯用户隐私的风险，且在不消耗主机的资源的情况下，提高攻击行为检测的准确率。所述技术方案如下：第一方面，提供了一种攻击行为检测方法，该方法包括：获取主机在参考时间段内传输的超文本传输协议(hypertexttransferprotocol，HTTP)报文流数据，该HTTP报文流数据包括一个或多个HTTP报文中的数据，该一个或多个HTTP报文属于第一数据流，参考时间段为当前时间之前且距离当前时间参考时长的时间段；根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，初始概率值是指该多个行为检测模型中的一个行为检测模型输出的概率值；根据该多个初始概率值确定综合概率值，综合概率值用于指示该主机传输该第一数据流的过程中被EK攻击的可能性；如果该综合概率值大于预设概率阈值，则确定该主机传输该第一数据流的过程中存在EK的攻击行为。在本申请中，EK攻击行为轨迹包括多个不同阶段，主机在运行过程中，会传输HTTP报文流(数据流)数据，而被EK攻击的主机所传输的HTTP报文流数据会携带EK攻击的一些行为特征。基于此，攻击检测设备能够获取主机在参考时间段内传输的HTTP报文流数据，之后对该HTTP报文流数据进行分析处理，以此来检测该主机是否被EK攻击，也即是该主机在传输数据流的过程中是否存在EK的攻击行为。如果主机被EK攻击，则主机与EK的攻击设备之间会持续传输一段时间的HTTP报文，因此，本方案需要获取一段时间的HTTP报文流数据，也即是获取参考时间段内的HTTP报文流数据，该HTTP报文流数据包括一个或多个HTTP报文中的数据，且该一个或多个HTTP报文属于第一数据流，第一数据流是该主机与某个设备之间传输HTTP报文所形成的数据流，该参考时间段为当前时间之前且距离当前时间参考时长的时间段。在本申请中，攻击检测设备能够对获取的HTTP报文流数据进行数据预处理，得到多个行为检测模型中每个行为检测模型的输入，通过每个行为检测模型对相应的输入进行处理，得到相应的初始概率值，以得到多个初始概率值。其中，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段。可选地，根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，包括：从该多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据该多个行为检测模型中的每个行为检测模型均已执行以下操作为止：根据该HTTP报文流数据，确定该选择的行为检测模型对应的特征向量；将该特征向量输入该选择的行为检测模型，获得该选择的行为检测模型输出的初始概率值。在本申请中，由于该多个行为检测模型分别用于描述EK攻击行为轨迹中的不同阶段，也即一个行为检测模型能够用于描述EK攻击行为轨迹中的一个阶段，而不同阶段的EK攻击行为的行为特征存在不同，因此，输入各个的行为检测模型的特征向量也不同，也即是根据主机的HTTP报文流数据确定的各个行为检测模型对应的特征向量也不同。在本申请中，EK的攻击行为轨迹包括重定向阶段、攻击对象筛选阶段、漏洞利用阶段、恶意软件下载阶段等阶段，基于此，多个行为检测模型至少能够描述这四个阶段中的任意两个阶段，也即是该多个行为检测模型至少包括分别用于描述这四个阶段中任意两个阶段的两个模型。也即是，可选地，该多个行为检测模型包括至少两个以下模型：重定向检测模型、攻击对象筛选检测模型、漏洞利用检测模型和恶意软件下载检测模型。其中，重定向检测模型用于描述EK攻击行为轨迹中的重定向阶段，这个阶段EK攻击会将用户正在浏览的网页等进行重定向。攻击对象筛选模型用于描述EK的攻击行为轨迹中的攻击对象筛选阶段，这个阶段EK会根据主机传输的HTTP报文中携带的操作系统、浏览器版本等信息，来筛选攻击对象。漏洞利用检测模型用于描述EK的攻击行为轨迹中的漏洞利用阶段，这个阶段EK会分析主机中存在的漏洞，下载漏洞文件到主机上，例如，主机上低版本的Flash插件可能会存在漏洞，EK会下载一个Flash漏洞文件到主机上，对主机进行爆破等。恶意软件下载检测模型用于描述EK的攻击行为轨迹中的恶意软件下载阶段，这个阶段EK会下载恶意软件到主机上，比如，木马软件、勒索软件等。在本申请实施例中，攻击检测设备能够从HTTP报文流数据中获取每个行为检测模型对应的特征向量包括的一个或多个特征。而且，一个HTTP报文中的数据包括多个字段，每个字段表示一种信息，特征向量包括的各个特征能从这些字段中分别获取。需要说明的是，EK攻击行为的多种行为特征，可以分为公有特征和独有特征，其中，公有特征为各个行为检测模型公有的特征，或者某些行为检测模型公有的特征，独有特征为某个行为检测模型独有的特征。也即是，每个行为检测模型对应的特征向量包括一种或多种特征，该一种或多种特征的其中一部分为公有特征，另一部分为独有特征。对于重定向检测模型来说，由于重定向检测模型用于描述EK的攻击行为轨迹中的重定向阶段，因此，主机传输的HTTP报文中可能会携带Location(定向)字段，Location字段用于将主机浏览的网页进行重定向。基于此，重定向检测模型对应的特征向量包括重定向阶段的行为特征，例如HTTP报文消息码、统一资源定位符(uniformresourcelocator，URL)字段的长度、是否携带Location字段等特征。其中，HTTP报文消息码为重定向检测模型和漏洞利用检测模型的公有特征，URL字段的长度为上述四个模型的公有特征，HTTP报文流数据是否携带Location字段为重定向检测模型的独有特征。对于攻击对象筛选模型来说，由于攻击对象筛选模型用于描述EK的攻击行为轨迹中的攻击对象筛选阶本文档来自技高网...

【技术保护点】
1.一种攻击行为检测方法，其特征在于，所述方法包括：/n获取主机在参考时间段内传输的超文本传输协议HTTP报文流数据，所述HTTP报文流数据包括一个或多个HTTP报文中的数据，所述一个或多个HTTP报文属于第一数据流，所述参考时间段为当前时间之前且距离当前时间参考时长的时间段；/n根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，所述多个行为检测模型分别用于描述漏洞利用工具包EK的攻击行为轨迹中的不同阶段，所述初始概率值是指所述多个行为检测模型中的一个行为检测模型输出的概率值；/n根据所述多个初始概率值确定综合概率值，所述综合概率值用于指示所述主机传输所述第一数据流的过程中被EK攻击的可能性；/n如果所述综合概率值大于预设概率阈值，则确定所述主机传输所述第一数据流的过程中存在EK的攻击行为。/n

【技术特征摘要】
1.一种攻击行为检测方法，其特征在于，所述方法包括：
获取主机在参考时间段内传输的超文本传输协议HTTP报文流数据，所述HTTP报文流数据包括一个或多个HTTP报文中的数据，所述一个或多个HTTP报文属于第一数据流，所述参考时间段为当前时间之前且距离当前时间参考时长的时间段；
根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，所述多个行为检测模型分别用于描述漏洞利用工具包EK的攻击行为轨迹中的不同阶段，所述初始概率值是指所述多个行为检测模型中的一个行为检测模型输出的概率值；
根据所述多个初始概率值确定综合概率值，所述综合概率值用于指示所述主机传输所述第一数据流的过程中被EK攻击的可能性；
如果所述综合概率值大于预设概率阈值，则确定所述主机传输所述第一数据流的过程中存在EK的攻击行为。


2.如权利要求1所述的方法，其特征在于，所述根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，包括：
从所述多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据所述多个行为检测模型中的每个行为检测模型均已执行以下操作为止：
根据所述HTTP报文流数据，确定所述选择的行为检测模型对应的特征向量；
将所述特征向量输入所述选择的行为检测模型，获得所述选择的行为检测模型输出的初始概率值。


3.如权利要求1所述的方法，其特征在于，所述根据所述多个初始概率值确定综合概率值，包括：
根据所述多个初始概率值确定多个交叉特征，所述交叉特征是指所述多个初始概率值中两个不同的初始概率值相乘后得到的；
根据所述多个交叉特征生成交叉特征向量；
将所述交叉特征向量输入关联分析模型，获得所述关联分析模型输出的所述综合概率值，所述关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。


4.如权利要求3所述的方法，其特征在于，所述根据所述多个初始概率值确定多个交叉特征之前，还包括：
对所述HTTP报文流数据进行漏洞文件检测和恶意软件检测，得到漏洞文件检测结果和恶意软件检测结果；
所述根据所述多个初始概率值确定多个交叉特征，包括：
根据所述多个初始概率值，以及所述漏洞文件检测结果和所述恶意软件检测结果，确定所述多个交叉特征，所述交叉特征是指所述多个初始概率值、所述漏洞文件检测结果和所述恶意软件检测结果中的两个不同的数据相乘后得到的。


5.如权利要求4所述的方法，其特征在于，所述根据所述多个初始概率值，以及所述漏洞文件检测结果和恶意软件检测结果，确定所述多个交叉特征，包括：
根据所述多个初始概率值，以及所述漏洞文件检测结果和恶意软件检测结果，生成一个概率矩阵，所述概率矩阵为X行X列的矩阵，X为所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果的总个数，X行和X列均对应所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果，所述概率矩阵中的元素是将交叉的两个数据相乘后得到的；
按照交叉特征选择策略，从所述概率矩阵中筛选出多个元素，将筛选出的多个元素作为所述多个交叉特征。


6.如权利要求1-2、4-5任一所述的方法，其特征在于，所述根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值之前，还包括：
获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；
根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段。


7.如权利要求6所述的方法，其特征在于，所述根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，包括：
从所述多个初始检测模型中选择一个初始检测模型，根据选择的初始检测模型执行以下操作，直至根据所述多个初始检测模型中的每个初始检测模型均已执行以下操作为止：
根据所述多个训练样本中每个训练样本包括的样本HTTP报文，确定所述选择的初始检测模型对应的样本特征集，所述样本特征集包括与所述多个训练样本一一对应的多个样本特征向量；
将所述多个样本特征向量分别输入所述选择的初始检测模型，对所述选择的初始检测模型进行训练，以使所述选择的初始检测模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签，从而得到一个行为检测模型。


8.如权利要求3所述的方法，其特征在于，所述根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值之前，还包括：
获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；
根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段；
根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，所述样本交叉特征集包括与所述多个训练样本一一对应的多个样本交叉特征向量；
将所述多个样本交叉特征向量分别输入初始分析模型，对所述初始分析模型进行训练，以使所述初始分析模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签，从而得到所述关联分析模型。


9.如权利要求8所述的方法，其特征在于，所述根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集之前，还包括：
对所述多个训练样本分别进行漏洞文件检测和恶意软件检测，得到所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果；
所述根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，包括：
根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集，以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定所述样本交叉特征集。


10.如权利要求9所述的方法，其特征在于，所述根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集，以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定所述样本交叉特征集，包括：
从所述多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完所述多个训练样本中的每个训练样本为止：
将所述多个行为检测模型对应的样本特征集中与所述选择的训练样本对应的样本特征向量分别输入所述多个行为检测模型，获得所述多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；
根据所述多个样本概率值，以及所述选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征，所述样本交叉特征是指所述多个样本概率值、所述选择的...

【专利技术属性】
技术研发人员：唐玉宾，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44