【技术实现步骤摘要】
攻击行为检测方法、装置及攻击检测设备
本申请涉及网络安全
,特别涉及一种攻击行为检测方法、装置及攻击检测设备。
技术介绍
当前,恶意分子可以使用漏洞利用工具包(exploitkit,EK)来传播恶意软件,达到对诸如用户终端等主机进行攻击的目的。EK是一套工具集,也可以认为是一种基于下载方式传播恶意软件的攻击手段。当主机访问含有EK的恶意网站时,EK会利用主机的上网环境中的漏洞信息,来选择对应的恶意软件对主机进行攻击。而如果能够及时地检测到EK的攻击行为,则可以提醒用户及时采取措施应对EK的攻击,最大程度地减少用户损失。在相关技术中,主机在访问一个网站的过程中,能够收集并检测该网站的脚本代码,并解析这些脚本代码,生成脚本代码的签名。之后,主机将生成的签名与存储的签名库中的签名进行对比,来确定主机访问网站的过程中是否存在EK的攻击行为。其中,存储的签名库中的签名是根据已知EK的恶意代码通过签名算法生成的。然而,收集的脚本代码中通常包含有用户的隐私数据,这样就会存在侵犯用户隐私的风险。并且,解析脚本代码所耗费的处理器资源以及内存资源很大,会造成主机的性能下降。
技术实现思路
本申请提供了一种攻击行为检测方法、装置及攻击检测设备,能够降低相关技术中存在的侵犯用户隐私的风险,且在不消耗主机的资源的情况下,提高攻击行为检测的准确率。所述技术方案如下:第一方面,提供了一种攻击行为检测方法,该方法包括:获取主机在参考时间段内传输的超文本传输协议(hypertexttransf ...
【技术保护点】
1.一种攻击行为检测方法,其特征在于,所述方法包括:/n获取主机在参考时间段内传输的超文本传输协议HTTP报文流数据,所述HTTP报文流数据包括一个或多个HTTP报文中的数据,所述一个或多个HTTP报文属于第一数据流,所述参考时间段为当前时间之前且距离当前时间参考时长的时间段;/n根据所述HTTP报文流数据,通过多个行为检测模型,确定多个初始概率值,所述多个行为检测模型分别用于描述漏洞利用工具包EK的攻击行为轨迹中的不同阶段,所述初始概率值是指所述多个行为检测模型中的一个行为检测模型输出的概率值;/n根据所述多个初始概率值确定综合概率值,所述综合概率值用于指示所述主机传输所述第一数据流的过程中被EK攻击的可能性;/n如果所述综合概率值大于预设概率阈值,则确定所述主机传输所述第一数据流的过程中存在EK的攻击行为。/n
【技术特征摘要】
1.一种攻击行为检测方法,其特征在于,所述方法包括:
获取主机在参考时间段内传输的超文本传输协议HTTP报文流数据,所述HTTP报文流数据包括一个或多个HTTP报文中的数据,所述一个或多个HTTP报文属于第一数据流,所述参考时间段为当前时间之前且距离当前时间参考时长的时间段;
根据所述HTTP报文流数据,通过多个行为检测模型,确定多个初始概率值,所述多个行为检测模型分别用于描述漏洞利用工具包EK的攻击行为轨迹中的不同阶段,所述初始概率值是指所述多个行为检测模型中的一个行为检测模型输出的概率值;
根据所述多个初始概率值确定综合概率值,所述综合概率值用于指示所述主机传输所述第一数据流的过程中被EK攻击的可能性;
如果所述综合概率值大于预设概率阈值,则确定所述主机传输所述第一数据流的过程中存在EK的攻击行为。
2.如权利要求1所述的方法,其特征在于,所述根据所述HTTP报文流数据,通过多个行为检测模型,确定多个初始概率值,包括:
从所述多个行为检测模型中选择一个行为检测模型,根据选择的行为检测模型执行以下操作,直至根据所述多个行为检测模型中的每个行为检测模型均已执行以下操作为止:
根据所述HTTP报文流数据,确定所述选择的行为检测模型对应的特征向量;
将所述特征向量输入所述选择的行为检测模型,获得所述选择的行为检测模型输出的初始概率值。
3.如权利要求1所述的方法,其特征在于,所述根据所述多个初始概率值确定综合概率值,包括:
根据所述多个初始概率值确定多个交叉特征,所述交叉特征是指所述多个初始概率值中两个不同的初始概率值相乘后得到的;
根据所述多个交叉特征生成交叉特征向量;
将所述交叉特征向量输入关联分析模型,获得所述关联分析模型输出的所述综合概率值,所述关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。
4.如权利要求3所述的方法,其特征在于,所述根据所述多个初始概率值确定多个交叉特征之前,还包括:
对所述HTTP报文流数据进行漏洞文件检测和恶意软件检测,得到漏洞文件检测结果和恶意软件检测结果;
所述根据所述多个初始概率值确定多个交叉特征,包括:
根据所述多个初始概率值,以及所述漏洞文件检测结果和所述恶意软件检测结果,确定所述多个交叉特征,所述交叉特征是指所述多个初始概率值、所述漏洞文件检测结果和所述恶意软件检测结果中的两个不同的数据相乘后得到的。
5.如权利要求4所述的方法,其特征在于,所述根据所述多个初始概率值,以及所述漏洞文件检测结果和恶意软件检测结果,确定所述多个交叉特征,包括:
根据所述多个初始概率值,以及所述漏洞文件检测结果和恶意软件检测结果,生成一个概率矩阵,所述概率矩阵为X行X列的矩阵,X为所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果的总个数,X行和X列均对应所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果,所述概率矩阵中的元素是将交叉的两个数据相乘后得到的;
按照交叉特征选择策略,从所述概率矩阵中筛选出多个元素,将筛选出的多个元素作为所述多个交叉特征。
6.如权利要求1-2、4-5任一所述的方法,其特征在于,所述根据所述HTTP报文流数据,通过多个行为检测模型,确定多个初始概率值之前,还包括:
获取多个训练样本,以及所述多个训练样本中每个训练样本对应的样本标签,所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据,所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本,所述正训练样本是指未被EK攻击的HTTP报文流数据,所述负训练样本是指被EK攻击的HTTP报文流数据;
根据所述多个训练样本,以及所述多个训练样本中每个训练样本对应的样本标签,对多个初始检测模型进行训练,得到所述多个行为检测模型,所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段。
7.如权利要求6所述的方法,其特征在于,所述根据所述多个训练样本,以及所述多个训练样本中每个训练样本对应的样本标签,对多个初始检测模型进行训练,得到所述多个行为检测模型,包括:
从所述多个初始检测模型中选择一个初始检测模型,根据选择的初始检测模型执行以下操作,直至根据所述多个初始检测模型中的每个初始检测模型均已执行以下操作为止:
根据所述多个训练样本中每个训练样本包括的样本HTTP报文,确定所述选择的初始检测模型对应的样本特征集,所述样本特征集包括与所述多个训练样本一一对应的多个样本特征向量;
将所述多个样本特征向量分别输入所述选择的初始检测模型,对所述选择的初始检测模型进行训练,以使所述选择的初始检测模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签,从而得到一个行为检测模型。
8.如权利要求3所述的方法,其特征在于,所述根据所述HTTP报文流数据,通过多个行为检测模型,确定多个初始概率值之前,还包括:
获取多个训练样本,以及所述多个训练样本中每个训练样本对应的样本标签,所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据,所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本,所述正训练样本是指未被EK攻击的HTTP报文流数据,所述负训练样本是指被EK攻击的HTTP报文流数据;
根据所述多个训练样本,以及所述多个训练样本中每个训练样本对应的样本标签,对多个初始检测模型进行训练,得到所述多个行为检测模型,所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段;
根据所述多个行为检测模型,以及所述多个行为检测模型中每个行为检测模型对应的样本特征集,确定样本交叉特征集,所述样本交叉特征集包括与所述多个训练样本一一对应的多个样本交叉特征向量;
将所述多个样本交叉特征向量分别输入初始分析模型,对所述初始分析模型进行训练,以使所述初始分析模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签,从而得到所述关联分析模型。
9.如权利要求8所述的方法,其特征在于,所述根据所述多个行为检测模型,以及所述多个行为检测模型中每个行为检测模型对应的样本特征集,确定样本交叉特征集之前,还包括:
对所述多个训练样本分别进行漏洞文件检测和恶意软件检测,得到所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果;
所述根据所述多个行为检测模型,以及所述多个行为检测模型中每个行为检测模型对应的样本特征集,确定样本交叉特征集,包括:
根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集,以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果,确定所述样本交叉特征集。
10.如权利要求9所述的方法,其特征在于,所述根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集,以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果,确定所述样本交叉特征集,包括:
从所述多个训练样本中选择一个训练样本,对选择的训练样本执行以下处理,直至处理完所述多个训练样本中的每个训练样本为止:
将所述多个行为检测模型对应的样本特征集中与所述选择的训练样本对应的样本特征向量分别输入所述多个行为检测模型,获得所述多个行为检测模型分别输出的样本概率值,从而得到多个样本概率值;
根据所述多个样本概率值,以及所述选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果,确定多个样本交叉特征,所述样本交叉特征是指所述多个样本概率值、所述选择的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。