【技术实现步骤摘要】
一种攻击检测方法、装置、电子设备及存储介质
[0001]本申请涉及计算机
,尤其涉及一种攻击检测方法、装置、电子设备及存储介质。
技术介绍
[0002]随着数字化时代的到来,企业、单位、机构等会将重要文件或数据存储在各自的主机上,一旦被攻击者的主机遭受到攻击者的入侵,便可从中窃取重要文件或数据,给被攻击者造成不可估量的损失。因此,对主机采取安全保护措施变得至关重要。
[0003]随着信息安全技术的发展,为了防御攻击者的攻击,被攻击者会在网络边界上建立一些安全防御措施,例如防火墙、互联网协议群(Internet Protocol Suite,IPS)、网站应用级入侵防御系统(Web Application Firewall,WAF)等。然而攻击者的攻击方式层出不穷,致使这些防御措施无法检测出各种复杂的攻击。
[0004]目前,对主机的攻击行为检测,一般是依赖于某种规则来确定是否对主机存在攻击行为。但攻击者采取变种的攻击行为去攻击主机时,这种方式会存在一定的滞后性,且无法准确检测出变种的攻击行为。
...
【技术保护点】
【技术特征摘要】
1.一种攻击检测方法,其特征在于,包括:将所采集的Windows审计日志进行建模,生成主机行为依赖图;对所述主机行为依赖图进行特征提取,得到多视图信息;其中,所述多视图信息包括路径信息、结构信息、事件类型信息;根据所述路径信息、结构信息、事件类型信息,确定出所述Windows审计日志的攻击行为分数;若所述攻击行为分数满足攻击要求,则确定所述Windows审计日志存在攻击行为。2.如权利要求1所述的方法,其特征在于,所述将所述采集的Windows审计日志进行建模,生成主机行为依赖图,包括:将所述Windows审计日志中的非结构化数据进行标准事件格式转化,得到至少一个事件;根据设定的目标事件集,从各事件中抽取出符合要求的目标事件;根据所述目标事件,生成所述主机行为依赖图;其中,一个事件表征为event=(src,dst,rel,time),所述src表征源实体所述dst表征目的实体,所述rel表征事件的事件类型,所述time表征事件发生时的时间点。3.如权利要求1所述的方法,其特征在于,所述路径信息包括在所述主机行为依赖图中进行随机游走所产生的攻击路径,所述结构信息包括所述主机行为依赖图中实体之间的依赖关系,所述事件类型信息包括恶意数据的行动或活动。4.如权利要求1所述的方法,其特征在于,所述攻击行为分数满足以下表达式:4.如权利要求1所述的方法,其特征在于,所述攻击行为分数满足以下表达式:y
pred
=W
·
aggregate(X
all
)+b其中,所述X
p
表征有所述路径信息的实体嵌入矩阵,所述X
et
表征有所述事件类型信息的实体嵌入矩阵,所述表征有所述结构信息的邻接矩阵,所述Relu表征激活函数,所述W
(0)
、W
(1)
、W
(2)
分别表征图卷积神经网络中第一层、第二层、第三层的权重矩阵,所述y
pred
表征所述攻击行为分数,所述aggregate表征信息集结算子,所述b表征偏置项。5.一种攻击检测装置,其特征在于,包括:生成模块,用于将所采集的Windows审计日志进行建模,生成主机行为依赖图;特征提取模块,用于对所述主机行为依赖图进行特征提取,得到多视图信息;其中,所述多视图...
【专利技术属性】
技术研发人员:吴铁军,张喆,赵陈菲,叶晓虎,范敦球,杨晖,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。