【技术实现步骤摘要】
高级可持续性威胁攻击检测方法、装置及电子设备
[0001]本申请涉及网络安全
,尤其涉及一种高级可持续性威胁攻击检测方法、装置及电子设备。
技术介绍
[0002]当前,社会各行各业高度依赖于互联网,在提升生产生活效率的同时,网络安全威胁扩散的速度也更快、范围更广、后果更严重。非法者通过实施网络攻击以达到损坏权限管理、窃取数据、破坏服务等目的,其所采取的攻击方式也多种多样,需要花费大量的人力、物力、财力进行防御。
[0003]APT(Advanced Persistent Threat,高级可持续性威胁)攻击是一种由专业人士发起的针对性攻击,具有缓慢、持久且难以察觉的特点。目前的网络攻击检测系统通常针对瞬时短期的攻击,无法应对APT攻击持续时间长的问题,当攻击者长时间潜伏在受害系统中,并在关键时刻突然爆发,就会造成难以预估损失和灾害。因此,如何对APT攻击进行检测成为亟待解决的技术问题。
技术实现思路
[0004]为了解决上述技术问题,本申请提供了一种高级可持续性威胁攻击检测方法、装置、电子设备及...
【技术保护点】
【技术特征摘要】
1.一种高级可持续性威胁攻击检测方法,其特征在于,包括:获取主机日志信息,确定所述主机日志信息在预先建立的行为特征指标集合中对应的目标行为特征指标;其中,行为特征指标用于描述系统实体的状态;根据行为特征指标和实体状态位图、实体状态位图中的比特位的映射关系,确定所述目标行为特征指标在所述目标行为特征指标对应的实体状态位图中对应的目标比特位;根据所述目标行为特征指标,对所述目标比特位的值进行设置,得到目标实体状态位图;在所述目标实体状态位图发生变化的情况下,将所述目标实体状态位图输入预先训练的检测分类器,得到所述目标实体状态位图对应的类别;如果所述目标实体状态位图对应的类别属于恶意攻击,根据所述目标实体状态位图对应的类别进行对应的预警处理。2.根据权利要求1所述的方法,其特征在于,在得到所述目标实体状态位图对应的类别之后,所述方法还包括:如果所述目标实体状态位图对应的类别为分布外样本,存储所述目标实体状态位图和所述主机日志信息;基于所述主机日志信息,确定所述目标实体状态位图对应的类别;基于所述目标实体状态位图和所述目标实体状态位图对应的类别,对所述检测分类器进行更新。3.根据权利要求1所述的方法,其特征在于,所述检测分类器包括第一分支模块和第二分支模块,所述第二分支模块包括编码器和解码器;所述将所述目标实体状态位图输入预先训练的检测分类器,得到所述目标实体状态位图对应的类别,包括:将所述目标实体状态位图输入预先训练的检测分类器,通过所述第一分支模块对所述目标实体状态位图进行分类,得到所述目标实体状态位图对应的类别;所述方法还包括:如果所述目标实体状态位图对应的类别为分布外样本,通过所述编码器提取所述目标实体状态位图的潜在特征;从样本状态位图对应的潜在特征中选取与所述目标实体状态位图的潜在特征最接近的目标潜在特征;根据所述目标潜在特征对应的样本状态位图的类别,确定所述目标实体状态位图对应的类别;通过所述解码器对所述目标潜在特征进行解码处理,得到伪实体状态位图;通过比较所述目标实体状态位图和所述伪实体状态位图,对所述主机日志信息对应的行为进行分析。4.根据权利要求1所述的方法,其特征在于,所述行为特征指标集合中的每个行为特征指标包括:所述行为特征指标的描述信息和索引信息;所述方法还包括:根据所述特征指标集合中各个行为特征指标的描述信息,确定所述行为特征指标所属的实体,每种实体具有对应的实体状态位图;
建立行为特征指标和实体状态位图的映射关系;根据所述特征指标集合中各个行为特征指标的索引信息,设置所述行为特征指标在所述行为特征指标对应的实体状态位图中对应的比特位,以建立行为特征指标和实体状态位图、实体状态位图中的比特位的映射关系。5.根据权利要求4所述的方法,其特征在于,所述确定所述主机日志信息在预先建立的行为特征指标集合中对应的目标行为特征指标,包括:对所述主机日志信息进行解析,...
【专利技术属性】
技术研发人员:赵曦滨,周泽龙,张轩诚,李霄翔,吴都,万海,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。