【技术实现步骤摘要】
用于攻击行为检测的方法、装置、设备和存储介质
[0001]本公开的示例实施例总体涉及网络安全领域,特别地涉及用于攻击行为检测的方法、装置、设备和计算机可读存储介质。
技术介绍
[0002]蜜罐,例如安全外壳(Secure Shell,简称SSH)高交互蜜罐,是一种用于诱捕入侵者(例如,黑客)攻击的网络安全工具。蜜罐可以模拟一个真实使用SSH协议进行远程登录的服务器或计算机,以吸引入侵者来尝试登录并执行操作,从而收集和记录入侵者的行为活动(例如,包括入侵者执行的操作命令)等数据。在利用蜜罐采集的行为数据时,通常需要人工分析入侵者的攻击手法,并依赖专家知识来设计不同的安全策略,防御入侵的效率低。因此,期望一种解决方案能够及时、准确地检测入侵行为。
技术实现思路
[0003]在本公开的第一方面,提供了一种用于攻击行为检测的方法,包括:获取攻击行为数据和非攻击行为数据,所述攻击行为数据从至少一个蜜罐主机采集到,所述非攻击行为数据从至少一个用户主机采集到;根据所述非攻击行为数据中的关键词和所述攻击行为数据中的关键词,从...
【技术保护点】
【技术特征摘要】
1.一种用于攻击行为检测的方法,包括:获取攻击行为数据和非攻击行为数据,所述攻击行为数据从至少一个蜜罐主机采集到,所述非攻击行为数据从至少一个用户主机采集到;根据所述非攻击行为数据中的关键词和所述攻击行为数据中的关键词,从所述攻击行为数据中筛选关键词生成至少一个攻击行为检测规则,其中,每个攻击行为检测规则包括用于表征攻击行为的至少一个关键词;以及基于所述至少一个攻击行为检测规则,对目标用户主机执行攻击行为检测。2.根据权利要求1所述的方法,其中从所述攻击行为数据中筛选关键词生成所述至少一个攻击行为检测规则包括:从所述攻击行为数据确定多个蜜罐指令序列集,每个蜜罐指令序列集包括来自蜜罐主机上的会话的指令序列;从所述多个蜜罐指令序列集分别提取多个候选关键词集合;基于所述多个候选关键词集合中各个关键词在所述非攻击行为数据中的关键词和所述非攻击行为数据中的关键词的出现频率,从所述多个候选关键词集合确定至少一个目标关键词集合,每个目标关键词集合包括用于表征攻击行为的至少一个关键词;以及从所述至少一个目标关键词集合分别生成所述至少一个攻击行为检测规则。3.根据权利要求2所述的方法,其中从所述多个候选关键词集合确定所述至少一个目标关键词集合包括:基于所述多个候选关键词集合中各个关键词在所述攻击行为数据中的关键词和所述非攻击行为数据中的关键词的出现频率,来确定所述多个候选关键词集合中各个关键词的重要度得分,候选关键词的重要度得分指示所述候选关键词能够表征攻击行为的程度;以及基于所述多个候选关键词集合中各个关键词的重要度得分,从所述多个候选关键词集合确定所述至少一个目标关键词集合。4.根据权利要求3所述的方法,其中所述非攻击行为数据包括从至少一个用户主机采集到的多个用户指令序列集,从所述多个用户指令序列集分别提取出多个基准关键词集合;并且其中确定所述多个候选关键词集合中各个关键词的重要度得分包括:确定所述多个候选关键词集合中各个关键词在所述多个基准关键词集合和所述多个候选关键词集合中的逆文档频率IDF;确定所述多个候选关键词集合中各个关键词在对应的候选关键词集合中的词频TF;以及基于所述多个候选关键词集合中各个关键词的IDF和TF来分别确定各个关键词的重要度得分。5.根据权利要求3所述的方法,其中基于所述多个候选关键词集合中各个关键词的重要度得分,从所述多个候选关键词集合确定所述至少一个目标关键词集合包括:将所述多个候选关键词集合进行聚类,得到至少一个关键词集合聚类,每个关键词集合聚类包括至少两个候选关键词集合;以及对于每个关键词集合聚类,
基于该关键词集合聚类中包括的各个关键词的重要度得分,从该关键词集合聚类包括的至少两个候选关键词集合中选择活跃关键词集合,以及基于所选择的活跃关键词集合来确定目标关键词集合。6.根据权利要求5所述的方法,其中对于每个关键词集合聚类,从该关键词集合聚类包括的至少两个候选关键词集合中选择活跃候选关键词集合包括:对于所述至少两个候选关键词集合中的每个候选关键词集合,确定该候选关键词集合中重要度得分超过第一预定阈值的关键词的数目;以及基于所确定的超过所述第一预定阈值的关键词的数目,从所述至少两个候选关键词集合中选择活跃关键词集合。7.根据权利要求5所述的方法,其中基于所选择的活跃关键词集合来确定目标关键词集合包括:基于所述活跃关键词集合中的各个关键词的重要度得分与第二预定阈值的比较,来从所述活跃...
【专利技术属性】
技术研发人员:马骏,陈越,方欣,
申请(专利权)人:北京火山引擎科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。