一种行为检测规则的确定方法及装置、设备及介质制造方法及图纸

本发明专利技术提供了一种行为检测规则的确定方法及装置、设备及介质，涉及安全检测领域，该方法包括：获取若干候选行为标识；确定第一行为标识；对与每相邻两个第一行为标识之间的候选行为标识进行提取，得到m个候选行为标识子列表；对m个候选行为标识子列表中的候选行为标识进行汇总后去重，得到v个中间行为标识；若第h个中间行为标识F

【技术实现步骤摘要】
一种行为检测规则的确定方法及装置、设备及介质


[0001]本专利技术涉及安全检测领域，特别是涉及一种行为检测规则的确定方法及装置、设备及介质。

技术介绍

[0002]目前的APT攻击检测方法是通过对电子设备中的每一文件进行特征分析来实现的，由于电子设备中的文件数量较大，且APT攻击的潜伏期较长，所以，在对文件进行特征分析时，工作量较大，占用系统算力也较多，无法在短时间内完成对APT攻击的检测。

技术实现思路

[0003]有鉴于此，本专利技术提供一种行为检测规则的确定方法及装置、设备及介质，至少部分解决现有技术中存在的工作量较大，占用系统算力也较多的技术问题，本专利技术采用的技术方案为：根据本申请的一个方面，提供一种行为检测规则的确定方法，包括如下步骤：响应于检测到目标设备受到APT攻击，根据目标设备在目标时间段内执行的若干操作行为，得到候选行为标识列表Q=(Q1,Q2,...,Q
i
,...,Q
n
)；其中，i=1,2,...,n；n为目标设备在目标时间段内执行的操作行为的数量；Q
i
为目标设备在目标时间段内执行的第i个操作行为对应的候选行为标识；每一候选行为标识为若干预设行为标识中的任一；目标时间段的结束时间为当前时间；遍历Q，将与目标随机行为标识C相同的候选行为标识确定为第一行为标识，得到m个第一行为标识W1,W2,...,W
j
,...,W
m
；其中，j=1,2,...,m；W
j
为第j个第一行为标识；目标随机行为标识为具有随机性的操作行为对应的行为标识；分别对Q中与每相邻两个第一行为标识之间的候选行为标识进行提取，以得到m个候选行为标识子列表；对m个候选行为标识子列表中的候选行为标识进行汇总后去重，以得到v个中间行为标识F1,F2,...,F
h
,...,F
v
；其中，h=1,2,...,v；F
h
为第h个中间行为标识；根据F
h
，遍历每一候选行为标识子列表；若每一候选行为标识子列表中均存在与F
h
相同的候选行为标识，则将每一候选行为标识子列表中与F
h
相同且对应的执行时间最早的候选行为标识确定为F
h
对应的目标行为标识；根据F
h
对应的目标行为标识，确定F
h
对应的目标时间间隔波动值X
h
；若X
h
小于预设波动值阈值，则根据C和F
h
，生成C对应的目标行为检测规则。
[0004]在本申请的一种示例性实施例中，X
h
符合以下条件：X
h
=(∑
j=1m
(ΔT
hj
‑
AVG(ΔT
h
))2)/m；其中，ΔT
h
为F
h
对应的时间间隔列表；ΔT
h
=(ΔT
h1
,ΔT
h2
,...,ΔT
hj
,...,ΔT
hm
)；j=1,2,...,m；ΔT
hj
为ΔT
h
中第j个时间间隔；ΔT
hj
=LT
hj
‑
T
j
；LT
hj
为第j个候选行为标识子列表中F
h
对应的目标行为标识所对应的操作行为的执行时间；T
j
为Q中第j个第一行为标识对应
的操作行为的执行时间，AVG()为预设的均值确定函数。
[0005]在本申请的一种示例性实施例中，根据C和F
h
，生成C对应的目标行为检测规则，包括：根据C、F
h
和AVG(ΔT
h
)，生成C对应的目标行为检测规则。
[0006]在本申请的一种示例性实施例中，分别对Q中与每相邻两个第一行为标识之间的候选行为标识进行提取，以得到m个候选行为标识子列表，包括：以W
j
和W
j+1
为节点，将Q中W
j
和W
j+1
之间的若干候选行为标识确定为第二行为标识，以得到W
j
对应的候选行为标识子列表E
j
=(W
j
,W
j1
,...,W
jg
,...,W
jf(j)
)；其中，g=1,2,...,f(j)；f(j)为Q中W
j
和W
j+1
之间的候选行为标识的数量；W
jg
为W
j
和W
j+1
之间的第g个第二行为标识。
[0007]在本申请的一种示例性实施例中，对m个候选行为标识子列表中的候选行为标识进行汇总后去重，以得到v个中间行为标识F1,F2,...,F
h
,...,F
v
，包括：获取每一第二行为标识，对所有第二行为标识去重，以得到v个中间行为标识F1,F2,...,F
h
,...,F
v
。
[0008]在本申请的一种示例性实施例中，获取每一第二行为标识，对所有第二行为标识去重，以得到v个中间行为标识F1,F2,...,F
h
,...,F
v
，包括：获取每一第二行为标识，得到第二行为标识列表G=(G1,G2,...,G
r
,...,G
q
)；其中，r=1,2,...,q；q=∑
mj=1
f(j)；q为第二行为标识的数量；G
r
为第r个第二行为标识；对G进行去重处理，得到v个中间行为标识F1,F2,...,F
h
,...,F
v
。
[0009]在本申请的一种示例性实施例中，若每一候选行为标识子列表中均存在与F
h
相同的候选行为标识，则将每一候选行为标识子列表中与F
h
相同且对应的执行时间最早的候选行为标识确定为F
h
对应的目标行为标识，包括：遍历F1,F2,...,F
h
,...,F
v
，若每一候选行为标识子列表中均存在与F
h
相同的候选行为标识，则获取第j个候选行为标识子列表中与F
h
相同的若干候选行为标识L
j1
,L
j2
,...,L
jp
,...,L
js(j)
；其中，p=1,2,...,s(j)；s(j)为第j个候选行为标识子列表中与F
h
相同的候选行为标识的数量；L
jp
为第j个候选行为标识子列表中与F
h本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种行为检测规则的确定方法，其特征在于，所述方法包括如下步骤：响应于检测到目标设备受到APT攻击，根据所述目标设备在目标时间段内执行的若干操作行为，得到候选行为标识列表Q=(Q1,Q2,...,Q
i
,...,Q
n
)；其中，i=1,2,...,n；n为所述目标设备在目标时间段内执行的操作行为的数量；Q
i
为所述目标设备在目标时间段内执行的第i个操作行为对应的候选行为标识；每一所述候选行为标识为若干预设行为标识中的任一；所述目标时间段的结束时间为当前时间；遍历Q，将与目标随机行为标识C相同的候选行为标识确定为第一行为标识，得到m个第一行为标识W1,W2,...,W
j
,...,W
m
；其中，j=1,2,...,m；W
j
为第j个第一行为标识；所述目标随机行为标识为具有随机性的操作行为对应的行为标识；分别对Q中与每相邻两个第一行为标识之间的候选行为标识进行提取，以得到m个候选行为标识子列表；对m个所述候选行为标识子列表中的候选行为标识进行汇总后去重，以得到v个中间行为标识F1,F2,...,F
h
,...,F
v
；其中，h=1,2,...,v；F
h
为第h个中间行为标识；根据F
h
，遍历每一所述候选行为标识子列表；若每一所述候选行为标识子列表中均存在与F
h
相同的候选行为标识，则将每一所述候选行为标识子列表中与F
h
相同且对应的执行时间最早的候选行为标识确定为F
h
对应的目标行为标识；根据F
h
对应的目标行为标识，确定F
h
对应的目标时间间隔波动值X
h
；若X
h
小于预设波动值阈值，则根据C和F
h
，生成C对应的目标行为检测规则。2.根据权利要求1所述的方法，其特征在于，X
h
符合以下条件：X
h
=(∑
j=1m
(ΔT
hj
‑
AVG(ΔT
h
))2)/m；其中，ΔT
h
为F
h
对应的时间间隔列表；ΔT
h
=(ΔT
h1
,ΔT
h2
,...,ΔT
hj
,...,ΔT
hm
)；ΔT
hj
为ΔT
h
中第j个时间间隔；ΔT
hj
=LT
hj
‑
T
j
；LT
hj
为第j个候选行为标识子列表中F
h
对应的目标行为标识所对应的操作行为的执行时间；T
j
为Q中第j个第一行为标识对应的操作行为的执行时间，AVG()为预设的均值确定函数。3.根据权利要求2所述的方法，其特征在于，所述根据C和F
h
，生成C对应的目标行为检测规则，包括：根据C、F
h
和AVG(ΔT
h
)，生成C对应的目标行为检测规则。4.根据权利要求1所述的方法，其特征在于，所述分别对Q中与每相邻两个第一行为标识之间的候选行为标识进行提取，以得到m个候选行为标识子列表，包括：以W
j
和W
j+1
为节点，将Q中W
j
和W
j+1
之间的若干候选行为标识确定为第二行为标识，以得到W
j
对应的候选行为标识子列表E
j
=(W
j
,W
j1
,...,W
jg
,...,W
jf(j)
)；其中，g=1,2,...,f(j)；f(j)为Q中W
j
和W
j+1
之间的候选行为标识的数量；W
jg
为W
j
和W
j+1
之间的第g个第二行为标识。5.根据权利要求4所述的方法，其特征在于，所述对m个所述候选行为标识子列表中的候选行为标识进行汇总后去重，以得到v个中间行为标识F1,F2,...,F
h
,...,F
v
，包括：获取每一所述第二行为标识，对所有所述第二行为标识去重，以得到v个中间行为标识F1,F2,...,F<...

【专利技术属性】
技术研发人员：李丹，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：