[发明专利]一种黑客攻击行为的检测方法、系统及相关装置

说明书

本申请公开了一种黑客攻击行为的检测方法，所述检测方法包括利用检测算法检测主机流量中的可疑行为，并根据检测到可疑行为的检测算法的危险等级调整主机的威胁度；其中，危险等级根据检测算法的特征强度设置，特征强度越强的检测算法对应的危险等级越高；判断威胁度是否大于预设值；若大于，则生成关于检测到黑客攻击行为的安全报警信息。本方法能够提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率。本申请还公开了一种黑客攻击行为的检测系统、一种计算机可读存储介质及一种黑客攻击行为的检测装置，具有以上有益效果。

技术领域

本发明涉及网络安全技术领域，特别涉及一种黑客攻击行为的检测方法、系统、一种计算机可读存储介质及一种黑客攻击行为的检测装置。

背景技术

随着信息技术的不断发展，关于网络安全的问题逐渐受到人们的重视。如何检测黑客攻击行为是网络安全的一个重要课题，黑客攻击行为可以包括：扫描行为、爆破攻击行为和漏洞利用行为等。其中，扫描行为是指黑客为了找到攻击目标而进行的一些列侦查行为，如探测服务器版本，探测开放端口等；爆破攻击行为是指黑客为了取得合法登录权限，使用大量用户名和密码进行登录尝试的行为；漏洞利用行为是指黑客利用主机存在的漏洞获取主机控制权限的过程。

现有技术中，对于黑客攻击行为的检测是通过关联规则实现的。例如，将扫描行为定义为事件A，漏洞攻击行为定义为事件B，CC通信行为定义为事件C，然后将A事件—B事件—C事件定义为一个关联规则M。当用户在内网攻击时，如果刚好匹配到A事件—B事件—C事件这个攻击过程，则可以认为检测到了黑客的攻击。但是，由于黑客攻击行为的过程不一定按照定义的关联规则进行且关联规则并不具备普遍适用性，因此现有技术中通过关联规则检测黑客攻击行为的方案会出现误报率高、识别率低等问题。

因此，如何提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种黑客攻击行为的检测方法、系统、一种计算机可读存储介质及一种黑客攻击行为的检测装置，能够提高检测黑客攻击行为的识别率并降低检测黑客攻击行为的误报率。

为解决上述技术问题，本申请提供一种黑客攻击行为的检测方法，该检测方法包括：

利用检测算法检测主机流量中的可疑行为，并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度；其中，所述危险等级根据所述检测算法的特征强度设置，所述特征强度越强的所述检测算法对应的所述危险等级越高；

判断所述威胁度是否大于预设值；若大于，则生成关于检测到黑客攻击行为的安全报警信息。

可选的，所述利用检测算法检测主机流量中的可疑行为，并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度包括：

利用所述检测算法检测目标时间段内的主机流量，判断是否存在所述可疑行为；

若存在，则根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度；

判断所述威胁度是否大于所述预设值；

若否，则根据所述威胁度调整所述检测算法的参数，并利用调整参数后的检测算法检测所述目标时刻之后的主机流量中的所述可疑行为，以便调整所述威胁度。

可选的，利用所述检测算法检测目标时间段内的所述主机流量，判断是否存在所述可疑行为包括：

利用所述检测算法检测目标时刻的主机流量，判断是否存在第一可疑行为；其中，所述目标时刻为所述目标时间段内的时刻；

若存在，则根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度；

判断所述威胁度是否大于所述预设值；