[发明专利]攻击行为检测方法、装置、计算机设备及存储介质

权利要求书

1.一种攻击行为检测方法，其特征在于，包括：

获取目标网络中节点的日志信息，并从所述日志信息中统计连续日志数据，所述目标网络包括至少一个节点；

根据预设的攻击数据库，关联分析各所述节点匹配的连续日志数据，确定攻击行为数据；

根据所述攻击行为数据，生成攻击检测结果。

2.根据权利要求1所述的方法，其特征在于，所述从所述日志信息中提取连续日志数据，包括：

对所述日志信息进行解析，并查询与安全性参数关联的数据，得到日志数据，所述安全性参数包括下述至少一项：访问参数、权限参数和错误参数；

按照时序和类型，将日志数据进行排列，生成连续日志数据。

3.根据权利要求1所述的方法，其特征在于，所述根据预设的攻击数据库，关联分析各所述节点匹配的连续日志数据，确定攻击行为数据，包括：

选择所述攻击数据库包括的攻击手段作为目标攻击手段，并确定与所述目标攻击手段匹配的检测条件；

在各所述节点匹配的连续日志数据中，查询与所述检测条件匹配的异常日志数据；

如果确定各所述连续日志数据中的异常日志数据满足所述检测条件，则将所述检测条件匹配目标攻击手段作为攻击行为数据。

4.根据权利要求3所述的方法，其特征在于，所述查询与所述检测条件匹配的异常日志数据，包括：

采用与所述节点匹配的查询语句，查询与所述检测条件匹配的异常日志数据；所述查询语句与所述节点操作系统类型匹配，所述节点操作系统类型包括：Windows系统类型或Linux系统类型。

5.根据权利要求3所述的方法，其特征在于，所述确定各所述连续日志数据中的异常日志数据满足所述检测条件，包括：

根据各所述异常日志数据确定异常操作数据；

如果确定所述异常操作数据与所述检测条件中的标准操作数据匹配，则确定各所述连续日志数据中的异常日志数据满足所述检测条件。

6.根据权利要求1所述的方法，其特征在于，所述攻击数据库包括：攻击者和攻击手段的对应关系。

7.根据权利要求1所述的方法，其特征在于，在确定攻击检测结果之后，还包括：

显示所述攻击检测结果，所述攻击检测结果包括节点被攻击以及攻击者的检测结果或者节点未被攻击的检测结果。

8.一种攻击行为检测装置，其特征在于，包括：

日志信息获取模块，用于获取目标网络中节点的日志信息，并从所述日志信息中统计连续日志数据，所述目标网络包括至少一个节点；

攻击行为数据获取模块，用于根据预设的攻击数据库，关联分析各所述节点匹配的连续日志数据，确定攻击行为数据；

攻击检测结果生成模块，用于根据所述攻击行为数据，生成攻击检测结果。

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-7中任一所述的攻击行为检测方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任一所述的攻击行为检测方法。