[发明专利]攻击行为检测方法、装置、计算机设备及存储介质

说明书

本发明实施例公开了一种攻击行为检测方法、装置、计算机设备及存储介质。所述方法包括：获取目标网络中节点的日志信息，并从所述日志信息中统计连续日志数据，所述目标网络包括至少一个节点；根据预设的攻击数据库，关联分析各所述节点匹配的连续日志数据，确定攻击行为数据；根据所述攻击行为数据，生成攻击检测结果。本发明实施例可以减少攻击行为检测的人工成本，提高攻击行为检测的效率。

技术领域

本发明实施例涉及网络领域，尤其涉及一种攻击行为检测方法、装置、计算机设备及存储介质。

背景技术

近年来各行业信息化建设不断完善，业务也越来越依赖于信息系统。但网络与信息系统自身存在的缺陷以及面临的威胁，使信息系统的运行存在着潜在风险，如何快速正确的发现信息系统所遇到的网络安全问题也成为安全人员的工作重点之一。

目前可以采用MITRE ATTCK的框架，与预先统计的攻击行为进行匹配，展示可能存在的攻击行为。从而企业可以在MITRE ATTCK的框架中，发现意图入侵的攻击组织，便于企业针对性的做好安全事件的响应。

但上述工具对安全问题的处理方式依赖于安全人员的人工经验，而且无法应对大规模的网络环境应用。

发明内容

本发明实施例提供一种攻击行为检测方法、装置、计算机设备及存储介质，可以减少确定攻击方式的人工成本，提高攻击方式的分析效率。

第一方面，本发明实施例提供了一种攻击行为检测方法，包括：

获取目标网络中节点的日志信息，并从所述日志信息中统计连续日志数据，所述目标网络包括至少一个节点；

根据预设的攻击数据库，关联分析各所述节点匹配的连续日志数据，确定攻击行为数据；

根据所述攻击行为数据，生成攻击检测结果。

第二方面，本发明实施例还提供了一种攻击行为检测装置，包括：

日志信息获取模块，用于获取目标网络中节点的日志信息，并从所述日志信息中统计连续日志数据，所述目标网络包括至少一个节点；

攻击行为数据获取模块，用于根据预设的攻击数据库，关联分析各所述节点匹配的连续日志数据，确定攻击行为数据；

攻击检测结果生成模块，用于根据所述攻击行为数据，生成攻击检测结果。

第三方面，本发明实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序所述处理器执行所述程序时实现如本发明实施例中任一所述的攻击行为检测方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例中任一所述的攻击行为检测方法。

本发明实施例通过获取目标网络中节点的日志信息，并提取连续日志数据，根据预设的攻击数据库，进行关联比较分析，确定攻击行为数据，生成攻击检测结果，解决了现有技术中人工检测安全问题导致检测结果主观且效率低的问题，可以保证攻击行为数据客观，提高攻击行为检测的准确性，减少确定攻击方式的人工成本，提高攻击方式的分析效率。

附图说明

图1是本发明实施例一中的一种攻击行为检测方法的流程图；

图2是本发明实施例二中的一种攻击行为检测方法的流程图；

图3是本发明实施例三中的一种攻击行为检测装置的结构示意图；

图4是本发明实施例四中的一种计算机设备的结构示意图。

具体实施方式