[发明专利]威胁检测、模型生成方法、装置及电子设备和存储介质

说明书

本申请公开了一种威胁检测方法、装置及一种电子设备和计算机可读存储介质，该方法包括：获取目标主机的待检测数据；基于待检测数据中待检测项之间的交互关系提取有效关系路径，其中，有效关系路径包括至少两个检测项及各检测项之间的交互关系；对有效关系路径进行异常检测，得到目标主机的威胁检测结果。本申请提供的威胁检测方法，对目标主机的待检测数据进行分析，提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。由此可见，本申请提供的威胁检测方法，提高了对未知威胁的防御能力。

技术领域

本申请涉及计算机技术领域，更具体地说，涉及一种威胁检测方法、装置、一种威胁检测模型生成方法及一种电子设备和一种计算机可读存储介质。

背景技术

高级威胁(英文全称：advanced persistent threat，英文简称：APT)是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。相对的，威胁捕猎(threat hunting)是指在网络安全的世界中，通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。

在相关技术中，威胁捕猎技术主要基于规则匹配来搜寻网络中的威胁，这些规则是根据已经出现过的威胁人为制定出来的，因此只能防御已知的威胁，对于没有出现过的未知威胁几乎没有防御能力。

可见，如何提高对未知威胁的防御能力是本领域技术人员需要解决的技术问题。

发明内容

本申请的目的在于提供一种威胁检测方法、装置、一种威胁检测模型生成方法及一种电子设备和一种计算机可读存储介质，提高了对未知威胁的防御能力。

为实现上述目的，本申请提供了一种威胁检测方法，包括：

获取目标主机的待检测数据；

基于所述待检测数据中待检测项之间的交互关系提取有效关系路径，其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

其中，所述基于所述待检测数据中待检测项之间的交互关系构建提取有效关系路径，包括：

基于所述待检测数据构建物源图；其中，所述物源图中的节点表示所述待检测项，节点与节点之间的边表示所述待检测项之间的交互关系；

在所述物源图中确定所有起点和所有终点，并从所述物源图中提取所述起点至所述终点的有效关系路径。

其中，所述待检测数据包括主机日志，所述主机日志包括进程类日志、文件类日志、网络类日志、注册表日志和管道日志中任一项或任几项的组合。

其中，所述主机日志包括进程，所述基于所述待检测数据构建物源图，包括：

在物源图中为所述主机日志中的各进程分别创建对应的节点，并根据各进程之间的交互关系在所述物源图中创建所述节点之间的边。

其中，若所述主机日志包括进程及附加项，所述附加项包括文件、IP地址、注册表、管道中的任一项，则基于所述待检测数据构建物源图，包括：

判断所述物源图中是否存在所述主机日志中的进程对应的节点；

若是，则在所述物源图中为所述主机日志中的所述附加项创建对应的节点，并根据所述进程与所述附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边。

其中，所述待检测数据包括流量信息。

其中，所述流量信息包括IP地址，所述基于所述待检测数据构建物源图，包括：