[发明专利]一种攻击检测方法、攻击检测系统、存储介质和电子设备

权利要求书

1.一种攻击检测方法，其特征在于，预先设置预设攻击序列集，所述预设攻击序列集包括若干攻击序列类，所述攻击序列类包含至少一种攻击方式，所述检测方法包括：

获取恶意行为；所述恶意行为对应一种所述攻击方式；

根据所述恶意行为得到实际攻击序列；

根据所述攻击序列类及所述实际攻击序列得到检测结果，所述检测结果用于表征定向威胁攻击；

其中，若所述实际攻击序列包含不属于任一攻击序列类的恶意行为，还包括：

对所述实际攻击序列进行解析，确定所述实际攻击序列的威胁度；

其中，对所述实际攻击序列进行解析，确定所述实际攻击序列的威胁度包括：

在所述预设攻击序列集中确定与所述实际攻击序列包括相同攻击序列类最多的目标攻击序列，以及实际攻击序列与所述目标攻击序列的区别攻击序列类；

对所述实际攻击序列中属于所述区别攻击序列类的恶意行为进行威胁度检测，得到威胁参数；

根据所述目标攻击序列的已知威胁度和所述威胁参数确定所述实际攻击序列的实际威胁度。

2.根据权利要求1所述的攻击检测方法，其特征在于，所述获取恶意行为前，还包括：

对采集的行为进行进程监控，确定所述行为的进程变化；

利用网络流量探针分析所述行为进程变化中的流量，确定所述行为的流量内容；

根据所述流量内容判断所述行为是否属于所述预设攻击序列集中的攻击序列类；

若是，确定所述行为属于恶意行为。

3.根据权利要求2所述的检测方法，其特征在于，根据所述流量内容判断所述行为是否属于所述预设攻击序列集中的攻击序列类包括：

判断所述预设攻击序列集是否存在包含所述行为对应进程的目标攻击序列类；

若存在，且所述流量内容属于所述目标攻击序列类中攻击方式所产生的流量类型，判定所述行为属于所述预设攻击序列集中的攻击序列类。

4.根据权利要求1所述的攻击检测方法，其特征在于，根据所述恶意行为得到实际攻击序列包括：

在预设时间范围内监听所述恶意行为的进程变化，得到所述恶意行为的关联行为；

记录所述恶意行为和其对应的所有关联行为，得到所述恶意行为的实际攻击序列。

5.根据权利要求1所述的攻击检测方法，其特征在于，根据所述攻击序列类及所述实际攻击序列得到检测结果之前，还包括：

根据攻击阶段配置攻击序列类，并根据历史攻击序列为所述攻击序列类添加相应的攻击方式，得到所述预设攻击序列集。

6.根据权利要求1所述的攻击检测方法，其特征在于，根据所述攻击序列类及所述实际攻击序列得到检测结果包括：

若所述实际攻击序列与预设攻击序列集中任一历史攻击序列相同，或所述实际攻击序列中的恶意行为均属于所述预设攻击序列集中的攻击序列类，确定攻击检测的检测结果为受到定向威胁攻击。

7.根据权利要求1-6任一项所述的攻击检测方法，其特征在于，根据所述攻击序列类及所述实际攻击序列得到检测结果之后，还包括：

根据所述检测结果生成对应的告警信息，所述告警信息用于指导处置所述恶意行为和所述实际攻击序列。