[发明专利]一种攻击检测方法、攻击检测系统、存储介质和电子设备

说明书

本申请提供一种攻击检测方法，预先设置预设攻击序列集，所述预设攻击序列集包括若干攻击序列类，所述攻击序列类包含至少一种攻击方式，所述检测方法包括：获取恶意行为；所述恶意行为对应一种所述攻击方式；根据所述恶意行为得到实际攻击序列；根据所述攻击序列类及所述实际攻击序列得到检测结果，所述检测结果用于表征定向威胁攻击。本申请能全方位的检测恶意攻击行为，降低由于单一维度检测被绕过的概率，提高对恶意行为的检测强度和检测效率。本申请还提供一种攻击检测系统、计算机可读存储介质和电子设备，具有上述有益效果。

技术领域

本申请涉及网络安全领域，特别涉及一种攻击检测方法、攻击检测系统、存储介质和电子设备。

背景技术

系统的端点防护软件采用行为监控加IOC(indicator of compromise，入侵威胁指标)的方式确定威胁，比如监控变化的文件和恶意文件的MD5(message-digestalgorithm 5，信息摘要算法)比较、监控网络行为和恶意DNS(Domain Name System，域名服务)比较等。这种基于单一维度的检测方式，比较滞后，而且MD5、DNS等IOC的变化成本很低，非常容易被绕过。因为对发生的威胁缺乏攻击的上下文信息(关联信息)，仅靠IOC很难捕获到新的APT(Advanced Persistent Threat，高级可持续威胁攻击)类型攻击。

当前多采用单点防御概念，通过驱动或者注入挂钩关键函数来监控关键操作，通过云端查询操作进程MD5的黑白灰，从而对非白进程拦截弹窗，交给用户决策是否放行。但单点行为的检测很难判断是否属于恶意程序，其仅能告知可疑但不能具体判断的恶意程序，对于用户而言，仅从告警信息无法决策处置方式，而且很容易被绕过，无法根据单一的危险行为信息无法判断是否处于APT的攻击之中。因此，如何有效防范APT攻击是本领域技术人员亟需解决的技术问题。

发明内容

本申请的目的是提供一种攻击检测方法、攻击检测系统、存储介质和电子设备，能够提高对恶意行为的检测强度和检测效率。

为解决上述技术问题，本申请提供一种攻击检测方法，预先设置预设攻击序列集，所述预设攻击序列集包括若干攻击序列类，所述攻击序列类包含至少一种攻击方式，所述检测方法包括：

获取恶意行为；所述恶意行为对应一种所述攻击方式；

根据所述恶意行为得到实际攻击序列；

根据所述攻击序列类及所述实际攻击序列得到检测结果，所述检测结果用于表征定向威胁攻击。

可选的，所述获取恶意行为前，还包括：

对采集的行为进行进程监控，确定所述行为的进程变化；

利用网络流量探针分析所述行为进程变化中的流量，确定所述行为的流量内容；

根据所述流量内容判断所述行为是否属于所述预设攻击序列集中的攻击序列类；

若是，确定所述行为属于恶意行为。

可选的，根据所述流量内容判断所述行为是否属于所述预设攻击序列集中的攻击序列类包括：

判断所述预设攻击序列集是否存在包含所述行为对应进程的目标攻击序列类；

若存在，且所述流量内容属于所述目标攻击序列类中攻击方式所产生的流量类型，判定所述行为属于所述预设攻击序列集中的攻击序列类。

可选的，根据所述恶意行为得到实际攻击序列包括：

在预设时间范围内监听所述恶意行为的进程变化，得到所述恶意行为的关联行为；

记录所述恶意行为和其对应的所有关联行为，得到所述恶意行为的实际攻击序列

可选的，根据所述攻击序列类及所述实际攻击序列得到检测结果之前，还包括：