一种攻击行为检测方法、装置、设备及可读存储介质制造方法及图纸

本申请公开了一种攻击行为检测方法、装置、设备及可读存储介质，方法包括：获取目标系统中的当前操作序列；判断预先挖掘的频繁多项集中是否存在与当前操作序列相匹配的目标频繁多项集；频繁多项集为预先获取各历史操作序列对应的历史日志并对历史日志进行挖掘得到的；若存在目标频繁多项集，则判断目标频繁多项集中是否存在攻击特征；若存在攻击特征，则确定当前操作序列存在攻击行为并发出存在攻击行为的提示。本申请公开的上述技术方案，通过获取并借助各历史操作序列对应的历史日志及当前操作序列实现在对目标系统进行操作的过程中进行攻击行为检测，以将攻击行为检测与系统逻辑进行解耦，从而降低系统逻辑的复杂性，并便于及时发现攻击行为。并便于及时发现攻击行为。并便于及时发现攻击行为。

【技术实现步骤摘要】
一种攻击行为检测方法、装置、设备及可读存储介质


[0001]本申请涉及攻击检测
，更具体地说，涉及一种攻击行为检测方法、装置、设备及可读存储介质。

技术介绍

[0002]随着移动互联网的快速发展，在互联网服务的敏捷迭代过程中，不可避免地蕴含了各种故障或漏洞。因此，人们在享受各种应用的便捷服务的同时，也带来的各种安全问题，如爬虫、拖库等导致数据泄露的攻击行为，或者是黑客通过异常数据库查询、XSS(又叫Cross
‑
SiteScripting，跨站脚本攻击)攻击脚本、越权访问、遍历等渗透性的探测行为进行网站漏洞查询等。
[0003]目前，现有的攻击行为检测分为事前检测和事后审计两类，其中，事前检测通常是在系统中增加攻击行为检测代码，并利用所增加的攻击行为检测代码对用户的操作进行攻击行为检测，但是，由于其需要在系统逻辑中增加上述代码，因此，会增加系统的复杂性；事后审计是在用户一次会话结束后进行攻击行为检测，但这会因攻击行为已经发生而给系统带来损失。
[0004]综上所述，如何在不增加系统逻辑的复杂性基础上及时对攻击行为进行检测，是目前本领域技术人员亟待解决的技术问题。

技术实现思路

[0005]有鉴于此，本申请的目的是提供一种攻击行为检测方法、装置、设备及可读存储介质，用于在不增加系统逻辑的复杂性基础上及时对攻击行为进行检测。
[0006]为了实现上述目的，本申请提供如下技术方案：
[0007]一种攻击行为检测方法，包括：
[0008]获取目标系统中的当前操作序列；
[0009]判断预先挖掘的频繁多项集中是否存在与所述当前操作序列相匹配的目标频繁多项集；其中，所述频繁多项集为预先获取所述目标系统中各历史操作序列对应的历史日志，并对所述历史日志进行挖掘得到的；
[0010]若存在所述目标频繁多项集，则判断所述目标频繁多项集中是否存在攻击特征；
[0011]若所述目标频繁多项集中存在攻击特征，则确定所述当前操作序列存在攻击行为，并发出所述当前操作序列存在攻击行为的提示。
[0012]优选的，对所述历史日志进行挖掘得到频繁多项集，包括：
[0013]对各所述历史日志进行预处理，并将预处理后的各历史日志分别作为一条事务；
[0014]判断各所述事务中是否存在攻击特征，在存在攻击特征的事务中加入第一特征项，在不存在攻击特征的事务中加入第二特征项；
[0015]利用FP
‑
Growth算法对各事务进行挖掘，得到频繁多项集；
[0016]相应地，判断所述目标频繁多项集中是否存在攻击特征，包括：
[0017]获取所述目标频繁多项集的父集，并确定包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数；
[0018]利用包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数，计算所述目标频繁多项集的置信度；
[0019]判断所述置信度是否大于第一预设值，若是，则确定所述目标频繁多项集中存在攻击特征。
[0020]优选的，判断各所述事务中是否存在攻击特征，包括：
[0021]判断所述事务中是否至少有一个操作项出现的次数超过第二预设值、所述事务中是否存在相邻两个操作项的时间间隔低于第三预设值、所述事务的历经时长是否超过第四预设值、所述事务中是否存在打印系统异常；
[0022]若所述事务中存在至少有一个操作项出现的次数超过所述第二预设值、相邻两个操作项的时间间隔低于所述第三预设值、历经时长超过所述第四预设值、打印系统异常中的至少一项，则确定所述事务中存在攻击特征。
[0023]优选的，在确定所述当前操作序列存在攻击行为之后，还包括：
[0024]获取所述当前操作序列对应的日志，并将所述日志作为历史日志，且返回执行所述对各所述历史日志进行预处理的步骤。
[0025]优选的，对各所述历史日志进行预处理，包括：
[0026]删除各所述历史日志中的无效操作项。
[0027]优选的，在确定所述当前操作序列存在攻击行为之后，还包括：
[0028]告知所述目标系统所述当前操作序列存在攻击行为，以由所述目标系统关闭所述当前操作序列对应的当前会话。
[0029]一种攻击行为检测装置，包括：
[0030]获取模块，用于获取目标系统中的当前操作序列；
[0031]第一判断模块，用于判断预先挖掘的频繁多项集中是否存在与所述当前操作序列相匹配的目标频繁多项集；其中，所述频繁多项集为预先获取所述目标系统中各历史操作序列对应的历史日志，并对所述历史日志进行挖掘得到的；
[0032]第二判断模块，用于若存在所述目标频繁多项集，则判断所述目标频繁多项集中是否存在攻击特征；
[0033]确定模块，用于若所述目标频繁多项集中存在攻击特征，则确定所述当前操作序列存在攻击行为，并发出所述当前操作序列存在攻击行为的提示。
[0034]优选的，所述攻击行为检测装置还包括用于对所述历史日志进行挖掘得到频繁多项集的挖掘模块，所述挖掘模块包括：
[0035]预处理单元，用于对各所述历史日志进行预处理，并将预处理后的各历史日志分别作为一条事务；
[0036]第一判断单元，用于判断各所述事务中是否存在攻击特征，在存在攻击特征的事务中加入第一特征项，在不存在攻击特征的事务中加入第二特征项；
[0037]挖掘单元，用于利用FP
‑
Growth算法对各事务进行挖掘，得到频繁多项集；
[0038]相应地，所述第二判断模块包括：
[0039]获取单元，用于获取所述目标频繁多项集的父集，并确定包含所述第一特征项的
父集的个数、包含所述第二特征项的父集的个数；
[0040]计算单元，用于利用包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数，计算所述目标频繁多项集的置信度；
[0041]第二判断单元，用于判断所述置信度是否大于第一预设值，若是，则确定所述目标频繁多项集中存在攻击特征。
[0042]一种攻击行为检测设备，包括：
[0043]存储器，用于存储计算机程序；
[0044]处理器，用于执行所述计算机程序时实现如上述任一项所述的攻击行为检测方法的步骤。
[0045]一种可读存储介质，所述可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述的攻击行为检测方法的步骤。
[0046]本申请提供了一种攻击行为检测方法、装置、设备及可读存储介质，其中，该方法包括：获取目标系统中的当前操作序列；判断预先挖掘的频繁多项集中是否存在与当前操作序列相匹配的目标频繁多项集；其中，频繁多项集为预先获取目标系统中各历史操作序列对应的历史日志，并对历史日志进行挖掘得到的；若存在目标频繁多项集，则判断目标频繁多项集中是否存在攻击特征；若目标频繁多项集中存在攻击特征，则确定当前操作序列存在攻击行为，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击行为检测方法，其特征在于，包括：获取目标系统中的当前操作序列；判断预先挖掘的频繁多项集中是否存在与所述当前操作序列相匹配的目标频繁多项集；其中，所述频繁多项集为预先获取所述目标系统中各历史操作序列对应的历史日志，并对所述历史日志进行挖掘得到的；若存在所述目标频繁多项集，则判断所述目标频繁多项集中是否存在攻击特征；若所述目标频繁多项集中存在攻击特征，则确定所述当前操作序列存在攻击行为，并发出所述当前操作序列存在攻击行为的提示。2.根据权利要求1所述的攻击行为检测方法，其特征在于，对所述历史日志进行挖掘得到频繁多项集，包括：对各所述历史日志进行预处理，并将预处理后的各历史日志分别作为一条事务；判断各所述事务中是否存在攻击特征，在存在攻击特征的事务中加入第一特征项，在不存在攻击特征的事务中加入第二特征项；利用FP
‑
Growth算法对各事务进行挖掘，得到频繁多项集；相应地，判断所述目标频繁多项集中是否存在攻击特征，包括：获取所述目标频繁多项集的父集，并确定包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数；利用包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数，计算所述目标频繁多项集的置信度；判断所述置信度是否大于第一预设值，若是，则确定所述目标频繁多项集中存在攻击特征。3.根据权利要求2所述的攻击行为检测方法，其特征在于，判断各所述事务中是否存在攻击特征，包括：判断所述事务中是否至少有一个操作项出现的次数超过第二预设值、所述事务中是否存在相邻两个操作项的时间间隔低于第三预设值、所述事务的历经时长是否超过第四预设值、所述事务中是否存在打印系统异常；若所述事务中存在至少有一个操作项出现的次数超过所述第二预设值、相邻两个操作项的时间间隔低于所述第三预设值、历经时长超过所述第四预设值、打印系统异常中的至少一项，则确定所述事务中存在攻击特征。4.根据权利要求2所述的攻击行为检测方法，其特征在于，在确定所述当前操作序列存在攻击行为之后，还包括：获取所述当前操作序列对应的日志，并将所述日志作为历史日志，且返回执行所述对各所述历史日志进行预处理的步骤。5.根据权利要求2所述的攻击行为检测方法，其特征在于，对各所述历史日志进行预处理，包...

【专利技术属性】
技术研发人员：李深圳，张隆胜，
申请(专利权)人：杭州安恒信息安全技术有限公司，
类型：发明
国别省市：