[发明专利]一种黑客攻击行为的检测方法、系统及相关装置

权利要求书

1.一种黑客攻击行为的检测方法，其特征在于，包括：

利用检测算法检测目标时间段内的主机流量，判断是否存在可疑行为；

若存在，则根据检测到所述可疑行为的检测算法对应的危险等级调整主机的威胁度；其中，所述危险等级根据所述检测算法的特征强度设置，所述特征强度越强的所述检测算法对应的所述危险等级越高；

判断所述威胁度是否大于预设值；若大于，则生成关于检测到黑客攻击行为的安全报警信息；

若不大于所述预设值，则根据所述威胁度调整所述检测算法的参数，并利用调整参数后的检测算法检测所述目标时间段之后的主机流量中的所述可疑行为，以便调整所述威胁度。

2.根据权利要求1所述检测方法，其特征在于，利用所述检测算法检测目标时间段内的所述主机流量，判断是否存在所述可疑行为包括：

利用所述检测算法检测目标时刻的主机流量，判断是否存在第一可疑行为；其中，所述目标时刻为所述目标时间段内的时刻；

若存在，则根据检测到所述第一可疑行为的检测算法对应的危险等级调整所述威胁度；

判断所述威胁度是否大于所述预设值；

若否，则读取所述目标时间段内的主机流量，根据所述威胁度调整所述检测算法的参数，并利用调整参数后的检测算法检测所述目标时间段内的主机流量中是否存在第二可疑行为；其中，所述可疑行为包括所述第一可疑行为和第二可疑行为。

3.根据权利要求1或2所述检测方法，其特征在于，在生成关于检测到黑客攻击行为的安全报警信息之后，还包括：

查找执行所述可疑行为的第一风险主机和被执行所述可疑行为的第二风险主机，生成风险主机关系图。

4.根据权利要求3所述检测方法，其特征在于，还包括：

根据所述第一风险主机和所述第二风险主机生成失陷主机列表。

5.根据权利要求3所述检测方法，其特征在于，还包括：

当检测到所述可疑行为时，生成与所述可疑行为对应的安全事件；

按照所述安全事件的发生顺序和所述风险主机关系图生成主机失陷过程图。

6.根据权利要求4所述检测方法，其特征在于，还包括：

根据所述失陷主机列表对失陷主机向外发送的数据进行阻断操作和隔离操作。

7.一种黑客攻击行为的检测系统，其特征在于，包括：

威胁度确定模块，用于利用检测算法检测主机流量中的可疑行为，并根据检测到所述可疑行为的检测算法的危险等级调整主机的威胁度；其中，所述危险等级根据所述检测算法的特征强度设置，所述特征强度越强的所述检测算法对应的所述危险等级越高；

报警模块，用于判断所述威胁度是否大于预设值；若大于，则生成关于检测到黑客攻击行为的安全报警信息；

其中，所述威胁度确定模块包括：

历史流量检测子模块，用于利用所述检测算法检测目标时间段内的主机流量，判断是否存在所述可疑行为；

第一威胁度调整子模块，用于当存在所述可疑行为时，根据检测到所述可疑行为的检测算法对应的危险等级调整所述威胁度；

第一判断子模块，用于判断所述威胁度是否大于所述预设值；

第二威胁度调整子模块，用于当所述威胁度小于或等于所述预设值时，根据所述威胁度调整所述检测算法的参数，并利用调整参数后的检测算法检测所述目标时间段之后的主机流量中的所述可疑行为，以便调整所述威胁度。