[发明专利]一种攻击检测参数获取方法、装置、设备及可读存储介质

说明书

本发明公开了一种攻击检测参数获取方法、装置、设备及计算机可读存储介质，该方法包括：获取攻击数据，攻击数据包括利用代码和触发代码；对利用代码进行目标特征提取处理，得到目标特征；对触发代码进行编码特征提取处理，得到编码特征；利用目标特征和编码特征生成攻击检测参数；该方法通过对目标特征和编码特征进行提取，可以直接对利用代码的特征以及触发代码的特征进行检测，因此无论漏洞攻击代码进行了怎样的变形，只要攻击数据中包括了利用代码以实现其攻击目的，或者包括了触发代码以触发利用代码，就可以检测出来，因此提高了检测能力和安全防护效果。

技术领域

本发明涉及网络安全技术领域，特别涉及一种攻击检测参数获取方法、攻击检测参数获取装置、攻击检测参数获取设备及计算机可读存储介质。

背景技术

为了获取目标设备的权限，大多数网络攻击中的恶意攻击者会通过安全漏洞对被攻击者的主机和服务器进行攻击。通过对大量的实战攻击、漏洞研究、防火墙绕过与安全加固经验的总结发现，当前安全漏洞的完整攻击代码(或者称为攻击数据)可以由不同的攻击数据生成工具生成得到，其内容一般包括漏洞攻击代码(exploit)和漏洞利用代码(payload)。漏洞攻击代码为根据具体漏洞精心构造的代码，通过漏洞攻击代码，就能够在漏洞的攻击点触发漏洞利用代码；漏洞利用代码为攻击者想要执行的代码，经过长时间的积累，漏洞利用代码基本有了固定的模式以实现其攻击目的。

相关技术一般对漏洞攻击代码进行检测，即对攻击数据中的漏洞攻击代码进行检测，防止其在攻击点触发漏洞利用代码。然而，攻击者很容易对漏洞攻击代码进行变形，例如利用不同的攻击数据生成工具或不同的编码方法对漏洞攻击代码进行变形，就可以轻易地绕开检测系统，实现攻击者的攻击目的。且若攻击者先发现某一漏洞并针对该漏洞开发出完整攻击代码时，则无法对该完整攻击代码进行任何检测，因此相关技术检测能力较差，防护效果较差。

因此，如何解决相关技术存在的检测能力较差和防护效果较差的问题，是本领域技术人员需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种攻击检测参数获取方法、攻击检测参数获取装置、攻击检测参数获取设备及计算机可读存储介质，解决了相关技术存在的检测能力较差和防护效果较差的问题。

为解决上述技术问题，本发明提供了一种攻击检测参数获取方法，包括：

获取攻击数据，所述攻击数据包括利用代码和触发代码；

根据预设利用数据对所述利用代码进行目标特征提取处理，得到目标特征；

根据预设编码数据对所述触发代码进行编码特征提取处理，得到编码特征；

利用所述目标特征和所述编码特征生成攻击检测参数。

可选地，所述利用所述目标特征和所述编码特征生成攻击检测参数，包括：

获取多个场景对应的多个代码表现形式；

分别根据各个所述代码表现形式，对各个所述目标特征和所述编码特征进行泛化处理，得到泛化特征；

利用所述泛化特征生成攻击检测参数。

可选地，所述根据预设编码数据对所述触发代码进行编码特征提取处理，得到编码特征，包括：

判断所述触发代码是否为源代码；

若所述触发代码为所述源代码，则将所述触发代码确定为第一代码；

若所述触发代码不为所述源代码，则对所述触发代码进行逆向处理，得到所述第一代码；

根据所述预设编码数据对所述第一代码进行编码特征提取处理，得到所述编码特征。

可选地，所述根据预设利用数据对所述利用代码进行目标特征提取处理，得到目标特征，包括：