[发明专利]异常行为的预防方法、装置、设备及存储介质

说明书

本发明属于网络安全技术领域，公开了一种异常行为的预防方法、装置、设备及存储介质。该方法包括：获取网络日志；根据所述网络日志判断是否是目标网络日志；若所述网络日志是目标网络日志，则根据所述网络日志确定目标IP的行为类型；根据所述行为类型得到所述目标IP的异常行为评分；根据所述异常行为评分确定所述目标IP的危险程度；根据所述危险程度确定对所述目标IP的预防策略，以实现对异常行为的预防。通过上述方式，可以根据与目标主机有关的网络日志获得目标IP，根据目标IP的行为对目标IP进行评分，以此确定目标IP的危险程度，可以动态、持续、完整的检测针对目标主机的恶意攻击行为，并提升对未知威胁的感知能力。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常行为的预防方法、装置、设备及存储介质。

背景技术

传统的入侵防御系统(Intrusion Protection System，IPS)、入侵检测系统(Intrusion Detection System，IDS)，是被动防御检测的角度，基于对技术、战术、过程(Techniques、Tactics、Procedure，TTP)的理解，通过特征或者语法语义或者人工智能(Artificial Intelligence，AI)检测的技术，进行主机威胁防御检测的系统。

除了误报问题，传统的威胁检测系统还存在如下3个主要缺陷：

1、依赖对TTP的了解和研究，对于不在认知范围内的TTP(未知威胁)缺乏检测能力，检测能力存在滞后性。

2、高级威胁越来越倾向于使用“白+黑”的攻击利用方式，针对这种攻击方式IPS、IDS出于对误报的担忧，不会去做检测。

3、主机失陷状态一般仅有“安全”和“失陷”两种状态，分别对应事前加固和事后处置两个阶段，缺少类似“现在主机没有失陷，但是已经被盯上了正在持续进行攻击尝试”的事中对抗的状态。

目前传统的威胁检测主要还是基于过往经验转化的规则或者算法系统，对未知威胁的感知能力不够。而主流的基于正常业务基线的异常检测系统，在检测的准确率、漏报率和可解释性上都存在缺陷。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种异常行为的预防方法、装置、设备及存储介质，旨在解决现有技术中对未知威胁的感知能力不够的技术问题。

为实现上述目的，本发明提供了一种异常行为的预防方法，所述方法包括以下步骤:

获取网络日志；

根据所述网络日志判断是否是目标网络日志；

若所述网络日志是目标网络日志，则根据所述网络日志确定目标IP的行为类型；

根据所述行为类型得到所述目标IP的异常行为评分；

根据所述异常行为评分确定所述目标IP的危险程度；

根据所述危险程度确定对所述目标IP的预防策略，以实现对异常行为的预防。

可选地，所述根据所述网络日志判断是否是目标网络日志，包括：

获取目标主机的IP；

获取所述网络日志中的源IP以及目的IP；

将所述源IP以及所述目的IP与所述目标主机的IP进行匹配，以判断所述网络日志是否是目标网络日志。

可选地，所述若所述网络日志是目标网络日志，则根据所述网络日志确定目标IP的行为类型，包括：

若所述网络日志是目标网络日志，则根据所述目标网络日志获得所述目标IP与目标主机的交互行为；