[发明专利]攻击检测方法、攻击检测装置、存储介质与电子设备

权利要求书

1.一种攻击检测方法，其特征在于，包括：

获取对事件子模式进行编译所生成的非确定有限自动机NFA对象；所述事件子模式是描述攻击逻辑的语句；

对所述NFA对象进行语义解析，得到用于攻击检测的规则表达式；

当所述事件子模式发生更新时，获取所述NFA对象的增量数据，对所述增量数据进行语义解析得到增量部分的规则表达式，将其与原有的规则表达式进行合并以更新规则表达式；

利用所述规则表达式检测异常行为。

2.根据权利要求1所述的方法，其特征在于，所述获取对事件子模式进行编译所生成的非确定有限自动机NFA对象，包括：

获取事件子模式，每个事件子模式对应于单一攻击逻辑；

按照链表结构将所述事件子模式组合为复杂事件模式；

利用编译器将所述复杂事件模式编译为NFA对象。

3.根据权利要求2所述的方法，其特征在于，所述获取事件子模式，包括：

获取用户配置的事件子模式；或者

获取根据异常行为样本所建立的事件子模式。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

通过机器学习获取异常行为的特征，以根据所述异常行为的特征更新所述事件子模式。

5.根据权利要求1所述的方法，其特征在于，所述利用所述规则表达式检测异常行为，包括：

获取具有关联的多个待检测信息；

利用所述规则表达式对所述多个待检测信息进行匹配，以确定所述多个待检测信息是否包含异常行为。

6.根据权利要求5所述的方法，其特征在于，所述获取具有关联的多个待检测信息，包括：

获取待检测的访问信息以及所述访问信息的响应信息。

7.根据权利要求5所述的方法，其特征在于，所述获取具有关联的多个待检测信息，包括：

根据历史状态机，将多个待检测信息排列为待检测信息序列。

8.一种攻击检测装置，其特征在于，包括：

NFA对象获取单元，被配置为获取对事件子模式进行编译所生成的NFA对象；所述事件子模式是描述攻击逻辑的语句；

语义解析单元，被配置为对所述NFA对象进行语义解析，得到用于攻击检测的规则表达式；

规则更新单元，被配置为当所述事件子模式发生更新时，获取所述NFA对象的增量数据，对所述增量数据进行语义解析得到增量部分的规则表达式，将其与原有的规则表达式进行合并以更新规则表达式；

异常行为检测单元，被配置为利用所述规则表达式检测异常行为。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一项所述的方法。

10.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1至7任一项所述的方法。