[发明专利]一种攻击检测方法及相关装置

权利要求书

1.一种攻击检测方法，其特征在于，包括：

获取行为日志；其中，所述行为日志包括系统行为信息、进程行为信息、脚本行为信息以及框架行为信息中一种或多种的组合；

对所述行为日志进行特征提取，得到行为特征；其中，所述行为特征包括内存缓冲区特征、执行上下文特征、进程转储文件特征、异常负载特征中一种或多种的组合；

基于所述行为特征进行攻击检测，得到检测结果。

2.根据权利要求1所述的攻击检测方法，其特征在于，所述获取行为日志，包括：

通过系统监控工具和/或接口钩子和/或反恶意软件扫描接口获取所述行为日志。

3.根据权利要求1所述的攻击检测方法，其特征在于，基于所述行为特征进行攻击检测，得到检测结果，包括：

基于多个无文件攻击匹配规则对所述行为特征进行匹配，得到匹配结果；

对所述匹配结果进行攻击分值计算，得到所述检测结果。

4.根据权利要求3所述的攻击检测方法，其特征在于，基于多个无文件攻击匹配规则对所述行为特征进行匹配，得到匹配结果，包括：

对每个所述无文件攻击匹配规则设置独立的子进程；其中，每个所述子进程对应一种无文件攻击手段，且每个所述子进程设置有不同的权重；

基于每个所述子进程对所述行为特征进行无文件攻击匹配，得到所述匹配结果；

相应的，对所述匹配结果进行攻击分值计算，得到所述检测结果，包括：

基于每个所述子进程的权重对所述匹配结果进行攻击分值计算，得到所述检测结果。

5.根据权利要求1所述的攻击检测方法，其特征在于，还包括：

提取所述匹配结果中已匹配规则和已匹配特征；

基于所述检测结果的分值匹配出危险等级；

基于所述已匹配规则、所述已匹配特征以及所述危险等级进行摘要生成处理，得到分析摘要。

6.根据权利要求1所述的攻击检测方法，其特征在于，还包括：

基于所述检测结果进行异常攻击处理。

7.根据权利要求1所述的攻击检测方法，其特征在于，还包括：

基于所述检测结果进行可疑日志汇总处理，得到可疑行为日志；

通过可视化管理平台将所述可疑日志进行展示。

8.一种攻击检测装置，其特征在于，包括：

行为日志采集模块，用于获取行为日志；其中，所述行为日志包括系统行为信息、进程行为信息、脚本行为信息以及框架行为信息中一种或多种的组合；

行为特征提取模块，用于对所述行为日志进行特征提取，得到行为特征；其中，所述行为特征包括内存缓冲区特征、执行上下文特征、进程转储文件特征、异常负载特征中一种或多种的组合；

无文件攻击检测模块，用于基于所述行为特征进行攻击检测，得到检测结果。

9.一种服务器，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击检测方法的步骤。