[发明专利]一种攻击检测方法及相关装置

说明书

本申请公开了一种攻击检测方法，包括：获取行为日志；其中，所述行为日志包括系统行为信息、进程行为信息、脚本行为信息以及框架行为信息中一种或多种的组合；对所述行为日志进行特征提取，得到行为特征；其中，所述行为特征包括内存缓冲区特征、执行上下文特征、进程转储文件特征、异常负载特征中一种或多种的组合；基于所述行为特征进行攻击检测，得到检测结果。通过对多种不同的行为日志和不同的行为特征进行攻击检测，而不是仅通过静态文件进行攻击检测，提高了攻击检测的范围，提高了攻击检测的效果。本申请还公开了一种攻击检测装置、服务器以及计算机可读存储介质，具有以上有益效果。

技术领域

本申请涉及计算机安全技术领域，特别涉及一种攻击检测方法、攻击检测装置、服务器以及计算机可读存储介质。

背景技术

随着信息技术的不断发展，各行各业中的信息安全问题也越来越重要。因此，在搭建信息系统或使用信息技术时，需要先考虑使用何种相对应的安全解决方案，以避免出现安全问题。

相关技术中，基于文件的静态扫描方法可以对文件中存在的危险内容进行扫描，并进行威胁清除，以避免基于文件的安全问题。但是，当出现基于无文件攻击的攻击策略时，该安全解决方案极难检测到无文件攻击。攻击者越来越多地通过无文件攻击手法来绕过各种安全解决方案，导致难以检测一些基于无文件攻击的恶意软件入侵，降低攻击检测的效果。

因此，如何提高攻击进行检测的效果是本领域技术人员关注的重点问题。

发明内容

本申请的目的是提供一种攻击检测方法、攻击检测装置、服务器以及计算机可读存储介质，以提高攻击检测的效果，保持系统的安全性和可靠性。

为解决上述技术问题，本申请提供一种攻击检测方法，包括：

获取行为日志；其中，所述行为日志包括系统行为信息、进程行为信息、脚本行为信息以及框架行为信息中一种或多种的组合；

对所述行为日志进行特征提取，得到行为特征；其中，所述行为特征包括内存缓冲区特征、执行上下文特征、进程转储文件特征、异常负载特征中一种或多种的组合；

基于所述行为特征进行攻击检测，得到检测结果。

可选的，所述获取行为日志，包括：

通过系统监控工具和/或接口钩子和/或反恶意软件扫描接口获取所述行为日志。

可选的，基于所述行为特征进行攻击检测，得到检测结果，包括：

基于多个无文件攻击匹配规则对所述行为特征进行匹配，得到匹配结果；

对所述匹配结果进行攻击分值计算，得到所述检测结果。

可选的，基于多个无文件攻击匹配规则对所述行为特征进行匹配，得到匹配结果，包括：

对每个所述无文件攻击匹配规则设置独立的子进程；其中，每个所述子进程对应一种无文件攻击手段，且每个所述子进程设置有不同的权重；

基于每个所述子进程对所述行为特征进行无文件攻击匹配，得到所述匹配结果；

相应的，对所述匹配结果进行攻击分值计算，得到所述检测结果，包括：

基于每个所述子进程的权重对所述匹配结果进行攻击分值计算，得到所述检测结果。

可选的，还包括：

提取所述匹配结果中已匹配规则和已匹配特征；

基于所述检测结果的分值匹配出危险等级；

基于所述已匹配规则、所述已匹配特征以及所述危险等级进行摘要生成处理，得到分析摘要。

可选的，还包括：