本申請公開了一種黑客攻擊行為的檢測方法，所述檢測方法包括利用檢測算法檢測主機流量中的可疑行為，并根據檢測到可疑行為的檢測算法的危險等級調整主機的威脅度；其中，危險等級根據檢測算法的特征強度設置，特征強度越強的檢測算法對應的危險等級越高；判斷威脅度是否大于預設值；若大于，則生成關于檢測到黑客攻擊行為的安全報警信息。本方法能夠提高檢測黑客攻擊行為的識別率并降低檢測黑客攻擊行為的誤報率。本申請還公開了一種黑客攻擊行為的檢測系統、一種計算機可讀存儲介質及一種黑客攻擊行為的檢測裝置，具有以上有益效果。

技術領域

本發明涉及網絡安全技術領域，特別涉及一種黑客攻擊行為的檢測方法、系統、一種計算機可讀存儲介質及一種黑客攻擊行為的檢測裝置。

背景技術

隨著信息技術的不斷發展，關于網絡安全的問題逐漸受到人們的重視。如何檢測黑客攻擊行為是網絡安全的一個重要課題，黑客攻擊行為可以包括：掃描行為、爆破攻擊行為和漏洞利用行為等。其中，掃描行為是指黑客為了找到攻擊目標而進行的一些列偵查行為，如探測服務器版本，探測開放端口等；爆破攻擊行為是指黑客為了取得合法登錄權限，使用大量用戶名和密碼進行登錄嘗試的行為；漏洞利用行為是指黑客利用主機存在的漏洞獲取主機控制權限的過程。

現有技術中，對于黑客攻擊行為的檢測是通過關聯規則實現的。例如，將掃描行為定義為事件A，漏洞攻擊行為定義為事件B，CC通信行為定義為事件C，然后將A事件—B事件—C事件定義為一個關聯規則M。當用戶在內網攻擊時，如果剛好匹配到A事件—B事件—C事件這個攻擊過程，則可以認為檢測到了黑客的攻擊。但是，由于黑客攻擊行為的過程不一定按照定義的關聯規則進行且關聯規則并不具備普遍適用性，因此現有技術中通過關聯規則檢測黑客攻擊行為的方案會出現誤報率高、識別率低等問題。

因此，如何提高檢測黑客攻擊行為的識別率并降低檢測黑客攻擊行為的誤報率是本領域技術人員目前需要解決的技術問題。

發明內容

本申請的目的是提供一種黑客攻擊行為的檢測方法、系統、一種計算機可讀存儲介質及一種黑客攻擊行為的檢測裝置，能夠提高檢測黑客攻擊行為的識別率并降低檢測黑客攻擊行為的誤報率。

為解決上述技術問題，本申請提供一種黑客攻擊行為的檢測方法，該檢測方法包括：

利用檢測算法檢測主機流量中的可疑行為，并根據檢測到所述可疑行為的檢測算法的危險等級調整主機的威脅度；其中，所述危險等級根據所述檢測算法的特征強度設置，所述特征強度越強的所述檢測算法對應的所述危險等級越高；

判斷所述威脅度是否大于預設值；若大于，則生成關于檢測到黑客攻擊行為的安全報警信息。

可選的，所述利用檢測算法檢測主機流量中的可疑行為，并根據檢測到所述可疑行為的檢測算法的危險等級調整主機的威脅度包括：

利用所述檢測算法檢測目標時間段內的主機流量，判斷是否存在所述可疑行為；

若存在，則根據檢測到所述可疑行為的檢測算法對應的危險等級調整所述威脅度；

判斷所述威脅度是否大于所述預設值；

若否，則根據所述威脅度調整所述檢測算法的參數，并利用調整參數后的檢測算法檢測所述目標時刻之后的主機流量中的所述可疑行為，以便調整所述威脅度。

可選的，利用所述檢測算法檢測目標時間段內的所述主機流量，判斷是否存在所述可疑行為包括：

利用所述檢測算法檢測目標時刻的主機流量，判斷是否存在第一可疑行為；其中，所述目標時刻為所述目標時間段內的時刻；

若存在，則根據檢測到所述第一可疑行為的檢測算法對應的危險等級調整所述威脅度；

判斷所述威脅度是否大于所述預設值；