[發明專利]檢測攻擊行為的方法、介質、系統和計算設備有效

申請號：	201811079199.6	申請日：	2018-09-14
公開（公告）號：	CN109271782B	公開（公告）日：	2021-06-08
發明（設計）人：	李陽;陳啟鈞;張曉龍;陳諤;堯飄海	申請（專利權）人：	杭州朗和科技有限公司
主分類號：	G06F21/55	分類號：	G06F21/55
代理公司：	中科專利商標代理有限責任公司 11021	代理人：	劉麗麗
地址：	310052 浙江省杭州市***	國省代碼：	浙江;33
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	檢測攻擊行為方法介質系統計算設備
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種檢測網絡攻擊行為的方法，包括：

獲取操作日志；

基于獲取的操作日志，提取用于表征目標用戶的操作習慣的行為特征數據，和/或提取用于表征操作對象的特點的對象特征數據；以及

基于提取的行為特征數據和/或對象特征數據，確定是否存在網絡攻擊行為；其中，

所述基于獲取的操作日志，提取用于表征目標用戶的操作習慣的行為特征數據，包括：基于所述獲取的操作日志，提取所述目標用戶的命令執行序列；對所述命令執行序列中的每條命令進行數字化標號，得到第一映射序列，其中，所有標號在整體上表現為連續性數字；按照第一預設步長對所述第一映射序列進行截取，得到多個行為特征向量；以及將所述多個行為特征向量作為所述行為特征數據；

所述基于獲取的操作日志，提取用于表征操作對象的特點的對象特征數據，包括：基于所述獲取的操作日志，提取用戶集群的命令執行集；針對所述命令執行集中的每條命令，確定一對應的命令參數序列；針對每個命令參數序列，對其中的每個命令參數進行數字化標號，得到一第二映射序列，其中，在任一第二映射序列中所有標號在整體上表現為連續性數字；按照第二預設步長對每個第二映射序列進行截取，得到與每條命令對應的多個對象特征向量；以及將所述與每條命令對應的多個對象特征向量作為所述對象特征數據。

2.根據權利要求1所述的方法，其中，所述方法還包括：

獲取包含有多個樣本行為特征向量的第一訓練樣本；

基于所述第一訓練樣本中包含的所述多個樣本行為特征向量，訓練一行為特征檢測模型，

其中，向所述行為特征檢測模型輸入所述多個行為特征向量時所輸出的第一結果能夠表征所述目標用戶是否存在網絡攻擊行為。

3.根據權利要求2所述的方法，其中，所述方法還包括：

比較所述第一結果與通過人工分析所述多個行為特征向量得到的檢測結果，以確定所述行為特征檢測模型的第一正報率和第一誤報率；以及

基于所述第一正報率和所述第一誤報率，調整所述行為特征檢測模型的偏離系數。

4.根據權利要求1所述的方法，其中，所述方法還包括：

遍歷每條命令；

針對每條命令獲取一包含有多個樣本對象特征向量的第二訓練樣本；

基于每個第二訓練樣本中包含的多個樣本對象特征向量，訓練一對象特征檢測模型，

其中，向每個對象特征檢測模型輸入與命令對應的多個對象特征向量時所輸出的第二結果能夠表征對應對象是否存在網絡攻擊行為。