本發明的實施方式提供了一種檢測攻擊行為的方法。該方法包括：獲取操作日志；基于獲取的操作日志，提取用于表征目標用戶的操作習慣的行為特征數據，和/或提取用于表征操作對象的特點的對象特征數據；以及基于提取的行為特征數據和/或對象特征數據，確定是否存在攻擊行為。通過根據用戶的操作習慣和被操作的對象(簡稱操作對象)的特點來檢測是否存在攻擊，本發明的方法使得攻擊入侵檢測方法不再依賴于基于有監督學習的語法分析和關鍵字匹配，從而顯著地減少了人工操作的干預，為用戶帶來了更好的體驗，并且降低了誤報率，提高了對高級攻擊檢測的有效性。此外，本發明的實施方式提供了一種檢測攻擊行為的系統，一種介質和一種計算設備。

技術領域

本發明的實施方式涉及計算機領域，更具體地，本發明的實施方式涉及一種檢測攻擊行為的方法、介質、系統和計算設備。

背景技術

本部分旨在為權利要求書中陳述的本發明的實施方式提供背景或上下文。此處的描述不因為包括在本部分中就承認是現有技術。

在整個計算機領域，通過分析操作系統中用戶的操作日志來檢測攻擊入侵，一直是主機安全防御中的重要一環。

目前，已經出現一些檢測攻擊入侵的方法，這些檢測方法著重于語法分析和關鍵字匹配。例如，攻擊者獲取命令解析器(shell)后通常會植入后門和rootkit等惡意程序，這兩個動作用到的操作命令通常并不是系統自身提供的標準命令，或者命令引用到的文件是正常應用根本不會觸碰的文件。這類攻擊通過語法分析以及關鍵字匹配可以有效地被檢測出來，并且這類檢測方法簡單，容易實現。

發明內容

但是，由于黑客入侵技術變化太快的原因，現有技術提供的攻擊檢測方法需要專門人員實時跟進最新的黑客入侵技術，針對不同的入侵方法，及時更新語法分析規則和特征關鍵字，并且該方法通常誤報率較高，觸發報警后，往往需要人工復查，對于現在動輒數以萬計的服務器運維工作來講，人工復查難以實現。并且針對高級攻擊，現有的檢測方法可能無效，而當下高級持續性威脅(APT)攻擊十分普遍，大部分APT攻擊并不會進行大范圍的破壞，相反則是將整個入侵行動盡量隱蔽起來，所以攻擊者獲得shell后，執行的操作基本上都是正常的系統命令，這令傳統的基于語法分析和關鍵字匹配的方法難以檢測到。

因此在現有技術中，攻擊檢測方法存在很多缺陷，比如人工成本高，誤報率高，對高級攻擊無效，這是非常令人煩惱的。

為此，非常需要一種改進的檢測攻擊行為的方法，以使人工成本和誤報率降低，且對高級攻擊有效。

在本上下文中，本發明的實施方式期望提供一種檢測攻擊行為的方法，介質、系統和計算設備。

在本發明實施方式的第一方面中，提供了一種檢測攻擊行為的方法，包括：獲取操作日志；基于獲取的操作日志，提取用于表征目標用戶的操作習慣的行為特征數據，和/或提取用于表征操作對象的特點的對象特征數據；以及基于提取的行為特征數據和/或對象特征數據，確定是否存在攻擊行為。

在本發明的一個實施例中，該基于獲取的操作日志，提取用于表征目標用戶的操作習慣的行為特征數據包括：基于上述獲取的操作日志，提取上述目標用戶的命令執行序列；對上述命令執行序列中的每條命令進行數字化標號，得到第一映射序列，其中，所有標號在整體上表現為連續性數字；按照第一預設步長對上述第一映射序列進行截取，得到多個行為特征向量；以及將上述多個行為特征向量作為上述行為特征數據。

在本發明的另一實施例中，該方法還包括：獲取包含有多個樣本行為特征向量的第一訓練樣本；基于上述第一訓練樣本中包含的上述多個樣本行為特征向量，訓練一行為特征檢測模型，其中，向上述行為特征檢測模型輸入上述多個行為特征向量時所輸出的第一結果能夠表征上述目標用戶是否存在攻擊行為。