本發明公開了一種黑客攻擊分級檢測方法及裝置，所述方法包括：獲取日志信息；根據聚合模型從所述日志信息中提取相關字段，所述聚合模型通過擬合日志信息中各個字段與黑客行為的對應關系，并獲取對黑客行為判定具有指向作用的相關字段而得到；獲取所述相關字段的對應屬性值；對所述相關字段的對應屬性值進行聚合計算以得到所述日志信息對應的評分；根據所述評分和預設的黑客行為分級判定規則對日志信息對應的行為進行分級判定。本發明可以減輕人工工作量，并實現黑客攻擊級別的分級預判，還可以模糊檢出新的黑客攻擊手法，從而方便安全人員進一步定位分析攻擊手法，達到反哺其他策略防護的目的。

技術領域

本發明涉及黑客檢測領域，尤其涉及應用于一種黑客攻擊分級檢測方法及裝置。

背景技術

黑客行為是一種利用安全漏洞進行破壞、損害用戶利益的行為，包括但不限于利用漏洞盜取用戶隱私及虛擬財產、入侵業務系統、竊取用戶數據、影響業務正常運作、惡意傳播漏洞等方式。特征畫像是指根據黑客攻擊行為、方法、手段等用戶行為信息而抽象出來的標簽化用戶模型。標簽是通過對黑客行為分析而來的高度精煉的特征標識。通過打標簽可以利用一些高度概括、容易理解的特征來標識黑客，更容易識別出黑客的攻擊行為動作，到達快速異常告警和事后溯源分析的目的。

如圖1所示，其示出了現有技術的特征畫像獲取示意圖，即只有在請求日志情況下，并且需要預先知道攻擊的有效載荷(payload)才能提取關鍵字來分析黑客攻擊行為，從而構建特征畫像。其存在下述明顯缺點：

(1)人工成本較高，需要專業人員采用已有規則判斷并提取關鍵字，從而進行分析。

(2)缺少分級，無法對黑客攻擊分級判斷。

(3)對新的攻擊形式無法檢測，規則都是基于已出現的攻擊形式進行編寫的。

發明內容

本發明提供了一種黑客攻擊分級檢測方法及裝置。

一方面，本發明提供了一種黑客攻擊分級檢測方法，所述方法包括：

獲取日志信息；

根據聚合模型從所述日志信息中提取相關字段，所述聚合模型通過擬合日志信息中各個字段與黑客行為的對應關系，并獲取對黑客行為判定具有指向作用的相關字段而得到；

獲取所述相關字段的對應屬性值；

對所述相關字段的對應屬性值進行聚合計算以得到所述日志信息對應的評分；

根據所述評分和預設的黑客行為分級判定規則對日志信息對應的行為進行分級判定。

另一方面提供了一種黑客攻擊分級檢測裝置，所述裝置包括：

日志信息獲取模塊，用于獲取日志信息；

提取模塊，用于根據聚合模型從所述日志信息中提取相關字段，所述聚合模型通過擬合日志信息中各個字段與黑客行為的對應關系，并獲取對黑客行為判定具有指向作用的相關字段而得到；

屬性值獲取模塊，用于獲取所述相關字段的對應屬性值；

評分模塊，用于對所述相關字段的對應屬性值進行聚合計算以得到所述日志信息對應的評分；

判定模塊，用于根據所述評分和預設的黑客行為分級判定規則對日志信息對應的行為進行分級判定。

另一方面提供了一種計算機可讀存儲介質，用于存儲程序，所述程序被執行時實現所述的一種黑客攻擊分級檢測。

另一方面提供了一種終端設備，所述終端設備包括上述的一種黑客攻擊分級檢測裝置。