本公開提供了一種攻擊行為畫像的生成方法、裝置、電子設備和計算機可讀存儲介質，涉及網絡安全技術領域。其中，攻擊行為畫像的生成方法包括：收集接入設備的日志；提取所述日志中的特征；基于預設匹配關系確定與所述特征匹配的攻擊屬性，所述攻擊屬性包括攻擊策略、攻擊方式、攻擊源與攻擊工具；基于所述特征的攻擊屬性生成所述攻擊行為畫像。通過本公開的技術方案，能夠體現攻擊屬性之間的關聯性，以提升攻擊行為畫像的描述精度，從而能夠提升對相應的異常網絡攻擊防御的可靠性。

背景技術

由于電子設備的操作系統和/或通信網絡等均存在被異常攻擊源攻擊的問題，通過機器學習算法訓練檢測模型，以實現對異常攻擊源的實時檢測。

相關技術中，檢測模型的訓練采用離線式機器學習的方式完成，因此無法滿足對異常攻擊源實時檢測的需求。

另外，現有檢測模型基于高抽象模型生成，由于高抽象模型無法確定攻擊路線，因此生成的攻擊行為畫像精度較低，導致影響對異常攻擊源的檢測效果。

需要說明的是，在上述背景技術部分公開的信息僅用于加強對本公開的背景的理解，因此可以包括不構成對本領域普通技術人員已知的現有技術的信息。

發明內容

本公開的目的在于提供一種攻擊行為畫像的生成方法、裝置、電子設備和計算機可讀存儲介質，至少在一定程度上克服由于相關技術中由于無法確定攻擊路線導致畫像描述精度低的問題。

本公開的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

根據本公開的一個方面，提供一種攻擊行為畫像的生成方法，包括：收集接入設備的日志；提取所述日志中的特征；基于預設匹配關系確定與所述特征匹配的攻擊屬性，所述攻擊屬性包括攻擊策略、攻擊方式、攻擊源與攻擊工具；基于所述特征的攻擊屬性生成所述攻擊行為畫像。

在本公開的一個實施例中，所述方法還包括：基于所述特征確定受到攻擊的攻擊目標；所述基于所述特征的攻擊屬性生成所述攻擊行為畫像包括：基于所述攻擊目標與所述特征的攻擊屬性生成所述攻擊行為畫像。

在本公開的一個實施例中，所述預設匹配關系包括特征與攻擊方式之間的映射關系，所述攻擊方式與所述攻擊策略之間的實現關系，所述攻擊方式與所述攻擊工具之間的接口關系，以及所述攻擊方式與所述攻擊源之間的使用關系；所述基于預設匹配關系確定與所述特征匹配的攻擊屬性包括：基于特征與攻擊方式之間的映射關系確定所述特征對應的攻擊方式；基于所述預設的匹配關系確定與所述特征的攻擊方式對應的攻擊策略、所述攻擊源與所述攻擊工具。

在本公開的一個實施例中，在接收接入設備的日志之前，所述生成方法還包括：設定所述攻擊方式與所述攻擊策略、所述攻擊源以及所述攻擊工具之間的所述匹配關系。

在本公開的一個實施例中，所述提取所述日志中的特征包括：對所述日志進行歸一化處理，得到歸一化日志，其中，所述歸一化日志包括通用日志、業務系統日志與流量分析日志中的至少一種；基于預設的所述攻擊屬性的正則表達式，從所述歸一化查日志中提取所述特征。

在本公開的一個實施例中，所述生成方法還包括：根據所述攻擊行為畫像生成對應的預警信息；以及確定引入所述特征的設備接口，根據所述設備接口的標識對所述攻擊源執行阻斷操作。

在本公開的一個實施例中，所述接入設備包括端點檢測與響應設備、軟件定義網絡設備、軟件定義邊界設備、可信設備與其它接入設備中的至少一種。

根據本公開的另一個方面，提供一種攻擊行為畫像的生成裝置，包括：收集模塊，用于收集接入設備的日志；提取模塊，用于提取所述日志中的特征；確定模塊，用于基于預設匹配關系確定與所述特征匹配的攻擊屬性，所述攻擊屬性包括攻擊策略、攻擊方式、攻擊源與攻擊工具；生成模塊，用于基于所述特征的攻擊屬性生成所述攻擊行為畫像。