本公開涉及一種高級持續性攻擊檢測方法、裝置、計算機設備和介質。通過對歷史告警事件數據以預設時間周期進行劃分，得到多個歷史告警事件數據子集，根據歷史告警事件的源地址和目的地址，構建每個歷史告警事件數據子集對應的攻擊關系圖，對所有攻擊關系圖構成的圖集進行頻繁子圖挖掘，能夠挖掘出隱蔽性較強的攻擊線索，從而，提高了網絡攻擊檢測的準確性，保障了網絡的安全運行。

技術領域

本公開涉及網絡安全技術領域，尤其涉及一種高級持續性攻擊檢測方法、裝置、計算機設備和介質。

背景技術

高級持續性攻擊(Advanced Persistent Threat，APT)是一種利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊經常使用惡意軟件對系統漏洞進行利用，并使用命令和控制服務器對攻擊的特定目標進行持續監控和數據竊取，周期較長，隱蔽性極強，并且主要針對國家的關鍵信息基礎設施和重要信息系統進行。

目前常用的APT檢測方法，大多是從APT攻擊的手段進行檢測分析，例如：針對水坑攻擊、網絡釣魚和魚叉式釣魚攻擊進行檢測；或者通過對攻擊手段的建模分析，結合殺傷鏈或對抗戰術、技術和常識的框架，對攻擊行為進行多層次刻畫跟蹤，確定APT攻擊事件。

然而，現有的APT檢測方法，不利于發現潛伏的APT攻擊事件，檢測準確性較低且存在嚴重的滯后性，影響了網絡的安全運行。

發明內容

為了解決上述技術問題或者至少部分地解決上述技術問題，本公開提供了一種高級持續性攻擊檢測方法、裝置、計算機設備和介質。

第一方面，本公開提供一種高級持續性攻擊檢測方法，包括：

獲取網絡中的歷史告警事件數據；

以預設時間周期對所述歷史告警事件數據進行分類，得到多個歷史告警事件數據子集；

根據歷史告警事件的源地址和目的地址，生成每個歷史告警事件數據子集對應的攻擊關系圖；

對所有攻擊關系圖進行頻繁子圖挖掘，獲取目標攻擊線索。

可選的，所述根據歷史告警事件的源地址和目的地址，生成每個歷史告警事件數據子集對應的攻擊關系圖，包括：

根據歷史告警事件的源網絡協議(Internet Protocol，IP)地址、目標IP地址和事件類型，生成每個歷史告警事件數據子集對應的攻擊關系圖，其中，所述攻擊關系圖中的節點為所述源IP地址或者所述目標IP地址，所述攻擊關系圖中的邊為所述事件類型。

可選的，所述對所有攻擊關系圖進行頻繁子圖挖掘，獲取目標攻擊線索，包括：

對所有攻擊關系圖進行頻繁子圖挖掘，獲取候選攻擊線索；

對所述候選攻擊線索進行分析，獲取目標攻擊線索。

可選的，所述對所述候選攻擊線索進行分析，獲取目標攻擊線索，包括：

根據設置的頻繁攻擊行為的白名單，修改所述候選攻擊線索中所述白名單對應的節點，確定修改后的候選攻擊線索為所述目標攻擊線索。

第二方面，本公開提供一種高級持續性攻擊檢測裝置，包括：

獲取模塊，用于獲取網絡中的歷史告警事件數據；

處理模塊，用于以預設時間周期對所述歷史告警事件數據進行分類，得到多個歷史告警事件數據子集；

所述處理模塊，還用于根據歷史告警事件的源地址和目的地址，生成每個歷史告警事件數據子集對應的攻擊關系圖；

所述處理模塊，還用于對所有攻擊關系圖進行頻繁子圖挖掘，獲取目標攻擊線索。

可選的，所述處理模塊具體用于：