本發明屬于網絡安全技術領域，公開了一種異常行為的預防方法、裝置、設備及存儲介質。該方法包括：獲取網絡日志；根據所述網絡日志判斷是否是目標網絡日志；若所述網絡日志是目標網絡日志，則根據所述網絡日志確定目標IP的行為類型；根據所述行為類型得到所述目標IP的異常行為評分；根據所述異常行為評分確定所述目標IP的危險程度；根據所述危險程度確定對所述目標IP的預防策略，以實現對異常行為的預防。通過上述方式，可以根據與目標主機有關的網絡日志獲得目標IP，根據目標IP的行為對目標IP進行評分，以此確定目標IP的危險程度，可以動態、持續、完整的檢測針對目標主機的惡意攻擊行為，并提升對未知威脅的感知能力。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種異常行為的預防方法、裝置、設備及存儲介質。

背景技術

傳統的入侵防御系統(Intrusion Protection System，IPS)、入侵檢測系統(Intrusion Detection System，IDS)，是被動防御檢測的角度，基于對技術、戰術、過程(Techniques、Tactics、Procedure，TTP)的理解，通過特征或者語法語義或者人工智能(Artificial Intelligence，AI)檢測的技術，進行主機威脅防御檢測的系統。

除了誤報問題，傳統的威脅檢測系統還存在如下3個主要缺陷：

1、依賴對TTP的了解和研究，對于不在認知范圍內的TTP(未知威脅)缺乏檢測能力，檢測能力存在滯后性。

2、高級威脅越來越傾向于使用“白+黑”的攻擊利用方式，針對這種攻擊方式IPS、IDS出于對誤報的擔憂，不會去做檢測。

3、主機失陷狀態一般僅有“安全”和“失陷”兩種狀態，分別對應事前加固和事后處置兩個階段，缺少類似“現在主機沒有失陷，但是已經被盯上了正在持續進行攻擊嘗試”的事中對抗的狀態。

目前傳統的威脅檢測主要還是基于過往經驗轉化的規則或者算法系統，對未知威脅的感知能力不夠。而主流的基于正常業務基線的異常檢測系統，在檢測的準確率、漏報率和可解釋性上都存在缺陷。

上述內容僅用于輔助理解本發明的技術方案，并不代表承認上述內容是現有技術。

發明內容

本發明的主要目的在于提供一種異常行為的預防方法、裝置、設備及存儲介質，旨在解決現有技術中對未知威脅的感知能力不夠的技術問題。

為實現上述目的，本發明提供了一種異常行為的預防方法，所述方法包括以下步驟:

獲取網絡日志；

根據所述網絡日志判斷是否是目標網絡日志；

若所述網絡日志是目標網絡日志，則根據所述網絡日志確定目標IP的行為類型；

根據所述行為類型得到所述目標IP的異常行為評分；

根據所述異常行為評分確定所述目標IP的危險程度；

根據所述危險程度確定對所述目標IP的預防策略，以實現對異常行為的預防。

可選地，所述根據所述網絡日志判斷是否是目標網絡日志，包括：

獲取目標主機的IP；

獲取所述網絡日志中的源IP以及目的IP；

將所述源IP以及所述目的IP與所述目標主機的IP進行匹配，以判斷所述網絡日志是否是目標網絡日志。

可選地，所述若所述網絡日志是目標網絡日志，則根據所述網絡日志確定目標IP的行為類型，包括：

若所述網絡日志是目標網絡日志，則根據所述目標網絡日志獲得所述目標IP與目標主機的交互行為；