本申請(qǐng)公開了一種威脅檢測(cè)方法、裝置及一種電子設(shè)備和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，該方法包括：獲取目標(biāo)主機(jī)的待檢測(cè)數(shù)據(jù)；基于待檢測(cè)數(shù)據(jù)中待檢測(cè)項(xiàng)之間的交互關(guān)系提取有效關(guān)系路徑，其中，有效關(guān)系路徑包括至少兩個(gè)檢測(cè)項(xiàng)及各檢測(cè)項(xiàng)之間的交互關(guān)系；對(duì)有效關(guān)系路徑進(jìn)行異常檢測(cè)，得到目標(biāo)主機(jī)的威脅檢測(cè)結(jié)果。本申請(qǐng)?zhí)峁┑耐{檢測(cè)方法，對(duì)目標(biāo)主機(jī)的待檢測(cè)數(shù)據(jù)進(jìn)行分析，提取有效關(guān)系路徑表示目標(biāo)主機(jī)中一系列存在因果關(guān)系的操作行為。對(duì)有效關(guān)系路徑進(jìn)行異常檢測(cè)，得到一系列存在因果關(guān)系的操作行為對(duì)應(yīng)的檢測(cè)結(jié)果，可以捕獲未知的高級(jí)威脅。由此可見，本申請(qǐng)?zhí)峁┑耐{檢測(cè)方法，提高了對(duì)未知威脅的防御能力。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，更具體地說，涉及一種威脅檢測(cè)方法、裝置、一種威脅檢測(cè)模型生成方法及一種電子設(shè)備和一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

高級(jí)威脅(英文全稱：advanced?persistent?threat，英文簡(jiǎn)稱：APT)是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對(duì)特定的目標(biāo)。相對(duì)的，威脅捕獵(threat?hunting)是指在網(wǎng)絡(luò)安全的世界中，通過主動(dòng)和被動(dòng)的方式搜尋網(wǎng)絡(luò)中想逃避安全解決方案的高級(jí)威脅的過程。

在相關(guān)技術(shù)中，威脅捕獵技術(shù)主要基于規(guī)則匹配來搜尋網(wǎng)絡(luò)中的威脅，這些規(guī)則是根據(jù)已經(jīng)出現(xiàn)過的威脅人為制定出來的，因此只能防御已知的威脅，對(duì)于沒有出現(xiàn)過的未知威脅幾乎沒有防御能力。

可見，如何提高對(duì)未知威脅的防御能力是本領(lǐng)域技術(shù)人員需要解決的技術(shù)問題。

發(fā)明內(nèi)容

本申請(qǐng)的目的在于提供一種威脅檢測(cè)方法、裝置、一種威脅檢測(cè)模型生成方法及一種電子設(shè)備和一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，提高了對(duì)未知威脅的防御能力。

為實(shí)現(xiàn)上述目的，本申請(qǐng)?zhí)峁┝艘环N威脅檢測(cè)方法，包括：

獲取目標(biāo)主機(jī)的待檢測(cè)數(shù)據(jù)；

基于所述待檢測(cè)數(shù)據(jù)中待檢測(cè)項(xiàng)之間的交互關(guān)系提取有效關(guān)系路徑，其中，所述有效關(guān)系路徑包括至少兩個(gè)檢測(cè)項(xiàng)及各檢測(cè)項(xiàng)之間的交互關(guān)系；

對(duì)所述有效關(guān)系路徑進(jìn)行異常檢測(cè)，得到所述目標(biāo)主機(jī)的威脅檢測(cè)結(jié)果。

其中，所述基于所述待檢測(cè)數(shù)據(jù)中待檢測(cè)項(xiàng)之間的交互關(guān)系構(gòu)建提取有效關(guān)系路徑，包括：

基于所述待檢測(cè)數(shù)據(jù)構(gòu)建物源圖；其中，所述物源圖中的節(jié)點(diǎn)表示所述待檢測(cè)項(xiàng)，節(jié)點(diǎn)與節(jié)點(diǎn)之間的邊表示所述待檢測(cè)項(xiàng)之間的交互關(guān)系；

在所述物源圖中確定所有起點(diǎn)和所有終點(diǎn)，并從所述物源圖中提取所述起點(diǎn)至所述終點(diǎn)的有效關(guān)系路徑。

其中，所述待檢測(cè)數(shù)據(jù)包括主機(jī)日志，所述主機(jī)日志包括進(jìn)程類日志、文件類日志、網(wǎng)絡(luò)類日志、注冊(cè)表日志和管道日志中任一項(xiàng)或任幾項(xiàng)的組合。

其中，所述主機(jī)日志包括進(jìn)程，所述基于所述待檢測(cè)數(shù)據(jù)構(gòu)建物源圖，包括：

在物源圖中為所述主機(jī)日志中的各進(jìn)程分別創(chuàng)建對(duì)應(yīng)的節(jié)點(diǎn)，并根據(jù)各進(jìn)程之間的交互關(guān)系在所述物源圖中創(chuàng)建所述節(jié)點(diǎn)之間的邊。

其中，若所述主機(jī)日志包括進(jìn)程及附加項(xiàng)，所述附加項(xiàng)包括文件、IP地址、注冊(cè)表、管道中的任一項(xiàng)，則基于所述待檢測(cè)數(shù)據(jù)構(gòu)建物源圖，包括：

判斷所述物源圖中是否存在所述主機(jī)日志中的進(jìn)程對(duì)應(yīng)的節(jié)點(diǎn)；

若是，則在所述物源圖中為所述主機(jī)日志中的所述附加項(xiàng)創(chuàng)建對(duì)應(yīng)的節(jié)點(diǎn)，并根據(jù)所述進(jìn)程與所述附加項(xiàng)之間的交互關(guān)系在所述物源圖中創(chuàng)建所述進(jìn)程對(duì)應(yīng)的節(jié)點(diǎn)和所述附加項(xiàng)對(duì)應(yīng)的節(jié)點(diǎn)之間的邊。

其中，所述待檢測(cè)數(shù)據(jù)包括流量信息。

其中，所述流量信息包括IP地址，所述基于所述待檢測(cè)數(shù)據(jù)構(gòu)建物源圖，包括：