[发明专利]威胁检测方法、装置、设备和存储介质

说明书

本发明公开了一种威胁检测方法，包括：采集实时监测的网络日志；利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。本发明还公开了一种威胁检测装置、设备和存储介质。本发明实现了从攻击链的全局视角进行威胁捕获，提高了安全防御能力。

技术领域

本发明涉及网络安全领域，尤其涉及一种威胁检测方法、装置、设备和存储介质。

背景技术

全行业现阶段盛行的安全防御体系依然关注网络或主机层面的防御或阻断能力，在各网络安全节点分别部署入侵检测系统进行威胁捕获，各网络节点的入侵检测系统均为独立的检测系统，只能够捕获单独的攻击场景下的威胁信息。而由于如今很多攻击者的攻击链路覆盖网络、服务器、主机、应用等多个环节和实体，当前的方案却无法从攻击链的全局视角进行安全分析，无法将该攻击者在整个攻击链内的多个环节进行同时捕获，从而无法将整个攻击链路复原，对攻击信息的追溯和举证都十分困难。因此，目前的威胁检测方式中存在由于对威胁信息检测的全局性较差导致的安全防御能力弱的问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种威胁检测方法、装置、设备和存储介质，旨在解决由于对威胁信息检测的全局性较差导致的安全防御能力弱的技术问题。

为实现上述目的，本发明提供一种威胁检测方法，包括：采集实时监测的网络日志；利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

可选地，所述基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节的步骤，具体包括：基于所述行为异常的网络日志确定异常行为特征；基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节。

可选地，所述基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节的步骤，具体包括：获取所述异常行为特征所采用的攻击策略；将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配，获得匹配的目标环节策略；将所述目标环节策略对应的攻击环节作为目标攻击环节。

可选地，所述获取所述目标攻击环节在所述攻击链中的所有前序攻击环节，将所述目标攻击环节和各所述前序攻击环节作为被攻陷环节的步骤之后，所述威胁检测方法还包括：根据所述异常行为特征和所述被攻陷环节，生成威胁告警信息并输出。

可选地，所述采集实时监测的网络日志的步骤之前，所述威胁检测方法还包括：从日志库中提取多条行为正常的历史网络日志作为安全日志训练集；建立训练模型；利用所述安全日志训练集对所述训练模型进行训练，得到威胁检测模型。

可选地，所述从日志库内获取安全日志训练集的步骤之前，所述威胁检测方法还包括：采集多个网络设备的入侵检测系统收集的历史网络日志；其中，一个网络设备中部署有至少一个入侵检测系统；将多个网络设备的入侵检测系统收集的历史网络日志汇聚存储至日志库。

可选地，所述入侵检测系统包括网络入侵检测系统和主机入侵检测系统。

可选地，所述威胁检测方法还包括：接收用户输入的检索特征；根据所述检索特征，查询日志库，获得所述检索特征对应的攻击链信息。