[发明专利]一种定向威胁攻击的检测方法和装置

说明书

本发明公开了一种定向威胁攻击的检测方法和装置，涉及数据安全防护技术领域。该方法的一具体实施方式包括：获取各个样本机的网络数据，对各个所述样本机的网络数据进行处理，分别得到各个所述样本机的多维数组；根据各个所述样本机的多维数组，分别生成各个所述样本机对应的序列数组；采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练；获取待测主机的网络数据，对所述待测主机的网络数据进行处理，得到所述待测主机的多维数组，将所述待测主机的多维数组输入到训练好的神经网络模型，从而计算得到所述待测主机的定向威胁攻击的概率。该实施方式能够解决检测成功率低和维护成本高的技术问题。

技术领域

本发明涉及数据安全防护技术领域，尤其涉及一种定向威胁攻击的检测方法和装置。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)是一种针对性攻击，其利用先进的攻击手段对特定目标进行长期持续性网络攻击。对APT的检测是当前企业数据安全防护技术的重要挑战。

当前的主流APT检测方法是基于深度包检测技术，深度分析提取APT过程中的数据报文特征，形成基于报文内容的特定关键字、报文结构、前后报文相关性、源端对特征等规则，建立规则库，以规则匹配方式进行APT检测。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

规则匹配方法通常采取部分规则子集和特定APT攻击方式一对一的检测模式，在面对加密、变体和未知类型APT攻击时缺乏检测成功率，且规则库的建立需要大量的专家和安全技术人员进行数据分析和总结，维护、更新和扩展代价大。

发明内容

有鉴于此，本发明实施例提供一种定向威胁攻击的检测方法和装置，以解决检测成功率低和维护成本高的技术问题。

为实现上述目的，根据本发明实施例的一个方面，提供了一种定向威胁攻击的检测方法，包括：

获取各个样本机的网络数据，对各个所述样本机的网络数据进行处理，分别得到各个所述样本机的多维数组；

根据各个所述样本机的多维数组，分别生成各个所述样本机对应的序列数组；

采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练；

获取待测主机的网络数据，对所述待测主机的网络数据进行处理，得到所述待测主机的多维数组，将所述待测主机的多维数组输入到训练好的神经网络模型，从而计算得到所述待测主机的定向威胁攻击的概率。

可选地，获取各个样本机的网络数据，对所述网络数据进行处理，分别得到各个所述样本机的多维数组，包括：

将触发规则匹配的主机标记为正向样本机，将未触发规则匹配的主机标记为负向样本机；

对于每个正向样本机，获取距离所述正向样本机的触发规则匹配成功时间点为预设时间间隔内的网络数据，按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选，得到多维数组；

对于每个负向样本机，获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据，按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选，得到多维数组；

对各个维度的数据进行归一化处理，使得各个多维数组中的数据映射到[0,1]区间。

可选地，按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选，得到多维数组，包括：

按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选，得到N个w维数组；其中，N＝T/t，T为预设时间间隔，t为单位时间间隔；

筛选出所有正向样本在该维度的数值都为零的无效维度，将所述无效维度从所述N个w维数组中去除，得到N个u维数组；其中，u＜w。