[发明专利]攻击检测方法、装置、电子设备及存储介质

权利要求书

1.一种攻击检测方法，其特征在于，包括：

获取目标程序运行时的目标指令追踪信息；

基于所述目标指令追踪信息，确定目标指令执行实体之间的目标实体关系图；

基于图神经网络模型和所述目标实体关系图，检测所述目标程序为攻击程序。

2.根据权利要求1所述的攻击检测方法，其特征在于，所述方法还包括：

获取中央处理器运行时的样本指令追踪信息；

基于所述样本指令追踪信息，确定样本指令执行实体之间的样本实体关系图；

基于所述样本实体关系图，建立所述图神经网络模型。

3.根据权利要求2所述的攻击检测方法，其特征在于，基于所述样本指令追踪信息，确定样本指令执行实体之间的样本实体关系图，包括：

基于所述样本指令追踪信息，确定样本实体以及样本实体之间的关系；

以所述样本实体为样本实体关系图的节点，以所述样本实体之间的关系为所述样本实体关系图的边，建立所述样本指令执行实体之间的样本实体关系图。

4.根据权利要求3所述的攻击检测方法，其特征在于，所述基于所述样本实体关系图，建立所述图神经网络模型，包括：

对所述样本实体关系图进行标记；

对标记后的样本实体关系图进行训练，获得图神经网络模型。

5.根据权利要求4所述的攻击检测方法，其特征在于，所述对标记后的样本实体关系图进行训练，获得图神经网络模型，包括：

基于神经网络外连接，获取所述样本实体关系图中的实体节点的拓扑关系；

基于神经网络内连接，将所述样本实体关系图中的实体节点转换为包含拓扑关系的低维向量；

基于所述包含拓扑关系的低维向量，对实体关系图的拓扑关系进行深度学习，获得图神经网络模型。

6.根据权利要求1至5任一项所述的攻击检测方法，其特征在于，所述检测所述目标程序为攻击程序，包括：

若所述目标程序是预设类别的攻击程序，则基于图神经网络模型，识别所述攻击程序的类别。

7.根据权利要求1至5任一项所述的攻击检测方法，其特征在于，所述方法还包括：

若所述目标程序不是预设类别的攻击程序，则基于图神经网络模型和所述实体关系图，识别所述目标程序为异常攻击程序。

8.一种攻击检测装置，其特征在于，包括：

获取模块，用于获取目标程序运行时的指令追踪信息；

确定模块，用于基于所述指令追踪信息，确定指令执行实体之间的实体关系图；

检测模块，用于基于图神经网络模型和所述实体关系图，检测所述目标程序为攻击程序。

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述的攻击检测方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击检测方法的步骤。