[发明专利]网络攻击检测方法、装置、设备及计算机程序

权利要求书

1.一种网络攻击检测方法，其特征在于，所述网络攻击检测方法包括以下步骤：

获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集；

基于每个所述攻击数据集，建立节点关系网；

基于所述节点关系网，进行网络攻击检测。

2.如权利要求1所述的网络攻击检测方法，其特征在于，所述基于每个所述攻击数据集，建立节点关系网的步骤，包括：

从每个所述攻击数据集中分别提取攻击特征数据，以得到每个所述攻击数据集分别对应的第一攻击特征数据；所述攻击特征数据包括策略特征数据、技术特征数据、以及输出特征数据；

分别确定每个所述第一攻击特征数据的传输路径，其中，所述传输路径包括生成、传输、输出所述第一攻击特征数据的节点；

基于每个所述第一攻击特征数据对应的传输路径，构建节点关系网。

3.如权利要求2所述的网络攻击检测方法，其特征在于，所述基于所述节点关系网，进行网络攻击检测的步骤，包括：

获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据；所述网络关联数据包括：网络数据、网络设备日志、进程数据、操作系统日志和告警数据中的至少一种；

从所述待检测数据中提取第二攻击特征数据；

检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点，其中，所述目标节点对应的第一攻击特征数据与所述第二攻击特征数据相匹配，所述非目标节点为所述节点关系网中所述目标节点之外的节点；

将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集，其中，所述节点距离为两个互不相同的目标节点之间存在的非目标节点的个数，所述安全事件集包括n个安全事件，所述n为大于等于0的整数。

4.如权利要求3所述的网络攻击检测方法，其特征在于，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：

基于所述安全事件集中每个所述安全事件的目标节点总数、每个所述安全事件中各目标节点的节点关联数，分别确定每个所述安全事件的可信度评分；其中，所述节点关联数为与所述目标节点直接连接的、且属于同一安全事件的其他节点的个数；

基于所述可信度评分，确定每个所述安全事件的处理优先级。

5.如权利要求3所述的网络攻击检测方法，其特征在于，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：

基于所述节点关系网，确定每个所述安全事件包括的目标节点所属的网络攻击事件，以得到每个所述安全事件分别对应的特定网络攻击事件；

分别确定每个所述特定网络攻击事件在对应的所述安全事件中包括的目标节点数n_x，以及每个所述特定网络攻击事件在所述节点关系网中包括的节点总数c_x；

基于每个所述特定网络攻击事件的n_x和c_x，确定每个所述安全事件与对应的所述特定网络攻击事件的关联度。

6.如权利要求3所述的网络攻击检测方法，其特征在于，所述检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点的步骤，包括：

确定所述节点关系网中每个节点的节点类型，所述节点类型包括没有攻击特征数据输入的入口节点、直接关联的其它节点数大于预设第二阈值的关键节点、没有攻击特征数据输出的结束节点；

依次按照第一优先级、第二优先级、第三优先级将所述关键节点、所述结束节点、所述入口节点分别对应的所述第一攻击特征数据与所述第二攻击特征数据进行检索匹配，以检索出目标节点与非目标节点。