[发明专利]网络攻击检测方法、装置、设备及计算机程序

说明书

本发明公开一种网络攻击检测方法、装置、设备及计算机程序，通过获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集，基于每个攻击数据集，建立节点关系网；基于节点关系网，进行网络攻击检测；由于节点关系网是基于不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集建立的，其包括大量的攻击数据，因此，基于节点关系网可以更加准确的检测出系统是否遭到网络攻击，从而降低网络攻击检测难度，提升系统安全性。

技术领域

本发明涉及网络安全领域，特别涉及一种网络攻击检测方法、装置、设备及计算机程序。

背景技术

在实际应用中，通常会遭到网络攻击。为保障系统安全，需要对网络攻击进行检测。但是相关技术之后，网络攻击检测难度大，系统安全性低。

发明内容

本发明的主要目的是提供一种网络攻击检测方法、装置、设备及存储介质，旨在解决现有技术中网络攻击检测难度大，系统安全性低的问题。

为实现上述目的，本发明提出一种网络攻击检测方法，所述网络攻击检测方法包括以下步骤：

获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集；

基于每个所述攻击数据集，建立节点关系网；

基于所述节点关系网，进行网络攻击检测。

可选的，所述基于每个所述攻击数据集，建立节点关系网的步骤，包括：

从每个所述攻击数据集中分别提取攻击特征数据，以得到每个所述攻击数据集分别对应的第一攻击特征数据；所述攻击特征数据包括策略特征数据、技术特征数据、以及输出特征数据；

分别确定每个所述第一攻击特征数据的传输路径，其中，所述传输路径包括生成、传输、输出所述第一攻击特征数据的节点；

基于每个所述第一攻击特征数据对应的传输路径，构建节点关系网。

可选的，所述基于所述节点关系网，进行网络攻击检测的步骤，包括：

获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据；所述网络关联数据包括：网络数据、网络设备日志、进程数据、操作系统日志和告警数据中的至少一种；

从所述待检测数据中提取第二攻击特征数据；

检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点，其中，所述目标节点对应的第一攻击特征数据与所述第二攻击特征数据相匹配，所述非目标节点为所述节点关系网中所述目标节点之外的节点；

将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集，其中，所述节点距离为两个互不相同的目标节点之间存在的非目标节点的个数，所述安全事件集包括n个安全事件，所述n为大于等于0的整数。

可选的，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：

基于所述安全事件集中每个所述安全事件的目标节点总数、每个所述安全事件中各目标节点的节点关联数，分别确定每个所述安全事件的可信度评分；其中，所述节点关联数为与所述目标节点直接连接的、且属于同一安全事件的其他节点的个数；

基于所述可信度评分，确定每个所述安全事件的处理优先级。

可选的，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：

基于所述节点关系网，确定每个所述安全事件包括的目标节点所属的网络攻击事件，以得到每个所述安全事件分别对应的特定网络攻击事件；