[发明专利]一种网络多步攻击检测方法、装置、设备及存储介质

说明书

本申请公开了一种网络多步攻击检测方法、装置、设备及存储介质，所述方法包括：获取目标网络中的攻击数据流；从所述攻击数据流中抽取与预设时间窗口对应的多条攻击数据；获取多种预设多步攻击模式各自对应的多步攻击数据和所述多步攻击数据间的时空关系信息；基于多步攻击数据和所述时空关系信息，对所述多条攻击数据进行多步攻击识别，得到初始多步攻击数据；将所述初始多步攻击数据中多个攻击数据按照攻击时间顺序进行组合，得到目标多步攻击数据。利用本申请提供的方案能够利用多个单步攻击之间空间与时序的二维关联关系实现网络攻击的多步检测，还原完整的网络攻击链，从而提升网络多步攻击检测的准确率。

技术领域

本申请涉及网络安全技术领域，具体涉及一种网络多步攻击检测方法、装置、设备及存储介质。

背景技术

在车云网络日常安全运行中，随着攻击手段越来越高级，攻击者通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击，执行多步攻击从外部进入车内部，并在车内部进行横向移动。

现有的网络攻击检测由规则检测硬件盒子来实现，仅能检测到车端或云端上的单步攻击行为，无法将完整的多步攻击链进行还原，不适用于车云网络上越来越高级的网络攻击行为检测的需求，因此，需要提供一种更加有效的网络多步攻击检测方法。

发明内容

本申请提供了一种网络多步攻击检测方法、装置、设备及存储介质，可以利用多个单步攻击之间空间与时序的二维关联关系实现网络攻击的多步检测，还原完整的网络攻击链，从而提升网络多步攻击检测的准确率，本申请技术方案如下：

一方面，提供了一种网络多步攻击检测方法，所述方法包括：

获取目标网络中的攻击数据流；

从所述攻击数据流中抽取与预设时间窗口对应的多条攻击数据；

获取多种预设多步攻击模式各自对应的多步攻击数据和所述多步攻击数据间的时空关系信息；

基于多步攻击数据和所述时空关系信息，对所述多条攻击数据进行多步攻击识别，得到初始多步攻击数据；

将所述初始多步攻击数据中多个攻击数据按照攻击时间顺序进行组合，得到目标多步攻击数据。

另一方面，提供了一种网络多步攻击检测装置，所述装置包括：

攻击数据流获取模块，用于获取目标网络中的攻击数据流；

攻击数据抽取模块，用于从所述攻击数据流中抽取与预设时间窗口对应的多条攻击数据；

预设多步攻击模式获取模块，用于获取多种预设多步攻击模式各自对应的多步攻击数据和所述多步攻击数据间的时空关系信息；

多步攻击识别模块，用于基于多步攻击数据和所述时空关系信息，对所述多条攻击数据进行多步攻击识别，得到初始多步攻击数据；

攻击数据组合模块，用于将所述初始多步攻击数据中多个攻击数据按照攻击时间顺序进行组合，得到目标多步攻击数据。

另一方面，提供了一种网络多步攻击检测设备，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述的网络多步攻击检测方法。

另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如上述的网络多步攻击检测方法。

本申请提供的网络多步攻击检测方法、装置、设备及存储介质，具有如下技术效果：