CN114422186B - 一种攻击检测方法、装置、电子设备及存储介质 - Google Patents

Abstract

本发明实施例适用于计算机安全技术领域，提供了一种攻击检测方法、装置、电子设备及存储介质，其中，攻击检测方法包括：确定是否存在与第一网络流量对应的历史攻击事件；在存在与第一网络流量对应的历史攻击事件的情况下，将第一网络流量输入第一模型，得到第一模型输出的预测结果；预测结果表征第一网络流量对应的攻击阶段；第一模型基于历史攻击事件和对应的攻击阶段训练得到；基于预测得到的攻击阶段对第一网络流量进行特征分析，得到分析结果；分析结果表征第一网络流量对应的攻击特征。

Description

一种攻击检测方法、装置、电子设备及存储介质

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种攻击检测方法、装置、电子设备及存储介质。

背景技术

一个通用性攻击过程包含多个攻击阶段，相关技术对获取的网络流量进行威胁分析，根据特征分析出网络流量对应的攻击事件和攻击阶段。在攻击者采取防御规避和隐蔽信道等对抗技术的场景下，相关技术仅依赖特征分析无法有效获取网络流量对应的攻击事件和攻击阶段。

发明内容

为了解决上述问题，本发明实施例提供了一种攻击检测方法、装置、电子设备及存储介质，以至少解决相关技术无法有效获取网络流量对应的攻击行为的问题。

本发明的技术方案是这样实现的：

第一方面，本发明实施例提供了一种攻击检测方法，该方法包括：

确定是否存在与第一网络流量对应的历史攻击事件；

在存在与所述第一网络流量对应的历史攻击事件的情况下，将所述第一网络流量输入第一模型，得到所述第一模型输出的预测结果；所述预测结果表征所述第一网络流量对应的攻击阶段；所述第一模型基于历史攻击事件和对应的攻击阶段训练得到；

基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果；所述分析结果表征所述第一网络流量对应的攻击特征。

在上述方案中，在所述基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果之后，所述方法还包括：

将所述分析结果和所述预测结果进行一致性检测，得到检测结果；

在所述检测结果表征一致性检测不通过的情况下，基于所述第一网络流量对应的历史流量验证所述分析结果和所述预测结果。

在上述方案中，所述基于所述第一网络流量对应的历史流量验证所述分析结果和所述预测结果，包括：

确定所述历史流量是否对应有与所述预测结果对应的攻击阶段；

在所述历史流量对应有与所述预测结果对应的攻击阶段的情况下，基于所述历史流量补充所述分析结果中的攻击特征。

在上述方案中，所述方法还包括：

在所述历史流量和所述第一网络流量都不对应有与所述预测结果对应的攻击阶段的情况下，基于所述分析结果和所述历史流量调整所述第一模型的模型参数。

在上述方案中，所述基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果，包括：

基于预测得到的攻击阶段对应的第二模型，提取所述第一网络流量中的攻击特征；所述第二模型用于提取攻击阶段对应的攻击特征。

在上述方案中，所述将所述分析结果和所述预测结果进行一致性检测，得到检测结果，包括：

确定所述分析结果对应的攻击阶段是否与所述预测结果对应的攻击阶段相同；在相同的情况下，所述检测结果表征一致性检测通过。

在上述方案中，所述确定是否存在与第一网络流量对应的历史攻击事件，包括：

确定所述第一网络流量中的标识数据；所述标识数据表征所述第一网络流量的发送者的身份标识；

基于所述标识数据确定是否存在与所述第一网络流量对应的历史攻击事件。

第二方面，本发明实施例提供了一种攻击检测装置，该装置包括：

确定模块，用于确定是否存在与第一网络流量对应的历史攻击事件；

预测模块，用于在存在与所述第一网络流量对应的历史攻击事件的情况下，将所述第一网络流量输入第一模型，得到所述第一模型输出的预测结果；所述预测结果表征所述第一网络流量对应的攻击阶段；所述第一模型基于历史攻击事件和对应的攻击阶段训练得到；

分析模块，用于基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果；所述分析结果表征所述第一网络流量对应的攻击特征。

第三方面，本发明实施例提供了一种电子设备，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行本发明实施例第一方面提供的攻击检测方法的步骤。

第四方面，本发明实施例提供了一种计算机可读存储介质，包括：所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的攻击检测方法的步骤。

本发明实施例通过确定是否存在与第一网络流量对应的历史攻击事件，在存在与第一网络流量对应的历史攻击事件的情况下，将第一网络流量输入第一模型，得到第一模型输出的预测结果。基于预测得到的攻击阶段对第一网络流量进行特征分析，得到分析结果。其中，预测结果表征所述第一网络流量对应的攻击阶段，分析结果表征第一网络流量对应的攻击特征，第一模型基于历史攻击事件和对应的攻击阶段训练得到。就算攻击者采取防御规避和隐蔽信道等对抗技术，本发明实施例基于第一模型也可以准确对第一网络流量对应的攻击阶段进行预测，可以将预测得到的攻击阶段与历史攻击行为相关联，绘制出一次完整的通用性攻击过程的多攻击阶段，并基于预测得到的攻击阶段准确提取第一网络流量中的攻击特征。

附图说明

图1是本发明实施例提供的一种攻击检测方法的实现流程示意图；

图2是本发明实施例提供的另一种攻击检测方法的实现流程示意图；

图3是本发明实施例提供的另一种攻击检测方法的实现流程示意图；

图4是本发明实施例提供的另一种攻击检测方法的实现流程示意图；

图5是本发明应用实施例提供的一种攻击检测流程的示意图；

图6是本发明实施例提供的一种攻击检测装置的示意图；

图7是本发明一实施例提供的电子设备的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

相关技术根据特征分析不同网络流量关联的攻击事件和攻击阶段，分析出的每个攻击事件之间不具备关联性，而完整的攻击流程是按照既定攻击事件以“与”关系进行组合的。相关技术将识别出的既定攻击事件以简单串联的方式进行组合，无法准确地绘制出一次完整的攻击场景的多步骤攻击过程和对应的攻击阶段。

攻击者在采取防御规避和隐蔽信道等对抗技术的攻击场景下，相关技术仅依赖特征分析网络流量对应的攻击行为有很大的局限性，无法准确获取网络流量对应的攻击事件和攻击阶段。

针对上述相关技术的缺点，本发明实施例提供了一种攻击检测方法，能够准确检测网络流量对应的攻击阶段和攻击特征。为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

图1是本发明实施例提供的一种攻击检测方法的实现流程示意图，所述攻击检测方法的执行主体为电子设备，电子设备包括台式电脑、笔记本电脑、网关和服务器等。参考图1，攻击检测方法包括：

S101，确定是否存在与第一网络流量对应的历史攻击事件。

这里，第一网络流量是需要进行攻击检测的网络流量，例如，第一网络流量可以是网关接收到的其他终端发送过来的网络流量。

可以通过获取第一网络流量中的网络地址，根据网络地址对历史攻击数据进行检索，确定是否有网络地址对应的历史攻击数据，从而确定是否存在与第一网络流量对应的历史攻击事件。

参考图2，在一实施例中，所述确定是否存在与第一网络流量对应的历史攻击事件，包括：

S201，确定所述第一网络流量中的标识数据；所述标识数据表征所述第一网络流量的发送者的身份标识。

这里，标识数据指第一网络流量的发送者的身份标识，例如，标识数据可以为网际互连协议(IP，Internet Protocol)地址、媒体存取控制位址(MAC，Media Access ControlAddress)等。

S202，基于所述标识数据确定是否存在与所述第一网络流量对应的历史攻击事件。

根据标识数据查询攻击数据，如果攻击数据中存在该标识数据，说明存在与第一网络流量对应的历史攻击事件。

在实际应用中，一个通用性攻击过程通常在一段时间内连续发生，因此这里的历史攻击事件可以限定是在一段时间内发生的攻击事件，比如可以是在当前时间的前24小时内发生的历史攻击事件。

S102，在存在与所述第一网络流量对应的历史攻击事件的情况下，将所述第一网络流量输入第一模型，得到所述第一模型输出的预测结果；所述预测结果表征所述第一网络流量对应的攻击阶段；所述第一模型基于历史攻击事件和对应的攻击阶段训练得到。

一个通用性攻击过程包含多个攻击阶段，攻击者在任意场景下为实现攻击目的所使用的通用技术和方法，通常分为以下7个攻击阶段：1.信息收集；2.代码执行；3.持久化；4.权限提升；5.凭据获取；6.横向扩散；7.命令和控制。其中，

信息收集阶段：攻击者收集攻击目标的可用信息，用于规划攻击行为。

代码执行阶段：攻击者尝试在目标执行构造的恶意代码，控制目标的部分本地或远程系统。

持久化阶段：攻击者在重启、更改凭据和其他任何可能切断其访问的事件后保持对系统的访问。

权限提升阶段：攻击者获取系统上更高级别权限。

凭据获取阶段：攻击者窃取或替换目标的账户和密码的行为。

横向扩散阶段：攻击者向目标所在的网络的其他设备扩展攻击的行为。

命令和控制阶段：攻击者与被控制系统通信并控制系统的行为。

这里，第一模型可以是基于机器学习算法构建的，也可以是基于特定的启发式预测策略构建的。启发式预测策略指根据统计学原理进行预测，比如记录的历史攻击行为包括信息收集和代码执行，那么攻击者下一次的攻击行为在大概率是在完成代码执行的基础上实现持久化的行为，或者为扩大攻击面所进行的权限提升的行为。根据大量历史数据统计分析规律，根据规律进行预测。

如果第一模型是基于机器学习算法构建，则根据历史攻击事件和对应的攻击阶段训练第一模型，直至第一模型收敛，得到可以用于攻击阶段预测的第一模型。

由于攻击者针对目标的攻击过程是线性的，攻击者整体上将按照通用性攻击过程顺序地实施具体的攻击行为，因此第一模型可能输出一个或多个攻击阶段的预测结果。例如，记录的历史攻击行为包括信息收集和代码执行，那么攻击者下一次的攻击行为在大概率是在完成代码执行的基础上实现持久化的行为，或者为扩大攻击面所进行的权限提升的行为。因此，可以根据历史攻击记录合理地预测攻击者的正在发生或将要发生的攻击行为对应的一个或多个攻击阶段。

通过第一模型，能够将第一网络流量与历史攻击行为相互关联，预测第一网络流量所处的攻击阶段，准确地绘制出一次完整的攻击场景的多步骤攻击过程和对应的攻击阶段。

如果不存在与第一网络流量对应的历史攻击事件，则直接对第一网络流量进行特征分析，这里可以使用常规的特征分析方法，比如攻击特征匹配方法。

S103，基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果；所述分析结果表征所述第一网络流量对应的攻击特征。

根据攻击阶段的预测结果，优先按照预测的攻击阶段可能涉及的攻击面和攻击技术，对第一网络流量进行特征分析。应注意，这里并不是只对预测结果相关的攻击特征进行检测，而是加强与预测的攻击阶段相关的特征分析，其他攻击阶段也要进行特征分析。

对于每一个攻击阶段，根据预测结果选择特征分析方法进行特征分析。例如，关于代码执行阶段的特征分析方法可以分为两种，一种是轻度检测方法，另一种是重度检测方法。轻度检测方法的优势是检测速度更快，重度检测方法的优势是检测准确度更高。如果预测结果是代码执行阶段，则采用重度检测方法进行特征分析，以提高特征分析的精度。如果预测结果是其他攻击阶段，则采用轻度检测方法。

在一实施例中，所述基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果，包括：

基于预测得到的攻击阶段对应的第二模型，提取所述第一网络流量中的攻击特征；所述第二模型用于提取攻击阶段对应的攻击特征。

这里，第二模型与预测得到的攻击阶段相关，例如，预测得到的攻击阶段为代码执行阶段，则第二模型为SQL注入检测模型。

第二模型还可以对该攻击阶段可能涉及的自动化工具的行为进行检测，比如，如果攻击阶段预测结果为代码执行阶段，攻击者可能会借助业务功能实现SQL注入攻击，而攻击者很可能会使用自动化工具SQLMAP实现这一目的。在获知预测结果后，攻击特征分析将调用具体的SQL注入检测模型，在网络流量中准确地捕捉到SQLMAP所实施的SQL注入行为。

本发明实施例通过确定是否存在与第一网络流量对应的历史攻击事件，在存在与第一网络流量对应的历史攻击事件的情况下，将第一网络流量输入第一模型，得到第一模型输出的预测结果。基于预测得到的攻击阶段对第一网络流量进行特征分析，得到分析结果。其中，预测结果表征所述第一网络流量对应的攻击阶段，分析结果表征第一网络流量对应的攻击特征，第一模型基于历史攻击事件和对应的攻击阶段训练得到。就算攻击者采取防御规避和隐蔽信道等对抗技术，本发明实施例基于第一模型也可以准确对第一网络流量对应的攻击阶段进行预测，可以将预测得到的攻击阶段与历史攻击行为相关联，绘制出一次完整的通用性攻击过程的多攻击阶段，并基于预测得到的攻击阶段准确提取第一网络流量中的攻击特征。

参考图3，在一实施例中，在所述基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果之后，所述方法还包括：

S301，将所述分析结果和所述预测结果进行一致性检测，得到检测结果。

在上述实施例中，分析结果不仅可以表征第一网络流量对应的攻击特征，根据攻击特征还可以推断出第一网络流量对应的攻击阶段。例如，攻击特征是SQL注入行为，则对应的攻击阶段为代码执行阶段。

在一实施例中，所述将所述分析结果和所述预测结果进行一致性检测，得到检测结果，包括：

确定所述分析结果对应的攻击阶段是否与所述预测结果对应的攻击阶段相同；在相同的情况下，所述检测结果表征一致性检测通过。

这里，一致性检测指检测分析结果和预测结果对应的攻击阶段是否完全相同。如果完全相同，说明预测结果正确。如果部分相同或者完全不同，则一致性检测不通过。

S302，在所述检测结果表征一致性检测不通过的情况下，基于所述第一网络流量对应的历史流量验证所述分析结果和所述预测结果。

例如，预测结果对应的攻击阶段包括凭据获取阶段和横向扩散阶段，但是分析结果只对应横向扩散阶段，则一致性检测不通过。

如果一致性检测不通过，则根据第一网络流量对应的历史流量验证分析结果和预测结果。

参考图4，在一实施例中，所述基于所述第一网络流量对应的历史流量验证所述分析结果和所述预测结果，包括：

S401，确定所述历史流量是否对应有与所述预测结果对应的攻击阶段。

确定第一网络流量对应的历史流量中，是否存在预测结果对应的攻击阶段。

S402，在所述历史流量对应有与所述预测结果对应的攻击阶段的情况下，基于所述历史流量补充所述分析结果中的攻击特征。

如果历史流量对应有与预测结果对应的攻击阶段，比如，预测结果对应的攻击阶段包括凭据获取阶段和横向扩散阶段，历史流量对应有横向扩散阶段，说明凭据获取阶段在之前的检测过程中可能漏报了。将相关历史流量数据提取出来，进行特征分析，将漏报的攻击特征补充在这次特征分析的分析结果中。

例如，历史流量为http审计日志，在之前的特征检测过程中并没有发现攻击特征，但是本次检测认为历史检测存在漏报，则将之前认为正常的http审计日志提取出来，对其进行攻击特征检测，如果发现异常，即存在攻击特征，则将攻击特征补充在本次分析结果中，起到查漏补缺的作用。

在一实施例中，所述方法还包括：

在所述历史流量和所述第一网络流量都不对应有与所述预测结果对应的攻击阶段的情况下，基于所述分析结果和所述历史流量调整所述第一模型的模型参数。

如果历史流量和第一网络流量中均不存在与预测结果对应的攻击阶段，则说明预测结果不正确。将特征分析结果和相应的历史攻击流量反馈给第一模型，补充并修正第一模型。

这里，可以基于特征分析结果和相应的历史攻击流量再次训练第一模型，调整第一模型的模型参数，直至第一模型收敛为止。本发明实施例可以不断完善第一模型，不断提高第一模型的预测精度。

本发明实施例可以基于特征检测结果和预测结果验证历史攻击检测的正确性，将历史漏报的攻击行为补充在此次特征分析结果中，进行查漏补缺，完善攻击检测结果。

参考图5，图5是本发明应用实施例提供的一种攻击检测流程的示意图，攻击检测流程包括：

首先，获取网络流量，确定网络流量是否存在对应的历史攻击行为。

这里，可以根据网络流量的标识数据确定是否存在对应的历史攻击事件。

如果网络流量存在对应的历史攻击事件，则对网络流量进行攻击阶段预测，可以通过第一模型预测网络流量的攻击阶段，得到预测结果。如果网络流量不存在对应的历史攻击事件，则使用常规的特征分析方法，对网络流量进行攻击特征分析，分析网络流量是否包括攻击特征。

得到预测结果后，根据预测结果对网络流量进行攻击特征分析，得到分析结果。根据攻击阶段的预测结果，优先按照预测的攻击阶段可能涉及的攻击面和攻击技术，采用具体的攻击行为模型在当前网络流量中提取相对应的攻击特征，并对该阶段可能涉及的自动化工具的行为进行精确地检测和特征分析，输出当前攻击行为的分析结果。

最后，对分析结果和预测结果进行一致性检测，得到检测结果。

如果一致性检测不通过，则攻击特征进行关联分析，确定历史流量是否对应有与预测结果对应的攻击阶段，在历史流量对应有与预测结果对应的攻击阶段的情况下，基于历史流量补充分析结果中的攻击特征。在完成攻击特征关联分析后，再次进行一致性检查，如果一致性检测通过，则输出攻击行为。

如果历史流量和当前网络流量中均不存在与预测结果对应的攻击阶段，则说明预测结果不正确。将特征分析结果和相应的历史攻击流量反馈给第一模型，补充并修正第一模型。

本发明实施例通过划分任意攻击场景下的攻击者采用的通用性攻击过程，将一次完整的通用性攻击过程的多个攻击阶段与网络流量相互关联，用于识别当前网络流量所处的攻击阶段。并根据当前攻击行为在通用性攻击过程中所处的攻击阶段，推断攻击者在此攻击阶段可能使用的自动化工具和攻击特征，验证历史攻击检测的正确性，将历史漏报的攻击行为补充在此次特征分析结果中，进行查漏补缺，完善攻击检测结果。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

需要说明的是，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

另外，在本发明实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

参考图6，图6是本发明实施例提供的一种攻击检测装置的示意图，如图6所示，该装置包括：确定模块、预测模块和分析模块。

确定模块，用于确定是否存在与第一网络流量对应的历史攻击事件；

预测模块，用于在存在与所述第一网络流量对应的历史攻击事件的情况下，将所述第一网络流量输入第一模型，得到所述第一模型输出的预测结果；所述预测结果表征所述第一网络流量对应的攻击阶段；所述第一模型基于历史攻击事件和对应的攻击阶段训练得到；

分析模块，用于基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果；所述分析结果表征所述第一网络流量对应的攻击特征。

在一实施例中，所述装置还包括：

一致性检测模块，用于将所述分析结果和所述预测结果进行一致性检测，得到检测结果；

验证模块，用于在所述检测结果表征一致性检测不通过的情况下，基于所述第一网络流量对应的历史流量验证所述分析结果和所述预测结果。

在一实施例中，验证模块基于所述第一网络流量对应的历史流量验证所述分析结果和所述预测结果，包括：

确定所述历史流量是否对应有与所述预测结果对应的攻击阶段；

在所述历史流量对应有与所述预测结果对应的攻击阶段的情况下，基于所述历史流量补充所述分析结果中的攻击特征。

在一实施例中，所述装置还包括：

调整模块，用于在所述历史流量和所述第一网络流量都不对应有与所述预测结果对应的攻击阶段的情况下，基于所述分析结果和所述历史流量调整所述第一模型的模型参数。

在一实施例中，分析模块基于预测得到的攻击阶段对所述第一网络流量进行特征分析，得到分析结果，包括：

基于预测得到的攻击阶段对应的第二模型，提取所述第一网络流量中的攻击特征；所述第二模型用于提取攻击阶段对应的攻击特征。

在一实施例中，一致性检测模块将所述分析结果和所述预测结果进行一致性检测，得到检测结果，包括：

确定所述分析结果对应的攻击阶段是否与所述预测结果对应的攻击阶段相同；在相同的情况下，所述检测结果表征一致性检测通过。

在一实施例中，确定模块确定是否存在与第一网络流量对应的历史攻击事件，包括：

确定所述第一网络流量中的标识数据；所述标识数据表征所述第一网络流量的发送者的身份标识；

基于所述标识数据确定是否存在与所述第一网络流量对应的历史攻击事件。

实际应用时，所述解析模块、获取模块和抽取模块可通过电子设备中的处理器，比如中央处理器(CPU，Central Processing Unit)、数字信号处理器(DSP，Digital SignalProcessor)、微控制单元(MCU，Microcontroller Unit)或可编程门阵列(FPGA，Field－Programmable GateArray)等实现。

需要说明的是：上述实施例提供的攻击检测装置在进行攻击检测时，仅以上述各模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的模块完成，即将装置的内部结构划分成不同的模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的攻击检测装置与攻击检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的硬件实现，且为了实现本申请实施例的方法，本申请实施例还提供了一种电子设备。图7为本申请实施例电子设备的硬件组成结构示意图，如图7所示，电子设备包括：

通信接口，能够与其它设备比如网络设备等进行信息交互；

处理器，与所述通信接口连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。

当然，实际应用时，电子设备中的各个组件通过总线系统耦合在一起。可理解，总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图7中将各种总线都标为总线系统。

本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。

可以理解，存储器可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic RandomAccess Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic RandomAccess Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic RandomAccess Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

上述本申请实施例揭示的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的程序，结合其硬件完成前述方法的步骤。

可选地，所述处理器执行所述程序时实现本申请实施例的各个方法中由电子设备实现的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本申请实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的第一存储器，上述计算机程序可由电子设备的处理器执行，以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，本申请实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

另外，在本申请实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (7)

1.一种攻击检测方法，其特征在于，所述方法包括：

确定是否存在与第一网络流量对应的历史攻击事件；

在存在与所述第一网络流量对应的历史攻击事件的情况下，将所述第一网络流量输入第一模型，得到所述第一模型输出的预测结果；所述预测结果表征所述第一网络流量对应的攻击阶段；所述第一模型基于历史攻击事件和对应的攻击阶段训练得到；

根据所述预测结果，按照预测得到的攻击阶段涉及的攻击面和攻击技术，采用预测得到的攻击阶段对应的第二模型，提取所述第一网络流量中的攻击特征；所述第二模型用于提取攻击阶段对应的攻击特征；

在所述第一网络流量中的攻击特征和所述预测结果进行的一致性检测不通过的情况下，确定所述第一网络流量对应的历史流量是否对应有与所述预测结果对应的攻击阶段；

在所述历史流量对应有与所述预测结果对应的攻击阶段的情况下，基于所述历史流量补充所述第一网络流量中的攻击特征。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述历史流量和所述第一网络流量都不对应有与所述预测结果对应的攻击阶段的情况下，基于所述第一网络流量中的攻击特征和所述历史流量调整所述第一模型的模型参数。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

确定所述第一网络流量中的攻击特征对应的攻击阶段是否与所述预测结果对应的攻击阶段相同；

在相同的情况下，确定所述第一网络流量中的攻击特征和所述预测结果进行的一致性检测通过；

在不同的情况下，确定所述第一网络流量中的攻击特征和所述预测结果进行的一致性检测不通过。

4.根据权利要求1所述的方法，其特征在于，所述确定是否存在与第一网络流量对应的历史攻击事件，包括：

确定所述第一网络流量中的标识数据；所述标识数据表征所述第一网络流量的发送者的身份标识；

基于所述标识数据确定是否存在与所述第一网络流量对应的历史攻击事件。

5.一种攻击检测装置，其特征在于，包括：

确定模块，用于确定是否存在与第一网络流量对应的历史攻击事件；

预测模块，用于在存在与所述第一网络流量对应的历史攻击事件的情况下，将所述第一网络流量输入第一模型，得到所述第一模型输出的预测结果；所述预测结果表征所述第一网络流量对应的攻击阶段；所述第一模型基于历史攻击事件和对应的攻击阶段训练得到；

分析模块，用于根据所述预测结果，按照预测得到的攻击阶段涉及的攻击面和攻击技术，采用预测得到的攻击阶段对应的第二模型，提取所述第一网络流量中的攻击特征；所述第二模型用于提取攻击阶段对应的攻击特征；

验证模块，用于在所述第一网络流量中的攻击特征和所述预测结果进行的一致性检测不通过的情况下，确定所述第一网络流量对应的历史流量是否对应有与所述预测结果对应的攻击阶段；在所述历史流量对应有与所述预测结果对应的攻击阶段的情况下，基于所述历史流量补充所述第一网络流量中的攻击特征。

6.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述的攻击检测方法。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1至4任一项所述的攻击检测方法。