WO2021169293A1

WO2021169293A1 - 攻击行为检测方法、装置及攻击检测设备

Info

Publication number: WO2021169293A1
Application number: PCT/CN2020/118782
Authority: WO
Inventors: 唐玉宾
Original assignee: 华为技术有限公司
Priority date: 2020-02-27
Filing date: 2020-09-29
Publication date: 2021-09-02
Also published as: US20220368706A1; CN113315742A; CN113315742B; EP4060958A1; EP4060958B1; EP4060958A4

Abstract

本申请公开了一种攻击行为检测方法、装置及攻击检测设备，属于网络安全技术领域。所述方法包括：获取主机在参考时间段内传输的HTTP报文流数据，通过多个行为检测模型确定多个初始概率值，根据该多个初始概率值确定综合概率值，如果综合概率值大于预设概率阈值，则确定检测到EK的攻击行为。由于该多个行为检测模型分别用于描述EK的攻击行为轨迹中不同阶段，因此，本方案能够完整刻画EK的攻击行为轨迹，并综合各个阶段的初始概率值，更加准确地检测EK的攻击行为。另外，本方案也不会严重耗费主机本身的资源，且由于获取的数据仅包含网络协议规定的常规数据，因此，相比于获取脚本代码解析的方法，本方案存在的侵犯用户隐私的风险很低。

Description

攻击行为检测方法、装置及攻击检测设备

本申请要求于2020年2月27日提交的申请号为202010123839.X、发明名称为“攻击行为检测方法、装置及攻击检测设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，特别涉及一种攻击行为检测方法、装置及攻击检测设备。

背景技术

当前，恶意分子可以使用漏洞利用工具包(exploit kit，EK)来传播恶意软件，达到对诸如用户终端等主机进行攻击的目的。EK是一套工具集，也可以认为是一种基于下载方式传播恶意软件的攻击手段。当主机访问含有EK的恶意网站时，EK会利用主机的上网环境中的漏洞信息，来选择对应的恶意软件对主机进行攻击。而如果能够及时地检测到EK的攻击行为，则可以提醒用户及时采取措施应对EK的攻击，最大程度地减少用户损失。

在相关技术中，主机在访问一个网站的过程中，能够收集并检测该网站的脚本代码，并解析这些脚本代码，生成脚本代码的签名。之后，主机将生成的签名与存储的签名库中的签名进行对比，来确定主机访问网站的过程中是否存在EK的攻击行为。其中，存储的签名库中的签名是根据已知EK的恶意代码通过签名算法生成的。

然而，收集的脚本代码中通常包含有用户的隐私数据，这样就会存在侵犯用户隐私的风险。并且，解析脚本代码所耗费的处理器资源以及内存资源很大，会造成主机的性能下降。

发明内容

本申请提供了一种攻击行为检测方法、装置及攻击检测设备，能够降低相关技术中存在的侵犯用户隐私的风险，且在不消耗主机的资源的情况下，提高攻击行为检测的准确率。所述技术方案如下：

第一方面，提供了一种攻击行为检测方法，该方法包括：

获取主机在参考时间段内传输的超文本传输协议(hyper text transfer protocol，HTTP)报文流数据，该HTTP报文流数据包括一个或多个HTTP报文中的数据，该一个或多个HTTP报文属于第一数据流，参考时间段为当前时间之前且距离当前时间参考时长的时间段；根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，初始概率值是指该多个行为检测模型中的一个行为检测模型输出的概率值；根据该多个初始概率值确定综合概率值，综合概率值用于指示该主机传输该第一数据流的过程中被EK攻击的可能性；如果该综合概率值大于预设概率阈值，则确定该主机传输该第一数据流的过程中存在EK的攻击行为。

在本申请中，EK攻击行为轨迹包括多个不同阶段，主机在运行过程中，会传输HTTP报文流(数据流)数据，而被EK攻击的主机所传输的HTTP报文流数据会携带EK攻击的一些行为特征。基于此，攻击检测设备能够获取主机在参考时间段内传输的HTTP报文流数据，之后对该HTTP报文流数据进行分析处理，以此来检测该主机是否被EK攻击，也即是该主机在传输数据流的过程中是否存在EK的攻击行为。

如果主机被EK攻击，则主机与EK的攻击设备之间会持续传输一段时间的HTTP报文，因此，本方案需要获取一段时间的HTTP报文流数据，也即是获取参考时间段内的HTTP报文流数据，该HTTP报文流数据包括一个或多个HTTP报文中的数据，且该一个或多个HTTP报文属于第一数据流，第一数据流是该主机与某个设备之间传输HTTP报文所形成的数据流，该参考时间段为当前时间之前且距离当前时间参考时长的时间段。

在本申请中，攻击检测设备能够对获取的HTTP报文流数据进行数据预处理，得到多个行为检测模型中每个行为检测模型的输入，通过每个行为检测模型对相应的输入进行处理，得到相应的初始概率值，以得到多个初始概率值。其中，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段。

可选地，根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，包括：从该多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据该多个行为检测模型中的每个行为检测模型均已执行以下操作为止：

根据该HTTP报文流数据，确定该选择的行为检测模型对应的特征向量；将该特征向量输入该选择的行为检测模型，获得该选择的行为检测模型输出的初始概率值。

在本申请中，由于该多个行为检测模型分别用于描述EK攻击行为轨迹中的不同阶段，也即一个行为检测模型能够用于描述EK攻击行为轨迹中的一个阶段，而不同阶段的EK攻击行为的行为特征存在不同，因此，输入各个的行为检测模型的特征向量也不同，也即是根据主机的HTTP报文流数据确定的各个行为检测模型对应的特征向量也不同。

在本申请中，EK的攻击行为轨迹包括重定向阶段、攻击对象筛选阶段、漏洞利用阶段、恶意软件下载阶段等阶段，基于此，多个行为检测模型至少能够描述这四个阶段中的任意两个阶段，也即是该多个行为检测模型至少包括分别用于描述这四个阶段中任意两个阶段的两个模型。也即是，可选地，该多个行为检测模型包括至少两个以下模型：重定向检测模型、攻击对象筛选检测模型、漏洞利用检测模型和恶意软件下载检测模型。

其中，重定向检测模型用于描述EK攻击行为轨迹中的重定向阶段，这个阶段EK攻击会将用户正在浏览的网页等进行重定向。攻击对象筛选模型用于描述EK的攻击行为轨迹中的攻击对象筛选阶段，这个阶段EK会根据主机传输的HTTP报文中携带的操作系统、浏览器版本等信息，来筛选攻击对象。漏洞利用检测模型用于描述EK的攻击行为轨迹中的漏洞利用阶段，这个阶段EK会分析主机中存在的漏洞，下载漏洞文件到主机上，例如，主机上低版本的Flash插件可能会存在漏洞，EK会下载一个Flash漏洞文件到主机上，对主机进行爆破等。恶意软件下载检测模型用于描述EK的攻击行为轨迹中的恶意软件下载阶段，这个阶段EK会下载恶意软件到主机上，比如，木马软件、勒索软件等。

在本申请实施例中，攻击检测设备能够从HTTP报文流数据中获取每个行为检测模型对应的特征向量包括的一个或多个特征。而且，一个HTTP报文中的数据包括多个字段，每个字段表示一种信息，特征向量包括的各个特征能从这些字段中分别获取。

需要说明的是，EK攻击行为的多种行为特征，可以分为公有特征和独有特征，其中，公有特征为各个行为检测模型公有的特征，或者某些行为检测模型公有的特征，独有特征为某个行为检测模型独有的特征。也即是，每个行为检测模型对应的特征向量包括一种或多种特征，该一种或多种特征的其中一部分为公有特征，另一部分为独有特征。

对于重定向检测模型来说，由于重定向检测模型用于描述EK的攻击行为轨迹中的重定向阶段，因此，主机传输的HTTP报文中可能会携带Location(定向)字段，Location字段用于将主机浏览的网页进行重定向。基于此，重定向检测模型对应的特征向量包括重定向阶段的行为特征，例如HTTP报文消息码、统一资源定位符(uniform resource locator，URL)字段的长度、是否携带Location字段等特征。其中，HTTP报文消息码为重定向检测模型和漏洞利用检测模型的公有特征，URL字段的长度为上述四个模型的公有特征，HTTP报文流数据是否携带Location字段为重定向检测模型的独有特征。

对于攻击对象筛选模型来说，由于攻击对象筛选模型用于描述EK的攻击行为轨迹中的攻击对象筛选阶段，因此，攻击对象筛选模型对应的特征向量包括攻击对象筛选阶段的行为特征，例如URL字段的长度、操作系统类型等。可选地，操作系统类型为攻击对象筛选模型的独有特征。

对于漏洞利用检测模型来说，由于漏洞利用检测模型用于描述EK的攻击行为轨迹中的漏洞利用阶段，且这个阶段主机传输的HTTP报文的字段可能会被更改，包括增加字段、篡改数据、加密字段等。基于此，漏洞利用检测模型对应的特征向量包括漏洞利用阶段的行为特征，例如HTTP报文消息码、URL字段的长度、URL字段是否含有Base64模式编码子串、是否携带X-Flash-Version字段等。可选地，URL字段是否含有Base64模式编码子串、是否携带X-Flash-Version字段为漏洞利用检测模型的独有特征。

对于恶意软件下载检测模型来说，由于恶意软件下载检测模型用于描述EK的攻击行为轨迹中的恶意软件下载阶段，因此，恶意软件下载检测模型对应的特征向量包括恶意软件下载阶段的行为特征，例如，HTTP报文消息码、URL字段的长度、HTTP报文的Content-Type(内容类型)字段、Content-Length(内容长度)字段等。需要说明的是，HTTP报文包括HTTP请求报文和HTTP响应报文，HTTP响应报文携带Content-Type、Content-Length字段。

在确定一个模型对应的特征向量之后，攻击检测设备将该特征向量输入对应的模型，并将该模型输出的概率值作为一个初始概率值，对这四个模型均执行该操作，得到四个初始概率值。

可选地，根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值之前，还包括：根据过滤规则集，对该HTTP报文流数据进行过滤；根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，包括：根据过滤后剩余的HTTP报文流数据，通过该多个行为检测模型，确定该多个初始概率值。也即是，攻击检测设备可以先过滤掉明显不需要检测的HTTP报文中的数据，之后，再通过该多个行为检测模型确定多个初始概率值。

可选地，该过滤规则集包括但不限于以下的规则：

第一过滤规则，该第一过滤规则的匹配项为：包含一个或多个操作系统的类型的参考类型集，该参考类型集中包括被EK攻击的概率小于参考概率阈值的操作系统的类型，该第一过滤规则的动作为：过滤掉，该第一过滤规则用于将第一目的HTTP报文中的数据过滤掉，第一目的HTTP报文是指携带的操作系统的类型包含在该参考类型集中的HTTP报文；和/或

第二过滤规则，该第二过滤规则的匹配项为：一个或多个内网地址，该第二过滤规则的动作为：过滤掉，该第二过滤规则用于将第二目的HTTP报文中的数据过滤掉，第二目的HTTP报文是指携带的目的地址为内网地址的HTTP报文；和/或

第三过滤规则，该第三过滤规则的匹配项为：包含一个或多个域名的参考域名集，该参考域名集中包括被访问频率大于频率阈值的域名，该第三过滤规则的动作为：过滤掉，该第三过滤规则用于将第三目的HTTP报文中的数据过滤掉，第三目的HTTP报文是指携带的域名包含在该参考域名集中的HTTP报文。

也即是，攻击检测设备在获取到主机在参考时间段内传输的HTTP报文流数据之后，能够将携带的操作系统的类型为低风险的操作系统、和/或携带的目的地址为内网地址、和/或携带的域名为高访频率的域名的HTTP报文中的数据过滤掉。

在本申请中，由于仅根据单一一个初始概率值，往往不能确定是否存在EK攻击行为，也即是单方面的因素往往和EK的关联度较低，因此，在通过多个行为检测模型，确定多个初始概率值之后，攻击检测设备能够对该多个初始概率值进行综合处理，确定一个综合概率值，该综合概率值用于指示该主机传输第一数据流的过程中被EK攻击的可能性。

可选地，该根据该多个初始概率值确定综合概率值，包括：根据该多个初始概率值确定多个交叉特征，交叉特征是指该多个初始概率值中两个不同的初始概率值相乘后得到的；根据该多个交叉特征生成交叉特征向量；将该交叉特征向量输入关联分析模型，获得该关联分析模型输出的该综合概率值，关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。

可选地，根据该多个初始概率值确定多个交叉特征之前，还包括：对该HTTP报文流数据进行漏洞文件检测和恶意软件检测，得到漏洞文件检测结果和恶意软件检测结果；根据该多个初始概率值确定多个交叉特征，包括：根据该多个初始概率值，以及该漏洞文件检测结果和该恶意软件检测结果，确定该多个交叉特征，该交叉特征是指该多个初始概率值、该漏洞文件检测结果和该恶意软件检测结果中的两个不同的数据相乘后得到的。

其中，对HTTP报文流数据进行漏洞文件检测和恶意软件检测的方法是根据入侵防御系统(intrusion prevent system，IPS)进行检测的方法。IPS能够对HTTP报文流数据包括的字段、字符等进行分析，得到漏洞文件检测结果和恶意软件检测结果。

可选地，该根据该多个初始概率值，以及该漏洞文件检测结果和恶意软件检测结果，确定该多个交叉特征，包括：根据该多个初始概率值，以及该漏洞文件检测结果和恶意软件检测结果，生成一个概率矩阵，该概率矩阵为X行X列的矩阵，X为该多个初始概率值、该漏洞文件检测结果和恶意软件检测结果的总个数，X行和X列均对应该多个初始概率值、该漏洞文件检测结果和恶意软件检测结果，该概率矩阵中的元素是将交叉的两个数据相乘后得到的；按照交叉特征选择策略，从该概率矩阵中筛选出多个元素，将筛选出的多个元素作为该多个交叉特征。需要说明的是，在本申请中，交叉特征选择策略是根据经验确定的一种策略，以将冗余特征筛除。

在按照交叉特征选择策略筛选得到多个交叉特征之后，攻击检测设备能够根据前述相关介绍生成交叉特征向量，并将交叉特征向量输入关联分析模型，并输出综合概率值。如果综合概率值大于预设概率阈值，则攻击检测设备确定该主机传输第一数据流的过程中存在EK的攻击行为，也即是该主机被EK攻击。

需要说明的是，上述多个攻击行为检测模型为事先根据训练样本确定的多个模型。也即是，根据该HTTP报文流数据，通过该多个行为检测模型，确定多个初始概率值之前，还包括：获取多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，样本标签用于指示对应的训练样本为正训练样本还是负训练样本，正训练样本是指未被EK攻击的HTTP报文流数据，负训练样本是指被EK攻击的HTTP报文流数据；根据该多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到该多个行为检测模型，该多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段。

可选地，获取多个训练样本，包括：获取多个样本HTTP报文流数据，样本HTTP报文流数据是指该第二数据流中位于当前时间之前的该参考时长内的HTTP报文中的数据；根据过滤规则集，对该多个样本HTTP报文流数据中的每个样本HTTP报文流数据进行过滤；将过滤后剩余的多个样本HTTP报文流数据确定为多个训练样本。

需要说明的书，在本申请中，攻击检测设备能够按照数据流的定义以及参考时长对获取的HTTP报文进行预处理操作，以得到多个训练样本。

可选地，根据该多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到该多个行为检测模型，包括：从该多个初始检测模型中选择一个初始检测模型，根据选择的初始检测模型执行以下操作，直至根据该多个初始检测模型中的每个初始检测模型均已执行以下操作为止：

根据该多个训练样本中每个训练样本包括的样本HTTP报文，确定选择的初始检测模型对应的样本特征集，该样本特征集包括与该多个训练样本一一对应的多个样本特征向量；将该多个样本特征向量分别输入该选择的初始检测模型，对选择的初始检测模型进行训练，以使选择的初始检测模型的输出分别为该多个训练样本中相应训练样本对应的样本标签，从而得到一个行为检测模型。

可选地，根据该多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到该多个行为检测模型之后，还包括：根据该多个行为检测模型，以及该多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，该样本交叉特征集包括与该多个训练样本一一对应的多个样本交叉特征向量；将该多个样本交叉特征向量分别输入初始分析模型，对该初始分析模型进行训练，以使该初始分析模型的输出分别为该多个训练样本中相应训练样本对应的样本标签，从而得到关联分析模型。

在本申请中，由于该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，因此，用于训练各个初始检测模型的样本特征向量也不相同。攻击检测设备能够根据多个训练样本包括的样本HTTP报文，以及每个行为检测模型对应的特征向量包括的行为特征，来确定相应初始检测模型对应的样本特征集。

可选地，根据该多个行为检测模型，以及该多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集之前，还包括：对该多个训练样本分别进行漏洞文件检测和恶意软件检测，得到该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果；该根据该多个行为检测模型，以及该多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，包括：根据该多个行为检测模型、该多个行为检测模型中每个行为检测模型对应的样本特征集，以及该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定该样本交叉特征集。也即是，攻击检测设备能够根据IPS对每个训练样本进行漏洞文件检测和恶意软件检测。

可选地，根据该多个行为检测模型、该多个行为检测模型中每个行为检测模型对应的样本特征集，以及该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定该样本交叉特征集，包括：从该多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完该多个训练样本中的每个训练样本为止：

将该多个行为检测模型对应的样本特征集中与选择的训练样本对应的样本特征向量分别输入该多个行为检测模型，获得该多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；根据该多个样本概率值，以及选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征，样本交叉特征是指该多个样本概率值、选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的；根据该多个样本交叉特征生成一个样本交叉特征向量。

需要说明的是，根据多个样本概率值，以及所选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征的实现方式可以参照前述确定多个交叉特征的相关介绍，这里不再赘述。

第二方面，提供了一种攻击行为检测装置，所述攻击行为检测装置具有实现上述第一方面中攻击行为检测方法行为的功能。所述攻击行为检测装置包括一个或模块，该一个或多个模块用于实现上述第一方面所提供的攻击行为检测方法。

也即是，本申请提供了一种攻击行为检测装置，该装置包括：

第一获取模块，用于获取主机在参考时间段内传输的HTTP报文流数据，HTTP报文流数据包括一个或多个HTTP报文中的数据，一个或多个HTTP报文属于第一数据流，参考时间段为当前时间之前且距离当前时间参考时长的时间段；

第一确定模块，用于根据HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，初始概率值是指多个行为检测模型中的一个行为检测模型输出的概率值；

第二确定模块，用于根据该多个初始概率值确定综合概率值，综合概率值用于指示主机传输第一数据流的过程中被EK攻击的可能性；

第三确定模块，用于如果该综合概率值大于预设概率阈值，则确定该主机传输第一数据流的过程中存在EK的攻击行为。

可选地，第一确定模块具体用于：

从该多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据多个行为检测模型中的每个行为检测模型均已执行以下操作为止：

根据HTTP报文流数据，确定选择的行为检测模型对应的特征向量；

将该特征向量输入选择的行为检测模型，获得选择的行为检测模型输出的初始概率值。

可选地，该多个行为检测模型包括至少两个以下模型：重定向检测模型、攻击对象筛选检测模型、漏洞利用检测模型和恶意软件下载检测模型。

可选地，第二确定模块包括：

第一确定单元，用于根据该多个初始概率值确定多个交叉特征，交叉特征是指多个初始概率值中两个不同的初始概率值相乘后得到的；

生成单元，用于根据该多个交叉特征生成交叉特征向量；

综合分析单元，用于将该交叉特征向量输入关联分析模型，获得关联分析模型输出的综合概率值，该关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。

可选地，第二确定模块还包括：

第二确定单元，用于对该HTTP报文流数据进行漏洞文件检测和恶意软件检测，得到漏洞文件检测结果和恶意软件检测结果；

第一确定单元具体用于：

根据该多个初始概率值，以及该漏洞文件检测结果和恶意软件检测结果，确定多个交叉特征，交叉特征是指多个初始概率值、漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的。

可选地，第一确定单元具体用于：

根据该多个初始概率值，以及漏洞文件检测结果和恶意软件检测结果，生成一个概率矩阵，概率矩阵为X行X列的矩阵，X为多个初始概率值、漏洞文件检测结果和恶意软件检测结果的总个数，X行和X列均对应多个初始概率值、漏洞文件检测结果和恶意软件检测结果，概率矩阵中的元素是将交叉的两个数据相乘后得到的；

按照交叉特征选择策略，从该概率矩阵中筛选出多个元素，将筛选出的多个元素作为多个交叉特征。

可选地，该装置还包括：

第一过滤单元，用于根据过滤规则集，对HTTP报文流数据进行过滤；

第一确定模块具体用于：

根据过滤后剩余的HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值。

可选地，该过滤规则集包括但不限于以下的规则：

第一过滤规则，第一过滤规则的匹配项为：包含一个或多个操作系统的类型的参考类型集，参考类型集中包括被EK攻击的概率小于参考概率阈值的操作系统的类型，第一过滤规则的动作为：过滤掉，第一过滤规则用于将第一目的HTTP报文中的数据过滤掉，第一目的HTTP报文是指携带的操作系统的类型包含在参考类型集中的HTTP报文；和/或

第二过滤规则，第二过滤规则的匹配项为：一个或多个内网地址，第二过滤规则的动作为：过滤掉，第二过滤规则用于将第二目的HTTP报文中的数据过滤掉，第二目的HTTP报文是指携带的目的地址为内网地址的HTTP报文；和/或

第三过滤规则，第三过滤规则的匹配项为：包含一个或多个域名的参考域名集，参考域名集中包括被访问频率大于频率阈值的域名，第三过滤规则的动作为：过滤掉，第三过滤规则用于将第三目的HTTP报文中的数据过滤掉，第三目的HTTP报文是指携带的域名包含在参考域名集中的HTTP报文。

可选地，该装置还包括：

第二获取模块，用于获取多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，样本标签用于指示对应的训练样本为正训练样本还是负训练样本，正训练样本是指未被EK攻击的HTTP报文流数据，负训练样本是指被EK攻击的HTTP报文流数据；

第一训练模块，用于根据该多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到多个行为检测模型，该多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段。

可选地，第二获取模块包括：

获取单元，用于获取多个样本HTTP报文流数据，样本HTTP报文流数据是指第二数据流中位于当前时间之前的参考时长内的HTTP报文中的数据；

第二过滤单元，用于根据该过滤规则集，对多个样本HTTP报文流数据中的每个样本HTTP报文流数据进行过滤；

第三确定单元，用于将过滤后剩余的多个样本HTTP报文流数据确定为多个训练样本。

可选地，第一训练模块具体用于：

从该多个初始检测模型中选择一个初始检测模型，根据选择的初始检测模型执行以下操作，直至根据多个初始检测模型中的每个初始检测模型均已执行以下操作为止：

根据该多个训练样本中每个训练样本包括的样本HTTP报文，确定选择的初始检测模型对应的样本特征集，样本特征集包括与多个训练样本一一对应的多个样本特征向量；

将该多个样本特征向量分别输入选择的初始检测模型，对选择的初始检测模型进行训练，以使选择的初始检测模型的输出分别为该多个训练样本中相应训练样本对应的样本标签，从而得到一个行为检测模型。

可选地，该装置还包括：

第二获取模块，用于获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；

第一训练模块，用于根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，该多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段；

第三确定模块，用于根据该多个行为检测模型，以及该多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，样本交叉特征集包括与多个训练样本一一对应的多个样本交叉特征向量；

第二训练模块，用于将该多个样本交叉特征向量分别输入初始分析模型，对初始分析模型进行训练，以使该初始分析模型的输出分别为多个训练样本中相应训练样本对应的样本标签，从而得到关联分析模型。

可选地，该装置还包括：

第四确定模块，用于对该多个训练样本分别进行漏洞文件检测和恶意软件检测，得到该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果；

第三确定模块用于：

根据该多个行为检测模型、该多个行为检测模型中每个行为检测模型对应的样本特征集，以及该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定样本交叉特征集。

可选地，第三确定模块具体用于：

从该多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完该多个训练样本中的每个训练样本为止：

将该多个行为检测模型对应的样本特征集中与选择的训练样本对应的样本特征向量分别输入该多个行为检测模型，获得该多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；

根据该多个样本概率值，以及选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征，样本交叉特征是指多个样本概率值、选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的；

根据该多个样本交叉特征生成一个样本交叉特征向量。

第三方面，提供了一种攻击检测设备，所述攻击检测设备包括处理器和存储器，所述存储器用于存储执行上述第一方面所提供的攻击行为检测方法的程序，以及存储用于实现上述第一方面所提供的攻击行为检测方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述存储设备的操作装置还可以包括通信总线，该通信总线用于该处理器与存储器之间建立连接。

第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面所述的攻击行为检测方法。

第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的攻击行为检测方法。

上述第二方面、第三方面、第四方面和第五方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。

本申请提供的技术方案至少能够带来以下有益效果：

由于EK的攻击行为轨迹包括多个不同阶段，因此，本方案通过获取主机在一个时间段内的HTTP报文流数据，并通过多个行为检测模型进行处理，确定多个初始概率值，且由于该多个行为检测模型分别用于描述该多个不同阶段，因此，本方案能够完整刻画EK的攻击行为轨迹。在确定多个初始概率值之后，能够对该多个初始概率值进行综合处理，得到综合概率值，也即本方案能够综合分析各个阶段EK攻击的行为模式，更加准确地确定该主机在传输数据流的过程中被EK攻击的概率，也即更加准确地检测EK的攻击行为。由此可见，本方案既能够快速准确地检测EK的攻击行为，也不会严重耗费主机本身的资源。另外，由于本方案中获取的HTTP报文流数据仅包含网络协议规定的常规数据，因此，相比于获取脚本代码进行解析的方法，本方案存在的侵犯用户隐私的风险很低。

附图说明

图1是本申请实施例提供的一种攻击行为检测方法所涉及的系统架构图；

图2是本申请实施例提供的一种攻击检测设备的结构示意图；

图3是本申请实施例提供的一种攻击行为检测方法的流程图；

图4是本申请实施例提供的一种根据过滤规则集筛选HTTP报文流数据的流程图；

图5是本申请实施例提供的另一种确定攻击行为检测方法的流程图；

图6是本申请实施例提供的一种确定多个行为检测模型的方法流程图；

图7是本申请实施例提供的一种确定关联分析模型的方法流程图；

图8是本申请实施例提供的一种攻击行为检测装置的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

图1是本申请实施例提供的一种攻击行为检测方法所涉及的系统架构图。参见图1，该系统架构包括主机101、HTTP代理设备102、防火墙103和攻击检测设备104。主机101能够与HTTP代理设备102以无线或者有线方式连接进行通信。HTTP代理设备102能够与防火墙103以无线或者有线方式连接进行通信。HTTP代理设备102还能够与攻击检测设备104以无线或者有线方式连接进行通信。

主机101用于传输(发送或接收)HTTP报文流数据。HTTP代理设备102用于代理主机101获取一些信息，也即是，主机101发送的HTTP报文流数据到达HTTP代理设备102之后，HTTP代理设备102可以从外网获取相应的信息返回给主机101。防火墙103用于对主机101进行保护。攻击检测设备104用于从HTTP代理设备102中获取主机101在参考时间段内传输的HTTP报文流数据，并根据本申请实施例提供的技术方案对该HTTP报文流数据进行处理，来确定主机101是否被EK攻击。其中，攻击检测设备104还用于确定本方案提供的多个行为检测模型以及关联分析模型，并在自身部署。

可选地，攻击检测设备104为任一第三方设备。例如，攻击检测设备104为网络安全智能系统(cybersecurity intelligence system，CIS)，简称为CIS设备。

在另一些实施例中，攻击检测设备104为以防火墙、交换机、路由器为例转发设备的旁路设备，这种场景中，该系统架构还包括转发设备，该转发设备用于对主机101传输的报文流数据进行转发。攻击检测设备104用于从转发设备中获取主机101传输的HTTP报文流数据。

在另一些实施例中，攻击检测设备104采用云端部署方案，即攻击检测设备104部署于互联网。攻击检测设备104向其他提供报文流数据的设备提供EK攻击行为检测服务。这里提供报文流数据的设备包括但不限于主机、以防火墙、交换机、路由器为例转发设备、或者第三方服务器等。可选地，提供报文流数据的设备通过网络产品界面设计(Website User Interface，Web UI)向攻击检测设备104提供报文流数据，并接收攻击检测设备104输出的检测结果，例如提供的报文流数据是否存在EK的攻击行为。

可选地，本申请实施例中的多个行为检测模型和关联分析模型也能由其他的计算机设备根据训练样本训练确定，这样，将训练好的多个行为检测模型和关联分析模型部署在攻击检测设备104上即可。

可选地，在本申请实施例中，攻击检测设备104还用于在确定主机101被EK攻击之后，向主机101发送告警信息，该告警信息用于指示主机101被EK攻击，以提示用户或者主机101及时采取应对措施。或者，该系统架构还包括网络管理设备，主机101和攻击检测设备104均能够与网络管理设备以无线或有线方式连接进行通信，攻击检测设备104还用于在确定主机101被EK攻击之后，向网络管理设备上报告警信息，网络管理设备能够根据上报的告警信息，采取应对措施，例如向主机101转发告警信息等。

在另一些实施例中，该系统架构包括多个主机101，该多个主机101处于一个局域网中，该多个主机101都能够以无线或有线的方式与HTTP代理设备102通信，在这种场景中，攻击检测设备104用于检测该多个主机101是否被EK攻击。在该系统架构还包括转发设备的场景中，转发设备能够转发该多个主机101传输的HTTP报文流数据，攻击检测设备104用于检测该多个主机101中的每个主机101是否被EK攻击。

可选地，在本申请实施例中，任一主机101为台式电脑、平板电脑、笔记本电脑、手机、智能电视、智能音箱等，本申请实施例对此不作限定。

请参考图2，图2是根据本申请实施例示出的一种攻击检测设备的结构示意图。可选地，该攻击检测设备为图1中所示的攻击检测设备102，该攻击检测设备包括一个或多个处理器201、通信总线202、存储器203以及一个或多个通信接口204。

处理器201为一个通用中央处理器(central processing unit，CPU)、网络处理器(NP)、微处理器、或者为一个或多个用于实现本申请方案的集成电路，例如，专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。可选地，上述PLD为复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

通信总线202用于在上述组件之间传送信息。可选地，通信总线202分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

可选地，存储器203为只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、光盘(包括只读光盘(compact disc read-only memory，CD-ROM)、压缩光盘、激光盘、数字通用光盘、蓝光光盘等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器203独立存在，并通过通信总线202与处理器201相连接，或者，存储器203与处理器201集成在一起。

通信接口204使用任何收发器一类的装置，用于与其它设备或通信网络通信。通信接口204包括有线通信接口，可选地，还包括无线通信接口。其中，有线通信接口例如以太网接口等。可选地，以太网接口为光接口、电接口或其组合。无线通信接口为无线局域网(wireless local area networks，WLAN)接口、蜂窝网络通信接口或其组合等。

可选地，在一些实施例中，攻击检测设备包括多个处理器，如图2中所示的处理器201和处理器205。这些处理器中的每一个为一个单核处理器，或者一个多核处理器。可选地，这里的处理器指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，攻击检测设备还包括输出设备206和输入设备207。输出设备206和处理器201通信，能够以多种方式来显示信息。例如，输出设备206为液晶显示器(liquid crystal display，LCD)、发光二级管(light emitting diode，LED)显示设备、阴极射线管(cathode ray tube，CRT)显示设备、投影仪(projector)或者打印机等。输入设备207和处理器201通信，能够以多种方式接收用户的输入。例如，输入设备207是鼠标、键盘、触摸屏设备或传感设备等。

在一些实施例中，存储器203用于存储执行本申请方案的程序代码210，处理器201能够执行存储器203中存储的程序代码210。该程序代码中包括一个或多个软件模块，该攻击检测设备能够通过处理器201以及存储器203中的程序代码210，来实现下文图3实施例提供的攻击行为检测方法。

图3是本申请实施例提供的一种攻击行为检测方法的流程图，该方法应用于攻击检测设备，以攻击检测设备为图1中的CIS设备为例进行介绍。请参考图3，该方法包括如下步骤。

步骤301：获取主机在参考时间段内传输的HTTP报文流数据。

在本申请实施例中，EK攻击行为轨迹包括多个不同阶段，主机在运行过程中，会传输HTTP报文流(数据流)数据，而被EK攻击的主机所传输的HTTP报文流数据会携带EK攻击的一些行为特征。基于此，攻击检测设备能够获取主机在参考时间段内传输的HTTP报文流数据，之后对该HTTP报文流数据进行分析处理，以此来检测该主机是否被EK攻击，也即是该主机在传输数据流的过程中是否存在EK的攻击行为。

如果主机被EK攻击，则主机与EK的攻击设备之间会持续传输一段时间的HTTP报文，因此，本方案需要获取一段时间的HTTP报文流数据，也即是获取参考时间段内的HTTP报文流数据，该HTTP报文流数据包括一个或多个HTTP报文中的数据，且该一个或多个HTTP报文属于第一数据流，第一数据流是该主机与某个设备之间传输HTTP报文所形成的数据流，该参考时间段为当前时间之前且距离当前时间参考时长的时间段。可选地，参考时长为预设的一个时长，例如20分钟、30分钟等。

需要说明的是，在本申请实施例中，数据流的定义为二元组，二元组包括源IP地址和目的IP地址，也即是源IP地址和目的IP地址相同的多个HTTP报文属于同一数据流。或者数据流的定义为其他的任何一种定义，本申请实施例对此不作限定。

另外，主机所传输的HTTP报文流数据，会被HTTP代理设备接收，攻击检测设备会向HTTP代理设备发送获取HTTP报文数据流的获取请求，HTTP代理设备能够根据该获取请求，将主机在参考时间内段内传输的HTTP报文流数据发送给攻击检测设备。

需要说明的是，在系统架构只包括一台主机的场景中，HTTP代理设备中仅接收有该主机传输的HTTP报文流数据，攻击检测设备能够直接从HTTP代理设备中获取该主机传输的HTTP报文流数据。在系统架构中包括多个主机的场景中，HTTP代理设备用于服务该多个主机，HTTP代理设备会接收各个主机传输的HTTP报文流数据，也即是，HTTP代理设备接收的HTTP报文流数据来自于多个主机，攻击检测设备用于检测该多个主机中每个主机是否被EK攻击。这种场景中，攻击检测设备能够实时获取HTTP代理设备接收到的HTTP报文，并按照数据流的定义以及参考时长，将获取的HTTP报文进行处理，得到各个主机在参考时间段内传输的HTTP报文流数据，对于每个主机的HTTP报文流数据，攻击检测设备均能够根据本申请实施例提供的攻击检测方法来检测相应主机在传输HTTP报文流数据的过程中是否存在EK的攻击行为。

步骤302：根据该HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值。

在本申请实施例中，攻击检测设备能够对获取的HTTP报文流数据进行数据预处理，得到多个行为检测模型中每个行为检测模型的输入，通过每个行为检测模型对相应的输入进行处理，得到相应的初始概率值，以得到多个初始概率值。其中，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段。

可选地，攻击检测设备能够从该多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据该多个行为检测模型中的每个行为检测模型均已执行以下操作为止：根据该HTTP报文流数据，确定所选择的行为检测模型对应的特征向量，将该特征向量输入所选择的行为检测模型，获得所选择的行为检测模型输出的初始概率值。

在本申请实施例中，由于该多个行为检测模型分别用于描述EK攻击行为轨迹中的不同阶段，也即一个行为检测模型能够用于描述EK攻击行为轨迹中的一个阶段，而不同阶段的EK攻击行为的行为特征存在不同，因此，输入各个的行为检测模型的特征向量也不同，也即是根据主机的HTTP报文流数据确定的各个行为检测模型对应的特征向量也不同。

在本申请实施例中，EK的攻击行为轨迹包括重定向阶段、攻击对象筛选阶段、漏洞利用阶段、恶意软件下载阶段等阶段。基于此，多个行为检测模型至少能够描述这四个阶段中的任意两个阶段，也即是该多个行为检测模型至少包括分别用于描述这四个阶段中任意两个阶段的两个模型。

可选地，本申请实施例中的行为检测模型为基于机器学习算法的学习模型，例如，基于随机森林算法的学习模型、基于支持向量机(support vector machine，SVM)算法的学习模型、基于xgboost算法的学习模型等，且每个行为检测模型所采用的算法可以相同或不同，本申请实施例对此不作限定。例如，行为检测模型A和行为检测模型B均为基于随机森林算法的学习模型，或者，行为检测模型A为基于随机森林算法的学习模型，行为检测模型B为基于SVM算法的学习模型。

对于重定向检测模型来说，由于重定向检测模型用于描述EK的攻击行为轨迹中的重定向阶段，因此，主机传输的HTTP报文中可能会携带Location字段，Location字段用于将主机浏览的网页进行重定向。基于此，重定向检测模型对应的特征向量包括重定向阶段的行为特征，例如HTTP报文消息码、URL字段的长度、是否携带Location字段等特征。其中，HTTP报文消息码为重定向检测模型和漏洞利用检测模型的公有特征，URL字段的长度为上述四个模型的公有特征，HTTP报文流数据是否携带Location字段为重定向检测模型的独有特征。

可选地，由于HTTP报文流数据包括一个或多个HTTP报文中的数据，因此，HTTP报文消息码可以为根据每个HTTP报文中的数据携带的消息码确定的消息码向量，消息码为200、400、404等类型。URL字段的长度，为该一个或多个HTTP报文中的数据所携带的所有URL字段的总长度或者平均长度或者最长长度。另外，只要有一个HTTP报文中的数据携带Location字段，则确定该HTTP报文流数据携带Location字段，可选地，用‘0’表示不携带，用‘1’表示携带，或者用其他字符代码进行表示，本申请实施例对此不作限定。

其中，本申请实施例可以采用独热编码的方式来确定消息码向量，假设本申请实施例所采用的消息码包括类型1、类型2和类型3，可以初始化消息码向量为‘0，0，0’，也即是初始化消息码向量的元素总个数等于所采用的消息码的类型总数，每一位元素对应一个类型、且初始化为‘0’，如果该一个或多个消息码中包括类型1和类型2，不包括类型3，则可以确定消息码向量为‘1，1，0’。

示例性的，假设本申请实施例所采用的消息码包括400和302，HTTP报文流数据包括HTTP1、HTTP2、HTTP3这三个报文中的数据，这三个报文携带的消息码分别为200、400、404，这三个报文中的数据所携带的所有URL字段的平均长度为60，HTTP1报文中的数据携带Location字段，则该HTTP报文流数据的特征向量为[0，1，60，1]。

需要说明的是，如果URL字段是否含有Base64模式编码子串，表面该URL被加密，主机可能正在被EK攻击。只要有一个HTTP报文的URL字段含有Base64编码模式子串，则确定该HTTP报文流数据的URL字段含有Base64模式编码子串。同样地，只要有一个HTTP报文携带X-Flash-Version字段，确定该HTTP报文流数据包含有X-Flash-Version字段。

对于恶意软件下载检测模型来说，由于恶意软件下载检测模型用于描述EK的攻击行为轨迹中的恶意软件下载阶段，因此，恶意软件下载检测模型对应的特征向量包括恶意软件下载阶段的行为特征，例如，HTTP报文消息码、URL字段的长度、HTTP报文的Content-Type(内容类型)字段、Content-Length(内容长度)字段等。需要说明的是，HTTP报文包括HTTP 请求报文和HTTP响应报文，HTTP响应报文携带Content-Type、Content-Length字段。

以上介绍的各个模型对应的特征向量包括的特征能够根据实际进行扩展，例如是否包含某些特殊字符、特殊字段等、HTTP报文头包括的字段个数、报文头包括的字段的长度等。可选地，其中，HTTP报文头包括的字段个数为一个或多个HTTP报文的报文头中包括的字段个数最多的，报文头包括的字段的长度是HTTP报文头包括的各个字段的平均长度，哪些特征为公有特征，哪些特征为独有特征可以事先规定。

接下来将以多个行为检测模型包括这四个模型为例，对获取的每个模型对应的特征向量进行介绍。为方便描述，将前述介绍的特征HTTP报文消息码记为X1，URL字段的长度记为X2、是否携带Location字段记为X3、URL字段是否含有Base64模式编码子串记为X4、是否携带X-Flash-Version字段记为X5、操作系统类型记为X6。则重定向检测模型对应的特征向量为[X1，X2，X3]，攻击对象筛选检测模型对应的特征向量为[X1，X2，X6]，漏洞利用检测模型对应的特征向量为[X1，X2，X4，X5]，恶意文件下载检测模型对应的特征向量为[X1，X2]。

在确定一个模型对应的特征向量之后，攻击检测设备将该特征向量输入对应的模型，并将该模型输出的概率值作为一个初始概率值，对这四个模型均执行该操作，得到四个初始概率值，分别记为E1、E2、E3和E4。

可选地，攻击检测设备在根据主机的HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值之前，还能够根据过滤规则集，对获取的HTTP报文流数据进行过滤，过滤掉明显不需要检测的HTTP报文中的数据。之后，攻击检测设备能够根据过滤后剩余的HTTP报文流数据，通过该多个行为检测模型，确定该多个初始概率值。

在本申请实施例中，过滤规则集包括但不限于以下的规则：

第一过滤规则，第一过滤规则的匹配项为：操作系统的类型包含在参考类型集中，该参考类型集中包括被EK攻击的概率小于参考概率阈值的操作系统的类型，第一过滤规则的动作为：过滤掉。第一过滤规则用于将第一目的HTTP报文中的数据过滤掉，第一目的HTTP报文是指携带的操作系统的类型包含在该参考类型集中的HTTP报文。和/或

第二过滤规则，第二过滤规则的匹配项为：目的地址为内网地址，第二过滤规则的动作为：过滤掉。第二过滤规则用于将第二目的HTTP报文中的数据过滤掉，第二目的HTTP报文是指携带的目的地址为内网地址的HTTP报文。和/或

第三过滤规则，第三过滤规则的匹配项为：域名包含在参考域名集中，该参考域名集中包括访问频率大于频率阈值的域名，第三过滤规则的动作为：过滤掉。第三过滤规则用于将第三目的HTTP报文中的数据过滤掉，第三目的HTTP报文是指携带的域名包含在该参考域名集中的HTTP报文。

需要说明的是，HTTP报文中的数据携带的User-Agent(用户代理)字段包含有操作系统的类型，攻击检测设备能够从该字段获取携带的操作系统的类型。可选地，过滤规则集包括的各个规则均是根据经验设置的，或者根据统计数据设置的，过滤规则集能够动态扩展，原则是在不漏掉EK攻击的可疑HTTP报文的前提下尽量减少不必要的数据处理。另外，如果过滤规则集包括多个规则，根据这些规则来确定某个HTTP报文中的数据过滤时，攻击检测设备能够按照这些规则的各自的重要程度，来确定一个过滤顺序，或者确定任意一种顺序作为一个过滤顺序。

示例性的，假设过滤规则集包括第一过滤规则、第二过滤规则和第三过滤规则，过滤顺序为第一过滤规则、第二过滤规则、第三过滤规则。参见图4，攻击检测设备能够先判断HTTP报文中的数据携带的操作系统的类型是否包含在参考类型集中，如果是，则将该HTTP报文中的数据过滤掉，如果不是，则再判断该HTTP报文中的数据携带的目的地址是否为内网地址，如果是，则将该HTTP报文中的数据过滤掉，如果不是，则再判断该HTTP报文中的数据携带的域名是否包含在参考域名集中，如果是，则将该HTTP报文中的数据过滤掉，如果不是，则将该HTTP报文中的数据保留。

需要说明的是，在对HTTP报文流数据进行过滤之后，攻击检测设备根据过滤后的HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值的实现方式可以参照前述相关介绍，这里不再赘述。

步骤303：根据该多个初始概率值确定综合概率值。

在本申请实施例中，由于仅根据单一一个初始概率值，往往不能确定是否存在EK攻击行为，也即是单方面的因素往往和EK的关联度较低，因此，在通过多个行为检测模型，确定多个初始概率值之后，攻击检测设备能够对该多个初始概率值进行综合处理，确定一个综合概率值，该综合概率值用于指示该主机传输第一数据流的过程中被EK攻击的可能性。

可选地，攻击检测设备能够根据该多个初始概率值确定多个交叉特征，交叉特征是指该多个初始概率值中两个不同的初始概率值相乘后得到的。攻击检测设备能够根据该多个交叉特征生成交叉特征向量，将该交叉特征向量输入关联分析模型，获得该关联分析模型输出的综合概率值，该关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。

可选地，关联分析模型为任一种训练好的机器学习模型，例如逻辑回归模型、随机森林模型等。

示例性的，以多个初始概率值包括E1、E2、E3和E4为例，多个交叉特征包括如下表1中的F ₁₂、F ₁₃、F ₁₄、F ₂₃、F ₂₄和F ₃₄。交叉特征向量为[F ₁₂，F ₁₃，F ₁₄，F ₂₃，F ₂₄，F ₃₄]，或者为[F ₁₂，F ₁₃，F ₁₄，F ₂₃，F ₃₄，F ₂₄]等，也即是交叉特征向量中元素的顺序为任意一种定义的顺序。攻击检测设备能够将该交叉特征向量输入关联分析模型，得到输出的综合概率值P。

表1

另外，除了上述介绍的通过关联分析模型来确定综合概率值以外，在其他一些实施例中，攻击检测设备也能够将该多个初始概率值进行加权计算得到综合概率值。

可选地，攻击检测设备在根据多个初始概率值确定多个交叉特征之前，还能够对获取的HTTP报文流数据进行漏洞文件检测和恶意软件检测，得到漏洞文件检测结果和恶意软件检测结果。

可选地，对HTTP报文流数据进行漏洞文件检测和恶意软件检测的方法是根据IPS进行检测的方法。IPS能够对HTTP报文流数据包括的字段、字符等进行分析，得到漏洞文件检测结果和恶意软件检测结果。漏洞文件检测结果和恶意软件检测结果均为0或者1，漏洞文件检测结果为0表示未进行漏洞文件下载，为1表示进行了漏洞文件下载，恶意软件检测结果为0表示未进行恶意软件下载，为1表示进行了恶意软件下载。为方便描述，下述将漏洞文件检测结果和恶意软件检测结果分别记为E5和E6。

在得到多个初始概率值以及漏洞文件检测结果和恶意软件检测结果之后，攻击检测设备能够根据该多个初始概率值，以及漏洞文件检测结果和恶意软件检测结果，确定所述多个交叉特征，交叉特征是指该多个初始概率值、该漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的。

示例性的，假设多个初始概率值包括E1、E2、E3和E4，漏洞文件检测结果和恶意软件检测结果分别记为E5和E6，则交叉特征包括如下表2中的F ₁₂、F ₁₃、F ₁₄、F ₁₅、F ₁₆、F ₂₃、F ₂₄、F ₂₅、F ₂₆、F ₃₄、F ₃₅、F ₃₆、F ₄₅、F ₄₆和F ₄₇，共15个交叉特征。

表2

由于将多个初始概率值以及漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的数据均作为一个交叉特征的话，得到的交叉特征的个数可能较多，且其中一些交叉特征为冗余特征，对攻击行为检测的准确性提升能够忽略，且去掉之后能够减少计算量。基于此，攻击检测设备能够根据该多个初始概率值，以及漏洞文件检测结果和恶意软件检测结果，生成一个概率矩阵，然后，按照交叉特征选择策略，从该概率矩阵中筛选出多个元素，将筛选出的多个元素作为多个交叉特征。其中，概率矩阵为X行X列的矩阵，X为多个初始概率值、漏洞文件检测结果和恶意软件检测结果的总个数，X行和X列均对应多个初始概率值、漏洞文件检测结果和恶意软件检测结果，概率矩阵中的元素是将交叉的两个数据相乘后得到的。

可选地，在本申请实施例中，交叉特征选择策略是根据经验确定的一种策略，以将冗余特征筛除。

示例性的，假设多个初始概率值为上述重定向检测模型、攻击对象筛选检测模型、漏洞利用检测模型和恶意软件下载检测模型分别输出的概率值E1、E2、E3和E4，漏洞文件检测结果和恶意软件检测结果分别为E6和E7，则生成的概率矩阵D如下表3所示：

表3

其中，概率矩阵D为6行6列的矩阵，也即是X等于6，概率矩阵D中的元素x为冗余特征，冗余特征包括相同的数据相乘得到的特征、以及根据经验确定的对攻击检测的准确性提升能够忽略的特征，元素F1至F14为根据交叉特征选择策略筛选得到的多个交叉特征。

在按照交叉特征选择策略筛选得到多个交叉特征之后，攻击检测设备能够根据前述相关介绍生成交叉特征向量，并将交叉特征向量输入关联分析模型，并输出综合概率值。示例性的，交叉特征向量为[F ₁₃，F ₁₄，…，F ₅₆]。

步骤304：如果该综合概率值大于预设概率阈值，则确定该主机传输第一数据流的过程中存在EK的攻击行为。

在本申请实施例中，如果综合概率值大于预设概率阈值，则攻击检测设备确定该主机传输第一数据流的过程中存在EK的攻击行为，也即是该主机被EK攻击。

示例性的，假设预设概率阈值为90％，如果综合概率值为98％，则攻击检测设备确定该主机传输第一数据流的过程中存在EK的攻击行为，也即是该主机被EK攻击。如果综合概率值为60％，则攻击检测设备确定该主机传输第一数据流的过程中不存在EK的攻击行为，也即是该主机在参考时间段内未被EK攻击。

图5是本申请实施例提供的另一种攻击行为检测方法的流程图。参见图5，攻击检测设备能够获取主机在参考时间段内传输的HTTP报文流数据，并根据过滤规则集过滤掉明显不需要检测的HTTP报文中的数据。攻击检测设备将过滤后剩余的HTTP报文流数据分别输入重定向检测模型、攻击对象筛选检测模型、漏洞利用检测模型和恶意软件下载检测模型，分别通过这四个模型对HTTP报文流数据进行处理，得到初始概率值E1、E2、E3和E4。同时，攻击检测设备能够将过滤后剩余的HTTP报文流数据输入IPS，经IPS检测之后得到漏洞文件检测结果E5和恶意软件检测结果E6。之后，攻击检测设备会将这四个初始概率值、以及漏洞文件检测结果和恶意软件检测结果输入关联分析模型，根据关联分析模型输出的综合概率值P，确定检测结果。如果该综合概率值P大于预设概率阈值，则检测结果为确定该主机在参考时间段内被EK攻击，如果该综合概率值P不超过预设概率阈值，则检测结果为确定该主机在参考时间段内未被EK攻击。

可选地，在本申请实施例中，攻击检测设备在确定主机在传输第一数据流的过程中存在EK的攻击行为之后，能够将检测结果上报给网络管理设备，网络管理设备能够根据检测结果来采取应对措施。

以上介绍了本申请实施例中攻击检测设备通过多个行为检测模型来确定主机在传输第一数据流的过程中是否存在EK的攻击行为的方法。可选地，该多个攻击行为检测模型为事先根据训练样本确定的多个模型。接下来将对本申请实施例提供的一种确定多个攻击行为检测模型的方法进行介绍，该方法应用于攻击检测设备，或者应用于其他的计算机设备，接下来将以应用于攻击检测设备为例对此进行介绍。也即是，在根据HTTP报文流数据，通过多个行为检测模型，确定包括多个第一概率值的第一概率值集合之前，参见图6，攻击行为检测方法还包括步骤401和步骤402。

步骤401：获取多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签。

在本申请实施例中，攻击检测设备能够从HTTP代理设备中获取网络中各个样本主机传输的HTTP报文，从而确定多个训练样本。训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，样本标签用于指示对应的训练样本为正训练样本还是负训练样本，正训练样本是指未被EK攻击的HTTP报文流数据，负训练样本是指被EK攻击的HTTP报文流数据。需要说明的是，不同的训练样本所属的第二数据流可能相同或不同。

可选地，攻击检测设备能够获取多个样本HTTP报文流数据，样本HTTP报文流数据是指第二数据流中位于当前时间之前的参考时长内的HTTP报文中的数据。之后，攻击检测设备能够根据过滤规则集，对多个样本HTTP报文流数据中的每个样本HTTP报文流数据进行过滤，将过滤后剩余的多个样本HTTP报文流数据确定为多个训练样本。

在本申请实施例中，攻击检测设备能够按照数据流的定义以及参考时长对获取的HTTP报文进行预处理操作，以得到多个训练样本。

示例性的，攻击检测设备对获取的HTTP报文进行预处理操作能够得到事件列表如下，表4中每一行的样本HTTP报文流数据为一个训练样本。

表4

参考时长	源IP地址	目的IP地址	样本HTTP报文流数据
T1	10.0.xx.xx	10.xx.xx.xx	[HTTP1、HTTP2、…、HTTPn]
T1	10.1.xx.xx	10.xx.xx.xx	[HTTP1、HTTP2、…、HTTPm]
T1	…	…	…
T1	10.xx.xx.xx	10.xx.xx.xx	[HTTP1、HTTP2、…、HTTPk]

需要说明的是，表4中的T1为参考时长，数据流的定义为二元组，每个样本HTTP报文流数据包括的一个或多个样本HTTP报文中的数据，且该一个或多个样本HTTP报文中的数据可以按照传输的时间顺序依次排列。攻击检测设备能够根据前述介绍的过滤规则集对每个样本HTTP报文流数据包括的一个或多个样本HTTP报文中的数据进行过滤，将过滤之后的样本HTTP报文流数据，作为多个训练样本。

另外，攻击检测设备能够根据实际确定每个训练样本为正训练样本还是负训练样本，以确定每个训练样本对应的样本标签，正样本标签可以为‘1’，负训练样本可以为‘0’。其中负训练样本可以为已知的被EK攻击的HTTP报文流数据，包括真实数据和/或模拟数据，模拟数据是指模拟EK攻击行为所产生的HTTP报文流数据。

步骤402：根据该多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到多个行为检测模型。

在本申请实施例中，攻击检测设备在获取多个训练样本，以及每个训练样本对应的样本标签之后，能够对多个初始检测模型中的每个模型分别进行训练，得到多个行为检测模型。其中，多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段，也即是，按照EK攻击行为轨迹中不同阶段的行为特征，选择出的初始检测模型。

攻击检测设备能够从该多个初始检测模型中选择一个初始检测模型，根据选择的初始检测模型执行以下操作，直至根据该多个初始检测模型中的每个初始检测模型均已执行以下操作为止：根据该多个训练样本中每个训练样本包括的样本HTTP报文，确定所选择的初始检测模型对应的样本特征集，样本特征集包括与该多个训练样本一一对应的多个样本特征向量；将该多个样本特征向量分别输入所选择的初始检测模型，对所选择的初始检测模型进行训练，以使所选择的初始检测模型的输出分别为该多个训练样本中相应训练样本对应的样本标签，从而得到一个行为检测模型。

在本申请实施例中，由于多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，因此，用于训练各个初始检测模型的样本特征向量也不相同。攻击检测设备能够根据多个训练样本包括的样本HTTP报文，以及每个行为检测模型对应的特征向量包括的行为特征，来确定相应初始检测模型对应的样本特征集。

示例性的，仍以多个行为检测模型包括重定向检测模型、攻击对象筛选检测模型、漏洞利用检测模型和恶意软件下载检测模型，重定向检测模型对应的特征向量为[X1、X2、X3]，攻击对象筛选检测模型对应的特征向量可以为[X1，X2，X6]，漏洞利用检测模型对应的特征向量可以为[X1，X2，X4，X5]，恶意文件下载检测模型对应的特征向量可以为[X1，X2]。以重定向检测模型为例，重定向检测模型对应的初始检测模型的样本特征集可以为：

其中，n表示样本特征集包括的样本特征向量的总数量。

攻击检测设备在确定所选择的初始检测模型对应的样本特征集之后，可以将该样本特征集包括的多个样本特正向量分别输入所选择的初始检测模型，对所选择的初始检测模型进行训练，以使所选择的初始检测模型的输出分别为多个训练样本中相应训练样本对应的样本标签。也即是，本申请实施例中，训练多个初始检测模型的过程均为监督学习的过程。

上述攻击检测模型中的关联分析模型也是事先根据训练样本确定的模型，也即是在得到多个行为检测模型之后，参见图7，攻击行为检测方法还包括步骤403和步骤404。

步骤403：根据该多个行为检测模型，以及该多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集。

在本申请实施例中，在确定该多个行为检测模型之后，攻击检测设备能够从该多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完该多个训练样本中的每个训练样本为止：将多个行为检测模型对应的样本特征集中与所选择的训练样本对应的样本特征向量分别输入该多个行为检测模型，获得该多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；根据该多个样本概率值，确定多个样本交叉特征，样本交叉特征是指该多个样本概率值中的两个不同的数据相乘后得到的；根据该多个样本交叉特征生成一个样本交叉特征向量。

在执行完上述处理之后，攻击检测设备能够根据该多个训练样本一一对应的多个样本交叉特征向量，来确定样本交叉特征集，也即是样本交叉特征集包括与多个训练样本一一对应的多个样本交叉特征向量。

可选地，在本申请实施例中，攻击检测设备还能够对该多个训练样本分别进行漏洞文件检测和恶意软件检测，得到该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果。之后，攻击检测设备能够根据该多个行为检测模型、该多个行为检测模型中每个行为检测模型对应的样本特征集，以及该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，来确定样本交叉特征集。

需要说明的是，在本申请实施例中，攻击检测设备能够根据IPS对每个训练样本进行漏洞文件检测和恶意软件检测。

在本申请实施例中，攻击检测设备能够从该多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完所述多个训练样本中的每个训练样本为止：将该多个行为检测模型对应的样本特征集中与所选择的训练样本对应的样本特征向量分别输入该多个行为检测模型，获得该多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；根据该多个样本概率值，以及所选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征。这种情况下，样本交叉特征是指该多个样本概率值、所选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的；根据该多个样本交叉特征生成一个样本交叉特征向量。

步骤404：将该多个样本交叉特征向量分别输入初始分析模型，对该初始分析模型进行训练，以使该初始分析模型的输出分别为多个训练样本中相应训练样本对应的样本标签，从而得到关联分析模型。

在本申请实施例中，攻击检测设备在确定多个样本交叉特征向量之后，能够将该多个样本交叉特征向量输入初始分析模型，对该初始分析模型进行训练，以使该初始分析模型的输出分别为多个训练样本中相应训练样本对应的样本标签，从而得到关联分析模型。也即是，本申请实施例中的训练得到关联分析模型的过程为监督学习的过程。

可选地，关联分析模型为根据任一种机器学习算法确定的模型，本申请实施例对此不作限定。如果关联分析模型为逻辑回归模型，则训练得到该模型之后，还能够得到样本交叉特征向量中每个样本交叉特征对应的权重，权重用于表征每个交叉特征的重要度，后续如果根据该关联分析模型确定主机被EK攻击，则能在告警信息中携带为何确定该主机被EK攻击。

综上所述，在本申请实施例中，由于EK的攻击行为轨迹包括多个不同阶段，因此，本方案能够通过获取主机在一个时间段内的HTTP报文流数据，并通过多个行为检测模型进行处理，确定多个初始概率值，且由于该多个行为检测模型分别用于描述该多个不同阶段，因此，本方案能够完整刻画EK的攻击行为轨迹。在确定多个初始概率值之后，可以对该多个初始概率值进行综合处理，得到综合概率值，也即本方案能够综合分析各个阶段EK攻击的行为模式，更加准确地确定该主机在传输数据流的过程中被EK攻击的概率，也即更加准确地检测EK的攻击行为。由此可见，本方案既能够快速准确地检测EK的攻击行为，也不会严重耗费主机本身的资源。另外，由于本方案中获取的HTTP报文流数据仅包含网络协议规定的常规数据，因此，相比于获取脚本代码进行解析的方法，本方案存在的侵犯用户隐私的风险很低。

图8是本申请实施例提供的一种攻击行为检测装置的结构示意图，该攻击行为检测装置800可以由软件、硬件或者两者的结合实现成为攻击检测设备的部分或者全部，该攻击检测设备可以为图1所示的攻击检测设备。参见图8，该装置包括：第一获取模块801、第一确定模块802、第二确定模块803和第三确定模块804。

第一获取模块801，用于获取主机在参考时间段内传输的HTTP报文流数据，HTTP报文流数据包括一个或多个HTTP报文中的数据，一个或多个HTTP报文属于第一数据流，参考时间段为当前时间之前且距离当前时间参考时长的时间段；

第一确定模块802，用于根据HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，该多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，初始概率值是指多个行为检测模型中的一个行为检测模型输出的概率值；

第二确定模块803，用于根据该多个初始概率值确定综合概率值，综合概率值用于指示主机传输第一数据流的过程中被EK攻击的可能性；

第三确定模块804，用于如果该综合概率值大于预设概率阈值，则确定该主机传输第一数据流的过程中存在EK的攻击行为。

可选地，第一确定模块802具体用于：

可选地，第二确定模块803包括：

生成单元，用于根据该多个交叉特征生成交叉特征向量；

可选地，第二确定模块803还包括：

第一确定单元具体用于：

可选地，第一确定单元具体用于：

可选地，该装置800还包括：

第一确定模块具体用于：

可选地，该过滤规则集包括但不限于以下的规则：

可选地，该装置800还包括：

可选地，第二获取模块包括：

可选地，第一训练模块具体用于：

可选地，该装置800还包括：

第一训练模块，用于根据该多个训练样本，以及该多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到多个行为检测模型，该多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段；

可选地，该装置800还包括：

第三确定模块用于：

第四确定单元，用于根据该多个行为检测模型、该多个行为检测模型中每个行为检测模型对应的样本特征集，以及该多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定样本交叉特征集。

可选地，第三确定模块具体用于：

根据该多个样本交叉特征生成一个样本交叉特征向量。

综上所述，在本申请实施例中，在本申请实施例中，由于EK的攻击行为轨迹包括多个不同阶段，因此，本方案能够通过获取主机在一个时间段内的HTTP报文流数据，并通过多个行为检测模型进行处理，确定多个初始概率值，且由于该多个行为检测模型分别用于描述该多个不同阶段，因此，本方案能够完整刻画EK的攻击行为轨迹。在确定多个初始概率值之后，可以对该多个初始概率值进行综合处理，得到综合概率值，也即本方案能够综合分析各个阶段EK攻击的行为模式，更加准确地确定该主机在传输数据流的过程中被EK攻击的概率，也即更加准确地检测EK的攻击行为。由此可见，本方案既能够快速准确地检测EK的攻击行为，也不会严重耗费主机本身的资源。另外，由于本方案中获取的HTTP报文流数据仅包含网络协议规定的常规数据，因此，相比于获取脚本代码进行解析的方法，本方案存在的侵犯用户隐私的风险很低。

需要说明的是：上述实施例提供的攻击行为检测装置在检测攻击行为时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的攻击行为检测装置与攻击行为检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如：同轴电缆、光纤、数据用户线(digital subscriber line，DSL))或无线(例如：红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质，或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如：软盘、硬盘、磁带)、光介质(例如：数字通用光盘(digital versatile disc，DVD))或半导体介质(例如：固态硬盘(solid state disk，SSD))等。值得注意的是，本申请提到的计算机可读存储介质可以为非易失性存储介质，换句话说，可以是非瞬时性存储介质。

以上所述为本申请提供的实施例，并不用以限制本申请，本领域技术人员基于本申请实施例的描述所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种攻击行为检测方法，其特征在于，所述方法包括：

获取主机在参考时间段内传输的超文本传输协议HTTP报文流数据，所述HTTP报文流数据包括一个或多个HTTP报文中的数据，所述一个或多个HTTP报文属于第一数据流，所述参考时间段为当前时间之前且距离当前时间参考时长的时间段；

根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，所述多个行为检测模型分别用于描述漏洞利用工具包EK的攻击行为轨迹中的不同阶段，所述初始概率值是指所述多个行为检测模型中的一个行为检测模型输出的概率值；

根据所述多个初始概率值确定综合概率值，所述综合概率值用于指示所述主机传输所述第一数据流的过程中被EK攻击的可能性；

如果所述综合概率值大于预设概率阈值，则确定所述主机传输所述第一数据流的过程中存在EK的攻击行为。
如权利要求1所述的方法，其特征在于，所述根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，包括：

从所述多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据所述多个行为检测模型中的每个行为检测模型均已执行以下操作为止：

根据所述HTTP报文流数据，确定所述选择的行为检测模型对应的特征向量；

将所述特征向量输入所述选择的行为检测模型，获得所述选择的行为检测模型输出的初始概率值。
如权利要求1所述的方法，其特征在于，所述根据所述多个初始概率值确定综合概率值，包括：

根据所述多个初始概率值确定多个交叉特征，所述交叉特征是指所述多个初始概率值中两个不同的初始概率值相乘后得到的；

根据所述多个交叉特征生成交叉特征向量；

将所述交叉特征向量输入关联分析模型，获得所述关联分析模型输出的所述综合概率值，所述关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。
如权利要求3所述的方法，其特征在于，所述根据所述多个初始概率值确定多个交叉特征之前，还包括：

对所述HTTP报文流数据进行漏洞文件检测和恶意软件检测，得到漏洞文件检测结果和恶意软件检测结果；

所述根据所述多个初始概率值确定多个交叉特征，包括：

根据所述多个初始概率值，以及所述漏洞文件检测结果和所述恶意软件检测结果，确定所述多个交叉特征，所述交叉特征是指所述多个初始概率值、所述漏洞文件检测结果和所述恶意软件检测结果中的两个不同的数据相乘后得到的。
如权利要求4所述的方法，其特征在于，所述根据所述多个初始概率值，以及所述漏洞文件检测结果和恶意软件检测结果，确定所述多个交叉特征，包括：

根据所述多个初始概率值，以及所述漏洞文件检测结果和恶意软件检测结果，生成一个概率矩阵，所述概率矩阵为X行X列的矩阵，X为所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果的总个数，X行和X列均对应所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果，所述概率矩阵中的元素是将交叉的两个数据相乘后得到的；

按照交叉特征选择策略，从所述概率矩阵中筛选出多个元素，将筛选出的多个元素作为所述多个交叉特征。
如权利要求1-2、4-5任一所述的方法，其特征在于，所述根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值之前，还包括：

获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；

根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段。
如权利要求6所述的方法，其特征在于，所述根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，包括：

从所述多个初始检测模型中选择一个初始检测模型，根据选择的初始检测模型执行以下操作，直至根据所述多个初始检测模型中的每个初始检测模型均已执行以下操作为止：

根据所述多个训练样本中每个训练样本包括的样本HTTP报文，确定所述选择的初始检测模型对应的样本特征集，所述样本特征集包括与所述多个训练样本一一对应的多个样本特征向量；

将所述多个样本特征向量分别输入所述选择的初始检测模型，对所述选择的初始检测模型进行训练，以使所述选择的初始检测模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签，从而得到一个行为检测模型。
如权利要求3所述的方法，其特征在于，所述根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值之前，还包括：

获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；

根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段；

根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，所述样本交叉特征集包括与所述多个训练样本一一对应的多个样本交叉特征向量；

将所述多个样本交叉特征向量分别输入初始分析模型，对所述初始分析模型进行训练，以使所述初始分析模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签，从而得到所述关联分析模型。
如权利要求8所述的方法，其特征在于，所述根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集之前，还包括：

对所述多个训练样本分别进行漏洞文件检测和恶意软件检测，得到所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果；

所述根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，包括：

根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集，以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定所述样本交叉特征集。
如权利要求9所述的方法，其特征在于，所述根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集，以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定所述样本交叉特征集，包括：

从所述多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完所述多个训练样本中的每个训练样本为止：

将所述多个行为检测模型对应的样本特征集中与所述选择的训练样本对应的样本特征向量分别输入所述多个行为检测模型，获得所述多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；

根据所述多个样本概率值，以及所述选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征，所述样本交叉特征是指所述多个样本概率值、所述选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的；

根据所述多个样本交叉特征生成一个样本交叉特征向量。
一种攻击行为检测装置，其特征在于，所述装置包括：

第一获取模块，用于获取主机在参考时间段内传输的HTTP报文流数据，所述HTTP报文流数据包括一个或多个HTTP报文中的数据，所述一个或多个HTTP报文属于第一数据流，所述参考时间段为当前时间之前且距离当前时间参考时长的时间段；

第一确定模块，用于根据所述HTTP报文流数据，通过多个行为检测模型，确定多个初始概率值，所述多个行为检测模型分别用于描述EK的攻击行为轨迹中的不同阶段，所述初始概率值是指所述多个行为检测模型中的一个行为检测模型输出的概率值；

第二确定模块，用于根据所述多个初始概率值确定综合概率值，所述综合概率值用于指示所述主机传输所述第一数据流的过程中被EK攻击的可能性；

第三确定模块，用于如果所述综合概率值大于预设概率阈值，则确定所述主机传输所述第一数据流的过程中存在EK的攻击行为。
如权利要求11所述的装置，其特征在于，所述第一确定模块具体用于：

从所述多个行为检测模型中选择一个行为检测模型，根据选择的行为检测模型执行以下操作，直至根据所述多个行为检测模型中的每个行为检测模型均已执行以下操作为止：

根据所述HTTP报文流数据，确定所述选择的行为检测模型对应的特征向量；

将所述特征向量输入所述选择的行为检测模型，获得所述选择的行为检测模型输出的初始概率值。
如权利要求11所述的装置，其特征在于，所述第二确定模块包括：

第一确定单元，用于根据所述多个初始概率值确定多个交叉特征，所述交叉特征是指所述多个初始概率值中两个不同的初始概率值相乘后得到的；

生成单元，用于根据所述多个交叉特征生成交叉特征向量；

综合分析单元，用于将所述交叉特征向量输入关联分析模型，获得所述关联分析模型输出的所述综合概率值，所述关联分析模型用于对EK的攻击行为轨迹中的多个不同阶段进行综合分析。
如权利要求13所述的装置，其特征在于，所述第二确定模块还包括：

第二确定单元，用于对所述HTTP报文流数据进行漏洞文件检测和恶意软件检测，得到漏洞文件检测结果和恶意软件检测结果；

所述第一确定单元具体用于：

根据所述多个初始概率值，以及所述漏洞文件检测结果和所述恶意软件检测结果，确定所述多个交叉特征，所述交叉特征是指所述多个初始概率值、所述漏洞文件检测结果和所述恶意软件检测结果中的两个不同的数据相乘后得到的。
如权利要求14所述的装置，其特征在于，所述第一确定单元具体用于：

根据所述多个初始概率值，以及所述漏洞文件检测结果和恶意软件检测结果，生成一个概率矩阵，所述概率矩阵为X行X列的矩阵，X为所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果的总个数，X行和X列均对应所述多个初始概率值、所述漏洞文件检测结果和恶意软件检测结果，所述概率矩阵中的元素是将交叉的两个数据相乘后得到的；

按照交叉特征选择策略，从所述概率矩阵中筛选出多个元素，将筛选出的多个元素作为所述多个交叉特征。
如权利要求11-12、14-15任一所述的装置，其特征在于，所述装置还包括：

第二获取模块，用于获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；

第一训练模块，用于根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段。
如权利要求16所述的装置，其特征在于，所述第一训练模块具体用于：

从所述多个初始检测模型中选择一个初始检测模型，根据选择的初始检测模型执行以下操作，直至根据所述多个初始检测模型中的每个初始检测模型均已执行以下操作为止：

根据所述多个训练样本中每个训练样本包括的样本HTTP报文，确定所述选择的初始检测模型对应的样本特征集，所述样本特征集包括与所述多个训练样本一一对应的多个样本特征向量；

将所述多个样本特征向量分别输入所述选择的初始检测模型，对所述选择的初始检测模型进行训练，以使所述选择的初始检测模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签，从而得到一个行为检测模型。
如权利要求13所述的装置，其特征在于，所述装置还包括：

第二获取模块，用于获取多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，所述训练样本包括属于第二数据流的一个或多个样本HTTP报文中的数据，所述样本标签用于指示对应的训练样本为正训练样本还是负训练样本，所述正训练样本是指未被EK攻击的HTTP报文流数据，所述负训练样本是指被EK攻击的HTTP报文流数据；

第一训练模块，用于根据所述多个训练样本，以及所述多个训练样本中每个训练样本对应的样本标签，对多个初始检测模型进行训练，得到所述多个行为检测模型，所述多个初始检测模型分别对应EK的攻击行为轨迹中的不同阶段；

第三确定模块，用于根据所述多个行为检测模型，以及所述多个行为检测模型中每个行为检测模型对应的样本特征集，确定样本交叉特征集，所述样本交叉特征集包括与所述多个训练样本一一对应的多个样本交叉特征向量；

第二训练模块，用于将所述多个样本交叉特征向量分别输入初始分析模型，对所述初始分析模型进行训练，以使所述初始分析模型的输出分别为所述多个训练样本中相应训练样本对应的样本标签，从而得到所述关联分析模型。
如权利要求18所述的装置，其特征在于，所述装置还包括：

第四确定模块，用于对所述多个训练样本分别进行漏洞文件检测和恶意软件检测，得到所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果；

所述第三确定模块用于：

根据所述多个行为检测模型、所述多个行为检测模型中每个行为检测模型对应的样本特征集，以及所述多个训练样本中每个训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定所述样本交叉特征集。
如权利要求19所述的装置，其特征在于，所述第三确定模块具体用于：

从所述多个训练样本中选择一个训练样本，对选择的训练样本执行以下处理，直至处理完所述多个训练样本中的每个训练样本为止：

将所述多个行为检测模型对应的样本特征集中与所述选择的训练样本对应的样本特征向量分别输入所述多个行为检测模型，获得所述多个行为检测模型分别输出的样本概率值，从而得到多个样本概率值；

根据所述多个样本概率值，以及所述选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果，确定多个样本交叉特征，所述样本交叉特征是指所述多个样本概率值、所述选择的训练样本对应的漏洞文件检测结果和恶意软件检测结果中的两个不同的数据相乘后得到的；

根据所述多个样本交叉特征生成一个样本交叉特征向量。
一种攻击检测设备，其特征在于，所述攻击检测设备包括存储器和处理器，所述存储器中存储有用于实现攻击行为检测方法的程序以及所涉及的数据，所述处理器用于执行所述存储器中存储的程序，以实现权利要求1-10任一所述的方法的步骤。