CN110401626A - 一种黑客攻击分级检测方法及装置 - Google Patents

Abstract

本发明公开了一种黑客攻击分级检测方法及装置，所述方法包括：获取日志信息；根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到；获取所述相关字段的对应属性值；对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分；根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。本发明可以减轻人工工作量，并实现黑客攻击级别的分级预判，还可以模糊检出新的黑客攻击手法，从而方便安全人员进一步定位分析攻击手法，达到反哺其他策略防护的目的。

Description

一种黑客攻击分级检测方法及装置

技术领域

本发明涉及黑客检测领域，尤其涉及应用于一种黑客攻击分级检测方法及装置。

背景技术

黑客行为是一种利用安全漏洞进行破坏、损害用户利益的行为，包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务***、窃取用户数据、影响业务正常运作、恶意传播漏洞等方式。特征画像是指根据黑客攻击行为、方法、手段等用户行为信息而抽象出来的标签化用户模型。标签是通过对黑客行为分析而来的高度精炼的特征标识。通过打标签可以利用一些高度概括、容易理解的特征来标识黑客，更容易识别出黑客的攻击行为动作，到达快速异常告警和事后溯源分析的目的。

如图1所示，其示出了现有技术的特征画像获取示意图，即只有在请求日志情况下，并且需要预先知道攻击的有效载荷(payload)才能提取关键字来分析黑客攻击行为，从而构建特征画像。其存在下述明显缺点：

(1)人工成本较高，需要专业人员采用已有规则判断并提取关键字，从而进行分析。

(2)缺少分级，无法对黑客攻击分级判断。

(3)对新的攻击形式无法检测，规则都是基于已出现的攻击形式进行编写的。

发明内容

本发明提供了一种黑客攻击分级检测方法及装置。

一方面，本发明提供了一种黑客攻击分级检测方法，所述方法包括：

获取日志信息；

根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到；

获取所述相关字段的对应属性值；

对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分；

根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

另一方面提供了一种黑客攻击分级检测装置，所述装置包括：

日志信息获取模块，用于获取日志信息；

提取模块，用于根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到；

属性值获取模块，用于获取所述相关字段的对应属性值；

评分模块，用于对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分；

判定模块，用于根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

另一方面提供了一种计算机可读存储介质，用于存储程序，所述程序被执行时实现所述的一种黑客攻击分级检测。

另一方面提供了一种终端设备，所述终端设备包括上述的一种黑客攻击分级检测装置。

本发明提供的一种黑客攻击分级检测方法及装置，可以减轻人工工作量，并实现黑客攻击级别的分级预判，并还可以进一步地基于预判结果提取黑客攻击行为对应的特征画像。相较于现有技术只能够事后告警和事后分析，本发明实施例所述的方法可以模糊检出新的黑客攻击手法，从而方便安全人员进一步定位分析攻击手法，达到反哺其他策略防护的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本发明背景技术提供的现有技术的特征画像获取示意图；

图2是本发明实施例提供的一种黑客攻击分级检测***的示意图；

图3是本发明实施例提供的一种黑客攻击分级检测方法流程图；

图4是本发明实施例提供的日志信息的处理流程图；

图5是本发明实施例提供的根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定的流程示意图；

图6是本发明实施例提供的一种黑客攻击分级检测装置框图；

图7是本发明实施例提供的判定模块框图；

图8是本发明实施例提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

现有技术中通常只能够对于已经发生过的黑客攻击行为进行事后告警，其基本流程为：首先在业务服务器中根据实际需求开启日志相关配置，将所有的用户请求产生的用于行为日志记录打印输出在本地服务器上，然后安全研究员通过日志汇总服务器将所有的本地服务器产生的用户行为日志汇总在一起，再通过检测服务器对用户行为日志进行关键字检测，来提取黑客攻击行为相关数据，进而分析黑客攻击具体行为以及对相关业务进行事后的告警。其中，检测服务器可以基于人工实现编写的规则进行关键字检测，但是这种规则只能够根据已经发生的黑客攻击行为进行编写，无法用于进行黑客行为的提前检测；并且这种人工编写的规则的适配能力差，需要频繁依赖人工进行修改和完善，检测服务器也无法脱离人工而实现全自动的检测。

有鉴于此，本发明实施例旨在提供一种黑客攻击分级检测方案，从而达到以更高效、更全面的方式实现对黑客行为特征画像，以便分层次发现黑客攻击行为的目的。

请参阅图2，图2是本发明实施例提供的一种黑客攻击分级检测***的示意图，如图2所示，该黑客攻击分级检测***包括至少一个业务服务器、日志汇总服务器和分级识别引擎。具体的，业务服务器、日志汇总服务器和分级识别引擎均可以包括一个独立运行的服务器，或者分布式服务器，或者由多个服务器组成的服务器集群。

其中所述业务服务器可以通过互联网为其它终端提供业务服务，也可能遭受到黑客的攻击，所述其它终端可以是智能手机、台式电脑、平板电脑、笔记本电脑、车载终端、数字助理、智能可穿戴设备等类型的实体设备，也可以包括运行于实体设备中的软体，例如应用程序等。

所述日志汇总服务器与全部业务服务器均通信连接，用于接收并汇总业务服务器传输的日志。

所述分级识别引擎与所述日志汇总服务器双向通信连接，其用于根据所述日志汇总服务器中的日志自动化分析黑客攻击行为并为黑客攻击行为分级。

如图3所示，本发明实施例提供了一种黑客攻击分级检测方法，所述方法可以由上述的一种黑客攻击分级检测***实施，所述方法包括：

S101.获取日志信息。

具体地，所述日志信息可以由日志汇总服务器汇总各个业务服务器输出的日志而得到，可以对每条日志信息均进行分析，即可以从中提取出黑客攻击的相关信息。

在一个可行的实施例中，所述日志汇总服务器可以通过与各个业务服务器的通信控制任意一个业务服务器日志捕获的开闭以及日志输出的开闭。

S103.根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到。

具体地，所述聚合模型可以通过机器学习的方法得到，并在实际的使用过程中进行迭代优化，不同的使用场景，不同的黑客攻击行为及其组合行为，均可能带来聚合模型的变化。所述聚合模型中的字段均为日志信息中的字段的固有属性，而不涉及到日志信息中的字段的具体内容，因此，不需要依赖于人工针对某个字段的具体内容进行分析，编写规则，也不需要人工根据规则从某个字段的具体内容中提取关键字进行分析，因此，依赖于聚合模型可以实现全自动化的信息提取，从而根据信息提取结果进行特征画像的构建。

在一个可行的实施方式中，所述聚合模型包括输入层、中间隐藏层和输出层。输入层中的节点表示样本的特征，输入层节点和中间隐藏层节点之间的边表示节点之间的连接权重，中间隐藏层节点接受来自输入层节点的信号，经过激活函数作用后产生输出值，传给其下一层的节点，其输出层和输入层特征之间的计算关系f(X,W)使用来表示，其中X,W分别对应于输入和输出。深度神经网络学习过程即求解优化方程其中L(y_i,f(X_i,W))为损失函数，R(W)为正则化项，避免模型过拟合，m标识节点。求解优化方程的目的在于寻找一组最优的W，使得f(X,W)在所述二元组X_i的损失最小。

本发明实施例并不限定所述聚合模型的训练方法。

在一个可行的实施方式中，所述聚合模型可以通过梯度下降法进行训练，这种方法仅需要用到梯度向量的信息。通过计算梯度下降的方向和合适的学习率来训练聚合模型的参数。

在另一个可行的实施方式中，所述聚合模型可以通过牛顿算法进行训练，本发明实施例中牛顿算法使用海森矩阵，即使用损失函数的二阶偏导数寻找更好的学习方向。

在另一个可行的实施方式中，所述聚合模型可以使用共轭梯度法进行训练，所述共轭梯度法介于梯度下降法与牛顿算法之间，可以解决传统梯度下降法收敛速度太慢的问题，同时也避免了计算和存储海森矩阵。共轭梯度法的搜索是沿着共轭方向进行的，通常会比沿着梯度下降法的方向收敛更快，而这些训练方向与海森矩阵共轭。

在另一个可行的实施方式中，所述聚合模型还可以使用准牛顿法来进行训练，由于牛顿法需要计算海森矩阵和逆矩阵，需要较多的计算资源，因此本发明实施例做出了改变，可将其称为准牛顿法，可以弥补计算量大的缺陷。此方法不是直接计算海森矩阵及其逆矩阵，而是在每一次迭代估计计算海森矩阵的逆矩阵，只需要用到损失函数的一阶偏导数。

在另一个可行的实施方式中，所述聚合模型还可以使用衰减的最小平方法进行训练，它针对损失函数是平方和误差的形式，也不需要准确计算海森矩阵，但需要用到梯度向量和雅各布矩阵。

本发明实施例中可以通过聚合模型进行拟合的字段包括但不限于日志信息中的相关HTTP协议日志中HTTP的请求time字段、HTTP的client_ip字段、HTTP的HOST字段、HTTP的请求头字段、HTTP的CGI字段、HTTP的GET参数字段、HTTP的POST body字段、HTTP的请求方法字段、HTTP的user_agent字段、HTTP的referer字段、HTTP的cookie字段和/或HTTP的POSTbody字段。上述字段的固有属性包括但不限于字段长度、字段对应的属性值。

在一个可行的实施方式中，对黑客行为具有明显指向作用的字段为HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段。

在所述实施方式中根据将用户IP地址类型分类为代理、IDC、国外IP地址、网关IP地址，黑IP地址、特殊地区IP地址。其中，IP为互联网协议地址(Internet ProtocolAddress)，是分配给用户上网使用的网际协议的设备的数字标签。IDC为互联网内容提供商、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及动态服务器页面(ASP)等业务。IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所；是各种模式电子商务赖以安全运作的基础设施，也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。

通过获取HTTP的client_ip字段的属性值，即可得到用户IP地址的属性，即判断出用户IP地址为代理、IDC、国外IP地址、网关IP地址，黑IP地址、特殊地区IP地址中的哪一个。本发明实施例中将通过HTTP的client_ip字段的属性值得到的属性称之为K1属性。

在所述实施方式中根据HTTP的HOST字段得到业务属性。本发明实施例中可以将业务属性分为普通业务，重点业务，核心业务。通过获取HTTP的HOST字段的属性值即可得到业务属性，本发明实施例中将通过HTTP的HOST字段的属性值得到的属性称之为K2属性。

在所述实施方式中根据HTTP的CGI字段得到接口属性。本发明实施例中可以将接口属性分为上传接口，支付接口，登录入口。通过获取HTTP的CGI字段的属性值即可得到接口属性，本发明实施例中将通过HTTP的CGI字段的属性值得到的属性称之为K3属性。

S105.获取所述相关字段的对应属性值。

S107.对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分。

具体地，所述聚合计算可以为基于预设的人工智能模型进行基于三元组结构的聚合打分。

人工智能模型可以与所述聚合模型相匹配，也可以通过机器学习方法构建，并在实际使用过程中进行迭代优化。

对应于上述的具体实施方式，其根据HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段得到评分的过程可以通过公式n＝K1(w)+K2(w)+K3(w)来表示，其中w为日志信息，n为评分。

在一个可行的实施方式中，如图4所示，在基于网络获取到日志信息，并对其按照HTTP协议进行字段的分类切割，并基于HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段进行分析后，还可以对每个日志信息对应的评分进行聚合统计，并根据聚合统计结果得到曲线，所述曲线可以用于进行黑客行为分析。

S109.根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

具体地，所述黑客行为分级判定规则包括每个级别对应的分数区间，通过比较所述评分与所述分数区间的关系得到所述日志信息对应的行为的判定结果。

在一个可行的实施方式中，以三级分级为例，所述根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定如图5所示，包括：

S1091.判断所述评分是否低于第一阈值。

S1092.若是，则判定所述日志信息对应的行为非黑客攻击行为。

S1093.若否，则判断所述评分是否低于第二阈值。

S1094.若是，则判定所述日志信息对应的行为为弱黑客攻击行为。

S1095.若否，则判定所述日志信息对应的行为为强黑客攻击行为。

进一步地，本发明实施例还可以根据所述判定结果生成黑客攻击行为特征画像。

在一个可行的实施方式中，若所述日志信息对应的行为非黑客攻击行为，则不需要对其进行处理；若所述日志信息对应的行为为强黑客攻击行为，则将所述日志信息纳入第一信息库，所述第一信息库用于后续分析所述强黑客攻击行为对应的特征画像。

有选择的，可以为弱黑客攻击行为也建立第二信息库，以用于收集弱黑客行为产生的日志信息，从而后续分析弱黑客行为对应的特征画像。

本发明实施例公开了一种黑客攻击分级检测方法，可以减轻人工工作量，并实现黑客攻击级别的分级预判，并还可以进一步地基于预判结果提取黑客攻击行为对应的特征画像。相较于现有技术只能够事后告警和事后分析，本发明实施例所述的方法可以模糊检出新的黑客攻击手法，从而方便安全人员进一步定位分析攻击手法，达到反哺其他策略防护的目的。

本发明实施例还公开了一种黑客攻击分级检测装置，如图6所示，所述装置包括：

日志信息获取模块201，用于获取日志信息。

提取模块202，用于根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到。

本发明实施例中可以通过聚合模型进行拟合的字段包括但不限于日志信息中的相关HTTP协议日志中HTTP的请求time字段、HTTP的client_ip字段、HTTP的HOST字段、HTTP的请求头字段、HTTP的CGI字段、HTTP的GET参数字段、HTTP的POST body字段、HTTP的请求方法字段、HTTP的user_agent字段、HTTP的referer字段、HTTP的cookie字段和/或HTTP的POSTbody字段。上述字段的固有属性包括但不限于字段长度、字段对应的属性值。

在一个可行的实施方式中，对黑客行为具有明显指向作用的字段为HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段。

属性值获取模块203，用于获取所述相关字段的对应属性值。

评分模块204，用于对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分。

对应于上述的具体实施方式，其根据HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段得到评分的过程可以通过公式n＝K1(w)+K2(w)+K3(w)来表示，其中w为日志信息，n为评分。

判定模块205，用于根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

所述黑客行为分级判定规则包括每个级别对应的分数区间，通过比较所述评分与所述分数区间的关系得到所述日志信息对应的行为的判定结果。

进一步地，还包括：

特征画像获取模块206，用于根据所述判定结果生成黑客攻击行为特征画像。

若所述日志信息对应的行为非黑客攻击行为，则不需要对其进行处理；若所述日志信息对应的行为为强黑客攻击行为，则将所述日志信息纳入第一信息库，所述第一信息库用于后续分析所述强黑客攻击行为对应的特征画像。

有选择的，可以为弱黑客攻击行为也建立第二信息库，以用于收集弱黑客行为产生的日志信息，从而后续分析弱黑客行为对应的特征画像。

如图7所示，所述判定模块205包括：

第一判断子单元2051，用于判断所述评分是否低于第一阈值；若是，则判定所述日志信息对应的行为非黑客攻击行为；若否，则启动第二判断子单元2052。

第二判断子单元2052，用于判断所述评分是否低于第二阈值；若是，则判定所述日志信息对应的行为为弱黑客攻击行为；若否，则判定所述日志信息对应的行为为强黑客攻击行为。

本发明实施例提供的一种黑客攻击分级检测装置与方法实施例基于相同的发明构思。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质可以存储有多条指令，所述指令适于由处理器加载并执行本发明实施例所述的一种黑客攻击分级检测方法步骤。

具体地，所述指令的内容包括：

获取日志信息；

根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到；

获取所述相关字段的对应属性值；

对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分；

根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

进一步地，所述指令的内容还包括：

根据所述判定结果生成黑客攻击行为特征画像。

进一步地，所述指令的内容还包括：

若所述日志信息对应的行为非黑客攻击行为，则不需要对其进行处理；若所述日志信息对应的行为为强黑客攻击行为，则将所述日志信息纳入第一信息库，所述第一信息库用于后续分析所述强黑客攻击行为对应的特征画像。

进一步地，通过聚合模型进行拟合的字段包括日志信息中的相关HTTP协议日志中HTTP的请求time字段、HTTP的client_ip字段、HTTP的HOST字段、HTTP的请求头字段、HTTP的CGI字段、HTTP的GET参数字段、HTTP的POST body字段、HTTP的请求方法字段、HTTP的user_agent字段、HTTP的referer字段、HTTP的cookie字段和/或HTTP的POST body字段。

在一个可行的实施方式中，所述根据聚合模型从所述日志信息中提取相关字段，包括：

从所述日志信息中提取HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段。

相应的，所述获取所述相关字段的对应属性值，包括：

通过获取HTTP的client_ip字段的属性值得到用户IP地址的属性，所述用户IP地址的属性为代理、IDC、国外IP地址、网关IP地址、黑IP地址或特殊地区IP地址；

通过获取HTTP的HOST字段的属性值得到业务属性，所述业务属性为普通业务、重点业务或核心业务；

通过获取HTTP的CGI字段的属性值得到接口属性，所述接口属性为上传接口、支付接口或登录入口。

进一步地，所述根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定，包括：

判断所述评分是否低于第一阈值。

若低于第一阈值，则判定所述日志信息对应的行为非黑客攻击行为；

否则，判断所述评分是否低于第二阈值；

若是，则判定所述日志信息对应的行为为弱黑客攻击行为；

若否，则判定所述日志信息对应的行为为强黑客攻击行为。

进一步地，图8示出了一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图，所述设备可以为计算机终端、移动终端或服务器，所述设备还可以参与构成本发明实施例所提供的装置或推荐***。如图8所示，计算机终端10(或移动设备10或服务器10)可以包括一个或多个(图中采用102a、102b，……，102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图8所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图8中所示更多或者更少的组件，或者具有与图8所示不同的配置。

应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中所述的方法对应的程序指令/数据存储装置，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的一种黑客攻击分级检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。

需要说明的是：上述本发明实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和服务器实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种黑客攻击分级检测方法，其特征在于，所述方法包括：

获取日志信息；

根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到；

获取所述相关字段的对应属性值；

对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分；

根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

2.根据权利要求1所述方法，其特征在于，还包括：根据所述判定结果生成黑客攻击行为特征画像。

3.根据权利要求2所述的方法，其特征在于：

若所述日志信息对应的行为为强黑客攻击行为，则将所述日志信息纳入第一信息库，所述第一信息库用于后续分析所述强黑客攻击行为对应的特征画像。

4.根据权利要求1所述方法，其特征在于：

通过聚合模型进行拟合的字段包括日志信息中的HTTP的请求time字段、HTTP的client_ip字段、HTTP的HOST字段、HTTP的请求头字段、HTTP的CGI字段、HTTP的GET参数字段、HTTP的POST body字段、HTTP的请求方法字段、HTTP的user_agent字段、HTTP的referer字段、HTTP的cookie字段和/或HTTP的POST body字段。

5.根据权利要求1所述的方法，其特征在于，所述根据聚合模型从所述日志信息中提取相关字段，包括：

从所述日志信息中提取HTTP的client_ip字段、HTTP的HOST字段和HTTP的CGI字段。

6.根据权利要求5所述的方法，其特征在于：

所述获取所述相关字段的对应属性值，包括：

通过获取HTTP的client_ip字段的属性值得到用户IP地址的属性，所述用户IP地址的属性为代理、IDC、国外IP地址、网关IP地址、黑IP地址或特殊地区IP地址；

通过获取HTTP的HOST字段的属性值得到业务属性，所述业务属性为普通业务、重点业务或核心业务；

通过获取HTTP的CGI字段的属性值得到接口属性，所述接口属性为上传接口、支付接口或登录入口。

7.根据权利要求1所述的方法，其特征在于，所述根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定，包括：

判断所述评分是否低于第一阈值。

若低于第一阈值，则判定所述日志信息对应的行为非黑客攻击行为；

否则，判断所述评分是否低于第二阈值；

若是，则判定所述日志信息对应的行为为弱黑客攻击行为；

若否，则判定所述日志信息对应的行为为强黑客攻击行为。

8.一种黑客攻击分级检测装置，其特征在于，所述装置包括：

日志信息获取模块，用于获取日志信息；

提取模块，用于根据聚合模型从所述日志信息中提取相关字段，所述聚合模型通过拟合日志信息中各个字段与黑客行为的对应关系，并获取对黑客行为判定具有指向作用的相关字段而得到；

属性值获取模块，用于获取所述相关字段的对应属性值；

评分模块，用于对所述相关字段的对应属性值进行聚合计算以得到所述日志信息对应的评分；

判定模块，用于根据所述评分和预设的黑客行为分级判定规则对日志信息对应的行为进行分级判定。

9.根据权利要求8所述装置，其特征在于，还包括：

特征画像获取模块，用于根据所述判定结果生成黑客攻击行为特征画像。

10.一种计算机可读存储介质，用于存储程序，其特征在于，所述程序被执行时实现权利要求1-7中任一项所述的一种黑客攻击分级检测。