网络攻击检测方法、装置、设备及计算机程序与流程

1.本发明涉及网络安全领域，特别涉及一种网络攻击检测方法、装置、设备及计算机程序。

背景技术：

2.在实际应用中，通常会遭到网络攻击。为保障系统安全，需要对网络攻击进行检测。但是相关技术之后，网络攻击检测难度大，系统安全性低。

技术实现要素：

3.本发明的主要目的是提供一种网络攻击检测方法、装置、设备及存储介质，旨在解决现有技术中网络攻击检测难度大，系统安全性低的问题。
4.为实现上述目的，本发明提出一种网络攻击检测方法，所述网络攻击检测方法包括以下步骤：
5.获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集；
6.基于每个所述攻击数据集，建立节点关系网；
7.基于所述节点关系网，进行网络攻击检测。
8.可选的，所述基于每个所述攻击数据集，建立节点关系网的步骤，包括：
9.从每个所述攻击数据集中分别提取攻击特征数据，以得到每个所述攻击数据集分别对应的第一攻击特征数据；所述攻击特征数据包括策略特征数据、技术特征数据、以及输出特征数据；
10.分别确定每个所述第一攻击特征数据的传输路径，其中，所述传输路径包括生成、传输、输出所述第一攻击特征数据的节点；
11.基于每个所述第一攻击特征数据对应的传输路径，构建节点关系网。
12.可选的，所述基于所述节点关系网，进行网络攻击检测的步骤，包括：
13.获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据；所述网络关联数据包括：网络数据、网络设备日志、进程数据、操作系统日志和告警数据中的至少一种；
14.从所述待检测数据中提取第二攻击特征数据；
15.检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点，其中，所述目标节点对应的第一攻击特征数据与所述第二攻击特征数据相匹配，所述非目标节点为所述节点关系网中所述目标节点之外的节点；
16.将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集，其中，所述节点距离为两个互不相同的目标节点之间存在的非目标节点的个数，所述安全事件集包括n个安全事件，所述n为大于等于0的整数。
17.可选的，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：
18.基于所述安全事件集中每个所述安全事件的目标节点总数、每个所述安全事件中各目标节点的节点关联数，分别确定每个所述安全事件的可信度评分；其中，所述节点关联数为与所述目标节点直接连接的、且属于同一安全事件的其他节点的个数；
19.基于所述可信度评分，确定每个所述安全事件的处理优先级。
20.可选的，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：
21.基于所述节点关系网，确定每个所述安全事件包括的目标节点所属的网络攻击事件，以得到每个所述安全事件分别对应的特定网络攻击事件；
22.分别确定每个所述特定网络攻击事件在对应的所述安全事件中包括的目标节点数n
x
，以及每个所述特定网络攻击事件在所述节点关系网中包括的节点总数c
x
；
23.基于每个所述特定网络攻击事件的n
x
和c
x
，确定每个所述安全事件与对应的所述特定网络攻击事件的关联度。
24.可选的，所述检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点的步骤，包括：
25.确定所述节点关系网中每个节点的节点类型，所述节点类型包括没有攻击特征数据输入的入口节点、直接关联的其它节点数大于预设第二阈值的关键节点、没有攻击特征数据输出的结束节点；
26.依次按照第一优先级、第二优先级、第三优先级将所述关键节点、所述结束节点、所述入口节点分别对应的所述第一攻击特征数据与所述第二攻击特征数据进行检索匹配，以检索出目标节点与非目标节点。
27.可选的，所述获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集的步骤，包括：
28.爬取网络攻击事件的文本信息；
29.基于所述文本信息，确定网络攻击事件以及所述网络攻击事件包括的各网络攻击手段；
30.复现各所述网络攻击手段的攻击过程；
31.获取各所述网络攻击手段的攻击过程中的网络关联数据，以得到各所述网络攻击手段分别对应的攻击数据集。
32.此外，为实现上述目的，本发明还提出一种网络攻击检测装置，所述网络攻击检测装置包括：
33.获取模块，用于获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集；
34.建立模块，用于基于每个所述攻击数据集，建立节点关系网；
35.检测模块，用于基于所述节点关系网，进行网络攻击检测。
36.此外，为实现上述目的，本发明还提出一种网络攻击检测设备，所述网络攻击检测设备包括：存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序程序，所述计算机程序被所述处理器执行时实现上述任一项所述的网络攻击检测方法的步骤。
37.此外，为实现上述目的，本发明还提出一种计算机程序，所述计算机程序被处理器
执行时实现上述任一项所述的网络攻击检测方法的步骤。
38.本发明技术方案通过采用一种网络攻击检测方法，通过获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集，基于每个攻击数据集，建立节点关系网；基于节点关系网，进行网络攻击检测；由于节点关系网是基于不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集建立的，其包括大量的攻击数据，因此，基于节点关系网可以更加准确的检测出系统是否遭到网络攻击，从而降低网络攻击检测难度，提升系统安全性。
附图说明
39.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。
40.图1为本发明实施例方案涉及的硬件运行环境的网络攻击检测设备结构示意图；
41.图2为本发明网络攻击检测方法第一实施例的流程示意图；
42.图3为本发明网络攻击检测方法第一实施例中，网络攻击事件与策略、技术、实现之间的关系图；
43.图4为本发明网络攻击检测方法第一实施例中，各攻击数据与ttp之间的关系图；
44.图5为本发明网络攻击检测方法第二实施例的流程示意图；
45.图6为本发明网络攻击检测方法第三实施例的节点关系网示意图；
46.图7为本发明网络攻击检测方法第四实施例的节点关系网示意图；
47.图8为本发明网络攻击检测装置的结构示意图。
48.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
49.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
50.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
51.参照图1，图1为本发明实施例方案涉及的硬件运行环境的网络攻击检测设备结构示意图。
52.网络攻击检测设备可以是电脑、物理服务器、云服务器等。
53.通常，网络攻击检测设备包括：至少一个处理器101、存储器102以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序配置为实现如下任一实施例所述的网络攻击检测方法的步骤。
54.处理器101可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器101可以采用dsp(digital signal processing，数字信号处理)、fpga(field－programmable gate array，现场可编程门阵列)、pla(programmable logic array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器101也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(central processingunit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器101可以在集成有gpu(graphics processing unit，图像
处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。处理器101还可以包括ai(artificial intelligence，人工智能)处理器，该ai处理器用于处理有关网络攻击检测方法操作，使得网络攻击检测方法模型可以自主训练学习，提高效率和准确度。
55.存储器102可以包括一个或多个存储介质，该存储介质可以是非暂态的。存储器102还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器102中的非暂态的存储介质用于存储至少一个指令，该至少一个指令用于被处理器101所执行以实现本技术中方法实施例提供的网络攻击检测方法的步骤。
56.在一些实施例中，网络攻击检测设备还可选包括有：通信接口103和至少一个外围设备。处理器101、存储器102和通信接口103之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与通信接口103相连。具体地，外围设备包括：射频电路104、显示屏105和电源106中的至少一种。
57.通信接口103可被用于将i/o(input/output，输入/输出)相关的至少一个外围设备连接到处理器101和存储器102。在一些实施例中，处理器101、存储器102和通信接口103被集成在同一芯片或电路板上；在一些其他实施例中，处理器101、存储器102和通信接口103中的任意一个或两个可以在单独的芯片或电路板上实现，本实施例对此不加以限定。
58.射频电路104用于接收和发射rf(radio frequency，射频)信号，也称电磁信号。射频电路104通过电磁信号与通信网络以及其他通信设备进行通信。射频电路104将电信号转换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路104包括：天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路104可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于：城域网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wireless fidelity，无线保真)网络。在一些实施例中，射频电路104还可以包括nfc(near field communication，近距离无线通信)有关的电路，本技术对此不加以限定。
59.显示屏105用于显示ui(user interface，用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏105是触摸显示屏时，显示屏105还具有采集在显示屏105的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器101进行处理。此时，显示屏105还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一些实施例中，显示屏105可以为一个，电子设备的前面板；在另一些实施例中，显示屏105可以为至少两个，分别设置在电子设备的不同表面或呈折叠设计；在再一些实施例中，显示屏105可以是柔性显示屏，设置在电子设备的弯曲表面上或折叠面上。甚至，显示屏105还可以设置成非矩形的不规则图形，也即异形屏。显示屏105可以采用lcd(liquidcrystal display，液晶显示屏)、oled(organic light-emitting diode,有机发光二极管)等材质制备。
60.电源106用于为电子设备中的各个组件进行供电。电源106可以是交流电、直流电、一次性电池或可充电电池。当电源106包括可充电电池时，该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。本领域技术人员可以理解，图1中示出的结构并不构成对网络攻击检测设备的限定，可以包括比图示更多或更少的部件，或者
组合某些部件，或者不同的部件布置。
61.在实际应用中，通常会遭到网络攻击。为保障系统安全，需要对网络攻击进行检测。现有网络攻击检测通常包括hash(哈希)检测、ip(internet protocol，网际互连协议)检测、域名检测、流量特征检测、进程行为检测等。
62.其中，hash检测通常为基于hash算法，确定待检测文件的hash值，并将其与预先获取的恶意文件的hash值进行比较，从而判断待检测文件是否具有威胁，以判断是否遭到网络攻击。需要说明的是，hash算法可将任意长度的值通过算法映射为固定长度的值，映射后的值为hash值。将文件作为hash算法的输入，可以得到该文件的唯一hash值，当该文件有任意bit(比特)位发生改变时，经过同一hash算法可得到完全不同的hash值，常见的hash算法包括md5、sha1、sha256。但是这种检测方式中，攻击者更改文件内容的成本很低，当恶意文件出现变种或者存在任意微小改变时，恶意文件的hash值也会发生彻底改变，该检测方法也随之失效。
63.ip检测通常是预先收集恶意ip、正常ip、以及各ip的历史通信记录等信息，然后基于收集的信息查询ip的可信值和历史通信记录，从而判断ip是否为恶意ip，以判断是否遭到网络攻击；或者通过ip的访问时间、访问频率等特征来判断该ip是否具有威胁，以判断是否遭到网络攻击，例如，同一ip大量访问某一系统，则表明该ip不正常，遭到网络攻击。但是，在实际网络攻击中，攻击者通常使用多种技术来更换攻击ip，如使用匿名代理池、申请匿名云主机、使用“肉鸡”(被攻破主机)等，导致部分攻击ip实际为合法、正常ip，导致无法检测出是否遭到攻击。
64.域名检测通常是预先收集恶意域名、正常域名等信息，基于收集的信息确定域名的可信值和历史解析记录，来判断域名是否为恶意域名，以判断是否遭到网络攻击。但是在实际网络攻击中，攻击者还常使用合法网站的某些功能作为c2服务器(command&control server，指挥控制服务器)进行通信，一旦使用合法网站进行通信，通过域名无法进行检测。
65.流量特征检测通常是预先设置规则库，然后判断流量是否满足规则库中的规则，若满足，则判定该流量为恶意流量，确定遭到网络攻击。其中，规则库可以包括流量的协议不完整、有异常字段等。但是，在实际网络攻击中，若攻击者使用“0day”漏洞(未被公开的漏洞)、“1day”漏洞(已经公开，但未公开具体利用方式)进行攻击，由于规则库中不存在相应规则，则无法通过规则匹配来检测流量中的威胁。
66.进程行为检测通常是检测是否发生预设恶意进程操作，以判断是否遭到网络攻击。其中，预设恶意进程操作包括进程注入、替换系统核心文件、内存dump(转存)等。但是，在实际网络攻击中，某些进程形成无法直接判断是否恶意，例如，添加启动项、启动powershell、监听端口、截图、下载文件、录音等。需要说明的是，powershell是一种命令行外壳程序和脚本环境。
67.可见，由于网络攻击千变万化，通过现有网络攻击检测技术进行检测，检测难度大，检测结果准确度低。特别是对于有组织、有策划的apt(advanced persistent threat，高级持续性威胁)攻击，由于该类攻击通常经过精心策划,攻击前已经通过长时间的情报收集，更加加大了检测难度。
68.为了解决上述技术问题，基于上述硬件结构，提出本发明网络攻击检测方法的实施例。
69.参照图2，图2为本发明网络攻击检测方法的第一实施例的流程示意图，网络攻击检测方法包括以下步骤：
70.步骤s21：获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集。
71.攻击数据集为在遭到网络攻击过程中的网络关联数据；一个攻击数据集对应一次网络攻击事件中的一个网络攻击手段。网络关联数据包括但不限于：网络数据、网络设备日志、进程数据、操作系统日志、告警数据等中的至少一种。
72.其中，网络数据包括：源ip地址、目的ip地址、源端口、目的端口、tcp(transmission control protocol，传输控制协议)payload(有效载荷)、udp(user datagram protocol，用户数据报协议)payload等中的至少一种。
73.网络设备日志为网络设备的运行日志，网络设备包括但不限于用户设备(例如电脑、手机等)、路由器、交换机等，网络设备日志包括但不限于：用户设备日志、路由器日志、交换机日志等中的至少一种。用户设备日志包括但不限于：system.log(系统日志)、diagnostic messages(诊断信息)、install.log(安装日志)、power management(电源管理)等中的至少一种。
74.进程数据包括但不限于：进程路径、进程名称、进程hash(哈希)、进程网络连接记录、进程api(application programming interface，应用程序接口)调用记录、进程文件句柄等中的至少一种。
75.操作系统日志为网络设备安装的操作系统的日志，操作系统包括但不限于linux操作系统、uinx操作系统、windows操作系统等中的至少一种。操作系统日志包括但不限于linux日志、uinx日志、windows日志等中的至少一种。其中，linux日志/uinx日志包括但不限于：wtmp、utmp、btmp、system.log、secure、auth.log等。windows日志包括但不限于security、system、microsoft-windows-sysmon/operational、microsoft-windows-powershell operational、windows powershell、microsoft-windows-sysmon/operational等中的至少一种。
76.告警数据为安全设备监测到的告警数据，包括但不限于：ids(intrusion detection system，入侵检测系统)、ips(intrusion prevention system，入侵防御系统)、全流量监控、邮件网关、waf(web application firewall，web应用防护系统)、安全沙箱、终端杀毒等中的至少一种。需要说明的是，安全设备为网络中检测网络是否安全并进行修复的设备。
77.应当理解的是，一次网络攻击事件中，包括不同的网络攻击手段，每个网络攻击手段进行网络攻击时，系统都会产生一些数据，本发明实施例中，获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集。
78.其中，获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集的具体方式可以根据实际需要灵活设置。
79.例如，在一些实施方式中，步骤s21包括：在监测到网络系统遭到网络攻击时，获取网络关联数据；对网络关联数据进行分析，以对网络关联数据进行分类，从而得到各网络攻击手段的攻击数据集。
80.在一些实施方式中，步骤s21包括：爬取网络攻击事件的文本信息；从文本信息中，确定网络攻击事件以及网络攻击事件中的网络攻击手段的攻击数据集。
81.需要说明的是，网络安全工程师等人员会在互联网中发布针对网络攻击事件的分析、报告、数据等文本信息；通过爬取网络攻击事件的文本信息，对网络攻击事件的文本信息进行分析，可以确定网络攻击事件以及网络攻击事件中不同网络攻击手段分别对应的攻击数据集。
82.应当理解的是，本发明实施例中，获取攻击数据集的方式包括但不限于上述示例，且可以通过一种或至少两种方式获取攻击数据集。
83.步骤s22：基于每个攻击数据集，建立节点关系网。
84.在获取不同网络攻击手段分别对应的攻击数据集之后，对每个攻击数据集进行分析，从而确定各攻击数据集之间的逻辑关系，建立节点关系网。
85.需要说明的是，基于每个攻击数据集，建立节点关系网的具体方式可以根据实际需要灵活设置。例如，可以基于每个攻击数据集的攻击特征数据，确定各攻击数据集之间的逻辑关系，从而建立节点关系网。
86.例如，在att&ck enterprise(adversarial tactics techniques and common knowledge，对抗战术技术与常识)框架中，一个网络攻击手段可以被拆解为tactics(策略)、techniques(技术)、procedure(输出)，记为ttp，例如，参见图3，图3为某个网络攻击事件被拆解的过程，其中，att&ck enterprise框架中，一种技术，可以对应多种策略，例如，图3中，技术1对应策略1、策略2和策略3。因此，每个攻击数据集中，会包括攻击特征数据(即ttp特征数据，tpp特征数据包括策略特征数据、技术特征数据和输出特征数据，其中，策略特征数据为与攻击策略对应的数据，技术特征数据为与攻击技术对应的数据，输出特征数据为与攻击输出对应的数据)。在获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集之后，可以对每个攻击数据集进行分析，以确定各攻击数据集对应的攻击特征数据，从而基于攻击特征数据建立节点关系网。
87.在一些实施方式中，还可以基于攻击数据集的ttp特征进行数据挖掘，从而基于挖掘到的数据更新节点关系网，丰富节点关系网的内容。例如，参见图4所示，确定攻击数据集1对应的ttp特征为ttp1，基于ttp1可以确定出关联的ttp2(其中，ttp2与ttp1技术相同)，基于ttp2可以确定出关联的ttp3、ttp4(其中，ttp3与ttp2技术相同，ttp4与ttp2技术相同)，基于ttp2、ttp3、ttp4，可以获取对应的攻击数据集，分别为攻击数据集2、攻击数据集3和攻击数据集4。
88.需要说明的是，在一些实施方式中，在建立节点关系网之后，还可以继续获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集，基于攻击数据集更新节点关系网，以丰富节点关系网的内容，进一步提升网络攻击检测的准确度。
89.步骤s23：基于节点关系网，进行网络攻击检测。
90.本发明实施例中，在确定节点关系网后，基于节点关系网，进行网络攻击检测，其中，具体的检测方式可以根据实际需要灵活设置。
91.本发明技术方案通过采用一种网络攻击检测方法，获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集，基于每个攻击数据集，建立节点关系网；基于节点关系网，进行网络攻击检测；由于节点关系网是基于不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集建立的，其包括大量的攻击数据，因此，基于节点关系网可以更加准确的检测出系统是否遭到网络攻击，从而降低网络攻击检测难度，提升系统安全性。
92.基于第一实施例，提出本发明网络攻击检测方法的第二实施例。本发明实施例中，参见图5所示，步骤s21包括：
93.步骤s211：爬取网络攻击事件的文本信息。
94.其中，可以通过文本收集器、爬虫装置等至少一种装置，从互联网中爬取网络攻击事件的文本信息。
95.通常，网络安全网站、网络安全论坛、网络安全公司的网站、网络安全博客等网络安全相关网站中会发布网络攻击事件的文本信息，因此，为了提升爬取效率，可以爬取网络安全网站、网络安全论坛、网络安全公司的网站、网络安全博客等网络安全相关网站，以获取网络攻击事件的文本信息。
96.步骤s212：基于文本信息，确定网络攻击事件以及网络攻击事件包括的各网络攻击手段。
97.通常，网络攻击事件的文本信息中会记载网络攻击事件的网络攻击手段。因此，爬取网络攻击事件的文本信息之后，对文本信息进行分析，可以从中取得网络攻击事件以及网络攻击事件包括的各网络攻击手段。
98.其中，基于文本信息，确定网络安全事件以及网络攻击事件包括的各网络攻击手段的方式可以根据实际需要灵活设置。在一些实施方式中，可以对文本信息进行分析，确定网络安全事件，并按照att&ck enterprise框架对网络攻击事件的网络攻击手段进行分步拆解，确定每个网络攻击手段的tactics(策略)、techniques(技术)、procedure(输出)。
99.步骤s213：复现各网络攻击手段的攻击过程。
100.在确定网络攻击事件以及网络攻击事件对应的网络攻击手段之后，为了获取真实的攻击数据，复现各网络攻击手段的攻击过程。
101.步骤s214：获取各网络攻击手段的攻击过程中的网络关联数据，以得到各网络攻击手段分别对应的攻击数据集。
102.在复现各网络攻击手段的攻击过程中，收集网络关联数据，以得到各网络攻击手段的攻击数据集。
103.在一些实施方式中，可以直接将收集的网络关联数据作为各网络攻击手段的攻击数据集。
104.在另一些实施方式中，可以将收集到的网络关联数据进行预处理，将预处理后的网络关联数据作为网络攻击手段的攻击数据集，以方便后续存储。
105.其中，进行预处理的方式可以根据实际需要灵活设置，在一个示例中，可以预先设置标准数据模型，以及网络关联数据的分类标准(例如，可以将网络关联数据分为网络数据、网络设备日志、进程数据、操作系统日志和告警数据共5类数据)，在网络攻击手段的攻击过程中获取网络关联数据之后，可以先按照预设标准数据模型对网络关联数据进行标准化处理，再对标准化处理后的数据进行筛选，然后提炼不同设备相同意义的字段以进行聚类，并删除多余字段，以得到包括不同分类的网络关联数据，从而得到攻击数据集。其中，进行筛选的方式可以根据实际需要灵活设置，例如，可以将与具体主机相关的字段，差异性较大的字段过滤掉，例如，通信源地址的高位随机端口、主机名、源ip、目的ip等。
106.在一些实施方式中，在获取攻击数据集之后，存储攻击数据集时，可以按照统一格式、统一字段将攻击数据集存储在数据库中。
107.本发明实施例提供的网络攻击检测方法中，爬取网络攻击事件的文本信息，基于文本信息，确定网络攻击事件以及网络攻击事件包括的各网络攻击手段，复现各网络攻击手段的攻击过程，获取各网络攻击手段的攻击过程中的网络关联数据，以得到各网络攻击手段分别对应的攻击数据集，从而可以获取到真实的网络攻击过程中的数据，提升准确性。
108.基于前述实施例，提出本发明网络攻击检测方法的第三实施例。本发明实施例中，步骤s22包括：
109.步骤s221：从每个攻击数据集中分别提取攻击特征数据，以得到每个攻击数据集分别对应的第一攻击特征数据。
110.其中，攻击特征数据包括策略特征数据、技术特征数据、以及输出特征数据。
111.本发明实施例中，对每个攻击特征数据集进行分析，并从中提取攻击特征数据，将提取的攻击特征数据作为第一攻击特征数据，以得到每个攻击数据集分别对应的第一攻击特征数据。
112.步骤s222：分别确定每个第一攻击特征数据的传输路径。
113.其中，传输路径包括生成、传输、输出第一攻击特征数据的节点。
114.本发明实施例中，在确定各第一攻击特征数据之后，从各第一攻击特征数据中提取出传输路径，从而确定每个第一攻击特征数据的传输路径。
115.步骤s223：基于每个第一攻击特征数据对应的传输路径，构建节点关系网。
116.在确定每个攻击数据对应的传输路径之后，基于每个第一攻击特征数据对应的传输路径，构建节点关系网。
117.构建节点关系网的具体方式可以根据实际需要灵活设置。在一个示例中，节点关系网中，每个节点包括其对应的攻击数据集，各节点之间关系基于第一攻击特征数据的传输路径确定。在另一个示例中，为了降低节点关系网的存储量，每个节点可以包括其对应的第一攻击特征数据，各节点之间关系基于第一攻击特征数据的传输路径确定，例如，假设攻击特征数据1由网络设备a生成，且传输路径为网络设备a传输至网络设备b，网络设备b生成攻击特征数据2，则节点关系网中包括节点1和节点2，节点1包括攻击特征数据1，节点2包括攻击特征数据2，节点1指向节点2；为了便于知晓攻击特征数据由哪一网络设备生成，节点关系网中的节点还可包括对应的网络设备的标识信息，例如，节点1包括网络设备a的标识信息，节点2包括网络设备2的标识信息。
118.需要说明的是，不同网络攻击事件中，可能会用到相同的网络攻击手段，得到相同的攻击特征数据，因此，在建立节点关系网时，可以将不同网络攻击事件中的相同的攻击特征数据合并为一个节点。
119.例如，假设在网络攻击事件c中，先用网络攻击手段1进行攻击，然后用网络攻击手段2进行攻击，再用网络攻击手段3进行攻击，网络攻击手段1对应的网络攻击特征为a，网络攻击手2对应的网络攻击特征为b，网络攻击手段3对应的网络攻击特征为c，其中，a指向b，b指向c；网络攻击事件d中，先用网络攻击手段4进行攻击，再用网络攻击手段2进行攻击，网络攻击手段4对应的网络攻击特征为d，网络攻击事件d中网络攻击手段2的网络攻击特征为e，其中，d指向e；则参见图6，节点关系网中包括4个节点，其中，节点601对应a，节点602对应b，节点603对应c，节点604对应d。
120.需要说明的是，在一些实施方式中，在建立节点关系网时，可以设置各节点的标
签，标签中可以包括该节点所属的网络攻击事件，以使后续可以基于标签确定对应的网络攻击事件。
121.本发明实施例提供的网络攻击检测方法，从每个攻击数据集中分别提取攻击特征数据，以得到每个攻击数据集分别对应的第一攻击特征数据；攻击特征数据包括策略特征数据、技术特征数据、以及输出特征数据；分别确定每个第一攻击特征数据的传输路径，其中，传输路径包括生成、传输、输出第一攻击特征数据的节点；基于每个第一攻击特征数据对应的传输路径，构建节点关系网，使得节点关系网中包括不同攻击特征数据的关联关系，从而更加准确地检测出网络攻击。
122.基于前述实施例，提出本发明网络攻击检测方法的第四实施例。本发明实施例中，步骤s23包括：
123.步骤s231：获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据。
124.其中，待检测网络系统为需要检测是否发生网络攻击的系统。待检测网络系统可以根据实际需要灵活设置。
125.预设时长可以根据实际需要灵活设置，例如，由于apt攻击的潜伏时间较长，因此，预设时长可以设置得较长，例如，可以设置为1个月、10天等。
126.在待检测网络系统的运行过程中，会产生网络关联数据，本发明实施例中，获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据。
127.在一些实施方式中，可以直接将获取的网络关联数据作为待检测数据。
128.或者，在另一些实施方式中，可以将获取的网络关联数据进行预处理，将预处理后的网络关联数据作为待检测数据，其中，预处理的方式可以参见前述记载，此处不再赘述。
129.步骤s232：从待检测数据中提取第二攻击特征数据。
130.本发明实施例中，在获取待检测数据后，从待检测数据中提取攻击特征数据，以得到第二攻击特征数据。
131.步骤s233：检索节点关系网，以从节点关系网中检索出目标节点与非目标节点。
132.其中，目标节点对应的第一攻击特征数据与第二攻击特征数据匹配。非目标节点为节点关系网中目标节点之外的节点。
133.本发明实施例中，基于每个第一攻击特征数据对应的传输路径建立节点关系网，节点关系网中，每个节点均包括对应的第一攻击特征数据，在确定第二攻击特征数据后，检索节点关系网，以从节点关系网中确定第一攻击特征数据与第二攻击特征数据匹配的目标节点，以及除目标节点外的非目标节点。
134.其中，检索的方式可以根据实际需要灵活设置。
135.步骤s234：将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得待检测网络的安全事件集。
136.需要说明的是，节点距离为两个互不相同的目标节点之间存在的非目标节点的个数。
137.预设第一阈值可以根据实际需要灵活设置，例如，可以设置为4、5、6等。
138.本发明实施例中，在确定目标节点和非目标节点之后，将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，从而得到待检测网络的安全事件集。也就
是说，本发明实施例中，在确定至少一个目标节点之后，基于各目标节点之间的节点距离，对目标节点进行分类，每一个分类对应一个安全事件，从而确安全事件集，其中，同一安全事件中，任意两个目标节点之间的节点距离小于预设第一阈值。安全事件集包括n个安全事件，n为大于等于0的整数。
139.为了更好的理解，此处以一个示例进行说明，例如，参见图7所示，在节点关系网中，检索出9个目标节点，分别记为目标节点701-709，假设预设节点距离为3；其中，目标节点701与目标节点702之间的节点距离为0，目标节点702与目标节点703之间的节点距离为0，目标节点702与目标节点704之间的节点距离为4，目标节点704与目标节点705之间的节点距离为0，目标节点705与目标节点706的节点距离为0，目标节点705与目标节点707的节点距离为0，目标节点707与目标节点708的节点距离为1，目标节点708与目标节点709的节点距离为1；因此，由于目标节点701-703中任意两个目标节点之间的节点距离小于3，目标节点701-703中的任一节点与目标节点704-709中的任一节点之间的节点距离大于3，且目标节点704-709中任意两个目标节点之间的节点距离小于3，因此，将目标节点701-703划分为一个安全事件，记为安全事件1；将目标节点704-709划分为一个安全事件，记为安全事件2。
140.需要说明的是，各安全事件包括的目标节点可以重叠，也可以不重叠；例如，假设大于阈值为3，目标节点e与目标节点f的节点距离为2，目标节点f与目标节点g的节点距离为2，目标节点e与目标节点g的节点距离为4，在一个示例中，可以将目标节点e与目标节点f划分为一个安全事件，将目标节点f和目标节点g划分为一个安全事件；或者，在另一个示例中，若已经将目标节点e与目标节点f划分为一个安全事件，则将目标节点g划分为另一个安全事件，从而避免安全事件中的目标节点发生重复。
141.本发明实施例提供的网络攻击检测方法，获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据，从待检测数据中提取第二攻击特征数据；检索节点关系网，以从节点关系网中检索出目标节点与非目标节点，其中，目标节点对应的第一攻击特征数据与第二攻击特征数据相匹配，非目标节点为节点关系网中目标节点之外的节点；将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得待检测网络的安全事件集，其中，节点距离为两个互不相同的目标节点之间存在的非目标节点的个数，安全事件集包括n个安全事件，n为大于等于0的整数，从而将待检测数据映射至节点关系网，挖掘海量大数据(即待检测数据)中存在隐藏关联关系的数据，使之组成安全事件，从而发现隐藏网络攻击；这样，即使攻击者使用0day攻击，在攻破系统后，进行横向移动以进行攻击时，由于横向移动过程中留下的攻击痕迹较多，因此，基于本发明实施例提供的网络攻击检测方法，可以检测到0day攻击对应的目标节点，从而检测到安全事件，体现在关系网中，即为入口节点未检测到，但后续节点被检测出，从而降低了网络攻击的检测难度。
142.基于第四实施例，提出本发明网络攻击检测方法的第五实施例。本发明实施例中，步骤s233包括：
143.步骤s2331：确定节点关系网中每个节点的节点类型。
144.其中，节点类型包括没有攻击特征数据输入的入口节点、直接关联的其它节点数大于预设第二阈值的关键节点、没有攻击特征数据输出的结束节点。需要说明的是，直接关联的其它节点数为与该节点直接连接的其它节点的数量，例如，参见图7所示，目标节点702
的直接关联的其它节点数为3，目标节点706的直接关联的其它节点数为2。
145.预设第二阈值可以根据实际需要灵活设置，例如，可以设置为5、4、3等。
146.步骤s2332：基于每个节点的节点类型，检索节点关系网，以从节点关系网中检索出目标节点与非目标节点。
147.其中，具体的检索方式可以根据实际需要灵活设置。
148.在一些实施方式中，步骤s2332包括：依次按照第一优先级、第二优先级、第三优先级将关键节点、结束节点、入口节点分别对应的第一攻击特征数据与第二攻击特征数据进行检索匹配，以检索出目标节点与非目标节点。
149.考虑关键节点直接关联的节点较多，可能存在多种网络攻击手段利用同一种技术的可能，匹配的概率较大，设置关键节点的优先级为第一优先级；结束节点往往存在较多高危操作，为了及时发现高危操作，设置结束节点的优先级为第二优先级；设置入口节点的优先级为第三优先级，关键节点的优先级大于结束节点的优先级，先将关键节点对应的第一攻击特征数据与第二攻击特征数据进行检索匹配，以从关键节点中确定目标节点；再将结束节点对应的第一攻击特征数据与第二攻击特征数据进行检索匹配，以从结束节点中确定目标节点；然后将入口节点对应的第一攻击特征数据与第二攻击特征数据进行检索匹配，以从入口节点中确定目标节点；并基于确定出的目标节点，从节点关系网中确定非目标节点。
150.在一些实施方式中，步骤s2332包括：判断节点关系网中是否存在关键节点，若存在关键节点，则以关键节点为起始节点，检索节点关系网，若从节点关系网中检索出与待检测数据匹配的至少一个目标节点，则结束；若不存在关键节点，或以关键节点为起始节点，未从节点关系网中检索出与待检测数据匹配的至少一个目标节点，则判断节点关系网中是否存在结束节点，若存在结束节点，则以结束节点为起始节点，检索节点关系网，若从节点关系网中检索出与待检测数据匹配的至少一个目标节点，则结束；若不存在结束节点，或以结束节点为起始节点，未从节点关系网中检索出与待检测数据匹配的至少一个目标节点，则判断节点关系网中是否存在入口节点，若存在入口节点，则以入口节点为起始节点，检索节点关系网。
151.需要说明的是，以入口节点、结束节点或关键节点为起始节点检索节点关系网时，可能会检索出相同的目标节点，因此，在检索出目标节点之后，将检索结果去重，从而得到最终的目标节点，保障节点的唯一性。
152.本发明实施例提供的网络攻击检测方法，确定节点关系网中每个节点的节点类型，基于每个节点的节点类型，检索节点关系网，以从节点关系网中检索出目标节点与非目标节点，从而提升检测速度和检测精度。
153.基于第四实施例，提出本发明网络攻击检测方法的第六实施例。本发明实施例中，步骤s234之后，还可以包括：
154.步骤s235：基于安全事件集中每个安全事件的目标节点总数、每个安全事件中各目标节点的节点关联数，分别确定每个安全事件的可信度评分。
155.其中，安全事件的目标节点总数为安全事件包括的目标节点的总数。
156.节点关联数为与目标节点直接连接的、且与目标节点属于同一安全事件的其他节点的个数。例如，参见前述示例，与目标节点701直接连接的、且与目标节点701属于同一安
全事件(即安全事件1)的其他节点只有目标节点702，因此，目标节点701的关联节点数为1，同理，目标节点702的关联节点数为2，目标节点703的关联节点数为3；与目标节点704直接连接的、且与目标节点704属于同一安全事件(即安全事件2)的节点只有目标节点705，因此，目标节点704的关联节点数为1，同理，目标节点705的关联节点数为3，目标节点706、707的关联节点数均为1，目标节点708、709的关联节点数均为0。
157.本发明实施例中，基于安全事件集中每个安全事件的目标节点总数、每个安全事件中各目标节点的节点关联数，分别确定每个安全事件的可信度评分，其中，可信度评分可以反映该安全事件发生的概率，即安全事件的可信度，其中，分值越高，安全事件的可信度越高(即发生网络攻击事件的概率越高)。
158.其中，可信度评分的具体确定方式可以根据实际需要灵活设置。
159.例如，在一个示例中，可以基于以下公式确定安全事件的评分：
[0160][0161]
其中s为安全事件的可信度评分；n为该安全事件的目标节点总数；m为该安全事件各目标节点的节点关联数中的最大值；ni为该安全事件中，节点关联数为i的目标节点的个数，wi为ni的权值，例如，n0为该安全事件中，节点关联数为0的目标节点的个数，w0为n0的权值，n1为安全事件中，节点关联数为1的目标节点的个数，w1为n1的权值，依此类推，nm为安全事件中，节点关联数为m的目标节点的个数，wm为nm的权值。其中，权值可以根据实际需要灵活设置。
[0162]
例如，参见前述示例，安全事件1的节点总数n＝3，安全事件1中，节点关联数为0的目标节点个数n0＝0，即不存在节点关联数为0的节点；节点关联数为1的节点个数n1＝2，即“目标节点701”和“目标节点703”节点；节点关联数为2的节点个数n2＝1，即“目标节点702”。假设w0为0.1，w1为0.2，w2为0.3，则安全事件1的评分如下：
[0163]
s＝(3+0.1*0+0.2*2+0.3*1)/3＝1.23333
[0164]
安全事件2节点总数n＝6，安全事件2的各目标节点的节点关联数中的最大值m＝3，即目标节点705的关联节点数最大，为3；安全事件2中，节点关联数为0的目标节点个数n0＝2，即目标节点708和目标节点709；节点关联数为1的目标节点个数n1＝3，即目标节点704、目标节点706、目标节点707；节点关联数为2的目标节点个数n2＝0，即不存在节点关联数为2的节点；节点关联数为3的目标节点个数n3＝1，即目标节点705。
[0165]
步骤s236：基于可信度评分，确定每个安全事件的处理优先级。
[0166]
在确定每个安全事件的可信度评分之后，基于可信度评分，确定安全事件的处理优先级。其中，可信度评分与处理优先级的逻辑关系可以根据实际需要灵活设置，在一个示例中，可信度评分越高，处理优先级越高。
[0167]
本发明实施例提供的网络攻击检测方法，基于安全事件集中每个安全事件的目标节点总数、每个安全事件中各目标节点的节点关联数，分别确定每个安全事件的可信度评分；其中，节点关联数为与目标节点直接连接的、且属于同一安全事件的其他节点的个数，基于安全事件的可信度评分，确定安全事件的处理优先级，从而基于安全事件的处理优先级对安全事件进行处理，降低网络攻击带来的风险。
[0168]
基于第四实施例，提出本发明网络攻击检测方法的第七实施例。本发明实施例中，
步骤s234之后，还可以包括：
[0169]
步骤s237：基于节点关系网，确定每个安全事件包括的目标节点所属的网络攻击事件，以得到每个安全事件分别对应的特定网络攻击事件。
[0170]
本发明实施例中，为对安全事件进行溯源，基于节点关系网，确定安全事件中，各目标节点所属的网络攻击事件，以得到每个安全事件分别对应的特定网络攻击事件。其中，可以基于各目标节点的标签，确定各目标节点所属的网路攻击事件。
[0171]
步骤s238：分别确定每个特定网络攻击事件在对应的安全事件中包括的目标节点数n
x
，以及每个特定网络攻击事件在节点关系网中包括的节点总数c
x
。
[0172]
针对确定出的每个特定网络攻击事件，确定其在对应安全事件中包括的目标节点数n
x
，以及其在节点关系网中包括的节点总数c
x
。其中x表征第x个特定网络攻击事件。
[0173]
步骤s239：基于每个特定网络攻击事件的n
x
和c
x
，确定每个安全事件与对应的特定网络攻击事件的关联度。
[0174]
其中，具体的确定方式可以根据实际需要灵活设置。在一个示例中，关联程度的确定方式如下：
[0175][0176]
其中z
x
安全事件与第x个特定网络攻击事件的关联程度。例如，承接上例，假设安全事件2中，目标节点704-707属于网络攻击事件1，目标节点708、709属于网络攻击事件2，则安全事件2的特定网络攻击事件包括网络攻击事件1和网络攻击事件2，节点关系网中，网络攻击事件1包括16个节点，网络攻击事件2包括10个节点，则安全事件2与网络攻击事件1的关联程度为4/16＝0.25，安全事件2与网络攻击事件2的关联程度为2/10＝0.2。
[0177]
本发明实施例提供的网络攻击检测方法，基于节点关系网，确定每个安全事件包括的目标节点所属的网络攻击事件，以得到每个所述安全事件分别对应的特定网络攻击事件；分别确定每个特定网络攻击事件在对应的安全事件中包括的目标节点数n
x
，以及每个特定网络攻击事件在节点关系网中包括的节点总数c
x
；基于每个特定网络攻击事件的n
x
和c
x
，确定每个安全事件与对应的特定网络攻击事件的关联度，从而可以确定安全事件与特定网络攻击事件的关联度，便于实现安全事件的溯源，以进行针对性的修复。
[0178]
参照图8，图8为本发明网络攻击检测装置的结构示意图，网络攻击检测装置包括：
[0179]
获取模块81，用于获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集。
[0180]
建立模块82，用于基于每个攻击数据集，建立节点关系网。
[0181]
检测模块83，用于基于节点关系网，进行网络攻击检测。
[0182]
需要说明的是，网络攻击检测装置还可选的包括有对应的模块，以实施上述网络攻击检测方法中的其他步骤。
[0183]
计算机程序实施例
[0184]
本发明还提供一种计算机程序，所述计算机程序被处理器执行时实现上述网络攻击检测方法中的步骤。
[0185]
需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而
且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0186]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0187]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备执行本发明各个实施例所述的方法。
[0188]
以上所述仅为本发明的可选实施例，并非因此限制本发明的专利范围，凡是在本发明的发明构思下，利用本发明说明书及附图内容所作的等效结构变换，或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

技术特征：

1.一种网络攻击检测方法，其特征在于，所述网络攻击检测方法包括以下步骤：获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集；基于每个所述攻击数据集，建立节点关系网；基于所述节点关系网，进行网络攻击检测。2.如权利要求1所述的网络攻击检测方法，其特征在于，所述基于每个所述攻击数据集，建立节点关系网的步骤，包括：从每个所述攻击数据集中分别提取攻击特征数据，以得到每个所述攻击数据集分别对应的第一攻击特征数据；所述攻击特征数据包括策略特征数据、技术特征数据、以及输出特征数据；分别确定每个所述第一攻击特征数据的传输路径，其中，所述传输路径包括生成、传输、输出所述第一攻击特征数据的节点；基于每个所述第一攻击特征数据对应的传输路径，构建节点关系网。3.如权利要求2所述的网络攻击检测方法，其特征在于，所述基于所述节点关系网，进行网络攻击检测的步骤，包括：获取待检测网络系统在预设时长内的网络关联数据，以得到待检测数据；所述网络关联数据包括：网络数据、网络设备日志、进程数据、操作系统日志和告警数据中的至少一种；从所述待检测数据中提取第二攻击特征数据；检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点，其中，所述目标节点对应的第一攻击特征数据与所述第二攻击特征数据相匹配，所述非目标节点为所述节点关系网中所述目标节点之外的节点；将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集，其中，所述节点距离为两个互不相同的目标节点之间存在的非目标节点的个数，所述安全事件集包括n个安全事件，所述n为大于等于0的整数。4.如权利要求3所述的网络攻击检测方法，其特征在于，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：基于所述安全事件集中每个所述安全事件的目标节点总数、每个所述安全事件中各目标节点的节点关联数，分别确定每个所述安全事件的可信度评分；其中，所述节点关联数为与所述目标节点直接连接的、且属于同一安全事件的其他节点的个数；基于所述可信度评分，确定每个所述安全事件的处理优先级。5.如权利要求3所述的网络攻击检测方法，其特征在于，在所述将节点距离小于等于预设第一阈值的目标节点确定为属于同一安全事件，获得所述待检测网络的安全事件集的步骤之后，还包括：基于所述节点关系网，确定每个所述安全事件包括的目标节点所属的网络攻击事件，以得到每个所述安全事件分别对应的特定网络攻击事件；分别确定每个所述特定网络攻击事件在对应的所述安全事件中包括的目标节点数n
x
，以及每个所述特定网络攻击事件在所述节点关系网中包括的节点总数c
x
；基于每个所述特定网络攻击事件的n
x
和c
x
，确定每个所述安全事件与对应的所述特定网络攻击事件的关联度。
6.如权利要求3所述的网络攻击检测方法，其特征在于，所述检索所述节点关系网，以从所述节点关系网中检索出目标节点与非目标节点的步骤，包括：确定所述节点关系网中每个节点的节点类型，所述节点类型包括没有攻击特征数据输入的入口节点、直接关联的其它节点数大于预设第二阈值的关键节点、没有攻击特征数据输出的结束节点；依次按照第一优先级、第二优先级、第三优先级将所述关键节点、所述结束节点、所述入口节点分别对应的所述第一攻击特征数据与所述第二攻击特征数据进行检索匹配，以检索出目标节点与非目标节点。7.如权利要求1-6任一项所述的网络攻击检测方法，其特征在于，所述获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集的步骤，包括：爬取网络攻击事件的文本信息；基于所述文本信息，确定网络攻击事件以及所述网络攻击事件包括的各网络攻击手段；复现各所述网络攻击手段的攻击过程；获取各所述网络攻击手段的攻击过程中的网络关联数据，以得到各所述网络攻击手段分别对应的攻击数据集。8.一种网络攻击检测装置，其特征在于，所述网络攻击检测装置包括：获取模块，用于获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集；建立模块，用于基于每个所述攻击数据集，建立节点关系网；检测模块，用于基于所述节点关系网，进行网络攻击检测。9.一种网络攻击检测设备，其特征在于，所述网络攻击检测设备包括：存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序程序，所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络攻击检测方法的步骤。10.一种计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络攻击检测方法的步骤。

技术总结

本发明公开一种网络攻击检测方法、装置、设备及计算机程序，通过获取不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集，基于每个攻击数据集，建立节点关系网；基于节点关系网，进行网络攻击检测；由于节点关系网是基于不同网络攻击事件中不同网络攻击手段分别对应的攻击数据集建立的，其包括大量的攻击数据，因此，基于节点关系网可以更加准确的检测出系统是否遭到网络攻击，从而降低网络攻击检测难度，提升系统安全性。提升系统安全性。提升系统安全性。