(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113971286A(43)申请公布日2022.01.25(21)申请号202111241239.4(22)申请日2021.10.25(71)申请人杭州安恒信息安全技术有限公司地址310000浙江省杭州市滨江区西兴街道联慧街188号1幢5层(72)发明人李深圳张隆胜(74)专利代理机构北京集佳知识产权代理有限公司11227代理人吴磊(51)Int.Cl.G06F21/56(2013.01)G06F21/55(2013.01)G06F16/2458(2019.01)权利要求书2页说明书10页附图2页(54)发明名称一种攻击行为检测方法、装置、设备及可读存储介质(57)摘要本申请公开了一种攻击行为检测方法、装置、设备及可读存储介质，方法包括：获取目标系统中的当前操作序列；判断预先挖掘的频繁多项集中是否存在与当前操作序列相匹配的目标频繁多项集；频繁多项集为预先获取各历史操作序列对应的历史日志并对历史日志进行挖掘得到的；若存在目标频繁多项集，则判断目标频繁多项集中是否存在攻击特征；若存在攻击特征，则确定当前操作序列存在攻击行为并发出存在攻击行为的提示。本申请公开的上述技术方案，通过获取并借助各历史操作序列对应的历史日志及当前操作序列实现在对目标系统进行操作的过程中进行攻击行为检测，以将攻击行为检测与系统逻辑进行解耦，从而降低系统逻辑的复杂性，并便于及时发现攻击行为。CN113971286ACN113971286A权利要求书1/2页1.一种攻击行为检测方法，其特征在于，包括：获取目标系统中的当前操作序列；判断预先挖掘的频繁多项集中是否存在与所述当前操作序列相匹配的目标频繁多项集；其中，所述频繁多项集为预先获取所述目标系统中各历史操作序列对应的历史日志，并对所述历史日志进行挖掘得到的；若存在所述目标频繁多项集，则判断所述目标频繁多项集中是否存在攻击特征；若所述目标频繁多项集中存在攻击特征，则确定所述当前操作序列存在攻击行为，并发出所述当前操作序列存在攻击行为的提示。2.根据权利要求1所述的攻击行为检测方法，其特征在于，对所述历史日志进行挖掘得到频繁多项集，包括：对各所述历史日志进行预处理，并将预处理后的各历史日志分别作为一条事务；判断各所述事务中是否存在攻击特征，在存在攻击特征的事务中加入第一特征项，在不存在攻击特征的事务中加入第二特征项；利用FP‑Growth算法对各事务进行挖掘，得到频繁多项集；相应地，判断所述目标频繁多项集中是否存在攻击特征，包括：获取所述目标频繁多项集的父集，并确定包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数；利用包含所述第一特征项的父集的个数、包含所述第二特征项的父集的个数，计算所述目标频繁多项集的置信度；判断所述置信度是否大于第一预设值，若是，则确定所述目标频繁多项集中存在攻击特征。3.根据权利要求2所述的攻击行为检测方法，其特征在于，判断各所述事务中是否存在攻击特征，包括：判断所述事务中是否至少有一个操作项出现的次数超过第二预设值、所述事务中是否存在相邻两个操作项的时间间隔低于第三预设值、所述事务的历经时长是否超过第四预设值、所述事务中是否存在打印系统异常；若所述事务中存在至少有一个操作项出现的次数超过所述第二预设值、相邻两个操作项的时间间隔低于所述第三预设值、历经时长超过所述第四预设值、打印系统异常中的至少一项，则确定所述事务中存在攻击特征。4.根据权利要求2所述的攻击行为检测方法，其特征在于，在确定所述当前操作序列存在攻击行为之后，还包括：获取所述当前操作序列对应的日志，并将所述日志作为历史日志，且返回执行所述对各所述历史日志进行预处理的步骤。5.根据权利要求2所述的攻击行为检测方法，其特征在于，对各所述历史日志进行预处理，包括：删除各所述历史日志中的无效操作项。6.根据权利要求1所述的攻击行为检测方法，其特征在于，在确定所述当前操作序列存在攻击行为之后，还包括：告知所述目标系统所述当前操作序列存在攻击行为，以由所述目标系统关闭所述当前2CN113971286A权利要求书2/2页操作序列对应的当前会话。7.一种攻击行为检测装置，其特征在于，包括：获取模块，用于获取目标系统中的当前操作序列；第一判断模块，用于判断预先挖掘的频繁多项集中是否存在与所述当前操作序列相匹配的目标频繁多项集；其中，所述频繁多项集为预先获取所述目标系统中各历史操作序列对应的历史日志，并对所述历史日志进行挖掘得到的；第二判断模块，用于若存在所述目标频繁多项集，则判断所述目标频繁多项集中是否存在攻击特征；确定模块，用于若所述目标频繁多项集中存在攻击特征，则确定所述当前操作序列存在攻击行为，并发出所述当前操作序列存在攻击行为的提示。8.根据权利要