威胁检测、模型生成方法、装置及电子设备和存储介质与流程

本申请涉及计算机技术领域，更具体地说，涉及一种威胁检测方法、装置、一种威胁检测模型生成方法及一种电子设备和一种计算机可读存储介质。

背景技术：

高级威胁(英文全称：advancedpersistentthreat，英文简称：apt)是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。相对的，威胁捕猎(threathunting)是指在网络安全的世界中，通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。

在相关技术中，威胁捕猎技术主要基于规则匹配来搜寻网络中的威胁，这些规则是根据已经出现过的威胁人为制定出来的，因此只能防御已知的威胁，对于没有出现过的未知威胁几乎没有防御能力。

可见，如何提高对未知威胁的防御能力是本领域技术人员需要解决的技术问题。

技术实现要素：

本申请的目的在于提供一种威胁检测方法、装置、一种威胁检测模型生成方法及一种电子设备和一种计算机可读存储介质，提高了对未知威胁的防御能力。

为实现上述目的，本申请提供了一种威胁检测方法，包括：

获取目标主机的待检测数据；

基于所述待检测数据中待检测项之间的交互关系提取有效关系路径，其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

其中，所述基于所述待检测数据中待检测项之间的交互关系构建提取有效关系路径，包括：

基于所述待检测数据构建物源图；其中，所述物源图中的节点表示所述待检测项，节点与节点之间的边表示所述待检测项之间的交互关系；

在所述物源图中确定所有起点和所有终点，并从所述物源图中提取所述起点至所述终点的有效关系路径。

其中，所述待检测数据包括主机日志，所述主机日志包括进程类日志、文件类日志、网络类日志、注册表日志和管道日志中任一项或任几项的组合。

其中，所述主机日志包括进程，所述基于所述待检测数据构建物源图，包括：

在物源图中为所述主机日志中的各进程分别创建对应的节点，并根据各进程之间的交互关系在所述物源图中创建所述节点之间的边。

其中，若所述主机日志包括进程及附加项，所述附加项包括文件、ip地址、注册表、管道中的任一项，则基于所述待检测数据构建物源图，包括：

判断所述物源图中是否存在所述主机日志中的进程对应的节点；

若是，则在所述物源图中为所述主机日志中的所述附加项创建对应的节点，并根据所述进程与所述附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边。

其中，所述待检测数据包括流量信息。

其中，所述流量信息包括ip地址，所述基于所述待检测数据构建物源图，包括：

在物源图中为所述流量信息中的ip地址分别创建对应的节点，并根据各ip地址之间的交互关系在所述物源图中创建所述节点之间的边。

其中，若所述流量信息包括ip地址和附加项，所述附加项包括文件和/或域名，则所述基于所述待检测数据构建物源图，包括：

判断所述物源图中是否存在所述流量信息中的ip地址对应的节点；

若是，则在所述物源图中为所述流量信息中的所述附加项创建对应的节点，并根据所述ip地址与所述附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边。

其中，所述待检测数据包括主机日志和流量日志，所述基于所述待检测数据构建物源图，包括：

在物源图中为第一目标主机日志中的各进程分别创建对应的节点，并根据所述第一目标主机日志中各进程之间的交互关系在所述物源图中创建所述节点之间的边；其中，所述第一目标主机日志为包含两个进程的主机日志；

判断所述物源图中是否存在第二目标主机日志中的进程对应的节点；其中，所述第二目标主机日志为包含进程和附加项的主机日志；

若是，则在所述物源图中为所述第二目标主机日志中的所述附加项创建对应的节点，并根据所述第二目标主机日志中进程与附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边；

判断所述物源图中是否存在所述流量信息中的ip地址对应的节点，若是，则根据所述流量信息中各ip地址之间的交互关系在所述物源图中创建各ip地址对应的节点之间的边；

若所述流量信息中包括附加项，则判断所述物源图中是否存在所述流量信息包含的附加项对应的节点；

若是，则根据所述流量信息中ip地址与附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边；

若否，则在所述物源图中为所述流量信息包含的附加项创建对应的节点，并根据所述流量信息中ip地址与附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边。

其中，所述有效关系路径还包括节点的属性信息及边的属性信息。

其中，对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果，包括：

基于所述有效关系路径生成特征向量；

将所述特征向量输入威胁检测模型中，以得到所述目标主机的威胁检测结果。

其中，所述基于所述有效关系路径生成特征向量，包括：

基于所述有效关系路径生成伪语句；

利用语句向量化模型将所述伪语句转换为特征向量。

其中，将所述特征向量输入训练完成的威胁检测模型中，以得到所述目标主机的威胁检测结果，包括：

将所述特征向量输入威胁检测模型中，以得到每条所述有效关系路径对应的异常值；其中，所述异常值描述所述有效关系路径的异常性；

确定所述异常值大于或等于预设值的有效关系路径对应的伪语句。

为实现上述目的，本申请提供了一种威胁检测模型生成方法，包括：

获取正常主机的正常检测数据；

基于所述正常检测数据中待检测项之间的交互关系提取有效关系路径；其中，所述有效关系路径至少包括两个待检测项及各检测项之间的交互关系；

基于所述有效关系路径生成特征向量，并利用所述特征向量训练威胁检测模型，得到所述训练完成的威胁检测模型。

其中，所述基于所述有效关系路径生成特征向量，包括：

基于所述有效关系路径生成伪语句；

利用语句向量化模型将所述伪语句转换为特征向量。

为实现上述目的，本申请提供了一种威胁检测装置，包括：

获取模块，用于获取目标主机的待检测数据；

提取模块，用于基于所述待检测数据中待检测项之间的交互关系提取有效关系路径，其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

检测模块，用于对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

为实现上述目的，本申请提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述威胁检测方法或上述威胁检测模型生成方法的步骤。

为实现上述目的，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述威胁检测方法或上述威胁检测模型生成方法的步骤。

通过以上方案可知，本申请提供的一种威胁检测方法，包括：获取目标主机的待检测数据；基于所述待检测数据中待检测项之间的交互关系提取有效关系路径，其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

本申请提供的威胁检测方法，对目标主机的待检测数据进行分析，提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。由此可见，本申请提供的威胁检测方法，提高了对未知威胁的防御能力。本申请还公开了一种威胁检测装置及一种电子设备和一种计算机可读存储介质，同样能实现上述技术效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本公开，但并不构成对本公开的限制。在附图中：

图1为根据一示例性实施例示出的第一种威胁检测方法的流程图；

图2为根据一示例性实施例示出的第二种威胁检测方法的流程图；

图3为根据一示例性实施例示出的第三种威胁检测方法的流程图；

图4为根据一示例性实施例示出的第四种威胁检测方法的流程图；

图5为根据一示例性实施例示出的一种威胁检测模型生成方法的流程图；

图6为根据一示例性实施例示出的一种威胁检测装置的结构图；

图7为根据一示例性实施例示出的一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。另外，在本申请实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例公开了一种威胁检测方法，提高了对未知威胁的防御能力。

参见图1，根据一示例性实施例示出的第一种威胁检测方法的流程图，如图1所示，包括：

s101：获取目标主机的待检测数据；

本实施例的目的在于对目标主机中的高级威胁进行威胁捕获，在本步骤中，获取目标主机的待检测数据，其中可以包括主机日志、流量信息中的任一项或两项。待检测数据中包括待检测项和待检测项之间的交互关系，待检测项可以包括进程、文件、ip地址、注册表、管道、域名等，进程与进程之间的交互关系可以包括创建、销毁等，进程与文件之间的交互关系可以包括创建、时间修改、重命名、删除、远程控制等，进程与ip地址之间的交互关系可以包括网络连接、域名查询等，进程与注册表之间的交互关系可以包括注册、查询等，进程与管道之间的交互关系可以包括创建、查询等，ip地址与文件之间的交互关系可以包括下载等，ip地址与域名之间的交互关系可以包括下载文件等。

s102：基于所述待检测数据中待检测项之间的交互关系提取有效关系路径，其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

在具体实施中，基于每条待检测数据中的待检测项和待检测项之间的交互关系提取有效关系路径，有效关系路径中的节点表示待检测项，节点与节点之间的边表示对应的待检测项之间的交互关系，有效关系路径中至少包括两个检测项及各检测项之间的交互关系，也即有效关系路径中至少包括两个节点。当然，有效关系路径还可以包括节点的属性信息及边的属性信息，节点的属性信息为对应的待检测项的属性信息，进程的属性信息例如进程路径等，文件的属性信息例如文件路径等，ip地址的属性信息例如端口号等，边的属性信息为对应的交互关系的属性信息，例如时间戳等。

作为一种优选实施方式，本步骤包括：基于所述待检测数据构建物源图；其中，所述物源图中的节点表示所述待检测项，节点与节点之间的边表示所述待检测项之间的交互关系；在所述物源图中确定所有起点和所有终点，并从所述物源图中提取所述起点至所述终点的有效关系路径。在具体实施中，首先基于目标主机的待检测数据构建对应的物源图(provenancegraph)，物源图是利用主机日志之间的因果关系所构建的有向无环图，其中的节点可以为一个进程或一个文件或一次网络访问，有向无环图中的边是节点之间的操作关系。其次确定物源图中的所有起点和终点，起点是指入度为0的点，终点是指出度为0的点。最后提取从起点到终点的所有有效关系路径，其中至少包含两个节点和一条边，一条有效路径代表目标主机中一系列存在因果关系的操作行为。

s103：对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

在本步骤中，对上一步骤提取的有效关系路径进行异常检测，由于有效关系路径代表目标主机中一系列存在因果关系的操作行为，因此对其进行异常检测可以得到目标主机的威胁检测结果。

作为一种优选的实施方式，本步骤可以包括：基于所述有效关系路径生成特征向量；将所述特征向量输入威胁检测模型中，以得到所述目标主机的威胁检测结果。在具体实施中，基于有效路径中所有节点和所有边的属性信息对有效路径进行特征表示，一条从起点至终点的有效路径对应一个特征向量。将所有有效路径对应的特征向量输入训练完成的模型中，可以得到每条特征向量对应的检测结果，该检测结果可以表示特征向量对应的一系列存在因果关系的操作行为是否存在异常。本实施例中的模型可以包括lof(中文全称：局部异常因子算法，英文全称：localoutlierfactor)模型等，在此不进行具体限定。该模型可以使用主机的正常操作行为数据进行训练。

作为一种可行的实施方式，所述基于所述有效关系路径生成特征向量，包括：基于所述有效关系路径生成伪语句；利用语句向量化模型将所述伪语句转换为特征向量。在具体实施中，首先基于有效路径中所有节点和所有边的属性信息将其转换为伪语句。例如，有效路径为：进程1→进程2→文件1，转换后的伪语句为：c:\windows\explorer.exe创建c:\program\office\word.exe创建c:\file.doc。其次利用语句向量化(doc2vec)模型将伪语句转换为特征向量，语句向量化模型是一种非监督算法，能够将变长的语句转换为固定长度的特征向量表示，其可以使用历史数据进行训练得到，历史数据包括主机历史日志和对应的特征向量。

作为一种可行的实施方式，将所述特征向量输入训练完成的威胁检测模型中，以得到所述目标主机的威胁检测结果，包括：将所述特征向量输入训练完成的模型中，以得到所述主机日志的异常值；其中，所述异常值描述所述特征向量的异常性；确定所述异常值大于或等于预设值的特征向量对应的伪语句。在具体实施中，可以使用异常值的方式表示操作行为的异常性，异常值越大代表操作行为越异常。筛选出异常值大于或等于预设值的特征向量，确定该特征向量对应的伪语句即异常的伪语句，还可以将异常的伪语句进行输出。

本申请实施例提供的威胁检测方法，对目标主机的待检测数据进行分析，提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。由此可见，本申请实施例提供的威胁检测方法，提高了对未知威胁的防御能力。

本申请实施例公开了一种威胁检测方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图2，根据一示例性实施例示出的第二种威胁检测方法的流程图，如图2所示，包括：

s201：获取目标主机的主机日志；

本实施例中的待检测数据为目标主机的主机日志，主机日志包括进程类日志、文件类日志、网络类日志、注册表日志，管道日志等，进程类日志包括进程创建日志、进程销毁日志、远程控制的线程日志等，文件类日志包括文件创建日志、文件时间修改日志、文件重命名日志、文件删除日志等，网络类日志包括网络连接日志、域名查询日志等。每条进程类日志包括父进程和子进程，每条文件类日志包括进程和文件，每条网络类日志包括进程和地址，每条注册表日志包括进程和注册表，每条管道日志包括进程和管道。可见，主机日志存在两种情况，一种是仅包含进程，另一种是包含进程和附加项，此处的附加项包括文件、ip地址、注册表、管道等，在后续步骤创建物源图时对以上两种情况进行分别处理。

s202：在物源图中为所述主机日志中的各进程分别创建对应的节点，并根据各进程之间的交互关系在所述物源图中创建所述节点之间的边；

本步骤处理仅包含进程的主机日志即进程类日志。在具体实施中，对于每一条进程类日志，为其中的父进程创建一个名为父进程guid(中文全称：全局唯一标识符，英文全称：globallyuniqueidentifier)的节点，同时把父进程的属性信息保存为该节点的属性信息。同理，对进程类日志中的子进程进行相同操作创建一个节点，得到两个节点后，创建一条由父进程节点指向子进程节点的边，同时将父进程与子进程之间的交互关系和时间戳保存为这条边的属性信息，依次对每一条进程类日志完成上述操作。

s203：若所述主机日志包括进程及附加项，则判断所述物源图中是否存在所述主机日志中的进程对应的节点；若是，则进入s204；

s204：在所述物源图中为所述主机日志中的所述附加项创建对应的节点，并根据所述进程与所述附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边；

步骤s203和步骤s204处理包含进程和附加项的主机日志，即除进程类日志之外的主机日志。在具体实施中，对于每一条包含进程和附加项的主机日志，判断物源图中是否存在其中的进程对应的节点。如果不存在，则跳过这条日志；如果存在，则为主机日志中的附加项创建对应的节点，同时将该附加项的属性信息保存为该节点的属性信息，再创建一条由进程节点指向附加项节点的边，同时将进程与附加项之间的交互关系和属性信息保存为这条边的属性信息，依次对包含进程和附加项的主机日志执行上述操作，得到最终的物源图。

s205：在所述物源图中确定所有起点和所有终点，并从所述物源图中提取所述起点至所述终点的有效关系路径；其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

s206：对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

本申请实施例提供的威胁检测方法，通过构建物源图的方式对目标主机的主机日志进行分析，在物源图中提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。

本申请实施例公开了一种威胁检测方法，相对于第一个实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图3，根据一示例性实施例示出的第三种威胁检测方法的流程图，如图3所示，包括：

s301：获取目标主机的流量信息；

本实施例中的待检测数据为目标主机的流量信息，每条流量信息包括源ip地址和目的ip地址，当然还可以包括文件、域名等。也即，流量日志存在两种情况，一种是仅包含ip地址，另一种是包含ip地址和附加项，此处的附加项包括文件、域名等，在后续步骤创建物源图时对以上两种情况进行分别处理。

s302：在物源图中为所述流量信息中的ip地址分别创建对应的节点，并根据各ip地址之间的交互关系在所述物源图中创建所述节点之间的边；

本步骤处理仅包含ip地址的流量信息。在具体实施中，对于每一条仅包含ip地址的流量信息，为其中的源ip地址和目的ip地址分别创建对应的节点，同时将源ip地址和目的ip地址的属性信息保存为对应节点的属性信息。创建一条由源ip地址节点指向目的ip地址节点的边，同时将源ip地址与目的ip地址之间的交互关系和时间戳保存为这条边的属性信息，依次对每一条仅包含ip地址的流量信息完成上述操作。

s303：若所述流量信息包括ip地址和附加项，则判断所述物源图中是否存在所述流量信息中的ip地址对应的节点；若是，则进入s304；

s304：在所述物源图中为所述流量信息中的所述附加项创建对应的节点，并根据所述ip地址与所述附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边；

步骤s303和步骤s304处理包含ip地址和附加项的流量信息。在具体实施中，对于每一条包含ip地址和附加项的流量信息，判断物源图中是否存在其中的源ip地址或目的ip地址对应的节点。如果不存在，则跳过这条日志；如果存在，则为流量信息中的附加项创建对应的节点，同时将该附加项的属性信息保存为该节点的属性信息，再创建一条由ip地址节点指向附加项节点的边，同时将ip地址与附加项之间的交互关系和属性信息保存为这条边的属性信息，依次对包含ip地址和附加项的流量信息执行上述操作，得到最终的物源图。

s305：在所述物源图中确定所有起点和所有终点，并从所述物源图中提取每个所述起点至每个所述终点的有效路径；其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

s306：对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

本申请实施例提供的威胁检测方法，通过构建物源图的方式对目标主机的流量信息进行分析，在物源图中提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。

本申请实施例公开了一种威胁检测方法，相对于第一个实施例，本实施例对技术方案作了进一步的说明和优化。具体的：

参见图4，根据一示例性实施例示出的第四种威胁检测方法的流程图，如图4所示，包括：

s401：获取目标主机的主机日志和流量信息；

本实施例中的待检测数据为目标主机的主机日志和流量信息。

s402：在物源图中为第一目标主机日志中的各进程分别创建对应的节点，并根据所述第一目标主机日志中各进程之间的交互关系在所述物源图中创建所述节点之间的边；其中，所述第一目标主机日志为包含两个进程的主机日志；

s403：判断所述物源图中是否存在第二目标主机日志中的进程对应的节点；若是，则进入s404；其中，所述第二目标主机日志为包含进程和附加项的主机日志；

s404：在所述物源图中为所述第二目标主机日志中的所述附加项创建对应的节点，并根据所述第二目标主机日志中进程与附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边；

步骤s402-步骤s404为基于主机日志构建物源图的步骤，具体过程可参见第二个实施例的介绍，在此不再赘述。

s405：判断所述物源图中是否存在所述流量信息中的ip地址对应的节点，若是，则根据所述流量信息中各ip地址之间的交互关系在所述物源图中创建各ip地址对应的节点之间的边；

本步骤处理仅包含ip地址的流量信息。在具体实施中，对于每一条仅包含ip地址的流量信息，判断物源图中是否存在其中的源ip地址或目的ip地址对应的节点。如果不存在，则跳过这条日志；如果存在，则创建一条由源ip地址节点指向目的ip地址节点的边，同时将源ip地址与目的ip地址之间的交互关系和时间戳保存为这条边的属性信息，依次对仅包含ip地址的流量信息执行上述操作。

s406：若所述流量信息中包括附加项，则判断所述物源图中是否存在所述流量信息包含的附加项对应的节点；若是，则进入s408；若否，则进入s407；

s407：在所述物源图中为所述流量信息包含的附加项创建对应的节点，并进入s408；

s408：根据所述流量信息中ip地址与附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边；

步骤s404-步骤s408为处理包含ip地址和附加项的流量信息步骤，具体过程可参见第三个实施例的介绍，在此不再赘述。

s409：在所述物源图中确定所有起点和所有终点，并从所述物源图中提取每个所述起点至每个所述终点的有效路径；其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

s410：对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

本申请实施例提供的威胁检测方法，通过构建物源图的方式对目标主机的主机日志和流量信息进行分析，在物源图中提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。

下面介绍上述实施例中威胁检测模型生成方法，具体的：

参见图5，根据一示例性实施例示出的一种威胁检测模型生成方法的流程图，如图5所示，包括：

s501：获取正常主机的正常检测数据；

在本实施例中，基于正常主机的正常检测数据训练威胁检测模型，此处的威胁检测模型可以包括lof(中文全称：局部异常因子算法，英文全称：localoutlierfactor)模型等，在此不进行具体限定。

s502：基于所述正常检测数据中待检测项之间的交互关系提取有效关系路径；其中，所述有效关系路径至少包括两个待检测项及各检测项之间的交互关系；

s503：基于所述有效关系路径生成特征向量，并利用所述特征向量训练威胁检测模型，得到所述训练完成的威胁检测模型。

在具体实施中，基于正常检测数据中待检测项之间的交互关系提取有效关系路径，基于有效路径中所有节点和所有边的属性信息对有效路径进行特征表示，一条从起点至终点的有效路径对应一个特征向量，利用特征向量训练威胁检测模型。作为一种可行的实施方式，所述基于所述有效关系路径生成特征向量，包括：基于所述有效关系路径生成伪语句；利用语句向量化模型将所述伪语句转换为特征向量。在具体实施中，首先基于有效路径中所有节点和所有边的属性信息将其转换为伪语句，其次利用语句向量化(doc2vec)模型将伪语句转换为特征向量。

下面对本申请实施例提供的一种威胁检测装置进行介绍，下文描述的一种威胁检测装置与上文描述的一种威胁检测方法可以相互参照。

参见图6，根据一示例性实施例示出的一种威胁检测装置的结构图，如图6所示，包括：

获取模块601，用于获取目标主机的待检测数据；

提取模块602，用于基于所述待检测数据中待检测项之间的交互关系提取有效关系路径，其中，所述有效关系路径包括至少两个检测项及各检测项之间的交互关系；

检测模块603，用于对所述有效关系路径进行异常检测，得到所述目标主机的威胁检测结果。

本申请实施例提供的威胁检测装置，对目标主机的待检测数据进行分析，提取有效关系路径表示目标主机中一系列存在因果关系的操作行为。对有效关系路径进行异常检测，得到一系列存在因果关系的操作行为对应的检测结果，可以捕获未知的高级威胁。由此可见，本申请实施例提供的威胁检测装置，提高了对未知威胁的防御能力。

在上述实施例的基础上，作为一种优选实施方式，所述提取模块602包括：

构建单元，用于基于所述待检测数据构建物源图；其中，所述物源图中的节点表示所述待检测项，节点与节点之间的边表示所述待检测项之间的交互关系；

提取单元，用于在所述物源图中确定所有起点和所有终点，并从所述物源图中提取所述起点至所述终点的有效关系路径。

在上述实施例的基础上，作为一种优选实施方式，所述待检测数据包括主机日志，所述主机日志包括进程类日志、文件类日志、网络类日志、注册表日志和管道日志中任一项或任几项的组合。

在上述实施例的基础上，作为一种优选实施方式，所述主机日志包括进程，所述构建单元包括：

第一创建子单元，用于在物源图中为所述主机日志中的各进程分别创建对应的节点，并根据各进程之间的交互关系在所述物源图中创建所述节点之间的边。

在上述实施例的基础上，作为一种优选实施方式，若所述主机日志包括进程及附加项，所述附加项包括文件、ip地址、注册表、管道中的任一项，则所述构建单元包括：

第一判断子单元，用于判断所述物源图中是否存在所述主机日志中的进程对应的节点；若是，则启动第二创建子单元的工作流程；

第二创建子单元，用于在所述物源图中为所述主机日志中的所述附加项创建对应的节点，并根据所述进程与所述附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边。

在上述实施例的基础上，作为一种优选实施方式，所述待检测数据包括流量信息。

在上述实施例的基础上，作为一种优选实施方式，所述流量信息包括ip地址，所述构建单元包括：

第三创建子单元，用于在物源图中为所述流量信息中的ip地址分别创建对应的节点，并根据各ip地址之间的交互关系在所述物源图中创建所述节点之间的边。

在上述实施例的基础上，作为一种优选实施方式，若所述流量信息包括ip地址和附加项，所述附加项包括文件和/或域名，则所述构建单元包括：

第二判断子单元，用于判断所述物源图中是否存在所述流量信息中的ip地址对应的节点；若是，则启动第四创建子单元的工作流程；

第四创建子单元，用于在所述物源图中为所述流量信息中的所述附加项创建对应的节点，并根据所述ip地址与所述附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边。

在上述实施例的基础上，作为一种优选实施方式，若所述待检测数据包括主机日志和流量日志，所述构建单元包括：

第五创建子单元，用于在物源图中为第一目标主机日志中的各进程分别创建对应的节点，并根据所述第一目标主机日志中各进程之间的交互关系在所述物源图中创建所述节点之间的边；其中，所述第一目标主机日志为包含两个进程的主机日志；

第三判断子单元，用于判断所述物源图中是否存在第二目标主机日志中的进程对应的节点；若是，则启动第六创建子单元的工作流程；其中，所述第二目标主机日志为包含进程和附加项的主机日志；

第六创建子单元，用于在所述物源图中为所述第二目标主机日志中的所述附加项创建对应的节点，并根据所述第二目标主机日志中进程与附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边；

第七创建子单元，用于判断所述物源图中是否存在所述流量信息中的ip地址对应的节点，若是，则根据所述流量信息中各ip地址之间的交互关系在所述物源图中创建各ip地址对应的节点之间的边；

第四判断子单元，用于若所述流量信息中包括附加项，则判断所述物源图中是否存在所述流量信息包含的附加项对应的节点；若是，则启动第九创建子单元的工作流程；若否，则启动第八创建子单元的工作流程；

第八创建子单元，用于在所述物源图中为所述流量信息包含的附加项创建对应的节点，并启动第九创建子单元的工作流程；

第九创建子单元，用于根据所述流量信息中ip地址与附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边。

在上述实施例的基础上，作为一种优选实施方式，所述有效关系路径还包括节点的属性信息及边的属性信息。

在上述实施例的基础上，作为一种优选实施方式，所述检测模块603包括：

生成单元，用于基于所述有效关系路径生成特征向量；

输入单元，用于将所述特征向量输入威胁检测模型中，以得到所述目标主机的威胁检测结果。

在上述实施例的基础上，作为一种优选实施方式，所述生成单元具体为基于所述有效关系路径生成伪语句，利用语句向量化模型将所述伪语句转换为特征向量的单元。

在上述实施例的基础上，作为一种优选实施方式，所述输入单元包括：

输入子单元，用于将所述特征向量输入威胁检测模型中，以得到每条所述有效关系路径对应的异常值；其中，所述异常值描述所述有效关系路径的异常性；

确定子单元，用于确定所述异常值大于或等于预设值的有效关系路径对应的伪语句。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

基于上述程序模块的硬件实现，且为了实现本申请实施例的方法，本申请实施例还提供了一种电子设备，图7为根据一示例性实施例示出的一种电子设备的结构图，如图7所示，电子设备包括：

通信接口1，能够与其它设备比如网络设备等进行信息交互；

处理器2，与通信接口1连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的威胁检测或威胁检测模型生成方法。而所述计算机程序存储在存储器3上。

当然，实际应用时，电子设备中的各个组件通过总线系统4耦合在一起。可理解，总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图4中将各种总线都标为总线系统4。

本申请实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。

可以理解，存储器3可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，readonlymemory)、可编程只读存储器(prom，programmableread-onlymemory)、可擦除可编程只读存储器(eprom，erasableprogrammableread-onlymemory)、电可擦除可编程只读存储器(eeprom，electricallyerasableprogrammableread-onlymemory)、磁性随机存取存储器(fram，ferromagneticrandomaccessmemory)、快闪存储器(flashmemory)、磁表面存储器、光盘、或只读光盘(cd-rom，compactdiscread-onlymemory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，randomaccessmemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，staticrandomaccessmemory)、同步静态随机存取存储器(ssram，synchronousstaticrandomaccessmemory)、动态随机存取存储器(dram，dynamicrandomaccessmemory)、同步动态随机存取存储器(sdram，synchronousdynamicrandomaccessmemory)、双倍数据速率同步动态随机存取存储器(ddrsdram，doubledataratesynchronousdynamicrandomaccessmemory)、增强型同步动态随机存取存储器(esdram，enhancedsynchronousdynamicrandomaccessmemory)、同步连接动态随机存取存储器(sldram，synclinkdynamicrandomaccessmemory)、直接内存总线随机存取存储器(drram，directrambusrandomaccessmemory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。

上述本申请实施例揭示的方法可以应用于处理器2中，或者由处理器2实现。处理器2可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器3，处理器2读取存储器3中的程序，结合其硬件完成前述方法的步骤。

处理器2执行所述程序时实现本申请实施例的各个方法中的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本申请实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器3，上述计算机程序可由处理器2执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flashmemory、磁表面存储器、光盘、或cd-rom等存储器。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。