1.一种威胁检测方法,其特征在于,包括:
获取目标主机的待检测数据;
基于所述待检测数据中待检测项之间的交互关系提取有效关系路径,其中,所述有效关系路径包括至少两个检测项及各检测项之间的交互关系;
对所述有效关系路径进行异常检测,得到所述目标主机的威胁检测结果。
2.根据权利要求1所述威胁检测方法,其特征在于,所述基于所述待检测数据中待检测项之间的交互关系构建提取有效关系路径,包括:
基于所述待检测数据构建物源图;其中,所述物源图中的节点表示所述待检测项,节点与节点之间的边表示所述待检测项之间的交互关系;
在所述物源图中确定所有起点和所有终点,并从所述物源图中提取所述起点至所述终点的有效关系路径。
3.根据权利要求2所述威胁检测方法,其特征在于,所述待检测数据包括主机日志,所述主机日志包括进程类日志、文件类日志、网络类日志、注册表日志和管道日志中任一项或任几项的组合。
4.根据权利要求3所述威胁检测方法,其特征在于,所述主机日志包括进程,所述基于所述待检测数据构建物源图,包括:
在物源图中为所述主机日志中的各进程分别创建对应的节点,并根据各进程之间的交互关系在所述物源图中创建所述节点之间的边。
5.根据权利要求3所述威胁检测方法,其特征在于,若所述主机日志包括进程及附加项,所述附加项包括文件、ip地址、注册表、管道中的任一项,则基于所述待检测数据构建物源图,包括:
判断所述物源图中是否存在所述主机日志中的进程对应的节点;
若是,则在所述物源图中为所述主机日志中的所述附加项创建对应的节点,并根据所述进程与所述附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边。
6.根据权利要求2所述威胁检测方法,其特征在于,所述待检测数据包括流量信息。
7.根据权利要求6所述威胁检测方法,其特征在于,所述流量信息包括ip地址,所述基于所述待检测数据构建物源图,包括:
在物源图中为所述流量信息中的ip地址分别创建对应的节点,并根据各ip地址之间的交互关系在所述物源图中创建所述节点之间的边。
8.根据权利要求7所述威胁检测方法,其特征在于,若所述流量信息包括ip地址和附加项,所述附加项包括文件和/或域名,则所述基于所述待检测数据构建物源图,包括:
判断所述物源图中是否存在所述流量信息中的ip地址对应的节点;
若是,则在所述物源图中为所述流量信息中的所述附加项创建对应的节点,并根据所述ip地址与所述附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边。
9.根据权利要求2所述威胁检测方法,其特征在于,所述待检测数据包括主机日志和流量日志,所述基于所述待检测数据构建物源图,包括:
在物源图中为第一目标主机日志中的各进程分别创建对应的节点,并根据所述第一目标主机日志中各进程之间的交互关系在所述物源图中创建所述节点之间的边;其中,所述第一目标主机日志为包含两个进程的主机日志;
判断所述物源图中是否存在第二目标主机日志中的进程对应的节点;其中,所述第二目标主机日志为包含进程和附加项的主机日志;
若是,则在所述物源图中为所述第二目标主机日志中的所述附加项创建对应的节点,并根据所述第二目标主机日志中进程与附加项之间的交互关系在所述物源图中创建所述进程对应的节点和所述附加项对应的节点之间的边;
判断所述物源图中是否存在所述流量信息中的ip地址对应的节点,若是,则根据所述流量信息中各ip地址之间的交互关系在所述物源图中创建各ip地址对应的节点之间的边;
若所述流量信息中包括附加项,则判断所述物源图中是否存在所述流量信息包含的附加项对应的节点;
若是,则根据所述流量信息中ip地址与附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边;
若否,则在所述物源图中为所述流量信息包含的附加项创建对应的节点,并根据所述流量信息中ip地址与附加项之间的交互关系在所述物源图中创建所述ip地址对应的节点和所述附加项对应的节点之间的边。
10.根据权利要求2所述威胁检测方法,其特征在于,所述有效关系路径还包括节点的属性信息及边的属性信息。
11.根据权利要求1-10任一项所述威胁检测方法,其特征在于,对所述有效关系路径进行异常检测,得到所述目标主机的威胁检测结果,包括:
基于所述有效关系路径生成特征向量;
将所述特征向量输入威胁检测模型中,以得到所述目标主机的威胁检测结果。
12.根据权利要求11所述威胁检测方法,其特征在于,所述基于所述有效关系路径生成特征向量,包括:
基于所述有效关系路径生成伪语句;
利用语句向量化模型将所述伪语句转换为特征向量。
13.根据权利要求12所述威胁检测方法,其特征在于,将所述特征向量输入训练完成的威胁检测模型中,以得到所述目标主机的威胁检测结果,包括:
将所述特征向量输入威胁检测模型中,以得到每条所述有效关系路径对应的异常值;其中,所述异常值描述所述有效关系路径的异常性;
确定所述异常值大于或等于预设值的有效关系路径对应的伪语句。
14.一种威胁检测模型生成方法,其特征在于,包括:
获取正常主机的正常检测数据;
基于所述正常检测数据中待检测项之间的交互关系提取有效关系路径;其中,所述有效关系路径至少包括两个待检测项及各检测项之间的交互关系;
基于所述有效关系路径生成特征向量,并利用所述特征向量训练威胁检测模型,得到所述训练完成的威胁检测模型。
15.根据权利要求14所述威胁检测模型生成方法,其特征在于,所述基于所述有效关系路径生成特征向量,包括:
基于所述有效关系路径生成伪语句;
利用语句向量化模型将所述伪语句转换为特征向量。
16.一种威胁检测装置,其特征在于,包括:
获取模块,用于获取目标主机的待检测数据;
提取模块,用于基于所述待检测数据中待检测项之间的交互关系提取有效关系路径,其中,所述有效关系路径包括至少两个检测项及各检测项之间的交互关系;
检测模块,用于对所述有效关系路径进行异常检测,得到所述目标主机的威胁检测结果。
17.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至13任一项所述威胁检测方法或如权利要求14或15所述威胁检测模型生成方法的步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至13任一项所述威胁检测方法或如权利要求14或15所述威胁检测模型生成方法的步骤。