技术特征:
1.一种攻击检测方法,其特征在于,所述方法应用于服务器,所述方法包括:接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。2.根据权利要求1所述的方法,其特征在于,所述基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码,包括:分别获取每个事件日志中的预设字段;响应于在预设时间段内接收到连续的三个事件日志,且所述三个事件日志中的所述预设字段相同,由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码。3.根据权利要求2所述的方法,其特征在于,当所述攻击事件是windows管理规范wmi事件的情况下;所述三个事件日志,包括:注册wmi事件过滤器日志、注册wmi事件使用者日志、以及事件使用者绑定事件过滤器日志;所述由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码,包括:由所述注册wmi事件使用者日志中提取所述待检测的执行代码。4.根据权利要求3所述的方法,其特征在于,所述由所述注册wmi事件使用者日志中提取所述待检测的执行代码,包括:获取所述注册wmi事件使用者日志中的类型字段,和/或,事件使用者绑定事件过滤器日志中的操作字段;响应于所述类型字段为命令行,和/或,所述操作字段为创建,由所述注册wmi事件使用者日志中提取所述待检测的执行代码。5.根据权利要求1所述的方法,其特征在于,所述对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件,包括:使用预设关键词与所述执行代码进行匹配;所述预设关键词为预设的攻击事件对应的恶意代码的关键词;响应于匹配成功,确定所述执行代码中存在攻击事件。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:响应于匹配失败,将所述执行代码设置在动态沙箱中,并触发执行所述执行代码;获取执行所述执行代码时生成的日志;响应于获取到的所述日志中的文件与预先设定的恶意代码相对应的文件的特征匹配,确定所述执行代码中存在攻击事件。7.根据权利要求1所述的方法,其特征在于,所述事件日志由所述终端的windows系统监视器监视获取、并发送至所述服务器。8.一种攻击检测装置,其特征在于,所述装置应用于服务器,所述装置包括:事件日志接收模块,用于接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;执行代码提取模块,用于基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;执行代码检测模块,用于对所述执行代码进行检测,确定所述执行代码中是否存在攻
击事件。9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一所述的攻击检测方法。10.一种电子设备,其特征在于,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为用于执行权利要求1至7任一所述的攻击检测方法。
技术总结
本公开提供一种攻击检测方法及装置、存储介质及电子设备,其中,所述攻击检测方法包括:接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。本公开实施例提供的攻击检测方法,由服务器对攻击进行检测,可以避免在终端本地进行检测带来的系统卡顿的问题。并且,本公开实施例的方法,由服务器实时接收终端获取的日志,可以实时监控攻击事件的创建,及时发现攻击行为,避免对终端造成安全危害。安全危害。安全危害。
技术研发人员:刘超 陈勇 于樱鑫
受保护的技术使用者:浙江吉利控股集团有限公司
技术研发日:2022.09.02
技术公布日:2022/11/29