网络钓鱼行为检测方法及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络钓鱼行为检测方法及装置。


背景技术：

2.网络钓鱼主要指攻击者通过邮件、伪造的全球广域网(world wide web，web)站点、即时通讯软件(instant messenger，im)等途径诱导受害人访问恶意连接或者打开恶意文件，从而达到控制受害人终端或者盗取受害人隐私数据的目的。其中，通过邮件进行钓鱼攻击是主要的方式之一，但随着钓鱼邮件检测产品能力的提升，钓鱼邮件的成功率也越来越低，攻击者转而使用im的方式变的越来越普遍。因此，有效地对im钓鱼行为进行检测变得至关重要。
3.现有技术中，先将来源为im的文件进行标记，然后使用恶意代码特征库对标记的文件的内容进行静态扫描，如果命中恶意代码特征库，则判断为可疑的网络钓鱼行为；如果未命中恶意代码特征库，则对标记的文件执行或者打开时调用的系统接口进行监控，当标记的文件执行或者打开时调用的系统接口符合异常调用规则时，即判定为可疑的网络钓鱼行为。
4.但上述现有技术中，是通过标记的方式将来源为im的文件使用了常规的恶意文件检测思路进行检测，可以在一定程度上检出命中了恶意代码特征库或系统接口异常调用规则的钓鱼文件，但攻击者可以通过将im的文件进行代码混淆、改变系统接口调用顺序或者注入系统正常进程等手段绕过检测，导致无法匹配上恶意代码特征库或者异常调用规则等，从而降低了网络钓鱼行为检测的准确率。


技术实现要素：

5.针对现有技术中的问题，本发明实施例提供一种网络钓鱼行为检测方法及装置。
6.具体地，本发明实施例提供了以下技术方案：
7.第一方面，本发明实施例提供了一种网络钓鱼行为检测方法，包括：
8.在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据；
9.将所述当前图数据存储在图数据库中；
10.在确定所述当前日志数据为包括ip访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成；所述图查询语句规则为基于网络钓鱼行为确定的规则；
11.在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼行为数据。
12.进一步地，所述基于图查询语句规则将待检测图谱与图数据库中包括的至少一个图谱进行匹配，得到匹配结果，包括：
13.获取所述待检测图谱的第一个节点的第一节点信息和最后一个节点的第二节点信息；
14.确定所述图数据库中是否包含第一个节点的节点信息为所述第一节点信息，且最后一个节点的节点信息为所述第二节点信息的目标图谱；
15.在确定所述图数据库中包含所述目标图谱时，确定所述匹配结果为匹配成功；
16.在确定所述图数据库中不包含所述目标图谱时，确定所述匹配结果为匹配失败。
17.进一步地，所述确定所述匹配结果为匹配成功，包括：
18.获取所述待检测图谱中与第一个节点连接的待检测边的边信息，并获取所述目标图谱中与第一个节点连接的第一目标边的边信息；
19.在确定所述待检测边的边信息与所述第一目标边的边信息匹配时，确定所述匹配结果为匹配成功。
20.进一步地，所述确定所述匹配结果为匹配成功，包括：
21.获取所述目标图谱中与所述第一目标边连接的第二个节点；所述第一目标边指向所述第二个节点；
22.在确定所述第二个节点与所述目标图谱中的最后一个节点之间包括预设数量个第二目标边时，确定所述匹配结果为匹配成功。
23.进一步地，所述基于图查询语句规则将待检测图谱与图数据库中包括的至少一个图谱进行匹配，得到匹配结果，包括：
24.确定所述当前日志数据对应的当前应用场景类型；
25.获取与所述当前应用场景类型对应的目标图查询语句规则；所述目标图查询语句规则为基于所述当前应用场景类型的网络钓鱼行为确定的规则；
26.基于所述目标图查询语句规则将所述待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果。
27.进一步地，所述将所述当前日志数据转换为当前图数据，包括：
28.确定所述当前日志数据的日志行为类型；所述日志行为类型包括以下之一：进程操作类型、文件操作类型、ip访问类型、域名解析类型和注册表操作类型；所述进程操作类型包括以下之一：进程创建类型、进程注入类型和进程关闭类型；所述文件操作类型包括以下之一：文件传输类型、文件创建类型、文件写入类型、文件解压类型和文件删除类型；所述注册表操作类型包括以下之一：注册表创建类型、注册表修改类型和注册表删除类型；
29.基于所述日志行为类型将所述当前日志数据转换为所述当前图数据。
30.进一步地，所述基于所述日志行为类型将所述当前日志数据转换为所述当前图数据，包括：
31.在所述日志行为类型为进程创建类型时，将所述当前日志数据中目标进程的父进程的哈希值确定为进程创建行为边的第一节点的标识信息，将所述当前日志数据中目标进程的哈希值确定为所述进程创建行为边的第二节点的标识信息，将所述当前日志数据中所述目标进程的源文件的哈希值确定为进程文件源边的第一节点的标识信息，将所述当前日志数据中所述目标进程的哈希值确定为所述进程文件源边的第二节点的标识信息；所述进程创建行为边指向所述进程创建行为边的第二节点；
32.在所述日志行为类型为进程注入类型时，将所述当前日志数据中目标进程的源进
程的哈希值确定为进程注入行为边的第一节点的标识信息，将所述当前日志数据中目标进程的哈希值确定为所述进程注入行为边的第二节点的标识信息；所述进程注入行为边指向所述进程注入行为边的第二节点；
33.在所述日志行为类型为进程关闭类型时，将所述当前日志数据中目标进程的父进程的哈希值确定为进程关闭行为边的第一节点的标识信息，将所述目标进程的哈希值确定为所述进程关闭行为边的第二节点的标识信息；所述进程关闭行为边指向所述进程关闭行为边的第二节点；
34.在所述日志行为类型为文件传输类型时，将所述当前日志数据中目标进程的哈希值确定为文件传输行为边的第一节点的标识信息，将所述当前日志数据中传输的文件的哈希值确定为所述文件传输行为边的第二节点的标识信息；所述文件传输行为边指向所述文件传输行为边的第二节点；
35.在所述日志行为类型为文件写入类型时，将所述当前日志数据中目标进程的哈希值确定为文件写入行为边的第一节点的标识信息，将所述当前日志数据中执行写入的文件的哈希值确定为所述文件写入行为边的第二节点的标识信息；所述文件写入行为边指向所述文件写入行为边的第二节点；
36.在所述日志行为类型为文件解压类型时，将所述当前日志数据中压缩文件的哈希值确定为文件解压行为边的第一节点的标识信息，将所述压缩文件解压后得到的解压文件的哈希值确定为所述文件解压行为边的第二节点的标识信息；所述文件解压行为边指向所述文件解压行为边的第二节点；
37.在所述日志行为类型为文件创建类型时，将所述当前日志数据中目标进程的哈希值确定为文件创建行为边的第一节点的标识信息，将创建的文件的哈希值确定为所述文件创建行为边的第二节点的标识信息；所述文件创建行为边指向所述文件创建行为边的第二节点；
38.在所述日志行为类型为文件删除类型时，将所述当前日志数据中目标进程的哈希值确定为文件删除行为边的第一节点的标识信息，将删除的文件的哈希值确定为所述文件删除行为边的第二节点的标识信息；所述文件删除行为边指向所述文件删除行为边的第二节点；
39.在所述日志行为类型为ip访问类型时，将所述当前日志数据中目标进程的哈希值确定为ip访问行为边的第一节点的标识信息，将所述当前日志数据中访问设备的ip值确定为所述ip访问行为边的第二节点的标识信息；所述述ip访问行为边指向所述ip访问行为边的第二节点；
40.在所述日志行为类型为域名解析类型时，将所述当前日志数据中目标进程的哈希值确定为域名解析行为边的第一节点的标识信息，将所述当前日志数据中解析的域名确定为所述域名解析行为边的第二节点的标识信息；所述域名解析行为边指向所述域名解析行为边的第二节点；
41.在所述日志行为类型为注册表创建类型时，将所述当前日志数据中目标进程的哈希值确定为注册表创建行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表创建行为边的第二节点的标识信息；所述注册表创建行为边指向所述注册表创建行为边的第二节点；
42.在所述日志行为类型为注册表修改类型时，将所述当前日志数据中目标进程的哈希值确定为注册表修改行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表修改行为边的第二节点的标识信息；所述注册表修改行为边指向所述注册表修改行为边的第二节点；
43.在所述日志行为类型为注册表删除类型时，将所述当前日志数据中目标进程的哈希值确定为注册表删除行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表删除行为边的第二节点的标识信息；所述注册表删除行为边指向所述注册表删除行为边的第二节点。
44.进一步地，所述方法还包括：
45.将所述当前日志数据中的第一信息确定为行为边的第一节点的属性信息，将所述当前日志数据中的第二信息确定为行为边的第二节点的属性信息，将所述当前日志数据中的第三信息确定为行为边的属性信息；
46.在所述日志行为类型为进程创建类型时，所述行为边包括所述进程创建行为边；所述第一信息包括以下至少一项：所述父进程的进程名称、所述父进程的文件路径和执行进程创建的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和电子设备的ip值；所述第三信息包括进程创建时间；
47.在所述日志行为类型为进程注入类型时，所述行为边包括所述进程注入行为边；所述第一信息包括以下至少一项：所述源进程的进程名称、所述源进程的文件路径和执行进程注入的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行进程注入的设备的ip值；所述第三信息包括进程注入时间；
48.在所述日志行为类型为进程关闭类型时，所述行为边包括进程关闭行为边；所述第一信息包括以下至少一项：所述父进程的进程名称、所述父进程的文件路径和执行进程关闭的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行进程关闭的设备的ip值；所述第三信息包括进程删除时间；
49.在所述日志行为类型为文件传输类型时，所述行为边包括文件传输行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件传输的设备的ip值；所述第二信息包括以下至少一项：传输的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件传输的设备的ip值；所述第三信息包括文件传输时间；
50.在所述日志行为类型为文件写入类型时，所述行为边包括文件写入行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件写入的设备的ip值；所述第二信息包括以下至少一项：执行写入的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件写入的设备的ip值；所述第三信息包括在文件中执行写入的时间；
51.在所述日志行为类型为文件解压类型时，所述行为边包括文件解压行为边；所述第一信息包括以下至少一项：压缩文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件解压的设备的ip值；所述第二信息包括以下至少一项：解压文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件解压的设备的ip值；所述第三信息包括文件解压时间；
52.在所述日志行为类型为文件创建类型时，所述行为边包括文件创建行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件创建的设备的ip值；所述第三信息包括文件创建时间；
53.在所述日志行为类型为文件删除类型时，所述行为边包括文件删除行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：删除的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件删除的设备的ip值；所述第三信息包括文件删除时间；
54.在所述日志行为类型为ip访问类型时，所述行为边包括ip访问行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括ip内网流行度；所述第三信息包括ip访问时间；
55.在所述日志行为类型为域名解析类型时，所述行为边包括域名解析行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括解析的域名；所述第三信息包括域名解析时间；
56.在所述日志行为类型为注册表创建类型时，所述行为边包括注册表创建行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表创建时间；
57.在所述日志行为类型为注册表修改类型时，所述行为边包括注册表修改行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表修改时间；
58.在所述日志行为类型为注册表删除类型时，所述行为边包括注册表删除行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表删除时间。
59.进一步地，在所述确定所述待检测图谱对应的日志数据为网络钓鱼行为数据之后，所述方法还包括：
60.基于所述待检测图谱对应的日志数据生成告警信息。
61.第二方面，本发明实施例还提供了一种网络钓鱼行为检测装置，包括：
62.转换单元，用于在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据；
63.存储单元，用于将所述当前图数据存储在图数据库中；
64.匹配单元，用于在确定所述当前日志数据为包括ip访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成；所述图查询语句规则为基于网络钓鱼行为
确定的规则；
65.确定单元，用于在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼行为数据。
66.第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述网络钓鱼行为检测方法的步骤。
67.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述网络钓鱼行为检测方法的步骤。
68.第五方面，本发明实施例还提供了一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现第一方面所述网络钓鱼行为检测方法的步骤。
69.本发明实施例提供的网络钓鱼行为检测方法及装置，将接收到的当前日志数据转换为当前图数据，并在确定当前日志数据为包括ip访问行为的日志数据时，基于网络钓鱼行为确定的图查询语句规则将待检测图谱与图数据库中的至少一个图谱进行匹配，在匹配成功时，确定待检测图谱对应的日志数据为网络钓鱼行为数据。可知，本发明将每个日志数据转换为对应的图数据，并基于网络钓鱼行为规定的图查询语句规则实现了网络钓鱼行为的检测，这样攻击者即使通过非法手段绕过检测，但最终访问的恶意设备的ip可以基于图查询语句规则进行检测，实现了基于外联ip行为实时触发图查询语句规则对网络钓鱼行为的检测，提高了网络钓鱼行为检测的准确性。
附图说明
70.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
71.图1是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之一；
72.图2是本发明实施例提供的网络钓鱼行为检测系统的结构示意图；
73.图3是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之二；
74.图4是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之三；
75.图5是本发明实施例提供的图谱的结构示意图之一；
76.图6是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之四；
77.图7是本发明实施例提供的图谱的结构示意图之二；
78.图8是本发明实施例提供的图谱的结构示意图之三；
79.图9是本发明实施例提供的图数据的结构示意图；
80.图10是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之五；
81.图11是本发明实施例提供的网络钓鱼行为检测装置的结构示意图；
82.图12是本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
83.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
84.图1是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之一，如图1所示，该网络钓鱼行为检测方法包括以下步骤：
85.步骤101、在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据。
86.其中，日志数据的格式可以为json格式等，转换得到的图数据为有向图数据，优选地，日志数据为针对即时通讯软件的数据，即时通讯软件是指通过即时通讯技术来实现在线聊天、交流的通讯软件；图指的是由若干给定的点及连接两点的边所构成的图形，这种图形可以很好的描述某些事物之间的某种特定关系，用点代表事物，用连接两点的边表示两个事物间具有某种关系。
87.示例地，电子设备上安装有安全防护产品，通过安全防护产品可以收集电子设备上生成的每个日志数据，在接收到当前日志数据时，将当前日志数据基于图模型构建逻辑转换为包括节点数据和边数据的当前图数据；也就是说，每接收到一个日志数据时，都需要将日志数据转换为对应的图数据。
88.步骤102、将所述当前图数据存储在图数据库中。
89.其中，图数据库可以为nebula graph、neo4j、hugegraph、janusgraph、tigergraph等任意类型的图数据库。
90.示例地，在得到当前图数据时，将当前图数据存储在图数据库中，使得图数据库将当前图数据与上一图数据进行关联，有效利用了图数据库的多行为关联能力，关联的多个图数据形成图谱，所以图数据库中会存储多个图谱。
91.步骤103、在确定所述当前日志数据为包括网际互连协议(internet protocol，ip)访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成。
92.其中，所述图查询语句规则为基于网络钓鱼行为确定的规则，是安全运营专家基于已有的网络钓鱼样本的行为和对未知样本行为的模式总结，结合图数据库提供的路径模式匹配功能给定的。
93.示例地，在接收到当前日志数据时，还需要提取当前日志数据的行为字段值，在行为字段值为ip访问行为的字段值时，则确定当前日志数据为包括ip访问行为的日志数据，此时将包括ip访问行为的上一日志数据与当前日志数据之间的每个日志数据对应的图数据和当前图数据组成待检测图谱；例如，基于时间顺序依次接收到7个日志数据，分别为日志数据1、日志数据2、日志数据3、日志数据4、日志数据5、日志数据6和日志数据7，其中，日志数据4和日志数据7均为包括ip访问行为的日志，在当前日志数据为日志数据7时，则将日志数据5对应的图数据、日志数据6对应的图数据和日志数据7对应的图数据组成待检测图谱，在得到待检测图谱时，通过图查询语句规则将待检测图谱与图数据库中存储的所有图
谱进行匹配，以确定待检测图谱对应的日志数据是否为网络钓鱼行为数据。
94.步骤104、在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼行为数据。
95.示例地，在匹配结果为匹配成功时，则说明待检测图谱对应的日志数据为网络钓鱼行为数据；在匹配结果为匹配失败时，则说明待检测图谱对应的日志数据不是网络钓鱼行为数据。
96.图2是本发明实施例提供的网络钓鱼行为检测系统的结构示意图，如图2所示，该网络钓鱼行为检测系统包括日志收集模块201、图数据转换模块202、图数据库203、实时规则检测模块204和告警模块205；其中，日志收集模块201用于接收当前日志数据，并将接收的当前日志数据发送至图数据转换模块202，由图数据转换模块202将当前日志数据转换为当前图数据，并将当前图数据存储至图数据库203中；在确定当前日志数据为包括ip访问行为的日志数据时，将包括当前日志数据的待检测图谱发送至实时规则检测模块204中，由实时规则检测模块204基于预先规定的图查询语句规则将待检测图谱和图数据库中的所有图谱进行匹配，在匹配成功时，基于待检测图谱对应的日志数据生成告警事件，并将告警事件发送至告警模块205，由告警模块205进行告警通知。
97.本发明实施例提供的网络钓鱼行为检测方法，将接收到的当前日志数据转换为当前图数据，并在确定当前日志数据为包括ip访问行为的日志数据时，基于网络钓鱼行为确定的图查询语句规则将待检测图谱与图数据库中的至少一个图谱进行匹配，在匹配成功时，确定待检测图谱对应的日志数据为网络钓鱼行为数据。可知，本发明将每个日志数据转换为对应的图数据，并基于网络钓鱼行为规定的图查询语句规则实现了网络钓鱼行为的检测，这样攻击者即使通过非法手段绕过检测，但最终访问的恶意设备的ip可以基于图查询语句规则进行检测，实现了基于外联ip行为实时触发图查询语句规则对网络钓鱼行为的检测，提高了网络钓鱼行为检测的准确性。
98.可选地，图3是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之二，如图3所示，在确定所述当前日志数据为包括ip访问行为的日志数据时，上述步骤103具体可通过以下步骤实现：
99.步骤1031、在确定所述当前日志数据为包括ip访问行为的日志数据时，获取所述待检测图谱的第一个节点的第一节点信息和最后一个节点的第二节点信息。
100.示例地，在确定当前日志数据为包括ip访问行为的日志数据时，从待检测图谱中获取第一个节点的第一节点信息和最后一个节点的第二节点信息，第一节点信息包括第一个节点的标识信息，或者第一个节点的标识信息和第一个节点的属性信息，第二节点信息包括最后一个节点的标识信息，或者最后一个节点的标识信息和最后一个节点的属性信息。
101.步骤1032、确定所述图数据库中是否包含第一个节点的节点信息为所述第一节点信息，且最后一个节点的节点信息为所述第二节点信息的目标图谱。
102.在本实施例中，图查询语句规则为图谱中的第一个节点的节点信息为第一节点信息、经过至少一个行为边之后，最后一个节点的节点信息为第二节点信息。
103.示例地，在获取到待检测图谱的第一个节点的第一节点信息和最后一个节点的第二节点信息时，遍历图数据库中的每个图谱，以确定图数据库中是否包含第一个节点的节
点信息为第一节点信息，且最后一个节点的节点信息为第二节点信息的目标图谱，从而实现基于图查询语句规则对图数据库进行遍历。
104.步骤1033、在确定所述图数据库中包含所述目标图谱时，确定所述匹配结果为匹配成功。
105.示例地，在确定图数据库中包含第一个节点的节点信息为第一节点信息，且最后一个节点的节点信息为第二节点信息的目标图谱时，则说明匹配成功。
106.步骤1034、在确定所述图数据库中不包含所述目标图谱时，确定所述匹配结果为匹配失败。
107.示例地，在确定图数据库中不包含第一个节点的节点信息为第一节点信息，且最后一个节点的节点信息为第二节点信息的目标图谱时，则说明匹配失败，此时结束网络钓鱼行为检测。
108.本发明实施例提供的网络钓鱼行为检测方法，在匹配上第一个节点的节点信息为第一节点信息，最后一个节点的节点信息为第二节点信息的目标图谱时，则确定待检测图谱对应的日志数据为网络钓鱼行为数据，实现了基于已存储的日志行为的图数据和外连ip触发检测的模式，可以实现时间跨度大的网络钓鱼行为的检测。
109.可选地，图4是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之三，如图4所示，在确定所述图数据库中不包含所述目标图谱时，上述步骤1033具体包括以下步骤：
110.步骤10331、在确定所述图数据库中不包含所述目标图谱时，获取所述待检测图谱中与第一个节点连接的待检测边的边信息，并获取所述目标图谱中与第一个节点连接的第一目标边的边信息。
111.示例地，在确定图数据库中包含第一个节点的节点信息为第一节点信息，且最后一个节点的节点信息为第二节点信息的目标图谱时，进一步获取待检测图谱中与第一个节点连接的待检测边的边信息，以及目标图谱中与第一个节点连接的第一目标边的边信息。
112.步骤10332、在确定所述待检测边的边信息与所述第一目标边的边信息匹配时，确定所述匹配结果为匹配成功。
113.示例地，将待检测边的边信息和第一目标边的边信息进行比较，在确定待检测边的边信息和第一目标边的边信息相同时，确定待检测边的边信息与第一目标边的边信息匹配，则匹配结果为匹配成功；在确定待检测边的边信息和第一目标边的边信息不相同时，确定待检测边的边信息与第一目标边的边信息不匹配，则匹配结果为匹配失败。例如，图5是本发明实施例提供的图谱的结构示意图之一，如图5所示，图谱包括五个节点和五个边，其中，第一个节点(节点1)为操作系统的桌面进程节点，第二个节点(节点2)为在操作系统的桌面进程中启动的即时通讯软件的进程节点，第二个节点和第一个节点之间的边为进程创建行为边，进程创建行为边指向第二个节点，第三个节点为在即时通讯软件进程中接收的钓鱼文件的文件节点，第三个节点(节点3)与第二个节点之间的边为文件传输行为边，文件传输行为边指向第三个节点，第四个节点(节点4)为受害者被诱导点击钓鱼文件后启动的恶意进程的进程节点，第四个节点与第三个节点之间的边为进程文件源边，进程文件源边指向第四个节点，第四个节点与第一个节点之间的边为进程创建行为边，该进程创建行为边指向第四个节点，第五个节点(节点5)为外连的攻击者的设备的ip节点，第五个节点与第
四个节点之间的边为ip访问行为边；本发明在匹配过程中不涉及操作系统的桌面进程节点，所以图5中针对日志数据的图谱的起始节点为第二个节点，针对这个场景的图查询语句规则可以使用以下图语句进行网络钓鱼行为的匹配：
114.match p＝(v1:process)-[e:imfiletransfer]-[e*n]-》(v2:internetip)
[0115]
where id(v2)＝＝
‘
123.156.21.10’[0116]
return p
[0117]
此图查询语句规则表达的匹配路径为：起始节点为进程(process)节点，第一个行为边是即时通讯软件的文件传输行为边(imfiletransfer)，然后再经过多步任意日志行为类型的行为边(e*n)关联，最终到了标识信息为
‘
123.156.21.10’的ip节点(internetip)，以图5所示的图谱为例，起始节点为即时通讯软件的进程节点，第一个行为边是文件传输行为边，经过进程文件源边和ip访问行为边后到了最后一个节点为ip节点，与该图查询语句规则匹配，所以确定匹配结果为匹配成功。
[0118]
本发明实施例提供的网络钓鱼行为检测方法，在匹配上第一个节点的节点信息为第一节点信息，最后一个节点的节点信息为第二节点信息的目标图谱时，进一步需要将待检测图谱中与第一个节点连接的待检测边的边信息与目标图谱中与第一个节点连接的第一目标边的边信息进行匹配，匹配成功时则确定待检测图谱对应的日志数据为网络钓鱼行为数据，进一步提高了网络钓鱼行为检测的准确性。
[0119]
可选地，图6是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之四，如图6所示，在确定所述待检测边的边信息与所述第一目标边的边信息匹配时，上述步骤10332具体可通过以下方式实现：
[0120]
步骤103321、获取所述目标图谱中与所述第一目标边连接的第二个节点；所述第一目标边指向所述第二个节点。
[0121]
示例地，在确定待检测边的边信息与第一目标边的边信息匹配时，进一步获取目标图谱中与第一目标边连接的第二个节点。
[0122]
步骤103322、在确定所述第二个节点与所述目标图谱中的最后一个节点之间包括预设数量个第二目标边时，确定所述匹配结果为匹配成功。
[0123]
示例地，获取目标图谱中与第一目标边连接的第二个节点，与目标图谱中的最后一个节点之间的第二目标边的数量，在第二目标边的数量为预设数量个时，确定匹配结果为匹配成功；在第二目标边的数量不为预设数量个时，确定匹配结果为匹配失败。例如，图7是本发明实施例提供的图谱的结构示意图之二，如图7所示，第一个节点(节点1)为操作系统的桌面进程节点，第二个节点(节点2)为在操作系统的桌面进程中启动的即时通讯软件的进程节点，第二个节点和第一个节点之间的边为进程创建行为边，进程创建行为边指向第二个节点，第三个节点(节点3)为在即时通讯软件进程中接收的钓鱼文件的文件节点，第三个节点与第二个节点之间的边为即时通讯软件的文件传输行为边，文件传输行为边指向第三个节点，之后经过未知行为路径后外连攻击者的设备的ip节点，ip节点与未知行为路径之间的边为ip访问行为边；本发明在匹配过程中不涉及操作系统的桌面进程节点，所以图7中针对日志数据的图谱的起始节点为第二个节点，针对这个场景的图查询语句规则可以使用以下图语句进行网络钓鱼行为的匹配：
[0124]
match p＝(v1:process)-[e:imfilesfer]-[e:2..5]-》(v2:internetip)
[0125]
where id(v2)＝＝’123.156.21.10’[0126]
return p
[0127]
此图查询语句规则表达的匹配路径为：起始节点为进程(process)节点，第一个行为边是即时通讯软件的文件传输行为边(imfiletransfer)，然后再经过两步至五步任意日志行为类型的行为边(e:2..5)关联，最终到了标识信息为
‘
123.156.21.10’的ip节点(internetip)，以图7所示的图谱为例，起始节点为即时通讯软件的进程节点，第一个行为边是即时通讯软件的文件传输行为边，经过三个未知行为边或者四个未知行为边后到了最后一个节点为ip节点，与该图查询语句规则匹配，所以确定匹配结果为匹配成功。
[0128]
本发明实施例提供的网络钓鱼行为检测方法，在待检测图谱中与第一个节点连接的待检测边的边信息与目标图谱中与第一个节点连接的第一目标边的边信息匹配时，进一步在确定目标图谱中与第一目标边连接的第二个节点与目标图谱中的最后一个节点之间包括预设数量个第二目标边时，确定待检测图谱对应的日志数据为网络钓鱼行为数据，实现了对于未知网络钓鱼样本的行为模式可以结合图语句查询的变长路径匹配能力进行规则覆盖，该变长路径匹配能力体现在经过预设数量个未知行为边，并不是对未知行为边的数量没有限制，更进一步提高了网络钓鱼行为检测的准确性。
[0129]
可选地，上述步骤103还具体可通过以下方式实现：
[0130]
确定所述当前日志数据对应的当前应用场景类型；
[0131]
获取与所述当前应用场景类型对应的目标图查询语句规则；所述目标图查询语句规则为基于所述当前应用场景类型的网络钓鱼行为确定的规则；
[0132]
基于所述目标图查询语句规则将所述待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果。
[0133]
示例地，在接收到当前日志数据时，对当前日志数据进行分析，确定当前日志数据对应的当前应用场景类型，然后基于预先存储的场景类型与图查询语句规则的对应关系，确定当前应用场景类型对应的目标图查询语句规则，进而基于目标图查询语句规则将待检测图谱与图数据库中包括的所有图谱进行匹配，得到匹配结果。例如，图8是本发明实施例提供的图谱的结构示意图之三，如图8所示，图谱的应用场景为在即时通讯软件进程中接收钓鱼压缩文件，并在钓鱼压缩文件解压后，受害者被诱导点击解压文件后启动了恶意进程的进程节点，最后外联了攻击者的设备；该图谱包括六个节点和六个边，其中，第一个节点(节点1)为操作系统的桌面进程节点，第二个节点(节点2)为在操作系统的桌面进程中启动的即时通讯软件的进程节点，第二个节点和第一个节点之间的边为进程创建行为边，进程创建行为边指向第二个节点，第三个节点(节点3)为在即时通讯软件进程中接收的钓鱼压缩文件的文件节点，第三个节点与第二个节点之间的边为即时通讯软件的文件传输行为边，文件传输行为边指向第三个节点，第四个节点(节点4)为钓鱼压缩文件解压后的解压文件的文件节点，第四个节点与第三个节点之间的边为文件解压行为边，第五个节点(节点5)为受害者被诱导点击解压文件后启动的恶意进程的进程节点，第五个节点与第四个节点之间的边为进程文件源边，进程文件源边指向第五个节点，第五个节点与第一个节点之间的边为进程创建行为边，该进程创建行为边指向第五个节点，第六个节点(节点6)为外连的攻击者的设备的ip节点，第六个节点与第五个节点之间的边为ip访问行为边；本发明在匹配过程中不涉及操作系统的桌面进程节点，所以图8中针对日志数据的图谱的起始节点为第
二个节点，针对这个场景的图查询语句规则可以使用以下图语句进行网络钓鱼行为的匹配：
[0134]
match p＝(v1:process)-[e:imfiletransfer]-[e:fileunzip]-[0135]
[e*2]-》(v2:internetip)
[0136]
where id(v2)＝＝’123.156.21.10’[0137]
return p
[0138]
此图查询语句规则表达的匹配路径为：起始节点为进程(process)节点，第一个行为边是即时通讯软件的文件传输行为边(imfiletransfer)，第二个行为边是文件解压行为边(fileunzip)，然后再经过两步任意日志行为类型的行为边(e*2)关联，最终到了标识信息为
‘
123.156.21.10’的ip节点(internetip)，以图8所示的图谱为例，起始节点为即时通讯软件的进程节点，第一个行为边是即时通讯软件的文件传输行为边，第二个行为边是文件解压行为边，经过进程文件源边和ip访问行为边后到了最后一个节点为ip节点，与该图查询语句规则匹配，所以确定匹配结果为匹配成功。
[0139]
本发明实施例提供的网络钓鱼行为检测方法，基于当前日志数据对应的当前应用场景类型来获取对应的目标图查询语句规则，进而基于目标图查询语句规则将待检测图谱和图数据库中包括的所有图谱进行匹配，同一应用场景的网络钓鱼行为检测使用同一目标图查询语句规则，使得目标图查询语句规则更准确，从而提高了网络钓鱼行为检测的准确性。
[0140]
可选地，上述步骤101具体可通过以下方式实现：
[0141]
确定所述当前日志数据的日志行为类型；所述日志行为类型包括以下之一：进程操作类型、文件操作类型、ip访问类型、域名解析类型和注册表操作类型；所述进程操作类型包括以下之一：进程创建类型、进程注入类型和进程关闭类型；所述文件操作类型包括以下之一：文件传输类型、文件创建类型、文件写入类型、文件解压类型和文件删除类型；所述注册表操作类型包括以下之一：注册表创建类型、注册表修改类型和注册表删除类型；
[0142]
基于所述日志行为类型将所述当前日志数据转换为所述当前图数据。
[0143]
本发明实施例提供的网络钓鱼行为检测方法，基于日志行为类型将当前日志数据转换为当前图数据，为后续网络钓鱼行为的溯源分析提供了高效的数据支撑。
[0144]
进一步地，上述基于所述日志行为类型将所述当前日志数据转换为所述当前图数据可通过以下方式实现：
[0145]
在所述日志行为类型为进程创建类型时，将所述当前日志数据中目标进程的父进程的哈希值确定为进程创建行为边的第一节点的标识信息，将所述当前日志数据中目标进程的哈希值确定为所述进程创建行为边的第二节点的标识信息，将所述当前日志数据中所述目标进程的源文件的哈希值确定为进程文件源边的第一节点的标识信息，将所述当前日志数据中所述目标进程的哈希值确定为所述进程文件源边的第二节点的标识信息；所述进程创建行为边指向所述进程创建行为边的第二节点；
[0146]
在所述日志行为类型为进程注入类型时，将所述当前日志数据中目标进程的源进程的哈希值确定为进程注入行为边的第一节点的标识信息，将所述当前日志数据中目标进程的哈希值确定为所述进程注入行为边的第二节点的标识信息；所述进程注入行为边指向所述进程注入行为边的第二节点；
[0147]
在所述日志行为类型为进程关闭类型时，将所述当前日志数据中目标进程的父进程的哈希值确定为进程关闭行为边的第一节点的标识信息，将所述目标进程的哈希值确定为所述进程关闭行为边的第二节点的标识信息；所述进程关闭行为边指向所述进程关闭行为边的第二节点；
[0148]
在所述日志行为类型为文件传输类型时，将所述当前日志数据中目标进程的哈希值确定为文件传输行为边的第一节点的标识信息，将所述当前日志数据中传输的文件的哈希值确定为所述文件传输行为边的第二节点的标识信息；所述文件传输行为边指向所述文件传输行为边的第二节点；
[0149]
在所述日志行为类型为文件写入类型时，将所述当前日志数据中目标进程的哈希值确定为文件写入行为边的第一节点的标识信息，将所述当前日志数据中执行写入的文件的哈希值确定为所述文件写入行为边的第二节点的标识信息；所述文件写入行为边指向所述文件写入行为边的第二节点；
[0150]
在所述日志行为类型为文件解压类型时，将所述当前日志数据中压缩文件的哈希值确定为文件解压行为边的第一节点的标识信息，将所述压缩文件解压后得到的解压文件的哈希值确定为所述文件解压行为边的第二节点的标识信息；所述文件解压行为边指向所述文件解压行为边的第二节点；
[0151]
在所述日志行为类型为文件创建类型时，将所述当前日志数据中目标进程的哈希值确定为文件创建行为边的第一节点的标识信息，将创建的文件的哈希值确定为所述文件创建行为边的第二节点的标识信息；所述文件创建行为边指向所述文件创建行为边的第二节点；
[0152]
在所述日志行为类型为文件删除类型时，将所述当前日志数据中目标进程的哈希值确定为文件删除行为边的第一节点的标识信息，将删除的文件的哈希值确定为所述文件删除行为边的第二节点的标识信息；所述文件删除行为边指向所述文件删除行为边的第二节点；
[0153]
在所述日志行为类型为ip访问类型时，将所述当前日志数据中目标进程的哈希值确定为ip访问行为边的第一节点的标识信息，将所述当前日志数据中访问设备的ip值确定为所述ip访问行为边的第二节点的标识信息；所述述ip访问行为边指向所述ip访问行为边的第二节点；
[0154]
在所述日志行为类型为域名解析类型时，将所述当前日志数据中目标进程的哈希值确定为域名解析行为边的第一节点的标识信息，将所述当前日志数据中解析的域名确定为所述域名解析行为边的第二节点的标识信息；所述域名解析行为边指向所述域名解析行为边的第二节点；
[0155]
在所述日志行为类型为注册表创建类型时，将所述当前日志数据中目标进程的哈希值确定为注册表创建行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表创建行为边的第二节点的标识信息；所述注册表创建行为边指向所述注册表创建行为边的第二节点；
[0156]
在所述日志行为类型为注册表修改类型时，将所述当前日志数据中目标进程的哈希值确定为注册表修改行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表修改行为边的第二节点的标识信息；所述注册表修改行为边指
向所述注册表修改行为边的第二节点；
[0157]
在所述日志行为类型为注册表删除类型时，将所述当前日志数据中目标进程的哈希值确定为注册表删除行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表删除行为边的第二节点的标识信息；所述注册表删除行为边指向所述注册表删除行为边的第二节点。
[0158]
优选地，文件传输行为边为即时通讯软件的文件传输行为边，文件写入行为边为即时通讯软件的文件写入行为边，文件解压行为边为即时通讯软件的文件解压行为边，文件创建行为边为即时通讯软件的文件创建行为边，文件删除行为边为即时通讯软件的文件删除行为边。
[0159]
示例地，以当前日志数据的日志行为类型为进程创建类型为例，接收到当前日志数据如下：
[0160]
{
[0161]“eventclassid”:”edr:process_creation”,
[0162]“processmd5”:”bbe80313cf12098d3fc4d8a42e9dbb33”,
[0163]“processname”:”test.exe”,
[0164]“processpath”:”d:\\test\\test.exe”,
[0165]“filemd5”:”55cd438153cd16c3c4886518d9b2c7ff”,
[0166]“sourceprocessmd5”:”d41fde47374c24c13a4f232fdf6b5778”,
[0167]“sourceprocessname”:”explorer.exe”,
[0168]“sourceprocesspath”:”c:\\windows\\explorer.exe”,
[0169]“behaviortime”:”2022-08-07 00:00:00.000”，
[0170]“devicaddress”:”192.168.2.19”,
[0171]
………
[0172]
}
[0173]
根据图信息转换逻辑将当前日志数据转换成进程节点、进程创建行为边和进程文件源边，其转换后的图数据的格式如下：
[0174]
第一节点的节点信息：
[0175]
(“bbe80313cf12098d3fc4d8a42e9dbb33”,{“processname”:”test.exe”,“processpath”:”d:\\test\\test.exe”,“devicaddress”:”192.168.2.19”})
[0176]
其中，“bbe80313cf12098d3fc4d8a42e9dbb33”表示目标进程的哈希值，为第一节点的标识信息；
[0177]“processname”:”test.exe”,“processpath”:”d:\\test\\test.exe”,“devicaddress”:”192.168.2.19”表示第一节点的属性信息，“processname”:”test.exe”表示目标进程的名称为”test.exe”；“processpath”:”d:\\test\\test.exe”表示目标进程的文件路径为”d:\\test\\test.exe”；“devicaddress”:”192.168.2.19”表示运行目标进程的设备的ip地址。
[0178]
进程创建行为边的边信息：
[0179]
(“d41fde47374c24c13a4f232fdf6b5778”,”bbe80313cf12098d3fc4d8a42e9dbb33”,{“behaviortime”:”2022-08-07 00:00:00.000”})
[0180]
其中，“d41fde47374c24c13a4f232fdf6b5778”表示目标进程的父进程的哈希值，为进程创建行为边的第一节点的标识信息；”bbe80313cf12098d3fc4d8a42e9dbb33”表示目标进程的哈希值，为进程创建行为边的第二节点的标识信息；“behaviortime”:”2022-08-07 00:00:00.000”表示进程创建行为边的属性信息是进程创建时间2022-08-07 00:00:00.000，其中，2022-08-07 00:00:00.000表示2002年8月7日00时00分00秒000毫秒。
[0181]
进程文件源边的边信息：
[0182]
(“55cd438153cd16c3c4886518d9b2c7ff”,”bbe80313cf12098d3fc4d8a42e9dbb33”,{“behaviortime”:”2022-08-07 00:00:00.000”}
[0183]
其中，“55cd438153cd16c3c4886518d9b2c7ff”表示目标进程的源文件的哈希值，为进程文件源边的第一节点的标识信息；”bbe80313cf12098d3fc4d8a42e9dbb33”表示目标进程的哈希值，为进程文件源边的第二节点的标识信息；“behaviortime”:”2022-08-07 00:00:00.000”表示进程创建行为边的属性信息是进程创建时间2022-08-07 00:00:00.000。
[0184]
本发明实施例提供的网络钓鱼行为检测方法，将每种日志行为类型的日志数据均转换为对应的节点和行为边，并由对应的节点和行为边组成图数据，为后续网络钓鱼行为的溯源分析提供了高效的数据支撑。
[0185]
进一步地，该网络钓鱼行为检测方法还包括以下步骤：
[0186]
将所述当前日志数据中的第一信息确定为行为边的第一节点的属性信息，将所述当前日志数据中的第二信息确定为行为边的第二节点的属性信息，将所述当前日志数据中的第三信息确定为行为边的属性信息；
[0187]
在所述日志行为类型为进程创建类型时，所述行为边包括所述进程创建行为边；所述第一信息包括以下至少一项：所述父进程的进程名称、所述父进程的文件路径和执行进程创建的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和电子设备的ip值；所述第三信息包括进程创建时间；
[0188]
在所述日志行为类型为进程注入类型时，所述行为边包括所述进程注入行为边；所述第一信息包括以下至少一项：所述源进程的进程名称、所述源进程的文件路径和执行进程注入的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行进程注入的设备的ip值；所述第三信息包括进程注入时间；
[0189]
在所述日志行为类型为进程关闭类型时，所述行为边包括进程关闭行为边；所述第一信息包括以下至少一项：所述父进程的进程名称、所述父进程的文件路径和执行进程关闭的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行进程关闭的设备的ip值；所述第三信息包括进程删除时间；
[0190]
在所述日志行为类型为文件传输类型时，所述行为边包括文件传输行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件传输的设备的ip值；所述第二信息包括以下至少一项：传输的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件传输的设备的ip值；所述第三信息包括文件传输时间；
[0191]
在所述日志行为类型为文件写入类型时，所述行为边包括文件写入行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行
文件写入的设备的ip值；所述第二信息包括以下至少一项：执行写入的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件写入的设备的ip值；所述第三信息包括在文件中执行写入的时间；
[0192]
在所述日志行为类型为文件解压类型时，所述行为边包括文件解压行为边；所述第一信息包括以下至少一项：压缩文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件解压的设备的ip值；所述第二信息包括以下至少一项：解压文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件解压的设备的ip值；所述第三信息包括文件解压时间；
[0193]
在所述日志行为类型为文件创建类型时，所述行为边包括文件创建行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件创建的设备的ip值；所述第三信息包括文件创建时间；
[0194]
在所述日志行为类型为文件删除类型时，所述行为边包括文件删除行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：删除的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件删除的设备的ip值；所述第三信息包括文件删除时间；
[0195]
在所述日志行为类型为ip访问类型时，所述行为边包括ip访问行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括ip内网流行度；所述第三信息包括ip访问时间；
[0196]
在所述日志行为类型为域名解析类型时，所述行为边包括域名解析行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括解析的域名；所述第三信息包括域名解析时间；
[0197]
在所述日志行为类型为注册表创建类型时，所述行为边包括注册表创建行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表创建时间；
[0198]
在所述日志行为类型为注册表修改类型时，所述行为边包括注册表修改行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表修改时间；
[0199]
在所述日志行为类型为注册表删除类型时，所述行为边包括注册表删除行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表删除时间。
[0200]
图9是本发明实施例提供的图数据的结构示意图，如图9所示，当前日志数据转换成图数据后，通过可视化工具可以查看到该条当前日志数据中包含的信息为：操作系统的桌面进程节点(节点a)、“test.exe”进程节点(节点b)和test.exe”进程节点的源进程节点
(节点c)，桌面进程节点与“test.exe”进程节点之间的边为进程创建行为边，“test.exe”进程节点和源进程节点之间的边为进程文件源边；操作系统的桌面进程“explorer.exe”启动了“test.exe”进程，而“test.exe”进程的源文件是来自源进程“d:\\test\\test.exe”。按照同样的方法，将其他日志行为类型的当前日志数据转换为由节点和边组成的图数据，本发明在此不再赘述。
[0201]
本发明实施例提供的网络钓鱼行为检测方法，在图数据中存储有每个节点的属性信息和每个行为边的属性信息，在执行网络钓鱼行为的匹配时，可以将节点的标识信息和属性信息同时进行匹配，将行为边的标识信息和属性信息进行同时匹配，在标识信息和属性信息均匹配时，确定匹配结果为匹配成功，进一步提高了网络钓鱼行为检测的准确性。
[0202]
可选地，图10是本发明实施例提供的网络钓鱼行为检测方法的流程示意图之五，如图10所示，在上述步骤103之后，该网络钓鱼行为检测方法还包括以下步骤：
[0203]
步骤105、基于所述待检测图谱对应的日志数据生成告警信息。
[0204]
示例地，基于预先规定的图查询语句规则将待检测图谱和图数据库中的所有图谱进行匹配，在匹配成功时，基于待检测图谱对应的日志数据生成告警事件，并将告警事件发送至告警模块，由告警模块进行告警通知，便于用户即时采取相关措施，以避免造成损失。
[0205]
图11是本发明实施例提供的网络钓鱼行为检测装置的结构示意图，如图11所示，该网络钓鱼行为检测装置包括转换单元1101、存储单元1102、匹配单元1103和确定单元1104；其中：
[0206]
转换单元1101，用于在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据；
[0207]
存储单元1102，用于将所述当前图数据存储在图数据库中；
[0208]
匹配单元1103，用于在确定所述当前日志数据为包括ip访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成；所述图查询语句规则为基于网络钓鱼行为确定的规则；
[0209]
确定单元1104，用于在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼行为数据。
[0210]
本发明实施例提供的网络钓鱼行为检测装置，将接收到的当前日志数据转换为当前图数据，并在确定当前日志数据为包括ip访问行为的日志数据时，基于网络钓鱼行为确定的图查询语句规则将待检测图谱与图数据库中的至少一个图谱进行匹配，在匹配成功时，确定待检测图谱对应的日志数据为网络钓鱼行为数据。可知，本发明将每个日志数据转换为对应的图数据，并基于网络钓鱼行为规定的图查询语句规则实现了网络钓鱼行为的检测，这样攻击者即使通过非法手段绕过检测，但最终访问的恶意设备的ip可以基于图查询语句规则进行检测，实现了基于外联ip行为实时触发图查询语句规则对网络钓鱼行为的检测，提高了网络钓鱼行为检测的准确性。
[0211]
基于上述任一实施例，所述匹配单元1103具体用于：
[0212]
获取所述待检测图谱的第一个节点的第一节点信息和最后一个节点的第二节点信息；
[0213]
确定所述图数据库中是否包含第一个节点的节点信息为所述第一节点信息，且最后一个节点的节点信息为所述第二节点信息的目标图谱；
[0214]
在确定所述图数据库中包含所述目标图谱时，确定所述匹配结果为匹配成功；
[0215]
在确定所述图数据库中不包含所述目标图谱时，确定所述匹配结果为匹配失败。
[0216]
基于上述任一实施例，所述匹配单元1103还具体用于：
[0217]
获取所述待检测图谱中与第一个节点连接的待检测边的边信息，并获取所述目标图谱中与第一个节点连接的第一目标边的边信息；
[0218]
在确定所述待检测边的边信息与所述第一目标边的边信息匹配时，确定所述匹配结果为匹配成功。
[0219]
基于上述任一实施例，所述匹配单元1103还具体用于：
[0220]
获取所述目标图谱中与所述第一目标边连接的第二个节点；所述第一目标边指向所述第二个节点；
[0221]
在确定所述第二个节点与所述目标图谱中的最后一个节点之间包括预设数量个第二目标边时，确定所述匹配结果为匹配成功。
[0222]
基于上述任一实施例，所述匹配单元1103还具体用于：
[0223]
确定所述当前日志数据对应的当前应用场景类型；
[0224]
获取与所述当前应用场景类型对应的目标图查询语句规则；所述目标图查询语句规则为基于所述当前应用场景类型的网络钓鱼行为确定的规则；
[0225]
基于所述目标图查询语句规则将所述待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果。
[0226]
基于上述任一实施例，所述转换单元1101具体用于：
[0227]
确定所述当前日志数据的日志行为类型；所述日志行为类型包括以下之一：进程操作类型、文件操作类型、ip访问类型、域名解析类型和注册表操作类型；所述进程操作类型包括以下之一：进程创建类型、进程注入类型和进程关闭类型；所述文件操作类型包括以下之一：文件传输类型、文件创建类型、文件写入类型、文件解压类型和文件删除类型；所述注册表操作类型包括以下之一：注册表创建类型、注册表修改类型和注册表删除类型；
[0228]
基于所述日志行为类型将所述当前日志数据转换为所述当前图数据。
[0229]
基于上述任一实施例，所述转换单元1101还具体用于：
[0230]
在所述日志行为类型为进程创建类型时，将所述当前日志数据中目标进程的父进程的哈希值确定为进程创建行为边的第一节点的标识信息，将所述当前日志数据中目标进程的哈希值确定为所述进程创建行为边的第二节点的标识信息，将所述当前日志数据中所述目标进程的源文件的哈希值确定为进程文件源边的第一节点的标识信息，将所述当前日志数据中所述目标进程的哈希值确定为所述进程文件源边的第二节点的标识信息；所述进程创建行为边指向所述进程创建行为边的第二节点；
[0231]
在所述日志行为类型为进程注入类型时，将所述当前日志数据中目标进程的源进程的哈希值确定为进程注入行为边的第一节点的标识信息，将所述当前日志数据中目标进程的哈希值确定为所述进程注入行为边的第二节点的标识信息；所述进程注入行为边指向所述进程注入行为边的第二节点；
[0232]
在所述日志行为类型为进程关闭类型时，将所述当前日志数据中目标进程的父进
程的哈希值确定为进程关闭行为边的第一节点的标识信息，将所述目标进程的哈希值确定为所述进程关闭行为边的第二节点的标识信息；所述进程关闭行为边指向所述进程关闭行为边的第二节点；
[0233]
在所述日志行为类型为文件传输类型时，将所述当前日志数据中目标进程的哈希值确定为文件传输行为边的第一节点的标识信息，将所述当前日志数据中传输的文件的哈希值确定为所述文件传输行为边的第二节点的标识信息；所述文件传输行为边指向所述文件传输行为边的第二节点；
[0234]
在所述日志行为类型为文件写入类型时，将所述当前日志数据中目标进程的哈希值确定为文件写入行为边的第一节点的标识信息，将所述当前日志数据中执行写入的文件的哈希值确定为所述文件写入行为边的第二节点的标识信息；所述文件写入行为边指向所述文件写入行为边的第二节点；
[0235]
在所述日志行为类型为文件解压类型时，将所述当前日志数据中压缩文件的哈希值确定为文件解压行为边的第一节点的标识信息，将所述压缩文件解压后得到的解压文件的哈希值确定为所述文件解压行为边的第二节点的标识信息；所述文件解压行为边指向所述文件解压行为边的第二节点；
[0236]
在所述日志行为类型为文件创建类型时，将所述当前日志数据中目标进程的哈希值确定为文件创建行为边的第一节点的标识信息，将创建的文件的哈希值确定为所述文件创建行为边的第二节点的标识信息；所述文件创建行为边指向所述文件创建行为边的第二节点；
[0237]
在所述日志行为类型为文件删除类型时，将所述当前日志数据中目标进程的哈希值确定为文件删除行为边的第一节点的标识信息，将删除的文件的哈希值确定为所述文件删除行为边的第二节点的标识信息；所述文件删除行为边指向所述文件删除行为边的第二节点；
[0238]
在所述日志行为类型为ip访问类型时，将所述当前日志数据中目标进程的哈希值确定为ip访问行为边的第一节点的标识信息，将所述当前日志数据中访问设备的ip值确定为所述ip访问行为边的第二节点的标识信息；所述述ip访问行为边指向所述ip访问行为边的第二节点；
[0239]
在所述日志行为类型为域名解析类型时，将所述当前日志数据中目标进程的哈希值确定为域名解析行为边的第一节点的标识信息，将所述当前日志数据中解析的域名确定为所述域名解析行为边的第二节点的标识信息；所述域名解析行为边指向所述域名解析行为边的第二节点；
[0240]
在所述日志行为类型为注册表创建类型时，将所述当前日志数据中目标进程的哈希值确定为注册表创建行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表创建行为边的第二节点的标识信息；所述注册表创建行为边指向所述注册表创建行为边的第二节点；
[0241]
在所述日志行为类型为注册表修改类型时，将所述当前日志数据中目标进程的哈希值确定为注册表修改行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表修改行为边的第二节点的标识信息；所述注册表修改行为边指向所述注册表修改行为边的第二节点；
[0242]
在所述日志行为类型为注册表删除类型时，将所述当前日志数据中目标进程的哈希值确定为注册表删除行为边的第一节点的标识信息，将所述当前日志数据中创建的注册表的键值确定为所述注册表删除行为边的第二节点的标识信息；所述注册表删除行为边指向所述注册表删除行为边的第二节点。
[0243]
基于上述任一实施例，所述转换单元1101还用于：
[0244]
将所述当前日志数据中的第一信息确定为行为边的第一节点的属性信息，将所述当前日志数据中的第二信息确定为行为边的第二节点的属性信息，将所述当前日志数据中的第三信息确定为行为边的属性信息；
[0245]
在所述日志行为类型为进程创建类型时，所述行为边包括所述进程创建行为边；所述第一信息包括以下至少一项：所述父进程的进程名称、所述父进程的文件路径和执行进程创建的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和电子设备的ip值；所述第三信息包括进程创建时间；
[0246]
在所述日志行为类型为进程注入类型时，所述行为边包括所述进程注入行为边；所述第一信息包括以下至少一项：所述源进程的进程名称、所述源进程的文件路径和执行进程注入的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行进程注入的设备的ip值；所述第三信息包括进程注入时间；
[0247]
在所述日志行为类型为进程关闭类型时，所述行为边包括进程关闭行为边；所述第一信息包括以下至少一项：所述父进程的进程名称、所述父进程的文件路径和执行进程关闭的设备的ip值；所述第二信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行进程关闭的设备的ip值；所述第三信息包括进程删除时间；
[0248]
在所述日志行为类型为文件传输类型时，所述行为边包括文件传输行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件传输的设备的ip值；所述第二信息包括以下至少一项：传输的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件传输的设备的ip值；所述第三信息包括文件传输时间；
[0249]
在所述日志行为类型为文件写入类型时，所述行为边包括文件写入行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件写入的设备的ip值；所述第二信息包括以下至少一项：执行写入的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件写入的设备的ip值；所述第三信息包括在文件中执行写入的时间；
[0250]
在所述日志行为类型为文件解压类型时，所述行为边包括文件解压行为边；所述第一信息包括以下至少一项：压缩文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件解压的设备的ip值；所述第二信息包括以下至少一项：解压文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件解压的设备的ip值；所述第三信息包括文件解压时间；
[0251]
在所述日志行为类型为文件创建类型时，所述行为边包括文件创建行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件创建的设备的ip值；所述第三信息包括
文件创建时间；
[0252]
在所述日志行为类型为文件删除类型时，所述行为边包括文件删除行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：删除的文件的文件名称、文件路径、文件类型、文件大小、文件写入时间和执行文件删除的设备的ip值；所述第三信息包括文件删除时间；
[0253]
在所述日志行为类型为ip访问类型时，所述行为边包括ip访问行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括ip内网流行度；所述第三信息包括ip访问时间；
[0254]
在所述日志行为类型为域名解析类型时，所述行为边包括域名解析行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括解析的域名；所述第三信息包括域名解析时间；
[0255]
在所述日志行为类型为注册表创建类型时，所述行为边包括注册表创建行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表创建时间；
[0256]
在所述日志行为类型为注册表修改类型时，所述行为边包括注册表修改行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表修改时间；
[0257]
在所述日志行为类型为注册表删除类型时，所述行为边包括注册表删除行为边；所述第一信息包括以下至少一项：所述目标进程的进程名称、所述目标进程的文件路径和执行文件创建的设备的ip值；所述第二信息包括以下至少一项：创建的注册表的路径、注册表值和注册表类型；所述第三信息包括注册表删除时间。
[0258]
基于上述任一实施例，所述装置还包括：
[0259]
生成单元，用于基于所述待检测图谱对应的日志数据生成告警信息。
[0260]
图12是本发明实施例提供的电子设备的实体结构示意图，如图12所示，该电子设备可以包括：处理器(processor)1210、通信接口(communications interface)1220、存储器(memory)1230和通信总线1240，其中，处理器1210，通信接口1220，存储器1230通过通信总线1240完成相互间的通信。处理器1210可以调用存储器1230中的逻辑指令，以执行如下方法：
[0261]
在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据；
[0262]
将所述当前图数据存储在图数据库中；
[0263]
在确定所述当前日志数据为包括ip访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成；所述图查询语句规则为基于网络钓鱼行为确定的规则；
[0264]
在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼
行为数据。
[0265]
此外，上述的存储器1230中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0266]
另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的网络钓鱼行为检测方法，包括：
[0267]
在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据；
[0268]
将所述当前图数据存储在图数据库中；
[0269]
在确定所述当前日志数据为包括ip访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成；所述图查询语句规则为基于网络钓鱼行为确定的规则；
[0270]
在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼行为数据。
[0271]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的网络钓鱼行为检测方法，该方法包括：
[0272]
在接收到当前日志数据时，将所述当前日志数据转换为当前图数据；所述当前图数据包括节点数据和边数据；
[0273]
将所述当前图数据存储在图数据库中；
[0274]
在确定所述当前日志数据为包括ip访问行为的日志数据时，基于图查询语句规则将待检测图谱与所述图数据库中包括的至少一个图谱进行匹配，得到匹配结果；所述待检测图谱由包括ip访问行为的上一日志数据与所述当前日志数据之间的每个日志数据对应的图数据和所述当前图数据组成；所述图查询语句规则为基于网络钓鱼行为确定的规则；
[0275]
在所述匹配结果为匹配成功时，确定所述待检测图谱对应的日志数据为网络钓鱼行为数据。
[0276]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0277]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可
借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0278]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。