攻击检测方法及装置、存储介质及电子设备与流程

1.本公开技术方案涉及网络安全技术领域，尤其涉及一种攻击检测方法及装置、存储介质及电子设备。


背景技术：

2.wmi(windows management instrumentation，windows管理规范)是一项核心的windows管理技术，是远程控制下的一个合法通道。用户可以使用wmi管理本地和远程计算机。例如，系统管理员可以使用wmi在本地和远程计算机上安装程序、部署软件等。
3.同时，攻击者也可以利用wmi实施攻击。例如，攻击者可以使用wmi创建事件，并在创建事件的时候，将恶意代码添加进去。现有的对于前述的攻击的检测方法是通过使用一些终端安全软件对wmi创建的事件进行检测，由于终端安全软件在检测时是在本地进行，而对攻击的检测过程又涉及大量的计算，因此会造成系统卡顿，影响计算机的正常使用。并且，终端安全软件也不会实时监控wmi事件的创建，因此，基于终端安全软件的检测不具备实时性，无法及时发现攻击行为。


技术实现要素：

4.有鉴于此，本公开实施例提供一种攻击检测方法及装置、存储介质及电子设备。
5.根据本公开的第一方面，提出了一种攻击检测方法，所述方法包括：
6.接收多个事件日志；所述事件日志由终端实时监控获取、并发送至所述服务器；
7.基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码；
8.对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。
9.结合本公开提供的任一实施方式，所述基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码，包括：
10.分别获取每个事件日志中的预设字段；
11.响应于在预设时间段内接收到连续的三个事件日志，且所述三个事件日志中的所述预设字段相同，由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码。
12.结合本公开提供的任一实施方式，当所述攻击事件是windows管理规范wmi事件的情况下；所述三个事件日志，包括：注册wmi事件过滤器日志、注册wmi事件使用者日志、以及事件使用者绑定事件过滤器日志；
13.所述由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码，包括：
14.由所述注册wmi事件使用者日志中提取所述待检测的执行代码。
15.结合本公开提供的任一实施方式，所述由所述注册wmi事件使用者日志中提取所述待检测的执行代码，包括：
16.获取所述注册wmi事件使用者日志中的类型字段，和/或，事件使用者绑定事件过
滤器日志中的操作字段；
17.响应于所述类型字段为命令行，和/或，所述操作字段为创建，由所述注册wmi事件使用者日志中提取所述待检测的执行代码。
18.结合本公开提供的任一实施方式，所述对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件，包括：
19.使用预设关键词与所述执行代码进行匹配；所述预设关键词为预设的攻击事件对应的恶意代码的关键词；
20.响应于匹配成功，确定所述执行代码中存在攻击事件。
21.结合本公开提供的任一实施方式，所述方法还包括：
22.响应于匹配失败，将所述执行代码设置在动态沙箱中，并触发执行所述执行代码；
23.获取执行所述执行代码时生成的日志；
24.响应于获取到的所述日志中的文件与预先设定的恶意代码相对应的文件的特征匹配，确定所述执行代码中存在攻击事件。
25.结合本公开提供的任一实施方式，所述事件日志由所述终端的windows系统监视器监视获取、并发送至所述服务器。
26.根据本公开的第二方面，提出了一种攻击检测装置，所述装置包括：
27.事件日志接收模块，用于接收多个事件日志；所述事件日志由终端实时监控获取、并发送至所述服务器；
28.执行代码提取模块，用于基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码；
29.执行代码检测模块，用于对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。
30.根据本公开的第三方面，提供一种计算机可读存储介质，所述机器可读存储介质存储有机器可读指令，所述机器可读指令在被处理器调用和执行时，促使所述处理器实现本公开任一实施例的攻击检测方法。
31.根据本公开的第四方面，提供一种电子设备，包括
32.处理器；
33.用于存储处理器可执行指令的存储器；
34.其中，所述处理器被配置为用于执行本公开任一实施例的攻击检测方法。
35.本公开的实施例提供的技术方案可以包括以下有益效果：
36.本公开实施例提供的攻击检测方法及装置、存储介质及电子设备，通过接收多个事件日志；所述事件日志由终端实时监控获取、并发送至所述服务器；基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码；对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。本公开实施例提供的攻击检测方法，由服务器对攻击进行检测，可以避免在终端本地进行检测带来的系统卡顿的问题。并且，本公开实施例的方法，由服务器实时接收终端获取的日志，可以实时监控攻击事件的创建，及时发现攻击行为，避免对终端造成安全危害。
37.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
38.为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图：
39.图1是本公开根据一示例性实施例示出的一种攻击检测系统的系统架构图；
40.图2是本公开根据一示例性实施例示出的一种攻击检测方法的流程图；
41.图3是本公开根据一示例性实施例示出的一种攻击检测装置的结构示意图；
42.图4是本公开根据一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
43.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
44.在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
45.应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
46.图1是本公开根据一示例性实施例示出的一种攻击检测系统的系统架构图，如图1所示，该系统可以包括终端11、服务器12。
47.在一个可选示例中，所述终端11与服务器12之间可以通过网络实现信息的通信。本公开实施例并不限制该网络的具体形式。例如，所述网络可以是局域网、广域网、内部网、互联网、移动电话网络、虚拟专用网、蜂窝式或者其他移动通信网络、蓝牙、nfc或者其任何组合。
48.下面结合附图，对本公开实施例的攻击检测方法进行详细的描述。
49.图2是本公开根据一示例性实施例示出的一种攻击检测方法的流程图。该方法应用于服务器，具体的，服务器上部署有日志分析平台，该方法可以由服务器上的日志分析平台来执行。如图2所示，该示例性实施例方法可以包括以下步骤：
50.在步骤200中，接收多个事件日志。
51.其中，所述事件日志由终端实时监控获取、并发送至所述服务器。
52.所述事件日志可以由用户创建。在一个可选示例中，所述用户可以是系统管理员，系统管理员可以通过创建事件日志，对终端进行管理。例如，系统管理员可以创建事件日志：当终端系统每次启动时，执行命令a。
53.在另一个可选示例中，所述用户还可以是攻击者，攻击者可以在创建事件日志的同时，将恶意代码隐藏在事件日志中。当事件日志中的触发条件到达时，就会执行事件日志中隐藏的恶意代码，以使得攻击者达到控制终端的目的。例如，攻击者可以创建事件日志：当预设时间到达时，运行某个脚本(该脚本中隐藏有恶意代码)。此时，当事件日志中的触发条件到达，即“预设时间到达”时，就会执行脚本中隐藏的恶意代码。
54.基于上述，系统管理员和攻击者都是通过创建事件日志的方式来对终端进行管理或者控制，因此，为了对攻击者发动的攻击进行检测，可以由终端将实时监控、获取到的事件日志发送至服务器进行后续的分析检测。
55.在步骤202中，基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码。
56.其中，所述攻击事件即为包含恶意代码的事件。
57.在实际应用中，系统管理员和攻击者在创建事件的时候，都是按照一定的流程创建的。例如，在创建上述例子中的事件“当终端系统每次启动时，执行命令a”时，首先，系统管理员需要先创建子事件-触发时机为“当终端系统每次启动时”。然后，再创建子事件-执行的动作是“执行命令a”。最后将创建的两个子事件绑定在一起，即完成上述事件的创建。
58.再例如，在创建上述例子中的事件“当预设时间到达时，运行某个脚本(该脚本中隐藏有恶意代码)”时，首先，攻击者需要先创建子事件-触发时机为“当预设时间到达时”。然后，再创建子事件-执行的动作是“运行某个脚本(该脚本中隐藏有恶意代码)”。最后将创建的两个子事件绑定在一起，即完成上述事件的创建。这个完整的创建流程即为所述攻击事件的攻击链，记录这个完整的创建流程的日志即为所述攻击事件的攻击链信息。
59.并且，不论是系统管理员创建的正常事件，还是攻击者创建的攻击事件，都必须具备上述完整的创建流程时，事件才可以成功执行。因此，服务器可以首先基于是否具备上述完整的创建流程来初步判定，该事件是否有可能是攻击事件。
60.当服务器检测到上述创建流程完整时，可以进一步对该完整流程相对应的日志中包含的代码进行代码检测。具体的，可以提取该完整流程相对应的日志中可能存在恶意代码的部分进行代码检测。例如，可以提取“创建执行的动作”部分的代码进行代码检测。
61.在步骤204中，对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。
62.在一个可选示例中，可以使用预设的攻击事件对应的恶意代码的关键词与所述执行代码进行匹配，当匹配成功时，即说明所述执行代码中存在恶意代码，即所述执行代码中存在攻击事件。
63.在另一个可选示例中，可以将所述执行代码设置在动态沙箱中，并触发执行所述执行代码，获取执行所述执行代码时生成的日志，当生成的所述日志的中的文件的特征与预设的恶意代码的文件的特征相匹配时，即确定所述执行代码中存在恶意代码，即所述执行代码中存在攻击事件。
64.本公开实施例提供的攻击检测方法，通过接收多个事件日志；基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码；对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。本公开实施例的方法，由服务器对攻击进行检测，可以避免在终端本地进行检测带来的系统卡顿的问题。并且，本公开实施例的方法，由服务器实
时接收终端获取的事件日志，可以实时监控攻击事件的创建，及时发现攻击行为，避免对终端造成安全危害。
65.下面分别对上述攻击检测方法中的各个步骤进行详细的描述。
66.针对上述步骤200，在一个可选示例中，所述事件日志可以由所述终端的windows系统监视器监视获取、并发送至所述服务器。
67.windows系统监视器是windows系统服务和设备驱动程序，可以监视系统活动并将其记录到事件日志中。
68.由于windows系统监视器是系统官方研发的功能，因此，可以很好的与系统融合，使用windows系统监视器监视获取事件日志，不会造成终端的cpu(central processing unit，中央处理器)上升，影响终端的正常使用。
69.针对上述步骤202，在一个可选示例中，可以分别获取每个事件日志中的预设字段。当在预设时间段内接收到连续的三个事件日志，且所述三个事件日志中的所述预设字段相同，由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码。
70.在一个可选示例中，所述预设字段可以为guid(globally unique identifier，全局唯一标识符)字段。guid是一种由算法生成的二进制长度为128位的数字标识符。在本示例中，属于同一事件的事件日志的所述guid字段相同。
71.在一个可选示例中，可以当在10s内接收到的三个连续事件日志的guid字段相同时，即认为这是一个完整的事件。此时，可以进一步从所述三个事件日志中可能包含恶意代码的事件日志中提取所述待检测的执行代码。例如，可以从三个连续事件日志中的第二个事件日志中提取所述待检测的执行代码。或者，可以从三个连续事件日志中的第三个事件日志中提取所述待检测的执行代码。具体可以由相关工作人员基于实际情况进行设定，本公开对此不作限定。
72.在另一个可选示例中，也可以当在8s内接收到的三个连续事件日志的guid字段相同时，即认为这是一个完整的事件。即，只要在短时间内接收到的三个连续事件日志满足上述的要求即可，本领域技术人员可以基于实际情况设定具体的时间间隔，本公开对具体的时间间隔不作限定。
73.在一个可选示例中，当所述攻击事件是wmi(windows management instrumentation，windows管理规范)事件的情况下；所述三个事件日志，包括：注册wmi事件过滤器日志、注册wmi事件使用者日志、以及事件使用者绑定事件过滤器日志。
74.wmi是windows系统中的一个功能，通过这个功能，系统管理员可以创建事件，或者做一些任务执行的指定。同时，攻击者也可以利用这个功能进行攻击，具体的，攻击者可以通过这个功能创建一些事件，并在创建事件的同时，将恶意代码添加进去，从而实现攻击。
75.所述注册wmi事件过滤器日志用于记录事件触发的条件。例如系统启动、特定程序执行、或者特定时间到达等。
76.所述注册wmi事件使用者日志用于记录该事件中要执行的具体操作。例如，执行某个命令、运行某个脚本、或者发送某个邮件等。
77.所述事件使用者绑定事件过滤器日志用于将所述事件触发的条件和所述事件中要执行的具体操作绑定在一起，以确保在特定的事件触发的条件下，执行特定的操作。
78.为了便于理解，以下述为例来详细介绍本步骤的攻击检测方法。
79.例如，当所述注册wmi事件过滤器日志为系统启动、所述注册wmi事件使用者日志为执行某个命令时，所述事件使用者绑定事件过滤器日志即为当系统启动时，执行某个命令。
80.再例如，当所述注册wmi事件过滤器日志为特定程序执行、所述注册wmi事件使用者日志为发送某个邮件时，所述事件使用者绑定事件过滤器日志即为当特定程序执行时，发送某个邮件。
81.当所述攻击事件是wmi事件时，由于攻击者一般是将恶意代码隐藏在注册wmi事件使用者日志中，即一般将恶意代码隐藏在该事件要执行的具体操作中。因此，当所述攻击事件是wmi事件时，可以由服务器直接从所述注册wmi事件使用者日志中提取所述待检测的执行代码。
82.具体的，当所述攻击事件是wmi事件的情况下，可以由系统管理员预先将windows系统监视器的配置文件中监视事件日志id为19、20、21的功能启动。其中，所述注册事件过滤器日志的id为19，所述注册事件使用者日志的id为20，所述事件使用者绑定事件过滤器日志的id为21。在本示例中，可以由服务器直接从一个完整事件中日志id为20的日志中提取所述待检测的执行代码。从而减少代码的检测量，快速检测出是否具有恶意代码。
83.在一个可选示例中，在由所述注册wmi事件使用者日志中提取所述待检测的执行代码之前，可以先获取所述注册wmi事件使用者日志中的类型字段，和/或，事件使用者绑定事件过滤器日志中的操作字段；
84.响应于所述类型字段为命令行，和/或，所述操作字段为创建，再由所述注册wmi事件使用者日志中提取所述待检测的执行代码。
85.如上所述的，所述注册事件过滤器日志的id为19，所述注册事件使用者日志的id为20，所述事件使用者绑定事件过滤器日志的id为21。
86.示例性的，在由所述注册wmi事件使用者日志中提取所述待检测的执行代码之前，可以先获取日志id为20的日志中的“类型”字段，当所述日志id为20的日志的“类型”字段为“命令行”时，表明该日志中的代码可以正常执行。此时，可以再由所述日志id为20的日志，即所述注册wmi事件使用者日志中提取所述待检测的执行代码。
87.示例性的，在由所述注册wmi事件使用者日志中提取所述待检测的执行代码之前，可以先获取日志id为21的日志的“操作”字段，当所述日志id为21的日志的“操作”字段为“创建”时，说明这是系统管理员或者攻击者在创建事件，而不是在删除事件。创建的才有可能是攻击事件，此时，可以再由所述日志id为20的日志，即所述注册wmi事件使用者日志中提取所述待检测的执行代码。
88.或者，在由所述注册wmi事件使用者日志中提取所述待检测的执行代码之前，可以先获取日志id为20的日志的“类型”字段、以及日志id为21的日志的“操作”字段，当所述日志id为20的日志的“类型”字段为“命令行”、并且所述日志id为21的日志的“操作”字段为“创建”时，再由所述日志id为20的日志，即所述注册wmi事件使用者日志中提取所述待检测的执行代码。
89.本示例的攻击检测方法，可以当所述注册wmi事件使用者日志中的类型字段为命令行，和/或，所述事件使用者绑定事件过滤器日志中的操作字段为创建时，再由所述注册wmi事件使用者日志中提取所述待检测的执行代码，从而避免多余的代码检测。
90.针对上述步骤204，在一个可选示例中，可以使用预设关键词与所述执行代码进行匹配。所述预设关键词为预设的攻击事件对应的恶意代码的关键词。
91.响应于匹配成功，确定所述执行代码中存在攻击事件。
92.具体的，可以使用正则方式表示所述预设关键词，并使用所述预设关键词与所述执行代码进行匹配。
93.由于正常的wmi事件中不会存在恶意代码的关键词，因此，当所述预设关键词在所述执行代码中匹配成功时，即可以确定所述执行代码中存在攻击事件。
94.当所述预设关键词在所述执行代码中匹配失败时，说明所述执行代码中不存在所述预设关键词，或者，说明所述执行代码中的攻击事件对应的恶意代码已被加密，此时，可以将所述执行代码设置在动态沙箱中，并触发执行所述执行代码。同时，获取执行所述执行代码时生成的日志。当获取到的所述日志中的文件与预先设定的恶意代码相对应的文件的特征相匹配时，确定所述执行代码中存在攻击事件。
95.动态沙箱的原理是为代码构建一种隔离的、受限的、可配置的、可追溯的运行环境，限制不可信进程或代码的运行权限，防止恶意代码对系统造成恶意破坏。将执行代码设置在动态沙箱中触发执行，可以防止当所述执行代码中存在恶意代码时，恶意代码的运行对系统造成破坏。
96.动态沙箱可以记录执行代码执行时生成的日志，并且，还可以基于执行代码执行时生成的日志判断所述执行代码中是否存在恶意代码。
97.具体的，动态沙箱可以依据所述执行代码执行时生成的日志中文件的后缀名来确定所述执行代码中是否存在恶意代码。具体的，基于经验，恶意代码执行时生成的日志中文件的后缀名一般可以为exe、.bat、.ps1。
98.或者，动态沙箱可以自动分析获取到的日志中的具体内容、以及执行代码执行后下载的文件被执行的情况来判断所述执行代码中是否存在恶意代码，基于动态沙箱来确定执行代码中是否存在恶意代码，基于现有技术即可以实现，本公开对此不作过多介绍。
99.在一个可选示例中，当确定所述执行代码中存在攻击事件时，可以将此消息通过通讯软件通知、邮件通知、或者短信通知的方式自动传达给相关的工作人员，由相关工作人员进行后续的处理。
100.对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。
101.其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。
102.与前述应用功能实现方法实施例相对应，本公开还提供了应用功能实现装置及相应的终端的实施例。
103.图3是本公开根据一示例性实施例示出的一种攻击检测装置的结构示意图，如图3所示，该攻击检测装置可以包括：
104.事件日志接收模块31，用于接收多个事件日志；所述事件日志由终端实时监控获取、并发送至所述服务器。
105.执行代码提取模块32，用于基于攻击事件的攻击链信息，由所述多个事件日志中
提取待检测的执行代码。
106.执行代码检测模块33，用于对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。
107.可选的，所述执行代码提取模块32，在用于基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码时，包括：
108.分别获取每个事件日志中的预设字段。
109.响应于在预设时间段内接收到连续的三个事件日志，且所述三个事件日志中的所述预设字段相同，由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码。
110.可选的，当所述攻击事件是windows管理规范wmi事件的情况下；所述三个事件日志，包括：注册wmi事件过滤器日志、注册wmi事件使用者日志、以及事件使用者绑定事件过滤器日志。
111.所述执行代码提取模块32，在用于由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码时，包括：
112.由所述注册wmi事件使用者日志中提取所述待检测的执行代码。
113.可选的，所述执行代码提取模块32，在用于由所述注册wmi事件使用者日志中提取所述待检测的执行代码时，包括：
114.获取所述注册wmi事件使用者日志中的类型字段，和/或，事件使用者绑定事件过滤器日志中的操作字段。
115.响应于所述类型字段为命令行，和/或，所述操作字段为创建，由所述注册wmi事件使用者日志中提取所述待检测的执行代码。
116.可选的，所述执行代码检测模块33，在用于对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件时，包括：
117.使用预设关键词与所述执行代码进行匹配。所述预设关键词为预设的攻击事件对应的恶意代码的关键词。
118.响应于匹配成功，确定所述执行代码中存在攻击事件。
119.可选的，所述执行代码检测模块33，还用于：
120.响应于匹配失败，将所述执行代码设置在动态沙箱中，并触发执行所述执行代码。
121.获取执行所述执行代码时生成的日志。
122.响应于获取到的所述日志中的文件与预先设定的恶意代码相对应的文件的特征匹配，确定所述执行代码中存在攻击事件。
123.可选的，所述事件日志由所述终端的windows系统监视器监视获取、并发送至所述服务器。
124.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中上述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
125.相应的，本公开实施例提供了一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为用于执行本公开任一实施例的攻击检测方法。
126.图4是本公开根据一示例性实施例示出的一种电子设备400的结构示意图。例如，电子设备400可以是服务器。
127.参照图4，电子设备400可以包括以下一个或多个组件：处理组件402，存储器404，电源组件406，多媒体组件408，音频组件410，输入/输出(i/o)的接口412，传感器组件414，以及通信组件416。
128.处理组件402通常控制电子设备400的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件402可以包括一个或多个处理器420来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件402可以包括一个或多个模块，便于处理组件402和其他组件之间的交互。例如，处理组件402可以包括多媒体模块，以方便多媒体组件408和处理组件402之间的交互。
129.存储器404被配置为存储各种类型的数据以支持在设备400的操作。这些数据的示例包括用于在电子设备400上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器404可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
130.电源组件406为电子设备400的各种组件提供电力。电源组件406可以包括电源管理系统，一个或多个电源，及其他与为电子设备400生成、管理和分配电力相关联的组件。
131.多媒体组件408包括在上述电子设备400和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。上述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与上述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件408包括一个前置摄像头和/或后置摄像头。当电子设备400处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
132.音频组件410被配置为输出和/或输入音频信号。例如，音频组件410包括一个麦克风(mic)，当电子设备400处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器404或经由通信组件416发送。在一些实施例中，音频组件410还包括一个扬声器，用于输出音频信号。
133.i/o接口412为处理组件402和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
134.传感器组件414包括一个或多个传感器，用于为电子设备400提供各个方面的状态评估。例如，传感器组件414可以检测到电子设备400的打开/关闭状态，组件的相对定位，例如上述组件为电子设备400的显示器和小键盘，传感器组件414还可以检测电子设备400或电子设备400一个组件的位置改变，用户与电子设备400接触的存在或不存在，电子设备400
方位或加速/减速和电子设备400的温度变化。传感器组件414可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件414还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件414还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
135.通信组件416被配置为便于电子设备400和其他设备之间有线或无线方式的通信。电子设备400可以接入基于通信标准的无线网络，如wifi，4g或5g，4g lte、5g nr或它们的组合。在一个示例性实施例中，通信组件416经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，上述通信组件416还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
136.在示例性实施例中，电子设备400可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。
137.在示例性实施例中，还提供了一种非临时性计算机可读存储介质，例如包括指令的存储器404，当存储介质中的指令由电子设备400的处理器420执行时，使得电子设备400能够执行攻击检测方法，该方法包括：
138.接收多个事件日志；所述事件日志由终端实时监控获取、并发送至所述服务器。
139.基于攻击事件的攻击链信息，由所述多个事件日志中提取待检测的执行代码。
140.对所述执行代码进行检测，确定所述执行代码中是否存在攻击事件。
141.所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
142.本领域技术人员在考虑说明书以及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由上面的权利要求指出。
143.应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。