CN110597690A - ***行为态势感知方法、***及设备 - Google Patents
***行为态势感知方法、***及设备 Download PDFInfo
- Publication number
- CN110597690A CN110597690A CN201910870313.5A CN201910870313A CN110597690A CN 110597690 A CN110597690 A CN 110597690A CN 201910870313 A CN201910870313 A CN 201910870313A CN 110597690 A CN110597690 A CN 110597690A
- Authority
- CN
- China
- Prior art keywords
- data
- system behavior
- calling
- computer
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 230000008447 perception Effects 0.000 title claims abstract description 48
- 239000000523 sample Substances 0.000 claims abstract description 99
- 230000006399 behavior Effects 0.000 claims description 215
- 230000006870 function Effects 0.000 claims description 46
- 239000013598 vector Substances 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 27
- 230000002085 persistent effect Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 6
- 230000003542 behavioural effect Effects 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 15
- 238000004590 computer program Methods 0.000 description 8
- 238000001914 filtration Methods 0.000 description 6
- 238000002372 labelling Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 102100021662 Baculoviral IAP repeat-containing protein 3 Human genes 0.000 description 4
- 101000896224 Homo sapiens Baculoviral IAP repeat-containing protein 3 Proteins 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- SPBWHPXCWJLQRU-FITJORAGSA-N 4-amino-8-[(2r,3r,4s,5r)-3,4-dihydroxy-5-(hydroxymethyl)oxolan-2-yl]-5-oxopyrido[2,3-d]pyrimidine-6-carboxamide Chemical group C12=NC=NC(N)=C2C(=O)C(C(=O)N)=CN1[C@@H]1O[C@H](CO)[C@@H](O)[C@H]1O SPBWHPXCWJLQRU-FITJORAGSA-N 0.000 description 3
- 102100021677 Baculoviral IAP repeat-containing protein 2 Human genes 0.000 description 3
- 101000896157 Homo sapiens Baculoviral IAP repeat-containing protein 2 Proteins 0.000 description 3
- 241000700605 Viruses Species 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000008713 feedback mechanism Effects 0.000 description 3
- 230000008676 import Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000003071 parasitic effect Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 102100037024 E3 ubiquitin-protein ligase XIAP Human genes 0.000 description 1
- 101000804865 Homo sapiens E3 ubiquitin-protein ligase XIAP Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011065 in-situ storage Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000013403 standard screening design Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供一种***行为态势感知方法、***及设备。该方法包括:通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个所述数据探针部署于所述局域网中的多个所述计算机内部;根据获取的***行为数据样本,确定***行为态势感知结果。本发明实施例的方法,通过在局域网中分布式部署数据探针,增加了***行为数据样本的数据量且增加了数据的多样性,进而提高了***行为态势感知的可靠性和准确率。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及***行为态势感知方法、***及设备。
背景技术
态势感知是一种洞悉安全风险的能力,其覆盖感知、理解和预测三个层次。随着计算机安全重要性的凸显,态势感知开始在计算机安全技术领域崭露头角。***行为是指操作***中各个进程/服务对于***资源的调用,***行为态势感知是计算机安全中一个比较新颖的细分技术领域,用于对***行为进行监控和分析。
现有***行为态势感知方法通常针对单个计算机的操作***进行,然而根据软件的“二八定律”,一个操作***中通常只有两成的软件是被经常使用的,并且这些软件的常用功能对***资源的调用序列总是相同的,这就导致采集到的***行为的数据样本不仅数据量少而且存在数据趋同的问题,无法有效地进行***行为态势感知。
发明内容
本发明实施例提供一种***行为态势感知方法、***及设备,用以解决现有***行为态势感知中存在的数据样本数据量少且数据趋同的问题,以提高***行为态势感知的可靠性和准确率。
第一方面,本发明实施例提供一种***行为态势感知方法,包括:
通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部;
根据获取的***行为数据样本,确定***行为态势感知结果。
在一种可能的实现方式中,***行为数据样本包括向量数据和流量数据,向量数据包括调用函数名称、调用参数、被调用函数名称以及调用关系中的至少一种,流量数据包括目标地址、源地址、协议类型、操作类型以及操作数据中的至少一种;向量数据为数据探针通过挂钩方式从用户态和内核态的函数调用序列中获取;流量数据为数据探针通过过滤型驱动从网络协议栈和/或文件***的输入输出请求包中获取。
在一种可能的实现方式中,根据获取的***行为数据样本,确定***行为态势感知结果之前,所述方法还包括:
将***行为数据样本的数据格式转换为图数据格式。
在一种可能的实现方式中,将***行为数据样本的数据格式转换为图数据格式,包括根据如下规则对***行为数据样本的数据格式进行转换:
节点表示调用函数或者被调用函数,边表示函数调用关系,度数表示函数被调用的次数;
和/或,
节点表示源地址或者目标地址,边表示传输方向和协议类型。
在一种可能的实现方式中,所述方法还包括:
获取用户对***行为态势感知结果的标注,标注包括拦截和放行;
根据标注对***行为态势感知结果进行校正。
在一种可能的实现方式中,根据获取的***行为数据样本,确定***行为态势感知结果,包括:
若***行为数据样本中存在多个进程均与同一目标节点建立连接,并且向该目标节点发送同类型协议的数据包,则确定该目标节点为潜在的高级持续性威胁点。
在一种可能的实现方式中,根据获取的***行为数据样本,确定***行为态势感知结果,包括:
根据***行为数据样本中各个调用序列以及预设的高级持续性威胁特征码,确定各个调用序列对应的计算机中存在的高级持续性威胁;
和/或,
根据***行为数据样本中多个调用序列的行为和以及预设的高级持续性威胁特征码,确定局域网中存在的高级持续性威胁,行为和表示多个调用序列的共同过程。
第二方面,本发明实施例提供一种***行为态势感知***,包括:
采集模块,用于通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部;
处理模块,用于根据获取的***行为数据样本,确定***行为态势感知结果。
第三方面,本发明实施例提供一种电子设备,包括:
至少一个处理器和存储器;
存储器存储计算机执行指令;
至少一个处理器执行存储器存储的计算机执行指令,使得至少一个处理器执行如第一方面任一项所述的***行为态势感知方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如第一方面任一项所述的***行为态势感知方法。
本发明实施例提供的***行为态势感知方法、***及设备,通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部,根据获取的***行为数据样本,确定***行为态势感知结果,实现了对局域网中各计算机的***行为的态势感知。通过分布式部署于多个计算机内部的多个数据探针,能够获取到多个计算机的***行为数据样本,增加了样本的数量,且由于各个计算机用户使用习惯的差异,每个计算机产生的调用序列码是不一样的,从而降低了样本的趋同度,屏蔽了时间空间的差异性,提高了数据样本的可信度和可靠性,进而可以提高***行为态势感知结果的可靠性和准确率。
附图说明
图1为本发明提供的***行为态势感知方法一实施例的流程图;
图2为本发明一实施例提供的获取向量数据的示意图;
图3为内联钩子的挂钩原理示意图;
图4为本发明一实施例提供的获取流量数据的示意图;
图5为本发明一实施例提供的图数据格式的***行为数据样本示意图;
图6为本发明提供的***行为态势感知方法又一实施例的流程图;
图7为本发明提供的确定***行为态势感知结果一实施例的示意图;
图8为本发明提供的***行为态势感知***一实施例的结构示意图;
图9为本发明提供的***行为态势感知***又一实施例的结构示意图;
图10为本发明提供的电子设备一实施例的结构示意图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中,很多细节描述是为了使得本申请能被更好的理解。然而,本领域技术人员可以毫不费力的认识到,其中部分特征在不同情况下是可以省略的,或者可以由其他元件、材料、方法所替代。在某些情况下,本申请相关的一些操作并没有在说明书中显示或者描述,这是为了避免本申请的核心部分被过多的描述所淹没,而对于本领域技术人员而言,详细描述这些相关操作并不是必要的,他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。
另外,说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时,方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此,说明书和附图中的各种顺序只是为了清楚描述某一个实施例,并不意味着是必须的顺序,除非另有说明其中某个顺序是必须遵循的。
本文中为部件所编序号本身,例如“第一”、“第二”等,仅用于区分所描述的对象,不具有任何顺序或技术含义。而本申请所说“连接”、“联接”,如无特别说明,均包括直接和间接连接(联接)。
本发明实施例提供的方法可以应用于局域网中,所谓局域网是指在某一区域内由多台计算机互联成的计算机组,例如一个公司内或者一个校园内的多台计算机互联可以形成局域网。局域网中的多台计算机可以通过有线和/或无线的方式互联。
在一个局域网环境中,各个计算机遭受高级持续性威胁(Advanced PersistentThreat,简称:APT)攻击的可能性往往是等概率的,特别是蠕虫类病毒的感染具有泛在性和普遍性,一般不会只有一个计算机个体遭受攻击。同时,由于计算机使用者使用习惯和使用目的的不同,在一个局域网中不可能所有计算机都同时运行相同的软件/进程。因此,局域网中APT攻击具有如下三个特点:
1)行为状态一致性:APT攻击产生的现象一般是一致的,即在受感染的软件体内的行为是相同的,例如通过相同的套接字(Socket)应用程序编程接口(ApplicationProgramming Interface,简称:API)向远端建立连接,远端地址和端口相同,会话握手的报文相同等等。
2)行为时间差异性:由于局域网中各计算机一般不会在同一时刻运行受感染的软件,因此同一时刻在一个局域网中可能只有很少的受测个体表现出异常的行为。
3)寄生宿主相似性:APT攻击需要具备一定的寄生环境(漏洞),例如未采用数据执行保护(Data Execution Prevention,DEP)机制的数据内存页面、造成堆栈溢出的环境等,被攻击的进程有可能是局域网中的同一进程,也有可能是具有相同漏洞的不同进程。因此,APT宿主进程具有漏洞的相同性或相似性。
现有***行为态势感知方法通常针对单个计算机的操作***进行,例如在计算机中安装杀毒软件、入侵检测***(Intrusion Detection Systems,简称:IDS)等,其重点关注的是杀毒、漏洞扫描等,态势感知特征不明显;且由于软件的“二八定律”,***行为数据样本不仅量少而且存在数据趋同的问题,无法有效地进行***行为态势感知。下面将通过详细的实施例来说明本申请如何解决上述问题。
图1为本发明提供的***行为态势感知方法一实施例的流程图。如图1所示,本实施例提供的***行为态势感知方法可以包括:
S101、通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部。
本实施例中首先需要在局域网中分布式的部署数据探针,即对于局域网中需要进行***行为态势感知的计算机,需要预先在其内部部署数据探针。数据探针用于获取计算机的***行为数据样本,可以采用软件、硬件或者软硬结合的方式实现,例如可以通过在计算机中安装客户端的方式实现。本实施例中***行为数据样本是计算机的操作***中各个进程/服务调用***资源的过程中产生的数据样本。
S102、根据获取的***行为数据样本,确定***行为态势感知结果。
本实施例中在获取到多个计算机的***行为数据样本之后,便可以根据所获取的***行为数据样本,进行***行为态势感知,以确定***行为态势感知结果。本实施例中的***行为态势感知结果可以是针对单个计算机的,例如某台计算机面临APT攻击的风险,也可以是针对整个局域网或者该局域网中多个计算机的。
可选的,本实施例中在确定***行为态势感知结果之后,还可以将***行为态势感知结果发送至相关的计算机,以使各相关的计算机能够根据该结果进行相应的处理,例如禁止风险软件的运行,删除有潜在安全隐患的文件等。若***行为态势感知结果是针对单个计算机的,则可以根据计算机标识,如互联网协议(Internet Protocol,简称:IP)地址、媒体访问控制地址(Media Access Control,简称:MAC)地址等,将结果发送至具体的计算机;若***行为态势感知结果是针对整个局域网的,则可以将该结果发送至该局域网中的所有计算机。
可以理解的是,计算机在接收到***行为态势感知结果之后,还可以通过人机交互界面向用户显示***行为态势感知结果的相关信息,以及向用户提供操作选项,如拦截、放行等,根据用户的反馈执行后续操作。
需要说明的是,本实施例提供的方法可以由局域网中的任意一台计算机执行,可以是某个用户的计算机,也可以是部署于局域网中专门用于进行***行为态势感知的计算机。
本实施例提供的***行为态势感知方法,通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部,根据获取的***行为数据样本,确定***行为态势感知结果,实现了对局域网中各计算机的***行为的态势感知。通过分布式部署于多个计算机内部的多个数据探针,能够获取到多个计算机的***行为数据样本,增加了样本的数量,且由于各个计算机用户使用习惯的差异,每个计算机产生的调用序列码是不一样的,从而降低了样本的趋同度,屏蔽了时间空间的差异性,提高了数据样本的可信度和可靠性,进而可以提高***行为态势感知结果的可靠性和准确率。
在上述实施例的基础上,为了进一步增加样本的多样性,本实施例提供的方法对于数据样本的采样方式进行进一步的改进。具体的,本实施例提供的方法中,***行为数据样本包括向量数据和流量数据,向量数据包括调用函数名称、调用参数、被调用函数名称以及调用关系中的至少一种,流量数据包括目标地址、源地址、协议类型、操作类型以及操作数据中的至少一种;向量数据为数据探针通过挂钩方式从用户态和内核态的函数调用序列中获取;流量数据为数据探针通过过滤型驱动从网络协议栈和/或文件***的输入输出请求包中获取。
下面将采用两个具体的实施例来分别说明如何获取向量数据和流量数据。
图2为本发明一实施例提供的获取向量数据的示意图。本实施例中通过挂钩HOOK的方式获取向量数据。如图2所示,图中上半部分表示用户态进程,下半部分表示内核态进程。图中实线部分表示软件函数原有调用序列,虚线部分表示本实施例中部署的数据探针。如图2所示,对于用户态进程,本实施例中的HOOK是采用ShellCode方式进行的,即使用跳转字节替换的方式替换被挂钩的API入口的若干字节,以便从该入口处跳转到ShellCode,在ShellCode中收集API名称、参数、虚拟地址等信息,然后跳转回原来的被挂钩函数的业务逻辑继续执行。因此,本实施例中的ShellCode起到了“承上启下”的跳板作用和信息采集的“窥探”作用。本实施例中ShellCode具体可以采用内联钩子(Inline Hook)、导入地址表(Import Address Table,简称:IAT)、导出地址表(Export Address Table,简称:EAT)等方式实现。对于内核态进程,本实施例中的HOOK则可以采用***服务描述符表(SystemServices Descriptor Table,简称:SSDT)、中断描述符表(Interrupt Descriptor Table,简称:IDT)、输入输出请求包处理程序(Input/Output Request Package Handler,简称:IRP Handler)等方式。
表1对于本实施例中可以采用的挂钩对象/方式及其用途进行了说明。如表1所示,挂钩对象/方式包括:IDT、SSDT、IRP Handler、IAT、EAT、全局描述符表(Global DescriptorTable,简称:GDT)、特殊模块寄存器(Model Specific Register,简称:MSR)、异步过程调用(Asynchronous Procedure Call,简称:APC)、二进制补丁和运行时补丁。
表1
| 挂钩对象/方式 | 用途说明 |
| IDT | 用于中断处理例程挂钩,可以登记和监控中断服务 |
| SSDT | 用于***调用例程挂钩,可以登记和监控***调用 |
| IRP Handler | 用于驱动程序特定IRP处理例程挂钩,可以登记和监控驱动服务,如TCPIP驱动 |
| IAT/EAT | 导入/导出地址表挂钩,可以登记和监控静态方式导入的用户空间模块 |
| GDT | 这种方式可以替换操作***全局描述符表 |
| MSR | 登记和监控快速***调用的专用寄存器 |
| APC | 采用异步过程调用的方法可以在被监控进程中引入新的模块或者创建新的线程 |
| 二进制补丁 | 更改磁盘上被监控进程的相关模块,即原位补丁 |
| 运行时补丁 | 更改内存上被监控进程的相关模块,可以通过迂回补丁实现 |
对于内联钩子的挂钩原理采用图3进行进一步说明。图3为内联钩子的挂钩原理示意图。图3左部示出了软件函数调用序列,即指令序列1调用指令序列2、指令序列2调用指令序列3。图3右部示出了采用内联钩子时的调用序列,即使用跳转字节jmp0x12345678替换了被挂钩的指令序列1的入口,以便跳转执行旁路指令序列,在旁路指令序列中获取到所需要的向量数据之后,再跳转回原来的被挂钩的指令序列1继续执行。
图4为本发明一实施例提供的获取流量数据的示意图。本实施例中采用过滤型驱动获取流量数据。图4以网络协议栈为例进行说明,如图4所示,图中最上层的Winsock代表用户态的Socket机制,通过辅助功能驱动(AFD)可以将Socket机制翻译成IRP并向下层传递。本实施例中在网络协议栈中设置了高低两层接口用于注册挂钩,高层的是传输层网络传输提供者接口(TLNPI),用于过滤四层以上的数据包(此时数据包尚未传递到负责2-4层协议解析的TCPIP驱动中);低层的是网络驱动接口规范(NDIS),用于过滤NDIS数据包(Packet),这一层是接近网卡驱动的一层,用于底层防御和拦截。这两层均可以以注册的方式进行旁路挂钩,所谓旁路就是与现有协议栈驱动并存,数据会拷贝分发一份给新注册的过滤型驱动而不会影响原有的网络协议栈的输入和输出(I/O)。本实施例中通过高低两层过滤型驱动挂钩点获取流量信息,例如可以包括目标地址、源地址、报文类型等。需要说明的是,本实施例仅以两层接口为例进行说明,在实际运行中还可以设置更多或者更少接口。除了如图4所示的网络协议栈驱动框架外,文件***也存在类似的协议栈,其挂钩的思路主要是通过堆叠挂钩驱动的方式,此处不再赘述。
综上所述,本实施例提供的***行为态势感知方法,在上述实施例的基础上,通过挂钩方式从用户态和内核态的函数调用序列中获取向量数据,通过过滤型驱动从网络协议栈和文件***的IRP中获取流量数据,进一步增加了***行为数据样本的多样性,可以进一步提高***行为态势感知的可靠性和准确率。
在***行为监控领域,调用行为的存储和关联一直是一个难点和热点。目前对于***行为数据样本通常采用关系型数据库存储,这就导致无法实时、动态地反映出***资源调用之间的关系,更难以用拓扑图的方式展现调用序列,也就是说无法快速关联。为了解决该问题,本实施例中采用图数据表示***行为数据样本。本实施例提供的***行为态势感知方法,在根据获取的***行为数据样本,确定***行为态势感知结果之前,将***行为数据样本的数据格式转换为图数据格式。具体的,可以根据如下规则对***行为数据样本的数据格式进行转换:节点表示调用函数或者被调用函数,边表示函数调用关系,度数表示函数被调用的次数;和/或,节点表示源地址或者目标地址,边表示传输方向和协议类型。
举例来说,若获取的***行为数据样本为API1调用API2,API2调用API3,则可以将其转换为图数据格式,采用图5所示的方式进行表示。图5为本发明一实施例提供的图数据格式的***行为数据样本示意图。如图5左侧所示,调用函数API1和被调用函数API2采用节点表示,调用关系和参数集采用边表示。图数据库擅长存储和关联向量关系数据,并对向量关系数据做串联/并联以构成更大规模的向量。对于图5左侧所示的两个向量数据进行串联,可以得到右侧规模更大的向量数据。
在关系型数据库中通常以序列表示调用行为,例如基于序列模式和关联规则的***行为监控等。然而,序列的表达式通常比较长,一般一条序列表示整个调用栈,更新迭代时需要重新生成,计算开销大,灵活性较低。图数据库支持实时动态地反映***资源的调用关系,以向量的方式表达调用关系,以拓扑图的方式展现***资源调用序列。相比较以序列的方式表达调用关系,向量关系数据增量迭代/扩展容易,重新构建更灵活,因此采用图数据库能够解决迭代调用灵活性的问题。
可以理解的是,在将***行为数据样本的数据格式转换为图数据格式之后,可以采用图数据库存储转换后的***行为数据样本。本实施例中例如可以采用Neo4j这种NoSQL数据库,与关系型数据库相比,对于高度关联的数据如图形数据的查询速度要快上许多,同时兼容原子性、一致性、隔离性、持久性(Atomicity Consistency Isolation Durability,简称:ACID)的事务操作。进一步的,APT规则研判、病毒检测引擎以及漏洞检测引擎均可以从图数据库中获取***行为数据样本,进行相应的分析处理。
本实施例中转换为图数据格式的***行为数据样本可以采用邻接矩阵表示,例如对于一个有五个节点的调用序列,其邻接矩阵可以表示为:
其中,M(i,j)表示节点i和j之间边的权重,E表示边的集合,wij为常数。
本实施例提供的***行为态势感知方法,在上述实施例的基础上,通过采用图数据表示***行为数据样本,不仅可以实时、动态地反映出***资源调用之间的关系,直观的以拓扑图的方式展现调用序列,而且由于图数据具有很高的查询和存取效率,因此可以提高***行为态势感知的速度和效率。
在上述任一实施例的基础上,为了进一步提高***行为态势感知的准确率,避免误判,本实施例提供的方法还可以包括:获取用户对***行为态势感知结果的标注,标注包括拦截和放行;根据标注对***行为态势感知结果进行校正。其中,***行为态势感知结果的标注可以由各计算机向用户提供操作选择界面,根据用户的输入确定。
本实施例通过增加学习反馈机制,通过使用者的参与对***行为态势感知结果进行校正,进一步提高了***行为态势感知的准确率,降低了误判率。
图6为本发明提供的***行为态势感知方法又一实施例的流程图。如图6所示,本实施例提供的方法可以包括:
S601、通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部。
S602、将获取的***行为数据样本的数据格式转换为图数据格式。
S603、根据转换后的***行为数据样本,确定***行为态势感知结果。
S604、获取用户对***行为态势感知结果的标注,标注包括拦截和放行。
S605、根据标注对***行为态势感知结果进行校正。
本实施例中各步骤的具体实现方式可以参考上述实施例,此处不再赘述。
本实施例提供的***行为态势感知方法,通过分布式部署于多个计算机内部的多个数据探针,能够获取到多个计算机的***行为数据样本,增加了样本的数量,降低了样本的趋同度,提高了数据样本的可信度和可靠性;通过采用图数据表示***行为数据样本,能够实时、动态、直观地反映出***资源调用之间的关系,且增量迭代/扩展容易,重新构建更灵活,提高了***行为态势感知的速度和效率;通过增加学习反馈机制,通过使用者的参与对***行为态势感知结果进行校正,可以降低误判率。综上所述,本实施例提供的方法能够提高***行为态势感知的可靠性和准确率。
下面将通过两个具体的实施例来说明如何确定***行为态势感知结果。
在一种可能的实现方式中,根据获取的***行为数据样本,确定***行为态势感知结果,可以包括:若***行为数据样本中存在多个进程均与同一目标节点建立连接,并且向该目标节点发送同类型协议的数据包,则确定该目标节点为潜在的高级持续性威胁APT点。
图7为本发明提供的确定***行为态势感知结果一实施例的示意图。如图7所示,通过对获取到的***行为数据样本进行分析,确定局域网中的主机1、主机2和主机3中均存在与同一目标节点建立连接的进程,并且这些进程还向该目标节点发送同类型协议的数据包,则可以确定该目标节点为潜在的APT点。进而可以向用户发出警示,告知潜在的风险,还可以接收用户对于***行为态势感知结果的标注。
在一种可能的实现方式中,根据获取的***行为数据样本,确定***行为态势感知结果,可以包括:
根据***行为数据样本中各个调用序列以及预设的高级持续性威胁特征码,确定各个调用序列对应的计算机中存在的高级持续性威胁;
和/或,
根据***行为数据样本中多个调用序列的行为和以及预设的高级持续性威胁特征码,确定局域网中存在的高级持续性威胁,行为和表示多个调用序列的共同过程。
本实施例中基于特征码识别威胁,进行***行为态势感知。具体的,本实施例中基于APT特征码识别威胁,本实施例中的APT特征码可以是根据历史数据预先确定的。
表2
| API名称/地址 | 参数A | 参数B | ....... | 参数N | 调用时间 | 调用次数 |
| API1 | A1 | B1 | ....... | N1 | Time1 | X |
| API2 | A2 | B2 | ....... | N2 | Time2 | Y |
表2为API调用关系表。在一个调用序列中,以V表示向量数据,以KV来表示加权后的向量数据,K表示向量权重,K的决定因素可以包括参数合法性、调用堆栈的深度、调用类型(快速调用/自陷型调用)、被调用接口的关键度、调用次数等。
因此,一个调用序列可以表示为:∑(V)=K1V1+K2V2+K3V3+……+KnVn。可以将各计算机的***行为数据样本中各个调用序列公式与APT特征码公式进行比对,以挖掘出符合特征码公式的特征行为。符合特征码公式的特征行为在特征码定义的权重允许的范围内波动,即大于等于特征码的下边界域值,且小于等于特征码的上边界域值。根据调用序列以及APT特征码,便可以识别出潜在的风险,挖掘出计算机中存在的APT威胁。
本申请由于是在局域网中分布式的部署多个数据探针,因此各数据探针获取到的调用序列不会是完全相同的,例如两个操作***的调用序列可能是这样的:
操作***1:∑(V)=K1V1+K2V2+K3V3+……+KnVn;
操作***2:∑(V)=M2V2+M3V3+M4V4+……+MiVi;
其中,i>=n。
针对上述分布式部署的数据探针,本实施例中采用行为和表示多个操作***中的多个调用序列的共同过程,具体的可以通过求最大公约数,将作为系数的权值进行累加,上述操作***1和操作***2的行为和可以表示为:(K2+M2)V2+(K3+M3)V3+(K4+M4)V4+……+(Kn+Mn)Vn。行为和可以用于分析整个分布式***中调用行为的可疑阶段的过程。
进一步的,在上述确定***行为态势感知结果的过程中,均可以通过学习反馈机制加入用户主动的拦截/放行机制,据此可以生成或者改变APT行为特征码。同时,向量权重也不是一成不变的,而是可以动态调整的。例如在从用户态自陷到内核态的***调用中,SSDT是各种安全软件最佳的理想挂钩点,也同样是恶意软件的理想挂钩点,因此可以增大内核态的***调用的向量权重;调用参数也可以作为堆栈溢出的工具,因此调用参数在向量中的比重也可以调整和加强。
图8为本发明提供的***行为态势感知***一实施例的结构示意图。如图8所示,本实施例提供的***行为态势感知***80可以包括:采集模块801和处理模块802。
采集模块801,用于通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个数据探针部署于局域网中的多个计算机内部。
处理模块802,用于根据获取的***行为数据样本,确定***行为态势感知结果。
本实施例的***,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
可选的,***行为数据样本包括向量数据和流量数据,向量数据包括调用函数名称、调用参数、被调用函数名称以及调用关系中的至少一种,流量数据包括目标地址、源地址、协议类型、操作类型以及操作数据中的至少一种;向量数据为数据探针通过挂钩方式从用户态和内核态的函数调用序列中获取;流量数据为数据探针通过过滤型驱动从网络协议栈和/或文件***的输入输出请求包中获取。
可选的,***行为态势感知***80还可以包括汇聚模块(图中未示出),用于在根据获取的***行为数据样本,确定***行为态势感知结果之前,将***行为数据样本的数据格式转换为图数据格式。
可选的,转换模块用于将***行为数据样本的数据格式转换为图数据格式,具体可以包括根据如下规则对***行为数据样本的数据格式进行转换:
节点表示调用函数或者被调用函数,边表示函数调用关系,度数表示函数被调用的次数;
和/或,
节点表示源地址或者目标地址,边表示传输方向和协议类型。
可选的,***行为态势感知***80还可以包括学习模块(图中未示出),用于获取用户对***行为态势感知结果的标注,标注包括拦截和放行;根据标注对***行为态势感知结果进行校正。
可选的,处理模块802用于根据获取的***行为数据样本,确定***行为态势感知结果,具体可以包括:
若***行为数据样本中存在多个进程均与同一目标节点建立连接,并且向该目标节点发送同类型协议的数据包,则确定该目标节点为潜在的高级持续性威胁点。
可选的,处理模块802用于根据获取的***行为数据样本,确定***行为态势感知结果,具体可以包括:
根据***行为数据样本中各个调用序列以及预设的高级持续性威胁特征码,确定各个调用序列对应的计算机中存在的高级持续性威胁;
和/或,
根据***行为数据样本中多个调用序列的行为和以及预设的高级持续性威胁特征码,确定局域网中存在的高级持续性威胁,行为和表示多个调用序列的共同过程。
图9为本发明提供的***行为态势感知***又一实施例的结构示意图。如图9所示,本实施例提供的***行为态势感知***可以包括:采集模块901、汇聚模块902、消息队列903、图数据库904、处理模块905和学习模块906。
其中,采集模块901用于获取***行为数据样本。具体的,通过分布式部署于局域网中的N(N>=2)个数据探针:数据探针1、数据探针2、……、数据探针N进行数据采集。为了进一步增加数据样本的多样性,各个数据探针通过多种采样手段进行数据采集,包括:用户态ShellCode、内核态SSDT HOOK、Windows过滤平台(Windows Filtering Platform,简称:WFP)挂钩、文件***过滤驱动和网络协议栈过滤驱动。
汇聚模块902用于收集采集模块901采集到的***行为数据样本,并进行格式转换。本实施例中各数据探针采集到的数据通过Proxy通道进行汇聚和转换。本实施例中将采集到***行为数据样本转换为图数据格式,具体包括:节点表示调用函数或者被调用函数,边表示函数调用关系,度数表示函数被调用的次数;和/或,节点表示源地址或者目标地址,边表示传输方向和协议类型。
消息队列903用于对汇聚模块902输出的数据进行排序和缓存,实现对数据的串行化和持久化。在数据流量较大时,可以有效避免数据的丢失。在实际中,可以选择性地进行设置。
图数据库904用于对格式转换为图数据格式的***行为数据样本进行存储、分析和关联。例如可以采用Neo4j数据库。
处理模块905用于根据图数据库904中存储的***行为数据样本确定***行为态势感知结果。具体确定方法可以参考上述方法实施例,此处不再赘述。需要说明的是,处理模块905中还可以包括APT规则研判、病毒检测引擎、漏洞检测引擎以及其他应用模块。例如,APT规则研判模块可以根据图数据库904中存储的***行为数据样本,进行APT规则研判。
学习模块906用于获取用户对***行为态势感知结果的标注,以便根据用户的标注进行校正。在实际中,可以选择性地进行设置。
本实施例提供的***行为态势感知***,通过分布式部署的数据探针采集数据,并采用图数据格式表示数据样本,能够提高***行为态势感知的可靠性和准确率。
本发明实施例还提供一种电子设备,请参见图10所示,本发明实施例仅以图10为例进行说明,并不表示本发明仅限于此。图10为本发明提供的电子设备一实施例的结构示意图。如图10所示,本实施例提供的电子设备100可以包括:存储器1001、处理器1002和总线1003。其中,总线1003用于实现各元件之间的连接。
存储器1001中存储有计算机程序,计算机程序被处理器1002执行时可以实现上述任一方法实施例的技术方案。
其中,存储器1001和处理器1002之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可以通过一条或者多条通信总线或信号线实现电性连接,如可以通过总线1003连接。存储器1001中存储有实现***行为态势感知方法的计算机程序,包括至少一个可以软件或固件的形式存储于存储器1001中的软件功能模块,处理器1002通过运行存储在存储器1001内的软件程序以及模块,从而执行各种功能应用以及数据处理。
存储器1001可以是,但不限于,随机存取存储器(Random Access Memory,简称:RAM),只读存储器(Read Only Memory,简称:ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称:PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称:EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,简称:EEPROM)等。其中,存储器1001用于存储程序,处理器1002在接收到执行指令后,执行程序。进一步地,上述存储器1001内的软件程序以及模块还可包括操作***,其可包括各种用于管理***任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通信,从而提供其他软件组件的运行环境。
处理器1002可以是一种集成电路芯片,具有信号的处理能力。上述的处理器1002可以是通用处理器,包括中央处理器(Central Processing Unit,简称:CPU)、网络处理器(Network Processor,简称:NP)等。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。可以理解,图10的结构仅为示意,还可以包括比图10中所示更多或者更少的组件,或者具有与图10所示不同的配置。图10中所示的各组件可以采用硬件和/或软件实现。
需要说明的是,本实施例提供的电子设备包括但不限于以下中的至少一个:用户侧设备、网络侧设备。用户侧设备包括但不限于计算机、智能手机、平板电脑、数字广播终端、消息收发设备、游戏控制台、个人数字助理等。网络侧设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机组成的一个超级虚拟计算机。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时可以实现上述任一方法实施例提供的***行为态势感知方法。本实施例中的计算机可读存储介质可以是计算机能够存取的任何可用介质,或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备,可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD)等。
本领域技术人员可以理解,上述实施方式中各种方法的全部或部分功能可以通过硬件的方式实现,也可以通过计算机程序的方式实现。当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器、随机存储器、磁盘、光盘、硬盘等,通过计算机执行该程序以实现上述功能。例如,将程序存储在设备的存储器中,当通过处理器执行存储器中程序,即可实现上述全部或部分功能。另外,当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序也可以存储在服务器、另一计算机、磁盘、光盘、闪存盘或移动硬盘等存储介质中,通过下载或复制保存到本地设备的存储器中,或对本地设备的***进行版本更新,当通过处理器执行存储器中的程序时,即可实现上述实施方式中全部或部分功能。
以上应用了具体个例对本发明进行阐述,只是用于帮助理解本发明,并不用以限制本发明。对于本发明所属技术领域的技术人员,依据本发明的思想,还可以做出若干简单推演、变形或替换。
Claims (10)
1.一种***行为态势感知方法,其特征在于,包括:
通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个所述数据探针部署于所述局域网中的多个所述计算机内部;
根据获取的***行为数据样本,确定***行为态势感知结果。
2.如权利要求1所述的方法,其特征在于,
所述***行为数据样本包括向量数据和流量数据,所述向量数据包括调用函数名称、调用参数、被调用函数名称以及调用关系中的至少一种,所述流量数据包括目标地址、源地址、协议类型、操作类型以及操作数据中的至少一种;
所述向量数据为所述数据探针通过挂钩方式从用户态和内核态的函数调用序列中获取;
所述流量数据为所述数据探针通过过滤型驱动从网络协议栈和/或文件***的输入输出请求包中获取。
3.如权利要求2所述的方法,其特征在于,所述根据获取的***行为数据样本,确定***行为态势感知结果之前,所述方法还包括:
将所述***行为数据样本的数据格式转换为图数据格式。
4.如权利要求3所述的方法,其特征在于,所述将所述***行为数据样本的数据格式转换为图数据格式,包括根据如下规则对所述***行为数据样本的数据格式进行转换:
节点表示调用函数或者被调用函数,边表示函数调用关系,度数表示函数被调用的次数;
和/或,
节点表示源地址或者目标地址,边表示传输方向和协议类型。
5.如权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
获取用户对***行为态势感知结果的标注,所述标注包括拦截和放行;
根据所述标注对所述***行为态势感知结果进行校正。
6.如权利要求1-4任一项所述的方法,其特征在于,所述根据获取的***行为数据样本,确定***行为态势感知结果,包括:
若所述***行为数据样本中存在多个进程均与同一目标节点建立连接,并且向该目标节点发送同类型协议的数据包,则确定该目标节点为潜在的高级持续性威胁点。
7.如权利要求1-4任一项所述的方法,其特征在于,所述根据获取的***行为数据样本,确定***行为态势感知结果,包括:
根据所述***行为数据样本中各个调用序列以及预设的高级持续性威胁特征码,确定各个调用序列对应的计算机中存在的高级持续性威胁;
和/或,
根据所述***行为数据样本中多个调用序列的行为和以及预设的高级持续性威胁特征码,确定所述局域网中存在的高级持续性威胁,所述行为和表示所述多个调用序列的共同过程。
8.一种***行为态势感知***,其特征在于,包括:
采集模块,用于通过多个数据探针获取局域网中多个计算机的***行为数据样本,多个所述数据探针部署于所述局域网中的多个所述计算机内部;
处理模块,用于根据获取的***行为数据样本,确定***行为态势感知结果。
9.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1-7任一项所述的***行为态势感知方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-7任一项所述的***行为态势感知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910870313.5A CN110597690A (zh) | 2019-09-16 | 2019-09-16 | ***行为态势感知方法、***及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910870313.5A CN110597690A (zh) | 2019-09-16 | 2019-09-16 | ***行为态势感知方法、***及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110597690A true CN110597690A (zh) | 2019-12-20 |
Family
ID=68859768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910870313.5A Pending CN110597690A (zh) | 2019-09-16 | 2019-09-16 | ***行为态势感知方法、***及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110597690A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9094288B1 (en) * | 2011-10-26 | 2015-07-28 | Narus, Inc. | Automated discovery, attribution, analysis, and risk assessment of security threats |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知***、方法及可读存储介质 |
| CN108039959A (zh) * | 2017-11-29 | 2018-05-15 | 深信服科技股份有限公司 | 一种数据的态势感知方法、***及相关装置 |
| CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测***及方法 |
-
2019
- 2019-09-16 CN CN201910870313.5A patent/CN110597690A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9094288B1 (en) * | 2011-10-26 | 2015-07-28 | Narus, Inc. | Automated discovery, attribution, analysis, and risk assessment of security threats |
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知***、方法及可读存储介质 |
| CN108039959A (zh) * | 2017-11-29 | 2018-05-15 | 深信服科技股份有限公司 | 一种数据的态势感知方法、***及相关装置 |
| CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11736530B2 (en) | Framework for coordination between endpoint security and network security services | |
| US10581892B2 (en) | Automatically grouping malware based on artifacts | |
| US10530789B2 (en) | Alerting and tagging using a malware analysis platform for threat intelligence made actionable | |
| Bayer et al. | Scalable, behavior-based malware clustering. | |
| US10200390B2 (en) | Automatically determining whether malware samples are similar | |
| US10200389B2 (en) | Malware analysis platform for threat intelligence made actionable | |
| EP3113063A1 (en) | System and method for detecting malicious code in random access memory | |
| CN109076063A (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| CN109379347B (zh) | 一种安全防护方法及设备 | |
| WO2018191089A1 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| EP3423980A1 (en) | Automatically grouping malware based on artifacts | |
| CN109558207B (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的***和方法 | |
| US9805190B1 (en) | Monitoring execution environments for approved configurations | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| US8572729B1 (en) | System, method and computer program product for interception of user mode code execution and redirection to kernel mode | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN113010268A (zh) | 恶意程序识别方法及装置、存储介质、电子设备 | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN110597690A (zh) | ***行为态势感知方法、***及设备 | |
| KR20230162836A (ko) | 컨테이너 가상화 환경에서의 보안 이벤트 처리 방법 및 장치 | |
| JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
| KR20200075725A (ko) | 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치 | |
| US20240154992A1 (en) | Event-driven collection and monitoring of resources in a cloud computing environment | |
| CN116720195B (zh) | 一种操作***漏洞识别方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
| RJ01 | Rejection of invention patent application after publication |