CN112069505A - 一种审计信息处理方法及电子设备 - Google Patents
一种审计信息处理方法及电子设备 Download PDFInfo
- Publication number
- CN112069505A CN112069505A CN202010967910.2A CN202010967910A CN112069505A CN 112069505 A CN112069505 A CN 112069505A CN 202010967910 A CN202010967910 A CN 202010967910A CN 112069505 A CN112069505 A CN 112069505A
- Authority
- CN
- China
- Prior art keywords
- record information
- event record
- processing
- determining
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种审计信息处理方法及电子设备,包括:获得调用***调用函数的事件记录信息;对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;对所述第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果;基于所述分析结果确定第二处理策略;基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息。本发明的审计信息处理方法能够快速高效进行信息审计,且有效降低***的审计处理负荷。
Description
技术领域
本发明实施例涉及智能设备领域,特别涉及一种审计信息处理方法及电子设备。
背景技术
Linux内核层:安全性、内存管理、进程管理、网络协议栈和驱动模型等都依赖于该内核。Linux内核同时也作为硬件和软件栈之间的抽象层。Linux内核层提供了几乎所有手机、平板电脑相关设备的驱动程序,提供内存管理、***进程管理、文件***管理、电源管理、USB管理等
Linux应用层:负责应用程序间沟通,如超文本传输(HTTP)、简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等.,它是在我们整个网络结构体系的最上层,所以传输上来的数据已经是我们需要的数据了,而传送下去的数据,一定是我们最初始的数据。而网络编程也就是主要针对应用层,因为我们写的程序本质上就是进程。
Linux内核***调用函数:Linux内核***调用是指所有的操作***在其内核里都有一些内建的函数,这些函数可以用来完成一些***级别的功能。Linux***使用的这样的函数。
Kauditd:内核审计守护线程服务。记录内核***调用函数的调用情况。
目前,***在基于***调用函数来审计安全漏洞时,会调取全部的审计日志进行详细分析,实现安全审核。其中,该审计日志通常由Kauditd记录生成,其包括调用的***调用函数,以及该函数执行的具体任务,如哪个程序调用了该函数,写入了那些信息,开启了哪些文件等。而由于审计日志记载了大量信息,故在进行安全审核时会由于信息量过大,而导致CPU的负载急剧升高,部分信息遗漏,安全审核效果较差。
发明内容
本发明提供了一种能够快速高效地进行信息审计,且有效降低***的审计处理负荷的审计信息处理方法及应用该方法的电子设备。
为了解决上述技术问题,本发明实施例提供了一种审计信息处理方法,包括:
获得调用***调用函数的事件记录信息;
对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;
对所述第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果;
基于所述分析结果确定第二处理策略;
基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息。
作为优选,还包括:
基于所述第二事件记录信息对所述满足威胁条件的分析结果进行分析处理,得到威胁事件信息。
作为优选,还包括:
基于具有安全漏洞的历史事件记录信息确定产生安全漏洞行为的频率满足预设阈值的第一***调用函数;
基于所述第一***调用函数形成用于过滤所述事件记录信息的第一过滤条件。
作为优选,所述对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息,包括:
基于所述第一过滤条件对所述事件记录信息进行第一过滤处理,得到调用了所述第一***调用函数的第一事件记录信息。
作为优选,所述对所述第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果,包括:
将所述第一事件记录信息发送至云端服务器;
获得由所述云端服务器基于用于检测安全漏洞的审计规则对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果。
作为优选,所述基于所述分析结果确定第二处理策略,包括:
基于所述分析结果确定所述第一事件记录信息中记录的目标进程,所述目标进程为初步判断为恶意程序控制执行的进程;
确定所述目标进程的进程号及进程名称;
基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略。
作为优选,还包括:
对所述第一***调用函数建立键值对;
所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略,包括:
基于所述目标进程的进程号及进程名称确定记录有所述目标进程的第一事件记录信息;
基于所述记录有目标进程的第一事件记录信息确定对应的所述第一***调用函数;
至少匹配调整所述对应的第一***调用函数的键值对数值,以形成所述第二处理策略。
作为优选,所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略,还包括:
基于所述目标进程确定目标行为;
基于所述目标行为确定执行所述目标行为所需调用的第二***调用函数;
基于第二***调用函数以及第一***调用函数形成所述第二处理策略。
作为优选,所述基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息,包括:
基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到包含有能够辅助精确判断所述目标进程是否由恶意程序控制执行信息的第二事件记录信息。
本发明另一实施例同时提供一种电子设备,包括:
处理模块,其用于获得调用***调用函数的事件记录信息,对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;获得对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果;基于所述分析结果确定第二处理策略;基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括通过对调用***调用函数的事件记录信息基于第一处理策略而进行第一过滤处理,得到第一事件记录信息,接着通过对第一事件记录信息进行漏洞分析处理,而间接确定出第二处理策略,基于第二处理策略***能够对事件记录信息进行精度更高的过滤处理,以辅助得到能够更快更准确地确定安全漏洞事件的信息。上述过程由于无需对所有事件记录信息均进行分析,故显著降低了***的处理负荷,并可实现对事件记录信息快速高效地进行安全漏洞审核,最终确定出安全漏洞事件,提高了***的安全审核效率。
附图说明
图1为本发明的审计信息的处理方法的流程图。
图2为本发明的审计信息的处理方法的应用图。
图3为本发明的电子设备的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
如图1和图2所示,本发明实施例提供一种审计信息处理方法,包括:
获得调用***调用函数的事件记录信息;
对事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;
对第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果;
基于分析结果确定第二处理策略;
基于第二处理策略对事件记录信息进行第二过滤处理,得到第二事件记录信息。
例如,***可自Kauditd程序中获得调用***调用函数的事件记录信息,接着对获得的事件记录信息进行第一过滤处理,具体过滤处理过程是基于第一处理策略实现,并得到第一事件记录信息的。该第一处理策略可理解为一过滤网,其可以包括多个目标字段,该多个目标字段可理解为恶意程序调用***调用函数的过程中被记录在事件记录信息中的字段信息,故基于该目标字段,可辅助***确定出记录有易于引发安全漏洞事件信息的第一事件记录信息。在得到第一事件记录信息后,对其进行漏洞分析处理,得到满足威胁条件的分析结果,相当于得到恐会引发安全漏洞的调用事件信息,接着***基于该分析结果确定第二处理策略,使基于第二处理策略对事件记录信息进行第二过滤处理,最终得到能够辅助***更快更准确地确定出安全漏洞事件信息的第二事件记录信息。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括通过对调用***调用函数的事件记录信息基于第一处理策略而进行第一过滤处理,得到第一事件记录信息,接着通过对第一事件记录信息进行漏洞分析处理,而间接确定出第二处理策略,基于第二处理策略***能够对事件记录信息进行精度更高的过滤处理,以辅助得到能够更快更准确地确定安全漏洞事件的信息。上述过程由于无需对所有事件记录信息均进行分析,故显著降低了***的处理负荷,并可实现对事件记录信息快速高效地进行安全漏洞审核,最终确定出安全漏洞事件,提高了***的安全审核效率。
进一步地,本实施例中的方法还包括:
基于第二事件记录信息对满足威胁条件的分析结果进行分析处理,得到威胁事件信息。
例如,基于第二事件记录信息,可更加精准地确定是否有恶意木马程序调用***调用函数来执行恶意进程,而且还可基于该威胁事件信息而绘制出木马程序的攻击链路等。
进一步地,本实施例中的方法还包括:
基于具有安全漏洞的历史事件记录信息确定产生安全漏洞行为的频率满足预设阈值的第一***调用函数;
基于第一***调用函数形成用于过滤事件记录信息的第一过滤条件。
也就是***基于具有安全漏洞的历史事件记录信息,或其他关于安全漏洞检测的历史数据确定了易于产生安全漏洞行为的第一***调用函数,相当于恶意程序易通过第一***调用函数开启恶意进程。当确定了第一***调用函数后,***便将多个第一***调用函数的名称字段集合形成上述文所述的过滤网,使基于该过滤网实现对全部事件记录信息的初步过滤。实际应用时***可以抓取发生的“创建子进程”、“执行新的程序”、“绑定tcp端口”、“连接外网”等行为所调用的***调用函数作为第一***调用函数,例如,***调用函数共300个,而过滤网共有48个字段,可以包括a0 a1 a2 a3 arch devmajor devminordirauid egid euid sgid fsuid gid suid uid pid ppid sgid sessionidexe exitsuccess field_compare filetype finode fstype key loginuid msgtype obj_gidobj_lev_high obj_lev_low obj_role obj_type obj_uid obj_user path perm perssaddr_fam subj_clr subj_rolesubj_sen subj_type subj_user。上述48个字段可由***调用函数clone、fork、vfork、connect、bind、listen、execve而生成。
进一步地,本实施例中在对事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息的过程中,包括:
基于第一过滤条件对事件记录信息进行第一过滤处理,得到调用了第一***调用函数的第一事件记录信息。
例如,对事件记录信息基于上述48个字段进行第一过滤处理,具体为将事件记录信息中的每一条信息均遍历48个字段,每确定有一条信息具有上述48个字段的至少一个字段时,便可基于该字段而确定出该事件的执行过程中具体调用了哪个第一***调用函数,最终得到调用了第一***调用函数的第一事件记录信息。由于被木马等恶意程序调用的函数的事件触发率相比函数的正常调度使用而言是较少的,故通过该种过滤方法可有效降低***后续的漏洞分析处理负荷,不会为***带来较大负担,且由于处理量骤降,故能够保证***在后续的分析处理环节精度更高,不会轻易出现遗漏或误判的风险。
进一步地,本实施例中在对第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果的过程中,包括:
将第一事件记录信息发送至云端服务器;
获得由云端服务器基于对第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果。
例如,***在过滤得到了第一事件记录信息后,可将其发送至云端服务器,或云端控制后台,由其对第一事件记录信息基于用于检测安全漏洞的审计规则进行漏洞分析,得到满足威胁条件的分析结果,例如经云端服务器的分析确定出第一事件记录信息中具有与审计规则中记录的威胁事件相匹配的信息,故此时云端服务器便可据此确定目标事件记录信息,并基于目标事件记录信息而生成分析结果,并将分析结果发送至本地***。
具体应用时,审计规则可由云端服务器从第三方获得的实时更新的威胁情报而更新确定,或者,云端服务器也可自身基于对历史数据的分析而生成,并存储在服务器中,具体不定。本地***中可增设一硬件,如Agent程序,其为一种监控审计的程序,云端服务器可利用该Agent程序而实现与Kauditd程序的交互,其中,上述的过滤网存在于Kauditd程序中,执行过滤的过程也可由该程序负责。
进一步地,本实施例中基于分析结果确定第二处理策略时,包括:
基于分析结果确定第一事件记录信息中记录的目标进程,目标进程为初步判断为恶意程序控制执行的进程;
确定目标进程的进程号及进程名称;
基于目标进程的进程号及进程名称确定用于抓取目标进程的目标行为的第二处理策略。
例如,可由云端服务器经分析确定出第一事件记录信息中记录的目标进程,并确定出了目标进程的进程号及进程名称后发送至本地***,也可直接由本地***确定上述信息,例如为上述Agent程序确定该信息,当Agent程序或接收或自行确定了目标进程的进程号及进程名称后,可控制Kauditd程序,使通过Kauditd程序而抓取关于目标进程的更多能够证明该目标进程由恶意程序控制执行的目标行为,使获得的更多的目标行为信息形成第二处理策略。
具体地,本实施例中的方法还包括:
对第一***调用函数建立键值对;
基于目标进程的进程号及进程名称确定用于抓取目标进程的目标行为的第二处理策略,包括:
基于目标进程的进程号及进程名称确定记录有目标进程的第一事件记录信息;
基于记录有目标进程的第一事件记录信息确定对应的第一***调用函数;
至少匹配调整对应的第一***调用函数的键值对数值,以形成第二处理策略。
例如,上述过滤网的48个参数不变,相当于key值不会变,但是对应每个key值的Value值会基于目标进程涉及的第一***调用函数而进行相应调整,使得调整后的Value值能够使过滤后的事件记录信息中记录的内容更加贴近漏洞相关数据、对应的告警相关数据,也即,使基于调整后的过滤网形成的第二处理策略来对事件记录信息进行过滤处理后得到的事件记录信息会更大程度地记载有恶意程序引发的进程的信息,更能够辅助***或云端服务器尽快发现安全漏洞。实际应用时,上述键值对赋值的调整可由Agent程序控制Kauditd程序执行。
进一步地,本实施例中基于目标进程的进程号及进程名称确定用于抓取目标进程的目标行为的第二处理策略,还包括:
基于目标进程确定目标行为;
基于目标行为确定执行目标行为所需调用的第二***调用函数;
基于第二***调用函数以及第一***调用函数形成第二处理策略。
基于第二处理策略对事件记录信息进行第二过滤处理,得到第二事件记录信息,包括:
基于第二处理策略对事件记录信息进行第二过滤处理,得到包含有能够辅助精确判断目标进程是否由恶意程序控制执行信息的第二事件记录信息。
例如,Agent程序可在确定出目标行为后控制Kauditd程序在过滤网中增加执行目标行为所需调用的第二***调用函数所涉及的字段,例如read(用于确定读取了哪些文件)、open(用于确定打开了哪些文件)、write(用于确定写入了哪些信息,将信息写入了哪些文件中)、ins_mod(用于确定加载了哪些内核模块)、sysctl(用于确定修改了哪些***配置)等。基于上述字段以及之前调整过、未调整过键值对的字段共同形成的第二处理策略,可在对事件记录信息进行过滤处理时抓取更多关于目标进程执行的进程行为,精细行为粒度,使在后续经过云端处理器进行漏洞分析时,更能够精准地判断之前怀疑的目标进程是否是恶意程序控制执行的。
如图3所示,本实施例中同时提供一种电子设备,包括:
处理模块,其用于获得调用***调用函数的事件记录信息,对事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;获得对第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果;基于分析结果确定第二处理策略;基于第二处理策略对事件记录信息进行第二过滤处理,得到第二事件记录信息。
例如,处理模块可自Kauditd程序中获得调用处理模块调用函数的事件记录信息,接着对获得的事件记录信息进行第一过滤处理,具体过滤处理过程是基于第一处理策略实现,并得到第一事件记录信息的。该第一处理策略可理解为一过滤网,其可以包括多个目标字段,该多个目标字段可理解为恶意程序调用处理模块调用函数的过程中被记录在事件记录信息中的字段信息,故基于该目标字段,可辅助处理模块确定出记录有易于引发安全漏洞事件信息的第一事件记录信息。在得到第一事件记录信息后,对其进行漏洞分析处理,得到满足威胁条件的分析结果,相当于得到恐会引发安全漏洞的调用事件信息,接着处理模块基于该分析结果确定第二处理策略,使基于第二处理策略对事件记录信息进行第二过滤处理,最终得到能够辅助处理模块更快更准确地确定出安全漏洞事件信息的第二事件记录信息。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括通过对调用处理模块调用函数的事件记录信息基于第一处理策略而进行第一过滤处理,得到第一事件记录信息,接着通过对第一事件记录信息进行漏洞分析处理,而间接确定出第二处理策略,基于第二处理策略处理模块能够对事件记录信息进行精度更高的过滤处理,以辅助得到能够更快更准确地确定安全漏洞事件的信息。上述过程由于无需对所有事件记录信息均进行分析,故显著降低了处理模块的处理负荷,并可实现对事件记录信息快速高效地进行安全漏洞审核,最终确定出安全漏洞事件,提高了处理模块的安全审核效率。
进一步地,本实施例中的处理模块还用于:
基于所述第二事件记录信息对所述满足威胁条件的分析结果进行分析处理,得到威胁事件信息。
进一步地,本实施例中的处理模块还用于:
基于具有安全漏洞的历史事件记录信息确定产生安全漏洞行为的频率满足预设阈值的第一***调用函数;
基于所述第一***调用函数形成用于过滤所述事件记录信息的第一过滤条件。
进一步地,本实施例中的处理模块对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息,包括:
基于所述第一过滤条件对所述事件记录信息进行第一过滤处理,得到调用了所述第一***调用函数的第一事件记录信息。
进一步地,本实施例中的处理模块对所述第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果,包括:
将所述第一事件记录信息发送至云端服务器;
获得由所述云端服务器基于用于检测安全漏洞的审计规则对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果。
进一步地,本实施例中的处理模块基于所述分析结果确定第二处理策略,包括:
基于所述分析结果确定所述第一事件记录信息中记录的目标进程,所述目标进程为初步判断为恶意程序控制执行的进程;
确定所述目标进程的进程号及进程名称;
基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略。
进一步地,本实施例中的处理模块还用于:
对所述第一***调用函数建立键值对;
所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略,包括:
基于所述目标进程的进程号及进程名称确定记录有所述目标进程的第一事件记录信息;
基于所述记录有目标进程的第一事件记录信息确定对应的所述第一***调用函数;
至少匹配调整所述对应的第一***调用函数的键值对数值,以形成所述第二处理策略。
进一步地,本实施例中的处理模块基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略,还包括:
基于所述目标进程确定目标行为;
基于所述目标行为确定执行所述目标行为所需调用的第二***调用函数;
基于第二***调用函数以及第一***调用函数形成所述第二处理策略。
进一步地,本实施例中的处理模块基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息,包括:
基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到包含有能够辅助精确判断所述目标进程是否由恶意程序控制执行信息的第二事件记录信息。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (10)
1.一种审计信息处理方法,包括:
获得调用***调用函数的事件记录信息;
对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;
对所述第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果;
基于所述分析结果确定第二处理策略;
基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息。
2.根据权利要求1所述的方法,其中,还包括:
基于所述第二事件记录信息对所述满足威胁条件的分析结果进行分析处理,得到威胁事件信息。
3.根据权利要求1所述的方法,其中,还包括:
基于具有安全漏洞的历史事件记录信息确定产生安全漏洞行为的频率满足预设阈值的第一***调用函数;
基于所述第一***调用函数形成用于过滤所述事件记录信息的第一过滤条件。
4.根据权利要求3所述的方法,其中,所述对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息,包括:
基于所述第一过滤条件对所述事件记录信息进行第一过滤处理,得到调用了所述第一***调用函数的第一事件记录信息。
5.根据权利要求1所述的方法,其中,所述对所述第一事件记录信息进行漏洞分析处理,得到满足威胁条件的分析结果,包括:
将所述第一事件记录信息发送至云端服务器;
获得由所述云端服务器基于用于检测安全漏洞的审计规则对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果。
6.根据权利要求3所述的方法,其中,所述基于所述分析结果确定第二处理策略,包括:
基于所述分析结果确定所述第一事件记录信息中记录的目标进程,所述目标进程为初步判断为恶意程序控制执行的进程;
确定所述目标进程的进程号及进程名称;
基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略。
7.根据权利要求6所述的方法,其中,还包括:
对所述第一***调用函数建立键值对;
所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略,包括:
基于所述目标进程的进程号及进程名称确定记录有所述目标进程的第一事件记录信息;
基于所述记录有目标进程的第一事件记录信息确定对应的所述第一***调用函数;
至少匹配调整所述对应的第一***调用函数的键值对数值,以形成所述第二处理策略。
8.根据权利要求7所述的方法,其中,所述基于所述目标进程的进程号及进程名称确定用于抓取所述目标进程的目标行为的所述第二处理策略,还包括:
基于所述目标进程确定目标行为;
基于所述目标行为确定执行所述目标行为所需调用的第二***调用函数;
基于第二***调用函数以及第一***调用函数形成所述第二处理策略。
9.根据权利要求6所述的方法,其中,所述基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息,包括:
基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到包含有能够辅助精确判断所述目标进程是否由恶意程序控制执行信息的第二事件记录信息。
10.一种电子设备,包括:
处理模块,其用于获得调用***调用函数的事件记录信息,对所述事件记录信息基于预设的第一处理策略进行第一过滤处理,得到第一事件记录信息;获得对所述第一事件记录信息进行漏洞分析处理而得到的满足威胁条件的分析结果;基于所述分析结果确定第二处理策略;基于所述第二处理策略对所述事件记录信息进行第二过滤处理,得到第二事件记录信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010967910.2A CN112069505B (zh) | 2020-09-15 | 2020-09-15 | 一种审计信息处理方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010967910.2A CN112069505B (zh) | 2020-09-15 | 2020-09-15 | 一种审计信息处理方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112069505A true CN112069505A (zh) | 2020-12-11 |
| CN112069505B CN112069505B (zh) | 2021-11-23 |
Family
ID=73695871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010967910.2A Active CN112069505B (zh) | 2020-09-15 | 2020-09-15 | 一种审计信息处理方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112069505B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116089955A (zh) * | 2022-12-01 | 2023-05-09 | 之江实验室 | 一种基于windows操作***的***调用去噪方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102263773A (zh) * | 2010-05-25 | 2011-11-30 | 腾讯科技(深圳)有限公司 | 实时防护的方法和装置 |
| CN103235913A (zh) * | 2013-04-03 | 2013-08-07 | 北京奇虎科技有限公司 | 一种用于识别、拦截捆绑软件的***、设备及方法 |
| CN108848088A (zh) * | 2018-06-12 | 2018-11-20 | 浪潮软件集团有限公司 | 一种基于大数据行为分析的安全测试***和方法 |
| CN109543411A (zh) * | 2018-11-29 | 2019-03-29 | 北京元心科技有限公司 | 应用程序监控方法、装置、电子设备及可读存储介质 |
| CN109639726A (zh) * | 2018-12-31 | 2019-04-16 | 微梦创科网络科技(中国)有限公司 | 入侵检测方法、装置、***、设备及存储介质 |
| CN109784049A (zh) * | 2018-12-21 | 2019-05-21 | 北京奇安信科技有限公司 | 威胁数据处理的方法、设备、***和介质 |
| CN109829307A (zh) * | 2018-06-26 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 进程行为识别方法及装置 |
| US20190306170A1 (en) * | 2018-03-30 | 2019-10-03 | Yanlin Wang | Systems and methods for adaptive data collection using analytics agents |
| CN110968868A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 应用安全审计方法、装置、电子设备及存储介质 |
| CN111241546A (zh) * | 2020-01-12 | 2020-06-05 | 苏州浪潮智能科技有限公司 | 一种恶意软件行为检测方法和装置 |
-
2020
- 2020-09-15 CN CN202010967910.2A patent/CN112069505B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102263773A (zh) * | 2010-05-25 | 2011-11-30 | 腾讯科技(深圳)有限公司 | 实时防护的方法和装置 |
| CN103235913A (zh) * | 2013-04-03 | 2013-08-07 | 北京奇虎科技有限公司 | 一种用于识别、拦截捆绑软件的***、设备及方法 |
| US20190306170A1 (en) * | 2018-03-30 | 2019-10-03 | Yanlin Wang | Systems and methods for adaptive data collection using analytics agents |
| CN108848088A (zh) * | 2018-06-12 | 2018-11-20 | 浪潮软件集团有限公司 | 一种基于大数据行为分析的安全测试***和方法 |
| CN109829307A (zh) * | 2018-06-26 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 进程行为识别方法及装置 |
| CN109543411A (zh) * | 2018-11-29 | 2019-03-29 | 北京元心科技有限公司 | 应用程序监控方法、装置、电子设备及可读存储介质 |
| CN109784049A (zh) * | 2018-12-21 | 2019-05-21 | 北京奇安信科技有限公司 | 威胁数据处理的方法、设备、***和介质 |
| CN109639726A (zh) * | 2018-12-31 | 2019-04-16 | 微梦创科网络科技(中国)有限公司 | 入侵检测方法、装置、***、设备及存储介质 |
| CN110968868A (zh) * | 2019-11-20 | 2020-04-07 | 北京国舜科技股份有限公司 | 应用安全审计方法、装置、电子设备及存储介质 |
| CN111241546A (zh) * | 2020-01-12 | 2020-06-05 | 苏州浪潮智能科技有限公司 | 一种恶意软件行为检测方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| S. LV等: ""Intrusion Prediction With System-Call Sequence-to-Sequence Model,"", 《DOI: 10.1109/ACCESS.2018.2881561》 * |
| 刘丹婷: ""基于联动机制的蜜网主机入侵检测***的研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 吴瀛 等: ""基于***调用的入侵检测研究进展"", 《计算机科学》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116089955A (zh) * | 2022-12-01 | 2023-05-09 | 之江实验室 | 一种基于windows操作***的***调用去噪方法及装置 |
| CN116089955B (zh) * | 2022-12-01 | 2023-09-26 | 之江实验室 | 一种基于windows操作***的***调用去噪方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112069505B (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| US10826933B1 (en) | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints | |
| JP6726706B2 (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
| CN105939350B (zh) | 网络访问控制方法和*** | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| WO2021189257A1 (zh) | 恶意进程的检测方法、装置、电子设备及存储介质 | |
| CN107315957A (zh) | 摄像头的控制方法及装置 | |
| CN111614624A (zh) | 风险检测方法、装置、***及存储介质 | |
| WO2006137657A1 (en) | Method for intercepting malicious code in computer system and system therefor | |
| CN111327601A (zh) | 异常数据响应方法、***、装置、计算机设备和存储介质 | |
| CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
| CN111262875B (zh) | 服务器安全监测方法、装置、***及存储介质 | |
| CN115859274B (zh) | 一种监控Windows进程清空***事件日志行为的方法及*** | |
| CN112784268A (zh) | 一种主机行为数据的分析方法、装置、设备及存储介质 | |
| CN112069505B (zh) | 一种审计信息处理方法及电子设备 | |
| CN116340943A (zh) | 应用程序保护方法、装置、设备、存储介质和程序产品 | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN112272175A (zh) | 一种基于dns的木马病毒检测方法 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| US20140068761A1 (en) | Abuse identification of front-end based services | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及*** | |
| Chen et al. | An autonomic detection and protection system for denial of service attack | |
| CN113329001A (zh) | 一种基于用户端异常行为的网络威胁发现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |