CN114629696A - 一种安全检测方法、装置、电子设备及存储介质 - Google Patents

一种安全检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114629696A
CN114629696A CN202210188255.XA CN202210188255A CN114629696A CN 114629696 A CN114629696 A CN 114629696A CN 202210188255 A CN202210188255 A CN 202210188255A CN 114629696 A CN114629696 A CN 114629696A
Authority
CN
China
Prior art keywords
terminal
operation behavior
abnormal
target
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210188255.XA
Other languages
English (en)
Inventor
刘紫千
常力元
孙福兴
李金伟
余启明
顾庆崴
陈林
刘长波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Safety Technology Co Ltd
Original Assignee
Tianyi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianyi Safety Technology Co Ltd filed Critical Tianyi Safety Technology Co Ltd
Priority to CN202210188255.XA priority Critical patent/CN114629696A/zh
Publication of CN114629696A publication Critical patent/CN114629696A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本申请实施例提供了一种安全检测方法、装置、电子设备及存储介质,通过对待检测的目标终端进行实时监控,实现针对目标终端的轻量化数据采集,并基于预设的检测规则,分别对采集获得的终端运行数据中,记录的至少一个终端操作行为进行异常分析,从而有效减少了安全检测分析过程对目标终端带来的大量运行负荷,降低了目标终端的***运行消耗。同时,上述方法使得管理对象能够基于获得的终端运行数据,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,从而进一步保证了针对目标终端的安全检测的准确性。

Description

一种安全检测方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种安全检测方法、装置、电子设备及存储介质。
背景技术
随着信息化时代的发展,各种网络攻击行为层出不穷,对目标对象的信息资产构成了极大的安全威胁。在此基础上,为维护目标对象的信息安全,除了配备完善的防御***(如,网络防火墙等)外,往往还需要依据其目标终端所属网络环境,构建相应的入侵检测***(Intrusion Detection System,IDS),从而对网络环境中,针对目标终端触发的各项异常操作行为作出及时响应。
具体的,相关技术中,为维护目标对象的信息安全,往往需要在其指定的目标终端中,部署相应的检测代理模块,从而使该程序以目标终端中存储的终端运行数据(如,***日志、应用程序日志等)为数据源,对其中记载的各项终端操作行为进行分析、判断,并对分析出的各项异常操作行为作出及时地响应、预警。进一步的,目标终端将相应告警信息发送给指定的管理平台,以使相关管理对象基于接收到的告警信息,确定相应的安全检测方案,从而帮助目标对象实现针对目标终端的安全检测。
然而,上述方式尚且存在以下缺陷:
1、终端负荷较大。
相关技术中,由于终端运行数据的数据量通常较大,因此,在检测代理模块对其中记载的各项终端操作行为进行分析的过程中,往往会对目标终端产生较大的运行负荷,从而对目标终端上的其他业务的正常运行产生不利影响。
2、检测准确率较低。
相关技术中,入侵检测***往往根据其检测出的各个异常操作行为各自的告警类型,分别向管理对象提供相应的告警信息,然而,由于上述告警方式,未进一步体现出各个异常操作行为间,关联的正常操作行为,导致实际状况下,管理对象难以确定基于获得的告警信息,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,即相关技术中,针对目标终端的告警信息往往存在单一的问题,导致实际状况下,管理对象对目标终端的安全检测分析不够全面,从而影响针对目标终端的安全检测的准确性。
发明内容
本申请实施例提供一种安全检测方法、装置、电子设备及存储介质,用于降低安全检测过程中,针对目标终端产生的大量运行负荷,并提升安全检测的准确率。
第一方面,本申请实施例提供一种安全检测方法,包括:
获取待检测的目标终端的终端运行数据,其中,终端运行数据中记录针对目标终端触发的至少一个终端操作行为。
基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
基于至少一个异常操作行为各自的操作类型,确定目标终端中,相应操作类型各自的累积操作次数,并基于获得的各个累积操作次数,生成相应的目标告警信息。
将目标告警信息及终端运行数据发往指定的管理服务器,进行针对目标终端的安全检测分析。
第二方面,本申请实施例提供一种安全检测装置,包括:
获取模块,用于获取待检测的目标终端的终端运行数据,其中,终端运行数据中记录针对目标终端触发的至少一个终端操作行为。
检测模块,用于基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
告警模块,用于基于至少一个异常操作行为各自的操作类型,确定目标终端中,相应操作类型各自的累积操作次数,并基于获得的各个累积操作次数,生成相应的目标告警信息。
传递模块,用于将目标告警信息及终端运行数据发往指定的管理服务器,进行针对目标终端的安全检测分析。
在一种可选的实施例中,在获取待检测的目标终端的终端运行数据时,获取模块具体用于:
对待检测的目标终端进行实时监测,获取目标终端的终端日志数据,其中,终端日志数据中记录针对目标终端触发的至少一个终端操作行为。
基于预设的解析规则,对终端日志数据进行解析,并基于解析结果,从终端日志数据中,确定待检测的终端运行数据。
在一种可选的实施例中,在基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为时,检测模块具体用于:
对至少一个终端操作行为中,相应操作时间满足预设检测时间条件的各个终端操作行为进行聚合,并基于聚合结果,从至少一个终端操作行为中,确定待检测的至少一个操作行为组合。
基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
在一种可选的实施例中,在基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析时,检测模块具体用于:
针对至少一个操作行为组合,分别执行以下操作:
确定一个操作行为组合与异常行为序列之间的相似度。
若相似度小于预设的相似度门限,则确定一个操作行为组合包含的各个终端操作行为,为相应的正常操作行为。
若相似度不小于预设的相似度门限,则确定一个操作行为组合包含的各个终端操作行为,为相应的异常操作行为。
在一种可选的实施例中,在基于至少一个异常操作行为各自的操作类型,确定目标终端中,相应操作类型各自的累积操作次数之前,告警模块还用于:
针对至少一个异常操作行为,分别生成相应的异常告警信息,其中,异常告警信息至少包含:相应异常操作行为的操作时间以及操作类型。
将获得的各个异常告警信息发往指定的管理服务器,进行针对目标终端的异常告警。
在一种可选的实施例中,在基于获得的各个累积操作次数,生成相应的目标告警信息时,告警模块具体用于:
基于获得的各个累积操作次数,分别生成针对相应操作类型的累积告警信息。
基于预设的统计规则,对获得的各个累积告警信息进行聚合,生成相应的目标告警信息。
第三方面,本申请实施例还提供了一种电子设备,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器实现上述第一方面中的任一种安全检测方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面的安全检测方法。
第五方面,本申请实施例还提供了一种计算机程序产品,所述计算机程序产品在被计算机调用时,使得所述计算机执行如第一方面所述的方法。
本申请实施例提供了一种安全检测方法、装置、电子设备及存储介质,通过对待检测的目标终端进行实时监控,实现针对目标终端的轻量化数据采集,并基于预设的检测规则,分别对采集获得的终端运行数据中,记录的至少一个终端操作行为进行异常分析,从而有效减少了安全检测分析过程对目标终端带来的大量运行负荷,降低了目标终端的***运行消耗。另一方面,本申请实施例中,通过将采集的终端运行数据发往指定的管理服务器,使得管理对象能够通过其确定的各个异常操作行为各自关联的异常信息(如,相应操作类型或操作时间等),从终端运行数据中查询到其对应关联的各个正常操作行为,从而使得管理对象能够基于获得的各个正常操作行为,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,从而进一步保证了针对目标终端的安全检测的准确性。
附图说明
图1为本申请实施例提供的一种可能的应用场景示意图;
图2为本申请实施例提供的安全检测***架构图;
图3为本申请实施例提供的一种安全检测方法流程图;
图4为本申请实施例提供的终端运行数据的获取方法示意图;
图5为本申请实施例提供的一种告警展示界面示意图;
图6为本申请实施例提供的安全检测可视化平台示意图;
图7为本申请实施例提供的安全检测方法的逻辑示意图;
图8为本申请实施例提供的安全检测装置示意图;
图9为本申请实施例提供的一种电子设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
本申请的设计思路如下:
相关技术中,由于终端运行数据的数据量通常较大,因此,在检测代理模块对其中记载的各项终端操作行为进行分析的过程中,往往会对目标终端产生较大的运行负荷;另一方面,相关技术中,入侵检测***往往根据其检测出的各个异常操作行为各自的告警类型,分别向管理对象提供相应的告警信息,然而,由于上述告警方式,未进一步体现出各个异常操作行为间,关联的正常操作行为,导致实际状况下,管理对象难以基于获得的告警信息,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,即相关技术中,还存在着针对目标终端的告警信息过于单一的问题。
为了降低安全检测过程中,针对目标终端产生的大量运行负荷,以及提升安全检测的准确率,本申请实施例提供一种安全检测方法、装置、电子设备及存储介质,通过对待检测的目标终端进行实时监控,实现针对目标终端的轻量化数据采集,并基于预设的检测规则,分别对采集获得的终端运行数据中,记录的至少一个终端操作行为进行异常分析,从而有效减少了安全检测分析过程对目标终端带来的大量运行负荷,降低了目标终端的***运行消耗。
进一步的,本申请实施例中,基于确定出的各个异常操作行为各自的操作类型,对目标终端中,相应操作类型各自的累计操作次数进行聚合统计,生成针对目标终端的目标告警信息,以通过上述数据聚合的方式,使管理对象能够更清晰、准确地确定针对目标终端的异常操作行为的行为规律,辅助管理对象进行快速的安全检测分析。另一方面,通过将采集的终端运行数据发往指定的管理服务器,使得管理对象能够通过其确定的各个异常操作行为各自关联的异常信息(如,相应操作类型或操作时间等),从终端运行数据中查询到其对应关联的各个正常操作行为,从而使得管理对象能够基于获得的各个正常操作行为,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,从而进一步保证了针对目标终端的安全检测的准确性。
下面结合附图,对本申请实施例提供的安全检测方法作出进一步地阐述、说明:
参阅图1所示,为本申请实施例提供的一种可能的应用场景示意图,该应用场景中包含管理服务器10以及目标终端11。
其中,目标终端11安装有与安全检测相关的客户端,该客户端可以是软件(例如浏览器),也可以是网页、小程序等,该客户端还可部署于与目标终端相应的物理机、虚拟机或云环境中;目标终端11可以是一个或多个,本申请实施例中,为便于描述,假定目标终端11的数目为一;进一步的,目标终端11可以是手机、平板电脑、笔记本电脑、台式电脑、电子书阅读器、智能语音交互设备、智能家电、车载终端等设备或具有完整硬件***功能的虚拟机设备等,但不局限于此。
管理服务器10则是与软件或是网页、小程序等相对应的后台服务器,或者是专门用于进行安全检测的服务器,本申请不做具体限定。管理服务器10可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
在一种可选的实施例中,目标终端11可通过部署的安全检测客户端,对自身的进程、网络连接等行为进行监控,从而采集获得相应的终端运行数据并发送至指定的管理服务器10,使得管理服务器基于获得的终端运行数据,进行针对上述目标终端11的安全检测分析。
参阅图2所示,本申请实施例还提供一种安全检测***20,该安全检测***中包含检测客户端201,分析引擎202以及检测平台203。
检测客户端201,用于对指定的目标终端进行实时监控,从而采集目标终端的终端运行数据;可选的,上述检测客户端201可以部署在指定的目标终端(如,物理机,虚拟机)中,也可部署在与目标终端相应的云环境中;进一步的,上述检测客户端201还可通过创建的数据传输通道,将采集到的终端运行数据传输至分析引擎202,以便分析引擎202基于预设的告警规则,进行异常操作行为的检测以及相应告警。
分析引擎202,用于对获得的终端运行数据进行异常分析,从中筛选出针对目标终端触发的各个异常操作行为并进行相应类型的告警;可选的,采用至少一个针对指定告警类型确定的告警规则,或是预设的机器学习算法,进行针对终端运行数据中记录的至少一个终端操作行为的异常分析及相应告警。
检测平台203,用于接收分析引擎202发送的告警信息,并对接收到的各个告警信息进行聚合统计后进行统一展示,以帮助管理对象基于其表现出的各项展示信息,进行更快速、准确地安全检测分析。上述检测平台203的功能可以由一个服务器或云服务器或区块链服务器或者服务器集群实现,在此不再赘述。
基于上述***架构,参阅图3所示,本申请实施例提供一种安全检测方法,包括:
S301:获取待检测的目标终端的终端运行数据。
具体的,通过对待检测的目标终端进行实时监测,获取目标终端的终端运行数据,其中,终端运行数据中记录至少一个针对目标终端触发的终端操作行为;可选的,对目标终端的终端日志数据进行实时捕获,并基于预设的解析规则,对获得的终端日志进行解析,从而从监测获得的上述终端日志中,筛选出满足上述解析规则的至少一个终端操作行为,将获得的至少一个终端操作行为,作为目标终端的终端运行数据。
例如,在一种可选的实施例中,可通过上述检测客户端201,对目标终端的操作日志进行实时监测,该操作日志可以包括:
进程操作日志;
文件操作日志;
网络操作日志;
注册表操作日志。
进一步的,基于预设的解析规则,对获取到的上述操作日志进行解析,在一种可选的实施例中,该解析规则可以包含针对目标终端确定的至少一种目标操作类型,则在对上述操作日志进行解析的过程中,可基于确定的各个目标操作类型,从针对目标终端采集获得的操作日志中,进一步筛选出与各个目标操作类型相应的终端操作行为;可选的,还可采用预设的解析操作序列,对上述操作日志作出进一步筛选,从而减少待分析的终端运行数据的数据量,减轻安全检测分析所需的计算负荷。
例如,参阅图4所示,在一种可选的实施例中,检测客户端201对待检测的目标终端进行实时监测,并实现针对目标终端的操作日志的实时捕获,则在每次操作日志捕获的同时,可通过API Hook等技术,进行相应操作日志的传输,并基于预设的解析规则,筛选出操作日志中,满足上述解析规则的至少一个终端操作行为,作为相应的终端运行数据。
S302:基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
进一步的,采用预设的检测规则,对终端运行数据中,包含的至少一个终端操作进行异常分析;可选的,对至少一个终端操作行为中,相应操作时间满足预设检测时间条件的各个终端操作行为进行聚合,并基于聚合结果,确定待检测的至少一个操作行为组合,从而基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析。
具体的,上述异常行为序列,表示由相应至少一个异常操作行为构成的操作序列,则当某一操作行为组合命中上述异常行为序列时,可认为该操作行为组合中包含的各个终端操作行为,分别为相应的异常操作行为。
进一步的,实际状况下,针对不同的异常操作类型,往往需要分别确定相应的异常行为序列。例如,本申请实施例中,可采用以下异常行为序列1~5,进行针对各个终端操作行为的异常分析。包括:
1、异常调用序列。
具体的,本申请实施例中,采用预设的异常调用序列,进行针对调用操作类型的各个终端操作行为的异常分析;具体的,在实际状况中,当待检测的终端威胁表征为恶意程序调用时,则可基于相应的各个调用操作类型(如,创建文件、打开文件等),确定针对该异常操作类型的异常调用序列。
例如,在一种可选的实施例中,为防止恶意程序自动释放病毒文件及自启动,上述异常调用序列可表示为:创建文件-打开文件-写入文件-创建进程并启动,且上述异常操作行为来源于同一操作源;则当确定某一来源于同一操作源的操作行为组合命中上述异常调用序列时,则可认为该操作行为组合中包含的各个终端操作行为,分别为相应的异常操作行为。
2、异常释放序列。
具体的,本申请实施例中,采用预设的异常释放序列,进行针对释放操作类型的各个终端操作行为的异常分析;具体的,在实际状况中,当待检测的终端威胁表征为恶意程序释放可执行文件时,则可基于相应的各个释放操作类型(如,创建文件、打开文件等),确定针对该异常操作类型的异常调用序列。
例如,在一种可选的实施例中,为防止恶意程序自动释放病毒文件(如,DLL、EXE、SYS等可执行文件),上述异常释放序列可表示为:创建文件-打开文件-写入文件,且上述异常操作行为来源于同一操作源,并针对同一文件;则当确定某一来源于同一操作源,且针对同一文件的操作行为组合命中上述异常释放序列时,则可认为该操作行为组合中包含的各个终端操作行为,分别为相应的异常操作行为。
3、异常添加序列。
具体的,本申请实施例中,采用预设的异常添加序列,进行针对添加操作类型的各个终端操作行为的异常分析;具体的,在实际状况中,当待检测的终端威胁表征为恶意程序自添加防火墙信任列表时,则可基于相应的各个添加操作类型(如,修改注册表链等),确定针对该异常操作类型的异常调用序列。
例如,在一种可选的实施例中,为防止恶意程序自添加防火墙信任列表,上述异常添加序列可表示为:修改注册表链;则当确定某一操作行为组合命中上述异常添加序列时,则可认为该操作行为组合中包含的各个终端操作行为,分别为相应的异常操作行为。
4、异常开放序列。
具体的,本申请实施例中,采用预设的异常开放序列,进行针对开放操作类型的各个终端操作行为的异常分析;具体的,在实际状况中,当待检测的终端威胁表征为恶意程序降低***安全防护时,则可基于相应的各个开放操作类型(如,关闭***防火墙、关闭杀毒软件等),确定针对该异常操作类型的异常调用序列。
例如,在一种可选的实施例中,为防止恶意程序降低***安全防护,上述异常开放序列可表示为:关闭***防火墙;可选的,异常开放序列还可包括:关闭杀毒软件、开放不常用端口、卸载补丁、添加共享权限等;则当确定某一操作行为组合命中上述异常开放序列时,则可认为该操作行为组合中包含的各个终端操作行为,分别为相应的异常操作行为。
5、异常进程序列。
具体的,本申请实施例中,采用预设的异常进程序列,进行针对进程操作类型的各个终端操作行为的异常分析;具体的,在实际状况中,当待检测的终端威胁表征为恶意程序入侵其他进程时,则可基于相应的各个进程操作类型(如,目标进程不同于操作主体进程等),确定针对该异常操作类型的异常调用序列。
例如,在一种可选的实施例中,为防止恶意程序将恶意动态库注册到其他进程的地址空间中,上述异常开放序列可表示为:目标进程不同于操作主体进程;则当确定某一操作行为组合命中上述异常进程序列时,则可认为该操作行为组合中包含的各个终端操作行为,分别为相应的异常操作行为。
值得注意的是,上述各个异常行为序列仅为举例说明,实际状况中,还可基于管理对象对服务器入侵操作特征的研究,进行更多异常行为序列的设计与完善。
可选的,还可基于预设的机器学习算法,进行针对各个终端操作行为的异常分析,具体的,可通过获取异常程序的***调用API集合,并将其和规定的告警行为API调用序列对比,从而根据对比结果进行预设模型的迭代训练,以实现针对指定类型的各个异常操作行为的分析、检测,在此不再赘述。
S303:基于至少一个异常操作行为各自的操作类型,确定目标终端中,相应操作类型各自的累积操作次数,并基于获得的各个累积操作次数,生成相应的目标告警信息。
进一步的,对检测出的各个异常操作行为进行告警;可选的,基于各个异常操作行为各自的操作类型,分别生成相应的告警信息,并对相应操作类型各自的累计操作次数进行统计,以生成相应的目标告警信息。
例如,实际状况中,可基于上述各个异常行为序列,分别确定每次检测出的异常操作行为的操作类型,并生成相应的告警信息,该告警信息可以实时发送至相应的管理服务器,也可保存在指定的目标数据库中,由管理服务器在指定时刻对相应告警信息进行抓取,本申请对此不作限制。此外,还可对各个告警信息进行聚合,并对统计出的相应操作类型各自的累计操作次数作出图形化表示,以方便管理对象进行对目标告警信息作出清晰化管理。
S304:将目标告警信息及终端运行数据发往指定的管理服务器,进行针对目标终端的安全检测分析。
进一步的,将目标告警信息以及终端运行数据发往指定的管理服务器,以进行针对目标终端的安全检测分析,可选的,也可保存在指定的数据库中,由管理对象依据确定的目标终端的终端标识,在从中进行相应检索,本申请在此不再赘述。
具体的,上述管理服务器可基于接收到的目标告警信息呈现相应的告警展示界面,以便管理对象能够基于告警展示界面中包含的各项统计视图,清晰、准确地确定针对目标终端的异常操作行为的行为规律,辅助管理对象进行快速的安全检测分析。进一步的,管理对象还能够通过确定的各个异常操作行为各自关联的异常信息(如,相应操作类型或操作时间等),从终端运行数据中查询到其对应关联的各个正常操作行为,从而使得管理对象能够基于获得的各个正常操作行为,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,从而进一步保证了针对目标终端的安全检测的准确性。
例如,参阅图5所示,为本申请实施例提供的一种告警展示界面示意图,则在该告警展示界面中,进一步呈现出了针对目标终端的各个告警统计视图,其中,每个告警统计视图是对目标告警信息中,相应操作类型各自的累计操作次数进行聚合后得到的;可选的,告警统计视图可以是柱状图,也可以是扇形图或其他各种类型的统计视图;可选的,还可在该告警展示界面中,设计用于实时告警的告警展示栏,以对每次检测出的异常操作行为进行实时告警;则基于通过上述图形化的方式,使得管理对象能够更清晰、准确地确定针对目标终端的异常操作行为的行为规律,从而辅助管理对象进行快速、准确的安全检测分析。
进一步的,参阅图6所示,本申请实施例还提供一种安全检测可视化平台60,该安全检测可视化平台60可以为上述实施例提到的检测平台203,也可以为部署于管理服务器中的其他可视化平台,该安全检测可视化平台60是基于上述实施例提出的安全检测方法设计的,具体的,安全检测可视化平台60可包括:告警监测模块601,终端管理模块602以及中心管理模块603,其中:
告警监测模块601:用于基于接收到的目标告警信息,向管理对象呈现相应的告警展示界面;本申请实施例中,告警展示界面中包含至少一个针对目标终端确定的告警统计视图。
终端管理模块602:用于对检测的目标终端的目标告警信息以及终端运行数据进行相应管理。例如,在一种可选的实施例中,可通过终端管理模块602提供的日志查看功能,基于操作类型、操作时间、进程名、进程ID等筛选项,从终端运行数据中,查找并浏览相关联的各个终端操作行为,从而辅助管理对象基于各个终端操作行为,确定相应终端威胁在目标终端中的完整操作路径。可选的,上述终端管理模块602还可基于不同终端的终端标识,分别进行相应终端设备的目标告警信息以及终端运行数据的管理,从而实现对多个终端设备的统一管理。
中心管理模块603:用于设置相关管理对象的访问权限,实现对目标告警信息以及终端运行数据的进一步管理。
参阅图7所示,为本申请实施例提供的上述安全检测方法的逻辑示意图;则对目标终端进行实时监控,获取目标终端的终端运行数据,并通过分析引擎中预设的检测规则,即可实现针对终端运行数据中包含的各个异常操作行为的检测及实时告警;进一步的,通过将相关数据发往管理服务器,使得相关管理对象能够基于分析确定的目标告警信息,以及关联的终端运行数据,更清楚、高效地确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,从而进一步保证了针对目标终端的安全检测的准确性。
参阅图8所示,本申请实施例提供一种安全检测装置,包括获取模块801,检测模块802,告警模块803以及传递模块804,其中:
获取模块801,用于获取待检测的目标终端的终端运行数据,其中,终端运行数据中记录针对目标终端触发的至少一个终端操作行为。
检测模块802,用于基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
告警模块803,用于基于至少一个异常操作行为各自的操作类型,确定目标终端中,相应操作类型各自的累积操作次数,并基于获得的各个累积操作次数,生成相应的目标告警信息。
传递模块804,用于将目标告警信息及终端运行数据发往指定的管理服务器,进行针对目标终端的安全检测分析。
在一种可选的实施例中,在获取待检测的目标终端的终端运行数据时,获取模块801具体用于:
对待检测的目标终端进行实时监测,获取目标终端的终端日志数据,其中,终端日志数据中记录针对目标终端触发的至少一个终端操作行为。
基于预设的解析规则,对终端日志数据进行解析,并基于解析结果,从终端日志数据中,确定待检测的终端运行数据。
在一种可选的实施例中,在基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为时,检测模块802具体用于:
对至少一个终端操作行为中,相应操作时间满足预设检测时间条件的各个终端操作行为进行聚合,并基于聚合结果,从至少一个终端操作行为中,确定待检测的至少一个操作行为组合。
基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析,并基于分析结果,从至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
在一种可选的实施例中,在基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析时,检测模块802具体用于:
针对至少一个操作行为组合,分别执行以下操作:
确定一个操作行为组合与异常行为序列之间的相似度。
若相似度小于预设的相似度门限,则确定一个操作行为组合包含的各个终端操作行为,为相应的正常操作行为。
若相似度不小于预设的相似度门限,则确定一个操作行为组合包含的各个终端操作行为,为相应的异常操作行为。
在一种可选的实施例中,在基于至少一个异常操作行为各自的操作类型,确定目标终端中,相应操作类型各自的累积操作次数之前,告警模块803还用于:
针对至少一个异常操作行为,分别生成相应的异常告警信息,其中,异常告警信息至少包含:相应异常操作行为的操作时间以及操作类型。
将获得的各个异常告警信息发往指定的管理服务器,进行针对目标终端的异常告警。
在一种可选的实施例中,在基于获得的各个累积操作次数,生成相应的目标告警信息时,告警模块803具体用于:
基于获得的各个累积操作次数,分别生成针对相应操作类型的累积告警信息。
基于预设的统计规则,对获得的各个累积告警信息进行聚合,生成相应的目标告警信息。
与上述申请实施例基于同一发明构思,本申请实施例中还提供了一种电子设备,该电子设备可以用于安全检测。在一种实施例中,该电子设备可以是服务器,也可以是终端设备或其他电子设备。在该实施例中,电子设备的结构可以如图9所示,包括存储器901,通讯接口903以及一个或多个处理器902。
存储器901,用于存储处理器902执行的计算机程序。存储器901可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。
存储器901可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器901也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器901是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器901可以是上述存储器的组合。
处理器902,可以包括一个或多个中央处理单元(Central Processing Unit,CPU)或者为数字处理单元等。处理器902,用于调用存储器901中存储的计算机程序时实现上述安全检测方法。
通讯接口903用于与终端设备和其他服务器进行通信。
本申请实施例中不限定上述存储器901、通讯接口903和处理器902之间的具体连接介质。本申请实施例在图9中以存储器901和处理器902之间通过总线904连接,总线904在图9中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线904可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中的任一种安全检测方法。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
根据本申请的一个方面,本申请还提供了一种计算机程序产品,所述计算机程序产品在被计算机调用时,使得所述计算机执行如第一方面所述的方法。
本申请实施例提供了一种安全检测方法、装置、电子设备及存储介质,通过对待检测的目标终端进行实时监控,实现针对目标终端的轻量化数据采集,并基于预设的检测规则,分别对采集获得的终端运行数据中,记录的至少一个终端操作行为进行异常分析,从而有效减少了安全检测分析过程对目标终端带来的大量运行负荷,降低了目标终端的***运行消耗。另一方面,本申请实施例中,通过将采集的终端运行数据发往指定的管理服务器,使得管理对象能够通过其确定的各个异常操作行为各自关联的异常信息(如,相应操作类型或操作时间等),从终端运行数据中查询到其对应关联的各个正常操作行为,从而使得管理对象能够基于获得的各个正常操作行为,确定相应终端威胁(如,未知程序等)在目标终端中的完整操作路径,从而进一步保证了针对目标终端的安全检测的准确性。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种安全检测方法,其特征在于,包括:
获取待检测的目标终端的终端运行数据,其中,所述终端运行数据中记录针对所述目标终端触发的至少一个终端操作行为;
基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从所述至少一个终端操作行为中,确定待检测的至少一个异常操作行为;
基于所述至少一个异常操作行为各自的操作类型,确定所述目标终端中,相应操作类型各自的累积操作次数,并基于获得的各个累积操作次数,生成相应的目标告警信息;
将所述目标告警信息及所述终端运行数据发往指定的管理服务器,进行针对所述目标终端的安全检测分析。
2.如权利要求1所述的方法,其特征在于,所述获取待检测的目标终端的终端运行数据,包括:
对待检测的目标终端进行实时监测,获取所述目标终端的终端日志数据,其中,所述终端日志数据中记录针对所述目标终端触发的至少一个终端操作行为;
基于预设的解析规则,对所述终端日志数据进行解析,并基于解析结果,从所述终端日志数据中,确定待检测的终端运行数据。
3.如权利要求1或2所述的方法,其特征在于,所述基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从所述至少一个终端操作行为中,确定待检测的至少一个异常操作行为,包括:
对所述至少一个终端操作行为中,相应操作时间满足预设检测时间条件的各个终端操作行为进行聚合,并基于聚合结果,从所述至少一个终端操作行为中,确定待检测的至少一个操作行为组合;
基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析,并基于分析结果,从所述至少一个终端操作行为中,确定待检测的至少一个异常操作行为。
4.如权利要求3所述的方法,其特征在于,所述基于预设的异常行为序列,分别对获得的至少一个操作行为组合进行异常分析,包括:
针对所述至少一个操作行为组合,分别执行以下操作:
确定一个操作行为组合与所述异常行为序列之间的相似度;
若所述相似度小于预设的相似度门限,则确定所述一个操作行为组合包含的各个终端操作行为,为相应的正常操作行为;
若所述相似度不小于预设的相似度门限,则确定所述一个操作行为组合包含的各个终端操作行为,为相应的异常操作行为。
5.如权利要求3所述的方法,其特征在于,所述基于所述至少一个异常操作行为各自的操作类型,确定所述目标终端中,相应操作类型各自的累积操作次数之前,还包括:
针对所述至少一个异常操作行为,分别生成相应的异常告警信息,其中,所述异常告警信息至少包含:相应异常操作行为的操作时间以及操作类型;
将获得的各个异常告警信息发往指定的管理服务器,进行针对所述目标终端的异常告警。
6.如权利要求1或2所述的方法,其特征在于,所述基于获得的各个累积操作次数,生成相应的目标告警信息,包括:
基于获得的各个累积操作次数,分别生成针对相应操作类型的累积告警信息;
基于预设的统计规则,对获得的各个累积告警信息进行聚合,生成相应的目标告警信息。
7.一种安全检测装置,其特征在于,包括:
获取模块,用于获取待检测的目标终端的终端运行数据,其中,所述终端运行数据中记录针对所述目标终端触发的至少一个终端操作行为;
检测模块,用于基于预设的检测规则,对获得的至少一个终端操作行为进行异常分析,并基于分析结果,从所述至少一个终端操作行为中,确定待检测的至少一个异常操作行为;
告警模块,用于基于所述至少一个异常操作行为各自的操作类型,确定所述目标终端中,相应操作类型各自的累积操作次数,并基于获得的各个累积操作次数,生成相应的目标告警信息;
传递模块,用于将所述目标告警信息及所述终端运行数据发往指定的管理服务器,进行针对所述目标终端的安全检测分析。
8.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的安全检测方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一所述方法的步骤。
10.一种计算机程序产品,其特征在于,所述计算机程序产品在被计算机调用时,使得所述计算机执行如权利要求1-6中任一项所述的方法。
CN202210188255.XA 2022-02-28 2022-02-28 一种安全检测方法、装置、电子设备及存储介质 Pending CN114629696A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210188255.XA CN114629696A (zh) 2022-02-28 2022-02-28 一种安全检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210188255.XA CN114629696A (zh) 2022-02-28 2022-02-28 一种安全检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114629696A true CN114629696A (zh) 2022-06-14

Family

ID=81900323

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210188255.XA Pending CN114629696A (zh) 2022-02-28 2022-02-28 一种安全检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114629696A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116708033A (zh) * 2023-08-04 2023-09-05 腾讯科技(深圳)有限公司 终端安全检测方法、装置、电子设备及存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101057432B1 (ko) * 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
CN104239197A (zh) * 2014-10-10 2014-12-24 浪潮电子信息产业股份有限公司 一种基于大数据日志分析的管理用户异常行为发现方法
CN107465652A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 一种操作行为检测方法、服务器及***
CN108268354A (zh) * 2016-12-30 2018-07-10 腾讯科技(深圳)有限公司 数据安全监控方法、后台服务器、终端及***
CN108280346A (zh) * 2017-01-05 2018-07-13 腾讯科技(深圳)有限公司 一种应用防护监控方法、装置以及***
CN109257196A (zh) * 2017-07-12 2019-01-22 阿里巴巴集团控股有限公司 一种异常处理方法及设备
WO2019091028A1 (zh) * 2017-11-10 2019-05-16 华为技术有限公司 应用软件恶意行为的动态告警方法和终端
CN111651767A (zh) * 2020-06-05 2020-09-11 腾讯科技(深圳)有限公司 一种异常行为检测方法、装置、设备及存储介质
CN112631862A (zh) * 2020-12-22 2021-04-09 车主邦(北京)科技有限公司 异常监测方法、装置及***
CN113765881A (zh) * 2021-07-20 2021-12-07 奇安信科技集团股份有限公司 异常网络安全行为的检测方法、装置、电子设备及存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101057432B1 (ko) * 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
CN104239197A (zh) * 2014-10-10 2014-12-24 浪潮电子信息产业股份有限公司 一种基于大数据日志分析的管理用户异常行为发现方法
CN107465652A (zh) * 2016-06-06 2017-12-12 腾讯科技(深圳)有限公司 一种操作行为检测方法、服务器及***
CN108268354A (zh) * 2016-12-30 2018-07-10 腾讯科技(深圳)有限公司 数据安全监控方法、后台服务器、终端及***
CN108280346A (zh) * 2017-01-05 2018-07-13 腾讯科技(深圳)有限公司 一种应用防护监控方法、装置以及***
CN109257196A (zh) * 2017-07-12 2019-01-22 阿里巴巴集团控股有限公司 一种异常处理方法及设备
WO2019091028A1 (zh) * 2017-11-10 2019-05-16 华为技术有限公司 应用软件恶意行为的动态告警方法和终端
CN111651767A (zh) * 2020-06-05 2020-09-11 腾讯科技(深圳)有限公司 一种异常行为检测方法、装置、设备及存储介质
CN112631862A (zh) * 2020-12-22 2021-04-09 车主邦(北京)科技有限公司 异常监测方法、装置及***
CN113765881A (zh) * 2021-07-20 2021-12-07 奇安信科技集团股份有限公司 异常网络安全行为的检测方法、装置、电子设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116708033A (zh) * 2023-08-04 2023-09-05 腾讯科技(深圳)有限公司 终端安全检测方法、装置、电子设备及存储介质
CN116708033B (zh) * 2023-08-04 2023-11-03 腾讯科技(深圳)有限公司 终端安全检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
KR102612500B1 (ko) 로깅을 통한 민감 데이터 노출 탐지
US10893068B1 (en) Ransomware file modification prevention technique
CN111092852B (zh) 基于大数据的网络安全监控方法、装置、设备及存储介质
US10936717B1 (en) Monitoring containers running on container host devices for detection of anomalies in current container behavior
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN108664793B (zh) 一种检测漏洞的方法和装置
CN111931166B (zh) 基于代码注入和行为分析的应用程序防攻击方法和***
CN107295021B (zh) 一种基于集中管理的主机的安全检测方法及***
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN109639726A (zh) 入侵检测方法、装置、***、设备及存储介质
JP2015179979A (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
US20230087309A1 (en) Cyberattack identification in a network environment
CN105825130B (zh) 一种信息安全预警方法及装置
CN113987492A (zh) 一种告警事件的确定方法及装置
CN114629696A (zh) 一种安全检测方法、装置、电子设备及存储介质
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
Daghmehchi Firoozjaei et al. Memory forensics tools: a comparative analysis
CN114826639A (zh) 基于函数调用链跟踪的应用攻击检测方法及装置
US11836247B2 (en) Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
CN115086081B (zh) 一种蜜罐防逃逸方法及***
CN116015808A (zh) 一种网络端口异常开放感知方法、装置、电子设备及存储介质
CN111316268A (zh) 用于银行间金融交易的高级网络安全威胁抑制

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination