CN108804914B - 一种异常数据检测的方法及装置 - Google Patents

一种异常数据检测的方法及装置 Download PDF

Info

Publication number
CN108804914B
CN108804914B CN201710304663.6A CN201710304663A CN108804914B CN 108804914 B CN108804914 B CN 108804914B CN 201710304663 A CN201710304663 A CN 201710304663A CN 108804914 B CN108804914 B CN 108804914B
Authority
CN
China
Prior art keywords
dimension
file
detected
offset
program information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710304663.6A
Other languages
English (en)
Other versions
CN108804914A (zh
Inventor
马立伟
蔡晨
王森
王月强
李志豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201710304663.6A priority Critical patent/CN108804914B/zh
Publication of CN108804914A publication Critical patent/CN108804914A/zh
Application granted granted Critical
Publication of CN108804914B publication Critical patent/CN108804914B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种异常数据检测的方法,包括:获取待检测文件的多个维度中每个维度的行为数据;根据所述每个维度的行为数据确定所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;将所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序。本申请实施例还提供相应的装置。本申请技术方案通过偏移量可以检测出文件中是否存在异常程序,从而提高异常检测的准确度。

Description

一种异常数据检测的方法及装置
技术领域
本申请涉及数据处理技术领域,具体涉及一种异常数据检测的方法及装置。
背景技术
随着互联网的快速发展,网络攻击也越来越多,网络攻击通常是黑客将带有攻击意图所编写的恶意程序传播到网络上,例如:植入到一些视频或者文件中,一旦用户点击了相应被植入恶意程序的视频或者文件,用户的终端就会被植入该恶意程序,从而导致该用户的终端中毒或者信息被窃取。
现有技术中针对恶意程序也有了一些检测技术,用来防范这些恶意程序,例如:通过检测程序的特征码等实现对恶意程序的检测。
但当前利用正常程序做恶的攻击方法也越来越多,对恶意程序的检测方法已经不能很好的检测网络中的各种网络攻击,导致网络的安全隐患越来越多。
发明内容
本申请实施例提供一种异常数据检测的方法,可以检测出程序中的异常程序,从而提高异常检测的准确度。本申请实施例还提供了相应的装置。
本申请第一方面提供一种异常数据检测的方法,包括:
获取待检测文件的多个维度中每个维度的行为数据;
根据所述每个维度的行为数据确定所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;
将所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;
根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在恶意程序。
本申请第二方面提供一种异常数据检测的装置,包括:
获取单元,用于获取待检测文件的多个维度中每个维度的行为数据;
第一确定单元,用于根据所述获取单元获取的所述每个维度的行为数据确定所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;
第二确定单元,用于将所述第一确定单元确定的所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;
第三确定单元,用于根据所述第二确定单元确定的所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在恶意程序。
与现有技术中不能很好的检测出网络中利用正常程序进行网络攻击的网络隐患相比,本申请实施例采用将待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在恶意程序的异常数据检测方案,通过偏移量可以检测出文件中是否存在异常程序,从而提高异常检测的准确度。
附图说明
图1是本申请实施例中异常数据检测系统的一实施例示意图;
图2是本申请实施例中异常数据检测的方法的一实施例示意图;
图3是本申请实施例中异常数据检测的方法的另一实施例示意图;
图4是本申请实施例中异常数据检测的装置的一实施例示意图;
图5是本申请实施例中异常数据检测的装置的另一实施例示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着技术的发展,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请实施例提供一种异常数据检测的方法,可以检测出程序中的异常程序,从而提高异常检测的准确度。本申请实施例还提供了相应的装置。以下分别进行详细说明。
图1为本申请实施例中异常数据检测系统的一实施例示意图。
如图1所示,本申请实施例提供的异常数据检测系统的一实施例包括:终端10A、工作节点10B、网络20和主机30,终端10A、工作节点10B和主机30通过网络20通信连接。
终端10A和工作节点10B只是不同形态的设备,终端10A和工作节点10B工作时都会运行程序,并产生所运行程序的各种维度的工作日志,主机30收集各终端10A和各工作节点10B所运行程序的工作日志,主机30可以通过系统监控器(System Monitor)收集工作日志,System Monitor简称sysmon。工作日志包括所运行程序每个维度的行为数据,程序也可以称为文件。
主机30所收集的工作日志包括多个维度,例如可以包括文件行为、进程行为、网络行为、内存行为和注册表行为等几个维度,当然,也可以包括其他维度,本申请实施例中以这5个维度为例进行说明,但不限于只有这5个维度。
本申请实施例中,主机30收集到文件每个维度的行为数据后,可以将该文件每个维度的行为数据存储到数据库中,待后续做异常数据检测时再从数据库中提取,也可以是存储在主机的存储设备中,还可以是获取后直接进行异常检测,若检测出异常程序偏移量超过预设的偏移阈值,则主机会通过邮件或者其他通信方式向应急人员的设备发送报警信息。
无论是哪种方式,都需要对文件每个维度的行为数据进行异常数据检测。如图2所示,本申请实施例中所提供的异常数据检测的方法的一实施例包括:
101、获取待检测文件的多个维度中每个维度的行为数据。
102、根据所述每个维度的行为数据确定所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息。
103、将所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量。
104、根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序。
与现有技术中不能很好的检测出网络中利用正常程序进行网络攻击的网络隐患相比,本申请实施例采用将待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在恶意程序的异常数据检测方案,通过偏移量可以检测出文件中是否存在异常程序,从而提高异常检测的准确度。本申请实施例的方案针对高级持续性威胁(Advanced persistent threat,Apt)有很好的检测效果。
可选地,所述根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序,可以包括:
根据所述每个维度的程序信息的偏移量,确定所述待检测文件的总偏移量;
当所述总偏移量大于偏移阈值时,确定所述待检测文件中存在异常程序。
本申请实施例中,通过多个维度的偏移量来确定是否存在异常,从而可以提高异常检测的转确定。
可选地,所述根据所述每个维度的行为数据确定所述每个维度的画像数据,可以包括:
从所述每个维度的行为数据中,按照所述每个维度对应的画像框架中的每个类别点提取出所述每个类别点的程序信息,以得到所述每个维度的画像数据。
本申请实施例中,每个维度都会有相应的画像框架,画像框架中可以包括多个类别点,按照每个类别点所提取的程序信息,即为该维度的画像数据。以文件行为数据的画像框架为例进行说明,例如:文件行为数据的画像框架可以参阅表1进行理解。
表1:文件行为数据的画像框架
类别 程序信息
源进程名 xxx
被操作文件名 xxx
源进程名+被操作文件名 xxx
若文件行为数据为:
File created:
UtcTime:2016-12-26 06:23:31.152
ProcessGuid:{dad7ef97}
ProcessId:1368
Image:C:\Users\Windows\Desktop\c.exe
TargetFilename:C:\审批.doc
CreationUtcTime:2016-12-26 06:23:31.152
则可以从以上文件行为数据中确定到表1中的程序信息,则可以得到表2所示的内容,如表2所示。
表2:文件行为数据的画像数据
类别 程序信息
源进程名 c.exe
被操作文件名 审批.doc
源进程名+被操作文件名 c.exe-审批.doc
当然,表1和表2只是举例说明,实际上表1中的类别可以是其他的类别。
表2中的程序信息列为该示例中的文件行为的维度上的画像数据。
其他维度的行为数据和画像数据都可以参阅文件行为的过程进行理解,本处暂不一一列举。
可选地,所述将所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量,可以包括:
针对所述每个维度中的每个类别点,将待检测文件的程序信息与已建立的标准程序检测信息中的标准程序信息进行比对;其中,所述标准程序检测信息还包括所述同一类别点的子类权重值;
当所述待检测文件的程序信息落入所述标准程序信息时,则该维度中该类别点的偏移量为0;
当所述待检测文件的程序信息未落入所述标准程序信息时,则该维度中该类别点的偏移量为该类别点的子类权重值;
将该维度中的每个类别点的偏移量做加和处理,再乘以该维度的权重值,得到该维度的程序信息的偏移量。
本申请实施例中,还是以文件行为的维度为例,文件行为维度上已建立的标准程序检测信息参阅表3进行理解,如表3所示:
表3:文件行为的标准程序检测信息
文件行为维度的权重比例为15%
Figure BDA0001285324320000061
将表2的程序信息与各自对应的表3中的标准值进行比对,则可以确定各类别点是否存在偏移,为了更直观的看到对比,可以参阅表4进行理解。
表4:文件行为的偏移判定
Figure BDA0001285324320000062
表4中的输入值一列为表2中所确定的待检测文件的文件行为的程序信息的一列,将表4中的输入值的一列与标准值的一列进行比对,可以确定出该文件行为维度上该类别点的偏移量。如源进程名的类别,输入值c.exe没有落入到标准值中,则存在偏移,偏移量为表3中源进程名的子类权重,即为30%,被操作文件名的类别,输入值审批.doc落入了标准值中,则不存在偏移,偏移量为0,源进程名+被操作文件名的类别,输入值c.exe-审批.doc没有落入标准值中,则存在偏移,偏移量为表3中源进程名+被操作文件名的子类权重40%。
因文件行为的维度,有三个类别点,即分别为源进程名、被操作文件名,以及源进程名+被操作文件名。将每个类别点的偏移量相加即为:30%+0%+40%=70%,因为文件行为的维度在总体的偏移判定中的权重值为15%,则文件行为的维度的程序信息的偏移量=70%*15%=10.5%。
其他各个维度的偏移量的计算原理都可以参阅文件行为的偏移量的计算过程进行理解。
若进程行为维度上的程序信息的偏移量=4.5%,网络行为的程序信息的偏移量=8%,内存行为维度上的程序信息的偏移量=6%,注册表行为维度上的程序信息的偏移量=2.5%,则总偏移量=10.5%+4.5%+8%+6%+2.5%=31.5%,若预设的偏移阈值=20%,则31.5%大于20%,则确定该待检测文件中存在异常程序,可以发出报警信息。
图2所描述的异常数据检测的方法,以文件行为、进程行为、网络行为、内存行为和注册表行为等5个维度为例的异常数据检测过程还可以参阅图3进行理解,如图3所示,本申请实施例提供的异常数据检测过程的另一实施例包括:sysmon日志系统、画像生成系统、行为偏移计算系统和报警系统。
其中,sysmon日志系统收集各类程序的行为日志,各类程序的行为日志包括对如下几个维度的行为数据,几个维度包括:对文件的操作行为、程序相关的进程行为、相关的网络行为、相关的内存行为和相关的注册表行为。sysmon日志系统收集行为数据后,执行步骤S1。
步骤S1:sysmon日志系统将各类程序的每个维度的行为数据上报给画像生成系统。
画像生成系统生成文件行为画像、进程行为画像、网络行为画像、内存行为画像和注册表行为画像等5类画像,每个维度的画像数据包括该维度上的程序信息。画像生成系统生成画像后执行步骤S2。
步骤S2:画像生成系统将各维度的画像上报给偏移计算系统。
偏移计算系统可以通过统计没有出现过安全风险的文件的行为数据建立标准程序检测信息。然后再将待检测文件中每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量。
步骤S3:偏移计算系统从sysmon日志系统接收待检测文件的每个维度的行为数据。
偏移计算系统计算出待检测文件的文件行为偏移量、进程行为偏移量、网络行为偏移量、内存行为偏移量和注册表行为偏移量,然后根据文件行为偏移量、进程行为偏移量、网络行为偏移量、内存行为偏移量和注册表行为偏移量确定待检测文件的总偏移量,如总偏移量大于预设的偏移阈值,则确定该待检测文件存在异常程序,偏移计算系统根据待检测文件的偏移量确定待检测文件存在异常程序时,则执行步骤S4。
步骤S4、偏移计算系统向报警系统发出报警信息。
报警系统:接收异常,并发出报警提醒给应急人员。
以上图3所描述的过程,以及步骤S1-S4,针对文件行为维度上的异常检测过程可以参阅上述表1-表4的示例性部分进行理解,因为不同的维度所涉及到类别点会有不同,下面针对进程行为、网络行为、内存行为和注册表行为几个维度的异常检测过程分别进行介绍。
进程行为维度:
进程行为画像(权重比例为20%)
表5:进程行为的标准程序检测信息
Figure BDA0001285324320000091
若进程行为的行为数据为:
Process Create:
UtcTime:2017-01-16 00:34:01.861
ProcessGuid:{41c87543}
ProcessId:25064
Image:C:\Windows\system32\svchost.exe
Parent Image:C\Windows\system32\14.exe
从以上的进程行为的行为数据中按照进程行为维度的画像框架,则可以确定出与表5中各类别点对应的程序信息,如表6所示:
表6:进程行为数据的画像数据
类别 程序信息
源进程名 svchost.exe
被创建进程名 14.exe
源进程名+被创建进程名 svchost.exe-14.exe
表6中的程序信息列为该示例中的进程行为的维度上的画像数据。
将表6的程序信息与各自对应的表5中的标准值进行比对,则可以确定进程行为维度上各类别点是否存在偏移,为了更直观的看到对比,可以参阅表7进行理解。
表7:进程行为的偏移判定
Figure BDA0001285324320000101
表7中的输入值一列为表6中所确定的待检测文件的进程行为的程序信息的一列,将表7中的输入值的一列与标准值的一列进行比对,可以确定出该进程行为维度上该类别点的偏移量。如源进程名的类别,输入值svchost.exe有落入到标准值中,则不存在偏移,偏移量为0,被创建进程名的类别,输入值14.exe未落入了标准值中,则存在偏移,偏移量为表5被创建进程名的子类权重30%,源进程名+被创建进程名的类别,输入值svchost.exe-14.exe没有落入标准值中,则存在偏移,偏移量为表5中源进程名+被创建进程名的子类权重40%。
因进程行为的维度,有三个类别点,即分别为源进程名、被创建进程名,以及源进程名+被创建进程名。将每个类别点的偏移量相加即为:0+30%+40%=70%,因为进程行为的维度在总体的偏移判定中的权重值为20%,则文件行为的维度的程序信息的偏移量=70%*20%=14%。
以上介绍了进程行为的维度,下面介绍网络行为的维度。
网络行为画像(权重比例为15%)。
表8:网络行为的标准程序检测信息
Figure BDA0001285324320000111
若网络行为的行为数据为:
Network connection detected:
UtcTime:2017-01-1520:39:08.095
ProcessGuid:{41c87543-9de1}
ProcessId:33448
Image:D:\Program Files\qq.exe
SourceIp:10.2.73.41
SourcePort:7275
DestinationIp:1.1.1.1
DestinationPort:80
从以上的网络行为的行为数据中按照网络行为维度的画像框架,则可以确定出与表9中各类别点对应的程序信息,如表9所示:
表9:进程行为数据的画像数据
类别 程序信息
源进程名 qq.exe
目的ip 1.1.1.1
源进程名+目的ip+目的端口 qq.exe-1.1.1.1-80
表9中的程序信息列为该示例中的网络行为的维度上的画像数据。
将表9的程序信息与各自对应的表8中的标准值进行比对,则可以确定进程行为维度上各类别点是否存在偏移,为了更直观的看到对比,可以参阅表10进行理解。
表10:网络行为的偏移判定
Figure BDA0001285324320000121
表10中的输入值一列为表9中所确定的待检测文件的进程行为的程序信息的一列,将表10中的输入值的一列与标准值的一列进行比对,可以确定出该进程行为维度上该类别点的偏移量。如源进程名的类别,输入值qq.exe有落入到标准值中,则不存在偏移,偏移量为0,目的ip的类别,输入值1.1.1.1落入了标准值中,则不存在偏移,偏移量为0,源进程名+目的ip+目的端口的类别,输入值qq.exe-1.1.1.1-80落入标准值中,则不存在偏移,偏移量为0。
因网络行为的维度,有三个类别点,即分别为源进程名、目的ip,以及源进程名+目的ip+目的端口。将每个类别点的偏移量相加即为:0+0+0=0,因为网络行为的维度在总体的偏移判定中的权重值为15%,则文件行为的维度的程序信息的偏移量=0*15%=0。
以上介绍了网络行为的维度,下面介绍内存行为的维度和注册表行为的维度。
内存行为画像(权重比例为30%)
表11:内存行为的标准程序检测信息
Figure BDA0001285324320000131
Figure BDA0001285324320000141
注册表行为画像(权重比例为20%)
表12:注册表行为的标准程序检测信息
Figure BDA0001285324320000151
以上表11和表12分别为内存行为维度和注册表行为维度的标准程序检测信息,内存行为维度和注册表行为维度的偏移量的计算过程可以参阅文件行为维度、进程行为维度和网络行为维度的示例进行理解,本处不再一一赘述。
以上通过多个示例讲解了本申请实施例中异常数据检测的方法,下面结合附图介绍本申请实施例中的异常数据检测的装置。
如图4所示,本申请实施例所提供的异常数据检测的装置40的一实施例包括:
获取单元401,用于获取待检测文件的多个维度中每个维度的行为数据;
第一确定单元402,用于根据所述获取单元401获取的所述每个维度的行为数据确定所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;
第二确定单元403,用于将所述第一确定单元402确定的所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;
第三确定单元404,用于根据所述第二确定单元403确定的所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序。
与现有技术中不能很好的检测出网络中利用正常程序进行网络攻击的网络隐患相比,本申请实施例采用将待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在恶意程序的异常数据检测方案,通过偏移量可以检测出文件中是否存在异常程序,从而提高异常检测的准确度。
可选地,本申请实施例提供的异常检测的装置40的另一实施例中,
所述第三确定单元404用于:
根据所述每个维度的程序信息的偏移量,确定所述待检测文件的总偏移量;
当所述总偏移量大于偏移阈值时,确定所述待检测文件中存在异常程序。
本申请实施例中,通过多个维度的偏移量来确定是否存在异常,从而可以提高异常检测的转确定。
可选地,本申请实施例提供的异常检测的装置40的另一实施例中,
所述第一确定单元402用于:
从所述每个维度的行为数据中,按照所述每个维度对应的画像框架中的每个类别点提取出所述每个类别点的程序信息,以得到所述每个维度的画像数据。
本申请实施例中,每个维度都会有相应的画像框架,画像框架中可以包括多个类别点,按照每个类别点所提取的程序信息,即为该维度的画像数据。可以参阅表1的示例进行理解。
可选地,本申请实施例提供的异常检测的装置40的另一实施例中,
所述第二确定单元403用于:
针对所述每个维度中的每个类别点,将待检测文件的程序信息与已建立的标准程序检测信息中的标准程序信息进行比对;其中,所述标准程序检测信息还包括所述同一类别点的子类权重值;
当所述待检测文件的程序信息落入所述标准程序信息时,则该维度中该类别点的偏移量为0;
当所述待检测文件的程序信息未落入所述标准程序信息时,则该维度中该类别点的偏移量为该类别点的子类权重值;
将该维度中的每个类别点的偏移量做加和处理,再乘以该维度的权重值,得到该维度的程序信息的偏移量。
本申请实施例中所提供的偏移量的计算过程可以参阅表1至表12部分的示例进行理解。
可选地,本申请实施例提供的异常检测的装置40的另一实施例中,
所述获取单元401用于:
通过系统监控器sysmon收集所述待检测文件的行为日志;
从所述行为日志中提取所述多个维度中每个维度的行为数据,所述多个维度包括文件行为、进程行为、网络行为、内存行为和注册表行为。
以上所描述的异常数据检测的装置20的相关功能可以参阅前述方法部分的描述进行理解,本处不再重复赘述。
本发明实施例提供的异常数据检测的装置50可以为服务器等计算设备,下面结合服务器的形态,描述本发明实施例中的异常数据检测的装置50。
图5是本发明实施例提供的异常数据检测的装置50的结构示意图。所述异常数据检测的装置50包括处理器510、存储器550和收发器530,存储器550可以包括只读存储器和随机存取存储器,并向处理器510提供操作指令和数据。存储器550的一部分还可以包括非易失性随机存取存储器(NVRAM)。
在一些实施方式中,存储器550存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
在本发明实施例中,通过调用存储器550存储的操作指令(该操作指令可存储在操作系统中),
获取待检测文件的多个维度中每个维度的行为数据;
根据所述每个维度的行为数据确定所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;
将所述待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;
根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序。
与现有技术中不能很好的检测出网络中利用正常程序进行网络攻击的网络隐患相比,本申请实施例采用将待检测文件中所述每个维度的程序信息与已建立的标准程序检测信息进行比对,确定所述每个维度的程序信息的偏移量;根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在恶意程序的异常数据检测方案,通过偏移量可以检测出文件中是否存在异常程序,从而提高异常检测的准确度。
处理器510控制异常数据检测的装置50的操作,处理器510还可以称为CPU(Central Processing Unit,中央处理单元)。存储器550可以包括只读存储器和随机存取存储器,并向处理器510提供指令和数据。存储器550的一部分还可以包括非易失性随机存取存储器(NVRAM)。具体的应用中建立语句一致性判别模型的装置50的各个组件通过总线系统520耦合在一起,其中总线系统520除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都标为总线系统520。
上述本发明实施例揭示的方法可以应用于处理器510中,或者由处理器510实现。处理器510可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器510中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器510可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器550,处理器510读取存储器550中的信息,结合其硬件完成上述方法的步骤。
可选地,处理器510用于:
根据所述每个维度的程序信息的偏移量,确定所述待检测文件的总偏移量;
当所述总偏移量大于偏移阈值时,确定所述待检测文件中存在异常程序。
可选地,处理器510用于:
从所述每个维度的行为数据中,按照所述每个维度对应的画像框架中的每个类别点提取出所述每个类别点的程序信息,以得到所述每个维度的画像数据。
可选地,处理器510用于:
针对所述每个维度中的每个类别点,将待检测文件的程序信息与已建立的标准程序检测信息中的标准程序信息进行比对;其中,所述标准程序检测信息还包括所述同一类别点的子类权重值;
当所述待检测文件的程序信息落入所述标准程序信息时,则该维度中该类别点的偏移量为0;
当所述待检测文件的程序信息未落入所述标准程序信息时,则该维度中该类别点的偏移量为该类别点的子类权重值;
将该维度中的每个类别点的偏移量做加和处理,再乘以该维度的权重值,得到该维度的程序信息的偏移量。
可选地,处理器510用于:
通过系统监控器sysmon收集所述待检测文件的行为日志;
从所述行为日志中提取所述多个维度中每个维度的行为数据,所述多个维度包括文件行为、进程行为、网络行为、内存行为和注册表行为。
以上对异常数据检测的装置50的描述可以参阅图1至图4部分的描述进行理解,本处不再重复赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk(SSD))等。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本申请实施例所提供的异常数据检测的方法以及装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (9)

1.一种异常数据检测的方法,其特征在于,包括:
获取运行在终端或者工作节点上的待检测文件的多个维度中每个维度的行为数据;所述待检测文件是所述终端或者所述工作节点工作时运行的程序;
从所述每个维度的行为数据中,按照所述每个维度对应的画像框架中的每个类别点提取出所述每个类别点的程序信息,以得到所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;
针对所述每个维度中的每个类别点,将待检测文件的程序信息与已建立的标准程序检测信息中的标准程序信息进行比对;其中,所述标准程序检测信息还包括同一类别点的子类权重值;
当所述待检测文件的程序信息未落入所述标准程序信息时,则该维度中该类别点的偏移量为该类别点的子类权重值;
将该维度中的每个类别点的偏移量做加和处理,再乘以该维度的权重值,得到该维度的程序信息的偏移量;
根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序。
2.根据权利要求1所述的方法,其特征在于,所述根据所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序,包括:
根据所述每个维度的程序信息的偏移量,确定所述待检测文件的总偏移量;
当所述总偏移量大于偏移阈值时,确定所述待检测文件中存在异常程序。
3.根据权利要求1所述的方法,其特征在于,所述将待检测文件的程序信息与已建立的标准程序检测信息中的标准程序信息进行比对之后,还包括:
当所述待检测文件的程序信息落入所述标准程序信息时,则该维度中该类别点的偏移量为0。
4.根据权利要求1-3任一所述的方法,其特征在于,获取待检测文件的多个维度中每个维度的行为数据,包括:
通过系统监控器sysmon收集所述待检测文件的行为日志;
从所述行为日志中提取所述多个维度中每个维度的行为数据,所述多个维度包括文件行为、进程行为、网络行为、内存行为和注册表行为。
5.一种异常数据检测的装置,其特征在于,包括:
获取单元,用于获取运行在终端或者工作节点上的待检测文件的多个维度中每个维度的行为数据;所述待检测文件是所述终端或者所述工作节点工作时运行的程序;
第一确定单元,用于从所述每个维度的行为数据中,按照所述每个维度对应的画像框架中的每个类别点提取出所述每个类别点的程序信息,以得到所述每个维度的画像数据,所述每个维度的画像数据包括该维度上所述待检测文件的程序信息;
第二确定单元,用于针对所述每个维度中的每个类别点,将待检测文件的程序信息与已建立的标准程序检测信息中的标准程序信息进行比对;其中,所述标准程序检测信息还包括同一类别点的子类权重值;当所述待检测文件的程序信息未落入所述标准程序信息时,则该维度中该类别点的偏移量为该类别点的子类权重值;将该维度中的每个类别点的偏移量做加和处理,再乘以该维度的权重值,得到该维度的程序信息的偏移量
第三确定单元,用于根据所述第二确定单元确定的所述每个维度的程序信息的偏移量,确定所述待检测文件中是否存在异常程序。
6.根据权利要求5所述的装置,其特征在于,
所述第三确定单元用于:
根据所述每个维度的程序信息的偏移量,确定所述待检测文件的总偏移量;
当所述总偏移量大于偏移阈值时,确定所述待检测文件中存在异常程序。
7.根据权利要求5所述的装置,其特征在于,
所述第二确定单元用于:
当所述待检测文件的程序信息落入所述标准程序信息时,则该维度中该类别点的偏移量为0。
8.根据权利要求5-7任一所述的装置,其特征在于,
所述获取单元用于:
通过系统监控器sysmon收集所述待检测文件的行为日志;
从所述行为日志中提取所述多个维度中每个维度的行为数据,所述多个维度包括文件行为、进程行为、网络行为、内存行为和注册表行为。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述权利要求1-4任一所述的方法。
CN201710304663.6A 2017-05-03 2017-05-03 一种异常数据检测的方法及装置 Active CN108804914B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710304663.6A CN108804914B (zh) 2017-05-03 2017-05-03 一种异常数据检测的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710304663.6A CN108804914B (zh) 2017-05-03 2017-05-03 一种异常数据检测的方法及装置

Publications (2)

Publication Number Publication Date
CN108804914A CN108804914A (zh) 2018-11-13
CN108804914B true CN108804914B (zh) 2021-07-16

Family

ID=64054369

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710304663.6A Active CN108804914B (zh) 2017-05-03 2017-05-03 一种异常数据检测的方法及装置

Country Status (1)

Country Link
CN (1) CN108804914B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111523012B (zh) * 2019-02-01 2024-01-09 慧安金科(北京)科技有限公司 用于检测异常数据的方法、设备和计算机可读存储介质
CN110225009B (zh) * 2019-05-27 2020-06-05 四川大学 一种基于通信行为画像的代理使用者检测方法
CN111159702B (zh) * 2019-12-12 2022-02-18 绿盟科技集团股份有限公司 一种进程名单生成方法和装置
CN111565377B (zh) * 2020-04-14 2023-08-01 瑞数信息技术(上海)有限公司 应用于物联网的安全监测方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9117077B2 (en) * 2013-09-27 2015-08-25 Bitdefender IPR Management Ltd. Systems and methods for using a reputation indicator to facilitate malware scanning
CN105205394B (zh) * 2014-06-12 2019-01-08 腾讯科技(深圳)有限公司 用于入侵检测的数据检测方法和装置
CN104766011B (zh) * 2015-03-26 2017-09-12 国家电网公司 基于主机特征的沙箱检测告警方法和系统

Also Published As

Publication number Publication date
CN108804914A (zh) 2018-11-13

Similar Documents

Publication Publication Date Title
CN108804914B (zh) 一种异常数据检测的方法及装置
US9900344B2 (en) Identifying a potential DDOS attack using statistical analysis
US10652274B2 (en) Identifying and responding to security incidents based on preemptive forensics
US9871826B1 (en) Sensor based rules for responding to malicious activity
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
WO2017018377A1 (ja) 分析方法、分析装置、および分析プログラム
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN112565226A (zh) 请求处理方法、装置、设备及系统和用户画像生成方法
CN114785567A (zh) 一种流量识别方法、装置、设备及介质
CN117354030A (zh) 区块链分布式攻击免疫方法、装置、设备及存储介质
CN112256532A (zh) 测试界面生成方法、装置、计算机设备及可读存储介质
KR102691082B1 (ko) 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
CN113556338B (zh) 一种计算机网络安全异常操作拦截方法
KR20220073657A (ko) 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN114003918A (zh) 一种云安全运营方法、装置、电子设备以及存储介质
JP5679347B2 (ja) 障害検知装置、障害検知方法、及びプログラム
KR20210076455A (ko) Xss 공격 검증 자동화 방법 및 그 장치
KR101650445B1 (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법
JP6760884B2 (ja) 生成システム、生成方法及び生成プログラム
CN112541183B (zh) 数据处理方法及装置、边缘计算设备、存储介质
CN114785542B (zh) 一种木马检测方法、系统、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant