CN108900508B - 高级威胁检测方法及智能探针装置和高级威胁检测系统 - Google Patents

高级威胁检测方法及智能探针装置和高级威胁检测系统 Download PDF

Info

Publication number
CN108900508B
CN108900508B CN201810695099.XA CN201810695099A CN108900508B CN 108900508 B CN108900508 B CN 108900508B CN 201810695099 A CN201810695099 A CN 201810695099A CN 108900508 B CN108900508 B CN 108900508B
Authority
CN
China
Prior art keywords
probe device
operation log
occupation information
average
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810695099.XA
Other languages
English (en)
Other versions
CN108900508A (zh
Inventor
黄勇
王光辉
李勇平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Asiainfo Technologies (chengdu) Inc
Original Assignee
Asiainfo Technologies (chengdu) Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Asiainfo Technologies (chengdu) Inc filed Critical Asiainfo Technologies (chengdu) Inc
Priority to CN201810695099.XA priority Critical patent/CN108900508B/zh
Publication of CN108900508A publication Critical patent/CN108900508A/zh
Application granted granted Critical
Publication of CN108900508B publication Critical patent/CN108900508B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5011Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals
    • G06F9/5016Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resources being hardware resources other than CPUs, Servers and Terminals the resource being the memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Technology Law (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明的实施例提供一种高级威胁检测方法及智能探针装置和高级威胁检测系统,用于解决现有技术中难以及时发现高级持续性威胁攻击的问题。该方法包括:通过智能探针装置检测智能探针装置在用户设备中的资源占用信息,并根据资源占用信息记录用户设备中应用程序的操作日志并对操作日志预处理后缓存为操作日志文件,然后从缓存中获取上述操作日志文件并根据资源占用信息将操作日志文件上传至高级威胁检测服务器。本发明能够在不影响用户设备性能的前提下通过完整且系统性记录用户设备中应用程序的操作日志来及时发现针对用户设备的高级持续性威胁攻击,有效提升了对高级持续性威胁攻击的检测能力。

Description

高级威胁检测方法及智能探针装置和高级威胁检测系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种高级威胁检测方法及智能探针装置和高级威胁检测系统。
背景技术
高级威胁即高级持续性威胁APT(Advanced Persistent Threat),是指黑客组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,是以窃取用户信息系统的核心资料为目的,蓄谋已久的“恶意商业间谍威胁”。APT在攻击时通常都会利用已经被发现但还未公开的Oday漏洞对特定对象进行长期、有计划性以及有组织性的攻击以窃取用户数据,具有很强的隐蔽性。
目前,APT在进行网络攻击时,通常能够绕过基于二进制文件或代码特征检测的传统安全软件(如防病毒软件、防火墙、入侵防御系统IPS等),因此很难被传统安全软件发现;而SIEM(security information and event management,安全信息和事件管理)虽然能够通过对用户设备中应用程序的日志进行记录和监控以及时发现来自外部的网络攻击,但是SIEM存在以下问题:首先,多数SIEM并不具备主动记录日志的功能,这使得SIEM上的日志多数为从第三方产品上获取的第三方产品记录的日志,这些日志通常仅能记录应用程序的部分操作行为,不具备完整性,并且由于不同产品记录的日志格式也各不相同,因此也难以对多种产品的日志进行关联分析,导致多数SIEM难以及时发现用户设备中存在的APT攻击;其次,少数SIEM虽然自身具备主动记录日志的功能,但是实际情况中SIEM自身记录的日志会占据用户设备大量存储空间,严重影响用户设备性能,这也使得针对APT攻击的检测难以进行。
发明内容
本发明提供了一种高级威胁检测方法及智能探针装置和高级威胁检测系统,用于解决现有技术中难以及时发现高级持续性威胁攻击的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种高级威胁检测方法,应用于用户设备,包括:智能探针装置检测智能探针装置在用户设备中的资源占用信息;
智能探针装置根据资源占用信息记录用户设备中应用程序的操作日志;其中操作日志包括应用程序在用户态以及内核态的操作以及与操作对应的操作级别;操作根据由高到低的重要程度对应划分到由低到高的操作级别;操作日志至少包括:文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志;
智能探针装置根据资源占用信息对操作日志预处理后缓存为操作日志文件;
智能探针装置从缓存中获取经预处理后生成的操作日志文件,并根据资源占用信息将操作日志文件上传至高级威胁检测服务器,以供高级威胁检测服务器对操作日志文件进行安全检测。
本发明提供的高级威胁检测方法能够首先通过智能探针装置来检测智能探针装置在用户设备中的资源占用信息,以有效控制智能探针装置对用户设备中资源的占用,保证用户设备性能不受智能探针装置工作过程的影响;在此前提下,智能探针装置记录用户设备中应用程序在用户态以及内核态的操作日志并对其进行预处理、缓存及上传,以实现为高级威胁检测服务器提供完整记录的应用程序在用户态以及内核态的操作且格式统一的操作日志文件的目的,使高级威胁检测服务器能够根据上述操作日志文件对应用程序在用户态以及内核态的操作进行准确且快速的检测分析,从而及时发现针对用户设备的高级持续性威胁攻击,有效提升对高级持续性威胁攻击的检测能力。
可选地,资源占用信息包括:中央处理器CPU占用信息、内存占用信息;智能探针装置根据中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志。
可选地,资源占用信息包括:磁盘占用信息;智能探针装置根据磁盘占用信息对操作日志预处理后缓存为操作日志文件。
可选地,资源占用信息包括:网络带宽占用信息;智能探针装置根据网络带宽占用信息将操作日志文件上传至高级威胁检测服务器。
可选地,资源占用信息包括:中央处理器CPU占用信息;则智能探针装置检测智能探针装置在用户设备中的中央处理器CPU占用信息,包括:
在监测到智能探针装置启动后,每隔第一预设时间间隔获取智能探针装置占用中央处理器CPU的总时间;
根据总时间以及第一预设时间间隔计算得到中央处理器CPU的平均占用率;
判断中央处理器CPU的平均占用率是否大于中央处理器CPU的平均占用率的第一预设阈值,若是,则控制降低记录操作日志对中央处理器CPU的平均占用率。
可选地,资源占用信息包括:内存占用信息;则智能探针装置检测智能探针装置在用户设备中的内存占用信息,包括:
在监测到智能探针装置启动后,每隔第二预设时间间隔获取智能探针装置占用内存的内存占用量;
判断内存占用量是否大于内存占用量的第二预设阈值,若是,则控制降低记录操作日志对内存的内存占用量。
可选地,资源占用信息包括:磁盘占用信息;则智能探针装置检测智能探针装置在用户设备中的磁盘占用信息,包括:
在监测到智能探针装置启动后,每隔第三预设时间间隔获取智能探针装置在磁盘中的平均读写次数及平均写入磁盘容量;
判断平均读写次数是否大于平均读写次数的第三预设阈值,若是,控制降低缓存操作日志对磁盘的平均读写次数;
或者,判断平均写入磁盘容量是否大于平均写入磁盘容量的第四预设阈值,若是,控制降低缓存操作日志对磁盘的平均写入磁盘容量。
可选地,资源占用信息包括:网络带宽占用信息;则智能探针装置检测智能探针装置在用户设备中的网络带宽占用信息,包括:
在监测到智能探针装置启动后,每隔第五预设时间间隔统计智能探针装置的上传数据总量以及上传数据总时间,根据上传数据总量以及上传数据总时间计算网络带宽的平均占用率;
判断网络带宽的平均占用率是否大于网络带宽的平均占用率的第五预设阈值,若是,控制降低上传操作日志对网络带宽的平均占用率。
第二方面,提供一种智能探针装置,包括:检测模块,用于检测智能探针装置在用户设备中的资源占用信息;
记录模块,用于根据检测模块检测的资源占用信息记录用户设备中应用程序的操作日志;其中操作日志包括应用程序在用户态以及内核态的操作以及与操作对应的操作级别;操作根据由高到低的重要程度对应划分到由低到高的操作级别;操作日志至少包括:文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志;
处理模块,用于根据根据检测模块检测的资源占用信息对操作日志预处理后缓存为操作日志文件;
上传模块,用于从缓存中获取经预处理后生成的操作日志文件,并根据资源占用信息将操作日志文件上传至高级威胁检测服务器,以供高级威胁检测服务器对操作日志文件进行安全检测。
可选地,资源占用信息包括:中央处理器CPU占用信息、内存占用信息;则记录模块具体用于:
根据中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志。
可选地,资源占用信息包括:磁盘占用信息;则处理模块具体用于:
根据磁盘占用信息对操作日志预处理后缓存为操作日志文件。
可选地,资源占用信息包括:网络带宽占用信息;则上传模块具体用于:
根据网络带宽占用信息将操作日志文件上传至高级威胁检测服务器。
可选地,资源占用信息包括:中央处理器CPU占用信息;则检测模块具体用于:
检测智能探针装置在用户设备中的中央处理器CPU占用信息,包括:
在监测到智能探针装置启动后,每隔第一预设时间间隔获取智能探针装置占用中央处理器CPU的总时间;
根据总时间以及第一预设时间间隔计算得到中央处理器CPU的平均占用率;
判断中央处理器CPU的平均占用率是否大于中央处理器CPU的平均占用率的第一预设阈值,若是,则控制降低记录操作日志对中央处理器CPU的平均占用率。
可选地,资源占用信息包括:内存占用信息;则检测模块具体用于:
检测智能探针装置在用户设备中的内存占用信息,包括:
在监测到智能探针装置启动后,每隔第二预设时间间隔获取智能探针装置占用内存的内存占用量;
判断内存占用量是否大于内存占用量的第二预设阈值,若是,则控制降低记录操作日志对内存的内存占用量。
可选地,资源占用信息包括:磁盘占用信息;则检测模块具体用于:
检测智能探针装置在用户设备中的磁盘占用信息,包括:
在监测到智能探针装置启动后,每隔第三预设时间间隔获取智能探针装置在磁盘中的平均读写次数及平均写入磁盘容量;
判断平均读写次数是否大于平均读写次数的第三预设阈值,若是,控制降低缓存操作日志对磁盘的平均读写次数;
或者,判断平均写入磁盘容量是否大于平均写入磁盘容量的第四预设阈值,若是,控制降低缓存操作日志对磁盘的平均写入磁盘容量。
可选地,资源占用信息包括:网络带宽占用信息;则检测装置具体用于:
检测智能探针装置在用户设备中的网络带宽占用信息,包括:
在监测到智能探针装置启动后,每隔第五预设时间间隔统计智能探针装置的上传数据总量以及上传数据总时间,根据上传数据总量以及上传数据总时间计算网络带宽的平均占用率;
判断网络带宽的平均占用率是否大于网络带宽的平均占用率的第五预设阈值,若是,控制降低上传操作日志对网络带宽的平均占用率。
第三方面,提供一种智能探针装置包括通信接口、处理器、存储器、总线;存储器用于存储计算机执行指令,处理器与存储器通过总线连接,当智能探针装置运行时,处理器执行存储器存储的计算机执行指令,以使智能探针装置执行上述第一方面的方法。
第四方面,提供一种用户设备,包括上述第二方面或第三方面的智能探针装置。
第五方面,提供一种高级威胁检测系统,包括:至少一个用户设备,以及高级威胁检测服务器;
其中至少一个用户设备连接高级威胁检测服务器,至少一个用户设备中的任意一个或多个用户设备包含上述第二方面或第三方面的智能探针装置。
第六方面,提供一种存储介质,存储介质存储有指令代码,指令代码用于执行上述第一方面的方法。
第七方面,提供一种计算机程序产品,计算机程序产品包括指令代码,指令代码用于执行上述第一方面的方法。
可以理解地,上述提供的任一种智能探针装置、用户设备、高级威胁检测系统、存储介质或计算机程序产品均用于执行上文所提供的第一方面对应的方法,因此,其所能达到的有益效果可参考上文第一方面的方法以及下文具体实施方式中对应的方案的有益效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。
图1为本发明实施例提供的一种高级威胁检测方法的步骤流程图;
图2为本发明实施例提供的一种检测APT攻击的流程图;
图3为本发明实施例提供的一种CPU占用感应线程的步骤流程图;
图4为本发明实施例提供的一种内存占用感应线的步骤流程图;
图5为本发明实施例提供的一种磁盘占用感应线程的步骤流程;
图6为本发明实施例提供的一种网络带宽占用感应线程的步骤流程图;
图7为本发明实施例提供的一种日志收集线程的步骤流程图;
图8为本发明实施例提供的一种日志上传线程的步骤流程图;
图9为本发明实施例提供的一种智能探针装置的示意性结构图;
图10为本发明实施例提供的另一种智能探针装置的示意性结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。术语“第一”和“第二”等的使用不表示任何顺序,可将上述术语解释为所描述对象的名称。在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外,在本申请实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
图1为本发明实施例提供的一种高级威胁检测方法的步骤流程图。其中,本发明提供的高级威胁检测方法至少可以在windows OS(Operating system,操作系统)中以及Linux OS上实现。如图1所示,该方法包括:
步骤S110:智能探针装置检测智能探针装置在用户设备中的资源占用信息。
智能探针装置在用户设备中的资源占用信息具体为智能探针装置的相关数据占用用户设备中资源存储空间的容量大小信息,上述资源存储空间包括但不限于:中央处理器CPU的存储空间、内存的存储空间、磁盘的存储空间、以及网络带宽的存储空间等;则对应上述资源存储空间,智能探针装置在用户设备中的资源占用信息包括但不限于:中央处理器CPU占用信息(以下简称CPU占用信息)、内存占用信息、磁盘占用信息、以及网络带宽占用信息等类似信息。
其中,当资源占用信息过大时,用户设备会因资源存储空间被大量占用而导致资源存储空间不足,出现用户设备负载过多,运行速度偏低等情况,进而严重影响用户设备性能。本步骤中通过检测智能探针装置在用户设备中的资源占用信息以及时获取智能探针装置在用户设备中的资源占用情况,并在后续步骤中(对应步骤S120、步骤S130以及步骤S140)根据上述资源占用信息来调整针对应用程序在用户态以及内核态的操作日志的记录、预处理、缓存及上传的数据量,使用户设备性能不受智能探针装置工作过程的影响。具体实施中,可以通过在智能探针装置中设置对应的资源占用信息收集线程来检测智能探针装置在用户设备中的资源占用信息。
步骤S120:智能探针装置根据资源占用信息记录用户设备中应用程序的操作日志。
具体地,智能探针装置可以根据中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志,并将上述记录的操作日志发送给日志收集线程。其中,操作日志中可以包括应用程序在用户态以及内核态的操作以及与该操作对应的操作级别,应用程序在用户态以及内核态的操作可以根据由高到低的重要程度对应划分到由低到高的操作级别。
在这里,要说明的是,设置操作级别的目的在于保证在资源占用信息最少的前提下获取到重要程度最高的操作,以供当资源占用信息超用时,可以通过降低记录操作日志的操作级别来减小资源占用信息。举例说明,若原先默认记录操作日志的操作级别为最高操作级别N(即记录1~N全部操作级别的操作,N为自然数),当资源占用信息超用时,可以将记录操作日志的操作级别降低至N-K(K<N,K为自然数),以丢弃掉记录重要程度相对较低的操作级别N-K~N所包含的操作,仅记录重要程度相对较高的1~N-K的操作级别的操作,从而保证资源占用信息不会过多占用用户设备的资源存储空间的同时,减小记录的操作日志的数据量大小。
具体实施中,根据记录的操作行为的不同,操作日志至少可以包括:文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志,以分别记录用户设备中应用程序的文件操作、进程操作、注册表操作、网络操作以及系统操作等关键操作行为,从而完整记录应用程序在用户态以及内核态的关键操作。
其中,文件操作日志记录用户设备中应用程序的文件操作,在windows OS中,记录文件操作日志可以通过运行在用户设备的内核中的文件微过滤驱动实现;在Linux OS中记录文件操作日志可以通过解析Linux OS中的Auditd模块的日志来实现。文件操作日志中的文件操作根据由高到低的重要程度对应划分到由低到高的文件操作级别,具体可以为:设置文件操作级别包括第一文件操作级别以及第二文件操作级别,第一文件操作级别小于第二文件操作级别,第一文件操作级别的文件操作可以包括:文件创建、文件修改、以及文件删除;第二文件操作级别的文件操作可以包括:文件打开、文件读取、以及文件关闭。
进程操作日志记录用户设备中应用程序的进程操作。在windows OS中,记录进程操作日志可以通过注册内核回调来实现,例如可以为系统API(Application ProgrammingInterface,应用程序编程接口)回调PsSetCreateProcessNotifyRoutine();在Linux OS系统中,记录进程操作日志可以通过解析Auditd模块的日志来实现。进程操作日志中的进程操作根据由高到低的重要程度对应划分到由低到高的进程操作级别,具体可以为:设置进程操作级别包括第一进程操作级别以及第二进程操作级别,第一进程操作级别小于第二进程操作级别,第一进程操作级别的进程操作可以包括:进程启动、以及进程停止;第二进程操作级别的文件操作可以包括:进程加载。
其中,注册表操作日志记录用户设备中应用程序的注册表操作,在windows OS中,注册表操作日志记录可以通过注册内核回调来实现,例如可以为系统API回调CmRegisterCallback();在Linux OS系统中,注册表操作日志记录过程可以通过解析Auditd模块的日志来实现。注册表操作日志中的注册表操作根据由高到低的重要程度对应划分到由低到高的注册表操作级别,具体可以为:设置注册表操作级别包括第一注册表操作级别以及第二注册表操作级别,第一注册表操作级别小于第二注册表操作级别,第一注册表操作级别的文件操作可以包括:注册表创建、注册表修改、注册表键值修改、注册表键删除;第二注册表操作级别的注册表操作可以包括:注册表打开、注册表读取、注册表关闭。
网络操作日志记录用户设备中应用程序的网络操作,在windows OS中,网络操作日志记录可以通过网络过滤驱动获取用户设备的应用程度中下载的网络数据包,例如通过NDIS(Network Driver Interface Specification,网络驱动接口规范)过滤驱动或者WFP(Windows Filter Platform,Windows过滤平台)过滤驱动获取网络数据包;在Linux OS中,可以使用Linux OS中的libpcap API来获取网络数据包,并通过解析网络数据包获取网络数据包中的网络协议及内容作为用户设备中应用程序的网络操作。网络操作日志中的网络操作根据由高到低的重要程度对应划分到由低到高的网络操作级别。具体实施中,上述重要程度还可以替换为网络协议的流行度,或者采用重要程度以及网络协议的流行度共同对各网络操作划分网络操作级别等,具体可以为:设置网络操作级别包括第一网络操作级别以及第二网络操作级别,第一网络操作级别小于第二网络操作级别,第一网络操作级别的文件操作可以包括:常用网络协议,例如http(HyperText Transfer Protocol,超文本传输协议)、https(Hyper Text Transfer Protocol over Secure Socket Layer,以安全为目的的http通道)、ftp(File Transfer Protocol,文件传输协议)、smtp(Simple MailTransfer Protocol,简单邮件传输协议)、smb(Server Message Block,服务器消息块)协议等;第二网络操作级别的网络操作可以包括:非常用网络协议。
系统操作日志记录用户设备中应用程序的系统操作,可以通过获取系统操作日志来实现。在windows OS中,可以解析并获取windows OS日志;在Linux OS中,可以通过解析Auditd模块的日志来获取。系统操作日志中的系统操作根据由高到低的重要程度对应划分到由低到高的系统操作级别,上述重要程度具体可以是系统操作的风险程度,具体可以为:设置系统操作级别包括第一系统操作级别以及第二系统操作级别,其中第一系统操作级别小于第二系统操作级别,第一系统操作级别的文件操作可以包括:用户登录、远程登录、密码修改;第二系统操作级别的系统操作可以包括:添加用户、删除用户、添加组用户、删除组用户。
在这里,要说明的是,操作日志中记录的操作行为包括但不限于上述所列举的操作行为,本发明对操作日志记录的操作行为不作限定。上述所列举的各操作日志中包含的操作以及对各操作对应操作级别的划分方式仅仅是示例性的,本发明包含但不限于上述所列举的各操作日志中包含的操作以及对各操作对应操作级别的划分方式;上述所列举的记录各操作日志的方式也仅仅是示例性的,本领域技术人员还可以采用除上述列举的记录方式以外的其它方式对应记录用户设备中应用程序的各操作日志,本发明对记录操作日志的方式不作限定。上述各操作日志中操作级别的数量可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
其中,在本步骤中,当资源占用信息未超用时,即CPU占用信息以及内存占用信息未超用时,可以根据默认的设置记录用户设备中应用程序的操作日志;当资源占用信息超用时,例如CPU占用信息或者内存占用信息超过预设的资源占用信息阈值时,则可以通过调整当前记录用户设备中应用程序的操作日志的记录方式减小资源占用信息,使资源占用信息小于预设的资源占用信息阈值。例如可以降低记录操作日志时记录的操作级别、或者设置对应的缓存以降低日志收集线程对资源的占用等来减小对应的资源占用信息。
步骤S130:智能探针装置根据资源占用信息对操作日志预处理后缓存为操作日志文件。
本步骤的执行过程在日志收集线程中执行,智能探针装置可以根据磁盘占用信息对操作日志预处理后缓存为操作日志文件。具体地,在日志收集线程中,智能探针装置可以根据磁盘占用信息对操作日志预处理后生成操作日志文件,并将上述操作日志文件写入磁盘进行缓存。上述预处理具体包括但不限于:对操作日志的过滤处理、排序处理以及压缩处理等等,具体实施中本发明对操作日志的预处理的具体处理方式不作限定。当资源占用信息中磁盘占用信息超用时,智能探针装置可以调整写入磁盘的操作日志文件的数据量以减小磁盘占用信息,使磁盘占用信息小于预设的磁盘占用信息阈值,保证用户设备性能不会受到操作日志的预处理以及缓存过程的影响。
步骤S140:智能探针装置从缓存中获取经预处理后生成的操作日志文件,并根据资源占用信息将操作日志文件上传至高级威胁检测服务器,以供高级威胁检测服务器对操作日志文件进行安全检测。
智能探针装置可以根据网络带宽占用信息通过日志上传线程将操作日志文件上传至高级威胁检测服务器。具体地,智能探针装置可以从磁盘的缓存中获取经预处理后生成的操作日志文件并将其上传至高级威胁检测服务器。其中,上述操作日志文件中包含步骤S120中完整记录的应用程序在用户态以及内核态的关键操作,上述关键操作可用于在高级威胁检测服务器中进行关联分析,以准确且快速地发现针对用户设备的APT攻击。上传操作日志文件的过程需要占用网络带宽,因此上传操作日志文件的资源占用信息可以包括网络带宽占用信息。当网络带宽占用信息超用时,则可以采取对应措施以减小网络带宽占用信息,例如可以调整上传的操作日志文件数据量或者控制上传总时间以减小网络带宽占用信息等等,保证用户设备性能不会受到上传操作日志文件的过程的影响。
针对本发明提供的高级威胁检测方法的应用,如图2所示,若在一次APT攻击中,用户设备被恶意程序A攻击,恶意程序A又创建了恶意程序B,恶意程序B又创建了恶意程序C,恶意程序C盗窃了用户设备中用户的机密文档D,并且将D上传到恶意网站10.11.12.13。在目前的网络安全产品中,用户可以发现自己的用户设备与恶意网站IP 10.11.12.13有数据流量交互,但无从得知用户设备是否被APT攻击以及是否有数据被盗;在传统的SIEM系统中,SIEM系统只能依赖于第三方的Web日志查看到用户设备访问10.11.12.13,但也无从得知用户设备是否被APT攻击以及是否有数据被盗。在本发明提供的高级威胁检测方法中,在不影响用户设备性能的同时,可以将包含操作级别最低的进程创建操作、文件打开操作以及http post上传操作等操作日志文件上传至高级威胁检测服务器,在高级威胁检测服务器查询界面上,用户只要输入10.11.12.13作为检索条件,则可以立刻发现用户设备感染了恶意程序A、B以及C,以及机密文件被上传至恶意网站10.11.12.13,从而及时发现针对用户设备的APT攻击。
由此可见,本发明提供的高级威胁检测方法能够首先通过智能探针装置来检测智能探针装置在用户设备中的资源占用信息,以有效控制智能探针装置对用户设备中资源的占用,保证用户设备性能不受智能探针装置工作过程的影响;在此前提下,智能探针装置记录用户设备中应用程序在用户态以及内核态的操作日志并对其进行预处理、缓存及上传,以实现为高级威胁检测服务器提供完整记录应用程序在用户态以及内核态的操作并且格式统一操作日志文件的目的,使高级威胁检测服务器能够根据上述操作日志文件对应用程序在用户态以及内核态的完整操作进行准确且快速的检测分析,从而及时发现针对用户设备的高级持续性威胁攻击,以有效提升对高级持续性威胁攻击的检测能力。
其中,在一种优选的方案中,本发明的资源占用信息收集线程可以包括:CPU占用感应线程、磁盘占用感应线程、内存占用感应线程以及网络带宽占用感应线程。接下来分别对上述四个线程做以详细介绍。
首先介绍CPU占用感应线程。智能探针装置通过CPU占用感应线程检测通过智能探针装置在用户设备中的中央处理器CPU占用信息。如图3所示,CPU占用感应线程的执行步骤包括:
步骤S310:在监测到智能探针装置启动后,每隔第一预设时间间隔获取智能探针装置占用中央处理器CPU的总时间。
在监测到智能探针装置启动后,CPU占用感应线程调用操作系统API(ApplicationProgramming Interface,应用程序编程接口)每隔第一预设时间间隔计算自智能探针装置启动后智能探针装置占用用户设备CPU的总时间。其中上述CPU的总时间具体为智能探针装置占用CPU内核态和用户态的总时间。第一预设时间间隔可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
步骤S320:根据上述总时间以及第一预设时间间隔计算得到中央处理器CPU的平均占用率。
具体地,CPU的平均占用率的计算可以采用如下公式:
P%=(Tn-Tn-1)/T1*100%
其中,P%为CPU的平均占用率,Tn为本次获取的智能探针装置的CPU占用时间;Tn-1为上一次获取的智能探针装置的CPU占用时间;T1为第一预设时间间隔。
步骤S330:判断中央处理器CPU的平均占用率是否大于中央处理器CPU的平均占用率的第一预设阈值,若是,则执行步骤S340;若否,则重新执行步骤S310。
其中,第一预设阈值可以是智能探针装置中设定的默认值,也可以为用户根据实际需要通过配置文件设置的第一预设阈值等,本发明对第一预设阈值的设置方式不作限定。具体实施中,第一预设阈值可以在监测到智能探针装置启动之后获取。
步骤S340:控制降低记录操作日志对中央处理器CPU的平均占用率。
具体地,当CPU的平均占用率大于上述第一预设阈值时,向日志收集线程发送CPU超用消息,以通过日志收集线程对中央处理器CPU的使用策略进行调整,降低操作日志的记录过程对中央处理器CPU的平均占用率,从而减小CPU占用信息。
接下来介绍内存占用感应线程。智能探针装置通过内存占用感应线程检测智能探针装置在用户设备中的内存占用信息。如图4所示,内存占用感应线程的执行具体包括如下步骤:
步骤S410:在监测到智能探针装置启动后,每隔第二预设时间间隔获取智能探针装置占用内存的内存占用量。
具体地,在监测到智能探针装置启动后,内存占用感应线程调用操作系统API每隔第二预设时间间隔获取自启动时间后智能探针装置占用用户设备内存的内存占用量。其中,第二预设时间间隔可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
步骤S420:判断内存占用量是否大于内存占用量的第二预设阈值,若是,则执行步骤S430;若否,则执行步骤S410。
其中,第二预设阈值可以是智能探针装置根据用户设备的内存总大小设定的默认值,例如在监测到智能探针装置启动后检测用户设备的内存总大小并根据默认比例(可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定)设定智能探针装置能够使用的最大内存占用量作为第二预设阈值;或者也可以为用户根据实际需要通过配置文件设置的第二预设阈值等,本发明对第二预设阈值的设置方式不作限定。具体实施中,第二预设阈值可以在监测到智能探针装置启动之后获取。
步骤S430:控制降低记录操作日志对内存的内存占用量。
具体地,当内存占用量大于内存占用量的第二预设阈值时,向日志收集线程发送内存超用消息,以通过日志收集线程对内存的使用策略进行调整,降低操作日志的记录过程对内存的内存占用量,从而减小内存占用信息。
接下来介绍磁盘占用感应线程。智能探针装置通过磁盘占用感应线程检测智能探针装置在用户设备中的磁盘占用信息。如图5所示,磁盘占用感应线程具体包括如下步骤:
步骤S510:在监测到智能探针装置启动后,每隔第三预设时间间隔获取智能探针装置在磁盘中的平均读写次数及平均写入磁盘容量。
具体地,在监测到智能探针装置启动后,CPU占用感应线程调用操作系统API每隔第三预设时间间隔获取智能探针装置在磁盘中的读写总次数及写入磁盘总容量,并采用如下公式计算智能探针装置在磁盘中的平均读写次数及平均写入磁盘容量:
C1=C/T3;S1=S/T3
其中,C1和S1分别为平均读写次数和平均写入磁盘容量,C和S分别为第三预设时间间隔内磁盘的读写总次数以及写入磁盘总容量,T3为第三预设时间间隔。具体实施中,第三预设时间间隔可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
步骤S520:判断平均读写次数是否大于平均读写次数的第三预设阈值,或者平均写入磁盘容量是否大于平均写入磁盘容量的第四预设阈值,若是,则执行步骤S530;若否,则执行步骤S510。
其中,第三预设阈值以及第四预设阈值可以是智能探针装置根据用户设备磁盘的磁盘类型设定的默认值,例如智能探针装置启动之后可以自动检测用户设备磁盘的磁盘类型,如检测用户设备磁盘的磁盘类型为机械硬盘、固态硬盘还是内存映射盘等等,并根据磁盘类型确定设定第三预设阈值以及第四预设阈值;或者也可以为用户根据实际需要通过配置文件设置的第三预设阈值以及第四预设阈值等等,本发明对第三预设阈值以及第四预设阈值的设置方式不作限定。具体实施中,第三预设阈值以及第四预设阈值可以在监测到智能探针装置启动之后获取。
步骤S530:控制降低缓存操作日志对磁盘的平均读写次数,或者控制降低缓存操作日志对磁盘的平均写入磁盘容量。
具体地,当步骤S520中判断结果为是时,向日志收集线程发送磁盘超用消息,以通过日志收集线程对磁盘的使用策略进行调整,减小操作日志的处理和缓存过程对磁盘的占用,从而减小磁盘占用信息。
接下来介绍网络带宽占用感应线程。智能探针装置通过网络带宽占用感应线程检测智能探针装置在用户设备中的网络带宽占用信息。如图6所示,网络带宽占用感应线程具体包括如下步骤:
步骤S610:在监测到智能探针装置启动后,每隔第五预设时间间隔统计智能探针装置的上传数据总量以及上传数据总时间,根据上传数据总量以及上传数据总时间计算网络带宽的平均占用率。
具体地,在监测到智能探针装置启动后,网络带宽占用感应线程调用操作系统API每隔第五预设时间间隔统计并获取智能探针装置的上传数据总量D(单位:bit)以及上传数据总时间S(单位:s),并采用如下公式计算网络带宽的平均占用率B1(单位:kbps):B1=D/1024/S。
其中第五预设时间间隔可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
步骤S620:判断网络带宽的平均占用率是否大于网络带宽的平均占用率的第五预设阈值,若是,执行步骤S630;若否,则执行步骤S610。
其中,由于网络中部署的智能探针装置的数量可以为一个或多个,因此网络带宽的平均占用率的第五预设阈值B可以根据智能探针装置检测到的用户设备当前物理网络的最大带宽B m、网络中部署智能探针装置的数量Q以及预设智能探针装置占用带宽比例P计算所得,具体可以采用如下公式计算获得:B=B m*P/Q。
具体实施中,第五预设阈值可以在每隔第五预设时间间隔统计智能探针装置的上传数据总量以及上传数据总时间之前获取。
步骤S630:控制降低上传操作日志对网络带宽的平均占用率。
具体地,当步骤S620中判断结果为是时,可以向日志上传线程发送网络带宽超用消息,以通过日志上传线程调整网络带宽使用策略,降低操作日志的上传过程对网络带宽的平均占用率,从而减小网络带宽占用信息。
图7示出了本发明实施例提供的一种日志收集线程的流程图。如图7所示,日志收集线程包括如下步骤:
步骤S710:默认记录用户设备中应用程序的操作日志的操作级别为最高操作级别。
具体地,在检测到智能探针装置启动之后,智能探针装置默认记录操作日志的操作级别为最高操作级别N,以默认记录应用程序在用户态以及内核态的全部操作级别的操作。
步骤S720:接收智能探针装置根据资源占用信息记录的用户设备中应用程序的操作日志。
其中,步骤S120中智能探针装置根据资源占用信息记录用户设备中应用程序的操作日志并将其发送给日志收集线程,本步骤中接收上述发送的操作日志。
步骤S730:判断接收操作日志的时间是否到达第六预设时间间隔,若是,则执行步骤S740;若否,则执行步骤S720。其中,第六预设时间间隔可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
步骤S740:智能探针装置根据磁盘占用信息对操作日志预处理后缓存为操作日志文件。
本步骤执行过程与步骤S130相同,具体可以参照步骤S130中的对应描述,此处不再赘述。
步骤S750:判断CPU占用信息是否超标,若是,则执行步骤S751;若否,则执行步骤S760。
步骤S751:调整CPU使用策略。
具体地,判断是否接收到CPU占用感应线程发送的CPU超用消息,若是,则调整CPU使用策略。调整CPU使用策略具体可以是为记录操作日志分配适当的小缓存,在日志收集线程两次接收操作日志的间隙,使日志收集线程采用适当的休眠来减少日志收集线程对CPU的占用以减少CPU占用时间,则在不降低记录的操作日志的操作级别的前提下降低CPU的占用率。若因采用上述方式没有及时接收操作日志导致记录的操作日志丢失,则进一步降低记录操作日志的操作级别,例如可以将记录操作日志的操作级别降低至N-K(K<N),以丢弃掉记录重要程度相对较低的操作级别N-K~N所包含的操作,仅记录重要程度相对较高的1~N-K的操作级别的操作。具体实施中可以每次调整操作级别减1,通过丢弃记录重要程度相对较低的操作来降低CPU占用信息,降低CPU的占用率使其小于第一预设阈值。在这里,要说明的是,上述列举的降低记录操作日志的操作级别的方式仅仅是示例性的,本发明包括但不限于上述列举的降低记录操作日志的操作级别的方式。
步骤S760:判断内存占用信息是否超标,若是,则执行步骤S761;若否,则执行步骤S770。
具体地,判断是否接收到内存占用感应线程发送的内存超用消息,若是,则执行步骤S761。
步骤S761:调整内存使用策略。
调整内存使用策略具体可以为降低记录操作日志的操作级别(可参照步骤S751中的对应描述,此处不再赘述),使内存占用量小于第二预设阈值。
步骤S770:判断磁盘占用信息是否超标,若是,则执行步骤S771;若否,则执行步骤S720。
具体地,判断是否接收到磁盘占用感应线程发送的磁盘超用消息,若是,则执行步骤S771。
步骤S771:调整磁盘使用策略。
调整磁盘使用策略具体可以为:若智能探针装置在磁盘中的平均读写次数超用时,则可以适当增加写入磁盘的内存块容量以减少上述平均读写次数,使平均读写次数小于第三预设阈值;其中,上述增加的内存块容量根据内存占用信息确定,增加的内存块容量不能导致内存占用信息超用。若智能探针装置在磁盘中的平均写入磁盘容量超用时,则降低记录操作日志的操作级别(可参照步骤S751中的对应描述,此处不再赘述),使平均写入磁盘容量小于第四预设阈值。
图8示出了本发明实施例提供的一种日志上传线程的流程图。具体对应执行上述步骤S140。如图8所示,日志上传线程包括如下步骤:
步骤S810:检测是否存在缓存的操作日志文件,若否,则执行步骤S820;若是,则执行步骤S830。
步骤S820:等待固定时间间隔。
具体地,固定时间间隔即当前时间距离上一次检测是否存在缓存的操作日志文件的时间之间的时间间隔,若到达固定时间间隔,则重新执行步骤S810。
步骤S830:判断缓存的操作日志文件是否大于预设数据量阈值,若是,则执行步骤S840;若否,则执行步骤S850。
步骤S840:调整记录操作日志的操作等级。
具体地,降低记录操作日志的操作级别以丢弃记录重要程度相对较低的操作以降低记录的操作日志的数据量,使缓存的操作日志文件的数据量小于预设数据量阈值,并执行步骤S850。其中,降低记录操作日志的操作级别的具体方式可参照步骤S751中的对应描述,此处不再赘述。
步骤S850:判断是否接收到网络带宽感应线程发送的网络带宽超用消息,若是,则执行步骤S860;若否,则执行步骤S870。
步骤S860:调整网络带宽使用策略。
调整网络带宽使用策略具体可以为调整操作日志文件当前上传总时间。例如根据当前缓存的日志操作文件的数据量以及用户设备当前物理网络的最大带宽B m确定目标上传总时间:目标上传总时间=当前缓存的日志操作文件的数据量/用户设备当前物理网络的最大带宽B m,然后通过网络API将当前上传总时间设置为目标上传总时间。
其中,由于当前缓存的日志操作文件的数据量大于预设数据量阈值,因此目标上传总时间大于当前上传总时间,上述调整过程实际通过增加操作日志文件当前上传总时间来减少上传日志操作文件对网络带宽的占用,进而减少网络带宽占用信息,使网络带宽占用信息小于第五预设阈值,并继续执行步骤S870。
步骤S870:通过网络API将操作日志文件上传至高级威胁检测服务器。
在这里,要说明的是,上述固定时间间隔以及预设数据量阈值可以由本领域技术人员根据实际情况进行设置,本发明对此不作限定。
图9为本发明实施例提供的一种智能探针装置90的示意性结构图。如图9所示,该智能探针装置包括:
检测模块91,用于检测智能探针装置在用户设备中的资源占用信息。
资源占用信息包括:中央处理器CPU占用信息;则检测模块91具体用于:检测智能探针装置在用户设备中的中央处理器CPU占用信息,包括:
在监测到智能探针装置启动后,每隔第一预设时间间隔获取智能探针装置占用中央处理器CPU的总时间;
根据总时间以及第一预设时间间隔计算得到中央处理器CPU的平均占用率;
判断中央处理器CPU的平均占用率是否大于中央处理器CPU的平均占用率的第一预设阈值,若是,则控制降低记录操作日志对中央处理器CPU的平均占用率。
资源占用信息包括:内存占用信息;则检测模块91具体用于:检测智能探针装置在用户设备中的内存占用信息,包括:
在监测到智能探针装置启动后,每隔第二预设时间间隔获取智能探针装置占用内存的内存占用量;
判断内存占用量是否大于内存占用量的第二预设阈值,若是,则控制降低记录操作日志对内存的内存占用量。资源占用信息包括:磁盘占用信息;则检测模块91具体用于:检测智能探针装置在用户设备中的磁盘占用信息,包括:
在监测到智能探针装置启动后,每隔第三预设时间间隔获取智能探针装置在磁盘中的平均读写次数及平均写入磁盘容量;
判断平均读写次数是否大于平均读写次数的第三预设阈值,若是,控制降低缓存操作日志对磁盘的平均读写次数;
或者,判断平均写入磁盘容量是否大于平均写入磁盘容量的第四预设阈值,若是,控制降低缓存操作日志对磁盘的平均写入磁盘容量。
资源占用信息包括:网络带宽占用信息;则检测模块91具体用于:检测智能探针装置在用户设备中的网络带宽占用信息,包括:
在监测到智能探针装置启动后,每隔第五预设时间间隔统计智能探针装置的上传数据总量以及上传数据总时间,根据上传数据总量以及上传数据总时间计算网络带宽的平均占用率;
判断网络带宽的平均占用率是否大于网络带宽的平均占用率的第五预设阈值,若是,控制降低上传操作日志对网络带宽的平均占用率。
记录模块92,用于根据资源占用信息记录用户设备中应用程序的操作日志;其中操作日志包括应用程序在用户态以及内核态的操作以及与操作对应的操作级别;操作根据由高到低的重要程度对应划分到由低到高的操作级别;操作日志至少包括:文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志。
具体实施中,可以将记录模块92可以进一步划分为文件操作记录模块、进程操作记录模块、注册表操作记录模块、网络操作记录模块、以及系统操作记录模块。其中,文件操作记录模块、进程操作记录模块、注册表操作记录模块、网络操作记录模块分别用于记录用户设备内核态的文件操作、进程操作、注册表操作、以及网络操作;系统操作记录模块用于记录用户设备用户态的系统操作。
资源占用信息包括:中央处理器CPU占用信息、内存占用信息;则记录模块92具体用于:
根据中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志。
处理模块93,用于根据资源占用信息对操作日志预处理后缓存为操作日志文件。资源占用信息包括:磁盘占用信息;则处理模块具体用于:
根据磁盘占用信息对操作日志预处理后缓存为操作日志文件。
上传模块94,用于从缓存中获取经预处理后生成的操作日志文件,并根据资源占用信息将操作日志文件上传至高级威胁检测服务器,以供高级威胁检测服务器对操作日志文件进行安全检测。
资源占用信息包括:网络带宽占用信息;则上传模块94具体用于:根据网络带宽占用信息将操作日志文件上传至高级威胁检测服务器。
上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,其作用在此不再赘述。
在采用集成的模块的情况下,智能探针装置包括:存储单元、处理单元以及接口单元。处理单元用于对智能探针装置的动作进行控制管理,例如,处理单元用于支持智能探针装置执行图1、3-8中的过程中各个步骤的实施。接口单元用于支持智能探针装置与其他装置的交互,例如与高级威胁检测服务器;存储单元,用于存储智能探针装置程序代码和数据。
其中,以处理单元为处理器,存储单元为存储器,接口单元为通信接口为例。其中,智能探针装置参照图10中所示,包括通信接口1001、处理器1002、存储器1003和总线1004,通信接口1001、处理器1002通过总线1004与存储器1003相连。
处理器1002可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
存储器1003可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器1003用于存储执行本申请方案的应用程序代码,并由处理器1002来控制执行。通讯接口1001用于用于支持智能探针装置与其他装置的交互,例如与高级威胁检测服务器。处理器1002用于执行存储器1003中存储的应用程序代码,从而实现本申请实施例中所述的方法。
本发明实施例还提供一种用户设备,包括上述任一实施例中介绍的智能探针装置。
本发明实施例还提供一种高级威胁检测系统,包括至少一个用户设备,以及高级威胁检测服务器。
其中至少一个用户设备连接高级威胁检测服务器,至少一个用户设备中的任意一个或多个用户设备包含上述任一实施例中介绍的智能探针装置。
本发明实施例还提供一种存储介质,所述存储介质存储有指令代码,所述指令代码用于执行如上述方法实施例中的高级威胁检测方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括指令代码,所述指令代码用于执行如上述方法实施例中的高级威胁检测方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者系统设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。

Claims (18)

1.一种高级威胁检测方法,应用于用户设备,其特征在于,包括:
智能探针装置检测所述智能探针装置在所述用户设备中的资源占用信息;
智能探针装置根据所述资源占用信息记录用户设备中应用程序的操作日志;其中所述操作日志包括所述应用程序在用户态以及内核态的操作以及与所述操作对应的操作级别;所述操作根据由高到低的重要程度对应划分到由低到高的操作级别;所述操作日志至少包括:文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志;
所述智能探针装置根据所述资源占用信息对所述操作日志预处理后缓存为操作日志文件;
所述智能探针装置从缓存中获取经预处理后生成的操作日志文件,并根据所述资源占用信息将所述操作日志文件上传至高级威胁检测服务器,以供所述高级威胁检测服务器对所述操作日志文件进行安全检测;
所述资源占用信息包括:中央处理器CPU占用信息;则智能探针装置检测所述智能探针装置在所述用户设备中的中央处理器CPU占用信息,包括:
在监测到所述智能探针装置启动后,每隔第一预设时间间隔获取所述智能探针装置占用中央处理器CPU的总时间;
根据所述总时间以及所述第一预设时间间隔计算得到中央处理器CPU的平均占用率;
判断所述中央处理器CPU的平均占用率是否大于所述中央处理器CPU的平均占用率的第一预设阈值,若是,则控制降低记录所述操作日志对所述中央处理器CPU的平均占用率。
2.根据权利要求1所述的高级威胁检测方法,其特征在于,所述资源占用信息包括:中央处理器CPU占用信息、内存占用信息;
智能探针装置根据所述中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志。
3.根据权利要求1所述的高级威胁检测方法,其特征在于,所述资源占用信息包括:磁盘占用信息;
智能探针装置根据所述磁盘占用信息对所述操作日志预处理后缓存为操作日志文件。
4.根据权利要求1所述的高级威胁检测方法,其特征在于,所述资源占用信息包括:网络带宽占用信息;
智能探针装置根据所述网络带宽占用信息将所述操作日志文件上传至高级威胁检测服务器。
5.根据权利要求1所述的高级威胁检测方法,其特征在于,资源占用信息包括:内存占用信息;则智能探针装置检测所述智能探针装置在所述用户设备中的内存占用信息,包括:
在监测到所述智能探针装置启动后,每隔第二预设时间间隔获取所述智能探针装置占用内存的内存占用量;
判断所述内存占用量是否大于所述内存占用量的第二预设阈值,若是,则控制降低记录所述操作日志对所述内存的内存占用量。
6.根据权利要求1所述的高级威胁检测方法,其特征在于,资源占用信息包括:磁盘占用信息;则智能探针装置检测所述智能探针装置在所述用户设备中的磁盘占用信息,包括:
在监测到所述智能探针装置启动后,每隔第三预设时间间隔获取所述智能探针装置在所述磁盘中的平均读写次数及平均写入磁盘容量;
判断所述平均读写次数是否大于所述平均读写次数的第三预设阈值,若是,控制降低缓存所述操作日志对所述磁盘的平均读写次数;
或者,判断所述平均写入磁盘容量是否大于所述平均写入磁盘容量的第四预设阈值,若是,控制降低缓存所述操作日志对所述磁盘的平均写入磁盘容量。
7.根据权利要求1所述的高级威胁检测方法,其特征在于,资源占用信息包括:网络带宽占用信息;则智能探针装置检测所述智能探针装置在所述用户设备中的网络带宽占用信息,包括:
在监测到所述智能探针装置启动后,每隔第五预设时间间隔统计所述智能探针装置的上传数据总量以及上传数据总时间,根据所述上传数据总量以及上传数据总时间计算所述网络带宽的平均占用率;
判断所述网络带宽的平均占用率是否大于所述网络带宽的平均占用率的第五预设阈值,若是,控制降低上传所述操作日志对网络带宽的平均占用率。
8.一种智能探针装置,其特征在于,包括:
检测模块,用于检测所述智能探针装置在所述用户设备中的资源占用信息;
记录模块,用于根据所述检测模块检测的资源占用信息记录用户设备中应用程序的操作日志;其中所述操作日志包括所述应用程序在用户态以及内核态的操作以及与所述操作对应的操作级别;所述操作根据由高到低的重要程度对应划分到由低到高的操作级别;所述操作日志至少包括:文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志;
处理模块,用于根据所述检测模块检测的资源占用信息对所述操作日志预处理后缓存为操作日志文件;
上传模块,用于从缓存中获取经预处理后生成的操作日志文件,并根据所述资源占用信息将所述操作日志文件上传至高级威胁检测服务器,以供所述高级威胁检测服务器对所述操作日志文件进行安全检测;
所述资源占用信息包括:中央处理器CPU占用信息;则所述检测模块具体用于:检测所述智能探针装置在所述用户设备中的中央处理器CPU占用信息,包括:
在监测到所述智能探针装置启动后,每隔第一预设时间间隔获取所述智能探针装置占用中央处理器CPU的总时间;
根据所述总时间以及所述第一预设时间间隔计算得到中央处理器CPU的平均占用率;
判断所述中央处理器CPU的平均占用率是否大于所述中央处理器CPU的平均占用率的第一预设阈值,若是,则控制降低记录所述操作日志对所述中央处理器CPU的平均占用率。
9.根据权利要求8所述的智能探针装置,其特征在于,所述资源占用信息包括:中央处理器CPU占用信息、内存占用信息;则所述记录模块具体用于:
根据所述中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志。
10.根据权利要求8所述的智能探针装置,其特征在于,所述资源占用信息包括:磁盘占用信息;则所述处理模块具体用于:
根据所述磁盘占用信息对所述操作日志预处理后缓存为操作日志文件。
11.根据权利要求8所述的智能探针装置,其特征在于,所述资源占用信息包括:网络带宽占用信息;则所述上传模块具体用于:
根据所述网络带宽占用信息将所述操作日志文件上传至高级威胁检测服务器。
12.根据权利要求8所述的智能探针装置,其特征在于,所述资源占用信息包括:内存占用信息;则所述检测模块具体用于:检测所述智能探针装置在所述用户设备中的内存占用信息,包括:
在监测到所述智能探针装置启动后,每隔第二预设时间间隔获取所述智能探针装置占用内存的内存占用量;
判断所述内存占用量是否大于所述内存占用量的第二预设阈值,若是,则控制降低记录所述操作日志对所述内存的内存占用量。
13.根据权利要求8所述的智能探针装置,其特征在于,所述资源占用信息包括:磁盘占用信息;则所述检测模块具体用于:检测所述智能探针装置在所述用户设备中的磁盘占用信息,包括:
在监测到所述智能探针装置启动后,每隔第三预设时间间隔获取所述智能探针装置在所述磁盘中的平均读写次数及平均写入磁盘容量;
判断所述平均读写次数是否大于所述平均读写次数的第三预设阈值,若是,控制降低缓存所述操作日志对所述磁盘的平均读写次数;
或者,判断所述平均写入磁盘容量是否大于所述平均写入磁盘容量的第四预设阈值,若是,控制降低缓存所述操作日志对所述磁盘的平均写入磁盘容量。
14.根据权利要求8所述的智能探针装置,其特征在于,所述资源占用信息包括:网络带宽占用信息;则所述检测装置具体用于:检测所述智能探针装置在所述用户设备中的网络带宽占用信息,包括:
在监测到所述智能探针装置启动后,每隔第五预设时间间隔统计所述智能探针装置的上传数据总量以及上传数据总时间,根据所述上传数据总量以及上传数据总时间计算所述网络带宽的平均占用率;
判断所述网络带宽的平均占用率是否大于所述网络带宽的平均占用率的第五预设阈值,若是,控制降低上传所述操作日志对网络带宽的平均占用率。
15.一种用户设备,其特征在于,包括如权利要求8-14任一项所述的智能探针装置。
16.一种高级威胁检测系统,其特征在于,包括:至少一个用户设备,以及高级威胁检测服务器;
其中所述至少一个用户设备连接所述高级威胁检测服务器,所述至少一个用户设备中的任意一个或多个用户设备包含如权利要求8-14任一项所述的智能探针装置。
17.一种存储介质,其特征在于,所述存储介质存储有指令代码,所述指令代码用于执行如权利要求1-7任一项所述的高级威胁检测方法。
18.一种计算机程序产品,其特征在于,所述计算机程序产品包括指令代码,所述指令代码用于执行如权利要求1-7任一项所述的高级威胁检测方法。
CN201810695099.XA 2018-06-29 2018-06-29 高级威胁检测方法及智能探针装置和高级威胁检测系统 Active CN108900508B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810695099.XA CN108900508B (zh) 2018-06-29 2018-06-29 高级威胁检测方法及智能探针装置和高级威胁检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810695099.XA CN108900508B (zh) 2018-06-29 2018-06-29 高级威胁检测方法及智能探针装置和高级威胁检测系统

Publications (2)

Publication Number Publication Date
CN108900508A CN108900508A (zh) 2018-11-27
CN108900508B true CN108900508B (zh) 2021-09-14

Family

ID=64346611

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810695099.XA Active CN108900508B (zh) 2018-06-29 2018-06-29 高级威胁检测方法及智能探针装置和高级威胁检测系统

Country Status (1)

Country Link
CN (1) CN108900508B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11579926B2 (en) * 2020-02-10 2023-02-14 EMC IP Holding Company LLC Processing rest API requests based on resource usage satisfying predetermined limits

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106713332A (zh) * 2016-12-30 2017-05-24 山石网科通信技术有限公司 网络数据的处理方法、装置和系统
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统
CN107493183A (zh) * 2016-06-13 2017-12-19 中国移动通信集团北京有限公司 一种故障定位方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9342366B2 (en) * 2012-10-17 2016-05-17 Electronics And Telecommunications Research Institute Intrusion detection apparatus and method using load balancer responsive to traffic conditions between central processing unit and graphics processing unit
CN107294971B (zh) * 2017-06-23 2020-05-26 西安交大捷普网络科技有限公司 服务器攻击源的威胁度排序方法
CN107888607B (zh) * 2017-11-28 2020-11-06 新华三技术有限公司 一种网络威胁检测方法、装置及网络管理设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107493183A (zh) * 2016-06-13 2017-12-19 中国移动通信集团北京有限公司 一种故障定位方法及装置
CN106713332A (zh) * 2016-12-30 2017-05-24 山石网科通信技术有限公司 网络数据的处理方法、装置和系统
CN106909847A (zh) * 2017-02-17 2017-06-30 国家计算机网络与信息安全管理中心 一种恶意代码检测的方法、装置及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《基于行为监控的病毒程序自动化鉴定平台设计与实现》;王有富;《中国优秀硕士学位论文全文数据库信息科技辑》;20170215;第3-5,44-48页 *
《提高防御APT攻击性能的入侵检测系统的设计与实现》;闫张浩;《中国优秀硕士学位论文全文数据库信息科技辑》;20160215;第7-9,12-20页 *

Also Published As

Publication number Publication date
CN108900508A (zh) 2018-11-27

Similar Documents

Publication Publication Date Title
US10521358B2 (en) System, apparatus and method for prioritizing the storage of content based on a threat index
US10645002B2 (en) System, apparatus and method for managing redundancy elimination in packet storage during observation of data movement
US7872975B2 (en) File server pipelining with denial of service mitigation
US20090092057A1 (en) Network Monitoring System with Enhanced Performance
US8631492B2 (en) Dynamic management of resource utilization by an antivirus application
US10037425B2 (en) Detecting suspicious file prospecting activity from patterns of user activity
JP2020531956A5 (zh)
CN112272175A (zh) 一种基于dns的木马病毒检测方法
CN108900508B (zh) 高级威胁检测方法及智能探针装置和高级威胁检测系统
KR20160087187A (ko) 사이버 블랙박스 시스템 및 그 방법
TWI610196B (zh) 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
US9195805B1 (en) Adaptive responses to trickle-type denial of service attacks
CN113923002A (zh) 计算机网络入侵防御方法、装置、存储介质及处理器
CN113852490A (zh) 一种分布式存储系统中samba用户QoS实现方法、装置及设备
US9325736B2 (en) Method and device for anti-virus scanning
WO2023151238A1 (zh) 一种勒索病毒检测方法及相关系统
CN113923039B (zh) 攻击设备识别方法、装置、电子设备及可读存储介质
CN112069505B (zh) 一种审计信息处理方法及电子设备
CN111444503B (zh) 一种检测勒索病毒的方法、装置、系统和介质
CN114679320A (zh) 一种服务器防护方法、装置及可读存储介质
RU2752241C2 (ru) Способ и система для выявления вредоносной активности предопределенного типа в локальной сети
CN108124014B (zh) 一种浏览器智能预防第三方Cookie跟踪的方法
KR100632204B1 (ko) 네트워크 상의 공격 탐지 장치 및 그 방법
TWI779245B (zh) 異常流量偵測方法與異常流量偵測裝置
KR102460848B1 (ko) 캐시 부 채널 공격 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant