CN111221625A - 文件检测方法、装置及设备 - Google Patents
文件检测方法、装置及设备 Download PDFInfo
- Publication number
- CN111221625A CN111221625A CN201911407795.7A CN201911407795A CN111221625A CN 111221625 A CN111221625 A CN 111221625A CN 201911407795 A CN201911407795 A CN 201911407795A CN 111221625 A CN111221625 A CN 111221625A
- Authority
- CN
- China
- Prior art keywords
- file
- container
- information
- malicious
- running
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
- G06F9/548—Object oriented; Remote method invocation [RMI]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本申请公开了一种文件检测方法、装置及设备,涉及终端应用技术领域,能够对运行中的容器进行扫描监控,提高Docker容器内文件的安全性。其中方法包括:通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息;基于预先构建的大数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件;若存在,则生成并传输恶意文件的告警信息。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及到一种文件检测方法、装置及设备。
背景技术
随着互联网技术的不断发展,企业的服务器数量大幅增长,业务系统越来越复杂,用户体验要求越来越高,容器这种能够打包应用和隔离运行环境的技术引起了开发者的高度关注。相比于传统的虚拟化技术,容器不需要为每个应用分配单独的操作系统,所以容器会拥有更高的资源使用效率。其中,以Docker为代表的容器技术发展得最好,迅速占领了市场。
在Docker容器技术飞速发展的同时,Docer容器安全问题也日益为广大用户及企业关注的焦点。如今互联网公司每天面临着无数的恶意攻击,针对Docker容器安全问题,通常都是利用主机层将Docker容器中的文件传输宿主机中,进而对操作系统的文件进行监控检测。但是主机层的文件监控面对Docker容器,无法对容器内的文件内容进行监控检测。
目前,使用Docker安全扫描的工具,能够帮助开发者和企业找到Docker容器镜像中的已知漏洞,可以实现对Docker镜像系统进行监控检测。然而,Docker安全扫描的工具仅支持镜像系统的静态扫描,无法对运行中的容器进行扫描监控,使得Docker容器内文件存在安全隐患
发明内容
根据本申请的一个方面,提供了一种文件检测方法,该方法包括:
通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息;
基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件;
若存在,则生成并传输恶意文件的告警信息。
进一步地,所述通过调用容器引擎对应的远程接口,获取容器引擎内运行的文件信息,具体包括:
通过调用容器引擎对应的远程接口,获取容器引擎的运行状态;
基于所述容器引擎的运行状态,获取正在运行中的容器列表,所述容器列表中记录有运行中容器的详细信息;
根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息。
进一步地,所述根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息,具体包括:
根据所述运行中容器的详细信息,读取由运行中容器启动的进程信息;
从所述由运行中容器启动的进程信息中提取文件改动信息,并根据文件改动信息中记录当前文件状态,确定容器引擎内运行的文件信息。
进一步地,所述基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件,具体包括:
利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息;
将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果;
通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断所述文件信息中是否存在恶意文件。
进一步地,在所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果之前,所述方法还包括:
汇总从多个资源库所收集的恶意样本,构建恶意代码规则库,所述恶意代码规则库中记录有从恶意代码抽取的字符串形成的规则。
进一步地,所述预先构建的数据分析平台包括数据收集引擎、搜索服务引擎以及可视化平台,所述利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息,具体包括:
将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中,所述数据收集引擎用于从容器引擎中拉取日志数据,并将所述日志数据转发到搜索服务引擎;
对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎,并创建文件信息对应的索引。
进一步地,所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果,具体包括:
对所述容器引擎中运行的文件信息进行预处理,形成与规则统一数据格式的文件特征代码;
将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果。
进一步地,所述将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果,具体包括:
以所述文件特征代码作为待匹配的主串,所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串,遍历所述主串中每个位置上的字符;
将所述主串中每个位置上的字符与所述模式串进行匹配,得到关联分析结果。
进一步地,在所述若存在,则生成并传输恶意文件的告警信息之后,所述方法还包括:
根据所述告警信息追踪所述恶意文件,捕获并删除所述恶意文件。
根据本申请的另一个方面,提供了一种文件检测装置,该装置包括:
获取单元,用于通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息;
判断单元,用于基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件;
生成单元,用于若所述文件信息中存在恶意文件,则生成并传输恶意文件的告警信息。
进一步地,所述获取单元包括:
第一获取模块,用于通过调用容器引擎对应的远程接口,获取容器引擎的运行状态;
第二获取模块,用于基于所述容器引擎的运行状态,获取正在运行中的容器列表,所述容器列表中记录有运行中容器的详细信息;
确定模块,用于根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息。
进一步地,所述确定模块包括:
读取子模块,用于根据所述运行中容器的详细信息,读取由运行中容器启动的进程信息;
提取子模块,用于从所述由运行中容器启动的进程信息中提取文件改动信息,并根据文件改动信息中记录当前文件状态,确定容器引擎内运行的文件信息。
进一步地,所述判断单元包括:
存储模块,用于利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息;
分析模块,用于将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果;
判断模块,用于通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断所述文件信息中是否存在恶意文件。
进一步地,所述判断单元还包括:
构建模块,用于在将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果之前,汇总从多个资源库所收集的恶意样本,构建恶意代码规则库,所述恶意代码规则库记录有从恶意代码中抽取的恶意行为特征。
进一步地,所述存储模块包括:
导入子模块,用于将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中,所述数据收集引擎用于从容器引擎中拉取日志数据,并将所述日志数据转发到搜索服务引擎;
存储子模块,用于对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎,并创建文件信息对应的索引。
进一步地,所述分析模块包括:
处理子模块,用于对所述容器引擎中运行的文件信息进行预处理,形成与规则统一数据格式的文件特征代码;
匹配子模块,用于将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果。
进一步地,所述匹配子模块,具体用于以所述文件特征代码作为待匹配的主串,所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串,遍历所述主串中每个位置上的字符;
所述匹配子模块,具体还用于将所述主串中每个位置上的字符与所述模式串进行匹配,得到关联分析结果。
进一步地,所述装置还包括:
追踪单元,用于在所述若存在,则生成并传输恶意文件的告警信息之后,根据所述告警信息追踪所述恶意文件,捕获并删除所述恶意文件。
依据本申请又一个方面,提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述文件检测方法的步骤。
依据本申请再一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述文件检测方法的步骤。
借由上述技术方案,本申请提供的一种文件检测方法、装置及设备,与目前现有方式中仅能监控检测Docker主机层面的文件信息,无法对运行中的容器进行扫描监控的方式相比,本申请通过调用容器引擎对应的远程接口,能够获取容器引擎中运行的文件信息,进一步利用预先搭建的数据分析平台,该数据分析平台中存储有结合威胁情报、恶意代码等形成的规则库,对容器引擎中运行的文件信息进行规则关联,判断文件信息中是否存在恶意文件,进而对运行中的容器进行扫描监控,解决了无法监控Docker容器内文件安全的问题,提升了运行环境下Docker集群的安全防护能力。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1示出了本发明实施例提供的一种文件检测方法的流程示意图;
图2示出了本发明实施例提供的另一种文件检测方法的流程示意图;
图3示出了本发明实施例提供的一种文件检测系统的框架图;
图4示出了本发明实施例提供的一种文件检测的流程框图;
图5示出了本发明实施例提供的一种文件检测装置的结构示意图;
图6示出了本发明实施例提供的另一种文件检测装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
虚拟技术作为云计算领域的核心飞速发展,Docker作为当前应用最为广泛的容器技术,获得了大量关注,相比于传统虚拟机技术更加快速,启动速度、信息格力和资源消耗等方面优势明显,但是Docker平台尚未成熟,特别在安全性能方面仍存在一些问题,例如,内核漏洞、拒绝服务攻击、容器突破等恶意文件的攻击。通过采取预防安全的措施可以从一定程度上避免恶意文件的攻击,针对Docker容器安全问题,通常都是利用主机层将Docker容器中的文件传输宿主机中,进而对操作系统的文件进行监控检测,或者使用安全扫描的工具扫描监控镜像系统,进而对镜像系统的文件进行监控检测。然而,使用的Docker安全扫描的工具,能够帮助开发者和企业找到Docker容器镜像中的已知漏洞,可以实现对Docker镜像系统进行监控检测。然而,Docker安全扫描的工具仅支持镜像系统的静态扫描,无法对运行中的容器进行扫描监控。为了解决该问题,本实施例提供了一种文件检测方法,如图1所示,该方法包括如下步骤:
101、通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息。
其中,容器引擎可以为Docker应用容器引擎,为了便于对Docker服务进行管理,Docker容器提供一系组REST API,其中包括Reistry API:与存储Docker镜像的Registry相关功能的;Docker Hub API:与Docker Hug相关的功能;Docker Remote API:与Docker守护进程相关的功能。容器引擎中运行的文件信息可以包括但不局限于容器运行过程中的进程以及进程所涉及的文件、网络连接等信息,例如,进程标识、进程状态、进程对应操作文件信息、当前文件状态、进程开启的网络端口、网络状态等。
在本发明实施例中,容器引擎对应的远程接口为Docke Remote API,DockerRemote API主要用于远程访问Docker守护进程从而下达指令的,具体可以使用命令工具cURL来处理url相关查找。cURL可以发送请求、获取以及发送数据、检索信息。例如,获取所有容器的清单、创建容器、使用容器id获取该容器底层信息、获取容器内进程的清单等。
对于本实施例的执行主体可以为文件检测装置或设备,可以配置在用户的客户端侧,为了便于客户端获取容器引擎中运行的文件信息,该客户端可以配置支持远程连接Docker容器的应用组件,利用应用组件向Docker容器发送连接请求,在经过Docker容器的身份验证后,通过调用Docker Remote API连接容器,只要被连接的容器启动指定进程,用户可以通过客户端侧连接到Docker容器,进而获取Docker容器中运行的文件信息。
102、基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件。
通常情况下,当容器引擎在运行时,在里面所有的修改都会体现在容器的可写层,通过容器引擎提供的执行命令,可以将正在运行的容器,叠加上可写层的修改内容,生成一个新镜像,存储至镜像仓库中。现有技术可以利用镜像扫描工具对镜像仓库中存储的文件进行扫描,对于未存储至镜像之前容器引擎中运行的文件信息,仍然无法保证其安全性。本发明实施利用预先搭建的数据分析平台,对容器引擎中运行的文件信息进行规则关联,分析文件信息中是否存在恶意文件,从而保证容器引擎运行中的安全性。
其中,预先搭建的数据分析平台能够综合运用恶意代码检测、规则关联、告警和防御等技术,对容器引擎中运行的文件信息进行分析,该数据分析平台可以为ELK日志平台、Hadoop分布式平台等,具体可以将容器引擎中运行的文件信息导入至数据分析平台后,通过将文件信息进行预处理后与存储在恶意代码库的数千条规则和定义的恶意代码特征进行规则关联,识别文件信息中是否存在恶意行为,进而判断文件信息中是否存在恶意文件。
可以理解的是,上述的恶意代码库相当于数据分析平台中设置的规则引擎,由于文件信息可能对应的数据量较大,可以通过文件信息预处理后分批次导入至规则引擎中,当运行规则引擎过程中会对文件信息执行规则关联,利用预先配置好的规则对文件信息进行分析。
103、若存在,则生成并传输恶意文件的告警信息。
在本发明实施例中,若文件信息中存在恶意文件,则说明容器引擎发生安全事件,可以生成并传输恶意文件的告警信息,该告警信息中可以记录但不局限于恶意文件中恶意代码的进程、执行路径、攻击行为等相关信息。
本申请实施例提供的文件检测方法,与目前现有方式中仅能监控检测Docker主机层面的文件信息,无法对运行中的容器进行扫描监控的方式相比,本申请通过调用容器引擎对应的远程接口,能够获取容器引擎中运行的文件信息,进一步利用预先搭建的数据分析平台,该数据分析平台中存储有结合威胁情报、恶意代码等形成的规则库,对容器引擎中运行的文件信息进行规则关联,判断文件信息中是否存在恶意文件,进而对运行中的容器进行扫描监控,解决了无法监控Docker容器内文件安全的问题,提升了运行环境下Docker集群的安全防护能力。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,本实施例提供了另一种文件检测方法,如图2所示,该方法包括:
201、通过调用容器引擎对应的远程接口,获取容器引擎的运行状态。
通常情况下,服务器启动之后,所选择的操作系统会启动,容器引擎可以使用客户端-服务器(C/S)结构模式,使用远程API来管理和创建容器。这里的容器引擎可以获取系统资源,比如进程树、文件系统以及网络栈,接着将资源费分割为安全的互相隔离的资源结构,形成单个容器,每个容器可以对应有不同的运行状态。
在本发明实施例中,容器引擎的相关信息可以包括容器ID、容器创建时使用的镜像、容器创建时间、容器运行状态等信息,若容器引擎创建成功,则会返回一个容器ID,默认情况下容器是不重复的,该容器ID作为容器的唯一标识,具体在调用容器引擎对应的远程接口,获取容器引擎的运行状态过程中,利用容器ID可以查看容器引擎中容器的相关信息,进一步获取容器引擎的运行状态。
可以理解的是,容器引擎对应的远程接口可以向客户端提供API接口,处理各种用户请求,如镜像类请求、容器类请求、其他类型请求等。
202、基于所述容器引擎的运行状态,获取正在运行中的容器列表。
其中,容器列表中记录有运行中容器的详细信息,例如,容器进程信息、容器文件改动信息、容器文件状态等信息。由于容器引擎中可以定义和运行多个容器,具体可以通过查看容器引擎的运行状态,提取运行状态处于开启的容器,并将运行状态处于开启的容器的详细信息形成容器列表的形式。
203、根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息。
在本发明实施例中,具体可以根据运行中容器的详细信息,读取由运行中容器启动的进程信息,如进程名称、进程创建时间、进程状态、进程路径等,进一步从由运行中容器启动的进程信息中提取文件改动信息,并根据文件改动信息中记录当前文件状态,确定容器引擎内运行的文件信息。
204、利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息。
其中,预先搭建的数据分析平台包括数据收集引擎、搜索服务引擎以及可视化平台,数据收集引擎用于数据源的采集以及对收集到的数据进行预处理,搜索服务引擎用于存储预处理后的数据,可视化平台用于读取并数据展示。具体可以将容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中,该数据收集引擎能够从容器引擎中拉取日志数据,并将日志数据转发到搜索服务引擎,进一步为了便于对文件信息进行索引存储,对容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎,并创建文件信息对应的索引。
在本发明实施例中,数据分析平台以日志数据分析平台ELK为例,使用logstash作为数据收集引擎、elasticsearch作为搜索服务引擎,kibana作为可视化平台,通过将logstash部署在容器引擎各个节点上搜集相关文件信息相关的日志数据,并将文件信息相关的日志数据经过分析过滤后发送给远端服务器上的elasticsearch进行存储,elasticsearch再将日志数据以分片的形式压缩存储,并提供多种API以供用户查询、操作。
可以理解的是,上述对文件信息进行数据处理的过程可以包括但不局限于数据加工、数据过滤、数据清洗、数据脱敏等,经过数据处理后的文件数据具有统一的数据格式,便于后续对文件信息进行分析。当然为了保证日志数据收集的性能和数据的完整性,在数据收集引擎中可以使用缓冲器,利用缓冲机制保证数据传输过程中的完整性。
205、汇总从多个资源库所收集的恶意样本,构建恶意代码规则库。
其中,多个资源库可以包括但不局限于alienvault、bambenekconsulting、yara等威胁情报源,由于威胁情报源通常包含已经存在或者正在形成的潜在威胁,如恶意IP地址、域名/网站、文件哈希(恶意软件分析)等恶意样本。通过汇总从多个资源库所收集的恶意样本,构建恶意代码规则库,该恶意代码库中记录有从恶意代码抽取的字符串形成的规则,能够充分反映恶意代码特征。
在本发明实施例中,在汇总从多个资源库所收集的恶意样本,构建恶意代码规则库的过程中,恶意代码规则库的建立前提是对恶意代码进行定义,并提取器特征,为下一步的恶意代码检测、控制和清除提供依据,具体可以对恶意代码进行分析后,提取程序结构信息转换为特定语法描述的字符串,并将特定语法描述的字符串存入恶意代码规则库中。
可以理解的是,随着一直恶意代码不断增多,恶意代码规则库中的规则也需要随之更新,导致规则数的增加,使得系统在后续规则关联过程的时间也呈线性增加。为了缩减在后续规则关联过程中的时间,可以尽量使得关联最频繁的规则处于恶意代码规则库的最前面,按照恶意代码关联频繁度对恶意代码规则库中的规则进行排序。
206、将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果。
由于容器引擎中运行的文件信息与恶意代码规则库中的规则对应的数据格式可能不统一,为了便于后续的关联分析,具体可以对容器引擎中运行的文件信息进行预处理,形成与规则统一数据格式的文件特征代码,然后将文件特征代码与恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果。
在本发明实施例中,在将文件特征代码与恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果的过程中,具体可以以文件特征代码作为待匹配的主串,该恶意代码规则库所配置规则对应的字符串作为待匹配的模式串,遍历主串中每个位置上的字符,进一步将主串中每个位置上的字符与模式串进行匹配,得到关联分析结果。
207、通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断所述文件信息中是否存在恶意文件。
可以理解的是,关联分析结果形成的相似度可以反映文件特征代码与恶意代码之间的关联程度,关联程度越高,则说明文件代码特征检测为恶意代码的概率越高,预先设置的相似度阈值通常,这里可以通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断文件信息中是否存在恶意文件。
其中,预先设置的相似度阈值通常为高概率数值,通常对一个文件信息进行规则匹配,需要数十万个特征码进行比对,如果在文件信息中发现了与恶意代码相同程度较多的文件代码特征,则判定文件信息存在恶意文件,说明容器运行过程中存在安全问题。
208、若存在,则生成并传输恶意文件的告警信息。
可以理解的是,这里传输告警信息的形式可以是多种多样的,例如,将告警信息形成告警日志的形式在用户的客户端进行展示,还可以根据告警的类别、级别、持续频率等维度进行邮件、短信,甚至通过webhook地址调用防火墙接口进行实时告警,这里不进行限定。
209、根据所述告警信息追踪所述恶意文件,捕获并删除所述恶意文件。
在本发明实施例中,在关联分析出恶意文件后,这些恶意文件可能会在容器运行过程中继续创建进程,并在容器中创建子进程完成加密文件、外链控制、支付通道等工作,为了加快安全事件的响应速度,告警信息能够提供所识别恶意文件的相关数据,例如,恶意文件创建的子进程以及恶意文件的父进程等,并根据恶意文件的相关数据捕获并删除恶意文件,当然还可以利用客户端界面展示恶意文件的相关信息,以便于对恶意文件的攻击路径进行预测,进而对攻击路径上的文件开启防御措施。
在实际应用过程中,文件检测系统所搭建的整体框架如图3所示,具体文件检测过程可以如图4所示,包括但不局限于如下实现过程:调用DockerRemote API对Docker容器进行信息采集,获取Docker容器内运行的文件信息,并利用Python技术以及服务器搭建的ELK分析平台对Docker容器内运行的文件信息进行处理,该ELK分析平台能够结合数据分析、威胁情报、恶意样本库以及第三方依赖漏洞库等对文件信息进行规则关联,判断Docker容器内运行的文件信息是否存在进行安全问题,如果存在问题,则将文件信息入库,利用企业微信告警后对文件信息进行事件处理;若不存在问题,则直接将文件信息入库。
本发明实施例中,通过获取Docker容器内部文件信息,能够判断是否存在webshell代码;能够判断业务代码是否被篡改或删除;能够判断业务系统使用第三方依赖库是否存在已知的安全漏洞。通过对Docker容器内部文件安全监控检测,提升了生产环境下Docker集群的安全防护能力。
进一步的,作为图1和图2方法的具体实现,本申请实施例提供了一种文件检测装置,如图5所示,该装置包括:获取单元31、判断单元32、生成单元33。
获取单元31,可以用于通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息;
判断单元32,可以用于基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件;
生成单元33,可以用于若所述文件信息中存在恶意文件,则生成并传输恶意文件的告警信息。
本发明实施例提供的文件检测装置,与目前现有方式中仅能监控检测Docker主机层面的文件信息,无法对运行中的容器进行扫描监控的方式相比,本申请通过调用容器引擎对应的远程接口,能够获取容器引擎中运行的文件信息,进一步利用预先搭建的数据分析平台,该数据分析平台中存储有结合威胁情报、恶意代码等形成的规则库,对容器引擎中运行的文件信息进行规则关联,判断文件信息中是否存在恶意文件,进而对运行中的容器进行扫描监控,解决了无法监控Docker容器内文件安全的问题,提升了运行环境下Docker集群的安全防护能力。
在具体的应用场景中,如图6所示,所述获取单元31包括:
第一获取模块311,可以用于通过调用容器引擎对应的远程接口,获取容器引擎的运行状态;
第二获取模块312,可以用于基于所述容器引擎的运行状态,获取正在运行中的容器列表,所述容器列表中记录有运行中容器的详细信息;
确定模块313,可以用于根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息。
在具体的应用场景中,如图6所示,所述确定模块313包括:
读取子模块3131,可以用于根据所述运行中容器的详细信息,读取由运行中容器启动的进程信息;
提取子模块3132,可以用于从所述由运行中容器启动的进程信息中提取文件改动信息,并根据文件改动信息中记录当前文件状态,确定容器引擎内运行的文件信息。
在具体的应用场景中,如图6所示,所述判断单元32包括:
存储模块321,可以用于利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息;
分析模块322,可以用于将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果;
判断模块323,可以用于通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断所述文件信息中是否存在恶意文件。
在具体的应用场景中,如图6所示,所述判断单元32还包括:
构建模块324,可以用于在将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果之前,汇总从多个资源库所收集的恶意样本,构建恶意代码规则库,所述恶意代码规则库记录有从恶意代码中抽取的恶意行为特征。
在具体的应用场景中,如图6所示,所述存储模块321包括:
导入子模块3211,可以用于将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中,所述数据收集引擎用于从容器引擎中拉取日志数据,并将所述日志数据转发到搜索服务引擎;
存储子模块3212,可以用于对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎,并创建文件信息对应的索引。
在具体的应用场景中,如图6所示,所述分析模块322包括:
处理子模块3221,可以用于对所述容器引擎中运行的文件信息进行预处理,形成与规则统一数据格式的文件特征代码;
匹配子模块3222,可以用于将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果。
在具体的应用场景中,所述匹配子模块3222,具体可以用于以所述文件特征代码作为待匹配的主串,所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串,遍历所述主串中每个位置上的字符;;
所述匹配子模块3222,具体还可以用于将所述主串中每个位置上的字符与所述模式串进行匹配,得到关联分析结果。
在具体的应用场景中,如图6所示,所述装置还包括:
追踪单元34,可以用于在所述若存在,则生成并传输恶意文件的告警信息之后,根据所述告警信息追踪所述恶意文件,捕获并删除所述恶意文件。
需要说明的是,本实施例提供的一种文件检测装置所涉及各功能单元的其它相应描述,可以参考图1-图4中的对应描述,在此不再赘述。
基于上述如图1-图4所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1-图4所示的文件检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1-图4所示的方法,以及图5、图6所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种文件检测的实体设备,具体可以为计算机,智能手机,平板电脑,智能手表,服务器,或者网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1-图4所示的文件检测方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种文件检测的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述店铺搜索信息处理的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,与目前现有方式相比,本申请通过调用容器引擎对应的远程接口,能够获取容器引擎中运行的文件信息,进一步利用预先搭建的数据分析平台,该数据分析平台中存储有结合威胁情报、恶意代码等形成的规则库,对容器引擎中运行的文件信息进行规则关联,判断文件信息中是否存在恶意文件,进而对运行中的容器进行扫描监控,解决了无法监控Docker容器内文件安全的问题,提升了运行环境下Docker集群的安全防护能力。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (20)
1.一种文件检测方法,其特征在于,包括:
通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息;
基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件;
若存在,则生成并传输恶意文件的告警信息。
2.根据权利要求1所述的方法,其特征在于,所述通过调用容器引擎对应的远程接口,获取容器引擎内运行的文件信息,具体包括:
通过调用容器引擎对应的远程接口,获取容器引擎的运行状态;
基于所述容器引擎的运行状态,获取正在运行中的容器列表,所述容器列表中记录有运行中容器的详细信息;
根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息。
3.根据权利要求2所述的方法,其特征在于,所述根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息,具体包括:
根据所述运行中容器的详细信息,读取由运行中容器启动的进程信息;
从所述由运行中容器启动的进程信息中提取文件改动信息,并根据文件改动信息中记录当前文件状态,确定容器引擎内运行的文件信息。
4.根据权利要求1所述的方法,其特征在于,所述基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件,具体包括:
利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息;
将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果;
通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断所述文件信息中是否存在恶意文件。
5.根据权利要求4所述的方法,其特征在于,在所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果之前,所述方法还包括:
汇总从多个资源库所收集的恶意样本,构建恶意代码规则库,所述恶意代码规则库中记录有从恶意代码抽取的字符串形成的规则。
6.根据权利要求4所述的方法,其特征在于,所述预先构建的数据分析平台包括数据收集引擎、搜索服务引擎以及可视化平台,所述利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息,具体包括:
将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中,所述数据收集引擎用于从容器引擎中拉取日志数据,并将所述日志数据转发到搜索服务引擎;
对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎,并创建文件信息对应的索引。
7.根据权利要求4所述的方法,其特征在于,所述将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果,具体包括:
对所述容器引擎中运行的文件信息进行预处理,形成与规则统一数据格式的文件特征代码;
将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果。
8.根据权利要求7所述的方法,其特征在于,所述将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果,具体包括:
以所述文件特征代码作为待匹配的主串,所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串,遍历所述主串中每个位置上的字符;
将所述主串中每个位置上的字符与所述模式串进行匹配,得到关联分析结果。
9.根据权利要求1-8中任一项所述的方法,其特征在于,在所述若存在,则生成并传输恶意文件的告警信息之后,所述方法还包括:
根据所述告警信息追踪所述恶意文件,捕获并删除所述恶意文件。
10.一种文件检测装置,其特征在于,包括:
获取单元,用于通过调用容器引擎对应的远程接口,获取容器引擎中运行的文件信息;
判断单元,用于基于预先搭建的数据分析平台,对所述容器引擎中运行的文件信息进行规则关联,判断所述文件信息中是否存在恶意文件;
生成单元,用于若所述文件信息中存在恶意文件,则生成并传输恶意文件的告警信息。
11.根据权利要求10所述的装置,其特征在于,所述获取单元包括:
第一获取模块,用于通过调用容器引擎对应的远程接口,获取容器引擎的运行状态;
第二获取模块,用于基于所述容器引擎的运行状态,获取正在运行中的容器列表,所述容器列表中记录有运行中容器的详细信息;
确定模块,用于根据所述运行中容器的详细信息,确定容器引擎内运行的文件信息。
12.根据权利要求11所述的装置,其特征在于,所述确定模块包括:
读取子模块,用于根据所述运行中容器的详细信息,读取由运行中容器启动的进程信息;
提取子模块,用于从所述由运行中容器启动的进程信息中提取文件改动信息,并根据文件改动信息中记录当前文件状态,确定容器引擎内运行的文件信息。
13.根据权利要求10所述的装置,其特征在于,所述判断单元包括:
存储模块,用于利用预先搭建的数据分析平台,按照预设时间间隔提取并存储所述容器引擎中运行的文件信息;
分析模块,用于将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果;
判断模块,用于通过将关联分析结果形成的相似度与预先设置的相似度阈值进行比较,判断所述文件信息中是否存在恶意文件。
14.根据权利要求13所述的装置,其特征在于,所述判断单元还包括:
构建模块,用于在将所述容器引擎中运行的文件信息与所述数据分析平台中恶意代码规则库所配置的规则进行关联分析,得到关联分析结果之前,汇总从多个资源库所收集的恶意样本,构建恶意代码规则库,所述恶意代码规则库记录有从恶意代码中抽取的恶意行为特征。
15.根据权利要求13所述的装置,其特征在于,所述存储模块包括:
导入子模块,用于将所述容器引擎中运行的文件信息以日志数据的形式导入至数据收集引擎中,所述数据收集引擎用于从容器引擎中拉取日志数据,并将所述日志数据转发到搜索服务引擎;
存储子模块,用于对所述容器引擎中运行的文件信息进行数据处理后存储至搜索服务引擎,并创建文件信息对应的索引。
16.根据权利要求13所述的装置,其特征在于,所述分析模块包括:
处理子模块,用于对所述容器引擎中运行的文件信息进行预处理,形成与规则统一数据格式的文件特征代码;
匹配子模块,用于将所述文件特征代码与所述恶意代码规则库所配置的规则对应的字符串进行模式匹配,得到关联分析结果。
17.根据权利要求16所述的装置,其特征在于,
所述匹配子模块,具体用于以所述文件特征代码作为待匹配的主串,所述恶意代码规则库所配置规则对应的字符串作为待匹配的模式串,遍历所述主串中每个位置上的字符;
所述匹配子模块,具体还用于将所述主串中每个位置上的字符与所述模式串进行匹配,得到关联分析结果。
18.根据权利要求10-17中任一项所述的装置,其特征在于,所述装置还包括:
追踪单元,用于在所述若存在,则生成并传输恶意文件的告警信息之后,根据所述告警信息追踪所述恶意文件,捕获并删除所述恶意文件。
19.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至9中任一项所述的文件检测方法。
20.一种商品数据的处理设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至9中任一项所述的文件检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911407795.7A CN111221625B (zh) | 2019-12-31 | 2019-12-31 | 文件检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911407795.7A CN111221625B (zh) | 2019-12-31 | 2019-12-31 | 文件检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111221625A true CN111221625A (zh) | 2020-06-02 |
| CN111221625B CN111221625B (zh) | 2023-08-04 |
Family
ID=70832697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911407795.7A Active CN111221625B (zh) | 2019-12-31 | 2019-12-31 | 文件检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111221625B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111753298A (zh) * | 2020-06-04 | 2020-10-09 | 珠海豹趣科技有限公司 | 文件异常识别方法、装置、设备和计算机可读存储介质 |
| CN112052088A (zh) * | 2020-08-31 | 2020-12-08 | 北京升鑫网络科技有限公司 | 自适应的进程cpu资源限制方法、装置、终端及存储介质 |
| CN113407935A (zh) * | 2021-06-16 | 2021-09-17 | 中国光大银行股份有限公司 | 一种文件检测方法、装置、存储介质及服务器 |
| CN113419816A (zh) * | 2021-06-16 | 2021-09-21 | 国网安徽省电力有限公司信息通信分公司 | 一种容器镜像动态风险检测方法 |
| CN114465994A (zh) * | 2022-02-24 | 2022-05-10 | 苏州浪潮智能科技有限公司 | 一种文件传输方法、系统、计算机设备及存储介质 |
| CN115309907A (zh) * | 2022-10-08 | 2022-11-08 | 北京升鑫网络科技有限公司 | 告警日志关联方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
| CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| CN107688743A (zh) * | 2017-08-14 | 2018-02-13 | 北京奇虎科技有限公司 | 一种恶意程序的检测分析方法及系统 |
| US20180048658A1 (en) * | 2016-08-10 | 2018-02-15 | Netskope, Inc. | Systems and methods of detecting and responding to malware on a file system |
| CN109783533A (zh) * | 2018-12-13 | 2019-05-21 | 平安科技(深圳)有限公司 | 数据采集方法、装置、计算机设备及存储介质 |
| US20190222591A1 (en) * | 2018-01-17 | 2019-07-18 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
| CN110058923A (zh) * | 2019-03-29 | 2019-07-26 | 华中科技大学 | 一种基于动态预取策略的Docker容器COW机制优化方法及系统 |
| US10397255B1 (en) * | 2015-09-23 | 2019-08-27 | StackRox, Inc. | System and method for providing security in a distributed computation system utilizing containers |
| WO2019174048A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
-
2019
- 2019-12-31 CN CN201911407795.7A patent/CN111221625B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160191550A1 (en) * | 2014-12-29 | 2016-06-30 | Fireeye, Inc. | Microvisor-based malware detection endpoint architecture |
| US10397255B1 (en) * | 2015-09-23 | 2019-08-27 | StackRox, Inc. | System and method for providing security in a distributed computation system utilizing containers |
| US20180048658A1 (en) * | 2016-08-10 | 2018-02-15 | Netskope, Inc. | Systems and methods of detecting and responding to malware on a file system |
| CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
| CN107688743A (zh) * | 2017-08-14 | 2018-02-13 | 北京奇虎科技有限公司 | 一种恶意程序的检测分析方法及系统 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
| US20190222591A1 (en) * | 2018-01-17 | 2019-07-18 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
| WO2019174048A1 (zh) * | 2018-03-16 | 2019-09-19 | 华为技术有限公司 | 容器逃逸检测方法、装置、系统及存储介质 |
| CN109783533A (zh) * | 2018-12-13 | 2019-05-21 | 平安科技(深圳)有限公司 | 数据采集方法、装置、计算机设备及存储介质 |
| CN110058923A (zh) * | 2019-03-29 | 2019-07-26 | 华中科技大学 | 一种基于动态预取策略的Docker容器COW机制优化方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈璨璨;崔浩亮;张文;牛少彰;: "基于安全容器的Activity钓鱼劫持防御方案", 信息网络安全, no. 12 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111753298A (zh) * | 2020-06-04 | 2020-10-09 | 珠海豹趣科技有限公司 | 文件异常识别方法、装置、设备和计算机可读存储介质 |
| CN112052088A (zh) * | 2020-08-31 | 2020-12-08 | 北京升鑫网络科技有限公司 | 自适应的进程cpu资源限制方法、装置、终端及存储介质 |
| CN112052088B (zh) * | 2020-08-31 | 2021-07-13 | 北京升鑫网络科技有限公司 | 自适应的进程cpu资源限制方法、装置、终端及存储介质 |
| CN113407935A (zh) * | 2021-06-16 | 2021-09-17 | 中国光大银行股份有限公司 | 一种文件检测方法、装置、存储介质及服务器 |
| CN113419816A (zh) * | 2021-06-16 | 2021-09-21 | 国网安徽省电力有限公司信息通信分公司 | 一种容器镜像动态风险检测方法 |
| CN114465994A (zh) * | 2022-02-24 | 2022-05-10 | 苏州浪潮智能科技有限公司 | 一种文件传输方法、系统、计算机设备及存储介质 |
| CN114465994B (zh) * | 2022-02-24 | 2023-08-08 | 苏州浪潮智能科技有限公司 | 一种文件传输方法、系统、计算机设备及存储介质 |
| CN115309907A (zh) * | 2022-10-08 | 2022-11-08 | 北京升鑫网络科技有限公司 | 告警日志关联方法及装置 |
| CN115309907B (zh) * | 2022-10-08 | 2022-12-27 | 北京升鑫网络科技有限公司 | 告警日志关联方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111221625B (zh) | 2023-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN109376078B (zh) | 移动应用的测试方法、终端设备及介质 | |
| US10437996B1 (en) | Classifying software modules utilizing similarity-based queries | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| CN110213207B (zh) | 一种基于日志分析的网络安全防御方法及设备 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| US20210406368A1 (en) | Deep learning-based analysis of signals for threat detection | |
| CN111885007B (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| KR20110088042A (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| US10693897B2 (en) | Behavioral and account fingerprinting | |
| CN114528457A (zh) | Web指纹检测方法及相关设备 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN113726826B (zh) | 一种威胁情报生成方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100102 201 / F, block C, 2 lizezhong 2nd Road, Chaoyang District, Beijing Applicant after: Beijing Shuidi Technology Group Co.,Ltd. Address before: Room 4103, room 101, floor 1, building 2, No. 208, Lize Zhongyuan, Chaoyang District, Beijing 100102 Applicant before: Beijing Health Home Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |