CN111541647A - 安全检测方法、装置、存储介质及计算机设备 - Google Patents
安全检测方法、装置、存储介质及计算机设备 Download PDFInfo
- Publication number
- CN111541647A CN111541647A CN202010218164.7A CN202010218164A CN111541647A CN 111541647 A CN111541647 A CN 111541647A CN 202010218164 A CN202010218164 A CN 202010218164A CN 111541647 A CN111541647 A CN 111541647A
- Authority
- CN
- China
- Prior art keywords
- server
- log
- data
- baseline
- security detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出一种安全检测方法、装置、存储介质及计算机设备,该方法包括获取服务器的基线数据,所述基线数据是根据所述服务器的基线模型得到的,所述基线模型是根据所述服务器的历史运行日志建模得到的;根据所述基线数据生成相应的安全检测规则;根据所述安全检测规则,对针对所述服务器的攻击行为进行实时检测。通过本发明能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种安全检测方法、装置、存储介质及计算机设备。
背景技术
随着计算机技术的发展以及相关应用的普及,如何保障各类业务所在服务器的安全尤为重要。一但应用存在安全漏洞(代码注入、反序列化漏洞、文件上传漏洞、命令注入等)、应用配置与使用不当(弱口令等)等都会对服务器带来巨大的安全风险,攻击者会无孔不入的攻击,攻击渠道与手段防不胜防。
相关技术中,通常是基于病毒、webshell等查杀,恶意进程查杀等层面进行安全检测,或者是采用安全模型计算历史n天的数据辅助安全检测。
这种方式下,安全检测效果不佳,不能够兼顾检测全面性和检测时效性。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本发明提出一种安全检测方法、装置、存储介质及计算机设备,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
为达到上述目的,本发明第一方面实施例提出的安全检测方法,包括:获取服务器的基线数据,所述基线数据是根据所述服务器的基线模型得到的,所述基线模型是根据所述服务器的历史运行日志建模得到的;根据所述基线数据生成相应的安全检测规则;根据所述安全检测规则,对针对所述服务器的攻击行为进行实时检测。
本发明第一方面实施例提出的安全检测方法,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
为达到上述目的,本发明第二方面实施例提出的安全检测装置,包括:第一获取模块,用于获取服务器的基线数据,所述基线数据是根据所述服务器的基线模型得到的,所述基线模型是根据所述服务器的历史运行日志建模得到的;生成模块,用于根据所述基线数据生成相应的安全检测规则;检测模块,用于根据所述安全检测规则,对针对所述服务器的攻击行为进行实时检测。
本发明第二方面实施例提出的安全检测装置,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
本发明第三方面实施例提出的非临时性计算机可读存储介质,当所述存储介质中的指令由计算机设备的处理器被执行时,使得计算机设备能够执行一种安全检测方法,所述方法包括:本发明第一方面实施例提出的安全检测方法。
本发明第三方面实施例提出的非临时性计算机可读存储介质,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
本发明第四方面实施例提出的计算机设备,所述计算机设备包括:壳体、处理器、存储器、电路板和电源电路,其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述计算机设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行本发明第一方面实施例提出的安全检测方法。
本发明第四方面实施例提出的计算机设备,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明一实施例提出的安全检测方法的流程示意图;
图2是本发明另一实施例提出的安全检测方法的流程示意图;
图3是本发明一实施例提出的安全检测装置的结构示意图;
图4是本发明另一实施例提出的安全检测装置的结构示意图;
图5是本发明一个实施例提出的计算机设备的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
图1是本发明一实施例提出的安全检测方法的流程示意图。
本实施例以安全检测方法被配置为安全检测装置中来举例说明。
本实施例中安全检测方法可以被配置在安全检测装置中,安全检测装置可以设置在服务器中,或者也可以设置在计算机设备中,本申请实施例对此不作限制。
本实施例以安全检测方法被配置在计算机设备中为例。
需要说明的是,本申请实施例的执行主体,在硬件上可以例如为服务器或者计算机设备中的中央处理器(Central Processing Unit,CPU),在软件上可以例如为服务器或者计算机设备中的相关的后台服务,对此不作限制。
参见图1,该方法包括:
S101:获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的。
其中,基线数据定义了一个安全数据的基线状态,本发明实施例中用此基线数据来监视服务器运行状态的安全性,基线数据记录了服务器某时刻正常的系统数据和状态。
上述获取服务器的基线数据,可以具体是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,而由于基线模型是采用建模的方式学习了服务器各个时刻正常的系统数据和状态,因此,通过根据服务器的基线模型得到基线数据,能够使得获得的基线数据更为精准,保障基线数据的参照可靠性。
本发明实施例中在具体执行的过程中,可以在当前需要对服务器进行实时地安全检测时,首先确定当前时间点,并实时地根据当前时间点结合预先建模得到的基线模型,获取与当前时间点对应的基线数据,从而根据当前时间点对应的基线数据辅助进行安全检测,能够有效地提升安全检测的精准度。
S102:根据基线数据生成相应的安全检测规则。
在上述获取与当前时间点对应的基线数据后,根据基线数据生成相应的安全检测规则,其中,该安全检测规则可以包含基线数据,以及与基线数据对应的一些安全检测规则。
上述与基线数据对应的一些安全检测规则可以例如为,当服务器的实时运行数据与该基线数据存在特定偏差时,与该特定偏差对应的攻击行为类型,上述的特定偏差包含多种,不同的特定偏差对应的攻击行为类型不相同,仅是示例,对此不作限制。
上述的与该特定偏差对应的攻击行为类型,可以是预先标记的,在预先标记的过程中,可以结合常规的安全检测经验对与该特定偏差对应的攻击行为类型进行标记,与不同的特定偏差对应的攻击行为类型可以相同,或者不相同,对此不作限制。
由此可以看出,本发明实施例中的安全检测规则可能是随着时间自然推移,动态变化的,由此有效地辅助针对服务器的实时地安全检测。
S103:根据安全检测规则,对针对服务器的攻击行为进行实时检测。
上述在确定了安全检测规则后,可以实时地获取服务器的实时运行数据,并将服务器的实时运行数据与安全检测规则中的基线数据进行比对,根据比对的结果确定针对服务器的攻击行为的类型,从而实现对针对服务器的攻击行为进行实时检测。
本实施例中,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
图2是本发明另一实施例提出的安全检测方法的流程示意图。
参见图2,该方法包括:
S201:获取服务器在设定时间范围内的历史运行日志。
可选地,服务器的历史运行日志包括以下至少之一:进程日志、网络连接日志、文件变更日志、端口监听日志。
本发明实施例中,服务器的数量为一个或者多个,当服务器的数量为多个时,多个服务器形成服务器集群,获取服务器在设定时间范围内的历史运行日志,还可以根据外部指令,从服务器集群确定出目标服务器;获取目标服务器在设定时间范围内的历史运行日志。
上述的目标服务器的数量可以为一个或者多个,目标服务器为当前需要对其进行安全检测的服务器,由此实现根据外部指令灵活地确定需要对其进行安全检测的服务器,使得方法更为灵活,便于扩展安全检测的应用场景,提升用户使用体验度。
作为一种示例,通过采集服务器主机在设定时间范围内的历史运行日志,例如进程日志、网络连接日志、文件变更日志、端口监听日志,然后选取设定时间范围的日志(例如近30天的日志),从而将该历史运行日志发送至大数据平台或其它分析平台上进行基线建模。
S202:解析历史运行日志,得到日志数据和日志存储路径。
本发明实施例中以历史运行日志为进程日志、网络连接日志进行示例,上述对进程日志、网络连接日志解析得到日志数据可以具体例如:
进程日志对应的日志数据至少包括:进程ID,进程名,进程文件完整路径,进程文件MD5,主机UUID,主机IP信息,时间,状态(启动,停止等状态)等。
网络连接日志对应的日志数据至少包括:进程ID,目标IP,目标端口,连接状态(被连接,主动连接等),协议类型,连接时间等。
上述解析历史运行日志,得到日志数据和日志存储路径后,可以将日志数据和日志存储路径上报至消息通道(例如KAFKA等),主机安全规则引擎与大数据平台等与消息通道对接,来获取日志数据和日志存储路径。
S203:根据日志数据和日志存储路径,建立基线模型。
上述在获取到日志数据和日志存储路径后,还可以接收用户设定的建模需求,用户可以在控制台配置建模需求,可以选择对所有服务器主机统一建立基线模型,也可以选择对指定范围内部分服务器主机或服务器集群来统一建立基线模型,也可以选择对某一台服务器主机单独建立基线模型,用户还可以在控制台上配置基线模型的学习周期,可以是7天、30天、90天等。
当用户完成上述的基础配置后,大数据分析平台获取用户配置的建模需求来进行基线建模,以某业务集群的场景为例来进行示例说明,大数据平台选取用户指定的业务集群为一个整体,学习其30天的服务器的进程日志与网络连接日志中的日志数据和日志存储路径。
而在具体的建模过程中,本发明实施例可以选择多种建模策略,以一种基础模型为例说明基线建模方法,例如,根据用户选定的服务器来获取进程日志中的日志数据,然后根据进程文件MD5来分组,学习出30天内该服务器上所有不同进程文件MD5产生的日志数据和日志存储路径来建立历史的基线模型。
而针对网络连接日志的基线模型的建立过程同上,参与建模的数据为网络连接数据等,对此不作限制。
可选地,根据日志数据和日志存储路径,建立基线模型,包括:根据日志数据和日志存储路径,结合日志数据的信誉度建立基线模型。
本发明实施例中,还为了在历史日志数据中已经存在恶意攻击的情况下,减少用户的判断成本,可以在建模过程中同时学习出日志数据的信誉度来帮助用户判断。
其中,以日志数据为进程文件MD5进行示例,进程文件MD5的分散程度(同一个MD5分散再越多的服务器上则分散程度越高)越高则分析认为其信誉度越高,同时,学习所有应用系统和软件的信任版本的MD5信息,加入进程文件MD5白名单,匹配白名单的日志数据,则可以被认为是信誉度较高。
上述建立完毕基线模型后,可以将基线模型存储入数据库并在控制台页面上展示出来,用户审核确认无误后可以启动进行安全检测,如果发现有异常的程序也被学习进入了基线模型,可以在控制台上取消基线模型,并标记该恶意程序。
S204:获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的。
其中,基线数据定义了一个安全数据的基线状态,本发明实施例中用此基线数据来监视服务器运行状态的安全性,基线数据记录了服务器某时刻正常的系统数据和状态。
上述获取服务器的基线数据,可以具体是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,而由于基线模型是采用建模的方式学习了服务器各个时刻正常的系统数据和状态,因此,通过根据服务器的基线模型得到基线数据,能够使得获得的基线数据更为精准,保障基线数据的参照可靠性。
本发明实施例中在具体执行的过程中,可以在当前需要对服务器进行实时地安全检测时,首先确定当前时间点,并实时地根据当前时间点结合预先建模得到的基线模型,获取与当前时间点对应的基线数据,从而根据当前时间点对应的基线数据辅助进行安全检测,能够有效地提升安全检测的精准度。
基线数据例如为:
进程名systemd,MD588a302b787b6951b5e67f8b16c286b5e,路径/usr/lib/systemd/systemd,信誉度100%;
网络:
目标IP10.10.10.10,目标端口8080,80,443,进程名curl。
S205:根据基线数据生成相应的安全检测规则。
上述在确定当前时间点,并实时地根据当前时间点结合预先建模得到的基线模型,获取与当前时间点对应的基线数据时,可以实时地根据基线数据生成相应的安全检测规则,以此保障服务器安全检测全程的实时性。
上述在根据基线数据生成相应的安全检测规则时,可以具体是获取与基线数据对应的安全检测规则(与基线数据对应的安全检测规则例如为,当服务器的实时运行数据与该基线数据存在特定偏差,与该特定偏差对应的攻击行为类型,上述的特定偏差包含多种,不同的特定偏差对应的攻击行为类型不相同,仅是示例,对此不作限制),由于基线数据是与当前时间点对应的,由此,相应的安全检测规则也可以是与当前时间点对应的,因此,进一步保障服务器安全检测全程的实时性。
上述在基线数据例如为:
进程名systemd,MD588a302b787b6951b5e67f8b16c286b5e,路径/usr/lib/systemd/systemd,信誉度100%;
网络:
目标IP10.10.10.10,目标端口8080,80,443,进程名curl时,相应的,根据基线数据生成相应的安全检测规则可以例如为:
Name:systemd,MD5:88a302b787b6951b5e67f8b16c286b5e,type:processName:curl,IP:10.10.10.10,PORT:[8080,80,443],type:network。
S206:实时地获取服务器的运行数据。
在进行安全检测过程中,实时地获取服务器的运行数据,该运行数据的类型可以为与上述的基线数据的类型保持一致,以此,便于运行数据和基线数据的比对,从而便于发现异常数据。
S207:将服务器的运行数据与安全检测规则中的基线数据进行比对。
S208:根据比对的结果确定针对服务器的攻击行为的类型。
上述在确定了安全检测规则后,可以实时地获取服务器的实时运行数据,并将服务器的实时运行数据与安全检测规则中的基线数据进行比对,根据比对的结果确定针对服务器的攻击行为的类型,从而实现对针对服务器的攻击行为进行实时检测。
作为一种示例,假设基线数据包括基线数据A、基线数据B和基线数据C,实时运行数据包括运行数据A、运行数据B和运行数据C,安全检测规则中,还规定了:当运行数据A大于基线数据A,运行数据B小于基线数据B,运行数据C小于基线数据C时,对应的针对服务器的攻击行为的类型为类型A,运行数据A小于基线数据A,运行数据B大于基线数据B,运行数据C大于基线数据C时,对应的针对服务器的攻击行为的类型为类型B,从而可以将上述的基线数据A、基线数据B和基线数据C,分别与运行数据A、运行数据B和运行数据C进行比对,并根据比对的情况确定实际的攻击行为的类型,对此不作限制。
作为一个更具体的示例,假设安全检测规则可以例如为:
Name:systemd,MD5:88a302b787b6951b5e67f8b16c286b5e,type:processName:curl,IP:10.10.10.10,PORT:[8080,80,443],type:network,
则由安全规则引擎获取到上述安全检测规则并开始匹配,此时例如服务器发生未知原因被黑客成功入侵,攻击者在服务器上执行了后面进程并进行C2连接,服务器安全规则引擎实时收到进程与网络的日志后,进行基线匹配,此时如果进程文件的MD5或网络连接的IP与端口不在规则白名单中,则产生告警,告警内容包括进程与网络的所有信息,该进程与网络关联的其它信息能够辅助安全检测人员快速分析此次安全事件。
本实施例中,通过确定当前时间点,并实时地根据当前时间点结合预先建模得到的基线模型,获取与当前时间点对应的基线数据,从而根据当前时间点对应的基线数据辅助进行安全检测,能够有效地提升安全检测的精准度。便于运行数据和基线数据的比对,从而便于发现异常数据。保障服务器安全检测全程的实时性。当服务器的数量为多个时,多个服务器形成服务器集群,获取服务器在设定时间范围内的历史运行日志,还根据外部指令,从服务器集群确定出目标服务器;获取目标服务器在设定时间范围内的历史运行日志,实现根据外部指令灵活地确定需要对其进行安全检测的服务器,使得方法更为灵活,便于扩展安全检测的应用场景,提升用户使用体验度。通过在建模过程中同时学习出日志数据的信誉度来帮助用户判断,能够在历史日志数据中已经存在恶意攻击的情况下,减少用户的判断成本。
图3是本发明一实施例提出的安全检测装置的结构示意图。
参见图3,该装置300包括:
第一获取模块301,用于获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的;
生成模块302,用于根据基线数据生成相应的安全检测规则;
检测模块303,用于根据安全检测规则,对针对服务器的攻击行为进行实时检测。
可选地,一些实施例中,服务器的历史运行日志包括以下至少之一:
进程日志、网络连接日志、文件变更日志、端口监听日志。
可选地,一些实施例中,参见图4,还包括:
第二获取模块304,用于在获取服务器的基线数据前,还获取服务器在设定时间范围内的历史运行日志;
解析模块305,用于解析历史运行日志,得到日志数据和日志存储路径;
建立模块306,用于根据日志数据和日志存储路径,建立基线模型。
可选地,一些实施例中,参见图4,还包括:
学习模块307,用于在解析历史运行日志,得到日志数据和日志存储路径后,学习日志数据的信誉度;
建立模块306,具体用于:
根据日志数据和日志存储路径,结合日志数据的信誉度建立基线模型。
可选地,一些实施例中,服务器的数量为一个或者多个,当服务器的数量为多个时,多个服务器形成服务器集群,第二获取模块304,具体用于:
根据外部指令,从服务器集群确定出目标服务器;
获取目标服务器在设定时间范围内的历史运行日志。
可选地,一些实施例中,安全检测规则中至少包括:当前时间点的基线数据,检测模块303,具体用于:
实时地获取服务器的运行数据;
将服务器的运行数据与安全检测规则中的基线数据进行比对;
根据比对的结果确定针对服务器的攻击行为的类型。
需要说明的是,前述图1-图2实施例中对安全检测方法实施例的解释说明也适用于该实施例的安全检测装置300,其实现原理类似,此处不再赘述。
本实施例中,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
图5是本发明一个实施例提出的计算机设备的结构示意图。
参见图5,本实施例的计算机设备500包括壳体501、处理器502、存储器503、电路板504和电源电路505,其中,电路板504安置在壳体501围成的空间内部,处理器502和存储器503设置在电路板504上;电源电路505,用于为计算机设备500的各个电路或器件供电;存储器503用于存储可执行程序代码;处理器502通过读取存储器503中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行:
获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的;
根据基线数据生成相应的安全检测规则;
根据安全检测规则,对针对服务器的攻击行为进行实时检测。
需要说明的是,前述图1-图4实施例中对安全检测方法实施例的解释说明也适用该实施例的计算机设备500,其实现原理类似,此处不再赘述。
本实施例中,通过获取服务器的基线数据,基线数据是根据服务器的基线模型得到的,基线模型是根据服务器的历史运行日志建模得到的,并根据基线数据生成相应的安全检测规则,以及根据安全检测规则,对针对服务器的攻击行为进行实时检测,能够实现兼顾检测全面性和检测时效性,提升安全检测效果,拓展安全检测的适用范围。
为了实现上述实施例,本申请实施例提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法实施例的安全检测方法。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (14)
1.一种安全检测方法,其特征在于,所述方法包括:
获取服务器的基线数据,所述基线数据是根据所述服务器的基线模型得到的,所述基线模型是根据所述服务器的历史运行日志建模得到的;
根据所述基线数据生成相应的安全检测规则;
根据所述安全检测规则,对针对所述服务器的攻击行为进行实时检测。
2.如权利要求1所述的安全检测方法,其特征在于,所述服务器的历史运行日志包括以下至少之一:
进程日志、网络连接日志、文件变更日志、端口监听日志。
3.如权利要求2所述的安全检测方法,其特征在于,所述获取服务器的基线数据前,还包括:
获取所述服务器在设定时间范围内的历史运行日志;
解析所述历史运行日志,得到日志数据和日志存储路径;
根据所述日志数据和日志存储路径,建立所述基线模型。
4.如权利要求3所述的安全检测方法,其特征在于,所述解析所述历史运行日志,得到日志数据和日志存储路径后,还包括:
学习所述日志数据的信誉度;
所述根据所述日志数据和日志存储路径,建立所述基线模型,包括:
根据所述日志数据和日志存储路径,结合所述日志数据的信誉度建立所述基线模型。
5.如权利要求3所述的安全检测方法,其特征在于,所述服务器的数量为一个或者多个,当所述服务器的数量为多个时,多个所述服务器形成服务器集群,所述获取所述服务器在设定时间范围内的历史运行日志,包括:
根据外部指令,从所述服务器集群确定出目标服务器;
获取所述目标服务器在设定时间范围内的历史运行日志。
6.如权利要求1-5任一项所述的安全检测方法,其特征在于,所述安全检测规则中至少包括:当前时间点的基线数据,所述根据所述安全检测规则,对针对所述服务器的攻击行为进行实时检测,包括:
实时地获取所述服务器的运行数据;
将所述服务器的运行数据与所述安全检测规则中的基线数据进行比对;
根据比对的结果确定针对所述服务器的攻击行为的类型。
7.一种安全检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取服务器的基线数据,所述基线数据是根据所述服务器的基线模型得到的,所述基线模型是根据所述服务器的历史运行日志建模得到的;
生成模块,用于根据所述基线数据生成相应的安全检测规则;
检测模块,用于根据所述安全检测规则,对针对所述服务器的攻击行为进行实时检测。
8.如权利要求7所述的安全检测装置,其特征在于,所述服务器的历史运行日志包括以下至少之一:
进程日志、网络连接日志、文件变更日志、端口监听日志。
9.如权利要求8所述的安全检测装置,其特征在于,还包括:
第二获取模块,用于在获取服务器的基线数据前,还获取所述服务器在设定时间范围内的历史运行日志;
解析模块,用于解析所述历史运行日志,得到日志数据和日志存储路径;
建立模块,用于根据所述日志数据和日志存储路径,建立所述基线模型。
10.如权利要求9所述的安全检测装置,其特征在于,还包括:
学习模块,用于在解析所述历史运行日志,得到日志数据和日志存储路径后,学习所述日志数据的信誉度;
所述建立模块,具体用于:
根据所述日志数据和日志存储路径,结合所述日志数据的信誉度建立所述基线模型。
11.如权利要求9所述的安全检测装置,其特征在于,所述服务器的数量为一个或者多个,当所述服务器的数量为多个时,多个所述服务器形成服务器集群,所述第二获取模块,具体用于:
根据外部指令,从所述服务器集群确定出目标服务器;
获取所述目标服务器在设定时间范围内的历史运行日志。
12.如权利要求7-11任一项所述的安全检测装置,其特征在于,所述安全检测规则中至少包括:当前时间点的基线数据,所述检测模块,具体用于:
实时地获取所述服务器的运行数据;
将所述服务器的运行数据与所述安全检测规则中的基线数据进行比对;
根据比对的结果确定针对所述服务器的攻击行为的类型。
13.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一项所述的安全检测方法。
14.一种计算机设备,所述计算机设备包括壳体、处理器、存储器、电路板和电源电路,其中,所述电路板安置在所述壳体围成的空间内部,所述处理器和所述存储器设置在所述电路板上;所述电源电路,用于为所述计算机设备的各个电路或器件供电;所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行如权利要求1-6中任一项所述的安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010218164.7A CN111541647B (zh) | 2020-03-25 | 2020-03-25 | 安全检测方法、装置、存储介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010218164.7A CN111541647B (zh) | 2020-03-25 | 2020-03-25 | 安全检测方法、装置、存储介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111541647A true CN111541647A (zh) | 2020-08-14 |
| CN111541647B CN111541647B (zh) | 2022-12-13 |
Family
ID=71978764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010218164.7A Active CN111541647B (zh) | 2020-03-25 | 2020-03-25 | 安全检测方法、装置、存储介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111541647B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN112988506A (zh) * | 2021-02-19 | 2021-06-18 | 山东英信计算机技术有限公司 | 一种大数据服务器节点性能监测方法及系统 |
| CN114615036A (zh) * | 2022-03-01 | 2022-06-10 | 奇安信科技集团股份有限公司 | 异常行为检测方法、装置、设备和存储介质 |
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099953A1 (en) * | 2014-10-06 | 2016-04-07 | Cedric Hebert | Application attack monitoring |
| CN106534146A (zh) * | 2016-11-28 | 2017-03-22 | 北京天行网安信息技术有限责任公司 | 一种安全监测系统及方法 |
| CN107819616A (zh) * | 2017-10-30 | 2018-03-20 | 杭州安恒信息技术有限公司 | 自动提取日志的方法、装置及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
| CN108449342A (zh) * | 2018-03-20 | 2018-08-24 | 北京搜狐互联网信息服务有限公司 | 恶意请求检测方法及装置 |
| CN110213255A (zh) * | 2019-05-27 | 2019-09-06 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
-
2020
- 2020-03-25 CN CN202010218164.7A patent/CN111541647B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099953A1 (en) * | 2014-10-06 | 2016-04-07 | Cedric Hebert | Application attack monitoring |
| CN106534146A (zh) * | 2016-11-28 | 2017-03-22 | 北京天行网安信息技术有限责任公司 | 一种安全监测系统及方法 |
| CN107819616A (zh) * | 2017-10-30 | 2018-03-20 | 杭州安恒信息技术有限公司 | 自动提取日志的方法、装置及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | 中国银联股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
| CN108449342A (zh) * | 2018-03-20 | 2018-08-24 | 北京搜狐互联网信息服务有限公司 | 恶意请求检测方法及装置 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
| CN110213255A (zh) * | 2019-05-27 | 2019-09-06 | 北京奇艺世纪科技有限公司 | 一种对主机进行木马检测的方法、装置及电子设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112988506A (zh) * | 2021-02-19 | 2021-06-18 | 山东英信计算机技术有限公司 | 一种大数据服务器节点性能监测方法及系统 |
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN112818307B (zh) * | 2021-02-25 | 2024-05-28 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN114615036A (zh) * | 2022-03-01 | 2022-06-10 | 奇安信科技集团股份有限公司 | 异常行为检测方法、装置、设备和存储介质 |
| CN115134164A (zh) * | 2022-07-18 | 2022-09-30 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
| CN115134164B (zh) * | 2022-07-18 | 2024-02-23 | 深信服科技股份有限公司 | 一种上传行为检测方法、系统、设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111541647B (zh) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111541647B (zh) | 安全检测方法、装置、存储介质及计算机设备 | |
| RU2601148C1 (ru) | Система и способ выявления аномалий при подключении устройств | |
| Lee et al. | A comprehensive security assessment framework for software-defined networks | |
| KR101404882B1 (ko) | 행위를 기반으로 한 악성코드 분류시스템 및 분류방법 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| JP2009181335A (ja) | 解析システム、解析方法および解析プログラム | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| US9792436B1 (en) | Techniques for remediating an infected file | |
| JP5389855B2 (ja) | 解析システム、解析方法および解析プログラム | |
| US11025656B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| CN114499974B (zh) | 设备探测方法、装置、计算机设备和存储介质 | |
| JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
| Probst et al. | Automated evaluation of network intrusion detection systems in iaas clouds | |
| JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
| CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
| JP2012083909A (ja) | アプリケーション特性解析装置およびプログラム | |
| CN115225531B (zh) | 数据库防火墙测试方法、装置、电子设备及介质 | |
| CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
| CN116074029A (zh) | 风险预测信息确定方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |