CN111988333A - 一种代理软件工作异常检测方法、装置及介质 - Google Patents
一种代理软件工作异常检测方法、装置及介质 Download PDFInfo
- Publication number
- CN111988333A CN111988333A CN202010897377.7A CN202010897377A CN111988333A CN 111988333 A CN111988333 A CN 111988333A CN 202010897377 A CN202010897377 A CN 202010897377A CN 111988333 A CN111988333 A CN 111988333A
- Authority
- CN
- China
- Prior art keywords
- terminal
- agent software
- network communication
- working state
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000004891 communication Methods 0.000 claims abstract description 140
- 230000005856 abnormality Effects 0.000 claims abstract description 43
- 238000001514 detection method Methods 0.000 claims description 28
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012360 testing method Methods 0.000 claims description 5
- 238000012512 characterization method Methods 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种代理软件工作异常检测方法、装置及介质,其中,该方法包括:分别获取表征终端的代理软件的工作状态数据和采集终端的网络通讯数据,如果工作状态数据及网络通讯数据均符合第一预设要求,则确定终端的代理软件工作异常。由代理软件的工作状态结合终端的网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种代理软件工作异常检测方法、装置及介质。
背景技术
随着科技的快速发展,网络已成为人类生活中密不可分的一部分,因此信息安全问题步入人类视野之中。勒索攻击是当今信息安全中最主要的威胁之一,攻击者通过如密码暴力破解、弱口令猜测、凭据窃取、社会工程欺骗等方式获取受害者终端的访问密码,并且冒用受害者的身份,通过如远程桌面协议(RDP)、安全外壳协议(SSH)等网络方式登陆到受害终端发起勒索攻击,为保证勒索攻击的顺利进行,攻击者会在勒索软件落地和执行前通过各种手段去关闭终端安全系统的代理软件的正常运行,因此终端安全系统在目前有人工参与的勒索攻击场景下无法发挥防护作用。
考虑到代理软件对于终端安全运行的重要性以及代理软件正常运行的重要性,故提高检测代理软件工作异常的准确率是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种代理软件工作异常检测方法,用于检测代理软件是否工作异常,以提高检测代理软件工作异常的准确率。本申请的目的是还提供一种代理软件工作异常检测装置及介质。
为解决上述技术问题,本申请提供一种代理软件工作异常检测方法,包括:
获取用于表征安装于终端的代理软件的工作状态数据;
采集所述终端的网络通讯数据;
在所述工作状态数据及所述网络通讯数据均符合第一预设要求的情况下,确定所述代理软件工作异常。
优选的,在确定出所述代理软件工作异常的情况下,该方法还包括:
重启所述代理软件。
优选的,所述第一预设要求具体为:
在所述终端存在所述网络通讯数据的情况下,第一预设时间间隔内未接收到所述工作状态数据;
或者,在第二预设时间间隔内未接收到所述工作状态数据且在所述第二预设时间间隔后存在所述网络通讯数据。
优选的,在所述采集终端的网络通讯数据之前还包括:
判断所述工作状态数据是否符合第二预设要求;其中,所述第二预设要求具体为在第三预设时间间隔内未接收到所述工作状态数据;
如果是,则进入所述采集终端的网络通讯数据的步骤。
优选的,所述采集终端的网络通讯数据具体包括:
扫描所述终端的端口以获取所述网络通讯数据、向所述终端发送测试数据包以获取所述网络通讯数据、采集在网络设备上对应所述终端的网络通讯数据中的一种或任意组合。
优选的,所述网络通讯数据具体为远程控制通讯数据。
优选的,还包括:
预先配置报警策略;
在确定所述代理软件工作异常的情况下,根据所述报警策略通知所述终端的用户。
优选的,还包括:
预先配置与所述终端对应的网络拦截设备;
在确定所述代理软件工作异常的情况下,启动所述网络拦截设备以拦截远程网络连接。
为解决上述技术问题,本申请还提供一种代理软件工作异常检测方法,其特征在于,包括:
采集用于表征安装于终端的代理软件的工作状态数据;
发送所述工作状态数据以便服务器在所述工作状态数据及采集的所述终端的网络通讯数据均符合第一预设要求时,确定所述代理软件工作异常。
优选的,还包括:
在检测到所述代理软件工作异常的情况下,重启所述代理软件。
为解决上述技术问题,本申请还提供一种代理软件工作异常检测装置,其特征在于,包括:
获取模块,用于获取用于表征安装于终端的代理软件的工作状态数据;
第一采集模块,用于采集所述终端的网络通讯数据;
确定模块,用于在所述工作状态数据及所述网络通讯数据均符合第一预设要求的情况下,确定所述代理软件工作异常。
为解决上述技术问题,本申请还提供一种代理软件工作异常检测装置,其特征在于,包括:
第二采集模块,用于采集用于表征安装于终端的代理软件的工作状态数据;
发送模块,用于发送所述工作状态数据以便服务器在所述工作状态数据及采集的所述终端的网络通讯数据均符合第一预设要求时,确定所述代理软件工作异常。
为解决上述技术问题,本申请还提供一种代理软件工作异常检测装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的代理软件工作异常检测方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的代理软件工作异常检测方法的步骤。
本申请所提供的代理软件工作异常检测方法,分别获取表征终端的代理软件的工作状态数据和采集终端的网络通讯数据,如果工作状态数据及网络通讯数据均符合第一预设要求,则确定代理软件工作异常。由代理软件的工作状态数据结合网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
本申请还提供的代理软件工作异常检测方法,安装于终端的代理软件在运行时产生工作状态数据,采集该数据并将其发送至服务器。服务器在接收到工作状态数据以及采集该终端的网络通讯数据的情况下,判断二者是否符合第一预设要求,在符合第一预设要求的情况下,确定代理软件工作异常。由代理软件的工作状态数据结合终端的网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
此外,本申请提供的一种代理软件工作异常检测装置及介质,与上述代理软件工作异常检测方法对应,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的第一种代理软件工作异常检测方法的流程图;
图2为本申请实施例提供的第二种代理软件工作异常检测方法的流程图;
图3为本申请实施例提供的第三种代理软件工作异常检测方法的流程图;
图4为本申请实施例提供的一种确定代理软件工作异常后的流程图;
图5为本申请实施例提供的一种应用场景下的代理软件工作异常检测方法的流程图;
图6为本申请实施例提供的第一种代理软件工作异常检测装置的结构图;
图7为本申请实施例提供的第二种代理软件工作异常检测装置的结构图;
图8为本申请实施例提供的第三种代理软件工作异常检测装置的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种代理软件工作异常检测方法、装置及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
目前终端安全系统一般包括安装在终端的代理软件以及安装在服务器的管理软件,由于保护终端免遭攻击的工作主要由代理软件承担,代理软件成为攻击者关闭的目标。需要说明的是,本申请中提到的一种代理软件工作异常检测方法可以基于服务器和终端实现,即服务器中安装有管理软件,用于与安装于终端的代理软件进行交互。
图1为本申请实施例提供的第一种代理软件工作异常检测方法的流程图。如图1所述,该方法包括:
S10:获取用于表征安装于终端的代理软件的工作状态数据。
S11:采集终端的网络通讯数据。
需要说明的是,终端的类型不做限制,可为笔记本电脑、手机、台式电脑等,同时,终端的个数不做限制,可以是多个终端,也可以是一个终端,在通常情况下是同时与多个终端进行通讯,即同时获取多个终端的代理软件的工作状态数据。代理软件为安装在终端上的应用程序,具体的,代理软件的类型不作限定。
此外,工作状态数据的类型不做限定,其作用是能够表示终端存活即终端的代理软件正常工作即可,在具体实施中,工作状态数据的类型可以是双方交互的,也可以是单方面获取或发送的。
需要说明的是,获取用于表征安装于终端的代理软件的工作状态数据和采集终端的网络通讯数据没有严格的先后之分,可以顺序进行(图1仅表示一种具体的执行流程,并不代表只有这一种实现方式),也可以同时进行,即可以先获取用于表征安装于终端的代理软件的工作状态数据,当工作状态数据符合要求时,再采集终端的网络通讯数据,也可以同时获取用于表征安装于终端的代理软件的工作状态数据和采集终端的网络通讯数据,再判断工作状态数据及网络通讯数据是否符合预设要求。
此外,网络通讯数据是确认终端是否与网络设备进行异常通讯的重要数据,其中,网络通讯数据的类型不做具体要求,能够体现终端存在网络通讯状态特别是远程网络通讯状态即可。
作为优选地实施方式,工作状态数据具体为心跳包数据。如果是心跳包数据,则管理软件和代理软件的采用的就是心跳机制,除此之外,还可以是其它确认的方式,其它方式本实施例不作限定。
S12:判断工作状态数据及网络通讯数据是否均符合第一预设要求,如果是,则进入S13,如果否,则进入S14。
S13:确定代理软件工作异常。
S14:确定代理软件工作正常。
其中,第一预设要求为在终端存在网络通讯数据的情况下,第一预设时间间隔内未接收到工作状态数据,或者,在第二预设时间间隔内未接收到工作状态数据且在第二预设时间间隔后存在网络通讯数据。因此不需要实时获取代理软件的工作状态数据,也不需要实时采集终端的网络通讯数据,有利于减少服务器的工作量,延长服务器的使用寿命。
需要说明的是,第一预设时间间隔或第二预设时间间隔为一个周期,获取用于表征安装于终端的代理软件的工作状态数据和采集各终端的网络通讯数据可按周期获取工作状态数据和采集网络通讯数据,其中周期不做具体的限制。
需要说明的是,本申请中的服务器可以与一个终端网络连接,也可以与多个终端网络连接。为了让本领域技术人员更加清楚本申请中服务器与多个终端网络连接的情况,下文将详细说明。如果服务器与多个终端网络连接,则首先分别获取表征各终端的代理软件工作状态数据和各采集终端的网络通讯数据,判断工作状态数据及网络通讯数据是否均符合第一预设要求,若均符合第一预设要求,则确定对应的代理软件工作异常,若其中一个或两个不符合第一预设要求,则确定代理软件工作正常。
例如,同时检测终端A、终端B、终端C的代理软件是否工作异常,其中,终端A、终端B、终端C分别安装代理软件A、代理软件B、代理软件C。检测方法为:分别获取用于表征三个终端的对应三个代理软件的工作状态数据,以及分别采集三个终端的网络通讯数据,如果终端A的代理软件A的工作状态数据及终端A的网络通讯数据均符合第一预设要求,则可确认终端A的代理软件A工作异常。
还需说明的是,在确定代理软件工作异常的情况下,可通过邮件、短信等形式提醒终端的用户及时查看代理软件的工作情况。
本申请所提供的代理软件工作异常检测方法,分别获取表征终端的代理软件工作状态数据和采集终端的网络通讯数据,在工作状态数据及网络通讯数据均符合第一预设要求的情况下,确定代理软件工作异常。由代理软件的工作状态数据结合网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
图2为本申请实施例提供的第二种代理软件工作异常检测方法的流程图。如图2所述,在上述实施例的基础上,在S13后,还包括:
S15:重启代理软件。
需要说明的是,在终端可以设置与代理软件对应的守护进程,该守护进程在代理软件运行过程中,能够在确定代理软件工作异常的情况下,重启代理软件以使代理软件继续工作。在具体实施中,在代理软件的工作状态数据及终端的网络通讯数据符合第一预设要求的情况下,守护进程会重启代理软件,在代理软件重新启动后,服务器会再次接收到用于表征安装于终端的代理软件的工作状态数据。对于代理软件而言,当其被守护进程重启后,能够继续与管理软件进行交互,故服务器能够再次获取代理软件的工作状态数据,并继续对工作状态数据和网络通讯数据进行上述判断。
通常情况下,一旦确定代理软件工作异常,守护进程能够迅速重启代理软件,如果重启代理软件的时间在第一预设时间间隔内或第二预设时间间隔内,则不会影响服务器接收代理软件的工作状态数据,例如在服务器接收第一次心跳包数据和第二次心跳包数据的时间间隔内,代理软件重新启动,则不会影响服务器接收第二次心跳包数据,那么服务器在下一个判断周期就不会确定代理软件工作异常。
需要说明的是,本申请中的服务器可以与一个终端网络连接,也可以与多个终端网络连接。为了让本领域技术人员更加清楚本申请中服务器与多个终端网络连接的情况,下文将举例说明。
例如,确认终端A的代理软件A工作异常后,终端A的守护进程会重新启动代理软件A,并且不会影响服务器再次接收代理软件A的工作状态数据。
还需说明的是,在确认代理软件工作异常后,可记录对应的终端的身份数据,如IP地址等,其中,记录方式不做限制,在具体实施中可通过日志进行记录。
本申请所提供的代理软件工作异常检测方法,在确定代理软件工作异常后,重新启动代理软件。由于在代理软件工作异常的情况下,代理软件会重启,且重启速度快不影响服务器接收工作状态数据,因此服务器能再次判断获取的工作状态数据及采集的网络通讯数据是否符合第一预设要求,提高了判断代理软件工作异常的准确率,进一步降低了检测结果的误报率,为终端安全系统的自动防护提供了可靠的检测结果。
图3为本申请实施例提供的第三种代理软件工作异常检测方法的流程图。如图3所示,在上述实施例的基础上,该方法具体为:
S20:获取用于表征安装于终端的代理软件的工作状态数据。
S21:判断工作状态数据是否符合第二预设要求,如果否,则返回S20,如果是,则进入S22。
S22:采集终端的网络通讯数据。
S23:判断终端是否存在网络通讯数据,如果是,则进入S24,如果否,则进入S25。
S24:确定代理软件工作异常。
S25:确定代理软件工作正常。
其中,第二预设要求为第三预设时间间隔内未接收到所述工作状态数据。
需要说明的是,第三预设时间间隔为一个周期,获取用于表征安装于终端的代理软件的工作状态数据可按周期获取工作状态数据,其中周期不做具体的限制。
例如,同时检测终端A、终端B、终端C的代理软件是否工作异常,其中,终端A、终端B、终端C分别安装代理软件A、代理软件B、代理软件C。检测方法为:分别获取用于表征三个终端的对应三个代理软件的工作状态数据,分别判断三个工作状态数据是否符合第二预设要求,如果终端A的代理软件A的工作状态数据符合要求,则采集终端A的网络通讯数据,若终端A存在网络通讯数据,则可确认终端A的代理软件A工作异常。由此可见,如果对应的代理软件的工作状态数据不符合要求,则无需采集这些代理软件所在的终端的网络通讯数据。
本申请所提供的代理软件工作异常检测方法,相较于上述实施例而言,本实施例只需要采集工作状态数据符合第二预设要求的终端的网络通讯数据,大大缩小了采集其余终端的网络通讯数据的范围,缩短了代理软件工作异常检测时间,提高了代理软件工作异常检测效率。
在上述实施例的基础上,采集终端的网络通讯数据具体包括:
扫描终端的端口以获取网络通讯数据、向终端发送测试数据包以获取网络通讯数据、采集在网络设备上对应终端的网络通讯数据中的一种或任意组合。
需要说明的是,在具体实施中,终端的端口可为远程桌面端口(RDP:RemoteDesktop Protocol)或远程登录端口(SSH:Secure Shell),网络设备可包括路由、网关等,还可包括防火墙、入侵防御系统(IPS:Intrusion Prevention System)。本实施例中,向终端发送测试数据包即为服务器Ping终端,二者交互,从而获取网络通讯数据。
还需说明的是,所述网络设备与终端的代理软件连接,其连接方式不限,无线连接和有线连接均可。
作为优选地实施方式,网络通讯数据具体为远程控制通讯数据。由于勒索攻击常用远程网络连接以关闭终端的代理软件,因此远程控制通讯数据能够更加准确的反映终端的代理软件是否工作异常。
本申请所提供的代理软件工作异常检测方法,通过扫描终端的端口、向终端发送测试数据包、采集在网络设备上对应终端的网络通讯数据中的一种或任意组合来获取终端的网络通讯数据。由于代理软件的工作状态数据结合终端的网络通讯数据,确定终端的代理软件工作异常,因此排除了因网络异常导致确认数据不符合要求的情况,提高了判断代理软件工作异常的准确率。
图4为本申请提供的确定代理软件工作异常后的流程图。如图4所述,在上述实施例的基础上,S13后还包括:
S30:预先配置报警策略。
S31:根据报警策略通知终端的用户。
需要说明的是,报警策略不做限制,在具体实施中,可通过发邮件、打电话、发短信等提醒方式通知终端的用户。
进一步的,上述方法还包括以下步骤:
S32:预先配置与终端对应的网络拦截设备。
S33:启动网络拦截设备以拦截远程网络连接。
还需说明的是,网络拦截设备不做具体限制,只需能拦截远程网络连接即可,在具体实施中,可采用防火墙设备或IPS。
本申请所提供的代理软件工作异常检测方法,在确定终端的代理软件工作异常的情况下,根据预先配置的报警策略通知终端的用户,同时联动网络拦截设备拦截远程网络连接,因此在确定终端的代理软件工作异常后,能够及时的提醒用户防范,同时能够及时的拦截异常的远程网络连接,避免用户产生更大的损失。
上述实施例中以服务器侧进行描述,本申请下文中的实施例以终端侧进行描述。由于服务器和终端是相互交互的,故终端侧的方法实施例可参见上文。
本申请还提供一种代理软件工作异常检测方法,该方法包括:
采集用于表征安装于终端的代理软件的工作状态数据;
发送工作状态数据以便服务器在工作状态数据及采集的终端的网络通讯数据均符合第一预设要求时,确定所述代理软件工作异常。其中,第一预设要求为在终端存在网络通讯数据的情况下,第一预设时间间隔内未接收到工作状态数据,或者,在第二预设时间间隔内未接收到工作状态数据且在第二预设时间间隔后存在网络通讯数据。
需要说明的是,第一预设时间间隔或第二预设时间间隔为一个周期,获取用于表征安装于终端的代理软件的工作状态数据和采集终端的网络通讯数据可按周期获取工作状态数据和采集网络通讯数据,其中周期不做具体的限制。
作为优选地实施方式,发送用于表征安装于终端的代理软件的工作状态数据具体为按照预定周期发送所述工作状态数据。
还需说明的是,预定周期不做具体限制,在具体实施中,可根据用户代理软件工作异常检测需求进行设置。
本申请提供的代理软件工作异常检测方法,安装于终端的代理软件在运行时产生工作状态数据,采集该数据并将其发送至服务器。服务器在接收到工作状态数据以及采集该终端的网络通讯数据的情况下,判断二者是否符合第一预设要求,在符合第一预设要求的情况下,确定代理软件工作异常。由代理软件的工作状态数据结合终端的网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
在上述实施例的基础上,还包括:
在检测到代理软件工作异常的情况下,重启代理软件。
需要说明的是,在终端可以设置与代理软件对应的守护进程,该守护进程在代理软件运行过程中,能够在确定代理软件工作异常的情况下,重启代理软件,使得终端能够再次采集工作状态数据,并向服务器发送该工作状态数据。
通常情况下,一旦确定代理软件工作异常,守护进程能够迅速重启代理软件,如果重启代理软件的时间在第一预设时间间隔内或第二预设时间间隔内,则不会影响终端发送代理软件的工作状态数据,例如在终端发送第一次心跳包数据和第二次心跳包数据的时间间隔内,代理软件重新启动,则不会影响终端发送第二次心跳包数据。
还需说明的是,现有的技术主要是在安装在终端的代理软件与安装在服务器的管理软件之间存在通讯机制,代理软件定期与管理软件进行通讯,若通讯停止,则判断终端安全系统工作异常。但是除了代理软件被恶意关闭会导致通讯停止之外,终端关机及网络通讯异常等常见情形也会导致通讯停止,因此通过这种方式判断终端安全系统的代理软件工作异常往往会造成大量的误报,让检测结果的价值严重打折。
本申请提供的代理软件工作异常检测方法,在检测到所述代理软件工作异常的情况下,重启所述代理软件,因此相较于现有方法,本申请实施例提供的方法中,在代理软件工作异常的情况下,代理软件快速重启且不影响终端发送工作状态数据,服务器能判断再次获取的工作状态数据及采集的网络通讯数据是否符合第一预设要求,进一步提高了判断代理软件工作异常的准确率,进一步降低了检测结果的误报率,为终端安全系统的自动防护提供了可靠的检测结果。
为了让本领域技术人员更加清楚本发明提供的技术方案,本文还给出一种具体应用场景进行说明,该场景中涉及到服务器、终端和网络设备,图5为本申请实施例提供的一种应用场景下的代理软件工作异常检测方法的流程图。如图5所示,该方法包括如下步骤:
1:安装在终端的代理软件向安装于服务器的管理软件定期发送心跳包。
2:守护进程定期检查代理软件的工作状态。
3:当定期发送心跳包停止时,管理软件查询网络设备以采集通讯终止的终端的网络通讯数据。
4:当终端存在网络通讯数据时,则判定终端的代理软件工作异常。
5:根据预先设置的报警策略通知用户,以及联动网络设备拦截远程网络连接。
以上步骤是一种具体应用场景,在其他应用场景中还可以适当增加相应的步骤,在此不作限定。
在上述实施例中,对于代理软件工作异常检测方法进行了详细描述,本申请还提供代理软件工作异常检测装置对应的实施例。需要说明的是,本申请从两个角度对装置部分的实施例进行描述,一种是基于功能模块的角度,另一种是基于硬件的角度。
图6为本申请提供的第一种代理软件工作异常检测装置的结构图。基于服务器侧功能模块的角度,该装置包括:
获取模块10,用于获取用于表征安装于终端的代理软件的工作状态数据。
第一采集模块11,用于采集终端的网络通讯数据。
确定模块12,用于在工作状态数据及网络通讯数据符合第一预设要求的情况下,确定代理软件工作异常。
其中,第一预设要求为在终端存在网络通讯数据的情况下,第一预设时间间隔内未接收到工作状态数据,或者,在第二预设时间间隔内未接收到工作状态数据且在第二预设时间间隔后存在网络通讯数据。
作为优选的实施例,还包括:
第一重启模块,用于重启代理软件。
还包括:
第一配置模块,用于预先配置报警策略。
通知模块,用于当确定代理软件工作异常的情况下,根据报警策略通知终端的用户。
还包括:
第二配置模块,用于预先配置与终端对应的网络拦截设备。
拦截模块,用于当确定代理软件工作异常的情况下,启动网络拦截设备以拦截远程网络连接。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请所提供的代理软件工作异常检测装置,分别获取表征终端的代理软件工作状态数据和采集终端的网络通讯数据,如果工作状态数据及网络通讯数据均符合第一预设要求,则确定代理软件工作异常。由代理软件的工作状态数据结合网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
图7为本申请实施例提供的第二种代理软件工作异常检测装置的结构图。如图7所示,在上述实施例的基础上,基于终端侧功能模块的角度,该装置包括:
第二采集模块20,用于采集用于表征安装于终端的代理软件的工作状态数据;
发送模块21,用于发送工作状态数据以便服务器在工作状态数据及采集的终端的网络通讯数据均符合第一预设要求时,确定所述代理软件工作异常。
作为优选的实施例,还包括:
第二重启模块,用于在检测到代理软件工作异常的情况下,重启代理软件。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供的代理软件工作异常检测方法,安装于终端的代理软件在运行时产生工作状态数据,采集该数据并将其发送至服务器。服务器在接收到工作状态数据以及采集该终端的网络通讯数据的情况下,判断二者是否符合第一预设要求,在符合第一预设要求的情况下,确定代理软件工作异常。由代理软件的工作状态数据结合终端的网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
图8为本申请实施例提供的第三种代理软件工作异常检测装置的结构图,如图8所示,基于硬件结构的角度,该装置包括:
存储器30,用于存储计算机程序。
处理器31,用于执行计算机程序时实现如上述实施例中代理软件工作异常检测方法的步骤。
其中,处理器31可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器31可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器31也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器31可以在集成有图像处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。
存储器30可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器30还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器30至少用于存储以下计算机程序301,其中,该计算机程序被处理器31加载并执行之后,能够实现前述任一实施例公开的代理软件工作异常检测方法的相关步骤。另外,存储器30所存储的资源还可以包括操作系统302和数据303等,存储方式可以是短暂存储或者永久存储。其中,操作系统302可以包括Windows、Unix、Linux等。数据303可以包括但不限于代理软件工作异常检测方法中涉及的数据等。
在一些实施例中,代理软件工作异常检测装置还可包括显示屏32、输入输出接口33、通信接口34、电源35以及通信总线36。
本领域技术人员可以理解,图8中示出的结构并不构成对代理软件工作异常检测方法的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的代理软件工作异常检测装置,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现:基于服务器侧,分别获取表征终端的代理软件工作状态数据和采集终端的网络通讯数据,如果工作状态数据及网络通讯数据均符合第一预设要求,则确定代理软件工作异常。基于终端侧,安装于终端的代理软件在运行时产生工作状态数据,采集该数据并将其发送至服务器。服务器在接收到工作状态数据以及采集该终端的网络通讯数据的情况下,判断二者是否符合第一预设要求,在符合第一预设要求的情况下,确定代理软件工作异常。由代理软件的工作状态数据结合网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供的计算机可读存储介质,在可读存储介质中存有计算机程序,计算机程序被处理器执行时实现:基于服务器侧,分别获取表征终端的代理软件工作状态数据和采集终端的网络通讯数据,如果工作状态数据及网络通讯数据均符合第一预设要求,则确定代理软件工作异常。基于终端侧,安装于终端的代理软件在运行时产生工作状态数据,采集该数据并将其发送至服务器。服务器在接收到工作状态数据以及采集该终端的网络通讯数据的情况下,判断二者是否符合第一预设要求,在符合第一预设要求的情况下,确定代理软件工作异常。由表征终端的代理软件的工作状态数据结合网络通讯数据,确定代理软件工作异常,排除了因终端正常关机及网络异常导致工作状态数据及网络通讯数据符合要求的情况,因此本申请所提供的方法提高了判断代理软件工作异常的准确率,保证了检测结果的低误报,为终端安全系统的自动防护提供了可靠的检测结果。
以上对本申请所提供的一种代理软件工作异常检测方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (14)
1.一种代理软件工作异常检测方法,其特征在于,包括:
获取用于表征安装于终端的代理软件的工作状态数据;
采集所述终端的网络通讯数据;
在所述工作状态数据及所述网络通讯数据均符合第一预设要求的情况下,确定所述代理软件工作异常。
2.根据权利要求1所述的代理软件工作异常检测方法,其特征在于,在确定出所述代理软件工作异常的情况下,该方法还包括:
重启所述代理软件。
3.根据权利要求1或2所述的代理软件工作异常检测方法,其特征在于,所述第一预设要求具体为:
在所述终端存在所述网络通讯数据的情况下,第一预设时间间隔内未接收到所述工作状态数据;
或者,在第二预设时间间隔内未接收到所述工作状态数据且在所述第二预设时间间隔后存在所述网络通讯数据。
4.根据权利要求1或2所述的代理软件工作异常检测方法,其特征在于,在所述采集终端的网络通讯数据之前还包括:
判断所述工作状态数据是否符合第二预设要求;其中,所述第二预设要求具体为在第三预设时间间隔内未接收到所述工作状态数据;
如果是,则进入所述采集终端的网络通讯数据的步骤。
5.根据权利要求1或2所述的代理软件工作异常检测方法,其特征在于,所述采集终端的网络通讯数据具体包括:
扫描所述终端的端口以获取所述网络通讯数据、向所述终端发送测试数据包以获取所述网络通讯数据、采集在网络设备上对应所述终端的网络通讯数据中的一种或任意组合。
6.根据权利要求1或2所述的代理软件工作异常检测方法,其特征在于,所述网络通讯数据具体为远程控制通讯数据。
7.根据权利要求1所述的代理软件工作异常检测方法,其特征在于,还包括:
预先配置报警策略;
在确定所述代理软件工作异常的情况下,根据所述报警策略通知所述终端的用户。
8.根据权利要求7所述的代理软件工作异常检测方法,其特征在于,还包括:
预先配置与所述终端对应的网络拦截设备;
在确定所述代理软件工作异常的情况下,启动所述网络拦截设备以拦截远程网络连接。
9.一种代理软件工作异常检测方法,其特征在于,包括:
采集用于表征安装于终端的代理软件的工作状态数据;
发送所述工作状态数据以便服务器在所述工作状态数据及采集的所述终端的网络通讯数据均符合第一预设要求的情况下,确定所述代理软件工作异常。
10.根据权利要求9所述的代理软件工作异常检测方法,其特征在于,还包括:
在检测到所述代理软件工作异常的情况下,重启所述代理软件。
11.一种代理软件工作异常检测装置,其特征在于,包括:
获取模块,用于获取用于表征安装于终端的代理软件的工作状态数据;
第一采集模块,用于采集所述终端的网络通讯数据;
确定模块,用于在所述工作状态数据及所述网络通讯数据均符合第一预设要求的情况下,确定所述代理软件工作异常。
12.一种代理软件工作异常检测装置,其特征在于,包括:
第二采集模块,用于采集用于表征安装于终端的代理软件的工作状态数据;
发送模块,用于发送所述工作状态数据以便服务器在所述工作状态数据及采集的所述终端的网络通讯数据均符合第一预设要求的情况下,确定所述代理软件工作异常。
13.一种代理软件工作异常检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-10任意一项所述的代理软件工作异常检测方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-10任意一项所述代理软件工作异常检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010897377.7A CN111988333B (zh) | 2020-08-31 | 2020-08-31 | 一种代理软件工作异常检测方法、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010897377.7A CN111988333B (zh) | 2020-08-31 | 2020-08-31 | 一种代理软件工作异常检测方法、装置及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111988333A true CN111988333A (zh) | 2020-11-24 |
| CN111988333B CN111988333B (zh) | 2023-11-07 |
Family
ID=73440628
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010897377.7A Active CN111988333B (zh) | 2020-08-31 | 2020-08-31 | 一种代理软件工作异常检测方法、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111988333B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
| CN102467620A (zh) * | 2010-11-08 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 一种显示杀毒软件安全守护状态的方法 |
| CN105262610A (zh) * | 2015-09-02 | 2016-01-20 | 北京金山安全软件有限公司 | 网络修复的方法、装置和终端 |
| CN109962789A (zh) * | 2017-12-14 | 2019-07-02 | 中国电信股份有限公司 | 基于网络数据构建物联网应用标签体系的方法和装置 |
| WO2019136954A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 网络合规检测方法、装置、设备及介质 |
| CN110069382A (zh) * | 2019-04-03 | 2019-07-30 | 北京奇安信科技有限公司 | 软件监控方法、服务器、终端设备、计算机设备及介质 |
| CN110069925A (zh) * | 2019-04-03 | 2019-07-30 | 北京奇安信科技有限公司 | 软件监测方法、系统及计算机可读存储介质 |
-
2020
- 2020-08-31 CN CN202010897377.7A patent/CN111988333B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
| CN102467620A (zh) * | 2010-11-08 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 一种显示杀毒软件安全守护状态的方法 |
| CN105262610A (zh) * | 2015-09-02 | 2016-01-20 | 北京金山安全软件有限公司 | 网络修复的方法、装置和终端 |
| CN109962789A (zh) * | 2017-12-14 | 2019-07-02 | 中国电信股份有限公司 | 基于网络数据构建物联网应用标签体系的方法和装置 |
| WO2019136954A1 (zh) * | 2018-01-15 | 2019-07-18 | 深圳市联软科技股份有限公司 | 网络合规检测方法、装置、设备及介质 |
| CN110069382A (zh) * | 2019-04-03 | 2019-07-30 | 北京奇安信科技有限公司 | 软件监控方法、服务器、终端设备、计算机设备及介质 |
| CN110069925A (zh) * | 2019-04-03 | 2019-07-30 | 北京奇安信科技有限公司 | 软件监测方法、系统及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111988333B (zh) | 2023-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9203802B2 (en) | Secure layered iterative gateway | |
| CN102663274B (zh) | 一种检测远程入侵计算机行为的方法及系统 | |
| US20040003286A1 (en) | Distributed threat management | |
| US20130097710A1 (en) | Mobile risk assessment | |
| CN110866246B (zh) | 一种恶意代码攻击的检测方法、装置及电子设备 | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| JPWO2006006217A1 (ja) | 不正接続検知システム及び不正接続検知方法 | |
| CN114095258B (zh) | 攻击防御方法、装置、电子设备及存储介质 | |
| US20060143717A1 (en) | Computer network monitoring method and device | |
| CN110417717A (zh) | 登录行为的识别方法及装置 | |
| CN111510436A (zh) | 网络安全系统 | |
| CN112039887A (zh) | Cc攻击防御方法、装置、计算机设备和存储介质 | |
| CN111107522B (zh) | 一种安防方法及装置、电器、服务器和存储介质 | |
| CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
| CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
| CN111800432A (zh) | 一种基于日志分析的防暴力破解方法及装置 | |
| CN103139219B (zh) | 基于可信交换机的生成树协议的攻击检测方法 | |
| CN112152895A (zh) | 智能家居设备控制方法、装置、设备及计算机可读介质 | |
| CN111988333A (zh) | 一种代理软件工作异常检测方法、装置及介质 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| US11057769B2 (en) | Detecting unauthorized access to a wireless network | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| KR101765200B1 (ko) | 시스템 보안관리장치 및 그 방법 | |
| CN114531257A (zh) | 一种网络攻击处置方法及装置 | |
| CN110535886B (zh) | 用于检测中间人攻击的方法、装置、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |