CN112003835A - 安全威胁的检测方法、装置、计算机设备和存储介质 - Google Patents
安全威胁的检测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112003835A CN112003835A CN202010765708.1A CN202010765708A CN112003835A CN 112003835 A CN112003835 A CN 112003835A CN 202010765708 A CN202010765708 A CN 202010765708A CN 112003835 A CN112003835 A CN 112003835A
- Authority
- CN
- China
- Prior art keywords
- process chain
- chain
- long
- chains
- security threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 642
- 230000008569 process Effects 0.000 claims abstract description 598
- 238000004458 analytical method Methods 0.000 claims description 25
- 230000002147 killing effect Effects 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000002829 reductive effect Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000008260 defense mechanism Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 2
- 238000012804 iterative process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种安全威胁的检测方法、装置、计算机设备和存储介质。该安全威胁的检测方法包括:获取用户端在观测时间段内的进程信息,其中,进程信息包括用户端在观测时间段内运行的进程和各进程之间的调用关系;在进程信息中识别长进程链,其中,长进程链包括多个具有调用关系的进程;以及分析长进程链,以判断长进程链中是否包括安全威胁。通过本发明,提升安全威胁的检测能力。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种安全威胁的检测方法、装置、计算机设备和存储介质。
背景技术
在现有技术中,为了提升网络安全,当用户端出现安全级别未知的未知样本时,包括未知的计算机程序和未知的文档等,可上传到云端,由云端的病毒查杀引擎检查该未知样本的安全级别,并在云端留下查杀日志,该日志即为云查杀日志。病毒查杀引擎检查后,如果鉴定为安全的样本,则该未知样本属于白样本,如果鉴定为不安全的样本,则该未知样本属于黑样本。
发明人对现有技术研究发现,网络安全威胁常常利用白样本做伪装,比如白样本A调起白样本B,白样本B又调起白样本C,最后白样本C调起了黑样本D。而进一步研究现有技术中的安全防御机制发现,在常规技术手段中,出于对效率及用户体验的考虑,往往会忽略这种情况,对于这种情况,如果强行拦截,会有很高的误报率,严重影响用户体验,而如果不做拦截,则有很大可能漏过了可能的安全威胁。
因此,提供一种安全威胁的检测方法、装置、计算机设备和存储介质,以提升现有技术中安全威胁的检测能力,成为本领域亟需解决的技术问题。
发明内容
本发明的目的是提供一种安全威胁的检测方法、装置、计算机设备和存储介质,用于解决现有技术中的上述技术问题。
一方面,为实现上述目的,本发明提供了一种安全威胁的检测方法、装置、计算机设备和存储介质。
该安全威胁的检测方法包括:获取用户端在观测时间段内的进程信息,其中,进程信息包括用户端在观测时间段内运行的进程和各进程之间的调用关系;在进程信息中识别长进程链,其中,长进程链包括多个具有调用关系的进程;以及分析长进程链,以判断长进程链中是否包括安全威胁。
进一步地,获取用户端在观测时间段内的进程信息的步骤包括:获取云查杀日志中用户端在观测时间段内的日志;在进程信息中识别长进程链的步骤包括:提取日志中的多个进程链,其中,进程链包括至少两个具有调用关系的进程,进程链的时间信息为进程链中第一个进程的时间戳或进程链中最后一个进程的时间戳;将多个进程链中满足拼接条件的进程链进行拼接,以得到长进程链,其中,按照时间信息的先后关系对多个进程链排序后,若前一个进程链的后n个进程与后一个进程链中的前n个进程相同,则两个进程链满足拼接条件,其中,n=1,2,3,..N,N为自然数。
进一步地,将多个进程链中满足拼接条件的进程链进行拼接,以得到长进程链的步骤包括:步骤S1:按照时间信息的先后关系对进程链池中的进程链进行排序,以得到进程链序列;步骤S2:设置滑动时间窗的时长和滑动步长;步骤S3:在进程链序列中获取当前滑动时间窗内的进程链,以得到进程链组;步骤S4:在进程链组中,检查相邻的两个进程链是否满足拼接条件,其中,若相邻的两个进程链满足拼接条件,则执行步骤S5,若相邻的两个进程链不满足拼接条件,则执行步骤S7;步骤S5:将两个进程链拼接,得到拼接后的进程链,并将拼接后的进程链加入进程链组;步骤S6:判断拼接后的进程链的长度是否大于或等于长进程链阈值,其中,若拼接后的进程链的长度大于或等于长进程链阈值,执行步骤S7,若拼接后的进程链的长度小于长进程链阈值,并返回步骤S4;步骤S7:从进程链组选取长进程链,并以滑动步长滑动滑动时间窗后,返回至步骤S3。
进一步地,在步骤S7中,从进程链组选取长进程链包括:去除进程链组中的冗余进程链,得到中间进程链组,其中,冗余进程链为进程链组中其他进程链的子链;以及从中间进程链组中选取长进程链。
进一步地,N等于2。
进一步地,分析长进程链,以判断长进程链中是否包括安全威胁的步骤包括:获取长进程链中的最后一个进程,以得到尾进程;根据尾进程在安全实体知识图谱中的信息判断长进程链中是否包括安全威胁。
进一步地,在分析长进程链,以判断长进程链中是否包括安全威胁的步骤之前,安全威胁的检测方法还包括:统计在观测时间段内,用户端出现长进程链的次数,其中,当用户端出现长进程链的次数大于次数阈值时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤;和/或统计在观测时间段内,出现长进程链的用户端的个数,其中,当出现长进程链的用户端的个数大于个数阈值时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤;和/或根据历史时间内用户端出现的长进程链在观测时间段内出现的长进程链判断长进程链的变化趋势是否异常,其中,当长进程链的变化趋势异常时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤。
另一方面,为实现上述目的,本发明提供了一种安全威胁的检测装置。
该安全威胁的检测装置包括:获取模块,用于获取用户端在观测时间段内的进程信息,其中,进程信息包括用户端在观测时间段内运行的进程和各进程之间的调用关系;识别模块,用于在进程信息中识别长进程链,其中,长进程链包括多个具有调用关系的进程;以及分析模块,用于分析长进程链,以判断长进程链中是否包括安全威胁。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的安全威胁的检测方法、装置、计算机设备和存储介质,获取用户端在观测时间段内的进程信息,从进程信息中识别出长进程链,也即识别出多个进程先后的链式调用关系,从而能够对该长进程链进行分析,以判断该长进程链是否包括安全威胁,提升安全威胁的检测能力,同时,实现长进程链的线下分析,降低线上实时分析影响进程运行效率,进一步,当分析到某一长进程链存在安全威胁时,将该长进程链加入安全防御机制,后续在对用户端的安全防护过程中可对该长进程链进行禁止,提升用户端的安全性能。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的安全威胁的检测方法的流程图;
图2为本发明实施例二提供的安全威胁的检测方法的流程图;
图3为本发明实施例三提供的安全威胁的检测方法中长进程链拼接的流程图;
图4为本发明实施例四提供的安全威胁的检测装置的框图;
图5为本发明实施例五提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提升安全威胁的检测能力,本发明提供了一种安全威胁的检测方法、装置、计算机设备和存储介质,在该安全威胁的检测方法中,针对用户端设置观测时间段,也即以观测时间段为单位观测窗口,对用户端在观测时间段内运行的进程信息进行分析,具体地,对观测时间段内的进程信息进行识别,识别出长进程链后,对长进程链进行分析,以判断长进程链中是否包括安全威胁,进而可对包括安全威胁的长进程链进行安全防御,提升安全威胁的检测能力,降低通过长进程链伪装的安全风险。
关于本发明提供的安全威胁的检测方法、装置、计算机设备和可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例提供了一种安全威胁的检测方法,通过该方法,能够提升安全威胁的检测能力,具体地,图1为本发明实施例一提供的安全威胁的检测方法的流程图,如图1所示,该实施例提供的安全威胁的检测方法包括如下的步骤S101至步骤S103。
步骤S101:获取用户端在观测时间段内的进程信息。
其中,进程信息包括用户端在观测时间段内运行的进程和各进程之间的调用关系。
具体地,用户端包括个人计算机、手机、掌上电脑等终端,也包括服务器或中间网络设备等;观测时间段为根据实际需要设置的检测时间窗口,例如,观测时间段为一天或一周;可通过读取用户端的运行日志记录获取进程信息,或者也可读取针对用户端的监控日志记录获取进程信息,或者由云端对用户端出现的未知安全级别的样本进行检测,由云端的病毒查杀引擎检查上传样本的安全级别,并在云端留下云查杀日志,通过读取该云查杀日志也可获取进程信息。
进程信息包括用户端在观测时间段内已运行的进程,具体可以为进程ID等进程标识信息,还包括各进程之间的调用关系,例如用户端在观测时间段内已运行的进程包括进程A、进程B、进程C、进程D、进程E、进程F、进程G和进程H等,其中,上述进程之间的调用关系包括进程B调用进程C,进程C调用进程E,进程E调用进程A,进程F调用进程A等。
步骤S102:在进程信息中识别长进程链。
其中,长进程链包括多个具有调用关系的进程,例如三个、四个、五个多个进程链。
具体地,通过该步骤S102,对进程信息中的长进程链进行识别,例如在上述进程信息中可识别到长进程链包括:进程B调用进程C,进程C调用进程E,进程E调用进程A,也即长进程链包括B-C-E-A,首进程为B,尾进程为A。
步骤S103:分析长进程链,以判断长进程链中是否包括安全威胁。
在该步骤S103中,针对识别到的长进程链进行分析,包括分析该长进程链中各进程之间的关系、尾进程的特征以及该长进程链与用户端历史进程信息的区别等,以判断长进程链中是否包括安全威胁,进而,当确定该长进程链中包括安全威胁时,针对该长进程链制定安全防御机制,禁止该长进程链的运行。
在该实施例提供的安全威胁的检测方法中,获取用户端在观测时间段内的进程信息,从进程信息中识别出长进程链,也即识别出多个进程先后的链式调用关系,从而能够对该长进程链进行分析,以判断该长进程链是否包括安全威胁,提升安全威胁的检测能力,同时,实现长进程链的线下分析,降低线上实时分析影响进程运行效率,进一步,当分析到某一长进程链存在安全威胁时,将该长进程链加入安全防御机制,后续在对用户端的安全防护过程中可对该长进程链进行禁止,提升用户端的安全性能。
可选地,在一种实施例中,获取用户端在观测时间段内的进程信息的步骤包括:获取云查杀日志中用户端在观测时间段内的日志。
在云查杀日志中,出现进程调用时,会记录进程的调用关系,但一般只会记录父子进程或父父子进程的短进程链,在该实施例,获取云查杀日志,即可提取到用户端在观测时间段内的日志,通过对长进程链的识别和分析,能够匹配具有安全威胁的进程链模式。
可选地,在一种实施例中,在进程信息中识别长进程链的步骤包括:提取日志中的多个进程链,其中,进程链包括至少两个具有调用关系的进程,进程链的时间信息为进程链中第一个进程的时间戳或进程链中最后一个进程的时间戳;将多个进程链中满足拼接条件的进程链进行拼接,以得到长进程链,其中,按照时间信息的先后关系对多个进程链排序后,若前一个进程链的后n个进程与后一个进程链中的前n个进程相同,则相邻的两个进程链满足拼接条件,其中,n=1,2,3,..N,N为自然数。
具体地,针对记录进程链的进程信息,提取其中的进程链,记录进程链中第一个进程的时间戳或最后一个进程的时间戳,也即首进程的时间戳或尾进程的时间戳,作为进程链的时间信息,其中,进程的时间戳可以采用进程所在的日志的时间。按照时间信息和进程链中的进程,对满足拼接条件的进程链进行拼接,将进程链进行拼接后得到长进程链,其中,在拼接时,若前一个进程链的后n个进程与后一个进程链中的前n个进程相同,则该两个进程链满足拼接条件,例如,前一个进程链的尾进程与后一个进程链中的首进程相同,或者,前一个进程链的最后两个进程与后一个进程链中的前两个进程相同,均可进行拼接,例如:三个进程链分别依次为ab、bc和cbd,则ab和bc拼接为abc,abc与cbd拼接为abcd。N的大小可依据进程信息中进程链的长短进行调整,可选地,针对云查杀日志,可以将N设置为2。
采用该实施例提供的安全威胁的检测方法,在识别长进程链时,将先后两个进程链中,前一个进程链的后n个进程与后一个进程链中的前n个进程相同的进程链拼接,n可以大于1,即使通过调整进程调用顺序来隐藏安全威胁,也可拼接得到对应的长进程,进而进行安全威胁的判断,进一步提升安全威胁的检测能力。
可选地,在一种实施例中,分析长进程链,以判断长进程链中是否包括安全威胁的步骤包括:获取长进程链中的最后一个进程,以得到尾进程;根据尾进程在安全实体知识图谱中的信息判断长进程链中是否包括安全威胁。
发明人分析发现,在隐藏安全威胁的长进程链中,通常会将尾进程设置为恶意程序,基于此,采用该实施例提供的安全威胁的检测方法,对拼接得到的长进程链中的尾进程进行分析,减少长进程链的分析工作同时又可判断出长进程链中隐藏的恶意程序,进一步,在分析时,可根据尾进程在安全实体知识图谱中的信息进行分析,其中,安全实体例如可以为用户、HTTP、DNS(Domain Name System,域名系统(服务)协议)、域名、远程站点的IP、进程行为链、计算机程序、文档、账号、网址和端口号等等,安全实体的知识图谱是由上述各类安全实体的属性和关联关系等建立的知识图谱,在根据尾进程在安全实体知识图谱中的信息进行分析时,具体可根据尾进程的属性、尾进程在安全实体知识图谱中的关联关系等进行分析,有益于全面得到尾进程的信息,提升分析准确性。
可选地,在一种实施例中,在分析长进程链,以判断长进程链中是否包括安全威胁的步骤之前,安全威胁的检测方法还包括:统计在观测时间段内,用户端出现长进程链的次数,其中,当用户端出现长进程链的次数大于次数阈值时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤。
通常情况下,当用户端被恶意攻击时,会在一段时间内多次被攻击,因而,当在观测时间段内,用户端出现某一长进程链的次数超出常规的次数阈值时,表明该长进程链属于异常情况,在此情况下,对长进程链进行分析,一方面减少对正常长进程链分析而造成的资源浪费,另一方面也可降低漏掉安全威胁的概率。其中,常规的次数阈值可依据用户端的实际使用环境进行设置。
可选地,在一种实施例中,在分析长进程链,以判断长进程链中是否包括安全威胁的步骤之前,安全威胁的检测方法还包括:统计在观测时间段内,出现长进程链的用户端的个数,其中,当出现长进程链的用户端的个数大于个数阈值时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤。
通常情况下,在恶意攻击出现时,会在一段时间内对多个用户端进行攻击,因而,当在观测时间段内,某一长进程链出现在用户端中的用户端个数超出常规的个数阈值时,表明该长进程链属于异常情况,在此情况下,对长进程链进行分析,一方面减少对正常长进程链分析而造成的资源浪费,另一方面也可降低漏掉安全威胁的概率。其中,常规的个数阈值可依据用户端的实际使用环境进行设置。
可选地,在一种实施例中,在分析长进程链,以判断长进程链中是否包括安全威胁的步骤之前,安全威胁的检测方法还包括:根据历史时间内用户端出现的长进程链在观测时间段内出现的长进程链判断长进程链的变化趋势是否异常,其中,当长进程链的变化趋势异常时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤。
通常情况下,用户端运行的进程具有一定的规律性,因此,历史时间内用户端出现长进程链的信息,包括出现次数、在单位时间内的出现频次以及出现时间等,具有一定的规律,当观测时间段内的长进程链偏离上述规律时,表明长进程链的变化趋势异常,在此情况下,对长进程链进行分析,一方面减少对正常长进程链分析而造成的资源浪费,另一方面也可降低漏掉安全威胁的概率。
实施例二
本发明实施例二提供了一种优选地安全威胁的检测方法,部分技术特征和相应地技术效果可参考上述实施例一的相关描述,该实施例不再赘述。具体地,图2为本发明实施例二提供的安全威胁的检测方法的流程图,如图2所示,该实施例二提供的安全威胁的检测方法包括如下的步骤S201至步骤S210。
步骤S201:获取用户端在观测时间段内的进程信息。
其中,进程信息包括用户端在观测时间段内运行的进程和各进程之间的调用关系。
步骤S202:提取日志中的多个进程链。
其中,进程链包括至少两个具有调用关系的进程,进程链的时间信息包括进程链中第一个进程的时间戳和进程链中最后一个进程的时间戳中的至少一个。
步骤S203:按照时间信息的先后关系对进程链池中的进程链进行排序,以得到进程链序列。
步骤S204:设置滑动时间窗的时长和滑动步长。
其中,滑动时间窗的时长小于观测时间段,可选地,观测时间段包括多个滑动时间窗。
步骤S205:在进程链序列中获取当前滑动时间窗内的进程链,以得到进程链组。
步骤S206:在进程链组中,检查相邻的两个进程链是否满足拼接条件。
其中,若相邻的两个进程链满足拼接条件,执行步骤S207,若相邻的两个进程链不满足拼接条件,则执行步骤S209。
其中,若先后相邻的两个进程链中,前一个进程链的后n个进程与后一个进程链中的前n个进程相同,则表征该先后的两个进程链满足拼接条件,其中,n=1,2,3,..N,N为自然数。
步骤S207:将两个进程链拼接,得到拼接后的进程链,并将该拼接后的进程链加入进程链组。
其中,加入进程链组中的拼接后的进程链还可继续与其他满足拼接条件的进程链再次拼接。
步骤S208:判断拼接后的进程链的长度是否大于或等于长进程链阈值。
其中,若拼接后的进程链的长度大于或等于长进程链阈值,执行步骤S209,若拼接后的进程链的长度小于长进程链阈值,并返回步骤S206,继续进行拼接。
在该实施例中,将长进程链的长度限制于长进程链阈值以下,避免长进程链的长度过长,过度增加后续分析处理的复杂度。
步骤S209:从进程链组选取长进程链,并以滑动步长滑动滑动时间窗,并返回至步骤S205,直到进程链序列全部被分析处理完毕。
步骤S210:分析长进程链,以判断长进程链中是否包括安全威胁。
需要说明的是,本申请中的步骤序号并不用于限定步骤的实际执行顺序,有些序号不同的步骤可以根据需要并行或者颠倒执行顺序,其中,对于步骤S204,既可以每次拼接时进行设置,也可以在首次拼接时进行设置,后续重复使用即可。
采用该实施例提供的安全威胁的检测方法,在识别长进程链时,先将进程链排序为进程链序列,然后再基于滑动时间窗对进程链序列进行依次滑动分析获得长进程链。
可选地,在一种实施例中,在步骤S209中,从进程链组选取长进程链包括:去除进程链组中的冗余进程链,得到中间进程链组,其中,冗余进程链为进程链组中其他进程链的子链;以及从中间进程链组中选取长进程链。
具体地,当一个进程链A为另一个进程链B的一部分,则该进程链A为进程链B的子链,进程链A为冗余进程链,例如,进程链a-b-c为进程链a-b-c-d-e的子链,进程链a-b-c为冗余进程链。在该实施例中,将冗余进程链去除,避免在分析长进程链时重复分析。
可选地,在一种实施例中,在步骤S206中,在检查两个进程链是否可以拼接时,先判断两个拼接链是否相同,如果相同,则不对该两个拼接连拼接,也即不再检查该两个进程链是否可以拼接,以避免无效拼接;和/或,在检查两个进程链是否可以拼接时,先判断两个拼接链是否会出现循环拼接,例如,当两个进程链的时间信息完全相同,且两个进程链中首进程的时间戳与尾进程的时间戳也相同时,该两个拼接链会出现循环拼接,此时不对该两个拼接连拼接,也即不再检查该两个进程链是否可以拼接,以避免死循环拼接。
实施例三
本发明实施例三提供了一种优选地安全威胁的检测方法,部分技术特征和相应地技术效果可参考上述实施例一和实施例二的相关描述,该实施例不再赘述。具体地,在该实施例提供的安全威胁的检测方法中,基于用户的云查杀日志还原长进程链,首先要对用户日志中出现的父子进程短链按时间戳做排序,然后设定滑动时间窗(该实施例采用的时间窗长度是5秒)处理每个用户的父子进程链日志。在同一时间窗内,前后短进程链满足拼接条件,则完成一次拼接。具体的拼接条件包括:1)前一个进程链的最后一个进程,与后一个进程链的第一个进程相同;2)前一个进程链的最后两个进程,与后一个进程链的头两个进程相同。完成一次拼接后,得到的稍长的进程链,仍然保存到拼接候选池中,作为下一次迭代的拼接候选。每一次迭代都会得到一些更长的进程链。直到候选池中已经不能找到满足拼接条件的前后进程链,或者已经拼接的长进程链长度达到某个阈值(该实施例采用的阈值是10),则停止做本时间窗的迭代。将滑动时间窗向前移动一秒,开始下一个时间窗的迭代过程。在单个时间窗内还原长进程链的迭代过程如图3所示,在迭代过程中,有可能出现一些无效拼接(如ab与ab....)或者可能导致死循环的拼接(如ab与ba两个短链的时间戳相同),需要在程序逻辑中予以排除。在还原长进程链中,由于信息的不充分,不可避免会出现一些不准确的还原,这个时候结合大数据统计方法来做进一步确认了。具体地,如果某个还原的长进程链在很多个用户的日志中都能得到还原,那这个长进程链隐藏安全威胁的威胁较大,需要对其进行分析;将每个用户日志中还原出的每个长进程链作为统计实体,统计该实体的PV(总出现次数)及UV(总出现用户数)。当PV及UV超过某个阈值时,该长进程链隐藏安全威胁的威胁较大,需要对其进行分析。该实施例采用的最小UV是2(可根据需要调整)。另外,长进程链的尾进程是安全分析关注的重点,还原出的长进程链需要与尾进程在安全实体知识图谱中关联起来,对应尾进程是非白进程、并且对应长进程链的PV、UV趋势出现异常的情况下,需要重点分析。
在该实施例提供的安全威胁的检测方法中,基于用户日志的滑动时间窗,对同一时间窗内的短进程链做出合理拼接,同时避免无效拼接及死循环拼接,解决了云查杀日志中缺少长进程链的问题;将短进程链拼接结果与大数据统计相结合,可以及时对异常长进程链预警;将长进程链的尾进程与安全实体的知识图谱相结合,可以准确还原病毒调用的完整链条。
实施例四
对应于上述实施例一,本发明实施例四提供了一种安全威胁的检测装置,相关的技术特征和对应的技术效果可参考上述实施例一至实施例三的具体描述,该处不再赘述,图3为本发明实施例四提供的安全威胁的检测装置的框图,如图3所示,该装置包括:获取模块301、识别模块302和分析模块303。
其中,获取模块301用于获取用户端在观测时间段内的进程信息,其中,进程信息包括用户端在观测时间段内运行的进程和各进程之间的调用关系;识别模块302用于在进程信息中识别长进程链,其中,长进程链包括多个具有调用关系的进程;以及分析模块303用于分析长进程链,以判断长进程链中是否包括安全威胁。
可选地,在一种实施例中,获取模块301在获取用户端在观测时间段内的进程信息时,具体执行的步骤包括:获取用户端在观测时间段内的日志;识别模块302包括:提取单元和拼接单元,其中,提取单元用于提取日志中的多个进程链,其中,进程链包括至少两个具有调用关系的进程,进程链的时间信息为进程链中第一个进程的时间戳或进程链中最后一个进程的时间戳;拼接单元用于将多个进程链中满足拼接条件的进程链进行拼接,以得到长进程链,其中,按照时间信息的先后关系对多个进程链排序后,若前一个进程链的后n个进程与后一个进程链中的前n个进程相同,则该两个进程链满足拼接条件,其中,n=1,2,3,..N,N为自然数。
可选地,在一种实施例中,拼接单元在将多个进程链中满足拼接条件的进程链进行拼接,以得到长进程链时,具体执行的步骤包括:步骤S1:按照时间信息的先后关系对进程链池中的进程链进行排序,以得到进程链序列;步骤S2:设置滑动时间窗的时长和滑动步长;步骤S3:在进程链序列中获取当前滑动时间窗内的进程链,以得到进程链组;步骤S4:在进程链组中,检查相邻的两个进程链是否满足拼接条件,其中,若相邻的两个进程链满足拼接条件,则执行步骤S5,若相邻的两个进程链不满足拼接条件,则执行步骤S7;步骤S5:将两个进程链拼接,得到拼接后的进程链,并将拼接后的进程链加入进程链组;步骤S6:判断拼接后的进程链的长度是否大于或等于长进程链阈值,其中,若拼接后的进程链的长度大于或等于长进程链阈值,执行步骤S7,若拼接后的进程链的长度小于长进程链阈值,并返回步骤S4;步骤S7:从进程链组选取长进程链,并以滑动步长滑动滑动时间窗后,返回至步骤S3。
可选地,在一种实施例中,在步骤S7中,从进程链组选取长进程链包括:去除进程链组中的冗余进程链,得到中间进程链组,其中,冗余进程链为进程链组中其他进程链的子链;以及从中间进程链组中选取长进程链。
可选地,在一种实施例中,N等于2。
可选地,在一种实施例中,分析模块包括:获取单元和分析单元,其中,获取单元用于获取长进程链中的最后一个进程,以得到尾进程;分析单元用于根据尾进程在安全实体知识图谱中的信息判断长进程链中是否包括安全威胁。
可选地,在一种实施例中,在分析模块分析长进程链,以判断长进程链中是否包括安全威胁的步骤之前,安全威胁的检测装置还包括:第一统计模块、第二统计模块和/或判断模块,其中,第一统计模块用于统计在观测时间段内,用户端出现长进程链的次数,其中,当用户端出现长进程链的次数大于次数阈值时,分析模块执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤;第二统计模块用于统计在观测时间段内,出现长进程链的用户端的个数,其中,当出现长进程链的用户端的个数大于个数阈值时,分析模块执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤;判断模块用于根据历史时间内用户端出现的长进程链在观测时间段内出现的长进程链判断长进程链的变化趋势是否异常,其中,当长进程链的变化趋势异常时,执行分析长进程链,以判断长进程链中是否包括安全威胁的步骤。
实施例五
本实施例五还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图4所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例三的安全威胁的检测装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如安全威胁的检测方法等。
实施例六
本实施例六还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储安全威胁的检测装置,被处理器执行时实现实施例一的安全威胁的检测方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种安全威胁的检测方法,其特征在于,包括:
获取用户端在观测时间段内的进程信息,其中,所述进程信息包括所述用户端在所述观测时间段内运行的进程和各进程之间的调用关系;
在所述进程信息中识别长进程链,其中,所述长进程链包括多个具有调用关系的进程;以及
分析所述长进程链,以判断所述长进程链中是否包括安全威胁。
2.根据权利要求1所述的安全威胁的检测方法,其特征在于,
获取用户端在观测时间段内的进程信息的步骤包括:获取云查杀日志中所述用户端在所述观测时间段内的日志;
在所述进程信息中识别长进程链的步骤包括:
提取所述日志中的多个进程链,其中,所述进程链包括至少两个具有调用关系的进程,所述进程链的时间信息为所述进程链中第一个进程的时间戳或所述进程链中最后一个进程的时间戳;
将多个所述进程链中满足拼接条件的进程链进行拼接,以得到所述长进程链,其中,按照所述时间信息的先后关系对多个所述进程链排序后,若前一个所述进程链的后n个进程与后一个所述进程链中的前n个进程相同,则两个所述进程链满足拼接条件,其中,n=1,2,3,..N,N为自然数。
3.根据权利要求2所述的安全威胁的检测方法,其特征在于,将多个所述进程链中满足拼接条件的进程链进行拼接,以得到所述长进程链的步骤包括:
步骤S1:按照所述时间信息的先后关系对进程链池中的进程链进行排序,以得到进程链序列;
步骤S2:设置滑动时间窗的时长和滑动步长;
步骤S3:在所述进程链序列中获取当前所述滑动时间窗内的所述进程链,以得到进程链组;
步骤S4:在所述进程链组中,检查相邻的两个所述进程链是否满足所述拼接条件,其中,若相邻的两个所述进程链满足所述拼接条件,则执行步骤S5,若相邻的两个所述进程链不满足所述拼接条件,则执行步骤S7;
步骤S5:将相邻的两个所述进程链拼接,得到拼接后的进程链,并将所述拼接后的进程链加入所述进程链组;
步骤S6:判断所述拼接后的进程链的长度是否大于或等于长进程链阈值,其中,若所述拼接后的进程链的长度大于或等于所述长进程链阈值,执行步骤S7,若所述拼接后的进程链的长度小于所述长进程链阈值,并返回步骤S4;
步骤S7:从所述进程链组选取所述长进程链,并以所述滑动步长滑动所述滑动时间窗后,返回至步骤S3。
4.根据权利要求3所述的安全威胁的检测方法,其特征在于,在所述步骤S7中,从所述进程链组选取所述长进程链包括:
去除所述进程链组中的冗余进程链,得到中间进程链组,其中,所述冗余进程链为所述进程链组中其他所述进程链的子链;以及
从所述中间进程链组中选取所述长进程链。
5.根据权利要求2所述的安全威胁的检测方法,其特征在于,N等于2。
6.根据权利要求1所述的安全威胁的检测方法,其特征在于,分析所述长进程链,以判断所述长进程链中是否包括安全威胁的步骤包括:
获取所述长进程链中的最后一个进程,以得到尾进程;
根据所述尾进程在安全实体知识图谱中的信息判断所述长进程链中是否包括安全威胁。
7.根据权利要求1所述的安全威胁的检测方法,其特征在于,在分析所述长进程链,以判断所述长进程链中是否包括安全威胁的步骤之前,所述安全威胁的检测方法还包括:
统计在所述观测时间段内,所述用户端出现所述长进程链的次数,其中,当所述用户端出现所述长进程链的次数大于次数阈值时,执行分析所述长进程链,以判断所述长进程链中是否包括安全威胁的步骤;和/或
统计在所述观测时间段内,出现所述长进程链的用户端的个数,其中,当出现所述长进程链的用户端的个数大于个数阈值时,执行分析所述长进程链,以判断所述长进程链中是否包括安全威胁的步骤;和/或
根据历史时间内所述用户端出现的所述长进程链在所述观测时间段内出现的所述长进程链判断所述长进程链的变化趋势是否异常,其中,当所述长进程链的变化趋势异常时,执行分析所述长进程链,以判断所述长进程链中是否包括安全威胁的步骤。
8.一种安全威胁的检测装置,其特征在于,包括:
获取模块,用于获取用户端在观测时间段内的进程信息,其中,所述进程信息包括所述用户端在所述观测时间段内运行的进程和各进程之间的调用关系;
识别模块,用于在所述进程信息中识别长进程链,其中,所述长进程链包括多个具有调用关系的进程;以及
分析模块,用于分析所述长进程链,以判断所述长进程链中是否包括安全威胁。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010765708.1A CN112003835B (zh) | 2020-08-03 | 2020-08-03 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010765708.1A CN112003835B (zh) | 2020-08-03 | 2020-08-03 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112003835A true CN112003835A (zh) | 2020-11-27 |
| CN112003835B CN112003835B (zh) | 2022-10-14 |
Family
ID=73463425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010765708.1A Active CN112003835B (zh) | 2020-08-03 | 2020-08-03 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112003835B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364766A (zh) * | 2021-06-03 | 2021-09-07 | 中国工商银行股份有限公司 | 一种apt攻击的检测方法及装置 |
| CN114338118A (zh) * | 2021-12-22 | 2022-04-12 | 北京未来智安科技有限公司 | 一种基于att&ck威胁检测的方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| CN107544832A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种虚拟机进程的监控方法、装置和系统 |
| CN109743315A (zh) * | 2018-05-04 | 2019-05-10 | 360企业安全技术(珠海)有限公司 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| US20190147163A1 (en) * | 2016-07-18 | 2019-05-16 | Crowdstrike, Inc. | Inferential exploit attempt detection |
| CN109815695A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 进程安全的检测方法、装置及设备 |
| US10425437B1 (en) * | 2017-11-27 | 2019-09-24 | Lacework Inc. | Extended user session tracking |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN111027064A (zh) * | 2019-09-27 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备 |
| CN111159520A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
-
2020
- 2020-08-03 CN CN202010765708.1A patent/CN112003835B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107544832A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种虚拟机进程的监控方法、装置和系统 |
| US20190147163A1 (en) * | 2016-07-18 | 2019-05-16 | Crowdstrike, Inc. | Inferential exploit attempt detection |
| CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
| US10425437B1 (en) * | 2017-11-27 | 2019-09-24 | Lacework Inc. | Extended user session tracking |
| CN109743315A (zh) * | 2018-05-04 | 2019-05-10 | 360企业安全技术(珠海)有限公司 | 针对网站的行为识别方法、装置、设备及可读存储介质 |
| CN109815695A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 进程安全的检测方法、装置及设备 |
| CN111027064A (zh) * | 2019-09-27 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备 |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN111159520A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 样本鉴定方法、装置及安全应急响应系统 |
Non-Patent Citations (2)
| Title |
|---|
| MOHAMED DAHMANE、SAMUEL FOUCHER: ""Combating Insider Threats by User Profiling from Activity Logging Data"", 《2018 1ST INTERNATIONAL CONFERENCE ON DATA INTELLIGENCE AND SECURITY (ICDIS)》 * |
| 阚泽亮: ""基于深度学习的PC恶意代码检测技术的研究与实现"", 《信息科技》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364766A (zh) * | 2021-06-03 | 2021-09-07 | 中国工商银行股份有限公司 | 一种apt攻击的检测方法及装置 |
| CN113364766B (zh) * | 2021-06-03 | 2022-09-27 | 中国工商银行股份有限公司 | 一种apt攻击的检测方法及装置 |
| CN114338118A (zh) * | 2021-12-22 | 2022-04-12 | 北京未来智安科技有限公司 | 一种基于att&ck威胁检测的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112003835B (zh) | 2022-10-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN112003835B (zh) | 安全威胁的检测方法、装置、计算机设备和存储介质 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| CN112347474B (zh) | 一种安全威胁情报的构建方法、装置、设备和存储介质 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN114124587B (zh) | 一种攻击链的处理方法、系统及电子设备 | |
| CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| CN112333168B (zh) | 一种攻击识别方法、装置、设备及计算机可读存储介质 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| Zali et al. | Real-time intrusion detection alert correlation and attack scenario extraction based on the prerequisite-consequence approach | |
| CN115664931A (zh) | 一种告警数据的关联方法、装置、存储介质及设备 | |
| CN114629723A (zh) | 一种攻击检测方法、装置及相关设备 | |
| CN110445799B (zh) | 入侵阶段的确定方法、装置及服务器 | |
| CN113972994B (zh) | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 | |
| CN110730165A (zh) | 数据处理方法及装置 | |
| CN118487872B (zh) | 一种面向核电行业的网络异常行为检测分析方法 | |
| CN114915544B (zh) | 网络多跳攻击链的识别方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |