CN113079151B - 一种异常处理方法、装置、电子设备及可读存储介质 - Google Patents
一种异常处理方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN113079151B CN113079151B CN202110327206.5A CN202110327206A CN113079151B CN 113079151 B CN113079151 B CN 113079151B CN 202110327206 A CN202110327206 A CN 202110327206A CN 113079151 B CN113079151 B CN 113079151B
- Authority
- CN
- China
- Prior art keywords
- information
- abnormal
- flow
- exception
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常处理方法、装置、电子设备及计算机可读存储介质,该方法包括:获取第一异常信息;第一异常信息为异常进程信息或异常流量信息;利用流量进程信息得到第一异常信息对应的第二异常信息;流量进程信息用于记录进程信息与流量信息之间的对应关系;利用目标异常信息进行异常处理;目标异常信息为第二异常信息,或者为第一异常信息和第二异常信息;通过流量进程信息可以实现进程角度异常检测和流量角度异常检测这二者之间的联动,在流量和进程其中一方检出异常时均可以从对另一方进行快速检出和处理,以便准确评估恶意程序对本身所处的电子设备的影响和对其他电子设备的影响,改善了安全防护效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种异常处理方法、异常处理装置、电子设备及计算机可读存储介质。
背景技术
为了进行网络攻击,攻击者通常在电子设备中设置恶意程序并运行,通过恶意程序的运行实现攻击目的。相关技术通常会对电子设备的网络流量进行检测,并在检测到异常时确定电子设备中存在恶意程序,进而对电子设备进行杀毒。然而,由于恶意程序通常会进行隐藏伪装,因此即便得知电子设备中存在恶意程序,也可能无法将其检出并查杀,因此相关技术的检出能力较弱。无法检出恶意程序,则无法评估其对电子设备本身和其他电子设备的影响,进而导致无法有效地进行查杀和溯源,安全防护效果较差。
因此,相关技术无法有效地进行查杀和溯源,安全防护效果较差的问题,是本领域技术人员需要解决的技术问题。
发明内容
有鉴于此,本申请的目的在于提供一种异常处理方法、异常处理装置、电子设备及计算机可读存储介质,可以利用流量进程信息检出异常进程和异常流量,通过检出异常进程,可以准确地检出恶意程序,同时检出该异常进程对应的异常流量,可以有效地进行查杀工作和溯源工作,改善安全防护效果。
为解决上述技术问题,本申请提供了一种异常处理方法,具体包括:
获取第一异常信息;所述第一异常信息为异常进程信息或异常流量信息;
利用流量进程信息得到所述第一异常信息对应的第二异常信息;所述流量进程信息用于记录进程信息与流量信息之间的对应关系;
利用目标异常信息进行异常处理;所述目标异常信息为所述第二异常信息,或者为所述第一异常信息和所述第二异常信息。
可选地,所述第一异常信息为第一异常进程信息,所述第二异常信息为第二异常流量信息,所述获取第一异常信息,包括:
获取终端设备发送的所述第一异常进程信息;
相应的,所述目标异常信息为所述第二异常信息,所述利用目标异常信息进行异常处理,包括:
对所述第二异常流量信息对应的异常流量进行异常流量处理。
可选地,所述第一异常信息为第一异常流量信息,所述第二异常信息为第二异常进程信息,所述获取第一异常信息,包括:
对各个网络流量进行异常数据检测,若检测到异常数据,则基于所述异常数据确定所述第一异常流量信息;
相应的,所述目标异常信息为所述第一异常信息和所述第二异常信息,所述利用目标异常信息进行异常处理,包括:
向终端设备发送所述第二异常进程信息,以便所述终端设备对所述第二异常进程信息对应的异常进程进行异常进程处理;
对所述第一异常流量信息对应的异常流量进行异常流量处理。
可选地,所述利用流量进程信息得到所述第一异常信息对应的第二异常信息,包括:
将所述流量进程信息中与所述第一异常流量信息对应的进程编号确定为初始进程编号;
利用所述初始进程编号筛选所述流量进程信息,得到所述初始进程编号对应的父子进程编号;
利用所述父子进程编号得到所述第一异常流量信息对应的父级进程信息和/或子级进程信息,并将所述父级进程信息和/或所述子级进程信息确定为所述第二异常进程信息;
还包括:
将所述父级进程信息和/或所述子级进程信息对应的父级网络流量信息和/或子级网络流量信息确定为所述第一异常流量信息。
可选地,所述向终端设备发送所述第二异常进程信息,以便所述终端设备对所述第二异常进程信息对应的异常进程进行异常进程处理,包括:
向所述终端设备发送所述第二异常进程信息,以便所述终端设备利用所述第二异常进程信息确定所述异常进程对应的目标数据,利用进程日志确定所述异常进程对应的异常操作,并基于所述目标数据和所述异常操作进行异常进程告警和/或处置。
可选地,所述对所述第一异常流量信息对应的异常流量进行异常流量处理,包括:
对所述异常流量进行阻断处理。
可选地,所述对所述第一异常流量信息对应的异常流量进行异常流量处理,包括:
识别所述异常流量中的异常网络行为;
确定所述异常网络行为对应的异常网络行为类型,并根据所述异常网络行为类型进行安全报警。
可选地,还包括:
利用流量日志确定所述异常流量对应的发送方信息或接收方信息;
利用所述发送方信息或所述接收方信息进行异常溯源分析,得到溯源结果。
可选地,所述流量进程信息的生成过程包括:
获取进程日志和流量日志;
对所述流量日志进行四元组信息提取处理,得到多个四元组信息;
利用所述四元组信息与所述进程日志相匹配,得到多个进程信息;
利用所述进程信息和对应的所述四元组信息生成所述流量进程信息。
本申请还提供了一种异常处理装置,包括:
第一异常信息获取模块,用于获取第一异常信息;所述第一异常信息为异常进程信息或异常流量信息;
第二异常信息获取模块,用于利用流量进程信息得到所述第一异常信息对应的第二异常信息;所述流量进程信息用于记录进程信息与流量信息之间的对应关系;
异常处理模块,用于利用目标异常信息进行异常处理;所述目标异常信息为第二异常信息,或者为第一异常信息和第二异常信息。
本申请还提供了一种电子设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的异常处理方法。
本申请还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的异常处理方法。
本申请提供的异常处理方法,获取第一异常信息;利用流量进程信息得到第一异常信息对应的第二异常信息;流量进程信息用于记录进程信息与流量信息之间的对应关系;利用目标异常信息进行异常处理;目标异常信息为第二异常信息,或者为第一异常信息和第二异常信息。可见,该方法中,流量进程信息用于记录进程信息与流量信息之间的对应关系,可以实现流量与进程二者之间的相互映射,进而实现进程角度异常检测和流量角度异常检测的联动。因此在获取到第一异常信息时,无论第一异常信息为可以表示检测到异常流量的第一异常流量信息,还是可以表示检测到异常进程的第一异常进程信息,都可以利用流量进程信息得到与第一异常信息对应的第二异常信息,第二异常信息的类型与第一异常信息不同。进而根据第一异常信息和第二异常信息的类型,选择二者同时进行异常处理或选择第二异常信息进行异常处理。通过流量进程信息可以实现进程角度异常检测和流量角度异常检测这二者之间的联动,在流量和进程其中一方检出异常时均可以从对另一方进行快速检出和处理,以便准确评估恶意程序对本身所处的电子设备的影响和对其他电子设备的影响,改善了安全防护效果,解决了相关技术无法有效地进行查杀和溯源,安全防护效果较差的问题。
此外,本申请还提供了一种异常处理装置、电子设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种异常处理方法流程图;
图2为本申请实施例提供的一种进程与网络流量的对应关系示意图;
图3为本申请实施例提供的一种异常处理装置的结构示意图;
图4为本申请实施例提供的一种异常处理方法所适用的一种硬件组成框架示意图;
图5为本申请实施例提供的另一种异常处理方法所适用的一种硬件组成框架示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例提供的一种异常处理方法流程图。该方法包括:
S101:获取第一异常信息。
需要说明的是,本实施例中的部分或全部步骤可以由网络安全设备执行,网络安全设备用于对网络流量进行异常检测;或者可以由终端响应防护设备(EndpointDetection and Response,EDR)执行,终端响应防护设备用于对进程进行异常检测。第一异常信息可以用于反映发现异常流量,即可以为异常流量信息,具体被称为第一异常流量信息;或者可以用于反映发现异常进程,即可以为异常进程信息,具体被称为第一异常进程信息。所述异常进程信息不仅可以包括异常的进程属性信息(比如,进程名称或标识、进程创建时间、进程状态、进程优先级、资源管理信息等),还可以包含该异常进程的父进程信息、子进程信息、该异常进程创建的注册表信息、修改的启动项信息和/或该异常进程对文件的操作信息等。
第一异常信息的数据形式不做限定,根据其数据类型的不同,第一异常信息的具体数据形式也可以不同例如可以为进程编号,或者可以为流量五元组信息或四元组信息。
根据本实施例的执行主体的不同,第一异常信息的获取方式也不同。在一种实施方式中,由网络安全设备执行本实施例中的各个步骤,由于网络安全设备能够对网络流量进行异常检测,因此第一异常流量信息可以在对网络流量进行异常流量检测时得到,而第一异常进程信息则需要通过接收终端相应防护设备发送的信息得到。在另一种实施方式中,由终端EDR执行本实施例中的各个步骤,由于终端EDR能够对本地的进程进行异常检测,因此第一异常进程信息可以在对进程进行异常进程检测时得到,而第一异常流量信息则需要通过接收网络安全设备发送的信息得到。本实施例并不限定异常进程检测的具体方式,例如在一种实施方式中,可以设定异常行为规则,并判断各个进程的进程行为是否符合异常行为规则,若符合,则确定检测到异常进程。相应的,本实施例也不限定异常流量检测的具体方式,例如可以利用训练好的神经网络模型对网络流量进行检测,得到检测结果,若检测结果为异常,则确定网络流量中含有异常流量。
S102:利用流量进程信息得到第一异常信息对应的第二异常信息。
需要说明的是,流量进程信息用于记录进程信息与流量信息之间的对应关系,实现进程与流量之间的联动,进而实现设备侧(即终端EDR)与网络侧(即网络安全设备)在异常检测和处置方面之间的联动。在得到第一异常信息后,利用其筛选流量进程信息,即可确定与第一异常信息对应的第二异常信息。可以理解的是,第一异常信息与第二异常信息的数据类型不同,二者分别为异常流量信息和异常进程信息,即当第一异常信息为第一异常进程信息时,对应的第二异常信息为第二异常流量信息;当第一异常信息为第一异常流量信息时,对应的第二异常信息为第二异常进程信息。本实施例并不限定流量进程信息的具体获取方式,例如可以在本地生成,或者可以从云端或其他电子设备处获取。
S103:利用目标异常信息进行异常处理。
在本实施例中,目标异常信息为第二异常信息,或者为第一异常信息和第二异常信息。根据第一异常信息类型的不同,进行异常处理所需的目标异常信息的具体内容也不同。由于网络安全设备仅能对网络侧的异常进行处置,即仅能对异常流量进行处理,而终端EDR仅能对终端侧的异常进行处理,即仅能对异常进程进行处理,因此根据第一异常信息和第二异常信息的数据类型选择目标异常信息。例如在一种具体的实施方式中,由网络安全设备执行本实施例中的步骤,第一异常信息为终端EDR发送的第一异常进程信息,第二异常信息为第二异常流量信息。在这种情况下,说明终端EDR已经检测到异常进程,不需要再次通知终端EDR存在异常进程,其可以直接进行相应的异常处理,因此目标异常信息可以确定为第二异常流量信息,以便对异常流量进行处理。在另一种实施方式中,同样由网络安全设备执行本实施例中的步骤,第一异常信息为进行异常流量检测得到的第一异常流量信息,第二异常信息为第二异常进程信息。在这种情况下,说明终端EDR并不知道其存在异常进行,需要通知终端EDR,因此目标异常信息可以确定为第一异常信息和第二异常信息,利用第一异常信息进行异常流量处理的同时,还利用第二异常信息通知终端EDR,以便终端EDR进程异常进程处理。利用流量进程信息,可以在流量和进程其中的任意一个角度检测到异常时快速确定另外一个角度的异常,实现网络侧和终端侧的联动,提高了异常检测和处理的能力。
应用本申请实施例提供的异常处理方法,流量进程信息用于记录进程信息与流量信息之间的对应关系,可以实现流量与进程二者之间的相互映射,进而实现进程角度异常检测和流量角度异常检测的联动。因此在获取到第一异常信息时,无论第一异常信息为可以表示检测到异常流量的第一异常流量信息,还是可以表示检测到异常进程的第一异常进程信息,都可以利用流量进程信息得到与第一异常信息对应的第二异常信息,第二异常信息的类型与第一异常信息不同。进而根据第一异常信息和第二异常信息的类型,选择二者同时进行异常处理或选择第二异常信息进行异常处理。通过流量进程信息可以实现进程角度异常检测和流量角度异常检测这二者之间的联动,在流量和进程其中一方检出异常时均可以从对另一方进行快速检出和处理,以便准确评估恶意程序对本身所处的电子设备的影响和对其他电子设备的影响,改善了安全防护效果,解决了相关技术无法有效地进行查杀和溯源,安全防护效果较差的问题。
基于上述实施例,本实施例将对上述实施例中的若干步骤进行具体阐述。在一种具体的实施方式中,当由网络安全设备执行本实施例中的步骤时,第一异常信息可以为第一异常进程信息,第二异常信息可以为第二异常流量信息。在这种情况下,获取第一异常信息的过程具体可以包括如下步骤:
步骤11:获取终端设备发送的第一异常进程信息;
由于网络安全设备仅能对网络流量进行异常检测,因此第一异常进程信息需要由终端设备发送,此时说明终端设备(即终端EDR)已经检测到存在异常进程。
相应的,目标异常信息为第二异常信息。利用目标异常信息进行异常处理的过程包括如下步骤:
步骤12:对第二异常流量信息对应的异常流量进行异常流量处理。
在利用第一异常进程信息得到对应的第二异常流量信息后,由于终端设备已经检测到异常进程,因此无需进行通知,将目标异常信息确定为第二异常信息,即第二异常流量信息,并将其对应的异常流量进行异常流量处理。本实施例并不限定异常流量处理的具体方式。
进一步,在一种具体的实施方式中,当由网络安全设备执行本实施例中的步骤时,第一异常信息可以为第一异常流量信息,第二异常信息可以为第二异常进程信息。在这种情况下,获取第一异常信息的过程具体可以包括如下步骤:
步骤21:对各个网络流量进行异常数据检测,若检测到异常数据,则基于异常数据确定第一异常流量信息。
在本实施例中,网络安全设备对途径自身的网络流量中的数据进行异常检测,并在检测到异常数据时确定其所处的网络流量为异常流量,进而将对应的异常流量信息确定为第一异常流量信息。本实施例并不限定异常数据检测的具体方式,例如可以设置有异常数据检测规则,利用检测规则与网络流量中的数据进行匹配,若匹配成功则确定检测到异常数据。
相应的,目标异常信息为第一异常信息和第二异常信息。利用目标异常信息进行异常处理的过程包括如下步骤:
步骤22:向终端设备发送第二异常进程信息,以便终端设备对第二异常进程信息对应的异常进程进行异常进程处理。
由于第一异常信息为第一异常流量信息,说明终端EDR并未检测到异常进程。为了起到较好的异常处理效果,可以向终端设备发送第二异常进程信息,以便其对异常进程进行异常进程处理,避免因异常进程的隐藏伪装能力较强而无法查杀。
具体的,在一种可行的实施方式中,为了能够安全地处理异常进程,向终端设备发送第二异常进程信息,以便终端设备对第二异常进程信息对应的异常进程进行异常进程处理的过程具体可以包括如下步骤:
步骤221:向终端设备发送第二异常进程信息,以便终端设备利用第二异常进程信息确定异常进程对应的目标数据,利用进程日志确定异常进程对应的异常操作,并基于目标数据和异常操作进行异常进程告警和/或处置。
需要说明的是,在本实施例中,目标数据可以包括异常文件数据和异常内存数据。其中,异常文件数据即为异常进程对应的文件数据,异常内存数据是指异常进程在运行时写入内存的数据,该部分数据有可能被用于对异常文件数据进行恢复,导致电子设备反复感染恶意程序。为了对异常进程的具体行为进行了解,可以确定其对应的异常操作。异常操作的具体内容不做限定,例如可以为文件生成操作、文件删除操作、注册表修改操作、启动项修改、新增或删除等操作。为了能够安全地处理异常进程,可以进行异常进程告警,具体的,利用目标数据和异常操作进行异常进程告警,可以使得用户清晰详细地了解异常进程的具体情况,以便根据实际需要对其进行处理。或者,可以直接对其进行处置,避免异常进程造成进一步的破坏,处置方式可以为隔离异常进程,或者可以为对异常进程进行查杀。
进一步的,在对异常进程进行查杀时,为了防止异常进程执行某些操作实现对恶意程序的保护,可以在确定其对应的异常操作后,在查杀异常进程时进行异常操作的恢复。具体的,在确定目标数据和异常操作后,为了彻底查杀恶意程序,可以清除目标数据,即删除异常进程对应的文件数据和其运行生成的内存数据,并对其异常操作进行恢复,即执行异常操作的反操作,并在恢复和清除完毕后关闭异常进程。通过该方式可以对恶意进程进行强力查杀,防止电子设备反复感染。
步骤23:对第一异常流量信息对应的异常流量进行异常流量处理。
需要说明的是,步骤23和步骤12的异常流量处理方式相同,本实施例并不限定具体采用哪一种异常流量处理方式,例如在一种可行的实施方式中,步骤23具体包括:
步骤231:对异常流量进行阻断处理。
通过对异常流量进行阻断,可以阻止异常流量继续传播,从网络侧进行安全防护。
在另一种可行的实施方式中,步骤23具体包括:
步骤232:识别异常流量中的异常网络行为。
本实施例并不限定对异常网络行为的具体检测方法,例如在一种可行的实施方式中,可以设定多个检测规则,利用异常流量对应的网络行为与检测规则进行匹配,在匹配成功时将该网络行为确定为异常网络行为。具体的,可以利用网络流量行为特征表示网络行为,网络流量行为特征可以包括网络上下行流量、连接时长、网络连接协议等信息,其具体内容不做限定。在进行匹配时,将网络流量行为特征与检测规则进行匹配,以实现网络行为与检测规则的匹配。在另一种实施方式中,可以利用训练好的异常网络行为检测模型对异常流量进行检测,根据对应的检测结果确定是否存在异常网络行为。
步骤233:确定异常网络行为对应的异常网络行为类型,并根据异常网络行为类型进行安全报警。
在识别异常网络行为后,确定其对应的异常网络行为类型,异常网络行为类型的确定方式不做限定,例如与异常网络行为的识别方式类似的,可以采用识别规则或者识别网络对异常网络行为类型进行确定。异常网络行为类型与恶意程序的类型具有对应关系,因此可以根据异常网络行为类型进行安全报警。具体的,若识别到异常流量中具有大量上行流量,则可以确定异常流量中存在异常网络行为,且该异常网络行为对应的异常网络行为类型为数据外发异常,因此进行数据外发风险报警。
进一步,基于上述实施例,在一种具体的实施方式中,异常进程可能存在父级进程和/或子级进程。由于父级进程可以引起异常进程,而子级进程可以由异常进程引起,因此可以确定父级进程和子级进程同样与恶意程序相关,因此利用流量进程信息得到第一异常信息对应的第二异常信息的过程具体可以包括:
步骤31:将流量进程信息中与第一异常流量信息对应的进程编号确定为初始进程编号。
在本实施例中,第一异常信息为第一异常流量信息。在另一种情况中,第一异常信息为第一异常进程信息,其数据形式可以为进程编号,在这种情况下,可以直接将第一异常进程信息中的进程编号确定为初始进程编号。在确定父级进程和子级进程之前,需要先确定筛选标准,筛选标准即为初始进程编号。
步骤32:利用初始进程编号筛选流量进程信息,得到初始进程编号对应的父子进程编号。
可以理解的是,父子进程编号可以包括父级进程的进程编号和子级进程的进程编号。
步骤33:利用父子进程编号得到第一异常流量信息对应的父级进程信息和/或子级进程信息,并将父级进程信息和/或子级进程信息确定为第二异常进程信息。
在一种具体的实施方式中,可以直接将父子进程编号确定为父级进程信息和/或子级进程信息,或者可以将父子进程编号对应的进程名称确定为父级进程信息和/或子级进程信息。
还包括:
步骤34:将父级进程信息和/或子级进程信息对应的父级网络流量信息和/或子级网络流量信息确定为第一异常流量信息。
由于父级进程和子级进程均与异常进程相关,因此其对应的父级网络流量和子级网络流量同样应当被当做异常流量处理,因此将其对应的父级网络流量信息和/或子级网络流量信息确定为第一异常流量信息。
基于上述实施例,可以理解的是,在利用流量进程信息确定异常进程和异常流量之前,可以在本地生成流量进程信息,以便异常处理时准确检出异常进程和异常流量。具体的,流量进程信息的生成过程包括:
步骤41:获取进程日志和流量日志。
进程日志用于记录电子设备各个进程有关的信息,具体可以包括进程标识信息、文件信息、操作信息、进程关系信息等,其具体内容可以根据实际需要进行设置。流量日志用于记录各个网络流量相关的信息,例如包括网络流量标识信息、网络连接协议信息、网络连接时长、网络流量内容特征等,其具体内容同样可以根据实际需要进行设置。本实施例并不限定进程日志和流量日志的具体获取时机,在一种实施方式中,可以按照预设周期获取,即按照预设周期更新流量进程信息,保证流量进程信息的准确性。在另一种实施方式中,可以在获取到生成指令时获取,生成指令可以由用户输入,或者可以由其他电子设备发送。
步骤42:对流量日志进行四元组信息提取处理,得到多个四元组信息。
可以理解的是,各个网络流量必然具有对应的四元组信息,其中包括源IP地址(IP地址,即Internet Protocol Address,互联网协议地址)、目的IP地址,源端口号和目的端口号。四元组信息可以对网络流量进行标识,各个网络流量的四元组信息均不相同,因此可以作为网络流量的流量标识信息。通过对流量日志进行四元组信息提取处理,可以得到当前所有网络流量对应的四元组信息。
步骤43:利用四元组信息与进程日志相匹配,得到多个进程信息。
由于进程运行时发送网络流量和/或收取网络流量,因此其运行过程中同样会涉及到四元组信息。因此在得到多个四元组信息后,为了确定进程与网络流量的对应关系,可以利用四元组信息与进程日志相匹配,得到多个进程信息,每个进程信息可以与至少一个四元组信息相对应。本实施例并不限定进程信息的具体内容,例如可以为进程编号,或者可以为进程名称。
步骤44:利用进程信息和对应的四元组信息生成流量进程信息。
在确定进程信息和四元组信息并确定其对应关系后,可以利用其生成流量进程信息。需要说明的是,上述生成方式仅为一种具体方式,还可以采用其他的生成方式生成流量进程信息。例如可以检测网络日志的生成时刻或接收时刻,并利用其在进程日志中匹配,将在生成时刻执行发送操作或在接收时刻执行接收操作的进程确定为网络流量对应的进程。可以理解的是,由于各个网络流量的四元组信息均不相同,且各个进程与网络流连的对象关系可以基于四元组信息毫无异议的得到,因此利用上述步骤得到的流量进程信息的可靠性和准确性更高。请参考图2,图2为本申请实施例提供的一种进程与网络流量的对应关系示意图。进程日志中记录了多个进程的信息,流量日志中记录了对应的多个网络流量的信息,通过流量日志中的四元组信息(即五元组信息中的部分内容)可以确定各个进程与各个网络流量之间的对应关系。
基于上述实施例,在一种可行的实施方式中,可以基于流量日志进行异常溯源,以便准确评估恶意程序对其他电子设备的影响。因此还可以包括如下步骤:
步骤51:利用流量日志确定异常流量对应的发送方信息或接收方信息。
步骤52:利用发送方信息或接收方信息进行异常溯源分析,得到溯源结果。
流量日志中可以记录异常流量对应的另外一方的信息,根据异常流量的类型不同,其对应的另外一方也不同。当异常流量为输入流量时,异常流量对应的另外一方为发送方;当异常流量为输出流量时,异常流量对应的另外一方为接收方。在确定异常流量后,可以根据流量日志确定对应的发送方信息或接收方信息,发送方信息或接收方信息可以为IP地址形式,或者可以为其他形式。在获取发送方信息或接收方信息后,可以基于此进行异常溯源分析,分析恶意程序的传播和通信过程,得到对应的溯源结果。通过溯源,可以有效地进行溯源,以便准确评估恶意程序对其他电子设备的影响,改善了安全防护效果。
下面对本申请实施例提供的异常处理装置进行介绍,下文描述的异常处理装置与上文描述的异常处理方法可相互对应参照。
请参考图3,图3为本申请实施例提供的一种异常处理装置的结构示意图,包括:
第一异常信息获取模块110,用于获取第一异常信息;第一异常信息为异常进程信息或异常流量信息;
第二异常信息获取模块120,用于利用流量进程信息得到所述第一异常信息对应的第二异常信息;所述流量进程信息用于记录进程信息与流量信息之间的对应关系;
异常处理模块130,用于利用目标异常信息进行异常处理;所述目标异常信息为第二异常信息,或者为第一异常信息和第二异常信息。
可选地,所述第一异常信息为第一异常进程信息,所述第二异常信息为第二异常流量信息,第一异常信息获取模块110,包括:
获取单元,用于获取终端设备发送的所述第一异常进程信息;
相应的,所述目标异常信息为所述第二异常信息,异常处理模块130,包括:
第一流量处理单元,用于对所述第二异常流量信息对应的异常流量进行异常流量处理。
可选地,所述第一异常信息为第一异常流量信息,所述第二异常信息为第二异常进程信息,第一异常信息获取模块110,包括:
异常数据检测单元,用于对各个网络流量进行异常数据检测,若检测到异常数据,则基于所述异常数据确定所述第一异常流量信息;
相应的,所述目标异常信息为所述第一异常信息和所述第二异常信息,异常处理模块130,包括:
发送单元,用于向终端设备发送所述第二异常进程信息,以便所述终端设备对所述第二异常进程信息对应的异常进程进行异常进程处理;
第二流量处理单元,用于对所述第一异常流量信息对应的异常流量进行异常流量处理。
可选地,第二异常信息获取模块120,包括:
初始进程编号确定单元,用于将所述流量进程信息中与所述第一异常流量信息对应的进程编号确定为初始进程编号;
父子进程编号获取单元,用于利用所述初始进程编号筛选所述流量进程信息,得到所述初始进程编号对应的父子进程编号;
确定单元,用于利用所述父子进程编号得到所述第一异常流量信息对应的父级进程信息和/或子级进程信息,并将所述父级进程信息和/或所述子级进程信息确定为所述第二异常进程信息;
还包括:
第一异常流量新增信息更新模块,用于将所述父级进程信息和/或所述子级进程信息对应的父级网络流量信息和/或子级网络流量信息确定为所述第一异常流量信息。
可选地,发送单元,包括:
信息发送子单元,用于向所述终端设备发送所述第二异常进程信息,以便所述终端设备利用所述第二异常进程信息确定所述异常进程对应的目标数据,利用进程日志确定所述异常进程对应的异常操作,并基于目标数据和异常操作进行异常进程告警和/或处置。
可选地,第二流量处理单元,包括:
阻断子单元,用于对所述异常流量进行阻断处理。
可选地,第二流量处理单元,包括:
行为识别子单元,用于识别所述异常流量中的异常网络行为;
报警子单元,用于确定所述异常网络行为对应的异常网络行为类型,并根据所述异常网络行为类型进行安全报警。
可选地,还包括:
信息提取模块,用于利用流量日志确定所述异常流量对应的发送方信息或接收方信息;
溯源分析模块,用于利用所述发送方信息或所述接收方信息进行异常溯源分析,得到溯源结果。
可选地,包括:
日志获取模块,用于获取进程日志和流量日志;
四元组信息提取模块,用于对所述流量日志进行四元组信息提取处理,得到多个四元组信息;
匹配模块,用于利用所述四元组信息与所述进程日志相匹配,得到多个进程信息;
生成模块,用于利用所述进程信息和对应的所述四元组信息生成所述流量进程信息。
下面对本申请实施例提供的电子设备进行介绍,下文描述的电子设备与上文描述的异常处理方法可相互对应参照。
请参考图4,图4为本申请实施例提供的一种异常处理方法所适用的一种硬件组成框架示意图。其中电子设备100可以包括处理器101和存储器102,还可以进一步包括多媒体组件103、信息输入/信息输出(I/O)接口104以及通信组件105中的一种或多种。
其中,处理器101用于控制电子设备100的整体操作,以完成上述的异常处理方法中的全部或部分步骤;存储器102用于存储各种类型的数据以支持在电子设备100的操作,这些数据例如可以包括用于在该电子设备100上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器102可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,SRAM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、只读存储器(Read-OnlyMemory,ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。在本实施例中,存储器102中至少存储有用于实现以下功能的程序和/或数据:
获取第一异常信息;
利用流量进程信息得到第一异常信息对应的第二异常信息;流量进程信息用于记录进程信息与流量信息之间的对应关系;
利用目标异常信息进行异常处理;目标异常信息为第二异常信息,或者为第一异常信息和第二异常信息。
多媒体组件103可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器102或通过通信组件105发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口104为处理器101和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件105用于电子设备100与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件105可以包括:Wi-Fi部件,蓝牙部件,NFC部件。
电子设备100可以被一个或多个应用专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、数字信号处理器(Digital Signal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field ProgrammableGate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例给出的异常处理方法。
当然,图4所示的电子设备100的结构并不构成对本申请实施例中电子设备的限定,在实际应用中电子设备100可以包括比图4所示的更多或更少的部件,或者组合某些部件。
可以理解的是,本申请实施例中并不对电子设备的数量进行限定,其可以是多个电子设备共同协作完成异常处理方法。在一种可能的实施方式中,请参考图5,图5为本申请实施例提供的另一种异常处理方法所适用的硬件组成框架示意图。由图5可知,该硬件组成框架可以包括:第一电子设备11和第二电子设备12,二者之间通过网络13连接。
在本申请实施例中,第一电子设备11与第二电子设备12的硬件结构可以参考图4中电子设备100。即可以理解为本实施例中具有两个电子设备100,两者进行数据交互。进一步,本申请实施例中并不对网络13的形式进行限定,即,网络13可以是无线网络(如WIFI、蓝牙等),也可以是有线网络。
其中,第一电子设备11和第二电子设备12可以是同一种电子设备,如第一电子设备11和第二电子设备12均为服务器;也可以是不同类型的电子设备,例如,第一电子设备11可以是终端响应防护设备(Endpoint Detection and Response,EDR)或网络安全检测设备,第二电子设备12可以是服务器。第一电子设备11和第二电子设备12之间的交互行为可以为:第一电子设备11获取第一异常信息,并将第一异常信息发送给第二电子设备12,由第二电子设备12执行后续步骤。
下面对本申请实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的异常处理方法可相互对应参照。
本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的异常处理方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语包括、包含或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种异常处理方法,其特征在于,包括:
获取第一异常信息;所述第一异常信息为异常进程信息或异常流量信息;所述异常流量信息通过网络安全设备对网络流量进行异常检测时得到,所述异常进程信息通过终端响应防护设备对进程进行异常检测得到;
利用流量进程信息得到所述第一异常信息对应的第二异常信息;所述流量进程信息用于记录进程信息与流量信息之间的对应关系,在流量和进程中的任意一个角度检测到异常时确定另外一个角度的异常,实现网络侧和终端侧的联动;若所述第一异常信息为所述异常进程信息则所述第二异常信息为所述异常流量信息,若所述第一异常信息为所述异常流量信息则所述第二异常信息为所述异常进程信息;
利用目标异常信息进行异常处理;所述目标异常信息为所述第一异常信息和所述第二异常信息。
2.根据权利要求1所述的异常处理方法,其特征在于,所述第一异常信息为第一异常进程信息,所述第二异常信息为第二异常流量信息,所述获取第一异常信息,包括:
获取终端设备发送的所述第一异常进程信息;
相应的,所述目标异常信息为所述第二异常信息,所述利用目标异常信息进行异常处理,包括:
对所述第二异常流量信息对应的异常流量进行异常流量处理。
3.根据权利要求1所述的异常处理方法,其特征在于,所述第一异常信息为第一异常流量信息,所述第二异常信息为第二异常进程信息,所述获取第一异常信息,包括:
对各个网络流量进行异常数据检测,若检测到异常数据,则基于所述异常数据确定所述第一异常流量信息;
相应的,所述目标异常信息为所述第一异常信息和所述第二异常信息,所述利用目标异常信息进行异常处理,包括:
向终端设备发送所述第二异常进程信息,以便所述终端设备对所述第二异常进程信息对应的异常进程进行异常进程处理;
对所述第一异常流量信息对应的异常流量进行异常流量处理。
4.根据权利要求3所述的异常处理方法,其特征在于,所述利用流量进程信息得到所述第一异常信息对应的第二异常信息,包括:
将所述流量进程信息中与所述第一异常流量信息对应的进程编号确定为初始进程编号;
利用所述初始进程编号筛选所述流量进程信息,得到所述初始进程编号对应的父子进程编号;
利用所述父子进程编号得到所述第一异常流量信息对应的父级进程信息和/或子级进程信息,并将所述父级进程信息和/或所述子级进程信息确定为所述第二异常进程信息;
还包括:
将所述父级进程信息和/或所述子级进程信息对应的父级网络流量信息和/或子级网络流量信息确定为所述第一异常流量信息。
5.根据权利要求3所述的异常处理方法,其特征在于,所述向终端设备发送所述第二异常进程信息,以便所述终端设备对所述第二异常进程信息对应的异常进程进行异常进程处理,包括:
向所述终端设备发送所述第二异常进程信息,以便所述终端设备利用所述第二异常进程信息确定所述异常进程对应的目标数据,利用进程日志确定所述异常进程对应的异常操作,并基于所述目标数据和所述异常操作进行异常进程告警和/或处置。
6.根据权利要求3所述的异常处理方法,其特征在于,所述对所述第一异常流量信息对应的异常流量进行异常流量处理,包括:
对所述异常流量进行阻断处理。
7.根据权利要求3所述的异常处理方法,其特征在于,所述对所述第一异常流量信息对应的异常流量进行异常流量处理,包括:
识别所述异常流量中的异常网络行为;
确定所述异常网络行为对应的异常网络行为类型,并根据所述异常网络行为类型进行安全报警。
8.根据权利要求2至7任一项所述的异常处理方法,其特征在于,还包括:
利用流量日志确定所述异常流量对应的发送方信息或接收方信息;
利用所述发送方信息或所述接收方信息进行异常溯源分析,得到溯源结果。
9.根据权利要求1所述的异常处理方法,其特征在于,所述流量进程信息的生成过程包括:
获取进程日志和流量日志;
对所述流量日志进行四元组信息提取处理,得到多个四元组信息;
利用所述四元组信息与所述进程日志相匹配,得到多个进程信息;
利用所述进程信息和对应的所述四元组信息生成所述流量进程信息。
10.一种异常处理装置,其特征在于,包括:
第一异常信息获取模块,用于获取第一异常信息;所述第一异常信息为异常进程信息或异常流量信息;所述异常流量信息通过网络安全设备对网络流量进行异常检测时得到,所述异常进程信息通过终端响应防护设备对进程进行异常检测得到;
第二异常信息获取模块,用于利用流量进程信息得到所述第一异常信息对应的第二异常信息;所述流量进程信息用于记录进程信息与流量信息之间的对应关系,在流量和进程中的任意一个角度检测到异常时确定另外一个角度的异常,实现网络侧和终端侧的联动;若所述第一异常信息为所述异常进程信息则所述第二异常信息为所述异常流量信息,若所述第一异常信息为所述异常流量信息则所述第二异常信息为所述异常进程信息;
异常处理模块,用于利用目标异常信息进行异常处理;所述目标异常信息为第一异常信息和第二异常信息。
11.一种电子设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至9任一项所述的异常处理方法。
12.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述的异常处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110327206.5A CN113079151B (zh) | 2021-03-26 | 2021-03-26 | 一种异常处理方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110327206.5A CN113079151B (zh) | 2021-03-26 | 2021-03-26 | 一种异常处理方法、装置、电子设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113079151A CN113079151A (zh) | 2021-07-06 |
CN113079151B true CN113079151B (zh) | 2023-05-16 |
Family
ID=76610550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110327206.5A Active CN113079151B (zh) | 2021-03-26 | 2021-03-26 | 一种异常处理方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113079151B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115686894A (zh) * | 2021-07-29 | 2023-02-03 | Oppo广东移动通信有限公司 | 异常处理方法、装置、计算机设备及存储介质 |
CN114422192B (zh) * | 2021-12-23 | 2024-03-29 | 武汉思普崚技术有限公司 | 一种用于网络安全设备的异常慢速流程检测方法及装置 |
CN115051833B (zh) * | 2022-05-12 | 2023-12-15 | 中国电子科技集团公司电子科学研究院 | 一种基于终端进程的互通网络异常检测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018099206A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
CN111193633A (zh) * | 2019-08-28 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 异常网络连接的检测方法及装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
KR101036750B1 (ko) * | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
CN104038929A (zh) * | 2014-05-09 | 2014-09-10 | 宇龙计算机通信科技(深圳)有限公司 | 网络访问异常识别方法和网络访问异常识别装置 |
CN107026767B (zh) * | 2017-03-30 | 2019-10-18 | 上海七牛信息技术有限公司 | 业务协议指标数据收集方法及系统 |
CN108400909B (zh) * | 2018-02-12 | 2020-10-02 | 腾讯科技(深圳)有限公司 | 一种流量统计方法、装置、终端设备和存储介质 |
CN111738467A (zh) * | 2020-08-25 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 一种运行状态异常检测方法、装置及设备 |
-
2021
- 2021-03-26 CN CN202110327206.5A patent/CN113079151B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018099206A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
CN111193633A (zh) * | 2019-08-28 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 异常网络连接的检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113079151A (zh) | 2021-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113079151B (zh) | 一种异常处理方法、装置、电子设备及可读存储介质 | |
US11550911B2 (en) | Multi-representational learning models for static analysis of source code | |
US9807120B2 (en) | Method and system for automated incident response | |
EP2955894B1 (en) | Deception network system | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
AU2015203086B2 (en) | Threat indicator analytics system | |
EP3264312A1 (en) | Model-based computer attack analytics orchestration | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
US20160014148A1 (en) | Web anomaly detection apparatus and method | |
CN110717183B (zh) | 病毒查杀方法、装置、设备及存储介质 | |
CN111831275B (zh) | 一种编排微场景剧本的方法、服务器、介质及计算机设备 | |
US11374946B2 (en) | Inline malware detection | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
CN106982188A (zh) | 恶意传播源的检测方法及装置 | |
CN114866361A (zh) | 一种检测网络攻击的方法、装置、电子设备及介质 | |
CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 | |
CN116566729B (zh) | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 | |
CN114070899B (zh) | 一种报文检测方法、设备及可读存储介质 | |
CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
JP6314036B2 (ja) | マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置 | |
CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
KR101754964B1 (ko) | 악성 행위 탐지 방법 및 시스템 | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
CN116170186A (zh) | 基于网络流量分析的攻击代码在线检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |