CN113283600B - 一种基于hook技术的安全事件状态分析方法 - Google Patents
一种基于hook技术的安全事件状态分析方法 Download PDFInfo
- Publication number
- CN113283600B CN113283600B CN202110521782.3A CN202110521782A CN113283600B CN 113283600 B CN113283600 B CN 113283600B CN 202110521782 A CN202110521782 A CN 202110521782A CN 113283600 B CN113283600 B CN 113283600B
- Authority
- CN
- China
- Prior art keywords
- event
- occurred
- hook
- events
- occurrence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Alarm Systems (AREA)
Abstract
本发明具体涉及一种基于HOOK技术的安全事件状态分析方法,以达到为人们的安全事件提供最佳的解决意见,同时可对正发生事件进行更好的防护的目的,一种基于HOOK技术的安全事件状态分析方法,包括以下步骤:步骤一:事件发生;步骤二:初步判断;步骤三:事件预警;步骤四:分布处理;步骤五:匹配类似事件;步骤六:已发生事件处理;步骤七:再次判断;步骤八:处理意见判断。
Description
技术领域
本发明具体涉及一种基于HOOK技术的安全事件状态分析方法。
背景技术
随着现代生活水平的逐步提高,人们所接触的东西越来越多样化,东西的多样化体现在人们的生活环境中与工作环境中,在这些环境当中,是必然存在安全事件,而这些安全事件的发生存在不同区别具体为:发生事件较短(已发生事件)与发生事件缓慢(正发生事件),其中正发生事件可以通过人们的预判以及防护进行处理,使得正发生事件发生结束后造成的结构可以处于人们可接受范围之内,但如果人力对正发生事件或已发生事件进行处理,会存在着考虑不周到,进而会出现正发生事件的结束发展向人们意见之外的方向,同时正发生事件也得不到最佳的解决意见,进而会给人们的生活或者工作带来不便。
如果可以对一种基于HOOK技术的安全事件状态分析方法进行设置,则可以帮助人们进行事件分析。
发明内容
本发明的目的在于针对现有技术的不足之处,提供一种基于HOOK技术的安全事件状态分析方法,以达到为人们的安全事件提供最佳的解决意见,同时可对正发生事件进行更好的防护的目的。
本发明的目的在于提供一种基于HOOK技术的安全事件状态分析方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于HOOK技术的安全事件状态分析方法,包括以下步骤:
步骤一:事件发生,对事件发生的现状进行记录,无论事件是已经结束发生或是处于发生中,均可进行记录;
步骤二:初步判断,根据事件发生现状判断其是否存在违规行为,此事件可为结束事件或是发生中事件,事件存在违规行为则执行步骤三,否则执行步骤四;
步骤三:事件预警,把事件提升为违规形态,并通过报警系统进行预判警,通过事件预警把初判发生中的事件的损失降到最低,达到快速处理事件的目的使得发生中事件处于可控范围内,并可对结束事件进行善后处理;
步骤四:分布处理,根据事件的现状进行进一步的分化,把事件分为已发生事件与正发生中事件,此步骤中无论是已发生事件还是正发生事件均进行到步骤五中;
步骤五:匹配类似事件,根据已发生事件或正发生的事件在HOOK记忆库中匹配类似已发生事件的事后处理结果以及正发生事件的结束结果,以发生事件匹配后进入步骤六中,正发生事件匹配后进入到步骤七中;
步骤六:已发生事件处理,根据HOOK记忆库中的类似事件,对已发生事件的处理结果进行确定,随后已发生事件可进入到步骤八中;
步骤七:再次判断,根据HOOK内部的类似事件,分析正发生事件的结果进行预判,判断正发生事件是否存在违规行为,如果是,则执行步骤三,则对正发生事件进行预警,否则进入到步骤八中;
步骤八:处理意见判断,根据HOOK记忆库对已发生事件以及正发生事件的预判以及处理意见,对已发生事件进行处理或正发生事件进行预判防护。
优选的,所述步骤三中预警系统可对工作人员发出预警信号,同时预警信号与预警系统进行对接,并预警系统可对预警信号传输事件发生地点。
优选的,所述步骤四中HOOK记忆库对正发生事件可持续跟进,HOOK记忆库根据不断完善的正发生事件,寻找类似度高的事件,去提供更佳的事件分析与处理意见。
优选的,所述HOOK记忆库中具有新事件储存模块,可对未匹配到类似案件的已发生事件或正发生事件进行储存,并人工对新型的已发生事件或正发生事件进行分析,把分析过程及结果输入到HOOK记忆库中。
优选的,所述步骤八中根据提供的意见正发生事件的意见多与以生发生事件的意见,其中按照正发生事件的最坏意见对正发生意见进行防护。
附图说明
图1为本发明事件处理流程示意图;
图2为本发明记忆库工作流程示意图。
具体实施方式:
对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于HOOK技术的安全事件状态分析方法,包括以下步骤:
步骤一:事件发生,对事件发生的现状进行记录,无论事件是已经结束发生或是处于发生中,均可进行记录;
事件可根据违规程度进行划分,并进行分析。
步骤二:初步判断,根据事件发生现状判断其是否存在违规行为,此事件可为结束事件或是发生中事件,事件存在违规行为则执行步骤三,否则执行步骤四;
步骤二中的结束事件则为已发生事件,其中发生中事件为正发生事件。
步骤三:事件预警,把事件提升为违规形态,并通过报警系统进行预判警,通过事件预警把初判发生中的事件的损失降到最低,达到快速处理事件的目的使得发生中事件处于可控范围内,并可对结束事件进行善后处理;
所述步骤三中预警系统可对工作人员发出预警信号,同时预警信号与预警系统进行对接,并预警系统可对预警信号传输事件发生地点。
步骤四:分布处理,根据事件的现状进行进一步的分化,把事件分为已发生事件与正发生中事件,此步骤中无论是已发生事件还是正发生事件均进行到步骤五中;
步骤四中HOOK记忆库对正发生事件可持续跟进,HOOK记忆库根据不断完善的正发生事件,寻找类似度高的事件,去提供更佳的事件分析与处理意见。
HOOK记忆库中具有新事件储存模块,可对未匹配到类似案件的已发生事件或正发生事件进行储存,并人工对新型的已发生事件或正发生事件进行分析,把分析过程及结果输入到HOOK记忆库中。
步骤五:匹配类似事件,根据已发生事件或正发生的事件在HOOK记忆库中匹配类似已发生事件的事后处理结果以及正发生事件的结束结果,以发生事件匹配后进入步骤六中,正发生事件匹配后进入到步骤七中;
步骤六:已发生事件处理,根据HOOK记忆库中的类似事件,对已发生事件的处理结果进行确定,随后已发生事件可进入到步骤八中;
步骤七:再次判断,根据HOOK内部的类似事件,分析正发生事件的结果进行预判,判断正发生事件是否存在违规行为,如果是,则执行步骤三,则对正发生事件进行预警,否则进入到步骤八中;
步骤八:处理意见判断,根据HOOK记忆库对已发生事件以及正发生事件的预判以及处理意见,对已发生事件进行处理或正发生事件进行预判防护。
步骤八中根据提供的意见正发生事件的意见多与以生发生事件的意见,其中按照正发生事件的最坏意见对正发生意见进行防护。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (5)
1.一种基于HOOK技术的安全事件状态分析方法,其特征在于,包括以下步骤:
步骤一:事件发生,对事件发生的现状进行记录,无论事件是已经结束发生或是处于发生中,均可进行记录;
步骤二:初步判断,根据事件发生现状判断其是否存在违规,此事件可为结束事件或是发生中事件,事件存在违规行为则执行步骤三,否则执行步骤四;
步骤三:事件预警,把事件提升为违规状态,并通过报警系统进行预警,通过事件预警把初判发生中的事件的损失降到最低,达到快速处理事件的目的使得发生中事件处于可控范围内,并可对结束事件进行善后处理;
步骤四:分布处理,根据事件的现状进行进一步的分化,把事件分为已发生事件与正发生中事件,此步骤中无论是已发生事件还是正发生事件均进行到步骤五中;
步骤五:匹配类似事件,根据已发生事件或正发生的事件在HOOK记忆库中匹配类似已发生事件的事后处理结果以及正发生事件的结束结果,已发生事件匹配后进入步骤六中,正发生事件匹配后进入到步骤七中;
步骤六:已发生事件处理,根据HOOK记忆库中的类似事件,对已发生事件的处理结果进行确定,随后已发生事件可进入到步骤八中;
步骤七:再次判断,根据HOOK内部的类似事件,分析正发生事件的结果进行预判,判断正发生事件是否存在违规行为,如果是,则执行步骤三,则对正发生事件进行预警,否则进入到步骤八中;
步骤八:处理意见判断,根据HOOK记忆库对已发生事件以及正发生事件的预判以及处理意见,对已发生事件进行处理或正发生事件进行预判防护。
2.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法,其特征在于:所述步骤三中预警系统可对工作人员发出预警信号,同时预警系统与报警系统进行对接,并且预警系统可对报警系统传输事件发生地点。
3.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法,其特征在于:所述步骤五中HOOK记忆库对正发生事件可持续跟进,HOOK记忆库根据不断完善的正发生事件,寻找类似度高的事件,去提供更佳的事件分析与处理意见。
4.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法,其特征在于:所述HOOK记忆库中具有新事件储存模块,可对未匹配到类似案件的已发生事件或正发生事件进行储存,并人工对新型的已发生事件或正发生事件进行分析,把分析过程及结果输入到HOOK记忆库中。
5.如权利要求1所述的一种基于HOOK技术的安全事件状态分析方法,其特征在于:所述步骤八中,根据HOOK记忆库中提供的处理意见,若正发生事件的意见多于已生发生事件的意见,则,按照正发生事件的最坏意见对正发生事件进行防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110521782.3A CN113283600B (zh) | 2021-05-13 | 2021-05-13 | 一种基于hook技术的安全事件状态分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110521782.3A CN113283600B (zh) | 2021-05-13 | 2021-05-13 | 一种基于hook技术的安全事件状态分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113283600A CN113283600A (zh) | 2021-08-20 |
CN113283600B true CN113283600B (zh) | 2023-10-03 |
Family
ID=77279090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110521782.3A Active CN113283600B (zh) | 2021-05-13 | 2021-05-13 | 一种基于hook技术的安全事件状态分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113283600B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0304620D0 (en) * | 2003-02-28 | 2003-04-02 | Bae Systems Plc | Apparatus for detecting abnormal operating condition of an external feature of an aircraft |
CN101777951A (zh) * | 2009-12-30 | 2010-07-14 | 中兴通讯股份有限公司 | 一种数据监测的方法和系统 |
CN106294092A (zh) * | 2016-08-17 | 2017-01-04 | Tcl移动通信科技(宁波)有限公司 | 一种基于本体知识库的半自动日志分析方法及系统 |
WO2017107734A1 (zh) * | 2015-12-21 | 2017-06-29 | 中国银联股份有限公司 | 一种金融终端安全防护方法及系统 |
CN107465691A (zh) * | 2017-09-14 | 2017-12-12 | 西安电子科技大学 | 基于路由器日志分析的网络攻击检测系统及检测方法 |
CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
CN110351287A (zh) * | 2019-07-17 | 2019-10-18 | 江苏南工科技集团有限公司 | 一种基于区块链技术的移动应用安全分析方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2305313C1 (ru) * | 2005-12-27 | 2007-08-27 | Яков Аркадьевич Горбадей | Способ я.а. горбадея обеспечения надежной работы программного вычислительного средства |
JP2018060332A (ja) * | 2016-10-04 | 2018-04-12 | 富士通株式会社 | インシデント分析プログラム、インシデント分析方法、情報処理装置、サービス特定プログラム、サービス特定方法及びサービス特定装置 |
-
2021
- 2021-05-13 CN CN202110521782.3A patent/CN113283600B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0304620D0 (en) * | 2003-02-28 | 2003-04-02 | Bae Systems Plc | Apparatus for detecting abnormal operating condition of an external feature of an aircraft |
CN101777951A (zh) * | 2009-12-30 | 2010-07-14 | 中兴通讯股份有限公司 | 一种数据监测的方法和系统 |
WO2017107734A1 (zh) * | 2015-12-21 | 2017-06-29 | 中国银联股份有限公司 | 一种金融终端安全防护方法及系统 |
CN106294092A (zh) * | 2016-08-17 | 2017-01-04 | Tcl移动通信科技(宁波)有限公司 | 一种基于本体知识库的半自动日志分析方法及系统 |
CN107465691A (zh) * | 2017-09-14 | 2017-12-12 | 西安电子科技大学 | 基于路由器日志分析的网络攻击检测系统及检测方法 |
CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
CN110351287A (zh) * | 2019-07-17 | 2019-10-18 | 江苏南工科技集团有限公司 | 一种基于区块链技术的移动应用安全分析方法 |
WO2021008560A1 (zh) * | 2019-07-17 | 2021-01-21 | 江苏南工科技集团有限公司 | 一种基于区块链技术的移动应用安全分析方法 |
Non-Patent Citations (2)
Title |
---|
Implementation of program behavior anomaly detection and protection using hook technology;Jianfang Shen 等;《2009 WRI International Conference on Communications and Mobile Computing》;全文 * |
基于网民行为的网络恐怖事件评测与应急模型研究;余辉 等;《情报科学》;第37卷(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113283600A (zh) | 2021-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107508831B (zh) | 一种基于总线的入侵检测方法 | |
CN109871764A (zh) | 一种异常行为识别方法、装置及存储介质 | |
CN109784668B (zh) | 一种用于电力监控系统异常行为检测的样本特征降维处理方法 | |
CN111639552A (zh) | 一种施工现场安全帽佩戴检测方法及系统 | |
CN111786986B (zh) | 一种数控系统网络入侵防范系统及方法 | |
CN113283600B (zh) | 一种基于hook技术的安全事件状态分析方法 | |
CN115348080A (zh) | 基于大数据的网络设备脆弱性综合分析系统及方法 | |
CN115567235A (zh) | 一种网络安全应急处置系统及应用方法 | |
CN113569254A (zh) | 一种高安全型网络信息防护系统及其防护方法 | |
CN117240594A (zh) | 一种多维度网络安全运维防护管理系统及方法 | |
CN111880475A (zh) | 用于数控机床的防撞机控制方法、控制系统及数控机床 | |
CN112911255B (zh) | 建筑工地安全状态检测系统 | |
CN202404694U (zh) | 分布式光纤传感应用系统自适应型扰动信号识别模块 | |
CN115037536A (zh) | 基于大数据的安防信息管理用防数据丢失的预警平台 | |
CN112953891A (zh) | 一种电力运维多层次网络安全监测预警系统 | |
CN111881733A (zh) | 一种工人作业工步规范视觉识别判定与指导方法和系统 | |
CN112887288B (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描系统 | |
Li | Research and Design of Network Intrusion Detection System | |
CN117132438B (zh) | 安全生产管理方法、系统及设备 | |
CN114745200B (zh) | 一种基于恶意代码动态取证模型的恶意代码检测方法 | |
CN115001821A (zh) | 一种基于usb通讯的数控机床用通讯安全防护系统 | |
CN113746669B (zh) | 一种基于脉冲反射波检测的物理入侵设备定位方法及系统 | |
CN113569637A (zh) | 一种基于物联网的人员轨迹定位监管系统 | |
CN114913638B (zh) | 一种基于互联网的消防门禁管理方法及系统 | |
CN114564722A (zh) | 基于命令执行时间规则的ems系统防数据泄露访问方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information | ||
CB03 | Change of inventor or designer information |
Inventor after: Chen Junhua Inventor after: Wu Xuefeng Inventor after: Xia Ming Inventor before: Wu Xuefeng Inventor before: Chen Junhua Inventor before: Xia Ming |
|
GR01 | Patent grant | ||
GR01 | Patent grant |