CN114329452A - 一种异常行为检测方法、装置及相关设备 - Google Patents
一种异常行为检测方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114329452A CN114329452A CN202111679343.1A CN202111679343A CN114329452A CN 114329452 A CN114329452 A CN 114329452A CN 202111679343 A CN202111679343 A CN 202111679343A CN 114329452 A CN114329452 A CN 114329452A
- Authority
- CN
- China
- Prior art keywords
- baseline
- behavior
- characteristic data
- process characteristic
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请公开了一种异常行为检测方法,包括采集进程相关日志;对所述进程相关日志进行解析,获得进程特征数据;利用预设行为基线对所述进程特征数据进行检测,获得检测结果;其中,所述预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。该异常行为检测方法可以有效提高服务器进程异常行为检测结果的准确性,进而保证系统安全。本申请还公开了一种行为基线创建方法、装置、异常行为检测装置、计算机设备以及计算机可读存储介质,均具上述有益效果。
Description
技术领域
本申请涉及终端安全技术领域,特别涉及一种异常行为检测方法,还涉及一种异常行为检测装置、行为基线创建方法、装置、计算机设备及计算机可读存储介质。
背景技术
在攻防场景下,终端,比如服务器会受到黑客攻击,攻击的过程一般都伴随着各种可疑的进程创建和进程调用。目前主流的检测方案是通过定义专家规则来对终端上运行的进程进行过滤,专家规则分为两种,一种是白规则,一种是黑规则。
黑规则是通过对已知的攻击行为进行分析,判断攻击过程中有哪些有别于白进程的行为特征,将这些特征组合起来形成一条规则,在检测阶段,用这些规则对所有进程进行过滤,如果命中规则,就认为是攻击行为;可以看到,规则的生成比较依赖专家的经验,如果设计不好,会导致白文件的行为被匹配到,产生误报。白规则是专家根据服务器执行的业务,判断什么样的进程可以被执行,将可以执行的进程抽象成对应的规则,不在规则运行范围内的进程不允许执行;可以看到,如果白规则设计的过于严格,会导致很多正常的文件无法执行,如果白规则设计的过于宽松,会导致很多黑文件绕过专家规则。
由此可见,基于专家规则的检测方法更加依赖于安全专家提取的规则质量,从客户侧的实际测试效果来看,存在误报高的问题;并且,如果是未知的0day攻击,则专家无法提前分析并且生成有效规则,检测效果有限。
因此,如何对服务器进程实现更为准确的异常行为检测是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种异常行为检测方法,该异常行为检测方法可以有效提高服务器进程异常行为检测结果的准确性,进而保证系统安全;本申请的另一目的是提供一种异常行为检测装置、行为基线创建方法、装置、计算机设备及计算机可读存储介质,均具有上述有益效果。
第一方面,本申请提供了一种异常行为检测方法,包括:
采集进程相关日志;
对所述进程相关日志进行解析,获得进程特征数据;
利用预设行为基线对所述进程特征数据进行检测,获得检测结果;其中,所述预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线
优选的,所述对所述进程相关日志进行解析,获得进程特征数据,包括以下至少之一:
对所述进程相关日志进行解析,获得进程调用关系;
对所述进程相关日志进行解析,获得进程组合信息;其中,所述进程组合信息包括资源访问行为信息和/或使用参数信息。
优选的,所述预设行为基线包括多个预设行为子基线,各所述预设行为子基线根据一种类型的进程特征数据训练得到;
相应地,所述利用预设行为基线对所述进程特征数据进行检测,获得检测结果,包括:
对所述进程特征数据进行类型识别,以从所述预设行为基线中确定预设行为子基线,基于确定的所述预设行为子基线对所述进程特征数据进行检测。
优选的,所述利用预设行为基线对所述进程特征数据进行检测,获得检测结果,包括:
当所述进程特征数据处于所述预设行为基线内时,确定当前创建进程不存在异常行为;
当所述进程特征数据未处于所述预设行为基线内时,确定所述当前创建进程存在所述异常行为。
第二方面,本申请提供了一种行为基线创建方法,包括:
构建进程行为基线以得到当前基线;
实时获取进程相关日志,并根据所述进程相关日志获得进程特征数据;
利用所述进程特征数据对所述当前基线进行学习训练,获得最终行为基线。
优选的,所述利用所述进程特征数据对所述当前基线进行学习训练,获得最终行为基线,包括:
当所述进程特征数据处于所述当前基线内时,继续基于新的进程特征数据执行训练操作,直至训练结束;
当所述进程特征数据未处于所述当前基线内时,基于所述进程特征数据更新所述当前基线,并继续基于新的进程特征数据执行训练操作,直至训练结束。可选地,当所述进程特征数据未处于所述当前基线内时,是否要基于当前的进程特征数据更新当前基线,可以增加人为确定的步骤,或者一些威胁检测引擎确定步骤,当确定结果表征当前进程特征数据为正常时,则更新当前基线。
优选的,所述进程特征包括以下至少之一:
进程调用关系;
进程组合信息;其中,所述进程组合信息包括资源访问行为信息和/或使用参数信息。
第三方面,本申请还公开了一种异常行为检测装置,包括:
日志采集模块,用于采集进程相关日志;
日志解析模块,用于对所述进程相关日志进行解析,获得进程特征数据;
行为检测模块,用于利用预设行为基线对所述进程特征数据进行检测,获得检测结果;其中,所述预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。
第四方面,本申请还公开了一种行为基线创建装置,包括:
初始基线构建模块,用于构建进程行为基线以得到当前基线;
实时特征获取模块,用于实时获取进程相关日志,并根据所述进程相关日志获得进程特征数据;
行为基线生成模块,用于利用所述进程特征数据对所述当前基线进行学习训练,获得最终行为基线。
第五方面,本申请还公开了一种计算机设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任一种异常行为检测方法的步骤和/或任一种行为基线创建方法的步骤。
第六方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种异常行为检测方法的步骤和/或任一种行为基线创建方法的步骤。
本申请所提供的一种异常行为检测方法,包括采集进程相关日志;对所述进程相关日志进行解析,获得进程特征数据;利用预设行为基线对所述进程特征数据进行检测,获得检测结果;其中,所述预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。
可见,本申请所提供的异常行为检测方法,通过进程的特征数据构建预设行为基线,以利用预设行为基线对服务器中的进程进行检测,从而确定进程是否存在异常行为,可见,该种实现方式摆脱了对专家规则的依赖,无需安全专家介入即可实现已知和未知攻击的检测,有效地提高了服务器进程异常行为检测结果的准确性,进一步保证了系统安全。
本申请所提供的一种异常行为检测装置、行为基线创建方法、装置、计算机设备及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种异常行为检测方法的流程示意图;
图2为本申请所提供的一种行为基线创建方法的流程示意图;
图3为本申请所提供的一种基于进程调用关系的行为基线创建方法的流程示意图;
图4为本申请所提供的一种基于进程调用关系的异常行为检测方法的流程示意图;
图5为本申请所提供的一种基于进程组合信息的异常行为检测方法的流程示意图;
图6为本申请所提供的一种异常行为检测装置的结构示意图;
图7为本申请所提供的一种行为基线创建装置的结构示意图;
图8为本申请所提供的一种计算机设备的结构示意图。
具体实施方式
本申请的核心是提供一种异常行为检测方法,该异常行为检测方法可以有效提高服务器进程异常行为检测结果的准确性,进而保证系统安全;本申请的另一核心是提供一种异常行为检测装置、行为基线创建方法、装置、计算机设备及计算机可读存储介质,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种异常行为检测方法。
请参考图1,图1为本申请所提供的一种异常行为检测方法的流程示意图,该异常行为检测方法可包括:
S101:采集进程相关日志;
本步骤旨在实现进程相关日志的采集,该进程相关日志即为终端(比如服务器)中各进程的日志信息,如进程在创建过程中或运行过程中所记录的日志信息,基于该日志信息即可实现对应进程的异常行为检测。具体而言,当需要对终端(比如服务器)中的进程进行异常行为检测时,技术人员可在前端发起检测指令;进一步,当终端(比如服务器)接收到检测指令时,即可进行进程相关日志的采集。
需要说明的是,除了上述由用户主动发起检测指令外,也可以是在监控到进程创建时自动触发检测指令,还可以是定时自动触发检测指令,可见,检测指令的发起方式并不唯一,根据实际需求进行设置即可,本申请对此不做限定。
S102:对进程相关日志进行解析,获得进程特征数据;
本步骤旨在实现进程相关日志解析,即在获得进程相关日志之后,对其进行解析,获得对应的进程特征数据。其中,进程特征数据是由技术人员预先指定类型的进程特征信息,用于实现对应进程的异常行为检测,如后文所述,通过预设行为基线对进程特征数据进行检测,即可获得检测结果。可以想到的是,一个进程对应的进程特征数据的数量可能为多个。
需要说明的是,上述进程特征数据可以为白特征,也可以为黑特征,具体特征类型由技术人员根据实际情况进行设定即可,本申请对此不做限定。可以想到的是,如果预设行为基线是基于白特征建立的基线模型,则上述进程特征数据为白特征;如果预设行为基线是基于黑特征建立的基线模型,则上述进程特征数据为黑特征。下述优选实施例提供了两种不同类型的进程特征数据。
作为一种优选实施例,上述对进程创建日志进行解析,获得进程特征数据,可以包括以下至少之一:
对进程相关日志进行解析,获得进程调用关系;
对进程相关日志进行解析,获得进程组合信息;其中,进程组合信息可以包括资源访问行为信息和/或使用参数信息。
在一种实现方式中,进程特征数据具体可以为进程调用关系,即服务器中所创建的各进程之间的调用关系,可以理解的是,在操作系统中,除了根进程,其他文件想要被执行起来,都需要依赖父进程帮助其申请资源,加载数据,由此形成父与子的进程关系,当子进程执行完毕后,会将所占用的资源还给父进程。在此基础上,可以通过对进程调用关系进行识别检测,以确定对应进程中是否存在异常行为,相对应的,用于对进程特征数据进行检测的预设行为基线则是基于进程调用关系构建获得。
在另一种实现方式中,进程特征数据具体可以为进程组合信息,其可以包括对应进程的资源访问行为信息和/或使用参数信息。其中,资源访问行为信息可以包括但不限于对应进程对服务器上网络资源的访问行为、对服务器端口资源的访问行为、对文件资源的访问行为等,使用参数信息则是指对应进程在执行过程中所使用到的参数信息。进一步,将这些信息组合起来,形成对应进程的组合信息,即上述进程组合信息。在此基础上,可以通过对进程组合关系进行识别检测,以确定对应进程中是否存在异常行为,相对应的,用于对进程特征数据进行检测的预设行为基线则是基于进程组合关系构建获得。
S103:利用预设行为基线对进程特征数据进行检测,获得检测结果;其中,预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。
本步骤旨在实现服务器进程中的异常行为检测,即确定服务器进程中是否存在异常行为。具体而言,在当前进程的进程创建日志中解析得到对应的进城特征数据之后,即可利用预设行为基线对其进行检测,从而获得相应的检测结果。其中,预设行为基线即为预先利用从各服务器进程对应的历史日志中提取得到的进程特征数据学习构建获得的基线模型,在对服务器进程进行异常行为检测时直接调用即可。
作为一种优选实施例,上述预设行为基线可以包括多个预设行为子基线,各预设行为子基线根据一种类型的进程特征数据训练得到;
相应地,上述利用预设行为基线对进程特征数据进行检测,获得检测结果,可以包括:对进程特征数据进行类型识别,以从预设行为基线中确定预设行为子基线,基于确定的预设行为子基线对进程特征数据进行检测。
如上所述,进程特征数据可能具有多种不同的类型,因此,为实现更为精准细化的异常行为检测,可以针对不同类型的进程特征数据设定不同的预设行为子基线,当然,预设行为子基线则是基于相应类型的进程特征数据训练获得,并且,所有的预设行为子基线组成上述预设行为基线。由此,在利用预设行为基线对解析得到的进程特征数据进行检测时,可以首先根据进程特征数据进行类型识别,以便于从预设行为基线中确定对应于该类型进程特征数据的预设行为子基线,然后利用确定的预设行为子基线对该进程特征数据进行识别,获得相应的识别结果。
作为一种优选实施例,上述利用预设行为基线对进程特征数据进行检测,获得检测结果,可以包括:当进程特征数据处于预设行为基线内时,确定当前创建进程不存在异常行为;当进程特征数据未处于预设行为基线内时,确定当前创建进程存在异常行为。
本优选实施例提供了利用预设基线模型检测进程特征数据的实现方法。具体而言,预设行为基线具体可以为基于白特征构建的基线模型,由此,如若当前创建进程的进程特征数据处于预设行为基线之内,说明该进程特征数据属于白特征,由此即可确定当前创建进程不存在异常行为;如若当前创建进程的进程特征数据未处于预设行为基线之内,说明该进程特征数据属于黑特征,由此即可确定当前创建进程存在异常行为。
当然,以上检测方法仅为本优选实施例所提供的一种实现方式,预设行为基线也可以为基于黑特征构建的基线模型,由此,如若当前创建进程的进程特征数据处于预设行为基线之内,说明该进程特征数据属于黑特征,由此即可确定当前创建进程存在异常行为;如若当前创建进程的进程特征数据未处于预设行为基线之内,说明该进程特征数据属于白特征,由此即可确定当前创建进程不存在异常行为。
作为一种优选实施例,该异常行为检测方法还可以包括:当进程特征数据未处于预设行为基线内时,输出进程特征数据和告警提示。
本优选实施例所提供的异常行为检测方法,还可以实现异常行为告警功能,即在确定当前创建进程的进程特征数据未处于预设行为基线内时,也即在确定当前创建进程存在异常行为时,即可输出进程特征数据和告警提示,其中,输出告警提示用于及时提醒技术人员当前创建进程存在异常行为,可能对服务器产生攻击,影响服务器的安全运行;输出进程特征数据则用于方便技术人员可以及时有效地确定存在异常行为的进程,并对其进行拦截,进而保证服务器的安全运行。
可见,本申请所提供的异常行为检测方法,通过进程的特征数据构建预设行为基线,以利用预设行为基线对服务器中的进程进行检测,从而确定进程是否存在异常行为,可见,该种实现方式摆脱了对专家规则的依赖,无需安全专家介入即可实现已知和未知攻击的检测,有效地提高了服务器进程异常行为检测结果的准确性,进一步保证了系统安全。
本申请实施例提供了一种行为基线创建方法。
请参考图2,图2为本申请所提供的一种行为基线创建方法的流程示意图,该行为基线创建方法可包括:
S201:构建进程行为基线以得到当前基线;
S202:实时获取进程相关日志,并根据进程相关日志获得进程特征数据;
S203:利用进程特征数据对当前基线进行学习训练,获得最终行为基线。
具体而言,以服务器为例,用于对服务器进程进行异常行为检测的行为基线可以基于进程特征数据构建获得。首先,构建初始行为基线,即上述当前基线,该当前基线可以为空,也可以不为空,不为空时说明当前基线已经包含有一些已知的进程特征数据。可以理解的是,初始行为基线为精准度较低的基线模型,在此基础上,还需要对其进行进一步的学习训练,以获得精准度较高的基线模型,即上述最终行为基线,因此,可以实时获取服务器中各进程的相关日志,并通过日志解析得到相应的进程特征数据;进一步,利用这些实时获取的、新的进程特征数据对当前基线进行学习训练,即可获得精准度更高的最终行为基线,以便于利用该最终行为基线对服务器进程进行异常行为检测。可以理解的是,当用于构建和训练当前基线的进程特征数据越多时,所获得的最终行为基线的精度越高,因此,为实现更多数量的进程特征数据的获取,可以对多台服务器进行数据采集,也就是说,可以获取多台服务器的进程相关日志,然后再对获得的所有日志数据进行特征提取处理。
其中,在获得多台服务器的进程相关日志之后,可以按照服务器进行日志划分,获得每台服务器对应的进程相关日志,然后依次对其进行特征提取获得对应服务器的进程特征数据,并利用所有的进程特征数据进行基线训练。由此,即可获得精度较高的行为基线。
作为一种优选实施例,上述利用进程特征数据对当前基线进行学习训练,获得最终行为基线,可以包括:当进程特征数据处于当前基线内时,继续基于新的进程特征数据执行训练操作,直至训练结束;当进程特征数据未处于当前基线内时,基于进程特征数据更新当前基线,并继续基于新的进程特征数据执行训练操作,直至训练结束。
本优选实施例以基于白特征构建行为基线为例,提供了一种对当前基线进行学习训练的实现方法,可以理解的是,基于白特征构建行为基线,其对应的当前基线内的进程特征数据也应当为白特征。在此基础上,在利用进程特征数据对当前基线进行学习训练时,如若进程特征数据处于当前基线内,也即进程特征数据命中当前基线内的进程特征数据,则无需对其进行处理,丢弃即可;如若进程特征数据未处于当前基线内,也即进程特征数据未命中当前基线内的进程特征数据,说明该进程特征数据为相对于当前基线的新的进程特征数据,此时,将该进程特征数据加入当前基线内即可,由此,实现当前基线的更新。以此类推,通过利用较大数量的进程特征数据对当前基线进行学习训练,即可得到较为稳定的行为基线。
作为一种优选实施例,上述进程特征可以包括以下至少之一:进程调用关系;进程组合信息;其中,进程组合信息包括资源访问行为信息和/或使用参数信息。
本优选实施例提供了两种不同类型的进程特征数据,即进程调用关系和进程组合信息,其中,进程调用关系是指服务器中所创建的各进程之间的调用关系;进程组合信息则可以包括对应进程的资源访问行为信息和/或使用参数信息。当然,进程特征数据的具体类型并不影响本技术方案的实施,由技术人员根据实际需求进行设置即可,本申请对此不做限定。
可见,本申请实施例所提供的行为基线创建方法,通过进程的特征数据构建预设行为基线,由此,即可以利用预设行为基线对服务器中的进程进行检测,从而确定进程是否存在异常行为,可见,该种实现方式摆脱了对专家规则的依赖,无需安全专家介入即可实现已知和未知攻击的检测,有效地提高了服务器进程异常行为检测结果的准确性,进一步保证了系统安全。
基于以上各实施例,本申请实施例提供了另一种异常行为检测方法,该异常行为检测方法包括如下三个阶段:
第一阶段、建立初始行为基线:
1、获取服务器日志,并从中提取进程相关日志;
2、对进程相关日志进行解析获得进程特征数据,并基于这些进程特征数据建立初始行为基线。
第二阶段、基线学习训练:
1、实时获取进程相关日志,并进行进程特征数据解析;
2、判断进程特征数据是否处于初始行为基线内,若否,则将其添加至初始行为基线,实现初始行为基线更新;若是,则丢弃该进程特征数据,直至获得相对稳定的行为基线。
第三阶段、基线部署运行:
1、采集进程相关日志,并进行进程特征数据解析;
2、判断进程特征数据是否处于预设行为基线内,若是,则说明当前进程不存在异常行为;若否,则提示异常。
以下以进程调用关系为例,对本申请实施例所提供的异常行为检测方法进行介绍。
首先,请参考图3,图3为本申请所提供的一种基于进程调用关系的行为基线创建方法的流程示意图,其具体实现流程如下:
(1)采集进程相关日志;
(2)对进程相关日志进行解析,获得进程调用关系;
(3)判断进程调用关系是否在初始基线内;
(4)当进程调用关系处于初始基线内时,删除该进程调用关系;
(5)当进程调用关系未处于初始基线内时,将该进程调用关系添加至初始基线,实现初始基线更新;
(6)返回(1)继续获取新的进程相关日志,直至获得稳定的行为基线。
进一步,请参考图4,图4为本申请所提供的一种基于进程调用关系的异常行为检测方法的流程示意图,其具体实现流程如下:
(1)采集进程相关日志;
(2)对进程相关日志进行解析,获得进程调用关系;
(3)判断进程调用关系是否在行为基线内;
(4)当进程调用关系未处于行为基线内时,确认存在异常行为,发出异常提示;
(5)当进程调用关系处于行为基线内时,确认不存在异常行为,结束检测流程。
以下以进程组合信息为例,对本申请实施例所提供的异常行为检测方法进行介绍。请参考图5,图5为本申请所提供的一种基于进程组合信息的异常行为检测方法的流程示意图,其具体实现流程可以包括:(1)日志获取阶段:获取系统内的原始日志;
(2)日志解析阶段:按照agent(如服务器)对原始日志进行划分,获得不同agent对应的原始日志;
(3)日志过滤阶段:依次处理每个agent的原始日志,从原始日志中过滤获得记录有各类数据信息的表格,如网络连接表、DNS表、进程创建表、端口监听表、文件操作表等,该表格中的数据信息可用于实现行为基线构建;
(4)进程组合信息提取阶段:基于各表格进行进程组合信息提取,例如,可以从网络连接表中提取获得网络连接信息,可以从端口监听表中提取获得端口监听信息,可以从DNS表中提取获得DNS域名信息,可以从文件操作表中提取获得文件操作信息,可以从进程创建表中提取获得命令信息;
(5)行为基线构建阶段:按照时间先后顺序依次读取每条数据,并判断该数据是否存在于初始行为基线内,若是,则丢弃该数据,若否,则将该数据添加至初始行为基线内,直至获得相对稳定的行为基线;
(6)异常行为检测阶段:采集进程相关日志,并通过特征数据提取获得进程组合信息;判断该进程组合信息是否存在于行为基线内,若是,则说明该进程不存在异常行为,若否,则说明该进程存在异常行为,输出异常提示。
可见,本申请实施例所提供的异常行为检测方法,通过进程的特征数据构建预设行为基线,以利用预设行为基线对服务器中的进程进行检测,从而确定进程是否存在异常行为,可见,该种实现方式摆脱了对专家规则的依赖,无需安全专家介入即可实现已知和未知攻击的检测,有效地提高了服务器进程异常行为检测结果的准确性,进一步保证了系统安全。
为解决上述技术问题,本申请还提供了一种异常行为检测装置,请参考图6,图6为本申请所提供的一种异常行为检测装置的结构示意图,该异常行为检测装置可包括:
日志采集模块1,用于采集进程相关日志;
日志解析模块2,用于对进程相关日志进行解析,获得进程特征数据;
行为检测模块3,用于利用预设行为基线对进程特征数据进行检测,获得检测结果;其中,预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。
可见,本申请实施例所提供的异常行为检测装置,通过进程的特征数据构建预设行为基线,以利用预设行为基线对服务器中的进程进行检测,从而确定进程是否存在异常行为,可见,该种实现方式摆脱了对专家规则的依赖,无需安全专家介入即可实现已知和未知攻击的检测,有效地提高了服务器进程异常行为检测结果的准确性,进一步保证了系统安全。
作为一种优选实施例,上述日志解析模块2可包括以下至少之一:
进程调用关系解析单元,用于对进程相关日志进行解析,获得进程调用关系;
进程组合信息解析单元,用于对进程相关日志进行解析,获得进程组合信息;其中,进程组合信息包括资源访问行为信息和/或使用参数信息。
作为一种优选实施例,预设行为基线可以包括多个预设行为子基线,各预设行为子基线根据一种类型的进程特征数据训练得到;
相应地,上述行为检测模块3可具体用于对进程特征数据进行类型识别,以从预设行为基线中确定预设行为子基线,基于确定的预设行为子基线对进程特征数据进行检测。
作为一种优选实施例,上述行为检测模块3可具体用于当进程特征数据处于预设行为基线内时,确定当前创建进程不存在异常行为;当进程特征数据未处于预设行为基线内时,确定当前创建进程存在异常行为。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
为解决上述技术问题,本申请还提供了一种行为基线创建装置,请参考图7,图7为本申请所提供的一种行为基线创建装置的结构示意图,该行为基线创建装置可包括:
初始基线构建模块4,用于构建进程行为基线以得到当前基线;
实时特征获取模块5,用于实时获取进程相关日志,并根据进程相关日志获得进程特征数据;
行为基线生成模块6,用于利用进程特征数据对当前基线进行学习训练,获得最终行为基线。
可见,本申请实施例所提供的行为基线创建装置,通过进程的特征数据构建预设行为基线,由此,即可以利用预设行为基线对服务器中的进程进行检测,从而确定进程是否存在异常行为,可见,该种实现方式摆脱了对专家规则的依赖,无需安全专家介入即可实现已知和未知攻击的检测,有效地提高了服务器进程异常行为检测结果的准确性,进一步保证了系统安全。
作为一种优选实施例,上述行为基线生成模块6可具体用于当进程特征数据处于当前基线内时,继续基于新的进程特征数据执行训练操作,直至训练结束;当进程特征数据未处于当前基线内时,基于进程特征数据更新当前基线,并继续基于新的进程特征数据执行训练操作,直至训练结束。
作为一种优选实施例,上述进程特征可以包括以下至少之一:进程调用关系;进程组合信息;其中,进程组合信息包括资源访问行为信息和/或使用参数信息。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
为解决上述技术问题,本申请还提供了一种计算机设备,请参考图8,图8为本申请所提供的一种计算机设备的结构示意图,该计算机设备可包括:
存储器10,用于存储计算机程序;
处理器20,用于执行计算机程序时可实现如上述任意一种异常行为检测方法的步骤和/或任一种行为基线创建方法的步骤。
对于本申请提供的系统的介绍请参照上述方法实施例,本申请在此不做赘述。
为解决上述问题,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种异常行为检测方法的步骤和/或任一种行为基线创建方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (11)
1.一种异常行为检测方法,其特征在于,包括:
采集进程相关日志;
对所述进程相关日志进行解析,获得进程特征数据;
利用预设行为基线对所述进程特征数据进行检测,获得检测结果;其中,所述预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。
2.根据权利要求1所述的异常行为检测方法,其特征在于,所述对所述进程相关日志进行解析,获得进程特征数据,包括以下至少之一:
对所述进程相关日志进行解析,获得进程调用关系;
对所述进程相关日志进行解析,获得进程组合信息;其中,所述进程组合信息包括资源访问行为信息和/或使用参数信息。
3.根据权利要求1所述的异常行为检测方法,其特征在于,所述预设行为基线包括多个预设行为子基线,各所述预设行为子基线根据一种类型的进程特征数据训练得到;
相应地,所述利用预设行为基线对所述进程特征数据进行检测,获得检测结果,包括:
对所述进程特征数据进行类型识别,以从所述预设行为基线中确定预设行为子基线,基于确定的所述预设行为子基线对所述进程特征数据进行检测。
4.根据权利要求1至3任意一项所述的异常行为检测方法,其特征在于,所述利用预设行为基线对所述进程特征数据进行检测,获得检测结果,包括:
当所述进程特征数据处于所述预设行为基线内时,确定当前创建进程不存在异常行为;
当所述进程特征数据未处于所述预设行为基线内时,确定所述当前创建进程存在所述异常行为。
5.一种行为基线创建方法,其特征在于,包括:
构建进程行为基线以得到当前基线;
实时获取进程相关日志,并根据所述进程相关日志获得进程特征数据;
利用所述进程特征数据对所述当前基线进行学习训练,获得最终行为基线。
6.根据权利要求5所述的行为基线创建方法,其特征在于,所述利用所述进程特征数据对所述当前基线进行学习训练,获得最终行为基线,包括:
当所述进程特征数据处于所述当前基线内时,继续基于新的进程特征数据执行训练操作,直至训练结束;
当所述进程特征数据未处于所述当前基线内时,基于所述进程特征数据更新所述当前基线,并继续基于新的进程特征数据执行训练操作,直至训练结束。
7.根据权利要求5或6所述的行为基线创建方法,其特征在于,所述进程特征包括以下至少之一:
进程调用关系;
进程组合信息;其中,所述进程组合信息包括资源访问行为信息和/或使用参数信息。
8.一种异常行为检测装置,其特征在于,包括:
日志采集模块,用于采集进程相关日志;
日志解析模块,用于对所述进程相关日志进行解析,获得进程特征数据;
行为检测模块,用于利用预设行为基线对所述进程特征数据进行检测,获得检测结果;其中,所述预设行为基线为根据历史日志中所提取的历史进程特征,训练得到的行为基线。
9.一种行为基线创建装置,其特征在于,包括:
初始基线构建模块,用于构建进程行为基线以得到当前基线;
实时特征获取模块,用于实时获取进程相关日志,并根据所述进程相关日志获得进程特征数据;
行为基线生成模块,用于利用所述进程特征数据对所述当前基线进行学习训练,获得最终行为基线。
10.一种计算机设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的异常行为检测方法的步骤和/或权利要求5至7任一项所述的行为基线创建方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的异常行为检测方法的步骤和/或权利要求5至7任一项所述的行为基线创建方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111679343.1A CN114329452A (zh) | 2021-12-31 | 2021-12-31 | 一种异常行为检测方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111679343.1A CN114329452A (zh) | 2021-12-31 | 2021-12-31 | 一种异常行为检测方法、装置及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114329452A true CN114329452A (zh) | 2022-04-12 |
Family
ID=81022365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111679343.1A Pending CN114329452A (zh) | 2021-12-31 | 2021-12-31 | 一种异常行为检测方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114329452A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN116910744A (zh) * | 2023-07-25 | 2023-10-20 | 上海合芯数字科技有限公司 | 变量访问管理方法、装置、计算机设备及存储介质 |
-
2021
- 2021-12-31 CN CN202111679343.1A patent/CN114329452A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114650187B (zh) * | 2022-04-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN116910744A (zh) * | 2023-07-25 | 2023-10-20 | 上海合芯数字科技有限公司 | 变量访问管理方法、装置、计算机设备及存储介质 |
| CN116910744B (zh) * | 2023-07-25 | 2024-04-12 | 上海合芯数字科技有限公司 | 变量访问管理方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108769077B (zh) | 一种网络安全溯源分析的方法及装置 | |
| CN106657057B (zh) | 反爬虫系统及方法 | |
| CN108734012B (zh) | 恶意软件识别方法、装置及电子设备 | |
| CN114329452A (zh) | 一种异常行为检测方法、装置及相关设备 | |
| CN106295348B (zh) | 应用程序的漏洞检测方法及装置 | |
| CN111049858B (zh) | 一种基于交叉验证的基线扫描漏洞去重方法、装置及设备 | |
| CN109450955B (zh) | 一种基于网络攻击的流量处理方法及装置 | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| CN109063433B (zh) | 虚假用户的识别方法、装置及可读存储介质 | |
| CN113507455B (zh) | 基于大数据的网络安全检测方法及系统 | |
| US20180004939A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored | |
| CN111404949A (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN109144831B (zh) | 一种app识别规则的获取方法及装置 | |
| CN113886814A (zh) | 一种攻击检测方法及相关装置 | |
| CN114124587B (zh) | 一种攻击链的处理方法、系统及电子设备 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| CN110719278A (zh) | 一种网络入侵数据的检测方法、装置、设备及介质 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| Guerra-Manzanares et al. | Time-frame analysis of system calls behavior in machine learning-based mobile malware detection | |
| CN109614382B (zh) | 一种应用的日志分割方法及装置 | |
| CN105701004B (zh) | 一种应用测试方法和装置 | |
| CN109598525B (zh) | 数据处理方法和装置 | |
| CN107633173B (zh) | 文件处理方法和装置 | |
| CN113055368B (zh) | 一种Web扫描识别方法、装置及计算机存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |