CN114760117A - 数据采集方法、装置及电子设备 - Google Patents

数据采集方法、装置及电子设备 Download PDF

Info

Publication number
CN114760117A
CN114760117A CN202210334551.6A CN202210334551A CN114760117A CN 114760117 A CN114760117 A CN 114760117A CN 202210334551 A CN202210334551 A CN 202210334551A CN 114760117 A CN114760117 A CN 114760117A
Authority
CN
China
Prior art keywords
acquisition
data
strategy
information
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210334551.6A
Other languages
English (en)
Inventor
陈之望
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202210334551.6A priority Critical patent/CN114760117A/zh
Publication of CN114760117A publication Critical patent/CN114760117A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Abstract

本申请提供了一种数据采集方法、装置及电子设备,所述方法包括:获取终端第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;基于所述更新后的第一采集策略进行数据采集,得到第二采集数据,通过终端实时的运行信息对采集策略进行更新,使得采集到的第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。

Description

数据采集方法、装置及电子设备
技术领域
本申请涉及网络安全技术领域,涉及但不限于一种数据采集方法、装置及电子设备。
背景技术
目前终端检测与响应(EDR,Endpoint Detection and Response)和可扩展的检测和响应(XDR,Extended Detection and Response)检测平台采用网络提供软件服务(SaaS,Software-as-a-Service)化模式部署,将多源安全遥测数据采集上报至云端数据库统一存储,通过云端数据分析系统对遥测数据进行持续的关联分析、威胁检测、威胁狩猎和自动化处置响应,以应对日益严重的高级威胁攻击事件。
相关技术中终端遥测数据采集主要有两种方案:一种采集方案是终端全量采集遥测数据上报云端,存在缺点:终端遥测数据量巨大,对网络带宽、数据库存储和海量数据分析系统挑战较大,整个平台成本较高无法有效控制。另一种采集方案是终端遥测数据过滤后再上报云端,存在缺点:目前过滤方法都是采用一刀切的先全量采集后再进行过滤方案,全量采集对性能和业务的影响始终存在,而且一刀切过滤可能会导致威胁事件漏报。
发明内容
有鉴于此,本申请实施例为解决现有技术中存在的问题而提供一种数据采集方法、装置、设备及计算机可读存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种数据采集方法,包括:
获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;
获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;
基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
在一些实施例中,所述基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略,包括:
根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略;和/或,
根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略;和/或,
根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略;
根据所述调整后的第一子策略和/或所述调整后的第二子策略和/或所述调整后的第三子策略,确定更新后的第一采集策略。
在一些实施例中,所述根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略,包括:
获取参考性能信息和所述参考性能信息对应的第一参考子策略;所述参考性能信息包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息;所述第一参考子策略包括第一参考采集类型和/或第一参考采集量;所述第一子策略包括第一采集类型和/或第一采集量;
根据所述性能信息和所述参考性能信息,确定所述第一采集类型的调整值和/或所述第一采集量的调整值;
基于所述第一采集类型的调整值和/或所述第一采集量的调整值,对所述第一采集类型和/或所述第一采集量进行调整,得到调整后的第一子策略。
在一些实施例中,所述根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略,包括:
获取所述业务信息对应的临界性能信息;所述临界性能信息为确保所述业务信息能够正常运行时占用的最少性能信息;所述第二子策略包括第二采集类型和/或第二采集量;
根据所述临界性能信息和所述性能信息,确定所述第二采集类型的调整值和/或所述第二采集量的调整值;
基于所述第二采集类型的调整值和/或所述第二采集量的调整值,对所述第二采集类型和/或所述第二采集量进行调整,得到调整后的第二子策略。
在一些实施例中,所述根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略,包括:
对所述进程信息进行风险评估,得到风险评估结果;所述第三子策略包括第三采集类型和/或第三采集量;
根据所述风险评估结果确定所述第三采集类型的调整值和/或所述第三采集量的调整值;
基于所述第三采集类型的调整值和/或所述第三采集量的调整值,对所述第三采集类型和/或所述第三采集量进行调整,得到调整后的第三子策略。
在一些实施例中,所述对所述进程信息进行风险评估,得到风险评估结果,包括:
获取预设的评估引擎,所述预设的评估引擎至少包括人工智能AI引擎、异常检测引擎和行为规则引擎;
根据所述进程信息确定所述进程信息对应的进程行为图上下文;
根据所述AI引擎、所述异常检测引擎和所述行为规则引擎,对所述进程行为图上下文进行风险评估,得到风险评估结果。
在一些实施例中,所述方法还包括:
将所述第一采集数据和所述第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述终端的威胁攻击事件。
本申请实施例提供一种数据采集装置,包括:
第一获取模块,用于获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;
第二获取模块,用于获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
更新模块,用于基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;
采集模块,用于基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
本申请实施例提供一种电子设备,包括:
监控采集模块,用于采集第一采集数据,所述第一采集数据由所述电子设备基于第一采集策略采集得到;
调度模块,用于将所述第一采集数据发送至决策模块;
决策模块,用于基于所述电子设备在当前时刻的运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
所述调度模块,还用于将所述更新后的第一采集策略发送至所述监控采集模块,以使所述监控采集模块基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
在一些实施例中,所述电子设备还包括:
上报模块,用于将所述监控采集模块采集的第一采集数据和第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述电子设备的威胁攻击事件。
本申请实施例提供另一种电子设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本申请实施例提供的数据采集方法。
本申请实施例提供一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行时,实现本申请实施例提供的数据采集方法。
在本申请实施例提供的数据采集方法中,首先获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。本申请实施例通过终端实时的运行信息对采集策略进行更新,使得采集到的第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。
附图说明
图1为本申请实施例提供的数据采集方法的一种实现流程示意图;
图2为本申请实施例提供的数据采集方法的另一种实现流程示意图;
图3a为本申请实施例提供的数据采集方法中对第一采集策略包括的第一子策略进行调整的一种实现流程示意图;
图3b为本申请实施例提供的数据采集方法中对第一采集策略包括的第二子策略进行调整的一种实现流程示意图;
图3c为本申请实施例提供的数据采集方法中对第一采集策略包括的第三子策略进行调整的一种实现流程示意图;
图4为本申请实施例提供的数据采集方法的再一种实现流程示意图;
图5为本申请实施例提供的终端遥测数据智能采集方案的总体设计示意图;
图6为本申请实施例提供的数据采集装置的一种组成结构示意图;
图7为本申请实施例提供的电子设备的一种组成结构示意图;
图8为本申请实施例提供的电子设备的另一种组成结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
1)终端检测与响应(EDR)平台,是一套终端安全解决方案,方案由云端、轻量级的端点安全软件(Agent)和管理平台软件(MGR)共同组成。云端主要负责平台的升级、病毒库的升级、云查杀。MGR负责管理维护所有Agent终端。支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持对安全事件的一键隔离处置,以及热点事件控制反转的全网威胁定位。Agent端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。
2)扩展检测和响应(XDR)平台,是一个统一的安全事件检测和响应平台,它自动收集和关联来自多个专有安全组件的数据。
3)Windows事件跟踪(ETW,Event Tracing for Windows),ETW提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制,为开发者提供了一套快速、可靠、通用的一系列事件跟踪特性。
下面结合附图和具体实施例对本申请的技术方案进一步详细阐述。
图1为本申请实施例提供的数据采集方法的一种实现流程示意图,应用于数据采集装置,如图1所示,该数据采集方法包括以下步骤:
步骤S101,获取第一采集数据。
这里,第一采集数据由终端基于第一采集策略采集得到。该步骤可以由终端中的数据采集装置执行。终端基于第一采集策略采集第一采集数据,可以将其传输至服务端,以使服务端根据第一采集数据和之前多次采集的数据确定终端是否受到威胁攻击事件的威胁攻击。
步骤S102,获取所述终端在当前时刻的运行信息。
这里运行信息包括以下至少一个:性能信息、业务信息和进程信息。
其中,性能信息可以包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息。业务信息为终端当前执行的业务的相关信息。进程信息为终端当前运行的所有进程的信息。
步骤S103,基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略。
终端根据第一采集数据的数据类型和/或数据量以及终端当前时刻的运行信息,确定采集第一采集数据时所采用的第一采集策略是否与终端实时状态相匹配,若不匹配,根据运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略。
步骤S104,基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
得到更新后的第一采集策略后,控制终端基于更新后的第一采集策略进行数据采集得到第二采集数据。由于第二采集数据是考虑终端实时的运行信息采集到的数据,使得第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。
在一些实施例中,终端采集到第二采集数据后,将其传输至服务端,以使服务端根据上次采集的第一采集数据、此次采集的第二采集数据和之前多次采集的数据确定终端是否受到威胁攻击事件的威胁攻击。
在一些实施例中,步骤S104执行完成后,当需要继续采集时,将第二采集数据作为新的第一采集数据,将更新后的第一采集策略作为新的第一采集策略,重复执行上述步骤S102至步骤S104,以实现持续采集,从而实现服务端对终端的持续监控。
本申请实施例提供的数据采集方法,首先获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。通过终端实时的运行信息对采集策略进行更新,使得采集到的第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。
在图1所示实施例的基础上,本申请实施例再提供一种数据采集方法。图2为本申请实施例提供的数据采集方法的另一种实现流程示意图,如图2所示,该方法包括以下步骤:
步骤S201,获取第一采集数据。
该第一采集数据由终端基于第一采集策略采集得到。该步骤可以由终端中的数据采集装置执行。终端基于第一采集策略采集到第一采集数据后,可以将其传输至服务端,以使服务端根据第一采集数据和之前多次采集的数据确定终端是否受到威胁攻击事件的威胁攻击。
步骤S202,获取所述终端在当前时刻的运行信息。
这里运行信息包括以下至少一个:性能信息、业务信息和进程信息。
其中,性能信息可以包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息。业务信息为终端当前执行的业务的相关信息。进程信息为终端当前运行的所有进程的信息。
下述步骤S203至步骤S206为图1所示实施例中步骤S103的一种实现方式。步骤S203至步骤S205可以只执行其中任意一个步骤,也可以同时执行其中任意两个步骤,还可以同时执行该三个步骤,并且步骤S203、步骤S204和步骤S205可以以任意顺序执行。
步骤S203,根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略。
本申请实施例中,考虑一种或多种影响因素对第一采集策略进行调整,具体调整方式参见下述实施例。
步骤S204,根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略。
步骤S205,根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略。
步骤S206,根据所述调整后的第一子策略和/或所述调整后的第二子策略和/或所述调整后的第三子策略,确定更新后的第一采集策略。
当不执行步骤S204和步骤S205时,该步骤S206为根据所述调整后的第一子策略,确定更新后的第一采集策略。当不执行步骤S203和步骤S205时,该步骤S206为根据所述调整后的第二子策略,确定更新后的第一采集策略。当不执行步骤S203和步骤S204时,该步骤S206为根据所述调整后的第三子策略,确定更新后的第一采集策略。当不执行步骤S205时,该步骤S206为根据所述调整后的第一子策略和调整后的第二子策略,确定更新后的第一采集策略。当不执行步骤S204时,该步骤S206为根据所述调整后的第一子策略和调整后的第三子策略,确定更新后的第一采集策略。当不执行步骤S203时,该步骤S206为根据所述调整后的第二子策略和调整后的第三子策略,确定更新后的第一采集策略。当步骤S203至步骤S205都执行时,该步骤S206为根据所述调整后的第一子策略、调整后的第二子策略和调整后的第三子策略,确定更新后的第一采集策略。
步骤S207,基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
得到更新后的第一采集策略后,控制终端基于更新后的第一采集策略进行数据采集得到第二采集数据。由于第二采集数据是考虑终端实时的运行信息采集到的数据,使得第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。
本申请实施例提供的数据采集方法,通过终端实时的性能信息、业务信息和进程信息中至少一种影响因素对采集策略进行更新,使得采集到的第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。
在一些实施例中,当第一子策略包括第一采集类型时,图2所示实施例中的步骤S203“根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略”,可以通过图3a所示的步骤来实现:
步骤S30a1,获取参考性能信息和所述参考性能信息对应的第一参考子策略。
这里,参考性能信息包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息。第一参考子策略包括第一参考采集类型。
步骤S30a2,根据所述性能信息和所述参考性能信息,确定所述第一采集类型的调整值。
步骤S30a3,基于所述第一采集类型的调整值,对所述第一采集类型进行调整,得到调整后的第一子策略。
在实际运行中,当终端性能占用率越高,表征终端当前运行进程较多,此时,可以减少或取消不必要的数据类型的采集,例如键盘输入等行为数据,以减少传输数据量,同时可以增加采集与安全相关的类型数据,例如注册表行为数据、网关行为数据等,以避免数据漏报。
对应的,在一些实施例中,当第二子策略包括第二采集类型时,图2所示实施例中的步骤S204“根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略”可以实现为:获取所述业务信息对应的临界性能信息;所述临界性能信息为确保所述业务信息能够正常运行时占用的最少性能信息;根据所述临界性能信息和所述性能信息,确定所述第二采集类型的调整值;基于所述第二采集类型的调整值对所述第二采集类型进行调整,得到调整后的第二子策略。
在实际运行中,当终端运行业务越复杂或者运行业务越多,性能占用率越高,表征终端当前运行进程较多,此时,可以减少或取消不必要的数据类型的采集,例如键盘输入等行为数据,以减少传输数据量,同时可以增加采集与安全相关的类型数据,例如注册表行为数据、网关行为数据等,以避免数据漏报。
对应的,在一些实施例中,当第三子策略包括第三采集类型时,图2所示实施例中的步骤S205“根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略”可以实现为:对所述进程信息进行风险评估,得到风险评估结果;根据所述风险评估结果确定所述第三采集类型的调整值;基于所述第三采集类型的调整值对所述第三采集类型进行调整,得到调整后的第三子策略。
在实际运行中,当终端根据运行进程行为图上下文感知出某进程可能存在风险时,增加采集与该进程相关的类型数据,以避免数据漏报。
在一些实施例中,当第一子策略包括第一采集量时,图2所示实施例中的步骤S203“根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略”,可以通过图3b所示的步骤来实现:
步骤S30b1,获取参考性能信息和所述参考性能信息对应的第一参考子策略。
这里,所述参考性能信息包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息。该第一参考子策略包括第一参考采集量。
步骤S30b2,根据所述性能信息和所述参考性能信息,确定所述第一采集量的调整值。
步骤S30b3,基于所述第一采集量的调整值,对所述第一采集量进行调整,得到调整后的第一子策略。
在实际运行中,当终端性能占用率越高,表征终端当前运行进程较多,此时,可以减少或取消不必要的数据量的采集,例如键盘输入等行为数据的数据量,以减少传输数据量,同时可以增加采集与安全相关的行为数据的数据量,例如注册表行为数据的数据量、网关行为数据的数据量等,以避免数据漏报。
对应的,在一些实施例中,当第二子策略包括第二采集量时,图2所示实施例中的步骤S204“根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略”可以实现为:获取所述业务信息对应的临界性能信息;所述临界性能信息为确保所述业务信息能够正常运行时占用的最少性能信息;根据所述临界性能信息和所述性能信息,确定所述第二采集量的调整值;基于所述第二采集量的调整值,对所述第二采集量进行调整,得到调整后的第二子策略。
在实际运行中,当终端运行业务越复杂或者运行业务越多,性能占用率越高,表征终端当前运行进程较多,此时,可以减少或取消不必要的数据量的采集,例如键盘输入等行为数据的数据量,以减少传输数据量,同时可以增加采集与安全相关的行为数据的数据量,例如注册表行为数据的数据量、网关行为数据的数据量等,以避免数据漏报。
对应的,在一些实施例中,当第三子策略包括第三采集量时,图2所示实施例中的步骤S205“根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略”可以实现为:对所述进程信息进行风险评估,得到风险评估结果;根据所述风险评估结果确定所述第三采集量的调整值;基于所述第三采集量的调整值,对所述第三采集量进行调整,得到调整后的第三子策略。
在实际运行中,当终端根据运行进程行为图上下文感知出某进程可能存在风险时,增加采集与该进程相关的行为数据的采集数据量,以避免数据漏报。
在一些实施例中,当第一子策略包括第一采集类型和第一采集量时,图2所示实施例中的步骤S203“根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略”,可以通过图3c所示的步骤来实现:
步骤S30c1,获取参考性能信息和所述参考性能信息对应的第一参考子策略。
这里,参考性能信息包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息。该第一参考子策略包括第一参考采集类型和第一参考采集量。
步骤S30c2,根据所述性能信息和所述参考性能信息,确定所述第一采集类型的调整值和所述第一采集量的调整值。
步骤S30c3,基于所述第一采集类型的调整值对所述第一采集类型进行调整,基于所述第一采集量的调整值对所述第一采集量进行调整,得到调整后的第一子策略。
在实际运行中,当终端性能占用率越高,表征终端当前运行进程较多,此时,可以减少或取消不必要的数据类型和数据量的采集,例如键盘输入等行为数据的数据量,以减少传输数据量,同时可以增加采集与安全相关的类型数据及其数据量,例如注册表行为数据的数据量、网关行为数据的数据量等,以避免数据漏报。
对应的,在一些实施例中,当第二子策略包括第二采集类型和第二采集量时,图2所示实施例中的步骤S204“根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略”可以实现为:获取所述业务信息对应的临界性能信息;所述临界性能信息为确保所述业务信息能够正常运行时占用的最少性能信息;根据所述临界性能信息和所述性能信息,确定所述第二采集类型的调整值和所述第二采集量的调整值;基于所述第二采集类型的调整值,对所述第二采集类型进行调整,根据所述第二采集量的调整值对所述第二采集量进行调整,得到调整后的第二子策略。
在实际运行中,当终端运行业务越复杂或者运行业务越多,性能占用率越高,表征终端当前运行进程较多,此时,可以减少或取消不必要的数据类型和数据量的采集,例如键盘输入等行为数据的数据量,以减少传输数据量,同时可以增加采集与安全相关的类型数据及其数据量,例如注册表行为数据的数据量、网关行为数据的数据量等,以避免数据漏报。
对应的,在一些实施例中,当第三子策略包括第三采集类型和第三采集量时,图2所示实施例中的步骤S205“根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略”可以实现为:对所述进程信息进行风险评估,得到风险评估结果;根据所述风险评估结果确定所述第三采集类型的调整值和所述第三采集量的调整值;基于所述第三采集类型的调整值对所述第三采集类型进行调整,根据所述第三采集量的调整值对所述第三采集量进行调整,得到调整后的第三子策略。
在实际运行中,当终端根据运行进程行为图上下文感知出某进程可能存在风险时,增加采集与该进程相关的类型数据以及数据量,以避免数据漏报。
在一些实施例中,数据采集装置进行风险评估时,“对所述进程信息进行风险评估,得到风险评估结果”,可以通过以下步骤来实现:获取预设的评估引擎,所述预设的评估引擎至少包括人工智能AI引擎、异常检测引擎和行为规则引擎;根据所述进程信息确定所述进程信息对应的进程行为图上下文;根据所述AI引擎、所述异常检测引擎和所述行为规则引擎,对所述进程行为图上下文进行风险评估,得到风险评估结果。
例如,终端会采集进程的API行为数据,识别诸如屏幕截取、键盘记录、远程桌面等行为,但整体数据量过大,且绝大多数行为和攻击无关,属于无效数据;因此智能采集决策模块会智能识别高危险等级进程树,比如未知签名进程启动或是合法进程被漏洞利用、内存攻击(注入等)之后,才会进行深度监控采集。
在上述实施例的基础上,本申请实施例再提供一种数据采集方法。图4为本申请实施例提供的数据采集方法的再一种实现流程示意图,如图4所示,该方法包括以下步骤:
步骤S401,获取第一采集数据。
所述第一采集数据由终端基于第一采集策略采集得到。
步骤S402,获取所述终端在当前时刻的运行信息。
这里运行信息包括以下至少一个:性能信息、业务信息和进程信息。
其中,性能信息可以包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息。业务信息为终端当前执行的业务的相关信息。进程信息为终端当前运行的所有进程的信息。
步骤S403,基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略。
终端根据第一采集数据的数据类型和/或数据量以及终端当前时刻的运行信息,确定采集第一采集数据时所采用的第一采集策略是否与终端实时状态相匹配,若不匹配,根据运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略。
步骤S404,基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
得到更新后的第一采集策略后,控制终端基于更新后的第一采集策略进行数据采集得到第二采集数据。由于第二采集数据是考虑终端实时的运行信息采集到的数据,使得第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。
步骤S405,将所述第一采集数据和所述第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述终端的威胁攻击事件。
在一些实施例中,将采集数据发送至服务端后,若服务端监测到终端存在威胁攻击事件,服务端生成防御策略,将其发送至终端。此时终端还可以继续执行以下步骤:
步骤S406,接收所述服务端发送的防御策略。
所述防御策略由所述服务端根据所述威胁攻击事件确定。
步骤S407,运行所述防御策略。
本申请实施例提供的数据采集方法,通过终端实时的性能信息、业务信息和进程信息等至少一种影响因素对采集策略进行更新,使得采集到的第二采集数据兼顾数据量和终端实际运行信息,在减少采集数据量的前提下避免数据漏报的问题,有效提高数据输入输出的效率,并且降低威胁事件漏报的可能性。当服务端基于上报的采集数据监测出终端可能存在威胁攻击时,针对上报的数据生成对应的防御策略,发送至终端以使终端基于防御策略进行安全防御,提高终端的安全性。
下面,将说明本申请实施例在一个实际的应用场景中的示例性应用。
目前终端检测与响应(EDR,Endpoint Detection and Response)和可扩展的检测和响应(XDR,Extended Detection and Response)检测平台采用网络提供软件服务(SaaS,Software-as-a-Service)化模式部署,将多源安全遥测数据采集上报至云端数据湖统一存储,通过云端数据分析系统对遥测数据进行持续的关联分析、威胁检测、威胁狩猎和自动化处置响应,以应对日益严重的高级威胁攻击事件。
目前终端遥测数据采集主要有两种方案:一种采集方案是终端全量采集遥测数据上报云端。该种方案优点是终端遥测数据不会遗漏,不会出现因为遥测数据遗漏导致威胁事件漏报;缺点是终端遥测数据量巨大,对网络带宽、数据湖存储和海量数据分析系统挑战较大,整个平台成本较高无法有效控制。另一种采集方案是终端遥测数据过滤后再上报云端。该种方案优点是在终端会先对全量采集到的遥测数据做过滤后再上报云端,减少了遥测数据上报量;缺点是目前过滤方法都是采用一刀切的先全量采集后再进行过滤方案,全量采集对性能和业务的影响始终存在,另外可能会导致威胁事件漏报,很难找到一个完美的平衡点兼顾遥测数据量和漏报问题。
本申请实施例旨在提出一种终端遥测数据智能采集方案,从操作系统实时性能、业务状态和威胁上下文感知等维度,通过智能采集和智能过滤相互反馈协同,采集的原始行为促进智能过滤做出正确决策,决策可以提升智能采集自适应能力,达到遥测数据高保真和低数据量的智能采集能力,以解决终端遥测数据量巨大和遥测数据漏报问题。
图5为本申请实施例提供的终端遥测数据智能采集方案的总体设计示意图,如图5所示,总体方案分为智能采集决策模块51、智能采集调度模块52、监控采集模块53和上报模块54。
其中,监控采集模块53负责各种类型遥测数据监控采集工作,包括但不限于进程/线程行为采集单元531、模块行为采集单元532、文件行为采集单元533、注册表行为采集单元534、网络行为采集单元535、Windows事件跟踪(ET W,Event Tracing for Windows)采集单元536、应用程序编程接口(API,)Application Programming Interface调用采集单元537等。
各采集单元可包括多个采集模式,包括但不限于轻度、中度、深度等采集模式,采集模式可根据智能采集决策模块51的决策结果实时变化。在同一时刻不同的进程,不同采集单元的采集模式可以各不相同。
智能采集决策模块51包括操作系统(OS,Operating System)实时性能感知部分511、业务状态感知部分512和威胁上下文感知部分513。不同的终端设备硬件配置不同,OS实时性能感知部分511会根据操作系统性能情况自适应地实时调整所采集的遥测数据类型和数据量;业务状态感知部分512会感知业务状态,比如对于PC机器,如果用户正在重度使用机器则会适当地调整采集策略保证不影响用户正常使用;威胁上下文感知部分513通过AI引擎、异常检测引擎和行为规则引擎等对终端进程行为图上下文进行动态地、实时地和持续地风险等级评估。
OS实时性能感知部分511、业务状态感知部分512和威胁上下文感知部分513这三个感知部分通过综合评估决策出某瞬时态采集策略,通过智能采集调度模块通知各监控采集模块完成实时采集策略更新。
例如,终端会采集进程的API行为数据,识别诸如屏幕截取、键盘记录、远程桌面等行为,但整体数据量过大,且绝大多数行为和攻击无关,属于无效数据;因此智能采集决策模块会智能识别高危险等级进程树,比如未知签名进程启动或是合法进程被漏洞利用、内存攻击(注入等)之后,才会进行深度监控采集。
终端遥测数据差异化可以分为四个层级:L1层:不同终端遥测数据差异化;L2层:相同终端不同进程遥测数据差异化;L3层:相同终端相同进程不同时刻遥测数据差异化;L4层:相同终端相同进程相同时刻遥测数据差异化。通过遥测数据智能采集方案不断的推动遥测数据差异化演进以达到安全效果和数据量平衡。
本申请实施例提供的终端遥测数据智能采集方案,从操作系统实时性能、业务状态和威胁上下文感知等维度,通过智能采集和智能过滤相互反馈协同,采集的原始行为促进智能过滤做出正确决策,决策可以提升智能采集自适应能力,达到遥测数据高保真和低数据量的智能采集能力,以解决终端遥测数据量巨大和遥测数据漏报问题。
基于前述方法的实施例,本申请实施例提供一种数据采集装置,该装置包括的各模块、以及各模块包括的各单元,可以通过计算机设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU,Central ProcessingUnit)、微处理器(MPU,Microprocessor Unit)、数字信号处理器(DSP,Digital SignalProcessing)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等。
图6为本申请实施例提供的数据采集装置的一种组成结构示意图,所述数据采集装置600应用于服务端,如图6所示,所述数据采集装置600包括:
第一获取模块601,用于获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;
第二获取模块602,用于获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
更新模块603,用于基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;
采集模块604,用于基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
在一些实施例中,所述更新模块603,包括确定单元和以下至少一个:第一调整单元、第二调整单元和第三调整单元;
第一调整单元,用于根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略;
第二调整单元,用于根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略;
第三调整单元,用于根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略;
确定单元,用于根据所述调整后的第一子策略和/或所述调整后的第二子策略和/或所述调整后的第三子策略,确定更新后的第一采集策略。
在一些实施例中,所述第一调整单元,还用于:
获取参考性能信息和所述参考性能信息对应的第一参考子策略;所述参考性能信息包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息;所述第一参考子策略包括第一参考采集类型和/或第一参考采集量;所述第一子策略包括第一采集类型和/或第一采集量;
根据所述性能信息和所述参考性能信息,确定所述第一采集类型的调整值和/或所述第一采集量的调整值;
基于所述第一采集类型的调整值和/或所述第一采集量的调整值,对所述第一采集类型和/或所述第一采集量进行调整,得到调整后的第一子策略。
在一些实施例中,所述第二调整单元,还用于:
获取所述业务信息对应的临界性能信息;所述临界性能信息为确保所述业务信息能够正常运行时占用的最少性能信息;所述第二子策略包括第二采集类型和/或第二采集量;
根据所述临界性能信息和所述性能信息,确定所述第二采集类型的调整值和/或所述第二采集量的调整值;
基于所述第二采集类型的调整值和/或所述第二采集量的调整值,对所述第二采集类型和/或所述第二采集量进行调整,得到调整后的第二子策略。
在一些实施例中,所述第三调整单元,还用于:
对所述进程信息进行风险评估,得到风险评估结果;所述第三子策略包括第三采集类型和/或第三采集量;
根据所述风险评估结果确定所述第三采集类型的调整值和/或所述第三采集量的调整值;
基于所述第三采集类型的调整值和/或所述第三采集量的调整值,对所述第三采集类型和/或所述第三采集量进行调整,得到调整后的第三子策略。
在一些实施例中,所述第三调整单元,还用于:
获取预设的评估引擎,所述预设的评估引擎至少包括人工智能AI引擎、异常检测引擎和行为规则引擎;
根据所述进程信息确定所述进程信息对应的进程行为图上下文;
根据所述AI引擎、所述异常检测引擎和所述行为规则引擎,对所述进程行为图上下文进行风险评估,得到风险评估结果。
在一些实施例中,所述数据采集装置600,还可以包括:
发送模块,用于将所述第一采集数据和所述第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述终端的威胁攻击事件。
在一些实施例中,所述数据采集装置600,还可以包括:
接收模块,用于接收所述服务端发送的防御策略,所述防御策略由所述服务端根据所述威胁攻击事件确定;
运行模块,用于运行所述防御策略。
这里需要指出的是:以上数据采集装置实施例项的描述,与上述方法描述是类似的,具有同方法实施例相同的有益效果。对于本申请数据采集装置实施例中未披露的技术细节,本领域的技术人员请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的数据采集方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,ReadOnly Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
相应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的数据采集方法中的步骤。
本申请实施例提供一种电子设备,图7为本申请实施例提供的电子设备的一种组成结构示意图,如图7所示,所述电子设备700包括:监控采集模块701、调度模块702和决策模块703。
其中,监控采集模块701,用于采集第一采集数据,所述第一采集数据由所述电子设备基于第一采集策略采集得到;
调度模块702,用于将所述第一采集数据发送至决策模块;
决策模块703,用于基于所述电子设备在当前时刻的运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
所述调度模块702,还用于将所述更新后的第一采集策略发送至所述监控采集模块,以使所述监控采集模块基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
在一些实施例中,所述电子设备700还可以包括:
上报模块704,用于将所述监控采集模块采集的第一采集数据和第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述电子设备的威胁攻击事件。
本申请实施例再提供一种电子设备,图8为本申请实施例提供的电子设备的另一种组成结构示意图,如图8所示,所述电子设备800包括:一个处理器801、至少一个通信总线802、用户接口803、至少一个外部通信接口804和存储器805。其中,通信总线802配置为实现这些组件之间的连接通信。其中,用户接口803可以包括显示屏,外部通信接口804可以包括标准的有线接口和无线接口。其中,所述处理器801配置为执行存储器中存储的数据采集方法的程序,以实现以上述实施例提供的数据采集方法中的步骤。
以上显示设备、电子设备和存储介质实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请显示设备、电子设备和存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种数据采集方法,其特征在于,所述方法包括:
获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;
获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;
基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
2.根据权利要求1所述的方法,其特征在于,所述基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略,包括:
根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略;
和/或,
根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略;
和/或,
根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略;
根据所述调整后的第一子策略和/或所述调整后的第二子策略和/或所述调整后的第三子策略,确定更新后的第一采集策略。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一采集数据和所述性能信息,对所述第一采集策略包括的第一子策略进行调整,得到调整后的第一子策略,包括:
获取参考性能信息和所述参考性能信息对应的第一参考子策略;所述参考性能信息包括以下至少一个:处理器运行信息、存储运行信息和网络运行信息;所述第一参考子策略包括第一参考采集类型和/或第一参考采集量;所述第一子策略包括第一采集类型和/或第一采集量;
根据所述性能信息和所述参考性能信息,确定所述第一采集类型的调整值和/或所述第一采集量的调整值;
基于所述第一采集类型的调整值和/或所述第一采集量的调整值,对所述第一采集类型和/或所述第一采集量进行调整,得到调整后的第一子策略。
4.根据权利要求2所述的方法,其特征在于,所述根据所述第一采集数据和所述业务信息,对所述第一采集策略包括的第二子策略进行调整,得到调整后的第二子策略,包括:
获取所述业务信息对应的临界性能信息;所述临界性能信息为确保所述业务信息能够正常运行时占用的最少性能信息;所述第二子策略包括第二采集类型和/或第二采集量;
根据所述临界性能信息和所述性能信息,确定所述第二采集类型的调整值和/或所述第二采集量的调整值;
基于所述第二采集类型的调整值和/或所述第二采集量的调整值,对所述第二采集类型和/或所述第二采集量进行调整,得到调整后的第二子策略。
5.根据权利要求2所述的方法,其特征在于,所述根据所述第一采集数据和所述进程信息,对所述第一采集策略包括的第三子策略进行调整,得到调整后的第三子策略,包括:
对所述进程信息进行风险评估,得到风险评估结果;所述第三子策略包括第三采集类型和/或第三采集量;
根据所述风险评估结果确定所述第三采集类型的调整值和/或所述第三采集量的调整值;
基于所述第三采集类型的调整值和/或所述第三采集量的调整值,对所述第三采集类型和/或所述第三采集量进行调整,得到调整后的第三子策略。
6.根据权利要求5所述的方法,其特征在于,所述对所述进程信息进行风险评估,得到风险评估结果,包括:
获取预设的评估引擎,所述预设的评估引擎至少包括人工智能AI引擎、异常检测引擎和行为规则引擎;
根据所述进程信息确定所述进程信息对应的进程行为图上下文;
根据所述AI引擎、所述异常检测引擎和所述行为规则引擎,对所述进程行为图上下文进行风险评估,得到风险评估结果。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述第一采集数据和所述第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述终端的威胁攻击事件。
8.一种数据采集装置,其特征在于,所述装置包括:
第一获取模块,用于获取第一采集数据,所述第一采集数据由终端基于第一采集策略采集得到;
第二获取模块,用于获取所述终端在当前时刻的运行信息,所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
更新模块,用于基于所述运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;
采集模块,用于基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
9.一种电子设备,其特征在于,包括:
监控采集模块,用于采集第一采集数据,所述第一采集数据由所述电子设备基于第一采集策略采集得到;
调度模块,用于将所述第一采集数据发送至决策模块;
决策模块,用于基于所述电子设备在当前时刻的运行信息,对所述第一采集策略进行更新,得到更新后的第一采集策略;所述运行信息包括以下至少一个:性能信息、业务信息和进程信息;
所述调度模块,还用于将所述更新后的第一采集策略发送至所述监控采集模块,以使所述监控采集模块基于所述更新后的第一采集策略进行数据采集,得到第二采集数据。
10.根据权利要求9所述的电子设备,其特征在于,还包括:
上报模块,用于将所述监控采集模块采集的第一采集数据和第二采集数据发送至服务端,以使所述服务端根据所述第一采集数据和所述第二采集数据确定针对所述电子设备的威胁攻击事件。
CN202210334551.6A 2022-03-30 2022-03-30 数据采集方法、装置及电子设备 Pending CN114760117A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210334551.6A CN114760117A (zh) 2022-03-30 2022-03-30 数据采集方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210334551.6A CN114760117A (zh) 2022-03-30 2022-03-30 数据采集方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN114760117A true CN114760117A (zh) 2022-07-15

Family

ID=82328454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210334551.6A Pending CN114760117A (zh) 2022-03-30 2022-03-30 数据采集方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN114760117A (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160205143A1 (en) * 2013-08-19 2016-07-14 Hewlett Packard Enterprise Development Lp Adaptive network security policies
US20160205219A1 (en) * 2015-01-08 2016-07-14 Alibaba Group Holding Limited Information collection and processing method, client terminal and server
CN106778253A (zh) * 2016-11-24 2017-05-31 国家电网公司 基于大数据的威胁情景感知信息安全主动防御模型
EP3289512A1 (en) * 2015-06-04 2018-03-07 Accenture Global Services Limited Process categorization for computer security
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质
CN109614302A (zh) * 2018-11-28 2019-04-12 华为技术服务有限公司 业务速率调整方法及装置、相关设备
CN109639648A (zh) * 2018-11-19 2019-04-16 中国科学院信息工程研究所 一种基于采集数据异常的采集策略生成方法及系统
CN110601872A (zh) * 2019-08-06 2019-12-20 联想(北京)有限公司 一种传输方法及装置、存储介质
CN110704277A (zh) * 2019-09-27 2020-01-17 中电万维信息技术有限责任公司 一种监测应用性能的方法、相关设备及存储介质
CN110971444A (zh) * 2019-10-09 2020-04-07 中移(杭州)信息技术有限公司 告警管理方法、装置、服务器及存储介质
CN111913939A (zh) * 2020-08-12 2020-11-10 莫毓昌 一种基于强化学习的数据库集群优化系统及方法
CN113793505A (zh) * 2021-09-28 2021-12-14 北京航空航天大学 一种知识驱动的云边协同交通数据采集方法及系统

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160205143A1 (en) * 2013-08-19 2016-07-14 Hewlett Packard Enterprise Development Lp Adaptive network security policies
US20160205219A1 (en) * 2015-01-08 2016-07-14 Alibaba Group Holding Limited Information collection and processing method, client terminal and server
EP3289512A1 (en) * 2015-06-04 2018-03-07 Accenture Global Services Limited Process categorization for computer security
CN106778253A (zh) * 2016-11-24 2017-05-31 国家电网公司 基于大数据的威胁情景感知信息安全主动防御模型
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质
CN109639648A (zh) * 2018-11-19 2019-04-16 中国科学院信息工程研究所 一种基于采集数据异常的采集策略生成方法及系统
CN109614302A (zh) * 2018-11-28 2019-04-12 华为技术服务有限公司 业务速率调整方法及装置、相关设备
CN110601872A (zh) * 2019-08-06 2019-12-20 联想(北京)有限公司 一种传输方法及装置、存储介质
CN110704277A (zh) * 2019-09-27 2020-01-17 中电万维信息技术有限责任公司 一种监测应用性能的方法、相关设备及存储介质
CN110971444A (zh) * 2019-10-09 2020-04-07 中移(杭州)信息技术有限公司 告警管理方法、装置、服务器及存储介质
CN111913939A (zh) * 2020-08-12 2020-11-10 莫毓昌 一种基于强化学习的数据库集群优化系统及方法
CN113793505A (zh) * 2021-09-28 2021-12-14 北京航空航天大学 一种知识驱动的云边协同交通数据采集方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吕顺利;吴德胜;朱鹏宇;: "基于智能分析的自适应数据采集关键技术研究及应用", 电力信息与通信技术, no. 06, pages 77 - 82 *

Similar Documents

Publication Publication Date Title
CN111092852B (zh) 基于大数据的网络安全监控方法、装置、设备及存储介质
AU2018203374B2 (en) Advanced intelligence engine
EP2080317B1 (en) Apparatus and a security node for use in determining security attacks
US9780995B2 (en) Advanced intelligence engine
CN106961352B (zh) 监控系统及监控方法
EP3623983A1 (en) Method and device for identifying security threats, storage medium, processor and terminal
US8060577B1 (en) Method and system for employing user input for file classification and malware identification
KR20180107789A (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
EP3772006B1 (en) Advance incident scoring
JP2007164465A (ja) クライアントセキュリティ管理システム
CN114726633B (zh) 流量数据处理方法及装置、存储介质及电子设备
CN110012000B (zh) 命令检测方法、装置、计算机设备以及存储介质
CN115580448A (zh) 工控网络恶意代码检测方法、系统、设备及存储介质
EP3772003B1 (en) Mapping unbounded incident scores to a fixed range
CN114760117A (zh) 数据采集方法、装置及电子设备
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN111092886A (zh) 一种终端防御方法、系统、设备及计算机可读存储介质
CN114546703B (zh) 文件句柄监测、泄漏分析方法和装置及电子设备
CN114338189B (zh) 基于节点拓扑关系链的态势感知防御方法、装置及系统
EP3647980B1 (en) Response to an intrusion against a service of an operating system
CN117768231A (zh) 基于网络资产的告警事件处理方法、客户端及系统
CN114154160B (zh) 容器集群监测方法、装置、电子设备及存储介质
CN117596078B (zh) 一种基于规则引擎实现的模型驱动用户风险行为判别方法
JP6857627B2 (ja) ホワイトリスト管理システム
CN117081776A (zh) 告警数据上报系统、告警数据上报方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination