CN115130103A - 风险处理方法、装置、电子设备及存储介质 - Google Patents
风险处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115130103A CN115130103A CN202210815113.1A CN202210815113A CN115130103A CN 115130103 A CN115130103 A CN 115130103A CN 202210815113 A CN202210815113 A CN 202210815113A CN 115130103 A CN115130103 A CN 115130103A
- Authority
- CN
- China
- Prior art keywords
- risk
- file
- features
- identification
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供了一种风险处理方法、装置、电子设备及存储介质,涉及云安全技术领域。依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,风险识别规则可以用于风险文件的检测。由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。
Description
技术领域
本申请涉及云安全技术领域,尤其涉及一种风险处理方法和装置、电子设备及存储介质。
背景技术
云计算是一种全新的IT基础设施的交付和使用模式,使用者可以基于云获得无线扩展的资源云网络提供资源,并且可以随时获取、按需使用、随时扩展以及按使用付费。
虚拟主机(云主机)是云计算下的主机租用服务,基于云计算平台的计算资源为云租户提供服务,通过在一组集群主机上虚拟出多个类似独立主机功能的部分,使得集群中各主机上均有虚拟主机的一个镜像,除非集群内主机均出现问题,虚拟主机才会无法访问,可见虚拟主机具有较高使用稳定性。
随着恶意代码技术的不断演进,恶意程序成为云主机系统安全的重要威胁,因此需要提供针对云计算设备的风险处理方案,以进一步提高云计算设备的安全性。
发明内容
本申请实施例提供一种风险处理方法、装置、电子设备及存储介质,以实现对云计算设备的风险检测和安全管理。
第一方面,本申请实施例提供了一种风险处理方法,应用于云计算平台,所述方法包括:
提取风险文件对应的文件特征;
根据所述文件特征对应于所述风险文件的表征数据筛选多个目标文件特征,所述多个目标文件特征至少对应两类风险识别结果;
基于所筛选的多个目标文件特征构建风险识别规则,所述风险识别规则用于风险文件的检测。
第二方面,本申请实施例提供了一种风险处理方法,所述方法包括:
获取云计算平台下发的风险识别规则,所述风险识别规则基于目标文件特征构建,所述目标文件特征从风险文件对应的文件特征中根据所述文件特征对应于所述风险文件的表征数据筛选获得,所述多个目标文件特征至少对应两类风险识别结果;
基于所述风险识别规则进行风险检测。
第三方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器在执行所述计算机程序时实现上述任一项所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法。
与现有技术相比,本申请具有如下优点:
依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。本申请实施例可以进一步将风险识别规则下发到至少一个云租户的云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参考附图和以下的详细描述,本申请进一步的方面、实施方式和特征将会是容易明白的。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本申请公开的一些实施方式,而不应将其视为是对本申请范围的限制。
图1为本申请提供的风险处理方案的场景示意图;
图2为本申请一实施例的风险处理方法的流程图;
图3是本申请一实施例的风险处理方法的流程图;
图4是本申请一实施例的风险处理装置的结构框图;
图5是本申请一实施例的风险处理装置的结构框图;
图6为用来实现本申请实施例的电子设备的框图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本申请的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
为便于理解本申请实施例的技术方案,以下对本申请实施例的相关技术进行说明,以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合,其均属于本申请实施例的保护范围。
针对云计算设备的风险入侵的主要来源是恶意程序,也即是病毒程序。本申请之前的现有技术中,针对病毒文件的风险检测通常是基于杀毒引擎实现,一种方案是通过动态结合静态的检测方案来检测病毒程序。
动态检测是指将待检测的程序置于预先构建的沙箱环境中,在沙箱环境中运行待检测程序,以采集到其运行时执行的各种行为,通过行为识别来检测该程序是否为病毒程序。动态检测存在的问题是需要环境模拟耗费较多的加载资源,将这种方案部署在云计算环境下进行病毒检测时,需要收集病毒程序的行为特征和判断逻辑,使得该方案实现较为复杂,因此,一般使用较多的是静态检测方案。
静态检测则是通过预先在特征库中收集病毒程序的黑特征进行识别,一种具体的检测方案中,在提取病毒程序的特征后,可以通过排除白特征库中正常的安全文件的白特征将剩余的特征作为黑特征,此处也即是现有技术方案中的白特征是单独用于风险识别时对应识别结果为安全文件的特征,黑特征是指病毒程序的特征中除去白特征之外剩余的特征,作为对应识别结果为风险文件的特征。由此可见,白特征库的搜集决定了生成规则的质量,而白特征库是无穷无尽的,永远不可能搜集全面,还需要长期运行白特征库,所以这种排白的方案在海量的样本中生成规则质量比较差,会出现大量的误报。并且,由于需要将白特征库加载到内存中进行搜索,需要占用大量的内存资源,效率非常低,无法应对云上海量数据的场景。
有鉴于此,本申请实施例提出了一种新的针对云计算设备的风险检测方案。
图1为示例性的用于实现本申请实施例的方法的一个应用场景的示意图。如图所示,在左侧的聚类源,从多个风险控制平台收集风险文件,根据风险文件的风险类型存放在对应的数据库或文件夹中,如图所示,可以存放在Redis cluster(远程字典服务集群)主从节点群组成的分布式服务器群的各个服务器中,从而可以减轻云计算平台的存储压力,通过对风险文件进行特征提取、特征选择和规则生成的过程,得到风险识别规则,进一步通过回放模块进行误报测试,根据误报测试结果是否符合要求,对特征工程过程中的至少一个环节进行修正,修正后的规则可以下发到各个云计算设备进行后续的风险识别的使用。
依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率,也即是具有较好的泛化性。例如,现有技术的某些检测方案中,根据排除预先收集的白特征后剩余黑特征的方式,将文件删除操作定义为黑特征,这种识别规则在真实情况下并不能识别到准确的风险文件,因为很多正常程序也会有执行删除操作,由此可见,现有技术的识别规则存在识别结果不准确的问题。而根据本申请实施例,结合对应多个不同风险识别结果的特征构建风险识别规则,此例中,如果将文件删除操作定义为黑特征或是灰特征(识别结果为中间文件,后续详细说明),将网络下载操作定义为白特征,将同时命中网络下载操作和文件删除操作作为风险识别规则的一部分,则更加符合病毒文件的惯常特性,可以更准确地识别到风险文件。
本申请实施例还可以进一步将风险识别规则下发到至少一个云租户的云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
相比于上述的静态检测方案,由于无需大量收集白特征库,而是直接对多个风险文件对应的文件特征进行进一步的分类,也即是根据识别到的文件特征进行对应不同风险识别结果的分类,从而可以自动获得对应不同风险识别结果的文件特征,相比于排白方案,由于无需穷尽收集白特征来保证黑特征的质量,可以提高规则生成的质量,进一步提高识别的准确性,并且由于无需加载白特征库,可以降低对各种资源的消耗,直接将生成的规则下发到对应的云计算设备进行风险检测,可以提高风险检测的及时性,避免给云计算平台带来过大的计算压力和资源占用。
需要说明的是,本申请实施例可以用于对虚拟主机进行风险检测,也可以对服务器主机、服务器上的虚拟容器甚至是各种云产品进行风险检测,其中虚拟主机、服务器主机、虚拟容器或是云产品可以位于公有云、私有云或是上述两者构建的混合云环境下,相应可以部署在云计算平台或是线下IDC(互联网数据中心),本申请对此并不作限定。通过将构建的风险识别规则下发到相应的云计算设备进行风险检测,实现对云计算设备进行病毒查杀、防勒索等方面的实时防护,拉齐各云计算设备的安全水位,提供安全的计算环境,降低安全管理成本。
本申请实施例提供了一种风险处理方法,可以应用于云计算平台,图2是本申请一实施例的风险处理方法的流程图。如图2所示,该方法包括:
步骤S201,提取风险文件对应的文件特征。
在一种实施例中,上述方案可以在云计算平台执行,通过收集多个风控平台的风险文件,用于下一步的文件特征的提取。此处涉及的风险文件可以是病毒程序或是截取的与病毒程序相关的执行函数或执行代码,例如可以是Windows系统下的PE(PortableExecutable,可移植的可执行的文件)或是Linux系统下的ELF(Executable and LinkableFormat,可执行与可链接格式)。
进一步可以从风险文件中提取文件特征,可以通过对风险文件进行关键内容识别,并将识别到的关键内容作为所述风险文件的文件特征,此处涉及的关键内容识别可以包括执行功能识别、字段内容识别、或自然语言识别,还可以是上述一种或多种的组合,也即是可以从一个或多个维度提取文件特征。
一种可能的实现方式中,在提取风险文件对应的文件特征时,以执行功能的是被作为关键内容的识别,可以提取风险文件中包括的处理函数作为文件特征,处理函数包括导入函数、导出函数和功能字符串中的一种或是多种,这些函数和功能字符串可以表征风险文件在执行过程中的行为特征,可以用以表征风险文件。
一种可能的实现方式中,提取风险文件对应的文件特征时,以字段内容的识别作为关键内容的识别,通过对风险文件进行字段内容识别,以提取风险文件用于表征文件属性的至少一个目标字段作为文件特征。风险文件的关键字段可以表征风险文件的特性,例如,可以提取风险文件执行时调用的API接口(Application Programming Interface,应用程序编程接口)、自然语言、带后缀的文件名、注册表、地址信息(IP地址、Domain域名、URL地址等)、签名信息、文件路径、UUID唯一标识符、邮箱地址、环境变量、进程信息(管道、事件、互斥锁名字)等等。上述信息均具有相应的具体指代含义,部分信息并无法直接肉眼识别出,可以通过正则匹配等方式进行提取,可以将风险文件的特定部分或是全部文件内容与正则关系表达式进行匹配,将匹配到的信息作为具有相应含义的内容提取出来,作为文件特征。
一种可能的实现方式中,风险文件中自然语言表达的部分通常具有特定的含义,而其他内容通常是以二进制文件中的0和1等无法直接识别的方式进行表达的,提取风险文件对应的文件特征时,以自然语言的识别作为关键内容的识别,可以对风险文件进行自然语言识别,以提取风险文件中具有自然语言语义的内容信息作为文件特征。具体可以采用任意适用的自然语言识别的方案,一种可能的实现方式中,可以使用Markov马尔可夫语言模型来检测文本字符串是否具有人类自然语言语义,马尔可夫语言模型的识别过程中,首先确定检测对象的状态,然后确定状态之间转移概率,再进行结果预测,应用到本申请实施例也即是预测风险文件中的字符串与预先获得的自然语言的相似性来确定是否存在自然语言,并提取出自然语言表达的字符串。
步骤S202,根据所述文件特征对应于所述风险文件的表征数据筛选多个目标文件特征,所述多个目标文件特征至少对应两类风险识别结果。
可以确定文件特征的词频和逆向文件频率(Term Frequency-Inverse DocumentFrequency,TF-IDF)作为文件特征对风险文件的表征数据,也即是通过TF-IDF值来衡量文件特征对风险文件的表征程度,进一步筛选表征数据排序靠前的文件特征作为目标文件特征。具体实现中,还可以采用其他类型的表征数据,或者还可以通过自学习模型来实现,本申请对此并不作限制。
本申请的多个目标文件特征至少对应两类风险识别结果,也即是说,多个目标文件特征中,至少有两个目标文件特征对应的风险识别结果是不同的。具体可以是,多个目标文件特征至少包括单独使用时对应于风险文件的识别结果的第一目标文件特征和单独使用时对应于安全文件的识别结果的第二目标文件特征;例如,将单独进行风险识别时对应识别为风险文件(黑文件)的文件特征作为黑特征,将单独进行风险识别时对应识别为安全文件(白文件)的文件特征作为白特征。当然实际应用中,还可以定义其他的风险识别结果,例如,针对中间文件(即不确定为黑文件还是白文件的灰文件),目标文件特征除了包括上述第一目标文件特征和第二目标文件特征之外,还可以包括第三目标文件特征,其单独使用时基于该文件特征对文件的识别结果为灰文件。
此处针对文件特征对应的风险识别结果的确定,是基于该文件特征单独进行风险识别时获得的结果,可以借助一些已有的病毒识别程序实现,也可以通过一些判断规则实现。例如,除去上述风险文件之外,还可以预先收集一些安全文件,在上述两类文件中对文件特征进行检测,若文件特征仅仅存在于某一个或多个风险文件中,则可以认为是对应识别结果为风险文件的第一目标文件特征,若文件特征仅仅存在于某一个或多个安全文件中,则可以认为是对应识别结果为安全文件的第二目标文件特征。针对包括第三目标文件特征的情况,可以通过文件特征存在于预置的中间文件中来进行确定,将同时存在于某一个或多个安全文件以及某一个或多个风险文件中,来将文件特征作为第三目标文件特征。换而言之,本申请实施例的方案中,可以将仅存在于风险文件中的特征作为黑特征,将仅存在于安全文件中的特征作为白特征,将仅存在于中间文件的特征作为灰特征。
由此可见,本申请实施例中对风险文件的文件特征的分类时,可以仅根据特征存在的位置进行文件对应风险识别结果的定义,从而可以简化特征提取的过程,避免排白方案因为收集质量的问题导致规则质量差存在误报的问题。
因此,在上述筛选目标文件特征的过程中,还可以识别所筛选的目标文件特征对应于风险文件或是安全文件,进一步筛选对应于风险文件的第一目标文件特征和对应于安全文件的第二目标文件特征。上述识别目标文件特征对应的风险识别结果和根据表征数据筛选特征的步骤可以根据需要安排先后执行,例如,可以先确定风险识别结果,再从各类风险识别结果对应的文件特征中根据表征数据分别筛选目标文件特征,也可以先根据表征数据筛选初始的目标文件特征,再进一步根据识别到风险识别结果选择可以对应到多个风险识别结果的多个目标文件特征。
步骤S203,基于所筛选的多个目标文件特征构建风险识别规则,所述风险识别规则用于风险文件的检测。
基于上述筛选的多个目标文件特征可以进一步构建风险识别规则,并将风险识别规则用于风险文件的检测,例如,可以下发到至少一个云计算设备用于风险检测。
构建风险规则时,可以针对不同类型的风险识别结果分别选取至少一个目标文件特征;基于选取的不同类型的风险识别结果对应的目标文件特征构建风险识别规则。
风险识别规则指示了某个文件是否命中对应不同风险识别结果的文件特征。例如,若某个文件命中了黑特征,同时又命中了白特征,则可以认为是风险文件;或是,同时命中了黑特征、白特征和灰特征,则可以认为是风险文件。相比于仅仅根据黑特征或白特征进行筛选的情况,可以大大提高文件识别的准确性。
风险识别规则中针对不同风险识别结果可以包括有一条或多条文件特征,例如,命中一条黑特征+命中至少20条灰特征+命中所有白特征。具体的命中的个数可以根据实际需要设定,或是通过对风险文件和安全文件的自学习分析获得,或是通过不断的自学习调试获得,以使得识别结果贴近样本原有标记的风险识别结果。
依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。本申请实施例可以进一步将风险识别规则下发到至少一个云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
由于无需大量收集白特征库,而是直接对多个风险文件对应的文件特征进行进一步的分类,也即是根据识别到的文件特征进行对应不同风险识别结果的分类,从而可以自动获得对应不同风险识别结果的文件特征,可以提高规则生成的质量,进一步提高识别的准确性,并且由于无需加载白特征库,可以降低对各种资源的消耗,直接将生成的规则下发到对应的云计算设备进行风险检测,可以提高风险检测的及时性,避免给云计算平台带来过大的计算压力和资源占用。
一种可能的实现方式中,在上述识别风险文件对应的文件特征之前,还可以从至少一个风险管理平台收集风险文件,并将风险文件划分至不同风险类别对应的文件集合中,以针对不同的风险类别构建风险识别规则。例如可以分为木马类的病毒文件、DDOS(Distributed Denial of Service,分布式拒绝服务攻击)分布式拒绝服务攻击式的病毒文件等等,针对不同分类的风险类别分别构建识别规则可以使得识别规则适应各种风险类别的特点,提高相应的识别准确性。
一种可能的实现方式中,还可以使用构建的风险识别规则对上述使用到的风险文件进行识别,也即是使用构建的规则对风险文件进行识别验证,并根据本次风险识别结果对风险规则、文件特征的提取操作、目标文件特征的筛选操作中的至少一种进行修正,具体需要修正部分环节还是所有操作,可以根据实际需要设定。例如,对安全文件的风险识别结果为风险文件,则风险识别规则可能过于严格,可以降低命中的白特征和/或灰特征的条数。或者,可以先检测白特征的提取是否准确,进一步检测白特征的筛选是否合适,再确定是否需要调整文件识别规则中各个特征的条数和命中个数的设计。
上述实施例给出了云计算平台生成风险识别规则的过程,如下基于云计算设备的角度,给出本申请一种风险处理方法的一实施例。
图3是本申请一实施例的一种风险处理方法的流程图,可以部署在云计算设备上,所述云计算设备基于云计算平台的计算资源提供服务,该方法包括:
步骤S301,获取云计算平台下发的风险识别规则,所述风险识别规则基于目标文件特征构建,所述目标文件特征从风险文件对应的文件特征中根据所述文件特征对应于所述风险文件的表征数据筛选获得,所述多个目标文件特征至少对应两类风险识别结果。
步骤S302,基于所述风险识别规则进行风险检测。
依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。本申请实施例可以进一步将风险识别规则下发到至少一个云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
与本申请实施例提供的方法的应用场景以及方法相对应地,本申请实施例还提供一种风险处理装置,该装置可以部署于云计算平台。如图4所示为本申请一实施例的风险处理装置的结构框图,该风险处理装置可以包括:
特征提取模块401,用于提取风险文件对应的文件特征;
特征筛选模块402,用于根据所述文件特征对应于所述风险文件的表征数据筛选多个目标文件特征,所述多个目标文件特征至少对应两类风险识别结果;
规则构建模块403,用于基于所筛选的多个目标文件特征构建风险识别规则,所述风险识别规则用于风险文件的检测。
一种可能的实现方式中,所述特征提取模块,具体用于对所述风险文件进行关键内容识别,并将识别到的关键内容作为所述风险文件的文件特征,所述关键内容识别包括执行功能识别、字段内容识别、自然语言识别中的至少一种。
一种可能的实现方式中,所述特征提取模块包括:功能识别子模块,用于对所述风险文件进行执行功能识别,以提取所述风险文件中包括的处理函数作为文件特征,所述处理函数包括导入函数、导出函数和功能字符串中至少一种。
一种可能的实现方式中,所述特征提取模块包括:字段识别子模块,用于对所述风险文件进行字段内容识别,以提取所述风险文件用于表征文件属性的至少一个目标字段作为文件特征。
一种可能的实现方式中,所述特征提取模块包括:自然语言识别子模块,用于对所述风险文件进行自然语言识别,以提取所述风险文件中具有自然语言语义的内容信息作为文件特征。
一种可能的实现方式中,所述特征筛选模块包括:表征数据确定模块,用于确定所述文件特征的词频和逆向文件频率作为所述文件特征对所述风险文件的表征数据;特征筛选子模块,用于筛选表征数据排序靠前的文件特征作为目标文件特征。
一种可能的实现方式中,所述风险识别结果包括风险文件和安全文件,所述多个目标文件特征至少包括单独使用时对应于风险文件的识别结果的第一目标文件特征和单独使用时对应于安全文件的识别结果的第二目标文件特征;
所述特征筛选模块还包括:
特征识别子模块,用于识别所筛选的目标文件特征对应于风险文件或是安全文件;
特征再次筛选子模块,用于进一步筛选对应于风险文件的第一目标文件特征和对应于安全文件的第二目标文件特征。
一种可能的实现方式中,所述规则构建模块,具体用于针对不同类型的风险识别结果分别选取至少一个目标文件特征;基于选取的不同类型的风险识别结果对应的目标文件特征构建风险识别规则。
一种可能的实现方式中,所述装置还包括:风险文件收集模块,用于从至少一个风险管理平台收集风险文件,并将所述风险文件划分至不同风险类别对应的文件集合中,以针对不同的风险类别构建风险识别规则。
一种可能的实现方式中,所述装置还包括:修正模块,用于使用构建的风险识别规则对所述风险文件进行识别,并根据本次风险识别结果对所述风险规则、文件特征的提取操作、目标文件特征的筛选操作中的至少一种进行修正。
依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。本申请实施例可以进一步将风险识别规则下发到至少一个云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
与本申请实施例提供的方法的应用场景以及方法相对应地,本申请实施例还提供一种风险处理装置,该装置可以部署于云计算设备,云计算设备基于云计算平台的计算资源提供服务。如图5所示为本申请一实施例的风险处理装置的结构框图,该风险处理装置可以包括:
规则获取模块501,用于获取云计算平台下发的风险识别规则,所述风险识别规则基于目标文件特征构建,所述目标文件特征从风险文件对应的文件特征中根据所述文件特征对应于所述风险文件的表征数据筛选获得,所述多个目标文件特征至少对应两类风险识别结果;
风险检测模块502,用于基于所述风险识别规则进行风险检测。
依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。本申请实施例可以进一步将风险识别规则下发到至少一个云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
本申请实施例各装置中的各模块的功能可以参见上述方法中的对应描述,并具备相应的有益效果,在此不再赘述。
图6为用来实现本申请实施例的电子设备的框图。如图6所示,该电子设备包括:存储器610和处理器620,存储器610内存储有可在处理器620上运行的计算机程序。处理器620执行该计算机程序时实现上述实施例中的方法。存储器610和处理器620的数量可以为一个或多个。
该电子设备还包括:
通信接口630,用于与外界设备进行通信,进行数据交互传输。
如果存储器610、处理器620和通信接口630独立实现,则存储器610、处理器620和通信接口630可以通过总线相互连接并完成相互间的通信。该总线可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准体系结构(Extended Industry StandardArchitecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器610、处理器620及通信接口630集成在一块芯片上,则存储器610、处理器620及通信接口630可以通过内部接口完成相互间的通信。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现本申请实施例中提供的方法。
本申请实施例还提供了一种芯片,该芯片包括,包括处理器,用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行本申请实施例提供的方法。
本申请实施例还提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行申请实施例提供的方法。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(Advanced RISC Machines,ARM)架构的处理器。
进一步地,可选的,上述存储器可以包括只读存储器和随机存取存储器,还可以包括非易失性随机存取存储器。该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以包括只读存储器(Read-OnlyMemory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以包括随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic Random Access Memory,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分。并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。
应理解的是,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。上述实施例方法的全部或部分步骤是可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。该存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (13)
1.一种风险处理方法,其特征在于,应用于云计算平台,所述方法包括:
提取风险文件对应的文件特征;
根据所述文件特征对应于所述风险文件的表征数据筛选多个目标文件特征,所述多个目标文件特征至少对应两类风险识别结果;
基于所筛选的多个目标文件特征构建风险识别规则,所述风险识别规则用于风险文件的检测。
2.根据权利要求1所述的方法,其特征在于,所述提取风险文件对应的文件特征包括:
对所述风险文件进行关键内容识别,并将识别到的关键内容作为所述风险文件的文件特征,所述关键内容识别包括执行功能识别、字段内容识别、自然语言识别中的至少一种。
3.根据权利要求1所述的方法,其特征在于,所述提取风险文件对应的文件特征包括:
对所述风险文件进行执行功能识别,以提取所述风险文件中包括的处理函数作为文件特征,所述处理函数包括导入函数、导出函数和功能字符串中至少一种。
4.根据权利要求1所述的方法,其特征在于,所述提取风险文件对应的文件特征包括:
对所述风险文件进行字段内容识别,以提取所述风险文件用于表征文件属性的至少一个目标字段作为文件特征。
5.根据权利要求1所述的方法,其特征在于,所述提取风险文件的文件特征包括:
对所述风险文件进行自然语言识别,以提取所述风险文件中具有自然语言语义的内容信息作为文件特征。
6.根据权利要求1所述的方法,其特征在于,所述根据所述文件特征对应于所述风险文件的表征数据筛选目标文件特征包括:
确定所述文件特征的词频和逆向文件频率作为所述文件特征对所述风险文件的表征数据;
筛选表征数据排序靠前的文件特征作为目标文件特征。
7.根据权利要求6所述的方法,其特征在于,所述风险识别结果包括风险文件和安全文件,所述多个目标文件特征至少包括单独使用时对应于风险文件的识别结果的第一目标文件特征和单独使用时对应于安全文件的识别结果的第二目标文件特征;
所述根据所述文件特征对应于所述风险文件的表征数据筛选目标文件特征还包括:
识别所筛选的目标文件特征对应于风险文件或是安全文件;
进一步筛选对应于风险文件的第一目标文件特征和对应于安全文件的第二目标文件特征。
8.根据权利要求1所述的方法,其特征在于,所述基于所筛选的多个目标文件特征构建风险识别规则包括:
针对不同类型的风险识别结果分别选取至少一个目标文件特征;
基于选取的不同类型的风险识别结果对应的目标文件特征构建风险识别规则。
9.根据权利要求1所述的方法,其特征在于,还包括:
从至少一个风险管理平台收集风险文件,并将所述风险文件划分至不同风险类别对应的文件集合中,以针对不同的风险类别构建风险识别规则。
10.根据权利要求1所述的方法,其特征在于,还包括:
使用构建的风险识别规则对所述风险文件进行识别,并根据本次风险识别结果对所述风险规则、文件特征的提取操作、目标文件特征的筛选操作中的至少一种进行修正。
11.一种风险处理方法,其特征在于,所述方法包括:
获取云计算平台下发的风险识别规则,所述风险识别规则基于目标文件特征构建,所述目标文件特征从风险文件对应的文件特征中根据所述文件特征对应于所述风险文件的表征数据筛选获得,所述多个目标文件特征至少对应两类风险识别结果;
基于所述风险识别规则进行风险检测。
12.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器在执行所述计算机程序时实现权利要求1-11中任一项所述的方法。
13.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-11中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210815113.1A CN115130103A (zh) | 2022-07-11 | 2022-07-11 | 风险处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210815113.1A CN115130103A (zh) | 2022-07-11 | 2022-07-11 | 风险处理方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115130103A true CN115130103A (zh) | 2022-09-30 |
Family
ID=83383082
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210815113.1A Pending CN115130103A (zh) | 2022-07-11 | 2022-07-11 | 风险处理方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115130103A (zh) |
-
2022
- 2022-07-11 CN CN202210815113.1A patent/CN115130103A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2807598B1 (en) | Identifying trojanized applications for mobile environments | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
RU2708356C1 (ru) | Система и способ двухэтапной классификации файлов | |
CN104517054B (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
US20130291111A1 (en) | Method and Device for Program Identification Based on Machine Learning | |
US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
US11533325B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
CN110929264A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN116610326A (zh) | 区块链智能合约的安全性检测方法、设备及存储介质 | |
US20220237289A1 (en) | Automated malware classification with human-readable explanations | |
CN115130103A (zh) | 风险处理方法、装置、电子设备及存储介质 | |
CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
CN107239704A (zh) | 恶意网页发现方法及装置 | |
EP3964987A1 (en) | Learning device, determination device, learning method, determination method, learning program, and determination program | |
CN112528286A (zh) | 终端设备安全检测方法、关联设备以及计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |