CN115484151A - 基于复合事件处理的威胁检测方法及装置 - Google Patents
基于复合事件处理的威胁检测方法及装置 Download PDFInfo
- Publication number
- CN115484151A CN115484151A CN202211167953.8A CN202211167953A CN115484151A CN 115484151 A CN115484151 A CN 115484151A CN 202211167953 A CN202211167953 A CN 202211167953A CN 115484151 A CN115484151 A CN 115484151A
- Authority
- CN
- China
- Prior art keywords
- event
- configuration file
- behavior
- hit
- behavior event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 75
- 238000012545 processing Methods 0.000 title claims abstract description 26
- 239000002131 composite material Substances 0.000 title claims abstract description 19
- 238000000034 method Methods 0.000 claims abstract description 43
- 230000006399 behavior Effects 0.000 claims description 215
- 230000003542 behavioural effect Effects 0.000 claims description 36
- 238000004590 computer program Methods 0.000 claims description 13
- 230000014509 gene expression Effects 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 9
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 150000001875 compounds Chemical class 0.000 description 2
- 230000008030 elimination Effects 0.000 description 2
- 238000003379 elimination reaction Methods 0.000 description 2
- 230000007717 exclusion Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供了一种基于复合事件处理的威胁检测方法及装置,其中方法包括:获取与至少一种威胁程序对应的配置文件;配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;确定终端设备上发生的任一待检测的行为事件;根据每一配置文件中的行为事件匹配规则对行为事件和该配置文件中的各个行为事件类型进行匹配;若命中与该行为事件匹配的目标事件类型,根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除。本方案,能够提高威胁检测结果的准确性。
Description
技术领域
本发明实施例涉及计算机安全技术领域,特别涉及一种基于复合事件处理的威胁检测方法及装置。
背景技术
为保证终端设备的安全,需要对终端设备中是否存在威胁程序进行检测和告警。目前,对终端设备中是否存在威胁程序进行检测和告警,是由终端设备上报日志文件到服务端,由服务端基于终端设备的日志文件对终端设备产生的行为特征进行检测,每当检测到终端设备产生的行为特征命中威胁程序对应的行为特征,则进行命中次数的累加,当命中次数达到告警阈值时则对终端设备进行告警处理。但是,终端设备在上报日志文件时,经常存在行为特征的重报、多报等情况,影响检测结果的准确性。
发明内容
基于检测结果准确性较低的问题,本发明实施例提供了一种基于复合事件处理的威胁检测方法及装置,能够提高威胁检测结果的准确性。
第一方面,本发明实施例提供了一种基于复合事件处理的威胁检测方法,包括:
获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
确定终端设备上发生的任一待检测的行为事件;
根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配;
若命中与该行为事件匹配的目标事件类型,则根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,返回确定终端设备上发生的任一待检测的行为事件的步骤。
在一种可能的实现方式中,所述根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,包括:
确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,若是,则确定当前满足该配置文件对应的告警条件。
在一种可能的实现方式中,所述告警条件通过设置要求的命中次数以实现要求命中的行为事件类型的设置;
所述确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:
确定当前已命中的目标事件类型的数量是否达到该配置文件对应的告警条件中要求的命中次数,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
在一种可能的实现方式中,所述告警条件要求的命中次数是基于对应配置文件中行为事件类型的初始数量自动生成的。
在一种可能的实现方式中,所述告警条件通过设置每一个行为事件类型的威胁权值以实现要求命中的行为事件类型的设置;
所述确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:
确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
在一种可能的实现方式中,所述根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,包括:
基于所述行为事件匹配规则中对每一个行为事件类型设置的行为事件正则表达式,检测该行为事件是否匹配到该配置文件中的其中一个行为事件类型;
若匹配到,则确定该行为事件类型被匹配到的次数是否达到针对该行为事件类型设置的阈值匹配次数;若达到,则确定该行为事件命中该配置文件中的该行为事件类型。
在一种可能的实现方式中,还包括:预先对终端设备进行分组,以基于每一个分组内终端设备上发生的行为事件确定对应分组内是否存在威胁程序。
第二方面,本发明实施例还提供了一种基于复合事件处理的威胁检测装置,包括:
配置文件获取单元,用于获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
行为事件确定单元,用于确定终端设备上发生的任一待检测的行为事件;
匹配单元,用于根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,若命中与该行为事件匹配的目标事件类型,则触发告警单元执行相应操作;
所述告警单元,用于根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,并触发所述行为事件确定单元继续执行相应操作。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种基于复合事件处理的威胁检测方法及装置,针对每一个种类的威胁程序获取配置文件,以利用配置文件检测是否存在对应种类的威胁程序,针对终端设备上发生的任一待检测的行为事件,若配置文件中命中与该行为事件匹配的目标事件类型,根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,若不满足告警条件则排除该配置文件中的该目标事件类型,以利用剩余行为事件类型继续对后续行为事件进行匹配,直到已命中的目标事件类型满足告警条件时,则进行告警。本方案中,如果存在某个行为事件的重报或多报情况,假设该某个行为事件在首次发生上报时命中了一个行为事件类型,则将该行为事件类型排除,当该某个行为事件再次发生并上报时是基于排除后的剩余行为事件类型进行检测的,可见,该重报或多报的行为事件不会影响威胁检测的结果,从而可以提高威胁检测结果的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种基于复合事件处理的威胁检测方法流程图;
图2是本发明一实施例提供的一种电子设备的硬件架构图;
图3是本发明一实施例提供的一种基于复合事件处理的威胁检测装置结构图;
图4是本发明一实施例提供的另一种基于复合事件处理的威胁检测装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,传统的威胁检测方式中,每当检测到命中的行为特征则进行命中次数的累加,当命中次数达到告警值时则进行告警处理。然而,若存在行为特征的重报、多报情况,对于重报或多报的行为特征依然会进行命中次数的累加;另外,对于存在行为序列的行为特征,若上报过程中导致行为序列乱序,则会无法命中对应的行为特征。可见传统方式中检测结果的准确性较低。
基于上述问题,本发明的发明构思在于:以行为事件作为检测标准,而非以行为特征作为检测标准,能够降低行为序列乱序对检测结果带来的影响;另外,在威胁检测过程中,基于复合事件处理的命中排除法将命中的事件类型排除,以利用剩余事件类型进行下一次威胁检测,如此对于命中的事件类型不会受到重报或多报的行为事件的影响,因此,可以进一步降低对检测结果的影响。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种基于复合事件处理的威胁检测方法,应用于服务端侧,该方法包括:
步骤100,获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
步骤102,确定终端设备上发生的任一待检测的行为事件;
步骤104,根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配;
步骤106,若命中与该行为事件匹配的目标事件类型,则根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,返回确定终端设备上发生的任一待检测的行为事件的步骤。
本发明实施例中,针对每一个种类的威胁程序获取配置文件,以利用配置文件检测是否存在对应种类的威胁程序,针对终端设备上发生的任一待检测的行为事件,若配置文件中命中与该行为事件匹配的目标事件类型,根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,若不满足告警条件则排除该配置文件中的该目标事件类型,以利用剩余行为事件类型继续对后续行为事件进行匹配,直到已命中的目标事件类型满足告警条件时,则进行告警。本方案中,如果存在某个行为事件的重报或多报情况,假设该某个行为事件在首次发生上报时命中了一个行为事件类型,则将该行为事件类型排除,当该某个行为事件再次发生并上报时是基于排除后的剩余行为事件类型进行检测的,可见,该重报或多报的行为事件不会影响威胁检测的结果,从而可以提高威胁检测结果的准确性。
在描述图1所示的各个步骤的执行方式之前,先对本发明实施例的实施架构进行说明。
本发明实施例中,创建实时该威胁检测方法的程序并封装为威胁检测装置;终端设备实时上报的数据为流数据,可以通过数据库(比如kafka数据库)将流数据输出给威胁检测装置,威胁检测装置可以同时按照多个配置文件实现对流数据进行多种类威胁程序的检测。也可以是基于威胁程序种类数量,封装得到相同数量的威胁检测装置,每一个威胁检测装置一一对应获取威胁程序的配置文件,数据库将流数据分别输入至各威胁检测装置,每一个威胁检测装置仅对对应种类的威胁程序进行检测。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件。
在互联网领域中,威胁程序多种多样,且不同种类威胁程序的行为事件不同。因此,本发明实施例中,需要针对不同种类的威胁程序分别配置对应的配置文件。
其中,配置文件中可以包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件。
本发明实施例中,配置文件的全部内容或部分内容可以人工手动生成。其中,手动生成的部分内容包括:行为事件类型和行为事件匹配规则。而告警条件可以由人工手动生成,也可以按照预设规则自动生成。
具体地,行为事件类型的生成方式可以是由安全管理人员基于威胁程序知识,手动为各种类威胁程序配置对应的行为事件类型。比如,威胁程序NewCoreRAT可以包括7种行为事件类型,威胁程序Pandora可以包括6种行为事件类型。
需要说明的是,不同种类的威胁程序可以存在相同的行为事件类型。
行为事件匹配规则用于实现对行为特征的检测,以确定行为事件是否为对应的行为事件类型,具体地,行为事件匹配规则可以包括:与若干个事件类型一一对应的行为事件正则表达式。对于威胁程序NewCoreRAT,由于其包括7种行为事件类型,因此配置文件中的行为事件匹配规则包括7个行为事件正则表达式。
进一步地,配置文件中还可以包括行为事件所对应特征的描述,以辅助行为事件正则表达式对行为事件的检测。
告警条件是用于触发告警所需满足的条件,可以由人工手动配置,也可以根据已经手动配置完成的配置文件自动生成告警条件。
本发明一个实施例中,在实现告警条件的设置时,可以通过如下两种形式进行设置:
形式一:告警条件通过设置要求的命中次数以实现要求命中的行为事件类型的设置。
在形式一的一种实现方式中,该告警条件要求的命中次数是基于对应配置文件中行为事件类型的数量自动生成的。
本发明一个实施例中,可以预先设置命中次数的生成规则,比如为行为事件类型数量的一半向上取整,再比如为行为事件类型数量的60%向上取整,等等。以行为事件类型数量的一半向上取整为例,威胁程序NewCoreRAT的命中次数为4,威胁程序Pandora的命中次数为3。
需要说明的是,本发明实施例中的命中次数是指多个事件类型中的命中数量。比如,命中威胁程序NewCoreRAT中任意四个事件类型,则确定满足告警条件。
在形式一的另一种实现方式中,该告警条件通过人工手工设置必须命中的行为事件类型之后,自动生成除必须命中的行为事件类型之外要求其他行为事件类型的命中次数。比如,威胁程序NewCoreRAT中7个行为事件类型中,行为事件类型1和行为事件类型2为必须命中的行为事件类型,自动生成的命中次数为2次,那么当行为事件类型1和行为事件类型2均命中之外,其他5个行为事件类型中任意两个行为事件类型被命中,则确定满足告警条件。
形式二:告警条件通过设置每一个行为事件类型的威胁权值以实现要求命中的行为事件类型的设置。
在形式二中,威胁权值越大表明该行为事件类型带来的威胁程度越大,也就是说存在对应种类威胁程序的概率越大。
在为行为事件类型设置威胁权值时,可以将必须命中的行为事件类型设置为较大威胁权值。进一步地,还需要设置告警阈值,当命中的事件类型的威胁权值之和达到告警阈值后则确定满足告警条件。
无论是手动配置还是自动配置,当威胁程序的配置文件完成之后,则可以依据配置文件对相应种类的威胁程序进行检测。
另外,为了适配对流数据的处理,该配置文件的格式可以是json格式。
然后针对步骤102,获取由终端设备实时上报的行为事件。
本发明实施例中,可以在所需进行威胁检测的终端设备上设置采集探针,用于采集并上报终端设备上的事件日志。在进行上报时,可以直接上报事件日志,由服务端对事件日志进行解析以获得行为事件,也可以由终端设备将事件日志中的各种行为事件解析出来之后,将行为事件上报给服务端。
其中,行为事件可以包括但不限于:进程事件、文件事件、模块加载事件、网络事件、注册表事件等。
本发明一个实施例中,可以预先对终端设备进行分组,以基于每一个分组内终端设备上发生的行为事件确定对应分组内是否存在威胁程序。
分组时可以以终端设备的UUID作为分组依据,可以将一个终端设备分为一组,也可以将多个终端设备分为一组。当将一个终端设备分为一组时,即是检测单个终端设备内是否存在威胁程序;当将多个终端设备分为一组时,比如将属于同一个局域网的终端设备分为一组,则是检测该局域网内是否存在威胁程序。
本发明实施例中,威胁程序在对某个终端设备或某个局域网发起攻击时,可以是先从其所属局域网内的其他终端设备发起攻击,且会分散攻击,以实现全面渗透击破,因此通过将终端设备分组,可以明确威胁检测范围,以及时检测出威胁检测范围内的威胁。
然后针对步骤104,根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配。
以行为事件匹配规则对行为事件类型为进程事件、文件事件、模块加载事件进行检测为例,对当前行为事件进行威胁检测进行说明。
进程事件:进程事件对应的行为事件正则表达式包括进程路径+参数,以正则匹配当前行为事件是否为进程事件;
文件事件:文件事件对应的行为事件正则表达式包括文件路径,以正则匹配当前行为事件的文件名称,来确定是否为文件事件;
模块加载事件:模块加载事件对应的行为事件正则表达式包括加载的文件路径,以正则匹配加载的文件名称,来确定是否为模块加载事件。
在本发明一个实施例中,还可以针对行为事件类型进一步设置匹配次数以确定是否命中,具体地:
基于所述行为事件匹配规则中对每一个行为事件类型设置的行为事件正则表达式,检测当前行为事件是否匹配到对应配置文件中的其中一个事件类型;
若匹配到,则确定该行为事件类型被匹配到的次数是否达到针对该行为事件类型设置的阈值匹配次数;若达到,则确定该当前行为事件命中对应配置文件中的该行为事件类型。
其中,不同的行为事件类型可以设置为相同阈值匹配次数,也可以设置不同阈值匹配次数。
举例来说,阈值匹配次数均设置为2,行为事件类型每被匹配到一次则对匹配次数累加1,当累加后的匹配次数达到2次时,则表明该行为事件类型被命中。
若阈值匹配次数大于1,当存在行为事件漏报的情况时,原本可能已经命中了该行为事件对应的行为事件类型,而由于阈值匹配次数较大,导致该行为事件类型无法被命中,从而影响检测结果。因此,优选地,阈值匹配次数均设置为1,即只要匹配到一次,则表明该事件类型命中,从而可以降低行为事件漏报情况对检测结果的影响,进而提高威胁检测结果的准确性。
步骤106,若命中与该行为事件匹配的目标事件类型,则根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,返回确定终端设备上发生的任一待检测的行为事件的步骤。
本发明实施例中,每当确定一个目标事件类型命中,则需要确定已命中的目标事件类型是否满足该配置文件对应的告警条件,具体地可以包括:确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,若是,则确定满足该配置文件对应的告警条件。
需要说明的是,每命中一个行为事件类型,则需要对命中的行为事件类型进行记录,以确定是否满足告警条件。
进一步地,当告警条件设置形式不同时,本步骤中满足告警条件的确定方式也不同。
当上述步骤102中的告警条件是以形式一进行设置的,那么确定已命中的弥补事件类型是否满足该配置文件对应的告警条件中要求命中的事件类型可以包括:确定已命中的目标事件类型的数量是否达到对应的告警条件中要求的命中次数,若是,则确定已命中的目标事件类型满足对应的告警条件中要求命中的行为事件类型。
当上述步骤102中的告警条件是以形式二进行设置的,那么确定已命中的弥补事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型可以包括:确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值,若是,则确定已命中的目标事件类型满足对应的告警条件中要求命中的行为事件类型。
进一步地,若当前尚未满足告警条件,则需要进行下一次的威胁检测。为了解决威胁程序存在行为序列乱序、某些行为事件不发生或发生多次的问题,可以采用CEP命中排除法将已经命中的目标事件类型排除,无需重复进行命中检测,而在下一次威胁检测时仅利用剩余事件类型来完成检测。
以威胁程序NewCoreRAT为例,假设告警条件为要求的命中次数为4次:
在第一次威胁检测时,若命中7个行为事件类型中的任意一个行为事件类型,假设为行为事件类型2,则将该命中的行为事件类型2排除,并进入下一次威胁检测;
在第二次威胁检测时,若命中剩余6个行为事件类型中的任意一个行为事件类型,假设为行为事件类型3,则将命中的行为事件类型3排除,并进入下一次威胁检测;
在第三次威胁检测时,若命中剩余5个行为事件类型中的任意一个行为事件类型,假设为行为事件类型7,则将命中的行为事件类型7排除,并进入下一次威胁检测;
在第四次威胁检测时,若命中剩余4个行为事件类型中的任意一个行为事件类型,假设为行为事件类型1,则确定检测到威胁程序NewCoreRAT,产生告警。
由于告警条件是存在于配置文件中的,当获取到配置文件之后,不仅可以利用配置文件对威胁程序进行检测,还可以利用配置文件确定是否达到告警条件,从而完成对终端设备的安全预警。
进一步地,若在步骤104中未命中,则继续执行步骤102以进行下一次威胁检测。
在本发明一个实施例中,若不同种类威胁程序的配置文件是由不同威胁检测装置分别获取的,每一个威胁检测装置对输入的流数据(行为事件)进行威胁检测后,还可以将多个威胁检测装置分别满足告警条件的数据进行合流,以产生告警。通过合流,可以使得由相同威胁检测程序封装而成的威胁检测装置实现多个检测,可以满足断点产品的高性能低消耗的需求。
如图2、图3所示,本发明实施例提供了一种基于复合事件处理的威胁检测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种基于复合事件处理的威胁检测装置所在电子设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种基于复合事件处理的威胁检测装置,包括:
配置文件获取单元301,用于获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
行为事件确定单元302,用于确定终端设备上发生的任一待检测的行为事件;
匹配单元303,用于根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,若命中与该行为事件匹配的目标事件类型,则触发告警单元304执行相应操作;
所述告警单元304,用于根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,并触发所述行为事件确定单元继续执行相应操作。
在本发明一个实施例中,所述告警单元304在根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件时,具体包括:确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,若是,则确定当前满足该配置文件对应的告警条件。
在本发明一个实施例中,所述告警条件通过设置要求的命中次数以实现要求命中的行为事件类型的设置;
所述告警单元304在确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型时,具体包括:确定当前已命中的目标事件类型的数量是否达到该配置文件对应的告警条件中要求的命中次数,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
在本发明一个实施例中,所述告警条件要求的命中次数是基于对应配置文件中行为事件类型的初始数量自动生成的。
在本发明一个实施例中,所述告警条件通过设置每一个行为事件类型的威胁权值以实现要求命中的行为事件类型的设置;
所述告警单元304在确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型时,具体包括:确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
在本发明一个实施例中,所述匹配单元303在根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配时,具体包括:基于所述行为事件匹配规则中对每一个行为事件类型设置的行为事件正则表达式,检测该行为事件是否匹配到该配置文件中的其中一个行为事件类型;若匹配到,则确定该行为事件类型被匹配到的次数是否达到针对该行为事件类型设置的阈值匹配次数;若达到,则确定该该行为事件命中该配置文件中的该行为事件类型。
在本发明一个实施例中,请参考图4,该基于复合事件处理的威胁检测装还可以包括:分组单元305,用于预先对终端设备进行分组,以触发威胁检测单元基于每一个分组内终端设备上发生的行为事件确定对应分组内是否存在威胁程序。
可以理解的是,本发明实施例示意的结构并不构成对一种基于复合事件处理的威胁检测装置的具体限定。在本发明的另一些实施例中,一种基于复合事件处理的威胁检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种基于复合事件处理的威胁检测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种基于复合事件处理的威胁检测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于复合事件处理的威胁检测方法,其特征在于,包括:
获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
确定终端设备上发生的任一待检测的行为事件;
根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配;
若命中与该行为事件匹配的目标事件类型,则根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,返回确定终端设备上发生的任一待检测的行为事件的步骤。
2.根据权利要求1所述的方法,其特征在于,所述根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件,包括:
确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,若是,则确定当前满足该配置文件对应的告警条件。
3.根据权利要求2所述的方法,其特征在于,所述告警条件通过设置要求的命中次数以实现要求命中的行为事件类型的设置;
所述确定已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:
确定当前已命中的目标事件类型的数量是否达到该配置文件对应的告警条件中要求的命中次数,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
4.根据权利要求3所述的方法,其特征在于,所述告警条件要求的命中次数是基于对应配置文件中行为事件类型的初始数量自动生成的。
5.根据权利要求2所述的方法,其特征在于,所述告警条件通过设置每一个行为事件类型的威胁权值以实现要求命中的行为事件类型的设置;
所述确定当前已命中的目标事件类型是否满足该配置文件对应的告警条件中要求命中的行为事件类型,包括:
确定已命中的各目标事件类型的威胁权值之和是否达到设定告警阈值,若是,则确定已命中的目标事件类型满足该配置文件对应的告警条件中要求命中的行为事件类型。
6.根据权利要求1-5中任一所述的方法,其特征在于,所述根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,包括:
基于所述行为事件匹配规则中对每一个行为事件类型设置的行为事件正则表达式,检测该行为事件是否匹配到该配置文件中的其中一个行为事件类型;
若匹配到,则确定该行为事件类型被匹配到的次数是否达到针对该行为事件类型设置的阈值匹配次数;若达到,则确定该行为事件命中该配置文件中的该行为事件类型。
7.根据权利要求1-5中任一所述的方法,其特征在于,还包括:预先对终端设备进行分组,以基于每一个分组内终端设备上发生的行为事件确定对应分组内是否存在威胁程序。
8.一种基于复合事件处理的威胁检测装置,其特征在于,包括:
配置文件获取单元,用于获取与至少一种威胁程序对应的配置文件;所述配置文件中包括对应种类威胁程序的若干个行为事件类型、行为事件匹配规则和告警条件;
行为事件确定单元,用于确定终端设备上发生的任一待检测的行为事件;
匹配单元,用于根据每一配置文件中的行为事件匹配规则对所述行为事件和该配置文件中的各个行为事件类型进行匹配,若命中与该行为事件匹配的目标事件类型,则触发告警单元执行相应操作;
所述告警单元,用于根据已命中的目标事件类型判断当前是否满足该配置文件对应的告警条件;若满足,则确定所述终端设备上存在该配置文件对应的威胁程序,并进行对应的威胁程序的告警,若不满足,则将目标事件类型从对应的配置文件中排除,并触发所述行为事件确定单元继续执行相应操作。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211167953.8A CN115484151B (zh) | 2022-09-23 | 2022-09-23 | 基于复合事件处理的威胁检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211167953.8A CN115484151B (zh) | 2022-09-23 | 2022-09-23 | 基于复合事件处理的威胁检测方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115484151A true CN115484151A (zh) | 2022-12-16 |
CN115484151B CN115484151B (zh) | 2023-11-21 |
Family
ID=84393256
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211167953.8A Active CN115484151B (zh) | 2022-09-23 | 2022-09-23 | 基于复合事件处理的威胁检测方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115484151B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230336409A1 (en) * | 2020-09-14 | 2023-10-19 | Nippon Telegraph And Telephone Corporation | Combination rules creation device, method and program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030221123A1 (en) * | 2002-02-26 | 2003-11-27 | Beavers John B. | System and method for managing alert indications in an enterprise |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
CN110659493A (zh) * | 2019-09-25 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 威胁告警方式生成的方法、装置、电子设备及存储介质 |
CN113872965A (zh) * | 2021-09-26 | 2021-12-31 | 国网四川省电力公司乐山供电公司 | 一种基于Snort引擎的SQL注入检测方法 |
-
2022
- 2022-09-23 CN CN202211167953.8A patent/CN115484151B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030221123A1 (en) * | 2002-02-26 | 2003-11-27 | Beavers John B. | System and method for managing alert indications in an enterprise |
CN106161451A (zh) * | 2016-07-19 | 2016-11-23 | 青松智慧(北京)科技有限公司 | 防御cc攻击的方法、装置及系统 |
CN109688105A (zh) * | 2018-11-19 | 2019-04-26 | 中国科学院信息工程研究所 | 一种威胁报警信息生成方法及系统 |
CN110659493A (zh) * | 2019-09-25 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 威胁告警方式生成的方法、装置、电子设备及存储介质 |
CN113872965A (zh) * | 2021-09-26 | 2021-12-31 | 国网四川省电力公司乐山供电公司 | 一种基于Snort引擎的SQL注入检测方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230336409A1 (en) * | 2020-09-14 | 2023-10-19 | Nippon Telegraph And Telephone Corporation | Combination rules creation device, method and program |
Also Published As
Publication number | Publication date |
---|---|
CN115484151B (zh) | 2023-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106682505B (zh) | 一种病毒检测方法、终端、服务器及系统 | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
US10291630B2 (en) | Monitoring apparatus and method | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
US20180046800A1 (en) | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal | |
CN108923972B (zh) | 一种去重流量提示方法、装置、服务器及存储介质 | |
US10776487B2 (en) | Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code | |
AU2017274576A1 (en) | Classification of log data | |
US9658908B2 (en) | Failure symptom report device and method for detecting failure symptom | |
CN110602135A (zh) | 网络攻击处理方法、装置以及电子设备 | |
CN110868418A (zh) | 一种威胁情报生成方法、装置 | |
CN115484151A (zh) | 基于复合事件处理的威胁检测方法及装置 | |
CN112671727A (zh) | 一种信息泄露检测方法及装置、设备、存储介质 | |
KR101619691B1 (ko) | 프로그램 오류 분석 방법 및 시스템 | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN111159708B (zh) | 检测服务器中网页木马的装置、方法及存储介质 | |
CN115794479B (zh) | 日志数据处理方法、装置、电子设备及存储介质 | |
CN108256327B (zh) | 一种文件检测方法及装置 | |
CN113660251B (zh) | 减少waf误报方法、系统、存储介质及终端设备 | |
CN114186278A (zh) | 数据库异常操作识别方法、装置与电子设备 | |
CN114172705A (zh) | 基于模式识别的网络大数据分析方法和系统 | |
JP6330280B2 (ja) | アラート出力装置、アラート出力方法、及び、アラート出力プログラム | |
CN113296831B (zh) | 应用标识的提取方法、装置、计算机设备及存储介质 | |
CN115664863B (zh) | 一种网络攻击事件处理方法、装置、存储介质及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |