CN115906064A - 一种检测方法、装置、电子设备、计算机可读介质 - Google Patents
一种检测方法、装置、电子设备、计算机可读介质 Download PDFInfo
- Publication number
- CN115906064A CN115906064A CN202211700131.1A CN202211700131A CN115906064A CN 115906064 A CN115906064 A CN 115906064A CN 202211700131 A CN202211700131 A CN 202211700131A CN 115906064 A CN115906064 A CN 115906064A
- Authority
- CN
- China
- Prior art keywords
- short
- detection
- final state
- condition
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 518
- 238000000034 method Methods 0.000 claims abstract description 70
- 230000002159 abnormal effect Effects 0.000 claims abstract description 25
- 230000014509 gene expression Effects 0.000 claims description 53
- 230000008569 process Effects 0.000 claims description 40
- 238000004590 computer program Methods 0.000 claims description 20
- 239000000523 sample Substances 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 11
- 238000004364 calculation method Methods 0.000 description 10
- 230000006854 communication Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000000354 decomposition reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002349 favourable effect Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本申请公开了一种检测方法、装置、电子设备、计算机可读介质,该方法包括:在获取到针对该检测对象产生的第一事件之后,将该第一事件与针对该检测对象学习的终态条件集中各终态条件进行匹配,当该终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的判定结果直接作为与该被匹配命中的终态条件关联的各检测规则对应的判定结果,该判定结果用于表征基于该第一事件所判定的该检测对象是否存在异常情况,如此能够实现借助单个终态条件对应的匹配结果,同时确定出多个检测规则的判定结果的目的,从而能够借助这些终态条件实现单次计算批量判定的目的,如此能够有效地降低威胁入侵检测处理的资源消耗。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种检测方法、装置、电子设备、计算机可读介质。
背景技术
随着互联网的发展,信息安全技术的应用领域越来越广泛。
例如,在一些业务场景下,可以预先针对某个业务设置一个检测规则集,以便后续能够利用该检测规则集以及在该业务下实际发生的事件,判定该业务是否存在风险,如此能够提高该业务的安全性。
实际上,当针对某个业务所设置的检测规则集比较复杂时,该业务所涉及的每次事件检测过程均具有较大的计算量,每次事件检测过程都需要消耗较多资源,在该业务所涉及的事件数据量比较大时现有检测方法会消耗非常多计算资源,并且难以保证时效性。
发明内容
为了解决上述技术问题,本申请提供了一种检测方法、装置、电子设备、计算机可读介质,能够有效地提高每个事件的检测效率,以确保在大数据量的应用场景下具有较高的实时性。
为了实现上述目的,本申请提供的技术方案如下:
本申请提供一种检测方法,所述方法包括:
获取针对检测对象产生的第一事件;所述第一事件用于检测所述检测对象是否存在业务异常情况;
获取针对所述检测对象学习的终态条件集,所述终态条件集包括:基于针对所述检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值;
将所述第一事件与所述终态条件集中各终态条件进行匹配,当所述终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的匹配结果直接作为与所述被匹配命中的终态条件关联的各检测规则对应的判定结果,所述判定结果用于表征基于所述第一事件所判定的所述检测对象是否存在异常情况。
在一种可能的实施方式下,所述方法还包括;
获取针对所述检测对象产生的历史事件,所述历史事件随着检测过程迭代更新;
针对所述检测对象对应的检测规则集进行解析得到短路条件集,所述短路条件集中包括:能够独立直接决定检测规则最终判定结果的至少一个子条件;
将所述历史事件与各检测规则对应的短路条件集中的短路条件进行匹配,统计匹配命中短路值的短路条件对应的命中次数;
针对检测规则集中各检测规则,选择与检测规则对应的命中次数最多的短路条件作为终态条件,生成包括至少一个终态条件的所述终态条件集,所述终态条件集随着历史事件迭代更新而动态更新。
在一种可能的实施方式下,所述针对所述检测对象对应的检测规则集进行解析得到短路条件集,包括:
通过正则表达式对所述检测规则集中检测规则进行分解转化成子条件之间的布尔运算表达式,基于所述布尔运算表达式抽取出所述短路条件生成所述短路条件集;或者,
通过短路算法对所述检测规则进行分解转化成子条件之间的布尔运算表达式,基于所述布尔运算表达式抽取出所述短路条件生成所述短路条件集。
在一种可能的实施方式下,所述方法还包括:
当所述终态条件集中各终态条件均未被匹配命中对应的短路值时,则采用所述检测规则集对应的所述短路条件集中除所述终态条件集之外的其他短路条件,对所述第一事件进行检测得到对应的判定结果。
在一种可能的实施方式下,所述方法还包括:
在基于所述其他短路条件对所述第一事件进行检测过程中,如果碰撞到所述终态条件时,则复用所述终态条件针对所述第一事件的检测结果。
在一种可能的实施方式下,所述获取针对检测对象产生的第一事件,包括:
获取针对目标容器产生的第一系统事件,所述第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种或多种;
所述获取针对所述检测对象学习的终态条件集,包括:
获取针对所述目标容器学习的终态条件集;所述终态条件集包括:基于针对所述目标容器产生的历史系统事件对短路条件集中各短路条件的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述目标容器对应的容器入侵检测规则集进行解析得到的能够独立直接决定容器入侵检测规则最终判定结果的至少一个子条件;所述容器入侵检测规则集中包括多个容器入侵检测规则,所述容器入侵检测规则对应的检测结果包括有风险或无风险;所述容器入侵检测规则集中的容器入侵检测规则存在相同的检测子条件复用。
在一种可能的实施方式下,所述获取针对目标容器产生的第一系统事件,包括:
通过安全探针采集针对所述目标容器产生的原始系统事件作为第一系统事件,所述第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种,所述第一系统事件用于基于所述目标容器对应的终态条件集检测所述目标容器内当前是否存在安全风险。
本申请还提供了一种检测装置,包括:
第一获取单元,用于获取针对检测对象产生的第一事件;所述第一事件用于检测所述检测对象是否存在业务异常情况;
第二获取单元,用于获取针对所述检测对象学习的终态条件集,所述终态条件集包括:基于针对所述检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值;
第一匹配单元,用于将所述第一事件与所述终态条件集中各终态条件进行匹配,当所述终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的匹配结果直接作为与所述被匹配命中的终态条件关联的各检测规则对应的判定结果,所述判定结果用于表征基于所述第一事件所判定的所述检测对象是否存在异常情况。
本申请还提供了一种电子设备,所述设备包括:处理器和存储器;
所述存储器,用于存储指令或计算机程序;
所述处理器,用于执行所述存储器中的所述指令或计算机程序,以使得所述电子设备执行本申请提供的检测方法。
本申请还提供了一种计算机可读介质,所述计算机可读介质中存储有指令或计算机程序,当所述指令或计算机程序在设备上运行时,使得所述设备执行本申请提供的检测方法。
本申请提供了一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行本申请提供的检测方法的程序代码。
与现有技术相比,本申请至少具有以下优点:
本申请提供的技术方案中,对于检测对象(例如,一个容器)来说,可以预先针对该检测对象学习终态条件集,以使该终态条件集包括:基于针对检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从该短路条件集中选择命中次数排序靠前的至少一个短路条件;该短路条件集包括:针对该检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值,从而使得该终态条件集能够辅助提高针对该检测对象的威胁入侵检测处理,以便在获取到针对该检测对象产生的第一事件(例如,文件读写事件、进程执行事件以及网络连接事件等系统事件)之后,将该第一事件与该终态条件集中各终态条件进行匹配,当该终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的判定结果直接作为与该被匹配命中的终态条件关联的各检测规则对应的判定结果,该判定结果用于表征基于该第一事件所判定的该检测对象是否存在异常情况,如此能够实现借助单个终态条件对应的匹配结果,同时确定出多个检测规则的判定结果的目的,从而能够借助这些终态条件实现单次计算批量判定的目的,进而能够有效地避免因直接利用所有检测规则对rawdata进行逐个计算所造成的不良影响(例如,资源消耗大等),如此能够有效地降低威胁入侵检测处理的资源消耗,从而能够有效地提高每个事件的检测效率,以确保在大数据量的应用场景下具有较高的实时性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种检测方法的流程图;
图2为本申请实施例提供的一种规则加速器的工作原理的示意图;
图3为本申请实施例提供的一种模式学习器的工作原理的示意图;
图4为本申请实施例提供的一种威胁入侵检测过程的示意图;
图5为本申请实施例提供的一种检测装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了便于理解本申请提供的技术方案,下面先针对本申请所涉及的一些技术名词进行说明。
容器(container)是一种内核轻量级的操作系统层虚拟化技术,能形成一个隔离的操作系统空间,用于运行某种服务。需要说明的是,对于一个部署在终端上的应用程序来说,该应用程序可以利用至少一个容器进行服务提供。
原始系统事件(rawdata)是指利用安全探针采集到的系统事件,比如:进程执行事件、文件读写事件、网络连接事件等。
威胁入侵检测规则是指在一些威胁入侵检测产品(例如,终端类安全产品等)中所配置的入侵检测规则,以使该威胁入侵检测规则可以用来发现异常攻击行为。
短路条件是指在一个布尔运算表达式中能够直接决定该表达式最终判定结果的子条件。例如,对于“子条件1&&子条件2”这一布尔运算表达式来说,子条件1和子条件2均为短路条件,也就是,只要任何一个子条件(例如,子条件1或者子条件2)命中“FALSE”这一短路值,就可以不依赖另外一个子条件的结果,直接确定出该布尔运算表达式的整体判定结果就是FALSE。为了便于理解,下面结合四种情况进行说明。
情况1,对于以A&B模式进行表达的布尔运算表达式来说,该布尔运算表达式的短路条件为A和B,而且该布尔运算表达式的短路值为FALSE。其中,A表示一个条件,B表示另一个条件,&表示与运算。
情况2,对于以A&B&C模式进行表达的布尔运算表达式来说,该布尔运算表达式的短路条件为A、B以及C,而且该布尔运算表达式的短路值为FALSE。其中,A表示一个条件,B表示另一个条件,C表示又一个条件,&表示与运算。
情况3,对于以A||B||C模式进行表达的布尔运算表达式来说,该布尔运算表达式的短路条件为A、B以及C,而且该布尔运算表达式的短路值为True。其中,A表示一个条件,B表示另一个条件,C表示又一个条件,||表示或运算。
情况4,对于以A&(B||C)模式进行表达的布尔运算表达式来说,该布尔运算表达式的短路条件为A以及(B||C),而且该布尔运算表达式的短路值为FALSE。其中,A表示一个条件,B表示另一个条件,C表示又一个条件,&表示与运算,||表示或运算。
基于上文短路条件的相关内容可知,短路条件是一个精简的规则计算单元,一旦短路条件的匹配结果命中了该短路条件对应的短路值,则可以直接得到包括该短路条件的整个规则的匹配结果。例如:对于以A&B&C模式进行表达的布尔运算表达式来说,只要A、B以及C这三个短路条件中存在1个短路条件的匹配结果为FALSE,则该布尔运算表达式所表征的威胁入侵检测规则即可直接判定为FALSE。
需要说明的是,对于复杂的威胁入侵检测规则来说,用于表达该“复杂的威胁入侵检测规则”的布尔运算表达式也通常比较复杂,比如,该布尔运算表达式中存在多层括弧嵌套(例如,以(A||B)&C&(((D||E)&&(F||G))模式进行表达的布尔运算表达式),而且该布尔运算表达式对应的短路条件以及短路值的确定过程,具体可以为:先借助现有的或者未来出现的任意一种运算表达式解析算法,针对该“复杂的威胁入侵检测规则”进行问题分解,转化为单一模式的子问题;再针对分解所得的各个子问题进行短路条件分析处理。
依据上文技术名词的相关内容,下面将对本申请提供的技术方案的相关内容进行介绍。
经研究发现,在容器应用的场景中,容器通常是一个微服务实例,以使该容器通常只用于实现某一种服务(例如,mysql服务或者nginx服务等),从而使得该容器具有服务单一性特征,进而使得具有服务单一性特征的容器具有以下优点:对于同一个容器而言,安全探针采集到的原始系统事件在正常情况下是比较稳定的(也就是,在时序上不会出现大量的前后事件不一致的情况)。例如,对于用于提供mysql服务的容器来说,该容器通常会产生大量的文件读写事件以及网络连接事件,而且这些系统事件的属性值(例如:进程名、命令参数等)基本上变化不大。
经研究还发现,对于威胁入侵检测规则来说,该威胁入侵检测规则只存在TRUE或FALSE(0或者1)的检测结果,“TRUE”这一检测结果表示有风险,而且“FALSE”这一检测结果表示无风险。另外,因出现异常攻击行为的几率很小,使得在利用威胁入侵检测规则针对一个原始系统事件进行检测时所给出的检测结果通常都是FALSE(也就是,无风险),如此使得该威胁入侵检测规则所涉及的一些条件(例如,短路条件)的判定结果通常也是有规律可循的。
基于上述两段内容可知,为了解决背景技术部分所示的技术问题,本申请提供了一种检测方法,在该方法中,可以利用某个对象(例如,容器)所产生的事件、以及预先针对该对象学习所得的一些终态条件(也就是,一些比较容易命中短路值的短路条件),判定该对象是否存在异常情况。其中,因基于这些终态条件的匹配耗时远远低于基于检测规则集的规则检测耗时,如此能够有效地提高每个事件的检测效率,以确保在大数据量的应用场景下具有较高的实时性。
另外,本申请不限定上文检测方法的应用场景,例如,其可以是现有的或者未来出现的任意一种需要基于检测规则进行事件检测处理的场景(例如,容器入侵检测场景等)进行实施。为了便于理解,下面结合示例进行说明。
作为示例,当本申请提供的检测方法应用于容器入侵检测场景时,该方法具体可以为:依据预先针对某个容器所设定的检测规则集,学习该容器对应的终态条件集,以使该终态条件集能够表示出在针对该容器进行加速检测时所需依据的短路条件,以便在获取到由该容器所产生的原始系统事件之后,将该原始系统事件与该终态条件集中各终态条件进行匹配,并在该终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的判定结果直接作为与该被匹配命中的终态条件关联的各检测规则对应的判定结果,如此能够实现借助单个终态条件对应的匹配结果,同时确定出多个检测规则的判定结果的目的,从而能够借助这些终态条件实现单次计算批量判定的目的,进而能够有效地提高针对该容器中每个事件的检测效率,以确保在大数据量的应用场景下具有较高的实时性。
此外,本申请不限定上文检测方法的执行主体,例如,本申请实施例提供的检测方法可以应用于终端设备或服务器等具有数据处理功能的设备。又如,本申请实施例提供的检测方法也可以借助终端设备与服务器之间的数据通信过程进行实现。其中,终端设备可以为智能手机、计算机、个人数字助理(Personal Digital Assitant,PDA)或平板电脑等。服务器可以为独立服务器、集群服务器或云服务器。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了更好地理解本申请所提供的技术方案,下面先结合一些附图对本申请提供的检测方法进行说明。如图1所示,本申请实施例提供的检测方法,包括下文S1-S3。其中,该图1为本申请实施例提供的一种检测方法的流程图。
S1:获取针对检测对象产生的第一事件;该第一事件用于检测该检测对象是否存在业务异常情况。
其中,检测对象是指需要利用预先设定的威胁入侵检测规则(例如,下文“检测规则集”)进行威胁入侵检测处理的对象;而且本申请不限定该检测对象,例如,其可以是任意一种能够向用户提供某种服务(例如,mysql服务)的对象(例如,容器、某个应用程序等)。可见,在一种可能的实施方式下,当需要针对一个部署在终端上的应用程序进行威胁入侵检测处理,而且该应用程序是利用至少一个容器进行服务提供的时,该检测对象可以是指这些容器中的任意一个容器。
第一事件是指由上文检测对象所产生的原始系统事件(例如,其可以是利用安全探针从该检测对象中实时采集的原始系统事件),以使该第一事件能够被用于检测该检测对象是否存在业务异常情况;而且本申请不限定该系统事件的采集方式,例如,其可以借助安全探针进行实施。
另外,本申请不限定上文S1的实施方式,为了便于理解,下面结合示例进行说明。
作为示例,在一些应用场景(例如,针对容器负载的威胁入侵检测场景)下,上文“检测对象”可以是一个容器,而且上文“第一事件”可以是指由该容器所产生的系统事件。基于此可知,上文S1具体可以为:获取针对目标容器产生的第一系统事件,该第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种或多种,而且该第一系统事件用于检测该目标容器是否存在业务异常情况。其中,该目标容器是指需要利用预先设定的威胁入侵检测规则进行威胁入侵检测处理的对象。该第一系统事件是指由该目标容器所产生的原始系统事件(例如,进程执行事件、文件读写事件、网络连接事件等)。
另外,本申请不限定上段中步骤“获取针对目标容器产生的第一系统事件”的实施方式,例如,其具体可以为:通过安全探针采集针对该目标容器产生的原始系统事件作为第一系统事件,以使该第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种,而且该第一系统事件用于基于目标容器对应的终态条件集检测目标容器内当前是否存在安全风险。需要说明的是,该“终态条件集”的相关内容请参见下文S2中的相关内容。
基于上文S1的相关内容可知,在一些应用场景(例如,针对容器负载的威胁入侵检测场景)下,对于一个检测对象(例如,一个容器)来说,可以借助安全探针,从该检测对象中采集由该检测对象所产生的原始系统事件,以便后续能够借助这些原始系统事件,检测出该检测对象是否存在业务异常情况。
S2:获取针对检测对象学习的终态条件集,该终态条件集包括:基于针对该检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从该短路条件集中选择命中次数排序靠前的至少一个短路条件;该短路条件集包括:针对该检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值。
其中,终态条件集是指在针对上文检测对象进行加速检测处理时所需参考的短路条件集合,以便在针对该检测对象的威胁入侵检测过程中,利用该终态条件集辅助提高针对该检测对象的威胁入侵检测效率。例如,该终态条件集可以是图2-4所示的“终态条件集”。
另外,对于上文“针对检测对象学习的终态条件集”来说,该终态条件集可以包括:基于针对该检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从该短路条件集中选择命中次数排序靠前的至少一个短路条件。
上文“短路条件集”是通过针对上文检测对象对应的检测规则集进行解析所得到的,以使该“短路条件集”可以包括:针对该检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件,从而使得该“短路条件集”能够表征该检测规则集。其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值。例如,该短路条件集可以是图2-4所示的“短路条件集”。
上文“检测对象对应的检测规则集”是指在针对该检测对象进行威胁入侵检测处理时所需使用的威胁入侵检测规则,以使该“检测对象对应的检测规则集”包括预先针对该检测对象所设定的威胁入侵检测规则。
另外,本申请不限定上文“短路条件集”的确定过程,例如,其可以包括下文步骤11-步骤12。
步骤11:对检测规则集中各个检测规则进行分解处理,得到各个检测规则对应的布尔运算表达式。
其中,第n个检测规则是指在上文检测规则集中记录的第n个威胁入侵检测规则。n为正整数,n≤N,N为正整数,N表示该检测规则集中的检测规则个数。
第n个检测规则对应的布尔运算表达式用于借助布尔运算表征该第n个检测规则,以使该“第n个检测规则对应的布尔运算表达式”能够表示出该第n个检测规则所携带的语义信息。其中,n为正整数,n≤N。
另外,本申请不限定上文“第n个检测规则对应的布尔运算表达式”的确定过程,例如,其具体可以为:通过正则表达式对该第n个检测规则进行分解转化成子条件之间的布尔运算表达式,以得到该第n个检测规则对应的布尔运算表达式。又如,其具体可以为:通过短路算法对检测规则进行解析分解转化成子条件之间的布尔运算表达式,以得到该第n个检测规则对应的布尔运算表达式。
步骤12:从各个检测规则对应的布尔运算表达式中抽取出短路条件,以生成短路条件集。
本申请中,对于上文第n个检测规则来说,在将该第n个检测规则转化为布尔运算表达式之后,可以针对该布尔运算表达式进行短路条件抽取处理,得到该第n个检测规则对应的至少一个短路条件以及该第n个检测规则对应的短路值,以使这些短路条件中任意一个短路条件命中该短路值表征该第n个检测规则的判定结果为短路值,从而使得这些短路条件有利于辅助确定该第n个检测规则的判定结果,以便后续能够基于该第n个检测规则对应的至少一个短路条件,生成上文短路条件集,以使该短路条件集包括该第n个检测规则对应的至少一个短路条件,从而使得该短路条件集记录有上文检测规则集中所有检测规则对应的短路条件。
基于上文步骤11至步骤12的相关内容可知,对于上文检测规则集来说,可以先将该检测规则集中所有检测规则转化成布尔运算表达式;再利用从这些布尔运算表达式中抽取所得的短路条件,生成上文短路条件集,以使该短路条件集用于记录这些检测规则对应的短路条件,从而使得该短路条件集能够代表该检测规则集,参与针对任意一个容器的威胁入侵检测处理。
实际上,因上文“检测规则集”在配置好之后,通常不会随着时间的变化发生改变,故本申请不限定上文步骤11-步骤12的执行时间,例如,其具体可以为:在获取到该检测规则集之后,执行该步骤11-步骤12即可,再构建并存储各检测规则的规则标识与各检测规则对应的短路条件以及短路值之间的对应关系,以便后续能够借助任意一个检测规则的规则标识,从存储空间中查询到该检测规则对应的短路条件以及短路值。其中,该规则标识用于唯一标识一个检测规则。
需要说明的是,本申请不限定上段中“存储各检测规则的规则标识与各检测规则对应的短路条件以及短路值之间的对应关系”的实施方式,例如,其具体可以为:先利用第n个检测规则对应的短路条件以及短路值,构建(第n个检测规则对应的短路条件,该第n个检测规则对应的短路值)这一二元组;再构建并存储该第n个检测规则的规则标识与该二元组之间的对应关系。其中,n为正整数,n≤N。
实际上,因不同容器所提供的服务不同,使得不同容器在上文检测规则集中所呈现的规则使用情况不同,从而使得不同容器在各检测规则对应的短路条件中所呈现的条件命中状态也不同,故为了更好地提高威胁入侵检测效果,可以依据每个容器所产生的原始系统事件,从各检测规则对应的短路条件中自动地分析出该容器在每个检测规则下对应的终态条件,以使该终态条件能够表示出该容器在该检测规则下比较容易出现的、命中其短路值的短路条件。为了便于理解,下面结合上文“针对检测对象学习的终态条件集”的相关内容进行说明。
作为示例,在一种可能的实施方式下,当上文检测规则集包括N个检测规则时,上文“针对检测对象学习的终态条件集”可以包括该检测对象在第1个检测规则下对应的终态条件、该检测对象在第2个检测规则下对应的终态条件、……(以此类推)、以及该检测对象在第N个检测规则下对应的终态条件。其中,N为正整数。
上文“检测对象在第n个检测规则下对应的终态条件”(下文简称“第n个检测规则对应的终态条件”)是指在针对该检测对象进行加速检测处理时在该第n个检测规则下所需参考的短路条件,以使该“第n个检测规则对应的终态条件”能够表示该检测对象在该第n个检测规则下比较容易出现的、命中其短路值的短路条件,以便后续在针对该检测对象进行威胁入侵检测处理时,能够借助该“第n个检测规则对应的终态条件”,实现针对该第n个检测规则的加速检测的目的。其中,n为正整数,n≤N。
另外,本申请不限定上文“第n个检测规则对应的终态条件”的确定过程,例如,其具体可以为:基于针对上文检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从该第n个检测规则对应的所有短路条件中选择命中次数排序最靠前的一个短路条件,确定为该“第n个检测规则对应的终态条件”。其中,该历史事件是指由该检测对象曾经产生的原始系统事件。其中,n为正整数,n≤N。
实际上,为了更好地提高上文“针对检测对象学习的终态条件集”的实时性,本申请还提供了该“针对检测对象学习的终态条件集”的一种确定过程,其具体可以包括下文步骤21-步骤24。
步骤21:获取针对检测对象产生的历史事件,历史事件随着检测过程迭代更新。
本申请中,对于一个检测对象来说,在获取到由该检测对象所产生的原始系统事件之后,不仅可以依据该原始系统事件,检测该检测对象是否存在业务异常情况,还可以利用该原始系统事件,更新上文“针对检测对象产生的历史事件”,以使更新后的“针对检测对象产生的历史事件”可以包括该原始系统事件,如此能够实现随着针对该检测对象的更新过程,不断地迭代更新该“针对检测对象产生的历史事件”的目的,从而能够有效地保证该“针对检测对象产生的历史事件”的实时性,从而有利于提高上文“针对检测对象学习的终态条件集”的实时性。
步骤22:针对检测对象对应的检测规则集进行解析得到短路条件集,该短路条件集中包括:能够独立直接决定检测规则最终判定结果的至少一个子条件。
需要说明的是,步骤22的的相关内容请参见上文“短路条件集”的相关内容,为了简要起见,在此不再赘述。
步骤23:将历史事件与各检测规则对应的短路条件集中的短路条件进行匹配,统计匹配命中短路值的短路条件对应的命中次数。
步骤24:针对检测规则集中各检测规则,选择与检测规则对应的命中次数最多的短路条件作为终态条件,生成包括至少一个终态条件的终态条件集,该终态条件集随着历史事件迭代更新而动态更新。
需要说明的是,本申请不限定步骤24的实施方式,例如,当上文检测规则集包括N个检测规则,而且第n个检测规则对应于M个短路条件时,步骤24具体可以为:在获取到这M个短路条件对应的命中次数之后,将这些短路条件按照命中次数从高到低进行排序,得到排序结果,并将该排序结果中排列位置最靠前的一个短路条件,确定为上文检测对象在该第n个检测规则下所对应的终态条件,以便后续能够基于该“检测对象在该第n个检测规则下所对应的终态条件”,生成该检测对象对应的终态条件集,以使该终态条件集包括该“检测对象在该第n个检测规则下所对应的终态条件”。其中,因该“检测对象在该第n个检测规则下所对应的终态条件”会随着历史事件迭代更新而动态更新,以使该检测对象对应的终态条件集也会随着历史事件迭代更新而动态更新,如此有利于更好地提高该终态条件集的实时性,从而有利于提高针对该检测对象的威胁入侵检测处理的提速效果。
基于上文步骤21至步骤24的相关内容可知,在一种可能的实施方式下,如图3所示,对于一个检测对象来说,在获取到由该检测对象所产生的原始系统事件之后,不仅可以依据该原始系统事件,检测该检测对象是否存在业务异常情况,还可以利用该原始系统事件在各个检测规则对应的短路条件下所呈现的短路值命中情况,更新该检测对象对应的终态条件集,以使更新后的终态条件集能够更好地表示出该检测对象在这些检测规则下比较容易出现的、命中其短路值的短路条件。
实际上,在一些应用场景下,可能存在多个容器,故为了更好地提高针对容器的检测效果,在针对一个容器学习到终态条件集之后,可以构建该容器的容器标识与该容器对应的终态条件集之间的对应关系,并存储该对应关系,以便后续能够基于该容器标识,从存储空间中查询该容器对应的终态条件集。其中,该容器标识用于唯一标识该容器。
基于上段内容可知,在一种可能的实施方式下,上文S2具体可以为:在获取到上文检测对象的对象标识之后,从预设存储空间中查找与该对象标识具有对应关系的终态条件集,确定为针对该检测对象学习的终态条件集。其中,该对象标识用于唯一标识该检测对象。该预设存储空间中预先存储有不同对象标识所对应的终态条件集。
另外,本申请不限定上文S2的实施方式,例如,在一些应用场景(例如,针对容器负载的威胁入侵检测场景)下,当上文“检测对象”为目标容器,上文“检测规则集”为容器入侵检测规则集时,该S2具体可以为:获取针对目标容器学习的终态条件集;该终态条件集包括:基于针对该目标容器产生的历史系统事件对短路条件集中各短路条件的命中次数,从短路条件集中选择命中次数排序靠前的至少一个短路条件;该短路条件集包括:针对目标容器对应的容器入侵检测规则集进行解析得到的能够独立直接决定容器入侵检测规则最终判定结果的至少一个子条件;容器入侵检测规则集中包括多个容器入侵检测规则(例如,预先针对目标容器所设定的威胁入侵检测规则),该容器入侵检测规则对应的检测结果包括有风险或无风险;该容器入侵检测规则集中的容器入侵检测规则存在相同的检测子条件复用。其中,该目标容器的相关内容请参见上文。该容器入侵检测规则集是指在针对该目标容器进行威胁入侵检测处理时所需参考的威胁入侵检测规则的集合;而且该容器入侵检测规则集可以预先设定。该历史系统事件是指由该目标容器曾经产生过的原始系统事件;而且该“历史系统事件”的相关内容类似于上文“历史事件”。
需要说明的是,上段中“容器入侵检测规则集中的容器入侵检测规则存在相同的检测子条件复用”的具体含义为:如果多个容器入侵检测规则对应于同一个短路条件,则在确定出一个原始系统事件在该短路条件下所呈现的匹配结果之后,可以直接利用该匹配结果,确定这些容器入侵检测规则的判定结果即可,无需多次计算该匹配结果,如此能够有效地节省检测耗时。
基于上文S2的相关内容可知,在一种可能的实施方式下,对于一个检测对象来说,在获取到由该检测对象所产生的原始系统事件之后,可以依据该检测对象的对象标识,查询针对该检测对象学习的终态条件集,以便后续能够借助该终态条件集实现针对该检测对象的检测加速目的。
需要说明的是,本申请不限定上文S2的执行时间与上文S1的执行时间之间的关联关系,例如,可以前者晚于后者。又如,可以后者晚于前者。还如,可以两者相同。
S3:将第一事件与终态条件集中各终态条件进行匹配,当该终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的匹配结果直接作为与被匹配命中的终态条件关联的各检测规则对应的判定结果,该判定结果用于表征基于第一事件所判定的检测对象是否存在异常情况。
为了便于理解上文S3,下面结合示例进行说明。
作为示例,当上文终态条件集包括N个终态条件时,上文S3具体可以包括下文步骤31-步骤34。
步骤31:将上文第一事件与第n个终态条件进行匹配,得到第n个终态条件对应的匹配结果。其中,n为正整数,n≤N。
其中,第n个终态条件是指预先针对上文检测对象在第n个检测规则下学习到的、具有最大命中次数的短路条件。
上文“第n个终态条件对应的匹配结果”用于表示上文第一事件是否满足该第n个终态条件,从而使得该“第n个终态条件对应的匹配结果”能够表示出该第一事件在该第n个终态条件下是否命中该第n个终态条件对应的短路值。
步骤32:依据第n个终态条件对应的匹配结果,确定该第n个终态条件是否被匹配命中对应短路值,若是,则执行下文步骤33;若否,则执行下文步骤34。
步骤33:在确定上文第n个终态条件被匹配命中对应短路值时,将该第n个终态条件对应的匹配结果直接作为与该第n个终态条件关联的各检测规则对应的判定结果。
其中,与第n个终态条件关联的检测规则是指在上文检测规则集中存在的、以该第n个终态条件作为短路条件、并且以该第n个终态条件对应的短路值作为该短路条件对应的短路值的检测规则。可见,该“与第n个终态条件关联的检测规则”对应的至少一个短路条件包括该第n个终态条件,而且该“与第n个终态条件关联的检测规则”对应的短路值为该第n个终态条件对应的短路值。
与第n个终态条件关联的第i个检测规则对应的判定结果用于表征上文第一事件是否符合该第i个检测规则,以使该“与第n个终态条件关联的第i个检测规则对应的判定结果”能够被用于表征上文检测对象是否存在异常情况。其中,i为正整数,i≤I,I为正整数,I表示与第n个终态条件关联的检测规则的个数。
步骤34:在确定上文第n个终态条件未被匹配命中对应短路值时,忽略该第n个终态条件即可。
基于上文步骤31至步骤33的相关内容可知,对于任意一个容器(例如,上文“检测对象”)所产生的原始系统事件来说,在获取到该原始系统事件在该容器对应的第n个终态条件下所呈现的匹配结果之后,如果该匹配结果命中该第n个终态条件对应的短路值,则可以确定与(该第n个终态条件,该第n个终态条件对应的短路值)这一二元组具有对应关系的各个威胁入侵检测规则的判定结果已确定,故可以直接利用该第n个终态条件对应的短路值,确定该原始系统事件在这些威胁入侵检测规则下所呈现的判定结果,如此能够实现借助该第n个终态条件及其对应的短路值,快速地确定出该原始系统事件在一些威胁入侵检测规则下所呈现的判定结果的目的,从而能够借助终态条件实现单次计算批量判定(如图4所示的“单次计算批量判定”)的目的,进而有利于提高这些威胁入侵检测规则的判定效率。其中,n为正整数,n≤N。
需要说明的是,本申请不限定上文S3中步骤“将第一事件与终态条件集中各终态条件进行匹配”的实施方式,例如,其可以借助遍历方式(例如,图2所示的遍历方式)进行实施。
还需要说明的是,本申请不限定图2中所示的所有终态条件的遍历顺序,例如,其可以是基于这些终态条件对应的短路值命中次数进行确定,以使具有较高的命中次数的终态条件的遍历时机早于具有较低的命中次数的终态条件的遍历时机。
基于上文S1至S3的相关内容可知,对于本申请提供的检测方法来说,可以预先针对检测对象学习终态条件集,以使该终态条件集包括:基于针对检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从该短路条件集中选择命中次数排序靠前的至少一个短路条件;该短路条件集包括:针对该检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值,从而使得该终态条件集能够辅助提高针对该检测对象的威胁入侵检测处理,以便在获取到针对该检测对象产生的第一事件(例如,文件读写事件、进程执行事件以及网络连接事件等系统事件)之后,将该第一事件与该终态条件集中各终态条件进行匹配,当该终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的判定结果直接作为与该被匹配命中的终态条件关联的各检测规则对应的判定结果,该判定结果用于表征基于该第一事件所判定的该检测对象是否存在异常情况,如此能够实现借助单个终态条件对应的匹配结果,同时确定出多个检测规则的判定结果的目的,从而能够借助这些终态条件实现单次计算批量判定的目的,进而能够有效地避免因直接利用所有检测规则对rawdata进行逐个计算所造成的不良影响(例如,资源消耗大等),如此能够有效地降低威胁入侵检测处理的资源消耗,从而能够有效地提高每个事件的检测效率,以确保在大数据量的应用场景下具有较高的实时性。
实际上,为了更好地提高威胁入侵检测效果,本申请还提供了上文检测方法的另一种可能的实施方式,在该实施方式下,该检测方法除了包括上文S1-S3以外,可以还包括下文步骤41。其中,步骤41的执行时间晚于上文S3的执行时间。
步骤41:当上文终态条件集中各终态条件均未被匹配命中对应的短路值时,则采用检测规则集对应的短路条件集中除终态条件集之外的其他短路条件,对上文第一事件进行检测得到对应的判定结果。
本申请中,对于上文终态条件集中所有终态条件来说,在获取到第一事件在所有终态条件下的匹配结果之后,如果这些匹配结果表示所有终态条件均未被匹配命中其各自对应的短路值,则可以确定无法基于这些终态条件对应的匹配结果,直接确定上文检测规则集中检测规则的判定结果,故可以继续将该第一事件与上文短路条件集中除了这些终态条件之外的其他短路条件进行匹配,并基于该其它短路条件对应的匹配结果以及这些终态条件对应的匹配结果,确定这些检测规则的最终判定结果。
实际上,为了更好地提高检测效率,本申请还提供了基于上文其它短路条件进行检测处理的一种可能的实施方式,其具体可以为:在基于上文其他短路条件对第一事件进行检测过程中,如果碰撞到该终态条件时,则复用该终态条件针对该第一事件的检测结果。为了便于理解,下面结合示例进行说明。
作为示例,对于某个其他短路条件来说,当该其他短路条件是由第一子条件和第二子条件组合而成的复杂条件,而且上文“终态条件集”中存在该第一子条件,但不存在该第二子条件时,基于该其他短路条件对第一事件进行检测过程,具体可以为:先将该第二子条件与该第一事件进行匹配,得到该第二子条件对应的匹配结果;再利用该第二子条件对应的匹配结果、以及已经获取到的第一子条件对应的匹配结果,综合确定该其他短路条件的判定结果。其中,该第一子条件是指在该其他短路条件存在的,而且在上文“终态条件集”中也存在的子条件。该第二子条件是指在该其他短路条件存在的,但是在上文“终态条件集”中不存在的子条件。
基于上文步骤41的相关内容可知,如图2所示,对于上文第一事件来说,在获取到该第一事件在上文终态条件集中所有终态条件下所呈现的匹配结果之后,如果这些匹配结果表示这些终态条件都没有命中其各自对应的短路值,则可以直接返回至上文检测规则集所对应的常规计算模式,以得到该检测规则集中所有检测规则的判定结果。另外,在该常规计算模式下,如果遇到了某个终态条件,则直接复用该终态条件对应的匹配结果即可,无需重复匹配,如此有利于提高针对检测对象的检测效率。
基于上文检测方法的相关内容可知,如图2所示,本申请提供的检测方案涉及加速检测模式(也就是,上文S1-S3所示的检测模式)以及常规计算模式(也就是,上文步骤41所示的检测模式)这两种模式,而且在该检测方案中会优先使用加速检测模式进行事件检测。基于此可知,该检测方案具体可以为:对于一个检测对象所产生的原始系统事件来说,在采集到的该原始系统事件之后,先利用针对该检测对象学习的终态条件集,检测该原始系统事件是否存在业务异常情况,以实现针对该检测对象的加速检测模式,以便在确定无法利用该终态条件集直接确定出该原始系统事件是否存在业务异常情况(也就是,所有终态条件均为命中其各自对应的短路值)时,可以退回至常规计算模式这一兜底方案,以确保能够顺利地判定出该原始系统事件是否存在业务异常情况,如此有利于实现在确保检测效果的前提下提高检测效率。
基于上文检测方法的相关内容可知,该检测方法(例如,图4所示的检测过程)至少包括下文①-③所示的至少一项优点。
①本申请利用了容器工作负载系统事件具有单一性和稳定性的特点,并将该特点与威胁入侵规则中强判定条件与复用率高的特点进行结合,在系统资源占用不变的情况下,提升入侵规则的计算效率,有效的提升容器工作负载中威胁入侵检测的性能。
②本申请通过针对威胁入侵检测规则进行分解,抽取出“短路条件”,并利用容器工作负载中的系统事件,对“短路条件”进行迭代式训练学习,计算出与当前容器自适应的威胁规则“终态条件”,形成该容器相适应的入侵规则模型。
③本申请针对任意一个容器工作负载所提供的威胁检测处理过程,均是基于自适应的“终态条件”模型直接计算,一旦命中“短路值”,则可以直接批量得到入侵规则集的判定结果,极大的提升了威胁入侵规则的计算效率。
基于本申请实施例提供的检测方法,本申请实施例还提供了一种检测装置,下面结合图5进行解释和说明。其中,图5为本申请实施例提供的一种检测装置的结构示意图。需要说明的是,本申请实施例提供的检测装置的技术详情,请参照上文检测方法的相关内容。
如图5所示,本申请实施例提供的检测装置500,包括:
第一获取单元501,用于获取针对检测对象产生的第一事件;所述第一事件用于检测所述检测对象是否存在业务异常情况;
第二获取单元502,用于获取针对所述检测对象学习的终态条件集,所述终态条件集包括:基于针对所述检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值;
第一匹配单元503,用于将所述第一事件与所述终态条件集中各终态条件进行匹配,当所述终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的匹配结果直接作为与所述被匹配命中的终态条件关联的各检测规则对应的判定结果,所述判定结果用于表征基于所述第一事件所判定的所述检测对象是否存在异常情况。
在一种可能的实施方式下,所述检测装置500还包括;
第二获取单元,用于获取针对所述检测对象产生的历史事件,所述历史事件随着检测过程迭代更新;
条件解析单元,用于针对所述检测对象对应的检测规则集进行解析得到短路条件集,所述短路条件集中包括:能够独立直接决定检测规则最终判定结果的至少一个子条件;
第二匹配单元,用于将所述历史事件与各检测规则对应的短路条件集中的短路条件进行匹配,统计匹配命中短路值的短路条件对应的命中次数;
第一生成单元,用于针对检测规则集中各检测规则,选择与检测规则对应的命中次数最多的短路条件作为终态条件,生成包括至少一个终态条件的所述终态条件集,所述终态条件集随着历史事件迭代更新而动态更新。
在一种可能的实施方式下,所述条件解析单元,具体用于:通过正则表达式对所述检测规则集中检测规则进行分解转化成子条件之间的布尔运算表达式,基于所述布尔运算表达式抽取出所述短路条件生成所述短路条件集;或者,通过短路算法对所述检测规则进行分解转化成子条件之间的布尔运算表达式,基于所述布尔运算表达式抽取出所述短路条件生成所述短路条件集。
在一种可能的实施方式下,所述检测装置500还包括:
事件检测单元,用于当所述终态条件集中各终态条件均未被匹配命中对应的短路值时,则采用所述检测规则集对应的所述短路条件集中除所述终态条件集之外的其他短路条件,对所述第一事件进行检测得到对应的判定结果。
在一种可能的实施方式下,所述检测装置500还包括:
结果复用单元,用于在基于所述其他短路条件对所述第一事件进行检测过程中,如果碰撞到所述终态条件时,则复用所述终态条件针对所述第一事件的检测结果。
在一种可能的实施方式下,所述第一获取单元501,具体用于:获取针对目标容器产生的第一系统事件,所述第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种或多种;
所述第二获取单元502,具体用于:获取针对所述目标容器学习的终态条件集;所述终态条件集包括:基于针对所述目标容器产生的历史系统事件对短路条件集中各短路条件的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述目标容器对应的容器入侵检测规则集进行解析得到的能够独立直接决定容器入侵检测规则最终判定结果的至少一个子条件;所述容器入侵检测规则集中包括多个容器入侵检测规则,所述容器入侵检测规则对应的检测结果包括有风险或无风险;所述容器入侵检测规则集中的容器入侵检测规则存在相同的检测子条件复用。
在一种可能的实施方式下,所述第一获取单元501,具体用于:通过安全探针采集针对所述目标容器产生的原始系统事件作为第一系统事件,所述第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种,所述第一系统事件用于基于所述目标容器对应的终态条件集检测所述目标容器内当前是否存在安全风险。
基于上述检测装置500的相关内容可知,对于本申请实施例提供的检测装置500来说,可以预先针对该检测对象学习终态条件集,以使该终态条件集包括:基于针对检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从该短路条件集中选择命中次数排序靠前的至少一个短路条件;该短路条件集包括:针对该检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值,从而使得该终态条件集能够辅助提高针对该检测对象的威胁入侵检测处理,以便在获取到针对该检测对象产生的第一事件(例如,文件读写事件、进程执行事件以及网络连接事件等系统事件)之后,将该第一事件与该终态条件集中各终态条件进行匹配,当该终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的判定结果直接作为与该被匹配命中的终态条件关联的各检测规则对应的判定结果,该判定结果用于表征基于该第一事件所判定的该检测对象是否存在异常情况,如此能够实现借助单个终态条件对应的匹配结果,同时确定出多个检测规则的判定结果的目的,从而能够借助这些终态条件实现单次计算批量判定的目的,进而能够有效地避免因直接利用所有检测规则对rawdata进行逐个计算所造成的不良影响(例如,资源消耗大等),如此能够有效地降低威胁入侵检测处理的资源消耗,从而能够有效地提高每个事件的检测效率,以确保在大数据量的应用场景下具有较高的实时性。
另外,本申请实施例还提供了一种电子设备,所述设备包括处理器以及存储器:所述存储器,用于存储指令或计算机程序;所述处理器,用于执行所述存储器中的所述指令或计算机程序,以使得所述电子设备执行本申请实施例提供的检测方法的任一实施方式。
参见图6,其示出了适于用来实现本公开实施例的电子设备600的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM602被安装。在该计算机程序被处理装置601执行时,执行本公开实施例的方法中限定的上述功能。
本公开实施例提供的电子设备与上述实施例提供的方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述实施例,并且本实施例与上述实施例具有相同的有益效果。
本申请实施例还提供了一种计算机可读介质,所述计算机可读介质中存储有指令或计算机程序,当所述指令或计算机程序在设备上运行时,使得所述设备执行本申请实施例提供的检测方法的任一实施方式。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(Hyper Text TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备可以执行上述方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元/模块的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种检测方法,其特征在于,所述方法包括:
获取针对检测对象产生的第一事件;所述第一事件用于检测所述检测对象是否存在业务异常情况;
获取针对所述检测对象学习的终态条件集,所述终态条件集包括:基于针对所述检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值;
将所述第一事件与所述终态条件集中各终态条件进行匹配,当所述终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的匹配结果直接作为与所述被匹配命中的终态条件关联的各检测规则对应的判定结果,所述判定结果用于表征基于所述第一事件所判定的所述检测对象是否存在异常情况。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括;
获取针对所述检测对象产生的历史事件,所述历史事件随着检测过程迭代更新;
针对所述检测对象对应的检测规则集进行解析得到短路条件集,所述短路条件集中包括:能够独立直接决定检测规则最终判定结果的至少一个子条件;
将所述历史事件与各检测规则对应的短路条件集中的短路条件进行匹配,统计匹配命中短路值的短路条件对应的命中次数;
针对检测规则集中各检测规则,选择与检测规则对应的命中次数最多的短路条件作为终态条件,生成包括至少一个终态条件的所述终态条件集,所述终态条件集随着历史事件迭代更新而动态更新。
3.根据权利要求2所述的方法,其特征在于,所述针对所述检测对象对应的检测规则集进行解析得到短路条件集,包括:
通过正则表达式对所述检测规则集中检测规则进行分解转化成子条件之间的布尔运算表达式,基于所述布尔运算表达式抽取出所述短路条件生成所述短路条件集;或者,
通过短路算法对所述检测规则进行分解转化成子条件之间的布尔运算表达式,基于所述布尔运算表达式抽取出所述短路条件生成所述短路条件集。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述终态条件集中各终态条件均未被匹配命中对应的短路值时,则采用所述检测规则集对应的所述短路条件集中除所述终态条件集之外的其他短路条件,对所述第一事件进行检测得到对应的判定结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在基于所述其他短路条件对所述第一事件进行检测过程中,如果碰撞到所述终态条件时,则复用所述终态条件针对所述第一事件的检测结果。
6.根据权利要求1所述的方法,其特征在于,所述获取针对检测对象产生的第一事件,包括:
获取针对目标容器产生的第一系统事件,所述第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种或多种;
所述获取针对所述检测对象学习的终态条件集,包括:
获取针对所述目标容器学习的终态条件集;所述终态条件集包括:基于针对所述目标容器产生的历史系统事件对短路条件集中各短路条件的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述目标容器对应的容器入侵检测规则集进行解析得到的能够独立直接决定容器入侵检测规则最终判定结果的至少一个子条件;所述容器入侵检测规则集中包括多个容器入侵检测规则,所述容器入侵检测规则对应的检测结果包括有风险或无风险;所述容器入侵检测规则集中的容器入侵检测规则存在相同的检测子条件复用。
7.根据权利要求6所述的方法,其特征在于,所述获取针对目标容器产生的第一系统事件,包括:
通过安全探针采集针对所述目标容器产生的原始系统事件作为第一系统事件,所述第一系统事件包括文件读写事件、进程执行事件以及网络连接事件中任意一种,所述第一系统事件用于基于所述目标容器对应的终态条件集检测所述目标容器内当前是否存在安全风险。
8.一种检测装置,其特征在于,包括:
第一获取单元,用于获取针对检测对象产生的第一事件;所述第一事件用于检测所述检测对象是否存在业务异常情况;
第二获取单元,用于获取针对所述检测对象学习的终态条件集,所述终态条件集包括:基于针对所述检测对象产生的历史事件对短路条件集中各短路条件命中对应短路值的命中次数,从所述短路条件集中选择命中次数排序靠前的至少一个短路条件;所述短路条件集包括:针对所述检测对象对应的检测规则集进行解析得到的能够独立直接决定检测规则最终判定结果的至少一个子条件;其中,短路条件命中对应的短路值表征短路条件对应的检测规则判定结果为短路值;
第一匹配单元,用于将所述第一事件与所述终态条件集中各终态条件进行匹配,当所述终态条件集中某个终态条件被匹配命中对应短路值时,将被匹配命中的终态条件对应的匹配结果直接作为与所述被匹配命中的终态条件关联的各检测规则对应的判定结果,所述判定结果用于表征基于所述第一事件所判定的所述检测对象是否存在异常情况。
9.一种电子设备,其特征在于,所述设备包括:处理器和存储器;
所述存储器,用于存储指令或计算机程序;
所述处理器,用于执行所述存储器中的所述指令或计算机程序,以使得所述电子设备执行权利要求1-7任一项所述的方法。
10.一种计算机可读介质,其特征在于,所述计算机可读介质中存储有指令或计算机程序,当所述指令或计算机程序在设备上运行时,使得所述设备执行权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211700131.1A CN115906064A (zh) | 2022-12-28 | 2022-12-28 | 一种检测方法、装置、电子设备、计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211700131.1A CN115906064A (zh) | 2022-12-28 | 2022-12-28 | 一种检测方法、装置、电子设备、计算机可读介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115906064A true CN115906064A (zh) | 2023-04-04 |
Family
ID=86482293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211700131.1A Pending CN115906064A (zh) | 2022-12-28 | 2022-12-28 | 一种检测方法、装置、电子设备、计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115906064A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020147943A1 (en) * | 2001-04-10 | 2002-10-10 | Slaugh Chad H. | System and method for allocating logic analyzer hardware resources |
CN106685928A (zh) * | 2016-12-06 | 2017-05-17 | 国网浙江省电力公司绍兴供电公司 | 适用于数字化变电站间隔层smv网络攻击分级检测方法 |
US20190081960A1 (en) * | 2017-09-11 | 2019-03-14 | GM Global Technology Operations LLC | Systems and methods for in-vehicle network intrusion detection |
CN114064723A (zh) * | 2021-11-15 | 2022-02-18 | 中国南方电网有限责任公司超高压输电公司昆明局 | 关联规则挖掘方法、装置、计算机设备和存储介质 |
-
2022
- 2022-12-28 CN CN202211700131.1A patent/CN115906064A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020147943A1 (en) * | 2001-04-10 | 2002-10-10 | Slaugh Chad H. | System and method for allocating logic analyzer hardware resources |
CN106685928A (zh) * | 2016-12-06 | 2017-05-17 | 国网浙江省电力公司绍兴供电公司 | 适用于数字化变电站间隔层smv网络攻击分级检测方法 |
US20190081960A1 (en) * | 2017-09-11 | 2019-03-14 | GM Global Technology Operations LLC | Systems and methods for in-vehicle network intrusion detection |
CN114064723A (zh) * | 2021-11-15 | 2022-02-18 | 中国南方电网有限责任公司超高压输电公司昆明局 | 关联规则挖掘方法、装置、计算机设备和存储介质 |
Non-Patent Citations (1)
Title |
---|
叶蔚;黄雨;赵文;张世琨;王立福;: "基于Petri网的RFID中间件中复合事件检测研究", 电子学报, no. 1, 15 December 2008 (2008-12-15), pages 1 - 7 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
CN116821898B (zh) * | 2023-06-30 | 2024-08-02 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111914569A (zh) | 基于融合图谱的预测方法、装置、电子设备及存储介质 | |
CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
CN111538842A (zh) | 网络空间态势的智能感知和预测方法、装置和计算机设备 | |
CN114422267B (zh) | 流量检测方法、装置、设备及介质 | |
US12019739B2 (en) | User behavior risk analytic system with multiple time intervals and shared data extraction | |
CN111488740A (zh) | 一种因果关系的判别方法、装置、电子设备及存储介质 | |
CN111327607A (zh) | 一种基于大数据的安全威胁情报管理方法、系统、存储介质及终端 | |
CN110730164A (zh) | 安全预警方法及相关设备、计算机可读存储介质 | |
CN115358397A (zh) | 一种基于数据采样的并行图规则挖掘方法及装置 | |
CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
CN110019845B (zh) | 一种基于知识图谱的社区演化分析方法及装置 | |
CN116628049B (zh) | 一种基于大数据的信息系统维护管理系统及方法 | |
CN112035334A (zh) | 异常设备检测方法、装置、存储介质与电子设备 | |
CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
CN114625876B (zh) | 作者特征模型的生成方法、作者信息处理方法和装置 | |
CN111753548B (zh) | 信息获取方法及装置、计算机存储介质、电子设备 | |
CN118211201B (zh) | 基于用户行为画像的风险识别方法、装置、设备和介质 | |
CN118036005B (zh) | 基于精简调用图的恶意应用检测方法、系统、设备及介质 | |
CN114724639B (zh) | 预处理加速方法、装置、设备及存储介质 | |
CN116821898B (zh) | 容器环境的入侵检测方法、设备及存储介质 | |
CN111507734B (zh) | 作弊请求识别方法、装置、电子设备及计算机存储介质 | |
CN109241428B (zh) | 用户性别的确定方法、装置、服务器及存储介质 | |
CN116821160A (zh) | 基于用户行为轨迹信息的关联更新方法、装置、设备和介质 | |
CN108536362B (zh) | 用于识别操作的方法、装置及服务器 | |
CN118784342A (zh) | 访问设备异常检测方法、装置、电子设备与计算机介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |