CN116204876A - 异常检测方法、设备以及存储介质 - Google Patents

异常检测方法、设备以及存储介质 Download PDF

Info

Publication number
CN116204876A
CN116204876A CN202211106263.1A CN202211106263A CN116204876A CN 116204876 A CN116204876 A CN 116204876A CN 202211106263 A CN202211106263 A CN 202211106263A CN 116204876 A CN116204876 A CN 116204876A
Authority
CN
China
Prior art keywords
application program
program
malicious
behavior
container
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211106263.1A
Other languages
English (en)
Inventor
郝辰亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Huacheng Software Technology Co Ltd
Original Assignee
Hangzhou Huacheng Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Huacheng Software Technology Co Ltd filed Critical Hangzhou Huacheng Software Technology Co Ltd
Priority to CN202211106263.1A priority Critical patent/CN116204876A/zh
Publication of CN116204876A publication Critical patent/CN116204876A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种异常检测方法、设备以及存储介质,异常检测方法包括:分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果,每一初始异常检测结果对应一个异常行为,初始异常检测结果中包括对异常行为采集得到的描述信息;确定各初始异常检测结果中各异常行为的描述信息之间的相关性;基于相关性与第一预设条件之间的关系,得到应用程序的目标异常检测结果;执行与目标异常检测结果对应的预设处理。上述方案,能够提高异常检测的准确度。

Description

异常检测方法、设备以及存储介质
技术领域
本申请涉及计算机技术领域,特别是涉及一种异常检测方法、设备以及存储介质。
背景技术
Rootkit是一种特殊的程序(或一组程序),为了实现自身或其它恶意行为而隐藏的恶意程序,通常与木马、后门等其他恶意程序结合使用。Rootkit往往采用与操作系统机制相关的底层技术实现,用于与人工审计、安全软件分析进行对抗,因此往往涉及对受害服务器的内核、驱动进行注入和篡改。因此,急需一种能够检测程序中是否存在恶意程序的方法。
发明内容
本申请至少提供一种异常检测方法、设备以及存储介质。
本申请提供了一种异常检测方法,包括:分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果,每一初始异常检测结果对应一个异常行为,初始异常检测结果中包括对异常行为采集得到的描述信息;确定各初始异常检测结果中各异常行为的描述信息之间的相关性;基于相关性与第一预设条件之间的关系,得到应用程序的目标异常检测结果;执行与目标异常检测结果对应的预设处理。
本申请提供了一种异常检测装置,包括:异常检测模块,用于分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果,每一初始异常检测结果对应一个异常行为,初始异常检测结果中包括对异常行为采集得到的描述信息;相关性确定模块,用于确定各初始异常检测结果中各异常行为的描述信息之间的相关性;综合判断模块,用于基于相关性与第一预设条件之间的关系,得到应用程序的目标异常检测结果;执行模块,用于执行与目标异常检测结果对应的预设处理。
本申请提供了一种电子设备,包括存储器和处理器,处理器用于执行存储器中存储的程序指令,以实现上述异常检测方法。
本申请提供了一种计算机可读存储介质,其上存储有程序指令,程序指令被处理器执行时实现上述异常检测方法。
上述方案,通过获取对若干种行为进行异常检测,得到多个初始异常检测结果之后,获取各初始异常检测结果中各异常行为的描述信息之间的相关性,并基于相关性与第一预设条件之间的关系进行综合研判,得到最终的目标异常检测结果,相比于直接将各初始异常检测分别作为最终的目标异常检测结果而言,本申请提供的检测方法更为准确。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本申请的实施例,并与说明书一起用于说明本申请的技术方案。
图1是本申请异常检测方法一实施例的一流程示意图;
图2是本申请异常检测方法一实施例的另一流程示意图;
图3是本申请异常检测方法一实施例的再一流程示意图;
图4是本申请异常检测装置一实施例的结构示意图;
图5是本申请电子设备一实施例的结构示意图;
图6是本申请计算机可读存储介质一实施例的结构示意图。
具体实施方式
下面结合说明书附图,对本申请实施例的方案进行详细说明。
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透彻理解本申请。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。此外,本文中的“多”表示两个或者多于两个。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
请参阅图1,图1是本申请异常检测方法一实施例的一流程示意图。如图1所示,本公开实施例提供的异常检测方法,可以包括如下步骤:
步骤S11:分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果。
本公开实施例所述的若干指的是一个及以上。一些公开实施例中,每一初始异常检测结果对应一个异常行为,初始异常检测结果中包括对异常行为采集得到的描述信息。其中,异常行为可以是上述恶意程序潜入应用程序之后可能会执行的一系列行为,还可以是正常用户行为以外的其他行为。对异常行为采集得到的描述信息可以是执行该异常行为所需使用的参数或该异常行为的表现形式。
示例性地,恶意程序潜入应用程序之后,可能会执行以下行为:获得远程访问、窃取数据、隐藏文件、进程、端口、网络连接、驱动、内核模块等、创建root权限后门、用户隐私监控、拦截流量、劫持程序、利用主机或者操作系统的高危漏洞,并结合高级攻击技术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币等。
若检测到异常行为,则可以生成对应的初始异常检测结果。
步骤S12:确定各初始异常检测结果中各异常行为的描述信息之间的相关性。
可选地,确定各异常行为的描述信息之间的相关性的方式可以是确定异常行为所属进程之间是否存在关联、所属容器之间是否存在关联、执行参数之间是否存在关联。所属进程、所属容器、执行参数存在关联具体可以是相同或存在调用关系。一些应用场景中,某个或某组恶意程序很可能会造成多个异常行为,而属于同一个或同组恶意程序造成的异常行为之间可能会存在一定的相似性,通过对多个行为进行分析,能够确定各异常行为是由某个或某组恶意程序导致或只是其他常规问题。
可选地,确定各异常行为的描述信息之间的相关性的方式可以是分别依据各异常行为的描述信息,确定各异常行为可能所属的若干个恶意程序。若不同异常行为可能所述的恶意程序存在重叠,则认为这些异常行为之间的相关性满足第一预设条件。
步骤S13:基于相关性与第一预设条件之间的关系,得到应用程序的目标异常检测结果。
示例性地,相关性满足第一预设条件,得到应用程序的第一目标异常检测结果。相关性不满足第一预设条件,得到应用程序的第二目标异常检测结果。通过对各初始异常检测结果进行综合研判,然后基于综合研判的结果,得到应用程序的目标异常检测结果。
步骤S14:执行与目标异常检测结果对应的预设处理。
其中,预设处理可以是报警处理,还可以是获取恶意程序的活动数据、发出提示信息等操作。不同的目标异常检测结果对应的预设处理可以不同。
上述方案,通过获取对若干种行为进行异常检测,得到多个初始异常检测结果之后,获取各初始异常检测结果中各异常行为的描述信息之间的相关性,并基于相关性与第一预设条件之间的关系进行综合研判,得到最终的目标异常检测结果,相比于直接将各初始异常检测分别作为最终的目标异常检测结果而言,本申请提供的检测方法更为准确。
一些公开实施例中,异常行为包括与文件相关的异常行为、与进程相关的异常行为、与内核代码相关的异常行为以及与网络连接相关的异常行为等。
示例性地,异常行为具体可以是:1.服务器进程产生意外类型的子进程;2.对敏感文件进行读取如/etc/shadow;3.非设备文件写入至/dev;4.系统的标准二进制文件(如ls)产生出现流量;5.过滤事件类型为执行,但来源是bash;6.对内部网络节点进行扫描;7.检测特定的IO错误;8.对服务器重点目录的写操作如/etc;9.检测kernel内核模块被注入,进程名为insmod的系统调用中产生了子进程且参数不在白名单列表;10.修改查询端口、进程的指令结果等。以上异常行为仅为举例,不代表本申请只能对上述异常行为进行检测。
对异常行为采集得到的描述信息可以是执行该异常行为所需使用的参数。另一些公开实施例中,对异常行为采集得到的描述信息容器IP、用户、用户id、父进程名、进程名、执行参数等信息、告警描述、告警等级等。容器IP具体为出现该异常行为的容器标识。用户和用户id指的是检测到异常行为时正在调用该容器的用户以及用户标识。进程名指的是调用该容器的进程标识,父进程名指的是调用该容器所属进程的父进程,告警描述可以是对异常行为的客观描述,告警等级可以是该异常行为的危险等级,执行参数包括执行该异常行为所使用的参数。可选地,对不同的异常行为对应的告警描述以及告警等级可以由用户预先定义。
在一些实施例中,步骤S11中,分别对应用程序的两种以上行为进行异常检测,得到两个以上初始异常检测结果。在另一些实施例中,步骤S11中,分别对应用程序的三种以上行为进行异常检测,得到三个以上初始异常检测结果。
一些应用场景中,在执行步骤S12之前还可执行以下步骤:通过syslog等发送该Rootkit行为告警,告警信息中包括对异常行为采集得到的告警信息。当触发一条或多条Rootkit相关的实时行为告警后,根据多条恶意行为告警中附带的详细信息进行综合告警研判。另一些公开实施例中,也可以由安全人员根据多条恶意行为告警中附带的详细信息进行综合告警研判。
通过对Rootkit多种异常行为进行实时告警,根据多种行为来综合研判,不同异常行为输出不同的信息,为分析研判提供素材,对研判后的Rootkit告警事件的进行快速响应。
一些公开实施例中,目标异常检测结果包括应用程序中是否存在恶意程序。上述步骤S13可以包括以下步骤:
响应于相关性满足第一预设条件,确定应用程序中存在恶意程序。第一预设条件可以是相关性大于或等于预设相关度。
一些公开实施例中,在执行上述步骤S12之后,异常检测方法还可执行以下步骤:
响应于相关性满足第一预设条件,确定恶意程序的相关信息。其中,恶意程序的相关信息包括恶意程序所属家族、恶意程序的功能以及恶意程序在应用程序中进行活动的数据中的至少一者。当前,恶意程序可以通过家族进行区分,示例性地,恶意程序的家族可以是木马家族等。恶意程序的功能可以是获得远程访问、窃取数据、隐藏文件、进程、端口、网络连接、驱动、内核模块等、创建root权限后门、用户隐私监控、拦截流量、劫持程序、利用主机或者操作系统的高危漏洞,并结合高级攻击技术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币等。恶意程序在应用程序中进行活动的数据可以是恶意程序进行其异常行为造成的结果、调用的数据、所属容器组的标识及状态等数据。恶意程序在应用程序中进行活动的数据可以理解为恶意程序的恶意活动证据,通过获取恶意程序在应用程序中进行活动的数据,便于快速更新云服务(应用程序),以保障云服务的业务连续性。
然后,基于恶意程序的相关信息,确定恶意程序对应用程序的危害程度。示例性地,不同家族的恶意程序执行的功能不同,对应用程序或设备造成的后果不同,有的恶意程序造成的后果较小,有的恶意程序造成的后果较大。故,通过恶意程序所属家族、执行的功能以及造成的后果对恶意程序的危害程度进行评估。
其中,上述步骤S13可以包括以下步骤:执行与危害程度对应的预设处理。其中,本公开实施例所述的应用程序可以是云原生应用。可选地,应用程序包括若干容器组。其中,每个容器组中包括若干个容器。示例性地,容器组可以是Pod容器组,容器可以是Docker容器,Pod就可以作为1个或者多个Docker容器的载体。本公开实施例提供的异常检测方法可部署在各容器组中,容器组也可称之为云计算中间件,基于云计算中间件来部署和扩展规则,实现快速部署和回滚应用及检测工具,提供Rootkit检测规则的快速部署和更新维护。
预设处理可以是删除目标容器组、回滚目标容器组或创建新的容器组以替换目标容器组。其中,目标容器组为存在恶意程序的容器组。示例性地,若恶意程序的危害程度较大,则预设处理可以是删除该目标容器组或创建新的容器组以替换该目标容器组,若恶意程序的危害程度较小,则预设处理可以是回滚目标容器组。当然,预设处理还可是其他用户自定义的。
一些公开实施例中,还可对应用程序的生命周期中的其他阶段进行异常检测。示例性地,应用程序的生命周期包括准备阶段、业务构建阶段、部署/交付阶段和运行阶段。上述步骤S11及其之后的步骤可以认为是在应用程序运行阶段执行。准备阶段为暂未进行业务镜像构建的阶段、业务构建阶段为进行业务镜像的阶段,部署阶段为将各业务镜像运行为容器,进行业务测试和性能测试的阶段。
请同时参见图2,图2是本申请异常检测方法一实施例的另一流程示意图。如图2所示,在执行上述步骤S11之前,还可执行以下步骤:
步骤S21:对用于架构应用程序的基础镜像进行异常检测。
其中,基础镜像作用是为项目镜像提供支持,准备好php基础镜像之后,以此镜像为基础并添加项目代码,完成业务镜像构建工作,除重大安全更新、添加新的扩展模块之外,基础镜像并不会经常更新和调整。对云原生中用到的基础镜像进行管理,对基础镜像中漏洞进行周期性检测和漏洞修复。可选地,响应于基础镜像中未检测到恶意程序,对未检测到恶意程序的基础镜像进行系统关键文件备份,得到第一备份文件。其中,第一备份文件可以用于后续其他阶段中进行异常检测,例如业务镜像中的异常检测。示例性地,对于检测没有问题的基础镜像进行系统关键文件哈希值备份,得到第一备份文件。另外,还可更新基础镜像的标签,以供后续检测过程使用。
步骤S22:响应于基础镜像中未检测到恶意程序,使用基础镜像构建业务镜像,并对业务镜像进行异常检测。
一些应用场景中,在业务构建阶段,拉取代码库中的代码后,执行预定义的构建脚本,通过一系列编译操作构建出业务镜像,并将业务镜像推送到制品库,之后直接触发对业务镜像的进一步检测,检测在业务镜像的构建过程中有无加入Rootkit、恶意程序或组件漏洞。可选地,对业务镜像进行异常检测的方式可包括以下至少一步:
一是利用第一备份文件对业务镜像进行完整性检测,响应于业务镜像中不包括完整的第一备份文件,确定业务镜像中存在恶意程序。通过进行完整性检测,若业务镜像中存在被篡改的文件,还可确定业务镜像中被篡改的文件。
二是将业务镜像与恶意程序数据库中若干恶意程序的特征进行匹配,响应于匹配的结果满足第二预设条件,确定业务镜像中存在恶意程序。一些应用场景中,扫描业务镜像中的文件,将待检测文件与恶意特征库中若干恶意程序的特征进行匹配,该业务特征库中可以包括通用型Rootkit特征和针对特定行业的Rootkit特征,从而增加覆盖率,来静态检测是否存在Rootkit编码。
一些公开实施例中,响应于业务镜像中存在恶意程序,中止流程并通知代码所属业务方进行修复。可选地,若在业务镜像中存在其他基础漏洞,也可中止流程,并通知代码所属业务方进行修复。
一些公开实施例中,异常检测方法还可执行以下步骤:
响应于业务镜像中未检测到恶意程序,对业务镜像中的预设关键文件进行备份,得到第二备份文件。其中,第二备份文件可以在部署/交付阶段对应用程序进行异常检测,环环相扣以保证应用程序全生命周期的安全。
步骤S23:响应于业务镜像中未检测到恶意程序,部署业务镜像得到应用程序,并在应用程序测试过程中进行异常检测。
将制品库中的业务镜像取出,在测试环境部署并运行,进一步进行功能测试和安全测试。其中,在应用程序测试过程中进行异常检测的方式可以包括以下至少一步:
一是将业务镜像运行为容器,基于容器运行过程中的内核文件与第二备份文件进行完整性检测,响应于内核文件中不包含完整的第二备份文件,确定容器中存在恶意程序。
二是将容器运行过程中检测到的行为与预设行为进行匹配得到第一匹配结果,响应于基于第一匹配结果确定检测到的行为中存在异常行为,确定容器中存在恶意程序。其中,预设行为可以是已知的恶意程序确定的,也可以是由采集目标系统行为和正常用户活动的标准事件数据进行安全建模得到。目标系统行为和正常用户活动行为可以是确认不存在恶意程序的情况下,由采集得到的标准事件数据进行安全建模得到的行为。通过对用户实际行为数据进行分析,从是否偏离正常行为来检测未知或不常见的Rootkit。
三是使用若干种途径获取容器中对应的系统信息,将不同途径获取得到的各系统信息进行匹配得到第二匹配结果,响应于第二匹配结果满足第三预设条件,确定容器中存在恶意程序。示例性地,通过对比不同途径获取到的系统信息,根据差异实现Rootkit检测,如比较当前进程列表在应用层API和内核系统服务函数获取的两种数据是否一致来识别Rootkit。若不同途径获取得到的数据不同,则确认存在恶意程序。
一些公开实施例中,异常检测方法还可包括以下一个或多个步骤:
响应于应用程序测试过程中未检测到恶意程序,将应用程序部署到线上。也就是,若该应用程序通过了当前阶段的业务测试和安全测试,则可以将应用程序部署到线上。例如,通过Kubernetes将应用程序部署到线上。
以及,对宿主机进行异常检测。其中,宿主机是用于部署应用程序对应容器组的主机。如上述,容器组中包括若干个容器。在Kubernetes以Daemonset方式运行容器运行时检测工具和Rootkit相关行为规则,来监控宿主机、容器的各类内核事件调用情况,只需要部署一次本公开实施例所提供的异常检测方法,后续更新规则只需通过Kubernetes一键操作,且不需要在每次应用上线都触发。
步骤S24:响应于应用程序测试过程中未检测到恶意程序,运行应用程序。
其中,在应用程序的运行过程中执行上述步骤S11。
通过针对云原生应用生命周期中的不同阶段分别采取对应的措施进行异常检测,多角度协同检测Rootkit,每个阶段相互联系,环环相扣,相互提供检测素材,综合提高了Rootkit的检测准确率。
一些公开实施例中,在应用程序生命周期的各阶段(准备阶段、业务构建阶段、部署/交付阶段、运行阶段)还可配合东西向、南北向恶意程序活动行为检测,以及针对kubernetes、docker等特殊事件制定规则,可系统的对大规模云服务提供防护。
为更好地理解本公开实施例提供的方案,请参见图3,图3是本申请异常检测方法一实施例的再一流程示意图。如图3所示,本公开实施例提供的异常检测方法还可包括以下步骤:
步骤S31:基础镜像管理。
其中,基础镜像管理可以包括增加基础镜像、减少、修改基础镜像等。基础镜像管理的方式可参考常规的方式,此处不做过多叙述。
步骤S32:基础镜像漏洞检测与修复。
其中,步骤S32的具体实现方式可参考上述基础镜像的异常检测方式,此处不做过多叙述。一些公开实施例中,还可执行系统关键文件备份,得到第一备份文件。第一备份文件可以用于后续业务镜像的异常检测。
步骤S33:构建业务镜像。
可选地,在基础镜像通过了漏洞检测并且未检测到恶意程序的情况下,执行步骤S33。具体构建业务镜像的方式不是本申请重点,此处不做过多叙述。
步骤S34:进行完整性检测以及恶意程序特征检测,确定业务镜像中是否存在恶意程序。
其中,对业务镜像进行异常检测的方式可参考上述,此处不再赘述。
一些公开实施例中,响应于步骤S34未检测到恶意程序,还可执行系统关键文件备份,得到第一备份文件。
其中,在步骤S34的判断结果为确定业务镜像中存在恶意程序的情况下,执行步骤S35,否则执行步骤S36。
步骤S35:流程中止,通知业务方。
步骤S36:部署测试环境。
其中,部署测试环境的方式可参考常规技术,此处不再赘述。
步骤S37:运行时内核文件数据完整性检测以及Rootki行为分析检测,确定是否发现恶意程序。
其中,运行时内核文件数据完整性检测以及Rootki行为分析检测,确定是否发现恶意程序的方式具体可参见上述步骤S23的实现方式,此处不做过多叙述。
其中,在步骤S37的判断结果为,确定检测到恶意程序的情况下,执行步骤S38,否则执行步骤S39。
步骤S38:流程中止,通知业务方。
步骤S39:将应用程序部署至线上。
将应用程序部署至线上的方式可以是通过Kubernetes将应用程序部署到线上。
步骤S40:对内核态和用户态事件进行抓取,响应于检测到异常行为进行异常行为告警。
其中,可以是使用hook的方式对内核态和用户态事件进行抓取。其中,进行异常行为告警的方式可参考上述,此处不再赘述。
步骤S41:对多条异常行为告警进行综合研判,确定是否存在恶意程序。
其中,步骤S41的具体实现方式可参考上述步骤S12相关的实现方式,此处不再赘述。
其中,在步骤S41的判断结果为存在恶意程序的情况下,执行步骤S42,在步骤S41的判断结果为不存在恶意程序的情况下,执行步骤S44,发出提示信息用于提示用户不应用程序中不存在恶意程序。
步骤S42:确定恶意程序的家族、功能以及活动证据。
其中,确定恶意程序的家族、功能以及活动证据的方式可参考上述,此处不再赘述。
步骤S43:执行预设处理,重新部署不安全的容器组。
预设处理包括删除、回滚、创新的容器组以代替恶意程序所处容器组等方式。
步骤S44:发出提示信息。
其中,异常检测方法的执行主体可以是异常检测装置,例如,异常检测装置可以是终端设备或服务器或其它处理设备。其中,终端设备可以是网络硬盘录像机、用户设备(User Equipment,UE)、移动设备、用户终端、终端、蜂窝电话、无绳电话、个人数字处理(Personal Digital Assistant,PDA)、手持设备、计算设备、车载设备、可穿戴设备等。在一些可能的实现方式中,该异常检测方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
请参阅图4,图4是本申请异常检测装置一实施例的结构示意图。异常检测装置40包括异常检测模块41、相关性确定模块42、综合研判模块43以及执行模块44。异常检测模块41,用于分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果,每一初始异常检测结果对应一个异常行为,初始异常检测结果中包括对异常行为采集得到的描述信息;相关性确定模块42,用于确定各初始异常检测结果中各异常行为的描述信息之间的相关性;综合判断模块43,用于基于相关性与第一预设条件之间的关系,得到应用程序的目标异常检测结果;执行模块44,用于执行与目标异常检测结果对应的预设处理。
上述方案,通过获取对若干种行为进行异常检测,得到多个初始异常检测结果之后,获取各初始异常检测结果中各异常行为的描述信息之间的相关性,并基于相关性与第一预设条件之间的关系进行综合研判,得到最终的目标异常检测结果,相比于直接将各初始异常检测分别作为最终的目标异常检测结果而言,本申请提供的检测方法更为准确。
其中,各个模块的功能可参见异常检测方法实施例所述,此处不再赘述。
请参阅图5,图5是本申请电子设备一实施例的结构示意图。电子设备50包括存储器51和处理器52,处理器52用于执行存储器51中存储的程序指令,以实现上述任一异常检测方法实施例中的步骤。在一个具体的实施场景中,电子设备50可以包括但不限于:微型计算机、服务器,此外,电子设备50还可以包括笔记本电脑、平板电脑等移动设备,在此不做限定。
具体而言,处理器52用于控制其自身以及存储器51以实现上述任一异常检测方法实施例中的步骤。处理器52还可以称为CPU(Central Processing Unit,中央处理单元)。处理器52可能是一种集成电路芯片,具有信号的处理能力。处理器52还可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。另外,处理器52可以由集成电路芯片共同实现。
上述方案,通过获取对若干种行为进行异常检测,得到多个初始异常检测结果之后,获取各初始异常检测结果中各异常行为的描述信息之间的相关性,并基于相关性与第一预设条件之间的关系进行综合研判,得到最终的目标异常检测结果,相比于直接将各初始异常检测分别作为最终的目标异常检测结果而言,本申请提供的检测方法更为准确。
请参阅图6,图6是本申请计算机可读存储介质一实施例的结构示意图。计算机可读存储介质60存储有能够被处理器运行的程序指令61,程序指令61用于实现上述任一异常检测方法实施例中的步骤。
上述方案,通过获取对若干种行为进行异常检测,得到多个初始异常检测结果之后,获取各初始异常检测结果中各异常行为的描述信息之间的相关性,并基于相关性与第一预设条件之间的关系进行综合研判,得到最终的目标异常检测结果,相比于直接将各初始异常检测分别作为最终的目标异常检测结果而言,本申请提供的检测方法更为准确。
在一些实施例中,本公开实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施方式仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (11)

1.一种异常检测方法,其特征在于,包括:
分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果,每一所述初始异常检测结果对应一个异常行为,所述初始异常检测结果中包括对所述异常行为采集得到的描述信息;
确定各所述初始异常检测结果中各异常行为的描述信息之间的相关性;
基于所述相关性与第一预设条件之间的关系,得到所述应用程序的目标异常检测结果;
执行与所述目标异常检测结果对应的预设处理。
2.根据权利要求1所述的方法,其特征在于,所述目标异常检测结果包括所述应用程序中是否存在恶意程序;所述基于所述相关性与第一预设条件之间的关系,得到所述应用程序的目标异常检测结果,包括:
响应于所述相关性满足所述第一预设条件,确定所述应用程序中存在恶意程序。
3.根据权利要求1所述的方法,其特征在于,所述异常行为包括与文件相关的异常行为、与进程相关的异常行为、与内核代码相关的异常行为以及与网络连接相关的异常行为中的一者或多者。
4.根据权利要求2所述的方法,其特征在于,在所述确定各所述初始异常检测结果中各异常行为的描述信息之间的相关性之后,所述方法还包括:
响应于所述相关性满足所述第一预设条件,确定所述恶意程序的相关信息,所述相关信息包括所述恶意程序所属家族、所述恶意程序的功能以及所述恶意程序在所述应用程序中进行活动的数据中的至少一者;
基于所述恶意程序的相关信息,确定所述恶意程序对所述应用程序的危害程度;
确定与所述危害程度对应的预设处理;
所述执行与所述目标异常检测结果对应的预设处理,包括:
执行与所述危害程度对应的预设处理。
5.根据权利要求2所述的方法,其特征在于,所述应用程序包括若干个容器组,所述应用程序的目标异常检测结果包括各所述容器组的目标异常检测结果,所述执行与所述目标异常检测结果对应的预设处理,包括:
删除目标容器组、回滚所述目标容器组或创建新的容器组以替换所述目标容器组,所述目标容器组为存在恶意程序的容器组。
6.根据权利要求1-5任一项所述的方法,其特征在于,在所述分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果之前,所述方法还包括:
对用于构架所述应用程序的基础镜像进行异常检测;
响应于所述基础镜像中未检测到恶意程序,使用所述基础镜像构建业务镜像,并对所述业务镜像进行异常检测;
响应于所述业务镜像中未检测到恶意程序,部署所述业务镜像得到所述应用程序,并在所述应用程序测试过程进行异常检测;
响应于所述应用程序测试过程中未检测到恶意程序,运行所述应用程序,以便在运行过程中执行所述分别对应用程序的若干种行为进行异常检测,得到若干个初始异常检测结果的步骤。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
响应于所述基础镜像中未检测到恶意程序,对未检测到恶意程序的基础镜像进行系统关键文件备份,得到第一备份文件;
所述对所述业务镜像进行异常检测,包括以下至少一步:
利用所述第一备份文件对所述业务镜像进行完整性检测,响应于所述业务镜像中不包括完整的第一备份文件,确定所述业务镜像中存在恶意程序;
将所述业务镜像与恶意程序数据库中若干恶意程序的特征进行匹配,响应于匹配的结果满足第二预设条件,确定所述业务镜像中存在恶意程序。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
响应于所述业务镜像中未检测到恶意程序,对所述业务镜像中的预设关键文件进行备份,得到第二备份文件;
所述在所述应用程序测试过程进行异常检测,包括以下至少一步:
将所述业务镜像运行为容器,基于所述容器运行过程中的内核文件与所述第二备份文件进行完整性检测,响应于所述内核文件中不包含完整的所述第二备份文件,确定所述容器中存在恶意程序;
将所述容器运行过程中检测到的行为与预设行为进行匹配得到第一匹配结果,响应于基于所述第一匹配结果确定检测到的行为中存在异常行为,确定所述容器中存在恶意程序;
使用若干种途径获取所述容器中对应的系统信息,将不同途径获取得到的各所述系统信息进行匹配得到第二匹配结果,响应于第二匹配结果满足第三预设条件,确定所述容器中存在恶意程序。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
响应于所述应用程序测试过程中未检测到恶意程序,将所述应用程序部署到线上;
对宿主机进行异常检测,所述宿主机是用于部署所述应用程序对应容器组的主机,所述容器组中包括若干个容器。
10.一种电子设备,其特征在于,包括存储器和处理器,所述处理器用于执行所述存储器中存储的程序指令,以实现权利要求1至9任一项所述的方法。
11.一种计算机可读存储介质,其上存储有程序指令,其特征在于,所述程序指令被处理器执行时实现权利要求1至9任一项所述的方法。
CN202211106263.1A 2022-09-10 2022-09-10 异常检测方法、设备以及存储介质 Pending CN116204876A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211106263.1A CN116204876A (zh) 2022-09-10 2022-09-10 异常检测方法、设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211106263.1A CN116204876A (zh) 2022-09-10 2022-09-10 异常检测方法、设备以及存储介质

Publications (1)

Publication Number Publication Date
CN116204876A true CN116204876A (zh) 2023-06-02

Family

ID=86506552

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211106263.1A Pending CN116204876A (zh) 2022-09-10 2022-09-10 异常检测方法、设备以及存储介质

Country Status (1)

Country Link
CN (1) CN116204876A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117150453A (zh) * 2023-11-01 2023-12-01 建信金融科技有限责任公司 网络应用检测方法、装置、设备、存储介质及程序产品

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117150453A (zh) * 2023-11-01 2023-12-01 建信金融科技有限责任公司 网络应用检测方法、装置、设备、存储介质及程序产品
CN117150453B (zh) * 2023-11-01 2024-02-02 建信金融科技有限责任公司 网络应用检测方法、装置、设备、存储介质及程序产品

Similar Documents

Publication Publication Date Title
US8117659B2 (en) Malicious code infection cause-and-effect analysis
US9424426B2 (en) Detection of malicious code insertion in trusted environments
CN113661693A (zh) 经由日志检测敏感数据暴露
US20140053267A1 (en) Method for identifying malicious executables
US20170024561A1 (en) Systems and Methods for Tracking Malicious Behavior Across Multiple Software Entities
US20080141376A1 (en) Determining maliciousness of software
US10216934B2 (en) Inferential exploit attempt detection
Arfeen et al. Endpoint detection & response: A malware identification solution
WO2019091789A1 (en) Vulnerability assessment of containerised installation
US20170155683A1 (en) Remedial action for release of threat data
GB2505284A (en) Anti-ransomware tool for mobile apparatus
CN108810014B (zh) 攻击事件告警方法及装置
CN113632432A (zh) 一种攻击行为的判定方法、装置及计算机存储介质
CN109784051B (zh) 信息安全防护方法、装置及设备
CN116204876A (zh) 异常检测方法、设备以及存储介质
CN111542811B (zh) 增强网络安全的监视
CN111259392A (zh) 一种基于内核模块的恶意软件拦截方法及装置
CN113992355B (zh) 一种攻击预测方法、装置、设备及机器可读存储介质
US11763004B1 (en) System and method for bootkit detection
CN114640529B (zh) 攻击防护方法、装置、设备、存储介质和计算机程序产品
US20180330082A1 (en) Preserving system integrity using file manifests
KR20110032449A (ko) 행위기반 탐지 장치 및 방법
CN116975857A (zh) 勒索软件检测方法、系统、设备及存储介质
CN117370981A (zh) 一种基于行为特征的eBPF Rootkit攻击形式化建模方法
CN117439757A (zh) 终端风险程序的数据处理方法、装置和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination