CN116545770B - 场景检测方法、装置、介质及设备 - Google Patents

场景检测方法、装置、介质及设备 Download PDF

Info

Publication number
CN116545770B
CN116545770B CN202310796511.8A CN202310796511A CN116545770B CN 116545770 B CN116545770 B CN 116545770B CN 202310796511 A CN202310796511 A CN 202310796511A CN 116545770 B CN116545770 B CN 116545770B
Authority
CN
China
Prior art keywords
detection
data
index
scene
processing node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310796511.8A
Other languages
English (en)
Other versions
CN116545770A (zh
Inventor
刘利伟
胡绍勇
衡相忠
何鹏
王亭景
张乃淦
朱涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202310796511.8A priority Critical patent/CN116545770B/zh
Publication of CN116545770A publication Critical patent/CN116545770A/zh
Application granted granted Critical
Publication of CN116545770B publication Critical patent/CN116545770B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本申请提供了一种场景检测方法、装置、介质及设备,其中方法包括:初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器;通过所述检测引擎读取所述监听器的监听结果,生成检测结果。本申请可提供高效、扩展性强的场景检测方式。

Description

场景检测方法、装置、介质及设备
技术领域
本申请涉及数据检测技术领域,尤其是涉及到一种场景检测方法、装置、介质及设备。
背景技术
随着互联网和网络服务的快速发展,网络带给用户极大便利的同时,也不可避免存在较大的安全问题。现有针对恶意软件、恶意流量等攻击进行检测的方案中,一般都是根据预先固定好的检测方案进行检测,而在实际检测中,测试工程师可能需要更新或改变检测条件,实现不同场景的检测。因此,如何实现一种满足检测场景需求且高效的场景检测方案,是本领域技术人员需要考虑的一个技术问题。
发明内容
有鉴于此,本申请提供了一种场景检测方法、装置、介质及电子设备,主要目的在于提高检测的效率和扩展性。
依据本申请的一个方面,提供了一种场景检测方法,包括:
初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器;
通过所述检测引擎读取所述监听器的监听结果,生成检测结果。
在一种实现方式中,所述对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图,包括:
对所述检测策略进行数据特征分析,确定检测策略是针对单条数据或多条数据进行检测,并进一步确定针对多条数据进行检测的策略中的指标是否满足过滤条件的场景;
确定针对单条数据进行检测的检测策略对应的最优执行图为单条数据执行图、确定针对多条数据进行检测且指标满足过滤条件的检测策略对应的最优执行图为多条数据指标过滤执行图、确定针对多条数据进行检测且指标不满足过滤条件的检测策略对应的最优执行图为多条数据指标不过滤执行图。
在一种实现方式中,
所述单条数据执行图的处理节点包括:数据过滤处理节点、指标计算及缓存处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点;
所述多条数据指标过滤执行图的处理节点包括:数据分组处理节点、指标计算及缓存处理节点、指标过滤处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点;
所述多条数据指标不过滤执行图的处理节点包括:数据分组处理节点、数据过滤处理节点、指标计算处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点。
在一种实现方式中,所述初始化一个风险引擎,包括:创建风险引擎,用于对场景检测进行配置,其中,所述风险引擎的可配置选项包括:统计周期、指标范围、指标计算逻辑、指标逻辑关系中的至少一项。
在一种实现方式中,
所述待检测场景为单IP单接口高频获取敏感信息的第一检测场景;
针对所述第一检测场景,在所述风险引擎上配置统计周期、配置指标范围为同一IP或同一接口,配置指标计算逻辑为:同一IP或同一接口在统计周期内的数据量大于数据量阈值;
所述第一检测场景的第一检测策略为:在统计周期内对同一IP或同一接口的数据进行检测,若数据量量大于数据量阈值,则触发所述检测策略;
所述第一检测策略对应的第一最优执行图为多条数据指标过滤执行图。
在一种实现方式中,
所述待检测场景为接口疑似恶意注入的第二检测场景;
针对所述第二检测场景,在所述风险引擎上配置统计周期、配置指标计算逻辑为:根据内置算法比对url参数;
所述第二检测场景的第二检测策略为:在统计周期内根据内置算法判断url参数是否存在恶意注入,若存在恶意注入则触发所述检测策略;
所述第二检测策略对应的第二最优执行图为单条数据执行图。
在一种实现方式中,
所述待检测场景为接口疑似未鉴权的第三检测场景;
针对所述第三检测场景,在所述风险引擎上配置指标计算逻辑为:请求头与认证数据不匹配的第一指标计算逻辑、url参数与认证数据不匹配的第二指标计算逻辑,以及配置指标逻辑关系为第一指标计算逻辑与第二指标计算逻辑均为真;
所述第三检测场景的第三检测策略为:在请求头与认证数据不匹配且url参数与认证数据不匹配时,触发所述检测策略;
所述第三检测策略对应的第三最优执行图为单条数据执行图。
依据本申请的一个方面,提供了一种场景检测装置,所述装置包括:
风险引擎单元,用于初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
检测分析单元,用于对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
检测引擎单元,用于根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器,以及,通过所述检测引擎读取所述监听器的监听结果,生成检测结果。
依据本申请的一个方面,提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述场景检测方法。
依据本申请的一个方面,提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述场景检测方法。
借由上述技术方案,本申请提供的一种场景检测方法、装置、介质及设备,通过在风险引擎上对待检测场景的指标进行配置,确定检测策略,并对检测策略进行数据特征分析确定出最优执行图,在数据检测过程中,检测引擎按照最优执行图进行节点处理,包括指标计算、指标评估、策略触发及监听器回调。可见,由于风险引擎提供的指标可配置功能,可实现待检测场景的自主配置,由此方便测试人员进行检测方案的优化或调整,提高检测方案的可扩展性;此外,根据检测策略进行特征匹配而生成的性能最优的执行图,例如针对单条或多条数据采取不同的执行图的方式,可适配出最合适的检测处理流程,节省计算开销或网络资源,提高检测效率,实现高性能的检测。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种场景检测方法的流程图;
图2示出了本申请实施例提供的一种场景检测方法中单条数据执行图的节点流程图;
图3示出了本申请实施例提供的一种场景检测方法中多条数据指标过滤执行图的节点流程图;
图4示出了本申请实施例提供的一种场景检测方法中多条数据指标不过滤执行图的节点流程图;
图5示出了本申请实施例提供的一种场景检测方法中第一检测场景的指标配置示意图;
图6示出了本申请实施例提供的一种场景检测方法中第二检测场景的指标配置示意图;
图7示出了本申请实施例提供的一种场景检测方法中第三检测场景的指标配置示意图;
图8示出了本申请实施例提供的一种场景检测装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对现有方案的不足,本申请实施例实现高性能且扩展性强的场景检测方案,可以做到根据配置对数据进行特征匹配检测,根据输入的数据,一条或者一批进行场景检测,其中,“高性能”体现在根据场景选择最佳执行图进行检测节点的执行,“扩展性强”体现在检测策略的可配置性。下文进行详细描述和分析。
参见图1,示出了本申请实施例提供的一种场景检测方法中单条数据执行图的节点流程图。该场景检测方法,通过如下步骤S101-S104实现高效且可配置指标的场景检测。
S101:初始化一个风险引擎,并获取在风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到待检测场景的检测策略。
本申请实施例中,风险引擎可理解为由程序核心组件实现的可配置指标的界面,通过指标的配置,确定出待检测场景。
其中,初始化一个风险引擎的过程可包括:创建风险引擎,用于对场景检测进行配置,其中,风险引擎的可配置选项包括:统计周期、指标范围、指标计算逻辑、指标逻辑关系中的至少一项。其中,“统计周期”是指检测的时间范围或频率,例如,设置“统计周期”为“每分钟”;“指标”是指对数据通过算法提取的数据值,例如,“指标范围”可配置为“同一接口”或“同一IP”;“指标计算逻辑”包括由指标名称、评估方式、对比值组成的逻辑,其中,“评估”是指指标是否满足指定的评估条件;指标逻辑关系,是指存在多条指标时,各个指标之间的逻辑取值,例如存储两个指标,则取“或”或者“与”的逻辑关系;当仅存在一条指标时,仅考虑该条指标的评估结果即可。
比如,在“单IP单接口高频获取敏感信息”的检测场景下,配置的统计周期为:每分钟;配置的指标范围为:同一IP、同一接口;配置的指标计算逻辑为:统计类型指标/敏感数据量(指标名称)、大于(评估方式)、100(对比值)。上述配置的含义为:若同一IP或同一接口的数据量在一分钟之内大于阈值(100),则触发策略。
S102:对检测策略进行数据特征分析,确定出检测策略对应的最优执行图。
其中,检测策略可以理解为数据特征匹配策略,包括多个指标、评估及多个评估之间的逻辑关系。最优执行图可以理解为:对待检测数据根据检测策略进行特征匹配、生成的性能最优的执行图。
在一种实现方式中,对检测策略进行数据特征分析,确定出检测策略对应的最优执行图,包括:
S102-1:对检测策略进行数据特征分析,确定检测策略是针对单条数据或多条数据进行检测,并进一步确定针对多条数据进行检测的策略中的指标是否满足过滤条件的场景;
S102-2:确定针对单条数据进行检测的检测策略对应的最优执行图为单条数据执行图、确定针对多条数据进行检测且指标满足过滤条件的检测策略对应的最优执行图为多条数据指标过滤执行图、确定针对多条数据进行检测且指标不满足过滤条件的检测策略对应的最优执行图为多条数据指标不过滤执行图。
本申请实施例中,执行图可理解是检测策略的运行时表现,最优执行图是根据检测策略生成最适合此策略的执行图。下面对上述三种最优执行图的逻辑进行示例性说明。
1.单条数据执行图
单条数据执行图适用于对单条数据进行检测的场景,在该场景下,可使用指标缓存提升性能。
参见图2,示出了本申请实施例提供的一种场景检测方法中单条数据执行图的节点流程图。该单条数据执行图包括如下节点。
节点1:数据过滤。
对运行中的数据进行过滤,仅关注满足检测条件的数据,例如,针对同一接口的测试场景,仅保留该接口的数据。
节点2:计算指标及缓存。
根据待检测场景所配置的指标,进行指标计算,具体的,根据“指标计算逻辑”选项下配置的指标名称、评估方式、对比值,对指标进行计算。计算指标后,对指标计算结果进行缓存,在后续指标评估时可直接调用缓存的指标计算结果,而无需频繁进行指标计算,由此节省开销,提升处理性能。
节点3:指标评估。
如前说明的,“评估”是指指标是否满足指定的评估条件。
节点4:策略触发。
当指标满足评估条件时,触发检测策略。若不触发策略,则结束。
节点5:回调监听器。
本申请实施例中,配置检测策略后会根据配置的检测策略集合初始化一个检测引擎,检测引擎需要注册处理结果监听器,将数据输入到初始化后的检测引擎 ,处理结果会回调监听器。
可见,单条数据执行图的处理节点可包括:数据过滤处理节点、指标计算及缓存处理节点、指标评估处理节点、监听器触发处理节点、监听器回调处理节点。
2.多条数据指标过滤执行图
多条数据指标过滤执行图,适用于对多条数据进行检测的执行图。例如,适合于分组计算后的指标可以满足过滤条件的场景,比如使用ip进行分组,并且使用ip进行过滤,分组条件可以满足过滤条件,则可以先进行分组指标计算,之后对分组指标进行过滤(使用ip)、评估等待操作。这种执行图可利用指标缓存,若策略使用了用计算耗时较长的指标,此执行图可减少重复计算量,提升性能。
参见图3,示出了本申请实施例提供的一种场景检测方法中多条数据指标过滤执行图的节点流程图。该多条数据执行图包括如下节点:
节点1:数据分组;
节点2:计算指标及缓存;
节点3:过滤指标;
节点4:指标评估;
节点5:策略触发;
节点6:回调监听器。
可见,多条数据指标过滤执行图的处理节点可包括:数据分组处理节点、指标计算及缓存处理节点、指标过滤处理节点、指标评估处理节点、监听器触发处理节点、监听器回调处理节点。
3. 多条数据指标不过滤执行图
多条数据指标不过滤执行图,适合于分组计算后的指标不可以满足过滤条件的场景,比如使用ip进行分组,用账号进行过滤,在这种情况下,计算的分组指标无法根据账号进行过滤,所以需要先对分组后的数据进行过滤,然后进行指标计算、评估等等后续操作。
参见图4,示出了本申请实施例提供的一种场景检测方法中多条数据指标不过滤执行图的节点流程图。该多条数据执行图包括如下节点:
节点1:数据分组;
节点2:数据过滤;
节点3:计算指标不缓存;
节点4:指标评估;
节点5:策略触发;
节点6:回调监听器。
可见,多条数据指标不过滤执行图的处理节点可包括:数据分组处理节点、数据过滤处理节点、指标计算处理节点、指标评估处理节点、监听器触发处理节点、监听器回调处理节点。
S103:根据最优执行图,初始化一个检测引擎,其中,在检测引擎中注册有待检测场景的监听器,并根据最优执行图的处理节点进行指标计算、指标评估、触发或回调监听器。
S104:通过检测引擎读取监听器的监听结果,生成检测结果。
本申请实施例中,配置检测策略后会根据配置的检测策略集合初始化一个检测引擎,检测引擎需要注册处理结果监听器,将数据输入到初始化后的检测引擎,处理结果会回调监听器。其中,检测引擎可以理解为用于执行数据检测的核心组件,例如,通过java实现的检测组件。通过注册监听器,在策略被触发后,通过回调监听器,得到检测结果。
下面以三个具体检测场景,对本申请实施例提供的场景检测方法进行示例性说明。应该理解,具体的检测场景并不构成对本申请实施例的限定,本申请实施例可以包括其他检测场景。
第一检测场景:单IP单接口高频获取敏感信息。
在该实现方式中,待检测场景为单IP单接口高频获取敏感信息的第一检测场景;针对第一检测场景,在风险引擎上配置统计周期、配置指标范围为同一IP或同一接口,配置指标计算逻辑为:同一IP或同一接口在统计周期内的数据量大于数据量阈值;第一检测场景的第一检测策略为:在统计周期内对同一IP或同一接口的数据进行检测,若数据量量大于数据量阈值,则触发检测策略;第一检测策略对应的第一最优执行图为多条数据指标过滤执行图。
参见图5,示出了本申请实施例提供的一种场景检测方法中第一检测场景的指标配置示意图。
如图5的配置:统计周期配置为:每分钟;指标范围配置为:同一IP、同一接口;指标计算配置为:序号:1、指标名称:统计类型指标/敏感数据量、评估方式:大于、对比值:100、操作:删除(用户可点击“删除”对序号为1的指标进行删除);指标逻辑关系配置为:1(表示序号为1的指标生效)。
该配置用来表示该IP存在过频访问单接口的异常情况。此策略表示对周期为一分钟之内的所有数据进行检测。若敏感数据量大于设置的阈值(100)则证明此策略成功触发。其中的指标为敏感数据量,评估方式为“大于”对比值,逻辑表达式为1,表示序号为1的评估表达式,若此评估表达式的评估结果为真,则此策略触发。
该第一检测场景下,可使用ip进行分组,并且使用ip进行过滤,也即分组条件可以满足过滤条件,因此适应于多条数据指标过滤执行图:先进行分组指标计算,之后对分组指标进行过滤(使用ip)、评估等待操作。
第二检测场景:接口疑似恶意注入。
在该实现方式中,待检测场景为接口疑似恶意注入的第二检测场景;针对第二检测场景,在风险引擎上配置统计周期、配置指标计算逻辑为:根据内置算法比对url参数;第二检测场景的第二检测策略为:在统计周期内根据内置算法判断url参数是否存在恶意注入,若存在恶意注入则触发检测策略;第二检测策略对应的第二最优执行图为单条数据执行图。
参见图6,示出了本申请实施例提供的一种场景检测方法中第二检测场景的指标配置示意图。
如图6的配置:统计周期配置为:每次;指标计算配置为:序号:1、指标名称:请求类型指标/URL参数、评估方式:算法、对比值:跨站脚本攻击、操作:删除(用户可点击“删除”对序号为1的指标进行删除);指标逻辑关系配置为:1(表示序号为1的指标生效)。
此策略表示对输入的数据进行检测是否存在异常注入,例如xss(跨站脚本攻击,Cross Site Scripting))恶意注入。其中,指标为url参数 ,评估方式为算法(调用内置算法),对比值:跨站脚本攻击(内置算法的名称);逻辑表达式为1 表示id为1的评估表达式为真则此策略触发。
该第二检测场景是对单条数据进行检测,因此可采用单条数据执行图进行节点处理,其中,通过使用指标缓存减少重复计算量,提升性能。
第三检测场景:接口疑似未鉴权。
在该实现方式下,待检测场景为接口疑似未鉴权的第三检测场景;针对第三检测场景,在风险引擎上配置指标计算逻辑为:请求头与认证数据不匹配的第一指标计算逻辑、url参数与认证数据不匹配的第二指标计算逻辑,以及配置指标逻辑关系为第一指标计算逻辑与第二指标计算逻辑均为真;第三检测场景的第三检测策略为:在请求头与认证数据不匹配且url参数与认证数据不匹配时,触发检测策略;第三检测策略对应的第三最优执行图为单条数据执行图。
参见图7,示出了本申请实施例提供的一种场景检测方法中第三检测场景的指标配置示意图。
如图7的配置:指标计算配置为:序号:1、指标名称:请求类型指标/请求头、评估方式:正则不匹配(部分)、对比值:token|auth|session|secret、操作:删除(用户可点击“删除”对序号为1的指标进行删除);序号2、指标名称:请求类型指标/url参数、评估方式:正则不匹配(部分)、对比值:token|auth|session|secret、操作:删除(用户可点击“删除”对序号为2的指标进行删除);指标逻辑关系配置为:1&&2(表示序号为1与2的指标都为真时生效)。
此策略表示只有id为1与id为2的评估表达式的评估结果都为真的时候此策略才是成功触发 。表示从输入的数据检测出了配置的场景。其中,指标1:请求头、评估方式:正则不匹配;对比值:token|auth|session|secret|;指标2:url参数、评估方式:正则不匹配、对比值:token|auth|session|secret。逻辑表达式:1&&2。
该第三检测场景是对单条数据进行检测,因此可采用单条数据执行图进行节点处理,其中,通过使用指标缓存减少重复计算量,提升性能。
可见,本申请实施例提供的场景检测方法,通过在风险引擎上对待检测场景的指标进行配置,确定检测策略,并对检测策略进行数据特征分析确定出最优执行图,在数据检测过程中,检测引擎按照最优执行图进行节点处理,包括指标计算、指标评估、策略触发及监听器回调。可见,由于风险引擎提供的指标可配置功能,可实现待检测场景的自主配置,由此方便测试人员进行检测方案的优化或调整,提高检测方案的可扩展性;此外,根据检测策略进行特征匹配而生成的性能最优的执行图,例如针对单条或多条数据采取不同的执行图的方式,可适配出最合适的检测处理流程,节省计算开销或网络资源,提高检测效率,实现高性能的检测。
参见图8,示出了本申请实施例提供的一种场景检测装置结构示意图。 该场景检测装置,用于实现可配置指标的场景检测,所述装置包括:
风险引擎单元801,用于初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
检测分析单元802,用于对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
检测引擎单元803,用于根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器,以及,通过所述检测引擎读取所述监听器的监听结果,生成检测结果。
在一种实现方式中,所述检测分析单元802具体用于:
对所述检测策略进行数据特征分析,确定检测策略是针对单条数据或多条数据进行检测,并进一步确定针对多条数据进行检测的策略中的指标是否满足过滤条件的场景;以及,
确定针对单条数据进行检测的检测策略对应的最优执行图为单条数据执行图、确定针对多条数据进行检测且指标满足过滤条件的检测策略对应的最优执行图为多条数据指标过滤执行图、确定针对多条数据进行检测且指标不满足过滤条件的检测策略对应的最优执行图为多条数据指标不过滤执行图。
在一种实现方式中:
所述单条数据执行图的处理节点包括:数据过滤处理节点、指标计算及缓存处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点;
所述多条数据指标过滤执行图的处理节点包括:数据分组处理节点、指标计算及缓存处理节点、指标过滤处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点;
所述多条数据指标不过滤执行图的处理节点包括:数据分组处理节点、数据过滤处理节点、指标计算处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点。
在一种实现方式中,检测引擎单元803具体用于:
创建风险引擎,用于对场景检测进行配置,其中,所述风险引擎的可配置选项包括:统计周期、指标范围、指标计算逻辑、指标逻辑关系中的至少一项。
在一种实现方式中,
所述待检测场景为单IP单接口高频获取敏感信息的第一检测场景;
针对所述第一检测场景,在所述风险引擎上配置统计周期、配置指标范围为同一IP或同一接口,配置指标计算逻辑为:同一IP或同一接口在统计周期内的数据量大于数据量阈值;
所述第一检测场景的第一检测策略为:在统计周期内对同一IP或同一接口的数据进行检测,若数据量量大于数据量阈值,则触发所述检测策略;
所述第一检测策略对应的第一最优执行图为多条数据指标过滤执行图。
在一种实现方式中,
所述待检测场景为接口疑似恶意注入的第二检测场景;
针对所述第二检测场景,在所述风险引擎上配置统计周期、配置指标计算逻辑为:根据内置算法比对url参数;
所述第二检测场景的第二检测策略为:在统计周期内根据内置算法判断url参数是否存在恶意注入,若存在恶意注入则触发所述检测策略;
所述第二检测策略对应的第二最优执行图为单条数据执行图。
在一种实现方式中,
所述待检测场景为接口疑似未鉴权的第三检测场景;
针对所述第三检测场景,在所述风险引擎上配置指标计算逻辑为:请求头与认证数据不匹配的第一指标计算逻辑、url参数与认证数据不匹配的第二指标计算逻辑,以及配置指标逻辑关系为第一指标计算逻辑与第二指标计算逻辑均为真;
所述第三检测场景的第三检测策略为:在请求头与认证数据不匹配且url参数与认证数据不匹配时,触发所述检测策略;
所述第三检测策略对应的第三最优执行图为单条数据执行图。
本申请的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器;
通过所述检测引擎读取所述监听器的监听结果,生成检测结果。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本申请的实施例还提供了一种电子设备,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器;
通过所述检测引擎读取所述监听器的监听结果,生成检测结果。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (9)

1.一种场景检测方法,其特征在于,包括:
初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器;
通过所述检测引擎读取所述监听器的监听结果,生成检测结果;
所述对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图,包括:
对所述检测策略进行数据特征分析,确定检测策略是针对单条数据或多条数据进行检测,并进一步确定针对多条数据进行检测的策略中的指标是否满足过滤条件的场景;
确定针对单条数据进行检测的检测策略对应的最优执行图为单条数据执行图、确定针对多条数据进行检测且指标满足过滤条件的检测策略对应的最优执行图为多条数据指标过滤执行图、确定针对多条数据进行检测且指标不满足过滤条件的检测策略对应的最优执行图为多条数据指标不过滤执行图。
2.根据权利要求1所述的方法,其特征在于,
所述单条数据执行图的处理节点包括:数据过滤处理节点、指标计算及缓存处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点;
所述多条数据指标过滤执行图的处理节点包括:数据分组处理节点、指标计算及缓存处理节点、指标过滤处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点;
所述多条数据指标不过滤执行图的处理节点包括:数据分组处理节点、数据过滤处理节点、指标计算处理节点、指标评估处理节点、检测策略触发处理节点、监听器回调处理节点。
3.根据权利要求1或2所述的方法,其特征在于,所述初始化一个风险引擎,包括:
创建风险引擎,用于对场景检测进行配置,其中,所述风险引擎的可配置选项包括:统计周期、指标范围、指标计算逻辑、指标逻辑关系中的至少一项。
4.根据权利要求3所述的方法,其特征在于,
所述待检测场景为单IP单接口高频获取敏感信息的第一检测场景;
针对所述第一检测场景,在所述风险引擎上配置统计周期、配置指标范围为同一IP或同一接口,配置指标计算逻辑为:同一IP或同一接口在统计周期内的数据量大于数据量阈值;
所述第一检测场景的第一检测策略为:在统计周期内对同一IP或同一接口的数据进行检测,若数据量量大于数据量阈值,则触发所述检测策略;
所述第一检测策略对应的第一最优执行图为多条数据指标过滤执行图。
5.根据权利要求3所述的方法,其特征在于,
所述待检测场景为接口疑似恶意注入的第二检测场景;
针对所述第二检测场景,在所述风险引擎上配置统计周期、配置指标计算逻辑为:根据内置算法比对url参数;
所述第二检测场景的第二检测策略为:在统计周期内根据内置算法判断url参数是否存在恶意注入,若存在恶意注入则触发所述检测策略;
所述第二检测策略对应的第二最优执行图为单条数据执行图。
6.根据权利要求3所述的方法,其特征在于,
所述待检测场景为接口疑似未鉴权的第三检测场景;
针对所述第三检测场景,在所述风险引擎上配置指标计算逻辑为:请求头与认证数据不匹配的第一指标计算逻辑、url参数与认证数据不匹配的第二指标计算逻辑,以及配置指标逻辑关系为第一指标计算逻辑与第二指标计算逻辑均为真;
所述第三检测场景的第三检测策略为:在请求头与认证数据不匹配且url参数与认证数据不匹配时,触发所述检测策略;
所述第三检测策略对应的第三最优执行图为单条数据执行图。
7.一种场景检测装置,其特征在于,所述装置包括:
风险引擎单元,用于初始化一个风险引擎,并获取在所述风险引擎上配置的待检测场景的至少一个指标以及指标计算逻辑,得到所述待检测场景的检测策略;
检测分析单元,用于对所述检测策略进行数据特征分析,确定出所述检测策略对应的最优执行图;
检测引擎单元,用于根据所述最优执行图,初始化一个检测引擎,其中,在所述检测引擎中注册有待检测场景的监听器,并根据所述最优执行图的处理节点进行指标计算、指标评估、触发检测策略或回调所述监听器,以及,通过所述检测引擎读取所述监听器的监听结果,生成检测结果;
所述检测分析单元具体用于:
对所述检测策略进行数据特征分析,确定检测策略是针对单条数据或多条数据进行检测,并进一步确定针对多条数据进行检测的策略中的指标是否满足过滤条件的场景;以及,
确定针对单条数据进行检测的检测策略对应的最优执行图为单条数据执行图、确定针对多条数据进行检测且指标满足过滤条件的检测策略对应的最优执行图为多条数据指标过滤执行图、确定针对多条数据进行检测且指标不满足过滤条件的检测策略对应的最优执行图为多条数据指标不过滤执行图。
8.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6任一项中所述的方法。
9.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6任一项中所述的方法。
CN202310796511.8A 2023-07-03 2023-07-03 场景检测方法、装置、介质及设备 Active CN116545770B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310796511.8A CN116545770B (zh) 2023-07-03 2023-07-03 场景检测方法、装置、介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310796511.8A CN116545770B (zh) 2023-07-03 2023-07-03 场景检测方法、装置、介质及设备

Publications (2)

Publication Number Publication Date
CN116545770A CN116545770A (zh) 2023-08-04
CN116545770B true CN116545770B (zh) 2023-09-01

Family

ID=87449129

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310796511.8A Active CN116545770B (zh) 2023-07-03 2023-07-03 场景检测方法、装置、介质及设备

Country Status (1)

Country Link
CN (1) CN116545770B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107909291A (zh) * 2017-12-07 2018-04-13 国家电网公司 一种基于多场景的含集成式隔离断路器电网风险评估方法
CN109189572A (zh) * 2018-08-02 2019-01-11 中兴飞流信息科技有限公司 一种资源预估方法及系统、电子设备和存储介质
CN111865960A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种网络入侵场景分析处理方法、系统、终端及存储介质
CN113395251A (zh) * 2021-01-20 2021-09-14 腾讯科技(深圳)有限公司 一种机器学习安全场景检测方法及装置
CN113965417A (zh) * 2021-12-21 2022-01-21 北京微步在线科技有限公司 一种资产风险检测方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021044408A2 (en) * 2019-09-05 2021-03-11 Cytwist Ltd. An organizational asset discovery and ranking system and method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107909291A (zh) * 2017-12-07 2018-04-13 国家电网公司 一种基于多场景的含集成式隔离断路器电网风险评估方法
CN109189572A (zh) * 2018-08-02 2019-01-11 中兴飞流信息科技有限公司 一种资源预估方法及系统、电子设备和存储介质
CN111865960A (zh) * 2020-07-15 2020-10-30 北京市燃气集团有限责任公司 一种网络入侵场景分析处理方法、系统、终端及存储介质
CN113395251A (zh) * 2021-01-20 2021-09-14 腾讯科技(深圳)有限公司 一种机器学习安全场景检测方法及装置
CN113965417A (zh) * 2021-12-21 2022-01-21 北京微步在线科技有限公司 一种资产风险检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
面向混合变量和任意时间优化的蚁群算法;廖天俊;余;;系统工程与电子技术(03);全文 *

Also Published As

Publication number Publication date
CN116545770A (zh) 2023-08-04

Similar Documents

Publication Publication Date Title
CN103701795B (zh) 拒绝服务攻击的攻击源的识别方法和装置
US11159542B2 (en) Cloud view detection of virtual machine brute force attacks
US9203856B2 (en) Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network
CN110313147B (zh) 数据处理方法、装置和系统
RU2757597C1 (ru) Системы и способы сообщения об инцидентах компьютерной безопасности
WO2015062541A1 (zh) 对抗免杀测试的云查杀方法、装置及系统
CN110636068B (zh) 在cc攻击防护中识别未知cdn节点的方法以及装置
CN114003903B (zh) 一种网络攻击追踪溯源方法及装置
CN111756697B (zh) Api安全检测方法、装置、存储介质及计算机设备
CN109561097B (zh) 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质
JP6750457B2 (ja) ネットワーク監視装置、プログラム及び方法
KR101421136B1 (ko) 악성 프로그램을 검사하기 위하여 컴퓨터 프로그램의행동을 모델링하는 방법 및 장치
Qin et al. Worm detection using local networks
CN111241545A (zh) 一种软件的处理方法、系统、设备以及介质
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
CN116545770B (zh) 场景检测方法、装置、介质及设备
JP2002041468A (ja) 不正アクセス防止サービスシステム
JP4309102B2 (ja) 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム
CN112910895A (zh) 网络攻击行为检测方法、装置、计算机设备和系统
CN114928452B (zh) 访问请求验证方法、装置、存储介质及服务器
CN113678419A (zh) 端口扫描检测
TWI777766B (zh) 偵測惡意網域查詢行為的系統及方法
CN116055163A (zh) 一种基于eBPF XDP的登录信息获取及阻断方法
CN112104523B (zh) 流量透传的检测方法、装置、设备及存储介质
CN114157504A (zh) 一种基于Servlet拦截器的安全防护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant