CN116708033A - 终端安全检测方法、装置、电子设备及存储介质 - Google Patents

终端安全检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116708033A
CN116708033A CN202310977735.9A CN202310977735A CN116708033A CN 116708033 A CN116708033 A CN 116708033A CN 202310977735 A CN202310977735 A CN 202310977735A CN 116708033 A CN116708033 A CN 116708033A
Authority
CN
China
Prior art keywords
event
target
terminal
combination
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310977735.9A
Other languages
English (en)
Other versions
CN116708033B (zh
Inventor
吴岳廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202310977735.9A priority Critical patent/CN116708033B/zh
Publication of CN116708033A publication Critical patent/CN116708033A/zh
Application granted granted Critical
Publication of CN116708033B publication Critical patent/CN116708033B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种终端安全检测方法、装置、电子设备及存储介质,涉及云技术、云安全等技术领域。通过基于事件指示信息检测得到目标终端中的至少一个终端事件,并基于采集指示信息有针对性的采集得到各终端事件的事件数据;并且,通过基于处理策略和各终端事件的事件数据,确定该至少一个终端事件中的目标事件组合,以基于目标事件组合对应的目标处理方式对目标终端进行处理;使得终端可自行基于处理策略及时处理,提高了处理效率;且通过结合目标事件组合可以从多个事件维度、更全面的衡量目标终端的实际安全情况,从而更准确的定位目标终端真实所需的处理方式,提高终端安全检测的准确性,进而有效保证了终端的安全性。

Description

终端安全检测方法、装置、电子设备及存储介质
技术领域
本申请涉及云安全技术领域,本申请涉及一种终端安全检测方法、装置、电子设备及存储介质。
背景技术
在一些场景中,对于网络资源的安全防护,除了会关注该网络资源在网络中传输的安全性之外,还会关注请求访问该网络资源的终端的安全性。
相关技术中,由终端通过客户端实时采集大量数据并上报给服务器,由服务器基于上报的数据进行分析并对终端进行相应处理。然而,上述方式实际上是轻客户端重服务端的策略,整个过程依赖服务器,对终端的处理不及时,导致上述方式的安全性较差。
发明内容
本申请提供了一种终端安全检测方法、装置、电子设备及存储介质,可以解决相关技术中安全性较差的问题。所述技术方案如下:
一方面,提供了一种终端安全检测方法,所述方法包括:
从服务器中获取终端检测规则和处理策略;
其中,所述终端检测规则包括事件指示信息以及采集指示信息,所述事件指示信息指示待检测的至少一个目标事件,所述采集指示信息指示每个目标事件对应的待采集数据;所述处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件;
基于所述事件指示信息对目标终端进行终端事件检测,得到所述目标终端中属于目标事件的至少一个终端事件,并基于所述采集指示信息对各所述终端事件进行相应的事件数据采集,得到各所述终端事件的事件数据;
基于所述处理策略和各所述终端事件的事件数据,确定所述至少一个终端事件中存在的目标事件组合,并基于所述目标事件组合对应的目标处理方式对所述目标终端进行处理。
另一方面,提供了一种终端安全检测装置,所述装置包括:
获取模块,用于从服务器中获取终端检测规则和处理策略;
其中,所述终端检测规则包括事件指示信息以及采集指示信息,所述事件指示信息指示待检测的至少一个目标事件,所述采集指示信息指示每个目标事件对应的待采集数据;所述处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件;
检测模块,用于基于所述事件指示信息对目标终端进行终端事件检测,得到所述目标终端中属于目标事件的至少一个终端事件;
采集模块,用于基于所述采集指示信息对各所述终端事件进行相应的事件数据采集,得到各所述终端事件的事件数据;
处理模块,用于基于所述处理策略和各所述终端事件的事件数据,确定所述至少一个终端事件中存在的目标事件组合,并基于所述目标事件组合对应的目标处理方式对所述目标终端进行处理。
在一个可能实现方式中,所述处理策略包括至少一个事件组合条件、以及每个组合条件对应的事件处理方式;
所述处理模块,用于:
基于所述至少一个终端事件中各个终端事件的事件数据、以及各个事件组合条件,确定所述至少一个终端事件中满足任意事件组合条件的至少一个目标事件组合;
对于每个目标事件组合,将与所述目标事件组合所满足的事件组合条件所对应的事件处理方式,确定为所述目标事件组合对应的目标处理方式;
基于各个目标事件组合对应的目标处理方式,对所述目标终端进行处理。
在一个可能实现方式中,所述至少一个事件组合条件包括第一组合条件、第二组合条件、第三组合条件或第四组合条件中的至少一项;
所述处理模块,用于以下至少一项:
所述第一组合条件包括事件的类型需满足的事件类型条件,基于各个终端事件的类型信息,将各个终端事件中满足所述第一组合条件的各个第一终端事件,作为第一目标组合事件;
所述第二组合条件包括事件发生时间需满足的时间条件,基于各个终端事件的发生时间,将各个终端事件中满足所述第二组合条件的各个第二终端事件,作为第二目标组合事件;
所述第三组合条件包括事件对应的设备环境状态需满足的环境条件,基于各个终端事件对应的设备环境状态,将各个终端事件中满足所述第三组合条件的各个第三终端事件,作为第三目标组合事件;
所述第四组合条件包括事件的安全评估信息需满足的事件安全评估条件,基于各个终端事件对应的安全评估信息,将各个终端事件中满足所述第四组合条件的各个第四终端事件,作为第四目标组合事件。
在一个可能实现方式中,所述事件指示信息包括引导数据指示信息,所述至少一种目标事件包括引导数据异常事件;
所述装置还包括:
引导数据获取模块,用于获取引导数据,所述引导数据用于引导执行至少一种异常操作;
所述检测模块,用于:
基于所述引导数据指示信息,检测所述目标终端中与所述引导数据关联的操作;
响应于检测到与引导数据关联的异常操作,确定所述目标终端中存在引导数据异常事件。
在一个可能实现方式中,所述引导数据包括目标文件;
所述引导数据获取模块,用于:
接收服务器发送的目标文件;
基于所述引导数据指示信息所包括的目标文件目录,将所述目标文件存储至所述目标终端;
其中,所述目标文件是基于预配置的关键字段名生成的文件;所述目标文件用于引导基于关键字段名发起对目标文件的访问操作;所述异常操作包括对所述目标文件的访问操作。
在一个可能实现方式中,所述引导数据包括目标票据;
所述引导数据获取模块,用于:
接收所述服务器发送的票据生成规则,所述票据生成规则指示基于预配置票据的票据标识信息生成目标票据,所述预配置票据包括用于对目标资源的访问请求进行验证的票据;
基于所述票据生成规则所指示的票据标识信息生成目标票据,并将所述目标票据存储至所述目标终端;
其中,所述目标票据用于引导基于票据标识信息发起对目标票据的使用操作;所述异常操作包括对所述目标票据的使用操作。
在一个可能实现方式中,所述事件指示信息包括第一事件指示信息、第二事件指示信息或第三事件指示信息中的至少一项;
所述检测模块,用于以下至少一项:
所述第一事件指示信息指示用于变更防火墙规则的事件,基于所述第一事件指示信息对目标终端进行终端事件检测,得到所述目标终端中的防火墙规则变更事件;并基于第一采集指示信息对防火墙规则变更事件进行事件数据采集,得到所述变更事件进行事件的进程信息;
所述第二事件指示信息指示与目标日志关联的事件,基于所述第二事件指示信息对目标终端进行终端事件检测,得到所述目标终端中的目标日志关联事件;并基于第二采集指示信息对目标日志关联事件进行事件数据采集,得到所述目标日志关联事件对应的系统日志;
所述第三事件指示信息指示访问目标端口的事件,基于所述第三事件指示信息对目标终端进行终端事件检测,得到所述目标终端中的目标端口访问事件;并基于第三采集指示信息对目标端口访问事件进行事件数据采集,得到所述目标端口访问事件对应的访问记录。
在一个可能实现方式中,所述装置还包括:
上报模块,用于向所述服务器上报所述至少一个终端事件的事件数据;
更新模块,用于接收服务器中发送的第一更新信息和第二更新信息,并基于第一更新信息更新所述终端检测规则、以及基于第二更新信息更新所述处理策略;其中,所述第一更新信息和第二更新信息是基于所述至少一个终端事件的事件数据确定的。
在一个可能实现方式中,所述目标终端中预先安装有目标客户端;所述目标客户端用于基于终端检测规则和处理策略对目标终端进行终端事件检测并处理;
所述装置还包括:
客户端检测模块,用于通过所述目标终端的内核驱动服务,对所述目标客户端的功能组件进行异常检测,所述功能组件包括基于终端检测规则和处理策略对目标终端进行终端事件检测并处理的执行逻辑;
重装模块,用于响应于所述目标客户端的功能组件存在异常,重新安装并启动所述目标客户端。
在一个可能实现方式中,所述处理模块,用于:
向服务器发送处理请求,所述处理请求用于请求针对目标组合事件按照目标处理方式对目标终端进行处理;
基于所述服务器返回的处理指示信息对所述目标终端进行处理,所述处理指示信息指示目标终端是否按照目标处理方式进行处理。
另一方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器执行所述计算机程序以实现上述的终端安全检测方法。
另一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的终端安全检测方法。
另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述的终端安全检测方法。
本申请实施例提供的技术方案带来的有益效果是:
本申请提供的终端安全检测方法,在从服务器中获取终端检测规则和处理策略后,通过基于事件指示信息检测得到目标终端中的至少一个终端事件,并基于采集指示信息有针对性的采集得到各终端事件的事件数据;与相关技术中采集终端的全量数据相比,本申请有针对性的区别采集不同事件的事件数据,大大减少了采集的数据量。并且,通过基于处理策略和各终端事件的事件数据,确定该至少一个终端事件中的目标事件组合,以基于目标事件组合对应的目标处理方式对目标终端进行处理;使得终端可自行基于处理策略及时处理,无需等待服务器的分析和反馈过程,提高了处理效率;且通过结合目标事件组合可以从多个事件维度、更全面的衡量目标终端的实际安全情况,从而更准确的定位目标终端真实所需的处理方式,提高终端安全检测的准确性,进而有效保证了终端的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种实现终端安全检测方法的实施环境示意图;
图2为本申请实施例提供的一种终端安全检测方法的流程示意图;
图3为本申请实施例提供的一种终端安全检测方法的流程示意图;
图4为本申请实施例提供的一种终端安全检测方法的流程示意图;
图5为本申请实施例提供的一种目标客户端的页面示意图;
图6为本申请实施例提供的一种目标客户端的页面示意图;
图7为本申请实施例提供的一种目标客户端的页面示意图;
图8为本申请实施例提供的一种目标客户端的访问过程示意图;
图9为本申请实施例提供的一种访问企业资源的框架结构示意图;
图10为本申请实施例提供的一种终端安全检测装置的结构示意图;
图11为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合本申请中的附图描述本申请的实施例。应理解,下面结合附图所阐述的实施方式,是用于解释本申请实施例的技术方案的示例性描述,对本申请实施例的技术方案不构成限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式 “一”、“一个”、“所述”和“该”也可包括复数形式。本申请实施例所使用的术语“包括”以及“包含”是指相应特征可以实现为所呈现的特征、信息、数据、步骤、操作,但不排除实现为本技术领域所支持其他特征、信息、数据、步骤、操作等。
可以理解的是,在本申请的具体实施方式中,涉及到终端事件的事件数据、登录目标客户端的账号、防火墙规则变更事件的进程信息等任何与对象相关的数据,当本申请以上实施例运用到具体产品或技术中时,需要获得对象许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
下面对本申请涉及的术语及相关技术进行介绍和解释:
零信任访问控制策略:由用户可使用的可信应用以及可访问的业务站点(可达区域)组成,在权限开通的情况下,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问控制策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
可信应用:管理端授信的,终端可访问内部业务系统的应用载体,包括应用名,应用MD5,签名信息等。
可达区域:终端可以通过零信任网络访问企业设置的内部站点列表。
访问主体:在网络中,发起访问的一方,访问内网业务资源的人/设备/应用,是由人、设备、应用等因素单一组成或者组合形成的一种数字实体。
访问客体:在网络中,被访问的一方,即企业内网业务资源,包括应用,系统(开发测试环境,运维环境,生产环境等),数据,接口,功能等。
登录凭证:用户成功登录目标客户端后,目标客户端的服务器为该用户指定的一个加密串,表示该用户的登录授权信息,包括用户信息和授权有效期,可加密存储在目标客户端。
图1是本申请实施例提供的一种终端安全检测方法的实施环境示意图,如图1所示,该实施环境包括:请求设备11、服务器12和资源服务器13。请求设备11中配置有目标客户端,该服务器12为该目标客户端的后台服务器。该资源服务器13用于提供请求设备11所访问的网络资源;例如,该资源服务器13可以是用于提供企业内部的网络资源的企业服务器。该目标客户端可提供对资源服务器13的网络资源的访问进行管理的功能。例如,请求设备11可作为访问主体,资源服务器13作为访问客体,请求设备11可通过服务器12和资源服务器13,来访问企业内部网站、访问企业内部系统等,可通过该目标客户端实现对企业内部的网络资源的安全访问。
该目标客户端还可具备对目标终端安全进行管理的功能。该服务器12可预先下发安全检测策略至请求设备11。请求设备11通过该目标客户端,基于服务器12下发的安全策略对目标终端进行安全检测。例如,该安全检测策略可包括终端检测规则以及处理策略。该请求设备11可基于该终端检测规则对目标终端进行事件检测,并采集所检测到的终端事件的事件数据;还可进一步基于处理策略,结合事件数据,确定对目标终端的目标处理方式,以对目标终端进行处理。
需要说明的是,服务器12或资源服务器13,可以是独立的物理服务器,或是多个物理服务器构成的服务器集群或者分布式系统,或是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、以及大数据和人工智能平台等基础云计算服务的云服务器或服务器集群。该请求设备11可以是终端,该终端可以是智能手机、平板电脑、笔记本电脑、数字广播接收器、台式计算机、车载终端(例如车载导航终端、车载电脑等)、智能音箱、智能手表等。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,也可基于实际应用场景需求确定,在此不作限定。
图2为本申请实施例提供的一种终端安全检测方法的流程示意图。该方法的执行主体可以为电子设备。如图2所示,该方法包括以下步骤。
步骤201、电子设备从服务器中获取终端检测规则和处理策略。
该终端检测规则包括事件指示信息以及采集指示信息,该事件指示信息指示待检测的至少一个目标事件,该采集指示信息指示每个目标事件对应的待采集数据。换言之,该事件指示信息用于指示针对哪些事件进行检测,该采集指示信息用于指示针对各个待检测的目标事件采集哪些数据。
一可能方式中,该事件指示信息可以是用于定义各个目标事件的信息。该事件指示信息可包括但不限于:事件类型、事件标识、事件的操作主体、事件的触发对象等。
示例性的,该事件类型信息表示目标事件的类型,例如,事件类型可以是账号失败登录尝试事件、清除日志事件等。
示例性的,该事件标识可以是用于标识事件属性的信息。例如,事件标识可以是标识事件的安全性高低的安全等级标识,待检测的目标事件可以是安全等级较低的事件。
示例性的,该事件的操作主体可以是事件所针对的主体,也即是事件是针对哪个主体触发的关联事件。例如,事件的操作主体可以是指定文件,待检测的目标事件可以是针对指定文件进行读写、修改或删除等操作的事件;又例如,指定文件可以是防火墙规则文件,待检测的目标事件可以是针对防火墙规则进行变更事件。
示例性的,该事件的触发对象可以是触发事件的对象,也即是由哪个对象触发或执行的事件。例如,事件的触发对象可以是指定的应用程序、在应用程序上的登录账号、指定的进程等;待检测的目标事件可以是指定应用程序上触发的事件,或者由指定进程执行的事件,或者由指定账号发出的资源访问事件、文件删除事件等。
一可能方式中,该采集指示信息可包括每个目标事件对应的待采集数据的数据定义信息。例如,该采集指示信息可包括待采集数据的数据名称、数据中指定字段的字段名、数据类型等。例如,对于防火墙规则变更事件,可采集该事件的进程特征,采集指示信息还可包括进程特征中的可执行文件哈希、发起该事件的账户、应用签名等指定字段的字段名。
需要说明的是,本申请仅以上述的事件类型、事件标识、事件的操作主体或触发对象为例,对事件指示信息可能的内容形式进行举例说明,但本申请对事件指示信息不做具体限定。在又一示例中,事件指示信息还可以是其他信息,事件指示信息可以是事件标签,待检测的目标事件可以是具备指定标签的事件,如具备“频繁执行”标签的事件、具备“疑似风险”标签的事件等。
一可能方式中,该处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件。换言之,一个事件组合可以是该至少一个目标事件中的一个事件或者多个事件的组合。该处理策略中可包括至少一个事件组合中每个事件组合和至少一种处理方式之间的对应关系。
本申请中,服务器可预先配置用于对终端进行安全检测的安全检测策略,并将安全检测策略下发至电子设备,该安全检测策略包括该终端检测规则和处理策略;电子设备基于该终端检测规则和处理策略,执行后续步骤202-203,以对终端进行安全检测。
需要说明的是,本申请以对目标终端进行安全检测为例进行说明。该电子设备可以是目标终端,目标终端从服务器中获取该终端检测规则和处理策略,并基于该终端检测规则和处理策略,执行本申请中终端安全检测方法中的各个步骤,以保证该目标终端自身的安全性。其中,目标终端通过预先安装的目标客户端接收服务器下发的安全检测策略,以对自身进行安全检测。
一可能场景示例中,该目标终端可以是企业终端。企业内部的各个企业终端可安装目标客户端,目标终端可以是各个企业终端中的任一终端。其中,每个企业终端通过目标客户端访问企业内部网络资源的同时,还可通过目标客户端执行本申请的终端安全检测方法,保证处于访问源头的企业终端安全性,进而保证企业内部网络资源的安全性。
另一可能场景示例中,该电子设备也可以是用于对目标终端进行管理的管理设备。例如,电子设备可以是用于多个企业终端进行统一管理的企业管理设备;其中,电子设备可通过本申请的终端安全检测方法,对包括目标终端在内的多个企业终端进行事件检测、事件数据采集以及进行相应处理等过程,以实现对企业内部各个终端设备的安全检测。
步骤202、电子设备基于该事件指示信息对目标终端进行终端事件检测,得到该目标终端中属于目标事件的至少一个终端事件,并基于该采集指示信息对各该终端事件进行相应的事件数据采集,得到各该终端事件的事件数据。
示例性的,步骤202可包括:该电子设备可对目标终端进行事件检测,并基于该事件指示信息所指示的至少一个目标事件,判断目标终端的广告事件中是否包括属于目标事件的终端事件;该电子设备在检测到目标终端中存在属于任一个目标事件的终端事件时,基于采集指示信息所指示的该任一个目标事件的待采集信息,对检测到的终端事件进行事件数据采集;以此得到目标终端中存在的至少一个终端事件的事件数据。其中,该事件指示信息和采集指示信息已在步骤201中进行介绍,此处不再赘述。
一可能实施例中,可预先配置用于引导执行异常操作的引导数据,基于引导数据对目标终端进行安全检测。该电子设备可获取并存储该引导数据,以便利用引导数据完成对目标终端的事件检测。一可能方式中,该事件指示信息包括引导数据指示信息,该至少一种目标事件包括引导数据异常事件。本申请中,在步骤202之前,还可包括以下步骤S1:
步骤S1、电子设备获取引导数据,该引导数据用于引导执行至少一种异常操作。
相应的,步骤202中,基于事件指示信息对目标终端进行终端事件检测,得到至少一个终端事件,可包括以下步骤2021-步骤2022:
步骤2021、该电子设备基于该引导数据指示信息,检测该目标终端中与该引导数据关联的操作;
步骤2022、响应于检测到与引导数据关联的异常操作,确定该目标终端中存在引导数据异常事件。
该电子设备可基于引导数据指示信息,对目标终端中存储的引导数据进行关联操作检测,当检测到与引导数据关联的操作中存在异常操作时,确定该针对引导数据的异常操作是一个引导数据异常事件,也即是,目标终端中存在引导数据异常事件。
其中,该引导数据指示信息可包括引导数据的标识信息、引导数据的存储目录等信息。该电子设备可基于标识信息或存储目录,确定出目标终端中的引导数据,并检测与该引导数据关联的操作。与引导数据关联的操作可以包括但不限于:针对引导数据的访问操作、修改操作、删除操作或使用操作等。该异常操作可以是该引导数据关联的操作中的一种或几种;该异常操作可基于需要进行配置,不同引导数据对应的异常操作可以相同或不同。本申请对此不做限制。
相应的,在执行步骤2022之后,还可通过以下步骤2023,采集异常数据:
步骤2023、该电子设备可基于采集指示信息所指示的引导数据异常事件对应的待采集数据,对该引导数据异常事件进行的事件数据采集,得到引导数据异常事件的事件数据。
示例性的,该引导数据异常事件的事件数据可包括但不限于:该引导数据异常事件的进程信息、系统日志等数据。
一可能方式中,该引导数据可以是携带关键字段名的文件,或者也可以是携带指定的票据标识信息的票据。相应的,步骤S1的实现方式可包括以下方式1和方式2两种。
方式1、该引导数据包括目标文件。该电子设备接收服务器发送的目标文件;基于该引导数据指示信息所包括的目标文件目录,将该目标文件存储至该目标终端。
其中,该目标文件是基于预配置的关键字段名生成的文件;该目标文件用于引导基于关键字段名发起对目标文件的访问操作;该异常操作包括对该目标文件的访问操作。
该目标文件是携带关键字段名、但不包括关键字段名所对应的字段内容的文件。换言之,对于真正包括关键字段内容的真实文件,该目标文件是该真实文件的伪文件。示例性的,目标文件的文件名或文件内容中,包含关键字段名,例如,关键字段名可以包括但不限于:系统密码、服务器账号、API详情等敏感字段名称。但目标文件中不包含这些目标字段名所对应的字段内容,也即是不包含实际的系统密码或账号等具体内容。其中,该目标文件的文件格式可以是任意格式,包括但不限于“.xls”、“.xlsx”、“.docx”、“.txt”、“.md”等格式。又一示例中,该目标文件还可以携带指定敏感词或短语,例如基于指定文件名称字典中的敏感词生成携带敏感词的目标文件,如文件名中包括“资产”敏感词等。
示例性的,服务器可预先基于生成规则,批量生成携带敏感字段名的一些文件,将这些敏感的文件下发至目标终端的目标文件目录。目标终端可在目标文件目录中创建该目标文件的文件名,并基于目标文件目录对目标文件进行对应存储。该目标终端还可进一步检测目标终端中针对该目录下的目标文件的操作。例如,检测与目标文件对应的目标文件目录关联的操作。
需要说明的是,目标文件目录可基需要进行定制化设置。例如,该目标文件目录,可以是目标终端中具备一定深度或具备一定复杂度的文件目录,从而将隐藏在各盘符内层级比较深的子目录中,以避免影响目标终端中的其他操作。
一可能场景中,服务器可预先生成批量文件,并按照一定比例下发到不同的企业部门中的终端设备。该安全检测策略中还可包括多个部门中每个部门与各个目标文件之间的对应关系。则该服务器可按照安全检测策略生成大量目标文件后,并按照各个部门与目标文件之间的对应关系,向各个部门下发各部门各自对应的目标文件。另外,该安全检测策略还可包括不同部门对应的目标文件比例。例如,企业在包括部门A和部门B,服务器生成文件1、文件2、文件3各100个,部门A对应的文件比例为8:3:4;部门B对应的文件比例为2:7:6;则向部门A下发文件1、文件2、文件3的数量为分别为80、30、40;向部门B下发文件1、文件2、文件3的数量为分别为20、70、60。
需要说明的是,目标终端中可预先配置多个安全模块,目标终端收到服务器下发的目标文件后,可加载相关模块自动按照投放规则将目标文件存储至对应目录。该目标终端还可释放文件过滤驱动模块,通过文件过滤驱动模块,持续检测目标终端中与对应文件目录下的目标文件的操作。终端可通过各安全模块持续检测针对目标文件的异常操作。
一些可能示例中,该终端检测规则中还可包括该目标文件对应的白名单,该电子设备还可基于该目标文件对应的白名单,基于针对该目标文件的至少一个操作的操作信息,过滤掉属于该目标文件对应的白名单中的操作,将过滤之后的操作作为异常操作。其中,该白名单可包括执行对目标文件的操作的APP、应用签名等信息,该白名单中的信息是允许对目标文件进行操作的名单信息。例如,该白名单中可包括指定的进程白名单列表、软件白名单列表等,这些白名单内的进程或软件访问目标文件时,不属于目标文件的异常操作。
需要说明的是,通过预先生成并下发至目标终端中的一些敏感文件,可引导执行对这些敏感文件进行操作,并对这些文件关联的操作进行重点检测,从而有针对性的检测与敏感文件相关的异常事件;提高了对目标终端进行事件检测的准确性;提高目标终端的安全性。通过基于该白名单进行过滤后再得到异常操作,可有效避免将一部分合法软件在正常执行自身业务逻辑时对目标文件的可能操作,提高了目标文件异常事件的准确性和可靠性。
方式2、该引导数据包括目标文件。该电子设备接收该服务器发送的票据生成规则;基于该票据生成规则所指示的票据标识信息生成目标票据,并将该目标票据存储至该目标终端。
其中,该票据生成规则指示基于预配置票据的票据标识信息生成目标票据,该预配置票据包括用于对目标资源的访问请求进行验证的票据。该目标票据用于引导基于票据标识信息发起对目标票据的使用操作;该异常操作包括对该目标票据的使用操作。
其中,服务端下发的票据生成规则,可以用于生成带有特定的票据标识信息的目标票据。该票据标识信息可以是用于被识别为预配置票据的信息。基于该票据生成规则所生成的目标票据中,可携带预配置票据的票据标识信息。通过该票据标识信息使得目标票据被识别为预配置票据。然而,该目标票据并不携带预配置票据中实际用于验证访问请求的真正票据内容。
例如,目标票据的起始字段或末尾字段中,包括该预配置票据对应的票据标识字符。本申请中,该目标票据是一种虚拟票据,无法提供其对应的预配置票据的验证功能;该目标票据用于在票据识别时被误识别为预配置票据,以引导执行对目标票据的异常操作。
需要说明的是,该目标票据为不被加密的票据,电子设备在生成该目标票据过程中,不采用加密措施,而是将目标票据以明文的形式进行生成并存储。例如,将目标票据对应的明文数据记录在日志中,在进程间通信时也可直接传输该目标票据对应的明文数据。但是,正常情况下这类明文数据不会响应访问代理的操作,不会发往网关。然而,一旦这类票据明文数据在网络中被使用(例如发往网关,网关将其发往服务端执行票据校验),可快速识别到与目标票据相关的潜在异常活动,并对目标终端进行相应的处置措施。
通过利用该目标票据进行事件检测,可有效检测到一些使用该目标票据的事件,但无法利用该目标票据实际实现预配置票据的一些功能,如对目标资源的访问请求进行验证的功能;基于此,可在保证目标资源访问安全性的前提下,尽可能的有效检测出目标终端中的异常事件,提高了检测的有效性,提高检测的效率,进而提高终端安全检测的准确性和安全性。
一些可能实施例中,还可对目标终端中的防火墙规则相关的事件进行检测,或者检测指定的一些日志相关的事件,或者还可检测对指定的端口访问的事件等。示例性的,该事件指示信息包括第一事件指示信息、第二事件指示信息或第三事件指示信息中的至少一项;相应的,步骤202的实现方式,可包括以下方式一、方式二和方式三中的至少一项:
方式一、该事件指示信息包括第一事件指示信息,该采集指示信息包括与第一事件指示信息对应的第一采集指示信息。该第一事件指示信息指示用于变更防火墙规则的事件,该第一采集指示信息指示获取用于变更防火墙规则的事件的进程信息。相应的,该步骤202的实现方式可包括以下步骤2024:
步骤2024、该电子设备基于该第一事件指示信息对目标终端进行终端事件检测,得到该目标终端中的防火墙规则变更事件;并基于第一采集指示信息对防火墙规则变更事件进行事件数据采集,得到该变更事件进行事件的进程信息。
其中,该第一事件指示信息可包括防火墙规则变更事件的事件类型,例如,防火墙规则修改事件、防火墙规则删除事件等。
一可能示例中,该电子设备可通过调用接口的方式来检测该防火墙规则变更事件。示例性的,使用预先配置的目标接口检测目标终端中防火墙规则的更改以及更改规则的应用进程的进程ID。例如,首先,利用预先配置的API(接口)EvtSubscribe创建事件订阅,以订阅对系统防火墙规则的更改操作;例如,还可基于安全检测策略配置windows防火墙规则触发事件类型可包括但不限于:检测事件ID为2004和2005的两类操作,分别表示防火墙规则添加和删除的事件。然后,配置该事件订阅的回调函数,该回调函数用于接收和分析事件内容。通过在检测的防火墙规则事件时自动执行该事件订阅回调函数的执行逻辑;以接收触发事件的内容,例如XML格式的事件内容;并解析出事件内容中的进程ID的字段,例如键值为“ProcessId”的字段,即可获取到触发执行防火墙规则变更事件的进程ID。
需要说明的是,该防火墙规则变更事件的进程信息,可包括应用进程的动静态特征信息。例如,可获取该事件的进程ID,并基于进程ID进一步获取进程的动静态特征信息。其中,应用进程的静态特征信息是指进程ID对应的可执行文件的静态特征,包括软件绝对路径、进程可执行文件哈希、应用签名,应用版权信息等静态特征信息。应用进程的动态特征信息包括但不限于:启动账户(也即是进程是由系统哪个账户启动的)、以及进程启动的命令行信息等。
一可能示例中,目标终端中可包括多个防火墙规则,则该电子设备还可配置各个防火墙规则的检测级别,检测级别越高,越需要重点检测。例如,需重点检测的防火墙规则可包括但不限于:协议、敏感端口、规定规则适用于传入(入站)还是传出(出站)流量、以及定义规则如何处理匹配的网络流量;例如:允许(allow)、拒绝(deny)或丢弃(drop)等。该电子设备感知到这类需重点检测的规则被修改时,通过获取到修改防火墙规则的进程ID,进一步基于进程ID获取到应用进程的动静态特征信息。另外,该电子设备还可预先配置防火墙规则变更事件对应的白名单,还可利用应用进程的动静态特征信息,过滤掉属于白名单中的合法应用,而不属于白名单内的应用进程所对应的防火墙规则变更事件,均被视为疑似异常的事件,例如,包含某个敏感端口的入站防火墙规则,被可疑应用进程开启了允许来自外部网络的流量的访问;该可疑应用进程可以是不在白名单内且不满足特定的特征规则的应用进程,例如无合法的数字签名)。
方式二、该事件指示信息包括第二事件指示信息,该采集指示信息包括与第二事件指示信息对应的第二采集指示信息。该第二事件指示信息指示与目标日志关联的事件,该第二采集指示信息指示获取与目标日志关联的事件的系统日志。相应的,该步骤202的实现方式,可包括以下步骤2025:
步骤2025、该电子设备基于该第二事件指示信息对目标终端进行终端事件检测,得到该目标终端中的目标日志关联事件;并基于第二采集指示信息对目标日志关联事件进行事件数据采集,得到该目标日志关联事件对应的系统日志。
其中,该目标日志可以是与指定的敏感事件相关联的系统日志。示例性的,针对一些敏感事件,可通过检测这些敏感事件对应的系统日志的操作,来检测敏感事件。例如,该第二事件指示信息中可定义与目标日志关联的事件所对应的日志类型;例如,定义什么类型的系统日志属于敏感事件的日志;并检测这类日志相关联的事件的发生情况。
一可能示例中,该电子设备可通过调用接口的方式来检测与目标日志关联的事件。示例性的,使用预先配置的目标接口来检测目标日志关联事件。例如,可通过EvtSubscribe接口来订阅一些特定的系统日志生成事件,并通过预先配置的回调函数来接收日志事件的内容,其中,可在每次触发新的日志事件产生时自动调用该回调函数,以得到目标日志关联事件的事假内容。
例如,该目标日志可以是系统安全日志,通过订阅系统安全日志、应用程序和系统日志相关的事件,当产生与系统安全日志关联的新事件时,自动调用调函数将接收日志内容。当然,还可利用回调函数对接收到的系统日志数据进一步操作,例如,解析事件内容、提取关键事件属性的值(例如事件ID、事件触发源)等操作。
又例如,该目标日志还可以是指定一些敏感Windows事件的日志,如账号登录事件、账号失败登录尝试、清除事件日志、任务计划器创建和删除等事件。其中,对于清除事件日志,是当某个事件日志被清除时,会触发此事件,这可能是试图掩盖某些活动的异常行为。其中,对于任务计划器创建和删除,是当计划任务被创建和删除时,分别触发这两类事件。对这些敏感事件的实时检测有助于识别潜在的安全风险,通过将这些敏感事件的日志作为目标日志,并检测与目标日志相关联的事件,可以有效对目标终端进行事件检测。
方式三、该事件指示信息包括第三事件指示信息,该采集指示信息包括与第三事件指示信息对应的第三采集指示信息。该第三事件指示信息指示访问目标端口的事件,该第三采集指示信息指示获取目标端口访问事件的访问记录。相应的,该步骤202的实现方式可包括以下步骤2026:
步骤2026、该电子设备基于该第三事件指示信息对目标终端进行终端事件检测,得到该目标终端中的目标端口访问事件;并基于第三采集指示信息对目标端口访问事件进行事件数据采集,得到该目标端口访问事件对应的访问记录。
本申请中,可预先配置一些敏感端口,并将这些敏感端口的访问转移到蜜罐服务器,以实现对敏感端口访问事件的检测。在该步骤2026中,该电子设备基于该第三事件指示信息对目标终端进行终端事件检测,当检测得到目标终端中的目标端口访问请求时,该电子设备确定该目标终端中存在目标端口访问事件,并将该目标端口访问请求转发至蜜罐服务器;并基于第三采集指示信息获取该目标端口访问请求的访问记录。
示例性的,可预先配置一些敏感的代理端口列表,如3389、80、443等,该电子设备可根据开启或关闭该代理端口列表中每个代理端口对应的蜜罐代理功能。可通过目标终端中的安全模块执行对应代理端口的蜜罐代理功能,检测各个代理端口,当检测到目标终端中存在对代理端口的访问请求时,可将对代理端口的访问请求转移到对应蜜罐系统中,从而将其引流至蜜罐系统进行分析,如分析常用的攻击路径、攻击手法等。
示例性的,该安全检测策略还包括预先配置的蜜罐引流策略规则。该蜜罐引流策略规则可包括各个目标端口对应的蜜罐系统信息,以使目标终端基于该蜜罐系统信息,将目标端口的访问请求转发至对应蜜罐服务器中。例如,该蜜罐系统信息可包括蜜罐系统的协议、IP地址和端口,如对于蜜罐系统信息“tcp://9.127.8.168:8031”,包括协议、IP以及端口三部分,目标客户端收到蜜罐引流策略规则后,按照蜜罐引流策略规则,将命中目标端口的访问请求转发对应的9.127.8.168:8031的蜜罐系统。
需要指出的是,该可持续检测目标终端对各个端口访问的变化情况,若目标终端中正常应用进程访问目标端口,则自动忽略,避免对正常的应用程序的逻辑产生影响。另外,当后续开放的端口与某个目标端口及其对应蜜罐引流策略之间冲突时,可将该目标端口及其对应蜜罐引流策略设置为失效状态。
在一些可能方式中,除了通过上述事件检测方式进行终端事件检测之外,还可以采用其他事件检测方式来检测终端事件。例如,对目标终端进行系统启动项的检测,以检测是否启动敏感项;又例如,对目标终端进行模块加载实时感知与检测,如利用预配置的接口(如接口LdrRegisterDllNotification),实时检测目标终端中一些特定模块的加载动作,基于预先配置的过滤条件,结合一些特定模块的采集信息与已知的敏感软件签名数据库的对比结果,检测并识别出目标终端中可疑的模块加载。又例如,还可对目标终端进行敏感位置注册表检测,主要通过对一些敏感注册表信息进行检测,如主要涉及系统安全设置、登录选项、用户权限、启动进程等敏感注册表位置,可以实现部分可疑事件的实时感知。又例如,还可对目标终端进行进程树分析,如构建不同进程与其相关联的子进程和父进程之间关系的层次结构,并基于构建的进程关系结构分析识别可能的异常事件,如可疑的进程或可疑进程所对应的应用进程等相关联的事件。
步骤203、电子设备基于该处理策略和各该终端事件的事件数据,确定该至少一个终端事件中存在的目标事件组合,并基于该目标事件组合对应的目标处理方式对该目标终端进行处理。
该处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件。示例性的,该处理策略可包括多个事件组合与处理方式之间的对应关系。本步骤中,该电子设备可基于处理策略中的多个事件组合,确定出该至少一个终端事件中存在的目标事件组合;并基于处理策略中与目标事件组合对应的目标处理方式,对目标终端进行处理。
在一种可能实现方式中,该处理策略包括至少一个事件组合条件、以及每个组合条件对应的事件处理方式;一个组合条件是构成一个事件组合需满足的条件。示例性的,该步骤203的实现方式,可包括以下步骤2031-2033:
步骤2031、电子设备基于该至少一个终端事件中各个终端事件的事件数据、以及各个事件组合条件,确定该至少一个终端事件中满足任意事件组合条件的至少一个目标事件组合。
示例性的,该电子设备可基于各个终端事件的事件数据与各个事件组合条件进行匹配,以判断该各个终端事件所匹配的事件组合条件,并基于匹配结果,得到各个终端事件中的目标事件组合如,该事件组合条件可以是构成事件组合需满足的条件;可基于各个终端事件的事件数据,筛选出满足组合条件的多个终端事件,并将筛选出的多个终端事件构成一个目标事件组合。
在一种可能实现方式中,该至少一个事件组合条件包括第一组合条件、第二组合条件、第三组合条件或第四组合条件中的至少一项。不同组合条件是从不同维度判断是否满足构成事件组合的条件。相应的,步骤2031的实现方式,可包括以下步骤2031a-步骤2031d中的至少一项:
步骤2031a、该第一组合条件包括事件的类型需满足的事件类型条件,该电子设备基于各个终端事件的类型信息,将各个终端事件中满足该第一组合条件的各个第一终端事件,作为第一目标组合事件。
每个终端的事件数据中可包括终端事件的类型信息,例如类型信息可包括但不限于:事件类型、事件的标识、事件的操作主体等。可基于第一组合条件中所定义的事件类型条件,筛选出各个终端事件中满足第一组合条件中的各个第一终端事件,并将其构成第一目标组合事件。
基于此,可将符合条件中指定的一种或多种类型的终端事件,作为一个组合。例如,将属于指定的类型A的多个事件作为一个组合;或者,将属于类型A的事件a、属于类型B的事件b1和b2、属于类型C的事件c1和c2,构成一个事件组合。
步骤2031b、该第二组合条件包括事件发生时间需满足的时间条件,基于各个终端事件的发生时间,将各个终端事件中满足该第二组合条件的各个第二终端事件,作为第二目标组合事件。
每个终端的事件数据中可包括终端事件的发生时间,例如事件的时间戳信息。可基于第二组合条件中所定义的时间条件,筛选出各个终端事件中满足该时间条件的各个第二终端事件,并将其构成第二目标组合事件。
基于此,可将在符合条件中指定的时间发生的多个终端事件,作为一个组合。例如,可将目标时段内发生的多个事件作为一个组合,能够检测出按照一定时序性发生的多个异常事件的组合。
步骤2031c、该第三组合条件包括事件对应的设备环境状态需满足的环境条件,基于各个终端事件对应的设备环境状态,将各个终端事件中满足该第三组合条件的各个第三终端事件,作为第三目标组合事件。
每个终端的事件数据中可包括终端事件对应的设备环境状态。终端事件对应的设备环境状态是指,该终端事件发生时所在的目标终端这一设备的环境状态。例如,设备环境状态可以包括但不限于:目标终端所处地址位置、网络位置、设备的系统时间、合规检测级别等。
可基于第三组合条件中所定义的环境条件,筛选出各个终端事件发生时的环境状态符合该环境条件的各个第三终端事件,并将其构成第三目标组合事件。该环境条件可以认为是与终端事件的上下文相关的情况进行组合。基于此,可将终端处于特定环境状态下发生的各个终端事件,作为一个组合。例如,可有效检测出设备的合规检测级别较低时发生的多个事件的组合。
步骤2031d、该第四组合条件包括事件的安全评估信息需满足的事件安全评估条件,基于各个终端事件对应的安全评估信息,将各个终端事件中满足该第四组合条件的各个第四终端事件,作为第四目标组合事件。
每个终端的事件数据中可包括终端事件的安全评估信息。需要说明的是,该电子设备获取终端事件的事件数据时,还可对该终端事件进行安全风险评估。终端事件对应的安全评估信息可以包括但不限于:安全等级、安全指数、风险指数等信息。例如,对于防火墙规则变更事件,可基于进程信息中的应用签名、版权信息等特征,评估防火墙规则变更事件的安全性,安全性越高,对应的安全等级越高。
可基于第四组合条件中所定义的安全评估条件,筛选出各个终端事件的安全评估信息符合该安全评估条件的各个第四终端事件,并将其构成第四目标组合事件。基于此,可将安全评估信息符合一定条件的终端事件,作为一个组合。例如,将安全等级较低的多个终端事件作为风险事件组合。
需要说明的是,上述步骤2031a-步骤2031d中,每个步骤仅以一种组合方式进行介绍。另外,该电子设备还可结合其中的多种方式,确定事件组合。一可能方式中,可结合步骤2031a和步骤2031b,将指定时间段内发生的指定类型的事件进行组合,构成事件组合。又一可能方式中,可结合步骤2031a、步骤2031b和步骤2031c,将特定环境状态下、在较短时间段内有序发生的指定类型的事件进行组合,构成事件组合。当然,还可基于其他多种方式的结合来确定事件组合,此处不再一一赘述。
示例性的,基于上述多种组合条件,可结合终端事件的上下文信息,对终端事件进行组合,能够有效筛选出各个终端事件中一个或多个异常事件的组合。其中,可通过目标终端中的多个安全模块分别完成各个终端事件的检测,而由一个安全模块检测出的异常事件有可能是正常业务逻辑的事件,为了避免仅基于单个事件进行判定并处理所引起的较高的误判率,影响用户体验;本申请通过结合多个事件的组合情况,例如利用时间条件可将一定时序性的异常行为的组合来判定异常并进行处理,能够显著降低误判率,进而提高检测的准确性和全面性。
例如,由用于检测防火墙规则更改事件的模块,检测到某应用删除了系统中某敏感端口的入站规则,随之由用于检测敏感日志关联事件的安全模块检测到清除事件日志;这两个模块检测的两种事件的先后组合,比仅仅检测删除防火墙规则事件并判断是否异常的方式,更能准确、全面的实现对终端的安全检测,提高检测的准确性和全面性。
步骤2032、电子设备对于每个目标事件组合,将与该目标事件组合所满足的事件组合条件所对应的事件处理方式,确定为该目标事件组合对应的目标处理方式。
步骤2033、电子设备基于各个目标事件组合对应的目标处理方式,对该目标终端进行处理。
可由预先配置的安全模块执行对目标终端的处理步骤。例如,由目标客户端中配置的模块自动执行对应的安全处置,包括但不限于:收集更多的事件数据信息、阻止恶意进程启动、限制应用网络访问甚至隔离受感染系统(转入隔离网,不能正常访问企业网络)等。
一可能实施方式中,本申请中,可预先基于安全人员配置的异常事件识别条件,向各个终端下发不同的检测任务、以及用于识别异常事件的目标数据或条件。各个终端通过各安全模块的组合、加载和运行,构建出在终端执行主动检测和防御的能力。针对同一种类型的检测任务,例如关键注册表路径,若服务器下发的用于标出异常事件的目标数据或条件发生变化,对应终端也会更新安全模块中的检测逻辑,以适配最新策略中的安全规则。
本申请中,可通过多个安全模块的检测步骤以及输出结果,完成单个检测事件的检测以及事件数据采集过程。例如,安全模块A检测出异常事件A1,安全模块C检测出异常事件C3和C4。若安全策略包括:在某时间区间[t1,t2]内具备A1与C4的组合即为异常事件;需要执行对应的安全处置策略。当安全模块生成检测事件后,一方面执行上报,另一方面在本地进行统计和汇总,如汇总到目标客户端的主服务中,由目标客户端的主服务持续收集多个模块采集的数据,持续检测是否满足安全检测策略中配置的组合条件,如果满足即对终端执行对应的处置动作。
在一些可能实施例中,该目标终端中预先安装有目标客户端;该目标客户端用于基于终端检测规则和处理策略对目标终端进行终端事件检测并处理。也即是,目标终端可通过运行目标终端以执行对目标终端的事件检测、事件数据采集以及处理的步骤。该电子设备还可通过内核驱动服务对目标客户端进行检测,以保证目标客户端的正常运行,进而保证对目标终端的事件检测、事件数据采集以及处理的步骤的正常执行。相应的,本申请的终端安全检测方法,还包括以下步骤S2-S3:
步骤S2、电子设备通过该目标终端的内核驱动服务,对该目标客户端的功能组件进行异常检测,该功能组件包括基于终端检测规则和处理策略对目标终端进行终端事件检测并处理的执行逻辑;
步骤S3、电子设备响应于该目标客户端的功能组件存在异常,重新安装并启动该目标客户端。
当检测到目标终端中对该目标客户端的启动操作,在启动目标客户端时,也通过该内核驱动服务周期性对该目标客户端的功能组件进行检测,并在检测到该目标客户端的功能组件存在异常时,及时重新安装并重启目标客户端,以通过重装和重启的新的目标客户端,保证执行逻辑的正确性,保证目标客户端能正常执行对目标终端的事件检测、事件数据采集以及处理的步骤。
需要说明的是,由于目标客户端的功能组件中,包括对目标终端的事件检测、事件数据采集以及处理的步骤的执行逻辑;而一旦目标客户端被攻击者致盲,则会导致安全检测策略失效,也即是对目标终端的事件检测、事件数据采集以及处理的步骤不能正常执行,无法达到对目标终端预期的处理能力。因此,安全检测策略中至少包含异常处理规则,该异常处理规则与目标客户端独立。基于此,可实现内核驱动服务与目标客户端之间的相互守护;当目标客户端服务启动后,可先检测内核驱动服务是否处于运行状态,如果不是运行状态则执行自动启动内核驱动服务。内核驱动服务会定期扫描目标客户端的客户端组件,如果检测到被修改或部分可执行文件被删除,则自动执行目标客户端的重装操作。
另外,一些可能示例中,该安全检测策略中还包括更为严格的处置规则。例如,若检测到目标客户端的重装频次超过目标频次阈值,还可在目标网络中对目标终端进行网络隔离,该目标网络是来自目标客户端的业务资源访问请求所访问的网络。例如,若目标客户端在单位时间中被反复重装,则自动将目标终端转入隔离网,隔离出指定的企业网络,以保证企业网络及其资源的安全性。
在一种可能实现方式中,服务器中还可配置各个处理方式对应的开关,服务器基于处理方式对应的开关来决定是否对目标终端进行处理。相应的,该步骤203中,基于该目标处理方式对该目标终端进行处理,包括:电子设备向服务器发送处理请求,该处理请求用于请求针对目标组合事件按照目标处理方式对目标终端进行处理;该电子设备基于该服务器返回的处理指示信息对该目标终端进行处理,该处理指示信息指示目标终端是否按照目标处理方式进行处理。
例如,服务器中可预先配置有至少一个事件处理开关,该处理指示信息是服务器基于预配置的事件处理开关生成的。若处理方式对应的开关为开启状态,则处理指示信息指示对目标终端进行处理;若开关为关闭状态则处理指示信息指示不对目标终端进行处理。
一些实施例中,如图3所示,该终端安全检测方法还包括步骤204:
步骤204、电子设备向该服务器上报该至少一个终端事件的事件数据。
示例性的,电子设备还可上报对终端的处理方式,相应的,步骤204可替换为:电子设备向该服务器上报该至少一个终端事件的事件数据、以及对目标终端进行处理的处理记录。该处理记录可包括对目标终端进行处理的处理方式、处理结果、处理的时间戳等信息记录。
示例性的,服务器还可随时基于各个终端的反馈来更新安全检测策略,并同步更新至各个终端。如图4所示,该过程可包括以下步骤205:
步骤205、电子设备接收服务器中发送的第一更新信息和第二更新信息,并基于第一更新信息更新该终端检测规则、以及基于第二更新信息更新该处理策略。
其中,该第一更新信息和第二更新信息是基于该至少一个终端事件的事件数据确定的。
示例性的,该第一更新信息包括终端检测规则对应的更新信息,例如,该终端检测规则包括多个规则,该第一更新信息可包括该多个规则中的发生变化的规则。例如,该第二更新信息包括处理策略对应的更新信息,如该第二更新信息包括发生变化的事件组合和处理方式之间的对应关系。
示例性的,该服务器可基于接收到的终端事件的事件数据以及处理记录中的至少一项,来更新终端检测规则和处理策略,以得到该第一更新信息、第二更新信息。
例如,该终端可基于各个终端事件的安全等级,统计得到等级较低的各个终端事件的操作主体或触发对象等,并基于统计结果更新终端检测规则,例如,可将安全等级较低的各个终端事件中出现次数较多的触发对象,列为需重点进行事件检测的对象。例如,10个安全等级较低的事件中,有8个事件是来自某个APP触发执行,则可在终端检测规则中,增加针对该APP的触发执行的事件的检测规则。
又例如,该终端还可基于处理记录,统计各个目标事件组合及其对应的目标处理方式;若目标事件组合中同类型的终端事件的出现次数超过一定阈值,也可升级对该类型的事件的处理力度;例如,由阻止指定进程启动升级为对发生该类型的事件的终端设备进行网络隔离处理。
示例性的,本申请中,可通过预先配置的多个安全模块的输出结果,实现对各个终端事件的检测、以及确定事件组合并进行处置的过程。该电子设备还可实时向服务器上报。通过服务器下发处理策略至目标客户端,以执行上下文相关的事件组合判定以及对目标终端的处理;且由目标终端自行依据处理策略以及组合条件等实现对应的安全处置过程。
相关技术中,主要是通过在终端进行海量数据的采集,各终端上报的数据汇总到后台,由后台安全运营人员进行人工分析并得出结论,再进一步与各个终端进行交互以完成对终端的处置。相关技术中,由终端的不同模块采集数据并直接进行上报,还需服务器在此基础上进一步抽取出通用特征,在进一步进行分析检测并下发处理指令。由于服务器在海量数据中联动多种类别数据进行分析,所以分析链路较长,服务器检测到对终端处置的环节之间存在一定程度的延时,无法及时对风险的终端进行处理。且存储和运营成本较高,而且由于一味追求多场景的覆盖度容易引起一定的误报率,容易忽略真正将有价值的异常行为数据。
本申请中,采取一种主动检测和防御的思路,通过下发安全检测策略,由终端结合多个安全模块的输出结果,检测并构建出关键数据,如引导数据、目标文件或目标票据等;并且,针对关键数据被访问、查询或修改的动作,利用目标客户端的相关安全模块进行实时地检测与上报。基于此,无需每个安全模块分别上报各自的数据,与相关技术中的全量采集并全量上报相比,本申请避免了多个模块之间上报数据之间的重复和冗余;可以从源头上降低上报数据的量。同时,提升了数据采集的质量。
另外,与相关技术客户端仅负责数据采集与上报不同,本申请通过目标客户端会基于检测到的多个终端事件进行组合事件的综合分析判断,并基于不同事件组合的不同处理方式,对目标终端进行处理,降低异常事件的处置延时,而且结合终端自身的上下文状态可以执行不同级别的自动处置动作,提高了安全检测的准确性,提高目标终端的安全性。
下面通过几种场景示例,对本申请的适用场景进行介绍。
场景1、与零信任网络访问联动,在目标客户端接收到访问代理发起的流量鉴权请求时,若对比发现,目标客户端安全模块检测的敏感事件触发中包含有对应应用进程信息;例如该应用进程在当天某个时间段内有发生触碰敏感注册表路径,读取服务端向终端某些目录下发的随机敏感文件且清除系统日志的操作,基于安全处置策略,对该应用不响应访问票据,同时动态调低当前访问主体的访问权限。
场景2、如果在网关或目标服务端识别出某设备发起某种特殊的、带有特定标识度的虚拟票据(例如,由终端的安全模块基于服务端下发的票据生成规则生成的目标票据,正常情况下目标票据不会传递到后台或网关),则认定发送该票据的源设备为受感染设备,作隔离处置。
场景3、安全检测策略中可预先配置与进程树相关的一些异常规则,例如,办公文档类应用程序(Adobe Reader、Word、ppt、excel等应用)后创建子进程,电子邮件客户端和Webmail等类型应用创建可执行的程序均被视为异常行为。目标客户端通过对进程树持续检测,若命中这些异常规则即执行立即处置,停止进程,禁止启动并告警通知安全人员分析。还有一种情况是客户端不确定类型A的应用派生出类型B的子进程是否合法,则采集A与B进程的相关特征信息,通过服务端接口请求服务端的响应。当服务端响应异常后再执行相关处置动作。
场景4、目标客户端的安全模块检测到有关应用进程的疑似异常行为后,基于安全处置策略的进一步收集更多行为信息的处置规则,将自身的检测模块通过远程线程注入等技术注入到对应的应用进程中。检测目标API的调用参数(例如进程内存空间读写API),同时基于安全处置策略将相关API的调用参数上报至服务端,提供给后台更多的关于目标进程的行为信息以辅助决策。
图5、6、7提供了一种目标客户端的页面示意图。如图5所示,目标客户端具备零信任办公、病毒查杀、合规检测、漏洞修复等多种功能,对于办公的安全实施防护,具备包括应用入口防护和系统底层防护的功能。例如,应用入口防护可包括但不限于:桌面图标防护、摄像头防护、文件下载防护、网页防火墙防护,如利用对防火墙规则变更事件的检测以及对应的终端处理,实现对防火墙的防护。例如,系统底层防护可包括但不限于:文件系统防护、注册表防护、驱动防护、进程防护等。例如,可获取一些终端事件的进程信息并进一步分析,从进程防护的维度实现对终端设备的安全防护。
如图6所示,对于对办公环境的合规检测,可以由终端用户主动发起,或者,也可基于服务器下发的安全检测策略对应的执行周期,周期性静默地执行对设备环境状态的检测,检测的类别、粒度和覆盖的场景由安全检测策略制定;终端负责执行安全检测策略中包含的各项检测逻辑。在业务模块层面,可执行包括但不限于软件安全基线检测、违规进程检测、违规服务检测等。
如图7所示,如果未通过合规检测,可在客户端页面中进行风险提示,客户端页面中还可显示用于修复风险的风险按钮。例如,客户端页面中显示前往修复的按钮,用户可通过触发该前往修复按钮,修复设备存在的1项风险。另外,目标客户端还可执行退出登录、阻断企业内网资源访问、阻断业务模块业务功能调用等步骤,将目标终端进行网络隔离等在内的处置措施。
一可能场景中,该目标客户端可提供对企业内部网络资源的访问过程进行管理的功能。本申请中,还可通过目标客户端对访问源头,也即是企业内的各个终端设备进行安全检测。图8提供了一种访问企业资源的流程简图。如图8所示,该用户可通过目标终端上的目标客户端进行企业内部资源的访问,以及对终端自身进行安全检测。对于在目标客户端上发起企业内部资源访问的过程,目标客户端可基于预先配置的访问控制策略,为统一访问入口提供流量检测和鉴权的操作,只有通过流量鉴权的网络流量才能由零信任访问代理转发至访问网关,通过访问网关将针对企业资源的访问请求转发至对应的后端服务,完成整体访问过程。在以发起对企业内部资源访问过程的技术背景下,还可通过目标客户端,利用本申请的安全检测方法,对发起资源访问的终端设备进行安全检测,以保证终端设备的安全性,进而保证企业内部网络资源的安全性。
图9提供了一种访问企业资源的框架结构示意图,如图9所示,该框架中包括请求设备、管理服务器(也即是目标客户端的后台服务器)、智能网关以及业务服务器。该框架中各个设备之间通过交互以实现对该企业资源的访问过程,具体包括:
步骤①、请求设备通过代理进程proxy拦截到访问企业资源的访问请求,获取该访问请求的URL、进程pid(进程号)等信息。
步骤②、请求设备可通过代理进程,向目标客户端请求票据。如访问网络资源的凭证票据。
步骤③、请求设备通过该目标客户端获取发起该访问请求的应用程序的信息、发起该访问请求的进程特征等信息。
步骤④、请求设备向管理服务器发送票据置换请求,该票据置换请求用于基于票据置换对专用网络的访问权限。
步骤⑤、请求设备将基于步骤③所获取的信息,发送至管理服务器,以实现进程送检。该管理服务器配置有策略中心、送检服务、票据中心等。其中,该送检服务可用于基于请求设备发送的信息检验是否具备访问权限。该策略中心可配置有组件安全策略,可对组件进行安全检测;该票据中心用于管理票据,如票据置换。
步骤⑥、请求设备经管理服务器安全检测通过、鉴权通过后,向代理进程返回票据响应。
步骤⑦、请求设备通过代理进程,将该票据以及访问请求转发至智能网关。
步骤⑧、该智能网关基于该票据,向管理服务器发送票据校验请求。
步骤⑨、该智能网关接收管理服务器返回的校验结果。
步骤⑩、如果该校验结果指示具备访问权限,请智能网关验证并将该访问请求转发至对应的业务服务器。
步骤、业务服务器基于访问请求,向目标网关返回响应数据。
步骤、目标网关将该响应数据返回至请求设备的代理进程。
步骤、请求设备通过代理进程,确定该响应数据对应的进程信息,基于该进程信息,将响应数据回传至对应的应用程序,以便在应用程序的响应页面中访问请求对应的响应结果。
需要说明的是,请求设备可以是本申请中的目标终端,在请求设备基于上述流程完成相关业务时,还可通过本申请的终端安全检测方法,实时对请求设备进行安全检测,以从访问源头上保证相关业务的安全性,保证企业网络及其网络资源的安全性。
本申请提供的终端安全检测方法,在从服务器中获取终端检测规则和处理策略后,通过基于事件指示信息检测得到目标终端中的至少一个终端事件,并基于采集指示信息有针对性的采集得到各终端事件的事件数据;与相关技术中采集终端的全量数据相比,本申请有针对性的区别采集不同事件的事件数据,大大减少了采集的数据量。并且,通过基于处理策略和各终端事件的事件数据,确定该至少一个终端事件中的目标事件组合,以基于目标事件组合对应的目标处理方式对目标终端进行处理;使得终端可自行基于处理策略及时处理,无需等待服务器的分析和反馈过程,提高了处理效率;且通过结合目标事件组合可以从多个事件维度、更全面的衡量目标终端的实际安全情况,从而更准确的定位目标终端真实所需的处理方式,提高终端安全检测的准确性,进而有效保证了终端的安全性。
可以理解的是,本申请的终端安全检测方法,可以涉及云安全、云计算、云存储等多个技术领域,例如,通过云安全技术来实现利用安全检测策略对目标终端进行安全检测。
可以理解的是,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常检测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1、云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2、安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3、云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
可以理解的是,云计算(cloud computing)是一种计算模式,它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。
作为云计算的基础能力提供商,会建立云计算资源池(简称云平台,一般称为IaaS(Infrastructure as a Service,基础设施即服务)平台,在资源池中部署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(为虚拟化机器,包含操作系统)、存储设备、网络设备。
按照逻辑功能划分,在IaaS(Infrastructure as a Service,基础设施即服务)层上可以部署PaaS(Platform as a Service,平台即服务)层,PaaS层之上再部署SaaS(Software as a Service,软件即服务)层,也可以直接将SaaS部署在IaaS上。PaaS为软件运行的平台,如数据库、web容器等。SaaS为各式各样的业务软件,如web门户网站、短信群发器等。一般来说,SaaS和PaaS相对于IaaS是上层。
可以理解的是,云存储(cloud storage)是在云计算概念上延伸和发展出来的一个新的概念,分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同对外提供数据存储和业务访问功能的一个存储系统。
目前,存储系统的存储方法为:创建逻辑卷,在创建逻辑卷时,就为每个逻辑卷分配物理存储空间,该物理存储空间可能是某个存储设备或者某几个存储设备的磁盘组成。客户端在某一逻辑卷上存储数据,也就是将数据存储在文件系统上,文件系统将数据分成许多部分,每一部分是一个对象,对象不仅包含数据而且还包含数据标识(ID,ID entity)等额外的信息,文件系统将每个对象分别写入该逻辑卷的物理存储空间,且文件系统会记录每个对象的存储位置信息,从而当客户端请求访问数据时,文件系统能够根据每个对象的存储位置信息让客户端对数据进行访问。
存储系统为逻辑卷分配物理存储空间的过程,具体为:按照对存储于逻辑卷的对象的容量估量(该估量往往相对于实际要存储的对象的容量有很大余量)和独立冗余磁盘阵列(RAID,Redundant Array of Independent Disk)的组别,预先将物理存储空间划分成分条,一个逻辑卷可以理解为一个分条,从而为逻辑卷分配了物理存储空间。
图10申请实施例提供的一种终端安全检测装置的结构示意图。如图10所示,该装置包括:获取模块1001、检测模块1002、采集模块1003以及处理模块1004。
获取模块1001,用于从服务器中获取终端检测规则和处理策略;
其中,该终端检测规则包括事件指示信息以及采集指示信息,该事件指示信息指示待检测的至少一个目标事件,该采集指示信息指示每个目标事件对应的待采集数据;该处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件;
检测模块1002,用于基于该事件指示信息对目标终端进行终端事件检测,得到该目标终端中属于目标事件的至少一个终端事件;
采集模块1003,用于基于该采集指示信息对各该终端事件进行相应的事件数据采集,得到各该终端事件的事件数据;
处理模块1004,用于基于该处理策略和各该终端事件的事件数据,确定该至少一个终端事件中存在的目标事件组合,并基于该目标事件组合对应的目标处理方式对该目标终端进行处理。
在一个可能实现方式中,该处理策略包括至少一个事件组合条件、以及每个组合条件对应的事件处理方式;
该处理模块1004,用于:
基于该至少一个终端事件中各个终端事件的事件数据、以及各个事件组合条件,确定该至少一个终端事件中满足任意事件组合条件的至少一个目标事件组合;
对于每个目标事件组合,将与该目标事件组合所满足的事件组合条件所对应的事件处理方式,确定为该目标事件组合对应的目标处理方式;
基于各个目标事件组合对应的目标处理方式,对该目标终端进行处理。
在一个可能实现方式中,该至少一个事件组合条件包括第一组合条件、第二组合条件、第三组合条件或第四组合条件中的至少一项;
该处理模块1004,用于以下至少一项:
该第一组合条件包括事件的类型需满足的事件类型条件,基于各个终端事件的类型信息,将各个终端事件中满足该第一组合条件的各个第一终端事件,作为第一目标组合事件;
该第二组合条件包括事件发生时间需满足的时间条件,基于各个终端事件的发生时间,将各个终端事件中满足该第二组合条件的各个第二终端事件,作为第二目标组合事件;
该第三组合条件包括事件对应的设备环境状态需满足的环境条件,基于各个终端事件对应的设备环境状态,将各个终端事件中满足该第三组合条件的各个第三终端事件,作为第三目标组合事件;
该第四组合条件包括事件的安全评估信息需满足的事件安全评估条件,基于各个终端事件对应的安全评估信息,将各个终端事件中满足该第四组合条件的各个第四终端事件,作为第四目标组合事件。
在一个可能实现方式中,该事件指示信息包括引导数据指示信息,该至少一种目标事件包括引导数据异常事件;
该装置还包括:
引导数据获取模块,用于获取引导数据,该引导数据用于引导执行至少一种异常操作;
该检测模块1002,用于:
基于该引导数据指示信息,检测该目标终端中与该引导数据关联的操作;
响应于检测到与引导数据关联的异常操作,确定该目标终端中存在引导数据异常事件。
在一个可能实现方式中,该引导数据包括目标文件;
该引导数据获取模块,用于:
接收服务器发送的目标文件;
基于该引导数据指示信息所包括的目标文件目录,将该目标文件存储至该目标终端;
其中,该目标文件是基于预配置的关键字段名生成的文件;该目标文件用于引导基于关键字段名发起对目标文件的访问操作;该异常操作包括对该目标文件的访问操作。
在一个可能实现方式中,该引导数据包括目标票据;
该引导数据获取模块,用于:
接收该服务器发送的票据生成规则,该票据生成规则指示基于预配置票据的票据标识信息生成目标票据,该预配置票据包括用于对目标资源的访问请求进行验证的票据;
基于该票据生成规则所指示的票据标识信息生成目标票据,并将该目标票据存储至该目标终端;
其中,该目标票据用于引导基于票据标识信息发起对目标票据的使用操作;该异常操作包括对该目标票据的使用操作。
在一个可能实现方式中,该事件指示信息包括第一事件指示信息、第二事件指示信息或第三事件指示信息中的至少一项;
该检测模块1002,用于以下至少一项:
该第一事件指示信息指示用于变更防火墙规则的事件,基于该第一事件指示信息对目标终端进行终端事件检测,得到该目标终端中的防火墙规则变更事件;并基于第一采集指示信息对防火墙规则变更事件进行事件数据采集,得到该变更事件进行事件的进程信息;
该第二事件指示信息指示与目标日志关联的事件,基于该第二事件指示信息对目标终端进行终端事件检测,得到该目标终端中的目标日志关联事件;并基于第二采集指示信息对目标日志关联事件进行事件数据采集,得到该目标日志关联事件对应的系统日志;
该第三事件指示信息指示访问目标端口的事件,基于该第三事件指示信息对目标终端进行终端事件检测,得到该目标终端中的目标端口访问事件;并基于第三采集指示信息对目标端口访问事件进行事件数据采集,得到该目标端口访问事件对应的访问记录。
在一个可能实现方式中,该装置还包括:
上报模块,用于向该服务器上报该至少一个终端事件的事件数据;
更新模块,用于接收服务器中发送的第一更新信息和第二更新信息,并基于第一更新信息更新该终端检测规则、以及基于第二更新信息更新该处理策略;其中,该第一更新信息和第二更新信息是基于该至少一个终端事件的事件数据确定的。
在一个可能实现方式中,该目标终端中预先安装有目标客户端;该目标客户端用于基于终端检测规则和处理策略对目标终端进行终端事件检测并处理;
该装置还包括:
客户端检测模块,用于通过该目标终端的内核驱动服务,对该目标客户端的功能组件进行异常检测,该功能组件包括基于终端检测规则和处理策略对目标终端进行终端事件检测并处理的执行逻辑;
重装模块,用于响应于该目标客户端的功能组件存在异常,重新安装并启动该目标客户端。
在一个可能实现方式中,该处理模块1004,用于:
向服务器发送处理请求,该处理请求用于请求针对目标组合事件按照目标处理方式对目标终端进行处理;
基于该服务器返回的处理指示信息对该目标终端进行处理,该处理指示信息指示目标终端是否按照目标处理方式进行处理。
本申请提供的终端安全检测装置,在从服务器中获取终端检测规则和处理策略后,通过基于事件指示信息检测得到目标终端中的至少一个终端事件,并基于采集指示信息有针对性的采集得到各终端事件的事件数据;与相关技术中采集终端的全量数据相比,本申请有针对性的区别采集不同事件的事件数据,大大减少了采集的数据量。并且,通过基于处理策略和各终端事件的事件数据,确定该至少一个终端事件中的目标事件组合,以基于目标事件组合对应的目标处理方式对目标终端进行处理;使得终端可自行基于处理策略及时处理,无需等待服务器的分析和反馈过程,提高了处理效率;且通过结合目标事件组合可以从多个事件维度、更全面的衡量目标终端的实际安全情况,从而更准确的定位目标终端真实所需的处理方式,提高终端安全检测的准确性,进而有效保证了终端的安全性。
本申请实施例的装置可执行本申请实施例所提供的方法,其实现原理相类似,本申请各实施例的装置中的各模块所执行的动作是与本申请各实施例的方法中的步骤相对应的,对于装置的各模块的详细功能描述具体可以参见前文中所示的对应方法中的描述,此处不再赘述。
图11是本申请实施例中提供了一种电子设备的结构示意图。如图11所示,该电子设备包括:存储器、处理器及存储在存储器上的计算机程序,该处理器执行上述计算机程序以实现终端安全检测方法的步骤,与相关技术相比可实现:
本申请提供的终端安全检测方法,在从服务器中获取终端检测规则和处理策略后,通过基于事件指示信息检测得到目标终端中的至少一个终端事件,并基于采集指示信息有针对性的采集得到各终端事件的事件数据;与相关技术中采集终端的全量数据相比,本申请有针对性的区别采集不同事件的事件数据,大大减少了采集的数据量。并且,通过基于处理策略和各终端事件的事件数据,确定该至少一个终端事件中的目标事件组合,以基于目标事件组合对应的目标处理方式对目标终端进行处理;使得终端可自行基于处理策略及时处理,无需等待服务器的分析和反馈过程,提高了处理效率;且通过结合目标事件组合可以从多个事件维度、更全面的衡量目标终端的实际安全情况,从而更准确的定位目标终端真实所需的处理方式,提高终端安全检测的准确性,进而有效保证了终端的安全性。
在一个可选实施例中提供了一种电子设备,如图11所示,图11所示的电子设备1100包括:处理器1101和存储器1103。其中,处理器1101和存储器1103相连,如通过总线1102相连。可选地,电子设备1100还可以包括收发器1104,收发器1104可以用于该电子设备与其他电子设备之间的数据交互,如数据的发送和/或数据的接收等。需要说明的是,实际应用中收发器1104不限于一个,该电子设备1100的结构并不构成对本申请实施例的限定。
处理器1101可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器1101也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线1102可包括一通路,在上述组件之间传送信息。总线1102可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线1102可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1103可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质\其他磁存储设备、或者能够用于携带或存储计算机程序并能够由计算机读取的任何其他介质,在此不做限定。
存储器1103用于存储执行本申请实施例的计算机程序,并由处理器1101来控制执行。处理器1101用于执行存储器1103中存储的计算机程序,以实现前述方法实施例所示的步骤。
其中,电子设备包括但不限于:服务器、终端或云计算中心设备等。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现前述方法实施例的步骤及相应内容。
本申请实施例还提供了一种计算机程序产品,包括计算机程序,计算机程序被处理器执行时可实现前述方法实施例的步骤及相应内容。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式 “一”、“一个”、“所述”和“该”也可包括复数形式。本申请实施例所使用的术语“包括”以及“包含”是指相应特征可以实现为所呈现的特征、信息、数据、步骤、操作,但不排除实现为本技术领域所支持其他特征、信息、数据、步骤、操作等。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”、“1”、“2”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除图示或文字描述以外的顺序实施。
应该理解的是,虽然本申请实施例的流程图中通过箭头指示各个操作步骤,但是这些步骤的实施顺序并不受限于箭头所指示的顺序。除非本文中有明确的说明,否则在本申请实施例的一些实施场景中,各流程图中的实施步骤可以按照需求以其他的顺序执行。此外,各流程图中的部分或全部步骤基于实际的实施场景,可以包括多个子步骤或者多个阶段。这些子步骤或者阶段中的部分或全部可以在同一时刻被执行,这些子步骤或者阶段中的每个子步骤或者阶段也可以分别在不同的时刻被执行。在执行时刻不同的场景下,这些子步骤或者阶段的执行顺序可以根据需求灵活配置,本申请实施例对此不限制。
以上所述仅是本申请部分实施场景的可选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请的方案技术构思的前提下,采用基于本申请技术思想的其他类似实施手段,同样属于本申请实施例的保护范畴。

Claims (13)

1.一种终端安全检测方法,其特征在于,所述方法包括:
从服务器中获取终端检测规则和处理策略;
其中,所述终端检测规则包括事件指示信息以及采集指示信息,所述事件指示信息指示待检测的至少一个目标事件,所述采集指示信息指示每个目标事件对应的待采集数据;所述处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件;
基于所述事件指示信息对目标终端进行终端事件检测,得到所述目标终端中属于目标事件的至少一个终端事件,并基于所述采集指示信息对各所述终端事件进行相应的事件数据采集,得到各所述终端事件的事件数据;
基于所述处理策略和各所述终端事件的事件数据,确定所述至少一个终端事件中存在的目标事件组合,并基于所述目标事件组合对应的目标处理方式对所述目标终端进行处理。
2.根据权利要求1所述的方法,其特征在于,所述处理策略包括至少一个事件组合条件、以及每个组合条件对应的事件处理方式;
所述基于所述处理策略和各所述终端事件的事件数据,确定所述至少一个终端事件中存在的目标事件组合,并基于所述目标事件组合对应的目标处理方式对所述目标终端进行处理,包括:
基于所述至少一个终端事件中各个终端事件的事件数据、以及各个事件组合条件,确定所述至少一个终端事件中满足任意事件组合条件的至少一个目标事件组合;
对于每个目标事件组合,将与所述目标事件组合所满足的事件组合条件所对应的事件处理方式,确定为所述目标事件组合对应的目标处理方式;
基于各个目标事件组合对应的目标处理方式,对所述目标终端进行处理。
3.根据权利要求2所述的方法,其特征在于,所述至少一个事件组合条件包括第一组合条件、第二组合条件、第三组合条件或第四组合条件中的至少一项;
所述基于所述至少一个终端事件中各个终端事件的事件数据、以及各个事件组合条件,确定所述至少一个终端事件中满足任意事件组合条件的至少一个目标事件组合,包括以下至少一项:
所述第一组合条件包括事件的类型需满足的事件类型条件,基于各个终端事件的类型信息,将各个终端事件中满足所述第一组合条件的各个第一终端事件,作为第一目标组合事件;
所述第二组合条件包括事件发生时间需满足的时间条件,基于各个终端事件的发生时间,将各个终端事件中满足所述第二组合条件的各个第二终端事件,作为第二目标组合事件;
所述第三组合条件包括事件对应的设备环境状态需满足的环境条件,基于各个终端事件对应的设备环境状态,将各个终端事件中满足所述第三组合条件的各个第三终端事件,作为第三目标组合事件;
所述第四组合条件包括事件的安全评估信息需满足的事件安全评估条件,基于各个终端事件对应的安全评估信息,将各个终端事件中满足所述第四组合条件的各个第四终端事件,作为第四目标组合事件。
4.根据权利要求1所述的方法,其特征在于,所述事件指示信息包括引导数据指示信息,所述至少一种目标事件包括引导数据异常事件;
所述方法还包括:
获取引导数据,所述引导数据用于引导执行至少一种异常操作;
所述基于所述事件指示信息对目标终端进行终端事件检测,得到所述目标终端中属于目标事件的至少一个终端事件,包括:
基于所述引导数据指示信息,检测所述目标终端中与所述引导数据关联的操作;
响应于检测到与引导数据关联的异常操作,确定所述目标终端中存在引导数据异常事件。
5.根据权利要求4所述的方法,其特征在于,所述引导数据包括目标文件;所述获取引导数据,包括:
接收服务器发送的目标文件;
基于所述引导数据指示信息所包括的目标文件目录,将所述目标文件存储至所述目标终端;
其中,所述目标文件是基于预配置的关键字段名生成的文件;所述目标文件用于引导基于关键字段名发起对目标文件的访问操作;所述异常操作包括对所述目标文件的访问操作。
6.根据权利要求4所述的方法,其特征在于,所述引导数据包括目标票据;所述获取引导数据,包括:
接收所述服务器发送的票据生成规则,所述票据生成规则指示基于预配置票据的票据标识信息生成目标票据,所述预配置票据包括用于对目标资源的访问请求进行验证的票据;
基于所述票据生成规则所指示的票据标识信息生成目标票据,并将所述目标票据存储至所述目标终端;
其中,所述目标票据用于引导基于票据标识信息发起对目标票据的使用操作;所述异常操作包括对所述目标票据的使用操作。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述事件指示信息包括第一事件指示信息、第二事件指示信息或第三事件指示信息中的至少一项;
所述基于所述事件指示信息对目标终端进行终端事件检测,得到所述目标终端中属于目标事件的至少一个终端事件,并基于所述采集指示信息对各所述终端事件进行相应的事件数据采集,得到各所述终端事件的事件数据,包括以下至少一项:
所述第一事件指示信息指示用于变更防火墙规则的事件,基于所述第一事件指示信息对目标终端进行终端事件检测,得到所述目标终端中的防火墙规则变更事件;并基于第一采集指示信息对防火墙规则变更事件进行事件数据采集,得到所述变更事件进行事件的进程信息;
所述第二事件指示信息指示与目标日志关联的事件,基于所述第二事件指示信息对目标终端进行终端事件检测,得到所述目标终端中的目标日志关联事件;并基于第二采集指示信息对目标日志关联事件进行事件数据采集,得到所述目标日志关联事件对应的系统日志;
所述第三事件指示信息指示访问目标端口的事件,基于所述第三事件指示信息对目标终端进行终端事件检测,得到所述目标终端中的目标端口访问事件;并基于第三采集指示信息对目标端口访问事件进行事件数据采集,得到所述目标端口访问事件对应的访问记录。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述服务器上报所述至少一个终端事件的事件数据;
接收服务器中发送的第一更新信息和第二更新信息,并基于第一更新信息更新所述终端检测规则、以及基于第二更新信息更新所述处理策略;其中,所述第一更新信息和第二更新信息是基于所述至少一个终端事件的事件数据确定的。
9.根据权利要求1所述的方法,其特征在于,所述目标终端中预先安装有目标客户端;所述目标客户端用于基于终端检测规则和处理策略对目标终端进行终端事件检测并处理;
所述方法还包括:
通过所述目标终端的内核驱动服务,对所述目标客户端的功能组件进行异常检测,所述功能组件包括基于终端检测规则和处理策略对目标终端进行终端事件检测并处理的执行逻辑;
响应于所述目标客户端的功能组件存在异常,重新安装并启动所述目标客户端。
10.根据权利要求1所述的方法,其特征在于,所述基于所述目标处理方式对所述目标终端进行处理,包括:
向服务器发送处理请求,所述处理请求用于请求针对目标组合事件按照目标处理方式对目标终端进行处理;
基于所述服务器返回的处理指示信息对所述目标终端进行处理,所述处理指示信息指示目标终端是否按照目标处理方式进行处理。
11.一种终端安全检测装置,其特征在于,所述装置包括:
获取模块,用于从服务器中获取终端检测规则和处理策略;
其中,所述终端检测规则包括事件指示信息以及采集指示信息,所述事件指示信息指示待检测的至少一个目标事件,所述采集指示信息指示每个目标事件对应的待采集数据;所述处理策略指示至少一个事件组合对应的处理方式,一个事件组合包括至少一个目标事件中的一个或多个事件;
检测模块,用于基于所述事件指示信息对目标终端进行终端事件检测,得到所述目标终端中属于目标事件的至少一个终端事件;
采集模块,用于基于所述采集指示信息对各所述终端事件进行相应的事件数据采集,得到各所述终端事件的事件数据;
处理模块,用于基于所述处理策略和各所述终端事件的事件数据,确定所述至少一个终端事件中存在的目标事件组合,并基于所述目标事件组合对应的目标处理方式对所述目标终端进行处理。
12.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序以实现权利要求1至10中任一项所述的终端安全检测方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的终端安全检测方法。
CN202310977735.9A 2023-08-04 2023-08-04 终端安全检测方法、装置、电子设备及存储介质 Active CN116708033B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310977735.9A CN116708033B (zh) 2023-08-04 2023-08-04 终端安全检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310977735.9A CN116708033B (zh) 2023-08-04 2023-08-04 终端安全检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN116708033A true CN116708033A (zh) 2023-09-05
CN116708033B CN116708033B (zh) 2023-11-03

Family

ID=87837842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310977735.9A Active CN116708033B (zh) 2023-08-04 2023-08-04 终端安全检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116708033B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117216758A (zh) * 2023-11-08 2023-12-12 新华三网络信息安全软件有限公司 应用安全检测系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107590386A (zh) * 2017-08-16 2018-01-16 腾讯科技(深圳)有限公司 安全事件信息的处理方法、装置、存储介质和计算机设备
CN111556059A (zh) * 2020-04-29 2020-08-18 深圳壹账通智能科技有限公司 异常检测方法、异常检测装置及终端设备
CN113312615A (zh) * 2021-06-23 2021-08-27 北京天融信网络安全技术有限公司 一种终端检测与响应系统
CN113497722A (zh) * 2020-03-20 2021-10-12 阿里巴巴集团控股有限公司 数据处理、数据下载、流媒体控制方法、设备及介质
CN114629696A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 一种安全检测方法、装置、电子设备及存储介质
WO2023274295A1 (zh) * 2021-06-30 2023-01-05 上海云盾信息技术有限公司 基于云的互联网访问控制方法、装置、介质、设备和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107590386A (zh) * 2017-08-16 2018-01-16 腾讯科技(深圳)有限公司 安全事件信息的处理方法、装置、存储介质和计算机设备
CN113497722A (zh) * 2020-03-20 2021-10-12 阿里巴巴集团控股有限公司 数据处理、数据下载、流媒体控制方法、设备及介质
CN111556059A (zh) * 2020-04-29 2020-08-18 深圳壹账通智能科技有限公司 异常检测方法、异常检测装置及终端设备
CN113312615A (zh) * 2021-06-23 2021-08-27 北京天融信网络安全技术有限公司 一种终端检测与响应系统
WO2023274295A1 (zh) * 2021-06-30 2023-01-05 上海云盾信息技术有限公司 基于云的互联网访问控制方法、装置、介质、设备和系统
CN114629696A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 一种安全检测方法、装置、电子设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117216758A (zh) * 2023-11-08 2023-12-12 新华三网络信息安全软件有限公司 应用安全检测系统及方法
CN117216758B (zh) * 2023-11-08 2024-02-23 新华三网络信息安全软件有限公司 应用安全检测系统及方法

Also Published As

Publication number Publication date
CN116708033B (zh) 2023-11-03

Similar Documents

Publication Publication Date Title
US11271955B2 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
US9344457B2 (en) Automated feedback for proposed security rules
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
US20140380478A1 (en) User centric fraud detection
US11856011B1 (en) Multi-vector malware detection data sharing system for improved detection
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
US20210026969A1 (en) Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events
CN116708033B (zh) 终端安全检测方法、装置、电子设备及存储介质
CN114208114B (zh) 每参与者的多视角安全上下文
KR101775517B1 (ko) 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
CN114189383B (zh) 封禁方法、装置、电子设备、介质和计算机程序产品
CN116668051A (zh) 攻击行为的告警信息处理方法、装置、程序、电子及介质
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN114157504A (zh) 一种基于Servlet拦截器的安全防护方法
US11763004B1 (en) System and method for bootkit detection
KR101754964B1 (ko) 악성 행위 탐지 방법 및 시스템
CN117254977B (zh) 一种网络安全监控方法及系统、存储介质
CN114650210B (zh) 告警处理方法及防护设备
Patel et al. Malware Detection Using Yara Rules in SIEM
CN116980157A (zh) 基于云安全配置的安全检测方法、装置、设备及存储介质
CN118118189A (zh) 数据判别方法、装置、设备及可读存储介质
Gu et al. More Haste, Less Speed: Cache Related Security Threats in Continuous Integration Services
CN117951682A (zh) 应用进程检测处理方法、系统、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant