CN117034261A - 一种基于标识符的异常检测方法、装置、介质及电子设备 - Google Patents
一种基于标识符的异常检测方法、装置、介质及电子设备 Download PDFInfo
- Publication number
- CN117034261A CN117034261A CN202311290897.1A CN202311290897A CN117034261A CN 117034261 A CN117034261 A CN 117034261A CN 202311290897 A CN202311290897 A CN 202311290897A CN 117034261 A CN117034261 A CN 117034261A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- target
- identifier
- abnormal behavior
- judging
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 97
- 238000012544 monitoring process Methods 0.000 claims abstract description 179
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 90
- 238000000034 method Methods 0.000 claims abstract description 61
- 230000006399 behavior Effects 0.000 claims abstract description 33
- 230000008569 process Effects 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims abstract description 15
- 244000035744 Hura crepitans Species 0.000 claims abstract description 9
- 238000007781 pre-processing Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 2
- 238000010200 validation analysis Methods 0.000 claims description 2
- 238000012986 modification Methods 0.000 description 9
- 230000004048 modification Effects 0.000 description 9
- 230000005856 abnormality Effects 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及数据处理领域,特别是涉及一种基于标识符的异常检测方法、装置、介质及电子设备。包括:将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测;每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理;当异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定目标事件存在攻击行为。本发明中在整个行为检测过程中,每一异常行为检测序列仅有一个最可能被命中的监测策略被开启,而其他与当前攻击子行为相关度比较低的监测策略均处于关闭状态。可以减少处于开启状态的监测策略的数量,进而减少对计算资源的占用。
Description
技术领域
本发明涉及数据处理领域,特别是涉及一种基于标识符的异常检测方法、装置、介质及电子设备。
背景技术
由于当前终端设备中的各类事件信息的属性和行为特征,不仅种类多、变更迭代快,而且还存在安全状态与威胁状态互相转换的特征变化的场景。为了能让安全分析人员可以在第一时间全局观测网内终端各类事件信息的当前标签状态和威胁标签的分布状态,掌握网内的安全态势,以便进行响应处置,一般会对各类事件进行画像描述。
现有技术中,可以通过目标事件输出的画像描述信息,可以确定出目标事件对应的可执行文件的异常程度。然后对于一些可疑的可执行文件会进行进一步的检测,以更加准确的确定其是否为异常文件。在进一步的检测中,通常会将所有的异常行为监测策略均打开,来进行异常行为的监测,但是该异常检测会耗费较多的计算资源。
发明内容
针对上述异常检测会耗费较多的计算资源的技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种基于标识符的异常检测方法,该方法包括如下步骤:
获取多个异常行为检测序列H1、H2、…、HD、…、HJ;其中,HD为第D个异常行为检测序列,HD=(HD 1、HD 2、…、HD E、…、HD G(D)),HD E为HD中的第E个监测标识符,每一个监测标识符对应一种异常行为的监测策略;G(D)为HD中监测标识符的总数量,E=1、2、…、G(D);J为异常行为检测序列的总数量,D=1、2、…、J;异常行为检测序列包括按顺序依次发起的攻击子行为对应的监测标识符;
将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符;
将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测;
每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理,以更新多个目标监测标识符,并返回开启所有目标监测标识符对应的监测策略进行运行行为监测的步骤;
当任一异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定目标事件存在异常行为检测序列对应的攻击行为;
标识位更新处理包括:
将目标更新标识符与每一目标监测标识符进行匹配;目标更新标识符为当前检测到对应的异常行为的监测策略对应的目标监测标识符;
针对每一目标监测标识符,若匹配成功,则将目标监测标识符对应的生效标识位向后移动一位,将移动后的生效标识位对应的监测标识符作为新的目标监测标识符。
进一步的,在将目标更新标识符与每一目标监测标识符进行匹配之后,方法还包括:
若匹配不成功,则保持生效标识位处于当前位置,目标监测标识符不发生改变。
进一步的,在将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符之前,方法还包括:
在进行运行行为监测之前,将每一异常行为检测序列中的首个监测标识符对应的位置,设置为每一异常行为检测序列对应的生效标识位。
进一步的,在将目标事件对应的待测可执行文件在沙箱中运行之前,方法还包括:
获取初始可执行文件对应的哈希值;
将初始可执行文件对应的哈希值分别与预设哈希值黑名单中的每一哈希值进行匹配;
若匹配成功,则确定初始可执行文件为待测可执行文件。
进一步的,在将初始可执行文件对应的哈希值分别与预设哈希值黑名单中的每一哈希值进行匹配之后,方法还包括:
若匹配失败,则初始可执行文件对应的哈希值分别与预设哈希值白名单中的每一哈希值再次进行匹配;
若初始可执行文件对应的哈希值与预设哈希值白名单中所有哈希值都匹配失败,则确定初始可执行文件为待测可执行文件。
进一步的,获取初始可执行文件对应的哈希值,包括:
根据目标事件对应的json日志中事件类型字段的值,获取目标事件的事件类型标识;
根据事件类型标识,确定目标事件对应的对应的判定规则集;判定规则集包括多个判定规则,每一判定规则包括对应的规则命中路径及判定信息;
根据目标事件对应的判定规则集,生成目标事件对应的判定值集;判定值集中包括多个判定值;
将判定值集中的判定值与判定规则的判定信息进行匹配处理;
若判定值与任一判定信息匹配成功,则将判定信息所属判定规则对应的预设画像标签,作为目标事件的标签信息;
若目标事件的事件画像标签属于异常标签类型,则获取目标事件的初始可执行文件的哈希值。
进一步的,判定规则还包括预处理函数;预处理函数由取值运算符与多个规则命中路径构成;
将判定值集中的判定值与判定规则的判定信息进行匹配处理,包括:
将每一规则命中路径作为取值索引,从目标事件对应的json日志中获取对应的初始待判定值;
根据预处理函数对多个初始待判定值进行预处理,生成判定规则对应的一个目标待判定值;
使用判定信息对目标待判定值进行判定,生成目标判定值与判定信息的匹配结果。
根据本发明的第二个方面,提供了一种基于标识符的异常检测装置,装置包括:
序列获取模块,用于获取多个异常行为检测序列H1、H2、…、HD、…、HJ;其中,HD为第D个异常行为检测序列,HD=(HD 1、HD 2、…、HD E、…、HD G(D)),HD E为HD中的第E个监测标识符,每一个监测标识符对应一种异常行为的监测策略;G(D)为HD中监测标识符的总数量,E=1、2、…、G(D);J为异常行为检测序列的总数量,D=1、2、…、J;异常行为检测序列包括按顺序依次发起的攻击子行为对应的监测标识符;
生效位生成模块,用于将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符;
运行监测模块,用于将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测;
位更新模块,用于每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理,以更新多个目标监测标识符,并返回开启所有目标监测标识符对应的监测策略进行运行行为监测的步骤;
异常确定模块,用于当任一异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定目标事件存在异常行为检测序列对应的攻击行为;
标识位更新处理包括:
将目标更新标识符与每一目标监测标识符进行匹配;目标更新标识符为当前检测到对应的异常行为的监测策略对应的目标监测标识符;
针对每一目标监测标识符,若匹配成功,则将目标监测标识符对应的生效标识位向后移动一位,将移动后的生效标识位对应的监测标识符作为新的目标监测标识符。
根据本发明的第三个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如上述的一种基于标识符的异常检测方法。
根据本发明的第四个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述的一种基于标识符的异常检测方法。
本发明至少具有以下有益效果:
本发明中由于多个攻击子行为会按顺序依次发起,所以在本发明的行为监测中,每一异常行为检测序列中仅开启当前生效标识位对应的监测策略。并且生效标识位也会根据已监测到的攻击行为与监测标识符的匹配情况,移动到每一异常行为检测序列中下一次需要进行匹配的监测标识符处。由此,可以保证每一异常行为检测序列中当前开启的监测策略均为具有最高命中率的监测策略,可以提高检测命中率。同时,在整个行为检测过程中,每一异常行为检测序列仅有一个最可能被命中的监测策略被开启,而其他与当前攻击子行为相关度比较低的监测策略均处于关闭状态。所以也可以大幅减少行为监测中处于开启状态的监测策略的数量,进而减少对计算资源的占用。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于标识符的异常检测方法的流程图;
图2为本发明实施例提供的一种基于标识符的异常检测装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
作为本发明的一种可能的实施例,如图1所示,提供了一种基于标识符的异常检测方法,该方法包括如下步骤:
S100:获取多个异常行为检测序列H1、H2、…、HD、…、HJ。其中,HD为第D个异常行为检测序列,HD=(HD 1、HD 2、…、HD E、…、HD G(D)),HD E为HD中的第E个监测标识符,每一个监测标识符对应一种异常行为的监测策略。G(D)为HD中监测标识符的总数量,E=1、2、…、G(D)。J为异常行为检测序列的总数量,D=1、2、…、J。异常行为检测序列包括按顺序依次发起的攻击子行为对应的监测标识符。
在实际使用过程中一个恶意可执行文件在完成一个攻击时,通常需要依次执行完多个必须的攻击子行为。如修改敏感注册表本、调用敏感端口、修改系统目录中的文件夹等攻击子行为,且各个子行为之间的具有较为严格的前后顺序。本实施例中每一监测标识符对应的监测策略即为用于监测对应的攻击子行为。监测策略可以根据实际使用场景中容易出现的攻击子行为进行自行配置。且异常行为检测序列中各个监测策略对应的监测标识符的出现顺序,也可以根据实际使用场景中攻击子行为的常见出现顺序进行配置。
S200:将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符。
具体的,在S200之前,该方法还包括:
S210:在进行运行行为监测之前,将每一异常行为检测序列中的首个监测标识符对应的位置,设置为每一异常行为检测序列对应的生效标识位。通常在初始状态时,生效标识位在每一个异常行为检测序列中的首个监测标识符上。并且会随着标识位更新处理逐渐向后移动。
S300:将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测。
进一步的,在S300之前,该方法还包括:
S310:获取初始可执行文件对应的哈希值。
S320:将初始可执行文件对应的哈希值分别与预设哈希值黑名单中的每一哈希值进行匹配。
S330:若匹配成功,则确定初始可执行文件为待测可执行文件。
S340:若匹配失败,则初始可执行文件对应的哈希值分别与预设哈希值白名单中的每一哈希值再次进行匹配。
S350:若初始可执行文件对应的哈希值与预设哈希值白名单中所有哈希值都匹配失败,则确定初始可执行文件为待测可执行文件。
通常经过长期的积累,会收集到很多已知的恶意可执行文件,同时可以根据该文件生成对应的哈希值,由此可以形成已知恶意文件对应的哈希值黑名单库。同理,我们也可建立对应场景已知正常文件的哈希值白名单库。然后通过将未知的初始可执行文件对应的哈希值,按照上述S330至S350的规则进行匹配即可,快速确定未知的初始可执行文件是否为恶意可执行文件,以确定其是否为本实施例中的待测可执行文件。
S400:每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理,以更新多个目标监测标识符。并返回开启所有目标监测标识符对应的监测策略进行运行行为监测的步骤。
S500:当任一异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定目标事件存在异常行为检测序列对应的攻击行为。
标识位更新处理包括:
S401:将目标更新标识符与每一目标监测标识符进行匹配。目标更新标识符为当前检测到对应的异常行为的监测策略对应的目标监测标识符。
S402:针对每一目标监测标识符,若匹配成功,则将目标监测标识符对应的生效标识位向后移动一位,将移动后的生效标识位对应的监测标识符作为新的目标监测标识符。
S403:若匹配不成功,则保持生效标识位处于当前位置,目标监测标识符不发生改变。
以如下示例进行说明,如多个异常行为检测序列中包括的监测标识符为分别为(JC1、JC2、JC3、JC4)、(JC2、JC8、JC3、JC4)、(JC3、JC4、JC6、JC9)。每一个异常行为检测序列中的目标监测标识符均为第一个监测标识符,则当前生效的监测策略共有3个,具体为:JC1、JC2及JC3。
若当前检测到对应的异常行为的监测策略对应的目标更新标识符为JC1,经过S402及S403处理后,(JC1、JC2、JC3、JC4)中的目标监测标识符变为:JC2;(JC2、JC8、JC3、JC4)中的目标监测标识符依然为:JC2;(JC3、JC4、JC6、JC9)中的目标监测标识符依然为:JC3。最终当前生效的监测策略共有2个,具体为:JC2及JC3。
本发明中由于多个攻击子行为会按顺序依次发起,所以在本发明的行为监测中,每一异常行为检测序列中仅开启当前生效标识位对应的监测策略。并且生效标识位也会根据已监测到的攻击行为与监测标识符的匹配情况,移动到每一异常行为检测序列中下一次需要进行匹配的监测标识符处。由此,可以保证每一异常行为检测序列中当前开启的监测策略均为具有最高命中率的监测策略,可以提高检测命中率。同时,在整个行为检测过程中,每一异常行为检测序列仅有一个最可能被命中的监测策略被开启,而其他与当前攻击子行为相关度比较低的监测策略均处于关闭状态。所以也可以大幅减少行为监测中处于开启状态的监测策略的数量,进而减少对计算资源的占用。
作为本发明的另一个实施例,S310:获取初始可执行文件对应的哈希值,包括:
S311:根据目标事件对应的json日志中事件类型字段的值,获取目标事件的事件类型标识。
根据实际的使用场景,本发明会提前确定什么类型的事件需要进行规则判定。并且为每一种事件的日志配置对应的事件类型字段的值。如进程资源事件日志对应的事件类型字段的值为process_resource_event。端口事件日志对应的事件类型字段的值为port_event。
S312:根据事件类型标识,确定目标事件对应的对应的判定规则集。判定规则集包括多个判定规则,每一判定规则包括对应的规则命中路径及判定信息。
具体的,还会根据同一类型的事件通常需要进行异常检测位置,提前配置对应的多条判定规则。后期可以通过事件类型标识,来选择不同类型事件的json日志所对应的判定规则。
S313:根据目标事件对应的判定规则集,生成目标事件对应的判定值集。判定值集中包括多个判定值。
具体的,S313包括:
S323:将判定规则集中每一判定规则对应的规则命中路径,作为每一判定规则对应的取值索引。
S333:根据每一取值索引获取对应的判定值,生成目标事件对应的判定值集。
具体以如下示例进行说明:判定规则对应的规则命中路径为process_resource_info_list.process_info.file_info.path。则说明该判定规则用于对该路径process_resource_info_list.process_info.file_info下的文件路径值进行判定。所以可以将process_resource_info_list.process_info.file_info.path作为取值索引,从目标事件的json日志中获取对应的判定值。
S314:将判定值集中的判定值与判定规则的判定信息进行匹配处理。
其中,存在部分判定规则还包括预处理函数。预处理函数由取值运算符与多个规则命中路径构成。
具体的,预处理函数可以根据实际的判定需要进行设置。如具体可以为对多个初始待判定值进行的拼接、计算、求交集、并集及差集等函数,以可以获取到多个初始待判定值之间的关联特征。
在该情况下S314中的匹配处理具体包括如下步骤:
S324:将每一规则命中路径作为取值索引,从目标事件对应的json日志中获取对应的初始待判定值。
S334:根据预处理函数对多个初始待判定值进行预处理,生成判定规则对应的一个目标待判定值。
当初始待判定值为数值时,预处理可以为对多个初始待判定值进行数值计算处理。任意两个相邻的初始待判定值之间通过一个取值运算符进行连接。数值计算处理可以为现有的数学运算处理,对应的取值运算符可以为加减乘除等现有的数学运算符。
具体的,以如下示例对预处理为对多个初始待判定值进行数值计算处理的情况,进行举例说明:
预处理函数为:
[process_parent.Lasttime_modify_time,-,process_parent.current_modify_time]。
其中,process_parent.Lasttime_modify_time为进程上一次修改时间字段的取值索引;-为取值运算符,表示减法运算;process_parent.current_modify_time为进程当前修改时间字段的取值索引。本示例中的预处理用于获取到进程创建与修改之间的时间间隔,也即目标待判定值。
通常在实际的使用场景中,如果终端遇到了暴力破解的恶意攻击,那么对应的文件会在短时间内被频繁的进行修改,且进程的修改时间之间的间隔会较短。此时,如果仅对每一单项的进程修改时间进行判定,那么并不能获取到修改间隔,也无法判断修改频率。而通过计算相邻两次进程修改时间之间的间隔,可以得到大量的修改间隔数据,而该数据可以更加明确的表示终端处于异常状态。
由此,根据预处理可以对具有相互关联的多个数据进行再次处理,以生成更加具有异常表示价值的目标待判定值,进而可以提高规则判定的准确度。
S344:使用判定信息对目标待判定值进行判定,生成目标判定值与判定信息的匹配结果。
判定信息中包括操作标识符、字段标识符及目标值。S344具体按照如下步骤进行:
S354:根据字段标识符对应的预设属性内容的选取规则,从目标待判定值中筛选出子目标待判定值。字段标识符用于表示在进行判定操作处理时,具体是使用目标待判定值中的哪一部分属性的值参与判定操作处理。如:指定目标待判定值中大写字母参与判定操作、指定目标待判定值中文件格式字段参与判定操作等。
S364:根据操作标识符对应的预设判定规则,对子目标待判定值及目标值进行判定处理,生成目标事件对应的判定结果。操作标识符用于表示判定信息中具体要对目标待判定值及目标值进行哪一种判定操作处理。如数值大小比较操作符、模糊匹配操作符等。
S374:根据目标事件对应的判定结果,生成目标事件对应的异常判定信息。
以如下示例进行说明:
预处理函数为:
[process_parent.Lasttime_modify_time,-,process_parent.current_modify_time];
判定信息:[lt,0,1]。
其中,lt均为操作标识符,lt表示小于操作。0为字段标识符,表示对目标待判定值无特定字段选取处理,目标待判定值全部参与判定。1为目标值。
上述判定信息表示,若进程的修改时间之间的间隔小于1秒,则命中该规则。
本实施例中的操作标识符、字段标识符及目标值,均可以根据实际使用场景中目标待判定值所具有的某些特征,进行对应的设置。可以生成更加复杂且更加合适的判定信息,进而达到对提高判定结果准确性的目的。
S315:若判定值与任一判定信息匹配成功,则将判定信息所属判定规则对应的预设画像标签,作为目标事件的标签信息。预设画像信息包括预设的事件画像标签。
S316:若存在目标事件的事件画像标签属于异常标签类型,则获取目标事件的初始可执行文件的哈希值。具体的,可以通过现有的哈希算法,生成目标事件对应的初始可执行文件的哈希值。
本实施例中通过预处理对多个初始待判定值进行处理,可以获取到多个初始待判定值之间存在的相互关系,可以获得更加有价值的目标待判定值,另外判定信息中包括可以进行任意搭配的操作标识符、字段标识符及目标值,可以生成更加复杂且更加有效的判定条件,提高判定结果的准确性,减少异常信息漏判的情况。进而可以更加准确的确定出每一个恶意的可执行文件,进而获取到对应的恶意哈希值。
根据本发明的第二个方面,如图2所示,提供了一种基于标识符的异常检测装置,装置包括:
序列获取模块,用于获取多个异常行为检测序列H1、H2、…、HD、…、HJ。其中,HD为第D个异常行为检测序列,HD=(HD 1、HD 2、…、HD E、…、HD G(D)),HD E为HD中的第E个监测标识符,每一个监测标识符对应一种异常行为的监测策略。G(D)为HD中监测标识符的总数量,E=1、2、…、G(D)。J为异常行为检测序列的总数量,D=1、2、…、J。异常行为检测序列包括按顺序依次发起的攻击子行为对应的监测标识符。
生效位生成模块,用于将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符。
运行监测模块,用于将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测。
位更新模块,用于每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理,以更新多个目标监测标识符。并返回开启所有目标监测标识符对应的监测策略进行运行行为监测的步骤。
异常确定模块,用于当任一异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定目标事件存在异常行为检测序列对应的攻击行为。
标识位更新处理包括:
将目标更新标识符与每一目标监测标识符进行匹配。目标更新标识符为当前检测到对应的异常行为的监测策略对应的目标监测标识符。
针对每一目标监测标识符,若匹配成功,则将目标监测标识符对应的生效标识位向后移动一位,将移动后的生效标识位对应的监测标识符作为新的目标监测标识符。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(m/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAmD系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(HAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于标识符的异常检测方法,其特征在于,所述方法包括如下步骤:
获取多个异常行为检测序列H1、H2、…、HD、…、HJ;其中,HD为第D个异常行为检测序列,HD=(HD 1、HD 2、…、HD E、…、HD G(D)),HD E为HD中的第E个监测标识符,每一个监测标识符对应一种异常行为的监测策略;G(D)为HD中监测标识符的总数量,E=1、2、…、G(D);J为异常行为检测序列的总数量,D=1、2、…、J;所述异常行为检测序列包括按顺序依次发起的攻击子行为对应的监测标识符;
将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符;
将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测;
每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理,以更新多个所述目标监测标识符,并返回开启所有目标监测标识符对应的监测策略进行运行行为监测的步骤;
当任一异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定所述目标事件存在所述异常行为检测序列对应的攻击行为;
所述标识位更新处理包括:
将目标更新标识符与每一目标监测标识符进行匹配;所述目标更新标识符为当前检测到对应的异常行为的监测策略对应的目标监测标识符;
针对每一目标监测标识符,若匹配成功,则将目标监测标识符对应的生效标识位向后移动一位,将移动后的生效标识位对应的监测标识符作为新的目标监测标识符。
2.根据权利要求1所述的方法,其特征在于,在将目标更新标识符与每一目标监测标识符进行匹配之后,所述方法还包括:
若匹配不成功,则保持生效标识位处于当前位置,目标监测标识符不发生改变。
3.根据权利要求1所述的方法,其特征在于,在将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符之前,所述方法还包括:
在进行运行行为监测之前,将每一异常行为检测序列中的首个监测标识符对应的位置,设置为每一异常行为检测序列对应的生效标识位。
4.根据权利要求1所述的方法,其特征在于,在将目标事件对应的待测可执行文件在沙箱中运行之前,所述方法还包括:
获取初始可执行文件对应的哈希值;
将所述初始可执行文件对应的哈希值分别与预设哈希值黑名单中的每一哈希值进行匹配;
若匹配成功,则确定所述初始可执行文件为待测可执行文件。
5.根据权利要求4所述的方法,其特征在于,在将所述初始可执行文件对应的哈希值分别与预设哈希值黑名单中的每一哈希值进行匹配之后,所述方法还包括:
若匹配失败,则所述初始可执行文件对应的哈希值分别与预设哈希值白名单中的每一哈希值再次进行匹配;
若所述初始可执行文件对应的哈希值与预设哈希值白名单中所有哈希值都匹配失败,则确定所述初始可执行文件为待测可执行文件。
6.根据权利要求4所述的方法,其特征在于,获取初始可执行文件对应的哈希值,包括:
根据目标事件对应的json日志中事件类型字段的值,获取目标事件的事件类型标识;
根据所述事件类型标识,确定目标事件对应的判定规则集;所述判定规则集包括多个判定规则,每一判定规则包括对应的规则命中路径及判定信息;
根据所述目标事件对应的判定规则集,生成所述目标事件对应的判定值集;所述判定值集中包括多个判定值;
将所述判定值集中的判定值与判定规则的判定信息进行匹配处理;
若判定值与任一判定信息匹配成功,则将所述判定信息所属判定规则对应的预设画像标签,作为所述目标事件的标签信息;
若所述目标事件的事件画像标签属于异常标签类型,则获取所述目标事件的初始可执行文件的哈希值。
7.根据权利要求6所述的方法,其特征在于,所述判定规则还包括预处理函数;所述预处理函数由取值运算符与多个规则命中路径构成;
将所述判定值集中的判定值与判定规则的判定信息进行匹配处理,包括:
将每一规则命中路径作为取值索引,从目标事件对应的json日志中获取对应的初始待判定值;
根据所述预处理函数对多个所述初始待判定值进行预处理,生成所述判定规则对应的一个目标待判定值;
使用判定信息对所述目标待判定值进行判定,生成目标判定值与判定信息的匹配结果。
8.一种基于标识符的异常检测装置,其特征在于,所述装置包括:
序列获取模块,用于获取多个异常行为检测序列H1、H2、…、HD、…、HJ;其中,HD为第D个异常行为检测序列,HD=(HD 1、HD 2、…、HD E、…、HD G(D)),HD E为HD中的第E个监测标识符,每一个监测标识符对应一种异常行为的监测策略;G(D)为HD中监测标识符的总数量,E=1、2、…、G(D);J为异常行为检测序列的总数量,D=1、2、…、J;所述异常行为检测序列包括按顺序依次发起的攻击子行为对应的监测标识符;
生效位生成模块,用于将每一异常行为检测序列中已设置的生效标识位对应的监测标识符,作为每一异常行为检测序列中的目标监测标识符;
运行监测模块,用于将目标事件对应的待测可执行文件在沙箱中运行,并开启所有目标监测标识符对应的监测策略进行运行行为监测;
位更新模块,用于每当任一监测策略检测到对应的异常行为,对每一生效标识位进行标识位更新处理,以更新多个所述目标监测标识符,并返回开启所有目标监测标识符对应的监测策略进行运行行为监测的步骤;
异常确定模块,用于当任一异常行为检测序列中包括的所有监测标识符对应的监测策略均被命中时,确定所述目标事件存在所述异常行为检测序列对应的攻击行为;
所述标识位更新处理包括:
将目标更新标识符与每一目标监测标识符进行匹配;所述目标更新标识符为当前检测到对应的异常行为的监测策略对应的目标监测标识符;
针对每一目标监测标识符,若匹配成功,则将目标监测标识符对应的生效标识位向后移动一位,将移动后的生效标识位对应的监测标识符作为新的目标监测标识符。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种基于标识符的异常检测方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种基于标识符的异常检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311290897.1A CN117034261B (zh) | 2023-10-08 | 2023-10-08 | 一种基于标识符的异常检测方法、装置、介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311290897.1A CN117034261B (zh) | 2023-10-08 | 2023-10-08 | 一种基于标识符的异常检测方法、装置、介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117034261A true CN117034261A (zh) | 2023-11-10 |
CN117034261B CN117034261B (zh) | 2023-12-08 |
Family
ID=88635837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311290897.1A Active CN117034261B (zh) | 2023-10-08 | 2023-10-08 | 一种基于标识符的异常检测方法、装置、介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117034261B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150261955A1 (en) * | 2014-03-17 | 2015-09-17 | Proofpoint, Inc. | Behavior profiling for malware detection |
US20160080417A1 (en) * | 2014-09-14 | 2016-03-17 | Sophos Limited | Labeling computing objects for improved threat detection |
US9542535B1 (en) * | 2008-08-25 | 2017-01-10 | Symantec Corporation | Systems and methods for recognizing behavorial attributes of software in real-time |
CN106778246A (zh) * | 2016-12-01 | 2017-05-31 | 北京奇虎科技有限公司 | 沙箱虚拟化的检测方法及检测装置 |
US20180255084A1 (en) * | 2017-03-02 | 2018-09-06 | Crypteia Networks S.A. | Systems and methods for behavioral cluster-based network threat detection |
US10104100B1 (en) * | 2016-03-03 | 2018-10-16 | Symantec Corporation | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks |
WO2019035120A1 (en) * | 2017-08-14 | 2019-02-21 | Cyberbit Ltd. | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN112114995A (zh) * | 2020-09-29 | 2020-12-22 | 平安普惠企业管理有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
CN116127453A (zh) * | 2022-12-28 | 2023-05-16 | 北京安天网络安全技术有限公司 | 一种apt攻击检测方法、系统、装置、介质及设备 |
-
2023
- 2023-10-08 CN CN202311290897.1A patent/CN117034261B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9542535B1 (en) * | 2008-08-25 | 2017-01-10 | Symantec Corporation | Systems and methods for recognizing behavorial attributes of software in real-time |
US20150261955A1 (en) * | 2014-03-17 | 2015-09-17 | Proofpoint, Inc. | Behavior profiling for malware detection |
US20160080417A1 (en) * | 2014-09-14 | 2016-03-17 | Sophos Limited | Labeling computing objects for improved threat detection |
US10104100B1 (en) * | 2016-03-03 | 2018-10-16 | Symantec Corporation | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks |
CN106778246A (zh) * | 2016-12-01 | 2017-05-31 | 北京奇虎科技有限公司 | 沙箱虚拟化的检测方法及检测装置 |
US20180255084A1 (en) * | 2017-03-02 | 2018-09-06 | Crypteia Networks S.A. | Systems and methods for behavioral cluster-based network threat detection |
WO2019035120A1 (en) * | 2017-08-14 | 2019-02-21 | Cyberbit Ltd. | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN112114995A (zh) * | 2020-09-29 | 2020-12-22 | 平安普惠企业管理有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
CN116127453A (zh) * | 2022-12-28 | 2023-05-16 | 北京安天网络安全技术有限公司 | 一种apt攻击检测方法、系统、装置、介质及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN117034261B (zh) | 2023-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109271782B (zh) | 检测攻击行为的方法、介质、系统和计算设备 | |
EP3488346B1 (en) | Anomaly detection using sequences of system calls | |
EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
EP3455773A1 (en) | Inferential exploit attempt detection | |
CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
CN112749389A (zh) | 一种检测智能合约破坏敏感数据漏洞的检测方法及装置 | |
CN117033146B (zh) | 指定共识合约执行进程的识别方法、装置、设备及介质 | |
CN117034261B (zh) | 一种基于标识符的异常检测方法、装置、介质及电子设备 | |
CN116861430A (zh) | 一种恶意文件检测方法、装置、设备及介质 | |
CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
CN112733015B (zh) | 一种用户行为分析方法、装置、设备及介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN113849813A (zh) | 数据检测方法、装置、电子设备及存储介质 | |
CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
CN117009962B (zh) | 一种基于有效标签的异常检测方法、装置、介质及设备 | |
CN116861428B (zh) | 一种基于关联文件的恶意检测方法、装置、设备及介质 | |
CN116760644B (zh) | 一种终端异常判定方法、系统、存储介质及电子设备 | |
CN117034210B (zh) | 一种事件画像的生成方法、装置、存储介质及电子设备 | |
CN116910756B (zh) | 一种恶意pe文件的检测方法 | |
CN117608765B (zh) | Docker容器的安全加固方法、装置、介质 | |
CN116915506B (zh) | 一种异常流量检测方法、装置、电子设备及存储介质 | |
CN114969759B (zh) | 工业机器人系统的资产安全评估方法、装置、终端及介质 | |
CN115422555B (zh) | 后门程序检测方法、装置、电子设备及存储介质 | |
CN113672910B (zh) | 安全事件处理方法及装置 | |
Pithode et al. | A Study on Log Anomaly Detection using Deep Learning Techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |