CN117332405A - 一种恶意组件监测方法、系统、电子设备及存储介质 - Google Patents
一种恶意组件监测方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117332405A CN117332405A CN202311065079.1A CN202311065079A CN117332405A CN 117332405 A CN117332405 A CN 117332405A CN 202311065079 A CN202311065079 A CN 202311065079A CN 117332405 A CN117332405 A CN 117332405A
- Authority
- CN
- China
- Prior art keywords
- component
- components
- malicious
- abnormal
- author
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000002159 abnormal effect Effects 0.000 claims abstract description 95
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 238000012217 deletion Methods 0.000 claims description 27
- 230000037430 deletion Effects 0.000 claims description 27
- 230000003068 static effect Effects 0.000 claims description 18
- 238000004088 simulation Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 9
- 239000006185 dispersion Substances 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 4
- 239000003550 marker Substances 0.000 claims description 2
- 238000004140 cleaning Methods 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 206010000117 Abnormal behaviour Diseases 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 3
- 241001178520 Stomatepia mongo Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000008451 emotion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000001303 quality assessment method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及网络安全技术领域,揭露了一种恶意组件监测方法、系统、电子设备以及存储介质,具体实现方案为:根据预先采集的组件信息标记出开源组件中的异常组件,识别出所述异常组件中的恶意组件,对所述恶意组件进行溯源,根据溯源的结果生成所述恶意组件的监测报告。通过本申请实施的组件检索、组件清洗和组件分析,可以提高恶意组件的监测效率,进而提高网络的安全性和可靠性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种恶意组件监测方法、系统、电子设备及存储介质。
背景技术
开源组件在软件开发过程中扮演着至关重要的角色,但它们也引发了一些安全和隐私问题,部分开发者利用开源组件的行为,在开源组件库中恶意上报存在漏洞的组件,这些恶意组件通常会在代码中插入恶意代码、进行数据窃取、进行加密货币挖掘或者其他一些恶意行为。
开源组件库中包含了大量的组件和代码,目前的监测机制还存在一些不足之处,例如缺乏全面的恶意代码库、规则不够完善、监测算法不够准确等。这些问题导致监测效率降低,无法及时发现和阻止恶意组件的发布,因此如何提升恶意组件监测的监测效率,成为了亟待解决的问题。
发明内容
本申请提供一种恶意组件监测方法、系统、电子设备及存储介质,其主要目的在于解决恶意组件监测时效率较低的问题。
为实现上述目的,本申请提供的一种恶意组件监测方法,包括:根据预先采集的组件信息标记出开源组件中的异常组件;识别出所述异常组件中的恶意组件;对所述恶意组件进行溯源,根据溯源的结果生成所述恶意组件的监测报告。
本申请还提供了一种恶意组件监测系统,其特征在于,所述系统包括:异常组件标记模块,用于根据预先采集的组件信息标记出开源组件中的异常组件;恶意组件识别模块,用于识别出所述异常组件中的恶意组件;监测报告生成模块,用于对所述恶意组件进行溯源,根据溯源的结果生成所述恶意组件的监测报告。
本申请还提供了一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行所述恶意组件监测方法。
本申请还提供了一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现所述恶意组件监测方法。
基于本发明所提供的上述方案,通过从各大开源软件平台定时检索所有组件,验证大批量删除下架组件等异常行为,并分析这种异常行为背后潜藏的恶意软件风险,识别出所述异常组件中的恶意组件,通过定时检索所有组件,可以及时发现恶意组件,减少恶意软件的风险,同时,可以发现和防止恶意软件传播,提高网络安全性,因此本申请提出恶意组件监测方法、系统、电子设备及存储介质,可以解决恶意组件监测的效率较低的问题。
附图说明
图1为本申请一实施例提供的恶意组件监测方法的流程示意图;
图2为本申请一实施例提供的恶意组件监测系统的功能模块图;
图3为本申请一实施例提供的实现所述恶意组件监测方法的电子设备的结构示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
开源组件在软件开发过程中扮演着至关重要的角色,但它们也引发了一些安全和隐私问题。部分开发者利用开源组件的行为,在开源组件库中恶意上报存在漏洞的组件。
目前,npmjs、pypi上的恶意组件和攻击已经成为了一种越来越频繁的现象,特别是在JavaScript程序员的使用场景中更加普遍。这些恶意组件通常会在代码中插入恶意代码、进行数据窃取、进行加密货币挖掘或者其他一些恶意行为,存在较大的网络安全风险。
为了解决开源组件引发的一些安全和隐私问题,本申请一实施例提供了一种恶意组件监测方法,从各大开源软件平台定时检索所有组件,验证大批量删除下架组件等异常行为,并分析这种异常行为背后潜藏的恶意软件风险。
参照图1所示,为本申请一实施例提供的恶意组件监测方法的流程示意图。在本实施例中,所述恶意组件监测方法包括:
S1、根据预先采集的组件信息标记出开源组件中的异常组件。
在本申请实施例中,预先采集的组件信息包括但不限于:组件名称、项目名称、版本号、组件作者以及源码包等;可以从开源组件网站收集开源组件的组件信息,其中,开源组件网站可以是pypi.org、www.npmjs.com等,www.npmjs.com网站主要用于存储和分发JavaScript的软件包,pypi.org网站主要用于存储和分发Python的软件包;开源组件可以是pypi和npm等组件,pypi(Python Package Index)组件是一个开源的软件包仓库,用于存储和分发Python的代码模块,npm(Node Package Manager)是JavaScript语言的包管理工具,用于安装、管理和共享代码模块。
进一步,假设预先采集的组件信息是关于pypi组件的,可以以pypi组件中的requests库为例,采集到的组件信息为:组件名称(Name):requests、版本号(Version):2.26.0、作者(Author):A、源码包(Source Code):https://pypi.org/project/requests/等;假设预先采集的组件信息是关于npm组件的,可以以npm组件中的express库为例,采集到的组件信息为:组件名称(Name):express、版本号(Version):4.17.1、作者(Author):B以及源码包(Source Code):https://www.npmjs.com/package/express等。
进一步地,预先采集的组件信息可先存入mongo中,mongo是一个开源的面向文档的NoSQL(Not Only SQL)数据库,它以JSON(JavaScript Object Notation)风格的文档形式存储数据,使用灵活的模式,能够轻松存储和处理不同类型、不同结构的数据,其中,JSON是一种轻量级的数据交换格式,常用于表示结构化数据,采用了类似于JavaScript对象的语法,可以表示简单值(如字符串、数字、布尔值)、复合值(如对象和数组)和空值。
在本申请实施例中,根据预先采集的组件信息标记出开源组件中的异常组件,包括:根据预先采集的组件信息内的时间标签对组件信息进行信息比对,根据信息比对的结果筛选出开源组件中的删除组件;根据删除组件所对应的组件作者生成删除组件的状态指示数值,并根据状态指示数值对删除组件内的异常组件进行标记。
详细地,根据预先采集的组件信息标记出开源组件中的异常组件是指根据预先采集的组件信息从MongoDB获取所有组件信息,然后通过比对时间标签或其他指定规则,筛选出删除组件,接下来,根据删除组件所对应的组件作者生成状态指示数值,并使用这个数值来标记异常组件。
详细地,使用预先采集的组件信息中的时间标签,对当前采集到的组件信息进行比对可以是将当前采集到的组件和版本信息与上个周期进行比较,例如:以一天为一个周期,也可以以一小时为一个周期,通过比对,筛选出开源组件中的删除组件,即与上个周期相比在当前周期中不存在的组件。
详细地,针对所筛选出的删除组件,生成相应的状态指示数值可以通过计算删除组件所对应的组件作者在当前周期内的组件数量,以及该作者过去周期内的组件数量来完成,如果删除组件所对应的作者的组件数量明显下降(例如低于当前作者组件数量的一半),则可以将该删除组件标记为异常组件;也可以
详细地,根据删除组件所对应的组件作者生成删除组件的状态指示数值,并根据状态指示数值对删除组件内的异常组件进行标记,包括:统计删除组件的作者删除组件数,根据删除组件的删除组件总数和作者删除组件数生成删除组件的作者离散度;当作者离散度大于预设的离散阈值时,对作者离散度对应的组件作者进行作者标记,得到组件作者的标记作者,根据标记作者确定删除组件中的异常组件。
详细地,假设在此周期内,共删除了1000个组件,其中,组件作者为a的删除了600个组件,组件作者为b的删除了200个组件,而其余组件的作者删除的组件比较分散,现在我们来计算每个作者的删除组件数占总删除组件数的比例,以确定删除组件的作者离散度:
作者a的删除组件占比:600/1000=0.6;
作者b的删除组件占比:200/1000=0.2。
接下来,本实施例需要设置离散阈值,假设本实施例将离散阈值设为0.3,即当作者的删除组件占比超过30%时,被认为是可疑作者,根据计算结果:作者a的删除组件占比(0.6)超过了离散阈值(0.3),因此作者a被标记为可疑作者,同时,会对作者a的组件进行标记。
详细地,根据删除组件所对应的组件作者生成删除组件的状态指示数值,并根据状态指示数值对删除组件内的异常组件进行标记,包括:逐个确定每个删除组件的组件作者,根据组件作者统计开源组件中组件作者所对应的作者开源组件数;根据作者开源组件数和删除组件生成组件作者的删除比值,当删除比值大于预设的比例阈值时,对删除比值所对应的组件作者进行作者标记,得到所述组件作者的标记作者;根据所述标记作者确定所述开源组件中的异常组件。
详细地,假设在某个周期采集到了以下组件信息:组件1:作者A、组件2:作者B、组件3:作者A、组件4:作者C以及组件5:作者B,对于删除的组件,逐个确定每个删除组件的组件作者,在这个例子中,假设我们检测到有2个组件被删除,分别是组件2和组件4,统计开源组件中每个组件作者的作者开源组件数,其中,组件作者A拥有2个开源组件(组件1和组件3)、组件作者B拥有2个开源组件(组件2和组件5)以及组件作者C拥有1个开源组件(组件4),根据作者开源组件数和删除组件的数量生成组件作者的删除比值,其中,组件作者A的删除比值为0/2=0,组件作者B的删除比值为1/2=0.5,以及组件作者C的删除比值为1/1=1,如果删除比值大于预设的比例阈值,则标记该组件作者为可疑组件,假设我们的预设比例阈值为0.5,根据阈值判断组件作者C的删除比值都大于0.5,因此将组件作者C标记为标记作者,组件作者C对应的开源组件4为异常组件。
S2、识别出异常组件中的恶意组件。
在本申请实施例中,识别出异常组件中的恶意组件,包括:利用预设的静态分析工具对异常组件的组件代码进行静态扫描,得到异常组件中的恶意组件。
详细地,预设的静态分析工具可以是本领域习知的代码静态扫描工具,例如,可以是SAT(Static Analysis Tool)、PME(Program Modeling and Analysis Environment)等工具,预设的静态分析工具仅仅是为了说明方案的可实施性而进行的示例性举例,并不限定本方案必须采用预设的静态分析工具。
详细地,SAT是一种静态代码分析工具,它可以对代码进行静态扫描,检测出潜在的安全漏洞、软件缺陷以及潜在的恶意代码,SAT通过对代码进行语法分析、语义分析和模式匹配等技术手段,来识别出代码中可能存在的问题,它可以帮助开发人员在早期阶段发现和修复代码中的潜在问题,从而提高软件的质量和安全性。
详细地,PME是另一种常用的静态代码分析工具,它提供了一套强大的模型构建和代码分析功能,可以用于软件的质量评估、漏洞检测和安全分析等方面,PME主要通过对程序的代码进行建模,并进行静态分析来检测潜在的问题,它可以识别出代码中的逻辑错误、数据流问题、资源泄漏、不当的API使用等,帮助开发人员发现并修复潜在的安全漏洞和软件缺陷。
详细地,利用预设的静态分析工具对异常组件的组件代码进行静态扫描是指将异常组件的组件代码输入到预设的静态分析工具中,静态分析工具会对代码进行语法分析、代码流分析、模式匹配等技术来检查潜在的问题,在分析过程中,静态分析工具会识别出可能存在的恶意组件,这些组件可能包含恶意代码或已知漏洞,最终,静态分析工具会生成报告或输出结果,其中包括异常组件中的恶意组件列表或相关信息。
在本申请实施例中,识别出异常组件中的恶意组件,包括:构建异常组件的模拟环境;在配置完成的模拟环境中进行异常组件的组件部署,得到部署完成的模拟环境;获取部署完成的模拟环境中的异常组件的运行数据,根据运行数据确定异常组件中的恶意组件。
详细地,模拟环境是一个类似于实际生产环境的虚拟环境,可以提供给异常组件运行所需的依赖和资源,将异常组件正确地部署到模拟环境中,以确保其能够正常运行。
详细地,在配置完成的模拟环境中进行异常组件的组件部署是指将异常组件按照预定配置部署到模拟环境中,确保其能够正确地运行,这一步包括设置组件所需的参数、连接数据库或其他资源,并确保组件与其他系统相互通信正常。
详细地,获取部署完成的模拟环境中的异常组件的运行数据是指监视异常组件在模拟环境中的运行状态,并记录其产生的运行数据,这些数据可以包括组件的日志、网络通信记录、文件访问情况等。
详细地,根据运行数据确定异常组件中的恶意组件是指通过分析所获取的运行数据,可以识别出异常组件中存在的恶意组件,例如:观察异常组件的不正常行为、异常代码执行路径等特征,从而确定哪些部分是属于投毒行为。
在本申请实施例中,识别出异常组件中的恶意组件,包括:确定异常组件所对应的作者标签,根据作者标签筛选出预先获取的社区信息中的目标信息;根据目标信息生成作者标签的标签权重;根据标签权重和异常组件的组件文件生成异常组件的异常值,根据异常值识别出异常组件中的恶意组件。
详细地,确定异常组件所对应的作者标签是指从异常组件的元数据中获取作者信息或者作者ID,根据作者信息或ID查找相关的作者标签,这些作者标签可以是社区已有的、与作者相关的标签,用于描述作者的特征和背景。
详细地,预先获取的社区信息包括但不限于:社区论坛、邮件列表、社交媒体等地方的讨论、评论和反馈等,根据作者标签筛选出跟异常组件作者相关的社区信息,包括讨论、评论、问题报告等。
详细地,根据目标信息生成作者标签的标签权重是指对筛选出的目标信息进行文本分析,识别其中的关键词、主题或情感倾向,根据关键词、主题或情感倾向的出现频率、重要程度等因素,为每个作者标签赋予一个权重值,这些权重值可以反映目标信息对应标签的相关程度和影响力。
详细地,根据标签权重和异常组件的组件文件生成异常组件的异常值,根据异常值识别出异常组件中的恶意组件是指先分析异常组件的组件文件内容,提取特征、属性等信息,再根据标签权重,将异常组件的特征与作者标签相关的权重进行加权组合,生成一个综合的异常值,这个异常值可以反映出异常组件与恶意组件之间的关联程度,设定一个阈值来判断异常值的高低,超过阈值的异常值可以认为是恶意组件。
S3、对恶意组件进行溯源,根据溯源的结果生成恶意组件的监测报告。
在本申请实施例中,对恶意组件进行溯源,根据溯源的结果生成恶意组件的监测报告,包括:生成恶意组件的组件标签,根据组件标签生成恶意组件的组件使用者;根据组件使用者和组件标签生成恶意组件的监测报告。
详细地,利用生成的恶意组件的组件标签检测所有使用这些恶意组件的用户,对于检测到的组件使用者通过邮件发送提醒,指出这些组件已经被确定为恶意组件,建议采取相应的处理措施,例如立即停止使用组件、升级组件到最新版本、删除组件等。
如图2所示,是本申请一实施例提供的恶意组件监测系统的功能模块图。
本申请恶意组件监测系统200可以安装于电子设备中。根据实现的功能,恶意组件监测系统200可以包括异常组件标记模块201、恶意组件识别模块202及监测报告生成模块203。本申请模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
异常组件标记模块201,用于根据预先采集的组件信息标记出开源组件中的异常组件;
恶意组件识别模块202,用于识别出异常组件中的恶意组件;
监测报告生成模块203,用于对恶意组件进行溯源,根据溯源的结果生成恶意组件的监测报告。
基于本申请上述技术方案的实施,从各大开源软件平台定时检索所有组件,验证大批量删除下架组件等异常行为,并分析这种异常行为背后潜藏的恶意软件风险。通过定时检索所有组件,可以及时发现恶意组件,减少恶意组件带来的网络安全风险。同时,可以及时发现和防止恶意组件的传播,提高网络安全性。
如图3所示,是本申请一实施例提供的实现恶意组件监测方法的电子设备的结构示意图。
电子设备可以包括处理器31、存储器32、通信总线33以及通信接口34,还可以包括存储在存储器32中并可在处理器31上运行的计算机程序,如恶意组件监测程序。
其中,处理器31在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing Unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器31是电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在存储器32内的程序或者模块(例如执行恶意组件监测程序等),以及调用存储在存储器32内的数据,以执行电子设备的各种功能和处理数据。
存储器32至少包括一种类型的存储介质,存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器32在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。存储器32在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,存储器32还可以既包括电子设备的内部存储单元也包括外部存储设备。存储器32不仅可以用于存储安装于电子设备的应用软件及各类数据,例如恶意组件监测程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
通信总线33可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。总线被设置为实现存储器32以及至少一个处理器31等之间的连接通信。
通信接口34用于上述电子设备与其他电子设备之间的通信,包括网络接口和用户接口。可选地,网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图中仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图中示出的结构并不构成对电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理系统与至少一个处理器31逻辑相连,从而通过电源管理系统实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
具体地,处理器31对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
进一步地,电子设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。存储介质可以是易失性的,也可以是非易失性的。例如,存储介质可以包括:能够携带计算机程序代码的任何实体或系统、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
在本申请所提供的几个实施例中,应该理解到,所揭露的电子设备,系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或系统也可以由一个单元或系统通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本申请的技术方案而非限制,尽管参照较佳实施例对本申请进行了详细说明,本领域的普通技术人员应当理解,可以对本申请的技术方案进行修改或等同替换,而不脱离本申请技术方案的精神和范围。
Claims (10)
1.一种恶意组件监测方法,其特征在于,所述方法包括:
根据预先采集的组件信息标记出开源组件中的异常组件;
识别出所述异常组件中的恶意组件;
对所述恶意组件进行溯源,根据溯源的结果生成所述恶意组件的监测报告。
2.如权利要求1所述的恶意组件监测方法,其特征在于,所述根据预先采集的组件信息标记出开源组件中的异常组件,包括:
根据预先采集的组件信息内的时间标签对所述组件信息进行信息比对,根据信息比对的结果筛选出所述开源组件中的删除组件;
根据所述删除组件所对应的组件作者生成所述删除组件的状态指示数值,并根据所述状态指示数值对所述删除组件内的异常组件进行标记。
3.如权利要求2所述的恶意组件监测方法,其特征在于,所述根据所述删除组件所对应的组件作者生成所述删除组件的状态指示数值,并根据所述状态指示数值对所述删除组件内的异常组件进行标记,包括:
统计所述删除组件的作者删除组件数,根据所述删除组件的删除组件总数和所述作者删除组件数生成所述删除组件的作者离散度;
当所述作者离散度大于预设的离散阈值时,对所述作者离散度对应的组件作者进行作者标记,得到所述组件作者的标记作者,根据所述标记作者确定所述开源组件中的异常组件。
4.如权利要求2所述的恶意组件监测方法,其特征在于,所述根据所述删除组件所对应的组件作者生成所述删除组件的状态指示数值,并根据所述状态指示数值对所述删除组件内的异常组件进行标记,包括:
逐个确定每个所述删除组件的组件作者,根据所述组件作者统计所述开源组件中所述组件作者所对应的作者开源组件数;
根据所述作者开源组件数和所述删除组件生成所述组件作者的删除比值,当所述删除比值大于预设的比例阈值时,对所述删除比值所对应的组件作者进行作者标记,得到所述组件作者的标记作者;
根据所述标记作者确定所述删除组件中的异常组件。
5.如权利要求1所述的恶意组件监测方法,其特征在于,所述识别出所述异常组件中的恶意组件,包括:
利用预设的静态分析工具对所述异常组件的组件代码进行静态扫描,得到所述异常组件中的恶意组件。
6.如权利要求1所述的恶意组件监测方法,其特征在于,所述识别出所述异常组件中的恶意组件,包括:
构建所述异常组件的模拟环境;
在所述配置完成的模拟环境中进行所述异常组件的组件部署,得到部署完成的模拟环境;
获取所述部署完成的模拟环境中的异常组件的运行数据,根据所述运行数据确定所述异常组件中的恶意组件。
7.如权利要求1所述的恶意组件监测方法,其特征在于,所述识别出所述异常组件中的恶意组件,包括:
确定所述异常组件所对应的作者标签,根据所述作者标签筛选出所述预先获取的社区信息中的目标信息;
根据所述目标信息生成所述作者标签的标签权重;
根据所述标签权重和所述异常组件的组件文件生成所述异常组件的异常值,根据所述异常值识别出所述异常组件中的恶意组件。
8.一种恶意组件监测系统,其特征在于,所述系统包括:
异常组件标记模块,用于根据预先采集的组件信息标记出开源组件中的异常组件;
恶意组件识别模块,用于识别出所述异常组件中的恶意组件;
监测报告生成模块,用于对所述恶意组件进行溯源,根据溯源的结果生成所述恶意组件的监测报告。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的恶意组件监测方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的恶意组件监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311065079.1A CN117332405A (zh) | 2023-08-22 | 2023-08-22 | 一种恶意组件监测方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311065079.1A CN117332405A (zh) | 2023-08-22 | 2023-08-22 | 一种恶意组件监测方法、系统、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117332405A true CN117332405A (zh) | 2024-01-02 |
Family
ID=89292195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311065079.1A Pending CN117332405A (zh) | 2023-08-22 | 2023-08-22 | 一种恶意组件监测方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117332405A (zh) |
-
2023
- 2023-08-22 CN CN202311065079.1A patent/CN117332405A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9087120B2 (en) | Development tooling enablement for audit event generation | |
| US11061756B2 (en) | Enabling symptom verification | |
| CN108563445B (zh) | 应用程序代码检测方法及服务器 | |
| CN105550594A (zh) | 安卓应用文件的安全性检测方法 | |
| US20230289444A1 (en) | Data traffic characterization prioritization | |
| CN112380533A (zh) | 一种计算机终端安全基线核查方法 | |
| CN111831708A (zh) | 基于缺失数据的样本分析方法、装置、电子设备及介质 | |
| CN113051171A (zh) | 接口测试方法、装置、设备及存储介质 | |
| CN115640578A (zh) | 应用程序的漏洞可达性分析方法、装置、设备及介质 | |
| CN110471912B (zh) | 一种员工属性信息校验方法、装置及终端设备 | |
| CN115081016A (zh) | 日志脱敏方法、装置、电子设备及存储介质 | |
| CN110287700A (zh) | 一种iOS应用安全分析方法及装置 | |
| CN113434542A (zh) | 数据关系识别方法、装置、电子设备及存储介质 | |
| CN116881925B (zh) | 基于需求分析的系统安全测试方法及系统 | |
| CN112579475A (zh) | 代码测试方法、装置、设备及可读存储介质 | |
| CN117272310A (zh) | 一种组件和漏洞可达性分析方法、装置、设备及存储介质 | |
| CN114741700B (zh) | 基于符号化污点分析的公共组件库漏洞可利用性分析方法及装置 | |
| KR20220117187A (ko) | 보안 규제 준수 자동화 장치 | |
| CN117332405A (zh) | 一种恶意组件监测方法、系统、电子设备及存储介质 | |
| CN117372047B (zh) | 基于ldpc纠错算法实现电子产品的数据回溯方法及系统 | |
| CN118502732B (zh) | 字节码程序的分析方法、装置、设备和介质 | |
| CN116881924B (zh) | 一种基于数据监控的软件漏洞追踪方法及系统 | |
| CN117575534A (zh) | 一种rfid智慧管理运营平台系统、方法、设备及存储介质 | |
| CN117932613A (zh) | 一种代码溯源分析漏洞影响范围的方法、装置及电子设备 | |
| CN116108453A (zh) | 逻辑漏洞检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |