CN118051322A - 虚拟资产获取行为的处理方法、装置、设备、介质和程序 - Google Patents
虚拟资产获取行为的处理方法、装置、设备、介质和程序 Download PDFInfo
- Publication number
- CN118051322A CN118051322A CN202211441159.8A CN202211441159A CN118051322A CN 118051322 A CN118051322 A CN 118051322A CN 202211441159 A CN202211441159 A CN 202211441159A CN 118051322 A CN118051322 A CN 118051322A
- Authority
- CN
- China
- Prior art keywords
- virtual asset
- asset acquisition
- processing
- module
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title abstract description 8
- 238000012545 processing Methods 0.000 claims abstract description 290
- 230000006399 behavior Effects 0.000 claims abstract description 223
- 238000000034 method Methods 0.000 claims abstract description 112
- 238000012544 monitoring process Methods 0.000 claims abstract description 94
- 230000008569 process Effects 0.000 claims abstract description 51
- 238000012806 monitoring device Methods 0.000 claims abstract description 50
- 230000000903 blocking effect Effects 0.000 claims description 48
- 238000004590 computer program Methods 0.000 claims description 23
- 238000012790 confirmation Methods 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 18
- 238000003860 storage Methods 0.000 claims description 10
- 238000004519 manufacturing process Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 28
- 238000013473 artificial intelligence Methods 0.000 abstract description 11
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 238000007726 management method Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 239000000306 component Substances 0.000 description 6
- 238000011161 development Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000012384 transportation and delivery Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000001364 causal effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000012805 post-processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 239000003826 tablet Substances 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供一种虚拟资产获取行为的处理方法、装置、设备、介质和程序,本申请实施例涉及人工智能技术中的云安全技术,该虚拟资产获取行为处理方法包括:处理设备接收监测设备发送的虚拟资产获取事件信息,采用虚拟资产获取行为处理流程,对虚拟资产获取事件信息进行处理,其中,该虚拟资产获取行为处理流程是处理设备采用无代码技术对预设的多个任务模块进行组合生成的,每个任务模块用于对虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作。大量的监测设备可以同步进行监测虚拟资产获取行为并上报给处理设备,由处理设备统一对虚拟资产获取行为进行处理,提高了虚拟资产获取行为的监测和处理效率。
Description
技术领域
本申请实施例涉及人工智能(Artificial Intelligence,AI)领域,尤其涉及一种虚拟资产获取行为的处理方法、装置、设备、介质和程序。
背景技术
随着网络技术的发展,虚拟资产持续火爆,网络中出现了很多对虚拟资产进行获取的行为,这些获取行为可能会通过木马、蠕虫入侵服务器,盗取服务器资源进行虚拟资产获取。如何快速精准发现网络中存在的虚拟资产获取行为,成为网络运营非常重要的一个指标。
最近几年云计算技术不断发展和普及,越来越多的企业采用云平台来部署其服务,通过盗用云主机或云服务器的云资源进行虚拟资产获取行为给云服务业务的安全性带来了隐患。
但是,现有对虚拟资产获取行为进行检测和处理的效率低。
发明内容
本申请实施例提供一种虚拟资产获取行为的处理方法、装置、设备、介质和程序,能够高效的对虚拟资产获取行为进行监测和处理。
第一方面,本申请实施例提供一种虚拟资产获取行为处理方法,所述方法包括:接收监测设备发送的虚拟资产获取事件信息,所述虚拟资产获取事件信息是对所述监测设备进行虚拟资产获取行为监测生成的,所述虚拟资产获取行为通过以下信息中的一种或者多种检测得到:所述监测设备的中央处理器CPU使用率、内存使用率或者网络访问信息;采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理,其中,所述虚拟资产获取行为处理流程是采用预设的多个任务模块进行组合生成的,每个任务模块用于对所述虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,所述多个任务模块执行的处理操作包括对所述虚拟资产获取行为的阻断处理,所述阻断处理包括以下处理中的一种或者多种:阻断所述监测设备的网络访问行为、制作所述监测设备的镜像或者控制所述监测设备关机。
第二方面,本申请实施例提供一种虚拟资产获取行为的处理装置,所述装置包括:接收模块,用于接收监测设备发送的虚拟资产获取事件信息,所述虚拟资产获取事件信息是对所述监测设备进行虚拟资产获取行为监测生成的,所述虚拟资产获取行为通过以下信息中的一种或者多种检测得到:所述监测设备的中央处理器CPU使用率、内存使用率或者网络访问信息;处理模块,用于采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理,其中,所述虚拟资产获取行为处理流程是采用预设的多个任务模块进行组合生成的,每个任务模块用于对所述虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,所述多个任务模块执行的处理操作包括对所述虚拟资产获取行为的阻断处理,所述阻断处理包括以下处理中的一种或者多种:阻断所述监测设备的网络访问行为、制作所述监测设备的镜像或者控制所述监测设备关机。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括:处理器和存储器,所述存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,以执行如上述第一方面或各实现方式所述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序使得计算机执行如上述第一方面或各实现方式所述的方法。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述第一方面或各实现方式的方法。
通过本申请实施例提供的技术方案,处理设备接收监测设备发送的虚拟资产获取事件信息,该虚拟资产获取事件信息是对监测设备进行虚拟资产获取行为监测生成的,采用虚拟资产获取行为处理流程,对虚拟资产获取事件信息进行处理,其中,该虚拟资产获取行为处理流程是处理设备采用无代码技术对预设的多个任务模块进行组合生成的,每个任务模块用于对虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,多个任务模块执行的处理操作包括对虚拟资产获取行为的阻断处理。大量的监测设备可以同步进行监测虚拟资产获取行为并上报给处理设备,由处理设备统一对虚拟资产获取行为进行处理,提高了虚拟资产获取行为的监测和处理效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例适用的虚拟资产获取行为处理系统的示意图;
图2是本申请实施例一提供的虚拟资产获取行为处理方法的流程图;
图3为本发明实施例二提供的虚拟资产获取行为处理流程的生成方法的流程图;
图4为生成虚拟资产获取行为处理流程的多个任务模块的示意图;
图5为审批模块生成的审批信息的一种展示示意图;
图6为审批模块的工作流程的示意图;
图7为本发明实施例三提供的虚拟资产获取行为处理方法的流程图;
图8为本申请实施例四提供的虚拟资产获取行为处理装置的结构示意图;
图9为本申请实施例五提供的处理设备的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
可以理解的是,在本申请的具体实施方式中,涉及到用户信息等相关的数据,当本申请以上实施例运用到具体产品或技术中时,需要获得用户许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本申请涉及人工智能技术,其中,人工智能是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
人工智能技术是一门综合学科,涉及领域广泛,既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
为了便于理解本申请实施例,在描述本申请各个实施例之前,首先对本申请所有实施例中所涉及到的一些概念进行适当的阐述。
虚拟资产获取行为,是一种利用计算机的算力计算出区块链虚拟资产的位置并获取的过程,虚拟资产可以是数字资产。
虚拟资产获取病毒:攻击者通过各种手段将虚拟资产获取病毒对应的程序植入用户的计算机中,在用户不知情的情况下利用其计算机的算力进行虚拟资产获取,从而获取利益,这类非法植入用户计算机的恶意程序就是虚拟资产获取病毒。
虚拟资产池:由于虚拟资产全网的运算水准在不断的呈指数级别上涨,单个设备或少量的算力都无法在区块链网络上获取到区块奖励。在全网算力提升到了一定程度后,过低的获取奖励的概率,促使一些个人开发出一种可以将少量算力合并联合运作的方法,使用这种方式建立的网站便被称作虚拟资产池。在此机制中,不论个人所能使用的运算力多寡,只要是通过加入虚拟资产池来参与虚拟资产获取活动,无论是否有成功挖掘出有效资料块,皆可经由对虚拟资产池的贡献来获得奖励,亦即多人合作获取虚拟资产,获得的奖励也由多人依照贡献度分享。
虚拟资产的非法获取行为已经严重威胁互联网网络安全,随着云技术的发展,虚拟资产的云获取兴起,云获取是指通过盗用云主机或者云服务器的云资源进行虚拟资产获取的行为,云获取严重危害云业务的安全性,因此,亟需对虚拟资产获取行为进行检测和处理。
无代码:使用者无需理解代码或手写代码,只需通过可视化组件拖拽方式,就能搭建企业系统的一种软件开发方式。
无代码技术由无代码工作流平台来实现和承载,无代码工作流平台采用了一种应用能力模块化拆解的技术,首先根据具体的流程步骤,将任务模块进行可视化拖拽构建,串联组合,再通过图形化配置的方式设置具体的工作方式,最后按图运算算法依次执行所有的任务模块,从而达到自动化运行的效果。
任务模块,也称为应用模块,抽象了某些常用的功能或接口服务的模块,实现用户功能时候使用者只需要通过图形化配置即可,不需要从编写代码开始。
无代码工作流平台的核心组件分为两部分,无代码编辑器和工作流引擎:
(1)无代码编辑器:通过对任务模块进行拖拽和连线的方式完成处理流程的编排,无需大量的开发人员投入即可快速构建处理流程。同时采用配置式编码:通过图形界面的配置来实现功能逻辑,降低使用成本,非专业代码开发人员也可以进行开发。
(2)工作流引擎:根据功能模块化拆解的思想,常用的功能逻辑抽象成通用的任务模块,将程序运行主体和配置分离,保证在不同的应用场景下,在主体功能逻辑稳定不变的情况下可以支持配置的灵活变动。
图1为本申请实施例适用的虚拟资产获取行为处理系统的示意图,如图1所示,该系统包括:监测设备110和处理设备120,监测设备110和处理设备120之间通过通信网络连接,其中,该通信网络可以是有线网络,也可以是无线网络,在此不进行限定。可以理解,系统中还可以包括更多的监测设备和处理设备,这里只是示例说明。
监测设备110用于监测本机是否存在虚拟资产获取行为,监测设备110上部署有监测模块,监测模块以后台进程的形式在监测设备的内存中运行,实时或者周期性监测设备上的虚拟资产获取行为。当监测到可疑的虚拟资产获取行为时,生成虚拟资产获取事件信息,并上报给处理设备120。
监测设备110可以是终端、服务器等。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、车载终端、智能电视等,但并不局限于此。终端可以是云租户主机,也可以是非云租户使用的设备。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云安全、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
处理设备120用于接收监测设备110发送的虚拟资产获取事件信息,采用虚拟资产获取行为处理流程对虚拟资产获取行为进行响应处理,对虚拟资产获取行为的响应处理包括但不限于虚拟资产获取行为的审核、审批、阻断处理等。其中,该虚拟资产获取行为处理流程是采用无代码技术生成的,具体的,采用预设的多个任务模块进行组合生成,处理设备120上运行有无代码工作流平台,通过无代码工作流平台搭建虚拟资产获取行为处理流程。
处理设备120可以是服务器、平板电脑、台式电脑、便携式笔记本电脑等多种形式的设备。
在介绍了本申请实施例涉及到的一些概念之后,下面结合附图对本申请实施例提供的一种虚拟资产获取行为处理方法进行具体说明。
图2是本申请实施例一提供的虚拟资产获取行为处理方法的流程图。本实施例以该方法由图1所示的处理设备执行,如图2所示,本实施例的方法包括以下步骤。
S201、接收监测设备发送的虚拟资产获取事件信息,该虚拟资产获取事件信息是对监测设备进行虚拟资产获取行为监测生成的。
监测设备上部署有监测模块,监测模块以后台进程的形式在监测设备的内存中运行,实时或者周期性监测设备上的虚拟资产获取行为。
可选的,在监测设备上安装监测模块后,设定一个周期性任务,用于确定监测模块是否存活,例如设定一个crontab任务,每隔30秒探测一次监测模块是否存活,如果因为意外导致监测模块程序奔溃,则重新启动监测模块,从而能够保证监测模块对虚拟资产获取行为的长时间持续监测。
示例性的,监测设备可以通过监测设备的中央处理器(central processingunit,CPU)使用率、内存使用率或者网络访问信息中一种或者多种检测是否发生虚拟资产获取行为,相应的,通过以下三种检测方法中的任意一种或者任意结合方法监测是否发生虚拟资产获取行为:
(1)中央处理器使用率检测法
虚拟资产获取行为需要消耗系统的运算资源,进行大量运算,从而获利,而所有的运算都必须要通过CPU来完成,因此存在虚拟资产获取行为的设备的CPU使用率会远高于正常情况。所以,可以通过监测设备的CPU运行状态,识别CPU使用率超过阈值(例如70%)的进程,将进程代码进行哈希(HASH)运算,得到可疑进程的HASH特征。
(2)内存使用率检测法
虚拟资产获取行为需要消耗系统的运算资源,进行大量运算,从而获利,而所有的运算的数据存储都必须使用内存资源,因此存在虚拟资产获取行为的设备的内存使用率会远高于正常情况。所以,可以通过监测内存的工作状态,识别内存使用率超过阈值(例如70%)的进程,将进程代码进行HASH运算,得到可疑进程的HASH特征。
(3)网络访问行为检测法
监测设备在进行虚拟资产获取时需要通过网络访问与其他设备进行通信,例如,访问虚拟资产池来协调虚拟资产获取进度及成果,虚拟资产池IP地址往往是动态变化的,但是访问的域名通常是稳定的。因此对特殊域名的网络访问行为是虚拟资产获取行为的一个关键特征。所以,可以通过监测系统网络访问行为,尤其是由内向外方向的流量,识别访问包含特殊域名(例如“pool”关键域名)的进程,将进程代码进行HASH运算,得到可疑进程的HASH特征。可以理解,网络访问行为不限于对特殊域名的访问,还包括对特定IP地址或者特定端口的访问。
通过上述虚拟资产获取行为的检测方法发现疑似虚拟资产获取行为之后,需要将疑似的行为信息进行整理,发送给处理设备进行分析和处理。
示例性的,虚拟资产获取事件信息的标准化事件格式如下:
(1)发生时间:发现疑似虚拟资产获取行为的时间。
(2)监测设备的IP:发现疑似虚拟资产获取行为的监测设备的IP地址。
(3)检测方法:可以是CPU使用率检测法、内存使用率检测法或者网络访问行为检测法中一种或者多种。
(4)进程名:执行疑似虚拟资产获取行为的目标进程的进程名。
(5)HASH特征:目标进程的HASH值。
(6)其他信息:其他需要补充的信息。
需要说明的是,监测设备监测到的虚拟资产获取行为有可能并不是真正的虚拟资产获取行为,还需要处理设备进一步分析和处理,所以,监测设备监测到的虚拟资产获取行为也称为疑似虚拟资产获取行为,监测设备监测到的进程也称为疑似进程。
如果监测设备和处理设备预先规定了使用的检测方法,可选的,虚拟资产获取事件信息中可以不包括检测方法。
监测设备生成虚拟资产获取事件信息之后,主动向处理设备发送虚拟资产获取事件信息,触发处理设备对虚拟资产获取行为开始处理。示例性的,监测设备生成虚拟资产获取事件信息后,访问处理设备的webhook触发地址,将虚拟资产获取事件信息传入处理设备。
可选的,也可以由处理设备周期性或者事件性向监测设备发送询问消息,询问监测设备是否监测到虚拟资产获取行为,如果监测设备监测到虚拟资产获取行为,则向处理设备发送虚拟资产获取事件信息。
本实施例中,该监测设备的监测程序常驻内存,实时进行虚拟资产获取行为的监测,所以易于同时进行大量设备的批量监测,并由处理设备统一对各个监测设备监测到的虚拟资产获取行为进行处理,提高了虚拟资产获取行为的监测和处理效率。
S202、采用虚拟资产获取行为处理流程,对虚拟资产获取事件信息进行处理,其中,虚拟资产获取行为处理流程是采用预设的多个任务模块进行组合生成的,每个任务模块用于对虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,该多个任务模块执行的处理操作包括对虚拟资产获取行为的阻断处理。
不同于现有技术,本申请实施例中采用无代码技术生成虚拟资产获取行为处理流程,使用虚拟资产获取行为处理流程对虚拟资产获取事件信息进行处理。
处理设备采用预设的多个任务模块进行组合生成虚拟资产获取行为处理流程,每个任务模块中封装有底层代码,从而能够实现一些基本业务功能。无代码技术将任务模块以图形的方式呈现,并利用箭头指向代表流程方向,即利用简单图形表达代替复杂的代码逻辑,用户可通过图形和文字组合来实现整个处理流程的顺序逻辑,从而完成处理流程的编辑。
对于有虚拟资产获取行为处理需求的人员来说,只需要根据自己的需求选择相应的任务模块,对任务模块进行连接,即可实现虚拟资产获取行为处理流程的生成,不需要编写代码就可以完成功能开发,虚拟资产获取行为处理流程的开发成本低且便捷高效。任务模块根据具体的需求选择,不同的需求选择不同的任务模块。
虚拟资产获取行为处理流程采用的多个任务模块预先开发好,其中,全部或者部分模块可以复用已有的任务模块,对于开发人员来说,不需要重复编写代码实现相同的功能,不需要单独创建一个平台或者服务器实现虚拟资产获取行为的处理,可以在已有的无代码工作流平台上快速搭建该虚拟资产获取行为处理流程,降低了虚拟资产获取行为处理的开发的成本,也降低了开发周期。
本实施例的方法,处理设备接收监测设备发送的虚拟资产获取事件信息,该虚拟资产获取事件信息是对监测设备进行虚拟资产获取行为监测生成的,采用虚拟资产获取行为处理流程,对虚拟资产获取事件信息进行处理,其中,该虚拟资产获取行为处理流程是处理设备采用无代码技术对预设的多个任务模块进行组合生成的,每个任务模块用于对虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,多个任务模块执行的处理操作包括对虚拟资产获取行为的阻断处理。大量的监测设备可以同步进行监测虚拟资产获取行为并上报给处理设备,由处理设备统一对虚拟资产获取行为进行处理,提高了虚拟资产获取行为的监测和处理效率。
在实施例一的基础上,本发明实施例二提供一种虚拟资产获取行为处理流程的生成方法,图3为本发明实施例二提供的虚拟资产获取行为处理流程的生成方法的流程图,如图3所示,本实施例提供的方法包括以下步骤。
S301、根据用户的第一操作,将流程编排页面上的多个任务模块移动到编辑区域。
用户可以通过处理设备上工作流平台打开流程编排页面,该工作流平台可以通过客户端启动,也可以通过浏览器启动。在打开流程编排页面后,在流程编排页面的菜单栏或者固定区域显示有很多任务模块,任务模块以图形或者图标的形式展示,不同任务模块的图形或者图标不同,用户通过对任务模块进行操作了解任务模块的功能。
第一操作可以是拖拽任务模块的操作,在本申请实施例中,该第一操作可以是一系列动作,例如,用户通过多次拖拽将多个任务模块拖拽到流程编排页面的编辑区域,或者,用户先选中多个任务模块,通过一次拖动操作将选中的多个任务模块拖拽到编辑区域。
可选的,该第一操作可以是点击操作或者双击操作,用户点击或者双击菜单栏中的任务模块,任务模块自动移动至编辑区域的预设位置。用户可以根据需要拖动任务模块至需要位置。
示例性的,该多个任务模块包括:审批模块、进度跟进模块、阻断处理模块和处理完成确认模块。
审批模块,用于根据虚拟资产获取事件信息生成审批信息并发送给审批人,基于审批人的审批结果确定是否对虚拟资产获取行为进行后续处理。
进度跟进模块,用于在所审批模块确定对虚拟资产获取行为进行后续处理时,创建问题处理群,并将虚拟资产获取事件信息发布在所述问题处理群。
阻断处理模块,用于根据虚拟资产获取事件信息对虚拟资产获取行为进行阻断处理。
处理完成确认模块,用于检测虚拟资产获取行为是否处理完成。
可选的,阻断处理模块包括以下子模块:断网子模块、镜像制作子模块和关机子模块。
断网子模块,用于对关联设备发送网络封禁策略,该网络封禁策略用于对来自监测设备的IP地址的报文进行丢弃,以阻断所述监测设备的网络访问行为。镜像制作子模块,用于对监测设备的操作系统制作镜像,并保存监测设备的镜像。关机子模块,用于在网络封禁策略发送后且监测设备的镜像制作完成后,控制监测设备关机。
可选的,该多个任务模块还包括:提醒模块和通知模块。相应的,处理完成确认模块,还用于周期性检测虚拟资产获取行为是否处理完成,如果检测到虚拟资产获取行为没有处理完成,则向提醒模块发送第二指示信息,如果检测到虚拟资产获取行为处理完成,则向通知模块发送第三指示信息。
提醒模块用于根据第二指示信息提醒问题处理群中的处理人进行处理完成确认。通知模块用于根据所第三指示信息,在问题处理群中通知虚拟资产获取行为处理完成。
其中,处理完成确认模块可以周期性检测问题处理群中的处置完成确认模块是否接收到确认指示,如果处置完成确认模块接收到确认指示,则确定虚拟资产获取行为处理完成,如果处置完成确认模块没有接收到确认指示,则确定虚拟资产获取行为没有处理完成。
可选的,该多个任务模块还包括:终止模块,用于在审批模块确定不对虚拟资产获取事件进行后续处理时,结束处理流程。
S302、根据用户的第二操作,对各任务模块进行配置。
在将各任务模块移动至编辑区域之后,需要根据开发需求对各任务模块进行配置。处理设备基于用户的第二操作,对各任务模块进行配置,可以理解,在本申请实施例中第二操作为一系列操作,用户需要单独对每个任务模块进行配置。
示例性的,处理设备根据第二操作,显示任务模块的配置界面,接收用户通过配置界面输入的配置信息,根据接收到的配置信息对任务模块进行配置。
该第二操作可以是对任务模块的右击操作或者双击操作,用户右击或者双击任务模块后,显示配置界面,用户通过配置界面输入配置信息。或者,用户右击或者双击任务模块后,显示下拉选项,下拉选项中包括配置控件,用户选择配置控件后显示配置界面,用户通过配置界面输入配置信息。
在一些实施方式中,在流程编排页面上显示有配置区域,在该配置区域中显示有各任务模块的配置控件,用户通过选中对应任务的配置控件,打开配置界面,用户通过配置界面输入配置信息。该配置信息可用于对指令信息、动作信息、输入参数信息、输出参数信息等进行配置。
不同任务模块的配置参数不同,相应的,不同任务模块的配置界面不同,配置界面上显示有该任务模块需要配置的参数,以及参数的取值选项或者参数的取值输入框。
图4为生成虚拟资产获取行为处理流程的多个任务模块的示意图,以图4所示任务模块为例,对任务模块的配置进行说明。
(一)审批模块的配置
示例性的,对审批模块进行配置时,需要配置审批人、审批的事件信息和审批逻辑,审批人可以是一个或者多个,审批逻辑包括会签、或签等。
图5为审批模块生成的审批信息的一种展示示意图,如图5所示,审批信息中包括标题、内容、审批人、审批单号和审批选项,标题和内容是根据审批的事件信息生成的,审批选项可以是同意或驳回,还可以是快速同意、同意并留言、驳回并留言等。
在虚拟资产获取行为处理流程执行过程中,接收到检测设备发送的虚拟资产获取事件信息后,审批模块根据配置信息执行对应的功能。示例性的,以审批人为监测设备管理员,审批通过即时通讯工具实现为例,图6为审批模块的工作流程的示意图如下:
(1)处理设备向即时通讯服务器发送审批信息。
(2)即时通讯服务器将审批信息发送给监测设备管理员所在的即时通讯客户端。
(3)监测设备管理员进行审批,并将审批结果回传给即时通讯服务器。
(4)即时通讯服务器将审批结果回传给处理设备。
(5)处理设备根据审批结果决定下一步的流向,通过或者驳回。
二、进度跟进模块的配置
示例性的,配置问题处理群的群名称、群成员和群通知信息,群通知信息是指在自动创建问题处理群之后,在问题处理群中发布的信息。
在虚拟资产获取行为处理流程执行过程中,当审批模块确定对虚拟资产获取行为进行后续处理时,创建一个问题处理群,该问题处理群中的成员可以包括监测设备管理员、安全应急响应工程师、合规审计工程师等,问题处理群的成员可以根据需求进行增加、删除或者更改。在创建问题处理群后,将虚拟资产获取事件信息发布在该问题处理群中。
三、断网子模块的配置
断网子模块通过调用企业内部的防火墙策略接口下发网络封禁策略,网络封禁策略用于对来自监测设备的IP地址的报文进行丢弃,以阻断所述监测设备的网络访问行为。示例性的,网络封禁策略描述为:针对所有IP报文,凡是发现报文的源IP地址为监测设备的IP地址,则丢弃该报文。
相应的,对断网子模块配置接口地址、监测设备的IP地址,接口地址用于指示将网络封禁策略下发到哪些接口,监测设备的IP地址用于指示对哪个IP地址的报文进行丢弃。可选的,还可以配置凭据,凭据为虚拟资产获取事件信息,用于指示网络封禁策略下发的依据。
四、镜像制作子模块的配置
镜像制作子模块用于对监测设备的操作系统制作镜像,并保存监测设备的镜像。示例性的,镜像制作子模块通过调用监测设备的管理平台的镜像制作接口,传入需要制作镜像的可疑虚拟资产获取行为监测设备的IP地址,监测设备的管理平台将会制作其操作系统的镜像文件,供监测设备管理员及安全应急响应工程师分析虚拟资产获取行为的原因,堵住安全漏洞。
相应的,对镜像制作子模块配置镜像制作接口地址、监测设备的IP地址。可选的,还可以配置凭据,凭据为虚拟资产获取事件信息,用于指示镜像制作的依据。
五、关机子模块的配置
关机子模块,用于在网络封禁策略发送后且监测设备的镜像制作完成后,控制监测设备关机。示例性的,关机子模块通过调用监测设备的管理平台的关机下线接口,传入可疑虚拟资产获取行为监测设备的IP地址,将该监测设备关机处理。
相应的,对关机子模块配置关机下线接口地址、监测设备的IP地址。可选的,还可以配置凭据,凭据为虚拟资产获取事件信息,用于指示关机操作的依据。
六、处理完成确认模块的配置
处理完成确认模块用于周期性检测虚拟资产获取行为是否处理完成,可选的,处理完成确认模块根据问题处理群中的处置完成确认模块是否接收到确认指示判断虚拟资产获取行为是否处理完成。
示例性的,在问题处理群中,全部或者部分成员(例如监测设备管理员和安全应急响应工程师)必须针对此次虚拟资产获取事件进行原因分析,并在“处置完成确认”模块中进行交付。为了保证持续跟进分析进度,通过构建一个超时的逻辑来定期提醒监测设备管理员和安全应急响应工程师及时来进行交付。
相应的,处理完成确认模块需要配置超时时间,该超时时间即处理完成确认模块周期性检测的检测周期,如果在超时时间到达时,检测到“处置完成确认”模块中的交付没有确认,则向提醒模块发送第二指示信息,如果在超时时间到大时,检测到“处置完成确认”模块中的交付已经确认,则向通知模块发送第三指示信息。
七、提醒模块的配置
提醒模块用于根据第二指示信息提醒问题处理群中的处理人进行处理完成确认,第二指示信息用于指示提醒模块进行提醒操作。
相应的,提醒模块需要配置处理人和提醒事件信息,提醒事件信息用于描述提醒处理人进行什么样的操作。
八、通知模块的配置
通知模块用于根据第三指示信息,在所问题处理群中通知虚拟资产获取行为处理完成,第三指示信息用于指示通知模块进行通知操作。
相应的,通知模块需要配置通知事件信息和通知人员或者通知群的信息,通知事件信息用于描述通知内容,可选的,通知事件信息中还包括通知消息的显示配置信息,通知消息的显示配置信息用于配置通信消息的现实页面的大小、内容、形状和效果等。
九、终止模块的配置
终止模块用于在审批模块确定不对虚拟资产获取事件进行后续处理时,结束处理流程,终止模块可以不进行配置。
S303、对多个任务模块进行逻辑组合,生成虚拟资产获取行为处理流程。
基于用户的第三操作,对多个任务模块进行连接,根据多个任务模块的连接顺序,生成虚拟资产获取行为处理流程。
该第三操作可以是对连接线的拖动操作,用户从菜单栏处拖动连接线至两个任务模块之间,通过拖动连接线实现任务模块的连接,该连接线为具有方向的线,连接线的方向表示任务模块的执行顺序,参照图4所示,模块之间的连接线的箭头即表示方向。
可选的,该第三操作还可以是对任务模块的长按操作,长按任务模块之后,任务模块延时出一个箭头,箭头根据光标指向另一个任务模块时,表示被长按的任务模块完成之后将进入箭头所指的任务模块。
处理设备在对任务模块进行逻辑组合时,根据连接线的顺序进行组合,通过改变连接线的箭头的指向改变流程的执行顺序,从而可以实现对处理流程的更改,该更改方式简便快捷,不需要对已有代码进行任何编辑。
本实施例的方法,处理设备根据用户的第一操作,将流程编排页面上的多个任务模块移动到编辑区域,根据用户的第二操作,对各任务模块进行配置,对多个任务模块进行逻辑组合,生成虚拟资产获取行为处理流程。该方法中用户通过对任务模块进行拖拽、连线、图形化的配置即可完成虚拟资产获取行为处理流程的生成,降低了虚拟资产获取行为处理流程的开发成本,非专业代码开发人员也可以进行开发。
在实施例二的基础上,本发明实施例三提供一种虚拟资产获取行为处理流程的生成方法,在实施例二中处理设备对多个任务模块进行逻辑组合,生成虚拟资产获取行为处理流程,相应的,在使用阶段,处理设备按照多个任务模块的逻辑顺序,对虚拟资产获取事件信息依次进行处理,图7为本发明实施例三提供的虚拟资产获取行为处理方法的流程图,本实施例以图4所示任务模块生成的虚拟资产获取行为处理流程为例,且以监测设备为云服务器为例进行说明。如图7所示,本实施例提供的方法包括以下步骤。
S701、接收云服务器发送的虚拟资产获取事件信息,该虚拟资产获取事件信息是对云服务器进行虚拟资产获取行为监测生成的。
处理设备接收到云服务器发送的虚拟资产获取事件信息时,启动虚拟资产获取行为处理流程对虚拟资产获取行为进行处理,下述步骤均为启动虚拟资产获取行为处理流程的步骤。
S702、根据虚拟资产获取事件信息生成审批信息并发送给审批人。
S703、基于审批人的审批结果确定是否对虚拟资产获取行为进行后续处理。
如果根据审批结果确定对虚拟资产获取行为进行后续处理,则执行步骤S705,如果根据审批结果确定不对虚拟资产获取行为进行后续处理,则执行步骤S704。
步骤S702和S703由图4所示的审批模块执行。
S704、结束处理流程。
步骤S704由图4所示的中止模块执行。
S705、创建问题处理群,并将虚拟资产获取事件信息发布在问题处理群。
根据配置好的群名称、群成员自动创建问题处理群,将虚拟资产获取事件信息发布在问题处理群中,便于问题处理群中的群成员对虚拟资产获取行为的处理进度进行跟进。步骤S705由图4所示的进度跟进模块执行。
S706、调用防火墙策略接口向关联设备发送网络封禁策略,网络封禁策略用于对来自该云服务器的IP地址的报文进行丢弃。
S707、调用云平台的服务器管理平台的镜像制作接口,传入该云服务器的IP地址,以使服务器管理平台对该云服务器的操作系统制作镜像文件。
S708、调用云平台的服务器管理平台的服务器关机接口,传入该云服务器的IP地址,以使服务器管理平台对该云服务器进行关机。
步骤S706由图4所示的断网子模块执行,步骤S707由图4所示的镜像制作子模块执行,步骤S708由图4所示的关机子模块执行。
在一种实现方式中,断网子模块、镜像制作子模块和关机子模块可以作为一个单独的任务模块,该任务模块具有这三个子模块的功能。
另一种实现方式中,断网子模块、镜像制作子模块和关机子模块均可以作为一个独立的任务模块,处理设备在搭建虚拟资产获取行为处理流程时,分别选择断网子模块、镜像制作子模块和关机子模块并进行配置和连接。
S709、按照预设的周期检测虚拟资产获取行为是否处理完成。
如果虚拟资产获取行为处理完成,则执行步骤S710,如果虚拟资产获取行为没有处理完成,则执行步骤S711。在虚拟资产获取行为处理完成后,进度更新模块中设置有处置完成确认模块,问题处理群中的处理人需要在该处置完成确认模块进行确认。
S710、提醒问题处理群中的处理人进行处理完成确认。
在问题处理群中提醒之后,返回执行步骤S709,如果在下一个周期内问题处理群中的处理人还没有确认,则重复执行步骤S709和S710。
S711、在问题处理群中通知虚拟资产获取行为处理完成。
步骤S709由图4所示的处理完成确认模块执行,步骤S710由图4所示的提醒模块执行,步骤S711由图4所示的通知模块执行。
为便于更好的实施本申请实施例的虚拟资产获取行为处理方法,本申请实施例还提供一种虚拟资产获取行为处理装置。图8为本申请实施例四提供的虚拟资产获取行为处理装置的结构示意图,如图8所示,该虚拟资产获取行为处理装置800可以包括:
接收模块810,用于接收监测设备发送的虚拟资产获取事件信息,所述虚拟资产获取事件信息是对所述监测设备进行虚拟资产获取行为监测生成的,所述虚拟资产获取行为通过以下信息中的一种或者多种检测得到:所述监测设备的中央处理器CPU使用率、内存使用率或者网络访问信息;
处理模块820,用于采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理,其中,所述虚拟资产获取行为处理流程是采用预设的多个任务模块进行组合生成的,每个任务模块用于对所述虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,所述多个任务模块执行的处理操作包括对所述虚拟资产获取行为的阻断处理,所述阻断处理包括以下处理中的一种或者多种:阻断所述监测设备的网络访问行为、制作所述监测设备的镜像或者控制所述监测设备关机。
在一些可实现方式中,还包括生成模块,用于:
根据用户的第一操作,将流程编排页面上的所述多个任务模块移动到编辑区域;
根据用户的第二操作,对各任务模块进行配置;
对所述多个任务模块进行逻辑组合,生成所述虚拟资产获取行为处理流程;
所述处理模块820具体用于:
按照所述多个任务模块的逻辑顺序,对所述虚拟资产获取事件信息依次进行处理。
在一些可实现方式中,所述生成模块具体用于:
根据所述第二操作,显示所述任务模块的配置界面;
接收通过所述配置界面输入的配置信息,根据所述配置信息对所述任务模块进行配置。
在一些可实现方式中,所述生成模块具体用于:
基于用户的第三操作,对所述多个任务模块进行连接;
根据所述多个任务模块的连接顺序,生成所述虚拟资产获取行为处理流程。
在一些可实现方式中,所述多个任务模块包括:审批模块、进度跟进模块、阻断处理模块和处理完成确认模块;
所述审批模块,用于根据所述虚拟资产获取事件信息生成审批信息并发送给审批人,基于所述审批人的审批结果确定是否对所述虚拟资产获取行为进行后续处理;
所述进度跟进模块,用于在所述审批模块确定对所述虚拟资产获取行为进行后续处理时,创建问题处理群,并将所述虚拟资产获取事件信息发布在所述问题处理群;
所述阻断处理模块,用于根据所述虚拟资产获取事件信息对虚拟资产获取行为进行阻断处理;
所述处理完成确认模块,用于检测所述虚拟资产获取行为是否处理完成。
在一些可实现方式中,所述阻断处理模块包括以下子模块:
断网子模块,用于向关联设备发送网络封禁策略,所述网络封禁策略用于对来自所述监测设备的IP地址的报文进行丢弃,以阻断所述监测设备的网络访问行为;
镜像制作子模块,用于对所述监测设备的操作系统制作镜像,并保存所述监测设备的镜像;
关机子模块,用于在所述网络封禁策略发送后且所述监测设备的镜像制作完成后,控制所述监测设备关机。
在一些可实现方式中,所述多个任务模块还包括:提醒模块和通知模块;
所述处理完成确认模块,还用于周期性检测所述虚拟资产获取行为是否处理完成,如果检测到所述虚拟资产获取行为没有处理完成,则向所述提醒模块发送第二指示信息,如果检测到所述虚拟资产获取行为处理完成,则向所述通知模块发送第三指示信息;
所述提醒模块,用于根据所述第二指示信息提醒所述问题处理群中的处理人进行处理完成确认;
所述通知模块,用于根据所述第三指示信息,在所述问题处理群中通知所述虚拟资产获取行为处理完成。
在一些可实现方式中,所述周期性检测所述虚拟资产获取行为是否处理完成,包括:
周期性检测所述问题处理群中的处置完成确认模块是否接收到确认指示。
在一些可实现方式中,所述多个任务模块还包括:
终止模块,用于在所述审批模块确定不对所述虚拟资产获取事件进行后续处理时,结束处理流程。
所述多个任务模块所述虚拟资产获取事件信息包括:虚拟资产获取行为的发生时间、所述监测设备的IP地址、执行虚拟资产获取行为的目标进程的进程名和所述目标进程的哈希值。
所述多个任务模块所述虚拟资产获取事件信息还包括:所述虚拟资产获取行为的检测方法。
应理解的是,装置实施例与方法实施例可以相互对应,类似的描述可以参照方法实施例。为避免重复,此处不再赘述。
上文中结合附图从功能模块的角度描述了本申请实施例的装置500。应理解,该功能模块可以通过硬件形式实现,也可以通过软件形式的指令实现,还可以通过硬件和软件模块组合实现。具体地,本申请实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成,结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。可选地,软件模块可以位于随机存储器,闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法实施例中的步骤。
本申请实施例还提供一种处理设备。图9为本申请实施例五提供的处理设备的一种结构示意图,如图9所示,该处理设备900可以包括:
存储器910和处理器920,该存储器910用于存储计算机程序,并将该程序代码传输给该处理器920。换言之,该处理器920可以从存储器910中调用并运行计算机程序,以实现本申请实施例中的方法。
例如,该处理器920可用于根据该计算机程序中的指令执行上述方法实施例。
在本申请的一些实施例中,该处理器920可以包括但不限于:
通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integr因果效应d Circuit,ASIC)、现场可编程门阵列(FieldProgrammable G因果效应Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。
在本申请的一些实施例中,该存储器910包括但不限于:
易失性存储器和/或非易失性存储器。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataR因果效应SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synch link DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
在本申请的一些实施例中,该计算机程序可以被分割成一个或多个模块,该一个或者多个模块被存储在该存储器910中,并由该处理器920执行,以完成本申请提供的方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述该计算机程序在该服务器中的执行过程。
如图6所示,该处理设备900还可包括:收发器930,该收发器930可连接至该处理器920或存储器910。
其中,处理器920可以控制该收发器930与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。收发器930可以包括发射机和接收机。收发器930还可以进一步包括天线,天线的数量可以为一个或多个。
可以理解,虽然图9中未示出,该处理设备900还可以包括定位模块、蓝牙模块、显示器、控制器等,在此不再赘述。
应当理解,该处理设备中的各个组件通过总线系统相连,其中,总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。
本申请还提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被计算机执行时使得该计算机能够执行上述方法实施例的方法。或者说,本申请实施例还提供一种包含指令的计算机程序产品,该指令被计算机执行时使得计算机执行上述方法实施例的方法。
本申请还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机程序,处理器执行该计算机程序,使得电子设备执行上述方法实施例中的相应流程,为了简洁,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,该模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。例如,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
以上该,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以该权利要求的保护范围为准。
Claims (15)
1.一种虚拟资产获取行为的处理方法,其特征在于,包括:
接收监测设备发送的虚拟资产获取事件信息,所述虚拟资产获取事件信息是对所述监测设备进行虚拟资产获取行为监测生成的,所述虚拟资产获取行为通过以下信息中的一种或者多种检测得到:所述监测设备的中央处理器CPU使用率、内存使用率或者网络访问信息;
采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理,其中,所述虚拟资产获取行为处理流程是采用预设的多个任务模块进行组合生成的,每个任务模块用于对所述虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,所述多个任务模块执行的处理操作包括对所述虚拟资产获取行为的阻断处理,所述阻断处理包括以下处理中的一种或者多种:阻断所述监测设备的网络访问行为、制作所述监测设备的镜像或者控制所述监测设备关机。
2.根据权利要求1所述的方法,其特征在于,所述采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理之前,还包括:
根据用户的第一操作,将流程编排页面上的所述多个任务模块移动到编辑区域;
根据用户的第二操作,对各任务模块进行配置;
对所述多个任务模块进行逻辑组合,生成所述虚拟资产获取行为处理流程;
所述采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理其中,所述虚拟资产获取行为处理流程按照,包括:
按照所述多个任务模块的逻辑顺序,对所述虚拟资产获取事件信息依次进行处理。
3.根据权利要求2所述的方法,其特征在于,所述根据用户的第二操作,对各任务模块进行配置,包括:
根据所述第二操作,显示所述任务模块的配置界面;
接收通过所述配置界面输入的配置信息,根据所述配置信息对所述任务模块进行配置。
4.根据权利要求2所述的方法,其特征在于,所述对所述多个任务模块进行逻辑组合,生成所述虚拟资产获取行为处理流程,包括:
基于用户的第三操作,对所述多个任务模块进行连接;
根据所述多个任务模块的连接顺序,生成所述虚拟资产获取行为处理流程。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述多个任务模块包括:审批模块、进度跟进模块、阻断处理模块和处理完成确认模块;
所述审批模块,用于根据所述虚拟资产获取事件信息生成审批信息并发送给审批人,基于所述审批人的审批结果确定是否对所述虚拟资产获取行为进行后续处理;
所述进度跟进模块,用于在所述审批模块确定对所述虚拟资产获取行为进行后续处理时,创建问题处理群,并将所述虚拟资产获取事件信息发布在所述问题处理群;
所述阻断处理模块,用于根据所述虚拟资产获取事件信息对虚拟资产获取行为进行阻断处理;
所述处理完成确认模块,用于检测所述虚拟资产获取行为是否处理完成。
6.根据权利要求5所述的方法,其特征在于,所述阻断处理模块包括以下子模块:
断网子模块,用于向关联设备发送网络封禁策略,所述网络封禁策略用于对来自所述监测设备的IP地址的报文进行丢弃,以阻断所述监测设备的网络访问行为;
镜像制作子模块,用于对所述监测设备的操作系统制作镜像,并保存所述监测设备的镜像;
关机子模块,用于在所述网络封禁策略发送后且所述监测设备的镜像制作完成后,控制所述监测设备关机。
7.根据权利要求6所述的方法,其特征在于,所述多个任务模块还包括:提醒模块和通知模块;
所述处理完成确认模块,还用于周期性检测所述虚拟资产获取行为是否处理完成,如果检测到所述虚拟资产获取行为没有处理完成,则向所述提醒模块发送第二指示信息,如果检测到所述虚拟资产获取行为处理完成,则向所述通知模块发送第三指示信息;
所述提醒模块,用于根据所述第二指示信息提醒所述问题处理群中的处理人进行处理完成确认;
所述通知模块,用于根据所述第三指示信息,在所述问题处理群中通知所述虚拟资产获取行为处理完成。
8.根据权利要求7所述的方法,其特征在于,所述周期性检测所述虚拟资产获取行为是否处理完成,包括:
周期性检测所述问题处理群中的处置完成确认模块是否接收到确认指示。
9.根据权利要求7所述的方法,其特征在于,所述多个任务模块还包括:
终止模块,用于在所述审批模块确定不对所述虚拟资产获取事件进行后续处理时,结束处理流程。
10.根据权利要求1-4任一项所述的方法,其特征在于,所述虚拟资产获取事件信息包括:虚拟资产获取行为的发生时间、所述监测设备的IP地址、执行虚拟资产获取行为的目标进程的进程名和所述目标进程的哈希值。
11.根据权利要求10所述的方法,其特征在于,所述虚拟资产获取事件信息还包括:所述虚拟资产获取行为的检测方法。
12.一种虚拟资产获取行为的处理装置,其特征在于,包括:
接收模块,用于接收监测设备发送的虚拟资产获取事件信息,所述虚拟资产获取事件信息是对所述监测设备进行虚拟资产获取行为监测生成的,所述虚拟资产获取行为通过以下信息中的一种或者多种检测得到:所述监测设备的中央处理器CPU使用率、内存使用率或者网络访问信息;
处理模块,用于采用虚拟资产获取行为处理流程,对所述虚拟资产获取事件信息进行处理,其中,所述虚拟资产获取行为处理流程是采用预设的多个任务模块进行组合生成的,每个任务模块用于对所述虚拟资产获取事件信息对应的虚拟资产获取行为执行对应的处理操作,所述多个任务模块执行的处理操作包括对所述虚拟资产获取行为的阻断处理,所述阻断处理包括以下处理中的一种或者多种:阻断所述监测设备的网络访问行为、制作所述监测设备的镜像或者控制所述监测设备关机。
13.一种电子设备,其特征在于,包括:
处理器和存储器,所述存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,以执行权利要求1至11中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,用于存储计算机程序,所述计算机程序使得计算机执行如权利要求1至11中任一项所述的方法。
15.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1至11中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211441159.8A CN118051322A (zh) | 2022-11-17 | 2022-11-17 | 虚拟资产获取行为的处理方法、装置、设备、介质和程序 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211441159.8A CN118051322A (zh) | 2022-11-17 | 2022-11-17 | 虚拟资产获取行为的处理方法、装置、设备、介质和程序 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118051322A true CN118051322A (zh) | 2024-05-17 |
Family
ID=91052722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211441159.8A Pending CN118051322A (zh) | 2022-11-17 | 2022-11-17 | 虚拟资产获取行为的处理方法、装置、设备、介质和程序 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118051322A (zh) |
-
2022
- 2022-11-17 CN CN202211441159.8A patent/CN118051322A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3516574B1 (en) | Enterprise graph method of threat detection | |
US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
EP3511822A1 (en) | Method and system for managing access to artifacts in a cloud computing environment | |
US10333962B1 (en) | Correlating threat information across sources of distributed computing systems | |
CN106951335B (zh) | 一种进程守护方法和移动终端 | |
US10362046B1 (en) | Runtime behavior of computing resources of a distributed environment | |
US6985845B1 (en) | Security monitor of system runs software simulator in parallel | |
US20200036613A1 (en) | Diagnostic and recovery signals for disconnected applications in hosted service environment | |
EP4161015A1 (en) | Network management system, method, and apparatus, and electronic device | |
US10178119B1 (en) | Correlating threat information across multiple levels of distributed computing systems | |
CN112528296B (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
CN104704506A (zh) | 系统控制 | |
CN108366098B (zh) | 一种网络节点的数据交互方法及装置 | |
EP2973192B1 (en) | Online privacy management | |
US20220222350A1 (en) | Vulnerability dashboard and automated remediation | |
CN111930565B (zh) | 分布式管理系统中组件的进程故障自愈方法、装置及设备 | |
EP3188071B1 (en) | Application accessing control method and device | |
CN114679295B (zh) | 防火墙安全配置方法及装置 | |
US9424552B2 (en) | Managing website registrations | |
US11693714B2 (en) | System and method for facilitating management of cloud infrastructure by using smart bots | |
CN104205163A (zh) | 用于控制禁用内容的内容捕获的方法和装置 | |
CN118051322A (zh) | 虚拟资产获取行为的处理方法、装置、设备、介质和程序 | |
WO2018196613A1 (zh) | 一种基于功能开关的应用程序控制方法、装置、服务器及介质 | |
CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
CN114401121A (zh) | 应用程序登录方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |