【技术实现步骤摘要】
一种主机异常行为识别方法及系统
本专利技术涉及计算机安全
,更具体地,涉及一种主机异常行为识别方法及系统。
技术介绍
传统的针对主机是否产生异常行为的识别方法,大多基于采集和整合当前主机的主机侧数据,统一提交管理端,由管理端基于自身的相关规则和行为判定来确认当前各主机状态是否正常,是否存在风险性或已知攻击行为。由于传统识别方法依赖于自有的相关匹配规则或策略,导致在安全问题上往往出现大量误报、漏报,并在情报更新和威胁嗅探上往往处于劣势;同时,由于传统识别方法对异常行为的判定是基于规则的,而该规则通常是已知威胁的整理集合,导致目前传统识别方法不能够主动识别异常行为,即只有相关问题已大规模爆发,异常行为已知后才能进行相关检出和处置。因此,当前的主机异常行为识别方法无法有效识别多变的主机恶意行为。
技术实现思路
本专利技术的目的在于提供一种主机异常行为识别方法及系统,解决目前的针对主机安全的异常识别方法不能主动识别异常行为,只能基于已知威胁来判定而导致在安全问题上往往出现大量误报、漏报的问题。为实现上述目的,本专利技术提供了一种主机异常行为识别方法,包括以下步骤:获取主...
【技术保护点】
1.一种主机异常行为识别方法,其特征在于,包括以下步骤:获取主机数据,以及所述主机所属群组内其余主机的数据;依据所述主机数据、所述主机所属群组内其余主机的数据以及预设模型,判断所述主机是否存在异常行为;若所述主机存在异常行为,则根据预设恶意行为库,判断所述主机是否存在恶意行为;若所述主机存在恶意行为,则向用户发送第一提示信息,并根据所述主机存在的异常行为的数量获取所述主机的危险等级;若所述主机不存在恶意行为,则向用户发送第二提示信息。
【技术特征摘要】
1.一种主机异常行为识别方法,其特征在于,包括以下步骤:获取主机数据,以及所述主机所属群组内其余主机的数据;依据所述主机数据、所述主机所属群组内其余主机的数据以及预设模型,判断所述主机是否存在异常行为;若所述主机存在异常行为,则根据预设恶意行为库,判断所述主机是否存在恶意行为;若所述主机存在恶意行为,则向用户发送第一提示信息,并根据所述主机存在的异常行为的数量获取所述主机的危险等级;若所述主机不存在恶意行为,则向用户发送第二提示信息。2.如权利要求1所述的一种主机异常行为识别方法,其特征在于,所述依据所述主机数据、所述主机所属群组内其余主机的数据以及预设模型,判断所述主机是否存在异常行为,具体为,依据预设模型将主机数据解构为多个独立条目数据,将所述独立条目数据与对应的主机以键值对的形式进行映射关联;然后对映射关联后的所述键值对进行聚合存储,得到各个键值对对应的数据计数器值;若所述数据计数器值小于或者等于所述预设模型对应的预设阈值,则判断主机存在异常行为,否则判断主机不存在异常行为。3.如权利要求1所述的一种主机异常行为识别方法,其特征在于,所述主机数据包括主机账户数据、主机运行进程历史数据、主机对外连接IP历史数据、主机WEB应用文件目录数据、主机命令操作日志数据、主机开放端口历史数据以及主机连接远程端口历史数据。4.如权利要求1所述的一种主机异常行为识别方法,其特征在于,所述根据所述主机存在的异常行为的数量获取所述主机的危险等级,具体为,对所述主机存在的异常行为的数量进行相加,得到所述主机的危险等级。5.如权利要求1所述的一种主机异常行为识别方法,其特征在于,所述预设模型包含用于判断主机是否存在异常系统账户的第一预设模型、用于判断主机是否存在异常进程运行历史的第二预设模型、用于判断主机是否存在异常对外连接IP历史的第三预设模型、用于判断主机是否存在异常WEB应用文件目录的第四预设模型、用于判断主机是否存在异常命令操作的第五预设模型、用于判断主机是否存在异常开放端口的第六预设模型,以及用于...
【专利技术属性】
技术研发人员:刘隽良,聂万泉,汪利辉,魏兴国,
申请(专利权)人:杭州默安科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。