本申请提供了一种风险处理方法、装置、电子设备及存储介质,涉及云安全技术领域。依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识别规则,风险识别规则可以用于风险文件的检测。由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。降低误报的概率。降低误报的概率。
【技术实现步骤摘要】
风险处理方法、装置、电子设备及存储介质
[0001]本申请涉及云安全
,尤其涉及一种风险处理方法和装置、电子设备及存储介质。
技术介绍
[0002]云计算是一种全新的IT基础设施的交付和使用模式,使用者可以基于云获得无线扩展的资源云网络提供资源,并且可以随时获取、按需使用、随时扩展以及按使用付费。
[0003]虚拟主机(云主机)是云计算下的主机租用服务,基于云计算平台的计算资源为云租户提供服务,通过在一组集群主机上虚拟出多个类似独立主机功能的部分,使得集群中各主机上均有虚拟主机的一个镜像,除非集群内主机均出现问题,虚拟主机才会无法访问,可见虚拟主机具有较高使用稳定性。
[0004]随着恶意代码技术的不断演进,恶意程序成为云主机系统安全的重要威胁,因此需要提供针对云计算设备的风险处理方案,以进一步提高云计算设备的安全性。
技术实现思路
[0005]本申请实施例提供一种风险处理方法、装置、电子设备及存储介质,以实现对云计算设备的风险检测和安全管理。
[0006]第一方面,本申请实施例提供了一种风险处理方法,应用于云计算平台,所述方法包括:
[0007]提取风险文件对应的文件特征;
[0008]根据所述文件特征对应于所述风险文件的表征数据筛选多个目标文件特征,所述多个目标文件特征至少对应两类风险识别结果;
[0009]基于所筛选的多个目标文件特征构建风险识别规则,所述风险识别规则用于风险文件的检测。
[0010]第二方面,本申请实施例提供了一种风险处理方法,所述方法包括:
[0011]获取云计算平台下发的风险识别规则,所述风险识别规则基于目标文件特征构建,所述目标文件特征从风险文件对应的文件特征中根据所述文件特征对应于所述风险文件的表征数据筛选获得,所述多个目标文件特征至少对应两类风险识别结果;
[0012]基于所述风险识别规则进行风险检测。
[0013]第三方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器在执行所述计算机程序时实现上述任一项所述的方法。
[0014]第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法。
[0015]与现有技术相比,本申请具有如下优点:
[0016]依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险
识别规则,由于多个目标文件特征至少对应两类风险识别结果,从而可以结合对应不同风险识别结果的文件特征进行风险检测,相比于仅仅对应于一种风险识别结果的文件特征进行风险检测的方案,可以有效提高风险检测的准确性,降低误报的概率。本申请实施例可以进一步将风险识别规则下发到至少一个云租户的云计算设备用于风险检测,从而可以实现分散式检测,降低云计算平台的资源消耗。
[0017]上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参考附图和以下的详细描述,本申请进一步的方面、实施方式和特征将会是容易明白的。
附图说明
[0018]在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本申请公开的一些实施方式,而不应将其视为是对本申请范围的限制。
[0019]图1为本申请提供的风险处理方案的场景示意图;
[0020]图2为本申请一实施例的风险处理方法的流程图;
[0021]图3是本申请一实施例的风险处理方法的流程图;
[0022]图4是本申请一实施例的风险处理装置的结构框图;
[0023]图5是本申请一实施例的风险处理装置的结构框图;
[0024]图6为用来实现本申请实施例的电子设备的框图。
具体实施方式
[0025]在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本申请的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
[0026]为便于理解本申请实施例的技术方案,以下对本申请实施例的相关技术进行说明,以下相关技术作为可选方案与本申请实施例的技术方案可以进行任意结合,其均属于本申请实施例的保护范围。
[0027]针对云计算设备的风险入侵的主要来源是恶意程序,也即是病毒程序。本申请之前的现有技术中,针对病毒文件的风险检测通常是基于杀毒引擎实现,一种方案是通过动态结合静态的检测方案来检测病毒程序。
[0028]动态检测是指将待检测的程序置于预先构建的沙箱环境中,在沙箱环境中运行待检测程序,以采集到其运行时执行的各种行为,通过行为识别来检测该程序是否为病毒程序。动态检测存在的问题是需要环境模拟耗费较多的加载资源,将这种方案部署在云计算环境下进行病毒检测时,需要收集病毒程序的行为特征和判断逻辑,使得该方案实现较为复杂,因此,一般使用较多的是静态检测方案。
[0029]静态检测则是通过预先在特征库中收集病毒程序的黑特征进行识别,一种具体的检测方案中,在提取病毒程序的特征后,可以通过排除白特征库中正常的安全文件的白特征将剩余的特征作为黑特征,此处也即是现有技术方案中的白特征是单独用于风险识别时对应识别结果为安全文件的特征,黑特征是指病毒程序的特征中除去白特征之外剩余的特
征,作为对应识别结果为风险文件的特征。由此可见,白特征库的搜集决定了生成规则的质量,而白特征库是无穷无尽的,永远不可能搜集全面,还需要长期运行白特征库,所以这种排白的方案在海量的样本中生成规则质量比较差,会出现大量的误报。并且,由于需要将白特征库加载到内存中进行搜索,需要占用大量的内存资源,效率非常低,无法应对云上海量数据的场景。
[0030]有鉴于此,本申请实施例提出了一种新的针对云计算设备的风险检测方案。
[0031]图1为示例性的用于实现本申请实施例的方法的一个应用场景的示意图。如图所示,在左侧的聚类源,从多个风险控制平台收集风险文件,根据风险文件的风险类型存放在对应的数据库或文件夹中,如图所示,可以存放在Redis cluster(远程字典服务集群)主从节点群组成的分布式服务器群的各个服务器中,从而可以减轻云计算平台的存储压力,通过对风险文件进行特征提取、特征选择和规则生成的过程,得到风险识别规则,进一步通过回放模块进行误报测试,根据误报测试结果是否符合要求,对特征工程过程中的至少一个环节进行修正,修正后的规则可以下发到各个云计算设备进行后续的风险识别的使用。
[0032]依据本申请实施例,云计算平台提取风险文件对应的文件特征,并根据文件特征对应于风险文件的表征数据来筛选出多个目标文件特征,以基于目标文件特征来构建风险识本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种风险处理方法,其特征在于,应用于云计算平台,所述方法包括:提取风险文件对应的文件特征;根据所述文件特征对应于所述风险文件的表征数据筛选多个目标文件特征,所述多个目标文件特征至少对应两类风险识别结果;基于所筛选的多个目标文件特征构建风险识别规则,所述风险识别规则用于风险文件的检测。2.根据权利要求1所述的方法,其特征在于,所述提取风险文件对应的文件特征包括:对所述风险文件进行关键内容识别,并将识别到的关键内容作为所述风险文件的文件特征,所述关键内容识别包括执行功能识别、字段内容识别、自然语言识别中的至少一种。3.根据权利要求1所述的方法,其特征在于,所述提取风险文件对应的文件特征包括:对所述风险文件进行执行功能识别,以提取所述风险文件中包括的处理函数作为文件特征,所述处理函数包括导入函数、导出函数和功能字符串中至少一种。4.根据权利要求1所述的方法,其特征在于,所述提取风险文件对应的文件特征包括:对所述风险文件进行字段内容识别,以提取所述风险文件用于表征文件属性的至少一个目标字段作为文件特征。5.根据权利要求1所述的方法,其特征在于,所述提取风险文件的文件特征包括:对所述风险文件进行自然语言识别,以提取所述风险文件中具有自然语言语义的内容信息作为文件特征。6.根据权利要求1所述的方法,其特征在于,所述根据所述文件特征对应于所述风险文件的表征数据筛选目标文件特征包括:确定所述文件特征的词频和逆向文件频率作为所述文件特征对所述风险文件的表征数据;筛选表征数据排序靠前的文件特征作为目标文件特征。7.根据权利要求6所述的方法,其特征在于,所述风险识别结果包括风险文件和安全文件,所述多个目标文件特征至少包括单独使用时对应于风险文件的识别结果的第一目标文件特征和单独使用时对应于...
【专利技术属性】
技术研发人员:张宗明,王晓满,孟雷,
申请(专利权)人:阿里云计算有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。