一种进程链的处理方法及系统、电子设备技术方案

本发明专利技术提出了一种进程链的处理方法及系统、电子设备，处理方法包括：获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标；利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。本发明专利技术通过实时采集末端规则的进程链匹配状态，在当前末端规则编写质量不能满足要求时，能够触发对该末端规则的停用，避免此末端规则过于宽松导致匹配了海量基础系统调用，引发故障或匹配能力严重下降等问题，即可以有效的解决规则编写不当导致的影响进程链整体检测性能的问题。题。题。

【技术实现步骤摘要】
一种进程链的处理方法及系统、电子设备


[0001]本专利技术涉及主机安全检测
，尤其涉及一种进程链的处理方法及系统、电子设备。

技术介绍

[0002]主机安全检测领域，对进程行为链路进行检测是非常常见的方法，这里面有一类典型的检测场景即进程链检测，例如如果父进程是Nginx，子进程执行了lua，lua的子进程又执行了异常bash命令，则输出Nginx执行了异常bash命令的告警，这类检测有多种实现方式，其中资源占用较低综合性比较好的是客户端本地进程链检测，即配置规则如：
[0003]“子进程名匹配正则whoami且父进程名匹配正则nginx”[0004]此时进程链规则引擎一般从末端规则(上面例子中则是子进程规则)进行匹配，如果末端规则匹配上了后，实时调用操作系统的接口来获取该进程的上游进程数据，一次次网上递归进行检测，而这种场景下存在一个很明显的问题，如果末端规则匹配次数过多则会导致大量操作系统的内部调用走走到了实时的进程链回溯检测中，导致检测引擎和系统的压力快速增高，导致匹配出现异常，而传统方法中没有手段来保障末端规则编写的质量，又或者默写特殊的业务场景下导致本来正常的末端规则大量匹配等，这导致了此类规则最终上线后由于环境因素或者自定义规则编写不当等因素很容易引发故障或匹配能力严重下降等。

技术实现思路

[0005]本专利技术要解决的技术问题是：当末端规则匹配次数过多则会导致大量操作系统的内部调用走走到了实时的进程链回溯检测中，导致检测引擎和系统的压力快速增高，导致匹配出现异常，所以有必要末端规则的编写质量进行管控及处理。有鉴于此，本专利技术提供一种进程链的处理方法及系统、电子设备。
[0006]本专利技术采用的技术方案是，所述进程链的处理方法，包括：获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标；利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0007]在一个实施方式中，所述利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标，包括：统计末端规则每分钟与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标；或者统计末端规则每天与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标。
[0008]在一个实施方式中，所述利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态，包括；将所述末端匹配产出指标与预先配置的第一阈值作比较；根据所述末端匹配产出指标分别与所述第一阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态。
[0009]在一个实施方式中，所述根据所述末端匹配产出指标分别与所述第一阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态，包括：当所述末端匹配产出指标大于所述第一阈值时，停用该末端匹配产出指标所对应的末端规则。
[0010]在一个实施方式中，所述利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态，包括；将所述末端匹配产出指标与预先配置的第一阈值以及第二阈值作比较，其中，所述第二阈值大于所述第一阈值；根据所述末端匹配产出指标分别与所述第一阈值以及所述第二阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态。
[0011]在一个实施方式中，所述根据所述末端匹配产出指标分别与所述第一阈值以及所述第二阈值比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态，包括：当所述末端匹配产出指标大于所述第二阈值时，停用该末端匹配产出指标所对应的末端规则；当所述末端匹配产出指标小于所述第二阈值并大于所述第一阈值时，该末端匹配产出指标所对应的末端规则被确定为待观察末端规则；当所述末端匹配产出指标小于所述第一阈值时，该末端匹配产出指标所对应的末端规则被确定为正常运行末端规则。
[0012]在一个实施方式中，所述方法进一步包括：对所述待观察末端规则进行优化；执行所述正常运行末端规则的上游进程链与对应规则的匹配。
[0013]本专利技术的另一方面提供了一种进程链的处理系统，包括：计数模块，被配置为获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；统计模块，被配置为利用预先配置的指标统计策略，基于所述末端匹配规则计数得到末端匹配产出指标；策略选择模块，被配置为利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0014]本专利技术的另一方面提供了一种电子设备，所述电子设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上任一项所述的进程链的处理方法的步骤。
[0015]本专利技术的另一方面提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述的进程链的处理方法的步骤。
[0016]采用上述技术方案，本专利技术至少具有下列优点：
[0017]本专利技术所述的进程链的处理方法中，通过实时采集末端规则的进程链匹配状态，在当前末端规则编写质量不能满足要求时，能够触发对该末端规则的停用，避免此末端规则过于宽松导致匹配了海量基础系统调用，引发故障或匹配能力严重下降等问题。
附图说明
[0018]图1为根据本专利技术实施例的进程链的处理方法流程图；
[0019]图2为根据本专利技术实施例的进程链的处理方法的一个应用实例的流程图；
[0020]图3为根据本专利技术实施例的进程链的处理系统组成结构示意图；
[0021]图4为根据本专利技术实施例的电子设备结构示意图。
具体实施方式
[0022]为更进一步阐述本专利技术为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本专利技术进行详细说明如后。
[0023]本专利技术中说明书中对方法流程的描述及本专利技术说明书附图中流程图的步骤并非必须按步骤标号严格执行，方法步骤是可以改变执行顺序的。而且，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0024]本专利技术第一实施例，一种进程链的处理方法，如图1以及图2所示，包括以下具体步骤：
[0025]步骤S1，获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数。
[0026]步骤S2，利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标。
[0027]步骤S3，利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0028]下面将根据该实施例的流程对每一步骤做出详细说明。
[0029]步骤S1，获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数。
[0030]本实施例中，末端规则是预先编写好，并配置在设备中的，同一设备中，可以预先配置多条末端规则本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种进程链的处理方法，其特征在于，包括：获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标；利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。2.根据权利要求1所述的进程链的处理方法，其特征在于，所述利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标，包括：统计末端规则每分钟与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标；或者统计末端规则每天与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标。3.根据权利要求1所述的进程链的处理方法，其特征在于，所述利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态，包括；将所述末端匹配产出指标与预先配置的第一阈值作比较；根据所述末端匹配产出指标分别与所述第一阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态。4.根据权利要求3所述的进程链的处理方法，其特征在于，所述根据所述末端匹配产出指标分别与所述第一阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态，包括：当所述末端匹配产出指标大于所述第一阈值时，停用该末端匹配产出指标所对应的末端规则。5.根据权利要求1所述的进程链的处理方法，其特征在于，所述利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态，包括；将所述末端匹配产出指标与预先配置的第一阈值以及第二阈值作比较，其中，所述第二阈值大于所述第一阈值；根据所述末端匹配产出指标分别与所述第一阈值以及所述第二阈值比较情况...

【专利技术属性】
技术研发人员：许祥，
申请(专利权)人：中电云数智科技有限公司，
类型：发明
国别省市：