本申请实施例提供一种主机行为的检测方法、装置、电子设备及存储介质,其中,该方法包括:获取主机行为信息;获取主机行为信息;提取所述主机行为信息中的主机行为属性;根据所述主机行为属性生成主机行为标签;根据所述主机行为属性构建行为进程链;根据所述主机行为标签和所述行为进程链构建行为标签进程链;基于所述行为标签进程链对主机行为进行关联检测,得到检测结果。实施本申请实施例,可以提高对主机行为的检测效率,利用关联检测的方式快速、准确地捕捉到特定的主机行为,减少对资源的占用,不易产生漏报和误报。不易产生漏报和误报。不易产生漏报和误报。
【技术实现步骤摘要】
一种主机行为的检测方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种主机行为的检测方法、装置、电子设备及计算机存储介质。
技术介绍
[0002]主机安全产品入侵检测以单点检测为主,单点检测简单、方便,但是准确性难以把握。单点检测的准确性取决于检测规则的精细度,如果检测规则比较细,误报率低,但是漏报率高;反之,误报率高,漏报率低。
[0003]现有主机安全产品无论是基于终端的检测引擎,还是控制台检测引擎,或者两者结合,也仅仅是针对主机某个单一行为的单点检测,而单点检测范围小,检测能力有限,而且准确性难以保证。并且,大多数的入侵威胁都会产生多个主机行为,这些主机行为面对这种比较复杂的入侵行为,往往采用单点检测方式无法有效而准确的识别,容易产生多个漏报和多个误报。
技术实现思路
[0004]本申请实施例的目的在于提供一种主机行为的检测方法、装置、电子设备及存储介质,可以提高对主机行为的检测效率,利用关联检测的方式快速、准确地捕捉到特定的主机行为,减少对资源的占用,不易产生漏报和误报。
[0005]第一方面,本申请实施例提供了一种主机行为的检测方法,所述方法包括:获取主机行为信息;提取所述主机行为信息中的主机行为属性;根据所述主机行为属性生成主机行为标签;根据所述主机行为属性构建行为进程链;根据所述主机行为标签和所述行为进程链构建行为标签进程链;基于所述行为标签进程链对主机行为进行关联检测,得到检测结果。
[0006]在上述实现过程中,根据主机行为属性构建行为进程链,根据主机行为标签构建行为标签进程链,并基于行为标签进程链对主机行为进行关联检测,得到检测结果,可以提高对主机行为的检测效率,利用关联检测的方式快速、准确地捕捉到特定的主机行为,减少对资源的占用,不易产生漏报和误报。
[0007]进一步地,所述获取主机行为信息的步骤,包括:监听主机的行为事件,得到初始主机行为信息;对所述初始主机行为信息进行填充,得到所述主机行为信息。
[0008]在上述实现过程中,对初始主机行为信息进行填充,可以使得到的主机行为信息更加准确,确保主机行为信息可以准确地表达主机行为,可以提高主机行为的可信度。
[0009]进一步地,所述根据所述主机行为属性生成主机行为标签的步骤,包括:判断所述主机行为属性是否符合检测规则;
若是,提取所述检测规则对应的行为标签;将所述行为标签推送至图引擎进行保存,得到所述主机行为标签。
[0010]在上述实现过程中,根据主机行为属性是否符合检测规则进行相应的行为标签提取,可以准确地标注每一个主机行为属性,得到主机行为标签,便于后续对主机行为进行检测。
[0011]进一步地,所述根据所述主机行为属性构建行为进程链的步骤,包括:根据所述主机行为属性构建节点信息;根据所述主机行为属性构建第一边关系信息;根据所述节点信息和所述第一边关系信息构建所述行为进程链。
[0012]在上述实现过程中,根据节点信息和第一边关系信息构建行为进程链,可以将节点信息和第一边关系信息通过行为进程链准确地表达出来,使得到的行为进程链更加准确,可以准确地表达主机行为属性。
[0013]进一步地,所根据所述主机行为标签和所述行为进程链构建行为标签进程链的步骤,包括:将所述主机行为标签作为第二边关系信息;根据所述第二边关系信息和所述行为进程链构建所述行为标签进程链。
[0014]在上述实现过程中,将主机行为标签作为第二边关系信息,使得行为标签进程链可以准确地反映出主机行为标签,便于根据主机行为标签进行主机行为的检测。
[0015]进一步地,所述根据所述第二边关系信息和所述行为进程链构建所述行为标签进程链的步骤包括:将所述第二边关系信息与所述行为进程链中的节点信息关联,生成所述行为标签进程链。
[0016]在上述实现过程中,将第二边关系信息与节点信息关联,可以使得行为进程链完整、清晰、合理,生成的行为标签进程链可以提高后续检测效率,便于查找。
[0017]进一步地,所述基于所述行为标签进程链对主机行为进行关联检测,得到检测结果的步骤,包括:提取所述行为标签进程链的关联行为信息;提取所述主机行为标签中的特定行为标签;根据关联行为信息和所述特定行为标签对所述主机行为进行关联检测,得到所述检测结果。
[0018]在上述实现过程中,根据关联行为信息和特定行为标签对主机行为进行关联检测,可以提高检测效率和检测准确率,确保根据特定行为标签可以准确地检测到特定的主机行为。
[0019]进一步地,所述根据关联行为信息和所述特定行为标签对所述主机行为进行关联检测,得到所述检测结果的步骤,包括:根据关联行为信息和所述特定行为标签对所述主机行为进行威胁判定,得到具有威胁的主机行为;对所述具有威胁的主机行为进行标记,得到所述检测结果。
[0020]在上述实现过程中,对主机行为进行威胁判定,准确地得到具有威胁的主机行为,
并进行标记,可以有效避免漏报或者误报的情况发生。
[0021]第二方面,本申请实施例还提供了一种主机行为的检测装置,所述装置包括:获取模块,用于获取主机行为信息;提取模块,用于提取所述主机行为信息中的主机行为属性;生成模块,用于根据所述主机行为属性生成主机行为标签;构建模块,用于根据所述主机行为属性构建行为进程链;还用于根据所述主机行为标签和所述行为进程链构建行为标签进程链;检测模块,用于基于所述行为标签进程链对主机行为进行关联检测,得到检测结果。
[0022]在上述实现过程中,根据主机行为属性构建行为进程链,根据主机行为标签构建行为标签进程链,并基于行为标签进程链对主机行为进行关联检测,得到检测结果,可以提高对主机行为的检测效率,利用关联检测的方式快速、准确地捕捉到特定的主机行为,减少对资源的占用,不易产生漏报和误报。
[0023]第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
[0024]第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
[0025]第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
[0026]本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
[0027]并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
[0028]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种主机行为的检测方法,其特征在于,所述方法包括:获取主机行为信息;提取所述主机行为信息中的主机行为属性;根据所述主机行为属性生成主机行为标签;根据所述主机行为属性构建行为进程链;根据所述主机行为标签和所述行为进程链构建行为标签进程链;基于所述行为标签进程链对主机行为进行关联检测,得到检测结果。2.根据权利要求1所述的主机行为的检测方法,其特征在于,所述获取主机行为信息的步骤,包括:监听主机的行为事件,得到初始主机行为信息;对所述初始主机行为信息进行填充,得到所述主机行为信息。3.根据权利要求1所述的主机行为的检测方法,其特征在于,所述根据所述主机行为属性生成主机行为标签的步骤,包括:判断所述主机行为属性是否符合检测规则;若是,提取所述检测规则对应的行为标签;将所述行为标签推送至图引擎进行保存,得到所述主机行为标签。4.根据权利要求1所述的主机行为的检测方法,其特征在于,所述根据所述主机行为属性构建行为进程链的步骤,包括:根据所述主机行为属性构建节点信息;根据所述主机行为属性构建第一边关系信息;根据所述节点信息和所述第一边关系信息构建所述行为进程链。5.根据权利要求4所述的主机行为的检测方法,其特征在于,所述根据所述主机行为标签和所述行为进程链构建行为标签进程链的步骤,包括:将所述主机行为标签作为第二边关系信息;根据所述第二边关系信息和所述行为进程链构建所述行为标签进程链。6.根据权利要求5所述的主机行为的检测方法,其特征在于,所述根据所述第二边关系信息和所述行为进程链构建所述行为标签进程链的步骤包括:将所述第二边关系信息与所述行...
【专利技术属性】
技术研发人员:周超,陈杰,任政,童兆丰,薛锋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。