本发明专利技术公开了一种端点的威胁检测方法及装置、电子设备、存储介质,涉及信息安全领域,通过获取端点上的客户端的行为数据集合,行为数据集合中包括多个进程产生的行为数据,多个进程至少包括由客户端上预设的威胁检测策略检测到的恶意进程,并基于进程树索引与恶意进程具备关联行为的其他威胁进程,提取恶意进程的关键行为数据,将关键行为数据以及其他威胁进程发送至控制服务器,控制服务器在接收到关键行为数据以及其他威胁进程后,生成新的威胁检测策略,将新的威胁检测策略推送至所有端点上的客户端,本发明专利技术解决了相关技术中对端点产生的行为进行分析时,威胁检测策略和分析算法是固定的,导致对未知或变种的威胁攻击无法有效检测的技术问题。效检测的技术问题。效检测的技术问题。
【技术实现步骤摘要】
端点的威胁检测方法及装置、电子设备、存储介质
[0001]本专利技术涉及信息安全领域,具体而言,涉及一种端点的威胁检测方法及装置、电子设备、存储介质。
技术介绍
[0002]端点(endpoint,如笔记本电脑、平板电脑、手机和其他设备)是企业办公环境的重要一环,非常容易受到安全威胁,端点安全就是来解决端点的安全威胁。
[0003]端点侦测与回应(Endpoint Detection and Response,简称EDR),其是在端点上即时监控与采集端点的系统行为,并自动回应威胁,EDR会在端点上采集端点的系统行为并进行分析和检测,这样的分析和检测大多采用固定的检测算法和手段,无法有效的预防未知的威胁攻击。例如,在专利(公开号CN 114020587 A)公开了根据主机的行为特征判断主机是否存在可疑行为,并对可疑行为的进程进行识别,以判断当前主机是否存在内部网络横向移动攻击行为。该专利中仅能够进行固定算法检测,无法实时有效更新检测手段。
[0004]相关技术中,另一种检测方式是将端点的系统行为上传至控制服务器,通过控制服务器对系统行为进行分析和检测,但是这种检测方式存在很大的弊端:第一,因为端点和控制服务器的通信有延时,所以检测和响应的过程比较缓慢;第二,如果出现大量的端点的大量事件需要处理的话,造成控制服务器端的资源瓶颈。
[0005]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0006]本专利技术实施例提供了一种端点的威胁检测方法及装置、电子设备、存储介质,以至少解决相关技术中对端点产生的行为进行分析时,威胁检测策略和分析算法是固定的,导致对未知或变种的威胁攻击无法有效检测的技术问题。
[0007]根据本专利技术实施例的一个方面,提供了一种端点的威胁检测方法,包括:获取目标端点上的客户端的行为数据集合,其中,所述目标端点为目标用户使用的终端所表征的端点,所述行为数据集合中包括多个进程产生的行为数据,所述多个进程至少包括:对所述客户端产生威胁的恶意进程,所述恶意进程是由所述客户端上预设的威胁检测策略检测到的;建立关联所述行为数据集合的进程树,并基于所述进程树索引与所述恶意进程具备关联行为的其他威胁进程,并提取所述恶意进程的关键行为数据;将所述关键行为数据以及所述其他威胁进程发送至控制服务器,其中,所述控制服务器在接收到所述关键行为数据以及所述其他威胁进程后,生成新的威胁检测策略,并将所述新的威胁检测策略推送至所有端点上的客户端,所述所有端点包括所述目标端点。
[0008]可选地,在获取目标端点上的客户端的行为数据集合之后,还包括:分别对每个进程产生的行为数据进行检测,得到检测结果;提取所述检测结果中出现恶意行为的所述恶意进程,并对所述恶意进程进行标识。
[0009]可选地,分别对每个进程产生的行为数据进行检测,得到检测结果的步骤,包括:
获取威胁检测策略库,其中,所述威胁检测策略库中存储N条威胁检测策略,每条所述威胁检测策略对应一种恶意行为,N为大于等于1的正整数;将所述每个进程产生的行为数据与每条所述威胁检测策略进行匹配,得到匹配结果;在所述匹配结果指示匹配成功的情况下,确认所述检测结果中出现恶意行为。
[0010]可选地,分别对每个进程产生的行为数据进行检测,得到检测结果的步骤,包括:对所述每个进程产生的行为数据进行预处理;提取预处理后的所述每个进程的行为数据中的疑似违规数据,得到提取结果,其中,所述疑似违规数据为未录入所述威胁检测策略库中,且与所述威胁检测策略库中的目标威胁检测策略之间的相似度大于预设相似度阈值的数据;在所述检测结果指示存在所述疑似违规数据的情况下,将所述每个进程产生的行为数据输入至行为分类模型中,输出行为类别,其中,所述行为类别包括:恶意行为类别和正常行为类别;在所述行为类别为所述恶意行为类别的情况下,确认所述检测结果中出现恶意行为。
[0011]可选地,建立关联所述行为数据集合的进程树的步骤,包括:将每个进程作为树节点,查询与所述每个进程具备关联行为的其它进程,其中,所述关联行为至少包括:依赖行为、推送行为;基于所述每个进程与所述其它进程之间的关联行为,勾画所述进程树。
[0012]可选地,基于所述进程树索引与所述恶意进程具备关联行为的其他威胁进程的步骤,包括:基于所述恶意进程的进程标识,定位所述恶意进程在所述进程树中的树节点的节点位置;以所述节点位置为源头,在所述进程树中逆向索引关联所述恶意进程的父节点,直至节点之间的关联行为结束,得到与所述恶意进程具备关联行为的其他威胁进程。
[0013]可选地,在将所述关键行为数据以及所述其他威胁进程发送至控制服务器之后,还包括:所述控制服务器分析所述关键行为数据以及所述恶意进程与所述其他威胁进程之间的关联行为,得到进程威胁行为;将所述进程威胁行为转换为所述新的威胁检测策略。
[0014]根据本专利技术实施例的另一方面,还提供了一种端点的威胁检测装置,包括:获取单元,用于获取目标端点上的客户端的行为数据集合,其中,所述目标端点为目标用户使用的终端所表征的端点,所述行为数据集合中包括多个进程产生的行为数据,所述多个进程至少包括:对所述客户端产生威胁的恶意进程,所述恶意进程是由所述客户端上预设的威胁检测策略检测到的;建立单元,用于建立关联所述行为数据集合的进程树,并基于所述进程树索引与所述恶意进程具备关联行为的其他威胁进程,并提取所述恶意进程的关键行为数据;检测单元,用于将所述关键行为数据以及所述其他威胁进程发送至控制服务器,其中,所述控制服务器在接收到所述关键行为数据以及所述其他威胁进程后,生成新的威胁检测策略,并将所述新的威胁检测策略推送至所有端点上的客户端,所述所有端点包括所述目标端点。
[0015]可选地,端点的威胁检测装置还包括:第一检测模块,用于在获取目标端点上的客户端的行为数据集合之后,分别对每个进程产生的行为数据进行检测,得到检测结果;第一提取模块,用于提取所述检测结果中出现恶意行为的所述恶意进程,并对所述恶意进程进行标识。
[0016]可选地,第一检测模块包括:第一获取子模块,用于获取威胁检测策略库,其中,所述威胁检测策略库中存储N条威胁检测策略,每条所述威胁检测策略对应一种恶意行为,N为大于等于1的正整数;第一匹配子模块,用于将所述每个进程产生的行为数据与每条所述
威胁检测策略进行匹配,得到匹配结果;第一确认子模块,用于在所述匹配结果指示匹配成功的情况下,确认所述检测结果中出现恶意行为。
[0017]可选地,第一检测模块包括:预处理子模块,用于对所述每个进程产生的行为数据进行预处理;第二提取模块,用于提取预处理后的所述每个进程的行为数据中的疑似违规数据,得到提取结果,其中,所述疑似违规数据为未录入所述威胁检测策略库中,且与所述威胁检测策略库中的目标威胁检测策略之间的相似度大于预设相似度阈值的数据;第一输入子模块,用于在所述检测结果指示存在所述疑似违规数据的情况下,将所述每个进程产生的行为数据输入至行为分类模型中,输出行为类本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种端点的威胁检测方法,其特征在于,包括:获取目标端点上的客户端的行为数据集合,其中,所述目标端点为目标用户使用的终端所表征的端点,所述行为数据集合中包括多个进程产生的行为数据,所述多个进程至少包括:对所述客户端产生威胁的恶意进程,所述恶意进程是由所述客户端上预设的威胁检测策略检测到的;建立关联所述行为数据集合的进程树,并基于所述进程树索引与所述恶意进程具备关联行为的其他威胁进程,并提取所述恶意进程的关键行为数据;将所述关键行为数据以及所述其他威胁进程发送至控制服务器,其中,所述控制服务器在接收到所述关键行为数据以及所述其他威胁进程后,生成新的威胁检测策略,并将所述新的威胁检测策略推送至所有端点上的客户端,所述所有端点包括所述目标端点。2.根据权利要求1所述的威胁检测方法,其特征在于,在获取目标端点上的客户端的行为数据集合之后,还包括:分别对每个进程产生的行为数据进行检测,得到检测结果;提取所述检测结果中出现恶意行为的所述恶意进程,并对所述恶意进程进行标识。3.根据权利要求2所述的威胁检测方法,其特征在于,分别对每个进程产生的行为数据进行检测,得到检测结果的步骤,包括:获取威胁检测策略库,其中,所述威胁检测策略库中存储N条威胁检测策略,每条所述威胁检测策略对应一种恶意行为,N为大于等于1的正整数;将所述每个进程产生的行为数据与每条所述威胁检测策略进行匹配,得到匹配结果;在所述匹配结果指示匹配成功的情况下,确认所述检测结果中出现恶意行为。4.根据权利要求3所述的威胁检测方法,其特征在于,分别对每个进程产生的行为数据进行检测,得到检测结果的步骤,包括:对所述每个进程产生的行为数据进行预处理;提取预处理后的所述每个进程的行为数据中的疑似违规数据,得到提取结果,其中,所述疑似违规数据为未录入所述威胁检测策略库中,且与所述威胁检测策略库中的目标威胁检测策略之间的相似度大于预设相似度阈值的数据;在所述检测结果指示存在所述疑似违规数据的情况下,将所述每个进程产生的行为数据输入至行为分类模型中,输出行为类别,其中,所述行为类别包括:恶意行为类别和正常行为类别;在所述行为类别为所述恶意行为类别的情况下,确认所述检测结果中出现恶意行为。5.根据权利要求1所述的威胁检测方法,其特征在于,建立关联所述行为数...
【专利技术属性】
技术研发人员:陆骋怀,林蔡宗,董皓,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。