【技术实现步骤摘要】
本专利技术涉及安全监测,尤其涉及一种应用安全监测系统及方法。
技术介绍
1、业务应用高度汇聚的同时,由于存在供应链复杂、更新迭代快、上下线频繁等特点,运行在业务中台基础软件之上的应用安全性也成为确保业务可持续的保障重点。
2、当前,常用的应用软件安全性分析方法主要有终端安全检测(edr)技术与沙箱(sandbox)技术。edr擅长做已知威胁的检测,沙箱常用于未知威胁(如apt)的分析,现有安全沙箱技术,构建安全沙箱环境需要基于额外的硬件资源、网络资源,复制各种基础软件、应用软件、网络服务等,构建的成本较大;“绕过”沙箱检测的成本远低于对抗“绕过”的各种技术成本,检测结果具有不确定性;往往以单机方式在隔离环境中运行被检测的应用程序,往往不具备真实应用环境所具有的网络连接、业务流程、用户活动、流量数据、外设硬件等,检测结果无法保证正确性;只能做安全性分析,无法对安全风险做直接的控制。
技术实现思路
1、本专利技术的主要目的在于提供一种应用安全监测系统及方法,旨在解决现有技术安全监测成本高、监测结果准确性较低且无法直接控制安全风险的技术问题。
2、为实现上述目的,本专利技术提供了一种应用安全监测系统,所述应用安全监测系统包括数据采集模块以及应用安全监控模块,所述应用安全监控模块包括监测数据收集与处理子模块、分析子模块以及应用安全告警子模块;
3、所述数据采集模块,用于采集被监测应用的监测数据;
4、所述监测数据收集与处理子模块,用于接收所述
5、所述分析子模块,用于对所述一致性监测数据、接口调用监测数据、敏感文件操作监测数据以及应用程序行为监测数据根据预设风险规则进行关联分析,得到目标分析结果;
6、所述应用安全告警子模块,用于根据所述目标分析结果确定被监测应用的潜在安全风险并进行告警。
7、可选地,所述数据采集模块包括采集子模块和发送子模块;
8、所述采集子模块,用于基于内核虚拟机和应用安全监测流量探针采集被监测应用的监测数据;
9、所述发送子模块,用于将所述被监测应用的监测数据发送至所述监测数据收集与处理子模块。
10、可选地,所述采集子模块,还用于基于所述内核虚拟机得到监测事件信息;
11、通过所述应用安全监测流量探针根据预设采集策略采集所述监测事件信息中的目标信息,得到被监测应用的监测数据。
12、可选地,所述采集子模块,还用于获取用户空间开发的ebpf程序代码;
13、通过预设编译器对所述ebpf程序代码进行编译,得到ebpf字节码;
14、通过预设加载程序将所述ebpf字节码加载至预设操作系统内核;
15、通过验证器组件对所述ebpf字节码进行安全性验证;
16、若所述ebpf字节码安全,通过预设即时编译器对所述ebpf字节码进行优化,得到目标ebpf字节码程序;
17、通过所述目标ebpf字节码程序执行目标事件,得到监测事件信息。
18、可选地,所述采集子模块,还用于根据所述预设即时编译器的功能选项判断是否对所述ebpf字节码进行优化;
19、若所述预设即时编译器的功能选项为第一预设值,则确定所述预设即时编译器处于可用状态,并执行所述通过预设即时编译器对所述ebpf字节码进行优化,得到目标ebpf字节码程序的步骤。
20、可选地,所述采集子模块,还用于若所述预设即时编译器的功能选项为第二预设值,则确定所述预设即时编译器处于不可用状态且不对所述ebpf字节码进行优化;
21、通过所述预设操作系统内核调用预设函数执行ebpf字节码,将所述ebpf字节码作为目标ebpf字节码程序。
22、可选地,所述采集子模块,还用于通过预设操作系统内核调用所述预设即时编译器;
23、通过所述预设即时编译器将所述ebpf字节码编译为对应的机器码,得到目标ebpf字节码程序。
24、可选地,所述采集子模块,还用于设定多个hook点;
25、当预设操作系统内核或者被检测应用经过目标hook点时,实时运行所述目标ebpf字节码程序,生成目标事件目标。
26、可选地,所述预设风险规则包括一致性风险规则、接口风险规则、敏感文件风险规则以及应用程序行为风险规则,所述分析子模块包括一致性分析子模块、接口调用分析子模块、敏感文件操作分析子模块以及应用程序行为分析子模块;
27、所述一致性分析子模块,用于根据一致性风险规则对所述一致性监测数据进行分析,得到一致性分析结果;
28、所述接口调用分析子模块,用于根据接口风险规则对所述接口调用监测数据进行分析,得到接口调用分析结果;
29、所述敏感文件操作分析子模块,用于根据敏感文件风险规则对所述敏感文件操作监测数据进行分析,得到敏感文件操作分析结果;
30、所述应用程序行为分析子模块,用于根据应用程序行为风险规则对所述应用程序行为监测数据进行分析,得到应用程序行为分析结果。
31、此外,为实现上述目的,本专利技术还提出一种应用安全监测方法,所述应用安全监测方法应用于如上文所述的应用安全监测系统,所述方法包括:
32、数据采集模块采集被监测应用的监测数据;
33、监测数据收集与处理子模块接收所述监测数据并对所述监测数据进行分类存储,得到一致性监测数据、接口调用监测数据、敏感文件操作监测数据以及应用程序行为监测数据;
34、分析子模块对所述一致性监测数据、接口调用监测数据、敏感文件操作监测数据以及应用程序行为监测数据根据预设风险规则进行关联分析,得到目标分析结果;
35、应用安全告警子模块根据所述目标分析结果确定被监测应用的潜在安全风险并进行告警。
36、本专利技术提出的应用安全监测系统包括数据采集模块以及应用安全监控模块,所述应用安全监控模块包括监测数据收集与处理子模块、分析子模块以及应用安全告警子模块;所述数据采集模块,用于采集被监测应用的监测数据;所述监测数据收集与处理子模块,用于接收所述监测数据并对所述监测数据进行分类存储,得到一致性监测数据、接口调用监测数据、敏感文件操作监测数据以及应用程序行为监测数据;所述分析子模块,用于对所述一致性监测数据、接口调用监测数据、敏感文件操作监测数据以及应用程序行为监测数据根据预设风险规则进行关联分析,得到目标分析结果;所述应用安全告警子模块,用于根据所述目标分析结果确定被监测应用的潜在安全风险并进行告警。通过上述方式,监测数据收集与处理子模块对被监测应用的监测数据进行分类存储后,通过分析子模块对应的预设风险规则进行关联分析,应用安全告警子模块根据分析结果确定被监测应用的潜在安全风险进行告警,解决了目前安全监测成本高、监测结果准确性本文档来自技高网...
【技术保护点】
1.一种应用安全监测系统,其特征在于,所述应用安全监测系统包括数据采集模块以及应用安全监控模块,所述应用安全监控模块包括监测数据收集与处理子模块、分析子模块以及应用安全告警子模块;
2.如权利要求1所述的系统,其特征在于,所述数据采集模块包括采集子模块和发送子模块;
3.如权利要求2所述的系统,其特征在于,所述采集子模块,还用于基于所述内核虚拟机得到监测事件信息;
4.如权利要求3所述的系统,其特征在于,所述采集子模块,还用于获取用户空间开发的eBPF程序代码;
5.如权利要求4所述的系统,其特征在于,所述采集子模块,还用于根据所述预设即时编译器的功能选项判断是否对所述eBPF字节码进行优化;
6.如权利要求5所述的系统,其特征在于,所述采集子模块,还用于若所述预设即时编译器的功能选项为第二预设值,则确定所述预设即时编译器处于不可用状态且不对所述eBPF字节码进行优化;
7.如权利要求4所述的系统,其特征在于,所述采集子模块,还用于通过预设操作系统内核调用所述预设即时编译器;
8.如权利要求4所述
9.如权利要求1所述的系统,其特征在于,所述预设风险规则包括一致性风险规则、接口风险规则、敏感文件风险规则以及应用程序行为风险规则,所述分析子模块包括一致性分析子模块、接口调用分析子模块、敏感文件操作分析子模块以及应用程序行为分析子模块;
10.一种应用安全监测方法,其特征在于,所述应用安全监测方法应用于如权利要求1至9中任一项所述的应用安全监测系统,所述方法包括:
...【技术特征摘要】
1.一种应用安全监测系统,其特征在于,所述应用安全监测系统包括数据采集模块以及应用安全监控模块,所述应用安全监控模块包括监测数据收集与处理子模块、分析子模块以及应用安全告警子模块;
2.如权利要求1所述的系统,其特征在于,所述数据采集模块包括采集子模块和发送子模块;
3.如权利要求2所述的系统,其特征在于,所述采集子模块,还用于基于所述内核虚拟机得到监测事件信息;
4.如权利要求3所述的系统,其特征在于,所述采集子模块,还用于获取用户空间开发的ebpf程序代码;
5.如权利要求4所述的系统,其特征在于,所述采集子模块,还用于根据所述预设即时编译器的功能选项判断是否对所述ebpf字节码进行优化;
6.如权利要求5所述的系统,其特征在于,所述采集子模块,还用于若...
【专利技术属性】
技术研发人员:焦天宇,郑垚,丁波,潘庆鸿,
申请(专利权)人:中移动信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。