【技术实现步骤摘要】
本申请涉及安全校验的,尤其是涉及一种主机安全校验方法、装置、设备及介质。
技术介绍
1、在网络技术不断发展的同时,网络攻击技术也在不断发展,网络恶意攻击行为也变得越来越多样化,故而,越来越多的入侵检测防御系统通常会配置多个正则表达式执行匹配任务,以进行主机安全检测。
2、相关技术中,对于主机安全的校验是通过主机运行时态监控采集到的数据通过两个校验节点进行一次性判断,但是当管理员进行正常的日志清理时,采集到的正常日志清理的数据也会因为两个校验节点进行错误拦截。
3、因此,如果减少主机的错误拦截,是本领域技术人员亟待解决的技术问题。
技术实现思路
1、为了减少主机的错误拦截,本申请提供了一种主机安全校验方法、装置、设备及介质。
2、第一方面,本申请提供一种主机安全校验方法,采用如下的技术方案:
3、一种主机安全校验方法,包括:
4、获取当前周期的多个主机操作行为信息,主机操作行为信息表征同一进程id下同一主机操作对应的信息;
5、判断所述多个主机操作行为信息中是否存在异常信息;
6、若所述多个主机操作行为信息中存在异常信息,则判断若干异常信息中是否存在高风险信息;
7、若所述若干异常信息中存在高风险信息,则根据所述多个主机操作行为信息进行主机操作的拦截。
8、通过采用上述技术方案,通过判断获取的多个主机操作行为信息中是否存在异常信息,若存在,则判断若干异常信息中是否存在高风险信息
9、本申请在一较佳示例中可以进一步配置为:所述获取当前周期的多个主机操作行为信息包括:
10、获取利用hook技术hook到的当前周期的多个主机操作行为各自对应的初始信息,初始信息表征同一进程id下主机函数信息;
11、将多个主机操作行为各自对应的所述初始信息结构化,得到多个结构化初始信息;
12、根据所述多个结构化初始信息从对应关系中确定所有主机操作行为信息,以得到所有结构化初始信息对应的所有主机操作行为信息,其中所述对应关系为不同结构化初始信息与不同主机操作行为信息的对应关系。
13、通过采用上述技术方案,通过对获取的hook技术hook到的多个主机操作行为各自对应的初始信息进行结构化,得到多个结构化初始信息,并根据多个结构化初始信息从不同结构化初始信息与不同主机操作行为信息的对应关系中确定所有主机操作行为信息,避免了无法根据hook到的多个主机操作行为各自对应的初始信息的确定主机操作行为问题。
14、本申请在一较佳示例中可以进一步配置为:所述判断所述若干异常信息中是否存在高风险信息包括:
15、获取预设高风险信息集合,所述预设高风险信息集合为对主机有威胁,需要进行拦截的信息的集合;
16、判断所述预设高风险信息集合中是否存在与所述若干异常信息中每一异常信息相同的信息;
17、若存在,则确定所述若干异常信息中存在高风险信息。
18、通过采用上述技术方案,通过判断预设高风险信息集合中是否存在与异常信息相同的信息,若存在,则确定若干异常信息存在高风险信息,提高了判断若干异常信息中存在高风险信息的准确性。
19、本申请在一较佳示例中可以进一步配置为:所述获取预设高风险信息集合包括:
20、判断所述异常信息中是否存在下行指令信息;
21、若存在,则获取预设高风险信息集合,预设高风险信息集合为预设第一错误信息集合,预设第一错误信息集合为预设高风险信息低一级的信息集合;
22、相应的,所述判断所述预设高风险信息集合中是否存在与所述若干异常信息中每一异常信息相同的信息包括:
23、判断所述预设第一错误信息集合是否存在与所述若干异常信息中每一异常信息相同的信息。
24、通过采用上述技术方案,通过判断所述异常信息中是否存在下行指令信息,若存在,则获取预设高风险信息集合,预设高风险信息集合为预设第一错误信息集合,预设第一错误信息集合为预设高风险信息低一级的信息集合,提高了主机安全校验的实用性。
25、本申请在一较佳示例中可以进一步配置为:所述获取预设高风险信息集合包括:
26、判断所述异常信息中是否存在上行指令信息;
27、若存在,则获取预设高风险信息集合,预设高风险信息集合为预设第二错误信息集合,预设第二错误信息集合为预设高风险信息高一级的信息集合;
28、相应的,所述判断所述预设高风险信息集合中是否存在与所述若干异常信息中每一异常信息相同的信息包括:
29、判断所述预设第二错误信息集合是否存在与所述若干异常信息中每一异常信息相同的信息。
30、通过采用上述技术方案,通过判断所述异常信息中是否存在上行指令信息,若存在,则获取预设高风险信息集合,预设高风险信息集合为预设第二错误信息集合,预设第二错误信息集合为预设高风险信息高一级的信息集合,提高了主机安全校验的实用性。
31、本申请在一较佳示例中可以进一步配置为:所述若所述若干异常信息中存在高风险信息,则根据所述多个主机操作行为信息进行主机操作的拦截包括:
32、若所述若干异常信息中存在高风险信息,则判断所述多个主机操作行为信息中是否存在安全操作信息;
33、若所述多个主机操作行为信息中不存在安全操作信息,则根据所述多个主机操作行为信息进行主机操作的拦截。
34、通过采用上述技术方案,当若干异常信息中存在高风险信息,通过判断多个主机操作行为信息中是否存在安全操作信息,若不存在,则根据多个主机操作者行为进行主机操作的拦截,提高了主机安全校验的实用性。
35、本申请在一较佳示例中可以进一步配置为:在所述若所述若干异常信息中存在高风险信息,则根据所述多个主机操作行为信息进行主机操作的拦截之后,还包括:
36、获取下一周期的多个主机操作行为信息;
37、将所述下一周期的多个主机操作行为信息作为当前周期的多个主机操作行为信息执行主机安全校验方法。
38、通过采用上述技术方案,通过将获取的下一周期的多个主机操作行为信息作为当前周期的多个主机操作行为信息执行主机安全校验方法,避免了当前周期主机安全校验结束,重新对主机安全校验进行触发,提高了主机安全校验方法的实用性。
39、第二方面,本申请提供一种主机安全校验装置,采用如下的技术方案:
40、一种主机安全校验装置,包括,
41、第一获取模块:用于获取当前周期的多个主机操作行为信息,主机操作行为信息表征同一进程id下同一主机操作对应的信息;
42、第一判断模块:用于判断所述多个主机操作行为信息中是否存在异常信息;
43、第二判断模块本文档来自技高网...
【技术保护点】
1.一种主机安全校验方法,其特征在于,包括:
2.根据权利要求1所述的主机安全校验方法,其特征在于,所述获取当前周期的多个主机操作行为信息包括:
3.根据权利要求1所述的主机安全校验方法,其特征在于,所述判断所述若干异常信息中是否存在高风险信息包括:
4.根据权利要求3所述的主机安全校验方法,其特征在于,所述获取预设高风险信息集合包括:
5.根据权利要求3所述的主机安全校验方法,其特征在于,所述获取预设高风险信息集合包括:
6.根据权利要求1所述的主机安全校验方法,其特征在于,所述若所述若干异常信息中存在高风险信息,则根据所述多个主机操作行为信息进行主机操作的拦截包括:
7.根据权利要求1至6中任一项所述的主机安全校验方法,其特征在于,在所述若所述若干异常信息中存在高风险信息,则根据所述多个主机操作行为信息进行主机操作的拦截之后,还包括:
8.一种主机安全校验装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,其上存储有
...【技术特征摘要】
1.一种主机安全校验方法,其特征在于,包括:
2.根据权利要求1所述的主机安全校验方法,其特征在于,所述获取当前周期的多个主机操作行为信息包括:
3.根据权利要求1所述的主机安全校验方法,其特征在于,所述判断所述若干异常信息中是否存在高风险信息包括:
4.根据权利要求3所述的主机安全校验方法,其特征在于,所述获取预设高风险信息集合包括:
5.根据权利要求3所述的主机安全校验方法,其特征在于,所述获取预设高风险信息集合包括:
6.根据权利要求1所述的主机安全校验方法,其特征在于,所...
【专利技术属性】
技术研发人员:郑志永,徐锋,应勇,沈伟,王剑锋,
申请(专利权)人:杭州孝道科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。