【技术实现步骤摘要】
本专利技术属于进程异常行为检测方法,涉及一种自适应识别进程链异常行为的方法,更确切地说,是一种自适应识别进程远程漏洞利用攻击行为的检测方法。
技术介绍
1、主机与容器安全领域中,当服务被远程漏洞利用后,其进程会执行攻击者的恶意行为,因此对进程信息的采集以及检测是非常重要的一种方法。围绕此类进程行为的异常检测,业界已有较多方法,典型的例如通过定制化的规则进行精准检测,假如父进程是java,并且父进程命令参数中有elasticsearch服务相关参数特征,当这个父进程的子进程产生了bash、whoami、ping、curl、wget等行为时则产生该服务存在远程命令执行风险的告警,该检测可以做到较好的准确性,但是由于需要逐个适配各个应用,而java、go等程序应用的名称无固定规律,所以此类方法存在较严重的漏报问题以及规则难以维护。
2、另外,虽然近年来出现了一些机器学习的检测方法,执行相关检测不再需要人工维护精细化的规则,但是,该类检测告警缺少可解释性,而且误报率无法控制,存在较多误报。
技术实现思路
1、为了克服现有的进程行为异常检测方法存在的上述缺陷,本专利技术提出了一种新的自适应识别进程链异常行为的方法,本方法是一种可以自适应生成精细化检测规则的方法,通过本方法可以做到精准识别的同时无需人工进行规则维护,解决了既要检测准确又要覆盖范围广还要无需人工维护规则的难题。
2、本方法主要通过采集终端进程基础信息以及终端进程网络信息进行关联碰撞后生成聚合进程与网络信息
3、具体地,本专利技术提供了一种自适应识别进程链异常行为的方法,本方法包括:
4、s1.日志采集与关联:采集终端进程信息,并聚合采集到的进程与网络信息;
5、s2.自适应生成灰度规则:识别自适应规则防护进程,根据系统内置的进程威胁行为集生成灰度规则;
6、s3.自适应规则进程行为检测:采集检测日志,基于该日志匹配自适应规则进行进程行为检测;根据灰度规则逻辑检测的结果作为灰度数据进行分析;灰度规则转换为正式规则后,检测到进程异常行为时直接进行进程异常行为告警。
7、进一步地,本专利技术自适应识别进程链异常行为的方法步骤s1中所述的采集终端进程信息,并聚合采集到的进程与网络信息,包括:
8、s11.通过ps、遍历/proc逐层识别等方式采集终端进程基础信息,所述终端进程基础信息包括:进程名、pid、运行用户、进程状态、进程版本、进程路径、是否包安装、进程cmd;
9、s12.通过netstat、遍历/proc逐层识别等方式采集终端进程网络信息,所述终端进程网络信息包括:端口号、绑定ip、协议、进程名、pid、运行用户、进程启动时间;
10、s13.根据进程pid对采集到的终端进程基础信息和终端进程网络信息进行聚合产出。
11、进一步地,本专利技术自适应识别进程链异常行为的方法步骤s2中所述的自适应生成灰度规则,包括:
12、s21.识别自适应规则防护进程,对聚合进程与网络信息,过滤监听了网络端口的进程信息;
13、s22.根据系统内置的进程威胁行为集自适应生成初始灰度规则;
14、s23.系统监控自适应规则防护进程信息的更新,获取相关应用的进程pid信息,基于内置的进程威胁行为集补充获得更新的灰度规则。
15、进一步地,本专利技术自适应识别进程链异常行为的方法步骤s3中所述的自适应规则进程行为检测,包括:
16、s31.采集包含终端进程启动信息的检测日志,基于该日志匹配自适应规则;
17、s32.进行自适应规则检测,检测引擎匹配后包含该进程的所有基础信息,所述基础信息包括进程链信息、进程端口信息、进程ip信息;
18、s33.根据灰度规则逻辑进行检测,检测的结果不直接作为进程异常行为告警,只作为灰度数据进行分析;
19、s34.灰度时间完成后,将灰度规则转换为正式规则,检测到进程异常行为时直接进行进程异常行为告警;
20、s35.当出现告警误报时,用户对误报进行告警忽略或在告警忽略的同时进行自适应规则调整。
21、进一步地,本专利技术自适应识别进程链异常行为的方法步骤s31中所述的检测日志采集是通过ebpf、audit、hook的方式实现的。
22、进一步地,本专利技术自适应识别进程链异常行为的方法步骤s33中所述的根据灰度规则逻辑检测的结果作为灰度数据进行分析,包括:根据灰度规则逻辑检测的结果,如果灰度时间内同一个进程产生大于阈值次数的进程威胁行为,则在最终的正式规则中将该威胁行为检测移除。
23、进一步地,本专利技术自适应识别进程链异常行为的方法步骤s34中所述的灰度时间完成后,将灰度规则转换为正式规则,转换方式包括以下两种:
24、(1)人工审核生效模式:灰度规则完成灰度时间后,灰度自调整规则由人工在控制台查看、调整或确认,人工确认后转换为正式规则;
25、(2)自动生效模式:灰度规则完成灰度时间后,灰度自调整规则自动转换为正式规则。
26、另外,本专利技术还提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现上述的自适应识别进程链异常行为的方法的步骤。
27、另一方面,本专利技术还提供了一种自适应识别进程链异常行为的系统,本系统包括:
28、信息采集模块:采集终端进程信息,并聚合采集到的进程与网络信息;
29、灰度规则生成模块:识别自适应规则防护进程,根据系统内置的进程威胁行为集自适应生成灰度规则;
30、规则转换模块:灰度时间完成后,将灰度规则转换为正式规则;
31、规则匹配模块:基于检测日志匹配自适应规则进行进程行为检测;
32、进程行为检测模块:利用灰度规则或正式规则进行进程行为检测;
33、数据分析模块:分析根据灰度规则逻辑检测获得的灰度数据;
34、异常行为告警模块:检测到进程异常行为时进行进程异常行为告警。
35、各模块按照前述的自适应识别进程链异常行为的方法实施运行。
36、综上,本专利技术自适应识别进程链异常行为的方法通过自适应识别进程信息来自动生成进程威胁行为检测规则,并自动对规则进行灰度评估以及根据灰度评估结果再次自适应优化调整规则,实现了精准检测进程远程漏洞利用攻击行为的目的,且由于是自适应规则,有效的解决了传统方案中规则漏报以及难以维护的问题。
本文档来自技高网...【技术保护点】
1.一种自适应识别进程链异常行为的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的自适应识别进程链异常行为的方法,其特征在于,步骤S1中所述的采集终端进程信息,并聚合采集到的进程与网络信息,包括:
3.根据权利要求1所述的自适应识别进程链异常行为的方法,其特征在于,步骤S2中所述的自适应生成灰度规则,包括:
4.根据权利要求1所述的自适应识别进程链异常行为的方法,其特征在于,步骤S3中所述的自适应规则进程行为检测,包括:
5.根据权利要求4所述的自适应识别进程链异常行为的方法,其特征在于,步骤S31中所述的检测日志采集是通过Ebpf、Audit、Hook的方式实现的。
6.根据权利要求4所述的自适应识别进程链异常行为的方法,其特征在于,步骤S33中所述的根据灰度规则逻辑检测的结果作为灰度数据进行分析,包括:根据灰度规则逻辑检测的结果,如果灰度时间内同一个进程产生大于阈值次数的进程威胁行为,则在最终的正式规则中将该威胁行为检测移除。
7.根据权利要求4所述的自适应识别进程链异常行为的方法,其特征在于,
8.一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述程序被处理器执行时实现权利要求1-7任一项所述的自适应识别进程链异常行为的方法的步骤。
9.一种自适应识别进程链异常行为的系统,其特征在于,所述系统包括:
...【技术特征摘要】
1.一种自适应识别进程链异常行为的方法,其特征在于,所述方法包括:
2.根据权利要求1所述的自适应识别进程链异常行为的方法,其特征在于,步骤s1中所述的采集终端进程信息,并聚合采集到的进程与网络信息,包括:
3.根据权利要求1所述的自适应识别进程链异常行为的方法,其特征在于,步骤s2中所述的自适应生成灰度规则,包括:
4.根据权利要求1所述的自适应识别进程链异常行为的方法,其特征在于,步骤s3中所述的自适应规则进程行为检测,包括:
5.根据权利要求4所述的自适应识别进程链异常行为的方法,其特征在于,步骤s31中所述的检测日志采集是通过ebpf、audit、hook的方式实现的。
6.根据权利要...
【专利技术属性】
技术研发人员:许祥,
申请(专利权)人:中电云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。