【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种基于主机入侵检测的特征安全分析方法、装置及介质。
技术介绍
1、现有技术中,存在一些安装在主机侧的主机代理产品(agent),如基于主机型入侵检测系统hids(host-based intrusion detection system)。hids运行依赖于这样一个原理:一个成功的入侵者一般而言都会留下他们入侵的痕迹。这样,计算机管理员就可以察觉到一些系统的修改,hids亦能检测并报告出检测结果。对于每一个正被处理的目标文件来说,hids会记录下他们的属性(如权限、大小、修改时间等)然后,如果该文件有其文件内容的话,hids将会创建一个校验码并储存在一个安全的数据库中,以便将来的核对。
2、然而,使用hids系统仅能对威胁安全的行为进行记录,但是无法准确研判入侵的严重程度。同时,过多的记录不利于系统管理员从中及时发现需要处理的入侵行为。
技术实现思路
1、本专利技术要解决的技术问题,在于提供一种基于主机入侵检测的特征安全分析方法、装置及介质,通过对主机入侵检测结果进行分析和筛选,并结合第三方威胁情报产品的查询结果实现对攻击行为严重程度的判断,从而及时通知系统管理员排除威胁,保障主机安全。
2、第一方面,本专利技术提供了一种基于主机入侵检测的特征安全分析方法,包括:
3、从主机端的hids的安全数据库获取检测记录;
4、逐一对检测记录进行分析,得到包括进程名称、文件的md5值、应用版本、应用日志以及命令
5、根据返回的查询结果得到攻击阶段的分析结果并通知系统管理员。
6、进一步地,所述对所述一项或多项的分析结果按评估的恶意程度和对应的系数占比进行计算,得到评估值,具体包括:
7、分别设置进程名称、文件的md5值、应用版本、应用日志以及命令行参数对应的系数;
8、分别建立进程名称、文件的md5值、应用版本、应用日志以及命令行参数对应的不同恶意程度的数据库;
9、将所述一项或多项的分析结果分别与对应的不同恶意程度的数据库进行匹配,当匹配成功时,根据匹配的数据库对应的恶意程度得到的恶意值,然后将恶意值与对应的系数占比进行加权计算,得到评估值。
10、进一步地,所述方法还包括:对所述不同恶意程度的数据库的数据进行更新以及动态调整各项系数占比。
11、第二方面,本专利技术提供了一种基于主机入侵检测的特征安全分析装置,包括:
12、记录获取模块,用于从主机端的hids的安全数据库获取检测记录;
13、分析评估模块,用于逐一对检测记录进行分析,得到包括进程名称、文件的md5值、应用版本、应用日志以及命令行参数在内的一项或多项的分析结果;对所述一项或多项的分析结果按评估的恶意程度和对应的系数占比进行计算,得到评估值,并与预设的阈值进行比较,当评估值高于所述阈值时,将分析结果发送到第三方威胁情报产品并获取返回的查询结果;
14、通知模块,用于根据返回的查询结果得到攻击阶段的分析结果并通知系统管理员。
15、进一步地,所述分析评估模块中,对所述一项或多项的分析结果按评估的恶意程度和对应的系数占比进行计算,得到评估值,具体包括:
16、分别设置进程名称、文件的md5值、应用版本、应用日志以及命令行参数对应的系数;
17、分别建立进程名称、文件的md5值、应用版本、应用日志以及命令行参数对应的不同恶意程度的数据库;
18、将所述一项或多项的分析结果分别与对应的不同恶意程度的数据库进行匹配,当匹配成功时,根据匹配的数据库对应的恶意程度得到的恶意值,然后将恶意值与对应的系数占比进行加权计算,得到评估值。
19、进一步地,所述分析评估模块还用于:对所述不同恶意程度的数据库的数据进行更新以及动态调整各项系数占比。
20、第三方面,本专利技术提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面所述的方法。
21、本专利技术实施例中提供技术方案,至少具有如下技术效果点:
22、通过获取hids的安全数据库的检测记录并分析,根据包括进程名称、文件的md5值、应用版本、应用日志以及命令行参数在内的项目先初步评估攻击的恶意程度,再将评估值较高的结果自动发送到第三方威胁情报产品,通过更为全面准确的数据库实现对攻击行为严重程度的判断,从而能及时且有效地系统管理员排除威胁,保障主机安全,同时避免低危胁的查询过度消耗主机网络资源。
23、上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
本文档来自技高网...【技术保护点】
1.一种基于主机入侵检测的特征安全分析方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于:所述对所述一项或多项的分析结果按评估的恶意程度和对应的系数占比进行计算,得到评估值,具体包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:对所述不同恶意程度的数据库的数据进行更新以及动态调整各项系数占比。
4.一种基于主机入侵检测的特征安全分析装置,其特征在于,包括:
5.根据权利要求4所述的装置,其特征在于:所述分析评估模块中,对所述一项或多项的分析结果按评估的恶意程度和对应的系数占比进行计算,得到评估值,具体包括:
6.根据权利要求5所述的装置,其特征在于,所述分析评估模块还用于:对所述不同恶意程度的数据库的数据进行更新以及动态调整各项系数占比。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至3任一项所述的方法。
【技术特征摘要】
1.一种基于主机入侵检测的特征安全分析方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于:所述对所述一项或多项的分析结果按评估的恶意程度和对应的系数占比进行计算,得到评估值,具体包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:对所述不同恶意程度的数据库的数据进行更新以及动态调整各项系数占比。
4.一种基于主机入侵检测的特征安全分析装置,其特征在于,包括:
<...【专利技术属性】
技术研发人员:王辉,陈爱泉,孙鑫斌,余美书,李基爱,陈阳阳,陈智钦,彭斌,
申请(专利权)人:福建省星云大数据应用服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。