【技术实现步骤摘要】
本申请涉及进程异常行为检测,尤其涉及linux进程异常行为的检测方法、装置、设备及存储介质。
技术介绍
1、目前,网络安全威胁正呈现全球蔓延的态势,来自境外的恶意程序逐年上升,有特殊目的的、针对性更强的攻击越来越多,我国感染恶意程序的主机数量高达300万台,同比增长26%,国家信息安全漏洞共享平台收录通用型安全漏洞同比大幅增长89%,其中有超过86%的漏洞都是与主机相关。因此,企业主机极易受到外部入侵者的攻击,导致服务主机不可用、资源被滥用或者重要信息被窃取。其次,linux版本众多,包括debian、centos、redhat等多种主流linux发行版本。由于系统的多样性以及运行服务的多样化,导致管理员通过人工发现异常、处理异常变得复杂且困难,而且人工检测常常带有滞后性和遗漏性。
2、入侵检测系统(ids)作为目前业内最常用的安全保障机制在面对不同的攻击时提供数据完整性、机密性以及系统可用性的保护。ids通过监视网络或主机中实时的数据以检测恶意活动,如ddos攻击、端口扫描,当检测到恶意活动后它将生成警报。根据检测攻击的方...
【技术保护点】
1.一种linux进程异常行为的检测方法,其特征在于,所述linux进程异常行为的检测方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于预设采集周期采集系统中的全部进程的资源使用信息的步骤包括:
3.如权利要求1所述的方法,其特征在于,所述根据所述资源使用信息对所述全部进程中的每个进程进行行为画像,得到进程行为画像的步骤包括:
4.如权利要求1所述的方法,其特征在于,所述基于进程检测模型对所述进程行为画像进行异常检测,得到所述进程行为画像的孤立值,在所述孤立值为预设异常值时,根据所述孤立值得到异常行为特征,所述进程检测模型...
【技术特征摘要】
1.一种linux进程异常行为的检测方法,其特征在于,所述linux进程异常行为的检测方法包括:
2.如权利要求1所述的方法,其特征在于,所述基于预设采集周期采集系统中的全部进程的资源使用信息的步骤包括:
3.如权利要求1所述的方法,其特征在于,所述根据所述资源使用信息对所述全部进程中的每个进程进行行为画像,得到进程行为画像的步骤包括:
4.如权利要求1所述的方法,其特征在于,所述基于进程检测模型对所述进程行为画像进行异常检测,得到所述进程行为画像的孤立值,在所述孤立值为预设异常值时,根据所述孤立值得到异常行为特征,所述进程检测模型由改进的孤立森林算法得到,所述改进的孤立森林算法新增孤立特征的计算与统计的步骤包括:
5.如权利要求4所述的方法,其特征在于,所述获取所述进程当前的资源使用日志的步骤之后,还包括:
6.如权利要求5所述的方法,其特征在于,所述在所述有效用户类型为超级用户时,将所述当前进程确定为特权进程,基于特权进...
【专利技术属性】
技术研发人员:丁哲宇,费丽颖,奚英泽,李停停,胡栋,
申请(专利权)人:东风汽车集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。