[發(fā)明專利]一種安全檢測方法、裝置、電子設(shè)備及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202210188255.X | 申請日: | 2022-02-28 |
| 公開(公告)號: | CN114629696A | 公開(公告)日: | 2022-06-14 |
| 發(fā)明(設(shè)計(jì))人: | 劉紫千;常力元;孫福興;李金偉;余啟明;顧慶崴;陳林;劉長波 | 申請(專利權(quán))人: | 天翼安全科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京同達(dá)信恒知識產(chǎn)權(quán)代理有限公司 11291 | 代理人: | 盧志娟 |
| 地址: | 100010 北京市東*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 安全 檢測 方法 裝置 電子設(shè)備 存儲 介質(zhì) | ||
1.一種安全檢測方法,其特征在于,包括:
獲取待檢測的目標(biāo)終端的終端運(yùn)行數(shù)據(jù),其中,所述終端運(yùn)行數(shù)據(jù)中記錄針對所述目標(biāo)終端觸發(fā)的至少一個終端操作行為;
基于預(yù)設(shè)的檢測規(guī)則,對獲得的至少一個終端操作行為進(jìn)行異常分析,并基于分析結(jié)果,從所述至少一個終端操作行為中,確定待檢測的至少一個異常操作行為;
基于所述至少一個異常操作行為各自的操作類型,確定所述目標(biāo)終端中,相應(yīng)操作類型各自的累積操作次數(shù),并基于獲得的各個累積操作次數(shù),生成相應(yīng)的目標(biāo)告警信息;
將所述目標(biāo)告警信息及所述終端運(yùn)行數(shù)據(jù)發(fā)往指定的管理服務(wù)器,進(jìn)行針對所述目標(biāo)終端的安全檢測分析。
2.如權(quán)利要求1所述的方法,其特征在于,所述獲取待檢測的目標(biāo)終端的終端運(yùn)行數(shù)據(jù),包括:
對待檢測的目標(biāo)終端進(jìn)行實(shí)時監(jiān)測,獲取所述目標(biāo)終端的終端日志數(shù)據(jù),其中,所述終端日志數(shù)據(jù)中記錄針對所述目標(biāo)終端觸發(fā)的至少一個終端操作行為;
基于預(yù)設(shè)的解析規(guī)則,對所述終端日志數(shù)據(jù)進(jìn)行解析,并基于解析結(jié)果,從所述終端日志數(shù)據(jù)中,確定待檢測的終端運(yùn)行數(shù)據(jù)。
3.如權(quán)利要求1或2所述的方法,其特征在于,所述基于預(yù)設(shè)的檢測規(guī)則,對獲得的至少一個終端操作行為進(jìn)行異常分析,并基于分析結(jié)果,從所述至少一個終端操作行為中,確定待檢測的至少一個異常操作行為,包括:
對所述至少一個終端操作行為中,相應(yīng)操作時間滿足預(yù)設(shè)檢測時間條件的各個終端操作行為進(jìn)行聚合,并基于聚合結(jié)果,從所述至少一個終端操作行為中,確定待檢測的至少一個操作行為組合;
基于預(yù)設(shè)的異常行為序列,分別對獲得的至少一個操作行為組合進(jìn)行異常分析,并基于分析結(jié)果,從所述至少一個終端操作行為中,確定待檢測的至少一個異常操作行為。
4.如權(quán)利要求3所述的方法,其特征在于,所述基于預(yù)設(shè)的異常行為序列,分別對獲得的至少一個操作行為組合進(jìn)行異常分析,包括:
針對所述至少一個操作行為組合,分別執(zhí)行以下操作:
確定一個操作行為組合與所述異常行為序列之間的相似度;
若所述相似度小于預(yù)設(shè)的相似度門限,則確定所述一個操作行為組合包含的各個終端操作行為,為相應(yīng)的正常操作行為;
若所述相似度不小于預(yù)設(shè)的相似度門限,則確定所述一個操作行為組合包含的各個終端操作行為,為相應(yīng)的異常操作行為。
5.如權(quán)利要求3所述的方法,其特征在于,所述基于所述至少一個異常操作行為各自的操作類型,確定所述目標(biāo)終端中,相應(yīng)操作類型各自的累積操作次數(shù)之前,還包括:
針對所述至少一個異常操作行為,分別生成相應(yīng)的異常告警信息,其中,所述異常告警信息至少包含:相應(yīng)異常操作行為的操作時間以及操作類型;
將獲得的各個異常告警信息發(fā)往指定的管理服務(wù)器,進(jìn)行針對所述目標(biāo)終端的異常告警。
6.如權(quán)利要求1或2所述的方法,其特征在于,所述基于獲得的各個累積操作次數(shù),生成相應(yīng)的目標(biāo)告警信息,包括:
基于獲得的各個累積操作次數(shù),分別生成針對相應(yīng)操作類型的累積告警信息;
基于預(yù)設(shè)的統(tǒng)計(jì)規(guī)則,對獲得的各個累積告警信息進(jìn)行聚合,生成相應(yīng)的目標(biāo)告警信息。
7.一種安全檢測裝置,其特征在于,包括:
獲取模塊,用于獲取待檢測的目標(biāo)終端的終端運(yùn)行數(shù)據(jù),其中,所述終端運(yùn)行數(shù)據(jù)中記錄針對所述目標(biāo)終端觸發(fā)的至少一個終端操作行為;
檢測模塊,用于基于預(yù)設(shè)的檢測規(guī)則,對獲得的至少一個終端操作行為進(jìn)行異常分析,并基于分析結(jié)果,從所述至少一個終端操作行為中,確定待檢測的至少一個異常操作行為;
告警模塊,用于基于所述至少一個異常操作行為各自的操作類型,確定所述目標(biāo)終端中,相應(yīng)操作類型各自的累積操作次數(shù),并基于獲得的各個累積操作次數(shù),生成相應(yīng)的目標(biāo)告警信息;
傳遞模塊,用于將所述目標(biāo)告警信息及所述終端運(yùn)行數(shù)據(jù)發(fā)往指定的管理服務(wù)器,進(jìn)行針對所述目標(biāo)終端的安全檢測分析。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于天翼安全科技有限公司,未經(jīng)天翼安全科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210188255.X/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
