一种安全检测方法、装置、电子设备及介质与流程

1.本技术涉及信息处理技术领域，尤其涉及一种安全检测方法、装置、电子设备及介质。


背景技术：

2.在实际应用中，电子设备的安全状态，通常是通过对电子设备接收到的网络数据包进行安全检测确定的。这种安全检测的效能，远远不能满足电子设备所处复杂的网络环境的安全防御的需要。


技术实现要素：

3.基于以上问题，本技术实施例提供了一种安全检测方法、装置、电子设备及介质。
4.本技术实施例提供的安全检测方法，电子设备在接收到网络数据时，能获取至少两个数据处理层的输入数据，并根据对第k数据处理层的第k层检测结果对第k 1数据处理层的输入数据进行安全检测，从而实现了多个数据处理层的输入数据的联动检测，提高了电子设备安全检测的能效，降低了安全事件漏报误报的概率。
5.本技术提供的技术方案是这样的：
6.本技术实施例提供了一种安全检测方法，所述方法包括：
7.在电子设备接收到网络数据的情况下，至少获取第k数据处理层的输入数据以及第k 1数据处理层的输入数据；其中，所述第k 1数据处理层的输入数据，包括所述第k数据处理层对所述第k数据处理层的输入数据处理得到的输出数据；k为大于或等于1的整数；
8.对所述第k数据处理层的输入数据进行安全检测，得到第k层检测结果；
9.基于所述第k层检测结果对所述第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
10.本技术实施例还提供了一种安全检测装置，所述装置包括：
11.获取模块，用于在电子设备接收到网络数据的情况下，至少获取第k数据处理层的输入数据以及第k 1数据处理层的输入数据；其中，所述第k 1数据处理层的输入数据，包括所述第k数据处理层对所述第k数据处理层的输入数据处理得到的输出数据；k为大于或等于1的整数；
12.检测模块，用于对所述第k数据处理层的输入数据进行安全检测，得到第k层检测结果；
13.检测模块，还用于基于所述第k层检测结果对所述第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
14.本技术实施例还提供了一种电子设备，所述电子设备包括处理器和存储器；其中：所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如前任一项所述的安全检测方法。
15.本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存
储有计算机程序，所述计算机程序被电子设备的处理器执行时，能实现如前任一所述的安全检测方法。
16.由以上可知，本技术实施例提供的安全检测方法中，电子设备接收到网络数据时，至少两个数据处理层可以分别它们的输入数据进行检测，并且第k 1层检测结果，是根据第k层的检测结果以及第k 1数据处理层的输入数据共同确定的，也就是说，本技术实施例提供的安全检测方法中，电子设备能够实现对多个数据处理层的输入数据的联动检测，从而提高了安全状态检测的效率。
附图说明
17.图1为本技术实施例提供的安全检测方法的流程示意图；
18.图2为本技术实施例提供的确定电子设备的安全状态信息的流程示意图；
19.图3为本技术实施例提供的当前网络安全状态信息确定的流程示意图；
20.图4为本技术实施例提供的安全检测方法实现的结构示意图；
21.图5为本技术实施例提供的安全检测装置的结构示意图；
22.图6为本技术实施例提供的电子设备的结构示意图。
具体实施方式
23.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。
24.应当理解，此处所描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
25.目前，在网络安全检测领域，电子设备的网络安全状态，通常是通过检测电子设备接收到的网络数据包确定的，比如，若网络数据包的特征匹配到指定安全特征，则输出对应的安全日志，然后再通过对安全日志的分析确定具体的安全状态等级，以进一步确定电子设备是否已经被攻击。
26.然而，由于部分攻击行为仅通过少数的数据包就能够实现，而通过少数网络数据包的特征检测很难确定攻击行为是否会发生，因此，对网络数据包进行特征检测很有可能会导致漏检问题；并且，在一条高危程度的安全日志为误报日志的情况下，通过对安全日志分析得到的危害等级或确信度而确定电子设备的失陷等级的安全检测方法，也很容易导致安全状态的不准确问题的发生。
27.为了解决以上技术问题，相关技术中还提出了通过并行的堆集特征检测、或者执行检测代码的方式改善安全状态的检测效率，但这些方式虽然能提升风险网络数据包的检出率，却不能形成有效的联动机制，从而导致安全检测的效能依然很低，不能满足电子设备处理网络数据的实际需求。
28.基于以上问题，本技术实施例提供了一种安全检测方法、装置、电子设备及介质。
29.需要说明的是，本技术实施例提供的安全检测方法，可以是通过电子设备中的处理器实现的，上述处理器可以为特定用途集成电路(application specific integrated circuit，asic)、数字信号处理器(digital signal processor，dsp)、数字信号处理装置(digital signal processing device，dspd)、可编程逻辑装置(programmable logic device，pld)、现场可编程逻辑门阵列(field programmable gate array，fpga)、中央处理
器(central processing unit，cpu)、控制器、微控制器、微处理器中的至少一种。
30.图1为本技术实施例提供的安全检测方法的流程示意图，如图1所示，该方法可以包括步骤101至步骤103：
31.步骤101、在电子设备接收到网络数据的情况下，至少获取第k数据处理层的输入数据以及第k 1数据处理层的输入数据。
32.其中，第k 1数据处理层的输入数据，包括第k数据处理层对第k数据处理层的输入数据处理得到的输出数据；k为大于或等于1的整数；
33.在一种实施方式中，电子设备，可以是计算机设备，也可以是小型的智能移动终端；示例性的，计算机设备可以是个人使用的物理机设备，也可以是服务器设备，还可以是虚拟机设备。
34.在一种实施方式中，网络数据，可以是电子设备接收到的任一类型的数据；示例性的，网络数据可以是文本数据、视频数据、音频数据、以及图像数据中的任何一种；示例性的，网络数据，还可以包括其它设备发送至电子设备的访问请求数据。
35.在一种实施方式中，网络数据，可以包括指定时段内发送至电子设备的数据，还可以包括从指定网络地址发送至电子设备的数据，本技术实施例对此不作限定。
36.在一种实施方式中，电子设备可以通过标准的数据处理架构完成对网络数据的处理。示例性的，数据处理架构中每一数据处理层的分工，可以是基于标准通信协议确定的，标准通信协议可以包括传输控制协议(transmission control protocol，tcp)以及用户数据包协议(user datagram protocol，udp)中的任一协议。
37.示例性的，数据处理架构可以包括多个数据处理层，比如，数据处理层可以包括物理层、数据链路层、网络层、传输层以及应用层。示例性的，对数据处理层的排序，可以是按照电子设备对数据处理的流程确定的，比如，对于电子设备接收到的网络数据而言，物理层可以为第一数据处理层，数据链路层可以为第二数据处理层，网络层可以为第三数据处理层等。
38.在一种实施方式中，第k数据处理层的输入数据，可以包括第k-1数据处理层的输出数据。
39.在一种实施方式中，第k 1数据处理层的输入数据，可以包括第k数据处理层对第k数据处理层的输入数据实时处理得到的输出数据，还可以包括第k数据处理层的输出数据的缓冲数据。
40.步骤102、对第k数据处理层的输入数据进行安全检测，得到第k层检测结果。
41.在一种实施方式中，第k层检测结果，可以表示第k数据处理层的输入数据是否安全，还可以表示第k数据处理层的输入数据的安全等级信息，本技术实施例对此不作限定。
42.在一种实施方式中，对第k数据处理层的输入数据进行安全检测，得到第k层检测结果，可以是通过以下方式实现的；
43.确定第k数据处理层的输入数据的数据结构特征，根据数据结构特征确定安全检测方法，再通过安全检测方法对第k数据处理层的输入数据进行安全检测，从而得到第k层检测结果。
44.示例性的，数据结构特征，可以包括帧结构特征、ip数据包结构特征、tcp报文结构特征以及原数据结构特征中的至少一种。
45.示例性的，安全检测方法，可以包括数据标记、特征检测、流关联分析以及多维动态检测等方法；其中，数据标记可以包括白流量识别、资产属性匹配、进程映射、知名应用匹配等方法；特征检测可以通过应用层防火墙(web application firewall，waf)规则、威胁情报匹配、入侵防御系统(intrusion prevention system，ips)规则以及被动漏洞扫描(passive vulnerability scanner，pvs)规则中的至少一种规则实现；流关联分析可以通过请求回显检测、非规则漏洞检测、进程级网端协同以及特征异常关联等方法实现；多维动态检测可以通过多事件关联、时序关联、风险评估以及动态检测等方法实现。
46.步骤103、基于第k层检测结果对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
47.在一种实施方式中，第k 1层检测结果，可以表示第k 1数据处理层的输入数据是否安全、或者第k 1数据处理层的输入数据的安全等级信息等。
48.在一种实施方式中，基于第k层检测结果对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果，可以是通过以下方式实现的：
49.根据第k 1数据处理层的输入数据的数据结构特征确定对第k 1数据处理层的输入数据的至少两种分析方法，然后根据第k层检测结果从至少两种分析方法中确定目标分析方法，并基于目标分析方法对第k 1数据处理层的输入数据进行分析，从而得到第k 1层检测结果。
50.根据第k层检测结果从第k 1数据处理层的输入数据确定目标数据，然后根据目标数据的数据结构特征确定目标分析方法，再根据目标分析方法对第k 1数据处理层的输入数据进行分析，从而得到第k 1层检测结果。
51.由以上可知，本技术实施例提供的安全检测方法中，电子设备接收到网络数据时，至少两个数据处理层可以分别它们的输入数据进行检测，并且第k 1层检测结果，是根据第k层的检测结果以及第k 1数据处理层的输入数据共同确定的，也就是说，本技术实施例提供的安全检测方法中，电子设备能够实现对多个数据处理层的输入数据的联动检测，从而提高了安全状态检测的效率。
52.在本技术实施例中，第k层检测结果，包括第k层日志数据以及第k层确信度信息；第k层日志数据包括第k数据处理层对第k数据处理层的输入数据执行数据处理操作输出的日志数据；第k层确信度信息包括第k数据处理层的输入数据的确信度信息。
53.基于第k层检测结果对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果，可以通过以下方式实现：
54.基于第k层确信度信息以及第k层日志数据，对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
55.在一种实施方式中，第k层日志数据，可以包括第k数据处理层对第k数据处理层的输入数据执行安全检测时输出的日志数据，也就是说，第k层日志数据，可以为第k数据处理层输出的安全日志；示例性的，第k层日志数据，可以是除去第k数据处理层之外的、本技术实施例提供的安全检测方法对第k数据处理层的输入数据进行安全检测时输出的安全日志。
56.示例性的，本技术实施例提供的安全状态方法，可以通过第k数据处理层对外的标准接口获取第k数据处理层的数据处理过程中产生的数据，从而得到第k层日志数据。其中，
第k数据处理层对外的标准接口，可以是应用程序编程接口(application programming interface，api)，api是一些预先定义的函数，其目的是提供一种开发人员基于某软件或硬件访问一组例程的能力、而又无需开发人员访问源码或理解详细的工作机制。
57.在一种实施方式中，第k层确信度信息，可以携带在第k层日志数据中；示例性的，第k层确信度信息可以作为第k层日志数据的附加数据或标签数据；第k层确信度信息，还可以是对第k层日志数据中的至少部分数据分析而得到的；示例性的，第k层日志数据中的至少部分数据，可以是根据安全检测的需要而确定的。
58.在一种实施方式中，第k层确信度信息，可以表示第k数据处理层的输入数据的风险等级信息，比如，在第k层确信度信息数值越大的情况下，可以表示第k数据处理层的输入数据的风险等级越高；在第k层确信度信息数值越小的情况下，可以表示第k数据处理层的输入数据的风险等级越低。
59.在一种实施方式中，基于第k层确信度信息以及第k层日志数据，对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果，可以是通过以下方式实现的：
60.基于第k层确信度信息对第k层日志数据进行分析处理，从第k层日志数据中提取出至少一个维度的风险数据；基于至少一个维度的风险数据对对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
61.在第k层确信度信息表示第k数据处理层的输入数据风险级别高的情况下，确定第k层日志数据所包含的所有类型的风险数据均为目标风险数据，并根据目标风险数据对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
62.在第k层确信度信息表示第k数据处理层的输入数据风险级别低的情况下，确定第k层日志数据所包含的部分类型的风险数据为目标风险数据，并根据目标风险数据对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。其中，部分风险数据可以与电子设备的运行时段、网络数据的数据类型、网络数据的来源、以及电子设备的安全防范等级等至少之一相关。
63.由以上可知，在本技术实施例提供的安全检测方法中，第k 1层检测结果是根据第k层确信度信息以及第k层日志数据，对第k 1数据处理层的输入数据进行安全检测而得到的，一方面能够提高对第k 1数据处理层的输入数据安全检测的针对性，另一方面还能提高相邻数据处理层之间安全检测的联动性，进而提高安全检测的准确性。
64.在本技术实施例中，基于第k层确信度信息以及第k层日志数据，对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果，可以通过以下方式实现：
65.若第k层确信度信息大于或等于确信度阈值，持续获取第k 1层输入数据；对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
66.在一种实施方式中，确信度阈值，可以是根据安全状态检测的需要而设定的；确信度阈值，还可以是根据电子设备在指定时间长度范围内接收到的网络数据的数据特征确定的；示例性得，确信度阈值，可以代表网络数据在电子设备的至少两个数据处理层中的风险等级较高。
67.在一种实施方式中，确信度阈值，可以包括第一阈值以及第二阈值，示例性的，第一阈值可以大于第二阈值。
68.在一种实施方式中，在第k层确信度信息大于或等于第一阈值的情况下，可以表示网络数据对应的风险等级极高，此时可以采用传统的特征检测方法对电子设备处理网络数据的处理流程进行安全检测，并保存各个数据处理层的日志数据、与网络数据关联的后续网络流量、以及后续网络流量对应的日志数据。示例性的，这种情况下的日志数据对应的确信度信息可以为高确信度。
69.示例性的，在第k层确信度信息大于或等于第一阈值的情况下，可以持续的获取第k 1数据处理层的输入数据；示例性的，还可以持续的获取第k数据处理层的输入数据；示例性的，还可以采用前述实施例提供的安全检测方法，持续的对第k数据处理层的输入数据以及第k 1数据处理层的输入数据进行安全检测处理，从而得到一系列的第k层检测结果，并基于一系列的第k层检测结果以及第k 1数据处理层的持续输入数据得到一系列的第k 1层检测结果，然后基于第k层日志数据从一系列的第k 1层检测结果中选取部分检测结果。
70.在一种实施方式中，在第k层确信度信息大于或等于第二阈值但小于第一阈值的情况下，可以表示网络数据对应的风险等级较高，可以将网络数据初步设定为疑似网络攻击数据，对应的日志数据可以为疑似网络攻击日志。
71.示例性的，在第k层确信度信息大于或等于第二阈值但小于第一阈值的情况下，可以持续的获取第k 1数据处理层的输入数据，还可以持续的获取第k数据处理层的输入数据，示例性的，可以持续的缓存第k数据处理层的输入数据以及第k 1数据处理层的输入数据，并采用采用前述实施例提供的安全检测方法持续的对缓存的数据进行安全检测，从而得到一系列的第k层检测结果，还可以基于一系列的第k层检测结果对持续获取的第k 1数据处理层的输入数据进行安全检测，得到一系列的第k 1层检测结果，然后基于第k层日志数据从一系列的第k 1层检测结果中选取部分检测结果。
72.由以上可知，本技术实施例提供的安全检测方法中，在第k层确信度信息大于或等于确信度阈值的情况下，能够根据持续获取的第k 1数据处理层的输入数据，再基于第k层日志数据以及第k 1数据处理层的输入数据的安全检测结果，得到第k 1层检测结果，如此，就能够根据第k层检测结果控制和调整对第k 1数据处理层的输入数据的安全检测方式，一方面提高了多级联动安全检测的灵活性，另一方面也使得多级联动安全检测的可靠性和稳定性更强。
73.在本技术实施例中，第k层检测结果还包括与第k层日志数据关联的第k层上下文信息。
74.基于第k层确信度信息以及第k层日志数据，对第k 1层输入数据进行安全检测，得到第k 1层检测结果，还可以通过以下方式实现：
75.若第k层确信度信息小于确信度阈值，持续获取第k 1数据处理层的输入数据；基于第k层上下文信息，对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
76.在一种实施方式中，第k层上下文信息，可以表示第k数据处理层的输入数据的上下文信息。
77.在一种实施方式中，若第k层确信度信息小于确信度阈值，第k层日志数据可以高度聚合后的日志数据；示例性的，高度聚合后的日志数据中，还可以保存有网络数据的数据流关联的一些关键信息，比如攻击发起时间、攻击次数、五元组信息以及可疑数据等。
78.示例性的，若第k层确信度信息小于确信度阈值，持续获取的第k 1数据处理层的输入数据，可以是实时获取的，也可以是缓存得到的。
79.示例性的，基于第k层上下文信息，对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行检测，得到第k 1层检测结果，可以是通过以下方式实现的：
80.基于第k层上下文信息的变化信息，从第k层日志数据中确定至少一个维度的目标数据，然后对第k 1数据处理层的输入数据中至少一个维度的目标数据进行安全检测，得到第k 1层检测结果。
81.对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行安全检测，得到初步检测结果，然后基于第k层上下文信息对初步检测结果进行筛选得到第k 1层检测结果。
82.由以上可知，本技术实施例提供的安全检测方法中，在第k层确信度信息小于确信度阈值的情况下，可以持续获取第k 1数据处理层的输入数据，然后基于第k层上下文信息，对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。也就是说，本技术实施例提供的安全检测方法，无论第k层确信度信息与确信度阈值的关系如何，都能高能效得到的第k 1层检测结果；并且，在确信度阈值可调的情况下，还能实现多样化的灵活的多级联动安全状态检测。
83.本技术实施例提供的安全检测方法，还可以包括；
84.基于第k 1层检测结果，确定电子设备的安全状态信息。
85.在一种实施方式中，第k 1层检测结果，可以表示电子设备的应用层的输入数据进行安全检测得到的检测结果。
86.在一种实施方式中，在第k 1层检测结果并非为电子设备的应用层的输入数据进行安全检测得到的情况下，基于第k 1层检测结果，确定的电子设备的安全状态信息，可以表示电子设备的各个数据处理层所面临的风险等级信息。
87.在一种实施方式中，电子设备的安全状态信息，可以是通过多事件关联、时序关联、风险评估、动态检测等方式确定的。
88.图2为本技术实施例提供的确定电子设备的安全状态信息的流程示意图，如图2所示，该方法可以包括步骤201至步骤205；
89.步骤201、获取网络数据以及日志数据。
90.示例性的，可以在指定时段内执行抓取网络数据的操作，也可以抓取指定类型的网络数据。
91.示例性的，日志数据，可以是通过对物理层的输入数据进行安全检测得到的，也可以是跟踪物理层对输入数据的处理过程而得到的。
92.示例性的，日志数据，可以是对电子设备的多个数据处理层的输入数据安全检测之后得到的。
93.示例性的，网络数据可以包括超文本传输协议(hyper text transfer protocol，http)数据包、域名系统(domain name system，dns)数据包、以及服务数据包(server message block，smb)中的至少一种。
94.示例性的，日志数据，可以是通过sysmon采集得到的sysmon log；其中，sysmon是一个终端上的进程采集软件。
95.示例性的，日志数据，还可以是通过调用标准的系统日志获取api得到的system log。
96.步骤201、数据标记。
97.示例性的，数据标记，可以是基于日志数据对网络数据进行标记。
98.示例性的，可以采用白流量识别、知名应用匹配、资产属性识别以及进程映射的方式为网络数据添加标记。
99.示例性的，基于已知的白名单以及知名应用匹配的方法，可以对安全的网络数据的数据流设置白流量标识，这种网络数据可以不再经过后续步骤的安全检测，从而能够提升安全检测的效率。
100.步骤203、特征检测。
101.示例性的，特征检测的目标可以是数据标记后得到的网络数据对应的电子设备中的数据流；示例性的，该数据流可以携带有数据标识。
102.示例性的，特征检测所依据的规则可以包括waf规则、ips规则、威胁情报、pvs规则等。
103.在实际应用中，waf规则是工作在应用层的防火墙所采用的特征检测规则，该规则处理的数据主要是文本数据。在实际应用中，通过设定包含特征标识、过滤条件、过滤时段、以及文本数据所关联的动作在内的waf规则，就可以通过该规则对应用层的文本数据进行特征检测。
104.ips系统通过ips规则实现对计算机以及计算机网络的安全防护，其中，ips系统是对防病毒软件(antivirus programs，ap)和防火墙(packet filter,application gateway，pfag)的补充。在实际应用中，ips系统可以是能够监视网络或网络设备的数据传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。在实际应用中，ips规则通常通过协议异常检测、传输异常检测以及特征异常检测中的至少一种方法进行特征检测。
105.威胁情报是某种基于先验的威胁数据特征或安全数据特征，对接收到的数据或计算机设备执行的动作进行实时安全检测。在实际应用中，通过威胁情报检测可以识别和检测威胁，从而有效的阻止已有的或酝酿中的威胁或危害。
106.pvs规则可以实现对对网络流量数据的特征识别，其中，pvs规则中所依据的特征集合，可以包括对历史网络数据进行检测得到的包括异常传输特征以及威胁动作特征等。
107.步骤204、流关联分析。
108.示例性的，流关联分析的目标可以是特征检测的结果。
109.示例性的，流关联分析，可以包括多个特征检测的结果之间的关联性分析，其采用的方法可以包括请求回显检测、非规则漏洞检测、进程级网端协同以及特征异常关联等。
110.在实际应用中，请求回显检测，用于检测是否打开或关闭请求回显功能；示例性的，流关联分析中的请求回显检测，可以表示多条数据流是否打开或关闭请求回显功能。
111.非规则漏洞检测，可以通过源代码扫描、反汇编扫描以及环境错误注入等方式实现漏洞检测。其中，源代码扫描可以对文件结构、命名规则、函数流程、堆栈指针等进行检查，从而发现源代码可能隐含的安全漏洞；反汇编扫描主要用于分析不公开源代码的程序，其需要通过专业化的工具实现；环境错误注入通过软件运行过程中对环境注入的人为的错
误进行检测和验证。
112.进程级网端协同，包括对多条流中相同或相似进程的启动时机、请求访问的数据、状态切换以及与上述进程关联的网络请求进行的协同分析，从而得到网络与终端终相同或相似进程的进程特征。
113.特征异常关联，可以对经过前述至少一种方法获得的异常特征，基于网络请求发起的时间、网络请求的来源、网络请求针对的终端设备的类型、以及网络请求针对的数据等中的至少一种因素进行关联分析，从而确定计算机网络所面临的威胁风险。
114.步骤205、多维动态检测。
115.示例性的，多维动态检测的对象，可以是流关联分析的结果。
116.示例性的，多维动态检测所采用的方法可以包括多事件关联、时序关联、风险评估以及动态检测等。
117.其中，多事件关联，包括按照时间顺序、接收到相似或相同事件的计算机设备的类型和/或标识信息、以及计算机设备的功能信息等至少一种因素，对计算机网络接收到的至少两种事件进行关联分析，从而得到至少两种事件之间的关联关系，或者至少两种事件在计算机网络中不同设备之间的关联关系。
118.时序关联，可以基于至少两种事件发生的时间顺序，对至少两种事件对应的可执行代码、以及尝试访问的数据等至少之一进行分析，从而确定至少两种事件之间是否具备关联关系。
119.风险评估，可以是基于多事件关联以及时序关联的结果评估计算机网络当前面临的风险状态。动态检测，可以是在风险评估之后，确定对计算机网络的安全检测策略，并根据该安全检测策略，实时的动态的检测计算机网络接收到的网络请求，以及计算机网络在执行网络请求时所执行的动作和操作的数据，从而实现对计算机网络安全状态的实时监控。
120.示例性的，多维动态检测的结果可以为电子设备的安全状态信息。
121.示例性的，上述电子设备安全状态信息的确定过程，可以是通过对单条网络数据流分析跟踪实现的；示例性的，单条网络数据流，可以为一路网络连接，比如一路tcp网络连接；示例性的，可以根据源端口、源ip，目的端口、目的ip，确定一路网络连接。
122.由以上可知，本技术实施例提供的安全检测方法，不仅能够获知电子设备的每一数据处理层的检测结果，还能根据第k 1层的检测结果，确定电子设备的安全状态信息。因此，通过各级数据处理层联动安全检测的检测结果，确定电子设备整体的安全状态信息，能够极大的提高电子设备的安全状态信息的精确度和稳定性。
123.本技术实施例提供的安全检测方法中，电子设备的数量为多个，多个电子设备设置在当前网络中，该方法还可以包括：
124.基于多个电子设备的安全状态信息，确定当前网络的安全状态信息。
125.在一种实施方式中，当前网络，可以是家庭、组织、政府、或公司内部的局域网。本技术实施例对此不做限定。
126.在一种实施方式中，当前网络的安全状态信息，可以包括当前网络整体的安全状态等级；示例性的，当前网络的安全状态信息，可以包括当前网络中部分电子设备的安全状态等级；示例性的，当前网络的安全状态信息，可以包括当前网络在指定时段内的安全状态
等级。
127.在一种实施方式中，基于多个电子设备的安全状态信息，确定当前网络的安全状态信息，可以是通过以下任一方式实现的；
128.对多个电子设备的安全状态信息中网络攻击出现的次数、频率、以及类型等至少一种信息进行综合分析，确定当前网络的安全状态信息。
129.对多个电子设备的安全状态信息中指定等级和/或指定类型的网络攻击出现的频率、指定等级和/或指定类型的网络攻击的来源、以及指定等级和/或指定类型的持续时间等进行统计分析，根据统计分析的结果，确定当前网络的安全状态信息。
130.图3为本技术实施例提供的当前网络安全状态信息确定的流程示意图，如图3所示，该流程可以包括步骤301至步骤306：
131.步骤301、获取网络数据以及日志数据。
132.示例性的，网络数据，可以为网络数据流。
133.示例性的，网络数据以及日志数据，可以是通过采集分析多条网络数据流的而得到的；示例性的，多条数据流，可以包括多路网络连接中传输的数据流，比如多条tcp连接中传输的网络数据流。
134.示例性的，步骤301中获取的网络数据以及日志数据，可以是根据对当前网络的安全状态信息确定的实际需要而单独执行的，也可以是对当前网络中多个电子设备已经采集到的网络数据以及日志数据进行综合统计而得到的。
135.步骤302、异常标记。
136.示例性的，异常标记，可以包括对网络数据及多条网络数据流进行异常标记。
137.示例性的，异常标记可以通过异常包标记、异常流标记、攻击标记以及规则标记中的至少一种方式实现。
138.示例性的，步骤302，可以是对网络数据以及各个电子设备的数据处理层的输入数据单独执行标记动作实现的，也可以通过各个电子设备执行的安全检测方法实现。
139.步骤303、代码检测。
140.示例性的，代码检测，可以包括对电子设备处理步骤302得到的异常标记的数据时所执行的代码进行检测。
141.示例性的，代码检测，可以通过隧道检测、渗透框架跟踪、横向检测以及恶意脚本检测中的至少一种。
142.步骤304、多条流分析。
143.示例性的，多条流分析的目标可以为代码检测的结果；示例性的，代码检测的结果，可以包括确定为具备攻击风险的网络数据流。
144.示例性的，多条流分析，可以包括对多路数据连接中的网络数据流进行综合分析。
145.示例性的，多条流分析，可以包括对服务器异常外联、异常行为攻击利用、多端口转发、以及多阶段攻击利用中的至少一种进行分析。
146.步骤305、攻击链路综合分析。
147.示例性的，攻击链路综合分析的目标可以为多条流分析的结果，即安全事件。
148.示例性的，攻击链路综合分析，可以是从当前网络的视角，分析当前网络中发生的安全事件，比如第一电子设备中遭受了扫描事件攻击，第二电子设备遭受过账号泄露事件
等。
149.示例性的，攻击链路综合分析，可以表示对每一数据传输链路中的网络数据流分别分析，得到每一数据传输链路对应的分析结果，然后对每一数据传输链路对应的分析结果进行综合分析；还可以表示对多条数据传输链路中的网络数据流直接进行综合分析。
150.示例性的，攻击链路综合分析，可以包括攻击过程溯源、影响面分析以及闭环处置中的至少一种分析方式。
151.步骤306、全网风险评估。
152.示例性的，全网风险评估的结果，即为当前网络的安全状态信息；全网风险评估的依据，可以是攻击链路综合分析的结果。
153.示例性的，全网风险评估，可以通过多设备深度联动检测、主动防御以及动态检测等方法实现。示例性的，多设备深度联动检测，可以通过前述实施例提供的电子设备的安全检测方法实现；示例性的，当前网络可以依据本次全网风险评估的结果确定主动防御策略，并根据主动防御策略动态执行后续的安全检测，以改善当前网络的安全等级。
154.由以上可知，本技术实施例提供的安全检测方法，在确定电子设备的安全状态信息之后，还可以根据电子设备的安全状态信息，确定电子设备所处的当前网络的安全状态信息，从而实现了当前网络安全状态信息的全网联动检测，提高了当前网络安全状态信息的检测效率，以及安全状态信息的准确性和稳健性。
155.在本技术实施例中，基于多个电子设备的安全状态信息，确定当前网络的安全状态信息，可以通过以下方式实现：
156.获取多个电子设备的历史安全状态信息以及当前网络的网络结构信息；基于网络结构信息，对历史安全状态信息以及安全状态信息进行处理，确定当前网络的安全状态信息。
157.在一种实施方式中，电子设备的历史安全状态信息，可以指电子设备在指定历史时段内的安全状态信息，比如在过去的一周中电子设备的安全状态信息；示例性的，电子设备的历史安全状态信息，还可以包括电子设备在指定历史时段内发生指定类型的安全事件的状态信息，其中，发生指定类型的安全事件的状态信息，可以包括指定类型的安全事件在指定历史时段内发生的次数、指定类型的安全事件在指定历史时段内的变化信息等。
158.在一种实施方式中，当前网络的网络结构信息，可以包括当前网络的拓扑结构信息；其中，拓扑结构可以包括星形拓扑、环形拓扑、树形拓扑、网状拓扑以及全连通拓扑等。
159.在一种实施方式中，基于网络结构信息，对历史安全状态信息以及安全状态信息进行处理，确定当前网络的安全状态信息，可以是通过以下方式实现的；
160.基于网络结构信息，确定当前网络中各个设备之间的访问关系信息，根据访问关系信息，对历史安全状态信息以及当前的安全状态信息进行综合分析，确定历史安全状态信息以及当前的安全状态信息、对当前网络中至少两个电子设备可能产生的威胁等级信息，并根据威胁等级信息，确定当前网络的安全状态信息。
161.由以上可知，本技术实施例提供的安全检测方法，可以根据当前网络的网络结构信息、历史安全状态信息以及当前安全状态信息，确定当前网络的安全状态信息。也就是说，本技术实施例提供的安全状态方法，在确定当前网络的安全状态信息时，不仅依据了每一电子设备的联动安全检测结果，而且还充分考虑了当前网络的网络结构信息，从而提高
了当前网络的安全状态信息的准确性，提升了安全事件的检出率，降低了安全事件误报漏报的概率。
162.图4为本技术实施例提供的安全检测方法实现的结构示意图。如图4所示：
163.401所示的自底向上的包括海量安全日志、高聚合告警数据、安全事件以及攻击的流程，可以通过前述实施例提供的电子设备的安全检测方法实现。示例性的，海量安全日志，可以包括前述实施例所述的大量的日志数据。示例性的，对海量安全日志进行安全检测，可以得到高聚合告警数据，示例性的，高聚合告警数据，可以包括确信度较高的日志数据和/或网络流量数据。对高聚合告警数据进行进一步联动监测之后可以得到至少一种安全事件；对安全事件进行分析确定电子设备是否被攻击。示例性的，401所示的框图中每一层级所包含的数据，可以与前述实施例所述的数据处理层的检测结果对应。
164.从401所示的框架中可以看出，电子设备能够对各个数据处理层的输入数据进行检测，并且下一数据处理层输入数据的检测依据，可以为当前数据处理层的检测结果，从而实现了对多个数据处理层输入数据的联动检测，实现了对电子设备安全状态信息的全方位、多维度的联动深度检测。
165.402所示的自底向上的框架中，对数据包处理得到网络流数据，再对网络流数据进行处理得到电子设备的安全状态信息的过程可以参见401，也可以参见前述实施例提供的安全检测方法。在确定电子设备的安全状态信息之后，根据电子设备的安全状态信息、当前网络的网络结构信息、以及电子设备的历史安全状态信息，就可以确定当前网络的安全状态信息。
166.从402所示的框架可以看出，当前网络中每一电子设备均执行多层联动安全检测之后，每一电子设备的安全状态信息的准确性更高，那么，依据每一电子设备的安全状态信息确定的当前网络的安全状态信息的准确度，也可以大幅度的提高，从而能够降低当前网络的安全事件漏检错检的概率，为当前网络的全方位主动防御奠定基础。
167.从图4可以看出，在本技术实施例提供的安全检测方法中，越靠近底层的数据处理层所需要分析处理的数据量越多，距离物理层越远的数据处理层所需要分析处理的数据量越少，但距离底层的数据处理层越远的数据处理层所需要分析处理的数据维度也越多，即需要综合各个维度的信息才能确定最终的安全状态信息。
168.本技术实施例还提供了一种安全检测装置5，图5为本技术实施例提供的安全检测装置5的结构示意图，如图5所示，该装置可以包括：
169.获取模块501，用于在电子设备接收到网络数据的情况下，至少获取第k数据处理层的输入数据以及第k 1数据处理层的输入数据；其中，第k 1数据处理层的输入数据，包括第k数据处理层对第k数据处理层的输入数据处理得到的输出数据；k为大于或等于1的整数；
170.检测模块502，用于对第k数据处理层的输入数据进行安全检测，得到第k层检测结果；
171.检测模块502，还用于基于第k层检测结果对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
172.在一些实施方式中，第k层检测结果，包括第k层日志数据以及第k层确信度信息；第k层日志数据包括第k数据处理层对第k数据处理层的输入数据执行数据处理操作输出的
日志数据；第k层确信度信息包括第k数据处理层的输入数据的确信度信息；
173.检测模块502，用于基于第k层确信度信息以及第k层日志数据，对第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
174.在一些实施方式中，获取模块501，用于若第k层确信度信息大于或等于确信度阈值，持续获取第k 1数据处理层的输入数据；
175.检测模块502，用于对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
176.在一些实施方式中，第k层检测结果还包括与第k层日志数据关联的第k层上下文信息；获取模块501，用于若第k层确信度信息小于确信度阈值，持续获取第k 1数据处理层的输入数据；
177.检测模块502，用于基于第k层上下文信息，对第k层日志数据以及持续获取的第k 1数据处理层的输入数据进行安全检测，得到第k 1层检测结果。
178.在一些实施方式中，检测模块502，用于基于第k 1层检测结果，确定电子设备的安全状态信息。
179.在一些实施方式中，电子设备的数量为多个；多个电子设备设置当前网络中；检测模块502，用于基于多个电子设备的安全状态信息，确定当前网络的安全状态信息。
180.在一些实施方式中，获取模块501，用于获取多个电子设备的历史安全状态信息以及当前网络的网络结构信息；
181.检测模块502，用于基于网络结构信息，对历史安全状态信息以及安全状态信息进行处理，确定当前网络的安全状态信息。
182.需要说明的是，上述获取模块501以及检测模块502，可以利用安全检测装置5的处理器实现，上述处理器可以为asic、dsp、dspd、pld、fpga、cpu、控制器、微控制器、微处理器中的至少一种。
183.由以上可知，本技术实施例提供的安全检测装置5，电子设备接收到网络数据时，至少两个数据处理层可以分别它们的输入数据进行检测，并且第k 1层检测结果，是根据第k层的检测结果以及第k 1数据处理层的输入数据共同确定的，也就是说，通过本技术实施例提供的安全检测装置5，电子设备能够实现对多个数据处理层的输入数据的联动检测，从而提高了安全状态检测的效率。
184.本技术实施例还提供了一种电子设备6，图6为本技术实施例提供的电子设备6的第二结构示意图，如图6所示，电子设备6可以包括处理器601和存储器602。其中：存储器602存储有可在处理器601上运行的计算机程序，所述处理器601执行所述计算机程序时如前任一项所述的安全检测方法。
185.其中，上述处理器601可以为特定用途集成电路asic、dsp、dspd、pld、fpga、cpu、控制器、微控制器、微处理器中的至少一种。可以理解地，用于实现上述处理器功能的电子器件还可以为其它，本技术实施例不作具体限定。
186.上述存储器602，可以是易失性存储器(volatile memory)，例如ram；或者非易失性存储器(non-volatile memory)，例如rom，flash memory，hdd或ssd；或者上述种类的存储器的组合，并向处理器提供指令和数据。
187.本技术实施例还提供了一种计算机可读存储介质，计算机可读存储介质中存储有
计算机程序，计算机程序被电子设备6的处理器601执行时，能实现如前任一实施例所述的安全检测方法。
188.上文对各个实施例的描述倾向于强调各个实施例之间的不同之处，其相同或相似之处可以互相参考，为了简洁，本文不再赘述。
189.本技术所提供的各方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。
190.本技术所提供的各产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。
191.本技术所提供的各方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。
192.需要说明的是，上述计算机可读存储介质可以是只读存储器(read only memory，rom)、可编程只读存储器(programmable read-only memory，prom)、可擦除可编程只读存储器(erasable programmable read-only memory，eprom)、电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性随机存取存储器(ferromagnetic random access memory，fram)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(compact disc read-only memory，cd-rom)等存储器；也可以是包括上述存储器之一或任意组合的各种电子设备，如移动电话、计算机、平板设备、个人数字助理等。
193.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
194.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
195.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件节点的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所描述的方法。
196.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
197.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
198.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
199.以上仅为本技术的优选实施例，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本技术的专利保护范围内。