1.本发明实施例涉及网络安全
技术领域:
:,特别涉及一种云主机的威胁检测方法、装置、电子设备及存储介质。
背景技术:
::2.云主机,或称云服务器,是基于云数据中心基础设施及专业服务能力,向用户提供按需租用的it基础资源(计算、储存、网络等)的租用服务,具有快速部署、按需租用、自助服务、安全可靠的特点。用户可以通过自服务门户便捷地进行资源申请、管理与监控,快速部署应用,并根据需求动态弹性扩展租用资源。依据中国信息通信研究院2021年7月发布《云计算白皮书》数据,过去几年,全球云计算保持稳定增长态势,虽然在2020年全球云计算市场增速明显滑坡,但是我国云计算市场呈爆发式增长:2020年,我国经济稳步回升,云计算整体市场规模达2091亿元,增速56.6%。其中,公有云市场规模达1277亿元,相比2019年增长85.2%;私有云市场规模达814亿元,较2019年增长26.1%。3.随着市场规模扩大,云主机相关网络安全问题也越来越受到重视。国内代表性云计算服务提供商或云计算厂商均在其推出的云主机中提供了一系列安全措施,但这些措施通常会不同程度地降低安全防护实践便捷性,增加成本,影响用户使用体验。技术实现要素:4.基于云主机安全防护成本高、安全防护实践便捷性低的问题,本发明提供了一种云主机的威胁检测方法、装置、电子设备及存储介质,可独立于云主机之外检测云主机的异常状态。5.第一方面,本发明实施例提供了一种云主机的威胁检测方法,包括:6.获取待检测的云主机的状态特征信息;7.基于获取的所述状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;8.基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;9.基于获取的所述状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;10.根据确定的检测方案及用户输入指令,对获取的所述状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;11.基于所述检测结果,发布告警通知。12.可选地,所述的威胁检测方法还包括:13.在所述基于获取的所述状态特征信息,在系统特征库中进行查找之前,获取多种云主机的操作系统判定特征,构建系统特征库。14.可选地,所述的威胁检测方法还包括:15.在所述基于识别到的操作系统种类,在检测方案库中进行查找之前,获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类。16.可选地,所述的威胁检测方法还包括:17.在所述基于获取的所述状态特征信息,在基线检测数据库中进行查找之前,获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态。18.可选地,正常状态信息包括云主机系统基本特征、运行特征、日志特征、进程特征及网络特征中的一种或多种。19.可选地,所述根据确定的检测方案及用户输入指令,对获取的所述状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果,包括:20.根据确定的检测方案及用户输入指令,选择执行完全匹配模式或部分匹配模式;21.完全匹配模式下,根据确定的检测方案,从获取的所述状态特征信息与基线检测数据中提取并比对特征项,当且仅当提取的各项特征比对结果均完全相同,则判定未出现异常,否则判定为出现异常,并确定异常特征项;22.部分匹配模式下,根据确定的检测方案,从获取的所述状态特征信息与基线检测数据中提取并比对特征项,所述特征项分为基本特征项和附加特征项,若满足基本特征项比对结果相同,且附加特征项比对结果满足检测规则,则判定未出现异常,否则判定为出现异常,并确定异常特征项;23.生成检测结果,所述检测结果包括显示出现异常或未出现异常的标签,若标签为出现异常,则所述检测结果还包括异常特征项。24.可选地,基于所述检测结果,发布告警通知,包括:25.根据所述检测结果生成告警通知;26.基于预设的通信地址,将生成的所述告警通知发送至对应的通信终端。27.第二方面,本发明实施例还提供了一种云主机的威胁检测装置,包括:28.信息提取模块,用于获取待检测的云主机的状态特征信息;29.系统判定模块,用于基于获取的所述状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;30.数据分析模块,用于基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;31.基于获取的所述状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;32.以及,根据确定的检测方案及用户输入指令,对获取的所述状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;33.告警通知模块,用于基于所述检测结果,发布告警通知。34.第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的云主机的威胁检测方法。35.第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的云主机的威胁检测方法。36.本发明实施例提供了一种云主机的威胁检测方法、装置、电子设备及存储介质;本发明获取待检测云主机的状态特征信息,以待检测云主机的正常状态信息作为基线,结合云主机的具体操作系统制定相应的检测方案,能够快速、有效地发现云主机状态异常,且可拓展性强,可屏蔽各云计算服务提供商或云计算厂商的技术细节、销售策略及收费差异,适用于不同的云主机,并且,从待检测的云主机获取所需的状态特征信息后,即无需再依赖云主机自身资源,可尽量降低网络安全防御作业可能对云主机产生的负面影响。附图说明37.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。38.图1是本发明一实施例提供的一种云主机的威胁检测方法流程图;39.图2是本发明一实施例提供的另一种云主机的威胁检测方法流程图;40.图3是本发明一实施例提供的一种电子设备的硬件架构图;41.图4是本发明一实施例提供的一种云主机的威胁检测装置结构图;42.图5是本发明一实施例提供的另一种云主机的威胁检测装置结构图。具体实施方式43.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。44.如前所述,为确保云计算网络安全,国内代表性云计算服务提供商或云计算厂商(如阿里云、腾讯云、华为云等)均在其推出的云主机中提供了一系列安全措施,例如安全最佳实践(包含使用账号安全功能、创建实例时启用安全合规特性、为实例搭建安全的网络环境、使用云安全产品构建安全防御体系、实例操作系统内安全配置、使用服务时遵循安全做法)、安全组、ssh密钥对、管理身份和权限(或称登录密码)、ddos基础防护、基础安全服务、置放群组、弹性公网ip、弹性网卡、主机安全、hypervisor安全、用户加密、cloud-init等,但这些方式往往需要增加用户手动操作,影响用户体验感,且各云计算服务提供商或云计算厂商的技术细节、销售策略及收费都存在差异,制约了安全防护技术大范围推广。有鉴于此,本发明提供了一种云主机威胁检测技术,在避免增加云主机安全防护成本及其资源占用的前提下,对具备系统多样性和扩展弹性的云主机在操作系统层面建立通用基线并持续更新,同时基于基线检测实现云主机的安全状态检测和网空威胁的发现。45.下面描述以上构思的具体实现方式。46.请参考图1,本发明实施例提供了一种云主机的威胁检测方法,该方法包括:47.步骤100,获取待检测的云主机的状态特征信息;48.其中,可以将获取到的待检测云主机的状态特征信息,存储至本地计算机中。49.步骤102,基于获取的状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;50.步骤104,基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;51.步骤106,基于获取的状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;52.步骤108,根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;53.步骤110,基于检测结果,发布告警通知。54.本发明实施例提供了一种通用的云主机的威胁检测方法,采用基线检测思想,利用云主机在正常状态下的信息作为基线,对云主机的当前状态特征进行对比分析,从而确定该云主机当前是否出现异常,本发明适用性广,除必要的状态特征信息收集或提取之外,不长期占用云主机本身资源或驻留其运行环境,可在最大程度上降低网络安全防御作业可能对其产生的负面影响,不干扰用户使用(如可采用轻量低耗、用户无感知的自安装、自卸载的安全插件获取待检测的云主机的状态特征信息),并能够屏蔽各云计算服务提供商或云计算厂商的技术细节、销售策略及收费差异,以独立于云主机之外的方式实现对云主机的安全状态检测和网空威胁发现,进而为后续深度分析与响应处置提供可靠依据。55.在一些可选实施方式中,如图2所示,本发明提供的云主机的威胁检测方法还包括:56.基于获取的状态特征信息,在系统特征库中进行查找之前,获取多种云主机的操作系统判定特征,构建系统特征库。57.若现有技术难以支持多种云主机的操作系统检测,则可根据需要构建针对不同云主机操作系统的系统特征库,以便对待检测云主机的操作系统进行匹配识别。58.可选地,如图2所示,本发明提供的云主机的威胁检测方法还包括:59.在基于识别到的操作系统种类,在检测方案库中进行查找之前,获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类。60.为便于拓展,可根据需要构建支持多种云主机的检测方案库,通过更新检测方案库,本发明能够适用于不同的云主机,且能够以更加有效的方式进行检测。构建的检测方案库中,检测方案既可以借鉴用户和实体行为分析(ueba)技术所涵盖的特征统计学习、动态行为基线、时序前后分析等分析算法,辅以在线分析、分析建模和离线分析等方式,也可以采用孤立森林、k均值聚类、时序分析、变点检测等机器学习算法,保持检测方法及规则的持续优化。61.进一步地,面向云主机常用操作系统的检测方案库包括但不限于:windows系统检测方案库、unix系统检测方案库、linux系统检测方案库等。62.本发明提供检测方法所使用的具体检测方式和检测规则具备灵活适应性,构建形成的检测方案面向当前常用云主机及其操作系统,并以检测方案库形式进行集中管理。利用上述检测方案建库,本发明可支持对当前常见云主机的安全检测,不受限于云主机的品牌型号、操作系统类型、服务提供商及其产品销售策略等大量差异化因素,具备较高的通用性和覆盖度。63.可选地,如图2所示,本发明提供的云主机的威胁检测方法还包括:64.基于获取的状态特征信息,在基线检测数据库中进行查找之前,获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态。65.该实施方式中,收集的原始基线数据(即多种云主机关键状态的正常状态信息)具有广义性和相对性,涵盖了云主机创建完成初始时刻状态信息、云主机业务应用部署完成时刻状态信息、云主机指定保存时刻状态信息,以覆盖云主机在初始化、应用部署完成、指定配置保存等多个重要时间节点,并以基线检测数据库形式进行集中管理,能够在操作系统层面建立通用基线并持续更新(如可在云主机服务变动后,获取新的指定保存时刻状态的信息),使该基线检测数据库具备动态适应性,以保持对比分析准确性。进一步地,步骤106中基于获取的状态特征信息在基线检测数据库中进行查找,优选使用时间节点上与当前最为接近的正常状态信息作为基线检测数据,以便及时发现当前待检测云主机的异常。基线检测数据存储在本地计算机,与云主机相对独立,避免针对云端的网络威胁干扰到存储的基线检测数据。66.针对步骤100,获取的状态特征信息可与基线检测数据库中存有的正常状态信息相对应。进一步地,正常状态信息包括云主机系统基本特征、运行特征、日志(log)特征、进程特征及网络特征中的一种或多种。67.进一步地,云主机系统基本特征的数据项可包括:终端主机名、操作系统类型、网卡名称、ip地址(ipv4和ipv6地址)、mac地址、网络利用率、cpu利用率、内存利用率、硬盘空间及其利用率、已登录用户名等。68.运行特征的数据项可包括:69.1)文件句柄信息,数据项包括:句柄、文件路径、驱动等;70.2)动态链接库(dynamiclinklibrary,dll)信息,数据项包括:名称、文件路径、文件大小、修改时间、描述等;71.3)加载的驱动程序,数据项包括:驱动名称、显示名称、启动类型、状态、修改时间、文件大小、映像路径、发行商等;72.4)系统自启动项,数据项包括:文件、发行商、描述、注册表项、修改时间、文件大小、映像路径、状态等;73.5)计划任务,数据项包括:任务名、状态、描述、任务类型、修改时间、文件大小、映像路径\clsid、任务参数、任务路径等;74.6)系统服务,数据项包括:服务名称、显示名称、启动类型、pid、描述、状态、组、修改时间、文件大小、映像路径、发行商、服务参数等;75.7)服务提供商接口(serviceproviderinterface,spi)信息,数据项包括:名称、发行商、描述、guid、修改时间、文件大小、映像路径等;76.8)系统注册表及其变更信息,数据项包括:名称、类型、键值等;77.9)内核模块信息,数据项包括:文件名称、基址、映像大小、标识、序数、文件大小、映像路径、修改时间、发行商等;78.10)系统服务描述符表(systemservicesdescriptortable,ssdt)和影子系统服务描述符表(shadowsystemservicesdescriptortable,shadowssdt)信息,数据项包括:序数、函数、当前基址、原始地址、映像路径、ssdt钩子、inline钩子等;79.11)消息钩子,数据项包括:句柄、类型、地址、模块路径、映像路径、进程id、是否全局钩子等;80.12)程序钩子和内核钩子,主要针对系统注册的程序钩子和内核钩子;81.13)目录对象,主要针对所有系统内核目录对象,数据项包括:名称、类型、目录等;82.14)主引导记录(mainbootrecord,mbr)信息,数据项包括:内核api获取的区域和内容、scsi命令获取的区域和内容等;83.15)dpc定时器信息,数据项包括:定时器对象、触发周期(毫秒)、入口、模块、修改时间、文件大小、发行商、描述等;84.16)用户及其账号变更信息,数据项包括:用户名、描述、权限、最后登录时间、总登录次数、是否空密码、密码使用时长、密码是否永不过期、状态(禁用、启用等)等;85.17)命令行历史记录,数据项包括powershell、cmd等。86.日志特征可包括:87.1)操作系统日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息等;88.2)应用程序日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息等;89.3)系统安全日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息;90.4)系统文件安装日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息等,主要针对系统补丁、语言包等;91.5)文件操作日志,包括文件访问、修改、删除、复制等操作日志。92.进程特征可包括:93.1)进程信息,数据项包括:进程名称、进程文件名称、文件md5、进程id、父进程id、发行商、描述、文件大小、映像路径、进程状态、开始时间、修改时间、结束时间、eprocess、peb、基址、cpu利用率、内存利用率、进程owner信息(用户名、终端信息、登录时间、到期时间)、命令行(启动进程的命令字)、终端类型等,针对进程信息的数据采集包括正在运行的进程,也包括在磁盘上没有文件的进程;94.2)进程使用的模块信息,数据项包括:进程内加载的模块名称(含路径)及其文件md5、文件大小、模块文件的最后修改时间、模块操作时间等;95.3)进程所含的子进程信息,数据项包括:子进程的进程id、子进程的进程名称、父进程id、子进程的用户名、子进程对应的文件名称(含路径)、启动子进程的命令字、子进程的开始时间、子进程的结束时间等;96.4)线程信息,数据项包括:线程id、优先级、基址、模块路径、ethread、teb、挂起次数、切换次数等。97.网络特征可包括:98.1)系统共享信息,数据项包括:共享名、共享类型、当前连接数、共享路径等;99.2)开放的端口,数据项包括:端口号、传输协议、端口描述等;100.3)arp表信息,数据项包括:接口、ip地址(internet地址)、mac地址(物理地址)、类型(静态、动态)等;101.4)路由表信息,数据项包括:接口列表、ipv4路由表(活动路由/永久路由:网络目标、网络掩码、网关、接口、跃点数)、ipv6路由表(活动路由/永久路由:接口、跃点数、网络目标、网关)等;102.5)当前入站和出站网络连接信息,数据项包括:连接时间、进程id、进程名称、进程对应的文件名称、进程对应文件的md5、协议、本地ip地址、本地端口、远程ip地址、远程端口、发送/接收字节数、网络连接协议(tcp、udp、http、https)等;103.6)网络连接历史记录,数据项与当前入站和出站网络连接信息相同;104.7)hosts信息,数据项包括:ip地址、域名;105.8)dns访问数据,包括dns查询请求和响应的详细信息。106.在一些实施方式中,可以选用上述若干数据项构成基线检测数据库中的表示正常状态信息的特征向量,相应地,步骤100中获取的状态特征信息时,可实施全量(即特征向量涉及的所有数据项)或按需(即特征向量涉及的部分数据项)提取,优选默认实施全量提取,以便后续全面对比分析;若明确已知某个/些数据项足以达成检测目的,也可按需(非全量)提取。需要说明的是,上述数据项并非可用于表征状态的所有特征项,必要时,也可根据实际需要增加其他的数据项。107.在一些可选实施方式中,步骤108进一步包括:108.根据确定的检测方案及用户输入指令,选择执行完全匹配模式或部分匹配模式;109.完全匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,当且仅当提取的各项特征比对结果均完全相同,则判定未出现异常,否则判定为出现异常,并确定异常特征项;110.部分匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,全部的特征项分为基本特征项和附加特征项,若满足基本特征项比对结果相同,且附加特征项比对结果满足检测规则,则判定未出现异常,否则判定为出现异常,并确定异常特征项;111.生成检测结果,检测结果包括显示出现异常或未出现异常的标签,若标签为出现异常,则检测结果还包括异常特征项。112.上述实施方式中,步骤108可以利用不同的工作模式进行对比分析,完全匹配模式是一种严格模式,待检测云主机提取所得信息必须与已建立的安全基线信息严格一致、完全相同,而部分匹配模式是一种宽松模式:依据检测方案及规则中设定的正则表达式,允许非关键部分存在一定差异性或允许部分信息数据在合法/理区间范围内浮动,但其它部分(即基本特征项)必须与基线检测信息保持一致。113.例如,某套检测方案及其规则中,针对某个/些云主机部署的microsoftwindowsserver2012r2操作系统中事件日志服务(eventlogservice)中“security”对应的日志文件大小设置,在确定“security:specifythemaximumlogfilesize(kb)”设置为“enabled:196,608orgreater”之后,其“themaximumlogfilesize(kb)”的取值为一个范围,即1兆字节(1,024kb)至4tb(4,194,240kb)之间,默认数值196,608kb仅为官方推荐值,该云主机的用户或管理员可以依据自身需求进行个性化调整,即:114.1)当“security:specifythemaximumlogfilesize(kb)”被设置为非“enabled:196,608orgreater”状态时,则视为违规,存在安全风险;若不启用该功能,则不能记录安全相关事件,则可能难以或不可能确定系统问题或为恶意用户未经授权的活动的根本原因。115.2)当1,024kb≤themaximumlogfilesize(kb)<196,608kb时,虽然不违规,但视为存在安全隐患,因为当事件日志填满时,将停止记录信息(除非设置了每个的保留方法,以便计算机用最新的条目覆盖最旧的条目),为了降低丢失最近数据的风险,建议在系统性能允许范围内,尽可能地设置为某个较大的数值。116.3)当196,608kb≤themaximumlogfilesize(kb)≤4,194,240kb时,则视为符合安全基线要求。117.因此,上述themaximumlogfilesize(kb)数值相关信息的检测适配部分匹配模式。118.针对步骤110,进一步包括:119.根据检测结果生成告警通知;120.基于预设的通信地址,将生成的告警通知发送至对应的通信终端。121.其中,告警通知优选以规范化的通用格式(例如json等)给予输出,内容可涵盖与基线存在差异(包括项目不同/缺少/多出、数值不同或不在合法/理区间内等)的状态信息数据项名称及其差异点/数值,例如:122.示例1:[0123][0124]示例2:[0125][0126]将检测发现的异常形成告警提示,并以邮件、短信、微信等形式通知到预设了通信地址的相关责任人,能够及时发觉云主机异常,以便快速采取应对措施。[0127]在一个优选的实施方式中,如图2所示,本发明提供的一种云主机的威胁检测方法包括:[0128]步骤200,获取多种云主机的操作系统判定特征,构建系统特征库;[0129]步骤202,获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类;[0130]步骤204,获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态;[0131]步骤206,获取待检测的云主机的状态特征信息;[0132]步骤208,基于获取的状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;[0133]步骤210,基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;[0134]步骤212,基于获取的状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;[0135]步骤214,根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;[0136]步骤216,基于检测结果,发布告警通知。[0137]本发明对云主机的创建完成初始时刻状态信息、业务应用部署完成时刻状态信息、指定时刻状态信息进行原始基线信息收集并入库;定期/不定期/按需地对待检测云主机的信息进行提取,结合其操作系统,选取对应的检测方案和基线检测数据进行对比分析,可有效检测出其原始基线信息之外的定时任务、造成cpu使用率偏离基线值的可疑进程、违反管理身份和权限(或称登录密码)安全基线的弱口令及相关异常登录、违背操作习惯的异常加密行为等,存在被植入挖矿木马、被恶意登录和破坏的威胁风险被检出并记录在检测结果中,进而给出告警通知,提示使用者及时应对云主机的网空威胁。[0138]如图3、图4所示,本发明实施例还提供了一种云主机的威胁检测装置(简称威胁检测装置)。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种云主机的威胁检测装置所在电子设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种云主机的威胁检测装置,包括信息提取模块400、系统判定模块401、数据分析模块402和告警通知模块403;具体地,其中:[0139]信息提取模块400用于获取待检测的云主机的状态特征信息;[0140]系统判定模块401用于基于获取的状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;[0141]数据分析模块402用于基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;[0142]检测方案库中存有多种检测方案,每种检测方案包括检测规则、检测步骤及适用条件;[0143]基于获取的状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;[0144]基线检测数据库中存有多种云主机的正常状态信息,作为基线检测数据;[0145]以及,根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;[0146]告警通知模块403用于基于检测结果,发布告警通知。[0147]在本发明实施方式中,信息提取模块400可用于执行上述方法实施方式中的步骤100,系统判定模块401可用于执行上述方法实施方式中的步骤102,数据分析模块402可用于执行上述方法实施方式中的步骤104至步骤108,告警通知模块403可用于执行上述方法实施方式中的步骤110。模块之间依据方法流程进行交互协同,彼此相互独立,具备松耦合性,避免了某一/些模块升级更新所引发的整体变更。[0148]本发明提供的云主机的威胁检测装置与待检测的云主机相对独立。装置独立于待检测云主机之外,支持集成化部署,除获取待检测的云主机的状态特征信息外尽量不占用云主机软硬件资源,可避免云主机安全防护成本大幅增加,同时支持定期/按需应用,不受限于长期固定接入方式,具备部署灵活性和移动便携性。[0149]可选地,本发明提供云主机的威胁检测装置中,系统判定模块401还用于获取多种云主机的操作系统判定特征,构建系统特征库,以实现对云主机操作系统的匹配与识别。[0150]可选地,如图5所示,本发明提供云主机的威胁检测装置还包括方案生成模块404,方案生成模块404用于获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类。检测方案库可根据需要进行更新,可拓展性强,更具时效性。[0151]可选地,本发明提供云主机的威胁检测装置还包括基线收集模块405,基线收集模块405用于获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态。基线检测数据库可根据需要进行更新,可拓展性强,更具时效性。[0152]可选地,本发明提供云主机的威胁检测装置中的数据分析模块402用于根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果,包括:[0153]根据确定的检测方案及用户输入指令,选择执行完全匹配模式或部分匹配模式;[0154]完全匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,当且仅当提取的各项特征比对结果均完全相同,则判定未出现异常,否则判定为出现异常,并确定异常特征项;[0155]部分匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,所述特征项分为基本特征项和附加特征项,若满足基本特征项比对结果相同,且附加特征项比对结果满足检测规则,则判定未出现异常,否则判定为出现异常,并确定异常特征项;[0156]生成检测结果,检测结果包括显示出现异常或未出现异常的标签,若标签为出现异常,则检测结果还包括异常特征项。应用时,可根据需要选择完全匹配模式或部分匹配模式。[0157]可以理解的是,本发明实施例示意的结构并不构成对一种云主机的威胁检测装置的具体限定。在本发明的另一些实施例中,一种云主机的威胁检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。[0158]上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。[0159]本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种云主机的威胁检测方法。[0160]本发明实施例还提供了一种计算机可读存储介质,存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种云主机的威胁检测方法。[0161]具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。[0162]在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。[0163]用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地,可以由通信网络从服务器计算机上下载程序代码。[0164]此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。[0165]此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。[0166]本发明各实施例至少具有如下有益效果:[0167]1、本发明提供的云主机的威胁检测方法(或装置、电子设备、计算机可读存储介质)获取待检测的云主机的状态特征信息,针对云主机的操作系统选择检测方案,结合云主机的正常状态信息,采用基线检测思想进行检测,除在特定时刻对云主机进行必要的状态信息收集或提取(采用轻量低耗、用户无感知的自安装、自卸载的安全插件)之外,不长期占用该云主机本身资源或驻留其运行环境,可在最大程度上降低网络安全防御作业可能对其产生的负面影响。[0168]2、本发明提供的云主机的威胁检测方法可根据需要构建检测方案库、基线检测数据库并持续更新,可拓展性强,支持定期/按需检测,基本覆盖当前常用云主机操作系统种类,具备较高的通用性和覆盖度,且基线检测数据库存储在本地计算机,不易受到针对云主机的网络威胁影响。[0169]3、本发明提供的云主机的威胁检测方法基于检测结果数据发布告警通知,以便相关责任人第一时间掌握已检测云主机的安全状态,告警通知数据采用规范化的通用格式给予输出,有利于其他安全防御措施作为输入数据开展进一步的联动分析和响应。[0170]4、本发明提供的装置、电子设备和计算机可读存储介质可独立于待检测云主机之外,支持集成化部署以避免云主机安全防护成本大幅增加,同时支持定期/按需应用,不受限于长期固定接入方式,具备部署灵活性和移动便携性。[0171]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。[0172]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。[0173]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12当前第1页12
技术领域:
:,特别涉及一种云主机的威胁检测方法、装置、电子设备及存储介质。
背景技术:
::2.云主机,或称云服务器,是基于云数据中心基础设施及专业服务能力,向用户提供按需租用的it基础资源(计算、储存、网络等)的租用服务,具有快速部署、按需租用、自助服务、安全可靠的特点。用户可以通过自服务门户便捷地进行资源申请、管理与监控,快速部署应用,并根据需求动态弹性扩展租用资源。依据中国信息通信研究院2021年7月发布《云计算白皮书》数据,过去几年,全球云计算保持稳定增长态势,虽然在2020年全球云计算市场增速明显滑坡,但是我国云计算市场呈爆发式增长:2020年,我国经济稳步回升,云计算整体市场规模达2091亿元,增速56.6%。其中,公有云市场规模达1277亿元,相比2019年增长85.2%;私有云市场规模达814亿元,较2019年增长26.1%。3.随着市场规模扩大,云主机相关网络安全问题也越来越受到重视。国内代表性云计算服务提供商或云计算厂商均在其推出的云主机中提供了一系列安全措施,但这些措施通常会不同程度地降低安全防护实践便捷性,增加成本,影响用户使用体验。技术实现要素:4.基于云主机安全防护成本高、安全防护实践便捷性低的问题,本发明提供了一种云主机的威胁检测方法、装置、电子设备及存储介质,可独立于云主机之外检测云主机的异常状态。5.第一方面,本发明实施例提供了一种云主机的威胁检测方法,包括:6.获取待检测的云主机的状态特征信息;7.基于获取的所述状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;8.基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;9.基于获取的所述状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;10.根据确定的检测方案及用户输入指令,对获取的所述状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;11.基于所述检测结果,发布告警通知。12.可选地,所述的威胁检测方法还包括:13.在所述基于获取的所述状态特征信息,在系统特征库中进行查找之前,获取多种云主机的操作系统判定特征,构建系统特征库。14.可选地,所述的威胁检测方法还包括:15.在所述基于识别到的操作系统种类,在检测方案库中进行查找之前,获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类。16.可选地,所述的威胁检测方法还包括:17.在所述基于获取的所述状态特征信息,在基线检测数据库中进行查找之前,获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态。18.可选地,正常状态信息包括云主机系统基本特征、运行特征、日志特征、进程特征及网络特征中的一种或多种。19.可选地,所述根据确定的检测方案及用户输入指令,对获取的所述状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果,包括:20.根据确定的检测方案及用户输入指令,选择执行完全匹配模式或部分匹配模式;21.完全匹配模式下,根据确定的检测方案,从获取的所述状态特征信息与基线检测数据中提取并比对特征项,当且仅当提取的各项特征比对结果均完全相同,则判定未出现异常,否则判定为出现异常,并确定异常特征项;22.部分匹配模式下,根据确定的检测方案,从获取的所述状态特征信息与基线检测数据中提取并比对特征项,所述特征项分为基本特征项和附加特征项,若满足基本特征项比对结果相同,且附加特征项比对结果满足检测规则,则判定未出现异常,否则判定为出现异常,并确定异常特征项;23.生成检测结果,所述检测结果包括显示出现异常或未出现异常的标签,若标签为出现异常,则所述检测结果还包括异常特征项。24.可选地,基于所述检测结果,发布告警通知,包括:25.根据所述检测结果生成告警通知;26.基于预设的通信地址,将生成的所述告警通知发送至对应的通信终端。27.第二方面,本发明实施例还提供了一种云主机的威胁检测装置,包括:28.信息提取模块,用于获取待检测的云主机的状态特征信息;29.系统判定模块,用于基于获取的所述状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;30.数据分析模块,用于基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;31.基于获取的所述状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;32.以及,根据确定的检测方案及用户输入指令,对获取的所述状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;33.告警通知模块,用于基于所述检测结果,发布告警通知。34.第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的云主机的威胁检测方法。35.第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的云主机的威胁检测方法。36.本发明实施例提供了一种云主机的威胁检测方法、装置、电子设备及存储介质;本发明获取待检测云主机的状态特征信息,以待检测云主机的正常状态信息作为基线,结合云主机的具体操作系统制定相应的检测方案,能够快速、有效地发现云主机状态异常,且可拓展性强,可屏蔽各云计算服务提供商或云计算厂商的技术细节、销售策略及收费差异,适用于不同的云主机,并且,从待检测的云主机获取所需的状态特征信息后,即无需再依赖云主机自身资源,可尽量降低网络安全防御作业可能对云主机产生的负面影响。附图说明37.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。38.图1是本发明一实施例提供的一种云主机的威胁检测方法流程图;39.图2是本发明一实施例提供的另一种云主机的威胁检测方法流程图;40.图3是本发明一实施例提供的一种电子设备的硬件架构图;41.图4是本发明一实施例提供的一种云主机的威胁检测装置结构图;42.图5是本发明一实施例提供的另一种云主机的威胁检测装置结构图。具体实施方式43.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。44.如前所述,为确保云计算网络安全,国内代表性云计算服务提供商或云计算厂商(如阿里云、腾讯云、华为云等)均在其推出的云主机中提供了一系列安全措施,例如安全最佳实践(包含使用账号安全功能、创建实例时启用安全合规特性、为实例搭建安全的网络环境、使用云安全产品构建安全防御体系、实例操作系统内安全配置、使用服务时遵循安全做法)、安全组、ssh密钥对、管理身份和权限(或称登录密码)、ddos基础防护、基础安全服务、置放群组、弹性公网ip、弹性网卡、主机安全、hypervisor安全、用户加密、cloud-init等,但这些方式往往需要增加用户手动操作,影响用户体验感,且各云计算服务提供商或云计算厂商的技术细节、销售策略及收费都存在差异,制约了安全防护技术大范围推广。有鉴于此,本发明提供了一种云主机威胁检测技术,在避免增加云主机安全防护成本及其资源占用的前提下,对具备系统多样性和扩展弹性的云主机在操作系统层面建立通用基线并持续更新,同时基于基线检测实现云主机的安全状态检测和网空威胁的发现。45.下面描述以上构思的具体实现方式。46.请参考图1,本发明实施例提供了一种云主机的威胁检测方法,该方法包括:47.步骤100,获取待检测的云主机的状态特征信息;48.其中,可以将获取到的待检测云主机的状态特征信息,存储至本地计算机中。49.步骤102,基于获取的状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;50.步骤104,基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;51.步骤106,基于获取的状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;52.步骤108,根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;53.步骤110,基于检测结果,发布告警通知。54.本发明实施例提供了一种通用的云主机的威胁检测方法,采用基线检测思想,利用云主机在正常状态下的信息作为基线,对云主机的当前状态特征进行对比分析,从而确定该云主机当前是否出现异常,本发明适用性广,除必要的状态特征信息收集或提取之外,不长期占用云主机本身资源或驻留其运行环境,可在最大程度上降低网络安全防御作业可能对其产生的负面影响,不干扰用户使用(如可采用轻量低耗、用户无感知的自安装、自卸载的安全插件获取待检测的云主机的状态特征信息),并能够屏蔽各云计算服务提供商或云计算厂商的技术细节、销售策略及收费差异,以独立于云主机之外的方式实现对云主机的安全状态检测和网空威胁发现,进而为后续深度分析与响应处置提供可靠依据。55.在一些可选实施方式中,如图2所示,本发明提供的云主机的威胁检测方法还包括:56.基于获取的状态特征信息,在系统特征库中进行查找之前,获取多种云主机的操作系统判定特征,构建系统特征库。57.若现有技术难以支持多种云主机的操作系统检测,则可根据需要构建针对不同云主机操作系统的系统特征库,以便对待检测云主机的操作系统进行匹配识别。58.可选地,如图2所示,本发明提供的云主机的威胁检测方法还包括:59.在基于识别到的操作系统种类,在检测方案库中进行查找之前,获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类。60.为便于拓展,可根据需要构建支持多种云主机的检测方案库,通过更新检测方案库,本发明能够适用于不同的云主机,且能够以更加有效的方式进行检测。构建的检测方案库中,检测方案既可以借鉴用户和实体行为分析(ueba)技术所涵盖的特征统计学习、动态行为基线、时序前后分析等分析算法,辅以在线分析、分析建模和离线分析等方式,也可以采用孤立森林、k均值聚类、时序分析、变点检测等机器学习算法,保持检测方法及规则的持续优化。61.进一步地,面向云主机常用操作系统的检测方案库包括但不限于:windows系统检测方案库、unix系统检测方案库、linux系统检测方案库等。62.本发明提供检测方法所使用的具体检测方式和检测规则具备灵活适应性,构建形成的检测方案面向当前常用云主机及其操作系统,并以检测方案库形式进行集中管理。利用上述检测方案建库,本发明可支持对当前常见云主机的安全检测,不受限于云主机的品牌型号、操作系统类型、服务提供商及其产品销售策略等大量差异化因素,具备较高的通用性和覆盖度。63.可选地,如图2所示,本发明提供的云主机的威胁检测方法还包括:64.基于获取的状态特征信息,在基线检测数据库中进行查找之前,获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态。65.该实施方式中,收集的原始基线数据(即多种云主机关键状态的正常状态信息)具有广义性和相对性,涵盖了云主机创建完成初始时刻状态信息、云主机业务应用部署完成时刻状态信息、云主机指定保存时刻状态信息,以覆盖云主机在初始化、应用部署完成、指定配置保存等多个重要时间节点,并以基线检测数据库形式进行集中管理,能够在操作系统层面建立通用基线并持续更新(如可在云主机服务变动后,获取新的指定保存时刻状态的信息),使该基线检测数据库具备动态适应性,以保持对比分析准确性。进一步地,步骤106中基于获取的状态特征信息在基线检测数据库中进行查找,优选使用时间节点上与当前最为接近的正常状态信息作为基线检测数据,以便及时发现当前待检测云主机的异常。基线检测数据存储在本地计算机,与云主机相对独立,避免针对云端的网络威胁干扰到存储的基线检测数据。66.针对步骤100,获取的状态特征信息可与基线检测数据库中存有的正常状态信息相对应。进一步地,正常状态信息包括云主机系统基本特征、运行特征、日志(log)特征、进程特征及网络特征中的一种或多种。67.进一步地,云主机系统基本特征的数据项可包括:终端主机名、操作系统类型、网卡名称、ip地址(ipv4和ipv6地址)、mac地址、网络利用率、cpu利用率、内存利用率、硬盘空间及其利用率、已登录用户名等。68.运行特征的数据项可包括:69.1)文件句柄信息,数据项包括:句柄、文件路径、驱动等;70.2)动态链接库(dynamiclinklibrary,dll)信息,数据项包括:名称、文件路径、文件大小、修改时间、描述等;71.3)加载的驱动程序,数据项包括:驱动名称、显示名称、启动类型、状态、修改时间、文件大小、映像路径、发行商等;72.4)系统自启动项,数据项包括:文件、发行商、描述、注册表项、修改时间、文件大小、映像路径、状态等;73.5)计划任务,数据项包括:任务名、状态、描述、任务类型、修改时间、文件大小、映像路径\clsid、任务参数、任务路径等;74.6)系统服务,数据项包括:服务名称、显示名称、启动类型、pid、描述、状态、组、修改时间、文件大小、映像路径、发行商、服务参数等;75.7)服务提供商接口(serviceproviderinterface,spi)信息,数据项包括:名称、发行商、描述、guid、修改时间、文件大小、映像路径等;76.8)系统注册表及其变更信息,数据项包括:名称、类型、键值等;77.9)内核模块信息,数据项包括:文件名称、基址、映像大小、标识、序数、文件大小、映像路径、修改时间、发行商等;78.10)系统服务描述符表(systemservicesdescriptortable,ssdt)和影子系统服务描述符表(shadowsystemservicesdescriptortable,shadowssdt)信息,数据项包括:序数、函数、当前基址、原始地址、映像路径、ssdt钩子、inline钩子等;79.11)消息钩子,数据项包括:句柄、类型、地址、模块路径、映像路径、进程id、是否全局钩子等;80.12)程序钩子和内核钩子,主要针对系统注册的程序钩子和内核钩子;81.13)目录对象,主要针对所有系统内核目录对象,数据项包括:名称、类型、目录等;82.14)主引导记录(mainbootrecord,mbr)信息,数据项包括:内核api获取的区域和内容、scsi命令获取的区域和内容等;83.15)dpc定时器信息,数据项包括:定时器对象、触发周期(毫秒)、入口、模块、修改时间、文件大小、发行商、描述等;84.16)用户及其账号变更信息,数据项包括:用户名、描述、权限、最后登录时间、总登录次数、是否空密码、密码使用时长、密码是否永不过期、状态(禁用、启用等)等;85.17)命令行历史记录,数据项包括powershell、cmd等。86.日志特征可包括:87.1)操作系统日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息等;88.2)应用程序日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息等;89.3)系统安全日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息;90.4)系统文件安装日志,数据项包括:级别、日期和时间、来源、事件id、任务类别、详细信息等,主要针对系统补丁、语言包等;91.5)文件操作日志,包括文件访问、修改、删除、复制等操作日志。92.进程特征可包括:93.1)进程信息,数据项包括:进程名称、进程文件名称、文件md5、进程id、父进程id、发行商、描述、文件大小、映像路径、进程状态、开始时间、修改时间、结束时间、eprocess、peb、基址、cpu利用率、内存利用率、进程owner信息(用户名、终端信息、登录时间、到期时间)、命令行(启动进程的命令字)、终端类型等,针对进程信息的数据采集包括正在运行的进程,也包括在磁盘上没有文件的进程;94.2)进程使用的模块信息,数据项包括:进程内加载的模块名称(含路径)及其文件md5、文件大小、模块文件的最后修改时间、模块操作时间等;95.3)进程所含的子进程信息,数据项包括:子进程的进程id、子进程的进程名称、父进程id、子进程的用户名、子进程对应的文件名称(含路径)、启动子进程的命令字、子进程的开始时间、子进程的结束时间等;96.4)线程信息,数据项包括:线程id、优先级、基址、模块路径、ethread、teb、挂起次数、切换次数等。97.网络特征可包括:98.1)系统共享信息,数据项包括:共享名、共享类型、当前连接数、共享路径等;99.2)开放的端口,数据项包括:端口号、传输协议、端口描述等;100.3)arp表信息,数据项包括:接口、ip地址(internet地址)、mac地址(物理地址)、类型(静态、动态)等;101.4)路由表信息,数据项包括:接口列表、ipv4路由表(活动路由/永久路由:网络目标、网络掩码、网关、接口、跃点数)、ipv6路由表(活动路由/永久路由:接口、跃点数、网络目标、网关)等;102.5)当前入站和出站网络连接信息,数据项包括:连接时间、进程id、进程名称、进程对应的文件名称、进程对应文件的md5、协议、本地ip地址、本地端口、远程ip地址、远程端口、发送/接收字节数、网络连接协议(tcp、udp、http、https)等;103.6)网络连接历史记录,数据项与当前入站和出站网络连接信息相同;104.7)hosts信息,数据项包括:ip地址、域名;105.8)dns访问数据,包括dns查询请求和响应的详细信息。106.在一些实施方式中,可以选用上述若干数据项构成基线检测数据库中的表示正常状态信息的特征向量,相应地,步骤100中获取的状态特征信息时,可实施全量(即特征向量涉及的所有数据项)或按需(即特征向量涉及的部分数据项)提取,优选默认实施全量提取,以便后续全面对比分析;若明确已知某个/些数据项足以达成检测目的,也可按需(非全量)提取。需要说明的是,上述数据项并非可用于表征状态的所有特征项,必要时,也可根据实际需要增加其他的数据项。107.在一些可选实施方式中,步骤108进一步包括:108.根据确定的检测方案及用户输入指令,选择执行完全匹配模式或部分匹配模式;109.完全匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,当且仅当提取的各项特征比对结果均完全相同,则判定未出现异常,否则判定为出现异常,并确定异常特征项;110.部分匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,全部的特征项分为基本特征项和附加特征项,若满足基本特征项比对结果相同,且附加特征项比对结果满足检测规则,则判定未出现异常,否则判定为出现异常,并确定异常特征项;111.生成检测结果,检测结果包括显示出现异常或未出现异常的标签,若标签为出现异常,则检测结果还包括异常特征项。112.上述实施方式中,步骤108可以利用不同的工作模式进行对比分析,完全匹配模式是一种严格模式,待检测云主机提取所得信息必须与已建立的安全基线信息严格一致、完全相同,而部分匹配模式是一种宽松模式:依据检测方案及规则中设定的正则表达式,允许非关键部分存在一定差异性或允许部分信息数据在合法/理区间范围内浮动,但其它部分(即基本特征项)必须与基线检测信息保持一致。113.例如,某套检测方案及其规则中,针对某个/些云主机部署的microsoftwindowsserver2012r2操作系统中事件日志服务(eventlogservice)中“security”对应的日志文件大小设置,在确定“security:specifythemaximumlogfilesize(kb)”设置为“enabled:196,608orgreater”之后,其“themaximumlogfilesize(kb)”的取值为一个范围,即1兆字节(1,024kb)至4tb(4,194,240kb)之间,默认数值196,608kb仅为官方推荐值,该云主机的用户或管理员可以依据自身需求进行个性化调整,即:114.1)当“security:specifythemaximumlogfilesize(kb)”被设置为非“enabled:196,608orgreater”状态时,则视为违规,存在安全风险;若不启用该功能,则不能记录安全相关事件,则可能难以或不可能确定系统问题或为恶意用户未经授权的活动的根本原因。115.2)当1,024kb≤themaximumlogfilesize(kb)<196,608kb时,虽然不违规,但视为存在安全隐患,因为当事件日志填满时,将停止记录信息(除非设置了每个的保留方法,以便计算机用最新的条目覆盖最旧的条目),为了降低丢失最近数据的风险,建议在系统性能允许范围内,尽可能地设置为某个较大的数值。116.3)当196,608kb≤themaximumlogfilesize(kb)≤4,194,240kb时,则视为符合安全基线要求。117.因此,上述themaximumlogfilesize(kb)数值相关信息的检测适配部分匹配模式。118.针对步骤110,进一步包括:119.根据检测结果生成告警通知;120.基于预设的通信地址,将生成的告警通知发送至对应的通信终端。121.其中,告警通知优选以规范化的通用格式(例如json等)给予输出,内容可涵盖与基线存在差异(包括项目不同/缺少/多出、数值不同或不在合法/理区间内等)的状态信息数据项名称及其差异点/数值,例如:122.示例1:[0123][0124]示例2:[0125][0126]将检测发现的异常形成告警提示,并以邮件、短信、微信等形式通知到预设了通信地址的相关责任人,能够及时发觉云主机异常,以便快速采取应对措施。[0127]在一个优选的实施方式中,如图2所示,本发明提供的一种云主机的威胁检测方法包括:[0128]步骤200,获取多种云主机的操作系统判定特征,构建系统特征库;[0129]步骤202,获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类;[0130]步骤204,获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态;[0131]步骤206,获取待检测的云主机的状态特征信息;[0132]步骤208,基于获取的状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;[0133]步骤210,基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;[0134]步骤212,基于获取的状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;[0135]步骤214,根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;[0136]步骤216,基于检测结果,发布告警通知。[0137]本发明对云主机的创建完成初始时刻状态信息、业务应用部署完成时刻状态信息、指定时刻状态信息进行原始基线信息收集并入库;定期/不定期/按需地对待检测云主机的信息进行提取,结合其操作系统,选取对应的检测方案和基线检测数据进行对比分析,可有效检测出其原始基线信息之外的定时任务、造成cpu使用率偏离基线值的可疑进程、违反管理身份和权限(或称登录密码)安全基线的弱口令及相关异常登录、违背操作习惯的异常加密行为等,存在被植入挖矿木马、被恶意登录和破坏的威胁风险被检出并记录在检测结果中,进而给出告警通知,提示使用者及时应对云主机的网空威胁。[0138]如图3、图4所示,本发明实施例还提供了一种云主机的威胁检测装置(简称威胁检测装置)。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种云主机的威胁检测装置所在电子设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种云主机的威胁检测装置,包括信息提取模块400、系统判定模块401、数据分析模块402和告警通知模块403;具体地,其中:[0139]信息提取模块400用于获取待检测的云主机的状态特征信息;[0140]系统判定模块401用于基于获取的状态特征信息,在系统特征库中进行查找,识别待检测的云主机的操作系统种类;[0141]数据分析模块402用于基于识别到的操作系统种类,在检测方案库中进行查找,确定检测方案;[0142]检测方案库中存有多种检测方案,每种检测方案包括检测规则、检测步骤及适用条件;[0143]基于获取的状态特征信息,在基线检测数据库中进行查找,确定基线检测数据;[0144]基线检测数据库中存有多种云主机的正常状态信息,作为基线检测数据;[0145]以及,根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果;[0146]告警通知模块403用于基于检测结果,发布告警通知。[0147]在本发明实施方式中,信息提取模块400可用于执行上述方法实施方式中的步骤100,系统判定模块401可用于执行上述方法实施方式中的步骤102,数据分析模块402可用于执行上述方法实施方式中的步骤104至步骤108,告警通知模块403可用于执行上述方法实施方式中的步骤110。模块之间依据方法流程进行交互协同,彼此相互独立,具备松耦合性,避免了某一/些模块升级更新所引发的整体变更。[0148]本发明提供的云主机的威胁检测装置与待检测的云主机相对独立。装置独立于待检测云主机之外,支持集成化部署,除获取待检测的云主机的状态特征信息外尽量不占用云主机软硬件资源,可避免云主机安全防护成本大幅增加,同时支持定期/按需应用,不受限于长期固定接入方式,具备部署灵活性和移动便携性。[0149]可选地,本发明提供云主机的威胁检测装置中,系统判定模块401还用于获取多种云主机的操作系统判定特征,构建系统特征库,以实现对云主机操作系统的匹配与识别。[0150]可选地,如图5所示,本发明提供云主机的威胁检测装置还包括方案生成模块404,方案生成模块404用于获取多种适用于云主机操作系统的检测方案,根据适用条件分类,构建检测方案库;其中,适用条件至少包括适用的操作系统种类。检测方案库可根据需要进行更新,可拓展性强,更具时效性。[0151]可选地,本发明提供云主机的威胁检测装置还包括基线收集模块405,基线收集模块405用于获取多种云主机关键状态的正常状态信息,构建基线检测数据库,并存储在本地计算机;其中,关键状态包括创建完成初始时刻状态、业务应用部署完成时刻状态及指定保存时刻状态。基线检测数据库可根据需要进行更新,可拓展性强,更具时效性。[0152]可选地,本发明提供云主机的威胁检测装置中的数据分析模块402用于根据确定的检测方案及用户输入指令,对获取的状态特征信息与基线检测数据进行对比分析,判定是否出现异常,并生成检测结果,包括:[0153]根据确定的检测方案及用户输入指令,选择执行完全匹配模式或部分匹配模式;[0154]完全匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,当且仅当提取的各项特征比对结果均完全相同,则判定未出现异常,否则判定为出现异常,并确定异常特征项;[0155]部分匹配模式下,根据确定的检测方案,从获取的状态特征信息与基线检测数据中提取并比对特征项,所述特征项分为基本特征项和附加特征项,若满足基本特征项比对结果相同,且附加特征项比对结果满足检测规则,则判定未出现异常,否则判定为出现异常,并确定异常特征项;[0156]生成检测结果,检测结果包括显示出现异常或未出现异常的标签,若标签为出现异常,则检测结果还包括异常特征项。应用时,可根据需要选择完全匹配模式或部分匹配模式。[0157]可以理解的是,本发明实施例示意的结构并不构成对一种云主机的威胁检测装置的具体限定。在本发明的另一些实施例中,一种云主机的威胁检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。[0158]上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。[0159]本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种云主机的威胁检测方法。[0160]本发明实施例还提供了一种计算机可读存储介质,存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种云主机的威胁检测方法。[0161]具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。[0162]在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。[0163]用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd-rom、cd-r、cd-rw、dvd-rom、dvd-ram、dvd-rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地,可以由通信网络从服务器计算机上下载程序代码。[0164]此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。[0165]此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。[0166]本发明各实施例至少具有如下有益效果:[0167]1、本发明提供的云主机的威胁检测方法(或装置、电子设备、计算机可读存储介质)获取待检测的云主机的状态特征信息,针对云主机的操作系统选择检测方案,结合云主机的正常状态信息,采用基线检测思想进行检测,除在特定时刻对云主机进行必要的状态信息收集或提取(采用轻量低耗、用户无感知的自安装、自卸载的安全插件)之外,不长期占用该云主机本身资源或驻留其运行环境,可在最大程度上降低网络安全防御作业可能对其产生的负面影响。[0168]2、本发明提供的云主机的威胁检测方法可根据需要构建检测方案库、基线检测数据库并持续更新,可拓展性强,支持定期/按需检测,基本覆盖当前常用云主机操作系统种类,具备较高的通用性和覆盖度,且基线检测数据库存储在本地计算机,不易受到针对云主机的网络威胁影响。[0169]3、本发明提供的云主机的威胁检测方法基于检测结果数据发布告警通知,以便相关责任人第一时间掌握已检测云主机的安全状态,告警通知数据采用规范化的通用格式给予输出,有利于其他安全防御措施作为输入数据开展进一步的联动分析和响应。[0170]4、本发明提供的装置、电子设备和计算机可读存储介质可独立于待检测云主机之外,支持集成化部署以避免云主机安全防护成本大幅增加,同时支持定期/按需应用,不受限于长期固定接入方式,具备部署灵活性和移动便携性。[0171]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。[0172]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。[0173]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
