一种进程链的处理方法及系统、电子设备与流程

1.本发明涉及主机安全检测技术领域，尤其涉及一种进程链的处理方法及系统、电子设备。


背景技术：

2.主机安全检测领域，对进程行为链路进行检测是非常常见的方法，这里面有一类典型的检测场景即进程链检测，例如如果父进程是nginx，子进程执行了lua，lua的子进程又执行了异常bash命令，则输出nginx执行了异常bash命令的告警，这类检测有多种实现方式，其中资源占用较低综合性比较好的是客户端本地进程链检测，即配置规则如：
[0003]“子进程名匹配正则whoami且父进程名匹配正则nginx”[0004]
此时进程链规则引擎一般从末端规则(上面例子中则是子进程规则)进行匹配，如果末端规则匹配上了后，实时调用操作系统的接口来获取该进程的上游进程数据，一次次网上递归进行检测，而这种场景下存在一个很明显的问题，如果末端规则匹配次数过多则会导致大量操作系统的内部调用走走到了实时的进程链回溯检测中，导致检测引擎和系统的压力快速增高，导致匹配出现异常，而传统方法中没有手段来保障末端规则编写的质量，又或者默写特殊的业务场景下导致本来正常的末端规则大量匹配等，这导致了此类规则最终上线后由于环境因素或者自定义规则编写不当等因素很容易引发故障或匹配能力严重下降等。


技术实现要素：

[0005]
本发明要解决的技术问题是：当末端规则匹配次数过多则会导致大量操作系统的内部调用走走到了实时的进程链回溯检测中，导致检测引擎和系统的压力快速增高，导致匹配出现异常，所以有必要末端规则的编写质量进行管控及处理。有鉴于此，本发明提供一种进程链的处理方法及系统、电子设备。
[0006]
本发明采用的技术方案是，所述进程链的处理方法，包括：获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标；利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0007]
在一个实施方式中，所述利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标，包括：统计末端规则每分钟与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标；或者统计末端规则每天与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标。
[0008]
在一个实施方式中，所述利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态，包括；将所述末端匹配产出指标与预先配置的第一阈值作比较；根据所述末端匹配产出指标分别与所述第一阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态。
[0009]
在一个实施方式中，所述根据所述末端匹配产出指标分别与所述第一阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态，包括：当所述末端匹配产出指标大于所述第一阈值时，停用该末端匹配产出指标所对应的末端规则。
[0010]
在一个实施方式中，所述利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态，包括；将所述末端匹配产出指标与预先配置的第一阈值以及第二阈值作比较，其中，所述第二阈值大于所述第一阈值；根据所述末端匹配产出指标分别与所述第一阈值以及所述第二阈值的比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态。
[0011]
在一个实施方式中，所述根据所述末端匹配产出指标分别与所述第一阈值以及所述第二阈值比较情况，确定所述末端匹配产出指标所对应的所述末端规则的响应状态，包括：当所述末端匹配产出指标大于所述第二阈值时，停用该末端匹配产出指标所对应的末端规则；当所述末端匹配产出指标小于所述第二阈值并大于所述第一阈值时，该末端匹配产出指标所对应的末端规则被确定为待观察末端规则；当所述末端匹配产出指标小于所述第一阈值时，该末端匹配产出指标所对应的末端规则被确定为正常运行末端规则。
[0012]
在一个实施方式中，所述方法进一步包括：对所述待观察末端规则进行优化；执行所述正常运行末端规则的上游进程链与对应规则的匹配。
[0013]
本发明的另一方面提供了一种进程链的处理系统，包括：计数模块，被配置为获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；统计模块，被配置为利用预先配置的指标统计策略，基于所述末端匹配规则计数得到末端匹配产出指标；策略选择模块，被配置为利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0014]
本发明的另一方面提供了一种电子设备，所述电子设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上任一项所述的进程链的处理方法的步骤。
[0015]
本发明的另一方面提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述的进程链的处理方法的步骤。
[0016]
采用上述技术方案，本发明至少具有下列优点：
[0017]
本发明所述的进程链的处理方法中，通过实时采集末端规则的进程链匹配状态，在当前末端规则编写质量不能满足要求时，能够触发对该末端规则的停用，避免此末端规则过于宽松导致匹配了海量基础系统调用，引发故障或匹配能力严重下降等问题。
附图说明
[0018]
图1为根据本发明实施例的进程链的处理方法流程图；
[0019]
图2为根据本发明实施例的进程链的处理方法的一个应用实例的流程图；
[0020]
图3为根据本发明实施例的进程链的处理系统组成结构示意图；
[0021]
图4为根据本发明实施例的电子设备结构示意图。
具体实施方式
[0022]
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行详细说明如后。
[0023]
本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行，方法步骤是可以改变执行顺序的。而且，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0024]
本发明第一实施例，一种进程链的处理方法，如图1以及图2所示，包括以下具体步骤：
[0025]
步骤s1，获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数。
[0026]
步骤s2，利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标。
[0027]
步骤s3，利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0028]
下面将根据该实施例的流程对每一步骤做出详细说明。
[0029]
步骤s1，获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数。
[0030]
本实施例中，末端规则是预先编写好，并配置在设备中的，同一设备中，可以预先配置多条末端规则，相对应的，进程链的数量也可以有多条，通常情况下，进程链的数量可以有几千或几万条。具体地，本步骤是针对于一末端规则，与上述多条进程链的末端发生一次匹配时，即作为一次“与多个进程链的末端相匹配的事件”，并将该事件以计数的形式发送至下一模块进行处理。
[0031]
步骤s2，利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标。
[0032]
参考图2，示例性地，可以统计末端规则每分钟与多个进程链的末端的匹配命中次数(指标1)，得到末端匹配产出指标；或者可以统计末端规则每天与多个进程链的末端的匹配命中次数(指标2)，得到末端匹配产出指标，也可以根据自定义指标统计策略，统计对应的而末端匹配产出指标。
[0033]
也就是说，针对于一末端规则，可以通过划分出一定的时间范围，根据该末端规则在上述时间范围与多个进程链的末端相匹配的事件的计数情况，作为末端匹配产出指标。
[0034]
步骤s3，利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0035]
本实施例中，预先配置的匹配策略可以是将末端匹配产出指标与预先配置的阈值做比较，通过比较结果的不同做出对应不同的处理。
[0036]
示例性地，可以设置一个阈值，称该阈值为第一阈值，可以将第一阈值与上述末端匹配产出指标作比较，当末端匹配产出指标超过第一阈值时，停用该末端匹配产出指标所对应的末端规则，即该末端规则的响应状态被确定为停用状态。显然，第一阈值的具体取值是可以根据实际情况进行调整的，并且，当末端匹配产出指标与第一阈值相等时，可以将该末端规则的响应状态确定为停用状态，或不将该末端规则的响应状态确定为停用状态，具
体策略也是可以实际情况做出调整的。
[0037]
示例性地，可以设置两个阈值，分别称作第一阈值和第二阈值，其中，第二阈值大于第一阈值，将末端匹配产出指标分别与第一阈值以及第二阈值作比较，当末端匹配产出指标超过第二阈值时，停用该末端匹配产出指标所对应的末端规则，即该末端规则的响应状态被确定为停用状态；当末端匹配产出指标超过第一阈值时且小于第二阈值时，该末端匹配产出指标所对应的末端规则被确定为待观察末端规则，即该末端规则的响应状态被确定为待观察状态；当末端匹配产出指标小于第一阈值时，该末端匹配产出指标所对应的末端规则被确定为正常运行末端规则，即该末端规则的响应状态被确定为正常状态。
[0038]
显然，第一阈值以及第二阈值的具体取值是可以根据实际情况进行调整的，并且，当末端匹配产出指标与第二阈值相等时，可以将该末端规则的响应状态确定为停用状态，或将该末端规则确定为待观察末端规则，即该末端规则的响应状态被确定为待观察状态；当末端匹配产出指标与第一阈值相等时，可以将该末端规则确定为待观察末端规则，即该末端规则的响应状态被确定为待观察状态；或将该末端规则确定为正常运行末端规则，即该末端规则的响应状态被确定为正常状态；具体策略也同样是可以实际情况做出调整的。
[0039]
本实施例中，对于不同末端规则经上述处理确定后的响应状态，可以对正常运行末端规则以及待观察末端规则进行进一步的处理。具体地，可以对待观察末端规则进行编写优化处理，可以对执行正常运行末端规则的上游进程链与对应规则的匹配。
[0040]
本实施例中，还可以根据实际需要，设置更多的响应状态及其对应的阈值情况，本文对此将不做限定。
[0041]
本发明第二实施例，一种进程链的处理系统，可以作为实体装置来理解，如图3所示，处理系统包括：
[0042]
计数模块，被配置为获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数；
[0043]
统计模块，被配置为利用预先配置的指标统计策略，基于所述末端匹配规则计数得到末端匹配产出指标；
[0044]
策略选择模块，被配置为利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0045]
本实施例中，统计模块被进一步配置为：统计末端规则每分钟与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标；或者统计末端规则每天与多个所述进程链的末端的匹配命中次数，得到末端匹配产出指标。
[0046]
本实施例中，策略选择模块被进一步配置为：将所述末端匹配产出指标与预先配置的第一阈值作比较；根据所述末端匹配产出指标分别与所述第一阈值比较情况，确定所述末端匹配产出指标确定所述末端规则的响应状态。
[0047]
本实施例中，策略选择模块被进一步配置为：当所述末端匹配产出指标大于所述第一阈值时，停用该末端匹配产出指标所对应的末端规则。
[0048]
本实施例中，策略选择模块被进一步配置为：将所述末端匹配产出指标与预先配置的第一阈值以及第二阈值作比较，其中，所述第二阈值大于所述第一阈值；根据所述末端匹配产出指标分别与所述第一阈值以及所述第二阈值比较情况，确定所述末端匹配产出指标确定所述末端规则的响应状态。
[0049]
本实施例中，策略选择模块被进一步配置为：当所述末端匹配产出指标大于所述第二阈值时，停用该末端匹配产出指标所对应的末端规则；当所述末端匹配产出指标小于所述第二阈值并大于所述第一阈值时，该末端匹配产出指标所对应的末端规则被确定为待观察末端规则；当所述末端匹配产出指标小于所述第一阈值时，该末端匹配产出指标所对应的末端规则被确定为正常运行末端规则。
[0050]
本实施例中，策略选择模块被进一步配置为：对所述待观察末端规则进行优化；执行所述正常运行末端规则的上游进程链与对应规则的匹配。
[0051]
本发明第三实施例，一种电子设备，如图4所示，电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时，执行如下操作：
[0052]
步骤s1，获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数。
[0053]
步骤s2，利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标。
[0054]
步骤s3，利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0055]
其内容与上述进程链的处理方法实施例基于相同的思路，本文对此将不再赘述。
[0056]
本发明第四实施例，本实施例的进程链处理方法的流程与第一、二或三实施例相同，区别在于，在工程实现上，本实施例可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的所述方法可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台设备(可以是基站等网络设备)执行本发明实施例所述的方法。
[0057]
本发明第五实施例，本实施例是在上述实施例的基础上，结合附图1以及图2介绍一个本发明的应用实例。
[0058]
具体流程与上述第一实施例相似，大致如下所示：
[0059]
s1，获取预先配置的末端规则与多个进程链的末端相匹配的事件，得到末端规则匹配计数。
[0060]
针对一末端规则，该末端规则从进程链的末端开始匹配，同步的采集进程链的末端与该末端规则匹配命中情况：每当末端规则与进程链的末端匹配上后则记为一次事件，并进行计数。
[0061]
s2，利用预先配置的指标统计策略，基于所述末端规则匹配计数得到末端匹配产出指标。
[0062]
预先配置两个指标统计策略：策略一是统计每个末端规则与进程链的末端每分钟的匹配命中次数产出指标a，策略二是统计每个末端规则与进程链的末端每天的匹配命中次数产出指标b。同时，也可以自定义其他统计策略产出自定义指标数据。
[0063]
s3，利用预先配置的匹配策略，基于末端匹配产出指标确定所述末端规则的响应状态。
[0064]
默认的内置两条匹配策略：
[0065]
指标a(统计每个末端规则每分钟的匹配命中次数产出指标)超过10次响应状态被确定待观察末端规则，超过100则响应状态被确定待观察末端规则，一天内三次触发观察模式则也停用对应末端规则。
[0066]
指标b(统计每个末端规则每天的匹配命中次数产出指标)超过10000次则停用对应末端规则。
[0067]
确定为待观察末端规则的规则id会被系统记录到观察记录表中，同时记录上相关的指标数据，不对该末端规则进行处理，可指导后续末端规则的分析调优。
[0068]
停用的末端规则id会被系统标记为质量不佳的末端规则，并标注原因，直到该末端规则被优化后重新上线。示例性地，用户配置了不严谨的进程链规则如下：
[0069]
规则【如果子进程规则为进程名.*，配置上游任意链路满足父进程名为java】
[0070]
此规则会导致所有java产生的系统调用行为均需要进行一次完整的进程链回溯，针对java为主的应用系统，会导致检测引擎高负载以至于无法处理其他正确规则，传统规则引擎中是无法防止此类情况的，而本专利中，实时采集了该规则的末端规则进程名匹配.*1分钟内的命中率极高，自动触发了对该规则的停用并提示用户此自定义规则过于宽松导致匹配了海量基础系统调用，系统进行了自动停用，需要优化后重新上线。成功的解决了此问题。
[0071]
本发明实施例对比现在已有的技术，至少有以下的技术优点：
[0072]
通过实时采集末端规则的进程链匹配状态，在当前末端规则编写质量不能满足要求时，能够触发对该末端规则的停用，避免此末端规则过于宽松导致匹配了海量基础系统调用，引发故障或匹配能力严重下降等问题，即可以有效的解决规则编写不当导致的影响进程链整体检测性能的问题。
[0073]
通过具体实施方式的说明，应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本发明加以限制。