[发明专利]端点的威胁检测方法及装置、电子设备、存储介质

说明书

本发明公开了一种端点的威胁检测方法及装置、电子设备、存储介质，涉及信息安全领域，通过获取端点上的客户端的行为数据集合，行为数据集合中包括多个进程产生的行为数据，多个进程至少包括由客户端上预设的威胁检测策略检测到的恶意进程，并基于进程树索引与恶意进程具备关联行为的其他威胁进程，提取恶意进程的关键行为数据，将关键行为数据以及其他威胁进程发送至控制服务器，控制服务器在接收到关键行为数据以及其他威胁进程后，生成新的威胁检测策略，将新的威胁检测策略推送至所有端点上的客户端，本发明解决了相关技术中对端点产生的行为进行分析时，威胁检测策略和分析算法是固定的，导致对未知或变种的威胁攻击无法有效检测的技术问题。

技术领域

本发明涉及信息安全领域，具体而言，涉及一种端点的威胁检测方法及装置、电子设备、存储介质。

背景技术

端点(endpoint，如笔记本电脑、平板电脑、手机和其他设备)是企业办公环境的重要一环，非常容易受到安全威胁，端点安全就是来解决端点的安全威胁。

端点侦测与回应(Endpoint Detection and Response，简称EDR)，其是在端点上即时监控与采集端点的系统行为，并自动回应威胁，EDR会在端点上采集端点的系统行为并进行分析和检测，这样的分析和检测大多采用固定的检测算法和手段，无法有效的预防未知的威胁攻击。例如，在专利(公开号CN 114020587 A)公开了根据主机的行为特征判断主机是否存在可疑行为，并对可疑行为的进程进行识别，以判断当前主机是否存在内部网络横向移动攻击行为。该专利中仅能够进行固定算法检测，无法实时有效更新检测手段。

相关技术中，另一种检测方式是将端点的系统行为上传至控制服务器，通过控制服务器对系统行为进行分析和检测，但是这种检测方式存在很大的弊端：第一，因为端点和控制服务器的通信有延时，所以检测和响应的过程比较缓慢；第二，如果出现大量的端点的大量事件需要处理的话，造成控制服务器端的资源瓶颈。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种端点的威胁检测方法及装置、电子设备、存储介质，以至少解决相关技术中对端点产生的行为进行分析时，威胁检测策略和分析算法是固定的，导致对未知或变种的威胁攻击无法有效检测的技术问题。

根据本发明实施例的一个方面，提供了一种端点的威胁检测方法，包括：获取目标端点上的客户端的行为数据集合，其中，所述目标端点为目标用户使用的终端所表征的端点，所述行为数据集合中包括多个进程产生的行为数据，所述多个进程至少包括：对所述客户端产生威胁的恶意进程，所述恶意进程是由所述客户端上预设的威胁检测策略检测到的；建立关联所述行为数据集合的进程树，并基于所述进程树索引与所述恶意进程具备关联行为的其他威胁进程，并提取所述恶意进程的关键行为数据；将所述关键行为数据以及所述其他威胁进程发送至控制服务器，其中，所述控制服务器在接收到所述关键行为数据以及所述其他威胁进程后，生成新的威胁检测策略，并将所述新的威胁检测策略推送至所有端点上的客户端，所述所有端点包括所述目标端点。

可选地，在获取目标端点上的客户端的行为数据集合之后，还包括：分别对每个进程产生的行为数据进行检测，得到检测结果；提取所述检测结果中出现恶意行为的所述恶意进程，并对所述恶意进程进行标识。

可选地，分别对每个进程产生的行为数据进行检测，得到检测结果的步骤，包括：获取威胁检测策略库，其中，所述威胁检测策略库中存储N条威胁检测策略，每条所述威胁检测策略对应一种恶意行为，N为大于等于1的正整数；将所述每个进程产生的行为数据与每条所述威胁检测策略进行匹配，得到匹配结果；在所述匹配结果指示匹配成功的情况下，确认所述检测结果中出现恶意行为。