申请/专利权人:江苏易安联网络技术有限公司
申请日:2024-02-01
公开(公告)日:2024-04-16
公开(公告)号:CN117892292A
主分类号:G06F21/53
分类号:G06F21/53;G06F11/30
优先权:
专利状态码:在审-实质审查的生效
法律状态:2024.05.03#实质审查的生效;2024.04.16#公开
摘要:本发明属于进程检测技术领域,具体涉及基于沙箱的异常进程检测装置和方法,装置包括:管理中心,为管理员提供管理入口,用于下发安全策略,获取终端上传的安全事件以及进行安全策略、安全事件的管理;Agent组件,用于构建虚拟的沙箱环境,通过钩子技术对系统内核进行挂接,按照所述管理中心下发的安全策略捕获终端上所有进程的系统调用情况,对于新进程,创建该进程的上下文向量,并通过已训练的异常检测模型进行重建,得到重建输出,将异常评分值超出阈值的进程标记为异常进程,将标记为异常的进程作为安全事件上传至所述管理中心。本发明通过用户终端沙箱自动采集系统上的进程信息,检测并阻断异常进程的运行。
主权项:1.一种基于沙箱的异常进程检测装置,其特征在于,包括:管理中心,用于下发安全策略,获取终端上传的安全事件以及进行安全策略、安全事件的管理;Agent组件,部署于用户终端操作系统上,用于构建虚拟的沙箱环境,通过钩子技术对系统内核进行挂接,按照所述管理中心下发的安全策略捕获终端上所有进程的系统调用情况,对于新进程,创建该进程的上下文向量,并通过已训练的异常检测模型进行重建,得到重建输出,计算输入数据与重建输出之间的重建误差,按照四分差规则,设置异常评分的阈值,将异常评分值超出阈值的进程标记为异常进程,将标记为异常的进程作为安全事件上传至所述管理中心。
全文数据:
权利要求:
百度查询: 江苏易安联网络技术有限公司 一种基于沙箱的异常进程检测装置和方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。