主动安全监测方法、装置、设备、存储介质及程序产品与流程

本申请涉及信息安全领域，尤其涉及一种主动安全监测方法、装置、设备、存储介质及程序产品。

背景技术：

1、伴随着网络应用的广泛普及和网络规模的急剧增大，网络环境变得日益复杂，在网络发展所带来的各种工作便利的同时，人们也面临着随技术发展而不断演进的多类网络威胁。现有的网络安全防护技术包括有被动式安全防护技术和主动式安全防护技术。

2、被动式安全防护技术多以堵漏洞、砌高墙、防外攻为特点，采用入侵检测设备、防火墙、网络行为管理等安全防护手段，结合地址绑定或基于特定协议的验证方式，发现联入内部网络的未授权设备，但对于日渐复杂的网络应用和安全环境，被动式安全防护技术无法事前识别危险，对于内部的网络行为风险也无法进行把控。

3、主动安全防护技术目前主要通过预先根据通用攻击规律建立安全策略匹配库，通过监测、分析用户行为和系统状态发现并防范网络威胁。但现有的主动安全防护技术都是基于对入侵或攻击行为构建的安全监测模型，所以它们只能在入侵行为发生过程中来检测和识别安全威胁，从而进行响应，难以做到在攻击发生前就识别出未知的安全威胁。同时，由于检测的匹配规则是对“行为”的抽象和概括，所以现有的主动安全防护技术也难以避免漏报和误报情况的出现。

技术实现思路

1、本申请提供一种主动安全监测方法、装置、设备、存储介质及程序产品，用以解决现有安全防护技术无法事前识别危险，只能在攻击发生时进行安全策略的响应，对于内部的网络行为风险也无法进行把控的问题。

2、第一方面，本申请提供一种主动安全监测方法，包括：

3、获取网络系统内的实体对象和行为对象；

4、当所述实体对象为新增实体对象时，将所述新增实体对象发送至管理端，若管理端对其进行授权，根据所述新增实体对象的实体信息和管理信息生成新增实体指纹，将所述新增实体指纹加入预设实体指纹库；

5、当所述实体对象为非新增实体对象时，基于所述实体对象的实体信息和管理信息生成实体指纹，判断所述实体指纹在预设的实体指纹库中是否有匹配的目标实体指纹，若无，则清除该实体对象，并进行告警；

6、基于所述行为对象的内存空间、运行时间和目标操作对象生成行为指纹，判断所述行为指纹在预设的行为指纹库中是否有匹配的目标实体指纹，若无，则清除该行为对象，并进行告警，所述行为指纹库用于存储各行为对象的合格行为指纹。

7、第二方面，本申请提供一种主动安全监测装置，包括：

8、对象获取模块，用于获取网络系统内的实体对象和行为对象；

9、实体对象授权模块，用于当所述实体对象为新增实体对象时，将所述新增实体对象的信息发送至管理端，若管理端对其进行授权，获取所述新增实体对象的授权信息，根据所述新增实体对象的实体信息、管理信息和授权信息生成新增实体指纹，将所述新增实体指纹加入预设实体指纹库；

10、实体对象匹配模块，用于当所述实体对象为非新增实体对象时，基于所述实体对象的实体信息、管理信息和授权信息生成实体指纹，判断所述实体指纹在预设的实体指纹库中是否有匹配的目标实体指纹，若无，则清除该实体对象，并进行告警；

11、行为对象匹配模块，用于基于所述行为对象的内存空间、运行时间和目标操作对象生成行为指纹，判断所述行为指纹在预设的行为指纹库中是否有匹配的目标实体指纹，若无，则清除该行为对象，并进行告警，所述行为指纹库用于存储各行为对象的合格行为指纹。

12、第三方面，本申请提供了一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机执行指令，所述处理器执行所述计算机执行指令时实现上述第一方面中任一项所述的主动安全监测方法。

13、第四方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面中任一项所述的主动安全监测方法。

14、第五方面，本申请提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述第一方面任一项所述的主动安全监测方法。

15、本申请提供的主动安全监测方法、装置、设备、存储介质及程序产品，通过构建与实体、行为对应的实体指纹库和行为指纹库，获取网络系统内的实体对象和行为对象，当所述实体对象为新增实体对象时，将所述新增实体对象发送至管理端，若管理端对其进行授权，生成新增实体指纹并将其加入预设实体指纹库；当所述实体对象为非新增实体对象时，基于所述实体对象的实体信息和管理信息生成实体指纹，判断所述实体指纹在预设的实体指纹库中是否有匹配的目标实体指纹，若无，则清除该实体对象，并进行告警；基于所述行为对象的内存空间、运行时间和目标操作对象生成行为指纹，判断所述行为指纹在预设的行为指纹库中是否有匹配的目标实体指纹，若无，则清除该行为对象，并进行告警；对于网络中的实体和行为的指纹进行实时认证，从而准确、高效地对实体威胁和行为威胁进行响应，能够在行为发生前就对风险进行把控，也能对网络系统内部的行为进行实时监测，实现全面安全防护。

技术特征：

1.一种主动安全监测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述基于所述实体对象的实体信息和管理信息生成实体指纹，包括：

3.根据权利要求2所述的方法，其特征在于，所述根据预设安全信息生成规则随机生成z因子，包括：

4.根据权利要求2所述的方法，其特征在于，所述实体信息包括文件内容信息、设备控制和状态信息，所述管理信息包括文件控制块、空区分配表和设备分配表。

5.根据权利要求1所述的方法，其特征在于，所述基于所述行为对象的内存空间、运行时间和目标操作对象生成行为指纹，包括：

6.根据权利要求5所述的方法，其特征在于，所述内存空间包括各应用进程运行时占用的内存空间，所述运行时间包括各应用进程运行的启动时间、结束时间和运行耗时，所述目标操作对象包括各应用进程的操作目标对象。

7.根据权利要求1所述的方法，其特征在于，所述实体对象包括网络系统中的文件、目录、空闲存储区和i/o设备，在所述获取网络系统内的实体对象后，还包括：

8.根据权利要求7所述的方法，其特征在于，所述判断所述实体对象是否为新增实体对象，包括：

9.根据权利要求1所述的方法，其特征在于，所述基于所述行为对象的内存空间、运行时间和目标操作对象生成实体指纹之前，还包括：

10.一种主动安全监测装置，包括：

11.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至9任一项所述的方法。

13.一种计算机程序产品，其特征在于，包括计算机程序，该计算机程序被处理器执行时实现权利要求1-9中任一项所述的方法。

技术总结本申请提供一种主动安全监测方法、装置、设备、存储介质及程序产品，涉及信息安全领域。该方法包括：获取网络系统内的实体对象和行为对象，基于所述实体对象的实体信息和管理信息生成实体指纹，判断所述实体指纹在预设的实体指纹库中是否有匹配的目标实体指纹，若无，则清除该实体对象，并进行告警；基于所述行为对象的内存空间、运行时间和目标操作对象生成行为指纹，判断所述行为指纹在预设的行为指纹库中是否有匹配的目标实体指纹，若无，则清除该行为对象，并进行告警；通过构建与实体、行为对应的实体指纹库和行为指纹库，对于网络中的实体和行为的指纹进行实时认证，从而准确、高效地对实体威胁和行为威胁进行响应，实现全面安全防护。技术研发人员：王佳音,蒋晓晶受保护的技术使用者：中国工商银行股份有限公司技术研发日：技术公布日：2024/9/17