基于低代码的端点行为识别方法及系统与流程

本技术涉及端点行为识别，尤其涉及一种基于低代码的端点行为识别方法及系统。

背景技术：

1、端点行为识别是一种网络安全技术，它通过监控和分析网络终端设备的活动，来识别异常行为并采取相应的措施以保护网络安全。这里的“端点”通常指的是网络中的计算设备，如笔记本电脑、台式机、服务器、平板电脑和智能手机等。

2、现有系统终端行为识别是通过系统调用信息来判断，比如常见的系统调用open，creat，rename等，通过分析相关进程的系统调用信息可以初步判定该进程都有哪些行为，但是有些用户操作比如复制、剪切、压缩、解压缩等并不是一个系统调用信息可以判断的，它是多个系统调用信息的集合。当我们判断这些复合操作的行为时就会把复合行为进行合并处理，大家一般都是在代码上进行合并，在系统中比如压缩解压缩等，每个软件版本、系统版本、文件系统版本都会有不同的行为组合，为了兼容性，需要开发者不断的适配不同的行为。

3、由于用户的系统和软件版本会不断升级，每个人使用行为也不一样时，为了有效检测各个用户的操作行为，主要通过增加检测代码的方式提高行为检测覆盖面，因此存在开发者为了适配不同的用户的行为激增代码量的问题。

技术实现思路

1、针对现有技术的上述不足，本技术提供一种基于低代码的端点行为识别方法及系统，以解决现有的方案为了有效检测各个用户的操作行为，主要通过增加检测代码的方式提高行为检测覆盖面，因此存在开发者为了适配不同的用户的行为激增代码量的问题。

2、第一方面，本技术提供了一种基于低代码的端点行为识别方法，方法包括：获取若干预设信息配置规则，加载预设信息配置规则；抓取系统调用信息，将单条系统调用信息，处理成预设格式数据；其中，预设格式数据包含系统调用信息的单条行为、进程名称、时间信息、当前进程的pid、系统调用中的第一个参数数据、系统调用中的第二个参数数据；基于预设格式数据的具体内容，确定当前预设格式数据对应的预设信息配置规则，进而将预设格式数据放置于对应的预设信息配置规则的规则队列中；实时检测当前预设信息配置规则对应的规则队列是否非空，当非空时，依次确定规则队列中预设格式数据与预设信息配置规则中的若干子规则条件的匹配情况，基于规则队列中全部预设格式数据的匹配情况，确定是否满足预设行为。

3、进一步地，抓取系统调用信息，将单条系统调用信息，处理成预设格式数据，具体包括：抓取系统调用信息，从单条系统调用信息中提取单条行为、进程名称、时间信息、当前进程的pid、系统调用中的第一个参数数据、系统调用中的第二个参数数据；当不存在第二个参数数据时，第二个参数数据为空值或预设数值。

4、进一步地，在将预设格式数据放置于对应的预设信息配置规则的规则队列中之前，方法还包括：当预设格式数据触发预设中间事件规则midevent时，通过：midevent+检测项，检测预设格式数据是否存在检测项的数据，当存在时，将预设格式数据对应的单条行为修订为预设定义行为。

5、进一步地，midevent+检测项，具体包括：midevent&单条行为=预设第一字符串匹配项&进程名称=预设第二字符串匹配项&系统调用中的第一个参数数据=预设第三字符串匹配项&系统调用中的第二个参数数据=预设第四字符串匹配项，report&预设定义行为，确定单条行为是否符合预设第一字符串匹配项、进程名称是否符合预设第二字符串匹配项、系统调用中的第一个参数数据是否符合预设第三字符串匹配项、系统调用中的第二个参数数据是否符合预设第四字符串匹配项，当都符合时，将单条行为更新为预设定义行为。

6、进一步地，预设信息配置规则包括预设复合事件规则；预设复合事件规则为：预设复合事件规则为merge_order_add+检测项。

7、进一步地，merge_order_add+检测项，具体包括：merge_order_add&单条行为=第五字符串匹配项&进程名称=第六字符串匹配项&系统调用中的第一个参数数据=第七字符串匹配项&系统调用中的第二个参数数据=第八字符串匹配项；确定规则队列中预设格式数据与预设信息配置规则中的若干子规则条件的匹配情况，基于规则队列中全部预设格式数据的匹配情况，确定是否满足预设行为，具体包括：当预设格式数据处于预设复合事件规则对应的规则队列中时，调用：merge_order_add&单条行为=第五字符串匹配项&进程名称=第六字符串匹配项&系统调用中的第一个参数数据=第七字符串匹配项&系统调用中的第二个参数数据=第八字符串匹配项；确定当前预设格式数据的单条行为是否符合第五字符串匹配项、进程名称是否符合第六字符串匹配项、系统调用中的第一个参数数据是否符合第七字符串匹配项、系统调用中的第二个参数数据是否符合第八字符串匹配项，当都符合时，确定预设格式数据与预设复合事件规则匹配；获取规则队列中全部预设格式数据与预设复合事件规则的匹配情况，当匹配情况对应的匹配顺序满足预设行为对应的预设匹配顺序时，确定预设格式数据对应的终端存在预设行为。

8、进一步地，预设信息配置规则包括预设条件事件规则；预设复合事件规则包括预设格式数据与预设行为之间的关联关系规则条件；关联关系规则条件，具体包括：第一关系规则条件：检测当前预设格式数据的第一个参数数据与规则队列中上一预设格式数据的第二个参数数据是否一致，一致时符合第一关系规则条件；第二关系规则条件：检测当前预设格式数据的单条行为与规则队列中上一预设格式数据的单条行为是否一致，一致时符合第二关系规则条件；第三关系规则条件：检测当前预设格式数据的当前进程的pid与规则队列中上一预设格式数据的当前进程的pid是否一致，一致时符合第三关系规则条件。

9、进一步地，确定规则队列中预设格式数据与预设信息配置规则中的若干子规则条件的匹配情况，基于规则队列中全部预设格式数据的匹配情况，确定是否满足预设行为，具体包括：检测当前预设格式数据的第一个参数数据与规则队列中上一预设格式数据的第二个参数数据是否一致，一致时符合第一关系规则条件；检测当前预设格式数据的单条行为与规则队列中上一预设格式数据的单条行为是否一致，一致时符合第二关系规则条件；检测当前预设格式数据的当前进程的pid与规则队列中上一预设格式数据的当前进程的pid是否一致，一致时符合第三关系规则条件；获得规则队列中预设格式数据符合第一关系规则条件、第二关系规则条件、第三关系规则条件的先后顺序；当先后顺序与预设行为的顺序一致时，确定预设格式数据对应的终端存在预设行为。

10、第二方面，本技术提供了一种基于低代码的端点行为识别系统，系统包括：加载模块，用于获取若干预设信息配置规则，加载预设信息配置规则；处理模块，用于抓取系统调用信息，将单条系统调用信息，处理成预设格式数据；其中，预设格式数据包含系统调用信息的单条行为、进程名称、时间信息、当前进程的pid、系统调用中的第一个参数数据、系统调用中的第二个参数数据；放置模块，用于基于预设格式数据的具体内容，确定当前预设格式数据对应的预设信息配置规则，进而将预设格式数据放置于对应的预设信息配置规则的规则队列中；确定模块，用于实时检测当前预设信息配置规则对应的规则队列是否非空，当非空时，依次确定规则队列中预设格式数据与预设信息配置规则中的若干子规则条件的匹配情况，基于规则队列中全部预设格式数据的匹配情况，确定是否满足预设行为。

11、本领域技术人员能够理解的是，本技术至少具有如下有益效果：

12、现有的方案为获取到系统调用信息后导入大量行为识别代码中，进而与大量的行为识别代码依次比对，确定具体用户端点行为。

13、本技术基于预设格式数据的具体内容，确定当前预设格式数据对应的预设信息配置规则，进而将预设格式数据放置于对应的预设信息配置规则的规则队列中，初步确定系统调用信息对应的具体行为集合（规则队列），实现了行为的初步划分；后续过程中通过确定规则队列中预设格式数据与预设信息配置规则中的若干子规则条件的匹配情况，获得匹配情况，进而基于匹配情况与预设行为之间的对应关系，实现了获得用户系统调用信息的匹配情况，进而通过规则队列中全部预设格式数据的匹配情况与预设行为的预设对应关系，确定当前用户对应的预设行为。可见整个实现过程仅涉及几次规则的筛选，无需进行与大量代码依次比对的操作，代码量小。

14、另外，当出现新增行为时，现有技术需要新增大量代码兼容识别新增行为，本技术在获取若干预设信息配置规则，加载预设信息配置规则的过程中，修改预设信息配置规则即可实现新增行为的识别，进一步降低了代码量。

15、综上，本技术解决了现有的方案为了有效检测各个用户的操作行为，主要通过增加检测代码的方式提高行为检测覆盖面，因此存在开发者为了适配不同的用户的行为进而激增代码量的问题。