【技术实现步骤摘要】
本申请涉及计算机,具体涉及一种应用检测方法、装置、设备及集群。
技术介绍
1、当前,一些异常应用,如:挖矿应用、黑客应用等,会在未经云服务租户允许的情况下,安装在云服务系统的计算设备上,这些应用一旦安装在计算设备上,会出现占用计算设备的计算资源、网络资源以及将云计算设备变成傀儡机等情况,严重影响了计算设备器的运行安全以及性能。
2、相关技术中,在计算设备运行应用的过程中,通过检测计算设备与该应用的服务端的通信内容,确定该应用是否为异常应用。然而,由于当前无法检测出加密通信的通信内容,因此,这种方式无法准确检测出计算设备上的异常应用。
技术实现思路
1、本申请提供了应用检测方法、装置、设备及集群,能够准确检测出计算设备上的异常应用,有助于提高计算设备的运行安全以及性能。
2、第一方面,提供了一种应用检测方法,该方法用于检测计算设备上的应用(如:第一应用)是否为异常应用(即异常应用)。计算设备上安装有第一应用,计算设备与第一应用的服务端建立了第一通信通道,计算设备基于第一通信通道与第一应用的服务端依次传输了多个数据包。该方法包括:获取多个数据包的长度;根据多个数据包的长度和至少一个目标类型对应的数据包的长度范围,确定多个数据包中至少一个目标类型的数据包;至少一个目标类型为与异常应用相关的数据包的类型;根据多个数据包中至少一个目标类型的数据包的分布特征,确定第一应用为异常应用。
3、可选地,在检测计算设备上的应用是否为异常应用时,本申请提供的应用检测方
4、可选地,计算设备可以直接与第一应用的服务端进行建立第一通信通道,或者,计算设备也可以通过代理服务器与第一应用的服务端建立通信通道。
5、可选地,与异常应用相关的数据包是指异常应用的客户端与异常应用的服务端之间传输的数据包。
6、可选地,异常应用可以为挖矿应用,与挖矿应用相关的数据包为挖矿应用的客户端和挖矿应用的服务端之间传输的数据包,与挖矿应用相关的数据包的类型包括如下的一项或多项:任务分配、任务提交和任务反馈。这样,通过本申请的方案,便可以检测出计算设备的挖矿应用。
7、由于异常应用相关的数据包的类型以及不同类型的数据包的分布特征具有规律性,基于此,本申请提供的应用检测方法,根据第一应用相关的多个数据包的长度至少一个目标类型对应的数据包的长度范围,确定第一应用相关的多个数据包中存在的至少一个目标类型的数据包,也即,存在的与异常应用相关的数据包,从而根据多个数据包中至少一个目标类型的数据包的分布特征是否满足与异常应用相关的数据包中不同类型数据包的分布特征,确定第一应用是否为异常应用。
8、由于检测异常应用的过程中,是根据第一应用相关的数据包的长度,确定数据包的类型,并根据至少一个目标类型的数据包的分布特征确定第一应用是否为异常应用,并不需要确定多个数据包中的内容,因此,无论计算设备与第一应用的服务端之间是否采用加密方式通信,都可以准确判断第一应用是否为异常应用,如此,本申请提供的应用检测方法,能够准确检测出计算设备上安装的异常应用,有助于提高计算设备的运行安全以及性能。
9、此外,检测异常应用的过程中,不依赖异常应用的服务端的ip地址,而异常应用的服务端的ip地址数量庞大、且不断变化,收集难度比较高,因此,相对于检测异常应用的服务端的ip地址的方法,还降低了异常应用的检测难度。另外,由于不依赖异常应用的服务端的ip地址,即使计算设备与第一应用的服务端之间存在中间代理(即代理服务器),也不影响检测结果的准确性,因此,相对于检测异常应用的服务端的ip地址的方法,提高了检测的准确性。
10、在一种可能的实现方式中,根据多个数据包的长度和至少一个目标类型对应的数据包的长度范围,确定多个数据包中至少一个目标类型的数据包,包括:根据多个数据的长度和至少一个目标类型对应的数据包的长度范围,确定多个数据包中每个数据包的初始类型;初始类型为目标类型或非目标类型;根据多个数据包中部分数据包的长度,确定至少一个目标类型对应的数据包的长度;部分数据包的初始类型为目标类型;根据多个数据包的长度和至少一个目标类型对应的数据包的长度,确定多个数据包中至少一个目标类型的数据包。这样,有助于提高至少一个目标类型对应的数据包的长度的准确性,进而有助于提高所确定的至少一个目标类型的数据包的准确性。
11、另一种可能的实现方式中,至少一个目标类型包括m个不同类型;根据多个数据包中部分数据包的长度,确定至少一个目标类型对应的数据包的长度,包括:根据多个数据包中m个数据包的长度,确定至少一个目标类型对应的数据包的长度;m个数据包的初始类型为m个不同类型,m个数据包的排序满足预设规则。这样,有助于提高所确定的至少一个目标类型对应的数据包的长度的准确性。
12、另一种可能的实现方式中,该方法还包括:从多个数据包的初始类型对应的字符串序列中,确定目标子字符串;其中,字符串序列中的一个字符用于指示一个数据包的初始类型,目标子字符串包括m个不同字符,m个不同字符指示了m个数据包的初始类型,m个不同字符的排序满足预设规则。这样,有助于提高对比不同数据包的初始类型的显著性,进而提高确定m个数据包的便利性。
13、另一种可能的实现方式中,字符串序列中包括目标字符,目标字符用于指示非目标类型,目标子字符串中目标字符的数量大于字符串序列的非目标子字符串中目标字符的数量。这样,有助于保证所确定至少一个目标类型对应的数据包的长度的准确性。
14、另一种可能的实现方式中,根据多个数据包中至少一个目标类型的数据包的分布特征,确定第一应用为异常应用,包括:若至少一个目标类型的数据包的分布特征满足预设特征,确定第一应用为异常应用;预设特征包括与异常应用相关的数据包中不同类型的数据包的分布特征。这样,有助于保证将第一应用确定为异常应用的准确性。
15、另一种可能的实现方式中,至少一个目标类型包括m个不同类型;预设特征包括:至少一个目标类型的数据包中包括m个连续数据包,m个连续数据包的排序满足预设规则,m个连续数据包的目标类型为m个不同类型。这样,有助于提高异常应用的筛选精度,进而降低第一应用误报为异常应用的概率。
16、另一种可能的实现方式中,预设特征包括:至少一个目标类型的数据包中包括m个数据包、且m个数据包中相邻两个数据包之间非目标类型的数据包的数量小于或等于数量阈值;m个数据包的排序满足预设规则,m个数据包的目标类型为m个不同类型。这样,有助于扩大异常应用的覆盖范围,进而有助于避免遗漏计算设备的异常应用
17、可选地,1≤数量阈值≤40。
18、另一种可能的实现方式中,预设特征包括:至少一个目标类型的数据包在多个数据包中的占比大于或等于占比阈值。这样,有助于避免正本文档来自技高网...
【技术保护点】
1.一种应用检测方法,其特征在于,计算设备上安装有第一应用,所述计算设备与所述第一应用的服务端建立了第一通信通道,所述计算设备基于所述第一通信通道与所述第一应用的服务端依次传输了多个数据包;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述计算设备根据所述多个数据包的长度和至少一个目标类型对应的数据包的长度范围,确定所述多个数据包中所述至少一个目标类型的数据包,包括:
3.根据权利要求2所述的方法,其特征在于,所述至少一个目标类型包括M个不同类型;所述计算设备根据所述多个数据包中部分数据包的长度,确定所述至少一个目标类型对应的数据包的长度,包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述计算设备根据所述多个数据包中所述至少一个目标类型的数据包的分布特征,确定所述第一应用为所述异常应用,包括:
7.根据权利要求6所述的方法,其特征在于,所述至少一个目标类型包括M个不同类型;>
8.根据权利要求6或7所述的方法,其特征在于,所述预设特征包括:所述至少一个目标类型的数据包在所述多个数据包中的占比大于或等于占比阈值。
9.根据权利要求1-8中任一项所述的方法,其特征在于,所述计算设备与多个设备建立了多个第二通信通道,所述多个设备包括所述第一应用的服务端;所述方法还包括:
10.根据权利要求1-9中任一项所述的方法,其特征在于,所述计算设备上还安装有第二应用;所述方法还包括:
11.根据权利要求1-10任一项所述的方法,其特征在于,所述异常应用为挖矿应用,与所述挖矿应用相关的数据包为所述挖矿应用的客户端和所述挖矿应用的服务端之间传输的数据包,所述与所述挖矿应用相关的数据包的类型包括如下的一项或多项:任务分配、任务提交和任务反馈。
12.一种应用检测装置,其特征在于,所述装置包括:
13.根据权利要求12所述的装置,其特征在于,
14.根据权利要求13所述的装置,其特征在于,所述至少一个目标类型包括M个不同类型;所述分类模块还用于,根据所述多个数据包中M个数据包的长度,确定所述至少一个目标类型对应的数据包的长度;所述M个数据包的初始类型为所述M个不同类型,所述M个数据包的排序满足预设规则。
15.根据权利要求14所述的装置,其特征在于,
16.根据权利要求15所述的装置,其特征在于,
17.根据权利要求12-16中任一项所述的装置,其特征在于,
18.根据权利要求17所述的装置,其特征在于,
19.根据权利要求17或18所述的装置,其特征在于,所述预设特征包括:所述至少一个目标类型的数据包在所述多个数据包中的占比大于或等于占比阈值。
20.根据权利要求12-19中任一项所述的装置,其特征在于,所述装置还包括过滤模块;
21.根据权利要求12-20中任一项所述的装置,其特征在于,
22.根据权利要求12-21中任一项所述的装置,其特征在于,
23.一种计算设备,其特征在于,所述计算设备包括存储器和处理器,所述处理器和所述存储器连接;所述存储器中存储有指令,所述处理器执行所述存储器中存储的指令,以使得所述计算设备执行如权利要求1-11中任一项所述的方法。
24.一种计算设备集群,其特征在于,所述计算设备集群包括至少一个计算设备,所述至少一个计算设备中的每个计算设备包括处理器和存储器;
25.一种计算机可读存储介质,其特征在于,包括:计算机程序指令,当所述计算机程序指令由计算设备执行时,所述计算设备执行如权利要求1-11中任一项所述的方法。
26.一种包含指令的计算机程序产品,其特征在于,当所述指令被计算设备运行时,使得所述计算设备执行如权利要求1-11中任一项所述的方法。
...【技术特征摘要】
1.一种应用检测方法,其特征在于,计算设备上安装有第一应用,所述计算设备与所述第一应用的服务端建立了第一通信通道,所述计算设备基于所述第一通信通道与所述第一应用的服务端依次传输了多个数据包;所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述计算设备根据所述多个数据包的长度和至少一个目标类型对应的数据包的长度范围,确定所述多个数据包中所述至少一个目标类型的数据包,包括:
3.根据权利要求2所述的方法,其特征在于,所述至少一个目标类型包括m个不同类型;所述计算设备根据所述多个数据包中部分数据包的长度,确定所述至少一个目标类型对应的数据包的长度,包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述计算设备根据所述多个数据包中所述至少一个目标类型的数据包的分布特征,确定所述第一应用为所述异常应用,包括:
7.根据权利要求6所述的方法,其特征在于,所述至少一个目标类型包括m个不同类型;
8.根据权利要求6或7所述的方法,其特征在于,所述预设特征包括:所述至少一个目标类型的数据包在所述多个数据包中的占比大于或等于占比阈值。
9.根据权利要求1-8中任一项所述的方法,其特征在于,所述计算设备与多个设备建立了多个第二通信通道,所述多个设备包括所述第一应用的服务端;所述方法还包括:
10.根据权利要求1-9中任一项所述的方法,其特征在于,所述计算设备上还安装有第二应用;所述方法还包括:
11.根据权利要求1-10任一项所述的方法,其特征在于,所述异常应用为挖矿应用,与所述挖矿应用相关的数据包为所述挖矿应用的客户端和所述挖矿应用的服务端之间传输的数据包,所述与所述挖矿应用相关的数据包的类型包括如下的一项或多项:任务分配、任务提交和任务反馈。
12.一种应用...
【专利技术属性】
技术研发人员:刘建锋,宋洋,胡阳,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。