[发明专利]高级威胁检测方法及智能探针装置和高级威胁检测系统

权利要求书

1.一种高级威胁检测方法，应用于用户设备，其特征在于，包括：

智能探针装置检测所述智能探针装置在所述用户设备中的资源占用信息；

智能探针装置根据所述资源占用信息记录用户设备中应用程序的操作日志；其中所述操作日志包括所述应用程序在用户态以及内核态的操作以及与所述操作对应的操作级别；所述操作根据由高到低的重要程度对应划分到由低到高的操作级别；所述操作日志至少包括：文件操作日志、进程操作日志、注册表操作日志、网络操作日志、以及系统操作日志；

所述智能探针装置根据所述资源占用信息对所述操作日志预处理后缓存为操作日志文件；

所述智能探针装置从缓存中获取经预处理后生成的操作日志文件，并根据所述资源占用信息将所述操作日志文件上传至高级威胁检测服务器，以供所述高级威胁检测服务器对所述操作日志文件进行安全检测；

所述资源占用信息包括：中央处理器CPU占用信息；则智能探针装置检测所述智能探针装置在所述用户设备中的中央处理器CPU占用信息，包括：

在监测到所述智能探针装置启动后，每隔第一预设时间间隔获取所述智能探针装置占用中央处理器CPU的总时间；

根据所述总时间以及所述第一预设时间间隔计算得到中央处理器CPU的平均占用率；

判断所述中央处理器CPU的平均占用率是否大于所述中央处理器CPU的平均占用率的第一预设阈值，若是，则控制降低记录所述操作日志对所述中央处理器CPU的平均占用率。

2.根据权利要求1所述的高级威胁检测方法，其特征在于，所述资源占用信息包括：中央处理器CPU占用信息、内存占用信息；

智能探针装置根据所述中央处理器CPU占用信息以及内存占用信息记录用户设备中应用程序的操作日志。

3.根据权利要求1所述的高级威胁检测方法，其特征在于，所述资源占用信息包括：磁盘占用信息；

智能探针装置根据所述磁盘占用信息对所述操作日志预处理后缓存为操作日志文件。

4.根据权利要求1所述的高级威胁检测方法，其特征在于，所述资源占用信息包括：网络带宽占用信息；

智能探针装置根据所述网络带宽占用信息将所述操作日志文件上传至高级威胁检测服务器。

5.根据权利要求1所述的高级威胁检测方法，其特征在于，资源占用信息包括：内存占用信息；则智能探针装置检测所述智能探针装置在所述用户设备中的内存占用信息，包括：

在监测到所述智能探针装置启动后，每隔第二预设时间间隔获取所述智能探针装置占用内存的内存占用量；

判断所述内存占用量是否大于所述内存占用量的第二预设阈值，若是，则控制降低记录所述操作日志对所述内存的内存占用量。

6.根据权利要求1所述的高级威胁检测方法，其特征在于，资源占用信息包括：磁盘占用信息；则智能探针装置检测所述智能探针装置在所述用户设备中的磁盘占用信息，包括：

在监测到所述智能探针装置启动后，每隔第三预设时间间隔获取所述智能探针装置在所述磁盘中的平均读写次数及平均写入磁盘容量；

判断所述平均读写次数是否大于所述平均读写次数的第三预设阈值，若是，控制降低缓存所述操作日志对所述磁盘的平均读写次数；

或者，判断所述平均写入磁盘容量是否大于所述平均写入磁盘容量的第四预设阈值，若是，控制降低缓存所述操作日志对所述磁盘的平均写入磁盘容量。

7.根据权利要求1所述的高级威胁检测方法，其特征在于，资源占用信息包括：网络带宽占用信息；则智能探针装置检测所述智能探针装置在所述用户设备中的网络带宽占用信息，包括：

在监测到所述智能探针装置启动后，每隔第五预设时间间隔统计所述智能探针装置的上传数据总量以及上传数据总时间，根据所述上传数据总量以及上传数据总时间计算所述网络带宽的平均占用率；

判断所述网络带宽的平均占用率是否大于所述网络带宽的平均占用率的第五预设阈值，若是，控制降低上传所述操作日志对网络带宽的平均占用率。