[发明专利]一种进程的参数特征更新的方法、装置及电子设备

说明书

一种进程的参数特征更新的方法、装置及电子设备，该方法包括：在预设周期内，调整采集进程的参数特征的采集频率，统计每个频率内采集到的进程样本数量值，按照由小到大的顺序对进程样本数量值进行排列，筛选出进程样本数量值最大的初始进程样本，解析出初始进程样本中每个进程的参数信息，根据每个进程的参数信息获得每个进程的参数特征，得到初始进程特征库，通过上述方法，获得进程数量值最大的初始进程样本，确保获得更多进程的参数特征，对初始进程样本中持续变化的进程的参数信息作上标识，在检测容器进程检测阶段，对于作上标识的参数信息对应的进程不进行匹配，提高了检测容器的进程检测的效率，减少了检测容器的误报。

技术领域

本申请涉及云安全与容器安全领域，尤其涉及一种进程的参数特征更新的方法、装置及电子设备。

背景技术

随着云原生技术的发展，容器安全逐渐被人们所重视，而进程安全是容器安全的重要组成部分。

目前，为了确定容器安全，采用的是一种容器环境异常检测的方法，该方法中，检测容器控制检测模型采集进程的参数特征并进行异常检测，根据新增进程更新对应的检测模型，以使得检测模型进行参数特征的采集，检测模型按照固定的周期和频率采集进程的参数特征，在周期以及频率不变的情况下，由于采集进程的参数特征的频率没有经过筛选，采集到的进程总样本有限的，根据进程总样本采集到的参数特征也是有限的，造成非上述频率下的进程的参数特征不能被采集到，在检测时，对于该进程判定为异常，导致检测容器的误报。

进一步，检测容器中存在进程行为或者进程属性变化的进程，对于该进程，在参数特征采集过程中，会记录该进程的参数信息，每个进程至少对应一个参数信息，参数信息包括进程当前的进程行为以及进程属性。但是，由于周期以及频率固定，所以采集到进程的参数信息是不够的，特征库中的特征在检测过程中，对于进程特征库中有的进程，由于没有记录到该进程的参数信息，检测时判定为异常，导致检测容器误报。

发明内容

本申请提供了一种进程的参数特征更新的方法、装置及电子设备，通过调整采集进程的参数特征的频率，选出覆盖进程数量最大的第一采集特征频率，获得进程数量较大的初始进程样本，从而根据数量较大的初始进程样本获得更为全面的初始进程特征库，检测容器使用初始进程特征库对进程进行检测时，将提高检测容器的检测效率以及减少检测容器的误报。

第一方面，本申请提供了一种进程的参数特征更新的方法，所述方法包括：

在预设周期内，调整采集进程的参数特征的采集频率，统计每个频率内采集到的进程样本数量值；

按照由小到大的顺序对进程样本数量值进行排列，筛选出进程样本数量值最大的初始进程样本，其中，进程样本包括多个进程；

解析出初始进程样本中每个进程的参数信息，其中，参数信息包括进程行为以及进程属性；

根据每个进程的参数信息获得每个进程的参数特征，得到初始进程特征库。

在一种可能的设计中，根据每个进程的参数信息获得每个进程的参数特征，得到初始进程特征库，包括：

采集每个进程的参数信息，读取并记录每个进程参数信息的实际变化次数；

将每个进程参数信息实际变化次数与理论变化次数进行比较，获得初始进程样本中的每个参数特征的类别信息；

根据所有参数特征的类别信息，得到包含类别信息的初始进程特征库。

在一种可能的设计中，将每个进程参数信息实际变化次数与理论变化次数进行比较，包括：

将每个进程参数信息实际变化次数输入预设算法，获得每个进程的参数信息偏移系数，其中，所述参数信息偏移系数表征允许进程的参数信息的理论变化次数存在的误差并且偏移系数为不超过1的数值；