CN101059829A - 一种自动分析进程风险等级的装置和方法 - Google Patents
一种自动分析进程风险等级的装置和方法 Download PDFInfo
- Publication number
- CN101059829A CN101059829A CN 200710028042 CN200710028042A CN101059829A CN 101059829 A CN101059829 A CN 101059829A CN 200710028042 CN200710028042 CN 200710028042 CN 200710028042 A CN200710028042 A CN 200710028042A CN 101059829 A CN101059829 A CN 101059829A
- Authority
- CN
- China
- Prior art keywords
- module
- information
- process information
- risk
- automatically analyzing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及计算机信息安全领域,特别涉及一种自动分析进程风险等级的装置和方法。一种自动分析进程风险等级的装置,包括,当前进程信息获取模块,用于获取当前系统所有进程的相关信息;已知进程信息存储模块,用于存储操作系统核心进程信息和已知的危险程序进程信息;相似度匹配模块,用于将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对;风险等级标注模块,用于根据所述相似度匹配模块的比对结果利用颜色对相应的进程进行风险等级区分。本发明具有不要杀毒软件与其他第三方软件就可以较为方便的得出进程风险等级的结论。
Description
技术领域
本发明涉及计算机信息安全领域,特别涉及一种自动分析进程风险等级的装置和方法。
背景技术
目前查看系统进程的方法有两种:一种是操作系统自带的进程查看功能,提供进程名称、CPU和内存占用等基本信息;一种是第三方软件提供的进程查看方式,除了提供第一种方法中的基本信息外,还提供了进程中的模块运行目录、模块提供商等信息,作为前者的功能增强。
目前这两种方法的局限在于:
1、只提供进程的相关信息,而无法提供该进程是否安全,或该进程信息是否存在可疑与异常,用户只能根据提供的信息来进行人为的、粗略的判断,很有可能会忽略掉系统中伪装的危险进程。
2、即使用户可以进行一定的判断,也无法实时的去监控任何时刻系统新启动或发生变化的进程。如果用户不能实时发现上述变化,风险进程同样会危害用户的系统。
3、没有为用户提供一种全面的、系统的判断风险进程的方法,也没有提供给用户相应的交互信息让用户可以直观的对当前系统的进程做一个风险判断,过于依赖用户自身的判断。
发明内容
本发明的目的在于,提供一种能够自动分析进程风险等级的装置,利用该装置用户可以直观的对当前系统的进程做一个风险判断。
本发明的另一目的在于,提供一种利用上述装置对当前系统的进程进行自动分析风险等级的方法。
本发明的目的是通过如下技术方案实现的:
一种自动分析进程风险等级的装置,包括,
当前进程信息获取模块,用于获取当前系统所有进程的相关信息;
已知进程信息存储模块,用于存储操作系统核心进程信息和已知的危险程序进程信息;
相似度匹配模块,用于将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对;
风险等级标注模块,用于根据所述相似度匹配模块的比对结果利用颜色对相应的进程进行风险等级区分;
所述装置还包括信息交互模块,用于提示和指导用户对风险等级较高的进程进行处理以及根据用户的需要对风险等级进行标注颜色的定义和提示时机的定义。
一种自动分析进程风险等级的方法,包括如下过程:
已知进程信息读取步骤,从已知进程信息存储模块读取已知的进程信息;
当前进程信息获取步骤,利用当前进程信息获取模块获取当前系统所有进程的相关信息;
相似度匹配步骤,将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对;
风险等级标注步骤,根据相似度匹配步骤的比对结果利用颜色对相应的进程进行风险等级区分;
所述方法还包括信息交互步骤,提示和指导用户对风险等级较高的进程进行处理以及根据用户的需要对风险等级进行标注颜色的定义和提示时机的定义。
本发明提供的自动分析进程风险等级的装置和方法,先通过比对当前系统进程信息和已知进程信息,进而根据比对结果利用不同颜色进行进程风险等级的区分;以及根据风险等级的高低提示和指导用户进行处理;使本发明具有如下优点:
1、一种轻量级的查看与评估系统当前运行环境的方法,不要杀毒软件与其他第三方软件就可以较为方便的得出结论。
2、软件提供商可以实时更新匹配规则库,以备出现新的木马或其他恶意软件时可以实时获得他们的进程名,让用户及早防范与留意。
3、发现系统当前有可疑进程在运行时,可以实施通知用户,用户在软件的提示与建议下,即可对可疑进程进行相关操作。
附图说明
图1为本发明所述自动分析进程风险等级装置的结构示意图;
图2为本发明所述自动分析进程风险等级方法的流程图;
具体实施方式
如图1所示,一种自动分析进程风险等级的装置,包括,
当前进程信息获取模块1,用于获取当前系统所有进程的相关信息。所述进程信息包括进程名称、路径、CPU和内存占用等基本信息,还包括进程中的模块运行目录、模块提供商、版本等信息。
已知进程信息存储模块2,用于存储操作系统核心进程信息和已知的危险程序进程信息。本模块具有两个作用,第一个作用是将操作系统核心进程信息和在软件发布之前已知的危险程序进程信息存储于已知进程信息存储模块中,本步骤一般在软件提供商在软件发布之前进行并完成;第二个作用是针对可以实时更新的已知进程信息而言的,在每次启动或者运行过程中,如果发现有新获的已知的危险程序进程信息,则进行更新存储。
所述操作系统的核心进程的相关信息,包括名称、路径、模块名称(区分大小写)、模块提供商、版本特征等,基本与当前进程信息的内容相当。所述已知的危险程序包括常见木马、间谍软件或者其他一些能够对计算机安全产生比较大的危害的恶意程序,它们的进程信息一般包括进程名,常见路径等。
相似度匹配模块3,用于将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对。在比对过程中可以根据默认的顺序进行,也可以根据用户的自定义进行。
本实施例中按照如下顺序进行:
1)、对操作系统核心进程的路径、文件名、版本特征进行核对,特别是一些利用字母混淆系统进程的可疑进程,比如将“1”与“1”(分别为小写字母L和数字1),对于用户在视觉上很难区分,但对程序来说可以很好的进行比较区分,或者与操作系统的核心进程同名,但是却不在操作系统指定的目录下的可疑进程;
2)、对其他进程进行特征匹配,查看是否为常见木马进程;
3)、对所有进程的所属模块进行基本信息扫描,找出发布信息不完整的模块与相关进程。
风险等级标注模块4,用于根据所述相似度匹配模块的比对结果在进程列表中利用颜色对相应的进程进行风险等级区分。风险等级的判定基本按照对计算机系统的危害程度进行区分,也可以由用户来进行一些个性设定;如根据危害程度,可将可疑进程分成四类,为很危险、危险、比较危险、可疑,同时使用不同颜色来标注,风险等级越高,采用越刺眼的颜色。
所述装置还包括信息交互模块5,用于提示和指导用户对风险等级较高的进程进行处理以及根据用户的需要对风险等级进行标注颜色的定义和提示时机的定义。如,当发现风险等级较高的进程运行时,可以弹出提示框提醒用户,并给用户相应的提示操作。提示时机,即何种风险等级以上就弹出提示框则可由用户来进行设定或者默认设定。另外风险等级的分类及颜色标注的个性设定也可由本信息交互模块5实现。还可提示用户对新获知的危险程序进程信息进行存储,即更新已知信息特征库。
如图2所示,为一种利用上述装置对当前系统的进程进行自动分析风险等级的过程,除启动和退出外,其包括:
S1、已知进程信息读取步骤,从所述已知进程信息存储模块读取已知的进程信息;包括操作系统核心进程的名称、路径、模块名称(区分大小写)、模块提供商、版本特征等和已知的危险程序进程的名称、路径等。
S2、当前进程信息获取步骤,利用当前进程信息获取模块获取当前系统所有进程的相关信息;包括操作系统核心进程的名称、路径、模块名称(区分大小写)、模块提供商、版本特征等和已知的危险程序进程的名称、路径等。
S3、相似度匹配步骤,将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对;即检查系统核心进程有无损坏,是否被混淆;是否有常见的木马或者其他恶意程序的进程;检查有无模块发布信息不完整的进程模块。该步骤中比对顺序可以调整。
S4、风险等级标注步骤,根据相似度匹配步骤的比对结果利用颜色对相应的进程进行风险等级区分;利用系统默认或者自定义的风险等级分类和颜色对相关的进程进行标注,使相关的进程在进程列表中显示出不同的颜色。
S5、所述方法还包括信息交互步骤,提示和指导用户对风险等级较高的进程进行处理以及根据用户的需要对风险等级进行标注颜色的定义和提示时机的定义。如,根据用户设定或者系统默认的提示时机,当发现风险等级较高的进程运行时,可以弹出提示框提醒用户,并给用户相应的提示操作。还可提示用户对新获知的危险程序进程信息进行存储,即更新已知信息特征库。
上述步骤中,已知进程信息读取步骤和当前进程信息获取步骤可以互换,不会影响功能。
以上所揭露的实施例不能认为是对本发明所要求保护的范围作出的限定,对于所属技术领域的普通技术人员来说,一些未经创造性劳动得到的、基于本发明构思所做的简单变更,仍应当不脱本发明保护的范围。
Claims (8)
1、一种自动分析进程风险等级的装置,其特征在于,所述装置包括,
当前进程信息获取模块,用于获取当前系统所有进程的进程信息;
已知进程信息存储模块,用于存储操作系统核心进程信息和已知的危险程序进程信息;
相似度匹配模块,用于将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对;
风险等级标注模块,用于根据所述相似度匹配模块的比对结果利用颜色对相应的进程进行风险等级区分。
2、根据权利要求1所述的一种自动分析进程风险等级的装置,其特征在于,所述装置还包括信息交互模块,用于提示和指导用户对风险等级较高的进程进行处理以及根据用户的需要对风险等级进行标注颜色的定义和提示时机的定义。
3、根据权利要求2所述的一种自动分析进程风险等级的装置,其特征在于,所述信息交互模块还提示用户对新获知的危险程序进程信息进行存储,即更新已知进程信息存储模块内的存储信息。
4、根据权利要求1或2或3所述的一种自动分析进程风险等级的装置,其特征在于,所述相似度匹配模块所比对的内容为:
对系统核心进程信息进行比对,判断系统核心进程有无损坏,是否被混淆;
对除核心进程以外的进程信息进行比对,判断是否有常见的木马或者其他恶意程序的进程;
对所有进程的所属模块进行基本信息扫描,判断有无模块发布信息不完整的进程模块。
5、一种自动分析进程风险等级的方法,其特征在于,所述方法包括如下过程:
已知进程信息读取步骤,从已知进程信息存储模块读取已知的进程信息;
当前进程信息获取步骤,利用当前进程信息获取模块获取当前系统所有进程的相关信息;
相似度匹配步骤,将所述当前进程信息获取模块获取的进程信息与所述已知进程信息存储模块存储的进程信息进行比对;
风险等级标注步骤,根据相似度匹配步骤的比对结果利用颜色对相应的进程进行风险等级区分。
6、根据权利要求5所述的一种自动分析进程风险等级的方法,其特征在于,所述方法还包括信息交互步骤,提示和指导用户对风险等级较高的进程进行处理以及根据用户的需要对风险等级进行标注颜色的定义和提示时机的定义。
7、根据权利要求6所述的一种自动分析进程风险等级的方法,其特征在于,所述信息交互步骤还提示用户对新获知的危险程序进程信息进行存储,即更新已知进程信息存储模块内的存储信息。
8、根据权利要求5或6或7所述的一种自动分析进程风险等级的方法,其特征在于,所述相似度匹配步骤中所比对的内容为:
对系统核心进程信息进行比对,判断系统核心进程有无损坏,是否被混淆;
对除核心进程以外的进程信息进行比对,判断是否有常见的木马或者其他恶意程序的进程;
对所有进程的所属模块进行基本信息扫描,判断有无模块发布信息不完整的进程模块。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710028042 CN101059829A (zh) | 2007-05-16 | 2007-05-16 | 一种自动分析进程风险等级的装置和方法 |
| JP2008129433A JP4773478B2 (ja) | 2007-05-16 | 2008-05-16 | リスクレベル分析装置およびリスクレベル分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710028042 CN101059829A (zh) | 2007-05-16 | 2007-05-16 | 一种自动分析进程风险等级的装置和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101059829A true CN101059829A (zh) | 2007-10-24 |
Family
ID=38865928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710028042 Pending CN101059829A (zh) | 2007-05-16 | 2007-05-16 | 一种自动分析进程风险等级的装置和方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP4773478B2 (zh) |
| CN (1) | CN101059829A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
| CN103544432A (zh) * | 2012-07-11 | 2014-01-29 | 腾讯科技(深圳)有限公司 | 提示卸载程序的方法和装置 |
| CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
| CN104008341A (zh) * | 2014-05-30 | 2014-08-27 | 北京金山安全软件有限公司 | 安全防护的提醒方法及装置 |
| CN109871691A (zh) * | 2018-06-26 | 2019-06-11 | 360企业安全技术(珠海)有限公司 | 基于权限的进程管理方法、系统、设备及可读存储介质 |
| CN112214768A (zh) * | 2020-10-16 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种恶意进程的检测方法及装置 |
| CN113239364A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种检测漏洞利用的方法、装置、设备及存储介质 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101402057B1 (ko) * | 2012-09-19 | 2014-06-03 | 주식회사 이스트시큐리티 | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 |
| JP2018200642A (ja) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | 脅威検出プログラム、脅威検出方法および情報処理装置 |
| CN116663005B (zh) * | 2023-08-01 | 2023-10-13 | 长扬科技(北京)股份有限公司 | 复合型勒索病毒的防御方法、装置、设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005222216A (ja) * | 2004-02-04 | 2005-08-18 | Mitsubishi Electric Corp | システム監査方法、およびシステム監査装置 |
| JP2005242754A (ja) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | セキュリティ管理システム |
| JP4624181B2 (ja) * | 2004-07-28 | 2011-02-02 | 株式会社エヌ・ティ・ティ・データ | 不正アクセス対策制御装置および不正アクセス対策制御プログラム |
| JP2006093832A (ja) * | 2004-09-21 | 2006-04-06 | Mitsubishi Electric Corp | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
| JP4468131B2 (ja) * | 2004-10-06 | 2010-05-26 | 株式会社エヌ・ティ・ティ・データ | 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法 |
| JP2006155124A (ja) * | 2004-11-29 | 2006-06-15 | Savant:Kk | 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置 |
| US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
-
2007
- 2007-05-16 CN CN 200710028042 patent/CN101059829A/zh active Pending
-
2008
- 2008-05-16 JP JP2008129433A patent/JP4773478B2/ja not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
| CN103544432A (zh) * | 2012-07-11 | 2014-01-29 | 腾讯科技(深圳)有限公司 | 提示卸载程序的方法和装置 |
| CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
| CN104008341A (zh) * | 2014-05-30 | 2014-08-27 | 北京金山安全软件有限公司 | 安全防护的提醒方法及装置 |
| CN109871691A (zh) * | 2018-06-26 | 2019-06-11 | 360企业安全技术(珠海)有限公司 | 基于权限的进程管理方法、系统、设备及可读存储介质 |
| CN109871691B (zh) * | 2018-06-26 | 2021-07-20 | 360企业安全技术(珠海)有限公司 | 基于权限的进程管理方法、系统、设备及可读存储介质 |
| CN112214768A (zh) * | 2020-10-16 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种恶意进程的检测方法及装置 |
| CN113239364A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种检测漏洞利用的方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4773478B2 (ja) | 2011-09-14 |
| JP2008287722A (ja) | 2008-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101059829A (zh) | 一种自动分析进程风险等级的装置和方法 | |
| CN1900940A (zh) | 计算机安全启动的方法 | |
| US20070152854A1 (en) | Forgery detection using entropy modeling | |
| CN105229661B (zh) | 基于信号标记确定恶意软件的方法、计算设备及存储介质 | |
| CN100339830C (zh) | 一种更新软件的方法 | |
| US8189924B2 (en) | Phishing abuse recognition in web pages | |
| CN104718430A (zh) | 具有用于手写识别的输入装置的机动车 | |
| CN109635569B (zh) | 一种漏洞检测方法及装置 | |
| CN102222183A (zh) | 移动终端软件包安全检测方法及系统 | |
| CN104573515A (zh) | 一种病毒处理方法、装置和系统 | |
| CN102945351A (zh) | 云环境下基于二维码的移动智能终端安全漏洞修复方法 | |
| CN110704104B (zh) | 一种应用仿冒检测方法、智能终端及存储介质 | |
| CN109740040B (zh) | 验证码识别方法、装置、存储介质和计算机设备 | |
| CN109271788A (zh) | 一种基于深度学习的Android恶意软件检测方法 | |
| CN103514019A (zh) | 处理弹窗的方法及其装置 | |
| CN1609829A (zh) | Linux操作系统下对USB设备即插即用的方法 | |
| CN112580734A (zh) | 目标检测模型训练方法、系统、终端设备及存储介质 | |
| CN102612705B (zh) | 假手指判定设备、假手指判定方法和假手指判定程序 | |
| CN113486350A (zh) | 恶意软件的识别方法、装置、设备及存储介质 | |
| CN109583201A (zh) | 识别恶意中间语言文件的系统和方法 | |
| CN103713945B (zh) | 游戏的识别方法和装置 | |
| KR20160100887A (ko) | 코드 블록 비교를 통한 악성 코드 탐지 방법 | |
| CN1409222A (zh) | 计算机内存病毒监控和带毒运行方法 | |
| CN109271982A (zh) | 多个识别区域识别方法、识别终端及可读存储介质 | |
| WO2021082593A1 (zh) | 污秽的分类方法、装置、设备、介质及数据获取系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |