CN102663274A - 一种检测远程入侵计算机行为的方法及系统 - Google Patents
一种检测远程入侵计算机行为的方法及系统 Download PDFInfo
- Publication number
- CN102663274A CN102663274A CN2012100263173A CN201210026317A CN102663274A CN 102663274 A CN102663274 A CN 102663274A CN 2012100263173 A CN2012100263173 A CN 2012100263173A CN 201210026317 A CN201210026317 A CN 201210026317A CN 102663274 A CN102663274 A CN 102663274A
- Authority
- CN
- China
- Prior art keywords
- normal
- request
- creation request
- process creation
- ancestor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 291
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 230000002159 abnormal effect Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 abstract 1
- 230000009545 invasion Effects 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 22
- 238000009434 installation Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种检测远程入侵计算机行为的方法及系统,其中,所述方法包括:对系统中的进程创建事件进行监控;当监控到创建某进程的请求时,拦截该进程创建请求;通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。通过本发明,能够在不需要用户干预的情况下进程远程入侵行为的检测,并且不至于使得保存的数据膨胀过大。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种检测远程入侵计算机行为的方法及系统。
背景技术
一台拥有IP地址的计算机,可以通过开放端口的方式,提供各种服务给网络中的其他计算机。所谓端口,是对英文port的意译,通常被认为是计算机与外界通讯交流的出口。例如,HTTP(Hypertext Transport Protocol,超文本传送协议)服务器会开放TCP端口80,这样,用户的计算机就可以通过该端口80与服务器连接,并交换HTTP协议,获得最终呈现在用户计算机上的HTTP页面。或者,邮件服务器可以开放端口587,用户计算机可以通过端口587与邮件服务器连接,并交换SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)协议,实现传动邮件的功能。再或者,用户的计算机中还可能开放一些端口,以实现一些功能。例如,用户的计算机可能默认开放端口135,以便能够与另一台计算机进行连接,实现远程协助功能,等等。
一般的用户并没有足够的知识,去管理自己的机器需要开放与关闭哪些端口,这就给黑客留下了入侵计算机(可能是前述HTTP服务器、邮件服务器,还有可能是普通用户的计算机)的机会。入侵常用的手法之一就是扫描目标机器,找寻可利用的开放端口,然后连线至这些端口操控目标机器。例如,入侵者可以通过SMTP端口587传递垃圾邮件,或者利用Telnet端口23,远程登录到用户机器等等。
为了防止受到这种远程入侵行为的攻击,现有技术通常是使用防火墙技术进行拦截。防火墙技术主要是通过添加规则限制连接的方式来起到这种拦截的作用。也即,可以以白名单的方式,设置能够连接到某开放的端口的IP地址名单,或者以黑名单的方式,设置不能连接到某开放的端口的IP地址名单,当一个连接请求被防火墙拦截,便依照该白名单或黑名单,判断该连接请求的IP地址是否为允许连接的IP地址,以此来判断此次连接请求是否为黑客入侵,进而决定是否报警或者阻止此次连接。
防火墙技术可以从一定程度上起到防止远程入侵计算机的作用,但是,至少存在以下弊端:需要用户设置规则,对用户的专业性要求较高;并且如果使用白名单的方式,则造成误判的可能性比较大,并且,随着新增lP地址的加入,名单也会过于庞大,影响连接的响应速度;如果使用黑名单的方式,则难免百密一疏,并且同样存在可能会膨胀过大及其所带来的问题。
发明内容
本发明提供了一种检测远程入侵计算机行为的方法及系统,能够在不需要用户干预的情况下进程远程入侵行为的检测,并且不至于使得保存的数据膨胀过大。
本发明提供了如下方案:
一种检测远程入侵计算机行为的方法,包括:
对系统中的进程创建事件进行监控;
当监控到创建某进程的请求时,拦截该进程创建请求;
通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;
如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。
优选地,如果所述进程创建操作不正常,则还包括:
阻止进程创建操作的执行;
或者,
向发出异常报警,根据用户的选择操作,阻止或允许进程创建操作的执行。
优选地,如果所述进程创建请求正常,则还包括:
允许创建操作的执行。
其中,所述通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建请求是否正常包括:
判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程;
如果是,则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程;
如果是,则判定所述进程创建请求不正常。
优选地,在所述判定所述进程创建请求不正常之前还包括:
判断该进程和/或其祖先进程的运行参数是否正常,如果不正常,则判定所述进程创建请求不正常。
一种检测远程入侵计算机行为的系统,包括:
监控单元,用于对系统中的进程创建事件进行监控;
拦截单元,用于当监控到创建某进程的请求时,拦截该进程创建请求;
分析单元,用于通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;
确定单元,用于如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。
优选地,如果所述进程创建操作不正常,则还包括:
第一处理单元,用于阻止进程创建操作的执行;
或者,
第二处理单元,用于向发出异常报警,根据用户的选择操作,阻止或允许进程创建操作的执行。
优选地,如果所述进程创建请求正常,则还包括:
第三处理单元,用于允许创建操作的执行。
其中,所述分析单元包括:
第一判断子单元,用于判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程;
第二判断子单元,用于如果所述第一判断子单元的判断结果为是,则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程;
确定子单元,用于如果所述第二判断子单元的判断结果为是,则判定所述进程创建请求不正常。
优选地,还包括:
第三判断子单元,用于判断该进程和/或其祖先进程的运行参数是否正常,如果不正常,则所述确定子单元判定所述进程创建请求不正常。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
通过本发明,可以通过对进程创建请求进行拦截及分析,如果发现不正常的情况,就可以将该进程创建请求看作是黑客入侵行为,进而就可以采取相应的措施,以防止用户的计算机收到侵害。可见,只要预先统计了在正常或不正常情况下,开放各个端口时,将要创建的进程与其祖先进程之间的关系,就可以判断出当前的进程创建请求是否正常,进而避免黑客通过这些端口入侵并对用户的计算机造成危害。在此过程中,不需要用户的干预,虽然也需要统计一些信息,但是相对于防火墙使用的白名单或黑名单而言,其数量级要小得多,不至于导致膨胀过大的现象发生。。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的方法的流程图;
图2是本发明实施例提供的系统的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
首先需要说明的是,黑客在远程入侵某目标机器时,首先需要通过目标机器当前开放的端口连接到该目标机器,然后再操控目标机器执行具体的操作。这两个过程可以看做是有两个阶段组成的:第一阶段是连接,第二阶段是执行一些操作。现有技术中的防火墙在防止黑客远程入侵时,采用的思路是,让黑客无法完成第一个阶段,也即无法通过端口与目标机器连接,进而黑客也就无法执行后续的一些操作了,从而保证目标机器的安全性。而在本发明人在实现本发明的过程中发现,在黑客入侵的过程中,其实真正会使得目标机器受到威胁的是上述第二阶段,也即,如果黑客无法执行后续的具体操作,则即使黑客通过端口连接到目标机器,也是不会对目标机器的安全性造成影响的。因此,本发明实施例就是从上述思路出发,提出了一种新型的检测远程入侵计算机的行为的方法,从而达到保护目标机器安全性的目的。
参见图1,本发明实施例提供的检测远程入侵计算机的方法包括以下步骤:
S101:对系统中的进程创建事件进行监控;
本发明实施例在检测远程入侵计算机行为的过程中,并不是在连接阶段对黑客的入侵行为进行限制,而是在执行具体的操作阶段进行限制。而在执行具体操作的过程中,总是会伴随创建进程的过程,也即,在计算机系统中,如果想要执行某种操作以达到某种目的,则需要创建相应的进程,在进程中完成相应的操作,因此,可以通过检查进程创建是否正常,来判断是否被黑客入侵。为此,就需要对系统中创建进程的事件进行监控。
S102:当监控到创建某进程的请求时,拦截该进程创建请求;
在监控的过程中,一旦发现要创建某进程,则首先将该创建事件拦截下来。也就是说,当监控到要创建某进程时,不是直接允许该进程的创建,而是暂时先拦截下来,进行一些判断操作,主要是区分创建过程是否正常,如果不正常则可能是黑客的远程入侵进行的操作。
S103:通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;
具体在分析一个进程创建过程是否正常时,可以通过分析当前要创建的进程及其祖先进程,以及当前开放的端口等进行判断。其中,进程的祖先进程可以通过查询进程树获知。一些程序进程运行后,会调用其他进程来执行一些特定功能,这样就组成了一个进程树。进程树是一个形象化的比喻,比如一个进程启动了一个程序,而启动的这个进程就是原来那个进程的子进程,依此形成的一种树形的结构。例如,在Windows XP的“运行”对话框中输入“cmd”启动命令行控制台,然后在命令行中输入“notepad”启动记事本。现在,命令行控制台进程“cmd.exe”和记事本进程“notepad.exe”就组成了一个进程树,其中“notepad.exe”进程是由“cmd.exe”进程创建的,前者称为子进程,后者称为父进程。
一般的情况下,从当前要创建的进程与其祖先进程之间的关系,能够发现一些不正常的现象。例如WMI(Windows Management Instrumentation,Windows管理规范)在正常使用情况下不应该创建ftp进程,如果WMI创建ftp进程,通常是黑客经由端口135入侵之后,下载后门程序的动作。也就是说,在某端口开启的情况下,黑客经常被利用于进行远程入侵的进程及其祖先进程,是可以预先统计出来的,这样,具体在判断一个进程创建过程是否正常时,就可以与预先统计的结果进行比对,首先判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程,如果不存在,则该进程创建过程一般可以被认为是正常的;否则,如果存在,则可以进一步判断当前要创建的进程是否为当前的端口开放时常被利用于远程入侵的进程,如果不是,则可以认为该进程创建过程是正常的,否则,如果是,就可以将当前的进程创建过程判定为黑客的远程入侵行为产生的。
当然,在实际应用中,在开启某端口的情况下,可能并不是所有的进程都会被黑客用于远程入侵,而只有一些特定的进程才会被黑客利用,因此,在具体对进程创建进行监控时,也可以仅在监控到创建一些特定的进程创建请求时,才进行拦截,并进一步检查该进程创建操作是否正常。例如,如果系统产生一个新的ftp进程创建请求,就可以检查ftp的祖先进程是否有WMI,并且端口135为开启状态,如果是,则可以认为该创建ftp进程的请求是不正常的,可能是黑客远程入侵的行为。
此外,在具体实现时,针对一些特殊情况,如果仅判断当前要创建的进程及其祖先进程之间的关系,来判断当前的进程创建请求是否正常,可能会出现误判的情况。例如,Sqlserver创建cmd进程,可能是一个正常的操作,但也可能是一个被入侵的危险讯号,此时,就无法直接用前述方法进行判定。但是经过判断sqlserver发送给cmd的命令行参数,可以判定这是一个正常的创建,或是异常的创建。比方说sqlserver创建一个cmd进程,命令行参数为“wmiccpu get processrid”,则这是一个正常的情况。然而若sqlserver创建一个cmd进程,命令行参数为“ftp ip地址\木马.exe”,则这就是一个异常的情况。也就是说,在判断出一个进程或者其祖先进程是经常被用于远程入侵的进程之后,可以进一步判断进程中的命令行参数,来进一步确定当前的进程创建请求是否正常,从而进一步判断当前是否存在远程入侵计算机的行为。
其中,命令行参数是进程的运行参数中的一种,并且,在实际应用中,命令行参数只是一个举例,除此之外,还可以获取进程关系中的其他运行参数作为可供参考的资料,例如祖先进程对应程序的版本号(对于当前要创建的进程及其祖先进程,在一些版本的程序中可能是正常的,但在另一些版本中可能是不正常的)、进程创建过程中的安装路径(例如,在创建cmd进程时,正常的安装路径通常是在系统盘下,如果是系统盘以外的其他路径,则可能是不正常的)、祖先进程(sqlserver)的命令行参数等,协助进行判断。
具体实现时,为了避免过多地占用用户的本地计算机资源,可以收集常见的进程运行参数,保存在云后台,并且不断更新调整,客户端在收集到进程的运行参数之后,上传给云后台,在云后台进行具体的检查及判断工作,以减少误报。
需要说明的是,在具体实现时,单独根据进程的各种运行参数来判断当前的进程创建请求是否正常,或者首先判断各种运行参数是否正常,如果不正常,再判断进程或祖先进程是否为常被用于远程入侵的进程,从而来综合判定当前的进程创建请求是否正常,都是可以的,这里不再进行详述。
S104:如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。
如果发现进程创建请求存在不正常的情况,则将当前的进程创建请求判定为远程入侵的行为。进一步地,就可以直接阻止当前进程的创建操作,或者,为了进一步避免误判,可以首先向用户发出报警,由用户进一步判断当前的进程创建请求是否正常,如果用户选择阻止,再阻止当前的进程创建操作,否则,用户选择允许,则允许进程创建操作的执行,也即将拦截的请求放行,允许其继续执行即可。当然,如果发现进程创建请求是正常的,同样可以将其放行,进行正常的进程创建即可。
总之,在本发明实施例中,通过对进程创建请求进行拦截及分析,如果发现不正常的情况,就可以将该进程创建请求看作是黑客入侵行为,进而就可以采取相应的措施,以防止用户的计算机收到侵害。可见,只要预先统计了在正常或不正常情况下,开放各个端口时,将要创建的进程与其祖先进程之间的关系,就可以判断出当前的进程创建请求是否正常,进而避免黑客通过这些端口入侵并对用户的计算机造成危害。在此过程中,不需要用户的干预,虽然也需要统计一些信息,但是相对于防火墙使用的白名单或黑名单而言,其数量级要小得多,不至于导致膨胀过大的现象发生。
与本发明实施例提供的检测远程入侵计算机行为的方法相对应,本发明实施例还提供了一种检测远程入侵计算机行为的系统,参见图2,该系统包括:
监控单元201,用于对系统中的进程创建事件进行监控;
拦截单元202,用于当监控到创建某进程的请求时,拦截该进程创建请求;
分析单元203,用于通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;
确定单元204,用于如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。
其中,如果所述进程创建操作不正常,则该系统还包括:
第一处理单元,用于阻止进程创建操作的执行;
或者,
第二处理单元,用于向发出异常报警,根据用户的选择操作,阻止或允许进程创建操作的执行。
如果所述进程创建请求正常,则该系统还包括:
第三处理单元,用于允许创建操作的执行。
具体实现时,分析单元203具体可以包括:
第一判断子单元,用于判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程;
第二判断子单元,用于如果所述第一判断子单元的判断结果为是,则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程;
确定子单元,用于如果所述第二判断子单元的判断结果为是,则判定所述进程创建请求不正常。
为了降低误判的可能,分析单元203还可以包括:
第三判断子单元,用于判断该进程和/或其祖先进程的运行参数是否正常,如果不正常,则所述确定子单元判定所述进程创建请求不正常。
总之,在本发明实施例提供的系统中,通过对进程创建请求进行拦截及分析,如果发现不正常的情况,就可以将该进程创建请求看作是黑客入侵行为,进而就可以采取相应的措施,以防止用户的计算机收到侵害。可见,只要预先统计了在正常或不正常情况下,开放各个端口时,将要创建的进程与其祖先进程之间的关系,就可以判断出当前的进程创建请求是否正常,进而避免黑客通过这些端口入侵并对用户的计算机造成危害。在此过程中,不需要用户的干预,虽然也需要统计一些信息,但是相对于防火墙使用的白名单或黑名单而言,其数量级要小得多,不至于导致膨胀过大的现象发生。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上对本发明所提供的一种检测远程入侵计算机行为的方法及系统,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种检测远程入侵计算机行为的方法,其特征在于,包括:
对系统中的进程创建事件进行监控;
当监控到创建某进程的请求时,拦截该进程创建请求;
通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;
如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。
2.根据权利要求1所述的方法,其特征在于,如果所述进程创建操作不正常,则还包括:
阻止进程创建操作的执行;
或者,
向发出异常报警,根据用户的选择操作,阻止或允许进程创建操作的执行。
3.根据权利要求1所述的方法,其特征在于,如果所述进程创建请求正常,则还包括:
允许创建操作的执行。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建请求是否正常包括:
判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程;
如果是,则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程;
如果是,则判定所述进程创建请求不正常。
5.根据权利要求4所述的方法,其特征在于,在所述判定所述进程创建请求不正常之前还包括:
判断该进程和/或其祖先进程的运行参数是否正常,如果不正常,则判定所述进程创建请求不正常。
6.一种检测远程入侵计算机行为的系统,其特征在于,包括:
监控单元,用于对系统中的进程创建事件进行监控;
拦截单元,用于当监控到创建某进程的请求时,拦截该进程创建请求;
分析单元,用于通过分析该进程、该进程的祖先进程,以及当前开放的端口,判断该进程创建操作是否正常;
确定单元,用于如果所述进程创建请求不正常,则将该进程创建请求确定为远程入侵计算机的行为。
7.根据权利要求6所述的系统,其特征在于,如果所述进程创建操作不正常,则还包括:
第一处理单元,用于阻止进程创建操作的执行;
或者,
第二处理单元,用于向发出异常报警,根据用户的选择操作,阻止或允许进程创建操作的执行。
8.根据权利要求6所述的系统,其特征在于,如果所述进程创建请求正常,则还包括:
第三处理单元,用于允许创建操作的执行。
9.根据权利要求6至8任一项所述的系统,其特征在于,所述分析单元包括:
第一判断子单元,用于判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程;
第二判断子单元,用于如果所述第一判断子单元的判断结果为是,则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程;
确定子单元,用于如果所述第二判断子单元的判断结果为是,则判定所述进程创建请求不正常。
10.根据权利要求9所述的系统,其特征在于,还包括:
第三判断子单元,用于判断该进程和/或其祖先进程的运行参数是否正常,如果不正常,则所述确定子单元判定所述进程创建请求不正常。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210026317.3A CN102663274B (zh) | 2012-02-07 | 2012-02-07 | 一种检测远程入侵计算机行为的方法及系统 |
| PCT/CN2013/071340 WO2013117148A1 (zh) | 2012-02-07 | 2013-02-04 | 检测远程入侵计算机行为的方法及系统 |
| US14/377,004 US9444834B2 (en) | 2012-02-07 | 2013-02-04 | Method and system for detecting behavior of remotely intruding into computer |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210026317.3A CN102663274B (zh) | 2012-02-07 | 2012-02-07 | 一种检测远程入侵计算机行为的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102663274A true CN102663274A (zh) | 2012-09-12 |
| CN102663274B CN102663274B (zh) | 2015-12-02 |
Family
ID=46772763
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210026317.3A Active CN102663274B (zh) | 2012-02-07 | 2012-02-07 | 一种检测远程入侵计算机行为的方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9444834B2 (zh) |
| CN (1) | CN102663274B (zh) |
| WO (1) | WO2013117148A1 (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| WO2013117148A1 (zh) * | 2012-02-07 | 2013-08-15 | 北京奇虎科技有限公司 | 检测远程入侵计算机行为的方法及系统 |
| CN103279707A (zh) * | 2013-06-08 | 2013-09-04 | 北京奇虎科技有限公司 | 一种用于主动防御恶意程序的方法、设备及系统 |
| CN104156662A (zh) * | 2014-08-28 | 2014-11-19 | 北京奇虎科技有限公司 | 进程监控的方法、装置和智能终端 |
| CN106790142A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种发现IoT设备遭受入侵的方法及系统 |
| CN106790149A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种防御IoT设备遭受入侵的方法及系统 |
| CN108537040A (zh) * | 2018-04-12 | 2018-09-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN109711166A (zh) * | 2018-12-17 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 漏洞检测方法及装置 |
| CN109933465A (zh) * | 2019-03-12 | 2019-06-25 | 北京同城必应科技有限公司 | 异常处理方法、装置、服务器和存储介质 |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN111083159A (zh) * | 2019-12-27 | 2020-04-28 | 北京安天网络安全技术有限公司 | 一种入侵检测的方法、装置、电子设备及存储介质 |
| CN111651754A (zh) * | 2020-04-13 | 2020-09-11 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
| CN114338135A (zh) * | 2021-12-27 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种远程登录行为处理方法、装置、计算设备和存储介质 |
| CN114465752A (zh) * | 2021-12-10 | 2022-05-10 | 奇安信科技集团股份有限公司 | 一种远程调用检测方法、装置、电子设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10791116B1 (en) * | 2016-09-30 | 2020-09-29 | NortonLifeLock Inc. | Systems and methods for securing universal plug and play connections |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101408917A (zh) * | 2008-10-22 | 2009-04-15 | 厦门市美亚柏科资讯科技有限公司 | 应用程序行为合法性检测方法及系统 |
| JP2011053893A (ja) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | 不正プロセス検知方法および不正プロセス検知システム |
| US20110131617A1 (en) * | 2009-11-30 | 2011-06-02 | At&T Intellectual Property I, L.P. | Noise Reduction Apparatus with Isolation Transformers in an Internet Protocol Television System |
| CN101176331B (zh) * | 2005-06-06 | 2011-12-21 | 国际商业机器公司 | 计算机网络入侵检测系统和方法 |
| CN101587521B (zh) * | 2009-06-17 | 2011-12-28 | 北京东方微点信息技术有限责任公司 | 获取远程计算机信息的方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4918653A (en) * | 1988-01-28 | 1990-04-17 | International Business Machines Corporation | Trusted path mechanism for an operating system |
| US5032979A (en) * | 1990-06-22 | 1991-07-16 | International Business Machines Corporation | Distributed security auditing subsystem for an operating system |
| US20040143749A1 (en) * | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
| US7328217B2 (en) * | 2003-11-26 | 2008-02-05 | Symantec Operating Corporation | System and method for detecting and storing file identity change information within a file system |
| CN102663274B (zh) * | 2012-02-07 | 2015-12-02 | 北京奇虎科技有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
-
2012
- 2012-02-07 CN CN201210026317.3A patent/CN102663274B/zh active Active
-
2013
- 2013-02-04 WO PCT/CN2013/071340 patent/WO2013117148A1/zh active Application Filing
- 2013-02-04 US US14/377,004 patent/US9444834B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101176331B (zh) * | 2005-06-06 | 2011-12-21 | 国际商业机器公司 | 计算机网络入侵检测系统和方法 |
| CN101408917A (zh) * | 2008-10-22 | 2009-04-15 | 厦门市美亚柏科资讯科技有限公司 | 应用程序行为合法性检测方法及系统 |
| CN101587521B (zh) * | 2009-06-17 | 2011-12-28 | 北京东方微点信息技术有限责任公司 | 获取远程计算机信息的方法及装置 |
| JP2011053893A (ja) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | 不正プロセス検知方法および不正プロセス検知システム |
| US20110131617A1 (en) * | 2009-11-30 | 2011-06-02 | At&T Intellectual Property I, L.P. | Noise Reduction Apparatus with Isolation Transformers in an Internet Protocol Television System |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013117148A1 (zh) * | 2012-02-07 | 2013-08-15 | 北京奇虎科技有限公司 | 检测远程入侵计算机行为的方法及系统 |
| CN102932329A (zh) * | 2012-09-26 | 2013-02-13 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN102932329B (zh) * | 2012-09-26 | 2016-03-30 | 北京奇虎科技有限公司 | 一种对程序的行为进行拦截的方法、装置和客户端设备 |
| CN103279707A (zh) * | 2013-06-08 | 2013-09-04 | 北京奇虎科技有限公司 | 一种用于主动防御恶意程序的方法、设备及系统 |
| CN103279707B (zh) * | 2013-06-08 | 2016-07-13 | 北京奇虎科技有限公司 | 一种用于主动防御恶意程序的方法、设备 |
| CN104156662A (zh) * | 2014-08-28 | 2014-11-19 | 北京奇虎科技有限公司 | 进程监控的方法、装置和智能终端 |
| CN106790142A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种发现IoT设备遭受入侵的方法及系统 |
| CN106790149A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种防御IoT设备遭受入侵的方法及系统 |
| CN108537040A (zh) * | 2018-04-12 | 2018-09-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN108537040B (zh) * | 2018-04-12 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN109711166A (zh) * | 2018-12-17 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 漏洞检测方法及装置 |
| CN109933465A (zh) * | 2019-03-12 | 2019-06-25 | 北京同城必应科技有限公司 | 异常处理方法、装置、服务器和存储介质 |
| CN111083159A (zh) * | 2019-12-27 | 2020-04-28 | 北京安天网络安全技术有限公司 | 一种入侵检测的方法、装置、电子设备及存储介质 |
| CN111651754A (zh) * | 2020-04-13 | 2020-09-11 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
| CN111651754B (zh) * | 2020-04-13 | 2024-06-14 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
| CN114465752A (zh) * | 2021-12-10 | 2022-05-10 | 奇安信科技集团股份有限公司 | 一种远程调用检测方法、装置、电子设备及存储介质 |
| CN114338135A (zh) * | 2021-12-27 | 2022-04-12 | 奇安信科技集团股份有限公司 | 一种远程登录行为处理方法、装置、计算设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150207810A1 (en) | 2015-07-23 |
| WO2013117148A1 (zh) | 2013-08-15 |
| CN102663274B (zh) | 2015-12-02 |
| US9444834B2 (en) | 2016-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102663274B (zh) | 一种检测远程入侵计算机行为的方法及系统 | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| US10893059B1 (en) | Verification and enhancement using detection systems located at the network periphery and endpoint devices | |
| EP3214568B1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
| US8925076B2 (en) | Application-specific re-adjustment of computer security settings | |
| US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
| US8904529B2 (en) | Automated deployment of protection agents to devices connected to a computer network | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| JP5374485B2 (ja) | 情報セキュリティ保護ホスト | |
| WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
| JP4938576B2 (ja) | 情報収集システムおよび情報収集方法 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| EP2843904A2 (en) | Identifying malicious devices within a computer network | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| KR20180097527A (ko) | 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션 | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US11882128B2 (en) | Improving incident classification and enrichment by leveraging context from multiple security agents | |
| CN102932329A (zh) | 一种对程序的行为进行拦截的方法、装置和客户端设备 | |
| US20110307936A1 (en) | Network analysis | |
| EP3353983B1 (en) | Method and system with a passive web application firewall | |
| CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| EP3819799B1 (en) | Method of threat detection | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
| CN110784471A (zh) | 黑名单采集管理方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: QIZHI SOFTWARE (BEIJING) CO., LTD. Effective date: 20120926 Owner name: BEIJING QIHU TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: QIZHI SOFTWARE (BEIJING) CO., LTD. Effective date: 20120926 |
|
| C10 | Entry into substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100016 CHAOYANG, BEIJING TO: 100088 XICHENG, BEIJING |
|
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20120926 Address after: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant after: Qizhi software (Beijing) Co.,Ltd. Address before: The 4 layer 100016 unit of Beijing city Chaoyang District Jiuxianqiao Road No. 14 Building C Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220719 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |