CN105608377A - 一种信息系统进程安全管理系统及管理方法 - Google Patents

一种信息系统进程安全管理系统及管理方法 Download PDF

Info

Publication number
CN105608377A
CN105608377A CN201510984024.XA CN201510984024A CN105608377A CN 105608377 A CN105608377 A CN 105608377A CN 201510984024 A CN201510984024 A CN 201510984024A CN 105608377 A CN105608377 A CN 105608377A
Authority
CN
China
Prior art keywords
module
information system
legitimacy
analysis
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510984024.XA
Other languages
English (en)
Inventor
许畅
王萍
姚振
王丽
丁家田
谢斌
孙磊
储世华
刘涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Anhui Jiyuan Software Co Ltd
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Anhui Jiyuan Software Co Ltd
Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Anhui Jiyuan Software Co Ltd, Information and Telecommunication Branch of State Grid Anhui Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510984024.XA priority Critical patent/CN105608377A/zh
Publication of CN105608377A publication Critical patent/CN105608377A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种信息系统进程安全管理系统,包括进程PID采集模块、记录存储模块、进程分析模块、进程合法性逻辑判断模块和报警模块。本发明还公开了一种信息系统进程安全管理方法。本发明的信息系统进程安全管理系统及相应的进程安全管理方法能够快速高效地对系统进程进行分析和合法性判断,此外对于特征码未知的恶意代码也具有检测能力。本发明还可以实现对异常进程进行报警。

Description

一种信息系统进程安全管理系统及管理方法
技术领域
本发明涉及计算机技术领域,具体涉及一种信息系统进程安全管理方法。
背景技术
进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源,是一个动态的概念,是一个活动的实体。它不只是程序的代码,还包括当前的活动,通过程序计数器的值和处理寄存器的内容来表示。进程是操作系统中最基本、重要的概念,是多道程序系统出现后为了刻画系统内部出现的动态情况和描述系统内部各道程序的活动规律引进的一个概念。所有多道程序设计操作系统都建立在进程的基础上。
进程为应用程序的运行实例,是应用程序的一次动态执行。进程包括系统进程、用户进程和服务进程,此外还有一些非法进程。这些非法进程是由一些用户不知道的、自动运行的非法程序产生,如一些木马病毒程序。
随着信息化的飞速发展和大数据时代的到来,伴随而来的网络系统安全问题越来越多地出现在计算机领域。不管是互联网范围内的环境还是局域网中,均存在各种各样的进程管理安全隐患问题。尤其是近年来,随着黑客技术的不断提高,一些新的木马病毒程序非法隐藏于系统中,通过系统进程管理器不易察觉,给用户管理带来很大安全隐患。为防止恶意进程以及不必要的程序的非法启动,对进程管理的安全策略研究显得尤为重要。
现有的进程管理方法多采取特征码技术,尤其是基于特征码的静态扫描。它是对用户指定的某个或某几个文件进行扫描,以确定是否包含非法程序的特征码。具体实现时,它最初是采用对待测文件二进制格式全部扫描的方式。但在目前病毒、木马、蠕虫及其变种的总数惊人的情况下,这种方式显然效率低下。即使出现了一些用来提高特征码扫描效率的技术,但病毒、木马等恶意代码的编写和制作技术的发展依然给特征码技术在进程管理的运用带来了极大挑战。此外,使用特征码技术在扫描时查找的是各个已知恶意代码的特征码,因此这种技术不具备检测未知恶意代码的能力。
发明内容
本发明提供一种信息系统进程安全管理系统及相应的进程安全管理方法,能够快速高效地对系统进程进行分析和合法性判断,此外对于特征码未知的恶意代码也具有检测能力。本发明还可以实现对异常进程进行报警。
本发明的技术方案如下:
一种信息系统进程安全管理系统,包括:
进程PID采集模块,用于对信息系统中进程的PID进行检测采集;
记录存储模块,用于存储进程PID采集模块采集的进程PID信息并建立索引;
进程分析模块,用于分析进程行为,并与信息系统中的其他进程进行比对;
进程合法性逻辑判断模块,用于接收进程分析模块对进程行为分析、比对的结果并进行合法性判断;
报警模块,用于对由进程合法性逻辑判断模块判定为异常的进程进行报警。
进一步地,所述记录存储模块还存储进程分析模块的分析结果。
进一步地,所述记录存储模块还存储进程合法性逻辑判断模块对进程合法性的判断结果。
本发明还提供一种信息系统进程安全管理方法,通过恶意码与行为分析相结合对进程行为合法性进行判断并对异常进程进行报警,具体包括如下步骤:
步骤A、进程PID采集模块对系统中进程的PID进行检测采集;
步骤B、记录存储模块对步骤A中进程PID采集模块的检测采集结果进行存储,并建立索引;
步骤C、进程分析模块对进程行为进行基于特征码的静态扫描,并与信息系统中其他进程行为相比对;静态扫描和行为比对的结果传输至记录存储模块存储;
步骤D、进程合法性逻辑判断模块接收步骤C中的静态扫描以及比对结果,并进行进程合法性判断;如果判断结果非法,则执行步骤E,如果判断结果合法,则执行步骤F;
步骤E、报警模块对步骤D中被判定为非法的进程进行报警提示;
步骤F、进程合法性逻辑判断模块将逻辑判断的结果传输至记录存储模块存储。
进一步地,报警模块进行报警提示的方式为在桌面终端弹出提示窗口。
本发明具有如下技术效果:本发明的信息系统进程安全管理系统及相应的进程安全管理方法,通过采用特征码与行为分析相结合实现对进程行为的分析和合法性判断,能够对特征码已知的一些恶意代码进行快速扫描,进而快速判断出一些已知非法程序产生的非法进程;同时,由于采用了行为分析技术,因此对于特征码未知的恶意代码,即未知或新型的非法程序产生的非法进程也具有检测能力。本发明还具有报警模块,可以实现对异常进程进行报警并提示用户选择对非法进程的处理方式。
附图说明
图1是本发明实施例中信息系统进程安全管理系统的模块组成图;
图2是本发明实施例中信息系统进程安全管理方法的步骤流程图。
具体实施方式
下面将结合本发明实施例和附图对本发明的技术方案进行清楚、完整地描述。
附图1是本发明实施例中信息系统进程安全管理系统的模块组成图。本发明实施例的信息系统进程安全管理系统包括进程PID采集模块(1)、记录存储模块(2)、进程分析模块(3)、进程合法性逻辑判断模块(4)和报警模块(5)。
其中,进程PID采集模块(1)用于对信息系统中进程的PID进行检测采集。PID(ProcessIdentification)指进程识别号,也就是进程标识符。操作系统里每打开一个程序都会创建一个进程ID,即PID。PID是各进程的代号,每个进程有唯一的PID编号。它是进程运行时系统随机分配的,并不代表专门的进程。在运行时PID是不会改变标识符的,但是终止程序后再运行PID标识符就会被系统回收,就可能会被继续分配给新运行的程序。通过进程PID可以获取产生该进程的程序位置。
记录存储模块(2)用于存储进程PID采集模块(1)采集的进程PID信息并建立索引。索引是对数据库表中一列或多列的值进行排序的一种结构,使用索引可快速访问数据库表中的特定信息。
进程分析模块(3)用于分析进程行为,并与信息系统中的其他进程进行比对。本实施例中分析进程行为指进行基于特征码的静态扫描。特征码是一串二进制位信息,它能唯一标识某一恶意代码。多种恶意代码的特征码共同构成特征码库。特征码技术通过在待测文件中查找特征码,一旦查找到,就判定该文件是恶意代码或恶意代码的寄生程序。以上可以检测出一些已知恶意代码程序或其寄生程序产生的恶意进程。而通过与信息系统中的其他进程进行比对,可以实现对于特征码未知的恶意代码程序产生的非法进程也具有检测能力。这种技术称为行为分析——某些行为是病毒、木马等恶意代码的共同行为,但在合法程序中却比较罕见,也就是说,它们成了恶意代码的行为特征,可作为判别应用程序是否非法的依据或规则。本实施例中即通过与系统中其他进程进行比对例如占用系统内存大小等信息实现行为分析。
进程合法性逻辑判断模块(4)用于接收进程分析模块(3)对进程行为分析、比对的结果并进行合法性判断。通过进程行为分析和比对的结果,可以判断进程合法性。
报警模块(5)用于对由进程合法性逻辑判断模块(4)判定为异常的进程进行报警。
此外,所述记录存储模块(2)还存储进程分析模块(3)的分析结果和进程合法性逻辑判断模块(4)对进程合法性的判断结果。所述分析结果和判断结果可以构成特有的特征库,供下次进程管理时作为预设规则使用。
本发明实施例还具体描述了本实施例的信息系统进程安全管理系统实施信息系统进程安全管理方法,所述方法是通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警。附图2是本发明实施例中信息系统进程安全管理方法的步骤流程图,可以看出,所述通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警的方法具体包括如下步骤:
步骤A、进程PID采集模块对系统中进程的PID进行检测采集;
步骤B、记录存储模块对步骤A中进程PID采集模块的检测采集结果进行存储,并建立索引;
步骤C、进程分析模块对进程行为进行基于特征码的静态扫描,并与信息系统中其他进程行为相比对;静态扫描和行为比对的结果传输至记录存储模块存储;
步骤D、进程合法性逻辑判断模块接收步骤C中的静态扫描以及比对结果,并进行进程合法性判断;如果判断结果非法,则执行步骤E,如果判断结果合法,则执行步骤F;
步骤E、报警模块对步骤D中被判定为非法的进程进行报警提示;
步骤F、进程合法性逻辑判断模块将逻辑判断的结果传输至记录存储模块存储。
以上实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。同时,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (5)

1.一种信息系统进程安全管理系统,其特征在于,包括:
进程PID采集模块,用于对信息系统中进程的PID进行检测采集;
记录存储模块,用于存储进程PID采集模块采集的进程PID信息并建立索引;
进程分析模块,用于分析进程行为,并与信息系统中的其他进程进行比对;
进程合法性逻辑判断模块,用于接收进程分析模块对进程行为分析、比对的结果并进行合法性判断;
报警模块,用于对由进程合法性逻辑判断模块判定为异常的进程进行报警。
2.根据权利要求1所述的一种信息系统进程安全管理系统,其特征在于:所述记录存储模块还存储进程分析模块的分析结果。
3.根据权利要求1所述的一种信息系统进程安全管理系统,其特征在于:所述记录存储模块还存储进程合法性逻辑判断模块对进程合法性的判断结果。
4.一种信息系统进程安全管理方法,其特征在于:所述方法是通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警;
所述通过特征码与行为分析相结合实现对进程行为合法性的判断并对异常进程进行报警的方法具体包括如下步骤:
步骤A、进程PID采集模块对系统中进程的PID进行检测采集;
步骤B、记录存储模块对步骤A中进程PID采集模块的检测采集结果进行存储,并建立索引;
步骤C、进程分析模块对进程行为进行基于特征码的静态扫描,并与信息系统中其他进程行为相比对;静态扫描和行为比对的结果传输至记录存储模块存储;
步骤D、进程合法性逻辑判断模块接收步骤C中的静态扫描以及比对结果,并进行进程合法性判断;如果判断结果非法,则执行步骤E,如果判断结果合法,则执行步骤F;
步骤E、报警模块对步骤D中被判定为非法的进程进行报警提示;
步骤F、进程合法性逻辑判断模块将逻辑判断的结果传输至记录存储模块存储。
5.根据权利要求4所述的一种信息系统进程安全管理方法,其特征在于:报警模块进行报警提示的方式为在桌面终端弹出提示窗口。
CN201510984024.XA 2015-12-24 2015-12-24 一种信息系统进程安全管理系统及管理方法 Pending CN105608377A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510984024.XA CN105608377A (zh) 2015-12-24 2015-12-24 一种信息系统进程安全管理系统及管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510984024.XA CN105608377A (zh) 2015-12-24 2015-12-24 一种信息系统进程安全管理系统及管理方法

Publications (1)

Publication Number Publication Date
CN105608377A true CN105608377A (zh) 2016-05-25

Family

ID=55988305

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510984024.XA Pending CN105608377A (zh) 2015-12-24 2015-12-24 一种信息系统进程安全管理系统及管理方法

Country Status (1)

Country Link
CN (1) CN105608377A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110659491A (zh) * 2019-09-23 2020-01-07 深信服科技股份有限公司 一种计算机系统恢复方法、装置、设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350052A (zh) * 2007-10-15 2009-01-21 北京瑞星国际软件有限公司 发现计算机程序的恶意行为的方法和装置
CN101944167A (zh) * 2010-09-29 2011-01-12 中国科学院计算技术研究所 识别恶意程序的方法及系统
CN103632088A (zh) * 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
US20150199512A1 (en) * 2014-01-13 2015-07-16 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormal behavior

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350052A (zh) * 2007-10-15 2009-01-21 北京瑞星国际软件有限公司 发现计算机程序的恶意行为的方法和装置
CN101944167A (zh) * 2010-09-29 2011-01-12 中国科学院计算技术研究所 识别恶意程序的方法及系统
CN103632088A (zh) * 2012-08-28 2014-03-12 阿里巴巴集团控股有限公司 一种木马检测方法及装置
US20150199512A1 (en) * 2014-01-13 2015-07-16 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormal behavior

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110659491A (zh) * 2019-09-23 2020-01-07 深信服科技股份有限公司 一种计算机系统恢复方法、装置、设备及可读存储介质

Similar Documents

Publication Publication Date Title
CN111277606B (zh) 检测模型训练方法、检测方法及装置、存储介质
CN111159697B (zh) 一种密钥检测方法、装置及电子设备
CN104765874A (zh) 用于检测点击作弊的方法及装置
CN103927307A (zh) 一种识别网站用户的方法和装置
US20200272765A1 (en) Method and apparatus for detecting label data leakage channel
CN111368289B (zh) 一种恶意软件检测方法和装置
CN109600382B (zh) webshell检测方法及装置、HMM模型训练方法及装置
CN103455758A (zh) 恶意网站的识别方法及装置
CN104221009A (zh) 企业级数据管理
CN103618744A (zh) 一种基于快速knn算法的入侵检测方法
CN113132311A (zh) 异常访问检测方法、装置和设备
CN111338692A (zh) 基于漏洞代码的漏洞分类方法、装置及电子设备
CN106301979B (zh) 检测异常渠道的方法和系统
CN106598997B (zh) 一种计算文本主题归属度的方法及装置
CN110855635B (zh) Url识别方法、装置及数据处理设备
CN112016317A (zh) 基于人工智能的敏感词识别方法、装置及计算机设备
CN107609179B (zh) 一种数据处理方法及设备
CN105608377A (zh) 一种信息系统进程安全管理系统及管理方法
CN109359274A (zh) 一种对批量生成的字符串进行识别的方法、装置及设备
US20190156024A1 (en) Method and apparatus for automatically classifying malignant code on basis of malignant behavior information
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
CN109409127B (zh) 网络数据安全策略的生成方法、装置及存储介质
CN113742208A (zh) 一种软件检测方法、装置、设备及计算机可读存储介质
EP3543882B1 (en) Method and system for identifying original data by using data order
CN115001724A (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160525

RJ01 Rejection of invention patent application after publication