CN106980564A - 基于内核hook的进程行为监控方法 - Google Patents
基于内核hook的进程行为监控方法 Download PDFInfo
- Publication number
- CN106980564A CN106980564A CN201710156424.0A CN201710156424A CN106980564A CN 106980564 A CN106980564 A CN 106980564A CN 201710156424 A CN201710156424 A CN 201710156424A CN 106980564 A CN106980564 A CN 106980564A
- Authority
- CN
- China
- Prior art keywords
- user
- monitoring method
- kernel hook
- monitored
- behavior monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Emergency Alarm Devices (AREA)
Abstract
本发明公开基于内核hook的进程行为监控方法,包括:步骤1,用户通过应用层GUI界面设置要监控的程序及行为规则;步骤2,内核hook的驱动程序根据用户的设置实时检测被监控进程的文件操作、注册表操作和创建其它进程操作;步骤3,当用户使用简单规则时,有进程企图执行文件操作、注册表操作和创建其它进程操作时,根据用户设置的行为规则对其操作合法性进行检查,如果合法,则继续执行操作;如果非法,则阻止执行操作;该基于内核hook的进程行为监控方法克服了现有技术中由于种种原因,程序总是存在着漏洞,实现了内核hook的进程的监控。
Description
技术领域
本发明涉及网络安全技术领域,具体地,涉及基于内核hook的进程行为监控方法。
背景技术
程序在数据集合上一次动态执行的过程称之为进程,进程是操作系统进行资源分配的基本单位。其是为某一或某些应用而编写,自身具有很强的专用性和目的性,其预设的功能决定了动态执行的进程对系统资源的操作也是可以被预知的。由于种种原因,程序总是存在着漏洞,利用这些漏洞,病毒、木马或恶意代码可以操纵这些程序对系统资源进行非法滥用,进而危及数据的完整性、保密性、可用性和可控性,最终表现为进程在运行的过程中偏离了正常的轨道,即产生了异常的行为。
进程访问系统资源的类型通常主要有:系统配置资源、文件资源和通信资源等。当程序访问的资源是已知的,固定的,那么进程的行为就是可预测的。需要对内核hook的进程行为进行监控。
发明内容
本发明的目的是提供一种基于内核hook的进程行为监控方法,该基于内核hook的进程行为监控方法克服了现有技术中由于种种原因,程序总是存在着漏洞,实现了内核hook的进程的监控。
为了实现上述目的,本发明提供了一种基于内核hook的进程行为监控方法,该基于内核hook的进程行为监控方法包括:
步骤1,用户通过应用层GUI界面设置要监控的程序及行为规则;
步骤2,内核hook的驱动程序根据用户的设置实时检测被监控进程的文件操作、注册表操作和创建其它进程操作;
步骤3,当用户使用简单规则时,有进程企图执行文件操作、注册表操作和创建其它进程操作时,根据用户设置的行为规则对其操作合法性进行检查,如果合法,则继续执行操作;如果非法,则阻止执行操作;
当用户启用关联分析规则时,则对该进程企图执行文件操作、注册表操作和创建其它进程操作的行为进行关联分析后再做出判断,发现进程异常行为,且判定该进程的征兆权值在阈值范围之内的情况下,对用户进行告警。
优选地,在步骤3中,对用户进行告警的方法包括:通过显示器实现进程的征兆权值的显示。
优选地,将征兆权值绘制成心跳图状,并通过显示器持续进行显示。
优选地,将进程的征兆权值绘制成心跳图状的方法包括:每隔预设时间对进程进行监测,并将监测结果通过显示器进行显示。
优选地,每隔预设时间对进程进行监测的方法包括:每隔预设时间为1-2秒对进程进行监测。
优选地,在步骤3中,判定该进程的征兆权值在阈值范围之内的情况下,显示器弹窗进行显示。
优选地,在步骤3中,判定该进程的征兆权值在阈值范围之内的情况下,判定进程处于高风险状态,并对用户进行告警。
通过上述的实施方式,本文从程序访问的资源入手,从中重点选取了系统配置资源中的注册表、文件资源中文件以及进程创建其它进程这些资源为主要监控点,建立进程和资源二者间的对应关系,实时检测进程访问资源的行为,并对这些行为进行关联分析,通过征兆权值进行进程的判定,当征兆权值不在阈值范围之内的情况下,可以对用户进行告警。
本发明的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是说明本发明的基于内核hook的进程行为监控方法的流程图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
在本发明中,在未作相反说明的情况下,使用的方位词如“上、下、左、右”通常是指如图1所示的上下左右。“内、外”是指具体轮廓上的内与外。“远、近”是指相对于某个部件的远与近。
本发明提供一种基于内核hook的进程行为监控方法,该基于内核hook的进程行为监控方法包括:
步骤1,用户通过应用层GUI界面设置要监控的程序及行为规则;
步骤2,内核hook的驱动程序根据用户的设置实时检测被监控进程的文件操作、注册表操作和创建其它进程操作;
步骤3,当用户使用简单规则时,有进程企图执行文件操作、注册表操作和创建其它进程操作时,根据用户设置的行为规则对其操作合法性进行检查,如果合法,则继续执行操作;如果非法,则阻止执行操作;
当用户启用关联分析规则时,则对该进程企图执行文件操作、注册表操作和创建其它进程操作的行为进行关联分析后再做出判断,发现进程异常行为,且判定该进程的征兆权值在阈值范围之内的情况下,对用户进行告警。
通过上述的实施方式,本文从程序访问的资源入手,从中重点选取了系统配置资源中的注册表、文件资源中文件以及进程创建其它进程这些资源为主要监控点,建立进程和资源二者间的对应关系,实时检测进程访问资源的行为,并对这些行为进行关联分析,通过征兆权值进行进程的判定,当征兆权值不在阈值范围之内的情况下,可以对用户进行告警。
为了实现程序漏洞的监控,防止由于程序的漏洞导致病毒,木马的入侵。
以下结合附图1对本发明进行进一步的说明,在本发明中,为了提高本发明的适用范围,特别使用下述的具体实施方式来实现。
在本发明的一种具体实施方式中,在步骤3中,对用户进行告警的方法可以包括:通过显示器弹窗实现对用户的告警,并且将进程的征兆权值进行显示。
通过上述的方式,可以实现弹窗告警,并且可以对征兆权值进行显示,方便用户读取。
在本发明的一种具体实施方式中,为了方便使用者的使用,方便对于数据的读取,将征兆权值绘制成心跳图状,并通过显示器持续进行显示。
在该种实施方式中,将进程的征兆权值绘制成心跳图状的方法可以包括:每隔预设时间对进程进行监测,并将监测结果通过显示器进行显示。
通过上述的实施方式,可以对进程间隔预设的时间进行监测,监测的时间可以自行设计。
在该种实施方式中,每隔预设时间对进程进行监测的方法包括:每隔预设时间为1-2秒对进程进行监测。
在本发明的一种具体实施方式中,为了实现进程的行为监控,并且实现给用户的提醒,在步骤3中,判定该进程的征兆权值在阈值范围之内的情况下,显示器弹窗进行显示。
在本发明的一种具体实施方式中,在步骤3中,判定该进程的征兆权值在阈值范围之内的情况下,判定进程处于高风险状态,并对用户进行告警。
通过上述的实施方式中,可以实现进程的风险判断,并对用户执行报警。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。
Claims (7)
1.一种基于内核hook的进程行为监控方法,其特征在于,该基于内核hook的进程行为监控方法包括:
步骤1,用户通过应用层GUI界面设置要监控的程序及行为规则;
步骤2,内核hook的驱动程序根据用户的设置实时检测被监控进程的文件操作、注册表操作和创建其它进程操作;
步骤3,当用户使用简单规则时,有进程企图执行文件操作、注册表操作和创建其它进程操作时,根据用户设置的行为规则对其操作合法性进行检查,如果合法,则继续执行操作;如果非法,则阻止执行操作;
当用户启用关联分析规则时,则对该进程企图执行文件操作、注册表操作和创建其它进程操作的行为进行关联分析后再做出判断,发现进程异常行为,且判定该进程的征兆权值在阈值范围之内的情况下,对用户进行告警。
2.根据权利要求1所述的基于内核hook的进程行为监控方法,其特征在于,在步骤3中,对用户进行告警的方法包括:通过显示器实现进程的征兆权值的显示。
3.根据权利要求1所述的基于内核hook的进程行为监控方法,其特征在于,将征兆权值绘制成心跳图状,并通过显示器持续进行显示。
4.根据权利要求3所述的基于内核hook的进程行为监控方法,其特征在于,将进程的征兆权值绘制成心跳图状的方法包括:每隔预设时间对进程进行监测,并将监测结果通过显示器进行显示。
5.根据权利要求4所述的基于内核hook的进程行为监控方法,其特征在于,每隔预设时间对进程的征兆权值进行监测的方法包括:每隔预设时间为1-2秒对进程进行监测。
6.根据权利要求1所述的基于内核hook的进程行为监控方法,其特征在于,在步骤3中,判定该进程的征兆权值在阈值范围之内的情况下,显示器弹窗进行显示。
7.根据权利要求1所述的基于内核hook的进程行为监控方法,其特征在于,在步骤3中,判定该进程的征兆权值在阈值范围之内的情况下,判定进程处于高风险状态,并对用户进行告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710156424.0A CN106980564A (zh) | 2017-03-16 | 2017-03-16 | 基于内核hook的进程行为监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710156424.0A CN106980564A (zh) | 2017-03-16 | 2017-03-16 | 基于内核hook的进程行为监控方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106980564A true CN106980564A (zh) | 2017-07-25 |
Family
ID=59339724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710156424.0A Pending CN106980564A (zh) | 2017-03-16 | 2017-03-16 | 基于内核hook的进程行为监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106980564A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108287779A (zh) * | 2018-01-24 | 2018-07-17 | 郑州云海信息技术有限公司 | 一种Windows启动项监控方法及系统 |
| CN109583206A (zh) * | 2018-11-23 | 2019-04-05 | 杭州迪普科技股份有限公司 | 监控应用程序的访问进程的方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103440189A (zh) * | 2013-08-13 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种基于进程强制运行控制的软件抗死锁方法 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
-
2017
- 2017-03-16 CN CN201710156424.0A patent/CN106980564A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103440189A (zh) * | 2013-08-13 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种基于进程强制运行控制的软件抗死锁方法 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 郝东白等: "基于Hook的程序异常行为检测系统设计与实现", 《计算机工程与设计》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108287779A (zh) * | 2018-01-24 | 2018-07-17 | 郑州云海信息技术有限公司 | 一种Windows启动项监控方法及系统 |
| CN108287779B (zh) * | 2018-01-24 | 2021-07-27 | 郑州云海信息技术有限公司 | 一种Windows启动项监控方法及系统 |
| CN109583206A (zh) * | 2018-11-23 | 2019-04-05 | 杭州迪普科技股份有限公司 | 监控应用程序的访问进程的方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106156619B (zh) | 应用安全防护方法及装置 | |
| TWI676910B (zh) | 顯示人機界面的方法、裝置及系統 | |
| US10069821B2 (en) | Operating method for one-time password with updatable seed | |
| US20150101055A1 (en) | Method, system and terminal device for scanning virus | |
| EP3270319A1 (en) | Method and apparatus for generating dynamic security module | |
| WO2017036345A1 (zh) | 一种信息输入方法和装置 | |
| CN103268447B (zh) | 一种防钓鱼方法及系统 | |
| CN106980564A (zh) | 基于内核hook的进程行为监控方法 | |
| CN111324916A (zh) | 一种数据销毁方法、装置、设备及可读存储介质 | |
| CN109597599A (zh) | 一种显示屏的控制方法、装置、设备以及存储介质 | |
| CN105930728A (zh) | 一种应用审查方法及装置 | |
| CN105653908B (zh) | 一种隐式反调试保护方法 | |
| WO2016192867A1 (de) | Verfahren zum sicheren booten eines computersystems und computersystem | |
| WO2016000323A1 (zh) | 一种运行软键盘的方法、终端及计算机可读存储介质 | |
| CN106161373B (zh) | 一种安全防护信息提示方法、安全监控装置以及系统 | |
| KR101583545B1 (ko) | 상호 디버깅 감시를 이용한 모바일 단말기의 어플리케이션의 보안을 향상시키는 보안 제공 방법 | |
| CN106778160A (zh) | 数据项显示方法及装置 | |
| KR101311367B1 (ko) | 메모리 보호기능 우회 공격 진단 장치 및 방법 | |
| CN104462953B (zh) | 一种信息处理方法及电子设备 | |
| CN107944268A (zh) | 一种针对hid键盘攻击的主机安全防护方法 | |
| WO2016180234A1 (zh) | 一种安全环境构建方法和装置 | |
| CN106973045A (zh) | 网络安全防御处置系统 | |
| CN103902865B (zh) | 一种信息处理的方法及电子设备 | |
| CN113094699A (zh) | 一种安全监测方法、电子设备和计算机可读存储介质 | |
| CN107612939A (zh) | 自助服务终端的安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170725 |