CN109815695A - 进程安全的检测方法、装置及设备 - Google Patents
进程安全的检测方法、装置及设备 Download PDFInfo
- Publication number
- CN109815695A CN109815695A CN201811640544.9A CN201811640544A CN109815695A CN 109815695 A CN109815695 A CN 109815695A CN 201811640544 A CN201811640544 A CN 201811640544A CN 109815695 A CN109815695 A CN 109815695A
- Authority
- CN
- China
- Prior art keywords
- identified
- information
- action rule
- warehouse
- rule warehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Alarm Systems (AREA)
Abstract
本申请公开了一种进程安全的检测方法、装置及设备,涉及信息安全技术领域,可精确找到进程对应的行为规则库,以便实现精确的进程安全识别。其中方法包括:实时监测当前运行的待识别进程;获取所述待识别进程的进程类型;根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,所述行为规则库中包含预先统计的所述待识别进程在不同系统平台运行时的合法行为信息;利用所述行为规则库对所述待识别进程进行安全识别。本申请适用于进程安全的检测。
Description
技术领域
本申请涉及信息安全技术领域,尤其是涉及到一种进程安全的检测方法、装置及设备。
背景技术
随着信息技术的飞速发展,信息安全越来越受到重视。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、个人信息的泄露等。攻击者可通过注入的恶意程序进程进行信息盗用或篡改等,对用户的个人隐私或财产安全等造成一定的威胁。
目前,对于进程安全的检测手段,可利用进程黑名单进行匹配。如果运行的待识别进程出现在进程黑名单中,则将该待识别进程确定为危险进程。然而,这种检测手段很容易通过进程重用名而被攻击者绕过,进而影响了进程安全的检测精确性,从而影响了用户的信息安全。
发明内容
有鉴于此,本申请提供了一种进程安全的检测方法、装置及设备,主要目的在于解决目前现有的进程安全检测手段很容易通过进程重用名而被攻击者绕过,进而会影响进程安全检测精确性的问题。
根据本申请的一个方面,提供了一种进程安全的检测方法,该方法包括:
实时监测当前运行的待识别进程;
获取所述待识别进程的进程类型;
根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,所述行为规则库中包含预先统计的所述待识别进程在不同系统平台运行时的合法行为信息;
利用所述行为规则库对所述待识别进程进行安全识别。
可选的,若所述待识别进程为软件进程的进程类型,则所述根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,具体包括:
计算所述待识别进程的进程文件的MD5值或SHA1值;
利用所述MD5值或所述SHA1值,确定所述待识别进程对应的所述行为规则库,其中每个进程文件MD5值都有各自对应的行为规则库,每个进程文件SHA1值都有各自对应的行为规则库。
可选的,若所述待识别进程为系统进程的进程类型,则所述根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,具体包括:
计算所述待识别进程的进程路径MD5值,并利用所述路径MD5值,确定所述待识别进程对应的所述行为规则库,其中,每个进程路径MD5值都有各自对应的行为规则库;或
在命令行窗口中查询所述待识别进程对应的所述行为规则库。
可选的,所述利用所述行为规则库对所述待识别进程进行安全识别,具体包括:
获取所述待识别进程的当前行为信息;
将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配;
若所述当前行为信息与所述合法行为信息不匹配,则确定所述待识别进程存在危险。
可选的,在所述将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配之前,所述方法还包括:
获取所述当前行为信息对应任务调用的栈特征信息;
依据所述特征信息,确定所述当前行为信息是否为用户主动操作的行为信息;
所述将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配,具体包括:
若所述当前行为信息不是用户主动操作的行为信息,则将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配。
可选的,所述行为规则库中还包含所述待识别进程在不同平台运行时的非法行为信息;
所述若所述当前行为信息与所述合法行为信息不匹配,则确定所述待识别进程存在危险,具体包括:
若所述当前行为信息与所述合法行为信息不匹配、且所述当前行为信息与所述非法行为信息匹配,则确定所述待识别进程存在危险。
可选的,所述方法还包括:
记录软件运行时各自所包含的不同进程的合法行为信息,以及所述软件运行时系统进程的合法行为信息;
按照记录的所述不同进程的合法行为信息和所述系统进程的合法行为信息,生成每个进程对应的行为规则库。
可选的,在所述根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库之前,所述方法还包括:
接收所述待识别进程对应的所述行为规则库的更新信息;
根据所述更新信息对与所述待识别进程对应的所述行为规则库进行更新;
所述根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,具体包括:
根据所述进程类型对应的识别规则,确定所述待识别进程对应的最新的行为规则库。
根据本申请的另一方面,提供了一种进程安全的检测装置,该装置包括:
监测单元,用于实时监测当前运行的待识别进程;
获取单元,用于获取所述待识别进程的进程类型;
确定单元,用于根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,所述行为规则库中包含预先统计的所述待识别进程在不同系统平台运行时的合法行为信息;
识别单元,用于利用所述行为规则库对所述待识别进程进行安全识别。
可选的,所述确定单元,具体用于若所述待识别进程为软件进程的进程类型,则计算所述待识别进程的进程文件的MD5值或SHA1值;
利用所述MD5值或所述SHA1值,确定所述待识别进程对应的所述行为规则库,其中每个进程文件MD5值都有各自对应的行为规则库,每个进程文件SHA1值都有各自对应的行为规则库。
可选的,所述确定单元,具体用于若所述待识别进程为系统进程的进程类型,则计算所述待识别进程的进程路径MD5值,并利用所述路径MD5值,确定所述待识别进程对应的所述行为规则库,其中,每个进程路径MD5值都有各自对应的行为规则库;或
在命令行窗口中查询所述待识别进程对应的所述行为规则库。
可选的,所述识别单元,具体用于获取所述待识别进程的当前行为信息;
将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配;
若所述当前行为信息与所述合法行为信息不匹配,则确定所述待识别进程存在危险。
可选的,所述获取单元,还用于获取所述当前行为信息对应任务调用的栈特征信息;
所述确定单元,还用于依据所述特征信息,确定所述当前行为信息是否为用户主动操作的行为信息;
所述识别单元,具体还用于若所述当前行为信息不是用户主动操作的行为信息,则将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配。
可选的,所述行为规则库中还包含所述待识别进程在不同平台运行时的非法行为信息;
所述识别单元,具体还用于若所述当前行为信息与所述合法行为信息不匹配、且所述当前行为信息与所述非法行为信息匹配,则确定所述待识别进程存在危险。
可选的,所述装置还包括:
记录单元,用于预先记录软件运行时各自所包含的不同进程的合法行为信息,以及所述软件运行时系统进程的合法行为信息;
生成单元,用于按照记录的所述不同进程的合法行为信息和所述系统进程的合法行为信息,生成每个进程对应的行为规则库。
可选的,所述装置还包括:更新单元;
所述获取单元,还用于接收所述待识别进程对应的所述行为规则库的更新信息;
所述更新单元,用于根据所述更新信息对与所述待识别进程对应的所述行为规则库进行更新;
所述确定单元,具体用于根据所述进程类型对应的识别规则,确定所述待识别进程对应的最新的行为规则库。
依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述进程安全的检测方法。
依据本申请再一个方面,提供了一种进程安全检测的实体设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述进程安全的检测方法。
借由上述技术方案,本申请提供的一种进程安全的检测方法、装置及设备,与目前现有的进程安全检测手段相比,本申请可实时监测当前运行的待识别进程,并根据与该待识别进程的进程类型对应的识别规则,确定该待识别进程对应的行为规则库,通过这种方式可找到与该待识别进程具有针对性的行为规则库,这个行为规则库中包含预先统计的该待识别进程在不同系统平台运行时的合法行为信息,进而可利用这个行为规则库中记录的合法行为信息对待识别进程的行为信息进行过滤,实现对待识别进程进行安全识别。整个安全识别过程不容易被被攻击者绕过,可精确检测出进程的安全性,从而保证用户的信息安全。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种进程安全的检测方法的流程示意图;
图2示出了本申请实施例提供的另一种进程安全的检测方法的流程示意图;
图3示出了本申请实施例提供的一种进程安全的检测装置的结构示意图;
图4示出了本申请实施例提供的另一种进程安全的检测装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
针对目前现有的进程安全检测手段很容易通过进程重用名而被攻击者绕过,进而会影响进程安全检测精确性的问题,本实施例提供了一种进程安全的检测方法,如图1所示,该方法包括:
101、实时监测当前运行的待识别进程。
在本实施例中,待识别进程可为系统当前运行的各个进程,或者由用户设置的需要监测是否安全的进程等,具体可根据实际需求而定。
对于本实施例的执行主体可以为进程安全检测的装置或设备,可配置在客户端侧或者服务器侧,可实时监测出存在危险的进程,然后输出告警。具体执行步骤101至104所示的过程。
102、获取待识别进程的进程类型。
其中,进程类型可包括软件进程类型、系统进程类型、网络服务进程类型、本地服务进程类型等。在本实施例中,可通过命令行指令获取待识别进程的进程类型。
103、根据进程类型对应的识别规则,确定待识别进程对应的行为规则库。
其中,行为规则库中包含预先统计的待识别进程在不同系统平台运行时的合法行为信息。该合法行为信息中可包含在用户非主动操作的情况下,待识别进程在系统平台运行时属于正常合法的行为内容。例如,为了保持数据实时显示,待识别进程A需要实时读取文件B中记录的最新数据,且这种行为不会存在安全隐患,目的是为了维护软件正常运行,因此可将该行为确定为正常合法的行为。
对于本实施例,为了适用于不同的业务需求,每个进程类型都有各自对应的识别规则,这些识别规则的内容可根据实际需要预先设定。在本实施例中,通过进程类型对应的识别规则,可找到与该待识别进程具有针对性的行为规则库,以便帮助待识别进程进行精确的安全识别。
104、利用行为规则库对待识别进程进行安全识别。
例如,待识别进程当前在系统平台a中运行,该待识别进程在该系统后台出现了访问数据库文件b的操作,且该操作非用户主动做的,那么可利用上述方式确定得到的与该待识别进程对应的行为规则库进行安全识别。具体可判断该待识别进程在系统平台a中的合法行为中是否包含非用户主动操作而私自访问数据库文件b的操作行为,如果没有包含这种行为,说明待识别进程存在擅自访问其他数据文件的异常行为,可确定待识别进程存在危险或者疑似危险,后续可拦截并输出相应的告警信息(输出形式可包括文字、图片、音频、视频、灯光、振动等),利用这种非白即黑的判别手段,可精确判别进程的安全性。
需要说明的是,在本实施例中,每个进程都可有自身对应的行为规则库,即以进程为粒度,这样可做到最精确的进程安全性判别。但是,前期工作量相对较高,如果是为了信息安全防护角度,进一步的,为了节省一定的工作量,以软件为粒度,可事先统计不同软件分别对应的行为规则库,行为规则库中可包含该软件在不同系统平台运行时的合法行为信息,进而可参照上述实施例方法,利用软件对应的行为规则库实现该软件的安全性检测。
通过应用上述实施过程,与目前现有技术相比,本实施例方法可找到与该待识别进程具有针对性的行为规则库,进而利用这个行为规则库中记录的合法行为信息对待识别进程的行为信息进行过滤,实现对待识别进程进行安全识别。整个安全识别过程不容易被被攻击者绕过,可精确检测出进程的安全性,从而保证用户的信息安全。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例方法的实施过程,提供了另一种进程安全的检测方法,如图2所示,该方法包括:
201、实时监测当前运行的待识别进程。
对于本实施例,除了监测当前运行的待识别进程以外,还可监测当前的运行环境信息(如系统平台标识、系统版本、系统已打补丁情况、以及除了运行待识别进程以外还同时运行了哪些进程等)、所对应的软件信息(如软件名称、版本、开发商等)等。以便针对该运行环境信息和软件信息等,获取更加符合待识别进程运行场景的行为规则库。
202、获取待识别进程的进程类型。
除了通过命令行指令获取待识别进程的进程类型以外,还可通过任务管理器来获取。
203、根据获取到的进程类型对应的识别规则,确定待识别进程对应的行为规则库。
在本实施例中,可实现归纳总行为规则库,该总行为规则库相当于各进程的行为规则库形成的集合体。然后根据与待识别进程的进程类型对应的识别规则,从总行为规则库中获取待识别进程对应的行为规则库。
为了说明步骤203的具体实现过程,示例性的,作为一种可选方式,若待识别进程为软件进程的进程类型,则步骤203具体可包括:计算待识别进程的进程文件的消息摘要算法第五版(Message-Digest Algorithm 5,MD5)值或安全哈希算法(Secure HashAlgorithm,SHA1)值;然后利用计算得到的进程文件MD5值或SHA1值,确定待识别进程对应的行为规则库。
对于本优选方式,每个进程文件MD5值都有各自对应的行为规则库,每个进程文件SHA1值都有各自对应的行为规则库,而这些映射关系可事先编辑统计得到。通过计算得到的待识别进程的进程文件的MD5值或SHA1值,可从总行为规则库中准确获取得到该软件进程对应的行为规则库,以便利用获取得到的行为规则库对该软件进程进行准确的安全识别。可使软件进程的安全识别的行为规则范围大大缩小,提升软件进程安全识别的效率。
需要说明的是,不同版本软件的同一待识别进程的合法行为信息会有所不同,因此相应的行为规则库也会不同,通过这种利用进程文件MD5值或SHA1值(不同版本软件的同一待识别进程会有所不同)可精确找到对应行为规则库,帮助待识别进程进行精确的安全识别。
除了上述可选方式以外,若待识别进程为系统进程的进程类型,作为另一种可选方式,则步骤203具体可包括:计算待识别进程的进程路径MD5值,并利用该路径MD5值,确定待识别进程对应的行为规则库,其中,每个进程路径MD5值都有各自对应的行为规则库;或在命令行窗口中查询待识别进程对应的行为规则库。
由于系统进程不容易被攻击者修改,其安全性相对较高,且系统不同版本的同一系统进程大致相同,因此为了节省前期的工作量,可无需针对系统每个版本的同一系统进程都事先统计各自对应的行为规则库,将系统每个版本的同一系统进程按照统一的行为规则库进行合法行为信息的汇总,然后记录该系统进程的路径MD5值与这个统一的行为规则库之间的映射关系。在上述另一种可选方式中,通过计算得到的系统进程的路径MD5值,可从总行为规则库中准确获取得到该系统进程对应的行为规则库,或者可在命令行窗口中获取该系统进程对应的行为规则库,利用这两种方式获取得到的行为规则库都对该系统进程进行准确的安全识别。可使系统进程的安全识别的行为规则范围大大缩小,提升系统进程安全识别的效率。
进一步的,为了得到各个进程更加全面准确的行为规则库,作为一种可选方式,本实施例方法还可包括:记录软件运行时各自所包含的不同进程的合法行为信息,以及该软件运行时系统进程的合法行为信息;然后按照记录的不同进程的合法行为信息和相应的系统进程的合法行为信息,生成每个进程对应的行为规则库。
其中,该软件可根据实际业务需求选择设定,并且为了得到更加全面的结果,可取当前市场上已发行的、正在发行和将要发行的这些软件进行测试。测试过程中排除用户主动操作的事件,记录这些软件进程在运行时的被动事件,找到不存在安全风险的合法行为信息,并生成各自对应的行为规则库。并且测试软件的过程中,同时监控系统进程的合法行为信息,以便相应生成系统进程的行为规则库。记录过程中,可从文件(如待识别进程对某文件的读、写、改名等操作)、进程(如待识别进程对某进程的启动、停止、注入、启动相应线程等操作)、网络(如待识别进程对网络的域名、协议的更改操作等)、注册表(如待识别进程对注册表的读、写等操作)、驱动(如待识别进程对某驱动的读、卸载、安装等操作)等五个主要方面进行记录该进程相应的合法行为信息。
为了满足进程对应行为规则库的更新需求,作为一种可选方法,在步骤203之前,还可包括:接收待识别进程对应的行为规则库的更新信息;根据接收到的更新信息对与待识别进程对应的行为规则库进行更新;相应的,为了得到包含更加准确的进程合法行为信息的行为规则库,步骤203具体可包括:根据进程类型对应的识别规则,确定待识别进程对应的最新的行为规则库。进而可保证需要安全识别的待识别进程利用的都是与其对应的最新的行为规则库,从而保证安全识别准确性。
在得到待识别进程对应的行为规则库后,下面具体说明进程安全识别的过程,具体可执行步骤204至206所示的过程。
204、获取待识别进程的当前行为信息。
其中,当前行为信息中可包含待识别进程当前的行为内容是什么,如当前正在读取某文件,或者当前正在启动某进程等。
205、将获取到的当前行为信息与行为规则库中的合法行为信息进行匹配。
如果获取到的当前行为信息与行为规则库中的合法行为信息匹配,那么可确定待识别进程当前不存在危险,后续可持续对其进行监测,获取实时的行为信息进行安全识别,以便及时发现存在的风险。如果获取到的当前行为信息与行为规则库中的合法行为信息不匹配,可执行步骤206所示的过程。
为了实现更加精确的进程安全识别,预先统计各进程的行为规则库时,在进程对应的行为规则库中可相应保存不同运行环境信息和软件信息下的合法行为信息。这样在步骤205中的行为信息匹配时,利用行为规则库中待识别进程当前的运行环境信息和所对应的软件信息下的合法行为信息,与待识别进程的当前行为信息进行匹配,这样可实现更加符合待识别进程运行场景的行为匹配,进而可提高进程安全识别的精确度。
由于有时待识别进程的操作行为是由用户主动操作所产生的,在此情况下,对该待识别进程在利用上述行为规则库中的合法行为信息进行校验是无效的,只有在用户非主动操作的情况下才能利用本实施例方法实现准确的进程安全识别。因此为了准确判定待识别进程的当前行为信息是否是用户主动操作的,作为一种可选方式,在步骤205之前,还可包括:获取当前行为信息对应任务调用的栈特征信息;然后依据该特征信息,确定当前行为信息是否为用户主动操作的行为信息。相应的,步骤205具体可包括:若当前行为信息不是用户主动操作的行为信息,则将当前行为信息与行为规则库中的合法行为信息进行匹配。
任务调用的栈特征信息中可包含执行待识别进程对应的当前行为而在内存中的调用特征,具体可包含任务调用执行该当前行为时的各个功能接口函数以及这些功能接口函数之间的调用顺序。对于本可选方式,可事先统计符合用户主动操作时这些功能接口函数之间的正常调用顺序,然后再判断待识别进程的当前行为是否是用户主动操作时,可判断此时的这些功能接口函数之间的调用顺序是否与该正常调用顺序匹配,如果匹配,那么就可确定是用户主动操作的行为,此时可不执行本实施例的方法来对待识别进程安全进行识别,进而避免出现误报的情况;如果这些功能接口函数之间的调用顺序与该正常调用顺序不匹配,那么就可确定是非用户主动操作的行为,后续可利用本实施例中的方法实现待识别进程的安全识别。
206、若待识别进程的当前行为信息与合法行为信息不匹配,则确定待识别进程存在危险。
进一步的,可输出相应的告警信息,告知用户待识别进程存在危险或者疑似存在危险等。并将该待识别进程暂时关闭,待用户确认无风险后再重新启动。
对于本实施例,为了进一步提高进程安全判别的准确性,可选的,行为规则库中还可包含待识别进程在不同平台运行时的非法行为信息,这些非法行为信息也同上述方式类似可预先统计得到;相应的,步骤206具体可包括:若待识别进程的当前行为信息与相应行为规则库中的合法行为信息不匹配、且该当前行为信息与相应行为规则库中的非法行为信息匹配,则确定待识别进程存在危险。通过这种方式可更加准确的判别出进程的安全性。
对于实施例的方案,若待识别的进程为软件进程,则可根据该软件进程的进程文件MD5/SHA1值等手段找到其对应的行为规则库;若待识别的进程为系统进程,则根据该系统进程的进程路径MD5值以及命令行等找到其对应的行为规则库。以便利用获取得到的行为规则库对该待识别的进程进行准确的安全识别。可使待识别进程的安全识别的行为规则范围大大缩小,提升待识别进程安全识别的效率。整个安全识别过程不容易被被攻击者绕过,可精确检测出待识别进程的安全性,从而保证用户的信息安全。
进一步的,作为图1和图2所示方法的具体实现,本实施例提供了一种进程安全的检测装置,如图3所示,该装置包括:监测单元31、获取单元32、确定单元33、识别单元34。
监测单元31,可用于实时监测当前运行的待识别进程;
获取单元32,可用于获取待识别进程的进程类型;
确定单元33,可用于根据进程类型对应的识别规则,确定待识别进程对应的行为规则库,行为规则库中包含预先统计的待识别进程在不同系统平台运行时的合法行为信息;
识别单元34,可用于利用行为规则库对待识别进程进行安全识别。
在具体的应用场景中,确定单元33,具体可用于若待识别进程为软件进程的进程类型,则计算待识别进程的进程文件的MD5值或SHA1值;然后利用MD5值或SHA1值,确定待识别进程对应的行为规则库,其中每个进程文件MD5值都有各自对应的行为规则库,每个进程文件SHA1值都有各自对应的行为规则库。
在具体的应用场景中,确定单元33,具体可用于若待识别进程为系统进程的进程类型,则计算待识别进程的进程路径MD5值,并利用路径MD5值,确定待识别进程对应的行为规则库,其中,每个进程路径MD5值都有各自对应的行为规则库;或在命令行窗口中查询待识别进程对应的行为规则库。
在具体的应用场景中,识别单元34,具体可用于获取待识别进程的当前行为信息;将当前行为信息与行为规则库中的合法行为信息进行匹配;若当前行为信息与合法行为信息不匹配,则确定待识别进程存在危险。
在具体的应用场景中,获取单元32,还可用于获取当前行为信息对应任务调用的栈特征信息;
确定单元33,还可用于依据特征信息,确定当前行为信息是否为用户主动操作的行为信息;
识别单元34,具体还可用于若当前行为信息不是用户主动操作的行为信息,则将当前行为信息与行为规则库中的合法行为信息进行匹配。
在具体的应用场景中,行为规则库中还包含待识别进程在不同平台运行时的非法行为信息;相应的,识别单元34,具体还可用于若当前行为信息与合法行为信息不匹配、且当前行为信息与非法行为信息匹配,则确定待识别进程存在危险。
在具体的应用场景中,如图4所示,本装置还可包括:记录单元35、生成单元36;
记录单元35,可用于预先记录软件运行时各自所包含的不同进程的合法行为信息,以及软件运行时系统进程的合法行为信息;
生成单元36,可用于按照记录的不同进程的合法行为信息和系统进程的合法行为信息,生成每个进程对应的行为规则库。
在具体的应用场景中,如图4所示,本装置还可包括:更新单元37;
获取单元32,还可用于接收待识别进程对应的行为规则库的更新信息;
更新单元37,可用于根据更新信息对与待识别进程对应的行为规则库进行更新;
确定单元33,具体可用于根据进程类型对应的识别规则,确定待识别进程对应的最新的行为规则库。
需要说明的是,本实施例提供的一种进程安全的检测装置所涉及各功能单元的其它相应描述,可以参考图1至图2中的对应描述,在此不再赘述。
基于上述如图1和图2所示方法,相应的,本实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1和图2所示的进程安全的检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1和图2所示的方法,以及图3、图4所示的虚拟装置实施例,为了实现上述目的,本实施例还提供了一种进程安全检测的实体设备,具体可以为个人计算机,智能手机、平板电脑、智能手表,服务器,或者其它网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1和图2所示的进程安全的检测方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种进程安全检测设备的结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述进程安全检测的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,若待识别的进程为软件进程,则可根据该软件进程的进程文件MD5/SHA1值等手段找到其对应的行为规则库;若待识别的进程为系统进程,则根据该系统进程的进程路径MD5值以及命令行等找到其对应的行为规则库。以便利用获取得到的行为规则库对该待识别的进程进行准确的安全识别。可使待识别进程的安全识别的行为规则范围大大缩小,提升待识别进程安全识别的效率。整个安全识别过程不容易被被攻击者绕过,可精确检测出待识别进程的安全性,从而保证用户的信息安全。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (10)
1.一种进程安全的检测方法,其特征在于,包括:
实时监测当前运行的待识别进程;
获取所述待识别进程的进程类型;
根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,所述行为规则库中包含预先统计的所述待识别进程在不同系统平台运行时的合法行为信息;
利用所述行为规则库对所述待识别进程进行安全识别。
2.根据权利要求1所述的方法,其特征在于,若所述待识别进程为软件进程的进程类型,则所述根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,具体包括:
计算所述待识别进程的进程文件的MD5值或SHA1值;
利用所述MD5值或所述SHA1值,确定所述待识别进程对应的所述行为规则库,其中每个进程文件MD5值都有各自对应的行为规则库,每个进程文件SHA1值都有各自对应的行为规则库。
3.根据权利要求1所述的方法,其特征在于,若所述待识别进程为系统进程的进程类型,则所述根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,具体包括:
计算所述待识别进程的进程路径MD5值,并利用所述路径MD5值,确定所述待识别进程对应的所述行为规则库,其中,每个进程路径MD5值都有各自对应的行为规则库;或
在命令行窗口中查询所述待识别进程对应的所述行为规则库。
4.根据权利要求1所述的方法,其特征在于,所述利用所述行为规则库对所述待识别进程进行安全识别,具体包括:
获取所述待识别进程的当前行为信息;
将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配;
若所述当前行为信息与所述合法行为信息不匹配,则确定所述待识别进程存在危险。
5.根据权利要求4所述的方法,其特征在于,在所述将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配之前,所述方法还包括:
获取所述当前行为信息对应任务调用的栈特征信息;
依据所述特征信息,确定所述当前行为信息是否为用户主动操作的行为信息;
所述将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配,具体包括:
若所述当前行为信息不是用户主动操作的行为信息,则将所述当前行为信息与所述行为规则库中的所述合法行为信息进行匹配。
6.根据权利要求4所述的方法,其特征在于,所述行为规则库中还包含所述待识别进程在不同平台运行时的非法行为信息;
所述若所述当前行为信息与所述合法行为信息不匹配,则确定所述待识别进程存在危险,具体包括:
若所述当前行为信息与所述合法行为信息不匹配、且所述当前行为信息与所述非法行为信息匹配,则确定所述待识别进程存在危险。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
记录软件运行时各自所包含的不同进程的合法行为信息,以及所述软件运行时系统进程的合法行为信息;
按照记录的所述不同进程的合法行为信息和所述系统进程的合法行为信息,生成每个进程对应的行为规则库。
8.一种进程安全的检测装置,其特征在于,包括:
监测单元,用于实时监测当前运行的待识别进程;
获取单元,用于获取所述待识别进程的进程类型;
确定单元,用于根据所述进程类型对应的识别规则,确定所述待识别进程对应的行为规则库,所述行为规则库中包含预先统计的所述待识别进程在不同系统平台运行时的合法行为信息;
识别单元,用于利用所述行为规则库对所述待识别进程进行安全识别。
9.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任一项所述的进程安全的检测方法。
10.一种进程安全的检测设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的进程安全的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640544.9A CN109815695A (zh) | 2018-12-29 | 2018-12-29 | 进程安全的检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811640544.9A CN109815695A (zh) | 2018-12-29 | 2018-12-29 | 进程安全的检测方法、装置及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109815695A true CN109815695A (zh) | 2019-05-28 |
Family
ID=66603089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811640544.9A Pending CN109815695A (zh) | 2018-12-29 | 2018-12-29 | 进程安全的检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109815695A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110232276A (zh) * | 2019-06-03 | 2019-09-13 | 浙江大华技术股份有限公司 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
| CN111753301A (zh) * | 2020-07-01 | 2020-10-09 | 深信服科技股份有限公司 | 一种无文件攻击检测方法、装置、电子设备和介质 |
| CN112003835A (zh) * | 2020-08-03 | 2020-11-27 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
| CN113536307A (zh) * | 2021-06-10 | 2021-10-22 | 安徽安恒数智信息技术有限公司 | 凭据扫描进程的识别方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103577301A (zh) * | 2012-07-20 | 2014-02-12 | 腾讯科技(深圳)有限公司 | 一种显示进程信息的方法和终端 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
| CN106548048A (zh) * | 2016-10-28 | 2017-03-29 | 北京优炫软件股份有限公司 | 一种用于进程控制的方法、装置与系统 |
| US20180204021A1 (en) * | 2005-05-31 | 2018-07-19 | Kurt James Long | System and method for detecting fraud and misuse of protected data by an authorized user using event logs |
-
2018
- 2018-12-29 CN CN201811640544.9A patent/CN109815695A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180204021A1 (en) * | 2005-05-31 | 2018-07-19 | Kurt James Long | System and method for detecting fraud and misuse of protected data by an authorized user using event logs |
| CN103577301A (zh) * | 2012-07-20 | 2014-02-12 | 腾讯科技(深圳)有限公司 | 一种显示进程信息的方法和终端 |
| CN103955645A (zh) * | 2014-04-28 | 2014-07-30 | 百度在线网络技术(北京)有限公司 | 恶意进程行为的检测方法、装置及系统 |
| CN106548048A (zh) * | 2016-10-28 | 2017-03-29 | 北京优炫软件股份有限公司 | 一种用于进程控制的方法、装置与系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110232276A (zh) * | 2019-06-03 | 2019-09-13 | 浙江大华技术股份有限公司 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
| CN111753301A (zh) * | 2020-07-01 | 2020-10-09 | 深信服科技股份有限公司 | 一种无文件攻击检测方法、装置、电子设备和介质 |
| CN111753301B (zh) * | 2020-07-01 | 2024-04-09 | 深信服科技股份有限公司 | 一种无文件攻击检测方法、装置、电子设备和介质 |
| CN112003835A (zh) * | 2020-08-03 | 2020-11-27 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
| CN112003835B (zh) * | 2020-08-03 | 2022-10-14 | 奇安信科技集团股份有限公司 | 安全威胁的检测方法、装置、计算机设备和存储介质 |
| CN113536307A (zh) * | 2021-06-10 | 2021-10-22 | 安徽安恒数智信息技术有限公司 | 凭据扫描进程的识别方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109871691B (zh) | 基于权限的进程管理方法、系统、设备及可读存储介质 | |
| CN109815695A (zh) | 进程安全的检测方法、装置及设备 | |
| US20200394327A1 (en) | Data security compliance for mobile device applications | |
| US20180137288A1 (en) | System and method for modeling security threats to prioritize threat remediation scheduling | |
| CN109831420A (zh) | 内核进程权限的确定方法及装置 | |
| US20210160249A1 (en) | Systems and methods for role-based computer security configurations | |
| JP6703616B2 (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| CN108763951B (zh) | 一种数据的保护方法及装置 | |
| CN109409087B (zh) | 防提权检测方法及设备 | |
| CN113591159A (zh) | 一种可信度量方法和可信计算节点 | |
| US11416601B2 (en) | Method and system for improved data control and access | |
| CN109684863B (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN110941825B (zh) | 一种应用监控方法及装置 | |
| CN116881979A (zh) | 数据安全合规的检测方法、装置及设备 | |
| US11651313B1 (en) | Insider threat detection using access behavior analysis | |
| CN110677483B (zh) | 信息处理系统和可信安全管理系统 | |
| CN115567218A (zh) | 基于区块链的安全证书的数据处理方法、装置和服务器 | |
| CN111090835B (zh) | 一种文件衍生图的构建方法及装置 | |
| RU2700185C1 (ru) | Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы | |
| US20240163287A1 (en) | Secure reuse of cloud at customer hardware | |
| US11693651B1 (en) | Static and dynamic correlation of software development pipeline events | |
| CN117195297B (zh) | 基于erp的数据安全与隐私保护系统及方法 | |
| CN113742664B (zh) | 监控、审计方法、设备及系统 | |
| CN116578994B (zh) | 数据安全的操作方法、计算机设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190528 |