CN110362993A - 恶意进程识别方法、终端、服务器、系统及存储介质 - Google Patents

恶意进程识别方法、终端、服务器、系统及存储介质 Download PDF

Info

Publication number
CN110362993A
CN110362993A CN201910604528.2A CN201910604528A CN110362993A CN 110362993 A CN110362993 A CN 110362993A CN 201910604528 A CN201910604528 A CN 201910604528A CN 110362993 A CN110362993 A CN 110362993A
Authority
CN
China
Prior art keywords
information
protocol packet
reset protocol
creation
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910604528.2A
Other languages
English (en)
Inventor
林委坤
董志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910604528.2A priority Critical patent/CN110362993A/zh
Publication of CN110362993A publication Critical patent/CN110362993A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种恶意进程识别方法、终端、服务器、系统及存储介质,所述方法包括:将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;基于所述套接字,监听所述进程的创建信息;基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;向服务器发送所述进程协议包,以使所述服务器识别恶意进程;采用本申请的技术方案,不管进程为长进程还是短进程,都可根据套接字监听到,不会遗漏终端中任一短进程的监控;可以在较低的资源消耗下提高恶意进程的识别效率,且降低了恶意进程的漏查率。

Description

恶意进程识别方法、终端、服务器、系统及存储介质
技术领域
本申请涉及互联网通信技术领域,尤其涉及一种恶意进程识别方法、终端、服务器、系统及存储介质。
背景技术
现有技术将客户端的进程监控数据组包后,通过网络发送到后台服务器。在这个过程中,如果包被黑客截取了,黑客可以通过不断复制的方式,对后台服务器进行重放攻击,可能导致后台服务器的业务崩溃,所以需要对进程进行监控,识别出恶意进程并进行拦截。
现有的进程监控方法是通过搜集不同时间点的进程数据,从而对进程进行监控。当数据的采集频率不高时,很容易漏掉较短进程的数据,因此,采用这种方法得到的监控数据用于数据的回溯是远远不够的。如果通过提高数据的采集频率来降低误差,那么必然会占用本地大量的CPU资源,还会占用大量的网络带宽,资源消耗较高。
因此,有必要提供一种恶意进程识别方法、终端、服务器、系统及存储介质,在较低的资源消耗下提高恶意进程的识别效率,降低恶意程序的漏查率。
发明内容
本申请提供了一种恶意进程识别方法、终端、服务器、系统及存储介质,可以在较低的资源消耗下提高恶意进程的识别效率,降低恶意程序的漏查率。
一方面,本申请提供了一种恶意进程识别方法,所述方法包括:
将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;
基于所述套接字,监听所述进程的创建信息;
基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
向服务器发送所述进程协议包,以使所述服务器识别恶意进程。
另一方面提供了一种恶意进程识别方法,所述方法包括:
接收终端发送的进程协议包;所述进程协议包为所述终端基于监听到的进程的创建信息中的标识信息构建而成的协议包,所述监听到的进程的创建信息为所述终端基于套接字监听得到的创建信息,所述套接字与所述进程的消息源信息绑定,所述进程的消息源信息包括所述进程的创建信息;
基于所述进程协议包,识别恶意进程。
另一方面提供了一种恶意进程识别终端,所述终端包括:
消息源信息绑定模块,用于将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;
创建信息监听模块,用于基于所述套接字,监听所述进程的创建信息;
进程协议包构建模块,用于基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
进程协议包发送模块,用于向服务器发送所述进程协议包,以使所述服务器识别恶意进程。
另一方面提供了一种恶意进程识别服务器,所述服务器包括:
进程协议包接收模块,用于接收终端发送的进程协议包;所述进程协议包为所述终端基于监听到的进程的创建信息中的标识信息构建而成的协议包,所述监听到的进程的创建信息为所述终端基于套接字监听得到的创建信息,所述套接字与所述进程的消息源信息绑定,所述进程的消息源信息包括所述进程的创建信息;
恶意进程识别模块,用于基于所述进程协议包,识别恶意进程。
另一方面提供了一种恶意进程识别系统,所述系统包括终端和服务器,
所述终端,用于将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;以及基于所述套接字,监听所述进程的创建信息;以及基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;以及向服务器发送所述进程协议包;
所述服务器,用于基于所述进程协议包识别恶意进程。
另一方面提供了一种恶意进程识别终端,所述终端包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述的恶意进程识别方法。
另一方面提供了一种恶意进程识别服务器,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述的恶意进程识别方法。
另一方面提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上所述的恶意进程识别方法。
本申请提供的恶意进程识别方法、终端、服务器、系统及存储介质,具有如下技术效果:
本申请将进程的消息源信息与套接字进行绑定,并基于所述套接字,监听所述进程的创建信息;不管进程为长进程还是短进程,都可根据套接字监听到,不会遗漏终端中任一短进程的监控;然后基于监听到的进程的创建信息中的标识信息,构建进程协议包,并向服务器发送所述进程协议包,以使所述服务器识别恶意进程;采用本申请的技术方案,可以在较低的资源消耗下提高恶意进程的识别效率,且降低了恶意进程的漏查率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本申请实施例提供的一种系统的示意图;
图2是本申请实施例提供的一种恶意进程识别方法的流程示意图;
图3是本申请实施例提供的终端监听进程的消息源信息方法的流程示意图;
图4是本申请实施例提供的终端基于进程的标识信息确定进程属性信息方法的流程示意图;
图5是本申请实施例提供的服务器确定进程协议包合法性方法的流程示意图;
图6是本申请实施例提供的用户端进程监控的实时数据展示界面;
图7是本申请实施例提供的另一种恶意进程识别方法的流程示意图;
图8是本申请实施例提供的另一种恶意进程识别方法的流程示意图;
图9是本申请实施例提供的一种恶意进程识别终端的结构示意图;
图10是本申请实施例提供的一种恶意进程识别服务器的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅图1,图1是本申请实施例提供的一种系统的示意图,如图1所示,该系统可以至少包括服务器01和客户端02。
具体的,本说明书实施例中,所述服务器01可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。服务器01可以包括有网络通信单元、处理器和存储器等等。具体的,所述服务器01可以用于为所述客户端02提供后台服务,具体的,所述服务器01可以用于识别所述客户端02中的恶意进程。
具体的,本说明书实施例中,所述客户端02可以包括智能手机、台式电脑、平板电脑、笔记本电脑、数字助理、智能可穿戴设备等类型的实体设备,也可以包括运行于实体设备中的软体,例如一些服务商提供给用户的网页页面,也可以为该些服务商提供给用户的应用。具体的,所述客户端02可以用于监听进程的创建信息。
以下介绍本申请基于上述系统的恶意进程识别方法,图2是本申请实施例提供的一种恶意进程识别方法的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图2所示,所述方法可以包括:
S201:终端将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息。
在本说明书实施例中,所述进程可以为所述终端中应用程序对应的进程。
在本说明书实施例中,所述进程的消息源信息可以为所述终端中所有进程的消息源信息;当有多个进程时,将多个进程的的消息源信息与套接字进行绑定,从而采用套接字对所述多个进程进行监控。
在本说明书实施例中,如图3所示,所述终端将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息的步骤之前,所述方法还可以包括:
所述终端创建套接字(socket),所述套接字类型为连接器。
在本说明书实施例中,所述进程的消息源信息还可以包括进程退出信息、进程权限变化信息等。
在本说明书实施例中,所述进程的创建信息包括进程的标识信息;例如,所述进程的标识信息可以为所述进程的ID、名称等。
S203:所述终端基于所述套接字,监听所述进程的创建信息。
在一些实施方式中,如图3所示,可以通过控制进程事件报告开关来确定是否监听终端中进程的创建信息;当打开进程事件报告开关后,进程事件处理器开始对终端中进程的创建信息进行监听;当关闭进程事件报告开关后,进程事件处理器停止对终端中进程的创建信息进行监听。
在本说明书实施例中,当用户完全信任终端中应用程序时,可以选择不对终端中进程进行监听,从而减少对网络带宽的占用;因此,用户可以根据实际需求,确定是否对进程的创建信息进行监控。
在本说明书实施例中,所述终端基于所述套接字,监听所述进程的创建信息可以包括:
所述终端基于所述套接字,监听所述进程的消息源信息;
所述终端基于所述进程的消息源信息,获取所述进程的创建信息。
在本说明书实施例中,将进程的消息源信息与套接字进行绑定,并基于所述套接字,监听所述进程的创建信息;不管进程为长进程还是短进程,都可根据套接字监听到,不会遗漏终端中任一短进程的监控。
S205:所述终端基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
在本说明书实施例中,所述进程的属性信息可以包括所述进程的名称、进程当前的消息摘要算法(md5)、进程的路径、进程打开的资源(例如socket句柄)。
在本说明书实施例中,所述终端基于监听到的进程的创建信息中的标识信息,构建进程协议包可以包括:
S2051:所述终端基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息;
S2053:所述终端基于所述进程的属性信息,构建所述进程协议包。
具体的,在一些实施方式中,由于终端中系统发送到应用层的事件,一般只包含进程的ID信息。如果要获取进程的其他属性信息,需要进程事件处理器到系统的/proc目录下查询,这样处理器就会比较繁忙,因此,可以通过一个单独的线程来获取进程的属性信息,避免主线程卡死。
在一些实施例中,如图4所示,所述终端基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息可以包括:
S20511:所述终端基于所述监听到的进程的创建信息中的标识信息(PID),遍历与所述标识信息对应进程的文件描述符(FD)目录,确定所述进程的第一索引节点号(PInode);
在一些实施例中,所述FD目录的存储路径可以为/proc/$PID/fd;
S20513:所述终端遍历网络文件,确定网络的第二索引节点号列表;
在本说明书实施例中,所述网络文件对应的存储路径可以为/proc/net/tcp或/proc/net/udp;
在本说明书实施例中,所述网络的第二索引节点号列表中包括所述网络中多个文件对应的多个第二索引节点号(NInode)。
S20515:当所述第二索引节点号列表中存在与所述第一索引节点号相同的第二索引节点号时,所述终端获取所述第二索引节点号对应的网络端口号;
所述步骤S20515之前还可以包括以下步骤:
S20514:所述终端判断所述第二索引节点号列表中是否存在与所述第一索引节点号相同的第二索引节点号。
在一些实施方式中,所述方法还可以包括:
当所述第二索引节点号列表中不存在与所述第一索引节点号相同的第二索引节点号时,所述终端继续查找下一个进程的第一索引节点号,通过迭代继续匹配。
S20517:所述终端基于所述网络端口号,确定与所述第一索引节点号对应进程的属性信息。
在本说明书实施例中,当在某个网络端口发现异常信息时,可以通过回溯查询对应的恶意进程。
在一些实施例中,所述终端基于所述进程的属性信息,构建所述进程协议包的步骤之前,所述方法还可以包括:
所述终端判断所述监听到的进程的创建信息中的标识信息是否在黑进程列表中,所述黑进程列表中存储恶意进程的标识信息;
在一些实施例中,所述方法还可以包括:
所述服务器创建黑进程列表;
具体的,所述服务器可以基于识别出的恶意进程,创建所述黑进程列表。
所述服务器向所述终端发送所述黑进程列表。
相应的,所述终端基于所述进程的属性信息,构建所述进程协议包包括:
在本说明书实施例中,当所述监听到的进程的创建信息中的标识信息在所述黑进程列表中时,所述终端基于所述进程的属性信息以及预设协议,构建所述进程协议包;
在本说明书实施例中,所述预设协议可以为所述终端与所述服务器预先约定好的协议,具体可以为超文本传输(http)协议或传输控制(tcp)协议。
在本说明书实施例中,当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,所述终端确定所述进程协议包的第一时间戳信息和签名信息;
所述终端基于所述进程的属性信息、所述第一时间戳信息Tc、所述签名信息以及预设协议,构建所述进程协议包。
在本说明书实施例中,所述签名信息可以基于所述终端与所述服务器约定的密钥进行设置。时间戳(timestamp),unix时间戳,为从格林威治时间1970年01月01日00时00分00秒(北京时间1970年01月01日08时00分00秒)起至现在的总秒数。签名信息(sign)是由密钥(key)和时间戳的字符串拼接起来计算得到的md5。其中的key是登录过程中终端和服务器协商得到的。
在本说明书实施例中,终端可以通过黑进程列表,对本地的进程进行筛选识别,当终端识别出黑进程时,直接组成协议包向服务器上报记录日志,从而便于用户后续查询;当终端无法识别进程时,则通过终端与服务器约定的方式组协议包并上报服务器,从而便于服务器识别出恶意协议包。
在本说明书实施例中,所述终端基于监听到的进程的创建信息中的标识信息,构建进程协议包包括:
所述终端判断所述监听到的进程的创建信息中的标识信息是否在白进程列表中,所述白进程列表中存储合法进程的标识信息;
当所述监听到的进程的创建信息中的标识信息不在所述白进程列表中时,所述终端执行基于所述监听到的进程的创建信息中的标识信息,所述终端构建所述进程协议包。
在一些实施例中,所述方法还可以包括:
所述服务器创建白进程列表;
具体的,所述服务器可以基于用户信任的进程或通过识别的合法进程,设置白进程列表;
所述服务器向所述终端发送所述白进程列表。
在本说明书实施例中,所述终端可以通过白进程列表,筛选出信任的合法进程,对于合法进程,则不需要将其发送给服务器进行确认。
S207:所述终端向服务器发送所述进程协议包。
S209:所述服务器基于所述进程协议包,识别恶意进程。
在本说明书实施例中,当所述监听到的进程的创建信息中的标识信息不在黑进程列表中时,所述服务器基于所述进程协议包,识别恶意进程可以包括:
S2091:所述服务器解析所述进程协议包,确定所述进程协议包的合法性;
S2093:当所述进程协议包不合法时,所述服务器确定所述进程协议包对应的进程为恶意进程。
在一些实施例中,如图5所示,所述服务器解析所述进程协议包,确定所述进程协议包的合法性包括:
S20911:所述服务器解析所述进程协议包,获取所述进程协议包的第一时间戳信息Tc和签名信息;
S20913:所述服务器判断所述服务器的当前时间Ts与所述第一时间戳信息Tc对应时间的差值(Ts-Tc)是否小于等于第一预设阈值;
S20915:若是,所述服务器基于本地的密钥验证所述签名信息是否合法;
所述服务器基于本地的密钥验证所述签名信息是否合法;
相应的,若否,所述服务器确定所述进程协议包不合法,并记录日志。
S20917:若所述签名信息合法,所述服务器解析所述签名信息,确定第二时间戳信息Tr;
若否,所述服务器确定所述进程协议包不合法,并记录日志。
S20919:所述服务器判断所述第二时间戳信息Tr与所述第一时间戳信息Tc对应时间的差值(Tr-Tc)是否小于等于第二预设阈值;
S209111:若是,所述服务器确定所述进程协议包合法。
若否,所述服务器确定所述进程协议包不合法,并记录日志。
在本说明书实施例中,所述方法还可以包括:
当所述进程为恶意进程时,所述服务器删除所述恶意进程对应的协议包,并向所述终端发送提示信息。
在一些实施方式中,所述终端接收到提示信息后,可以对恶意进程进行拦截,从而避免恶意进程对服务器进行回放攻击。
在本说明书实施例中,所述恶意进程的识别方法可以应用于Linux系统中,所述方法可以通过云主机软件来实现,云主机软件是一个管理软件,在主机上不会有任何表现,而是在用户的控制台上,给予用户实时的数据展示。图6为用户端进程监控的实时数据展示界面,用户可以直观地看到终端中当前进程的相关信息(名称、总数),并且还可以点击界面“查看详情”,获取任一进程的详细信息。
由以上本说明书实施例提供的技术方案可知,本说明书实施例中将进程的消息源信息与套接字进行绑定,并基于所述套接字,监听所述进程的创建信息;不管进程为长进程还是短进程,都可根据套接字监听到,不会遗漏终端中任一短进程的监控;然后基于监听到的进程的创建信息中的标识信息,构建进程协议包,并向服务器发送所述进程协议包,以使所述服务器识别恶意进程;采用本申请的技术方案,可以在较低的资源消耗下提高恶意进程的识别效率,且降低了恶意进程的漏查率。
以下以终端为执行主体介绍本说明书一种恶意进程识别方法的具体实施例,图7是本申请实施例提供的一种恶意进程识别方法的流程示意图,具体的,结合图7所示,所述方法可以包括:
S701:将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;
S703:基于所述套接字,监听所述进程的创建信息;
S705:基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
在本说明书实施例中,所述基于监听到的进程的创建信息中的标识信息,构建进程协议包可以包括:
基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息;
基于所述进程的属性信息,构建所述进程协议包。
在本说明书实施例中,所述基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息可以包括:
基于所述监听到的进程的创建信息中的标识信息,遍历所述进程的文件描述符目录,确定所述进程的第一索引节点号;
遍历网络文件,确定网络的第二索引节点号列表;
当所述第二索引节点号列表中存在与所述第一索引节点号相同的第二索引节点号时,获取所述第二索引节点号对应的网络端口号;
基于所述网络端口号,确定与所述第一索引节点号对应进程的属性信息。
在本说明书实施例中,所述基于所述进程的属性信息,构建所述进程协议包的步骤之前,所述方法还可以包括:
判断所述监听到的进程的创建信息中的标识信息是否在黑进程列表中,所述黑进程列表中存储恶意进程的标识信息;
相应的,所述基于所述进程的属性信息,构建所述进程协议包可以包括:
当所述监听到的进程的创建信息中的标识信息在所述黑进程列表中时,基于所述进程的属性信息以及预设协议,构建所述进程协议包;
当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,确定所述进程协议包的第一时间戳信息和签名信息;
基于所述进程的属性信息、所述第一时间戳信息、所述签名信息以及预设协议,构建所述进程协议包。
在一些实施方式中,所述基于监听到的进程的创建信息中的标识信息,构建进程协议包可以包括:
判断所述监听到的进程的创建信息中的标识信息是否在白进程列表中,所述白进程列表中存储合法进程的标识信息;
当所述监听到的进程的创建信息中的标识信息不在所述白进程列表中时,执行基于所述监听到的进程的创建信息中的标识信息,构建所述进程协议包。
S707:向服务器发送所述进程协议包,以使所述服务器识别恶意进程。
在一些实施方式中,所述方法还可以包括:
当所述进程为恶意进程时,接收所述服务器发送的提示信息。
本说明书实施例提供了一种恶意进程识别终端,所述终端包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述的恶意进程识别方法。
以下以服务器为执行主体介绍本说明书一种恶意进程识别方法的具体实施例,图8是本申请实施例提供的一种恶意进程识别方法的流程示意图,具体的,结合图8所示,所述方法可以包括:
S801:接收终端发送的进程协议包;所述进程协议包为所述终端基于监听到的进程的创建信息中的标识信息构建而成的协议包,所述监听到的进程的创建信息为所述终端基于套接字监听得到的创建信息,所述套接字与所述进程的消息源信息绑定,所述进程的消息源信息包括所述进程的创建信息;
S803:基于所述进程协议包,识别恶意进程。
在本说明书实施例中,黑进程列表中存储恶意进程的标识信息,当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,所述基于所述进程协议包,识别恶意进程可以包括:
解析所述进程协议包,确定所述进程协议包的合法性;
当所述进程协议包不合法时,确定所述进程协议包对应的进程为恶意进程。
在本说明书实施例中,所述解析所述进程协议包,确定所述进程协议包的合法性可以包括:
解析所述进程协议包,获取所述进程协议包的第一时间戳信息和签名信息;
当本地服务器的当前时间与所述第一时间戳信息对应时间的差值小于等于第一预设阈值时,确定所述签名信息的合法性;
当所述签名信息合法时,解析所述签名信息,确定第二时间戳信息;
当所述第二时间戳信息与所述第一时间戳信息对应时间的差值小于等于第二预设阈值时,确定所述进程协议包合法。
在本说明书实施例中,所述方法还可以包括:
当所述进程为恶意进程时,删除所述恶意进程对应的进程协议包,并向所述终端发送提示信息。
本说明书实施例提供了一种恶意进程识别服务器,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上所述的恶意进程识别方法。
本说明书实施例中,所述存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、功能所需的应用程序等;存储数据区可存储根据所述设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。
本说明书实施例提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如上所述的恶意进程识别方法。
本申请实施例还提供了一种恶意进程识别终端,如图9所示,所述终端可以包括:
消息源信息绑定模块910,用于将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;
创建信息监听模块920,用于基于所述套接字,监听所述进程的创建信息;
进程协议包构建模块930,用于基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
进程协议包发送模块940,用于向服务器发送所述进程协议包,以使所述服务器识别恶意进程。
在一些实施例中,所述进程协议包构建模块可以包括:
属性信息确定单元,用于基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息;
进程协议包构建单元,用于基于所述进程的属性信息,构建所述进程协议包。
在一些实施例中,所述属性信息确定单元可以包括:
第一索引节点号确定子单元,用于基于所述监听到的进程的创建信息中的标识信息,遍历所述进程的文件描述符目录,确定所述进程的第一索引节点号;
第二索引节点号列表确定子单元,用于遍历网络文件,确定网络的第二索引节点号列表;
网络端口号获取子单元,用于当所述第二索引节点号列表中存在与所述第一索引节点号相同的第二索引节点号时,获取所述第二索引节点号对应的网络端口号;
属性信息确定子单元,用于基于所述网络端口号,确定与所述第一索引节点号对应进程的属性信息。
在一些实施例中,所述终端还可以包括:
标识信息判断模块,用于判断所述监听到的进程的创建信息中的标识信息是否在黑进程列表中,所述黑进程列表中存储恶意进程的标识信息。
在一些实施例中,所述进程协议包构建单元可以包括:
第一构建子单元,用于当所述监听到的进程的创建信息中的标识信息在所述黑进程列表中时,基于所述进程的属性信息以及预设协议,构建所述进程协议包;
信息确定子单元,用于当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,确定所述进程协议包的第一时间戳信息和签名信息;
第二构建子单元,用于基于所述进程的属性信息、所述第一时间戳信息、所述签名信息以及预设协议,构建所述进程协议包。
在一些实施例中,所述进程协议包构建模块可以包括:
标识信息判断单元,用于判断所述监听到的进程的创建信息中的标识信息是否在白进程列表中,所述白进程列表中存储合法进程的标识信息;
执行单元,用于当所述监听到的进程的创建信息中的标识信息不在所述白进程列表中时,执行基于所述监听到的进程的创建信息中的标识信息,构建所述进程协议包。
在一些实施例中,所述装置还可以包括:
提示信息接收模块,用于当所述进程为恶意进程时,接收所述服务器发送的提示信息。
所述的终端实施例中的终端与方法实施例基于同样的发明构思。
本申请实施例还提供了一种恶意进程识别服务器,如图10所示,所述服务器可以包括:
进程协议包接收模块1010,用于接收终端发送的进程协议包;所述进程协议包为所述终端基于监听到的进程的创建信息中的标识信息构建而成的协议包,所述监听到的进程的创建信息为所述终端基于套接字监听得到的创建信息,所述套接字与所述进程的消息源信息绑定,所述进程的消息源信息包括所述进程的创建信息;
恶意进程识别模块1020,用于基于所述进程协议包,识别恶意进程。
在一些实施例中,黑进程列表中存储恶意进程的标识信息,当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,所述恶意进程识别模块可以包括:
合法性确定单元,用于解析所述进程协议包,确定所述进程协议包的合法性;
恶意进程确定单元,用于当所述进程协议包不合法时,确定所述进程协议包对应的进程为恶意进程。
在一些实施例中,所述合法性确定单元可以包括:
协议包解析子单元,用于解析所述进程协议包,获取所述进程协议包的第一时间戳信息和签名信息;
签名信息合法性确定子单元,用于当本地服务器的当前时间与所述第一时间戳信息对应时间的差值小于等于第一预设阈值时,确定所述签名信息的合法性;
第二时间戳信息确定子单元,用于当所述签名信息合法时,解析所述签名信息,确定第二时间戳信息;
合法协议包确定子单元,用于当所述第二时间戳信息与所述第一时间戳信息对应时间的差值小于等于第二预设阈值时,确定所述进程协议包合法。
在一些实施例中,所述服务器还可以包括:
提示信息发送模块,用于当所述进程为恶意进程时,删除所述恶意进程对应的进程协议包,并向所述终端发送提示信息。
所述的服务器实施例中的服务器与方法实施例基于同样的发明构思。
本申请另一方面还提供一种恶意进程识别系统,包括终端和服务器,
所述终端,用于将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;以及基于所述套接字,监听所述进程的创建信息;以及基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;以及向服务器发送所述进程协议包;
所述服务器,用于基于所述进程协议包识别恶意进程。
由上述本申请提供的恶意进程识别方法、装置、服务器、终端、存储介质或系统的实施例可见,本说明书实施例中将进程的消息源信息与套接字进行绑定,并基于所述套接字,监听所述进程的创建信息;不管进程为长进程还是短进程,都可根据套接字监听到,不会遗漏终端中任一短进程的监控;然后基于监听到的进程的创建信息中的标识信息,构建进程协议包,并向服务器发送所述进程协议包,以使所述服务器识别恶意进程;采用本申请的技术方案,可以在较低的资源消耗下提高恶意进程的识别效率,且降低了恶意进程的漏查率。
需要说明的是:上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于终端、服务器、系统以及存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (14)

1.一种恶意进程识别方法,其特征在于,所述方法包括:
将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;
基于所述套接字,监听所述进程的创建信息;
基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
向服务器发送所述进程协议包,以使所述服务器识别恶意进程。
2.根据权利要求1所述的方法,其特征在于,所述基于监听到的进程的创建信息中的标识信息,构建进程协议包包括:
基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息;
基于所述进程的属性信息,构建所述进程协议包。
3.根据权利要求2所述的方法,其特征在于,所述基于所述监听到的进程的创建信息中的标识信息,确定与所述标识信息对应进程的属性信息包括:
基于所述监听到的进程的创建信息中的标识信息,遍历与所述标识信息对应进程的文件描述符目录,确定所述进程的第一索引节点号;
遍历网络文件,确定网络的第二索引节点号列表;
当所述第二索引节点号列表中存在与所述第一索引节点号相同的第二索引节点号时,获取所述第二索引节点号对应的网络端口号;
基于所述网络端口号,确定与所述第一索引节点号对应进程的属性信息。
4.根据权利要求2所述的方法,其特征在于,所述基于所述进程的属性信息,构建所述进程协议包的步骤之前,所述方法还包括:
判断所述监听到的进程的创建信息中的标识信息是否在黑进程列表中,所述黑进程列表中存储恶意进程的标识信息;
相应的,所述基于所述进程的属性信息,构建所述进程协议包包括:
当所述监听到的进程的创建信息中的标识信息在所述黑进程列表中时,基于所述进程的属性信息以及预设协议,构建所述进程协议包;
当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,确定所述进程协议包的第一时间戳信息和签名信息;
基于所述进程的属性信息、所述第一时间戳信息、所述签名信息以及预设协议,构建所述进程协议包。
5.根据权利要求1所述的方法,其特征在于,所述基于监听到的进程的创建信息中的标识信息,构建进程协议包包括:
判断所述监听到的进程的创建信息中的标识信息是否在白进程列表中,所述白进程列表中存储合法进程的标识信息;
当所述监听到的进程的创建信息中的标识信息不在所述白进程列表中时,执行基于所述监听到的进程的创建信息中的标识信息,构建所述进程协议包。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述进程为恶意进程时,接收所述服务器发送的提示信息。
7.一种恶意进程识别方法,其特征在于,所述方法包括:
接收终端发送的进程协议包;所述进程协议包为所述终端基于监听到的进程的创建信息中的标识信息构建而成的协议包,所述监听到的进程的创建信息为所述终端基于套接字监听得到的创建信息,所述套接字与所述进程的消息源信息绑定,所述进程的消息源信息包括所述进程的创建信息;
基于所述进程协议包,识别恶意进程。
8.根据权利要求7所述的方法,其特征在于,黑进程列表中存储恶意进程的标识信息,当所述监听到的进程的创建信息中的标识信息不在所述黑进程列表中时,所述基于所述进程协议包,识别恶意进程包括:
解析所述进程协议包,确定所述进程协议包的合法性;
当所述进程协议包不合法时,确定所述进程协议包对应的进程为恶意进程。
9.根据权利要求8所述的方法,其特征在于,所述解析所述进程协议包,确定所述进程协议包的合法性包括:
解析所述进程协议包,获取所述进程协议包的第一时间戳信息和签名信息;
当本地服务器的当前时间与所述第一时间戳信息对应时间的差值小于等于第一预设阈值时,确定所述签名信息的合法性;
当所述签名信息合法时,解析所述签名信息,确定第二时间戳信息;
当所述第二时间戳信息与所述第一时间戳信息对应时间的差值小于等于第二预设阈值时,确定所述进程协议包合法。
10.根据权利要求7所述的方法,其特征在于,所述方法还包括:
当所述进程为恶意进程时,删除所述恶意进程对应的进程协议包,并向所述终端发送提示信息。
11.一种恶意进程识别终端,其特征在于,所述终端包括:
消息源信息绑定模块,用于将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;
创建信息监听模块,用于基于所述套接字,监听所述进程的创建信息;
进程协议包构建模块,用于基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;
进程协议包发送模块,用于向服务器发送所述进程协议包,以使所述服务器识别恶意进程。
12.一种恶意进程识别服务器,其特征在于,所述服务器包括:
进程协议包接收模块,用于接收终端发送的进程协议包;所述进程协议包为所述终端基于监听到的进程的创建信息中的标识信息构建而成的协议包,所述监听到的进程的创建信息为所述终端基于套接字监听得到的创建信息,所述套接字与所述进程的消息源信息绑定,所述进程的消息源信息包括所述进程的创建信息;
恶意进程识别模块,用于基于所述进程协议包,识别恶意进程。
13.一种恶意进程识别系统,其特征在于,所述系统包括终端和服务器,
所述终端,用于将进程的消息源信息与套接字进行绑定,所述进程的消息源信息包括所述进程的创建信息;以及基于所述套接字,监听所述进程的创建信息;以及基于监听到的进程的创建信息中的标识信息,构建进程协议包,所述进程协议包包括所述进程的属性信息;以及向服务器发送所述进程协议包;
所述服务器,用于基于所述进程协议包识别恶意进程。
14.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-6任一或权利要求7-10任一所述的恶意进程识别方法。
CN201910604528.2A 2019-07-05 2019-07-05 恶意进程识别方法、终端、服务器、系统及存储介质 Pending CN110362993A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910604528.2A CN110362993A (zh) 2019-07-05 2019-07-05 恶意进程识别方法、终端、服务器、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910604528.2A CN110362993A (zh) 2019-07-05 2019-07-05 恶意进程识别方法、终端、服务器、系统及存储介质

Publications (1)

Publication Number Publication Date
CN110362993A true CN110362993A (zh) 2019-10-22

Family

ID=68218057

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910604528.2A Pending CN110362993A (zh) 2019-07-05 2019-07-05 恶意进程识别方法、终端、服务器、系统及存储介质

Country Status (1)

Country Link
CN (1) CN110362993A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131244A (zh) * 2019-12-24 2020-05-08 佰倬信息科技有限责任公司 防止恶意内容侵染网站页面的方法和系统以及存储介质
CN111857616A (zh) * 2020-07-30 2020-10-30 上海商米科技集团股份有限公司 基于多云平台的票据打印方法和设备
CN113360913A (zh) * 2021-08-10 2021-09-07 杭州安恒信息技术股份有限公司 一种恶意程序检测方法、装置、电子设备及存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131244A (zh) * 2019-12-24 2020-05-08 佰倬信息科技有限责任公司 防止恶意内容侵染网站页面的方法和系统以及存储介质
CN111131244B (zh) * 2019-12-24 2022-03-25 佰倬信息科技有限责任公司 防止恶意内容侵染网站页面的方法和系统以及存储介质
CN111857616A (zh) * 2020-07-30 2020-10-30 上海商米科技集团股份有限公司 基于多云平台的票据打印方法和设备
CN111857616B (zh) * 2020-07-30 2024-03-08 上海商米科技集团股份有限公司 基于多云平台的票据打印方法和设备
CN113360913A (zh) * 2021-08-10 2021-09-07 杭州安恒信息技术股份有限公司 一种恶意程序检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN107943951B (zh) 一种区块链业务信息的检索方法及系统
CN110855676B (zh) 网络攻击的处理方法、装置及存储介质
CN110362993A (zh) 恶意进程识别方法、终端、服务器、系统及存储介质
CN114584401A (zh) 一种面向大规模网络攻击的追踪溯源系统及方法
CN108900374B (zh) 一种应用于dpi设备的数据处理方法和装置
CN101711470A (zh) 一种用于在对等网络上创建共享信息列表的系统和方法
CN105471635B (zh) 一种系统日志的处理方法、装置和系统
CN105022815A (zh) 信息拦截方法及装置
CN109669795A (zh) 崩溃信息处理方法及装置
KR20180074774A (ko) 악의 웹 사이트 식별 방법, 장치 및 컴퓨터 기억매체
CN112685270A (zh) 一种系统监控日志的采集方法、装置、电子设备及介质
WO2024140023A1 (zh) 一种物联网区域限制管理方法、系统、装置及存储介质
CN105184559B (zh) 一种支付系统及方法
CN113630418A (zh) 一种网络服务识别方法、装置、设备及介质
CN113923192A (zh) 一种流量审计方法、装置、系统、设备和介质
CN110830416A (zh) 网络入侵检测方法和装置
CN111245800B (zh) 网络安全测试方法和装置、存储介质、电子装置
CN111917848A (zh) 基于边缘计算和云计算协同的数据处理方法及云服务器
CN115296892B (zh) 数据信息服务系统
CN107493181B (zh) 虚拟扩展端口的指示方法和装置
CN115484326A (zh) 处理数据的方法、系统及存储介质
CN110430098B (zh) 数据处理系统
CN110233747B (zh) 一种数据上报方法及云平台
CN111385253B (zh) 一种面向配电自动化系统网络安全的脆弱性检测系统
WO2019205202A1 (zh) 基于大数据的业务逻辑学习、防护方法及学习、防护装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination