CN110633568A - 用于主机的监控系统及其方法 - Google Patents
用于主机的监控系统及其方法 Download PDFInfo
- Publication number
- CN110633568A CN110633568A CN201910888698.8A CN201910888698A CN110633568A CN 110633568 A CN110633568 A CN 110633568A CN 201910888698 A CN201910888698 A CN 201910888698A CN 110633568 A CN110633568 A CN 110633568A
- Authority
- CN
- China
- Prior art keywords
- program
- calling
- call
- monitoring
- ratio
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种用于主机的监控系统及其方法,其特征在于:白名单模块用于存储允许被主机运行的程序白名单;监控模块用于监控主机中的程序并获取程序的调用记录,监控模块根据白名单模块的程序白名单判断主机中正在运行的调用程序是否合法,如果调用程序不合法,则终止调用程序;存储模块用于存储来自监控模块的调用记录;分析模块用于分析调用记录中的调用比,并且分析模块向用户发出提示。在这种情况下,系统可以基于白名单模块通过监控模块对调用程序的调用行为进行监控,并将监控所获得的调用记录存储在存储模块中,还能够基于存储模块中的数据通过分析模块对调用程序进行分析,进而根据分析出的调用比来判断调用程序为恶意代码的可能性。
Description
技术领域
本公开涉及一种用于主机的监控系统及其方法。
背景技术
随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,使得工业控制系统与传统企业网络高度一体化,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。
恶意代码是威胁网络安全的主要源头之一,对恶意代码进行识别以及对恶意代码如何感染主机的方式进行发现,对阻止和清除恶意代码、有效降低系统安全风险有着极其重要的作用和意义。
传统的恶意代码识别一般是基于对程序来源分析、程序代码分析或程序行为分析来开展的,这些分析方法目前有其局限性,比如自动化能力弱、准确性不高、性能低等。
发明内容
本公开有鉴于上述现有技术的状况而完成,其目的在于提供了一种可以基于大范围的主机程序调用行为数据,就可以对恶意代码及主机可能存在的安全漏洞进行识别和发现的用于主机的监控系统及其方法。
为此,本公开一方面提供了一种用于主机的监控系统,其特征在于,包括:白名单模块,其用于存储允许被主机运行的程序白名单;监控模块,其用于监控所述主机中的程序并获取所述程序的调用记录,所述调用记录包括调用程序、被调用程序和调用次数,所述监控模块根据所述白名单模块的所述程序白名单判断所述主机中正在运行的所述调用程序是否合法,如果所述调用程序不合法,则终止所述调用程序;存储模块,其用于存储来自所述监控模块的所述调用记录;以及分析模块,其用于分析所述调用记录中的调用比,所述调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比,并且所述分析模块向用户发出提示。
在本公开一方面所涉及的监控系统中,系统可以基于白名单模块通过监控模块对调用程序的调用行为进行监控,并将监控所获得的调用记录存储在存储模块中,从而能够自动控制调用程序的调用行为,还能够基于存储模块中的数据通过分析模块对调用程序进行分析,进而根据分析出的调用比来判断调用程序为恶意代码的可能性,随后分析模块能够向用户发出提示。
另外,在本公开一方面所涉及的监控系统中,可选地,所述调用比为在多个主机中各个主机中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比。在这种情况下,能够通过调用比得知调用程序平均在不同主机中的调用次数,由此,能够根据调用比,判断调用程序是否为可疑程序。
另外,在本公开一方面所涉及的监控系统中,可选地,当所述调用比大于预定阈值时,所述分析模块向用户发出提示。由此,能够及时提醒用户可疑程序的存在。
另外,在本公开一方面所涉及的监控系统中,可选地,所述预定阈值包括第一预设阈值和大于所述第一预设阈值的第二预设阈值,当所述调用比大于所述第一预定阈值时,所述分析模块向用户发出所述调用行为为可疑的提示;当所述调用比大于所述第二预设阈值时,所述分析模块向用户发出所述调用行为为高危的提示。在这种情况下,系统能够根据不同的预设阈值给予用户不同的警告提示,由此,能够便于用户区分可疑程序的威胁程度。
另外,在本公开一方面所涉及的监控系统中,可选地,所述调用程序包括具有管理员权限的程序的禁调类程序和包括具有非管理员权限的程序的非禁调类程序,当所述调用程序为所述禁调类程序时,所述监控模块禁止所述调用程序调用所述程序白名单以外的被调用程序。在这种情况下,具有管理员权限的程序仅能够调用程序白名单内的程序,由此,能够降低具有管理员权限的程序受到恶意代码控制的可能。
另外,在本公开一方面所涉及的监控系统中,可选地,当所述调用程序为所述非禁调类程序时,所述白名单模块将所述被调用程序加入所述程序白名单。由此,能够避免被调用程序因为是非程序白名单内的程序而受到监控模块的阻止。
本公开另一方面提供了一种用于主机的监控方法,其特征在于,包括:存储允许被主机运行的程序白名单;通过监控程序监控所述主机中的程序并获取所述程序的调用记录,所述调用记录包括调用程序、被调用程序和调用次数,根据所述程序白名单判断所述主机中正在运行的所述调用程序是否合法,如果所述调用程序不合法,则终止所述调用程序;存储所述调用记录;并且分析所述调用记录中的调用比,所述调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比,并且向用户发出提示。
在本公开另一方面所涉及的监控方法中,系统可以基于程序白名单对调用程序的调用行为进行监控,并将监控所获得的调用记录进行存储,从而能够自动控制调用程序的调用行为,还能够通过分析存储的数据得出调用记录中的调用比,进而根据分析出的调用比来判断调用程序为恶意代码的可能性,随后能够向用户发出提示。
另外,在本公开另一方面所涉及的监控方法中,可选地,所述调用比为在多个主机中各个主机中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比。在这种情况下,能够通过调用比得知调用程序平均在不同主机中的调用次数,由此,能够根据调用比,判断调用程序是否为可疑程序。
另外,在本公开另一方面所涉及的监控方法中,可选地,所述调用程序包括具有管理员权限的程序的禁调类程序和包括具有非管理员权限的程序的非禁调类程序,当所述调用程序为所述禁调类程序时,禁止所述调用程序调用所述程序白名单以外的被调用程序。在这种情况下,具有管理员权限的程序仅能够调用程序白名单内的程序,由此,能够降低具有管理员权限的程序受到恶意代码控制的可能。
另外,在本公开另一方面所涉及的监控方法中,可选地,当所述调用程序为所述非禁调类程序时,将所述被调用程序加入所述程序白名单。由此,能够避免被调用程序因为是非程序白名单内的程序而受到监控模块的阻止。
根据本公开,能够提供一种可以基于大范围的主机程序调用行为数据,就可以对恶意代码及主机可能存在的安全漏洞进行识别和发现的用于主机的监控系统及其方法。
附图说明
现在将仅通过参考附图的例子进一步详细地解释本公开的实施例,其中:
图1是示出了本公开的实施方式所涉及的监控系统的应用场景示意图。
图2是示出了本公开的实施方式所涉及的监控系统的系统框图。
图3是示出了本公开的实施方式所涉及的监控系统的程序调用关系示意图。
图4是示出了本公开的实施方式所涉及的监控系统的程序调用流程图。
图5是示出了本公开的实施方式所涉及的监控方法的方法流程图图。
图6是示出了本公开的实施方式所涉及的监控方法的程序运行流程图。
具体实施方式
下面,结合附图和具体实施方式,进一步详细地说明本发明。在附图中,相同的部件或具有相同功能的部件采用相同的符号标记,省略对其的重复说明。
图1是示出了本公开的实施方式所涉及的监控系统1的应用场景示意图。图2是示出了本公开的实施方式所涉及的监控系统1的系统框图。
如图1所示,本公开一方面提供了一种用于主机50的监控系统1,其特征在于,包括:白名单模块10,监控模块20,存储模块30以及分析模块40。在本公开中,白名单模块10可以用于存储允许被主机50运行的程序白名单。监控模块20可以用于监控主机50中的程序并获取程序的调用记录,其中,调用记录包括调用程序、被调用程序和调用次数。监控模块20能够根据白名单模块10的程序白名单判断主机50中正在运行的调用程序是否合法,如果调用程序不合法,则终止调用程序。存储模块30可以用于存储来自监控模块20的调用记录。分析模块40可以用于分析调用记录中的调用比,其中,调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比,并且分析模块40向用户发出提示。
在本公开的所涉及的监控系统1中,系统可以基于白名单模块10通过监控模块20对调用程序的调用行为进行监控,并将监控所获得的调用记录存储在存储模块30中,从而能够自动控制调用程序的调用行为,还能够基于存储模块30中的数据通过分析模块40对调用程序进行分析,进而根据分析出的调用比来判断调用程序为恶意代码的可能性,随后分析模块40能够向用户发出提示。
在一些示例中,主机50可以包括移动通信设备、个人台式计算机、笔记本电脑、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机中的至少一种。
在一些示例中,白名单模块10可以设置在主机50的内核中。由此,能够降低对主机50的资源消耗。在另一些示例中,白名单模块10可以以系统进程方式运行。另外,在一些示例中,监控模块20可以设置在主机50的内核中。此外,还可以以系统进程方式运行。
在一些示例中,可以通过进程监视和安全保护机制来保护白名单模块10和监控模块20。由此,能够防止白名单模块10和监控模块20被规避、终止运行或卸载。
在本公开中,监控模块20可以用于监控主机50中的程序并获取程序的调用记录,其中,调用记录包括调用程序、被调用程序和调用次数。监控模块20能够根据白名单模块10的程序白名单判断主机50中正在运行的调用程序是否合法,如果调用程序不合法,则终止调用程序。
在一些示例中,监控模块20可以是通过主机50的系统内核层的钩子(hook)机制对程序的调用过程进行截获,并进行相关信息采集和控制。由此,能够减少监控模块20对主机50的整体性能的影响。
在一些示例中,调用记录可以包括调用程序、被调用程序、发生调用的主机50名称、调用时间以及调用结果等相关信息。由此,能够尽可能全面的收集调用行为的相关信息。
在一些示例中,调用程序、被调用程序和发生调用的主机50可以通过具有唯一性的特征来识别。具体而言,对于程序而言,具有唯一性的特征可以为程序的哈希值,对于主机50而言,具有唯一性的特征可以为硬件标识。在另一些示例中,白名单模块10的程序白名单所存储的程序可以是程序的哈希值。这里,哈希(hash)值又称散列函数值,是指将任意长度的输入通过散列算法变换成固定长度的输出的散列值。
在一些示例中,监控模块20可以每隔一段时间片将该时间片的调用记录发送至存储模块30中。其中,时间片可以是预先设定的,例如,时间片可以设定在180s至300s之间。优选地,时间片可以设定为190s、200s、210s、220s、230s、240s、250s、260s、270s、280s、290s中的一个。由此,能够减少监控模块20对资源的占用的同时确保调用记录的及时性和有效性。
在一些示例中,监控模块20还可以包括录屏单元。其中,录屏单元可以通过代码注入方式作为操作系统内核程序的动态链接库。在这种情况下,监控模块20可以通过录屏单元获取主机50的实时操作画面,由此,能够便于用户通过监控模块20对主机50进行远程监控。
图3是示出了本公开的实施方式所涉及的监控系统1的程序调用关系示意图。图4是示出了本公开的实施方式所涉及的监控系统1的程序调用流程图。
如图3所示,在一些示例中,调用程序包括具有管理员权限的程序的禁调类程序和包括具有非管理员权限的程序的非禁调类程序,当调用程序为禁调类程序时,监控模块20禁止调用程序调用程序白名单以外的被调用程序。在这种情况下,具有管理员权限的程序仅能够调用程序白名单内的程序,由此,能够降低具有管理员权限的程序受到恶意代码控制的可能。
在一些示例中,禁调类程序可以为windows系统中的cmd.exe或explorer.exe等。
在一些示例中,当调用程序为非禁调类程序时,白名单模块10将被调用程序加入程序白名单(参见图3)。由此,能够避免被调用程序因为是非程序白名单内的程序而受到监控模块20的阻止。
以下,结合图4进一步的说明程序被调用的流程。
如图4所示,调用程序准备调用被调用程序,监控模块20判断调用程序是否为禁调类程序,若为是,则进一步判断被调用程序是否为白名单中的程序,若为否,则终止该调用,若为是,则运行被调用程序;若调用程序并非禁调类程序,则进一步判断被调用程序是否为白名单中的程序,若为否,则将被调用程序加入白名单,然后运行被调用程序,若为是,则运行被调用程序。
在本公开中,存储模块30可以用于存储来自监控模块20的调用记录。
在一些示例中,存储模块30可以设置在云服务器上。在另一些示例中,存储模块30可以设置在本地服务器中。
在一些示例中,存储模块30可以为随机存取存储器(RAM)、闪存(Flash Memory)、先进先出存储器(FIFO)、先进后出存储器(FILO)、闪存卡或微硬盘等存储器中。由此,能够适应各类不同设备的存储方式。
在本公开中,分析模块40可以用于分析调用记录中的调用比,其中,调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比,并且分析模块40向用户发出提示。
在一些示例中,分析模块40可以是安装在主机50中的程序。在另一些示例中,分析模块40还可以是安装在独立外部处理器当中的程序。
在一些示例中,调用比可以指非禁调类程序与被该非禁调类程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比。
在一些示例中,调用比为在多个主机50中各个主机50中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比。在这种情况下,能够通过调用比得知调用程序平均在不同主机50中的调用次数,由此,能够根据调用比,判断调用程序是否为可疑程序。
在一些示例中,当调用比大于预定阈值时,分析模块40向用户发出提示。由此,能够及时提醒用户可疑程序的存在。
在一些示例中,预定阈值包括第一预设阈值和大于第一预设阈值的第二预设阈值,当调用比大于第一预定阈值时,分析模块40向用户发出调用行为为可疑的提示;当调用比大于第二预设阈值时,分析模块40向用户发出调用行为为高危的提示。在这种情况下,系统能够根据不同的预设阈值给予用户不同的警告提示,由此,能够便于用户区分可疑程序的威胁程度。
一般情况下,软件正常升级到一个特定版本的事件只会有一次,即相关的调用关系调用比为1;考虑到一个主机50数量较多的系统中,有个别主机50存在升级失败的可能,这个调用比正常情况下其平均值应该略大于1,这也就是统计和分析程序设置相关阈值的依据;调用比比预定阈值高的越多,意味着该调用关系中的被调用程序为恶意代码的可能性就越大,调用程序存在安全漏洞的可能性也就越大。
图5是示出了本公开的实施方式所涉及的监控方法的方法流程图图。图6是示出了本公开的实施方式所涉及的监控方法的程序运行流程图。
如图5所示,本公开所涉及的用于主机50的监控方法包括:存储允许被主机50运行的程序白名单(步骤S100);通过监控程序监控主机50中的程序并获取程序的调用记录,调用记录包括调用程序、被调用程序和调用次数,根据程序白名单判断主机50中正在运行的调用程序是否合法,如果调用程序不合法,则终止调用程序(步骤S200);存储调用记录(步骤S300);并且分析调用记录中的调用比,调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比,并且向用户发出提示(步骤S400)。
在本公开所涉及的监控方法中,系统可以基于程序白名单对调用程序的调用行为进行监控,并将监控所获得的调用记录进行存储,从而能够自动控制调用程序的调用行为,还能够通过分析存储的数据得出调用记录中的调用比,进而根据分析出的调用比来判断调用程序为恶意代码的可能性,随后向用户发出提示。
在一些示例中,如上所述,程序白名单可以设置在主机50的内核中。由此,能够降低对主机50的资源消耗。在另一些示例中,程序白名单可以以系统进程方式运行。
在一些示例中,可以通过进程监视和安全保护机制来保护程序白名单和监控行为。由此,能够防止程序白名单和监控行为被规避、终止运行或卸载。
在步骤S200中,通过监控程序可以监控主机50中的程序并获取程序的调用记录。调用记录可以包括调用程序、被调用程序和调用次数,根据程序白名单判断主机50中正在运行的调用程序是否合法,如果调用程序不合法,则终止调用程序。
在一些示例中,调用比为在多个主机50中各个主机50中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比。在这种情况下,能够通过调用比得知调用程序平均在不同主机50中的调用次数,由此,能够根据调用比,判断调用程序是否为可疑程序。
在一些示例中,监控程序可以是通过主机50的系统内核层的钩子(hook)机制对程序的调用过程进行截获,并进行相关信息采集和控制。由此,能够减少监控程序对主机50的整体性能的影响。
在一些示例中,调用记录可以包括调用程序、被调用程序、发生调用的主机50名称、调用时间以及调用结果等相关信息。由此,能够尽可能全面的收集调用行为的相关信息。
在一些示例中,调用程序、被调用程序和发生调用的主机50可以通过具有唯一性的特征来识别。具体而言,对于程序而言,具有唯一性的特征可以为程序的哈希值(hash值),对于主机50而言,具有唯一性的特征可以为硬件标识。在另一些示例中,程序白名单所存储的程序可以是程序的哈希值。
在一些示例中,监控程序可以每隔一段时间片将该时间片的调用记录进行存储。其中,时间片可以是预先设定的,例如,时间片可以设定在180s至300s之间。优选地,时间片可以设定为190s、200s、210s、220s、230s、240s、250s、260s、270s、280s、290s中的一个。由此,能够减少监控程序对资源的占用的同时确保调用记录的及时性和有效性。
在一些示例中,监控程序还可以包括录屏单元。其中,录屏单元可以通过代码注入方式作为操作系统内核程序的动态链接库。在这种情况下,监控程序可以通过录屏单元获取主机50的实时操作画面,由此,能够便于用户通过监控程序对主机50进行远程监控。
在一些示例中,调用程序包括具有管理员权限的程序的禁调类程序和包括具有非管理员权限的程序的非禁调类程序,当调用程序为禁调类程序时,禁止调用程序调用程序白名单以外的被调用程序。在这种情况下,具有管理员权限的程序仅能够调用程序白名单内的程序,由此,能够降低具有管理员权限的程序受到恶意代码控制的可能。
在一些示例中,当调用程序为非禁调类程序时,将被调用程序加入程序白名单。由此,能够避免被调用程序因为是非程序白名单内的程序而受到监控程序的阻止。
在步骤S300中,调用记录可以存储至服务器中。在一些示例中,调用记录可以存储在云服务器中。在另一些示例中,调用记录可以存储在本地服务器中。
在步骤S400中,分析调用记录中的调用比,调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比,并且向用户发出提示。
在一些示例中,调用比为在多个主机50中各个主机50中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机50的数量之比。在这种情况下,能够通过调用比得知调用程序平均在不同主机50中的调用次数,由此,能够根据调用比,判断调用程序是否为可疑程序。
在一些示例中,当调用比大于预定阈值时,向用户发出提示。由此,能够及时提醒用户可疑程序的存在。
在一些示例中,预定阈值包括第一预设阈值和大于第一预设阈值的第二预设阈值,当调用比大于第一预定阈值时,向用户发出调用行为为可疑的提示;当调用比大于第二预设阈值时,向用户发出调用行为为高危的提示。在这种情况下,系统能够根据不同的预设阈值给予用户不同的警告提示,由此,能够便于用户区分可疑程序的威胁程度。
以下,结合图6详细的说明书的监控方法。
如图6所示,程序准备运行,监控程序判断要准备运行的程序是否为白名单内的程序,若为否,则禁止该程序的运行,若为是,则运行该程序,同时,监控该运行程序并获取该程序的调用记录,存储所获得的调用记录。对存储的调用记录进行分析并获取调用比,调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比,判断调用比是否大于预定阈值,在调用比大于预定阈值的情况下,向用户发出提示,用户决定是否继续运行该程序,若为否,则将该程序终止并移出白名单,若为是,则运行该程序并保持监控直至该程序结束运行。
虽然以上结合附图和实施例对本发明进行了具体说明,但是可以理解,上述说明不以任何形式限制本发明。本领域技术人员在不偏离本发明的实质精神和范围的情况下可以根据需要对本发明进行变形和变化,这些变形和变化均落入本发明的范围内。
Claims (10)
1.一种用于主机的监控系统,其特征在于,
包括:
白名单模块,其用于存储允许被主机运行的程序白名单;
监控模块,其用于监控所述主机中的程序并获取所述程序的调用记录,所述调用记录包括调用程序、被调用程序和调用次数,所述监控模块根据所述白名单模块的所述程序白名单判断所述主机中正在运行的所述调用程序是否合法,如果所述调用程序不合法,则终止所述调用程序;
存储模块,其用于存储来自所述监控模块的所述调用记录;以及
分析模块,其用于分析所述调用记录中的调用比,所述调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比,并且所述分析模块向用户发出提示。
2.根据权利要求1所述的监控系统,其特征在于:
所述调用比为在多个主机中各个主机中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比。
3.根据权利要求1或2所述的监控系统,其特征在于:
当所述调用比大于预定阈值时,所述分析模块向用户发出提示。
4.根据权利要求3所述的监控系统,其特征在于:
所述预定阈值包括第一预设阈值和大于所述第一预设阈值的第二预设阈值,
当所述调用比大于所述第一预设阈值时,所述分析模块向用户发出所述调用行为为可疑的提示;当所述调用比大于所述第二预设阈值时,所述分析模块向用户发出所述调用行为为高危的提示。
5.根据权利要求1所述的监控系统,其特征在于:
所述调用程序包括具有管理员权限的程序的禁调类程序和包括具有非管理员权限的程序的非禁调类程序,
当所述调用程序为所述禁调类程序时,所述监控模块禁止所述调用程序调用所述程序白名单以外的被调用程序。
6.根据权利要求5所述的监控系统,其特征在于:
当所述调用程序为所述非禁调类程序时,所述白名单模块将所述被调用程序加入所述程序白名单。
7.一种用于主机的监控方法,其特征在于,
包括:
存储允许被主机运行的程序白名单;
通过监控程序监控所述主机中的程序并获取所述程序的调用记录,所述调用记录包括调用程序、被调用程序和调用次数,根据所述程序白名单判断所述主机中正在运行的所述调用程序是否合法,如果所述调用程序不合法,则终止所述调用程序;
存储所述调用记录;并且
分析所述调用记录中的调用比,所述调用比为各个调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比,并且向用户发出提示。
8.根据权利要求7所述的监控方法,其特征在于:
所述调用比为在多个主机中各个主机中调用程序与被该调用程序调用的被调用程序之间发生调用行为的调用次数与发生该调用行为的主机的数量之比。
9.根据权利要求7所述的监控方法,其特征在于:
所述调用程序包括具有管理员权限的程序的禁调类程序和包括具有非管理员权限的程序的非禁调类程序,
当所述调用程序为所述禁调类程序时,禁止所述调用程序调用所述程序白名单以外的被调用程序。
10.根据权利要求9所述的监控方法,其特征在于:
当所述调用程序为所述非禁调类程序时,将所述被调用程序加入所述程序白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910888698.8A CN110633568B (zh) | 2019-09-19 | 2019-09-19 | 用于主机的监控系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910888698.8A CN110633568B (zh) | 2019-09-19 | 2019-09-19 | 用于主机的监控系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110633568A true CN110633568A (zh) | 2019-12-31 |
| CN110633568B CN110633568B (zh) | 2021-03-30 |
Family
ID=68971731
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910888698.8A Active CN110633568B (zh) | 2019-09-19 | 2019-09-19 | 用于主机的监控系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110633568B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104915600A (zh) * | 2015-04-28 | 2015-09-16 | 北京邮电大学 | 一种Android应用程序安全风险评估方法与装置 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
| CN105488398A (zh) * | 2015-12-04 | 2016-04-13 | 北京航空航天大学 | Web应用程序行为提取方法和恶意行为检测方法 |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
| US20190155618A1 (en) * | 2017-11-21 | 2019-05-23 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Processing method, device and storage medium for implementing automatic startup |
-
2019
- 2019-09-19 CN CN201910888698.8A patent/CN110633568B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104915600A (zh) * | 2015-04-28 | 2015-09-16 | 北京邮电大学 | 一种Android应用程序安全风险评估方法与装置 |
| CN105184166A (zh) * | 2015-10-21 | 2015-12-23 | 南京大学 | 基于内核的安卓程序实时行为分析方法及系统 |
| CN105488398A (zh) * | 2015-12-04 | 2016-04-13 | 北京航空航天大学 | Web应用程序行为提取方法和恶意行为检测方法 |
| US20190155618A1 (en) * | 2017-11-21 | 2019-05-23 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Processing method, device and storage medium for implementing automatic startup |
| CN109347806A (zh) * | 2018-09-20 | 2019-02-15 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110633568B (zh) | 2021-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| RU2645268C2 (ru) | Сложное классифицирование для выявления вредоносных программ | |
| US11714884B1 (en) | Systems and methods for establishing and managing computer network access privileges | |
| US9094451B2 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
| US9251343B1 (en) | Detecting bootkits resident on compromised computers | |
| CN102651061B (zh) | 用于检测复杂恶意软件的系统和方法 | |
| US10496826B2 (en) | Device based automated threat detection and response | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| CN110851241A (zh) | Docker容器环境的安全防护方法、装置及系统 | |
| US10003606B2 (en) | Systems and methods for detecting security threats | |
| US10642986B2 (en) | Detecting unknown software vulnerabilities and system compromises | |
| US8726386B1 (en) | Systems and methods for detecting malware | |
| US20210026947A1 (en) | Intrusion detection and prevention for unknown software vulnerabilities using live patching | |
| EP3753221B1 (en) | System and method for monitoring effective control of a machine | |
| CN102882875A (zh) | 主动防御方法及装置 | |
| US9552481B1 (en) | Systems and methods for monitoring programs | |
| US9483643B1 (en) | Systems and methods for creating behavioral signatures used to detect malware | |
| US11314859B1 (en) | Cyber-security system and method for detecting escalation of privileges within an access token | |
| US8566585B2 (en) | System and a method for processing system calls in a computerized system that implements a kernel | |
| CN102857519A (zh) | 主动防御系统 | |
| US10275596B1 (en) | Activating malicious actions within electronic documents | |
| CN111783087A (zh) | 可执行文件恶意执行的检测方法及装置、终端、存储介质 | |
| US8533833B2 (en) | System, a method, and a data-structure for processing system calls in a computerized system that implements a kernel | |
| WO2021194370A1 (ru) | Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент | |
| EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230105 Address after: 100000 Supporting rooms 9-11, 1st floor, Building 2, 3 and 6, Chengxiu Garden, Tianxiu Garden, Haidian District, Beijing Patentee after: BEIJING PENGCHUANG TIANDI TECHNOLOGY Co.,Ltd. Address before: 1015, 1st floor, building 3, 801 Changlin, Xisanqi, Haidian District, Beijing Patentee before: BEIJING GUANGCHENG TONGTAI TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |