CN110909352B - Linux服务器下的恶意进程检测方法 - Google Patents

Linux服务器下的恶意进程检测方法 Download PDF

Info

Publication number
CN110909352B
CN110909352B CN201911169880.4A CN201911169880A CN110909352B CN 110909352 B CN110909352 B CN 110909352B CN 201911169880 A CN201911169880 A CN 201911169880A CN 110909352 B CN110909352 B CN 110909352B
Authority
CN
China
Prior art keywords
information
server
malicious
judgment
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911169880.4A
Other languages
English (en)
Other versions
CN110909352A (zh
Inventor
赵贤哲
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Anheng Network Security Co ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911169880.4A priority Critical patent/CN110909352B/zh
Publication of CN110909352A publication Critical patent/CN110909352A/zh
Application granted granted Critical
Publication of CN110909352B publication Critical patent/CN110909352B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种Linux服务器下的恶意进程检测方法:包括以下步骤:1)、选择需要检测的服务器;2)、获取所有服务器中的进程信息;3)、根据步骤2得到的进程信息,得到共有进程信息和单一进程信息;4)、将进程信息与白名单进行匹配对比,得到判断结果;5)、将判断结果后进行反馈处理。本发明可以快速定位到隐蔽性强的恶意进程后门,方便相关服务器管理人员快速准确定位恶意服务器进程。在持久化部署的情况下,可以有效提升服务器管理人员的效率。

Description

Linux服务器下的恶意进程检测方法
技术领域
本发明涉及一种恶意进程检测方法,具体涉及一种Linux服务器下的恶意进程检测方法。
背景技术
当下互联网中有大量Linux服务器作为业务服务器,若服务器安全防范措施布置不当时会导致服务器被他人种下恶意进程后门,后门具有一定隐蔽性,会造成管理人员无法发现或者忽略。若管理人员无法快速定位进行清除。会导致服务器被恶意长久控制,造成的危害难以估量。
隐蔽性即为:将进程名修改为正常服务名,混淆服务器相关管理人员,通过ps等命令无法发现的恶意进程后门,且非启用/启用状态占用内存CPU较低的进程。
企业服务器在生产环境中被种入被修改了进程名等具有隐蔽性的持久化恶意进程后门,管理人员难以发现或无法直观发现。
若隐藏的恶意进程后门未被发现,会造成该服务器被持续控制,对企业后期相关业务造成难以估摸的影响。
目前识别方案1:主要在于通过虚拟机监控器层。需借助虚拟机监控器层与系统命令PS进行对比判断,若非处于虚拟机环境则无法实现。方案2:通过判断进程执行路径是否属于预设的合法路径来识别恶意进程。为定制化检测方案,需专业人员进行路径的导入。且若恶意进程处于预设的合法路径下执行,会导致无法检测。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的Linux服务器下的恶意进程检测方法。
为解决上述技术问题,本发明提供一种Linux服务器下的恶意进程检测方法:包括以下步骤:
1)、选择需要检测的服务器;
2)、获取所有服务器中的进程信息;
3)、根据步骤2得到的进程信息,得到共有进程信息和单一进程信息;
4)、将进程信息与白名单进行匹配对比,得到判断结果;
5)、将判断结果后进行反馈处理。
作为对本发明Linux服务器下的恶意进程检测方法的改进:
步骤2获取的信息包括进程名、进程PID、进程所属用户、进程路径、进程占用CPU、进程占用内存、启动时执行信息、进程主要调用信息、特殊唯一性判断信息。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
特殊唯一性判断信息为该进程在运行中携带的参数/创建的特殊文件。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
步骤2具体获取进程信息通过收集/proc/目录及ps等常用命令获取。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
步骤3包括:
3.1)、判断进程信息的进程名是否在所有服务器中皆出现,若进程名皆存在,执行步骤3.2;
3.2)、判断该进程信息在不同服务器的进程名/PID/所属用户/进程路径是否一致,若一致;执行步骤3.3;
3.3)、若该进程信息拥有特殊唯一性判断信息,作为共有进程,执行步骤3.4;
3.4)、根据共有进程生成共有进程列表,进程信息的非共有进程作为单一进程。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
在步骤4中:将进程信息与白名单进行匹配对比,得到未通过白名单的进程信息。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
在步骤5中:服务器管理人员对未通过白名单的进程信息进行人工判断。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
白名单包括:
一、通过步骤三生成的共有进程列表通过恶意进程检测后生成的进程白名单;
二、服务器管理人员手动添加的进程相关信息;
三、确认为正常进程的相关信息。
作为对本发明Linux服务器下的恶意进程检测方法的进一步改进:
恶意进程检测包括:
a、互联网上已知恶意进程信息;
b、各大安全厂商公开披露恶意进程相关信息;
c、其他渠道获取;
d、运行目录为/tmp/下的进程。
本发明Linux服务器下的恶意进程检测方法的技术优势为:
本发明可以快速定位到隐蔽性强的恶意进程后门,方便相关服务器管理人员快速准确定位恶意服务器进程。在持久化部署的情况下,可以有效提升服务器管理人员的效率。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明Linux服务器下的恶意进程检测方法的流程示意图;
图2为步骤一部署其中一种方法的示意图;
图3为获取信息的来源的示意图;
图4为生成共有进程列表的判断方案的示意图;
图5白名单来源的示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、Linux服务器下的恶意进程检测方法,如图1-5所示,包括以下步骤:
1.将信息收集工具部署在需要进行检测的服务器上面。
通过将脚本代码部署在需要检测的服务器上面,以定时任务方式执行或单次执行。
2.通过信息收集工具获取同功能所有生产服务器中的进程信息。
具体获取进程信息脚本可通过收集/proc/目录及ps等常用命令获取,并以收集/proc/下信息为主信息来源,可保证信息真实性。
进程信息包括共有进程信息以及单一进程信息,获取的共有进程信息以及单一进程信息主要内容需包括(以下获取信息结果须含有通过获取/proc/{PID}/下该进程相关信息,若有括号部分则说明除通过/proc/下信息获取外,括号内获取方法必须含有其中一种):
2.1)、进程名(另需通过top/ps等命令获取一份或以上数据作为比对);
通过/proc/目录得到进程名”和“通过top/ps得到的进程名”这两种方式获取作用为:恶意进程可能会对自身进程名进行伪造行为,因此需要采用多种方案去获取该进程的进程名(以下对比步骤皆为如此;
两者对比相同则视为该进程不存在伪造行为执行下一步骤,若不同则将获取到的该信息进行备注处理(视作恶意进程)。
2.2)、进程PID(另需通过top/ps等命令获取一份或以上数据作为比对);
2.3)、进程所属用户(另需通过top/ps等命令获取一份或以上数据作为比对);
2.4)、进程路径;
2.5)、进程占用CPU;
2.6)、进程占用内存;
2.7)、启动时执行信息;
2.8)、进程主要调用信息;
2.9)、若该进程拥有特殊唯一性判断信息,需添加。
特殊唯一性判断信息为该进程在运行中携带的参数/会创建的特殊文件等。
例1:进程在运行中携带的参数:该企业服务器中有一项监听功能为监听website/upload/目录下信息,相关服务器管理人员写了个监听脚本,在执行时候命令为(./look.sh-f website/upload/)那么website/upload/可视作为人为配置信息,作为特殊唯一性判断信息。
例2:在程序中非必要携带的参数,但实际配置中需携带;
该企业在服务器中布置了suricata:运行命令如下(suricata-c/etc/suricata/suricata_online.yaml-i ens32)
那么(-c....-i ens32)可视作为进程在运行中携带的独有参数,作为特殊唯一性判断信息。
备注:假设-c-i为该程序可携带可不携带的选项,但在该企业中为必带项目,则可视为进程在运行中携带的参数。
例3:某程序会启动后,再在该程序的web端激活定时任务后,程序会在指定目录下定时生成特殊文件-该文件可视作特殊唯一性判断信息(检测手法包括且不限制于该文件的大小,该文件修改日期等)。
本发明仅以以上信息为例作阐述说明,在实际中获取信息越多对恶意进程检测越有效。
3.通过判断步骤2检测服务器返回的不同生产服务器中的进程信息,划分出共有进程信息和单一进程信息。将生产服务器上的共有进程及单一进程信息生成进程列表,将共有进程进行结果合理性判断(步骤4中的恶意进程判断部分)加入共有进程白名单。
共有进程信息为在同功能所有生产服务器中以下信息相同的(进程名/进程路径/启动时执行信息/特殊唯一性判断信息)进程信息可视为共有进程信息,否则视为单一进程信息。
当判断为同类型的生产服务器时将获取到的进程信息进行以下共有进程判断(横向比对):
3.1)、判断进程信息的进程名是否在所有服务器中皆出现,若进程名皆存在,执行步骤3.2;
3.2)、判断该进程信息在不同服务器的进程名/PID/所属用户/进程路径是否一致,若一致继续判断;执行步骤3.3;
3.3)、若该进程信息拥有特殊唯一性判断信息,可添加至共有进程判断过程中,即为作为共有进程,执行步骤3.4;
3.4)、将判断通过的进程作为共有进程,生成共有进程列表。
将非共有进程列表中的进程信息视作单一进程。以xxx_xxx_xxx(IP_PID_进程名)等可分辨来源方式进行单一进程信息存储。
4.将服务器返回的进程信息与白名单进行匹配对比,将未知进程及恶意进程(未通过白名单的进程信息)提取相关信息通知服务器管理人员进行二次人工判断。
白名单由以下部分组成:
一、通过步骤三生成的共有进程列表通过恶意进程部分的检测后生成的进程白名单。
恶意进程判断部分:
a、互联网上已知恶意进程信息(包括不限于进程名,进程路径等);
b、各大安全厂商公开披露恶意进程相关信息(情报库);
c、其他渠道获取;
d、运行目录为/tmp/下的进程;
其中a,b,d可视作为黑名单部分,c可以为黑名单部分也可以为白名单部分。
二、服务器管理人员手动添加的进程相关信息;
三、确认为正常进程的相关信息。
恶意进程通过收集到的信息快速定位进行处理。
将上方所返回的信息进行记录。附带所有通过步骤二获取到的信息以服务器出现的相同进程数作为排序。进行通知服务器相关管理人员。
5.服务器管理人员将结果判断后进行反馈处理,将正常进程进行白名单手动添加操作,恶意进程通过收集到的信息快速定位进行处理。
服务器管理人员将结果判断后进行反馈处理,将正常进程进行白名单手动添加操作,恶意进程通过收集到的信息快速定位进行处理。
相关管理人员收到通知后进行判断:
5.1、若判断为恶意进程:将该进程收集到的信息交付给服务器运维人员。进行服务器上进程实际判断;
5.2、若判断/检测为非恶意进程:管理人员将该进程存储到白名单进程列表中。
进程:触发任何一个事件时,系统都会将他定义成为一个进程。它由程序指令,和从文件、其它程序中读取的数据或系统用户的输入组成。
进程名:每个进程都有进程名字,一般为进程参数的第一个字符串
PID:PID代表进程标识号process identification,它在大多数操作系统内核(如Linux、Unix、macOS和Windows)中使用。它是在操作系统中创建时自动分配给每个进程的唯一标识号。
唯一进程:生产服务器集群中某一台机器出现一条在其他同类服务器中未出现的进程。
持久化后门:持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵。
生产服务器:指具体投入使用的服务器。
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (3)

1.Linux服务器下的恶意进程检测方法,其特征在于:包括以下步骤:
1)、选择需要检测的服务器;
将信息收集工具部署在需要进行检测的服务器上面;
通过将脚本代码部署在需要检测的服务器上面,以定时任务方式执行或单次执行;
2)、获取所有服务器中的进程信息;
获取的信息包括进程名、进程PID、进程所属用户、进程路径、进程占用CPU、进程占用内存、启动时执行信息、进程主要调用信息、特殊唯一性判断信息;
所述特殊唯一性判断信息为该进程在运行中携带的参数/会创建的特殊文件;
3)、根据步骤2得到的进程信息,得到共有进程信息和单一进程信息;
步骤3包括:
3.1)、判断进程信息的进程名是否在所有服务器中皆出现,若进程名皆存在,执行步骤3.2;
3.2)、判断该进程信息在不同服务器的进程名/PID/所属用户/进程路径是否一致,若一致;执行步骤3.3;
3.3)、若该进程信息拥有特殊唯一性判断信息,作为共有进程,执行步骤3.4;
3.4)、根据共有进程生成共有进程列表,进程信息的非共有进程作为单一进程;
4)、将进程信息与白名单进行匹配对比,得到判断结果;
将服务器返回的进程信息与白名单进行匹配对比,将未知进程及恶意进程提取相关信息通知服务器管理人员进行二次人工判断;
白名单由以下部分组成:
一、通过步骤三生成的共有进程列表通过恶意进程部分的检测后生成的进程白名单;
恶意进程判断部分:
a、互联网上已知恶意进程信息,恶意进程信息包括进程名、进程路径;
b、各大安全厂商公开披露恶意进程相关信息;
c、其他渠道获取;
d、运行目录为/tmp/下的进程;
其中a,b,d可视作为黑名单部分,c可以为黑名单部分也可以为白名单部分;
二、服务器管理人员手动添加的进程相关信息;
三、确认为正常进程的相关信息;
恶意进程通过收集到的信息快速定位进行处理;
将上方所返回的信息进行记录;附带所有通过步骤二获取到的信息以服务器出现的相同进程数作为排序;进行通知服务器相关管理人员;
5)、将判断结果后进行反馈处理;
服务器管理人员将结果判断后进行反馈处理,将正常进程进行白名单手动添加操作,恶意进程通过收集到的信息快速定位进行处理;
相关管理人员收到通知后进行判断:
5.1、若判断为恶意进程:将该进程收集到的信息交付给服务器运维人员;进行服务器上进程实际判断;
5.2、若判断/检测为非恶意进程:管理人员将该进程存储到白名单进程列表中。
2.根据权利要求1所述的Linux服务器下的恶意进程检测方法,其特征在于:
进程:触发任何一个事件时,系统都会将他定义成为一个进程;它由程序指令,和从文件、其它程序中读取的数据或系统用户的输入组成;
进程名:每个进程都有进程名字,一般为进程参数的第一个字符串;
PID:PID代表进程标识号process identification,它在大多数操作系统内核中使用;它是在操作系统中创建时自动分配给每个进程的唯一标识号;所述大多数操作系统内核包括Linux、Unix、macOS和Windows;
唯一进程:生产服务器集群中某一台机器出现一条在其他同类服务器中未出现的进程;
持久化后门:持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门,来方便他以后持久性的入侵;所述后门包括脚本、进程、连接;
生产服务器:指具体投入使用的服务器。
3.根据权利要求2所述的Linux服务器下的恶意进程检测方法,其特征在于:
步骤2具体获取进程信息通过收集/proc/目录及ps等常用命令获取;
所述进程名为:
通过/proc/目录得到进程名”和“通过top/ps得到的进程名”这两种方式获取,作用为:恶意进程可能会对自身进程名进行伪造行为,因此需要采用多种方案去获取该进程的进程名;两者对比相同则视为该进程不存在伪造行为执行下一步骤,若不同则将获取到的该信息视作恶意进程进行备注处理。
CN201911169880.4A 2019-11-26 2019-11-26 Linux服务器下的恶意进程检测方法 Active CN110909352B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911169880.4A CN110909352B (zh) 2019-11-26 2019-11-26 Linux服务器下的恶意进程检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911169880.4A CN110909352B (zh) 2019-11-26 2019-11-26 Linux服务器下的恶意进程检测方法

Publications (2)

Publication Number Publication Date
CN110909352A CN110909352A (zh) 2020-03-24
CN110909352B true CN110909352B (zh) 2022-05-17

Family

ID=69819343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911169880.4A Active CN110909352B (zh) 2019-11-26 2019-11-26 Linux服务器下的恶意进程检测方法

Country Status (1)

Country Link
CN (1) CN110909352B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214768A (zh) * 2020-10-16 2021-01-12 新华三信息安全技术有限公司 一种恶意进程的检测方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105491053A (zh) * 2015-12-21 2016-04-13 用友网络科技股份有限公司 一种Web恶意代码检测方法及系统
US10771436B2 (en) * 2018-04-06 2020-09-08 Cisco Technology, Inc. Dynamic whitelist management
CN109918907B (zh) * 2019-01-30 2021-05-25 国家计算机网络与信息安全管理中心 Linux平台进程内存恶意代码取证方法、控制器及介质
CN110414236B (zh) * 2019-07-26 2021-04-16 北京神州绿盟信息安全科技股份有限公司 一种恶意进程的检测方法及装置

Also Published As

Publication number Publication date
CN110909352A (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
EP2893447B1 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
US8707427B2 (en) Automated malware detection and remediation
EP3236381B1 (en) Virus processing method, apparatus, system and device, and computer storage medium
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
WO2017061134A1 (ja) ログ情報生成装置及び記録媒体並びにログ情報抽出装置及び記録媒体
US9509554B1 (en) Methods and apparatus for remediation execution
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
JP2005339565A (ja) 自動開始拡張ポイントを介したスパイウェアおよび不要ソフトウェアの管理
CN111159520B (zh) 样本鉴定方法、装置及安全应急响应系统
CN108337266B (zh) 一种高效的协议客户端漏洞发掘方法与系统
CN110135162A (zh) Webshell后门识别方法、装置、设备及存储介质
CN110909352B (zh) Linux服务器下的恶意进程检测方法
CN111859399A (zh) 一种基于oval的漏洞检测方法及装置
CN110955894B (zh) 一种恶意内容检测方法、装置、电子设备及可读存储介质
US20190156024A1 (en) Method and apparatus for automatically classifying malignant code on basis of malignant behavior information
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
CN111475783B (zh) 数据检测方法、系统及设备
US11763004B1 (en) System and method for bootkit detection
EP3913486A1 (en) Closed loop monitoring based privileged access control
US20210367864A1 (en) Closed loop monitoring based privileged access control
CN111027052A (zh) 基于应用程序版本虚拟机文档判别方法、装置及存储设备
EP4300888A1 (en) Automatic signatures generation from a plurality of sources
CN115830734B (zh) 防止代打卡方法及相关设备
US20240152603A1 (en) Device for extracting trace of act, method for extracting trace of act, and program for extracting trace of act
CN105608372B (zh) 一种检测应用被杀毒软件报毒的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230824

Address after: Room 1201, 1202, 1203, 1204, Floor 12, Building 6, Zijin Research and Innovation Center, No. 89, Shengli Road, Jiangning District, Nanjing, Jiangsu 211100 (Jiangning Development Zone)

Patentee after: Jiangsu Anheng Network Security Co.,Ltd.

Address before: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Dbappsecurity Co.,Ltd.