CN110929259B - 进程安全验证白名单生成方法、装置 - Google Patents
进程安全验证白名单生成方法、装置 Download PDFInfo
- Publication number
- CN110929259B CN110929259B CN201911114602.9A CN201911114602A CN110929259B CN 110929259 B CN110929259 B CN 110929259B CN 201911114602 A CN201911114602 A CN 201911114602A CN 110929259 B CN110929259 B CN 110929259B
- Authority
- CN
- China
- Prior art keywords
- security
- unknown
- identifier
- identification
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供了一种进程安全验证白名单生成方法、装置。该方法包括获取进程快照;根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险;通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险;通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。进而可以应用进程安全验证白名单对进程进行检测,在进程安全验证白名单内的进程确认为安全进程,不在进程安全验证白名单内的进程确认为危险进程,能够更加有效的对进程进行检测。
Description
技术领域
本申请涉及计算机及通信技术领域,特别涉及一种进程安全验证白名单生成方法、装置。
背景技术
目前,针对进程的安全防护普遍采用的安全防护手段是通过安装杀毒软件来阻止机器上的恶意软件运行和传播。杀毒软件是一种基于黑名单的查杀方式,即只有在恶意软件被加入黑名单时才会被阻止运行,黑名单之外的软件和行为被认为都是正常、可信的。
但是随着逃避检测技术的发展,黑名单安全防护技术存在较大的漏洞,容易出现漏报的问题,难以有效的检测出恶意进程。
发明内容
本申请旨在提供一种进程安全验证白名单生成方法、装置,使用该进程安全验证白名单生成方法生成的白名单进行进程检测,能够更加有效的检测出恶意进程。
根据本申请实施例的一个方面,提供了一种进程安全验证白名单生成方法,包括:获取进程快照;根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
根据本申请实施例的一个方面,提供了一种进程安全验证白名单生成装置,包括:获取模块,用于获取进程快照;第一安全模块,用于根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;第二安全模块,用于通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;生成模块,用于通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
在本申请的一些实施例中,基于前述方案,所述第一安全模块配置为:从所述进程快照中获得所述进程的文件和所述文件对应的哈希值;根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识。
在本申请的一些实施例中,基于前述方案,所述第一安全模块还配置为:将所述文件对应的哈希值与指定哈希库比较,获得所述指定哈希库返回的文件的初始标识,所述初始标识包括安全、未知和危险;基于初始标识为未知的进程的文件释放行为,确定所述初始标识为未知的进程的更新标识,所述更新标识包括安全、未知和危险;将所述初始标识或所述更新标识为安全的进程的第一安全标识确定为安全;将所述初始标识或所述更新标识为危险的进程的第一安全标识确定为危险;将所述更新标识为未知的进程的第一安全标识确定为未知。
在本申请的一些实施例中,基于前述方案,所述第二安全模块配置为:通过所述多维度安全验证确定所述第一安全标识为未知的进程的风险分数;根据所述风险分数确定所述第一安全标识为未知的进程的第二安全标识。
在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:从所述进程快照中得到所述第一安全标识为未知的进程的多个进程信息;分别确定所述多个进程信息中每个进程信息的风险分数;将所述多个进程信息的风险分数之和作为所述第一安全标识为未知的进程的风险分数。
在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:将所述进程信息和预设进程信息分数表进行比对得到所述进程信息的风险分数。
在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:若所述风险分数未达到阈值,则确认所述第一安全标识为未知的进程的第二安全标识为安全;若所述风险分数达到所述阈值,则确认所述第一安全标识为未知的进程的第二安全标识为危险。
在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:对所述进程安全验证白名单中每个进程进行多维度安全验证,得到所述进程安全验证白名单中每个进程的风险分数;根据所述进程安全验证白名单中每个进程的风险分数调整所述阈值。
在本申请的一些实施例中,基于前述方案,所述第二安全模块还配置为:将所述进程安全验证白名单中进程的风险分数中的最大值作为所述阈值。
根据本申请实施例的一个方面,提供了一种计算机可读程序介质,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行上任一项所述的方法。
根据本申请实施例的一个方面,提供了一种电子装置,包括:处理器;存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如上任一项所述的方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
在本申请的一些实施例所提供的技术方案中,通过获取进程快照,根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险,将第一安全标识为安全的进程的第二安全标识确认为安全;将第一安全标识为危险的进程的第二安全标识确认为危险;对于第一安全标识为未知的进程,通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险,将第二安全标识为安全的进程确认为安全,将第二安全标识为危险的进程确认为危险,通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单,进而可以应用进程安全验证白名单对进程进行检测,在进程安全验证白名单内的进程确认为安全进程,不在进程安全验证白名单内的进程确认为危险进程,能够更加有效的对进程进行检测。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并于说明书一起用于解释本申请的原理。
图1A示出了可以应用本申请实施例的技术方案的示例性系统架构的示意图;
图1B示出了可以应用本申请一个实施例的技术方案的数据共享系统的示意图;
图1C示出了可以应用本申请一个实施例的区块链所在的节点存储程序行为数据的示意图;
图2示意性示出了根据本申请的一个实施例的进程安全验证白名单生成方法的流程图;
图3示意性示出了根据本申请的一个实施例的根据进程快照确定进程的第一安全标识的过程的流程图;
图4示意性示出了根据本申请的一个实施例的应用本申请的进程安全验证白名单生成方法生成的白名单进行安全检测的流程图;
图5给出了本申请的一个实施例的生成进程安全验证白名单的示意图;
图6给出了本申请的一个实施例的图5中生成进程安全验证白名单和图4中使用生成的进程安全验证白名单检测进程的示意图;
图7示意性示出了根据本申请的一个实施例的进程安全验证白名单生成装置的框图;
图8是根据一示例性实施例示出的一种电子装置的硬件图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
图1A示出了可以应用本申请实施例的技术方案的示例性系统架构100的示意图。
如图1A所示,系统架构100A可以包括终端设备101A(终端设备可以为智能手机、平板电脑、便携式计算机、台式计算机中的一种或多种)、网络102A、服务器103A和检测终端104A。网络102A用以在终端设备101A、服务器103A和检测终端104A之间提供通信链路的介质。网络102A可以包括各种连接类型,例如有线通信链路、无线通信链路等等。
应该理解,图1A中的终端设备101A、网络102A、服务器103A和检测终端104A的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备101A、网络102A、服务器103A和检测终端104A。比如服务器103A可以是多个服务器组成的服务器集群等。
在本申请的一个实施例中,服务器103A通过通过获取进程快照,根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险,将第一安全标识为安全的进程的第二安全标识确认为安全;将第一安全标识为危险的进程的第二安全标识确认为危险;对于第一安全标识为未知的进程,通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险,将第二安全标识为安全的进程确认为安全,将第二安全标识为危险的进程确认为危险,通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单,进而可以应用进程安全验证白名单对进程进行检测,在进程安全验证白名单内的进程确认为安全进程,不在进程安全验证白名单内的进程确认为危险进程。
需要说明的是,本申请实施例所提供的进程安全验证白名单生成方法一般由服务器103A执行,相应地,进程安全验证白名单生成装置一般设置于服务器103A中。但是,在本申请的其它实施例中,终端设备101A和检测终端104A也可以与服务器103A具有相似的功能,从而执行本申请实施例所提供的进程安全验证白名单生成方法。
图1B示出了可以应用本发明实施例的技术方案的示例性数据共享系统100B的示意图。
参见图1A所示的数据共享系统100B,数据共享系统100B是指用于进行节点与节点之间数据共享的系统,该数据共享系统中可以包括多个节点101B,多个节点101B可以是指数据共享系统中的多个终端设备101A,多个节点101B也可以是指数据共享系统中的服务器103A,多个节点101B也可以是指数据共享系统中的检测终端104A。每个节点101B在进行正常工作可以接收到输入信息,并基于接收到的输入信息维护该数据共享系统内的共享数据。为了保证数据共享系统内的信息互通,数据共享系统中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享系统中的任意节点接收到输入信息时,数据共享系统中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享系统中全部节点上存储的数据均一致。
对于数据共享系统中的每个节点,均具有与其对应的节点标识,而且数据共享系统中的每个节点均可以存储有数据共享系统中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享系统中的其他节点。每个节点中可维护一个如下表所示的节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为IP(Internet Protocol,网络之间互联的协议)地址以及其他任一种能够用于标识该节点的信息,表1中仅以IP地址为例进行说明。
| 节点名称 | 节点标识 |
| 节点1 | 117.114.151.174 |
| 节点2 | 117.116.189.145 |
| … | … |
| 节点N | 119.123.789.258 |
表1
数据共享系统中的每个节点均存储一条相同的区块链。区块链由多个区块组成,参见图1B,区块链由多个区块组成,创始块中包括区块头和区块主体,区块头中存储有输入信息特征值、版本号、时间戳和难度值,区块主体中存储有输入信息;创始块的下一区块以创始块为父区块,下一区块中同样包括区块头和区块主体,区块头中存储有当前区块的输入信息特征值、父区块的区块头特征值、版本号、时间戳和难度值,并以此类推,使得区块链中每个区块中存储的区块数据均与父区块中存储的区块数据存在关联,保证了区块中输入信息的安全性。
在生成区块链中的各个区块时,参见图1C,区块链所在的节点在接收到输入信息时,对输入信息进行校验,完成校验后,将输入信息存储至内存池中,并更新其用于记录输入信息的哈希树;之后,将更新时间戳更新为接收到输入信息的时间,并尝试不同的随机数,多次进行特征值计算,使得计算得到的特征值可以满足下述公式:
SHA256(SHA256(version+prev_hash+merkle_root+ntime+nbits+x))<TARGET
其中,SHA256为计算特征值所用的特征值算法;version(版本号)为区块链中相关区块协议的版本信息;prev_hash为当前区块的父区块的区块头特征值;merkle_root为输入信息的特征值;ntime为更新时间戳的更新时间;nbits为当前难度,在一段时间内为定值,并在超出固定时间段后再次进行确定;x为随机数;TARGET为特征值阈值,该特征值阈值可以根据nbits确定得到。
这样,当计算得到满足上述公式的随机数时,便可将信息对应存储,生成区块头和区块主体,得到当前区块。随后,区块链所在节点根据数据共享系统中其他节点的节点标识,将新生成的区块分别发送给其所在的数据共享系统中的其他节点,由其他节点对新生成的区块进行校验,并在完成校验后将新生成的区块添加至其存储的区块链中。
数据共享系统100B中存储的输入信息可以是进程快照,可以是进程快照中包含的一个或多个进程信息,可以是进程的第一安全标识、第二安全标识,也可以是生成的进程安全验证白名单等。
以下对本申请实施例的技术方案的实现细节进行详细阐述:
图2示意性示出了根据本申请的一个实施例的进程安全验证白名单生成方法的流程图,该进程安全验证白名单生成方法的执行主体可以是服务器,比如可以是图1A中所示的服务器103A。
参照图2所示,该进程安全验证白名单生成方法至少包括步骤S210至步骤S240,详细介绍如下:
在步骤S210中,获取进程快照。
在本申请的一个实施例中,可以实时获取进程快照,也可以根据需要在设定时间获取进程快照,以使获得的进程快照更加准确。
在本申请的一个实施例中,可以当监测到有新的进程出现时获取进程快照,从而能够及时的对出现的进程进行安全检测。
在本申请的一个实施例中,可以获取所有进程的进程快照,以进行对所有进程的检测,每当有新的进程出现时,还可以只获取新的进程的进程快照,以提高进程检测的效率。
在本申请的一个实施例中,进程快照可以包括进程对应的文件、文件对应的哈希值、文件名称、文件路径、文件大小、创建时间、修改时间、证书信息、厂商信息、版本信息等进程信息。
在本申请的一个实施例中,进程对应的文件可以为PE(Portable Executable,可执行)文件。
在本申请的一个实施例中,进程对应的哈希值可以为进程文件对应的MD5值(Message DigestAlgorithm,中文名为消息摘要算法第五版)、可以为进程文件对应的SHA-1值(Secure Hash Algorithm,安全散列算法)、可以为进程文件对应的SHA-256值。由于每个进程的文件只对应唯一一个哈希值,使用哈希值进行进程检测能够有效的找到哈希值对应的进程。
在步骤S220中,根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险。
在本申请的一个实施例中,可以从进程快照中获得进程的文件和文件对应的哈希值,根据文件对应的哈希值和进程的文件释放行为确定进程的第一安全标识。
在本申请的一个实施例中,如图3所示,给出了在步骤S220中,根据进程快照确定进程的第一安全标识的过程,可以包括步骤S310至步骤S330,详细介绍如下:
参照图3,在步骤S310中,将文件对应的哈希值与指定哈希库比较,获得指定哈希库返回的文件的初始标识,初始标识包括安全、未知和危险。由于每个进程的文件只对应唯一一个哈希值,根据哈希值获得的初始标识能够有效的表示哈希值对应的进程的初始标识。
在本申请的一个实施例中,指定哈希库可以是卡巴斯基反病毒库、赛门铁克反病毒库、电脑管家病毒库等权威的病毒库。将需要检测的进程的文件对应的哈希值与这些指定的权威哈希库比较,能够获得这些指定哈希库返回的文件的初始标识。
在本申请的一个实施例中,可以将指定哈希库返回的结果为未知的进程的初始标识确认为未知。
在本申请的一个实施例中,可以将多个指定哈希库返回的结果中,多个哈希库返回的文件的初始标识不一致的进程的初始标识确认为未知。
参照图3,在步骤S320中,基于初始标识为未知的进程的文件释放行为,确定初始标识为未知的进程的更新标识,更新标识包括安全、未知和危险。
在本申请的一个实施例中,对于初始标识为未知的进程暂时不能判断出其是否安全,因此进行进一步筛选,可以将初始标识为未知的进程的文件放入沙箱中模拟进程的运行过程,进而观察文件的释放行为。
在本申请的一个实施例中,沙箱可以选用开源沙箱,如布谷鸟沙箱来观察进程的文件的释放行为。使用沙箱来可以根据需要设置文件的多种释放行为,并且可以观察到释放行为的细节,从而可以通过观察文件释放行为的细节来为初始标识为未知的进程确定更新标识。
继续参照图3,在步骤S330中,将初始标识或更新标识为安全的进程的第一安全标识确定为安全;将初始标识或更新标识为危险的进程的第一安全标识确定为危险;将更新标识为未知的进程的第一安全标识确定为未知。
在本申请的一个实施例中,可以根据文件对应的哈希值确定进程的第一安全标识,将通过文件哈希值确定的初始标识为未知的第一安全标识确定为未知。或者可以根据进程的文件释放行为确定全部进程的第一安全标识,将通过文件释放行为确定的更新标识为未知的第一安全标识确定为未知。
在该实施例中,通过将进程文件对应的哈希值和指定哈希库比较,得到文件的初始标识,以对进程进行初步筛选。对于通过比较哈希值不能知晓进程是否安全的初始标识为未知的进程,通过观察进程文件的释放行为,确定进程的第一安全标识,为初始标识为未知的进程中的一部分进程进行判定,以便于缩小未知进程的范围,从而只需要在下一步对第一标识为未知的进程进行判定即可,提高了进程的检测效率。同时,因为使用了多种方法检测进程的安全性,能够更加有效的检测出恶意进程。
继续参照图2,在步骤S230中,通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险。
在本申请的一个实施例中,可以通过多维度安全验证确定第一安全标识为未知的进程的风险分数;根据风险分数确定第一安全标识为未知的进程的第二安全标识。
在本申请的一个实施例中,可以从进程快照中得到第一安全标识为未知的进程的多个进程信息;分别确定多个进程信息中每个进程信息的风险分数。
在本申请的一个实施例中,可以将进程信息和进程信息对应的分数存储在预设进程信息分数表中,将进程信息和预设进程信息分数表进行比对得到进程信息的风险分数。
在本申请的一个实施例中,多个进程信息可以包括该进程的文件对应的哈希值,可以获取在除了指定哈希库之外的其他哈希库中,其他哈希库判定的该进程的文件对应的哈希值的结果,根据其他哈希库判定的结果确定该进程的文件对应的哈希值的风险分数。
在本申请的一个实施例中,其他哈希库可以为一个或多个病毒库,病毒库中存储的哈希值为病毒文件对应的哈希值。其他哈希库判定的结果可以包括:危险和安全。如果进程的文件对应的哈希值在某个其他哈希库中,则认为该进程的第二安全标识为危险;如果进程的文件对应的哈希值不在任意一个其他哈希库中,则该病毒库认为该进程的第二安全标识为安全。
在本申请的一个实施例中,可以统计其他哈希库判定进程为危险的次数作为进程的病毒分数,可以将病毒分数作为进程的文件对应的哈希值的风险分数。
在本申请的一个实施例中,可以统计其他哈希库判定进程为危险的次数,根据判定进程为危险的次数确定进程的危险等级,可以预设危险等级对应的病毒分数,根据进程的危险等级查找对应的病毒分数。
在本申请的一个实施例中,可以统计其他哈希库中具有该哈希值的哈希库的数量,可以根据包含该哈希值的哈希库的数量确定病毒分数。可以将包含该哈希值的哈希库的数量和其对应的分数存储在预设进程信息分数表中,如表2所示:
表2
在表2中,将其他哈希库判定进程为危险的次数为0的进程确定为白进程,白进程对应的病毒分数设定为0分;可以将其他哈希库判定进程为危险的次数小于等于5的进程确定为低危进程,低危进程对应的病毒分数设定为20分;可以将其他哈希库判定进程为危险的次数小于10的进程确定为中危进程,中危进程对应的进程的病毒分数设定为40分;可以将其他哈希库判定进程为危险的次数大于等于10的进程确定为高危进程,高危进程对应的的进程的病毒分数设定为60分。例如,某个进程出现在8个其他哈希库中,则确认该进程是中危进程,病毒分数是40分。
在本申请的一个实施例中,如果进程为危险时,每个其他哈希库可以根据进程的文件对应的哈希值判断出进程的危险等级,其他哈希库判定的结果可以包括进程的危险等级。可以统计多个根据每个其他哈希库判定的危险等级确定的进程的病毒分数,将统计结果求和作为进程的病毒分数。
在本申请的一个实施例中,可以提前设置其他哈希库的权威度,根据其他哈希库的权威度和其他哈希库的结果对应的病毒分数求加权和,将加权和的结果作为进程的病毒分数。
在本申请的一个实施例中,可以求根据多个其他哈希库确定的进程的病毒分数的平均病毒分数,将平均病毒分数作为进程的病毒分数。
在本申请的一个实施例中,多个进程信息可以包括进程的厂商签名,可以根据厂商签名来确定进程的厂商分数,可以根据是否有厂商签名、厂商签名的可信度来确定进程的厂商分数,可以将厂商分数确定为该进程的厂商信息对应的风险分数。
在本申请的一个实施例中,厂商签名的可信度可以分为黑签名、大厂商和小厂商。
在本申请的一个实施例中,可以将厂商签名和其对应的分数存储在预设进程信息分数表中,如表3所示:
表3
在表3中,可以将大厂商的签名对应的进程确定为白进程,白进程的厂商分数设定为0分;可以将小厂商的签名对应的进程确定为低危进程,低危进程的厂商分数设定为20分;可以将没有厂商签名对应的进程确定为中危进程,中危进程的厂商分数设定为40分;可以将黑签名对应的进程确定为高危进程,高危进程的厂商分数设定为60分。
在本申请的一个实施例中,多个进程信息可以包括进程的流行程度,可以根据该进程存在的终端的数量确定进程的流行程度,可以根据进程的流行程度确定该进程的流行分数,可以根据进程的流行分数确定进程的流行程度对应的风险分数。
在本申请的一个实施例中,可以将进程的流行分数作为进程的风险分数。
在本申请的一个实施例中,可以统计在设定数量的终端中,安装该进程的终端的百分比,根据终端中进程的百分比确定进程的流行程度。
在本申请的一个实施例中,可以将进程的流行程度和其对应的分数存储在预设进程信息分数表中,如表4所示:
| 维度 | 非常普遍进程 | 普遍进程 | 罕见进程 | 非常罕见进程 |
| 流行程度 | >90% | >30% | 无签名 | 黑签名 |
| 分数 | 0 | 20 | 40 | 60 |
表4
在表4中,可以将流行度大于90%的进程确定为非常普遍进程,非常普遍进程的流行分数设定为0分;可以将流行度大于30%的进程确定为普遍进程,普遍进程的流行分数设定为20分;可以将流行度小于等于30%的进程确定为罕见进程,罕见进程的流行分数设定为40分;可以将流行度等于0的进程确定为非常罕见进程,非常罕见进程的流行分数设定为60分。
在本申请的一个实施例中,多个进程信息可以包括进程的启动方式,可以根据进程的启动方式确定进程的启动分数,可以根据进程的启动分数确定进程的启动方式对应的风险分数。
在本申请的一个实施例中,可以将进程的启动分数作为进程的风险分数。
在本申请的一个实施例中,可以将进程的启动方式和其对应的分数存储在预设进程信息分数表中,如表5所示:
| 维度 | 白进程 | 低危进程 | 中危进程 | 高危进程 |
| 启动方式 | 触发启动 | 其他进程拉起 | 自启动 | 未知 |
| 分数 | 0 | 20 | 40 | 60 |
表5
在表5中,可以将用户触发启动的进程确定为白进程,白进程的启动分数设定为10分;可以将其他程序拉起启动的进程确定为低危进程,低危进程的启动分数设定为20分;可以将自动启动的进程确定为中危进程,中危进程的启动分数设定为40分;可以将启动方式未知的进程确定为高危进程,高危进程的启动分数设定为60分。
在本申请的一个实施例中,当进程的启动条件是其他程序拉起时,可以通过和其他程序的厂商人员确认,以确定启动分数的可靠性。
在本申请的一个实施例中,多个进程信息可以包括进程的首次出现时间距离获取进程快照时的时间跨度,可以根据进程的首次出现时间跨度确定进程的时间分数,可以根据进程的时间分数确定进程的风险分数。
在本申请的一个实施例中,可以将进程的时间分数作为进程的风险分数。
在本申请的一个实施例中,可以将进程的启动方式和其对应的分数存储在预设进程信息分数表中,如表6所示:
表6
在表6中,可以将首次出现时间跨度大于等于30天的进程确定为白进程,白进程的时间分数设定为10分;可以将首次出现时间跨度大于等于7天的进程确定为低危进程,低危进程的时间分数设定为20分;可以将首次出现时间跨度小于7天的进程确定为中危进程,中危进程的时间分数设定为40分;可以将首次出现的进程确定为高危进程,高危进程的时间分数设定为60分。
在本申请的一个实施例中,多个进程信息可以包括进程的文件名称、文件路径、文件大小、创建时间、修改时间、证书信息、厂商信息、版本信息等。
在本申请的一个实施例中,可以将多个进程信息的风险分数之和作为第一安全标识为未知的进程的风险分数。
在本申请的一个实施例中,可以将进程的文件对应的哈希值的风险分数、进程的厂商信息对应的风险分数、进程的流行程度对应的风险分数、进程的启动方式对应的风险分数求和,将这些进程信息对应的风险分数的和作为该进程的风险分数。
在本申请的一个实施例中,若风险分数未达到阈值,则确认第一安全标识为未知的进程的第二安全标识为安全;若风险分数达到阈值,则确认第一安全标识为未知的进程的第二安全标识为危险。
在本申请的一个实施例中,可以将阈值设定为60分。当一个第一安全标识为未知的进程的病毒分数是20分、厂商分数是0分、流行分数是40分、启动分数是10分、时间分数是20分时,该进程的风险分数是:20+0+40+10+20=90分,可见该进程的风险分数90分超过了阈值60分,可以确定该未知进程的第二安全标识是危险。
在本申请的一个实施例中,可以根据风险分数的值确认第一安全标识为未知的进程的风险等级,根据进程的风险等级确定进程的第二安全标识。
继续参照图2,在步骤S240中,通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
在本申请的一个实施例中,可以将第一安全标识为安全的进程和第二安全标识为安全的进程对应的哈希值存储成为进程安全验证白名单。
在图2的实施例中,通过获取进程快照,根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险,将第一安全标识为安全的进程的第二安全标识确认为安全;将第一安全标识为危险的进程的第二安全标识确认为危险;对于第一安全标识为未知的进程,通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险,将第二安全标识为安全的进程确认为安全,将第二安全标识为危险的进程确认为危险,通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单,进而可以应用进程安全验证白名单对进程进行检测,在进程安全验证白名单内的进程确认为安全进程,不在进程安全验证白名单内的进程确认为危险进程,能够更加有效的对进程进行检测。
在本申请的一个实施例中,可以对进程安全验证白名单中每个进程进行多维度安全验证,得到进程安全验证白名单中每个进程的风险分数,根据进程安全验证白名单中每个进程的风险分数调整阈值,以使设定的阈值更加合适。
在本申请的一个实施例中,可以将进程安全验证白名单中进程的风险分数中的最大值作为阈值。
在本申请的一个实施例中,可以将进程安全验证白名单进程的风险分数求平均值,将进程安全验证白名单中的风险分数的平均值作为阈值。
在本申请的一个实施例中,可以将第一安全标识和第二安全标识为危险的进程发送至检测终端,由检测终端的检测人员对危险进程根据进程信息进一步筛选。将检测终端确认为安全的进程的文件对应的哈希值存储至进程安全验证白名单中,将检测终端确认为危险的进程删除,并清除风险,找到风险原因,采取措施根除风险。
在本申请的一个实施例中,可以将检测终端确认为危险的进程的哈希值存储至除了指定哈希库之外的其他哈希库中,以进行其他哈希库的更新,从而更加有效的检测出恶意进程。如果进程的哈希值不在进程安全验证白名单中,则报警,由检测终端或检测终端的检测人员进一步确认进程是否为安全进程,如果进程是安全进程,则将进程对应的哈希值存入进程安全验证白名单;如果进程不是安全进程,则将进程删除,并清除风险。
在本申请的一个实施例中,使用该进程安全验证白名单进行进程检测时,可以将哈希值在进程安全验证白名单中的进程确认为安全进程。
图4给出了本申请的一个实施例的应用本申请的进程安全验证白名单生成方法生成的白名单进行安全检测的流程图,图4中过程的执行主体可以是图1A中的服务器103A。
参照图4所示,应用本申请的进程安全验证白名单生成方法生成的白名单进行安全检测的方法至少包括步骤S410至步骤S440,详细介绍如下:
在步骤S410中,获取新增进程的文件对应的哈希值;
在步骤S420中,查找安全进程白名单,判断新增文件的哈希值是否在安全进程白名单中;
在步骤S430中,若新增文件的哈希值在安全进程白名单中,则确认该新增进程安全;
在步骤S440中,若新增文件的哈希值不在安全进程白名单中,则报警,以供终端用户和检测人员分析新增进程是否安全;
在步骤S450中,若终端用户和检测人员分析新增进程安全,则将新增进程的哈希值增加至安全进程白名单中;
在步骤S460中,若终端用户和检测人员分析新增进程为恶意进程,则清除该新增进程,并回溯风险。
在该实施例中,通过只确认在白名单中的进程是安全进程,将不在白名单中的安全进程发送至终端用户和检测人员,避免了只采用黑名单拦截,黑名单不全面的问题,能够更加有效的检测出恶意进程。
图5给出了本申请的一个实施例的生成进程安全验证白名单的示意图,图5中过程的执行主体可以是图1A中的服务器103A。
参照图5所示,生成进程安全验证白名单的过程可以包括步骤S510至步骤S560,详细介绍如下:
在步骤S510中,获取全部进程的首次进程快照,并将首次快照中的全部进程的哈希值存入进程安全验证白名单中;
在步骤S520中,从进程安全验证白名单中读取全部哈希值,从首次快照中获取全部哈希值对应的进程信息;
在步骤S530中,根据哈希值为全部进程设定第一安全标识,将第一安全标识为安全的进程存入进程安全验证白名单中,将第一安全标识为危险的进程剔除;
在步骤S540中,将第一安全标识为未知的进程送入未知风险判定系统进行多维度安全验证得到第一安全标识为未知进程的风险分数;
在步骤S550中,第一安全标识为未知进程的风险分数未达到阈值的进程的哈希值存入进程安全验证白名单中,第一安全标识为未知进程的风险分数达到阈值的进程发送至终端用户和检测人员;
在步骤S560中,将终端用户和检测人员都确认为安全的进程的哈希值存入进程安全验证白名单中,将确认为危险的进程清除并回溯风险。
图6给出了本申请的一个实施例的图5中生成进程安全验证白名单和图4中使用生成的进程安全验证白名单检测进程的示意图。
在本申请的一个实施例中,可以将本申请的进程安全验证白名单用于服务器或用户终端中的进程检测。例如,获得待检测的进程的哈希值为E8F34210AE8C636DBF3610E6AB0D0FB7,在应用黑名单安全检测技术检测时,由于该哈希值没有记载在黑名单中,黑名单安全检测技术认为该哈希值对应的进程安全。而在应用该进程安全验证白名单进行进程检测时,将待检测检测的进程的哈希值与进程安全验证白名单进行比对,发现待检测进程的哈希值不在进程安全验证白名单中,将该进程的进程信息发送至检测终端并报警,通知检测人员确认该进程是否安全,检测人员发现该哈希值对应的进程是恶意进程。由此可见,应用本申请的进程安全验证白名单可以更加有效的检测出恶意进程。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的进程安全验证白名单生成方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的进程安全验证白名单生成方法的实施例。
图7示意性示出了根据本申请的一个实施例的进程安全验证白名单生成装置的框图。
参照图7所示,根据本申请的一个实施例的进程安全验证白名单生成装置700,包括获取模块701、第一安全模块702、第二安全模块703和生成模块704。
在本申请的一些实施例中,基于前述方案,获取模块701用于获取进程快照;第一安全模块702用于根据进程快照确定进程的第一安全标识,第一安全标识包括安全、未知和危险;第二安全模块703用于通过多维度安全验证确定第一安全标识为未知的进程的第二安全标识,第二安全标识包括:安全和危险;生成模块704用于通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
在本申请的一些实施例中,基于前述方案,第一安全模块702配置为:从进程快照中获得进程的文件和文件对应的哈希值;根据文件对应的哈希值和进程的文件释放行为确定进程的第一安全标识。
在本申请的一些实施例中,基于前述方案,第一安全模块702还配置为:将文件对应的哈希值与指定哈希库比较,获得指定哈希库返回的文件的初始标识,初始标识包括安全、未知和危险;基于初始标识为未知的进程的文件释放行为,确定初始标识为未知的进程的更新标识,更新标识包括安全、未知和危险;将初始标识或更新标识为安全的进程的第一安全标识确定为安全;将初始标识或更新标识为危险的进程的第一安全标识确定为危险;将更新标识为未知的进程的第一安全标识确定为未知。
在本申请的一些实施例中,基于前述方案,第二安全模块703配置为:通过多维度安全验证确定第一安全标识为未知的进程的风险分数;根据风险分数确定第一安全标识为未知的进程的第二安全标识。
在本申请的一些实施例中,基于前述方案,第二安全模块703还配置为:从进程快照中得到第一安全标识为未知的进程的多个进程信息;分别确定多个进程信息中每个进程信息的风险分数;将多个进程信息的风险分数之和作为第一安全标识为未知的进程的风险分数。
在本申请的一些实施例中,基于前述方案,第二安全模块703还配置为:将进程信息和预设进程信息分数表进行比对得到进程信息的风险分数。
在本申请的一些实施例中,基于前述方案,第二安全模块703还配置为:若风险分数未达到阈值,则确认第一安全标识为未知的进程的第二安全标识为安全;若风险分数达到阈值,则确认第一安全标识为未知的进程的第二安全标识为危险。
在本申请的一些实施例中,基于前述方案,第二安全模块703还配置为:对进程安全验证白名单中每个进程进行多维度安全验证,得到进程安全验证白名单中每个进程的风险分数;根据进程安全验证白名单中每个进程的风险分数调整阈值。
在本申请的一些实施例中,基于前述方案,第二安全模块703还配置为:将进程安全验证白名单中进程的风险分数中的最大值作为阈值。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图8来描述根据本申请的这种实施方式的电子设备80。图8显示的电子设备80仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图8所示,电子设备80以通用计算设备的形式表现。电子设备80的组件可以包括但不限于:上述至少一个处理单元81、上述至少一个存储单元82、连接不同系统组件(包括存储单元82和处理单元81)的总线83、显示单元84。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元81执行,使得所述处理单元81执行本说明书上述“实施例方法”部分中描述的根据本申请各种示例性实施方式的步骤。
存储单元82可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)821和/或高速缓存存储单元822,还可以进一步包括只读存储单元(ROM)823。
存储单元82还可以包括具有一组(至少一个)程序模块825的程序/实用工具824,这样的程序模块825包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线83可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备80也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备80交互的设备通信,和/或与使得该电子设备80能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口85进行。并且,电子设备80还可以通过网络适配器86与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器86通过总线83与电子设备80的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备80使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本申请实施方式的方法。
根据本申请一个实施例,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
在本申请的一些实施例中,提供了一种本申请的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围执行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (16)
1.一种进程安全验证白名单生成方法,其特征在于,包括:
获取进程快照;
根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;
从所述进程快照中得到所述第一安全标识为未知的进程的多个进程信息;
分别确定所述多个进程信息中每个进程信息的风险分数;
将所述多个进程信息的风险分数之和作为所述第一安全标识为未知的进程的风险分数;
根据所述第一安全标识为未知的进程的风险分数确定所述第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;
通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
2.根据权利要求1所述的进程安全验证白名单生成方法,其特征在于,所述根据所述进程快照确定所述进程的第一安全标识,包括:
从所述进程快照中获得所述进程的文件和所述文件对应的哈希值;
根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识。
3.根据权利要求2所述的进程安全验证白名单生成方法,其特征在于,根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识,包括:
将所述文件对应的哈希值与指定哈希库比较,获得所述指定哈希库返回的文件的初始标识,所述初始标识包括安全、未知和危险;
基于初始标识为未知的进程的文件释放行为,确定所述初始标识为未知的进程的更新标识,所述更新标识包括安全、未知和危险;
将所述初始标识或所述更新标识为安全的进程的第一安全标识确定为安全;
将所述初始标识或所述更新标识为危险的进程的第一安全标识确定为危险;
将所述更新标识为未知的进程的第一安全标识确定为未知。
4.根据权利要求1所述的进程安全验证白名单生成方法,其特征在于,所述分别确定所述多个进程信息中的每个进程信息的风险分数,包括:
将所述进程信息和预设进程信息分数表进行比对得到所述进程信息的风险分数。
5.根据权利要求1所述的进程安全验证白名单生成方法,其特征在于,根据所述第一安全标识为未知的风险分数确定所述第一安全标识为未知的进程的第二安全标识,包括:
若所述第一安全标识为未知的风险分数未达到阈值,则确认所述第一安全标识为未知的进程的第二安全标识为安全;
若所述第一安全标识为未知的风险分数达到所述阈值,则确认所述第一安全标识为未知的进程的第二安全标识为危险。
6.根据权利要求5所述的进程安全验证白名单生成方法,其特征在于,还包括:
对所述进程安全验证白名单中每个进程进行多维度安全验证,得到所述进程安全验证白名单中每个进程的风险分数;
根据所述进程安全验证白名单中每个进程的风险分数调整所述阈值。
7.根据权利要求6所述的进程安全验证白名单生成方法,其特征在于,所述根据所述进程安全验证白名单中每个进程的风险分数调整所述阈值,包括:
将所述进程安全验证白名单中进程的风险分数中的最大值作为所述阈值。
8.一种进程安全验证白名单生成装置,其特征在于,包括:
获取模块,用于获取进程快照;
第一安全模块,用于根据所述进程快照确定所述进程的第一安全标识,所述第一安全标识包括安全、未知和危险;
第二安全模块,用于从所述进程快照中得到所述第一安全标识为未知的进程的多个进程信息;分别确定所述多个进程信息中每个进程信息的风险分数;将所述多个进程信息的风险分数之和作为所述第一安全标识为未知的进程的风险分数;根据所述第一安全标识为未知的进程的风险分数确定所述第一安全标识为未知的进程的第二安全标识,所述第二安全标识包括:安全和危险;
生成模块,用于通过第一安全标识为安全的进程和第二安全标识为安全的进程生成进程安全验证白名单。
9.根据权利要求8所述的进程安全验证白名单生成装置,其特征在于,所述第一安全模块配置为:
从所述进程快照中获得所述进程的文件和所述文件对应的哈希值;
根据所述文件对应的哈希值和所述进程的文件释放行为确定所述进程的第一安全标识。
10.根据权利要求9所述的进程安全验证白名单生成装置,其特征在于,所述第一安全模块配置为:
将所述文件对应的哈希值与指定哈希库比较,获得所述指定哈希库返回的文件的初始标识,所述初始标识包括安全、未知和危险;
基于初始标识为未知的进程的文件释放行为,确定所述初始标识为未知的进程的更新标识,所述更新标识包括安全、未知和危险;
将所述初始标识或所述更新标识为安全的进程的第一安全标识确定为安全;
将所述初始标识或所述更新标识为危险的进程的第一安全标识确定为危险;
将所述更新标识为未知的进程的第一安全标识确定为未知。
11.根据权利要求8所述的进程安全验证白名单生成装置,其特征在于,所述第二安全模块配置为:
将所述进程信息和预设进程信息分数表进行比对得到所述进程信息的风险分数。
12.根据权利要求8所述的进程安全验证白名单生成装置,其特征在于,所述第二安全模块配置为:
若所述第一安全标识为未知的风险分数未达到阈值,则确认所述第一安全标识为未知的进程的第二安全标识为安全;
若所述第一安全标识为未知的风险分数达到所述阈值,则确认所述第一安全标识为未知的进程的第二安全标识为危险。
13.根据权利要求12所述的进程安全验证白名单生成装置,其特征在于,所述第二安全模块还配置为:
对所述进程安全验证白名单中每个进程进行多维度安全验证,得到所述进程安全验证白名单中每个进程的风险分数;
根据所述进程安全验证白名单中每个进程的风险分数调整所述阈值。
14.根据权利要求13所述的进程安全验证白名单生成装置,其特征在于,所述第二安全模块还配置为:
将所述进程安全验证白名单中进程的风险分数中的最大值作为所述阈值。
15.一种计算机可读程序介质,其存储有计算机程序指令,当所述计算机程序指令被计算机执行时,使计算机执行上述权利要求1-7中任一项所述的方法。
16.一种电子设备,其特征在于,包括:
处理器;
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现上述权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911114602.9A CN110929259B (zh) | 2019-11-14 | 2019-11-14 | 进程安全验证白名单生成方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911114602.9A CN110929259B (zh) | 2019-11-14 | 2019-11-14 | 进程安全验证白名单生成方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110929259A CN110929259A (zh) | 2020-03-27 |
| CN110929259B true CN110929259B (zh) | 2021-09-28 |
Family
ID=69853933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911114602.9A Active CN110929259B (zh) | 2019-11-14 | 2019-11-14 | 进程安全验证白名单生成方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110929259B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614660B (zh) * | 2020-05-19 | 2022-01-18 | 北京字节跳动网络技术有限公司 | 安全验证缺陷检测的方法、装置以及电子设备 |
| CN112153062B (zh) * | 2020-09-27 | 2023-02-21 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN112214768A (zh) * | 2020-10-16 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种恶意进程的检测方法及装置 |
| CN112765684B (zh) * | 2021-04-12 | 2021-07-30 | 腾讯科技(深圳)有限公司 | 区块链节点终端管理方法、装置、设备及存储介质 |
| CN113672907B (zh) * | 2021-07-29 | 2023-12-22 | 济南浪潮数据技术有限公司 | 基于JVM沙箱与黑白名单的Java安全防范方法、装置及介质 |
| CN113779562A (zh) * | 2021-09-22 | 2021-12-10 | 恒安嘉新(北京)科技股份公司 | 基于零信任的计算机病毒防护方法、装置、设备及介质 |
| CN113836542A (zh) * | 2021-10-13 | 2021-12-24 | 南方电网数字电网研究院有限公司 | 可信白名单匹配方法、系统和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009138641A1 (fr) * | 2008-04-21 | 2009-11-19 | France Telecom | Procede d'utilisation d'un terminal hote par un dispositif externe connecte au terminal |
| CN102893289A (zh) * | 2010-03-15 | 2013-01-23 | F-赛酷公司 | 恶意软件保护 |
| CN103020527A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 主动拦截恶意程序的方法、装置、系统 |
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
-
2019
- 2019-11-14 CN CN201911114602.9A patent/CN110929259B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009138641A1 (fr) * | 2008-04-21 | 2009-11-19 | France Telecom | Procede d'utilisation d'un terminal hote par un dispositif externe connecte au terminal |
| CN102893289A (zh) * | 2010-03-15 | 2013-01-23 | F-赛酷公司 | 恶意软件保护 |
| CN103020527A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 主动拦截恶意程序的方法、装置、系统 |
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110929259A (zh) | 2020-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110929259B (zh) | 进程安全验证白名单生成方法、装置 | |
| US11165811B2 (en) | Computer security vulnerability assessment | |
| JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| US9158915B1 (en) | Systems and methods for analyzing zero-day attacks | |
| US10853487B2 (en) | Path-based program lineage inference analysis | |
| WO2018182126A1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
| JPWO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US10127385B2 (en) | Automated security vulnerability exploit tracking on social media | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| US11522901B2 (en) | Computer security vulnerability assessment | |
| CN112131571B (zh) | 威胁溯源方法及相关设备 | |
| US9910994B1 (en) | System for assuring security of sensitive data on a host | |
| US20180048670A1 (en) | Evaluation node for reporting status via a secure link | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| CN115118504B (zh) | 知识库更新方法、装置、电子设备及存储介质 | |
| WO2020000753A1 (zh) | 一种设备安全监控方法和装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN110149324B (zh) | 一种网络防攻击方法、装置及设备 | |
| CN112464249A (zh) | 资产设备攻击漏洞修复方法、装置、设备及存储介质 | |
| US20180341772A1 (en) | Non-transitory computer-readable storage medium, monitoring method, and information processing apparatus | |
| CN117009962B (zh) | 一种基于有效标签的异常检测方法、装置、介质及设备 | |
| CN113868643B (zh) | 运行资源的安全检测方法、装置、电子设备及存储介质 | |
| CN116861428B (zh) | 一种基于关联文件的恶意检测方法、装置、设备及介质 | |
| CN116861429B (zh) | 一种基于样本行为的恶意检测方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40022335 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |