CN111079139A - 进程预警方法、装置、计算机设备和计算机可读存储介质 - Google Patents

进程预警方法、装置、计算机设备和计算机可读存储介质 Download PDF

Info

Publication number
CN111079139A
CN111079139A CN201911344746.3A CN201911344746A CN111079139A CN 111079139 A CN111079139 A CN 111079139A CN 201911344746 A CN201911344746 A CN 201911344746A CN 111079139 A CN111079139 A CN 111079139A
Authority
CN
China
Prior art keywords
detected
risk score
type
information
judging
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911344746.3A
Other languages
English (en)
Inventor
马立伟
王月强
李志豪
张刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201911344746.3A priority Critical patent/CN111079139A/zh
Publication of CN111079139A publication Critical patent/CN111079139A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Alarm Systems (AREA)

Abstract

本申请实施例公开了一种进程预警方法、装置、计算机设备和计算机可读存储介质;获取待检测进程的进程信息;基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型;当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型;基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数;当所述风险分数达到预设风险分数时,进行进程预警。该方案可以提高进程预警的准确率。

Description

进程预警方法、装置、计算机设备和计算机可读存储介质
技术领域
本申请涉及通信技术领域,具体涉及一种进程预警方法、装置、计算机设备和计算机可读存储介质。
背景技术
近年来,在通信技术飞速发展的同时,也催生了越来越多的非法进程,正确的进程预警能够帮助用户在杀毒软件不起作用时,手动出掉病毒或木马。
在对相关技术的研究和实践过程中,本申请的发明人发现当前业内检测进程是否合法的通用方法是基于已知名单进行判定,黑名单则为恶意,白名单为正常,但此方案存在大量漏洞,因为名单外存在大量无法判断黑白的进程,且不能粗暴的判定未知就是黑文件,会造成很多小众软件、用户自写软脚本等被误报,进程预警的准确率低。
发明内容
本申请实施例提供一种进程预警方法、装置、计算机设备和计算机可读存储介质,可以提高进程预警的准确率。
本申请实施例提供了一种进程预警方法,包括:
获取待检测进程的进程信息;
基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型;
当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型;
基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数;
当所述风险分数达到预设风险分数时,进行进程预警。
相应的,本申请实施例提供了一种进程预警装置,包括:
获取单元,用于获取待检测进程的进程信息;
第一判定单元,用于基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型;
第二判定单元,用于当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型;
设置单元,用于基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数;
预警单元,用于当所述风险分数达到预设风险分数时,进行进程预警。
在一实施例中,所述第一判定单元,包括:
第一比对子单元,用于将所述待检测进程的进程信息与第一进程判定系统中预设进程的进程信息进行比对,得到第一比对结果;
第一得到子单元,用于根据所述第一比对结果,得到所述待检测进程在所述第一进程判定系统中的第一进程类型。
在一实施例中,所述第二判定单元,包括:
第二比对子单元,用于将所述待检测进程的进程信息与第二进程判定系统中预设进程的进程信息进行比对,得到第二比对结果;
第二得到子单元,用于基于所述第二比对结果,得到所述待检测进程在所述第二进程判定系统中的第二进程类型。
在一实施例中,所述设置单元,包括:
第一设置子单元,用于基于所述第二进程类型,对所述待检测进程进行分数设置,得到所述待检测进程的分数;
判定子单元,用于通过第三进程判定系统和所述分数,对所述待检测进程进行判定,得到所述待检测进程在所述第三进程判定系统中的第三进程类型;
第二设置子单元,用于基于所述第三进程类型,设置所述待检测进程的风险分数,得到所述待检测进程的风险分数。
在一实施例中,所述判定子单元还用于当所述分数达到预设分数时,将所述待检测进程的进程信息与所述第三进程判定系统中预设进程的进程信息进行比对,得到第三比对结果;基于所述第三比对结果,得到所述待检测进程在所述第三判定系统中的第三进程类型。
在一实施例中,所述判定子单元还用于基于所述第三比对结果,当所述预设进程的进程信息存在所述待检测进程的进程信息时,得到所述待检测进程在所述第三判定系统中的第三进程类型。
在一实施例中,所述第二设置子单元还用于基于所述第三进程类型,设置所述待检测进程在进程入侵阶段中多个不同子进程入侵阶段的子风险分数,得到多个子风险分数;根据所述多个子风险分数,计算所述待检测进程的进程入侵阶段的风险分数,得到所述待检测进程的风险分数。
在一实施例中,所述预警单元,包括:
发送子单元,用于当所述风险分数达到预设风险分数时,向终端发送报警信息。
在一实施例中,所述进程预警装置,还包括:
确定单元,用于根据所述终端基于所述报警信息返回的确认信息,确定所述风险分数对应的进程的状态信息;
处理单元,用于基于所述状态信息,对所述风险分数对应的进程进行处理。
相应的,本申请实施例还提供了一种计算机设备,包括存储器,处理器及存储在储存器上并可在处理器上运行的计算机程序,其中,所述处理器执行本申请实施例任一提供的进程预警方法中的步骤。
相应的,本申请实施例还提供一种计算机可读存储介质,所述存储介质存储有多条指令,所述指令适用于处理器进行加载,以执行本申请实施例任一提供的进程预警方法中的步骤。
本申请实施例可以获取待检测进程的进程信息;基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型;当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型;基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数;当所述风险分数达到预设风险分数时,进行进程预警。该方案可以对待检测进程进行多次进程判定,得到该待检测进程在不同进程判定系统的进程类型,并且可以基于得到的进程类型对该待检测进程设置风险分数,当该风险分数达到预设风险分数时,进行进程预警,多次的进程判定加上设置的风险分数,可以提高进程预警的准确率,进而可以提高网络安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的进程预警方法的场景示意图;
图2是本申请实施例提供的进程预警方法的流程图;
图3是本申请实施例提供的进程预警方法的系统架构图;
图4是本申请实施例提供的区块链系统的结构示意图;
图5是本申请实施例提供的进程预警方法的另一流程图;
图6是本申请实施例提供的进程预警方法的装置图;
图7是本申请实施例提供的进程预警方法的另一装置图
图8是本申请实施例提供的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种进程预警方法、装置、计算机设备和计算机可读存储介质。其中,本申请实施例提供了适用于计算机设备的进程预警装置,该计算机设备可以为服务器等网络侧设备,该进程预警装置可以集成在服务器等网络侧设备中。
本申请实施例将以该进程预警装置集成在服务器中为例,来介绍进程预警方法,参考图1,该服务器可以获取待检测进程的进程信息;基于第一进程判定系统和该进程信息,对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型;当该第一进程类型为预设进程类型时,基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型;基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数;当该风险分数达到预设风险分数时,进行进程预警。
由以上可知,本实施例可以对待检测进程进行多次进程判定,得到该待检测进程在不同进程判定系统的进程类型,并且可以基于得到的进程类型对该待检测进程设置风险分数,当该风险分数达到预设风险分数时,进行进程预警,多次的进程判定加上设置的风险分数,可以提高进程预警的准确率,进而可以提高网络安全。
以下分别进行详细说明,需说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本申请实施例将从进程预警装置的角度进行描述,该进程预警装置具体可以集成在服务器中。
本申请实施例提供一种进程预警方法,该方法可以由服务器的处理器执行,如图2所示,该进程预警方法的具体流程可以如下:
101、获取待检测进程的进程信息。
其中,待检测进程指的是未对其合法性进行检测的进程,比如,很多小众软件、用户自写软件、脚本等对应的进程。
其中,进程信息可以包括进程的属性信息和标识信息等等,可以根据进程信息和通过不同的判定系统来确定进程信息对应的待检测进程的类型,比如,通过进程信息和不同的判定系统确定该进程信息对应的待检测进程是否为恶意进程,是否会造成危害,正确的进程检测能够帮助用户在杀毒软件不起作用时,手动出掉病毒或木马。
可选的,当前业内检测进程是否合法的通用方法是基于已知名单的哈希(hash)判定,黑名单则为恶意,白名单则为正常,但是词方案存在大量的漏报,因为名单外的存在大量无法判定黑白的进程,并不能粗暴的判定未知进程就是黑文件,会造成很多小众软件、用户自写软件、以及脚本等被误报,而本申请实施例则是在不同的进程判定系统对该待检测进程进行判定,并结合设置的待检测进程的风险分数来检测进程的合法性,进行进程预警。
其中,哈希(hash)指的是把任一长度的输入(又叫做预映射,pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
102、基于第一进程判定系统和该进程信息,对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型。
其中,第一进程判定系统是用于判定待检测进程在该第一进程判定系统的进程类型的进程判定系统,比如,该第一进程判定系统可以为如图3所示的哈希(hash)判定系统,根据静态的哈希排除黑和白两种进程类型的进程文件,留下未知安全性的文件,可以理解为哈希判定系统根据该进程信息,判定该进程信息是否存在该哈希判定系统内的黑名单和白名单中,如不在则判定为未知类型的待检测进程,可以进行下一步的待检测进程类型判定。
其中,第一进程类型指的是该待检测进程在该第一进程判定系统中的进程类型为第一进程类型,可以理解的是,当该待检测进程在基于其他进程判定系统对该待检测进程的进程类型进行进程类型判定时,可能就不为第一进程类型了,可能为其他进程类型。
在一实施例中,可以根据待检测进程的进程信息和第一进程判定系统中的预设进程的进程信息来比对,进而得到该待检测进程在该第一进程判定系统中的进程类型,具体步骤可以包括:
将该待检测进程的进程信息与第一进程判定系统中预设进程的进程信息进行比对,得到第一比对结果;
根据该第一比对结果,得到该待检测进程在该第一进程判定系统中的第一进程类型。
其中,该待检测进程的进程信息与该第一进程判定系统中预设进程的进程信息进行比对,可以存在多种情况,比如,该预设进程的进程信息存在进程信息的黑名单和白名单,当该待检测进程的进程信息存在于该黑名单中时,可以发出报警信息,该待检测进程可能存在危险。当该待检测进程的进程信息存在于该白名单中时,可以直接过滤该待检测进程,不用对该待检测进程进行下一步的进程判定。当该待检测进程的进程信息不存在于该黑名单和白名单是,该待检测进程可能是未知进程,需要对该待检测进程进行下一步的进程判定。
103、当该第一进程类型为预设进程类型时,基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型。
其中,第二进程判定系统是用于当第一进程判定系统确定该待检测进程的进程类型为预设进程类型时,对该待检测进程进行第二次进程类型判定的进程判定系统,比如,该第二进程判定系统可以为如图3所示的沙箱系统,在沙箱系统中存在网络行为判定系统,可以将该待检测进程的进程信息与该网络行为判定系统中的进程信息进行比对,根据比对结果确定该待检测进程在该沙箱系统中的进程类型。
其中,第二进程类型指的是该待检测进程在该第二进程判定系统中的进程类型为第二进程类型。
在一实施例中,可以根据待检测进程的进程信息和第二进程判定系统中的预设进程的进程信息进行比对,进而得到该待检测进程在该第二进程判定系统中的进程类型,具体步骤可以包括:
将该待检测进程的进程信息与第二进程判定系统中预设进程的进程信息进行比对,得到第二比对结果;
基于该第二比对结果,得到该待检测进程在该第二进程判定系统中的第二进程类型。
例如,第二进程判定系统可以为如图3所示的沙箱系统,该沙箱系统中存在网络行为判定系统,该网络行为判定系统可能存储有一些进程的黑清单、白清单等等,该待检测进程与该行为判定系统中的进程信息比对的时候,可以是判断该待检测进程的进程信息是否存在于该网络行为判定系统的黑清单和白清单中,进而确定该待检测进程在该第二进程判定系统中的进程类型,得到该待检测进程在该第二进程判定系统中的第二进程类型。
104、基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数。
其中,风险分数指的是根据该待检测进程的入侵阶段所存在的风险所设置的分数,可以提高进程风险预警的准确率,进而提高网络安全。
在一实施例中,待检测进程的风险分数可以基于该待检测进程在第二进程判定系统中得到的第二进程类型来设置,步骤“基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数”可以包括:
基于该第二进程类型,对该待检测进程进行分数设置,得到该待检测进程的分数;
通过第三进程判定系统和该分数,对该待检测进程进行判定,得到该待检测进程在该第三进程判定系统中的第三进程类型;
基于该第三进程类型,设置该待检测进程的风险分数,得到该待检测进程的风险分数。
其中,待检测进程的分数指的是基于该待检测进程在该第二进程判定系统中的判定,设置分数,当该分数未达到预设分数时,可以过滤掉该待检测进程,不用对该待检测进程进行第三次进程判定,当该分数达到预设的分数时,可以对该待检测进程进行第三次判定,以得到该待检测进程在第三进程判定系统中的进程类型。
例如,第三进程判定系统可以为如图3所示的全网真实行为记录系统,该全网真实行为记录系统同样可以存在网络行为判定系统,该全网真实行为记录系统中的网络行为判定系统与沙箱系统中的网络行为判定系统是有区别的,运行的环境不同。
在一实施例中,步骤“通过第三进程判定系统和该分数,对该待检测进程进行判定,得到该待检测进程在该第三进程判定系统中的第三进程类型”可以包括:
当该分数达到预设分数时,将该待检测进程的进程信息与该第三进程判定系统中预设进程的进程信息进行比对,得到第三比对结果;
基于该第三比对结果,得到该待检测进程在该第三判定系统中的第三进程类型。
在一实施例中,具体地,步骤“基于该第三比对结果,得到该待检测进程在该第三判定系统中的第三进程类型”可以包括:
基于该第三比对结果,当该预设进程的进程信息存在该待检测进程的进程信息时,得到该待检测进程在该第三判定系统中的第三进程类型。
在一实施例中,可以在待检测进程在进程入侵阶段中的多个不同子进程入侵阶段设置子风险分数,根据子风险分数可以得到该待检测进程的风险分数,具体地,步骤“基于该第三进程类型,设置该待检测进程的风险分数,得到该待检测进程的风险分数”可以包括:
基于该第三进程类型,设置该待检测进程在进程入侵阶段中多个不同子进程入侵阶段的子风险分数,得到多个子风险分数;
根据该多个子风险分数,计算该待检测进程的进程入侵阶段的风险分数,得到该待检测进程的风险分数。
例如,如下三个表所示,分别表示不同的子进程入侵阶段存在不同的子风险分数,而该检测进程的风险分数可以将多个不同的子进程入侵阶段的子风险分数加起来:
(1)下表对不同的子进程入侵阶段进行分类,配置进程行为归属的入侵行为阶段,不同阶段不同分数,以及风险分值的判定规则,如下表所示:
Figure BDA0002333023900000091
Figure BDA0002333023900000101
其中,在子风险分数中的a、b、c等等表示的是,该待检测进程在子进程入侵阶段的初始进入阶段、启动执行阶段、重启启动阶段等等阶段的子风险分数分别为a、b、c,等等。而在判定规则中的木马行为1和木马行为11表示的是,该待检测进程在子进程入侵阶段的初始进入阶段存在木马行为1和木马行为11,木马行为2和木马行为21表示的是,该待检测进程在子进程入侵阶段的启动执行阶段存在木马行为2和木马行为21,其他木马行为可以同理理解。
(2)下表为根据不同的子进程入侵阶段设置不同的子进程风险分数,风险越大分值越高,如下表所示:
Figure BDA0002333023900000102
同理,在子风险分数中的5、5、20等等表示的是,该待检测进程在子进程入侵阶段的初始进入阶段、启动执行阶段、重启启动阶段等等阶段的子风险分数分别为5、5、20,等等。而在判定规则中的木马行为1和木马行为11表示的是,该待检测进程在子进程入侵阶段的初始进入阶段存在木马行为1和木马行为11,其他木马行为可以同理理解。
(3)根据下表的不同子进程入侵阶段的不同子风险分数,可以计算出待检测进程的风险分数,进而当该风险分数达到预设风险分数时,可以进行进程预警,如下表所示:
Figure BDA0002333023900000111
其中,该待检测进程的风险分数为:5×2+20+5×2+10×2=60,第一个“5×2”指的是该待检测进程在子进程入侵阶段的初始进入阶段存在木马行为1和木马行为11,子风险分数都为5,同理,“20”指的是,该待检测进程在子进程入侵阶段的重启启动阶段存在木马行为3,子风险分数为20,同理,第二个“5×2”指的是该待检测进程在子进程入侵阶段的外传数据存在木马行为(n-1)和木马行为(n-1)1,子风险分数都为5,同理,“10×2”指的是该待检测进程在子进程入侵阶段的对抗取证分析阶段存在木马行为n和木马行为n1,子风险分数都为5,计算得到的该待检测进程的风险分数为60,当预设风险分数为50时,因为60大于50,所以可以出发报警,进行进程预警,可以理解的是,预设风险分数是可以根据实际情况进行调整的,并不限定该预设风险分数一定为50。
105、当该风险分数达到预设风险分数时,进行进程预警。
其中,预警指的是当待检测进程的风险分数达到预设风险分数时,该待检测进程可以存在危险,可以向相关终端发送报警信息,比如可以终端的用户发送报警信息,以便该用户确认是否为本人操作或自写程序,在根据终端返回的确认信息,来对该待检测进程进行处理。
在一实施例中,具体地,步骤“当该风险分数达到预设风险分数时,进行进程预警”可以包括:
当该风险分数达到预设风险分数时,向终端发送报警信息。
该方法还包括:
根据该终端基于该报警信息返回的确认信息,确定该风险分数对应的进程的状态信息;
基于该状态信息,对该风险分数对应的进程进行处理。
其中,进程的状态信息指的可以是,该待检测进程是该终端的用户的本人操作,或者是自写程序等状态的信息,而预设风险分数可以根据实际需要进行设置,并不是固定不变的,不局限于某一数值。
在一实施例中,可以将该待检测进程的风险分数存储到区块链中,以方便后续信息的提取存储,如图4所示,该服务器可以为分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由多个节点通过网络通信的形式连接形成的分布式系统,节点之间可以组成点对点(P2P,Peer To Peer)网络,任意形式的计算机设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点,其中,区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链系统中节点提交的记录数据。
由以上可知,本实施例可以对待检测进程进行多次进程判定,得到该待检测进程在不同进程判定系统的进程类型,并且可以基于得到的进程类型对该待检测进程设置风险分数,当该风险分数达到预设风险分数时,进行进程预警,多次的进程判定加上设置的风险分数,可以提高进程预警的准确率,进而可以提高网络安全。
本申请实施例将从进程预警装置的角度进行描述,该进程预警装置具体可以集成在服务器中。
如图5示,一种进程预警方法,具体流程可以如下:
201、服务器获取待检测进程的进程信息。
例如,服务器获取需要进行进程检测的进程信息,以便判定该进程的安全性,通过对待检测进程进行判定和待检测进程的风险分数设置相结合,可以提高进程安全检测的准确性。
其中,待检测进程可以来自于很多小众软件、用户自写软件、以及脚本等等,可以理解的是,进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础,进程是线程的容器,程序是指令、数据及其组织形式的描述,进程是程序的实体。
202、基于第一进程判定系统和该进程信息,服务器对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型。
例如,第一进程判定系统可以为哈希判定系统,还可以为其他可以对该待检测进程进行进程判定的系统,当该第一进程判定系统为哈希判定系统时,将该待检测进程的进程信息和哈希判定系统中预设的进程信息进行比对,而哈希判定系统中存储有多个进程的黑名单和白名单,所以将该待检测进程的进程信息和哈希判定系统中的预设进程信息进行比对,其实就是根据哈希判定系统中的黑名单和白名单确定该待检测进程是否存在于该黑名单和白名单中,如果既不存在于黑名单中,也不存在于白名单中,则可以说明该待检测进程为未知安全性的进程,该做法可以排除黑和白两种进程文件,留下未知安全性的文件。
其中,得到的该待检测进程在该哈希判定系统中的第一进程类型可能存在三种情况,第一种情况可能是该待检测进程存在于该黑名单中,第二中情况可能是该待检测进程存在于该白名单中,第三种情况可能是该待检测进程既不存在于该黑名单中,也不存在与该白名单中,此时,可以将第三种情况下的待检测进程进行下一步的进程判定,提高进程判定的准确性。
203、当该第一进程类型为预设进程类型时,服务器基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型。
例如,根据步骤202可以知道第一进程类型可以出现三种情况,当出现第三种情况时,也就是该待检测进程既不存在于该黑名单中,也不存在与该白名单中时,该第一进程类型为预设进程类型,此时,可以将该待检测进程的信息和第二进程判定系统中的预设进程的进程信息进行比对,就可以得到该待检测进程在该第二进程判定系统中的第二进程类型。
其中,该第二进程判定系统可以为沙箱系统,而在沙箱系统中存在网络行为判定系统,可以将该待检测进程的进程信息与该网络行为判定系统中的进程信息进行比对,根据比对结果确定该待检测进程在该沙箱系统中的进程类型,该网络行为判定系统存储有一些进程的黑清单、白清单等等,所以将该待检测进程的进程信息与该网络行为判定系统中的进程信息进行比对,进一步可以理解为判断该待检测进程的进程信息是否存在于该网络行为判定系统的黑清单和白清单中,进而确定该待检测进程在该第二进程判定系统中的进程类型。
204、基于该第二进程类型,服务器对该待检测进程进行风险分数设置,得到待检测进程的风险分数。
例如,根据步骤203可以得到该待检测进程在沙箱系统的进程类型,为第二进程类型,可以对该第二进程类型进行分数设置,得到该待检测进程的分数,而第三进程判定系统可以为如图3所示的全网真实行为记录系统,当该待检测进程的分数达到预设分数时,将该待检测进程的进程信息与该第三进程判定系统中预设进程的进程信息进行比对,得到比对结果,根据该比对结果可以得到该待检测进程在该第三判定系统中的第三进程类型,也就是说,当该预设进程的进程信息存在该待检测进程的进程信息时,该待检测进程在该第三判定系统中的进程类型为第三进程类型。
其中,还可以基于该第三进程类型,设置该待检测进程的风险分数,得到该待检测进程的风险分数,比如,可以基于该第三进程类型,设置该待检测进程在进程入侵阶段中多个不同子进程入侵阶段的子风险分数,得到多个子风险分数,之后再根据该多个子风险分数,计算该待检测进程的进程入侵阶段的风险分数,得到该待检测进程的风险分数,在计算该待检测进程的风险分数时,可以对多个子风险分数进行想加,容易理解风险分数越高说明风险越大。
205、当该风险分数达到预设风险分数时,服务器进行进程预警。
例如,可以设置风险分数的风险分数阈值,当该待检测进程的风险分数达到该风险分数阈值时,服务器可以进行预警,比如,当该待检测进程的风险分数达到该风险分数阈值时,向终端发送报警信息,该终端的用户可以判断该待检测进程是否是本人操作或自写程序,以对该待检测进程进行处理,之后该终端可以基于该报警信息返回一个确认信息,服务器可以根据该确认信息对该待检测进程进行处理。
由以上可知,本实施例可以对待检测进程进行多次进程判定,得到该待检测进程在不同进程判定系统的进程类型,并且可以基于得到的进程类型对该待检测进程设置风险分数,当该风险分数达到预设风险分数时,进行进程预警,多次的进程判定加上设置的风险分数,可以提高进程预警的准确率,进而可以提高网络安全。
为了更好地实施以上方法,相应的,本申请实施例还提供一种进程预警装置,其中,该进程预警装置具体可以集成在服务器中。
例如,如图6所示,该进程预警装置可以包括获取单元301、第一判定单元302、第二判定单元303、设置单元304和预警单元305,如下:
(1)获取单元301;
获取单元301,用于获取待检测进程的进程信息。
(2)第一判定单元302;
第一判定单元302,用于基于第一进程判定系统和该进程信息,对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型。
在一实施例中,该第一判定单元302,包括:
第一比对子单元3021,用于将该待检测进程的进程信息与第一进程判定系统中预设进程的进程信息进行比对,得到第一比对结果;
第一得到子单元3022,用于根据该第一比对结果,得到该待检测进程在该第一进程判定系统中的第一进程类型。
(3)第二判定单元303;
第二判定单元303,用于当该第一进程类型为预设进程类型时,基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型。
在一实施例中,该第二判定单元303,包括:
第二比对子单元3031,用于将该待检测进程的进程信息与第二进程判定系统中预设进程的进程信息进行比对,得到第二比对结果;
第二得到子单元3032,用于基于该第二比对结果,得到该待检测进程在该第二进程判定系统中的第二进程类型。
(4)设置单元304;
设置单元304,用于基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数。
在一实施例中,该设置单元304,包括:
第一设置子单元3041,用于基于该第二进程类型,对该待检测进程进行分数设置,得到该待检测进程的分数;
判定子单元3042,用于通过第三进程判定系统和该分数,对该待检测进程进行判定,得到该待检测进程在该第三进程判定系统中的第三进程类型;
第二设置子单元3043,用于基于该第三进程类型,设置该待检测进程的风险分数,得到该待检测进程的风险分数。
在一实施例中,该判定子单元3042还用于当该分数达到预设分数时,将该待检测进程的进程信息与该第三进程判定系统中预设进程的进程信息进行比对,得到第三比对结果;基于该第三比对结果,得到该待检测进程在该第三判定系统中的第三进程类型。
在一实施例中,该判定子单元3042还用于基于该第三比对结果,当该预设进程的进程信息存在该待检测进程的进程信息时,得到该待检测进程在该第三判定系统中的第三进程类型。
在一实施例中,该第二设置子单元3043还用于基于该第三进程类型,设置该待检测进程在进程入侵阶段中多个不同子进程入侵阶段的子风险分数,得到多个子风险分数;根据该多个子风险分数,计算该待检测进程的进程入侵阶段的风险分数,得到该待检测进程的风险分数。
(5)预警单元305;
预警单元305,用于当该风险分数达到预设风险分数时,进行进程预警。
在一实施例中,该预警单元305,包括:
发送子单元3051,用于当该风险分数达到预设风险分数时,向终端发送报警信息。
在一实施例中,如图7所示,该进程预警装置,还包括:
确定单元306,用于根据该终端基于该报警信息返回的确认信息,确定该风险分数对应的进程的状态信息;
处理单元307,用于基于该状态信息,对该风险分数对应的进程进行处理。
由以上可知,本申请实施例的进程预警装置中获取单元301获取待检测进程的进程信息;然后,由第一判定单元302于基于第一进程判定系统和该进程信息,对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型;由第二判定单元303当该第一进程类型为预设进程类型时,基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型;由设置单元304基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数;由预警单元305当该风险分数达到预设风险分数时,进行进程预警。该方案可以对待检测进程进行多次进程判定,得到该待检测进程在不同进程判定系统的进程类型,并且可以基于得到的进程类型对该待检测进程设置风险分数,当该风险分数达到预设风险分数时,进行进程预警,多次的进程判定加上设置的风险分数,可以提高进程预警的准确率,进而可以提高网络安全。
以下分别进行详细说明。需要说明的是,以下实施例的描述顺序不作为为实施例优选循序的限定。
相应的,本申请实施例还提供一种计算机设备,该计算机设备可以为服务器等网络侧设备,如图8所示,其示出了本申请实施例所涉及的服务器的结构示意图,具体来讲:
该计算机设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、电源403和输入单元404等部件。本领域技术人员可以理解,图8中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
计算机设备还包括给各个部件供电的电源403,优选的,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该计算机设备还可包括输入单元404,该输入单元404可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,计算机设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,计算机设备中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
获取待检测进程的进程信息;基于第一进程判定系统和该进程信息,对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型;当该第一进程类型为预设进程类型时,基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型;基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数;当该风险分数达到预设风险分数时,进行进程预警。
以上个操作的具体实施例可参见前面的实施例,在此不再赘述。
在一实施例中,如图4所示,该服务器可以是分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由多个节点通过网络通信的形式连接形成的分布式系统。其中,节点之间可以组成点对点(P2P,Peer To Peer)网络,任意形式的计算机设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
由以上可知,本实施例可以对待检测进程进行多次进程判定,得到该待检测进程在不同进程判定系统的进程类型,并且可以基于得到的进程类型对该待检测进程设置风险分数,当该风险分数达到预设风险分数时,进行进程预警,多次的进程判定加上设置的风险分数,可以提高进程预警的准确率,进而可以提高网络安全。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种进程预警方法中的步骤。例如,该指令可以执行如下步骤:
获取待检测进程的进程信息;基于第一进程判定系统和该进程信息,对该待检测进程进行判定,得到该待检测进程在该第一进程判定系统中的第一进程类型;当该第一进程类型为预设进程类型时,基于第二进程判定系统对该待检测进程进行判定,得到该待检测进程在该第二进程判定系统中的第二进程类型;基于该第二进程类型,对该待检测进程进行风险分数设置,得到待检测进程的风险分数;当该风险分数达到预设风险分数时,进行进程预警。
以上各个操作的具体实施方式可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种进程预警方法中的步骤,因此,可以实现本申请实施例所提供的任一种进程预警方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种进程预警方法、装置、计算机设备和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种进程预警方法,其特征在于,包括:
获取待检测进程的进程信息;
基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型;
当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型;
基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数;
当所述风险分数达到预设风险分数时,进行进程预警。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数,包括:
基于所述第二进程类型,对所述待检测进程进行分数设置,得到所述待检测进程的分数;
通过第三进程判定系统和所述分数,对所述待检测进程进行判定,得到所述待检测进程在所述第三进程判定系统中的第三进程类型;
基于所述第三进程类型,设置所述待检测进程的风险分数,得到所述待检测进程的风险分数。
3.根据权利要求2所述的方法,其特征在于,所述通过第三进程判定系统和所述分数,对所述待检测进程进行判定,得到所述待检测进程在所述第三进程判定系统中的第三进程类型,包括:
当所述分数达到预设分数时,将所述待检测进程的进程信息与所述第三进程判定系统中预设进程的进程信息进行比对,得到第三比对结果;
基于所述第三比对结果,得到所述待检测进程在所述第三判定系统中的第三进程类型。
4.根据权利要求3所述的方法,其特征在于,基于所述第三比对结果,获取所述待检测进程在所述第三判定系统中的第三进程类型,包括:
基于所述第三比对结果,当所述预设进程的进程信息存在所述待检测进程的进程信息时,得到所述待检测进程在所述第三判定系统中的第三进程类型。
5.根据权利要求2所述的方法,其特征在于,所述基于所述第三进程类型,设置所述待检测进程的风险分数,得到所述待检测进程的风险分数,包括:
基于所述第三进程类型,设置所述待检测进程在进程入侵阶段中多个不同子进程入侵阶段的子风险分数,得到多个子风险分数;
根据所述多个子风险分数,计算所述待检测进程的进程入侵阶段的风险分数,得到所述待检测进程的风险分数。
6.根据权利要求1所述的方法,其特征在于,所述基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型,包括:
将所述待检测进程的进程信息与第一进程判定系统中预设进程的进程信息进行比对,得到第一比对结果;
根据所述第一比对结果,得到所述待检测进程在所述第一进程判定系统中的第一进程类型。
7.根据权利要求1所述的方法,其特征在于,所述当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型,包括:
将所述待检测进程的进程信息与第二进程判定系统中预设进程的进程信息进行比对,得到第二比对结果;
基于所述第二比对结果,得到所述待检测进程在所述第二进程判定系统中的第二进程类型。
8.根据权利要求1所述的方法,其特征在于,所述当所述风险分数达到预设风险分数时,进行进程预警,包括:
当所述风险分数达到预设风险分数时,向终端发送报警信息;
所述方法还包括:根据所述终端基于所述报警信息返回的确认信息,确定所述风险分数对应的进程的状态信息;
基于所述状态信息,对所述风险分数对应的进程进行处理。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述待检测进程的风险分数存储至区块链中。
10.一种进程预警装置,其特征在于,包括:
获取单元,用于获取待检测进程的进程信息;
第一判定单元,用于基于第一进程判定系统和所述进程信息,对所述待检测进程进行判定,得到所述待检测进程在所述第一进程判定系统中的第一进程类型;
第二判定单元,用于当所述第一进程类型为预设进程类型时,基于第二进程判定系统对所述待检测进程进行判定,得到所述待检测进程在所述第二进程判定系统中的第二进程类型;
设置单元,用于基于所述第二进程类型,对所述待检测进程进行风险分数设置,得到待检测进程的风险分数;
预警单元,用于当所述风险分数达到预设风险分数时,进行进程预警。
CN201911344746.3A 2019-12-24 2019-12-24 进程预警方法、装置、计算机设备和计算机可读存储介质 Pending CN111079139A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911344746.3A CN111079139A (zh) 2019-12-24 2019-12-24 进程预警方法、装置、计算机设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911344746.3A CN111079139A (zh) 2019-12-24 2019-12-24 进程预警方法、装置、计算机设备和计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN111079139A true CN111079139A (zh) 2020-04-28

Family

ID=70317140

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911344746.3A Pending CN111079139A (zh) 2019-12-24 2019-12-24 进程预警方法、装置、计算机设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN111079139A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214768A (zh) * 2020-10-16 2021-01-12 新华三信息安全技术有限公司 一种恶意进程的检测方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102855274A (zh) * 2012-07-17 2013-01-02 北京奇虎科技有限公司 一种可疑进程检测的方法和装置
CN110414236A (zh) * 2019-07-26 2019-11-05 北京神州绿盟信息安全科技股份有限公司 一种恶意进程的检测方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102855274A (zh) * 2012-07-17 2013-01-02 北京奇虎科技有限公司 一种可疑进程检测的方法和装置
CN110414236A (zh) * 2019-07-26 2019-11-05 北京神州绿盟信息安全科技股份有限公司 一种恶意进程的检测方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214768A (zh) * 2020-10-16 2021-01-12 新华三信息安全技术有限公司 一种恶意进程的检测方法及装置

Similar Documents

Publication Publication Date Title
RU2589310C2 (ru) Система и способ расчета интервала повторного определения категорий сетевого ресурса
CN110826064A (zh) 一种恶意文件的处理方法、装置、电子设备以及存储介质
CN102663288B (zh) 病毒查杀方法及装置
EP3068095A2 (en) Monitoring apparatus and method
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
JP6711000B2 (ja) 情報処理装置、ウィルス検出方法及びプログラム
RU2531565C2 (ru) Система и способ анализа событий запуска файлов для определения рейтинга их безопасности
CN112422484A (zh) 确定用于处理安全事件的剧本的方法、装置及存储介质
CN110602135A (zh) 网络攻击处理方法、装置以及电子设备
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN111030968A (zh) 一种可自定义威胁检测规则的检测方法、装置及存储介质
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
CN111079139A (zh) 进程预警方法、装置、计算机设备和计算机可读存储介质
CN111030974A (zh) 一种apt攻击事件检测方法、装置及存储介质
CN115630373B (zh) 一种云服务安全分析方法、监控设备及分析系统
CN108197475B (zh) 一种恶意so模块检测方法及相关装置
CN114338102B (zh) 安全检测方法、装置、电子设备及存储介质
EP3819799A1 (en) Method of threat detection
CN110555307B (zh) 识别和处理伪装型系统动态库的方法、装置、设备及介质
CN110874310B (zh) 一种终端行为监测方法、装置、电子设备及存储介质
JP2019220132A (ja) プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法
CN110868382A (zh) 一种基于决策树的网络威胁评估方法、装置及存储介质
CN115189926B (zh) 网络流量的检测方法、网络流量的检测系统和电子设备
CN108875361A (zh) 一种监控程序的方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40021751

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination