CN111125688B - 一种进程控制方法、装置及电子设备和存储介质 - Google Patents
一种进程控制方法、装置及电子设备和存储介质 Download PDFInfo
- Publication number
- CN111125688B CN111125688B CN201911284444.1A CN201911284444A CN111125688B CN 111125688 B CN111125688 B CN 111125688B CN 201911284444 A CN201911284444 A CN 201911284444A CN 111125688 B CN111125688 B CN 111125688B
- Authority
- CN
- China
- Prior art keywords
- current
- program
- library
- built
- newly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Abstract
本申请公开了一种进程控制方法、装置及一种电子设备和可读存储介质,该方法包括:对当前操作系统的进程创建操作进行监控;若监测到进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;若预设信任主体程序列表中不存在与当前新建进程对应的信任主体程序,则将当前新建进程添加到禁止执行进程库中;获取针对当前新建进程是否合法的判断结果,并根据判断结果确定是否将当前新建进程从禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。本申请无需预先收集白名单以及在每个程序运行时计算对应的哈希值,避免了消耗计算资源、影响系统性能的问题,能够更加高效便捷的实现系统安全防护。
Description
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种进程控制方法、装置及一种电子设备和一种计算机可读存储介质。
背景技术
近年来针对Linux系统服务器的攻击越来越多,例如勒索软件、挖矿软件等都会给用户带来严重损失。传统技术中一种有效的防御方式是采用白名单的机制,即预先采集系统上所有的程序文件,计算其哈希值形成白名单库。在程序执行时,根据当前程序的哈希值在白名单库中进行查询,不存在匹配项则认为当前程序是恶意程序。但白名单库的采集以及程序运行时的哈希值计算都会消耗系统大量的CPU计算资源,影响系统性能。
发明内容
本申请的目的在于提供一种进程控制方法、装置及一种电子设备和一种计算机可读存储介质,避免了消耗CPU计算资源、影响系统性能的问题,能够更加高效便捷的实现系统安全防护。
为实现上述目的,本申请提供了一种进程控制方法,包括:
对当前操作系统的进程创建操作进行监控;
若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;
若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;
获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。
可选的,对当前操作系统的进程创建操作进行监控,包括:
通过拦截针对所述当前操作系统中程序文件的读写操作判断是否存在进程创建操作。
可选的,所述通过拦截针对所述当前操作系统中程序文件的读写操作判断是否存在进程创建操作,包括:
当监测到存在进程通过写的方式打开系统文件时,创建缓存上下文,并以当前所述系统文件的目录项作为索引信息插入所述缓存上下文;
在所述系统文件关闭后,利用所述索引信息查找对应的所述缓存上下文,判断所述缓存上下文是否为已写状态;
若所述缓存上下文为已写状态,则检测当前所述系统文件是否为程序文件;
若当前所述系统文件为程序文件,则判定存在进程创建操作。
可选的,在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序,包括:
提取所述当前新建进程对应的程序路径;
根据所述程序路径查找所述预设信任主体程序列表中是否存在对应的所述信任主体程序。
可选的,还包括:
接收针对所述预设信任主体程序列表的更新指令;
根据所述更新指令对所述预设信任主体程序列表进行修改。
可选的,所述获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,包括:
将所述当前新建进程的信息通过创建日志的方式上报至管理员终端;
通过预设传输接口获取所述管理员终端下发的针对所述当前新建进程是否合法的判断结果;
若所述判断结果为所述当前新建进程合法,则将所述当前新建进程从所述禁止执行进程库中删除。
为实现上述目的,本申请提供了一种进程控制装置,包括:
创建监控模块,用于对当前操作系统的进程创建操作进行监控;
程序查找模块,用于若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;
进程添加模块,用于若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;
执行控制模块,用于获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。
可选的,所述执行控制模块,包括:
日志上报单元,用于将所述当前新建进程的信息通过创建日志的方式上报至管理员终端;
结果获取单元,用于通过预设传输接口获取所述管理员终端下发的针对所述当前新建进程是否合法的判断结果;
进程删除单元,用于若所述判断结果为所述当前新建进程合法,则将所述当前新建进程从所述禁止执行进程库中删除。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现前述任一种进程控制方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现前述任一种进程控制方法的步骤。
通过以上方案可知,本申请提供的一种进程控制方法,包括:对当前操作系统的进程创建操作进行监控;若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。由上可知,本申请通过对进程创建操作进行监控,在监测到新建进程之后,将对当前新建进程进行识别,判断其是否为由信任主体程序生成的进程,并判断当前新建进程是否合法以确定当前新建进程是否需要添加至禁止执行进程库中,进而在后续运行过程中可利用禁止执行进程库判断是否禁止进程执行,无需预先收集白名单以及在每个程序运行时计算对应的哈希值,从而避免了消耗CPU计算资源、影响系统性能的问题,能够更加高效便捷的实现系统安全防护。
本申请还公开了一种进程控制装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种进程控制方法的流程图;
图2为本申请实施例公开的另一种进程控制方法的流程图;
图3为本申请实施例公开的一种进程控制装置的结构图;
图4为本申请实施例公开的一种电子设备的结构图;
图5为本申请实施例公开的另一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有技术中,有效防御服务器攻击的方案通常采用白名单的机制,即预先采集系统上所有的程序文件,计算其哈希值形成白名单库。在程序执行时,根据当前程序的哈希值在白名单库中进行查询,不存在匹配项则认为当前程序是恶意程序。但白名单库的采集以及程序运行时的哈希值计算都会消耗系统大量的CPU计算资源,影响系统性能。
因此,本申请实施例公开了一种进程控制方法,避免了消耗CPU计算资源、影响系统性能的问题,能够更加高效便捷的实现系统安全防护。
参见图1所示,本申请实施例公开的一种进程控制方法包括:
S101:对当前操作系统的进程创建操作进行监控;
本步骤中,通过对当前操作系统进行监控以识别是否存在进程创建操作,即监控是否存在用户在系统上创建新进程。需要说明的是,服务器中的业务软件一旦运行上线后一般不会再有新的进程创建,除了更新业务软件的情况。因此,如果在业务软件运行上线之后监控到在系统上创建了新的进程并尝试执行,则该进程很有可能存在一定的风险,因此需要监控捕获到新建进程进而对其进行识别,以有效阻止未知进程的执行。
作为一种可行的实施方式,本申请实施例可以通过拦截针对当前操作系统中程序文件的读写操作,以判断是否存在进程创建操作。
S102:若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;如果否,则进入步骤S103;
若监测到进程创建操作,则确定该进程创建操作对应的当前新建进程,并在预设信任主体程序列表中查找是否存在与之对应的信任主体程序。
需要指出的是,上述预设信任主体程序列表中保存了用户指定或系统默认的信任主体程序,由信任主体程序创建的进程将自动识别为允许执行的进程。
在具体实施中,上述在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序时,可以首先提取当前新建进程对应的程序路径;进而根据程序路径查找预设信任主体程序列表中是否存在对应的信任主体程序。
可以理解的是,本申请实施例还可以针对预设信任主体程序列表进行修改更新,即可接收针对预设信任主体程序列表的更新指令,并根据该更新指令对预设信任主体程序列表进行修改。具体地,可以在需要对某一业务程序进行升级时,将该业务程序添加至预设信任主体程序列表,从而保证管理员通过正常升级创建的进程可正常执行。在升级完成后,可以将该业务程序从预设信任主体程序列表中删除,避免对后续的安全防护产生影响。
S103:将所述当前新建进程添加到禁止执行进程库中;
在预设信任主体程序列表中如果未查找到当前新建进程对应的信任主体程序,则表征当前新建进程并非信任主体程序生成的进程,可能存在一定的风险,因此先将当前新建进程添加到禁止执行进程库中。其中,禁止执行进程库具体用于保存可能存在风险或已经确定的恶意进程或非法进程,在系统运行过程中,若进程为禁止执行进程库中保存的进程,则禁止执行该进程,避免其威胁系统安全。
S104:获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。
在将可能存在风险的当前新建进程添加到禁止执行进程库之后,将进一步判断当前新建进程是否合法,以避免将并非恶意的进程到禁止执行进程库中影响其正常执行。首先判断当前新建进程是否合法,得到判断结果,并根据判断结果确定是否将当前新建进程从禁止执行进程库中删除。
在具体实施中,上述获取针对当前新建进程是否合法的判断结果,并根据判断结果确定是否将当前新建进程从禁止执行进程库中删除的过程可以包括:将当前新建进程的信息通过创建日志的方式上报至管理员终端;通过预设传输接口获取管理员终端下发的针对当前新建进程是否合法的判断结果;若判断结果为当前新建进程合法,则将当前新建进程从禁止执行进程库中删除。
通过以上方案可知,本申请提供的一种进程控制方法,包括:对当前操作系统的进程创建操作进行监控;若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。由上可知,本申请通过对进程创建操作进行监控,在监测到新建进程之后,将对当前新建进程进行识别,判断其是否为由信任主体程序生成的进程,并判断当前新建进程是否合法以确定当前新建进程是否需要添加至禁止执行进程库中,进而在后续运行过程中可利用禁止执行进程库判断是否禁止进程执行,无需预先收集白名单以及在每个程序运行时计算对应的哈希值,从而避免了消耗CPU计算资源、影响系统性能的问题,能够更加高效便捷的实现系统安全防护。
本申请实施例公开了另一种进程控制方法,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。参见图2所示,具体的:
S201:当监测到存在进程通过写的方式打开系统文件时,创建缓存上下文,并以当前所述系统文件的目录项作为索引信息插入所述缓存上下文;
S202:在所述系统文件关闭后,利用所述索引信息查找对应的所述缓存上下文,判断所述缓存上下文是否为已写状态;如果是,则进入步骤S203;
S203:检测当前所述系统文件是否为程序文件;如果是,则进入步骤S204;
S204:判定存在进程创建操作,并在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;如果否,则进入步骤S205;
在本申请实施例中,提供了一种可行的用于监控当前操作系统是否进行进程创建的方式,即通过监测是否存在进程对文件进行读写。具体地,当监测到存在进程通过写的方式打开某一系统文件时,为其创建缓存上下文,并以当前系统文件的目录项作为索引信息插入缓存上下文中,以唯一的标识该文件。以目录项为索引在缓存中查找,得到对应的缓存上下文,若对应的缓存上下文未设置已写状态,则未该缓存上下文设置已写状态。在进程关闭系统文件之后,通过目录项在缓存中查找对应的缓存上下文,并判断该缓存上下文是否为已写状态,若该缓存上下文为已写状态,则需要进一步判断该系统文件是否为程序文件。若该系统文件为程序文件,则表征监控到进程创建操作。
S205:将所述当前新建进程添加到禁止执行进程库中;
S206:获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。
下面通过一种具体的实施例对本申请实施例提供的一种进程控制方法进行介绍。本申请实施例可以具体包括应用程序和内核驱动两部分。其中,应用程序的主要功能包括:接收内核驱动发送的新进程创建通知;下发信任主体程序列表到内核驱动:当管理员需要升级服务器上的业务程序时,将确定的业务程序设置为信任主体程序保存至信任主体程序列表。内核驱动的主要功能包括:注册字符设备用于与应用程序进行通信;监控新进程的创建过程,并判断该操作主体是否由信任主体程序执行,如果否则将新进程添加到禁止执行进程库中并通知应用程序;在运行过程中判断进程是否在禁止执行进程库中,如果在则禁止该进程的执行。
具体地,内核驱动的初始化过程包括:注册字符设备,用来和应用程序进行通信;通过注册binfmt或hook execve系统实现针对进程执行的拦截;通过系统调用hook或vfs(virtual File System,虚拟文件系统)层的hook,拦截针对系统文件的打开、写以及关闭操作。应用程序的初始化过程包括:创建守护线程等待接收内核驱动发送的进程执行日志以及新进程创建通知;下发信任主体程序列表到内核驱动。
在本申请实施例中,针对新进程创建操作的监控过程可以具体包括:拦截文件的打开操作,当发现某个进程以写的方式打开一个系统文件时,创建缓存上下文,以文件系统dentry(目录项)做为索引插入缓存中,dentry在内核中可以唯一标识一个文件;拦截文件的写操作,以dentry为索引在缓存中查找对应的缓存上下文,若查找到后该缓存上下文仍未设置已写状态,则将其设置为已写状态;拦截文件的关闭操作,如果当前文件描述符为写的方式打开,则以dentry为索引在缓存中查找,查找到后查看对应的缓存上下文是否设置了已写状态,如果是,则读取该系统文件头部,以检测该系统文件是否为程序文件;若该系统文件是否为程序文件,即为监控到进程的创建操作。
当内核驱动发现新进程创建后,判断是否需要将新程序添加到禁止执行策略库中,具体可以提取当前进程路径,在信任主体程序列表中查询当前进程是否为信任主体程序所生成的,如果是则直接返回,不做任何操作;如果否,则将该新进程加入禁止执行进程库中,并发送至应用层守护线程,以通知管理员。在管理员接收到新进程创建通知之后,可以判断该进程是否为业务软件自身的进程,如果是,则可将该进程从内核驱动中的禁止执行进程库中删除。内核驱动在检测到进程执行操作时,将判断该进程是否在禁止执行进程库中,如果是,则禁止该进程的执行。
下面对本申请实施例提供的一种进程控制装置进行介绍,下文描述的一种进程控制装置与上文描述的一种进程控制方法可以相互参照。
参见图3所示,本申请实施例提供的一种进程控制装置包括:
创建监控模块301,用于对当前操作系统的进程创建操作进行监控;
程序查找模块302,用于若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;
进程添加模块303,用于若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;
执行控制模块304,用于获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制。
关于上述模块301至304的具体实施过程可参考前述实施例公开的相应内容,在此不再进行赘述。
在上述实施例的基础上,作为一种优选实施方式,所述执行控制模块可以具体包括:
日志上报单元,用于将所述当前新建进程的信息通过创建日志的方式上报至管理员终端;
结果获取单元,用于通过预设传输接口获取所述管理员终端下发的针对所述当前新建进程是否合法的判断结果;
进程删除单元,用于若所述判断结果为所述当前新建进程合法,则将所述当前新建进程从所述禁止执行进程库中删除。
本申请还提供了一种电子设备,参见图4所示,本申请实施例提供的一种电子设备包括:
存储器100,用于存储计算机程序;
处理器200,用于执行所述计算机程序时可以实现上述实施例所提供的步骤。
具体的,存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令,该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器200在一些实施例中可以是一中央处理器(CentralProcessing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,为电子设备提供计算和控制能力,执行所述存储器100中保存的计算机程序时,可以实现前述任一实施例公开的进程控制方法的步骤。
在上述实施例的基础上,作为优选实施方式,参见图5所示,所述电子设备还包括:
输入接口300,与处理器200相连,用于获取外部导入的计算机程序、参数和指令,经处理器200控制保存至存储器100中。该输入接口300可以与输入装置相连,接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层,也可以是终端外壳上设置的按键、轨迹球或触控板,也可以是键盘、触控板或鼠标等。
显示单元400,与处理器200相连,用于显示处理器200处理的数据以及用于显示可视化的用户界面。该显示单元400可以为LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。
网络端口500,与处理器200相连,用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术,如移动高清链接技术(MHL)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术等。
图5仅示出了具有组件100-500的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本申请还提供了一种计算机可读存储介质,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。该存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现前述任一实施例公开的进程控制方法的步骤。
本申请通过对进程创建操作进行监控,在监测到新建进程之后,将对当前新建进程进行识别,判断其是否为由信任主体程序生成的进程,并判断当前新建进程是否合法以确定当前新建进程是否需要添加至禁止执行进程库中,进而在后续运行过程中可利用禁止执行进程库判断是否禁止进程执行,无需预先收集白名单以及在每个程序运行时计算对应的哈希值,从而避免了消耗CPU计算资源、影响系统性能的问题,能够更加高效便捷的实现系统安全防护。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种进程控制方法,其特征在于,包括:
对当前操作系统的进程创建操作进行监控;
若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;
若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;
获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制;
其中,所述对当前操作系统的进程创建操作进行监控,包括:
通过拦截针对所述当前操作系统中程序文件的读写操作判断是否存在进程创建操作;
其中,所述通过拦截针对所述当前操作系统中程序文件的读写操作判断是否存在进程创建操作,包括:
当监测到存在进程通过写的方式打开系统文件时,创建缓存上下文,并以当前所述系统文件的目录项作为索引信息插入所述缓存上下文;
在所述系统文件关闭后,利用所述索引信息查找对应的所述缓存上下文,判断所述缓存上下文是否为已写状态;
若所述缓存上下文为已写状态,则检测当前所述系统文件是否为程序文件;
若当前所述系统文件为程序文件,则判定存在进程创建操作。
2.根据权利要求1所述的进程控制方法,其特征在于,在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序,包括:
提取所述当前新建进程对应的程序路径;
根据所述程序路径查找所述预设信任主体程序列表中是否存在对应的所述信任主体程序。
3.根据权利要求1所述的进程控制方法,其特征在于,还包括:
接收针对所述预设信任主体程序列表的更新指令;
根据所述更新指令对所述预设信任主体程序列表进行修改。
4.根据权利要求1至3任一项所述的进程控制方法,其特征在于,所述获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,包括:
将所述当前新建进程的信息通过创建日志的方式上报至管理员终端;
通过预设传输接口获取所述管理员终端下发的针对所述当前新建进程是否合法的判断结果;
若所述判断结果为所述当前新建进程合法,则将所述当前新建进程从所述禁止执行进程库中删除。
5.一种进程控制装置,其特征在于,包括:
创建监控模块,用于对当前操作系统的进程创建操作进行监控;
程序查找模块,用于若监测到所述进程创建操作,则在预设信任主体程序列表中查找是否存在与当前新建进程对应的信任主体程序;
进程添加模块,用于若所述预设信任主体程序列表中不存在与所述当前新建进程对应的信任主体程序,则将所述当前新建进程添加到禁止执行进程库中;
执行控制模块,用于获取针对所述当前新建进程是否合法的判断结果,并根据所述判断结果确定是否将所述当前新建进程从所述禁止执行进程库中删除,以便利用更新后禁止执行进程库对进程进行执行控制;
其中,所述创建监控模块,包括:
创建监控单元,用于通过拦截针对所述当前操作系统中程序文件的读写操作判断是否存在进程创建操作;
其中,所述创建监控 单元,具体用于:
当监测到存在进程通过写的方式打开系统文件时,创建缓存上下文,并以当前所述系统文件的目录项作为索引信息插入所述缓存上下文;
在所述系统文件关闭后,利用所述索引信息查找对应的所述缓存上下文,判断所述缓存上下文是否为已写状态;
若所述缓存上下文为已写状态,则检测当前所述系统文件是否为程序文件;
若当前所述系统文件为程序文件,则判定存在进程创建操作。
6.根据权利要求5所述的进程控制装置,其特征在于,所述执行控制模块,包括:
日志上报单元,用于将所述当前新建进程的信息通过创建日志的方式上报至管理员终端;
结果获取单元,用于通过预设传输接口获取所述管理员终端下发的针对所述当前新建进程是否合法的判断结果;
进程删除单元,用于若所述判断结果为所述当前新建进程合法,则将所述当前新建进程从所述禁止执行进程库中删除。
7.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述进程控制方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述进程控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911284444.1A CN111125688B (zh) | 2019-12-13 | 2019-12-13 | 一种进程控制方法、装置及电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911284444.1A CN111125688B (zh) | 2019-12-13 | 2019-12-13 | 一种进程控制方法、装置及电子设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111125688A CN111125688A (zh) | 2020-05-08 |
CN111125688B true CN111125688B (zh) | 2022-04-22 |
Family
ID=70498793
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911284444.1A Active CN111125688B (zh) | 2019-12-13 | 2019-12-13 | 一种进程控制方法、装置及电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111125688B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111753301B (zh) * | 2020-07-01 | 2024-04-09 | 深信服科技股份有限公司 | 一种无文件攻击检测方法、装置、电子设备和介质 |
CN111857971B (zh) * | 2020-07-29 | 2024-03-15 | 福建多多云科技有限公司 | 一种安卓虚拟机系统下运行可执行文件的方法及存储介质 |
CN111914249A (zh) * | 2020-08-11 | 2020-11-10 | 北京珞安科技有限责任公司 | 一种程序白名单的生成方法、程序更新方法及装置 |
CN114816447B (zh) * | 2022-03-08 | 2024-04-26 | 北京圣博润高新技术股份有限公司 | 基于白名单动态部署软件安装方法、装置、电子设备和介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053999A (zh) * | 2009-10-28 | 2011-05-11 | 北京大学 | 一种基于进程的路径收集方法及系统 |
CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
CN109583206A (zh) * | 2018-11-23 | 2019-04-05 | 杭州迪普科技股份有限公司 | 监控应用程序的访问进程的方法、装置、设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090185685A1 (en) * | 2008-01-18 | 2009-07-23 | International Business Machines Corporation | Trust session management in host-based authentication |
-
2019
- 2019-12-13 CN CN201911284444.1A patent/CN111125688B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102053999A (zh) * | 2009-10-28 | 2011-05-11 | 北京大学 | 一种基于进程的路径收集方法及系统 |
CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
CN109583206A (zh) * | 2018-11-23 | 2019-04-05 | 杭州迪普科技股份有限公司 | 监控应用程序的访问进程的方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111125688A (zh) | 2020-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111125688B (zh) | 一种进程控制方法、装置及电子设备和存储介质 | |
EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
EP2790122B1 (en) | System and method for correcting antivirus records to minimize false malware detections | |
US11086983B2 (en) | System and method for authenticating safe software | |
US20100122313A1 (en) | Method and system for restricting file access in a computer system | |
US20140344926A1 (en) | System and method employing structured intelligence to verify and contain threats at endpoints | |
EP2867820B1 (en) | Devices, systems, and methods for monitoring and asserting trust level using persistent trust log | |
US11100227B2 (en) | Security indication information configuration method and device | |
US9898603B2 (en) | Offline extraction of configuration data | |
CN114065196A (zh) | Java内存马检测方法、装置、电子设备与存储介质 | |
KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
CN106302531B (zh) | 安全防护方法、装置及终端设备 | |
US11636219B2 (en) | System, method, and apparatus for enhanced whitelisting | |
CN116611066B (zh) | 勒索病毒识别方法、装置、设备及存储介质 | |
KR101595936B1 (ko) | 백신과 컴퓨터 최적화 기능을 구비한 컴퓨터 최적화 방법, 최적화 서버 및 컴퓨터 판독 가능한 기록매체 | |
CN109495432B (zh) | 一种匿名账户的鉴权方法及服务器 | |
JP5851311B2 (ja) | アプリケーション検査装置 | |
JP2019008503A (ja) | 情報処理監視装置、情報処理監視方法、プログラム、記録媒体及び情報処理装置 | |
JP6884652B2 (ja) | ホワイトリスト管理システムおよびホワイトリスト管理方法 | |
US20210240364A1 (en) | Storing new settings for write-protected systems on non-write-protected storage | |
JP7476140B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
KR101366544B1 (ko) | 해킹을 위한 dll 루트킷 감지 방법 및 장치 | |
CN111614675B (zh) | 请求执行方法、设备、系统及介质 | |
KR101439207B1 (ko) | 해킹 프로세스 감지 방법 및 장치 | |
US20220366035A1 (en) | Execution control system, execution control method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |