CN112214768A

CN112214768A - 一种恶意进程的检测方法及装置

Info

Publication number: CN112214768A
Application number: CN202011111714.1A
Authority: CN
Inventors: 赵志伟
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2020-10-16
Filing date: 2020-10-16
Publication date: 2021-01-12

Abstract

本发明公开了一种恶意进程的检测方法，方法包括：采集本电子设备上当前采集时刻上的进程列表及所述进程列表中每个进程的至少一种属性信息；针对每个进程，从该进程的至少一种属性信息中获取存在异常的属性信息；根据存在异常的属性信息计算该进程的异常得分；利用异常得分对每个进程进行等级划分；针对每个进程，根据该进程的等级判定是否为恶意进程；若是，则发送该进程为恶意进程的提示。通过全面采集进程的多维度属性，并从中提取出有异常的属性，因此由不同类型的异常属性计算的异常得分，可以准确反映进程的危险程度，进而以异常得分为依据划分进程等级来判定是否为恶意进程，可以准确感知进程的威胁，提升恶意进程检测准确度。

Description

一种恶意进程的检测方法及装置

技术领域

本发明涉及计算机技术领域，具体涉及一种恶意进程的检测方法及装置。

背景技术

恶意进程的执行程序是区别于计算机上正常业务程序的一种程序，因其具有破坏性、复制性和传染性的特点，会对正常业务运行造成威胁。由于所有的网络安全事件最终都表现在计算机上的恶意进程的执行，因此检测计算机上的恶意进程是安全业界非常重要的课题。一些杀毒软件通过对病毒的识别可以对计算机进行监控，但是随着恶意软件的不断升级，杀毒软件也无法很好的监控到。

发明内容

本发明的目的是针对上述现有技术的不足提出的一种恶意进程的检测方法及装置，该目的是通过以下技术方案实现的。

本发明的第一方面提出了一种恶意进程的检测方法，所述方法应用于电子设备，所述方法包括：

采集本电子设备上当前采集时刻上的进程列表及所述进程列表中每个进程的至少一种属性信息；

针对每个进程，从该进程的至少一种属性信息中获取存在异常的属性信息；

根据存在异常的属性信息计算该进程的异常得分；

利用所述异常得分对每个进程进行等级划分，得到每个进程的等级；

针对每个进程，根据该进程的等级判定是否为恶意进程；

若是，则发送该进程为恶意进程的提示。

本发明的第二方面提出了一种恶意进程的检测装置，所述装置应用于电子设备，所述装置包括：

采集模块，用于采集本电子设备上当前采集时刻上的进程列表及所述进程列表中每个进程的至少一种属性信息；

异常属性提取模块，用于针对每个进程，从该进程的至少一种属性信息中获取存在异常的属性信息；

计算模块，用于根据存在异常的属性信息计算该进程的异常得分；

等级划分模块，用于利用所述异常得分对每个进程进行等级划分，得到每个进程的等级；

提示模块，用于针对每个进程，根据该进程的等级判定是否为恶意进程，并在判定为恶意进程时，发送该进程为恶意进程的提示。

本发明的第三方面提出了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如所述第一方面所述方法的步骤。

基于上述第一方面和第二方面所述的恶意进程的检测方法及装置，本申请具有如下有益效果：

通过全面采集进程的多维度属性，并从中提取出有异常的属性，因此由不同类型的异常属性计算的异常得分，可以准确反映进程的危险程度，进而以异常得分为依据划分进程等级来判定是否为恶意进程，可以准确感知进程的威胁，提升恶意进程检测准确度，以保证网络环境安全。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明根据一示例性实施例示出的一种恶意进程的检测方法的实施例流程图；

图2为本发明根据一示例性实施例示出的一种电子设备的硬件结构图；

图3为本发明根据一示例性实施例示出的一种恶意进程的检测装置的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

目前，为了保障网络环境安全，对于恶意进程的检测方式有：将进程动态链接库数据作为网络模型输入的检测方案，但是这样的方案采取的维度比较单一，而恶意进程的异常表征并非都体现在动态链接库上，并且其检测准确度与训练样本数量和类型有很大关系。

基于此，为了提升恶意进程检测准确度，以保证网络环境安全，本申请提出一种改进的恶意进程检测方法，通过采集本机上当前启动进程全面的属性信息，并从进程的所有属性信息中提取存在异常的属性信息，进而根据异常的属性信息得到进程的异常得分，并利用异常得分对进程划分等级，最终根据划分的等级识别恶意进程。

基于上述描述可知，通过全面采集进程的多维度属性，并从中提取出有异常的属性，因此由不同类型的异常属性计算的异常得分，可以准确反映进程的危险程度，进而以异常得分为依据划分进程等级来判定是否为恶意进程，可以准确感知进程的威胁，提升恶意进程检测准确度，以保证网络环境安全。

下面以具体实施例对本申请提出的恶意进程检测方法进行详细阐述。

图1为本发明根据一示例性实施例示出的一种恶意进程的检测方法的实施例流程图，该恶意进程的检测方法可以应用在任何类型的电子设备上(如智能终端、服务器等设备)，如图1所示，该恶意进程的检测方法包括如下步骤：

步骤101：采集本电子设备上当前采集时刻上的进程列表及所述进程列表中每个进程的至少一种属性信息。

可以理解的是，电子设备上进程属性信息的采集方式包括如下任意一种或多种组合：

1、自行开发一种进程信息监控工具，经过在平台编译环境下(如windows、linux等平台)编译为可执行程序采集进程的属性信息；

2、使用电子设备系统自带的进程监控工具采集进程的属性信息，例如linux平台的ps命令或top命令，以及windows平台的wmic命令或tasklist命令等；

3、使用已有的进程信息监控程序采集进程的属性信息，例如python的psutil组件模块。

需要说明的是，采集工具可以每隔一定的时间间隔采集一次电子设备上的进程列表和进程的各种属性信息。该时间间隔可以根据实际需求进行设置。

需要进一步说明的是，采集的进程列表由电子设备上正在运行的进程组成，在采集每个进程的至少一种属性信息之前，可以将进程列表中存在于预先配置的白名单中的进程剔除掉，以避免分析无用进程，提高检测效率。

其中，预先配置的白名单中的进程不在分析范围内，如测试进程。

需要进一步说明的是，本申请在采集进程的属性信息时，尽可能全面多维度的进行采集，以提升进程分析的准确度，因此采集的每个进程的属性信息可以包括进程名称、启动目录、启动命令参数、动态链接库、进程所属用户、进程所属用户组、网络连接、文件大小、使用的线程数、当前状态、CPU占用率、内存占用率、网络连接数、IO操作数等。

其中，对于几乎很少变动的属性信息可以归纳为静态属性，例如进程名称、启动目录、启动命令参数、动态链接库、进程所属用户、进程所属用户组、网络连接(也即会话项)、文件大小，这些属性信息很少变动，可以归纳为静态属性。

对于频繁变化的属性信息可以归纳为动态属性，例如使用的线程数、当前状态、进程运行时的CPU占用率和内存占用率、网络连接数及IO操作数，这些属性信息变动比较频繁，可以归纳为动态属性。

在一些实施例中，为了更好的监控进程的行为，可以为每个进程的动态属性和静态属性分别以不同的数据库形式进行存储，具体存储方式如下：

对于静态属性，由于几乎很少变动，可以使用一个关系型数据库存储属于静态属性的属性信息，如表1所示，为一种示例性的关系型数据库的结构示意。也就是说，属于静态属性的各种属性信息均存储在一个关系型数据库中。

表1

本领域技术人员可以理解的是，虽然静态属性的属性信息变动不频繁，但每次采集还是有变化的可能，因此还可以在关系型数据库中为每种静态属性的属性信息增加一个属性字段，用于在发生变化时记录变化信息和发生变化的时刻。

由此可见，随着时间的累积，由上述关系型数据库存储的各种静态属性的属性信息可以构成进程的静态画像。

对于动态属性，由于变动频繁，可以为每种属性信息使用一个独立的时序型数据库存储，如表2所示，为一种示例性的进程的状态时序。也就是说，属于动态属性的每种属性信息对应有一个时序型数据库，其中存储有在每个采集时刻采集到的属性信息。

表2

值得注意的是，对于进程的状态时序表，如果在某一采集时刻采集的进程列表中没有这个进程，而这个进程在之前的历史采集时刻被采集到过，那么在该进程的状态对应的时序型数据库中增加该采集时刻的状态为停止。

需要说明的是，当上述时序型数据库存储的动态属性的属性信息达到一定数量时，根据已存储的属性信息可以预测得到进程的基线范围(即该进程的动态基线)，并且后续时序型数据库中每存储一个新采集的属性信息，根据已存储的属性信息即可预测得到新的基线范围，从而，由预测得到基线范围可以构成进程的动态画像。也就是说，属于动态属性的每种属性信息均可以对应有一个动态画像。

其中，针对基线范围的预测过程可以参见下述步骤102中的相关介绍，本申请在此暂不详述。

步骤102：针对每个进程，从该进程的至少一种属性信息中获取存在异常的属性信息。

在一些实施例中，针对属于静态属性的属性信息，由于几乎很少变动，因此可以通过为每种属性信息配置相应的异常条件进行检测，即在某种属性信息属于静态属性时，判定该种属性信息是否符合该种属性信息对应的异常条件，如果符合，则确定该种属性信息存在异常。

举例来说，如下表3所示，为检测各种属性信息的异常条件的列表，对于属性信息类型为文件大小，如果当前采集的文件大小与先前最近一次采集的文件大小比较不一致，则确定文件大小的属性信息类型存在异常；对于属性信息类型为启动目录，如果当前采集的启动目录在预设的常规目录中未查找到，则确定启动目录的属性信息类型存在异常；对于属性信息类型为启动命令参数，如果当前采集的启动命令参数存在特殊字符，则确定启动命令参数的属性信息类型存在异常；对于属性信息类型为动态链接库，如果当前采集的动态链接库在预设的黑链接库中可以被查找到，则确定动态链接库的属性信息类型存在异常，以此类推，直到将属于静态属性的每种属性信息均判定一遍结束。

表3

在另一些实施例中，针对属于动态属性的属性信息，由于变动很频繁，因此可以通过检测每种属性信息偏离自身历史行为的异常情况，即在某种属性信息属于动态属性时，获取在当前采集时刻之前历史采集时刻采集的属于该进程的该种属性信息，并根据获取的该种属性信息预测该种属性信息的基线范围，若当前采集时刻的该种属性信息不在所述基线范围内，则确定该种属性信息存在异常。

示例性的，为了提升基线范围的预测准确度和效率，可以预先设置用于预测基线范围的历史采集时刻的最大数量和最小数量。

也就是说，为了进一步提高恶意进程检测准确度，从进程第一次被采集到后，至少要经过最小数量个采集时刻之后才会被加到恶意进程的检测流程中，并且如果从进程第一次被采集到后，经过的采集时刻的数量已经大于最大数量，那么只获取最大数量个与当前采集时刻最接近的历史采集时刻的属性信息预测基线范围。

可以理解的是，根据获取的该种属性信息预测该种属性信息的基线范围的方式可以采用聚类算法进行预测，例如3西格玛算法、DBScan，Kmeans，箱型图等。

以3西格玛算法举例说明，假设获取了n个历史采集时刻采集的该种属性信息，先利用这n个该种属性信息计算均值μ，然后基于计算的均值计算标准差σ，从而可以得到该种属性信息的基线范围F＝(μ-3σ，μ+3σ)。

值得注意的是，对于进程使用的线程数、CPU占用率、内存占用率、网络连接数、IO操作数的动态属性，由于采集的是数值，因此可以直接用于预测基线范围，而对于进程的状态，由于只有两种状态：运行和停止，因此可以通过为每个采集时刻对应的进程状态赋值后预测基线范围，例如如果是运行，则赋值为1，如果是停止，则赋值为0。

步骤103：根据存在异常的属性信息计算该进程的异常得分。

在一些实施例中，由于不同类型的属性信息在检测恶意进程过程中受到的关注程度不同，因此可以通过为每种类型的属性信息预先设置对应的分数和权重值，并通过分数体现其在异常得分中占的比重，通过权重值体现其受关注程度。

基于此，可以依据存在异常的属性信息对应的分数和权重值计算该进程的异常得分。

在具体实施时，可以是各种存在异常的属性信息对应的分数和权重值之积的总和。

再如上述步骤102中的表3所示，假设存在异常的属性信息包括文件大小、启动目录和进程名称，那么异常得分S＝S1*W1+S2*W2+S5*W5。

步骤104：利用所述异常得分对每个进程进行等级划分，得到每个进程的等级。

在一些实施例中，可以按照异常得分从大到小的顺序对各个进程进行排序，以得到排序结果，并根据排序结果划分每个进程的等级。

其中，进程的异常得分越高，表示该进程的危险程度越高。

在具体实施时，将进程的等级划分三级：严重、高危、低危，具体划分时，可以通过将排序结果中前20％的进程划分为严重的等级，将位于前20％～80％的进程划分为高危的等级，将位于前80％～100％的进程划分为低危的等级。

步骤105：针对每个进程，根据该进程的等级判定是否为恶意进程，若是，则执行步骤106，若否，则继续执行步骤105，直至判定完成最后一个进程结束。

可以理解的是，如果某一进程的属性信息中有存在异常的属性信息，那么其必然会有异常得分，也就是说，该进程有一定的危险性，如果某一进程的属性信息中没有存在异常的属性信息，那么其必然没有异常得分，即异常得分为0，也就是说，该进程没有危险，属于正常的进程。

基于上述步骤104描述的等级划分实施方式，在判定恶意进程时，既可以将属于严重等级的进程判定为恶意进程，也可以将属于严重等级、高危等级的进程判定为恶意进程，还可以将属于严重等级、高危等级、低危等级的进程判定为恶意进程。

步骤106：发送该进程为恶意进程的提示。

需要说明的是，在提示恶意进程的同时，也可以提示恶意进程的存在异常的属性信息，以作为恶意判定依据，供用户决策。当然还可以提示恶意进程的等级，以供用户了解进程的危险程度。

至此，完成上述图1所示的检测流程，通过全面采集进程的多维度属性，并从中提取出有异常的属性，因此由不同类型的异常属性计算的异常得分，可以准确反映进程的危险程度，进而以异常得分为依据划分进程等级来判定是否为恶意进程，可以准确感知进程的威胁，提升恶意进程检测准确度，以保证网络环境安全。

图2为本发明根据一示例性实施例示出的一种电子设备的硬件结构示意图，该电子设备包括：通信接口201、处理器202、机器可读存储介质203和总线204；其中，通信接口201、处理器202和机器可读存储介质203通过总线204完成相互间的通信。处理器202通过读取并执行机器可读存储介质203中与恶意进程的检测方法的控制逻辑对应的机器可执行指令，可执行上文描述的恶意进程的检测方法，该方法的具体内容参见上述实施例，此处不再累述。

本发明中提到的机器可读存储介质203可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：易失存储器、非易失性存储器或者类似的存储介质。具体地，机器可读存储介质203可以是RAM(Random Access Memory，随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、任何类型的存储盘(如光盘、DVD等)，或者类似的存储介质，或者它们的组合。

与前述恶意进程的检测方法的实施例相对应，本发明还提供了恶意进程的检测装置的实施例。

图3为本发明根据一示例性实施例示出的一种恶意进程的检测装置的实施例流程图，该恶意进程的检测装置可以应用在任何类型的电子设备上，如图3所示，该恶意进程的检测装置包括：

采集模块310，用于采集本电子设备上当前采集时刻上的进程列表及所述进程列表中每个进程的至少一种属性信息；

异常属性提取模块320，用于针对每个进程，从该进程的至少一种属性信息中获取存在异常的属性信息；

计算模块330，用于根据存在异常的属性信息计算该进程的异常得分；

等级划分模块340，用于利用所述异常得分对每个进程进行等级划分，得到每个进程的等级；

提示模块350，用于针对每个进程，根据该进程的等级判定是否为恶意进程，并在判定为恶意进程时，发送该进程为恶意进程的提示。

在一可选实现方式中，所述异常属性提取模块320，具体用于针对该进程的至少一种属性信息中的每种属性信息，在该种属性信息属于静态属性时，判定该种属性信息是否符合该种属性信息对应的异常条件，若符合，则确定该种属性信息存在异常；在该种属性信息属于动态属性时，获取在当前采集时刻之前历史采集时刻采集的属于该进程的该种属性信息，并根据获取的该种属性信息预测该种属性信息的基线范围，若当前采集时刻的该种属性信息不在所述基线范围内，则确定该种属性信息存在异常。

在一可选实现方式中，所述计算模块330，具体用于依据存在异常的属性信息对应的分数和权重值计算该进程的异常得分。

在一可选实现方式中，所述等级划分模块340，具体用于按照所述异常得分从大到小的顺序对各个进程进行排序，得到排序结果；根据所述排序结果划分每个进程的等级。

在一可选实现方式中，所述至少一种属性信息包括进程名称、启动目录、启动命令参数、动态链接库、进程所属用户、进程所属用户组、网络连接、文件大小、使用的线程数、当前状态、CPU占用率、内存占用率、网络连接数、IO操作数；

其中，进程名称、启动目录、启动命令参数、动态链接库、进程所属用户、进程所属用户组、网络连接及文件大小属于静态属性；使用的线程数、当前状态、进程运行时的CPU占用率和内存占用率、网络连接数及IO操作数属于动态属性。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

1.一种恶意进程的检测方法，所述方法应用于电子设备，其特征在于，所述方法包括：

根据存在异常的属性信息计算该进程的异常得分；

针对每个进程，根据该进程的等级判定是否为恶意进程；

若是，则发送该进程为恶意进程的提示。

2.根据权利要求1所述的方法，其特征在于，所述从该进程的至少一种属性信息中获取存在异常的属性信息，包括：

针对该进程的至少一种属性信息中的每种属性信息，在该种属性信息属于静态属性时，判定该种属性信息是否符合该种属性信息对应的异常条件，若符合，则确定该种属性信息存在异常；

在该种属性信息属于动态属性时，获取在当前采集时刻之前历史采集时刻采集的属于该进程的该种属性信息，并根据获取的该种属性信息预测该种属性信息的基线范围，若当前采集时刻的该种属性信息不在所述基线范围内，则确定该种属性信息存在异常。

3.根据权利要求1所述的方法，其特征在于，所述根据存在异常的属性信息计算该进程的异常得分，包括：

依据存在异常的属性信息对应的分数和权重值计算该进程的异常得分。

4.根据权利要求1所述的方法，其特征在于，所述利用所述异常得分对每个进程进行等级划分，包括：

按照所述异常得分从大到小的顺序对各个进程进行排序，得到排序结果；

根据所述排序结果划分每个进程的等级。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述至少一种属性信息包括进程名称、启动目录、启动命令参数、动态链接库、进程所属用户、进程所属用户组、网络连接、文件大小、使用的线程数、当前状态、CPU占用率、内存占用率、网络连接数、IO操作数；

6.一种恶意进程的检测装置，所述装置应用于电子设备，其特征在于，所述装置包括：

7.根据权利要求6所述的装置，其特征在于，所述异常属性提取模块，具体用于针对该进程的至少一种属性信息中的每种属性信息，在该种属性信息属于静态属性时，判定该种属性信息是否符合该种属性信息对应的异常条件，若符合，则确定该种属性信息存在异常；在该种属性信息属于动态属性时，获取在当前采集时刻之前历史采集时刻采集的属于该进程的该种属性信息，并根据获取的该种属性信息预测该种属性信息的基线范围，若当前采集时刻的该种属性信息不在所述基线范围内，则确定该种属性信息存在异常。

8.根据权利要求6所述的装置，其特征在于，所述计算模块，具体用于依据存在异常的属性信息对应的分数和权重值计算该进程的异常得分。

9.根据权利要求6所述的装置，其特征在于，所述等级划分模块，具体用于按照所述异常得分从大到小的顺序对各个进程进行排序，得到排序结果；根据所述排序结果划分每个进程的等级。

10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-5任一所述方法的步骤。