CN113312201A - 一种异常进程的处置方法及相关装置 - Google Patents

一种异常进程的处置方法及相关装置 Download PDF

Info

Publication number
CN113312201A
CN113312201A CN202110700513.3A CN202110700513A CN113312201A CN 113312201 A CN113312201 A CN 113312201A CN 202110700513 A CN202110700513 A CN 202110700513A CN 113312201 A CN113312201 A CN 113312201A
Authority
CN
China
Prior art keywords
behavior
handling
trace
abnormal
abnormal process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110700513.3A
Other languages
English (en)
Inventor
李飞虎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110700513.3A priority Critical patent/CN113312201A/zh
Publication of CN113312201A publication Critical patent/CN113312201A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0766Error or fault reporting or storing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种异常进程的处置方法,包括:检测异常进程;根据进程行为关系对所述异常进程进行匹配,得到行为记录;其中,所述进程行为关系包括进程与行为记录的关联关系;根据所述行为记录执行痕迹处置操作。通过当检测到异常进程时,根据进程行为关系匹配出该异常进程相关的行为记录,最后再根据行为记录执行痕迹处置操作,以便将该异常进程相关的行为的痕迹进行处理,而不用技术人员编写规则再进行处理,提高行为痕迹处理的效率,同时,检索出的多个行为记录也更加全面,提高异常进程的处理效果,避免遗漏。本申请还公开了一种异常进程的处置装置、服务器以及计算机可读存储介质,具有以上有益效果。

Description

一种异常进程的处置方法及相关装置
技术领域
本申请涉及计算机技术领域,特别涉及一种异常进程的处置方法、处置装置、服务器以及计算机可读存储介质。
背景技术
随着计算机技术的不断发展,目前在计算机领域中安全问题越来越受到重视。为了提高数据和计算机安全性,可以通过特定软件阻止异常进程的运行,避免异常进程造成不良后果。例如,通过安全软件阻止恶意进程的运行,避免恶意进程造成严重后果。
但是,异常进程已经遗留的行为痕迹却未能检测并清除,还会在异常进程之后造成不良后果。例如,恶意进程A启动创建了脚本B并添加了计划任务或自启动注册表等。当计算机防护程序检测到恶意进程A存在恶意行为并隔离后,恶意进程A创建的脚本B以及计划任务或自启动注册表等并未删除,仍有可能对计算机造成威胁。可见,检测到异常进程后,需要对该异常进程的相关行为进行处理,以便避免不良后果。
相关技术中,首先检测异常进程,将检测到的异常进程直接进行隔离。然后,技术人员对该对该异常进程进行分析,然后手动编写痕迹识别规则,最后采用该痕迹识别规则识别异常进程的行为痕迹,最后进行清理。但是,需要花费较高的人工成本,效率较低,不具备及时性。
因此,如何提高处理异常进程的行为的效率是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种异常进程的处置方法、处置装置、服务器以及计算机可读存储介质,为了解决异常进程的行为处理还需要通过人工编写规则的效率问题和准确性问题。
为解决上述技术问题,本申请提供一种异常进程的处置方法,包括:
检测异常进程;
根据进程行为关系对所述异常进程进行匹配,得到行为记录;其中,所述进程行为关系包括进程与行为记录的关联关系;
根据所述行为记录执行痕迹处置操作。
可选的,获取所述进程行为关系的步骤,包括:
获取每个进程的操作行为;
以进程为单位对所有所述操作行为进行关联,得到所述进程行为关系。
可选的,获取每个进程的操作行为,包括:
通过内核驱动程序和/或应用层挂钩接口获取每个进程的操作行为。
可选的,检测异常进程,包括:
根据云端获取的异常进程行为特征库检测所述异常进程。
可选的,根据所述行为记录执行痕迹处置操作,包括:
根据行为结果信息对多个所述行为记录进行筛选,得到多个关键行为;
对所述多个关键行为执行痕迹处置操作。
可选的,根据所述行为记录执行痕迹处置操作,包括:
从云端平台获取关键行为特征库;
根据所述关键行为特征库对多个所述行为记录进行筛选,得到多个关键行为;
对所述多个关键行为执行痕迹处置操作。
可选的,所述执行痕迹处置操作的步骤,包括:
清除行为对应的计划任务数据、注册表启动项、自启动文件、衍生文件中的一种或多种的组合。
本申请还提供一种异常进程的处置装置,包括:
异常进程检测模块,用于检测异常进程;
进程行为检索模块,用于根据进程行为关系对所述异常进程进行匹配,得到行为记录;其中,所述进程行为关系包括进程与行为记录的关联关系;
行为痕迹处理模块,用于根据所述行为记录执行痕迹处置操作。
本申请还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的处置方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的处置方法的步骤。
本申请所提供的一种异常进程的处置方法,包括:检测异常进程;根据进程行为关系对所述异常进程进行匹配,得到行为记录;其中,所述进程行为关系包括进程与行为记录的关联关系;根据所述行为记录执行痕迹处置操作。
通过当检测到异常进程时,根据进程行为关系匹配出该异常进程相关的行为记录,最后再根据行为记录执行痕迹处置操作,以便将该异常进程相关的行为的痕迹进行处理,而不用技术人员编写规则再进行处理,提高行为痕迹处理的效率,同时,检索出的多个行为记录也更加全面,提高异常进程的处理效果,避免遗漏。
本申请还提供一种异常进程的处置装置、服务器以及计算机可读存储介质,具有以上有益效果,在此不做赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种异常进程的处置方法的流程图;
图2为本申请实施例所提供的一种进程行为关系获取方法的流程图;
图3为本申请实施例所提供的另一种处置方法的流程图;
图4为本申请实施例所提供的一种异常进程的处置装置的结构示意图;
图5为本申请实施例所提供的一种服务器的结构示意图。
具体实施方式
本申请的核心是提供一种异常进程的处置方法、处置装置、服务器以及计算机可读存储介质,为了解决异常进程的行为处理还需要通过人工编写规则的效率问题和准确性问题。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中,首先检测异常进程,将检测到的异常进程直接进行隔离。然后,技术人员对该对该异常进程进行分析,然后手动编写痕迹识别规则,最后采用该痕迹识别规则识别异常进程的行为痕迹,最后进行清理。但是,需要花费较高的人工成本,效率较低,不具备及时性。
因此,本申请提供一种异常进程的处置方法,通过当检测到异常进程时,根据进程行为关系匹配出该异常进程相关的行为记录,最后再根据行为记录执行痕迹处置操作,以便将该异常进程相关的行为的痕迹进行处理,而不用技术人员编写规则再进行处理,提高行为痕迹处理的效率,同时,检索出的多个行为记录也更加全面,提高异常进程的处理效果,避免遗漏。
为了提高痕迹检测的效率,及时对异常进程的痕迹进行清除,避免对系统造成不良的后果。以下通过一个实施例,对本申请提供的一种异常进程的处置方法进行说明。
请参考图1,图1为本申请实施例所提供的一种异常进程的处置方法的流程图。
本实施例中,该方法可以包括:
S101,检测异常进程;
本步骤旨在实现终端检测异常进程。
其中,异常进程是指本实施例中需要检测的程序。当本实施例主要是检测恶意进程时,该异常进程可以是恶意进程。当本实施例主要是检测敏感程度时,该异常进程可以是敏感程序。
进一步的,本步骤中可以采用现有技术提供的任意一种检测方法进行检测。也可以为了提高检测的准确性和精度,采用终端中的安全软件或者是防火墙软件检测异常进程。还可以获取异常进程特征提取库,采用该异常进程特征提取库检测异常进程。可见,本步骤中检测异常进程的方式并不唯一,在此不做具体限定。
可以想到的是,当检测的异常进程为恶意进程时,当检测出恶意进程时还可以将该恶意进程的本体进行清除处理,避免该恶意进程造成安全性问题。
进一步的,为了提高检测异常进程的准确性和精度,更加准确性的检测出异常进程。本步骤可以包括:
根据云端获取的异常进程行为特征库检测异常进程。
可见,本可选方案中主要是对如何检测异常进程进行说明。本可选方案中,从云端平台获取异常进程行为特征库。其中,异常进程行为特征库就是提取出的关于异常进程的行为特征库,以便根据设备中的各个程序的行为进行检测。最后,根据异常进程行为特征库检测异常进程,也就是在获取到该异常进程行为特征库的情况下,通过检测各个程序的行为实现检测异常进程。本实施例中由于此采用了云端平台获取的异常进程行为特征库进行检测异常进程,提高了异常进程检测的准确性和精度,以便准确获取到异常进程。
S102,根据进程行为关系对异常进程进行匹配,得到行为记录;其中,进程行为关系包括进程与行为记录的关联关系;
在S101的基础上,本步骤旨在根据进程行为关系对异常进程进行匹配,得到行为记录。其中,得到的行为记录可以是单个行为记录,也可以是多个行为记录,在此不做具体限定。其中,该进程行为关系包括进程与行为记录的关联关系。也就是说,本步骤主要是匹配出与该异常进程相对应的行为记录。
其中,进程行为关系可以包括在进程行为数据库中,以便提高匹配的速度。相应的,本步骤可以包括:根据该进程行为数据库检索出该异常进程执行过的所有行为的行为记录。其中,为了得到程行为数据库。可以对每个进程的行为都进行记录,并存储后得到对应的数据库。在此基础上,可以针对每个程序的所有进程进行检索,确定该异常进程对应的所有进程的行为记录。
S103,根据行为记录执行痕迹处置操作。
在S102的基础上,本步骤可以根据该多个行为记录执行痕迹处置操作。也就是,将一个行为或多个行为中每个行为所遗留的痕迹进行删除。其中,行为遗留的痕迹包括但不限于计划任务数据、注册表启动项、自启动文件、衍生文件以及脚本文件。
其中,本步骤中可以对匹配出的所有行为记录对应的痕迹进行清理,也可以为了提高清理的效率,降低对性能影响的多个行为中关键行为执行痕迹处置操作。由于,检索出的多个行为中有些行为的痕迹对于正常运行系统没有影响,而另一些行为的痕迹会严重影响系统的安全,例如,脚本文件,计划任务以及自启动文件等。
进一步的,可以根据每个行为记录对应的行为结果信息进行筛选,得到多个关键行为,例如,行为结果信息为创建计划任务数据、注册表启动项、自启动文件、衍生文件以及脚本文件等。也可以是根据每个行为记录对应的行为类型进行筛选,得到多个关键行为,例如,将行为类型为创建行为、设置自启动行为的行为作为关键行为。还可以是根据关键行为特征库对多个行为记录进行筛选,得到多个关键行为。可见,本实施例中可以对多个行为记录进行筛选的方式并不唯一,在此不做具体限定。
进一步的,为了提高行为痕迹清理的效率和效果,本步骤可以包括:
步骤1,根据行为结果信息对多个行为记录进行筛选,得到多个关键行为;
步骤2,对多个关键行为执行痕迹处置操作。
可见,本可选方案中主要是说明如何进行多个行为记录的筛选。本可选方案中,首先根据行为结果信息对多个行为记录进行筛选,得到多个关键行为;然后,对多个关键行为执行痕迹处置操作。
其中,当行为结果信息为预设信息类型时,将对应的行为作为关键行为。其中,该预设信息类型包括但不限于创建计划任务数据、创建注册表启动项、创建自启动文件、创建衍生文件、创建脚本文件、设置注册表。
进一步的,为了提高行为痕迹清理的效率和效果,本步骤可以包括:
步骤1,从云端平台获取关键行为特征库;
步骤2,根据关键行为特征库对多个行为记录进行筛选,得到多个关键行为;
步骤3,对多个关键行为执行痕迹处置操作。
可见,本可选方案中主要是说明如何进行多个行为记录的筛选。本可选方案中首先从云端平台获取关键行为特征库。其中,该关键行为特征库主要是由关键行为特征组成的库文件,可以根据该关键行为特征从多个行为中确定出现关键行为。然后,根据关键行为特征库对多个行为记录进行筛选,得到多个关键行为;最后,对多个关键行为执行痕迹处置操作。
其中,关键行为特征库可以是通过大数据和神经网络进行训练后识别得到的关键行为特征库,也可以是技术人员从多个行为特征中选择后得到的关键行为特征库,还可以是人工挑选和大数据训练后共同得到的关键行为特征库。
很显然,本可选方案中通过关键行为特征库可以有效的从多个行为中筛选出多个关键行为,然后再对多个关键行为进行痕迹清除处理,提高了痕迹清除操作的效率。
进一步的,为了提高痕迹处置操作的效果,避免遗漏痕迹数据,本实施例中执行痕迹处置操作的步骤可以包括:清除行为对应的计划任务数据、注册表启动项、自启动文件以及衍生文件。其中,计划任务数据、注册表启动项、自启动文件以及衍生文件均是会对系统运行造成不良影响的数据,需要被准确的清理。
此外,当异常进程被检测到时,及时进行相应的执行痕迹处置操作,可以有效避免痕迹中的数据被自动或被执行,有效的避免异常进程的后期影响,提高异常进程清理的效果。
综上,本实施例通过当检测到异常进程时,根据进程行为关系匹配出该异常进程相关的行为记录,最后再根据行为记录执行痕迹处置操作,以便将该异常进程相关的行为的痕迹进行处理,而不用技术人员编写规则再进行处理,提高行为痕迹处理的效率,同时,检索出的多个行为记录也更加全面,提高异常进程的处理效果,避免遗漏。
为了提高痕迹检测的准确性和精度,同时提高使用进程行为关系时的效率。以下通过另一个实施例,对本申请技术方案中如何获取到进程行为数据库进行说明。
请参考图2,图2为本申请实施例所提供的一种进程行为关系获取方法的流程图。
本实施例中,该方法可以包括:
S201,获取每个进程的操作行为;
可见,本步骤旨在获取到每个进程的操作行为。也就是,实时获取到每个进程的操作行为。其中,可以从日志数据中获取到每个进程的操作行为,也可以为了提高获取行为的准确性,以及对行为进行记录的深度,提高检索效果,本步骤中可以获取到更为深度的操作行为数据。
进一步的,为了获取到更加深度的操作行为的数据,提高数据库中数据的完整性和准确性。本步骤可以包括:
通过内核驱动程序和/或应用层挂钩接口获取每个进程的操作行为。
也就是说,可以通过应用层挂钩接口获取每个进程的操作行为,也可以通过应用层挂钩接口获取每个进程的操作行为,还可以通过内核驱动程序和应用层挂钩接口获取每个进程的操作行为。
其中,获取到的操作行为可以包括但不限于进程创建、进程退出、进程注入、内存读写、注册表操作、文件操作、服务操作、网络行为等。
S202,以进程为单位对所有操作行为进行关联,得到进程行为关系。
在S201的基础上,本步骤可以对所有操作行为进行预处理,得到多个预处理操作行为,再对所有操作行为进行关联。当得到的所有操作行为均为同一类型的程序的行为时,格式较为整齐,可以直接存入数据库中。当得到的所有操作行为较为杂乱,存在不同格式的数据时,则需要对所有的操作行为进行预处理,以便得到多个预处理操作行为。
其中,预处理可以是根据预设格式对所有操作行为进行预处理,得到多个预处理操作行为。也就是,将所有的操作行为进行格式统一处理,得到多个预处理操作行为。
在本实施例的基础上,获取进程行为数据库的步骤可以包括:
步骤1,获取每个进程的操作行为;
步骤2,以进程为单位对所有操作行为进行关联,得到多个关联行为;
步骤3,按照预设格式将多个关联行为存储至进程行为数据库。
其中,按照预设格式将多个预处理操作行为存储至进程行为数据库。其中,该预设格式为将数据存入数据库的格式。以便保持多个预处理操作行为在数据库中按照相同的格式进行存储,提高检索时的效率。
可见,本实施例通过对获取到的操作行为进行关联,得到进程行为关系,获取到更为丰富的操作行为数据,提高痕迹检测的准确性和精度,同时提高使用数据库时的效率。
进一步的,针对恶意进程检测并清除痕迹,以下提供一个具体的实施例,对本申请提供的一种处置方法做进一步说明。
请参考图3,图3为本申请实施例所提供的另一种处置方法的流程图。
本实施例中,主要是对系统中的恶意进程进行识别,进一步的再对恶意进程留下的行为痕迹进行清除,该方法可以包括:
S301,从云端平台获取恶意进程行为特征库;
S302,根据恶意进程行为特征库检测恶意进程;
S303,根据进程行为数据库对恶意进程进行行为检索,得到多个行为记录;其中,进程行为数据库为对每个进程的行为进行记录并存储得到的数据库;
S304,从云端平台获取关键行为特征库;
S305,根据关键行为特征库对多个行为记录进行筛选,得到多个关键行为;
S306,对多个关键行为执行痕迹处置操作;
可见,本实施例中首先从获取到恶意进程行为特征库,然后在恶意进程行为特征库的基础上,检测恶意进程。当检测到恶意进程时,根据进程行为数据库对恶意进程进行行为检索,得到多个行为记录。也就是,确定与恶意进程相关的所有行为的行为记录。再获取到关键行为特征库,根据关键行为特征库对多个行为记录进行筛选,得到多个关键行为。最后,对多个关键行为执行痕迹处置操作。
其中,关键行为特征库可以是从恶意进程行为特征库中抽取出的行为特征库,也可以是与恶意进程行为特征库相互独立的特征库,在此不做具体限定。
可见,本实施例通过当检测到恶意进程时,根据已经记录有历史行为信息的进程行为数据库检索出该恶意进程相关的多个行为记录,最后再根据该多个行为记录执行痕迹处置操作,以便将该恶意进程相关的行为的痕迹进行处理,而不用技术人员编写规则再进行处理,提高行为痕迹处理的效率,同时,检索出的多个行为记录也更加全面,提高恶意进程的处理效果,避免遗漏。
下面对本申请实施例提供的异常进程的处置装置进行介绍,下文描述的异常进程的处置装置与上文描述的异常进程的处置方法可相互对应参照。
请参考图4,图4为本申请实施例所提供的一种异常进程的处置装置的结构示意图。
本实施例中,该装置可以包括:
异常进程检测模块100,用于检测异常进程;
进程行为检索模块200,用于根据进程行为关系对异常进程进行匹配,得到行为记录;其中,进程行为关系包括进程与行为记录的关联关系;
行为痕迹处理模块300,用于根据行为记录执行痕迹处置操作。
可选的,该装置还可以包括:关系获取模块;
其中,该关系获取模块可以包括:
行为获取单元,用于获取每个进程的操作行为;
行为关联单元,用于以进程为单位对所有操作行为进行关联,得到进程行为关系
可选的,该行为获取单元,具体用于通过内核驱动程序和/或应用层挂钩接口获取每个进程的操作行为。
可选的,该异常进程检测模块100,具体用于根据云端获取的异常进程行为特征库检测异常进程。
可选的,该行为痕迹处理模块300,具体用于根据行为结果信息对多个行为记录进行筛选,得到多个关键行为;对多个关键行为执行痕迹处置操作。
可选的,该行为痕迹处理模块300,具体用于从云端平台获取关键行为特征库;根据关键行为特征库对多个行为记录进行筛选,得到多个关键行为;对多个关键行为执行痕迹处置操作。
请参考图5,图5为本申请实施例所提供的一种服务器的结构示意图。
本申请实施例还提供一种服务器,包括:
存储器11,用于存储计算机程序;
处理器12,用于执行所述计算机程序时实现如以上实施例所述的处置方法的步骤。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如以上实施例所述的处置方法的步骤。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种异常进程的处置方法、处置装置、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种异常进程的处置方法,其特征在于,包括:
检测异常进程;
根据进程行为关系对所述异常进程进行匹配,得到行为记录;其中,所述进程行为关系包括进程与行为记录的关联关系;
根据所述行为记录执行痕迹处置操作。
2.根据权利要求1所述的处置方法,其特征在于,获取所述进程行为关系的步骤,包括:
获取每个进程的操作行为;
以进程为单位对所有所述操作行为进行关联,得到所述进程行为关系。
3.根据权利要求2所述的处置方法,其特征在于,获取每个进程的操作行为,包括:
通过内核驱动程序和/或应用层挂钩接口获取每个进程的操作行为。
4.根据权利要求1所述的处置方法,其特征在于,检测异常进程,包括:
根据云端获取的异常进程行为特征库检测所述异常进程。
5.根据权利要求1所述的处置方法,其特征在于,根据所述行为记录执行痕迹处置操作,包括:
根据行为结果信息对多个所述行为记录进行筛选,得到多个关键行为;
对所述多个关键行为执行痕迹处置操作。
6.根据权利要求1所述的处置方法,其特征在于,根据所述行为记录执行痕迹处置操作,包括:
从云端平台获取关键行为特征库;
根据所述关键行为特征库对多个所述行为记录进行筛选,得到多个关键行为;
对所述多个关键行为执行痕迹处置操作。
7.根据权利要求1至6任一项所述的处置方法,其特征在于,所述执行痕迹处置操作的步骤,包括:
清除行为对应的计划任务数据、注册表启动项、自启动文件、衍生文件中的一种或多种的组合。
8.一种异常进程的处置装置,其特征在于,包括:
异常进程检测模块,用于检测异常进程;
进程行为检索模块,用于根据进程行为关系对所述异常进程进行匹配,得到行为记录;其中,所述进程行为关系包括进程与行为记录的关联关系;
行为痕迹处理模块,用于根据所述行为记录执行痕迹处置操作。
9.一种服务器,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的处置方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的处置方法的步骤。
CN202110700513.3A 2021-06-23 2021-06-23 一种异常进程的处置方法及相关装置 Pending CN113312201A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110700513.3A CN113312201A (zh) 2021-06-23 2021-06-23 一种异常进程的处置方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110700513.3A CN113312201A (zh) 2021-06-23 2021-06-23 一种异常进程的处置方法及相关装置

Publications (1)

Publication Number Publication Date
CN113312201A true CN113312201A (zh) 2021-08-27

Family

ID=77380330

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110700513.3A Pending CN113312201A (zh) 2021-06-23 2021-06-23 一种异常进程的处置方法及相关装置

Country Status (1)

Country Link
CN (1) CN113312201A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115051833A (zh) * 2022-05-12 2022-09-13 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009049555A1 (fr) * 2007-10-15 2009-04-23 Beijing Rising International Software Co., Ltd. Procédé et appareil pour détecter le comportement malveillant d'un programme informatique
CN103118036A (zh) * 2013-03-07 2013-05-22 上海电机学院 一种基于云端的智能安全防御系统和方法
CN103164649A (zh) * 2013-02-18 2013-06-19 北京神州绿盟信息安全科技股份有限公司 进程行为分析方法及系统
CN111241545A (zh) * 2020-01-10 2020-06-05 苏州浪潮智能科技有限公司 一种软件的处理方法、系统、设备以及介质
CN112507265A (zh) * 2020-11-23 2021-03-16 北京八分量信息科技有限公司 基于树结构进行异常侦测的方法、装置及相关产品

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009049555A1 (fr) * 2007-10-15 2009-04-23 Beijing Rising International Software Co., Ltd. Procédé et appareil pour détecter le comportement malveillant d'un programme informatique
CN103164649A (zh) * 2013-02-18 2013-06-19 北京神州绿盟信息安全科技股份有限公司 进程行为分析方法及系统
CN103118036A (zh) * 2013-03-07 2013-05-22 上海电机学院 一种基于云端的智能安全防御系统和方法
CN111241545A (zh) * 2020-01-10 2020-06-05 苏州浪潮智能科技有限公司 一种软件的处理方法、系统、设备以及介质
CN112507265A (zh) * 2020-11-23 2021-03-16 北京八分量信息科技有限公司 基于树结构进行异常侦测的方法、装置及相关产品

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115051833A (zh) * 2022-05-12 2022-09-13 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法
CN115051833B (zh) * 2022-05-12 2023-12-15 中国电子科技集团公司电子科学研究院 一种基于终端进程的互通网络异常检测方法

Similar Documents

Publication Publication Date Title
US8839203B2 (en) Code coverage-based taint perimeter detection
EP2932393B1 (en) Automated correlation and analysis of callstack and context data
JP7024720B2 (ja) マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラム
CN111258850B (zh) 一种基于Linux系统的更新软件信息的方法及装置
CN111818066A (zh) 一种风险检测方法及装置
CN112559306A (zh) 用户行为轨迹获取方法、装置与电子设备
CN113268427A (zh) 一种针对二进制程序的崩溃分析方法及系统
CN111859399A (zh) 一种基于oval的漏洞检测方法及装置
CN113312201A (zh) 一种异常进程的处置方法及相关装置
CN114020432A (zh) 任务异常处理方法、装置及任务异常处理系统
CN116389148B (zh) 一种基于人工智能的网络安全态势预测系统
CN110489256B (zh) 一种宕机定位修复方法及系统
US10671725B2 (en) Malicious process tracking
CN113377719B (zh) 一种系统异常关机时间获取方法及系统
CN114978963A (zh) 一种网络系统监控分析方法、装置、电子设备及存储介质
CN112003824B (zh) 攻击检测方法、装置及计算机可读存储介质
CN114186278A (zh) 数据库异常操作识别方法、装置与电子设备
CN113392016A (zh) 对程序异常情况处理的规约生成方法、装置、设备及介质
CN107748712A (zh) 一种基于linux系统的日志自动分析方法
US20240184887A1 (en) Activity trace extraction device, activity trace extraction method, and activity trace extraction program
CN117171737A (zh) 一种基于调用链验证的勒索软件对抗方法
CN115129950A (zh) 一种内存信息清除检测方法、装置以及介质
CN117973347A (zh) 基于自动化模板填充技术的溯源报告自动生成方法及系统
US20190138382A1 (en) Incident retrieval method and incident retrieval apparatus
CN116561827A (zh) 一种基于硬盘和系统日志的安全保密审计系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210827

RJ01 Rejection of invention patent application after publication