CN113343221A - 一种终端预警方法和装置 - Google Patents
一种终端预警方法和装置 Download PDFInfo
- Publication number
- CN113343221A CN113343221A CN202010098770.XA CN202010098770A CN113343221A CN 113343221 A CN113343221 A CN 113343221A CN 202010098770 A CN202010098770 A CN 202010098770A CN 113343221 A CN113343221 A CN 113343221A
- Authority
- CN
- China
- Prior art keywords
- target
- terminal
- name
- list
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 512
- 230000008569 process Effects 0.000 claims abstract description 477
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 9
- 238000013507 mapping Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000004886 process control Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种终端预警方法,所述方法包括:查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称;基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。本申请提供的技术方案,可以自动上报终端上运行的可疑进程。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种终端预警方法和装置。
背景技术
随着互联网的快速发展,各种互联网应用也越来越多,而各种互联网应用的核心是对于资源的获取,这些资源无一例外地都需要通过各种服务器来进行承载,涉及到存储、计算、安全、负载等等。由于业务的需要,一台服务器上可能运行有成千上万条进程,如果服务器被攻击并运行恶意程序,例如挖矿程序,在服务器出现异常之前,运维人员很难在大量进程中识别出恶意进程。
鉴于此,有必要提供一种新的终端预警方法和装置以解决上述不足。
发明内容
本申请的目的在于提供一种终端预警方法和装置,可以自动上报终端上运行的可疑进程。
为实现上述目的,本申请一方面提供一种终端预警方法,所述方法包括:查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称;基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。
为实现上述目的,本申请另一方面还提供一种终端预警装置,所述装置包括:进程查询模块,用于查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称;进程判断模块,用于基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。
为实现上述目的,本申请另一方面还提供一种终端预警装置,所述终端预警装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,实现上述终端预警的方法。
由此可见,本申请提供的技术方案,通过对终端设备上运行的各个进程进行查询,获取到进程对应的进程描述信息,然后将获取到的各个进程的进程描述信息与预先创建的进程列表进行比对,判断上述进程是否存在于进程列表中,如果某一个进程并不存在于进程列表中,则可以判断其为可疑进程,系统可以自动将该进程对应的进程描述信息进行上报,使得操作人员可以根据上报的进程描述信息进一步判断其是否为非法进程,并根据判断结果进行相应的处理。通过上述方法,操作人员不需要一一识别终端设备上运行的所有进程,只需要对系统自动上报的可疑进程进行识别即可实现对终端设备的安全管理,极大的提高了安全管理的效率。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施方式一中终端预警方法的流程图;
图2是本申请实施方式二中终端预警方法的工作流程图;
图3是本申请实施方式三中终端预警方法的工作流程图;
图4是本发明实施方式中终端预警装置的功能模块示意图;
图5是本发明实施方式中终端预警装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
随着互联网的快速发展,各种互联网应用也越来越多,而各种互联网应用的核心是对于资源的获取,这些资源无一例外地都需要通过各种服务器来进行承载,涉及到存储、计算、安全、负载等等。由于业务的需要,一台服务器上可能运行有成千上万条进程,如果服务器被攻击并被植入恶意程序,例如挖矿程序,那么在恶意程序导致服务器出现异常之前,运维人员很难发现服务器已经被植入了恶意程序,而依靠运维人员对服务器上运行的大量进程进行一一甄别,以识别出恶意进程,不仅效率低下,而且当进程数量极大时,这种方式也是很难实现的。
在实际应用中,如果服务器上运行的组件版本过老或者没有及时进行安全升级,服务器可能受到已知安全漏洞的攻击,因此对服务器进行软件维护,保证服务器上的组件及时得到更新,以免受安全漏洞的攻击,便成为运维人员极为重要的工作,但是当服务器的数量较多时,识别每台服务器上运行的组件及组件版本需要耗费大量的人力。当安全漏洞中心,例如CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)发布最新的组件安全漏洞时,运维人员很难及时从众多服务器中寻找出使用存在安全漏洞组件的服务器,这就使得服务器可能会遭到受0-day攻击。
因此,如何获取终端上运行的各种进程,并基于对进程的识别,以降低终端的安全管理成本,便成为本领域亟需解决的课题。
本申请提供的技术方案可以解决上述不足。
为便于理解本申请中涉及到的进程以及组件的内容,下面对其进行简要介绍。
进程是一个具有一定独立功能的程序在一个数据集上的一次动态执行的过程,是操作系统进行资源分配和调度的一个独立单位,是应用程序运行的载体。进程一般由程序、数据集合和进程控制块(Processing Control Block,PCB)三部分组成。程序用于描述进程要完成的功能,是控制进程执行的指令集;数据集合是程序在执行时所需要的数据和工作区;进程控制块包含描述进程情况及控制进程运行所需的信息。
组件是能够完成某种功能并且向外提供若干个使用这个功能的接口的可重用的代码集,是可管理的、独立的逻辑程序块,可以进行独立的、分离的、易于重建使用的软件部分。例如,用户界面组件,用于开发构建用户界面(UI),帮助完成软件开发中视窗、文本框、按钮、下拉式菜单等界面元素的开发;图表组件,用于开发图表,帮助软件实现数据可视化,实现开发时较难独立完成的复杂图表。通常组件是不断迭代的,为便于查找不同时期的组件,每一个组件都有对应的版本号,当组件更新后,其对应的版本号也会相应的进行更新。
请参阅图1,为本申请实施方式一中终端预警方法的流程图。
S101:查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称。
在一个实施方式中,终端设备可以查询在本地终端上正在运行的所有的进程,并获取上述各个进程对应的进程描述信息,其中,进程描述信息中至少包括进程名称。
例如,在Linux系统中,可以通过使用ps命令显示所有运行中的进程,并显示当前运行中进程的相关信息,包括进程的PID(Process Identification,进程控制符)。当终端设备获取到进程的PID后,可以通过上述PID查找到对应的进程名称。进一步的,终端设备还可以根据PID获取到进程对应的程序路径,例如,要获取PID为9227的进程对应的程序路径可以执行如下的命令:ls-l/proc/9227/。通过上述方法,终端设备可以获取到当前正在本地运行的各个进程对应的进程描述信息,上述进程描述信息可以包括进程PID、进程名称、程序路径等信息。
在一个实施方式中,查询终端上运行的各个进程可以包括遍历终端上的各个监听端口,以获取终端上运行的各个进程。具体的,终端设备可以获取本地所有的监听端口,当终端设备获取到所有的监听端口后,可以依次查询每一个端口被哪个进程占用,进而获取到终端上正在运行的各个进程。例如,通过ss–lnt命令,可以查看系统当前所有的监听端口,然后使用lsof-i:port命令或者netstat-nap|grep port命令,便可以通过端口号查看某一个端口对应的进程。
需要特别指出的是,在本申请中终端设备既可以是指手机、笔记本电脑、台式机等具体的电子设备,也可以是指位于某一个计算机网络中的为客户提供本地服务的客户端设备,以及为客户端设备提供资源的服务端设备(例如服务器)。
S102:基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。
在一个实施方式中,当终端设备获取到当前正在本地运行的各个进程对应的进程描述信息之后,针对上述各个进程中的任意一个进程(即目标进程),可以解析出目标进程对应的进程描述信息中的进程名称,并遍历预先设置的进程列表,以判断目标进程对应的进程名称是否存在于上述进程列表中。如果目标进程对应的进程名称存在于上述进程列表中,则说明目标进程为合法进程,其可以被系统通过和执行,终端设备不对目标进程进行处理。如果目标进程对应的进程名称不存在于上述进程列表中,则说明目标进程为可疑进程,终端设备将上报目标进程对应的进程描述信息,以使得操作人员可以根据上报的进程描述信息,对目标进程进行进一步的识别。
针对终端设备查询到的当前正在本地运行的每一个进程,终端设备都可以执行上述判断过程,进而终端设备便可以识别出正在本地运行的所有可疑进程,并上报可疑进程对应的进程描述信息,由操作人员对上报的进程描述信息进行进一步的识别。如此,操作人员只需要对上报的可疑进程进行甄别,而无需对终端设备上运行的所有进程进行一一识别,便可以实现对终端设备的安全管理。
在一个实施方式中,在查询终端上运行的各个进程之前,终端设备还可以建立进程白名单(即进程列表),并通过以下方式实现:
首先,确定合法进程名称;
其次,根据合法进程名称建立进程列表。
由于终端设备需要对外提供各种服务,因此终端设备上运行有多种程序,相应的,终端设备上运行有多种进程。通过统计终端设备对外提供的服务,操作人员可以统计出终端设备上可以合法运行的程序,以及对应的进程,进而操作人员可以确定出合法进程的名称。基于上述合法进程名称,操作人员可以构建出进程列表,并将上述进程列表储存在终端设备中。
如果某一个进程位于上述进程列表中,则表示其可以被系统通过和执行,该进程可以在终端设备上合法运行;如果某一个进程并不位于上述进程列表中,则表示其可能为恶意进程,或者是未被统计的合法进程(例如系统调用某一合法程序而新生成的进程)。
需要特别指出的是,上述进程列表是以白名单规则进行介绍的,在另一个实施方式中,进程列表中还可以增加进程黑名单,即进程列表由进程白名单和进程黑名单组成。操作人员可以统计已发现的恶意进程,并基于上述恶意进程对应的进程名称构建进程黑名单,如果某一个进程位于上述进程黑名单中,则表示其为恶意进程,终端设备不需要对其进行上报,而可以根据预设规则,直接对其进行处理,例如通过kill命令,或者killall命令,关闭该进程。通过在进程列表中增加进程黑名单,终端设备既可以对可疑进程进行主动上报,也可以主动关闭恶意进程,从而进一步提高了终端设备的安全管理效率。
请参阅图2,为本申请实施方式二中终端预警方法的工作流程图,在本实施方式中,终端设备中储存有进程列表。
在一个实施方式中,终端设备查询本地所有的监听端口,并依次查询每一个端口被哪个进程占用,进而获取到本地终端上正在运行的各个进程,以及对应的进程描述信息,其中,上述进程描述信息中至少包括进程名称。当终端设备获取到本地终端上正在运行的各个进程对应的进程名称后,针对其中任意一个进程(即目标进程),终端设备可以将目标进程对应的进程名称与进程列表进行对比,以判断目标进程对应的进程名称是否存在于上述进程列表中。
如果目标进程对应的进程名称存在于上述进程列表中,则说明目标进程为合法进程,其可以被系统通过和执行,终端设备不对目标进程进行处理。如果目标进程对应的进程名称不存在于上述进程列表中,则说明目标进程为可疑进程,终端设备将上报目标进程对应的进程描述信息。当终端设备上报目标进程对应的进程描述信息之后,操作人员可以根据进程描述信息中的进程PID、进程名称、程序路径等信息判断目标进程是否为非法进程(即恶意进程)。
如果操作人员判断目标进程为非法进程,操作人员可以对目标进程进行记录,并向终端设备进行反馈,使得终端设备可以根据预设处理策略,例如对非法进程进行隔离、关闭非法进程、删除非法进程对应的程序等,对所述目标进程进行处理。
如果操作人员判断目标进程为合法进程,操作人员可以将目标进程对应的进程名单添加到上述进程列表中,如此,当终端设备再次查询到目标进程时,便可以不对目标进程进行上报,从而提高系统的安全管理效率。
需要特别指出的是,如果进程列表中同时包含进程白名单和进程黑名单,那么当操作人员判断目标进程为非法进程后,终端设备还可以将目标进程对应的进程名称添加到上述进程黑名单中,如此,当终端设备再次查询到目标进程时,便可以根据预设规则,直接对其进行处理,例如通过kill命令,或者killall命令,关闭该进程。相应的,当操作人员判断目标进程为合法进程后,终端设备还可以将目标进程对应的进程名称添加到上述进程白名单中。
在一个实施方式中,如果终端设备位于一个集群系统中,那么针对集群系统中的每一个终端设备,系统都可以为其赋予唯一标识符,该唯一标识符可以采用“设备IP”和/或“设备名称”的形式表征,其中,“设备IP”可以采用终端设备的IP地址,“设备名称”可以采用不重复的数字编号、MAC地址、或者其它可以用于区别不同终端设备的字段或者字符。每一个终端设备在上报可疑进程信息时,其上报信息中可以携带该终端设备的唯一标识符,这样操作人员可以在集群中快速定位该终端设备,并对该终端设备进行安全处理。
需要特别指出的是,由于集群系统中的各个终端设备运行的程序可能不同,因此各个终端设备上报的可疑进程也可能并不相同,但是病毒、木马等恶意进程可能会在集群中的各个终端设备之间进行传播,因此当操作人员判断某一个可疑进程为恶意进程后,操作人员可以将该进程对应的进程名称,添加至集群中所有终端设备的进程名单中,这样当集群中任意一台终端设备查询到该进程后,该终端设备不需要对其进行上报,而可以根据预设规则,直接对其进行处理,例如通过kill命令,或者killall命令,关闭该进程。通过上述方法,当识别出在集群中某一个终端设备上运行的恶意进程后,该集群中其它的终端设备都将具有针对该恶意进程的防护能力,从而极大的提高了整个集群系统的安全管理效率。相应的,当操作人员判断某一个可疑进程为合法进程后,操作人员可以将该进程对应的进程名称,添加至集群中所有终端设备的进程名单中,这样当集群中任意一台终端设备查询到该进程后,该终端设备都可以判断该进程为合法进程,无需对其进行处理。
在一个实施方式中,当终端设备获取到当前正在运行的各个进程对应的进程描述信息之后,针对其中任意一个进程(即目标进程),终端设备可以基于目标进程的进程描述信息,获取目标进程对应的目标组件名称和目标组件版本号。例如,终端设备可以基于目标进程的PID或者进程名称,通过lsof命令查询目标进程对应的程序文件名称,并根据上述程序文件名称获取目标组件名称,以及与上述目标组件名称相对应的组件版本号(即目标组件版本号)。
当终端设备获取到目标进程对应的目标组件名称和目标组件版本号后,终端设备可以将上述目标组件名称、目标组件版本号与目标进程名称进行绑定,建立目标进程名称、目标组件名称、目标组件版本号的映射关系。当建立上述映射关系后,终端设备可以判断上述目标组件名称和目标组件版本号是否存在于漏洞警告名单中,如果上述目标组件名称和目标组件版本号存在于漏洞警告名单中,终端设备可以生成漏洞预警信息,并且上述漏洞预警信息中至少包括终端标识,以使得操作人员可以根据上述终端标识,快速定位该终端设备,并对该终端设备进行安全处理。例如,操作人员可以对该终端设备上存在安全漏洞的组件进行升级,或者根据上述映射关系,查询与存在安全漏洞的组件相对应的进程,并将该进程进行隔离处理。
在一个实施方式中,漏洞警告名单可以通过网络爬虫进行主动抓取,例如使用网络爬虫定期收集CVE、NVD(National Vulnerability Database)等安全漏洞中心公布的漏洞信息,并生成漏洞警告名单,上述漏洞警告名单中至少包括漏洞涉及的组件名称和组件版本。在另一个实施方式中,漏洞警告名单还可以由操作人员人工设定,例如操作人员根据终端设备上安装的程序,在安全漏洞中心公布的漏洞信息中查询与上述安装的程序相关的漏洞信息,并生成漏洞警告名单。
在一个实施方式中,如果上述目标组件名称和目标组件版本号不存在于漏洞警告名单中,则说明目标进程,以及与该目标进程相对应的程序不存在安全漏洞,因此终端设备可以不对目标进程进行处理。
在一个实施方式中,判断目标组件名称和目标组件版本号是否存在于漏洞警告名单中,可以通过以下方式实现:
首先,基于漏洞警告名单中的各个组件名称和对应的组件版本号生成目标文本;
然后,根据目标组件名称和目标组件版本号生成目标正则表达式,并根据目标正则表达式对目标文本进行正则匹配,以判断目标组件名称和目标组件版本号是否存在于漏洞警告名单中。
当终端设备获取到漏洞警告名单后,终端设备可以对上述漏洞警告名单进行处理,提取漏洞警告名单中的各个组件名称,以及与每一个组件名称相对应的组件版本号,然后根据提取的组件名称和组件版本号建立目标文本。在上述目标文本中,每一个组件名称都存在与其相映射的组件版本号,针对一个组件名称同时存在多个不同的组件版本号的情况,目标文本可以建立组件名称与各个组件版本号的映射关系条目。例如,假设组件A的组件名称为:phpbb,其存在漏洞的版本有3.0.7和3.2.2,那么在目标文本中将包括phpbb与3.0.7的映射关系条目,以及phpbb与3.2.2的映射关系条目。
终端设备在获取到目标进程对应的目标组件名称和目标组件版本号后,可以根据上述目标组件名称和目标组件版本号生成目标正则表达式,上述目标正则表达式可以用于匹配同时包含有目标组件名称和目标组件版本号的字符。如此,当终端设备生成上述目标正则表达式后,便可以利用目标正则表达式对上述目标文本进行正则匹配,以查询目标文本中是否存在符合目标组件名称和目标组件版本号的字符。如果正则匹配通过,则可以判断上述目标组件名称和目标组件版本号存在于漏洞警告名单中;如果正则匹配未通过,则可以判断上述目标组件名称和目标组件版本号不存在于漏洞警告名单中。
由于进程具有动态性,其可以随着程序的运行而创建,也可以随着程序的结束而销毁,因此,在一个实施方式中,终端设备还可以设定进程查询周期,并根据上述进程查询周期查询终端上运行的各个进程。例如,终端设备可以设定为每间隔固定时长,对本地所有的监听端口进行查询,并依次查询每一个端口被哪个进程占用,进而获取到终端上正在运行的各个进程,然后将获取到的当前正在运行的各个进程对应的进程名称与进程列表进行对比,以判断是否存在可疑进程。当比对过程结束,而下一个进程查询周期尚未到达时,终端设备可以停止对本地监听端口进行查询,以减少系统开销。
请参阅图3,为本申请实施方式三中终端预警方法的工作流程图。
在实际应用中,由于零日漏洞(0-day攻击)具有极大的破坏性,因此及时发现终端设备上运行的程序的安全漏洞,并采取相应的安全处理,对维护终端设备的安全具有重要意义。
在一个实施方式中,终端设备可以实时监听设备上的各个端口,以获取正在终端设备上运行的各个进程,并根据各个进程的进程描述信息,获取各个进程对应的进程名称、组件名称和组件版本号,然后针对每一个进程,建立进程名称、组件名称、组件版本号的映射关系。如此,当终端设备上正在运行的进程发生改变时,终端设备便可以及时对上述进程名称、组件名称、组件版本号的映射关系进行更新,从而使得终端设备始终可以获取到最新的进程名称、组件名称、组件版本号的映射关系。
当安全漏洞中心发布新的漏洞信息时,终端设备可以根据上述漏洞涉及的组件名称和组件版本号,及时查询本地终端是否运行有存在上述漏洞的进程,如果存在这样的进程,终端设备可以向操作人员发出预警信息,以通知操作人员及时对上述漏洞进行处理,降低终端设备遭受0-day攻击的风险。
需要特别指出的是,如果终端设备位于一个集群系统中,那么针对集群系统中的每一个终端设备,系统都可以为其赋予唯一标识符,并且集群中的每一个终端设备都将进行上述操作。如此,当终端设备发现本地终端运行有存在漏洞的进程时,便可以向操作人员发出携带有终端标识的预警信息,操作人员可以根据上述终端标识,在集群中快速定位该终端设备,并对该终端设备进行安全处理。
以漏洞CVE-2019-0211为例,当安全漏洞中心发布CVE-2019-0211漏洞预警信息后,终端设备可以提取CVE-2019-0211漏洞预警信息中涉及的组件名称(Apache)和组件版本号(2.4.17-2.4.38),然后终端设备在进程名称、组件名称、组件版本号的映射关系条目中,查询是否存在包含有“Apache”和“2.4.17-2.4.38”的映射关系条目,如果存在包含有“Apache”和“2.4.17-2.4.38”的映射关系条目,则可以判断终端设备受CVE-2019-0211漏洞影响,终端设备可以向操作人员发送预警信息,通知操作人员对CVE-2019-0211漏洞进行处理。
需要特别指出的是,如果终端设备位于集群系统中,那么当终端设备向操作人员发送预警信息时,上述预警信息中携带有终端标识,操作人员可以根据上述终端标识,在集群中快速定位该终端设备,并对该终端设备进行安全处理。
请参阅图4,本申请还提供一种终端预警装置,所述终端预警装置包括:
进程查询模块,用于查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称;
进程判断模块,用于基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。
在一个实施方式中,所述终端预警装置还包括:
进程列表生成模块,用于确定合法进程名称,并根据所述合法进程名称建立所述进程列表。
在一个实施方式中,所述终端预警装置还包括:
进程处理模块,用于判断所述目标进程是否为非法进程,若所述目标进程为非法进程,则根据预设处理策略,对所述目标进程进行处理;若所述目标进程为合法进程,则在所述进程列表中添加所述目标进程对应的进程名称。
在一个实施方式中,查询所述终端上运行的各个进程包括:
遍历所述终端上的各个监听端口,以获取所述终端上运行的各个进程。
在一个实施方式中,所述终端预警装置还包括:
漏洞预警模块,用于基于所述目标进程的进程描述信息,获取所述目标进程对应的目标组件名称和目标组件版本号,以及,
判断所述目标组件名称和所述目标组件版本号是否存在于漏洞警告名单中,若所述目标组件名称和所述目标组件版本号存在于所述漏洞警告名单中,则生成漏洞预警信息,其中,所述漏洞预警信息中至少包括终端标识;若所述目标组件名称和所述目标组件版本号不存在于所述漏洞警告名单中,则不对所述目标进程进行处理。
在一个实施方式中,判断所述目标组件名称和所述目标组件版本号是否存在于漏洞警告名单中包括:
基于所述漏洞警告名单中的各个组件名称和对应的组件版本号生成目标文本;
根据所述目标组件名称和所述目标组件版本号生成目标正则表达式,并根据所述目标正则表达式对所述目标文本进行正则匹配,以判断所述目标组件名称和所述目标组件版本号是否存在于所述漏洞警告名单中。
在一个实施方式中,所述终端预警装置还包括:
周期设定模块,用于设定进程查询周期,以使得所述终端根据所述进程查询周期查询所述终端上运行的各个进程。
请参阅图5,本申请还提供一种终端预警装置,所述终端预警装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,可以实现如上述的终端预警方法。具体地,在硬件层面,该终端预警装置可以包括处理器、内部总线和存储器。所述存储器可以包括内存以及非易失性存储器。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述终端预警装置的结构造成限定。例如,所述终端预警装置还可包括比图5中所示更多或者更少的组件,例如还可以包括其他的处理硬件,如GPU(GraphicsProcessing Unit,图像处理器),或者对外通信端口等。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等。
本实施方式中,所述的处理器可以包括中央处理器(CPU)或图形处理器(GPU),当然也可以包括其他的具有逻辑处理能力的单片机、逻辑门电路、集成电路等,或其适当组合。本实施方式所述的存储器可以是用于保存信息的记忆设备。在数字系统中,能保存二进制数据的设备可以是存储器;在集成电路中,一个没有实物形式的具有存储功能的电路也可以为存储器,如RAM、FIFO等;在系统中,具有实物形式的存储设备也可以叫存储器等。实现的时候,该存储器也可以采用云存储器的方式实现,具体实现方式,本说明书不做限定。
需要说明的是,本说明书中的终端预警装置,具体的实现方式可以参照方法实施方式的描述,在此不作一一赘述。
由此可见,本申请提供的技术方案,通过对终端设备上运行的各个进程进行查询,获取到进程对应的进程描述信息,然后将获取到的各个进程的进程描述信息与预先创建的进程列表进行比对,判断上述进程是否存在于进程列表中,如果某一个进程并不存在于进程列表中,则可以判断其为可疑进程,系统可以自动将该进程对应的进程描述信息进行上报,使得操作人员可以根据上报的进程描述信息进一步判断其是否为非法进程,并根据判断结果进行相应的处理。通过上述方法,操作人员不需要一一识别终端设备上运行的所有进程,只需要对系统自动上报的可疑进程进行识别即可实现对终端设备的安全管理,极大的提高了安全管理的效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种终端预警方法,其特征在于,所述方法包括:
查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称;
基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。
2.根据权利要求1所述的方法,其特征在于,在查询终端上运行的各个进程之前,所述方法还包括:
确定合法进程名称;
根据所述合法进程名称建立所述进程列表。
3.根据权利要求2所述的方法,其特征在于,在上报所述目标进程对应的进程描述信息后,所述方法还包括:
判断所述目标进程是否为非法进程,若所述目标进程为非法进程,则根据预设处理策略,对所述目标进程进行处理;
若所述目标进程为合法进程,则在所述进程列表中添加所述目标进程对应的进程名称。
4.根据权利要求1所述的方法,其特征在于,查询所述终端上运行的各个进程包括:
遍历所述终端上的各个监听端口,以获取所述终端上运行的各个进程。
5.根据权利要求1所述的方法,其特征在于,在获取所述各个进程对应的进程描述信息后,所述方法还包括:
基于所述目标进程的进程描述信息,获取所述目标进程对应的目标组件名称和目标组件版本号;
判断所述目标组件名称和所述目标组件版本号是否存在于漏洞警告名单中,若所述目标组件名称和所述目标组件版本号存在于所述漏洞警告名单中,则生成漏洞预警信息,其中,所述漏洞预警信息中至少包括终端标识;
若所述目标组件名称和所述目标组件版本号不存在于所述漏洞警告名单中,则不对所述目标进程进行处理。
6.根据权利要求5所述的方法,其特征在于,判断所述目标组件名称和所述目标组件版本号是否存在于漏洞警告名单中包括:
基于所述漏洞警告名单中的各个组件名称和对应的组件版本号生成目标文本;
根据所述目标组件名称和所述目标组件版本号生成目标正则表达式,并根据所述目标正则表达式对所述目标文本进行正则匹配,以判断所述目标组件名称和所述目标组件版本号是否存在于所述漏洞警告名单中。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
设定进程查询周期,以根据所述进程查询周期查询所述终端上运行的各个进程。
8.一种终端预警装置,其特征在于,所述装置包括:
进程查询模块,用于查询终端上运行的各个进程,并获取所述各个进程对应的进程描述信息,其中,所述进程描述信息中至少包括进程名称;
进程判断模块,用于基于所述进程描述信息中的进程名称,判断所述各个进程中任意一个目标进程是否存在于进程列表中,若存在,则不对所述目标进程进行处理;若不存在,则上报所述目标进程对应的进程描述信息。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
进程列表生成模块,用于确定合法进程名称,并根据所述合法进程名称建立所述进程列表。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
进程处理模块,用于判断所述目标进程是否为非法进程,若所述目标进程为非法进程,则根据预设处理策略,对所述目标进程进行处理;若所述目标进程为合法进程,则在所述进程列表中添加所述目标进程对应的进程名称。
11.根据权利要求8所述的装置,其特征在于,查询所述终端上运行的各个进程包括:
遍历所述终端上的各个监听端口,以获取所述终端上运行的各个进程。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括:
漏洞预警模块,用于基于所述目标进程的进程描述信息,获取所述目标进程对应的目标组件名称和目标组件版本号,以及,
判断所述目标组件名称和所述目标组件版本号是否存在于漏洞警告名单中,若所述目标组件名称和所述目标组件版本号存在于所述漏洞警告名单中,则生成漏洞预警信息,其中,所述漏洞预警信息中至少包括终端标识;若所述目标组件名称和所述目标组件版本号不存在于所述漏洞警告名单中,则不对所述目标进程进行处理。
13.根据权利要求12所述的装置,其特征在于,判断所述目标组件名称和所述目标组件版本号是否存在于漏洞警告名单中包括:
基于所述漏洞警告名单中的各个组件名称和对应的组件版本号生成目标文本;
根据所述目标组件名称和所述目标组件版本号生成目标正则表达式,并根据所述目标正则表达式对所述目标文本进行正则匹配,以判断所述目标组件名称和所述目标组件版本号是否存在于所述漏洞警告名单中。
14.根据权利要求8所述的装置,其特征在于,所述装置还包括:
周期设定模块,用于设定进程查询周期,以使得所述终端根据所述进程查询周期查询所述终端上运行的各个进程。
15.一种终端预警装置,其特征在于,所述终端预警装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,实现如权利要求1至7中任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010098770.XA CN113343221A (zh) | 2020-02-18 | 2020-02-18 | 一种终端预警方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010098770.XA CN113343221A (zh) | 2020-02-18 | 2020-02-18 | 一种终端预警方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113343221A true CN113343221A (zh) | 2021-09-03 |
Family
ID=77466995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010098770.XA Pending CN113343221A (zh) | 2020-02-18 | 2020-02-18 | 一种终端预警方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113343221A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086076A (zh) * | 2022-07-21 | 2022-09-20 | 中国银行股份有限公司 | 一种零日漏洞攻击防御方法和系统、电子设备、存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN106446691A (zh) * | 2016-11-24 | 2017-02-22 | 工业和信息化部电信研究院 | 检测软件中集成或定制的开源项目漏洞的方法和装置 |
| EP3239841A1 (en) * | 2016-04-28 | 2017-11-01 | Beijing Xiaomi Mobile Software Co., Ltd. | Method and device for managing application program |
| CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源系统工程有限公司 | 一种操作管理方法及装置 |
| CN109190380A (zh) * | 2018-08-20 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 基于web指纹实现批量站点漏洞快速检测的方法及系统 |
| CN109768896A (zh) * | 2018-12-14 | 2019-05-17 | 平安普惠企业管理有限公司 | 监控服务器环境状态的方法、装置和计算机设备 |
-
2020
- 2020-02-18 CN CN202010098770.XA patent/CN113343221A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| EP3239841A1 (en) * | 2016-04-28 | 2017-11-01 | Beijing Xiaomi Mobile Software Co., Ltd. | Method and device for managing application program |
| CN106446691A (zh) * | 2016-11-24 | 2017-02-22 | 工业和信息化部电信研究院 | 检测软件中集成或定制的开源项目漏洞的方法和装置 |
| CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源系统工程有限公司 | 一种操作管理方法及装置 |
| CN109190380A (zh) * | 2018-08-20 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 基于web指纹实现批量站点漏洞快速检测的方法及系统 |
| CN109768896A (zh) * | 2018-12-14 | 2019-05-17 | 平安普惠企业管理有限公司 | 监控服务器环境状态的方法、装置和计算机设备 |
Non-Patent Citations (1)
| Title |
|---|
| 魏光甫等: "《移动电子政务安全研究》", 武汉:中国地质大学出版社, pages: 120 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086076A (zh) * | 2022-07-21 | 2022-09-20 | 中国银行股份有限公司 | 一种零日漏洞攻击防御方法和系统、电子设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| US8566939B2 (en) | Method and device for scanning a plurality of computerized devices connected to a network | |
| CN111835794A (zh) | 防火墙策略控制方法、装置、电子设备及存储介质 | |
| US11223643B2 (en) | Managing a segmentation policy based on attack pattern detection | |
| CN112989330B (zh) | 容器的入侵检测方法、装置、电子设备及存储介质 | |
| US9866577B2 (en) | Method for detecting intrusions on a set of virtual resources | |
| CN106656989B (zh) | 一种流量监控方法及终端 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| KR101753647B1 (ko) | 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법 | |
| CN108551449B (zh) | 防病毒管理系统及方法 | |
| CN112926048A (zh) | 一种异常信息检测方法和装置 | |
| TWI731821B (zh) | 建立應用程式白名單之方法與系統 | |
| CN116305155A (zh) | 一种程序安全检测防护方法、装置、介质及电子设备 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN108881460B (zh) | 一种云平台统一监控的实现方法和实现装置 | |
| CN113343221A (zh) | 一种终端预警方法和装置 | |
| USRE48043E1 (en) | System, method and computer program product for sending unwanted activity information to a central system | |
| CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
| CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
| CN115208671B (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
| CN109040089B (zh) | 网络策略审计方法、设备及计算机可读存储介质 | |
| CN113381881B (zh) | 一种主机监控告警处理的方法、装置 | |
| CN111258712B (zh) | 一种虚拟平台网络隔离下保护虚拟机安全的方法及系统 | |
| CN114039778A (zh) | 一种请求处理方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210903 |