CN113806737B - 一种恶意进程风险等级评估方法、终端设备及存储介质 - Google Patents
一种恶意进程风险等级评估方法、终端设备及存储介质 Download PDFInfo
- Publication number
- CN113806737B CN113806737B CN202111018836.0A CN202111018836A CN113806737B CN 113806737 B CN113806737 B CN 113806737B CN 202111018836 A CN202111018836 A CN 202111018836A CN 113806737 B CN113806737 B CN 113806737B
- Authority
- CN
- China
- Prior art keywords
- threat
- risk
- risk score
- risk level
- processes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 259
- 238000004590 computer program Methods 0.000 claims description 19
- 238000011156 evaluation Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种恶意进程风险等级评估方法、终端设备及存储介质,该方法中包括:采集所有已启动进程的进程信息;针对每个已启动进程,根据其进程信息判断是否属于恶意工具启动的威胁进程,如果属于威胁进程,根据其在在知识库中的风险等级计算风险分值,并根据进程ID、进程启动路径、已运行时间的长短、读取到的文件和扫描到的进程信息的数量和包含的父进程的个数来综合评判威胁进程对应的风险等级。本发明解决了现有技术中进程风险等级判定所存在的问题,通过对威胁进程的综合评估,修正威胁进程的风险等级,可以更好的提醒相关人员。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种恶意进程风险等级评估方法、终端设备及存储介质。
背景技术
一些读取机密信息的恶意进程或工具,为了逃避检测,会采用脚本,或自己编写的恶意程序启动,或多层级交替启动命令行后再启动威胁进程获取机密信息。
大部分进程的风险等级通常是根据读取的进程的工具类型来判定的,却忽视了该进程可能是用户自己启动的情况;另外还存在部分低风险等级的工具,由于被多层级嵌套,隐蔽启动,启动后对多个文件或其他进程进行扫描,窃取数据,从而获取到了大量的用户信息,会引起更大范围的信息泄露风险,或受到进一步的入侵。
当前对于有威胁性的进程,通过分析启动进程的工具类型、工具权限等信息,可以判断该进程的风险等级。但是在部分环境中,需要正常使用部分被定义为存在威胁的工具,因此无法将其加入白名单。并且由于某些工具被定义为了低风险类型,从而没有引起安全人员的注意,当该工具持续运行,多次扫描到不同的数据信息后有可能会造成更大的威胁。
发明内容
为了解决上述问题,本发明提出了一种恶意进程风险等级评估方法、终端设备及存储介质。
具体方案如下:
一种恶意进程风险等级评估方法,包括以下步骤:
S1:构建威胁进程列表和存储有各已知威胁进程的风险等级的知识库;采集所有已启动进程的进程信息;
S2:针对每个已启动进程,根据其进程信息判断是否属于恶意工具启动的威胁进程,如果是,将该已启动进程设定为威胁进程,进入S3;否则,结束该已启动进程的风险等级评定;
S3:将威胁进程与威胁进程列表中的各进程进行匹配,如果匹配成功,进入S5;否则进入S4;
S4:根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值,将威胁进程和其对应的风险等级和风险分值存入威胁进程列表内,进入S7;
S5:判断威胁进程的进程ID与匹配到的进程的进程ID是否相同,如果是,进入S6;否则,进入S7;
S6:判断威胁进程的进程启动路径与匹配到的进程的进程启动路径是否相同,如果是,设定威胁进程的风险分值为匹配到的进程的风险分值,进入S7;否则,设定威胁进程的风险分值为匹配到的进程的风险分值加一,进入S7;
S7:根据威胁进程的已运行时间的长短增加威胁进程的风险分值;
S8:根据威胁进程读取到的文件和扫描到的进程信息的数量增加威胁进程的风险分值;
S9:根据威胁进程包含的父进程的个数增加威胁进程的风险分值;
S10:根据威胁进程的风险分值与相连风险等级之间风险分值差值的比值,确定威胁进程对应的风险等级。
进一步的,进程信息包括进程ID、进程启动路径、进程读取到的文件和扫描到的进程信息。
进一步的,步骤S4中根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值的方法为:假设根据相连风险等级之间风险分值差值为D,则第n风险等级的威胁进程对应的与风险分值为D(n-1)+1。
进一步的,步骤S10中风险等级为比值向上取整的结果。
一种恶意进程风险等级评估终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,解决了现有技术中进程风险等级判定所存在的问题,通过对威胁进程的综合评估,修正威胁进程的风险等级,可以更好的提醒相关人员。
附图说明
图1所示为本发明实施例一的流程图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种恶意进程风险等级评估方法,如图1所示,所述方法包括以下步骤:
S1:构建威胁进程列表和存储有各已知威胁进程的风险等级的知识库;采集所有已启动进程的进程信息。
该实施例中进程信息包括进程ID、进程启动路径、进程读取到的文件和扫描到的进程信息。
威胁进程列表用于存储一个终端设备或系统在所有时间内的所有威胁进程,初始构建的威胁进程列表为空。
该实施例中设定风险等级分为四级,从第1级到第4级分别为低风险威胁,中风险威胁,高风险威胁和极高风险威胁。
S2:针对每个已启动进程,根据其进程信息判断是否属于恶意工具启动的威胁进程,如果是,将该已启动进程设定为威胁进程,进入S3;否则,结束该已启动进程的风险等级评定。
判断是否属于恶意工具启动的威胁进程可以通过进程信息中的进程启动路径进行判断。
S3:将威胁进程与威胁进程列表中的各进程进行匹配,如果匹配成功,进入S5;否则进入S4。
S4:根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值,将威胁进程和其对应的风险等级和风险分值存入威胁进程列表内,进入S7。
该实施例中根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值的方法为:假设根据相连风险等级之间风险分值差值为D,则第n风险等级的威胁进程对应的与风险分值为D(n-1)+1。具体的设定D=4,则四个风险等级的威胁进程对应的与风险分值分别为1、5、9、13。
S5:判断威胁进程的进程ID与匹配到的进程的进程ID是否相同,如果是,进入S6;否则,进入S7。
进程ID不同表示该威胁进程于匹配到的进程虽然属于同一个程序对应的进程,但可能是不同时刻启动的,即该进程进行了重启。
S6:判断威胁进程的进程启动路径与匹配到的进程的进程启动路径是否相同,如果是,设定威胁进程的风险分值为匹配到的进程的风险分值,进入S7;否则,设定威胁进程的风险分值为匹配到的进程的风险分值加一,进入S7。
由于进程进行重启时,在个别情况下也可能出现进程ID相同,此时就需要进行进程启动路径的进一步判断,只有进程启动路径也相同时,才认为是没有经过重启(中断)的同一进程。
S7:根据威胁进程的已运行时间的长短增加威胁进程的风险分值。
该实施例中设定分值增加对应的时间间隔,当威胁进程每运行该分值增加对应的时间间隔时,威胁进程的风险分值加1。
S8:根据威胁进程读取到的文件和扫描到的进程信息的数量增加威胁进程的风险分值。
由于威胁进程往往需要不断的读取文件或扫描进程,因此读取到的文件和扫描到的进程信息的数量与威胁程度相关。
该实施例中根据读取到的文件和扫描到的进程信息的数量增加对应数量的风险分值,如数量为1则加1分。
S9:根据威胁进程包含的父进程的个数增加威胁进程的风险分值。
威胁进程包含的父进程的个数在进程树即进程启动路径中可以获得。由于威胁进程往往通过嵌套在多个父进程中来逃避检测,因此父进程个数与威胁程度相关。
该实施例中根据父进程的个数增加对应数量的风险分值,如父进程为1个时加1分。
S10:根据威胁进程的风险分值与相连风险等级之间风险分值差值的比值,确定威胁进程对应的风险等级。
该实施例中设定风险等级为比值向上取整的结果,向上取整即不管四舍五入的规则,只要后面有小数前面的整数就加1,如风险分值为10,则比值为10/4=2.5,向上取整为3,则风险等级为第3级;如风险分值为8,则比值为8/4=2,向上取整仍为2,则风险等级为第2级。
以windows下密码明文获取工具为例,本领域中一般认为此类进程为中低风险等级的威胁进程,但是当此类工具长时间运行,并且扫描了多个不同的进程,获取了多个不同的进程类型的密码数据时,此时数据泄漏的范围扩大,受到的影响也被扩大,理应将其风险等级提高,以引起相关人员的重视,及时修改所有有关联的帐号密码,以防范被入侵者破解更多的系统,获取到更多的信息。本实施例采用的技术方案中解决了上述技术问题,通过对威胁进程的综合评估,修正威胁进程的风险等级,可以更好的提醒相关人员。
实施例二:
本发明还提供一种恶意进程风险等级评估终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述恶意进程风险等级评估终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述恶意进程风险等级评估终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述恶意进程风险等级评估终端设备的组成结构仅仅是恶意进程风险等级评估终端设备的示例,并不构成对恶意进程风险等级评估终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述恶意进程风险等级评估终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述恶意进程风险等级评估终端设备的控制中心,利用各种接口和线路连接整个恶意进程风险等级评估终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述恶意进程风险等级评估终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述恶意进程风险等级评估终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)以及软件分发介质等。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (6)
1.一种恶意进程风险等级评估方法,其特征在于,包括以下步骤:
S1:构建威胁进程列表和存储有各已知威胁进程的风险等级的知识库;采集所有已启动进程的进程信息;
S2:针对每个已启动进程,根据其进程信息判断是否属于恶意工具启动的威胁进程,如果是,将该已启动进程设定为威胁进程,进入S3;否则,结束该已启动进程的风险等级评定;
S3:将威胁进程与威胁进程列表中的各进程进行匹配,如果匹配成功,进入S5;否则进入S4;
S4:根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值,将威胁进程和其对应的风险等级和风险分值存入威胁进程列表内,进入S7;
S5:判断威胁进程的进程ID与匹配到的进程的进程ID是否相同,如果是,进入S6;否则,进入S7;
S6:判断威胁进程的进程启动路径与匹配到的进程的进程启动路径是否相同,如果是,设定威胁进程的风险分值为匹配到的进程的风险分值,进入S7;否则,设定威胁进程的风险分值为匹配到的进程的风险分值加一,进入S7;
S7:根据威胁进程的已运行时间的长短增加威胁进程的风险分值;
S8:根据威胁进程读取到的文件和扫描到的进程信息的数量增加威胁进程的风险分值;
S9:根据威胁进程包含的父进程的个数增加威胁进程的风险分值;
S10:根据威胁进程的风险分值与相连风险等级之间风险分值差值的比值,确定威胁进程对应的风险等级。
2.根据权利要求1所述的恶意进程风险等级评估方法,其特征在于:进程信息包括进程ID、进程启动路径、进程读取到的文件和扫描到的进程信息。
3.根据权利要求1所述的恶意进程风险等级评估方法,其特征在于:步骤S4中根据威胁进程在知识库中对应的风险等级得到该威胁进程的风险分值的方法为:假设根据相连风险等级之间风险分值差值为D,则第n风险等级的威胁进程对应的与风险分值为D(n-1)+1。
4.根据权利要求1所述的恶意进程风险等级评估方法,其特征在于:步骤S10中风险等级为比值向上取整的结果。
5.一种恶意进程风险等级评估终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~4中任一所述方法的步骤。
6.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~4中任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111018836.0A CN113806737B (zh) | 2021-09-01 | 2021-09-01 | 一种恶意进程风险等级评估方法、终端设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111018836.0A CN113806737B (zh) | 2021-09-01 | 2021-09-01 | 一种恶意进程风险等级评估方法、终端设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113806737A CN113806737A (zh) | 2021-12-17 |
CN113806737B true CN113806737B (zh) | 2023-11-28 |
Family
ID=78894505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111018836.0A Active CN113806737B (zh) | 2021-09-01 | 2021-09-01 | 一种恶意进程风险等级评估方法、终端设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113806737B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105072119A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名解析会话模式分析的恶意域名检测方法及装置 |
CN107483488A (zh) * | 2017-09-18 | 2017-12-15 | 济南互信软件有限公司 | 一种恶意Http检测方法及系统 |
CN111259390A (zh) * | 2020-01-12 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种恶意进程实时监控的方法、设备和计算机设备 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN112214768A (zh) * | 2020-10-16 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种恶意进程的检测方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7461036B2 (en) * | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
-
2021
- 2021-09-01 CN CN202111018836.0A patent/CN113806737B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105072119A (zh) * | 2015-08-14 | 2015-11-18 | 中国传媒大学 | 基于域名解析会话模式分析的恶意域名检测方法及装置 |
CN107483488A (zh) * | 2017-09-18 | 2017-12-15 | 济南互信软件有限公司 | 一种恶意Http检测方法及系统 |
CN111259390A (zh) * | 2020-01-12 | 2020-06-09 | 苏州浪潮智能科技有限公司 | 一种恶意进程实时监控的方法、设备和计算机设备 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN112214768A (zh) * | 2020-10-16 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种恶意进程的检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113806737A (zh) | 2021-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108446407B (zh) | 基于区块链的数据库审计方法和装置 | |
US9998484B1 (en) | Classifying potentially malicious and benign software modules through similarity analysis | |
US7523318B2 (en) | Method and system for automated password generation | |
US10915533B2 (en) | Extreme value computation | |
CN110213255B (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
US20230205755A1 (en) | Methods and systems for improved search for data loss prevention | |
CN109492399B (zh) | 风险文件检测方法、装置及计算机设备 | |
CN108470126B (zh) | 数据处理方法、装置及存储介质 | |
CN111597553A (zh) | 病毒查杀中的进程处理方法、装置、设备及存储介质 | |
US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
CN114969840A (zh) | 数据防泄漏方法和装置 | |
CN113806737B (zh) | 一种恶意进程风险等级评估方法、终端设备及存储介质 | |
WO2016147403A1 (ja) | 情報処理装置及び情報処理方法及び情報処理プログラム | |
CN110427496B (zh) | 用于文本处理的知识图谱扩充方法及装置 | |
US20130204839A1 (en) | Validating Files Using a Sliding Window to Access and Correlate Records in an Arbitrarily Large Dataset | |
US11568301B1 (en) | Context-aware machine learning system | |
JP6596848B2 (ja) | アクセス権推定装置及びアクセス権推定プログラム | |
CN107016296B (zh) | 一种数据索引构建、数据读取的方法、装置及电子设备 | |
CN112883375A (zh) | 恶意文件识别方法、装置、设备及存储介质 | |
JP2017045106A (ja) | 情報処理装置及び情報処理プログラム | |
CN113704761B (zh) | 恶意文件的检测方法、装置、计算机设备及存储介质 | |
CN116028481B (zh) | 一种数据质量检测方法、装置、设备和存储介质 | |
CN111967240B (zh) | 文本解析方法、装置、终端设备及计算机可读存储介质 | |
US20230216871A1 (en) | Detecting compromised cloud users | |
US20220327211A1 (en) | Data processing system and method capable of separating application processes |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |