CN117056927B - 一种基于指令的恶意进程确定方法、装置、设备及介质 - Google Patents

一种基于指令的恶意进程确定方法、装置、设备及介质 Download PDF

Info

Publication number
CN117056927B
CN117056927B CN202311303216.0A CN202311303216A CN117056927B CN 117056927 B CN117056927 B CN 117056927B CN 202311303216 A CN202311303216 A CN 202311303216A CN 117056927 B CN117056927 B CN 117056927B
Authority
CN
China
Prior art keywords
instruction
executed
target
list
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311303216.0A
Other languages
English (en)
Other versions
CN117056927A (zh
Inventor
关墨辰
李旗
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202311303216.0A priority Critical patent/CN117056927B/zh
Publication of CN117056927A publication Critical patent/CN117056927A/zh
Application granted granted Critical
Publication of CN117056927B publication Critical patent/CN117056927B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种基于指令的恶意进程确定方法、装置、设备及介质,涉及网络安全领域。该方法包括:连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;遍历每一待执行指令列表,确定目标指令数量列表A;获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C;获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G;根据A、C和G,确定进程指令特征向量T;将T输入预设的恶意进程确定模块中,以得到输出的确定结果。本申请能够在识别出恶意进程的同时,降低误报率。

Description

一种基于指令的恶意进程确定方法、装置、设备及介质
技术领域
本申请涉及网络安全领域,尤其涉及一种基于指令的恶意进程确定方法、装置、设备及介质。
背景技术
进程在为具有工作量证明机制的区块链执行共识合约时,会大量占用计算机的算力资源,同时也会消耗大量的电能。故而,一些非授权用户(如黑客)会通过在正常用户的电子设备中投放病毒或木马,从而使得正常用户的电子设备在用户不知情的情况下启动一个用于执行具有工作量证明机制的区块链执行共识合约的进程,从而给用户带来损失。
故而,亟需一种能够识别出正在为具有工作量证明机制的区块链执行共识合约的进程。
发明内容
有鉴于此,本申请提供一种基于指令的恶意进程确定方法、装置、设备及介质,旨在提供一种能够识别出正在为具有工作量证明机制的区块链执行共识合约的恶意进程的方法。
在本申请的一方面,提供一种基于指令的恶意进程确定方法,包括:
S100,连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;每一待执行指令列表中均包含至少一个待执行指令;所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令;
S200,遍历每一待执行指令列表,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);i=1,2,…,n;其中,Ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量;所述目标指令为预设的指令;
S300,获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C=(C1,C2,…,Ci,…,Cn);其中,Ci为目标进程执行第i个关键指令后的内存平均占用率;
S400,获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G=(G1,G2,…,Gi,…,Gn);其中,Gi为目标进程执行第i个关键指令后的显存平均占用率;
S500,根据A、C和G,确定进程指令特征向量T=(T1,T2,…,Ti,…,Tn);Ti=(Ai,Ci,Gi);Ti为T中第i个进程指令特征参数组;
S600,将T输入预设的恶意进程确定模块中,以得到输出的确定结果;所述确定结果用于表示所述目标进程是否为恶意进程。
在本申请的一种示例性实施例中,在所述步骤S100和所述步骤S200之间,所述方法还包括:
S110,根据目标进程每次执行关键指令的时间,获取时间间隔列表S=(S1,S2,…,Sj,…,Sm),j=1,2,…,m;m=n-1;其中,m为时间间隔的数量,Sj为S中第j个时间间隔,Sj=TIMEj+1-TIMEj;TIMEj为Aj对应的关键指令的执行时间;
S120,根据S,确定时间波动值SD=(∑j=1 m(Sj-avg(S)))/m;其中,avg()为预设的均值确定函数;
S130,若SD<YSD,则进入步骤S200;其中,YSD为预设的时间波动阈值。
在本申请的一种示例性实施例中,第一时间长度符合以下条件:
L1=avg(S);其中,L1为所述第一时间长度。
在本申请的一种示例性实施例中,所述方法还包括:
S010,当目标进程第1次执行关键指令时,开启计时器;
S020,在计时器的当前计时时长达到预设的第二时间长度时,确定目标进程当前执行关键指令的次数Nnow
S030,若Nnow<n,则结束当前流程。
在本申请的一种示例性实施例中,所述步骤S200,包括:
S210,根据预设的m个目标指令遍历每一待执行指令列表,确定中间指令数量列表集B=(B1,B2,…,Bi,…,Bn),Bi=(Bi,1,Bi,2,…,Bi,j,…,Bi,m);j=1,2,…,m;其中,Bi为B中第i个中间指令数量列表;Bi,j为目标进程执行第i个关键指令时获取到的待执行指令列表中第j个目标指令的数量;
S220,根据B,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);Ai=∑j=1 mBi,j
在本申请的一种示例性实施例中,所述目标指令包括以下至少之一:
位运算指令、浮点运算指令、乘法指令、除法指令、减法指令、加法指令、向量运算指令。
在本申请的一种示例性实施例中,在所述步骤S100之前,所述方法还包括:
S000,响应于在第三时长内CPU占用率或GPU占用率持续大于预设占用率阈值,将当前CPU占用率或GPU占用率最大的进程确定为目标进程,并进入步骤S100。
在本申请的另一方面,提供一种基于指令的恶意进程确定装置,包括:
获取模块,用于连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;每一待执行指令列表中均包含至少一个待执行指令;所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令;
指令数量确定模块,用于遍历每一待执行指令列表,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);i=1,2,…,n;其中,Ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量;所述目标指令为预设的指令;
内存确定模块,用于获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C=(C1,C2,…,Ci,…,Cn);其中,Ci为目标进程执行第i个关键指令后的内存平均占用率;
显存确定模块,用于获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G=(G1,G2,…,Gi,…,Gn);其中,Gi为目标进程执行第i个关键指令后的显存平均占用率;
特征确定模块,用于根据A、C和G,确定进程指令特征向量T=(T1,T2,…,Ti,…,Tn);Ti=(Ai,Ci,Gi);Ti为T中第i个进程指令特征参数组;
判定模块,用于将T输入预设的恶意进程确定模块中,以得到输出的确定结果;所述确定结果用于表示所述目标进程是否为恶意进程。
在本申请的另一方面,提供一种电子设备,包括处理器和存储器;
所述处理器用于通过调用所述存储器存储的程序或指令,执行上述方法的步骤。
在本申请的另一方面,提供一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述方法的步骤。
有益效果:
本申请提供的基于指令的恶意进程确定方法,连续n次,每当目标进程执行任一预设的关键指令(如jmp指令或函数调用指令等)时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表,即每次会将获取到的关键指令对应的待执行寄存器内的所有待执行指令生成一个待执行指令列表。而通过实验验证,进程在执行共识合约的相关计算时,都是通过上述的关键指令将进程的控制流跳转至位运算指令等常见的共识合约需要执行的运算指令处从而进行相关的计算。故而,本申请中,可以通过每一待执行指令列表中的目标指令(如位运算指令等)的数量,确定出目标进程的指令执行特征。
同时通过获取每一执行关键指令后第一时间长度内的内存平均占用率和显存时间占用率,可以使得C和G能够体现出在执行关键指令后,所执行的相关指令对内存和显存的占用特征。而共识合约相关指令的在执行时,其对内存和显存的占用特征与机器学习和加密计算等正常行为的特征时存在差异的。故而,本申请中,通过A、C和G建立的特征向量,能够同时包含目标进程的指令执行特征、内存占用特征和显存占用特征。最终使得恶意进程确定模块根据T得到的确定结果能够在识别出恶意进程(即正在执行共识合约的进程)的同时,避免对执行加密计算和机器学习的进程产生误报。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种基于指令的恶意进程确定方法的流程图;
图2为本申请实施例提供的一种基于指令的恶意进程确定装置的结构框图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
请参考图1所示,在本申请的一方面,提供一种基于指令的恶意进程确定方法,包括:
S100,连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;每一待执行指令列表中均包含至少一个待执行指令;所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令。
具体的,关键指令可以为jmp指令或函数调用指令等。
S200,遍历每一待执行指令列表,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);i=1,2,…,n;其中,Ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量。所述目标指令为预设的指令。
进一步的,目标进程对应的每一待执行指令列表中目标指令的数量,可以通过使用预设的m个目标指令对A中每一待执行指令列表进行遍历后确定。
由于在执行共识合约时,需要大量且高频的运行一些指定的操作指令,故而可以通过目标进程执行目标指令的数量这一特征进行恶意进程的识别。
具体的,所述步骤S200,包括:
S210,根据预设的m个目标指令遍历每一待执行指令列表,确定中间指令数量列表集B=(B1,B2,…,Bi,…,Bn),Bi=(Bi,1,Bi,2,…,Bi,j,…,Bi,m);j=1,2,…,m;其中,Bi为B中第i个中间指令数量列表;Bi,j为目标进程执行第i个关键指令时获取到的待执行指令列表中第j个目标指令的数量;
S220,根据B,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);Ai=∑j=1 mBi,j
其中,目标指令是预先指定的,其数量可以为一个或多个,本申请中目标指令可以包括以下至少之一:位运算指令、浮点运算指令、乘法指令、除法指令、减法指令、加法指令、向量运算指令。优选的,本申请中,目标指令包括以上每一。
S300,获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C=(C1,C2,…,Ci,…,Cn);其中,Ci为目标进程执行第i个关键指令后的内存平均占用率。
S400,获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G=(G1,G2,…,Gi,…,Gn);其中,Gi为目标进程执行第i个关键指令后的显存平均占用率。
具体的,第一时间长度可以人为的通过经验或者历史数据的统计进行确定。例如,统计已知的恶意进程在每次执行一次共识合约时所需要平均时间作为上述的第一时间长度。
S500,根据A、C和G,确定进程指令特征向量T=(T1,T2,…,Ti,…,Tn);Ti=(Ai,Ci,Gi);Ti为T中第i个进程指令特征参数组。
S600,将T输入预设的恶意进程确定模块中,以得到输出的确定结果;所述确定结果用于表示所述目标进程是否为恶意进程。
具体的,恶意进程确定模块可以为使用线性回归模型、逻辑回归模型或支持向量机等机器学习模型建立处理模块。
本实施例提供的基于指令的恶意进程确定方法,连续n次,每当目标进程执行任一预设的关键指令(如jmp指令或函数调用指令等)时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表,即每次会将获取到的关键指令对应的待执行寄存器内的所有待执行指令生成一个待执行指令列表。而通过实验验证,进程在执行共识合约的相关计算时,都是通过上述的关键指令将进程的控制流跳转至位运算指令等常见的共识合约需要执行的运算指令处从而进行相关的计算。故而,本实施例中,可以通过每一待执行指令列表中的目标指令(如位运算指令等)的数量,确定出目标进程的指令执行特征。
同时通过获取每一执行关键指令后第一时间长度内的内存平均占用率和显存时间占用率,可以使得C和G能够体现出在执行关键指令后,所执行的相关指令对内存和显存的占用特征。而共识合约相关指令的在执行时,其对内存和显存的占用特征与机器学习和加密计算等正常行为的特征时存在差异的。故而,本实施例中,通过A、C和G建立的特征向量,能够同时包含目标进程的指令执行特征、内存占用特征和显存占用特征。最终使得恶意进程确定模块根据T得到的确定结果能够在识别出恶意进程(即正在执行共识合约的进程)的同时,避免对执行加密计算和机器学习的进程产生误报。
在本申请的一种示例性实施例中,在所述步骤S100和所述步骤S200之间,所述方法还包括:
S110,根据目标进程每次执行关键指令的时间,获取时间间隔列表S=(S1,S2,…,Sj,…,Sm),j=1,2,…,m;m=n-1;其中,m为时间间隔的数量,Sj为S中第j个时间间隔,Sj=TIMEj+1-TIMEj;TIMEj为Aj对应的关键指令的执行时间。
S120,根据S,确定时间波动值SD=(∑j=1 m(Sj-avg(S)))/m;其中,avg()为预设的均值确定函数。
S130,若SD<YSD,则进入步骤S200;否则,结束当前流程。其中,YSD为预设的时间波动阈值。
经试验确定,进程在执行共识合约时,会周期性的调用哈希函数(哈希函数的执行会大量的执行上述的目标指令),而正常的进程在进行控制流的跳转时,往往是随机性的。故而,本申请中,在目标进程执行了n次关键指令后,确定每相邻两次执行关键指令的时间间隔,以得到S。并根据S中的若干时间间隔得到时间波动值,确定目标进程执行关键指令是否具有一定的周期性,若不具有周期性(即SD≥YSD),则可以直接确定为不是恶意进行,并结束当前流程,从而节省后续处理步骤的算力。
进一步的,由于一些加密进程、机器学习进程也会具有周期性的执行关键指令,故而,本实施例中,为了避免误报,不会在SD<YSD时直接将目标进程确定为恶意进程。而是通过继续执行后续的处理步骤来进一步确定,从而降低误报率。
在本申请的一种示例性实施例中,所述方法还包括:
S010,当目标进程第1次执行关键指令时,开启计时器。
S020,在计时器的当前计时时长达到预设的第二时间长度时,确定目标进程当前执行关键指令的次数Nnow
S030,若Nnow<n,则结束当前流程。
经过试验确定,进程在执行共识合约时,会高频的执行关键指令,即会在较短的时长内执行n次关键指令。故而,本实施中,当目标进程第1次执行关键指令时,开启计时器,并若是当前计时时长达到预设的第二时间长度时,目标进程当前执行关键指令的次数Nnow。若Nnow<n,则表明目标进程没有在较短的时间内执行n次关键指令,此时可以直接确定为不是恶意进行,并结束当前流程,从而节省后续处理步骤的算力。
具体的,本实施例中,第二时间长度可以通过对不同的已知的恶意进程进行测试,测试每一已知的恶意进程连续执行n次关键指令所需要时长,并将其中的最大值再乘以一个放大系数后作为第二时间长度,以此降低因判断错误导致检测结束的情况发生。
在本申请的一种示例性实施例中,在所述步骤S100之前,所述方法还包括:
S000,响应于在第三时长内CPU占用率或GPU占用率持续大于预设占用率阈值,将当前CPU占用率或GPU占用率最大的进程确定为目标进程,并进入步骤S100。
本实施例中,为了进一步节约算力的使用,并不需要对电子设备中的每一进程都进行上述的处理步骤,而是仅在电子设备在第三设定时长内CPU占用率或GPU占用率持续大于预设占用率阈值时,将将当前CPU占用率或GPU占用率最大的进程确定为目标进程,并进入具体的异常进程判定处理。具体的,第三设定时长可以根据经验进行确定,本实施例中,第三设定时长为10分钟。
请参考图2所示,在本申请的另一方面,提供一种基于指令的恶意进程确定装置,包括:
获取模块,用于连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;每一待执行指令列表中均包含至少一个待执行指令;所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令;
指令数量确定模块,用于遍历每一待执行指令列表,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);i=1,2,…,n;其中,Ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量;所述目标指令为预设的指令。
内存确定模块,用于获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C=(C1,C2,…,Ci,…,Cn);其中,Ci为目标进程执行第i个关键指令后的内存平均占用率;
显存确定模块,用于获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G=(G1,G2,…,Gi,…,Gn);其中,Gi为目标进程执行第i个关键指令后的显存平均占用率;
特征确定模块,用于根据A、C和G,确定进程指令特征向量T=(T1,T2,…,Ti,…,Tn);Ti=(Ai,Ci,Gi);Ti为T中第i个进程指令特征参数组;
判定模块,用于将T输入预设的恶意进程确定模块中,以得到输出的确定结果;所述确定结果用于表示所述目标进程是否为恶意进程。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于指令的恶意进程确定方法,其特征在于,包括:
S100,连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;每一待执行指令列表中均包含至少一个待执行指令;所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令;
S200,遍历每一待执行指令列表,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);i=1,2,…,n;其中,Ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量;所述目标指令为预设的指令;
S300,获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C=(C1,C2,…,Ci,…,Cn);其中,Ci为目标进程执行第i个关键指令后的内存平均占用率;
S400,获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G=(G1,G2,…,Gi,…,Gn);其中,Gi为目标进程执行第i个关键指令后的显存平均占用率;
S500,根据A、C和G,确定进程指令特征向量T=(T1,T2,…,Ti,…,Tn);Ti=(Ai,Ci,Gi);Ti为T中第i个进程指令特征参数组;
S600,将T输入预设的恶意进程确定模块中,以得到输出的确定结果;所述确定结果用于表示所述目标进程是否为恶意进程。
2.根据权利要求1所述的恶意进程确定方法,其特征在于,在所述步骤S100和所述步骤S200之间,所述方法还包括:
S110,根据目标进程每次执行关键指令的时间,获取时间间隔列表S=(S1,S2,…,Sj,…,Sm),j=1,2,…,m;m=n-1;其中,m为时间间隔的数量,Sj为S中第j个时间间隔,Sj=TIMEj+1-TIMEj;TIMEj为Aj对应的关键指令的执行时间;
S120,根据S,确定时间波动值SD=(∑j=1 m(Sj-avg(S)))/m;其中,avg()为预设的均值确定函数;
S130,若SD<YSD,则进入步骤S200;其中,YSD为预设的时间波动阈值。
3.根据权利要求2所述的恶意进程确定方法,其特征在于,第一时间长度符合以下条件:
L1=avg(S);其中,L1为所述第一时间长度。
4.根据权利要求1所述的恶意进程确定方法,其特征在于,所述方法还包括:
S010,当目标进程第1次执行关键指令时,开启计时器;
S020,在计时器的当前计时时长达到预设的第二时间长度时,确定目标进程当前执行关键指令的次数Nnow
S030,若Nnow<n,则结束当前流程。
5.根据权利要求1所述的恶意进程确定方法,其特征在于,所述步骤S200,包括:
S210,根据预设的m个目标指令遍历每一待执行指令列表,确定中间指令数量列表集B=(B1,B2,…,Bi,…,Bn),Bi=(Bi,1,Bi,2,…,Bi,j,…,Bi,m);j=1,2,…,m;其中,Bi为B中第i个中间指令数量列表;Bi,j为目标进程执行第i个关键指令时获取到的待执行指令列表中第j个目标指令的数量;
S220,根据B,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);Ai=∑j=1 mBi,j
6.根据权利要求5所述的恶意进程确定方法,其特征在于,所述目标指令包括以下至少之一:
位运算指令、浮点运算指令、乘法指令、除法指令、减法指令、加法指令、向量运算指令。
7.根据权利要求1所述的恶意进程确定方法,其特征在于,在所述步骤S100之前,所述方法还包括:
S000,响应于在第三时长内CPU占用率或GPU占用率持续大于预设占用率阈值,将当前CPU占用率或GPU占用率最大的进程确定为目标进程,并进入步骤S100。
8.一种基于指令的恶意进程确定装置,其特征在于,包括:
获取模块,用于连续n次,每当目标进程执行任一预设的关键指令时,获取关键指令对应的待执行寄存器内的所有待执行指令,以得到n个待执行指令列表;每一待执行指令列表中均包含至少一个待执行指令;所述关键指令为被执行后会使得所述目标进程发生控制流跳转的指令;
指令数量确定模块,用于遍历每一待执行指令列表,确定目标指令数量列表A=(A1,A2,…,Ai,…,An);i=1,2,…,n;其中,Ai为目标进程执行第i个关键指令时获取到的待执行指令列表中目标指令的数量;所述目标指令为预设的指令;
内存确定模块,用于获取目标进程每次执行关键指令后的第一时间长度内的内存平均占用率,以得到内存平均占用率列表C=(C1,C2,…,Ci,…,Cn);其中,Ci为目标进程执行第i个关键指令后的内存平均占用率;
显存确定模块,用于获取目标进程每次执行关键指令后的第一时间长度内的显存平均占用率,以得到显存平均占用率列表G=(G1,G2,…,Gi,…,Gn);其中,Gi为目标进程执行第i个关键指令后的显存平均占用率;
特征确定模块,用于根据A、C和G,确定进程指令特征向量T=(T1,T2,…,Ti,…,Tn);Ti=(Ai,Ci,Gi);Ti为T中第i个进程指令特征参数组;
判定模块,用于将T输入预设的恶意进程确定模块中,以得到输出的确定结果;所述确定结果用于表示所述目标进程是否为恶意进程。
9.一种电子设备,其特征在于,包括处理器和存储器;
所述处理器用于通过调用所述存储器存储的程序或指令,执行如权利要求1至7任一项所述方法的步骤。
10.一种非瞬时性计算机可读存储介质,其特征在于,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述方法的步骤。
CN202311303216.0A 2023-10-10 2023-10-10 一种基于指令的恶意进程确定方法、装置、设备及介质 Active CN117056927B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311303216.0A CN117056927B (zh) 2023-10-10 2023-10-10 一种基于指令的恶意进程确定方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311303216.0A CN117056927B (zh) 2023-10-10 2023-10-10 一种基于指令的恶意进程确定方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN117056927A CN117056927A (zh) 2023-11-14
CN117056927B true CN117056927B (zh) 2023-12-08

Family

ID=88659328

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311303216.0A Active CN117056927B (zh) 2023-10-10 2023-10-10 一种基于指令的恶意进程确定方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN117056927B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108804096A (zh) * 2017-05-05 2018-11-13 中思博安科技(北京)有限公司 一种基于智能合约的任务调度执行方法和装置
KR20190131745A (ko) * 2018-05-17 2019-11-27 한양대학교 산학협력단 악성 마이닝 동작 탐지 방법 및 그 시스템
CN111277570A (zh) * 2020-01-10 2020-06-12 中电长城网际系统应用有限公司 数据的安全监测方法和装置、电子设备、可读介质
WO2022040698A1 (en) * 2020-08-21 2022-02-24 Palo Alto Networks, Inc. Malicious traffic detection with anomaly detection modeling
CN114338188A (zh) * 2021-12-30 2022-04-12 杭州电子科技大学 一种基于进程行为序列分片的恶意软件智能云检测系统
CN115221516A (zh) * 2022-07-13 2022-10-21 中国电信股份有限公司 恶意应用程序识别方法及装置、存储介质、电子设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108804096A (zh) * 2017-05-05 2018-11-13 中思博安科技(北京)有限公司 一种基于智能合约的任务调度执行方法和装置
KR20190131745A (ko) * 2018-05-17 2019-11-27 한양대학교 산학협력단 악성 마이닝 동작 탐지 방법 및 그 시스템
CN111277570A (zh) * 2020-01-10 2020-06-12 中电长城网际系统应用有限公司 数据的安全监测方法和装置、电子设备、可读介质
WO2022040698A1 (en) * 2020-08-21 2022-02-24 Palo Alto Networks, Inc. Malicious traffic detection with anomaly detection modeling
CN114338188A (zh) * 2021-12-30 2022-04-12 杭州电子科技大学 一种基于进程行为序列分片的恶意软件智能云检测系统
CN115221516A (zh) * 2022-07-13 2022-10-21 中国电信股份有限公司 恶意应用程序识别方法及装置、存储介质、电子设备

Also Published As

Publication number Publication date
CN117056927A (zh) 2023-11-14

Similar Documents

Publication Publication Date Title
US10248910B2 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
CN114327803A (zh) 区块链访问机器学习模型的方法、装置、设备和介质
CN117033146B (zh) 指定共识合约执行进程的识别方法、装置、设备及介质
CN115987641A (zh) 一种攻击测试方法、装置、电子设备及存储介质
US10528744B2 (en) Detecting security vulnerabilities on computing devices
CN117056927B (zh) 一种基于指令的恶意进程确定方法、装置、设备及介质
CN116566739A (zh) 一种安全检测系统、电子设备及存储介质
CN116975934B (zh) 一种文件安全性检测方法及系统
CN116962086B (zh) 一种文件安全性检测方法及系统
CN117034276B (zh) 一种异常进程确定方法、装置、电子设备及存储介质
CN117130873B (zh) 一种任务监控的方法和装置
CN114629694B (zh) 一种分布式拒绝服务DDoS的检测方法及相关装置
US20150096032A1 (en) Detecting vulnerability to resource exhaustion
CN116827694B (zh) 一种数据安全性检测方法及系统
CN116861429B (zh) 一种基于样本行为的恶意检测方法、装置、设备及介质
CN117688342B (zh) 一种基于模型的设备状态预测方法、电子设备及存储介质
CN116781389B (zh) 一种异常数据列表的确定方法、电子设备及存储介质
CN116074118B (zh) 一种api访问控制方法、系统、智能终端及存储介质
CN117040938B (zh) 一种异常ip检测方法及装置、电子设备及存储介质
CN116992439B (zh) 一种用户行为习惯模型确定方法及装置、设备及介质
CN116861428B (zh) 一种基于关联文件的恶意检测方法、装置、设备及介质
CN117056915B (zh) 一种文件检测方法、装置、介质和电子设备
CN117034261B (zh) 一种基于标识符的异常检测方法、装置、介质及电子设备
CN117009962B (zh) 一种基于有效标签的异常检测方法、装置、介质及设备
CN116915506B (zh) 一种异常流量检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant