WO2013117148A1

WO2013117148A1 - 检测远程入侵计算机行为的方法及系统

Info

Publication number: WO2013117148A1
Application number: PCT/CN2013/071340
Authority: WO
Inventors: 郑文彬; 范纪鍠; 路健华; 张晓霖
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2012-02-07
Filing date: 2013-02-04
Publication date: 2013-08-15
Also published as: US20150207810A1; CN102663274B; US9444834B2; CN102663274A

Abstract

一种检测远程入侵计算机行为的方法及系统，其中所述方法包括：对系统中的进程创建事件进行监控；当监控到创建某进程的请求时，拦截该进程创建请求；通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。通过该方法能够在不需用户干预的情况下进行远程入侵行为的检测，并且不会使保存的数据膨胀过大。

Description

检测远程入侵计算机行为的方法及系统

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种检测远程入侵计算机行为的方法及系统。背景技术

一台拥有 IP地址的计算机，可以通过开放端口的方式，提供各种服务给网络中的其他计算机。所谓端口，是对英文 port的意译，通常被认为是计算机与外界通讯交流的出口。例如， HTTP ( Hypertext Transport Protocol, 超文本传送协议）服务器会开放 TCP端口 80 , 这样，用户的计算机就可以通过该端口 80与服务器连接，并交换 HTTP协议，获得最终呈现在用户计算机上的 HTTP页面。或者，邮件服务器可以开放端口 587 , 用户计算机可以通过端口 587与邮件服务器连接，并交换 SMTP ( Simple Mail Transfer Protocol , 简单邮件传输协议）协议，实现传动邮件的功能。再或者，用户的计算机中还可能开放一些端口，以实现一些功能。例如，用户的计算机可能默认开放端口 135 , 以便能够与另一台计算机进行连接，实现远程协助功能，等等。

一般的用户并没有足够的知识，去管理自己的机器需要开放与关闭哪些端口，这就给黑客留下了入侵计算机（可能是前述 HTTP服务器、邮件服务器，还有可能是普通用户的计算机）的机会。入侵常用的手法之一就是扫描目标机器，找寻可利用的开放端口，然后连线至这些端口操控目标机器。例如，入侵者可以通过 SMTP端口 587传递垃圾邮件，或者利用 Telnet端口 23 , 远程登录到用户机器等等。

为了防止受到这种远程入侵行为的攻击，现有技术通常是使用防火墙技术进行拦截。防火墙技术主要是通过添加规则限制连接的方式来起到这种拦截的作用。也即，可以以白名单的方式，设置能够连接到某开放的端口的 IP地址名单，或者以黑名单的方式，设置不能连接到某开放的端口的 IP地址名单，当一个连接请求被防火墙拦截，便依照该白名单或黑名单，判断该连接请求的 IP地址是否为允许连接的 IP地址，以此来判断此次连接请求是否为黑客入侵，进而决定是否报警或者阻止此次连接。

防火墙技术可以从一定程度上起到防止远程入侵计算机的作用，但是，至少存在以下弊端：需要用户设置规则，对用户的专业性要求较高；并且如果使用白名单的方式，则造成误判的可能性比较大，并且，随着新增 IP地址的加入，名单也会过于庞大，影响连接的响应速度；如果使用黑名单的方式，则难免百密一疏，并且同样存在可能会膨胀过大及其所带来的问题。发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减緩上述问题的检测远程入侵计算机行为的方法及系统。

根据本发明的一个方面，提供了一种检测远程入侵计算机行为的方法，包括：对系统中的进程创建事件进行监控；当监控到创建某进程的请求时，拦截该进程创建请求；通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。根据本发明的另一个方面，提供了一种检测远程入侵计算机行为的系统，包括监控单元，用于对系统中的进程创建事件进行监控；拦截单元，用于当监控到创建某进程的请求时，拦截该进程创建请求；分析单元，用于通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；确定单元，用于如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。根据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1-5 中的任一个所述的检测远程入侵计算机行为的方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了如权利要求 11所述的计算机程序。

本发明的有益效果为：

通过本发明，可以通过对进程创建请求进行拦截及分析，如果发现不正常的情况，就可以将该进程创建请求看作是黑客入侵行为，进而就可以釆取相应的措施，以防止用户的计算机收到侵害。可见，只要预先统计了在正常或不正常情况下，开放各个端口时，将要创建的进程与其祖先进程之间的关系，就可以判断出当前的进程创建请求是否正常，进而避免黑客通过这些端口入侵并对用户的计算机造成危害。在此过程中，不需要用户的干预，虽然也需要统计一些信息，但是相对于防火墙使用的白名单或黑名单而言，其数量级要小得多，不至于导致膨胀过大的现象发生。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图 1 示出了根据本发明一个实施例的检测远程入侵计算机行为的方法的流程图；

图 2 示出了根据本发明一个实施例的检测远程入侵计算机行为的系统的示意图；

图 3 示意性地示出了用于执行根据本发明的方法的服务器的框图；以及

图 4 示意性地示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元。具体实施例

下面结合附图和具体的实施方式对本发明作进一步的描述。

首先需要说明的是，黑客在远程入侵某目标机器时，首先需要通过目标机器当前开放的端口连接到该目标机器，然后再操控目标机器执行具体的操作。这两个过程可以看做是有两个阶段组成的：第一阶段是连接，第二阶段是执行一些操作。现有技术中的防火墙在防止黑客远程入侵时，釆用的思路是，让黑客无法完成第一个阶段，也即无法通过端口与目标机器连接，进而黑客也就无法执行后续的一些操作了，从而保证目标机器的安全性。而在本发明人在实现本发明的过程中发现，在黑客入侵的过程中，其实真正会使得目标机器受到威胁的是上述第二阶段，也即，如果黑客无法执行后续的具体操作，则即使黑客通过端口连接到目标机器，也是不会对目标机器的安全性造成影响的。因此，本发明实施例就是从上述思路出发，提出了一种新型的检测远程入侵计算机的行为的方法，从而达到保护目标机器安全性的目的。

参见图 1 ,本发明实施例提供的检测远程入侵计算机的方法包括以下步骤：

S101 : 对系统中的进程创建事件进行监控；

本发明实施例在检测远程入侵计算机行为的过程中，并不是在连接阶段对黑客的入侵行为进行限制，而是在执行具体的操作阶段进行限制。而在执行具体操作的过程中，总是会伴随创建进程的过程，也即，在计算机系统中，如果想要执行某种操作以达到某种目的，则需要创建相应的进程，在进程中完成相应的操作，因此，可以通过检查进程创建是否正常，来判断是否被黑客入侵。为此，就需要对系统中创建进程的事件进行监控。

S102: 当监控到创建某进程的请求时，拦截该进程创建请求；在监控的过程中，一旦发现要创建某进程，则首先将该创建事件拦截下来。也就是说，当监控到要创建某进程时，不是直接允许该进程的创建，而是暂时先拦截下来，进行一些判断操作，主要是区分创建过程是否正常，如果不正常则可能是黑客的远程入侵进行的操作。

S103 : 通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

具体在分析一个进程创建过程是否正常时，可以通过分析当前要创建的进程及其祖先进程，以及当前开放的端口等进行判断。其中，进程的祖先进程可以通过查询进程树获知。一些程序进程运行后，会调用其他进程来执行一些特定功能，这样就组成了一个进程树。进程树是一个形象化的比喻，比如一个进程启动了一个程序，而启动的这个进程就是原来那个进程的子进程，依此形成的一种树形的结构。例如，在 Windows XP的 "运行" 对话框中输入 "cmd" 启动命令行控制台，然后在命令行中输入 "notepad" 启动记事本。现在，命令行控制台进程 "cmd.exe" 和记事本进程 "notepad.exe" 就组成了一个进程树，其中 "notepad.exe" 进程是由 "cmd.exe" 进程创建的，前者称为子进程，后者称为父进程。

一般的情况下，从当前要创建的进程与其祖先进程之间的关系，能够发现一些不正常的现象。例如 WMI ( Windows Management

Instrumentation, Windows 管理规范）在正常使用情况下不应该创建 ftp 进程，如果 WMI创建 ftp进程，通常是黑客经由端口 135入侵之后，下载后门程序的动作。也就是说，在某端口开启的情况下，黑客经常被利用于进行远程入侵的进程及其祖先进程，是可以预先统计出来的，这样，具体在判断一个进程创建过程是否正常时，就可以与预先统计的结果进行比对，首先判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程，如果不存在，则该进程创建过程一般可以被认为是正常的；否则，如果存在，则可以进一步判断当前要创建的进程是否为当前的端口开放时常被利用于远程入侵的进程，如果不是，则可以认为该进程创建过程是正常的，否则，如果是，就可以将当前的进程创建过程判定为黑客的远程入侵行为产生的。

当然，在实际应用中，在开启某端口的情况下，可能并不是所有的进程都会被黑客用于远程入侵，而只有一些特定的进程才会被黑客利用，因此，在具体对进程创建进行监控时，也可以仅在监控到创建一些特定的进程创建请求时，才进行拦截，并进一步检查该进程创建操作是否正常。例如，如果系统产生一个新的 ftp进程创建请求，就可以检查 ftp的祖先进程是否有 WMI, 并且端口 135为开启状态，如果是，则可以认为该创建 ftp进程的请求是不正常的，可能是黑客远程入侵的行为。

此外，在具体实现时，针对一些特殊情况，如果仅判断当前要创建的进程及其祖先进程之间的关系，来判断当前的进程创建请求是否正常，可能会出现误判的情况。例如， Sqlserver创建 cmd进程，可能是一个正常的操作，但也可能是一个被入侵的危险讯号，此时，就无法直接用前述方法进行判定。但是经过判断 sqlserver发送给 cmd的命令行参数，可以判定这是一个正常的创建，或是异常的创建。比方说 sqlserver创建一个 cmd进程, 命令行参数为 "wmic cpu get processrid" , 则这是一个正常的情况。然而若 sqlserver创建一个 cmd进程，命令行参数为 "ftp i 地址\木马. exe" , 则这就是一个异常的情况。也就是说，在判断出一个进程或者其祖先进程是经常被用于远程入侵的进程之后，可以进一步判断进程中的命令行参数，来进一步确定当前的进程创建请求是否正常，从而进一步判断当前是否存在远程入侵计算机的行为。

其中，命令行参数是进程的运行参数中的一种，并且，在实际应用中，命令行参数只是一个举例，除此之外，还可以获取进程关系中的其他运行参数作为可供参考的资料，例如祖先进程对应程序的版本号（对于当前要创建的进程及其祖先进程，在一些版本的程序中可能是正常的，但在另一些版本中可能是不正常的）、进程创建过程中的安装路径（例如，在创建 cmd进程时，正常的安装路径通常是在系统盘下，如果是系统盘以外的其他路径，则可能是不正常的）、祖先进程 (sqlserver)的命令行参数等，协助进行判断。

具体实现时，为了避免过多地占用用户的本地计算机资源，可以收集常见的进程运行参数，保存在云后台，并且不断更新调整，客户端在收集到进程的运行参数之后，上传给云后台，在云后台进行具体的检查及判断工作，以减少误 ·¾。

需要说明的是，在具体实现时，单独根据进程的各种运行参数来判断当前的进程创建请求是否正常，或者首先判断各种运行参数是否正常，如果不正常，再判断进程或祖先进程是否为常被用于远程入侵的进程，从而来综合判定当前的进程创建请求是否正常，都是可以的，这里不再进行详述。

S104: 如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

如果发现进程创建请求存在不正常的情况，则将当前的进程创建请求判定为远程入侵的行为。进一步地，就可以直接阻止当前进程的创建操作，或者，为了进一步避免误判，可以首先向用户发出报警，由用户进一步判断当前的进程创建请求是否正常，如果用户选择阻止，再阻止当前的进程创建操作，否则，用户选择允许，则允许进程创建操作的执行，也即将拦截的请求放行，允许其继续执行即可。当然，如果发现进程创建请求是正常的，同样可以将其放行，进行正常的进程创建即可。

总之，在本发明实施例中，通过对进程创建请求进行拦截及分析，如果发现不正常的情况，就可以将该进程创建请求看作是黑客入侵行为，进而就可以釆取相应的措施，以防止用户的计算机收到侵害。可见，只要预先统计了在正常或不正常情况下，开放各个端口时，将要创建的进程与其祖先进程之间的关系，就可以判断出当前的进程创建请求是否正常，进而避免黑客通过这些端口入侵并对用户的计算机造成危害。在此过程中，不需要用户的干预，虽然也需要统计一些信息，但是相对于防火墙使用的白名单或黑名单而言，其数量级要小得多，不至于导致膨胀过大的现象发生。

与本发明实施例提供的检测远程入侵计算机行为的方法相对应，本发明实施例还提供了一种检测远程入侵计算机行为的系统，参见图 2 , 该系统包括：

监控单元 201 , 用于对系统中的进程创建事件进行监控；

拦截单元 202 , 用于当监控到创建某进程的请求时，拦截该进程创建请求；

分析单元 203 , 用于通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

确定单元 204 , 用于如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

其中，如果所述进程创建操作不正常，则该系统还包括：

第一处理单元，用于阻止进程创建操作的执行；

或者，

第二处理单元，用于向发出异常报警，根据用户的选择操作，阻止或允许进程创建操作的执行。

如果所述进程创建请求正常，则该系统还包括：

第三处理单元，用于允许创建操作的执行。

具体实现时，分析单元 203具体可以包括：

第一判断子单元，用于判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程；

第二判断子单元，用于如果所述第一判断子单元的判断结果为是，则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程；确定子单元，用于如果所述第二判断子单元的判断结果为是，则判定所述进程创建请求不正常。

为了降低误判的可能，分析单元 203还可以包括：第三判断子单元，用于判断该进程和 /或其祖先进程的运行参数是否正常，如果不正常，则所述确定子单元判定所述进程创建请求不正常。

总之，在本发明实施例提供的系统中，通过对进程创建请求进行拦截及分析，如果发现不正常的情况，就可以将该进程创建请求看作是黑客入侵行为，进而就可以釆取相应的措施，以防止用户的计算机收到侵害。可见，只要预先统计了在正常或不正常情况下，开放各个端口时，将要创建的进程与其祖先进程之间的关系，就可以判断出当前的进程创建请求是否正常，进而避免黑客通过这些端口入侵并对用户的计算机造成危害。在此过程中，不需要用户的干预，虽然也需要统计一些信息，但是相对于防火墙使用的白名单或黑名单而言，其数量级要小得多，不至于导致膨胀过大的现象发生。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些部分所述的方法。相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP ) 来实现根据本发明实施例的检测远程入侵计算机行为的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

例如，图 3 示出了可以实现根据本发明的检测远程入侵计算机行为的方法的服务器，例如应用服务器。该服务器传统上包括处理器 310 和以存储器 320 形式的计算机程序产品或者计算机可读介质。存储器 320 可以是诸如闪存、 EEPROM (电可擦除可编程只读存储器）、 EPROM、硬盘或者 ROM之类的电子存储器。存储器 320具有用于执行上述方法中的任何方法步骤的程序代码 331的存储空间 330。例如，用于程序代码的存储空间 330 可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 331。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD ) 、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 4 所述的便携式或者固定存储单元。该存储单元可以具有与图 3的服务器中的存储器 320类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码 33 Γ , 即可以由例如诸如 310之类的处理器读取的代码，这些代码当由服务器运行时，导致该服务器执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例"、 "实施例"或者"一个或者多个实施例" 意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里"在一个实施例中"的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词"包含"不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一"或"一个"不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

权利要求

1、一种检测远程入侵计算机行为的方法，其包括：

对系统中的进程创建事件进行监控；

当监控到创建某进程的请求时，拦截该进程创建请求；

通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

2、根据权利要求 1所述的方法，其中，如果所述进程创建操作不正常，则还包括：

阻止进程创建操作的执行；

或者，

向发出异常报警，根据用户的选择操作，阻止或允许进程创建操作的执行。

3、根据权利要求 1所述的方法，其中，如果所述进程创建请求正常，则还包括：

允许创建操作的执行。

4、根据权利要求 1至 3任一项所述的方法，其中，所述通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建请求是否正常包括：

判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程；

如果是，则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程；

如果是，则判定所述进程创建请求不正常。

5、根据权利要求 4所述的方法，其中，在所述判定所述进程创建请求不正常之前还包括：

判断该进程和 /或其祖先进程的运行参数是否正常，如果不正常，则判定所述进程创建请求不正常。

6、一种检测远程入侵计算机行为的系统，其包括：

监控单元，用于对系统中的进程创建事件进行监控；拦截单元，用于当监控到创建某进程的请求时，拦截该进程创建请求；分析单元，用于通过分析该进程、该进程的祖先进程，以及当前开放的端口，判断该进程创建操作是否正常；

确定单元，用于如果所述进程创建请求不正常，则将该进程创建请求确定为远程入侵计算机的行为。

7、根据权利要求 6所述的系统，其中，如果所述进程创建操作不正常，则还包括：

第一处理单元，用于阻止进程创建操作的执行；

或者，

8、根据权利要求 6所述的系统，其中，如果所述进程创建请求正常，则还包括：

第三处理单元，用于允许创建操作的执行。

9、根据权利要求 6至 8任一项所述的系统，其中，所述分析单元包括：第一判断子单元，用于判断该进程的祖先进程中是否存在当所述端口开放时常被利用于远程入侵的进程；

第二判断子单元，用于如果所述第一判断子单元的判断结果为是，则判断该进程是否为当所述端口开放时常被利用于远程入侵的进程；

确定子单元，用于如果所述第二判断子单元的判断结果为是，则判定所述进程创建请求不正常。

10、根据权利要求 9所述的系统，其中，还包括：

第三判断子单元，用于判断该进程和 /或其祖先进程的运行参数是否正常，如果不正常，则所述确定子单元判定所述进程创建请求不正常。

11、一种计算机程序，包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1-5中的任一个所述的检测远程入侵计算机行为的方法。

12、一种计算机可读介质，其中存储了如权利要求 11所述的计算机程序。