The invention discloses a method for monitoring and eliminating the program attack of split bomb, which uses the process description table in the computer operating system to add the original parent process information and the child process information to form the original process relationship tree, judges whether the computer operating system meets the condition of split bomb attack, and chooses the first suspicious process object to process according to the general algorithm when it meets the condition of split bomb attack, and at the same time. Record the original parent process information of the first suspicious process object; judge whether the computer operating system still meets the splitting bomb attack condition and select the second suspicious process object when it meets, and determine the original parent process information of the second suspicious process object and the latest ancestor process information of the second suspicious process object as suspicious procedures to process, in order to end suspicious programs and suspicious processes. Subprocesses of objects. Using the native process tree and the latest common ancestor query algorithm, we can effectively locate the process of splitting bomb or problem failure, and avoid the collapse or restart of computer system, or the occurrence of denial of service.
【技术实现步骤摘要】
一种监测和清除分裂炸弹程序攻击的方法
本专利技术涉及软件系统
,尤其涉及一种监测和清除分裂炸弹程序攻击的方法。
技术介绍
当前各类通用计算机操作系统,包括Unix类,即含BSD系统,Linux系统,安卓系统,iOS系统,和Windows系统等,针对分裂炸弹(ForkBomb)的拒绝服务(DoS)攻击,都还不能进行有效的监测和防护;通常有的系统是不采取任何抵御措施;有的采取简单的抵御措施,如通过限制单一用户的最大进程数量;有的系统用简单的试探规则进行判断,选择本身占用内存大或者包含其子进程占用的内存量大的进程,判断,这种方式正确率不高或者是根本无效。目前,只有少量可信用户登录访问的计算机系统,例如个人PC,不设防通常危害不严重,针对使用用户较多的大型公共服务器,则必须设防;但是简单设置用户进程限制,又不方便灵活,不利于计算资源的有效使用。使用简单的试探算法,无论依据单个进程的内存资源占用,还是包含子进程内存占用,都无法保证定位到炸弹程序;后者还容易误判合法的拥有很多子进程的程序,如WEB服务,窗口管理器等,结果都是正确率不高或者是根本无效。并且,简单试探算法无效的深层原因是,POSIX系统从设计上就没有考虑保持进程间的创建关系,现有进程关系树无法满足要求;如前所述,现有的方法是设置用户最大可拥有进程数量,使用内存不足终结者程序(OOM,out-of-memorykiller)试探算法结束占用内存资源最大的进程,通常两者结合使用,内存不足终结者程序作为最后一道防线使用,进一步给用户带来不便。
技术实现思路
针对现有技术中存在的上述问题,现提供一种监测和清除分 ...
【技术保护点】
1.一种监测和清除分裂炸弹程序攻击的方法,用于计算机操作系统,其特征在于,包括:步骤S1、利用所述计算机操作系统中的进程描述表,以添加原生父进程信息及子进程信息,形成一原生进程关系树;步骤S2、判断所述计算机操作系统是否符合一分裂炸弹攻击条件,并在符合时转向步骤S3;所述步骤S3、选择第一可疑进程对象按照通用算法进行处理,并同时记录所述第一可疑进程对象的原生父进程信息;步骤S4、判断所述计算机操作系统是否仍符合所述分裂炸弹攻击条件,并在符合时转向步骤S5;所述步骤S5、选择第二可疑进程对象,并根据所述原生进程树来确定所述第二可疑进程对象的原生父进程信息与最近的祖先进程信息作为所述可疑程序进行处理,以结束所述可疑程序及所述可疑进程对象的子进程。
【技术特征摘要】
1.一种监测和清除分裂炸弹程序攻击的方法,用于计算机操作系统,其特征在于,包括:步骤S1、利用所述计算机操作系统中的进程描述表,以添加原生父进程信息及子进程信息,形成一原生进程关系树;步骤S2、判断所述计算机操作系统是否符合一分裂炸弹攻击条件,并在符合时转向步骤S3;所述步骤S3、选择第一可疑进程对象按照通用算法进行处理,并同时记录所述第一可疑进程对象的原生父进程信息;步骤S4、判断所述计算机操作系统是否仍符合所述分裂炸弹攻击条件,并在符合时转向步骤S5;所述步骤S5、选择第二可疑进程对象,并根据所述原生进程树来确定所述第二可疑进程对象的原生父进程信息与最近的祖先进程信息作为所述可疑程序进行处理,以结束所述可疑程序及所述可疑进程对象的子进程。2.根据权利要求1所述的监测和清除分裂炸弹程序攻击的方法,其特征在于,当所述计算机操作系统运行正常时,还包括一维护步骤;所述维护步骤包括以定期维护保持所述原生进程树的进程间的创建关系。3.根据权利要求2所述的监测和...
【专利技术属性】
技术研发人员:祁勇,
申请(专利权)人:普华基础软件股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。